1、浅谈企业风险管理审计摘要:企业要在复杂的经营环境下生存与发展,就必须加强风险管理。内部审计是企业风险管理的重要手段,开展风险管理审计是对风险管理机制整体运行状况的有效监督。本文首先明确了风险管理审计的定义,然后阐述了风险管理的标准和内容。 关键词:风险管理审计 ;标准 ;内容 Abstract: The enterprise want to survive and development in the complicated business environment, it must strengthen risk management. Internal audit is an import
2、ant means of enterprise risk management; risk management audit is the effective supervision on the operation status of the overall risk management mechanism. This paper firstly clarifies the definition of risk management audit, and expounds the risk management standards and content. Keywords: risk m
3、anagement audit; standard; content 中图分类号:F279.23 随着经济全球化发展,市场竞争越来越激烈,企业的经营环境更加充满了不确定性,如何识别、控制和利用好风险,完善企业的内部控制制度,提高企业的风险管理水平,已成为当务之急。内部审计是企业风险管理的重要手段,开展企业风险管理审计,对企业的风险管理进行持续监督评价,已成为企业内部审计新的任务和转型的必然之路。 一、风险管理审计的定义 风险是无法完全规避的,既然无法规避,就需要对其进行管理控制,管理控制的效益、效率、效果如何,就需要对其进行监督评价,就需要开展风险管理审计。所谓企业风险管理审计是指企业内部审计
4、部门采用一种系统化、规范化的方法作为指引或导向,对企业风险管理进行评价、为企业风险管理提供咨询,对企业风险管理提供合理保证的活动,其目的是提高企业风险管理效率、帮助企业实现风险管理目标、为企业增加价值。风险管理审计是全面风险管理体系的重要组成部分,属于风险管理要素中的监控要素,主要负责对风险的持续监控、单独评价和报告缺陷等。 二、风险管理审计的标准 1、风险管理审计评价标准。风险管理审计评价标准应参考并不固化于以下内容:一是 COSO 委员会新报告企业风险管理框架 ,它是在1992 年 COSO 委员会颁布的内部控制框架基础上,结合萨班斯一奥克斯法案在报告方面的要求,吸收各方风险管理研究成果基
5、础上提出的,具有一定的权威性并为大多数企业所接受;二是政府有关部门结合国情制定的企业风险管理指引等文件规定;三是企业结合本单位实际情况制定的风险管理制度;四是企业制定的发展战略目标和风险管理目标;五是企业存在的潜在风险管理与内外部环境是否适应,是否影响企业持续经营;六是企业发生的风险损失大小与机会利用程度。 2、审计实务标准。开展企业风险管理审计要遵守国际内部审计师协会制定的内部审计实务标准 ,遵守中国内部审计协会制定的内部审计准则 ,它们“为开展并促进多种不同的,具有增值作用的内部审计活动制定了框架” ,为内部审计提供了行为标准,是衡量内部审计工作质量的准绳,是开展内部审计工作的保障。因此,
6、它同样也是开展风险管理审计的实务标准,是开展风险管理审计的系统化、规范化的方法。 三、开展风险管理审计的主要内容 1、企业内外部风险管理环境。企业的内部风险管理环境是指建立、加强或削弱特定风险管理政策、程序及其效率的各种因素,是其他所有风险管理要素的基础,是实施风险管理的有力保障,是影响企业风险管理目标实现的核心因素。企业的内部风险管理环境不仅影响企业战略和目标的制定、业务活动的组织和对风险的识别、评估和反应,还影响企业控制活动、信息和沟通系统以及监控活动的设计和执行。风险从另一个侧面也可以看作企业的运营对外部环境的不适应性。不掌握这种外部环境,缺乏足够的外部信息资源,就难以识别并评价这种不适
