风险管理准则范文

导语：如何才能写好一篇风险管理准则，这就需要搜集整理更多的资料和文献，欢迎阅读由公务员之家整理的十篇范文，供你借鉴。

篇1

关键词:内部控制;风险管理;风险管理审计

中图分类号:F239文献标识码:A

一、我国风险管理审计准则的内容及局限性

随着经济形势发展及我国内部审计自身发展的需要,我国内审也开始重视风险管理内部审计。2005年中国内部审计协会颁布了《内部审计具体准则第16号―风险管理审计》(以下简称风险管理审计准则)并要求于2005年5月1日起实施,该具体准则的出台为我国内部审计人员对组织内部风险管理状况进行审查和评价提供了规范指导。

风险管理审计准则第2条对风险管理做了如下定义:是对影响组织目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的过程。风险管理旨在为组织目标的实现提供合理保证;第6条则描述了风险管理包括的主要阶段:风险识别、风险评估以及风险应对;在该准则的第4条中,还特别强调:风险管理是组织内部控制的基本组成部分,内部审计人员对风险管理的审查和评价是内部控制审计的基本内容之一。

可以看出,该准则所称的“风险管理”是从狭义上理解的风险管理,即风险管理活动的具体实施过程:风险识别、评估及应对。而广义的风险管理不仅包括上述的具体实施过程,还包括其他起辅助作用的要素:内部环境、控制活动以及监督。按目前狭义前提下制定的准则去执行,风险管理审计就会忽略这些起辅助作用的要素,以至于发现不了组织风险管理活动中可能存在的潜在问题。中航油案例就是一个很好的例证。

中国航油(新加坡)股份有限公司(下称中航油新加坡公司)曾聘请国际著名的安永会计师事务所为其编制《风险管理手册》,设有专门的风险管理委员会及软件监测系统,实施交易员、风险控制委员会、审计部、总裁、董事会层层上报,交叉控制,按照《风险管理手册》的规定,任何导致50万美元以上损失的交易将自动平仓。中航油新加坡公司共有10位交易员,损失的最大限额应是500万美元(10×50万=500万)。但是,中航油新加坡公司的衍生品交易最终亏损额高达5.5亿美元,以至申请破产保护。中航油事件的核心问题并不在于市场云谲波诡,而在于该公司从表面上看似乎已实施了风险管理的流程:风险识别、风险评估、风险应对;但缺少对风险管理系统中的其他辅助要素的合理关注,最终导致企业整体风险管理失败。这一案例也再次说明:风险管理不仅仅只包括风险识别、评估及应对,更包括内部环境、控制活动、信息和沟通以及监控;风险管理系统的有效运转依赖于各要素的通力协作,对风险管理不应停留于狭义上的理解;风险管理审计准则应指导内部审计人员从广义上理解风险管理的涵义,全盘考虑风险管理的构成要素及其运作方式,及时有效地发现企业风险管理实践中存在的短板。

二、重新认识内部控制与风险管理的关系

对风险管理审计的认识依赖于企业进行风险管理时所采取的企业风险管理框架或风险模型(用来反映风险管理过程和内容的程序图)。截至目前,已经有如下风险管理模型:1995年澳大利亚-新西兰联合委员会的AS/NZE4360;1998年的加拿大标准委员会模型;1997年全国虚假财务报告委员会下属的发起人委员会(下称COSO委员会)内部控制-整合框架的“目标―风险―控制”模型;2004年COSO委员会的企业风险管理-整合框架(简称ERM框架)模型。风险管理审计准则中出现的问题根源就在于准则中的“风险管理”概念采纳了COSO委员会1997年的内部控制-整合框架中的观点。然而,理论界和实务界还是认为该内部控制框架有些局限性,如对风险强调不够,使得内部控制无法与企业的风险管理相结合。COSO委员会2004年的ERM框架就是在1997年的内部控制-整合框架的基础上,结合《萨班斯――奥克斯利法案》的相关要求扩展得到的。相比内部控制框架,ERM框架在多个方面都有所发展和深化,具体表现在以下几个方面:

1、企业风险管理涵盖了内部控制。增加了新的要素或赋予原有要素新的含义,对内部控制框架下的风险管理要素进行细化,按风险管理的流程划分为:目标设定、事件识别、风险评估、风险反应四个要素。同时,在环境要素中增加了“风险管理哲学”以及风险“偏好”。对比二者的构成要素,可以发现风险管理框架中的目标制定、事项识别、风险评估、风险应对四个要素实质上就是风险管理的流程,也可以理解为狭义上的风险管理。这样看来,内部控制框架与风险管理框架中的要素完全一致。但是系统论认为,系统的性质不仅取决于组成系统的各要素,更依赖于组成系统的各要素的排列方式。在内部控制三个目标的基础上增加了战略目标,并扩大了报告目标的范围,将“财务报告的可靠性”发展为“报告的可靠性”。

2、企业风险管理更加强调管理风险。ERM框架强调在“组合”的基础上考虑风险,考虑风险的集合和风险的交互作用,并在此基础上考虑企业应采取的风险控制措施。在强调风险管理的环境下,ERM框架显然不同于内部控制框架。

总之,ERM框架扩展并详细地阐述了与企业风险管理相关的那些内部控制要素。从企业风险管理要求和实施来看,内部控制是ERM的主要构成部分,但绝对不能等于ERM范畴,ERM的理论和实务都要比内部控制宽泛得多,ERM更适合企业战略风险管理的要求。因此,不能说风险管理审计是内部控制审计的一部分。

三、建议

基于以上分析,要实现真正意义上的风险管理审计,对风险管理审计准则中的风险管理概念的理解就必须建立在广义的基础之上,即采纳COSO委员会(2004)ERM框架中的广义风险管理概念。鉴于内部控制与风险管理二者密不可分的联系,在现行的准则体系下可以协调内部控制审计准则与风险管理审计准则之间的关系,以使风险管理审计准则能得以更有效的实施。

(作者单位:江苏科技大学经济管理学院)

主要参考文献:

[1]中国内部审计协会.内部审计具体准则第16号――风险管理审计.2005.

