内部审计中的风险管理(6篇)

内部审计中的风险管理篇1

首先，必须要明确的是，风险这个因素在审计的整个过程中都是有存在的，因此我们必须要全程关注风险因素，这也是风险导向内部审计与其他审计模式相比最为不同的特点。实际上，审计人员们的工作思路与以往相比发生了一些变化，这不再是对业务流程和制度的事后评价，而是立足于现阶段的工作进行评价和测试，要综合考虑各种因素，对企业的发展状况进行合理估计，并对未来的发展前景进行一定程度的预测，规划出合理的蓝图。风险导向内部审计工作是有重要意义的，在审计项目中，它所具有的作用是非常之大的，不但能够进行测试和控制，而且能够判断管理部门的措施是否具备足够的科学性和合理性，这些措施和方法对于企业的未来发展具有重要意义。在审计过程中，我们应当格外关注对于风险的评价和分析，并针对一些问题找出应对策略，因此这是一件具有实际应用意义的事情，能够帮助企业实现更好的发展。最后，风险导向内部审计相比以往工作而言有了很大进步，这把审计的目标和企业风险管理目标进行了有机结合，从而让各项工作的开展变得更加深入和细致，最大限度地发挥了内部审计的价值，让审计工作变得更加科学合理，并让内部审计成了企业价值链中的重要一环。

2.风险导向内部审计的应用

风险导向内部审计工作有极其重要的用途，这对于企业的发展而言有重要意义。其主要是以企业的经营思想作为工作的核心，并且创造性地把战略目标作为了工作的风向标，然后采用战略分析、绩效分析等工具，综合考虑各项相关的因素并照顾合适的解决策略，从而前瞻性地关注了企业的风险度，让企业实现更好更快的发展，在具体实施工作中，可以从以下几个方面来进行探讨和分析。

2.1对企业目标进行综合分析，从而全面评估风险

在这项工作中，工作人员需要综合考虑企业的目标，并且要对这些目标进行科学合理的分析，首先需要做好充足的调查工作，完全掌握相关的审计领域，并且要把握好相关的风险因素，这里面包含了很多方面，例如企业文化、内部控制体系、业务交易系统等等。工作人员必须进行讨论，把相互之间所掌握的信息进行交流，从而对风险进行科学合理的评价工作，并且针对相关的风险进行讨论和分析，找到相关的解决思路，最终做到加强控制。然后，需要对管理层的自我评估进行实地观察，检查这些自我评估是否具有准确性，自我评估的条目是否合理。最后，工作人员需要评估与风险管理相关的工作薄弱环节，并与管理层进行讨论，商量解决问题的具体措施。

2.2确认和判断剩余风险

剩余风险这个概念是极为重要的，要想做好审计工作，工作人员就必须充分了解剩余风险，并且能够通过相关的因素和事件来判断剩余风险，这部分风险并没有在我们的把握之中，因此控制程度发生了一定程度的偏离，剩余风险产生的原因是多种多样的，最为主要的原因就是企业的控制措施不够适合，因而导致发生失效现象。首先，内部审计部门应当做好充足的准备工作，充分把握风险因素的特征，并且准确地对风险因素进行判断，测试现有的风险管理政策，确保政策是合适的，然后就现存的不足之处进行讨论和分析，最终确定哪些风险是高危风险。其次，应当对剩余风险进行综合性评价，当某种风险是必须要承担的时候，审计部门就可以申请选择风险保留，另外，冒此风险可以获得丰厚的利润的时候，也可以选择风险保留，否则的话，就应当进行进一步的讨论。最后，应当综合考虑风险可能性损失程度、损失频率，从而把剩余风险进行科学合理的排序，方便对风险进行管理。

2.3做好风险审计报告的制定工作

内部审计中的风险管理篇2

关键词：商业银行内部审计风险管理

随着银行业务的发展和市场竞争的加剧，银行业风险日益增大，使其生存和发展受到严重挑战，而内部审计在风险管理、内部控制以及公司治理等方面有着重要的地位和作用。本文就内部审计在风险管理中的作用以及如何发挥其作用进行粗浅的探讨。

