企業應如何開展風險管理審計

張濤

摘 要：經濟環境的復雜變化使各企業面臨更多的不確定性因素，重視風險、主動管理風險成為現代企業經營管理的重要部分。為確保風險管理有效性，開展好風險管理審計逐漸成為一種內在需要。實施風險管理審計不僅有利于提高風險管理能力，更好地應對內外環境變化帶來的不確定性，更有利于改進內部審計工作，并提高內部審計在組織治理結構中的地位。文章對如何開展風險管理審計進行了探討，并對風險管理審計內涵、內容、程序和方法進行了綜述。

關鍵詞：風險管理 風險管理審計 評價

中圖分類號：F239.6 文獻標識碼：A

文章編號：1004-4914（2014）02-117-02

一、引言

國資委2006年發布《中央企業全面風險管理指引》，極大地推動了風險管理工作在國內企業特別是在國有大中型企業的應用。風險管理屬于新的管理活動，其理論在不斷深化、方法在不斷豐富，風險管理已成為組織治理必不可少的一部分。內部審計機構承擔了風險管理職責，開展基礎體系建設、業務風險管理等系列工作，以風險和內控為角度開展審計，發揮出對風險管理工作的監督、評價職能。為了確保風險管理的有效性，眾多優秀企業已逐步開展風險管理審計，這一類型審計成為內部審計發展的一個亮點和趨勢。

二、風險管理審計的基本概念、價值

我國內部審計工作正在從傳統的財務賬項審計向到現代管理審計轉變，內部審計將更加貼近企業的各項管理，更加融入管理的過程之中。風險管理審計是內部審計的組成部分，是管理審計中新的審計類型。它是內審部門采用系統化、規范化的方法，對承擔風險管理職責的部門所制定的應對程序、對策方案以及機制的合理性與有效性進行監督、評價和咨詢，以改進企業對風險的管理、增進企業價值的一種審計類型。

風險管理審計的目標主要包括：范圍的科學合理性；評價標準與指標體系的科學性；識別與評估的科學合理性；措施、方法與程序的合理性；風險應對的合理性等。與傳統內部審計相比，風險管理審計的范圍由內控審計擴展到所有風險管理技術審計，它更加注重確認和測試風險管理部門為降低風險而采取的措施及效果。

開展風險管理審計可以使組織利益相關者了解組織風險現狀，保障各利益相關者共同利益最大化，也可以進一步提高風險應對方案效率、效果，提高內部審計工作的針對性，實現風險管理與組織整體經營戰略的優化結合。

三、風險管理審計的主要內容

從風險管理審計的內涵可以看出風險管理審計的主要任務包括：檢查、評價、報告風險管理過程的適當性和有效性，以提出改進風險管理工作的意見，為企業管理層、審計委員會的提供有用信息。

1.評價風險管理機制。良好的風險管理機制是風險管理是否有效的前提，因此，首先應審計、確定組織風險管理機制的健全性及有效性，包括但不限于組織體系、內控體系、報告體系和考核體系。（1）審計風險管理組織機構健全性。開展風險管理，做好組織和人員保障是一項重要內容。組織應根據自身實際特點，在統一領導、廣泛參與下，搭建職責明確、有效運行的風險管理結構框架，包括風險管理責任人、專業和非專業管理人員、外部服務機構在內的組織體系。（2）審計風險管理程序的合理性。企業應當結合實際建立風險管理的程序流程，確保風險管理的有效性。（3）審計風險管理內控體系的健全性。內控體系在風險管理中占重要部分，屬于核心內容。沒有與組織管理實際相適應的、完整的內控體系，風險管理有效性無從談起。審計人員需要審查被審計單位內控體系構建情況，可以《企業內部控制基本規范》為標準，考察對于各個要素的控制。（4）審查報告體系的存在性及運行有效性。考察日常報告體系及運行、突發風險報告體系及運行、預警報告體系及運行。（5）審查考核體系的執行性、有效性。考察考核體系覆蓋程度及結果應用情況，評價考核體系是否能夠有效推動風險管理工作。

