审计与风险管理精选(九篇)

时间：2023-11-15 18:03:40

审计与风险管理

第1篇：审计与风险管理范文

[摘要]近年来，风险管理已成为内部审计的重要领域。本文在阐述了风险、风险管理的涵义的基础上，对内部审计参与风险管理的动因、内部审计如何参与风险管理进行了探讨。

近年来，有些内部审计组织开始介入风险管理，并将其作为内部审计的重要领域，这一做法得到了国际内部审计职业界的普遍认可，以至于国际内部审计师协会在1999年通过的内部审计的最新定义把评价和改善组织的风险管理和控制的有效性作为内部审计的主要内容。本文将对此问题进行阐述。

一、风险、风险管理

（一）风险、风险因素、风险事故和损失

风险是在一定环境和限期内客观存在的，导致费用、损失与损害产生的，可以认识与控制的不确定性（赵曙明、杨钟，1998）。它具有客观性、普遍性、必然性、可识别性、可控性等特点。在风险的形成过程中，要涉及到风险因素、风险事故和损失三个方面。

风险因素，是指能够引起或增加风险事件发生机会或影响损失的严重程度的因素。风险因素可分成三类：（1）物理因素，是指增加风险发生机会或损失严重程度的直接条件；（2）道德因素，是指由于个人不诚实或不良企图，故意使风险事件发生或扩大已发生风险事件的损失程度的因素；（3）心理因素，是指由于人们主观上的疏忽或过失而导致增加风险事件的机会或扩大了损失严重程度的因素。

风险事故，是指在风险管理中直接或间接造成损失的事故，因此可以说它是损失的媒介物。

损失，是指非故意的、非计划的和非预期的经济价值的减少，通常以货币单位来衡量。损失分为直接损失和间接损失两种。直接损失是实质性的损失，间接损失则包括额外费用损失、收入损失和责任损失三种。额外费用损失措必须修理或重置而支出的费用；收入损失指由于该企业设备损毁以至无法生产成品而减少的利润；责任损失指由于过失或故意致使他人遭受体伤或财产的侵权行为而依法应当担负的赔偿责任。

对于风险因素、风险事故和损失之间的关系，有两种解释理论：一是亨利希（H.W.heinrich）的骨牌理论；二是哈同（W.Haddon）的能量释放论。他们都认为风险因素引发风险事故，而风险事故导致损失，但侧重点不同。前者强调三张骨牌之所以相继倾倒是由于人的错误所致。后者则认为之所以造成损失是由于事物所承受的能量超过其所能容纳的能量所致，物理因素起主要作用。

（二）风险管理

风险管理作为一种特殊的管理功能，它是为人类追求安全和幸福的目标，结合前人的经验和近代的科学成就而发展起来的一门新的管理科学。对什么是风险管理，一些学者提出了自己的看法，美国学者克里斯蒂（JamesC.Cristy）认为风险管理是企业或组织为控制偶然损失的风险，以保全所得能力和资产所做的一切努力；另外两位美国学者威廉斯（C.Arthur Williams.Jr.）和理查德。汉斯（Richard M.Heins）认为，风险管理是通过对风险的鉴定、衡量和控制，以最低的成本使风险所造成的损失控制在最低程度的管理方法；我国的陈佳贯认为，风险管理是企业通过对潜在意外或损失的识别、衡量和分析，并在此基础上进行有效的控制，用最经济合理的方法处理风险，以实现最大的安全保障的科学管理方法。根据以上风险管理的定义，我们可以得出以下几点认识：（1）风险管理是一个系统过程，包括风险的识别、衡量和控制等环节；（2）风险管理的目标在于控制和减少损失，提高有关单位或个人的经济利益或社会效果；（3）风险管理是一种管理方法。

二、内部审计参与风险管理的动因

内部审计之所以涉足风险管理领域，主要有以下几个原因：

1、企业面临的风险日益增大

近年来，随着社会经济的发展，特别是经济全球化及国际化程度的加深，使企业经营环境变得日趋复杂，企业经营风险也大大增加。知识经济的到来，更使企业的风险雪上加霜。因此，减少企业面临的风险是组织实现目标的关键，也是企业的管理人员十分关心的问题。内部审计的目的在于增加组织的价值和改善组织的经营，内部审计人员是企业的管理咨询师，因此，内部审计部门和内部审计人员参与企业的风险管理也就顺理成章了。

2、内部审计对发展的渴求

内部审计部门为了不断地发展，为了在企业中担当更重要的角色和发挥更重要的作用，总是不断寻找新的对企业又十分重要的领域，企业经理人员对风险的空前重视，为内部审计发展提供了一个绝好的机会。内部审计对风险管理的介入，将会使内部审计在企业中成为一个重要的角色，并将其在企业中的作用推向一个新水平。正因如此，内部审计师的职业组织——国际内部审计师协会才不遗余力地倡导内部审计师进军这一领域，把风险管理作为内部审计的重要领域直接写入了内部审计的定义。

3、内部审计能够在风险管理中发挥独特的作用

内部审计在风险管理中的独特作用有三：

（1）能够客观地、从全局的角度管理风险

风险在企业内部具有感染性、传递性、不对称性等特征，即一个部门造成的风险或疏于风险管理所带来的后果往往不是由其直接承担，而是会传递到其他部门，最终可能使整个企业陷入困境。正因为如此，有些部门可能会出现过渡道德风险，因为风险不是由你们来承担（至少不是单独承担），如，采购部门为节约采购成本，就会忽视对材料规格、型号、质量方面的检查，或者有意购买残次品，这种暗藏的风险会在生产车间或销售部门反映出来，最终给企业造成巨大损失。因此对风险的认识和防范、控制需要从全局考虑，而各业务部门又很难做到这一点。

内部审计部门不从事具体业务活动，独立于业务管理部门，这使得它们可以从全局出发、从客观的角度对风险进行识别，及时建议管理部门采取措施控制风险。

（2）控制、指导企业的风险策略

由于内部审计部门处于企业的董事会、总经理和各职能部门之间的位置，内部审计人员能够充当企业长期风险策略与各种决策的协调人。通过对长期计划与短期实现的调节，内部审计人员可以调控、指导企业的风险管理策略。

（3）内部审计部门的建议更易引起重视

有些企业尽管也有风险管理部门，但它属于管理部门的一个职能部门，向总经理报告，不具有独立性，其意见有时会屈服于管理当局的压力。如风险管理部门对某投资项目分析后发现风险太大不适合投资，而总经理好大喜功，他会力促项目的实施。这使得风险管理部门的作用受到限制。内部审计部门独立于管理部门，其风险评估的意见可以直接报给董事会，这会加强管理当局对内部审计部门意见的重视程度。

4、外部审计的影响

近年来，注册会计师的业务领域不断扩展，在其所扩展的新的保证服务业务中就包括了风险评估，且是主要业务之一。这不能不对内部审计界产生影响，因为，内部审计部门和内部审计人员在风险管理方面拥有注册会计师无可比拟的优势，比如：内部审计部门和内部审计人员对企业面临的风险更了解；内部审计部门和内部审计人员对防范企业风险、实现企业目标有着更强烈的责任感。既然外部审计可以从事此项业务，内部审计就更可以从事这一工作。

三、内部审计如何参与风险管理

与一般的风险管理部门进行的风险管理相比，内部审计部门所进行的风险管理既与其有紧密的联系，又有区别。他们的联系表现在，两者的目的是统一的，都是为了降低企业的风险；两者的区别在于他们在风险管理中的角色不同。正是上述的联系和区别，导致了内部审计部门进行的风险管理过程与一般风险管理过程具有相同点和不同点。

内部审计部门所进行的风险管理是在一般部门所进行的风险管理基础上的再监督，其风险管理过程应包括三个方面：（1）评估风险识别的充分性；（2）评价已有风险衡量的恰当性；（3）评估风险防范措施的充分性，并提出改进措施。

（一）评估风险识别的充分性

所谓风险识别是指对企业所面临的、以及潜在的风险加以判断、归类和鉴定风险性质的过程，换言之，就是要确定企业正在或将要面临哪些风险。内部审计部门和人员要对原有的已识别风险是否充分进行评价，即企业所面临的主要风险是否均已被识别出来，并找出未被识别的主要风险。采用的方法包括决策分析、可行性分析、统计预测分析、投入产出分析、流程图分析、资产负债分析、因果分析、损失清单分析、保险调查法和专家调查法等。

（二）评价已有风险衡量的恰当性

风险衡量是指应用各种管理科学技术，采用定性与定量相结合的方式，最终定量估计风险大小，找出主要的风险源，并评价风险的可能影响，以便以此为依据，对风险采取相应对策。内部审计部门和人员要对已有的风险的衡量结果进行再检验，以确定其是否信当，对不恰当的估计予以更正。采用的方法主要有：调查和专家打分法、风险报酬法（又称调整标准贴现率法）、风险当量法、解析方法、蒙特卡罗模拟方法等。

