基于內部審計的企業風險管理研究

摘 要:基于筆者從事財務管理的相關工作經驗，以企業內部風險管理為研究對象，探討了內部審計在企業風險管理中發揮的作用，論文首先分析了內部審計在企業風險管理中的角色，進而重點研究了內部審計參與企業風險管理的途徑，對從事相關工作的同行有參考和借鑒意義。

關鍵詞:企業內部審計風險管理

中圖分類號:F239文獻標識碼:A文章編號:1674-098X(2011)07(a)-0202-02

1 企業風險管理的含義

IIA考試委員會主席、2003屆IIA協會主席伍頓·安德森(Urton Anderson)博士2004年5月在上海所作的COSO——ERM的報告…1中指出，企業風險管理可以定義為:通過確認、識別、管理和控制組織潛在的情況和事件，為實現組織目標而提供適當保證的程序。

提供風險管理服務的機構——普華永道會計師事務所將風險管理定義為:有效的風險管理可以識別威脅、控制損失(預防損失并減少損失發生的嚴重性)、防范未經授權使用資金，并對傷害采取保護措施。目前，有關企業風險管理的定義比較權威的應該是2004年COSO頒布的《企業風險管理——整合框架》中的定義。該定義是:企業風險管理是一個由企業的董事會、管理層和其他員工共同參與的，應用于企業戰略制定和企業內部各個層次和部門的，用于識別可能對企業造成潛在影響的事項并在其風險偏好范圍內管理風險的，為企業目標的實現提供合理保證的過程。

2 內部審計在企業風險管理中的角色

內部審計在企業風險管理中的角色主要體現在兩個方面:一是針對管理層的企業風險管理過程予以評價，提供確認服務;二是以咨詢顧問的身份介入企業風險管理過程當中。”隨著內部審計參與企業風險管理的活動越來越多，程度也欲加深入，內部審計職業所要求的客觀性和獨立性容易受到威脅，易被削弱。所以就產生了內部審計不應該涉足的領域和不應該在某些領域發揮獨立的作用。

2.1 確認作用

確認是根據客戶的標準、要求對特定領域進行評價并提供其需要的信息，能夠用于改善決策，提高其科學性。確認服務定義為，就風險管理、控制和公司治理過程提供一個獨立的評價，包括:財務的經營成果、對法規等的遵守情況、制度的安全性、預期的勤奮工作等。為了提供如上所述的確認服務，內部審計應該是獨立的和客觀的，即:誠實、有能力、應有的謹慎和道德的行為。

內部審計師應對風險管理過程迸行確認，評估風險管理過程，對主要風險的管理進行評論，保證風險被正確地評估，并且要對主要風險的報告進行評估確認。

2.2 咨詢作用

咨詢是直接作為專家顧問參與經營活動，改善客戶的狀況。咨詢服務是咨詢性的和委托人相關的服務活動，其活動的范圍和本質是同客戶達成一致意見，其目的是增加價值和改進公司經營。咨詢服務的例子包括商議、建議、簡化、過程設計和培訓等。

內部審計師要提供管理工具和技術，分析風險和控制，促進識別和評估風險;向組織內引入企業風險管理，支持企業風險管理的建立，發揮在風險管理和控制方面的專長，發揮組織的全部知識;提出建議，促進組織的學習，訓練組織在風險和控制上的能力，提升共同的語言、保持和發展企業風險管理概念性框架;以協調、監督和匯報風險作為行動的中心，協調企業風險管理活動，鞏固風險報告;指導管理者對風險做出反應，支持管理者采取最優方案減輕風險，發展董事會贊成的風險管理策略。

