任剑欣

[摘 要]内部审计作为组织内部风险管理体系的一个组成部分，为组织有效开展风险识别、风险处置、风险预警及风险防范发挥了独特的专业优势和作用。新形势下，如何更好地认识处理内部审计与风险管理之间的关系，寻求有效途径服务企业做好风险管理，对内部审计而言既是机遇也是挑战。本文解读分析企业内部审计与风险管理之间的关系，对内部审计服务企业风险管理的形式路径进行研究论证，并从维护审计独立性、培养审计环境、提高队伍职业化等方面提出保障性措施。

[关键词]内部审计；企业风险；风险管理；保障

doi：10.3969/j.issn.1673 - 0194.2016.04.011

[中图分类号]F239.45 [文献标识码]A [文章编号]1673-0194（2016）04-00-02

1 企业内部审计与风险管理的关系

1.1 企业风险管理的内涵

风险管理是企业的一种管理活动，起源于20世纪中叶的美国。风险管理以目标为导向，涵盖和关联到企业管理的各个方面，是企业内部一个相互关联、相互影响、相互协作的整体性活动。一般意义上，风险管理就是基于成本效益考虑，对风险采取针对性的措施而实现管控风险所要达到的预期目标的过程。2004年，美国COSO委员会发布企业风险管理框架，企业风险管理主要包含内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控等八个主要要素，该框架对于系统认识风险管理活动具有较权威的示范模型作用。

1.2 内部审计的涵义

内部审计是为了改善和增加企业综合性价值而采取的一种独立的确认和咨询活动，其目的是通过系统和规范的方法促进组织改善治理和管理，帮助组织增加价值、实现目标。2013年，国际内部审计协会CIIA把审查和评价组织业务活动及其内部控制和风险管理的适当性、合法性与有效性列入对内部审计的最新定义中，我国内部审计协会在2014年“内部审计工作规定的征求意见稿”中也把审查和评价单位的业务活动、内部控制和风险管理的适当性和有效性列入其中。

1.3 两者之间的关系

内部审计作为组织内部治理体系的重要组成部分，发挥了推进组织治理体系和治理能力现代化建设的重任。从上述内部审计的含义解读和实践发展进程来看，参与组织风险管理已成为内部审计重要的职业发展方向和业务主战场。内部审计作为组织内部的具有相对超脱和独立身份的机构，能以更加全面、深刻和专业的视角观察分析和评价组织面临的各种内外部风险因素，充当了组织内部风险防控的最后一道屏障和安全网作用。一方面，内部审计可以通过履行职能服务企业进行风险管理，内部审计的监督和服务职责能从不同角度开展风险管理业务，既可以以监督身份开展独立性的风险评审和评估，也可以借助服务职能全面参与企业风险体系建设，实现内部审计的快速发展与创新，有力地提升内部审计的地位作用；另一方面，风险管理理论及实践的发展也为企业内部审计的价值增值创造了业务空间和发展平台，内部审计正处于从传统财务领域向非财务领域的过渡发展阶段。

2 内部审计服务企业风险管理的形式路径

2.1 为企业软环境发展提供咨询与智力支持

软环境主要指企业风险管理策略、风险文化等。内部审计组织能够充分发挥自身具备的全局视野和专业技术优势，以超脱独立的身份为企业风险策略及文化等软实力提供咨询指导。这主要取决于两方面因素：一是由于内部审计在企业中所具有的独特组织地位，大多数企业的内部审计机构都直接向企业董事长或总经理负责并报告工作，很多企业甚至还设置审计委员会来增强内部审计的组织优势，这决定了内部审计人员具有对企业全面的业务接触和深刻的业务思考，内审人员比其他人员更具有对企业全盘的认知理解；二是企业内审人员的业务工作特性决定了他们对企业的风险分布、风险概率、风险存在形式等有更加全方位的接触与思考，内审人员跟其他具体的业务职能人员相比，更能避免逆向利益驱动、环境影响、反道德行为等可能导致风险管理失效或不彻底等情况的发生。

2.2 再次评估确认企业风险管理工作

企业内部审计部门可直接从风险管理中的几个重要环节（如风险识别、风险评估、风险应对、风险监控等）入手开展再评估、再确认工作。

2.2.1 风险识别

内部审计人员应当施行必要的审计程序对企业风险识别的过程进行细致的审查与评价，将重点放在企业所面临的所有内外部重大风险是否已经得到充分的确认层面，在对风险识别的再次确认过程中寻找企业可能出现的疏忽或遗漏。

