一、问题提出

由于各种不确定性因素，企业面临着各种风险，能否对风险进行有效的管理和控制，是企业能否生存发展的关键。企业风险管理的有效性在一定程度上取决于企业对风险管理工作的监督和评价。我国从2005年施行的内部审计具体准则第16号—《风险管理审计》中更是强调了内部审计人员对风险管理进行审查和评价的职责。然而，我国内部审计在风险管理中应用的现状却并不令人乐观。根据调查存在以下问题：(1)内部审计人员对风险及风险管理不甚了解。28.05％的被调查内部审计人员认为风险不会影响企业价值，7.32％的被调查内部审计人员竟认为风险会增加企业价值。内部审计人员对风险的不了解，限制了内部审计对风险和风险管理的关注，制约了内部审计在风险管理中的应用。另外，内部审计人员缺乏风险管理知识，对于风险管理的先进理论—全面风险管理不甚熟悉。8.54％的被调查的内部审计人员没听说过“全面风险管理”，只有3.66％的被调查的内部审计人员熟悉“全面风险管理”。缺乏先进的风险管理理论，又从何谈起协助管理人员进行风险管理。(2)内部审计的独立性不足。内部审计部门只有独立于其它职能部门，才能独立、客观、公正地发挥其职能。62.32％的被调查单位的内部审计部门都是独立设置的，这在一定程度上保证了内部审计的独立性。但同时也应注意到内部审计的独立性还不足。56.53％的被调查单位的内部审计隶属于行政正职或分管副职，而只有19.82％的被调查单位的内部审计隶属于董事会、监事会或者审计委员会等层次比较高的部门。内部审计独立性的不足，影响了内部审计在风险管理中应有作用的发挥。(3)内部审计人员结构不合理。我国内部审计的人员结构比较单一，绝大部分是会计、审计人员。在被调查的内部审计人员中，48.43％出身于会计专业，27.99％出身于审计专业，只有10.13％出身于管理专业，以及0.74％出身于计算机专业。人员结构不合理，使得内部审计难以履行监控风险管理的职能，更别说为风险管理提供咨询服务。(4)内部审计范围狭小。内部审计人员结构的不合理，导致了内部审计范围的狭小。在被调查单位中，69.57％经常进行财务收支审计，66.67％经常进行经济效益审计，72.46％经常进行经济责任审计，只有7，25％曾经开展过风险管理审计，没有一家单位对风险管理经常进行审计。(5)内部审计方法落后。内部审计在开展审计业务时，使用的审计方法比较落后。66.67％的被调查单位采用账项基础内部审计24.64％的被调查单位采用控制基础内部审计，只有8.69％采用风险基础内部审计。审计方法的落后严重制约着内部审计在风险管理中的应用。

