实务 | 风险管理审计要点及流程

1风险管理政策的审核

企业内部审计人员应当审核:企业是否制定正式的风险管理政策;风险管理政策是否包含了COSO全面风险管理的8个要素;风险管理政策内是否包含对风险管理的实施流程:风险管理政策是否适合企业的经营方式与企业文化;风险管理政策是否明确了管理层、合作伙伴、审计人员以及其他所有人员的职责;风险管理政策是否能确保风险渗透整个企业，是否包含了将基本的风险循环嵌入经营流程的方法;风险管理政策中是否将风险与企业经营相结合，使其能够高效地应对风险，促进企业的发展。

2风险目标设定的审核

风险目标设定是指企业的管理层必须以目标为基础来识别成功的潜在因素。风险管理应确保企业管理层有一个特定的程序，用来设定目标、选择支持和连接企业使命的目标，并保证和企业风险偏好相一致。目标设定的审核主要是从目标制定和实施方面进行评价。企业内部审计人员应当审核:企业战略是否考虑了董事会已识别的风险;在定义、识别风险以及决策实施过程中，企业的战略是否与风险管理政策一致; 企业战略是否将风险战略考虑在内，对未能实现既定战略目标的风险进行整体应对;企业战略是否考虑了利益相关者对尽早回报的期望与经营增长和市场地位的可持续性之间的内在冲突未得到解决的风险;企业是否确定了适当的程序，保证目标能够分解到实施层，并使其能对相应的风险负责;战略制定是否充分了解利益相关者的责任，是否在合规与绩效之间取得平衡;企业是否建立了战略与员工间的沟通系统，并与战略设计和实施中的关键风险相结合;企业目标是否包含与Coso企业风险管理框架中的4项目标相对应的各个层级的目标。

3风险识别和评估的审核

4风险管理措施、方法的适当性审核

企业风险管理的措施主要有5种：规避、转移、降低、接受。每种措施的使用都要在适当的条件之下，否则就会被认为措施不当。内部审计人员不仅审核企业风险管理措施设计的合规性、科学性和合理性，同时也要测试这些措施的执行有效性。在实际工作中，对风险管理措施和方法的适当性审核，要具体情况来判断，即对企业所处特定环境、管理层才能、风险影响程度等因素判断，并结合对经理人风险偏好程度的判断有机进行。

1企业整体层面

从企业整体层面的角度看，内部审计人员在进行了风险管理审计应当关注的内容包括以下5个方面。

（ 1）风险管理机制的健全性和有效性。

风险管理机制是企业实施风险管理的基础，良好的风险管理机制是企业风险管理有效性的前提，因此企业内部审计机构及其人员应从以下方面确定企业风险管理机制的健全。

A、审查风险管理组织机构的健全性，企业必须以全体员工参与合作和专业管理相结合为基础，根据自身的规模大小管理水平，生产经营的性质以及风险程度等方面的特点建立一个规范化的风险管理组织体系，在这个体系中包含了风险管理负责人，一般专业管理人员，非专业风险管理 （更多内容可关注公众号CIA内审师小站） 和外部的风险管理服务等基本要素，风险管理组织体系还应当根据风险产生的原因和阶段，不断的进行动态调整，并通过健全的制度来明确相互之间的责权利，使企业的风险管理体系始终是一个有效的整体。

B、审查风险管理程序的合理性，企业风险管理机构应当采用适当的风险管理程序，以确保风险管理的有效性。

C、审查风险预警系统的存在及有效性风险管理的目的是避免风险降低风险，因此风险管理的首要工作是建立风险预警系统及通过对风险进行科学的预测分析，预计可能存在的风险并提醒有关部门，采取有力措施予以改善，企业风险管理机构和人员应当密切注意与各种风险相关的内外因素及发展变化趋势，对企业可能发生的风险进行科学预测，进行风险预警。

（2）风险识别的适当性和有效性。

对企业面临的现有以及潜在的风险加以判断归类和鉴定的过程，内部审计人员应当实施必要的审计程序，对风险识别过程进行审查和评价，重点关注企业是否充分适当的确认面临的内外部风险企业所面临的风险。

