題目：風險管理審計的理論方法及實踐

目錄

1 引 言

2 風險管理審計
2.1 風險管理審計
2.2 風險管理八要素
2.3 風險管理主要階段

3 風險管理審計的重要性

4 風險管理審計的基本程序和方法
4.1 風險管理程序與方法

5 風險管理審計案例分析
5.1 美國沃爾瑪公司風險管理案例

致謝語

參考文獻

以下是論文正文

[摘 要] 風險管理是公司實現持續經營的保證，風險管理審計是對公司風險管 理制度、風險管理活動以及風險管理報告進行的審計。風險管理審計能夠客觀地對組織整體的風險管理進行審查與評價；能夠指導企業的風險策略，防止控制過度或不足的缺陷；能夠發揮反饋作用，對企業的風險管理起預警功能。

[關鍵詞] 審計；內部審計；風險管理審計

1 引 言

在今天的環境中，一個有思想、有遠見的CEO可能會提出疑問：潛在外部環境的變化會威脅到公司戰略目標的實現嗎？哪些可能損害公司業務流程的因素是否在合理的限度內？公司的資產有可能被盜嗎？能否通過內部流程、信息和報告恰當第計量和傳遞資產、營運過程及戰略實現所構成的威脅？公司對外部群體的報告是否遵循了相應的法律、法規和準則？上述五個問題都與現實世界可能發生的事件相關，并且可能對企業構成嚴重的威脅，也是企業風險管理和內部審計監督的主題。

2 風險管理審計

2.1 風險管理審計

進入21世紀，“風險審計”“風險管理審計”“風險導向審計”等類似名詞不斷出現在審計者的視線中。根據《內部審計具體準則第17號——重要性與審計風險》的定義，即內部審計人員未能發現被審計單位經營活動及內部控制中存在的重大差異或缺陷而做出不恰當審計結論的可能性。審計風險不僅包括審計過程中審計人員主觀因素造成的風險，同時也包括審計過程之外的非主觀因素產生的風險。 站在內部審計的視角看，風險管理審計的含義是“對組織的風險管理進行審計”。對于企業來說，這里的風險，是指企業風險，主要涉及經營風險。在風險管理審計框架下，風險管理是審計的客體和對象。 風險管理是對影響組織目標實現的各種不確定性事件進行識別與評估，并采取應對措施將其影響控制在可接受范圍內的過程?；竞x：是對風險管理的設計與執行情況進行測試和評價。并為管理層提供有關風險管理信息的適度保證。出發點：審核風險管理政策和經營戰略方針。目標：風險管理政策設計的適當性、執行的有效性、風險損失處理的合理性。特有方法：風險管理因素優先性策略、預警分析、綜合評價。

2.2 風險管理八要素

2.2.1內部環境 董事和管理層制定組織的目標、實現目標的戰略、經營過程相互關聯的商業模式，以及實施戰略的短期經營計劃。這些選擇組成了ERM的環境要素，也提供了其他要素運作的框架。環境要素還包括所謂的“風險管理哲學”以及風險“偏好”，以確定組織將會如何應對可能出現的負面意外事件——總是會有一些意義事件將要發生。管理層（以及董事）必須決定如何處理戰略及其實施過程中所隱含的風險與收益的權衡，對風險的態度將會影響到企業采取何種經營活動，只有將戰略中固有的風險限定在一個可接受的水平時，這些活動才會有助于戰略的實施。

2.2.2目標設定 即規定設定目標的程序，并確認目標、策略及風險承受之間的一致性。企業目標可以從以下幾個方面確定：策略：有關企業整體的目標及使命。營運：有關效率、績效及獲利能力。報道：有關內部及對外部的報道。遵循：有關法令及規章的遵循。

2.2.3事件識別 在理解了組織的目標、戰略和計劃，以及當前組織外部與內部的情形之后，ERM要求識別出所有可能發生并對組織目標實現產生負面影響的重要狀況。這一關鍵步驟需要具有組織及其經營方面的總體知識，以及了解當前和未來可能的環境因素，并知道如何將各種類型的知識結合起來。事件識別步驟非常重要，因為未被識別的事件不可能在風險反應及風險接受計劃中得到處理，因而會導致意外的風險。

2.2.4風險評估 風險通常從兩個維度來進行評估——某個既定不利事件發生的可能性和概率，以及如果該事件確實發生，對經營、財務報告產生的影響，和可能對戰略產生的影響。一些風險是離散的，而另一些風險是連續的，它與事件相關的可能結果有一個變動范圍，每個結果有一個發生的概率?？赡苄缘挠嬃靠梢允请x散的，也可以是連續的。對潛在影響的計量可以按照對經營的破壞程度、數量、貨幣損失，或是對戰略目標的損害等來進行。 對整個企業進行風險評估需要定性方法與定量方法的結合，當能夠獲取充足的數據時，可以采用定量評估的辦法，當潛在的可能性及影響很低，或者無法獲取數量數據以及數量評估的方法時，可以采用定性評估方法。定性方法也可以用于對影響很大但需要大量專業知識的事件進行評估。最后，不管單個事件的風險如何評估，許多事件往往一起發生，這就需要考慮兩個或更多時間同時發生的風險。

