第一篇：風險管理審計辦法

***********公司

風險管理審計辦法

編 號：TS-KP-XS-**

版 本: 2013 編 制：審計部 批 準：董事會

2013年**月**日

****************公司內部控制體系

風險管理審計辦法

目錄：共九章

第一章 總則

第二章 風險管理審計的目標

第三章 風險管理審計的思路

第四章 風險管理審計的主要分類

第五章 風險管理審計須遵循的原則 第六章 風險管理審計的程序

第七章 制定風險管理審計方案的主要內容

第八章 風險管理審計取證的評價標準

第九章 審計報告

第一節 整理審計發現的要求

第二節 風險管理審計報告的內容

第十章 附則

第一章 總 則

第一條 為了規范內部審計人員對公司全面風險管理的審查與評價行為，根據中國內部審計協會《內部審計具體準則第16號——風險管理審計》、公司內部控制體系文件、《企業內部審計制度》特制定本辦法。

第二條 本辦法所稱風險管理險審計又稱風險審計或風險導向審計。風險管理審計（或風險審計）是指公司內部審計機構根據公司全面風險管理的目標和政策，采用一種系統化、規范化的方法對公司風險管理過程中的風險評估、風險應對和風險控制活動進行評價和測試，以識別、預警和糾正公司在實施風險管理過程中可能存在的不適或缺陷，進而提高公司風險管理的效率和效果，保障企業戰略目標的實現。

第三條 本辦法所稱風險管理，是指一套由董事會和經營管理層共同設立、與企業戰略相結合的管理流程。它的功能是對影響公司目標實現的各種不確定性事件進行識別與評估，并采取應對措施將其影響控制在可接受范圍內的過程。風險管理旨在為公司目標的實現提供合理保證。

第四條 本辦法所稱全面風險管理，是指公司圍繞總體經營目標，通過在公司管理的各個環節和經營過程中執行風險管理的基本流程，培育良好的風險管理風氣，建立健全全面風險管理體系，包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統和內部控制系統，從而為實現風險管理的總體目標提供合理保證的過程和方法。

第四條 本辦法適用******有限公司（以下簡稱“公司”）及所屬各分公司、全資子公司的內部審計工作，控股子公司的內部審計部門參照執行。

第二章 風險管理審計的目標

第五條 風險管理審計的總體目標是依據公司戰略目標和風險管理政策，評價公司是如何通過實施風險管理從而實現企業各類管理目標的，進而評價公司風

險管理的效率和效力，提出改進措施，以保障公司全面風險管理目標的實現，最終支持和保障公司總體戰略目標的實現。

第六條 風險管理審計總目標的具體化就是風險管理審計具體目標。風險管理審計具體目標可分為一般風險管理審計目標和專項風險管理審計目標兩個層次。

第七條 一般風險管理審計目標是對事項的關鍵風險管理的效率和效力評價，或者說特別關注被審事項的關鍵風險管理框架設計的合理性和運行的有效性。其審計內容一般包括：一是評價那些可能影響被審事項目標實現的關鍵性風險的管理缺口（關鍵風險被識別程度）；二是評價為保障被審事項目標實現而開展的風險管理活動的效率和效力（或者說是評價被審事項的風險管理框架設計的合理性和運行過程的有效性）

第八條 專項風險管理審計目標是按照每一個審計專項具體任務和具體內容而定的，以下列舉一些常見的專項風險管理審計目標：

(一)有關風險管理要素的審計目標，例如包括：

1、風險范圍確定的合理性：包括戰略范圍、組織與環境范圍、業務范圍；

2、風險評價標準與指標體系的科學性：例如評價基礎、評價方法、評價內容、指標計算；

3、風險評估方法的合理性與科學性：主要審核如下方面：按照審計確定的風險范圍，核實風險識別是否全面，風險各級分類的合理性，可控風險與不可控風險確定的科學性，風險分析方法選用的科學性，風險評估結果的可信性；

4、風險治理策略和措施的合理性；

5、風險理財組合方案的合理性。

（二）風險管理活動的充足性。

（三）風險管理制度的適當性。

（四）危機管理計劃的合理性與可操作性。

（五）風險管理目標與企業管理目標的協調一致性。

（六）新項目和新市場的可進入性評價。

（七）對損失事件的原因調查性評價（真實性評價）。

（八）風險相關記錄和風險信息的完整性/真實性評價。

（九）內部控制體系的有效性，內部控制措施的恰當性。

（十）其他。

第三章 風險管理審計的思路

第九條 依照ISO-31000框架，核驗公司風險管理過程中針對每個關鍵的風險環節實施的風險管理是存在和合理的，且正常運行。這些環節包括：溝通與協商，識別與分析風險，風險評估，評價和選擇策略，實施風險治理，監控，持續改進。

第十條 依照COSO-ERM框架，一方面，核驗戰略、經營、報告和合規四大目標確實存在，并且針對這些目標的管理都是有效的，如核驗董事會和經營管理層：了解組織實現其戰略目標的程度，了解組織實現其經營目標的程度，能保障組織的報告是可靠的，能保障組織遵循適用的法律和法規。另一方面，核驗八大要素的存在，以及核驗其正常運行情況。

第十一條 對照特別制定的風險管理框架和要求來衡量企業風險管理的有效性。如內控測試狀態良好，機制對風險反應迅速，公司對風險的預測能力正在逐漸提高，事故發生率降低和損失明顯減少，社會責任形象提升等。

第四章 風險管理審計的主要分類

第十二條 一般風險管理審計

這類審計主要目的是識別/確認被審事項的關鍵業績影響因素和評價相應的風險管理效率和效力，可細分類為：

（一）針對公司各管理層級的風險管理審計：企業整體、分公司、業務或子公司。

（二）針對公司職能領域或特定關鍵風險的風險管理審計：戰略審計、財務審計、信息系統審計、質量審計、安全審計、環境審計和內控審計等。

（三）針對項目的風險管理審計

（四）針對各類活動的風險管理審計

（五）針對產品或服務的風險管理審計

（六）針對過程或操作的風險管理審計

（七）針對資產的風險管理審計 第十三條 風險管理要素審計

風險管理要素審計是針對企業風險管理政策、方法、措施、手段等要素實施的審計

第五章 風險管理審計須遵循的原則

第十四條 審計人員風險管理專業水準原則：審計人員應熟悉ISO-31000 “風險管理原則和實施指引”和了解ISO-31010“風險管理-風險評估技術”；

第十五條 審計人員職業道德和具備審計專業基本水準原則；

第十六條 目標導向原則：清晰地理解被審事項的目標，識別影響目標實現的風險要素，提出將這些風險要素管理至公司可接受水平之內的改進建議；

第十七條 關鍵性（重要性）原則：在設計審計方案和實施審計時，應關注關鍵目標、關鍵業務、關鍵流程和關鍵風險點，識別影響關鍵業績實現的關鍵要素，進而就關鍵風險點的管理缺口提出改進建議；

