风险管理审计分析论文

摘要：目前，人民银行内部审计逐步由财务、业务合规性审计向内部控制审计、风险管理审计和绩效审计转变。本文首先阐述了基层央行开展风险管理审计的必要性，其次参考COSO风险管理框架并结合基层央行的实际情况确定了风险管理审计主要框架，明确了审计流程，最后构建了审计评价指标体系。下面小编整理了一些《风险管理审计分析论文(精选3篇)》，仅供参考，大家一起来看看吧。

风险管理审计分析论文 篇1：

管理审计与风险导向审计比较分析

摘要：随着外部风险基础审计的发展，内部审计也应在适应环境的基础上加快发展。本文着重对管理审计与风险导向内部审计进行了比较，分析了两种审计模式的特点，阐述了管理审计模式和风险导向内部审计模式两者的利弊得失及其适用的审计环境，以期从理论和实务上对两种审计模式有较为全面的认识。

关键词：管理审计　风险导向审计

一、管理导向与风险导向审计模式分析

(一)管理导向内部审计(简称管理审计)随着审计实践的发展，管理审计已由具体的业务和控制等较低层面转向了管理目标、方针、决策等高层面。通过对组织内部的各种管理活动进行独立、客观、建设性、面向未来的检查和评价，目的在于协助组织的管理层(包括管理人员和董事会成员)有效履行其职责，把握企业经营管理的关键所在，帮助管理当局改进决策，提高企业未来的获利能力和经营能力，更好地完成受托管理责任。但它更关心的是企业整体利益和整体实力的提高，在协调局部利益和眼前利益的基础上，充分体现整体利益、长远利益和企业的可持续发展目标。其目标就是要确定企业资源使用的效率性、效果性和经济性(即3E)(劳伦斯，索耶，汤云为等译，1990)，促使企业根据审计结论来调整企业不适当的管理机制，提高企业利润并达到企业的其他目标。尽管如此，管理审计还存在以下缺点：首先，管理审计以评价被审计单位责任中心的内部控制制度及其执行情况为重点，虽然对内部控制的风险也要评价，但主要是从总体上对内部控制进行评价，并对其实施对审计风险的管理。并没有以确认和评价企业内部管理人员等产生风险的各个环节与因素为重点，没能为有效降低审计风险提供指南和帮助，而且影响审计风险的因素远超出内部控制系统的作用范围。如管理人员的品行和能力、行业所处环境、业务性质、容易产生错报的会计报表项目、容易受到损失或被挪用的资产等导致的风险，又受到内部控制风险因素的影响。它主要关注企业内部的风险因素，而较少关注来自企业外部的风险因素。其次，企业内部审计师在审计后针对发现的问题提出的增加控制点或加强内部控制的其它建议，将使审计责任中心的控制点日益增多，各项工作日益繁琐，使管理系统的效能呈递减趋势。另外，对具体审计项目实施审计时，采用对内部控制制度及其执行情况诸方面的一般性评价来选择重点审计的领域，没有将被审计责任中心本身乃至与整个企业有关的管理风险，作为对内部控制评估下作为重点。

(二)风险导向内部审计20世纪90年代起，人类社会已从工业经济时代步入信息时代，从此人们的生活方式、交流方式、组织的经营方式、管理方式、国家的管理规则和市场的运作模式等发生了深刻的变化，管理环境也不仅变得日益复杂，而且愈来愈不稳定。首先，环境的多样性和多变性促使内部审计必须更加注重对风险的分析，必须从传统的对内部控制和其他管理活动的事后评价转向对可能影响企业目标和战略的风险的事前评估；其次，内部审计必须注重价值的创造，能够成为企业价值链环节之一的条件是该活动能够创造价值或为其提供支持，因而内部审计活动必须成为增值活动才不会被视为阻碍创造企业价值的多余活动；最后，内部审计还必须能提供满足不同顾客要求的服务，提供特定服务满足不同顾客的要求是内部审计增加生存能力的必然。因此，树立为组织创造价值的目标就成了内部审计自身发展的必然要求。正是20世纪90年代以来，经济的全球化、信息化技术的发展、组织受托责任的失败，冲击着内部审计的理论和实务，也对内部审计提出了新的要求：内部审计从最初以会计为导向发展为现在以风险为导向。而管理审计的重点是高层次的管理决策与活动，是事后的评价和反馈。而风险意味着对未来的预测，它可以使内部审计将审计对象和企业目标紧密连在一起，将事后评价反馈延伸到事前和事中。21世纪的计算机信息网络技术、全球化经营以及个性化定制为风险导向内部审计的产生创造了管理环境，公司治理、内部控制以及风险管理等领域相关法规的出台也为内部审计提供了新的平台，同时受托责任的内容和层次也得到了进一步的丰富，因此内部审计从管理导向内部审计转向帮助企业评估各种风险、利用各种机会或减轻对战略的威胁的风险导向内部审计是历史的发展必然。

