內審在企業風險管理中的作用框架思路構建

張廣青

摘 要 隨著企業對于企業風險管理的關注度的不斷提高，企業風險管理已經慢慢成為了當今企業管理當中不可或缺的一部分。而內部審計對于企業風險的預估，對于風險條件的鑒別還有對于風險制度的評價等等的活動，為企業風險管理給出相應的解決策略，為現代企業合理的減少管理風險，減少成本風險，提升經濟效益起到了非常重要的作用。

關鍵詞 內部審計 企業風險管理 作用 框架思路 構建

任何企業都會在經營壯大的過程當中遭遇到不同的風險，如何避免和減少風險所帶來的損失是企業領導者所需要考慮到的問題。想要充分發揮出內部審計的作用需要運用系統的、規范的模式來完成企業對于風險的管理、管控和治理流程的評估，提升企業的工作效能，以此來幫助企業達成目標。

一、企業風險管理的定義

企業風險管理是指企業在意識到自身所要面對風險的情況下，運用各類科學合理的方法與手段，有效地對各類風險所展開的鑒別、衡量、評估、管控和治理。COSO風險管理框架當中對于風險管理的關鍵點分成了：內在環境、目標確定、事情鑒別、風險評價、風險應對、管控活動、信息和交流、監督控制。從以上著這些不難看出，企業風險管理關系到整個企業管理流程、企業所有部門和所有員工。

二、內審在風險管理中的作用

（一）內在環境

是指企業內在的物質、文化、制度建立和管控手段，是企業日常生產運轉管理的根本，內在環境對于企業未來目標的確定、企業計劃方案的確定、企業正常業務的制定和實施、企業風險的鑒別、評價和管控都有著十分巨大的影響。內部審計必須要先對企業的現存風險和其他風險（管控之后的風險）進行評估，必須要清楚企業內在環境的真實情況。內部審計還必須要解析內在環境條件的變化，內在環境條件的變化會令風險出現其他的變化，內部審計還必須要關注企業對于不斷變化的風險是不是運用了科學合理的處理方法。比如：一些企業為了減少生產的成本和內在管理的風險，把一些業務進行了對外承包，但是如果這樣選擇企業就必須要面對對外承包的單位是不是可以順利完成對外承包業務的風險。因此，內部審計就必須解析所產生的相對應的風險的變化狀況，還必須要想到企業是不是運用了科學合理的風險管理手段。

（二）目標確定

是指企業通過自身的內在環境和所要完成的目標，企業領導者確定未來的目標以及為了達成目標所確定的相關方案。企業把未來所要實現的目標分成許多個小的目標，每一個小的目標都必須要為達成企業的大目標提供服務，并且必須要和相關的方案匹配。首先，內部審計必須從客觀的角度去評估企業的未來目標和所涉及到的小的目標制定的科學性，是不是和企業確定的預期目標相同，所有的小的目標是不是和未來目標方向相同，是不是對于完成未來目標有著一定的作用;其次，內部審計必須要評估企業所確定的未來目標的方案的科學合法性，確定方案是不是有助于達成未來的目標;最后，內部審計必須要對未來的目標完成的情況進行追蹤評價，評估相關企業是不是達成了所確定的未來的目標，在相關目標還沒有完成的時候，是不是及時運用了改革方法或者是對不合理的相關目標進行及時更正。

（三）事情鑒別

是指企業領導者認識到了企業在生產運營管理的過程當中所存在的風險，但是領導者并不確定這些存在的風險是不是真的會出現、什么時候出現和所帶來的結果是什么。在這種時候，企業領導者需要思考那些會造成風險出現的各類相關的事情，不管事情的大小都需要進行鑒別。內部審計可以運用風險解析的方法（包括COSO解析方法）來鑒別企業的風險事情，包括內在的風險和外在的風險;并且對于所鑒別出來的風險進行歸類。內部審計通過解析確定企業領導層是不是完全鑒別出全部風險，是不是對于所鑒別出來的風險進行分類管理，假如沒有，內部審計人員必須要提醒領導層對沒有鑒別出來的風險使用相對應的措施進行管控。

