企業風險管控的內容范例6篇

前言：中文期刊網精心挑選了企業風險管控的內容范文供你參考和學習，希望我們的參考范文能激發你的文章創作靈感，歡迎閱讀。

企業風險管控的內容范文1

一、企業風險的定義及特征

國資委《中央企業全面風險管理指引》中提到的風險是指“未來的不確定性對企業實現其經營目標影響”。它突出了以下幾個方面的特性：風險具有未來性；風險具有不確定性。風險是未來失誤發生的不確定性。不確定性是是客觀的，不以人的意志為轉移，不能控制，但是卻是可預測的，并且這種不確定性又與概率相關，并且有時也可能形成有利結果；企業風險與企業經營目標緊密相關性。企業經營目標與企業風險成正比例。風險對實現企業的經營目標有好處，也可能有壞處，具有雙面性；企業風險又具有機會和威脅的統一性。企業風險是中性的，既包含威脅，也包含機會。也可以講它具有“損益性”，既可帶來損失，也可獲得利益。

二、企業全面風險管理的內涵

全面風險管理是將企業生產經濟中可能發生的各種風險因素控制在自身可以接受范圍內。企業全面風險管理內涵：全面風險管理是一個過程，它持續地作用于企業，滲透于企業整個經營管理活動中；全面風險管理由企業中各個層級的人員共同完成，需要企業各個層級的員工從企業經營目標的角度認識風險，在企業總體風險管理解決方案的部署下，履行自己的職責和權限來開展風險管理行動；全面風險管理應用企業戰略決策，在制定時管理層應考慮與不同戰略方案相關的風險；全面風險管理貫穿整個企業，應用于企業總部、職能部門事業部、分（子）企業等各級機構；全面風險管理的目的在于識別企業的潛在風險，并把風險控制在企業可以接受范圍內。

三、全面風險管理的內容

全面風險管理主要內容包括以下幾項：影響經營目標實現的因素及事項都是全面風險管理的內容，企業應采取具體措施并實施有效的防范舉措，規避風險；全面風險管理內容貫穿于生產經營的全過程。全面風險管理的基本流程要貫穿于生產經營的全過程，確保企業經營總目標的實現；積極培育企業良好的風險管理文化；提升企業風險管理的管控能力。具體包括：協調風險容量與戰略、增進風險管理的應對策略、抑減經營意外和損失、識別與管控企業的各級風險、提升企業的整體應對能力、改善企業資源配置，充分利用資本。

四、全面風險管理的目標

企業風險管理總體目標是為企業實現其經營目標提供合理的保證，也是為了保證企業經營目標的實現，將企業目標面臨的重大風險得到有效管控，企業系統地辨識、衡量、排序并管控各級風險。確保將企業風險控制在與企業總體目標相適應并可承受的范圍內；確保有關法律法規在企業貫徹執行；提高企業經營活動的效率和效果；確保風險防范及危機處理機制，保護企業免遭重大損失；形成良好的風險管理文化，強化企業全體員工的風險管理意識。

五、企業內部控制與全面風險管理關系

企業的內部控制針對企業經營管理中的程序性風險，通過對控制點的設置，實現經營管理的管控，確保企業重大風險準確評估和有效防范。全面風險管理是內部控制體系的延伸，通過實施風險防控，監控預警，實現對企業重大風險進行有效的防范，從而提升企業內部控制水平。全面風險管理開展的好壞決定于企業董事會，需要企業管理層的全力配合。全面風險管理幫助企業形成準確的戰略決策。全面風險管理在企業管理的各環節中實現，而不僅僅是為了合規的要求，主要在于創效。

六、企業風險管理的具體實踐經驗。

全面風險管理是一項需要全員參與的工作，為確保全面風險管理工作順利推進，企業首先完善了覆蓋所有部門的風險管理工作組織體系，確定并完善了基層單位的風險信息員網絡，設置了專（兼）職風險管理工作的崗位人員，明確了風險管理工作的崗位職能和責任、業務范圍、工作流程、管理策略和應對的制定、監督和改進措施。

其次是企業于每年年初組織各部門參照往年風險事件，通過交流研討完成了對本年度風險事件的采集，企業對風險事件進行辨識評估，最終確定企業本年度風險事件庫。

第三企業對前期辨識出的風險事件庫，從風險事件發生的可能性和對企業的影響程度等方面進行評估，確定企業年度重大風險事件，并制定企業年度重大風險管控方案，加強對重大風險的預警管控，建立健全風險指標監控體系，分析各項風險預警指標實際情況，及時總結、改進風險管控措施，不斷提高企業的風險管控水平，防范和化解各項風險。

企業風險管控的內容范文2

中國大型企業經營發展所面臨的問題：戰略落地效果差，戰略績效評估不到位，重戰略規劃輕戰略執行；以法律實體為對象管理，整合效率低下；管理以職能部門為單位，而非以流程為核心；總部管控能力弱，難以對集團業務規劃、資源分配和經營監控進行適當管理；人力資源管理機制、績效考核機制；流程縱向、橫向梳理不順，管理界面模糊不清，管理標準體系繁雜，制度體系冗雜；風險評估缺乏系統性、全面性，風險管理無法真正落地；內部監督失效，只停留于結果的事后審計，缺乏事前、事中的過程管理監督；IT整體規劃與管理提升整體步調不一致，IT應用控制的設計與風險評估結果未能有效銜接?；谄髽I發展所面臨的各類問題，內外需求使風控體系建設變得必要且迫切。2006年6月6日國資委印發《中央企業全面風險管理指引》，指企業圍繞總體經營目標，通過在企業管理的各個環節和經營過程中執行風險管理的基本流程，培育良好的風險管理文化，建立健全全面風險管理體系，包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統和內部控制系統（以下簡稱風控管理體系），從而為實現風險管理的總體目標提供合理保證的過程和方法。財政部、證監會、審計署、銀監會、保監會（“五部委”）于2008年6月28日和2010年4月26日分別了《企業內部控制基本規范》及配套指引，規定了內控合規時間表。利益相關者對于企業建立風險管理體系的審核要求，對企業可能面臨的風險進行全面、系統的識別、評估以及應對。企業的自身發展需要、企業競爭力是企業各種能力的綜合體現，并非僅指企業的盈利水平，而是表現為企業長期的生存和發展能力。提高企業競爭力的一個重要方面就是要提高企業的風險管控能力。在內外部環境瞬息萬變的情況下，能否及時掌握風險信息并采取適當行動已經成為企業提高競爭力的必要條件，而風險管理信息化控制已經成為大勢所趨。

