全面风险管理审计大全11篇

时间：2023-12-25 15:24:11

全面风险管理审计

全面风险管理审计篇（1）

随着中国石化对企业发展战略的调整，提出要把中国石化建设成为世界一流的能源化工公司。中石化在管理思想上发生了重大转变，即从过程管理转向战略管理。战略管理最根本的着眼点就是企业所面临的风险以及对待风险的对策。企业的风险是客观存在的事实，风险管理必然成为应对风险的必由之路。围绕油田总体经营目标，风险管理成为管理当局的关键职责，各个管理层次、各个职能部门在进行各自活动的时候要高度重视风险，并将其纳入到企业的整体风险管理范围之中。作为油田进行内部管理和控制的重要手段的内部审计，与其他管理和控制措施相比，具有综合性、高层次的特点。那么如何参与全面风险管理，才能更好地发挥内部审计作用，是我们内部审计当前必须关注的问题。

一、对全面风险管理的认识

风险是无法彻底消除的，它是客观存在的。目前，企业五大类风险分别为，即战略风险、财务风险、市场风险、运营风险、合规风险。中国内部审计协会最新的第16号内部审计具体准则中，将风险管理定义为：对组织目标实现的各种不确定性事件进行识别与评估并采取应对措施将其控制在可接受范围内的过程。风险管理的目的并不是不惜一切代价降低风险，而是尽量使风险减低至可以接受的容量范围内，使风险发生不影响经营目标实现。

那么何为全面风险管理呢？全面风险管理是指围绕油田总体经营目标，通过油田管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制体系，从而为实现风险管理的总体目标提供合理保证的过程和方法。其实质就是有效利用油田的各种资源，以战略的方式管理风险，使油田在多变的环境下以稳健的方式运作，从而获得增加价值的机会。

目前，油田企业虽然建立了依托内部控制的风险控制体系，但只是对业务流程的风险控制，尚未建立全面的风险管理系统，还存在许多不完善之处。内部审计参与全面风险管理，正是从企业风险管理角度，实施审计程序，从而为风险降至可接受水平提供有效保障。

二、内部审计参与全面风险管理的优势

(一)内部审计参与企业全面风险管理与外部审计相比具有的优势

随着油田先后对国内外部以及国外市场等进行的开发，使得油田经营环境变得日趋复杂，油田经营风险也不断增加。因此，减少油田面临的风险是组织实现目标的关键。内部审计部门和人员在风险管理方面拥有外部审计无可比拟的优势，一是内部审计部门和内部审计人员对企业生产经营管理情况的熟悉程度，使得内部审计对油田面临的风险更了解；二是内部审计部门和人员对防范油田风险、实现油田生产经营目标有着更强烈的责任感；三是内部审计部门的风险评估的报告建议具有客观性，从而引起局领导重视，督促相关部门进行整改。因此，内部审计部门应当积极地参与企业的风险管理。

（二）内部审计与其它相关管理职能部门相比具有的优势

油田企业各个管理职能部门之间各自工作职责、任务的不同，导致风险管理沟通不畅。而基层单位由于在掌握政策、信息方面存在着不及时的原因，导致风险管理环节薄弱。而一个部门造成的风险或疏于风险管理所带来的后果往往不是由其直接承担，而是会传递到其他部门，最终可能使整个企业陷入风险之中。因此对风险的认识和防范、控制需要从全局考虑，而各业务部门又很难做到这一点。内部审计部门则可以从全局出发、从客观的角度对风险进行识别，及时建议管理部门采取措施控制风险。

(三)内部审计在风险管理中发挥的作用

随着现代内部审计领域的扩大，内部审计的范围从原来的财务领域扩大到组织的管理活动，内部审计积极的建设性作用—促进改善管理和控制的作用开始显示出来。而油田管理层对风险的空前重视，又为内部审计发展提供了的机会。内部审计对油田的风险管理体系及运作过程进行评价和有效监督，查找风险管理过程中的疏漏和薄弱环节，分析风险管理体系中存在的问题及潜在风险，为企业提供预警服务，督促企业适时改进风险管理控制措施和管理方法，降低和规避风险，帮助企业实现良性循环。将会使内部审计在企业中的作用上升到一个新水平。

三、内部审计参与全面风险管理的方法

参与风险管理，需要内部审计不断创新审计技术和方法，提高审计效率和效果，增强审计人员发现问题的准确性。内部审计参与风险管理主要体现在以下四个步骤和方法。

(一)调查了解是内部审计参与全面风险管理的前提

它包括对油田建立的依托内部控制的风险控制体系的调查了解，在审计的准备阶段：一是可以通过大量审阅相关政策、制度文件，或者采用询问、问卷调查等等方式进行了解。二是充分运用网络查找法。我们可以通过企业办公网络等了解各单位的生产经营、规章制度、各种统计数据等信息，进行对比分析，更好地获取审计线索和审计证据；我们也可以通过公开信息网络中的官方网站或国内行业协会等一些合法的、具有权威性的网站搜集的信息作为审计证据，也比较容易得到被审计单位的认可。

(二)分析评估是内部审计参与全面风险管理的基础

分析评估就是要进行风险识别，分析有没有风险，属于什么风险，对风险的可能产生的危害有多大，以及如何防范风险进行实事求是的评估。所谓风险识别是指对企业所面临的、以及潜在的风险加以判断、归类和鉴定风险性质的过程。内部审计部门和人员要对企业所面临的主要风险是否均已被识别出来，并找出未被识别的主要风险。风险评估，可以分为四个层面进行:一是企业外部环境评估，包括宏观环境和行业环境；二是企业内控环境评估；三是核心业务流程风险评估；四是关键控制点风险评估。通过对企业四个层面的风险评估，深入了解企业系统风险、整体风险、个体风险及关键点风险，确定审计重点领域、重点部门、重点业务和重点环节。

(三)发现和揭露问题是内部审计参与全面风险管理的关键

任何事件都不是独立发生的，总会留下蛛丝马迹。审计人员要发现问题线索,一是要拓宽思路，向纵向与横向延伸，在纵向方面要考虑该事件是否孤立，是否属偶然发生的，在横向方面，向其它相关单位延伸，查看其它单位的处理方式，油田又是否有相关的规定。二是要通过实地查看核实事件处理的真实性、存在性，查询相关部门人员，了解他们的处理程序，听取他们的意见和建议。三是揭露问题要“见微而知著，及早提防”。问题在开始发生时都是极其细微的，难以觉察的，但如果不注意防止，必将产生从量到质的变化，最终酿成风险。因此要将了解的情况及时向本部门领导汇报，便于领导决策，取得相关领导支持。

（四）提交报告建议是内部审计参与全面风险管理的目的

内部审计在提交涉及企业风险管理内容的报告和建议时，要注意以下几点：一是审计报告的内容要重点反映被审计单位或被审计事项在风险管理、控制和治理方面存在的问题，风险评估结果，包括风险形成因素、风险性质、内容、风险涉及金额及应对风险的措施，并提出风险控制的建议，建议要有针对性、可行性、及时性；二是要积极与被审计单位沟通，征求被审计单位的意见；三是为了让管理层充分理解风险的程度,在报告中应特别提出风险活动对于实现目标的关键性与后果。

四、内部审计参与全面风险管理存在的问题

（一）企业未全面认识风险管理

目前，仍然有部分单位认识不到全面风险管理的重要性，一是对动基层参与风险管理的积极性不够重视，基础资料不保存或不建立的现象时有发生，二是对发现问题屡查屡犯，整改动力不足。三是有些管理人员对风险管理的认识不足，存在粗放式管理现象。这种对风险管理工作滞后和不正确的认识严重影响了企业的长远发展和战略目标的实现。

(二)企业对内部审计在全面风险管理中发挥的作用重视不够

在现实条件下，很多在内部审计过程中发现的问题,一是在内部消化，企业内部重视不够；二是部分单位对内部审计的认识仍然停留在查帐、找错、搞人的错误认识上，还常认为审计从时间上给其工作带来额外的压力。致使对内审工作意义认识不够。这样，一方面，在竞争激烈的市场经济条件下，单位经营活动的风险日益加剧，许多问题需要及早的预防和发现，而单位经营者对此又缺乏相应的办法；另一方面，内部审计的职能作用得不到发挥，无法提出有效的办法去防范风险，或者采取有效的措施挽回损失和影响。

(三)内部审计部门与相关管理、监督部门沟通不足，未形成内部检查通报制度，各种监督检查资源未形成监督合力

尽管内部审计部门通过评估等方式能够发现管理方面的风险,但由于在管理体制上，存在内部审计部门大多接受管理层的领导，其作用的发挥程度直接受管理层喜好的影响，其对风险的独立评价、报告职能难以得到充分发挥。风险管理需要内部审计人员在非审计期间和各管理及经营部门进行全面、及时地接触、交流和沟通，但是，目前，两者之间尚未建立一种“经营伙伴关系”。同时内审作为国有企业监管体系的一个重要组成部分，而内部监管机构比较多，又没有形成内部检查通报制度，这样就容易带来两个问题，一是职责不清，界限不明，造成有的事情都在管，有的问题没人查，形成监管“缝隙”；二是重复检查，多头检查，效率不高，成本较高。难以形成共同防范风险的氛围。

