江文

摘要：國際內(nèi)部審計師協(xié)會對內(nèi)部審計作了新的定義：“內(nèi)部審計是一種獨立的、客觀的確認與咨詢活動，它的目的是為機構(gòu)增加價值并提高機構(gòu)的運作效率。它采取系統(tǒng)化、規(guī)范化的方法來對風險管理、控制及治理程序進行評價，提高它們的效率，從而幫助實現(xiàn)機構(gòu)目標?！?該定義表明了內(nèi)部審計在企業(yè)風險管理中應(yīng)該需要發(fā)揮哪些作用和如何發(fā)揮的作用。文章就內(nèi)部審計在企業(yè)風險管理中應(yīng)該發(fā)揮的作用進行了簡要分析。

關(guān)鍵詞：內(nèi)部審計；風險管理；作用

每個企業(yè)在經(jīng)營發(fā)展過程中均會發(fā)生各種各樣的風險，如何減少和降低風險及風險帶來的后果是企業(yè)經(jīng)營管理者必須考慮的問題。內(nèi)部審計的定義明確了內(nèi)部審計在風險管理中的應(yīng)該發(fā)揮的作用和如何發(fā)揮作用。應(yīng)該發(fā)揮的作用：提高企業(yè)的效率，從而幫助企業(yè)實現(xiàn)目標。如何發(fā)揮作用：內(nèi)部審計要采取系統(tǒng)化、規(guī)范化的方法來對企業(yè)的風險管理、控制及治理程序進行評價，

一、企業(yè)風險管理

風險是指未來事項發(fā)生的不確定性，包含兩個方面的內(nèi)容：一是未來事項發(fā)生與否不確定，二是事項發(fā)生后的結(jié)果如何不確定。在企業(yè)的每一個環(huán)節(jié)、每一個階段、每一個領(lǐng)域均有可能發(fā)生，他具有普遍性、隨機性、突發(fā)性、多變性和可控性等特點。

企業(yè)風險管理是指企業(yè)在充分認識本單位面臨的風險的基礎(chǔ)上，采取的各種科學(xué)有效的方式方法和手段，對各種風險進行識別、衡量、評價、控制和治理。COSO風險管理框架將風險管理的要素分為八個：內(nèi)部環(huán)境、目標制定、事項識別、風險評估、風險反應(yīng)、控制活動、信息和溝通、監(jiān)控。由此可見，企業(yè)風險管理貫穿于企業(yè)經(jīng)營管理全過程，貫穿于企業(yè)各個部門和每個員工。

二、內(nèi)部審計與企業(yè)風險管理的關(guān)系

內(nèi)部審計與企業(yè)風險管理之間的關(guān)系是辯證統(tǒng)一的。內(nèi)部審計機構(gòu)是企業(yè)的一個內(nèi)部管理部門，是企業(yè)風險管理體系的一個重要組成部分，而企業(yè)風險管理是內(nèi)部審計工作的一項重要內(nèi)容。內(nèi)部審計是風險管理的有效工具，屬于企業(yè)風險管理的第三道防線。內(nèi)部審計參與企業(yè)管理的全過程，應(yīng)更加關(guān)注企業(yè)的風險管理體系和效益。

1. 內(nèi)部審計是企業(yè)風險管理體系的重要組成部分

內(nèi)部審計為企業(yè)的經(jīng)營管理活動提供獨立客觀的確認和咨詢服務(wù)，是企業(yè)內(nèi)部控制與監(jiān)督的關(guān)鍵環(huán)節(jié)，是企業(yè)風險管理體系的一個重要組成部分，貫穿于企業(yè)生產(chǎn)經(jīng)營管理的全過程。但由于內(nèi)部審計部門的相對獨立性，可以站在獨立的立場去對待和客觀公正的評價企業(yè)生產(chǎn)經(jīng)營過程中的風險管理。

