任富強

（西藏民族大學(xué)）

企業(yè)規(guī)模擴大，新興經(jīng)濟組織如雨后春筍般地涌現(xiàn)，現(xiàn)實環(huán)境不確定性因素日益增加，企業(yè)必然面臨著復(fù)雜多樣風險，實施有效風險管理成為促使企業(yè)持續(xù)發(fā)展壯大和快速價值增值的必要保障。通過風險管理審計，對企業(yè)風險管理發(fā)表審計意見，切實幫助企業(yè)改善風險管理。因此，國際和國內(nèi)內(nèi)部審計準則強調(diào)內(nèi)部審計人員應(yīng)積極開展企業(yè)風險管理審計，將風險管理審計作為其必要職責。

一、風險管理審計概念及特征

（一）風險管理審計概念

20世紀末至21世紀初，內(nèi)部控制成為企業(yè)管理核心，內(nèi)部控制以風險管理為基礎(chǔ)，風險管理成為企業(yè)加強內(nèi)部控制的重要手段。風險管理審計不僅積極評價傳統(tǒng)的內(nèi)部控制，更全面審核和分析風險管理機制。眾多成功企業(yè)內(nèi)部審計已經(jīng)把“對企業(yè)風險管理提供建設(shè)性審計意見，獨立地提供改善建議”作為其基本目標和職責，從風險管理視角持續(xù)研究和思考公司治理和企業(yè)經(jīng)營管理，并采取持續(xù)改善企業(yè)風險管理的有效措施。

因此，風險管理審計指審計組織和人員對企業(yè)風險管理收集審計證據(jù)，判斷其符合相關(guān)標準的程度，發(fā)揮監(jiān)督和評價組織風險管理的審計職能，為實現(xiàn)企業(yè)價值增值目標提供合理保證的系統(tǒng)性活動。

（二）風險管理審計特征

風險管理審計與現(xiàn)代風險導(dǎo)向?qū)徲嬅芮新?lián)系，又存在顯著區(qū)別。通過與現(xiàn)代風險導(dǎo)向?qū)徲嫷谋容^，能夠揭示風險管理審計的基本特征。

1.密切聯(lián)系

（1）風險管理審計促進現(xiàn)代風險導(dǎo)向?qū)徲?。通過風險管理審計，監(jiān)督和評價風險管理有效性，促進企業(yè)提高風險管理水平，能夠有力降低企業(yè)風險，良好的企業(yè)風險管理能提高風險導(dǎo)向?qū)徲?、風險評估結(jié)論的可靠性，進而降低風險導(dǎo)向?qū)徲嬶L險，有效提高風險導(dǎo)向?qū)徲嬞|(zhì)量和效率。

（2）具有共同的審計標準、內(nèi)容和目標。兩種審計均需以企業(yè)的風險管理方針、策略和風險評價指標體系為審計評價標準，形成審計結(jié)論；兩種審計需審查組織風險范圍確定、風險識別、風險評價、風險管理措施和方法等，因而具有相同的基本審計內(nèi)容；兩種審計具有提供戰(zhàn)略決策信息依據(jù)，服務(wù)于戰(zhàn)略目標的實現(xiàn)，促進企業(yè)價值持續(xù)增加的相同目標。

2.相互區(qū)別

（1）兩者審計目標有差異性。風險管理審計目標是通過風險識別、風險嚴重程度評估，對企業(yè)風險管理政策的合理性、管理措施的適當性以及執(zhí)行有效性發(fā)表審計意見；風險導(dǎo)向?qū)徲嬆繕耸亲R別和評估企業(yè)風險，根據(jù)風險評估結(jié)果，計劃其他審計程序的性質(zhì)、時間和范圍，最終對企業(yè)財務(wù)報告、經(jīng)濟效益和內(nèi)部控制符合有關(guān)標準程度發(fā)表審計意見。