(四)内审人员的全面风险管理意识不强，内审人员的职业水平难以胜任风险管理工作

目前，大多数内审人员对审计工作的认识还是停留在指出企业已经存在的会计差错和不规范行为，而对于尚未发生的，需要预测、分析、评价的与增加企业价值以及战略目标的实现密切相关的风险则认识不够、关注较少。这种风险管理意识的淡漠阻碍了风险管理审计工作的开展。而风险管理工作的复杂性决定了内部审计人员知识的全面性。而目前审计人员所掌握的风险管理知识难以担此重任。

五、对策与建议

（一）树立全员参加的全面风险管理的新理念

风险管理模式应该是一体化的、连续的、和全方位的。从局机关、二级单位、基层形成一股合力，控制成本上有预算，但规范材料管理程序、班组独立核算、加强设备管理，降低成本费用支出,做好基层台账等最终却要落到基层，只有发挥上下一体的作用，加强管理，防范风险，充分调动基层单位的积极性和主动性。才能形成全员共同参加全面风险管理格局。

(二)重视内部审计在全面风险管理中的重要作用

企业应转变观念、提高认识，全面系统地了解内部审计，这就需要审计部门应及时加强与被审计单位的沟通，同时注重审计成果的利用，使企业注重内部审计在风险管理中的重要作用。审计工作应由单一的审计通报制度，转变为审计简报及重大事项报告、审计建议函、审计预警、审计通报和被审计单位基础管理审计考核相结合的审计成果综合利用方式。督促单位自觉遵守规章制度。

(三)加强与企业相关管理、监督部门的协同，搞好信息共享，加大审计力度

全面风险管理审计篇（2）

自美国 COSO 委员会于2004 年4月颁布《企业风险管理框架》(Enterprise Risk Management Framework,以下简称ERM框架)后,理论界对ERM的研究风起云涌,监管机构对于ERM的规范不断推出,实务界对ERM的尝试不断增多,如北美、欧洲有11%的组织拥有了完全实施的ERM,90%的组织正在建立或者想建立ERM (James Roth,2006);《财富》世界500强企业截至2004年底有近40%实施了ERM,30%部分实施了ERM;我国2006年针对部分先进企业和ERM探索者的一项调查显示,7.89%的企业建立并实施了ERM,15.79%的企业已经建立但是尚未运作,71%的企业在一定程度上建立但流程缺乏相互约束,5.26%的企业没有建立(王雅婷,2008)。可见,ERM受到了越来越多的重视,如何促使企业尽快建立ERM,保证企业顺利实施和完善已经建立的ERM,成为当务之急。

ERM的精髓之一在于全员参与,如何清晰地界定各参与方的职责决定着ERM的实施成效。内部审计作为组织治理结构四大支柱之一,在ERM建立和实施中发挥着重要作用。IIA(国际内部审计师协会)在《内部审计在企业全面风险管理中的作用》意见书中将内部审计在ERM中能够开展的活动划分为三类,第一类是核心性保证活动,包括:就风险管理过程提供保证;就风险被准确评估提供保证;评价风险管理过程;评价关键风险的报告;审阅关键风险的管理。第二类是合理性咨询活动,包括:促进风险识别与评价;指导管理层作出风险反应;协调风险管理相关活动;加强风险报告;保持和开发ERM框架;促进ERM的建立;经董事会批准制定ERM战略。第三类是不适当的活动,包括:设立风险偏好;对风险管理过程施加影响;提供管理层风险保证;对风险反应作出决策;以管理层立场做出风险反应;对风险管理承担责任(Russell A.Jackson,2005)。

上述分类对于指导内部审计合理定位、提供适当形式的服务、保持独立性具有一定的意义,却无助于指导内部审计实现与风险管理过程的有机结合,容易导致内部审计与ERM脱节,或者重视ERM单一环节而忽视整体。为此,应设计一种能够将内部审计与ERM实现对接的方式,使内部审计能够在ERM循环中实现跟踪式全程审计,实现内部审计对于ERM的全程监督,为持续审计奠定基础,该种模式称为“ERM基础审计”。

ERM基础审计模式以COSO委员会在企业风险管理框架中设计的内部环境、目标设定、事件识别、风险评估、风险反应、控制活动、信息与沟通以及监控八要素为基础,考虑内部审计在ERM中能够开展的活动,将两者进行有机结合,形成了如图1所示的ERM基础审计模式(George Matyjewicz等,2004)。

图示各项要素中,以建立和沟通组织目标为起点,依次经历决定组织的风险偏好、建立适当的风险管理框架、识别阻碍目标实现的风险或事件、评价风险发生的影响和可能性、选择和实施适当的风险反应、实施控制和其他反应活动、进行风险信息一致性沟通、监督和调整风险管理过程和结果八个环节,形成了ERM的一个运行系统。在此基础上,由管理层提供对ERM过程的首要保证,进而由内部审计实施对ERM的独立客观保证和咨询,最终各方履行对董事会服务的职责,董事会对ERM承担最终责任,形成了ERM的一个保障系统。该模式将ERM与内部审计融合在一个完整的循环中,两者实现了无缝对接;明确了内部审计和管理层在ERM中的职责地位;同时,也便于内部审计通过深入各个业务环节开展对ERM的全程审计。

1.建立和沟通目标。CEO负责制订组织的整体战略目标,处于不同管理层次、不同地域分布中的各业务单位、分部和子公司管理层负责制订各自的子目标,子目标必须与组织整体目标保持一致,并与组织文化、价值观、使命和愿景相协调,在整个组织员工中得到全面的沟通、清晰的解释和正确的理解。内部审计应为下列各个方面提供保证:审查组织目标得到有效建立(如检查目标建立依赖的信息、采用的程序、参与者的素质等);审查子目标与组织整体目标协调一致;审查目标在组织员工中得到全面的沟通和一致的理解。审计人员可以采用访谈关键人员、获取和审阅相关资料、向不同层次人员发放调查问卷、实施控制自我评估等方法来开展审计工作,其中问卷设计应该提供可以由回答者进行评论的空间,以便于收集员工对目标理解情况的软性信息。

2.确定风险偏好。组织的风险偏好决定了组织能够承受的风险水平。风险偏好与目标设定有着直接的关系,体现在组织交易形式审批、资本预算限制、职责权限划分、购买事项确定等各项活动中。确定风险偏好是董事会和管理层的责任,内部审计不能设定组织风险偏好或容忍度,但可以就风险偏好和容忍度水平的确定、量化、沟通,在政策、程序和实务中的有效实施情况提供保证。

3.建立风险管理框架。在不同组织之间甚至在同一个组织不同部门之间,由于文化氛围、管理理念、工作目标、组织规模、业务复杂性以及与业务目标和风险容忍度相关的固有风险水平不同,ERM框架可能会存在很大差别。例如,信息技术部门因为其工作的性质需要有完整的风险识别、评价框架,而人力资源部门可能仅需要一个明确的政策和程序性审阅。从事常规交易的部门一般具有相对成熟的ERM框架,该框架中有明确界定的风险指示,与日常的业务运行过程相结合;而战略管理部门却不具有这样正式的框架,需要进一步加以开发。某些组织拥有了较成熟的ERM框架,而其他一些组织却仅处于ERM的计划阶段、萌芽阶段甚至无知阶段。

董事会和高级管理层负责建立和管理ERM框架。审计人员不能参与设计ERM框架,但是需要依赖他们的判断,结合组织的实际对ERM框架的适当性做出结论,发现框架结构和功能中的缺陷。具体的审查内容包括:审查ERM框架的组成要素;审查在组织政策、治理框架、实务操作中所体现出来的风险观点和价值;审查风险管理政策和指南的实用性、灵活性和自我引导性;审查员工对风险管理含义的理解和对风险管理技术的掌握情况;审查管理层对风险管理的支持、对公司文化的培育情况;审查风险管理实务按框架期望持续运行情况;审查框架动态调整、监督和自我评价管理情况。

4.识别风险。识别风险是对组织正在和将要面临的风险加以判断、归类和鉴定风险性质的过程,换言之,即确定组织正在或将要面临哪些影响组织目标实现的风险。风险识别是管理层的职责。内部审计在风险识别中的主要工作包括:审查风险识别的充分性,即与组织整体目标和战略相关的、涉及组织整体和分部层次的主要风险是否均已被识别出来,是否存在未被识别的风险,并提醒管理层注意;审查风险识别的一致性,风险定义、分类是否在组织中得到统一的运用。对于发现的风险识别不完全、不一致、忽视风险等情况,内部审计应采用特殊审计程序并加以报告。

5.评估风险。评估风险是指采用定性与定量相结合的方式,估计风险影响的大小和发生的可能性,在二者结合的基础上,对风险进行排队,进而实施不同关注。实施风险评估是管理层的责任。内部审计应就风险是否被准确评估提供保证。具体可以采取两种方式:(1)对管理层的风险评估结果进行再检验,即掌握风险评价的系统方法,对风险成因、影响后果、发生频率等作出综合分析,根据“风险值=风险概率×风险影响”的计算结果,对风险级次进行排序,对不恰当的风险评估予以更正;(2)对管理层的风险评估能力进行审查,如审查管理层的风格(激进与稳健的管理者对于相同风险的赋值往往存在较大差别)、采用的风险评估方法、对相关信息的掌握程度、对成本效益的考量、对相关部门或人员意见考虑的幅度,等等。

