淺談企業(yè)風(fēng)險(xiǎn)管理及其審計(jì)

1、淺談企業(yè)風(fēng)險(xiǎn)管理及其審計(jì)        【摘要】企業(yè)風(fēng)險(xiǎn)管理可以幫助管理層有效應(yīng)對不確定性并處理與之相隨的風(fēng)險(xiǎn)和機(jī)會(huì)，增強(qiáng)其創(chuàng)造價(jià)值的能力。本文主要討論企業(yè)風(fēng)險(xiǎn)管理的概念和要素及其審計(jì)的目標(biāo)、內(nèi)容和程序。 【關(guān)鍵詞】內(nèi)部控制；企業(yè)風(fēng)險(xiǎn)管理；風(fēng)險(xiǎn)審計(jì) 一、企業(yè)風(fēng)險(xiǎn)管理 （一）企業(yè)風(fēng)險(xiǎn)管理概念 根據(jù)企業(yè)風(fēng)險(xiǎn)管理框架（簡稱ERM框架），“企業(yè)風(fēng)險(xiǎn)管理是一個(gè)過程。這個(gè)過程受董事會(huì)、管理層和其他人員的影響。這個(gè)過程從組織戰(zhàn)略制定一直貫穿到組織的各項(xiàng)活動(dòng)中，用于識別那些可能影響組織的潛在事件并管理風(fēng)險(xiǎn)，使之在組織的風(fēng)險(xiǎn)偏好之內(nèi)

2、，從而合理確保組織取得既定的目標(biāo)?！盓RM框架有三個(gè)維度，第一維是組織的目標(biāo)，包括戰(zhàn)略目標(biāo)、經(jīng)營目標(biāo)、報(bào)告目標(biāo)和合規(guī)目標(biāo)；第二維是企業(yè)風(fēng)險(xiǎn)管理要素，包括內(nèi)部環(huán)境、目標(biāo)設(shè)定、事項(xiàng)識別、風(fēng)險(xiǎn)評估、風(fēng)險(xiǎn)反應(yīng)、控制活動(dòng)、信息和交流、監(jiān)控；第三維是組織的各個(gè)層級，包括整個(gè)組織、各職能部門、各條業(yè)務(wù)線及下屬各子公司。ERM三個(gè)維度的關(guān)系是，企業(yè)風(fēng)險(xiǎn)管理的八個(gè)要素都是為組織的四個(gè)目標(biāo)服務(wù)的；組織各個(gè)層級都要堅(jiān)持同樣的四個(gè)目標(biāo)；每個(gè)層次都必須從以上八個(gè)方面進(jìn)行風(fēng)險(xiǎn)管理。企業(yè)風(fēng)險(xiǎn)管理定義直接關(guān)注組織目標(biāo)的實(shí)現(xiàn)，并且為衡量組織風(fēng)險(xiǎn)管理的有效性提供了基礎(chǔ)。該定義強(qiáng)調(diào)：風(fēng)險(xiǎn)管理本身并不是一個(gè)結(jié)果，而是實(shí)現(xiàn)結(jié)果的一種方

3、式；決定一個(gè)組織的風(fēng)險(xiǎn)管理是否有效是基于對風(fēng)險(xiǎn)管理要素設(shè)計(jì)和執(zhí)行是否正確的評估基礎(chǔ)上的一個(gè)主觀判斷；該過程應(yīng)應(yīng)用于組織內(nèi)部每個(gè)層次和部門，可以從一個(gè)組織的總體來認(rèn)識，也可以從一個(gè)單獨(dú)的部門或多個(gè)部門的角度來認(rèn)識；該過程是用來識別可能對組織造成潛在影響的事項(xiàng)并在風(fēng)險(xiǎn)偏好的范圍內(nèi)管理風(fēng)險(xiǎn)。 （二）企業(yè)風(fēng)險(xiǎn)管理要素 1.內(nèi)部環(huán)境。內(nèi)部環(huán)境包含組織基調(diào)，是組織員工如何看待風(fēng)險(xiǎn)、對待風(fēng)險(xiǎn)的基礎(chǔ)，包括風(fēng)險(xiǎn)管理理念、風(fēng)險(xiǎn)偏好、正直和道德價(jià)值觀及工作環(huán)境，是其他所有風(fēng)險(xiǎn)管理要素的基礎(chǔ)，為其他要素提供規(guī)則和結(jié)構(gòu)。管理當(dāng)局是內(nèi)部環(huán)境的重要組成部分，對其他內(nèi)部環(huán)境要素有重要的影響，其職責(zé)是建立組織風(fēng)險(xiǎn)管理理念，確定