（四）風險評價

是指企業領導層了解隱藏事情對于企業目標的影響完成和所造成的影響的情況。企業領導者需要從風險出現的可能性和所造成的影響這兩點對風險進行確定解析和定量解析。風險解析是一件繁雜的工作，在許多的情況之下都需要領導層進行主觀判定各種結果出現的可能性和所造成的影響。不同的學識、知識架構、環境、位置還有工作經歷，對于相同風險出現的可能性和所造成的影響的判定也是各不相同，其中會摻雜許多個人的想法和偏好。內部審計可以通過風險解析的方法從客觀立場出發對風險進行解析和評估，為企業的領導層提供出專業的見解。

（五）風險應對

是指企業領導者對待風險的可承受程度，按照不同的風險可承受程度來確定出不同風險應對方案。風險管理需要企業領導者選擇出一個可能會令企業出現風險和造成的影響都在風險可承受程度之內的風險應對方案。一般來說，就是企業在遇到各類風險的時候，確定要使用的方式或者是方案，比如：避開風險、承受風險或者是減少風險。內部審計在開展風險應對評估的時候必須要綜合企業領導層的風險側重點，解析評估風險降低方案的有效性;解析評估風險應對方案的適用性。在評估避開風險的時候，必須要評估避開當前風險是不是會出現其他風險，避開風險的方案是不是適用，避開風險的投入是不是合理。評估承受風險的時候，必須要評估承受風險的方案是不是適合，評估風險的結果企業是不是可以承受。評估減少風險的時候，內部審計必須要對內在制度的完整性、執行的完成性進行測試和評估。

（六）管控活動

是指企業為了達成企業未來的目標和確保風險應對方案可以徹底落實所運用的方法。管控活動連通著企業生產運營管理的整個過程，存在于企業的所有層面和所有部門當中。內部審計必須要解析評估管控活動，這是內部審計工作當中的關鍵節點，管控活動評估具體分為解析評估是不是建立完善的內部管控制度、解析評估內部管控制度是不是有效落實、解析評估內部管控制度是不是和企業內在環境和生產運營管理相適合、解析評估內部管控制度是不是有效果、風險評估內部管控制度是不是科學合法等等。

（七）信息和交流

是企業及時正確的采集和企業有關的各類信息，并且進行有效交流。信息和交流是開展內部管控的重要前提。采集到的各類信息要嚴格按照特定的格式和時間段進行確定和傳送。審計報告是內部審計結果的重要表達方式，是內部審計和企業領導層進行交流的紐帶。內部審計以審計報告或者是審計意見書的方式，向企業領導層傳遞風險是不是得到管控，并且把解析結果和意見提供給領導層作為參考。

（八）監督控制

企業領導者對于企業風險管理的監督控制，通過風險監督控制可以讓企業發現其在生產運營管理的過程當中是不是出現了風險因素，是不是會對企業的未來目標的達成造成影響。企業領導者可以用兩種模式對風險管理進行監督控制：持續監督控制和個別評價。持續監督控制是指企業領導者必須要持續的關注企業風險管理是不是出現變化進行評價。個別評價是指企業領導者面對某一時期的某些事情進行評價。內部審計必須要時常檢查解析企業內外在的環境變化和可能出現的風險變化，對內外在環境和相關的風險變化進行監督控制;內部審計必須要隨時監督控制企業未來目標和小的目標的完成狀況，在這個過程當中是不是會出現影響企業未來目標和小的目標完成的因素;內部審計必須要監督控制企業的風險應對是不是適合，是不是在風險可承受程度之內，是不是會影響企業未來目標的完成;內部審計必須要監督控制風險應對預案和風險控制制度是不是適合;內部審計必須要監督控制內在控制部門是不是對新出現的風險進行管理控制。

三、結語

隨著世界經濟的不斷發展，各類不確定因素的不斷增多，企業所要面對的風險環境也越發的復雜，企業的風險管理地位就變得更加重要。內部審計在企業風險管理當中的作用也必然會逐漸加大，內部審計人員必須要充分利用相關的風險管理知識，運用系統、合法的手段，以客觀的態度為企業領導層提供出更為優質的確定和問詢服務，提升企業的風險管理能力。

（作者單位為天瑞集團股份有限公司）

參考文獻

[1] 方紅星.企業風險管理——整合框架[M].東北財經大學出版社，2005.

[2] 李定安，易沙.淺談內部審計風險及其防范機制[J].新會計，2003（02）.

[3] 冷琳.淺析內部審計在風險管理中的作用[J].經營管理者，2014（27）.

[4] 中國內部審計協會.國際內部審計專業實務框架[M].西苑出版社，2013.