企业风险管理与风险管理审计

育程度和专业经验、专业资格和继续教育、内部审计制度、程序和方式、内部审计师的选聘、对内部审计行为的监督和检查、内部审计工作底稿的质量，以及对内部审计工作绩效的评价。内部审计功能的客观程度主要取决于两个方面，即内部审计师在组织中的身份，以及对有关审计敏感区域的回避。内部审计师在内部审计功能中的组织身份表现为：内部审计师报告的上级管理者层次，应确保审计范围有效性，并有足够权限根据内部审计的发现和建议采取适当政策；内部审计师可直接向董事会、审计委员会或业主、经营者定期报告情况；有关内部审计师的选聘决定经过董事会、审计委员会或业主、经营者批准。此外，内部审计功能要在审计区域保持高度的客观性，即禁止内部审计师参与其亲属承担着要职或审计敏感性职位的审计项目；禁止内部审计师参加其近期已受聘或完成现有内部审计任务后就聘的岗位相关的审计项目。为了评价内部审计功能的资格和客观程度，审计师应该核查内部审计的前期经验，征询管理当局，参考近期外部审计对内部审计质量的意见。审计师还可以利用国际内部审计师协会（IIA）的职业标准进行评价，并根据对被审计单位内部审计功能的预期和评价安排独立审计的测试内容和范围。如果对内部审计资格和客观程度予以肯定，审计师可以进一步考察内部审计过程和结果对其独立审计的影响和作用。（三）内部控制风险诊断常用的方法。（1）观察法。即审查人员到工作现场观察工作人员处理业务的情况，了解业务处理过程是否遵守了内部控制制度的要求。（2）实验法。审查人员选择有关业务进行分析，重新实施，以判断有关业务人员是否遵循了内部控制制度。（3）检查证据法。即审查人员检查与有关业务有关的凭证和
其他文件，沿着这些文件和凭证所留下的业务处理的踪迹进行检
查，从而判断业务处理是否按内部控制制度的要求进行。审查人员
完成符合性测试后，应对内部控制系统进行评价。评价时，应着重
注意这几个主要方面：①被查单位发生过哪类错弊，其内部控制效
果如何？在现有内部控制系统的工作状态下，哪一类差错或舞弊发
生的可能性最大？②通过何种内部控制可以有效地防止或及时发
现这些错误或舞弊的发生？当内部控制失效时其错弊是否会失控？
③是否对各必要的内部控制都做了严密的规定，并在实际中得到
遵循？内部控制失效的概率有多大？④是否存在内部控制不健全或
有严惩缺陷的情况，如果结论是肯定的，这些隐患是否会导致错误
或舞弊的发生？通过对上述重点内容的分析评价之后，审查人员对
被查单位的概况就有了全面的了解，就可对其内部控制的可信赖
程度作出适时和恰如其分的评价。对于内部控制的评价结果可以
根据不同情况，分为三个层次：①高信赖程度。②中等信赖程序。③
低信赖程度。对被查单位内部控制制度进行评价，实质上是对被查
单位的风险控制作出评价，是对审查的策略作出调整，对后续审查
活动的基本定位；它对后续审查工作具有重要影响，审查人员决不
可小视对内部控制系统的测评检查。

参考文献
：

[1]刘光友.审计师如何利用被审计企业的内部审计功能[J]
审计与经
济研究
2001(03)

