师焕荣

摘要：2018年3月，审计署颁布实施《关于内部审计工作的规定》，正式将风险管理列入内部审计法定职责。作为企业内部审计，通过研究企业风险管理审计实施必要性、审计的主要内容及步骤方法等，有利于发挥内部审计在提高风险管理、实现经营目标、增加组织价值等方面的重要作用。

关键词：内部审计;风险管理;风险管理审计

按照国资委2006年6月出台的《中央企业全面风险管理指引》要求，企业风险管理工作已全面开展。2018年3月，审计署颁布实施《关于内部审计工作的规定》，正式将风险管理列入内部审计法定职责。作为企业中的内部审计，有效开展风险管理审计是参与企业全面风险管理工作的重要途径和手段。

一、企业实施风险管理审计的必要性

（一）企业发展的需要

企业在其生存和发展过程中，会受到各种风险威胁。充分利用企业自身内部审计资源开展企业风险管理审计，可以实现对企业风险管理的有效监督与评价，并及时做出反馈，进而实现企业风险管理目标，确保企业的持续健康发展。

（二）企业风险管理监督评价的需要

企业开展全面风险管理，效果如何、管理如何，是企业管理高层关心的问题。内部审计部门独立于企业其他管理部门，熟悉企业各个管理流程，可以客观地对全面风险管理体系建设及风险管理的合理性、完整性、有效性进行监督评价，可以直接向企业高层做出汇报，审计报告和审计建议更具有权威性。

（三）企业内审部门实现增值功能的需要

企业内部审计在改革的环境中，面临着如何转型，从而实现为企业增加价值的功能。企业内部审计可以组织评估企业所面临的风险及制定控制风险的策略，从风险识别、分析、评估、应对、监控等方面的及时性、合理性、恰当性、有效性等进行评价，并将评价结果予以汇报反馈，确保企业防范控制风险，实现为企业增值的功能。

二、企业风险管理审计的主要内容

风险管理审计通俗讲就是对风险管理情况的审计，按照COSO-ERM框架中企业风险管理要素的划分，内部审计人员可以从内部环境、目标设定、风险识别、风险分析、风险评价、风险应对、信息与沟通、监控等八个方面进行风险管理审计。

在组织环境和目标设定审计时，主要的审计事项有：1.是否建立合理的组织结构，配备合适的风险管理人员。2.是否多种方式营造风险管理氛围、培育企业风险管理文化。3.是否设定企业目标，目标是否切合实际。4.是否合理分解企业目标，企业目标发生偏离，是否有纠正控制措施等。

在风险识别、分析、评价、应对审计时，主要的审计事项有：1.是否制定企业风险评估标准。2.风险是否识别全面，影响企业目标实现的重要风险是否识别充分。3.风险识别、分析、评价的方法是否合理、恰当。4.企业风险评估的定性、定量描述是否合理、准确。5.风险应对措施是否有效，是否符合成本效益原则，剩余风险是否控制在企业容忍度范围之内。

在信息与沟通审计时，主要审计事项：1.是否有完整的信息系统支撑企业信息的管理。2.企业重大风险事项是否与内部和外部进行沟通以达成共识等。

在监控审计时，主要审计事项是是否有风险持续监控措施、是否有个别风险评价措施、是否有企业风险管理监控记录等。

由于企业风险管理包括组织整体及职能部门两个层面，内部审计既可对组织整体风险管理进行审查与评价，也可对职能部门风险管理进行审查与评价。

三、企业风险管理审计流程

风险管理审计流程主要分为计划、实施、报告三个阶段，与其它审计流程基本相同。开展风险管理审计，内部审计要注重开展后续审计。

（一）计划阶段—初评企业风险，制定风险管理审计计划

内部审计不可能去评估组织面临的所有可能的风险[1]，所以应该在了解被审计单位组织结构、业务性质规模、单位管理者的管理风格、面临的内外部环境等经营管理情况下，运用“风险因素优先策略”等方法，从风险的发生可能性、出现频率以及损失额度三个方面分析和评估，一是确定企业风险的主要存在领域，二是对企业风险各领域的风险进行初步评估，三是按照风险对企业的影响进行排序，列出企业风险管理审计的优先顺序，编制风险管理审计计划，配备相应的审计人员，详细全审处于高风险层级的风险因素，不同比例抽审其它领域的风险。