企业所面临的常见外部风险主要来源于以下因素：

国家法律法规及政策的变化；

宏观经济环境的变化；

科学技术的发展；

行业竞争资源及市场变化；

自然灾害及意外损失；

其他因素。

企业面临的常见的内部风险因素来源包括：

经营活动的特点；

组织结构的缺陷；

资产的性质以及资产管理的局限性；

信息系统的故障或中断；

工作人员的道德水平，业务素质未达到的基本要求；

其他因素。
内部审计人员对风险识别过程进行审计应当包括以下内容：

A、审查风险识别原则的合理性 。风险识别和分析是企业进行风险评估和风险控制的前提，风险识别是关键性的第一步。

风险识别方法所解决的主要问题是采取一定的方法分析风险因素风险的后果。风险管理部门是否将各种方法相互融合，相互结合的运用，应当充分了解风险评估的方法并对管理层。

B、审查风险识别方法的适当性。
内部审计人员进行风险识别方法的适当性审查和评价时，必须注重分析历史数据的可靠性。

审查管理层采用的风险评估方法时，重点考虑以下因素:

①历史数据的充分性与可靠性；

②已识别的风险的特征；

③管理层进行风险评估的技术能力;

④成本效益的考核与衡量等。
在评价风险评估方法的适当性和有效性时， 应当遵循的原则:

①在风险难以量化、定量评价所需数据难以获取时，一般应采用定性方法

②采用定性方法时需要客观听取和分析相关部门及人员的意见，以提高评估结果的客观性;③定量方法提供的评估结果一般会比定性方法更有效。
3.风险应对措施的适当性和有效性。 需考虑管理层风险偏好和风险接受程度。
根据风险评估结果采取的风险应对措施主要包括:

①接受，由于风险已在企业|可接受的范围内，因而可以不采取任何措施;

②回避，即采取措施避免进行可能产生风险的活动;

③降低，采取适当措施将风险降低到可接受的范围内;

④分担，采取措施将风险转移给其他企业或保险机构。
在评价风险应对措施的适当性和有效性时，应当考虑以下因素:

①采取的风险应对措施是否与企业的经营管理特点相适应;

②采取风险应对措施之后的剩余风险水平是否始终保持在企业可接受范围之内；

③成本效益的考核与衡量等。

4.风险管理环境适当性
风险管理环境最主要的因素是管理层及所有执行者对风险管理的态度、管理理念及胜任能力。

(1) 管理层对风险管理的态度。
主要内容包括：管理层是否认真组织和领导风险管理制度的建立工作，是否强调宣传风险管理的重要性，是否实施风险管理里内部审计，是否按照风险审计建议进行整改等等。

(2)有无根据企业性质、规模相适应的风险接受程度。
一般来讲，风险接受程度是指企业所能接受风险的“高” “"中”和“低”。

(3)风险管理制度执行者的态度和素质。
企业是否充分认识到风险管理的重要性。主要内容包括：执行风险管理的专业知识和专业技能。有无较强的企业整体运营管理的意义;有无胜任风险管工作责任心和诚实的态度。

2具体业务层面

尤其是国有企业，高风险业务领域呈趋同状态。当前环境下，各类企业物资采购、 市场营销、 投资、企业资源计划（ERP）系统的实施和环境保护成为公认的高风险业务领域。具体业务层面的风险管理实施审查与评价的主要内容：

1.物资采购业务风险管理审计。
物资采购业务是传统的高风险领域，因为采购必然导致企业最重要的资源一现金的流出。物资采购业务风险管理审计的内容主要包括:

(1)评估企业采购业务风险控制体系是否完备。
采购业务涉及采购、验收、保管、付款和记录多个业务环节和岗位。为保证采购确为企业生产经营所需且符合企业利益，收到的商品安全完整，价款及时准确地支付给供应商，内部审计人员应重点关注物资采购工作的职责分工，特别是采购、验收、付款和记录是否由不同的职能部门和人员负责。此外，还应关注违反内部牵制制度发生舞弊事件后的处理机制、程序及措施的健全性及有效性，同时要评估信息传递程序，控制违规操作风险。

