祁舒慧

摘 要 鉴于我国企业内部审计在风险管理中存在诸多问题，笔者认为，只有以风险管理为核心的理念出发，才能改善我国企业内部审计未能在风险管理中发挥重大作用的现状，本文从国家和企业两个层面探讨相应的对策。

关键词 风险管理 企业 内部审计

中图分类号：F239.45 文献标识码：A

1完善内部审计参与风险管理的准则和制度内容

内部审计准则体系的基本架构在我国已经初步建立。但是内部审计要得到更好的发展，应该在风险管理、内部控制和企业治理中，进一步明确和细化内部审计的角色定位，使得内部审计准则更加完善。推进实务指南的完善与发布，以便更好地把内部审计准则落到实处，加强内部审计实务的发展，为了实现与国际的同步而积极借鉴国际内部审计准则。只有这样，内部审计才能在规范的市场经济中明确自己的角色。同时还要通过建立相关法律法规，规范内部审计在企业风险管理中的定位，并提供良好的外部环境。

2003年5月1日至2010年已经颁布施行的内部审计具体准则有29个，内部审计实务指南有4个。这些准则、规定为内部审计工作的开展提供了保障，但与开展风险导向内部审计的要求还有一定的差距。

2007年3月21日石爱中副审计长在中国内部审计协会第五届常务理事会第三次扩大会议上宣传内部审计10个新理念时，其中一个新理念就是“重内部控制，也重风险管理”。

2提高内审机构地位，保持内审机构的独立性和客观性

根据IIA的观点，审计委员会的一个重要职责就是确保内部审计的独立性。内部审计的独立性是保证内部审计客观性的基础，是内部审计内容、范围、方法、技术和报告不受干涉的前提。

我国企业，特别是上市企业可以按照中国内部审计协会发布的《内部审计具体准则第23号——内部审计机构与董事会或最高管理层的关系》的具体内容，根据企业治理体制的健全情况选择内部审计管理模式，设立由董事会和高管层双重领导的审计委员会，下设独立于其他经营管理系统的内部审计机构以开展内部审计工作。

为了保证审计结果的客观公正，内部审计必须保持高度的客观、独立性，内部审计机构在组织、人事、经费支持以及其他方面应该独立于被审计单位，不受任何干涉。

内部审计缺乏独立性，将会导致审计失败。内部审计人员应该在企业风险管理中清楚他们的定位，内部审计不再是以往简单的复核监督，而是更高层次的确认与咨询功能，同时也是企业风险管理的第三道防线，对风险管理的运行起到保驾护航的作用。

3建立健全风险管理制度

3.1尚未建立风险管理制度的企业，内部审计机构应向管理层提出建立风险管理制度

内审人员和外部审计人员相比，更熟悉企业的各项业务，由于单位许多重要的生产、经营、投资等决策活动，内审人员都会参与其中进行全过程监督，因此对各项流程比较熟悉，更能提出可行性和可靠性的建议。内审人员如果能知道生产经营可能产生的风险，可以促使建立风险管理流程，为企业风险管理的建立和完善提供咨询服务。

3.2已经建立风险管理制度的企业，内部审计机构应评估风险管理的执行情况

（1）风险管理主要目标完成情况评估。主要是评价企业以及所在行业发展的现状和发展趋势，检查是否存在风险，风险是否会对企业发展产生影响，检查企业在目前的经营战略下能够接受的风险程度，检查各部门的目标，目标可能产生的风险，检查减少风险和加强控制的措施和评估措施的有效性。

（2）风险管理方案适当性的评价。由于企业文化、管理理念和经营目标的差异，导致每家企业风险管理的差异。每家企业都应该设计自己的风险管理过程，以求符合本企业的经营管理特点。一般来说，规模小，业务简单的，可以设立一个非正式的风险管理委员会，定期进行评价活动；规模较大、经营业务复杂的，应当单独设立风险部门，制定管理制度或者可以量化的风险管理办法。