篇2

关键词：风险导向审计；全面风险管理；内部审计准则

中图分类号：F239.2 文献标识码：A 文章编号：1001—6260（2012）04—0149—07

中国内部审计协会一直致力于建立一套以内部控制和风险管理为导向的内部审计准则体系。但是，由于内部控制与风险管理之间的关系还没有理顺，这直接导致风险导向审计中的风险定位问题存在较大争议。正因为如此，中国内部审计准则中与内部控制和风险管理相关的各审计准则之间的关系也有待进一步明确，譬如：第5号准则《内部控制审计》与第16号准则《风险管理审计》之间是何关系；第12号《遵循性审计》、第21号《内部审计的控制自我评估法》、第25号《经济性审计》、第26号《效果性审计》和第27号《效率性审计》等准则之间及其与第5号、第16号准则之间是何关系。在实务中，内部审计人员也产生了一些困惑：内部控制审计和风险管理审计究竟有何不同？风险导向审计与全面风险管理之间是何关系？因此，有必要在中国内部审计协会修订内部审计准则之际，对这些问题进行探讨①。

一、内部控制与风险管理之间的关系

在2003年6月实施的第5号准则《内部控制审计》中，中国内部审计协会提出，内部控制涵盖风险管理，风险管理是内部控制的五要素之一，并专门制订了《风险管理审计》准则。EOSO（2004）认为风险管理涵盖内部控制，其表述是：“内部控制是企业风险管理不可分割的一部分。”谢志华（2007）认为风险管理与内部控制虽表述不同，但涵义相同。

那么，二者之间究竟是何关系？问题的关键在于认清内部控制的本质。COSO（1992）指出：“内部控制是一个由企业董事会、管理层和其他员工实施的，为经营的效率效果、财务报告的可靠性、相关法律法规的遵循性等目标的实现提供合理保证的过程。”这种将内部控制理解为“一个过程”的做法被2008年5月中国财政部、证监会、审计署、银监会、保监会等五部委（下称“五部委”）的《企业内部控制基本规范》（下称《基本规范》）所采用。但是，“一个过程”的提法只是说明了一个事实，即内部控制是与企业的经营管理活动交织在一起而发挥作用的过程，它并没有给内部控制定性。COSO（1992）对“一个过程”有如下解释：“组织中各单位或各职能部门内部或跨单位或职能部门所实施的经营过程，都是通过计划、执行和监控等基本的管理过程来加以管理的。内部控制是这些过程的一部分，并与它们整合在一起。内部控制能让这些管理过程发挥作用，并对其实施和持续的关联性进行监控。内部控制是一个管理工具，而不是管理的替代品。”从中可以看出，COSO是结合管理过程来论述内部控制过程的，它认为内部控制是管理过程的一部分，是其中履行监控职能的管理工具。

那么，如何理解作为管理工具的内部控制呢？我们需要从管理的职能谈起。法约尔（1982）认为，管理有计划、组织、指挥、协调和控制等五大职能，他指出：“在一个企业里，控制就是要证实一下是否各项工作都与已定计划相吻合，是否与下达的指示及已定原则相吻合。控制的目的在于指出工作中的缺点和错误，以便加以纠正并避免重犯。”美国著名管理学家Robbins（1994）在法约尔五职能说的基础上提出了管理四职能说，即：计划、组织、领导、控制等职能。他认为，控制职能是指监控计划执行、比较分析偏差、纠正错误，确保计划顺利实施。可以看出，COSO对内部控制的解释与管理学中对“控制”的解释并无不同，都指出要保证计划的实施，都提及要对偏差进行监控。这样看来，COSO所讲的内部控制就是管理学中的“控制”。

法约尔（1982）在论述“控制”职能时，就使用了“内部控制”的提法，他说：“这里，我只讨论管理问题，所以就不谈两个企业之间的控制问题了……我着重谈一下企业内部控制，这种控制的目的是专门为了有助于各部门的工作的顺利进行，而总的来讲也有助于企业运营的顺利进行”（法约尔，1982）。可见，法约尔认为在一个企业内部讨论管理中的控制问题，可以用“内部控制”的提法。

以上分析足以证明内部控制就是控制。应该说，我们之所以称“控制”为“内部控制”是相对于外部监管而言的，强调的是企业自身应该重视对其经营管理活动的有效监控。以COSO为代表所开展的内部控制研究丰富和发展了“控制”理论，使我们更深入地了解“控制”在管理过程中发挥作用的方式和内在机理。但内部控制并不是一个独立于“控制”之外的，或与“控制”并列的一个新事物，它就是“控制”。因此，内部控制的本质就是管理职能中的控制职能。

既然内部控制只是一项管理职能，那么只要是管理活动，它就应该涵盖内部控制，因此，COSO（2004）认为风险管理涵盖内部控制是有道理的。自然，内部控制就不可能涵盖风险管理。在中国的《内部控制审计》准则中，将风险管理作为内部控制的一个要素值得商榷。COSO（1992）和中国《基本规范》认为内部控制由五要素构成，即控制环境（内部环境）、风险评估、控制活动、信息与沟通和监控。其中，都用到“风险评估”的提法。而COSO（2004）认为，内部控制由八要素构成，将风险评估要素细化为“目标设定”、“事项识别”、“风险评估”和“风险应对”等四个要素。但是，无论是五要素观还是八要素观，都没有使用“风险管理”的提法。COSO（2004）的标题就是《企业风险管理——整合框架》，其认为，在内部控制的要素中用“风险管理”的提法容易产生歧义，不如用“风险评估”好。

内部控制职能论也可以解释谢志华（2007）关于内部控制与风险管理涵义相同的观点。企业是一个风险组织，不冒风险的企业是不存在的。企业为达成自身目标，要采取有效措施防范和化解其所面临的各类风险。因此，可以认为，企业管理就是风险管理，或是“全面风险管理”。企业在“全面风险管理”之中，要综合运用计划、组织、领导和控制职能。如果侧重于强调控制职能在“全面风险管理”中的重要性，则可以将企业管理称之为“内部控制”。这样看来，内部控制和风险管理是同义语。用内部控制，是从管理职能上来讲的，侧重于强调控制职能的发挥；讲风险管理则是从控制的对象上来讲的，侧重于强调风险控制的重要性。通俗来讲，内部控制，控制的是风险，风险管理，管理的也是风险，二者涵义相同。

二、风险导向审计中的“风险”定位

在风险导向审计方法引入中国后，理论界围绕风险导向审计中的风险定位问题进行了讨论：陈毓圭（2004）认为是经营控制风险（含企业的经营战略及其业务流程）；谢荣等（2004）认为是企业战略风险及相关经营环节风险（统称经营风险）；王泽霞（2004）认为是管理舞弊风险；许莉（2005）认为是指被审计单位的“重大错报风险”；赵德武等（2006）认为是治理系统风险（含公司治理和内部控制）。评述这些观点的立场有三个：一是将企业管理等同于风险管理；二是将内部控制等同于风险管理；三是要区分风险评估的对象和结果。风险导向审计中“风险”定位之争的焦点是审计人员在评估审计风险时，所评估的对象究竟应该是什么。至于评估审计风险后，得出评估对象“重大错报风险”的情况如何则是评估的结果，不能将“对象”与“结果”混淆。基于上述立场，可以将理论界对风险的不同定位统一于“企业全面风险”之中。具体分析如下：

