風險管理審計實施階段問題及對策研究

俞 軒

一、引言

隨著經濟多元化，行業間競爭愈演愈烈，企業要謀求生存，面臨很大壓力，企業管理者開始重視企業內部風險管理的重要性。由于企業內部存在不同業務流程，亟需設立一個部門，對不同業務中的風險點進行審計驗證，內部審計應運而生，催生了風險管理審計。

2005年，中國內部審計協會發布了《內部審計具體準則第16號—風險管理審計》，提出內部審計參與風險管理可以幫助組織更好地實現目標，強調內部審計師負責審查和評估風險管理，同時對企業風險管理審計應遵循的原則、重點評價領域、風險應對措施、審計評價考慮因素等方面做出闡釋。該準則的出臺意味著中國企業的風險管理審計進入了一個有據可依的新篇章。

企業風險管理審計已成為企業發展的趨勢，為企業實現經營目標提供了更好的保障。但我國各個企業所面臨的風險因其行業特征千差萬別，企業負責人在選擇風險管理審計實施路徑的時候要勇于跳出傳統的審計思維模式，有必要根據公司的具體運作情況制定風險管理審計體系，以防止風險管理失誤。因此，本文選擇風險管理審計的實施階段作為研究對象，借鑒國內外的理論和實踐，希望通過研究，為我國企業內部審計發展發揮一定指導價值，使企業朝著良性發展的方向經營。

二、風險管理審計的實施階段

風險管理審計是企業風險管理不可獲取的內容，一般采用系統化、標準化的方法監控風險管理，定性或量化評估企業風險管理的效果，從內部幫助企業完成戰略目標。根據內部審計的一般程序，本文將風險管理審計程序劃分為準備階段、計劃階段、實施階段、報告階段和后續審計階段。本文將詳細闡述風險管理審計的實施階段。

（一）審查與評價風險管理機制

企業內部的風險管理機制使企業的風險管理具象化。各企業的風險管理組織體系必須考慮其行業特征、公司規模、當前的風險等級和管理水平等必要因素。該體系不僅包括專門的風險管理部門，還要包括確定與風險管理職責相關的部門，風險管理職責應細化到每一個崗位，形成職責說明書，明確員工在各崗位內容和責任，確保能夠有效展開風險管理。該體系還應根據企業不同發展階段所面臨的不同風險，對體系進行動態調整，通過完善制度保障，有效執行體系。因此，風險管理審計的首要程序就是內部審計人員需要檢查風險管理機構的健全性，以及風險管理體系內的各個員工所承擔責任的合理性。

（二）審查與評價風險預警系統

創建風險管理機制的目的是降低企業經營過程中面臨的風險，風險管理的首要任務應建立風險預警系統。系統通過對公司面臨的風險進行全面和科學的預測分析，預測潛在風險，由風險管理組織系統的所有部門采取有效措施來應對。早期風險預警系統的設置不僅需要考慮對管理目標的影響程度，同時還要兼顧風險識別中潛在風險因素的影響。從內部審計部門角度出發，風險預警系統的審查和評估主要包括：風險預警系統中的指標設定和權重設定是否科學合理；風險預警系統是否圍繞風險的識別、分析和評估；風險預警系統的內容存在過度干預或干預不足的風險。

（三）審查與評估風險識別、分析和評估機制

在對風險識別，分析和評估機制的審查和評估時，應細致檢查各部門的風險識別、分析和評估的設計機制，確認機制的完整性，基于此再提出相應的改進建議。對于風險識別審計，重點關注公司是否已建立統一的風險語言；風險識別是否包括企業結構過程中面臨的所有風險； 風險的分類是否合理恰當。對于風險分析和評估的審計，應關注風險損失的確定、權重的分配、計量的范圍和依據是否科學合理；風險分析和評估的程序和方法是否科學有效。

（四）審查與評價風險應對措施

風險應對措施的審查和評估涉及風險規避措施、風險接受措施、風險降低措施以及風險轉移措施四大類措施。企業通過變更計劃消除風險和風險發生的條件，減少損失的可能性，實現規避潛在風險的損失。內部審計人員在對此進行審計需要考慮的因素是規避風險的措施是否可行，方法是否具有經濟性，某一風險的消失是否會引起其他風險的產生。內部審計部門需要考慮企業維持該風險的成本是否高于承擔風險的成本，若大于，是否可以選擇其他措施補償承擔該風險的成本；還有一種間接的風險應對措施：風險有意識地轉移到與其有經濟利益的關聯方，因此風險由另一方承擔。這種情況下，更注重在企業外部與其他關聯方的合作。內部審計機構應重點審計風險轉移成本的是否在可承擔的范圍之內，所選取的關聯方是否是最佳選擇。