2. 風險管理是內(nèi)部審計工作的重要內(nèi)容

隨著內(nèi)部審計工作業(yè)務(wù)的開展，企業(yè)的風險管理已經(jīng)成為內(nèi)部審計工作的重要內(nèi)容。在開展內(nèi)部審計時，需要對企業(yè)管理層的決策進行分析評價，需要對企業(yè)經(jīng)營管理過程中產(chǎn)生的風險進行揭示，需要對企業(yè)某個事項的風險后果進行預(yù)測。

3. 內(nèi)部審計是風險管理的有效工具

企業(yè)風險管理是企業(yè)管理層的職責所在，管理層應(yīng)該確保企業(yè)具備風險管理能力，能夠?qū)︼L險進行分析、控制和治理。由于內(nèi)部審計在企業(yè)內(nèi)部的相對獨立性，內(nèi)部審計可以采取系統(tǒng)化、科學(xué)化、程序化、規(guī)范化的手段和方法，對企業(yè)的風險管理體系是否建立健全，風險控制措施是否有效恰當，風險治理是否有效等進行評價和測量。

三、內(nèi)部審計在風險防范中的作用

根據(jù)COSO風險管理框架，將組織風險管理的要素分為八個：分別是內(nèi)部環(huán)境、目標制定、事項識別、風險評估、風險反應(yīng)、控制活動、信息和溝通、監(jiān)控。下面對內(nèi)部審計在這個八個要素中的作用進行逐一淺析。

1. 內(nèi)部環(huán)境，是組織內(nèi)部物質(zhì)、文化、制度建設(shè)和控制措施的總稱，是企業(yè)生產(chǎn)經(jīng)營管理的基礎(chǔ)，內(nèi)部環(huán)境影響企業(yè)戰(zhàn)略目標的制定，影響企業(yè)戰(zhàn)略方案的制定，影響企業(yè)業(yè)務(wù)活動的組織和開展，影響企業(yè)風險的識別、評估和控制。

內(nèi)部審計首先需要評價企業(yè)的固有風險和剩余風險（控制后的風險），需要了解企業(yè)內(nèi)部環(huán)境情況。內(nèi)部審計還需要分析內(nèi)部環(huán)境因素的變化，內(nèi)部環(huán)境因素的變化會導(dǎo)致風險的變化，內(nèi)部審計就要關(guān)注企業(yè)是否根據(jù)風險的變化采取了合適的應(yīng)對方法。比如企業(yè)為了降低生產(chǎn)成本和內(nèi)部管理風險，將某項業(yè)務(wù)進行外包，但企業(yè)會面臨著外包單位能否完成外包業(yè)務(wù)的風險。內(nèi)部審計就需要對風險變化情況進行分析，并考慮企業(yè)是否采取了恰當?shù)娘L險防范措施。

2. 目標制定是指企業(yè)根據(jù)企業(yè)的內(nèi)部環(huán)境和企業(yè)確定的想要達到的預(yù)期，企業(yè)管理者確定企業(yè)的戰(zhàn)略目標，并制定為了實現(xiàn)戰(zhàn)略目標的戰(zhàn)略方案。企業(yè)將戰(zhàn)略目標分解為若干個子目標，各子目標應(yīng)該為實現(xiàn)企業(yè)的戰(zhàn)略目標服務(wù)，并要與戰(zhàn)略方案相一致。

首先，內(nèi)部審計需要客觀評價企業(yè)戰(zhàn)略目標以及相關(guān)子目標設(shè)定的合理性，是否符合企業(yè)確定的想要達到的預(yù)期，各子目標是否與戰(zhàn)略目標相一致，是否有利于戰(zhàn)略目標的實現(xiàn)；其次，內(nèi)部審計需要評價企業(yè)制定的戰(zhàn)略方案的合理性和合法性，戰(zhàn)略方案是否有利于戰(zhàn)略目標的實現(xiàn)；最后，內(nèi)部審計需要對目標實現(xiàn)情況進行跟蹤評估，評價企業(yè)是否實現(xiàn)了目標，在目標未實現(xiàn)時，是否及時采取了改進措施或?qū)Σ缓侠淼哪繕诉M行修訂。