2風控管理體系建立目標與企業需求

為滿足外部監管和管控要求，結合企業多元化戰略等特點，對企業全面內控及風險管理水平和能力進行診斷和優化，加強內部管理水平，防范企業風險，圍繞企業戰略經營目標，建立覆蓋企業各業務、各部門的風險識別、評估及應對機制，培養和建立企業內部的風險管控專業化人才隊伍，加強企業合法合規經營。風險管理信息化控制要求企業流程規范、制度完善，對企業一些風險采取風險預警及采用風險應對措施，行業內部提出建立《全面風險和內部控制風控管理體系》的理念。2009年，集團公司成立風險審計內控部門，下屬單位也相繼成立風控審計部門，目的為了建立更好的企業，防止出現企業戰略與經營層面的一些風險，借助國外的經營管理思想，提出風險和內控理念。在企業經營發展中會面臨各種各樣的風險，如在戰略層面企業需要投資一個新的企業，需要評估整個市場的定位，評估戰略風險、實施結果風險、企業資金流風險，決策層面的風險、流程方面的風險、生產過程中進度風險、質量風險等等，這些風險都是企業所需要面臨的，怎樣規避這些風險以及采取應對措施，盡量減少對企業的損失是建立風控體系的目標。當然也存在利好的風險，如果對這類風險應對得當，對企業的發展反而是有利的。全面風險管理體系建設目標是建設以風險管理為導向、以內部控制和內部審計為手段的風控體系，并通過信息化將風控體系與各價值鏈活動和管理活動有機融合，提升企業運營管控水平，保證企業戰略經營目標落地。

3風控管理體系建設總體思路

傳統企業建立風控體系是以部門級需求為主、以企業風控主管部門為主，獨立完成各類風險評估，建立部門級風控體系，僅僅是風控審計部門的一個風險評估工作平臺，并未達到企業級防控目標，提升不了企業戰略高度。企業風險有戰略經營層面風險、資金風險、庫存風險、生產風險、IT風險、服務風險、交付風險等滲透在各個業務流程中，只有各個業務部門知道各個業務的風險發生點，所有風險的監控需要各業務部門協調，由企業級風險控制部門統管，組成企業級風控團隊，提高企業風險管控能力。為了滿足企業的經營發展，需從部門級風控需求上升至企業級風控需求，驅動企業戰略目標，使企業業務流程化，組織績效最大化，建立基于端對端流程的業務協作和信息共享，面向企業級需求總體設計和規劃企業風險控制管理體系。

控管理體系的建設方法

做好企業的風控管理，實際上是對企業IT系統的治理和改造過程，將風控點滲透到企業信息系統中，找到風險點在何處，分析哪些風險是對企業影響最大的，哪些風險是業務層面的，由公司風控管理部門協調管理。風控體系建設目標分為體系建設和IT建設兩部分。首先企業應明確風險是企業全部門的事情，要培養企業員工風控意識，沒有風控意識，企業制度不完善，業務流程不規范甚至沒有業務流程，都將影響企業的經營戰略。風險管理文化要貫穿至企業各業務和流程中，完善企業各類制度、規范流程，梳理出各類風險點，企業就有了風險體系和風險管理文化，基于風控體系企業的合規性IT建設就有良好的基礎了。從體系優化到IT系統固化：風險監控預警與內部控制系統采用一套流程、不同視角的設計理念，可在企業戰略管理、科研生產等各項活動中，對各類風險進行識別、評估、應對和分析，通過數據集成提供實時動態的風險監控預警。發揮IT技術對風控體系在各業務系滲透作用，力促營造依法合規、科學規范、風清氣正的運營氛圍，保障企業的持續發展。

5風控管理體系的藍圖設計、方案設計

圍繞企業戰略流程的嵌入式管控體系，梳理出各業務風險點。風險監控值、目標值、閥值和實際值都來源于業務。根據企業發展階段，通過風控系統風險數據的準確性得到保證，風險指標的合理性、監控預警模型和算法得到規范，實現企業風險智能監控；企業領導層所關注的各個層面的風險展示界面清晰、快捷；企業風險點明確；風險評估、預警準確及時；為決策及管理層提供風控主題，使風控企業內閉環流轉，提高工作效率。經過大量的閉環運行，企業預警模型才能逐步完善，基于模型創建風險指標，才能實現企業風險的智能監控。風控體系建設藍圖設計使風險-內控-審計有機結合，在各項業務活動中管控風險。風控體系的建設從企業戰略目標出發，梳理業務架構，考慮影響戰略目標實現的各風險領域，在此基礎上設計支撐戰略目標實現的內控管理流程及具體控制措施。風控體系的建設應將企業已有的應用系統與風控系統集成設計。企業風控體系的建設，實際也是對企業IT系統的治理和改造，將風險點滲透到各個相關系統業務點，通過風控系統也業務系統關聯，達到風控目標。全面風險管理框架是：風險管理體系-風險管理文化-風險管理組織職能體系-內部控制系統-風險管理信息系統-風險管理績效考核。風險管理體系———風險管理文化是企業文化的一個重要部分，風險管理文化的建設應融入企業文化建設全過程，將風險管理意識轉化為員工的共同認識和自覺行動，促進企業建立系統、規范、高效的風險管理機制。風險管理文化需在企業內部形成共同的風險語言，在各個層面營造風險管理文化氛圍。風險管理文化建設應與薪酬制度和人事制度相結合，有利于增強各級管理人員特別是高級管理人員風險意識。建立重要管理及業務流程、風險控制點的管理人員和業務操作人員崗前風險管理培訓制度。采取多種途經和形式，加強對風險管理理念、知識、流程、管控核心內容的培訓，培養風險管理人才，培育風險管理文化。風險管理體系———風險管理組織職能體系第一道防線，有關職能部門和業務單位。提出這道防線，最大好處是把風險管理的手段和內控程序融入到了企業的各業務單位的工作與流程中，防止風險管理與各業務單位的工作脫節，搞“兩張皮”。第二道防線，專職風險管理職能部門和董事會下設的風險管理委員會。在進入全面風險管理階段，設立這道防線，有利于統一組織領導，統一策略與標準，共享人力資源。第三道防線，審計委員會、內部審計部門。風險管理體系———內部控制系統從企業戰略出發，以風險為導向，通過評估、改善與提升、監督的方法維護公司內部控制系統的有效運作，實現內部控制的五個目標：合理保證企業經營管理合法合規、資產安全、財務報告及相關信息真實完整，提高經營效率和效果，促進企業實現發展戰略。風險管理體系———風險管理信息系統：風險管理信息系統需包括信息的采集、存儲、加工、分析、測試、傳遞、報告、披露等。風險管理體系———風險管理績效考核,各有關部門和業務單位應定期對風險管理工作進行自查和檢驗，及時發現缺陷并改進，其檢查、檢驗報告應及時報送企業風險管理職能部門；企業風險管理職能部門應定期對各部門和業務單位風險管理工作實施情況和有效性進行檢查和檢驗，對風險管理策略進行評估，對跨部門和業務單位的風險管理解決方案進行評價，提出調整或改進建議，出具評價和建議報告，及時報送企業總經理或其委托分管風險管理工作的高級管理人員；建立內控考核評價制度，把各業務單位風險管理執行情況與績效薪酬掛鉤。