一、商业银行风险管理

对银行而言，风险是可能对银行战略目标的实现产生影响的事件、行为和环境，而对这种不确定性进行调节和驾驭的能力就是风险管理。风险管理并非是要消除风险，而是通过对未来结果不确定性的分析预测和周密思考，以降低决策错误之几率、避免损失之可能，相对提高银行的附加价值。

商业银行的风险种类很多，主要有以下几种表现形式：一是信贷风险，信贷资产是银行业的主要资产，在当前实行分业经营的背景下，它是银行业最大的盈利项目，信贷资产质量的高低直接关系着银行经营目标的实现。二是市场风险，主要是由于证券市场不规范和金融市场秩序混乱而引发的种种风险，主要包括利率风险、汇率风险、流动性风险和价格风险。三是经营风险，主要是由银行自身经营管理方面和操作方面存在的问题而形成的风险。近年来，商业银行内控制度尽管有所加强，但受利益驱动和相关管理人员能力、素质的影响，经营规模和经营管理控制能力不相匹配。操作风险是指由于人员因素、流程因素、系统因素以及外部事件引起的风险。比如业务人员操作失误、银行内外勾结、流程执行不严格、系统失灵、系统漏洞、外部欺诈、突发外部事件等。

二、内部审计在风险管理中的作用

随着市场经济的不断发展，市场竞争日趋激烈，经营环境复杂多变，银行面临的风险也不断加大。内部审计在风险管理中发挥着越来越重要的作用，它通过评估、计量和报告总体风险，推动银行实施风险管理，最大程度地防范和化解可预见的风险。具体而言，其作用体现在如下方面：

(一)能够客观识别和评估风险的充分性

内部审计部门独立于业务管理部门，这使其可以从全局出发，从客观的角度对风险进行识别和评估。所谓风险识别是指对银行所面临的以及潜在的风险加以判断、归类和鉴定风险性质的过程。换言之，就是要确定银行正在或将要面临哪些风险，所面临的主要风险是否均已被识别，并找出未被识别的主要风险。内部审计师不仅要识别相关的风险，而且还应从以下几个方面对风险进行评估：一是评价银行战略目标的制定是否是在分析组织和行业发展情况和趋势、银行的优势和劣势、外部的机会和威胁的基础上结合实际来制定；二是看分解到各部门的目标是否对战略目标提供足够的支持，是否与整体目标保持一致；三是评价员工是否确知已建立的工作目标(或业务管理目标)；四是管理层是否建立风险识别与评估机制，该机制至少包括机构、人员、政策和程序以及支持系统。管理层对风险的识别和评估是否准确，是否已对面临的风险进行恰当分类；五是是否已识别出各类内部和外部的风险因素，并对已识别的风险进行计量，分析控制措施是否完善，是否可以使银行风险发生的可能性和影响都落在风险容忍度之内；六是风险监控是否持续得到执行，监控报告制度是否合理，风险管理报告是否充分、及时。

(二)能够综合分析和计量风险的恰当性

内部审计对现代内部控制的焦点不仅在于识别和评估风险的充分性，而且在于强调风险分析和计量。风险分析和计量是内部审计对银行经营管理过程中遇到的各种风险采取定量和定性的方法进行有效的分析和确定。定量分析方法是对已识别的风险进行量化估计，通用的公式为：风险值=风险影响X风险概率。目前国内商业银行缺少实施先进风险计量方法的必要支撑，但新资本协议鼓励银行采用更为先进的风险计量方法，如允许银行通过内部评级确定风险函数计量加权风险资产；运用金融工程技术转化基础工具计量市场风险；运用基本指标法、标准法、高级计量法和风险模型计量操作风险等。内部审计可以借鉴新资本协议的方法，对风险进行计量和解析。在风险难以量化、定量评价所需的数据难以获取时，应采取定性评价。定性评价的复杂性在于很多情况下需要主管判断不同结果的可能性，不同背景、不同经验、不同性格和不同职位的人对风险判断都可能不同，如银行在计量未决诉讼预计负债时，其金额具有不确定性，需要进行合理而恰当的估计。

