企业风险管理的含义范文

导语：想要提升您的写作水平，创作出令人难忘的文章？我们精心为您整理的5篇企业风险管理的含义范例，将为您的写作提供有力的支持和灵感！

篇1

在国家当前的新经济形势下，企业的规模日益扩大，其机构和业务日益繁杂，所面临的风险也不断增加。内部审计作为一种独立、客观的保证与咨询活动，是企业自我约束和自我监督机制的重要组成部分。企业管理层也迫切需要内部审计机构协助其更有效地履行其职责，提高企业的运作效率和经济活动的附加值。

1 内部审计与风险管理的含义

（1）内部审计的含义。内部审计是指由本部门和本单位内部专职的审计机构或人员所实施的审计。这种专职的审计机构或人员，独立于财会部门之外，直接接受本部门、本单位主要负责人的领导，依法对本部门、本单位及其下属单位的财务收支、经营管理活动及其经济效益进行内部审计监督。内部审计的目的是纠错防弊，促使企业改善其经营管理，提高经济效益。

（2）风险管理的含义。企业风险管理是从整体企业的宏观角度来辨识及分析风险的过程。其方法不只是将企业所有风险整合，而是将企业面临的所有不确定性转化为可通过策略及运作优势达到营运目标的一种方法。coso对风险管理的定义是：“全面风险管理是一个过程。这个过程受董事会、管理层和其他人员的影响，这个过程从企业战略制定一直贯穿到企业的各项活动中，用于识别那些可能影响企业的潜在事件和管理风险，使之在企业的风险偏好之内，从而合理确保企业实现既定的目标。”

2 内部审计与企业风险管理的关系

（1）内部审计在风险管理中扮演重要角色。内部审计是企业内部监督与控制的关键环节，可以协助公司辨别及评估重大风险的披露，对改善风险管理及控制制度做出重要贡献。企业内部审计机构在规划审计工作时，应评估各种管理活动的相对风险，并将风险按照重要性进行排序，对风险较大的项目优先考虑开展相关审计工作。对管理层的风险管理流程效果和效率方面进行检查、评价、报告并提出审计建议，帮助企业识别、评价风险及实施风险管理方法。

（2）内部审计在风险管理方面具有独特的优势。风险管理是一个系统的过程，对风险的防范和控制需要从整体出发。而内部审计机构在企业中不从事具体业务活动，独立于业务管理部门，使其具有相对的独立性。因此，在进行风险管理的过程中，能够客观地、从全局的角度管理风险，正确地识别和评估风险，并及时建议相关部门采取措施应对风险。

（3）风险管理是进行内部审计工作有效的工具。风险管理是企业管理层的职责所在。为了实现企业的经营目标，管理层应当确保企业具备良好的风险管理流程，并且在经营过程中正常运转。内部审计可以通过制定正式的行为规范，经常检查公司风险管理流程是否健全等措施有效地降低企业风险。风险管理作为内部审计工作的有效工具，很多企业和部门已将其应用于机构的持续性、财务管理、资产管理和舞弊等各项风险管理中。

3如何发挥内部审计在企业风险管理中的作用

（1）确认风险识别的充分性。在企业进行风险识别的过程中，内部审计人员应该对风险管理流程进行审查与评价，确定企业在风险识别的过程中风险归类的正确性以及分析方法的适当性。内部审计可以采用多种风险分析方法对企业内部和外部的风险要素进行识别分析，判断企业管理层是否对主要风险均已识别和分析，并充分考虑风险可能造成的影响，为进行风险评价奠定基础。

（2）确定风险评估的恰当性。在企业进行风险评估的过程中，企业要对已识别的风险事件进行定量和定性的分析，分析风险产生的重要性及可能性。内部审计应首先对风险性质及程度的衡量与界定进行评价，这关系到进行风险处理的依据是否可靠。其次，应对管理层的风险评估过程的适当性、执行的有效性进行评价，找出需要修改完善的地方，为各级管理层提供专业审计意见。

（3）评估风险对策的有效性。内部审计在企业风险对策活动中发挥的作用，直接反映在审计成果中，是审计价值的重要体现。企业根据对风险的评估和判断，应采取相应的措施和方法来进行风险处理，以降低和抑制风险损失，获取风险收益。在风险对策活动中，内部审计应分析风险回报的合理性、评价风险措施的有效性。

