導語：如何才能寫好一篇企業(yè)風險管理標準，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞：企業(yè)年金；風險管理；IS031000；受托管理風險

JEL分類號：G23　中圖分類號：F832.39　文獻標識碼：A　文章編號：1006-1428(2011)11-0112-04

一、企業(yè)年金風險管理分析

企業(yè)年金是指企業(yè)在參加國家基本養(yǎng)老保險的基礎(chǔ)上依據(jù)國家政策和自身經(jīng)濟狀況建立的對基本養(yǎng)老保險進行補充的養(yǎng)老保險形式，是養(yǎng)老保障體系“三支柱”中的“第二支柱”。2005年以來，我國先后評審認定了來自銀行、保險、證券、基金、信托行業(yè)的兩批企業(yè)年金管理機構(gòu)。截至2010年底，我國已有3.7萬家企業(yè)建立了企業(yè)年金計劃，涉及員工1300余萬，資金規(guī)模逾2800億。

風險是指不確定性對目標的影響，風險管理可以定義為一個組織對風險所采取的指揮和控制的協(xié)調(diào)活動。風險管理是與金融業(yè)發(fā)展相伴的永恒課題，關(guān)系到退休人員補充養(yǎng)老金問題的企業(yè)年金也不例外。

企業(yè)年金的風險管理主要關(guān)注受益人從參與年金計劃直至取得最終收益全過程中所面臨的風險。主要包括企業(yè)年金各管理機構(gòu)間信托、委托合同關(guān)系執(zhí)行中違約產(chǎn)生的信用風險，企業(yè)年金資產(chǎn)保值增值過程中投資所面臨的市場風險，因為制度缺陷、人員因素、科技因素導致的操作風險等。中國市場上的企業(yè)年金風險具有多行業(yè)多機構(gòu)聯(lián)合運營使風險復雜化，業(yè)務(wù)導向型市場影響企業(yè)年金健康發(fā)展，信息透明度低于公募基金等特點。

企業(yè)年金是退休人員的“養(yǎng)命錢”，具有強烈的低風險偏好，追求在相對安全的前提下實現(xiàn)保值增值.所以加強其風險管理研究和實踐的意義重大，影響到國家養(yǎng)老保障體系的建設(shè)和企業(yè)年金自身的發(fā)展。本文首次將風險管理標準ISO31000引入中國企業(yè)年金研究領(lǐng)域，結(jié)合我國金融市場和社會保障特點，對該標準在企業(yè)年金風險管理中的應(yīng)用策略展開研究。

二、ISO31000及其引入企業(yè)年金管理的論證

(一)ISO31000標準及其應(yīng)用價值

ISO31000：2009《風險管理――原則與指南》是國際標準化組織ISO于2009年11月15日的國際標準。該標準的制定起步于2004年，ISO技術(shù)管理局組建了由澳大利亞專家任主席、28國專家組成的風險管理工作組(RMWG)，歷經(jīng)WG稿、CD稿、DIS稿、FDIS稿等版本最終定稿。標準正文包括范圍、術(shù)語與定義、原則、框架、過程共五部分。我國國家標準GB/T 24353參考了ISO31000的DIS稿。

因為全球第一個企業(yè)層面的風險管理標準AS/NZS 4360是ISO31000的起草基礎(chǔ)和重要參考文本。所以ISO31000在企業(yè)有很高的應(yīng)用價值。雖然正式的時間不長，但ISO31000已經(jīng)被中國企業(yè)關(guān)注.部分實施SOX法案404測試的企業(yè)對該標準展開了學習，某金融機構(gòu)的博士后工作站也將如何應(yīng)用該標準列為正式研究方向。

(二)將ISO31000引入企業(yè)年金管理的論證

在中國企業(yè)年金風險管理的研究與實踐中.有關(guān)學者和機構(gòu)已經(jīng)借鑒COSO、Basel、CAS、Towers Perrin展開了很多有益的工作，但ISO31000在中國企業(yè)年金管理領(lǐng)域尚未被引入。

第一，必要性論證。我國企業(yè)年金風險管理的標準化工作尚未啟動，在借鑒國外風險管理的協(xié)議、框架等經(jīng)驗的同時，應(yīng)該適時引入風險管理的標準。中國企業(yè)年金管理機構(gòu)歸屬于不同行業(yè)，僅參考行業(yè)屬性強的風險管理制度(如銀行業(yè)的Basel)不利于化解行業(yè)差異，需要一套更有通用性的標準指導管理工作。

第二，可行性論證。ISO31000是第一個面向企業(yè)風險、個人風險、公共風險等各類風險的通用性風險管理的國際標準，綜合了30多個國家/地區(qū)的風險管理標準編制經(jīng)驗，淡化了行業(yè)屬性和國別色彩，能夠涵蓋企業(yè)年金管理中面對的信用、市場、操作等各類風險。

第三，應(yīng)用意義。按照ISO31000的制定方針.企業(yè)年金風險管理中應(yīng)用ISO31000可以使企業(yè)年金利益各方“提高實現(xiàn)其目標的可能性”，“鼓勵主動管理”，“提高各方識別、應(yīng)對風險的意識”，“改進對機會和威脅的識別”，“符合相關(guān)法律法規(guī)和國際規(guī)范”.“改進信心和信任”，“為風險應(yīng)對有效地配置和使用資源”，“改進運營的有效性和效率”。

三、企業(yè)年金管理應(yīng)用ISO31000的原則研究

(一)標準的性質(zhì)與定位

在企業(yè)年金管理中應(yīng)用ISO31000中要首先明確標準的性質(zhì)。首先，1SO31000是風險管理的指南，但不具有管理要求和管理體系的性質(zhì)。其次，本標準在ISO系列標準中突破性地強化原則的重要性.指出了風險管理的11項原則。再次，本標準可以用于組織內(nèi)部和合同關(guān)聯(lián)方的審核或評價，但不是一個認證標準。

(二)標準的執(zhí)行主體

企業(yè)年金風險管理的執(zhí)行主體是年金管理機構(gòu)(受托人、賬戶管理人、投資管理人、托管人)，同時也需要企業(yè)客戶(委托人)和監(jiān)管機構(gòu)的監(jiān)督。監(jiān)管部門設(shè)置四類管理機構(gòu)，在職責隔離、相互制衡以控制風險的同時，機構(gòu)間信息流、資金流的復雜走向也為風險管理增加了難度。其中，受托人作為最終責任人.承擔著風險管理標準落實核心的角色。

(三)標準實施的難點

第一，一個年金計劃往往要涉及多家機構(gòu)，存在大量信息與資金交互，還存在合同到期后機構(gòu)間轉(zhuǎn)移的可能，這些為ISO31000的實施增加了復雜度。第二，銷售導向型市場現(xiàn)狀下，年金管理機構(gòu)盈利困難.實施一套完整的國際風險管理標準卻需要大量成本。第三，年金管理機構(gòu)間短期內(nèi)難以實現(xiàn)完全的數(shù)字化信息交互，系統(tǒng)性的信息不通暢會影響風險管理標準的具體落實。

(四)標準實施的重點

第一，年金管理機構(gòu)所在的不同行業(yè)已實行風險管理的程度不同，銀行、證券、保險、基金、信托機構(gòu)間風險管理成熟程度不同，行業(yè)管理標準不同.ISO31000是統(tǒng)一標準的好契機，但同時也需要在不同類型機構(gòu)應(yīng)用時因地制宜。第二，ISO31000因其通用性。相對抽象與籠統(tǒng)，需要企業(yè)年金管理機構(gòu)結(jié)合業(yè)務(wù)實務(wù)進行大量研究探索。第三，標準實施中要從四種管理資格、多類型風險、計劃執(zhí)行生命周期多個階段三個維度綜合考慮。

四、基于ISO31000的企業(yè)年金風險模型設(shè)計

(一)風險模型設(shè)計

本文結(jié)合ISO31000中風險管理過程一章的思想和中國年金管理機構(gòu)的管理實務(wù)，將企業(yè)年金風險管

理模型設(shè)計如圖l。建立環(huán)境、風險識別、風險分析、風險評價、風險應(yīng)對、監(jiān)測與評審，構(gòu)成年金風險管理的完整閉環(huán)，循環(huán)于計劃建立、計劃運營、計劃終止轉(zhuǎn)移等各個階段，面向信用、市場、操作三類風險。

在建立環(huán)境環(huán)節(jié)，年金管理機構(gòu)需要清楚地表達工作目標，確定內(nèi)外部參數(shù)，這是管理風險和為維持風險管理過程而制定范圍、風險準則時必須考慮的。在風險識別環(huán)節(jié)，年金管理機構(gòu)需要通過歷史數(shù)據(jù)、理論分析、專家意見和利益相關(guān)方需求對風險源、風險事件、風險原因和它們的潛在結(jié)果進行分析。在風險分析環(huán)節(jié)，風險管理部門應(yīng)考慮分析的詳細程度及變化、與風險本身的依賴性等，可以定性、半定量、定量或采用它們的組合。在風險評價環(huán)節(jié)，以基于風險分析結(jié)果的決策為目的，根據(jù)風險需要應(yīng)對和實施應(yīng)對的優(yōu)先順序進行決策。在風險應(yīng)對環(huán)節(jié)，選擇一個或多個改變風險的方式，評估采取應(yīng)對措施后殘余風險的等級是否可以容忍，如果不容忍則應(yīng)提出新的風險應(yīng)對。溝通與咨詢工作存在于上述各個環(huán)節(jié)。監(jiān)測與評審工作可以是定期或臨時的。

(二)機構(gòu)風險管理差異

除了模型中通用性管理外，根據(jù)四種管理資格間的信息流與資金流，對于不同管理資格風險管理的差異和涉及的風險管理工具總結(jié)如圖2，圖中實線為資金流，虛線為信息流。

五、企業(yè)年金管理中實施ISO31000的步驟規(guī)劃

圖3表示了年金管理機構(gòu)將風險管理整合入企業(yè)年金現(xiàn)有管理體系和不同職能階段的過程步驟。

第一，授權(quán)與承諾。該階段對應(yīng)企業(yè)年金合同管理。為確保企業(yè)年金風險管理的有效性，需要與委托人形成有效的約束合同，明確風險管理的終極目標，即以保值增值為基礎(chǔ)，追求年金給付時的較高收益水平.提高受益人退休后的養(yǎng)老金替代率。而機構(gòu)管理層需要提供強有力和持續(xù)性的承諾，將風險管理提升到公司層面而非停留在風險管理部門層面。

第二，管理風險框架設(shè)計。該階段對應(yīng)企業(yè)年金計劃建立。管理風險框架的設(shè)計中，首先要考慮年金管理機構(gòu)所屬的行業(yè)，根據(jù)銀行、證券、保險等不同行業(yè)的環(huán)境特點研究風險框架；年金管理機構(gòu)應(yīng)依據(jù)組織的目標、方針，建立風險管理方針，明確管理風險的責任、職責及處理年金計劃各方利益沖突的方式，對風險管理部分提供必要資源，確定測量和報告風險管理績效的方式：機構(gòu)明確風險管理責任與責任人；將風險管理以關(guān)聯(lián)的、有效的、高效率的方式嵌入機構(gòu)的年金計劃管理全過程：機構(gòu)為風險管理配置適當?shù)娜肆ξ锪ω斄Y源：建立內(nèi)部各管理單元的溝通機制和對管理層的報告機制；建立對客戶和監(jiān)管機構(gòu)等外部單位的報告機制。

第三，實施風險管理。該階段對應(yīng)企業(yè)年金運營管理。年金管理機構(gòu)需制定風險管理框架實施的時間計劃，加強與各方面的溝通、咨詢，掌握全面信息.加強培訓，確保風險管理框架的實施結(jié)果與計劃目標的一致。

第四，框架的監(jiān)測與評審。該階段對應(yīng)企業(yè)年金基金監(jiān)督。年金管理機構(gòu)應(yīng)按照確定的指標測量風險管理績效和風險管理計劃的進展，定期評審風險框架的合理性和有效性。

第五，框架的持續(xù)改進。該階段對應(yīng)企業(yè)年金的系統(tǒng)改進、客服管理。以監(jiān)測和評審的結(jié)果為基礎(chǔ).結(jié)合客服渠道獲得的反饋，年金管理機構(gòu)對風險管理的框架、方針、計劃和信息系統(tǒng)進行改進。

針對企業(yè)年金管理中應(yīng)用ISO31000的難點與重點，需要年金機構(gòu)高度重視并從長久健康發(fā)展的角度努力研究并積極克服，主要手段包括：第一。加強不同資格年金機構(gòu)間的信息溝通、數(shù)據(jù)交換標準實施、信息系統(tǒng)對接。第二，充分考慮我國多行業(yè)共同運營與監(jiān)管企業(yè)年金的現(xiàn)狀，加強對各行業(yè)管理標準、發(fā)展現(xiàn)狀的調(diào)研與分析。第三，結(jié)合中國企業(yè)年金用戶的管理現(xiàn)狀、工作習慣、職工心理，加強產(chǎn)品設(shè)計、投資、運營的實務(wù)研究與總結(jié)。

六、受托運營風險管理的實例分析

受托人是企業(yè)年金風險管理中最重要的角色.本文選取受托運營及其面臨的操作風險為例，運用上述模型進行對其計劃建立、計劃運營、計劃終止轉(zhuǎn)移三個階段的風險管理注意事項進行具體討論。

計劃建立階段：(1)年金計劃的設(shè)計在符合法規(guī)要求的前提下，要盡量貼近客戶需求，防止偏離需求導致的服務(wù)風險隱患，從需求源頭遏制不合理要求。(2)方案設(shè)計的參數(shù)化。(3)加快處理速度，減少客戶等待時間。(4)保證計劃與合同細節(jié)的準確性。

計劃運營階段：(1)加強多個管理人間及管理人和委托人間的信息交互管理，防止信息傳遞失誤。(2)積累人工經(jīng)驗，并編人計算機系統(tǒng)，提高業(yè)務(wù)管理系統(tǒng)錯誤檢查的能力。(3)加強運營差錯控制流程的監(jiān)督，確保制度落實。