4、組織的風(fēng)險(xiǎn)偏好，營造組織的風(fēng)險(xiǎn)文化，并將風(fēng)險(xiǎn)管理和相關(guān)的初步行動(dòng)結(jié)合起來。 2.目標(biāo)制定。組織先制定使命，在此背景下，管理層制定戰(zhàn)略和目標(biāo)，并把目標(biāo)逐層分解為戰(zhàn)略目標(biāo)（高層次目標(biāo)，和組織使命方向一致，并支持使命）、運(yùn)營目標(biāo)（有效且高效地使用資源）、報(bào)告目標(biāo)（報(bào)告的可靠性）和合規(guī)目標(biāo)（遵循適用的法律法規(guī)）。企業(yè)風(fēng)險(xiǎn)管理框架就是為實(shí)現(xiàn)組織目標(biāo)服務(wù)，確保管理層參與目標(biāo)制定流程，確保所選擇的目標(biāo)不僅和組織使命方向一致，支持組織的使命，而且能夠保證制定的目標(biāo)與組織的風(fēng)險(xiǎn)偏好相一致。 3.事項(xiàng)識別。事項(xiàng)既可能帶來消極后果，也可能帶來積極后果，或者帶來混合后果。消極后果的事項(xiàng)意味著風(fēng)險(xiǎn)，它會(huì)阻礙價(jià)值創(chuàng)造或破

5、壞現(xiàn)有價(jià)值。積極后果的事項(xiàng)會(huì)抵消消極影響，或者帶來機(jī)會(huì)（所謂機(jī)會(huì)，就是事項(xiàng)如果發(fā)生，能促進(jìn)目標(biāo)的實(shí)現(xiàn)，能支持價(jià)值創(chuàng)造或價(jià)值的保存）。因此，管理者應(yīng)識別影響組織目標(biāo)實(shí)現(xiàn)的內(nèi)外事項(xiàng)，分清風(fēng)險(xiǎn)和機(jī)會(huì)。企業(yè)風(fēng)險(xiǎn)管理能夠改善對交叉影響的有效反應(yīng)，并能為各種風(fēng)險(xiǎn)提供統(tǒng)一的風(fēng)險(xiǎn)反應(yīng)對策。 4.風(fēng)險(xiǎn)評估。識別和分析風(fēng)險(xiǎn)，考慮可能性和后果，在此基礎(chǔ)上決定應(yīng)如何管理風(fēng)險(xiǎn)。風(fēng)險(xiǎn)評估可以使管理者了解潛在事項(xiàng)如何影響組織目標(biāo)的實(shí)現(xiàn)。管理者應(yīng)從兩個(gè)方面對風(fēng)險(xiǎn)進(jìn)行評估風(fēng)險(xiǎn)發(fā)生的可能性和影響。風(fēng)險(xiǎn)發(fā)生的可能性是指某一特定事項(xiàng)發(fā)生的可能性，影響則是指事項(xiàng)的發(fā)生將會(huì)帶來的影響。對于風(fēng)險(xiǎn)的評估應(yīng)從組織戰(zhàn)略和目標(biāo)的角度進(jìn)行。 5.風(fēng)

6、險(xiǎn)反應(yīng)。風(fēng)險(xiǎn)反應(yīng)是管理層選擇風(fēng)險(xiǎn)反應(yīng)方式并制定一套措施把風(fēng)險(xiǎn)控制在組織的風(fēng)險(xiǎn)容忍度和風(fēng)險(xiǎn)偏好之內(nèi)。風(fēng)險(xiǎn)反應(yīng)可以分為規(guī)避風(fēng)險(xiǎn)、減少風(fēng)險(xiǎn)、共擔(dān)風(fēng)險(xiǎn)、接受風(fēng)險(xiǎn)和利用風(fēng)險(xiǎn)。規(guī)避風(fēng)險(xiǎn)是指采取措施退出會(huì)給組織帶來風(fēng)險(xiǎn)的活動(dòng)。減少風(fēng)險(xiǎn)是指減少風(fēng)險(xiǎn)發(fā)生的可能性、減少風(fēng)險(xiǎn)的影響或兩者同時(shí)減少。共擔(dān)風(fēng)險(xiǎn)是指通過轉(zhuǎn)嫁風(fēng)險(xiǎn)或與他人共擔(dān)風(fēng)險(xiǎn)，降低風(fēng)險(xiǎn)發(fā)生的可能性或降低風(fēng)險(xiǎn)對組織的影響。接受風(fēng)險(xiǎn)則是不采取任何行動(dòng)而接受可能發(fā)生的風(fēng)險(xiǎn)及其影響。利用風(fēng)險(xiǎn)是把風(fēng)險(xiǎn)看作機(jī)會(huì)，利用可能發(fā)生的風(fēng)險(xiǎn)及其影響。對于每一個(gè)重要的風(fēng)險(xiǎn)，組織都應(yīng)考慮所有的風(fēng)險(xiǎn)反應(yīng)方案。     6.控制活動(dòng)?？刂苹顒?dòng)是

