中国水电顾问集团 汤文静

现代企业风险管理与内部审计相结合经营管理

中国水电顾问集团 汤文静

从上世纪90年代开始, 很多西方企业，特别是大型企业开始通过自身内部的审计机构评估同时监督自身的管理风险,以便于确保经营安全、高效的目的。风险管理和自身内部审计的发展历程已经有了十几年的历史，经过长时间的融合与发展,二者关系日益紧密，越发的不可分割。反观我国的一些大型企业，在多个领域存在着一些企业风险，这就需要建立一套比较全面的体系进行风险管理，其中就包括风险管理和理财策略及措施，一个完善的组织职能体系进行风险管理，同时需要健全信息系统与控制系统，最终为完成风险管理目的提供可靠保证。

企业经营管理 全面风险管理 内部审计 内部控制

1 企业风险管理全面概述

1.1 风险的概念和风险存在于国企的形式

所谓风险，一般是指未来的一种不确定，是衡量与期望值偏离的波动程度的一个概念，这里并不是说结果一定是坏的方面，有可能往另外一个方向发展，虽然背离了期望值，但不一定是坏事。基于此，企业所面对的风险就可以被定义为：“风险，是一个事项将会发生并给目标实现带来负面影响的可能性”，从而企业风险也就正式地纳入到企业管理决策当中了。

企业所面对的风险因素很多，有战略、财务、市场、运营和法律风险等方面；如果从是否可以给公司带来利润作为一个标尺的话，风险又被分为纯粹的风险，这种风险只会造成一定的损失，另外一种就是机会风险了，操作不当可以造成损失，但如果机会把握得好，有可能会带来一定的机会盈利。

1.2 企业的全面风险管理工作如何开展

企业开展全面风险管理工作主要是围绕公司的总体目标，要对企业管理中的每一个细节与经营过程都开展风险管理的基本程序，让风险管理贯穿于企业经营的各个部分，形成企业内部比较成熟的管理文化。一个企业建立起全面的风险管理系统，需要健全风险的管理策略，同时细化风险的理财措施，构建起风险管理组织网络，同时信息系统与控制系统也要为风险管理服务。通过合理的、有保证的一个过程与方法，确保完成风险管理的最终目的。

目前国有企业资产经常发生一些损失现象，这里面重要的原因就是风险管理比较薄弱，缺少必要的机制进行风险防范。国有企业多年来一直存在着许多不规范行为，为企业带来了一定的影响，这是由于管理的体制、制度或者机制的原因，但与风险意识不强也有直接关系，需要进行规范和加强。

2 正确认识和处理风险管理与内部控制、审计的关系

2.1 我国相关情况现状分析

从上世纪90年代开始，很多的西方企业，特别是大型企业开始通过自身内部的审计机构评估同时监督自身的管理风险,以便于确保经营安全、高效的目的。风险管理和自身内部审计的发展历程已经有了十几年的历史，经过长时间的融合与发展,二者关系日益紧密，越发的不可分割。一般情况下，我国的企业内部审计部门仅仅是一个普通的职能部门，虽然部分公司在名义上确定董事会对内部审计机构直接负责，不过由于企业本身结构就不完善，内部审计机构在实质上还是接受经理层面的管理的，报告的层次并不高。由于中国的公司和企业在风险管理上水平还较低, 很少有企业设有专门的风险管理程序，当然部分银行和保险公司这些金融机构除外。所以在我国企业现阶段的内部审计仅仅是个建议者金额协调者的身份出现在分线管理中。主要还是通过咨询与建议等控制评价及管理协调的方式参与到风险管理之中。通过风险的导向审计与自我的控制评价来了解企业面临的风险状况以及在管理上的薄弱环节,从而向决策层或者控制层提出风险控制建议。

实际上, 内部审计和企业的风险管理初步进行结合已经悄然出现在国内部分大型上网企业当中，虽然尚处于实践阶段,还不是特别的系统与规范, 但却是明显提高了企业面临风险的管理效率与效果, 这也指明了一个方向，企业的风险管理必然要与内部的审计进行整合。举个例子，中石油公司2000年在海外上市之后,不断地通过改革适应国际上资本市场的一些要求,中石油就提出了走内部审计道路,就是要求以经营管理的战略和决策目的当成最终的依据制定合理的审计计划,就是凸显出内部的审计对一些具有高风险的领域和管理决策层加大了关注度,并合理进行分配审计的资源。控制审计的对象是总部的内部，管理的审计主要对象则是一些分散的地区公司,进行精细审计的对象则是下级部门。另外，中石油倡导允许审计人员参与到管理的过程,这样便于及时和有针对性的对基层机构进行工作上的指导或者发现问题协调解决,而且能够帮助被审计机构对风险管理进行缺陷分析，确定改进的措施。中石油这种在战略层和管控层以及作业层同时开展审计与咨询工作，转变了内审查错纠弊的简单功能，向服务和咨询结合的方向延伸,由为结果与过程并重审计代替了单纯的结果审计, 并在一定程度上整合了内部审计和企业风险管理。这都是有益的探索，为现阶段我国企业的内部审计的工作开展起到了示范作用。

