[摘要] 内部审计是企业自我约束和监督机制的重要组成部分,它在企业风险管理中的职责与作用是企业转化经营机制、建立现代企业制度的客观需要。文章从内部审计与企业风险管理之间的关系着手,探讨了内部审计在企业风险管理中的职责与作用,以及如何增强企业抵御风险能力等问题。
　　[关键词]内部审计;风险管理;职责;作用
　　[中图分类号]F239.45[文献标识码] A[文章编号]1002-736X(2009)03-0162-03
　　
　　The Responsibility and Function of Internal Audit in Modern Enterprise Risk Management
　　Chen Jiansong
　　(Wenzhou Vocational & Technical College, Wenzhou, Zhejiang 325035)
　　
　　Abstract: Internal audit is an important part of the self-restrain system and censorship of enterprises. Its responsibility and function in the risk management is the necessity of establishing modern enterprise system. This paper first analyzes the relations between internal audit and risk management, then discusses its responsibility and function and its efforts for risk-preventing.
　　Key words: internal audit; risk management; responsibility; function
　　
　　内部审计是企业自我约束和监督机制的重要组成部分,履行、发挥内部审计在企业风险管理中的职责与作用是企业转化经营机制、建立现代企业制度的客观需要。内部审计应有机融入企业风险管理过程中,充分发挥其在风险管理中的重要作用,为企业提高风险管理能力做出贡献。
　　
　　一、现代企业风险管理与内部审计的关系
　　
　　风险是指发生对目标的实现可能产生影响的事件的不确定性。风险的衡量标准是后果与可能性。风险管理则指采取一定的措施对风险进行检测评估,使风险降低到可以接受的程度,并将其控制在某一可以接受的水平上。风险管理一般包括风险识别、风险衡量、风险防范、风险监控等环节。
　　根据《内部审计实务标准》规定,内部审计是用来增加组织价值和改善组织运营的独立、客观的保证与咨询活动,它以系统化、专业化的方法对风险管理、控制及治理过程的有效性进行评估和改善,帮助组织顺利实现目标。根据这一定义,现代内部审计的范围已从传统上的财务(控制的一方面)扩大到风险管理和公司治理层次上,有效的风险管理机制和健全的公司治理结构已成为现代内部审计关注的焦点。
　　内部审计作为内部控制的重要部分,与风险管理的联系日趋紧密。风险管理作为管理层一项关键责任,企业管理层对其负有不可推卸的责任。内部审计师则有职责定期评价并协助其他部门进行风险管理,在改善管理层的风险管理流程效果和效率方面进行检查、评价、报告和提出审计建议,帮助企业识别、评价风险以及实施风险管理方法。
　　
　　二、内部审计在现代企业风险管理中的职责
　　
　　在风险导向内部审计中,风险管理成为组织中的关键流程,分析、确认、揭示关键性的风险,成为内部审计的主要职责。
　　(一)从实现企业目标和全局的角度看,内部审计有职责融入企业风险管理
　　现代企业面临的经营环境日趋复杂,风险日益增大,减少面临的风险是企业实现价值最大化目标的关键。内部审计采取系统化、规范化的方法促进建立风险管理过程,通过内控制度的评价,对公司经营活动进行风险识别和评价,改进风险管理与控制体系,提请管理层关注风险,从而完善企业管理,转化负面风险,提升企业竞争能力和应变能力,最终实现企业目标。从实现企业目标方面看,内部审计有职责参与企业风险管理。
