企业内部审计如何有效参与的风险管理

一、内部审计在风险管理中的角色和作用

国际内部审计师协会（IIA）主席伍顿．安德森博士（2004）指出，IIA《内部审计实务标准》认为内部审计在风险管理中的角色和作用有两个方面：一是对风险管理程序进行评价，对风险管理的恰当程度做出保证；二是协助实施风险估算( 王晓霞,2005)。
1.对现有的风险管理状况进行评价由于当今企业面临的风险日益增加，许多企业职能部门在从事具体业务的过程中要进行风险管理，有些企业还有专门的风险管理部门。内部审计部门进行风险管理，是对这些部门进行的风险管理的再评价或监督，既要评价风险管理的过程，也要评价风险管理的效果，发现风险管理中的薄弱环节，提出改进措施。由于内部审计部门相对独立，其评价结果比较客观。此外，内部审计可以从总体角度对企业的风险作出评价。
2.协助实施风险估算，直接参与风险管理在有些情况下，内部审计人员可以直接参与风险管理。比如，在未设立风险管理部门的企业中，参与全面风险管理，或者参与企业的重大项目和重大决策的风险管理。有时内部审计部门也可以与风险管理部门及业务部门一起进行风险管理。内部审计在企业风险管理中的角色和作用也不是一成不变的，而是一个逐步变化和延续发展的过程。在企业缺乏风险管理程序的情况下，内部审计可以向管理层提出建立企业风险管理的建议；在组织实施风险管理的初期，内部审计可以发挥很大的协调作用，有时可以直接担任风险管理项目经理；而当企业风险管理逐步成熟，运作稳定以后，内部审计可转化为监督者和咨询者。内部审计的报告的关系层次越高，独立性越强，内部审计就越能够从全局和战略角度参与企业风险管理；反之，则只能从局部和流程角度参与企业风险管理。


　　论文检测天使-免费论文相似性查重http://www.jiancetianshi.com
[1]电大学习网.免费论文网[EB/OL]. /d/file/p/2024/0424/fontbr二、内部审计参与风险管理面临的困境br />
1.内部审计直接参与风险管理的缺陷IIA《内部审计实务标准》认为内部审计可以协助实施风险估算程序，直接参与风险管理，但是在实务操作中却面临着一定的困境。如果一个规模不大的企业没有建立起相应的风险管理机构，可以由内审部门直接参与风险管理。但是，这种由内部审计直接参与风险管理，负责建立风险管理机构的做法也会面临不可避免的矛盾。首先，在内部审计资源本来就比较稀缺的情况下，抽调人力开展风险管理工作，可能会因为其他工作的干扰，而不能及时地实施风险评估；其次，按照 IIA 《内部审计实务标准》，内部审计还要对现有的风险管理进行评价，并提出改进风险管理有效性的建议。这导致两项职务同时集中到了一个部门甚至是一个人的身上，由于热的视角存在主观性，结果影响到其客观性和独立性。缺少必要的控制，也失去了审计的独立性，很容易出现错误或舞弊现象。这种情况下，内部审计直接参与风险，可能会给企业带来更大的风险，导致更大的损失。
2.审计人员参与风险评估可能缺乏专业知识内部审计参与风险管理经常会碰到审计人员欠缺专业知识。例如企业为了规避风险，可以把某些风险通过保险、套期保值、衍生工具等方式转移给他人，而审计人员不一定具备这些相应的专业知识。由于审计人员没有相应的专业知识，也就无法合理的、准确的评价。如果勉强给出一份评估报告，可能带来更大的风险；再如许多企业内部有许多基建工程，内部审计在参与其风险管理过程中，碰到复杂的技术本 论文 出自 无忧论文网上的风险规避问题，是无法胜任的，无法给出一个令人满意的评估报告；今天信息技术和网络化办公日益普及，当内部审计人员对企业内网络信息系统的安全性进行风险评估时，可能面临着专业知识不足的情形。没有专业人才的参与，在专业性很强的风险管理项目中，审计人员很难发现重大风险的隐患，因此提出的指导意见针对性不强，内部控制缺陷也无法得到及时纠正。
3.内部审计参与风险管理可能得不到业务和风险管理部门的配合早期的内部审计人员为了实现查错防弊的目标，常常扮演内部警察的角色，这容易导致被审计部门的抵触，也就谈不上与被审计部门进行交流和沟通。内部审计要参与风险管理，提供建设性的意见，就需要深入调查内部控制和经营管理的现状，找出薄弱环节和经营不善之处，并寻求改进的措施。这样内部审计人员就必须深入企业的具体管理环节，业务和风险管理部门会认为内部审计“手伸得太长”，管的事太多，可能会产生抵触的情绪, 不愿给予配合。
4.风险管理部门和内部审计部门对同一风险存在不同认识由于风险管理部门和内部审计部门对同一风险的认识可能存在差异，导致风险管理部门对内部审计部门出具的评估报告产生异议，引起部门之间的矛盾，进而引起其他部门对内部审计部门专业权威性的怀疑。不利于内部审计在风险管理领域开展工作。例如，专家可能比新手或那些没有接受过风险管理培训的人更擅长风险评估。同样，一个员工可能会把与其责任领域相关的特定事件风险定的很低，因为高的评估值意味着员工的业绩不佳，而内部审计部门面对同样的风险，估计的可能值会高得多。在有些组织中，因为有较高的预期收益，管理层或为组织本身，或为其他相关目标，愿意承担相当大的风险；而内部审计部门可能因为是“风险厌恶者”，可能对同一风险评价较高，而不愿意承担该风险。这种对风险的不同认识，是由于对风险偏好的程度不同造成的。
5.内部审计部门可能无法系统地审查各种风险由于大多数人不熟悉经营战略与经营计划中内在的威胁，所以风险识别是一项很困难的任务，内部审计人员通常也是不太熟悉战略及威胁的群体之一。对风险进行识别和评估，理想状态是能够识别所有风险，但这在现实工作中是不可能的。然而，企业对各种风险都有一个风险容忍度。我们要做的是识别出超出企业风险容忍度的风险，对之加以管理和规避，对于这一部分风险是否能在风险识别环节被完全识别显得尤为重要。由于经营合作的加强，企业有许多业务是外包的，如现在IT 行业，有许多品牌计算机的各种部件都是贴牌生产，代工厂完成了本该由企业自己来做的工序。内部审计在对风险评估进行评价的时候，可能因为空间上的原因无法系统地审查各种风险。在这种业务外包的经营模式下，企业面临的风险很大程度上取决于供应商的信用、经营生产能力、交货能力。因为供求双方的信息不对称，企业内部审计部门对供应商的生产经营情况很难做到透彻了解，对该类风险进行评估时，内部审计部门会显得力不从心，无法给管理当局一份有效的风险评估说明，管理层在做决策的时候就可能预料不到影响供应商进而影响自身的风险事件，无形之中就也就扩大了企业生产经营的不确定性，扩大了企业所要承担的风险。除此之外，还有其他许多问题急待解决，如管理层和内部审计人员怎样才能系统的将组织战略和商业模式与对实现目标构成威胁的风险联系起来？内部审计能否做到将管理层风险管理失败的信息及时有效的转递给独立董事？内部审计对企业风险管理监控有什么局限性等等。

