论风险管理中的内部审计

紫霞小仙子

       [摘　要]　当今世界，由于的多变和竞争的激烈，风险受到企业管理者的日趋重视，内部介入风险管理是一个崭新的事物，应当充分借鉴西方先进的理论、技术和方法，使我国的企业管理不断完善。本文从内部审计在企业风险管理中的地位、责任和作用三方面加以论述。

　　 [关键词]　内部审计；风险管理；地位；责任；作用

　　当今世界，风险无时不在、无处不在，由于环境的多变和竞争的激烈，企业风险日益增大，使企业的生存和发展受到严重的挑战，因此，企业管理者对风险管理的重视程度也日趋提高，如何控制和管理风险成为现代管理者面临的重要课题。按照2002年1月开始实施的国际内部审计师协会（IIA）修订的《内部审计实务标准》要求，机构的内部审计工作应该以风险为导向，以满足机构经营管理的需要，新标准全面阐述了内部审计的新定义，突出了内部审计介入风险管理的要求。中国内部审计协会发布的于2005年5月1号开始实施的内部审计具体标准第16号——风险管理审计，为内部审计人员对组织内部风险管理状况进行审查和评价提供了依据。内部审计在风险管理中究竟有什么责任、起到哪些作用？本文将就此问题进行初浅的探讨。

　　一、从风险管理的内涵看内部审计在风险管理中的地位

　　风险管理（riskmanagement）是管理人员的关键职责。关于风险管理的定义，目前尚无统一的说法，比较有权威和比较有代表性的是威廉与汉斯在1964年出版的《风险管理与》一书中突出的看法，认为风险管理通过对风险的识别、衡量和控制，以最低的使风险导致的各种损失降低到最小程度的管理方法。这个定义包含了以下三个方面：（1） 企业风险管理的目标是以最小的成本达到最大的安全效果；（2）企业风险管理由风险识别、风险衡量和风险控制几个环节组成；（3）实现风险管理目标的主要手段是控制。风险管理的目标与企业总目标是一致的，风险管理是管理层的一项主要职责，它应当确保组织中有良好的风险管理过程，并使其发挥作用。成功风险管理的关键是取得超额价值的权利，是有意识地面对风险，而不是不知情地接受风险。根据权威专家的，笔者认为风险管理是企业管理层根据决策的需要，对影响战略目标实现的不确定因素进行识别、评析，实施风险规避、风险抑制、风险控制、风险转移、风险保留、风险利用等战略，把风险程度降低到可接受水平的系统管理过程。管理层根据企业整体目标以及风险偏好负责管理控制制度系统的设计，并实施管理控制制度。管理控制制度制定出来之后要交付执行，在执行过程中要检查、监督和纠偏，这样就必须有一个相对独立的部门来完成这项工作，而作为企业的管理咨询师的内部审计人员正好承担这项工作，内部审计的目的在于增加组织的价值和改善组织的经营，通过检查、评价风险管理、控制、和治理过程的效果帮助管理层实现组织目标。因为管理层自己制定政策又去检查政策的执行情况，有如既当运动员又当裁判，易失公正，难于得出正确的结论。内部审计在风险管理中是一个相对独立的部门，其地位是其他职能部门不可替代的。

　　二、内部审计在风险管理中的责任

　　既然风险管理如此重要，作为企业的内部审计师在风险管理中如何承担责任？企业要想实现其业务目标，管理层应该保证机构拥有健全的风险管理过程，而且这些程序正在有效发挥作用。董事会和审计委员会应该在确定机构是否建立恰当的风险管理过程以及这些程序是否充分有效运作等方面起监督作用，而内部审计师首当其冲。正如国际内部审计协会关于内部审计的的定义中所描述：“内部审计是一种独立、客观的保证和咨询活动。其目的在于为组织增加价值和提高组织的运作效率。它通过系统化和规范化的方法，评价和改进风险管理、控制和治理过程的效果，帮助组织实现其目标。”可见内部审计师的职责是，运用风险管理方法和控制措施，对风险管理过程的充分性和有效性进行检查、评价和报告，提出改进意见，为管理层和审计委员会提供帮助。风险管理是一个复杂的系统工程，在一个组织内部应当有职责分工各司其职。董事会负责制定战略目标，高层领导各负责一个方面的风险管理责任，其他管理人员有管理层分配给一部分工作，操作人员负责日常的监控，而内部审计人员则负责定期评价和保证工作。对于尚未建立风险管理过程的企业，内部审计应该提请管理层注意这种情况，并提出建立风险管理过程的相关建议。国内、国外许多审计实践表明，对风险管理审计的报告更容易被管理当局所接受，管理部门也更容易理解内部审计存在的意义，它可以帮助内部审计度过正在影响企业的价值危机。我国内部审计具体准则第16号——风险管理审计中第七条规定“内部审计机构和人员应当充分了解组织的风险管理过程，审查和评价其适当性和有效性，并提出改进建议。”




