企业风险管理审计研究

企业风险管理审计研究摘要 企业 风险管理是一个倍受关注的焦点 问题 ，企业能否在存在各种不确定性因素 影响 的环境中有序、有效地运转，在很大程度上取决于企业风险管理的有效性。对企业风险管理的有效性进行审查和评价是 现代 内部审计的一个崭新领域，本文在 分析 了企业风险和风险管理内涵的基础上，分析了企业风险管理审计的目标及主要 内容 。 关键词 企业风险 风险管理 风险管理审计 由于各种不确定性因素，企业面临着各种风险，能否对风险进行有效的管理和控制，是企业能否生存 发展 、实现企业预期目标的关键。企业风险管理的有效性在一定程度上取决于企业对风险管理工作的监督和评价。因此，无论是国际内部审计师协会对内部审计的定义，还是我国的内部审计准则都强调了内部审计在企业风险管理中的重要性。我国从2005年5月1日起施行的内部审计具体准则第16号风险管理审计中更是强调了内部审计人员对风险管理进行审查和评价的职责。 一、企业风险及风险管理的内涵 进行企业风险管理审计，必须明确企业风险及风险管理的内涵。否则，企业风险管理审计便无从谈起。 1 企业风险的实质 首先，风险产生于不确定性因素的存在，如果企业运行的内外环境是确定的，则不存在企业风险。其次，企业运行环境的不确定性带来了企业运行结果的不确定性。一般来说，我们更注重企业的运行结果，对预期结果的实现与否及可实现程度的大小成为了衡量企业风险大小的现实标准。因此，可以认为，企业风险则是企业运行结果偏离期望结果的可能性。笔者认为，企业目标是企业期望达到的一种结果状态，但由于相关因素的持续不断的变化，企业目标的实现存在不确定性。因此，企业风险可以描述为企业目标不能得以实现的可能性。 2 企业风险的划分 企业风险可以按多种标准进行分类。笔者认为，既然将风险定义为企业目标不能得以实现的可能性，那么，企业风险可以按照企业目标的不同层次来理解和划分，并可将其相应划分为： （1）企业的战略风险是指企业战略目标不能实现的可能性，主要包括：由于对有关影响因素的分析不够充分或对未来的变化没能合理预计而带来的企业在总体战略选择环节的失误风险；由于企业的具体战略选择失误而带来的风险，包括企业经营领域的选择风险、企业并购风险等。 （2）企业日常经营管理风险是指企业具体经营目标不能实现的可能性，又可以划分为企业经营环节的作业链风险，如企业供、产、销等环节的风险；企业的人事风险，如由于人员任用、授权、业绩评价等方面的缺陷带来的风险；企业的信息风险，如企业信息系统风险等。 （3）财务风险。狭义一般是指由于企业筹措资金而形成的风险，并主要是指企业由于举债而形成的风险，也可称之为筹资风险。按照本文对风险的定义，即企业目标不能实现的可能性，则企业的财务风险是指企业财务活动目标不能得以实现的可能性，包括筹资风险、资金投放的风险及企业其他财务活动风险，我们可以称之为广义的财务风险。 3 企业风险管理 COSO于2004年颁布的企业风险管理框架中指出“企业风险管理是一个过程，它由董事会、管理当局和其他人员执行， 应用 于战略制订并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在风险容量之内，并为主体目标的实现提供合理保证。” 我国内部审计协会2005年发布的内部审计具体准则16号企业风险管理审计中指出“风险管理，是对影响组织目标实现的各种不确定性事件进行识别与评估，并采取应对措施将其影响控制在可接受范围内的过程。风险管理旨在为组织目标的实现提供合理保证。” 从上述对风险管理的解释可以看出，企业风险管理的最终目标是为企业目标的实现提供合理的保证。 二、企业风险管理审计的目标 对企业风险管理进行监督和评价是现代内部审计发展的结果，企业风险管理审计的目标取决于对企业内部审计的功能定位。 从西方企业内部审计的产生和发展过程来看，内部审计是随着 经济 的发展，企业内部管理层次的增多和控制范围的扩大，基于企业内部经济管理与监督的需要而产生的，并随着管理的需要而不断发展。随着内部审计的不断发展，内部审计的目标也在不断地变化，其中以国际内部审计师协会（IIA）对内部审计所下定义的变化最具有代表性。国际内部审计师协会（IIA）理事会指出内部审计是一种独立、客观的保证和咨询活动，其目的是增加组织的价值和改善组织的经营。 我国的内部审计不是在企业内部管理需要的动因下发展起来的，而是在政府的要求下，在国家审计部门的推动下建立起来的。1993年国家审计署成立，为了尽快建立和完善审计体系，补充刚刚复兴的国家审计力量的不足，政府和政府审计机构都极力敦促内部审计的组建。