随着我国市场经济的不断发展，如何使企业完善自身的内部审计控制制度,加强审计风险管理以应对日趋复杂的市场风险，已经成为企业管理者和研究者共同关注的一个课题。在国外，基于风险管理的审计内控和实务建设已日趋完善，而我国审计风险导向的内部审计控制制度的建设还处于起步阶段，所以，加强基于风险管理的审计内控和实务建设是我国企业亟需解决的问题。本文笔者从内部审计控制以及风险管理的内涵入手，阐述风险管理与内部审计控制之间的关系，并探讨基于风险管理的审计内控和实务建设，同时分析了我国企业的现状，详述我国企业的风险管理和审计内控的建设。

一、内部审计控制的内涵

内部审计控制，是某个组织设计并同时实施的程序，目的在于为完成该组织的目标提供合理的保障。内部审计控制所提供的保障有：保障经济活动有效地进行以及组织财产的安全和完整性；保证对外界提供完整真实的财务报表；保证企业能够防止、发现并纠正舞弊与错误的现象；保证企业的合法经营。内部审计控制是由企业的董事会、经理层、监事会以及企业的全体员工共同实施的，目的在于实现公司控制目标的管理过程。

企业的内部审计控制受企业的性质、管理水平和制度等因素的影响，这就造成了内部审计控制的发展必然由经济的进步和社会的发展而决定。

二、风险管理的内涵

企业的风险管理是企业管理的一个过程。风险管理由企业主体的董事会、管理层以及企业的其他人员共同实施，并将管理应用到企业的战略制定中。目的在于识别可能会使企业受到影响的潜在的事项，并对企业的风险进行管理，将风险限制在企业的风险容量之中，为企业实现目标提供有效的保证。

三、内部审计控制和风险管理的联系

目前普遍认同的内部审计控制和风险管理有以下几种关系：内部审计控制是风险管理的有效组成部分；内部审计控制包含有风险管理；风险管理与内部审计控制之间是等价关系。本文结合经济环境变化对企业的影响，辩证地分析了内部审计控制与风险管理之间的联系。

（一）内部审计控制和风险管理的不同

在经济发展的初期，风险管理处在传统的风险管理阶段，而内部审计控制也处在内部审计控制的整体框架之中，风险管理和内部审计控制是相互独立的。在这一时期中，内部审计控制作为企业的制约系统，来对可能会影响企业利益和经济目标的潜在的风险进行有效的防范，以达到保护企业资产的目的。内部审计控制较为注重财务信息方面的控制，对企业外部的宏观环境的变化等非财务信息却没有关注。在这一时期，内部审计控制和审计只能防范风险，而不能分散企业风险。

由于市场经济的不断发展，市场竞争的日益激烈，使企业的发展环境变得复杂多变，企业的风险管理受到越来越多的企业管理者和经营者的重视。企业的风险管理是企业对于自身在发展和经营中的不确定因素进行分析和判断。在传统的风险管理的阶段，企业的风险管理只关注一些纯粹的风险，如自然灾害的因素等。风险管理也只起到了减少实质性损失的目的。因此，在初级阶段的企业发展中，内部审计控制与风险管理的侧重点不同，是企业中两个不同的、独立的管理方向。

（二）内部审计控制与风险管理的融合

随着市场经济和经济技术的发展，促使内部审计控制和风险管理逐渐地融合与统一。企业对自身经营中的风险因素的控制和对竞争中机会的把握提出了新的要求，同时，对风险管理中的风险和机会的分析判断也提出了新的要求。企业的内部审计控制进入了整体的框架体系，而风险管理不仅要求规避风险，还要求对企业的资产保值和增值进行控制，对企业经营过程中的发展机会进行控制。企业的经营者不仅要在经营的过程中把握机会，更要注意机会所带来的风险，这就要求企业经营者在把握发展机会的同时，对所带来的风险进行控制。因此，内部审计控制和风险管理在企业的发展成熟阶段是逐渐融合和统一的。

（三）内部审计控制和风险管理的划分

风险管理和内部审计控制应当是统一融合的，结合的部分主要是管理和控制的分析方法及部分具体措施。内部审计控制和风险管理必须要进行原则的划分，以便体现内部审计控制与风险管理的本质，确定企业的目标，明确问题和风险的解决途径，提高企业管理的效率。根据风险的内容，可以对其不同的类型进行管理。将常规性的风险归入内部审计控制中；非常规性的风险，在内部审计控制的范围中，要实施对于非常规事件的处理方法，将风险降低至可以接受的水平。而对于一些不确定的事件，则需要归入风险管理的范围中，来弥补内部审计控制工作的不足。在实际的企业经营活动中，经常会遇到大量的混合型事件，这就需要将这些事件尽量转换为常规事件，以便纳入到内部审计控制的范围中。因此，在内部审计控制的范围中要进行充分的考虑，预防、控制这类事件的发生，并制定解决这类事件的方法。

对企业的风险管理和内部审计控制进行划分，在一定程度上起到了加强企业经营管理的针对性和提高企业经营管理效率的作用。内部审计控制的实质是对较为稳定的经营的管理，注重通过控制的手段实现企业的管理目标。而风险管理的实质是对较为特定的经营事件和不确定的因素进行判断和决策，使风险和机会所带来的效益最大化。划分两者的关键是将企业经营中的不确定的、突发性的因素纳入风险管理的范畴，而将具有一定持续性和稳定性的问题纳入内部审计控制的范畴。这样，以内部审计控制和风险管理相结合的方式来控制企业的经营，实现企业管理的目标。有效的内部审计控制体系，只可以实现全面而科学的企业管理，并不是企业实现经营目标的绝对保证，而风险管理的重要内容则是在风险发生后制定决策和处理的措施。内部审计控制与风险管理相辅相成才能使企业把握住机会，规避风险，实现其经营目标。

