内部审计在现代企业风险管理中的作用和方略

《内部审计在现代企业风险管理中的作用和方略》由会员分享，可在线阅读，更多相关《内部审计在现代企业风险管理中的作用和方略（27页珍藏版）》请在装配图网上搜索。

1、内部审计在现代企业风险管理中的作用和方略内容提要 风险管理是现代企业管理的重要课题，如何发挥内部审计在风险管理中的作用是本文研究的重点。本课题组组织了二十一名专家、教授、企业负责人、内审人员到企业进行调研，通过组织专题研讨、问卷调查，总结了内部审计在现代企业风险管理中所发挥的重要作用，提出了内部审计参与风险管理的模式，并对内部审计的发展方略进行了探讨。关键词 内部审计 风险管理 作用 方略国际内部审计师协会(IIA)在1999年对内部审计作出第七次定义：“内部审计是一种独立的、客观的保证和咨询活动。其目的在于为组织增加价值和提高组织的运作效率。它通过系统化和规范化的方法，评价和改进风险管理、控

2、制和治理过程的效果,帮助组织实现其目标。”这一新定义将内部审计的范围延伸到风险管理和公司治理，认为内部审计是针对风险管理、控制及治理过程的有效性进行评价和改善所必需的。一、 现代企业风险管理的定义及内涵（一）、定义2003年委员会在中指出 “企业风险管理是一个过程。这个过程受组织的董事会、管理层和其他人员的影响。这个过程从企业战略制定一直贯穿到企业的各项活动中。企业风险管理旨在识别那些可能影响企业的潜在事件,在组织的风险偏好范围内管理风险，为组织目标的实现提供合理的保证”。国内学者认为,风险管理是企业通过对潜在意外或损失的识别、衡量和分析,并在此基础上进行有效的控制,用最经济合理的方法处理风险

3、,以实现最大的安全保障的科学管理方法。（二）、内涵1、企业风险管理是一个系统过程,包括风险的识别、衡量、评估和控制等环节。2、企业风险管理的宗旨是通过对潜在意外或损失的识别、衡量和分析，进行有效控制。3、企业风险管理的原则。一是认真权衡的原则。对风险的性质、风险程度做出合理评估,结合企业管理、财务等综合能力,制定风险管理方针和策略。二是坚持稳健的原则。企业管理当局熟知,对于所面临的风险自己必须承担若干。决定何种风险应予以承担,答案是承担不超过承担能力的风险。董事局对企业当局的风险管理能力要具有质疑能力,避免不稳健的经营策略。三是成本效益原则。对风险管理具体措施的成本及其收益进行比较,合理择用。

4、 4、企业风险管理的最终目标是用最经济合理的方法处理风险，以实现最大安全保障的科学管理方法，最终实现组织目标。 二、内部审计参与现代企业风险管理的必要性内部审计利用自身的技术优势、人才优势、信息优势,能有效地开展企业风险管理。开展风险管理活动,既是企业生存和发展的需要,也是内部审计生存和发展的需要。（一）、风险管理是公司治理的核心，内部审计作为公司治理的重要手段，与风险管理密不可分公司治理是指在财产所有权与经营权相分离的情况下，在公司各利益相关者之间建立起一种相互制约、相互配合的机制。风险直接影响企业目标的实现，因此风险管理是公司治理的核心。企业的经营者必须全面了解企业内、外部的经营管理、市场

5、环境信息，才能有效的识别和控制企业经营风险，确保企业目标的实现，而企业的所有者必须了解公司真实的财务、经营和管理信息，才能正确判断经营者的业绩与能力。信息传递的不对称问题，严重影响公司所有者和经营者的正确判断，内部审计作为公司治理的自我调控机制，是解决信息不对称问题的重要措施。因此内部审计作为公司治理的重要手段，与风险管理密不可分。（二）、内部控制是风险管理的主要手段，内部审计作为内部控制的重要组成部分与风险管理密不可分内部控制是指企业为了提高经营效率和充分有效的获取和使用各种资源，达到既定的管理目标，而在内部实施的各种制约和调节的组织、计划、方法和程序的总称。内部控制与风险管理的联系日趋紧密

6、。在决定内部控制政策，并在此基础上评估特定环境中内部控制的构成时，董事会应对诸多风险管理问题进行深入思考。如公司面临风险的性质和程度；公司可承受风险的程度和类型；风险发生的可能性等。而内部审计作为内部控制的重要组成部分与风险管理密不可分。（三）、内部审计事业发展的渴求，使风险管理成为其主要职责 内部审计的目的在于增加组织的价值和改善组织的经营。随着社会经济的发展，特别是经济全球化及国际化程度的加深，使企业经营环境变得日趋复杂，企业经营风险也大大增加。因此，减少企业面临的风险是组织实现目标的关键，也是企业的管理人员十分关心的问题。国际内部审计协会顺应潮流不遗余力地倡导内部审计师进军这一领域，把风