2.審計評價風險識別的過程。審計人員在審計時應注意分析企業風險識別是否結合實際情況充分識別組織內外部所面臨的各項風險。通常來看，應結合風險管理各項環境和內控要素，如就組織目標、經營情況、管理薄弱環節或問題等進行訪談、查閱資料、記錄、歷史案例，應了解風險識別過程中的相關記錄材料并評價其充分性，必要時還應進行分析性復核，對企業經營管理活動與內部控制中所面臨的缺陷進行分析、確認。（1）審計識別原則的合理性。風險識別是風險評估及進行應對的關鍵性第一步。只有采取合適的原則才能更充分地識別出各種風險因素。

（2）審計識別的充分性、全面性與否。風險管理審計需要評價相關風險資料是否涵蓋了對組織各層次目標產生影響的所有內部、外部風險。內部風險主要來源于組織治理機構效能、管理的局限，業務控制失效、產品或服務銷售策略、經營活動和業務特點、資產性質及其管理局限、人員知識結構、專業經驗等方面。外部風險主要來源于國家法律法規政策變化、宏觀經濟環境變化、行業變化、競爭環境等方面。（3）審計識別方法的適當性。審計人員應對各種風險做系統地分析與歸類，形成企業風險框架，并結合管理實際特點，對企業風險識別方法的適當性進行審查，評價該方法能否適當地識別出對各層目標有針對性的風險。

3.審計評價風險評估過程。風險評估是應用各種工具方法，定性或定量地估計風險發生的概率及其影響程度。審計人員應實施必要的審計程序，特別是要關注“風險發生概率”和“風險對企業目標產生的影響程度”兩個要素確定的方法、記錄、過程，并分析其合理性。（1）風險識別所反映的特征分析。不同企業所具有的風險具有一定的差異性，對風險評估過程進行評價，因不同的風險所應采取的評估方法不盡相同，審計人員應首先對企業風險識別結果所具有的特征進行了解，如哪些是內部原因所產生的，哪些是外部原因所產生的，哪些是與戰略、核心業務、支撐性業務相關的風險，哪些是與企業價值鏈關系密切的風險。

審計人員在對風險評估方法審計時，應考慮風險特征來評價評估方法的適當性。如已識別風險可用定量方法評估風險的嚴重程度，審計人員需要判斷描述風險事件影響的“數量”是否恰當；如無法定量表示，審計人員應判斷管理層所定的“性質”是否合適合理。（2）歷史資料的可信賴程度。企業（下轉第119頁）（上接第117頁）管理層多數依據歷史已發生的案例、風險事件為參照標準、參考對象進行風險評估，審計人員應考慮歷史資料的充分性、可靠性，充分論證案例發生環境、各相關因素、結果發生條件等是否能夠恰當地借鑒到當期的風險評估中。（3）判斷企業開展風險評估的能力。開展風險評估的水平高低與企業管理層對風險評估方法的理解、運用有密切關系。審計人員應對企業管理層運用定量定性方法的能力、對所依靠的數量模型、信息技術、個人經歷經驗進行了解，考慮評估過程中企業管理層運用是否恰當。（4）對成本、效益進行權衡。管理層在運用定性或定量方法開展風險評估時應考慮評估方法成本、效益性。審計人員需要對管理層選用方法的成本效益性予以考量。endprint

4.審計評價風險應對措施。審計人員在評價企業風險應對措施的適當、有效性時，應考慮以下方面：（1）剩余風險是否在可接受的范圍。一般企業對固有風險具有相應的管控措施，風險應對措施應主要針對剩余風險。因此，審計人員應評價在采取應對措施后剩余風險能否在組織可接受范圍內。如果已將風險降低到企業可接受的范圍，可以確認風險應對措施有效。（2）是否結合企業的經營管理實際。每個企業風險應對措施會有所不同，這是基于企業管理實際狀況而定。如果不適合自身特點，就不是恰當的應對措施。審計人員應考慮企業經營管理特點，對所采取措施的適當性做出評價。

