俞 轩

一、引言

随着经济多元化，行业间竞争愈演愈烈，企业要谋求生存，面临很大压力，企业管理者开始重视企业内部风险管理的重要性。由于企业内部存在不同业务流程，亟需设立一个部门，对不同业务中的风险点进行审计验证，内部审计应运而生，催生了风险管理审计。

2005年，中国内部审计协会发布了《内部审计具体准则第16号—风险管理审计》，提出内部审计参与风险管理可以帮助组织更好地实现目标，强调内部审计师负责审查和评估风险管理，同时对企业风险管理审计应遵循的原则、重点评价领域、风险应对措施、审计评价考虑因素等方面做出阐释。该准则的出台意味着中国企业的风险管理审计进入了一个有据可依的新篇章。

企业风险管理审计已成为企业发展的趋势，为企业实现经营目标提供了更好的保障。但我国各个企业所面临的风险因其行业特征千差万别，企业负责人在选择风险管理审计实施路径的时候要勇于跳出传统的审计思维模式，有必要根据公司的具体运作情况制定风险管理审计体系，以防止风险管理失误。因此，本文选择风险管理审计的实施阶段作为研究对象，借鉴国内外的理论和实践，希望通过研究，为我国企业内部审计发展发挥一定指导价值，使企业朝着良性发展的方向经营。

二、风险管理审计的实施阶段

风险管理审计是企业风险管理不可获取的内容，一般采用系统化、标准化的方法监控风险管理，定性或量化评估企业风险管理的效果，从内部帮助企业完成战略目标。根据内部审计的一般程序，本文将风险管理审计程序划分为准备阶段、计划阶段、实施阶段、报告阶段和后续审计阶段。本文将详细阐述风险管理审计的实施阶段。

（一）审查与评价风险管理机制

企业内部的风险管理机制使企业的风险管理具象化。各企业的风险管理组织体系必须考虑其行业特征、公司规模、当前的风险等级和管理水平等必要因素。该体系不仅包括专门的风险管理部门，还要包括确定与风险管理职责相关的部门，风险管理职责应细化到每一个岗位，形成职责说明书，明确员工在各岗位内容和责任，确保能够有效展开风险管理。该体系还应根据企业不同发展阶段所面临的不同风险，对体系进行动态调整，通过完善制度保障，有效执行体系。因此，风险管理审计的首要程序就是内部审计人员需要检查风险管理机构的健全性，以及风险管理体系内的各个员工所承担责任的合理性。

（二）审查与评价风险预警系统

创建风险管理机制的目的是降低企业经营过程中面临的风险，风险管理的首要任务应建立风险预警系统。系统通过对公司面临的风险进行全面和科学的预测分析，预测潜在风险，由风险管理组织系统的所有部门采取有效措施来应对。早期风险预警系统的设置不仅需要考虑对管理目标的影响程度，同时还要兼顾风险识别中潜在风险因素的影响。从内部审计部门角度出发，风险预警系统的审查和评估主要包括：风险预警系统中的指标设定和权重设定是否科学合理；风险预警系统是否围绕风险的识别、分析和评估；风险预警系统的内容存在过度干预或干预不足的风险。

（三）审查与评估风险识别、分析和评估机制

在对风险识别，分析和评估机制的审查和评估时，应细致检查各部门的风险识别、分析和评估的设计机制，确认机制的完整性，基于此再提出相应的改进建议。对于风险识别审计，重点关注公司是否已建立统一的风险语言；风险识别是否包括企业结构过程中面临的所有风险； 风险的分类是否合理恰当。对于风险分析和评估的审计，应关注风险损失的确定、权重的分配、计量的范围和依据是否科学合理；风险分析和评估的程序和方法是否科学有效。

（四）审查与评价风险应对措施

风险应对措施的审查和评估涉及风险规避措施、风险接受措施、风险降低措施以及风险转移措施四大类措施。企业通过变更计划消除风险和风险发生的条件，减少损失的可能性，实现规避潜在风险的损失。内部审计人员在对此进行审计需要考虑的因素是规避风险的措施是否可行，方法是否具有经济性，某一风险的消失是否会引起其他风险的产生。内部审计部门需要考虑企业维持该风险的成本是否高于承担风险的成本，若大于，是否可以选择其他措施补偿承担该风险的成本；还有一种间接的风险应对措施：风险有意识地转移到与其有经济利益的关联方，因此风险由另一方承担。这种情况下，更注重在企业外部与其他关联方的合作。内部审计机构应重点审计风险转移成本的是否在可承担的范围之内，所选取的关联方是否是最佳选择。

