張濤

摘 要：經(jīng)濟環(huán)境的復雜變化使各企業(yè)面臨更多的不確定性因素，重視風險、主動管理風險成為現(xiàn)代企業(yè)經(jīng)營管理的重要部分。為確保風險管理有效性，開展好風險管理審計逐漸成為一種內在需要。實施風險管理審計不僅有利于提高風險管理能力，更好地應對內外環(huán)境變化帶來的不確定性，更有利于改進內部審計工作，并提高內部審計在組織治理結構中的地位。文章對如何開展風險管理審計進行了探討，并對風險管理審計內涵、內容、程序和方法進行了綜述。

關鍵詞：風險管理 風險管理審計 評價

中圖分類號：F239.6 文獻標識碼：A

文章編號：1004-4914（2014）02-117-02

一、引言

國資委2006年發(fā)布《中央企業(yè)全面風險管理指引》，極大地推動了風險管理工作在國內企業(yè)特別是在國有大中型企業(yè)的應用。風險管理屬于新的管理活動，其理論在不斷深化、方法在不斷豐富，風險管理已成為組織治理必不可少的一部分。內部審計機構承擔了風險管理職責，開展基礎體系建設、業(yè)務風險管理等系列工作，以風險和內控為角度開展審計，發(fā)揮出對風險管理工作的監(jiān)督、評價職能。為了確保風險管理的有效性，眾多優(yōu)秀企業(yè)已逐步開展風險管理審計，這一類型審計成為內部審計發(fā)展的一個亮點和趨勢。

二、風險管理審計的基本概念、價值

我國內部審計工作正在從傳統(tǒng)的財務賬項審計向到現(xiàn)代管理審計轉變，內部審計將更加貼近企業(yè)的各項管理，更加融入管理的過程之中。風險管理審計是內部審計的組成部分，是管理審計中新的審計類型。它是內審部門采用系統(tǒng)化、規(guī)范化的方法，對承擔風險管理職責的部門所制定的應對程序、對策方案以及機制的合理性與有效性進行監(jiān)督、評價和咨詢，以改進企業(yè)對風險的管理、增進企業(yè)價值的一種審計類型。

風險管理審計的目標主要包括：范圍的科學合理性；評價標準與指標體系的科學性；識別與評估的科學合理性；措施、方法與程序的合理性；風險應對的合理性等。與傳統(tǒng)內部審計相比，風險管理審計的范圍由內控審計擴展到所有風險管理技術審計，它更加注重確認和測試風險管理部門為降低風險而采取的措施及效果。

開展風險管理審計可以使組織利益相關者了解組織風險現(xiàn)狀，保障各利益相關者共同利益最大化，也可以進一步提高風險應對方案效率、效果，提高內部審計工作的針對性，實現(xiàn)風險管理與組織整體經(jīng)營戰(zhàn)略的優(yōu)化結合。

三、風險管理審計的主要內容

從風險管理審計的內涵可以看出風險管理審計的主要任務包括：檢查、評價、報告風險管理過程的適當性和有效性，以提出改進風險管理工作的意見，為企業(yè)管理層、審計委員會的提供有用信息。

1.評價風險管理機制。良好的風險管理機制是風險管理是否有效的前提，因此，首先應審計、確定組織風險管理機制的健全性及有效性，包括但不限于組織體系、內控體系、報告體系和考核體系。（1）審計風險管理組織機構健全性。開展風險管理，做好組織和人員保障是一項重要內容。組織應根據(jù)自身實際特點，在統(tǒng)一領導、廣泛參與下，搭建職責明確、有效運行的風險管理結構框架，包括風險管理責任人、專業(yè)和非專業(yè)管理人員、外部服務機構在內的組織體系。（2）審計風險管理程序的合理性。企業(yè)應當結合實際建立風險管理的程序流程，確保風險管理的有效性。（3）審計風險管理內控體系的健全性。內控體系在風險管理中占重要部分，屬于核心內容。沒有與組織管理實際相適應的、完整的內控體系，風險管理有效性無從談起。審計人員需要審查被審計單位內控體系構建情況，可以《企業(yè)內部控制基本規(guī)范》為標準，考察對于各個要素的控制。（4）審查報告體系的存在性及運行有效性?？疾烊粘蟾骟w系及運行、突發(fā)風險報告體系及運行、預警報告體系及運行。（5）審查考核體系的執(zhí)行性、有效性。考察考核體系覆蓋程度及結果應用情況，評價考核體系是否能夠有效推動風險管理工作。