（三）评估风险防范措施的充分性，并提出改进措施

第2篇：审计与风险管理范文

一、风险管理的概念

风险管理是指识别风险并设计控制风险的方法，其核心是将没有预计到的未来事项的影响控制在最低程度。对风险管理，首先，要求在组织中发现那些高风险暴露的领域，对高风险暴露点的识别要通过对组织的分析进行，这种分析既包括审计人员客观的测试，也包括主观的判断。其次，将分析的结果与认为可接受的风险水平相比较。最后，实施必要的变革，使组织的风险暴露水平与其所设定的目标相一致。风险管理所涉及的范围是十分广泛的，包括投资风险管理、外汇风险管理、利率风险管理、商品价格风险管理等。

二、风险管理是公司治理的核心

1、公司治理的概念。公司治理，从狭义的角度进行理解，是指所有者主要是股东对经营者的一种监督与制衡机制。即通过一种制度安排，来合理地配置所有者与经营者之间的权利与责任关系。若从广义角度进行理解，是指包含法律、文化等在内的有关企业控制权和剩余索取权分配的一整套制度安排，其决定企业目标的实现。

从主要功能上来说，公司治理的范围可以包括：股东、董事会——决策者；管理阶层——执行者；审计人员（包括内部审计人员及外部审计人员）——监督者；其他利益关系人（例如：顾客、供应商、债权人及员工等）——影响者等。从这个角度来讲，内部审计人员应该在公司治理中占有一席之地。因为沟通公司治理各功能主体的重要工具就是会计信息系统。因此，会计信息系统本身是公司治理结构的组成部分，而且会计信息更严重地制约和影响着公司治理结构中其他制度安排效用的高低。会计信息系统提供的会计信息的真实可靠是内外部激励机制正常运行的前提条件，而有效的审计监督制度是确保这一前提条件实现的关键。外部审计对公司财务报表进行审计，并对其公允性发表审计意见，从而起到增强会计信息可信性的作用。而内部审计处于公司内部，对于公司内部控制、管理经营活动、风险管理都有透彻深入的了解，与外部审计人员相比，内部审计对公司治理发挥的作用在层面上更为深入，在范围上更为广泛。

2、公司治理的核心是风险管理。在上述公司治理定义中，我们可以看到，公司治理这一制度安排所决定的企业目标、决策人及风险和收益的分配都围绕风险展开；风险直接影响目标的实现；而决策人对风险的控制和管理直接决定目标是否能够实现及实现的程度；治理结构中各部分的人员需要承担所分配的一定风险并获得相应的收益。另外，从解释公司治理问题产生的经济学观点来看，无论是契约理论中提及的不完备契约，还是信息经济学中提及的信息不对称，以及理论中提及的问题，这些引发公司治理产生的因素究其实质都属于风险，都是使企业目标无法实现的各种潜在的、可能发生的事件。公司治理是组织应对风险的战略反应，其职责核心就是确保有效的风险管理方案的适当性，因此公司治理中包含一些战略性的风险管理的因素。例如：公司董事会所设定的公司经营管理基调是风险偏好型或是风险规避型；再如公司高层管理当局（CEO）在经营风格、理念、管理哲学中包含的风险态度等。这些战略性风险管理因素就是公司治理与风险管理的交汇点。因此，风险管理是公司治理的核心。

三、内部审计作为内部控制的重要部分，与风险管理密不可分

1、内部控制与风险管理的联系日趋紧密。在决定内部控制政策，并在此基础上评估特定环境中内部控制的构成时，董事会应对诸多风险管理问题进行深入思考。比如：公司面临风险的性质和程度；公司可承受风险的程度和类型；风险发生的可能性；公司减少事故的能力及对已发生风险的影响；实施特殊风险控制的成本，以及从相关风险管理中获取的利益。执行风险控制政策是管理层的职责，在履行其职责的过程中，管理层应确认、评价公司所面临的风险，并执行董事会所设计、运行的内部控制政策。

第3篇：审计与风险管理范文

【关键词】内部控制;风险管理;内部审计;外部审计

风险是一个事项将会发生并给目标实现带来负面影响的可能性(COSO,方红星等译,2005),它实质上是指损失的不确定性。企业风险可以描述为企业目标不能得以实现的可能性(孟焰、潘秀丽,2006)。风险是影响企业经营管理决策的重要因素。如何关注企业风险,实施有效地风险治理措施,是企业必须面对的重要议题。伴随着企业风险意识的不断加强,以及相关理论研究的持续深入,内部控制、风险管理与审计之间的联系逐渐引起理论界与实务界的重视,风险导向成为内部控制和审计的主流思想。鉴于此,本文在梳理内部控制、风险管理与审计之间关系的基础上,试图构建由经营者、所有者、内部审计师和外部审计师组成的企业风险综合治理体系,以期达到降低企业风险、增加企业价值的效用。

一、内部控制的本质:风险控制机制

内部控制是指企业为了实现控制目标,由董事会、监事会、经理层和全体员工实施的一系列政策和程序,它是企业加强经营管理的有效工具和手段。内部控制本质上是组织的内部风险控制机制(丁友刚、胡兴国,2007),它是有助于降低企业风险的一种控制机制,内部控制的最终目标是提高企业的经营管理水平和风险防范能力。内部控制源于企业管理中的内部牵制思想,内部控制理论的发展先后经历了内部牵制、内部控制制度、内部控制结构、内部控制整合框架和企业风险管理整合框架五个阶段。在内部控制的演进过程中,内部控制的目标从最初的确保实物资产安全,到提高经营效率以及财务报告信息的可靠性,再到保证法律法规的遵循性,以至现阶段对企业战略风险的关注,无不体现出风险控制的理念。内部控制就是控制风险,控制风险就是风险管理(谢志华,2007)。在企业风险管理整合框架阶段,风险控制从基础层面上升到战略层面,战略风险控制成为内部控制的首要目标,经营风险控制、财务报告风险控制以及合规性风险控制都服从于战略风险控制。风险整合框架的,使内部控制从一般意义上风险控制机制扩展至全面风险控制机制,成为企业加强管理、提高经营效率和效果,从而实现战略目标的有力手段(财政部会计司赴美国考察团,2007)。

二、内部控制、风险管理与内部审计

国际内部审计师协会(IIA)在《内部审计实务标准》中将内部审计定义为:“是一种独立、客观的确认和咨询活动,旨在增加组织的价值和改善组织的运营。它通过应用系统化、规范化的方法,评价并改善风险管理、控制和治理过程的效果,帮助组织实现其目标”;《企业内部控制应用指引》(征求意见稿)将内部审计定义为:“是指企业内部的一种独立客观的监督、评价和咨询活动,通过对经营活动及内部控制的适当性、合法性和有效性进行审查、评价和提出建议,促进改善企业运行的效率效果、实现企业发展目标”。从其定义可以看出,内部审计具有评价、监督和服务等职能。内部控制、风险管理与内部审计之间的联系日趋紧密,内部审计是内部控制体系的组成部分,风险管理是内部审计的重要领域。

(一)内部审计是内部控制体系的组成部分

1986年4月,最高审计机关国际组织在第十二届大会上发表的《总声明》,把组织结构、方法程序和内部审计作为内部控制的要素,内部审计成为内部控制的重要组成部分。内部审计在企业内部天然的监督作用使其自然成为内部控制方式之一,同时又是对内部控制执行情况的一种监督形式,是对内部控制的控制(曹伟、桂友泉,2002)。内部审计是内部监督的主要形式,《企业内部控制基本规范》把内部监督作为内部控制的一个要素。根据《企业内部控制基本规范》的要求,企业应当制定内部控制监督制度,明确内部审计机构和其他内部机构在内部监督中的职责权限,规范内部监督的程序、方法和要求。由此可见,内部审计是内部控制体系的组成部分。

(二)风险管理是内部审计的重要领域

企业风险管理的有效性在一定程度上取决于企业对风险管理工作的监督和评价(孟焰、潘秀丽,2006),对组织的风险管理过程进行检查、评价和报告是内部审计人员的重要工作。IIA实务公告2110-1规定:“内部审计师应通过检查、评价、报告与建议改进有关风险管理过程的适当性和有效性,来协助管理层和审计委员会。内部审计师在充当咨询角色时,可以协助组织确认、评价风险并执行风险管理方法和控制来解决这些风险”。我国《内部审计具体准则第16号――风险管理审计》第七条规定:“内部审计人员应当实施必要的审计程序,对风险识别过程进行审查与评价,重点关注组织面临的内、外部风险是否已得到充分、适当的确认。” 以上规定充分体现了风险管理是内部审计的重要领域,内部审计在企业风险管理过程中起到监督、评价和咨询等作用。

内审部门作为内部控制和风险管理的牵头部门,只有通过其风险管理等各项增值服务,才能真正体现该机构在组织中的存在价值(王斌,2009),内部审计既是企业内部控制和风险管理的监督者,又是完善企业内部控制和风险管理的重要推动力量。