第十八條 審計規劃/計劃原則：充分了解風險管理審計的審計目標和審計任務，做足審計準備，設計周密、充足和合理的審計取證方案，制定合理與可操作的風險管理審計計劃和方案；

第十九條 充分了解就被審事項所設定的風險管理期望和價值原則：了解被審事項（整體或局部）的風險管理政策或管理原則，這是對公司整體、局部、業務、項目、資產、過程或活動等事項實施風險管理審計的判別依據之一；

第二十條 風險管理審計過程組織原則：執行風險管理審計計劃，調整計劃，及時完成計劃；

第二十一條 溝通和協商原則：各審計相關方在審計過程中應保持持續和暢通的磋商和溝通；

第二十二條 確保審計質量原則：應確保審計計劃制定的質量，確保審計過程實施的質量，確保審計報告的輸出質量；

第二十三條 風險管理審計報告應體現重要性、客觀性、完整性、及時性和可靠性原則。

第六章 風險管理審計的程序

第二十四條 風險管理審計程序如下所示：

1、風險評估與確定審計域程序（通過風險評估識別關鍵風險分布從而確定審計域）

2、制定風險管理審計計劃程序

3、按計劃實施調查和測試（主要包括內部控制測試程序和實質性測試程序）

4、審計證據評價程序、審計報告程序（包括整理審計發現、審計報告和風險管理建議）。

5、風險管理審計的后續審計

第七章 制定風險管理審計方案的主要內容

第二十五條 風險管理審計方案就審計的組織方式、時間進度、資源分配、6 審計證據取證安排、審計質量保證措施等給出更為清晰和可操作的指引。一般來講，一個整體和較全面的企業風險管理審計計劃方案應當包括：

（一）審計目標；

（二）審計域；

（三）審計要點；

（四）審計準則以及其他參照指標；

（五）審計程序及其包含內容；

（六）審計調查與測試取證安排；

（七）審計負責人及其責任；

（八）確定審計所需信息和資料；

（九）主要審計方法和技術的選用（包括控制測試和實質性測試方法）；

（十）審計時間進度和審計順序（例如審計順序、何時與誰交談、進行現場觀察的時間安排、對每一種審計程序推進進度的時間安排、每個階段需進展的審計深度、何時向誰提交審計結果等）；

（十一）審計資源需求；

（十二）審計組織與審計質量保障證措施；

（十三）審計團隊的組成；

（十四）對被審目標的配合要求；

（十五）審計報告要點框架等。

第八章 風險管理審計取證的評價標準

第二十六條 審計人員對風險管理的評價可以用量化數字表示：1、2、3、4、5，或用字母表示如A、B、C、D、E，表示由低到高（或由輕到重）的程度。

第二十七條 風險的嚴重性（或影響）的評價具體尺度（除了表達為財務指標之外，也可以用聲譽、資本、法律等方式來表述風險的影響）

1、不嚴重：既無戰略影響，又無財務影響。

2、輕度嚴重：相對較小的戰略和/或財務影響（一星期的利潤）。

3、中度嚴重：顯著地影響戰略和/或財務目標的實現（一月的利潤）。

4、嚴重：難以實現戰略目標（可能需要戰略上的一次改變），和/或重大的財務影響（一季的利潤）。

5、高度嚴重：戰略目標無法實現，導致嚴重的財務后果（一年的利潤）并威脅公司的生存能力。

第二十八條 風險可能性（概率）評價的具體尺度

1、不發生：在特定的時期內不會發生（<5%）。

2、不太可能：在特定的時期內不太可能發生（<25%）。

3、可能：在特定的時期內或許會發生（<50%）。

4、很可能：在特定的時期內發生比不發生的可能性大（>50%）。

5、肯定：在特定的時期內已經發生或幾乎肯定會發生（>90%）。第二十九條 風險的層次評價（擴展的尺度）

1、極小的威脅：幾乎不可能嚴重地威脅組織。

2、輕度威脅：不太可能嚴重地威脅組織。

3、中度威脅：偶爾可能成為組織的嚴重威脅。

4、嚴重威脅：很可能成為組織的嚴重威脅。

5、災難性的威脅肯定是組織的嚴重威脅。第三十條 風險承受限度的評價

1、避免：在任何情況下都不會允許此風險發生。

2、降低：必須擁有持續地管理此風險的政策、流程和程序，并把它的影響降到最低限度。

3、管理：必須能夠預測此風險的發生，并采取前瞻性的行動以降低其影響。

4、檢查：將允許此風險發生，但是必須能在其影響過大之前及時檢查并報告此風險。

5、接受：風險的發生是可接受的。

第三十一條 風險管理/風險控制可擴展度（可管理性或可控性）評價

1、無風險管理：組織任由風險發生，并接受其后果。

2、低層次的風險管理：風險通常都可以檢測到，但是組織更依賴于應急或恢復計劃。

3、中等的風險管理：在有效的監督下，能識別風險的發生，并擁有充足的時間減小風險的影響/提高獲利的機會。

4、擴展的風險管理：持續的監督和前瞻性的管理活動確保把風險的影響降到最低/增強獲利的可能性。

5、持續的風險管理：一個全面的風險管理計劃有助于確保風險得到了預防，或者所有可度量的影響/機會都得到了優化。

第三十二條 風險管理成熟度評價（采用風險管理成熟度模型評價）—A級：特定風險管理 —B級：初步風險管理 —C級：可重復性風險管理 —D 級：主動性風險管理 —E 級：前瞻性風險管理。

第三十三條 被審事項現有風險管理水平或效力評價，例如：

1、該事項的風險管理框架不適（其中包括風險管理政策不適），不能滿足該事項目標實現的要求。

2、該事項有明確與合理的風險管理框架（其中包括合理的風險管理政策），然而風險管理政策的實施不力和無效。

3、該事項有較明確與合理的風險管理框架（其中包括合理的風險管理政策），且該事項的風險管理政策能基本落實。

4、該事項有較明確與合理的風險管理框架（其中包括合理的風險管理政策），且該事項的風險管理政策能較好落實，內部控制有效，風險管理過程運行有效。

第三十四條 其他風險管理相關指標評價 例如：

（一）公司風險管理過程合理性和有效性評價

（二）公司風險文化評價

（三）公司戰略風險管理水平評價（包括風險偏好）

（四）公司風險溯源和風險揭示評價

（五）風險管理的關鍵績效指標評價

（六）公司危機管理能力評價

（七）公司可持續性評價

第九章 審計報告

第一節 整理審計發現的要求

第三十五條 審計發現應該以具體而簡潔的語言進行表述；多余或不必要的信息不應包括在內。

第三十六條 理解某一發現所必需的信息應該一一列舉，比如說相關的測試結果（如失誤、例外情況等等），或者該發現所識別出的缺陷（差距）實例。

第三十七條 應該一眼就能辨別出與某一發現相關的風險。如果不是這樣的話，審計人員應該對該發現所反映的風險進行具體描述

第二節 風險管理審計報告的內容

第三十八條 立項依據。

第三十九條 背景介紹。在審計報告中，應當對有助于理解審計項目立項以及審計評價的以下情況進行簡要描述：

（一）選擇審計項目的目的和理由；

（二）被審計單位的規模、業務性質與特點、組織機構、管理方式、員工數量、主要管理人員等；

（三）上次同類審計的評價情況；

（四）與審計項目相關的環境情況；

（五）與被審計事項有關的技術性文件；

（六）其它情況。

第四十條 審計目標與范圍。審計報告中應當明確地陳述本次審計的目標，并應與審計計劃中提出的目標相一致；還應當指出本次審計的活動內容和所包含的期間。如果存在未進行審計的領域，應當在報告中指出，特別是某些受到限制無法進行檢查的項目，應說明受限制無法審查的原因。