2.2.5風險反應 針對每一重大風險，組織要做出風險/收益權衡的評價，在此基礎上，再做出接受規避或緩解的風險反應。緩解措施包括分攤、轉移和減少風險，這取決于風險/收益的比較、代價以及組織的風險偏好。風險反應是ERM不可缺少的一部分，但某些特定反應并非ERM的組成部分，如目標和戰略的選擇，這種由基層或高層管理者所做的選擇，是比ERM更廣泛的管理職能之一。但是，風險反應通常要根據過去的情形進行復核，以做出可能的改進。

2.2.6控制活動 控制活動是管理層設計的政策和程序，用以合理確保所選取的風險緩解反應措施得以實施?？刂苹顒舆m用于整個組織，包括核準、授權、撤銷、確認、觀察、驗證、調整、經營業績審查、資產安全的保證以及職責分離。內部審計人員十分熟悉財務報告方面的控制活動，而ERM將這個概念擴展至所有風險的反應。

2.2.7信息與溝通 風險識別、風險評估、風險反應和控制活動能提供組織各個層面必要的風險信息，但是財務及其其他信息一樣，風險信息必須以某種形式在一定期間傳遞，使員工、管理層及董事能各行其職。因為風險信息的復雜和難于捉摸，傳遞時不能僅僅只是列式。

2.2.8監控 有了內部控制，組織一般通過日常監督和單獨評價來監控企業風險管理及其組成要素的有效性。日常監督在事項與交易發生時，就存在于日常的經營過程中，它包括交易行為中日常的管理和監督活動。ERM的“單獨評價”或者基于有計劃的定期檢查，或者基于經營或日常監督過程中產生的例外事項的后續檢查。因為內部審計人員在獨立調查、風險評估及報告方面所具備的勝任能力、技能及經驗，內部審計部門通常是ERM單獨評價的首選提供者。

2.3 風險管理主要階段

風險識別：辨別所有可能發生、影響單位目標實現的重要事件。風險評估：分析風險發生的可能性（概率）和影響（損失）。風險應對：避免風險、減輕風險、接受風險。外部風險因素考慮：法律、政治、經濟、誠信。內部風險因素考慮：戰略、經營、財務、信用。風險評估要素：可能性與影響程度。風險評估方法：定性與定量?；乇埽悍艞?、停止、拒絕。降低：外包、租賃等。接受：自己承擔。

3 風險管理審計的重要性

隨著經濟全球化和資本市場自由化的發展，公司經營中面臨的經營風險越來越大。匯率風險、競爭壓力、產品缺陷的召回、分散失敗、勞資糾紛等等都是國際化公司不得不重視對風險的管理。 對此，公司應該建立了完善的治理結構，可以在懂事會下設審計委員會，專門負責風險管理方面的事務，將風險管理與內部審計結合起來。 風險管理的使命就是對風險績效識別、衡量、評價、控制的基礎上，通過對風險時間的預測和備選方案優化，來確保公司目標的實現。要達到此目標，內部審計人員需要對企業的經營循環和模型有所了解。 對大型商業公司來講，其核心的經營循環是從戰略計劃、人員招聘、商品采購、商品運輸，到商品銷售、經營運作、綜合信息處理和非商品采購等，這些環節均有可能出現的風險點。 風險管理可以由風險管理委員會負責，將日常的風險監控與風險戰略規劃有機地結合起來，并著眼于未來。 隨著社會主義市場經濟的發展，市場競爭愈演愈烈，企業管理層為了正確預測、妥善回避、及時化解經營過程中可能存在的風險，開始積極主動地拓展目標市場，并在自身內部強化成本意識和推行績效管理，以提高核心競爭力，取得行業競爭中的優勢地位。部分領導干部歡迎內審人員積極“找茬”，不僅限于日常的財務收支方面，還有內控制度建設、對外合作項目效益、基建項目管理等，要求內審人員能夠全面融入的各項管理之中。

4 風險管理審計的基本程序和方法

4.1 風險管理程序與方法

4.1.1企業風險管理涉及發范圍 企業風險管理的范圍包括：環境風險、戰略市場風險、營運風險、新產品開發與品牌風險、財務風險、信息技術風險。

4.1.2 風險管理基本程序和分析方法 確定范圍：分析環境、確定風險標準。識別風險：識別關鍵程序、確認風險領域、對風險分類、定義風險性質。分析風險：分析風險損失額、可能性和發生頻率；

根據重要性原理劃分風險等級。評價風險：識別可接受風險與不可接受風險，對各類風險由高到低排序。處置風險：規避，抑制與控制（損失額、可能性和發生頻率），轉移，接受，利用。監督與審核：過程、環境、組織、戰略、利害人。溝通與協調：部門內部、其他部門、外部審計、利益相關者。 風險分析基本程序，第一，分析風險因素、風險事故、捕捉風險征兆。第二，確定風險存在。第三，確定可能性、頻率、損失額。第四，評判風險性質、級別。第五，評估風險，與風險評價標準比較，排定風險次序。 風險評價程序，第一，測評、定性、風險排序。第二，鑒別風險管理措施。第三，評估風險管理措施。第四，準備風險措施計劃。第五，執行風險措施計劃。