三、内部控制、风险管理与外部审计

(一)外部审计依赖于内部控制

内部控制是公司内部治理机制的基石,有效的内部控制,能够保证公司的正常运作和发展;外部审计是现代公司治理不可或缺的组成部分,外部审计治理作用的有效发挥有赖于内部控制的良好运作。内部控制和审计分别是影响组织效率的内在因素和外在因素之一,二者自身的产生、演进和彼此之间的互动、耦合,都是追求组织效率的必然结果(方红星,2002)。现代审计依赖于内部控制。审计人员是内部控制理论研究的发起者和推动者,也是该理论发展至今最大的使用者(张宜霞,2007)。

审计师关注与财务报告相关的内部控制。正是由于资本市场对企业财务会计信息质量的要求,才使得作为经济警察的注册会计师对企业内部控制制度的建立与执行尤为关注(施先旺,2008)。风险导向审计是审计模式发展的最新阶段,根据风险导向审计的要求,审计师首先要了解和评价被审计单位的内部控制,通过对被审计单位的战略及经营风险进行识别和评估,来确定高风险的审计领域,以便进行重点审计,从而有利于提高审计效率,减低审计风险。在现代风险导向审计方法实施过程中,仍然需要用到制度基础审计方法甚至详细审计方法的一些程序,但它已不局限于对传统企业内部控制的分析,而将分析对象扩大到整个企业的风险管理范围(审计理论研究课题组,2009)。但是,应当明确一点,在风险导向审计模式下,审计对内部控制的依赖不是减弱了,而是得到了进一步加强,只是分析范围扩大到整个企业的风险管理领域。

(二)外部审计是一种风险监督机制

理论是解释审计需求的主流理论,它是在Jensen和Meckling(1976)所倡导的委托理论的基础上发展起来的。在企业的委托关系中,委托人和人的目标往往是不一致的,人为了追求自身利益的最大化,可能会损害委托人的利益。为了使人与委托人的利益保持一致,委托人通常会选择适当的激励机制与监督机制,来减少委托人与人之间的信息不对称,而外部审计就是一种有效的监督机制。

外部审计作为一种外部监督机制,对于缓解冲突,促进资源的优化配置具有重要的作用。由于股东收益因关系存在而可能受到损害,因此股东的风险控制愿望一直表现得非常强烈(王斌,2009)。外部审计是所有者(股东)检验经营者经营管理效率和效果的一种方式,它是所有者对经营者实施的一种监督机制。外部审计师需要实施风险评估程序,来了解被审计单位的目标、战略以及相关经营风险。因此,所有者可以从外部审计师那里获得较多的关于企业的风险信息,这样就可以有效地降低所有者和经营者之间的信息不对称,进而所有者可以通过影响经营者的经营管理决策,来降低企业风险。

经济监督是审计的基本职能。审计的经济监督职能,主要是指通过审计、监察和督促被审计单位的经济活动在规定的范围内、在正常的轨道上进行;监察和督促有关经济责任者忠实地履行经济责任,同时借以揭露违法违纪、稽查损失浪费,查明错误弊端,判断管理缺陷和追究经济责任等(李凤鸣,2006)。根据我国《独立审计具体准则第24号――与管理当局的沟通》的要求,注册会计师应当对已发现的重大错误、舞弊或可能性,与管理当局进行沟通。《企业风险管理――整合框架》也指出,在进行财务报表审计时,审计师可以向管理当局提供有关风险管理方面的信息,以便管理当局更好地履行其风险管理职责,这些信息主要包括审计师所注意到的风险管理和控制所存在的缺陷,以及改进的建议。与管理当局进行沟通,有利于管理当局及时发现经营管理中的漏洞,以便采取整改措施,防止风险的扩大。

由此可见,无论是从所有者角度来看,还是从经营者角度来看,外部审计都是一种风险监督机制。

四、企业风险综合治理体系的构建

本文论述了内部控制、风险管理与审计之间的联系,它们在各自的职能领域发挥着风险控制或者风险监督的作用。内部控制的本质是一种风险控制机制,风险管理包含内部控制,内部控制是风险管理不可分割的一部分,风险控制是内部控制和风险管理的根本目标;内部审计是内部控制体系的组成部分,风险管理是内部审计的重要领域;外部审计依赖于内部控制,对所有者和经营者来说,外部审计是一种风险监督机制。基于内部控制、风险管理和审计之间的密切联系,笔者构建了由经营者、所有者、内部审计师和外部审计师组成的企业风险综合治理体系,以期达到降低企业风险、增加企业价值的效用。图1为企业风险综合治理体系示意图:

(一)经营者是企业风险治理的实施者

本文所指的经营者是指企业的经营管理决策人员,主要包括董事会、监事会和经理层等。董事会应当确保风险管理过程的适当性、有效性,并最终对企业的风险管理过程负责;监事会对董事会建立与实施的风险管理政策进行监督;经理层应当树立风险导向的经营管理理念,制定合理的风险管理政策,并且确保其能够发挥应有的作用。企业应当根据不同的管理级层赋予相应的风险责任和职能,并且成立专门机构(如风险委员会)或者指定适当的机构(如审计委员会)来负责组织与协调企业风险治理机制的建立实施以及日常工作。同时,经营者还应当考虑向内部审计师和外部审计师征求风险治理意见,以便能够扩大视野,提高风险治理水平。

(二)所有者是企业风险治理的需求者

所有者(股东)是企业风险的最终承担者,经营者的不当行为所造成的损失要由股东来“买单”。因此,所有者具有强烈的风险控制愿望,他们往往会采取一些措施来控制企业风险。例如,股东大会对企业的经营方针、筹资、投资、利润分配等重大事项享有表决权,所有者可以通过否决潜在风险较大的投资项目、撤换不称职的经营者等方式来规避风险。另外,王斌(2009)提出,要使股东有能力保持对公司风险的持续监控,股东要做的事应当是:追加购买审计师的额外服务,即要求审计师在向股东提供年度审计报告的同时,追加提供“风险提示意见”这项服务功能,并将其与审计报告一起对外披露。笔者认为,股东追加购买审计师的额外服务,并不会增加审计师的负担。因为外部审计师必须对被审计单位的风险进行评估,它只是外部审计师提供年度审计报告业务的“副产品”,并且能够在一定程度上满足股东风险控制的期望。尽管目前尚处于理论探索阶段,但股东向外部审计师购买“风险提示意见”这项额外服务,将具有广阔的发展前景。

(三)内部审计师是企业风险治理的监督者

内部审计机构是企业内部控制和风险管理的监督部门,内部审计师理应成为企业风险治理的监督者。内部审计师通过对企业风险管理的恰当性和有效性进行检查、评价、报告和提出改进建议,能够使董事会和经理层全面、系统地了解企业的风险治理状况,从而有助于董事会和经理层提高风险治理水平,实现对企业风险的有效控制。

(四)外部审计师是企业风险治理的咨询者

现代风险导向审计是以被审计单位的战略风险为导向,审计师需要了解被审计单位及其环境,重点关注被审计单位的目标、战略以及相应的经营风险,根据风险评估的结果来实施进一步的审计程序。注册会计师具有较强的职业判断能力,能够对被审计单位的风险治理状况作出合理的评估。因此,被审计单位的董事会和经理层有必要与外部审计师进行沟通,征求外部审计师的风险治理意见。同时,外部审计师要与内部审计师加强交流与沟通,尤其要针对内部审计师咨询企业在内部控制和风险管理方面所存在的问题,利用内部审计资源,充分识别风险较高的领域,进而提高审计效率。

【主要参考文献】

[1] 财政部会计司赴美国考察团. 美国会计国际趋同、注册会计师监管和内部控制考察报告[J]. 会计研究,2007(8):3-8.

[2] 曹伟,桂友泉. 内部审计与内部控制[J]. 审计研究,2002(1):27-30.

[3] 丁友刚,胡兴国. 内部控制、风险控制与风险管理――基于组织目标的概念解说与思想演进[J].会计研究,2007(12):51-54.

[4] 方红星. 内部控制、审计与组织效率[J].会计研究,2002(7):41-44.

[5] COSO.企业风险管理――整合框架[M].方红星,王宏等译. 大连:东北财经大学出版社,2005.

[6] 贺密柱.内部控制理论演进的中外比较及其思考[J].财会通讯(学术版),2008(2):101-103.

[7] 李凤鸣,韩晓梅. 内部控制理论的历史演进与未来展望[J]. 审计与经济研究,2001(7):61-63.

[8] 李凤鸣. 审计学原理(第三版)[M].上海:复旦大学出版社,2006.

[9] 孟焰,潘秀丽. 企业风险管理审计研究[J]. 审计研究,2006(3):61-63.

[10] 施先旺. 内部控制理论的变迁及其启示[J]. 审计研究,2008(6):79-83.

[11] 审计理论研究课题组. 审计基本理论比较:前后一贯的理论结构[M].上海:立信会计出版社,2009.

[12] 王斌. 股东期望、全面风险管理与审计价值[J].会计研究,2009(5):87-93.

[13] 吴水澎,陈汉文,邵贤弟. 内部控制理论的发展与启示[J].会计研究,2000(4):2-8.

