企業風險管理與內部控制和內部審計的關系探討

摘要：風險管理、內部控制、內部審計是企業管理中的重要方面。探討企業風險管理的概念， 企業風險管理與內部控制的融合， 以及內部審計與風險管理等相關問題，對企業的管理有重要的意義。

關鍵詞：風險管理；內部控制；內部審計

企業風險管理是一個過程，受企業董事會、管理當局和其他員工的影響，包括內部控制及其在戰略和整個公司的應用，旨在為實現經營的效率和效果、財務報告的可靠性以及現行法規的遵循提供合理保證。

一、企業風險管理框架的內容

一般情況下，企業風險管理由內部環境、目標設定、事件辨別、風險評估、風險反應、控制活動、信息和交流以及監督等8個方面組成。

企業的內部環境是其他所有風險管理要素的基礎，為其他要素提供規則和結構，也為的其他組成因素提供了框架。目標設定，即管理層必須基于目標來識別成功的潛在因素。管理者必須首先確定企業的目標，才能夠確定對目標的實現有潛在影響的事項，而企業風險管理就是提供給企業管理者一個適當的過程，既能夠幫助制定企業的目標，又能夠將目標與企業的任務或預期聯系在一起，并且保證制定的目標與企業的風險偏好相一致。事件辨別，在對企業目標、戰略和計劃以及對企業所處的內部和外部環境都有深刻了解的基礎上，企業風險管理要求辨別可能對實現公司目標產生負面影響的所有重要情況或事件，事件辨別的基礎是將可能的風險與環境進行對比。風險評估，一般用可能性概率和影響結果兩個維度度量風險，前者是一定的負面影響事件發生的可能性后者是假設事件發生，對經營、財務報告以及戰略產生影響的可能結果，潛在影響一般以對經營、數量、金錢損失以及戰略目標可能造成的損失進行計算。風險反應，風險反應是企業風險管理的整體重要組成部分，主要包括接受、規避或緩和這些風險，后者又包括風險分離、風險轉換或者減少包括通過控制活動等形式。控制活動，控制活動是管理當局設計的政策和程序，為執行特定的風險緩和反應提供合理保證。控制活動包括在整個組織中使用的批準、授權、注銷、確認、觀察、查證以及對經營業績復核、資產安全、職責分離等方法。信息和交流。風險辨別、評估、反應和控制活動在組織的各個水平層次上產生有關風險的信息，與財務信息一樣，風險信息必須以一定的形式和框架進行交流， 使員工、管理層以及董事履行各自的責任。風險評估的信息系統可以產生定期或“ 例外基礎” 的時時報告，報告使用趨勢指標、業績矩陣及運營或財務成果的形式，這些報告能夠引導出及時的決策。監督，企業應通過持續的監督和獨立的評價活動，監督企業風險管理的有效性。

二、內部控制與風險管理的關系

所謂內部控制制度就是企業對有關財產物資、貨幣資金、有價證券的收付，債權債務的發生和結算，資產的增減和費用的支付等經濟業務，規定必須有兩名或兩名以上工作人員分工負責處理，以起到相互制約作用。建立企業內部控制制度，就是在企業內部的職責分工、責任制度、財務會計制度和財產物資管理制度等有關企業管理制度中，都應具體體現內部控制的要求。

內部控制并不是目標的制定活動，而是對目標制定的評價工作，特別是對目標和戰略計劃制定當中風險的評估，風險管理目標的設立為內控中的風險評估提供了前提條件。內部控制強調評估經營管理活動中突出的風險點，所負責的是風險管理過程中的重要活動，并建議經營管理人員針對這些風險點實施必要的控制活動。比如，對風險的評估和由此實施的控制活動、信息與交流活動、監督評審與錯誤的糾正等工作。

內部控制評估管理活動中突出的是風險點， 負責重要的風險控制活動， 在風險管理中居于十分重要的地位， 沒有內部控制，風險管理無從談起。要進一步認識內控在風險管理中的重要地位， 按照內控的五大組成部分，構筑起風險管理的平臺， 實現對經營管理中各種風險的逐級控制， 提高經營管理水平。但需要指出的是， 內部控制也不是萬能的， 內部控制只能提供合理的保證而不是絕對的保證， 如控制可能受到兩個人以上的合謀制約決策層、管理層也可能會踐踏內部控制的設計還可能受到人、財、物等資源的制約等，這些都是值得關注的地方。

三、內部審計與風險管理的關系

內部審計是現代企業制度的重要組成部分， 是企業自我獨立評價的一種活動， 可通過協助管理層監督其他控制政策和程序的有效性， 來促成好的控制環境的建立， 離開了內部審計，現代企業制度的運行就會出現紊亂。現代企業制度使法人化的企業承擔的責任由財務責任變成資產責任、產權責任及資本責任。而內部審計的目標也隨之而發生變化， 即由監督財務責任轉變為監督資產責任、產權責任及資本責任。審計功能也將隨審計目標的變化而發展、深化。