7、幫助保證風(fēng)險(xiǎn)反應(yīng)方案得到正確執(zhí)行的相關(guān)政策和程序。控制活動(dòng)存在于組織的各部分、各個(gè)層面和各個(gè)部門，通常包括兩個(gè)要素：確定應(yīng)該做什么的政策和影響該政策的一系列程序。 7.信息和溝通。識別、分析和溝通來自于組織內(nèi)部和外部的相關(guān)信息，必須以一定的格式和時(shí)間間隔進(jìn)行確認(rèn)、捕捉和傳遞，以保證組織的員工能夠執(zhí)行各自的職責(zé)。有效的溝通包括組織內(nèi)上傳、下達(dá)和平行的溝通，還包括將相關(guān)的信息與組織外部相關(guān)方進(jìn)行有效溝通和交換。 8.監(jiān)控。監(jiān)控是指評估風(fēng)險(xiǎn)管理要素的內(nèi)容和運(yùn)行以及一段時(shí)期的執(zhí)行質(zhì)量的一個(gè)過程。組織可以通過兩種方式對風(fēng)險(xiǎn)管理進(jìn)行監(jiān)控持續(xù)監(jiān)控和個(gè)別評估。持續(xù)監(jiān)控和個(gè)別評估都是用來保證組織的風(fēng)險(xiǎn)管理在組織

8、內(nèi)務(wù)管理層面和各部門持續(xù)得到執(zhí)行。 二、風(fēng)險(xiǎn)管理審計(jì) （一）風(fēng)險(xiǎn)管理審計(jì)的目標(biāo) 風(fēng)險(xiǎn)管理審計(jì)是指勝任的專職機(jī)構(gòu)和專業(yè)人員對組織內(nèi)部風(fēng)險(xiǎn)管理程序、風(fēng)險(xiǎn)反應(yīng)、管理制度及機(jī)制的合理性、有效性進(jìn)行獨(dú)立的審查和評價(jià)過程。風(fēng)險(xiǎn)管理審計(jì)的根本目的是最大限度地增加組織價(jià)值。 審計(jì)目標(biāo)是回答“通過審計(jì)要證明什么”的理論問題，是審計(jì)行為的出發(fā)點(diǎn)，是審計(jì)工作的指南，也是審查和評價(jià)審計(jì)內(nèi)容所期望達(dá)到的境地和最終結(jié)果。審計(jì)目標(biāo)體系由總目標(biāo)、一般目標(biāo)和項(xiàng)目目標(biāo)構(gòu)建。 （二）風(fēng)險(xiǎn)管理審計(jì)的內(nèi)容 審計(jì)內(nèi)容是回答“審計(jì)什么”的問題。根據(jù)ERM框架中的要素，風(fēng)險(xiǎn)管理審計(jì)的內(nèi)容主要包括： 1.風(fēng)險(xiǎn)管理程序的科學(xué)性和合理性，主要包括

9、風(fēng)險(xiǎn)管理開發(fā)階段所制訂的風(fēng)險(xiǎn)管理框架結(jié)構(gòu)的內(nèi)容；風(fēng)險(xiǎn)管理試探階段所實(shí)施風(fēng)險(xiǎn)管理框架結(jié)構(gòu)的內(nèi)容；風(fēng)險(xiǎn)管理回顧階段所豐富并增強(qiáng)風(fēng)險(xiǎn)管理框架結(jié)構(gòu)的內(nèi)容；風(fēng)險(xiǎn)管理展開階段所推廣并實(shí)施風(fēng)險(xiǎn)管理框架的情況；風(fēng)險(xiǎn)管理支持階段所需要提供的各種基礎(chǔ)組織以及服務(wù)。 2.風(fēng)險(xiǎn)反應(yīng)的周密性和可行性，主要包括風(fēng)險(xiǎn)反應(yīng)計(jì)劃的周密性（如有否考慮風(fēng)險(xiǎn)的可規(guī)避性、可轉(zhuǎn)移性、可減少性、可接受性）；風(fēng)險(xiǎn)應(yīng)對策略的可行性（如是否采取了風(fēng)險(xiǎn)控制、風(fēng)險(xiǎn)自留、風(fēng)險(xiǎn)轉(zhuǎn)移）。 3.風(fēng)險(xiǎn)管理制度的合法性和完善性，主要包括風(fēng)險(xiǎn)管理制度的合法性（如建立風(fēng)險(xiǎn)管理制度是否經(jīng)過充分論證）；風(fēng)險(xiǎn)管理體制的完善性（如考核評價(jià)體制和責(zé)任追究制度是否健全）。 4