[14] 谢志华. 内部控制、公司治理与风险管理:关系与整合[J]. 会计研究,2007(10):37-45.

第4篇：审计与风险管理范文

[关键词]内部审计；风险管理；IIA；COSO框架

内部审计是现代管理和管理控制的组成部分。IIA在《内部审计实务标准》中将其定义为是一种独立、客观的保证工作和咨询活动，其目的在于为组织增加价值并提高组织的运作效率，采用系统化、现代化的方法来对风险管理、控制和治理程序进行评价和改善，从而帮助组织实现目标。

企业风险管理是一个由企业的董事会、管理层和员工共同参与，应用于企业战略制定和企业内部各个层次和部门，用于识别可能对企业造成潜在影响的事项，并根据风险偏好管理风险，为企业目标的实现提供合理保证的过程。它参与到企业的各项活动之中，是一个过程，是实现结果的一种方式。与传统的项目风险管理相比，企业风险管理强调战略导向，覆盖了组织所有的管理层次和管理领域，方法也更为结构化和规范化。

内部审计承担了监督、分析、评价、检察、报告和改进等任务，是企业风险管理不可或缺的组成部分。就世界范围看，风险管理已成为内部审计的主要内容。IIA早就把评价和改善组织的风险作为内部审计的主要内容，其1999年制定的内部审计定义将风险管理和内部控制、公司治理并列作为内部审计的工作对象，2001年修改的《内部审计实务标准》明确要求内部审计参与风险管理和公司治理过程。我国内部审计准则中也充分考虑了风险评估作为内部审计中的一个核心概念。

内部审计为什么要与风险管理相整合，在COSO框架下两者如何结合是需要深入分析的问题。本文将对两者的关系，两者结合的意义及两者结合的方式作进一步探讨，并在此基础上研究中国企业如何将内部审计与风险管理相结合。

一、内部审计与风险管理的关系及两者结合的意义

IIA在对美国国会关于《萨班斯——奥克利斯法案》的意见陈述书中表述：内部审计、外部审计、董事会以及高层管理人员被称为有效的公司治理的四大基石。内部审计师的作用是监控、评估和分析组织的风险，审查信息及公司对法律法规的遵守情况，向董事会、审计委员会以及高层管理人员负责提供保证——风险已被分散、公司治理是有效的。内部审计以企业内部信息使用者为中心，聚焦于控制、风险管理等关键问题，通过帮助组织管理风险和提高管理效率，来增加组织的价值和改善公司的经营。

公司的治理过程是公司的利益相关主体让管理层发现风险并对其进行控制的过程，对公司风险的监控及适当地规避此类风险，对实现公司目标和保存公司价值都有直接的贡献。内部审计参与风险管理的实质就是协助公司的高层管理人员做如下工作：系统鉴别组织所面临的风险；评估这些风险对组织的潜在影响；制定控制风险的策略；评价风险管理的过程；就风险应对措施的合理性、风险监控的及时性、恰当性、有效性等信息进行有效的交流和沟通。风险管理是管理层的一项主要职责，而对组织的风险管理过程进行评估和报告通常是内部审计工作的一项主要内容。在适当情况下，内部审计师应与管理层审计委员会和董事会就与风险和风险管理实务中的薄弱环节进行讨论，当然在该过程中由管理层负责对重大风险采取针对性行动，内部审计机构负责人负责评价这些行动。风险管理作为管理层的一项主要职责，它应当确保组织中有良好的风险管理过程，并使其发挥作用。董事会和审计委员会负责监督、判断组织是否有适当的风险管理过程，以及是否充分、有效。内部审计师的职责是运用风险管理方法和控制措施，对风险管理过程的充分性和有效性进行检查、评价和报告，提出改进意见，为管理层和审计委员会提供帮助。

IIA多年来一直积极倡导内部审计参与风险管理，它认为内部审计为组织提供价值的两个非常重要的途径是对风险管理的充分性和对风险管理及内部控制框架的有效性提供保证服务。

内部审计与风险管理相结合是将风险作为内部审计的对象，打破了原来的内部审计只关心内部控制有效性的局面，在评价内部控制的基础上，对企业所面临的各种风险进行识别和分析。从另一个角度来讲，内部审计更加注重企业的未来，从影响企业目标实现的各种系统风险和非系统风险出发，就内部控制是否健全、关键的控制点是否有效控制薄弱的环节以及改进措施是否有效提出认定，来评价风险管理与控制对组织目标实现的影响程度。以风险为对象的审计在风险管理基础上又进了一步。风险审计就是在风险管理基础上审计主体通过对组织风险识别、风险评价等工作的审计，侧重对风险管理进行鉴证。

内部审计参与风险管理不仅为内部审计自身提供了发展契机，而且作为企业内的一种独立、客观的保证工作和咨询活动，内部审计是公司治理必要和有价值的组成部分，能够在风险管理中发挥独特的作用，无论是内部审计还是风险管理都能从双方的整合中提高效率，创造价值。

内部审计作为内部控制的重要组成部分，其在风险管理中发挥不可替代的独特作用。主要有以下几个方面：(1)内部审计能够从全局的角度管理风险。对风险的认识、防范和控制需要从全局考虑，但各业务部门很难做到这一点。内部审计人员从事具体的业务活动，独立于业务管理部门，这使得他们可以从全局出发，从客观的角度对风险进行识别，及时建议管理部门采取措施控制风险。(2)控制、指导企业的风险策略。由于内部审计部门处于企业的董事会、总经理与各职能部门之间，内部审计人员能够充当企业长期风险策略与各种决策的协调人。通过对长期计划与短期计划的调节，内部审计人员可以调控、指导企业的风险管理策略。(3)内部审计部门的建议更易引起重视。内部审计部门独立于企业高级管理层，其风险评估的意见可以直接上报给董事会，这会加强管理当局对内部审计部门意见的重视程度。从内部审计发挥的上述职能看，内部审计已经参与到公司治理与风险管理中，帮助组织发现并评价重要的风险因素，促进组织改进风险管理体系；评价并改进组织的治理程序，为组织的治理做出贡献；同时继续原有的对控制效率和效果的评价作用，帮助组织保持有效的控制。此时的内部审计人员是风险管理专家，通过对风险的把握来评价公司治理及

内部控制，并促进公司治理和内部控制的改善，从而实现对风险的控制。在风险管理这个统一核心下，公司治理与内部控制实现了一定程度整合，为组织增加了价值。

二、内部审计在风险管理中的角色和责任

COSO报告指出企业风险管理有四个目标(实现战略、高效运作、客观报告、遵守法则)、八个要素(内部环境、目标设定、事件识别、风险评估、风险反应、控制活动、信息沟通、监控活动)，并在企业的四个层次(企业级、部门级、事业单位级、分公司级)展开。内部审计在这一框架中作为监控活动存在，由内部机构对企业风险管理进行独立评估。IIA在2004年发表的《内部审计在企业风险管理中的角色》意见书中也认为内部审计关于企业风险管理的核心角色是就组织风险管理的有效性向董事会提供客观保证，以帮助确信关键企业风险被正确管理及内部控制系统有效运行。因此，内部审计在企业风险管理架中首要角色是监督者，包括对风险管理流程的评估和保证服务，对风险评估准确性的保证服务，对关键风险报告的评估和对关键风险管理的评估。

按IIA的标准，内部审计的服务种类可以分为保证服务和咨询服务，前者是一种独立评价的活动，后者是提供建议及咨询的活动。内部审计为整个组织成员以及组织以外的所有利益相关主体服务，其信息服务对象的需求依其所处的位置、环境及掌握信息的不同而不同。总体来讲，处于信息劣势的服务对象希望内部审计为其提供保证服务，处于信息优势的服务对象则更希望内部审计为其提供咨询服务。其中，保证服务是指为了对风险管理。内部控制或公司的治理过程提供一个独立的评价而对证物进行的客观的检验；咨询服务是咨询性的以及与委托人服务相关的活动，其性质和范围是与委托人达成一致意见，目的是增加价值和改进组织的经营。在企业风险管理中，内部审计的本质特征并不发生改变，因而它可以担任的角色也是基于这两种服务衍生的。除了作为监督者所提供的保证服务之外，内部审计还提供咨询服务，包括促进对风险的识别和评估、指导和协调风险管理活动，加强对风险的报告、保持和发展风险管理框架、支持建立风险管理、参与制定风险管理战略等。与此相适应，内部审计承担了咨询者、协调者、建议者角色。内部审计在企业风险管理中的角色不是一成不变的，而是一个逐步变化和延续发展过程。在组织缺乏风险管理程序的情况下，内部审计可以向管理层提出建立企业风险管理的建议；在组织实施风险管理的初期，内部审计能够发挥更大的协调作用，甚至直接担任项目经理；而当企业风险管理逐步成熟，运作稳定以后，内部审计就从建议者、协调者转化为监督者和咨询者。内部审计的报告关系也会影响其在企业风险管理中的角色，报告关系层次越高，独立性越强，内部审计就越能够从全局和战略角度参与企业风险管理；反之，则从局部和流程角度参与企业风险管理。