第四十一條 審計重點。審計報告應當對本次審計項目的重點、難點進行詳細說明，并指出針對這些方面采取了何種措施及其所產生的效果，也可以對審計中所發現的重點問題做出簡短的敘述及評論。

第四十二條 審計標準。與完成審計任務相適應的國家、部門或行業頒布的必須執行的標準或法則，以及企業自身制定的章程、管理流程制度或規則等。

第四十三條 審計依據。應聲明審計是按照審計準則的規定實施，若存在未遵循該準則的情形，應對其做出解釋和說明。

第四十四條 審計發現與風險之間的聯系，風險與風險之間的聯系及相互作用的可能結果。

第四十五條 審計結論。根據已查明的事實（例如已查明關鍵業績影響要素，已獲取得力的審計證據），評估企業整體（或被審事項）風險管理體系的運行效果，評估每一個風險應對策略的科學性、合理性和落實效果，評估關鍵風險現存的風險暴露水平，比較這種風險暴露水平與期望值之間的差距，提出縮小差距的建議行動步驟和實施方案。

第四十六條 審計建議。審計人員應該依據審計發現和審計證據，結合組織的實際情況和審計結論的性質，提出審計建議。審計建議可分為以下幾種類型：

（一）現有系統運行良好，無需改變；

（二）現有系統需要全部或局部改變，包括改進的方案設計，方案實施的要求，方案實施效果的預計，未實施此方案的后果分析。

第十章 附則

第四十七條.本辦法未盡事宜按國家法律、法規、規范性文件和本公司章程規定執行。

第四十八條 本辦法與國家法律、法規、規范性文件和本公司章程規定不一致的，以有關國家法律、法規、規范性文件和本公司章程規定為準。

第四十九條 本辦法由公司審計部擬定,自公司總經理辦公會批準頒布之日起施行。

第二篇：企業風險管理和審計

摘 要

論文摘要：本篇論文通過先進的風險管理理念、理論、方法、技術以及國內部分學者關于風險管理的研究成果，以COSO2004年9月制定發布的《企業風險管理—整合框架》為理論基礎，以某集團為案例研究對象，運用內部審計方法和程序對某集團風險管理要素進行審計分析和評價，對風險管理理論如何在集團企業實踐運用進行了探索和研究，提出企業應逐步建立完善風險管理系統，為企業在市場經濟的大潮中保駕護航。

論文關鍵詞：企業風險管理；審計；案例研究

目錄

1.企業風險理論………………………………………………………………………………………………………….(3)1.1企業風險管理定義???????????????????????(3)1.2風險分類???????????????????????(3)1.3風險管理的內容???????????????????????(3)

2.風險管理審計………………………………………………………………………………………………….(4)2．1風險管理審計的目標??????????????????(3)2.2風險管理審計的內容?????????????????(4)2.2風險管理審計的程序?????????????????(4)3.基于企業風險管理和審計的案例分析…………………………………………………………(4)3.1企業簡介??????????????????(5)3.2公司風險管理和審計評價程序及結論???????????????(6)4.總結……………………………………………………………………………………………………………………………….(7)5.參考文獻………………………………………………………………………………………………………………………..(9)6.謝辭…………………………………………………………………………………(10)

論企業風險管理要和審計

一、企業風險理論

（一）企業風險管理定義

（1）企業風險理論是對企業內可能產生的各種風險進行識別、衡量、分析、評價，并適時采取及時有效的方法進行防范和控制，用最經濟合理的方法來綜合處理風險，以實現最大安全保障的一種科學管理方法。

（2）企業風險是指由于企業內外環境的不確定性、生產經營活動的復雜性和企業能力的有限性而導致企業的實際收益達不到預期收益，甚至導致企業生產經營活動失敗的可能性。

（二）風險分類

風險分類按照風險的來源不同，可以分為外部風險和內部風險。

（1）企業外部風險包括：顧客風險、競爭對手風險、政治環境風險、法律環境風險、經濟環境風險等；

（2）企業內部風險包括：產品風險、營銷風險、財務風險、人事風險、組織與管理風險等。

立足于企業的生產經營活動來進行企業風險評估，主要評估企業內部風險，兼顧企業外部風險。

（三）風險管理的意義

風險管理的意義有效地對各種風險進行管理有利于企業作出正確的決策、有利于保護企業資產的安全和完整、有利于實現企業的經營活動目標，對企業來說具有重要的意義。

（四）風險管理的內容

企業風險管理的內容包括企業風險識別、企業風險衡量和企業風險處理三個方面。

企業風險識別是風險分析和管理中的一項基礎性工作，其主要任務是明確企業風險的存在，并找到主要的風險因素，為后面的風險度量和風險決策奠定基礎。

在風險識別之后必須進行企業風險衡量，以便確定其對企業發展影響的嚴重性并采取相應的措施，它其實就是運用一定方法對風險發生的可能性或損失的范圍與程度進行估計和衡量。

企業風險處理是針對不同類型、不同規模、不同概率的企業內外部風險，采取相應的對策、措施或方法，使風險損失對企業生產經營活動的影響降到最小限度。

二、風險管理審計

（一）風險管理審計的目標

風險管理審計是指勝任的專職機構和專業人員對組織內部風險管理程序、風險反應、管理制度及機制的合理性、有效性進行獨立的審查和評價過程。風險管理審計的根本目的是最大限度地增加組織價值。

審計目標是回答“通過審計要證明什么”的理論問題，是審計行為的出發點，是審計工作的指南，也是審查和評價審計內容所期望達到的境地和最終結果。審計目標體系由總目標、一般目標和項目目標構建。

（二）風險管理審計的內容

審計內容是回答“審計什么”的問題。根據ERM框架中的要素，風險管理審計的內容主要包括：

1.風險管理程序的科學性和合理性，主要包括風險管理開發階段所制訂的風險管理框架結構的內容；風險管理試探階段所實施風險管理框架結構的內容；風險管理回顧階段所豐富并增強風險管理框架結構的內容；風險管理展開階段所推廣并實施風險管理框架的情況；風險管理支持階段所需要提供的各種基礎組織以及服務。

