新环境下的企业风险管理与风险导向内部审计

新环境下的企业风险管理与风险导向内部审计

一、引言

在企业竞争不断加剧的环境下，企业风险管理的作用与影响日益受到普遍关注，据安永会计师事务所2006年3月公布的一份全球调查显示，投资者非常关心企业在风险管理方面的情况，避免投资那些风险管理不力的企业。接近2/3的投资者对于风险管理不力的企业，在投资策略上采取非常抵触态度，近五万的投资者表示曾因这一原因抛售了有关的投资产品。可见，企业如何有效地进行风险管理，已成为公司治理层所面临的一个严峻的课题。

二、企业风险管理

全球化企业风险管理发展现状与趋势

如今的西方多数大中型企业均已实施了不同程度的风险管理。根据德勤2003年的调查，80%以上的世界性金融机构已设立了风险管理师工作职位，CRO职位比例居首位的为南美洲金融机构，已达95%，居末位的为亚洲金融机构，仅为29%.在目前欧美的部分金融机构中CRO的职位职能仍然由企业的风险管理委员会行使。普华永道2004年对全球1400位CEO进行了调查，其中70%的CEO将发展与提高企业的整体化风险管理能力提高到他们当前工作内容的首位。调查还显示38%CEO认为，企业已经建立了行之有效的企业整体化风险管理体系，另有46%的CEO表示将在1-3年内建立与发展企业整体化风险管理体系。

我国企业风险管理存在的问题

我国企业风险管理普遍处在比较低的水平上，虽然近年来取得了长足的进步，但就总体而言，与飞速发展的客观经济形势仍不相适应，呈滞后状态。有人认为，我国企业风险管理落后是因为企业管理者的风险管理观念比较落后，笔者认为，现在国内大多数企业之所以没有进行风险管理，是因为缺乏一种与企业整体状况相适应并指导企业进行风险管理的系统框架。这种框架可以帮助企业在事件发生前预测风险、事件发生时应对风险、事件发生后评估与监控风险。

近年来国内外上市公司出现的诚信危机，有力地推动了我国企业风险管理的进程。企业管理当局已经意识到现在的社会也是一个风险全球化的社会。因此迫切需要建立起一套适合我国企业进行风险管理的指导框架。

三、风险导向内部审计与企业风险管理

风险导向内部审计

内部审计的新发展是将评价和管理风险作为重要服务领域。内部审计要检查财务和经营信息的可靠性和完整性，并做出报告，确定对本组织经营活动和报告有关政策、计划、程序、法律和条例的遵循情况，评价资源利用的经济性和有效性，还对组织内部控制的健全性、有效性和遵循情况进行评价等。这正是与我国新出台的以系统论为基础的风险导向审计具有相同的思想。因此我们将这种系统的内部审计方法称为风险导向内部审计。

本文所指风险导向内部审计是指内部审计人员在审计全过程自始至终都要关注风险，根据风险度选择项目，以降低风险为导向，进行内部控制制度的符合性测试、实质性测试，并进行监督检查和评价，提出建设性意见和建议。其审计报告可以作为提示风险、防范风险以及信息交流的预警信号。因此，风险导向内部审计既是基于降低审计风险，又是为降低企业经营风险，进行风险管理的一种有效工具。

风险导向内部审计在企业风险管理中的作用帮助企业管理当局了解风险信息。将工作的重点放在重要风险上，使得年度计划与组织治理层的战略风险相一致，具体审计计划与具体经营风险相一致，还运用一定的方法进行风险管理。在实施审计过程中，使治理层随时了解企业的风险信息，这就可以在风险和机遇中寻求均衡点，使企业在风险来临时从被动受损到主动控制和排除风险，从而能够谨慎而又快速地在风险环境中生存、壮大。

2.帮助企业管理当局识别与评估风险。以系统论为基础产生的风险导向审计，要求内部审计人员不但要检查本企业的风险情况，还要观察同行业内其他企业的经营情况及整个市场的经营风险水平，站在一个较高的角度识别企业风险。另一方面，在了解了其他企业内部控制程序之后，可对本企业的内部控制制度有全新的认识，更容易评价本企业的内控制度是否合适，并采取更佳的内控制度来管理企业的风险。

3.帮助企业管理当局进行风险的管理与协调。从评价各部门内部控制制度入手，在各领域查找管理漏洞，帮助企业管理当局识别并防范风险。企业风险无处不在，不但各部门有内部风险，而且各管理部门还有共同承担的综合风险，内部审计人员作为独立的第三方，可协调各部门共同管理企业，以防范宏观决策带来的风险。