（2）體現(xiàn)不同審計功能。審計功能已經(jīng)從最初的財務(wù)報表審計功能，拓展到認定的鑒證功能，又拓展到對系統(tǒng)等客觀事物和認定的認證功能。風險管理審計中的審計師站在企業(yè)戰(zhàn)略管理的高度，系統(tǒng)性審核企業(yè)風險管理流程和控制措施，并以企業(yè)內(nèi)部控制為審核重點，判斷企業(yè)風險管理流程和控制措施的健全性和有效性，進而對企業(yè)風險管理系統(tǒng)發(fā)表認證意見，充分發(fā)揮審計對系統(tǒng)和認定的認證功能。風險導(dǎo)向?qū)徲嬐ㄟ^風險評估，計劃其他審計程序的性質(zhì)、時間和范圍，對財務(wù)報表等信息載體符合有關(guān)標準的程度發(fā)表審計意見，充分發(fā)揮審計對信息載體或認定的鑒證功能。因此，風險管理審計體現(xiàn)了審計的認證功能，風險導(dǎo)向?qū)徲嬻w現(xiàn)了審計的鑒證職能，風險管理審計處于審計功能拓展的更高階段。

（3）審計服務(wù)范圍不同。風險管理審計主要服務(wù)于企業(yè)內(nèi)部經(jīng)營管理，幫助企業(yè)管理層發(fā)現(xiàn)管理漏洞，提供改善企業(yè)管理的對策建議。當風險導(dǎo)向?qū)徲嫳挥糜诮?jīng)濟效益審計時，其服務(wù)于企業(yè)內(nèi)部改善經(jīng)營管理需要；當風險導(dǎo)向?qū)徲嫳挥糜谪攧?wù)報表審計、內(nèi)部控制審計、經(jīng)濟責任審計等時，其服務(wù)于外部利害關(guān)系人明確受托經(jīng)濟責任履行狀況的外部需要，即風險導(dǎo)向?qū)徲嫹?wù)于企業(yè)內(nèi)外需要，但主要服務(wù)于企業(yè)外部需要。

（4）審計工作范圍不同。風險導(dǎo)向?qū)徲嬆繕耸菍ω攧?wù)報表等發(fā)表審計意見，其僅關(guān)注影響財務(wù)報表可靠性等的風險狀況，較少考慮無關(guān)的風險狀況；風險管理審計目標對風險管理發(fā)表審計意見，相比現(xiàn)代風險導(dǎo)向?qū)徲?，其更遠、更多地覆蓋企業(yè)風險管理，它既囊括現(xiàn)代風險導(dǎo)向?qū)徲嫽緝?nèi)容，又擴大審計關(guān)注至企業(yè)戰(zhàn)略目標、管理層的風險容忍度、主要風險評價指標以及企業(yè)績效評價分析等更為深入和全面的區(qū)域，為實現(xiàn)企業(yè)戰(zhàn)略目標，風險管理審計積極關(guān)注優(yōu)化企業(yè)風險管理問題，使得風險管理審計已經(jīng)成為企業(yè)風險管理的重要組成要素。

二、現(xiàn)代企業(yè)風險管理審計主體、內(nèi)容和程序

（一）現(xiàn)代企業(yè)風險管理審計執(zhí)行者主要是內(nèi)部審計主體

在西方當社會經(jīng)濟發(fā)展到特定階段時，企業(yè)內(nèi)部管理層次深化、規(guī)模擴大，基于企業(yè)加強管理與監(jiān)督需要而產(chǎn)生內(nèi)部審計，并隨管理需要而不斷發(fā)展內(nèi)部審計。內(nèi)部審計從最初的側(cè)重于發(fā)揮企業(yè)監(jiān)督職能的目標，轉(zhuǎn)向側(cè)重于發(fā)揮內(nèi)部審計評價職能的目標，從而增加組織價值，改善組織經(jīng)營。

