浅析企业内部审计与风险评估的关系

1、浅析企业内部审计与风险评估的关系摘要：内部审计是企业经营管理的重要组成部分，随着现代企业制度的建立与完善，内部审计在企业风险评估中的地位与作用日益凸现，同时对于现代企业内部审计而言,风险评估的操作与应用也应贯穿于日常的审计工作当中，两者在企业内部管理中相互作用，共同为企业内部管理服务。文章简要论述了内部审计和风险管理的定义，并分析了两者之间的关系以及在两者在企业经营管理中的相互应用，最后就加强风险评估在内部审计中应用提出了几点建议。关键词：内部审计 风险评估 相互应用 风险导向内部审计是现代企业管理和管理控制中的重要组成部分，随着企业战略管理的实施以及风险战略决策的企业经营管理中的应用，企业所

2、面临的风险就成为决定内部审计方向的基础。从我国现有的大型企业看，有的在日常的经营管理中已开始将风险战略决策与风险管理融入其中，而风险评估和内部审计工作在这一过程中起着较重要的作用。对于现代企业内部审计而言，风险评估的操作与应用也应贯穿于日常的审计工作当中，两者在企业内部管理中相互作用，共同为企业内部管理服务。日常内部审计工作和风险评估并不是两项独立的工作,两者之间不存在着本质的区别。实际上，日常内部审计工作必然要涉及到风险评估，风险评估是日常内部审计工作的一个重要组成部分。一、 风险评估和内部审计（一） 概念1、 风险评估风险评估是指在风险事件发生之前或之后，该事件给人们的生活、生命、财产等各

3、个方面造成的影响和损失的可能性进行量化评估的工作。即风险评估就是量化测评某一事件或事物带来的影响或损失的可能程度。从信息安全的角度来讲，风险评估是对信息资产所面临的威胁、存在的弱点、造成的影响，以及三者综合作用所带来风险的可能性的评估。作为风险管理的基础，风险评估是组织确定信息安全需求的一个重要途径，属于组织信息安全管理体系策划的过程。它的主要任务有：识别评估对象面临的各种风险、评估风险概率和可能带来的负面影响、确定组织承受风险的能力、确定风险消减和控制的优先等级、提出风险消减对策等。2、内部审计内部审计是现代管理和管理控制的组成部分。IIA在内部审计实务标准中将其定义为是一种独立、客观的保证

4、工作和咨询活动，其目的在于为组织增加价值并提高组织的运作效率，采用系统化、现代化的方法来对风险管理、控制和治理程序进行评价和改善，从而帮助组织实现目标。在我国内部审计是指由被审计单位内部机构或人员，对其内部控制的有效性、财务信息的真实性和完整性以及经营活动的效率和效果等开展的一种评价活动。内部审计的本质在于，作为企业指挥者管理机能的一部分，对企业管理手段妥善与否、有无弊端漏洞和是否经济有效，进行经常性的检查、分析和评价。（二） 两者的关系将内部审计与风险评估的工作相结合是将风险作为内部审计的主导，同原先内部审计主要只关心内部控制有效性有所区别，在评价内部控制的基础上，对企业所面临的各种风险进行

5、识别、分析和评估。从另一个角度来讲，内部审计更加注重企业未来的发展，从影响企业目标实现的各种系统风险和非系统风险出发，就内部控制是否健全、关键的控制点是否有效、控制的薄弱环节是否重视以及改进措施是否有效提出认定，从而来评价企业的风险管理与内部控制对企业目标实现的影响程度。现代内部审计观念的核心是审计人员不仅要善于发现问题，而且更要善于解决问题。无论是风险识别还是风险评估,都不是内部审计的最终目的。在识别和评价之后，还必须进行风险应对。从内部审计自身来说，通过评估结果找出风险程度较高的经营机构或业务领域，据此科学地选择审计项目，确定审计重点、审计频率、合理调配审计资源，从而使企业内部的业务经营全

6、过程各环节都得到有效监督，保证充分的审计覆盖面，不留审计盲点；从企业的风险管理来说，加强对风险的评估，把主要资源分配到影响全局、有碍企业发展的重大风险的前瞻性评价和风险揭示上，并且将风险的评估同企业当前的经营管理控制、计划、策略结合起来可以为董事会和高层提供风险管理策略和为企业内部控制服务。从企业制度化建设来说，将企业内部审计中风险评估的结果形成制度化的成果，并且及时将发现的风险因素、形成原因及相应整改措施在内部网络上进行明示，这一方面可以引起所有分支机构的对照检查与关注，另一方面为企业的经营管理提供有益的帮助。二、风险评估与内部审计在企业经营管理中的相互应用内部审计与风险评估在企业经营管理中