二、管理审计与风险导向内部审计比较

(一)产生背景的比较20世纪70年代，随社会政治经济的发展。委托人的受托责任观念日益增强，不再满足于对财务报告进行鉴证，进一步要求对受托人的经营管理行为的效率和效果进行认定、计量和报告。而公司治理的理论及实践促进了公司制企业发展，对公司治理问题的研究扩大了管理理论的视野，丰富了管理理论的内容。公司治理也成为连接企业内部和外部环境的桥梁，保证了管理的正当性和有效性。特别是审计委员会制度的建立提高了内部审计的地位和独立性，从而为管理导向内部审计的开展提供了客观条件。企业风险导向内部审计则是以审计风险的分析、评价为前提，根据审计风险的大小，选定审计的范围、重点和方法，并予以实施的一种审计模式。而审计风险不仅受到企业固有风险因素的影响，又受到内部控制风险因素的影响，管理审计虽然也对内部控制的风险进行评估，但主要是从总体上进行评价，没有把被审计人的各方面的管理(经营)风险纳入审计范围并作为重点来评价。因而，对审计风险问题，也没有予以足够的关注。风险导向内部审计产生的原因主要体现在以下方面：(1)管理审计的内在缺陷及应对措施是风险导向内部审计产生的技术因素。其实，内部审计职业界早就意识到了审计风险，但对如何将审计风险与具体审计程序结合起来却束手无策。一方面它只将审计风险因素作为要了解和分析的众多因素中的一个，注意力比较分散，因而对风险因素关注不够；另一方面，过分依赖对内部控制制度及其执行情况的一般评价(测试)结论，而忽视审计风险产生的其他环节。企业内部审计的证据需从企业内部甚至外部许多领域获得，但管理审计模式却缺乏一种可接受的能量化的方法将各种信息来源连接起来，因而做出的一些主观判断，可能发生较大偏差，可能使有些重大错舞和弊端不能被审计师发现。风险导向内部审计正是从企业面临风险的角度来评判内部控制系统的设计和执行，对企业治理方案进行测评，从影响企业目标实现的各种风险因素出发，就内部控制设计是否健全、关键的控制点执行是否有效、控制的薄弱环节、治理和改善措施的可行性等进行认定，评价风险管理和控制对企业实现目标的影响，并且站在风险的高度，在风险环境中观察经济业务的发展过程，从而采取适当的措施规避风险，促使企业健康顺利地发展壮大。(2)企业面临的高风险经营环境是风险导向内部审计产生的社会因素。在信息时代的社会中，企业所面临的外部环境和市场竞争不确定性越来越大。一方面变化周期缩短，外部环境和市场竞争的变化速度也超过以往任何时代；另一方面外部环境和市场竞争的变化越来越彻底，企业明天的生存和发展环境可能与今天的几乎没有任何必然的联系。因而企业生存与发展的关键，更取决于对未来环境变化的把握与适应，也必然促使企业在战略目标、重大投资决策、日常经营活动和绩效评估等各个方面高度关注风险因素，

并且要求企业的职能部门在进行各自的职能活动时高度重视风险，并将其纳入到企业的整体风险管理范围之内，因此风险管理成为高风险环境下企业活动的中心任务。内部审计作为企业内部的职能部门，必然应成为企业风险管理的有效组成部分，通过评估和提出改善风险的建议，为专业的风险管理部门或专职的风险管理人员提供咨询与保证服务，从而导致风险导向内部审计。(3)企业内部审计外部化趋势威胁着内部审计生存的职业空间。内部审计外部化，是指企业将内部审计的部分或全部职能交给外部的会计师事务所等中介机构完成，企业给这些机构支付相应费用的现象。在激烈的市场竞争中，企业可以根据自身的优势，集中资源做自己擅长的项目，而把自己不擅长的项目外包出去，从而可发挥核心竞争力优势。首先，内部审计作为一个企业的内部职能活动，在时间上具有重复性的特点，因而基本符合外包的条件；其次，外部审计在会计报表审计的过程中就非常重视对企业内部状况的审查与评价，从而对企业内部控制评价逐渐形成了专业上的相对优势，使得外部审计参与内部审计外部化成为可能；再次，近年来外部审计业务面临着日益严重的法律诉讼和同业低价竞争危机，而审计业务的收费却持续走低，非审计服务的收费甚至成为事务所收入的主要部分，因此外部审计被迫转向内部审计外包和管理咨询等非审计服务；最后，管理层要么出于成本效益的考虑，要么为了影响会计报表审计的意见类型，要么为了诱使外部审计降低审计收费，越来越倾向于内部审计外包。这就动摇着它在组织中的地位，威胁着它的职业生存。因此，内部审计为整个组织提供风险方面的咨询与保证服务，积极推行风险导向内部审计，将提高其在组织中的不可替代性，减弱外部化带来的不利影响，从而保持和拓展其职业生存空间。

