论企业风险管理要素审计

论文关键词：企业风险；；案例研究

论文摘要：本篇论文通过回顾西方先进的风险管理理念、理论、方法、技术以及国内部分学者关于风险管理的研究成果，以COSO2004年9月制定发布的《企业风险管理—整合框架》为理论基础，以中国某集团为案例研究对象，运用内部审计方法和程序对某集团风险管理八要素进行审计分析和评价，对风险如何在集团企业实践运用进行了探索和研究，提出企业应逐步建立风险管理系统，为企业在的大潮中保驾护航。

企业从无到有、从小到大的发展过程，如同人的成长要经历幼年、青年、中年、老年等阶段一样，也要经历不同的阶段。在每一阶段上都具有不同的特征和遇到不同的困难。随着现代的发展，经济变得瞬息万变，市场竞争越来越激烈。与此同时，企业需要面对的问题越来越多，面临的风险也越来越大，这样就迫使企业必须花费更多的精力对付各种风险。

在市场经济中有许多失败的企业，他们的失败各有其因，但也有一些共同的原因，那就是不重视风险管理，对风险的控制力非常弱。本文研究的问题是面对永远在变化着的社会环境和经济环境，企业如何运用内部审计的理论、方法、程序分析自身风险管理现状，找出问题和不足，提出改进措施和建议，运用先进的风险管理理论对动态变化的风险进行管理，从而实现目标，使企业能够长期生存发展。

风险管理理论发展至今，不同的学科、不同的专业机构、团体、研究学者有不同的认识和理解，于是产生了不同的理论派别。本文的理论框架主要来源于美国COSO委员会2004年9月制定发布的《企业风险管理——整合框架》、国际内部审计师协会2004年1月修订的《内部审计实务标准－专业实务框架》。

一、公司简介

二、公司风险管理要素审计评价程序及结论

尽管某集团在香港联合交易所主板上市，但其实质还是一家中国民营企业，其并没有建立专门的风险管理组织机构、人员、系统，公司风险管理处于“凭感觉进行风险管理”的阶段，只是由管理层根据分析、经验，识别、列出公司面临的四大类十三种主要风险，并制定了一些防范措施。公司审计部作为监督检查部门，每年至少两次从集团层面对风险管理进行整体评价，并在每季度对分、子公司执行例行审计过程中，重点关注风险管理状况。以下试从集团公司层面，以《COSO风险管理——整合框架》（以下简称COSO框架）中所列八要素为线索对公司风险管理进行分析、设计审计评价程序、提出审计评价结论。

（一）内部环境

1.理论描述。内部环境包含组织的基调，它影响组织中人员的风险意识，是企业风险管理所有其他构成要素的基础，为其他要素提供约束和结构。

2.审计评价程序。

（1）设计风险相关调查表对风险管理的内部环境进行调查；

（2）审查公司经营决策、管理方针政策、规章制度、行为准则等是否反映了公司的风险管理理念、诚信和价值观。

3.审计评价结论。公司的风险管理理念属于风险偏好型，提倡抓住机会，大胆开拓。但对风险管理理念没有一个书面的说明性的陈述，这些理念存在于董事会及高级管理层的头脑中，通过收购决策、发布政策、行为准则、各种规章制度反映出来并加以强化。

（二）目标设定

1.理论描述。设定战略层次的目标，为经营、报告和合规目标奠定了基础。每一个主体都面临来自外部和内部的一系列风险，确定目标是有效的事项识别、风险评估和风险应对的前提。

2.审计评价程序。

（1）获取管理层对目标的书面陈述；

（2）通过访谈、询问，获取公司员工对公司目标的知晓、理解程度的信息；

（3）通过查阅管理层的述职报告，获取目标实现进展情况的信息。

3.审计评价结论。公司管理层对风险管理目标没有明确的书面陈述，公司员工对公司的目标知之甚少，经审计调查总结，目标如下：

战略目标：创中国第一肉食品品牌；

经营目标：顾客满意最大化，品牌价值最大化；

报告目标：报告真实、完整，符合《上市规则》要求；

合规目标：遵循国家、行业、企业的、法规、制度。

（三）事项识别

1.理论描述。管理当局识别将会对主体产生影响的潜在事项——如果存在的话，并确定它们是否代表机会，或者是否会对主体成功地实施战略和实现目标的能力产生负面影响。带来负面影响的事项代表风险，它要求管理当局予以评估和应对。

2.审计评价程序。

（1）查阅行业有关资料，询问、访谈高层、中层、一般职工，审查风险识别是否充分、全面；

（2）审查风险识别过程资料，判断是否根据内外部环境的变化定期进行修正。

3.审计评价结论。公司管理层根据调查分析、经验总结，识别、列出公司面临的四大类（行业风险，业务风险，财务风险，合规风险）十三种主要风险：

（1）爆发动物疫情；

（2）突然而来的业务干扰；

（3）消费者口味及喜好的变化；

（4）产品质量出现问题而导致对人身的伤害；

（5）原价格波动；

（6）产品未能迎合市场需求；

（7）主要管理层的流失；

（8）其他实体误用、盗用本公司商号（商标）；

（9）资金安全管理；

（10）资产安全管理；

（11）系统故障；

（12）违反《上市规则》；

（13）违反食品管理、环保法规有关法律规定。

经，公司层对风险识别较为充分，且计划每年分两次（期中和期末）对公司面临的风险进行全面的核查，若发现风险变化，即使进行调整，但未能严格实施。而对于机会，管理层没有进行专门识别。

