1、風險管理審計實務初探摘要：20世紀末以來，隨著知識經濟的到來和世界經濟全球化的加劇，企業面臨的風險越來越大，風險管理逐漸發展成為企業管理的核心，風險管理審計已成為當前企業內部審計工作面臨的新課題。鑒于此，從風險管理審計的背景、風險及風險管理審計的含義、風險管理審計的工作步驟、開展風險管理審計需要具備的條件等幾個方面進行了初步的探討。 關鍵詞：風險管理；內部審計；風險管理審計 一、風險管理審計的產生背景 20世紀末以來，隨著知識經濟的到來和世界經濟全球化的加劇，企業面臨的風險越來越大，其中既包括內部管理不善、人為損害的風險，也包括外部環境變化造成的風險，同時包括可能出現的不可預知的自然災害風險。

2、諸多方面的風險導致企業的經營面臨重大不確定性，稍有不慎，就會遭到風險襲擊而造成巨大的損失。為了避免風險損失的發生，企業管理層必須以一種戰略的眼光觀察、管理自己的企業及其所面臨的風險，風險管理逐漸發展成為企業管理的核心。 2001年的內部審計實務標準對內部審計做出了全新的定義：“內部審計是一種獨立、客觀的保證和咨詢活動。其目的在于為組織增加價值和提高組織的運作效率。它通過系統化和規范化的方法，評價和改進風險管理、控制和治理程序的效果，幫助組織實現其目標?！?006年6月15日，中國內部審計協會副會長兼秘書長易仁萍在浙江省進行內部審計工作調研時指出：企業發展到一定程度，在好的進程中，要樹立風險意識

3、，內部審計要在風險管理中充分發揮作用。2006年6月20日，中國內部審計協會會長王道成在介紹內部審計工作情況時指出：內部審計正處于從以財務收支審計為主的審計模式向以內部控制和風險管理為主的審計模式轉變。 由此可以看出，隨著時代的變遷，社會賦予了它新的使命。內部審計的根本目的是增加企業的價值。內部審計作為企業的“免疫系統”，站在企業特有的高度上，自然而然應成為各種風險的強有力防線。內部審計人員參與到企業風險管理是其義不容辭的責任，風險管理審計已成為內部審計人員面臨的新課題。 二、風險管理及風險管理審計的內涵 （一）風險管理 風險管理是對影響企業目標實現的各種不確定性事件進行識別與評估，并采取應對

4、措施將其影響控制在可接受范圍內的過程。風險管理是組織內部控制的基本組成部分，既可以從企業的總體來認識，也可以從一個單獨的部門角度認識，它為實現企業目標提供合理保證。風險管理過程共包括風險識別、風險評估、風險應對三個階段。 （二）風險管理審計 企業風險管理審計是指企業內部審計部門采用一種系統化、規范化的方法來進行的，以測試風險管理信息系統、各業務循環以及相關部門的風險識別、分析、評價、管理及處理等為基礎的一系列審核活動，對企業的風險管理、控制及監督過程進行評價進而提高過程效率，幫助企業實現目標。企業風險管理審計是一種現代管理審計模式，與傳統的企業審計活動相比較，有其自身的特點。 1.審計內容和思

5、路發生轉變 內部審計由賬項基礎審計發展到制度基礎審計、風險管理審計，審計內容和思路發生重大轉變。賬項基礎審計是對具體交易事項進行審查測試；制度基礎審計是對內部控制進行評價和符合性測試；企業風險管理審計是對風險管理活動進行評價和測試。 2.內部審計職能發生轉變 傳統的內部審計職能主要是以后監督為主；風險管理審計職能是對企業所面臨的內外部風險事前的評估和防范，強調確認風險并測試風險是否得到有效控制。 3.企業風險管理審計的方法更加科學、先進 企業風險管理審計是利用戰略和目標分析的結論，確定關鍵風險點進行風險評估，采取必要的措施降低或消除風險。企業風險管理審計還廣泛運用數學分析、統計分析和計算機等技

6、術方法，使審計工作更加簡單、快捷。 4.企業風險管理審計的目的更加明確 企業風險管理審計主要目的在于揭示企業的各種風險因素，降低和防范各種風險，提高企業的經濟效益，增加企業價值，協助企業決策者和管理層達到預期的經營目標。 三、風險管理審計步驟 內部審計部門參與風險管理是在其他部門風險管理基礎上的再監督，應實施以下步驟： 1.風險識別是風險管理的第一階段，是根據企業目標、戰略規劃等對所面臨的以及潛在的風險進行判斷，也就是確定企業正在或將要面臨哪些風險。正確識別風險將為成功的風險管理奠定基礎。 內部審計人員應當實施必要的審計程序，對風險識別過程進行審查與評價，重點關注企業面臨的風險是否已得到充分、

