作者：iadit.c…2006-10-315:49:39来源：中内协

2004年可能对很多人仍然记忆犹新，震惊国内外的“中航油事件”，以及同期发生在国内的伊利股份高管被拘、创维数码董事局主席被捕以及金正数码和深圳石化原董事长被捕等事件敲响了业界要求加强风险管理的警钟。而这两年来一系列与内部控制、风险管理相关的政策法规的密集出台及企业内部控制标准委员会的成立，无一不彰显了各界对内部控制与风险管理制度要求的高起点和高标准。种种迹象表明，中国版“萨班斯法案”已经进入倒计时，企业内部控制和风险管理的制度体系建设也由此进入最关键时刻。

中央企业、上市公司对如何建立有效的企业风险管理体系借以防范风险已提到议事日程。对此，中国期货业协会会长田源认为，企业风险管理机制的建立，关键不在于机制本身，而在于有没有被落实。中国内部审计协会王道成会长在今年9月27日“内部控制与风险管理创新高峰论坛”上提出，应充分发挥内部审计在完善公司治理、健全内部控制机制、加强风险管理当中的职能作用，倡导和推进内部审计从传统的财务收支审计、单独的查错防弊向以风险管理和内部控制为导向的管理审计转变。因此，对于内部审计人员来说，最大的挑战是在企业风险管理过程中扮演何种角色？

一、风险管理：国外的理论与实务动态

1995年2月27日，英国巴林银行宣告破产，表面上看是市场风险，交易员在日经指数期货合约和期权合约上建立的巨额头寸因神户大地震导致市场大幅波动而暴仓，但实质上暴露了这家百年老行所谓严密的风险管理系统和严格的交易风险控制策略仅是一层窗户纸，一捅就破。1990年以来，相继发生震撼世界的墨西哥、巴西、亚洲金融危机，如同多米诺骨牌效应对世界经济产生了巨大影响。而这一系列危机多发生在发展中国家，其重要原因之一在于发展中国家对金融风险管理不够重视，发达国家在理论研究与实践中已经逐步建立起对金融风险从识别、衡量、评价到控制管理的一套完整的体系。

“安然”、“世通”破产事件促使了美国《萨班斯法案》的出台，2004年发布的《新巴塞尔协议》标志着当代商业银行风险管理模式发生了彻底“革命”，即由以前单纯的信贷风险管理模式转向信用风险、市场风险与操作风险并举，组织流程再造与技术手段创新并举的全面风险管理模式。而2004年9月发布的企业风险管理（ERM）框架，是在1992年COSO报告基础上，结合《萨班斯法案》的相关要求扩展得到的。在ERM框架中，要求内部审计人员在监督和评价成果方面承担重要任务，评估风险管理要素的内容和运行以及执行质量，协助管理层和董事会履行其职责。

IIA1999年的新定义将风险管理纳入了内部审计的工作范围。IIA认为内部审计师应该通过检查、评价、报告风险管理过程的适当性和有效性并提出改进建议来协助管理层和审计委员会的工作。2001年亚洲内部审计联合会组织的亚洲内部审计大会主题是：新经济对内部审计的挑战——风险管理与公司治理。大会提出，在新的经济形势下，内部审计必须继续关注组织管理层的需求，了解组织的风险，并对风险管理进行评估。

总部位于纽约的雅芳公司就是一个例子。他们提出：内部审计部门的目标是成为运营部门和公司管理层的业务伙伴。审计主管Hdson说，根据公司战略行为和目标调整审计策略，在新的业务风险降临时，设法从开始就介入，并通过雇佣有经验的员工执行原本草率行事的初始检查。内部审计部门通过引导公司改进审计计划来关注公司全面的业务风险。当内部审计向控制、管理方向发展时，内部审计人员作为高层次的监督、管理人员，当然以“咨询顾问”、“业务伙伴”的角色为公司增加价值，而不会使内部审计部门成为“花瓶”或仅仅临场“救火”。

二、围绕中国风险管理的发展，拓展内部审计新思路

1995年的“327国债事件”被称为“中国的巴林事件”，由于当初的交易所忽略了最基本的风险管理，直接导致国债期货暂停，这使我国在金融衍生产品上的第一次试点以失败告终。而2004年的“中航油”与2005年的“国储铜”事件，也是因石油和金属期货市场风险导致企业的重大损失。相应的机构在出现风险事件前均存在“完备”的风险管理政策和程序，其中2003年中航油公司曾被新加坡证券监督部门列为“最具透明”的企业，说明公司确实在细节方面的内部控制设计得非常周到，然而由于未能做到政策和程序的严格执行，高管层未将主要精力放在风险管理上，最终累计亏损达5.54亿美元。

2005年是中国金融业的“风险管理年”，包括银行在内的各类金融机构都在加大风险管理力度。自2005年10月中国证监会首次出台《关于提高上市公司质量意见》开始，到今年5月17日发布《首次公开发行股票并上市管理办法》，这是首次对上市公司内部控制提出要求。6月5日上交所、9月28日深交所分别出台针对上市公司内部控制和风险管理制度的《上市公司内部控制指引》。德勤风险管理专家认为，上交所指引比《萨班斯法案》的控制过程更复杂，新增“目标设定、风险确认、风险管理策略选择”，尽管不像《萨班斯法案》已经上升到法律高度，但是其要求的内控框架更高。

国资委、银监会、保监会最近都动作频频。国资委今年6月6日发布了《中央企业全面风险管理指引》，促进建立健全中央企业的风险管理长效机制。银监会从2004年底到现在连续公布《商业银行市场风险管理指引》、《商业银行内部控制评价试行办法》、《市场风险监管现场手册》以及最新《商业银行合规风险管理指引》、《银行业金融机构信息系统风险管理指引》，引导银行业加强公司治理，提高风险管理的有效性，应对银行业对外开放的挑战。保监会也即将出台包括《保险公司风险管理指引》等一系列规章制度，旨在推动保险公司建立一套实施风险管理的组织体系和程序化的管理方式。

可以说，偌大的一个风险管理市场即将应运而生，但是对于实行企业范围内的全面风险管理而言，并不存在一本类似菜谱的方法。风险管理的成功取决于企业文化、风险管理机构和风险识别程序。全面风险管理机制只有在健全的内部控制体系下，才能更好的实现目标。中国内部审计协会在2005年5月发布了第16号“具体准则—风险管理审计”，提出内部审计人员可以从企业整体和职能部门层面上对风险管理进行审查和评价。内部审计人员比较熟悉企业的生产、经营管理等活动，容易发现问题，并有能力参与评估企业存在的风险。结合李金华审计长今年提出的把内部审计作为一个控制系统，在企业管理尤其是风险管理、内部控制以及公司治理方面，突出内部审计在公司运营中的地位和作用，定期对公司的风险管理过程进行评价和报告，增强风险意识，保证各项风险管理措施不会出现“说的时候重要，做的时候次要，忙的时候不要”这种情况的发生。（殷丽丽）

中国内部审计协会

内部审计发展研究中心