企业风险管理审计

　　企业风险管理审计是指企业内部审计部门采取系统化、规范化的方法，评估企业风险管理系统的风险识别、分析、评价、管理和处理能力等内容的内部审核活动。

　　其一审计工作重心开始转移。审计人员的审计工作由原来的内部控制审计扩展到所有风险管理技术审计，审计范围拓宽了很多。

　　其二审计思路和观念发生根本性转变。账项基础审计注重具体交易事项的审查测试；制度基础审计虽注重内部控制的符合性测试，而企业风险管理审计则是注重确认和测试风险管理部门为降低风险而采取的方式和方法。

　　其三是企业风险管理审计的目的更加明确，在于揭示企业的各种风险因素，降低和防范各种风险，协助企业决策者和管理层达到预期的经营目标。

　　最后企业风险管理审计的方法更科学、更先进。企业风险管理审计是利用战略和目标分析的结论，确定关键风险点，进行风险评估，采取必要的措施降低或消除风险。企业风险管理审计还广泛运用数学分析、统计分析和计算机等技术方法，使审计工作更加简单、快捷。

　　风险管理现今已成为一项公认的新颖的管理学科。经济全球化和一体化速度的加快，随之而来的是竞争的全球化、经营的战略化，风险管理则比以前任何时候更显得重要了，对企业管理者和决策者而言，其地位也越发的举足轻重，企业风险管理审计上升到企业发展的战略高度，成为现代企业内部审计的首要使命，对企业的可持续发展发挥着至关重要的作用。

　　(一)实施企业风险管理审计是针对内部控制制度的执行情况进行再监督，以便及时发现并消除风险点，把风险损失控制在最低限度，与此同时，能够通过对内部控制制度的健全性和符合性测试发现内控制度的不足之处，并提出改进意见，进一步修订和完善内部控制制度。

　　(二)实施企业风险管理审计还能起到预防风险与警示的作用，企业结合实际情况制定具体的内控制度，由相关部门或人员具体实施，事先控制可能出现的风险，把风险消灭在发生之前或萌芽状态，而当风险产生并造成损失时，分析原因，总结经验教训，采取相应措施，发挥风险管理审计的警示作用。

　　(三)企业风险管理审计的开展，还有助于提高外部审计质量和效率。审计包括审计计划、取证、判断和报告，是一个系统过程。审计过程的质量决定了审计报告的正确性和全面性，在现代企业组织中，内部审计资源(人力、专业技术、时间)比起所要求的大多缺乏，内部审计的工作量负荷很重。因此，在审计资源紧缺的情况下，保证审计质量就成了内部审计的宗旨，风险管理审计从制定审计方案开始就与组织的经营决策紧密联系，通常，为了提高审计效率，审计方案往往是以几个重大风险综合为导向。风险导向审计使内部审计人员的工作从起点到后续追踪审查，从审计范围、工作中心及其变化到审计测试与评价，自始至终与组织系统目标协调一致、针对性强，将有限的审计资源用于高风险领域，降低外部审计成本，提高审计效率，保证和提高了审计质量。

　　目前，从世界范围看，企业的风险管理审计尚处在发展阶段，还有相当一部分的企业没有实行，风险管理审计的理论研究方面的工作及成果还比较少，风险管理审计的发展还面临着若干问题。

　　(一)风险意识淡薄。

　　1、企业本来应该以追求长远利益、获取最大利润为根本目标，但是有些企业却只顾眼前的利益，而忽视某些行为决策对企业未来发展产生的影响，往往对所投资的项目的风险不能进行系统全面的分析，从而给企业带来了巨大的损失。

　　2、企业缺乏风险意识，没有积极、主动、系统地进行风险管理工作。主要表现在以下两个方面：一是企业中的风险管理活动往往是瞬时的或者间断性的，意识到了就进行管理，事后则是“好了伤疤忘了疼”，将其抛掷脑后；二是企业缺乏对风险进行定期的复核和再评估，降低了企业适应环境变化、管理风险和规避风险的能力。