(二)指导思想的比较管理审计和风险导向内部审计分别产生于不同的历史时期，这不仅反映了审计理论和实践的发展，也反映了它们所处的不同时代的理论环境。“二战”后，资本主义国家经济迅速发展，垄断企业的规模扩大，企业股份高度分散化。随着企业经营活动的范围扩大，外部环境对企业的影响是企业管理层不得不面对的问题。但是以往的古典管理理论都只侧重于管理的某个方面，一般把企业视为“封闭系统”，而很难回答这一问题。于是，促使了系统论、控制论、信息论等的出现并成为管理理论的方法论基础。正因为系统论、控制论是管理审计的指导思想，因此，内部审计首先是进行专门的内部控制系统评审，尤其是通过健全性评价和符合性测试来确认控制系统是否薄弱(缺少一些控制点)或失控(缺少关键控制点或较多的控制点)，进而查明问题原因及后果，并要求有关方面制定措施加以解决或消除隐患，以改进控制，减少损失，提高效益；其次是开展管理审计，即以评价管理(经营)责任为主要的业务内容，通过对经营管理活动进行审查与评价，并采用一定的标准来衡量其经济性、效率性及效果性，从而找出差距，挖掘潜力，提高效益，或证实效益优劣，评价管理绩效，提供咨询意见，增加公司价值。随着现代信息技术的进步，战略管理理论和企业再造理论的出现对内部审计产生了深远的影响。审计行为是一种有风险的行为，审计风险与内部审计师形影不离。由于审计风险急剧增加，为力求减少风险，内部审计师必须运用风险管理理论来指导审计工作，这就促使了风险导向内部审计产生。风险导向内部审计是以影响企业经营目标实现的经营风险为依据确定审计项目，以企业进行的所有降低风险的活动为测试重点，评价风险降低的充分性和有效性，并提出恰当的降低风险的方法。国外企业审计实践证明，在内部审计领域实施风险导向内部审计，改变了内部审计人员探讨风险和内部控制的方法，为内部审计参与风险管理提供了基础，并促进了内部审计与其它风险管理要素的结合。

(三)内部审计目标和范围的比较内部审计经历了四个阶段(表1)：财务导向内部审计(SRIANO．1、SRIANO．2)，业务导向内部审计(SRIANO．3、SRIANO．4)，管理导向内部审计(SRIANO．5、SRIANO．6)和风险导向内部审计(2001年内部审计实务标准框架)。其中每个阶段并不是孤立存在的，每一阶段都是对前一阶段的继承和发展。内部审计因受托责任而产生，其发展体现了受托责任发展变化的规律。管理导向内部审计模式以评价被审计责任中心的内部控制制度及其执行情况为重点，尽管对内部控制的风险(即薄弱环节)也要评价，但主要是泛泛地对内部控制进行评价，没有把被审计人的各方面的管理(经营)风险作为重点来评价。因而，对被审计人的风险即审计风险问题，也没有予以足够的关注。而企业内部风险导向审计模式，内部审计师不但要评价被审计人的内部控制的风险，而且要评价产生这些风险的各个环节和因素，即，风险导向内部审计模式很重视对管理(经营)风险产生原因和要素的分析，还要求内部审计师要将被审计责任中心放在大的经济甚至政治、文化环境中，从构成被审计责任中心内部控制系统的各个要素方面，对审计风险进行分析、评价。只有这样，审计师才能正确地识别风险因素，制定审计方针、策略，确定进一步审计范围、重点和方法，才能确定从何处收集和怎样收集审计证据、收集哪些性质和类型的审计证据、收集多少审计证据，进而提出正确的审计结论和有效防范管理风险的建议，帮助被审计责任中心管理当局有效履行其风险管理方面的受托管理责任。

(四)内部控制理解的比较在内部控制发展的进程中，有两大重要因素：一是企业管理理论与实践。在法约尔提出控制是管理的职能之后，随着管理实践的复杂，内部控制的理论与实务也快速发展。二是审计理论与实务。20世纪40年代至70年代，内部控制的发展进入内部控制制度阶段。这一阶段内部控制开始有了内部会计控制和内部管理控制的划分，主要通过形成和推行一整套内部控制制度(方法和程序)来实施控制。内部控制的目标除了保护组织财产的安全之外，还包括提高会计信息的可靠性、提高经营效率和遵循既定的管理方针。1936年，美国注册会计师协会首次提出内部控制的概念。1949年，美国注册会计师协会(AICAP)修改了内部控制的定义：内部控制制度包括企业内部采用的机构计划和所有有关的调整方法和措施，其目的在于保护企业的财产，检查其会计资料是否正确可靠，以及提高业务效率，促进经营方针、组织计划的贯彻和企业内部所有调查方法的实施。该定义已经超越了与财务和会计职能有直接关系的内容，而涉及经营管理等多方面。目前人们开始逐渐将风险概念引入到审计领域之中。融入了风险理论以后，管理审计开始向风险导向审计阶段过渡，内部控制的概念也发生了重大变化。1988年AICAP发布了第55号审计准则公告《财务报表审计中内部控制结构的考虑》，提出研究和评价“内部控制结构”问题，从“制度二分法”到“结构分析法”这是内部控制发展史上一次重大的转变。20世纪80年代至90年代初，内部控制的发展进人内部控制结构阶段(严晖，2004)。开始把控制环境作为一项重要内容与会计制度、控制程序一起纳入内部控制结构之中，并且不再区分会计控制和管理控制。控制环境反映企业的各个利益关系主体(管理当局、所有者和其他利益关系主体)对

内部控制的态度、看法和行为。内部控制经发展到内部控制整体框架阶段，内部控制包括五大要素。与此同时，审计模式也向风险导向内部审计转型。到2004年企业风险管理框架(ERM)的实施，内部控制与风险管理之间的融合已是一种必然的趋势。随着社会政治经济环境的变化，企业内部控制日益庞大，不同阶段的审计模式对内部控制有相应的理解。从审计模式的历史演进看，管理审计理解的内部控制是内部控制制度并逐渐转向内部控制结构。风险导向内部审计理解的内部控制是内部控制整合框架。