7、適當的確認，面臨的主要風險是否均已被識別出來，并找出未被識別的風險。采用的方法包括決策分析、可行性分析、生產流程分析、投入產出分析、資產負債分析、因果分析、風險專家調查列舉法。 2.風險評估是風險管理的第二階段，是對已識別的風險評估其發生的可能性及影響程度。審計人員通過對各種風險的識別，了解各種風險的類型及其產生的原因，進一步確定這些風險將會對審計結果與被審計單位產生多大的影響，即評估已識別的風險，估測發生的可能性及影響程度。風險評估是整個風險管理審計過程中關鍵的一環。 內部審計人員審查與評價風險評估過程時重點關注兩個要素：風險發生的可能性及風險對企業目標的實現產生影響的嚴重程度。審計人員對風

8、險的評估一般采用定性或定量的方法。定性方法，是指運用定性術語評估描述風險發生的可能性及其影響程度；定量方法，是指運用數量方法評估并描述風險發生的可能性及其影響程度。內部審計人員既可對企業整體風險管理進行審查與評價，也可以對職能部門風險管理進行審查與評價。 3.風險應對階段，是風險管理的第三階段，是風險管理的最終目的。在識別和估價風險之后，進入風險應對階段。在風險應對是指采取應對措施，將風險控制在組織可接受的范圍內。在風險應對階段，內部審計人員應當實施適當的審計程序，對風險應對措施進行審查，檢查其是否充分、得當，對于不合理措施提出改進建議。一般來講，風險應對措施一般包括避免風險、分散風險、風險分

9、擔（包括保險方式和非保險方式）。 4.風險接受。風險接受是指企業實施一項方案的風險導致損失的概率和可能產生損失的幅度在企業可接受的范圍內，企業愿意承擔，這種情況下可以不采取任何措施。 在風險控制活動中，企業要根據不同的風險來選擇應對措施，對于有回報的風險，可以采取分散風險、轉移風險、接受風險的辦法。在采取接受風險時，要考慮風險與回報的關系，盡可能采取控制措施，降低風險到可以接受程度。 一般而言，為了控制經營風險，企業要設計業務控制程序來限制、降低風險，內審人員在進行風險管理審計時，應測試這些控制程序是否得以有效執行。針對有回報的風險應對措施，要分析和評價風險回報的合理性、減少風險措施的有效性，

10、以及采取分散風險、轉移風險、接受風險所要承擔的風險程度。 四、開展風險管理審計需具備的條件 （一）公司高層管理人員的高度重視 公司管理層從思想上重視公司內審部門，不能把內部審計部門當做“擺設”、“消防員”，對內部審計機構在企業風險管理中的作用要給予充分的肯定，充分認識到風險管理審計是強化風險控制的重要手段，建立獨立、合理的組織機構，配備相應的審計資源。 （二）審計機構的內部審計職能更新 內部審計機構自身實現觀念更新，將工作職能從傳統監督職能、經濟責任審計職能延伸到規避企業風險的管理審計職能。制定風險管理審計的工作規范，如結合公司的實際情況制定風險管理審計工作實施辦法及相應的審計工作操作指南等。

11、將風險管理審計納入年度審計工作計劃，充分考慮管理層的經營方針、目標和工作重心，使年度工作計劃與企業最高層的戰略風險一致，具體審計計劃與具體經營風險相一致，從獨立客觀的視角為公司管理層評價公司的風險管理活動，針對發現的漏洞和存在的問題，及時提出整改意見和建議，提高企業的風險管理水平，為防范企業將來可能出現的風險做好準備。 審計機構應加強溝通與宣傳，與管理當局保持密切聯系，參加管理當局的重要會議和有關研討活動，及時、準確地了解企業的業務運作情況，加強與相關業務部門的聯系，取得他們的理解和支持。 （三）對審計人員提出更高的要求 風險管理審計涉及企業整體和職能部門兩個層面，既要求審計人員從戰略高度認識

12、企業的風險，同時又應該熟悉企業各項工作流程，具備洞察具體經營風險的能力。風險管理審計對內部審計人員的素質提出了更高的要求。 首先，內審人員應該具備廣博的知識，不僅具備財務、審計專業知識，還要具備管理學、計算機應用科學等相關知識；既要了解產品特點、行業背景，又要了解企業生產流程、管理流程，市場現狀和發展前景。內審人員要有強烈的求知愿望和學習能力，努力培養多元化的專業技能。王光遠教授曾形象地稱，“做內部審計，既應有書生之見，也應有頭銜之見、街頭之見。” 其次，內審人員應該具有較強職業素養，具備良好的邏輯、綜合思維能力，對審計事項能夠做出正確的分析、判斷，對問題有較強的宏觀把握和駕馭能力；與管理層、相關業務部門、被審計單位建立良好的溝通，取得理解和信任，樹立審計部門的形象與威信；具有客觀公正的心態；具有強烈的團隊意識，充分認識到審計工作的集體性，明確自己所承擔角色和任務，在團隊中實現自己的價值