（4）评价风险监控的合理性。对企业风险管理的监控是指评估风险管理要素的内容和运行以及执行质量的一个过程。在这个过程中，内部审计首先应当从评价企业各部门的内部控制制度入手，审查企业经营活动中重要环节相关控制制度设置的合理性以及执行的有效性，识别并防范风险。其次，应当密切关注可能引致风险的重要事项，了解企业的风险偏好，与相关管理层讨论部门的目标、存在的风险，并评价管理层采取的风险监控活动的有效性。再次，应当以企业总体风险组合的观点看待风险，协调各部门共同管理企业，从全局角度识别并评价风险，提出改进建议来协助企业管理层履行其职责，以保证企业目标的实现。

4结束语

内部审计参与企业风险管理是内部审计的发展方向，是环境因素和内部审计自身因素共同作用的结果。这不仅为内部审计的发展提供了契机，也有利于企业在风险管理的过程中采用先进的审计方法和技术手段，强化内部审计职能，积极探索，勇于创新，使企业在竞争中处于优势地位，实现管理最优、效益最佳的发展目标，并开创审计工作的新局面。

主要参考文献

篇2

企业在经营、生产、发展的道路上必定会因各种因素而带来各种风险，这些因素即可以来自管理体系与治理结构等企业自身内部因素，也可以来自经济环境、法律政策等外部因素。虽然风险具有不确定性，但如果企业管理欠妥，极有可能使风险成为现实，对企业造成严重影响。因此，采取有效措施提高企业风险控制能力对企业来说极为重要。基于此，笔者就企业风险含义与特征、企业风险类型、目前企业风险控制管理存在的主要问题以及提高企业风险控制能力的措施几方面来阐述，旨在为企业风险控制工作的开展提供参考。

一、企业风险含义与特征

1.企业风险含义。企业风险又称经营风险，是指企业在在经营、生产、发展的过程中，因受到各种因素的影响，导致企业未能达到预期收益，存在影响企业经济的可能。企业风险具有广义与狭义两方面的理解，前者是指企业在资金运营等企业活动中，因各种原因的影响，导致企业盈利下降，企业发展轨道偏离；后者是指企业自身经营战略偏差造成企业收益发生大幅变动，甚至濒临破产、倒闭等巨大风险。2.企业风险特征。企业在采取风险管理措施之前，首先需要做的就是了解企业风险的特征，只有了解了“敌人”，才能做到有的放矢，采取具有针对性的控制措施。总的来说企业风险有以下几个特征：（1）具有不确定性。在一定环境下风险可发生多种变动，随之带来各种结果，可见企业风险是否会变为现实无法确定。（2）具有客观性。风险未来发生概率不确定，但它是客观存在的，不会随着人们意志而发生转移，也就是说企业预期收益可能会出现偏差的风险是客观存在的。（3）具有可度量性。当企业意识到存在风险时，在生产或进行经济活动前，会预测该风险对企业经济所造成的各种后果。（4）具有全面性。企业在进行各种活动中，如：资金运转、资金分配、资金筹集等，在上述这些企业活动中均有可能发生风险，即企业风险存在企业管理过程中，可在企业各种活动中体现。

二、企业风险类型

企业风险类型包括内部风险与外部风险两种，前者是指企业在生产经营整个过程中所需要面对的客观风险，如：合规风险、政治风险、产业风险、信用风险、市场环境风险与法律政策风险等；后者主要是指因企业管理体系、战略布局、治理结构等因素而发生的风险，包括：运营风险、操作风险、财务风险以及战略风险等。

