内部审计在企业风险管理中的作用

内部审计在企业风险管理中的作用

摘要：近年来，随着一系列财务丑闻的接连曝光，企业风险管理受到了社会各界的空前重视，内部审计在风险管理中的职责和地位重新被明确并进一步深化。本文在阐述风险、风险管理涵义的基础上，结合上汽集团内部审计工作的探索实践，探讨内部审计在企业风险管理中的作用。

关键词：内部审计风险风险管理

一、企业风险管理体系简介

要对风险管理过程的充分性和有效性进行评价，首先要对风险管理体系有一个初步的了解。根据美国COSO委员会《企业风险管理框架》的要求，建立风险管理体系包括相互关联的八个风险管理要素，各要素贯穿在企业管理过程中，为实现企业目标提供保证。

（一）内控环境。主要是在企业中树立风险管理理念，营造一种风险管理文化，为其他风险管理要素打下基础。

（二）目标制定。管理者必须首先确定企业的目标，才能够确定对目标的实现有潜在影响的事项。根据企业确定的任务或预期，管理者制定企业的战略目标，选择战略并确定其他与之相关的目标并在企业内层层分解和落实。

（三）事项识别，下列事情可能给组织带来风险：因使用不正确、不及时、不完整、不可靠的资料而导致决策错误；记录有错误、会计核算资料不真实、不完整；资产保护不当；顾客不满意，组织信誉受损；执行组织决策、计划、程序不力，或有违法违规行为；不经济地获取或无效地利用资源；没有完成组织的任务和目标。需要企业的管理者对其进行识别、评估和反应。

（四）风险评估。风险评估可以使管理者了解潜在事项如何影响企业目标的实现。管理者应从两个方面对风险进行评估-风险发生的可能性和影响。对于风险的评估应从企业战略和目标的角度进行。

（五）风险反应。风险反应可以分为规避风险、减少风险、共担风险和接受风险四类。对于每一个重要的风险，企业都应考虑所有的风险反应方案。有效的风险管理要求管理者选择可以使企业风险发生的可能性和影响都在风险容忍度之内的风险反应方案。

（六）控制活动。控制活动是帮助保证风险反应方案得到正确执行的相关政策和程序。控制活动存在于企业的各个部分、各个层面和各个部门，通常包括两个要素：确定应该做什么的政策和影响该政策的一系列程序。

（七）信息和沟通。来自于企业内部和外部的相关信息必须以一定的格式和时间间隔进行确认、捕捉和传递，以保证企业的员工能够执行各自的职责。

（八）监控。对企业风险管理的监控是指评估风险管理要素的内容和运行以及执行质量的一个过程。企业可以通过持续监控和个别评估两种方式，来保证企业的风险管理在企业内务管理层面和各部门持续得到执行。

从以上八个风险管理要素可以看出，企业风险管理是一个过程。是一个由企业的董事会、管理层和其他员工共同参与的，应用于企业战略制定和企业内部各个层次和部门的，用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的，为企业目标的实现提供合理保证的过程。

二、内部审计风险产生的原因

（一）内部审计风险形成的客观因素

1. 机构设置模式不合理。上市公司为了加强自身管理的需要，发挥内部审计机构的作用，在内部审计机构隶属领导层次上，主要采取了两种模式。一种模式是受董事会或者监事会领导，另一种模式是受总经理领导，从而增强了内部审计的独立性和和权威性。但是这两种模式也有自己的不足。第一种模式，股东和经营者目标利益不一致，董事会作为股东利益的代表，目标是要实现股东财富最大化，而经营者的目标是要追求更高的报酬，更多的闲暇时间以及更小的经营风险。内部审计一方面通过审计评价经营者受托经济责任的履行情况，另一方面为董事会提供追究或解除经营者履行责任情况的信息。其结果，很可能造成经营者对内部审计的误解，以为内部审计是股东对其经营业绩不放心或存在异议，

是挑毛病找麻烦，从而产生抵触情绪，更甚者，与财会人员互相串通，隐瞒虚报，从而造成审计风险。第二种模式，总经理是受董事会委托具体从事经营活动的主体，只有经营权，没有所有权，一方面努力工作，通过实现企业财务目标来提高自己的身价，另一方面又消极应付。内部审计作为总经理的参谋和助手，会涉足企业经营活动有关的风险，从而引起内部审计风险。