1.经营风险就是企业全面风险

陈毓圭（2004）和谢荣等（2004）所述的经营控制风险和经营风险，实质上就是企业全面风险。他们将风险评估的对象定位为“企业的经营战略及其业务流程”和“企业战略风险及相关经营环节”。从中可以看出，都涵盖了企业战略层面和经营层面的风险，这就是“企业全面风险”。但是，用“经营风险”的提法容易产生歧义，以为仅指企业经营层面的风险，而不包括战略层面的风险，不如用“企业全面风险”好。并且，用“企业全面风险”还可以与“企业全面风险管理”直接对接。这在国资委《中央企业全面风险管理指引》、国际标准化组织《ISO 31000风险管理——原则与指南》、中国标准化委员会国家标准《GB/T 24353—200险管理——原则与实施指南》的背景下，显得更为必要。企业要实施“全面风险管理”，相应地，审计人员风险评估的对象就应该是“企业全面风险”，从而使得审计部门和审计人员在“企业全面风险管理”中发挥应有的作用。

2.管理舞弊风险是企业全面风险的一部分

王泽霞（2004）将风险评估的对象定位为管理舞弊风险。这一观点主要针对管理层财务报表舞弊提出，试图通过重点评估管理舞弊风险来降低审计风险，这一做法只能算是权宜之计。试想，如果迫于法律和监管的压力，管理层不敢进行财务报表舞弊了，那么，管理舞弊导向审计也就没有存在的理由了。从内部审计的角度看，审计的目标不仅仅是“防弊”的问题，而是“防弊、兴利、增值”三大目标。显然，王泽霞（2004）对风险评估的对象界定过窄。按照五部委（2008）《基本规范》中的规定，企业全面风险应该包括：战略风险、合规风险、资产安全风险、财务报告风险、经营风险等。按大类就是两类，即战略层面的风险和经营层面的风险。管理舞弊风险只是合规风险中的一个方面。将风险评估的对象定位为管理舞弊风险只能算是一种审计策略，只是注册会计师在管理层舞弊比较严重的情况下，在审计实务中运用的一种审计方法，不宜将其作为风险导向审计中的“风险”定位。

3.重大错报风险的提法混淆了风险评估的对象和结果

许莉（2005）认为，风险导向审计中的风险，无论是所谓传统的还是现代的，都是指被审计单位可能带来审计风险的风险，在现代风险导向审计中就是指被审计单位的“重大错报风险”。这一提法混淆了风险评估的对象和结果。是否存在重大错报风险是审计人员通过风险评估后进行职业判断的结果。将一个职业判断的结果作为风险导向审计“风险”的定位显然不妥。现代风险导向审计与传统风险导向审计的区分并不在于审计风险模型用“审计风险=重大错报风险×检查风险”取代了“审计风险=固有风险×控制风险×检查风险”，而是强调了“自上而下”和“风险导向”的原则，强调既要有“森林”也要有“树木”。不能就报表而审计报表，要站在企业全面风险管理的视角来看报表。作为风险评估的结果，“重大错报风险”的提法可以运用于注册会计师财务报表审计中。但是站在内部审计的视角，就不仅仅是错报的风险问题，而是企业全面风险的问题。在第17号准则《重要性与审计风险》第十七条中就有规定：“审计风险包括两方面内容：一是重大差异或缺陷风险。是指被审计单位经营活动及内部控制中存在重大差异或缺陷的可能性；——是检查风险。是指审计人员未能通过审计测试发现重大差异或缺陷的可能性。”这里的“重大差异和缺陷风险”可以对应于注册会计师审计风险中的“重大错报风险”，它也是内部审计人员风险评估后的结果。虽然内、外部审计在风险评估的结果上用词不同，但是风险评估的对象都是“企业全面风险”。基于此，建议将第17号准则中的“重大差异或缺陷风险。是指被审计单位经营活动及内部控制中存在重大差异或缺陷的可能性”表述改为“重大差异或缺陷风险。是指被审计单位全面风险管理中存在重大差异或缺陷的可能性”。

4.治理系统风险就是企业全面风险

赵德武等（2006）认为是治理系统风险（含公司治理和内部控制），并指出公司治理是针对企业高层管理人员，而内部控制针对的是企业中低层人员。根据内部控制职能论，公司治理也需要运用控制职能，不可能只是对企业中低层人员的管理才需要内部控制，只要是管理就需要控制。撇开此点不论，赵德武等（2006）的治理系统风险也涵盖了企业全面风险，企业全员参与并受控。一般而言，公司治理主要涉及公司高层管理，那么，可以认为企业管理涵盖公司治理。但事实上，企业管理与公司治理的边界并不清晰，在早期企业中，或者在现代小企业中，一般就叫企业管理，而很少称之为公司治理。只是自1932年伯利和米恩斯发表《现代公司与私有财产》提出“所有权和控制权分离”的命题以来，理论界才逐渐有了公司治理之说，公司治理才逐渐从企业管理中分离出来。但是公司治理从本质上讲仍是企业管理，管理的职能仍然适用于公司治理之中。如果把公司治理泛化，使其包括中低层人员参与的日常管理，则公司治理可以等同于企业管理。赵德武等（2006）采取的正是这一做法，而企业管理就是风险管理。因此，治理系统风险就是企业全面风险。

基于以上认识，风险导向审计中的风险应该定位为“企业全面风险”。相应地，就内部审计而言，风险导向审计是指内部审计部门和人员为有效履行其在风险管理中的职责，基于对企业全面风险的评估，针对重大差异或缺陷风险，制订和实施的一整套审计方法。

三、风险导向审计与全面风险管理的关系

1999年6月，国际内部审计师协会理事会批准了关于内部审计的新定义：“内部审计是一种独立、客观的保证与咨询活动，旨在增加价值和改善组织的运营。它通过应用系统的、规范的方法，来评价和改善风险管理、控制及治理过程的效果，帮助组织实现其目标。”与此同时，《国际内部审计专业实务框架》（IPPF），并于2001年正式实施。新的框架在内容上全面体现了风险导向审计的思想，内部审计进入风险导向审计阶段。2004年9月，COSO《企业风险管理——整合框架》，将其1992年、1994年修订的内部控制框架发展为企业风险管理框架，强调了全面风险管理的重要性。国际内部审计师协会立即做出反应，于当月29日，以立场公告（Position Statement）的形式《内部审计在全面风险管理中的作用》报告，明确指出：内部审计在企业风险管理中的核心作用在于，客观地保证董事会在企业风险管理活动的作用得以有效发挥，为保证关键经营风险被恰当地为管理提供帮助，并保证内部控制系统有效运行。具体包括：为企业风险管理过程提供保证；为正确识别风险提供保证；评估风险管理过程；评估关键风险报告和评价关键风险的管理。

中国内部审计协会从2005年底以来，力推内部审计从“以真实性、合规性为导向的财务审计为主”向“以财务审计与内部控制和风险管理为导向的管理审计并重”的方向全面转型。内部审计应在企业风险管理中发挥作用，为企业提供增值服务，这已日益成为中国内部审计理论界和实务界的共识。