計劃轉(zhuǎn)移階段：(1)準確快速執(zhí)行新舊管理人間的交接工作，以滿足人社部2011年11號令[8]對45日工作時限的要求。(2)客戶信息轉(zhuǎn)移的準確性、完整性和保密性。(3)新舊管理人對客戶服務(wù)的持續(xù)性，確保無縫對接。

對于運營差錯導致的操作風險，風險應(yīng)對的主要手段包括：(1)查找差錯根源，及時按流程更改錯誤。(2)彌補客戶因服務(wù)問題蒙受的直接損失。(3)懲戒導致差錯的人員，對導致差錯的信息系統(tǒng)及時升級改進。(4)改進工作流程，加強復核和異常數(shù)據(jù)的檢查。

篇2

關(guān)鍵詞：風險管理　可持續(xù)發(fā)展　人本理念

概論

企業(yè)風險管理是對企業(yè)內(nèi)可能產(chǎn)生的各種風險進行識別、衡量、分析、評價，并適時采取及時有效的方法進行防范和控制，用最經(jīng)濟合理的方法來綜合處理風險，以實現(xiàn)最大安全保障的一種科學管理方法。

所謂企業(yè)風險是指企業(yè)內(nèi)外環(huán)境的不確定性、生產(chǎn)經(jīng)營活動的復雜性和企業(yè)能力的有限性而導致企業(yè)的實際收益達不到預(yù)期收益，甚至導致企業(yè)生產(chǎn)經(jīng)營活動失敗的可能性。

宣鋼公司作為國有大型企業(yè)，引入風險管理可以有效規(guī)避市場潛在風險，是科學發(fā)展與持續(xù)發(fā)展的必然要求。通過實施風險管理能夠切實保障企業(yè)生產(chǎn)經(jīng)營穩(wěn)定有序，且良性循環(huán)。

1.企業(yè)風險管理的內(nèi)容

企業(yè)風險管理具體包括企業(yè)風險識別、企業(yè)風險衡量和企業(yè)風險處理三個方面。

企業(yè)風險識別是風險分析和管理中的一項基礎(chǔ)性工作，其主要任務(wù)是明確企業(yè)風險的存在，并找到主要的風險因素，為后面的風險度量和風險決策奠定基礎(chǔ)。

借助企業(yè)風險衡量，以便確定對企業(yè)發(fā)展影響的嚴重性并采取相應(yīng)的措施，它其實就是運用一定方法對風險發(fā)生的可能性或損失范圍與程度進行估計和衡量。

企業(yè)風險處理則是針對不同類型、不同規(guī)模、不同概率的企業(yè)內(nèi)外部風險，采取相應(yīng)的對策、措施或方法，使風險損失的影響降到最小限度。

按照風險的來源不同，可以分為外部風險和內(nèi)部風險。具體地講：企業(yè)外部風險包括：顧客風險、競爭對手風險、政治環(huán)境風險、法律環(huán)境風險、經(jīng)濟環(huán)境風險等；企業(yè)內(nèi)部風險包括：產(chǎn)品風險、營銷風險、財務(wù)風險、人事風險、組織與管理風險等。

2.企業(yè)風險管理現(xiàn)狀分析

宣鋼公司始終堅持“七統(tǒng)一”的經(jīng)營管理模式和“集中一貫制”的管理原則，在明確各職能部門歸口管理職能和職責的基礎(chǔ)上，把握關(guān)鍵，完善制度，突出規(guī)章制度的標準化和剛性管理。自2010年開始，宣鋼公司堅持圍繞安全生產(chǎn)、現(xiàn)場管理、財務(wù)管理、產(chǎn)品研發(fā)、基礎(chǔ)管理、標準化作業(yè)、物資檢驗、工程建設(shè)、互助檢修、能源管控、綜合利用、物流、質(zhì)量、環(huán)境保護等方面，不斷梳理和重新修訂各項規(guī)章制度500多項，目前已形成了一套與當前生產(chǎn)經(jīng)營流程緊密銜接的較為完整的內(nèi)部管理制度，對公司財務(wù)、市場、運營、法律等方面的風險管理發(fā)揮了重要作用。

此外，宣鋼公司為建立高效、精干的組織機構(gòu)，提高專業(yè)化、系統(tǒng)化管理水平，在修訂、完善公司各職能部門主要職責和管理權(quán)限的同時，進一步加強、加快權(quán)力運行機制建設(shè)，按管理崗位嚴格設(shè)定權(quán)責，固化管理（業(yè)務(wù)）流程，明確各崗位管理范疇。使得部門職責與權(quán)力運行機制從職能部門和具體崗位權(quán)責兩方面交相呼應(yīng)，共同構(gòu)成宣鋼公司完整的業(yè)務(wù)（事務(wù)）操作權(quán)限指引，進一步理順了管理體制，強化了風險控制，減少和杜絕管理空白，優(yōu)化了資源配置。確保國有資產(chǎn)保值、增值。

3.企業(yè)風險管理存在的問題

一是宣鋼公司未建立全面風險管理組織體系，主要依靠各業(yè)務(wù)管理部門完成風險信息收集、風險評估等基礎(chǔ)工作，并依據(jù)各專業(yè)系統(tǒng)管理規(guī)章進行事中的風險管理，而在公司整體層面上未建立統(tǒng)一風險管理策略和風險管理方案，風險管理工作相對較為分散。

二是風險管理工作主要集中在業(yè)務(wù)層面，由公司各業(yè)務(wù)部門構(gòu)建了風險管理的第一防線，而未明確建立風險管理職能部門或董事會的第二道防線以及內(nèi)審部門的第三道防線。

三是員工風險管理意識不強，沒有將風險管理意識轉(zhuǎn)化為共同認識和自覺行動，風險管理文化建設(shè)還需進一步加強。

四是風險管理信息系統(tǒng)不夠完善，缺乏風險管理的信息技術(shù)手段，無法通過信息系統(tǒng)實現(xiàn)風險預(yù)警。

4.加強企業(yè)風險管理的思路及重點工作

一是加強風險管理文化的宣傳力度，將風險管理文化建設(shè)融入公司文化建設(shè)全過程，增強員工風險管理意識。針對當前鋼鐵行業(yè)嚴峻形勢，采取多種途經(jīng)和形式，加強對風險管理理念、知識、流程、管控核心內(nèi)容的培訓，培養(yǎng)風險管理人才，培育風險管理文化。

二是盡早建立和完善風險管理組織體系，明確公司法人治理結(jié)構(gòu)、風險管理職能部門、內(nèi)部審計部門和法律事務(wù)部門以及其他有關(guān)職能部門、業(yè)務(wù)單位在公司全面風險管理中的職責、權(quán)限，使公司全面風險管理工作實現(xiàn)統(tǒng)一領(lǐng)導、協(xié)調(diào)運行的總體目標，從而確保公司形成高效運轉(zhuǎn)、有效制衡的監(jiān)督約束機制。

三是逐步構(gòu)建風險管理的三道防線，將風險管理工作與薪酬制度和人事制度相結(jié)合，增強各級管理人員特別是高級管理人員風險意識，防止盲目擴張、片面追求業(yè)績、忽視風險等行為的發(fā)生。

四是根據(jù)國家五部委聯(lián)合下發(fā)的《企業(yè)內(nèi)部控制制度》要求，并按照集團公司統(tǒng)一安排，適時啟動宣鋼公司內(nèi)控體系建設(shè)工作，將內(nèi)控建設(shè)與全面風險管理體系的健全有機結(jié)合，構(gòu)建完善的公司全面風險管理體系。

五是加強風險管理信息系統(tǒng)建設(shè)。在對公司ERP系統(tǒng)的管理功能進一步完善、開發(fā)的基礎(chǔ)上，建立涵蓋風險管理基本流程和內(nèi)部控制系統(tǒng)各環(huán)節(jié)的風險管理信息系統(tǒng)，實現(xiàn)對風險的計量、定量分析與定量測試工作。

5.結(jié)語

篇3

摘 要 隨著一系列加強公司治理規(guī)定的出臺，公司治理核心要素的風險管理受到了前所未有的關(guān)注，企業(yè)風險管理的中堅力量內(nèi)部審計正成為公司治理基石之一。本文介紹了企業(yè)風險管理審計的內(nèi)涵，論述了當前開展風險管理審計工作存在的主要問題及對策，以利于風險管理審計的正確認識和順利實施。

關(guān)鍵詞 公司治理 風險管理 內(nèi)部審計

近年來，由于企業(yè)缺乏風險意識，沒有對風險實施實質(zhì)管理而導致破產(chǎn)或整頓的事件時有發(fā)生，促使中國企業(yè)越來越重視風險管理。加強風險管理審計是企業(yè)發(fā)展的需要，也是投資人及利益相關(guān)者的需要。

一、風險管理審計的內(nèi)涵

風險管理審計是內(nèi)部審計部門采用系統(tǒng)化、規(guī)范化的方法，通過對企業(yè)全面風險管理活動進行監(jiān)督和評價，進而改善企業(yè)風險管理、增加企業(yè)價值、實現(xiàn)企業(yè)目標。

二、目前企業(yè)風險管理審計存在的主要問題

（一）風險管理審計所處的環(huán)境方面

1．企業(yè)組織機構(gòu)及配套制度不健全

目前，大多數(shù)企業(yè)的組織機構(gòu)沒有獨立的風險管理部門，風險管理模式是誰主管誰負責承擔，但當發(fā)生風險時，相關(guān)職能部門又不能全面承擔風險，或是風險承擔的最終主體模糊。

2．管理者對風險重視不夠

企業(yè)管理者只是消極、被動的進行風險管理，沒有積極、主動地進行風險管理。同時，有些企業(yè)只顧眼前利益，忽視長遠利益，進行風險管理需要耗費一定的人力、物力、財力，而有些企業(yè)管理者，考慮到成本或者其他原因而放棄對企業(yè)進行全面、系統(tǒng)的風險分析，最終給企業(yè)帶來巨大的損失甚至遭受致命打擊。

3．尚未建立科學的、操作性強的風險管理評價標準體系

風險管理審計在我國才剛起步，其相應(yīng)的評價標準體系尚未建立，實際工作中，有的以國家或行業(yè)的相關(guān)規(guī)定作標準，有的以本企業(yè)歷史最好水平或理想水平為依據(jù)，這就容易導致評價標準的模糊、偏離實際。

（二）風險管理審計的實施主體方面

1．內(nèi)部審計人員風險管理意識亟待加強

目前大多數(shù)內(nèi)部審計人員對審計工作的認識仍停留在指出企業(yè)已經(jīng)存在的錯誤和不規(guī)范的行為。而對于尚未發(fā)生的，需要預(yù)測、分析、評價的和企業(yè)戰(zhàn)略目標的實現(xiàn)密切相關(guān)的風險則認識不夠，阻礙了風險管理審計工作的開展。

2．內(nèi)部審計人員素質(zhì)水平不夠高

我國現(xiàn)有內(nèi)部審計人員綜合素質(zhì)仍然無法滿足獨立承擔風險管理審計的需要。多數(shù)內(nèi)部審計人員缺乏經(jīng)濟、管理等知識多元化背景，從專業(yè)結(jié)構(gòu)來看，內(nèi)部審計人員主要來自于會計和審計專業(yè)，整體素質(zhì)偏低，與現(xiàn)代企業(yè)發(fā)展不相適應(yīng)，無法勝任對風險管理的評價工作，而尋求專家支持又受到經(jīng)費和人力資源信息的雙重制約。

3．審計部門風險管理審計工作權(quán)責不明

很多企業(yè)審計部門不僅要負責建立企業(yè)風險管理體系，還要評估風險事項，提出防范措施，這樣的職責分配，削弱了審計工作的獨立性與客觀性。同時，大多數(shù)企業(yè)審計工作都是對總經(jīng)理負責，一旦總經(jīng)理拒絕采納審計部門提出的正確的風險管理意見，則不能有效執(zhí)行風險管理措施，這本身就是一種公司治理上的重大風險。

三、完善企業(yè)風險管理內(nèi)部審計的對策

（一）企業(yè)方面

1．管理當局應(yīng)承擔起風險管理的責任

董事會負責制定戰(zhàn)略目標，賦予高管層風險的所有權(quán)，執(zhí)行管理層接納剩余風險，運營層持續(xù)的識別、評估、減輕和監(jiān)督活動，內(nèi)部審計部門定期評價并協(xié)助其他部門進行風險管理。因此，管理層承擔著全部風險管理的責任。

2．強化風險意識

市場是動態(tài)的，以及受風險預(yù)測方法、技術(shù)、人員等的影響，不能對風險全面、準確的預(yù)測。企業(yè)管理層應(yīng)充分認識到內(nèi)部審計的地位和作用，保證內(nèi)部審計部門具有相應(yīng)的獨立性和權(quán)威性，發(fā)揮內(nèi)部審計在風險管理中的重要作用。

3．管理當局應(yīng)制定符合企業(yè)特點的風險管理評價標準體系

企業(yè)風險管理部門應(yīng)對納入風險管理范圍的各項經(jīng)營活動制訂最低或最高標準。該標準體系應(yīng)該具有如下特點：特征鮮明，客觀真實，分類清晰，因時而變。根據(jù)風險管理對象的不同可以建立相應(yīng)的風險評價標準。

（二）內(nèi)部審計方面

1．內(nèi)部審計人員必須提高認識，準確定位

近年來圍繞公司治理結(jié)構(gòu)出臺的一些新規(guī)定，都對內(nèi)部審計賦予了新的職責。面對出現(xiàn)的新情況和新趨勢，內(nèi)部審計人員要扮演好“執(zhí)行情況的評判者”、“增值服務(wù)的貢獻者”、“良好文化的倡導者”三個角色，發(fā)揮其應(yīng)有的作用。

2．提高內(nèi)部審計人員的素質(zhì)

提高內(nèi)部審計人員的素質(zhì)，是發(fā)揮內(nèi)部審計作用的關(guān)鍵。內(nèi)部審計人員應(yīng)具有強烈的求知欲，及時了解和掌握國家經(jīng)濟政策、財經(jīng)法規(guī)以及企業(yè)、部門規(guī)章制度、會計和審計知識等方面的變化信息，加強對稅法、經(jīng)濟法、企業(yè)管理等其他相關(guān)知識的學習，努力成為復合型人才。

3．內(nèi)審部門要注意與董事會、管理層的溝通

在適當情況下，內(nèi)部審計人員應(yīng)與管理層、審計委員會和董事會就與風險和風險管理事務(wù)中的薄弱環(huán)節(jié)進行討論。如果審計部門負責人認為高級管理層接受的風險水平與機構(gòu)的風險管理戰(zhàn)略和政策不一致，或該水平不能被機構(gòu)接受，審計部門負責人應(yīng)就此與高級管理層進行討論。

參考文獻：

[1]孟焰,潘秀麗.企業(yè)風險管理審計研究.審計研究.2006(3).