三、風險管理審計實施階段存在的問題分析

（一）企業風險管理審計機構缺乏獨立性

目前我國大型企業的內審部門組織層面隸屬于企業的職能部門，企業中的內審機構流于形式，極大影響了審計的獨立性。企業的風險管理系統不僅包括專門的風險管理部門，還應包括與識別風險管理職責相關的其余部門。在領導主體不明的情況下，各部門及相關人員難以界定清晰的工作職責，明確風險承擔的主體，部門間容易相互推諉，風險管理框架難以得到有效實施。

（二）企業缺乏健全的風險管理審計評估體系

我國的風險管理審計起步較晚，少數上市公司、國有企業采取了部分風險管理措施，多數企業缺乏合適的風險管理體系，達不到隨企業發展階段不同對該體系進行動態調整的高管理水平。在實際運營過程中，通常會根據風險管理部門對風險的認知或企業歷史狀況為標準建立風險管理系統。同時，特定的風險管理對象缺乏不同的風險管理體系，導致我國企業風險管理水平難以提升。

（三）企業風險管理審計人員知識結構單一

現代的企業風險管理審計是一個知識交叉領域，不僅要求審計人員具備審計專業知識，還要熟練掌握風險管理的知識。審計人員只有摸透風險的成因，才能高效展開風險管理審計，降低企業風險，最終實現企業增值。企業風險管理審計對綜合性的高要求，決定了內部審計師不僅要具備審計專業知識和能力，還要全面了解公司的生產和經營活動，具備較全面的知識體系。但中國大多數企業內部審計師的綜合素質相對較低，難以滿足企業對審計人員的需求，難以借助他們的專業技能發現企業的深層次問題，影響了風險管理審計職能的發揮。

（四）企業風險管理審計方法落后

我國企業內部審計部門較西方國家更晚借助計算機技術輔助審計。許多國際公司已使用大量的統計模型、遠程控制和其他方法來進行風險管理審計。與西方的先進企業比，我國的企業風險管理技術相對落后，審計信息化程度不足，處于定性分析的層面，無法量化分析企業風險，讓管理者更直觀了解風險水平。落后的風險管理審計方法將使審計師無法有效識別、評估和應對風險，最終將影響企業降低風險目標的實現。

四、解決風險管理審計實施階段問題的對策探討

（一）明確內部審計部門的獨立地位

我國企業內部審計部門獨立性受其他職能部門制約。工作中容易受到其他部門的影響，導致風險管理審計工作難以得到有力開展。因此，從根源上解決獨立性問題，需要在公司的組織架構中將內審部門獨立出體系，從而提升和保護內審部門的獨立性，使其可在其他部門干擾外展開工作。借鑒西方國家的實踐經驗，例如，在企業董事會下設立審計委員會，直接由審計委員會規劃指導內部審計工作。與此同時，內部審計部門直接對審計委員會負責，具體工作不再受財務部門和其他部門的限制，保證其獨立性。

（二）健全企業風險管理評估體系

健全企業風險管理評估體系的關鍵是建立適合企業自身的風險管理審計評價指標體系。首先，審計部門應全面分析企業內部和外部環境的特征，并根據不同的業務活動列出風險清單，包括整體風險和各業務層面的風險類型；其次，根據風險產生的原因確定不同的風險管理工具；再次，使用風險管理工具對風險點進行具體分析，包括發展風險、操作風險和人力資源風險等；最后，根據每個風險的關鍵管控內容，確定風險管理應對策略。

（三）提高風險管理審計師的專業能力

隨著競爭不斷加劇、業務與國際掛鉤，企業面臨的內外部風險因素變得愈加復雜，這對公司內部審計部門提出了更高的要求，帶來了更多的挑戰。現代企業中的風險管理審計人員呈現出專業知識結構多元化不足的局面。為了解決這一問題，可采取以下措施：一方面，為了滿足企業風險管理的多元化需要，企業需要改變傳統的內部審計師配置，積極招聘精通法律、金融、計算機、稅務等專業的復合型人才。同時，審計師還應具備良好的人際交往能力和書面表達能力；另一方面，內部審計人員應該深知其職責范圍不僅在于查找問題，更在于探索問題產生的原因并提出解決措施。審計應從傳統的事后審計轉變為事前審計和事中審計； 除了要關注財務信息，還應關注非財務信息，包括制度的健全性、業務的合規性等。

（四）創新企業風險管理審計方法

內部審計人員首先需要分析及控制風險，運用科學合理的審計方法，匯總有效的審計證據，合理應對并控制風險。創新企業風險管理審計方法有助于提高內部審計部門審計的效率和效果，更高效地實施風險管理審計。創新方法包括使用計算機輔助審計和加強非現場審計監督。利用計算機輔助審計，推進企業審計信息化程度，利用計算機高效展開數據核對、驗證和比較，提高數據處理的效率和準確性。為了達到計算機輔助審計的最佳效果，企業聘用相關的專業技術人員，搭建完善的信息系統操作平臺；強調遠程審計，即審計現場的非現場性，有助于審計機構全面控制企業及其分支機構的經營管理活動，確保內部審計的時效性和全面性。