3. 事項識別是指企業(yè)管理者意識到了企業(yè)生產(chǎn)經(jīng)營管理風險的存在，但管理者不能確切地知道風險是否會發(fā)生、何時發(fā)生和其結(jié)果如何。在這個時候，企業(yè)管理者應(yīng)考慮會影響風險發(fā)生的各種內(nèi)外部的事項，不論大小均要進行識別。

內(nèi)部審計可以采用通用的風險分析方法包括COSO提供的分析方法來識別企業(yè)的風險事項，包括內(nèi)部風險和外部風險；并對識別的風險進行分類別分層級。內(nèi)部審計通過分析判斷企業(yè)管理層是否完全識別了所有風險，是否對識別的風險進行分類別分層級的進行管理，如果沒有，內(nèi)部審計人員應(yīng)該提醒管理層對未識別的風險采取一定的措施加以控制。

4. 風險評估是指企業(yè)管理層了解潛在事項如何影響企業(yè)目標的實現(xiàn)和影響的大小。企業(yè)管理者應(yīng)該從風險發(fā)生的可能性和影響兩個方面對風險進行定性分析和定量分析。

風險分析是一件復(fù)雜困難的工作，在很多情況下需要管理層進行主觀判斷不同結(jié)果發(fā)生的可能性和影響。不同的學(xué)歷、知識結(jié)構(gòu)、背景、職位以及工作經(jīng)驗，對同一個風險發(fā)生的可能性和影響的判斷均會不同，會有個人的偏見和喜好。內(nèi)部審計機構(gòu)作為一個相對客觀獨立的部門，可以采取風險分析方法從客觀獨立的角度分析和評價風險，向企業(yè)的管理層提供專業(yè)意見。

5. 風險反應(yīng)是指企業(yè)管理者對待風險的容忍度，根據(jù)不同的風險容忍度制定不同風險反應(yīng)方案。有效的風險管理要求企業(yè)管理者選擇一個可以使企業(yè)風險發(fā)生的可能性和影響都落在風險容忍度范圍之內(nèi)的風險反應(yīng)方案。通俗地講，就是企業(yè)在面對不同的風險時，決定要采取策略和方法，是避免風險接受風險還是降低風險。

內(nèi)部審計人員在進行風險反應(yīng)評價時需要結(jié)合企業(yè)管理層的風險偏好來進行，分析評價風險回報的合理性；分析評價風險減少措施的有效性；分析評價風險反應(yīng)方案的恰當性。在評價避免風險時，需要評價避免這個風險是否會產(chǎn)生新的風險，避免風險的措施是否恰當，避免風險的成本是否最經(jīng)濟。評價接受風險時，需要評價接受風險的措施是否恰當，評價風險的結(jié)果企業(yè)能否承受。評價降低風險時，內(nèi)部審計人員需要對內(nèi)部控制制度的健全性、執(zhí)行的有效性進行測試和評價。

6. 控制活動是指企業(yè)為了實現(xiàn)企業(yè)戰(zhàn)略目標和保證風險反應(yīng)方案得到貫徹落實所采取的措施?？刂苹顒迂灤┯谄髽I(yè)生產(chǎn)經(jīng)營管理的全過程，存在于企業(yè)的各個層面和各個部門。所以控制活動是企業(yè)實現(xiàn)其價值和戰(zhàn)略目標的過程的一部分。

內(nèi)部審計需要分析評價控制活動，這項工作是內(nèi)部審計工作的重要環(huán)節(jié)，控制活動評價具體包括分析評價是否建立健全內(nèi)部控制措施、分析評價內(nèi)部控制措施是否得到有效實施、分析評價內(nèi)部控制措施是否與企業(yè)環(huán)境以及生產(chǎn)經(jīng)營管理相匹配、分析評價內(nèi)部控制措施是否有效、風險評價內(nèi)部控制措施是否合理合法等方面。

