内部审计与风险管理的关系范文

导语：如何才能写好一篇内部审计与风险管理的关系，这就需要搜集整理更多的资料和文献，欢迎阅读由公务员之家整理的十篇范文，供你借鉴。

内部审计与风险管理的关系

篇1

关键词：风险管理内部审计

一、内部审计与企业风险管理研究文献综述

我国企业实行内部审计制度已有20多年的历史。在这20多年的实践中，既积累了丰富的经验，也存在着一些困难和问题，尤其是很多企业并未意识到内部审计可以参与到企业的风险管理过程当中，而付诸实践者更是少而又少。内部审计参与风险管理是内部审计的最新发展方向，这不仅为内部审计的自身发展提供了契机，而且有利于企业在市场竞争中防范风险，取得优势地位。

二、内部审计和风险管理界定

（一）内部审计

企业的内部审计是从19世纪中叶开始，伴随着资本主义经济的发展和企业规模的扩大而逐步兴起的。

我国审计署在2003年3月4日的《审计署关于内部审计工作的规定》中指出：“内部审计是独立监督和评价本单位及所属单位财政收支、财务收支、经济活动的真实、合法和效益的行为，以促进加强经济管理和实现经济目标”。

我国内部审计的内容随着国家方针政策和企业实际情况而改变，不同时期，内部审计的侧重点不同，经历了以财务收支审计为主、在注重财务收支审计的同时，更加关注企业经济效益审计、以经济责任审计为主，在关注财务收支的合规性和企业经营效益性的同时，加强对业务控制和管理控制的评审、对企业的内部控制系统进行评审，以保障企业内部控制系统的健全性和有效性等四个阶段。

（二）风险管理

风险管理较为全面而又确切的定义，最早是由美国学者威廉斯和汉斯提出的。他们在其著作《Risk Management and Insurance》中指出，风险管理是通过对风险的识别、衡量和控制而以最小的成本使风险所致损失达到最低程度的管理方法。美国学者克里斯蒂（James C. Cristy）认为风险管理是企业或组织为控制偶然损失的风险，以保全所得能力和资产所做的一切努力，另外两位美国学者威廉斯（C. Arthur Williams. Jr.）和理查德.汉斯（Richard M . Heins）认为，风险管理是通过对风险的鉴定、衡量和控制，以最低的成本使风险所造成的损失控制在最低程度的管理方法。70－80年代以后，风险管理迅速发展。

三、内部审计与风险管理的关系分析

（一）内部审计与风险管理有机结合的逻辑分析

在现代企业中，由于所有权与经营权的分离，所有者将资本投入企业，但不直接参与企业的生产经营管理活动，而授权董事会经营企业，即经营企业的决策权掌握在董事会手中，与这一权力对应的是董事会负有按照股东意志行事的责任，这是第一层经济责任关系。这一关系的存在，使得对承担责任者的责任履行情况进行监督成为必然。在董事会做出相关决策后，董事会聘任的经理人作为执行机构，拥有授权范围内的具体经营管理权，这些权力的拥有也对应着相关责任的承担――切实执行董事会的各项决议，高效组织企业运营，给企业带来尽可能多的收益。这一权责关系的对应实际上构成了公司的第二层经济责任关系。这一层经济责任关系的存在也使得对其责任履行情况进行鉴定成为必然。内部审计的本质是确保受托责任有效履行的管理控制机制。

(二)内部审计与风险管理有机结合的条件分析

国际内部审计师协会(CIA)执行主席张绍普先生认为：内部审计就是风险评估师，内部审计的职能是对整个管理系统进行分析评估，促进完善内部控制。未来的审计事业是建立在风险评估的基础上，作为审计师应在风险高的领域去检查，成为管理风险评估的专家，保证管理系统的有效运行、财务信息的及时准确、投资决策的正确、经济活动的合法。IIA主席伍顿安.德森（2004）指出：内部审计在风险管理中的角色和作用有两个方面：一是协助风险估算程序（企业风险的估算不是单靠内部审计部门就可以完成的，需要内部审计部门协助其他部门共同对企业风险进行评估）；二是对风险管理程序的评价，对风险管理的恰当程度做出保证。

因此，内部审计部门参与风险管理必须同时具备以下两个条件：

第一，内部审计部门的独立性与客观性。

应使内部审计组织直接受单位最高管理层的领导。因为这样的机构设置能使内部审计人员无论在收集信息，进行风险分析上，还是在按风险大小选择审计项目上，都会从单位的整体利益出发，同时，这也使得内部审计的工作不受其他部门的干扰，为内部审计机构实施审计程序提供权利上的保证。

第二，内部审计人员的胜任能力。

内部审计不再是对过去的评价，应该洞察风险，评估风险、寻找机会，成为增值业务的推进器。内部审计参与风险管理与以往各阶段相比，对内部审计人员的要求更高。美国大型百货公司JC Penny的内部审计经理、IIA1999~2000年度主席约翰逊（Howard Johnson）认为，在风险导向阶段，内部审计人员必须具备以下七个品质：1.具有广博的知识。了解组织、行业境况与竞争情况、特定机能和流程与整个组织的关系，同时必须善用信息科技分析有关资料。2.化被动为主动。在多变环境下主动确认、分析风险，寻找问题所在，寻找服务机会。3.年度审计计划应关注现在及未来，具有前瞻性和某种程度的弹性。

第三，内部审计与风险管理有机结合的案例分析：国内H公司内部审计部门参与风险管理活动的案例

1. 事项：(1)NOKIA公司一直是H公司的芯片供应商。(2)DAA公司并未与H公司建立合作关系。DAA公司的芯片在某些国家是禁用的。为了打开销售渠道，DAA公司采取了以下迂回策略：①私下与H公司相关的开发人员进行联系，让开发人员在研发过程中试用这种芯片； ②向研发人员打听到了H公司从NOKIA公司购买这一芯片的价格； ③口头承诺给H公司一个大大低于NOKIA公司的价格。DAA公司的芯片的确性能不错，开发人员认为完全可以取代NOKIA公司的芯片，于是在开发产品中计划采用DAA公司的芯片。

2. 由于可能要更换芯片供应商，H公司内部审计部门向产品开发部了解相关情况，并设计了风险管理过程，如下表：

3. 内部审计部门根据风险管理过程进行的风险管理如下表：

首先，H公司内部审计部门了解到本公司可能要使用另外一家公司提供的芯片，由此可能中断与NOKIA公司的长期合作关系，此项行动很可能给公司带来潜在的风险。因此，内部审计部门设计了风险管理过程的图表报送董事会并参与风险管理的过程。①内部审计部门对潜在风险进行了分析与识别，此项行动可能带给公司法律风险。风险的来源是： DAA公司没有兑现他所口头承诺的芯片的低价格。②确定了可能的风险后，内部审计部门对风险进行了评估，把风险的等级定为5级。并对风险进行描述：如果DAA公司不兑现口头承诺，本公司买入的芯片价格就可能高于DAA公司口头承诺的价格，而没有享受到低价格的优惠。对于风险的处理，内部审计部门提出建议：提前通知NOKIA公司，H公司要中断与其的合作关系，并和DAA公司签订合同，规定相关的权利和义务，并且确定了风险责任人是公司的采购部门。

案例带来的启示：

1. 内部审计参与企业风险管理是内部审计的最新发展方向，内部审计参与企业风险管理对企业而言具有重要现实意义。因此，企业管理层要高度重视内部审计作用的发挥，建立、健全企业内部机制，使内部审计部门积极参与到企业风险管理的过程中。

2. 由本案例可以看出，企业在运营过程中，可能遇到诸多风险，如法律风险、运营风险，但企业业务部门可能并未察觉潜在的风险，这就需要内部审计部门参与到企业日常运作当中去，去发现问题，及时解决。

3.过去以及现在，很多企业的内部审计部门对风险的关注主要集中在内部控制领域，然而，在风险日益增加的新经济时代，内部审计仅通过内部控制来关注风险是远远不够的，内部审计应该深入到风险管理的第一线，进行风险分析、确认，揭示关键性的风险。

四、内部审计在企业风险管理中的作用

(一)内部审计在风险管理中的识别与检查作用

所谓风险识别是指对企业所面临的以及潜在的风险加以判断、归类和鉴定风险性质的过程，换言之，就是要确定企业正在或将要面临哪些风险。内部审计部门和人员应该对风险识别过程进行审查与评价，重点关注企业面临的内、外部风险是否得到充分、适当的确认，即企业所面临的主要风险是否均已被识别出来，并找出未被识别的主要风险。

(二)内部审计在风险管理中的管理与协调作用

在企业的组织架构中，内部审计机构一般都处在企业的董事会、总经理和各职能部门之间的位置（内部审计机构受董事会下设的审计委员会的直接领导，独立于总经理和各职能部门），正是由于这种特殊的位置使得内部审计人员能够充当企业长期风险策略和各种战略决策的协调人。

参考文献

1. 卢才武.孙庆文.奕晓慧.企业风险管理应对策略谈，经济论坛，2004年第2期

2. 朱荣恩.贺欣.内部控制框架的新发展――企业风险管理框架――COSO委员会新报告《企业风险管理框架》简介，审计研究，2003年第3期

3. 王志楠.加强审计项目计划管理的思考与实践，审计研究，2005 总第125 期

篇2

摘要良好的风险管理,要求管理者能够有效地识别、报告风险暴露情况,使企业的最高管理层能够及时有效地了解所面临的各类风险,从而迅速做出应对措施。本文重点分析了风险管理方面存在的问题和改进的建议，提出建设通过加强内部审计和信息化建设促进风险管理水平的提高。

