企业风险管理的措施

开篇：写作不仅是一种记录，更是一种创造，它让我们能够捕捉那些稍纵即逝的灵感，将它们永久地定格在纸上。下面是小编精心整理的12篇企业风险管理的措施，希望这些内容能成为您创作过程中的良师益友，陪伴您不断探索和进步。

第1篇

「摘要企业风险管理是一个倍受关注的焦点问题，企业能否在存在各种不确定性因素影响的环境中有序、有效地运转，在很大程度上取决于企业风险管理的有效性。对企业风险管理的有效性进行审查和评价是现代内部审计的一个崭新领域，本文在分析了企业风险和风险管理内涵的基础上，分析了企业风险管理审计的目标及主要内容。

「关键词企业风险风险管理风险管理审计由于各种不确定性因素，企业面临着各种风险，能否对风险进行有效的管理和控制，是企业能否生存发展、实现企业预期目标的关键。企业风险管理的有效性在一定程度上取决于企业对风险管理工作的监督和评价。因此，无论是国际内部审计师协会对内部审计的定义，还是我国的内部审计准则都强调了内部审计在企业风险管理中的重要性。我国从2005年5月1日起施行的内部审计具体准则第16号———《风险管理审计》中更是强调了内部审计人员对风险管理进行审查和评价的职责。

一、企业风险及风险管理的内涵进行企业风险管理审计，必须明确企业风险及风险管理的内涵。否则，企业风险管理审计便无从谈起。1企业风险的实质首先，风险产生于不确定性因素的存在，如果企业运行的内外环境是确定的，则不存在企业风险。其次，企业运行环境的不确定性带来了企业运行结果的不确定性。一般来说，我们更注重企业的运行结果，对预期结果的实现与否及可实现程度的大小成为了衡量企业风险大小的现实标准。因此，可以认为，企业风险则是企业运行结果偏离期望结果的可能性。笔者认为，企业目标是企业期望达到的一种结果状态，但由于相关因素的持续不断的变化，企业目标的实现存在不确定性。因此，企业风险可以描述为企业目标不能得以实现的可能性。2企业风险的划分企业风险可以按多种标准进行分类。笔者认为，既然将风险定义为企业目标不能得以实现的可能性，那么，企业风险可以按照企业目标的不同层次来理解和划分，并可将其相应划分为：（1）企业的战略风险是指企业战略目标不能实现的可能性，主要包括：由于对有关影响因素的分析不够充分或对未来的变化没能合理预计而带来的企业在总体战略选择环节的失误风险；由于企业的具体战略选择失误而带来的风险，包括企业经营领域的选择风险、企业并购风险等。（2）企业日常经营管理风险是指企业具体经营目标不能实现的可能性，又可以划分为企业经营环节的作业链风险，如企业供、产、销等环节的风险；企业的人事风险，如由于人员任用、授权、业绩评价等方面的缺陷带来的风险；企业的信息风险，如企业信息系统风险等。（3）财务风险。狭义一般是指由于企业筹措资金而形成的风险，并主要是指企业由于举债而形成的风险，也可称之为筹资风险。按照本文对风险的定义，即企业目标不能实现的可能性，则企业的财务风险是指企业财务活动目标不能得以实现的可能性，包括筹资风险、资金投放的风险及企业其他财务活动风险，我们可以称之为广义的财务风险。3企业风险管理COSO于2004年颁布的《企业风险管理框架》中指出“企业风险管理是一个过程，它由董事会、管理当局和其他人员执行，应用于战略制订并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在风险容量之内，并为主体目标的实现提供合理保证。”我国内部审计协会2005年的内部审计具体准则16号—《企业风险管理审计》中指出“风险管理，是对影响组织目标实现的各种不确定性事件进行识别与评估，并采取应对措施将其影响控制在可接受范围内的过程。风险管理旨在为组织目标的实现提供合理保证。”从上述对风险管理的解释可以看出，企业风险管理的最终目标是为企业目标的实现提供合理的保证。

二、企业风险管理审计的目标对企业风险管理进行监督和评价是现代内部审计发展的结果，企业风险管理审计的目标取决于对企业内部审计的功能定位。从西方企业内部审计的产生和发展过程来看，内部审计是随着经济的发展，企业内部管理层次的增多和控制范围的扩大，基于企业内部经济管理与监督的需要而产生的，并随着管理的需要而不断发展。随着内部审计的不断发展，内部审计的目标也在不断地变化，其中以国际内部审计师协会（IIA）对内部审计所下定义的变化最具有代表性。国际内部审计师协会（IIA）理事会指出内部审计是一种独立、客观的保证和咨询活动，其目的是增加组织的价值和改善组织的经营。我国的内部审计不是在企业内部管理需要的动因下发展起来的，而是在政府的要求下，在国家审计部门的推动下建立起来的。1993年国家审计署成立，为了尽快建立和完善审计体系，补充刚刚复兴的国家审计力量的不足，政府和政府审计机构都极力敦促内部审计的组建。但随着我国经济体制的不断改革发展，企业内部审计越来越受到各方面的重视，对内部审计的理解也发生了较大的变化。我国的内部审计基本准则指出：内部审计是组织内部的一种独立客观的监督和评价活动，它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现。从内部审计的发展过程可以看出，企业内部审计的目标在于帮助企业实现目标。企业内部审计的目标决定了企业风险管理审计的目的在于：通过内部审计机构和人员对企业风险管理过程的了解，审查并评价其适当性和有效性，提出改进建议，促进企业目标的实现。

三、企业风险管理审计的内容风险管理包括组织整体及职能部门两个层面。内部审计人员既可对组织整体的风险管理进行审查与评价，也可对职能部门的风险管理进行审查与评价。因此，笔者认为企业风险管理审计应当包括以下方面的内容：

（一）风险管理机制的审查与评价企业的风险管理机制是企业进行风险管理的基础，良好的风险管理机制是企业风险管理是否有效的前提。因此，内部审计部门或人员需要审查以下方面，以确定企业风险管理机制的健全性及有效性。包括：1审查风险管理组织机构的健全性。企业必须根据规模大小、管理水平、风险程度以及生产经营的性质等方面的特点，在全体员工参与合作和专业管理相结合的基础上，建立一个包括风险管理负责人、一般专业管理人、非专业风险管理人和外部的风险管理服务等规范化风险管理的组织体系。该体系应根据风险产生的原因和阶段不断地进行动态调整，并通过健全的制度来明确相互之间的责、权、利，使企业的风险管理体系成为一个有机整体。

2审查风险管理程序的合理性。企业风险管理机构应当采用适当的风险管理程序，以确保风险管理的有效性。3审查风险预警系统的存在及有效性。企业进行风险管理的目的是避免风险、减少风险，因此，风险管理的首要工作是建立风险预警系统，即通过对风险进行科学的预测分析，预计可能发生的风险，并提醒有关部门采取有力的措施。企业的风险管理机构和人员应密切注意与本企业相关的各种内外因素的变化发展趋势，从对因素变化的动态中分析预测企业可能发生的风险，进行风险预警。（二）风险识别的适当性及有效性审查风险识别是指对企业面临的，以及潜在的风险加以判断、归类和鉴定风险性质的过程。内部审计人员应当实施必要的审计程序，对风险识别过程进行审查与评价，重点关注组织面临的内、外部风险是否已得到充分、适当的确认。笔者认为应当包括以下内容：1审查风险识别原则的合理性。企业进行风险评估乃至风险控制的前提是进行风险识别和分析，风险识别是关键性的第一步。2审查风险识别方法的适当性。识别风险是风险管理的基础。风险管理人员应在进行了实地调查研究之后，运用各种方法对尚未发生的、潜在的、及存在的各种风险进行系统的归类，并总结出企业面临的各种风险。风险识别方法所要解决的主要问题是：采取一定的方法分析风险因素、风险的性质以及潜在后果。需要注意是，风险管理的理论和实务证明没有任何一种方法的功能是万能的，进行风险识别方法的适当性审查和评价时，必须注重分析企业风险管理部门是否将各种方法相互融通、相互结合地运用。（三）风险评估方法的适当性及有效性审查内部审计人员应当实施必要的审计程序，对风险评估过程进行审查与评价，并重点关注风险发生的可能性和风险对组织目标的实现产生影响的严重程度两个要素。同时，内部审计人员应当充分了解风险评估的方法，并对管理层所采用的风险评估方法的适当性和有效性进行审查。内部审计人员应当对管理层所采用的风险评估方法进行审查，并重点考虑以下因素：（1）已识别的风险的特征；（2）相关历史数据的充分性与可靠性；（3）管理层进行风险评估的技术能力；（4）成本效益的考核与衡量等。3审查风险评估方法应当遵循的原则内部审计人员在评价风险评估方法的适当性和有效性时，应当遵循以下原则：（1）定性方法的采用需要充分考虑相关部门或人员的意见，以提高评估结果的客观性；（2）在风险难以量化、定量评价所需数据难以获取时，一般应采用定性方法；（3）定量方法一般情况下会比定性方法提供更为客观的评估结果。（四）风险应对措施适当性和有效性审查内部审计人员应当实施适当的审计程序，对风险应对措施进行审查。内部审计人员在评价风险应对措施的适当性和有效性时，应当考虑以下因素：（1）采取风险应对措施之后的剩余风险水平是否在组织可以接受的范围之内；（2）采取的风险应对措施是否适合本组织的经营、管理特点；（3）成本效益的考核与衡量等。

第2篇

本文试从企业风险库的建立及运行方面着手，探讨其对企业风险管理的现实意义；同时从内部审计部门的角度出发，提出若干建议和办法，以期能为企业风险库的建设与运行提供参考意见。

关键词：

内审部门企业风险库

随着企业风险管理工作越来越受到重视，作为风险管理的重要组成部分——风险库也逐步走进了管理层的视野。企业风险库收集、归类、跟踪已识别的各类风险信息，能够帮助管理层特别是内审部门了解、掌握企业的风险现状及变化趋势，是企业风险管理的重要工具。同时，实践当中由企业内审部门承担风险管理工作的情况也屡见不鲜。为此，如何建设及运行企业风险库就成为摆在内审部门面前的一道重要课题。

一、基本原则

企业风险库的建设及运行工作应遵循以下几个原则：

1.先易后难、逐步扩展原则。

企业风险库建设涉及到企业管理和运营方面，内容包括内控风险、运营风险、市场风险、财务风险、安全风险、法律（环保等）风险等，其建设与完善绝非能一日而就。作为企业内审部门，可采用电子表格形式，先将比较熟悉的内控风险、运营风险、财务风险等类风险纳入风险库进行监管，待条件成熟后再将其它风险逐一纳入企业风险库进行跟踪管理。

2.形式规范原则。

企业风险库是企业风险管理的一个重要工具，它承载着企业风险的识别、评估与应对工作；同时它也是一项重要资源，企业管理层从中获取有用的管理信息和风险提示。因此，风险库的形式必须规范，既能承载企业风险管理的日常工作和信息，又能让相关部门在日常业务中借鉴。

3.定期维护原则。

在风险库建立后，运维工作成为关键。没有日常运维的风险库，即使建立时风险数据比较全面，也将逐步脱离企业实际情况，失去其价值。维护周期视企业具体情况而定，但不能少于每月一次。