( 2)评估物资采购业务中的信息传递内部控制是否能满足消除重大风险、控制一般风险的目的。
具体内容主要包括：授权程序是否完备，文件和记录的使用是否纳人管理，独立检查机制是否建立并正常运行等。

(3)评估物资采购业务对于下述风险的控制。
市场化的趋势预测不准确，采购计划安排不合理，造成库存积压或者短缺，，可能导致资源浪费或者生产停滞、招标投标或定价机制不科学，供应商选择不当，采购方式不合理，授权审批不规范，可能出现舞弊或遭受欺诈，导致采购物资质次价高；采购验收不规范，付款审核不严，可能导致采购物资、资金损失或信用受损。

2.市场营销业务风险管理审计。

市场营销业务的风险常常特别重要。内部审计机构及人员对可以扩大为企业整体风险，因而加强市场营销业务。

（1）对市场营销业务风险管理进行审计的内容：(1)评估市场部门制定的营销政策是否切合当前环境，能否有效避免控制政策的失误风险。

内部审计机构及人员应当审核、分析企业营销风险管理方针和策略的制定背景，确认其是否与企业自身的发展方向、在同行业中的地位、产品的市场需求以及营销策略(防守型、稳健型或积极型一致。

(2)评估主要客户信用风险的控制手段是否健全，是否运行良好，能否有效控制坏账风险。

内部审计人员要关注企业是否在符合企业风险偏好的基础上制定出科学合理的营销策略;每年是否对客户的经营状况、经营成果和现金流量进行分析:是否对比应收账款年末数与年初数的变化情况;对于已经发生的坏账，企业是否制定了必要和合理的处理措施;营销人员自身能力和素质等。

(3)评估市场部门及其主要营销人员风险取向是否符合企业战略，风险是否得到充分揭示。

市场营销部门的风险取向和营销人员自身的道德水平和心理素质问题，极易使营销业务发生错误或舞弊，从而提高了营销活动的风险。内部审计人员应对营销部门和人员的培训、考核和管理等进行评价分析，从中发现风险因素，并且提出相应的改进建议。

3.投资业务风险管理审计

投资业务风险管理审计的内容主要包括:

(1)评估投资风险管理政策的合理性，控制政策风险。

内部审计人员要关注投资是否由适当的部门提出；是否经财务、市场、生产、研发等方面专家论证可行后，交管理当局审批；是否根据公司章程授权分别由总经理、董事会或股东会做出相应的投资决策。

(2)评估具体投资项目决策过程中的风险评估是否充分，风险取向是否符合企业战略。

内部审计人员要关注企业投资管理部门在实施项目投资之前，是否对备选方案的未来现金净流量的现值、收益率、回收期、机会成本等方面进行测算、比较，测算所得税和折旧对投资的影响，是否选择与基准指标值要求相符的备选方案。内部审计人员需要对投资项目可行性评价基准指标的科学性、准确性进行分析和评价同时，通过恰当的预测手段，评估项目的运营过程，控制运营风险。

(3)评估投资项目治理中的风险控制措施是否完备。

对于股权投资，内部审计机构及人员应关注企业是否区别控股与非控股情况派出管理人员参与生产经营或重大决策：投资项目税务筹划的合理性；投资管理部门是否适时了解债券性投资项目情况，并及时向管理层报告；是否分析了实际财务指标与基准指标的偏离及其原因、改进措施等。

4. ERP环境下的风险管理审计

对ERP系统实施的风险管理审计内容 主要有:
(1)ERP环境中风险管理体系的完整性。
ERP是一个风险巨大的系统，必须建立严密的风险管理机制。内部审计人员需要特别关注由于新ERP系统对业务流程的再造可能导致的风险管理机制不健全的风险。对ERP环境下企业风险管理的审计，首先必须对风险管理机制进行审查，审查企业及其下属单位在新的业务流程中是否建立了恰当可行的风险管理机制，风险的识别、评价和应对机制的合理性和有效性如何，实际运行情况怎样，是否有助于企业管理的持续改善等。审计中还应当专门对业务流程、关键控制点、系统监控等方面的风险管理机制进行重点审计，对业务流程进行评估，降低信息失真的风险。

