论内部审计在风险管理中的角色和作用

马欢欢

2002年美国国会出台的《萨班斯-奥克斯利法案》，该法案要求所有到美境内上市的企业必须建立风险内控机制，极大促进了世界范围内风险管理的普及。企业内部审计对风险管理至关重要。当企业将目光转向风险管理时，内部审计和风险管理在全球经营风险日益凸显的环境中共同演进。

一、内部审计在风险管理中的角色

内部审计可以协助风险估算程序和对风险管理程序进行评价，对风险管理的恰当程度作出保证。COSO的企业风险管理框架中的“职能和责任”一章中阐明，组织里的每个人对全面风险管理都负有责任。然而，人员职位不同，对风险管理承担的责任也不同。风险管理是管理人员的关键职责。要实现其目标，管理人员应该保证组织机构拥有健全的风险管理过程，并且这些程序正在有效地发生作用。首席执行官承担最终责任，董事会和审计委员会应该在确定机构是否建立恰当的风险管理过程以及这些程序是否有效运作等方面起监督作用。而其他管理人员支持全面风险管理的理念，促使组织在风险容量内经营，并在各自负责的领域里负责将风险降低到相应的风险容忍度内。IIA在2004年9月发布的《内部审计在企业风险管理中的角色》意见书中认为内部审计关于企业风险管理的核心角色是就组织风险管理的有效性相董事会提供客观保证，以帮助确信商业风险被正确管理及内控系统有效运转。这些表明，内部审计人员的主要角色是，帮助管理层和审计委员会监督、检查、评估、报告、建议全面风险管理过程的充分性及有效性，其对全面风险管理的建立并没有基本责任。

实务公告2100-3同时指出内部审计人员以咨询顾问身份开展工作可以协助机构确定、评价并实施针对风险的管理方法和控制措施。所以，保证和咨询也是内部审计的重要角色。

我国长期将内部审计定位于监督和评价，尤其以财务监督为主，以企业的“经济警察”自居。现在，内审人员必须从单纯行使监督职责的“经济警察”角色中转变过来，将“风险顾问”作为定位，才能在不断更新的企业理念中跟进脚步、寻求自身发展。内审人员对风险管理各环节各人员实施监督，但监督不是目的而是手段。最终目的是规范企业成员行为，评价风险管理系统预防程序、风险估算程序、风险管理程序的能力和效果，以帮助企业实现目标，增进企业价值。

二、内部审计在风险管理中的作用

内部审计在风险管理中的作用主要体现在两个方面：一是针对管理的风险评估过程提供确认；二是以咨询顾问的身份介入风险管理。随着内部审计参与风险管理的深入，审计职业所要求的独立性和客观性容易受到威胁。因此，内部审计人员应当有所为，有所不为。由此我们可得出内部审计在风险管理中的作用以及内部审计不应当发挥的作用：

（一）确认作用

确认服务是一种为了对组织的风险管理进行独立评價而客观地审查证据的行为。如，对财务、绩效、合规性、系统安全和应尽责任的审查等。表1针对ERM框架的每个要素分别说明内部审计在风险管理中的确认作用：

（二）咨询作用

咨询是指内部审计师不承担管理层职责，与客户协商服务的性质与范围与客户，提供建议以及相关的客户服务，增加价值并改进组织的风险管理。咨询的例子包括顾问、建议、协调、培训等。具体的途径有：

第一，风险咨询顾问。《内部审计实务公告》2100—4条中说明内部审计师可以以咨询顾问的身份协助组织确定、评价并实施针对风险的管理方法和控制措施。如果组织尚未建立风险管理过程，内部审计师可以在协助初步建立风险管理过程的工作中发挥积极作用。但是，应注意的是，内部审计师在建立和管理风险管理过程中所起的作用有别于“风险所有者”，他们不应该“拥有”已确认的风险或负责这些风险的管理。

第二，风险管理程序培训。由于内部审计师作为风险咨询专家，对风险管理有着丰富经验与专业知识，所以帮助管理层培训风险管理程序，有助于其识别风险，采取恰当的风险应对措施。

（三）不应承担的作用

管理层对风险管理的建立健全承担最终责任。内部审计活动应保持独立性和客观性，避免独立性或客观性在形式上或实质上受到损害。内部审计人员可以在协助初步建立风险管理过程的工作中发挥积极作用，可以通过咨询方式改善基础过程，作为对传统确认活动的补充。但是内部审计不应该代表管理层对风险进行管理，对风险负责。否则，审计的独立性和客观性会受到损害。

（作者单位为江苏省疾病预防控制中心）