現代企業風險管理審計優化路徑

前言：尋找寫作靈感？中文期刊網用心挑選的現代企業風險管理審計優化路徑，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

【摘要】面對快速發展、復雜多變環境，企業風險呈現急劇增加趨勢，這些風險為企業價值增值帶來威脅和機遇。通過風險管理審計，加強企業風險管理的監督和評價，有效促進企業價值增值。文章探討風險管理審計的概念和特征，分析風險管理審計主體、基本內容和實施程序，剖析我國企業風險管理審計的突出問題和相關對策。

【關鍵詞】風險管理審計；概念和特征；審計主體；內容；程序

企業規模擴大，新興經濟組織如雨后春筍般地涌現，現實環境不確定性因素日益增加，企業必然面臨著復雜多樣風險，實施有效風險管理成為促使企業持續發展壯大和快速價值增值的必要保障。通過風險管理審計，對企業風險管理發表審計意見，切實幫助企業改善風險管理。因此，國際和國內內部審計準則強調內部審計人員應積極開展企業風險管理審計，將風險管理審計作為其必要職責。

一、風險管理審計概念及特征

（一）風險管理審計概念

20世紀末至21世紀初，內部控制成為企業管理核心，內部控制以風險管理為基礎，風險管理成為企業加強內部控制的重要手段。風險管理審計不僅積極評價傳統的內部控制，更全面審核和分析風險管理機制。眾多成功企業內部審計已經把“對企業風險管理提供建設性審計意見，獨立地提供改善建議”作為其基本目標和職責，從風險管理視角持續研究和思考公司治理和企業經營管理，并采取持續改善企業風險管理的有效措施。因此，風險管理審計指審計組織和人員對企業風險現代企業風險管理審計的優化路徑探析任富強（西藏民族大學）管理收集審計證據，判斷其符合相關標準的程度，發揮監督和評價組織風險管理的審計職能，為實現企業價值增值目標提供合理保證的系統性活動。

（二）風險管理審計特征

風險管理審計與現代風險導向審計密切聯系，又存在顯著區別。通過與現代風險導向審計的比較，能夠揭示風險管理審計的基本特征。

1.密切聯系

（1）風險管理審計促進現代風險導向審計。通過風險管理審計，監督和評價風險管理有效性，促進企業提高風險管理水平，能夠有力降低企業風險，良好的企業風險管理能提高風險導向審計、風險評估結論的可靠性，進而降低風險導向審計風險，有效提高風險導向審計質量和效率。（2）具有共同的審計標準、內容和目標。兩種審計均需以企業的風險管理方針、策略和風險評價指標體系為審計評價標準，形成審計結論；兩種審計需審查組織風險范圍確定、風險識別、風險評價、風險管理措施和方法等，因而具有相同的基本審計內容；兩種審計具有提供戰略決策信息依據，服務于戰略目標的實現，促進企業價值持續增加的相同目標。

2.相互區別

（1）兩者審計目標有差異性。風險管理審計目標是通過風險識別、風險嚴重程度評估，對企業風險管理政策的合理性、管理措施的適當性以及執行有效性發表審計意見；風險導向審計目標是識別和評估企業風險，根據風險評估結果，計劃其他審計程序的性質、時間和范圍，最終對企業財務報告、經濟效益和內部控制符合有關標準程度發表審計意見。（2）體現不同審計功能。審計功能已經從最初的財務報表審計功能，拓展到認定的鑒證功能，又拓展到對系統等客觀事物和認定的認證功能。風險管理審計中的審計師站在企業戰略管理的高度，系統性審核企業風險管理流程和控制措施，并以企業內部控制為審核重點，判斷企業風險管理流程和控制措施的健全性和有效性，進而對企業風險管理系統發表認證意見，充分發揮審計對系統和認定的認證功能。風險導向審計通過風險評估，計劃其他審計程序的性質、時間和范圍，對財務報表等信息載體符合有關標準的程度發表審計意見，充分發揮審計對信息載體或認定的鑒證功能。因此，風險管理審計體現了審計的認證功能，風險導向審計體現了審計的鑒證職能，風險管理審計處于審計功能拓展的更高階段。（3）審計服務范圍不同。風險管理審計主要服務于企業內部經營管理，幫助企業管理層發現管理漏洞，提供改善企業管理的對策建議。當風險導向審計被用于經濟效益審計時，其服務于企業內部改善經營管理需要；當風險導向審計被用于財務報表審計、內部控制審計、經濟責任審計等時，其服務于外部利害關系人明確受托經濟責任履行狀況的外部需要，即風險導向審計服務于企業內外需要，但主要服務于企業外部需要。（4）審計工作范圍不同。風險導向審計目標是對財務報表等發表審計意見，其僅關注影響財務報表可靠性等的風險狀況，較少考慮無關的風險狀況；風險管理審計目標對風險管理發表審計意見，相比現代風險導向審計，其更遠、更多地覆蓋企業風險管理，它既囊括現代風險導向審計基本內容，又擴大審計關注至企業戰略目標、管理層的風險容忍度、主要風險評價指標以及企業績效評價分析等更為深入和全面的區域，為實現企業戰略目標，風險管理審計積極關注優化企業風險管理問題，使得風險管理審計已經成為企業風險管理的重要組成要素。