　　企业是多个部门的集合,其中一点(一个部门)造成的风险会传递到另一点(另一部门),最终会使整个面(企业整体)陷入困境甚至于瘫痪。因此,对风险识别、防范和控制需要从全局考虑,而各业务部门又很难做到这一点。内部审计在企业中的地位,决定其能站在全局的高度相对超脱地获得企业内部控制、经营管理活动及风险管理等方面的信息,向管理层提供创造性思维,提出科学、合理的建议,避免风险带来的损失。从全局角度看,内部审计有职责融入风险管理。 　(二)从自身优势和比较的角度看,内部审计是构成企业风险管理的重要机制
　　从企业内部看,现代企业建立了各级风险管理组织层次,包括风险控制委员会、内部审计部门、专职风险监管部门。但风险监管部门隶属于管理部门,不具有独立性,其意见有时会屈服于管理当局的压力,这使得风险管理部门的作用的发挥受到限制。在现代企业中,内部审计部门独立于管理部门,其风险评估的意见可以直接报送给董事会,提出的意见与建议更具有权威性。
　　从企业外部看,外部审计从独立、客观的角度对企业的财务报表进行审计和对企业的内部控制进行复核,经常能提供一些有用的信息影响到企业风险管理。但他们更多地围绕企业会计报表的合法、公允、一贯性开展工作,对企业管理环境和运作过程不十分熟悉,决定其提供的风险管理服务不能做到贴近内部管理,不能对企业风险管理的有效性负责。而内部审计部门对企业面临的风险更了解,在风险管理方面拥有外部审计无可比拟的优势。
　　(三)从审计程序和过程的角度看,内部审计是风险控制程序的有益补充
　　内部审计师应用现代风险导向审计模式,从整体上把握审计风险因素,合理整合审计资源,警惕可能影响目标、运营和资源的重大风险,最大限度地减少审计风险。在审计计划、审计实施、审计报告阶段,将风险作为重要考虑因素,在整个审计过程贯穿对风险的关注,充分考虑风险管理的充分性和有效性。具体讲,在审计计划阶段,内部审计应该考虑企业活动存在的风险,在评估风险优先次序的基础上安排审计工作,按照风险大小分配审计资源;在审计实施阶段,审计师通过检查、评价风险管理过程的充分性和有效性,发现风险控制的漏洞和薄弱环节;在审计报告阶段,对风险管理状况进行评价,对风险管理中存在的漏洞和不足提出改进建议,协助企业管理层确定、评价并实施针对风险管理的方法和控制措施。
　　
　　三、内部审计如何参与现代企业风险管理
　　
　　内部审计可以从风险识别、风险衡量、风险防范、风险监控四个阶段参与风险管理。识别、报告潜在重大风险,提出应对措施,同时通过落实审计建议并督促采取有效的风险控制措施。
　　(一)评估风险识别
　　风险识别是指对企业所面临的、以及潜在的风险加以判断、归类和鉴定风险性质的过程。也就是说,从潜在的事件及其产生的原因和后果来检查风险,收集、整理可能的风险并充分征求各方意见以形成风险列表。风险识别实质上是对风险进行定性研究,内部审计熟悉公司的经营管理过程,以风险敏感性分析为起点开展工作,有效识别风险。内部审计部门要关注已识别风险的完整性,即企业所面临的主要风险是否均已被识别出来,并找出未被识别的主要风险。通常要关注的主要风险有:财务和经营信息不足而导致决策错误;资产流失,资源浪费和无效使用;顾客不满意,企业信誉受损。
　　
　　(二)评估风险衡量
　　风险衡量是指应用各种管理科学技术,采用定性与定量相结合的方式,找出主要的风险源,并评价风险的可能影响,最终定量估计风险大小。风险衡量的目的是确定每个风险要素的影响大小,一般是对已经识别出来的风险进行量化估计,从风险发生的可能性和影响两方面对风险进行评估,通过公式:风险值=风险概率×风险影响,计算出风险值。内部审计部门和内部审计师要对已有风险的衡量结果进行再检验,以确定其是否恰当,对不恰当的估计予以更正。在风险分析中,审计师不仅要关注风险的数量,而且要关注风险的属性或其承载价值的后果。
　　(三)评估风险防范
　　完成风险衡量后,确定存在的风险以及其发生的可能性,排列出风险的优先级。根据风险性质和承受能力制定相应的防范措施,即风险的防范。制定风险防范策略主要考虑以下四个方面的因素:可规避性、可转移性、可缓解性、可接受性。内部审计部门和内部审计师对有关部门针对风险所采取的防范措施进行检查,检查其是否充分、得当。对于风险缺乏充分的控制措施的情况,内部审计部门和内部审计人员应提出改进措施和建议,协助完善风险反应方案,以强化企业的风险防范管理。
　　(四)评估风险监控