那么，内部审计该如何有效发挥其在企业全面风险管理中的作用呢？如前所述，风险导向审计中的风险应该被定位为“企业全面风险”，这就为内部审计发挥其应有作用找到了切人点，也为风险导向审计与全面风险管理之间的联系建立了内在基础。风险导向审计与全面风险管理存在的联系和区别表现为：

1.二者之间的联系

企业全面风险管理的对象是企业全面风险，而风险导向审计中所评估的风险就是企业全面风险。企业推行全面风险管理是基础，而风险导向审计是保障。风险导向审计通过对企业全面风险的评估，提出进一步改进措施，为全面风险管理的有效实施出谋划策。同时，内部审计部门也可以通过对企业全面风险的评估合理分配审计资源，将审计的重点放在风险较大的领域，从而更好地提供增值服务。

2.二者之间的区别

（1）实施主体不同。全面风险管理是在企业董事会的战略决策和领导下，为实现企业战略和经营目标，由企业管理层组织实施、全员参与的经营管理工作。风险导向审计是在企业董事会的领导下，由内部审计部门组织实施的对企业全面风险管理工作的有效性进行监控的工作。

（2）内涵不同。全面风险管理是一个管理过程，而风险导向审计是一套审计方法。

（3）风险导向审计既以全面风险管理为基础，又具有相对独立性。风险导向审计中的风险评估对象是企业的全面风险。企业管理越规范，开展全面风险管理的水平越高，相应地，内部审计部门开展风险导向审计的基础也越好，对风险的评估会更为准确，审计工作更为有效。但是这并不意味着企业不开展全面风险管理，内部审计部门就无法开展风险导向审计工作。企业管理就是风险管理。因此，无论企业是否推行命名为“全面风险管理”的管理举措，事实上都是在进行风险管理，只不过推行“全面风险管理”会使得企业管理工作更加规范，更能全面识别和防范企业面临的各类风险。风险导向审计作为一种审计方法，不依赖企业是否推行全面风险管理制度而独立存在，这一方法的优点主要有：一是有利于合理配置审计资源；二是能为企业提供增值服务。当然，归根结底是第二点，因为只有通过风险评估找到“重大差异或缺陷风险”，才能合理配置审计资源，才能指出企业风险管理中存在的问题，并提出改进建议，从而为企业提供增值服务。内部审计提供增值服务的对象是企业的管理层，提供增值服务的水平如何体现的是内部审计人员的专业胜任能力。如果企业风险管理水平较差，内部审计人员将会很容易指出企业管理中存在的问题，从而实现自身价值；反之，则对内部审计人员提出了挑战，很有可能难以提出有建设性的意见。这就说明，风险导向审计方法运用的关键在于内部审计人员对企业全面风险管理的认识，而不在于企业推行全面风险管理的实际情况如何。每一个内部审计人员都应该形成一个对所在企业规范的全面风险管理的总体把握，这是开展风险评估的基准线。在此线之下的，就存在差异和缺陷，需要改进。当然，这条线如何定，体现了内部审计人员的专业胜任能力，因此，风险导向审计方法的实施给内部审计人员带来了挑战，其必须具有全面评估企业风险管理状况的水平。这样看来，风险导向审计方法中，内部审计人员对企业风险进行评估时，企业风险管理的标准自存在于内部审计人员心中，并随着企业规模的扩大和业务范围的拓展而改变；其标准只能比企业现行的全面风险管理水平更高，至少不能低，这样才能提供增值服务。因此，风险导向审计具有相对独立性。

（4）二者对风险的评估结果不完全相同。如表1所示，二者对风险的评估结果有四种组合。二者都评价为高，说明这是一个高风险的领域，管理部门和审计部门均认为需要投入更多的资源进行管理和审计。二者都评价为低，说明这是一个低风险的领域，管理部门和审计部门均认为不需要投入更多的资源进行管理和审计。在呈现高低组合的情况下，若风险导向审计评价为高，全面风险管理评价为低，有两种可能：一种是管理人员水平低，应该识别的重大风险没有识别出来；另一种是审计人员水平低，本无风险却认为有重大风险。若风险导向审计评价为低，全面风险管理评价为高，则一种解释与前同；另一种解释是，确实是高风险的领域，但通过管理部门的风险管理，风险降低了，审计人员认为风险管理有效，将其评价为低风险的领域。

风险导向审计与全面风险管理之间错综复杂的关系，使得人们产生了理解上的歧义，有必要对此加以分析。上述研究结论为进一步提出风险管理相关内部审计准则的修订建议打下了坚实的基础。

四、风险管理相关内部审计准则的修订建议

由于现行内部审计准则是以内部控制和风险管理为导向的，所以整个准则体系，从《内部审计基本准则》到《内部审计具体准则》和《内部审计实务公告》，都与风险管理相关。但是，限于篇幅，本文仅探讨其中与风险管理直接相关的几个具体准则，包括：第5号《内部控制审计》、第12号《遵循性审计》、第16号《风险管理审计》、第21号《内部审计的控制自我评估法》、第25号《经济性审计》、第26号《效果性审计》和第27号《效率性审计》等准则。

这些准则可以分为两个层次：一是总体层，包括第5号《内部控制审计》、第16号《风险管理审计》和第21号《内部审计的控制自我评估法》；二是具体层，包括第12号《遵循性审计》、第25号《经济性审计》、第26号《效果性审计》和第27号《效率性审计》。

1.总体层次风险管理内部审计准则修订的建议

首先，第5号《内部控制审计》和第16号《风险管理审计》这两个准则可以合二为一，因为内部控制与风险管理涵义相同，所以不需要分别制订两个准则，可以用一个准则来涵盖这两个准则所包括的内容。也可以考虑为新修订的《内部控制审计》准则制订一个《风险评估》实务公告，将现行《风险管理审计》准则中的内容涵盖在内。

其次，第21号《内部审计的控制自我评估法》与新修订的《内部控制审计》准则之间的关系要理顺。《萨班斯法案》颁布以后，美国上市公司管理层内部控制自我评估和会计师事务所的内部控制审计成为法定要求。依《萨班斯法案》成立的美国上市公司会计监管委员会（PCAOB）先后制订了第2号和第5号审计准则来规范会计师事务所对内部控制的审计。2007年6月的取代第2号审计准则的第5号审计准则命名为《与财务报表审计相结合的财务报告内部控制审计》。同年，美国证交会（SEC）《管理层财务报告内部控制指引》，对上市公司管理层内部控制自我评估进行规范。中国财政部等五部委为加强内部控制监管，也于2010年4月了《企业内部控制配套指引》（含《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》）。