2.風險反應的周密性和可行性，主要包括風險反應計劃的周密性（如有否考慮風險的可規避性、可轉移性、可減少性、可接受性）；風險應對策略的可行性（如是否采取了風險控制、風險自留、風險轉移）。

3.風險管理制度的合法性和完善性，主要包括風險管理制度的合法性（如建立風險管理制度是否經過充分論證）；風險管理體制的完善性（如考核評價體制和責任追究制度是否健全）。

4.風險管理機制的結構性和盡責性，主要包括高層管理人員和重要崗位業務人員的風險管理理念及對風險管理的重視程度；風險管理人員的結構和素質；全員風險管理的情況。

（三）風險管理審計的程序

1.審計規劃階段，包括選定被審計對象和制定風險管理審計計劃。被審計對象選定工作包括識別被審計對象的策略、識別潛在被審計對象和排列被審計對象的順序。制定風險管理審計計劃包括制訂財務風險管理、生產風險管理、市場風險管理、會計風險管理、人事風險管理和其他風險管理審計計劃，確定風險管理審計的位置和背景。

2.審計測評階段，包括風險的分析、評估和監控。（1）分析風險。審計人員應對風險跡象進行深入了解、描述和記錄，并對風險的可能性和發生頻率進行分類。風險可能性分析結果一般有“很少的”、“不太可能的”、“可能的”、“很可能”、“基本確定”等類別，風險發生頻率分析結果一般可分為“高頻率、高損害風險”，“高頻率、低損害風險”，“低頻率、低損害風險”，“低頻率、高損害風險”等類別。（2）評估風險。審計人員應分析風險的成因及其影響，并確定風險程度及等級。風險程度一般分為“極高”、“高”、“中等”、“低”和“極低”等級別。風險概率用風險發生可能性的百分比表示，風險量＝風險概率×風險損失量。（3）監控風險。審計人員應對可能發生的風險和損失進行跟蹤檢查。跟蹤已識別風險的發展變化情況，包括在整個項目生命周期內，風險產生的條件和導致的后果變化，作出減緩風險的方案，調整風險管理計劃。

3.審計報告階段，包括匯總審計結果、出具審計報告和追加后續審計。（1）匯總審計結果，包括審計現狀、標準、差異、原因和建議等部分。如審計建議中對損失大、概率大的災難性的風險要避免；對損失小、概率大的風險，可采取措施來降低風險量；對損失大、概率小的風險，可通過保險或合同條款將責任轉移；對損失小、概率小的風險，可采取積極手段來控制。（2）出具審計報告，包括標題、收件人、正文、附件、簽章、報告日期等基本要素。審計報告正文部分主要內容有：審計目標、風險概況、審計依據、審計結論、審計評價和審計建議等。（3）追加后續審計。ERM是一個動態的過程，審計測試應與之相協調，追加后續審計顯得重要。后續審計應將重點放在最嚴重的問題上，相關部門是否予以糾正，若不糾正，責任和原因到底在哪兒；對一般事項可僅限于詢問和簡短的討論。

二、基于風險管理和審計的案例分析

（一）企業簡介

某集團有限公司是世界上最大的制藥企業之一，產品包括了處方藥、疫苗、營養品、消費保健品、動物保健品等。集團總部設于美國，擁有多處制藥開發基地及生產基地。集團擁有最先進的生產設備和工藝技術，以其獨有的技術方法，研制出世界先進藥物?；谪S富的制藥管理經驗，創建于1849年，是世界領先的以研發為基礎的生物醫學和制藥公司。每天，分布于90個國家的大約80,000名員工致力于探索、研發、生產和推廣各種領先的處方藥，為全球患者帶來高質、安全的處方產品。2008年，公司年銷售額為483億美元，并投資75億用于研發。

（二）公司風險管理和審計評價程序及結論

公司審計部作為監督檢查部門，每年至少兩次從集團層面對風險管理進行整體評價，并在每季度對分、子公司執行例行審計過程中，重點關注風險管理狀況。以下試從集團公司層面，以《COSO風險管理——整合框架》（以下簡稱COSO框架）中所列八要素為線索對公司風險管理進行分析、設計審計評價程序、提出審計評價結論。

（一）內部環境

1.理論描述。內部環境包含組織的基調，它影響組織中人員的風險意識，是企業風險管理所有其他構成要素的基礎，為其他要素提供約束和結構。

2.審計評價程序。

（1）設計風險相關文化調查表對風險管理的內部環境進行調查；

（2）審查公司經營決策、管理方針政策、規章制度、行為準則等是否反映了公司的風險管理理念、誠信和道德價值觀

3.審計評價結論。公司的風險管理理念屬于風險偏好型，提倡抓住機會，大膽開拓。但對風險管理理念沒有一個書面的說明性的陳述，這些理念存在于董事會及高級管理層的頭腦中，通過收購決策、發布政策、行為準則、各種規章制度反映出來并加以強化。

（二）目標設定

1.理論描述。設定戰略層次的目標，為經營、報告和合規目標奠定了基礎。每一個主體都面臨來自外部和內部的一系列風險，確定目標是有效的事項識別、風險評估和風險應對的前提。

2.審計評價程序。

（1）獲取管理層對目標的書面陳述；

（2）通過訪談、詢問，獲取公司員工對公司目標的知曉、理解程度的信息；（3）通過查閱管理層的述職報告，獲取目標實現進展情況的信息。3.審計評價結論。

經審計調查總結，目標如下： 積極履行企業社會責任，并努力在衛生健康產品的研究、開發和制造過程中確立其質量、安全和價值基準。實踐我們真誠合作、社區精神、客戶至上、革新創造、道德觀念、領導人才、力爭上游、尊重他人和追求品質等企業核心價值觀，來衡量我們的發展。我們將全身心地投入衛生健康事業，努力致力于人民健康狀況的改善。

（三）事項識別

1.理論描述。管理當局識別將會對主體產生影響的潛在事項——如果存在的話，并確定它們是否代表機會，或者是否會對主體成功地實施戰略和實現目標的能力產生負面影響。帶來負面影響的事項代表風險，它要求管理當局予以評估和應對。

2.審計評價程序。

（1）查閱行業有關資料，詢問、訪談高層、中層、一般職工，審查風險識別是否充分、全面；

（2）審查風險識別過程資料，判斷是否根據內外部環境的變化定期進行修正。

3.審計評價結論。公司管理層根據調查分析、經驗總結，識別、列出公司面臨的四大類（行業風險，業務風險，財務風險，合規風險）十三種主要風險：

（1）新型病毒的產生和大范圍疫情的爆發；（2）企業之間的不利競爭導致業務的干擾；（3）消費者對產品信任度和支持度的下降；

（4）產品質量出現問題而導致對人身的傷害；

（5）原材料價格波動；（6）產品未能迎合市場需求；（7）主要管理層的流失；

（8）其他實體誤用、盜用本公司商號（商標）；（9）資金安全管理；（10）資產安全管理；（11）會計系統故障；（12）違反《上市規則》；

（13）違反食品管理、環保法規有關法律規定。

經審計調查，公司管理層對風險識別較為充分，且計劃每年分兩次（期中和期末）對公司面臨的風險進行全面的核查，若發現風險變化，即使進行調整，但未能嚴格實施。而對于機會，管理層沒有進行專門識別。