7、险管理作为内部审计的重要领域直接写入了内部审计的定义。随着风险管理导向内部控制时代的来临，内部审计的工作重点也发生了变化，现代内部审计除了关注传统的内部控制之外，更加关注有效的风险管理机制和健全的公司治理结构。在风险导向内部审计的观念下，风险管理成为组织发展的关键，促使内部审计的工作重点不仅是测试控制，而且包括确认风险及测试管理风险的方法。在风险导向的内部审计中，控制仍然重要，但分析、确认、揭示关键性的经营风险，才是内部审计的焦点。三、内部审计在现代企业风险管理中发挥的重大作用(一)、内部审计能够从战略高度来调控企业风险管理体系现代企业要求建立隶属于董事会的审计委员会，内部审计在现代企业中的这

8、一特殊的地位，能够从战略的高度来调控企业风险管理体系。审计委员会作为现代企业董事会的二级机构，是对董事会负责的监督监督者的部门，主要站在公司治理的高度对企业的内部审计监控体系进行全面规划和评价。 如我市某银行内部审计体系就是从战略高度调控风险管理的。其中很具特色的要数其三维立体风险控制体系。一维：董事会审计委员会负责审查本行的内部控制制度，并对其有效性和执行情况进行全面评价，从战略高度来调控企业风险管理体系。二维：经营层设置了资产负债委员会负责流动性风险，审贷委员会负责大额授信业务风险控制；风险管理部对授信业务进行全面的管理与监督，下设的放款中心对信贷业务情况进行日常的监督；总部指定的委派会计

9、对支行的操作风险进行现场指导和监控；支行和各业务部门根据风险控制、权利制衡的要求相应设置风险管理岗位，负责各部门、支行的风险与内控的日常监督。三维：稽核监控部负责对经营风险、授信业务风险、财务风险、操作风险、国际业务风险、资金营运风险等所有业务风险进行日常监督和合规性审查。该行按照风险评价体系的要求对有关管理环节、业务流程、业务品种等进行了风险分析，将风险细化为系统风险、财务风险、信贷风险、操作风险等,针对每个业务品种细化风险防范流程,明确风险点所在，并在稽核监控部相应成立了四个风险监控小组。内审工作流程将以前按业务专业划分内审小组的方式，改变为按风险设立内审项目组。 该行还坚持检查与处罚相结

10、合，严肃查处内部违规、违章事件决不手软。为了使发现的问题和风险隐患能及时整改，内审部门坚持按稽核处罚条例严格处罚，警示效果良好。（二）、内部审计能够客观的评价企业风险管理系统，提出改进措施建议，降低风险损失内部审计不直接从事生产、经营业务活动，独立于各业务职能部门，这使得他们可以从全局出发、从客观的角度对风险进行识别和评价，及时建议管理部门采取措施控制风险，减少风险损失。1、内部审计能对风险管理过程的有效性和充分性进行评价。一方面可以对内部控制系统的健全性、科学性和执行情况进行测试评价。在公司领导下，成立内控制度测评小组，通过访谈，内控制度完整性评价等方法，对公司进行整体内部控制设计有效性评估

11、；通过对所确定的流程与控制点记录，穿行测试等方法来对主要控制流程设计的有效性进行评估；通过对所确定的流程实施测试来对内部控制执行有效性进行评估。及时发现内部控制缺陷，制定纠正计划并实施，然后再测试评价，作出结论。另一方面还能评价风险管理主要目标的完成情况和管理层选择的风险管理方式的适当性。如检查公司的经营战略，了解公司能够接受的风险水平，评价公司以及同行业的发展情况和趋势，确定是否可能存在影响企业发展的风险，与相关管理层讨论部门的目标、存在的风险，评价其有效性，评价管理层对风险的分析是否全面，为防止风险而采取的措施是否完善，建议是否有效等。2、内部审计能协助内部机构确定、评价并实施针对风险管理

12、的方法和措施。内部审计在此方面的作用如：针对管理中存在的漏洞，提出解决办法，建立良好的控制制度；对风险管理进行深入研究，利用现代技术开发适合本企业的评估工具等。如我市某通讯公司对风险管理体系评价和建议的实例：内部审计部门依据公司2004年度整体风险评估的结果，按照风险的高低对主要运营机制和流程进行排序，确定了审计工作重点是对高风险的运营流程进行周期性的审查，检讨内部控制制度的健全性和有效性，从而改善企业管制、风险管理和内部控制，确保完成企业的长远目标。根据这一目标该公司分别展开了收入保障流程、市场推广销售流程、财务流程、客户服务流程审计。收入流程审计是从公司与收入管理相关的文件，规章制度，分析