4.信息化辅助管理原则。

随着企业风险管理工作逐步完善，风险库数据量快速增大，日常维护工作耗费大量人力，运行成本变得高昂；风险库应用在企业内逐步推广，维护及使用部门增多，电子表格的协作受到考验。因此，风险库载体由电子表格向专业软件演化将是一个发展趋势。内审部门在风险库设计及日常运行时应充分考虑到这一因素。

二、风险库建设

必要的人员配置和项目预算是风险库建设和运行的前置条件，决定了风险库建设和日后运行状态的优劣。内审部门应充分意识到风险库在风险管理工作中的重要性，成立项目组安排专门人员结合企业实际情况和相关法律法规，制订风险库建设的步骤、方法等计划；报批项目组人员配置、工作职责、项目预算等；拟订风险的搜集、分类、分级、录入、运维办法等。风险数据库建设人员应包括内部审计、内控、法务、财务、企管等人员；后期维护人员应不少于一人，可视企业规模设为兼职，但必须有确定的人员和工作责职。风险库在内容方面和结构要素方面应包含下面内容：

1.内容方面，

风险库应当包括但不限于下列分类：战略风险、内控风险、运营风险、市场风险、财务风险、安全风险、法律（环保等）风险等，细分之下还包括生产风险、政策风险、道德风险等。风险的纳入应遵循先易后难、逐步扩展原则。

2.要素方面，

风险库应有风险名称、风险描述、分类、等级、控制流程、风险主控部门等要素，内审部门可以根据企业实际情况适当增补部分项目，以达到对风险进行充分管控的目标。风险名称应简单易懂，如“上海办事处售后存货损失风险”。风险描述内容应具体明确。风险分类原则上按内容区别，如内控风险、市场风险、法律风险。风险等级评定时，要考虑具体风险的年发生频次及每次发生的损失金额。控制流程根据企业实际业务流程填写。风险主控部门同时也是风险应对的主要责任部门。风险应对措施不仅包括风险主控部门报送的应对措施，还应包括内审部门对应对措施落实的检查情况。风险状态以风险管理的各个阶段确认，如识别、评估、应对、跟踪、结案等。

三、风险库运行

风险库运行的基本理念是，以数据库作为支撑，通过识别、评估、应对、监控企业风险，对企业管理提供建议，使管理层能够较快做出科学合理的风险决策。同时，跟踪风险的发展状态，实现企业动态风险管理。风险库的运行工作主要包括以下几个方面：

1.识别风险，甄选入库。

风险的识别可依据相关的资料和以前的审计发现，使用清单法、调查法、流程图法和事件树等方法来进行。通过上述方法并广泛走访调查，能够相对全面的识别企业所面临的风险。在经过风险识别后，可得出企业运营中的常见风险，进而根据识别出的风险进行甄选，优先将具有管理效益的风险纳入企业风险库。在确定风险等级时，应考虑年发生频次和每次可能损失金额。当风险项目需要采用总分类管理时，可以采用电子表格的分组功能实现。

2.评估风险，组织应对。

内审部门应对已纳入风险库的风险项目进行分析，明确风险主控部门和控制流程，并督促风险主控部门制定出相应的风险应对策略和具体措施。在应对策略方面，可供选择的有风险回避、风险预防、风险转移和风险授受等。制订具体应对措施时，风险主控部门应根据实际业务情况和可能发生的损失。内审部门应对制订的应对措施进行审核和评估，以确认是否能够达到企业决策的风险管控目标。

3.监控风险，跟踪落实。

内审部门应在企业运营过程中，持续对风险情况进行监控和跟踪。主要途径有风险主控部门定期汇报、日常走访了解、专项审计报告确认等。监控的主要内容包括已识别风险变化情况、风险应对措施实际落地情况和应对风险效果、残余风险和衍生风险情况；针对风险应对措施实际效果考虑是否追加或减少措施。

4.信息共享，全面管理。

内审部门定期整理风险库数据，形成报表传达各风险主控部门，内容包括对各个风险的评估、决策、应对措施和处置结果。风险库日常对风险主控部门和相关管理部门开放各自业务范围内的风险信息权限，能够有效提高工作效率并促进风险管理规范花、制度化，达到全面风险管理的最终目标。综上所述，企业风险库的建设及应用以防范和解决企业风险为主线，通过系统评估和记录企业内控漏洞和风险状况，评判应对措施，有利于加强企业内控工作和增强管理层的风险意识。风险库对于企业建立完善先进的风险管理体系，健全经营管理机制，实现风险“可控、能控、在控”，具有重要的现实意义。

作者：冯安平 单位：江苏新日电动车股份有限公司

参考文献：

[1]方红星、王宏译.企业风险管理-整合框架/美国COSO[M].大连：东北财经大学出版社，2005.9.

第3篇

从中国企业构建全面风险管理体系基础条件来看，中国企业尤其是在境外上市的企业近几年以来一直致力于企业内部控制建设，已经建立了一套比较完善的内控体系，编制了内部控制手册和自我评估手册，初步搭建了以风险管理为核心的内部控制基础平台。这是中国企业建立健全全面风险管理体系的基础条件。当然，多数企业的内控系统通过对流程的控制主要对运营风险、财务风险等风险建立了比较完善的控制体系，但是还不能覆盖企业面临的所有风险，如战略类、市场类风险，不能对其进行有效的管理和控制。

所谓基于内控的全面风险管理体系，简单地说，就是在内部控制建设的基础上，构建全面风险管理体系，是适合已经建立内部控制体系的企业进行全面风险管理建设的一条创新路径。这既符合国际上内部控制逐步向全面风险管理发展的潮流，也是中国企业构建全面风险管理体系的现实选择。

3C框架和流程

中天恒管理咨询公司经过多年的探索和实践，专为中国企业打造的3C全面风险管理基本框架（下文简称“3C框架”）如图1。

3C框架从总体结构上是按照目标体系、风险整合、管理融合来安排的，形成了由目标体系、风险整合、管理融合组成的有机体系，贯彻严密的目标――风险――管理的逻辑关系。

企业目标是一个相互联系、相互依存的目标体系。全面风险管理作为企业管理的一项核心内容，可以把目标确定作为全面风险管理的前提条件进行关注，并将其贯穿于全面风险管理工作的始终。

风险是对企业目标实现产生影响事项发生的不确定性，包括了危险和机会，是一个全面的概念。风险偏好、风险意识、风险理念、风险文化是企业全面风险管理的软要素，是企业实施全面风险管理必须明确的基本概念。把企业主要风险整合起来，是全面风险管理的一个基本标准。

全面风险管理是为合理保证企业目标实现，对企业风险进行全面管理的动态过程，是对企业风险进行整合管理的过程，是艺术和科学的结合。全面风险管理目标、意义、主体、内容、流程、方法是企业全面风险管理的重要内容，是必须明确的；全面风险管理政策、战略、策略、决策是企业全面风险管理的基础，影响整个全面风险管理工作；全面风险管理信息、沟通、学习应贯穿于全面风险管理工作的始终。这些都应该从总体上予以明确。

全面风险管理融合，是企业风险管理自身内部的融合，是企业风险管理与企业业务的融合，是企业风险管理与企业管理的融合。全面风险管理与企业管理需要融合的内容很多，其中最重要的就是要做到内部控制与风险管理的融合。

3C框架与COSO的不同

3C框架没有直接引入管理要素概念，从总体看包括目标、风险、管理三个方面；从流程看包括管理准备、管理实施、管理报告和监督改进四个方面。

3C框架把COSO全面风险管理框架“事件识别”定义为“风险识别”；把COSO全面风险管理框架“风险评估”细化为“风险分析”、“风险计价”、“风险评价”；把COSO全面风险管理框架“控制活动”重新定义为“风险控制”；把COSO全面风险管理框架“监控”改为“监督改进”，并细化为“风险监督”、“风险审计”、“管理改进”等。

3C框架将风险辨识、风险确认、事件识别统一为风险识别，并定义为确认风险的过程；将风险计量、风险衡量、风险量度、风险测量、风险估计、风险估价统一为风险计价，并定义为风险的量化过程；将风险策略、风险应对、风险工具统一为风险应对，并定义为选择应对风险策略的过程；将控制活动、控制政策、控制程序、控制措施、应对措施统一为风险控制，并定义为应对风险的各种措施；将监督检查、监督评价、持续监督、监控、监控系统、内部监督统一为风险监督，并定义为监督检查风险的过程等等。

第4篇

关键词：内部审计；内部监督；风险管理；风险评估

在国家当前的新经济形势下，企业的规模日益扩大，其机构和业务日益繁杂，所面临的风险也不断增加。内部审计作为一种独立、客观的保证与咨询活动，是企业自我约束和自我监督机制的重要组成部分。企业管理层也迫切需要内部审计机构协助其更有效地履行其职责，提高企业的运作效率和经济活动的附加值。

1 内部审计与风险管理的含义

（1）内部审计的含义。内部审计是指由本部门和本单位内部专职的审计机构或人员所实施的审计。这种专职的审计机构或人员，独立于财会部门之外，直接接受本部门、本单位主要负责人的领导，依法对本部门、本单位及其下属单位的财务收支、经营管理活动及其经济效益进行内部审计监督。内部审计的目的是纠错防弊，促使企业改善其经营管理，提高经济效益。

（2）风险管理的含义。企业风险管理是从整体企业的宏观角度来辨识及分析风险的过程。其方法不只是将企业所有风险整合，而是将企业面临的所有不确定性转化为可通过策略及运作优势达到营运目标的一种方法。COSO对风险管理的定义是：“全面风险管理是一个过程。这个过程受董事会、管理层和其他人员的影响，这个过程从企业战略制定一直贯穿到企业的各项活动中，用于识别那些可能影响企业的潜在事件和管理风险，使之在企业的风险偏好之内，从而合理确保企业实现既定的目标。”

2 内部审计与企业风险管理的关系

（1）内部审计在风险管理中扮演重要角色。内部审计是企业内部监督与控制的关键环节，可以协助公司辨别及评估重大风险的披露，对改善风险管理及控制制度做出重要贡献。企业内部审计机构在规划审计工作时，应评估各种管理活动的相对风险，并将风险按照重要性进行排序，对风险较大的项目优先考虑开展相关审计工作。对管理层的风险管理流程效果和效率方面进行检查、评价、报告并提出审计建议，帮助企业识别、评价风险及实施风险管理方法。

（2）内部审计在风险管理方面具有独特的优势。风险管理是一个系统的过程，对风险的防范和控制需要从整体出发。而内部审计机构在企业中不从事具体业务活动，独立于业务管理部门，使其具有相对的独立性。因此，在进行风险管理的过程中，能够客观地、从全局的角度管理风险，正确地识别和评估风险，并及时建议相关部门采取措施应对风险。

（3）风险管理是进行内部审计工作有效的工具。风险管理是企业管理层的职责所在。为了实现企业的经营目标，管理层应当确保企业具备良好的风险管理流程，并且在经营过程中正常运转。内部审计可以通过制定正式的行为规范，经常检查公司风险管理流程是否健全等措施有效地降低企业风险。风险管理作为内部审计工作的有效工具，很多企业和部门已将其应用于机构的持续性、财务管理、资产管理和舞弊等各项风险管理中。

3如何发挥内部审计在企业风险管理中的作用

（1）确认风险识别的充分性。在企业进行风险识别的过程中，内部审计人员应该对风险管理流程进行审查与评价，确定企业在风险识别的过程中风险归类的正确性以及分析方法的适当性。内部审计可以采用多种风险分析方法对企业内部和外部的风险要素进行识别分析，判断企业管理层是否对主要风险均已识别和分析，并充分考虑风险可能造成的影响，为进行风险评价奠定基础。