內部審計在風險管理領域的增值產品主要有:作為風險管理顧問、提供風險管理培訓、支持內部風險自我評估等。

(1)風險咨詢顧問

《內部審計實務公告》2100-4條中說明道:內部審計師可以以咨詢顧問的身份協助組織確定、評價并實施針對風險的管理方法和控制措施。特別在組織尚未建立風險管理過程的情況下，內部審計師可以向管理層提出建立相關風險管理過程的建議。如果有關方面提出要求，內部審計師可以積極的協助組織風險管理過程的初步建立。內部審計師更為積極的作用是通過改善基本程序的咨詢方式對傳統確認服務迸行補充。

但是，內部審計師作為風險咨詢顧問的作用有別于“風險歸屬”問題上所起的作用。為避免參與“風險歸屬”問題，內部審計師應該要求管理層證實其在確定、防范、監測風險以及決定風險“歸屬”方面的責任。內部審計師可以促進風險管理過程的建立和使風險管理過程的建立成為可能，但是，他們不應該“擁有”己確認的風險或負責對這些風險進行管理。

(2)風險管理程序培訓

由于內部審計師作為風險咨詢專家，對風險管理有著豐富經驗與專業知識，在組織內部展開風險管理培訓又是內部審計師為組織增加價值的一個審計產品。

(3)支持內部風險自我評估

和支持內部控制自我評估～樣，審計師也可以推進內部風險的自我評估。內部審計在風險自我評估中主要是幫助組織設計風險自我評估的程序，然后讓各部門去執行，各部門在評估時遇到一些問題，內部審計師可以充當顧問角色。風險管理是管理層的責任，但是內部審計師可以通過為管理部門設計一些風險管理程序、規則、技術和方法，為管理層提高風險管理的效率和效果。

2.3 不應該發揮的作用

內部審計參與企業風險管理的活動越加深，它的客觀性和獨立性越易受到威脅。為保證客觀性和獨立性不被削弱，我們這里列出了內部審計在企業風險管理中不應該發揮的作用。內部審計必須明白是管理者對風險管理負責，風險偏好是由管理層來設定。內部審計不應該代表管理者來對風險進行管理，不應強化風險管理過程。內部審計不應該對風險反應做出決定，可以支持管理者所做出的決定。當管理者所做出的風險管理決定與內部審計完全不同時，內部審計應提出質疑或建議。

3 內部審計參與企業風險管理的途徑分析

內部審計參與企業風險管理受到了極大的關注。COSO發布的ERM框架指出內部審計的職能是“通過檢查、評估、報告和建議來幫助管理層和董事長或審計委員會進行有效的企業風險管理。”企業風險管理概念性框架包含八個組成因素;環境分析、且標設定、事件鑒別、風險評估、風險回應、控制活動、信息與溝通、監督與回顧。內部審計在企業風險管理中的職能角色應該局限在企業風險管理概念性框架的最后一個組成部分——監督與回顧。本文在這里提出:內部審計在企業風險管理概念性框架所列的要素中發揮確認和咨詢作用。本文的重點就在于探討內部審計在企業風險管理概念性框架中通過何種途徑發揮確認與咨詢作用。

3.1 將公司目標、戰略與風險相聯系

企業的目標、實施目標的戰略、及實施戰略所需的經營模式和經營過程是由企業的管理者和董事會來決定的，這是管理者和董事會的責任，而不是內部審計的責任。內部審計負責將企業的戰略，實施戰略所需的經營模式和阻礙目標實現的風險系統地加以聯系，以保證戰略和經營模式能夠應對風險。

內部審計首先要列出所有使目標實現的關鍵性成功因素和可能阻礙成功的風險因素清單。將識別的關鍵性成功因素和可能阻礙成功的風險因素(內部和外部)逐一列出，從企業目標、組織目標角度分析判斷風險因素對目標實現的影響程度。包括:①列出企業的策略，結合現實環境分析策略的適當性和競爭強度。②列明所有資產。③列明人員狀況，分析他們的素質及道德水平。④列明其它設施和條件:物質、自然、法律、政治環境等。