2. 内部管理制度不健全。内部审计管理制度建设以及执行情况是内部审计工作的基础和前提。健全有效的内部管理制度能使内审人员及时发现和控制企业经营活动中发生的各种差错和舞弊，反之，就会增加发生差错和舞弊的可能性，使内审人员难以发现经营活动中存在的差错和舞弊而形成审计风险。

3. 内部审计法规级次有待提高。国家审计有《审计法》作为法律依据，社会审计国家颁布了《注册会计师法》，笔者能够查到的内审有关法规有《审计署关于内部审计工作的规定》、《审计机关指导监督内部审计业务的规定》，《内部审计具体准则》1-15号、《中国内部审计学会章程》，《上市公司章程指南》、《上市公司治理准则》也只是有个别条款对内部审计有相关的规定，法律级次明显偏低，内审法规体系也不够健全。

4. 公司治理结构存在缺陷。我国公司治理结构的缺陷可以概括为以下几点：（1）股权结构不合理，股东大会形同虚设。（2）董事会难以对经理层进行有效约束。（3）监事会没有充分发挥监督作用。

（二）内部审计风险形成的主观因素

1. 内部审计工作程序缺乏规范性。审计是一项规范性很强的实证工作。审计工作从开始到结束要经过三个阶段：准备阶段、实施阶段和终结阶段，每一个阶段包括不同的内容和步骤。准备阶段需要确定审计任务，签订审计协议，并初步编制审计工作方案，实施阶段主要是进行实质性测试也符合性测试，并取得和编制审计工作底稿，终结阶段需要整理审计证据和工作底稿，撰写审计报告。但在实际工作中，很少有人严格依据规范化审计程序开展业务。具体表现：指令性计划太多，积极参与方案太少，可审可不审的不安排审计，必须审计的，有的对审计工作中的问题视而不见，有的不深入进行审计，审计取证随意性大，所取证据证明力不足。这些都说明，内部审计工作程序缺乏规范性，会引发内审计风险。

2. 选用内部审计方法的影响。绝大多数审计人员偏好用经验判断法和详查法，而较少用到统计抽样法。通过和被调查单位的审计人员的交谈我们也发现，当前审计人员对于审计抽样存在着一些片面的认识，一是认为审计抽样没有详细审计抽样来的可靠，不管审计的业务量多大，都一味地采取详细审计，排斥审计抽样；二是将审计抽样等同于审计抽查，用审计抽查的结果判断审计总体；三是过多地采用经验抽样法进行审计抽样，结果由于审计人员经验不足等原因造成审计误差较大。

三、内部审计风险的防范

1. 保证内部审计机构和人员的独立性。独立性是内部审计区别于企业其他职能部门的重要标志，要使内部审计实现其职能，发挥其作用，必须保证内部审计机构和人员的独立性。无论内部审计机构是由董事会领导，还是由总经理领导，都存在弊端，在董事会下设立审计委员会，在行政系统———经营管理系统设置审计机构是企业最好的选择。从内部审计机构设置独立性、权威性、高效性的原则上看，这种模式也是最为科学、有效的，理由如下：（1）能够最大限度地体现内部审计的独立性和权威性。现代企业制度强调内部审计机构的独立性和权威性，而独立性和权威性的强弱取决于内部审计机构的隶属关系和领导层次的高低。领导层次越高，独立性和权威性越高，反之越弱。（2）符合国际惯例。这种双向负责、双轨报告，保持双重关系的组织形式，与国际内部审计师协会的《内部审计实务准则》的要求相一致。该准则指出：“内部审计的目的是协助该组织的管理成员有效地履行他们的职责”，而内部审计所要协助的本组织的“管理成员”，是“包括管理人员和董事会成员”两方面的成员。（3）有利于保证现代企业制度下内部审计职能的发挥。传统的审计理论多强调和偏重于内部审计的监督职能，忽视了内部审计的评价和服务职能。从西方现代内部审计工作的发展来看，其重心已转移到评价和建设性功能的发挥，这同样也是我国内部审计的发展趋势。（4）能帮助审计委员会有效履行公司治理的职责。审计委员会的组成人员中，并不是每个成员都具备财务方面的专业知识，他们也无法经常参加审计业务。一方面，审计委员会要有效履行全面监管的职能，就需要依靠内部审计的监督职能，并经常与之保持信息的沟通；另一方面，内部审计人员具有相关专业的技能和资源优势，了解公司的内部控制，可以对审计委员会实施有效的帮助。

2. 加强内部审计法律建设。现在，许多国家对内部审计都有专门的法律规范，内部审计师协会也制定有内部审计实务标准等。我国应抓紧制定内部审计的法规和条例，提高内审