　　(二)企业风险管理审计的创新受到一定程度的外部因素的制约。

　　企业风险管理审计随着风险管理的创新而不断创新的，风险管理的创新一方面在于企业自身可持续发展的需要，另一方面要求外界给它创造较为宽松的环境，例如，要为银行风险管理的创新创造宽松的环境就具备三个条件：一是必须具备市场化的交易主体和交易价格，因为，只有这样，银行才能作为风险的承担者在市场上借助已有的或创新的风险管理工具规避和控制风险；二是具备成熟的金融市场，因为创新的本身也会创造出新的风险，一旦管理不慎，金融市场无法消化，就可能引起金融动荡或危机，因此，成熟的金融市场也是必要的；三是完备的法律保障，没有完备的法律法规政策来规范、约束和保障各种创新的开展，那么要使金融风险管理创新良性发展也不太可能。由此可见，其他企业也基本如此，然而，我国目前尚且不具备这样的外部条件，这样就制约了我国风险管理创新的发展。

　　(三)企业风险管理的组织架构还不完善，缺乏现代意义上独立的风险管理部门。

　　尤其我国的大多数企业存在较为严重的治理结构问题，导致各个部门和岗位的人员对其工作职责和操作程序不清晰，风险承担的最终主体也不明确，因而很难形成现代意义上独立的风险管理部门，并且没有专门的人员进行企业风险管理。即便是成立了相应的风险管理部门，但是没有专职的风险经理，风险承担的主体不明确，各个部门或者岗位间互相推卸责任，使其风险管理的成效缺乏有效的约束机制，从而无力承担起独立的、具有权威性的、有效管理企业风险的职责，使得我国企业的风险管理始终停留在以眼前利益为目的的决策层次上，而不能像西方一些企业将企业风险管理上升到企业发展的战略高度。

　　(四)对企业风险管理审计的定位不够清楚、准确。

　　如《内部审计具体准则第16号-风险管理审计》中提出这样一种说法“风险管理是组织内部控制的一部分，内部审计人员对风险管理的审查和评价是内部控制审计的基本内容之一”，而在1992年后最新出台的《企业风险管理框架》中将内部控制扩展为风险管理，明确提出了风险管理包含内部控制。这两种观点的之间矛盾使我们对风险管理审计的定位有点模糊不清，对风险管理审计的范围也有所置疑。

　　(五)关于企业风险管理审计

　　我国至今没有出台较为完备的法律法规政策，不利于风险管理创新的良性发展，同样，也不能很好的规范、约束和保障企业风险管理审计的开展，使审计人员在开展企业风险管理审计的过程中束手束脚。

　　(六)在企业风险管理审计的范围上

　　审计人员侧重于企业经营管理风险的识别、估算和控制方面的审计，而对企业制度风险、法律风险等其他风险的评估、测试等方面的审查重视程度不够，但是随着我国加入wto，我国企业的经营管理逐渐与国际接轨，再加上企业自身改革的不断深化，企业的风险管理不可能只停留在分别对某一种风险进行管理的阶段上，企业只有全面的、综合的考虑可能发生的各种风险因素，才能有效的预防、管理和控制风险，同样的，企业风险管理审计也不能停留在部门风险管理审计的阶段上，而要向全面的、整体的风险管理审计发展，只有这样企业才能在竞争中立于不败之地。

　　(七)企业风险管理审计人才严重匮乏。

　　1、目前，我国企业风险管理审计人才严重匮乏，现有风险管理审计人员综合素质不高，主要表现在文化水平不高，计算机操作能力不够，知识结构单一，风险意识不强，工作创新能力差等等。如不加强对风险管理审计人员的综合素质提高，将非常不利于风险管理审计的有效开展。

　　2、我国注册会计师对行业风险和企业经营风险缺乏了解，数据积累严重不足，正如黄世忠教授所说的：“我国会计师事务所90%以上的业务是审计业务和会计业务，没有经济方面、法律方面等多元化的背景。注册会计师们不了解企业的经营状况、不了解整个行业。”这我国审计人员有效开展企业风险管理审计工作所急需解决的问题。

　　在全球经济化的当今世界，企业为了使自己在竞争中赢得优势、抢得先机，为了更好地开展风险管理审计，必须对审计工作中存在的问题采取有效地措施。

　　(一)我国要加强对企业风险管理审计的重视程度

　　尤其在中国加入世界贸易组织的今天，企业资本迅速积累，企业规模日益扩大，能否有效开展企业风险管理审计与企业能否在竞争中无往不利，企业能否取得成功息息相关。因此，不仅要求企业组织专门的风险管理部门，培养专门的风险管理人员，还要求我国政府尽快出台与企业风险管理审计相关的比较完备的政策、法律法规以规范、制约和保障企业风险管理审计工作，使其有效开展。