6.选择实施风险反应。选择实施风险反应即在风险评估优先级排序的基础上,根据风险性质和风险偏好制定相应的防范措施,可采取的措施一般包括回避、接受、降低和分担。内部审计应该对风险应对措施的选择和执行提供保证,包括:审查采取的风险应对措施是否适合本组织的经营、管理特点;审查采取风险应对措施之后的剩余风险水平是否在组织可以接受的范围之内;审查风险应对措施的成本效益衡量是否合理。对于风险缺乏充分控制措施的情况,内部审计应提出改进措施和建议,协助完善风险反应方案。

7.建立控制。控制活动是使所选择的风险反应活动得到适当决定和实施的政策、程序、过程和监督机制等系列活动的总称。一旦选择了特定的风险反应方案,管理层需要据以实施相应的控制和其他风险反应活动,包括批准、授权、资产安全、职务分离、调整等。审计人员应获取对控制设计的全面理解(包括理解目标、潜在风险和控制活动之间的关系),审查其与组织风险政策的一致性;审查其对组织战略、经营、报告和遵循性目标的支持程度;审查其化解风险的有效性;审查其按设计功能运行的持续性。

8.风险信息沟通。风险信息沟通是指以一致的方式在整个组织中所有层次之间对风险信息进行可靠、及时、完整的传递和反馈,以实现对风险的识别、分析和反应。并非所有的风险都能够被避免,但早期的披露能够为采取适当的行动提供时间。内部审计的核心职能是向董事会、管理层、股东提供风险得到及时削减的保证。为此,内部审计需要审查风险信息的准确性;审查关键风险报告的及时性、相关性和完整性;审查风险信息在整个组织不同层次中传递的有效性;审查风险信息支持系统的安全性等。

9.监督和调整。组织需要对风险管理进行持续监控和不断调整,以保证风险管理过程的持续有效性。可以采用的监控和调整方式包括控制自我评估、定期检查和数据分析,各种方式或者融合在持续的管理活动中,或者采取个别评价的方式,或者通过两者的结合来完成。管理层执行对风险管理过程的监督和调整。内部审计通过调查问卷、控制自我评估、行动跟踪等方式,获取管理层实施监督的相关证明,审查管理层监督执行的一致性、持续性和有效性以及实施调整的适时性和必要性。

10.管理层保证。根据组织结构形式、资源保障程度、政府监管要求和风险管理的特点,风险管理的保证可以来自于不同方面,包括董事会、管理层、操作人员、内部审计、外部审计和独立专家等。其中,董事会对保证风险管理承担全部责任,但董事会往往将风险管理的责任委托给管理层,该种委托关系决定了管理层对风险管理承担直接、首要的责任,他们向董事会提供的风险保证居于首位。管理层必须向董事会保证,他们对于存在的风险和运行的控制实施了检查,所采取的措施能够足以降低那些阻碍公司目标实现的风险,其风险管理过程的运行是有效的。内部审计针对上述各个业务环节的审查结果可以对管理层保证情况做出基本判断,同时,还可以根据对管理层诚实性、业绩、胜任能力、素质和文化等方面的综合评价来制定相应的审计战略,对管理层的风险保证活动提供再保证。

11.内部审计保证和咨询。内部审计的保证和咨询具体体现在ERM各个运行程序中,如上所述。其中,内部审计在ERM中的核心作用是向董事会提供客观保证:保证风险管理过程和内部控制框架的设计和运行有效,保证关键风险的管理(包括控制和其他风险反应)有效,保证风险信息的分类和报告可靠、适当。

内部审计就ERM提供咨询的程度依赖于组织风险管理的成熟度。在组织尚未建立风险管理体系的情况下,内部审计就执行审计项目时发现的风险问题提请管理层和董事会注意,提出建立风险管理过程的相关建议;如果董事会提出要求,内部审计人员可以协助管理层完成组织风险管理的初步建立工作,甚至可以在董事会允许的情况下制定风险管理战略,指导风险识别和评估,协调实施风险管理措施,此时,内部审计直接参与了风险管理过程;在组织风险管理体系建立后,内部审计可以就管理层的风险决策提供建议、质疑或支持;随着组织风险管理体系的逐步成熟,内部审计可以接受委托提供专项的风险管理咨询服务,或者在提供保证服务的同时提供风险管理建议书,此时,内部审计咨询作用将逐步降低,更多地集中于其保证作用。

总之,内部审计在ERM中的功能不是独立运行、单独设置的,它融合在ERM过程中,与ERM的各个业务环节紧密结合,成为一个完整的统一体。如此,事前防范、事中监控性跟踪式内部审计的功效才能够得到充分发挥,内部审计价值增值的目标才能够得到切实体现。

【参考文献】

[1] James Roth. An Enterprise Risk Catalyst.Internal Auditor, Feb.2006,81-84.

[2] Russell A.Jackson.Role Play.Internal Auditor, April 2005,44-50.

[3] George Matyjewicz, James R D'Arcangelo. ERM-Based Auditing. Internal Auditing. Boston: Nov/Dec 2004.Vol.19, Iss. 6;4-13.

全面风险管理审计篇（3）

自美国 coso 委员会于2004 年4月颁布《企业风险管理框架》(enterprise risk management framework,以下简称erm框架)后,理论界对erm的研究风起云涌,监管机构对于erm的规范不断推出,实务界对erm的尝试不断增多,如北美、欧洲有11%的组织拥有了完全实施的erm,90%的组织正在建立或者想建立erm (james roth,2006);《财富》世界500强企业截至2004年底有近40%实施了erm,30%部分实施了erm;我国2006年针对部分先进企业和erm探索者的一项调查显示,7.89%的企业建立并实施了erm,15.79%的企业已经建立但是尚未运作,71%的企业在一定程度上建立但流程缺乏相互约束,5.26%的企业没有建立(王雅婷,2008)。可见,erm受到了越来越多的重视,如何促使企业尽快建立erm,保证企业顺利实施和完善已经建立的erm,成为当务之急。

erm的精髓之一在于全员参与,如何清晰地界定各参与方的职责决定着erm的实施成效。内部审计作为组织治理结构四大支柱之一,在erm建立和实施中发挥着重要作用。iia(国际内部审计师协会)在《内部审计在企业全面风险管理中的作用》意见书中将内部审计在erm中能够开展的活动划分为三类,第一类是核心性保证活动,包括:就风险管理过程提供保证;就风险被准确评估提供保证;评价风险管理过程;评价关键风险的报告;审阅关键风险的管理。第二类是合理性咨询活动,包括:促进风险识别与评价;指导管理层作出风险反应;协调风险管理相关活动;加强风险报告;保持和开发erm框架;促进erm的建立;经董事会批准制定erm战略。第三类是不适当的活动,包括:设立风险偏好;对风险管理过程施加影响;提供管理层风险保证;对风险反应作出决策;以管理层立场做出风险反应;对风险管理承担责任(russell a.jackson,2005)。

上述分类对于指导内部审计合理定位、提供适当形式的服务、保持独立性具有一定的意义,却无助于指导内部审计实现与风险管理过程的有机结合,容易导致内部审计与erm脱节,或者重视erm单一环节而忽视整体。为此,应设计一种能够将内部审计与erm实现对接的方式,使内部审计能够在erm循环中实现跟踪式全程审计,实现内部审计对于erm的全程监督,为持续审计奠定基础,该种模式称为“erm基础审计”。

erm基础审计模式以coso委员会在企业风险管理框架中设计的内部环境、目标设定、事件识别、风险评估、风险反应、控制活动、信息与沟通以及监控八要素为基础,考虑内部审计在erm中能够开展的活动,将两者进行有机结合,形成了如图1所示的erm基础审计模式(george matyjewicz等,2004)。

图示各项要素中,以建立和沟通组织目标为起点,依次经历决定组织的风险偏好、建立适当的风险管理框架、识别阻碍目标实现的风险或事件、评价风险发生的影响和可能性、选择和实施适当的风险反应、实施控制和其他反应活动、进行风险信息一致性沟通、监督和调整风险管理过程和结果八个环节,形成了erm的一个运行系统。在此基础上,由管理层提供对erm过程的首要保证,进而由内部审计实施对erm的独立客观保证和咨询,最终各方履行对董事会服务的职责,董事会对erm承担最终责任,形成了erm的一个保障系统。该模式将erm与内部审计融合在一个完整的循环中,两者实现了无缝对接;明确了内部审计和管理层在erm中的职责地位;同时,也便于内部审计通过深入各个业务环节开展对erm的全程审计。

1.建立和沟通目标。ceo负责制订组织的整体战略目标,处于不同管理层次、不同地域分布中的各业务单位、分部和子公司管理层负责制订各自的子目标,子目标必须与组织整体目标保持一致,并与组织文化、价值观、使命和愿景相协调,在整个组织员工中得到全面的沟通、清晰的解释和正确的理解。内部审计应为下列各个方面提供保证:审查组织目标得到有效建立(如检查目标建立依赖的信息、采用的程序、参与者的素质等);审查子目标与组织整体目标协调一致;审查目标在组织员工中得到全面的沟通和一致的理解。审计人员可以采用访谈关键人员、获取和审阅相关资料、向不同层次人员发放调查问卷、实施控制自我评估等方法来开展审计工作,其中问卷设计应该提供可以由回答者进行评论的空间,以便于收集员工对目标理解情况的软性信息。