三、目前企业风险控制管理存在的主要问题

1.预算管理基础薄弱。全面预算作为目前各企业管理最为常见的管理手段，该管理体系经全面完善后，具有整体、全面规划企业资金管理，降低企业资金流动与财务等各方面风险的优点。全面预算管理可谓是维持企业向着正常运转轨道发展，保持企业管理处于良好状态的重要手段。虽然我国各企业目前已将全面预算管理运用到企业管理中，但由于其预算管理运用还尚未成熟，基础薄弱，难以发挥出其实际职能，从而影响了企业财务管理工作顺利开展，降低其对企业风险的实际控制能力。2.企业风险管理体系的内部控制力薄弱。作为企业风险管理体系中的重要部分，内部控制力对防范控制、评估分析有着重大影响。而现阶段我国有的企业由于不具备完善、健全的内部控制制度，使得企业风险管理体系作用得不到有效发挥，从而影响了内部控制效果。3.风险监督力度较差由于企业不具备较强的风险管理意识，未意识到风险管理的重要性，因此并不能制定出一个良好的监督机制，面对具体风险管理工作不能采取相应的措施，未能起到风险监督的作用，使得风险管理系统起不到实质作用，不能有效进行风险预警分析，推动了企业风险向现实发展。

四、提高企业风险控制能力的措施

1.完善全面预算体系。作为风险管理体系中的重要内容，全面预算体系对企业的经营、企业的资金使用起着非常重要的作用，而且还能有效降低企业的经营风险。这提示我们，完善全面预算管理是企业提高风险管理效率的首要解决任务，通过对企业预算实施编制，落实各项措施的进行，这样才能将全面预算管理的实际作用淋漓尽致地发挥出来。加强对内部控制制度的建设，不断对内部控制体系进行完善，可促进企业风险管理工作的开展，对解决企业风险具有重要意义。2.加强企业风险评估与解决等工作的能力。风险不但具有不确定性，也具有突发性，属于一种不稳定因素。因此，企业需要具备良好的风险评估与解决等能力。企业风险就好比随时都有可能爆炸的炸弹，需要企业去辨别这颗“炸弹”所埋藏的位置，并通过精湛的拆弹技术去拆除它。企业要想做好风险评估工作，那么首要的就是探寻出隐藏或有可能发生风险的环节，并细致、全面、深入地分析其原因，可能会引发的结果等。通过风险评估法对其进行风险评估，以了解风险等级，获取风险发生概率等信息，根据这些信息制定出具有针对性的处理方案。3.完善风险管理监督机制。优化企业信息系统建设不但有利于企业信息的集成，而且还能起到强化企业信息共享的能力，有利于企业在进行经营活动时，将相关信息准确、及时地反馈给风险管理以及决策部门，使得企业风险监测、评估、分析、管理等工作能够逐一顺利开展。通过完善风险管理监督机制，能够将企业制定的风险管理措施落实到相关部门，确保风险管理控制工作有效进行。除此以外，企业风险监督管理部门还应履行自身工作职责，评价风险管理绩效，以了解企业风险管理工作进展以及完成情况，及时发现风险管理工作开展过程中存在的问题，分析并总结，以提出改进，确保风险管理工作能够持续、顺利开展。4.提升企业决策水平。为了防止企业风险管理工作中因相关人员做出错误的决策而引发企业风险，那么就需要提升企业决策水平。而且要想提升企业风险控制能力，也需要企业具备科学的决策方法，能够在风险管理过程中，明确影响决策的相关因素，并通过对这些因素进行充分、全面地考虑，以及利用定量分析法来制定出决策，在制定决策的过程中，尽可能多的制定可行性方案，最后通过科学的分析与评价，从中选择出最佳方案。提升企业决策水平也是一种降低企业风险的有效手段。

五、结语

企业贸易是我国经济的主要来源之一，而在我国企业中有95%以上属于中小型企业。这说明企业发展对我国经济的发展起着重要的影响作用，企业经济是我国重要经济来源之一。而当下市场竞争愈发激烈，全球经济面临着严峻的障碍，这无形中就增加了中国经济运行的困难，对中国经济发展带来了压力，随之也增加了企业发展的难度，在这样的经济环境下，企业风险可谓是无处不在的，同时也是无法避免的，而要想在竞争如此激烈的市场环境下顺利的生存发展下去，那么企业就必须提高企业的风险控制能力，建立完善的风险管理体系。而要想提高企业风险控制能力，那么就需要明确企业风险的含义与特征，企业风险类型，目前企业风险控制管理存在的主要问题，最后制定解决措施。预算管理基础薄弱、企业风险管理体系的内部控制力薄弱以及风险监督力度较差是目前我国企业在风险控制管理中存在的主要问题，针对这些问题需要企业从以下几方面入手，包括：完善全面预算体系、加强企业风险评估与解决等工作的能力、完善风险管理监督机制以及提升企业决策水平。这些措施在企业风险管理与控制中均起着重要作用，缺一不可。

参考文献：

[1]张萍萍.企业风险控制探究[J].行政事业资产与财务,2011,(22):107-108.

