內部審計參與風險管理不僅為內部審計自身提供了發展契機，而且作為企業內的一種獨立、客觀的保證和咨詢活動，內部審計是公司治理必要和有價值的組成部分，能夠在風險管理中發揮獨特的作用，無論內部審計還是風險管理都能在這一過程中提高效率、創造價值。

　　一、內部審計評估內部環境

　　董事會各委員會之間持續的交流和聯系；在公司層面和分支機構、小組層面分配治理責任和活動；闡明橫向及縱向的監督事項；持續可靠的、有效的信息流動可以上達董事會各職能委員會；對包括但不限于治理，道德規范和監督政策的總體政策進行清楚地描述和溝通。只有組織存在一個經過仔細考慮的結構良好的治理環境，公司治理的流程和程序才能有效。公司的治理結構和政策應當反映組織的法律、經營和報告體系及其組成部分，而且必須在各治理事項間清楚地分配責任。在結構和政策方面，內部審計部門可以努力證實組織是否真正擁有這樣一個公司范圍的十分完整的治理、風險和合規環境，并評價其有效性，以幫助董事會和高級管理層。如果企業沒有完整的治理方法，內部審計可以幫助其建立。另外，內部審計還可以幫助促進與其治理目標、活動及發現有關的信息在治理結構的各要素之間（如各委員會）持續和無障礙的交流。要實現上述目標，內部審計首先評價董事會、執行委員會及其章程的結構，以保證組織具有改善公司治理的恰當政策。這些政策應當一方面保證董事會具有實質上的獨立，而不僅僅是名義上的獨立；另一方面為組織的其他部分建立一個良好的道德規范和公司治理。內部審計在公司尚未建立風險管理的過程中，應積極向管理層提出建立風險管理過程的相關建議。如果公司尚未建立風險管理過程，內部審計人員應該提請管理層注意這種情況，并同時提出建立風險管理過程的相關建議。內部審計人員長期立足于本企業的具體崗位，比較熟悉公司的業務并能夠隨時深入到生產經營的全過程去了解掌握具體情況，通過周密詳細的審前調查，收集到大量的第一手資料，從中發現存在風險的隱患問題，并對其構建以內部審計為基礎的全面風險管理體系進行風險分析，從而制定出全面且符合實際的審計工作計劃，提高工作效率。并了解了企業風險管理內部環境中公司治理結構的情況。

　　二、內部審計評估目標設定的合理性

　　企業的管理層和董事會決定企業的目標、實現目標的戰略、商業模式以及實施戰略的經營流程。核心及輔助的經營流程與組織的供應商、員工、資本提供者、內部審計參與風險管理相關問題研究客戶及競爭者共同促進了戰略的實施。除了決定這些外，管理層和董事會還要決定為實現其目標愿意接受多大的風險。對于某些組織而言，因為有較高的預期收益，管理層和董事或為組織本身，或為其他相關目標，愿意承擔相當大的風險；對于另外一些組織，管理層和董事則不愿意承擔過多風險。這種對風險的態度可稱為“風險偏好”。戰略及經營計劃中隱含的整體組織風險為風險管理其他六個要素的運行提供了一個總體框架。這些目標及風險偏好為企業風險管理提供了總體標準。內部審計人員就是要系統地將組織戰略和商業模式與對其實現構成威脅的風險聯系起來，評估組織的戰略目標、經營目標、財務目標、各個部門的目標的合理性。

　　三、內部審計評價風險事件識別的充分性

　　COSO概述的風險管理方法是以識別可能威脅組織目標實現的風險事件為基礎的。事件識別以環境為基礎，并需要針對可能的風險詳細描繪所處的環境。內部審計人員針對現有內外環境（壽命周期、經驗戰略等）與經營過程，采用各種分析方法獨立地推斷所有潛在的重大風險，為評價企業是否合理制定風險管理策略與決定風險方案提供充分根據。風險事件的識別就是要將比可容忍風險更加嚴重的次要風險從主要風險中分離出來，并提供數據以有助于風險的評價和處理。我們把所有潛在的重大風險定義為風險征兆，風險征兆是風險因素與風險事故的結合，而這種結合可能形成風險損失的各種現實跡象。內部審計人員利用壽命周期分析法，SWOT分析法，KSF分析法，DCCS法，盈虧臨界點分析法，財務、會計、統計指標分析法等捕捉風險征兆。