为保证其独立性，内部审计并不对建立企业风险管理体系承担主要责任，风险管理责任应由管理层承担。内部审计可以对企业风险管理提供建议、咨询和支持，但不能设定风险容忍度、强制实行风险管理流程、对风险提供管理保证、对风险问题进行决策和对风险实施管理职责的行动，内部审计对于企业风险管理的责任应当在审计章程中写明并经审计委员会批准。此外，在实践中，应注意处理保证服务和咨询服务的关系。只要内部审计执行的任务涉及履行管理职责，就应该认为与此相关领域的审计客观性受到了损害，内部审计不能就其直接协调和指导的风险管理事项提供保证服务。

三、内部审计与风险管理整合的程序步骤

(一)判明风险类别，分析风险的具体源由

企业风险多种多样，表现的形式与发生影响也是千差万别的，为了管理和控制风险，应对风险进行辨认并予以分类，从中分辨出风险的性质，以确定主要风险、次要风险、关键风险、派生风险。

国外审计界对经营风险提出了多种分类模式，大致可概括为以下九类：外部经营风险(经营风险)——业务风险(经营风险)——职权风险(经营风险)——信息处理与技术风险(经营风险)——诚信度风险(经营风险)。——财务风险(投资决策风险)——业务风险(投资决策风险)——财务风险(投资决策风险)——战略风险。

在内部审计工作中，一般先从企业整体的战略目标着手，分析战略目标与企业实践的差距，明确形成差距的风险，进而分析风险的产生部门、风险的类别及其性质。

(二)在组织机构上，内审工作要与企业的各级风险管理组织相配合，开展企业综合风险管理

根据COSO的风险管理框架，一些国际会计公司提出了企业综合风险管理概念。这种管理是要求内部审计工作超越企业内部各职能部门的隔离，实行全体的、综合的和全员的行动进行综合风险管理。

在现代企业的风险控制方面，不少大中型企业一般建立三级风险管理组织，即由企业高级管理层组成的风险控制委员会作为公司风险管理的最高决策机构；公司风险控制委员会领导下的内部审计；专职风险监管部门。内部审计部门通过常规审计及专项审计评估公司风险，对公司风险管理制度进行设计以及对各业务部门执行风险控制制度情况进行定期检查，及时提示和报告潜在风险，并提出防范风险及改进工作的建议。

(三)按风险管理的要求开展内部审计

与经营风险管理相结合的内部审计，其具体要求是在企业的“经营——风险——控制——监督”过程中，内部审计充分发挥其监控实效。亦即内部审计在开展时，先由企业各层次人员明确企业经营风险控制管理的目标，在此基础上广泛收集经营决策信息、情况及风险情况，据此对各个待审项目的风险做出评价，进而确定内部审计控制风险的策略(包括规避风险、接受风险、转移风险、运用风险、减少风险)，然后运用“计划——执行——检查——行动”方式，对企业主管层、业务管理层及业务执行层进行审计。

(四)对具体项目风险、内部审计要参与事先、事中和事后三个阶段的全过程风险审查

四、内部审计与风险管理结合在中国的应用和实践

第5篇：审计与风险管理范文

内部审计是企业里一种较为独立、客观的评价系统。内部审计通过对企业经营管理的分析，来与现展相对照，找出问题，提出改进措施。内部审计主要分为财务审计、管理审计、经营审计、综合审计四个阶段。内部审计采用系统规范的方式对企业管理进行分析，为企业提供有益的资料，从而有效的改进企业的规划，帮助企业实现自身的目标价值。

二、风险管理的定义

风险管理区别于内部审计的“安稳性”，它是一种具有不确定性、多样化、风险较多的一种管理模式。分析出企业方面遭受的财务风险、市场风险、经营风险、战略风险等，把企业的风险控制在一个可掌握的范围内，就是风险管理的意义。此外，风险管理也是对各种风险进行有效分析，并采取相应措施降低企业风险的考量管理。

三、内部审计与风险管理的关系定义

内部审计与企业风险管理是有一定关联性的。在风险管理方面，对企业风险进行不断的识别、评估，各方面的不确定性，各种因素的出现都是未知的。而内部审计是对企业内部进行评估检测，审视检测的方面只是面向当前的企业，与企业风险管理有一定的差距，这种差距有着相反性，而这一性质正阐明了内部审计和风险管理有着相辅相成的关系。内部审计弥补了风险管理的缺失，它是对企业内部进行的审查管理，专门帮助企业发现操作漏洞，让企业对其漏洞尽快改进补救，以减少经营风险。同样，内部审计因为只面向企业自身，而忽略了外在的风险，因而导致审视出现偏差，重心转移，效率低下等情况，而风险管理就填补了这一漏洞，从而使企业更快速稳定的发展。所以风险管理和内部审计二者相互作用，密不可分。

四、企业内部审计在风险管理中的主要问题

（一）内部审计的出发点不明确

内部审计目前的审计范围还是较小的，大多数企业的内部审计都是对二级部门进行审计，一级部门是不参与的。所以审查的人员有很多是流于形式的审计，对于一些背景稍高的工作人员采取着得过且过的态度，有的审计人员为了所谓的部门和谐，即使看到了不合理的方式，也不采取揭露的态度，审计方式极为敷衍，渐渐的导致了工作人员犯错态度变成了习以为常。这样的认知大大阻碍了内部审计的发展，也是缺少了内部审计原有的意义。

（二）内部审计的工作人员专业胜任能力不足

内部审计对审计人员的技术要求较高，需要一定的知识储备量。各方面的技术也涉及较多，像财务方面涉及会计运算、线性规划、统计概率学等，管理方面涉及企业管理、各项审查的指标，综合素质方面还会涉及法律的相关知识，这些方面每个审计人员都应掌握了解。但现在很多的审计人员都是从财务部门中分离出来进入到审计部门，并没有对审计的知识有全面性的了解，能力方面还有一定的欠缺，在运算方面很有可能出现偏差，这对于内部审计极为不利。所以有效提高审计工作人员的专业能力势在必行。

（三）内部审计范围领域过于局限

目前我国的企业内部审计基本还是从财务方面进行分析，这样的分析方式比较局限，大大限制了内部审计的发挥。为顺应社会发展，内部审计的领域要进行多方面的扩张，真正的融入到社会当中来，只有从多方面的角度分析，才会准确有效的了解风险，从而更好的判断，提高内部审计工作的效率。

（四）内部审计缺乏自身独立性

内部审计部门缺乏独立性，就会在企业中缺乏话语权，从而容易受到企业内部各方的压力排挤，导致缺少一定的公正性和可靠性。内部审计要依附于企业的高管部门，这让内部审计免不了遭受上层领导的威胁压迫，而为保障内部审计的生存地位也会对“人情”产生一定的留情性。会让内部审计的公正性产生一定制约。所以内部审计加强自身的独立性至关重要。

五、企业内部审计在风险管理中的改革创新

（一）正确认识内部审计

内部审计要与风险管理进行协调与配合，审计人员对内部审计一定要有正确的认识。内部审计是从财务、经营、管理、综合四个基本方面来进行的审查评估。审查的时候一定要专业、公平、公正，不能持有敷衍的态度，轻蔑的态度，形式性态度，要充分了解与风险管理之间的关系，进行良性的合作，进行协调配合，走向优质发展，也是企业之幸。

（二）提高内部审计工作人员的综合素质

为确保内部审计进行专业性的评估分析，每个审计人员都要尽快的提升自身综合素质。企业方面也要在平时多宣扬并采取一定的培训措施，进行审计人员多方面的学习，对各方面的知识有一个系统化的总结，对各方面的技术进行反复推敲打磨，不断的完善自身，把知识应用到内部审计当中来。企业要注重对内部审计团队的建设，才能和风险管理进行适当的融合，分析风险，达到企业经营的高端水平。

（三）扩大内部审计在风险管理中的业务领域

如何有效的将内部审计与风险管理相融合，即加大内部审计在风险管理中的应用。融合的最好方式就是参与其中，内部审计和风险管理相互促进，同时也要拓展内部审计的业务领域，内部审计除了财务方面涉及较多，在运营、审核、内部控制、社会责任方向的审计也要参与其中，进行有效的扩张。另外，为提高内部审计的效率，应顺应时代的发展，与新型技术相融合。可采用计算机技术，统计方法和抽样方式等来提高审计的效率，对人员的数量要求也会随之降低，算出更精准的分析，有效的减少企业的风险。

（四）加强内部审计自身完善措施

内部审计的独立性要完善加强。内部审计在法律方面要加强保障，进行有效的权益维护。同时，内部审计为了更好的与风险管理相结合，要让领导者了解到其重要的含义，从而对内部审计各项工作提高重视，端正对内部审计的态度，充分了解内部审计对风险管理的重要性，从根本上支持帮助内部审计进行改革创新。实现内部审计与风险管理的合作双赢。内部审计也要积极顺应时代进行改革，真正的实现自我完善。

六、结语

当今社会竞争力较大，企业的发展受到了一定的制约。每个企业领导者都想要进行多方面的考量分析，扩大自身的经营规模，提高自身的经营管理水平，获得最好的收益。为了实现这一理念，企业中的内部审计和风险管理需相结合，共同发展。对于内部审计的态度要端正明确，积极提升审计人员的综合素质，拓展内部审计涉及的领域，内部审计要明确自身的问题所在，积极进行改正，提高创新意识，加强自身建设，与风险管理共同作用，相辅相成，真正实现对企业的保驾护航，促进企业健康发展，进而不断提升企业价值，让企业上升到新的高度。

参考文献：

[1]高文丽.浅析风险管理、内部审计与企业价值的关系[J].财经界(学术版),2015(14).

