一、风险管理    风险管理自被提出以来，一直主要应用于金融领域。而企业的风险管理大范围受到重视仅近30年，其发展历程大致为：20世纪70年代，企业风险管理只是单一的信用风险管理；20世纪80年代，企业风险管理主要是针对投资风险和财务风险的分散和回避；进入20世纪90年代，企业越来越重视风险和风险管理，全面风险管理等被提出并付诸实践。1992年，COSO（Committee of Sponsoring organization）委员会发布了《内部控制——整体框架》，在此基础上，该委员会于2004年提出了《企业风险管理——整合框架》（企业风险管理简称ERM），认为企业风险管理是一个过程，由企业的董事会、管理层和其他人员共同参与实施，应用于企业战略制定和企业内部的各层次和部门，贯穿于企业之中；风险管理的目的在于识别可能对企业造成潜在影响的事项,并在风险偏好范围内管理风险，以将其限制在风险容忍度内,为企业实现目标提供保证。    ERM风险管理框架的要素“内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控”，实际就是对风险管理过程的诠译，在这八个要素中，事项识别、风险评估、控制活动及监控与内部审计有直接的关系。基于以上分析，得出风险管理的基本理念就是识别风险、评估风险和控制风险，这与近年来倡导的风险导向审计理念有共同之处。风险管理活动应该贯穿于内部审计工作的全过程，特别是年度审计计划的制定更应体现对企业风险的控制，将有限的审计资源重点投放到高风险的领域。    二、内部审计在风险管理中的作用    国际内部审计师协会(IIA)认为内部审计是一种独立、客观的确认和咨询活动，它通过应用系统、规范的方法，评价并改善组织的风险管理、控制和治理过程的有效性，帮助组织实现目标。显而易见，随着客观环境的发展，内部审计已将评价和改善组织的风险管理作为其重要职能之一，内部审计人员必须树立风险理念，将风险识别、评价和控制融入到实际工作中。按照COSO的ERM报告，在风险管理过程中,内部审计机构和人员的职责是应用一定的风险管理方法和审计方法，检查风险管理过程的充分性和有效性，评估风险是否得到有效控制，且以报告形式提出意见,为管理层及审计委员会提供帮助。    虽然COSO和IIA都强调了内部审计在风险管理中具有重要的地位和作用，但我们也发现，事实上无论IIA还是COSO都没有对内部审计如何具体参与企业风险管理作出相应的阐述。针对企业的风险管理的具体情况来看，内部审计参与风险管理是一个逐步发展的过程，在不同的阶段中,内部审计的工作的侧重点各有不同。    企业未建立风险管理机制时,作为职能部门，内部审计应积极向管理层提出建立风险管理机制的建议。提请管理层关注风险。并且内部审计工作计划应该是在风险分析的基础上制定。如果企业管理层提出建立风险管理机制的要求，内部审计部门可以通过咨询服务的方式，积极协助企业风险管理过程的建立，内部审计人员可以运用对企业内部情况比较了解的优势和专业知识，从独立客观的角度为审计委员会和管理层提供有价值的咨询服务。内部审计可以通过指导管理层和相关业务部门对风险进行识别与评估，明确管理层的风险偏好和风险容忍度，并相应地做出风险应对等方式来协助管理层建立风险管理机制，促进企业的风险管理水平的提高。如果企业建立了风险管理机制，内部审计就可以将对风险管理的评价作为审计工作的内容之一，以检查、评价企业对风险管理的适当性和有效性。内部审计人员应当对风险识别过程、风险评估的方法、风险应对措施进行审查与评价,审查评价风险管理过程的充分性适当性和有效性，并对于风险管理过程存在的问题提出改进建议。    ERM将企业的内部审计人员推上非常重要的地位，认为内部审计人员可以通过对管理者风险管理过程的充分性、适当性和有效性进行监控、检查、评估、报告和提出改进建议来帮助管理层和董事会履行其职责。实际工作中，内部审计通常并不将企业的风险管理过程作为一个专门审计项目予以开展，其原因在于风险管理措施、手段与企业的内部控制整体不可分割，因此内部审计参与风险管理仍然体现在项目选择和项目实施中。其中项目选择更加突出体现风险管理理念，项目选择实质上就是年度审计计划的制定。可以说，将风险管理理念和方法融入内部审计年度审计计划的制定是科学合理的选择。    三、运用风险管理理念制定年度审计计划的基本原理及方法