一、企业风险管理与风险管理审计的内涵
（一）企业风险管理的内涵
1．企业风险管理的概念
企业风险管理是通过对企业内部可能产生的风险进行科学的
管理，对风险进行识别、预测和处理，根据企业内部因素用经济的方
式进行综合处理。企业风险管理涉及企业的内外环境，对于企业的
经营、能力以及企业运转中出现的不确定性因素，都是导致企业无
法实现预期收益的重要因素，甚至可以导致企业在竞争中的失败。
2.企业风险的实质及划分
企业风险可以划分为外部风险和内部风险。一般情况下，企业
的生产活动和经营方式等所进行的企业风险评估，是以企业内部风险为主要因素的，企业外部风险作为一个参与因子，共同作用。（二）企业风险管理审计的内涵企业风险管理审计是指在风险管理基础之上的在管理、再监督的过程，是企业内部审计部门采用一种系统化、规范化的方法来进行以测试。企业风险管理审计是由外部因素和内部因素共同作用的结果。当企业面临高风险经营环境对企业内部的审计需要发生变化时，这就必须要有企业风险管理审计的发挥，以确保企业经营的安全，对机构的风险管理进行控制和监督，从而促进企业生产的效率，将风险降低到企业可以接受的范围之内，提高企业经营目标的可能性。其主体是内部审计部门和审计人员，侧重于企业内部经营活动，并对各部门的审计活动。二、风险管理的步骤及处理方法（一）企业风险管理的步
1.识别。风险的识别是风险管理的首要环节。这是预测和处理
企业风险的根本。风险的识别可以通过对企业的全面分析进行各
环节存在潜在风险因素的可能性分析；也可以通过对企业的财务

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
作者简介：潜晓琼（1969-），会计师、经济师，研究方向：企业领导人员经济责任审计以及企业管理和效益审计等方面工作。

企业风险管理与风险管理审计
潜晓琼
（上海石油化工股份有限公司审计部上海200540）
摘要：本文通过对企业风险管理及风险管理审计的界定和理论追溯，通过对风险管理的步骤及其处理方法的研究，得
出企业风险管理审计的内容及目标，并将企业风险管理及风险管理审计应用到企业，从而更好的指导实践。
关键词：企业；风险管理；风险管理审计

