談企業(yè)風險管理與內(nèi)部審計

唐惠麗

一、企業(yè)風險管理評述

(一)企業(yè)風險管理框架

美國反虛假財務報告委員會管理組織fcOSO)針對企業(yè)界頻繁發(fā)生的高層管理人員舞弊現(xiàn)象，頒布了全新的COSO報告，即《企業(yè)風險管理——整合框架》(Enterprls-eRiskManagement-Integrated Framework，簡稱ERMl。這個框架是在原《內(nèi)部控制——整體框架》的基礎上，結(jié)合《薩班斯一奧克斯利法案》(Sarbanes-Oxley Act)的相關要求展開研究得到的。根據(jù)ERM框架，“全面風險管理是一個過程，這個過程受董事會、管理層和其他人員的影響，這個過程從企業(yè)戰(zhàn)略制定一直貫穿到企業(yè)的各項活動中，用于識別那些可能影響企業(yè)的潛在事件并管理風險，使之在企業(yè)的風險偏好之內(nèi)，從而合理確保企業(yè)取得既定的目標”。ERM框架有三個維度：第一維是企業(yè)的目標，包括戰(zhàn)略、經(jīng)營、報告和合規(guī)性目標；第二維是全面風險管理要素，包括內(nèi)部環(huán)境、目標設定、事項識別、風險評估、風險對策、控制活動、信息和溝通、監(jiān)控等要素；第三維是企業(yè)內(nèi)部各個層次，包括整個企業(yè)、各職能部門、各條業(yè)務線及下屬各子公司。ERM三個維度的關系是：全面風險管理的各要素都是為企業(yè)的四個目標服務的；企業(yè)各個層級都要堅持同樣的四個目標；每個層次都必須從上述方面進行風險管理。企業(yè)風險管理是一個過程，企業(yè)風險管理的有效性是某一時點的一個狀態(tài)或條件。決定一個企業(yè)的風險管理是否有效，是基于對風險管理要素設計和執(zhí)行是否正確的評估基礎上的主觀判斷。企業(yè)的風險管理要有效，其設計必須包括所有的要素并得到執(zhí)行。

(二)我國企業(yè)風險管理規(guī)范

近年來我國有關部門和很多企業(yè)也逐步認識到風險管理對企業(yè)經(jīng)營的重要性，為了指導企業(yè)開展全面風險管理工作，進一步提高企業(yè)管理水平，增強企業(yè)競爭力，促進企業(yè)穩(wěn)步發(fā)展，國務院國有資產(chǎn)監(jiān)督管理委員會2006年6月發(fā)布了《中央企業(yè)全面風險管理指引》。該指引指出，全面風險管理是指企業(yè)圍繞總體經(jīng)營目標，通過在企業(yè)管理的各個環(huán)節(jié)和經(jīng)營過程中執(zhí)行風險管理的基本流程，培育良好的風險管理文化，建立健全全面風險管理體系，從而為實現(xiàn)風險管理的總體目標提供合理保證的過程和方法。財政部、證監(jiān)會等部門也于2008年5月發(fā)布了《企業(yè)內(nèi)部控制基本規(guī)范》。該規(guī)范指出，企業(yè)應當根據(jù)設定的控制目標，全面系統(tǒng)持續(xù)地收集相關信息，結(jié)合實際情況及時進行風險評估。企業(yè)開展風險評估，應當準確識別與實現(xiàn)控制目標相關的內(nèi)部風險和外部風險，確定相應的風險承受度。企業(yè)應當根據(jù)風險分析的結(jié)果，結(jié)合風險承受度，權(quán)衡風險與收益，確定風險應對策略。

(三)企業(yè)風險分析

風險產(chǎn)生于不確定性因素的存在，企業(yè)運行環(huán)境的不確定性帶來了企業(yè)運行結(jié)果的不確定性。企業(yè)風險可以按照企業(yè)目標的不同層次來理解和劃分，并可將其相應劃分為：(1)企業(yè)的戰(zhàn)略風險，是指企業(yè)戰(zhàn)略目標不能實現(xiàn)的可能性，主要包括：由于對有關影響因素的分析不夠充分或?qū)ξ磥淼淖兓瘺]能合理預計而帶來的企業(yè)在總體戰(zhàn)略選擇環(huán)節(jié)的失誤風險；由于企業(yè)的具體戰(zhàn)略選擇失誤而帶來的風險，包括企業(yè)經(jīng)營領域的選擇風險、企業(yè)并購風險等。(2)企業(yè)日常經(jīng)營管理風險，是指企業(yè)具體經(jīng)營目標不能實現(xiàn)的可能性，又可以劃分為企業(yè)經(jīng)營環(huán)節(jié)的作業(yè)鏈風險，如企業(yè)供、產(chǎn)、銷等環(huán)節(jié)的風險；企業(yè)的人事風險，如由于人員任用、授權(quán)、業(yè)績評價等方面的缺陷帶來的風險；企業(yè)的信息風險，如企業(yè)信息系統(tǒng)風險等。(3)財務風險。包括籌資風險、資金投放的風險及企業(yè)其他財務活動風險。

