IIA指出,风险管理是一项重要的管理责任。组织要实现其业务目标,管理层应该保证组织拥有健全的风险管理过程,并能发挥作用。内部审计作为风险管理的一种手段,在改善组织运营、提高风险管理和公司治理、增加组织价值等方面发挥着尤为重要的作用。这就是说,内部审计师应当通过审查、评价、报告风险管理过程的适当性和有效性并提出改进建议来协助管理层和审计委员会的工作。 (一)内部审计在已建立风险管理机制企业中的作用。建立、健全风险管理机制并使之有效运行,是组织管理层的责任。在已建立风险管理机制的组织中,内部审计部门和人员应该起关键作用。 1、内部审计部门和人员发挥监督与评价的作用。评价企业风险管理目标的合理性,企业风险管理的目标是指企业通过实施风险管理将风险控制在一个可接受的水平,从而保证企业目标的实现。内部审计在评价企业风险管理目标时,要对本企业的风险状况进行分析,不同企业应对损失的能力有所不同,因而所设定的风险可接受水平是不同的。不同的风险管理目标,决定着具体的损失前目标和损失后目标的不同,实现这些目标所进行的风险管理活动也就不同。内部审计人员应当结合企业的战略目标来评价企业风险管理目标。具体论述而言,内部审计部门所进行的风险管理是在一般部门所进行的风险管理基础上的再监督,即监督与评价是其主要职能,而企业风险管理包括三个主要阶段:风险识别、风险评估和风险应对,内部审计要发挥监督与评价作用,就应着重对风险识别、风险评估、风险应对进行审查与评价。 2、内部审计部门和人员发挥咨询与建议的作用。风险管理是一个复杂的系统工程,在一个组织内部应当明确职责分工,各司其职。董事会负责制定战略目标,高层领导各负责一个方面的风险管理责任,其他管理人员由管理层分配给一部分工作,操作人员负责日常监控,而内部审计人员则负责定期评价和保证工作。如果管理层提出建立风险管理机制的要求,内部审计人员可以运用自己在风险管理方面的专业知识,从独立客观的角度为管理层和审计委员会提供有价值的咨询服务,提高企业的风险管理水平,但不能超出正常的保证和咨询范围,以免损害独立性。内部审计可以在改善管理层的风险管理流程的效果和效率方面,协助管理层和审计委员会进行检查、评价、报告和提出建议。管理层和董事会对本组织的风险管理和控制流程负责。内部审计的职能主要是对风险管理和控制流程进行监督和评价,通过对评价过程中发现的管理上的漏洞,向管理层提出改进建议,可以促进管理水平的提高。 3、内部审计发挥报告与防范的作用。内部审计部门通过及时传递并督促落实风险审计的成果,使各类风险因素得到有效的控制和防范。审计发现如何传递、审计成果如何利用、舞弊风险如何防范等都将直接关系到内部审计在风险管理监督体系中的价值和作用。(1)内部审计通过适时与相关部门就风险管理事项进行沟通,检查、评价并报告风险管理过程的充分性和有效性,并按清晰传递的线路对重大的审计发现进行报告,对整改情况进行后续审计,使风险及时得到有效控制和防范;(2)内部审计在运用技术手段评估风险控制程序的充分性和有效性的同时,能够利用自身优势推动风险管理意识成为企业文化的一部分,从而为企业的风险防范构筑意识形态上的屏障。 (二)内部审计在尚未建立风险管理机制企业中的作用。内部审计是一种独立、客观的监督、评价活动,内部审计的目标是评价并改善风险管理、控制和治理程序的效果,因此对于尚未建立风险管理过程的组织,内部审计师应该提请管理层注意这种情况,并同时提出建立风险管理过程的相关建议。在我国,风险管理是一个新的课题,有些组织刚开始探索风险管理活动,而更多组织的风险管理实务尚未展开,内部审计师更有责任和义务提出改进建议,帮助组织管理层建立、健全适当、有效的风险管理机制。 国内外审计实践表明,对风险管理的审计报告更容易被管理层所接受,管理层也更容易理解内部审计存在的意义。因此,内部审计师应该协助管理层在初步建立风险管理过程的工作中发挥积极的作用。也就是说,内部审计可以促进企业风险管理机制的建立或使风险管理机制的建立成为可能,但是他们不应该“拥有”已确认的风险或负责对这些风险的管理。