企業風險管理審計的實施路徑探究

李 晗/文

2018年1月，《審計署關于內部審計工作的規定》（以下簡稱《規定》）在內部審計的定義中指出內部審計要對所屬單位的風險管理實施獨立、客觀的監督、評價和建議。《規定》的發布，意味著審計署對內部審計工作和發揮的作用的認可，內部審計的地位進一步提升，在這樣的政策背景下，十分有必要研究企業風險管理審計的實施路徑，為內部審計更好地發揮效益奠定基礎。

一、文獻綜述

（一）風險管理相關概述

風險管理有很多定義。BS31100將風險管理定義為“旨在引導和控制企業風險的管理活動”；風險管理研究所指出風險管理是“為了增加成功的可能性和降低失敗的可能性，幫助企業理解、評估并應對風險的行為”。

（二）企業風險管理審計的內容

目前，學術界就風險管理審計的主體與客體方面取得了一定共識，即風險管理審計的主體是企業內部審計人員，客體是企業風險管理活動，關于審計的具體內容，多數學者認為風險管理審計的內容是評價風險管理機制。

（三）風險管理審計對企業發展的意義

目前多數研究普遍表明企業實施風險管理審計能夠促進自身的增值，但是關于風險管理審計促進企業增值的機理尚不明確。孟曉霖認為風險管理審計是通過作用于內部控制來促進企業增值。孫文剛則認為內部審計與風險管理相互影響，相互推動最終實現共同發展，有助于實現企業的戰略目標。簡而言之，風險管理審計的開展既要符合內部審計的目標，也要符合企業自身的利益。

（四）文獻述評

研究表明，有效的風險管理審計對企業發展有促進作用，并且關于企業風險管理審計的主體內容也取得了一定的共識，但是關于企業如何實施良好的風險管理審計的具體路徑研究較少。本文立足《規定》發布的背景，通過分析企業風險管理的當前困境，進一步提出對策建議，為廣大企業有效實施風險管理審計提供理論依據。

二、企業風險管理審計的當前困境

（一）審計客體缺失

1.風險管理文化的缺失

我國風險管理起步較晚，風險管理文化較為匱乏。這種文化的匱乏直接表現在管理層和普通員工對企業風險管理的不重視。目前，大多數企業都不會在危機發生前進行風險管理，而是在風險發生之后才開始吸取教訓對該風險進行風險管理，即進行事后風險管理，這種層面的風險管理失去了應有的價值。

2.風險管理分散

目前我國大多數企業的風險管理往往是以獨立的風險點為監測對象，即對公司明顯的重大風險點進行監測與控制，但是這些重大的風險點往往分散在不同的業務部門中，導致企業的風險管理很分散。

3.風險管理體系不健全

國外很多企業已經建立起科學合理且適當的風險管理體系，而我國大多數企業由于缺乏風險管理意識，沒有健全的風險管理體系。由于沒有系統的風險管理體系，在實際工作中，往往導致風險管理審計的工作難以繼續，風險管理審計形同虛設。

（二）審計主體能力不足

1.獨立性和權威性不足

在我國，企業內部審計機構主要是高管層管理，此模式下的內部審計的獨立性大大降低，而少數大型企業可能會將內部審計機構設置在董事會于高管層或者監事會于高管層的雙重領導之下，一些小型企業甚至沒有獨立的內部審計機構。總體而言，我國大多數的內部審計機構的獨立性和權威性都還有待加強。

2.審計人員知識儲備不足

從某種意義上說，風險管理審計是一種立足整體的綜合性審計，因此它對內部審計人員的素質也提出了更高的要求，不僅要擁有審計專業技能，還要熟悉企業的生產經營活動，甚至要掌握其他部門的基礎知識，例如法律、工程、計算機等。但是在我國，審計人員的學歷背景組成單一，即多數是畢業于財務管理、會計、審計等管理類專業，缺少法律、工程、計算機等專業知識，因此僅僅依靠現有的內部審計人員可能不足以發現企業的重要風險點。

3.審計技術方法落后

風險管理審計的主要內容是對企業的各項風險管理活動進行有效性地監督與評價，因此審計人員要掌握對風險管理機制評估的方法，包括風險矩陣圖法、專家打分法、層次分析法等定量評估方法。

