先看两张图，图一是某集团公司风险管理部的职能架构，图二是风险管理体系的架构，包括风险管理部、审计部、合规部。有人看了这两张图，会猜出这个集团公司是金融企业，是的没错，而且还是大型的金融企业。金融行业的监管机构会专门出台风险管理、合规管理、内部审计的相关制度要求。对于大型银行、保险公司等金融企业，都会分设风险管理部、合规管理部、内部审计部三个部分。尽管分设三个部门，尽管分属于二、三道防线（也有把风险管理部、合规管理部放在第一道防线的），但是三个部门在风险管理上还是有交叉。

图一

图二

现代审计理念提倡以风险为导向。实际工作中，审计人员也会进行风险评估，像图二所示，审计部门的风险评估主要是针对运营风险的评估或评价上。即使审计部门要对组织的整个风险管理体系进行评价，基本上也只是针对组织架构是否健全、是否按照制度、流程开展工作，具体到风险模型设计是否合理、风险监控是否起到效果，这对审计部门提出了挑战。

审计部门在组织风险管理中发挥什么作用？充当什么角色？这要先看内部审计在组织风险管理中的位置。

有人把内部审计包含在风险管理当中，见图三：

图三

反过来，内部审计对组织的风险管理和内部控制进行监督和评价，见图四：

图四

那么，现实中内部审计究竟在组织里可以充当什么角色呢？我们看看能不能做到这几点：

1.风险管理的宣导者。既然现代审计以风险为导向，审计工作目标之一也是为了促进组织风控水平的提高，那么审计部门就有风控宣导的责任。审计部门要通过宣导，尤其对业务部门和经营单位，让大家具备风险防控、合规意识，掌握防范风险的方法。

2.风险分析的践行者。审计部门既然以风险为导向，就要对内外部风险进行全面识别、评估和分析，将风险分析结果运用于审计计划制定、审前准备、审计方案制定、审计实际检查等环节。审计部门要扩大信息技术的应用，要不断建立和完善风险分析模型，通过在信息系统上的运行获得有价值的风险信息和风险范围。

3.风险信息的提供者。审计部门不能把风险分析的结果只用于审计检查，必要时还可以把风险预警信息提供给风险管理部门或业务部门，以引起其关注和采取防范措施。审计部门在审计检查中获取的风险信息，如果是系统性风险或重大风险信息，需要及时提供给决策层和管理层。

4.风险评估的运用者。风险管理部门或风险评估相关部门会定期、不定期开展风险评估，审计部门可以获取评估结果，在审计检查中进行运用、验证，这样既能为风险评估部门提供验证信息，又能节省审计部门的精力避免重复投入。

5.风险管控的参与者。风险管控是系统工程，需要组织每一个部门、业务单位都来参与。审计部门不能只查问题，而不去提供风控的建议。审计部门还应该与业务部门、风险管理部门、合规内控部门加强联系、交流和沟通，共同筑起风险的防线。

6.风险知识的学习者。做好风险管理和风险导向审计，风险识别、风险评估非常重要，这就需要审计部门加强风险和风险管理知识的学习，还应该把风险管理中的一些分析工具运用到审计分析和检查中去。