（四）风险评估

1.理论描述。风险评估使主体能够考虑潜在事项影响目标实现的程度。管理当局从两个角度——可能性和影响——对事项进行评估，并且通常采用定性和定量相结合的方法。

2.审计评价程序。获取管理层对风险进行定性评估的资料，评价其评估的合理准确性以及是否根据内外部的变化进行动态修正。

3.审计评价结论。公司管理层对识别出来的十三种风险根据多年的从业经验和过去的风险发生的记录进行了定性的评估，由于缺乏相关的人才、技术、资料，尚未对风险进行过定量分析。公司管理层计划每年分两次（期中和期末）对公司面临的风险进行全面的核查和平谷，若发现风险变化，及使进行调整修正，但未能严格实施。

（五）风险应对

1.理论描述。在评估了相关的风险之后，管理当局就要确定如何应对。应对包括风险回避、降低、分担和承受。在考虑应对的过程中，管理当局评估对风险的可能性和影响的效果，以及效益，选择能够使剩余风险处于期望的风险容限以内的应对。

2.审计评价程序。通过访谈、询问，了解管理层采取的风险应对策略及理由，评价其合理性。

3.审计评价结论。公司管理层对识别出来的重要风险制定了相应的防范措施，从风险应对的角度看多为性措施，以降低风险发生的可能性，而没有采取购买等风险分担措施。

（六）控制活动

1.理论描述。控制活动是帮助确保管理当局的风险应对得以实施的政策和程序。控制活动的发生贯穿于整个组织，遍及各个层级和各个职能机构。它们包括一系列不同的活动，例如批准、授权、验证、调节、经营业绩评价、资产安全以及职责分离。

2.十三种风险审计评价程序。公司管理层针对识别出来的十三种风险，制定了防范措施，审计部门相应地制订了审计评价程序。

3.审计评价结论。经审计调查，公司管理层对于风险管理的控制活动要素较为重视，制定的风险防范措施较为全面、严密、可操作，大部分得到了严格有效执行，但也有部分单位未能严格执行风险防范措施。

（七）信息与沟通

1.理论描述。有关的信息以保证人们能履行其职责的形式和时机予以识别、获取和沟通。信息系统利用内部生成的数据和来自外部渠道的信息，以便为管理风险和作出与目标相关的知情的决策提供信息。有效的沟通会出现在组织中向下、平行和向上的流动。

2.审计评价程序。

（1）走访公司IT部和公司内部报刊编辑部，了解评价公司的信息系统的建设和运转情况。

（2）访问公司网站，观察其运转情况；

（3）使用公司的局域网、内部电话网，阅读公司内部报刊，评价其运转情况和功效发挥情况。

3.审计评价结论。公司设立了IT部，建立了较为完备、先进的信息管理系统，通过因特网、内部局域网、内部电话网、内部报刊等手段将信息以文字、声音、图片等形式进行传递，并制定各种级别的会议制度进行面对面的信息沟通。但没有建立专门的风险信息生成及传递通道。

（八）监控

1.理论描述。对企业风险管理进行监控——随时对其构成要素的存在和运行进行评估。这些是通过持续的监控活动、个别评价或者两者相结合来完成的。持续监控发生在管理活动的正常进程中。

2.审计评价程序。

（1）审查内部定期（每天、每周、每月）上报的管理报表（报告），评价风险管理日常监控职能发挥情况；

（2）审查内部审计部门的审计计划、风险管理审计报告，评价其监控职能的发挥情况。

3.审计评价结论。公司管理层通过例行的控制活动、信息报告反馈系统对经营管理状况进行日常的监控；通过内部审计部门对公司所控制的所有单位、项目进行例行审计，报告中时常反映一些被审单位风险管理状况的信息，对风险管理的监控较为及时，但对公司总部层面的风险监控较为薄弱。

三、结语

企业要想在的大潮中基业长青，必须对面临的各种风险进行系统地、全面地管理，这已是不争的事实。借鉴西方先进的风险管理理念、理论、方法、工具，结合本企业具体实际情况，对内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控八个风险管理要素逐一进行分析和评价，查找问题和不足，对风险管理、风险管理组织体系、风险识别、评估、排序、风险管理策略与方法、风险管理监控与检查、风险管理沟通与咨询等关键的风险管理流程采取措施不断完善，逐步建立企业风险管理系统，是解决风险管理问题的最佳实务。企业应当增强风险意识，逐步建立险管理系统，为企业保驾护航，这样企业才能在市场经济的大海中劈波斩浪，扬帆远航。

参考文献： ［2］江苏省公司、南京大学系，《风险管理审计评价》，第一版，中国经济出版社，2005。

［3］孙班军，郝建新，《风险管理案例分析与公司治理》，第一版，中国财政经济出版社，2006。