導(dǎo)語：當前公司風險管理與內(nèi)部審計透析一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

本文作者：孫福梅工作單位：中石化中原油田分公司審計中心

內(nèi)部審計在企業(yè)風險管理中的獨特優(yōu)勢

（一）內(nèi)部審計在風險識別和評估過程中的優(yōu)勢內(nèi)部審計作為企業(yè)有效治理、風險管理和內(nèi)部控制不可或缺的一部分，參與風險管理既是內(nèi)部審計職業(yè)發(fā)展的要求，也是企業(yè)發(fā)展的需要。企業(yè)相關(guān)職能部門如人力資源、合同管理部門等，只能對其所管理的領(lǐng)域或經(jīng)濟事項的某一階段的固有風險進行識別和管理，內(nèi)部審計部門的優(yōu)勢在于，首先，內(nèi)部審計不僅可以涉及企業(yè)的組織結(jié)構(gòu)、工作流程和經(jīng)營戰(zhàn)略等領(lǐng)域，而且可以監(jiān)控經(jīng)濟業(yè)務(wù)管理的整個過程；其次，內(nèi)部審計不僅重視會計信息，而且重視經(jīng)濟信息、產(chǎn)業(yè)信息和財務(wù)信息等。內(nèi)部審計的獨特地位和專業(yè)知識使其可以通過對所掌握的企業(yè)經(jīng)營過程中所表現(xiàn)出來的各個方面的風險進行匯總、歸納、綜合分析和提升，發(fā)現(xiàn)企業(yè)內(nèi)部存在的共性問題、體制和機制層面的缺陷和風險，進而從根本上解釋和評估風險管理措施，提高風險管理的有效性。（二）內(nèi)部審計在風險信息溝通和風險管理系統(tǒng)監(jiān)控中的優(yōu)勢由于企業(yè)職能部門和內(nèi)部組織直接參與企業(yè)內(nèi)部經(jīng)營和風險管理，出于對單位和部門自身利益的考慮，企業(yè)職能部門和內(nèi)部組織有可能不會將其所掌握的所有風險毫無保留的上報到董事會和管理層，進而由于信息溝通不暢造成過程控制風險。內(nèi)部審計部門直接向董事會或總經(jīng)理負責的機制決定了內(nèi)部審計部門不存在像職能部門和內(nèi)部組織那樣的小團體利益，因而可以在其職責范圍內(nèi)，較好的完成其他管理部門不能完成的風險監(jiān)控和風險信息溝通職能。