（四）風險評估

1.理論描述。風險評估使主體能夠考慮潛在事項影響目標實現的程度。管理當局從兩個角度——可能性和影響——對事項進行評估，并且通常采用定性和定量相結合的方法。

2.審計評價程序。獲取管理層對風險進行定性評估的資料，評價其評估的合理準確性以及是否根據內外部環境的變化進行動態修正。

3.審計評價結論。公司管理層對識別出來的十三種風險根據多年的從業經驗和過去的風險發生的記錄進行了定性的評估，由于缺乏相關的人才、技術、資料，尚未對風險進行過定量分析。公司管理層計劃每年分兩次（期中和期末）對公司面臨的風險進行全面的核查和平谷，若發現風險變化，及使進行調整修正，但未能嚴格實施。

（五）風險應對

1.理論描述。在評估了相關的風險之后，管理當局就要確定如何應對。應對包括風險回避、降低、分擔和承受。在考慮應對的過程中，管理當局評估對風險的可能性和影響的效果，以及成本效益，選擇能夠使剩余風險處于期望的風險容限以內的應對。

2.審計評價程序。通過訪談、詢問，了解管理層采取的風險應對策略及理由，評價其合理性。

3.審計評價結論。公司管理層對識別出來的重要風險制定了相應的防范措施，從風險應對的角度看多為預防性措施，以降低風險發生的可能性，而沒有采取購買保險等風險分擔措施。

（六）控制活動

1.理論描述?？刂苹顒邮菐椭_保管理當局的風險應對得以實施的政策和程序?？刂苹顒拥陌l生貫穿于整個組織，遍及各個層級和各個職能機構。它們包括一系列不同的活動，例如批準、授權、驗證、調節、經營業績評價、資產安全以及職責分離。

2.十三種風險審計評價程序。公司管理層針對識別出來的十三種風險，制定了防范措施，審計部門相應地制訂了審計評價程序。

3.審計評價結論。經審計調查，公司管理層對于風險管理的控制活動要素較為重視，制定的風險防范措施較為全面、嚴密、可操作，大部分得到了嚴格有效執行，但也有部分單位未能嚴格執行風險防范措施。

（七）信息與溝通

1.理論描述。有關的信息以保證人們能履行其職責的形式和時機予以識別、獲取和溝通。信息系統利用內部生成的數據和來自外部渠道的信息，以便為管理風險和作出與目標相關的知情的決策提供信息。有效的溝通會出現在組織中向下、平行和向上的流動。

2.審計評價程序。

（1）走訪公司IT部和公司內部報刊編輯部，了解評價公司的信息系統的建設和運轉情況。

（2）訪問公司網站，觀察其運轉情況；

（3）使用公司的局域網、內部電話網，閱讀公司內部報刊，評價其運轉情況和功效發揮情況。

3.審計評價結論。公司設立了IT部，建立了較為完備、先進的信息管理系統，通過因特網、內部局域網、內部電話網、內部報刊等手段將信息以文字、聲音、圖片等形式進行傳遞，并制定各種級別的會議制度進行面對面的信息溝通。但沒有建立專門的風險信息生成及傳遞通道。

（八）監控

1.理論描述。對企業風險管理進行監控——隨時對其構成要素的存在和運行進行評估。這些是通過持續的監控活動、個別評價或者兩者相結合來完成的。持續監控發生在管理活動的正常進程中。

2.審計評價程序。

（1）審查內部定期（每天、每周、每月）上報的管理報表（報告），評價風險管理日常監控職能發揮情況；

（2）審查內部審計部門的審計計劃、風險管理審計報告，評價其監控職能的發揮情況。

3.審計評價結論。公司管理層通過例行的控制活動、信息報告反饋系統對經營管理狀況進行日常的監控；通過內部審計部門對公司所控制的所有單位、項目進行例行審計，報告中時常反映一些被審單位風險管理狀況的信息，對風險管理的監控較為及時，但對公司總部層面的風險監控較為薄弱。

三、結語

企業要想在市場經濟的大潮中基業長青，必須對面臨的各種風險進行系統地、全面地管理，這已是不爭的事實。借鑒先進的風險管理理念、理論、方法、工具，結合本企業具體實際情況，不斷的創新。對內部環境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通、監控八個風險管理要素逐一進行分析和評價，查找問題和不足，對風險管理文化、風險管理組織體系、風險識別、評估、排序、風險管理策略與方法、風險管理監控與檢查、風險管理溝通與咨詢等關鍵的風險管理流程采取措施不斷完善，逐步完善企業風險管理系統，是解決風險管理問題的最佳實務。企業應當增強風險意識，逐步建立險管理系統，為企業保駕護航，這樣企業才能在市場經濟的大海中劈波斬浪，揚帆遠航。

［1］王曉霞，《企業風險審計》，第一版，中國時代經濟出版社，2005。

［2］江蘇省電力公司、南京大學會計系，《風險管理審計評價》，第一版，中國財政經濟出版社，2005。

［3］孫班軍，郝建新，《風險管理案例分析與公司治理》，第一版，中國財政經濟出版社，2006。

謝辭

此論文得以順利的完成.首先,感謝我的指導老師xxx,他為我的論文提供了不少寶貴的意見,也為我論文的整理和修改提供了大量幫助.在此感謝他的付出!其次,我要感謝我的實習單位,是她給了我創意的來源.也謝謝她!最后,感謝支持和幫助我完成該論文的各位朋友們!謝謝大家!