（2）确定风险评估的恰当性。在企业进行风险评估的过程中，企业要对已识别的风险事件进行定量和定性的分析，分析风险产生的重要性及可能性。内部审计应首先对风险性质及程度的衡量与界定进行评价，这关系到进行风险处理的依据是否可靠。其次，应对管理层的风险评估过程的适当性、执行的有效性进行评价，找出需要修改完善的地方，为各级管理层提供专业审计意见。

转贴于

（3）评估风险对策的有效性。内部审计在企业风险对策活动中发挥的作用，直接反映在审计成果中，是审计价值的重要体现。企业根据对风险的评估和判断，应采取相应的措施和方法来进行风险处理，以降低和抑制风险损失，获取风险收益。在风险对策活动中，内部审计应分析风险回报的合理性、评价风险措施的有效性。

（4）评价风险监控的合理性。对企业风险管理的监控是指评估风险管理要素的内容和运行以及执行质量的一个过程。在这个过程中，内部审计首先应当从评价企业各部门的内部控制制度入手，审查企业经营活动中重要环节相关控制制度设置的合理性以及执行的有效性，识别并防范风险。其次，应当密切关注可能引致风险的重要事项，了解企业的风险偏好，与相关管理层讨论部门的目标、存在的风险，并评价管理层采取的风险监控活动的有效性。再次，应当以企业总体风险组合的观点看待风险，协调各部门共同管理企业，从全局角度识别并评价风险，提出改进建议来协助企业管理层履行其职责，以保证企业目标的实现。

4结束语

内部审计参与企业风险管理是内部审计的发展方向，是环境因素和内部审计自身因素共同作用的结果。这不仅为内部审计的发展提供了契机，也有利于企业在风险管理的过程中采用先进的审计方法和技术手段，强化内部审计职能，积极探索，勇于创新，使企业在竞争中处于优势地位，实现管理最优、效益最佳的发展目标，并开创审计工作的新局面。

主要参考文献

［1］徐宏峰，李洪天。内部审计与公司治理的改善［J］。财会月刊：会计版，2007（9）。

第5篇

（一）企业风险管理的独特性需要企业实施内部审计管理。企业的风险控制与企业的其他管理不同，它有着独特的特点，企业不能忽视了这一特点的存在，比如说其他的管理可以分时段的进行汇报总结，而风险管理是需要企业时时刻刻都关注的。这种特点导致了企业必须开展内部审计，只有实施了内部审计，才可以实时地对于企业的各项信息、动向进行监控预测，及时掌握企业各项变化的信息，从而准确迅速的了解企业存在的风险以及如何降低风险。所以，实施内部审计是企业风险管理的必要条件。

（二）企业的风险管理与内部审计相结合能更好的促进企业发展。早些年，我国大部分企业都忽视内部审计所发挥的作用，内部审计是近些年来才逐步被人们了解和重视，并在企业中逐步实施并发挥作用。而在企业的风险管理中增加内部审计，不仅可以提高企业风险管理的水平，而且，还可以使内部审计在企业管理中发挥更重要的作用。企业将二者有机结合，可以最全面的、最完善的将企业的风险控制在较低的水平，进而促进企业的良好有序发展。

二、内部审计在企业的风险管理中的作用

在企业的风险管理中增加内部审计有着非常重要的意义，无论从降低企业风险方面还是从提高企业管理水平方面都发挥着重要作用。很多的学者都认为内部审计是企业风险控制管理的重要环节，作者根据自身的理解将其作用详细的分为了以下几个方面：

（一）内部审计可以对企业的各种信息进行进一步的详细分析。在企业的风险管理中，内部审计可以起到分析情报、分析信息的作用，这也是内部审计的重要职能之一。企业内部审计条例规定内部审计能为企业提供良好的咨询服务。这里提到的分析信息、咨询服务包括了必须要保证审计工作的独立性，这一点是非常重要的，审计工作必须是独立存在的，这样才会有可信度，审计的质量才会得到保障。企业的风险管理部门应该意识到风险管理的复杂性，内部审计可以帮助风险管理部门进行准确的分工，让每个人都明确自身的职责。比如说，企业风险管理部门的高层管理人员风险管理的策略，内部审计管理部门负责对于各项工作进行监控，而且根据监控的结果给出一定的指导。在这个过程中，内部审计不仅可以起到分析信息的作用，兼顾到指导分工、明确职责，这对于接下来的风险防御是非常有帮助的。

（二）内部审计可以迅速有效地的应对企业风险，进而起到防御企业风险的作用。企业在进行经济活动的过程中会出现许多的风险，企业一旦发现了这些风险，就会想办法进行防御。但是，风险并不是一成不变的，企业的风险程度是随着企业经济活动的变化而变化，在企业中进行内部审计可以掌握这种风险程度的变化，根据风险的变化情况来制定相应的实施措施，起到风险防御的作用。内部审计部门在收集信息的过程中，可以发现风险隐患，进行相应措施的调整改变，从而化解风险。内部审计部门还应该对于风险化解对策进行一定的评价，如果发现风险化解对策不合理，要及时的进行改变，使之能够有效地迅速的化解企业的风险，达到实施内部审计的作用。

（三）内部审计可以在企业风险管理中起到一定的调节作用。企业的风险包括很多方面，每个部门有自身的风险，也有着企业所有部门共同的风险，这些风险都是可能存在的，有时候这些风险单独存在，有时候交替存在。在这种情况下，内部审计能够客观地从全局的角度进行管理风险，从企业利益和实际情况出发，清醒地识别和评价风险，提出防范风险的有效建议。内部审计可以凭借其对企业全面而深入的了解，对风险管理过程进行管理和协调，积极地调节企业各部门之间存在的风险以及问题，可以让各部门之间工作的更加融洽，合作的更加顺利，促进各部门经营和管理的改善，使企业更加健康的发展。

（四）内部审计可以对企业的风险管理进行监督。内部审计无论是对风险管理的过程还是结果都可以进行全面监督，不会遗漏任何部分。监督是内部审计的重要作用之一，也是最基本的职能，它是企业进行内部审计的重要目的。内部审计可以监督企业风险管理的过程，防止过程中可能出现的失误。企业的内部审计还可以对于风险管理的结果进行监督调查，比如可以运用随机抽查、问卷调查等方式，进行全面的监督，从而能减少失误，才能让风险管理的效果更加显著。

（五）如果企业没有建立风险管理体系，内部审计可以代替风险管理系统起到控制风险的作用。如果一个企业还没有实施有效的风险管理体系，那么企业的内部审计应该积极地发现问题，然后提出一定的建议与指导。内部审计可以起到控制风险的作用，因为内部审计长时间的了解了企业的内部情况，可以为企业的风险分析提供全面有效地信息数据。内部审计在分析这些资料的过程中就可以发现存在的潜在风险，相对应的，也可以制定出解决的措施。所以，在还没有建立实施风险管理体系的企业中，内部审计可以代替风险管理系统发挥作用，对企业进行良好的保护。

三、结语

第6篇

关键词:企业风险管理 内部控制 内部审计 管理机制

一、企业风险管理的必要性

近年来，很多企业缺乏风险意识，没有实施实质性的风险管理，忽略对风险的防范与控制，导致企业破产事件时有发生，如新疆德隆集团、四川长虹集团、科龙集团、中航油（新加坡分公司）等，严重的风险损失致使很多企业开始关注全面的风险管理。

企业风险管理是管理者对企业发展中存在的和潜在的风险进行辨识、评估以及权衡风险危害的行为等,并对所识别出的风险及时采用有效方法进行防范及控制。内部控制的目标是对企业存在的风险进行及时防范及控制,有效监督并保证企业的发展。从本质上讲，企业内部控制与风险管理存在着必然的联系：内部控制其实是风险管理的手段之一, 内部控制的实施建立在企业风险管理基础之上,并随着风险管理的需要而不断发展。但因为内部控制与风险管理具有不同的内涵和外延,所以两者不能相互替代、缺一不可。所以风险管理与内部控制有效结合，会更加准确地发现企业面临的风险，做出及时的防范与应对措施，将风险损失减到最低限度，稳定企业的经营环境，保证企业利润目标的实现，对企业发展起到保驾护航的作用。

二、企业风险管理的架构和模式

考虑到现阶段我国的企业发展条件和宏观环境，本文认为构建企业风险管理框架应注意以下几个方面：

(一)全面风险管理的目标应顺应企业发展面临的环境变化

企业的风险管理是建立在企业整体业务发展与经营基础上，需要与企业的研发技术、管理方法及战略目标相结合。所以企业风险管理整体框架的建立首先应明确风险管理要达到的目标，是否与企业发展目标紧密相连，分析企业面临的内外部环境，并将风险管理要达到的效果细化成具体的管理任务，在全企业范围内明确宣布风险目标和计划，要求全部业务人员和管理人员共同参与，并制定完善的制度体系，约束其职责行为，保证风险管理工作的落实。

(二)内部控制制度与企业风险管理体系密切结合

内部控制是加强风险管理的手段之一，是更具系统性、独立性的管理工作。内部控制组织结构的设计需要充分满足企业全面风险管理的要求。风险管理也应该与之互补，尽可能地利用内部控制发现的问题和维护的企业管理环境，采用更科学、合理的方法评估、预测业务风险、财务风险的严重程度，以节约人力、物力，提高管理效率。

三、目前企业风险管理的现状及分析

企业风险管理是一个循序渐进、不断完善的过程，是企业在不断探索的一个合理有序的流程，试图将经营风险管理行为与战略管理、业务计划制定过程结合在一起，以期整个企业的风险、收益、增长与资本得到充分优化。虽然我国企业一直在研究、完善风险管理，并取得显著的成绩，但是仍存在很多需要改进的地方。

(一)负责风险管理的职能结构有待进一步完善

我国很多企业也在做风险管理，但大多数是将风险防控的任务分配到不同部门，由其分工完成，而没有专业的风险管理组织或者专职负责人来来实现企业的风险管理和内部控制。分散式的风险管理容易导致功能交叉、分工混乱，管理责任与权利不明确，各部门工作缺乏积极性，没有有效的沟通，无法实现信息资源的共享，风险管理与内部控制不能及时发现问题，对企业风险防范与控制的作用微弱。

(二)风险管理具体目标尚待细化，制度缺乏约束力

目前我国企业风险管理整体水平较低，风险管理没有充分发挥应有的作用，很大程度上是因为企业对风险管理没有给予足够的重视，通过内部控制加强风险管理的意识薄弱。只是笼统地制定了企业风险防范将要达到的效果和希望，没有对该抽象的目标进一步界定，具体到各部门的实质性工作时，往往就成了形式上的东西，因为缺乏具体任务指标或完成效果的检验标准，很多风险防范及应对工作无法落实。简单的风险管理制度内容不全面，执行力匮乏，对员工的约束力较弱。

(三)内部控制制度执行不力，评价监督效果微弱

内部控制是在风险管理中更直接、更具体的一项工作。但很多企业并没有正确理解内部控制与风险管理的密切关系，过分地强调各部门将风险损失压倒最低，却忽略了具有明显管理效果的内部控制。有些企业仅限于将国家要求的内部控制制度制定出来，写成纸质的文件供检查，而没有相应地建立有效的内部控制执行流程、业绩评价等机制，使内控制度流于形式，无法应对企业面临的风险。或者将精力过多的集中于利用严格的内部控制流程发现问题、指出错误，没有同时将评价与激励制度跟进，整个管理的优势得不到发挥，不足没有改进，不利于企业的长期可持续发展。

