第一篇：企業(yè)風險管理和審計

摘 要

論文摘要：本篇論文通過先進的風險管理理念、理論、方法、技術以及國內(nèi)部分學者關于風險管理的研究成果，以COSO2004年9月制定發(fā)布的《企業(yè)風險管理—整合框架》為理論基礎，以某集團為案例研究對象，運用內(nèi)部審計方法和程序對某集團風險管理要素進行審計分析和評價，對風險管理理論如何在集團企業(yè)實踐運用進行了探索和研究，提出企業(yè)應逐步建立完善風險管理系統(tǒng)，為企業(yè)在市場經(jīng)濟的大潮中保駕護航。

論文關鍵詞：企業(yè)風險管理；審計；案例研究

目錄

1.企業(yè)風險理論………………………………………………………………………………………………………….(3)1.1企業(yè)風險管理定義???????????????????????(3)1.2風險分類???????????????????????(3)1.3風險管理的內(nèi)容???????????????????????(3)

2.風險管理審計………………………………………………………………………………………………….(4)2．1風險管理審計的目標??????????????????(3)2.2風險管理審計的內(nèi)容?????????????????(4)2.2風險管理審計的程序?????????????????(4)3.基于企業(yè)風險管理和審計的案例分析…………………………………………………………(4)3.1企業(yè)簡介??????????????????(5)3.2公司風險管理和審計評價程序及結論???????????????(6)4.總結……………………………………………………………………………………………………………………………….(7)5.參考文獻………………………………………………………………………………………………………………………..(9)6.謝辭…………………………………………………………………………………(10)

論企業(yè)風險管理要和審計

一、企業(yè)風險理論

（一）企業(yè)風險管理定義

（1）企業(yè)風險理論是對企業(yè)內(nèi)可能產(chǎn)生的各種風險進行識別、衡量、分析、評價，并適時采取及時有效的方法進行防范和控制，用最經(jīng)濟合理的方法來綜合處理風險，以實現(xiàn)最大安全保障的一種科學管理方法。

（2）企業(yè)風險是指由于企業(yè)內(nèi)外環(huán)境的不確定性、生產(chǎn)經(jīng)營活動的復雜性和企業(yè)能力的有限性而導致企業(yè)的實際收益達不到預期收益，甚至導致企業(yè)生產(chǎn)經(jīng)營活動失敗的可能性。

（二）風險分類

風險分類按照風險的來源不同，可以分為外部風險和內(nèi)部風險。

（1）企業(yè)外部風險包括：顧客風險、競爭對手風險、政治環(huán)境風險、法律環(huán)境風險、經(jīng)濟環(huán)境風險等；

（2）企業(yè)內(nèi)部風險包括：產(chǎn)品風險、營銷風險、財務風險、人事風險、組織與管理風險等。

立足于企業(yè)的生產(chǎn)經(jīng)營活動來進行企業(yè)風險評估，主要評估企業(yè)內(nèi)部風險，兼顧企業(yè)外部風險。

（三）風險管理的意義

風險管理的意義有效地對各種風險進行管理有利于企業(yè)作出正確的決策、有利于保護企業(yè)資產(chǎn)的安全和完整、有利于實現(xiàn)企業(yè)的經(jīng)營活動目標，對企業(yè)來說具有重要的意義。

（四）風險管理的內(nèi)容

企業(yè)風險管理的內(nèi)容包括企業(yè)風險識別、企業(yè)風險衡量和企業(yè)風險處理三個方面。

企業(yè)風險識別是風險分析和管理中的一項基礎性工作，其主要任務是明確企業(yè)風險的存在，并找到主要的風險因素，為后面的風險度量和風險決策奠定基礎。

在風險識別之后必須進行企業(yè)風險衡量，以便確定其對企業(yè)發(fā)展影響的嚴重性并采取相應的措施，它其實就是運用一定方法對風險發(fā)生的可能性或損失的范圍與程度進行估計和衡量。

企業(yè)風險處理是針對不同類型、不同規(guī)模、不同概率的企業(yè)內(nèi)外部風險，采取相應的對策、措施或方法，使風險損失對企業(yè)生產(chǎn)經(jīng)營活動的影響降到最小限度。

二、風險管理審計

（一）風險管理審計的目標

風險管理審計是指勝任的專職機構和專業(yè)人員對組織內(nèi)部風險管理程序、風險反應、管理制度及機制的合理性、有效性進行獨立的審查和評價過程。風險管理審計的根本目的是最大限度地增加組織價值。

審計目標是回答“通過審計要證明什么”的理論問題，是審計行為的出發(fā)點，是審計工作的指南，也是審查和評價審計內(nèi)容所期望達到的境地和最終結果。審計目標體系由總目標、一般目標和項目目標構建。

（二）風險管理審計的內(nèi)容

審計內(nèi)容是回答“審計什么”的問題。根據(jù)ERM框架中的要素，風險管理審計的內(nèi)容主要包括：

1.風險管理程序的科學性和合理性，主要包括風險管理開發(fā)階段所制訂的風險管理框架結構的內(nèi)容；風險管理試探階段所實施風險管理框架結構的內(nèi)容；風險管理回顧階段所豐富并增強風險管理框架結構的內(nèi)容；風險管理展開階段所推廣并實施風險管理框架的情況；風險管理支持階段所需要提供的各種基礎組織以及服務。

2.風險反應的周密性和可行性，主要包括風險反應計劃的周密性（如有否考慮風險的可規(guī)避性、可轉移性、可減少性、可接受性）；風險應對策略的可行性（如是否采取了風險控制、風險自留、風險轉移）。

3.風險管理制度的合法性和完善性，主要包括風險管理制度的合法性（如建立風險管理制度是否經(jīng)過充分論證）；風險管理體制的完善性（如考核評價體制和責任追究制度是否健全）。

4.風險管理機制的結構性和盡責性，主要包括高層管理人員和重要崗位業(yè)務人員的風險管理理念及對風險管理的重視程度；風險管理人員的結構和素質；全員風險管理的情況。

（三）風險管理審計的程序

1.審計規(guī)劃階段，包括選定被審計對象和制定風險管理審計計劃。被審計對象選定工作包括識別被審計對象的策略、識別潛在被審計對象和排列被審計對象的順序。制定風險管理審計計劃包括制訂財務風險管理、生產(chǎn)風險管理、市場風險管理、會計風險管理、人事風險管理和其他風險管理審計計劃，確定風險管理審計的位置和背景。

2.審計測評階段，包括風險的分析、評估和監(jiān)控。（1）分析風險。審計人員應對風險跡象進行深入了解、描述和記錄，并對風險的可能性和發(fā)生頻率進行分類。風險可能性分析結果一般有“很少的”、“不太可能的”、“可能的”、“很可能”、“基本確定”等類別，風險發(fā)生頻率分析結果一般可分為“高頻率、高損害風險”，“高頻率、低損害風險”，“低頻率、低損害風險”，“低頻率、高損害風險”等類別。（2）評估風險。審計人員應分析風險的成因及其影響，并確定風險程度及等級。風險程度一般分為“極高”、“高”、“中等”、“低”和“極低”等級別。風險概率用風險發(fā)生可能性的百分比表示，風險量＝風險概率×風險損失量。（3）監(jiān)控風險。審計人員應對可能發(fā)生的風險和損失進行跟蹤檢查。跟蹤已識別風險的發(fā)展變化情況，包括在整個項目生命周期內(nèi)，風險產(chǎn)生的條件和導致的后果變化，作出減緩風險的方案，調整風險管理計劃。

3.審計報告階段，包括匯總審計結果、出具審計報告和追加后續(xù)審計。（1）匯總審計結果，包括審計現(xiàn)狀、標準、差異、原因和建議等部分。如審計建議中對損失大、概率大的災難性的風險要避免；對損失小、概率大的風險，可采取措施來降低風險量；對損失大、概率小的風險，可通過保險或合同條款將責任轉移；對損失小、概率小的風險，可采取積極手段來控制。（2）出具審計報告，包括標題、收件人、正文、附件、簽章、報告日期等基本要素。審計報告正文部分主要內(nèi)容有：審計目標、風險概況、審計依據(jù)、審計結論、審計評價和審計建議等。（3）追加后續(xù)審計。ERM是一個動態(tài)的過程，審計測試應與之相協(xié)調，追加后續(xù)審計顯得重要。后續(xù)審計應將重點放在最嚴重的問題上，相關部門是否予以糾正，若不糾正，責任和原因到底在哪兒；對一般事項可僅限于詢問和簡短的討論。