第三篇：內部審計與風險管理

內部審計與風險管理

摘要:近年來，風險管理已成為內部審計的重要領域。本文在闡述了風險、風險管理的涵義的基礎上，對內部審計參與風險管理的動因、內部審計如何參與風險管理進行了探討。

關鍵詞:內部審計；風險管理；動因

內部審計是獨立監督和評價本單位及所屬單位財政收支、財務收支、經濟活動的真實性、合法性和效益的行為，以促進加強經濟管理和實現經濟目標。近年來，有些內部審計組織開始介入風險管理，并將其作為內部審計的重要領域，這一做法得到了國際內部審計職業界的普遍認可。現就此問題進行闡述。

一、風險與風險管理

（一）風險

風險是在一定環境和限期內客觀存在的，導致費用、損失與損害產生的，可以認識與控制的不確定性。它具有客觀性、普遍性、必然性、可識別性、可控性等特點。在風險的形成過程中，要涉及到風險因素、風險事故和損失三個方面。

風險因素，是指能夠引起或增加風險事件發生機會或影響損失嚴重程度的因素。有物理因素、道德因素、心理因素。

風險事故，是指在風險管理中直接或間接造成損失的事故，因此可以說它是損失的媒介物。

損失，是指非故意的、非計劃的和非預期的經濟價值的減少，通常以貨幣單位來衡量。損失分為直接損失和間接損失兩種。直接損失是實質性的損失，間接損失則包括額外費用損失、收入損失和責任損失三種。

（二）風險管理

風險管理作為一種特殊的管理功能，它是為人類追求安全和幸福的目標，結合前人的經驗和近代的科學成就而發展起來的一門新的管理科學。對什么是風險管理，一些學者提出了自己的看法，美國學者克里斯蒂（JamesC.Cristy）認為風險管理是企業或組織為控制偶然損失的風險，以保全所得能力和資產所做的一切努力；我國的陳佳貫認為，風險管理是企業通過對潛在意外或損失的識別、衡量和分析，并在此基礎上進行有效的控制，用最經濟合理的方法處理風險，以實現最大的安全保障的科學管理方法。根據以上風險管理的定義，可以得出以下幾點認識：風險管理是一個系統過程，包括風險的識別、衡量和控制等環節；風險管理的目標在于控制和減少損失，提高有關單位或個人的經濟利益或社會效果；風險管理是一種管理方法。

二、內部審計參與風險管理的動因

內部審計之所以涉足風險管理領域，主要有以下幾個原因：

（一）企業面臨的風險日益增大

近年來，隨著社會經濟的發展，特別是經濟全球化及國際化程度的加深，使企業經營環境變得日趨復雜，企業經營風險也大大增加。知識經濟的到來，更使企業的風險雪上加霜。因此，減少企業面臨的風險是組織實現目標的關鍵，也是企業的管理人員十分關心的問題。

（二）內部審計對發展的渴求

內部審計部門為了不斷地發展，為了在企業中擔當更重要的角色和發揮更重要的作用，總是不斷尋找新的對企業又十分重要的領域，企業經理人員對風險的空前重視，為內部審計發展提供了一個絕好的機會。內部審計對風險管理的介入，將會使內部審計在企業中成為一個重要的角色，并將其在企業中的作用推向一個新水平。

（三）內部審計能夠在風險管理中發揮獨特的作用

1、能夠客觀地、從全局的角度管理風險

風險在企業內部具有感染性、傳遞性、不對稱性等特征，即一個部門造成的風險或疏于風險管理所帶來的后果往往不是由其直接承擔，而是會傳遞到其他部門，最終可能使整個企業陷入困境。正因為如此，有些部門可能會出現過渡道德風險，因為風險不是由你們來承擔（至少不是單獨承擔），如，采購部門為節約采購成本，就會忽視對材料規格、型號、質量方面的檢查，或者有意購買殘次品，這種暗藏的風險會在生產車間或銷售部門反映出來，最終給企業造成巨大損失。因此對風險的認識和防范、控制需要從全局考慮，而各業務部門又很難做到這一點。

2、控制、指導企業的風險策略

由于內部審計部門處于企業的董事會、總經理和各職能部門之間的位置，內部審計人員能夠充當企業長期風險策略與各種決策的協調人。通過對長期計劃與短期實現的調節，內部審計人員可以調控、指導企業的風險管理策略。

3、內部審計部門的建議更易引起重視

有些企業盡管也有風險管理部門，但它屬于管理部門的一個職能部門，向總經理報告，不具有獨立性，其意見有時會屈服于管理當局的壓力。如風險管理部門對某投資項目分析后發現風險太大不適合投資，而總經理好大喜功，他會力促項目的實施。這使得風險管理部門的作用受到限制。內部審計部門獨立于管理部門，其風險評估的意見可以直接報給董事會，這會加強管理當局對內部審計部門意見的重視程度。

（四）外部審計的影響

近年來，注冊會計師的業務領域不斷擴展，在其所擴展的新的保證服務業務中就包括了風險評估，且是主要業務之一。這不能不對內部審計界產生影響，因為，內部審計部門和內部審計人員在風險管理方面擁有注冊會計師無可比擬的優勢。

三、內部審計如何參與風險管理

與一般的風險管理部門進行的風險管理相比，內部審計部門所進行的風險管理既與其有緊密的聯系，又有區別。他們的聯系表現在，兩者的目的是統一的，都是為了降低企業的風險；兩者的區別在于他們在風險管理中的角色不同。正是上述的聯系和區別，導致了內部審計部門進行的風險管理過程與一般風險管理過程具有相同點和不同點。

（一）評估風險識別的充分性

所謂風險識別是指對企業所面臨的以及潛在的風險加以判斷、歸類和鑒定風險性質的過程，換言之，就是要確定企業正在或將要面臨哪些風險。內部審計部門和人員要對原有的已識別風險是否充分進行評價，即企業所面臨的主要風險是否被識別出來，并找出未被識別的主要風險。采用的方法包括決策分析、可行性分析、統計預測分析、投入產出分析、流程圖分析、資產負債分析、因果分析、損失清單分析、保險調查法和專家調查法等。

（二）評價已有風險衡量的恰當性

風險衡量是指應用各種管理科學技術，采用定性與定量相結合的方式，最終定量估計風險大小，找出主要的風險源，并評價風險的可能影響，以便以此為依據，對風險采取相應對策。內部審計部門和人員要對已有的風險的衡量結果進行再檢驗，以確定其是否恰當，對不恰當的估計予以更正。采用的方法主要有：調查和專家打分法、風險報酬法（又稱調整標準貼現率法）、風險當量法、解析方法、蒙特卡羅模擬方法等。

（三）評估風險防范措施的充分性，并提出改進措施

風險的防范措施是指為降低已識別出并已衡量的風險所采取的措施，也稱風險管理工具的選擇。內部審計部門和內部審計人員對有關部門針對風險所采取的防范措施進行檢查，檢查其是否充分、得當。對于風險缺乏充分的控制措施的情況，內部審計部門和內部審計人員應提出改進措施和建議，已強化企業的風險管理，降低風險損失。采用的方法有：避免風險、損失控制、分離風險單位、非保險方式的轉移風險（包括轉移風險源、簽訂免除責任協議、利用合同中的轉移責任條款）、保險等。

綜上所述，內部審計涉足風險管理領域有其客觀必然性，是環境因素和其本身因素使然。在風險管理中，內部審計部門主要是對風險管理部門和其他相關部門所進行的風險管理的再監督。但這絕不意味著內部審計部門不能作為直接的風險管理人，在必要的情況下，它可以直接進行風險管理。內部審計風險管理是一個嶄新的事物，對內部審計如何在風險管理中發揮作用是一個需要進一步深入探討的課題。