(四)风险管理手段比较单一，无法有效地降低风险损失

我国企业风险管理水平整体较低的一个原因是风险管理手段比较单一、落后。首先表现为很多企业进行风险管理的目的过于肤浅，对内部控制与风险管理存在着不少误区，出于当期获得尽可能多的利润的经营理念，采取的防范与控制风险的措施都是眼前的、短期的。其次，很多风险管理手段是模仿先进企业集团或国外公司，采取了与本企业经营业务性质和发展条件相差很大的管理方法，适应性不强直接影响了管理的效率。再次，风险管理具有很强的专业性和技术性，很多企业的财务人员尚并不具备分析数据模型、推测市场环境变化，评估经营风险的能力，依靠的往往是经验性质的主观判断，在准确性与科学性上有待考究。

四、企业做好风险管理的建议

(一)健全组织机构，保证风险管理工作的权威性

风险管理是涉及企业所有业务和部门的一项长期工程，必须由企业的最高职能机构牵头，负责风险管理工作的推广与落实。首先就应该建立董事会或股东大会管理下的风险管理组织架构，明确风险管理在企业各项工作中的地位和权威性，领导企业做好制度建设，使风险管理有章可循。然后，经由具体负责的职能部门或财务部风险管理员，将风险管理的总体要求进行细化，坚持全员参与管理原则，要求落实到风险管理的执行层面，实现风险管理的横向延伸和纵向管理，监控企业的所有部门和业务，杜绝风险隐患。

(二)风险管理目标具体化，建立有企业特色的风险管理机制

第一，要对企业内部管理层进行风险管理的思想观念教育，纠正错误的认识，真正理解风险管理的必要性，使管理层将风险防范意识融入管理工作全过程，并用其指导基层工作的开展。第二，要根据本企业所面临的行业发展环境和具备的个体条件，研究如何将风险管理的目标具体化，细分为可衡量的任务指标，下发到企业的基层员工，营造良好的风险管理文化氛围，使这种防范意识成为员工自觉的行为约束。第三，完善考核评价制度。可以将风险管理体系的建设与薪酬制度相结合，利用内部控制制度中绩效考核的结果，评价风险管理任务指标的落实，改善企业内部环境，使风险管理真正发挥作用，保证企业经营管理系统的高效运作。

(三)找到风险管理与内部控制的切合点，发挥内部控制的优势

内部控制制度在很多大型企业集团都得到顺利开展，并取得不错的效果。中石化集团就对内部控制制度做了很好的规划，首先制定内部控制手册，通过制度的形式增强内部控制的约束力，并明确内部控制业务流程、实施细则，包括采购业务流程、生产成本管理业务流程、销售业务流程、资金管理业务流程、信息管理业务流程、监督与检查等，使内部控制更具有可操作性和参考性，不同的业务部门和基层人员可以根据自己的所属职责做出正确的行为。企业可以在分析面临的内外部环境和条件的前提下，将风险划分为：业务风险、经营风险、财务风险与合规风险，有针对性地制定常规的防范和应对措施，设计风险管理解决预案。然后结合内部控制的重点和难点，对企业流程进行梳理与改造，辨识关键控制环节和风险控制点，规范突发事件的处理流程，以及时将意外风险与损失降到最低。

(四)改进风险管理手段，强化风险预警功能

风险管理依靠的是硬件设施的保证和人力资源的专业性。第一，企业应该为风险管理建立或引用先进的软件系统，通过信息系统的铺设，部门之间可以方便地进行信息交流与共享，实现企业运营数据和信息收集、存储、处理、报告和信息披露的自动化，及时地掌握各个环节的变化与需要，尽可能反映真实、准确的经济动态信息，做出正确的应对措施。第二，要求具体负责的人员必须掌握风险分析的数据模型，能够熟练运用计算机技术分析统计数据，得到所需要的信息。并同时时刻更新自己的专业知识体系，通过培训或业务学习等方式，提高自己的财务分析与风险预测能力，综合运用现代风险管理技术，如模型计量、信用风险管理等方法，保证经验值的取值合理、可靠，准确预测企业发生各种风险的可能性及其大小，为企业提供有价值的财务信息。

参考文献：

[1]丁友刚,胡兴国.内部控制、风险控制、风险管理,会计研究,2007,12

第7篇

20世纪90年代以后，许多国家政府以及有关国际组织纷纷加大了对风险管理和内部控制及公司治理的研究，并了一系列的文告，就风险管理及与之紧密相关的内部控制问题做出了规定，其中，尤以COSO的《企业风险管理――整体框架》最具代表性。本文以美国企业风险管理框架为重点，探讨我国企业建立风险管理的必要性。

一、COSO的内部控制整体框架和风险管理整体框架

（一）《内部控制――整体框架》关于风险管理的论述

1992年，COSO了其研究报告《内部控制――整体框架》，并于1994年进行了增补修订。在该报告中，COSO（1992）指出，企业必须了解它所面临的风险，并加以处理。企业必须制定目标，而目标又必须与销售、生产、营销、财务等活动相结合，如此企业才能很好地运作。企业还必须建立识别、分析和管理相关风险的机制。

COSO（1992）提出了内部控制的五个要素，其中之一便是风险评估。COSO（1992）指出，每一个主体都面临着各种来源于内部和外部的风险，这些风险必须加以评估。风险评估的前提之一是建立目标，不同层次的目标应当相互联系并保持内部一致。风险评估是指识别、分析与实现目标相关的风险，它是决定这些风险应如何管理的基础。由于经济、行业、管制和经营条件会不断发生变化，应当建立相应的机制以识别并处理与这些变化相关的特定风险。COSO（1992）指出，须从企业整体和作业两个层次来识别风险。企业整体层次的风险可能由外部或内部因素而产生。外部因素如：科技发展、顾客的需求或预期改变、竞争、新颁布的法律法规、天然灾害、经济环境改变；内部因素如：信息系统处理的中断、员工的品质、经理人的责任改变、企业活动的性质以及员工可接近企业资产的程度、董事会或监事会不够坚定或无效。

（二）风险管理的新发展：《企业风险管理――整体框架》

2004年，COSO了其研究报告《企业风险管理――整体框架》。风险管理整体框架（ERM）是在内部控制整体框架基础上发展而来的。COSO(2004)指出，风险管理框架不想也没有替代内部控制框架，但它将内部控制框架整合在内，采用这一框架，企业既可以满足内部控制的需要，也可以建立一个完整的风险管理过程。

1.风险管理的目标

COSO(2004)认为，主体的目标包括四个：

（1）战略目标，是高水平的目标，它应与组织的使命一致并支持该使命；

（2）经营目标，组织应当有效率和效果地使用资源；

（3）报告目标，组织应当提供可靠的报告；

（4）遵循目标（合规性目标），即组织应当遵循相关的法律规章。

企业风险管理实际就是为实现上述目标提供合理的保证。

2．风险管理的内容

企业风险管理包含以下方面的内容（作用）：

（1）协调风险偏好和战略。管理层在评估不同的战略、确定相关目标、建立相关风险的管理机制时，应考虑组织的风险偏好。

（2）改进风险反应决策。企业风险管理要求识别并在不同的风险应对策略（包括规避、降低、分担与接受风险）中做出选择。

（3）减少经营意外与损失。提高组织识别潜在事项并做出反应，减少意外事项及相关的成本或损失的能力。

（4）识别并管理多个企业之间以及企业内部的风险。每一个企业都面临无数的、会影响组织不同方面的风险，企业风险管理应当有助于对相关关联的影响作出有效的反应，并对多企业的风险作出整体性反应。

（5）抓住机会。通过考虑所有的潜在事项，管理层应当能够识别并实现机会。

（6）改善资本的配置。在获得关于风险的信息后，管理层可以有效地评估总体资本需求并改进资本的配置。

企业风险管理的上述作用，有助于管理层实现组织的经营和盈利目标，并防止资源损失。企业风险管理有助于保证提供有效的财务报告和对法律规章的遵循，并有助于避免组织声誉的损害及相关不良后果。总之，企业风险管理有助于企业向其所期望的方向发展，避免在发展的过程中遭遇陷阱和意外。

3．风险管理的要素

企业风险管理包含八个相互关联的要素。这些要素来源于管理层管理企业的方法，并与管理过程合成一个整体。这些要素包括：

（1）内部环境。内部环境包含了组织的风格，它确定了组织人员如何看待和处理风险的基础，是其它要素的基础。内部环境具体包括风险管理哲学、风险偏好、董事会、诚实度和道德价值观、组织结构、胜任能力、人力资源政策与实务、权责分配。

（2）目标设定。在管理层辨别影响其目标实现的潜在事项之前，必须有目标。企业风险管理要求管理层设定目标，选择的目标需要能够支持组织的使命并与组织使命相一致，并与其风险偏好相一致。

（3）事项识别。即识别那些影响组织目标实现的内外部事项，并区分为风险和机会。机会将被考虑进管理层的战略或目标设定过程中。

（4）风险评估。必须对风险加以分析，考虑其发生的可能性以及影响，并作为确定这些风险应如何加以管理的基础。应当对固有风险和残存风险加以评估。

（5）风险应对。管理层应在不同的风险应对（包括回避、接受、降低、分担风险）中做出选择，从而采取一系列与组织的风险容忍度（risk tolerances）和风险偏好相一致的行动。

（6）控制活动。应建立相关的政策和程序，以确保风险应对策略得到有效的执行。控制活动通常包括两个要素：确定应从事何种活动的政策、执行政策的程序。

（7）信息与沟通。应当按照特定的格式和时间框架来识别、捕捉相关信息并加以传递沟通，从而使人们可以履行其职责。有效的沟通存在于较广泛的意义上，包括向下、向上以及平行交互沟通。

（8）监控。整个企业风险管理都应当加以监控并根据需要做出调整。监督可以通过持续性的管理活动、单独评价或者二者同时来实现。

对于这八个要素，COSO（2004）指出，企业风险管理不是一个严格的序列过程，即一个要素仅影响下一个要素，而且是一个多方向的、相互影响的过程，任何要素都可以并且确实影响其它的要素。

4.风险管理目标与风险管理要素的关系

COSO（2004）认为，目标是主体要实现什么，企业风险管理的要素则意味着需要什么来实现它们，因此，风险管理的目标与要素之间存在密切的直接联系。这样，企业目标、风险管理要素与企业各个层级之间就形成一个三维立体图。

二、美国风险管理准则对我国的启示

从以上COSO风险管理准则内容和要求上，可以看出存在以下特点：

（一）将风险管理与内部控制联系在一起。内部控制是风险管理的重要手段，董事会应当建立并维持有效的内部控制系统以实现风险管理。

（二）均强调风险管理是一个包含风险识别、计量和应对的系统化过程。风险识别、计量、应对和控制活动是一个紧密的整体，企业必须识别面临的潜在风险，并评估其对企业的影响，从而采取相应的措施来应对风险。在风险识别和分析、评估的技术上，均强调应当结合采用定量技术和定性技术。另外，人们越来越认识到，风险是无法绝对消除的，因此，风险管理的目标是将其控制在主体的风险偏好以内，而不是消除风险。反映到风险应对策略上，相关的风险管理准则大都强调风险的应对措施包括回避、抑减（降低）、转嫁（分摊）、接受，应当根据风险发生的可能性、对主体的影响以及主体自身的风险容量选择适当的应对措施。

