我们离“企业风险审计”还有多远？

　　有人说：人生80，企业30，说的是寿命。目前，人的平均寿命已经可以达到或接近80岁了，而企业的寿命则是长短不齐，相距甚远。纵观人的生命历程，多数人是因为生理机能的逐步衰退而终其天年，而企业则是因为决策失误、经济受骗、投资失败、巨额亏损或者天灾人祸等“意外”原因导致破产、倒闭，这些意外，用经济学专业术语描述就是“风险”。一时的管理效率低下，对于企业来讲可能只是皮肉之伤，稍加疗养便可恢复，而如果未能避免一次大的风险，对企业的影响可能是伤筋动骨，甚至是致命的。

　　巴林银行倒闭可以说是一个典型案例，尼克·里森在短短的三年内，其错误账户由最初的2万英镑转变为14亿英镑的损失，致使这家有着233年历史，世界上成立最早的一家商业银行，顷刻倒闭。随着资本流动的全球化，经营风险，特别是金融领域的风险与日俱增，20世界90年代以来，大和银行、德属西敏士银行及美国储蓄和信贷银行的接连破产倒闭，引发了全球性的经济持续低迷。就拿我国来讲，几年前还赫赫有名的广州太阳神、郑州亚细亚、小霸王、幸福集团等品牌，目前已经销声匿迹，他们的“消失”，最主要的原因是在投资、决策等战略方面受到风险损失的重创。

　　特别是东南亚金融危机以来，金融体系带来的影响是巨大的，特别是我国承担了较大的压力，此时关于风险管理才开始为经济学界和企业家所重视起来。从全世界范围看，企业风险战略与管理尚处在发展阶段，有些企业还未实行，操作性较强的当属银行和保险业。翻开最近的招聘信息，金融企业承包的招聘岗位多数有“风险管理专员”之类，而且对学历、专业背景等方面要求颇高，说明风险管理的理念在企业界开始引入。

　　古人云“凡事预则立，不预则废”，真正有效的战略是面向未来的管理，以一种发展的超前的眼光来处理当前的事务，从而获得竞争优势。对于将来可能出现的危及利益的风险，也就不能不列入战略思考应对范围。美国的通用公司是一家有着悠久历史的跨国公司，它为什么能做到永远不落伍，因为它的领军人物韦尔奇在80年代初就预料到将来的市场将没有国家的界限了，做企业不光要在美国市场上数一数二，还要在全世界范围内数一数二，所以，通用公司的各种战略决策都采取了一种全球性的思维，这种思维在当时确实是非常超前的。

　　“战略”已经不是什么新鲜的概念了，当前，无论是上柴公司这样的大企业，还是一些软件公司那样的小企业，从管理上都已经突破了传统的科学管理概念，着手实施战略管理。而从企业战略管理的内在含义看，企业战略是为获得持久竞争优势而对外部机会和威胁以及内部优势和劣势的积极反应，这实际上是对风险管理的另一种描述。可见，企业要生存和发展，风险管理已经成为企业不能回避，不能不重视的十分关键的管理领域。

　　企业风险审计----内部审计人员的新使命

　　内部审计的发展经历了几个世纪，它的使命也几经变化。近代和现代的内部审计，是西方国家企业为加强内部经济监督和经营管理，随着社会经济的发展和企业管理的需要而产生、发展起来的。内部审计从产生到现在，已经历了财务收支审计、经济效益审计、内部控制审计和企业风险审计四个阶段，无论在哪个阶段，“满足管理需要”始终是内部审计的永恒主题，因为这是内部审计职业的立身之本。

　　关于财务收支审计和经济效益审计的产生，广大内部审计人员已经熟知。在此仅重点谈一下内部控制审计和企业风险审计的产生，因为这是两个关系非常密切的理论体系，在当前的业务实践中占有举足轻重的地位。

