风险管理与企业内部审计

范庆和

风险是指未来不确定性对目标的影响（正面影响与负面影响）。风险是双刃剑，既能给人们带来风险损失，又能带来风险收益。企业只要存在一天就会面临着各种各样的风险。如：国家宏观经济政策调控风险、经营风险、环境风险、市场竞争风险、战略风险、合规性风险、财务风险、内部管理失控风险、信息风险、商誉风险、投资决策失误风险和关键人才流失风险等等。忽视这些风险，企业就难以应对突如其来的各种风险因素的冲击，不堪承受难以估量的财务损失和经营困境。

一、企业风险管理

企业风险管理，指企业围绕总体经营目标企业， 通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。它由一个企业的董事会、管理经营层和员工共同实施，应用于战略制订并贯穿于企业之中，旨在识别可能会影响企业的潜在事项，管理风险以使其在该企业的风险容量之内，并为企业目标的实现提供合理保证。与传统的项目风险管理相比，企业风险管理强调战略导向，覆盖了企业所有的管理层次和管理领域，方法也更为结构化和规范化。

二、企业内部审计

（一）内部审计概念

国有企业内部审计依据国家有关法律法规、财务会计制度和企业内部管理规定等，对企业的财务收支、财务决算、全面预算、经济责任、资产质量、运营状况、经营绩效、建设项目及其他有关经济活动的真实性、有效性和效益性进行监督和评价工作，及时发现问题，明确经济责任，纠正违规行为。它通过检查和评价经营活动及内部控制的适当性、合理性和有效性来促进企业目标的实现。内部审计是国有企业内部的一种独立客观的监督和评价活动，也是企业内部不可或缺重要的管理工具和手段。目前一些国有企业内部审计已经从单纯的财务会计审计跨越到了企业经营管理领域，以改善企业的管理素质和提高管理水平为目的审计。而内部控制审计和风险管理是其中的重要组成部分。

（二）国有企业内部审计现状简析

内部审计是现代企业管理和管理控制的重要组成部分。目前，一般国有企业大都设置了内部审计部门，但一些国有企业内部审计工作同时存在着以下一些的问题。比如：鉴于管理级次问题，一些内部审计部门不能向股东（大）会、董事会、监事会或企业审计委员会提交审计检查报告，内审机构设置缺乏独立性；内部审计工作范围局限于差错防弊、财务收支的检查，较少触及现代国有企业业务流程方面的风险管理和监测，从而未能就国有现代企业风险管理担起监督作用；内审部门的隶属关系、角色、职责不明确；内部审计人员的水平、内审方法、知识的更新速度和内部审计的创新能力、应变能力等有待提高和完善， 高素质、复合型审计人才匮乏，内部审计缺乏一套系统化和科学化的内审程序等等。

三、内部审计参与企业风险管理的主要动因

近几年来，随着经济的发展，特别是经济全球化的加深以及欧债危机持续发酵和全球经济的持续低迷，企业面对的是一个充满风险的外部世界，使企业的经营环境变得日趋复杂。

随着信息化时代的到来和企业管理的网络化普及，现代企业的管理体制、经营业务流程、内部控制、经营理念等将发生了变革。知识经济的来临和高科技迅猛发展也使企业面临比以前更大的风险。企业自身为适应环境求得生存也在不断的变革中求发展，而变革是企业风险产生的一个重要来源。也是内部经营环境促使内部审计参与企业风险管理主要动因之一。

可见，企业风险无处不在，因此，企业所有者和经营者必须树立风险意识，把减少企业面临的风险作为企业实现目标的关键。今天，企业对于防止可能发生的风险与损失以及损失后如何采取补救措施，比以往任何时候都更加关注，从而要求企业对其自身存在和面临的各种风险以及可能存在与发生的所有风险进行识别、衡量、评价，并在此基础上制定和实施对企业最优化的风险处理方案。内部审计的目的在于增加企业的价值和改善企业的经营。因此，内部审计部门和内部审计人员参与企业的风险管理也就成为必然的内在需求。

四、内部审计如何参与企业风险管理

内部审计的作用是监控、评估和分析企业的风险，审查信息及企业对法律法规的遵守情况，向企业董事会、审计委员会以及高层管理人员负责提供保证——风险已被分散、企业治理是有效的。内部审计对企业风险管理一般应包括以下方面：

（一）评价企业风险管理组织架构的合理性、有效性

检查企业是否已经建立健全为实现风险管理目标而设置的内部管理层次、管理结构和配备必要的管理人员。审查企业内部的如财务会计部门、销售部门、采购供应部门和人员之间的权限分工、职责是否明确、不相容的岗位是否相互分离，岗位之间是否相互牵制内容等。对企业风险管理组织架构的合理性、有效性进行评价并提出改进意见和措施。

（二）对企业风险管理目标进行合理性评价

风险管理的目标是指企业通过实施必要的风险管理将风险控制在一个可控的水平，从而保证企业经营目标的实现。内部审计在评价企业风险管理目标时，要对本企业的风险状况进行辨析，不同企业应对损失的能力有所不同，因而所设定的风险可控水平是不同的。不同的风险管理目标，决定着具体的损失前目标和损失后目标的不同， 为实现这些目标所进行的风险管理活动也就不同。内部审计人员应当结合企业的战略目标来评价企业风险管理目标。

（三）对风险进行有效识别

风险识别是对企业所面临的、以及潜在的风险加以判断、归类和鉴定风险性质的过程，换言之，就是要确定企业正在或将要面临哪些风险。内部审计要对原有的已识别风险是否充分进行评价，即企业所面临的主要风险是否均已被识别出来，并找出未被识别的主要风险。

（四）提出改进和防范的措施

风险的防范措施是指企业为降低已识别出的风险可能造成的损失所采取的措施。内部审计机构可以根据不同的情况，提出避免风险、接受风险、还是降低风险的具体措施和建议，以强化企业的风险管理，降低风险损失，并对有关部门所采取的风险防范措施进行监督和检查。

风险衡量是应用各种管理科学技术，采用定性与定量分析结合的方式，最终定量估计风险大小，找出主要的风险来源，并评价风险的可能影响，以便以此为依据，对风险采取相应对策。内部审计要对已有风险的衡量结果进行再检验，以确定其是否恰当，对不恰当的估计予以更正。风险的防范措施就是为降低已识别出并已衡量的风险所采取的措施，也称风险管理工具的选择。采用改进和防范措施主要有：避免风险、损失控制、分离风险单位、转移风险（包括转移风险源、签订免除责任协议、利用合同中的转移责任条款）等。

内部审计对有关部门针对风险所采取的防范措施进行检查，检查其是否充分、得当。对于风险缺乏充分的控制措施的情况，应提出改进措施和建议，以强化企业的风险管理，降低风险损失。此外，内部审计参与风险管理应当评价企业在风险管理运作的各个环节所制定的相关规章制度，并监督实施。

企业内部审计部门每年应定期或不定期的对包括风险管理职能部门在内的各有关部门和业务单位能否按照有关规定开展风险管理工作及其工作效果进行监督评价，监督评价报告应直接报送企业董事会或董事会下设的风险管理委员会和审计委员会。此项工作也可结合年度审计、任期审计或专项审计工作一并开展。

（作者系恒天凯马股份有限公司）