3.建立风险管理框架。在不同组织之间甚至在同一个组织不同部门之间,由于文化氛围、管理理念、工作目标、组织规模、业务复杂性以及与业务目标和风险容忍度相关的固有风险水平不同,erm框架可能会存在很大差别。例如,信息技术部门因为其工作的性质需要有完整的风险识别、评价框架,而人力资源部门可能仅需要一个明确的政策和程序性审阅。从事常规交易的部门一般具有相对成熟的erm框架,该框架中有明确界定的风险指示,与日常的业务运行过程相结合;而战略管理部门却不具有这样正式的框架,需要进一步加以开发。某些组织拥有了较成熟的erm框架,而其他一些组织却仅处于erm的计划阶段、萌芽阶段甚至无知阶段。

全面风险管理审计篇（4）

经济全球化的浪潮席卷了世界上大多数国家，特别是近年来计算机的普及和互联网的高速发展，使每个国家的企业内部组织机构都呈现出集成化、虚拟化、专业化的趋势。传统的风险管理模式管理范围窄、过程相对分散、管理成本相对较高，已经明显的不能适应这种趋势。各企业纷纷制定实施全面风险的管理方式，内部审计是其中的重要组成部分为适应时代的要求必须对其做出相应的调整创新，对审计的程序、目标和内容做出调整，使之与企业风险管理想配合，重视绩效、战略等要素，促进审计资源的有效配置和审计效率的提高，形成全新的内部审计模式。这样基于全面风险管理的企业内部审计对促进企业的稳定发展，提升企业的国际竞争力具有非常重要的意义。

一、企业内部审计在全面风险管理中的作用

国际上公认的对内部审计的定义是：对企业中的控制和业务做出独立的评价，确定其是否符合规定和标准，是否经济有效的使用企业资源，是否遵循公认的程序方针，是否在实现企业目标的审计方法。它是系统高效的评价管理方法，从对它的定义中，我们可以看见出，在企业实施全面风险管理的过程中，内部审计的重要作用主要体现在以下几方面：

1.有助于全面识别风险

在企业内部，风险往往由一个部门造成，由于疏于管理和控制，导致其他部门、整个企业一同承担风险造成的后果，使企业陷入困境。这就要求企业在对内部风险的防范与控制过程中要从企业全局出发，传统的管理模式很难做到这一点。内部审计自身的独立性使其在这个方面有大展拳脚的空间。它结合了控制基础审计、流程基础审计、风险基础审计和风险管理审计几个传统审计模式的优点，基于企业全面风险管理，从企业全局出发，充分考虑企业的战略目标和内外部环境条件，对可能对企业的生产经营早晨负面影响的各类事情做出甄别，确定风险来源，最大程度上将风险降到最低。

2.有助于企业风险的度量

对企业运转过程中的风险事件的甄别只是定性的，确认风险的存在以及风险来源。内部审计的重要作用不仅在于定性的识别，更在于定量的评估，使企业能更有效的规避、控制风险。内部审计人员将对风险管理部门的风险定位的准确性进行审核，确认定位方法是否科学，衡量模型是否合理，风险发生概率的确定是否客观，风险来源的确定是否全面，对不合理、不科学的评估进行纠正。通常采用蒙特卡洛模拟法、风险报酬法、调查和专家分析法、风险当量法等方法。

3.有助于企业风险的防范

通常，企业内部的风险管理部门对风险的处理与防范包括自留、分包、转移以及回避等方式。此时，内部审计就可以对风险防范措施的充分性和有效性进行评估，为之后的方案改进提供切实的参考依据。内部审计着眼于风险防范措施的合理性、风险自留比例的恰当性、风险转移措施的可行性、风险分包成本收益的均衡性等等，大大提高了企业风险防范的实施效率。

4.协调各人员、部门关系

放眼于企业全局的组织结构，内部审计独立于管理层与各部门之间，有着特殊的独立性优势，参与企业风险决策策略的制定执行，加强了企业的风险管理体系，起到了很好的协调作用。同时，除了各部门的内部风险之外，还不得不重视综合风险，其必须由管理部门共同承担。例如，销售部门必须面对产品积压，价格波动的风险；对外贸易部门必须面对汇率的变动带来的风险；生产部门必须面对原材料供应不足和劳动力价格上涨的危险。内部审计在企业中的独立性使之能与各部门进行有效的协调与沟通，积极应对不同部门带来的综合风险。

二、我国企业内部审计在全面风险管理中的缺陷分析

内部审计在企业全面风险管理中的作用不容小觑，我国的企业也纷纷认识到了这一点。我国相关部门从很早就开始重视企业内部审计的开展，在2005年颁布实施的《风险管理审计》中明确的指出了企业的内部审计人员针对风险管理的审查与评价职责。可以说，我国企业将内部审计应用于全面风险管理的过程中得到了一定的成就，但总体情况不容乐观，主要存在以下方面的缺陷：

1.机构设置不合理

我国企业在认识到内部审计的重要作用后，其中的大多数都设立了审计部门。但存在严重的阻止结构问题，有很少的企业将其隶属于审计委员会或者董事会，这会导致内部审计机构的权威性更容易受到挑战，其针对企业全面的风险管理缺乏权力支持，进一步的，内部审计部门没有正确的隶属会使它的审查与评价职责受到企业管理层的干涉和影响，导致对各部门风险审查和评价的准确性产生偏失。企业的审计部门的设置与其它部门的设置几乎没有区别，地位平等，这就不能使内部审计的审查和评价工作从一定的高度进行，更无法从全局出发掌控风险。再者，我国仍有少部分的企业并没有设立内部审计机构，或者与其它部门机构设立在一起，部门设置的独立性不明显会导致权责不明，使内部审计部门形同虚设，审计业务也自然不能合理的开展，没有对企业的管理经营起到应有的作用和功能。

2.内部审计理念落后

具体的实践需要有思想理念的指导。我国在相关思想理论的发展上远远落后于世界发达国家。在发展过程中，我国的企业往往只在于现有的形式、规则的引用，而没有进一步在企业内部形成内部审计的理念，这就使得内部审计工作只能沉浮于外表，华而不实，没有起到真正的审查评价的功能。经济学家道格拉斯.诺斯指出：从国外借鉴的良好规则如果不能跟本土的环境相适应，则势必会与之前的落后规则产生冲突。将全新的审计理念的“搬移性”引入往往会导致企业各部门各员工的排斥，企业员工甚至是审计部门人员的理念落后陈腐，致使审计工作在进行过程中困难重重。

3.内部审计方法陈旧

我国企业在将内部审计应用于企业全面管理的过程中所使用的方法存在很明显的问题。首先，对审计项目的选择没有针对性。许多企业的选择过程中受管理层的影响甚至是全完受管理层的安排，完全违背了内部审计独立性的要求，这就导致内部审计资源得不到合理的分配，对风险的审查和评价不能做到正确公正，严重影响了审查效率，提高了企业的风险性。其次，目前我国拥有内部审计部门的企业当中，只有极少数实力雄厚的大型企业能够采取定量分析的方法，其他企业大多都停留在定性分析的阶段。内部审计技术方法的落后将不能满足全面风险管理的要求，对内部审计的方法进行改进和完善已经刻不容缓。

4.审计人员素质有待提高

审计工作的主体为人，需要有高素质的设计人才支持。基于企业全面风险管的内部审计过程需要审计人员采取各种专业的技术方法对风险进行识别与评估，并进行风险分析，采取合理的控制等活动，这些专业化的工作对审计人员的素质提出了较高的要求。审计人员不仅需要剧本基本的财会和审计技能，还要熟悉企业的生产经营流程，涉及经济、销售等各方面的知识，并熟练的掌握各种分析方法，能熟练的运用计算机工具。目前，我国的审计人才存在很大的缺口，无法满足基于企业全面风险管的内部审计工作的要求。

5.内部审计与全面风险管理的目标存在分歧

基于企业全面风险管理的内部审计应符合企业的全局战略目标，审计计划的制定与执行应以生产经营计划作为参考，这就要求在企业全面风险管理的前提下，改变内部审计的起点目标。传统的模式中内部审计的起点为审计目标，一般是以内部控制的有效性和完整行作为目标。企业的根本目标是追求效益的最大化，这基本与全面风险管理的目标一致。全面的风险管理企业的经营目标作为起点，要求企业从大局出发，注重长远的利益，制定长期的战略，控制、规避期间的各种风险。在这种情况下，很可能弱化了内部审计的功能，由审查评估单纯的变为监督，忽视其在管理中的作用，就不能有效的发挥其在全面风险管理中的作用。企业整体目标和内部审计的目标起点之间的分歧导致内部审计不能完全适应全面风险管理的要求。

三、完善我国企业在全面风险管理下内部审计的建议

1.提高内部审计部门的独立性

内部审计部门能够在企业全面风险管理中发挥多大的作用，在很大程度上取决于它的独立性。针对目前我国大部分企业内部审计的独立性建设还不完备的情况，企业的董事会和管理层应提高对内部审计独立性的重视。充分参考借鉴国外成功的经验，设立专门的、独立的审计部门，独立于管理层之外，隶属于董事会。并制定明确的内部审计制度，企业上下全面加强内部审计的权力职责，工作范围的认识与配合。这不仅能够提升内部审计的独立性，更能建立内部审计的权威性，有利于其审查评价功能的实现；内部审计的工作结果需及时的向管理层和董事会汇报。

2.提升审计人员素质

企业的发展必须以人才作为支撑，基于企业全面的风险管理的内部审计对人才的要求更为苛刻。企业审计部门应及时改善人员配备，吸收包括会计、审计在内的融合其他各个方面的专业型人才，更要开放容纳复合型人才，提升全面风险管理的大背景趋势下内部审计人员的知识储备，最大程度上做到专业的辅助与互补，应对企业各个部门所产生的风险。当然，也要从整体上提升审计部门的人员素质，开展专业化的培训，提升人员的综合素质。