我國市場經(jīng)濟起步較晚，推廣企業(yè)內(nèi)部審計時，市場經(jīng)濟機制尚不成熟，并非在企業(yè)內(nèi)部管理的自愿需求推動下產(chǎn)生和發(fā)展內(nèi)部審計，在政府審計部門強制性要求下建立和發(fā)展內(nèi)部審計。隨著我國市場經(jīng)濟機制快速發(fā)展并日漸成熟，企業(yè)內(nèi)部審計逐漸成為企業(yè)自發(fā)內(nèi)在需求。

企業(yè)內(nèi)部審計目標在于協(xié)助和支持企業(yè)管理層實現(xiàn)相關(guān)目標，努力實現(xiàn)企業(yè)價值最大化目標。企業(yè)風險管理審計總體目標是監(jiān)督并評價企業(yè)風險管理適當性和有效性，發(fā)現(xiàn)風險管理漏洞，并提出完善企業(yè)風險管理的建議，促進企業(yè)最大限度實現(xiàn)目標并增加企業(yè)價值，因而內(nèi)部審計目標與企業(yè)風險管理審計目標具有天然的一致性。

內(nèi)部審計機構(gòu)和人員長期扎根于本企業(yè)，其掌握了更多、更深的企業(yè)經(jīng)濟活動信息，并能長期跟蹤企業(yè)經(jīng)濟活動，承擔了改善企業(yè)經(jīng)營管理的“家庭醫(yī)生”角色，因而相比外部審計主體，內(nèi)部審計主體具有實施本企業(yè)風險管理審計的領(lǐng)先優(yōu)勢，其能夠更有效地發(fā)揮審計客觀職能，因而內(nèi)部審計機構(gòu)和人員成為開展風險管理審計的主要主體。

（二）現(xiàn)代企業(yè)風險管理審計內(nèi)容

企業(yè)存在整體層面與業(yè)務(wù)流程層面的風險管理，審計人員需從兩個層面審查與評價企業(yè)風險管理，其應(yīng)當包括以下具體內(nèi)容：

1.審查和評價風險管理系統(tǒng)的健全性和有效性

（1）審查企業(yè)風險管理系統(tǒng)設(shè)置的健全性與合理性

企業(yè)依據(jù)社會經(jīng)濟環(huán)境對企業(yè)戰(zhàn)略目標的影響，考慮企業(yè)經(jīng)營性質(zhì)、經(jīng)營規(guī)模、管理水平等因素，建立健全企業(yè)風險管理組織機構(gòu)、業(yè)務(wù)流程，配備勝任的人員，明確不同層次管理層的職責劃分，制定風險管理規(guī)章制度和工作計劃，從而建立具有健全性與合理性的企業(yè)風險管理系統(tǒng)。

審計人員既需審查風險管理系統(tǒng)設(shè)置的健全性，發(fā)現(xiàn)漏洞，又要評價該系統(tǒng)設(shè)置的合理性，揭示多余的、重復(fù)的、無效的機構(gòu)、崗位或程序。

（2）審查風險管理程序的合理性和有效性

企業(yè)建立業(yè)務(wù)流程，在業(yè)務(wù)流程中設(shè)置風險管理程序，通過嚴格的程序化處理，管理企業(yè)風險。審計人員必須關(guān)注風險之間的聯(lián)系，審查風險管理程序的合理性，在此基礎(chǔ)上，審核企業(yè)業(yè)務(wù)流程中控制程序運行的有效性。

（3）審查風險預(yù)警系統(tǒng)的科學(xué)性及有效性

風險管理的重心在于從企業(yè)外界環(huán)境出發(fā)，分析實現(xiàn)戰(zhàn)略目標的阻礙因素和促進因素，依據(jù)企業(yè)經(jīng)營性質(zhì)、規(guī)模和管理水平，建立健全企業(yè)風險預(yù)警機制，及時發(fā)現(xiàn)風險并采取適當?shù)娘L險管理措施，既消除或最大限度降低企業(yè)風險帶來的損失和可能性，又及時抓住風險帶來的機會，為企業(yè)創(chuàng)造價值。審計人員依據(jù)企業(yè)戰(zhàn)略目標，從企業(yè)全局出發(fā)，分析企業(yè)風險預(yù)警機制的科學(xué)性和有效性，提供改善企業(yè)風險預(yù)警機制的建議。