　　20世纪40年代开始，跨国公司迅速崛起，分公司、分支机构增多，经营地点分散，企业管理层次和跨度增大，出现了“管理失控”的危机，于是管理由“内部牵制”逐步扩大到整个系统的“内部控制”，为实现组织目标，进行横向、纵向的协调与控制。内部审计职责扩大到“内部控制测试与评价”上来，以实现保全资产安全完整，取得经营效果和效率，确定财务报告的可靠及遵循适当的法规等目标。

　　21世纪初，随着企业战略管理的实施，风险战略决策的起用，风险管理的日趋专业化，风险就成为内部审计方向的基础，企业风险审计应运而生。这样，内部审计师就把其职责与组织战略目标、组织风险管理措施结合起来。

　　内部审计的四个阶段，每个阶段的目标是向前“兼容”的，内部审计的职责是随着管理目标的改变而与时俱进的，做不到这一点，内部审计职业就会因为自身功能的相对“弱化”而被淘汰。

　　纵观国内企事业单位的内部审计部门，很多单位只留下一到两个人“撑门面”，实际开展的业务并不多，更多的是起到上传下达，内外沟通的作用。分析原因，长期以来，我国内部审计业务领域占主导地位的是财务收支审计，随着企业管理向纵深发展，内部审计的内向服务功能发挥得越来越不明显，内部审计部门越来越难以得到高级管理层的重视，每逢减员增效，机构调整，这样的内部审计部门不可避免地成为冲击对象，人员流失严重，给内部审计职能的提升造成困难，“东山再起”几乎不可能。相反，对于内部审计前沿比较敏感的一些单位，将业务拓展与企业的改革发展同步规划，内部审计目标与企业管理需要紧密结合，让高级管理层体会到内部审计部门的“得力助手”作用，从而在资源配置、政策环境等方面予以重视，为内部审计业务的再发展创造良好条件。可见，在当前风险管理逐步在企业管理中占据一席之地的背景下，积极地探索企业风险审计，也是内部审计职业求生存求发展的必然选择。

　　我国的内部审计领域正在逐步与国际接轨，这是大方向。目前全国在统考的国际注册内部审计师（CIA），是我国内部审计业务逐步国际化的一种举措。在《中国内部审计准则序言》第一部分第（二）条第4款明确：制定中国内部审计准则的目标是“建立与国际内部审计准则相衔接的中国内部审计准则”。因此，在研究企业风险审计时，有必要参考一下国际上的一些理论实践。

　　国际内部审计师协会（IIA）于2001年修改颁布并于2002年1月1日起开始执行的《内部审计实务标准》，无论是概念、业务实施标准还是指南性的工作标准，自始至终贯穿着风险审计的主导思想。首先，内部审计的定义是如下表述的：内部审计是采用一种系统化、规范化的方法来对机构的风险管理、控制及监督过程进行评价进而提高过程效率，帮助机构实现目标。其次，在确定审计计划时，明确要根据风险制定审计计划。再次，在审计实务中，明确内部审计活动在于评价并帮助机构改进风险管理、控制和治理体系。最后，关于管理层能够接受的剩余风险而机构无法接受的情况下，明确了解决办法。从以上可以看出，2001版的《内部审计实务标准》，将内部审计工作完全引上了风险审计的道路，作为内部审计的职业者，应该系统领会，在内部审计计划和程序等方面与国际准则和标准接轨，卓有成效地开展以风险为导向的内部审计。

　　企业风险管理体系及内部审计在其中所扮演的角色

　　风险管理不是西方发达国家创立的，中国古代著名的“田忌赛马”、“围魏救赵”、“声东击西”等大量的经典故事就包含了风险管理之奥妙。将风险管理最早纳入企业战略管理并取得较好效果的当属美国，随着全球化的加快，竞争加剧，大公司在制定和实施战略时普遍实施风险管理，当今全世界风险管理的理论框架和模型有好几个，但美国在这方面的权威性是勿容置疑的。