(三)能够发挥风险反馈的预警性

内部审计在银行管理控制系统中发挥反馈作用，对银行的风险管理起预警功能。内部审计在检查内部控制程序的合理性以及执行情况和控制效果，特别在关注高风险领域和内控不健全区域的潜在威胁时，是通过风险反馈进行持续监督与评价，确保目标与预算如期完成的。一方面，内部审计要与相关部门进行风险管理沟通，对风险管理过程的充分性和有效性进行检查、评价，对重大的审计发现按清晰传递的线路进行报告，传递给内部相关人员和其他有关方面，以便及时采取相应的控制措施，同时对监督检查结果的落实情况要进行跟踪报告，使风险及时得到控制和防范；另一方面，以风险为核心及出发点的内部审计，能够客观地从全局的角度管理风险，能从组织的利益和实际出发，提出防范风险的有效建议，作为管理层改进风险管理的参考意见，内部审计的建议更加强调风险规避、风险转移和风险控制，通过有效的风险管理建议反馈，提高组织的整体管理效率。

三、加强内部审计在风险管理中作用的有效途径

(一)树立正确的风险审计理念

在当前市场竞争日趋激烈的情况下，银行面临的风险越来越大，银行各级管理层应深刻理解银行所处环境中各种不确定因素对银行风险的含义，把风险作为重要的决策变量，始终把风险意识贯穿于经营的全过程。内部审计已成为银行风险管理的一个重要环节，存在风险的领域就是内部审计的重点，风险评估已成为内部审计的主要内容，内部审计已扩展至通过战略层面参与公司价值创造。内部审计工作应从事后审计向事前和事中审计、从静态审计向动态审计、从现场审计向远程审计和非现场审计方向发展。内部审计除了要关注传统的内部控制之外，更要关注有效的风险管理机制和健全的公司治理结构。内部审计的工作重点是分析、确认、揭示和防范关键性的经营风险。内部审计的目标应从传统的“查错纠弊”提升为“帮助组织增加价值”，效益审计应成为内部审计的重要内容。

(二)将风险管理融人内部审计的全过程

内部审计部门主要是对风险管理部门和其他相关部门所进行的风险管理进行再监督。因此内部审计程序与机构的风险管理之间应该协调一致，使这两项工作产生协同增效的作用。首先，在编制审计计划时，应在对可能影响机构的风险进行评估的基础上，按风险评估结果确定优先顺序，制定内部审计部门的审计计划，确定审计项目。

其次，确定审计范围和编制审计方案时，通过风险因素分析来确定审计业务工作范围，如重要的会计凭证、重大交易和事项的会计处理及交易授权等；在审计实施过程中，通过评价内控制度，查找其中的疏漏和薄弱环节；在选择技术与方法时，应能反映出风险的重大性与发生的可能性。再次，在编制审计报告时，应对风险管理状况进行评价，指出风险管理中存在的漏洞，提出加强管理的建议。最后，追踪审计时应将注意力集中于最严重的潜在的问题上，将风险确定为决定追踪审计范围的重要因素，风险越大，追踪审计的范围就越广。

(三)利用网络信息开展动态管理评价模式

随着市场竞争的加剧，新的审计环境要求审计人员在风险导向审计中，利用网络信息收集风险数据开展动态评估的评价模式，为银行提供更有价值的服务。内部审计机构应根据机构和人员的设置情况，对日常资料的收集和分析工作进行分工，收集内部信息和外部信息，收集有助于进行风险评估的银行内部控制状况资料，建立数据库，利用一定的指标和模型进行风险评估，及时准确地确定审计监控的重点和范围，为各级经营决策者和审计部门全面、连续、及时地监控和评价业务发展情况提供大量有价值的信息，提高审计效率和审计质量。数据库的优点是把银行面临的风险进行量化，发挥预警作用，同时进行全方位、全过程的监控，以便及早发现存在的风险并及时进行解决，达到控制风险和防范风险的目的。

内部审计中的风险管理篇3

关键词:治理改革内部控制风险管理

一、公司治理、风险管理与内部审计的关系

公司治理是建立在所有权和经营权分离基础上，研究包括股东、管理者及其他利益相关者之间的利益权衡机制、激励约束机制及市场机制的一种制度安排。它的目的是建立各种内部和外部的监督制约机制，对公司进行综合管理，确保管理者做出有效的决策以实现企业的经营管理目标。