6結論

企業風險管控的內容范文3

近幾年來，隨著互聯網思維與信息技術被大規模地應用于企業管理，傳統的審計方法已經很難滿足企業對業務和信息系統的管控需求，尤其是審計人員在面對由ERP系統生成的海量數據時已經變得束手無策。因此，將企業管控、風險管控與企業信息化進行高度融合，形成一套在信息化條件下的、新型的、有效的風險管控落地模式，已經成為業內的共識。但如何真正的應用大數據技術，實現風險管控落地，是業內當下需要解決的首要問題。

審計行業正面臨技術革命

在中國，傳統審計領域一直采用的是政府審計、注冊會計師審計、內部審計三位一體的審計監督體系。上述三種審計形式從技術方式、方法演進的角度看，每年都會有長足的進步，但是隨著環境的變化，傳統的審計手段已經遠遠跟不上時代的步伐。為了應對新的挑戰，政府審計領域率先引入計算機審計技術，啟動了“金審工程”，投入了大量資源，并要求所有政府審計人員學習計算機技術，這也拉開了審計技術革新的序幕。早期接受計算機培訓的審計人員在面對ERP系統時能夠應對自如，并且能夠在審計思路上進行及時的調整和主動創新，尤其是能從數據角度考慮問題。但是比較可惜的是審計技術的革新沒有傳遞到注冊會計師審計、內部審計，導致二者的審計技術和手段嚴重落后于政府審計的發展。

早年，筆者曾經參與了審計署“金審工程”與財政部監督檢查系統的設計和開發工作，也參與了計算機環境下的審計技術等相關的培訓工作，培訓內容當中就涉及了大數據審計模型和數據監控。在筆者看來，國內整個審計行業在推動大數據思路轉變方面，審計署的貢獻是最大的。中國的金審工程是2002年7月開工的，距離《紐約時報》2012年2月發表那篇代表“大數據時代”已經降臨的專欄早了十年時間。所以，甚至有人說，國內的大數據應用最開始是從審計開始的，而這種說法的根據是：為了讓審計監督實現從事后到事中、從靜態到動態、從現場到遠程的總體監督目標，“金審工程”有針對性地開發了在線審計系統、聯網審計系統。其中，聯網審計系統實際上就是當下大數據監控系統的雛形。

審計署原署長李金華曾經說過一句話：“如果審計人員不學計算機，將失去審計資格。”當時給審計行業帶來的震撼非常大?，F在，面對“互聯網+”和大數據給審計行業發展帶來的新挑戰，筆者認為，企業風險管控和審計人員不了解大數據技術，將失去對企業風險管控的能力。

中國企業，要想真正形成風險管控能力，必須從兩個方面入手：第一是風險、內控、審計手段的融合，第二是在大數據技術構建的環境下探索風控技術手段的創新。而審計行業在大數據技術構建的環境下，必然面臨技術上的革命。

風險、內控、審計融合成為必然

毋庸置疑，風險、內控、審計融合的業務模式是未來企業管控的大趨勢。但三者如何融合呢？

針對企業管控，風險是事前預判，內控是強化過程管控，審計是業務事項的確認，三種手段正好可從事前、事中、事后三個階段和維度，對業務事項進行管控，形成三維一體的全過程管控。其實現過程如下。

首先，在風險管理方面，風險是指可以識別的不確定性，識別風險是一個事前預判的手段，而到了抓取風險的時候，我們就需要從分析外部和內部的風險源出發。外部風險源分析可以識別企業和業務的戰略風險、市場風險，進而形成管控風險的預判機制；內部風險源分析可以識別企業管理與業務的內部風險征兆，從而發現企業管理層面風險、業務層面風險和專項風險，在這個過程中使用的外部行業數據和企業內部數據，與內控、審計相同。因此，筆者認為有必要把這些管控風險的手段整合，形成管控企業的合力。

其次，在內部控制方面，企業內控目前采取的有效措施應當是“以評促建、以審促評”。傳統的“內控構建、內控評價”循環模式經過實踐證實效果甚微，所以需要針對企業內控體系采取兩種新手段進行循環：第一是內控評價，第二是內控測試（也即內控審計）。這兩種手段有一個共同的特點，那就是都會針對企業業務流程和業務結果進行穿行測試和審計，使用的數據源也都是企業內部數據。據此思想，華博風控在內控系統中全面融入了評價、測試、問題、疑點、工作底稿等功能，實現在做內控的同時發現企業存在的問題，將內控和審計做了高度的融合。

最后，在內部審計方面，內部審計的實際作業過程主要是鎖定審計區域、搜集審計證據。內部審計所使用的數據源與風險、內控相同，由于近幾年審計技術和方法的飛速發展，大數據技術的出現，可以通過將審計方法進行高度復用形成智能化的監控模型，實時地對企業數據進行監控，有效地形成企業監控的自動化，這種創新的審計手段同樣也是實現風險管控落地的手段，也證明了審計、風險、內控在工具上是可以復用和整合的。風險、內控、審計的有效融合，改變了企業因同時使用各種手段后陷入的各自為政、功能互相重疊、風控落地效果不佳的狀態，不僅提高了企業風險管控的能力，也極大地降低了企業的投入成本。

大數據技術顛覆傳統審計方法

企業風險管控的內容范文4

關鍵詞：風險導向；企業；內部審計

前言

現代風險導向審計模式在企業內部審計領域得到了日漸廣泛的應用?，F代風險導向審計模式，是指在企業審計過程中，內審員將企業潛在的風險作為導向，并對風險進行科學分析和準確評估，將其結果作為依據，對審計重點進行確定，在此基礎上對企業風險以及內部控制等進行評價，并提出行之有效的解決方案，促進企業良好實現管理目標，并增強自身的綜合效益。

一、現代風險導向審計模式下的企業內部審計流程

基于現代風險導向審計模式的企業內部審計，主要包括如下流程：

1.審計準備

企業在實施內部審計前，企業設置的內審部門要對審計工作的具體目標進行確定，并根據實際情況科學調整。在審計準備過程中，內審部門不僅要對審計工作具體目標進行確定，還要對企業風險進行有效識別；對審計工作的詳細計劃進行編制；對審計重點進行確定。在該階段，內審員要充分考慮如下因素：企業發展目標、企業戰略經營潛在的風險、企業具體性質、企業會計政策、企業內部控制以及企業財務業績等[1]。

2.審計實施

在審計實施過程中，企業內審要將識別的企業風險作為依據，科學評價內部控制管理各項制度，并對管控外風險進行確定。企業內部控制通常無法對管控外風險進行有效的預防控制。對此，內部審計要通過有針對性地策略，諸如風險轉移、風險回避、風險承擔以及風險降低等對此類風險進行專門審計和有效應對[2]。

3.審計終結

在該階段，內部審計工作人員要對企業潛在的各類風險實施科學評估，并對所收集的相關審計證據進行系統整理和科學評價，及時發現內部審計中存在的問題，并提出具有較強針對性的審計建議，還要對審計報告進行出具[3]。另外，要針對企業存在的各類風險，提出行之有效的應對策略。

