内部审计在企业风险管理中的作用

每个组织的存在都有其目标，在实现目标的过程中，存在着 影响 目标实现的不确定性因素。 企业 管理层的一项重要职责就是要建立一个良好的风险管理体系，来识别、评价和控制风险，为企业目标的实现提供合理的保证。内部审计在风险管理中的作用就是监控、检查、评估、报告管理层风险管理过程的充分性和有效性，提出改进意见，帮助企业改进风险管理与控制体系，从而为企业增加价值。

企业风险管理体系简介

要对风险管理过程的充分性和有效性进行评价，首先要对风险管理体系有一个初步的了解。根据美国COSO委员会《企业风险管理框架》的要求，建立风险管理体系包括相互关联的八个风险管理要素，各要素贯穿在企业管理过程中，为实现企业目标提供保证。

第一是内控环境。主要是在企业中树立风险管理理念，营造一种风险管理文化，为其他风险管理要素打下基础。

第二是目标制定。管理者必须首先确定企业的目标，才能够确定对目标的实现有潜在影响的事项。根据企业确定的任务或预期，管理者制定企业的战略目标，选择战略并确定其他与之相关的目标并在企业内层层分解和落实。

第三是事项识别。下列事情可能给组织带来风险：因使用不正确、不及时、不完整、不可靠的资料而导致决策错误；记录有错误、 会计 核算资料不真实、不完整；资产保护不当；顾客不满意，组织信誉受损；执行组织决策、计划、程序不力，或有违法违规行为；不 经济 地获取或无效地利用资源；没有完成组织的任务和目标。需要企业的管理者对其进行识别、评估和反应。

第四是风险评估。风险评估可以使管理者了解潜在事项如何影响企业目标的实现。管理者应从两个方面对风险进行评估-风险发生的可能性和影响。对于风险的评估应从企业战略和目标的角度进行。

第五是风险反应。风险反应可以分为规避风险、减少风险、共担风险和接受风险四类。对于每一个重要的风险，企业都应考虑所有的风险反应方案。有效的风险管理要求管理者选择可以使企业风险发生的可能性和影响都在风险容忍度之内的风险反应方案。

第六是控制活动。控制活动是帮助保证风险反应方案得到正确执行的相关政策和程序。控制活动存在于企业的各个部分、各个层面和各个部门，通常包括两个要素：确定应该做什么的政策和影响该政策的一系列程序。

第七是信息和沟通。来自于企业内部和外部的相关信息必须以一定的格式和时间间隔进行确认、捕捉和传递，以保证企业的员工能够执行各自的职责。

第八是监控。对企业风险管理的监控是指评估风险管理要素的 内容 和运行以及执行质量的一个过程。企业可以通过持续监控和个别评估两种方式，来保证企业的风险管理在企业内务管理层面和各部门持续得到执行。

从以上八个风险管理要素可以看出，企业风险管理是一个过程。是一个由企业的董事会、管理层和其他员工共同参与的， 应用 于企业战略制定和企业内部各个层次和部门的，用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的，为企业目标的实现提供合理保证的过程。

内部审计在风险管理中的作用

根据《内部审计实务标准》对内部审计的定义：内部审计是一种独立、客观的保证与咨询活动，目的是为机构增加价值并提高机构的运作效率。它采用系统化规范化的 方法 来对风险管理、控制及治理程序进行评估和改善，从而帮助机构实现其目标。所以在风险管理中，内部审计要发挥两方面的作用：

将企业风险管理融入内部审计程序

在风险管理中，内部审计部门主要是对风险管理部门和其他相关部门所进行的风险管理进行再监督。因此内部审计程序与机构的风险管理之间应该协调一致，使这两项工作产生协同增效的作用。

1.在编制审计计划时，应该在对可能影响机构的风险进行评估的基础上，制定内部审计部门的审计计划，确定审计项目。

2.确定审计范围时，要考虑并反映整个公司的战略性计划目标，并每年对审计范围进行一次评估，以反映机构的最新战略和方针。

3.编制审计方案时，通过风险因素分析来确定审计业务工作重点；在审计实施过程中，通过评价内控制度，查找其中的疏漏和薄弱环节；在更新审计范围与计划的 内容 时，要反映管理层的方针、目标、工作重心出现的变化。在选择检测、证实风险的技术与方法时，应该能够反映出风险的重大性与发生的可能性。

4.在编制审计报告时，应对风险管理状况进行评价，指出风险管理中存在的漏洞和不足之处，提出加强管理的建议。

5.追踪审计时，将风险确定为决定追踪审计范围的重要因素，风险越大，追踪审计的范围就越广。追踪审计应该将注意力集中于最严重的潜在的 问题 上，通过持续追踪，确保对于重大的审计发现，相关部门采取措施予以纠正。