先看两张图，图一是某集团公司风险管理部的职能架构，图二是风险管理体系的架构，包括风险管理部、审计部、合规部。

有人看了这两张图，会猜出这个集团公司是金融企业，是的没错，而且还是大型的金融企业。金融行业的监管机构会专门出台风险管理、合规管理、内部审计的相关制度要求。对于大型银行、保险公司等金融企业，都会分设风险管理部、合规管理部、内部审计部三个部分。尽管分设三个部门，尽管分属于二、三道防线（也有把风险管理部、合规管理部放在第一道防线的），但是三个部门在风险管理上还是有交叉。

图一

图二

现代审计理念提倡以风险为导向。实际工作中，审计人员也会进行风险评估，像图二所示，审计部门的风险评估主要是针对运营风险的评估或评价上。即使审计部门要对组织的整个风险管理体系进行评价，基本上也只是针对组织架构是否健全、是否按照制度、流程开展工作，具体到风险模型设计是否合理、风险监控是否起到效果，这对审计部门提出了挑战。

审计部门在组织风险管理中发挥什么作用？充当什么角色？这要先看内部审计在组织风险管理中的位置。

有人把内部审计包含在风险管理当中，见图三：

反过来，内部审计对组织的风险管理和内部控制进行监督和评价，见图四：

那么，现实中内部审计究竟在组织里可以充当什么角色呢？我们看看能不能做到这几点：

一是风险管理的宣导者。既然现代审计以风险为导向，审计工作目标之一也是为了促进组织风控水平的提高，那么审计部门就有风控宣导的责任。审计部门要通过宣导，尤其对业务部门和经营单位，让大家具备风险防控、合规意识，掌握防范风险的方法。

二是风险分析的践行者。审计部门既然以风险为导向，就要对内外部风险进行全面识别、评估和分析，将风险分析结果运用于审计计划制定、审前准备、审计方案制定、审计实际检查等环节。审计部门要扩大信息技术的应用，要不断建立和完善风险分析模型，通过在信息系统上的运行获得有价值的风险信息和风险范围。

三是风险信息的提供者。审计部门不能把风险分析的结果只用于审计检查，必要时还可以把风险预警信息提供给风险管理部门或业务部门，以引起其关注和采取防范措施。审计部门在审计检查中获取的风险信息，如果是系统性风险或重大风险信息，需要及时提供给决策层和管理层。

四是风险评估的运用者。风险管理部门或风险评估相关部门会定期、不定期开展风险评估，审计部门可以获取评估结果，在审计检查中进行运用、验证，这样既能为风险评估部门提供验证信息，又能节省审计部门的精力避免重复投入。

五是风险预警的吹哨者。由于审计的独立性以及专业优势，更能够全面、客观地发现风险，揭示风险，也更适合在危害组织利益的风险来临之前，或者风险还在萌芽状态，做一个风险预警的吹哨者，使管理层认识到风险，及早制定应对风险的策略。

六是风险管控的参与者。风险管控是系统工程，需要组织每一个部门、业务单位都来参与。审计部门不能只查问题，而不去提供风控的建议。审计部门还应该与业务部门、风险管理部门、合规内控部门加强联系、交流和沟通，共同筑起风险的防线。

七是风险知识的学习者。做好风险管理和风险导向审计，风险识别、风险评估非常重要，这就需要审计部门加强风险和风险管理知识的学习，还应该把风险管理中的一些分析工具运用到审计分析和检查中去。

来源：审计实践 作者：strongrabbit

（责任编辑：韩福恒）