篇3

一、企业风险管理框架介绍

1.企业风险管理含义。美国COSO委员会的《企业风险管理框架》中对其定义：企业风险管理是一个过程，受企业的董事会、管理层和其他人员的影响，应用于企业的战略制定及各个方面，旨在确定影响企业的潜在重大事件，将企业的风险控制在可接受的程度内，从而为实现企业的目标提供合理保证。

2.企业风险管理框架。美国COSO委员会提出ERM框架主要由三个维度组成：第一维度是企业的目标，主要有四个，即战略目标、运营目标、报告目标和遵循目标；第二维度是全面风险管理要素，主要包括以下八要素：内部环境、目标设定、事项识别、风险评估、风险对策、控制活动、信息和沟通、监督；第三维度是企业的各个层级，包括整个企业、各职能部门、各条业务线及下属各个子公司。企业风险管理三个维度的关系是：全面风险管理的八个要素都是为企业的四个目标服务的，企业的各个层级都要坚持服从企业的四个目标，每个层次都必须从八个方面进行风险管理。

二、以风险导向的内部审计

风险导向内部审计是指内部审计人员在审计全过程自始至终都要关注风险，根据风险度选择项目，以降低风险为导向，以对整个组织的风险进行评估与改善为最终目的的一种审计理念。其根本目标是通过将风险与企业目标的实现直接联系起来，为公司治理层及管理层提供有价值的服务，是企业进行风险管理的一种有效工具。

三、风险管理框架下实施风险导向内部审计的理性思考

1.树立动态理念

从COSO对风险管理的定义可以看出，风险管理渗透于企业经营活动全过程且反复相互影响，风险管理机制的运作是一个动态管理的过程，与经营管理活动交互存在。风险导向审计是将各项管理经营活动整合成一个完整、相互约束和自我改善的体系。它运用立体观察的理论来判断影响企业经营风险的各种因素，从企业所处的行业状况、监管环境、经营目标、战略规划到经营方式、业务流程等内外部各个方面来评估企业的风险水平，把经营风险植入到本身的风险评价中去，并贯穿于内部审计的全过程。风险管理是一个动态过程，风险管理框架下的内部审计也是一个动态过程，且贯穿于企业管理全过程。

2.以企业风险管理框架为理论依据，改变审计思路，改进审计流程和方法，与风险管理机制相融合

（1）以风险管理框架为理论依据。国际内部审计师协会（IIA）《内部审计实务标准》对风险审计的规范和指导，极力倡导内部审计在企业风险管理框架中发挥不可替代的重要作用，即内部审计要在风险环境分析、风险事件识别、风险评估、风险反应和控制、风险信息沟通和管理系统监控环节中发挥重要作用。风险导向内部审计是传统审计的发展，赋予为企业的风险管理提供保证的重要任务，因此，应该让内部审计和风险管理框架直接联系，实现协同效应。（2）采用“自上而下”的审计思路。传统的内部审计沿袭“自下而上”、“由点到面”的审计思路，风险导向审计则要求审计人员对企业的战略管理进行分析，对企业风险做出合理的专业判断，运用“自上而下”的思路，确定审计的范围、重点、审计目标和相关审计程序，通过实质性测试的结果，结合重要性判断来判断整个企业的风险并最终形成审计意见。 （3）设计以企业战略为审计起点，融风险管理于其中的审计流程。内部审计要从战略分析入手，按照“战略分析――经营环节分析――剩余风险分析”的思路展开风险分析，确定实质性审计程序的性质、时间和范围。在风险管理中，内部审计部门主要是对风险管理部门和其他相关部门所进行的风险管理进行再监督。因此内部审计程序与机构的风险管理之间应该协调一致，使这两项工作产生协同增效的作用。在编制审计计划时，应该在对可能影响机构的风险进行评估的基础上，制定内部审计部门的审计计划，确定审计项目。确定审计范围时，要考虑并反映整个公司的战略性计划目标，并每年对审计范围进行一次评估，以反映机构的最新战略和方针。编制审计方案时，通过风险因素分析来确定审计业务工作重点；在审计实施过程中，通过评价内部控制制度，查找其中的疏漏和薄弱环节；在更新审计范围与计划的内容时，要反映管理层的方针、目标、工作重心出现的变化。在选择检测、证实风险的技术与方法时，应该能够反映出风险的重大性与发生的可能性。在编制审计报告时，应对风险管理状况进行评价，指出风险管理中存在的漏洞和不足之处，提出加强管理的建议。追踪审计时，将风险确定为决定追踪审计范围的重要因素，风险越大，追踪审计的范围就越广。（4）采用分析性复核为核心的审计方法。在风险管理框架下，内部审计的一个重要职能是协助建立和完善企业风险管理制度，对执行情况的有效性进行检查，及时揭示和报告潜在风险，提出防范措施和改进意见，因此风险评估是风险导向审计的重要手段。风险评估的核心是分析性复核的运用。在多元因素评估过程中，还要将现代管理方法运用到分析性程序中去，使风险因素不再独立。