　　四、內部審計評價風險評估的合理性

　　經過風險事件的識別后，必須對風險事件量值（貨幣損失或事件發生可能性帶來的負面影響程度）以及給定量值時不利事件發生的概率予以計量，為確定風險管理戰略、政策與程序提供更為科學的依據；重要的是，對于以前風險戰略決策、政策與程序通過與實際業務的結合的評價，可以檢查其設計是否合理、適當，執行是否有效，尤其是要找出需要修正、完善之處；對于實行風險預警機制的企業，經過風險評估后，能進行合適的預警；對于己經變成現實的風險，需要對風險的處理進行評價，以便檢查控制執行的差異，找出原因，明確責任。

　　五、內部審計評價風險反應措施的恰當性

　　在風險管理戰略方針和策略指導下，風險反應措施有規避、控制與抑制、接受、轉移四種，每種措施的實施都經過了風險與收益的權衡。企業風險管理框架中的風險反應將風險劃分為三種風險收益類別。一些風險的風險收益關系在現有的量值和概率水平下是可接受的，這類風險可以完全接受。另外一些風險的量值或概率非常大，以至于不能接受且無法經濟有效地加以抑制，因而超出了組織的風險容忍度，必須通過放棄有關計劃從而避免受風險的影響，或通過在源頭上預防風險來消除這類風險。還有一些風險是企業經常遇見的，風險收益的權衡可接受，但如果管理層不采取一定的行動，則不可接受。一些風險可以通過保險、套期保值、衍生工具轉移給別人，或通過合營、聯盟和定價手段來分攤。內部審計人員判斷風險管理措施是否恰當，最好結合對管理層風險偏好判斷來進行：第一，欲避免某種風險也許不可能；第二，采用規避風險方法最經濟，以使內部審計參與風險管理相關問題研究收益小于控制成本；第三，避免一項風險可能產生另外新的風險。對于風險控制與抑制的評價，內部審計人員需要對內部控制設計的健全性、執行的有效性進行測試而評價。對風險轉移措施的評價應當考慮各種風險轉移形式的優缺點。如果企業采用風險接受措施，內部審計人員則可根據三個條件來判斷企業管理層采用的合理性：處理風險的成本大于承擔風險所付出的代價；估計某種風險可能發生的重大損失本身可以安全承擔；不可能轉移于他人的風險或不可能防止的損失。

　　六、內部審計評價控制活動的科學性和合理性

　　許多風險可以通過經營過程的規劃來控制，這些規劃限制或減少所面臨風險的可能性或量值。許多對交易和資產保護控制的內部控制程序或控制活動都是企業風險控制活動的例子。內部控制的時間一般應該針對總體和具體控制而言，因而分為一般（總體）控制和具體（應用）控制。總體控制從控制環境角度對組織業務進行總的控制；而具體控制則針對具體的程序和活動。如對采購業務進行控制，總體控制在設計時將這項業務分為招標、核定供應商名單一覽表、對采購發票與合同一一核對、驗收入庫等具體活動，要求各活動間職責分離，而通過招標選擇供應商只針對購貨這一業務，這就是具體控制。內部審計人員應該從如下方面評價控制活動的科學性、合理性：一是審查相關交易過程的控制措施。好的內部控制的設計必須保證每項交易都備有證明文件，保證拒絕非法的交易，保證所有合法的交易能夠被正確地處理。二是總體控制與具體控制。總體控制的缺乏會使具體控制失效。設計具體控制時，必須同時考慮相關的風險、報告的風險和發生的頻率。三是多重控制。為防止一項控制措施不能發現和糾正錯誤的可能性，應設計多重控制。這里包括授權、職務分離、憑證、接觸、實物清查等幾個方面同時或交替的控制設計。四是對成本與效益原則的考慮。內部控制的設計應該遵從成本與效益原則，即將缺乏控制導致的損失與建立和實施控制的成本相比較，在尋求內部控制的獨立性、有效性的同時，力求簡潔與低耗。