[2]向振軍,尹珍麗.芻議企業(yè)風險管理審計.黑龍江對外經(jīng)貿(mào).2006.

篇4

內(nèi)部審計與企業(yè)風險管理協(xié)調(diào)與整合，能幫助內(nèi)部審計的發(fā)展。內(nèi)部審計的成員，都是公司自己的人員，他們對企業(yè)經(jīng)營活動的了解與熟悉程度比外界審計機構(gòu)高，對公司的忠誠度也高。他們在進行內(nèi)部審計時，能夠更快速、準確的核查出公司存在風險的地方，在審計報告中，能提出具有針對性、更有效的風險管理意見，為公司提供有效的服務(wù)。與外界審計機構(gòu)相比，更突出了他們的優(yōu)勢，提供發(fā)展的機會和鞏固了內(nèi)部審計在企業(yè)發(fā)展中的地位。內(nèi)部審計與風險管理協(xié)調(diào)與整合，能有效的對公司進行管理與監(jiān)督。企業(yè)風險管理，需要內(nèi)部審計去完成這個過程。企業(yè)風險具有不可預(yù)測性，如果管理層未能及時預(yù)測到風險隱患，可能會對企業(yè)的發(fā)展造成影響。而我們的內(nèi)部審計部門是在我們業(yè)務(wù)處理部門之外的一個部門，在企業(yè)生產(chǎn)經(jīng)營活動中，可以作為一個客觀的角度來認識事物的發(fā)展，能從全局發(fā)展去看待經(jīng)營中決策的影響結(jié)果，及早的為企業(yè)管理者提供風險防范措施與改善建議。內(nèi)部審計可以對公司經(jīng)營中長期風險進行協(xié)調(diào)，指導企業(yè)進行風險管理。通過內(nèi)部審計這個工作，才能使企業(yè)風險管理得以實施，保證企業(yè)的健康發(fā)展。

二、內(nèi)部審計在企業(yè)風險管理中的作用

美國反虛假財務(wù)報告委員指出企業(yè)風險管理有四個目標，八個要素，并且在企業(yè)的四個層面開展。四個目標是在遵守國家法律法規(guī)的同時，客觀對待經(jīng)營活動，采用高效率的發(fā)展方式，實現(xiàn)企業(yè)戰(zhàn)略目標；八個要素是內(nèi)部環(huán)境、事件識別、風險評估、風險反應(yīng)、目標設(shè)定、控制活動、監(jiān)控活動和信息溝通。企業(yè)風險管理四個目標是在企業(yè)的企業(yè)級、部門級、事業(yè)單位級和分公司級中去實施完成的。而這些過程，需要我們的內(nèi)部審計去監(jiān)督與控制，為管理層提供有效的保證與咨詢服務(wù)；在發(fā)展過程中，對風險管理提供有效的風險報告評估和風險管理評估，監(jiān)督企業(yè)經(jīng)營活動的發(fā)展，促進企業(yè)健康穩(wěn)定發(fā)展。在企業(yè)風險管理過程中，我們的內(nèi)部審計就起到了監(jiān)督的作用。內(nèi)部審計服務(wù)包括保證服務(wù)和咨詢服務(wù)，內(nèi)部審計活動也是圍繞這兩種服務(wù)開展的，促進企業(yè)對風險的識別與評估，同時指導和協(xié)調(diào)決策者對風險進行管理，提供風險管理建議，體現(xiàn)了內(nèi)部審計具有建議性的作用、咨詢作用和指導作用。

三、內(nèi)部審計與企業(yè)風險管理整合的方法

內(nèi)部審計工作的開展，就是為企業(yè)風險管理提供服務(wù)，對企業(yè)風險進行評估，監(jiān)督與改善企業(yè)風險管理。企業(yè)內(nèi)部審計是企業(yè)風險管理的重要部分，二者不可分割，因此，需要我們對內(nèi)部審計與企業(yè)風險管理進行有效的協(xié)調(diào)與整合，主要有以下幾個方法。

（一）風險管理基礎(chǔ)審計。風險管理基礎(chǔ)審計就是站在公司全局的位置，從公司基本經(jīng)營活動出發(fā)，對公司實現(xiàn)目標的經(jīng)營活動中的風險進行審計?；A(chǔ)審計更關(guān)注于企業(yè)的戰(zhàn)略目標，從多方面去監(jiān)督與控制企業(yè)風險，主要涉及了企業(yè)經(jīng)營目標，管理者能接受風險的底線，主要風險的評估數(shù)值和業(yè)績風險的管理等。在實施過程中，對企業(yè)目標實現(xiàn)風險進行有效的改良處理，避免或者接受公司經(jīng)營活動中的固有風險，并對固有風險進行有效的控制與管理。在實施風險管理基礎(chǔ)審計時，首先我們應(yīng)該把企業(yè)的經(jīng)營目標列入我們的審計計劃里面，并作為我們審計的判斷標準；其次我們應(yīng)該根據(jù)管理層把目標與業(yè)績關(guān)聯(lián)對風險的接受底線，管理層接受風險的底線等來進行審計判斷風險的強度；通過有效的方法途徑，向管理層提供風險評估報告和風險管理方法，讓管理者能正確識別風險并重視風險。

（二）風險管理審計。風險管理審計就是企業(yè)內(nèi)部審計對公司生產(chǎn)活動經(jīng)營活動管理中風險管理的設(shè)計、風險管理實施、關(guān)鍵風險管理的控制和風險評估的報告數(shù)據(jù)的真實性、準確性進行審計與評估。我們的內(nèi)部審計工作人員應(yīng)該對企業(yè)實施的風險管理方針進行評估，看是否符合該企業(yè)目標的實現(xiàn)。同時，我們應(yīng)該對企業(yè)風險管理體系的可靠性、充分性、準確性進行審計，以保證企業(yè)風險管理符合企業(yè)的實際情況，提供及時有效的風險管理建議，有效控制風險的發(fā)生。在企業(yè)生產(chǎn)經(jīng)營活動中，要隨時監(jiān)控企業(yè)風險控制方法是否及時在實際工作中實施，改善工作是否到位，提早預(yù)防與控制風險管理。

（三）管理咨詢和建議。內(nèi)部審計在做審計工作的同時，應(yīng)該為企業(yè)管理層提供有用的風險管理建議和風險管理咨詢服務(wù)，因為我們內(nèi)部審計的工作目的就是為企業(yè)提供有效的保證服務(wù)和咨詢服務(wù)。企業(yè)風險管理體系在發(fā)展過程中，我們的內(nèi)部審計有義務(wù)為風險管理提供準確的、及時的風險咨詢服務(wù)和建議，讓企業(yè)風險管理從開始做到及時有效的管理與監(jiān)控。在發(fā)展過程中，內(nèi)部審計可以為風險管理提供專門的咨詢服務(wù)，同時對風險管理中發(fā)現(xiàn)的問題提供專業(yè)的風險管理改善方法，為風險管理提供保證服務(wù)。

四、結(jié)束語

篇5

【關(guān)鍵詞】 風險管理審計;研究;述評

風險管理是企業(yè)經(jīng)營過程中的核心內(nèi)容。風險管理審計既是風險管理的最后一道防線,又是推動風險管理向前發(fā)展的有效力量。近年來,國內(nèi)外學者對風險管理審計理論進行了研究。本文對風險管理審計理論的產(chǎn)生、研究成果等進行了系統(tǒng)的探討。

一、風險管理審計的產(chǎn)生

隨著企業(yè)管理理論與實踐的發(fā)展,內(nèi)部審計受托責任在范圍和內(nèi)容上不斷擴展和充實,內(nèi)部審計的外延和內(nèi)涵也日益拓展和豐富,從而不斷出現(xiàn)新的導向階段。20世紀90年代起,關(guān)注利益相關(guān)者的價值理念在管理中成為主流思想,企業(yè)致力于增加價值,公司治理、內(nèi)部控制以及風險管理的研究進入了比較成熟的階段,世界各地相關(guān)法規(guī)紛紛出臺,對內(nèi)部審計提出了新的要求,公司管理層也希望從內(nèi)部審計工作中得到更富有建設(shè)性的服務(wù)以鞏固、提高其組織地位,這一切都給內(nèi)部審計帶來了壓力,風險管理審計就是應(yīng)對這些壓力而產(chǎn)生的。

風險管理審計由內(nèi)部審計始發(fā)而來,是沿著內(nèi)部審計和管理實踐兩條道路發(fā)展而來。早在1997年,麥克寧和塞林(McNamee&SeLim)就提出內(nèi)部審計在組織中的作用已經(jīng)從原來的“獨立的評價職能”轉(zhuǎn)變?yōu)椤罢巷L險管理和公司治理”。雖然麥克寧和塞林沒有展開具體分析,但可以說他們的觀點是有前瞻性和洞察力的。嚴暉(2004)認為,以風險為核心和出發(fā)點的內(nèi)部審計從事后反應(yīng)式的評價和反饋轉(zhuǎn)變?yōu)楦幽軇印⒓皶r的前饋和實時反應(yīng)。鄭小榮(2006)認為,現(xiàn)代企業(yè)面臨的高風險經(jīng)營環(huán)境,引起企業(yè)對內(nèi)部審計需求的變化,是風險管理審計產(chǎn)生的內(nèi)部背景,而審計外部化趨勢侵蝕內(nèi)部審計生存的職業(yè)空間是風險管理審計產(chǎn)生的外部背景。王光遠(2007)認為,企業(yè)有許多風險點,需要對風險點進行專門審計,這便產(chǎn)生了風險管理審計。有關(guān)風險管理審計理論與實務(wù)的研究,從20世紀90年代興起,有些團體和個人做了大量的工作,取得了具有可操作性的結(jié)果。1995年澳大利亞標準委員會和新西蘭標準委員會成立的聯(lián)合技術(shù)委員會制定和出版了世界上第一個企業(yè)風險管理標準S/NEZ4360標準,為企業(yè)內(nèi)部審計提供了一個以風險為基礎(chǔ)的框架(嚴復海,2007)。澳大利亞內(nèi)部審計已較早地走出單純財務(wù)收支審計圈子,步入以內(nèi)部控制和風險管理為主要內(nèi)容的現(xiàn)代審計,澳大利亞內(nèi)部審計參與風險管理和控制的基本流程已成為固定模式。國際內(nèi)部審計師協(xié)會(IIA)研究基金會(2001)在《企業(yè)風險管理――趨勢和最佳實踐》一文中建立了企業(yè)風險管理框架。該框架包括評估風險、整合風險、探究風險和保持向前四個環(huán)節(jié)?？偛课挥诩~約的雅芳公司,內(nèi)部審計部門的目標是成為運營部門和公司管理層的業(yè)務(wù)伙伴,“根據(jù)公司戰(zhàn)略行為和目標調(diào)整審計策略,在新的業(yè)務(wù)風險降臨時,設(shè)法從開始就介入,并通過雇傭有經(jīng)驗的員工執(zhí)行原本草率行事的初始檢查。內(nèi)部審計部門通過引導公司改進審計計劃來關(guān)注公司全面的業(yè)務(wù)風險?！倍虐?Du Pont)公司內(nèi)部審計人利用戰(zhàn)略經(jīng)營機構(gòu)網(wǎng)絡(luò)進行全球性風險評估和認定。內(nèi)部審計人利用風險模型的分析結(jié)果,與管理當局討論實際的風險情況,確定下年的主要風險領(lǐng)域。

二、風險管理審計研究成果

從21世紀初至今,美國對風險管理審計做了大量的實證研究或經(jīng)驗研究,并取得了豐碩的成果。2004年美國國家財務(wù)報告舞弊委員會(National Commission On Fraudulent Financial Reporting, i.e Treadway Commission)所發(fā)起的內(nèi)部控制研究組織(Committee of Sponsoring Organization,COSO)了《企業(yè)風險管理框架》(Enterprise Risk Management-Integrated Framework, ERM),該風險框架是COSO 委托美國普華永道會計公司(Pricewaterhouse Coopers)組織編寫的,基本上是對在全球跨國公司運用多年的全面風險管理實踐進行的系統(tǒng)總結(jié),成為風險管理審計發(fā)展史上的經(jīng)典文獻。在ERM框架中,要求內(nèi)部審計人員在監(jiān)督和評價成果方面承擔重要任務(wù),評估風險管理要素的內(nèi)容和運行以及執(zhí)行質(zhì)量,協(xié)助管理層和董事會履行其職責。ERM擴大了內(nèi)部控制的范圍,提高了內(nèi)部控制的層次,是一個更關(guān)注風險的強大的概念體系。值得一提的是,2004年IIA-UK and Ireland機構(gòu)發(fā)表的名為《The Role of Internal Audit in Enterprise Wide Risk Management》的意見書中指出,采用ERM的組織已逐漸認識到,內(nèi)部審計能在組織的ERM過程中發(fā)揮最為合適的作用。Beasley等在COSOERM框架之后的經(jīng)驗研究表明,“ERM使內(nèi)部審計對組織風險有了更好的了解……隨著內(nèi)部審計部門在ERM方面的經(jīng)驗越來越豐富,ERM對內(nèi)部審計的積極影響將得到更多的體現(xiàn)?！边@表明ERM對內(nèi)部審計產(chǎn)生了顯著影響,內(nèi)部審計在ERM中扮演著多種不同的角色。Compion、Antita(2000),Gerrit Sarens,Ignace De Beelde(2005),澳大利亞證券交易所(Australian Stock Exchange)明確提出了風險管理包含內(nèi)部控制的觀點。英國與愛爾蘭內(nèi)部審計協(xié)會2003年8月頒布了關(guān)于“風險管理審計”的立場公告(Position Statement),對風險管理審計的作用做出了闡述。2004年IIA《內(nèi)部審計實務(wù)標準――專業(yè)實務(wù)框架》的修訂對風險管理審計科學成長意義重大。江蘇省內(nèi)部審計師協(xié)會2004年印發(fā)《江蘇省內(nèi)部風險管理審計準則》(試行)。中國內(nèi)部審計協(xié)會2005年內(nèi)部審計具體準則16號――《企業(yè)風險管理審計》。這些著作和法規(guī)代表了管理職業(yè)界發(fā)展風險管理審計的嘗試。