第四篇：內部審計與風險管理

內部審計與風險管理

編輯：凌月仙仙

作者：劉世謹 出處：中國論文下載中心 日期：2004-1-1

[關鍵詞]內部審計；風險管理；動因

[摘要]近年來，風險管理已成為內部審計的重要領域。本文在闡述了風險、風險管理的涵義的基礎上，對內部審計參與風險管理的動因、內部審計如何參與風險管理進行了探討。

近年來，有些內部審計組織開始介入風險管理，并將其作為內部審計的重要領域，這一做法得到了國際內部審計職業界的普遍認可，以至于國際內部審計師協會在1999年通過的內部審計的最新定義把評價和改善組織的風險管理和控制的有效性作為內部審計的主要內容。本文將對此問題進行闡述。

一、風險、風險管理

（一）風險、風險因素、風險事故和損失

風險是在一定環境和限期內客觀存在的，導致費用、損失與損害產生的，可以認識與控制的不確定性（趙曙明、楊鐘，1998）。它具有客觀性、普遍性、必然性、可識別性、可控性等特點。在風險的形成過程中，要涉及到風險因素、風險事故和損失三個方面。

風險因素，是指能夠引起或增加風險事件發生機會或影響損失的嚴重程度的因素。風險因素可分成三類：（1）物理因素，是指增加風險發生機會或損失嚴重程度的直接條件；（2）道德因素，是指由于個人不誠實或不良企圖，故意使風險事件發生或擴大已發生風險事件的損失程度的因素；（3）心理因素，是指由于人們主觀上的疏忽或過失而導致增加風險事件的機會或擴大了損失嚴重程度的因素。

風險事故，是指在風險管理中直接或間接造成損失的事故，因此可以說它是損失的媒介物。

損失，是指非故意的、非計劃的和非預期的經濟價值的減少，通常以貨幣單位來衡量。損失分為直接損失和間接損失兩種。直接損失是實質性的損失，間接損失則包括額外費用損失、收入損失和責任損失三種。額外費用損失措必須修理或重置而支出的費用；收入損失指由于該企業設備損毀以至無法生產成品而減少的利潤；責任損失指由于過失或故意致使他人遭受體傷或財產的侵權行為而依法應當擔負的賠償責任。

對于風險因素、風險事故和損失之間的關系，有兩種解釋理論：一是亨利希（H.W.heinrich）的骨牌理論；二是哈同（W.Haddon）的能量釋放論。他們都認為風險因素引發風險事故，而風險事故導致損失，但側重點不同。前者強調三張骨牌之所以相繼傾倒是由于人的錯誤所致。后者則認為之所以造成損失是由于事物所承受的能量超過其所能容納的能量所致，物理因素起主要作用。

（二）風險管理

風險管理作為一種特殊的管理功能，它是為人類追求安全和幸福的目標，結合前人的經驗和近代的科學成就而發展起來的一門新的管理科學。對什么是風險管理，一些學者提出了自己的看法，美國學者克里斯蒂（JamesC.Cristy）認為風險管理是企業或組織為控制偶然損失的風險，以保全所得能力和資產所做的一切努力；另外兩位美國學者威廉斯（C.Arthur Williams.Jr.）和理查德。漢斯（Richard M.Heins）認為，風險管理是通過對風險的鑒定、衡量和控制，以最低的成本使風險所造成的損失控制在最低程度的管理方法；我國的陳佳貫認為，風險管理是企業通過對潛在意外或損失的識別、衡量和分析，并在此基礎上進行有效的控制，用最經濟合理的方法處理風險，以實現最大的安全保障的科學管理方法。根據以上風險管理的定義，我們可以得出以下幾點認識：（1）風險管理是一個系統過程，包括風險的識別、衡量和控制等環節；（2）風險管理的目標在于控制和減少損失，提高有關單位或個人的經濟利益或社會效果；（3）風險管理是一種管理方法。

二、內部審計參與風險管理的動因

內部審計之所以涉足風險管理領域，主要有以下幾個原因：

1、企業面臨的風險日益增大

近年來，隨著社會經濟的發展，特別是經濟全球化及國際化程度的加深，使企業經營環境變得日趨復雜，企業經營風險也大大增加。知識經濟的到來，更使企業的風險雪上加霜。因此，減少企業面臨的風險是組織實現目標的關鍵，也是企業的管理人員十分關心的問題。內部審計的目的在于增加組織的價值和改善組織的經營，內部審計人員是企業的管理咨詢師，因此，內部審計部門和內部審計人員參與企業的風險管理也就順理成章了。

2、內部審計對發展的渴求

內部審計部門為了不斷地發展，為了在企業中擔當更重要的角色和發揮更重要的作用，總是不斷尋找新的對企業又十分重要的領域，企業經理人員對風險的空前重視，為內部審計發展提供了一個絕好的機會。內部審計對風險管理的介入，將會使內部審計在企業中成為一個重要的角色，并將其在企業中的作用推向一個新水平。正因如此，內部審計師的職業組織——國際內部審計師協會才不遺余力地倡導內部審計師進軍這一領域，把風險管理作為內部審計的重要領域直接寫入了內部審計的定義。

3、內部審計能夠在風險管理中發揮獨特的作用

內部審計在風險管理中的獨特作用有三：

（1）能夠客觀地、從全局的角度管理風險

風險在企業內部具有感染性、傳遞性、不對稱性等特征，即一個部門造成的風險或疏于風險管理所帶來的后果往往不是由其直接承擔，而是會傳遞到其他部門，最終可能使整個企業陷入困境。正因為如此，有些部門可能會出現過渡道德風險，因為風險不是由你們來承擔（至少不是單獨承擔），如，采購部門為節約采購成本，就會忽視對材料規格、型號、質量方面的檢查，或者有意購買殘次品，這種暗藏的風險會在生產車間或銷售部門反映出來，最終給企業造成巨大損失。因此對風險的認識和防范、控制需要從全局考慮，而各業務部門又很難做到這一點。

內部審計部門不從事具體業務活動，獨立于業務管理部門，這使得它們可以從全局出發、從客觀的角度對風險進行識別，及時建議管理部門采取措施控制風險。

（2）控制、指導企業的風險策略

由于內部審計部門處于企業的董事會、總經理和各職能部門之間的位置，內部審計人員能夠充當企業長期風險策略與各種決策的協調人。通過對長期計劃與短期實現的調節，內部審計人員可以調控、指導企業的風險管理策略。

（3）內部審計部門的建議更易引起重視

有些企業盡管也有風險管理部門，但它屬于管理部門的一個職能部門，向總經理報告，不具有獨立性，其意見有時會屈服于管理當局的壓力。如風險管理部門對某投資項目分析后發現風險太大不適合投資，而總經理好大喜功，他會力促項目的實施。這使得風險管理部門的作用受到限制。內部審計部門獨立于管理部門，其風險評估的意見可以直接報給董事會，這會加強管理當局對內部審計部門意見的重視程度。