PCAOB第5号审计准则和中国五部委《企业内部控制审计指引》，都是内部控制审计准则，是站在注册会计师审计的立场做出的规范。而SEC《管理层财务报告内部控制指引》则是对管理层内部控制自我评估的规范。与之对应的是中国五部委的《企业内部控制评价指引》，这一指引的正是为了规范审计部门开展内部控制自我评估工作。那么，在中国监管当局已经内部控制相关规范的背景下，第5号准则《内部控制审计》该如何修订？第21号准则《内部审计的控制自我评估法》该如何定位？

在中国五部委《企业内部控制配套指引》后，按要求必须执行的公司，其审计部门每年都要对内部控制进行自我评估，其董事会要据此出具内部控制自我评估报告。内部审计部门进行自我评估的标准就是《企业内部控制评价指引》。因此，中国内部审计协会对第5号准则《内部控制审计》修订时，有必要吸收和借鉴《企业内部控制评价指引》的规定，以便于内部审计人员同时遵循这两个规范的要求。而第21号准则《内部审计的控制自我评估法》则是规范企业内部管理人员进行内部控制自我评估的准则。评估的主体是企业内部管理人员，内部审计部门主要扮演组织者和咨询专家的角色，所以在标题中不宜突出内部审计的作用。建议将题目改为《内部控制的自我评估》，以示与《内部控制审计》准则相区别。同时，在行文中，要避免出现内部控制审计的说法。若有，相关条文也应该直接与《内部控制审计》准则衔接，不宜再行做出规定。

2.具体层次风险管理内部审计准则修订的建议

具体层次风险管理内部审计准则修订主要是要理顺它们与新修订的《内部控制审计》准则之间的层次关系。从层次关系来看，它们与新修订的《内部控制审计》准则之间是主从关系，《内部控制审计》准则居于主导地位，具体层次风险管理审计准则居于从属地位，其相关规定不能逾越《内部控制审计》准则。同时要明确，第12号《遵循性审计》准则是为了防范企业全面风险管理中的合规风险；第25号《经济性审计》、第26号《效果性审计》和第27号《效率性审计》准则是为了防范企业全面风险管理中的经营风险。也就是说，“3E”审计并非游离于《内部控制审计》准则之外，它是《内部控制审计》准则的延伸，是对《内部控制审计》准则中为防范经营的效率与效果风险和合规风险而开展的相关审计工作的具体规范。审计人员在年度内部控制自我评估时，应该运用具体层次风险管理审计准则的要求，全面评估企业风险管理中存在的问题。而在日常审计工作中，则可以就某一部门、某一业务、某一流程、某一项目分别运用《遵循性审计》、《经济性审计》、《效果性审计》和《效率性审计》等准则进行专项审计。

这样看来，新修订的总体层次的风险管理内部审计准则有两个，即《内部控制审计》和《内部控制的自我评估》；具体层次的准则有四个，分别是《经济性审计》、《效率性审计》、《效果性审计》和《遵循性审计》。同时，建议从总体层次到具体层次连续编号，或借鉴中国注册会计师审计准则的编号方式进行分类分层编号。此外，还可以制订几个相关的实务公告，如《风险评估》、《内部控制的自我评估》等。

参考文献：

伯利，米恩斯.2005.现代公司与私有财产[M].甘华鸣，罗锐韧，蔡如海，等，译.北京：商务印书馆.

财政部，证监会，审计署，银监会，保监会.2008.企业内部控制基本规范[S].

陈毓圭.2004.对风险导向审计方法的由来及其发展的认识[J].会计研究（2）：58—63.

法约尔.1982.工业管理与一般管理[M].周安华，林宗锦，展学仲，等，译.北京：中国社会科学出版社.

刘玉廷.2010.全面提升企业经营管理水平的重要举措：《企业内部控制配套指引》解读[J].会计研究（5）：3—16.

王泽霞.2005.论风险导向审计发展创新：管理舞弊导向审计[J].会计研究（12）：49—54.

谢荣，吴建友.2004.现代风险导向审计理论研究与实务发展[J].会计研究（4）：47—51.

谢志华.2007.内部控制、公司治理、风险管理：关系与整合[J].会计研究（10）：37—45.

篇3

【关键词】 高校 风险管理审计 动因 对策

近年来，随着市场经济发展和社会对人才需求的日益旺盛，我国高等学校的办学规模和资金规模迅速膨胀。与此同时，高校经营风险和财务风险也在不断增加，能否对这些风险进行有效的管理和控制，是高校能否持续健康发展的关键。高校风险管理的有效性在一定程度上取决于高校对风险管理工作的监督与评价。因此，内部审计作为高校专司监督职能的机构，在高校风险管理中扮演尤为重要的角色。我国从2005年5月1日起施行的《内

部审计具体准则第16号――风险管理审计》中更是强调了内部审计人员对风险管理进行审查和评价的职责。

一、高校风险、风险管理及风险管理审计的内涵

1、高校风险和风险管理

国际内部审计协会（IIA）2003年版的《内部审计实务标准》将风险定义为，“可能对目标的实现产生影响的事件发生的不确定性”，并指出风险的衡量标准是后果与可能性。这是广义的风险定义。广义的风险观认为，风险既包括正面的风险，即机会；也包括负面风险，即狭义风险。本文中所指的风险就是广义的风险。

对于高校来讲，高校目标是高校期望达到的一种结果状态，但由于相关因素的持续不断的变化，即风险的存在，高校目标的实现具有不确定性。因此，高校的风险可以描述为高校目标不能得以实现的可能性。具体而言，高校中存在的风险主要包括以下方面。

第一，财务风险。如高校资金收支失衡风险和投、筹资等经济活动中未能按期收回投资、实现预期收益以及无法偿还负债等给高校造成的可能损失。

第二，规模化风险。规模化风险是指高等学校根据教育主管部门的安排进行学校之间的合并造成的职工、学生管理以及新校区发展而进行的购地、建设等所产生的风险。

第三，学生教育和管理风险。即指对在校学生进行日常管理和教育过程中，由于受社会和经济环境、师资力量、管理人员素质等因素的影响，学生能否按预定的教学计划培养毕业被社会顺利接受而产生的风险。

第四，校办产业风险。如编造虚假利润、会计监督失控造成的风险，以及校企产权关系不清、日后形成的资产损失难以划清使学校利益受到损失的风险。

至于风险管理的概念，我国内部审计协会2005年的《内部审计具体准则第16号――风险管理审计》中指出，“风险管理是对影响组织目标实现的各种不确定性事件进行识别与评估，并采取应对措施将其影响控制在可接受范围内的过程。风险管理旨在为组织目标的实现提供合理保证。”从上述对风险管理的解释可以看出，高校风险管理的最终目标是为高校目标的实现提供合理保证。

