「摘要」　企業(yè)風險管理是一個倍受關注的焦點問題，企業(yè)能否在存在各種不確定性因素影響的環(huán)境中有序、有效地運轉(zhuǎn)，在很大程度上取決于企業(yè)風險管理的有效性。對企業(yè)風險管理的有效性進行審查和評價是現(xiàn)代內(nèi)部審計的一個嶄新領域，本文在分析了企業(yè)風險和風險管理內(nèi)涵的基礎上，分析了企業(yè)風險管理審計的目標及主要內(nèi)容。

　　「關鍵詞」　企業(yè)風險　風險管理　風險管理審計

　　由于各種不確定性因素，企業(yè)面臨著各種風險，能否對風險進行有效的管理和控制，是企業(yè)能否生存發(fā)展、實現(xiàn)企業(yè)預期目標的關鍵。企業(yè)風險管理的有效性在一定程度上取決于企業(yè)對風險管理工作的監(jiān)督和評價。因此，無論是國際內(nèi)部審計師協(xié)會對內(nèi)部審計的定義，還是我國的內(nèi)部審計準則都強調(diào)了內(nèi)部審計在企業(yè)風險管理中的重要性。我國從2005年5月1日起施行的內(nèi)部審計具體準則第16號———《風險管理審計》中更是強調(diào)了內(nèi)部審計人員對風險管理進行審查和評價的職責。

　　一、企業(yè)風險及風險管理的內(nèi)涵

　　進行企業(yè)風險管理審計，必須明確企業(yè)風險及風險管理的內(nèi)涵。否則，企業(yè)風險管理審計便無從談起。

　　1 企業(yè)風險的實質(zhì)

　　首先，風險產(chǎn)生于不確定性因素的存在，如果企業(yè)運行的內(nèi)外環(huán)境是確定的，則不存在企業(yè)風險。其次，企業(yè)運行環(huán)境的不確定性帶來了企業(yè)運行結(jié)果的不確定性。一般來說，我們更注重企業(yè)的運行結(jié)果，對預期結(jié)果的實現(xiàn)與否及可實現(xiàn)程度的大小成為了衡量企業(yè)風險大小的現(xiàn)實標準。因此，可以認為，企業(yè)風險則是企業(yè)運行結(jié)果偏離期望結(jié)果的可能性。筆者認為，企業(yè)目標是企業(yè)期望達到的一種結(jié)果狀態(tài)，但由于相關因素的持續(xù)不斷的變化，企業(yè)目標的實現(xiàn)存在不確定性。因此，企業(yè)風險可以描述為企業(yè)目標不能得以實現(xiàn)的可能性。

　　2 企業(yè)風險的劃分

　　企業(yè)風險可以按多種標準進行分類。筆者認為，既然將風險定義為企業(yè)目標不能得以實現(xiàn)的可能性，那么，企業(yè)風險可以按照企業(yè)目標的不同層次來理解和劃分，并可將其相應劃分為：

　?。?）企業(yè)的戰(zhàn)略風險是指企業(yè)戰(zhàn)略目標不能實現(xiàn)的可能性，主要包括：由于對有關影響因素的分析不夠充分或?qū)ξ磥淼淖兓瘺]能合理預計而帶來的企業(yè)在總體戰(zhàn)略選擇環(huán)節(jié)的失誤風險；由于企業(yè)的具體戰(zhàn)略選擇失誤而帶來的風險，包括企業(yè)經(jīng)營領域的選擇風險、企業(yè)并購風險等。

　?。?）企業(yè)日常經(jīng)營管理風險是指企業(yè)具體經(jīng)營目標不能實現(xiàn)的可能性，又可以劃分為企業(yè)經(jīng)營環(huán)節(jié)的作業(yè)鏈風險，如企業(yè)供、產(chǎn)、銷等環(huán)節(jié)的風險；企業(yè)的人事風險，如由于人員任用、授權、業(yè)績評價等方面的缺陷帶來的風險；企業(yè)的信息風險，如企業(yè)信息系統(tǒng)風險等。

　?。?）財務風險。狹義一般是指由于企業(yè)籌措資金而形成的風險，并主要是指企業(yè)由于舉債而形成的風險，也可稱之為籌資風險。按照本文對風險的定義，即企業(yè)目標不能實現(xiàn)的可能性，則企業(yè)的財務風險是指企業(yè)財務活動目標不能得以實現(xiàn)的可能性，包括籌資風險、資金投放的風險及企業(yè)其他財務活動風險，我們可以稱之為廣義的財務風險。

