淺議企業(yè)風險管理審計

師煥榮

摘要：2018年3月，審計署頒布實施《關(guān)于內(nèi)部審計工作的規(guī)定》，正式將風險管理列入內(nèi)部審計法定職責。作為企業(yè)內(nèi)部審計，通過研究企業(yè)風險管理審計實施必要性、審計的主要內(nèi)容及步驟方法等，有利于發(fā)揮內(nèi)部審計在提高風險管理、實現(xiàn)經(jīng)營目標、增加組織價值等方面的重要作用。

關(guān)鍵詞：內(nèi)部審計;風險管理;風險管理審計

按照國資委2006年6月出臺的《中央企業(yè)全面風險管理指引》要求，企業(yè)風險管理工作已全面開展。2018年3月，審計署頒布實施《關(guān)于內(nèi)部審計工作的規(guī)定》，正式將風險管理列入內(nèi)部審計法定職責。作為企業(yè)中的內(nèi)部審計，有效開展風險管理審計是參與企業(yè)全面風險管理工作的重要途徑和手段。

一、企業(yè)實施風險管理審計的必要性

（一）企業(yè)發(fā)展的需要

企業(yè)在其生存和發(fā)展過程中，會受到各種風險威脅。充分利用企業(yè)自身內(nèi)部審計資源開展企業(yè)風險管理審計，可以實現(xiàn)對企業(yè)風險管理的有效監(jiān)督與評價，并及時做出反饋，進而實現(xiàn)企業(yè)風險管理目標，確保企業(yè)的持續(xù)健康發(fā)展。

（二）企業(yè)風險管理監(jiān)督評價的需要

企業(yè)開展全面風險管理，效果如何、管理如何，是企業(yè)管理高層關(guān)心的問題。內(nèi)部審計部門獨立于企業(yè)其他管理部門，熟悉企業(yè)各個管理流程，可以客觀地對全面風險管理體系建設(shè)及風險管理的合理性、完整性、有效性進行監(jiān)督評價，可以直接向企業(yè)高層做出匯報，審計報告和審計建議更具有權(quán)威性。

（三）企業(yè)內(nèi)審部門實現(xiàn)增值功能的需要

企業(yè)內(nèi)部審計在改革的環(huán)境中，面臨著如何轉(zhuǎn)型，從而實現(xiàn)為企業(yè)增加價值的功能。企業(yè)內(nèi)部審計可以組織評估企業(yè)所面臨的風險及制定控制風險的策略，從風險識別、分析、評估、應(yīng)對、監(jiān)控等方面的及時性、合理性、恰當性、有效性等進行評價，并將評價結(jié)果予以匯報反饋，確保企業(yè)防范控制風險，實現(xiàn)為企業(yè)增值的功能。

二、企業(yè)風險管理審計的主要內(nèi)容

風險管理審計通俗講就是對風險管理情況的審計，按照COSO-ERM框架中企業(yè)風險管理要素的劃分，內(nèi)部審計人員可以從內(nèi)部環(huán)境、目標設(shè)定、風險識別、風險分析、風險評價、風險應(yīng)對、信息與溝通、監(jiān)控等八個方面進行風險管理審計。

在組織環(huán)境和目標設(shè)定審計時，主要的審計事項有：1.是否建立合理的組織結(jié)構(gòu)，配備合適的風險管理人員。2.是否多種方式營造風險管理氛圍、培育企業(yè)風險管理文化。3.是否設(shè)定企業(yè)目標，目標是否切合實際。4.是否合理分解企業(yè)目標，企業(yè)目標發(fā)生偏離，是否有糾正控制措施等。

在風險識別、分析、評價、應(yīng)對審計時，主要的審計事項有：1.是否制定企業(yè)風險評估標準。2.風險是否識別全面，影響企業(yè)目標實現(xiàn)的重要風險是否識別充分。3.風險識別、分析、評價的方法是否合理、恰當。4.企業(yè)風險評估的定性、定量描述是否合理、準確。5.風險應(yīng)對措施是否有效，是否符合成本效益原則，剩余風險是否控制在企業(yè)容忍度范圍之內(nèi)。

在信息與溝通審計時，主要審計事項：1.是否有完整的信息系統(tǒng)支撐企業(yè)信息的管理。2.企業(yè)重大風險事項是否與內(nèi)部和外部進行溝通以達成共識等。

在監(jiān)控審計時，主要審計事項是是否有風險持續(xù)監(jiān)控措施、是否有個別風險評價措施、是否有企業(yè)風險管理監(jiān)控記錄等。

由于企業(yè)風險管理包括組織整體及職能部門兩個層面，內(nèi)部審計既可對組織整體風險管理進行審查與評價，也可對職能部門風險管理進行審查與評價。

三、企業(yè)風險管理審計流程

風險管理審計流程主要分為計劃、實施、報告三個階段，與其它審計流程基本相同。開展風險管理審計，內(nèi)部審計要注重開展后續(xù)審計。

（一）計劃階段—初評企業(yè)風險，制定風險管理審計計劃

內(nèi)部審計不可能去評估組織面臨的所有可能的風險[1]，所以應(yīng)該在了解被審計單位組織結(jié)構(gòu)、業(yè)務(wù)性質(zhì)規(guī)模、單位管理者的管理風格、面臨的內(nèi)外部環(huán)境等經(jīng)營管理情況下，運用“風險因素優(yōu)先策略”等方法，從風險的發(fā)生可能性、出現(xiàn)頻率以及損失額度三個方面分析和評估，一是確定企業(yè)風險的主要存在領(lǐng)域，二是對企業(yè)風險各領(lǐng)域的風險進行初步評估，三是按照風險對企業(yè)的影響進行排序，列出企業(yè)風險管理審計的優(yōu)先順序，編制風險管理審計計劃，配備相應(yīng)的審計人員，詳細全審處于高風險層級的風險因素，不同比例抽審其它領(lǐng)域的風險。