　　（一）相关概念

　　风险。在日常生活中，提起风险，人们往往会想起负面的结果。其实，在财务管理、保险学中，对于“风险”的定义往往是说一种变动的不确定性，这种不确定性既有朝好的一面发展的不确定性，也有朝坏的方面发展的不确定性。2001版《内部审计实务标准》关于“风险”的定义：是指可能对目标的实现产生影响的事情发生的不确定性。

　　就风险而言，它是事件本身的不确定性，这是客观的。此外，风险是一定时期内，具体条件下的风险。一般情况下，风险可以预计到，所以，可以管理。但若等到风险已经形成，就可能变成损失，所以，对风险最好做到“事先控制”。

　　风险通常由三要素构成，它们是风险因素、风险事故、损失。风险因素是指促使或引起风险发生的条件，以及风险发生时，致使损失增加、扩大的条件。风险事故，是引起损失的直接或外在原因，是使风险造成损失的可能性转化为现实性的媒介。损失是指非故意、非计划、非预期的经济价值减少的事实。它们之间的关系：风险因素借助风险事故形成损失，风险管理也就着眼于这三个要素及其相互关系。

　　风险管理是企业以组织战略目标为根本，为寻求和维持组织持久竞争优势而做出的有关全局的重大筹划和谋略，如营销战略、新产品开发战略、品牌战略、财务战略、组织管理战略等，并对战略决策执行过程中的不确定因素进行系统管理的过程。

　　（二）风险管理流程

　　IIA2001版《内部审计实务标准》提出风险管理流程的5个关键目标，第一，确定和优先排序来自商业战略和活动的风险；第二，管理层和董事会确定了企业可承受的风险水平；设计和实施风险降低活动或者管理企业高层直接确定可以接受的风险；第三进行持续的监控活动以定期评估风险和风险管理控制的效力；第五，定期向高层报告风险管理结果。

　　国内外的企业，所面临的内外部环境，风险的性质、程度，风险对战略目标的影响程度不尽相同，各企业所实施的风险管理战略也是不同的。不管企业的情况如何千差万别，适合企业经营性质的风险管理框架不外乎七个方面，即：确定风险范围、识别风险，分析风险、评价风险、处理风险、沟通与协调、监督与检查。

　　1、确定风险范围：

　　为了保证风险管理与企业战略目标相一致，确定风险范围包括战略范围、组织范围、业务范围和风险管理范围。

　　战略范围指影响企业战略制定与执行的各种外在团体力量（利害关系人）和内在因素（影响条件），一般包括股东、债权人、客户、消费者、供应商、竞争对手、政府组织、人才资源、组织经营与管理活动等。

　　组织范围是指为实现利害关系人目标而构建的有授权、管理、报告功能的系统。

　　业务范围是指组织为实现战略目标而进行的所有业务活动，包括产、供、销、投资、筹资等各个循环。

　　风险管理范围是指依据组织战略目标的要求，考虑风险的重要性，被纳入风险管理范畴的风险。结合组织的强项、弱点、机会和威胁，考虑到成本问题，风险管理在时间和成本预算范围内进行适当的项目选择，没有必要对经营中的所有风险进行管理。

　　2、识别特定范围内的风险

　　站在企业的角度，按照风险产生的环境将风险分为环境风险、过程风险和信息风险三部分。

　　环境风险主要是外在风险，比如金融风险、行业风险、法律风险、资本取得、股东关系、竞争者风险等等。

　　过程风险与企业的运作过程密切相关，包括营运风险、授权风险、诚信风险、信誉风险、流动性风险、金融风险及信息处理/技术风险。这种分类是大的系统分类，还必须进行细分，比如，营运风险还可以细分为客房满意风险、产品开发风险、环保风险、品牌风险等等。

　　决策中的信息风险是决策环节特有的风险，主要包括经营性决策风险、财务性决策风险和战略性决策风险三大类，当然每一大类，还可以根据信息的不同内容细分为各种具体的风险。

　　风险的识别，与风险管理人员的知识背景、系统思考能力以及风险的敏感度密切相关，需要一定的专业经验积累，不同的风险管理人员对风险的识别可能是不同的。

　　3、风险分析

　　结合企业的特定条件（如企业所处的寿命周期，所采取的经营战略等），将识别出来的风险的可能性、损失额及发生频率等性质进行鉴别。风险分析的目的是判断风险程度，为合理制定风险管理策略与决定风险处理方案提供充分根据。