5 風險管理審計案例分析

5.1 美國沃爾瑪公司風險管理案例

5.1.1沃爾瑪公司簡介 沃爾瑪是美國一家大型百貨公司.它信奉“內部審計人員的員工使沃爾瑪與眾不同”的理念。 在2002年財富100家最受尊重的公司中排名第一、在最受歡迎的零售公司中排名第三，其年銷售收入在2002年為2200億美元。 沃爾瑪在1996年進入中國，在全世界現有49家分支機構，管理著1200多個超級市場。沃爾瑪率先在全世界推行旨在提高客戶價值服務水平創建了SAM消費者協會。目前，每3個美國人中就有一人是沃爾瑪SAM會員。 沃爾瑪能取得這樣子驕人的業績，與其嚴格、科學的風險管理是分不開的。

5.1.2沃爾瑪公司風險管理過程 風險管理包括風險識別、風險消除、行動計劃、績效評估和股東價值提升五個方面。風險識別與初步評價。 風險識別是建立在公司的戰略基礎上的。沃爾瑪的戰略思想理念是：要成為市場的領導者；在股東價值最大化的同時成為優質價廉商品的提供者；堅奉三個信條；沃爾瑪的目標是：不斷擴展商業機會，建立完善的營銷網絡，改進客戶服務水平，維持和擴大分銷同盟，并對分銷同盟績效培訓。

基于此，沃爾瑪確定了自己的風險框架，將風險分為戰略性的、運營性的，財務性的和道德方面的四個方面。 在戰略評估方面，重點在成長戰略性、資本成本、收益率、市場份額、品牌形象方面；運營方面，重點在商品采購與分銷、人力資源、倉儲運輸等方面； 財務方面，重點在投資、商品、利率和匯率等方面；道德方面，重點在非法行為、欺詐、行賄受賄方面。每次風險識別時，公司組成跨部門的專家小組，進行全面調查，然后由風險管理委員會進行數據分析，形成數據報告分發給專門小組成員，由小組成員進行具體的的風險識別研討。

由于小組成員是來自不同部門的，大家可以從各自的角度對風險數據資料進行理解、綜合、分析、討論和加減，從而按照可能性和影響力對風險事件進行排隊，最后確定予于關注的重大風險點。 經專家小組對公司2001年內控風險的環境討論后認為，沃爾瑪面臨的最大風險是人力發展、國際增長的管理和網絡基礎建設，故將其列入“重大發生可能較大的風險事件”；盡管發生法律法規違規的可能性比較大，但考慮到沃爾瑪是一家百貨公司，其公司的影響力比較小，因此將其列為“不重大的風險事件”;對于公司品牌、競爭戰略規劃和競爭方面，由于沃爾瑪存在絕對的優勢，其出現風險的可能性較小，但一旦發生風險，對公司的影響是巨大的。風險消除及行動計劃，在確定重點風險領域為人力發展、國際增長管理和網絡基礎建設后，接下來就是如何制定一個具體的消除和化解這些風險的方案。在制定方案前，先選定風險點的負責人和分組，然后對每一分組進行工作分工，明確各自分組的工作職責，最后確定完成的時間和評估標準。工作績效衡量，在對小組2的工作成績評估匯總，應該重點在3個方面：工作的結果、實際完成情況、今后的發展?？冃гu估是一個動態過程，它通過監測、評估和報告來實現，最后的評估報告由打分出來反映。股東價值，股東價值的分析是將風險事件與股東的投資收益、股價等進行對比。

綜上所訴，風險控制與管理是一個操作性極強的工作，需要綜合運用各方面的資源共同來實現。進入21世紀以來，風險事件的發生往往帶來很多 波及其他部門的影響事件。有時對一個簡單孤立的事件，如果管理不好，很有可能成為一個重大的風險事件。

致謝語

在這次的畢業設計過程中，我得到了身邊許多同學和老師的幫助。衷心感謝我的指導老師張文彩講師，本課題的研究工作是在張文彩講師的悉心指導和關懷下才得以順利完成。從論文的選題、論文的內容設計過程、論文的結構到最后的定稿，都得到張文彩講師細心的指導和提攜。張文彩老師認真負責的工作態度，嚴謹的治學精神和深厚的理論水平都使我收益匪淺。她無論在理論上還是在實踐中，都給予我很大的幫助，使我得到不少的提高，這對于我今后的學習和工作都是一種巨大的幫助。 在這次畢業設計中，我的同組同學曾給我很大的幫助和支持，我們共同協作，在此，一并向他們表示深深地感謝！

參 考 文 獻
[1]中國內部審計協會.內部審計理論與實務.北京：中國石化出版社，2008.
[2]謝科范.企業風險管理.武昌:華中理工大學出版社，2009.
[3]王曉霞.企業風險管理審計.北京：中國時代經濟出版社，2008.