　　3 企業(yè)風險管理

　　COSO于2004年頒布的《企業(yè)風險管理框架》中指出“企業(yè)風險管理是一個過程，它由董事會、管理當局和其他人員執(zhí)行，應用于戰(zhàn)略制訂并貫穿于企業(yè)之中，旨在識別可能會影響主體的潛在事項，管理風險以使其在風險容量之內(nèi)，并為主體目標的實現(xiàn)提供合理保證?！?/p>

　　我國內(nèi)部審計協(xié)會2005年發(fā)布的內(nèi)部審計具體準則16號—《企業(yè)風險管理審計》中指出“風險管理，是對影響組織目標實現(xiàn)的各種不確定性事件進行識別與評估，并采取應對措施將其影響控制在可接受范圍內(nèi)的過程。風險管理旨在為組織目標的實現(xiàn)提供合理保證?！?/p>

　　從上述對風險管理的解釋可以看出，企業(yè)風險管理的最終目標是為企業(yè)目標的實現(xiàn)提供合理的保證。

　　二、企業(yè)風險管理審計的目標

　　對企業(yè)風險管理進行監(jiān)督和評價是現(xiàn)代內(nèi)部審計發(fā)展的結(jié)果，企業(yè)風險管理審計的目標取決于對企業(yè)內(nèi)部審計的功能定位。

　　從西方企業(yè)內(nèi)部審計的產(chǎn)生和發(fā)展過程來看，內(nèi)部審計是隨著經(jīng)濟的發(fā)展，企業(yè)內(nèi)部管理層次的增多和控制范圍的擴大，基于企業(yè)內(nèi)部經(jīng)濟管理與監(jiān)督的需要而產(chǎn)生的，并隨著管理的需要而不斷發(fā)展。隨著內(nèi)部審計的不斷發(fā)展，內(nèi)部審計的目標也在不斷地變化，其中以國際內(nèi)部審計師協(xié)會（IIA）對內(nèi)部審計所下定義的變化最具有代表性。國際內(nèi)部審計師協(xié)會（IIA）理事會指出內(nèi)部審計是一種獨立、客觀的保證和咨詢活動，其目的是增加組織的價值和改善組織的經(jīng)營。

　　我國的內(nèi)部審計不是在企業(yè)內(nèi)部管理需要的動因下發(fā)展起來的，而是在政府的要求下，在國家審計部門的推動下建立起來的。1993年國家審計署成立，為了盡快建立和完善審計體系，補充剛剛復興的國家審計力量的不足，政府和政府審計機構都極力敦促內(nèi)部審計的組建。但隨著我國經(jīng)濟體制的不斷改革發(fā)展，企業(yè)內(nèi)部審計越來越受到各方面的重視，對內(nèi)部審計的理解也發(fā)生了較大的變化。我國的內(nèi)部審計基本準則指出：內(nèi)部審計是組織內(nèi)部的一種獨立客觀的監(jiān)督和評價活動，它通過審查和評價經(jīng)營活動及內(nèi)部控制的適當性、合法性和有效性來促進組織目標的實現(xiàn)。

　　從內(nèi)部審計的發(fā)展過程可以看出，企業(yè)內(nèi)部審計的目標在于幫助企業(yè)實現(xiàn)目標。企業(yè)內(nèi)部審計的目標決定了企業(yè)風險管理審計的目的在于：通過內(nèi)部審計機構和人員對企業(yè)風險管理過程的了解，審查并評價其適當性和有效性，提出改進建議，促進企業(yè)目標的實現(xiàn)。

　　三、企業(yè)風險管理審計的內(nèi)容

　　風險管理包括組織整體及職能部門兩個層面。內(nèi)部審計人員既可對組織整體的風險管理進行審查與評價，也可對職能部門的風險管理進行審查與評價。因此，筆者認為企業(yè)風險管理審計應當包括以下方面的內(nèi)容：

　?。ㄒ唬╋L險管理機制的審查與評價

　　企業(yè)的風險管理機制是企業(yè)進行風險管理的基礎，良好的風險管理機制是企業(yè)風險管理是否有效的前提。因此，內(nèi)部審計部門或人員需要審查以下方面，以確定企業(yè)風險管理機制的健全性及有效性。包括：