2.審查企業(yè)風險識別的充分性和有效性

企業(yè)通過健全與合理的風險管理系統(tǒng)，識別企業(yè)所處社會經(jīng)濟環(huán)境中影響戰(zhàn)略目標實現(xiàn)的因素，如國際經(jīng)濟形勢發(fā)展、政府法規(guī)政策變化、行業(yè)競爭狀況更替、科學(xué)技術(shù)手段提升、管理思想方法推進等，及時識別影響企業(yè)戰(zhàn)略目標實現(xiàn)的戰(zhàn)略風險；企業(yè)通過業(yè)務(wù)流程與控制措施管理風險，在此過程中，密切關(guān)注企業(yè)生產(chǎn)經(jīng)營和管理活動存在的風險因素，加強上下級和同級信息溝通，敏感覺察不利因素，有效識別企業(yè)內(nèi)部風險。風險管理人員應(yīng)在實地調(diào)查研究之后，運用各種方法系統(tǒng)歸類尚未發(fā)生的、潛在的風險及已經(jīng)存在的各種風險，總結(jié)企業(yè)面臨的各種風險。識別風險是風險管理的基礎(chǔ)，審計人員審查企業(yè)識別內(nèi)外風險的有效性，發(fā)現(xiàn)漏洞，避免企業(yè)遺漏重要風險，改善與提高企業(yè)風險識別水平。

3.審查企業(yè)風險評估的可靠性及有效性

企業(yè)針對識別的風險，需評估這些風險帶來的損失金額即發(fā)生可能性，進而決定采取風險規(guī)避、風險分擔、風險降低中某一風險管理策略；其次，企業(yè)通過風險評估，發(fā)現(xiàn)可供利用的機會，采取利用機會的措施。審計人員采取適當?shù)膶徲嫹椒?，收集審計證據(jù)，判斷企業(yè)風險評估與相關(guān)標準的符合程度，這些標準可能來自企業(yè)內(nèi)部和外部，也可由審計人員根據(jù)實際情況，制定相關(guān)審計標準。

4.審查風險管理策略與措施的合理性及有效性

企業(yè)確定可接受風險水平，針對識別和評估的企業(yè)風險，可供選擇的風險管理策略有風險規(guī)避策略、風險分擔策略和風險降低策略，企業(yè)選擇適當?shù)娘L險管理策略后，借助企業(yè)業(yè)務(wù)流程，實施系統(tǒng)化配套型的風險管理措施。審計人員評價可接受風險的恰當性，判斷企業(yè)風險管理策略的科學(xué)性，審查企業(yè)風險管理措施的合理性和實際有效性。

（三）風險管理審計程序

1.實施戰(zhàn)略風險分析

搜集國際形勢、國家法規(guī)政策、所在行業(yè)及企業(yè)當前發(fā)展趨勢信息資料，識別、評估這些信息資料顯露的組織戰(zhàn)略風險，識別外界環(huán)境阻礙或促進企業(yè)發(fā)展的因素，進而判斷企業(yè)外界環(huán)境對實現(xiàn)企業(yè)戰(zhàn)略目標的影響，識別、評估企業(yè)戰(zhàn)略風險。

2.確定可接受風險水平

檢查公司政策，董事會和審計委員會的會議記錄，評價企業(yè)風險管理觀念和方法，判斷企業(yè)對風險（主要指經(jīng)營風險）的接受程度，確定可接受風險水平。

3.開展流程風險分析

為了克服企業(yè)風險，企業(yè)設(shè)置并執(zhí)行業(yè)務(wù)流程，通過業(yè)務(wù)流程管理風險，但業(yè)務(wù)流程的局限性導(dǎo)致業(yè)務(wù)流程并不能將風險降低為零。審計人員開展流程分析，評估剩余風險。