4.后續審計

企業內部審計部門在對審計報告進行出具后，仍需開展后續審計。內審員要對審計報告中的各類問題及相關建設進行有效跟進，對各類風險進行恰當處理，并執行科學合理的應對措施，并開展最終效果評價。內審員在開展內部審計的過程中，要高度重視企業潛在的風險，對于較小風險，可實施簡單討論。

二、現代風險導向審計模式下企業內部審計存在的問題

1.缺乏良好的風險意識

多數企業在實際發展過程中，片面注重對經濟效益的最大化追求，相對忽視了企業潛在的各類風險，缺乏良好的風險意識。多數企業未能深刻認識到日常經營管理中存在各類分別風險，忽視內部審計和風險管控。

2.缺乏完善的風險管控機制

當前，多數企業基于風險導向模式實施內部審計，并加強了風險管控。但從總體上來看，多數企業尚未形成系統完善的風險管控機制。這就導致內部審計工作人員在實施內部審計過程中，即使發現企業存在的風險，也難以通過有效措施對之進行及時預警和有效管控，難以提出針對性較強的解決方案。另外，企業對于各類風險缺乏科學的衡量標準和有效的處理路徑，會在一定程度上對內部審計工作的開展造成不良影響。

3.缺乏完善的內部控制制度

企業必須加強內部控制，才能確保管理層指令得到有效執行。企業內部控制與風險管理二者具有相互依存的關系：內部控制涉及的要素涵蓋風險管理內容，加強內部控制，有利于強化企業風險管理，實現對企業風險的有效降低。然而，當前多數企業缺乏完善的內部控制制度。

4.缺乏風險評估量化指標

企業想通過實施內部審計，實現對各類風險的有效控制，必須對風險評估的具體標準進行明確制定。當前，我國多數企業普遍面臨多樣化的風險，但缺乏風險評估量化指標。多數企業缺乏對風險評估量化指標進行構建的意識，在制定風險評估量化指標的過程中缺乏科學依據。這就導致企業內部審計各項工作缺乏科學指導，會對審計工作質量造成不良影響，難以取得良好的審計效果。

5.缺乏良好的信息數據庫

企業在實際運營中，需基于良好的信息數據庫，才能正確評價各類風險。這就要求企業加強對風險信息數據的長期收集和系統整理，并構建完善的信息數據庫。然而，多數企業在實際運營過程中，缺乏對信息收集的高度重視，未能構建良好的信息數據庫。部分企業雖然對信息數據庫進行了設置，但缺乏對風險信息數據庫的科學管理，且數據缺乏及時更新，難以為內部審計工作的良好開展提供有價值的依據。

三、強化現代風險導向審計模式下的企業內部審計的策略

1.增強風險意識

企業要增強自身的風險意識，深刻認識到經營管理過程中潛在的各類風險，并針對風險預防構建有效機制。同時，企業要明確內部審計工作人員在風險管控中占據的重要地位。另外，企業要強化風險審計的氛圍，對內部審計環境進行良好創設，有效增強自身承受和應對風險的能力。

2.構建系統完善的風險管控機制

企業要構建系統完善的風險管控機制，并實時基于自身的實際情況，對風險管控各項機制進行科學調整和有效完善。完成對風險管控機制的構建后，要對風險應對的全過程進行跟蹤，并及時發現和有效改正存在于風險管控中的問題。同時，企業要制定切實可行的規章制度，明確內部審計的詳細計劃和具體程序，并明確風險審計涉及的各類方法。另外，企業要構建系統完善的責任追究機制，對風險管控執行的實際情況進行嚴格考核，并對相關人員的失職行為進行懲罰，確保風險管控措施的有效落實和嚴格執行，促進各部門加強協作配合，切實履行自身職責，并從整體上促進企業業績實現大幅度提升[4]。

3.構建系統完善的內部控制機制

企業要構建系統完善的內部控制機制，要對內部控制工作進行科學設計、有效評價、合理運行和適當改進，對自身的內部控制環境進行強化，加強管理人員肩負的內部控制責任。同時，要對企業潛在的各類風險進行實時關注。另外，要對內部控制各項工作實施有效監督和科學評價。

4.構建風險評估量化指標

企業要對風險評估量化指標進行科學構建，根據大小、程度對風險進行量化，幫助企業制定科學的風險防范計劃，并有重點地實施風險防范的各項工作。企業要對風險導向審計涉及的理論知識進行靈活應用，并對企業存在的風險類型進行科學分析，深入探究風險原因，并明確風險隱患，據此采取有針對性的措施實現對各類風險的有效抵御。企業對相關指標進行設置時，審計人員要深入研究風險類型、風險發生概率以及風險漏報概率以及錯報概率，并詳細核實分析結果，從根本上實現有效的風險評估[5]。

5.構建風險信息采集數據庫

企業要對先進的信息技術進行充分利用，據此構建良好的風險信息采集數據庫，在內部審計實踐中，加強對各類現代財務方法，諸如電子化賬簿、憑證以及報表的推廣應用，通過會計電算化有效采集風險信息[6]。另外，審計部門要收集相關審計資料以及信息數據，借助計算機對之進行系統整理，確保信息數據庫實現及時的數據更新，為內部審計工作的良好開展提供信息依據。

四、結語

綜上所述，現代風險導向審計模式下的企業內部審計流程主要包括審計準備、審計實施、審計終結以及后續審計?，F代風險導向審計模式下企業內部審計存在的問題主要體現在缺乏良好的風險意識、缺乏完善的風險管控機制、缺乏完善的內部控制制度、缺乏風險評估量化指標、缺乏良好的信息數據庫。對此，要通過增強風險意識、構建系統完善的風險管控機制、構建系統完善的內部控制機制、構建風險評估量化指標、構建風險信息采集數據庫等策略強化企業內部審計。

參考文獻：

[1]周雯雯,初陽.現代風險導向審計模式下的企業內部審計研究[J].中國國際財經:中英文,2017(8):109-110.

[2]趙建華.現代風險導向審計模式下的企業內部審計策略研究[J].農村經濟與科技,2017,28(14):105-105.

[3]張新華.現代風險導向審計模式下的事業單位內部審計問題研究[J].中國內部審計,2015(9):27-29.

[4]陳先鋒.現代風險導向審計模式下的企業內部審計問題分析[J].財會學習,2017(3):136-136.

[5]劉江燕.基于現代風險導向審計模式下的企業內部審計問題分析[J].審計與理財,2016(4):15-16.