三、内部审计如何参与企业风险管理

内部审计在参与风险管理时应建立一套科学的运行体系，并尽量利用较先进的信息技术构建审计作业平台，此外，还必须提高内部人员的专业胜任能力，具体说来，内部审计参与风险管理应注意以下问题：1.合理设定内部审计机构的职能内部审计直接参与风险管理这种情况一般发生在规模较小的组织中，这样组织的经济业务和组织结构一般比较简单，风险管理的工作可以直接由内部审计部门负责，但是一定要有独立于内部审计部门的人员行使监督职能，以便进行控制。小企业中这种监督的工作可以指派一个分管领导专门负责或者直接由主管领导负责。内部审计部门在制定年度工作计划的时候也要把风险管理作为一项任务，按照企业的年度工作计划为风险管理安排一定的人力和时间，避免由于时间和人力上的冲突影响风险评估。
2.多渠道弥补审计人员专业知识的不足内部审计人员参与风险评估时，可能会因为缺少专业知识而无法胜任，对此可有三个方案可供考虑： 论文检测天使-免费论文检测软件http://www.jiancetianshi.com
第一种方案是内部审计可以依靠外部专家或者审计事务所、咨询公司等类似的服务机构，即实施内部审计外包。企业管理当局在评价这种方案时，应进行成本与效益比较。即先比较维持内部审计部门成本和支付职业服务机构费用的高低，然后再决定是否采用此种方案。第二种方案是引入本单位其它部门中拥有特定专业技术技能的人员。他们没有审计技能，但是专业知识和技能可以帮助审计人员做出专业的判断。内部审计部门需要建立一个人才数据库，通过数据库追踪内部审计人员、专业技术人员的现有技能、已参与的培训和未来所需要的培训。内部审计部门在开展审计工作时，可以根据业务性质的需要在人才数据库中抽调一定的专业人员加入审计小组，配合审计评估，通过该数据库还便于实施审计安排和时间安排。第三种方案是从培养角度看，内部审计部门应加大对现有审计队伍全方位、多层次的培训力度，有针对性地培养具有复合知识结构和多学科专业胜任能力的优秀人才。
3.努力沟通，取得风险共识可以通过风险管理人员之间的沟通，共同参加学习，来取得风险共识；如果是因为每个部门所处的角度不同，代表的利益不一致，首先进行协商，协商不成可上报上一级部门解决，因为风险管理部门和内部审计部门工作目的都是帮助组织实现目标。由于各方面的原因，管理层对于有些风险采取接受的态度，这些风险一般称为剩余风险。内部审计师在实施风险管理、控制和治理等流程和机制评价时，如果发现高级管理层接受的剩余风险水平不恰当，审计执行主管应就此与高级管理层进行讨论。如果无法协商一致，审计执行主管和高级管理层应将此事报告给董事会加以解决。
4.开展实务研究，建立风本 论文 出自 无忧论文网险清单有不少企业组织模式，其风险主要来源于组织的外部，所以在建立风险清单时要结合企业的实际情况，建立一个企业适用的风险清单。如企业的产品外包生产，企业负责贴牌销售这一模式。这种情形之下，企业的风险主要就是来自于供应商。管理层在确定供应商的时候一定要加强对供应商的调查，内部审计部门要关注管理层确定供应商这一过程，确保选择过程的合理性和合规性。管理层必需对供应商的情况了解到位，诸如行业内的口碑，生产能力，外界审计对其出具的审计意见等等；其次，要完善各种合同，通过合同来规避风险；其三企业应制订应急计划，避免完全依赖一个外包生产商，以分散风险。
论文检测天使-学术行为不端检测免费软件http://www.jiancetianshi.com
总之，内部审计通过对企业风险管理程序的充分性与有效性进行检查、评价和报告，并提出改进建议，可以协助管理层和董事会更好地监控和管理风险，并使内部审计在促进企业价值增长中发挥持续作用。