二、基于風險管理和審計的案例分析

（一）企業(yè)簡介

某集團有限公司是世界上最大的制藥企業(yè)之一，產(chǎn)品包括了處方藥、疫苗、營養(yǎng)品、消費保健品、動物保健品等。集團總部設于美國，擁有多處制藥開發(fā)基地及生產(chǎn)基地。集團擁有最先進的生產(chǎn)設備和工藝技術，以其獨有的技術方法，研制出世界先進藥物?；谪S富的制藥管理經(jīng)驗，創(chuàng)建于1849年，是世界領先的以研發(fā)為基礎的生物醫(yī)學和制藥公司。每天，分布于90個國家的大約80,000名員工致力于探索、研發(fā)、生產(chǎn)和推廣各種領先的處方藥，為全球患者帶來高質、安全的處方產(chǎn)品。2008年，公司年銷售額為483億美元，并投資75億用于研發(fā)。

（二）公司風險管理和審計評價程序及結論

公司審計部作為監(jiān)督檢查部門，每年至少兩次從集團層面對風險管理進行整體評價，并在每季度對分、子公司執(zhí)行例行審計過程中，重點關注風險管理狀況。以下試從集團公司層面，以《COSO風險管理——整合框架》（以下簡稱COSO框架）中所列八要素為線索對公司風險管理進行分析、設計審計評價程序、提出審計評價結論。

（一）內(nèi)部環(huán)境

1.理論描述。內(nèi)部環(huán)境包含組織的基調，它影響組織中人員的風險意識，是企業(yè)風險管理所有其他構成要素的基礎，為其他要素提供約束和結構。

2.審計評價程序。

（1）設計風險相關文化調查表對風險管理的內(nèi)部環(huán)境進行調查；

（2）審查公司經(jīng)營決策、管理方針政策、規(guī)章制度、行為準則等是否反映了公司的風險管理理念、誠信和道德價值觀

3.審計評價結論。公司的風險管理理念屬于風險偏好型，提倡抓住機會，大膽開拓。但對風險管理理念沒有一個書面的說明性的陳述，這些理念存在于董事會及高級管理層的頭腦中，通過收購決策、發(fā)布政策、行為準則、各種規(guī)章制度反映出來并加以強化。

（二）目標設定

1.理論描述。設定戰(zhàn)略層次的目標，為經(jīng)營、報告和合規(guī)目標奠定了基礎。每一個主體都面臨來自外部和內(nèi)部的一系列風險，確定目標是有效的事項識別、風險評估和風險應對的前提。

2.審計評價程序。

（1）獲取管理層對目標的書面陳述；

（2）通過訪談、詢問，獲取公司員工對公司目標的知曉、理解程度的信息；（3）通過查閱管理層的述職報告，獲取目標實現(xiàn)進展情況的信息。3.審計評價結論。

經(jīng)審計調查總結，目標如下： 積極履行企業(yè)社會責任，并努力在衛(wèi)生健康產(chǎn)品的研究、開發(fā)和制造過程中確立其質量、安全和價值基準。實踐我們真誠合作、社區(qū)精神、客戶至上、革新創(chuàng)造、道德觀念、領導人才、力爭上游、尊重他人和追求品質等企業(yè)核心價值觀，來衡量我們的發(fā)展。我們將全身心地投入衛(wèi)生健康事業(yè)，努力致力于人民健康狀況的改善。

（三）事項識別

1.理論描述。管理當局識別將會對主體產(chǎn)生影響的潛在事項——如果存在的話，并確定它們是否代表機會，或者是否會對主體成功地實施戰(zhàn)略和實現(xiàn)目標的能力產(chǎn)生負面影響。帶來負面影響的事項代表風險，它要求管理當局予以評估和應對。

2.審計評價程序。

（1）查閱行業(yè)有關資料，詢問、訪談高層、中層、一般職工，審查風險識別是否充分、全面；

（2）審查風險識別過程資料，判斷是否根據(jù)內(nèi)外部環(huán)境的變化定期進行修正。

3.審計評價結論。公司管理層根據(jù)調查分析、經(jīng)驗總結，識別、列出公司面臨的四大類（行業(yè)風險，業(yè)務風險，財務風險，合規(guī)風險）十三種主要風險：

（1）新型病毒的產(chǎn)生和大范圍疫情的爆發(fā)；（2）企業(yè)之間的不利競爭導致業(yè)務的干擾；（3）消費者對產(chǎn)品信任度和支持度的下降；

（4）產(chǎn)品質量出現(xiàn)問題而導致對人身的傷害；

（5）原材料價格波動；（6）產(chǎn)品未能迎合市場需求；（7）主要管理層的流失；

（8）其他實體誤用、盜用本公司商號（商標）；（9）資金安全管理；（10）資產(chǎn)安全管理；（11）會計系統(tǒng)故障；（12）違反《上市規(guī)則》；

（13）違反食品管理、環(huán)保法規(guī)有關法律規(guī)定。

經(jīng)審計調查，公司管理層對風險識別較為充分，且計劃每年分兩次（期中和期末）對公司面臨的風險進行全面的核查，若發(fā)現(xiàn)風險變化，即使進行調整，但未能嚴格實施。而對于機會，管理層沒有進行專門識別。

（四）風險評估

1.理論描述。風險評估使主體能夠考慮潛在事項影響目標實現(xiàn)的程度。管理當局從兩個角度——可能性和影響——對事項進行評估，并且通常采用定性和定量相結合的方法。

2.審計評價程序。獲取管理層對風險進行定性評估的資料，評價其評估的合理準確性以及是否根據(jù)內(nèi)外部環(huán)境的變化進行動態(tài)修正。

3.審計評價結論。公司管理層對識別出來的十三種風險根據(jù)多年的從業(yè)經(jīng)驗和過去的風險發(fā)生的記錄進行了定性的評估，由于缺乏相關的人才、技術、資料，尚未對風險進行過定量分析。公司管理層計劃每年分兩次（期中和期末）對公司面臨的風險進行全面的核查和平谷，若發(fā)現(xiàn)風險變化，及使進行調整修正，但未能嚴格實施。

（五）風險應對

1.理論描述。在評估了相關的風險之后，管理當局就要確定如何應對。應對包括風險回避、降低、分擔和承受。在考慮應對的過程中，管理當局評估對風險的可能性和影響的效果，以及成本效益，選擇能夠使剩余風險處于期望的風險容限以內(nèi)的應對。

2.審計評價程序。通過訪談、詢問，了解管理層采取的風險應對策略及理由，評價其合理性。

3.審計評價結論。公司管理層對識別出來的重要風險制定了相應的防范措施，從風險應對的角度看多為預防性措施，以降低風險發(fā)生的可能性，而沒有采取購買保險等風險分擔措施。

（六）控制活動

1.理論描述。控制活動是幫助確保管理當局的風險應對得以實施的政策和程序?？刂苹顒拥陌l(fā)生貫穿于整個組織，遍及各個層級和各個職能機構。它們包括一系列不同的活動，例如批準、授權、驗證、調節(jié)、經(jīng)營業(yè)績評價、資產(chǎn)安全以及職責分離。

2.十三種風險審計評價程序。公司管理層針對識別出來的十三種風險，制定了防范措施，審計部門相應地制訂了審計評價程序。

3.審計評價結論。經(jīng)審計調查，公司管理層對于風險管理的控制活動要素較為重視，制定的風險防范措施較為全面、嚴密、可操作，大部分得到了嚴格有效執(zhí)行，但也有部分單位未能嚴格執(zhí)行風險防范措施。

