关键词：内部审计、风险管理、评价、监督。

摘要：在新经济形势下，尤其是经历美国安然公司倒闭事件之后，世界范围内的内部审计环境发生了变化，内部审计技术不断更新，内部审计理论也在不断发展。公司内部治理也转向以风险管理为导向的公司治理结构。内部审计以其特殊的审计地位和审计职能在风险管理中起到鉴证、监督和咨询的作用。本文将探讨内部审计在企业风险管理中的作用。  

一、内部审计定义及内部审计章程：

内部审计是一种独立、客观的鉴证与咨询活动，旨在增加价值和改善组织的运营。它通过应用系统的、规范的方法，评价并改善风险管理、控制及治理过程的效果，帮助组织实现其目标。

有效的内部审计活动是董事、管理层有效发挥管理作用的有效工具。内部审计师的客观性、技能与知识能够在组织的内部控制、风险管理、公司治理流程方面为组织增加价值，因此为保证内部审计的独立性和客观性，应在内部审计章程中明确规定审计地位和相关权利。

内部审计章程是用以确定内部审计活动的宗旨、权力和职责的正式书面文件，是内部审计宗旨、权力和职责的载体和保证。内部审计章程并应包含以下内容：
　　·规定内部审计部门在该组织中的地位；
　　·授权可以接触与执行审计工作有关的资料、人员和实物资产；
　　·确定内部审计活动的范围。
　　内部审计章程须经董事会、审计委员会、相关治理机构和高级管理层批准或认可。获得批准或认可的内部审计章程可以最大程度地保证内部审计活动的独立性，并可以作为董事会、高级管理层和组织内外有关方面评价内部审计工作质量和审计工作业绩的重要依据,也就是内部审计部门与管理层以及其他有关部门、单位就审计范围进行协调和消除分歧的依据。内部审计章程获得批准还意味着内部审计活动获得了管理层和董事会的支持,尤其是经董事会和高级管理层共同批准通过的内部审计章程,可以保证内部审计部门的地位和权力不受管理层政策变动的影响，从而为内部审计活动的独立性提供良好的保障。

二、风险及风险管理的有关概念

风险指可能对目标的实现产生影响的事件发生的不确定性。风险的衡量标准是后果与可能性。在经营管理活动中，风险常常被定义为生产运营的弊端、失误或失败带来组织危机的可能性。

风险管理的概念
　　风险管理就是采取一定的措施对风险进行检测评估，使风险降低到可以接受的程度，并将其控制在某一可以接受的水平上。从职能上说，风险管理就是在对风险进行观察、评估的基础上控制风险可能造成的损失，保证组织目标的实现。

三、内部审计与风险管理的关系  　　　   　  
　　风险管理是管理层的责任。为了实现其经营目标，管理层应当确保本组织具备良好的风险管理流程，并且运转正常。董事会和审计委员会对于确定本组织具备良好的风险管理流程且运转正常负有监督责任。内部审计师应当在改善管理层的风险管理流程的效果和效率方面协助管理层和审计委员会进行检查、评价、报告和提出建议。管理层和董事会对于本组织的风险管理和控制流程负责。内部审计师以咨询的方式帮助本组织识别、评价和实施风险管理方法和控制，从而解决这些风险。主要有以下两方面的作用：1对企业风险管理框架及其控制措施的健全性进行评价，评价风险管理措施建立方面是否完整、全面；2对风险管理控制措施的有效性进行评价，并针对风险管理的控制效果出具评价报告，提出审计建议并与董事会进行沟通。

四、风险管理中内部审计的责任及程序

在风险管理中，董事会应当负责制定战略目标；风险管理的所有权应当赋予高级管理层；剩余风险的接纳应当留给执行管理层；持续的识别、评估、减轻和监督活动应当交与运营层；内部审计部门应当定期评价并协助其他部门进行风险管理。

对本组织的风险管理过程进行评估并作出书面报告通常是审计工作的一项重要内容，一般具有较高的审计优先顺序。评价管理层的风险管理过程不同于内部审计师利用风险分析计划审计业务。其评估重点是组织风险管理过程的充分性和有效性。起咨询性作用的内部审计师能够通过发现评估并运用风险管理的方法和控制措施，帮助组织解决风险问题。

1、识别审计域

以风险为基础的审计域包括组织的战略计划和内部控制管理来降低风险、实现组织目标、确保满足客户需要。内部审计师评估管理控制的经济有效性和实现组织预定战略目标的结果如何，并对结果加以报告。

确定审计域应考虑以下几个方面：

企业战略计划：内部审计和风险管理，都是为了实现企业的战略计划目标，所以，审计域的确定要紧紧围绕企业战略计划展开。

管理层和员工，以风险为基础的审计域还应包括组织的管理层和员工。管理层负责制订计划、分配用以实现计划的资源、监督实现计划的活动和评估结果，具备风险意识十分重要。员工最接近经营活动他们的风险意识同样十分重要。

另外还要考虑管理层的要求和法律法规的要求。

2、评估组织范围内的风险
　　首席审计执行官应根据COSO模型开发出的风险评估模型建立评估风险的框架，识别所有潜在审计业务的组织资源和所有潜在的待审业务确定审计区域。检查组织的风险要素，以风险的显著性为依据判断其对组织成功的影响标准和界限以及组织对于风险的容忍度。风险评估程序包括：风险识别、风险度量、　风险排序

3、实施内部审计评价

首席审计执行官应确保审计工作有适当的、充分的资源，并有效利用，以完成审计风险管理的需求。同时根据风险排序编制审计业务计划，首席审计执行官应把审计业务计划与资源要求提交高级管理层和董事会通过，并有责任同高级管理层和董事会沟通。

内部审计对企业风险管理实施审计主要包括两方面的内容：1评价企业风险控制框架和控制措施的充分性，即针对风险控制框架和内控制度进行评估，检查控制措施建立是否全面，有没有遗漏和控制弱项，能否保证风险得到有效控制；2评价企业风险控制框架及内部控制措施实施的有效性，检查具体实施步骤，展开分析性复核，检查控制措施的实际实施效果，并对实施效果做出正确评价。

4、报告审计结果

审计结束后，内部审计部门应针对审计结果出具审计报告，报告内容要针对风险管理控制的充分性和有效性出具审计意见，针对审计中存在的问题提出审计建议，并与高级管理层进行讨论，取得高级管理层对审计结果的理解并确保采取相应的整改措施，将审计报告和管理层的整改措施一同上报董事会。根据董事会的批示和高级管理层的整改计划进行后续跟踪审计。

对于尚未建立风险管理流程的组织，首席审计执行官应提请管理层注意，并提出建议。如果有关方面提出要求，内部审计师可以积极协助组织进行风险管理过程的初步建立工作，但更为积极的作用是通过改善组织基本程序的咨询工作对传统鉴证业务进行补充，内部审计师可以促进、协助风险管理过程的建立，但不负风险管理的责任。内部审计部门在建立风险管理过程之中和之后所承担的责任，也要在内部审计章程中作出规定。

五、内部审计在风险管理中的咨询作用

内部审计在风险管理中的顾问与咨询作用由于内部审计人员对本组织的情况了解的比较全面，也比较深入，对提供咨询服务工作有着独特的优势。内部审计可以通过评估并运用风险管理的方法，帮助组织解决风险问题；通过咨询工作积极协助企业风险管理过程的建立。在改善管理层的风险管理流程的效果和效率方面，内部审计可以协助管理层和审计委员会进行检查、评价、报告和提出建议。