7. 信息和溝通通俗地講是企業(yè)及時準確地收集與企業(yè)相關(guān)的各種信息，并在企業(yè)內(nèi)外部進行有效溝通。信息和溝通是實施內(nèi)部控制的重要條件。收集到的各種信息必須以一定的格式和時間間隔進行確認和傳遞。

審計報告是內(nèi)部審計工作的成果表達的一種方式，是內(nèi)部審計機構(gòu)和企業(yè)管理層進行溝通的橋梁和紐帶。內(nèi)部審計可以通過審計報告或?qū)徲嬕庖姇男问?，向企業(yè)管理層傳達風險是否得到有效管理控制，并將分析結(jié)果和建議提供給管理層以便改進。內(nèi)部審計機構(gòu)的設(shè)立也向外部利益相關(guān)者提供了企業(yè)進行規(guī)范管理和有效風險管理的保證。

8. 監(jiān)控是企業(yè)管理者對企業(yè)風險管理的監(jiān)控，通過風險監(jiān)控可以發(fā)現(xiàn)企業(yè)在生產(chǎn)經(jīng)營管理過程中是否發(fā)生新的風險因素，這些因素是否會對企業(yè)戰(zhàn)略目標的實現(xiàn)產(chǎn)生影響。企業(yè)管理者可以通過兩種方式對風險管理進行監(jiān)控——持續(xù)監(jiān)控和個別評估。持續(xù)監(jiān)控是指企業(yè)管理者需要持續(xù)的關(guān)注企業(yè)的風險管理是否發(fā)生變化進行評估。個別評估是指企業(yè)管理者針對特殊時期的特殊事項進行評估。

內(nèi)部審計需要經(jīng)常性的檢查分析企業(yè)的內(nèi)外部環(huán)境和風險的變化，對內(nèi)外部環(huán)境和風險變化進行監(jiān)控；內(nèi)部審計需要時刻監(jiān)控企業(yè)戰(zhàn)略目標和子目標的實現(xiàn)達成情況，在過程中是否會發(fā)生影響企業(yè)戰(zhàn)略目標和子目標實現(xiàn)的因素；內(nèi)部審計需要監(jiān)控企業(yè)的風險反應(yīng)是否恰當，是否在風險容忍度范圍之內(nèi)，是否會影響企業(yè)戰(zhàn)略目標的達成；內(nèi)部審計需要監(jiān)控風險應(yīng)對方案和風險控制措施是否恰當；內(nèi)部審計需要監(jiān)控內(nèi)部控制部門是否對新產(chǎn)生的風險進行管控。

隨著當今世界經(jīng)濟發(fā)展的瞬息萬變，各種不確定因素越來越多，企業(yè)面臨的風險環(huán)境越來越復(fù)雜，企業(yè)的風險管理也就越來越重要。內(nèi)部審計作為風險管理的重要組成部分，在企業(yè)風險管理中發(fā)揮的作用也將會越來越大，內(nèi)部審計人員應(yīng)該充分運用風險管理知識，采取系統(tǒng)化、規(guī)范化的手段和方法，從獨立客觀的角度為企業(yè)管理層提供有質(zhì)量的確認和咨詢服務(wù)，提高企業(yè)風險管理水平。

參考文獻：

[1]方紅星.企業(yè)風險管理——整合框架[M].東北財經(jīng)大學(xué)出版社，2005.

[2]李定安，易沙.淺談內(nèi)部審計風險及其防范機制[J].新會計，2003（02）.

[3]冷琳.淺析內(nèi)部審計在風險管理中的作用[J].經(jīng)營管理者，2014（27）.

[4]中國內(nèi)部審計協(xié).國際內(nèi)部審計專業(yè)實務(wù)框架[M].西苑出版社，2013.

[5]中國內(nèi)部審計協(xié)會.中國內(nèi)部審計準則[M].中國時代經(jīng)濟出版社，2005.

（作者單位：安徽省煙草公司安慶市公司）