淺議企業風險管理審計

師煥榮

摘要：2018年3月，審計署頒布實施《關于內部審計工作的規定》，正式將風險管理列入內部審計法定職責。作為企業內部審計，通過研究企業風險管理審計實施必要性、審計的主要內容及步驟方法等，有利于發揮內部審計在提高風險管理、實現經營目標、增加組織價值等方面的重要作用。

關鍵詞：內部審計;風險管理;風險管理審計

按照國資委2006年6月出臺的《中央企業全面風險管理指引》要求，企業風險管理工作已全面開展。2018年3月，審計署頒布實施《關于內部審計工作的規定》，正式將風險管理列入內部審計法定職責。作為企業中的內部審計，有效開展風險管理審計是參與企業全面風險管理工作的重要途徑和手段。

一、企業實施風險管理審計的必要性

（一）企業發展的需要

企業在其生存和發展過程中，會受到各種風險威脅。充分利用企業自身內部審計資源開展企業風險管理審計，可以實現對企業風險管理的有效監督與評價，并及時做出反饋，進而實現企業風險管理目標，確保企業的持續健康發展。

（二）企業風險管理監督評價的需要

企業開展全面風險管理，效果如何、管理如何，是企業管理高層關心的問題。內部審計部門獨立于企業其他管理部門，熟悉企業各個管理流程，可以客觀地對全面風險管理體系建設及風險管理的合理性、完整性、有效性進行監督評價，可以直接向企業高層做出匯報，審計報告和審計建議更具有權威性。

（三）企業內審部門實現增值功能的需要

企業內部審計在改革的環境中，面臨著如何轉型，從而實現為企業增加價值的功能。企業內部審計可以組織評估企業所面臨的風險及制定控制風險的策略，從風險識別、分析、評估、應對、監控等方面的及時性、合理性、恰當性、有效性等進行評價，并將評價結果予以匯報反饋，確保企業防范控制風險，實現為企業增值的功能。

二、企業風險管理審計的主要內容

風險管理審計通俗講就是對風險管理情況的審計，按照COSO-ERM框架中企業風險管理要素的劃分，內部審計人員可以從內部環境、目標設定、風險識別、風險分析、風險評價、風險應對、信息與溝通、監控等八個方面進行風險管理審計。

在組織環境和目標設定審計時，主要的審計事項有：1.是否建立合理的組織結構，配備合適的風險管理人員。2.是否多種方式營造風險管理氛圍、培育企業風險管理文化。3.是否設定企業目標，目標是否切合實際。4.是否合理分解企業目標，企業目標發生偏離，是否有糾正控制措施等。

在風險識別、分析、評價、應對審計時，主要的審計事項有：1.是否制定企業風險評估標準。2.風險是否識別全面，影響企業目標實現的重要風險是否識別充分。3.風險識別、分析、評價的方法是否合理、恰當。4.企業風險評估的定性、定量描述是否合理、準確。5.風險應對措施是否有效，是否符合成本效益原則，剩余風險是否控制在企業容忍度范圍之內。

在信息與溝通審計時，主要審計事項：1.是否有完整的信息系統支撐企業信息的管理。2.企業重大風險事項是否與內部和外部進行溝通以達成共識等。

在監控審計時，主要審計事項是是否有風險持續監控措施、是否有個別風險評價措施、是否有企業風險管理監控記錄等。

由于企業風險管理包括組織整體及職能部門兩個層面，內部審計既可對組織整體風險管理進行審查與評價，也可對職能部門風險管理進行審查與評價。

三、企業風險管理審計流程

風險管理審計流程主要分為計劃、實施、報告三個階段，與其它審計流程基本相同。開展風險管理審計，內部審計要注重開展后續審計。

（一）計劃階段—初評企業風險，制定風險管理審計計劃

內部審計不可能去評估組織面臨的所有可能的風險[1]，所以應該在了解被審計單位組織結構、業務性質規模、單位管理者的管理風格、面臨的內外部環境等經營管理情況下，運用“風險因素優先策略”等方法，從風險的發生可能性、出現頻率以及損失額度三個方面分析和評估，一是確定企業風險的主要存在領域，二是對企業風險各領域的風險進行初步評估，三是按照風險對企業的影響進行排序，列出企業風險管理審計的優先順序，編制風險管理審計計劃，配備相應的審計人員，詳細全審處于高風險層級的風險因素，不同比例抽審其它領域的風險。