風險管理審計的文獻除涉及上述風險管理審計的歷史發(fā)展外,還涉及了風險管理審計實施的必要性、風險管理審計的動因等方面內(nèi)容。《內(nèi)部審計思想》(Bailey等,2006)中,Herman-son和Rittenberg將內(nèi)部審計的治理活動界定為“風險監(jiān)控”和“控制確認”。他們認為,“風險監(jiān)控、控制確認和遵循工作構(gòu)成內(nèi)部審計活動的主要部分,這三個要素共同直接勾畫出組織治理”,內(nèi)部審計在公司治理中的作用“包括監(jiān)控、評價和分析組織的風險與控制,以及檢查和確認信息與政策、程序和法律的遵循”。摩根士丹利(Morgan Stanley)高級經(jīng)理卓繼民(注冊會計師)的專著《現(xiàn)代企業(yè)風險管理審計》中對風險管理審計理念和方法進行了系統(tǒng)的闡述,他運用工具、模型以及來自實踐的案例研究了風險管理審計的概念、對象、準則、報告等一些基本的問題,為風險管理審計的規(guī)范化做了大量基礎(chǔ)性工作。陳珊珊對風險管理審計從縱橫角度分析了其最新定位和獨特優(yōu)勢。陳錦烽認為,內(nèi)部審計工作從控制擴大為風險管理及公司治理是時勢所趨。王驥認為風險管理將由一般能力變?yōu)楹诵母偁幠芰?成為企業(yè)管理的重點。高東坡在《內(nèi)部審計如何參與企業(yè)的風險管理》中研究了在我國開展風險管理審計的必要性和可行性,著重強調(diào)了由內(nèi)部審計師執(zhí)行風險管理審計業(yè)務(wù)的優(yōu)勢。夏丹寧在《推進風險管理審計的思路》中從理論與實踐相結(jié)合的角度,就風險管理審計選題、立項、工作方案、審計方法、審計評價等做了初步的探討。劉世謹將風險管理審計動因概括為以下四點:其一,企業(yè)面臨的風險日益增大,減少企業(yè)面臨的風險是組織實現(xiàn)目標的關(guān)鍵;其二,內(nèi)部審計對發(fā)展的渴求,使內(nèi)部審計師把風險管理作為內(nèi)部審計的重要領(lǐng)域;其三,內(nèi)部審計能夠在風險管理中發(fā)揮獨特的作用,包括管理風險、控制指導風險管理策略、加強管理層對內(nèi)部審計部門意見的重視程度;其四,外部審計擴展了風險評估這項新的保證服務(wù)業(yè)務(wù),這不能不對內(nèi)部審計界產(chǎn)生影響。孟焰認為,企業(yè)風險管理審計應(yīng)當包括以下方面的內(nèi)容:1.通過審查風險管理組織機構(gòu)的健全性、風險管理程序的合理性、風險預(yù)警系統(tǒng)的存在及有效性確定企業(yè)風險管理機制的健全性及有效性;2.通過審查風險識別原則的合理性、風險識別方法的適當性確定風險識別的適當性及有效性;3.實施必要的審計程序,對風險評估過程進行審查與評價,并重點關(guān)注風險發(fā)生的可能性和風險對組織目標的實現(xiàn)產(chǎn)生影響的嚴重程度兩個要素。同時,內(nèi)部審計人員應(yīng)當充分了解風險評估的方法,并對管理層所采用的風險評估方法的適當性和有效性進行審查。

21世紀以來,風險管理審計的問題逐漸成為世界范圍內(nèi)普遍關(guān)注的問題和會計、審計科學改革的焦點。獨立咨詢師(IMC)、國際注冊內(nèi)部審計師(CIA)、金融風險管理師(FRM)和注冊企業(yè)風險管理師(CERM)四支力量推動著風險管理審計的發(fā)展。諸如以邁克爾?波特為代表的戰(zhàn)略管理理論以及邁克爾?哈默、詹姆斯?錢皮的企業(yè)再造理論等為風險管理審計提供了重要的理論基礎(chǔ),數(shù)理統(tǒng)計學、實證方法、計算機技術(shù)等為風險管理審計有關(guān)方式和方法的建立和運用提供了有利的技術(shù)方面的支持。

三、對風險管理審計研究現(xiàn)狀的總體評價

風險管理審計作為一個新興的內(nèi)部審計分支,改變了傳統(tǒng)的思維方式,擴大了風險管理的應(yīng)用范圍,優(yōu)化了內(nèi)部審計行為,為內(nèi)部審計的職業(yè)發(fā)展提供了廣闊的空間。它雖然只發(fā)展了20多年,但已經(jīng)取得了可喜的研究成果:1.風險管理審計逐漸從概念轉(zhuǎn)換成具體的行動步驟;2.企業(yè)越來越重視風險管理體系的建立健全;3.我國學者借鑒國外的研究成果,對風險管理審計進行了富有成果地探討;4.風險管理審計的研究領(lǐng)域不斷拓展。

但是,風險管理審計目前仍有許多實際問題需要解決:

1.如何建立廣泛的風險管理觀念;2.建立什么樣的企業(yè)風險管理框架;3.風險管理審計實施工具的開發(fā);4.風險管理審計如何參與企業(yè)制度風險、法律風險等其他風險的評估測試;5.公司治理、內(nèi)部審計和風險管理的整合;6.風險導向?qū)徲嬇c風險管理審計概念的界定。這些方面都是今后風險管理審計的研究方向。

【參考文獻】

[1] 司欣波.澳大利亞內(nèi)部審計模式調(diào)查與研究[J].會計師, 2006(5):45.

[2] 趙金芳,黃甲喜.對企業(yè)風險管理實施內(nèi)部審計的思考[J].商業(yè)會計,2007(1):27.

[3] 卓繼民.現(xiàn)代企業(yè)風險管理審計[M].北京:中國財政經(jīng)濟出版社,2005.

[4] committee of the Sponsoring Organizations of the Treadway Commission. Enterprise Risk Management Framework, (Draft)[R]. New York: COSO, 2003. erm.省略.

[5] The Institute of Internal Auditors-UK and Ireland. Position Statement: Risk Based Internal Auditing[S]. London: IIA UK and Ireland, 2003:3.

[6] 許天祥,范國佑,韋華寧.如何做好內(nèi)部審計[M].北京:中國財經(jīng)出版社,2007.

[7] 陳珊珊.內(nèi)部審計:三維視角下的重新審視[J].中國工會財會2005(6):9.

[8] 陳錦烽,蘇淑美.內(nèi)部審計新紀元[M].大連:大連出版社,2006.

[9] 王驥.內(nèi)部審計參與風險管理的路徑[J].企業(yè)改革與管理,2007(6):17.

[10] 高東坡.內(nèi)部審計如何參與企業(yè)的風險管理[J].商場現(xiàn)代化,2007(9):73.

[11] 夏丹寧.推進風險管理審計的思路[J].中國內(nèi)部審計,2004(12):17.

篇6

關(guān)鍵詞：風險管理；小微企業(yè)；風險意識；成本效益；內(nèi)部控制

關(guān)于風險管理，多數(shù)人都會聯(lián)系到大中型企業(yè)管理中的管理內(nèi)容，其實，風險管理存在與否與企業(yè)規(guī)模無關(guān)，只要是企業(yè)就需要進行風險管理。企業(yè)的風險管理能力，尤其是抵抗風險的能力，決定著企業(yè)的生死存亡。小微企業(yè)雖然規(guī)模小、資源有限，但其實是一個完整的組織，風險管理也是其企業(yè)管理中相當重要的內(nèi)容。

一、小微企業(yè)風險管理概述

2004年9月美國反虛假財務(wù)報告委員會的發(fā)起人委員會（簡稱COSO）頒布了《企業(yè)風險管理-整合框架》，明確了風險管理就是一個管理過程，旨在識別潛在事項并對其進行風險管理，使其在主體的風險容量內(nèi)為主體目標的實現(xiàn)提供合理保證。我國財政部于2018年8月頒布了《管理會計應(yīng)用指引第700號———風險管理》（財會〔2018〕22號），其中第二條規(guī)定：風險管理是指企業(yè)為實現(xiàn)風險管理目標，對企業(yè)風險進行有效識別、評估、預(yù)警和應(yīng)對等管理活動的過程。無論是美國的還是我國的企業(yè)風險管理的概念，都突出了風險管理的過程屬性，即識別、評估、應(yīng)對的閉環(huán)過程，也突出了風險管理的目標屬性，保證企業(yè)目標的實現(xiàn)。由此可以得出，小微企業(yè)風險管理是小微企業(yè)為了企業(yè)生存發(fā)展目標，對不確定性事件進行合理應(yīng)對的管理過程。

（一）小微企業(yè)風險管理的現(xiàn)狀

目前，小微企業(yè)風險管理的水平參差不齊，管理水平高的，風險管理貫穿于企業(yè)的各項經(jīng)營管理流程之中，管控有重要節(jié)點，有主有次，輕重不同；管理差的，基本上處于被動接受風險結(jié)果的狀態(tài)。部分企業(yè)成立時缺少風險管理，隨著企業(yè)的發(fā)展能夠逐漸完善風險管理體系，逐漸做大做強，有些則相反，成立之初，風險管理就已經(jīng)建立了，但沒有隨著企業(yè)的發(fā)展而發(fā)展，處于停滯狀態(tài)。一部分企業(yè)雖然有著比較完善的風險管理制度，但處于紙上談兵，根本沒有落地，多數(shù)企業(yè)雖然制度不完善，但已經(jīng)成制度的部分執(zhí)行落實得很徹底。

（二）小微企業(yè)風險管理的重要性

風險管理可以促進小微企業(yè)管理目標的實現(xiàn)，能夠幫助小微企業(yè)了解應(yīng)對其面臨的各類不確定事件，規(guī)避風險，掌握機會，合理調(diào)配自身的資源，平衡成本與效益，盡量減少經(jīng)營意外和損失。對于小微企業(yè)更為重要的是，能夠使小微企業(yè)充分利用有限資源，順利渡過初創(chuàng)期，完成從生存到發(fā)展的飛躍。

二、小微企業(yè)風險管理存在的問題

雖然小微企業(yè)的風險管理水平不一，但無論是處在何種狀態(tài)的小微企業(yè)，在風險管理上都存在著諸多問題，主要體現(xiàn)在以下方面：

（一）風險管理意識分寸掌握不合理

在小微企業(yè)中，風險管理意識或不足或過強，對風險的環(huán)境、目標、事件、評估、應(yīng)對、控制、溝通及監(jiān)督不夠深入全面，低估或高估風險時有發(fā)生。低估風險容易造成被動局面，被迫接受高風險帶來的后果，產(chǎn)生重大損失；高估風險則會浪費人力、物力、時間等各項資源，成本費用增加，甚至會因此錯失機會，限制企業(yè)發(fā)展。特別是當面臨高利潤、大金額、長期收益或是可樹立良好企業(yè)形象的項目，企業(yè)更容易弱化風險意識，面臨被動接受風險的局面。

（二）企業(yè)實際控制人對風險管理不夠重視

小微企業(yè)因為規(guī)模小，組織結(jié)構(gòu)簡單，企業(yè)決策基本上都是由其實際控制人做出的，是實際控制人的一言堂。如果實際控制人在實際管理中風險偏好過于激進或者懈怠風險管理，會使整個企業(yè)對于風險管理都是不重視的，員工也不太可能會主動防范風險。除此以外，實際控制人可能因為自身素質(zhì)的限制，把企業(yè)管理重點放在業(yè)務(wù)上，對風險管理不重視。

（三）財務(wù)負責人的專業(yè)能力不足

在小微企業(yè)中，財務(wù)負責人要全面負責財務(wù)、稅務(wù)、內(nèi)控、預(yù)算等工作，要統(tǒng)籌公司的成本費用與利潤，收入與稅金、資金的關(guān)系，要求財務(wù)負責人具有滿足這些工作的專業(yè)能力、理論基礎(chǔ)和實踐經(jīng)驗。但在實際中，一部分小微企業(yè)因為人力資源制度、發(fā)展空間的限制，不能留住具備完全勝任能力的財務(wù)負責人，現(xiàn)任的財務(wù)負責人存在專業(yè)知識不全面、實踐經(jīng)驗欠缺、專業(yè)能力不足等問題，在風險控制、溝通和監(jiān)督中，很難起到專業(yè)性的引領(lǐng)和橋梁作用，嚴重阻礙了小微企業(yè)的風險管理。

（四）風險管理不成體系，風險管理重點不突出

小微企業(yè)風險管理的內(nèi)部環(huán)境導致了小微企業(yè)在風險管理時零星操作，風險管理制度不完善、不成體系，很難把握住風險管理的重點，樣樣風險都想防范，樣樣都不能把握的合理、恰到好處。小微企業(yè)可能會忽略那些高風險、較大可能性發(fā)生的不確定事件，把人力、物力、財力、時間等資源浪費在低風險的事物上，形成了風險管理的空白區(qū)域，未做到風險管理的全面性、融合性、平衡性和重要性，存在舞弊或喪失機會的可能。

（五）風險管理內(nèi)容的分類管理上關(guān)系處理不妥當

目前階段，多數(shù)小微企業(yè)面臨的核心問題依舊是生存，因此風險管理也是圍繞生存這個戰(zhàn)略核心去開展的。因此，戰(zhàn)略風險管理必然成為主體，優(yōu)先級最先，而財務(wù)風險管理、市場風險管理、運營風險管理、法律風險管理這四項風險管理是輔助。在小微企業(yè)的實際經(jīng)營管理過程中，很少有把企業(yè)的戰(zhàn)略風險管理放在首位的，有的甚至是缺失的，其他四項風險管理缺少了根本的服務(wù)目標，基于此的風險管控措施必然是不到位的，管控效果有限，會出現(xiàn)本末倒置、喧賓奪主的情況，不但不能促進企業(yè)管理目標的實現(xiàn)，反而與企業(yè)管理目標背道而馳，最終事與愿違。

