1、企業風險管理審計研究    一、企業風險及風險管理的內涵進行企業風險管理審計，必須明確企業風險及風險管理的內涵。否則，企業風險管理審計便無從談起。1 企業風險的實質首先，風險產生于不確定性因素的存在，如果企業運行的內外環境是確定的，則不存在企業風險。其次，企業運行環境的不確定性帶來了企業運行結果的不確定性。一般來說，我們更注重企業的運行結果，對預期結果的實現與否及可實現程度的大小成為了衡量企業風險大小的現實標準。因此，可以認為，企業風險則是企業運行結果偏離期望結果的可能性。筆者認為，企業目標是企業期望達到的一種結果狀態，但由于相關因素的持續不斷的變化，企

2、業目標的實現存在不確定性。因此，企業風險可以描述為企業目標不能得以實現的可能性。2 企業風險的劃分企業風險可以按多種標準進行分類。筆者認為，既然將風險定義為企業目標不能得以實現的可能性，那么，企業風險可以按照企業目標的不同層次來理解和劃分，并可將其相應劃分為：（1）企業的戰略風險是指企業戰略目標不能實現的可能性，主要包括：由于對有關影響因素的分析不夠充分或對未來的變化沒能合理預計而帶來的企業在總體戰略選擇環節的失誤風險；由于企業的具體戰略選擇失誤而帶來的風險，包括企業經營領域的選擇風險、企業并購風險等。（2）企業日常經營管理風險是指企業具體經營目標不能實現的可能性，又可以劃分為企業經營環節的作

3、業鏈風險，如企業供、產、銷等環節的風險；企業的人事風險，如由于人員任用、授權、業績評價等方面的缺陷帶來的風險；企業的信息風險，如企業信息系統風險等。（3）財務風險。狹義一般是指由于企業籌措資金而形成的風險，并主要是指企業由于舉債而形成的風險，也可稱之為籌資風險。按照本文對風險的定義，即企業目標不能實現的可能性，則企業的財務風險是指企業財務活動目標不能得以實現的可能性，包括籌資風險、資金投放的風險及企業其他財務活動風險，我們可以稱之為廣義的財務風險。3 企業風險管理COSO于2004年頒布的企業風險管理框架中指出“企業風險管理是一個過程，它由董事會、管理當局和其他人員執行， 應用 于戰略制訂并貫

4、穿于企業之中，旨在識別可能會影響主體的潛在事項，管理風險以使其在風險容量之內，并為主體目標的實現提供合理保證。”我國內部審計協會2005年發布的內部審計具體準則16號企業風險管理審計中指出“風險管理，是對影響 組織 目標實現的各種不確定性事件進行識別與評估，并采取應對措施將其影響控制在可接受范圍內的過程。風險管理旨在為組織目標的實現提供合理保證。”從上述對風險管理的解釋可以看出，企業風險管理的最終目標是為企業目標的實現提供合理的保證。二、企業風險管理審計的目標對企業風險管理進行監督和評價是現代內部審計發展的結果，企業風險管理審計的目標取決于對企業內部審計的功能定位。從西方企業內部審計的產生和發

5、展過程來看，內部審計是隨著 經濟 的發展，企業內部管理層次的增多和控制范圍的擴大，基于企業內部經濟管理與監督的需要而產生的，并隨著管理的需要而不斷發展。隨著內部審計的不斷發展，內部審計的目標也在不斷地變化，其中以國際內部審計師協會（IIA）對內部審計所下定義的變化最具有代表性。國際內部審計師協會（IIA）理事會指出內部審計是一種獨立、客觀的保證和咨詢活動，其目的是增加組織的價值和改善組織的經營。我國的內部審計不是在企業內部管理需要的動因下發展起來的，而是在政府的要求下，在國家審計部門的推動下建立起來的。1993年國家審計署成立，為了盡快建立和完善審計體系，補充剛剛復興的國家審計力量的不足，政府

6、和政府審計機構都極力敦促內部審計的組建。但隨著我國經濟體制的不斷改革發展，企業內部審計越來越受到各方面的重視，對內部審計的理解也發生了較大的變化。我國的內部審計基本準則指出：內部審計是組織內部的一種獨立客觀的監督和評價活動，它通過審查和評價經營活動及內部控制的適當性、合法性和有效性來促進組織目標的實現。從內部審計的發展過程可以看出，企業內部審計的目標在于幫助企業實現目標。企業內部審計的目標決定了企業風險管理審計的目的在于：通過內部審計機構和人員對企業風險管理過程的了解，審查并評價其適當性和有效性，提出改進建議，促進企業目標的實現。三、企業風險管理審計的內容風險管理包括組織整體及職能部門兩個層面

7、。內部審計人員既可對組織整體的風險管理進行審查與評價，也可對職能部門的風險管理進行審查與評價。因此，筆者認為企業風險管理審計應當包括以下方面的內容：（二）風險識別的適當性及有效性審查風險識別是指對企業面臨的，以及潛在的風險加以判斷、歸類和鑒定風險性質的過程。內部審計人員應當實施必要的審計程序，對風險識別過程進行審查與評價，重點關注組織面臨的內、外部風險是否已得到充分、適當的確認。筆者認為應當包括以下 內容 ：1 審查風險識別原則的合理性。企業進行風險評估乃至風險控制的前提是進行風險識別和分析，風險識別是關鍵性的第一步。2 審查風險識別 方法 的適當性。識別風險是風險管理的基礎。風險管理人員應在

8、進行了實地調查 研究 之后，運用各種方法對尚未發生的、潛在的、及存在的各種風險進行系統的歸類，并 總結 出企業面臨的各種風險。風險識別方法所要解決的主要 問題 是：采取一定的方法分析風險因素、風險的性質以及潛在后果。需要注意是，風險管理的 理論 和實務證明沒有任何一種方法的功能是萬能的，進行風險識別方法的適當性審查和評價時，必須注重分析企業風險管理部門是否將各種方法相互融通、相互結合地運用。（三）風險評估方法的適當性及有效性審查內部審計人員應當實施必要的審計程序，對風險評估過程進行審查與評價，并重點關注風險發生的可能性和風險對組織目標的實現產生 影響 的嚴重程度兩個要素。同時，內部審計人員應當

9、充分了解風險評估的方法，并對管理層所采用的風險評估方法的適當性和有效性進行審查。內部審計人員應當對管理層所采用的風險評估方法進行審查，并重點考慮以下因素：（1）已識別的風險的特征；（2）相關 歷史 數據的充分性與可靠性；（3）管理層進行風險評估的技術能力；（4）成本效益的考核與衡量等。3 審查風險評估方法應當遵循的原則內部審計人員在評價風險評估方法的適當性和有效性時，應當遵循以下原則：（1）定性方法的采用需要充分考慮相關部門或人員的意見，以提高評估結果的客觀性；（2）在風險難以量化、定量評價所需數據難以獲取時，一般應采用定性方法；（3）定量方法一般情況下會比定性方法提供更為客觀的評估結果。（四）風險應對措施適當性和有效性審查