2.審計評價風險識別的過程。審計人員在審計時應注意分析企業(yè)風險識別是否結合實際情況充分識別組織內外部所面臨的各項風險。通常來看，應結合風險管理各項環(huán)境和內控要素，如就組織目標、經(jīng)營情況、管理薄弱環(huán)節(jié)或問題等進行訪談、查閱資料、記錄、歷史案例，應了解風險識別過程中的相關記錄材料并評價其充分性，必要時還應進行分析性復核，對企業(yè)經(jīng)營管理活動與內部控制中所面臨的缺陷進行分析、確認。（1）審計識別原則的合理性。風險識別是風險評估及進行應對的關鍵性第一步。只有采取合適的原則才能更充分地識別出各種風險因素。

（2）審計識別的充分性、全面性與否。風險管理審計需要評價相關風險資料是否涵蓋了對組織各層次目標產(chǎn)生影響的所有內部、外部風險。內部風險主要來源于組織治理機構效能、管理的局限，業(yè)務控制失效、產(chǎn)品或服務銷售策略、經(jīng)營活動和業(yè)務特點、資產(chǎn)性質及其管理局限、人員知識結構、專業(yè)經(jīng)驗等方面。外部風險主要來源于國家法律法規(guī)政策變化、宏觀經(jīng)濟環(huán)境變化、行業(yè)變化、競爭環(huán)境等方面。（3）審計識別方法的適當性。審計人員應對各種風險做系統(tǒng)地分析與歸類，形成企業(yè)風險框架，并結合管理實際特點，對企業(yè)風險識別方法的適當性進行審查，評價該方法能否適當?shù)刈R別出對各層目標有針對性的風險。

3.審計評價風險評估過程。風險評估是應用各種工具方法，定性或定量地估計風險發(fā)生的概率及其影響程度。審計人員應實施必要的審計程序，特別是要關注“風險發(fā)生概率”和“風險對企業(yè)目標產(chǎn)生的影響程度”兩個要素確定的方法、記錄、過程，并分析其合理性。（1）風險識別所反映的特征分析。不同企業(yè)所具有的風險具有一定的差異性，對風險評估過程進行評價，因不同的風險所應采取的評估方法不盡相同，審計人員應首先對企業(yè)風險識別結果所具有的特征進行了解，如哪些是內部原因所產(chǎn)生的，哪些是外部原因所產(chǎn)生的，哪些是與戰(zhàn)略、核心業(yè)務、支撐性業(yè)務相關的風險，哪些是與企業(yè)價值鏈關系密切的風險。

審計人員在對風險評估方法審計時，應考慮風險特征來評價評估方法的適當性。如已識別風險可用定量方法評估風險的嚴重程度，審計人員需要判斷描述風險事件影響的“數(shù)量”是否恰當；如無法定量表示，審計人員應判斷管理層所定的“性質”是否合適合理。（2）歷史資料的可信賴程度。企業(yè)（下轉第119頁）（上接第117頁）管理層多數(shù)依據(jù)歷史已發(fā)生的案例、風險事件為參照標準、參考對象進行風險評估，審計人員應考慮歷史資料的充分性、可靠性，充分論證案例發(fā)生環(huán)境、各相關因素、結果發(fā)生條件等是否能夠恰當?shù)亟梃b到當期的風險評估中。（3）判斷企業(yè)開展風險評估的能力。開展風險評估的水平高低與企業(yè)管理層對風險評估方法的理解、運用有密切關系。審計人員應對企業(yè)管理層運用定量定性方法的能力、對所依靠的數(shù)量模型、信息技術、個人經(jīng)歷經(jīng)驗進行了解，考慮評估過程中企業(yè)管理層運用是否恰當。（4）對成本、效益進行權衡。管理層在運用定性或定量方法開展風險評估時應考慮評估方法成本、效益性。審計人員需要對管理層選用方法的成本效益性予以考量。endprint

4.審計評價風險應對措施。審計人員在評價企業(yè)風險應對措施的適當、有效性時，應考慮以下方面：（1）剩余風險是否在可接受的范圍。一般企業(yè)對固有風險具有相應的管控措施，風險應對措施應主要針對剩余風險。因此，審計人員應評價在采取應對措施后剩余風險能否在組織可接受范圍內。如果已將風險降低到企業(yè)可接受的范圍，可以確認風險應對措施有效。（2）是否結合企業(yè)的經(jīng)營管理實際。每個企業(yè)風險應對措施會有所不同，這是基于企業(yè)管理實際狀況而定。如果不適合自身特點，就不是恰當?shù)膽獙Υ胧?。審計人員應考慮企業(yè)經(jīng)營管理特點，對所采取措施的適當性做出評價。

