内部审计在企业风险管理中的职责和作用

内部审计在企业风险管理中的职责和作用

1.内部审计参与企业风险管理的优势

内部审计在企业管理中的职能和地位是独特的，是其他企业职能部门无法取代的，也是外部审计机构难以替换的。内部审计应该充分发挥这种独特的优势，积极参与企业风险管理。内部审计在参与企业风险管理中的优势可以概括为以下三个方面：

1.1内部审计参与企业风险管理的独立性优势

内部审计不参与企业的生产经营业务的具体管理，这包括不代替业务管理部门制定具体管理制度，不参与各种业务活动的具体操作，因此也不对各项业务管理中的问题承担直接责任，这种相对超脱的地位是保持审计独立性的内在基础。内部审计通过实施审计检查程序发表的审计意见可以直达企业的管理高层，具有相对客观的基础，尤其对其他部门和下属企业而言可以保持具有重要影响力的独立权威。相比之下，某个直接负责经营运作的业务部门或企业由于自身业绩和责任的影响，对风险的反映和处置会更多站在自身角度考虑而缺乏及时性和客观性。 内部审计在企业管理中是一个综合性的部门，审计的范围覆盖各级企业和企业的各个方面，掌握的信息是多方面的。企业的风险潜藏在各个方面，许多风险也会相互影响和传递，风险管理因此需要从全局角度对风险的影响大小、轻重缓急进行综合评估，协调各方面风险管理的行动。内部审计同直接、单一的业务部门相比更具有从全局考虑分析判断风险的综合性优势。内部审计对企业风险管理进行的系统性、专业性监督检查和评价，会权衡企业实施风险防范和效益成本的利弊，在风险与收益比较中研究风险管理的定位，这也是其他部门难以做到的。

1.3内部审计参与风险管理的连续性优势

内部审计部门和内部审计人员长期在企业内部工作，对企业面临的风险更了解，对风险的各种影响因素更便于做深入的调查，而且对企业风险的转化影响，风险管理措施效果更便于进行连续的跟踪，对风险管理进行循环的连续性监控，而且内部审计长期参与企业风险管理所掌握的风险管理信息和经验，会对不断深化企业风险管理和节约管理成本产生重要影响。相比之下，有的外部审计或咨询机构可能在独立性和专业性方面具有一定优势，但是却很难像内部审计一样对企业风险进行连续性关注， 他们只能阶段性地按约定范围提出咨询意见，而且咨询成本也往往大大高于内部审计。

2.内部审计在企业风险管理中的职责

企业风险管理贯穿在企业生产经营的全过程，渗透到企业的各个部门各个环节。内部审计作为企业的重要管理部门之一，对企业的风险管理也承担着重要的责任。《企业内部控制基本规范》中规定“企业应当加强内部审计工作，保证内部审计机构设置、人员配备和工作的独立性。内部审计机构应当结合内部审计监督，对内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷，应当按照企业内部审计工作程序进行报告；对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告。”。《审计署关于内部审计工作的规定》中对内部审计的基本职责作出明确规定，其中就包括“对本单位及所属单位内部控制制度的健全性和有效性以及风险管理进行评审”。《中央企业全面风险管理指引》中规定“内部审计部门在风险管理方面，主要负责研究提出全面风险管理监督评价体系，制定监督评价相关制度，开展监督与评价，出具监督评价审计报告。”。国际内部审计师协会也在关于内部审计的新定义中明确：“内部审计是一种旨在增值和改善机构运营状况的独立的、客观的保证和咨询活动。它通过引入系统化、严谨方法来评价和改善风险管理、控制和治理程序，帮助所在机构实现其目标。”这些规定和定义，可以看作内部审计在企业风险管理中所负责任的制度依据。根据内部审计的职责和监督服务的基本功能，内部审计在企业风险管理中应担负以下具体责任：

