現代企業內部審計與風險管理的關系

摘要： 企業作為市場競爭的主體，在其生產經營活動中，客觀地存在著風險。隨著市場經濟的快速發展，我國經濟開始全面實現與國際經濟接軌，國內市場和國際市場將融為一體，市場、金融以及經濟全球化擴張，導致企業面臨的不確定性因素越來越多，加之信息的不完整與不對稱，更加加大了企業面臨的風險。

關鍵詞：風險管理 內部審計

一、內部審計與企業風險管理研究文獻綜述

我國企業實行內部審計制度已有20多年的歷史。在這20多年的實踐中，既積累了豐富的經驗，也存在著一些困難和問題，尤其是很多企業并未意識到內部審計可以參與到企業的風險管理過程當中，而付諸實踐者更是少而又少。內部審計參與風險管理是內部審計的最新發展方向，這不僅為內部審計的自身發展提供了契機，而且有利于企業在市場競爭中防范風險，取得優勢地位。

二、內部審計和風險管理界定

（一）內部審計

企業的內部審計是從19世紀中葉開始，伴隨著資本主義經濟的發展和企業規模的擴大而逐步興起的。

我國審計署在2003年3月4日發布的《審計署關于內部審計工作的規定》中指出：“內部審計是獨立監督和評價本單位及所屬單位財政收支、財務收支、經濟活動的真實、合法和效益的行為，以促進加強經濟管理和實現經濟目標”。

我國內部審計的內容隨著國家方針政策和企業實際情況而改變，不同時期，內部審計的側重點不同，經歷了以財務收支審計為主、 在注重財務收支審計的同時，更加關注企業經濟效益審計、以經濟責任審計為主，在關注財務收支的合規性和企業經營效益性的同時，加強對業務控制和管理控制的評審、對企業的內部控制系統進行評審，以保障企業內部控制系統的健全性和有效性等四個階段。

（二）風險管理

風險管理較為全面而又確切的定義，最早是由美國學者威廉斯和漢斯提出的。他們在其著作《Risk Management and Insurance》中指出，風險管理是通過對風險的識別、衡量和控制而以最小的成本使風險所致損失達到最低程度的管理方法。美國學者克里斯蒂（James C. Cristy）認為風險管理是企業或組織為控制偶然損失的風險，以保全所得能力和資產所做的一切努力，另外兩位美國學者威廉斯（C. Arthur Williams. Jr.）和理查德.漢斯（Richard M . Heins）認為，風險管理是通過對風險的鑒定、衡量和控制，以最低的成本使風險所造成的損失控制在最低程度的管理方法。70－80年代以后，風險管理迅速發展。

三、內部審計與風險管理的關系分析

（一）內部審計與風險管理有機結合的邏輯分析

在現代企業中，由于所有權與經營權的分離，所有者將資本投入企業，但不直接參與企業的生產經營管理活動，而授權董事會經營企業，即經營企業的決策權掌握在董事會手中，與這一權力對應的是董事會負有按照股東意志行事的責任，這是第一層經濟責任關系。這一關系的存在，使得對承擔責任者的責任履行情況進行監督成為必然。在董事會做出相關決策后，董事會聘任的經理人作為執行機構，擁有授權范圍內的具體經營管理權，這些權力的擁有也對應著相關責任的承擔——切實執行董事會的各項決議，高效組織企業運營，給企業帶來盡可能多的收益。這一權責關系的對應實際上構成了公司的第二層經濟責任關系。這一層經濟責任關系的存在也使得對其責任履行情況進行鑒定成為必然。內部審計的本質是確保受托責任有效履行的管理控制機制。

(二)內部審計與風險管理有機結合的條件分析

國際內部審計師協會(CIA)執行主席張紹普先生認為：內部審計就是風險評估師，內部審計的職能是對整個管理系統進行分析評估，促進完善內部控制。未來的審計事業是建立在風險評估的基礎上，作為審計師應在風險高的領域去檢查，成為管理風險評估的專家，保證管理系統的有效運行、財務信息的及時準確、投資決策的正確、經濟活動的合法。IIA主席伍頓安.德森（2004）指出：內部審計在風險管理中的角色和作用有兩個方面：一是協助風險估算程序（企業風險的估算不是單靠內部審計部門就可以完成的，需要內部審計部門協助其他部門共同對企業風險進行評估）；二是對風險管理程序的評價，對風險管理的恰當程度做出保證。

因此，內部審計部門參與風險管理必須同時具備以下兩個條件：

第一，內部審計部門的獨立性與客觀性。

應使內部審計組織直接受單位最高管理層的領導。因為這樣的機構設置能使內部審計人員無論在收集信息，進行風險分析上，還是在按風險大小選擇審計項目上，都會從單位的整體利益出發，同時，這也使得內部審計的工作不受其他部門的干擾，為內部審計機構實施審計程序提供權利上的保證。