（三）强调风险管理应当融入到企业日常经营活动中，并贯穿于企业的各个层次、所有的经营活动。风险管理针对的是企业经营活动中对企业目标实现产生影响的风险事项，因此，风险管理必须与企业的经营活动紧密地结合在一起，在经营活动中处处体现风险管理的理念与做法，这不仅有助于及时识别企业所面临的风险事项，也有助于降低风险管理成本、提高风险管理效率。

（四）强调控制环境的作用。公司的高层基调、管理层的管理哲学、董事会和相关委员会、员工的胜任能力对于有效的风险管理具有重要作用，如果没有一个良好的、注重风险管理的内部环境，风险管理很难取得成功。

（五）强调全员参与。全员管理是现代风险管理的重要特征，风险管理不仅仅是风险管理部门的事，而且需要靠企业的全体员工来落实，所有员工都会影响到企业风险管理的效果，企业应当使所有员工了解自己在风险管理中的作用。

（六）强调信息与沟通。信息和沟通对于良好的风险管理和内部控制相当重要，下层要了解公司的风险管理战略和政策、措施，并有顺畅的向上沟通风险管理和内部控制情况的渠道，上层要及时向员工及外部了解企业面临的重大风险及其管理情况。

（七）强调定期对风险管理过程和内部控制进行评估，并对发现的缺陷和不足加以报告。风险管理是一个持续的、动态的过程，企业的内、外部环境在不断地变化，这决定了原先的控制未必有效，因此，必须定期对风险管理过程和内部控制的有效性进行评估，以找出其缺陷和不足并及时采取补救措施。

第8篇

[关键词]风险导向内部审计;企业风险管理;联系

企业经营环境的不断变化,在成长发展和经营管理过程中的种种不适应都可能导致企业风险的发生。因此。企业必须根据自身特点、不同时期风险的不同状态,抓住重要环节和主要风险。围绕总体经营目标推行企业风险管理。同时,企业面临的风险不断增多,组织机构的重整愈加频繁。对内部审计在参与风险管理、完善治理结构以及加强内部控制等方面的需求也日益高涨。内部审计部门顺应时势,在越来越多的领域发挥着积极的审查、评价和促进作用,工作目标从过去的查错纠弊变为主动地帮助企业增加价值。此时,风险导向内部审计概念的提出满足了现代企业对内部审计在风险管理、内部控制和公司治理方面的更高要求。而在风险管理实践中,一个机构健全的企业除设置内部审计部门外,往往还专门组建了一个由风险管理专业人员构成的部门,即风险管理职能部门。由于内部审计部门和风险管理职能部门都要关注企业所面临的风险,却又在企业推行风险管理实践中扮演不同的角色,故两部门在开展各自业务时工作职责虽有不同,但必然会有一定的交叉和联系。文章首先对风险导向内部审计在企业风险管理中的作用进行剖析,在此基础上,就内部审计部门在开展风险导向审计业务时如何与风险管理职能部门进行协调与联系进行探讨。

一、风险导向内部审计和企业风险管理的概念

风险导向审计是把风险为导向的思想运用到内部审计领域,即内部审计人员在审计全过程中自始至终地关注风险,根据风险大小选择项目,以降低风险为导向,开展内部控制制度的符合性测试、实质性测试,并进行监督检查和评价,最终提出建设性意见和建议的审计方法。

而在企业风险管理方面,根据2004年9月颁布的ERM框架,“企业风险管理是一个过程,它由一个主体的董事会、管理当局和其他人员实施,应用于战略制定并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体目标的实现提供合理保证。”

二、实务中风险导向内部审计与企业风险管理的联系

风险导向内部审计既是基于降低内部审计人员的审计风险,同时又是为了降低企业经营风险、进行风险管理的一种有效工具。而企业开展风险管理目的也是全面识别企业风险并及时采取有效控制手段。两者有着十分紧密的联系,下面首先理清风险导向内部审计在企业风险管理中的作用。

(一)帮助企业直接有效地防范与规避风险

风险导向内部审计立足于对审计风险进行系统的分析和评价,并以此作为出发点,制定审计策略和与企业状况相适应的多样化审计计划,将风险考虑贯穿于整个审计过程。在风险导向内部审计实施过程中,内部审计人员首先对企业的经营战略进行分析。确定战略风险和重大交易;之后通过定量和定性结合的方法,进而评价企业风险管理中风险衡量的准确性:最后通过专门程序,审查企业职能部门采取的措施是否已将风险控制在可接受的范围内。对于不同类型的风险,向决策层建议采取风险回避、风险转移、风险降低等不同的策略和措施,从而帮助企业直接有效规避和防范风险。

(二)促进企业不断完善风险管理制度

风险导向内部审计是一种系统、规范的方法,对企业的风险管理体系及其运作进行监督和评价。通过定量与定性相结合的方法,就改进管理控制风险向决策层提出具体可行的建议和措施,并对企业生产、经营、管理的体制和机制提出调整,将这些建议和措施系统化、规范化,最终形成企业新的规章制度,进而周而复始地循环,使企业风险管理制度不断完善。

(三)为企业强化和规范风险管理运行机制提供重要支持

风险导向内部审计是企业风险管理运行机制的重要一环。一方面,风险导向内部审计的特定内容和方法有助于全面地识别风险,强化和规范企业风险管理。另一方面,风险导向内部审计关注会计报告的重大错报风险,对企业所处的宏观经济社会环境和行业环境、企业战略目标进行深入地了解和综合评估,落实实质性测试的范围和重点,这些都为企业强化和规范风险管理运行机制提供了重要的支持。

企业风险管理职能部门的主要责任是对整个风险管理过程进行认定,并评价其充分性与有效性,向管理层报告并提出管理建议,以此来保证风险管理的有效性。反过来,内部审计也是内部控制或者整个风险管理过程中不可或缺的重要组成部分。它既是内部控制的一种特殊形式,也是实现内部控制目标的重要手段。现实中的一些企业,董事会往往下设审计委员会、风险管理委员会,企业内部审计部门对审计委员会负责,风险管理职能部门对风险管理委员会负责。企业其他职能部门及各业务单位在全面风险管理工作中,同时接受风险管理职能部门和内部审计部门的组织、协调、指导和监督。

企业的风险管理职能部门所开展的风险管理实践可简要概括为四个步骤:第一步是风险识别;第二步是风险评估;第三步是风险应对;第四步是风险监察。而内部审计部门在开展风险导向审计业务时,相应的也要经过风险识别、评估、应对和监察阶段。其联系如图1所示。下面就各个阶段分别论述两部门的内在联系。

1　风险识别与评估阶段

根据ERM框架要求,企业风险管理职能部门在风险管理工作中,首先要识别出所有可能发生并对企业目标实现产生不利影响的重要情况;之后对风险发生的可能性及相对重大程度进行评估。而内部审计部门在开展风险导向内部审计业务时,首先要实施风险评估程序,通过分析性程序初步确定企业的风险,建立风险评估框架,对重要性做出初步判断并编制出整个审计计划;之后根据量化的风险水平确定审计项目的优先顺序,合理分配内部审计资源,目的是将有限的资源集中于高风险的领域,找出风险存在的根本原因,以寻求最好的解决方案。因此,内部审计人员为减少工作冗余,避免工作重复,可以先对风险管理职能部门的风险识别与评估报告的有效性和充分性进行审查和评价,并结合自身工作特点,有选择地加以利用。

2　风险应对阶段

在经过对企业风险的识别和评估后,企业风险管理职能部门都要对风险与收益进行权衡。当风险超出了企业的风险偏好,企业不能接受且无法经济有效地加以抑制,则须放弃该项目或计划,

从而避免风险带来的负面影响。对于大部分风险,需要企业采取一定的行动,转移或分散风险,以达到企业可接受的水平。为此。企业风险管理职能部门需要对风险进行控制。即将不可接受的“固有风险转化为可接受的“剩余风险”。而在内部审计部门开展风险导向内部审计业务时,内部审计人员通常要根据风险评估结果,设计与评估的重大错报风险相关联的、进一步的审计程序,开展控制测试与实质性测试,评估控制活动的有效性,使风险得以管理。由此可见,两部门都要在识别与评估风险之后,对重大风险及时做出回应,只是关注点和工作任务有所不同。风险管理职能部门需要根据企业总体目标,衡量风险的成本与收益,运用风险管理方法针对已评估的关键性风险予以控制。而风险导向内部审计要求内部审计人员运用审计抽样等技术,更加关注内部控制的测试与各个交易循环的实质性测试。

3　风险监察阶段

企业的生存发展是处在一个不断变化的竞争环境中的,故其所面临的风险也会不断变化,随时可能会有新的风险出现,也可能预期的风险会消失。根据ERM框架,风险管理职能部门要对风险进行监察,并根据风险变化情况及时采取相应策略进行风险管理。而在开展风险导向审计业务时,出具最终审计报告之后,内部审计人员还要进行后续的风险监控。一是为检查风险管理的效果,通常要开展跟踪审计活动,对需要管理层或风险管理职能部门马上采取纠正措施的事项进行适当的监督,以保证实现业务目标。降低组织风险;二是要对审计业务开始时所进行的风险评估结果持续关注,根据企业不断变化的内、外部环境随时进行调整,以帮助日后制定审计计划,确定审计重点。可见,两部门在风险监察阶段,都要对企业所面临的风险进行不断地监督。在实务操作中,两部门可以针对各自的工作侧重点,相互配合,紧密合作。

三、实务中风险导向审计业务与企业风险管理的协调

通过分析实务中内部审计部门在开展风险导向内部审计业务时与企业风险管理职能部门的联系,可知,无论是风险导向内部审计业务,还是风险管理部门进行风险管理实践,其根本目标都是为降低企业风险,维护企业利益,为企业的总体战略目标而服务。因此,内部审计部门在开展风险导向审计业务时需注意与风险管理职能部门及时协调、相互配合,最终形成合力,共同为企业服务。

(一)加强部门间合作,有效减少工作冗余

风险导向内部审计之所以要将审计资源集中于高风险的审计领域,对高风险点进行详细的实质性测试,原因在于审计资源是有限的,必须要将其优先使用在高风险领域,这也是它的本质要求。而企业风险管理职能部门的主要职责就是识别企业所面临的各种风险,并运用不同的风险管理策略开展风险控制活动,故内部审计部门在开展风险导向审计业务时,应充分考虑与风险管理部门的合作,积极应用风险管理部门的工作成果和专业意见,注意与其协调。以提高审计业务工作效率、完善审计工作成果。例如,风险管理部门每年组织开展的风险识别和评估可以帮助管理层识别想要实现组织目标所应关注的领域,在开展风险导向审计时,可以对此类信息有选择地加以利用,从而确认高风险领域,进而确定审计重点。此外,风险导向内部审计和企业风险管理根本目标都是要将企业所面临的风险降到最低,维护企业合法利益,故在很多时候,对某些重大风险领域,部门间应加强合作、联合调查。内部审计部门根据风险管理部门提供的风险评估报告进行进一步地分析复核,通过采取控制测试和实质性测试等程序来最终确定风险大小以及所带来的损失;之后。风险管理部门再根据内部审计部门最终出具的审计报告针对风险因素采取相应的措施。这样可以更加有针对性地对风险进行控制,从而将其降低到企业可接受的水平。