（七）信息與溝通

1.理論描述。有關的信息以保證人們能履行其職責的形式和時機予以識別、獲取和溝通。信息系統(tǒng)利用內(nèi)部生成的數(shù)據(jù)和來自外部渠道的信息，以便為管理風險和作出與目標相關的知情的決策提供信息。有效的溝通會出現(xiàn)在組織中向下、平行和向上的流動。

2.審計評價程序。

（1）走訪公司IT部和公司內(nèi)部報刊編輯部，了解評價公司的信息系統(tǒng)的建設和運轉情況。

（2）訪問公司網(wǎng)站，觀察其運轉情況；

（3）使用公司的局域網(wǎng)、內(nèi)部電話網(wǎng)，閱讀公司內(nèi)部報刊，評價其運轉情況和功效發(fā)揮情況。

3.審計評價結論。公司設立了IT部，建立了較為完備、先進的信息管理系統(tǒng)，通過因特網(wǎng)、內(nèi)部局域網(wǎng)、內(nèi)部電話網(wǎng)、內(nèi)部報刊等手段將信息以文字、聲音、圖片等形式進行傳遞，并制定各種級別的會議制度進行面對面的信息溝通。但沒有建立專門的風險信息生成及傳遞通道。

（八）監(jiān)控

1.理論描述。對企業(yè)風險管理進行監(jiān)控——隨時對其構成要素的存在和運行進行評估。這些是通過持續(xù)的監(jiān)控活動、個別評價或者兩者相結合來完成的。持續(xù)監(jiān)控發(fā)生在管理活動的正常進程中。

2.審計評價程序。

（1）審查內(nèi)部定期（每天、每周、每月）上報的管理報表（報告），評價風險管理日常監(jiān)控職能發(fā)揮情況；

（2）審查內(nèi)部審計部門的審計計劃、風險管理審計報告，評價其監(jiān)控職能的發(fā)揮情況。

3.審計評價結論。公司管理層通過例行的控制活動、信息報告反饋系統(tǒng)對經(jīng)營管理狀況進行日常的監(jiān)控；通過內(nèi)部審計部門對公司所控制的所有單位、項目進行例行審計，報告中時常反映一些被審單位風險管理狀況的信息，對風險管理的監(jiān)控較為及時，但對公司總部層面的風險監(jiān)控較為薄弱。

三、結語

企業(yè)要想在市場經(jīng)濟的大潮中基業(yè)長青，必須對面臨的各種風險進行系統(tǒng)地、全面地管理，這已是不爭的事實。借鑒先進的風險管理理念、理論、方法、工具，結合本企業(yè)具體實際情況，不斷的創(chuàng)新。對內(nèi)部環(huán)境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通、監(jiān)控八個風險管理要素逐一進行分析和評價，查找問題和不足，對風險管理文化、風險管理組織體系、風險識別、評估、排序、風險管理策略與方法、風險管理監(jiān)控與檢查、風險管理溝通與咨詢等關鍵的風險管理流程采取措施不斷完善，逐步完善企業(yè)風險管理系統(tǒng)，是解決風險管理問題的最佳實務。企業(yè)應當增強風險意識，逐步建立險管理系統(tǒng)，為企業(yè)保駕護航，這樣企業(yè)才能在市場經(jīng)濟的大海中劈波斬浪，揚帆遠航。

［1］王曉霞，《企業(yè)風險審計》，第一版，中國時代經(jīng)濟出版社，2005。

［2］江蘇省電力公司、南京大學會計系，《風險管理審計評價》，第一版，中國財政經(jīng)濟出版社，2005。

［3］孫班軍，郝建新，《風險管理案例分析與公司治理》，第一版，中國財政經(jīng)濟出版社，2006。

謝辭

此論文得以順利的完成.首先,感謝我的指導老師xxx,他為我的論文提供了不少寶貴的意見,也為我論文的整理和修改提供了大量幫助.在此感謝他的付出!其次,我要感謝我的實習單位,是她給了我創(chuàng)意的來源.也謝謝她!最后,感謝支持和幫助我完成該論文的各位朋友們!謝謝大家!

第二篇：企業(yè)風險管理審計案例研究

某肉制品企業(yè)風險管理審計案例分析

工管5班

js0844549

黃薇

一、公司簡介

某集團有限公司是中國最大的肉制品生產(chǎn)企業(yè)之一，其產(chǎn)品包括冷鮮肉、冷凍肉、以及以豬肉為主的低溫肉制品、高溫肉制品。集團總部設于中國江蘇省南京市，擁有多處冷鮮肉、冷凍肉生產(chǎn)基地及深加工肉制品生產(chǎn)基地。集團擁有最先進的生產(chǎn)設備和工藝技術，以其獨有的技術方法，研制出一系列符合消費者口味的優(yōu)質產(chǎn)品。基于肉制品業(yè)務的經(jīng)驗，集團于1997年開展冷鮮肉和冷凍肉業(yè)務。2002、2003年，冷鮮肉、冷凍肉的市場占有率分別位列中國大陸第二名、第三名。低溫肉制品，自2002年至2004年，其市場占有率連續(xù)三年位居中國大型零售商銷售首位。對某集團而言，企業(yè)的迅速壯大是成功的標志，但更是企業(yè)所面臨的挑戰(zhàn)。作為一家迅速發(fā)展中的企業(yè)，集團深刻意識到專業(yè)化管理對于企業(yè)壯大的重要性。因此，集團時刻致力于強化企業(yè)的專業(yè)化管理，增強企業(yè)的核心競爭力。

二、某集團風險管理流程存在的問題及對策建議

（一）風險管理文化

1.存在的問題。某集團雖然在香港聯(lián)合證券交易所上市，但其實質仍是一中國民營企業(yè)，該企業(yè)按照香港的《上市規(guī)則》建立了法人治理結構，建立健全了一系列“法治”的規(guī)章制度，但其“人治”的色彩非常濃厚。內(nèi)部控制對高級管理層的約束力較弱。

2.對策建議。在風險管理方面，首先要做的工作是在全公司范圍內(nèi)自上而下進行一次風險管理的宣傳、教育、培訓，增強員工風險管理意識，董事和高級管理人員應在培育風險管理文化中起表率作用。重要管理及業(yè)務流程和風險控制點的管理人員和業(yè)務操作人員，應成為培育風險管理文化的骨干。與薪酬制度和人事制度相結合進行風險管理文化建設，增強各級管理人員特別是高級管理人員風險意識，防止盲目擴張、片面追求業(yè)績、忽視風險等行為的發(fā)生。加強員工法律素質教育，制定員工道德誠信準則，形成人人講道德誠信、合法合規(guī)經(jīng)營的風險管理文化。

（二）風險管理組織體系

1.存在的問題。在公司現(xiàn)有的組織結構里，沒有專職的風險管理機構。董事會下既沒有設風險管理委員會，也沒有設審計委員會。風險管理職能由其他部門（如總經(jīng)辦、審計部、投資發(fā)展部）根據(jù)需要分散承擔，由于風險管理職責不明確，缺少對各種風險的整合管理。

2.對策建議。董事會就全面風險管理工作的有效性對股東大會負責。在董事會下設風險管理委員會，整合現(xiàn)有風險管理資源。明確總經(jīng)理對全面風險管理工作的有效性向董事會負責?？偨?jīng)理委托的高級管理人員負責主持全面風險管理的日常工作，成立風險管理部，負責組織協(xié)調全面風險管理日常工作，除一至兩個專職人員外，其他人員可暫由其他部門派人兼任。內(nèi)部審計部門在風險管理方面主要負責研究提出全面風險管理監(jiān)督評價體系，制定監(jiān)督評價相關制度，開展監(jiān)督與評價，出具監(jiān)督評價審計報告。

（三）風險識別、評估、排序

1.存在的問題?，F(xiàn)在進行重點管理的十三種風險，還是一年前管理層通過討論識別、評估確認的，一年來沒有重新進行識別、評估、排序。而一年來公司內(nèi)外部環(huán)境都發(fā)生了很大的變化，原來識別的風險范圍是否充分、評估排序是否恰當，亟需進行重新審視。

