风险管理审计浅析

风险管理审计浅析

李松好

李松好（义煤集团永兴工程有限责任公司）

摘要：企业的生存和发展离不开其内外各类环境的协调，同样受到相关各类风险的威胁。企业只有在全面认识这些风险的基础上，才能对其进行有效控制，以达到生产经营的预期目标。

关键词：风险管理审计

1企业风险管理概述

风险产生于不确定性因素的存在。在企业运行过程中，内外环境的不确定性带来了企业运行的风险。由于在通常我们更注重企业的运行结果，因此，可以认为，企业风险是企业运行结果偏离期望结果的可能性。相应的，对预期结果的实现与否及可实现程度的大小成为了衡量企业风险大小的现实标准。

企业风险存在于其运营的各个方面，故而企业风险管理也应贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其限制在该主体的风险容量之内，并为主体目标的实现提供合理保证。企业风险管理体系应具备以下特征要素：

1.1确定目标。目标的制定要与企业当前风险承受能力相符、与企业使命相一致。

1.2提高企业员工认识风险的能力，改善他们看待风险的态度。企业的风险管理工作要内外两手抓、要管理财务两手抓，要辨证得看待企业的风险问题。这要求员工必须识别影响企业目标实现的内外事件，分清风险和机会，同时管理者制定战略或目标时也应考虑机会和随之而来的各类风险。

1.3针对风险制定策略。包括规避、接受、降低或分担，并制定一套措施把风险控制在企业的风险容忍度和风险承受能力之内。

1.4风险控制和监控活动。企业应当使整个企业风险处于动态的监控之下，要做到根据条件的变化对风险控制方法和程度进行调整，必要时还要进行修正，以揭示企业风险管理的真实情况。

1.5沟通和交流。企业应当建立基于风险的信息交流与沟通的平台，使风险的相关信息在企业主体中能够自由、顺畅的横向、纵向流动，以帮助各个层级识别、评估和应对风险。

2风险管理审计的目标与内容

企业风险管理审计作为内部审计的一部分应以内部审计的目标为其工作方向，并在此基础上结合企业风险管理的特征确定自身的目标。

从内部审计的发展过程可以看出，企业内部审计的目标在于帮助企业实现目标。在我国内部审计协会2005年发布的内部审计准则序言中提到，制定中国内部审计准则的目标是：明确内部审计机构和人员的责任，发挥内部审计在强化内部控制、改善风险管理、完善组织治理结构、促进组织目标实现的作用。企业内部审计的目标决定了企业风险管理审计的目的在于：通过内部审计机构对企业风险管理的认识、应对、监控过程的了解，审查并评估企业风险管理体制的适当性和有效性，提出改进建议，评价职能部门风险管理业绩，促进企业目标的实现。

完善的风险管理系统的特征要素是企业风险管理审计的标准，内部审计应对照相应的特征对本企业的风险管理系统进行审查和评估，以判断其系统是否完备。如此，风险管理系统的建立与企业风险管理审计的内容相结合，能有效指导审计工作的进行。企业风险管理审计的内容包括：

2.1审计企业管理层和相关职能部门是否以充分认识企业内、外部各种风险。识别风险是风险管理的基础，如果这部分出现遗漏，那么整个管理系统必定是不完备的。风险管理人员应当运用各种方法对存在的和潜在的风险进行分析，以判断出企业整体风险、影响各风险的因素和各风险的潜在后果。

2.2审计企业风险评估方法的适当性、有效性。内部审计人员应关注职能部门在实施风险评估方案时所依据的数据是否真实、可靠，所运用的评估技术是否科学、严谨，是否符合成本效益原则。

2.3审计风险应对策略是否适当。考察策略的适当性主要考虑两方面内容：第一，风险策略的制定程序是否适当，是否严格按照既定风险管理程序进行；第二，策略本身是否符合本企业的经营、管理特点。

2.4审计风险应对策略的有效性。考察策略的有效性应从两方面考虑：第一，已制定的应对策略实施后是否能将企业风险控制在企业所能承受的水平内；第二，策略实施是否符合成本效益原则。

