周金琳

一、企业风险管理含义和风险管理的目标

（一）企业风险管理概述。由于各种不确定因素的存在，企业的经营活动难免存在各种各样的风险，任何经济组织，不论其规模、结构、性质或产业如何，其运营及组织内的不同层次都会面临来自内部或外部的不同风险。“风险”具有双面性，它既可能带来损失，也可能带来机遇。企业风险来自外部和内部两个方面，风险影响着每个经济单位的生存能力和竞争能力，也影响着它们的产品、服务及员工的整体品质。管理者永远不可能消除风险，因为管理者的每一决策本身即蕴含着风险。

（二）企业实现风险管理过程的目标。企业管理层出于了解和处理所面对风险的需要，必须建立有效防范机制以识别、分析、评估和管理相关的风险，称之为风险管理过程。内部审计评价风险管理的充分性，应取得审计证据并充分调查，确认是否达到风险管理过程的主要目标：设计和实施了降低风险的内控程序，把风险降低和控制在企业管理层和审计部门可以接受的范围内；持续地观测风险动态，定期对风险的控制及有效性进行再评估，避免风险，防止造成损失；提出具体的控制风险的措施，从客观角度分析风险、评估风险、发表专业意见。

二、内部审计参与风险管理的动因

1.企业面临的风险日益增大。随着社会经济的发展，特别是经济全球化的加深，使企业经营环境变得日趋复杂，企业经营风险也大大增加。因此，减少企业面临的风险是实现目标的关键，也是企业的管理人员十分关心的问题。

2.内部审计对自身发展的渴求。内部审计部门为了在企业中担当更重要的角色和发挥更重要的作用，总是不断寻找新的对企业十分重要的领域，企业高层管理人员对风险的空前重视，为内部审计发展提供了一个绝好的机会。内部审计对风险管理的介入，将会使内部审计在企业中成为一个重要的角色，并将其在企业中的作用推向一个新水平。

3.内部审计部门的建议具有独立性，更易引起管理部门的重视。有些企业尽管也有风险管理部门，但它属于管理部门的一个职能部门，向总经理报告，不具有独立性，其意见有时会屈服于管理当局的压力。如风险管理部门对某投资项目分析后发现风险太大不适合投资，而总经理好大喜功，他会力促项目的实施。这使得风险管理部门的作用受到限制。内部审计部门独立于管理部门之外，其风险评估的意见可以直接报给董事会，这会加强管理当局对内部审计部门意见的重视程度。

三、内部审计在企业风险管理中的主要作用

内部审计在企业中承担着鉴证、服务和风险管理的作用，与企业的发展紧密相连，因此开展企业内部审计工作在现代企业管理中显得日益重要。

（一）内部审计有利于企业作出正确的决策，实现最大化目标。为了保证企业有足够的资源进行经营生产，实现预期的利润，企业必须采取各种有效的风险控制措施才能保证各项资产的安全。企业实现股东价值最大化、利润最大化，必须以最有效率的方式进行生产经营，才能利用有限的资源获取尽可能多的利润。但是，企业在经营管理活动中对资源难免存在因利用不当而浪费和低效使用的情况，风险管理，就是要控制这种可能产生损失的因素。

（二）内部审计有利于企业规范化运作和经营管理。内部审计有利于推进公司规范化运作和管理，优化内控环境，增加企业股东权益。相对于国家审计与社会审计，内部审计始终围绕增加企业股东权益开展工作，目标定位是“股权收益最大化”。它与企业的生存发展息息相关。内部审计部门处在企业内部控制环境中，对企业管理风格、企业文化、会计核算、控制程序等各方面因素非常熟悉，清楚各项业务的工作流程及关键控制点，其相对独立并且在企业内部有较高的地位，内部审计人员一般不参与决策或者具体的管理事务，可以“局外人”的身份客观评价企业的经营活动。

（三）内部审计有利于降低企业风险。内部审计是一个持续的内部监督服务过程，是现代企业管理的重要职能，其作用是其它职能部门无法替代的。加强和改善风险管理已成为关系企业生存与发展的重要因素。内部审计处于企业各职能部门或所属分支机构之间，不直接参与经营活动，具有相对的独立性。因此，内审不仅要抓好以评价经营活动及其信息的真实性、合规性为主要内容的基础审计，还要利用基础审计资料，开展对各种信息的真实完整、资产安全、资源有效利用的全面审计活动，评价内控制度的健全性、遵循性、科学性；保证战略目标和计划、各种政策、制度、程序得以贯彻执行；检查企业目标的完成情况和运营的效果与效率，提出改进或整改意见，促进企业规范化管理。

三、风险管理审计对内审人员的素质要求

做好风险管理审计工作对审计人员的素质要求是比较高的。风险管理审计不同于财务收支审计，根据风险管理的特点，涉及的知识面比较多，除政治素质外，业务上需要学习财务知识以外的更多的东西，需要投入更多的人力、物力、财力和精力，否则，难以胜任。目前，审计手段由手工审计方式向计算机辅助审计和网络审计方向发展。很多企业在信息化建设方面都投入了相当大的力量，在会计电算化基本普及的基础上，很多企业还进一步加强了ERP系统和内部网的建设。传统的手工审计方法，工作效率低，时效性差，审计质量无法保证，已经无法适应新的信息环境的要求，新的信息环境同样对内部审计提出了新的要求。为此，内部审计部门逐步尝试更多地利用现代化的技术手段和信息系统进行审计的途径和方法。

目前大部分企业都在开展计算机辅助审计，特别是在一些经济业务复杂、数据量大的企业，借助计算机辅助审计软件强大的计算、统计、抽样和初步分析功能，使审计人员从冗长烦杂的计算工作中解放出来，专注于对事实的调查和对数据的深度分析。同时，审计软件也为非现场审计提供了条件，在一些企业网络系统较为成熟的大型企业集团，运用企业网络开展非现场审计，大大提高了审计效率，降低了审计成本，同时还有可能实现对业务风险的实时监控，进行事前和事中检查，起到及时预警、降低风险、减少甚至避免部分损失的作用。

四、构建风险管理框架，增强企业抗风险能力

（一）防范内部审计自身因素和环境因素诱发的审计风险。社会的竞争、风险的防范关键是人才，只有造成一批与内部审计事业相适应的，具有思想素质、业务素质和文化素质的内审队伍，才能有效防范风险。加强职业道德修养，提高专业技能，健全风险责任制度，是提高审计质量，防止审计风险的前提条件。

在审计实施前，要充分了解相应的环境事项，并保持敏感性，深入了解企业内部的经营状况和财务状况。严格执行审计标准，恪尽职守，尽可能避免由内部审计带来的风险。要树立科学的审计发展观，谨慎地对待审计风险。健全自我约束机制，改善经营管理，提高企业效益。内部审计自身的风险也是企业风险管理过程中的一个构成部分，切实加强企业内部控制，防范于未然。

（二）构建良好的管理信息网络，增强抗风险能力。决策失误是造成风险损失的决定性因素。建立良好的管理信息网络并有效应用，采用科学手段预防风险，可推动企业变革，增强企业在市场上的应变能力。利用审计成果保证决策的科学性，确立正确的战略目标与发展方向。选择良好的媒介进行传递，对商业信息的传递进行授权限制，维护信息网络安全统一。管理信息必须涵盖企业所有的重大信息，满足管理层经营决策的需要，防止盲目决策，增强抗风险能力。