开展企业风险管理审计应注意的问题

[摘要] 当前很多大中型 企业 在经营管理上采用全面风险管理的模式，而作为审♀计部门来讲，也应针对企业的这种风险管理模式展开审计，由于企业风险管理审计是正在 发展 的一个审计模式，对其的了解还处于初级阶段，因此，这对审计机构和人员来说开展风险管理审计是一种挑战。

[关键词] 企业风险管理审计模式

从20世纪90年代后期开始，由于新 经济 带来的全球化、 电子 商务、企业组织结构虚拟化等特征，许多跨国公司开始实施新的企业全面风险管理方法。

一、企业风险管理审计涵义及其特点

企业风险管理审计是指企业内部审计部门采用一种系统化、规范化的方法来进行以测试风险管理信息系统、各业务循环以及相关部门的风险识别、分析、评价、管理及处理等为基础的一系列审核活动，对机构的风险管理、控制及监督过程进行评价进而提高过程效率，帮助机构实现目标。它有其自身的特点：

1.审计目标:确定企业战略目标，风险管理策略及相应的经营风险（固有风险）并评价企业是如何实施风险管理有效性从而实现企业目标。

2.审计策略:①了解企业战略，经营及价值目标，以及经营行为。 识别实现该目标以及其经营行为的主要固有风险。②了解企业的风险管理策略及风险管理措施。③评价企业的风险管理措施，并有效地将风险降至可接受水平。④关注风险管理缺口的有效性。

3.测试方法:实质性测试与符合性测试相结合，其运用取决于企业风险管理的有效性。

4.管理建议:识别出每个风险关键点所存在的风险管理缺口。

风险管理审计吸收了其他审计模式的优点，同时又关注到企业的战略、绩效❥等整体风险管理的有效性，其不仅考虑到审计师可接受的剩余审计风险，更是从审计固有风险源头，即企业管理层所进行的风险管理活动的角度识别并评价风险，从而才能更一步地从审计师及企业管理层双角度确保审计资源的分配及审计的有效性。

二、企业风险管理审计模式与其他审计模式的区别

根据原安达信公司专业人士Paul Sobel， 在其于2003年所著的《Auditor’s risk manage-ment guide: integrating auditing and ERM》一书中的概括, 现代 审计模式在过去五十年中经历了四大阶段，其分别是:控制基础审计、流程基础审计（又称经营审计）、风险基础审计（又称风险导向审计）、风险管理基础审计, 又称风险管理审计。那么企业风险管理审计模式与风险基础审计模式和控制基础审计模式的不同在于：

1.企业风险管理审计与控制基础审计的区别。

出发点不同。企业风险管理审计侧重审计风险管理政策与企业经营战略方针的矛盾统一，控制基础审计侧重测试企业经营的横向、纵向的制约与协调。

审核目标不同。企业风险管理审计的目标是关注企业风险管理政策设计的适当性；执行的有效性；风险损失处理的合理性。控制基础审计的目标是关注内部控制制度设计的健全性、适当性；执行的有效性。

审计方法不同。企业风险管理审计采用预警分析、专业判断、综合评价等方法。控制基础审计采用测试、分析、专业判断等方法。

2.企业风险管理审计与风险基础审计的区别。

含义不同。企业风险管理审计是审计主体通过对组织风险识别、风险程度的评价等工作的审计，评价风险政策、措施的适当性、执行的有效性的工作。风险基础审计体现着审计主体开展财务审计、绩效审计、控制审计等审计工作首先以测试组织的风险管理战略和风险管理为前提，根据对风险管理审计测试的结果，决定其他相应审计的范围、性质、程度和时间。

侧重点不同。风险管理审计侧重对风险管理进行鉴证，而风险基础审计侧重于对 会计 信息质量的鉴证。

三、开展企业风险管理审计应注意的问题

企业经营必然要面对许许多多的风险，这些风险有的相互叠加放大，有的相互抵销减少。因此，企业考虑风险时，必须根据风险组合的观点，从贯穿整个企业的角度看风险。要实行全面风险管理。这对于对风险管理进行再监督的风险管理审计来说是一种挑战。