13、目前企业的管理制度是否健全；并通过与市场部、网络部、计费业务中心、网络管理中心、客服中心等部门的相关人员进行访谈、审查工作记录、查明管理制度的执行力度；同时针对某些发现，进行了一连串的测试，以进一步明确问题的范围，以及量化这些问题所带来的影响和确定潜在的风险；找出收入保障流程中可能使一部分收入得不到确认的主要问题；根据审计结果评估出有关部门现行的流程和程序，以一个注重业务流程的方法，了解及分析重要收入保障流程中和相关的业务风险及潜在风险；并与业内惯例作比较，利用收入保障流程和相关风险管理方法，针对审计中发现的问题分别提出了改善建议。通过各个环节和流程的自查和审计，发现了流程中还存在的一些造成收

14、入“跑、冒、滴、漏”的问题，从而促进该公司及时堵塞漏洞，加强了管理，减少了损失。（三）、内部审计能够参与企业事前、事中、事后的全过程风险审查，从而全过程控制和管理企业风险现代企业内部审计已经从传统的就账查帐，就事论事的巢臼中走出来，实现了全方位的转变。即在审计模式上从以财务收支审计为主向以经营管理、内部控制为主转变；在审计目的上从以资产安全为主向实现组织目标转变；在审计手段上从以手工操作为主转向以计算机和网络技术为主转变；在审计行为上从以不规范的随意性向规范化和科学化转变。现代企业风险存在于管理的各个环节，风险管理是一个复杂的系统工程；而内部审计自身的发展变化使之具备了事前介入、事中监控、事后

15、评价全程的条件和参与企业风险审查的能力，从而能够全过程的控制和管理企业风险。首先，内部审计部门从参与设计和评价企业内部控制系统入手，审查企业内部控制制度的科学性，审查所选择风险管理方式的适当性，在采购、生产、销售、计划财务、人力资源管理等各个领域查找管理的漏洞，识别并防范风险，对企业各项业务的执行作出事前风险管理的统筹安排；其次，内部审计在具体业务执行的过程当中，主要是对执行者进行全方位的监控，包括内部控制制度、预先的计划和安排执行情况等，并深入到企业管理和操作的各个环节查找问题，及时审查分析；最后，内部审计在没有参与具体业务的前提下，以其独立的身份，在各项业务完毕后，对执行结果进行评价，进一

16、步完善内部控制体系，对具体业务的风险控制和管理提出建议。某从事涂料生产的股份公司内部审计对产品生产全程进行风险审查的实例：在2004年初，该公司内审部门通过大量的调查了解，深入现场，进行抽样测试等，理清了公司各项流程的基本特点，将公司生产过程基本归纳分为8大业务流程，提出90多个风险控制点，并做了详细的描述和适当性评价；在此基础上，运用实地观察、随机抽样测试、穿行测试、制造错误检测等灵活方法对各项流程进行符合性测试和有效性测试；由此，通过内审部门的工作，在控制环境、控制政策和程序、风险管理方式、信息与沟通、监督与纠正等方面对公司的各项业务的内部控制进行审查，就公司8大业务流程、90多个风险控制

17、点作出事前风险管理的统筹计划。在生产经营过程当中，内审部门则按照该公司8个业务流程和90多个风险控制点，进行详细分组分工，分别配备不同专业人员，深入公司管理和生产的各个环节，着重监控执行者的行为是否符合内部控制系统和预先安排的要求，查找问题，及时分析。如内审部门对原材料及辅助材料价格进行抽查落实，发现生产部购买的作为公司产品主要原材料的某化学品未完全按照公司要求进行公开招标采购，其价格高出市场均价的4.8%。由此，内审部门在审查的基础上对此进行了详细分析，并专题汇报公司高层及时调整采购方式，降低成本，2004年仅此一项为公司节省成本200多万元。又如内审部门在对公司产品销售流程执行情况进行监督

18、审计时，发现由于市场的变化，公司以前一贯执行的销售策略和方法已严重不适应当前发展形式，于是在与营销部门多次沟通后，提出了“以品牌为优势，以网点为基础，以宣传为工具，以网络为辅助”的流程建议，在经过公司和聘请专家充分论证后，最后对原流程进行了彻底改造，由此，使公司加强了风险管理，避免了风险损失。该公司内审部门不仅参与生产经营的事前、事中的风险审查和控制，而且事后对执行结果和整个流程及风险点开展审计评价，对内部控制体系提出调整和改善的建议。如认真收集分析价格信息资料，配合公司主管供应领导及供应人员共同搞好原材料的采购控制；如及时建议相关部门和领导改革机构设置，人员优化配置，流程再造，风险点控制等。