(五)内部审计资源分配的比较管理审计虽然也涉及审计风险问题，但主要关注被审计单位的内部控制制度，而忽视审计风险产生的其他环节。由于没有进行系统的审计风险分析，容易导致审计资源在审计领域的不恰当分配，进而影响审计工作的效率和效果。而风险导向内部审计以审计风险为线索，运用审计风险模型指导整个审计工作，能够把主要精力放在企业实现目标过程中面临的主要问题和风险，并将事后评价反馈延伸到事前和事中，使内部审计成为企业价值链中的必要环节。在此内部审计人员关注的并非控制的充分性和遵循性，而是风险是否得到适当的管理和控制，从而内部审计人员通过风险与组织目标的实现直接联系起来，并在保证了审计效果的情况下提高了审计效率。

(六)审计方法的比较首先，管理审计从了解内部控制着手，利用问卷调查法、流程图法将了解的内部控制结构描述出来，然后运用穿行测试对其健全性、有效性进行测试并做出评价。而根据控制范围的差别，内部控制可分为内部会计控制和内部管理控制。实施管理审计在关注内部会计控制之外，主要的是评价内部管理控制。审计取证的技术方法有查阅法、调查表法、核对法、观察法、询证法、分析性复核法、抽查法。风险导向内部审计的基本方法有风险评估、内部控制自评(CSA)、实施控制测试等。风险评估是风险导向内部审计的重点，在评估风险时融合了企业风险与审计战略，使内部审计所选择的对象更加针对企业高风险的领域，从而提供更相关的、有价值的服务。风险识别是指借助于各种分析方法，完整地辨识出风险的来源和所在。这些方法主要有政策分析法、制式表格法、财务分析法、流程图分析法、实地检视法等。显然，仅运用一种或两种方法是没有办法全面识别企业所面临风险的。因此，内审人员在评估时要充分、合理地利用各种风险识别技术，来确认企业所面临的风险是否得到了最大程度的暴露。内部控制自评(CSA)(严晖，2004)要求内部审计人员与被审计部门管理人员组成一个小组，在内部审计人员的帮助下，管理人员对本部门内部控制的恰当性和有效性进行评估，然后审计人员根据评估结果指出因内部控制中存在的缺陷而给企业生产经营所带来的风险，并提出审计建议，最后由管理者实施。对于企业而言，内部控制自评提供了一个风险识别的有效工具，保证内部审计人员和管理人员共同发现内部控制中存在的风险，并使企业能够对内部控制有更全面的了解；对管理部门而言，内部控制自评可以反映当前管理控制中存在的问题，也向高层管理部门表明他们对现在内部控制的态度，明确管理责任，有利更好的履行职责；对内部审计组织而言，内部控制自评最重要一点是让管理部门了解到对内部控制的责任，使管理人员更清楚内部控制的缺陷，更愿意主动接受审计人员的建议对其进行改善。控制测试是对内部控制结构了解的基础上，为了确定内部控制结构政策和程序是否有效执行而实施的审计程序，目的是通过对内部控制测试，取得适当的审计证据以支持较低控制风险估计水平。然而，现代审计对内部控制的研究和评价范围，已不再像以前只局限于内部会计控制，它已发展到了对相关控制环境的审查。根据在计划阶段对内部控制结构以及对控制风险的初步评价，审计人员首先要判断是采用较低的控制风险估计水平法还是采用主要证实法。如果采用较低控制风险估计水平法，审计人员还应进行控制测试，目的是搜集更多的证据来支持较低控制风险的判断。如果采用主要证实法，可以直接进入实质性测试。

由于企业内部审计资源有限，各种管理决策、业务活动、内部控制等都属于内部审计的范围，内部审计活动不可能涵盖所有的范围。而管理审计仅以内部控制测试为基础实施审计很难将审计风险降至可接受的水平。因此在评估现代内部控制过程的充分性和有效性时，风险导向内部审计采用了与传统内部审计不同的逻辑顺序：目标——风险——控制，通过风险自我评估、控制自我评估等方法，在评估风险时还融合企业风险与审计战略，确定企业的高风险领域，并结合企业内部控制的实际情况，促使内部审计所选择的对象主要针对企业的高风险领域，以提供更相关、更符合管理层和董事会需求的确证信息，并促使把风险降低到可以接受的水平。从而帮助企业建立、实施并完善ERM，同时提供咨询服务，还促使组织所有成员参与ERM。

(编辑　聂慧丽)

作者：王永贵

风险管理审计分析论文 篇2：

基层央行风险管理审计研究

摘 要：目前，人民银行内部审计逐步由财务、业务合规性审计向内部控制审计、风险管理审计和绩效审计转变。本文首先阐述了基层央行开展风险管理审计的必要性，其次参考COSO风险管理框架并结合基层央行的实际情况确定了风险管理审计主要框架，明确了审计流程，最后构建了审计评价指标体系。