(二)要注意结合本部门工作特点对所取得的资料进行分析复核

虽然已经说明内部审计部门在开展风险导向内部审计业务时可以积极应用风险管理职能部门的专业成果,如其每年的风险评估报告,但必须强调的是,内部审计部门在应用其工作成果时必须要对其进行分析复核。对资料有选择地使用。因为风险导向内部审计最本质的要求是内部审计人员对企业的高风险领域进行识别和分析,进而采取有效的控制,而企业的风险多种多样,且随时随刻变化,风险管理职能部门有时难免由于某些原因导致其未能准确地识别企业的某一高风险点。这时如果内部审计部门在开展风险导向审计业务时也没有对其关注,即企业的风险识别出现了“盲点”,则很可能对企业的发展产生极大的冲击。这样,内部审计部门所开展的风险导向审计业务也就没能充分发挥其审计监督的作用。因此,在开展风险导向审计业务时,提倡借鉴风险导向职能部门的工作成果,减少工作冗余,但内部审计人员一定要对其工作成果进行再审查、再评估。

(三)分清职责,到位不越位

首先需要认清风险管理是管理层一项主要职责,通常由企业的风险管理职能部门具体负责实施,而对组织的风险管理过程进行评估和报告才是内部审计部门的工作内容。在企业风险管理框架下,内部审计是对风险管理的再管理,即内部审计人员并不参与风险管理的建立和运行过程,而是在企业已有风险管理的基础上实施再监督,以促进风险管理过程的建立健全或使风险管理的有效性成为可能,但是。不应该“拥有”已确认的风险或负责对这些风险的管理。风险管理的建立和运行过程应由管理层下设置的风险管理部具体负责,而内部审计在这一框架中应作为“监控活动”的角色而存在。此外,IIA在2004年发表的《内部审计在企业风险管理中的角色》意见书中也认为内部审计关于企业风险管理的核心角色是就组织风险管理的有效性向董事会提供客观保证。以帮助确信关键企业风险被正确管理及内部控制系统有效运行。因此,内部审计在企业风险管理框架中首要角色是监督者。包括对风险管理流程的评估和保证服务,对风险评估准确性的保证服务,而不是风险管理的创建者或实施者。在开展风险导向内部审计中,内部审计人员一定要在协调、合作的同时分清职责,到位不越位。

(四)交流沟通,促进双方共同进步

内部审计部门所开展的审计业务几乎都是以风险为导向。将有限的审计资源集中到高风险领域,而企业的风险管理职能部门又对企业的风险因素进行专业化的识别、评估、控制和监察。因此,及时建立两个部门之间的交流、沟通机制,促进双方共同进步。可以更加有效地为企业总体战略目标服务。在具体实施过程中,两部门可以通过开展集中讨论会、建立风险信息库等方式进行相互交流。而且。两部门工作所需的知识结构也存在互补关系,可以互相学习。内部审计人员通过学习风险管理知识,可以更加专业地识别和评估企业风险因素,从而更有侧重地设计审计程序;而风险管理部门学习审计知识,也能够了解风险导向审计工作的重点。从而相互配合,减少重复工作,确保风险管理活动的经济性和有效性。

[参考文献]

[1]吴容,风险导向整合型内部审计模式探究[J],中国内部审计,2009(9)

[2]王学龙,郝斯佳,论风险导向型内部审计在企业风险管理中的作用[J],中国内部审计,2010(2)

[3]中国内部审计协会,内部审计在治理、风险和控制中的作用[M],西苑出版社,2008

第9篇

【关键词】风险控制；评价；电网；体系

一、引言

2006年，我国国有资产监督管理委员会了《中央企业全面风险管理指引》，要求中央企业遵照执行。伴随着企业全面风险管理的开展，企业内部审计部门开展全面风险管理评价随即被提上日程。

我国大的电网企业均属于中央企业，且承担着诸多社会责任。它的健康发展，关系国计民生，对国民经济发展和社会进步起着至关重要的作用。对电网企业开展风险管理评价有非常现实的意义。为此，从2007年开始，山西省电力公司审计部在公司系统率先开展了“风险控制评价”。这主要基于如下考虑：目前国内企业开展全面风险管理刚刚起步，很少有企业全面、系统地开展。电网企业也不例外。开展全面风险管理评价，则需要对企业的风险识别、风险评估、风险应对进行评价。如果公司并未系统地开展风险识别、评估及应对，则开展此类评价会非常困难。这就提出了一个现实问题，现阶段企业内审部门如何较为科学地开展风险管理评价，才能既对企业控制、防范风险起到作用，推动企业全面风险管理工作的开展，也能推动企业内部审计向风险导向审计转型？笔者认为，在开展全面风险管理评价并不现实的情况下，可先开展“风险控制评价”；等到条件成熟，再开展纯粹的全面风险管理评价也为时不晚。

二、风险控制评价概述

（一）风险控制评价的涵义

风险控制，是风险管理的重要组成部分，是实现风险管理目标的主要手段，或者说，是风险管理的主体。风险控制是风险管理活动的重要环节之一，是在复杂的内外环境中针对企业所存在的风险因素，管理者对控制的对象有目的地施加作用，从而达到降低风险的不确定性和减少损失的目的。

首先，风险管理的主要目的是尽量避免或减少负面效果的出现，因此控制的职能尤为突出。可以说，风险管理主要职能是识别、衡量和控制，而识别、衡量是控制的基础，也包括在控制职能之中。其次，国内外不少学者也把风险管理的定义重点放在了控制上。例如，英国学者J.E.Bannister认为，风险管理应对威胁企业资产和收益的风险进行识别、测定和经济地控制。J.C.Cristy认为，风险管理是企业或组织为控制偶然损失的风险，以保全获利能力和资产所作出的一切努力。再者，风险管理的目的主要是控制损失，风险管理的手段也以控制为主。控制是风险管理中最积极、合理和有效的方法。因此，学术界把风险控制也称为狭义的风险管理。风险管理主要是控制实际损失和潜在损失，主要手段是控制，侧重点又是控制，因此风险控制突出了风险管理的重点和主要内容。

风险控制评价，属于全面风险管理评价的一部分，是评价主体（如内审部门）根据单位风险损失的高低，确定风险的严重程度，以及对风险控制是否规范予以评价的过程。

（二）风险控制评价与全面风险管理评价的异同

两者相同点在于：（1）目的相同，都是希望通过评价，达到完善企业管理、降低风险的目的。（2）评价采用的许多方法相同，比如风险测量方法。（3）评价的部分内容相同，比如都需要评价“风险控制的规范性”。

两者的不同点在于：（1）评价范围不同。全面风险管理评价注重“全面”，即对识别出的所有风险因素都予以评价；风险控制评价侧重于“重点”，即评价企业的重要风险因素，对次要风险可不评价或暂缓评价。（2）评价内容不同。全面风险管理评价的内容包括风险识别评价、风险评估评价、风险应对评价；而风险控制评价的内容主要在风险应对评价方面，不涉及风险识别评价和风险评估评价。

三、电网企业风险控制评价体系的构建

以下通过对山西省电力公司风险控制评价体系构建的阐述，希望对其他企业开展此类评价提供一些借鉴及参考。

（一）确定电网企业风险控制评价内容

主要包括：（1）风险实际损失的高低，即评价被审计单位过去因风险控制不力，给单位所造成的实际损失的高低。（2）风险的严重程度，即对被审计单位存在的主要风险，评价其严重程度，即风险等级的高低。（3）风险控制的规范性，指评价被审计单位对企业存在的主要风险点（风险因素）是否采取了控制（或处理）策略和措施，策略（风险回避、接受、降低、分担）是否适当，控制措施是否规范、有效。

上述风险控制评价内容中，包括了部分风险管理内容，例如风险等级的确定。这部分本应由企业相关部门先测定，由内审部门“再测定”；考虑到如今电网企业尚未进行系统的风险等级测定，因此内审部门可“暂时”来做这部分工作。

（二）确定电网企业风险控制评价指标体系

针对电网企业的特点，设计如下三层次的风险（见下表）。然后编制风险控制评价操作指南，供审计人员现场评价时采用。

（三）确定电网企业风险控制评价程序

1.审计人员首先统计过去因风险控制不到位而给企业造成的各类损失。这些损失包括直接损失和间接损失。直接损失包括财产损失、人力资源损失；间接损失包括责任损失、收益损失。统计时，应关注这些损失的金额、出现损失的次数、引起损失的主客观因素等等。

2.以过去的风险实际损失作为判断风险发生的可能性、风险影响程度的重要依据。公司给出了风险发生的可能性、影响程度的详细标准，然后依据公式“风险＝风险发生可能性×发生频率×潜在损失额”来计算各类风险的等级（严重程度）。

每个上一层次风险的等级，均依据下一层次风险的等级来确定。这项工作，通过对所有个体风险设置权重、汇总计算等方式来完成。

3.结合审计部门确定的风险等级，以及被审计单位对各类风险控制的措施，评价被审计单位对业已存在的主要风险是否采取了控制措施。如果采取了措施，则评价控制策略（风险回避、风险接受、风险降低、风险分担）是否适当，是否规范和有效。

4.根据风险控制评价结果，出具风险控制评价报告。报告中，对被审计单位的重大风险进行预警；并对如何采取规范的风险控制策略及措施提出具体可行的建议。

四、结束语

迄今为止，风险控制评价已在山西省电力公司得到大规模地开展，并取得了良好效果，对公司系统控制、防范风险起到了积极、有效的作用，同也促进了公司内部审计的转型发展。从实际情况来看，此种评价在理论体系等方面尚存不足，留待以后在实践中逐步完善。

参考文献

[1]金锡万.企业风险控制[M].东北财经大学出版社,2001

[2]方红星m王宏.企业风险管理—整合框架[M].东北财经大学出版社,2005

第10篇

关键词：企业风险管理 内部审计 关系

随着市场竞争的日益激烈，特别是经济全球化程度的加深，企业所面临的市场竞争环境更加激烈，企业运营过程中面临着大量的风险：战略风险、市场风险和经营管理风险，这些潜在风险逐渐成为企业深入发展和提高竞争力的制约要素，风险管理越来越受到企业的重视。如何对企业风险进行管理和控制是企业管理者面临的主要问题。企业的内部审计为企业风险管理状况的审查和评定提供了依据，在企业风险管理中起到了重要作用。

一、风险管理的概念

风险管理是一种特殊的，涉及多层次、多方面的企业管理职能。企业风险管理通过对影响企业目标实现的各种不确定性事件进行识别和评估，采用科学合理的管理方法对其进行有效地管理和控制，将其影响控制在可接受范围内，从而合理的保证企业目标的实现。由此，我们可以认识到，企业的风险管理一种管理方法，是一个包括风险分析、风险识别以及风险控制的系统的过程，其目的在于帮助管理者有效地应对不确定性以及由此带来的风险和机会，提高企业的经济效益或者社会效益。

二、内部审计与风险管理的关系

内部审计是企业内部具有监督和评价功能的部门，它通过对企业经营活动以及内部控制的适当性、真实性、合法性和有效性进行审查和评价，促进企业经营目标的实现。因此，内部审计参与企业的风险管理是必然的结果。

（一）内部审计参与企业风险管理是其自身发展的需要

国际内部审计师协会对内部审计重新进行了定义：“内部审计是一种独立、客观的保证和咨询活动。其目的在于为组织增加价值和提高组织的运作效率。它通过系统化和规范化的方法，评价和改进风险管理、控制及治理过程的效果，帮助组织实现其目标。”这一定义把风险管理写入了内部审计的范畴，内部审计是企业管理的咨询师，由于它了解企业的发展方向，能够有效的帮助企业对风险进行控制和管理。内部审计介入风险管理使之成为企业发展中的一个重要角色，在企业的管理中也占据着不可替代的重要地位。