　　(二)立足现实

　　开展符合我国国情的风险管理审计创新。虽然我国的企业风险管理审计还不具备完备的法律法规政策，并且这些外部因素也不是一蹴而就的，但是这并不表明这些外部条件不具备的情况下就一定不可以进行风险管理审计的创新。例如，根据西方金融业务创新技能方面的发展进程，金融业务创新的层次可分为金融基础业务层、衍生业务创新层和组合业务创新层，相应地，银行风险管理的创新也会随之不断发展，我国当前创新处于基础业务层，如开展一些银行保险业务，实现风险在银行与保险之间的转移等，持条件成熟后再进行其他风险管理方法的创新。相信只要我们勇于探索，从最基础的层次进行创新，就一定能取得成功。

　　(三)转变企业观念

　　提高企业风险意识，将风险管理纳入企业的经营管理之中。开展企业风险管理审计，首先要求企业管理层要彻底转变观念、增强风险意识、把风险管理审计摆在重要位置上，正确合理地处理风险与效益的关系，把企业长远利益作为企业的根本目标，与此同时审计人员也要转变观念，尽快实现从传统的帐项基础审计、制度基础审计向风险管理审计转变，突出风险管理的重要性。一方面要监督企业各职能部门认真贯彻各项内部控制制度，切实规范操作程序，防止操作过程中人为造成风险；另一方面要认真落实风险管理审计提出的整改意见，克服专业管理部门的偏见，使风险管理审计能够真正发挥作用。

　　(四)在重视企业经营风险管理审计的同时，对于企业其他风险管理(如制度风险管理、法律风险管理)的审计也应该引起足够的重视，在经济全球化和一体化的现代企业的竞争中，哪怕只忽视一种风险都很可能使企业遭受巨大的损失，因此，审计人员应全面系统地进行企业风险管理审计。

　　(五)重视风险管理在企业可持续发展中的战略地位

　　进一步完善内部控制制度的建设，完善风险管理的组织架构，明确风险的承担主体，整合现有的风险管理部门，形成由最高管理层直接负责的、系统的、全面的风险管理系统。另外，企业要在充分利用内部的风险管理人员的基础上，充分利用“外脑”即利用企业外部的风险管理咨询公司专家的才能智慧，进行有效的企业风险管理。这就为审计人员开展企业风险管理审计提供明确的审计对象，使审计人员能够制定出更加有效合理的审计计划，节约了审计时间，提高了审计效率。

　　(六)企业风险管理审计要做到经常化、制度化。

　　风险是随时随地都会发生的，而且是不断变化的，妄想一次、两次风险管理审计就能解决根本问题是荒谬的、不现实的，因此风险管理审计必须做到经常化，要周期性地或不定期地开展全面的风险审查评估，并在此基础上，对重点风险点及时开展专项风险审计，尤其是对内部控制制度评价中发现的重大失控点，应予以高度的重视，采取有效措施堵塞漏洞，减少或者消除风险点和内控失控点。

　　风险管理审计还应当做到制度化，因为风险管理审计是强化内部控制的重要手段，企业决策人或者企业管理层人员应对风险管理审计的范围、内容、方法及审计结果的利用等做出明确的规定，将其纳入内部控制制度，强制各部门执行，达到消除、防范风险的目的。

　　自五十年代以来，风险管理就在美国崛起了，现今已成为一项公认的新颖的管理学科。而21世纪的世界，经济全球化和一体化速度的加快，随之而来的是竞争的全球化、经营的战略化，风险管理则比以前任何时候更显得重要了，对企业管理者和决策者而言，其地位也越发的举足轻重，企业风险管理审计上升到企业发展的战略高度，成为现代企业内部审计的首要使命，对企业的可持续发展发挥着至关重要的作用。

　　(七)开展企业风险管理审计，需要培养一批高素质的审计人才。

　　企业风险来自各方面，而且不是孤立存在的，受众多内在因素和外在因素的影响，这就对审计人员提出了更高的素质要求，要求审计人员不仅仅是一个合格的管理者，还要是一名优秀的审计人员，既要掌握了解企业内部的经营管理运作状况，又要关心企业外部环境的变迁、市场经济的趋势、行业的特点和技术的发展等等。现如今这种多才多能的审计人员屈指可数，各单位领导应该花大力气培养一批高素质的审计人员，为开展风险管理审计奠定基础，一方面，可以选拔优秀审计人才出国进修现代风险管理审计技术，将国外的优良的审计技术和经验引入我国的风险管理审计的实践应用中；另一方面，对现有的风险管理审计人员进行定期的培训，让他们不断更新专业知识，提高他们的专业水平，同时，也要注意提高他们的计算机操作水平，以适应时代的发展。我认为21世纪的高素质审计人才应该具备以下标准：具有丰富的专业知识和相应的技能；具有高度的责任心和良好的职业道德；具有敏锐、细致的观察思辨能力；具有较强的组织能力、分析能力、处理问题的能力和社会活动能力；熟练地掌握计算机技术；精通英语。