关键词：基层央行；风险管理审计；ERM框架

一、引言

近年来，国内内部审计部门顺应国际潮流，推进内部审计的转型与发展，其重点由以真实性、合规性为主的财务审计转向以内部控制、风险管理为主的管理审计。人民银行的内部审计部门也在开展内审转型，转型的总体目标是由传统的财务、业务合规性审计向内部控制审计、风险管理审计和绩效审计模式转变，风险管理审计是内审转型的重点之一。风险管理审计是对组织风险管理状况进行审计和评价的一种审计类型，其主要目标是通过分析组织运行中存在的内外风险，评价具体风险管理措施的充分性、合理性和有效性，帮助管理层完善风险管理机制，保证组织目标的实现，增加组织价值。

二、基层央行开展风险管理审计的必要性

人民银行内部审计部门在履职过程中，承担了向管理层提供本行风险管理信息、改善本行风险管理的责任，因此开展风险管理审计十分必要。

（一）开展风险管理审计有利于促使基层央行组织目标的完成

风险管理审计将审计视野扩展到基层央行全局，对影响基层央行内外部环境的因素进行统筹考虑、综合分析。传统的审计指导思想可以理解为“无利害关系假设”，即假设基层央行的业务运行不存在利害冲突，仅需查找出确实违规的事实即算达成审计目标。而风险管理审计的指导思想是建立在“合理的职业怀疑假设”之上的，审计时不仅仅依赖于上级行的制度规定及基层央行自身设计和执行的各项制度，而且对制度的合理性和风险控制措施的有效性保持合理的职业怀疑。风险管理审计关注基层央行战略目标的实现程度，把审计的重点放在了识别影响目标实现的风险上，从而促进央行组织目标的实现。

（二）风险管理审计有利于风险管理理念的落实

人民银行所承担的诸多重要职能决定着人民银行的业务处理具有较高的风险性，风险管理的重要性不言而喻。内部审计所特有的监督检查职能使其成为推行风险管理理念的重要部门之一。通过对某一单位、部门的风险管理审计，一方面使其完善风险管理机制，落实风险管理措施；另一方面也使其认识到风险管理的重要性，提高风险意识。

（三）风险管理审计有利于增加组织价值

传统的合规性审计主要目标是查错纠弊，保护资产安全，审计结果往往是事后的，所发现的问题往往具有滞后性。而风险管理审计以风险为基点，改变以往的事后评价体制，转变为及时主动地开展事前、事中、事后动态评价。风险管理审计不仅关注内部控制的合规性，而且着眼于评估具体控制对风险管理的效果，从而可以更合理地提出控制风险和规避、转移风险的建议，使风险管理更加有效。传统的合规性审计关注是否符合制度，有时重点不够突出，“眉毛胡子一把抓”。而风险管理审计更加关注重要的风险管理和控制，重点更加突出，审计针对性更强。因此开展风险管理审计能够更好地发挥内部审计增加组织价值的作用。

三、基层央行风险管理审计主要框架

（一）风险管理主要理论

2004年10月，美国COSO委员会（the Committee of Sponsoring Organization）发布了《企业风险管理——整体框架》（Enterprise Risk Management Framework，以下简称ERM框架）。该框架得到了风险管理理论界和实务界的认可，很多大型跨国公司和大部分西方中央银行均是按照ERM框架开展风险管理。

ERM框架由内部环境、目标制定、事项识别、风险评估、风险应对、控制活动、信息和沟通、监控等8个相互关联的要素构成。ERM框架要求组织首先制定切合实际的目标，从全方位的角度统筹考虑组织面临的各种事项，区分风险和机会。其次，对识别出的各种风险进行评估，将风险进行高、中、低等级划分。再次，根据不同等级的风险，结合组织的风险偏好，确定风险应对策略。最后，将风险应对策略落实为具体的控制措施，严格执行控制措施，以将风险降低到可以接受的范围之内。如图1所示，ERM框架8个要素中，事项识别、风险评估、风险应对、控制活动围绕着组织目标，形成了全面的、动态的和持续的风险管理过程；内部环境、信息与沟通、监控在整个过程管理中起辅助配套作用。

（二）基层央行风险管理审计流程

ERM框架揭示了风险管理所应考虑的8个要素。开展风险管理审计可将内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控等8个要素作为审计的主要内容，评价被审计单位在这8个方面的情况，找出不足，提出改进措施，从而提升被审计单位整体的风险管理水平。

由于人民银行组织管理体制的特点，各基层央行的履职目标和业务基本相似。在开展风险管理审计时，审计人员可提前识别出人民银行履职中的重要风险点，审计中重点关注各个被审计单位对这些风险点的控制情况，而不用针对每个基层央行在审计实施过程中开展风险识别。基层央行风险管理审计的基本流程为：一是组织业务专家对基层央行履职中重点风险点进行识别，形成风险点清单；二是开展审前调查，确定被审计单位具体管理目标，根据风险点清单和被审计单位实际情况制定审计实施方案；三是采用调查问卷、座谈、自我评估、控制测试等方式对风险管理8个要素进行审计，审计重点在于被审计单位风险识别的充分性、风险评估的科学性、风险应对的合理性和控制活动的有效性；四是根据审计情况对被审计单位的风险管理状况进行评价，提出风险管理改进建议。