3.企业内树立风险管理审计监督理念

在传统的内部审计工作中，往往只注重其审核作用而忽略了其评价监督作用。企业上下应全面、正确的对待和应用内部审计，加强对其评价监督作用的认识，将监督工作贯穿到风险管理的全过程，加强事前审计和事中审计，对漏洞明显，趋势性较强的风险进行严格的审查监督，做到有预见性的提前防范。内部审计工作也要伴随企业的流程实时的进行，不能因为滞后而产生被动性，这样才能达到全面风险管理的要求。形成一种全新的审计理念，从根本上确认审计的功能与职责。

4.构建适应全面风险管理需要的内部审计新模式

时代的风云变幻要求企业不断对自身进行创新改善，以取得最大化的效益。通常，内部审计包括审计对象、审计目标、审计程序和审计方法。为适应时展的要求，适应全面风险管理的需求，必须根据二者之间的相互关系对内部审计积极探索，在审计模式上实现创新。基于企业全面风险管理的内部审计根本目的是控制风险，获取价值。这里的风险控制，并不仅仅是审计风险的降低，还包括通过内部审计对企业各个部门各个方面的全面风险控制管理，降低整个企业运作过程中的风险。基于全面风险的内部审计的作用对象是企业风险，包括公司监管、控制审查、金融风险管理等，区别于传统的单项审计。基于企业全面风险管理内部审计的程序，必须时刻体现风险管理的主导思想，全面的了解企业风险，并准确识别，做出评价，切实体现内部审计在全面风险管理中的作用。

四、结语

在愈来愈激烈的国际竞争和愈来愈复杂的国际环境下，企业的经营风险大大增加，风险的控制与管理是每个企业工作的重中之重。内部审计作为独立于管理层之外的、隶属于董事会或审计委员会的重要的控制手段，在企业的风险管理中的作用日渐凸显，越来越成为决定企业兴衰成败的重要因素之一。进一步研究基于全面风险管理的企业内部审计，掌握其应用现状，发现现状中的缺陷，提出相应的改进措施，力求对促进企业的稳定发展，提升企业效益起到一定的推动作用。

参考文献：

全面风险管理审计篇（5）

内部审计在企业的经营管理中起着重要作用。在全面风险管理框架下，内部审计工作更应对管理层所提出的要求进行全面了解，在工作中充分发挥主动性，将审计工作的中心放在企业的经营管理上，从而使内部审计工作融入到风险管理工作当中，防范企业风险，推动企业长远发展。我国航天事业的飞速发展要求航天企业的内部审计进行转型，由常规审计转向管理审计。在全面风险管理框架下，航天企业内部审计在转型的过程中仍然存在一些问题，如何使内部审计在企业的管理中发挥出有效的作用，对于航天企业来说具有重要的意义。

一、全面风险管理框架下航天企业内部审计存在的问题

（一）内部审计的独立性不足

内部审计最关键的特性就是要保持独立性，只有确保内部审计具有独立性，才可以使内部审计的效果充分地发挥出来。内部审计的独立性体现在审计业务能够自由开展，业务部门可以按照审计要求公开提供资料。然而，实际工作中，在业务沟通方面，内部审计机构与审计人员常常被其他部门或人员所防范。在内部审计部门与业务部门之间，审计独立性也会受到权力范围以及权力不对等因素的影响。内部审计在企业的运营中起着非常重要的作用，其凸显出的重要价值就是对企业人财物的安全以及管理增值进行维护。尽管在航天企业内部设立了审计部门，配备了内部审计人员，但是内部审计还不能保持足够的独立性。

（二）内部审计质量有待提高

由于内部审计的作用越来越大，企业的发展需要内部审计的监督，因此，对审计质量提出了较高的要求。内部审计质量主要指内部审计能否达到规范的程度以及审计结果是否满足管理要求。审计质量作为审计工作的核心内容既能够反映出内部审计的整体水平，同时也可以凸显出审计专业的综合素质，只有高质量的内部审计结果才可以提升管理层对内部审计工作的重视程度。内部审计有效作用的发挥与服务需求是息息相关的，内部审计发挥的有效性越高，服务需求就越多。目前，航天企业内部审计人员对航天领域的专业认知还欠缺，发现问题、解决问题的能力还不够，综合素质还有待进一步提升，内部审计的结果还不能完全满足管理要求，内部审计的作用还未充分发挥出来。

（三）审计信息化发展不足

现阶段，航天企业内部审计业务仍以手工审计为主，并且所采取的审计方式也比较传统，审计人员到被审计单位按照被审计单位所提供的资料进行审计。在实际工作过程中，审计人员做了大量的重复性工作。大量的手工作业不仅大大地降低了审计的效率，也不利于审计人员对被审计单位的经营行为进行全面掌控。近年来，航天企业的财务系统已经开始应用浪潮财务软件GS网络系统，财务资金由集团进行统一管理和控制，财务资源实现共享。随着航天企业的飞速发展，传统的手工审计方式已经无法适应审计信息化的发展要求，从而导致了审计信息化和财务信息化之间产生了较大的差距，大大影响了审计效率与效果。

二、全面风险管理框架下航天企业内部审计发展建议措施

（一）有效加强审计质量监管

1、建立统一的审计质量控制机构和标准航天企业要建立统一的质量控制机构和标准，这属于审计发展的自身需求。建立审计质量控制机构和标准有利于审计工作取得较好的成果。因此，内部审计质量控制机构的建立应该被提上日程，设置特定的岗位，使审计质量得到进一步提高。随着航天企业不断发展，需要管理和控制的风险也日益增多，以规范管理防范风向的审计业务涉及的领域也越来越广，内部审计的风险也越来越大，内部审计自身的风险控制必须落实到质量控制岗位上。由此可见，构建统一的审计质量控制机构和标准属于对审计质量加大监管力度的首要工作。在建立审计质量控制机构和标准同时，还应该与企业的具体情况和业务管理的需求相结合，逐步建立健全与审计标准、程序以及业务等内容相关的质量控制体系。2、抓好审计质量控制的关键环节由于内部审计质量的提高贯穿于内部审计的全过程，因此，审计过程中需要对各个环节进行质量控制，只有这样才可以确保内部审计效果，才能真正发挥内部审计的作用。抓好审计质量控制的重点是把控审计报告的质量，审计报告属于内部审计成果的最终体现，它决定着后期审计整改工作的落实情况，以及发现的审计问题能否使企业管理更加规范。

（二）推进审计信息化建设

随着信息技术的快速发展，航天企业信息化水平获得了巨大的提高，但信息化审计水平还远远不足，航天企业要加强重视信息化审计工作，应用信息化审计方式开展审计工作，提高审计效率。建立审计信息化，对系统进行开发与应用，还应该大力推广计算机辅助审计作业的应用，使系统支持项目、计划以及审计信息管理，逐步实现计算机联网和实施监控审计，构建审计信息数据库，储存与管理审计资源，提高审计管理工作的质量与效率。

（三）提高审计人员素质

目前，航天企业审计人员专业相对单一，与航天企业不断发展壮大需要的复合型审计人才存在差距，因此，航天企业要制定内部审计人才引进与培养计划，一方面社会引进高素质人才，另一方面加强培养，全面提升审计人员的综合素质，使内部审计在企业经济运营中发挥更好的作用，为航天企业健康发展保驾护航。

三、结束语

综上所述，随着企业全面风险管理的加强，内部审计在航天企业经济运营中的地位更加重要。实践证明，内部审计在指导企业开展风险管控方面起着非常重要的作用，航天企业既具有客观上的特殊性，也具有企业自身发展的共性。随着航天企业不断发展与壮大，内部审计工作也会更加重要。

参考文献：

[1]刘超.基于风险管理的企业内部控制问题研究[D].云南大学,2016.

全面风险管理审计篇（6）

浙江交工集团市政分公司面对日益激烈的市场挑战，不断扩大经营范围，精细企业管理，增强企业综合竞争能力，逐步转型为以市政施工为主，兼营杭州地铁项目、湖南湘潭BT项目。

一、企业面临的主要风险

随着企业经营规模和经营范围的不断扩大，企业风险相应加大，主要体现在以下几个方面：

(一)经济环境风险

2012年3月5日，总理在政府工作报告中提出2012年国内生产总值目标为增长7.5%，表明今年仍将执行相对从紧的货币政策，公路建设资金来源将经受严峻的考验，新开工项目势必放缓，在建项目的资金能否及时到位亦面临极大的风险。同时，施工市场竞争的加剧，对于企业的资产规模、垫资能力、信誉程度、管理水平等综合竞争能力提出了更高、更严格的要求。

(二)合同履约风险

由于国家宏观调控的影响，部分高速公路业主单位的信贷规模受到了极大的限制，计划中的建设资金可能无法及时到位，对于在建或将建的项目要准确评估业主潜在的违约风险。履约风险亦存在于协作单位，在公路施工实践中，经业主同意后选择部分合适的专业施工单位和劳务分包单位时，其履约能力就是最大的风险。

(三)财务管理风险

市政分公司的主要业务为项目建设，其内部控制水平既受制度的约束，也受到项目管理人员水平的影响。因此在协作单位结算支付、材料供应商合选择、工程建设、财务管理等方面均存在较大的风险。