19、2005年初，内审部门通过全面审计，在对生产全过程的监控基础上，运用大量事实进行详细分析，并吸收同行业的先进做法，将本公司生产过程（涉及20多个部门和事业部）更加科学的归纳为6大业务流程，100多个风险控制点，并且对每一流程和风险点进行更加详细的描述和制定具体的操作指南，专门提出了如何发现风险控制点，如何适时改进流程，以及如何采取相对应的处罚措施的详细建议，并就以后内部审计具体参与公司业务事前、事中、事后风险审查和管理做了具体安排。又如某公司内审对大型酒店投资项目全过程的风险审查的实例：事前的审计介入：在公司项目立项之前，内部审计部门就派专人参与项目组，聘请内、外部专家进行可行性研究论证，对投

20、资和投资风险进行预测，以防范风险于未然，用货币时间价值的预计资金流量法，把资金流出量与资金流入量进行比较；用内含报酬率法预测投资效益；计算利润期望值和标准差；进行投资效益敏感分析等。内部审计人员监督项目前期的准备工作是否充分进行，如检查市场调研的广度是否符合要求、对起初调研的范围仅局限于公司拟投资的五星级大酒店在本地区分布的情况提出异议，使项目组的人员扩大了调查范围将硬件条件较优、竞争力较强的四星级大酒店也纳入调研范围，确保公司对市场竞争环境的评估更贴近实际；内部审计人员对项目前期资料收集的关注，督促项目组全面收集了本地区经济发展水平、人民消费能力和消费习惯、本地区对周边地区的辐射能力等多方的

21、基础资料，为项目的可行性研究奠定了基础；内部审计人员跟踪可行性研究的过程，对可行性研究报告的可靠程度作出评估，为决策提供了有价值的参考意见；项目确定后，内部审计人员积极参与项目设计方案的筛选过程，提出从设计源头控制酒店工程的整体造价的方案优化条件，确保设计方案按程序经专家多次集体论证，最终选定的设计方案科学经济；项目预算阶段，内部审计人员仔细审核了施工图预算，查出多项漏项、缺口和考虑不周的价格浮动问题及套用定额不当造成造价虚高的问题，使预算真实准确。内部审计介入项目的事前决策过程，促使投资项目的决策按科学的程序进行，将投资决策的风险降到合理的水平，避免盲目投资给企业带来的损失。事中的风险监控：

22、内部审计对投资过程的实际操作情况进行监控；首先对招标过程是否符合（中华人民共和国的招投标法）的规定，以“公开、公平、公正”原则选择中标单位进行程序检查，对发现的程序错误及时依照（投标法）予以修正；其次检查合同的签定是否合乎法律法规的要求，具体做法是检查合同是否经法律顾问审核，对未经法律顾问审核的合同跟踪调查，查出多项合同条款不完善，要求相关部门修改，为公司避免了可能发生的合同损失；在项目施工过程中时刻关注预算与实际发生情况的差异，查明差异发生的原因，向投资部门反馈风险警示，如内部审计人员对材料用量的检测发现，钢筋的用量大大超过预计用量，为查明原因及时组织了现场审计，查明施工单位将本公司购买的钢

23、筋用于其他工地的事实，为公司挽回损失100多万元。内部审计部门的实时风险警示，使公司及时完善了对工程的现场管理，阻塞了漏洞，确保工程按质按量有序进行。事后的风险评估：酒店项目建成后，内部审计部门开展工程决算审计，因为采取的是工程实时跟踪审计，在工程进行时已经对项目进行了初审，施工方报送的决算资料比较实际，经内部审计部门再次审定后，送社会中介机构审核的审减率不到2%，为公司节省了大笔的审计经费，有力的控制了工程的整体造价。酒店投入运行后，内部审计对酒店的实际绩效与决策，战略目标、计划目标进行验证，并对项目整体运作资金流动性风险、市场风险，合规性风险，操作风险，诚信风险等进行评估。评估工程中发现因

24、为对社会突发事件估计不足，开业第一年适逢一打击全行业的特殊事项的发生，致使酒店投资回收期第一年的投资回报率大大低于预期值，内部审计提出应适当修改相关风险参数权数等建议。通过内部审计对项目的事后评估，最终形成投资项目的修正方案及投资风险的模型，进而修正风险参数和风险指标，反馈给投资决策部门，作为今后决策的参考。 综上所述，内部审计不仅能参与企业风险管理，对风险管理的有效性和适当性进行审计，而且能促进和帮助管理当局加强风险管理。四、内部审计在现代企业风险管理中面临的问题 （一）、来自长沙市有关企业的调查数据本课题组通过问卷调查方式对长沙市部分公司内审参与风险管理的现状进行了针对性的调查。被调查公司