[2]斯萍君.内部审计与企业风险管理关系探讨[J].知识经济,2015(07).

[3]杨应杰.企业管理、内部审计与风险管理关系研究[J].财会通讯,2011(15).

第6篇：审计与风险管理范文

【关键词】内部审计;企业风险管理(ERM);保证;咨询

自美国 COSO 委员会于2004 年4月颁布《企业风险管理框架》(Enterprise Risk Management Framework,以下简称ERM框架)后,理论界对ERM的研究风起云涌,监管机构对于ERM的规范不断推出,实务界对ERM的尝试不断增多,如北美、欧洲有11%的组织拥有了完全实施的ERM,90%的组织正在建立或者想建立ERM (James Roth,2006);《财富》世界500强企业截至2004年底有近40%实施了ERM,30%部分实施了ERM;我国2006年针对部分先进企业和ERM探索者的一项调查显示,7.89%的企业建立并实施了ERM,15.79%的企业已经建立但是尚未运作,71%的企业在一定程度上建立但流程缺乏相互约束,5.26%的企业没有建立(王雅婷,2008)。可见,ERM受到了越来越多的重视,如何促使企业尽快建立ERM,保证企业顺利实施和完善已经建立的ERM,成为当务之急。

ERM的精髓之一在于全员参与,如何清晰地界定各参与方的职责决定着ERM的实施成效。内部审计作为组织治理结构四大支柱之一,在ERM建立和实施中发挥着重要作用。IIA(国际内部审计师协会)在《内部审计在企业全面风险管理中的作用》意见书中将内部审计在ERM中能够开展的活动划分为三类,第一类是核心性保证活动,包括:就风险管理过程提供保证;就风险被准确评估提供保证;评价风险管理过程;评价关键风险的报告;审阅关键风险的管理。第二类是合理性咨询活动,包括:促进风险识别与评价;指导管理层作出风险反应;协调风险管理相关活动;加强风险报告;保持和开发ERM框架;促进ERM的建立;经董事会批准制定ERM战略。第三类是不适当的活动,包括:设立风险偏好;对风险管理过程施加影响;提供管理层风险保证;对风险反应作出决策;以管理层立场做出风险反应;对风险管理承担责任(Russell A.Jackson,2005)。

上述分类对于指导内部审计合理定位、提供适当形式的服务、保持独立性具有一定的意义,却无助于指导内部审计实现与风险管理过程的有机结合,容易导致内部审计与ERM脱节,或者重视ERM单一环节而忽视整体。为此,应设计一种能够将内部审计与ERM实现对接的方式,使内部审计能够在ERM循环中实现跟踪式全程审计,实现内部审计对于ERM的全程监督,为持续审计奠定基础,该种模式称为“ERM基础审计”。

ERM基础审计模式以COSO委员会在企业风险管理框架中设计的内部环境、目标设定、事件识别、风险评估、风险反应、控制活动、信息与沟通以及监控八要素为基础,考虑内部审计在ERM中能够开展的活动,将两者进行有机结合,形成了如图1所示的ERM基础审计模式(George Matyjewicz等,2004)。

图示各项要素中,以建立和沟通组织目标为起点,依次经历决定组织的风险偏好、建立适当的风险管理框架、识别阻碍目标实现的风险或事件、评价风险发生的影响和可能性、选择和实施适当的风险反应、实施控制和其他反应活动、进行风险信息一致性沟通、监督和调整风险管理过程和结果八个环节,形成了ERM的一个运行系统。在此基础上,由管理层提供对ERM过程的首要保证,进而由内部审计实施对ERM的独立客观保证和咨询,最终各方履行对董事会服务的职责,董事会对ERM承担最终责任,形成了ERM的一个保障系统。该模式将ERM与内部审计融合在一个完整的循环中,两者实现了无缝对接;明确了内部审计和管理层在ERM中的职责地位;同时,也便于内部审计通过深入各个业务环节开展对ERM的全程审计。

1.建立和沟通目标。CEO负责制订组织的整体战略目标,处于不同管理层次、不同地域分布中的各业务单位、分部和子公司管理层负责制订各自的子目标,子目标必须与组织整体目标保持一致,并与组织文化、价值观、使命和愿景相协调,在整个组织员工中得到全面的沟通、清晰的解释和正确的理解。内部审计应为下列各个方面提供保证:审查组织目标得到有效建立(如检查目标建立依赖的信息、采用的程序、参与者的素质等);审查子目标与组织整体目标协调一致;审查目标在组织员工中得到全面的沟通和一致的理解。审计人员可以采用访谈关键人员、获取和审阅相关资料、向不同层次人员发放调查问卷、实施控制自我评估等方法来开展审计工作,其中问卷设计应该提供可以由回答者进行评论的空间,以便于收集员工对目标理解情况的软性信息。

2.确定风险偏好。组织的风险偏好决定了组织能够承受的风险水平。风险偏好与目标设定有着直接的关系,体现在组织交易形式审批、资本预算限制、职责权限划分、购买事项确定等各项活动中。确定风险偏好是董事会和管理层的责任,内部审计不能设定组织风险偏好或容忍度,但可以就风险偏好和容忍度水平的确定、量化、沟通,在政策、程序和实务中的有效实施情况提供保证。

3.建立风险管理框架。在不同组织之间甚至在同一个组织不同部门之间,由于文化氛围、管理理念、工作目标、组织规模、业务复杂性以及与业务目标和风险容忍度相关的固有风险水平不同,ERM框架可能会存在很大差别。例如,信息技术部门因为其工作的性质需要有完整的风险识别、评价框架,而人力资源部门可能仅需要一个明确的政策和程序性审阅。从事常规交易的部门一般具有相对成熟的ERM框架,该框架中有明确界定的风险指示,与日常的业务运行过程相结合;而战略管理部门却不具有这样正式的框架,需要进一步加以开发。某些组织拥有了较成熟的ERM框架,而其他一些组织却仅处于ERM的计划阶段、萌芽阶段甚至无知阶段。

董事会和高级管理层负责建立和管理ERM框架。审计人员不能参与设计ERM框架,但是需要依赖他们的判断,结合组织的实际对ERM框架的适当性做出结论,发现框架结构和功能中的缺陷。具体的审查内容包括:审查ERM框架的组成要素;审查在组织政策、治理框架、实务操作中所体现出来的风险观点和价值;审查风险管理政策和指南的实用性、灵活性和自我引导性;审查员工对风险管理含义的理解和对风险管理技术的掌握情况;审查管理层对风险管理的支持、对公司文化的培育情况;审查风险管理实务按框架期望持续运行情况;审查框架动态调整、监督和自我评价管理情况。

4.识别风险。识别风险是对组织正在和将要面临的风险加以判断、归类和鉴定风险性质的过程,换言之,即确定组织正在或将要面临哪些影响组织目标实现的风险。风险识别是管理层的职责。内部审计在风险识别中的主要工作包括:审查风险识别的充分性,即与组织整体目标和战略相关的、涉及组织整体和分部层次的主要风险是否均已被识别出来,是否存在未被识别的风险,并提醒管理层注意;审查风险识别的一致性,风险定义、分类是否在组织中得到统一的运用。对于发现的风险识别不完全、不一致、忽视风险等情况,内部审计应采用特殊审计程序并加以报告。

5.评估风险。评估风险是指采用定性与定量相结合的方式,估计风险影响的大小和发生的可能性,在二者结合的基础上,对风险进行排队,进而实施不同关注。实施风险评估是管理层的责任。内部审计应就风险是否被准确评估提供保证。具体可以采取两种方式:(1)对管理层的风险评估结果进行再检验,即掌握风险评价的系统方法,对风险成因、影响后果、发生频率等作出综合分析,根据“风险值=风险概率×风险影响”的计算结果,对风险级次进行排序,对不恰当的风险评估予以更正;(2)对管理层的风险评估能力进行审查,如审查管理层的风格(激进与稳健的管理者对于相同风险的赋值往往存在较大差别)、采用的风险评估方法、对相关信息的掌握程度、对成本效益的考量、对相关部门或人员意见考虑的幅度,等等。