关键词企业风险管理信息系统

一、风险管理信息系统概述

（一）风险管理信息系统的概念

风险管理信息系统的概念30年前在国外出现，是一个企业开展全面风险管理工作的动态操作平台和集成的信息系统。它适用于大中型企业在战略层面和业务层面的全面风险管理并支持企业全面风险管理体系各组成部分的运行，其功能涵盖了风险管理全部流程，从初始风险信息的采集、加工和更新维护，风险识别、风险分析和风险评价，到风险管理策略和解决方案，风险监控、信息反馈和改进。

（二）国内企业风险管理信息系统现状

目前国内企业风险管理信息系统的现状是全面风险管理信息系统并没有建立；仅高风险行业的风险管理信息体系建设相对比较健全，但并不完善；风险管理信息系统功能未全面兼容；在定性风险方面未用信息技术进行风险管理，仅对部分定量风险进行分析和管控；企业未建立全面风险管理信息系统。

二、存在的问题与解决方案

（一）风险管理方面存在的问题

1.风险管理理念尚未全面确立

企业风险意识淡薄，管理者存在着重业务、轻风险管理的思想。当企业业务发展与风险管理有关要求相悖时，往往以各种借口或理由进行变通或回避，致使企业内控机制有效性无法发挥。

2.风险管理制度有效性不足

企业风险管理体系存在“形似神不似”的问题，企业虽然学习、引进了部分先进风险管理制度、方法，但却缺乏发挥这些风险管理制度有效作用的配套机制，在具体操作中往往不能达到预期效果。

3.员工风险意识淡薄

企业大多数员工对于风险管理工作仍然停留在“要我做”的阶段，并未真正理解风险管理对于降低企业经营风险、实现企业整体价值的重大意义；认为风险管理仅是企业管理层、财务部门、内部审计部门和风险管理部门的职责，跟普通员工关系不大。

（二）信息系统方面存在的问题

1.信息化水平不高

企业信息化水平不高，导致信息在传递过程中发生了缺漏或歪曲，导致最终到达的信息不完整、不准确。多数企业风险反馈机制都或多或少地存在信息滞后的现象，公司高层难以及时了解企业即时的风险信息情况，从而大大影响了决策的效率、效果和质量。

2.系统自身的设计与控制问题

目前，国内企业已经逐步进入信息化阶段，企业信息系统也正在普及，部分企业还专门购买或设计了用于风险管理的信息系统。但这些软件系统的设计和控制本身仍然存在一定的问题和不足。

3.数据处理系统不能有效地与经营活动相结合

从经营活动中获取相关数据并对风险事项进行有效地识别、分析，是风险管理信息系统的关键。然而，我国企业信息化整体水平仍然较低，目前还无法较好地做到风险数据的实时采集、加工、整理和报告。

三、解决方案

（一）加强内部审计与信息沟通

1.加强内部信息沟通

企业应当通过制定全面风险管理手册，明确企业风险管理的战略和策略以及具体的风险评估方法、风险防范措施、风险控制方法和各部门、各级员工在风险管理工作中的责任。企业还应加强风险管理知识和技能的培训和教育，使每个员工都能理解企业风险管理的基本原则和各自职责，尤其应当树立企业整体风险防范意识。

2.加强对风险管理信息系统的内部审计

企业内部审计部门应当加强对企业风险管理、内部控制系统及相关信息系统的审计，及时发现风险管理信息系统存在的问题和不足，保障风险管理信息系统的有效运行，防止个别管理人员或有关部门隐瞒重要或关键风险信息的行为。作为内部审计部门的日常工作之一，内部审计工作人员应保证风险报告是充分、完整和及时有效的，也就是要及时报告对组织的关键风险领域有重要影响的风险。内部审计工作人员还要确定企业管理层对风险管理内部审计报告采取了恰当的行动，相关部门进行了认真的整改，从而使风险得到有效的管理。

3.规范风险信息披露，提高信息透明度

会计系统是为风险管理信息系统提供数据的重要来源。因此，加强风险管理信息系统建设的一个关键问题就是完善会计信息系统，提高会计信息的透明度。一方面，应当对企业现有的财务会计制度进行完善，使之在关注过去有关信息的同时也对未来信息进行关注；另一方面，在财务报表附注中加强对企业面临的风险信息的披露，包括企业的风险管理战略、风险管理的目标及风险管理策略、企业管理层对风险的识别和分析、拟采取的风险应对措施等，以提供更充分的风险信息。

4.加强信息系统自身的建设与控制

风险管理信息系统的软件开发商在开发企业管理软件时，应当注重数据采集、风险识别、风险分析与评价乃至模拟、辅助决策等风险管理相关模块的设计。而企业则应当重点关注风险管理系统软件系统对自身的适应性，是否符合企业实际，是否企业自身经营特点，并根据企业实际要求软件开发商进行符合企业实际的个性化设计或对通用软件进行必要的二次开发。

（二）建立适应风险管理信息系统的内控制度

建立适应风险管理信息系统的内控制度首先要梳理现有的管理和业务流程，必要时，建立相关的流程。要建立符合实际需要的风险管理信息系统，就要不断完善法人治理结构，为全面风险管理信息系统的建设提供一个良好的内部控制环境；不断加强和完善会计核算体系，建立一个运营更加有效的会计信息系统和会计核算管理系统；财务部门内部应加强稽核工作，同时与其他部门密切配合开展风险防范和管理工作；加强内部控制的信息化建设。

（三）加强信息化建设，提高风险管理水平

1.建立风险管理委员会，形成风险管理良性机制

要增强风险管理的独立性和有效性，就要完善公司风险管理结构，在董事会中下设风险管理委员会，根据企业确定的任务或预期，制定战略目标，选择战略并确定与之相关的其他目标并在企业内部各部门层层落实。

2.设立专职部门负责风险评估

提高稽核或内审部门在企业的地位，赋予这些部门专职进行风险评估的职能，同时加大对风险管理监督控制的力度。在全面风险管理框架中，内部控制系统是风险管理的重要环节，良好的内部控制依赖于有效地、规范地对公司所处风险的性质与范围的评价。

3.营造科学认识风险的内部环境

企业的风险管理牵扯到企业各个层面的员工，每个层面的员工都要通过企业内部的信息沟通渠道。良好的全员风险防范意识将更有利于企业开展各项风险管控工作。在企业全体员工中开展防范和化解风险的意识和能力培训将有助于营造企业良好的风险内部环境。

四、总结

企业风险的复杂性、多样性决定了仅靠纸面文件形式进行风险的管理是不够的。从风险影响因素的搜集到识别，再到风险的评估及程度计量，直到风险控制方法的决策，都需要运用信息技术来处理。在完善企业内控建设的基础上，加强内部审计和信息化建设，是企业提高风险管理水平的一个重要手段和渠道。有了健全的信息系统，就能够按照严格的程序对风险进行科学分析和管控控制，从而降低运营成本，增强市场应变能力，加强企业管理、堵塞管理漏洞，有效保障了企业健康发展。

参考文献：

[1]国务院国资委.中央企业全面风险管理指引.2006.06.20.[2]刘庆锋,陈思,宋晓梅.上市公司全面风险管理信息系统研究.美中经济评论.2007.7（2）:53-57.

[3].建立全面风险管理模式.银行家.2004（2）.

[4]赵会芹.风险管理信息系统的应用.中国电力企业管理.2010(9):72-73.

[5]刘宇.上市公司风险管理探析.中国注册会计师.2007(5):55-57.

[6]刘笑霞,李明辉.论企业风险管理信息系统.经济问题探索.2008(12):136-141.

篇3

【摘要】文章从内部控制与风险管理之间的内在关系入手,探讨了内部审计与风险管理中的互动关系和目标上的一致性。指出内部审计在企业风险管理中的角色是监督者,并提供保证和咨询服务。

【关键词】内部审计;风险管理;角色定位

自20世纪90年代起,西方许多大型企业内部审计部门开始对企业的风险管理进行评估与监督,以实现企业经营目标的安全性、效率性和效果性。纵观近十几年的发展历程可发现,两者之间互相融合,存在着密不可分的关系。

一、二者互动交融关系形成的现实背景

当今世界,风险无时不在、无处不在,随着时代的发展,企业所面临的风险变得广泛而复杂。企业必须谨慎地识别各种潜在风险,加强风险管理,并在风险管理方案的制定、执行、评估与监督等方面进行合理分工,以保证风险管理的效率。而在整个风险管理过程中又必然涉及多个部门的沟通和协调,这就需要一个超然、独立的组织机构予以保障。内部审计部门在企业中的超然地位以及独立评估和监督的特殊职能,正好满足了这一要求。因此,企业风险管理必然要将内部审计纳入自身体系。

随着企业所面临风险的增加,风险管理成为了企业管理的核心。由此,内部审计也借机及时进行了自身的重新定位,改变了过去只是作为企业财务监督者的定位,将自身的目标确定为向企业提供保证和咨询服务,评估和改善风险管理、控制和治理程序。这样,企业风险管理和内部审计两者各自不同的发展路线逐渐接近并找到了交点。

