内部审计在实施风险控制中的作用

1.干预风险控制实施过程，发挥咨询作用

从三个单位的试点经验可以看出，实施企业风险管理的准备工作始于战略目标的风险评估。通过集团公司的业务整合，通过管理结构和业务流程进行梳理和优化，借助ERP、建设和实施风险控制、内部控制系统等信息系统，有序实施风险控制，人人参与，有效实施企业管理全过程的风险控制。内部审计可以利用自身优势，在以下三个层面发挥咨询作用：

首先，审计委员会成员对公司战略目标的制定、优化和重大风险有全面清晰的认识。内部审计向审计委员会报告业务，接受审计委员会的指导和监督，并可就战略目标及其风险控制提供咨询。

其次，公司的其他工作部门和其他管理职责是内部审计的监督范围。内部审计不参与业务运作，具有独立优势。在集团业务重组、业务流程梳理优化、内部控制体系建设等方面，内部审计比业务管理部门更有利，能够客观公正地提供综合咨询。

第三，内部审计可以长期持续评价内部控制，了解企业管理机制，熟悉工作流程和内部控制，有效感知和识别风险，为内部控制体系的改进提供更有价值的咨询。

2.进行风险导向内部审计，扩大升值功能

万寿一、崔晓忠（2009）以价值链理论为研究基础，指出战略审计从企业整体价值链乃至整个产业价值链的角度分析风险类型，评价风险；内部控制审计审查评价价值链上价值活动的控制和管理；工作审计评价特定任务的效益和效率。可见，如果内部审计能够实现战略管理、内部控制和使用三个层面的风险导向，就可以通过完善公司的综合风险管理来发挥升值作用。

实践中，内部审计可以利用风险控制，加强风险导向，加强与企业目标的联系，促进企业目标的实现，扩大升值作用。一是内部审计规划充分结合企业发展战略、战略规划及其重大风险，提高审计业务规划和审计资源配置布局的风险导向；二是年度审计计划与年度经营计划密切相关，结合年度经营目标和关键风险，以风险为基础，以审计资源为约束，对审计项目和审计领域进行排序，提高年度审计计划的风险导向；三是通过企业风险管理报告，考虑具体风险的评价结果和应对策略，从剩余风险规模、风险控制和减少措施的有效性和复杂性等角度综合确定审计重点，提高具体审计项目的风险导向。

  3.进行风险控制审计，发挥评价作用

IIA发布的《实践标准》认为，内部审计通过评估风险管理过程的效果来确定风险管理的适宜性。换句话说，内部审计有责任审计公司的风险管理工作。内部审计需要检查和评估风险管理过程、具体检查和评估目标设置的合理性、风险识别的充分性、风险评估的合理性、风险响应的合理性、控制活动的合理性、信息交流的有效性，最后评估风险管理过程的有效性、风险容忍度、风险偏好和风险文化的拟合性，确定风险管理的适宜性。审计结论不仅能满足管理部门对风险管理机制、制度和流程有效性的关注，还能为董事会在风险偏好选择、风险容忍度设置等重大方面提供决策支持。