內部審計發力風險管理

□ 文/羅芳

內部審計發力風險管理

□ 文/羅芳

由于各種不確定性因素，企業面臨著各種風險，能否對風險進行有效的管理和控制，是企業能否生存發展、實現企業預期目標的關鍵。內部審計在對風險管理中要勇于迎接挑戰，抓住機遇，強化風險管理。

兆金/攝

風險對于一個企業來說，既是挑戰，更是機遇。內部審計在對風險管理中要勇于迎接挑戰，抓住機遇，強化風險管理。

風險形式與管理

企業風險是指企業在進行生產經營過程中，由于不確定因素和經營失誤的影響，而使企業遭受損失或損害的可能性。從企業風險內容的表現形式看，現代企業面臨的主要風險通常表現為：市場經營風險、投資風險、財務風險、管理風險、技術風險、法律風險等等。

企業風險管理是指為達到企業目標而確認和分析相關風險，對風險進行控制的過程。風險管理是一種持續行為，貫穿于企業經營的全過程，包括事前、事中、事后。其核心是將難以預計的未來事項的不確定性控制在可接受的范圍內，并從中尋求有利于企業發展的機遇。

內部審計參與風險管理的優勢

內部審計在參與企業風險管理上，具有獨立性、綜合性、連續性等優勢。

內部審計的獨立性奠定了其參與企業風險管理的基礎。內部審計部門不同于其他部門，可以跳出業務各環節的圈子，從全局出發、綜合客觀地對風險進行識別和評價，這種相對超脫的地位保持了內部審計的獨立性。內部審計通過實施審計檢查程序發表的審計意見，可以直達企業的管理高層，具有相對客觀的基礎。

內部審計的綜合性造就了其參與企業風險管理的優勢。內部審計的范圍覆蓋企業的各個方面，審計部門熟悉本企業情況，掌握的信息是多方面的，具有從全局考慮分析判斷風險的綜合性優勢。內部審計對企業風險管理進行的系統性、專業性監督檢查和評價，會權衡企業實施風險防范和效益成本的利弊，在風險與收益比較中研究風險管理的定位，這也是其他部門難以做到的。

內部審計的連續性深化了其參與企業風險管理的程度。內部審計部門和內部審計人員長期在企業內部工作，對企業面臨的風險更了解，對風險的各種影響因素更便于做深入的調查，而且對企業風險的轉化影響、風險管理措施效果更便于進行連續的跟蹤，對風險管理進行循環的連續性監控。內部審計長期參與企業風險管理所掌握的風險管理信息和經驗，會對不斷深化企業風險管理和節約管理成本產生重要影響。同時，內部審計部門和人員是企業內部成員，其利益同企業發展、興衰密切相關，對防范企業風險、實現企業目標有著更強烈的責任感。

內部審計的發展趨勢明確了其參與企業風險管理的必要性。隨著企業市場化競爭的不斷加劇，經營風險也在不斷增加，風險基礎審計順應了這種高風險經營環境的需要，它將審計結論建立在審計風險評估的基礎上，特別強調審計戰略，著重對各種風險因素進行綜合分析。尤其適用于企業重大經營決策、市場產品企業、項目投資等審計，有利于加強事中控制，有效規避經營風險。企業內部審計要把評價和改進風險管理、控制和治理過程，作為內部審計的一項重要職責，切實把內部審計的監督、服務定位在促進管理和提高效益上，實現由傳統的糾錯審計理念向現代的管理效益審計理念轉變，以適應企業改革和發展的需要。

內部審計參與風險管理的方法

內部審計部門所進行的風險管理，是在一般部門所進行的風險管理基礎上的再監督。其風險管理過程應包括以下幾個方面：評估風險識別的充分性、評價已有風險衡量的恰當性、評估風險防范措施的充分性并提出改進措施。

評估風險識別的充分性。所謂風險識別是指對企業所面臨的、以及潛在的風險加以判斷、歸類和鑒定風險性質的過程。采用的方法包括決策分析、可行性分析、統計預測分析、投入產出分析、內控流程分析、資產負債分析、因果分析、損失清單分析、往來款項調查和專家調查法等。

評價已有風險衡量的恰當性。風險衡量是指應用各種管理科學技術，采用定性與定量相結合的方式，最終定量估計風險大小，找出主要的風險源，并評價風險的可能影響，以便以此為依據，對風險采取相應對策。內部審計部門對已有的風險的衡量結果進行再檢驗，以確定其是否恰當，對不恰當的估計予以更正。采用的方法主要有：調查和專家打分法、風險報酬法、風險當量法、解析方法等。

評估風險防范措施的充分性并提出改進措施。風險的防范措施是指為降低已識別出并已衡量的風險所采取的措施。內部審計部門和內部審計人員對有關部門針對風險所采取的防范措施進行檢查，檢查其是否充分、得當。對于風險缺乏充分的控制措施的情況，內部審計部門和內部審計人員應提出改進措施和建議，強化企業的風險管理，降低風險損失。采用的方法有：分離風險單位、非保險方式的轉移風險等。

內部審計參與風險管理的措施

企業經營面對許許多多的風險，這些風險有的相互疊加放大，有的相互抵消減少。因此，企業考慮風險時，必須根據風險組合的觀點，從貫穿整個企業的角度看風險，要實行全面風險管理。這對于對風險管理進行再監督的審計部門來說是一種挑戰。

審計部門要與企業的各級風險管理組織相配合。在現代企業的風險控制方面，不少大中型企業一般建立三級的風險管理組織，即由企業高級管理層組成的風險控制委員會作為企業風險管理的最高決策機構，企業風險控制委員會領導下的內部審計及專職風險監管部門，各業務部門、業務輔助部門和管理部門承擔一線的風險控制職能，各部門負責人直接負責風險監控。內部審計部門通過常規審計及專項審計評估企業風險，對企業風險管理制度進行設計，以及對各業務部門執行風險控制制度的有效性進行定期的檢查，及時揭示和報告潛在風險，并提出防范風險及改進工作的建議。

以風險管理為核心，對企業治理、風險管理和內部控制進行整合。風險管理是與企業治理和內部控制交匯的核心。企業治理的核心職責就是要有確保企業應對風險的戰略和措施，在企業治理中包含一些戰略性的風險管理因素。企業治理的實施需要內部控制為企業治理機制的運行提供保障。同樣，風險管理的實施也需要內部控制，采用各種內部控制的方式與方法，實現有效的風險管理。因此，從一定程度上說企業治理和內部控制有著相同的目標——風險管理。內部控制和風險管理以企業治理為內容，即內部控制和風險管理的內容是企業治理的內容。內部控制和企業治理以風險管理為目標，風險管理的目標是提高企業的經濟效益，內部控制和企業治理也是要以提高經濟效益為目標。內部審計以風險管理為核心進行整合，以內部控制為手段，對風險管理和企業治理進行內部控制。

完善輔助審計軟件的使用，創新技術和方法，提高審計水平。隨著信息技術的廣泛應用，我國內部審計在風險分析、風險量化和應用計算機審計技術方法上，迫切需要研制、開發兼容性強和功能完善的通用審計軟件，從而實現審計效果與效率的統一，全面提高內部審計質量。

內部審計人員應不斷提高自身的業務素質，提高識別風險的能力，對本單位的經營條件、財務報告以及其他重大事件等方面的風險及時發現、及時反映，以實踐成果取得企業的信任，發展內部審計，使內部審計工作更有生命力。

作者單位：中國石化江蘇油田紫京集團