25、类型覆盖了国有企业、上市公司和其他类型的企业。从调查结果来看，整体上上市公司内审参与风险管理的各项数据都较其他企业要好。从调查结果来看，长沙市企业内部审计在风险管理中的作用发挥整体状况较好。如图1： 很好得到发挥39%基本没有发挥6%完全得到发挥6%基本得到发挥49%图1 长沙市内部审计在风险管理中作用发挥的情况内部审计能否充分发挥其在风险管理中的作用又与审计人员的配备及其业务、道德素质有关。相关人员配备是否齐全、业务素质是否精湛和是否称职都直接影响内部审计风险管理作用的发挥。长沙市被调查公司内审部门目前急需的专业人才分布如图2：预算人才 5%工程技术人才 5%计算机人才 14%财务人才 5%

26、复合型人才 71%图2 被调查公司内部审计部门急需人才类型分布图从图表可以看出，复合型人才是目前各公司普遍急需的人才。这是因为企业所处的环境更加复杂，面对的竞争更加激烈。风险管理对内部审计人员提出了更高的要求,它要求相关人员不仅具有良好的专业素质,更要求相关人员具有对复杂环境的洞察能力和减少环境复杂性的能力。内部审计要参与风险管理，必须将风险管理活动列入内部审计章程当中。被调查公司将风险管理活动列入内审章程情况如图3：3 被调查公司将风险管理列入审计章程情况从图表可看出，大部分公司还没有把风险管理列入内部审计章程中，即内部审计参与风险管理的程度还不够。内部审计参与风险管理要有一定的方式和模式，

27、如图4所示为长沙市被调查公司内审参与风险管理的模式情况图4 被调查公司内审参与风险管理的模式（二）、内部审计在风险管理中面临的问题目前，内审参与风险管理的作用发挥尚处在发展阶段，还有相当一部分的企业没有充分重视，有关风险管理内部审计的理论研究方面的成果还比较少，要完全发挥内部审计参与风险管理的作用还面临着若干问题。1、内部审计参与风险管理的法律定位层次不高。至今为止，我国尚无一部法律对内部审计在现代企业风险管理中的定位加以规范。部门规章权威性不够，故不利于内部审计参与风险管理的发展。2、内部审计参与风险管理的外部环境尚未形成。由于缺乏公信度高的权威性法律法规的支撑，加之我国企业的历史成因，使企

28、业缺乏风险意识，没有积极、主动、系统地进行风险管理工作，风险管理活动往往是瞬时的或者间断性的。不能将企业风险管理上升到企业发展的战略高度，内部审计参与风险管理的作用就不可能得到真正的发挥。3、内部审计参与风险管理的方式还较落后。目前我国内部审计参与风险管理的方式仅仅是一种传统的审计方式与一种旧的风险观念的结合。侧重于企业经营管理风险的识别、估算和控制方面的审计，而对企业制度风险、法律风险等其他风险的评估、测试等方面的审查重视程度不够；风险管理的方式还较落后。 4、企业内部审计人才严重缺乏。一方面是由于长期以来对内部审计事业的轻视，导致人才缺乏；另一方面，随着内部审计参与风险管理的纵深化，具备一

29、定管理能力的复合型人才严重不足。五、充分发挥内部审计在现代企业风险管理中作用的方略（一）全面提升内部审计的法律地位，为内部审计在现代企业风险管理中发挥更大作用奠定基础在我国，内部审计事业随着国家审计机关的诞生而萌芽，随着审计机关的成长而壮大。基本上是依附行政管理模式而运作。2003年国家审计署发布4号令，中国内部审计协会颁布了基本准则、具体准则、职业道德规范。内部审计初步有了自己的行业规章，对我国内部审计事业的发展起了至关重要的作用。两年来，随着审计风暴的洗礼，内部审计出现了前所未有的良好发展态势。但课题组认为，4号令毕竟是部门规章，准则和规范是行业自律规定，其法律地位远不能适应内部审计在现代

30、企业风险管理中的要求。综观我国现行法律体系，行业性的法律法规不少，如注册会计师有注册会计师法，律师有律师法。而内部审计工作在审计法中仅有一条提及。去年有关部门征求拟修改审计法的意见，并在其中为内部审计独著一章。这当然是一大进步，至少说明人们开始关注内部审计工作和内部审计人员的法律地位。但是内部审计的定位是对单位主要负责人和权力机构负责，内部审计人员受单位负责人的领导，故无论是工作职责、范围，还是内审人员的权利，义务都与国家审计机关和国家审计人员有很大的不同，加之，现代内部审计涉及各种经济性质的企业，一部法规显然难以揽括这些内容。同时随着现代内部审计要求加快内部审计队伍的职业化进程，内部审计必然