2.1在企业风险管理中担当监督责任

监督是内部审计的一项基本职责，也是内部审计传统的看家本领。企业风险管理过程也存在监督职责，而且监督是风险管理的起始和基础。要管理风险，必先识别风险。企业的风险在哪里，形成风险的相关因素有哪些？内部审计在履行风险管理监督责任时，首先要学会分析判断企业风险所在，在准确识别风险的基础上，要坚持原则，勇于发现反映企业存在的风险，切实体现监督责任，因为许多企业的风险是同各级管理人员甚至领导人员的工作缺陷分不开的。企业风险管理中的监督和风险管理中的各项处置与承受也需要在不同的职能部门间分开，才能使风险得到充分的反映。因此内部审计往往成为体现企业风险管理监督责任的主要部门。

2.2在企业风险管理中担当评价责任

企业风险在识别的基础上需要进一步评价。内部审计应当掌握企业风险评价的系统方法，对企业风险形成因素、影响后果、发生频率、损失程度等等作出分析，根据不同的指标对企业的风险级次进行排序，为进一步的风险处置提供决策基础。这里值得强调的是，内部审计要承担好风险评价责任，必须具备专业的系统化严谨评价方法，而不是简单的主观经验判断。无疑这对许多内部审计机构来讲仍然是一个薄弱的环节，需要相应的专业人才配备和学习培训，才能担负起风险评价的责任。

2.3在企业风险管理中担负咨询服务责任

内部审计应当对企业风险管理需要采取的措施提出建议，尤其是对需要通过改进内部管理、健全内控制度来进行风险管理的内容提出建设性的意见。咨询服务是企业环境变化给内部审计带来增加价值的极好机会，是内部审计提升地位和作用的崭新平台，而风险管理正是提供咨询服务最多机会的重要管理活动。内部审计应抓住这个机遇，作到急企业所急，想企业所想，积极主动地在风险管理中开展帮助、促进健全管理活动，才能履行好咨询服务责任。

3.内部审计在企业风险管理中的作用

内部审计要在企业风险管理中尽其责任，是必须通过内部审计的具体工作来体现的，通过参与风险管理的有关审计活动发挥其作用。

3.1在风险识别、评价中发挥预警作用

风险是尚未显现不利后果的某种可能。这种潜在的可能是在相关不利因素作用下可能出现的结果。因此，识别和抓住相关不利因素是分析判断风险是否存在的基本条件。例如判断是否存在投资风险，应对投资决策程序是否遵循规定的程序、是否符合企业发展战略、是否具备必要的投资管理能力等方面进行检查，如果投资风险相关因素存在缺陷，即使该项投资目前有盈利，那也应当作投资风险看待。如分析应收款管理的风险，应当检查企业在客户资信调查、应收款帐期管理、应收款对帐、催收责任、应收款考核奖惩机制等方面是否健全，不能等到应收款已经形成坏帐才去反映处理。内部审计应在各种审计中善于发现可能形成风险的不利因素苗头，及时进行评价和反映，才能起到在风险识别评价中的预警作用。

3.2在风险防范处置中发挥参谋作用

化解和降低风险同样应从消除风险根源入手，内部审计要在风险防范处置中发挥参谋作用，应根据各种风险的根源条件及其相互作用进行分析，寻找消除风险根源的可能途径。有的外部风险根源是企业无法避开和影响的，但是许多企业内部的风险根源则是可以通过改善管理而消除的，这也是内部审计发挥更多参谋作用的用武之地。内部审计在许多专项管理审计中，在内部控制系统评审活动中，都应根据发现的管理薄弱环节，对制度性、执行力缺陷提出改进意见，改善企业的管理，保证企业目标的实现。

3.3在风险管理机制建设中发挥整合作用

企业面临的风险存在广泛性、经常性、持续性特点，企业的风险管理不应被动地对突发性风险进行应对，而应建立经常性的风险管理机制，使风险管理贯穿在企业生产经营各个环节，渗透到企业的各个角落。内部审计利用自己的工作特点正可以在建立企业风险管理体系和管理机制方面发挥整合作用。企业的各种风险可能会相互影响传递。