（三）基层央行风险点识别

按照上述审计流程，提前对基层央行的重要风险点进行识别是开展风险管理审计的关键。所识别的风险点可应用于对多个基层央行的审计，并作为评价被审计单位风险识别、评估和应对的基础。我们对基层央行重要风险点进行识别、评估，一是根据有关法规制度，确定基层央行的19项职能；二是对各项职能所涉及的业务流程进行分析，确定1431个风险点；三是按照风险的发生可能性及影响程度进行风险评估，按照严重、比较严重、一般和轻微等4个等级对风险点进行划分；四是将风险程度最为严重的285个风险点列入风险管理审计的风险点清单（见表1），据此开展审计。

四、基层央行风险管理审计量化评价体系

为了对被审计单位的整体风险管理状况进行评价，并且便于不同单位之间进行横向比较，我们对风险管理审计量化评价进行了研究。一是将风险管理框架中8个要素作为一级指标；二是围绕反映8个要素的管理状况，设计了20个二级指标和36个三级指标，并确定了相应的指标计算方法；三是运用层次分析法确定上述指标的权重。

（一）利用层次分析法确定指标权重

层次分析法是美国匹兹堡大学教授萨迪于20世纪80年代中期提出的一种定性分析与定量分析相结合的多目标决策分析方法，具有思路清晰、方法简便、适用面广、系统性强等特点，适用于解决多层次因素的复杂问题。

运用层次分析法确定指标要素权重的步骤为：第一，对同层次各评估指标的重要性按“1—9标度法”予以赋值，构造两两比较判断矩阵。第二，运用几何平均法，求得特征向量（权重向量）。第三，计算判断矩阵的最大特征根和平均随机一致性指标CR。第四，若CR<0.1，说明矩阵具有满意的一致性，可以确定该层指标的权重，否则就需要调整矩阵，直到具有满意的一致性为止。具体操作方法为：

1. 构造一级指标两两比较判断矩阵。我们采用萨蒂（A.L.Saaty）建议的1—9标度方法，根据本级别8个指标要素之间相对重要性的比较，构建了两两比较判断矩阵，见表2。

2. 运用几何平均法进行计算：计算判断矩阵每一行指标元素的乘积[Mi]：[Mi=j=18Aij]；计算[Mi]的8次方根[Wi]：[Wi=Mi8]；对向量[W=[W1 W2 W3 W4 W5 ][W6 W7 W8]T]规范化，[Wi=Wii=18Wi]，得[W=[W1 W2 W3 W4 W5]

[W6 W7 W8]T]。

3. 计算判断矩阵的最大特征根[λmax=i=18AWnWi]；计算一致性指标[CI]：[CI=λmax-88-1]；计算平均随机一致性指标[CR]：[CR=CIRI]。按照上述方法计算得出如下数值：[W=[0.1575 0.0816 0.1575 0.0816 0.0816 ]

[0.2768 0.0816 0.0816]T]，最大特征值[λmax=6.058]，一致性指标[CI=0.0116]，平均一致性指标[CR=0.009]。

4. 由于[CR<0.1]，所以矩阵具有满意的一致性，确定一级指标权重向量[W=[0.1575 0.0816 0.1575 ]

[ 0.0816 0.0816 0.2768 0.0816 0.0816]T]。

同理，建立二级指标及三级指标要素比较判断矩阵，使用上述方法计算相应的二级指标及三级指标的权重，并判断矩阵是否具有满意的一致性，必要时对矩阵进行调整，直到具有满意的一致性为止。最终确定的审计评价指标及权重见表3。

（二）根据量化评价得分确定评价等级

1. 计算得分。根据上述评价指标体系和风险管理审计的特点，我们设计了风险管理量化评价模型，使用“风险管理状况评价分值”来衡量被审计单位风险管理的整体状况。即：[Y=QiXi （i=1，…，8）]，其中：[Y]代表“风险管理状况评价分值”；[Xi]分别代表风险管理8个要素得分；[Qi]代表风险管理8个要素所占比重。

在对风险管理的8个方面进行审计后，一是根据各指标的评分标准确定三级指标的单项得分；二是根据三级、二级指标权重计算出一级指标的分值；三是结合一级指标的权重得出风险管理状况评价分值。

2. 确定评价等级。为合理地对被审计单位的风险管理状况进行评价，我们设计了优秀、良好、一般、较差四级评价标准。其中： 90分（含）以上为优秀， 80分（含）至90分为良好，70分（含）至80分为一般，70分（含）以下为较差。

五、审计成效

2013年6月，某分行内审处根据风险点清单和A中心支行实际情况，制定了对A中心支行的风险管理审计实施方案，并于2013年7月开展了风险管理审计。通过审计，A中心支行风险管理状况最终得分为83.94，评价等级为良好，扣分的主要原因为控制活动环节制度执行不到位。通过审计实践表明，基层央行参考ERM框架开展风险管理审计具有一定的科学性：一是确定的8个要素内容基本可以涵盖基层央行风险管理的全过程，审计覆盖面全；二是风险点清单可以帮助审计人员明确审计重点、理清审计思路，提高审计的针对性；三是根据审计结果和量化评价模型可以对被审计单位风险管理状况进行量化评价，提高审计分析能力，提出更有建设性的审计建议，增强基层央行的风险管理能力。

参考文献：

[1]美国反欺诈财务报告委员会，方红星，王宏译.企业风险管理——整合框架[M]，东北财经大学出版社，2005.

[2]郭庆平.人民银行内审工作转型与发展[J].中国金融，2012，（7）.