三、加強小微企業(yè)風險管理的措施

提高小微企業(yè)的風險管理水平，要從最基礎(chǔ)的風險管理意識入手，在此基礎(chǔ)上，完善制度，抓重點，保根本，促落地。

（一）選人用人培訓人，形成全員的風險意識

只有在企業(yè)內(nèi)部形成良好的風險管理氛圍，樹立全員風險意識，小微企業(yè)的風險管理工作才能得到保證。第一，要注重風險管理關(guān)鍵人的意識培養(yǎng)。風險管理關(guān)鍵人包括企業(yè)實際控制人、財務(wù)負責人、各業(yè)務(wù)部門負責人，這些人決定公司發(fā)展的走向，對各項業(yè)務(wù)都有引領(lǐng)帶頭作用，更有監(jiān)督核查的責任，他們的風險意識強了，企業(yè)的風險管理水平就上去了。尤其企業(yè)實際控制人和財務(wù)負責人，企業(yè)實際控制的風險偏好、風險容量和風險容限，決定著企業(yè)的風險偏好、風險容量和風險容限，因此要特別加強實際控制人風險意識的培養(yǎng)，做好員工的榜樣。財務(wù)負責人是各項業(yè)務(wù)流程的交匯監(jiān)督人，是企業(yè)風險管理的第二道防線，他的風險意識越強，對于企業(yè)實際控制人的建議影響力就越強，風險管理的效果也越明顯。第二，嚴格把控關(guān)鍵風險管理人員的選用標準，企業(yè)要任用重用那些具備以下素質(zhì)的優(yōu)秀人才：一是專業(yè)基礎(chǔ)知識過硬；二是熟悉公司業(yè)務(wù)實操；三是經(jīng)驗豐富，熟知風險管理的要點；四是懂經(jīng)營管理，能做好實際控制人的參謀；五是要有前瞻性；六是要有職業(yè)道德，；七是要有較強的學習能力。第三，通過對所有崗位人員的專業(yè)培訓、職業(yè)引導實現(xiàn)加強風險管理的全員培訓。在專業(yè)培訓和職業(yè)引導中，讓所有員工樹立起風險意識。一方面培訓內(nèi)容要有針對性，符合崗位職責內(nèi)容，預(yù)先給關(guān)鍵崗位的關(guān)鍵人打好預(yù)防針，強化風險管理的關(guān)鍵點和重點，為該人員風險管理意識形成打下良好基礎(chǔ)；另一方面在執(zhí)業(yè)引導中，要突出風險管理關(guān)鍵人物的帶頭作用，促進全員風險管理意識的形成。

（二）建立并落地風險管理制度

在小微企業(yè)管理中比較突出的特點就是靈活多變，實用性強，因此，小微企業(yè)需要首先建立起一個風險管理的制度框架，隨后逐步完善，添加更為具體詳實的內(nèi)容。在制度的制定過程中，最關(guān)鍵部分是流程表單的制定，要通過和具體的業(yè)務(wù)部門如采購、生產(chǎn)制作、服務(wù)、倉儲運輸、銷售、售后、人力資源、法務(wù)等部門的溝通協(xié)調(diào)，制定出易實施操作、方便控制的業(yè)務(wù)流程，每個流程都要有對應(yīng)的表單，其填制、審核傳遞流程要與業(yè)務(wù)流程一致，在表單中體現(xiàn)部門、人員的分工、職責、權(quán)限，這樣既保證了財務(wù)數(shù)據(jù)的完整、真實、可靠，又保證了內(nèi)控措施的有效執(zhí)行，使得風險管理落到實處。在風險管理制度落地時要減少管理層凌駕和人員串通。減少管理層凌駕最好的辦法就是盡量避免“特批”，“特批”的存在會讓已經(jīng)制定好的制度、流程失效，正常的風險管理狀態(tài)被破壞，更讓被特批的人，形成僥幸心理，風險管理制度就形同虛設(shè)了。人員串通在小微企業(yè)更容易形成，因為在小微企業(yè)中一人多崗多責更普遍存在，因此除了簡單的道德約束，還要在流程設(shè)計中減少不相容崗位，形成互相監(jiān)督。

（三）堅持成本效益原則，抓住重點

在企業(yè)管理中風險總是無處不在的，即使風險管理體系全面的企業(yè)也難以做到識別并應(yīng)對所有風險，尤其是在小微企業(yè)里，資源有限，要把有限的資源投入到企業(yè)的發(fā)展中去，因此，風險管理一定要堅持成本效益原則，合理應(yīng)對風險。所謂合理應(yīng)對，就是將風險高可能性大的不確定性事件作為風險管理的重點，高風險就意味著發(fā)生后損失大，可能性大就是易發(fā)生，這是風險管理流程中的關(guān)鍵節(jié)點。比如在合同風險管理中，合同審核時發(fā)現(xiàn)客戶方存在較多的應(yīng)付賬款訴訟，那么這個客戶的授信就要限制，不然應(yīng)收可能就不能回收，這是個高概率高風險事件，是風險管理的重點。對于低風險可能性小的不確定事件采取忽略的態(tài)度，因為一旦發(fā)生企業(yè)也承擔得起后果。對于風險高可能性小和風險低可能性大的不確定事件，就要看企業(yè)的風險承受力、風險偏好，也就是機會與風險的選擇，要求企業(yè)用收益率、損失率的數(shù)據(jù)標準線來控制。

（四）堅持戰(zhàn)略風險管理戰(zhàn)略風險管理是企業(yè)維持經(jīng)營方向

正確最根本的保證，一旦戰(zhàn)略風險管理出現(xiàn)問題，就會讓企業(yè)發(fā)展方向發(fā)生偏離，甚至南轅北轍。因此，小微企業(yè)一定要形成不定期復盤經(jīng)營情況的制度、傳統(tǒng)甚至是習慣，觀察內(nèi)外環(huán)境是否變化，尤其是國家法律法規(guī)對于產(chǎn)業(yè)導向的影響，財政、稅收、人力資源政策對企業(yè)的扶植力度，科學技術(shù)特別是計算機網(wǎng)絡(luò)技術(shù)對于本企業(yè)的影響，企業(yè)自身是否與市場發(fā)展程度、經(jīng)濟發(fā)展水平、科技水平、國家政策相適應(yīng)。運營風險管理、財務(wù)風險管理、市場風險管理和法律風險管理四項管理要服務(wù)于戰(zhàn)略風險管理。當企業(yè)戰(zhàn)略偏向于擴張時，運營風險管理就會偏重于公司內(nèi)外的資源能否滿足企業(yè)擴張需要帶來的各類風險管理，市場風險管理就會注重于預(yù)防市場變動對于企業(yè)擴張帶來的不利影響；財務(wù)風險管理就會突出資金籌措的風險管理、稅務(wù)籌劃、擴張前后資產(chǎn)獲利能力。同時運用管理會計的風險預(yù)警分析和管理工具，輔助戰(zhàn)略風險管理，法律風險管理的焦點在投融資過程中涉及到的企業(yè)合規(guī)風險。如果戰(zhàn)略偏向于收縮，運營風險管理就會偏重于公司內(nèi)外資源過剩處理的各類風險管理，財務(wù)風險管理、市場風險管理和法律風險管理也會相應(yīng)變化。當企業(yè)戰(zhàn)略穩(wěn)定時，四項輔助風險管理突出的就是防激進求穩(wěn)定。

（五）推行風險管理導向的內(nèi)部控制措施，促進風險管理落地

無論是風險管理還是內(nèi)部控制管理，其目的都是為降低企業(yè)風險，促進企業(yè)管理目標的實現(xiàn)，兩者目的一致，采取管控的八要素也是相似的，而且判斷一個企業(yè)風險管理水平高低，就是要看其內(nèi)部控制是否完備。因此，加強企業(yè)內(nèi)部控制的管理，尤其通過推行風險管理導向的內(nèi)部控制措施，可提高企業(yè)的風險管理水平。風險管理導向是把風險管理要素融入到內(nèi)部控制中來，在業(yè)務(wù)流程中進行內(nèi)部控制，把風險管理的制度設(shè)計與內(nèi)部控制過程有機地結(jié)合起來，在風險管理成本與效益平衡性原則下，合理應(yīng)對，使風險管理真正落到實處。如商務(wù)洽談環(huán)節(jié)，首先，看合同雙方經(jīng)濟背景實力，這決定著話語權(quán)，也決定了項目風險的主要承擔方。其次，業(yè)務(wù)負責人和公司實際控制人對洽談起著關(guān)鍵作用，決定了合同項目風險大小和可能性。最后，博弈過程也是合同風險形成的過程，就商務(wù)洽談風險管理的關(guān)鍵。把握住了整個洽談的業(yè)務(wù)過程的關(guān)鍵點，便抓住了風險導向管控的關(guān)鍵點，商務(wù)洽談的風險管理自然落地了。

四、結(jié)語

小微企業(yè)的風險管理，核心在于負責風險管理的關(guān)鍵崗、關(guān)鍵人、關(guān)鍵事，充分發(fā)揮企業(yè)實際控制人的風險守門人作用，在財務(wù)負責人的專業(yè)引領(lǐng)中，各部門各崗位，全員風險管理的氛圍中，開展小微企業(yè)的風險管理?？紤]到成本效益原則，不強求面面俱到，但一定要抓住重點，合理應(yīng)對，保證戰(zhàn)略風險管理的根本，落實風險管理導向的內(nèi)部控制，就能做好小微企業(yè)風險管理，防患于未然。

參考文獻：

[1]孫芳城,曾玲,鐘廷勇.CEO財務(wù)專長、職業(yè)生涯關(guān)注與企業(yè)風險[J].金融經(jīng)濟學研究,2020(03):152-160.

[2]沈淳.企業(yè)財務(wù)戰(zhàn)略管理與風險防范[J].全國流通經(jīng)濟,2019(05):45-46.

[3]王建明.新形勢下企業(yè)戰(zhàn)略管理會計新探[J].納稅,2020(08):113-114.

[4]胡文娟.試論目標導向下企業(yè)的內(nèi)部控制和風險管理[J].財經(jīng)界,2020(10):104-105.

篇7

關(guān)鍵詞：風險；企業(yè)風險；風險傳導；評價

中圖分類號：F275 文獻標識碼：A

文章編號：1005-913X（2015）04-0023-06

隨著經(jīng)濟和社會的迅猛發(fā)展，企業(yè)無論是內(nèi)部系統(tǒng)還是外部環(huán)境都處于動態(tài)變化之中，環(huán)境的變化加劇和系統(tǒng)無序化程度的加強使企業(yè)面臨著極大的不確定性，即風險增大。企業(yè)對風險管理的需求上升到對風險系統(tǒng)運行過程的全面監(jiān)控與管理。加強對企業(yè)風險傳導及評價的研究，有助于從過程的視角進一步了解和掌握風險對于企業(yè)產(chǎn)生影響的整個動態(tài)過程及其規(guī)律，從而更好地控制和管理企業(yè)風險，具有重要的理論意義和實踐價值。

企業(yè)風險及其管理問題一直受到國內(nèi)外學者的普遍關(guān)注。國內(nèi)外學者己對風險的類別、起因、特征及對風險的管理等方面進行了廣泛研究。另外，關(guān)于風險傳導的研究也是目前學術(shù)界關(guān)注的熱點領(lǐng)域。接下來筆者將對有關(guān)風險管理研究和傳導研究的國內(nèi)外研究現(xiàn)狀作以概括綜述。

一、企業(yè)風險要素研究

國外學者將企業(yè)風險要素概括為兩大類：企業(yè)外源性風險和內(nèi)源性風險。Moshe Hagigi與Kumar Sivakumar（2009）認為，企業(yè)外源性風險因素主要包括一般環(huán)境、全行業(yè)和企業(yè)的來源于外部的不確定性。內(nèi)源性風險因素包括從公司內(nèi)部產(chǎn)生的不確定性，包括管理觀念、態(tài)度和組織觀點，以及在風險管理認知行為上的差異、內(nèi)部控制問題等。

（一）外源不確定性

Milier（1992）詳細描述了企業(yè)來自外部的風險因素，并將其分為三大類。一是一般環(huán)境因素的風險性。主要包括政治的不確定性、政府政策的不確定性、宏觀經(jīng)濟的不確定性，如利率和匯率的變化，社會的動蕩和自然災(zāi)害等的不確定性。二是整個行業(yè)的風險性。主要包括市場投入的不確定性、生產(chǎn)市場的不確定性和與競爭對手的競爭中造成的不確定性。三是一些特定企業(yè)的風險性。主要包括如生產(chǎn)經(jīng)營的不確定性、投入和產(chǎn)出問題、污染物的排放造成問題、與研究和開發(fā)有關(guān)的不確定性、信貸行為的不確定性。

（二）內(nèi)生不確定性

傳統(tǒng)經(jīng)濟學家對風險的觀點認為，決策者是理性的人，他們試圖從財富中期望最大化的效用。當管理者的邊際效用是遞減時，管理者顯示出風險規(guī)避。Holt和Laury（2002）的實證研究也證實這種規(guī)避風險的態(tài)度。然而，有大量的證據(jù)表明，人類的行為并非總是理性和進行風險規(guī)避的。

Kahneman和Tversky（1979）提出在不確定情況下人們的選擇并不總是理性的，人們在面臨風險時有不同的選擇，甚至有些選擇是被動的。這就導致了行為與理性假設(shè)下的預(yù)期存在偏差。

March和Shapira（1987）探討了企業(yè)風險和管理人員持有的理念之間的關(guān)系。他們的結(jié)論是，管理者喜歡冒險并表現(xiàn)出風險偏好，而且管理者的決策使用的程序在某些方面與經(jīng)典的或理論的程序有所差異。Kahneman和Lovallo（1993）這一問題進行了進一步的探討，他們認為導致這一現(xiàn)象的原因是管理者對風險和機會有非常樂觀的判斷，進而，他們對風險有大膽的預(yù)測。

管理者對風險的看法本質(zhì)上是主觀的，不同的人看法不同，而且可能并不準確。針對這一實際情況，Mezias和Starbulk（2003）發(fā)表了一系列有關(guān)管理人員的觀念的研究報告。他們指出，通過評估管理觀念來證明管理者的看法往往是非常不準確的。