企業風險管控的內容范文5

關鍵詞：風險導向 內部控制

針對多業態跨區域經營特點，為加強企業風險管控，公司結合生產經營實際，積極探索適合企業發展需要的以風險為導向的內部控制體系建設及管控模式。經過幾年的探索實踐，增強了企業風險管控能力，提升了企業經營管理水平，為實現公司戰略目標起到了積極的促進作用。

一、建立以風險為導向的內控體系是提升公司風險防控能力的客觀需要

（一）防控風險已經成為公司管理的重要目標

世界經濟進入全球化時代，企業經營業務多元，地域分散，復雜的社會經濟環境影響著公司的經營、穩定和發展。隨著企業經營規模擴張，交易金額增大，交易頻率加快，企業面臨的不確定性因素增多，傳統的企業管理制度局限性日益凸顯。分析國內外企業倒閉或衰敗的例證，總結本公司多年經營中的經驗和教訓，無不與企業風險管控密切相關，經營過程中的風險防控已經成為企業管理的重要目標和焦點。建設和完善風險為導向的內部控制體系已成為企業防控風險重要措施。

（二）防控企業風險要靠嚴密的內部控制體系做保障

公司風險管控經歷了三個階段，一是憑經驗管理（公司初創時期），對有風險的業務選派“經驗豐富”的人去管理，經營決策靠有經驗的領導把關，被稱為經驗管控階段。二是靠單項制度控制，針對高風險業務制定專門的控制措施，做到一事一制度，方法雖然簡單，但由此步入了制度控制階段。經過一段時間摸索，積累了一套行之有效的管理制度，在規范企業管理和防控風險中發揮了重要的作用。但由于規章制度多為單項規定，程序性規定很少，標準制度沒有流程保證，且各專業部門頒布的管理制度都帶有不同程度的局限性，缺乏系統性、全局性，已不能適應企業全面風險管理的要求。三是進入了體系控制階段，為做好企業風險防控工作，公司結合不同風險特征，對現有的制度、標準和程序進行了完善，對業務流程進行了重構，提高了制度的可操作性、嚴謹性和規范性。將原有的內控制度提升以風險為導向內部控制體系，實現了風險管理多維度的體系控制。

（三）防控風險是提升公司綜合管理能力有力手段

以風險為導向的內部控制體系建設及實施，不僅提升風險管控能力，而且提升了公司的綜合管控能力，該體系明確了控制活動的對象，規范了交易活動源頭控制的業務流程，強化了控制主體責任，使公司各種經濟活動實現了全面受控。通過系統嚴謹閉環管控措施的落實，很好的與企業經營活動結合起來，逐步改善企業的內控管理，使公司綜合管理能力不斷提高。

二、以風險為導向的內部控制體系框架及做法

公司借鑒國內外內部控制實踐經驗，以COSO框架及財政部等五部委頒發的《企業內部控制基本規范》和國資委的《中央企業全面風險管理指引》為基礎，結合企業實際，建立以公司戰略為核心，以風險為導向，以責任為主線，以業務流程管控為方法，以監督與評價為手段，注重管理改進的企業內部控制管理系統。從確定內部控制體系的目標、辨識評估風險、梳理管控流程、制定控制措施、開展內控監督與評價和持續改進等五個方面，推動、構建和完善了以風險為導向的內部控制體系建設。

（一）確定以風險為導向的內部控制目標

目標設定是以風險為導向的內部控制體系建立的前提條件，在風險管理過程中是一個重要環節。首先是在設定內部控制目標的過程中，要充分考慮各種風險對企業經營管理的影響程度，把握對重大風險的判斷。其次是要根據內部控制目標設定，確定內部控制實施方案，并隨著目標改變適時進行必要的調整。三是風險控制措施根據內部控制目標的存在而確定，隨著目標的改變而改變，只有先明確了內部控制目標，才能對識別出的風險制定相應控制措施。

公司圍繞經營及管理風險，確立以資產的存在、完整、歸屬、計價正確和收益等屬性的落實為風險控制的現實目標，以實現“體系可靠、風險可控、運行可持續”為體系規劃目標?？偰繕耸牵阂試蚁嚓P法律法規為依據，以公司現有資源為基礎，以財務報告風險、法律風險、經營風險為切入點，以源頭治理和過程控制為核心，以防范風險為重點，對企業現有管理制度、職責分工、權限分配和業務流程進行全面梳理，建立起設計科學、簡潔適用、運行有效的內部控制體系，推進科學治企。

（二）建立風險數據庫

通過收集風險事件，確定公司層面風險分類和風險名稱，形成公司層面風險事件庫和風險數據庫。針對風險事件關聯性，主要收集了連續三年公司內部風險事件案例、行業內相關歷史事件和未來風險預測，包括公司相關材料記載的相關事件、內外部審計發現的問題、各業務部門存在的重大問題或隱患等。通過分析篩選，選取具有代表性的、對公司影響較大的事件共77條，形成公司層面的《風險事件庫》。

在收集風險信息過程中。按照內外部、業務板塊、部門單位等條件將各類風險因素進行分類匯總，厘清各個問題之間的因果關系，方便從整體上把握風險和機會，有助于各職能部門更好地認識和關注與其直接相關的風險。經過比對分析，確定公司各項業務、重要經營活動及重要業務流程中的風險，并予以客觀準確地表述。通過與各職能部門以及所屬單位反復溝通，識別出可能影響公司實現經營目標的風險因素，進行整理分析并編制《風險匯總表》，最終確定了公司層面風險分類和風險名稱，共4大類24個風險，形成公司層面的《風險數據庫》。

（三）識別與評估風險

風險是指可以識別的不確定性事項，它能對企業經濟利益造成有利或不利影響，其來源及影響具有不確定性。風險評估的目的是對影響公司的不確定性因素進行識別，對其進行科學評估、量化，指導對不確定性因素的把控。

風險識別是風險評估的基礎，其結果直接影響著整個風險管理流程的節點設置，公司各職能部門及所屬各單位運用確定的風險識別方法，結合內外部風險事件信息，對本部門及本單位業務涉及的風險事項進行識別、歸類，在分析的基礎上確定本部門及本單位公司層面、業務活動層面、信息層面的風險。根據各部門及各單位識別出的風險，進行分類整理、分析匯總，確定公司存在的各類風險。

風險評估。在編制公司層面風險事件庫和風險數據庫的基礎上，根據獲得的歷史數據和行業資料等信息，查找風險發生的內外部原因，組織開展公司風險發生的可能性及影響程度評分分析，對公司層面24個風險發生的可能性和影響程度進行評分，并計算個體評分的風險值。按照風險評分人員的業務能力、技術水平和工作經歷等，對參與風險評分人員劃分類別，設置相應權重，并采用加權平均的方法計算風險等級分值，評估公司面臨的風險。按照上述方法計算24個風險的加權平均風險值并排序，依據公司風險等級標準，確定公司層面重要風險12個。