在公司实现目标的过程中，存在着影响目标实现的不确定性因素，这种不确定性，就是风险。内部控制是指企业为了实现控制目标，由董事会、监事会、经理层和全体员工实施的一系列政策和程序，它是企业加强经营管理的有效工具和手段。内部控制本质上是组织的内

部风险控制机制，它是有助于降低企业风险的一种控制机制。内部审计作为内部控制的一个子系统，是公司治理不可或缺的一部分。它在风险治理中的作用就是监控、检查、评估、报告公司治理层风险治理过程的充分性和有效性，提出改进意见，帮助公司改进风险治理与控制体系，最终提高企业的经营管理水平和风险防范能力。

二、公司治理中风险管理与内部审计整合的必要性

（一）风险管理是内部审计的重要领域

企业风险管理的有效性在一定程度上取决于企业对风险管理工作的监督和评价（孟焰、潘秀丽，2006），对组织的风险管理过程进行检查、评价和报告是内部审计人员的重要工作。内部审计师应通过检查、评价、报告与建议改进有关风险管理过程的适当性和有效性，来协助管理层和审计委员会。内部审计师在充当咨询角色时，可以协助组织确认、评价风险并执行风险管理方法和控制来解决这些风险。

内部审计对风险管理起推动作用

内部审计在我国现代审计体系中具有相对独立的地位，它不是从属于外部审计，而是一种系统内部的高层次的经济监督，因而内部审计人员能够充当企业长期风险策略与各种决策的协调人，通过对长期计划与短期计划的调节，指导企业的风险管理策略。并且内部审计部门的建议容易引起重视，因为它不同于一般职能部门，内部审计部门可利用其独立性将风险评估的意见直接报告给董事会，这样会提升管理当局对内部审计部门意见的重视程度。因此，内部审计既是企业内部控制和风险管理的监督者，又是完善企业内部控制和风险管理的重要推动力量。

三、内部审计发挥风险管理功能的途径

内部审计是一种独立、客观的保证与咨询活动，旨在增加价值和改善组织运营。它通过应用系统的、规范的方法，评价和改善风险管理、控制及治理程序的效果，帮助组织实现其目标。所以在风险治理中，内部审计发挥着重要的作用。

(一)以风险管理为基础

风险识别贯穿在风险治理的全过程，从目标制定开始到监控，风险治理的每个环节都要充分地识别风险。风险的识别由审计部门和业务部门从内部控制的角度出发共同来进行。审

计部门从内部控制的角度出发，以内部审计的专业方法和手段，通过COSO的《企业风险管理――整体框架》规定的风险管理基本程序：内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控,全面检视业务部门的业务流程，对所有可能发生风险的责任主体进行风险识别和风险控制。

（二）以提供咨询服务为辅助

在公司风险治理中，内部审计部门承担的一个主要职责是可以接受委托或在提供保证服务的同时就风险管理有关问题提供咨询服务。具体的服务内容和形式取决于组织的内部环境、组织拥有的资源、组织面临的风险和内部审计报告关系，并根据组织企业风险管理的发展而不断变化。在尚未建立企业风险管理时，内部审计机构就执行审计项目时发现的风险问题提请管理层和董事会注意，并提出相关建议。当企业内部审计的风险管理逐步成熟以后，可以接受委托提供专项的风险管理咨询服务，也可以在提供保证服务的同时以管理建议书形式就发现的问题提出管理建议。

（三）以监督评价与改进为保障

在公司风险治理中，风险是否发生变化、有没有新的风险出现、风险反应方案是否被严格执行、风险反应方案是否需要修正，这需要内部审计部门在例行的监督评价过程中加以确认，并报告给公司高层管理部门和相关部门，决定是否加以改进。在监督中内部审计部门要

注意一下几点:1.根据风险评估结果和公司高层关注重点，按照风险评估大小和公司高层关注度确定审计计划。2.审计内容要包括风险的变化度、风险反应方案执行结果和需改进的建议。3.定期开展风险评估，审计对象要尽量涉及公司所有部门、所有人员、所有环节，要全方位覆盖到公司风险管理的各个层面。4.参与自我控制评价，通过自我评价协助管理人员建立和完善风险管理与控制系统。

