一、引言

　　在企業競爭不斷加劇的環境下，企業風險管理的作用與影響日益受到普遍關注，據安永會計師事務所2006年3月公布的一份全球調查顯示，投資者非常關心企業在風險管理方面的情況，避免投資那些風險管理不力的企業。接近2/3的投資者對于風險管理不力的企業，在投資策略上采取非常抵觸態度，近五萬的投資者表示曾因這一原因拋售了有關的投資產品。可見，企業如何有效地進行風險管理，已成為公司治理層所面臨的一個嚴峻的課題。

　　二、企業風險管理

　　（一）全球化企業風險管理發展現狀與趨勢

　　如今的西方多數大中型企業均已實施了不同程度的風險管理。根據德勤2003年的調查，80%以上的世界性金融機構已設立了風險管理師（CRO）工作職位，CRO職位比例居首位的為南美洲金融機構，已達95%，居末位的為亞洲金融機構，僅為29%.在目前歐美的部分金融機構中CRO的職位職能仍然由企業的風險管理委員會行使。普華永道2004年對全球1 400位CEO進行了調查，其中70%的CEO將發展與提高企業的整體化風險管理能力提高到他們當前工作內容的首位。調查還顯示38%CEO認為，企業已經建立了行之有效的企業整體化風險管理體系，另有46%的CEO表示將在1-3年內建立與發展企業整體化風險管理體系。

　　（二）我國企業風險管理存在的問題

　　我國企業風險管理普遍處在比較低的水平上，雖然近年來取得了長足的進步，但就總體而言，與飛速發展的客觀經濟形勢仍不相適應，呈滯后狀態。有人認為，我國企業風險管理落后是因為企業管理者的風險管理觀念比較落后，筆者認為，現在國內大多數企業之所以沒有進行風險管理，是因為缺乏一種與企業整體狀況相適應并指導企業進行風險管理的系統框架。這種框架可以幫助企業在事件發生前預測風險、事件發生時應對風險、事件發生后評估與監控風險。

　　近年來國內外上市公司出現的誠信危機，有力地推動了我國企業風險管理的進程。企業管理當局已經意識到現在的社會也是一個風險全球化的社會。因此迫切需要建立起一套適合我國企業進行風險管理的指導框架。

　　三、風險導向內部審計與企業風險管理

　　（一）風險導向內部審計

　　內部審計的新發展是將評價和管理風險作為重要服務領域。內部審計要檢查財務和經營信息的可靠性和完整性，并做出報告，確定對本組織經營活動和報告有關政策、計劃、程序、法律和條例的遵循情況，評價資源利用的經濟性和有效性，還對組織內部控制的健全性、有效性和遵循情況進行評價等。這正是與我國新出臺的以系統論為基礎的風險導向審計具有相同的思想。因此我們將這種系統的內部審計方法稱為風險導向內部審計。

　　本文所指風險導向內部審計是指內部審計人員在審計全過程自始至終都要關注風險，根據風險度選擇項目，以降低風險為導向，進行內部控制制度的符合性測試、實質性測試，并進行監督檢查和評價，提出建設性意見和建議。其審計報告可以作為提示風險、防范風險以及信息交流的預警信號。因此，風險導向內部審計既是基于降低審計風險，又是為降低企業經營風險，進行風險管理的一種有效工具。

　　（二）風險導向內部審計在企業風險管理中的作用

　　1.幫助企業管理當局了解風險信息。將工作的重點放在重要風險上，使得年度計劃與組織治理層的戰略風險相一致，具體審計計劃與具體經營風險相一致，還運用一定的方法進行風險管理。在實施審計過程中，使治理層隨時了解企業的風險信息，這就可以在風險和機遇中尋求均衡點，使企業在風險來臨時從被動受損到主動控制和排除風險，從而能夠謹慎而又快速地在風險環境中生存、壯大。

　　2.幫助企業管理當局識別與評估風險。以系統論為基礎產生的風險導向審計，要求內部審計人員不但要檢查本企業的風險情況，還要觀察同行業內其他企業的經營情況及整個市場的經營風險水平，站在一個較高的角度識別企業風險。另一方面，在了解了其他企業內部控制程序之后，可對本企業的內部控制制度有全新的認識，更容易評價本企業的內控制度是否合適，并采取更佳的內控制度來管理企業的風險。

　　3.幫助企業管理當局進行風險的管理與協調。從評價各部門內部控制制度入手，在各領域查找管理漏洞，幫助企業管理當局識別并防范風險。企業風險無處不在，不但各部門有內部風險，而且各管理部門還有共同承擔的綜合風險，內部審計人員作為獨立的第三方，可協調各部門共同管理企業，以防范宏觀決策帶來的風險。

　　四、基于風險導向內部審計的企業風險管理框架的構建設想

　　（一）完善內審委員會

　　實施風險導向內部審計對企業風險進行管理的基礎，就是必須具備完善的內審委員會結構。按照國家有關要求，我國國有大型集團、跨國公司和上市公司大都設置了內審委員會，對企業的經營管理活動進行監控；許多中、小型企業還沒有設立相應的內審機構。審計委員會是董事會下設的專業委員會，內部審計人員應該具備專業的知識、較強的業務能力、良好的職業道德水平，并保持其獨立性和客觀性。其職責主要是負責聘任和解聘外部審計師，并輔助外部審計師的工作，解決公司外部審計師與管理層有關財務報告的爭議意見；審查公司財務報告、內部控制和風險管理制度；監督、指導審計工作，協調內部審計與外部審計的關系，為公司董事會使用財務信息及向公眾披露財務信息的真實性和可靠性提供保障。完善的內審機構應該做到成本費用合理、工作過程獨立，才能在風險管理中真正發揮作用。