[3]中国人民银行上海总部课题组.内部审计对央行风险管理的监督与评价[J].中国内部审计，2008，（3）.

[4]中国人民银行国际司.中国人民银行境外短期调研报告选集[M].中国金融出版社，2011.

（责任编辑 耿 欣；校对 XY，XS）

作者：王辉　路勇

风险管理审计分析论文 篇3：

风险管理审计探讨

摘 要:

在分析风险管理审计准则出台的背景、内容及现阶段开展风险管理审计存在的制约因素基础上,提出了有效开展风险管理审计的一点建议。

关键词:

风险管理;内部审计;风险管理审计

1 我国风险管理审计准则出台的背景

如今的西方多数大中型企业均已实施了不同程度的风险管理。根据德勤2003 年的调查, 80%以上的世界性金融机构已设立了风险管理师(CRO) 工作职位, CRO 职位比例居首位的为南美洲金融机构, 已达95%, 居末位的为亚洲金融机构, 仅为29%。在目前欧美的部分金融机构中CRO 的职位职能仍然由企业的风险管理委员会行使。普华永道2004 年对全球1 400 位CEO 进行了调查,其中70%的CEO 将发展与提高企业的整体化风险管理能力提高到他们当前工作内容的首位。调查还显示38%CEO 认为, 企业已经建立了行之有效的企业整体化风险管理体系, 另有46%的CEO表示将在1- 3 年内建立与发展企业整体化风险管理体系。

为了适应企业界的这种变化,更好地实现组织价值的增值。国际内部审计师协会(IIA)1999年6月对内部审计进行第五次定义。修订后的定义扩大了内部审计的范围,将它的工作目标延伸到包括风险管理、控制与治理程序,强调了内部审计对组织的重要贡献,标志着内部审计开始进入了风险管理审计阶段。风险管理审计反映了内部审计动态发展的基本趋势和变革倾向。

相比之下,我国企业的风险管理水平还处在初级阶段, 虽然近年来取得了长足的进步, 但就总体而言, 与飞速发展的客观经济形势仍不相适应, 呈滞后状态。近年来国内外上市公司出现的诚信危机, 有力地推动了我国企业风险管理的进程。企业管理当局已经意识到现在的社会也是一个风险全球化的社会。因此迫切需要建立起一套适合我国企业进行风险管理的指导框架。2006年6月国务院国有资产监督管理委员会颁布实施了《中央企业全面风险管理指引》(下称《指引》),该指引的颁行,可以看成是企业风险管理理论在我国大规模本土化的开始。

随着经济形势发展及我国内部审计自身发展的需要,我国内审也开始重视风险管理内部审计。2005年中国内部审计协会颁布了《内部审计具体准则第16号风险管理审计》(下称:风险管理审计准则),该准则的出台为我国内部审计人员对组织内部风险管理状况进行审查和评价提供了规范指导。

2 我国风险管理审计准则的内容及局限性

风险管理审计准则第2条对风险管理做了如下定义:是对影响组织目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的过程。风险管理旨在为组织目标的实现提供合理保证;第6条则描述了风险管理包括的主要阶段:风险识别、风险评估以及风险应对;在该准则的第4条中,还特别强调:风险管理是组织内部控制的基本组成部分,内部审计人员对风险管理的审查和评价是内部控制审计的基本内容之一。

首先,可以看出该准则所称的“风险管理”是从狭义上理解的风险管理,即风险管理活动的具体实施过程:风险识别、评估及应对。而广义的风险管理不仅包括上述的具体实施过程,还包括其他起辅助作用的要素:内部环境、控制活动以及监督。按目前狭义前提下制定的准则去执行,风险管理审计就会忽略这些起辅助作用的要素,以至发现不了组织风险管理活动中可能存在的潜在问题。中航油案例就是一个很好的例证。

中国航油(新加坡)股份有限公司(下称中航油新加坡公司)曾聘请国际著名的安永会计师事务所为其编制《风险管理手册》,设有专门的风险管理委员会及软件监测系统,实施交易员、风险控制委员会、审计部、总裁、董事会层层上报,交叉控制,按照《风险管理手册》的规定,任何导致50万美元以上损失的交易将自动平仓。中航油新加坡公司共有10位交易员,损失的最大限额应是500万(10×50万=500万)。但是中航油新加坡公司的衍生品交易最终亏损额高达5.5亿美元,以至申请破产保护。中航油事件的核心问题并不在于市场云波诡秘,而是在于该公司从表面上看似乎已实施了风险管理的流程:风险识别、风险评估、风险应对;但缺少对风险管理系统中的其他辅助要素的合理关注,最终导致企业整体风险管理失败。这一案例也再次说明:风险管理不仅仅只包括风险识别、评估及应对,更包括内部环境、控制活动、信息和沟通以及监控;风险管理系统的有效运转依赖于各要素的通力协作,对风险管理不应停留于狭义上的理解;风险管理审计准则应指导内部审计人员从廣义上理解风险管理的涵义,全盘考虑风险管理的构成要素及其运作方式,及时有效地发现企业风险管理实践中存在的短板。

