企业风险管理审计的实施路径探究

李 晗/文

2018年1月，《审计署关于内部审计工作的规定》（以下简称《规定》）在内部审计的定义中指出内部审计要对所属单位的风险管理实施独立、客观的监督、评价和建议。《规定》的发布，意味着审计署对内部审计工作和发挥的作用的认可，内部审计的地位进一步提升，在这样的政策背景下，十分有必要研究企业风险管理审计的实施路径，为内部审计更好地发挥效益奠定基础。

一、文献综述

（一）风险管理相关概述

风险管理有很多定义。BS31100将风险管理定义为“旨在引导和控制企业风险的管理活动”；风险管理研究所指出风险管理是“为了增加成功的可能性和降低失败的可能性，帮助企业理解、评估并应对风险的行为”。

（二）企业风险管理审计的内容

目前，学术界就风险管理审计的主体与客体方面取得了一定共识，即风险管理审计的主体是企业内部审计人员，客体是企业风险管理活动，关于审计的具体内容，多数学者认为风险管理审计的内容是评价风险管理机制。

（三）风险管理审计对企业发展的意义

目前多数研究普遍表明企业实施风险管理审计能够促进自身的增值，但是关于风险管理审计促进企业增值的机理尚不明确。孟晓霖认为风险管理审计是通过作用于内部控制来促进企业增值。孙文刚则认为内部审计与风险管理相互影响，相互推动最终实现共同发展，有助于实现企业的战略目标。简而言之，风险管理审计的开展既要符合内部审计的目标，也要符合企业自身的利益。

（四）文献述评

研究表明，有效的风险管理审计对企业发展有促进作用，并且关于企业风险管理审计的主体内容也取得了一定的共识，但是关于企业如何实施良好的风险管理审计的具体路径研究较少。本文立足《规定》发布的背景，通过分析企业风险管理的当前困境，进一步提出对策建议，为广大企业有效实施风险管理审计提供理论依据。

二、企业风险管理审计的当前困境

（一）审计客体缺失

1.风险管理文化的缺失

我国风险管理起步较晚，风险管理文化较为匮乏。这种文化的匮乏直接表现在管理层和普通员工对企业风险管理的不重视。目前，大多数企业都不会在危机发生前进行风险管理，而是在风险发生之后才开始吸取教训对该风险进行风险管理，即进行事后风险管理，这种层面的风险管理失去了应有的价值。

2.风险管理分散

目前我国大多数企业的风险管理往往是以独立的风险点为监测对象，即对公司明显的重大风险点进行监测与控制，但是这些重大的风险点往往分散在不同的业务部门中，导致企业的风险管理很分散。

3.风险管理体系不健全

国外很多企业已经建立起科学合理且适当的风险管理体系，而我国大多数企业由于缺乏风险管理意识，没有健全的风险管理体系。由于没有系统的风险管理体系，在实际工作中，往往导致风险管理审计的工作难以继续，风险管理审计形同虚设。

（二）审计主体能力不足

1.独立性和权威性不足

在我国，企业内部审计机构主要是高管层管理，此模式下的内部审计的独立性大大降低，而少数大型企业可能会将内部审计机构设置在董事会于高管层或者监事会于高管层的双重领导之下，一些小型企业甚至没有独立的内部审计机构。总体而言，我国大多数的内部审计机构的独立性和权威性都还有待加强。

2.审计人员知识储备不足

从某种意义上说，风险管理审计是一种立足整体的综合性审计，因此它对内部审计人员的素质也提出了更高的要求，不仅要拥有审计专业技能，还要熟悉企业的生产经营活动，甚至要掌握其他部门的基础知识，例如法律、工程、计算机等。但是在我国，审计人员的学历背景组成单一，即多数是毕业于财务管理、会计、审计等管理类专业，缺少法律、工程、计算机等专业知识，因此仅仅依靠现有的内部审计人员可能不足以发现企业的重要风险点。

3.审计技术方法落后

风险管理审计的主要内容是对企业的各项风险管理活动进行有效性地监督与评价，因此审计人员要掌握对风险管理机制评估的方法，包括风险矩阵图法、专家打分法、层次分析法等定量评估方法。