四、風險管理審計程序和方法

1.在計劃階段，識別經(jīng)營風險，制定風險管理審計計劃。通過了解被審計單位的經(jīng)營，識別經(jīng)營風險。如了解企業(yè)性質、管理機制、業(yè)務內容、經(jīng)營范圍、組織結構、人員組成等，建立對企業(yè)框架性的認識；通過查閱企業(yè)文件、規(guī)章制度，了解各項管理要求；訪談各級領導、骨干員工等主要人員，全面了解風險管理現(xiàn)狀；現(xiàn)場查閱各種經(jīng)營生產(chǎn)過程原始記錄，審計審核、批準等管理控制程序。初步確定風險管理薄弱環(huán)節(jié)，編制審計工作計劃。

2.在實施階段，審查、評價風險管理狀況。在實施階段，圍繞風險管理審計的主要內容，審查和評價風險管理狀況，包括風險管理機制、風險識別過程、風險評估以及風險應對措施的審查和評價四個方面。

3.在審計報告階段，出具風險管理審計報告，開展后續(xù)審計。按照審計過程中發(fā)現(xiàn)情況，依據(jù)《風險管理審計準則》出具風險管理審查和評價報告、或者出具詳盡的專項審計報告，將風險管理審計的范圍、內容、方式、時間以及發(fā)現(xiàn)的主要問題及建議報告給適當?shù)墓芾韺印?/p>

由于多數(shù)企業(yè)風險管理職能由內審部門承擔，因此審計人員的審查評價結果可作為改進和完善風險管理工作的一項重要依據(jù)。為保證、監(jiān)督風險管理審計提出的合理化建議能夠得到有效落實，內審人員可以通過后續(xù)審計來復查管理層是否就報告中的建議采取合適的行動，是否取得預期效果，如果未采取行動，需要明確相應責任和原因。

4.審計過程中常用的方法。在風險管理審計不同任務階段，可采用的審計方法有所不同。如，在制定審計計劃時，可通過流程圖法和文字表述法、問卷調查法（編制風險管理問卷調查表）、關鍵路線法確定風險管理審計開展的重點；在審查評價風險識別時，可采用決策分析、可行性分析、生產(chǎn)流程分析、投入產(chǎn)出分析、資產(chǎn)負債分析、排列圖、因果分析、因素分解、經(jīng)濟活動分析法和統(tǒng)計分析法、魚刺圖、專家調查列舉法等；在衡量風險管理措施時可使用專家調查法、風險報酬法、風險當量法、蒙特卡羅模擬方法；在后續(xù)審計階段，可以通過座談、查閱有關資料、現(xiàn)場觀察等進行審計。

五、結語

風險管理審計處于發(fā)展探索階段，很多企業(yè)還沒有形成常規(guī)性審計類型，甚至尚未開展。當然，風險管理審計發(fā)展還面臨很多問題。如組織結構及制度不健全，管理層對風險管理審計重要性認識不足，尚未建立科學合理的風險管理評價標準，開展風險管理審計的人員業(yè)務結構和經(jīng)驗等條件無法滿足風險管理審計需要。

隨著組織內外環(huán)境變化日益加快，風險管理工作逐漸提升到重要層面是一個重要趨勢。作為風險管理的再管理，風險管理審計的廣泛開展需要強化風險管理工作，制定切合實際的風險管理評價標準，明確審計部門開展風險管理審計的重要作用，提高審計人員勝任力，培養(yǎng)高素質審計人才，將風險管理審計常態(tài)化。

參考文獻：

[1] 高東坡.內部審計如何參與企業(yè)的風險管理.商場現(xiàn)代化，2007（9）

[2] 靳建堂.風險管理審計初探.現(xiàn)代企業(yè)風險管理論文匯編，2005

[3] 李曉光.淺議企業(yè)風險管理審計.經(jīng)濟師，2011（5）

[4] 錢光明，陳德艷.論我國企業(yè)風險管理審計.商業(yè)會計，2011（33）

[5] 萬文鋼.對風險管理及風險管理審計的認識和理解.中國內部審計，2010（9）

[6] 汪振綱.風險管理審計理論述評.風險與內控，2010（2）

[7] 夏丹寧.推進風險管理審計的思路.中國內部審計，2004（12）

[8] 謝浩，尹珍麗.風險管理審計常用方法解析.時代經(jīng)貿(mào)，2010（10）

[9] 朱奇云.關于風險管理審計在我國運用的思考.中國市場，2008（48）

（作者單位：中國航空工業(yè)集團公司北京航空材料研究院 北京 100000）

（責編：若佳）endprint