談企業風險管理與內部審計

唐惠麗

一、企業風險管理評述

(一)企業風險管理框架

美國反虛假財務報告委員會管理組織fcOSO)針對企業界頻繁發生的高層管理人員舞弊現象，頒布了全新的COSO報告，即《企業風險管理——整合框架》(Enterprls-eRiskManagement-Integrated Framework，簡稱ERMl。這個框架是在原《內部控制——整體框架》的基礎上，結合《薩班斯一奧克斯利法案》(Sarbanes-Oxley Act)的相關要求展開研究得到的。根據ERM框架，“全面風險管理是一個過程，這個過程受董事會、管理層和其他人員的影響，這個過程從企業戰略制定一直貫穿到企業的各項活動中，用于識別那些可能影響企業的潛在事件并管理風險，使之在企業的風險偏好之內，從而合理確保企業取得既定的目標”。ERM框架有三個維度：第一維是企業的目標，包括戰略、經營、報告和合規性目標；第二維是全面風險管理要素，包括內部環境、目標設定、事項識別、風險評估、風險對策、控制活動、信息和溝通、監控等要素；第三維是企業內部各個層次，包括整個企業、各職能部門、各條業務線及下屬各子公司。ERM三個維度的關系是：全面風險管理的各要素都是為企業的四個目標服務的；企業各個層級都要堅持同樣的四個目標；每個層次都必須從上述方面進行風險管理。企業風險管理是一個過程，企業風險管理的有效性是某一時點的一個狀態或條件。決定一個企業的風險管理是否有效，是基于對風險管理要素設計和執行是否正確的評估基礎上的主觀判斷。企業的風險管理要有效，其設計必須包括所有的要素并得到執行。

(二)我國企業風險管理規范

近年來我國有關部門和很多企業也逐步認識到風險管理對企業經營的重要性，為了指導企業開展全面風險管理工作，進一步提高企業管理水平，增強企業競爭力，促進企業穩步發展，國務院國有資產監督管理委員會2006年6月發布了《中央企業全面風險管理指引》。該指引指出，全面風險管理是指企業圍繞總體經營目標，通過在企業管理的各個環節和經營過程中執行風險管理的基本流程，培育良好的風險管理文化，建立健全全面風險管理體系，從而為實現風險管理的總體目標提供合理保證的過程和方法。財政部、證監會等部門也于2008年5月發布了《企業內部控制基本規范》。該規范指出，企業應當根據設定的控制目標，全面系統持續地收集相關信息，結合實際情況及時進行風險評估。企業開展風險評估，應當準確識別與實現控制目標相關的內部風險和外部風險，確定相應的風險承受度。企業應當根據風險分析的結果，結合風險承受度，權衡風險與收益，確定風險應對策略。

(三)企業風險分析

風險產生于不確定性因素的存在，企業運行環境的不確定性帶來了企業運行結果的不確定性。企業風險可以按照企業目標的不同層次來理解和劃分，并可將其相應劃分為：(1)企業的戰略風險，是指企業戰略目標不能實現的可能性，主要包括：由于對有關影響因素的分析不夠充分或對未來的變化沒能合理預計而帶來的企業在總體戰略選擇環節的失誤風險；由于企業的具體戰略選擇失誤而帶來的風險，包括企業經營領域的選擇風險、企業并購風險等。(2)企業日常經營管理風險，是指企業具體經營目標不能實現的可能性，又可以劃分為企業經營環節的作業鏈風險，如企業供、產、銷等環節的風險；企業的人事風險，如由于人員任用、授權、業績評價等方面的缺陷帶來的風險；企業的信息風險，如企業信息系統風險等。(3)財務風險。包括籌資風險、資金投放的風險及企業其他財務活動風險。

二、企業風險管理審計的作用

對企業風險管理進行監督和評價是現代內部審計發展的結果，風險管理審計是內部審計的主要職責，分析、確認、揭示關鍵性的經營風險，才是內部審計的焦點。隨著我國經濟體制的不斷改革發展，企業內部審計越來越受到各方面的重視，對內部審計的理解也發生了較大的變化。企業進行風險管理審計可以起到以下幾方面的作用：

一是全面識別企業風險，風險在企業內部具有感染性、鑄遞性、不對稱性等特征，即一個部門造成的風險或疏于風險管理所帶來的后果往往不是由其直接承扭，而是會傳遞到其他部門，最終可能使整個企業陷入困境。因此對風險的認識、防范和控制需要從全局考慮，而各業務部門又很難做到這一點。內部審計具有相對的獨立性，受單位主要負責人的直接領導，這就使其可以從全局出發，從客觀的角度對風險進行識別，及時建議管理部門采取措施控制風險。

二是調控和指導企業的風險策略內部審計部門處于企業量事會、總經理和各職能部門之間的位置，內部審計人員能夠充當企業長期風險策略與各種決策的協調人。通過對長期計劃與短期實現的調節，可以調控和指導企業的風險管理策略。

三是內部審計部門的建議更易引起企業領導的重視一些企業盡管設立了風險管理部門，但不具有獨立性，其意見往往會屈服于管理層的壓力，這使得風險管理部門的作用受到一定程度的限制。而內部審計部門獨立于其他管理部門，其風險評估的意見可以直接向董事會匯報，這樣可以加強管理層對內部審計部門意見的重視程度。

三、企業風險管理審計的內容

企業運營狀況審查。確定風險是否像所預計的一樣，能減輕至可接受的程度以及在可控的范圍內，并確定審核程序可以有效且低成本運作。監督和評價一個部門內的業務流程是否存在風險，或者一個流程能夠同時對諸多部門同時進行管理。

企業信息系統風險審查。內部審計人員參與系統開發及方案制訂，尤其關注流程的改進、數據傳遞、系統的執行計劃及測試計劃。對應用系統執行前及執行后的狀況進行評估。對信息安全問題進行評估。

遵從國家法規政策審查。對企業的各項經營活動進行全面分析和評估。通過評估并糾正程序，確保遵守國家相關法律及政策。

風險管理流程控制審查。為實現企業經營目標，評估現行流程，保證其對可能事件與可能情況能進行有效識別、評估、管理和控制。協助風險管理機構落實有關措施。

風險應對措施適當性和有效性審查。內部審計人員應當實施適當的審計程序，對風險應對措施進行審查。內部審計人員在評價風險應對措施的適當性和有效性時，應當考慮以下因素：采取風險應對措施之后的剩余風險水平是否在組織可以接受的范圍之內；采取的風險應對措施是否適合本組織的經營、管理特點；成本效益的考核與衡量等。

內部審計人員通過風險管理審計提供獨立的、有附加價值的風險評估和解決方案，并向管理層報告審查和評價風險管理過程的結果，并提出改進建議。

(作者單位：陜西工運學院)