二、現代企業風險管理審計主體、內容和程序

（一）現代企業風險管理審計執行者主要是內部審計主體

在西方當社會經濟發展到特定階段時，企業內部管理層次深化、規模擴大，基于企業加強管理與監督需要而產生內部審計，并隨管理需要而不斷發展內部審計。內部審計從最初的側重于發揮企業監督職能的目標，轉向側重于發揮內部審計評價職能的目標，從而增加組織價值，改善組織經營。我國市場經濟起步較晚，推廣企業內部審計時，市場經濟機制尚不成熟，并非在企業內部管理的自愿需求推動下產生和發展內部審計，在政府審計部門強制性要求下建立和發展內部審計。隨著我國市場經濟機制快速發展并日漸成熟，企業內部審計逐漸成為企業自發內在需求。企業內部審計目標在于協助和支持企業管理層實現相關目標，努力實現企業價值最大化目標。企業風險管理審計總體目標是監督并評價企業風險管理適當性和有效性，發現風險管理漏洞，并提出完善企業風險管理的建議，促進企業最大限度實現目標并增加企業價值，因而內部審計目標與企業風險管理審計目標具有天然的一致性。內部審計機構和人員長期扎根于本企業，其掌握了更多、更深的企業經濟活動信息，并能長期跟蹤企業經濟活動，承擔了改善企業經營管理的“家庭醫生”角色，因而相比外部審計主體，內部審計主體具有實施本企業風險管理審計的領先優勢，其能夠更有效地發揮審計客觀職能，因而內部審計機構和人員成為開展風險管理審計的主要主體。

（二）現代企業風險管理審計內容

企業存在整體層面與業務流程層面的風險管理，審計人員需從兩個層面審查與評價企業風險管理，其應當包括以下具體內容:

1.審查和評價風險管理系統的健全性和有效性

（1）審查企業風險管理系統設置的健全性與合理性

企業依據社會經濟環境對企業戰略目標的影響，考慮企業經營性質、經營規模、管理水平等因素，建立健全企業風險管理組織機構、業務流程，配備勝任的人員，明確不同層次管理層的職責劃分，制定風險管理規章制度和工作計劃，從而建立具有健全性與合理性的企業風險管理系統。審計人員既需審查風險管理系統設置的健全性，發現漏洞，又要評價該系統設置的合理性，揭示多余的、重復的、無效的機構、崗位或程序。

（2）審查風險管理程序的合理性和有效性

企業建立業務流程，在業務流程中設置風險管理程序，通過嚴格的程序化處理，管理企業風險。審計人員必須關注風險之間的聯系，審查風險管理程序的合理性，在此基礎上，審核企業業務流程中控制程序運行的有效性。

（3）審查風險預警系統的科學性及有效性

風險管理的重心在于從企業外界環境出發，分析實現戰略目標的阻礙因素和促進因素，依據企業經營性質、規模和管理水平，建立健全企業風險預警機制，及時發現風險并采取適當的風險管理措施，既消除或最大限度降低企業風險帶來的損失和可能性，又及時抓住風險帶來的機會，為企業創造價值。審計人員依據企業戰略目標，從企業全局出發，分析企業風險預警機制的科學性和有效性，提供改善企業風險預警機制的建議。