7、的相互作用不仅为自身提供了发展契机，而且作为企业内部控制和经营管理中必要和有价值的组成部分，能够共同发挥出独特的作用。无论是内部审计还是风险评估都能从双方的相互作用中提高效率，为企业创造价值。（一）以风险评估作为导向配置企业的审计资源现阶段，我国企业的审计资源较为稀缺，内部审计部门要为企业价值增值服务，就需要根据风险的评估结果把稀缺的审计资源配置到最需要的审计环节，选择合理的审计项目，科学制定内部审计计划，确定合适的审计频率，从而使企业内部业务经营环节得到有效地监督，从而进行有效地控制。通过对企业风险评估，找出剩余风险程度较高地经营机构或领域，优先安排经验丰富的内部审计人员进行专项审计。（二）

8、以风险评估为导向确定企业内部审计重点我国企业内部审计的风险评估水平尚处于较低水平，缺乏成熟的体系实施准确的全面的系统的风险评估，距离达到依靠风险评估的结果来制定审计计划、确定审计重点风险仍有一定的距离。内部审计要结合风险评估，将风险评估的方法运用于部分审计对象，提高审计项目的质量和效率，进而推进全面的风险评估。如对下属企业或分公司等开展审计，内部审计人员在项目方案设计和执行过程中贯彻风险评估的理论，参照风险评估规范实施相关步骤。首先以机构为维度划分审计单元，以使得出的风险评估结果，能持续性地监控剩余风险较大的分支机构；再利用以往的审计经验，评估结果最大的几类风险，针对相对应风险控制环节确定具体

9、审计步骤，评价相关控制的有效性，最后项目的结果可作为实施全面风险评估的重要测算依据。（三）实现内部审计职能的转向，为风险评估提供重要测算依据我国企业的内部审计部门，一般脱胎于原来的稽核监察部门，在过去数十年中，稽核监察人员的工作重点大都偏向于查错纠弊，直接关注企业的内部控制系统，在未评估企业风险前直接关注控制，肯定将带来许多问题：多余的控制阻碍了企业正常的经营运作；企业部门间的沟通变得更加困难；控制的改变滞后于经营环境的迅猛变化，对过去形成的、与目前所面临的风险相差较大或无关的控制进行审计就会变得毫无意义。没有风险就没有控制，控制为管理风险而存在。以风险评估为基础的风险导向审计使审计人员关心企

10、业所面临的风险，使审计工作与企业战略计划连接起来，使审计更具有针对性，从而有利于企业实现自身价值，达到企业的目标。（四）提高企业内部审计价值，完善全面风险评估管理我国企业的全面风险管理框架正在建设、完善过程当中，企业从机构设置、人员配置、流程再造等方面着手，实现对信用风险、市场风险、操作风险等各类风险的全面管理。企业内部审计风险评估的结果不但可以用于指导审计计划、专项审计方案的制定，还可以用于指导并加强企业内部风险管理。风险导向的风险评估结果反映了企业内部各审计单元的剩余风险大小，凸显了经营机构或业务领域薄弱的控制环节，同时内部审计风险评估可以以独立的审计角度，定期的连续不断地进行风险评估，及

11、时将发现的风险因素、风险环节通报企业管理层，引导企业进行对照检查与整改，改进与完善企业风险管理与内部控制的体制和流程，促进企业上下加强风险管理，并最终提高风险控制能力达到风险控制目标。三、加强风险评估在内部审计中应用的建议风险评估是内部审计的基础工作，必须坚持规范、长久地开展，因此我们建议从制度、信息系统等各方面加强对风险评估的支撑，形成一个完善的风险评估体系。（一）建立制度形成保障。企业内部应对风险评估工作制定相应制度办法，内部审计部门应定期开展风险导向的风险评估与计量工作。通过制定相关的制度办法形成保障，将风险评估工作固化下来，使之在企业内部形成一种长期的、持续不断地工作模式。（二）建立系

12、统作为支持。风险评估工作离不开定性与定量的分析与计量，要使评估结果更加精确、符合实际，必须有强大、健全的信息系统强有力的支持，为此，企业内部审计部门因加快审计信息系统的建立，以信息系统支持风险评估工作的开展。（三）完善评估流程与方法。企业内部审计部门应在现有基础上进一步完善的风险评估指标体系和风险量化评估模型，制定统一、规范的风险评估方法和操作规程，内部审计人员在统一的操作流程下，运用规范化的评估方法开展风险评估工作，以便更精准地得到风险评估结果，来指导企业内部审计工作。（四）完善指标促进有效评估。企业内部审计部门应着手建立风险评估指标体系，加快推动全面风险管理体系的建立，在实践中不断完善风险评估指标体系，有效地识