二、内部审计与风险管理的互动关系

(一)内部审计定义中包含有风险管理的内容

内部审计从产生到现在已经历了几个世纪,每个时期内部审计的概念都有不同的内涵和外延。国际上,内部审计已有7次定义,至今仍在不断变化,内部审计定义的发展在内部审计史上具有重要意义。

风险管理改变着内部审计的定义,也就同时改变了内部审计的职能和在企业中的价值。1993年版《标准》的序言中对内部审计的表述是:在一个企业内部建立的一种独立的评价活动,并作为对该企业的控制及经营活动进行审查和评价的一种服务。而2001年版对内部审计是如下表述的:内部审计是采用一种系统化、规范化的方法来对机构的风险管理、控制及监督过程进行评价进而提高它们的效率,帮助机构实现目标。这个定义与1993年的定义相比较最明显的变化在于将内部审计的范围延伸到风险管理,比旧定义中提及的控制及经营活动要更为广泛和深入。只有在风险管理框架中实施的内部审计才能称之为风险管理审计。显然,将“评价和改善风险管理”作为内部审计的重要工作领域,是内部审计的新发展,扩大了内部审计的领域,拓展了内部审计的广度和深度,对内部审计的重新定位,修订内部审计准则,重整内部审计流程,提高审计服务质量等提出了较高的要求。

(二)风险管理赋予了内部审计在企业中新的地位和作用

为了在企业中担当更重要的角色和发挥更重要的作用,内部审计总是在不断寻找新的对企业十分重要的领域。风险的广泛存在,使企业经理人员对风险空前重视,为内部审计发展提供了一个绝好的机会。内部审计对风险管理的介入,将会使内部审计在企业中成为一个极其重要的角色,并将其在企业中的作用推向一个新高度。正因如此,内部审计师的职业组织——国际内部审计师协会才不遗余力地倡导内部审计师进军这一领域,把风险管理作为内部审计的重要领域直接写入了内部审计的定义。

三、内部审计与风险管理目标上的一致性

风险管理的定义指出:“企业风险管理是一个由企业的董事会、管理层和其他员工共同参与的,应用于企业战略制定和企业内部各个层次和部门的,用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的,为企业目标的实现提供合理保证的过程。”风险管理就是通过对面临的各种风险的认识、估测、评价,准确把握各种不确定性,采取恰当的内部方法,以便用最低的成本获得最高的安全保障,将损失降至最低水平。风险管理通过测试、评价和控制风险因素来降低风险事件发生的概率和造成的损失,直接服务于实现企业目标。21写作秘书网

而在内部审计新定义中,已明确指出内部审计的目的是为机构增加价值并提高机构的运营效率。IIA在2001年修订的《内部审计实务标准》中,对“增加价值”一词作了如下解释:“机构的设立,是为了其所有者、其他利益方、顾客和客户创造价值和谋取利益……内部审计是在收集资料、认识并评价风险的过程中,对经营与改良时机产生了深刻的见解,这些见解可能会对机构带来诸多利益。这些有价值的信息可以咨询、建议、书面报告或通过其他产品的形式呈现出来,所有这些得传达给相应的经营管理人员。”根据这一解释,增加价值的目标应由企业的各个职能部门来共同完成,而内部审计部门作为企业的职能部门之一,也应该努力增加企业的价值;同时,内部审计部门经过收集资料、识别并评价风险的过程之后,对企业管理层及其他职能部门的见解更为深刻,而且这些见解是富有价值的,而企业管理者采纳、利用这些有价值的信息后,一方面可以借此消除各种减值因素,包括风险因素、控制漏洞、治理缺陷等;另一方面可以将这些有价值的信息应用于经营管理活动,从而达到使企业增值的目的。从这个意义上来说,风险管理与内部审计在其目标上是相一致的。

上述种种使企业风险管理与内部审计逐渐形成了你中有我、我中有你、相互依存、联动发展的紧密关系。众多企业在制定本企业风险管理方案时,将内部审计列为风险管理的一道重要防线,由内部审计对整个风险管理流程进行评估和监控;有的企业还特意安排内部审计直接参与风险管理方案的制定和执行全过程,以发挥内部审计在风险管理中的突出作用。与此同时,内部审计也将风险管理作为“为组织增加价值”的重要手段。

四、内部审计在风险管理中的角色定位

COSO在《企业风险管理——整合框架》中的“职能和责任”章节,阐明各管理层在全面风险管理中的地位和职责,并指出组织里的每个人对全面风险管理都有责任。首席执行官承担最终责任,其他管理人员支持全面风险管理的理念,促使组织在风险容量内经营,并在各自负责的领域里负责将风险降低到相应的风险容忍度内。首席风险官、首席财务官、内部审计及其他人员通常承担关键的支持性责任。组织的其他人员负责按照制定的指令和协议执行全面风险管理。这明确表明,内部审计对全面风险管理的建立并没有基本责任,这是高级管理层的责任。内部审计人员的重要角色是,帮助管理层和审计委员会监督、检查、评估、报告、建议全面风险管理过程的充分性和有效性。

IIA2001年颁布的内部审计实务准则,其实务公告——“内部审计在风险管理中的作用”指出,风险管理是管理人员的关键职责,内部审计人员应该通过检查、评价、报告风险管理过程的充分性和有效性并提出改进建议来协助管理人员和审计委员会的工作。管理层和委员会负责机构的风险管理和控制过程,以咨询顾问身份开展工作的内部审计人员可以协助机构确定、评价并实施针对风险的管理方法和控制措施。

在充分考虑内部审计的独立性与客观性的基础上,结合相关法规、报告的观点,可以看出:对整个组织的可持续发展能力,对所有者、利益相关人、监管机构和普通公众负责的是企业管理层,内部审计人员应立足于协助、帮助管理层和审计委员会履行风险管理的职责,主要职责是对整个风险管理过程进行评价,认定并评价管理的充分性与有效性,向管理层和审计委员会报告情况并提出改进管理的建议,以此保证风险管理的有效性。因此,内部审计在企业风险管理框架中首要的角色是监督者,包括对风险管理流程的评估和保证服务、对风险评估准确性的保证服务、对关键风险报告的评估和对关键风险管理的评估。按IIA的标准,内部审计的服务种类可以划分为保证服务和咨询服务,前者是一种独立评价的活动,后者是提供建议及咨询的活动。在企业风险管理中,内部审计的本质特征并不发生改变,因而它可以担任的角色也是基于这两种服务衍生而来的。除了作为监督者所提供的保证服务外,内部审计还可提供咨询服务,包括促进对风险的识别和评估、指导和协调风险管理活动、加强对风险的报告、保持和发展风险管理框架、支持建立风险管理、参与制定风险管理战略等。与此相适应,内部审计承担了咨询者、协调者、建议者的角色。

【参考文献】

[1]刘德运.内部审计原理与技术[M].北京:中国经济出版社,2006(6):25.

篇4

一、二者互动交融关系形成的现实背景

二、内部审计与风险管理的互动关系

(一)内部审计定义中包含有风险管理的内容

(二)风险管理赋予了内部审计在企业中新的地位和作用

三、内部审计与风险管理目标上的一致性

四、内部审计在风险管理中的角色定位

篇5

[关键词]内部审计；风险管理；IIA；COSO框架

内部审计是现代管理和管理控制的组成部分。IIA在《内部审计实务标准》中将其定义为是一种独立、客观的保证工作和咨询活动，其目的在于为组织增加价值并提高组织的运作效率，采用系统化、现代化的方法来对风险管理、控制和治理程序进行评价和改善，从而帮助组织实现目标。

企业风险管理是一个由企业的董事会、管理层和员工共同参与，应用于企业战略制定和企业内部各个层次和部门，用于识别可能对企业造成潜在影响的事项，并根据风险偏好管理风险，为企业目标的实现提供合理保证的过程。它参与到企业的各项活动之中，是一个过程，是实现结果的一种方式。与传统的项目风险管理相比，企业风险管理强调战略导向，覆盖了组织所有的管理层次和管理领域，方法也更为结构化和规范化。

内部审计承担了监督、分析、评价、检察、报告和改进等任务，是企业风险管理不可或缺的组成部分。就世界范围看，风险管理已成为内部审计的主要内容。IIA早就把评价和改善组织的风险作为内部审计的主要内容，其1999年制定的内部审计定义将风险管理和内部控制、公司治理并列作为内部审计的工作对象，2001年修改的《内部审计实务标准》明确要求内部审计参与风险管理和公司治理过程。我国内部审计准则中也充分考虑了风险评估作为内部审计中的一个核心概念。

内部审计为什么要与风险管理相整合，在COSO框架下两者如何结合是需要深入分析的问题。本文将对两者的关系，两者结合的意义及两者结合的方式作进一步探讨，并在此基础上研究中国企业如何将内部审计与风险管理相结合。

一、内部审计与风险管理的关系及两者结合的意义

IIA在对美国国会关于《萨班斯——奥克利斯法案》的意见陈述书中表述：内部审计、外部审计、董事会以及高层管理人员被称为有效的公司治理的四大基石。内部审计师的作用是监控、评估和分析组织的风险，审查信息及公司对法律法规的遵守情况，向董事会、审计委员会以及高层管理人员负责提供保证——风险已被分散、公司治理是有效的。内部审计以企业内部信息使用者为中心，聚焦于控制、风险管理等关键问题，通过帮助组织管理风险和提高管理效率，来增加组织的价值和改善公司的经营。