四、基于风险管理的审计内控

基于风险管理的审计内控，是将内部审计控制的方式和特点结合企业的风险管理，进行进一步的发展和完善。风险管理，是对企业自身在发展和经营中的不确定因素进行分析和判断，同时对经营中较为稳定的事件进行决策，使风险降低到可以承受的水平；在较低的风险范畴内，把握企业的发展机会，实现企业效益的最大化。将企业的内部审计控制建设结合在企业的风险管理中，实质上是保证了企业内部审计控制的有效性，保证企业的健康发展。企业的内部审计控制是内审部门根据国家的相关法律、法规，对企业财务管理的内部控制的有效性、完善性和健全性进行审计监督的活动。通过企业的风险管理，可以分析和判断企业在财务方面的风险，使企业内部审计控制得以在较为平稳的财务环境中进行，可以使审计内控改善企业的财务管理，提高了企业财务管理的工作水平和工作效率。

审计内控工作需要企业管理人员依据管理经验和相关知识对企业的经营活动进行判断，因此存在判断失误引起严重经济后果的审计内控风险。内部审计控制的质量指企业内部审计控制的工作及其结果的好坏程度。内部审计控制是企业生存与发展的主要条件，其控制的质量关系到内部审计控制工作的作用和企业未来的发展。而内部审计质量控制则是指企业内部审计工作的管理部门对内部审计工作的具体内容及范围进行监督、协调和综合的经营活动。

企业的风险管理和企业的内部审计控制之间具有辩证的关系。通过运用各种管理风险的方法和手段，可以对内部审计的风险进行有效的控制和降低，同时能够提高内部审计控制工作的质量。内部审计控制的工作质量越高，企业所面临的风险也就越小。而内部审计控制的工作质量提高，说明公司的财务人员在进行审计内控的业务中，以合适的审计程序，保证了财务人员应有的谨慎和规范，并对公司的财务事项进行了准确的判断。反之，企业的审计内控工作的质量越低，则意味着企业面临的风险越大。

五、加强我国企业审计内控的实务建设

由于我国市场经济的快速发展，如何建设基于风险管理的审计内控制度和方法，加强我国企业财务内部审计控制，是目前亟需解决的问题。

企业在实施具体的审计内控之前，首先要对企业经营事项的审计内控相关的法律、法规和国家的相关政策进行熟悉和了解，在充分了解审计内控部门情况的基础上，根据审计内控的目的，来确定进行内部审计控制的部门范围和经营重点。其次，要编制严谨的内部审计控制计划，并注意审计内控工作中的重要原则的运用，在对企业部门的基本情况进行了解的前提下，对内部审计控制的体系进行初步的评价。同时，要进行企业的审计风险的识别，认识风险并找出可能的风险点，对可能导致风险的各种因素进行分析，进行风险管理体系的评估，分析风险的可能性和风险对内部审计控制工作质量可能会产生的影响的程度。然后根据企业风险评估的结果制定风险的应对措施，在最大程度上规避风险，减少给企业带来风险可能性的经营活动。

企业的内部审计控制的相关机构应当建立并健全各项管理的规章、规程，并严格按规定执行管理。内部审计控制部门要严格执行审计内控工作的分级复核制度，以便减少及消除人为的审计误差。管理人员应当及时发现并解决内部审计控制过程中遇到的审计问题，保证审计内控工作顺利进行，降低企业的管理风险。

企业的内部审计控制的风险管理，主要来自于企业自身的财务风险和经营风险。所以，审计内控人员应协同企业的管理层进行对于企业的风险控制和风险管理，同时应建立起适应企业自身的风险评估机制，以降低企业内部审计的风险。风险评估，即结合企业自身重大的经营决策，在企业预期的状态下，对方案实施的结果进行风险的评价。在进行风险评估的过程中，应注重向企业管理层说明企业可能面临的风险的性质和风险的强弱，便于企业管理层采取相应决策，以达到回避和降低风险的目的。建立企业的风险评估机制，相关的审计内控人员要根据企业的经营条件、战略规则、决策目标以及未来的企业经营状况，与企业的管理层充分交流，确定风险性质、大小和所涉及的范围，并由此确定审计内控的范围，确定重点审计的对象和应采取的审计方法。另外，企业应当收集财务风险和经营风险的相关资料，确定企业项目风险的概况，同时制定企业年度审计的工作计划，并提交审批。最后，在具体实施项目的阶段，要评价项目实施所可能产生的风险和风险控制的结果，提出利于风险管理的有效建议。

六、结论

企业的内部审计控制和风险管理不能完全地替代。内部审计控制的范畴是日常经营的事务以及实现经营目标的系统保障，只能在一定的范围内进行风险的防范；而风险管理是针对发生风险的管理，是经营过程中的特殊程序。基于风险管理的内部审计控制是企业财务管理内部控制的重要发展，只有将审计内控和企业的风险管理结合在一起，才能对公司的财务进行有效的、安全的管理。因此，企业和事业单位等都应当建立和健全内控制度，将决策的风险降低至可以接受的水平。通过了解内部审计控制与风险管理之间的联系和区别，根据划分的不同目标，以不同的方法和程序进行处理，使针对于内部审计控制的内部审计、控制审计与针对风险管理的专项审计共同开展和进行。