2.對策建議。在進行風險管理宣傳的同時，設計、發(fā)放調查問卷，發(fā)動公司所有員工對公司面臨的風險和機會進行識別，對調查結果進行統(tǒng)計、分析、總結，篩選出主要風險后，在管理層范圍內(nèi)對這些風險進行打分，評估重要性后排序。而對于識別出來的機會，管理層要考慮如何加以充分利用。

（四）風險管理策略與方法

1.存在的問題。公司現(xiàn)有的針對十三種風險采取的防范措施幾乎全部可歸結為抑制與控制策略，以期降低損失發(fā)生的可能性、頻率，縮小損失程度。這十三種風險范圍之外的風險可以說是采取了風險接受策略。而對于風險規(guī)避策略、風險轉移策略、風險利用策略則極少采用。在風險管理策略與方法的選擇上顯得比較保守，缺乏靈活性。而對于機會，則沒有明確的策略進行利用。

2.對策建議。在對公司面臨的風險進行重新識別、評估后，在風險規(guī)避、風險轉移、風險抑制與控制、風險接受、風險利用等策略上靈活選擇，可通過保險、契約、合同、金融工具等形式將風險轉移出去。同時要對機會加以利用，并反映到戰(zhàn)略目標、經(jīng)營目標的制定上。

（五）風險管理監(jiān)控與檢查

1.存在的問題。公司目前沒有專職人員對風險管理進行監(jiān)控，對風險管理的監(jiān)控依賴于對日常經(jīng)營活動進行監(jiān)控的日報、月報系統(tǒng)，而在日報、月報內(nèi)容中并無專門對風險管理情況進行報告。內(nèi)部審計系統(tǒng)在執(zhí)行審計任務時，偏重于財務審計、舞弊審計、經(jīng)營管理審計，而對于風險管理審計尚處于探索階段，尚未全面開展風險管理專項審計。高級管理層則沒有對風險管理進行專門的監(jiān)控與檢查。

2.對策建議。內(nèi)部審計部門開展風險管理專項審計，研究提出全面風險管理監(jiān)督評價體系，制定監(jiān)督評價相關制度，開展監(jiān)督與評價，出具監(jiān)督評價審計報告。可結合例行審計、任期審計或專項審計工作一并開展風險管理審計；在日報、月報系統(tǒng)中增加對各單位風險管理狀況自查報告的內(nèi)容。高級管理層每年至少一次對風險管理狀況進行評估。

（六）風險管理溝通與咨詢

1.存在的問題。公司缺乏專業(yè)的高水平的風險管理師，缺少專門的風險管理溝通渠道，而溝通與咨詢存在于風險管理的各個環(huán)節(jié)當中，這也是風險管理難以有效開展的重要原因。

2.對策建議。公司公開招聘風險管理師，或聘請有資質、信譽好、風險管理專業(yè)能力強的中介機構對企業(yè)全面風險管理工作進行評價，出具風險管理評估和建議專項報告，培訓風險管理人員；在現(xiàn)有的信息系統(tǒng)中開辟專門的風險管理溝通渠道。

三、結語

企業(yè)要想在市場經(jīng)濟的大潮中基業(yè)長青，必須對面臨的各種風險進行系統(tǒng)地、全面地管理，這已是不爭的事實。借鑒西方先進的風險管理理念、理論、方法、工具，結合本企業(yè)具體實際情況，對內(nèi)部環(huán)境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通、監(jiān)控八個風險管理要素逐一進行分析和評價，查找問題和不足，對風險管理文化、風險管理組織體系、風險識別、評估、排序、風險管理策略與方法、風險管理監(jiān)控與檢查、風險管理溝通與咨詢等關鍵的風險管理流程采取措施不斷完善，逐步建立企業(yè)風險管理系統(tǒng)，是解決風險管理問題的最佳實務。企業(yè)應當增強風險意識，逐步建立風險管理系統(tǒng)，為企業(yè)保駕護航，這樣企業(yè)才能在市場經(jīng)濟的大海中劈波斬浪，揚帆遠航。

第三篇：《現(xiàn)代企業(yè)風險管理審計》讀書筆記

《現(xiàn)代企業(yè)風險管理審計》

讀書報告

正如《現(xiàn)代企業(yè)風險管理審計》所述，審計業(yè)界并非尚未認識到其面臨風險的真正根源，目前需要做的是研究并實施如何在審計行為中識別，控制風險，并使該理念和模式體現(xiàn)在審計各階段具體的審計程序中，而不是僅僅在審計計劃階段對固有風險進行簡單的分析。要做到這一點，傳統(tǒng)的審計理念和模式，由于其更多的是為了關注財務報表風險而關注報表和企業(yè)帳目，而不是從企業(yè)經(jīng)營風險，管理層風險管理的角度來關注財務報表，因而無法實現(xiàn)審計風險控制的有效性，也使審計在為整個財富價值鏈中的價值無法進一步得到體現(xiàn)。傳統(tǒng)的審計方法除了在理念存有不足外，還欠缺足夠的可以用來識別現(xiàn)代企業(yè)經(jīng)營風險及其控制的審計工具，模型和方法;而企業(yè)風險管理審計模式，正是從企業(yè)經(jīng)營風險，風險管理角度分析審計風險，實施審計程序，從財務報表風險的源頭——企業(yè)經(jīng)營風險角度去關注財務報表風險，從而為風險降至可接受水平提供有效保障，并實現(xiàn)審計目標同整個商業(yè)社會的共同目標達到一致。

《現(xiàn)代企業(yè)風險管理審計》是CPA視角的中國第一部現(xiàn)代企業(yè)風險管理著作?！冬F(xiàn)代企業(yè)風險管理審計》借鑒國內(nèi)外風險管理方面的知識，在風險審計的概念、目標、程序以及專業(yè)判斷等方面有一定創(chuàng)新和突破；在具體風險的審計上，精心編制國內(nèi)外企業(yè)典型案例，具有可操作性。并提出了企業(yè)風險管理審計模式，從企業(yè)經(jīng)營風險，風險管理角度分析審計風險，實施審計程序，財務報表風險的源頭——企業(yè)經(jīng)營風險角度去關注財務報表風險，從而為風險降至可接受水平提供有效保障，并實現(xiàn)審計目標同整個商業(yè)社會的共同目標達到一致。書中提供了大量的風險管理審計工具，模型和方法以使新的審計理念可付諸實踐。

一、《現(xiàn)代企業(yè)風險管理審計》強調內(nèi)部審計在企業(yè)風險管理中角色和作用

《現(xiàn)代企業(yè)風險管理審計》第2頁對內(nèi)部審計在企業(yè)風險管理中角色和作用

引用了《內(nèi)部審計實務標準》的觀點認為，內(nèi)部審計在企業(yè)風險管理中角色和作用有兩個方面：一是協(xié)助風險估算程序；二是對風險管程序的評價，對風險管理的恰當程度作出保證。這一觀點在書中多次出現(xiàn)，反復強調。作者則認為“內(nèi)部審計師通過對主體企業(yè)風險管理的恰當性和有效性進行檢查、評價、報告和提出改進建議，來協(xié)助管理當局和董事會或審計委員會。內(nèi)部審計師協(xié)會的準則還強調內(nèi)部審計的適當作用，清楚地指出內(nèi)部審計師應該對他們所審計的活動持客觀的態(tài)度?！?/p>

我認為內(nèi)部審計在企業(yè)風險管理中應當保持客觀的態(tài)度，通過評價、報告和提出改進建議，來協(xié)助管理當局和董事會或審計委員會；在評價企業(yè)風險管理的有效性方面起著關鍵性作用。而不贊同《內(nèi)部審計實務標準》對內(nèi)部審計角色和作用的觀點，內(nèi)部審計要保持客觀，就需要相對獨立，不能又當裁判又當運動員，不能直接參與企業(yè)風險管理的風險估算程序。同時內(nèi)部審計的資源難以實現(xiàn)“對風險管程序的評價，對風險管理的恰當程度作出保證”的作用。特別是“作出保證”更是不現(xiàn)實的；如果作為理論上的追求，也是無意義的。能作出“保證”的觀點只能誤導管理當局和董事會或審計委員會賦予內(nèi)部審計不恰當?shù)牡匚缓蜋嘞蓿加酶嗟馁Y源。正如作者在書第3頁的表述：客觀地講，要求每一位審計師者成為風險管理等各個方面的專家是不現(xiàn)實的。