公司的治理过程是公司的利益相关主体让管理层发现风险并对其进行控制的过程，对公司风险的监控及适当地规避此类风险，对实现公司目标和保存公司价值都有直接的贡献。内部审计参与风险管理的实质就是协助公司的高层管理人员做如下工作：系统鉴别组织所面临的风险；评估这些风险对组织的潜在影响；制定控制风险的策略；评价风险管理的过程；就风险应对措施的合理性、风险监控的及时性、恰当性、有效性等信息进行有效的交流和沟通。风险管理是管理层的一项主要职责，而对组织的风险管理过程进行评估和报告通常是内部审计工作的一项主要内容。在适当情况下，内部审计师应与管理层审计委员会和董事会就与风险和风险管理实务中的薄弱环节进行讨论，当然在该过程中由管理层负责对重大风险采取针对性行动，内部审计机构负责人负责评价这些行动。风险管理作为管理层的一项主要职责，它应当确保组织中有良好的风险管理过程，并使其发挥作用。董事会和审计委员会负责监督、判断组织是否有适当的风险管理过程，以及是否充分、有效。内部审计师的职责是运用风险管理方法和控制措施，对风险管理过程的充分性和有效性进行检查、评价和报告，提出改进意见，为管理层和审计委员会提供帮助。

IIA多年来一直积极倡导内部审计参与风险管理，它认为内部审计为组织提供价值的两个非常重要的途径是对风险管理的充分性和对风险管理及内部控制框架的有效性提供保证服务。

内部审计与风险管理相结合是将风险作为内部审计的对象，打破了原来的内部审计只关心内部控制有效性的局面，在评价内部控制的基础上，对企业所面临的各种风险进行识别和分析。从另一个角度来讲，内部审计更加注重企业的未来，从影响企业目标实现的各种系统风险和非系统风险出发，就内部控制是否健全、关键的控制点是否有效控制薄弱的环节以及改进措施是否有效提出认定，来评价风险管理与控制对组织目标实现的影响程度。以风险为对象的审计在风险管理基础上又进了一步。风险审计就是在风险管理基础上审计主体通过对组织风险识别、风险评价等工作的审计，侧重对风险管理进行鉴证。

内部审计参与风险管理不仅为内部审计自身提供了发展契机，而且作为企业内的一种独立、客观的保证工作和咨询活动，内部审计是公司治理必要和有价值的组成部分，能够在风险管理中发挥独特的作用，无论是内部审计还是风险管理都能从双方的整合中提高效率，创造价值。

内部审计作为内部控制的重要组成部分，其在风险管理中发挥不可替代的独特作用。主要有以下几个方面：(1)内部审计能够从全局的角度管理风险。对风险的认识、防范和控制需要从全局考虑，但各业务部门很难做到这一点。内部审计人员从事具体的业务活动，独立于业务管理部门，这使得他们可以从全局出发，从客观的角度对风险进行识别，及时建议管理部门采取措施控制风险。(2)控制、指导企业的风险策略。由于内部审计部门处于企业的董事会、总经理与各职能部门之间，内部审计人员能够充当企业长期风险策略与各种决策的协调人。通过对长期计划与短期计划的调节，内部审计人员可以调控、指导企业的风险管理策略。(3)内部审计部门的建议更易引起重视。内部审计部门独立于企业高级管理层，其风险评估的意见可以直接上报给董事会，这会加强管理当局对内部审计部门意见的重视程度。从内部审计发挥的上述职能看，内部审计已经参与到公司治理与风险管理中，帮助组织发现并评价重要的风险因素，促进组织改进风险管理体系；评价并改进组织的治理程序，为组织的治理做出贡献；同时继续原有的对控制效率和效果的评价作用，帮助组织保持有效的控制。此时的内部审计人员是风险管理专家，通过对风险的把握来评价公司治理及

内部控制，并促进公司治理和内部控制的改善，从而实现对风险的控制。在风险管理这个统一核心下，公司治理与内部控制实现了一定程度整合，为组织增加了价值。

二、内部审计在风险管理中的角色和责任

COSO报告指出企业风险管理有四个目标(实现战略、高效运作、客观报告、遵守法则)、八个要素(内部环境、目标设定、事件识别、风险评估、风险反应、控制活动、信息沟通、监控活动)，并在企业的四个层次(企业级、部门级、事业单位级、分公司级)展开。内部审计在这一框架中作为监控活动存在，由内部机构对企业风险管理进行独立评估。IIA在2004年发表的《内部审计在企业风险管理中的角色》意见书中也认为内部审计关于企业风险管理的核心角色是就组织风险管理的有效性向董事会提供客观保证，以帮助确信关键企业风险被正确管理及内部控制系统有效运行。因此，内部审计在企业风险管理架中首要角色是监督者，包括对风险管理流程的评估和保证服务，对风险评估准确性的保证服务，对关键风险报告的评估和对关键风险管理的评估。

按IIA的标准，内部审计的服务种类可以分为保证服务和咨询服务，前者是一种独立评价的活动，后者是提供建议及咨询的活动。内部审计为整个组织成员以及组织以外的所有利益相关主体服务，其信息服务对象的需求依其所处的位置、环境及掌握信息的不同而不同。总体来讲，处于信息劣势的服务对象希望内部审计为其提供保证服务，处于信息优势的服务对象则更希望内部审计为其提供咨询服务。其中，保证服务是指为了对风险管理。内部控制或公司的治理过程提供一个独立的评价而对证物进行的客观的检验；咨询服务是咨询性的以及与委托人服务相关的活动，其性质和范围是与委托人达成一致意见，目的是增加价值和改进组织的经营。在企业风险管理中，内部审计的本质特征并不发生改变，因而它可以担任的角色也是基于这两种服务衍生的。除了作为监督者所提供的保证服务之外，内部审计还提供咨询服务，包括促进对风险的识别和评估、指导和协调风险管理活动，加强对风险的报告、保持和发展风险管理框架、支持建立风险管理、参与制定风险管理战略等。与此相适应，内部审计承担了咨询者、协调者、建议者角色。内部审计在企业风险管理中的角色不是一成不变的，而是一个逐步变化和延续发展过程。在组织缺乏风险管理程序的情况下，内部审计可以向管理层提出建立企业风险管理的建议；在组织实施风险管理的初期，内部审计能够发挥更大的协调作用，甚至直接担任项目经理；而当企业风险管理逐步成熟，运作稳定以后，内部审计就从建议者、协调者转化为监督者和咨询者。内部审计的报告关系也会影响其在企业风险管理中的角色，报告关系层次越高，独立性越强，内部审计就越能够从全局和战略角度参与企业风险管理；反之，则从局部和流程角度参与企业风险管理。

为保证其独立性，内部审计并不对建立企业风险管理体系承担主要责任，风险管理责任应由管理层承担。内部审计可以对企业风险管理提供建议、咨询和支持，但不能设定风险容忍度、强制实行风险管理流程、对风险提供管理保证、对风险问题进行决策和对风险实施管理职责的行动，内部审计对于企业风险管理的责任应当在审计章程中写明并经审计委员会批准。此外，在实践中，应注意处理保证服务和咨询服务的关系。只要内部审计执行的任务涉及履行管理职责，就应该认为与此相关领域的审计客观性受到了损害，内部审计不能就其直接协调和指导的风险管理事项提供保证服务。

三、内部审计与风险管理整合的程序步骤

(一)判明风险类别，分析风险的具体源由

企业风险多种多样，表现的形式与发生影响也是千差万别的，为了管理和控制风险，应对风险进行辨认并予以分类，从中分辨出风险的性质，以确定主要风险、次要风险、关键风险、派生风险。

国外审计界对经营风险提出了多种分类模式，大致可概括为以下九类：外部经营风险(经营风险)——业务风险(经营风险)——职权风险(经营风险)——信息处理与技术风险(经营风险)——诚信度风险(经营风险)。——财务风险(投资决策风险)——业务风险(投资决策风险)——财务风险(投资决策风险)——战略风险。

在内部审计工作中，一般先从企业整体的战略目标着手，分析战略目标与企业实践的差距，明确形成差距的风险，进而分析风险的产生部门、风险的类别及其性质。

(二)在组织机构上，内审工作要与企业的各级风险管理组织相配合，开展企业综合风险管理

根据COSO的风险管理框架，一些国际会计公司提出了企业综合风险管理概念。这种管理是要求内部审计工作超越企业内部各职能部门的隔离，实行全体的、综合的和全员的行动进行综合风险管理。

在现代企业的风险控制方面，不少大中型企业一般建立三级风险管理组织，即由企业高级管理层组成的风险控制委员会作为公司风险管理的最高决策机构；公司风险控制委员会领导下的内部审计；专职风险监管部门。内部审计部门通过常规审计及专项审计评估公司风险，对公司风险管理制度进行设计以及对各业务部门执行风险控制制度情况进行定期检查，及时提示和报告潜在风险，并提出防范风险及改进工作的建议。

(三)按风险管理的要求开展内部审计

与经营风险管理相结合的内部审计，其具体要求是在企业的“经营——风险——控制——监督”过程中，内部审计充分发挥其监控实效。亦即内部审计在开展时，先由企业各层次人员明确企业经营风险控制管理的目标，在此基础上广泛收集经营决策信息、情况及风险情况，据此对各个待审项目的风险做出评价，进而确定内部审计控制风险的策略(包括规避风险、接受风险、转移风险、运用风险、减少风险)，然后运用“计划——执行——检查——行动”方式，对企业主管层、业务管理层及业务执行层进行审计。