（二）實施階段—審查評估企業風險管理的充分性、有效性，確定剩余風險

實施企業風險管理審計，主要從風險管理體系、風險評估過程及風險應對措施三個方面審查和評價。

1.風險管理體系的審查與評價

為了確定企業風險管理機制的健全性及有效性，內部審計需要審查風險管理組織機構的健全性、管理程序的合理性、風險預警系統的存在及有效性。采用的主要方式是訪談、文件查閱、問卷調查等。重點關注：一是企業是否建立一個包括全面風險管理領導決策機構、組織協調部門、監督評價部門及業務風險責任主體等構成的風險管理組織體系。二是已建立的風險管理組織體系是否根據風險產生的原因和階段不斷地進行動態調整。三是企業是否建立風險預警機制、及時進行風險預警分析并對警情采取相應的控制措施。

2.風險評估過程的審查和評價

風險評估過程包括風險辨識、分析與評價三個階段。內部審計重點關注：一是評價辨識的風險是否涵蓋了對組織目標實現產生影響的所有內、外部風險，是否辨識確認企業面臨的重大缺陷風險。二是分析評估已識別風險依據的數據、信息等是否真實可靠，是否正確選擇定性或定量的風險評估方法。三是是否根據企業風險評估標準，分析和計量風險發生的可能性、影響程度確定風險的等級，并予以排序找出關鍵和主要風險。采用的主要方式是分析性復核方法、訪談、抽查、風險清單表等。

3.風險應對措施的審查和評價

風險應對措施主要有回避、接受、降低、分擔四種。內部審計在評價風險應對措施的適當性和有效性時，重點關注：一是風險應對措施是否與企業內外部環境相適應，是否符合成本低于效益原則。二是企業制定的內控管理制度是否有具體的內容條款等，來應對企業面臨的風險。三是企業規章制度是否有效執行，管控后的剩余風險水平是否在企業可接受范圍之內。如果風險降低到可接受范圍內，那么該風險應對措施是有效的。

（三）報告階段—出具審計報告，開展后續審計

1.出具審計報告

風險管理審計報告是風險管理審計工作的最終成果和表現形式。重點要根據審計情況，評價企業風險管理水平;分析發生的每一項重大風險事件的過程、原因、影響;指出規章制度的健全性、未發揮應有作用的原因等;報告在風險管理體系建設和年度風險評估方面取得的主要成績和存在的主要不足;逐項列示重大風險管理與內部控制缺陷，并提出審計意見與建議。風險管理的審查和評價結果須反映在風險管理審計報告中。

2.后續審計

對于企業風險管理審計，提交審計報告，并非意味著該項審計的結束[2]，國際內部審計實務標準明確要求內部審計必須進行后續審計。后續審計重點是控制目標的實現和風險的再評估。在后續審計時，內部審計應確認措施己執行并評價這些措施的效果;當審計報告的某些或全部事項沒有采取措施時，審計人員應要確認管理層已經接受了不采取措施所帶來的風險。如企業出于多方考慮，決定承擔不對審計發現采取糾正措施的風險，那么，內部審計應向單位負責人作出書面匯報，加以解決。

四、結束語

實施風險管理審計，既是企業內部審計實現轉型的客觀要求，也是企業強化內部控制、防范經營風險的必要措施。近幾年，風險管理審計在企業一直是空白，經過初步研究風險管理審計的內容及流程，并在企業中積極實施，初步滿足企業經營管理的需求。隨著企業風險管理工作的進一步深入，企業內部審計必須積極學習、探索、實踐，通過實施切實有效的風險管理審計，促進企業全面風險管理工作有序開展，確保企業健康可持續發展。

參考文獻：

[1]國際注冊內部審計師考試指定輔導用書（第四版）.內部審計在治理、風險和控制中的作用[M].西苑出版社，2008.

[2]馬劍華.風險導向審計在大型企業集團的應用策略[J].中國內部審計，2012.4.