4、外部審計的影響

近年來，注冊會計師的業務領域不斷擴展，在其所擴展的新的保證服務業務中就包括了風險評估，且是主要業務之一。這不能不對內部審計界產生影響，因為，內部審計部門和內部審計人員在風險管理方面擁有注冊會計師無可比擬的優勢，比如：內部審計部門和內部審計人員對企業面臨的風險更了解；內部審計部門和內部審計人員對防范企業風險、實現企業目標有著更強烈的責任感。既然外部審計可以從事此項業務，內部審計就更可以從事這一工作。

三、內部審計如何參與風險管理

與一般的風險管理部門進行的風險管理相比，內部審計部門所進行的風險管理既與其有緊密的聯系，又有區別。他們的聯系表現在，兩者的目的是統一的，都是為了降低企業的風險；兩者的區別在于他們在風險管理中的角色不同。正是上述的聯系和區別，導致了內部審計部門進行的風險管理過程與一般風險管理過程具有相同點和不同點。

內部審計部門所進行的風險管理是在一般部門所進行的風險管理基礎上的再監督，其風險管理過程應包括三個方面：（1）評估風險識別的充分性；（2）評價已有風險衡量的恰當性；（3）評估風險防范措施的充分性，并提出改進措施。

（一）評估風險識別的充分性

所謂風險識別是指對企業所面臨的、以及潛在的風險加以判斷、歸類和鑒定風險性質的過程，換言之，就是要確定企業正在或將要面臨哪些風險。內部審計部門和人員要對原有的已識別風險是否充分進行評價，即企業所面臨的主要風險是否均已被識別出來，并找出未被識別的主要風險。采用的方法包括決策分析、可行性分析、統計預測分析、投入產出分析、流程圖分析、資產負債分析、因果分析、損失清單分析、保險調查法和專家調查法等。

（二）評價已有風險衡量的恰當性

風險衡量是指應用各種管理科學技術，采用定性與定量相結合的方式，最終定量估計風險大小，找出主要的風險源，并評價風險的可能影響，以便以此為依據，對風險采取相應對策。內部審計部門和人員要對已有的風險的衡量結果進行再檢驗，以確定其是否信當，對不恰當的估計予以更正。采用的方法主要有：調查和專家打分法、風險報酬法（又稱調整標準貼現率法）、風險當量法、解析方法、蒙特卡羅模擬方法等。

（三）評估風險防范措施的充分性，并提出改進措施

風險的防范措施是指為降低已識別出并已衡量的風險所采取的措施，也稱風險管理工具的選擇。內部審計部門和內部審計人員對有關部門針對風險所采取的防范措施進行檢查，檢查其是否充分、得當。對于風險缺乏充分的控制措施的情況，內部審計部門和內部審計人員應提出改進措施和建議，已強化企業的風險管理，降低風險損失。采用的方法有：避免風險、損失控制、分離風險單位、非保險方式的轉移風險（包括轉移風險源、簽訂免除責任協議、利用合同中的轉移責任條款）、保險等。

綜上所述，內部審計涉足風險管理領域有其客觀必然性，是環境因素和其本身因素使然。在風險管理中，內部審計部門主要是對風險管理部門和其他相關部門所進行的風險管理的再監督。但這絕不意味著內部審計部門不能作為直接的風險管理人，在必要的情況下，它可以直接進行風險管理。內部審計介人風險管理是一個嶄新的事物，對內部審計如何在風險管理中發揮作用是一個需要進一步深入探討的課題。

第五篇：審計風險

一、內部審計概述

隨著經濟一體化的進程，審計在維護秩序、提高經濟效益方面發揮著越來越重要的作用。內部審計指部門或單位內部獨立的審計機構和審計人員，依照律、法規、政策、程序和方法，對本部門、本單位的收支及其經濟活動進行審核，查明其真實性、合法性和有效性，并提出建議和意見的一種經濟監督活動。內部審計風險是指財務報告事實上存在重大錯報、漏報，或者企業經營上存在的弊端，或內控制度存在重大漏洞缺陷，內部審計人員經過審計未能發現或失察，而提出不正確或不恰當的審計意見，審計對象及其相關方面遭受損失或損害，并由此引起審計主體承擔責任的風險。為了有效地防范和避免審計風險，應對內部審計風險進行科學的分析和深入研究，從而保證內部審計事業健康發展。

二、內部審計風險的成因

（一）內部審計的主觀風險

1、內部審計機構缺乏相對獨立性。內部審計機構是單位內設機構，在本單位負責人的領導下開展工作，為本單位實現經營目標服務。因此，內部審計的獨立性不如外部審計，不可避免地受本單位的利益限制。內部審計的組織形式也反映出其獨立性的弱化，有的單位把審計機構設在財務部門中，有的把審計機構和監察部門合并在一起，有的單位由分管錢財物資及賬目的人員兼任審計崗位，有的單位領導既領導財會工作，又領導審計工作。因此，企業的內部審計很難站在客觀、公允的立場上對企業的財務狀況做出客觀、公允的評價。

2、內部審計人員的綜合素質不能適應目前的工作需要。審計人員的素質包括思想素質、職業素質、業務技能素質、工作態度及素質，內部審計人員素質不像專業的審計人員那么高，很難客觀地做出公正和無偏見的判斷；另外，內部審計人員配備普遍不足，有的人員缺乏專業培訓，人數也難以滿足審計業務的需要。同時，相當一部分審計人員改革創新意識比較弱，審計理念還停留在傳統審計上，大局意識和風險意識不強。

3、內部審計程序和方法本身隱含的審計風險。許多企業內部不完善，如審計機構缺少事前的審計計劃，事中的審計程序和報告前的審計復核，審計工作底稿不完整，一般只記錄審計問題事項，而未記錄審計人員認為正確的審計事項，使得審計復核、控制無從入手，這都使內部審計質量得不到保證，風險防范意識薄弱。

（二）內部的客觀風險

1、內部審計制度不健全。內部審計目前只有20世紀八十年代審計署頒布的《關于內部審計工作的規定》（1989年制定，2003年修訂），法律級次明顯偏低，可操作性差，存在著滯后現象。這樣，內審人員在進行審計時，只有依據經驗和知識進行分析判斷，在某種程度上嚴重影響了審計結論的權威性和正確性，因而大大增加了。

2、審計對象的復雜及審計范圍的擴展，加大了內審風險。現代組織由于經營規模的擴大，經營業務的日趨復雜，使得內審對象的范圍逐步擴展，為內部審計帶來了更多的困難。這里差錯和虛假的資料摻雜其中，失察的可能性也隨之增大；內部審計業務也已不再局限于收支審計，還包括責任審計、內審業務的拓展、使審計人員承擔更多責任和風險。

3、企業的外部導致的審計風險。近年來，隨著經濟的發展，特別是經濟全球化及國際化程度的加深，使企業經營環境變得日趨復雜，企業經營風險也大大增加。經營風險的存在往往引發更大的審計風險，對內部審計人員提出了更加嚴峻的挑戰，加劇審計風險的產生。