31、走注册会计师面向社会，面向市场的行业管理道路，这种趋势也要求单独立法。1、建议出台内部审计师法，提升内部审计的法律地位。以国家审计署4号令为基础，对国家机关、金融机构、事业组织、社会团体和各种经济性质的企业及其他单位实行内部审计制度，开展内部审计工作进行法律规范。设想如下：第一，内部审计环境。按照与国际惯例接轨和我国国情的要求，对内部审计定义;内部审计机构的设立；内部审计工作的独立性、客观性；单位主要负责人和权利机构对内部审计工作的组织保障、法律保障、经费保障、人身安全保障等方面为内部审计师营造良好的审计环境，其中尤其要明确设立审计委员会和配备总审计师。第二，内部审计管理体系。按照政企分开，政

32、府不再直接管理企业的原则。内部审计师在单位主要负责人和权利机构的领导下开展工作。明确国家审计机关、内部审计师协会、内部审计师之间的相互关系。内部审计师协会对内部审计师实行行业自律管理，对内部审计工作质量进行检查和评估；国家审计机关对内部审计师协会进行指导和监督，通过对各单位的日常审计情况评估内部审计工作质量。第三，内部审计师。根据内部审计师面向市场的客观要求，明确他们应享有的法律地位和权利；明确他们的职责范围;要求他们必须具备内部审计师上岗资格和接受内部审计师协会组织的后续教育，掌握现代内部审计必备的生产、经营、管理、风险控制、防范评估等专业知识和技能，要求他们遵守内部审计师职业道德规范和行为

33、准则并应承担相应的法律责任。2、建议架构董事会领导下的审计委员会和审计工作部门相结合及与各职能机构通力合作的风险管理保障体系。现代企业要加强风险管理，必须从立法的高度架构风险管理保障体系，从而为全面风险管理提供法律保障和制度保障。第一，设立审计委员会。我国有关公司治理准则要求现代企业在董事会下设审计委员会，但执行的较少，有些即使设立了机构也只是流于形式，没有真正发挥作用。所以我们建议现代企业应在董事会下设立审计委员会，由总审计师、独立董事和相关人员指挥本单位内部审计人员在风险管理中发挥重要作用。如审议年度风险管理计划，监督内部审计制度及实施；审查内部控制制度，对有效性和执行情况进行评价；审核财

34、务信息和披露，保证财务信息的合法、真实性；审核全面预算；建立内部审计在风险管理中的工作程序和作业标准；组织对高管人员的经济责任审计；监督内部审计机构负责人的任免，为保证内部审计师的独立性提供保障。同时为了规避利用外部审计成果带来的风险，要审核中介机构的资格，并对其独立性进行评价，提议聘请外部审计机构，要组织内审工作部门对外部审计成果进行评价。第二，配备总审计师。现代企业风险管理涉及生产、经营、投资等多个领域，是一项系统工程，没有高素质的人才和强有力的组织保障是难以奏效的。建议在设立审计委员会的基础上配备总审计师，全面负责审计委员会的工作，并对董事会负责。总审计师应熟悉国家的相关法律法规，熟悉生

35、产、经营活动，具有较高的组织领导才能、敏锐洞察力、判断分析能力和现代企业管理科技知识，并有中级以上专业技术职称和大学本科以上文化程度。第三，建立独立的内部审计机构。按照现代企业风险管理的要求，应建立独立的内部审计工作部门，具体从事风险的预警、测试、检查、评估等工作，向审计委员会负责。该部门负责人由审计委员会监督任免。工作部门要配备懂法律、懂经济、懂审计的各种专业人才以适应现代企业风险管理工作的需要。（二）、积极培养企业管理者的竞争意识与风险意识，尽快形成内部审计需求市场和加速内部审计职业化进程现代企业风险管理这门学科在我国起步较晚，与国际先进知名企业相比，我国企业管理者的竞争意识与风险意识较薄

36、弱。加之，我国现代企业前身大部分是国有企业，计划经济体制中，国有企业有国家财力做坚强后盾，风险意识较薄弱。尽管改制后企业发生了质的变化，但是企业与政府仍有千丝万缕的联系和依存关系。所以积极培养企业管理者的竞争意识和风险意识至关重要。要使他们意识到现代企业风险无处不在，必须加强控制和管理，识别那些可能影响企业的潜在事件，在组织的风险偏好范围内管理风险，为组织目标的实现提供合理的保证。有了这些认识和理念，现代企业管理者会由衷的在企业内部煅造一支风险管理团队。加之，在企业的外部有法律保证的氛围和环境，自然形成了内部审计在现代企业风险管理中的沃土，每个企业都有这种自发要求后，内部审计的需求市场也就应运

37、而生。课题组认为，问题的关键在于内部审计队伍如何适应这种市场需求的变化而加速职业化进程。纵观我国内部审计队伍，乃是藏龙卧虎之地。集结了一批道德素质好，专业技术精的中、高级审计师、造价师、工程师、律师、经济师、国际注册内部审计师等专业人才。他们在各自的岗位上为现代企业风险管理作出了卓越贡献。但是随着科技时代的到来，现代企业风险管理赋予了新的内涵，急需要复合型的人材。从全局上看，内审队伍现状与市场需求有较大差距。因此一是各级内部审计师协会要抓好行业管理，建立人才库，为内审人员职业化做好服务工作。要对现有人员进行有计划的高水平的后续教育，学习国际流行的现代企业风险管理技术方法，提高工作水平。二是企业