2、高校风险管理审计的内涵

按照《内部审计具体准则第16号――风险管理审计》对风险管理审计的界定，“风险管理审计是指企业内部审计部门采用的一种系统化、规范化的方法，对企业风险管理信息系统和各业务流程进行风险识别、分析、评价及处理的一系列审核活动。”从该定义可以看出，风险管理审计，首先“风险因素”是风险管理审计的出发点和归宿点；“风险管理信息系统和各业务流程”是审计的内容；“系统化、规范化”是审计方法的特征，针对于风险管理活动，作用于组织的战略决策、高层管理和业务循环等各个层次，对其进行评价，进而实现目标。

综观以上观点，高校风险管理审计应该是以风险为考虑核心，采用系统化、规范化的方法，从高校组织战略层次到运营层次，对高校的全面风险管理活动进行监督和评价，提出改进意见，来改善高校风险管理，帮助实现高校战略目标的一系列审计活动。

二、内部审计介入高校风险管理的动因分析

1、高校面临的风险日益增大

近几年，高校在不断深化改革的进程中取得了可喜的成绩。如办学规模不断扩大，学生人数逐渐增加，基础设施得到较大改善。然而，随着经济活动的日趋频繁，管理难度及高校风险也随之加大。因此，高校要正确处理好改革、发展与稳定的内在关系，就必须强化自身风险管理，谨慎地识别各种潜在风险，加强风险控制，并在风险管理方案的制定、执行、评估与监督等方面进行合理分工，以保证风险管理的效率。而在整个风险管理过程中又必然涉及多个部门的沟通和协调，这就需要一个超然、独立的组织机构予以保障。内部审计部门在高校中的超然地位以及独立评估和监督的特殊职能，恰好满足了这一要求，使其能够客观地、从全局的角度出发对风险进行识别，及时建议管理部门采取措施控制风险。因此，高校风险管理必然要将内部审计纳入全面风险管理的框架，贯穿整个风险管理过程，使其在评估组织风险管理过程的充分性和有效性、保证高校风险管理工作顺利开展等方面发挥重要作用。

2、风险管理审计是内部审计功能拓展的内在需要

高等教育领域市场化程度的提高，使内部审计所依赖的内外环境发生了根本性的变化，这些变化使内部审计从最初的以查错防弊为主的财务审计发展到了对风险管理战略测试与评价的风险管理审计阶段，开展风险管理审计成为内部审计功能发展的必然。内部审计的风险管理审计功能主要包括：运用风险管理方法和控制措施，对风险管理过程的充分性和有效性进行检查和评价，提出改进建议，为管理层和审计委员会提供帮助，内部审计人员应负责定期评价风险管理过程。风险管理审计将内部审计在组织中的作用推向一个新的更高层次，也使内部审计进行了重新定位，改变了过去单一的财务监督者角色，将自身的目标确定为向组织提供保证和咨询服务，评估和改善风险管理、控制和治理程序。

3、内部审计在高校风险管理中具有独特的优势

高校风险管理审计的主体可以是国家审计机关，也可以是社会审计组织，还可以是内部审计机构，相比较而言，内部审计机构实施风险管理审计有着得天独厚的优势。

第一，从工作环境来讲，内部审计人员通过参与有关会议或经济决策，能够在日常工作中及时发现、获悉潜在风险和风险管理状况，从而达到实时监控的目的。同时，由于内部审计人员来自于高校内部，对高校环境、经营目标、经营方针等有深刻理解，对于关键、重要的风险领域能够保持持续的关注，故内部审计在风险管理审计中更具连续性和服务性强的特点。

第二，内部审计对加强风险管理、实现高校目标有着更强的责任感和义务感。内部审计作为高校内部治理的重要组成部分，更能从高校整体利益和实际出发，积极主动地实施风险管理审计工作，在帮助高校防范风险、加强风险管理及实现组织目标等方面有着较外部审计机构更强烈的紧迫感和风险意识。所以，内部审计更应该参与到高校的风险管理评价和审查过程中。

第三，内部审计可以控制、指导高校的风险管理策略。内部审计部门处于管理层和各职能部门之间，因而是系统内部相对独立的较高层次的经济监督，能够充当高校长期风险管理策略和各种决策的协调人，通过对风险管理实施过程的监督，可以调控、指导高校的风险管理策略。并且，内部审计部门的建议容易引起重视，可利用其独立性和权威性的特点将风险管理的评价及审查意见直接报告给高校决策层，进而提高高校的风险意识和风险管理效果。

三、高校风险管理审计中存在的问题

从现状来看，风险管理审计在我国有些高校已经起步，但仍处于初步探索阶段，在相当一部分高校中还没有得到施行，高校风险管理审计理论研究方面的工作及成果还比较少，高校风险管理审计的实践仍面临诸多问题。具体表现在以下方面。

1、风险管理审计环境方面存在的问题

第一，法律法规及相关政策尚不完善。我国目前关于风险管理审计的最主要的法规是2005年5月1日开始实施的《内部审计具体准则第16号――风险管理审计》，其他有关风险管理审计的法规政策则相当匮乏。由于缺少相关法律制度的保障和支持，使得风险管理审计工作开展不力，内部审计人员的风险管理审计过程缺乏明确的规范和指导。故不完备的法律法规及相关政策体系，构成了我国高校开展风险管理审计的薄弱环节。

第二，对风险管理审计的重要性认识不足。风险贯穿于组织存在的整个期间及其活动的各个方面，高校内部的所有成员都有包括接受、支持风险管理审计在内的履行防范风险的义务。但大部分高校尚未意识到风险管理审计的重大意义，从而忽略了内部审计机构开展风险管理审计更能促进风险管理的进行，提高风险管理的效果和效率的作用。

第三，高校治理结构及风险管理机制不健全。目前，我国高校存在较为严重的治理结构问题。首先表现在风险管理审计的领导主体缺位，使风险管理审计缺乏组织约束和工作指导；其次表现在绝大部分高校没有单独设置现代意义上风险管理部门，故造成风险管理主体缺失，风险承担的最终主体也不清晰。而且，多数高校未就风险的识别、评估和应对等形成一套完整的风险管理程序机制，使风险管理及其风险管理审计的实施缺乏有效的组织保障和制度支撑。

2、风险管理审计的实施主体方面存在的问题

第一，内部审计人员的素质有待提高。风险管理工作的复杂性决定了内部审计人员知识的全面性，而我国高校内部审计人员知识结构较单一，大多为财会、审计专业的人才，具备风险识别、风险评估和改善等能力，以及能有效履行评价职能、为组织治理提供咨询建议的复合型人才较少，并越来越难以满足现实的发展需要。

第二，内部审计人员的风险管理审计意识不强。目前，大多数内部审计人员对审计工作的认识还停留在监督资金运动、查处不规范行为的层次上，而对于尚未发生的，需要预测、分析和评价，且与组织战略目标的实现密切相关的风险的认识不够、关注较少，这种风险管理意识的淡薄阻碍了风险管理审计工作的开展。