1.風險基礎內部審計不僅關注風險管理，同時也是風險管理的重要組成部分。公司對風險管理功能， 設立一個分部， 配置一位風險經理， 內部審計人員建立風險評估模式， 內部審計工作成為企業風險管理的一個組成部分， 整個審計工作根植于以未來為導向的風險分析。

2. 內部審計的方法不再是強調確認和測試控制的完整性， 而是強調確認經營風險并測試這些風險是否得到有效管理， 由交易事項和對政策的遵循， 轉變為對目標、戰略和風險管理程序的關注，“ 控制是否適當且有效”雖然仍被關注， 但已不是關鍵。

3.內部審計的反應方式不再是反應式的、事后的、不連續的監控， 從以交易為基礎轉變為以過程為基礎， 對組織戰略計劃的創新也由觀察者轉變為參與者。

4.內部審計在組織中扮演的角色不再是獨立的評價者， 更是風險管理與公司治理的集合者，內部審計人員應就戰略規劃、企業并購、合資經營、戰略聯盟及環境保護等重大問題， 及時、客觀、獨立地提供咨詢。

5.內部審計的建議不再是強化控制、強調成本效益配比以及提高控制的效率和效果， 而是風險規避、風險轉移和風險控制， 通過有效的風險管理提高組織整體管理的效率和效果。

風險管理和內部審計對風險評估和控制各有側重又具有較強的相關性。因此， 在銀行日常管理中， 風險管理部門和內部審計部門應各司其職， 它們的工作不能互相替代， 而是相互補充。各項經營水平的測算、評估， 以及經營風險預警和降低經營風險等工作， 主要是風險管理部門的責任， 而不是內部審計的職責， 內部審計可以直接從風險管理部門取得有關結果， 它需要關注的應是風險管理政策是否適當， 是否得到有效執行， 如有沒有信貸風險的管理程序， 該風險管理程序是不是得當， 是不是得到正確執行等。

四、啟示與關注

1.風險控制己成為現代銀行管理中的突出問題

無論風險管理、內部控制、內部審計關注的都是風險。風險防范已成為銀行日常工作中不可分割的一部分， 而不是對經營管理的額外補充。風險防范的水平已成為衡量銀行整體經營水平的一個重要指標， 世界各國銀行都在積極尋求風險防范和規避的合適途徑。這就告訴我們， 無論是內部控制體系的設計， 內部審計體制的構建， 都離不開風險防范和規避這個主題。

2.要正確理解內部控制和風險管理的關系

內部控制評估管理活動中突出的是風險點， 負責重要的風險控制活動， 在風險管理中居于十分重要的地位， 沒有內部控制，風險管理無從談起。要進一步認識內控在風險管理中的重要地位， 按照內控的五大組成部分，構筑起風險管理的平臺， 實現對經營管理中各種風險的逐級控制， 提高經營管理水平。但需要指出的是， 內部控制也不是萬能的， 內部控制只能提供合理的保證而不是絕對的保證， 如控制可能受到兩個人以上的合謀制約決策層、管理層也可能會踐踏內部控制。內部控制的設計還可能受到人、財、物等資源的制約等，這些都是值得關注的地方。

3.要正確理解風險管理和內部審計的關系

風險管理和內部審計對風險評估和控制各有側重又具有較強的相關性。因此， 在銀行日常管理中， 風險管理部門和內部審計部門應各司其職， 它們的工作不能互相替代， 而是相互補充。各項經營水平的測算、評估， 以及經營風險預警和降低經營風險等工作， 主要是風險管理部門的責任， 而不是內部審計的職責， 內部審計可以直接從風險管理部門取得有關結果， 它需要關注的應是風險管理政策是否適當， 是否得到有效執行， 如有沒有信貸風險的管理程序， 該風險管理程序是不是得當， 是不是得到正確執行等。

4.要正確理解內部控制和內部審計的關系

現代內部審計日益重視對內部控制的檢查與評價。但需要指出的是， 內控的設計、執行、檢查和評估首先是經營管理部門的職責， 而內部審計是在經營管理部門基礎上的再監督。內部審計在檢查和評價內部控制時， 發現某一風險點， 應對此可能造成的影響及后果作出詳細的說明， 以達到引起管理部門重視的目的，但并不再需對這個風險點可能造成和無意地利用所造成的破壞程度下一個肯定的結論。而對風險的這種延伸管理則應主要是經營管理部門的職責。

參考文獻：

[1]朱榮恩， 賀欣等.內部控制框架的新發展—企業風險管理框架[J].審計研究，2003，(6).

[2]林麗華， 王成等.內部控制與風險管理[J].中國審計， 2004，(9).

[3]劉秋明.論風險基礎內部審計[J].審計理論與實踐， 2003，(10).

[4]張淑慧.內部審計與風險管理[J].企業經濟， 2005，(7).

（作者單位：重慶協信控股（集團）有限公司）