内部审计在企业风险治理中的作用

每个组织的存在都有其目标，在实现目标的过程中，存在着目标实现的不确定性因素。治理层的一项重要职责就是要建立一个良好的风险治理体系，来识别、评价和控制风险，为企业目标的实现提供公道的保证。内部审计在风险治理中的作用就是监控、检查、评估、报告治理层风险治理过程的充分性和有效性，提出改进意见，帮助企业改进风险治理与控制体系，从而为企业增加价值。

企业风险治理体系简介

要对风险治理过程的充分性和有效性进行评价，首先要对风险治理体系有一个初步的了解。根据美国COSO委员会《企业风险治理框架》的要求，建立风险治理体系包括相互关联的八个风险治理要素，各要素贯串在企业治理过程中，为实现企业目标提供保证。

第一是内控环境。主要是在企业中树立风险治理理念，营造一种风险治理文化，为其他风险治理要素打下基础。

第二是目标制定。治理者必须首先确定企业的目标，才能够确定对目标的实现有潜伏影响的事项。根据企业确定的任务或预期，治理者制定企业的战略目标，选择战略并确定其他与之相关的目标并在企业内层层分解和落实。

第三是事项识别。下列事情可能给组织带来风险：因使用不正确、不及时、不完整、不可靠的资料而导致决策错误；记录有错误、核算资料不真实、不完整；资产保护不当；顾客不满足，组织信誉受损；执行组织决策、计划、程序不力，或有违法违规行为；不地获取或无效地利用资源；没有完成组织的任务和目标。需要企业的治理者对其进行识别、评估和反应。

第四是风险评估。风险评估可以使治理者了解潜伏事项如何影响企业目标的实现。治理者应从两个方面对风险进行评估-风险发生的可能性和影响。对于风险的评估应从企业战略和目标的角度进行。

第五是风险反应。风险反应可以分为规避风险、减少风险、共担风险和接受风险四类。对于每一个重要的风险，企业都应考虑所有的风险反应方案。有效的风险治理要求治理者选择可以使企业风险发生的可能性和影响都在风险容忍度之内的风险反应方案。

第六是控制活动。控制活动是帮助保证风险反应方案得到正确执行的相关政策和程序。控制活动存在于企业的各个部分、各个层面和各个部分，通常包括两个要素：确定应该做什么的政策和影响该政策的一系列程序。

第七是信息和沟通。来自于企业内部和外部的相关信息必须以一定的格式和时间间隔进行确认、捕捉和传递，以保证企业的员工能够执行各自的职责。

第八是监控。对企业风险治理的监控是指评估风险治理要素的和运行以及执行质量的一个过程。企业可以通过持续监控和个别评估两种方式，来保证企业的风险治理在企业内务治理层面和各部分持续得到执行。

从以上八个风险治理要素可以看出，企业风险治理是一个过程。是一个由企业的董事会、治理层和其他员工共同参与的，于企业战略制定和企业内部各个层次和部分的，用于识别可能对企业造成潜伏影响的事项并在其风险偏好范围内治理风险的，为企业目标的实现提供公道保证的过程。

内部审计在风险治理中的作用

根据《内部审计实务标准》对内部审计的定义：内部审计是一种独立、客观的保证与咨询活动，目的是为机构增加价值并进步机构的运作效率。它采用系统化规范化的来对风险治理、控制及治理程序进行评估和改善，从而帮助机构实现其目标。所以在风险治理中，内部审计要发挥两方面的作用：

第一是对风险治理过程的充分性和有效性进行评价，主要从以下几个方面进行评价：1.评价战略目标的制定是否是在组织和行业的情况和趋势、企业的上风和劣势、外部的机会和威胁的基础上结合企业风险偏好来制订；2.与相关治理层讨论部分的目标，看分解到各部分的目标是否对战略目标提供足够的支持；3.评价治理层对风险的识别和评估是否正确；4.分析控制措施是否完善，是否可以使企业风险发生的可能性和都落在风险容忍度之内；5.风险监控是否持续得到执行，监控报告制度是否恰当，风险治理报告是否充分、及时。