　　企业风险并非一成不变,随着时间的推移,风险有可能会增大或者减小。因此,需要时刻监控风险的发展与变化情况,并确定随着某些因素的出现或消失而带来的新的风险。风险监控包括两个层面的工作。一是跟踪已识别风险的发展变化情况,关注风险产生的条件和导致的后果变化,衡量风险减缓计划需求。二是根据风险的变化情况及时调整风险应对措施,并对已发生的风险及其遗留风险和新增风险及时识别、分析,并采取适当的应对措施。对于已发生过和已解决的风险也应及时从风险监控列表调整出去。内部审计可以通过持续监控、个别评估来监控企业的风险管理持续执行。 　四、构建风险管理框架,增强企业抵御风险能力
　　
　　企业内部不同部门或不同业务具有不同风险,越来越多的企业信奉企业级的风险管理。因此,现代企业必须组合各种风险,内审部门应超越企业内部各职能部门之间的隔阂,拓展参与风险管理的深度与广度,对战略、财务和经营风险进行通盘考虑,帮助企业管理层管理风险,增强抵御风险能力。
　　(一)构建战略信息网络,增强抵御战略风险能力
　　建立、实施良好的战略信息管理网络,采用科学手段量化风险、预计后果,可推动企业变革,增强应变能力,取得竞争优势。为保证战略决策的科学性,确立正确的战略目标与发展方向,所依据信息必须真实、及时、完整。企业应加强对信息的监督、治理力度,对敏感信息的接触进行授权限制,保证来自于企业内部和外部的相关信息以一定标准进行确认和传递,维护信息网络渠道的畅通。使信息既能涵盖企业全部重要活动,又能满足决策层掌握、了解与企业战略相关的综合状况。
　　战略分析是现代风险导向审计模式的核心环节,战略分析主要是对企业外部环境和内部条件的分析,内部审计师评价企业战略目标的制定是在分析组织内部和企业外部的发展情况和趋势、企业的优势和劣势、外部的机会和威胁的基础上结合企业风险偏好来制订,在企业做出科学战略决策之前作好预测评估风险因素、量化风险影响。
　　(二)健全财务管理系统,强化财务风险控制
　　财务风险与企业资金的筹措、管理及安全息息相关。由于各种难以预料或控制的因素影响,企业的财务状况具有不确定性,从而使企业有蒙受损失的可能性。企业应了解财务风险的来源和特征,正确预测、衡量财务风险,进行适当的控制和防范,将损失降至最低程度,为企业创造最大的收益。
　　内部审计部门和审计师应评价企业管理财务风险措施的充分性和有效性,帮助企业建立健全财务风险机制,以防范因财务管理系统不适应环境变化而产生的财务风险,真正体现财务风险控制和管理的有效性。对那些能够在计划阶段进行预测、控制的风险,内审部门应通过实际与计划比较,来分析控制效果。对那些突发、未能预测到的风险,内部审计部门应查明风险的来源及性质,找出最优方案来控制或削弱风险。
　　(三)建立经营预警机制,加强经营风险监控
　　经营风险指企业在生产与销售过程中所面临的由于管理、市场与技术变化等引起的种种风险。企业经营风险是时时存在的,企业要积极面对,对于影响企业的资产和经营状况的各类政治、经济、社会、市场因素及其变化趋势等,进行研究和预测。对于经营预警指标的异常变化,要及时对相关经营风险进行重新分析评估。特别是新的经营计划制订、实施之前,要对其可能带来的风险进行全面、深入的分析评估,并制定相应地配套措施。
　　内部审计师应借助管理层的经营分析能力,采用价值链分析技术、波士顿分析技术和机会、威胁、优势与劣势分析技术,剖析经营中潜在的风险,查找可能对企业经营业绩产生不利影响的各种因素,真实、完整地披露企业经营风险,坚持不懈地做好风险因素的监控工作,协助企业规避经营风险。以正确评价企业经营业绩,为管理者提供决策依据。
　　
　　[参考文献]
　　[1]曹艳萍.如何防范企业内部审计风险[J].经济技术协作信息,2006,(30):55.
　　[2]何萍.论如何控制内部审计风险[J].现代审计,2006,(7):40.
　　[3]刘实.论企业管理变革对内部审计的影响[J].审计研究,2004,(2):60-63.
　　[4]刘瑜.内部审计职能转变中的风险管理审计[J].中国内部审计,2006,(11):26-27.
　　[5]李欣梅.防范现代企业内部审计风险的思路[J].现代审计,2007,(2):43-44.
　　[6]张伟.基于治理层次的内部审计[J].审计研究,2004,(4):85-88.
　　[7]赵金芳,黄元喜.对企业风险管理实施内部审计的思考[J].商业会计,2007,(1):27-28.