　　七、內部審計評估信息與溝通的有效性

　　作為一個充滿了生命跡象的有機體，組織的生存與發展牽涉到它的“健康”問題。影響組織健康的因素是多種多樣的，而對于當前大多數企業而言，溝通機制的缺乏或低效率是影響組織健康的重要因素。有研究表明，組織內部存在著溝通的位差效應，即領導層的信息一般只有20%-25%被下級知道并正確理解，從下到上反饋的信息更是不超過10%；而平位論文內部審計參與風險管理相關問題研究交流的效率則可以達到90%以上。組織中的信息不通暢、員工的情感或情緒問題得不到合理宣泄和回應，天長日久就會沉淀淤積，導致組織有效運行障礙和日后組織病變。因此，有效的溝通機制可謂是企業的安全閥，當企業內部不利于組織的能量達到一定程度時，它能以適當的通道來釋放這些能量。從而始終保持組織運行中的動態平衡。在一個組織中最重要的是：高層管理者的戰略、目標意圖能否自由、迅速、通暢地傳遞給下級，并且下級是否能充分理解上級的意思表達，并將意見充分反映到上級。而管理層對員工意見的獲取和采納程度，以及組織是否有多種溝通道都成為內部審計人員關注的焦點。企業內部有多個主體都需要獲得風險評估和風險管理過程的相關、可靠的信息。管理層想要獲取信息，并可靠地告知他人，以證明自己正在履行受托經濟責任和法律責任。管理層也希望員工能夠適當獲取其所面臨風險的信息，并將日常經營中出現的例外事項告知管理層。履行監督職責的審計委員會及外部董事通過確認風險得到恰當管理而得到安慰，他們也可以利用內部審計部門的確認報告作為其已經履行職責的證據。在一個組織中最重要的是：高層管理者的戰略、目標意圖能否自由、迅速、通暢地傳遞給下級，并且下級是否能充分理解上級的意思表達，并將意見充分反映到上級。而管理層對員工意見的獲取和采納程度，以及組織是否有多種溝通道都成為內部審計人員關注的焦點。企業內部有多個主體都需要獲得風險評估和風險管理過程的相關、可靠的信息。管理層想要獲取信息，并可靠地告知他人，以證明自己正在履行受托經濟責任和法律責任。管理層也希望員工能夠適當獲取其所面臨風險的信息，并將日常經營中出現的例外事項告知管理層。履行監督職責的審計委員會及外部董事通過確認風險得到恰當管理而得到安慰，他們也可以利用內部審計部門的確認報告作為其已經履行職責的證據。除了那些直接負責規劃和實施企業風險管理的人外，其他人也有興趣獲知風險和風險管理的信息。供應商、消費者及員工都希望獲得關于組織的風險及風險管理過程的確認信息。另外，投資者和債權人、潛在投資者及負責管理企業的管理機構也都想獲得確認信息，作為減少意外信息及資產損失的一種方式。上述所有主體都對風險及風險降低的過程感興趣，并且都想得到高質量的風險管理正在發揮作用的確認信息。但是他們的具體需求不同。因而，內部審計驗證信息的準確可靠性時需要予以權衡，要評價信息能否被適當主體獲取。

　　八、內部審計評估風險監控的有效性

　　內部審計對風險管理的監控實際上就是判定高級管理層的風險管理業績的優劣，在這個過程中，內部審計人員要對風險評估過程進行再次評估，并為企業的風險管理提出改進建議，實現其增值功能。通常，風險監控是對意外情況和情況變化的持續監控，IIA的最新分析工具-分解（decom Positfon）在風險監控方面有很好的作用，并且非常適合管理會計師用于風險評估，以及內部審計人員在監控風險時運用。分解方法將經營計量系統記錄的業績與計劃和預算中的預期業績以及同一時期的競爭者進行比較，是監控風險環境變化的一種有效方式。與預期值的差異可以按其原因或“起源”按內部審計參與風險管理相關問題研究來解釋，或者用風險分析中所指出的、環境或經營條件的變化超出了限度來加以解釋。對原因進行相關、及時地計量和剖析便于管理層及時做出反應，也能更好發揮內部審計咨詢方面的增值功能。

　　內部審計參與風險管理是內部審計的最新發展方向，其不僅為內部審計自身的發展提供了契機，而且有利于企業在市場競爭中處于優勢地位，這是一個雙贏的結局。隨著企業經營環境的越來越復雜，風險管理技術會不斷發展，同時內部審計本身和相應的審計技術也會向前發展，而內部審計參與風險管理的研究將來會有更廣闊的前景。同時隨著實踐的發展，希望有更多的實務工作者加入研究的行列，不僅能豐富這方面的理論研究，更能提高研究結論的可行性。