3.改善企业内外环境，为引入风险导向内部审计提供基础

首先，加强公司治理结构。现代风险导向审计的起点是企业经营风险，重点关注重大错报风险，因此公司治理的优劣与否直接决定重大错报风险的程度，从而影响到审计效果。其次，强化对内部审计人员的职业素质训练。再次，修改和完善内部审计法规，为内部审计人员实施风险导向内部审计提供法律上的支持。

综上所述，企业的内部审计部门应该在企业的风险管理中发挥起应有的作用，与企业风险管理紧密结合成为一个完整的统一体，使得企业能在日趋激烈的市场竞争中将各种可能面临的风险将到最低水平，从而提升企业自身的竞争力，以实现长足的发展。

参考文献：

[1]刘丽云：试析内部审计与风险管理机制的融合[J].财会研究，2006（8）.

篇4

1、企业风险管理涵盖了内部控制。增加了新的要素或赋予原有要素新的含义,对内部控制框架下的风险管理要素进行细化,按风险管理的流程划分为:目标设定、事件识别、风险评估、风险反应四个要素。同时,在环境要素中增加了“风险管理哲学”以及风险“偏好”。对比二者的构成要素,可以发现风险管理框架中的目标制定、事项识别、风险评估、风险应对四个要素实质上就是风险管理的流程,也可以理解为狭义上的风险管理。这样看来,内部控制框架与风险管理框架中的要素完全一致。但是系统论认为,系统的性质不仅取决于组成系统的各要素,更依赖于组成系统的各要素的排列方式。在内部控制三个目标的基础上增加了战略目标,并扩大了报告目标的范围,将“财务报告的可靠性”发展为“报告的可靠性”。

2、企业风险管理更加强调管理风险。ERM框架强调在“组合”的基础上考虑风险,考虑风险的集合和风险的交互作用,并在此基础上考虑企业应采取的风险控制措施。在强调风险管理的环境下,ERM框架显然不同于内部控制框架。

总之,ERM框架扩展并详细地阐述了与企业风险管理相关的那些内部控制要素。从企业风险管理要求和实施来看,内部控制是ERM的主要构成部分,但绝对不能等于ERM范畴,ERM的理论和实务都要比内部控制宽泛得多,ERM更适合企业战略风险管理的要求。因此,不能说风险管理审计是内部控制审计的一部分。

二、我国风险管理审计准则的内容及局限性

随着经济形势发展及我国内部审计自身发展的需要,我国内审也开始重视风险管理内部审计。2005年中国内部审计协会颁布了《内部审计具体准则第16号—风险管理审计》(以下简称风险管理审计准则)并要求于2005年5月1日起实施,该具体准则的出台为我国内部审计人员对组织内部风险管理状况进行审查和评价提供了规范指导。

风险管理审计准则第2条对风险管理做了如下定义:是对影响组织目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的过程。风险管理旨在为组织目标的实现提供合理保证;第6条则描述了风险管理包括的主要阶段:风险识别、风险评估以及风险应对;在该准则的第4条中,还特别强调:风险管理是组织内部控制的基本组成部分,内部审计人员对风险管理的审查和评价是内部控制审计的基本内容之一。

