完善风险管理内部审计论文

一、内部审计在风险管理中的作用

为了实现企业经营目标，管理层应当确保本企业存在良好的风险管理流程并使其发挥作用；董事会和审计委员会监督、判断是否存在适当的风险管理过程以及这些过程是否充分、有效；内部审计则对管理层和审计委员会提供帮助，就管理层的风险过程的充分性和有效性进行检查、评估、报告并提出改进意见，从而确保风险管理过程是有效的，风险被降低到可接受水平。内部审计对风险管理过程的评价和监控是通过提供保证和咨询服务来实现的。

1.保证服务

内部审计主要提供以下几方面的保证：

1.1保证风险管理框架的设计合理

合理恰当的风险管理框架是风险管理活动有效运行的基础。合理的风险管理框架应至少包含以下内容：清晰的风险战略、政策以及标准；风险讨论和交流的讨论会；风险的责任以及管理风险的权威被清晰的确定以及分配给关键的员工；组织内有效的双向交流，从而保证政策在有效的被执行；适当的风险管理过程和程序；监控和审查风险的管理等。内部审计应当审查有关资料，确认企业是否存在风险管理框架，如果还没建立风险管理框架，内部审计应协助管理层建立合理的风险管理框架；如果存在，内部审计应继续审查现存的风险管理框架是否全面、合理的，如果不合理，内部审计提出相应的改进建议。

1.2保证风险被正确识别

风险被正确识别是进行风险管理的前提，即要确定企业正在或将要面临哪些风险。内部审计要对管理层识别风险的充分性进行评价，即审查企业所面临的主要风险是否均已被识别出来，并找出未被识别的主要风险。采用的方法包括决策分析、可行性分析、统计预测分析、投入产出分析、流程图分析、资产负债分析、因果分析、损失清单分析、保险调查法和专家调查法等。

1.3保证风险管理被恰当衡量

风险衡量是指应用各种管理科学技术，采用定性与定量相结合的方式，估计风险的损失程度和发生的可能性，并找出主要的风险源，以便以此为依据，对风险采取相应对策。内部审计对管理层进行的风险衡量结果进行再检验，以确定其是否恰当，对不恰当的估计予以更正。

1.4保证关键风险被有效管理

在管理层选定某一风险管理策略后，内部审计应在剩余风险的基础上对风险所采取的防范措施进行检查，即从企业总体的角度或者组合风险的角度重新计量风险，审查剩余风险是否在符合企业的风险偏好以及是否在企业的可容忍水平，从而评价风险管理策略是否充分得当。对于风险缺乏充分的控制措施的情况，内部审计人员应提出改进措施和建议，以强化企业的风险管理，降低风险损失。

1.5保证风险报告被恰当进行

风险管理要有效运行，必须保证风险被恰当、及时地报告，从而有关管理人员可以针对风险管理过程出现的问题及时采取恰当的措施，保证风险被有效管理。内部审计一是审查风险管理的报告线路设计的合理性，即是否能在企业内向上、向下和横向畅通地报告有关风险信息；二是审查风险报告的实施情况，即是否按照预期的方式进行风险报告和反馈。

2.咨询角色

为了增加企业价值，内部审计正从传统的保证角色向咨询角色转变，常常需要给予管理层关于运行风险管理过程的积极建议。这些咨询业务将改进企业的风险管理以及控制过程，特别是，当企业风险管理系统尚未建立或不完善时，内部审计可以提供更多咨询服务:

2.1协助管理层建立风险管理框架，发展企业共同的风险语言，并使之在全企业得到贯彻理解。

2.2与管理层分享内部审计在风险管理和控制中的专业技能和知识。把内部审计的技能和管理层的第一手资料结合起来，使内部审计使用的分析风险和控制的工具为管理层所用。

2.3对企业员工进行风险管理知识的培训，促进风险确认和估计研讨会，为管理层确定和评估风险提供建议。

2.4协助管理层确定管理风险的最好方法，促进管理者对风险做出恰当的管理。这主要通过企业和领导研讨会类型的讨论，而不是内部审计直接参与风险管理活动。

2.5协调整个企业风险管理过程，特别关注风险管理中的关键控制。内部审计可以积极协助企业进行风险管理过程的初步建立工作，但更为积极的作用是通过改善企业基本程序的咨询工作对传统保证业务进行补充。但这些协助工作不能超出正常的保证和咨询范围，以免损害独立性。也就是说，内部审计师可以促进、协助风险管理过程的建立，但不负风险管理的责任。因此，提供咨询服务时，内部审计为保持独立性和客观性，不应提供以下服务：（1）风险管理决策。内部审计的责任是提供建议以及支持管理层决策的制定，而不是自行进行风险管理决策。风险管理决策是管理层责任，内部审计不能越俎代庖。（2）设定风险偏好和风险容忍度。风险偏好和风险容忍度的制定是董事会和管理层的责任，内部审计的责任是根据企业设定的风险偏好和风险容忍度审查风险的管理是否恰当，风险是否被降低到可容忍水平之下。（3）基于管理者的利益监控风险管理活动。管理者的利益可能与企业整体利益冲突，因此内部审计不应基于管理者利益管理风险，而应根据整个企业的利益监控风险管理过程。

二、风险管理审计程序

风险管理的主要目标包括：确认企业战略与经营活动的风险并进行优先排序；董事会和管理层确定企业的风险偏好和可以接受的风险水平，包括为实现企业的战略而接受的风险；设计、实施降低风险的活动，把风险降低、管理到管理层和董事会可以接受的水平上；开展持续的监督活动，定期对风险和控制的有效性进行再评估，以管理风险；董事会和管理层定期收到风险管理过程的结果报告。内部审计人员应获取足够的证据，确认上述风险管理过程目标是否得到实现，以及形成关于风险管理过程充分性的意见。收集此类证据过程中，内部审计师应该考虑以下审计程序。（一）研究、评估风险管理方法的参考资料和背景信息，在此基础上评估企业所应用的过程是否适当、全面。（二）检查公司政策、董事会和审计委员会的会议记录，确定企业的经营战略、风险管理理念和方法、对风险的偏好以及对风险的接受水平。（三）检查管理层、内部审计、外部审计以及其他有关方面以前发表的风险评估报告。（四）与管理层交谈，确定业务部门的目标、相关的风险以及管理层开展的降低风险的活动和控制监督活动。（五）收集信息，独立评估降低风险、监督、风险报告和相关控制活动的有效性。（六）评估针对风险监督活动建立报告专线的恰当性。（七）评估管理层的风险分析是否全面、评估为纠正风险管理过程中发现的问题而采取的措施的完整性，提出改进建议。（八）确定管理层的自我评估过程的有效性，这可以通过以下方式来进行：实地观察、直接监测监控程序、测试监督活动所用信息的准确性以及其他恰当的技术。（九）评估与风险有关、可能说明风险管理实务中存在薄弱环节的问题，在适当情况下，与管理层、审计委员会和董事会就此进行讨论。

作者：冷琳 单位：青岛机场边防检查站