（四）梳理管控流程

按照《企業內部控制基本規范》，遵循內部控制體系固定的框架及文本模板，編制組織結構圖，描述部門及崗位職責，建立起業務管理流程。公司針對確定的各類風險，按照規范及重要性原則，以實現業務不交叉、管理不重疊和責任不遺漏為前提，實現各類資源的優化配置，提升管理效率和市場反應速度，防控風險的目的。業務流程管理遵循風險導向、業務驅動、規范描述和強化執行的原則，突出流程與業務與管理的深度融合，將業務操作、管理制度、工作職責和信息化建設有機結合起來，形成了脈絡清晰的流程架構。公司共梳理一級流程22個，二級流程165個，三級流程553個。設置318個風險點。建立了一套清晰順暢、完整嚴密的業務及管理流程體系。

（五）制定控制措施

根據風險評估的結果制定控制措施是內控體系的關鍵環節，一是要針對重要業務流程，分析控制重點，按照公司各項規章規章制度，制定控制措施。二是參照《企業內部控制基本規范》，查找現有控制措施中的缺項和遺漏，設計改進措施方案。三是落實相關部門和責任崗位，固化到內部控制的各環節中。四是根據控制措施的描述，補充相關管理制度，完善以風險導向的內部控制體系的各項控制措施。五是對公司層面的控制主體、信息系統和內部監督等總體控制進行系統銜接，形成完備的內部控制措施體系。

制定公司層面風險管理策略。各責任部門根據風險的定義、影響因素及風險表現，結合本業務的風險偏好，確定應對風險的具體策略。根據業務流程確定風險領域和風險源，依據風險源來找尋關鍵風險成因，并確定相應的風險預警指標數值或區間，從控制風險的目的、組織、方式和監督等方面制定風險管理策略70條，關鍵控制點240個，制定控制措施368條。

基于風險導向的內控體系是以風險識別、評估為基礎，進而分析、設計和實施內部控制的風險管理行為，亦是以流程為載體，管理界面、崗位職責、管理權限和控制措施清晰，滿足風險控制要求及涵蓋經營管理全部業務的內部控制體系，是公司實施對風險有效管控的制度保證。

三、以風險為導向的內部控制體系的運行管理

內部控制體系重在建設、關鍵是執行。公司在內部控制體系的建設過程中，根據內部控制體系建設總體要求，統籌安排各項具體工作。公司對頒布《內部控制管理手冊》、內部控制體系組織實施、內部控制體系監督、測試、評價及改進等工作進行了周密部署，提出了加強內部控制環境建設的要求，制定了打造內部控制支持系統的具體措施，確定了內部控制體系推行的階段性目標。

（一）頒布并全面實施內部控制管理手冊

按照內部控制體系建設總體實施方案，公司把內部控制體系的執行作為內控管理的關鍵環節來抓。落實過程中，一是由公司總經理簽發，以公司文件形式頒布內部控制體系實施令，確保內部控制管理手冊的權威性和各單位、各業務層面及各管理崗位的全面執行。二是充分考慮企業整體經營管理現狀，采取近期目標和遠期目標相結合，優先解決風險管理中的薄弱環節，突出對重要單位、重要業務、重要流程和重要風險點的管控，實現將企業的風險控制在合理水平的目標，力求取得控制實效。三是根據公司業務發展的不同階段，在內部控制基本手冊推廣執行基礎上，結合海外后勤服務和房地產開發業務的特殊管理需要，分別編制公司海外后勤服務和房地產開發業務內部控制分冊，在相關業務領域實施。四是統籌公司總部、各單位和各經營業務內部控制管理手冊執行的管理，疏通內部職能部門之間、上下游業務之間及橫向同級單位之間的流程管理接口，形成較為暢通的運行管道，使內部控制管理體系的管控觸角橫向到邊，縱向到底，不留死角。

（二）編制年度風險管理報告，實施風險動態評估

公司為推動以風險為導向的內部控制體系建設，使風險管理向規范化、科學化和常態化方向發展。公司每年開展一次包括所屬單位在內的風險管理報告編制工作，完善企業重大風險管理報告機制。一是強調全面反映本單位存在所有風險，明確面臨重大風險，剖析風險產生的原因，反映造成直接和間接經濟損失的量化指標，以及對企業的影響程度。二是報告內容要突出風險管理的動態、量化和信息化控制目標。三是對公司重大風險，要明確責任單位和人員，提出風險管控要求，完善風險應對措施，建立風險預警指標體系，合理配置管控資源，確保重大風險管理責任到位。

公司每年編制并風險管理報告，拓展對企業風險認識的深度和廣度，并以風險管理報告為抓手，對重大風險統籌管控，確定管控目標，明晰管控措施，制定管控責任，實現對公司風險評估的持續推進和對風險的動態監控。

（三）開展內部控制體系運行控測試及評價

按照內部控制體系建設總體要求，公司依據《公司風險管理與內部控制體系評價管理辦法》每年一次對內部控制體系運行情況進行測試及評價，并出具對風險管控體系設計科學性與運行有效性的評價結論。測試主要圍繞公司層面，包括職業道德、高管基調、權利及責任分配、舉報與違規處理、反舞弊程序和控制；業務活動層面，包括財務管理（資金管理、資產管理、會計核算、財務報告）、物資管理、合同管理；信息系統層面，包括控制環境、信息安全、變更管理、項目管理、日常運維和最終用戶操作等六個部分進行測試。并根據公司主營業務，對重要業務流程進行跟單和關鍵控制測試，同時對電子表格的內容、密碼保護、保存地點、變更和備份等進行符合測試。

通過持續開展內部控制體系的運行測試、內部控制審計和內部控制綜合檢查，全方位督促內部控制體系的落實，切實提高了內部控制體系的運行效果。幾年來，公司層面風險由4大類24個風險，下降為3大類12個風險。公司內部控制體系運行總體評價一直保持在“良好”以上水平。

（四）持續修訂完善《內部控制管理手冊》

針對公司經營業務變化調整和企業管理提升，不可避免存在已實施的《風險管理與內部控制管理手冊》與企業發展及管理強化不相適應的矛盾。因此，要保證內部控制體系持續有效運行。一是根據國家法律法規等政策調整，對內部控制體系的合法性控制條款進行補充修訂，增強內部控制體系條法約束。二是在公司經營和管理等環境發生重大變化或部門職責、流程和人員等發生調整時，及時對涉及的相關業務流程重新進行梳理、評估及修訂，并適當增加關鍵控制措施。三是針對內部控制體系評價中發現的管控缺陷和提出的管理建議，制定切實可行的改進措施和方案，對管控體系進行持續完善，優化控制措施，形成內部控制提升管理、管理推動內部控制的互動機制。四是在總結海外后勤基地服務和房地產開發業務內部控制管理分冊運行成果的基礎上，加大對包括酒店物業等公司內部控制手冊分冊的編制和推廣力度，增加內部控制手冊專業分冊的覆蓋面，提高特殊專業領域關鍵控制措施的針對性，增強控制效果，推進公司內部控制手冊向專業化管理方向發展。

公司通過以風險為導向的內控體系建設實踐，企業員工風險意思普遍增強，風險管控措施得到了較好的落實，企業風險得到了有效控制，內部控制管理能力大幅提高，公司以風險為導向的內部控制管理為企業效益提升和穩步發展做出了積極的貢獻。

參考文獻：

[1]《企業內部控制基本規范》.