4.风险管理与内部审计的职能界定不清晰

在实际情况中，在很多大型公司里，风险管理要想与内部审计达成合作是比较困难的，这就导致风险管理审计经常做与风险管理一样的事情，导致内部审计与风险管理的工作存在重复，造成人力、物力、财力的损失浪费。

三、企业风险管理审计的实施途径

（一）强化审计客体

1.营造风险管理的文化

对企业而言，可以定期开展风险意识培训，印发宣传风险意识的小册子进行派发，张贴海报等活动，通过这些活动可以大大加强员工对风险管理的重视，培养他们的风险管理意识。对管理层而言，要明确风险管理对企业长久发展的重要作用，要将风险管理提升到企业的战略高度，这样有助于营造更加浓厚的风险管理氛围；对内部审计人员而言，要提高自己的风险管理意识，将风险意识融入日常工作中，对其他部门的风险管理工作进行督导，内部审计人员通过实际行动可以在企业内部进一步加强风险管理氛围的形成。

2.注重信息共享

必须打破部门间“信息孤岛”的状态，例如定期开展信息交流分享交流大会等，信息的共享可以促进审计人员更深入地了解其他部门，正如前文所描述的风险管理分散这一困境的存在，注重信息共享可以将各部门的风险点串联起来，利用相关性关系，更敏锐地发现风险点和识别风险来源，实现事前的风险管理审计。

3.完善风险管理体系

企业要基于自身的实际情况，制定出自己的风险管理体系。由于每个企业彼此之间都有差别，例如经营业务的范围不同、企业自身的规模大小有差异、企业的性质不一样等，这些差别导致每个企业都要拥有一套独特的且适合自己的风险管理体系。企业需要根据自身的战略目标、经营特点、风险管理水平等建立与之相应的风险管理体系。完善的风险管理体系应当包括以下几个部分，即风险管理流程、风险控制目标、风险资源安排、应对措施规划要求和风险确保体系五个部分，风险管理是一个动态的过程，因此企业可以根据标准的风险管理体系来制定自己的风险管理体系。

（二）提高审计主体的能力

1.选择合适的组织模式

内部审计的独立性与权威性缺失主要与内部审计的组织模式有关，因此本文建议企业结合公司实际情况，采用在董事会或监事会下设审计委员会的组织模式，实施审计结果向董事会和高管层或监事会和高管层进行双重汇报的制度，这样内部审计具有较好的独立性和权威性。只有保证内部审计的独立性与权威性，风险管理审计的结果才更具有可信性，审计提出的建议才更可能被采纳，才能真正地发挥出风险管理审计的价值，在真正意义上服务于企业战略目标，维护企业的长久发展。

2.成立风险管理小组

在进行风险管理审计的过程中，从各个部门选取员工，组成风险管理专家组，内部审计人员对其进行风险管理审计相关培训，使项目组成人员更加多样化。我国风险管理审计存在的问题是审计力量薄弱，此处的薄弱指审计人员的专业背景单一，主要是管理类学历背景，不符合风险管理综合性审计的特点，成立风险管理小组可以在一定程度上弥补风险管理审计人员知识结构单一的弱点，更好地发挥风险管理审计的作用。

3.运用数据审计方法

对比风险管理审计的风险评价方法与传统审计方法，我们可以得出风险管理审计的方法更加注重各个风险事件的相关关系的结论。大数据技术的出现，使获得全面而客观信息成为可能。企业可以委派内部审计人员前往学校进修，学习先进的大数据审计技术与方法，从而在实践中更准确地鉴证风险点、评估风险管理的有效性。

4.划定清晰的职能边界

面对风险管理和风险管理审计职能不清晰的情况，企业要制定手册明确各个部门的职责所在；同时，企业可以采用高管与部门负责人定期沟通的方法，帮助他们明确自己的工作重点领域，避免越俎代庖现象发生；此外，划定清晰的职能边界要求企业建立完善的风险管理体系，只有这样风险管理与风险管理审计才能各司其职。

四、结语

有效的风险管理会给企业带来各种各样的好处，但是我国风险管理起步较晚，风险管理审计在实施过程中存在诸多现实困境，但这也证明我国的风险管理审计有极大的发展空间。通过本文分析，未来企业可以有效地将风险管理置于经营管理之中，内部审计可以通过更有效的风险管理审计促进企业长远发展。