（1）檢查以前發(fā)表的風險評估報告。分析歷史風險評估報告，推斷企業(yè)目前的風險狀況。

（2）執(zhí)行控制測試程序。審計人員采用觀察法、詢問法、檢查法、重新執(zhí)行法、穿行性測試法等檢查風險管理策略或措施的有效性。

（3）分析流程風險。在風險難于量化，難于獲取定量評價指標時，常運用定性方法，比如調(diào)查問卷法、SWOT法、流程圖法等。

（4）與組織管理層溝通。與組織管理層討論有關(guān)部門的目標，相關(guān)風險及其控制活動，充分考慮相關(guān)部門和人員的意見，提高風險管理評估結(jié)果的可靠性和實用性。

4.總結(jié)風險管理審計結(jié)論。綜合評價收集的風險信息，獨立評估風險管理活動的有效性，評價企業(yè)是否達到本行業(yè)最佳風險管理水平。

三、我國企業(yè)風險管理審計的典型問題及相關(guān)對策

（一）我國企業(yè)風險管理審計的典型問題

1.側(cè)重審計風險管理過程，忽略風險管理效果

風險管理涵蓋整個企業(yè)，盡管國內(nèi)外的一系列準則和理論研究明確認為風險管理審計既要覆蓋風險管理工作的各個流程，評價風險管理實施情況和效果。但已經(jīng)開展的風險管理審計主要審計風險管理流程，更多地關(guān)注過程性內(nèi)容，如是否定期開展風險識別工作、風險預(yù)警機制是否按要求運行等，較少關(guān)注風險管理的效果性。在風險管理審計中仍然大量依賴審計判斷，通過審計判斷，實施審計程序，形成審計結(jié)論，包含大量審計判斷的審計結(jié)論只能提供合理保證，為了提高合理保證程度，必須將過程審計與結(jié)果審計緊密結(jié)合。

2.視風險為獨立個體，忽視風險間的普遍聯(lián)系

將風險視作獨立個體，對各風險分別實施審計工作，分散地開展評價單個風險應(yīng)對舉措，未能深入剖析風險之間及應(yīng)對舉措之間關(guān)聯(lián)性，導(dǎo)致審計結(jié)論就事論事、浮于表面，缺乏全局觀，與企業(yè)戰(zhàn)略與價值缺乏有效關(guān)聯(lián)。審計實務(wù)中常發(fā)現(xiàn)重大風險事件的成因往往在價值鏈上游，有的事件甚至經(jīng)過多個環(huán)節(jié)層層傳遞風險，即各環(huán)節(jié)的風險具有普遍聯(lián)系。單個風險的影響能夠被容忍時，但風險的累積影響極可能是重大的，此時的單個風險不可容忍。審計人員未能系統(tǒng)性地評價企業(yè)的風險管理，忽視風險的聯(lián)系將直接導(dǎo)致忽視風險的累計影響。

3.依據(jù)傳統(tǒng)審計標準評價發(fā)現(xiàn)問題，未能充分考慮風險容忍度

在風險管理審計過程中，基本仍沿用傳統(tǒng)審計（如財務(wù)報告審計、內(nèi)控審計、經(jīng)責審計）標準，未能充分考慮風險管理特點，即風險容忍度。如風險管理審計中常發(fā)現(xiàn)未能嚴格執(zhí)行部分管控措施，在判斷是否屬于風險管理缺陷時，未融入企業(yè)風險容忍度，未能密切聯(lián)系風險發(fā)生可能性、損失金額，適當?shù)卦u價風險的嚴重程度，或者簡單地判斷存在風險管理缺陷，但實際在經(jīng)營中常常并沒有發(fā)生實際損失，風險管理審計結(jié)論“草木皆兵”，過于敏感，導(dǎo)致審計結(jié)論嚴重脫離企業(yè)經(jīng)濟業(yè)務(wù)實務(wù)，徒增企業(yè)管理成本的現(xiàn)象；或者風險管理審計結(jié)論過于樂觀、冒險，但企業(yè)發(fā)生重大損失，未能幫助企業(yè)“防患于未然”；未能客觀評價風險管理工作，審計成果無法得到企業(yè)認可和有效運用。