（二）實施階段—審查評估企業(yè)風險管理的充分性、有效性，確定剩余風險

實施企業(yè)風險管理審計，主要從風險管理體系、風險評估過程及風險應(yīng)對措施三個方面審查和評價。

1.風險管理體系的審查與評價

為了確定企業(yè)風險管理機制的健全性及有效性，內(nèi)部審計需要審查風險管理組織機構(gòu)的健全性、管理程序的合理性、風險預(yù)警系統(tǒng)的存在及有效性。采用的主要方式是訪談、文件查閱、問卷調(diào)查等。重點關(guān)注：一是企業(yè)是否建立一個包括全面風險管理領(lǐng)導決策機構(gòu)、組織協(xié)調(diào)部門、監(jiān)督評價部門及業(yè)務(wù)風險責任主體等構(gòu)成的風險管理組織體系。二是已建立的風險管理組織體系是否根據(jù)風險產(chǎn)生的原因和階段不斷地進行動態(tài)調(diào)整。三是企業(yè)是否建立風險預(yù)警機制、及時進行風險預(yù)警分析并對警情采取相應(yīng)的控制措施。

2.風險評估過程的審查和評價

風險評估過程包括風險辨識、分析與評價三個階段。內(nèi)部審計重點關(guān)注：一是評價辨識的風險是否涵蓋了對組織目標實現(xiàn)產(chǎn)生影響的所有內(nèi)、外部風險，是否辨識確認企業(yè)面臨的重大缺陷風險。二是分析評估已識別風險依據(jù)的數(shù)據(jù)、信息等是否真實可靠，是否正確選擇定性或定量的風險評估方法。三是是否根據(jù)企業(yè)風險評估標準，分析和計量風險發(fā)生的可能性、影響程度確定風險的等級，并予以排序找出關(guān)鍵和主要風險。采用的主要方式是分析性復核方法、訪談、抽查、風險清單表等。

3.風險應(yīng)對措施的審查和評價

風險應(yīng)對措施主要有回避、接受、降低、分擔四種。內(nèi)部審計在評價風險應(yīng)對措施的適當性和有效性時，重點關(guān)注：一是風險應(yīng)對措施是否與企業(yè)內(nèi)外部環(huán)境相適應(yīng)，是否符合成本低于效益原則。二是企業(yè)制定的內(nèi)控管理制度是否有具體的內(nèi)容條款等，來應(yīng)對企業(yè)面臨的風險。三是企業(yè)規(guī)章制度是否有效執(zhí)行，管控后的剩余風險水平是否在企業(yè)可接受范圍之內(nèi)。如果風險降低到可接受范圍內(nèi)，那么該風險應(yīng)對措施是有效的。

（三）報告階段—出具審計報告，開展后續(xù)審計

1.出具審計報告

風險管理審計報告是風險管理審計工作的最終成果和表現(xiàn)形式。重點要根據(jù)審計情況，評價企業(yè)風險管理水平;分析發(fā)生的每一項重大風險事件的過程、原因、影響;指出規(guī)章制度的健全性、未發(fā)揮應(yīng)有作用的原因等;報告在風險管理體系建設(shè)和年度風險評估方面取得的主要成績和存在的主要不足;逐項列示重大風險管理與內(nèi)部控制缺陷，并提出審計意見與建議。風險管理的審查和評價結(jié)果須反映在風險管理審計報告中。

2.后續(xù)審計

對于企業(yè)風險管理審計，提交審計報告，并非意味著該項審計的結(jié)束[2]，國際內(nèi)部審計實務(wù)標準明確要求內(nèi)部審計必須進行后續(xù)審計。后續(xù)審計重點是控制目標的實現(xiàn)和風險的再評估。在后續(xù)審計時，內(nèi)部審計應(yīng)確認措施己執(zhí)行并評價這些措施的效果;當審計報告的某些或全部事項沒有采取措施時，審計人員應(yīng)要確認管理層已經(jīng)接受了不采取措施所帶來的風險。如企業(yè)出于多方考慮，決定承擔不對審計發(fā)現(xiàn)采取糾正措施的風險，那么，內(nèi)部審計應(yīng)向單位負責人作出書面匯報，加以解決。

四、結(jié)束語

實施風險管理審計，既是企業(yè)內(nèi)部審計實現(xiàn)轉(zhuǎn)型的客觀要求，也是企業(yè)強化內(nèi)部控制、防范經(jīng)營風險的必要措施。近幾年，風險管理審計在企業(yè)一直是空白，經(jīng)過初步研究風險管理審計的內(nèi)容及流程，并在企業(yè)中積極實施，初步滿足企業(yè)經(jīng)營管理的需求。隨著企業(yè)風險管理工作的進一步深入，企業(yè)內(nèi)部審計必須積極學習、探索、實踐，通過實施切實有效的風險管理審計，促進企業(yè)全面風險管理工作有序開展，確保企業(yè)健康可持續(xù)發(fā)展。

參考文獻：

[1]國際注冊內(nèi)部審計師考試指定輔導用書（第四版）.內(nèi)部審計在治理、風險和控制中的作用[M].西苑出版社，2008.

[2]馬劍華.風險導向?qū)徲嬙诖笮推髽I(yè)集團的應(yīng)用策略[J].中國內(nèi)部審計，2012.4.