(四)对具体项目风险、内部审计要参与事先、事中和事后三个阶段的全过程风险审查

四、内部审计与风险管理结合在中国的应用和实践

篇6

摘要：文章从内部审计在企业全面风险管理中的作用入手，分析了内部审计在我国企业的全面风险管理中存在审计内容落后、人员独立性差、人员结构单一、综合素质水平低等不足。在此基础上，提出了提高内部审计独立性、加强内部审计人员队伍建设、树立风险管理审计新理念、构建适应企业全面风险管理需要的内部审计新模式。

关键词：内部审计全面风险管理模式

中图分类号：F239.45 文献标识码：A

文章编号：1004-4914（2012）04-193-02

一、引言

从20世纪90年代后期开始，经济的全球化及网络化的发展，企业的组织结构呈现出虚拟化、集约化、专业化和扁平化矩阵式等新的商业特征。传统的风险管理模式的管理范围是局部的、管理过程是分散的，管理成本偏高而销量偏低，无法适应新形势企业风险管理的需要。许多跨国公司开始实施新的企业全面风险管理办法。2006年6月，国资委了《中央企业全面风险管理指引》，这是我国第一个全面风险管理的指导性文件，标志着我国企业已开始试行全面风险管理。2010年，我国新修订的《注册会计师执业准则》中，强调如何将风险导向审计理念全面、彻底地贯彻到整个审计工作中。内部审计作为风险管理体系的重要组成部分，也必须积极的做出相应创新，调整自身的审计目标、审计内容和审计程序，形成与企业全面风险管理相一致的内部审计新模式。因此，如何将内部审计与全面风险管理相结合，吸收传统审计模式的优点，同时也关注企业战略、绩效、内部控制等全面风险管理，如何确保企业内部审计资源有效配置、审计目标充分实现、审计效率得以提高，成为当前理论和实践工作中迫切需要解决的问题。

二、内部审计在企业全面风险管理中的重要性

2001年1月，国际内部审计师协会（IIA）重新修订并颁布了《内部审计实务标准》，将内部审计重新定义为，是一种独立的客观的确认和咨询活动，旨在增值和改进一个组织的运作。它运用系统性的专业方法来评价和改进风险管理、内部控制和公司治理过程的有效性，从而实现组织目标。从中可以看出，在企业全面风险管理的框架下，内部审计的重要性主要体现在：

1.内部审计有助于企业识别风险。内部审计模式经过60多年的发展，先后经历了控制基础审计、流程基础审计（也称为经营审计）、风险基础审计（也称为风险导向审计）、风险管理基础审计（也称为风险管理审计）四个阶段，企业风险管理设计结合了前述几个传统审计模式的优点，对影响企业经营的各种风险因素进行甄别，在对企业管理层进行风险偏好和风险容忍度调查的基础上，充分考虑企业内部客观条件、发展战略、经营目标，及外部环境制度因素制约的情况下，对影响企业目标实现的，可能产生重要负面影响的所有重要事件进行识别，确定各类风险的来源。

2.内部审计有助于企业度量风险。在对企业发展过程中可能出现的风险事件进行甄别之后，就需要对这些风险进行评估。内部审计人员的评估重点是对风险管理部门的风险衡量的恰当性进行确认，包括风险来源的类型是否全面、风险发生的概率是否客观、风险衡量的方法是否科学、风险衡量的模型是否可行等方面。对不恰当的估计应予以更正。采用的方法一般包括：调查和专家打分法、风险报酬率法、风险当量法、蒙特卡洛模拟法等。

3.内部审计有助于企业防范风险。企业风险管理部门一般采用风险回避、自留、转移、分包等措施进行风险防范与管理。内部审计可以评估风险防范措施的充分性，并在此基础上提出改进措施。主要包括，风险防范的措施是否充分、得当；风险自留的比例是否合理；风险分包的成本收益是否均衡；风险转移能否实现等方面。

4.内部审计在部门风险管理中发挥积极的沟通与协调作用。从企业的组织结构的角度看，内部审计处于企业的董事会、经理层与各职能部门之间的位置，有利于发挥其企业风险策略与各种决策的协调人角色，利用自身独立性优势，积极投身企业的风险管理体系建设。同时，组织内部不仅有内部风险，还有管理部门共同承担的综合风险，如生产部门可能面临原材料价格上涨、劳动力工资上升的风险；销售部门可能面临产品滞销、价格下跌的风险；对外贸易部门可能面临人民币汇率升值带来的汇率风险等。内部审计师可以利用自身第三方的身份，与上述各方进行积极沟通与协调，应对各部门风险所带来的综合风险。

三、内部审计在企业全面风险管理中的不足

虽然，我国早在2005年就颁布并实施了内部审计具体准则第16号――《风险管理审计》，明确了内部审计人员对企业风险管理进行审查和评价的职责。但内部审计在企业风险管理中应用的现状却并不令人乐观。2009年中华会计视野网站发起并组织了“我国内部审计情况调查”，德勤会计师事务所于2010年11月了“2010年度中国企业风险管理调研报告”。综合上述调研，发现内部审计在我国企业全面风险管理中仍存在如下方面的不足：

1.内部审计的独立性显著增强。我国的内审机构归口管理部门主要包括：由董事会（或下设审计委员会）管理的占46%，由财务总监（或总会计师）领导的占25%，由纪检监察部门管理的占21%，由财务经理管理的占8%。同10多年前相比，内部审计的独立性显著增强。且由于资金及人事的约束，内部审计一般依附于公司管理层，内部审计部门作为企业的职能部门之一，同样处于公司管理层的领导下，审计过程中，易受到相应干扰，无法做到真正的客观、公正、公平的开展工作。

2.内部审计工作仍停留在财务收支审计层面上，跟不上全面风险管理的步伐。调查显示，我国企业内部审计工作仍以传统的财务收支审计为主，内部控制审计和经济责任审计所占的比重也比较高，而只有7.25%的单位曾经开展过风险管理审计，没有一家单位对风险管理进行经常审计。

3.内部审计人员结构单一，综合素质水平不高。我国企业中的内部审计人员绝大多数是会计、审计人员，结构不合理。这部分人员的综合素质水平不高，缺少风险管理、企业战略、市场营销、信息化管理等方面的知识背景，很难履行监控风险管理的职能，更别说在全面风险管理的框架下，对企业的风险承受能力、利润目标、市场定位、控制活动进行有效监督。中华会计网校对内审人员急需进行的职业培训进行调查，发现所需培训的前五项分别是内部控制制度与评审、管理审计、计算机辅助审计、信息系统审计、公司治理结构与审计。事实上，内审人员的培训需求也正反应了其知识结构的缺失。

目前，国内多数企业内部审计的重心仍是事后评价控制，而对事前风险管理和过程管理的审计仍较少，这些都促使内部审计人员更加关注风险、关注危机，促进企业全方位构建风险防范新模式。

四、完善我国企业在全面风险管理下内部审计的建议

1.提高内部审计部门的独立性。独立性是影响内部审计有效性最重要的因素，从前面的分析中已经看出，我国大部分企业目前尚未完成内部审计的独立性建设。我们可以借鉴国际上的成功做法，设置由独立董事组成的审计委员会，内部审计机构受审计委员会和总经理双重领导，制定内部审计的规章制度，明确内部审计的地位、职责权限、业务报告程序。一方面，可以增强内部审计的独立性、权威性，更加有效地发挥监督、管理职能；另一方面，可以将经济活动中存在的风险及其采取的防范措施及时向管理层汇报。

2.多途径加强审计人员队伍建设，提高内部审计人员的综合素质。为了满足企业全面风险管理的需要，企业内部审计部门要积极改进现有人员结构，积极的吸收会计、审计专业外人员加入到内部审计部门，主要包括企业战略管理部门、风险管理部门、销售部门、生产部门等专业人员，有利于实现在全面风险管理的框架下，内部审计人员业务背景、专业背景等方面的互补。同时，需要加强对企业内部审计人员的企业文化、发展战略及技术技能培训，增强内审人员对企业经营战略、市场定位、风险识别及审计工具的熟悉程度，提升综合素质水平。

存入我的阅览室

3.树立风险管理审计监督的新理念。传统的内部审计多数合规性审计，忽略风险审计监督的作用，多是事后监督，缺乏事中、事前监督，侧重于对已经形成的漏洞和凸显的问题进行审查，而没有做到预见性的事先防范。很显然，这种监督方式是一种滞后、被动的做法，与现代企业全面风险管理的要求相差甚远。因此，内部审计应积极探索，进行主动审计，事中和事前审计，引用预期风险管理内部审计的新理念，实现内部审计职能的根本转变。