Wright等人（2007）研究了有激勵措施的管理者對企業(yè)承擔風險的影響。他們發(fā)現(xiàn)，管理股票期權(quán)與公司承擔風險是直接和統(tǒng)一相關(guān)的。但是Wright，Kroll，Krug和Pcttus發(fā)現(xiàn)，持股與企業(yè)承擔風險呈非線性關(guān)系。

Goto（2007）討論了在風險管理中行為方式的重要性，并提出控制職工的主觀偏見和判斷風險的方法。

二、企業(yè)風險管理理論研究

（一）國外風險管理理論的研究現(xiàn)狀

1.企業(yè)風險管理理論

國外學者對于風險管理的研究起步比較早，研究內(nèi)容也比較全面。托馬斯.L.巴頓等在《企業(yè)風險管理》中介紹了一種有效的一體化的、戰(zhàn)略性的、經(jīng)營性的風險管理機制以及在整個企業(yè)范圍內(nèi)實施風險管理的基本原理。作者指出，現(xiàn)代企業(yè)的風險管理機制應(yīng)實現(xiàn)從獨立型向綜合型的轉(zhuǎn)變；風險識別的方法一旦確定下來，風險識別應(yīng)該有一個動態(tài)化連續(xù)不斷的過程。

詹姆斯.德阿克在《企業(yè)的泛風險管理》中指出，應(yīng)建立一種動態(tài)的處理風險與機遇的系統(tǒng)化策略。書中介紹了目前在國外方興未艾的一種風險管理新方法――企業(yè)層面的風險管理（EWRM），將風險與機遇結(jié)合起來考察，并把企業(yè)面臨的各種風險看作是相互聯(lián)系的一個整體。把風險管理與企業(yè)的戰(zhàn)略決策、經(jīng)營活動統(tǒng)一起來，通過真正具有全局性、前瞻性的方法去管理所有關(guān)鍵性的奉賢于機遇，從而使企業(yè)能夠在變動不定的經(jīng)濟環(huán)境中最大限度地利用機遇，避免損失，最終確立競爭優(yōu)勢。

Cormac Butler在《風險值概論》中引入了變動性與相關(guān)性來建立風險值模型，并引入了一種新的風險控制方法：蒙特卡羅模擬法，同時提出了以資產(chǎn)組合為基礎(chǔ)的評估信用風險的原理與方法。

篇8

1 風險管理視角下的內(nèi)部審計概述

基于風險管理的內(nèi)部審計是從風險管理角度出發(fā)，通過規(guī)避企業(yè)經(jīng)營過程中的各種風險、規(guī)范企業(yè)經(jīng)營運作流程等系列舉措，最終實現(xiàn)企業(yè)價值增值的過程。

1.1 風險管理視角下的內(nèi)部審計的特點

1.1.1 發(fā)現(xiàn)并解決問題。傳統(tǒng)內(nèi)部審計將發(fā)現(xiàn)的問題報告給相應(yīng)部門，審計工作就可以結(jié)束了。而風險管理視角下的內(nèi)部審計，更加注重可能對企業(yè)未來發(fā)展產(chǎn)生影響的問題，尤其要給出恰當?shù)膶徲嫿Y(jié)論及切實可行的對策建議，幫助企業(yè)及時發(fā)現(xiàn)并合理解決存在的問題。

1.1.2 凸顯企業(yè)風險。風險管理視角下的內(nèi)部審計不僅僅關(guān)注審計風險，其關(guān)注的范圍包括企業(yè)經(jīng)營過程中的各種風險，包括經(jīng)營風險、財務(wù)風險、技術(shù)風險、市場風險等，并將它們作為審計的重點。風險管理視角下的內(nèi)部審計有助于企業(yè)減少風險，達成企業(yè)戰(zhàn)略發(fā)展目標。

1.1.3 增加企業(yè)價值。增加企業(yè)價值是內(nèi)部審計的最終目的，是內(nèi)部審計的發(fā)展趨勢。雖然內(nèi)部審計不直接參與企業(yè)的生產(chǎn)和銷售活動，但其可以通過減少企業(yè)風險、降低審計成本、提出有價值的建議、增加獲利機會等活動來為企業(yè)增加價值，進而為企業(yè)帶來利益。

1.1.4 被審計對象主動參與。與傳統(tǒng)的內(nèi)部審計不同，風險管理視角下的內(nèi)部審計注重讓被審計人員參與到審計活動中來，改變過往居高臨下的審計關(guān)系，調(diào)動被審計人員的積極性，審計人員和被審計人員能夠共同分析和解決審計過程中發(fā)現(xiàn)的問題。

1.1.5 業(yè)務(wù)范圍不斷擴展。在傳統(tǒng)的內(nèi)部審計工作范圍的基礎(chǔ)上，風險管理視角下的內(nèi)部審計將業(yè)務(wù)范圍擴展至公司治理、風險管理等領(lǐng)域，并呈現(xiàn)出進一步擴展的發(fā)展趨勢。對于能夠提升企業(yè)價值的稽核和內(nèi)控活動，內(nèi)部審計都將積極開展。

1.2 內(nèi)部審計與風險管理的關(guān)系

1.2.1 內(nèi)部審計是風險管理的有效工具。國際內(nèi)部審計師協(xié)會對內(nèi)部審計的定義進行的最新修訂中，進一步強調(diào)內(nèi)部審計是一種實現(xiàn)企業(yè)內(nèi)部風險管理的有效工具。企業(yè)內(nèi)部審計發(fā)展實踐表明，實現(xiàn)有效的風險管理才是現(xiàn)代內(nèi)部審計的最終目的。

1.2.2 風險管理的實現(xiàn)客觀上需要內(nèi)部審計的支持?，F(xiàn)代企業(yè)經(jīng)營風險日益增多，企業(yè)風險規(guī)避、風險應(yīng)對、風險補償?shù)刃袨榈膶崿F(xiàn)，必須以詳細的企業(yè)內(nèi)部風險信息為基礎(chǔ)。而在企業(yè)風險管理過程中，為了準確掌握自身風險狀況，客觀上要求企業(yè)必須進行深入細致的內(nèi)部審計，才能保證企業(yè)對內(nèi)部風險形成有效的控制。隨著商業(yè)環(huán)境的日趨復雜多變，企業(yè)風險管理對必須實施有效的內(nèi)部審計提出了客觀要求。

2 風險管理視角下國有企業(yè)內(nèi)部審計存在的問題

隨著我國經(jīng)濟的快速發(fā)展，國有企業(yè)內(nèi)部審計近年來取得了長足的進步。但總體而言，我國國有企業(yè)現(xiàn)階段的內(nèi)部審計工作的開展并不廣泛，內(nèi)部審計對于企業(yè)經(jīng)營和管理控制的影響程度不深，特別是在參與企業(yè)風險管理方面還存在很多不足之處。

2.1 法律體系對內(nèi)部審計實施缺乏規(guī)范性指引

目前，我國法律體系中對于內(nèi)部審計的表述和界定較為籠統(tǒng)，缺少企業(yè)內(nèi)部審計工作的實施相關(guān)的規(guī)范性指引。增值型內(nèi)部審計在我國法律體系中尚未提及，對于如何增強內(nèi)部審計增值作用的研究也有待深入，以增值作用為基礎(chǔ)的內(nèi)部審計往往缺乏實施的基礎(chǔ)。

2.2 內(nèi)部審計在企業(yè)風險管理中職能運用不足

目前，相當部分國有企業(yè)內(nèi)部審計重點仍然是企業(yè)例行審計、離任審計等傳統(tǒng)審計業(yè)務(wù)，對企業(yè)建設(shè)完善的風險管控機制沒有發(fā)揮應(yīng)有的作用。同時，企業(yè)內(nèi)部審計更缺乏科學有效的風險管理審計程序，這造成了其內(nèi)部審計在風險管理的各個階段不能有效地發(fā)揮其職能。

2.3 審計隊伍建設(shè)滯后于企業(yè)風險管理步伐

國有企業(yè)內(nèi)部審計人員不僅應(yīng)當具備從事內(nèi)部審計業(yè)務(wù)相適應(yīng)的專業(yè)知識和業(yè)務(wù)能力，而且還應(yīng)熟悉企業(yè)的日常經(jīng)營活動，掌握風險管理相關(guān)的業(yè)務(wù)知識。目前，我國國有企業(yè)大部分內(nèi)部審計從業(yè)人員都具有財會的知識背景，但是他們對風險意識、風險預(yù)測與評估、風險控制與管理的認識還較為欠缺，與現(xiàn)代企業(yè)內(nèi)部審計業(yè)務(wù)的要求還存在一定差距。

2.4 內(nèi)部審計在風險管理中作用缺乏合理評價

由于我國國有企業(yè)內(nèi)部審計效果沒有成熟的考核體系，各企業(yè)對內(nèi)部審計工作考核標準不一，企業(yè)管理者對于內(nèi)部審計工作的實施效果沒有科學評價，尤其是內(nèi)部審計對風險管理重要影響的認識不足，導致企業(yè)管理層對于內(nèi)部審計的應(yīng)用不關(guān)心，客觀上阻礙了風險管理內(nèi)部審計在我國的發(fā)展。

3 強化風險管理視角下國有企業(yè)內(nèi)部審計作用的建議

國有企業(yè)在我國國民經(jīng)濟體系中占有的重要地位，決定了我們必須加強國有企業(yè)的內(nèi)部審計，使之在防控經(jīng)營風險方面發(fā)揮更大的作用。

3.1 提高審計目標與戰(zhàn)略目標間的匹配度

傳統(tǒng)的內(nèi)部審計主要以合規(guī)檢查和例行監(jiān)督為目標，這種狹隘的審計目標難以與現(xiàn)代企業(yè)的戰(zhàn)略目標有效匹配。為了全面參與企業(yè)風險管理并有效實現(xiàn)企業(yè)價值增值，內(nèi)部審計應(yīng)當積極圍繞企業(yè)戰(zhàn)略發(fā)展目標，持續(xù)提升自身目標的層次，科學設(shè)置內(nèi)部審計目標，為企業(yè)價值增值過程提供更加有力的支持。

3.2 強化形成內(nèi)部風險控制意識

作為一種常規(guī)的、經(jīng)常性的內(nèi)部控制手段，內(nèi)部審計與企業(yè)內(nèi)部人員的接觸面和接觸頻率均高于其他風險管理手段，因此，應(yīng)當通過有效實施內(nèi)部審計持續(xù)幫助和促進企業(yè)內(nèi)部人員強化風險管理控制意識，樹立企業(yè)內(nèi)部的風險管理觀念，建立健全企業(yè)內(nèi)部風險控制體系。

3.3 升級企業(yè)風險管理框架

作為企業(yè)風險管理體系的重要組成部分，內(nèi)部審計的有效運作可以促進企業(yè)內(nèi)部控制和流程監(jiān)控管理成效的提升，進而確保企業(yè)內(nèi)部風險控制措施的控制成果，保證企業(yè)風險管理模塊能夠得到詳實有效的審計信息的支持，從而支撐企業(yè)風險管理框架的運作，并為企業(yè)的內(nèi)部全面風險管理體系提供更加有效的升級支持。

3.4 推動企業(yè)風險管理信息集成

由于傳統(tǒng)的企業(yè)風險管理過程中缺乏統(tǒng)一的協(xié)調(diào)，使得風險管理控制信息割裂，風險管理的效率大打折扣。內(nèi)部審計可以集合企業(yè)內(nèi)部風險管理信息，構(gòu)建一個集中的、規(guī)范的、真實度較高的企業(yè)內(nèi)部風險管理信息庫，最終借助企業(yè)內(nèi)部審計活動的開展來推動企業(yè)風險管理信息的集成，反饋給企業(yè)的各個部門。

3.5 提高企業(yè)風險管理人員專業(yè)素質(zhì)

作為一種持續(xù)性的內(nèi)部監(jiān)督手段，企業(yè)內(nèi)部審計通過對企業(yè)內(nèi)部管理流程和運營狀況的定期監(jiān)控，對企業(yè)內(nèi)部人員形成一定的合規(guī)性壓力。因此，通過內(nèi)部審計制度可以對企業(yè)風險管理人員發(fā)揮監(jiān)督作用，不斷促進企業(yè)風險管理人員提高工作質(zhì)量和專業(yè)素養(yǎng)，為企業(yè)風險管理機制的有效運行奠定基礎(chǔ)，進而不斷提高企業(yè)內(nèi)在價值。

3.6 優(yōu)化組織結(jié)構(gòu)及職權(quán)體系

由于內(nèi)部審計結(jié)果可以較為詳實地反映出企業(yè)運營情況，可以在此基礎(chǔ)上進一步發(fā)掘出企業(yè)運營過程中的內(nèi)部控制缺陷和風險因素。深入分析企業(yè)這些內(nèi)部控制缺陷和風險因素，管理層可以發(fā)現(xiàn)較易出現(xiàn)內(nèi)部控制風險和缺陷的業(yè)務(wù)單位和部門，有效地挖掘出風險動因后，對組織結(jié)構(gòu)進行有針對性的優(yōu)化和調(diào)整，以相互牽制原則提升企業(yè)內(nèi)部控制和風險管理績效，從而實現(xiàn)更好的內(nèi)部控制效果，最終提升企業(yè)價值。

篇9

關(guān)鍵詞：風險管理 內(nèi)部控制 框架

一、風險管理的概念

我國對風險管理理論的研究起步較晚，且不同行業(yè)對風險控制管理的理論見解也有所不同。本文認為風險管理是指企業(yè)在可能遇見的風險環(huán)境里，通過對風險的識別、估測、評價，借以基礎(chǔ)上選擇一套最恰當?shù)娘L險管理辦法，對風險控制后所致的后果降至最小化的管理過程。

二、風險管理與內(nèi)部控制的關(guān)系

關(guān)于對風險管理和內(nèi)部控制這兩個概念，學術(shù)界有兩種爭論――風險管理包括內(nèi)部控制，或者內(nèi)部控制包括風險。本文則認為內(nèi)部控制是風險管理的基礎(chǔ)條件，風險管理是內(nèi)部控制的升華，兩者相輔相成，只是不同行業(yè)之間對兩個概念強調(diào)的側(cè)重點不同而已。