　　风险分析的程序包括：分析风险因素、风险事故，捕捉风险征兆，确定风险的存在；分析风险可能性，风险发生的频率；分析风险发生的可能影响----波及面和损失额。

　　风险分析是一项专业性很强的精细工作，主要是用量化数据对风险信息进行加工处理，目前国际上已经形成一整套科学的方法体系。

　　4、风险评价

　　在经过以上对风险的范围确定、识别、分析三个阶段的工作以后，需要对其成果予以鉴别，进行综合评价。不仅可以通过该项评价为确定风险管理战略、政策与程序提供更为科学的依据。

　　重要的是，对于以前风险战略决策、政策与程序通过与实际业务的结合的评价，可以检查其设计是否合理、适当，执行是否有效，尤其是要找出需要修正、完善之处；对于实行风险预警机制的企业，经过风险评价，进行合适报警；对于已经变成现实的风险，需要对风险的处理进行评价，以便检查控制执行的差异，找出原因，明确责任。

　　5、风险管理措施与方法

　　现实生活中，有许多实际进行风险管理措施与方法，只是没有将之上升为风险管理的理论高度。比如，企业用“套期保值”的方法来规避价格变动风险；国家通过制订“防汛防台”预案来减少自然灾害风险等等。

　　一般而言，风险管理措施包括规避、损失预防与抑制、接受、转移、利用五种。

　　风险规避是风险管理技术中最简单、也是最消极的一种方法。不是说“股市有风险，入市需谨慎”吗，那就不关心股市；不是说赊销可能带来坏账吗，所有业务全部采取现款销售方式。这种做法，风险是没有了，但考虑到“风险与收益”的关联原则，规避了风险，很可能也就放弃了许多获益的机会。

　　风险抑制与控制是指企业不愿放弃也不愿转移风险，通过查找风险因素借助风险事故形成损失的源头，降低损失发生的可能性、频率，缩小损失程度，达到风险控制目的。这些系统的控制措施与方法统称为企业的“内部控制制度”或者“内部控制系统”。到此，风险管理与内部控制的关系就清晰了，“内部控制”仅是“风险管理”体系的一个“角”，风险管理是企业的一种更宽泛、更前置的控制体系，更能体现管理的深度和广度。

　　风险转移是指将风险转嫁给它人，比如企业将市场跌价风险转嫁给供应商，将难以消除的风险交给保险公司等。从控制力量看，转移风险更注重与企业外部力量的合作，而内部控制则在于发挥企业自身的力量来管理控制风险。

　　风险接受是指各种原因必须要承受的风险。比如，对于风险很小或企业因冒风险可以获得丰厚的利润时，它愿意承担风险；若无法回避的风险太大，连保险公司也不愿承保，企业不得不承受的风险。

　　风险利用是把风险当作机遇，达到更大的战略目的。比如，海尔集团正是利用劣质冰箱事件，引以为戒，把企业做大做强，最终建立起世界瞩目的“海尔文化”。再比如，某些不知名的演艺界人士，通过制造轰动的花边新闻，特别是一些负面事件，达到炒作自己的目的，反正是由此而出名了。

　　6、沟通与协调

　　信息风险是企业中普遍存在的风险，由于信息在来源、传递、处理等方面均可能产生风险。风险管理是一个系统工程，是一个目标与手段、局部与整体、过程与结果有机结合的过程，是企业团队携手使用的过程，为了保证风险管理成效，风险管理的沟通与协调显得非常重要。

　　7、监督与检查

　　由于经营和人员都会发生变动，风险以至随之的后果和可能性也要变动，最为有效的控制能随时间的变动而改变。对于这些风险因素的存在，对风险和控制有效性进行持续、定期的监督和检查是必要的。