可以看出,该准则所称的“风险管理”是从狭义上理解的风险管理,即风险管理活动的具体实施过程:风险识别、评估及应对。而广义的风险管理不仅包括上述的具体实施过程,还包括其他起辅助作用的要素:内部环境、控制活动以及监督。按目前狭义前提下制定的准则去执行,风险管理审计就会忽略这些起辅助作用的要素,以至于发现不了组织风险管理活动中可能存在的潜在问题。中航油案例就是一个很好的例证。

中国航油(新加坡)股份有限公司(下称中航油新加坡公司)曾聘请国际著名的安永会计师事务所为其编制《风险管理手册》,设有专门的风险管理委员会及软件监测系统,实施交易员、风险控制委员会、审计部、总裁、董事会层层上报,交叉控制,按照《风险管理手册》的规定,任何导致50万美元以上损失的交易将自动平仓。中航油新加坡公司共有10位交易员,损失的最大限额应是500万美元(10×50万=500万)。但是,中航油新加坡公司的衍生品交易最终亏损额高达5.5亿美元,以至申请破产保护。中航油事件的核心问题并不在于市场云谲波诡,而在于该公司从表面上看似乎已实施了风险管理的流程:风险识别、风险评估、风险应对;但缺少对风险管理系统中的其他辅助要素的合理关注,最终导致企业整体风险管理失败。这一案例也再次说明:风险管理不仅仅只包括风险识别、评估及应对,更包括内部环境、控制活动、信息和沟通以及监控;风险管理系统的有效运转依赖于各要素的通力协作,对风险管理不应停留于狭义上的理解;风险管理审计准则应指导内部审计人员从广义上理解风险管理的涵义,全盘考虑风险管理的构成要素及其运作方式,及时有效地发现企业风险管理实践中存在的短板。

三、建议

基于以上分析,要实现真正意义上的风险管理审计,对风险管理审计准则中的风险管理概念的理解就必须建立在广义的基础之上,即采纳COSO委员会(2004)ERM框架中的广义风险管理概念。鉴于内部控制与风险管理二者密不可分的联系,在现行的准则体系下可以协调内部控制审计准则与风险管理审计准则之间的关系,以使风险管理审计准则能得以更有效的实施。

主要参考文献:

[1]中国内部审计协会.内部审计具体准则第16号——风险管理审计.2005.

[2]刘华.审计治理规范与案例[M].复旦大学出版社,2007.

篇5

中图分类号:F239文献标识码:A

一、我国风险管理审计准则的内容及局限性

随着经济形势发展及我国内部审计自身发展的需要,我国内审也开始重视风险管理内部审计。2005年中国内部审计协会颁布了《内部审计具体准则第16号―风险管理审计》(以下简称风险管理审计准则)并要求于2005年5月1日起实施,该具体准则的出台为我国内部审计人员对组织内部风险管理状况进行审查和评价提供了规范指导。

风险管理审计准则第2条对风险管理做了如下定义:是对影响组织目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的过程。风险管理旨在为组织目标的实现提供合理保证;第6条则描述了风险管理包括的主要阶段:风险识别、风险评估以及风险应对;在该准则的第4条中,还特别强调:风险管理是组织内部控制的基本组成部分,内部审计人员对风险管理的审查和评价是内部控制审计的基本内容之一。

可以看出,该准则所称的“风险管理”是从狭义上理解的风险管理,即风险管理活动的具体实施过程:风险识别、评估及应对。而广义的风险管理不仅包括上述的具体实施过程,还包括其他起辅助作用的要素:内部环境、控制活动以及监督。按目前狭义前提下制定的准则去执行,风险管理审计就会忽略这些起辅助作用的要素,以至于发现不了组织风险管理活动中可能存在的潜在问题。中航油案例就是一个很好的例证。