　　一、准备阶段，确定被审计者

　　(一)编制年度审计计划。审计计划是指审计人员为了完成各项审计业务，达到预期目标，在具体执行审计程序之前编制的工作计划。依据IIA《工作标准))2200款，“内部审计师在开展每项审计业务时都应制定并记录审计计划，包括范围、目标、时间和资源分配。”风险管理审计计划是审计机构和人员为实现给企业管理层提供风险信息可靠性程度保证的要求，对风险管理相关活动的审计作出的事先安排和规划。其编制可采用风险因素优先性审计方法，以每年的风险评估为基础，确定审计范围，从业务和业绩两个角度分析影响企业的主要风险因素，确定每种风险的级别和权数。评价风险程度，给风险打分并排序，对特殊要求进行适当考虑，进而对年度审计资源进行合理配置。此外.也可以采用关键线路法(CPM).借助网络表示各项工作及所需时间，表示出各项工作间的相互关系，找出编制与执行计划的关键路线，从而确定审计在各个环节上所花费的时间.以及完成整个审计过程所需要的总体时间。

　　(二)选择被审计者。

　　1.选择被审计者的原则。不论是哪一种审计，选择被审计者时都必须把风险作为一个主要的因素考虑(即通常意义上讨论的风险导向审计)，且在考虑风险大小时必须考虑重要性。重要性主要从以下两个方面来分析：首先，数量上重要.即在企业中的风险损失预计额占的比例要大。例如，对于金额为2万元的账户.1万元的错报应被认为是重要的，而对于金额为200万元的账户，1O万元的错报却算不上重要。其次，性质上重要。有一些类型的业务，其性质本身就是重要的，而不必考虑其相关的金额大小，例如：关联方交易、受法规限制的业务、易受政治局势影响的业务。

　　内部审计人员应检查整个组织，评估与各种活动相关的风险，并按照这些活动的风险水平顺序排列.首先检查高风险的活动。

　　2.选择被审计者的方法。(1)系统审计法。系统审计法是由审计部门编制年度审计工作计划表.在表上列出当年拟实施的审计项目。审计项目的时间安排通常以风险评估作为基础，也就是说要优先审计风险高的被审者，即风险因素优先性审计规划。这种方法是最常用的方法。(2)管理层和董事会通过判断，发现急需关注和处理的问题，从而替代审计人员完成选择被审计者的工作。(3)被审计者的要求 例如经理层认为需要内部审计人员的参与来评价风险管理措施的适当性和效果性等 需要注意的是，在决定是否中断预先制定的审计计划来实施另一项审计前，首先应考虑的是该项目是否比原定的审计项目重要。重要性同样要通过风险评价来衡量。

　　总的来说，选择被审者可通过上述三种方法进行，即：通过系统地分析风险来制定年度审计工作计划；在紧急情况下.可实施计划外的异常事项的审计；由被审计者自身提出审计的要求。另外，在年度审计计划中，还包括审计的时间预算、审计小组成员的选派与分工、利用专家及其他人员的工作等，由于这些内容与执行其他审计时考虑的内容相差不大.所以在这里不再赘述。

　　二、实施阶段，审查合规性和有效性

　　(一)初步调查被审对象、被审项目风险管理情况。具体方法包括：了解被审计单位的性质、管理体制、经营品种、经营规模、人员结构等，对被审计单位的概况有一个轮廓性的掌握；查阅被审计单位及其下属机构的各种文件，搜集被审计单位实施管理中以文件形式体现的部分；与被审计单位领导、各层面的管理人员、技术人员、职工群众进行谈话，全面了解被审计单位的风险管理情况；现场察看并查阅被审计单位的财务管理、生产管理、产品质量管理、原材料和产品进出库管理、销售发票管理、业务合同管理，以及各种经营经济事项的审核、批准、指令等资料。此外，还可以召开审计座谈会，发放风险管理情况调查问卷表，初步了解被审计对象风险管理控制弱点；实地观察并走访被审计者现场，进一步证实风险管理控制弱点；研究被审计者风险管理部门制定的有关风险管理的资料，初步分析风险管理政策、程序是否合理，风险管理措施是否充分有效。

