1、    風險導向內部審計與企業風險管理的整合分析    馮道建摘 要 以風險為導向的內部審計自實施以來取得了顯著成效，與企業風險管理體現出較高的契合度，對兩者進行整合可以提高企業風險管理成效。本文將對風險導向內部審計與企業風險管理的整合方式進行探討，通過內部審計的參與，完善風險管理機制。在此基礎上，探討兩者整合的實施途徑，主要包括風險管理設計、基礎審計、自我控制評價、管理咨詢服務等的實施。關鍵詞 風險導向 內部審計 自我控制評價 管理咨詢服務一、前言國外對內部審計與風險管理整合的研究起步較早，2004年美國推出的coso框架繼承自內部控制框架，實現了兩者

2、的整合，使其成為企業管理的有力工具。美國內部審計協會（iia）將企業風險管理的評價和改善劃分為內部審計的工作內容，揭開了兩者整合的序幕。但是對兩者的整合方式和實施途徑還要進行進一步探索，為國內企業的整合實踐提供指導。二、風險導向內部審計與企業風險管理的整合方式（一）內部審計參與風險管理尋求創新發展隨著社會審計機構的各項業務向企業延伸，與企業內部審計部門的職能發生重疊。社會審計機構擁有注冊會計師等專業優勢，而且成本較低，越來越多的企業開始聘請外部審計人員承包審計業務，使企業內部的審計部門面臨著生存危機。在這種情況下，內部審計參與風險管理是其自身尋求創新發展的可行路徑，可以充分發揮企業內部審計人員

3、對企業經營運作規律熟悉的優勢，提供更有針對性的風險管理服務，鞏固其在企業組織中的地位。1（二）內部審計參與風險管理擴大工作范圍內部審計與風險管理的整合擴大了內部審計的工作范圍，使其在企業中的行為方式也相應發生改變。以往內部審計工作的開展屬于事后評價，為企業運行提供內部的保證性服務。而風險管理的主要職能是對可能給企業經營帶來威脅的潛在因素進行分析和管理，注重事前管理的成效。因此，內部審計參與風險管理可以使其工作覆蓋面得到有效拓展，對企業內部運行和管理行為作出全面的評價。在這種情況下，內部審計可以改變以往的被動工作方式，通過風險評估和風險咨詢向企業提供主動服務。（三）內部審計參與風險管理完善管理框

4、架內部審計的參與可以對企業的風險框架進行補充和完善，這一點在coso框架中已經得到了體現，并在實踐中被證明是一種行之有效的框架體系。在兩者相互整合的框架體系結構中，由企業的首席執行官直接對風險管理負責，并由內部審計人員為相關工作的開展提供支持。以往風險管理框架在執行過程中，可能因存在濫用職權等現象，使風險管理框架失效。在內部審計的參與下，不僅風險管理框架得到了完善，還可以促進風險管理框架的有效落實。審計部門的獨立性可以為風險管理框架相對公正的執行作出保障。2三、風險導向內部審計與企業風險管理整合的實施途徑（一）風險管理審計的實施風險管理審計通過發揮內部審計的作用，對風險管理流程的可行性和充分性

5、進行評估，同時對風險評估結構進行審查，從而保證風險管理工作的開展能夠滿足企業的管理要求，為企業的發展保駕護航。站在內部審計角度，對風險管理發表審計意見，促進其不斷進行自我修正，是目前企業確保風險管理有效性的重要手段。針對風險管理的審計工作涉及企業、部門以及分公司等各個層次，其主要內容包括以下幾點：第一，對風險管理的工作內容設計進行審計；第二，對風險管理工作的執行情況進行審計；第三，對風險管理的報告結果進行審計；第四，對管理人員向企業決策者的報告信息進行審計；第五，對風險管理的標準體系進行審計；第六，對風險管理的覆蓋范圍進行審計。通過上述工作的開展，確保企業風險管理的全面性、有效性和準確性。（二

6、）風險管理基礎審計的實施風險管理基礎審計是一種同時關注經營風險和審計風險的審計方法。通過基礎審計工作的開展，可以提高審計資源的利用率和執行效率。風險管理基礎審計主要關注以下問題：第一，企業的發展戰略目標，以此為基礎制定審計策略；第二，企業經營風險，通過對其進行綜合評估，確定審計工作的具體程序和覆蓋范圍；第三，企業風險容忍度，將其納入審計工作的評判標準體系；第四，特定領域的風險管理工作，并對其進行特殊審計；第五，企業的生存能力，對企業經營計劃風險評估。風險管理基礎審計是內部審計與風險管理相結合的結果，不同于以往的風險導向內部審計，可以對企業經營發展過程中的固有風險進行準確評估。（三）自我控制評價

7、的實施自我控制評價的實施是企業內部審計與風險管理整合的關鍵，通過開展自我評價以及協調研討，將審計人員與管理人員緊密聯系起來，并找到合作控制評價的有效方法。因此，自我控制評價是審計部門與風險管理部門進行業務整合的橋梁，審計人員可以在自我控制評價過程中，得到風險管理信息，協調風險管理人員開展相關工作，切實履行其風險管理職責。在自我控制評價實施過程中，企業應建立規范的工作流程，確保執行程序的規范性，由審計人員與風險管理人員共同確認風險評價過程，確保風險管理目標能夠實現。（四）管理咨詢服務的實施內部審計在參與風險管理的過程中，可以為風險管理問題提供相關資訊服務，管理資訊服務的開展是風險管理的保障性服務

8、。其服務內容由企業的內部環境和資源分配情況決定，在風險管理工作開展前，審計部門就應提醒企業管理層在審計過程中發現的風險問題，同時給予管理人員有效的參考建議。在風險管理體系的運行過程中，內部審計參與風險管理，可以為企業提供更多有價值的意見。在風險管理體系逐漸成熟后，內部審計可以充分發揮向企業提供專業風險管理咨詢服務的作用，并建立標準化的工作流程，以建議書的形式向企業提出專業的風險管理建議。（五）管理協調措施在企業風險管理體系不夠成熟的情況下，內部審計可以在管理層的允許下，協助風險管理體系的構建工作，參與風險戰略制定，并對風險管理措施的實施進行指導。但風險管理的責任應劃分明確，由管理層承擔，內部審計部門需要發揮管理協調的責任，并向企業董事會聲明，因協調事項不具備獨立性，所以無法提供保障性服務。內部審計參與風險管理，并在風險管理框架中發揮作用，必須獲得企業高級管理層的支持，與其他風險管理機構建立協調的合作關系，并在不受干擾的條件下相對獨立地開展工作，才能真正發揮內部審計部門的作用。四、結語內部審計與企業風險管理的整合是兩者發展的主要方向，應加快兩者整合的速度。通過采取有效的整合方式，充分發揮企業內部審計的作用，對風險管理的實施過程和風險評價結果進行審計，提高企業的風險管理能力，促進企業的健康發展。（作者單位為上海大屯能源股份有限公