2.審查企業風險識別的充分性和有效性

企業通過健全與合理的風險管理系統，識別企業所處社會經濟環境中影響戰略目標實現的因素，如國際經濟形勢發展、政府法規政策變化、行業競爭狀況更替、科學技術手段提升、管理思想方法推進等，及時識別影響企業戰略目標實現的戰略風險；企業通過業務流程與控制措施管理風險，在此過程中，密切關注企業生產經營和管理活動存在的風險因素，加強上下級和同級信息溝通，敏感覺察不利因素，有效識別企業內部風險。風險管理人員應在實地調查研究之后，運用各種方法系統歸類尚未發生的、潛在的風險及已經存在的各種風險，總結企業面臨的各種風險。識別風險是風險管理的基礎，審計人員審查企業識別內外風險的有效性，發現漏洞，避免企業遺漏重要風險，改善與提高企業風險識別水平。

3.審查企業風險評估的可靠性及有效性

企業針對識別的風險，需評估這些風險帶來的損失金額即發生可能性，進而決定采取風險規避、風險分擔、風險降低中某一風險管理策略；其次，企業通過風險評估，發現可供利用的機會，采取利用機會的措施。審計人員采取適當的審計方法，收集審計證據，判斷企業風險評估與相關標準的符合程度，這些標準可能來自企業內部和外部，也可由審計人員根據實際情況，制定相關審計標準。

4.審查風險管理策略與措施的合理性及有效性

企業確定可接受風險水平，針對識別和評估的企業風險，可供選擇的風險管理策略有風險規避策略、風險分擔策略和風險降低策略，企業選擇適當的風險管理策略后，借助企業業務流程，實施系統化配套型的風險管理措施。審計人員評價可接受風險的恰當性，判斷企業風險管理策略的科學性，審查企業風險管理措施的合理性和實際有效性。

（三）風險管理審計程序

1.實施戰略風險分析

搜集國際形勢、國家法規政策、所在行業及企業當前發展趨勢信息資料，識別、評估這些信息資料顯露的組織戰略風險，識別外界環境阻礙或促進企業發展的因素，進而判斷企業外界環境對實現企業戰略目標的影響，識別、評估企業戰略風險。

2.確定可接受風險水平

檢查公司政策，董事會和審計委員會的會議記錄，評價企業風險管理觀念和方法，判斷企業對風險（主要指經營風險）的接受程度，確定可接受風險水平。

3.開展流程風險分析

為了克服企業風險，企業設置并執行業務流程，通過業務流程管理風險，但業務流程的局限性導致業務流程并不能將風險降低為零。審計人員開展流程分析，評估剩余風險。（1）檢查以前發表的風險評估報告。分析歷史風險評估報告，推斷企業目前的風險狀況。（2）執行控制測試程序。審計人員采用觀察法、詢問法、檢查法、重新執行法、穿行性測試法等檢查風險管理策略或措施的有效性。（3）分析流程風險。在風險難于量化，難于獲取定量評價指標時，常運用定性方法，比如調查問卷法、SWOT法、流程圖法等。（4）與組織管理層溝通。與組織管理層討論有關部門的目標，相關風險及其控制活動，充分考慮相關部門和人員的意見，提高風險管理評估結果的可靠性和實用性。4.總結風險管理審計結論。綜合評價收集的風險信息，獨立評估風險管理活動的有效性，評價企業是否達到本行業最佳風險管理水平。

三、我國企業風險管理審計的典型問題及相關對策

（一）我國企業風險管理審計的典型問題

1.側重審計風險管理過程，忽略風險管理效果

風險管理涵蓋整個企業，盡管國內外的一系列準則和理論研究明確認為風險管理審計既要覆蓋風險管理工作的各個流程，評價風險管理實施情況和效果。但已經開展的風險管理審計主要審計風險管理流程，更多地關注過程性內容，如是否定期開展風險識別工作、風險預警機制是否按要求運行等，較少關注風險管理的效果性。在風險管理審計中仍然大量依賴審計判斷，通過審計判斷，實施審計程序，形成審計結論，包含大量審計判斷的審計結論只能提供合理保證，為了提高合理保證程度，必須將過程審計與結果審計緊密結合。

2.視風險為獨立個體，忽視風險間的普遍聯系

將風險視作獨立個體，對各風險分別實施審計工作，分散地開展評價單個風險應對舉措，未能深入剖析風險之間及應對舉措之間關聯性，導致審計結論就事論事、浮于表面，缺乏全局觀，與企業戰略與價值缺乏有效關聯。審計實務中常發現重大風險事件的成因往往在價值鏈上游，有的事件甚至經過多個環節層層傳遞風險，即各環節的風險具有普遍聯系。單個風險的影響能夠被容忍時，但風險的累積影響極可能是重大的，此時的單個風險不可容忍。審計人員未能系統性地評價企業的風險管理，忽視風險的聯系將直接導致忽視風險的累計影響。