（二）内部审计参与企业风险管理是企业完善内部控制的需要

由于市场经济的全球化以及国际化的发展越来越迅速，企业面临着日益增加的风险，有效的降低风险是企业实现发展目标的基础和前提。作为企业中存在于管理部门之外的独立部门，内部审计具有能够纵观全局的视角。内部审计从影响企业实现经营目标的实现的各种风险出发，对企业内部的控制制度、执行力度以及控制薄弱环节等方面作出客观公正的评价和认定。所以，从发展趋势来看，内部审计是企业风险管理的一个重要组成部分，是企业风险管理的一种方法、一种手段，而风险管理则是内部审计的一项新的内容、一个新的领域。

三、内部审计参与企业管理的方式

内部审计通过自身具有的以下职能参与到企业日常经营管理之中：

（一）评价职能

内部审计从企业的根本利益和实际情况出发，通过对企业管理过程进行充分和有效的调查、评估，不仅要针对管理事项合理性进行评价，对政策的遵循性进行评价，还需要对企业目标、企业战略和风险管理程序进行评价，从而对企业风险作出客观的识别和评定。

（二）监督职能

内部审计通过对存在的缺陷和漏洞，产生的偏差和失误，发现的损害公司利益的行为，可以及时的予以制止、纠正和查处，促使企业内部各单位、各部门依法经营，堵塞漏洞，提高效益。

（三）参谋职能

内部审计对检查发现存在的问题，依据有关政策、法规和经验，向单位领导和有关方面提出相应的审计建议，提出相应的风险防范措施，为企业管理层的决策提供可靠的参考依据。目前，内部审计的建议已经变得更加强调风险规避、风险转移和风险控制等风险应对措施，使企业风险得到有效的预防和控制。

（四）咨询职能

内部审计可以利用其对企业情况熟悉、了解政策法规和具有综合知识等特点为被审单位的相关内容提供咨询服务，使得内部审计由原来的监督者逐步转变为控制者、协调者、参与者和服务者。

四、内部审计在企业风险管理中起到的作用

（一）内部审计能够发挥反馈作用，对企业的风险管理起到预警的作用

内部审计在企业风险管理中起到反馈的作用，能够有效的对企业的风险管理进行预警。企业的风险是相对于未来发展而言的，与企业的战略目标以及决策规划都有直接的关联。因此，以风险管理和控制为核心的内部审计能够将风险事后的反馈提前到风险发生前进行预警，从而实现更高效率的风险控制。另外，内部审计的咨询职能也能充分利用其主观能动性，帮助企业管理层对企业的风险管理进行控制、改进和完善。

（二）内部审计能够对企业的风险控制策略进行指导

内部审计是企业内部控制中的再控制，企业根据发展战略目标以及自身所能够承受的风险范围，来制定内部控制制度。内部审计人员对企业内部风险控制的焦点在于对企业风险加以强调，并对企业进行的具体的风险控制活动进行评估，从而实现企业价值的增加。但是，企业过度进行风险控制或者控制力度不足都很容易造成舞弊行为的发生。内部审计通过长期的对企业的风险策略和各种决策进行指导，通过对企业风险管理长期计划和短期任务的调节，实现内部审计在企业风险管理中的指导作用。

（三）内部审计能够对企业整体的风险管理进行客观的审查和评定

企业的风险具有感染性、传递性和破坏性等特点。由一个部门的疏忽而造成的风险后果往往会对企业的其他部门产生消极的影响，严重的甚至能够导致整个企业都处于瘫痪状态。因此，风险的防范和控制需要从企业的各个方面进行考虑。在现实经营中，很多部门由于其自身的局限性而不能掌控全局。内部审计部门由于不参与企业的业务活动，具有较强的独立性，因此它能够很好的统筹全局，从客观的角度对企业的风险进行辨识，提醒管理部门及时采取风险控制措施。

（四）内部审计有利于企业治理和管理现状的改善

日益加剧的市场竞争使得企业更加重视对企业的整治和管理，以增强自身的竞争力，促进企业目标的实现。内部审计不仅能对企业的风险管理的充分性和有效性提供参考依据，还能对企业的经营管理提出意见和建议，对企业的发展具有积极地促进作用。

五、总结

现代企业内部审计，需要以风险管理为核心。在企业风险管理过程中，内部控制审计主要是以影响和控制企业经营目标实现的各种内部控制制度为依据确定审计项目，以企业内部控制、经营风险控制制度的建设和执行情况为检点，认定内部控制设计和运行中存在的缺陷，评价内部控制体系建立的合理性、完整性及实施的有效性，并提出恰当的完善和健全内部控制体系建议。

总的来说，内部审计参与企业的风险管理与控制是市场环境因素和其自身的因素决定的，具有一定的客观性和必然性。从目前的发展状况来看，我国在风险管理上的研究还远远落后于西方发达国家，我国政府部门也缺乏相应的政策或者规章制度的制定，导致一些企业对企业的风险管理力度不够，风险抵抗能力下降，甚至在风险来临时可能面临倒闭的危险。因此各个企业都要充分利用内部审计的职能作用，积极加强企业风险管理的控制，提高企业自身的竞争力，以使企业在激烈的市场竞争中立于不败的地位。

参考文献：

[1]王虹.内部审计如何参与企业风险管理[J].会计之友（中旬刊）.2009（10）

[2]宣金雷.论中国内部审计在风险管理应用中的不足及对策[J].经济研究导刊. 2011（09）

[3]李艺君，赵建虹.论内部审计参与风险管理的路径[J].中国商界（上半月）.2010（02）

[4]石涛.浅议内部审计与企业风险管理[J].中国管理信息化.2011（02）

[5]李建文.对内部审计参与企业风险管理的认识[J]. 经济师. 2010（08）

第11篇

随着金融体制改革的日益深化，建立科学的公司治理结构和风险管理体制成为摆在每个商业银行面前的重要课题，而内部审计作为一项独立、客观、公正的约束与评价机制，在现代企业风险管理中正发挥着越来越重要的作用，履行和发挥内部审计在风险管理中的职责与作用是现代商业银行转化经营机制、建立现代企业制度的客观需要，也是内部审计充分发挥和提升审计价值实现增值服务的重要途径。本文就内部审计与企业风险管理的关系及内部审计如何参与企业风险管理进行了思考，并提出一些建议。

一、内部审计与企业风险管理的关系

风险是指发生对目标的实现可能产生的事件的不确定性。风险的衡量标准是后果与可能性。风险管理是指对影响组织目标实现的各种不确定性事件进行识别与评估，并采取应对措施将其影响控制在可接受范围内的过程。风险管理主要包括风险识别、风险评估、风险应对三个阶段。可见，风险管理是现代企业管理的一项主要，为了实现企业的工作目标，企业管理层应当确保企业中存在良好的风险管理过程并使其发挥作用。

内审协会对内部审计的定义是：“内部审计是指组织内部的一种独立客观的监督和评价活动，它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现”，而“风险管理是组织内部控制的基本组成部分，内部审计人员对风险管理的审查和评价是内部控制审计的基本内容之一”，也就是说风险管理是内部审计的重要内容。

国际注册内审师协会对内部审计的描述是：“内部审计是一种独立、客观的保证工作与咨询活动，它的目的是为机构增加价值并提高机构的运作效率。它采取系统化、规范化的来对风险管理、控制及治理程序进行评价，提高它们的效率，从而帮助实现机构目标。”并且指出“内部审计应该就管理层的风险管理过程的充分性和有效性进行检查、评估、报告，并提出改进意见”。可见，国际先进内审理念已明确将风险管理作为内部审计的重要内容，现代内部审计的范围已从传统的财务审计扩大到风险管理和公司治理层次上，有效的风险管理机制和健全的公司治理结构已成为现代内部审计关注的重点。

在现代内部审计工作中，内部审计与风险管理有了明确的结合点——风险管理审计。风险管理审计是在帐项基础审计和制度基础审计基础上起来的一种审计模式，是指审计人员在对被审单位的内部控制充分了解和评价的基础上，运用一定的审计手段，、判断被审单位的风险所在及其风险程度，针对不同风险因素状况、程度采取相应的审计策略，加强对高风险点的实质性测试，将内部审计的剩余风险降低到可接受水平。2005年5月1日中国内审协会颁布了“内部审计具体准则第16号——风险管理审计”，风险管理审计作为先进的审计理念和审计内容正式步入我国内审领域。

因此，作为现代企业管理的重要内容，内部审计与风险管理的联系日趋紧密。内部审计本身就是企业管理的一种手段和方式，是内部管理的延伸；风险管理是企业管理的重要内容，同时也是现代内部审计的重要内容之一，内部审计负有识别和评估风险的责任。风险管理作为管理层一项关键责任，企业管理层对其负有不可推卸的责任；内部审计师则有职责定期评价并协助其他部门进行风险管理，在改善管理层的风险管理流程效果和效率方面进行检查、评价、报告和提出审计建议，帮助识别、评价和实施风险管理方法和控制。内部审计和风险管理在企业中的目标是一致的，都是为了实现企业的组织目标。

二、内部审计在现代企业风险管理中的作用

在风险管理审计中，风险管理成为组织中的关键流程，分析、确认、揭示关键性的风险，成为内部审计的主要职责。

（一）内部审计将风险管理纳入审计范畴，有助于实现企业全面工作和总体目标的实现。

现代企业面临的经营环境日趋复杂，风险日益增大，减少面临的风险是企业实现价值最大化目标的关键。内部审计采取系统化、规范化的方法促进建立风险管理过程，通过内控制度的评价，对公司经营活动进行风险识别和评价，改进风险管理与控制体系，提请管理层关注风险，从而完善企业管理，转化负面风险，提升企业竞争能力和应变能力，最终实现企业目标。

对企业而言，对风险识别、防范和控制需要从全局考虑，而企业本身是多个部门的集合，各业务部门很难做到这一点。内部审计在企业中具有相对独立的地位，决定其能站在全局的高度相对超脱地获得企业内部控制、经营管理活动及风险管理等方面的信息，向管理层提供创造性思维，提出科学合理的建议，避免风险带来的损失。

所以无论是从全局工作还是实现总体目标的角度来看，内部审计都有职责融入风险管理。内部审计将风险管理纳入审计范畴，对实现企业全面工作和总体目标将发挥及大的作用。

（二）内部审计的相对独立和与企业一体性的独特地位，决定了其对企业风险的揭示更准确更有效。

从企业内部看，现代企业建立了各级风险管理组织层次，包括风险控制委员会、内部审计部门、专职风险监管部门。但风险监管部门往往做为一个职能部门隶属于各级管理层，不具有独立性，其意见有时会屈服于管理当局的压力，这使得风险管理部门的作用受到限制。在现代企业中，内部审计部门独立于管理部门，在现代企业公司治理构架中，内部审计往往隶属于董事会或审计委员会，直接向董事会负责，其风险评估的意见可以直接报送给董事会，提出的意见与建议更具权威性。