6.选择实施风险反应。选择实施风险反应即在风险评估优先级排序的基础上,根据风险性质和风险偏好制定相应的防范措施,可采取的措施一般包括回避、接受、降低和分担。内部审计应该对风险应对措施的选择和执行提供保证,包括:审查采取的风险应对措施是否适合本组织的经营、管理特点;审查采取风险应对措施之后的剩余风险水平是否在组织可以接受的范围之内;审查风险应对措施的成本效益衡量是否合理。对于风险缺乏充分控制措施的情况,内部审计应提出改进措施和建议,协助完善风险反应方案。

7.建立控制。控制活动是使所选择的风险反应活动得到适当决定和实施的政策、程序、过程和监督机制等系列活动的总称。一旦选择了特定的风险反应方案,管理层需要据以实施相应的控制和其他风险反应活动,包括批准、授权、资产安全、职务分离、调整等。审计人员应获取对控制设计的全面理解(包括理解目标、潜在风险和控制活动之间的关系),审查其与组织风险政策的一致性;审查其对组织战略、经营、报告和遵循性目标的支持程度;审查其化解风险的有效性;审查其按设计功能运行的持续性。

8.风险信息沟通。风险信息沟通是指以一致的方式在整个组织中所有层次之间对风险信息进行可靠、及时、完整的传递和反馈,以实现对风险的识别、分析和反应。并非所有的风险都能够被避免,但早期的披露能够为采取适当的行动提供时间。内部审计的核心职能是向董事会、管理层、股东提供风险得到及时削减的保证。为此,内部审计需要审查风险信息的准确性;审查关键风险报告的及时性、相关性和完整性;审查风险信息在整个组织不同层次中传递的有效性;审查风险信息支持系统的安全性等。

9.监督和调整。组织需要对风险管理进行持续监控和不断调整,以保证风险管理过程的持续有效性。可以采用的监控和调整方式包括控制自我评估、定期检查和数据分析,各种方式或者融合在持续的管理活动中,或者采取个别评价的方式,或者通过两者的结合来完成。管理层执行对风险管理过程的监督和调整。内部审计通过调查问卷、控制自我评估、行动跟踪等方式,获取管理层实施监督的相关证明,审查管理层监督执行的一致性、持续性和有效性以及实施调整的适时性和必要性。

10.管理层保证。根据组织结构形式、资源保障程度、政府监管要求和风险管理的特点,风险管理的保证可以来自于不同方面,包括董事会、管理层、操作人员、内部审计、外部审计和独立专家等。其中,董事会对保证风险管理承担全部责任,但董事会往往将风险管理的责任委托给管理层,该种委托关系决定了管理层对风险管理承担直接、首要的责任,他们向董事会提供的风险保证居于首位。管理层必须向董事会保证,他们对于存在的风险和运行的控制实施了检查,所采取的措施能够足以降低那些阻碍公司目标实现的风险,其风险管理过程的运行是有效的。内部审计针对上述各个业务环节的审查结果可以对管理层保证情况做出基本判断,同时,还可以根据对管理层诚实性、业绩、胜任能力、素质和文化等方面的综合评价来制定相应的审计战略,对管理层的风险保证活动提供再保证。

11.内部审计保证和咨询。内部审计的保证和咨询具体体现在ERM各个运行程序中,如上所述。其中,内部审计在ERM中的核心作用是向董事会提供客观保证:保证风险管理过程和内部控制框架的设计和运行有效,保证关键风险的管理(包括控制和其他风险反应)有效,保证风险信息的分类和报告可靠、适当。

内部审计就ERM提供咨询的程度依赖于组织风险管理的成熟度。在组织尚未建立风险管理体系的情况下,内部审计就执行审计项目时发现的风险问题提请管理层和董事会注意,提出建立风险管理过程的相关建议;如果董事会提出要求,内部审计人员可以协助管理层完成组织风险管理的初步建立工作,甚至可以在董事会允许的情况下制定风险管理战略,指导风险识别和评估,协调实施风险管理措施,此时,内部审计直接参与了风险管理过程;在组织风险管理体系建立后,内部审计可以就管理层的风险决策提供建议、质疑或支持;随着组织风险管理体系的逐步成熟,内部审计可以接受委托提供专项的风险管理咨询服务,或者在提供保证服务的同时提供风险管理建议书,此时,内部审计咨询作用将逐步降低,更多地集中于其保证作用。

总之,内部审计在ERM中的功能不是独立运行、单独设置的,它融合在ERM过程中,与ERM的各个业务环节紧密结合,成为一个完整的统一体。如此,事前防范、事中监控性跟踪式内部审计的功效才能够得到充分发挥,内部审计价值增值的目标才能够得到切实体现。

【参考文献】

[1] James Roth. An Enterprise Risk Catalyst.Internal Auditor, Feb.2006,81-84.

[2] Russell A.Jackson.Role Play.Internal Auditor, April 2005,44-50.

[3] George Matyjewicz, James R D'Arcangelo. ERM-Based Auditing. Internal Auditing. Boston: Nov/Dec 2004.Vol.19, Iss. 6;4-13.

[4] Sean De Larosa. DCOM, CIA, CISA, CCSA. Moving Forword with ERM. Internal Auditor, June 2007, 50-54.

第7篇：审计与风险管理范文

（一）内部审计风险特征。

（1）审计风险存在的客观性。从审计抽样来讲，样本特性与总体特性总是存在误差，即使审计人员采用相对科学的抽样方法，也会因为业务的复杂性、人员的素质以及审计人员自身判断等因素，存在审计结果与客观事实不一致的情况。因此，审计风险贯穿整个内部审计工作。

（2）审计风险的可控性。内部审计应该关注审计风险的防范与控制，审计人员可通过充分了解业务流程、增加审计程序等有效手段来合理评价企业存在的固有风险与控制风险，进而达到降低审计风险的目的。

（3）侧重合规风险检查。内部审计工作应关注内部控制的设计及执行情况，一旦未按标准流程执行则会产生连锁效应，一个小失误也许会带给企业巨大损失，因此合规性是企业内部审计的重点。

（二）内部审计风险的表现形式。

（1）在执行制度上产生的风险。上级部门和审计部门的规章制度，在一定程度上为内部审计工作提供帮助，但相关内容只了指引但并未明确如何具体实施，导致各单位内部审计实际起来与监管要求不对称，影响了内部审计的质量和效果。

（2）违规或工作失误产生的风险。内部审计部门未遵循上级部门和本机构的审计规章制度或操作流程导致审计风险。

（3）被审计方提供的信息不对称风险。信息不对称所产生的风险来自两方面：内部机构和客户。一是内部机构层面：在实施内部审计过程中，被审计单位为了掩盖事实或违规行为，人为设置障碍阻碍内部审计工作，不仅造成审计查证不实还严重影响审计效率。二是客户层面：在内部审计延伸过程中因为一些客观或主观因素，造成审计人员从客户方面获取的信息严重偏离客观现实，使审计人员难以获取充分、适当的审计证据，无法出具客观公正的审计报告。这种信息不对称以致问题不能得到揭示，严重影响企业的正常运行发展。

（4）审计结论定性产生的风险。定性风险是由于审计人员业务技能不精、工作不深入，未发现被审计对象客观存在的问题或引用审计依据不当而造成定性、评价和结论不准产生的风险。定性不准直接产生审计风险。

（三）内部审计风险形成原因。

（1）内部风险因素的影响。内部审计缺乏相对独立性几乎是所有组织内部审计面临的通病，究其原因部分由于内部审计是组织内部自我监督和评价这一职责定位带来的“先天性”风险，还有很大部分原因是内部审计机构设置缺乏独立性和权威性，内部审计人员综合素质不高等。

（2）外部风险因素的影响。一是管理者的重视不够。如果管理者对开展内部审计的必要性缺乏全面认识，不利于内部审计工作的开展。二是忽视审计人员后续教育。企业应对审计人员的后续教育加以投入，及时更新和补充业务知识，以适应当今电子化、信息化、网络化的高速发展。三是内部审计结果运用效率不高。

二、内部审计在风险管理中的作用

（一）客观识别和评估风险。

内部审计部门独立于业务管理部门，这使其可以从全局出发，从客观的角度对风险进行识别和评估。风险识别，是对企业所面临的以及潜在的风险加以判断、归类和鉴定风险性质。

（二）对风险进行综合分析和计量。

风险分析和计量就是内部审计对企业经营管理过程中遇到的各种风险，采取定量和定性的方法进行有效的分析和确定。

（三）发挥风险反馈及预警作用。

内部审计检查内部控制程序的合理性以及执行情况和控制效果，一方面内部审计要与相关部门进行风险管理沟通。另一方面内部审计以风险为核心及出发点，客观地从全局角度管理和协调风险管理过程，并根据组织利益和实际情况，提出防范风险的有效建议，作为管理层决策的参考依据。

三、风险导向贯穿内部审计工作

（一）树立正确的风险审计理念。

审计工作除了要关注传统的内部控制，更应该关注有效的风险管理机制和健全的公司治理结构，分析、确认、揭示和防范关键性的经营风险是内部审计的工作重点，效益审计将是内部审计的重要内容。