3.2 對環境進行監控

由于信息技術的發展，企業風險的性質和影響程度也發生了變化，使得對環境的監控越來越重要。

對環境進行監控首先要明確企業的風險偏好。除了決定目標、戰略和經營模式、經營過程之外，管理者和董事會還需決定在實現目標時愿意承受多大程度的風險。這種風險偏好是企業風險管理環境中的一個組成部分。內部審計不負責制定風險偏好，但需要明確管理者和董事會的風險偏好，將風險評估和風險偏好進行定期比較，對企業希望承受的剩余風險提供限度。內部審計要評價單位的“固有風險”和“剩余風險”(采取控制行動后可以接受的風險)。

對環境變化和意外環境的持續的監控。當企業所假定的環境與外部環境和企業經營過程的變化相沖突時，內部審計應及時向管理者和董事會提供反饋。

通過對所處環境的情況分析，幫助管理者做出重新思考。需要做如下外部環境分析:第一，評判行業發展現狀，預測發展趨勢。內部審計應該通過信息，分析現有企業間競爭程度、新加入企業的威脅及產品和服務替代等情況;通過對競爭環境的情況分析，對組織在該行業的競爭地位在空間和時間上予以定位或重新定位。第二，分析客戶需要，分析消費者購買行為是否變動，考慮供應商狀態，幫助有關方面找出議價渠道和空間。

3.3 保證風險事件鑒別的完整性

風險事件的鑒別是整個企業風險管理工作的基礎。風險事件的鑒別是指企業風險管理人員通過對大量來源可靠的信息資料進行系統了解和分析，認清企業存在的各種風險因素。要充分理解企業的目標、戰略和計劃以及當前的內外環境情況，就需要鑒別那些可能對企業目標實現帶來負面影響的所有重要事件，鑒別所有潛在的嚴重的風險，以保證風險輪廓勾勒的完整性。對風險事件的鑒別最重要的是風險鑒別的完整性，保證所有重要的風險都被鑒別出來。風險事件鑒別的完整性包括:風險識別是否全面;風險各級分類的合理性;可控風險、不可控風險確定的科學性等。要求內部審計師結合企業戰略目標的制定和布置，通過對有關單位和部門風險的識別進行檢查、評估并提出建議，通過所獲得的證據評價企業風險管理流程是否能完成風險管理使命、目標和目的。通過對經營戰略概念和實務進行研究，以此來鑒別一些風險。內部審計需要創新性地組織具有不同背景和專業知識的人員運用“頭腦風暴法”，利用“方案構建”等活動來產生所有的可能風險的觀點。開發利用各種模板(如:流程圖、調查表等)，通過這些模板來反映出各種可能的風險。

(1)取得相關資料:內部審計師如果想要對風險事件的鑒別做出科學的評價，就需要首先了解相關的資料。①明確企業目標、企業活動的性質、規模，清楚影響活動的關鍵人物。②清楚企業內部各部門之間的依賴程度。③取得相關活動的會計記錄信息，分析活動的風險控制情況，考察活動的效率與效果。

(2)流程圖分析:流程圖法是用符號和圖形將企業經營活動過程反應出來的方式。內部審計對企業的業務流程進行分析，發現風險事件鑒別的薄弱環節，分析業務流程中的風險識別是否全面。

(3)編制風險分析調查表:對于內部審計師可以預見到的潛在風險，內部審計師編制風險分析調查表，用來調查企業活動可能遭遇的風險，并對調查結果進行分析，

(4)風險問卷分析:對于內部審計師無法預見的風險，內部審計師則通過再次發放風險問卷，由被調查部門的人員自行填寫，匯報部門可能會出現的風險。內部審計師將回收的問卷進行統計分析，根據發放量和回收情況判斷收回答案的質量和有效性。然后再對問卷答案進行分析。

參考文獻

[1]羅露，國俊麗.公司治理視角下內部審計的定位及發展策略[J].科技資訊，2008年11期.

[2]童怡.淺議企業內部風險管理[J].科技創新導報，2010年08期.