第二，內部審計人員的勝任能力。

內部審計不再是對過去的評價，應該洞察風險，評估風險、尋找機會，成為增值業務的推進器。內部審計參與風險管理與以往各階段相比，對內部審計人員的要求更高。美國大型百貨公司JC Penny的內部審計經理、IIA1999~2000年度主席約翰遜（Howard Johnson）認為，在風險導向階段，內部審計人員必須具備以下七個品質：1.具有廣博的知識。了解組織、行業境況與競爭情況、特定機能和流程與整個組織的關系，同時必須善用信息科技分析有關資料。2.化被動為主動。在多變環境下主動確認、分析風險，尋找問題所在，尋找服務機會。3.年度審計計劃應關注現在及未來，具有前瞻性和某種程度的彈性。

第三，內部審計與風險管理有機結合的案例分析： 國內H公司內部審計部門參與風險管理活動的案例

1. 事項：(1)NOKIA公司一直是H公司的芯片供應商。(2)DAA公司并未與H公司建立合作關系。DAA公司的芯片在某些國家是禁用的。為了打開銷售渠道，DAA公司采取了以下迂回策略：①私下與H公司相關的開發人員進行聯系，讓開發人員在研發過程中試用這種芯片； ②向研發人員打聽到了H公司從NOKIA公司購買這一芯片的價格； ③口頭承諾給H公司一個大大低于NOKIA公司的價格。DAA公司的芯片的確性能不錯，開發人員認為完全可以取代NOKIA公司的芯片，于是在開發產品中計劃采用DAA公司的芯片。

2. 由于可能要更換芯片供應商，H公司內部審計部門向產品開發部了解相關情況，并設計了風險管理過程，如下表：

3. 內部審計部門根據風險管理過程進行的風險管理如下表：

首先，H公司內部審計部門了解到本公司可能要使用另外一家公司提供的芯片，由此可能中斷與NOKIA公司的長期合作關系，此項行動很可能給公司帶來潛在的風險。因此，內部審計部門設計了風險管理過程的圖表報送董事會并參與風險管理的過程。①內部審計部門對潛在風險進行了分析與識別，此項行動可能帶給公司法律風險。風險的來源是： DAA公司沒有兌現他所口頭承諾的芯片的低價格。②確定了可能的風險后，內部審計部門對風險進行了評估，把風險的等級定為5級。并對風險進行描述：如果DAA公司不兌現口頭承諾，本公司買入的芯片價格就可能高于DAA公司口頭承諾的價格，而沒有享受到低價格的優惠。對于風險的處理，內部審計部門提出建議：提前通知NOKIA公司，H公司要中斷與其的合作關系，并和DAA公司簽訂合同，規定相關的權利和義務，并且確定了風險責任人是公司的采購部門。

案例帶來的啟示：

1. 內部審計參與企業風險管理是內部審計的最新發展方向，內部審計參與企業風險管理對企業而言具有重要現實意義。因此，企業管理層要高度重視內部審計作用的發揮，建立、健全企業內部機制，使內部審計部門積極參與到企業風險管理的過程中。

2. 由本案例可以看出，企業在運營過程中，可能遇到諸多風險，如法律風險、運營風險，但企業業務部門可能并未察覺潛在的風險，這就需要內部審計部門參與到企業日常運作當中去，去發現問題，及時解決。

3.過去以及現在，很多企業的內部審計部門對風險的關注主要集中在內部控制領域，然而，在風險日益增加的新經濟時代，內部審計僅通過內部控制來關注風險是遠遠不夠的，內部審計應該深入到風險管理的第一線，進行風險分析、確認，揭示關鍵性的風險。

四、內部審計在企業風險管理中的作用

(一)內部審計在風險管理中的識別與檢查作用

所謂風險識別是指對企業所面臨的以及潛在的風險加以判斷、歸類和鑒定風險性質的過程，換言之，就是要確定企業正在或將要面臨哪些風險。內部審計部門和人員應該對風險識別過程進行審查與評價，重點關注企業面臨的內、外部風險是否得到充分、適當的確認，即企業所面臨的主要風險是否均已被識別出來，并找出未被識別的主要風險。

(二)內部審計在風險管理中的管理與協調作用

在企業的組織架構中，內部審計機構一般都處在企業的董事會、總經理和各職能部門之間的位置（內部審計機構受董事會下設的審計委員會的直接領導，獨立于總經理和各職能部門），正是由于這種特殊的位置使得內部審計人員能夠充當企業長期風險策略和各種戰略決策的協調人。

參考文獻

1. 盧才武.孫慶文.奕曉慧.企業風險管理應對策略談，經濟論壇，2004年第2期

2. 朱榮恩.賀欣.內部控制框架的新發展——企業風險管理框架——COSO委員會新報告《企業風險管理框架》簡介，審計研究，2003年第3期

3. 王志楠.加強審計項目計劃管理的思考與實踐，審計研究，2005 總第125 期

4. 金或防.李若山.徐明磊.COSO報告下的內部控制新發展，會計研究，2005年第2期

5. 劉世謹.張繼勛.內部審計與風險管理，審計與經濟研究，2006年第6期