从企业外部看，外部审计从独立、客观的角度对企业的财务报表进行审计和对企业的内部控制进行复核，经常能提供一些有用的信息影响到企业风险管理。但他们更多地围绕企业报表的合法、公允、一贯性开展工作，对企业管理环境和运作过程不十分熟悉，决定其提供的风险管理服务不能做到贴近内部管理，不能对企业风险管理的有效性负责。而内部审计部门对企业面临的风险更了解，在风险管理方面拥有外部审计师无可比拟的优势。他们以风险发生可能性大小为依据，深入经营管理过程和行为，在业务经营、财务管理、费用控制等各方面查找并防范风险，通过内部视角，敏锐观察经营过程中不断变化的风险因素，快速传递管理中存在的缺陷或失败，促使董事会和高级管理层做出快速反应，及时采取措施，防范和纠正不当行为。

（三）风险因素始终贯穿于内部审计的整个审计程序，使内部审计成为风险控制程序的重要补充。

内部审计人员风险导向审计模式，从整体上把握审计风险因素，合理整合审计资源，警惕可能目标、运营和资源的重大风险，最大限度地减少审计风险。在审计计划、审计实施、审计报告阶段，将风险作为重要考虑因素，在整个审计过程贯穿对风险的关注，充分考虑风险管理的充分性和有效性。具体讲，在审计计划阶段，内部审计应该考虑活动存在的风险，在评估风险优先次序的基础上安排审计工作，按照风险大小分配审计资源；在审计实施阶段中，审计通过检查、评价风险管理过程的充分性和有效性，发现风险控制的漏洞和薄弱环节；在审计报告阶段，对风险管理状况进行评价，对风险管理中存在的漏洞和不足提出改进建议，协助确定、评价并实施针对风险管理的和控制措施。

三、内部审计如何参与现代企业风险管理

内部审计可以从风险识别、风险评估、风险应对三个阶段参与企业风险管理，通过审查和评价企业风险识别、风险评估、风险应对的充分性、适当性、有效性，来识别、报告潜在重大风险，提出应对措施，同时通过落实审计建议督促企业采取有效的风险控制措施。

（一）审查和评价企业风险识别的充分性和适当性。

风险识别是管理层的职责，主要是根据企业的组织目标、战略规划等识别企业所面临的各类内、外部风险。是对企业所面临的、以及潜在的各类内、外部风险加以判断、归类和鉴定风险性质的过程，实质上就是对风险进行定性。

内部审计人员通过实施必要的审计程序，对企业风险识别过程进行审查与评价，重点关注企业面临的内、外部风险是否已得到充分、适当的确认。外部风险是指外部环境中对组织目标的实现产生影响的不确定性，其主要来源于国家法规及政策的变化、环境的变化、的快速、行业竞争、资源及市场变化、灾害及意外损失等。内部风险是指内部环境中对组织目标的实现产生影响的不确定性，其主要来源于组织治理结构的缺陷、组织经营活动的特点、组织资产的性质以及资产管理的局限性、组织信息系统的故障或中断、组织人员的道德品质、业务素质未达到要求等。内部审计部门要关注企业已识别风险的完整性，即企业所面临的主要风险是否均已被识别出来，并找出未被识别的主要风险。这就需要内部审计人员也要对企业的风险进行有效识别，从而审查和评价企业对风险识别的充分性和适当性。内部审计熟悉公司的经营管理过程，以风险敏感性为起点开展工作，有效识别风险，从潜在的事件及其产生的原因和后果来检查风险，收集、整理可能的风险，并充分征求各方意见以形成风险列表。内部审计通常要关注的主要风险有：财务和经营信息不足而导致决策错误；资产流失，资源浪费和无效使用；顾客不满意，企业信誉受损等。

（二）审查和评价企业风险评估的适当性和有效性。

风险评估是对已识别的风险，评估其发生的可能性及影响程度。风险评估主要应用各种管理技术，采用定性与定量相结合的方式，找出主要的风险源，并评价风险的可能影响，最终定量估计风险大小。风险评估的目的是确定每个风险要素的影响大小，一般是对已经识别出来的风险进行量化估计，从风险发生的可能性和影响两方面对风险进行评估，通过公式：风险值=风险概率×风险影响，出风险值。

内部审计部门在审查和评价企业风险评估时要重点关注风险发生的可能性及风险对组织目标的实现产生影响的严重程度。为了更好地审查和评估企业的风险评估，内部审计人员应当充分了解和掌握风险评估的方法，风险评估可以采用定性或定量的方法进行：定性方法，是指运用定性术语评估并描述风险发生的可能性及其影响程度；定量方法，是指运用数量方法评估并描述风险发生的可能性及其影响程度。内部审计部门和内部审计师要对已有的风险的评估结果进行再检验，以确定其是否恰当，对不恰当的评估予以更正。风险分析中，审计师不仅要关注风险的数量方面，还要关注风险的属性方面或其承载价值的后果。同时，内部审计人员应当对管理层所采用的风险评估方法进行审查，以评价风险评估方法的适当性和有效性，审查时重点考虑以下因素：已识别的风险的特征、相关数据的充分性与可靠性、管理层进行风险评估的技术能力、成本效益的考核与衡量及其他因素。内部审计人员在评价风险评估方法的适当性和有效性时，应当遵循以下原则：定性方法的采用需要充分考虑相关部门或人员的意见，以提高评估结果的客观性；在风险难以量化、定量评价所需数据难以获取时，一般应采用定性方法；定量方法一般情况下会比定性方法提供更为客观的评估结果。

（三）审查和评估风险应对措施的适当性和有效性。

风险应对是采取应对措施，将风险控制在组织可接受的范围内。完成了风险评估后，确定存在的风险以及它们发生的可能性，排列出风险的优先级，就可以根据风险性质和承受能力制定相应的防范措施。根据风险评估结果作出的风险应对措施主要包括以下几个方面：一是回避，是指采取措施避免进行可产生风险的活动；二是接受，是指由于风险已在组织可接受的范围内，因而可以不采取任何措施；三是降低，是指采取适当措施将风险降低到组织可接受的范围内；四是分担，是指采取措施将风险转移给其他组织或保险机构。

内部审计人员在评价风险应对措施的适当性和有效性时，应当考虑以下因素：一是采取风险应对措施之后的剩余风险水平是否在组织可以接受的范围之内；二是采取的风险应对措施是否适合本组织的经营、管理特点；三是成本效益的考核与衡量。内部审计人员对有关部门针对风险所采取的防范措施进行审查，对于风险缺乏充分的控制措施的情况，内部审计部门和内部审计人员应提出改进措施和建议，协助完善风险反应方案，以强化企业的风险防范管理，降低风险损失。

第12篇

摘 要 随着我国现代市场经济的建立与完善，企业财务风险问题显得尤为突出。企业的财务风险，是不可能完全避免的，但却能够通过有效的措施加以控制。企业风险管理与内部控制既有联系又有区别，如何处理好企业财务风险管理与企业内部控制二者的关系，关系到企业未来的生存与发展。本文着重从财务风险管理和企业内部控制的定义入手，结合二者的联系与区别进行分析，进而对企业管理提出相应建议和对策，以提高企业管理效率降低企业风险。

关键词 内部控制 风险管理 案例分析 解决措施

一、内部控制与风险管理的联系与区别

企业风险管理与企业内控有着十分密切的联系，财务风险管是风险管理的一个分支，必然与内部控制关系密切。二者所应用的技术方法一致、最终目标一致、控制期间也一致，二者通过会计工作紧密联系在一起，架起了财务风险管理与企内控之间的桥梁。但风险管理与内部控制在诸多方面有所不同，财务风险管理必然与内部控制存在区别，主要表现在财务风险管理与企业内部控制的范围不同、条件不同、观念不同三个方面

二、目前企业内部控制与风险管理现状

近日来沸沸扬扬的国美内斗事件，是中国国内证券市场成立以来史无前例的新闻焦点。先有大股东黄光裕身陷囹圄，后又“黄陈”对国美控制权的激烈争夺，至此国美的内部控制和企业管理风险问题全面爆发。

1.企业财务风险管理制度存在诸多缺陷

我国企业财务风险产生的重要因素就是由于企业财务风险管理制度不完善，从而导致企业内部财务关系混乱。目前许多企业的预算系统不完备，企业的市场监控机制存在诸多不健全的地方，财务的内部控制制度不成熟，企业的成本控制制度不完善，企业的资金管理控制制度缺乏。

2.风险管理环节较为薄弱

企业风险管理涉及企业内部各个部门和环境，直接影响着企业最终目标的实现。目前我国企业对于风险的管理认识十分薄弱，从管理者到普通员工都缺乏风险防范意识，内部也没有建立起完备的风险识别和评价机制，企业抗风险能力低，难以对风险进行有效的防范和控制。首先，企业在目标的制定上没有充分考虑风险因素；其次，企业普遍缺乏完备的风险管理机制。在风险真正发生时，缺乏有效的防范措施，在风险过后难以引起重视为下次风险发生留下隐患。例如丰田公司丰田锐志漏油事件，在事件的发展中，一汽丰田的行动始终慢半拍，我们几乎看不到厂家有什么积极主动的应对措施，反应异常缓慢、处理程序拖沓，最终造成了一汽丰田造成骑虎难下的被动局面。没能够在危机产生的初期对事件给予高度重视，及时与消费者沟通并采取有效措施，使得一汽丰田错过了解决危机的最佳时机，也丧失了危机公关的主动权。

3.缺乏有效的审计监控和风险评估

一方面，企业在内部审计方面存在着一定的问题，当前大多数企业内部还没有设立独立的审计机构，也很少安排专职人员。企业对运作状况的监控过分依赖外部审计，造成企业内部审计缺乏有效性。

三、完善内部控制与风险管理的建议

1.设置全面风险管理内部控制组织体系

企业的内部控制组织结构设计应充分满足企业全面风险管理的要求，首先，建立董事会管下的风险管理组织架构。董事会是企业经营管理的最高决策机构，将企业的经营权交给企业经理层，因此，正确处理董事会与总经理层之间的关系是现代公司治理的关键。在董事会下设置风险管理委员会作为企业风险管理的最高审议机构，主要是确保企业的风险管理战略及风险偏好统一和风险管理的独立性。其次，风险管理的执行层面要实现横向延伸和纵向管理，涵盖所有的业务领域，从而实现对企业的风险监控，同时，还要求风险管理的效率。

2.努力完善企业财务风险管理制度

企业建立严谨的财务风险管理制度是防范财务风险的不可或缺的重要举措。首先应建立和强化企业内控机制，可以通过提高财务风险认识，强化资金管理，提高资金的使用效率，加强财产控制即对存货和应收账款的管理。另外，在现金管理方面，企业应建立资本预算体系，实行预算控制，对企业的现金实行预算控制管理。企业现金流量预算的编制，是财务管理工作中重要一环，准确的现金流量预算，可以为企业提供预警信号，使企业经营者能够及早采取措施防范财务风险。

3.建立实施财务监督体系

（1）完善企业财务监督制度

目前财务监督制度是企业比较薄弱的一块，也是问题出现最多的一块，完善企业财务监督制度，督促企业高管高效处理财务问题具有重要的现实意义。

（2）财务监督体系应与财务管理目标保持一致

企业管理人员在进行筹资、投资、分配收益时，应以财务管理目标为核心做出决策，并根据实际情况做出调整。

（3）完善制订重大决策的内控流程

完善制订重大决策内控流程是企业财务风险防御与控制的关键。良好的内控流程使企业在运行过程中有清晰的方向和明确的目标，加大财务决策的可操作性。从财务的角度去制订内部控制制度，将二者有效地结为一体，从而完善企业管理。

参考文献：