　　可见，对于风险的监控应该成为内部审计师的职责，对企业的风险管理过程进行评价和报告一般是内部审计的重点。内部审计可以促进风险管理过程的建立或使风险管理的有效性成为可能，但是，他们不应该直接参与并拥有已经确认的风险或者对这些风险进行管理，否则必将影响内部审计师的独立性，也就是说内部审计人员不负风险管理的责任，只是对企业的风险进行确证和咨询。

　　三、内部审计在风险管理中的作用

　　1、能够客观地对组织整体的风险管理进行审查与评价。

　　风险在组织内部具有感染性、传递性、不对称性等特征，即一个部门造成的风险或疏于风险管理所带来的后果往往不是由其直接承担，而是会传递到其他部门，最终可能使整个组织陷入困境。正因为如此，有些部门可能会出现过渡风险，因为风险不是由你们来承担（至少不是单独承担），如，采购部门为节约采购成本，就会忽视对规格、型号、质量方面的检查，或者有意购买残次品，这种暗藏的风险会在生产车间或销售部门反映出来，最终给企业造成巨大损失。因此对风险的认识和防范、控制需要从全局考虑，而各业务部门又很难做到这一点。内部审计部门不从事具体业务活动，独立于业务管理部门，这使得它们可以从全局出发、从客观的角度对风险进行识别，及时建议管理部门采取措施控制风险。

　　2、企业的风险策略，防止控制过度或不足的缺陷。

　　内部审计是内部控制的再控制，企业根据目标和所能承受的风险，制定内部控制制度，内部审计人员对现代内部控制的评估焦点不在于控制的符合性，而是强调风险并评估具体的风险管理活动，以增加企业价值，实现企业目标。控制过度容易导致效率不高，控制不足容易导致舞弊行为的产生。由于内部审计部门处于企业的董事会、总经理和各职能部门之间的位置，内部审计人员能够充当企业长期风险策略与各种决策的协调人。通过对长期计划与短期实现的调节，内部审计人员可以指导企业的风险管理策略。

　　3、发挥反馈作用，对企业的风险管理起预警功能。

　　内部审计在企业管理控制系统中发挥反馈作用。由于风险是面向未来的，是直接与目标及战略相关联的，因此以风险为核心及出发点的内部审计，能够以事后的反馈延伸到事前以及事中，从而更高效率的控制。内部审计的咨询职能充分体现内部审计的能动性及增值目标，并且将事后的反馈扩展到内部控制建立前以及实施时的协助与促进，帮助管理层对风险管理进行持续改进与完善。

　　4、内部审计部门有相对的独立性，其风险评估的建议更易引起重视。

　　有些企业尽管也有风险管理部门，但它属于管理部门的一个职能部门，向总经理报告，不具有独立性，其意见有时会屈服于管理当局的压力。如风险管理部门对某项目分析后发现风险太大不适合投资，而总经理好大喜功，他会力促项目的实施。这使得风险管理部门的作用受到限制。内部审计部门独立于管理部门，其风险评估的意见可以直接报给董事会，这会加强管理当局对内部审计部门意见的重视程度，推动企业不断向前发展。

　　综上所述，内部审计涉足风险管理领域有其客观必然性，是环境因素和其本身因素使然。在风险管理中，内部审计部门主要是对风险管理部门和其他相关部门所进行的风险管理的再监督。内部审计介入风险管理是一个崭新的事物，借鉴西方先进的风险导向内部审计是我们新的尝试，对内部审计如何在风险管理中具体发挥作用是一个需要我们进一步深入探讨的课题。

　　参　考　文　献

　　[1]内部审计实物标准[Z].北京：中国时代出版社，1999.