4建立健全内部控制制度，促进内部审计的转型与发展

内部控制活动是执行企业管理层指令的有效保证，企业所有的运作层次和职能中都存在控制活动，企业风险管理与内部控制之间的关系是相互依存的：风险管理是内部控制的要素之一，同时，实施企业内部控制又能加强风险管理，降低企业风险。而内部控制又是内部审计的直接对象，通过内部审计的检查、评估而不断地促进内部控制健全完善，进而将风险控制在企业可以接受的范围之内。因此，企业应建立科学、合理、规范的内部控制制度与内部控制系统，以促进企业开展风险导向审计，协助企业管理层的工作，促进企业目标的实现。

内部审计既是企业内部控制的重要组成部分，也是加强企业风险管理的中坚力量，在强化内部控制，优化风险管理过程方面应当发挥着不可替代的作用，企业要适应内部审计“转型与发展”的要求，通过多种途径做好内部审计人员内控规范体系培训工作，积极推进内审工作的全面转型与发展。

5完善以风险导向为基础的内部审计机制

5.1以风险为基础确定审计计划

风险是内审部门制定审计计划，确定工作重点的基础，企业风险管理战略应在内部审计计划中体现。内部审计部门应结合企业管理的要求和掌握的审计资源确定具体的审计项目。

内部审计机构制定年度审计计划，应注意以下几点：

（1）以全局性为原则确定审计范围。整个企业的风险战略、经营目标应反映在审计范围中。进行风险评估后，找出被审计项目的各种风险因素，这些因素应该与审计事项相关，以确保审计范围不遗漏。

（2）以重要性为原则确定审计重点。对确定需要审计的项目，根据重要性原则进行风险评估后，实行优先排序。对于可能出现风险较大甚至损失的项目；两次审计间隔时间较长、问题较多的项目；高层要求审计的项目；财务问题涉及金额较大的项目；治理结构和内部控制体系有重大变动的项目要优先安排审计。

（3）审计计划应当根据风险评估结果和管理的需要进行调整，如果风险因素出现了重大的变化，应当调整审计项目的排序。

5.2以经营目标为起点开展内审工作，积极推广风险导向内部审计

风险管理阶段，应从经营目标出发确定内部审方式。这样做有三个好处，（1）内部审计关注的职责和范围扩大，促使内审人员从全局角度辨识风险。（2）为内审部门和其他职能部门搭建了交流平台，使双方监督与被监督的紧张关系有望得到改变。（3）促使内部审计站在战略高度关注经营环境的变化，并在风险管理与战略目标有差异时提出建议。

风险导向内部审计是先进的审计理念，整合了多种审计方法，是一种综合型审计模式，关注企业的各种风险，无论是整体还是到各个层次，具体有以下几个特点：以企业的目标和风险为起点，确定审计的重点；协助辨认各种风险因素，分析结果，确定各种风险管理和控制措施实施的先后顺序；提供确认服务，确认风险管理程序在是否如当初料想那样发挥重要作用；通过咨询服务，帮助管理层改善风险管理、内部控制流程。所以我国各种类型的企业，都可以借鉴这种先进的审计理念，开展适合本企业的风险导向内部审计活动。

5.3完善风险管理和内部控制的审计报告体系

内审人员审计时应从为企业服务的角度出发解决问题，提出有利于企业发展的建议。如果审计报告涉及企业风险管理或内部控制情况的内容，需要考虑：报告的内容重点反映被审部门存在的问题，特别是风险管理、内部控制和企业治理等方面，还有风险评估的结果，包括风险产生的原因、本质、涉及的金额和防范风险的措施；与被审部门沟通，交流审计意见；报告要反映风险管理运行情况结论和改善风险管理的建议，重点突出风险活动的后果以及对实现企业经营目标的重要性；说明报告的适用范围，内部审计应该长期、积极地支持风险管理，参与风险管理活动，在风险管理活动中起到管理和协调的作用；为企业管理层出谋划策，提供他们需要的信息，协助企业实现价值增值。