4.風險管理與內部審計的職能界定不清晰

在實際情況中，在很多大型公司里，風險管理要想與內部審計達成合作是比較困難的，這就導致風險管理審計經常做與風險管理一樣的事情，導致內部審計與風險管理的工作存在重復，造成人力、物力、財力的損失浪費。

三、企業風險管理審計的實施途徑

（一）強化審計客體

1.營造風險管理的文化

對企業而言，可以定期開展風險意識培訓，印發宣傳風險意識的小冊子進行派發，張貼海報等活動，通過這些活動可以大大加強員工對風險管理的重視，培養他們的風險管理意識。對管理層而言，要明確風險管理對企業長久發展的重要作用，要將風險管理提升到企業的戰略高度，這樣有助于營造更加濃厚的風險管理氛圍；對內部審計人員而言，要提高自己的風險管理意識，將風險意識融入日常工作中，對其他部門的風險管理工作進行督導，內部審計人員通過實際行動可以在企業內部進一步加強風險管理氛圍的形成。

2.注重信息共享

必須打破部門間“信息孤島”的狀態，例如定期開展信息交流分享交流大會等，信息的共享可以促進審計人員更深入地了解其他部門，正如前文所描述的風險管理分散這一困境的存在，注重信息共享可以將各部門的風險點串聯起來，利用相關性關系，更敏銳地發現風險點和識別風險來源，實現事前的風險管理審計。

3.完善風險管理體系

企業要基于自身的實際情況，制定出自己的風險管理體系。由于每個企業彼此之間都有差別，例如經營業務的范圍不同、企業自身的規模大小有差異、企業的性質不一樣等，這些差別導致每個企業都要擁有一套獨特的且適合自己的風險管理體系。企業需要根據自身的戰略目標、經營特點、風險管理水平等建立與之相應的風險管理體系。完善的風險管理體系應當包括以下幾個部分，即風險管理流程、風險控制目標、風險資源安排、應對措施規劃要求和風險確保體系五個部分，風險管理是一個動態的過程，因此企業可以根據標準的風險管理體系來制定自己的風險管理體系。

（二）提高審計主體的能力

1.選擇合適的組織模式

內部審計的獨立性與權威性缺失主要與內部審計的組織模式有關，因此本文建議企業結合公司實際情況，采用在董事會或監事會下設審計委員會的組織模式，實施審計結果向董事會和高管層或監事會和高管層進行雙重匯報的制度，這樣內部審計具有較好的獨立性和權威性。只有保證內部審計的獨立性與權威性，風險管理審計的結果才更具有可信性，審計提出的建議才更可能被采納，才能真正地發揮出風險管理審計的價值，在真正意義上服務于企業戰略目標，維護企業的長久發展。

2.成立風險管理小組

在進行風險管理審計的過程中，從各個部門選取員工，組成風險管理專家組，內部審計人員對其進行風險管理審計相關培訓，使項目組成人員更加多樣化。我國風險管理審計存在的問題是審計力量薄弱，此處的薄弱指審計人員的專業背景單一，主要是管理類學歷背景，不符合風險管理綜合性審計的特點，成立風險管理小組可以在一定程度上彌補風險管理審計人員知識結構單一的弱點，更好地發揮風險管理審計的作用。

3.運用數據審計方法

對比風險管理審計的風險評價方法與傳統審計方法，我們可以得出風險管理審計的方法更加注重各個風險事件的相關關系的結論。大數據技術的出現，使獲得全面而客觀信息成為可能。企業可以委派內部審計人員前往學校進修，學習先進的大數據審計技術與方法，從而在實踐中更準確地鑒證風險點、評估風險管理的有效性。

4.劃定清晰的職能邊界

面對風險管理和風險管理審計職能不清晰的情況，企業要制定手冊明確各個部門的職責所在；同時，企業可以采用高管與部門負責人定期溝通的方法，幫助他們明確自己的工作重點領域，避免越俎代庖現象發生；此外，劃定清晰的職能邊界要求企業建立完善的風險管理體系，只有這樣風險管理與風險管理審計才能各司其職。

四、結語

有效的風險管理會給企業帶來各種各樣的好處，但是我國風險管理起步較晚，風險管理審計在實施過程中存在諸多現實困境，但這也證明我國的風險管理審計有極大的發展空間。通過本文分析，未來企業可以有效地將風險管理置于經營管理之中，內部審計可以通過更有效的風險管理審計促進企業長遠發展。