四、基于风险管理的内部审计发展趋势

20世纪80年代至90年代，内部审计经历了从以财务收支审计为主，侧重合规性的检查和内部控制的评审的内部审计，再到以真实性、合规性、效益型为目标的经济效益审计，再到强化业务控制和管理控制的经济责任审计。下一步中国的内部审计将向着内部控制和风险管理为导向的管理审计全面转型和发展，更进一步发挥内部审计在公司治理中的重要作用。在风险管理为导向的内部审计观念下，内部审计的职能也在发生变化，它的焦点体现为分析、确认、揭示关键经营风险与管理风险，内部审计将朝着与公司风险管理策略紧密联系的趋势不断发展。

参考文献:

[1]COSO.企业风险管理―――整合框架［M］.方红星，王宏等译.大连：东北财经大学出版社，2005.

内部审计中的风险管理篇4

在市场经济体制下，企业按照现代企业制度的机制运行，具有产权明晰、自主经营、自负盈亏、自我发展的自，完全具备了作为市场主体角色的资格。同时，企业所面临的内外部各种风险以不同于以往的方式和程度影响着企业目标的实现，从而使风险管理成为企业管理不可缺的一个方面。

(一)现代企业风险的特征

1、非预期性。相对于计划经济体制下的企业而言，现代企业风险更多地来自企业外部，而产生外部风险的各种因素均是企业不可控的，其发生与否以及何时发生，企业事先不得而知。对企业内部风险，由于外部风险波及，其不可预期性也有不同程度的加大。

2、非可控性。如上所述，企业风险多由外部不可控制的环境因素产生，并波及至企业内部。对企业风险的防范，从根本上来说主要是先从外部风险做起，在有效降低外部风险影响程度的基础上，减少其再向企业内部的波及的范围和程度。

3、综合作用。现代企业面对不仅有内部因素，更有外部环境因素影响；不仅有国内的；也包括国际的；在现代企业风险管理体系中，公司治理从企业整体角度理顺关系，内部控制程序则从执行层面对企业风险的防范发挥作用。内部审计作为内部控制的重要组成部分，与风险管理密不可分，其在风险管理中发挥着不可替代的独特作用。

二、内部控制与风险管理的联系日趋紧密

在决定内部控制政策，并在此基础上评估特定环境中内部控制的构成时，企业决策层应对诸多风险管理问题进行深入思考。比如：公司面临风险的性质和程度；公司可承受风险的程度和类型；风险发生的时间及可能性；公司自身防范风险的能力；实施风险管理的成本，以及从相关风险中可能获取的利益等。

管理层在执行企业风险控制政策过程中，应准确确认、评价公司所面临的风险，并执行决策层所设计的内部控制政策，对企业风险进行有效的管理。

三、内部审计理论的新发展

审计理论和方法在经历了详细检查、从详细检查转为初步抽样、以及测试内部控制并广泛采用抽样进行审计的三个发展阶段后，目前已发展到了以测试评价企业风险为主要方法的风险导向审计阶段。为顺应内部审计理论及实务的变化，国际内部审计师协会(IIA)在1999年对内部审计重新定义为：内部审计是用来增加组织价值和改善组织运营的独立、客观的保证和咨询活动。它以系统专业的方法对风险管理、控制及治理过程的有效性进行评价和改善，帮助组织实现其目标。

这一新定义又将内部审计的范围延伸到风险管理和公司治理层面，认为内部审计是针对风险管理，控制及治理过程的有效性进行评价和改善所必需的。

四、内部审计的主要职责就是风险管理

随着风险导向审计时代的来临，内部审计的工作重点也发生了变化。现代内部审计除了关注传统的内部控制外，更加关注有效的风险管理机制设计的合理性及其运行的有效性。在风险导向审计观念下，年度审计计划与公司决策层风险战略连接在一起。内部审计人员通过对当前风险的分析确保其审计计划与经营计划相一致，并使风险管理贯穿于审计计划执行的全过程。在风险导向审计观念中，内部审计的工作重点不仅是测试控制，而且包括确认风险以及测试管理风险的方法；控制仍然重要，但分析、确认、揭示关键性的经营风险等相关风险，才是内部审计的焦点。