二、企業(yè)風險管理模型

《現(xiàn)代企業(yè)風險管理審計》大都采用了澳大利亞—新西蘭聯(lián)合委員會的風險管理模型。在讀了卓繼民所著《現(xiàn)代企業(yè)風險管理審計》后，作為CPA的我比較認同《現(xiàn)代企業(yè)風險管理審計》選用的風險管理模型，即《現(xiàn)代企業(yè)風險管理審計》第77頁所述的原安達信咨詢公司經(jīng)營風險管理框架圖。

三、含混的風險審計重要性概念

《現(xiàn)代企業(yè)風險管理審計》第121頁提出的風險審計重要性概念?！帮L險審計重要性是指被審計單位所處的環(huán)境、管理和業(yè)務活動，風險識別、分析評估及風險處理方法的任何方面，若存在影響組織基本目標實現(xiàn)的潛在可能，審計師則可判定該風險是重要的，否則，則可判定為不重要或判定為保留風險或剩余風險?！边@一概念可能是由審計重要性在風險審計中的運用。審計重要性是指被審計單位會計報表中錯報或漏報的嚴重程度，這一程度在特定環(huán)境下可能影響會計報表使用者的判斷或決策。我認為風險審計重要性概念是含混的，將“重要性”定義為“潛在可能”很難理解。我認為，風險審計重要性是指被審計單位潛在的可能負面影響目標實現(xiàn)的嚴重程度，這一程度可以通過估計損失額、發(fā)生概率和發(fā)生頻率進行界定。

四、具體風險管理審計

原安達信將風險定義為，環(huán)境風險、過程風險和決策所需信息風險三大類，細分七十三種常見的風險。《現(xiàn)代企業(yè)風險管理審計》在第三篇介紹了風險審計的理論與專業(yè)判斷、規(guī)劃策略和審計框架，第四至八篇介紹了營銷風險、產(chǎn)品開發(fā)與品牌創(chuàng)立風險、企業(yè)財務風險、企業(yè)組織風險和企業(yè)內(nèi)部控制系統(tǒng)風險等5種具體風險的審計，其審計思路受束于前述所選用風險管理模型和第42頁所述的風險適管理的前提與基礎研究：

《現(xiàn)代企業(yè)風險管理審計》，在了解企業(yè)經(jīng)營識別經(jīng)營風險時，提供了一個整體框架用于了解企業(yè)風險管理行為的有效性，并且分析企業(yè)的情況和信息流程。使用的主要分析工具包括：(1)企業(yè)分析框架；(2)企業(yè)風險模型；(3)企業(yè)信息流程；(4)企業(yè)績效評價分析；(5)企業(yè)整體風險管理有效性評價。在企業(yè)風險控制評價時，提供了一個完整的框架用于評估管理層如何對信息流程和特定估計的相關風險進行控制。使用的主要工具包括：（1）風險控制流程框架；

（2）風險控制標準及控制矩陣；（3）信息可信度測試；（4）風險控制識別；（5）評價風險控制的設計；（6）測試風險控制；（7）控制信賴與否之決策樹。作為一名學習了五年會計的學生，還是比較容接受《現(xiàn)代企業(yè)風險管理審計》的觀點，同時認為《現(xiàn)代企業(yè)風險管理審計》介紹的工具能夠全面地了解企業(yè)經(jīng)營、識別經(jīng)營風險；評估管理層如何對信息流程和特定估計的相關風險進行控制，為確定和管理剩余風險的供了支持。

第四篇：風險管理審計辦法

***********公司

風險管理審計辦法

編 號：TS-KP-XS-**

版 本: 2013 編 制：審計部 批 準：董事會

2013年**月**日

****************公司內(nèi)部控制體系

風險管理審計辦法

目錄：共九章

第一章 總則

第二章 風險管理審計的目標

第三章 風險管理審計的思路

第四章 風險管理審計的主要分類

第五章 風險管理審計須遵循的原則 第六章 風險管理審計的程序

第七章 制定風險管理審計方案的主要內(nèi)容

第八章 風險管理審計取證的評價標準

第九章 審計報告

第一節(jié) 整理審計發(fā)現(xiàn)的要求

第二節(jié) 風險管理審計報告的內(nèi)容

第十章 附則

第一章 總 則

第一條 為了規(guī)范內(nèi)部審計人員對公司全面風險管理的審查與評價行為，根據(jù)中國內(nèi)部審計協(xié)會《內(nèi)部審計具體準則第16號——風險管理審計》、公司內(nèi)部控制體系文件、《企業(yè)內(nèi)部審計制度》特制定本辦法。

第二條 本辦法所稱風險管理險審計又稱風險審計或風險導向審計。風險管理審計（或風險審計）是指公司內(nèi)部審計機構根據(jù)公司全面風險管理的目標和政策，采用一種系統(tǒng)化、規(guī)范化的方法對公司風險管理過程中的風險評估、風險應對和風險控制活動進行評價和測試，以識別、預警和糾正公司在實施風險管理過程中可能存在的不適或缺陷，進而提高公司風險管理的效率和效果，保障企業(yè)戰(zhàn)略目標的實現(xiàn)。

第三條 本辦法所稱風險管理，是指一套由董事會和經(jīng)營管理層共同設立、與企業(yè)戰(zhàn)略相結合的管理流程。它的功能是對影響公司目標實現(xiàn)的各種不確定性事件進行識別與評估，并采取應對措施將其影響控制在可接受范圍內(nèi)的過程。風險管理旨在為公司目標的實現(xiàn)提供合理保證。

第四條 本辦法所稱全面風險管理，是指公司圍繞總體經(jīng)營目標，通過在公司管理的各個環(huán)節(jié)和經(jīng)營過程中執(zhí)行風險管理的基本流程，培育良好的風險管理風氣，建立健全全面風險管理體系，包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統(tǒng)和內(nèi)部控制系統(tǒng)，從而為實現(xiàn)風險管理的總體目標提供合理保證的過程和方法。

第四條 本辦法適用******有限公司（以下簡稱“公司”）及所屬各分公司、全資子公司的內(nèi)部審計工作，控股子公司的內(nèi)部審計部門參照執(zhí)行。

第二章 風險管理審計的目標

第五條 風險管理審計的總體目標是依據(jù)公司戰(zhàn)略目標和風險管理政策，評價公司是如何通過實施風險管理從而實現(xiàn)企業(yè)各類管理目標的，進而評價公司風

險管理的效率和效力，提出改進措施，以保障公司全面風險管理目標的實現(xiàn)，最終支持和保障公司總體戰(zhàn)略目標的實現(xiàn)。

第六條 風險管理審計總目標的具體化就是風險管理審計具體目標。風險管理審計具體目標可分為一般風險管理審計目標和專項風險管理審計目標兩個層次。

第七條 一般風險管理審計目標是對事項的關鍵風險管理的效率和效力評價，或者說特別關注被審事項的關鍵風險管理框架設計的合理性和運行的有效性。其審計內(nèi)容一般包括：一是評價那些可能影響被審事項目標實現(xiàn)的關鍵性風險的管理缺口（關鍵風險被識別程度）；二是評價為保障被審事項目標實現(xiàn)而開展的風險管理活動的效率和效力（或者說是評價被審事項的風險管理框架設計的合理性和運行過程的有效性）

第八條 專項風險管理審計目標是按照每一個審計專項具體任務和具體內(nèi)容而定的，以下列舉一些常見的專項風險管理審計目標：

(一)有關風險管理要素的審計目標，例如包括：

1、風險范圍確定的合理性：包括戰(zhàn)略范圍、組織與環(huán)境范圍、業(yè)務范圍；

2、風險評價標準與指標體系的科學性：例如評價基礎、評價方法、評價內(nèi)容、指標計算；

3、風險評估方法的合理性與科學性：主要審核如下方面：按照審計確定的風險范圍，核實風險識別是否全面，風險各級分類的合理性，可控風險與不可控風險確定的科學性，風險分析方法選用的科學性，風險評估結果的可信性；

