[关键字]内部审计；风险管理；动因

[摘要]近年来，风险管理已成为内部审计的要紧范围。本文在讲解了风险、风险管理的涵义的基础上，对内部审计参与风险管理的动因、内部审计怎么样参与风险管理进行了探讨。

近年来，有的内部审计组织开始介入风险管理，并将它作为内部审计的要紧范围，这一做法得到了国际内部审计职业界的常见认同，以至于国际内部审计师协会在1999年通过的内部审计的最新概念把评价和改变组织的风险管理和控制的有效性作为内部审计的主要内容。本文将对此问题进行讲解。

1、风险、风险管理

（一）风险、风险原因、风险事故和损失

风险是在肯定环境和限时内客观存在的，致使成本、损失与损害产生的，可以认识与控制的不确定性（赵曙明、杨钟，1998）。它具备客观性、常见性、势必性、可辨别性、可控性等特征。在风险的形成过程中，要涉及到风险原因、风险事故和损失三个方面。

风险原因，是指可以引起或增加风险事件发生机会或影响损失的紧急程度的原因。风险原因可分成三类：（1）物理原因，是指增加风险发生机会或损失紧急程度的直接条件；（2）道德原因，是指因为个人不诚实或不好的企图，故意使风险事件发生或扩大已发生风险事件的损失程度的原因；（3）心理原因，是指因为大家主观上的疏忽或过失而致使增加风险事件的机会或扩大了损失紧急程度的原因。

风险事故，是指在风险管理中直接或间接导致损失的事故，因此可以说它是损失的媒介物。

损失，是指非有意的、非计划的和非预期的经济价值的降低，一般以货币单位来衡量。损失分为直接损失和间接损失两种。直接损失是实质性的损失，间接损失则包含额外成本损失、收入损失和责任损失三种。额外成本损失措需要维修或重置而支出的成本；收入损失指因为该企业设施损毁以至没办法生产成品而降低的价值；责任损失指因为过失或故意导致别人遭受体伤或财产的侵权行为而依法应当担负的赔偿责任。

对于风险原因、风险事故和损失之间的关系，有两种讲解理论：一是亨利希（H.W.heinrich）的骨牌理论；二是哈同（W.Haddon）的能量释放论。他们都觉得风险原因引发风险事故，而风险事故致使损失，但侧重点不同。前者强调三张骨牌之所以相继倾倒是因为人的错误所致。后者则觉得之所以导致损失是因为事物所承受的能量超越其所能容纳的能量所致，物理原因起主要用途。

（二）风险管理

风险管理作为一种特殊的管理功能，它是为人类追求安全和幸福的目的，结合前人的经验和近代的科学收获而进步起来的一门新的管理科学。对什么是风险管理，一些学者提出了我们的怎么看，美国学者克里斯蒂（JamesC.Cristy）觉得风险管理是企业或组织为控制偶然损失的风险，以保全所得能力和资产所做的所有努力；另外两位美国学者威廉斯（C.Arthur Williams.Jr.）和理查德。汉斯（Richard M.Heins）觉得，风险管理是通过对风险的鉴别、衡量和控制，以最低的本钱使风险所导致的损失去控制制在最低程度的管理办法；国内的陈佳贯觉得，风险管理是企业通过对潜在乎外或损失的辨别、衡量和剖析，并在此基础上进行有效的控制，用最经济适当的办法处置风险，以达成最大的安全保障的科学习管理办法。依据以上风险管理的概念，大家可以得出以下几个方面认识：（1）风险管理是一个系统过程，包含风险的辨别、衡量和控制等环节；（2）风险管理的目的在于控制和降低损失，提升有关单位或个人的经济利益或社会成效；（3）风险管理是一种管理办法。

2、内部审计参与风险管理的动因

内部审计之所以涉足风险管理范围，主要有以下几个缘由：

1、企业面临的风险日益增大

近年来，伴随社会经济的进步，尤其是经济全球化及国际化程度的加深，使企业经营环境变得日趋复杂，企业经营风险也大大增加。常识经济的到来，更使企业的风险雪上加霜。因此，降低企业面临的风险是组织达成目的的重点，也是企业的管理职员十分关心的问题。内部审计的目的在于增加组织的价值和改变组织的经营，内部审计职员是企业的管理咨询师，因此，内部审计部门和内部审计职员参与企业的风险管理也就顺理成章了。

2、内部审计对进步的渴求

内部审计部门为了不断地进步，为了在企业中担当更要紧的角色和发挥更要紧有哪些用途，一直不断探寻新的对企业又十分要紧的范围，企业经理职员对风险的空前看重，为内部审计进步提供了一个绝好的机会。内部审计对风险管理的介入，将会使内部审计在企业中成为一个要紧的角色，并将它在企业中有哪些用途推向一个新水平。正因这样，内部审计师的职业组织——国际内部审计师协会才尽心竭力地主张内部审计师进军这一范围，把风险管理作为内部审计的要紧范围直接写入了内部审计的概念。