四、基于风险导向内部审计的企业风险管理框架的构建设想

完善内审委员会

实施风险导向内部审计对企业风险进行管理的基础，就是必须具备完善的内审委员会结构。按照国家有关要求，我国国有大型集团、跨国公司和上市公司大都设置了内审委员会，对企业的经营管理活动进行监控；许多中、小型企业还没有设立相应的内审机构。审计委员会是董事会下设的专业委员会，内部审计人员应该具备专业的知识、较强的业务能力、良好的职业道德水平，并保持其独立性和客观性。其职责主要是负责聘任和解聘外部审计师，并辅助外部审计师的工作，解决公司外部审计师与管理层有关财务报告的争议意见；审查公司财务报告、内部控制和风险管理制度；监督、指导审计工作，协调内部审计与外部审计的关系，为公司董事会使用财务信息及向公众披露财务信息的真实性和可靠性提供保障。完善的内审机构应该做到成本费用合理、工作过程独立，才能在风险管理中真正发挥作用。

了解外部环境风险

企业的外部环境是企业生存的基础，外部环境变化对企业蕴涵着越来越多的风险。风险导向内部审计要求审计人员不仅要了解本企业的经营情况，还要了解：1.同行业其他企业的经营情况；2.市场波动风险；3.政策环境变动的风险；4.科技进步风险；5.自然灾害带来的风险等外部环境的风险。现代企业的风险管理机制必须要随时了解环境的变化，并能够适应环境的变化，有效利用环境的变化，才能得到长足的发展。

确定风险容忍度

风险容忍度是企业在实现其目标的过程中对差异的可接受程度，是在风险偏好的基础上设定的对相关目标实现过程中所出现差异的可容忍限度。风险容忍度较大，说明企业承受风险的能力较强，在容忍度范围内的小风险可以采取通常日常应对措施。内部审计人员可以根据本企业的经营环境、经营规范、资本结构等确定风险容忍度，在风险事件来临时采取不同的措施加以应对。在市场环境下，企业会面临各种风险。内部审计人员应结合企业内外环境，找出所有会给企业带来威胁的风险，并从中确定几个最主要的风险。再对这几个关键风险进行容忍度的量化分析，确定可以接受的风险范围。

识别风险

风险识别是风险管理框架中的关键。是对企业潜在的风险加以判断、归类和鉴定风险性质的过程。也就是说，从潜在的事件及其产生的原因和后果来检查风险，收集、整理可能的风险并充分征求各方意见以形成风险监控列表。

风险识别首先是对风险进行定性研究，内部审计人员熟悉公司的经营管理过程，以风险分析为起点开展工作，有效识别风险。可以根据自身的实际情况，制定风险管理审计计划，包括制订财务风险管理、生产风险管理、市场风险管理、会计风险管理、人事风险管理和其他风险管理审计计划，确定风险管理审计的位置和背景。最后，审计委员会还要关注已识别风险的完整性，即企业所面临的主要风险是否均已被识别出来，并找出未被识别的主要风险。

其次是对识别出的风险进行定量评估，通过对所搜集的大量的详细损失资料，应用各种管理科学技术，采用定性与定量相结合的方式，评估风险事件发生的可能性和频繁度，风险事件的潜在影响及其成本的高低。针对企业制定的详细风险管理审计计划，分别评估每一计划的风险，再综合各方面因素，确定企业总体风险的大小。风险评估的目的是确定每个风险要素的影响大小，一般是对已经识别出来的风险进行量化估计。在此过程中，内部审计委员会要对已有的评估结果进行再检验，以确定其是否恰当，对不恰当的估计予以更正。对于风险缺乏充分的控制措施的情况，提出改进措施和建议，以强化企业的风险管理，降低风险损失。风险分析中不仅要关注风险的数量方面，而且要关注风险的属性方面或其他承载价值的后果。

应对风险

根据本企业的风险容忍度，制定风险应对策略：可规避性、可转移性、可缓解性、可接受性。内审委员会对有关部门针对风险所采取的行动进行检查，检查其是否充分、得当。对于风险缺乏充分的控制措施的情况，内审委员会可以根据不同的情况，提出避免风险、接受风险、还是降低风险的具体措施和建议，协助完善风险的反应方案，以强化企业的风险防范管理，降低风险损失。

监督风险发展状况

风险不是静态的，风险的数量和可能性会随内外部环境的变化而变化，持续的监控对有效地管理风险是最基本的。内审委员会可以通过持续的监控，使企业明确在下一步的风险处理中应当改进的问题。通过这个环节可以明确企业风险管理可以给企业带来的利益与价值，了解风险评估的正确性，为下次评估提供经验教训，明确风险回应决策的有效性，同时还有助于控制成本费用。

评价风险带来的影响

一个风险事件结束后，审计委员会应将此次事件所带来的影响进行归纳、总结，成为以后风险管理的经验。在风险总结中应包含对以下内容的评价：1.风险识别是否完整；2.风险衡量是否准确；3.应对措施是否有效；4.监控手段是否合理；5.风险事件的后果。经过这个环节，可以总结工作的经验与教训，使风险管理框架更加完善。

五、结论

本文提出企业风险管理框架是一种以风险导向内部审