三、风险管理审计实施阶段存在的问题分析

（一）企业风险管理审计机构缺乏独立性

目前我国大型企业的内审部门组织层面隶属于企业的职能部门，企业中的内审机构流于形式，极大影响了审计的独立性。企业的风险管理系统不仅包括专门的风险管理部门，还应包括与识别风险管理职责相关的其余部门。在领导主体不明的情况下，各部门及相关人员难以界定清晰的工作职责，明确风险承担的主体，部门间容易相互推诿，风险管理框架难以得到有效实施。

（二）企业缺乏健全的风险管理审计评估体系

我国的风险管理审计起步较晚，少数上市公司、国有企业采取了部分风险管理措施，多数企业缺乏合适的风险管理体系，达不到随企业发展阶段不同对该体系进行动态调整的高管理水平。在实际运营过程中，通常会根据风险管理部门对风险的认知或企业历史状况为标准建立风险管理系统。同时，特定的风险管理对象缺乏不同的风险管理体系，导致我国企业风险管理水平难以提升。

（三）企业风险管理审计人员知识结构单一

现代的企业风险管理审计是一个知识交叉领域，不仅要求审计人员具备审计专业知识，还要熟练掌握风险管理的知识。审计人员只有摸透风险的成因，才能高效展开风险管理审计，降低企业风险，最终实现企业增值。企业风险管理审计对综合性的高要求，决定了内部审计师不仅要具备审计专业知识和能力，还要全面了解公司的生产和经营活动，具备较全面的知识体系。但中国大多数企业内部审计师的综合素质相对较低，难以满足企业对审计人员的需求，难以借助他们的专业技能发现企业的深层次问题，影响了风险管理审计职能的发挥。

（四）企业风险管理审计方法落后

我国企业内部审计部门较西方国家更晚借助计算机技术辅助审计。许多国际公司已使用大量的统计模型、远程控制和其他方法来进行风险管理审计。与西方的先进企业比，我国的企业风险管理技术相对落后，审计信息化程度不足，处于定性分析的层面，无法量化分析企业风险，让管理者更直观了解风险水平。落后的风险管理审计方法将使审计师无法有效识别、评估和应对风险，最终将影响企业降低风险目标的实现。

四、解决风险管理审计实施阶段问题的对策探讨

（一）明确内部审计部门的独立地位

我国企业内部审计部门独立性受其他职能部门制约。工作中容易受到其他部门的影响，导致风险管理审计工作难以得到有力开展。因此，从根源上解决独立性问题，需要在公司的组织架构中将内审部门独立出体系，从而提升和保护内审部门的独立性，使其可在其他部门干扰外展开工作。借鉴西方国家的实践经验，例如，在企业董事会下设立审计委员会，直接由审计委员会规划指导内部审计工作。与此同时，内部审计部门直接对审计委员会负责，具体工作不再受财务部门和其他部门的限制，保证其独立性。

（二）健全企业风险管理评估体系

健全企业风险管理评估体系的关键是建立适合企业自身的风险管理审计评价指标体系。首先，审计部门应全面分析企业内部和外部环境的特征，并根据不同的业务活动列出风险清单，包括整体风险和各业务层面的风险类型；其次，根据风险产生的原因确定不同的风险管理工具；再次，使用风险管理工具对风险点进行具体分析，包括发展风险、操作风险和人力资源风险等；最后，根据每个风险的关键管控内容，确定风险管理应对策略。

（三）提高风险管理审计师的专业能力

随着竞争不断加剧、业务与国际挂钩，企业面临的内外部风险因素变得愈加复杂，这对公司内部审计部门提出了更高的要求，带来了更多的挑战。现代企业中的风险管理审计人员呈现出专业知识结构多元化不足的局面。为了解决这一问题，可采取以下措施：一方面，为了满足企业风险管理的多元化需要，企业需要改变传统的内部审计师配置，积极招聘精通法律、金融、计算机、税务等专业的复合型人才。同时，审计师还应具备良好的人际交往能力和书面表达能力；另一方面，内部审计人员应该深知其职责范围不仅在于查找问题，更在于探索问题产生的原因并提出解决措施。审计应从传统的事后审计转变为事前审计和事中审计； 除了要关注财务信息，还应关注非财务信息，包括制度的健全性、业务的合规性等。

（四）创新企业风险管理审计方法

内部审计人员首先需要分析及控制风险，运用科学合理的审计方法，汇总有效的审计证据，合理应对并控制风险。创新企业风险管理审计方法有助于提高内部审计部门审计的效率和效果，更高效地实施风险管理审计。创新方法包括使用计算机辅助审计和加强非现场审计监督。利用计算机辅助审计，推进企业审计信息化程度，利用计算机高效展开数据核对、验证和比较，提高数据处理的效率和准确性。为了达到计算机辅助审计的最佳效果，企业聘用相关的专业技术人员，搭建完善的信息系统操作平台；强调远程审计，即审计现场的非现场性，有助于审计机构全面控制企业及其分支机构的经营管理活动，确保内部审计的时效性和全面性。