由于各种不确定性因素，企业面临着各种风险，能否对风险进行有效的管理和控制，是企业能否生存发展、实现企业预期目标的关键。内部审计在对风险管理中要勇于迎接挑战，抓住机遇，强化风险管理。

　　风险形式与管理

　　企业风险是指企业在进行生产经营过程中，由于不确定因素和经营失误的影响，而使企业遭受损失或损害的可能性。从企业风险内容的表现形式看，现代企业面临的主要风险通常表现为：市场经营风险、投资风险、财务风险、管理风险、技术风险、法律风险等等。

　　企业风险管理是指为达到企业目标而确认和分析相关风险，对风险进行控制的过程。风险管理是一种持续行为，贯穿于企业经营的全过程，包括事前、事中、事后。其核心是将难以预计的未来事项的不确定性控制在可接受的范围内，并从中寻求有利于企业发展的机遇。

　　内部审计参与风险管理的优势

　　内部审计在参与企业风险管理上，具有独立性、综合性、连续性等优势。

　　内部审计的独立性奠定了其参与企业风险管理的基础。内部审计部门不同于其他部门，可以跳出业务各环节的圈子，从全局出发、综合客观地对风险进行识别和评价，这种相对超脱的地位保持了内部审计的独立性。内部审计通过实施审计检查程序发表的审计意见，可以直达企业的管理高层，具有相对客观的基础。

　　内部审计的综合性造就了其参与企业风险管理的优势。内部审计的范围覆盖企业的各个方面，审计部门熟悉本企业情况，掌握的信息是多方面的，具有从全局考虑分析判断风险的综合性优势。内部审计对企业风险管理进行的系统性、专业性监督检查和评价，会权衡企业实施风险防范和效益成本的利弊，在风险与收益比较中研究风险管理的定位，这也是其他部门难以做到的。

　　内部审计的连续性深化了其参与企业风险管理的程度。内部审计部门和内部审计人员长期在企业内部工作，对企业面临的风险更了解，对风险的各种影响因素更便于做深入的调查，而且对企业风险的转化影响、风险管理措施效果更便于进行连续的跟踪，对风险管理进行循环的连续性监控。内部审计长期参与企业风险管理所掌握的风险管理信息和经验，会对不断深化企业风险管理和节约管理成本产生重要影响。同时，内部审计部门和人员是企业内部成员，其利益同企业发展、兴衰密切相关，对防范企业风险、实现企业目标有着更强烈的责任感。

　　内部审计的发展趋势明确了其参与企业风险管理的必要性。随着企业市场化竞争的不断加剧，经营风险也在不断增加，风险基础审计顺应了这种高风险经营环境的需要，它将审计结论建立在审计风险评估的基础上，特别强调审计战略，着重对各种风险因素进行综合分析。尤其适用于企业重大经营决策、市场产品企业、项目投资等审计，有利于加强事中控制，有效规避经营风险。企业内部审计要把评价和改进风险管理、控制和治理过程，作为内部审计的一项重要职责，切实把内部审计的监督、服务定位在促进管理和提高效益上，实现由传统的纠错审计理念向现代的管理效益审计理念转变，以适应企业改革和发展的需要。

　　内部审计参与风险管理的方法

　　内部审计部门所进行的风险管理，是在一般部门所进行的风险管理基础上的再监督。其风险管理过程应包括以下几个方面：评估风险识别的充分性、评价已有风险衡量的恰当性、评估风险防范措施的充分性并提出改进措施。

　　评估风险识别的充分性。所谓风险识别是指对企业所面临的、以及潜在的风险加以判断、归类和鉴定风险性质的过程。采用的方法包括决策分析、可行性分析、统计预测分析、投入产出分析、内控流程分析、资产负债分析、因果分析、损失清单分析、往来款项调查和专家调查法等。

　　评价已有风险衡量的恰当性。风险衡量是指应用各种管理科学技术，采用定性与定量相结合的方式，最终定量估计风险大小，找出主要的风险源，并评价风险的可能影响，以便以此为依据，对风险采取相应对策。内部审计部门对已有的风险的衡量结果进行再检验，以确定其是否恰当，对不恰当的估计予以更正。采用的方法主要有：调查和专家打分法、风险报酬法、风险当量法、解析方法等。

　　评估风险防范措施的充分性并提出改进措施。风险的防范措施是指为降低已识别出并已衡量的风险所采取的措施。内部审计部门和内部审计人员对有关部门针对风险所采取的防范措施进行检查，检查其是否充分、得当。对于风险缺乏充分的控制措施的情况，内部审计部门和内部审计人员应提出改进措施和建议，强化企业的风险管理，降低风险损失。采用的方法有：分离风险单位、非保险方式的转移风险等。

　　内部审计参与风险管理的措施

　　企业经营面对许许多多的风险，这些风险有的相互叠加放大，有的相互抵消减少。因此，企业考虑风险时，必须根据风险组合的观点，从贯穿整个企业的角度看风险，要实行全面风险管理。这对于对风险管理进行再监督的审计部门来说是一种挑战。

　　审计部门要与企业的各级风险管理组织相配合。在现代企业的风险控制方面，不少大中型企业一般建立三级的风险管理组织，即由企业高级管理层组成的风险控制委员会作为企业风险管理的最高决策机构，企业风险控制委员会领导下的内部审计及专职风险监管部门，各业务部门、业务辅助部门和管理部门承担一线的风险控制职能，各部门负责人直接负责风险监控。内部审计部门通过常规审计及专项审计评估企业风险，对企业风险管理制度进行设计，以及对各业务部门执行风险控制制度的有效性进行定期的检查，及时揭示和报告潜在风险，并提出防范风险及改进工作的建议。

　　以风险管理为核心，对企业治理、风险管理和内部控制进行整合。风险管理是与企业治理和内部控制交汇的核心。企业治理的核心职责就是要有确保企业应对风险的战略和措施，在企业治理中包含一些战略性的风险管理因素。企业治理的实施需要内部控制为企业治理机制的运行提供保障。同样，风险管理的实施也需要内部控制，采用各种内部控制的方式与方法，实现有效的风险管理。因此，从一定程度上说企业治理和内部控制有着相同的目标——风险管理。内部控制和风险管理以企业治理为内容，即内部控制和风险管理的内容是企业治理的内容。内部控制和企业治理以风险管理为目标，风险管理的目标是提高企业的经济效益，内部控制和企业治理也是要以提高经济效益为目标。内部审计以风险管理为核心进行整合，以内部控制为手段，对风险管理和企业治理进行内部控制。

　　完善辅助审计软件的使用，创新技术和方法，提高审计水平。随着信息技术的广泛应用，我国内部审计在风险分析、风险量化和应用计算机审计技术方法上，迫切需要研制、开发兼容性强和功能完善的通用审计软件，从而实现审计效果与效率的统一，全面提高内部审计质量。

　　内部审计人员应不断提高自身的业务素质，提高识别风险的能力，对本单位的经营条件、财务报告以及其他重大事件等方面的风险及时发现、及时反映，以实践成果取得企业的信任，发展内部审计，使内部审计工作更有生命力。

      作者： 文/罗芳