1.行業(yè)特征。金融行業(yè)，所的廣告語都是“投資有風險，入市需謹慎”，可見，它所強調(diào)的一般都是對風險管理的重要性，所以該行業(yè)是以風險管理主導內(nèi)部控制更為方便管理。而對于制造業(yè)來說，要求企業(yè)對內(nèi)部控制加強管理，所以企業(yè)以內(nèi)部控制為主導更為適合。

2.企業(yè)運行周期。在企業(yè)剛起來階段，內(nèi)部結(jié)構(gòu)還不夠完善，所以要加強企業(yè)的內(nèi)部控制體系的建立。而在企業(yè)成長期間，企業(yè)規(guī)模擴大，業(yè)務(wù)范圍廣，隨之而來的風險也越來越大，所以其管理模式是風險管理控制主導內(nèi)部控制體系。隨著企業(yè)逐漸走向成熟，盈利達到最高，有了抵御風險的能力，企業(yè)會力求在內(nèi)控上做到更加完善來鞏固自身的防御能力。在衰退期，由于企業(yè)的規(guī)章制度多，所以內(nèi)部控制成了企業(yè)領(lǐng)導重點關(guān)注的內(nèi)容。

三、現(xiàn)代企業(yè)風險管理框架的基本內(nèi)容

美國COSO委員會對內(nèi)部控制的概念有一定的標準解釋，然而在經(jīng)歷了美國安然、施樂等企業(yè)發(fā)生的欺詐事件后，COSO所提出了內(nèi)部控制框架受到了相當大的質(zhì)疑，于是，人們開始關(guān)注對風險的控制，認為內(nèi)部控制框架應(yīng)當與風險管理相結(jié)合來提升企業(yè)的管理水平。但是，對于絕大多數(shù)企業(yè)來說，缺乏普遍認同的風險管理和內(nèi)部控制框架的定義。2004年9月，在學術(shù)界和企業(yè)界的強烈要求下，美國COSO委員會頒布了《企業(yè)風險管理整合框架》，該框架是目前應(yīng)用最廣泛的理論依據(jù)，受到各國業(yè)界人士的高度關(guān)注。

（一）COSO企業(yè)風險管理框架

1.企業(yè)風險管理的目標體系。COSO認為風險管理目標有四類：戰(zhàn)略目標、經(jīng)營目標、報告目標、合規(guī)目標。戰(zhàn)略目標是指企業(yè)的使命。經(jīng)營目標一般是指業(yè)績指標、盈利指標等。報告目標是指企業(yè)財務(wù)報告和其他信息的可靠性。合規(guī)目標是指企業(yè)在經(jīng)營過程中是否遵守相關(guān)法律法規(guī)。企業(yè)目標的分類有助于企業(yè)在面對不同時期的不同問題時，能側(cè)重點的管理，可以根據(jù)企業(yè)當時的需要進行分派某個具體部門進行直接負責。

2.企業(yè)風險管理的要素。企業(yè)風險管理有八個要素：內(nèi)部環(huán)境、目標設(shè)定、事項識別、風險評估、風險應(yīng)對、控制活動、信息與溝通和控制。這八個要素都貫穿在企業(yè)生產(chǎn)經(jīng)營管理過程當中。

3.企業(yè)風險管理目標與要素之間的聯(lián)系。企業(yè)風險管理要素是為了實現(xiàn)其風險管理目標的，因此，兩者之間有著直接的關(guān)系。

（二）COSO企業(yè)風險管理框架理論

企業(yè)風險管理框架是《內(nèi)部控制整合框架》的拓展和完善，新的COSO報告又新增加了一些觀點、目標和要素，主要體現(xiàn)在：

1.風險組合觀。COSO提出了一個新的觀念――風險組合觀，要求企業(yè)從總體控制各個部門的風險，借以統(tǒng)籌考慮對風險的施行措施，避免各部門分散考慮應(yīng)對風險。

2.戰(zhàn)略目標。內(nèi)部控制框架的企業(yè)目標分為三個：經(jīng)營目標、財務(wù)目標、合法目標。而企業(yè)風險管理框架新增加了一個新的目標――戰(zhàn)略目標。從管理學來分析，戰(zhàn)略目標是用來支持企業(yè)實現(xiàn)最終使命的，是最高層次的目標。

3.風險容量和風險容限。風險管理的框架定義：風險容量是一個主體在追求價值的過程中所愿意承受的廣泛意義的風險的數(shù)量，它反映了主體的風險管理理念，進而影響了主體的文化和經(jīng)營風格。風險容限是風險容量的基礎(chǔ)，是企業(yè)實現(xiàn)目標所能接受的偏離限度。

4.三要素――目標設(shè)定、事項識別和風險應(yīng)對。目標設(shè)定是風險管理體系的首個要素。事項識別是企業(yè)進行風險管理的前提。風險應(yīng)對是說針對不同風險來選擇不同的對策，做到風險最小化管理來降低成本，促進企業(yè)發(fā)展。

四、我國企業(yè)風險管理的現(xiàn)狀及分析

（一）中航油的案例分析

中航油新加坡公司于2001年在新上市，當時是陳久霖任董事兼總裁兼總經(jīng)理職務(wù)，在任期間，陳久霖對企業(yè)的業(yè)務(wù)范圍進行大力擴展，2003年，企業(yè)已經(jīng)從事油品套期保值和衍生品期權(quán)交易，起初的200萬桶交易獲得非常大的收益，但是由于2003年到2006年之間，石油價格一路攀升，而中航油對石油價格回跌一直寄予希望，不斷的增倉，致使賬面價格虧損嚴重，最后不得不申請企業(yè)破產(chǎn)。

中航油的事件，引起業(yè)界一片嘩然。其原因有多方面：第一，企業(yè)領(lǐng)導更新意識淡薄。第二，風險偏好極端。第三，缺乏風險評估機制的建立。雖然中航油內(nèi)部指定了《風險管理手冊》，并運用了風險管理軟件。但是風險管理手冊上的條例有很多有爭議的地方，并且對企業(yè)高層沒有起到約束的作用，這也是中航油走向衰敗的原因之一。

（二）我國企業(yè)風險管理問題

近年來，隨著美國引發(fā)全球經(jīng)濟危機，國內(nèi)企業(yè)開始重視對風險的管理。比如加強了對風險的預(yù)測、將內(nèi)部審計部門參與到風險管理中。企業(yè)在長期的風險管理實踐中取得了進步并累積了很多經(jīng)驗，但是仍然存在一些問題：

1.內(nèi)部控制體系不夠完善。作為風險管理的基礎(chǔ)――內(nèi)部控制，必須給風險管理提供一個可靠的環(huán)境?？梢詫?nèi)部控制分為四個演變過程：內(nèi)部牽制、內(nèi)部控制制度、內(nèi)部控制結(jié)構(gòu)和內(nèi)部控制框架。據(jù)調(diào)查，我國企業(yè)中只有30%的企業(yè)建立了完善的內(nèi)部控制框架，其他大部分企業(yè)停留在內(nèi)部控制制度階段。

2.對風險管理的意識薄弱。企業(yè)家往往過多的關(guān)注于怎樣進行經(jīng)營管理來實現(xiàn)盈利，只有在企業(yè)遇到風險時，才能對已經(jīng)到來的風險進行忙于應(yīng)對，這樣往往會給企業(yè)造成很大損失甚至有破產(chǎn)的可能。

有的企業(yè)雖然已經(jīng)建立了風險管理機制，卻只是表面上的功夫，流于形式，面對風險的到來，無人問津或有章不循，慌亂地采取一些臨時的解決措施。風險管理如同虛設(shè)，使企業(yè)的隨意性過大，扭曲了風險管理的本質(zhì)和初衷。

3.風險管理的技術(shù)方法運用較差。對于風險管理的各個細節(jié)應(yīng)當通過一系列的技術(shù)和方法來實現(xiàn)，否則風險管理無法施行。國外企業(yè)的風險管理技術(shù)相對發(fā)達，通過先進的風險管理軟件以及優(yōu)秀的風險管理技術(shù)專家來支撐對風險的管理。而我國的風險管理信息化系統(tǒng)相對落后，也沒有成熟的人員隊伍，所以，企業(yè)對風險管理的技術(shù)和方法的運行程度低。

五、現(xiàn)代企業(yè)構(gòu)建風險管理框架的思路

（一）建立健全的內(nèi)部治理結(jié)構(gòu)

完善的公司治理結(jié)構(gòu)有助于企業(yè)進行責任劃分，促進股權(quán)結(jié)構(gòu)的合理化，強化企業(yè)內(nèi)部控制，提高企業(yè)經(jīng)營效率。公司治理結(jié)構(gòu)的完善能較好的梳理所有者、董事會和經(jīng)理人三者之間的關(guān)系，為企業(yè)風險管理提供了一個基本的組織架構(gòu)，在該架構(gòu)下，設(shè)立一個專門的風險管理機構(gòu)或者指定某個職能部門來進行風險管理。該機構(gòu)或部門負責處理風險管理的日常事項，包括風險管理的策劃、部署、檢查以及預(yù)測風險未來的導向，并向領(lǐng)導提出建設(shè)性的意見。

（二）加強企業(yè)文化的建設(shè)，大力宣傳風險防范意識

企業(yè)文化是企業(yè)長期以來的共同理想、價值觀、作風、道德規(guī)范、生活習慣的總稱，體現(xiàn)出本企業(yè)的特色，對企業(yè)職工有號召力和感染力，是企業(yè)長期文化形成的反應(yīng)。風險管理文化作為企業(yè)文化其中的一項因素，對風險管理理念和行為起決定性的作用，良好的風險管理文化可以規(guī)避風險，從而提高企業(yè)經(jīng)濟效益，因此，要養(yǎng)成良好的風險管理文化，塑造風險文化的氛圍，對一個企業(yè)來說是非常重要的。主要從以下幾個方面入手：首先，要加強全體職工的法律意識。其次，要對風險切入點的管理人員和職工進行培訓工作，強調(diào)對風險的意識。最后，定期在企業(yè)內(nèi)部宣傳風險文化刊物，培養(yǎng)全體員工的風險管理意識，強化員工的風險管理素質(zhì)。將風險管理文化灌輸于每名員工，形成一種精神狀態(tài)，這樣才能避免風險的發(fā)展與延伸。

（三）設(shè)立風險評估和控制活動

隨著市場環(huán)境的多樣性變化，對企業(yè)面臨的各種風險進行有效地分析、估量，是企業(yè)領(lǐng)導對風險管理的重要環(huán)節(jié)之一。它是在事項識別后，通過對風險信息的大量收集，運用科學的辦法，估測出風險發(fā)生的可能性或者損失的程度。風險評估一般是通過對風險的實時觀察和借助以往的經(jīng)驗來進行風險管理。控制活動是風險管理的核心環(huán)節(jié)，遍及企業(yè)的各個部門，它是通過批準、授權(quán)、驗證等多項活動對企業(yè)進行控制和監(jiān)督，促進企業(yè)目標的快速達成。

（四）信息路徑的暢通

企業(yè)要建立風險管理體系，必須有良好的信息溝通環(huán)境，能幫助企業(yè)對運營情況進行實時掌握。建立一套風險管理的信息路徑必須有一套風險管理術(shù)語，以便于員工之間的溝通，保證信息能被及時傳遞到相關(guān)部門。

六、結(jié)束語

文章通過對風險管理框架進行敘述的基礎(chǔ)上，分析了我國企業(yè)風險管理的現(xiàn)狀以及存在的問題，并提出了建設(shè)性的幾點建議，力求對我國企業(yè)的發(fā)展起到促進的作用。由于我國的風險管理理論還處于起步階段，所以還有很多問題需要進一步探討，筆者水平有限，在構(gòu)建風險管理框架方面提出的建議仍需進一步得到改善。

參考文獻：

[1]方紅星，王宏澤.企業(yè)風險管理整合框架[M].大連：東北財經(jīng)大學出版社，2005.

[2]鄭子云，司徒永富.企業(yè)風險管理[M].北京：商務(wù)印書館，2002.

篇10

[關(guān)鍵詞]內(nèi)部審計；風險管理；IIA；COSO框架

內(nèi)部審計是現(xiàn)代管理和管理控制的組成部分。IIA在《內(nèi)部審計實務(wù)標準》中將其定義為是一種獨立、客觀的保證工作和咨詢活動，其目的在于為組織增加價值并提高組織的運作效率，采用系統(tǒng)化、現(xiàn)代化的方法來對風險管理、控制和治理程序進行評價和改善，從而幫助組織實現(xiàn)目標。

企業(yè)風險管理是一個由企業(yè)的董事會、管理層和員工共同參與，應(yīng)用于企業(yè)戰(zhàn)略制定和企業(yè)內(nèi)部各個層次和部門，用于識別可能對企業(yè)造成潛在影響的事項，并根據(jù)風險偏好管理風險，為企業(yè)目標的實現(xiàn)提供合理保證的過程。它參與到企業(yè)的各項活動之中，是一個過程，是實現(xiàn)結(jié)果的一種方式。與傳統(tǒng)的項目風險管理相比，企業(yè)風險管理強調(diào)戰(zhàn)略導向，覆蓋了組織所有的管理層次和管理領(lǐng)域，方法也更為結(jié)構(gòu)化和規(guī)范化。

內(nèi)部審計承擔了監(jiān)督、分析、評價、檢察、報告和改進等任務(wù)，是企業(yè)風險管理不可或缺的組成部分。就世界范圍看，風險管理已成為內(nèi)部審計的主要內(nèi)容。IIA早就把評價和改善組織的風險作為內(nèi)部審計的主要內(nèi)容，其1999年制定的內(nèi)部審計定義將風險管理和內(nèi)部控制、公司治理并列作為內(nèi)部審計的工作對象，2001年修改的《內(nèi)部審計實務(wù)標準》明確要求內(nèi)部審計參與風險管理和公司治理過程。我國內(nèi)部審計準則中也充分考慮了風險評估作為內(nèi)部審計中的一個核心概念。

內(nèi)部審計為什么要與風險管理相整合，在COSO框架下兩者如何結(jié)合是需要深入分析的問題。本文將對兩者的關(guān)系，兩者結(jié)合的意義及兩者結(jié)合的方式作進一步探討，并在此基礎(chǔ)上研究中國企業(yè)如何將內(nèi)部審計與風險管理相結(jié)合。

