内部审计在企业风险管理中的作用

【摘要】本文讲述了内部审计在风险管理中的作用，如何加强内部审计，促进风险管理。强调要树立正确的风险审计理念，将风险管理融入内部审计的全过程，利用网络信息开展动态管理评价模式，提高内部审计人员的风险管理业务技能，全面促进风险管理。

【关键词】识别评估分析计量反馈预警加强审计

随着企业的经营发展和市场竞争的加剧，企业风险日益增大，企业的生存和发展受到严重挑战，内部审计在风险管理、内部控制以及公司治理等方面有着重要的地位和作用。本文就内部审计在风险管理中所起的作用以及如何发挥其作用进行探讨。

一、内部审计在风险管理中的作用

（一）客观识别和评估风险

内部审计部门独立于业务管理部门，这使其可以从全局出发，从客观的角度对风险进行识别和评估。所谓风险识别是指对企业所面临的以及潜在的风险加以判断、归类和鉴定风险性质的过程。换言之，就是要确定企业正在或将要面临的那些风险，并找出识破主要风险。内部审计师不仅要识别相关的风险，而且还应从以下五方面对风险进行评估：一是评价企业战略目标是否符合组织行业发展情况和趋势，企业的优势和劣势，外部的机会和威胁的基础上结合实际来制定；二是看分解到各部门的目标是否对战略目标提供足够的支持，是否与企业整体目标保持一致；三是评价员工是否确知已建立的工作目标或业务管理目标；四是是否已识别出各类内部和外部风险因素，并对已识别的风险进行计量，分析控制措施是否完善，是否可以使企业风险发生的可能性和影响都控制在风险容忍度之内，五是风险监控是否合理，风险管理报告是否充分、及时等。

（二）综合分析和计量风险

风险分析和计量是内部审计对企业经营管理中遇到的各种风险采取定量和定性的方法进行有效的分析和确定。定量分析方法是对已经识别的风险进行量化估计，通用的公式：风险值=风险影响×风险概率。内部审计可以对风险进行计量和解析。如在实际审计中，发现有大额债权长期未能收回的现象，在审计报告中要及时报告不良债权产生的原因、可能造成的坏账风险以及合理预测风险值（每一笔债券金额与各自可收回的风险概率乘积之和），以帮助管理层及时采取对应措施，最大限度挽回损失，追究相应的责任，完善应收款项的风险防范制度。在风险难以量化，定量评价所需的数据难以获取时，应采取定性评价。定性评价的复杂性在于很多情况下需要主观判断不同结果的可能性，不同背景、不同经验、不同性格和不同职位的人对风险判断都可能不同，如在计量未决诉讼预计负债时，其金额具有不确定性，需要根据相关法律法规进行合理而恰当的估计。

（三）及时反馈和预警风险

内部审计在企业管理控制系统中发挥反馈作用，对企业的风险管理起预警功能。内部审计在检查内部控制程序的合理性以及执行情况和控制效果，特别在关注高风险领域和内控不健全区域的潜在威胁时，是通过风险反馈进行持续监督与评价，确保目标与预算如期完成的。一方面，内部审计要与相关部门进行风险管理沟通，对风险管理过程的充分性和有效性进行检查、评价，对重大的审计发现按清晰传递的线路进行报告，以便及时采取相应的控制措施，同时对监督检查结果的落实情况要进行跟踪报告，使控制风险及时得到控制和防范；另一方面，以风险为核心及出发点的内部审计，能够客观的从全局的角度管理风险，从组织的利益和实际出发提出防范风险的有效建议，作为管理层改进风险管理的参考意见，内部审计的建议更加强调风险规避、风险转移和风险控制，同过有效的风险管理建议反馈，提高组织的整体管理效率。

二、如何加强内部审计，促进风险管理

（一）树立正确的风险审计理念

在当前市场竞争日趋激烈的情况下，企业面临的风险越来越大，企业各级管理层深刻理解所处环境中各种不确定因素对企业风险的含义，把风险作为重要的决策力量，始终把风险意识贯穿于经营的全过程。内部审计已成为企业风险管理的一个重要环节，存在风险的领域就是内部审计的重点，风险评估成为内部审计的主要内容。内部审计工作应从事后审计向事前和事中、从静态审计向动态审计、从现场审计向远程审计和非现场审计方向发展。内部审计除了要关注传统的内部控制之外，更要关注有效的风险管理机制和健全的公司治理结构。内部审计的工作重点是分析、确认、解释和防范关键性的经营风险。内部审计的目标应该从传统的“差错纠弊”提升为“帮助组织增加价值”，效益审计应成为内部审计的重要内容。

（二）将风险管理融入内部审计的全过程

内部审计部门主要是对相关部门的风险管理进行再监督，内部审计的最终目的是向管理层提供信息，以减少在实现组织目标过程中可能带来的负面影响，因此内部审计程序与机构的风险管理之间应该协调一致，使这两项工作产生协同增效的作用。首先，在编制审计计划时，应在对可能影响机构的风险进行评估的基础上，按风险评估结果确定优先审计顺序，制定内部审计部门的审计计划，确定审计项目。其次，确定审计范围和编制审计方案时，通过风险因素分析来确定审计业务工作范围，如重要的会计凭证、重大交易和事项的会计处理及交易授权等；在审计实施过程中，通过评价内控制度，查找其中的疏漏和薄弱环节；在选择技术与方法时，应能反映出风险的重大性与发生的可能性。再次，在编制审计报告时，应对风险管理状况进行评价，指出风险管理中存在的漏洞，提出加强管理的建议。最后，后续审计时应注意将注意力集中于最严重的潜在问题上，将风险确定为决定后续审计范围的重要因素，风险越大，后续审计的范围就越广。

（三）利用网络信息开展动态管理评价模式

随着市场竞争的加剧，新的审计环境要求审计人员在风险管理审计中，利用网络信息收集风险数据开展动态的评价模式，为企业提供最有价值的服务。内部审计机构应根据机构和人员的设置情况，对日常资料的收集和分析工作进行分工。收集内部信息和外部信息，收集有助于进行风险评估的内部控制状况资料，建立数据库，数据库的优点是把面临的风险进行量化，发挥预警作用，同时进行全方位、全过程的监督，以便及早发现存在的风险并及时进行解决，达到控制风险和方法风险的目的。充分利用风险评估，及时准确地确定审计监控的重点和范围，为各级经营决策者和审计部门全面、连续、及时的监控和评价业务发展情况提供大量有价值的信息，提高审计效率和审计质量。

（四）提高内部审计人员的风险管理业务技能

内部审计师的职责是运用风险管理方法和控制措施，对风险管理过程的充分性和有效性进行检查、评价和报告，提出改进意见，为管理层决策提供帮助。风险管理是一项复杂的系统工程，内部审计人员除了要具备扎实的专业技能外，更应丰富专业风险管理的知识和技能，精通风险管理技术、现代管理信息技术和先进的管理技术手段，通过精通的专业胜任能力来协助企业预防和减少风险，改进管理和提高效率。

作者简介：李艳（1975-），女，山东梁山人，冀中能源股份有限公司庞矿审计科审计师。