38、管理者要充分认识人才就是财富的理念，要从战略高度积极培养复合型年轻人才，充实内部审计队伍。用优越的薪酬和企业文化广纳人才，留住人才。三是内部审计人员要迎接市场挑战，认清优胜劣汰的形势，不断学习，增长才干，使自己成为合格的内部审计师。（三）、认真推进风险管理控制方法在实践中的运用，扎实提高内部审计工作水平 、设立风险导向的内部审计程序 第一，明确审计总体目标。内部审计活动总的目标是“评价并帮助改进机构的风险管理控制和治理系统”(IIA标准62100工作性质),具体审计活动围绕更为具体的风险管理目标进行。在开展咨询业务时,内部审计师应根据业务目标解决风险方面的问题,还应对其他的严重风险保持警惕;内

39、部审计师应结合开展咨询服务时了解到的风险情况,查找、评价机构的重大风险因素。第二，编制审计计划。内部审计实务标准要求,内部审计部门的计划应该反映机构的风险战略。因此内部审计部门应根据机构的目标结合风险分析制定计划，确定符合机构目标的内部审计工作重点。内部审计部门在制定审计计划时应采用综合风险管理办法，将公司面临的关键商业风险划分类别，为全公司每个经营单位描绘“风险识别图”；内部审计部门与其他部门积极合作，共同制定风险审计计划；以风险导向审计计划代替轮流审计计划。内部审计部门应随时关注机构管理层的方针、目标、工作重心的变化，相应调整更新审计计划和相关审计计划中的内容。第三，制定审计方案。内部审计

40、师应该编制有助于实现审计目标的审计工作方案。审计目标和程序应该针对与被审活动有关的风险。内部审计部门应考虑的风险因素有：金额的重大性;资产的折现力;管理能力;内部控制的质量;变化或稳定程度;上次审计业务开展的时间;复杂性;与雇员及政府的关系等等。审计风险=固有风险控制风险检查风险由于这一步依赖内部审计师主观的专业判断,所以它是影响内部审计师审计风险高低的关键一步,是内部审计师检查风险大小的起因。审计方案确定的检测、证实风险的技术与方法应该能够反映出风险的重大性、发生的可能性及频率。第四，出具审计报告。内部审计师通过分析汇总审计发现编写的审计报告，应该传达对风险管理的结论和建议,以降低风险。为了

41、让管理层充分理解风险的程度,在报告中应特别提出风险活动对于实现目标的关键性与后果。内部审计部主任应该每年至少准备一份关于内部控制充分性的声明,以减少风险。此声明也应该对未防范风险的重大性及管理层对此风险的接受情况发表意见。 第五，后续审计。风险是决定后续审计本质和范围的重要因素。风险越大,后续审计的范围就可能越广。后续审计应该将注意力集中于最严重的或潜在的问题上,对一般事项的后续审计可仅限于询问和简短的讨论。后续审计应该跟踪到:对于重大的审计发现,相关部门和环节是否予以纠正;若不予纠正,责任和原因到底在那儿。若总审计师认为高级管理层接受的剩余风险对于机构无法接受,应该上报董事局加以解决。 2、

42、健全内审与企业的各级风险管理组织相配合的综合风险管理体系。企业风险管理是一个系统工程，这种管理要求内审工作发挥自己的独特优势，与各级风险管理组织通力合作，超越企业内部各职能部门之间的隔阂，实现全体的综合的和全员层次的行动进行综合的风险管理。 在现代企业的风险控制方面，一般建立三级的风险管理组织，即由企业高级管理层组成的审计委员会作为公司风险管理的最高决策机构；审计委员会领导下的内部审计专职风险监管部门。内部审计部门通过常规审计及专项审计评估公司风险，对公司风险管理制度进行设计以及各业务部门执行风险控制制度的有效性进行定期的检查，及时揭示和报告潜在风险，并提出防范风险及改进工作的建议。内审部门对

43、审计委员会负责。各业务部门、业务支持部门和管理部门承担一线的风险控制职能，各部门负责人直接负责风险监控，内审部门要对其监控情况组织指导、监管和控制质量进行评估。具体设计为： 首先，成立以审计委员会为风险管理的最高决策机构；将企业所面临的各种风险分为若干个类别，为每一类风险作出书面定义，在企业内部统一风险语言，附建一种风险管理文化；内部审计部门为各下属经营单位指派“教练”。各经营单位负起全面的风险管理责任（评估及识别风险，对风险进行分等排序，制定行动计划并跟踪执行情况）；而内部审计部门则扮演平等的顾问角色，主要指导和影响各经营单位风险管理；各业务经营单位的负责人每年初向审计委员会提交风险管理责任