　　（三）内部审计在风险管理中的角色与定位

　　现代大企业有专门机构执行风险管理的行政工作，董事会里设有风险管理委员会，由技术权威----首席风险执行官负责领导；公司内部建立有风险管理信息系统。在一些中小企业中，设有专门的风险管理机构，风险管理更多地依赖内部审计人员的参与了。

　　风险管理是企业管理的一个部分，属于公司治理的重要内容，公司治理就是要确保公司经营，既要有效率和效益，又要信息可靠、遵循有关法规。内部审计在公司治理和企业控制测试中扮演重要角色，它在保证企业管理信息的同时也实现了对股东利益的保护。

　　IIA之《内部审计实务标准》认为，内部审计在风险管理中的角色和作用有两个方面：一是协助风险估算程序；二是对风险管理程序的评价，对风险管理的恰当程度做出保证。审计师通过接受风险管理方面的咨询帮助管理层。具体地说：内部审计在风险管理中的作用表现在：①鉴别风险；②区分可控制的风险；③指出缺乏控制的区域并提出建议；④指出过度控制的领域并提出建议。

　　企业风险审计的框架及其与内部控制审计的比较

　　内部审计在风险管理流程中起监控和评价的控制职能。

　　企业风险审计总目标是以风险管理目标为标准，审核被审计部门在风险识别、评价、管理等方面的合理性和有效性，于损失发生之前作出最有效安排，使损失发生后所需要的资源，与保持有效经营必要的资源，能达成适度平衡。企业风险审计具体审计目标一般有以下几点：①风险范围的合理性；②风险识别、评价的科学性；③风险管理措施、方法与程序的合理性；④风险实际处理的合理性。

　　企业风险审计在制订审计计划时，要贯彻风险因素优先性策略。首先要确定审计域，把影响业务和业绩的风险因素识别出来，然后进行风险优化，对域内风险予以分析，确定每种风险的级别和权数，评价风险程度，给风险打分并排序，对特殊要求进行适当考虑，按重要性原则对年度审计资源进行合理配置。

　　企业风险审计在方法及程序上，与其它审计相比较，除特别使用的方法有预警分析法、综合的专业判断法外，其它与一般审计没有大的区别。

　　在内部审计的四个阶段中，财务收支审计和经济效益审计，是对已经形成的经济事实进行审计评价，可以说是面向过去的“事后审计”。而内部控制审计和风险管理审计，以现行控制体系为基础，着眼的未来风险的管理，属于未雨绸缪型，是一种面向未来的“事前审计”。

　　内部控制审计与风险管理审计有着密切的联系。内部控制的设计和执行应该针对风险管理的要求，而风险的管理很大程度依赖内部控制的设计和执行。所以，内部控制审计和风险管理审计在有些地方是互相渗透的，目的都是为了增加企业价值。

　　当然，风险管理审计与内部控制审计的区别也是显而易见的：见下表(略)

　　从内部控制与风险管理的关系我们可以看到，内部控制是风险管理体系的一个部分，风险管理是内部控制在功能和范围上的延伸，是一种大范围的前置控制体系。从现代内部审计的理念来看，要与企业的战略管理相一致，审计领域要拓展，审计关口要前移，而从内部控制审计向风险管理审计的过渡，恰恰反映了这种功能的转化。

　　关于“企业风险审计”的探索

　　企业风险审计，在当前国内外之内部审计领域都可以说是一种新生事物，是该领域的研究前沿。对于我国大多数还是以财务收支审计为主导的企事业单位而言，离企业风险好象显得比较遥远，但企业风险审计毕竟是当前内部审计的前进方向和必然选择，不管距离有多远，都必须要朝这个方向坚持努力，否则必然会自断生路。