3、内部审计可以在风险管理中发挥独特有哪些用途

内部审计在风险管理中的独特用途有3、

（1）可以客观地、从全局的角度管理风险

风险在企业内部具备感染性、传递性、不对称性等特点，即一个部门导致的风险或疏于风险管理所带来的后果总是不是由其直接承担，而是会传递到其他部门，最后可能使整个企业陷入困境。正由于这样，有的部门或许会出现过渡道德风险，由于风险不是由你们来承担（至少不是单独承担），如，采购部门为节省采购本钱，就会忽略对材料规格、型号、水平方面的检查，或者有意购买残次品，这种隐藏的风险会在生产车间或销售部门反映出来，最后给企业导致巨大损失。因此对风险的认识和防范、控制需要从全局考虑，而各业务部门又非常难做到这一点。

内部审计部门不从事具体业务活动，独立于业务管理部门，这使得它们可以从全局出发、从客观的角度对风险进行辨别，准时建议管理部门采取手段控制风险。

（2）控制、指导企业的风险方案

因为内部审计部门处于企业的董事会、总经理和各职能部门之间的地方，内部审计职员可以充当企业长期风险方案与各种决策的协调人。通过对长期计划与短期达成的调节，内部审计职员可以调控、指导企业的风险管理方案。

（3）内部审计部门的建议更易引起看重

有的企业尽管也有风险管理部门，但它是管理部门的一个职能部门，向总经理报告，不具备独立性，其建议有时会屈服于管理当局的重压。如风险管理部门对某投资项目剖析后发现风险太大不合适投资，而总经理很大喜功，他会力促项目的推行。这使得风险管理部门有哪些用途遭到限制。内部审计部门独立于管理部门，其风险评估的建议可以直接报给董事会，这会加大管理当局对内部审计部门建议的看重程度。

4、外部审计的影响

近年来，注册会计师的业务范围不断扩展，在其所扩展的新的保证服务业务中就包含了风险评估，且是主要业务之一。这不可以不对内部审计界产生影响，由于，内部审计部门和内部审计职员在风险管理方面拥有注册会计师无可比拟的优势，譬如：内部审计部门和内部审计职员对企业面临的风险更知道；内部审计部门和内部审计职员对防范企业风险、达成企业目的有着更强烈的责任感。既然外部审计可以从事此项业务，内部审计就更可以从事这一工作。

3、内部审计怎么样参与风险管理

与普通的风险管理部门进行的风险管理相比，内部审计部门所进行的风险管理既与其有紧密的联系，又有不同。他们的联系表目前，两者的目的是统一的，都是为了减少企业的风险；两者有什么区别在于他们在风险管理中的角色不同。正是上述的联系和不同，致使了内部审计部门进行的风险管理过程与一般风险管理过程具备相同点和不同的地方。

内部审计部门所进行的风险管理是在一般部门所进行的风险管理基础上的再监督，其风险管理过程应包含三个方面：（1）评估风险辨别的充分性；（2）评价已有风险衡量的适合性；（3）评估风险防范手段的充分性，并提出改进手段。

（一）评估风险辨别的充分性

所谓风险辨别是指对企业所面临的、与潜在的风险加以判断、归类和鉴别风险性质的过程，换言之，就是要确定企业正在或将要面临什么风险。内部审计部门和职员要对原有些已辨别风险是不是充分进行评价，即企业所面临的主要风险是不是均已被辨别出来，并找出未被辨别的主要风险。使用的办法包含决策剖析、可行性剖析、统计预测试打分析、投入产出剖析、步骤图剖析、资产负债剖析、因果剖析、损失清单剖析、保险调查法和专家调查法等。

（二）评价已有风险衡量的适合性

风险衡量是指应用各种管理科技，使用定性与定量相结合的方法，最后定量估计风险大小，找出主要的风险源，并评价风险的可能影响，以便以此为依据，对风险采取相应付策。内部审计部门和职员要对已有些风险的衡量结果进行再检验，以确定其是不是信当，对不适合的估计予以更正。使用的办法主要有：调查和专家打分法、风险报酬法（又称调整标准贴现率法）、风险当量法、分析办法、蒙特卡罗模拟办法等。

（三）评估风险防范手段的充分性，并提出改进手段

风险的防范手段是指为减少已辨别出并已衡量的风险所采取的手段，也称风险管理工具的选择。内部审计部门和内部审计职员对有关部门针对风险所采取的防范手段进行检查，检查其是不是充分、得当。对于风险缺少充分的控制手段的状况，内部审计部门和内部审计职员应提出改进手段和建议，已强化企业的风险管理，减少风险损失。使用的办法有：防止风险、损失去控制制、离别风险单位、非保险方法的转移风险（包含转移风险源、签订免除责任协议、借助合同中的转移责任条约）、保险等。

综上所述，内部审计涉足风险管理范围有其客观势必性，是环境原因和其本身原因使然。在风险管理中，内部审计部门主如果对风险管理部门和其他有关部门所进行的风险管理的再监督。但这绝不意味着内部审计部门不可以作为直接的风险管理人，在必要的状况下，它可以直接进行风险管理。内部审计介人风险管理是一个崭新的事物，对内部审计怎么样在风险管理中发挥用途是一个需要进一步深入探讨的课题。