（二）实施阶段—审查评估企业风险管理的充分性、有效性，确定剩余风险

实施企业风险管理审计，主要从风险管理体系、风险评估过程及风险应对措施三个方面审查和评价。

1.风险管理体系的审查与评价

为了确定企业风险管理机制的健全性及有效性，内部审计需要审查风险管理组织机构的健全性、管理程序的合理性、风险预警系统的存在及有效性。采用的主要方式是访谈、文件查阅、问卷调查等。重点关注：一是企业是否建立一个包括全面风险管理领导决策机构、组织协调部门、监督评价部门及业务风险责任主体等构成的风险管理组织体系。二是已建立的风险管理组织体系是否根据风险产生的原因和阶段不断地进行动态调整。三是企业是否建立风险预警机制、及时进行风险预警分析并对警情采取相应的控制措施。

2.风险评估过程的审查和评价

风险评估过程包括风险辨识、分析与评价三个阶段。内部审计重点关注：一是评价辨识的风险是否涵盖了对组织目标实现产生影响的所有内、外部风险，是否辨识确认企业面临的重大缺陷风险。二是分析评估已识别风险依据的数据、信息等是否真实可靠，是否正确选择定性或定量的风险评估方法。三是是否根据企业风险评估标准，分析和计量风险发生的可能性、影响程度确定风险的等级，并予以排序找出关键和主要风险。采用的主要方式是分析性复核方法、访谈、抽查、风险清单表等。

3.风险应对措施的审查和评价

风险应对措施主要有回避、接受、降低、分担四种。内部审计在评价风险应对措施的适当性和有效性时，重点关注：一是风险应对措施是否与企业内外部环境相适应，是否符合成本低于效益原则。二是企业制定的内控管理制度是否有具体的内容条款等，来应对企业面临的风险。三是企业规章制度是否有效执行，管控后的剩余风险水平是否在企业可接受范围之内。如果风险降低到可接受范围内，那么该风险应对措施是有效的。

（三）报告阶段—出具审计报告，开展后续审计

1.出具审计报告

风险管理审计报告是风险管理审计工作的最终成果和表现形式。重点要根据审计情况，评价企业风险管理水平;分析發生的每一项重大风险事件的过程、原因、影响;指出规章制度的健全性、未发挥应有作用的原因等;报告在风险管理体系建设和年度风险评估方面取得的主要成绩和存在的主要不足;逐项列示重大风险管理与内部控制缺陷，并提出审计意见与建议。风险管理的审查和评价结果须反映在风险管理审计报告中。

2.后续审计

对于企业风险管理审计，提交审计报告，并非意味着该项审计的结束[2]，国际内部审计实务标准明确要求内部审计必须进行后续审计。后续审计重点是控制目标的实现和风险的再评估。在后续审计时，内部审计应确认措施己执行并评价这些措施的效果;当审计报告的某些或全部事项没有采取措施时，审计人员应要确认管理层已经接受了不采取措施所带来的风险。如企业出于多方考虑，决定承担不对审计发现采取纠正措施的风险，那么，内部审计应向单位负责人作出书面汇报，加以解决。

四、结束语

实施风险管理审计，既是企业内部审计实现转型的客观要求，也是企业强化内部控制、防范经营风险的必要措施。近几年，风险管理审计在企业一直是空白，经过初步研究风险管理审计的内容及流程，并在企业中积极实施，初步满足企业经营管理的需求。随着企业风险管理工作的进一步深入，企业内部审计必须积极学习、探索、实践，通过实施切实有效的风险管理审计，促进企业全面风险管理工作有序开展，确保企业健康可持续发展。

参考文献：

[1]国际注册内部审计师考试指定辅导用书（第四版）.内部审计在治理、风险和控制中的作用[M].西苑出版社，2008.

[2]马剑华.风险导向审计在大型企业集团的应用策略[J].中国内部审计，2012.4.