6建立风险管理评估标准——危机预警管理系统

内部审计在对风险管理过程的效率效果进行评价时，可以通过危机预警管理系统来制定评价的标准。首先将企业可能面临的危机分门别类，然后确定这些危机的重要性、发生可能性以及风险的严重程度，危机来临后及时识别，并采取措施进行管理。

完整的危机预警系统包括危机、监控指标、预警的时点、必要的资源、系统的性能、系统的执行和维护等。建立该系统只是为了识别风险，内审部门还要制定危机应对计划，建立一系列危机处理的措施。要考虑危机产生后，采取措施弥补其影响。这样，在危机系统中，“危机预警”对应“风险识别”，“危机应对”对应“风险应对”，“危机恢复”对应“风险控制”，三个流程一一对应，有效的防范风险。当企业出现危机，系统就会预警，内审部门计算出风险值，当风险值达到企业设定的风险容忍度，要提醒相关部门采用措施进行防范。这样，内部审计才能实现对风险的实时监控。

7合理安排内审人员结构，加强内审人员风险管理理念的培育

7.1合理安排内部审计人员结构

内部审计人员的结构，包括工作人员的组成结构和工作人员的知识结构。人员组成方面不必强调内部审计机构完全由审计或会计等经济类的人士组成，应该实行灵活的工作人员组合，主张专职的内审人员占少数，兼职人员占多数。进行风险专项审计时，可临时雇用生产、营销、质量和专业人士组成“工作组”参与，以确保内部审计效果。在知识构成方面要求内审人员有较强的综合能力和广阔的知识面，因此要加强内部审计人员定期培训，包括风险管理技术、金融创新等方面，不断更新知识。

7.2内部审计人员要转变观念，培养风险管理理念，提升风险审计专业判断能力

内部审计工作只有给企业带来价值才有意义和被领导所重视。由“监督”导向型向“服务”导向型转变，并与国际接轨是我国内部审计的发展趋势。“服务”导向型内部审计职能侧重于服务，内部审计人员除了要及时、准确地向管理当局报告有关查错防弊和资产保护信息以外，更重要的是针对管理和控制的缺陷提出建设性的意见和改进措施，协助管理人员更有效地管理和控制各项活动，合理使用资源，以提高经济效益，增加企业的价值。服务导向型的内部审计部门应积极促进健全内部控制制度，积极参与风险管理。

风险管理理念的培养有助于内审人员在企业风险管理中发挥重要作用。《企业风险管理——整合框架》提出了“风险组合观”这个新概念，要求管理人员分析风险时，使用风险组合的理念。作为企业的“第二种声音”，内部审计有利于企业加强自身监管，有效防范风险，转危机为机会。审计人员要熟悉了解企业所在的经营环境，清楚可能产生风险的流程和环节，并注意加强与各部门的沟通协调，同时始终保持高度的危机感。风险管理要求企业包括各职能部门和生产环节的所有员工参与，因此，风险管理的理念就是“人人参与”。内审人员除了自身要熟悉企业可能产生风险的环节，还需要通过风险管理全过程的保证和咨询服务，协助企业成员建立风险理念，认识企业面临的各种风险，并转化为实际行动，自觉承担起为企业分担风险的责任。只有全员参与，风险管理理念才能扎根企业，为有效防范风险提供良好的保障。

如同会计职业判断，内部审计也需要职业判断，在国家有关审计准则，内部控制规范等指引下，通过对企业风险管理过程的了解，结合自身专业知识和实践经验，对管理层的风险偏好、风险测度、捕捉风险征兆的时机、如何计算风险度、适时报警等等做出专业的判断。内部审计人员风险审计专业判断能力的加强，对提升企业全面风险管理大有裨益。