五、内部审计在风险管理中的作用

内部审计在企业内部控制体系中处于独特的位置，有着其他内部控制组成部分所不具有的不可替代的独特的风险管理作用。

(一)能够以独立、客观的姿态，从企业全局角度对风险进行管理。

风险在企业内部所具有的感染性，传递性和不对称性等特征，即一个部门所造成的风险或疏于风险管理所带来的后果往往不是由其直接承担，而是沿着相关工作程序传递给其他部门，最终可能会使整个企业陷入困境。因此对风险的确认、防范和控制需要从全局角度考虑，而其他的业务部门较内部审计部门而言，很难做到这一点。内部审计人员不从事企业具体的业务活动，相对独立于相关业务活动和业务部门，而且直接隶属于企业高层管辖，这就使得他们可以从全局角度出发，以某种超然的姿态对企业风险进行客观地认别确认和评价，及时便捷地向企业高层汇报有关情况，便于企业从全局高度对风险进行有效管理。

(二)控制、指导企业的风险策略。

由于企业内部审计部门处于企业决策层和执行层之间，内部审计人员充当了企业长期风险策略与各种决策控制的协调人角色。通过对长期规划与短期计划的协调，以及对实际执行缺陷和成功经验的互动反馈，内部人员可以起到调控、指导企业风险管理策略的作用，使企业风险管理体系以良性循环的态势不断完善和发展。

内部审计中的风险管理篇5

论文摘要：目前，随着金融体制改革的日益深化和风险的日益突出，如何控制和管理金融机构风险已成为现代银行管理者面临的重要课题。内部审计能够客观地对组织整体的风险管理进行审查与评价；能够指导银行的风险策略，防止控制过度或不足的缺陷；能够发挥反馈作用，对银行的风险管理起预警功能。

一、商业银行风险管理

二、内部审计在风险管理中的作用

(一)能够客观识别和评估风险的充分性

(二)能够综合分析和计量风险的恰当性

内部审计对现代内部控制的焦点不仅在于识别和评估风险的充分性，而且在于强调风险分析和计量。风险分析和计量是内部审计对银行经营管理过程中遇到的各种风险采取定量和定性的方法进行有效的分析和确定。定量分析方法是对已识别的风险进行量化估计，通用的公式为：风险值=风险影响x风险概率。目前国内商业银行缺少实施先进风险计量方法的必要支撑，但新资本协议鼓励银行采用更为先进的风险计量方法，如允许银行通过内部评级确定风险函数计量加权风险资产；运用金融工程技术转化基础工具计量市场风险；运用基本指标法、标准法、高级计量法和风险模型计量操作风险等。内部审计可以借鉴新资本协议的方法，对风险进行计量和解析。在风险难以量化、定量评价所需的数据难以获取时，应采取定性评价。定性评价的复杂性在于很多情况下需要主管判断不同结果的可能性，不同背景、不同经验、不同性格和不同职位的人对风险判断都可能不同，如银行在计量未决诉讼预计负债时，其金额具有不确定性，需要进行合理而恰当的估计。

(三)能够发挥风险反馈的预警性

三、加强内部审计在风险管理中作用的有效途径

(一)树立正确的风险审计理念

(二)将风险管理融人内部审计的全过程

(三)利用网络信息开展动态管理评价模式

内部审计中的风险管理篇6

企业风险管理体系简介

要对风险管理过程的充分性和有效性进行评价，首先要对风险管理体系有一个初步的了解。根据美国COSO委员会《企业风险管理框架》的要求，建立风险管理体系包括相互关联的八个风险管理要素，各要素贯穿在企业管理过程中，为实现企业目标提供保证。

第一是内控环境。主要是在企业中树立风险管理理念，营造一种风险管理文化，为其他风险管理要素打下基础。

第二是目标制定。管理者必须首先确定企业的目标，才能够确定对目标的实现有潜在影响的事项。根据企业确定的任务或预期，管理者制定企业的战略目标，选择战略并确定其他与之相关的目标并在企业内层层分解和落实。

