漫话风险管理那些事(续)

上篇中的风险导向审计的概念更侧重外部审计（事务所审计），而对内部审计而言，内部审计与风险管理是什么样的关系？内部审计与风险管理都与风险有着千丝万缕的联系，但是内部审计的职能与风险管理的职能各不相同，职责应该界定清楚，做到各司其职，以避免组织职能的无边界交叉。内部审计专业实务框架指出了内部审计在风险管理中的作用。

2120—风险管理指出内部审计必须评估风险管理过程的有效性，并对其改善作出贡献。

2120.A1—内部审计部门必须评估下列与组织治理、运营及信息系统有关的风险；

组织战略目标的实现；

财务和运营信息的可靠性和完整性；

运营和程序的效率与效果；

资产的安全；

对法律、法规、政策、程序及合同的遵循情况。

2120.A2—内部审计部门必须评估发生舞弊的可能性以及所在组织如何管理舞弊风险。

2120.C1—在开展咨询业务时，内部审计师必须关注与业务目标相关的风险，并警惕其他重大风险的存在。

2120.C2—内部审计师必须将开展咨询业务过程中了解到的风险情况运用于评估组织的风险管理过程。

2120.C3—协助管理层建立或改善风险管理过程时，内部审计师必须避免在实际工作中对风险进行管理，从承担任何管理层的责任。

内部审计不应参与以下活动，否则影响其独立性。

1、确认风险偏好

2、强制实施风险管理过程

3、管理层对风险的确认

4、决定风险应对

5、以管理层的名义实施风险应对

6、问责风险管理

内部审计是风险管理的第三道防线，主要职责是对公司治理、风险管理和内部控制的有效性提供独立的确认，向治理层报告，具有较强的独立性。

风控部和其他合规部门是风险管理的第二道防线，主要职责是风险管理和合规控制，向高级管理层报告，独立性较弱。

业务运营部门是风险管理的第一道防线，对风险管理和控制承担直接责任，不具有独立性。

而现实中，基于成本效益等诸多因素的考虑，风控部很少在企业中配置，有时风险管理的职能划归内审部门，混淆了组织职能职责的边界，从而降低了内部审计的独立性。

参考资料：国际内部审计专业实务框架。