二、企業(yè)風險管理審計的作用

對企業(yè)風險管理進行監(jiān)督和評價是現(xiàn)代內(nèi)部審計發(fā)展的結(jié)果，風險管理審計是內(nèi)部審計的主要職責，分析、確認、揭示關鍵性的經(jīng)營風險，才是內(nèi)部審計的焦點。隨著我國經(jīng)濟體制的不斷改革發(fā)展，企業(yè)內(nèi)部審計越來越受到各方面的重視，對內(nèi)部審計的理解也發(fā)生了較大的變化。企業(yè)進行風險管理審計可以起到以下幾方面的作用：

一是全面識別企業(yè)風險，風險在企業(yè)內(nèi)部具有感染性、鑄遞性、不對稱性等特征，即一個部門造成的風險或疏于風險管理所帶來的后果往往不是由其直接承扭，而是會傳遞到其他部門，最終可能使整個企業(yè)陷入困境。因此對風險的認識、防范和控制需要從全局考慮，而各業(yè)務部門又很難做到這一點。內(nèi)部審計具有相對的獨立性，受單位主要負責人的直接領導，這就使其可以從全局出發(fā)，從客觀的角度對風險進行識別，及時建議管理部門采取措施控制風險。

二是調(diào)控和指導企業(yè)的風險策略內(nèi)部審計部門處于企業(yè)量事會、總經(jīng)理和各職能部門之間的位置，內(nèi)部審計人員能夠充當企業(yè)長期風險策略與各種決策的協(xié)調(diào)人。通過對長期計劃與短期實現(xiàn)的調(diào)節(jié)，可以調(diào)控和指導企業(yè)的風險管理策略。

三是內(nèi)部審計部門的建議更易引起企業(yè)領導的重視一些企業(yè)盡管設立了風險管理部門，但不具有獨立性，其意見往往會屈服于管理層的壓力，這使得風險管理部門的作用受到一定程度的限制。而內(nèi)部審計部門獨立于其他管理部門，其風險評估的意見可以直接向董事會匯報，這樣可以加強管理層對內(nèi)部審計部門意見的重視程度。

三、企業(yè)風險管理審計的內(nèi)容

企業(yè)運營狀況審查。確定風險是否像所預計的一樣，能減輕至可接受的程度以及在可控的范圍內(nèi)，并確定審核程序可以有效且低成本運作。監(jiān)督和評價一個部門內(nèi)的業(yè)務流程是否存在風險，或者一個流程能夠同時對諸多部門同時進行管理。

企業(yè)信息系統(tǒng)風險審查。內(nèi)部審計人員參與系統(tǒng)開發(fā)及方案制訂，尤其關注流程的改進、數(shù)據(jù)傳遞、系統(tǒng)的執(zhí)行計劃及測試計劃。對應用系統(tǒng)執(zhí)行前及執(zhí)行后的狀況進行評估。對信息安全問題進行評估。

遵從國家法規(guī)政策審查。對企業(yè)的各項經(jīng)營活動進行全面分析和評估。通過評估并糾正程序，確保遵守國家相關法律及政策。

風險管理流程控制審查。為實現(xiàn)企業(yè)經(jīng)營目標，評估現(xiàn)行流程，保證其對可能事件與可能情況能進行有效識別、評估、管理和控制。協(xié)助風險管理機構(gòu)落實有關措施。

風險應對措施適當性和有效性審查。內(nèi)部審計人員應當實施適當?shù)膶徲嫵绦?，對風險應對措施進行審查。內(nèi)部審計人員在評價風險應對措施的適當性和有效性時，應當考慮以下因素：采取風險應對措施之后的剩余風險水平是否在組織可以接受的范圍之內(nèi)；采取的風險應對措施是否適合本組織的經(jīng)營、管理特點；成本效益的考核與衡量等。

內(nèi)部審計人員通過風險管理審計提供獨立的、有附加價值的風險評估和解決方案，并向管理層報告審查和評價風險管理過程的結(jié)果，并提出改進建議。

(作者單位：陜西工運學院)