4.构建适应全面风险管理需要的内部审计新模式。内部审计模式一般包括审计目标、审计对象、审计方法和审计程序四个方面。在企业全面风险管理的指引下，内部审计要积极探索，构建新型审计模式。根据内部审计的新定义及与风险管理的关系，我们可以将风险管理内部审计目标定位在创造企业目标作用下，内部审计目标是降低风险，增加价值。这里所谓的降低风险，不仅是降低审计风险，而且包括通过风险管理审计及企业自身的全面风险管理降低企业生产经营活动中的风险。风险管理内部审计的对象是企业风险审计，主要审计类型是集金融风险管理、公司治理和内部控制审查于一体的综合审计，这有别于传统的单项审计。风险管理内部审计的方法主要包括，确定组织目标、评估企业风险、决定应审计的控制，发现企业管理中存在的问题并提出解决对策。在对风险的理解上，风险管理内部审计更多的依赖于管理层的风险偏好及风险容忍度，从而关注管理层如何计量和监控与其目标和风险容忍度相联系的业绩执行情况。风险管理内部审计的程序，也自始至终体现风险管理的主导思想，主要包括，了解企业经营风险、识别风险、评价风险控制状况，确定剩余风险，及剩余风险管理的合理性等几个环节。模式。根据内部审计的新定义及与风险管理的关系，我们可以将风险管理内部审计目标定位在创造企业目标作用下，内部审计目标是降低风险，增加价值。这里所谓的降低风险，不仅是降低审计风险，而且包括通过风险管理审计及企业自身的全面风险管理降低企业生产经营活动中的风险。风险管理内部审计的对象是企业风险审计，主要审计类型是集金融风险管理、公司治理和内部控制审查于一体的综合审计，这有别于传统的单项审计。风险管理内部审计的方法主要包括，确定组织目标、评估企业风险、决定应审计的控制，发现企业管理中存在的问题并提出解决对策。在对风险的理解上，风险管理内部审计更多的依赖于管理层的风险偏好及风险容忍度，从而关注管理层如何计量和监控与其目标和风险容忍度相联系的业绩执行情况。风险管理内部审计的程序，也自始至终体现风险管理的主导思想，主要包括，了解企业经营风险、识别风险、评价风险控制状况，确定剩余风险，及剩余风险管理的合理性等几个环节。

五、结论

我们从内部审计在企业全面风险管理中的作用入手，分析了内部审计在我国企业的全面风险管理中存在审计内容落后、人员独立性差、人员结构单一、综合素质水平低等不足。在此基础上，提出了提高内部审计独立性、加强内部审计人员队伍建设、树立风险管理审计新理念、构建适应企业全面风险管理需要的内部审计新模式。通过上述做法，有助于我国企业改进风险管理体系，提升企业的整体管理效率和经营效果，为企业最终目标实现提供参考。

参考文献：

1.陈亚萍.内部审计在企业风险管理中存在的问题和对策[J]. 中国集体经济，2011(31):165-166

2.陈凌云，纪德兰.风险管理导向内部审计模型的构建[J].中国证券期货，2011(11):73-74

3.史开瑕.内部审计视角下的我国企业风险管理[J].福建金融管理干部学院学报，2011(4):33-37

4.梁素萍.内部审计参与企业风险管理的探讨[J].商业会计，2011(26):45-46

5.谌小红，刘正军.基于整体化风险管理的内部审计研究[J]，2011(3):145-147

6.高俊鹏.浅谈风险管理与内部审计的关系[J].工业审计与会计，2011(4):21-22

（作者单位：上海高和有色金融发展有限公司上海 200234）

（责编：吕尚）

存入我的阅览室

五、结论

参考文献：

1.陈亚萍.内部审计在企业风险管理中存在的问题和对策[J]. 中国集体经济，2011(31):165-166

2.陈凌云，纪德兰.风险管理导向内部审计模型的构建[J].中国证券期货，2011(11):73-74

3.史开瑕.内部审计视角下的我国企业风险管理[J].福建金融管理干部学院学报，2011(4):33-37

4.梁素萍.内部审计参与企业风险管理的探讨[J].商业会计，2011(26):45-46

5.谌小红，刘正军.基于整体化风险管理的内部审计研究[J]，2011(3):145-147

6.高俊鹏.浅谈风险管理与内部审计的关系[J].工业审计与会计，2011(4):21-22

（作者单位：上海高和有色金融发展有限公司上海 200234）

（责编：吕尚）

篇7

【关键词】内部审计财务风险控制

随着市场竞争的日益激烈，特别是经济全球化程度的加深，企业面临的风险也日益增大，企业的生存和发展面临着更大、更严峻的考验，企业管理者对企业的风险管理的重视程度也越来越高。如何对企业风险进行管理和控制室企业管理者面临的主要问题。企业的内部审计为企业风险管理状况的审查和评定提供了依据，在企业风险管理中起到了重要作用。

一、内部审计与风险管理的关系

内部审计是企业内部具有监督和评价功能的部门，它通过对企业经营活动以及内部控制的合法性和有效性进行审查和评价，促进企业经营目标的实现。

（一）内部审计参与企业风险管理是其自身发展的需要

2000年，我国有关部门对内部审计重新定义，把风险管理写入了内部审计的范畴，内部审计是企业管理的咨询师，它能够掌握企业的发展方向，有效地帮助企业对风险进行控制和管理。内部审计介入风险管理使之成为企业发展中的一个重要角色，在企业的管理中也占据着不可替代的重要地位。

（二）内部审计参与企业风险管理是企业完善内部控制的需要

由于市场经济的全球化以及国际化的发展越来越迅速，企业面临着日益增多的企业风险，有效地减少风险是企业实现发展目标的基础和前提。作为企业中存在于管理部门之外的独立部门，内部审计具有能够纵观全局的视角。内部审计能够从影响企业实现经营目标的实现的各种风险出发，对企业内部的执行力度、控制制度以及控制薄弱环节等方面作出客观公正的评价和认定。因此，内部审计是企业风险管理的主要力量。

二、内部审计在企业风险控制中起到的作用

（一）内部审计能够发挥反馈作用，对企业的风险控制起到预警的作用

内部审计在企业风险控制中起到反馈的作用，能够有效地对企业的风险控制进行预警。企业的风险是相对于未来发展而言的，与企业的战略目标以及决策规划都有直接的关联。因此以风险管理和控制为核心和出发点的内部审计能够将风险事后的反馈延伸到风险发生前，从而实现更高效率的风险控制。另外，内部审计的咨询职能也能充分利用其主观能动性，帮助企业管理层对企业的风险管理进行控制、改进和完善。

（二）内部审计能够对企业的风险控制策略进行指导

内部审计是企业内部控制中的再控制，企业根据发展战略目标以及自身所能够承受的风险，来制定内部控制制度。内部审计人员对企业内部风险控制的焦点在于对企业风险加以强调并对企业进行的具体的风险控制活动进行评估，从而实现企业价值的增加。然而企业过度进行风险控制或者控制力度不足都很容易造成舞弊行为的发生。内部审计部门不归属于企业任何一个管理或者业务部门。因此它能够长期的对企业的风险策略和各种决策进行指导。通过对企业风险管理长期计划和短期任务的调节，实现内部审计在企业风险管理中的指导作用。

（三）内部审计能够对企业整体的风险管理进行客观的审查和评定

企业的风险具有感染性、传递性和破坏性等特点。由一个部门的疏忽而造成的风险后果往往会对企业的其他大部分部门产生消极的影响，严重的甚至能够导致整个企业都处于瘫痪状态。因此，有些部门就会不重视对风险预防方面的管理，对企业的风险管理工作带来了极其不好的影响。风险的防范和控制需要从企业的各个方面进行考虑，而很多部门由于其自身的局限性而不能掌控全局。内部审计部门不参与企业的业务活动，具有较强的独立性，因此它能够很好地统筹全局，从客观的角度对企业的风险进行辨识，提醒管理部门及时采取风险控制措施。

（四）内部审计部门的独立性决定了其风险评估的重要性

有些企业虽然也设有风险管理部门，但是它只是属于管理部门中的一个职能部门，不具有独立性，其意见有时会受到上级领导压力的影响而失去参考价值。而内部审计部门独立与管理部门之外，不受管理部门的限制，其评估意见能够直接上报给董事会，报告具有可靠性和极大的参考价值。加强企业管理层对内部审计部门意见的重视程度，有利于企业风险管理的健康稳定发展。

（五）内部审计有利于企业治理和管理现状的改善

日益加剧的市场竞争使得企业更加重视对企业的整治和管理，以增强自身的竞争力，促进企业目标的实现。内部审计不仅能对企业的风险管理的充分性和有效性提供参考依据，还能对企业的经营管理提出意见和建议，对企业的发展具有积极地促进作用。

三、结语

总的来说，内部审计参与企业的风险控制是市场环境因素和其自身的因素决定的，具有一定的客观性和必然性。从目前的发展状况来看，我国在风险管理上的研究还远远落后于西方发达国家，我国政府部门也缺乏相应的政策或者规章制度的制定，导致一些企业对企业的风险管理力度不够，风险抵抗能力下降，一旦遇到一些风险就可能面临倒闭的危险。因此各个企业都要充分利用内部审计的职能作用，积极加强企业风险管理的预测和控制，提高企业自身的竞争力，以使企业在激烈的市场竞争中立于不败的地位。

参考文献

[1] 戴福春.内部审计对企业财务风险控制[J].中国电子商务，2011（05）：12-13.

[2] 王虹.内部审计如何参与企业风险管理[J].会计之友（中旬刊），2009（10）：48-49.

[3] 宣金雷.论中国内部审计在风险管理应用中的不足及对策[J].经济研究导刊，2011（09）：78-79.

[4] 张惠霞.企业财务风险控制体系的构建[J].当代经济，2010（04）：37-38.