资金是企业的血液，随着资产规模和经营范围的扩大，对于企业的融资能力及管理水平提出了更高的要求，流动资金的风险明显加大。

二、应对企业风险的措施

随着内部审计的逐步健全和发展，以内部控制为主要对象的内部审计有机会对企业运作和项目建设进行全面审查和评价，在企业风险管理中发挥着举足轻重的作用，主要体现在以下几个方面：

(一)加强内部审计，提升企业全面风险管理水平

企业实施任何项目之前，必然对该项目进行必要的风险测试，找出项目主要风险点并提出相应的应对措施。而内部审计在在风险管理中的作用就是对公司的风险管理体系、管理制度及运作过程进行评价和有效监督，协助公司改进风险管理的控制措施和管理方法，达到提高运作效率和增加价值的目的。内部审计是企业治理结构的组成部分，相对于外部审计而言，更易于收集各种必要的资料，能够更加准确的认识到存在的风险。所以强化内部审计，加强企业运作和项目建设的监督管理，能有效提升企业全面风险管理水平。

(二)加强内部审计，促使各项经济合同有效履行

在实施任何项目之前，需会同各部门对项目风险进行合理的评估，对于业主资金来源、工程竣工结算等关键事宜在工程施工合同中得到有效的体现，避免由于合同缺陷给企业带来的损失。同时，要建立协作单位信用评价体系，选择信誉好、施工实力较强的专业公司和劳务公司进行专业分包和劳务分包，并签订专业规范的分包合同，促使各项经济合同得到有效履行。

(三)加强内部审计，保障各项制度得到有效实施

市政分公司先后出台了《工程机械管理办法》、《项目合同管理办法》、《报销与支付流程》等规章制度来规范项目建设，确保项目建设按预期目标进行。内部审计依照公司的各项规章制度，严格遵循内部审计的基本准则和工作流程，通过对项目预算管理、合同管理、机料管理、结算管理等各方面的检查和核实，促使整个项目建设始终处于健康有序的轨道，保障公司各项制度得到有效实施。

内部审计通过独立、客观的审计行为，评价公司及所属项目财务收支、经济活动的真实、合法和效益的行为，能够提升企业全面风险管理水平，促使各项经济合同有效履行，保障各项制度得到有效实施，进而促进企业强化风险管理，实现预期经济目标。

三、如何提高内部审计水平

伴随着经济环境和企业管理模式的变化，对内部审计提出了更高的要求。因此，要从以下几方面着手，进一步提高内部审计水平，充分发挥其在企业风险管理中的作用，帮助企业降低风险损失，实现预期经济目标：

(一)加强内部审计在项目预算管理中的作用

项目财务预算管理作为公司规范项目管理的重要组成部分，对进一步降低项目施工成本、提高项目经济效益起着至关重要的作用，是真正实现“向管理要效益”的有效管理手段。内部审计在项目预算管理中起着至关重要的作用，通过对项目的跟踪审计，能够保障各项预算指标的有效执行，实现对项目预算管理的事先、事中和事后全程监管。

(二)进一步提高审计人员的理论水平和业务能力

内部审计人员的工作能力、实际经验直接影响着内部审计工作的完成效率和实施成效。故而内审人员应注重专业培训和继续教育，全面提高自身的业务能力和职业道德。同时，随着交投集团全面实施金蝶EAS管理系统，内审人员要与时俱进，充分利用计算机辅助审计功能，提高审计效率。

(三)加强内审人员的沟通与协作的能力

《内部审计具体准则》第20号—人际关系中指出，内部审计人员应当与组织内外相关机构和人员进行必要沟通，保持良好的人际关系。内审部门通过与管理层、相关部门、被审单位保持良性的沟通渠道，能充分保证内审的独立性，取得审计所需资料，并确保审计出的问题得到及时反馈和整改。

总而言之，随着公司经营规模和经营范围的不断扩大，逐步建立和健全风险管理机制，提高企业决策的科学性和合理性，实现项目全面预算管理，是企业发展的必然趋势。企业内部审计要与时俱进，建立健全内部审计制度，提高企业内部审计质量，充分发挥内部审计在企业风险管理中的作用。

全面风险管理审计篇（7）

20世纪90年代中后期,人们逐渐意识到银行损失不再是由单一风险造成的,而是由信用风险、市场风险、操作风险等多种风险因素交织作用而成。风险越来越具有综合性、复杂性和转变性,以至于以零散的方式管理公司所面对的各类风险已经不能满足需要。在此背景下,全面风险管理应运而生。以《巴塞尔新资本协议》(The New Basel Capital Accord)、《企业风险管理-整合框架》(Enterprise Risk Management-Integrated Framework,简称ERM-IF)的正式颁布为标志,全面风险管理成为国际银行业的新标准。1999年国际内部审计协会(IIA)认为内部审计是“旨在增加组织价值和改善组织营运的独立、客观的确认和咨询活动,它通过系统化、规范化的方法来评价和改善风险管理、内部控制及治理程序的效果,以帮助实现组织目标。”2001年,巴塞尔委员会在其颁布的《银行内部审计及审计员和监管人员的关系》(Internal audit in banks and the supervisor's relationship with auditors)中采纳了此定义。此定义将现代内部审计业务触角广泛地延伸到企业风险管理领域,其对风险管理的关注,昭示着内部审计新时代――风险导向内部审计的到来。本文在全面风险管理视角下,以第五大投行贝尔斯登的垮塌为依托,详细阐述内部审计的作用机制。

贝尔斯登(Bear Stearns)是美国第五大投资银行,素以敢于冒险而著称。与花旗、摩根大通这样的全能银行相比,贝尔斯登激进的按揭业务(mortage business)、结算业务(settlement business)、对应高端客户的投资咨询业务在赚钱效应上更胜一筹。尤其是凭借在次级抵押市场投入重注,2002年底至2007年中期,贝尔斯登业绩蒸蒸日上,股票价格涨幅更是高达175%,彻底跑赢同期美国大市。然而,这个拥有85年历史,被称为“华尔街孤狼”的美国第五大投行,华尔街主要的次级债打包者和交易者贝尔斯登,却成了美国次贷危机最惨烈的牺牲者。2007年6月,贝尔斯登旗下两只对冲基金出现严重亏损,总值200多亿美元的基金最终清盘,次货危机初露端倪;9月20日,贝尔斯登宣布季度盈利大跌68%;5月底至8月底间,公司账面资产缩水达420亿美元;12月20日,贝尔斯登宣布19亿美元资产减记。到了2008年3月,关于贝尔斯登陷入困境的传言开始在市场上散布开来,传言愈演愈烈,投资者逃离贝尔斯登也愈演愈烈,欧洲银行已经停止和贝尔斯登进行相关交易,投资者开始撤资或者抛售股票,公司的流动性面临很大的压力。3月14日,美联储(U.S. Federal Reserve)决定通过摩根大通公司(J.P. Morgan Chase & Co.)向贝尔斯登提供应急资金,以缓解该公司的流动性短缺危机。但美联储的出手也只是减缓贝尔斯登下落的速度,并不能改变贝尔斯登倒下的事实。3月24日,摩根大通以约11.9亿美元的价格收购贝尔斯登,标志着贝尔斯登结束了独资的身份,成为了摩根大通旗下的一家子公司。

一、贝尔斯登的风险管理漏洞

贝尔斯登的倒闭是多方面因素综合影响的结果,包括外部环境和内部公司治理等。但从贝尔斯登的没落过程可以清楚看到,贝尔斯登的风险管理存在严重的漏洞,很多风险因素都没有得到及时有效的管理。

(一)内部环境企业文化不妥当

贝尔斯登崇尚适者生存,从而使其形成了自己的特殊文化――激进派作为和集中下注。在华尔街众多投行中,贝尔斯登市值只有也不算大的雷曼兄弟的三分之一,但是凭借着激进做派和集中下注,跻身一流投行之列。抵押相关产品打包,即CDO(Collateralized Debt Obligation),由于其结构复杂,市场很难准确定价,因此往往会有高额利润,但同样意味着高风险。这种具有很大不确定性的金融衍生品正是引发目前这场金融灾难的关键,贝尔斯登是它的发明者。市场普遍认为,贝尔斯登的业务过于集中于房贷抵押债券产品,当高风险业务受到重创,吸呐大量流动资金的时候,整体业务亦受到影响。与此同时,贝尔斯登一向不在意同行的看法。10 年前,当长期资本公司(Long-Term Capital Management)濒临破产,华尔街主要金融机构为其提供了援助,只有贝尔斯登拒绝援助。贝尔斯登的我行我素,最终导致了它的孤立无缘。贝尔斯登流动性危机(Liquidity Crisis)传言扩散时,没有任何机构站出来公开反驳这些流言,尽管此时华尔街同行正不留余力地帮助受类似流言困扰的雷曼兄弟公司。

(二)风险识别与风险评估不到位

2006年10月后,美国持续上涨了11年的住房价格开始下跌,房地产交易市场持续降温,次贷危机开始显现,这对于次贷支持CDO的影响是非常大的,如果形势得不到改善,意味着风险巨大。致力于次贷支持CDO投资的贝尔斯登对于关系如此重大的事件,应该能及时识别其风险,并积极进行风险评估。然而,贝尔斯登似乎无视风险,还勇往直前。2007年底,当高盛(Goldman Sachs)的首席财务官大卫・维尼亚(David Viniar)召开一个被称为“抵押风险”(Mortgage Risks)的会议,决定高盛必须降低抵押以及与抵押相关的有价证券的存量,同时买进昂贵的保险以对冲即将到来的损失时,贝尔斯登正忙于为获取高额费用包装和交易复杂的证券,完全忽略了对他们作为买方的保护措施。最终的结果是贝尔斯登由于次贷危机的影响走向了倒闭,而高盛则在次贷危机中全身而退。