2.2 全面风险管理与内部审计的联系

在内部的审计定义里，包含有风险管理的内容。新定义的内部审计认为所谓的内部审计是一种系统化和规范化的方法，提高对机构风险的管理和控制以及监督过程的效率,推动单位达管理目的。可见风险管理对内部审计从定义上就进行着改变，同时，内部审计在职能和价值等方面也在悄然的发生着变化。很明显的就是，将内部审计开始转向评价和改善风险管理当做自身的主要工作范畴之后，内部审计得到了新的发展,内部审计的领域扩大了,内部审计在审计的广度和深度拓宽了，这些对内部审计的重新定位，也重新修订了内部审计的准则，调整内部审计的程序,对内部审计提高服务水平提出了更高的要求。

2.3 全面风险管理与内部审计的区别

在萨班斯法案中显示，企业的内部审计主要目的是为了合规的进行经营，确保企业高效的运营，保证财务报告的真实，关注的重点是财务层面，但对于决策是否正确不参与其中，它能够确保投资人信息对称，而且为投资者提供的机会都是均等的，董事在审计满前一般会趋于保守，所以审计解决不了利益冲突的问题。

风险管理的目标则是对企业风险的控制与防范，关心的是是否作出了科学的决策，更多关注的属于战略层面，解决的是投资者的信任，为投资人提供长远利益使董事会趋于理性，从体系上解决利益冲突的结构问题。

3 内部审计与企业风险管理结合的途径和方法、角色定位

如果把企业的风险管理当成一个框架，那么其中的内部审计的工作和工作的对象之间要具备相当高的整合性。这里的内部审计能够在监督和评价上对企业的风险管理的有效性起到促进作用，同时有利于对风险管理进行改进,这样内部审计也就成了企业的风险管理体系中比较重要的组成部分。

3.1 全面风险管理审计的功能价值

当内部审计结合企业的风险管理之后,工作的范围也就自然的扩大了，扩大到企业管理中的可以说是全部的领域与过程,会对企业的风险与机遇进行集中的、全面的评估,有时可以得到董事会允许，参与制定风险管理的战略,这些结果都会对管理决策层产生影响。

COSO 在2004 年的报告中，就把风险管理审计的焦点进行了转移，从企业内部的控制延伸到企业战略目的、管理决策层对风险的忍耐度以及主要风险的评价指标和企业绩效的评价分析等方面，而这些都或多或少的涉及到现代企业的整体风险管理领域。这就变内部审计被动的接受管理层要求进行服务，转变为从战略或者风险评估的目的出发，主动向管理决策层提供合理的及时的保证与咨询的服务。风险的管理审计时，审计师需要理解企业的风险管理程序，然后计划审计的我活动;企业风险管理信息可以帮助审计人员对审计工作进行规划，并分配审计的资源。

从某种意义上说，风险管理的审计保留了风险审计的各种特点，而且把审计关注点延伸到企业的重要战略层面和管理层对企业面临风险的忍耐度以及主要的风险评价和企业的绩效评价。这些都是企业经营管理的核心内容。

3.2 咨询服务

自身的控制评价是通过企业的管理人员与审计师合作作出的评价，用来对管理程序进行有效的控制。如此一来，内部审计机构的审计师就可以获得关于企业面对的风险管理信息，从而经过分析进行评价。协助管理人员履行其在企业风险管理框架中的职责。内部审计的参与完善了企业风险管理框架, 保证了框架的可行性。

3.3 如何进行管理的协调工作

当在组织结构上风险的管理体系不够健全的时候,董事会提出审计要求,内部审计才能够协助管理决策层完成风险管理建立工作，包括风险战略制定,风险评估与分析的指导和措施的协调与实施等。这里提到需要明确风险的管理责任由管理决策层承担, 内部审计需要经过董事会或审计委员会的批准，同时，内部审计机构也要对董事会或管理决策层声明，由于协调事项缺乏独立性，所以提供的服务无法得到保证。管理协调也是内部审计在特殊情况下对企业风险管理某种程度的直接参与。

3.4 管理咨询和管理建议

内部环境和组织支配资源以及企业面临的风险等都是内部审计内容和形式的决定因素, 并根据发展在不断的变化。企业风险管理还没有建立时, 内部审计机构发现风险问题，要提醒管理决策层和董事会引起重视, 并提出一般的解决意见。在建立企业风险管理体系之后, 内部审计可以提供有价值的咨询意见。

4 结语

内部审计参与风险管理不仅为内部审计自身提供了发展契机,而且作为企业内的一种独立、客观的保证工作和咨询活动, 内部审计是公司治理必要和有价值的组成部分, 能够在风险管理中发挥独特的作用,从组织体系上风险管理着力于构筑风险管理“三道防线”，即企业内部各有关职能部门和业务单位为第一道防线，风险管理职能部门和董事会下设的风险管理委员会为第二道防线，内部审计部门和董事会下设的审计委员会为第三道防线。企业雇员所具备的忠诚度和对企业运作的高度熟悉使内部审计人员在风险管理方面拥有注册会计师无可比拟的优势, 内部审计可以比民间审计提供更具针对性和及时性的风险管理服务,这种优势是所有外部审计和外部咨询难以超越的。

[1] 杜晓玲.基于风险管理的内部控制研究[J].西南财经大学学报,2008.

[2] 李春媛.如何加强企业财务风险控制[J].价值工程,2010(32).

[3] 王育宪.企业管理的一个新分支——风险管理[J].管理世界,1985(3).

[4] 李莉.全面审计风险管理研究[J].湘潭大学学报,2005.

[5] 鞠莉.企业全面风险管理的关键问题研究[J].中国市场,2010.

F272

A

1005-5800(2012)08(a)-153-03