（二）利用网络信息开展动态管理评价。

内部审计机构应根据机构和人员的设置情况，收集内部信息、外部信息以及有助于进行风险评估的内部控制资料，建立数据库，利用一定的指标和模型进行风险评估，及时准确地确定审计监控的重点和范围，为各级经营管理决策者和审计部门全面、连续、及时地监控和评价业务发展情况提供大量有价值的信息，提高审计效率和审计质量。

（三）提高内部审计人员的风险管理技能。

第8篇：审计与风险管理范文

二、风险管理的定义

三、内部审计与风险管理的关系定义

四、企业内部审计在风险管理中的主要问题

（一）内部审计的出发点不明确

（二）内部审计的工作人员专业胜任能力不足

（三）内部审计范围领域过于局限

（四）内部审计缺乏自身独立性

五、企业内部审计在风险管理中的改革创新

（一）正确认识内部审计

（二）提高内部审计工作人员的综合素质

（三）扩大内部审计在风险管理中的业务领域

（四）加强内部审计自身完善措施

第9篇：审计与风险管理范文

关键词：企业风险管理内部审计关系

随着市场竞争的日益激烈，特别是经济全球化程度的加深，企业所面临的市场竞争环境更加激烈，企业运营过程中面临着大量的风险：战略风险、市场风险和经营管理风险，这些潜在风险逐渐成为企业深入发展和提高竞争力的制约要素，风险管理越来越受到企业的重视。如何对企业风险进行管理和控制是企业管理者面临的主要问题。企业的内部审计为企业风险管理状况的审查和评定提供了依据，在企业风险管理中起到了重要作用。

一、风险管理的概念

风险管理是一种特殊的，涉及多层次、多方面的企业管理职能。企业风险管理通过对影响企业目标实现的各种不确定性事件进行识别和评估，采用科学合理的管理方法对其进行有效地管理和控制，将其影响控制在可接受范围内，从而合理的保证企业目标的实现。由此，我们可以认识到，企业的风险管理一种管理方法，是一个包括风险分析、风险识别以及风险控制的系统的过程，其目的在于帮助管理者有效地应对不确定性以及由此带来的风险和机会，提高企业的经济效益或者社会效益。

二、内部审计与风险管理的关系

内部审计是企业内部具有监督和评价功能的部门，它通过对企业经营活动以及内部控制的适当性、真实性、合法性和有效性进行审查和评价，促进企业经营目标的实现。因此，内部审计参与企业的风险管理是必然的结果。

（一）内部审计参与企业风险管理是其自身发展的需要

国际内部审计师协会对内部审计重新进行了定义：“内部审计是一种独立、客观的保证和咨询活动。其目的在于为组织增加价值和提高组织的运作效率。它通过系统化和规范化的方法，评价和改进风险管理、控制及治理过程的效果，帮助组织实现其目标。”这一定义把风险管理写入了内部审计的范畴，内部审计是企业管理的咨询师，由于它了解企业的发展方向，能够有效的帮助企业对风险进行控制和管理。内部审计介入风险管理使之成为企业发展中的一个重要角色，在企业的管理中也占据着不可替代的重要地位。

（二）内部审计参与企业风险管理是企业完善内部控制的需要

由于市场经济的全球化以及国际化的发展越来越迅速，企业面临着日益增加的风险，有效的降低风险是企业实现发展目标的基础和前提。作为企业中存在于管理部门之外的独立部门，内部审计具有能够纵观全局的视角。内部审计从影响企业实现经营目标的实现的各种风险出发，对企业内部的控制制度、执行力度以及控制薄弱环节等方面作出客观公正的评价和认定。所以，从发展趋势来看，内部审计是企业风险管理的一个重要组成部分，是企业风险管理的一种方法、一种手段，而风险管理则是内部审计的一项新的内容、一个新的领域。

三、内部审计参与企业管理的方式

内部审计通过自身具有的以下职能参与到企业日常经营管理之中：

（一）评价职能

内部审计从企业的根本利益和实际情况出发，通过对企业管理过程进行充分和有效的调查、评估，不仅要针对管理事项合理性进行评价，对政策的遵循性进行评价，还需要对企业目标、企业战略和风险管理程序进行评价，从而对企业风险作出客观的识别和评定。

（二）监督职能

内部审计通过对存在的缺陷和漏洞，产生的偏差和失误，发现的损害公司利益的行为，可以及时的予以制止、纠正和查处，促使企业内部各单位、各部门依法经营，堵塞漏洞，提高效益。

（三）参谋职能

内部审计对检查发现存在的问题，依据有关政策、法规和经验，向单位领导和有关方面提出相应的审计建议，提出相应的风险防范措施，为企业管理层的决策提供可靠的参考依据。目前，内部审计的建议已经变得更加强调风险规避、风险转移和风险控制等风险应对措施，使企业风险得到有效的预防和控制。

（四）咨询职能

内部审计可以利用其对企业情况熟悉、了解政策法规和具有综合知识等特点为被审单位的相关内容提供咨询服务，使得内部审计由原来的监督者逐步转变为控制者、协调者、参与者和服务者。

四、内部审计在企业风险管理中起到的作用

（一）内部审计能够发挥反馈作用，对企业的风险管理起到预警的作用

内部审计在企业风险管理中起到反馈的作用，能够有效的对企业的风险管理进行预警。企业的风险是相对于未来发展而言的，与企业的战略目标以及决策规划都有直接的关联。因此，以风险管理和控制为核心的内部审计能够将风险事后的反馈提前到风险发生前进行预警，从而实现更高效率的风险控制。另外，内部审计的咨询职能也能充分利用其主观能动性，帮助企业管理层对企业的风险管理进行控制、改进和完善。

（二）内部审计能够对企业的风险控制策略进行指导

内部审计是企业内部控制中的再控制，企业根据发展战略目标以及自身所能够承受的风险范围，来制定内部控制制度。内部审计人员对企业内部风险控制的焦点在于对企业风险加以强调，并对企业进行的具体的风险控制活动进行评估，从而实现企业价值的增加。但是，企业过度进行风险控制或者控制力度不足都很容易造成舞弊行为的发生。内部审计通过长期的对企业的风险策略和各种决策进行指导，通过对企业风险管理长期计划和短期任务的调节，实现内部审计在企业风险管理中的指导作用。

（三）内部审计能够对企业整体的风险管理进行客观的审查和评定

企业的风险具有感染性、传递性和破坏性等特点。由一个部门的疏忽而造成的风险后果往往会对企业的其他部门产生消极的影响，严重的甚至能够导致整个企业都处于瘫痪状态。因此，风险的防范和控制需要从企业的各个方面进行考虑。在现实经营中，很多部门由于其自身的局限性而不能掌控全局。内部审计部门由于不参与企业的业务活动，具有较强的独立性，因此它能够很好的统筹全局，从客观的角度对企业的风险进行辨识，提醒管理部门及时采取风险控制措施。

（四）内部审计有利于企业治理和管理现状的改善

日益加剧的市场竞争使得企业更加重视对企业的整治和管理，以增强自身的竞争力，促进企业目标的实现。内部审计不仅能对企业的风险管理的充分性和有效性提供参考依据，还能对企业的经营管理提出意见和建议，对企业的发展具有积极地促进作用。

五、总结

现代企业内部审计，需要以风险管理为核心。在企业风险管理过程中，内部控制审计主要是以影响和控制企业经营目标实现的各种内部控制制度为依据确定审计项目，以企业内部控制、经营风险控制制度的建设和执行情况为检点，认定内部控制设计和运行中存在的缺陷，评价内部控制体系建立的合理性、完整性及实施的有效性，并提出恰当的完善和健全内部控制体系建议。

总的来说，内部审计参与企业的风险管理与控制是市场环境因素和其自身的因素决定的，具有一定的客观性和必然性。从目前的发展状况来看，我国在风险管理上的研究还远远落后于西方发达国家，我国政府部门也缺乏相应的政策或者规章制度的制定，导致一些企业对企业的风险管理力度不够，风险抵抗能力下降，甚至在风险来临时可能面临倒闭的危险。因此各个企业都要充分利用内部审计的职能作用，积极加强企业风险管理的控制，提高企业自身的竞争力，以使企业在激烈的市场竞争中立于不败的地位。

参考文献：

[1]王虹.内部审计如何参与企业风险管理[J].会计之友（中旬刊）.2009（10）

[2]宣金雷.论中国内部审计在风险管理应用中的不足及对策[J].经济研究导刊. 2011（09）

[3]李艺君，赵建虹.论内部审计参与风险管理的路径[J].中国商界（上半月）.2010（02）

[4]石涛.浅议内部审计与企业风险管理[J].中国管理信息化.2011（02）

[5]李建文.对内部审计参与企业风险管理的认识[J]. 经济师. 2010（08）

审计与风险管理精选(九篇)

相关热门标签

相关文章阅读

精选范文推荐

相关期刊推荐

中国审计

山东审计

现代审计

广东审计

审计研究