10、.風(fēng)險(xiǎn)管理機(jī)制的結(jié)構(gòu)性和盡責(zé)性，主要包括高層管理人員和重要崗位業(yè)務(wù)人員的風(fēng)險(xiǎn)管理理念及對風(fēng)險(xiǎn)管理的重視程度；風(fēng)險(xiǎn)管理人員的結(jié)構(gòu)和素質(zhì)；全員風(fēng)險(xiǎn)管理的情況。 （三）風(fēng)險(xiǎn)管理審計(jì)的程序 1.審計(jì)規(guī)劃階段，包括選定被審計(jì)對象和制定風(fēng)險(xiǎn)管理審計(jì)計(jì)劃。被審計(jì)對象選定工作包括識別被審計(jì)對象的策略、識別潛在被審計(jì)對象和排列被審計(jì)對象的順序。制定風(fēng)險(xiǎn)管理審計(jì)計(jì)劃包括制訂財(cái)務(wù)風(fēng)險(xiǎn)管理、生產(chǎn)風(fēng)險(xiǎn)管理、市場風(fēng)險(xiǎn)管理、會(huì)計(jì)風(fēng)險(xiǎn)管理、人事風(fēng)險(xiǎn)管理和其他風(fēng)險(xiǎn)管理審計(jì)計(jì)劃，確定風(fēng)險(xiǎn)管理審計(jì)的位置和背景。 2.審計(jì)測評階段，包括風(fēng)險(xiǎn)的分析、評估和監(jiān)控。（1）分析風(fēng)險(xiǎn)。審計(jì)人員應(yīng)對風(fēng)險(xiǎn)跡象進(jìn)行深入了解、描述和記錄，并對風(fēng)險(xiǎn)的可

11、能性和發(fā)生頻率進(jìn)行分類。風(fēng)險(xiǎn)可能性分析結(jié)果一般有“很少的”、“不太可能的”、“可能的”、“很可能”、“基本確定”等類別，風(fēng)險(xiǎn)發(fā)生頻率分析結(jié)果一般可分為“高頻率、高損害風(fēng)險(xiǎn)”，“高頻率、低損害風(fēng)險(xiǎn)”，“低頻率、低損害風(fēng)險(xiǎn)”，“低頻率、高損害風(fēng)險(xiǎn)”等類別。（2）評估風(fēng)險(xiǎn)。審計(jì)人員應(yīng)分析風(fēng)險(xiǎn)的成因及其影響，并確定風(fēng)險(xiǎn)程度及等級。風(fēng)險(xiǎn)程度一般分為“極高”、“高”、“中等”、“低”和“極低”等級別。風(fēng)險(xiǎn)概率用風(fēng)險(xiǎn)發(fā)生可能性的百分比表示，風(fēng)險(xiǎn)量風(fēng)險(xiǎn)概率×風(fēng)險(xiǎn)損失量。（3）監(jiān)控風(fēng)險(xiǎn)。審計(jì)人員應(yīng)對可能發(fā)生的風(fēng)險(xiǎn)和損失進(jìn)行跟蹤檢查。跟蹤已識別風(fēng)險(xiǎn)的發(fā)展變化情況，包括在整個(gè)項(xiàng)目生命周期內(nèi)，風(fēng)險(xiǎn)產(chǎn)生的條件

12、和導(dǎo)致的后果變化，作出減緩風(fēng)險(xiǎn)的方案，調(diào)整風(fēng)險(xiǎn)管理計(jì)劃。     3.審計(jì)報(bào)告階段，包括匯總審計(jì)結(jié)果、出具審計(jì)報(bào)告和追加后續(xù)審計(jì)。（1）匯總審計(jì)結(jié)果，包括審計(jì)現(xiàn)狀、標(biāo)準(zhǔn)、差異、原因和建議等部分。如審計(jì)建議中對損失大、概率大的災(zāi)難性的風(fēng)險(xiǎn)要避免；對損失小、概率大的風(fēng)險(xiǎn)，可采取措施來降低風(fēng)險(xiǎn)量；對損失大、概率小的風(fēng)險(xiǎn)，可通過保險(xiǎn)或合同條款將責(zé)任轉(zhuǎn)移；對損失小、概率小的風(fēng)險(xiǎn)，可采取積極手段來控制。（2）出具審計(jì)報(bào)告，包括標(biāo)題、收件人、正文、附件、簽章、報(bào)告日期等基本要素。審計(jì)報(bào)告正文部分主要內(nèi)容有：審計(jì)目標(biāo)、風(fēng)險(xiǎn)概況、審計(jì)依據(jù)、審計(jì)結(jié)論、審計(jì)評價(jià)和審計(jì)建議等。（3）追加后續(xù)審計(jì)。ERM是一個(gè)動(dòng)態(tài)的過程，審計(jì)測試應(yīng)與之相協(xié)調(diào)，追加后續(xù)審計(jì)顯得重要。后續(xù)審計(jì)應(yīng)將重點(diǎn)放在最嚴(yán)重的問題上，相關(guān)部