二、我国企业内部审计风险管理的意义及定位



(一)企业内部审计风险管理的意义主要体现在以下方面：(1)有利于进一步改进公司治理。不同的经济学观点对公司治理问题具有不同的解释，但无论是契约理论提及的不完备契约，还是信息经济学提及的信息不对称，或是委托代理理论提出的代理问题，其实质都属于风险问题，都是使企业目标元法实现的各种可能性事件。而针对这些可能性事件的管理，即风险管理，可以被认为是公司治理的核心。而从内部审计来看，通过加强对风险管理的评估和咨询，为审计委员会、董事会提供真实有力的报告证据，使股东和潜在利益相关者获得尽可能充分的信息。这自然增加了内部审计的服务职能一改进公司治理。因此，内部审计与风险管理的有效结合必将进一步改进公司治理，提高企业管理效率。(2)内部审计自身生存和发展的渴求。内部审计对风险管理的介入，使内部审计在企业中成为一个特别重要的角色，也将其在企业中的作用推向了一个新水平。同时，内部审计采用关注风险的审计方法，其报告更容易被接受，管理部门也更容易理解内部审计存在的价值，它可以帮助内部审计渡过正在影响整个职业的价值危机(Value Crisis)。正因为如此，IIA才一直积极倡导内部审计参与风险管理，把风险管理作为内部审计的重要领域直接写入了内部审计的定义。(3)内部审计参与风险管理的独特优势。内部审计部门处于企业董事会的下属位置，是不直接参与经营活动的高层次监督部门，因而在企业风险管理中具有独特的优势。第一，能够客观地、从全局的角度管理风险。风险在企业内部具有感染性、传递性、不对称性等特征，即一个部门造成的风险或疏于风险管理所带来的后果往往不是由其直接承担，而是会传递到其他部门，最终可能使整个企业陷入困境。因此对风险的认识和防范、控制需要从全局考虑，而各业务部门由于其局限性很难做到这一点。但内部审计部门不从事具体业务活动，独立于业务管理部门，这使得它们可以从全局出发、从客观的角度对风险进行识别，及时建议管理部门采取措施控制风险。第二，控制、指导企业的风险策略。由于内部审计部门处于企业的董事会、总经理和各职能部门之间的位置，内部审计人员能够充当企业长期风险策略与各种决策的协调人。其通过对长期计划与短期现实的调节，可以调控、指导企业的风险管理策略。第三，内部审计部门的建议更易引起重视。尽管许多大型企业设有风险管理部门，但它属于管理部门的一个职能部门，向总经理负责和报告，不具有独立性，其意见有时会屈服于管理当局的压力。例如其风险管理部门对某投资项目分析后发现风险太大不适合投资，而总经理好大喜功，他会力促项目的实施，这使得风险管理部门的作用受到限制。而内部审计部门独立于管理部门，其风险评估的意见可以直接报告给董事会，这自然会加强管理当局对内部审计部门意见的重视程度。(4)能保证审计目标与企业目标相契合。传统内部审计通常采用“控制-风险÷目标”的路线，即直接测试内部控制，考虑内部控制是否有效，而风险的太小仅用于表明控制的薄弱与健全环节，从而实现防弊或兴利的目标。其结果是不断向管理层建议增加控制点或加强控制，随着时间的推移，控制点会越来越多，审计业务越来越繁琐缓慢，甚至出现多余控制阻碍各项程序正常运转的情况，因而无法与企业目标直接相关联，导致内部审计无法证明其价值所在。内部审4t@与风险管理后，采取的是“目标一风险_控制”的路线，首先确认企业目标或某项交易的目标，然后分析对这些目标产生影响的风险，确定审计风险水平和审计重点，提出风险防范和控制建议，最后通过后续审计，测定风险是否得到有效防范和控制。这样审计建议可以直接针对企业实现目标过程中面临的主要问题和风险。内部审计的咨询职能充分体现内部审计的能动性及增值目标，并且将事后的反馈
审计；在人员配置上，较少重视自身发展的内在要求，行政配置较多，造成人员素质较差且结构不合理。所有这些都严重阻碍了内部审计职能的有效发挥，甚至直接影响了内部审计的发展。我国加入世贸组织已有几年，内部审计的发展无论是从与国际内部审计接轨，还是从我国内部审计自身作用、地位的提高及领域的拓宽来讲，我国的内部审Ct*业都面临着大的挑战。而目前最关键的是内部审计的定位尚未明确，只有搞好定位，一系列问题才能得以解决，才能应对国际内部审计和惯例要求的挑战。其次，理顺内部审计管理体制。企业内部审计机构应坚持两条原则：一是独立性原则。这是设立内部审计组织机构最重要的原则。在这个原则指导下，内部审计组织机构独立行使审计职权，不受任何人员和有关职能部门的干预，以体现审计的客观性、公正性和有效眭。国际内部审计师协会在《内部审计实务淮则》的一开始就强调：内部审计师“必须独立于他们所审核的活动”，“独立性可使内部审计师提出公正的不偏不倚的鉴证和评价，这对于正确的审计工作实施是必不可少的”。二是权威性原则，主要体现在内部审计组织机构的地位和设置层次上。实践表明，内部审计的组织地位和作用的发挥是相辅相成的。一方面，作用的扩大为内部审计赢得较高的组织地位创造了机会；另一方面，组织地位的提高，独立性的增强，又为内部审计人员卓有成效地履行职责，发挥内部审计的职能作用提供了条件。另外，内部审计机构要有二定的处罚权，这样才能充分体现内部审计的权威性。第三，扩大内部审计的领域。传统的内部审计擅长于企业经营过程中内部控制的测试，然而，风险管理要求内部审计部门关注企业运作中最为复杂的、风险最大的方面，如战略计划、重要投资决策、兼并收购、合资经营、新产品开发等管理当局关心的问题。强调全局观念并突出重点，综合考虑企业面临的全部风险，包括当前的风险和未来的风险，用内部审计的服务推动企业管理当局对风险暴露和管理的理解和关注，为风险管理和控制系统的完善作出贡献。第四，加强职业组织的导引作用。HA确定每年5月份为“国际内部审计关注月”，其开展这一活动的一些新观点和理论，对指导我国内部审计很有借鉴价值。中国内部审计协会要积极引导和促使我国内部审计部门参与风险管理，积极介绍国际上内部审计参与风险管理的经验和案例，提供可资借鉴和参考的基础；积极制定与参与风险管理有关的准则和指南，以指导内部审计有效地介入风险管理；促进和推进内部审计人员的国际交流，选派具有一定风险管理知识的内部审计人员到内部审计介人风险管理比较成熟的企业去学习。内部审计的根本出路在于其模式由“监督”向“服务”的转变。内部审计人员首要的身份应该是企业的顾问，而不是警察。内部审计工作只有给企业带来价值才有意义，才能被企业领导所重视。由“监督”导向型向服务导向型转变并接轨是我国内部审计的根本出路。最后，提高内部审计人员的素质。在人员知识结构方面，必须认识到内部审计师是复合型的专业人才，要求综合能力较强、知识面较广。要有效地协助企业进行风险管理，必须改变他们现有的知识结构。因此，应定期对内部审计人员进行信息技术、风险管理技术、金融创新等方面的培训，以保持其知识的不断更新。主要途径有：我国内部审计协会应积极举办与风险管理有关的培训班，增加内部审计人员风险管理的知识；企业内部管理部门应积极组织内部审计人员学习风险管理知识；参与企业的风险管理，在实践中学习和积累风险管理的经验；鼓励更多的内部审计人员参加IIA举行的国际注册内部审计师考试(CIA)。