　　(二)描述、分析和评价。风险管理政策和程序(符合性测试) 编制风险管理流程图，找出关键风险管理控制点，并与上一步骤了解和证实的控制弱点相比较，正式确定风险管理控制弱点；对交易或决策程序实施穿行测试，以检查被审计对象在风险管理程序的设计上是否存在漏洞，或者审查和评价测试结果是否与原来目标或计划制定的内容相符；对调查表或流程冈中最可能出现问题的部分(风险管理控制弱点)进行小样本测试，以检查企业风险管理的执行过程，并能审查出风险管理措施的有效执行情况：编制风险管理矩阵图.对风险管理政策、程序和措施进行评价，根据矩阵图中列示出的风险性质和严重程度修定被审项目。在风险管理审汁中，符合性测试有两类：风险管理处理程序测试和风险管理制度功能测试。前者用以检查风险管理政策和程序是否得到执行.后者用以查明风险管理措施是否能充分发挥作用，在这个过程中，强调的是通过定性分析反映企业遵循风险管理政策和程序的情况.以及偏离风险管理水平的程度。

　　(三)实行实质性测试。符合性测试直接影响到实质性测试的性质、时间和范用，是否执行实质性测试取决于以前各步骤收集的证据及符合性测试的结果。但是在风险管理审计中，实质性测试一般来说是必不可少的，因为审计人员在确定被审计对象、项目时，已初步确定这些对象、项目是审计的重点，即使在前阶段证明被审计对象的风险管理政策和程序执行得比较好，在本阶段也必须进一步采用定量方法来对风险管理措施进行评价。如果措施执行得好，要对被审计单位的风险管理水平予以肯定，借以作为考核其业绩的依据；如果措施没有效率，应明确形成差距的风险原冈，分析风险的产生部门、风险的类别及其性质，、例如分析发生的风险是属于业务风险还是财务风险，如果是业务风险，应再进一步分析是哪一方面的风险，如材料供应方面引起的风险，生产能力方面的风险等。通过对风曩险深刻的分析可以揭示出风险产生的原因，为今后防范、规避风险提供依据。

　　三、报告阶段，做出审计结论

　　风险管理审计结论是在对被审计单位风险管理情况进行检查、审核，并对其风险管理的程序、对策、体制及机制进行评价后，得出的一个有关企业被审计对象风险管理的结论。这个结论必须是围绕审查评价被审计单位的风险管理情况得出的。审计人员应按照审计指标体系，在企业内外广泛深入地进行资料收集丁作，将获得的资料、数据进行分类和统计。在整理过程中，应采用较为科学的分类方法和统计方法，使计算结果客观、可靠。利用上述统计结果与前期的有关数据进行比较.如果是初次评价，则将统计结果与有关历史数据进行比较。如果统计数据优于前期数据，说明企业风险管理实施效果较佳；反之则说明企业风险管理实施效果欠佳，并应当分析其中存在的问题。风险管理审计部门将审计中所反映出的问题反馈给风险管理决策委员会，为修改、调整风险管理计划提出建设性建议。最终审计结论应通过书面审计报告的彤式表现出来。

　　审计报告至少应包括以下内容：审计目标、范围、程序、建议及各种可能的纠正方案四、后续阶段，落实审计建议后续阶段是指审计项目完成一段时间后，对审计建议和改进措施的执行情况进行同访性审计的过程。企业风险管理审计的目的决定了开展风险管理审计不仅应着眼于对被审计单位或审计项目现时的风险管理进行评价.更应该注重未来风险管理水平的提高。因此.为了确保审计建议的贯彻执行，审计人员在出具审计报告之后要进行同访性审计，复查管理层是否对报告中提出的建议采取了合适的纠正行动，是否取得了理想的效果：如果没有采取纠正行动是否是高级管理层和董事会的责任。《内部审计实务标准}440条指出：“内部审计人员必须进行后续审计.以确保对报告中提出的审计结果采取适当的行动。”商议解决问题的方法是高级管理层和被审苦的责任，审计人员只需要审查这些纠正行动的实际效果，这样做有助于保持决策过程的完整性，同时能有效地发挥审汁人员的作用 后续审计过程一般有两个阶段：一是审计人员应确认已经采取了什么样的行动并评价这些行动的效果；二是当报告的某些或全部事项没有采取行动时，审计人员应确认管理肖局已经承担了不采取行动的风险。