　　（二）了解外部環境風險

　　企業的外部環境是企業生存的基礎，外部環境變化對企業蘊涵著越來越多的風險。風險導向內部審計要求審計人員不僅要了解本企業的經營情況，還要了解：1.同行業其他企業的經營情況；2.市場波動風險；3.政策環境變動的風險；4.科技進步風險；5.自然災害帶來的風險等外部環境的風險。現代企業的風險管理機制必須要隨時了解環境的變化，并能夠適應環境的變化，有效利用環境的變化，才能得到長足的發展。

　　（三）確定風險容忍度

　　風險容忍度是企業在實現其目標的過程中對差異的可接受程度，是在風險偏好的基礎上設定的對相關目標實現過程中所出現差異的可容忍限度。風險容忍度較大，說明企業承受風險的能力較強，在容忍度范圍內的小風險可以采取通常日常應對措施。內部審計人員可以根據本企業的經營環境、經營規范、資本結構等確定風險容忍度，在風險事件來臨時采取不同的措施加以應對。在市場環境下，企業會面臨各種風險。內部審計人員應結合企業內外環境，找出所有會給企業帶來威脅的風險，并從中確定幾個最主要的風險。再對這幾個關鍵風險進行容忍度的量化分析，確定可以接受的風險范圍。

　　（四）識別風險

　　風險識別是風險管理框架中的關鍵。是對企業潛在的風險加以判斷、歸類和鑒定風險性質的過程。也就是說，從潛在的事件及其產生的原因和后果來檢查風險，收集、整理可能的風險并充分征求各方意見以形成風險監控列表。

　　風險識別首先是對風險進行定性研究，內部審計人員熟悉公司的經營管理過程，以風險分析為起點開展工作，有效識別風險。可以根據自身的實際情況，制定風險管理審計計劃，包括制訂財務風險管理、生產風險管理、市場風險管理、會計風險管理、人事風險管理和其他風險管理審計計劃，確定風險管理審計的位置和背景。最后，審計委員會還要關注已識別風險的完整性，即企業所面臨的主要風險是否均已被識別出來，并找出未被識別的主要風險。

　　其次是對識別出的風險進行定量評估，通過對所搜集的大量的詳細損失資料，應用各種管理科學技術，采用定性與定量相結合的方式，評估風險事件發生的可能性和頻繁度，風險事件的潛在影響及其成本的高低。針對企業制定的詳細風險管理審計計劃，分別評估每一計劃的風險，再綜合各方面因素，確定企業總體風險的大小。風險評估的目的是確定每個風險要素的影響大小，一般是對已經識別出來的風險進行量化估計。在此過程中，內部審計委員會要對已有的評估結果進行再檢驗，以確定其是否恰當，對不恰當的估計予以更正。對于風險缺乏充分的控制措施的情況，提出改進措施和建議，以強化企業的風險管理，降低風險損失。風險分析中不僅要關注風險的數量方面，而且要關注風險的屬性方面或其他承載價值的后果。

　　（五）應對風險

　　根據本企業的風險容忍度，制定風險應對策略：可規避性、可轉移性、可緩解性、可接受性。內審委員會對有關部門針對風險所采取的行動進行檢查，檢查其是否充分、得當。對于風險缺乏充分的控制措施的情況，內審委員會可以根據不同的情況，提出避免風險、接受風險、還是降低風險的具體措施和建議，協助完善風險的反應方案，以強化企業的風險防范管理，降低風險損失。

　　（六）監督風險發展狀況

　　風險不是靜態的，風險的數量和可能性會隨內外部環境的變化而變化，持續的監控對有效地管理風險是最基本的。內審委員會可以通過持續的監控，使企業明確在下一步的風險處理中應當改進的問題。通過這個環節可以明確企業風險管理可以給企業帶來的利益與價值，了解風險評估的正確性，為下次評估提供經驗教訓，明確風險回應決策的有效性，同時還有助于控制成本費用。

　　（七）評價風險帶來的影響

　　一個風險事件結束后，審計委員會應將此次事件所帶來的影響進行歸納、總結，成為以后風險管理的經驗。在風險總結中應包含對以下內容的評價：1.風險識別是否完整；2.風險衡量是否準確；3.應對措施是否有效；4.監控手段是否合理；5.風險事件的后果。經過這個環節，可以總結工作的經驗與教訓，使風險管理框架更加完善。

　　五、結論

　　本文提出企業風險管理框架是一種以風險導向內部審計為指導思想的企業風險管理方法，同時明確了內部審計在風險管理過程中所負擔的職責，為內部審計的發展提供了指導方向。總之，一個理想的建立在風險導向內部審計基礎上的企業風險管理框架能夠有效地控制和管理企業風險，在現有的條件下使企業風險達到最小。隨著我國企業融入經濟全球化的趨勢，企業充分借鑒風險管理框架下的內部審計理論、技術和方法，使企業管理決策更加科學化，增強企業的生存能力與發展能力，實現企業目標的根本保證。