(三)风险应对与控制活动不作为

贝尔斯登2007年以来危机不断发展,并最终导致了灾难。在这个过程当中,贝尔斯登的领导人所采取的态度是,只要员工有信心,一切都会没事。他们没有采取任何努力来让外界放心,并让大家了解事情的进展。面对外界不断增长的疑虑,贝尔斯登的反应是了一份不温不火、毫无细节的声明,宣称它在资本或流动性上不存在任何问题。贝尔斯登的领导们也没有尽力加强其账面状况,并在机会适合时削减杠杆。形成鲜明对比的是,同样受谣言困扰的雷曼兄弟(Lehman Brothers)却已经采取更为坚决的行动来稳定其账面,它的现金缓冲是贝尔斯登的两倍。雷曼还展开了一项艰难而有规划的运动,从而让动摇者重建信心。

(四)信息与沟通不及时

高杠杆使得金融机构极易破产,信心成为它们的根基。有批评者认为贝尔斯登公司主席吉米・凯恩(Jimmy Cayne)没有及时与外界沟通,才导致关于公司现金流动性不足的传言四起,在短短的3天内170亿美元现金储备蒸发,最终导致贝尔斯登的没落。实际上,贝尔斯登领导层自己对危机都没有清晰的认识,没能很好地了解到谣言的破坏性和危机的严重性,所以他对于投资者的安抚,对于公司运营良好的保证,都显得苍白无力。

二、贝尔斯登内部审计在风险管理中应发挥的作用

(一)评价确认风险环境因素

内部审计是企业自我约束机制的重要组成部分,是风险管理的倡导者和推动者。内审人员要正确地认识企业组织所处的环境,促进企业风险文化的形成。贝尔斯登的企业文化体现的不是管理风险、规避风险思想,而是欢迎风险,这为其埋下了风险隐患。在经济环境好时显现不出来,一旦经济环境恶化,就很容易暴露危险,引发危机。对于贝尔斯登的企业文化,内部审计可以采取措施,控制其风险。内部审计人员可充当企业内部环境建设的培训师,帮助重新塑造组织文化,影响组织成员的控制意识、实施控制的自觉性。另外,利用在内部控制和风险方面的专长,内部审计人员可以进行控制和风险评估培训,使风险意识贯穿于整个企业的各个层面,并且使每名员工能够有效识别风险并提出有效控制措施,实施企业全员、全过程、全方位、全天候的风险管理。

(二)确保风险识别充分与风险评估恰当

内审人员对企业风险管理机制的审查首先是从风险识别开始的,确保企业所有重大风险都已被充分识别。美国住房价格的下跌对于投资次贷支持CDO的贝尔斯登来说绝对是具有重大风险的事件,在风险管理部门对此风险事件未识别或者识别出但是未进行严格的风险评估的情况下,内部审计可通过评价确认风险识别与评估因素,对风险事件及风险程度进行再确认,充当企业风险管理的最后一道防线。

(三)评价确认风险应对机制的有效性与控制活动的适当性

《企业风险管理――整合框架》指出首席执行官(CEO)对风险管理负有最高职责,内部审计师则负有关键的支持责任。在这次危机中,面对四处扩散的流言,贝尔斯登的应对行动缓慢,控制措施也显得苍白无力。贝尔斯登的内部审计应对风险应对机制的有效性进行评价,从而确保其在应对危机,特别是灾难性事件时能有一套健全完善的机制加以应对,而不是面对风险的无所作为。若贝尔斯登内部审计积极地对控制活动进行评价并提供保证与建议,或许贝尔斯登的流动性危机谣言可以得到有效控制,或许危机能自动解除,贝尔斯登的历史将重新改写。

(四)保证风险信息与沟通准确、及时

在风险信息沟通活动中,内部审计可通过评价报告系统,证明风险信息是否准确及时地传给相关人员,内审报告可以向董事会和审计委员会传递风险是否得到有效管理的信息。当公司受谣言困扰时,曾有公司人员向当时的首席执行官艾伦・施瓦茨(Alan Schwartz)发出了危险信号,但施瓦茨却采取了无力的控制措施,这很有可能是施瓦茨不知道危机的严重性。内部审计作为独立性较高的机构,能把握企业的全局情况,如果这时内部审计机构能及时出具评价报告,保证风险信息及时传递给最高领导人,也许施瓦茨应该考虑更好的应对风险措施。另外,贝尔斯登内部人员的意见也不一致,大家对即将到来的危机并没有清晰的认识。外部人员则出于谨慎性考虑,在得不到有力证明时,宁愿选择相信谣言。所以内部审计应保证信息及时准确地传给相关人员,一方面是公司内部信息的传递,让公司的相关人员了解所面临的风险,以采取统一的、有效的措施,而不至于自乱阵脚;另一方面,应将信息传递给外部相关人员,确保及时与外部进行沟通,增强外部人员对公司的信心,这样也可以使谣言不攻自破。

三、结束语

内部审计作为管理系统中对风险管理效率性、效果性和经济性的评估者,以及作为风险控制的最后一道防线,其承担的责任是巨大的。通过贝尔斯登破产案的教训,商业银行内部审计部门应充分发挥风险“确认者”、“咨询师”和“顾问”的作用,从而促进企业全面风险管理体系的建立,有利于更好地规避风险或者在风险发生时认清形势,采取及时、正确的应对措施,将损失降到最低。

【主要参考文献】

[1] 美国COSO委员会.方红星,等译.企业风险管理――整合框架[M].大连:东北财经大学出版社,2005.

全面风险管理审计篇（8）

全面风险管理是从战略目标制定到目标实现的全过程风险管理，随着现代商业银行所承担风险的增加，商业银行内部审计关注的重点也逐渐转移到风险管理上来，当今风险审计作为一种新的审计理念，成为备受人们关注的热点。与其说银行是在经营货币的企业，不如说银行是经营风险，从风险管理中获取收益的企业。商业银行一直在利润与风险之间做着谨慎和侥幸的选择，防范和控制经营中的风险，实施全面风险管理战略，是商业银行面临的现实而紧迫的任务。作为现代商业银行的审计部门，如何由传统的合规性审计向风险预警和防范为目标的风险审计转变，合理配置有限的审计资源，提高审计效率与效益，有效发挥审计监督在防范和控制风险中的积极作用，已成为现代商业银行内部审计面临的焦点课题。

风险审计的涵义

风险审计，也称风险基础审计或者风险导向审计，它是在传统的账项基础和内部控制制度基础审计上发展起来的一种审计模式，是指审计人员在对被审单位的内部控制充分了解和评价的基础上，综合分析、判断被审计单位的风险状况及其风险程度，从而把有限的审计资源集中到高风险的审计领域，针对不同风险程度采取相应的审计对策，重点对高风险点进行实质性测试，从而伎内部审计的剩余风险降至可接受的最低水平。与账项基础审计、内部控制制度基础审计相比，风险审计关注点在于对被审单位的风险评估，其审计重心向风险评估转移，更加关注的是企业的风险管理活动一一是否建立清晰的风险管理战略、完善的管理架构、全面的风险管理过程和良好的风险管理文化，最终实现风险管理效率和价值的最大化，不但可以保证充分的审计覆盖面，而且对每一个领域都会根据其风险评价结果有不同的审计频率与深度，增强了对风险的预防控制作用，风险审计方法的重点是识另q、预防与控制风险。因此，风险审计理论的核心是从分析审计风险入手，通过建立科学的审计风险分析模型，采取定性定量分析方法，量化确定固有保证程度系数，并控制保证程度系数，确定可接受的检查风险水平，以确保审计质量。

商业银行实施风险审计方法的坝实重要牲

格林斯潘曾经说过：“银行的基本职能是预测、承担和管理风险。”风险审计的本质和根本目标是促进和保障商业银行业务的稳健发展，促进商业银行树立全面的风险管理理念，坚持发展与防范风险并重；适应市场和业务需要，不断完善风险管理手段，健全风险管理体制，培育风险管理文化，提高风险管理水平，促进业务发展，目标是优化资源配置，将风险控制在商业银行可以承担的范围内，实现风险调整后的收益最大化。

全面风险管理审计篇（9）

风险审计的涵义

商业银行实施风险审计方法的坝实重要牲

全面风险管理审计篇（10）

风险审计的涵义

商业银行实施风险审计方法的坝实重要牲

（一）风险审计的理念和方法是商业银行实施全面风险管理的现实选择，进一步提升了内部审计的增值服务?风险是商业银行与生俱来的产物，存在于商业银行业务的每一个环节当中，商业银行提供金融服务的过程也是承担和控制风险的过程，因此，风险管理是商业银行永恒的主题。在现代金融领域中，能建立良好的风险管理架构和体系，对风险进行全面有效的管理，并以良好的风险定价策略实现价值增长，是影响商业银行核心竞争力的重要因素，也是实施风险审计的必然要求。国有商业银行上市后，要在提高全面风险管理能力的前提下保持持续的价值创造能力。

