风险管理审计的应用实践

浅谈风险管理审计的应用实践

袁

园

（湖南新五丰股份有限公司

审计部，湖南

长沙

410005）

[摘要]在风险管理审计中，应建立内部审计信息平台，广泛收集风险因素，确定风险管理审计重点和要点。对

被审计单位风险管理的测试，应按照《中央企业全面风险管理指引》的要求，明确需要测试的内容，建立相应的测试标准，评价被审计对象风险管理范围和风险评估标准的合理性，评价被审计单位的风险识别、风险分析、风险评价功能，评价被审计单位的风险管理措施和风险监管系统的功能，评价被审计单位的风险预警功能，以判断被审计单位的风险预警系统的合理性与有效性。

[关键词]风险管理；审计；应用实践[中图分类号]F239.4

[文献标识码]B

[收稿日期]2012-11-12

随着当今技术经济的飞速发展，企业面临的风险日趋多样化，与之相对应，企业管理层也越来越重视风险管理，我国于2006年6月，由国资委出台《中央企业全面风险管理指引》，旨在推进与强化大型国有企业的风险管理制度建设。内部审计将促进企业的风险管理作为自身的主要职责，但是，如何在风险管理流程中，履行监控和评价的控制职能，大多数企业的内部审计人员仍然处于摸索阶段。

一、内部审计在风险管理中的作用及流程简述

风险管理是企业的决策层及经营层的职责，内部审计只对企业的风险管理程序的健全性及执行的有效性进行测试及评估，对制度、程序、应对措施的不足进行风险提示。

内部审计在风险管理中的作用表现在三个方面，一是鉴别风险；二是区分可控制的风险；三是指出缺乏控制或过度控制的区域并提出建议。

内部审计了解被审计对象面临的风险，是进行风险鉴别的起点。企业面临的风险，基本上可以划分为系统风险和特有风险，系统风险是指在市场经济条件下，同一行业所共同面对的风险，一般与人文、地理、法律、法规、财政政策、

技术进步等宏观因素有关，企业无法改变也无可避免，只能通过内部调整来加以适应；特有风险，是指某一单个企业因自身特点所面临的独有风险，按实体内容包括营销风险、财务风险、产品开发风险、组织机构风险、内部控制风险等。

内部审计应针对审计对象广泛收集风险因素，进行筛选和分析，得出影响企业经营目标实现的重大不确定因素，视为企业应该予以管理的风险，做为评价企业风险管理范围的恰当性的主要参考指标。

内部审计人员应将审计独立分析的结果与企业已经关注并实施管理的风险进行比对，根据风险审计的重要性理论，参照企业风险管理方

针、政策，按风险管理目标的要求，运用专业方法对审计对象风险范围、

识别、评析、管理等方面进行查证和鉴别，对风险管理及处理方法的合理性和有效性做出评价。

二、风险管理审计的具体应用

(一)建立内部审计信息平台，广泛收集风险因素掌握丰富的信息资源是准确把握风险管理审计重点的前提条件。我们的作法是针对公司总部及下属分、子公司，以审计对象为单元，建立审计信息平台，按季度定期收集相关风险信息，信息平台由四部分构成：一是基本信息栏。组织形式、

主导产品及特点、行业背景、政策影响、经营理念、发展战略等；二是历史审计信息栏。历年的审计范围及方法、审计发现的问题及整改情况、内部控制评价结论、历次审计提示的风险等；三是当前信息栏。经营信息(收入、成本、费用、资产、负债等)；绩效评价信息(财务效益状况、资产营运状况、发展能力、营销能力)等；四是风险管理信息栏。战略风险对企业的影响(宏观经济运行、行业状况、国家产业政策趋势及变化、技术及创新、市场需求、

上下游客户关系、竞争对手情况及差距等)；市场风险信息(产品价格及供需、主要客户的信用、能源及原材料供应关系、税收利率汇率的变化等)；运营风险信息(新产品开发、市场开发与营销、管理层专业背景及经营能力、专业技术人员结构等)、法律与道德方面的风险信息(影响企业的新法律和政策、员工的道德及操守、重大法律纠纷及诉讼情况、知识产权情况)等。

审计信息平台动态更新，在实施风险审计前，审计人员可以充分了解及预测被审计单位经营过程中的风险因素，为实施现场审计筛选审计重点及要点打下坚实的基础。

(二)确定风险管理审计重点和要点1.基本风险因素分析

(1)主要经营者的管理能力及道德水平。对管理能力

第2012年第12期（总第411期）

商业经济

SHANGYE JINGJI

No.12，2012Total No.411

[文章编号]1009-6043

（2012）12-0098-02

的评价，我们以历年的经营业绩及内控制度的健全有效性为主要参考指标；对道德水平的评价，我们以经营者及领导班子的违纪情况、费用开支的合理性为主要参考指标。

(2)上次审计的日期和结果。一般说来，审计间隔期越长，风险越大；上次审计发现的缺陷越多，说明控制存在的缺陷越大，越应审计。

(3)被审计对象的规模及涉及的资金大小。被审计对象的规模越大，对组织的影响就越大，对组织目标实现的不确定性就越大；涉及的资金越大，一般容易引起注意，并预示着风险。