第三，内部审计人员的经验和创新能力不足。风险管理审计是内部审计的一个新兴领域，在我国尤其是高校内部起步较晚，技术和方法都比较落后，又缺乏相应的规章制度和相关的审计工作经验，这对我们内部审计人员开展风险管理审计提出了严峻的挑战。在这种情况下开展风险管理审计，就要求内部审计人员在工作中不断的创新，在实际工作中不断积累工作经验，开拓风险管理审计的新局面。

四、完善高校风险管理审计的对策

1、健全风险管理审计职业化规范

完备的法律法规是保证风险管理审计高效执行的有力保障，风险管理审计职业化规范体系应包括内部审计法、内部审计准则以及相关的法律和规章制度。目前，中国内部审计协会已颁发了《内部审计人员职业道德规范》、《内部审计基本准则》和若干具体准则，上述规范和准则连同《审计署关于内部审计工作的规定》初步构成了我国内部审计的职业规范体系。但与风险管理审计密切相关的仅有《内部审计具体准则第16号――风险管理审计》。因此，我国的内部审计准则体系应借鉴国际内部审计理论的最新研究成果，关注国外先进的风险管理审计理念和方法，结合我国经济发展实际和内部审计现状，打造适合我国国情的风险管理审计体系，规范和保障高校风险管理审计工作，使其得以有效开展。

2、提高对内部审计在风险管理审计中作用的认识

内部审计在高校风险管理审计中具有得天独厚的优势，其作用主要体现在：对整个风险管理过程进行控制，认定并评价管理的充分性与有效性，向管理层和审计委员会报告情况并提出改进管理的建议，以此保证风险管理的有效性。此外，内部审计机构还协助管理层和审计委员会有效履行风险管理职责，并从高校战略、高校运营、高校财务报告和合规性等层面上对风险管理要素进行细划和分解，并提出改进建议。然而，上述作用的充分发挥主要取决于管理层对内部审计的重视和支持程度，以及对内部审计在高校风险管理中角色定位的理解。因此，高校各级领导应树立风险意识，重视风险管理，明确内部审计部门开展风险管理审计的重要作用，并对内部审计重新定位，为风险管理审计提供必要的支持和保障。

3、完善高校组织治理结构和风险管理体制

完善的治理结构是高校风险管理审计工作有效开展的组织基础，因此，应成立校董事会，并在董事会下设置审计委员会，由审计委员会负责对风险管理审计工作的领导，采取定期召开会议的方式，布置和协调风险管理审计工作。同时，内部审计部门要将风险管理审计的工作成果及时向审计委员会或校董事会报告，进而建立风险管理审计汇报制度。此外，高校内部还应成立单独的风险管理部门，就风险的识别、评价和应对等制定风险管理程序和风险管理制度，并通过对校内各单位的内部控制制度、业务复杂性、外部环境影响等风险因素进行评估和打分，确定出风险等级。最后，将评估结果与内部审计部门进行沟通，以便内部审计部门合理配置审计资源，确保对高风险部门优先审计、重点审计和实时监控。

4、提高内部审计人员的胜任能力

第一，改善内部审计人员的结构。我国高校的内部审计人员大多来自会计、审计岗位。因此，在经营管理等业务方面能力有所欠缺，知识结构也不很合理，应该逐步在内部审计机构中配备工程技术、风险管理、法律以及计算机等方面的专业技术人员，使内部审计队伍从由单纯的财务人员构成向具有综合知识和能力的多元化高素质人才结构转变。

第二，加强内部审计人员培训，提高其风险管理意识。市场经济的不断深化，复杂多变的经营环境，使各种风险蜂拥而入。为此，高校内部审计人员应该树立风险意识，掌握风险管理审计的技能，这可以通过对风险管理审计人员进行定期培训的方式实现，如加强内部审计人员对内部控制和风险管理理论的理解，提高其在实际评估操作上的技能，促进内控评审、风险评估等先进审计方法能够真正应用于风险管理审计实践。

（注：本文为中国教育审计学会《高校审计与财务监控机制研究》课题的阶段性成果。）

【参考文献】

[1] 孟焰、潘秀丽：企业风险管理审计研究[J].审计研究，2006（3）.

[2] 冯晶：内部审计参与风险管理的动因及其运作探讨[J].商业经济，2008（9）.

篇4

关键词：煤炭企业；风险管理审计

一、我国企业风险管理审计的现状

1.风险管理审计欠缺可操作性的指导标准。内部审计准则可以规范内部审计机构和人员的执业过程，保证内部审计质量，提高效率。但是由于不同的企业所处的内、外部环境不同，且时时处于发展变化中，风险管理审计工作的深度和力度相差较大。现行的准则过于原则化，只包括了实施风险管理审计的一般注意事项及要点。

2.企业风险意识淡薄，风险管理审计很少开展。当前企业管理人员普遍缺乏必要的风险意识。主要表现在：一是企业的风险管理活动往往是临时性的或间断性的；二是企业未开展风险管理审计，缺乏对风险进行定期而全面的审核和评估。

一般的国有煤炭企业的内部审计人员主要把精力投入到财务数据的真实性、合法性的查证及生产经营的监督上，对一些管理上的漏洞敏感度不够，更谈不上运用风险导向为核心的审计方法来化解和防范内部审计风险。

3.风险管理审计开展的独立性差。目前企业的内部审计的模式主要有五种：①企业董事会领导，如山西大同煤矿；②董事会下设审计监督委员会领导，如山东兖州煤业；③总经理领导，神华渤海湾矿业有限公司；④副经理领导；⑤总会计师、财务主管或主管财务的副总裁领导。内部审计受管理层约束，会产生企业经营活动有关的风险；内部审计机构受总会计师或财务主管的领导，由于缺乏权威性，审计的有效性很难得到保障。

4.审计手段落后，风险管理审计水平低。内部审计部门所进行的风险管理审计是在经营部门所进行的风险管理基础上的再监督。由于风险管理所需要的技术要求较高，如评价阶段可采用的决策分析、可行性分析等，这些特定的技术应用难度大应用少。其次，计算机辅助审计的开发应用还远远落后于财务软件系统。这些都是风险管理审计表现出实施的低水平。

5.缺乏风险管理审计专业人员。首先，由于各种风险因素的增加，审计复杂性增加，对审计人员政策法规水平、专业知识、经验、技能、职业道德等素质要求增强。其次，企业不重视审计人员的后续教育与培训，审计人员不能适应最新审计工作的要求。

二、我国企业风险管理审计存在问题的原因分析

1.研究实践较浅。国家制定准则可操作性差，因为与国外风险管理审计相比，我国对风险管理审计研究开始的较晚，对风险管理审计认识不够，缺少经验，在短时间内制定可操作性工作指南有难度。