由于上述問題，導(dǎo)致審計工作的成效與價值較難更有效地促進企業(yè)價值增值，眾多企業(yè)認為風險管理審計中看不中用，其未肯積極開展風險管理審計。

（二）改善我國企業(yè)風險管理審計的對策

1.改善剩余風險管理審計，增強審計實效性

企業(yè)通過科學(xué)設(shè)置業(yè)務(wù)流程，努力控制企業(yè)風險，但業(yè)務(wù)流程存在固有局限性，經(jīng)濟業(yè)務(wù)經(jīng)過業(yè)務(wù)流程后，仍然存在一定剩余風險，即剩余風險不可能降低為零。企業(yè)風險管理措施不當或存在漏洞是剩余風險主要原因，剩余風險導(dǎo)致風險管理失效現(xiàn)象，其體現(xiàn)了企業(yè)風險管理的最終效果，因此，通過加強剩余風險管理審計，既避免審計結(jié)論過于謹慎、敏感，而徒增企業(yè)管理成本，又要防范審計結(jié)論盲目樂觀、過于冒險而給企業(yè)造成不必要損失。

首先，審計人員充分把握風險因素的特征，準確識別風險因素，測試風險管理政策，分析風險管理不足之處，確定哪些剩余風險屬于高危風險。其次，應(yīng)當綜合性評價剩余風險，綜合考慮企業(yè)剩余風險發(fā)生的可能性和損失金額，將剩余風險進行科學(xué)合理地排序，針對不同序次剩余風險，幫助企業(yè)采取梯度性管理措施，增強風險管理審計結(jié)論的穩(wěn)妥性。

2.系統(tǒng)性評估風險管理

單個風險的單獨影響不重要時但多個風險的累積影響可能是重要的，審計人員既要考慮風險的單獨影響，也要考慮風險的累積影響。企業(yè)通過細致分工與協(xié)作基礎(chǔ)上的業(yè)務(wù)流程開展業(yè)務(wù)活動，風險往往具有傳導(dǎo)性，審計人員需充分考慮傳導(dǎo)性風險滋生的其他風險。

首先，審計人員綜合考慮企業(yè)目標，做好充足的調(diào)查工作，深入相關(guān)審計領(lǐng)域，發(fā)現(xiàn)如企業(yè)文化、內(nèi)部控制體系、業(yè)務(wù)交易系統(tǒng)等方面的風險因素，審計人員相互交流和討論掌握的信息，在普遍聯(lián)系中驗證企業(yè)風險管理狀況，科學(xué)合理地評價風險管理。其次，針對管理層的風險管理自我評估進行實地觀察，驗證這些自我評估的可靠性、全面性和深入性。最后，審計人員系統(tǒng)性評估風險管理相關(guān)的工作薄弱環(huán)節(jié)，并與管理層溝通這些環(huán)節(jié)，努力取得管理層對審計結(jié)論的支持和認可。

3.設(shè)置和運用可接受風險水平，提高審計效率性和效果性

充分認識企業(yè)風險的必然性、客觀性，即企業(yè)風險不可能降低為零，設(shè)置恰當?shù)目山邮芷髽I(yè)風險，有助于將評估的企業(yè)風險與可接受風險的比較，采取恰當?shù)娘L險管理策略和措施。

審計人員評價可接受風險的適當性，判斷企業(yè)運用可接受風險實施風險管理的合理性和有效性，進而科學(xué)合理地做出風險管理審計結(jié)論；通過可接受風險水平，指導(dǎo)和安排審計工作，提高審計效率，盡早提供風險管理審計報告，使得企業(yè)各部門及時采取改善企業(yè)風險管理的措施。