其次,对风险管理审计的认识依赖于企业进行风险管理实践时所采取的企业风险管理框架或风险模型(用来反映风险管理过程和内容的程序图)。企业风险管理作为一种全新管理理念或管理框架的最终形成,是由美国发起人组织委员会(Committee of Sponsoring Organizations of the Treadway Commission,下称COSO委员会)在2004年9月提出的《企业风险管理——整合框架》(Enterprise Risk Management Integrated Framework,下称《ERM整合框架》)。这个框架是迄今为至企业风险管理最完善、最成熟的理论概括。国内中央企业在进行风险管理则是在《指引》的指导下并结合自身的实际情况开展的。《指引》对企业风险管理的目标、流程描述,与《ERM整合框架》中的描述大体相同。它将企业风险管理的目标设定为五个方面:一是将风险控制在与总体目标相适应并可承受的范围内;二是确保企业内外部实现真实、可靠的信息沟通;三是遵守法律法规;四是通过企业制度安排降低实现经营目标的不确定性;五是建立针对重大风险发生后的危机处理计划。这五个方面的目标,分别对应着《整合框架》提出的4个目标。它将企业风险管理流程区划为收集初始信息、进行风险评估、制定管理策略、提出实施解决方案和监督改进等5个阶段.分别对应着《整合框架》中的企业风险管理8大基本要素。所以风险管理审计准则中的风险管理概念要采纳《ERM整合框架》中广义的风险管理观点而非其1992年的《内部控制整体框架》中狭义的观点。

3 运用风险管理审计准则存在的制约因素

3.1 有关风险管理审计的法规及准则尚不完善

风险管理审计是从西方国家引入我国的,相关的法规及准则还不够健全和完备。我国内部审计准则正处于跟国际内部审计准则接轨的阶段当中,关于风险管理审计最主要的法规是2005年5月开始实施的风险管理审计准则,只是就风险识别、风险评估、风险应对进行风险管理审计作了原则性的规定,比较抽象,缺乏对风险管理审计操作的具体指导。其他有关风险管理审计的法规也比较缺乏。

3.2 企业管理观念落后,风险意识不足

随着企业外部经营环境的复杂化,领导层风险意识大大增强,认识到进行风险管理的重要性并着手建立自身的风险管理体系,但水平较低;同时尚未意识到内部审计机构开展风险管理审计的重大意义。在这样的风险管理观念里,很难有效进行风险管理,降低和避免风险带来的损失只能成为空谈。

3.3 内部审计在组织中的地位不合理

内部审计在组织中的地位影响其开展风险管理审计的效果。目前由于内审部门组织地位不合理,风险管理审计的开展变得异常艰难。有些企业将内部审计部门只设置在总经理层级之下,与其他职能部门同一级别。但企业总经理和以上的高层的职权高于内部审计部门,与内部审计部门的权力相抵触,这样在开展风险管理审计过程中,一旦高层发生舞弊或者重大决策失误就不易发现和解决,这样的情况下所进行的风险管理审计工作不仅难以保持内审人员的独立性与客观性,还存在着重大的审计风险,无法保证风险管理审计的质量,最终可能导致企业陷入危机。

3.4 内审人员知识结构单一、缺乏综合知识

风险管理工作的复杂性决定了内部审计人员知识的全面性,决定了内部审计人员必须具备复合型人才的素质,不仅要具备会计、审计专业知识,还要熟悉企业经营环境和生产经营过程,具备管理学、金融、计算机技术、工程制造、法律等多方面知识。我国内部审计人员专业结构中,会计、审计专业占绝对统治地位,而其他专业的工作人员在内部审计人员结构中所占的比例相对较小。知识结构单一不能适应风险管理审计对知识综合性的需求,风险管理审计难以开展。

4 有效开展风险管理审计的对策与建议

基于以上分析笔者认为,要实现有效的风险管理审计,要做到如下几点:

4.1 丰富与完善风险管理审计准则的内容

对风险管理审计准则中的风险管理概念的理解就必须建立在广义的基础之上,即采纳COSO委员会2004年的《ERM整合框架》中的广义风险管理概念。鉴于内部控制与风险管理二者密不可分的联系,在现行的准则体系下可以協调内部控制审计准则与风险管理审计准则之间的关系,以使风险管理审计准则能得以更有效的实施。

4.2 加速推进国内企业的风险管理实践

企业风险管理理论和《指引》都是针对企业所面临的各类风险提出的,都只是一个理论框架和方向指引,没有统一具体的模式,在企业风险管理理论本土化的过程中应找到符合国内企业实际的切入点。每一个企业都有其特殊的行业特点,既有体制、历史传承、文化特色和企业员工队伍、管理当局的素质水平等。这决定了不同的企业在实施风险管理时应有不同的切入点或突破口,不能好高骜远,要从各自的实际出发,找准影响各自企业主要经营管理领域的不确定性来源,有针对性地进行企业风险管理实践。

4.3 全面提高审计人员素质

首先,要改变审计人员专业结构的不合理,培养高水平复合型的人才。其次,要加强培训,强化审计人员的逻辑思维和综合分析能力,提高审计人员运用数理统计模型、金融工程等先进方法进行风险管理分析的能力。

参考文献

[1]李瑛,李阳.新环境下的企业风险管理与风险导向内部审计[J].会计之友,2008(3):7071.

[2]中国内部审计协会.内部审计具体准则第16号风险管理审计[S].

[3]刘华.审计治理规范与案例[M].上海:复旦大学出版社,2007:236.

作者：王志国 张学军