3我国风险管理审计中存在的问题

企业风险管理审计还处在发展阶段，大多数企业未形成系统、完善的风险管理体制，风险管理审计缺少执行标准和基础。笔者认为风险管理审计存在的主要问题有：

3.1我国至今没有完备的关于企业风险管理审计的法律法规，缺乏具体的操作标准。《风险管理审计》准则过于原则化，使得在实际工作后中难以执行。

3.2对企业风险管理审计的定位不够清楚、准确。如《内部审计具体准则第16号－风险管理审计》中提出内部审计人员对风险管理的审查和评价是内部控制审计的基本内容之一。而在《企业风险管理框架》中将内部控制扩展为风险管理，明确提出了风险管理包含内部控制。这两种观点的之间矛盾使我们对风险管理审计的定位有点模糊不清，对风险管理审计的范围也有所置疑。

3.3对企业风险的认识不足。在对风险的认识上，大多审计人员可能犯两点错误：第一，只将注意力集中在企业的财务风险，而忽略了企业外部的风险、企业内外沟通的风险和企业内部的其他风险；第二，将风险看成是暂时的，忽略其变动性，只对已发生的风险进行管理，缺乏事前预期与事后追踪监控的能力。

3.4风险管理机构没有真正的独立性。作为企业内部审计的一部分，风险管理审计也存在独立性的问题。尤其我国大多数企业的风险审计部门设立不完善、不系统，审计人员的职责不明确，企业风险责任归属不清晰，都造成了风险审计工作不可能起到真正的约束作用。

3.5缺乏评价企业风险管理水平的标准。目前我国内部控制评价一般是参照财政部发布的《内部会计控制规范——基本规范》进行的，内容主要是以单位的内部会计控制为主，同时兼顾与会计有关的控制。还不存在统一的风险管理的框架，这使得内部审计人员在进行风险管理的评价工作时缺乏依据。

4我国风险管理审计体系的健全与完善

针对我国风险管理审计的问题，结合我国现阶段的经济、社会情况在健全、完善风险管理审计时应主要做好如下几方面的工作：

4.1增强企业风险观念，正确合理的处理风险与效益的关系，把企业长期利益作为企业根本目标；同时，审计人员除了监督企业认真贯彻内控制度，切实规法操作程序，防止人为风险外，还应克服管理部门的偏见，落实审计整改意见，真正是风险管理审计发挥作用。

4.2转变社会各界的风险意识，推动风险管理的制度、法制建设。内部审计准则规范了内部审计机构和人员的执业过程，保证内部审计质量，提高了内部审计效率。但目前我国在短时间内建立一套完整的、适合我国国情，同时又具有前瞻性和能指导实际工作的审计准则体系是一项异常艰巨的任务。这就需要在一方面尽力完善准则的同时，不断敦促内部审计部门和人员不断地在工作中创新，力争将实务中成熟、有效的经验上升到更高的层面上进行总结和推广。

4.3拓宽风险管理审计范围，提高风险管理审计频率，做到对企业风险全局掌控。这要求企业结合自身实际建立其风险体系，并以此指导企业风险管理工作。另外，风险管理审计应做到经常化，要随企业生存环境的变化进行周期性的或不定期的风险审查评估，对重点展开专项审计，做到对企业风险的动态跟踪，捕捉。

4.4创新风险管理审计技术与方法。计算机会计信息系统的应用和发展，可以极大的提高风险管理审计水平。因此，积极探索有效的审计方式，通过开发新的审计软件，提高计算机审计系统在我国企业风险管理审计的应用率，将传统的手工查账方法与先进的计算机技术相结合来进行审计已成为必然的趋势。审计部门可以专门配备或外聘信息技术方面的人员或机构，在企业内部建立一个完善、高效的审计信息化系统和审计操作平台，提高审计效益，更好地为风险的预测、评估和控制服务。

4.5进行及时、有效的沟通。风险的不确定性，要求在风险管理过程中，风险管理审计机构与被审计单位、组织管理层之间，要加强沟通的力度，拓宽沟通的层面，丰富沟通的渠道，更新沟通的手段，加快沟通的进程。

4.6提高内部审计师的素质。高素质审计人才应该具备以下标准：具有丰富的专业知识和相应的技能；具有高度的责任心和良好的职业道德；具有敏锐、细致的观察思辨能力；具有较强的组织能力、分析能力、处理问题的能力和社会活动能力；熟练地掌握计算机技术；精通英语。

总之，内部审计师应在经营风险审计的基础上建立高频高效的审计平台和多层次的审计网络，加强对风险的动态分析，从而全面掌握企业各种风险真正避免企业损失。