44、书，声明对其自身业务的风险管理负责并且积极采用综合风险管理战略；内审部门通过两类信息系统驱动风险管理过程：“企业风险管理信息系统”及“内部控制信息系统”；内审部门为各下属单位提供风险管理训练，大部分精力用于指导这些单位的员工预防及检查风险、监督及设计适当的控制。以企业综合风险管理为中心的内部审计工作，可用图5表示其运作关系。董事会审计委员会风险管理部经营部A经营部B行政管理部A行政管理部B公共支援职能部门内部审计其他委员会战略委员会经营层领导班子图5 以企业综合风险管理为中心的内部审计运作图3、实现全面预算与风险管理整合的模式全面预算管理与风险管理都服务于企业，全面预算管理体系中需要全面系统地

45、考虑风险因素的影响，并且预算管理体系本身就是一个风险控制体系，它们有着天然的联系，所以，全面预算管理体系和风险管理体系相互融合既是必要的也是可能的。下面将设想一种有效的实现全面预算与风险管理整合的模式（如图6所示）：全面预算组织风险管理组织内部审计机构政策与程序风险识别风险评估风险控制风险处理 图6 内部审计参与全面预算对风险控制过程示意图第一，组织架构设想。将风险管理组织架构的模式分为三个相互关联而又相互制约的层次：决策层，执行层和监督层。决策层专门负责风险管理策略政策的制定，主要风险指标的设定，风险管理目标的确定，重大风险事件的决策，全面预算审核等。执行层，具体都由子公司或分公司负责，职能

46、由相互独立而又有机结合的三个部分组成：一是根据风险管理政策进行客户关系，销售商信誉评价，供应商资质管理等职能；二是对风险进行监控、分析及汇总；三是负责具体的业务。监督层，由分、子公司负责人、各委员和职能部门负责。具体职能：负责风险管理流程的设计，风险预警体系设计，日常的风险决策， 风险资金的分配、考核等。第二，程序与政策设想。风险管理的程序和全面预算管理过程完全融合起来，预算编制过程同时也是风险识别过程。预算执行过程也是风险控制过程，风险的决策、分析、调整、考核与预算管理过程一并进行。第三，风险识别过程设想。审计委员会是风险管理的决策层，根据企业面临的系统性风险，确定影响本企业战略目标实现的主

47、要风险因素，制定针对主要风险因素的管理策略制定目标风险标准，风险指标预警范围，风险控制的方法。将要控制的主要风险因素作为预算管理的考核指标分解到个业务部门， 随同预算的执行进行动态监控，业务单位根据预算编制指南编制本单位的预算草案，同时分析预测影响指标完成的引致原因、可能原因、可能结果，有条理，合乎逻辑地把致损原因分析到最小因素。第四，风险控制设想。预算控制过程也就是风险控制过程，业务部门定期将预算执行结果及偏差分析和风险情况汇总分析，下期情况预测上报经营层负责人与审计委员会，经营层和审计委员会在各自的授权范围内进行决策，如需调整现行预算，按规定程序进行审批，借助强大的信息管理系统，采用先进有

48、效的风险控制措施， 预算与风险管理完全可以实现实时控制。第五，风险处理设想。企业的风险无处不在，尽管采取多种风险防范措施也无法绝对避免企业风险的发生。因而，一旦发生风险，就必须启动应急机制妥善处理， 迅速查明企业风险的范围，损害的程度和事态发展动向，判明风险的性质， 及时对风险损失进行有效的补救，以便在最短的时间内，用最少的成本排除风险对企业的干扰，最大限度地避免和减轻因损失而导致企业陷入困境的可能性。通过实时监控，风险指标的预警，风险应急机制，高效的预算控制体系可以做到风险的及时处理，必要时可以起用风险基金，保证企业的正常运转。六、结束语随着市场竞争的不断加剧，内部审计在风险管理中的作用越来越重要，提升内部审计的风险管理能力已成为内审工作发展的重点。本课题组认真分析了内部审计在现代企业风险管理中的必要性、作用和面临的主要问题。同时，通过调研等方式所形成的共识，提出了一些建设性的意见。参考文献：1、王晓翔，从中美企业全面预算管理差距看国内企业，中国计算机报2、姜晓丽，侯佳，曹宁宁，从风险管理谈公司治理与内部审计 3、刘世谨，内部审计与风险管理4、中国内部审计协会，内部审计具体准则5、韩志丽，史浩江，谈内部审计在企业风险管理中的作用6、中国内审协会，内部审计实务标准7、邹春霞严亚东论企业风险管理审计 27