篇8

一、风险管理的概念

风险管理是指识别风险并设计控制风险的方法，其核心是将没有预计到的未来事项的影响控制在最低程度。对风险管理，首先，要求在组织中发现那些高风险暴露的领域，对高风险暴露点的识别要通过对组织的分析进行，这种分析既包括审计人员客观的测试，也包括主观的判断。其次，将分析的结果与认为可接受的风险水平相比较。最后，实施必要的变革，使组织的风险暴露水平与其所设定的目标相一致。风险管理所涉及的范围是十分广泛的，包括投资风险管理、外汇风险管理、利率风险管理、商品价格风险管理等。

二、风险管理是公司治理的核心

1、公司治理的概念。公司治理，从狭义的角度进行理解，是指所有者主要是股东对经营者的一种监督与制衡机制。即通过一种制度安排，来合理地配置所有者与经营者之间的权利与责任关系。若从广义角度进行理解，是指包含法律、文化等在内的有关企业控制权和剩余索取权分配的一整套制度安排，其决定企业目标的实现。

从主要功能上来说，公司治理的范围可以包括：股东、董事会——决策者；管理阶层——执行者；审计人员（包括内部审计人员及外部审计人员）——监督者；其他利益关系人（例如：顾客、供应商、债权人及员工等）——影响者等。从这个角度来讲，内部审计人员应该在公司治理中占有一席之地。因为沟通公司治理各功能主体的重要工具就是会计信息系统。因此，会计信息系统本身是公司治理结构的组成部分，而且会计信息更严重地制约和影响着公司治理结构中其他制度安排效用的高低。会计信息系统提供的会计信息的真实可靠是内外部激励机制正常运行的前提条件，而有效的审计监督制度是确保这一前提条件实现的关键。外部审计对公司财务报表进行审计，并对其公允性发表审计意见，从而起到增强会计信息可信性的作用。而内部审计处于公司内部，对于公司内部控制、管理经营活动、风险管理都有透彻深入的了解，与外部审计人员相比，内部审计对公司治理发挥的作用在层面上更为深入，在范围上更为广泛。

2、公司治理的核心是风险管理。在上述公司治理定义中，我们可以看到，公司治理这一制度安排所决定的企业目标、决策人及风险和收益的分配都围绕风险展开；风险直接影响目标的实现；而决策人对风险的控制和管理直接决定目标是否能够实现及实现的程度；治理结构中各部分的人员需要承担所分配的一定风险并获得相应的收益。另外，从解释公司治理问题产生的经济学观点来看，无论是契约理论中提及的不完备契约，还是信息经济学中提及的信息不对称，以及理论中提及的问题，这些引发公司治理产生的因素究其实质都属于风险，都是使企业目标无法实现的各种潜在的、可能发生的事件。公司治理是组织应对风险的战略反应，其职责核心就是确保有效的风险管理方案的适当性，因此公司治理中包含一些战略性的风险管理的因素。例如：公司董事会所设定的公司经营管理基调是风险偏好型或是风险规避型；再如公司高层管理当局（CEO）在经营风格、理念、管理哲学中包含的风险态度等。这些战略性风险管理因素就是公司治理与风险管理的交汇点。因此，风险管理是公司治理的核心。

三、内部审计作为内部控制的重要部分，与风险管理密不可分

1、内部控制与风险管理的联系日趋紧密。在决定内部控制政策，并在此基础上评估特定环境中内部控制的构成时，董事会应对诸多风险管理问题进行深入思考。比如：公司面临风险的性质和程度；公司可承受风险的程度和类型；风险发生的可能性；公司减少事故的能力及对已发生风险的影响；实施特殊风险控制的成本，以及从相关风险管理中获取的利益。执行风险控制政策是管理层的职责，在履行其职责的过程中，管理层应确认、评价公司所面临的风险，并执行董事会所设计、运行的内部控制政策。

2、内部审计理论的新发展。顺应内部审计理论及实务的变化，国际内部审计师协会（IIA）在1999年对内部审计重新定义，即“内部审计是用来增加组织价值和改善组织运营的独立、客观的保证和咨询活动。它以系统的、专业的方法对风险管理、控制及治理过程的有效性进行评价和改善，帮助组织实现其目标。”

这一新定义将内部审计的范围延伸到风险管理和公司治理，认为内部审计是针对风险管理、控制及治理过程的有效性进行评价和改善所必需的。

3、风险管理是内部审计的主要职责。随着风险管理导向内部控制时代的来临，内部审计的工作重点也发生了变化，现代内部审计除了关注传统的内部控制之外，更加关注有效的风险管理机制和健全的公司治理结构。在风险导向内部审计的观念下，年度审计计划与公司最高层的风险战略连接在一起，内部审计人员通过对当前的风险分析确保其审计计划与经营计划相一致，使用风险管理原则改变审核过程。风险管理成为组织中的关键流程，促使内部审计的工作重点不仅是测试控制，而且包括确认风险及测试管理风险的方法。在风险导向的内部审计中，控制仍然重要，但分析、确认、揭示关键性的经营风险，才是内部审计的焦点。

内部审计作为内部控制的重要组成部分，其在风险管理中发挥不可替代的独特作用，主要有以下几方面：（1）能够客观地、从全局的角度管理风险。风险在企业内部具有感染性、传递性、不对称性等特征，即一个部门造成的风险或疏于风险管理所带来的后果往往不是由其直接承担，而会传递到其他部门，最终可能使整个企业陷入困境。因此对风险的认识、防范和控制需要从全局考虑，而各业务部门又很难做到这一点。内部审计人员不从事具体业务活动，独立于业务管理部门，这使得他们可以从全局出发、从客观的角度对风险进行识别，及时建议管理部门采取措施控制风险。（2）控制、指导企业的风险策略。由于内部审计部门处于企业的董事会、总经理与各职能部门之间，内部审计人员能够充当企业长期风险策略与各种决策的协调人。通过对长期计划与短期计划的调节，内部审计人员可以调控、指导企业的风险管理策略。（3）内部审计部门的建议更易引起重视。内部审计部门独立于管理部门，其风险评估的意见可以直接上报给董事会，这会加强管理当局对内部审计部门意见的重视程度。

四、在风险管理目标下，公司治理与内部审计的整合

美国一个专门研究内部控制的发起人企业委员会（COSO）于2001年起着手进行企业风险管理研究，并力图建立一个类似于内部控制框架的、具有理论与实践意义的风险管理框架，其在为企业风险管理研究项目制定的目标中明确指出：风险管理框架必须和内部控制框架相协调，把控制目标的建立嵌入到某种形式的风险管理过程中去。而在内部控制方面，将领域扩展到控制环境等“软控制”要素上时，就决定了公司治理与内部控制的相互交汇。在COSO报告的内部控制定义中，特别提出“内部控制过程受组织的董事会、管理层和其他人员影响”，由此可见“软控制”因素对组织内部控制的影响是深远的。而内部控制对公司治理的影响也是巨大的。内部控制为组织的经营目标、财务目标及遵循性目标的实现提供合理保证，同样为公司治理机制的运行提供了保障。良好的内部控制有助于完善契约，减轻信息不对称的影响，并对人形成一定的控制约束，因此从一定程度上说，内部控制与公司治理的相关内容可以整合一致。而作为内部控制重要组成部分的内部审计，也不可避免地在风险管理的基础上，与公司治理的目标交汇。

在新的内部审计范式下，内部审计参与到公司治理与风险管理中，帮助组织发现并评价重要的风险因素，促进组织改进风险管理体系；评价并改进组织的治理程序，为组织的治理做贡献；同时继续原有的对控制效率和效果的评价作用，帮助组织保持有效的控制。此时的内部审计人员是风险专家，通过对风险的把握来评价公司治理及内部控制，并促进公司治理和内部控制的改善，从而实现对风险的掌握与驾驭。在风险管理这一统一的核心下，公司治理与内部控制实现了一定程度的整合，为组织增加了价值；同样，在风险管理这一统一的核心下，内部审计与公司治理实现了整合。在公司治理中，内部审计发挥着越来越重要的作用。

鉴于内部审计在确保公司内部控制制度有效运转及管理和控制风险等方面的独特作用，

篇9

关键词：内部审计；风险管理；内部控制；独立性

中图分类号：F230文献标志码：A文章编号：1673-291X（2011）09-0088-02

引言

随着全球经济一体化和信息化步伐的加快，在现代企业经营管理中，内外部环境日益复杂，企业风险日益增多，内部审计，作为企业强化管理，实现组织目标的重要手段，在风险管理中所起的作用越来越被人所重视。

一、内部审计在风险管理中的作用

（一）风险管理的概念

所谓风险指的是可能发生的损失或者伤害的意思。在我们经济生活中，公司作为最重要的经济主体之一，面临着来自内部和外部两个方面的风险。其中主要的风险包括：财务风险、汇率风险、信用风险、技术性风险、管理信誉风险、内部控制风险等。企业当然并不可能完全承受所有以上风险，相反，他们应当对风险进行系统性的预测、识别、分析，并进而采取相应的策略去应对。风险管理，指的便是以上所叙述的决定如何对待并规划项目风险的管理活动。风险管理当中包括了对风险的预测、识别、评估和应变策略。

（二）内部审计的概念

内部审计最初的定义是：“内部审计是组织内部检查会计、财务及其他业务的独立性评价活动，以便向管理部门提供防护性和建设。”而经过多次的修订，IIA在2001年颁发的《内部审计专业实务标准》中将内部审计定义为：“内部审计是一种独立、客观的确认和咨询活动，旨在增加价值和改善组织的运营。它通过系统的、规范的方法，评价并改善风险管理、控制和治理过程的结果，帮助组织实现其目标。”由此可以看到定义中一个明显的进步，那就是内部审计已经将提高风险管理的水平直接纳入它的定义，当成内部审计的一个直接的目标来看待，突出强调了内部审计在风险管理中的重大作用。