中国航油(新加坡)股份有限公司(下称中航油新加坡公司)曾聘请国际著名的安永会计师事务所为其编制《风险管理手册》,设有专门的风险管理委员会及软件监测系统,实施交易员、风险控制委员会、审计部、总裁、董事会层层上报,交叉控制,按照《风险管理手册》的规定,任何导致50万美元以上损失的交易将自动平仓。中航油新加坡公司共有10位交易员,损失的最大限额应是500万美元(10×50万=500万)。但是,中航油新加坡公司的衍生品交易最终亏损额高达5.5亿美元,以至申请破产保护。中航油事件的核心问题并不在于市场云谲波诡,而在于该公司从表面上看似乎已实施了风险管理的流程:风险识别、风险评估、风险应对;但缺少对风险管理系统中的其他辅助要素的合理关注,最终导致企业整体风险管理失败。这一案例也再次说明:风险管理不仅仅只包括风险识别、评估及应对,更包括内部环境、控制活动、信息和沟通以及监控;风险管理系统的有效运转依赖于各要素的通力协作,对风险管理不应停留于狭义上的理解;风险管理审计准则应指导内部审计人员从广义上理解风险管理的涵义,全盘考虑风险管理的构成要素及其运作方式,及时有效地发现企业风险管理实践中存在的短板。

二、重新认识内部控制与风险管理的关系

对风险管理审计的认识依赖于企业进行风险管理时所采取的企业风险管理框架或风险模型(用来反映风险管理过程和内容的程序图)。截至目前,已经有如下风险管理模型:1995年澳大利亚-新西兰联合委员会的AS/NZE4360;1998年的加拿大标准委员会模型;1997年全国虚假财务报告委员会下属的发起人委员会(下称COSO委员会)内部控制-整合框架的“目标―风险―控制”模型;2004年COSO委员会的企业风险管理-整合框架(简称ERM框架)模型。风险管理审计准则中出现的问题根源就在于准则中的“风险管理”概念采纳了COSO委员会1997年的内部控制-整合框架中的观点。然而,理论界和实务界还是认为该内部控制框架有些局限性,如对风险强调不够,使得内部控制无法与企业的风险管理相结合。COSO委员会2004年的ERM框架就是在1997年的内部控制-整合框架的基础上,结合《萨班斯――奥克斯利法案》的相关要求扩展得到的。相比内部控制框架,ERM框架在多个方面都有所发展和深化,具体表现在以下几个方面:

1、企业风险管理涵盖了内部控制。增加了新的要素或赋予原有要素新的含义,对内部控制框架下的风险管理要素进行细化,按风险管理的流程划分为:目标设定、事件识别、风险评估、风险反应四个要素。同时,在环境要素中增加了“风险管理哲学”以及风险“偏好”。对比二者的构成要素,可以发现风险管理框架中的目标制定、事项识别、风险评估、风险应对四个要素实质上就是风险管理的流程,也可以理解为狭义上的风险管理。这样看来,内部控制框架与风险管理框架中的要素完全一致。但是系统论认为,系统的性质不仅取决于组成系统的各要素,更依赖于组成系统的各要素的排列方式。在内部控制三个目标的基础上增加了战略目标,并扩大了报告目标的范围,将“财务报告的可靠性”发展为“报告的可靠性”。

2、企业风险管理更加强调管理风险。ERM框架强调在“组合”的基础上考虑风险,考虑风险的集合和风险的交互作用,并在此基础上考虑企业应采取的风险控制措施。在强调风险管理的环境下,ERM框架显然不同于内部控制框架。

总之,ERM框架扩展并详细地阐述了与企业风险管理相关的那些内部控制要素。从企业风险管理要求和实施来看,内部控制是ERM的主要构成部分,但绝对不能等于ERM范畴,ERM的理论和实务都要比内部控制宽泛得多,ERM更适合企业战略风险管理的要求。因此,不能说风险管理审计是内部控制审计的一部分。

三、建议

基于以上分析,要实现真正意义上的风险管理审计,对风险管理审计准则中的风险管理概念的理解就必须建立在广义的基础之上,即采纳COSO委员会(2004)ERM框架中的广义风险管理概念。鉴于内部控制与风险管理二者密不可分的联系,在现行的准则体系下可以协调内部控制审计准则与风险管理审计准则之间的关系,以使风险管理审计准则能得以更有效的实施。

(作者单位:江苏科技大学经济管理学院)

主要参考文献: