（淮南師范學(xué)院 安徽淮南232001）

近年來，上市公司財務(wù)造假和管理層財務(wù)舞弊事件頻繁發(fā)生，企業(yè)經(jīng)營的不確定性大大增加。會計師事務(wù)所在對上市公司財務(wù)報告審計中不能及時和有效地發(fā)現(xiàn)上市公司存在的問題，讓人不得不懷疑現(xiàn)行審計模式的有效性，動搖了公眾對資本市場的信心，阻礙了經(jīng)濟的健康發(fā)展。風險管理內(nèi)部審計作為一種新的審計模式，已經(jīng)在歐美等發(fā)達國家得到運用。作為企業(yè)內(nèi)部的組織機構(gòu)，內(nèi)部審計在防范企業(yè)風險和增加企業(yè)價值等方面有很多優(yōu)勢。

一、相關(guān)文獻綜述

從第一部內(nèi)部審計著作《內(nèi)部審計——程序的性質(zhì)、職能和方法》問世以來，內(nèi)部審計一直被理論界和實務(wù)界所關(guān)注，但那時的內(nèi)部審計主要集中在財務(wù)審計。1970年以后，內(nèi)部審計的理論開始有了新的發(fā)展，內(nèi)部審計的職能逐步拓寬，從績效審計、經(jīng)濟責任審計到3E審計和5E審計，不斷豐富的內(nèi)部審計項目逐漸引起企業(yè)管理層的重視。安然事件的爆發(fā)，使會計信息使用者對會計信息質(zhì)量產(chǎn)生了懷疑，2002年《薩班斯-奧克斯利法案》在這此背景下問世。該法案明確指出在企業(yè)風險的確認和評估上，內(nèi)部審計師要發(fā)揮應(yīng)有職責，并負責對企業(yè)風險控制進行修訂。2004年9月，COSO委員會頒布了《企業(yè)風險管理——整合框架》，認為ERM框架是一個過程，是由企業(yè)的董事會、管理層以及其他人員共同討論決定的，應(yīng)用于企業(yè)戰(zhàn)略制定和不同組織的管理活動，從而更好地識別、計量、分析和應(yīng)對風險。McEvoy（2007）認為，內(nèi)部審計是企業(yè)內(nèi)部管理的一個機構(gòu)，其直接對公司的董事會和高管負責，內(nèi)部審計部門在公司風險管理和控制中存在著優(yōu)勢，并能夠為企業(yè)風險管理的改進提出建設(shè)性的意見。Gresham（2011）指出，在企業(yè)風險識別、風險評估和風險控制方面，內(nèi)部審計師能夠幫助管理層在風險管理上采取有效的措施，他認為內(nèi)部審計部門對企業(yè)的經(jīng)營目標、企業(yè)的風險點以及企業(yè)采取的風險控制較為熟悉，能夠根據(jù)可能存在的風險提出針對性的解決措施。陳瑞敏（2012）從公司治理結(jié)構(gòu)角度出發(fā)，認為內(nèi)部審計能夠幫助企業(yè)進行全面風險的管理，通過引入內(nèi)部審計部門可以完善企業(yè)的公司治理結(jié)構(gòu)，并對我國內(nèi)部審計在企業(yè)風險管理中存在的問題進行了分析，提出了從全面風險管理角度完善內(nèi)部審計的建議。張巧紅（2015）以原因分析為導(dǎo)向，指出內(nèi)部審計通過系統(tǒng)的方法，將風險管理貫穿于內(nèi)部審計的全過程，并對企業(yè)現(xiàn)有風險管理進行評價和修正，幫助企業(yè)實現(xiàn)其目標。2016年COSO委員會頒布了《風險管理框架——協(xié)調(diào)風險、戰(zhàn)略以及業(yè)績》（征求意見稿），新的ERM框架將會給企業(yè)風險管理帶來新的思路。

二、內(nèi)部審計參與風險管理的動因及途徑

（一）內(nèi)部審計參與風險管理的動因

1.隨著市場經(jīng)濟的發(fā)展，企業(yè)競爭更加激烈，企業(yè)面臨的風險更大，企業(yè)管理層希望內(nèi)部審計可以參與到風險管理中來，并最大程度保證企業(yè)規(guī)避和控制風險。這對內(nèi)部審計而言是一個絕佳的發(fā)展時機。內(nèi)部審計機構(gòu)需要不斷擴大自己的業(yè)務(wù)領(lǐng)域，在企業(yè)中發(fā)揮更多作用，為其創(chuàng)造價值，從而防止被邊緣化。

2.企業(yè)風險管理的需求。經(jīng)濟全球化的發(fā)展在給企業(yè)帶來機遇的同時也使其經(jīng)營環(huán)境變得更加復(fù)雜，財務(wù)風險和經(jīng)營風險逐漸增大，企業(yè)要想在瞬息萬變的市場經(jīng)濟中立于不敗之地，就必須考慮企業(yè)可能面臨的重大風險并采取措施予以應(yīng)對。從世界500強企業(yè)來看，每個企業(yè)都很好地控制著經(jīng)營風險和財務(wù)風險。作為企業(yè)的管理機構(gòu)，內(nèi)部審計能夠在企業(yè)風險管理中發(fā)揮第三道防線功能，減少由于風險可能帶來的損失，因此內(nèi)部審計參與到風險管理中是非常有必要的。

（二）內(nèi)部審計參與風險管理的途徑

企業(yè)風險管理框架主要包含以下要素：對環(huán)境的具體分析、設(shè)定適當?shù)哪繕?、事件的準確鑒別、對風險的評估、采取回應(yīng)、控制管理活動、信息交流與溝通、監(jiān)督與回顧風險。筆者就內(nèi)部審計在企業(yè)風險管理框架中通過何種途徑來發(fā)揮作用進行研究。圖1為內(nèi)部審計參與企業(yè)風險管理途徑的框架圖。

圖1 內(nèi)部審計參與企業(yè)風險管理的途徑

圖2 風險事件鑒別的確認

1.將公司目標戰(zhàn)略與環(huán)境分析關(guān)聯(lián)起來。企業(yè)目標戰(zhàn)略的實施和經(jīng)營過程由企業(yè)的管理者及董事會決定，內(nèi)部審計的職能是對可能阻礙戰(zhàn)略實施的風險因素進行評估并加以改善，確保企業(yè)有能力應(yīng)對風險，讓公司正常運作。具體表現(xiàn)為：內(nèi)部審計列出風險因素清單，并判斷出它們對公司的影響程度；將企業(yè)的戰(zhàn)略目標與隱藏的風險聯(lián)系在一起，建立風險分析矩陣進行分析；內(nèi)部審計應(yīng)積極向還未實施風險管理的企業(yè)引入風險管理，發(fā)揮控制風險的專長。

2.信息技術(shù)的迅速發(fā)展使得企業(yè)的內(nèi)外環(huán)境變幻莫測，對環(huán)境進行實時監(jiān)控就顯得特別重要。首先對環(huán)境的監(jiān)控是要明確企業(yè)的風險偏好，內(nèi)部審計需要確認管理人員及董事會對風險的偏好，幫助企業(yè)管理層識別風險，并針對可能存在的風險點提出解決措施。其次要對環(huán)境進行持續(xù)的監(jiān)控，內(nèi)部審計需時刻都能判斷出企業(yè)目前所處的環(huán)境狀況并預(yù)測發(fā)展趨勢，對可能出現(xiàn)的環(huán)境變化，提供風險應(yīng)對策略，為企業(yè)管理層的決策提供支持。

3.企業(yè)風險管理工作的基礎(chǔ)是對風險事件進行鑒別，風險管理人員需要對搜集而來的大量的可靠信息進行分析總結(jié)，實時掌握企業(yè)潛在的風險。風險事件鑒別最重要的一點就是要保證企業(yè)所有的風險都能被鑒別出來，即保證其完整性。主要包括以下幾方面：風險分類層級是否合理；風險識別是否足夠全面；風險控制是否科學(xué)。內(nèi)部審計對風險管理事件鑒別確認的方式如圖2所示。

4.風險被鑒別出來后就要對風險進行等級評估。內(nèi)部審計首先需要利用管理工具對風險進行相應(yīng)評估，特別注意每個風險點將會給企業(yè)帶來的不利方面及影響程度，然后與收集的有效資料進行對比，對風險評估進行最終確認。內(nèi)部審計通過判斷企業(yè)應(yīng)對風險的措施是否適當、將與風險有關(guān)的內(nèi)部報告信息及時準確地傳遞給利益相關(guān)者以及建立風險管理共享系統(tǒng)等方式參與到企業(yè)的風險管理中。

三、內(nèi)部審計在風險管理中存在的問題

隨著公司治理理論研究的深入和其在實踐中的運用，對企業(yè)內(nèi)部審計的要求越來越高。目前很多企業(yè)正由傳統(tǒng)的財務(wù)收支審計向風險導(dǎo)向下的現(xiàn)代內(nèi)部審計轉(zhuǎn)變。在風險管理的環(huán)境下，現(xiàn)代內(nèi)部審計體系呈現(xiàn)出的要求與變化，需要內(nèi)部審計充分發(fā)揮其職能。但是內(nèi)部審計機構(gòu)在運行過程中仍存在很多問題，阻礙內(nèi)部審計職能的發(fā)揮，這些問題的解決將有利于內(nèi)部審計機構(gòu)的設(shè)置和內(nèi)部審計工作的運行。

（一）企業(yè)風險管理體系不健全

2016年COSO發(fā)布的《風險管理框架——協(xié)調(diào)風險、戰(zhàn)略以及業(yè)績》（征求意見稿）對企業(yè)風險管理進行了重新界定，新版的ERM框架認為企業(yè)風險管理是“組織在創(chuàng)造、維護和實現(xiàn)價值的過程中，進行風險管理所賴以依靠的，與戰(zhàn)略和執(zhí)行緊密結(jié)合的文化、能力和實踐”。傳統(tǒng)意義上的企業(yè)風險管理更多側(cè)重的是對業(yè)務(wù)單元風險的管理，很少從企業(yè)戰(zhàn)略的角度去進行風險管理體系的建設(shè)，也很少將企業(yè)風險管理與企業(yè)價值提升聯(lián)系在一起。這種只重視業(yè)務(wù)單元的風險管理體系，導(dǎo)致內(nèi)部審計在日常工作中只能就企業(yè)風險管理中所涉及的經(jīng)濟業(yè)務(wù)事項進行常規(guī)檢查，不能站在企業(yè)戰(zhàn)略角度對企業(yè)日常的決策進行獨立的裁定?，F(xiàn)代內(nèi)部審計更加重視對企業(yè)的增值研究，在增值內(nèi)部審計的背景下，如何通過健全企業(yè)風險管理體系，充分發(fā)揮內(nèi)部審計的增值作用，是值得理論界和實務(wù)界關(guān)注的。

（二）管理層對內(nèi)部審計參與風險管理的意識淡薄

在企業(yè)風險管理中，管理層認為企業(yè)的采購風險、財務(wù)風險、研發(fā)風險、市場風險等應(yīng)該由各主管部門對其進行管理，對內(nèi)部審計參與風險管理的意識不強，認為內(nèi)部審計主要對公司財務(wù)賬目進行審核，并沒有讓內(nèi)部審計更多地參與企業(yè)的管理。由于內(nèi)部審計沒有參與企業(yè)風險管理，企業(yè)在面對風險時往往由各主管部門制訂風險應(yīng)對措施，并沒有充分利用內(nèi)部審計機構(gòu)在風險識別和風險應(yīng)對上的優(yōu)勢。風險的識別和風險控制做得不好，企業(yè)很難實現(xiàn)戰(zhàn)略目標與經(jīng)營目標的統(tǒng)一。

（三）內(nèi)部審計人員結(jié)構(gòu)單一

在企業(yè)組織架構(gòu)中，內(nèi)部審計人員大部分是財會專業(yè)，這些人員有著過硬的財務(wù)技能，但是對于企業(yè)風險管理，特別在特殊部門的風險識別上，由于缺乏對具體工作的經(jīng)歷，內(nèi)部審計人員在特殊業(yè)務(wù)的風險識別和處理上顯得力不從心。從公司治理角度來看，企業(yè)的每個部門都對企業(yè)的經(jīng)營產(chǎn)生影響，在日常的經(jīng)營過程中，每個部門都可能會發(fā)生風險，內(nèi)部審計人員來源的單一也會造成內(nèi)部審計在發(fā)現(xiàn)風險的及時性和準確性上存在一些問題。從全面風險管理角度來看，信息的不對稱也會導(dǎo)致企業(yè)風險的發(fā)生。如何突破內(nèi)部審計人員結(jié)構(gòu)的單一，做到內(nèi)部審計人員既熟悉企業(yè)經(jīng)營環(huán)節(jié)的整個流程，同時又能夠識別各經(jīng)營環(huán)節(jié)中可能存在的問題，并利用內(nèi)部審計的職能對可能存在的風險點提出解決措施，是內(nèi)部審計在風險管理中的突破點。

