1 风险管理框架下的内部审计李春慧在市场经济条件下, 企业面临着内外部环境的不确定性, 使企业的风险普遍增大, 不确定性可能会破坏或增加价值, 因而它既代表风险, 也代表机会。对于任何企业来说, 风险管理都是其经营过程中的核心内容, 企业想要获得的收益越高, 所承担的风险就越大, 对风险管理的要求就越高,而内部审计正逐步担负起企业风险管理的职能。内部审计在企业风险管理中的地位风险管理框架下的内部审计是一种综合审计类型, 不同于单纯的财务审计、业务审计及管理审计, 是融风险管理、公司治理和内部控制于一体,更关注企业在整个治理过程中的决策风险和经营风险。内部审计的职能从监督和评价转变为确证和咨询。确证是根据客户的标准、要求对特定领域进行评价并提供其需要的信息, 能够改善决策与提高决策的科学性。咨询则是直接作为专家顾问参与经营活动, 改善客户的经营和财务状况。内部审计最熟悉企业状态。内部审计师可以从评价各部门的内部控制制度入手, 在生产、采购、销售、财务会计、人力资源管理等各个领域查找管理漏洞, 识别并防范风险, 查错纠弊, 对既成损失提出应对策略等。内部审计还可以深入到企业管理的极细微的环节上查找问题,分析其合理性。除了像经理任期审计或企业诊断等综合性的内部审计 2 外, 内部审计师更多的是以风险发生可能性大小为依据, 深入到经营管理的各个过程和行为,查找并防范风险。内部审计在部门风险管理中还起着协调作用。不仅各部门有内部风险, 而且各管理部门还有共同承担的综合风险, 内部审计师作为第三方,可协调各部门共同管理这一投资决策带来的风险。内部审计在国有企业风险管理中的责任企业内部审计的内容, 已经从单纯的财务收支审计, 逐步向以财务收支审计为基础,经济责任审计、经济效益审计、比质比价审计、管理控制审计等方面的同步发展转变。风险管理审计就是管理控制审计中的一项重要审计种类。内部审计的目的正从保证资产安全为主向资产增值为主转变。企业的风险是客观存在的事实, 风险管理必然成为应对风险的必由之路。作为企业管理监督控制的内部审计部门, 通过风险管理审计对风险管理进行监督, 应该是顺理成章的事情, 也是义不容辞的责任。国家审计部门已下达了一些风险管理内部审计方面的文件, 我们应该坚决有效地贯彻执行。进行风险管理内部审计, 首先应该找准自己的位置, 才能明确自己的责任。笔者认为: 企业的风险管理是一个大系统, 涉及到企业的管理体制、生产经营、技术质量、人员素质、市场环境、监督体系等方方面面。风险管理审计仅仅是这个大系统中的一个子系统。所以, 应该做“一个子系统”应该做的工作,承担“一个子系统”应该承 3 担的责任。工作要到位, 但不要越位。这些工作职责和工作责任是企业内部的管理制度需要明确规定的, 在企业风险管理过程中 CFO 、管理层、董事会和内部审计人员有各自的职责分工。 CFO 和管理层应对风险管理负责,其职责是制定本企业的风险管理政策和制度,负责实施并使之发挥作用; 董事会和审计委员会的职责是判断本企业风险管理政策和制度的适当性, 监督风险管理过程中的执行效果; 内部审计人员的职责是定期进行检查和评价风险管理过程中的执行效果, 发现和分析风险控制缺陷,向 CFO 、管理层和审计委员会提出改进风险管理的建议。此外, 内审应在国企集团管理层和下属公司之间架起信息传递的通道, 解决“信息不对称”的问题。许多下属公司领导人喜欢报喜不报忧, 这是人之常情, 而内审人员在掌握了审计信息后, 可能就会发现, 这些公司存在多大潜亏, 隐藏了多大风险, 内部审计成为国企决策信息的重要来源之一。谈到责任, 根据我们的实践经验和教训, 风险管理审计应该承担的责任是“有限责任”, 而不是“无限责任”, 这是规避审计风险的重要原则。例如, 物资采购比质比价审计的责任主要是制度和程序监督, 重要物资采购的“参与”和“介入”。但是,“参与”不可“代替”,“介入”不可包办,审计程序不要离开监督责任。内部审计在企业风险管理中的作用内部审计在风险管理中的作用就是对企业的风险管理体系、管理制度及运作过程进行评价和有效监督, 协助企业改进风险管理的控制 4 措施和管理方法, 达到提高运作效率和增加价值的目的。具体作用可以归纳为以下几点: 1、对企业风险管理体系的审计监督。包括企业是否已经建立了风险管理体系;已经建立的风险管理体系是否涵盖了企业的决策、经营、生产、财务等主要风险方面; 风险管理体系是否在涵盖的几个方面正常运行; 风险管理体系是否发挥了应有的作用等。从目前的情况来看, 不少企业内部对风险管理的认识在提高, 但是还没有形成比较系统完整的风险管理体系和监督体系,这是很值得关注的。 2、对企业风险管理体系管理制度的审计监督。这是重点监督的内容, 因为没有好的管理制度, 所谓