內(nèi)部審計在企業(yè)風險管理中的作用

在企業(yè)風險管理框架下，內(nèi)部審計是風險管理的函數(shù)，是對風險管理的再管理。內(nèi)部審計參與風險管理的途徑有兩種：即風險管理審計和風險導(dǎo)向?qū)徲?。兩者既各有區(qū)別相互依存。內(nèi)部審計部門在全面深刻地了解被審計單位的剩余風險的基礎(chǔ)上，重點關(guān)注妨礙組織目標實現(xiàn)的高風險領(lǐng)域，合理設(shè)計進一步實質(zhì)性審計程序的范圍、重點和方法，并合理分配審計資源，提出改進措施和建議，做到既能保持審計效果，又能提高審計效率。兩者的聯(lián)系在于都是以企業(yè)內(nèi)部控制中的風險管理為審計對象，在兩者的相互關(guān)系中，風險管理審計是風險導(dǎo)向?qū)徲嫷幕A(chǔ)，詳盡而精準的風險管理審計為風險導(dǎo)向?qū)徲嬛该髁藢徲嫹较?，明確了審計重點，是成功風險導(dǎo)向?qū)徲嫷谋匾獥l件。同時，風險導(dǎo)向?qū)徲嬍菍︼L險管理審計的進一步延伸，在風險管理審計的基礎(chǔ)上，風險導(dǎo)向?qū)徲媽ζ髽I(yè)剩余風險較大的領(lǐng)域進行重點審計，提出進一步減少或降低風險的措施和建議，提高企業(yè)風險管理水平，為企業(yè)目標的實現(xiàn)提供合理保證。內(nèi)部審計部門可以從以下方面開展風險管理審計：（一）分析風險環(huán)境，識別風險事件風險環(huán)境是指是指妨礙組織經(jīng)營目標實現(xiàn)的經(jīng)營環(huán)境，既包括法律、政治和經(jīng)濟等外部風險環(huán)境，也包括企業(yè)的風險偏好與風險文化、誠信與道德價值、管理理念與經(jīng)營風格、組織結(jié)構(gòu)與權(quán)責劃分等內(nèi)部風險環(huán)境。內(nèi)部審計部門通過對經(jīng)營環(huán)境及其變化的詳細分析，觀察同行業(yè)內(nèi)其他企業(yè)的經(jīng)營狀況及整個市場的經(jīng)營風險水平，加上內(nèi)部審計人員獨特的專業(yè)知識和技術(shù)，可以獨立的推斷企業(yè)存在的潛在重大風險，并比較全面客觀地判斷企業(yè)的固有風險以及剩余風險。（二）評估風險級別風險管理通常要求采用風險評級和計分的方法進行風險評估，并根據(jù)量化的風險水平對風險進行排序。內(nèi)部審計人員需要從客觀的角度分析風險的假設(shè)條件、計算方法的適當性來評價風險。對一些難以客觀量化的風險，內(nèi)部審計人員則需要憑借職業(yè)判斷，采用主觀估計判斷風險發(fā)生的可能性。內(nèi)部審計對風險的評估不僅要看概率，而且要看影響程度。如果只關(guān)注概率，低概率的事件有可能會被忽略。但低概率風險暗含的突發(fā)因素可能會在某種情況下發(fā)生相互聯(lián)系的、不斷演變的連帶反應(yīng)，使事件變得越來越嚴重。（三）評估風險控制的有效性對于經(jīng)過識別和評估后的風險，企業(yè)都要經(jīng)過風險與收益的權(quán)衡，作出接受、規(guī)避或分散風險的決策。當風險超過企業(yè)的風險偏好，企業(yè)不能接受或無法經(jīng)濟有效的加以抑制，為避免風險帶來的負面影響，企業(yè)有可能采取放棄該項目或計劃的做法。對于大部分風險，企業(yè)需要采取一定的控制行動，將不可接受的固有風險轉(zhuǎn)化為可接受的剩余風險。內(nèi)部審計部門需要采取各種方法，如分析性復(fù)核和詳細測試程序，對企業(yè)采取的風險控制及管理活動進行分析，評估企業(yè)風險回避的合理性、減少風險措施的有效性，是否出現(xiàn)了新的風險等。分析時應(yīng)考慮：組織內(nèi)是否對風險達成共識；影響組織保值增值的主要風險是否被識別；風險分析是否圍繞可能性和影響程度、弱點、發(fā)展速度與相互依存等；不同的情況是否被評估和進行了負荷測試；是否著手影響因素分析并制定應(yīng)急計劃；風險評估及降低風險計劃及步驟；與誰溝通、溝通周期及溝通的有效性；剩余風險是否在可接受水平；是否有審批高風險決定的政策、程序并遵照執(zhí)行；董事會和執(zhí)行管理層是否對風險管理活動滿意等。（四）風險信息溝通內(nèi)部審計部門從評價各職能部門的內(nèi)部控制制度入手，查找各領(lǐng)域的管理漏洞，以獨立第三方的身份驗證信息的準確性和及時性，對風險環(huán)境中出現(xiàn)的新的風險和變化作出職業(yè)判斷，對企業(yè)風險管理過程的效率性、效果性進行獨立評價，并以審計報告的形式定期向董事會或?qū)徲嬑瘑T會報告組織內(nèi)存在的剩余風險以及風險是否得到有效管理的信息。值得注意的是，內(nèi)部審計部門通過風險管理審計和風險導(dǎo)向?qū)徲媴⑴c企業(yè)風險管理，但并不參與風險管理程序的建立和運行過程，而是在企業(yè)已有風險管理的基礎(chǔ)上實施再監(jiān)督，目的在于促進風險管理過程的建立健全和風險管理的有效性。