巴塞尔新资本协议和美国反舞弊财务报告委员会的发起组织委员会fCOSO)的《企业全面风险管理框架》将全面风险管理概括为对商业银行各个层次的业务单位和各种类型的风险进行统筹管理，这种管理要求将包含信用风险、市场风险、操作风险和其他风险的各种金融资产与资产组合，承担这些风险的各个业务单位纳入到统一的管理体系中，对各类风险依据统一的标准进行测量并加总，依据全部业务的相关性对风险进行全程的控制和管理。风险审计正是以全面评估风险为基础，从重要风险点上人手，在深入分析判断不同层面和业务单位风险状况的基础上，确定审计重点，对风险高的业务集中资源重点审计，通过评估银行风险识别的充分性、风险衡量的恰当性及风险防范的有效性，并在此基础上提出相应的改进措施和建议，直接影响商业银行经营战略的制定，确保商业银行实现业务发展、风险控制和效益增长的有机统一

（二)采用风险审计的理论和技术、是现代商业银行审计发展的目标和方向，实现增值型审计转型需要：当前国际内审发展已进入一个以风险管理和公司治理为标志的新的发展阶段，西方的绝大部分商业银行在内部审计均采用了风险审计的理论和技术。国际审计师协会主席捷奎林?瓦格娜曾提出：“环境的变化给内部审计师带来增加价值的机会最多的领域是风险管理的公司治理。”2003年国际内部审计协会对2001年新的《内部审计实务标准》(以下简称《标准》)修改后，在内容上也自始至终都贯穿着风险审计的主导思想。

一是在对内部审计的定义中要求内部审计采用一种系统化、规范化的方法来对机构的风险管理、控制及监管过程进行评价进而提高它的效率，帮助机构实现它的目标。二是内部审计的目标要求内部审计参与风险管理。三是内部审计的工作重点要求内部审计参与风险管理。四是标准对审计计划、审计测试、审计结果、后续审计各个方面都作了和风险相关的明确规范。五是关于剩余风险，《标准》做出了在审计执行主管认为高级管理层接受的剩余风险水平对于机构来说是无法接受时就报告董事会加以解决的规定。这些规定和要求将内部审计的范围延伸到风险管理和公司治理，所以风险管理已经成为内部审计的主要工作。随着风险管理导向内部控制时代的来临，内部审计的工作重点也发行了变化，现代内部审计突破了传统的监督、鉴证、评价职能的范围，更多地介入商业银行有效的风险管理机制和健全的公司治理结构领域。

风睑审计在项代商业银行风睑管理中的作用

(一)风险审计有利于提高商业银行风险管理水平，促进风险文化建设。风险基础审计主动发现和控制各项风险，通过对商业银行业务部门进行风险评估，并按照次序排列风险，集中高风险的项目优先审计。前者试图阻止不期望的行为发生，这种事先的控制有助于阻止损失的发生；后者试图检查出不期望发生的行为，检查性的控带l目的是提供损失发生的证据。这两种类型的控制都是必要的内部控制系统，使商业银行的内控机制完善、管用。同时，风险审计关注的重点是业务过程中的每一个风险点，涉及所有员工和管理者，这样有助于形成商业银行风险文化，从而提高商业银行全面风险管理水平。

(二)风险审计有利于对风险事件的识别风险审计采用通用风险分析模板及方法，识别商业银行业务过程的风险和外部环境风险。风险审计人员运用某些分析方法，创造性地进行分析，判断管理层是否完全识别了企业的所有风险，若有遗漏的风险要提醒管理层加以考虑。

(三)风险审计有利于对风险的反应和控制。在风险反应活动中，商业银行要根据不同的风险决定要采取的策略和方法，决定是避免风险、接受风险、还是降低风险。如对有相对的风险回报的风险，商业银行可以考虑接受，但要采取控制措施，才能将风险降低到可以接受的水平，获得希望的回报。对于这部分风险，商业银行会采取减少风险、转移风险或分担风险的办法以降低商业银行承受的风险。风险审计人员的主要工作在于分析、评价风险回报的合理性、减少风险的措施的有效性、以及接受风险转移和风险分担的那一方的风险。

(四)风险审计有利于对风险信息沟通和风险管理系统的监控。在风险信息沟通活动中，商业银行的风险管理要将风险及时有效地传递给内部相关人员，以便及时采取相应的控制措施。风险审计人员可以通过评价报告系统证明风险信息被准确、及时地传递到相关人员，内部审计报告可以向董事会和审计委员会传递风险是否得到有效管理的信息。在监控活动中，商业银行要对风险管理进行持续监控，通过对内部控制系统的运行的监控和对定期检查结果及意外事项的处理结果的评价，保证商业银行对风险管理是一直有效的。风险审计人员可以通过分析环境和风险变化，检查内部控制系统是否已更新，是否能控制新的风险。还可以通过后续审计管理层对审计中发现的问题及对意外事项的处理情况，检查新的控制措施是否有效，将分析结果和建议提供给管理层以便改进控制措施。

风险审计在捕国商业银行规划与存在问题

(一)风险基础审计的法制化、制度化规范化建设的道路还很漫长。一是商业银行内部制度调整工作量大，相关业务制度和操作流程也要进行相应调整；二是支持系统建设难度大，因长期需要具备相应功能的电子化系统作支持，要求商业银行改进现有业务系统，并开发建设风险评估系统，风险评估系统的建设包括业务流程、历史数据收集、参数选择等需要大量投资和时间准备。三是短期内风险审计人员素质难以提高。风险审计人员需要精通包括审计、会计财务、法律、逻辑学、信息学、系统论、管理学等专业知识，懂得运用经济、数理、计算机等专用分析手段来预知和减少风险，每位风险审计人员达到运用自如的水准尚需时日。

(二)审计证据的较高要求增加风险审计取证的难度风险基础审计必须获取充足的、可靠的相关的证据以判断，而目前我国商业银行风险基础审计缺少可供遵循的标准和程序，且审计取证的渠道和方式多样，因此，审计人员一般都需要提高调查样本代表性和增大调查样本的方法，以增强对总体风险推断的准确性。

(三)风险审计技术手段落后，难以适应工作需要。计算机会计信息系统、信贷管理系统的广泛应用和发展，大大增强了审计的及时性，事后审计；逐步被实时审计所代替，这与针对经营全过程的风险基础审计不谋而合。在我国，商业银行审计人员大多数对计算机辅助审计不太熟悉，许多还停留在传统手工查账的基础上，在新技术面前还有些无所适从．审计手段落后，不但增加了审计难度，而且效率低、准确差，严重影响了审计作用的发挥，无法满足商业银行风险基础审计工作的需要

(四)协调配台欠缺，降低了审计结果的运用日常审计中很少利用纪检、人事及其他部门掌握的信息，审计结束后，除个别项目外一般也不与这些部门交换，致使审计成果在干部考核、任用、奖惩等方面没有发挥应有的作用，相应削弱了审计的威慑力。

我国商业银行发展和完善风险审计的对策

(一)正确认识风险基础审计在银行公司治理结构的重要作用，为风险审计的发展刨造良好的环境商业银行公司治理的核心问题是委托人(股东、投资者、管理者)如何激励和约束人(经理层)、积极有效地完成受托经营管理责任，以确保股东或投资者财富最大化。显然仅仅通过财务审计，委托人难以全面了解人是否有效履行其受托责任，而风险基础审计有利于减少信息不对称性，较为全面地提供委托人所需要的有关经营管理活动方面信息，大大遏制了“道德风险”的发生，增强了经营管理的透明度，从而达到控制和抑制“内部人控制”的目的，同时，通过风险审计可以有效地判断人的业绩和能力，评价人对受托人责任履行情况，促进人提高经营管理效率因此，风险审计是商业银行公司治理结构的重要组成部分，是完善公司治理结构的“四大基石”之一。

（二)抓紧制定风睑基蒯{计；，立则尽快完善评价标：停体系要吸收借鉴美国、英国、典等发达国家的先进经验，抓紧研究制定我国的风险基础审计准则，这是开展风险审计的当务之急。风险基础审计准则的制定要遵循“衔接”、“配套”、“务实”的原则，注意解决好前瞻与现实的矛盾，接轨与国情的矛盾。逐步探索和完善风险审计的评价标准体系，量化评价指标，为不同项目之间的比较提供依据

全面风险管理审计篇（11）

风险审计的涵义

商业银行实施风险审计方法的坝实重要牲

风睑审计在项代商业银行风睑管理中的作用

(二)风险审计有利于对风险事件的识别风险审计采用通用风险分析模板及方法，识别商业银行业务过程的风险和外部环境风险。风险审计人员运用某些分析方法，创造性地进行分析，判断管理层是否完全识别了企业的所有风险，

若有遗漏的风险要提醒管理层加以考虑。

风险审计在捕国商业银行规划与存在问题

我国商业银行发展和完善风险审计的对策

上一篇智慧养老的风险下一篇道路桥梁工程前景

返回列表

全面风险管理审计大全11篇

全面风险管理审计篇（1）

全面风险管理审计篇（2）

全面风险管理审计篇（3）

全面风险管理审计篇（4）

全面风险管理审计篇（5）

全面风险管理审计篇（6）

全面风险管理审计篇（7）

全面风险管理审计篇（8）

全面风险管理审计篇（9）

全面风险管理审计篇（10）

全面风险管理审计篇（11）

推荐精选

推荐范文

相关期刊