　　1 審查風險管理組織機構的健全性。企業(yè)必須根據(jù)規(guī)模大小、管理水平、風險程度以及生產(chǎn)經(jīng)營的性質(zhì)等方面的特點，在全體員工參與合作和專業(yè)管理相結(jié)合的基礎上，建立一個包括風險管理負責人、一般專業(yè)管理人、非專業(yè)風險管理人和外部的風險管理服務等規(guī)范化風險管理的組織體系。該體系應根據(jù)風險產(chǎn)生的原因和階段不斷地進行動態(tài)調(diào)整，并通過健全的制度來明確相互之間的責、權、利，使企業(yè)的風險管理體系成為一個有機整體。

　　2 審查風險管理程序的合理性。企業(yè)風險管理機構應當采用適當?shù)娘L險管理程序，以確保風險管理的有效性。

　　3 審查風險預警系統(tǒng)的存在及有效性。企業(yè)進行風險管理的目的是避免風險、減少風險，因此，風險管理的首要工作是建立風險預警系統(tǒng)，即通過對風險進行科學的預測分析，預計可能發(fā)生的風險，并提醒有關部門采取有力的措施。企業(yè)的風險管理機構和人員應密切注意與本企業(yè)相關的各種內(nèi)外因素的變化發(fā)展趨勢，從對因素變化的動態(tài)中分析預測企業(yè)可能發(fā)生的風險，進行風險預警。

　?。ǘ╋L險識別的適當性及有效性審查

　　風險識別是指對企業(yè)面臨的，以及潛在的風險加以判斷、歸類和鑒定風險性質(zhì)的過程。內(nèi)部審計人員應當實施必要的審計程序，對風險識別過程進行審查與評價，重點關注組織面臨的內(nèi)、外部風險是否已得到充分、適當?shù)拇_認。筆者認為應當包括以下內(nèi)容：

　　1 審查風險識別原則的合理性。企業(yè)進行風險評估乃至風險控制的前提是進行風險識別和分析，風險識別是關鍵性的第一步。

　　2 審查風險識別方法的適當性。識別風險是風險管理的基礎。風險管理人員應在進行了實地調(diào)查研究之后，運用各種方法對尚未發(fā)生的、潛在的、及存在的各種風險進行系統(tǒng)的歸類，并總結(jié)出企業(yè)面臨的各種風險。風險識別方法所要解決的主要問題是：采取一定的方法分析風險因素、風險的性質(zhì)以及潛在后果。

　　需要注意是，風險管理的理論和實務證明沒有任何一種方法的功能是萬能的，進行風險識別方法的適當性審查和評價時，必須注重分析企業(yè)風險管理部門是否將各種方法相互融通、相互結(jié)合地運用。

　?。ㄈ╋L險評估方法的適當性及有效性審查

　　內(nèi)部審計人員應當實施必要的審計程序，對風險評估過程進行審查與評價，并重點關注風險發(fā)生的可能性和風險對組織目標的實現(xiàn)產(chǎn)生影響的嚴重程度兩個要素。同時，內(nèi)部審計人員應當充分了解風險評估的方法，并對管理層所采用的風險評估方法的適當性和有效性進行審查。

　　內(nèi)部審計人員應當對管理層所采用的風險評估方法進行審查，并重點考慮以下因素：

　?。?）已識別的風險的特征；

　?。?）相關歷史數(shù)據(jù)的充分性與可靠性；

　?。?）管理層進行風險評估的技術能力；

　?。?）成本效益的考核與衡量等。

　　3 審查風險評估方法應當遵循的原則

　　內(nèi)部審計人員在評價風險評估方法的適當性和有效性時，應當遵循以下原則：

　?。?）定性方法的采用需要充分考慮相關部門或人員的意見，以提高評估結(jié)果的客觀性；

　?。?）在風險難以量化、定量評價所需數(shù)據(jù)難以獲取時，一般應采用定性方法；

　?。?）定量方法一般情況下會比定性方法提供更為客觀的評估結(jié)果。

　　（四）風險應對措施適當性和有效性審查

　　內(nèi)部審計人員應當實施適當?shù)膶徲嫵绦?，對風險應對措施進行審查。

　　內(nèi)部審計人員在評價風險應對措施的適當性和有效性時，應當考慮以下因素：

　?。?）采取風險應對措施之后的剩余風險水平是否在組織可以接受的范圍之內(nèi)；

　?。?）采取的風險應對措施是否適合本組織的經(jīng)營、管理特點；

　?。?）成本效益的考核與衡量等。