4、風險治理策略和措施的合理性；

5、風險理財組合方案的合理性。

（二）風險管理活動的充足性。

（三）風險管理制度的適當性。

（四）危機管理計劃的合理性與可操作性。

（五）風險管理目標與企業(yè)管理目標的協(xié)調一致性。

（六）新項目和新市場的可進入性評價。

（七）對損失事件的原因調查性評價（真實性評價）。

（八）風險相關記錄和風險信息的完整性/真實性評價。

（九）內(nèi)部控制體系的有效性，內(nèi)部控制措施的恰當性。

（十）其他。

第三章 風險管理審計的思路

第九條 依照ISO-31000框架，核驗公司風險管理過程中針對每個關鍵的風險環(huán)節(jié)實施的風險管理是存在和合理的，且正常運行。這些環(huán)節(jié)包括：溝通與協(xié)商，識別與分析風險，風險評估，評價和選擇策略，實施風險治理，監(jiān)控，持續(xù)改進。

第十條 依照COSO-ERM框架，一方面，核驗戰(zhàn)略、經(jīng)營、報告和合規(guī)四大目標確實存在，并且針對這些目標的管理都是有效的，如核驗董事會和經(jīng)營管理層：了解組織實現(xiàn)其戰(zhàn)略目標的程度，了解組織實現(xiàn)其經(jīng)營目標的程度，能保障組織的報告是可靠的，能保障組織遵循適用的法律和法規(guī)。另一方面，核驗八大要素的存在，以及核驗其正常運行情況。

第十一條 對照特別制定的風險管理框架和要求來衡量企業(yè)風險管理的有效性。如內(nèi)控測試狀態(tài)良好，機制對風險反應迅速，公司對風險的預測能力正在逐漸提高，事故發(fā)生率降低和損失明顯減少，社會責任形象提升等。

第四章 風險管理審計的主要分類

第十二條 一般風險管理審計

這類審計主要目的是識別/確認被審事項的關鍵業(yè)績影響因素和評價相應的風險管理效率和效力，可細分類為：

（一）針對公司各管理層級的風險管理審計：企業(yè)整體、分公司、業(yè)務或子公司。

（二）針對公司職能領域或特定關鍵風險的風險管理審計：戰(zhàn)略審計、財務審計、信息系統(tǒng)審計、質量審計、安全審計、環(huán)境審計和內(nèi)控審計等。

（三）針對項目的風險管理審計

（四）針對各類活動的風險管理審計

（五）針對產(chǎn)品或服務的風險管理審計

（六）針對過程或操作的風險管理審計

（七）針對資產(chǎn)的風險管理審計 第十三條 風險管理要素審計

風險管理要素審計是針對企業(yè)風險管理政策、方法、措施、手段等要素實施的審計

第五章 風險管理審計須遵循的原則

第十四條 審計人員風險管理專業(yè)水準原則：審計人員應熟悉ISO-31000 “風險管理原則和實施指引”和了解ISO-31010“風險管理-風險評估技術”；

第十五條 審計人員職業(yè)道德和具備審計專業(yè)基本水準原則；

第十六條 目標導向原則：清晰地理解被審事項的目標，識別影響目標實現(xiàn)的風險要素，提出將這些風險要素管理至公司可接受水平之內(nèi)的改進建議；

第十七條 關鍵性（重要性）原則：在設計審計方案和實施審計時，應關注關鍵目標、關鍵業(yè)務、關鍵流程和關鍵風險點，識別影響關鍵業(yè)績實現(xiàn)的關鍵要素，進而就關鍵風險點的管理缺口提出改進建議；

第十八條 審計規(guī)劃/計劃原則：充分了解風險管理審計的審計目標和審計任務，做足審計準備，設計周密、充足和合理的審計取證方案，制定合理與可操作的風險管理審計計劃和方案；

第十九條 充分了解就被審事項所設定的風險管理期望和價值原則：了解被審事項（整體或局部）的風險管理政策或管理原則，這是對公司整體、局部、業(yè)務、項目、資產(chǎn)、過程或活動等事項實施風險管理審計的判別依據(jù)之一；

第二十條 風險管理審計過程組織原則：執(zhí)行風險管理審計計劃，調整計劃，及時完成計劃；

第二十一條 溝通和協(xié)商原則：各審計相關方在審計過程中應保持持續(xù)和暢通的磋商和溝通；

第二十二條 確保審計質量原則：應確保審計計劃制定的質量，確保審計過程實施的質量，確保審計報告的輸出質量；

第二十三條 風險管理審計報告應體現(xiàn)重要性、客觀性、完整性、及時性和可靠性原則。

第六章 風險管理審計的程序

第二十四條 風險管理審計程序如下所示：

1、風險評估與確定審計域程序（通過風險評估識別關鍵風險分布從而確定審計域）

2、制定風險管理審計計劃程序

3、按計劃實施調查和測試（主要包括內(nèi)部控制測試程序和實質性測試程序）

4、審計證據(jù)評價程序、審計報告程序（包括整理審計發(fā)現(xiàn)、審計報告和風險管理建議）。

5、風險管理審計的后續(xù)審計

第七章 制定風險管理審計方案的主要內(nèi)容

第二十五條 風險管理審計方案就審計的組織方式、時間進度、資源分配、6 審計證據(jù)取證安排、審計質量保證措施等給出更為清晰和可操作的指引。一般來講，一個整體和較全面的企業(yè)風險管理審計計劃方案應當包括：

（一）審計目標；

（二）審計域；

（三）審計要點；

（四）審計準則以及其他參照指標；

（五）審計程序及其包含內(nèi)容；

（六）審計調查與測試取證安排；

（七）審計負責人及其責任；

（八）確定審計所需信息和資料；

（九）主要審計方法和技術的選用（包括控制測試和實質性測試方法）；

（十）審計時間進度和審計順序（例如審計順序、何時與誰交談、進行現(xiàn)場觀察的時間安排、對每一種審計程序推進進度的時間安排、每個階段需進展的審計深度、何時向誰提交審計結果等）；