7、应性,对风险识别、评估也不会得出正确的结果。因此,企业的外部环境也同样是风险管理审计的重要内容。 现行的审计准则,无不要求审计人员在组织审计实施时,深入调查了解被审计单位的情况,并把了解熟悉企业的内外部环境,作为确定审计范围、审计重点、制订和调整审计方案的前提,作为选择审计策略的重要方法和途径。这些要求对开展风险管理审计同样是使用的,但是它不仅是做好风险管理审计的前提,更是风险管理审计的重要内容,如果把环境放在风险管理要素之外或仅对环境做一般了解,而不是作为一项审计内容深入检查评价,就不可能从组织的顶端、以一种全局的风险组合观来看待风险,就不可能找到风险管理缺失或失效的真正原因。 2、企业的风
8、险管理制度是否健全有效。企业风险管理制度是企业员工在生产经营活动中进行风险管理共同遵守的规定和准则的总称,如果没有统一的规范性的风险管理制度,风险管理就不可能在企业管理制度体系正常运行下,企业的风险管理制度是否健全有效应作为一项重要审计内容。要通过风险管理制度的审计检查,确认企业中的每个员工都能分享风险的概念,并在日常的生产经营中使用相同的风险语言。要通过制度检查确信企业是否已建立风险管理机制,风险管理机制是否包含了风险管理各项要素,覆盖了所有风险领域和风险种类,风险管理策略是否适当,风险管理体系是否健全,风险管理职责是否明确,风险管理文化是否具备、风险信息是否能够及时沟通、风险是否能够得到及
9、时和持续监控等。 3、审查企业的风险管理体系是否健全并有效运作。一是企业是否建立和健全风险管理基本流程。主要包括收集风险管理信息、进行风险评估、制订风险管理策略、提出和实施风险管理解决方案、对风险管理持续监督与改进等工作;二是企业是否建立了内部控制系统。是否围绕风险管理战略目标,针对企业内部的各项业务管理和重要业务流程存在的风险事项,制定并执行相关的规章制度、程序、政策和措施;三是企业是否建立风险管理组织体系。风险管理职责是否得到明确规定和履行。主要包括是否建立了规范的法人治理结构,是否设立了风险管理职能部门,各业务职能部门或生产经营单元是否执行风险管理职责,正确执行风险管理流程,内部审计或监
10、督部门是否定期对风险管理进行指导、监督、检查、评价等;四是企业是否建立了风险管理信息系统。建立了涵盖风险管理基本流程、内部控制系统各环节和风险管理全部组织体系,风险管理信息能够在各职能部门和业务单元之间集成与共享;五是企业是否建立风险管理文化系统;六是企业的风险管理要求是否融入到企业管理和业务流程当中。要通过审查风险管理体系,确认企业的风险管理是否全过程、全方位和全员、全要素的风险管理控制。 4、审查企业的风险识别、风险评估、风险管理策略、风险管理方案与措施是否能够满足企业风险管理需要。此项审计内容是风险审计的重点内容,通过风险管理审计,帮助被审计单位提前识别、分析和定位风险事项,从而在其造成
11、损害或损失前将其消灭。审计的主要内容包括:一是审计要通过风险识别查找企业各业务单元、重要经营活动、重要业务流程中有无风险,有哪些风险,风险的具体特征是什么;二是要在风险识别的基础上,对风险进行评估分析,确认风险发生的可能性高低,风险发生的条件、原因,风险对企业实现战略目标、经营目标、财务目标、法律目标的影响程度;三是审查企业是否采取了风险管理策略,是否围绕企业发展战略,确定风险偏好、风险承受度,选择适合企业内外部环境需要的总体策略和资源配置;四是审查企业是否制订了风险管理解决预案,预案能够针对各类风险制订风险管理解决方案;五是检查企业发生的风险损失及潜在风险对企业战略目标的影响;六是将审计对风险事项的识别、评估结果与被审计单位自己进行的风险识别、评估结果进行对比,测量、测试其差距,评价企业风险识别、评估的合理性、准确性,检查企业的风险管理策略和风险解决方案是否适用于审计对企业风险识别、评估的结果。 目前,企业的风险管理审计尚处在起步阶段,远未构建起完整的学科体系,风险管理审计制度缺乏,风险管理审计的发展还面临着若干问题。但是只要我们坚持科学的审计发展观,树立科学的审计理念,不断提高审计人员素质,努力改进审计程序、审计方法、审计技术和审计手段,内部审计必将具备揭示和评价风险的能力,在促进风险管理效率和效果,防范风险损失,利用风险有利机会方面有所作为,必将为企业创造更多的价值。