（三）内部审计在风险管理中的作用

内部审计对风险管理有着重大的指导意义，这个指导作用包含在风险管理的各个过程之中。

1.内部审计在风险识别中所起的作用。风险的识别是指审计人员通过对企业经营活动各项数据的研究和分析，从而确认企业当时所面临的风险、当时并不存在但潜在的风险、可以通过相应方法进行规避的风险等等，从而对企业面临的风险定量和定性，进而方便高层管理人员意识到并对风险作出相应的对策。其中，可以采用的方法包括决策分析，因果分析，可行性分析，专家调查法，风险报酬法，数据解析法等等。

2.内部审计在风险评估中的作用。这是指对已经存在和将要发生的风险进行评估。企业内部审计人员在收集分析企业各项经营信息的基础上，通常会将各种风险因素予以量化和评估。按照量化的风险水平的高低，对审计项目进行科学的排序，从而确定开展审计工作的先后顺序。风险评估应当考虑以下要素：资产的变现能力，资金流动性强弱，现金流的流量情况及趋势，管理水平和经营能力，内部控制的有效性，企业面临的市场环境，政府新出台的政策，上次审计的时间范围内容等等，运用各种科学管理技术和方法，定性和定量分析相结合，从而预测主要风险的大小，确定风险可能产生影响的范围，风险可能产生影响的时间、深度和广度等等，并以此为依据，采取相应的对策。

3.内部审计在风险的预测和预防中的作用。内部审计不仅应考虑公司当前存在的风险，而且应该通过各种分析手段和预测方法，结合公司当前的情况以及公司的长期发展战略，对公司潜在的问题和风险进行合理的预测，并对企业高层管理人员提出相应的解决策略，从而规避或者降低未来有可能出现的风险。

4.内部审计在风险管理评价中的作用。内部审计通过风险管理评价，检查风险管理过程的充分性和有效性。例如：通过对公司经验战略的检查，了解公司能够接受的风险水平；与相关部门管理层讨论部门的目标和存在的风险，以及管理层对于风险的态度，评价管理层对风险处理的有效性和充分性；评价风险控制报告制度是否恰当；评价风险管理报告是否及时有效；评价与风险管理有关的管理薄弱环节，并与高层管理者讨论相关事宜；评价管理层选择的风险管理方式的适当性，由于各个公司的企业文化、管理理念、企业目标等的不同，风险管理的实施有很大的差别，每个公司应该根据自身活动来设计风险管理过程。一般来说，上市公司等规模较大的公司应该用正式的规范的风险管理方法，而规模较小的，由于资金、人力、技术等方面的限制，则可以设置非正式的风险管理委员会开展评价活动。

二、中国内部审计在风险管理中的不足及成因

1.内部审计人员对风险和风险管理缺乏认识。根据《国际内部审计师协会内部审计标准说明》规定，内部审计师应具备财务、会计、企业管理、统计、计算机、概率、线性规划、审计、工程、法律等各方面的知识，以保证执业质量。在风险管理中，管理领域的知识尤为重要，但是，中国的内部审计人员，大多数由财会部门抽调，而他们大多出身于会计、审计专业，所以他们的知识结构比较单一，对于风险管理等管理领域的知识比较欠缺，这就造成了他们尽管对于内部审计等审计业务比较熟悉，但是对于风险管理和先进的风险管理理论不甚了解。

2.企业决策层对内部审计和风险管理的理解太过片面。中国很多企业的领导，大多数重视经营效益而轻视企业内部深层次的管理，对企业的风险管理不够重视。他们对企业内部审计的理解，还停留在财务报表审计和经济责任审计上面，往往不了解或者根本不关心风险管理审计对企业长期发展所起的巨大作用。他们割裂了内部审计和风险管理之间的必然联系而认为两者各自分别起作用。由于他们理解的片面性，造成了他们在评估内部审计部门工作的时候往经济效益等方面倾斜，进而影响到内部审计人员在展开工作的时候对风险管理的忽视。

3.内部审计独立性不足。想要充分发挥内部审计在风险管理中的作用，首先必须保证内部审计人员的独立性。内部审计尽管拥有相当程度的独立性，但是，这是相对于与之平行的其他部门来说的，从最终意义上来说，内部审计还是企业内部设置的机构，其目标还是企业利益的最大化，或者说是股东利益最大化，因此，内部审计在实施过程中不可避免地受本企业利益的限制，很难站在一个完全公正的立场上对企业的风险进行客观的评估。就内部审计人员具体而言，他们不仅受到经理机构的影响，而且在参与企业风险管理的过程中，不可避免地与其他人有了交集，久而久之，所谓的“交情”、“人情”都出来了，在涉及到相关部门风险审计的时候就有可能“下不了手”，影响内部审计独立性。

4.风险管理审计开展较少，审计方法落后。由于内部审计人员对风险和风险管理认识上的不足，在加上受到成本、企业政策、人事安排等诸多方面因素的影响，很少有企业经常对风险管理进行专项审计，甚至有不少单位从未进行过风险管理审计。而即便企业进行风险管理审计，他们往往也没有采用先进的审计方法，只有极少的企业中，内部审计人员采用风险基础内部审计，而不少的企业采用的是相对落后的控制基础内部审计甚至账项基础内部审计。

三、相应的对策建议

1.提高内部审计人员的专业素质和综合胜任能力。在内部审计人员的选聘上要选择专业素质过硬，综合能力较强，职业素质较高的人员。不仅如此，对于在岗人员，也要加强后续的教育，增强他们内部审计的专业能力和综合素质，使他们逐步熟悉内部审计业务，提高他们对内审工作的综合驾驭能力；要特别加强风险管理等方面的培训，使内部审计人员能全面了解风险和风险管理，从而使内部审计在风险管理中更好地发挥作用，更好地为企业实现经济目标服务。

2.企业决策层应提高对内部审计工作的重视。企业的管理者要端正对内部审计的态度，要全面认识到其在风险管理中和企业目标实现上的重要作用。企业内部应广泛宣传风险管理内部审计的重要性，使整个企业达成加强风险管理内部审计的共识。除了在思想上，在行动上，要提高内部审计机构和内部审计人员的地位，使内部审计机构成为企业管理机构中必不可少的一个部门，并且为内部审计创造良好的环境，使内部审计人员在稳定的环境中工作。

3.提高审计人员独立性。内审机构和人员的独立性是内部审计实现其职能的前提条件。中国企业要想真正发挥内部审计在风险管理中的作用，应该设置专门的审计机构，并提高内审机构的直属领导层次，因为内部机构隶属关系的层次越高，其独立性越强；权威性越高，审计工作越容易展开。例如在董事会下设立内部审计机构，直接对董事会负责。

4.改进审计方法，将风险基础内部审计纳入企业经营管理之中。企业内部审计人员必须认真学习并贯彻实行风险基础内部审计，与此同时要及时关注内部审计理论和审计方法的更新，在工作的过程中不断学习，力求做到与时俱进。而企业其他各层级的人员特别是高层管理者和决策层，应该转变观念，注重风险，抛弃以往重效益轻风险的观念，重视风险，做到风险与效益并重，做到企业短期利益与长期发展的统一。

参考文献：

[1]葛跃民.内部审计在风险管理中的作用[J].一重技术，2010，(2):71-72.

[2]侯金凤.企业内部审计在风险管理中的作用[J].北方经贸，2009，(12):86-88.

[3]时现.内部审计学[M].北京:中国时代经济出版社，2009:2-4.

[4]杨思东.内部审计在风险管理中的作用[J].现代审计与经济，2007，(6):35.

[5]张建民.内部审计在风险管理中的作用[J].中国内部审计，2005，(11):53-54.

[6]李正青.内部审计与风险管理[J].科技信息，2007，(18):220-243.

[7]刘国峰.现代企业内部审计与风险管理[J].煤炭经济研究，2007，(3):63-65.

[8]孙静.论内部审计与风险管理[J].辽宁行政学院学报，2006，(2):123-125.

[9]吴俊奎.关于内部审计与风险管理问题[J].环渤海经济望，2004，(8):24-25.

[10]王潇，张彩云.中小企业内部审计现状与问题研究[J].经济纵横，2007，(3):81.

[11]于弘.企业内部审计现状及完善途径[J].中华会计学习，2007，(4):18-19.

篇10

二、风险管理是公司治理的核心

三、内部审计作为内部控制的重要部分，与风险管理密不可分

2、内部审计理论的新发展。顺应内部审计理论及实务的变化，国际内部审计师协会（IIA）在1999年对内部审计重新定义，即“内部审计是用来增加组织价值和改善组织运营的独立、客观的保证和咨询活动。它以系统的、专业的方法对风险管理、控制及治理过程的有效性进行评价和改善，帮助组织实现其目标。”这一新定义将内部审计的范围延伸到风险管理和公司治理，认为内部审计是针对风险管理、控制及治理过程的有效性进行评价和改善所必需的。

四、在风险管理目标下，公司治理与内部审计的整合

鉴于内部审计在确保公司内部控制制度有效运转及管理和控制风险等方面的独特作用，

内部审计与风险管理的关系范文

篇1

篇2

篇3

篇4

篇5

篇6

篇7

篇8

篇9

篇10

热门标签

相关文章

相关期刊

中国内部审计

高等教育研究

高等教育研究

高等教育研究

精品范文