（十一）審計資源需求；

（十二）審計組織與審計質量保障證措施；

（十三）審計團隊的組成；

（十四）對被審目標的配合要求；

（十五）審計報告要點框架等。

第八章 風險管理審計取證的評價標準

第二十六條 審計人員對風險管理的評價可以用量化數(shù)字表示：1、2、3、4、5，或用字母表示如A、B、C、D、E，表示由低到高（或由輕到重）的程度。

第二十七條 風險的嚴重性（或影響）的評價具體尺度（除了表達為財務指標之外，也可以用聲譽、資本、法律等方式來表述風險的影響）

1、不嚴重：既無戰(zhàn)略影響，又無財務影響。

2、輕度嚴重：相對較小的戰(zhàn)略和/或財務影響（一星期的利潤）。

3、中度嚴重：顯著地影響戰(zhàn)略和/或財務目標的實現(xiàn)（一月的利潤）。

4、嚴重：難以實現(xiàn)戰(zhàn)略目標（可能需要戰(zhàn)略上的一次改變），和/或重大的財務影響（一季的利潤）。

5、高度嚴重：戰(zhàn)略目標無法實現(xiàn)，導致嚴重的財務后果（一年的利潤）并威脅公司的生存能力。

第二十八條 風險可能性（概率）評價的具體尺度

1、不發(fā)生：在特定的時期內(nèi)不會發(fā)生（<5%）。

2、不太可能：在特定的時期內(nèi)不太可能發(fā)生（<25%）。

3、可能：在特定的時期內(nèi)或許會發(fā)生（<50%）。

4、很可能：在特定的時期內(nèi)發(fā)生比不發(fā)生的可能性大（>50%）。

5、肯定：在特定的時期內(nèi)已經(jīng)發(fā)生或幾乎肯定會發(fā)生（>90%）。第二十九條 風險的層次評價（擴展的尺度）

1、極小的威脅：幾乎不可能嚴重地威脅組織。

2、輕度威脅：不太可能嚴重地威脅組織。

3、中度威脅：偶爾可能成為組織的嚴重威脅。

4、嚴重威脅：很可能成為組織的嚴重威脅。

5、災難性的威脅肯定是組織的嚴重威脅。第三十條 風險承受限度的評價

1、避免：在任何情況下都不會允許此風險發(fā)生。

2、降低：必須擁有持續(xù)地管理此風險的政策、流程和程序，并把它的影響降到最低限度。

3、管理：必須能夠預測此風險的發(fā)生，并采取前瞻性的行動以降低其影響。

4、檢查：將允許此風險發(fā)生，但是必須能在其影響過大之前及時檢查并報告此風險。

5、接受：風險的發(fā)生是可接受的。

第三十一條 風險管理/風險控制可擴展度（可管理性或可控性）評價

1、無風險管理：組織任由風險發(fā)生，并接受其后果。

2、低層次的風險管理：風險通常都可以檢測到，但是組織更依賴于應急或恢復計劃。

3、中等的風險管理：在有效的監(jiān)督下，能識別風險的發(fā)生，并擁有充足的時間減小風險的影響/提高獲利的機會。

4、擴展的風險管理：持續(xù)的監(jiān)督和前瞻性的管理活動確保把風險的影響降到最低/增強獲利的可能性。

5、持續(xù)的風險管理：一個全面的風險管理計劃有助于確保風險得到了預防，或者所有可度量的影響/機會都得到了優(yōu)化。

第三十二條 風險管理成熟度評價（采用風險管理成熟度模型評價）—A級：特定風險管理 —B級：初步風險管理 —C級：可重復性風險管理 —D 級：主動性風險管理 —E 級：前瞻性風險管理。

第三十三條 被審事項現(xiàn)有風險管理水平或效力評價，例如：

1、該事項的風險管理框架不適（其中包括風險管理政策不適），不能滿足該事項目標實現(xiàn)的要求。

2、該事項有明確與合理的風險管理框架（其中包括合理的風險管理政策），然而風險管理政策的實施不力和無效。

3、該事項有較明確與合理的風險管理框架（其中包括合理的風險管理政策），且該事項的風險管理政策能基本落實。

4、該事項有較明確與合理的風險管理框架（其中包括合理的風險管理政策），且該事項的風險管理政策能較好落實，內(nèi)部控制有效，風險管理過程運行有效。

第三十四條 其他風險管理相關指標評價 例如：

（一）公司風險管理過程合理性和有效性評價

（二）公司風險文化評價

（三）公司戰(zhàn)略風險管理水平評價（包括風險偏好）

（四）公司風險溯源和風險揭示評價

（五）風險管理的關鍵績效指標評價

（六）公司危機管理能力評價

（七）公司可持續(xù)性評價

第九章 審計報告

第一節(jié) 整理審計發(fā)現(xiàn)的要求

第三十五條 審計發(fā)現(xiàn)應該以具體而簡潔的語言進行表述；多余或不必要的信息不應包括在內(nèi)。

第三十六條 理解某一發(fā)現(xiàn)所必需的信息應該一一列舉，比如說相關的測試結果（如失誤、例外情況等等），或者該發(fā)現(xiàn)所識別出的缺陷（差距）實例。

第三十七條 應該一眼就能辨別出與某一發(fā)現(xiàn)相關的風險。如果不是這樣的話，審計人員應該對該發(fā)現(xiàn)所反映的風險進行具體描述

第二節(jié) 風險管理審計報告的內(nèi)容

第三十八條 立項依據(jù)。

第三十九條 背景介紹。在審計報告中，應當對有助于理解審計項目立項以及審計評價的以下情況進行簡要描述：

（一）選擇審計項目的目的和理由；

（二）被審計單位的規(guī)模、業(yè)務性質與特點、組織機構、管理方式、員工數(shù)量、主要管理人員等；

（三）上次同類審計的評價情況；

（四）與審計項目相關的環(huán)境情況；

（五）與被審計事項有關的技術性文件；

（六）其它情況。

第四十條 審計目標與范圍。審計報告中應當明確地陳述本次審計的目標，并應與審計計劃中提出的目標相一致；還應當指出本次審計的活動內(nèi)容和所包含的期間。如果存在未進行審計的領域，應當在報告中指出，特別是某些受到限制無法進行檢查的項目，應說明受限制無法審查的原因。

第四十一條 審計重點。審計報告應當對本次審計項目的重點、難點進行詳細說明，并指出針對這些方面采取了何種措施及其所產(chǎn)生的效果，也可以對審計中所發(fā)現(xiàn)的重點問題做出簡短的敘述及評論。

第四十二條 審計標準。與完成審計任務相適應的國家、部門或行業(yè)頒布的必須執(zhí)行的標準或法則，以及企業(yè)自身制定的章程、管理流程制度或規(guī)則等。

第四十三條 審計依據(jù)。應聲明審計是按照審計準則的規(guī)定實施，若存在未遵循該準則的情形，應對其做出解釋和說明。

第四十四條 審計發(fā)現(xiàn)與風險之間的聯(lián)系，風險與風險之間的聯(lián)系及相互作用的可能結果。

第四十五條 審計結論。根據(jù)已查明的事實（例如已查明關鍵業(yè)績影響要素，已獲取得力的審計證據(jù)），評估企業(yè)整體（或被審事項）風險管理體系的運行效果，評估每一個風險應對策略的科學性、合理性和落實效果，評估關鍵風險現(xiàn)存的風險暴露水平，比較這種風險暴露水平與期望值之間的差距，提出縮小差距的建議行動步驟和實施方案。

第四十六條 審計建議。審計人員應該依據(jù)審計發(fā)現(xiàn)和審計證據(jù)，結合組織的實際情況和審計結論的性質，提出審計建議。審計建議可分為以下幾種類型：

（一）現(xiàn)有系統(tǒng)運行良好，無需改變；

（二）現(xiàn)有系統(tǒng)需要全部或局部改變，包括改進的方案設計，方案實施的要求，方案實施效果的預計，未實施此方案的后果分析。

第十章 附則

第四十七條.本辦法未盡事宜按國家法律、法規(guī)、規(guī)范性文件和本公司章程規(guī)定執(zhí)行。

第四十八條 本辦法與國家法律、法規(guī)、規(guī)范性文件和本公司章程規(guī)定不一致的，以有關國家法律、法規(guī)、規(guī)范性文件和本公司章程規(guī)定為準。

第四十九條 本辦法由公司審計部擬定,自公司總經(jīng)理辦公會批準頒布之日起施行。

第五篇：內(nèi)部審計與風險管理

內(nèi)部審計與風險管理

摘要:近年來，風險管理已成為內(nèi)部審計的重要領域。本文在闡述了風險、風險管理的涵義的基礎上，對內(nèi)部審計參與風險管理的動因、內(nèi)部審計如何參與風險管理進行了探討。

關鍵詞:內(nèi)部審計；風險管理；動因

內(nèi)部審計是獨立監(jiān)督和評價本單位及所屬單位財政收支、財務收支、經(jīng)濟活動的真實性、合法性和效益的行為，以促進加強經(jīng)濟管理和實現(xiàn)經(jīng)濟目標。近年來，有些內(nèi)部審計組織開始介入風險管理，并將其作為內(nèi)部審計的重要領域，這一做法得到了國際內(nèi)部審計職業(yè)界的普遍認可。現(xiàn)就此問題進行闡述。

一、風險與風險管理

（一）風險

風險是在一定環(huán)境和限期內(nèi)客觀存在的，導致費用、損失與損害產(chǎn)生的，可以認識與控制的不確定性。它具有客觀性、普遍性、必然性、可識別性、可控性等特點。在風險的形成過程中，要涉及到風險因素、風險事故和損失三個方面。

