在风险管理中,内部审计部门主要是对风险管理部门和其他相关部门的风险管理进行再监督,但这绝不意味着内部审计部门不能作为直接的风险管理人,在必要情况下,它可以直接进行风险管理。
内部审计部门所进行的风险管理是在一般部门所进行的风险管理基础上的再监督。其风险管理过程应包括:
1.评价企业风险管理组织结构的合理性和有效性
审查企业是否建立了为实现风险管理目标而设置的内部管理层次及管理机构。如审查部门之间权限规定,分工是否明确,是否相互牵制、相互配合;对企业风险管理组织结构的构建及其健全性、合理性、有效性予以评价并提出改进措施;评价内部审计风险管理组织与外部风险管理组织的配合情况,以使企业的风险管理保持良好的运转。
2.对企业风险管理目标进行合理性评价
企业风险管理的目标是指企业通过实施风险管理将风险控制在一个可接受水平,从而保证企业目标的实现。内部审计在评价企业风险管理目标时,要对本企业的风险状况进行分析,不同企业应对损失的能力有所不同,因而所设定的风险可接受水平是不同的。不同的风险管理目标,决定着具体的损失前目标和损失后目标的不同,为实现这些目标所进行的风险管理活动也就不同。内部审计人员应当结合企业的战略目标来评价企业风险管理目标。外语学习网
3.按三性要求进行风险识别、衡量并采取措施
风险识别是对企业所面临的、以及潜在的风险加以判断、归类和鉴定风险性质的过程,换言之,就是要确定企业正在或将要面临哪些风险。内部审计要对原有的已识别风险是否充分进行评价,即企业所面临的主要风险是否均已被识别出来,并找出未被识别的主要风险。风险衡量是应用各种管理科学技术,采用定性与定量分析结合的方式,最终定量估计风险大小,找出主要的风险,并评价风险的可能影响,以便以此为依据,对风险采取相应对策。内部审计要对已有风险的衡量结果进行再检验,以确定其是否恰当,对不恰当的估计予以更正。风险的防范措施就是为降低已识别出并已衡量的风险所采取的措施,也称风险管理工具的选择。内部审计对有关部门针对风险所采取的防范措施进行检查,检查其是否充分、得当。对于风险缺乏充分的控制措施的情况,应提出改进措施和建议,以强化企业的风险管理,降低风险损失。此外,内部审计参与风险管理应当评价企业在风险管理运作的各个环节所制定的相关规章制度,并监督实施。
四、对我国内部审计参与风险管理的思考
1.明确我国内部审计的定位
作为现代审计体系的两大组成部分-独立审计和内部审计都是基于受托经济责任的需要而产生和发展起来的,是经营管理分权制的产物。目前,企业内部都设置了专门的机构和人员实施内部审计。但我国的内部审计是在政府要求下,在国家审计部门的指导下建立和发展起来的。由于企业自主管理、自我控制的内在动力不足,因而内部审计的建立缺乏内在需要,定位上存在偏差。