2.2.2 风险评估

内部审计部门及人员应当从企业重要业务领域、关键管理环节或重点内部控制的审查评估入手，对已存在的风险评估重点、评估方法、评估步骤及评估结果等过程进行再次检验核查，以确认整个风险评估工作所采取的态度、观点及措施办法是否充分适当，并进一步对不恰当的评估管理工作进行更正与优化。

2.2.3 风险应对

内部审计部门应当对企业有关部门针对不同风险所采取的防范措施及风险态度进行执行情况检测，通过查看其执行情况评价风险应对策略和措施办法是否充分恰当。内审部门应当提出风险防范的改进措施及意见建议，协助各部门完善各类风险反应及处置方案，从调整优化企业风险应对措施和完善企业风险防范管理工作入手有效降低风险对企业带来的损失和危害。

2.2.4 风险监控

企业内审人员应当对风险所处环境及其他相关因素开展持续性监测和分析，动态关注企业风险监控体系是否健全及执行情况，也可以通过对内部审计揭示披露风险或问题的处理情况开展后续跟踪检查，检查所实行的控制措施是否及时有效或产生新的风险，并将检查结果及建议提供给企业管理层以便改进风险控制措施。

2.3 通过综合型审计直接评估确认企业风险

风险可能存在于企业内部各个业务领域和管理环节，内部审计通过综合型审计业务工作的开展可以直接揭示和预防风险，帮助企业促进风险管理。《中央企业全面风险管理指引》提出企业风险主要包括战略风险、财务风险、市场风险、运营风险和法律风险等。内部审计对企业实施的综合性审查可以直接从业务入手开展风险评估工作。如针对战略风险开展的重大决策事项审计评审、针对财务风险开展的财务收支审计、针对市场风险开展的审计专项市场调查、针对运营风险开展的经营审计、针对法律风险开展的内控体系评价等。

3 完善保障性措施

内部审计对企业风险管理的价值贡献需要具备一定的内外部环境或条件因素，这是本文提出保障性措施的基本出发点。

3.1 维护内部审计的独立性

服务企业风险管理，内部审计只有维护自身的组织独立性和思想独立性，审计人员才能以相对超脱的身份发挥好职责角色。维护内部审计的独立性：一要有组织级别层面的较高设置，审计部门要直接接受组织最高管理层的直接领导；二要加大企业董事会、审计委员会、监事会对内部审计的工作支持和督导；三要革新审计人员在内部薪酬、考评、职务晋升及其他方面的体制性支持，确保内审人员在执行工作过程中不受其他因素困惑或干扰。

3.2 培育良好的审计环境

从内部环境看，内部审计要积极取得公司管理层的信任与支持，审计部门和人员既要通过扎实有效的业务审计成果树立自身威信，也要主动积极加强沟通联络，培育良好的业务合作关系，使内部审计真正成为良好的业务合作伙伴，摆脱过去内部审计“看不顺眼”“人心隔肚皮”的现象；从外部环境看，内部审计既要加强与外部审计组织之间的沟通联系，提高业务协作水平，充分利用借鉴外部审计专业技术优势和资源优势，也要加强与上级审计主管单位或部门的信息沟通，及时掌握上级审计工作要求和最新业务动态，实现上下级之间的信息畅通流转。

3.3 加强审计人员的职业化建设

相比较过去传统的数据审查、账务核实，风险管理对内部审计是一个新的课题。面临新形势、新任务，审计人员一要加强风险知识的补充学习，既要学习企业所涉行业或市场的相关法律法规，也要系统学习企业风险管理和评估方法，更新完善知识结构、思维观念；二要及时转变思维意识，更新传统审计理念和技术方法，提高业务观察力判断力，增强思考辨别和分析能力，加强对现代新科技、网络技术的学习运用；三要加强职业道德建设，提高执业素养，培养审计人员的核心价值观，真正沉下身子、耐住性子干事创业，把内部审计视为实现自己价值追求的终身发展平台。

主要参考文献

[1]刘薇.我国企业内部审核问题研究[J].经营管理者，2015（26）.

[2]时现，田选章，于伯新.风险管理审计研究——基于企业内部审计视角的分析[J].中国内部审计，2010（6）.

[3]邓羽嘉.风险管理视角下高科技企业内部审计问题研究[D].沈阳：辽宁大学，2014.

[4]胡培强.内部审计在企业风险管理中的作用研究[D].苏州：苏州大学，2006.