第三是事项识别。下列事情可能给组织带来风险：因使用不正确、不及时、不完整、不可靠的资料而导致决策错误；记录有错误、核算资料不真实、不完整；资产保护不当；顾客不满意，组织信誉受损；执行组织决策、计划、程序不力，或有违法违规行为；不地获取或无效地利用资源；没有完成组织的任务和目标。需要企业的管理者对其进行识别、评估和反应。

第四是风险评估。风险评估可以使管理者了解潜在事项如何影响企业目标的实现。管理者应从两个方面对风险进行评估-风险发生的可能性和影响。对于风险的评估应从企业战略和目标的角度进行。

第五是风险反应。风险反应可以分为规避风险、减少风险、共担风险和接受风险四类。对于每一个重要的风险，企业都应考虑所有的风险反应方案。有效的风险管理要求管理者选择可以使企业风险发生的可能性和影响都在风险容忍度之内的风险反应方案。

第六是控制活动。控制活动是帮助保证风险反应方案得到正确执行的相关政策和程序。控制活动存在于企业的各个部分、各个层面和各个部门，通常包括两个要素：确定应该做什么的政策和影响该政策的一系列程序。

第七是信息和沟通。来自于企业内部和外部的相关信息必须以一定的格式和时间间隔进行确认、捕捉和传递，以保证企业的员工能够执行各自的职责。

第八是监控。对企业风险管理的监控是指评估风险管理要素的和运行以及执行质量的一个过程。企业可以通过持续监控和个别评估两种方式，来保证企业的风险管理在企业内务管理层面和各部门持续得到执行。

从以上八个风险管理要素可以看出，企业风险管理是一个过程。是一个由企业的董事会、管理层和其他员工共同参与的，于企业战略制定和企业内部各个层次和部门的，用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的，为企业目标的实现提供合理保证的过程。

内部审计在风险管理中的作用

根据《内部审计实务标准》对内部审计的定义：内部审计是一种独立、客观的保证与咨询活动，目的是为机构增加价值并提高机构的运作效率。它采用系统化规范化的来对风险管理、控制及治理程序进行评估和改善，从而帮助机构实现其目标。所以在风险管理中，内部审计要发挥两方面的作用：

第一是对风险管理过程的充分性和有效性进行评价，主要从以下几个方面进行评价：1.评价战略目标的制定是否是在组织和行业的情况和趋势、企业的优势和劣势、外部的机会和威胁的基础上结合企业风险偏好来制订；2.与相关管理层讨论部门的目标，看分解到各部门的目标是否对战略目标提供足够的支持；3.评价管理层对风险的识别和评估是否准确；4.分析控制措施是否完善，是否可以使企业风险发生的可能性和都落在风险容忍度之内；5.风险监控是否持续得到执行，监控报告制度是否恰当，风险管理报告是否充分、及时。

第二是以咨询顾问身份协助机构确定、评价并实施针对风险管理的和控制措施。内部审计在该方面的作用包括：1.进行控制和风险评估培训。使风险意识贯穿于整个企业的各个层面，并且使每名员工能够有效识别风险并提出有效控制措施，实施企业全员、全过程、全方位、全天候的风险管理。2.召开控制和风险评估专题讨论会。针对重大风险隐患，要集合企业内外部的专家进行专题研讨。审计人员既是组织者，又是参与者，同时也是者。3.开发自我评估工具。对风险管理进行深入，利用技术开发适合本企业的评估工具。

将企业风险管理融入内部审计程序

在风险管理中，内部审计部门主要是对风险管理部门和其他相关部门所进行的风险管理进行再监督。因此内部审计程序与机构的风险管理之间应该协调一致，使这两项工作产生协同增效的作用。

1.在编制审计计划时，应该在对可能影响机构的风险进行评估的基础上，制定内部审计部门的审计计划，确定审计项目。

2.确定审计范围时，要考虑并反映整个公司的战略性计划目标，并每年对审计范围进行一次评估，以反映机构的最新战略和方针。

3.编制审计方案时，通过风险因素分析来确定审计业务工作重点；在审计实施过程中，通过评价内控制度，查找其中的疏漏和薄弱环节；在更新审计范围与计划的时，要反映管理层的方针、目标、工作重心出现的变化。在选择检测、证实风险的技术与方法时，应该能够反映出风险的重大性与发生的可能性。