　　经过对企业风险审计理论的研究，内部审计界对于开展企业风险审计持乐观态度的还在大有人在的。通过将企业风险审计与内部控制审计的比较，有人觉得，企业风险审计不就是内部控制审计的一种简单延伸和扩展吗，在内部控制审计的基础上，稍加改进和提升，不就实现了企业风险审计吗？其实，这种信心在战略上是可取的，但在操作上有些方面是值得商榷的。比如多数企业在审计理念的导入、审计人员的专业理论素质、风险管理的基础工作及审计环境等方面与企业风险审计还是有距离的。

　　我国企业的经营管理水平不参差不齐，许多中小企业根本就没有内部审计部门或者内部审计人员，特别是国内企业（国有企业尤甚）近几年基础管理工作滑坡，正常的管理体系尚且有许多需要改善的地方，风险管理和企业风险审计的理念在一些企业中还难有作为。

　　风险管理体系中，对于风险分析、识别、及评价等环节，需要大量的量化数据处理，采用了许多专业工具或方法，比如PEST方法、DMAIC（6西格玛）方法、SWOT分析及KTF分析等等，风险管理审计中需要大量的专业判断，国内的审计人员在这种专业判断能力方面并不一定能够满足需要。

　　此外，在风险管理信息化，风险管理环境等方面，大多数企业与风险管理的要求还是有距离的，比如，国内就没有几个企业建立了ERM（企业风险管理系统）。

　　近几年来，上柴股份有限公司在审计业务方面不断进行探索和创新，尽管没有按“企业风险审计”的模式开展风险管理审计，在审计业务中，已经充分考虑了风险管理因素，在业务领域、审计程序与方法方面向风险审计靠拢。

　　2003年以来，上柴公司审计法律室将审计关口前移，开展以预警为中心的审计监督服务工作。按照“防范胜于查处”的工作思路，将工作重点放在业务过程控制上，借助风险管理理论，将预警作为审计工作的重点。比如：

　　先后组织应收账款专项审计，督促职能部门防范坏账风险。近年来，上柴公司柴油机产销两旺，但同时带来了应收账款的上升，应收账款成为影响公司经济运行质量的重要方面。由于公司没有一套专门进行应收账款监管的组织和机制，为了有效控制风险，审计法律室便着手对应收账款的质量和管理情况进行检查评估。从风险管理的视角，对关键客户授信额度的执行情况逐一进行全程跟踪，对合同管理及账款清欠情况进行细致检查，指出了销售部门在合同签订、信用额度控制等方面的问题，并提出针对性的审计建议。通过对审计建议的执行情况进行后续跟踪，消除了部分应收账款管理的薄弱环节，在一定程度上降低了公司的坏账风险。

　　对合资项目进行风险和对策研究，为公司决策服务。上柴公司去年与一外地企业合资组建新产品生产基地，这是一项事关上柴公司发展前途的重大战略投资。为了有效控制风险，审计法律人员对项目投资全程参与，进行细致的风险分析评价，并专门出具了《关于合资项目的风险与对策》，从公司核心技术流失的风险、合资项目计划进度脱期风险、经济效益不理想甚至亏损的风险、产品市场风险、项目选点风险、经营控制力风险、利益冲突风险、地域文化差异碰撞风险共八个方面进行详细阐述，并提出相应的对策。这些风险及对策研究，为公司项目决策提供了有益的借鉴，在项目实施过程中采取必要的措施规避相关的风险。

　　上柴“东风”是驰名商标，在国内外市场面临抢注、假冒的风险比较大，为防范品牌管理风险，审计法律室主动出击，采取了相关的对策，保护公司的无形资产，降低了“东风”商标被抢注、假冒的风险。

　　此外，2005年上半年，上柴公司开始尝试部门管理职能评审，这是一项事关整个公司组织体系的系统工程，在评价过程中，审计法律室结合上柴公司对于“管理革命”的要求，对部门职能履行的环节进行风险评估。

　　尽管上柴审计法律室在学习企业风险审计理论上有一些学习，毕竟企业风险审计是一个新的业务形态，未知领域还太多。规范的企业风险审计模式并未在建立，开展企业风险审计，可以说还是非常任重而道远的。