(2)ERP环境中相关业务流程风险控制的有效性。
ERP系统的基础是对业务流程进行优化重组，它打破了原有的权力分配模式，系统上线后能否按既定的模式运行以及运行效果严重影响系统运行的成败。另外，由于上线时间紧迫，实施时设定的业务流程未必是最佳的；即使当时是最佳的业务流程，也会因为上线后运行环境的变化需要更进一步的优化。 只有经常对业务流程进行内部审计，才能使企业业务始终保持在相对较优的流程环境中运行。

业务流程的风险管理审计包括：

应该在系统中运行的业务是否全部通过系统运行;

系统运行是否正确，有无系统错误;流程是否通畅，有无缺陷或舞弊的可能，能否进行进-步的优化;

录入的信息是否真实、准确;

信息是否及时录入系统;

识别、评价和应对流程风险的效果如何等。

(3)对ERP系统关键控制点上主要经营风险的控制开展实质性审查 。

对关键控制点业务流程开展实质性审查的目的是控制经营风险。ERP系统一般是由采购、生产、销售、仓储、财务、人力资源、设备管理等多个模块高度集成起来的，每一模块都有相应的关键控制点，对企业的生产运营有着至关重要的作用。因此，对关键控制点的风险管理审计应当作为审计重点。内部审计人员在实施审计时应主要关注:是否对关键控制点进行了识别，识别是否全面；是否建立了关键控制的识别、评价、预警和应对机制的适应性和有效性如何和应对机制；关键控制点进一步优化；有无控制不严“或失控的现象和发生可能等。控制的手段和方法是否有效。

(4)对ERP系统是否设置自我风险监控功能，控制重大问题风险。

ERP系统由于采用了业务流向数据监控功能，方便了业务和绩效的动态监控，降低企业整体的风险，即使偶然出现异常，也会因及时的动态监控而发现问题。内部审计人员应该审查和评价企业及其下属单位是否采用动态监控、 监控点及其风险如何识别和评价、监控的权威性及其效果、发现问题的处理方式以及应对风险的效果、有无监控盲区或监控不力的区域、监控结果的利用情况如何等。

(5)对信息系统软硬件故障风险进行评估。

ERP系统硬件和软件都有产生故障的可能，软件功能的完备与否也是系统运行的风险之一。其中，ERP系统与其他系统的连接是影响系统运行的关键因素。要保证ERP系统正常运行，降低经营风险，对ERP系统以及与其相连接的其他信息系统的审计也是必需的，包括对系统的开发与设计、系统的控制、功能的划分、软件程序和硬件配置、备份模式及效果、 （更多内容可关注公众号CIA内审师小站） 故障处理方案及风险应对措施、系统风险识别与评价体系等进行审计。此外，内部审计人员还应对控制人员不当风险进行评估，检查是否有保障系统良好运行的系统维护和操作人员，观察这些人员是否认真履行职责。对关键控制点和系统监控岗位上的人员以及关键的系统维护人员的实施审计，需要审查和评价系统人员是否经过培训并取得相应资格，是否有识别和应对本岗位风险的能力，在本岗位控制和实施风险管理的实际效果如何等。

5.环境保护风险管理审计

（1）对企业或项目环境保护风险管理开展审计的内容主要有以下两个方面：(1)对环保监督管理制度体系建设进行评估。

内部审计人员要检查企业是否建立了完善的环保问责制，是否下达环保考核指标，企业负责人是否与下级单位负责人签订环保责任状，将环保指标作为重要考核指标之一，层层分解，逐级检查考核，落实环保问责制，降低由于监督不到位导致的制度风险。

(2)对企业自身建设项目的立项与审批中的环保风险因素进行评估。

内部审计人员要关注建设项目是否严格执行环评、可行性研究、初步设计的环保会签制度，是否实行计划、基建、开发、环保等部门的分工负责制，投资的所有建设项目是否均按照建设项目管理程序进行了“环评”，切实把好环保关，杜绝污染严重和治污措施不严的项目上马。此外还应评估易发事项，对日常风险进行控制。