赖艺玲

摘要：内部审计即是企业风险管理的一个组成部分，又是企业风险管理的一种特殊形式。内部审计师在审计中应用企业风险管理框架有助于审计师把更多的审计资源放在企业风险上，识别和评估风险，提高审计效率和效果，为企业的董事会和管理层提供更为可靠地审计信息。

关键词：内部审计；企业风险框架

一、企业风险管理框架介绍

1企业风险管理的定义。2003年7月美国COSO(全美反舞弊性财务报告委员会发起组织)委员会发布的《企业风险管理框架》征求意见稿中对其定义“企业风险管理是4"由企业的董事会、管理层和其他员工共同参与的，应用于企业战略制定和企业内部各个层次和部门的，用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的，为企业目标的实现提供合理保证的过程。这是一个广义的风险管理定义，适用于各种类型的组织、行业和部门。

2COSO企业风险管理框架的内容。对于许多企业来说，没有一个普遍认同的关于风险以及风险管理的定义，也缺乏一个概述风险管理运作程序的全面框架，这使得董事会成员和管理层之间进行风险交流变得异常困难。在这背景下，制定框架有着强烈的驱动力。为了顺应企业的呼声和要求，2003年7月美国COSO委员会颁布了企业风险管理框架的讨论稿。讨论稿描述了企业风险管理框架包括四类目标：战略目标、经营目标、报告目标、合规性目标。八大要素：内部环境、目标制定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。

二、以风险导向的内部审计

内部审计是在一个组织内部建立的一种独立的评价活动，并作为对该组织的活动进行审查和评价的一种服务。内部审计的目的是协助该组织的管理成员有效地履行他们的职责。内部审计的发展趋势是有财务审计到财务审计与管理审计并重。

现在国内外的审计都推行风险导向审计。审计风险模式为：审计风险=重大错报风险×检查风险。在审计过程中，审计师需要实施审计程序，评估重大错报风险，并依据重大错报风险的评估水平确定并实施进一步的审计程序，以便把检查风险降低到一个可以接受的低水平。

站在企业立场的内部审计师更多的把风险导向审计中的“风险”扩大为企业或组织在经营过程中面临的不能实现其目标的各种风险，所以内部审计领域的风险导向审计是以影响企业经营目标实现的经营风险为依据确定审计项目，以企业进行的所有降低风险的活动为测试重点，评价风险降低的充分性和有效性，并提出恰当的降低风险的建议的一种审计方法。

三、内部审计与企业风险管理的关系

内部审计即是企业风险管理(内部控制)的一个组成部分，又是企业风险管理(内部控制)的一种特殊形式。

企业风险管理体系包括八大要素，其中监控又分为持续监控与个别评价。持续监控的对象是除监控外的七大要素，持续监控的主体是各直接进行风险管理的业务部门。个别评价的对象是除监控外的七大要素和持续监控。个别评价的主题是内部审计部门和业务部门，并且应该以内部审计部门为主，因为业务部门主要负责持续监控，长时间从一个角度看问题容易产生偏差，由内部审计部门介入，能有效地纠正这种偏差。作为个别评价的内部审计是企业风险管理的一部分，评价除自身以外的企业风险管理体系的全部内容。

四、内部审计中企业风险管理框架的应用

在企业风险管理体系中，内部审计是对企业风险管理有效性的评价。本文试图建立一个风险管理评价体系，以方便地指导内部审计对风险管理体系的评价工作，加强全企业范围内对风险的识别与控制，完善风险管理体系。

1评价的目的。内部审计对企业风险管理有效性评价的目的在于完善企业风险管理体系，更好地控制风险、增加价值。需要注意的是，评价本身不是目的，评价过程中内审人员与各部门的沟通以及评价后相应改进措施比评价本身更为重要。

2评价的内容。内部审计人员对企业风险管理的评价可分为总体和业务两个层面进行，评价的内容就是企业风险管理框架中的八要素。

3评价的方法。评价的方法有很多，有很多不同的评价方法和工具，包括一览表、问券以及流程图技术等。这里介绍2种模式。(1)风险管理自评。风险管理自评的方法就是要求审计人员与被审计部门管理人员组成一个小组，对本部门风险管理的恰当性和有效性进行评估，然后根据评估提出审计报告，由管理者实施。对于内部审计而言，风险管理自评可以让管理部门了解到对风险管理的责任，同时还可以提高审计的效率和效果，减少审计人员的工作量，节省审计时间。(2)风险管理矩阵法。风险管理矩阵法是审计人员根据企业经常目标、风险与控制之间的联系，为确保审计建议能针对重要的风险而建立的一张工作表。

该表包含了下列信息：明确企业的经营目标，审计人员对被审计事项的初步了解，根据初步了解的情况识别风险因素，衡量风险的重要程度，采取适当的控制措施，审计人员的评价和结论。

内部审计人员通常在测试的最后阶段来做这个矩阵，其优点是清楚地反映出对每一目标的测试和评价，有助于关注重要风险。

4评价的报告。评价报告分为两大类，一类是专项评价报告，一类是总体评价报告。

在对每一个业务模块评价结束时，内部审计部门出具专项评价报告。报告呈送至改业务模块涉及部门和风险管理部门，并在审计部门留底备案。

每年度，内部审计部门出具总体评价报告。该报告直接曾送董事会和风险管理部门，并在审计部门留底备案。