風險因素，是指能夠引起或增加風險事件發(fā)生機會或影響損失嚴重程度的因素。有物理因素、道德因素、心理因素。

風險事故，是指在風險管理中直接或間接造成損失的事故，因此可以說它是損失的媒介物。

損失，是指非故意的、非計劃的和非預期的經(jīng)濟價值的減少，通常以貨幣單位來衡量。損失分為直接損失和間接損失兩種。直接損失是實質性的損失，間接損失則包括額外費用損失、收入損失和責任損失三種。

（二）風險管理

風險管理作為一種特殊的管理功能，它是為人類追求安全和幸福的目標，結合前人的經(jīng)驗和近代的科學成就而發(fā)展起來的一門新的管理科學。對什么是風險管理，一些學者提出了自己的看法，美國學者克里斯蒂（JamesC.Cristy）認為風險管理是企業(yè)或組織為控制偶然損失的風險，以保全所得能力和資產(chǎn)所做的一切努力；我國的陳佳貫認為，風險管理是企業(yè)通過對潛在意外或損失的識別、衡量和分析，并在此基礎上進行有效的控制，用最經(jīng)濟合理的方法處理風險，以實現(xiàn)最大的安全保障的科學管理方法。根據(jù)以上風險管理的定義，可以得出以下幾點認識：風險管理是一個系統(tǒng)過程，包括風險的識別、衡量和控制等環(huán)節(jié)；風險管理的目標在于控制和減少損失，提高有關單位或個人的經(jīng)濟利益或社會效果；風險管理是一種管理方法。

二、內(nèi)部審計參與風險管理的動因

內(nèi)部審計之所以涉足風險管理領域，主要有以下幾個原因：

（一）企業(yè)面臨的風險日益增大

近年來，隨著社會經(jīng)濟的發(fā)展，特別是經(jīng)濟全球化及國際化程度的加深，使企業(yè)經(jīng)營環(huán)境變得日趨復雜，企業(yè)經(jīng)營風險也大大增加。知識經(jīng)濟的到來，更使企業(yè)的風險雪上加霜。因此，減少企業(yè)面臨的風險是組織實現(xiàn)目標的關鍵，也是企業(yè)的管理人員十分關心的問題。

（二）內(nèi)部審計對發(fā)展的渴求

內(nèi)部審計部門為了不斷地發(fā)展，為了在企業(yè)中擔當更重要的角色和發(fā)揮更重要的作用，總是不斷尋找新的對企業(yè)又十分重要的領域，企業(yè)經(jīng)理人員對風險的空前重視，為內(nèi)部審計發(fā)展提供了一個絕好的機會。內(nèi)部審計對風險管理的介入，將會使內(nèi)部審計在企業(yè)中成為一個重要的角色，并將其在企業(yè)中的作用推向一個新水平。

（三）內(nèi)部審計能夠在風險管理中發(fā)揮獨特的作用

1、能夠客觀地、從全局的角度管理風險

風險在企業(yè)內(nèi)部具有感染性、傳遞性、不對稱性等特征，即一個部門造成的風險或疏于風險管理所帶來的后果往往不是由其直接承擔，而是會傳遞到其他部門，最終可能使整個企業(yè)陷入困境。正因為如此，有些部門可能會出現(xiàn)過渡道德風險，因為風險不是由你們來承擔（至少不是單獨承擔），如，采購部門為節(jié)約采購成本，就會忽視對材料規(guī)格、型號、質量方面的檢查，或者有意購買殘次品，這種暗藏的風險會在生產(chǎn)車間或銷售部門反映出來，最終給企業(yè)造成巨大損失。因此對風險的認識和防范、控制需要從全局考慮，而各業(yè)務部門又很難做到這一點。

2、控制、指導企業(yè)的風險策略

由于內(nèi)部審計部門處于企業(yè)的董事會、總經(jīng)理和各職能部門之間的位置，內(nèi)部審計人員能夠充當企業(yè)長期風險策略與各種決策的協(xié)調人。通過對長期計劃與短期實現(xiàn)的調節(jié)，內(nèi)部審計人員可以調控、指導企業(yè)的風險管理策略。

3、內(nèi)部審計部門的建議更易引起重視

有些企業(yè)盡管也有風險管理部門，但它屬于管理部門的一個職能部門，向總經(jīng)理報告，不具有獨立性，其意見有時會屈服于管理當局的壓力。如風險管理部門對某投資項目分析后發(fā)現(xiàn)風險太大不適合投資，而總經(jīng)理好大喜功，他會力促項目的實施。這使得風險管理部門的作用受到限制。內(nèi)部審計部門獨立于管理部門，其風險評估的意見可以直接報給董事會，這會加強管理當局對內(nèi)部審計部門意見的重視程度。

（四）外部審計的影響

近年來，注冊會計師的業(yè)務領域不斷擴展，在其所擴展的新的保證服務業(yè)務中就包括了風險評估，且是主要業(yè)務之一。這不能不對內(nèi)部審計界產(chǎn)生影響，因為，內(nèi)部審計部門和內(nèi)部審計人員在風險管理方面擁有注冊會計師無可比擬的優(yōu)勢。

三、內(nèi)部審計如何參與風險管理

與一般的風險管理部門進行的風險管理相比，內(nèi)部審計部門所進行的風險管理既與其有緊密的聯(lián)系，又有區(qū)別。他們的聯(lián)系表現(xiàn)在，兩者的目的是統(tǒng)一的，都是為了降低企業(yè)的風險；兩者的區(qū)別在于他們在風險管理中的角色不同。正是上述的聯(lián)系和區(qū)別，導致了內(nèi)部審計部門進行的風險管理過程與一般風險管理過程具有相同點和不同點。

（一）評估風險識別的充分性

所謂風險識別是指對企業(yè)所面臨的以及潛在的風險加以判斷、歸類和鑒定風險性質的過程，換言之，就是要確定企業(yè)正在或將要面臨哪些風險。內(nèi)部審計部門和人員要對原有的已識別風險是否充分進行評價，即企業(yè)所面臨的主要風險是否被識別出來，并找出未被識別的主要風險。采用的方法包括決策分析、可行性分析、統(tǒng)計預測分析、投入產(chǎn)出分析、流程圖分析、資產(chǎn)負債分析、因果分析、損失清單分析、保險調查法和專家調查法等。

（二）評價已有風險衡量的恰當性

風險衡量是指應用各種管理科學技術，采用定性與定量相結合的方式，最終定量估計風險大小，找出主要的風險源，并評價風險的可能影響，以便以此為依據(jù)，對風險采取相應對策。內(nèi)部審計部門和人員要對已有的風險的衡量結果進行再檢驗，以確定其是否恰當，對不恰當?shù)墓烙嬘枰愿２捎玫姆椒ㄖ饕校赫{查和專家打分法、風險報酬法（又稱調整標準貼現(xiàn)率法）、風險當量法、解析方法、蒙特卡羅模擬方法等。

（三）評估風險防范措施的充分性，并提出改進措施

風險的防范措施是指為降低已識別出并已衡量的風險所采取的措施，也稱風險管理工具的選擇。內(nèi)部審計部門和內(nèi)部審計人員對有關部門針對風險所采取的防范措施進行檢查，檢查其是否充分、得當。對于風險缺乏充分的控制措施的情況，內(nèi)部審計部門和內(nèi)部審計人員應提出改進措施和建議，已強化企業(yè)的風險管理，降低風險損失。采用的方法有：避免風險、損失控制、分離風險單位、非保險方式的轉移風險（包括轉移風險源、簽訂免除責任協(xié)議、利用合同中的轉移責任條款）、保險等。

綜上所述，內(nèi)部審計涉足風險管理領域有其客觀必然性，是環(huán)境因素和其本身因素使然。在風險管理中，內(nèi)部審計部門主要是對風險管理部門和其他相關部門所進行的風險管理的再監(jiān)督。但這絕不意味著內(nèi)部審計部門不能作為直接的風險管理人，在必要的情況下，它可以直接進行風險管理。內(nèi)部審計風險管理是一個嶄新的事物，對內(nèi)部審計如何在風險管理中發(fā)揮作用是一個需要進一步深入探討的課題。