四、風險管理審計程序和方法

1.在計劃階段，識別經營風險，制定風險管理審計計劃。通過了解被審計單位的經營，識別經營風險。如了解企業性質、管理機制、業務內容、經營范圍、組織結構、人員組成等，建立對企業框架性的認識；通過查閱企業文件、規章制度，了解各項管理要求；訪談各級領導、骨干員工等主要人員，全面了解風險管理現狀；現場查閱各種經營生產過程原始記錄，審計審核、批準等管理控制程序。初步確定風險管理薄弱環節，編制審計工作計劃。

2.在實施階段，審查、評價風險管理狀況。在實施階段，圍繞風險管理審計的主要內容，審查和評價風險管理狀況，包括風險管理機制、風險識別過程、風險評估以及風險應對措施的審查和評價四個方面。

3.在審計報告階段，出具風險管理審計報告，開展后續審計。按照審計過程中發現情況，依據《風險管理審計準則》出具風險管理審查和評價報告、或者出具詳盡的專項審計報告，將風險管理審計的范圍、內容、方式、時間以及發現的主要問題及建議報告給適當的管理層。

由于多數企業風險管理職能由內審部門承擔，因此審計人員的審查評價結果可作為改進和完善風險管理工作的一項重要依據。為保證、監督風險管理審計提出的合理化建議能夠得到有效落實，內審人員可以通過后續審計來復查管理層是否就報告中的建議采取合適的行動，是否取得預期效果，如果未采取行動，需要明確相應責任和原因。

4.審計過程中常用的方法。在風險管理審計不同任務階段，可采用的審計方法有所不同。如，在制定審計計劃時，可通過流程圖法和文字表述法、問卷調查法（編制風險管理問卷調查表）、關鍵路線法確定風險管理審計開展的重點；在審查評價風險識別時，可采用決策分析、可行性分析、生產流程分析、投入產出分析、資產負債分析、排列圖、因果分析、因素分解、經濟活動分析法和統計分析法、魚刺圖、專家調查列舉法等；在衡量風險管理措施時可使用專家調查法、風險報酬法、風險當量法、蒙特卡羅模擬方法；在后續審計階段，可以通過座談、查閱有關資料、現場觀察等進行審計。

五、結語

風險管理審計處于發展探索階段，很多企業還沒有形成常規性審計類型，甚至尚未開展。當然，風險管理審計發展還面臨很多問題。如組織結構及制度不健全，管理層對風險管理審計重要性認識不足，尚未建立科學合理的風險管理評價標準，開展風險管理審計的人員業務結構和經驗等條件無法滿足風險管理審計需要。

隨著組織內外環境變化日益加快，風險管理工作逐漸提升到重要層面是一個重要趨勢。作為風險管理的再管理，風險管理審計的廣泛開展需要強化風險管理工作，制定切合實際的風險管理評價標準，明確審計部門開展風險管理審計的重要作用，提高審計人員勝任力，培養高素質審計人才，將風險管理審計常態化。

參考文獻：

[1] 高東坡.內部審計如何參與企業的風險管理.商場現代化，2007（9）

[2] 靳建堂.風險管理審計初探.現代企業風險管理論文匯編，2005

[3] 李曉光.淺議企業風險管理審計.經濟師，2011（5）

[4] 錢光明，陳德艷.論我國企業風險管理審計.商業會計，2011（33）

[5] 萬文鋼.對風險管理及風險管理審計的認識和理解.中國內部審計，2010（9）

[6] 汪振綱.風險管理審計理論述評.風險與內控，2010（2）

[7] 夏丹寧.推進風險管理審計的思路.中國內部審計，2004（12）

[8] 謝浩，尹珍麗.風險管理審計常用方法解析.時代經貿，2010（10）

[9] 朱奇云.關于風險管理審計在我國運用的思考.中國市場，2008（48）

（作者單位：中國航空工業集團公司北京航空材料研究院 北京 100000）

（責編：若佳）endprint