一、內(nèi)部審計與風險管理的關(guān)系及兩者結(jié)合的意義

IIA在對美國國會關(guān)于《薩班斯——奧克利斯法案》的意見陳述書中表述：內(nèi)部審計、外部審計、董事會以及高層管理人員被稱為有效的公司治理的四大基石。內(nèi)部審計師的作用是監(jiān)控、評估和分析組織的風險，審查信息及公司對法律法規(guī)的遵守情況，向董事會、審計委員會以及高層管理人員負責提供保證——風險已被分散、公司治理是有效的。內(nèi)部審計以企業(yè)內(nèi)部信息使用者為中心，聚焦于控制、風險管理等關(guān)鍵問題，通過幫助組織管理風險和提高管理效率，來增加組織的價值和改善公司的經(jīng)營。

公司的治理過程是公司的利益相關(guān)主體讓管理層發(fā)現(xiàn)風險并對其進行控制的過程，對公司風險的監(jiān)控及適當?shù)匾?guī)避此類風險，對實現(xiàn)公司目標和保存公司價值都有直接的貢獻。內(nèi)部審計參與風險管理的實質(zhì)就是協(xié)助公司的高層管理人員做如下工作：系統(tǒng)鑒別組織所面臨的風險；評估這些風險對組織的潛在影響；制定控制風險的策略；評價風險管理的過程；就風險應(yīng)對措施的合理性、風險監(jiān)控的及時性、恰當性、有效性等信息進行有效的交流和溝通。風險管理是管理層的一項主要職責，而對組織的風險管理過程進行評估和報告通常是內(nèi)部審計工作的一項主要內(nèi)容。在適當情況下，內(nèi)部審計師應(yīng)與管理層審計委員會和董事會就與風險和風險管理實務(wù)中的薄弱環(huán)節(jié)進行討論，當然在該過程中由管理層負責對重大風險采取針對性行動，內(nèi)部審計機構(gòu)負責人負責評價這些行動。風險管理作為管理層的一項主要職責，它應(yīng)當確保組織中有良好的風險管理過程，并使其發(fā)揮作用。董事會和審計委員會負責監(jiān)督、判斷組織是否有適當?shù)娘L險管理過程，以及是否充分、有效。內(nèi)部審計師的職責是運用風險管理方法和控制措施，對風險管理過程的充分性和有效性進行檢查、評價和報告，提出改進意見，為管理層和審計委員會提供幫助。

IIA多年來一直積極倡導內(nèi)部審計參與風險管理，它認為內(nèi)部審計為組織提供價值的兩個非常重要的途徑是對風險管理的充分性和對風險管理及內(nèi)部控制框架的有效性提供保證服務(wù)。

內(nèi)部審計與風險管理相結(jié)合是將風險作為內(nèi)部審計的對象，打破了原來的內(nèi)部審計只關(guān)心內(nèi)部控制有效性的局面，在評價內(nèi)部控制的基礎(chǔ)上，對企業(yè)所面臨的各種風險進行識別和分析。從另一個角度來講，內(nèi)部審計更加注重企業(yè)的未來，從影響企業(yè)目標實現(xiàn)的各種系統(tǒng)風險和非系統(tǒng)風險出發(fā)，就內(nèi)部控制是否健全、關(guān)鍵的控制點是否有效控制薄弱的環(huán)節(jié)以及改進措施是否有效提出認定，來評價風險管理與控制對組織目標實現(xiàn)的影響程度。以風險為對象的審計在風險管理基礎(chǔ)上又進了一步。風險審計就是在風險管理基礎(chǔ)上審計主體通過對組織風險識別、風險評價等工作的審計，側(cè)重對風險管理進行鑒證。

內(nèi)部審計參與風險管理不僅為內(nèi)部審計自身提供了發(fā)展契機，而且作為企業(yè)內(nèi)的一種獨立、客觀的保證工作和咨詢活動，內(nèi)部審計是公司治理必要和有價值的組成部分，能夠在風險管理中發(fā)揮獨特的作用，無論是內(nèi)部審計還是風險管理都能從雙方的整合中提高效率，創(chuàng)造價值。

內(nèi)部審計作為內(nèi)部控制的重要組成部分，其在風險管理中發(fā)揮不可替代的獨特作用。主要有以下幾個方面：(1)內(nèi)部審計能夠從全局的角度管理風險。對風險的認識、防范和控制需要從全局考慮，但各業(yè)務(wù)部門很難做到這一點。內(nèi)部審計人員從事具體的業(yè)務(wù)活動，獨立于業(yè)務(wù)管理部門，這使得他們可以從全局出發(fā)，從客觀的角度對風險進行識別，及時建議管理部門采取措施控制風險。(2)控制、指導企業(yè)的風險策略。由于內(nèi)部審計部門處于企業(yè)的董事會、總經(jīng)理與各職能部門之間，內(nèi)部審計人員能夠充當企業(yè)長期風險策略與各種決策的協(xié)調(diào)人。通過對長期計劃與短期計劃的調(diào)節(jié)，內(nèi)部審計人員可以調(diào)控、指導企業(yè)的風險管理策略。(3)內(nèi)部審計部門的建議更易引起重視。內(nèi)部審計部門獨立于企業(yè)高級管理層，其風險評估的意見可以直接上報給董事會，這會加強管理當局對內(nèi)部審計部門意見的重視程度。從內(nèi)部審計發(fā)揮的上述職能看，內(nèi)部審計已經(jīng)參與到公司治理與風險管理中，幫助組織發(fā)現(xiàn)并評價重要的風險因素，促進組織改進風險管理體系；評價并改進組織的治理程序，為組織的治理做出貢獻；同時繼續(xù)原有的對控制效率和效果的評價作用，幫助組織保持有效的控制。此時的內(nèi)部審計人員是風險管理專家，通過對風險的把握來評價公司治理及

內(nèi)部控制，并促進公司治理和內(nèi)部控制的改善，從而實現(xiàn)對風險的控制。在風險管理這個統(tǒng)一核心下，公司治理與內(nèi)部控制實現(xiàn)了一定程度整合，為組織增加了價值。

二、內(nèi)部審計在風險管理中的角色和責任

COSO報告指出企業(yè)風險管理有四個目標(實現(xiàn)戰(zhàn)略、高效運作、客觀報告、遵守法則)、八個要素(內(nèi)部環(huán)境、目標設(shè)定、事件識別、風險評估、風險反應(yīng)、控制活動、信息溝通、監(jiān)控活動)，并在企業(yè)的四個層次(企業(yè)級、部門級、事業(yè)單位級、分公司級)展開。內(nèi)部審計在這一框架中作為監(jiān)控活動存在，由內(nèi)部機構(gòu)對企業(yè)風險管理進行獨立評估。IIA在2004年發(fā)表的《內(nèi)部審計在企業(yè)風險管理中的角色》意見書中也認為內(nèi)部審計關(guān)于企業(yè)風險管理的核心角色是就組織風險管理的有效性向董事會提供客觀保證，以幫助確信關(guān)鍵企業(yè)風險被正確管理及內(nèi)部控制系統(tǒng)有效運行。因此，內(nèi)部審計在企業(yè)風險管理架中首要角色是監(jiān)督者，包括對風險管理流程的評估和保證服務(wù)，對風險評估準確性的保證服務(wù)，對關(guān)鍵風險報告的評估和對關(guān)鍵風險管理的評估。

按IIA的標準，內(nèi)部審計的服務(wù)種類可以分為保證服務(wù)和咨詢服務(wù)，前者是一種獨立評價的活動，后者是提供建議及咨詢的活動。內(nèi)部審計為整個組織成員以及組織以外的所有利益相關(guān)主體服務(wù)，其信息服務(wù)對象的需求依其所處的位置、環(huán)境及掌握信息的不同而不同。總體來講，處于信息劣勢的服務(wù)對象希望內(nèi)部審計為其提供保證服務(wù)，處于信息優(yōu)勢的服務(wù)對象則更希望內(nèi)部審計為其提供咨詢服務(wù)。其中，保證服務(wù)是指為了對風險管理。內(nèi)部控制或公司的治理過程提供一個獨立的評價而對證物進行的客觀的檢驗；咨詢服務(wù)是咨詢性的以及與委托人服務(wù)相關(guān)的活動，其性質(zhì)和范圍是與委托人達成一致意見，目的是增加價值和改進組織的經(jīng)營。在企業(yè)風險管理中，內(nèi)部審計的本質(zhì)特征并不發(fā)生改變，因而它可以擔任的角色也是基于這兩種服務(wù)衍生的。除了作為監(jiān)督者所提供的保證服務(wù)之外，內(nèi)部審計還提供咨詢服務(wù)，包括促進對風險的識別和評估、指導和協(xié)調(diào)風險管理活動，加強對風險的報告、保持和發(fā)展風險管理框架、支持建立風險管理、參與制定風險管理戰(zhàn)略等。與此相適應(yīng)，內(nèi)部審計承擔了咨詢者、協(xié)調(diào)者、建議者角色。內(nèi)部審計在企業(yè)風險管理中的角色不是一成不變的，而是一個逐步變化和延續(xù)發(fā)展過程。在組織缺乏風險管理程序的情況下，內(nèi)部審計可以向管理層提出建立企業(yè)風險管理的建議；在組織實施風險管理的初期，內(nèi)部審計能夠發(fā)揮更大的協(xié)調(diào)作用，甚至直接擔任項目經(jīng)理；而當企業(yè)風險管理逐步成熟，運作穩(wěn)定以后，內(nèi)部審計就從建議者、協(xié)調(diào)者轉(zhuǎn)化為監(jiān)督者和咨詢者。內(nèi)部審計的報告關(guān)系也會影響其在企業(yè)風險管理中的角色，報告關(guān)系層次越高，獨立性越強，內(nèi)部審計就越能夠從全局和戰(zhàn)略角度參與企業(yè)風險管理；反之，則從局部和流程角度參與企業(yè)風險管理。

為保證其獨立性，內(nèi)部審計并不對建立企業(yè)風險管理體系承擔主要責任，風險管理責任應(yīng)由管理層承擔。內(nèi)部審計可以對企業(yè)風險管理提供建議、咨詢和支持，但不能設(shè)定風險容忍度、強制實行風險管理流程、對風險提供管理保證、對風險問題進行決策和對風險實施管理職責的行動，內(nèi)部審計對于企業(yè)風險管理的責任應(yīng)當在審計章程中寫明并經(jīng)審計委員會批準。此外，在實踐中，應(yīng)注意處理保證服務(wù)和咨詢服務(wù)的關(guān)系。只要內(nèi)部審計執(zhí)行的任務(wù)涉及履行管理職責，就應(yīng)該認為與此相關(guān)領(lǐng)域的審計客觀性受到了損害，內(nèi)部審計不能就其直接協(xié)調(diào)和指導的風險管理事項提供保證服務(wù)。

三、內(nèi)部審計與風險管理整合的程序步驟

(一)判明風險類別，分析風險的具體源由

企業(yè)風險多種多樣，表現(xiàn)的形式與發(fā)生影響也是千差萬別的，為了管理和控制風險，應(yīng)對風險進行辨認并予以分類，從中分辨出風險的性質(zhì)，以確定主要風險、次要風險、關(guān)鍵風險、派生風險。

國外審計界對經(jīng)營風險提出了多種分類模式，大致可概括為以下九類：外部經(jīng)營風險(經(jīng)營風險)——業(yè)務(wù)風險(經(jīng)營風險)——職權(quán)風險(經(jīng)營風險)——信息處理與技術(shù)風險(經(jīng)營風險)——誠信度風險(經(jīng)營風險)?！攧?wù)風險(投資決策風險)——業(yè)務(wù)風險(投資決策風險)——財務(wù)風險(投資決策風險)——戰(zhàn)略風險。

在內(nèi)部審計工作中，一般先從企業(yè)整體的戰(zhàn)略目標著手，分析戰(zhàn)略目標與企業(yè)實踐的差距，明確形成差距的風險，進而分析風險的產(chǎn)生部門、風險的類別及其性質(zhì)。

(二)在組織機構(gòu)上，內(nèi)審工作要與企業(yè)的各級風險管理組織相配合，開展企業(yè)綜合風險管理

根據(jù)COSO的風險管理框架，一些國際會計公司提出了企業(yè)綜合風險管理概念。這種管理是要求內(nèi)部審計工作超越企業(yè)內(nèi)部各職能部門的隔離，實行全體的、綜合的和全員的行動進行綜合風險管理。

在現(xiàn)代企業(yè)的風險控制方面，不少大中型企業(yè)一般建立三級風險管理組織，即由企業(yè)高級管理層組成的風險控制委員會作為公司風險管理的最高決策機構(gòu)；公司風險控制委員會領(lǐng)導下的內(nèi)部審計；專職風險監(jiān)管部門。內(nèi)部審計部門通過常規(guī)審計及專項審計評估公司風險，對公司風險管理制度進行設(shè)計以及對各業(yè)務(wù)部門執(zhí)行風險控制制度情況進行定期檢查，及時提示和報告潛在風險，并提出防范風險及改進工作的建議。

(三)按風險管理的要求開展內(nèi)部審計

與經(jīng)營風險管理相結(jié)合的內(nèi)部審計，其具體要求是在企業(yè)的“經(jīng)營——風險——控制——監(jiān)督”過程中，內(nèi)部審計充分發(fā)揮其監(jiān)控實效。亦即內(nèi)部審計在開展時，先由企業(yè)各層次人員明確企業(yè)經(jīng)營風險控制管理的目標，在此基礎(chǔ)上廣泛收集經(jīng)營決策信息、情況及風險情況，據(jù)此對各個待審項目的風險做出評價，進而確定內(nèi)部審計控制風險的策略(包括規(guī)避風險、接受風險、轉(zhuǎn)移風險、運用風險、減少風險)，然后運用“計劃——執(zhí)行——檢查——行動”方式，對企業(yè)主管層、業(yè)務(wù)管理層及業(yè)務(wù)執(zhí)行層進行審計。

(四)對具體項目風險、內(nèi)部審計要參與事先、事中和事后三個階段的全過程風險審查

四、內(nèi)部審計與風險管理結(jié)合在中國的應(yīng)用和實踐