(4)内部控制系统。越弱的控制意味着越大的潜在损失和较高的风险，而越强的控制意味着较少的潜在损失。

(5)公司主要领导及管理层的要求。当管理层要求实施特定的审计项目时，我们通常可以认为，管理层察觉到了某种风险，因为管理者比其他人更熟悉业务，他们会更容易了解其中存在的风险。

(6)业务的重大变化。若基本业务发生重大变化，就有理由优先对其进行审计，因为经营环境的快速恶化，管理人员又面临较大的考核压力，极易产生风险；或由于新业务的拓展或原有业务的急速成长，使得审计对象发生急剧变化，在变化过程中，会发生许多复杂的情况和风险，这些情况和风险在日常稳定的业务流程中一般是不会发生的。

(7)获取经营收益的机会。风险并不仅仅指给予企业带来损失，也有可能给企业带来机会。关注风险，不能只着眼那些给企业带来纯损失的风险，还应充分发掘可以为企业带来收益的机会，并充分利用，从另一方面理解，就等于给企业带来了损失。

2.确定风险审计的重点及要点

(1)根据风险因素对企业整体风险的重要性程度，确定每一个风险因素的权重，并对每一风险因素确定具体的评分标准。

我们通常先由审计部门领导召集所有的审计人员进行集体讨论，将各种风险因素进行成对比较，得出一个初步意见后，再与各业务部门充分沟通，听取各业务部门的意见，形成风险因素的权重初稿，报公司审计主管领导批准后，以基本文件的形式进行确定。我公司当前在用的各风险因素的权重分配如下表：

风险因素的权重分配表

(2)给各种风险因素评分。我们利用审计人员对被审对象的风险管理信息的了解及专业判断，参考标准，确定该风险因素处于评分标准的哪一区间，给出相应的分值。

(3)风险排序。将每个审计对象包含的各项风险因素的分值与相应的风险权重相乘并加总，得出每一审计对象所得的风险分值。按所得分值从高到低进行风险排序，以确定审计对象的重点及要点。

(三)风险管理审计的测试

对被审计单位风险管理的测试，按照《中央企业全面风险管理指引》的要求，我们分六大模块，明确了需要测试的内容，建立相应的测试标准。具体如下：一是全面风险管理体系的建立情况模块。主要包括风险管理组织体系的建立情况，职责的落实情况，具体的措施情况；二是战略风险识别、分析、评估及应对模块。包括战略、计划、目标的制定依据测试，被审计单位对外部环境的分析程序测试，被审计单位对自身的优劣势的分析情况；三是市场风险识别分析评估及应对模块。主要有被审计单位产品分析程序的测试，竞争对手分析程序的测试，客户及供应商的分析程序测试；四是财务风险的识别分析评估及应对模块。主要包括对财务预警体系的建立情况的测试，预警作用的实际发挥情况的测试；五是运营风险的识别分析评估及应对模块。主要包括公司治理的测试，组织机构职能及其履行的测试，产品结构及技术能力等风险管理程序的测试，各项资源管理中的风险识别评估应对能力的测试；六是法律风险的识别分析评估及应对模块。测试被审计单位对法律风险的分析、研究及把握能力，测试应对法律风险的措施执行效果。

(四)风险管理的审计评价

1.评价被审计对象风险管理范围的合理性

我们对于被审计对象在风险管理范围的确定方面是否全面和合理，通常通过定性与定量分析相结合，确认被审计对象的市场环境、竞争能力与营运水平，综合其经营目标，找出审计对象的风险范围。

(1)审核被审计对象为实现经营目标，具备哪些强项、弱项、机会和威胁。

(2)审核被审计对象处于组织生命周期的哪个阶段，关键的成功因素有哪些，目标的实现程度如何。

(3)根据上面两项的审核结果，参照被审计单位已经关注的风险范围，进行相互比照，评估被审计对象风险管理范围的确定是否合理。

2.评价被审计对象风险评估标准的合理性

被审计单位应该根据风险管理对象的不同，建立相应的风险因素评价标准。该标准应该能够对本单位的业务性质进行高度概括，对风险要点表征清淅，同时对风险的不同层次应该建立相应的临界点指标值，以起到风险预警作用。若被审计对象没有相应的风险评价标准，则应认为是一项缺陷。

3.评价被审计单位的风险识别、风险分析、风险评价功能

结合企业的经营战略，通过对被审计单位的识别、分析、评价的职能分工、机构设置和具体业务流程进行检查，测试风险控制流程，评价被审计单位是否能完成风险管理的使命与目标。

序号风险因素分配权重评分标准

1 2 3 4 5 6 7主要经营者的管理能力及道德水平

上次审计的日期和结果

审计对象的规模及涉及的资金大小

内部控制系统

管理层的要求

业务的重大变化

获取经营收益的机会

20分

10分

15分

15分

20分

15分

5分

（略）

袁园：浅谈风险管理审计的应用实践

（下转第121页）