1.风险管理审计要与 企业 的各级风险管理组织相配合。开展企业风险管理审计要求内ฏ部审计工作超越企业内部各职能部门之间的间隔，实¢现全体的综合的和全员层次的行动进行综合的风险管理。在 现代 企业的风险控制方面，不少大中型企业一般建立三级的风险管理组织，即由企业高级管理层组成的风险控制委员会作为公司风险管理的最高决策机构;公司风险控制委员会领导下的内部审计及专职风险监管部门。内部审计部门通过常规审计及专项审计评估公司风险，对公司风险管理制度进行设计以及对各业务部门执行风险控制制度的有效性进行定期的检查，及时揭示和报告潜在风险，并提出防范风险及改进工作的建议。内部审计部门对公司总裁负责。各业务部门、业务支持部门和管理部门承担一线的风险控制职能，各部门负责人直接负责风险监控，内部审计部门要对其监控情况组织、指导、监管和控制质量进行评估。

2.以风险管理为核心，对公司治理、风险管理和内部控制进行整合。风险管理是与公司治理和内部控制交汇的核心。公司治理的核心职责就是要有确保公司应对风险的战略和措施，在公司治理中包含一些战略性的风险管理因素。公司治理的实施需要内部控制，为公司治理机制的运行提供保障。同样，风险管理的实施也需要内部控制，采用各种内部控制的方式与方法，实现有效的风险管理。因此，从一定程度上说公司治理和内部控制有着相同的目标：风险管理。内部审计以风险管理为核心进行整合中，以内部控制为手段，对风险管理和公司治理进行内部控制；❣内部控制和风险管理以公司治理为内容，即内部控制和风险管理的内容是公司治理的内容；内部控制和公司治理以风险管理为目标，风险管理的目标是提高企业的 经济 效益，因而内部控制和公司治理也是要以提高经济效益为目标。

3.创新风险管理审计中的技术和方法，提高审计水平。随着信息技术的广泛应用，我国内部审计在风险分析、风险量化和应用 计算 机审计技术方与世界各国存在较大差距，审计效率成为内部审计在风险管理中发挥作用的挚肘。因此，迫切需要研制、开发兼容性强和功能完善的通用审计软件，从而实现审计效果与效率的统一，全面提高内部审计质量。

4.风险管理审计要注意提高审计人员的素质。企业风险管理审计对审计从业人员的业务素质提出了新的要求，首先，要求审计人员具备必需的管 理学 知识和经济学知识。如经济学、管理学、统计学、经济法、信息技术等。其次，要加强审计人员的业务素质建设，要加强审计队伍的理论建设，采取有效措施来改善内部审计人员的专业理论水平，如采取学历 考试 、职业技术资格考试、职称测评、外出培训及建立人员流动站等方式。然后，还要加强审计人员的职业道德 教育 ，增强内部审计人员的责任感和使命感，树立廉洁勤政的观念，将审计部门；建成讲正气、讲学习的法治机构，这是保持审计人员独立性与权威性的基石。最后，按照国际标准，培养某一领域的专家，改变当前内部审计人员知识结构不合理、理论水平不高的现象。

5.辅助审计软件的使用与完善。现代风险导向审计方法中分析性程序占据非常重要的地位，辅助审计软件的使用在其中发挥着重要的作用。西方发达国家大量运用分析性程序的条件是辅助审计程序的开发和运用，它可以直接对数据库进行加工分析，依据软件模型自行处理数据，使运用分析性测试程序成为节约成本的重要手段。另外，采用审计软件使统计抽样的样本更具代表性，审计抽样风险可控，为风险导向审计提供了技术支持。目前，我国在审计软件的开发和使用上不够理想，还有待提高，而且大部分注册 会计 师缺少相应的技术准备，在现阶段推行现代风险导向审计方法只能是一种愿望。

参考 文献 ：

[1]风险导向审计的最新 发展 ——风险管理审计

[2]王晓霞著:企业风险审计. 中国 时代经济出版社，2005

[3]《内部审计具体准则第16号－风险管理审计》

[4]田国双吕红梅:企业内部审计参与风险管理若干问题探讨.审计2004

（9）

[5]周兆生:内部控制与风险管理.审计与经济研究，2004

（4）