3.依據傳統審計標準評價發現問題，未能充分考慮風險容忍度

在風險管理審計過程中，基本仍沿用傳統審計（如財務報告審計、內控審計、經責審計）標準，未能充分考慮風險管理特點，即風險容忍度。如風險管理審計中常發現未能嚴格執行部分管控措施，在判斷是否屬于風險管理缺陷時，未融入企業風險容忍度，未能密切聯系風險發生可能性、損失金額，適當地評價風險的嚴重程度，或者簡單地判斷存在風險管理缺陷，但實際在經營中常常并沒有發生實際損失，風險管理審計結論“草木皆兵”，過于敏感，導致審計結論嚴重脫離企業經濟業務實務，徒增企業管理成本的現象；或者風險管理審計結論過于樂觀、冒險，但企業發生重大損失，未能幫助企業“防患于未然”；未能客觀評價風險管理工作，審計成果無法得到企業認可和有效運用。由于上述問題，導致審計工作的成效與價值較難更有效地促進企業價值增值，眾多企業認為風險管理審計中看不中用，其未肯積極開展風險管理審計。

（二）改善我國企業風險管理審計的對策

1.改善剩余風險管理審計，增強審計實效性

企業通過科學設置業務流程，努力控制企業風險，但業務流程存在固有局限性，經濟業務經過業務流程后，仍然存在一定剩余風險，即剩余風險不可能降低為零。企業風險管理措施不當或存在漏洞是剩余風險主要原因，剩余風險導致風險管理失效現象，其體現了企業風險管理的最終效果，因此，通過加強剩余風險管理審計，既避免審計結論過于謹慎、敏感，而徒增企業管理成本，又要防范審計結論盲目樂觀、過于冒險而給企業造成不必要損失。首先，審計人員充分把握風險因素的特征，準確識別風險因素，測試風險管理政策，分析風險管理不足之處，確定哪些剩余風險屬于高危風險。其次，應當綜合性評價剩余風險，綜合考慮企業剩余風險發生的可能性和損失金額，將剩余風險進行科學合理地排序，針對不同序次剩余風險，幫助企業采取梯度性管理措施，增強風險管理審計結論的穩妥性。

2.系統性評估風險管理

單個風險的單獨影響不重要時但多個風險的累積影響可能是重要的，審計人員既要考慮風險的單獨影響，也要考慮風險的累積影響。企業通過細致分工與協作基礎上的業務流程開展業務活動，風險往往具有傳導性，審計人員需充分考慮傳導性風險滋生的其他風險。首先，審計人員綜合考慮企業目標，做好充足的調查工作，深入相關審計領域，發現如企業文化、內部控制體系、業務交易系統等方面的風險因素，審計人員相互交流和討論掌握的信息，在普遍聯系中驗證企業風險管理狀況，科學合理地評價風險管理。其次，針對管理層的風險管理自我評估進行實地觀察，驗證這些自我評估的可靠性、全面性和深入性。最后，審計人員系統性評估風險管理相關的工作薄弱環節，并與管理層溝通這些環節，努力取得管理層對審計結論的支持和認可。

3.設置和運用可接受風險水平，提高審計效率性和效果性

充分認識企業風險的必然性、客觀性，即企業風險不可能降低為零，設置恰當的可接受企業風險，有助于將評估的企業風險與可接受風險的比較，采取恰當的風險管理策略和措施。審計人員評價可接受風險的適當性，判斷企業運用可接受風險實施風險管理的合理性和有效性，進而科學合理地做出風險管理審計結論；通過可接受風險水平，指導和安排審計工作，提高審計效率，盡早提供風險管理審計報告，使得企業各部門及時采取改善企業風險管理的措施。

主要參考文獻：

[1]陳巍，閻栗，張東風，胡霜竹，蔡曉勇，許波東，馬瑩，季曉禹.“三鏈互動點面結合”的風險管理審計研究[J].中國內部審計，2018(01)：44-49.

[2]王學龍.經濟效益審計[M].大連：東北財經大學出版社，2015(08).

作者:任富強 單位:西藏民族大學