四、對策研究

從企業(yè)風險管理角度出發(fā)，內(nèi)部審計工作需要向深度和廣度拓展，不斷提高內(nèi)部審計在識別風險、修正企業(yè)風險管理框架上的能力。

（一）建立健全企業(yè)風險管理體系

企業(yè)的風險管理需要從企業(yè)的戰(zhàn)略角度出發(fā)，并結(jié)合企業(yè)的經(jīng)營目標，做到企業(yè)戰(zhàn)略風險管理目標與企業(yè)經(jīng)營風險目標相一致。內(nèi)部審計部門要積極加入到企業(yè)風險管理體系的建設(shè)中來，對企業(yè)風險管理提出切實可行的方案，以便在日常風險管理過程中了然于胸，并對可能存在的風險點提出解決措施，健全企業(yè)的內(nèi)部控制制度，借助ERM最新框架建設(shè)企業(yè)風險管理體系。

（二）加強內(nèi)部控制環(huán)境建設(shè)

在風險管理過程中，管理層起到了引導(dǎo)作用。但是管理層對于內(nèi)部審計參與企業(yè)風險管理的漠視，導(dǎo)致企業(yè)在風險管理中顯得力不從心。根據(jù)2004版ERM框架中的內(nèi)部環(huán)境要素，企業(yè)在實行內(nèi)部控制時需要內(nèi)部員工包括管理層對內(nèi)部控制有充分的認識，在掌握內(nèi)部控制的基礎(chǔ)上加強對內(nèi)部審計的認識，要充分認識到內(nèi)部審計部門參與到企業(yè)風險管理中，對于企業(yè)發(fā)現(xiàn)風險和修正風險管理體系有著積極的作用。企業(yè)的所有員工要加強對內(nèi)部控制理論的學(xué)習(xí)，企業(yè)的管理者要從意識上轉(zhuǎn)變對內(nèi)部審計的態(tài)度，同時動員所有員工積極加入到企業(yè)風險管理中來，做到人人參與風險管理，人人都是風險的管理者。只有通過內(nèi)部控制環(huán)境的建設(shè)，才能讓內(nèi)部審計更好地開展風險管理工作。

（三）調(diào)整內(nèi)部審計部門人員結(jié)構(gòu)

企業(yè)在組建內(nèi)部審計部門時大部分人員來自于財務(wù)部門或者審計部門，對企業(yè)其他部門人員的引進缺乏力度，由于人員結(jié)構(gòu)的單一導(dǎo)致內(nèi)部審計在識別企業(yè)經(jīng)營過程中風險增大。為了降低風險發(fā)生的概率，需要調(diào)整內(nèi)部審計部門人員的結(jié)構(gòu)，從各部門抽調(diào)人員加入內(nèi)部審計部門。但是由于人員總數(shù)的限制，若企業(yè)內(nèi)部審計部門從其他部門調(diào)集人員確有難度，可以通過設(shè)立AB崗來達到關(guān)鍵人員既從事本部門工作又從事內(nèi)部審計工作的目的，在工作中可以及時發(fā)現(xiàn)企業(yè)經(jīng)營過程中的風險點，通過修正企業(yè)風險管理體系，堵住風險點，達到企業(yè)增值的目標。同時積極引導(dǎo)企業(yè)所有員工參與到內(nèi)部審計工作中來，如果員工在工作中發(fā)現(xiàn)可能存在的風險點并及時上報內(nèi)部審計部門，內(nèi)部審計部門在核查清楚后確認風險的存在并給予獎勵，對于既識別了風險又提出合理解釋的員工可以給予雙重獎勵。

總之，內(nèi)部審計在企業(yè)風險管理中的作用不僅僅是發(fā)現(xiàn)企業(yè)的經(jīng)營風險和戰(zhàn)略風險，更能幫助企業(yè)增值，傳統(tǒng)的內(nèi)部審計逐漸向增值型內(nèi)部審計轉(zhuǎn)變。在公司治理結(jié)構(gòu)中，要想充分發(fā)揮內(nèi)部審計的作用，需要賦予內(nèi)部審計充分的獨立性，內(nèi)部審計只有在獨立的基礎(chǔ)上才能有效地發(fā)揮其職能。這種獨立性既是形式上的獨立更是實質(zhì)上的獨立。在內(nèi)部審計的工作方式上可以引入PDCA循環(huán)，加強風險的評估和應(yīng)對措施。將企業(yè)的業(yè)績評價與企業(yè)風險管理結(jié)合在一起，加強企業(yè)內(nèi)部管理層的溝通，通過公司治理和企業(yè)文化的塑造來落實內(nèi)部審計在風險管理中的作用。通過引入COSO委員會最新的研究成果，從五個要素、二十二個原則著手豐富內(nèi)部審計在風險管理中的作用，幫助企業(yè)實現(xiàn)增值的目的。