潜晓琼：企业风险管理与风险管理审计

156
··
企业研究
Businessresearch
总第394期
第04期

2012年2
月

进行分析，通过资产的盈亏及相关资料进行分析，这是企业财务风险和责任风险重要的参考范围；还可以通过保险公司选择适合本企业的险种，为不可测的风险保驾护航。2.预测。通过对企业的信息掌控，由风险管理专门人员通过科学的手段和方法，对可能出现的各种风险进行预测，包括对资源及生产经营所造成的一切消极的影响进行分析和研究，确定风险的频度和强度，为选择适当的风险方法提供参考依据。3.处理。在应对企业风险中所采取的有效办法。包括企业风险产生前的预测预案以及未预测到的风险突发事件的妥善处理。（二）企业风险管理的常见处理方法1.避免。这是消极的躲避风险的方式。这一方式虽然躲避了风险存在可能性，但是可能会造成另一种风险，可能为了避免某种事故的发生停止生产而造成企业受益目标的无法实现。2.预防。采取有效措施消除或者减少风险发生的可能性。3.自保。企业自身承担风险。成本中计算风险，大规模的公司可以建立专业的自保公司。4.转移。在风险发生之前，通过转让或者保险等方式，将风险转嫁出去。三、企业风险管理审计的内容及目标（一）企业风险管理审计的内容：1.风险管理机制的审查与评估。对企业风险的审查，对企业的组织机构是否健全，风险管理的程序是否合理，风险预警系统是否存在已经存在的有效性等，从而对企业的整体运行机制进行把握。2.风险识别的适当性及有效性审查。在企业经营运行中，根据合理性原则，对企业风险管理进行识别，审计风险的识别是否适当，确定风险管理审计是有效的识别。3.风险评估方法的适当性及有效性审查。按照企业实施的风险审计程序，对企业风险的全过程进行评估与审计，在企业运行的过程中，审计主体是否采取了正确的审计方法进行测量，测量后得出的结论对于企业规避风险的可能性以及企业发生风险的可能性是否有效。4.风险应对措施的适当性和有效性审查。审计企业的风险管理措施的应对能力和水平是否能够应对企业固有风险，并审查企业风险预警的方案是否适当有效，评价企业的风险管理措施是否将风险降低到可以接受的水平，是否实质性的对企业的风险进行测量，并是否有效。（二）企业风险管理审计的目标———取决于企业内部审计的功能定位通过对企业内部的战略决策的了解，把握企业运营中存在的内外风险以及具体的管理措施，确立企业发展的战略目标，并通过风险管理的策略已经相应的审查测量方式，评价企业现存风险的可能性和企业生存的状态及风险的状况，有效地将企业风险降低到最小，从而实现企业的发展目标。这是由企业内部审定的功能定位的。四、企业风险管理与风险管理审计在企业中的应用（一）建立健全企业内部的审计准则。根据《审计署关于内部审计工作的规定》，建立健全企业内部的审计业务准则，进一步完善企业的内部控制监督体系，统一执行内部审计工作的执业规范，强化审计的权威性，确保审计的测量结果的准确性，确保企业内部审计将企业运营风险降低，严格执行各项审计制度，规范内部审计工作，建立适宜的内部审计模式。（二）发挥内部审计的优势，积极推进风险管理审计。真正发挥企业内部审计的优势，将差错和发现问题的工作内容同财务审计方法有效结合，将风险降低到对企业危害最低的程度。面对经济的飞速发展，企业的业务趋于数字化和信息化，内部
审计面临着改变和新的挑战。企业的工作重心也应该适时作出相
应的调整，根据企业面临的内外风险，加强对审计工作的重视，使
内部审计在风险和事前将问题化解，充分发挥该部门的科学合理
性，让审计部门充分发挥自身的优势，改变传统企业对于该部门的
单一定位，从而提升企业的内部管理水平和经营效益。
（三）调整审计目标，强化安全性意识。
企业审计是国家深化经济体制改革的一部分，是企业强化管
理的重要内容。它是管理分权制的产物。企业在经营发展过程中，
企业自我管理和控制的内在动力不足，导致企业内部审计出现偏
差。企业内部审计出现偏差，必然会带来一系列不良的后果，企业
的内部审计工作陷入僵局，工作路径过窄，受到限制等等。审计部
门要着眼于宏观，细致观察微观，审计主体迅速应对企业中存在的
风险，进行妥善处理。审计部门通过对经济的监控，发现企业的内
部风险，对企业的信息进行保密和安全处理，维护企业的稳定性，
对资源进行合理分配，促进企业健康有序发展。
（四）充分利用信息化环境，进一步完善风险管理审计的方法
和内容。
随着信息化的进一步推进，企业管理中所引入的信息化管理
模式和手段也应该进一步完善。减少人为的录入信息错误，减少因
计算机管理不善造成的企业信息的流失，减少审计线索的可能性，
非授权不可擅自修改报表等，注意互联网的黑客攻击等等，确保在
充分利用信息化的同时，减少因信息安全造成企业的信息流失等。
（五）提升审计人员工作水平。
审计部门的人员设置有待于整体的提高，改善该部门的地位
和人员选聘制度，不安插“等闲”之辈，将年龄过大的等和认为该部
门无所事事的闲散人员清除，通过选拔制度，选拔专业素质强，业
务能力强，职业素质比较高的审计人员从事该项工作。针对于已经
在岗的人员要给予定期的培训与考核，加强审计人员的教育，提升
审计人员的工作水平，不走过场，不看人情，增强审计人员的理论
考核及实践操作能力，使他们全面了解企业的风险状况，为企业规
避风险更好的发挥作用。如果该企业允许，可以让审计人员作为企
业的重要组成部分和职能部门直接参加企业管理，为实现企业的
经济目标服务。
（六）引进来走出去的原则，聘请专家参与风险管理审计。
企业的生存和发展，与人才息息相关。企业可以采取请进来走
出去的策略，一方面挑选优秀的审计人员参与内训或者外出学习，
到先进的国家和企业学习企业风险管理的技术，以便学成更好的
指导本企业风险管理的审计，将精华借鉴。另一方面，也可以采取
引进和聘请的方式，吸纳各类人才到企业中来，尤其是专家学者，
对企业进行实战性的指导，并对企业运营状况作出诊断，甚至在某
些领域可以强强联合，实现行业内得合作，在提高企业人员的实际
业务水平的同时，降低企业的育人成本。

参考文献
：

[1]翟熙贵,中国审计发展战略研究[M],中国时代经济出版社,2009.
[2]高文进,“国家审计免疫系统论”内涵丰富”[J],审计文摘,2008（11）.
[3]谢力群,履行‘免疫系统’责任发挥国家审计的建设性作用[J],
中
国审计
,2008(21).

[4]刘英来,审计是经济社会运行的免疫系统研讨会综述[J].审计研究,
2008(5).

157
··