企业风险管理审计(上)

企业风险管理审计（上）

什么是企业风险管理审计？

指企业的内部审计机构采用规范化系统化的方法，对企业的风险管理过程的适当性和有效性，进行审查和评价的活动，内部审计中关注的风险管理，包括风险识别与分析，风险评估与溯源以及对企业风险采取的应对措施等各个方面，因此内部审计机构与人员在开展风险管理审计时，必须了解风险管理的最佳实务与通过测试和评价获取的具体情况进行对比分析，找到差距及其产生的原因，为企业加强风险管理提出改进的建议。

风险管理审计的特点

1.审计对象是风险管理

风险管理审计要求内部审计人员对企业风险管理体系的设计及其运行的有效性，进行评价，另外作为企业风险管理体系的一个环节，内部审计人员应当监督评价企业风险管理体系的有效性及机构的治理经营及信息系统方面的风险因素。

2.高层次

2013版内部控制整合框架中包含了战略目标，要求企业在建立风险管理体系时，要将企业的战略和风险管理融合在一起，保持一致，因此风险管理审计需要对企业的战略进行充分的了解，从战略的高度，从战略的高度对企业风险管理进行评价，

3.重要性

从企业长远发展角度和战略高度出发，开展风险管理审计工作。具有较高的前瞻性，将对企业长期生存和发展产生巨大的影响。

风险管理审计要点

风险管理审计要求内部审计人员对企业的风险管理流程进行总体评价。美国COSO委员会发布的《企业风险企业的风险管理---整合框架》，包括三个维度：

第一维度是企业的目标，即战略目标、经营目标、报告目标和合规目标;

第二维度是全面风险管理的八个要素，即内部环境、风险应对、控制活动、信息与沟通、监控、目标设定、事件识别、风险评估；含各个职能部门、各条业务线及下属于包括整个企业；

第三维度是企业的各个层级，包括各公司。全面风险管理的8个要素是为企业的4个目标服务的，企业各个层级同样也是要坚持这4个目标，同时从以上的8个方面开展风险管理活动。企业内部审计人员以Coso风险管理框架为基础，重点围绕风险因素进行审计，风险管理审计的要点如下:

1

风险管理政策的审核

企业内部审计人员应当审核:企业是否制定正式的风险管理政策;风险管理政策是否包含了COSO全面风险管理的8个要素;风险管理政策内是否包含对风险管理的实施流程:风险管理政策是否适合企业的经营方式与企业文化;风险管理政策是否明确了管理层、合作伙伴、审计人员以及其他所有人员的职责;风险管理政策是否能确保风险渗透整个企业，是否包含了将基本的风险循环嵌入经营流程的方法;风险管理政策中是否将风险与企业经营

相结合，使其能够高效地应对风险，促进企业的发展。

2

风险目标设定的审核

风险目标设定是指企业的管理层必须以目标为基础来识别成功的潜在因素。风险管理应确保企业管理层有一个特定的程序，用来设定目标、选择支持和连接企业使命的目标，并保证和企业风险偏好相一致。目标设定的审核主要是从目标制定和实施方面进行评价。企业内部审计人员应当审核:企业战略是否考虑了董事会已识别的风险;在定义、识别风险以及决策实施过程中，企业的战略是否与风险管理政策一致; 企业战略是否将风险战略考虑在内，对未能实现既定战略目标的风险进行整体应对;企业战略是否考虑了利益相关者对尽早回报的期望与经营增长和市场地位的可持续性之间的内在冲突未得到解决的风险;企业是否确定了适当的程序，保证目标能够分解到实施层，并使其能对相应的风险负责;战略制定是否充分了解利益相关者的责任，是否在合规与绩效之间取得平衡;企业是否建立了战略与员工

间的沟通系统，并与战略设计和实施中的关键风险相结合;企业目标是否包含与Coso企业风险管理框架中的4项目标相对应的各个层级的目标。

3

风险识别和评估的审核

风险识别是识别对企业目标实现产生影响的潜在风险，其目的是建立并强化贯穿企业的风险语言，形成以组合的观点来考虑各种事项。风险识别包括内部和外部反映潜在因素影响战略执行和目标业绩的要素。风险评估是指对识别出来的进行评估，其目的是为了管理风险打下坚实的基础。企业内部审计人员应当审核:企业是否建立了有效识别风险的机制；是否充分识别了企业内外部的各种风险；识别的风险是否覆盖所有重要经营活动业务流程；风险识别是否考虑了企业的业务性质、组织结构、机构变动及员工流因素；风险识别和评估是否将宏观经济变动、行业发展趋势等纳人考虑之中，明确地定义阐述辨识出的风险及特征；是否对风险发生的条件和发生可能性的进行分析和描述；企业是否评估风险对企业实现目标的影响程度、风险价值等是否对识别的风险进行分析和排序，确定应予以重点关注和优先控制的风险。当所处环境和条件发生变化时，是否及时对企业风险进行再识别和再评估。已发风险是否包含在已识别的风险范围内，是否定期或者不定期地识别和评估风险。

4

风险管理措施、方法的适当性审核

企业风险管理的措施主要有5种：规避、转移、降低、接受。每种措施的使用都要在适当的条件之下，否则就会被认为措施不当。内部审计人员不仅审核企业风险管理措施设计的合规性、科学性和合理性，同时也要测试这些措施的执行有效性。在实际工作中，对风险管理措施和方法的适当性审核，要具体情况来判断，即对企业所处特定环境、管理层才能、风险影响程度等因素判断，并结合对经理人风险偏好程度的判断有机进行。

风险管理审计的内容

风险管理审计包括：企业整体层面、业务层面。

内部审计一方面可以审查与评价企业整体的风险管理工作效果；另一方面也对具体的业务层面，风险管理情况进行审查和评价。

1

企业整体层面

从企业整体层面的角度看，内部审计人员在进行了风险管理审计应当关注的内容包括以下5个方面。

（1）风险管理机制的健全性和有效性。

风险管理机制是企业实施风险管理的基础，良好的风险管理机制是企业风险管理有效性的前提，因此企业内部审计机构及其人员应从以下方面确定企业风险管理机制的健全。

A、审查风险管理组织机构的健全性，企业必须以全体员工参与合作和专业管理相结合为基础，根据自身的规模大小管理水平，生产经营的性质以及风险程度等方面的特点建立一个规范化的风险管理组织体系，在这个体系中包含了风险管理负责人，一般专业管理人员，非专业风险管理和外部的风险管理服务等基本要素，风险管理组织体系还应当根据风险产生的原因和阶段，不断的进行动态调整，并通过健全的制度来明确相互之间的责权利，使企业的风险管理体系始终是一个有效的整体。

B、审查风险管理程序的合理性，企业风险管理机构应当采用适当的风险管理程序，以确保风险管理的有效性。

C、审查风险预警系统的存在及有效性风险管理的目的是避免风险降低风险，因此风险管理的首要工作是建立风险预警系统及通过对风险进行科学的预测分析，预计可能存在的风险并提醒有关部门，采取有力措施予以改善，企业风险管理机构和人员应当密切注意与各种风险相关的内外因素及发展变化趋势，对企业可能发生的风险进行科学预测，进行风险预警。

（2）风险识别的适当性和有效性。

对企业面临的现有以及潜在的风险加以判断归类和鉴定的过程，内部审计人员应当实施必要的审计程序，对风险识别过程进行审查和评价，重点关注企业是否充分适当的确认面临的内外部风险企业所面临的风险。