[2]《中央企業全面風險管理指引》.

企業風險管控的內容范文6

城市軌道交通事業投資量大，建設運營要求精細。自其誕生之日起，廣州地鐵便伴隨著線路規劃、資金使用、建設及運營安全等高風險事項，風險管控自然成為廣州地鐵賴以生存和發展的基石。作為風險管控體系中的核心，風險導向型審計方式則通過內控評審方式挖掘企業各流程的風險點，并對風險點進行影響程度評價，提出管控意見，使得廣州地鐵風險管控―二道防線對業務的管控力度得以有的放矢。廣州地鐵風險導向型審計在企業風險管控上的風向標作用日趨明顯，工作經驗得到企業高層及同行的高度認可。

打造“三道防線”

廣州地鐵結合“三重一大”的要求，完善分級決策機制。包括檢大事項范圍、決策機制和流程，明確責任主體，完善黨政聯席會、總經理辦公會等會議制度，有效地提升了決策效率并對重大決策形成有效的制約機制；通過分級授權和備案制度，明確總公司相關決定權的授權條件、內容，以及相應報告責任；對所屬的39個關鍵業務及管控流程、近百項重大事項，明確了對下屬部門及全資子公司的授權權限，并監督運營事業總部等主要業務單位在具體的業務流程中逐步細化授權，落實崗位權限；通過《分級授權管理辦法》等文件，規范分級授權制度，定期進行權限調整，以及授權執行情況和業務備案的檢查監督，確保所授權力的實施得到監督、檢查和糾偏。

改制為集團公司后，公司的風險管理組織將進一步完善：董事會將是公司重大風險最終決策者和監督者，對公司全面風險管理有效性負責。董事會下設審計與風險管理委員會，將由5名董事組成，且主要由外部董事組成，主要負責審計與風險管理職能相關制度、體系的建立及完善，以及全面風險管理及內部審計有關管理文件的審議。

在最高決策機構黨政聯席會以及審計委員會的指導下，圍繞監察審計部風險導向型審計工作，逐步建立起適應廣州地鐵企業的風險管控三道防線體系。

?第一道防線是各級業務管控部門，按業務劃分自成體系，根據企業管理部及監察審計部的指導實施風險的具體防范工作。

?第二道防線是企業管理部風險管理模塊，統籌整合企業風險管控工作，確保廣州地鐵各業務模塊的風險管控模式保持一致。

?第三道防線是以監察審計部為主導的監管體系，評價各部門及第二道防線的風險管控工作效果，以普視企業整體的角度對風險管控進行整體監控和評價，確保各級單位的風險管控始終能保持與企業的戰略方向一致。

如圖1所示，安全監察部根據企業管理部對建設運營安全風險的偏好設計及評價防范標準，針對性地統籌具體實施工作，并將具體任務落實到運營總部的安全技術部及建設事業總部的質量安全部，再由兩個部門分別根據具體業務的風險管控任務分配至各一線生產部門，而各一線生產部門則將安全生產及風險管控的責任細化到各分部、室及車站，并設立相關負責人。監察審計部則通過審計項目發揮風險點梳理及預警功能，通過定期的審計項目對各業務部門的業務流程、風險點及控制措施進行梳理和監察，對于經營生產過程中的重大風險實現，則通過專項審計項目加以重點關注。

第一道防線：運用健全完善的專業風險控制手段，防范風險于未然

廣州地鐵在具有重要風險領域的各業務部門中建立了卓有成效的專業風險管控體系，工程建設風險、運營組織風險、物資采購風險、安全風險等管理和防范等工作走在了國內軌道交通行業的前列。

廣州地鐵不斷規范業務流程，撰寫出版了多個專業的操作手冊和培訓教材，固化了各個崗位上的工作程序及風險防范要點，使新員工能在最短的時間內掌握技術要領及崗位防線防范手段，大大提高員工崗位操作規范性和可靠性。同時，將專業風險管理與實現經營目標相聯系，不斷持續、系統分析經營活動中的風險，動態制定風險應對策略。

對于重大風險建立三級控制方案，一級為日常制度、流程和專項方案等予以規范和引導；二級實施預警，由部門啟動跟蹤分析；三級為應急預案。目前已經建立了21個應急預案，可應對特殊氣象、消防、大面積停電、恐怖襲擊等各個風險。有關預案由歸口管理部門定期組織調整和演練。

設立了安全、技術、預算等專業委員會和招標領導小組，分別由分管領導負責。利用會議機制，促進專項風險信息暢順溝通，在檢查工作和部署任務的同時，通報、協調各類風險，將問題解決在萌芽狀態；對于有關安全等的危急事件、突發事件，總公司建立了緊急事項管理機制，以最短的時間解決問題。

第二道防線：緊跟企業發展，組織新業務風險評估工作，發揮牽頭整合功能

在不斷積累總結現有專業風險管理和內控管理的基礎上，廣州地鐵通過全面風險管理試點，逐步提升風險防范工作的系統化和標準化，并且通過長效管理機制持續改進，確保其PDCA管理閉循環的形成。

隨著廣州地鐵的多元化發展，風險管控著眼點也逐步從穩定的傳統業務轉移到房地產、設計等新業務上。而房地產開發業務是未來發展高作為及高挑戰的結合點，2010年，將其作為試點業務開展全面風險管理工作。

在把握行業普遍風險的同時，針對投資機會研究與立項、項目投資決策、土地獲取、項目前期策劃、項目報批報建管理、項目設計、工程施工及進度管理、安全健康環保管理、采購供應鏈管理、項目竣工驗收、房屋銷售管理等房地產開發業務重點環節進行深入的調研分析和研究，深入挖掘重大風險在公司主要表現狀況及關鍵原因，為公司集中精力應對風險提供方向。同時，以房產事業部風險清單為基礎，將公司層面的風險分層細分至業務活動層面。針對業務活動層面風險，規范業務流程，制定業務活動層面風險應對措施及管理政策和程序，并確保已確定的控制行為得到恰當的執行?？偣緦⑼ㄟ^自建和巡檢，定期總結分析風險反應方案、控制措施的有效性和合理性，結合實際不斷修訂和完善。

第三道防線：圍繞風險導向開展內審工作，充分發揮線監督評價功能

作為廣州地鐵全面風險管控的發起者和評價者，風險導向型內審模式體現為“風險評估一審計計劃一以風險為導向擬定實施方案一以風險為導向評價審計發現―跟蹤審計整改落實一風險再評估”的內部審計閉環系統。