但随着我国经济体制的不断改革发展，企业内部审计越来越受到各方面的重视，对内部审计的理解也发生了较大的变化。我国的内部审计基本准则指出：内部审计是组织内部的一种独立客观的监督和评价活动，它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现。 从内部审计的发展过程可以看出，企业内部审计的目标在于帮助企业实现目标。企业内部审计的目标决定了企业风险管理审计的目的在于：通过内部审计机构和人员对企业风险管理过程的了解，审查并评价其适当性和有效性，提出改进建议，促进企业目标的实现。 三、企业风险管理审计的内容 风险管理包括组织整体及职能部门两个层面。内部审计人员既可对组织整体的风险管理进行审查与评价，也可对职能部门的风险管理进行审查与评价。因此，笔者认为企业风险管理审计应当包括以下方面的内容： （一）风险管理机制的审查与评价 企业 的风险管理机制是企业进行风险管理的基础，良好的风险管理机制是企业风险管理是否有效的前提。因此，内部审计部门或人员需要审查以下方面，以确定企业风险管理机制的健全性及有效性。包括： 1 审查风险管理组织机构的健全性。企业必须根据规模大小、管理水平、风险程度以及生产经营的性质等方面的特点，在全体员工参与合作和专业管理相结合的基础上，建立一个包括风险管理负责人、一般专业管理人、非专业风险管理人和外部的风险管理服务等规范化风险管理的组织体系。该体系应根据风险产生的原因和阶段不断地进行动态调整，并通过健全的制度来明确相互之间的责、权、利，使企业的风险管理体系成为一个有机整体。 2 审查风险管理程序的合理性。企业风险管理机构应当采用适当的风险管理程序，以确保风险管理的有效性。 3 审查风险预警系统的存在及有效性。企业进行风险管理的目的是避免风险、减少风险，因此，风险管理的首要工作是建立风险预警系统，即通过对风险进行 科学 的预测 分析 ，预计可能发生的风险，并提醒有关部门采取有力的措施。企业的风险管理机构和人员应密切注意与本企业相关的各种内外因素的变化 发展 趋势，从对因素变化的动态中分析预测企业可能发生的风险，进行风险预警。 （二）风险识别的适当性及有效性审查 风险识别是指对企业面临的，以及潜在的风险加以判断、归类和鉴定风险性质的过程。内部审计人员应当实施必要的审计程序，对风险识别过程进行审查与评价，重点关注组织面临的内、外部风险是否已得到充分、适当的确认。笔者认为应当包括以下 内容 ： 1 审查风险识别原则的合理性。企业进行风险评估乃至风险控制的前提是进行风险识别和分析，风险识别是关键性的第一步。 2 审查风险识别 方法 的适当性。识别风险是风险管理的基础。风险管理人员应在进行了实地调查 研究 之后，运用各种方法对尚未发生的、潜在的、及存在的各种风险进行系统的归类，并 总结 出企业面临的各种风险。风险识别方法所要解决的主要 问题 是：采取一定的方法分析风险因素、风险的性质以及潜在后果。 需要注意是，风险管理的 理论 和实务证明没有任何一种方法的功能是万能的，进行风险识别方法的适当性审查和评价时，必须注重分析企业风险管理部门是否将各种方法相互融通、相互结合地运用。 （三）风险评估方法的适当性及有效性审查 内部审计人员应当实施必要的审计程序，对风险评估过程进行审查与评价，并重点关注风险发生的可能性和风险对组织目标的实现产生 影响 的严重程度两个要素。同时，内部审计人员应当充分了解风险评估的方法，并对管理层所采用的风险评估方法的适当性和有效性进行审查。 内部审计人员应当对管理层所采用的风险评估方法进行审查，并重点考虑以下因素： （1）已识别的风险的特征； （2）相关 历史 数据的充分性与可靠性； （3）管理层进行风险评估的技术能力； （4）成本效益的考核与衡量等。 3 审查风险评估方法应当遵循的原则 内部审计人员在评价风险评估方法的适当性和有效性时，应当遵循以下原则： （1）定性方法的采用需要充分考虑相关部门或人员的意见，以提高评估结果的客观性； （2）在风险难以量化、定量评价所需数据难以获取时，一般应采用定性方法； （3）定量方法一般情况下会比定性方法提供更为客观的评估结果。 （四）风险应对措施适当性和有效性审查 内部审计人员应当实施适当的审计程序，对风险应对措施进行审查。 内部审计人员在评价风险应对措施的适当性和有效性时，应当考虑以下因素： （1）采取风险应对措施之后的剩余风险水平是否在组织可以接受的范围之内； （2）采取的风险应对措施是否适合本组织的经营、管理特点； （3）成本效益的考核与衡量等。