1、風險評估一審計工作風向標。引入“風險導向”理念以來，廣州地鐵改以企業風險源為風向標的計劃編制方式，主要分四步實施：第一步，戰略分

析，確定影響戰略實業的主要業務方向；第二步，確定風險因素，分析影響業務目標達成的風險因素；第三步，風險評估，即分業務模塊制定風險評估標準表將風險量化，對各項業務進行風險評估；第四步，根據風險評估的結果，結合管理需要、可使用審計資源和項目可實施性等幾大因素，將評估對象的風險與審計評價管控成本直觀地反映到彩虹圖中。其中，A區為優先考慮的項目，B區的項目即是公司需要考慮是否要委外實施的項目，C區和D區是不進行審計的，但仍需要采取其他的方式跟蹤關注的領域。

2、風險評估標準一審計工作的坐標圖。廣州地鐵對于固有風險和剩余風險的評估主要從以下幾個方面考慮：一是選擇對某一風險影響大的幾個因素；二是對選出的維度按標準進行打分，對于每一個維度確定打分范圍；三是采用從高原則得出綜合評分；四是固有風險等于綜合評分與可能性評分的乘積，剩余風險為第三步的綜合評分。對于可能性評估從兩個方面考慮：一是區分風險事件是大型災害類還是日常運營類，并估計風險事件發生的頻率；二是根據風險事件的類型和頻率，按照風險可能性評估標準確認所處的可能性級別。

3、評估結論一審計重點對標。在明確企業的風險偏好及評估標準之后，審計人員主要通過收集歷史信息、訪談、查閱資料等方式掌握被審計項目的信息，再根據審計人員的職業判斷，得出審計項目風險評估結論。并將風險評估結果反映到MARCI圖上。

例如，在運營票務收入保障審計評估項目中，公司首先根據已建立的風險評估標準對票務流程存在的風險進行評估，獲得了風險分布的MARCI圖。然后，補充考慮了票務收入的漏管模型，2007年開展的三四號線票務收入保障審計項目等相關的信息，對票務收入風險評估結果進行一定程度的修正，最終確定售票流程、充值流程、扣值流程、退票流程、收入結算流程、清分流程和財務會計入賬流程等7個業務子流程為本次審計實施的重點。

4、風險理念一審計項目主線。風險評價及防范是風險導向型審計模式的工作宗旨。在審計項目實施過程中，審計部門通過審前調查，將評價出的關鍵風險點與被審計者或風險管理人員進一步討論確認，根據雙方的討論結果確定審計內容的先后順序及其手段和方法，明確審計力量投入的重點，實現更有效地利用資源，提高了內部審計的有效性。

另一方面，在評價審計發現問題的重要性時，也會運用到風險評估手段。一般情況下，廣州地鐵會參照前文述及的風險模型和風險評估標準，從定性、定量兩個方面來評估審計發現風險高低程度。高風險的領域是審計部門優先督促整改的區域。

5、調整策略一實現風管閉環。根據審計發現對被審項目的審計方式進行風險再評估，調整下年度的審計策略，實現風險管理閉環。審計過程就是風險評估過程，每一次審計的結果都將與被審計單位溝通，督促其根據風險點評估及應對建議付諸管理改進，并被運用在下一年度甚至未來若干年度的審計計劃擬定工作中，以指導審計人員確定下次對該風險點的審計時間、重點和工作方式，通過這樣的一個風險管理閉環，使得審計工作在一些高風險領域成為一項常態的工作，從事后審計變成了全過程審計，達到了通過審計工作促進風險管理關口前移的效果。

立足現在，放眼未來

經過幾年的發展，廣州地鐵不僅落實了突發事件應對預案等風險事后控制的具體措施，而且更加注重在事前及事中的防范。各項防范和應對措施在2010年亞運會期間發揮了重要作用，有效控制了短期內6線開通、超出最大運力數倍的客流高峰等重大的風險事件。

亞運會前期，廣州地鐵創紀錄地在半年內開通運營6條新線，運營事業總部在開通運營前期實施了線路開通風險評估工作，制定了風險應對措施，保證了各層級人員及時了解運營新線開通情況、風險情況，統一實施有針對性的風險控制措施，確保開通目標順利實現；另外，在廣州地區實施地鐵公交免費期間，廣州地鐵日均近800萬人次，遠遠超出了地鐵最高運力，運營總部通過事先進行風險評估設定準確的應對策略，高效應對了超大客流考驗。

到目前為止，廣州地鐵236公里，911.58億元的投資建設主體工程未出現違法現象；自開通運營以來超過3000天的運營時間內，未出現過一件重大事故，充分體現了廣州地鐵“全面風險管控”的巨大作用。

未來廣州地鐵經營管理的手段、經營管理的重點都將與風險評估緊密聯系起來。這一新的發展趨勢也為以風險導向型審計為核心的全面風險管理體系業務未來的發展提出了新的要求，更為風險管理審計業務提供了新的擴展平臺，即進一步發揮審計部門廣闊的視野和對企業的深入了解，通過融合風險管理審計及內部控制審計業務，實施對全面風險管理體系的日常監督，并對實施效果進行評價，提出改進建議，反哺于第―二道防線。

具體審計工作開展步驟可依據全面風險管理的核心步驟風險識別、風險評估、風險應對依次展開，而針對內部控制的審計將作為對風險應對審計的一項重要內容。

風險識別。在這個階段，風險管理審計的工作是對風險識別過程及結果進行審計評價，同時也需要對風險識別結果作出獨立判斷，并針對諸如“識別程序不恰當”、“重大風險未識別”等發現提出審計意見。目的是保障企業面臨的內、外部風險已得到充分、適當的確認。

風險評估。在這個階段，風險管理審計的工作是對風險管理部門開展的風險評估工作進行監督評價。包括風險評估程序、風險評估標準和風險評估結果。并重點考慮：①已識別的風險的特征；②相關歷史數據的充分性與可靠性；③管理層進行風險評估的技術能力；④成本效益的考核與衡量；⑤其他。經過這個階段后，更新的風險評估結果也將作為審計部門在風險應對階段開展內部控制審計的基礎。

風險應對。在這個階段，風險管理審計的工作是對風險管理部門開展的風險應對工作進行監督和評價。這包括了對風險應對方案設計的監督評價以及對風險應對方案實施的監督評價。一般根據風險評估結果作出的回避、接受、降低或分擔風險應對措施。

廣州地鐵以風險智能為目標，在對全面風險管理研究評級的基礎上，尋找風險管理建設短板，提出有針對性的建設方案，初步確立了“由點到面、循序漸進、逐步深化”的工作思路，擬分四個階段推進風險管理體系建設。

第一階段，結合公司改制及國資委要求，開展風險管理組織體系調整，設立董事會領導下的風險管理委員會，將黨政聯席會“確定風險管理職能部門，明確公司各部門、各相關單位的風險管理職責”等職能調整至董事會，進一步結合架構改革及國資委對上市公司的要求完善三道防線的風管組織體系。并以總公司本部和一個下屬業務板塊進行試點，形成更加成熟的風險管理推廣的模板和樣本。

第二階段，將試點業務的風險評估工作，與公司總部風險評估進行整合。并逐步將風險管理與內部控制進行整合鏈接，以風險為導向推動內部控制流程的持續改進。