2.风险的范围很广，变动性大。风险是一种不确定性，范围较广。如煤炭企业的风险包括外部风险如：国家对煤炭业、电力政策的变化等，内部风险如：法人治理结构的缺陷；风险包含的内容多而杂具有偶然性、不确定性，必须要在充分了解市场及公司内部情况基础上进行风险管理。风险的一系列性质加大了风险管理审计开展的难度。

3.成本考虑。首先，开展风险管理审计需要配备不仅有较好的审计知识更要精通风险管理等专业知识的员工，聘请高精尖人才难度大成本也较高。其次，风险管理审计的开展是在风险管理的基础之上的，风险管理的开展也需要较高的成本。最后，要提高审计效率和审计手段，就要建立良好的信息管理系统，由于每家企业的需求不一致，通用管理系统难以满足需求，个性化系统成本较高。

4.收益期长。由于风险的不确定性，开展风险管理审计工作的收益期较长，且成果较为宽泛而非具体。在风险未发生时，企业所建立风险库看起来并没有作用，不能引起管理者重视。这也就导致了企业风险管理不持久也无定期的监督审核。

三、完善我国企业风险管理审计的具体对策

1.加快制定风险管理审计实务指南。从分析可以看出，企业风险管理审计不能有效实施的首要障碍便是缺乏可操作性指南及必要的研究创新。首先，中国内部审计协会等相关机构应加快制定风险管理审计具体实施细则，例如可将原准则中关于对风险评估方法、风险应对的审查的注意事项具体化，审计风险库、建立风险等级坐标图等。其次，企业应重视风险管理审计在应对新形势各种挑战的作用，提高风险管理的地位，为风险管理审计在本单位的实施制定必要的规章制度。

2.提高企业风险意识，加快开展风险管理审计。由于风险的认识不足，很多大型集团未将风险管理审计纳入内部审计的范围。企业应把风险管理文化建设融入企业文化建设的全过程，大力培育和塑造良好的风险管理文化，如建立风险数据库，及时分析企业内部外部的风险因素。其次，管理层应转变观念，深刻认识风险管理审计应服务于决策，将风险管理审计纳入内审范围，在充分考虑风险的情况下做出关于管理、市场和生产等方面的决策。

3.提高审计人员独立性。实行总经理领导的审计模式，审计不能对管理层的各种行为进行监督，也就无法开展风险管理审计工作。企业应加快建立董事会领导内部审计工作的模式，提高审计人独立性，减少管理层对审计监督的干涉。

4.增强人员素质，提高审计手段。审计人员素质是实施风险管理审计的基础，提高审计人员素质非常关键。首先，定期对审计人员进行培训，提高审计人员的专业技能及职业道德，如聘请高校教授或风险管理审计的专家进行集中培训。其次，内部审计部门可定期召开研讨会。最后，审计监督委员会增加对内部审计工作的指导。审计人员要发挥自身的主观能动性，及时更新自身知识库。

5.加强配合，成本收益相适应。根据分析风险本身具有广泛性及发生的偶然性，要较好的开展风险管理审计，各个部门的密切合作非常必要。企业可以利用畅通的信息系统，连通一条沟通渠道，制定长期计划，抓大放小，用最低的成本取得最大的效益。审计人员可以实时对风险管理部门等部门的工作进行监督，发现问题，提出建议，密切配合，有效的对风险进行管理。

参考文献：

篇5

【关键词】交易账户 市场风险管理 银行账户

近年来，随着我国资本市场、货币市场的发展和利率市场化进程的推进，商业银行的投资和交易业务规模逐渐扩大，市场风险管理在我国商业银行风险管理工作中受到越来越多的重视。尤其是2008年全球金融危机发生以来，市场风险管理进一步成为我国监管机构对商业银行的监管重点之一。交易账户的设立和划分是商业银行市场风险计量和风险资本计提的一项基础工作，中国银监会于2004年的《商业银行市场风险管理指引》明确提出了对商业银行交易账户的划分要求。但由于缺少具体的操作指引和自身在市场风险管理方面的诸多局限，数年来我国中小商业银行在交易账户设立和管理的工作实践中仍然面临着一些理论和实务操作上的困境。

一、交易账户设立的相关监管规定

巴塞尔新资本协议规定，交易账户包括为交易目的或规避交易账户其他项目的风险而持有的金融工具和商品的头寸。记入交易账户的头寸必须在交易方面不受任何条款限制，或者能够完全规避自身风险。而且，银行应当对交易账户头寸经常进行准确估值，并积极管理该项投资组合。中国银监会于2004年的《商业银行市场风险管理指引》沿用了这一表述，并在2004年的《商业银行资本充足率管理办法》中进一步规定，交易账户包括商业银行从事自营而短期持有并旨在日后出售或计划从买卖的实际或预期价差、其他价格及利率变动中获利的金融工具头寸；为执行客户买卖委托及做市而持有的头寸；为规避交易账户其他项目风险而持有的头寸。与此相对，银行账户则为商业银行所有未划入交易账户的表内外业务。事实上，这一对交易账户含义的表述与《IAS39金融工具：确认与计量》以及基于此的我国2006版《企业会计准则第22号：金融工具确认和计量》在对“交易性金融资产”的表述在字面上是基本一致的。

由于2008年国际金融危机中暴露出了市场风险计量方法的诸多不足之处，2009年出台的《巴塞尔协议Ⅲ》加强了对交易账户的监管并对若干模型进行了修正，但并未对交易账户的定义做出实质性的修订；而我国监管机构在《商业银行市场风险管理指引》之后，也未再就国内商业银行交易账户的设立和管理提出更加具体的管理要求。

二、银行监管与会计准则对“交易账户”的划分标准：IAS 39与IFRS 9

2003年12月，国际会计准则理事会IASB了修订后的《IAS 39金融工具：确认与计量》以及相关指导原则，将金融资产划分为以公允价值计量且公允价值变动计入损益的金融资产、可供出售金融资产、持有到期投资和贷款和应收款四类，亦即我们现今所熟悉的“金融资产四分类”。基于与国际会计准则实质性趋同的原则，我国2006版《企业会计准则第22号：金融工具确认和计量》也使用了这一确认和计量方法。其中，前两类资产以公允价值计量。虽然从定义的表述来看，交易性金融资产与市场风险监管规定的交易账户是基本一致的，但可供出售金融资产的特性与交易账户的定义亦有重合之处。因此，虽然表述相似，但银行监管对交易账户划分的要求很难与会计准则建立明确的对应关系。

银行监管当局对交易账户的划分规定主要基于对不同账户的风险管理采用不同的方法以及准确计算市场风险监管资本的需要，若账户划分不当，会影响市场风险监管资本计算的准确程度；若银行在账户之间随意调节头寸，则会为其调整所计算的资本充足率提供监管套利机会。而银行监管当局对交易账户准确估值的要求和对内部模型法的鼓励使用，相对于会计准则为满足会计信息质量要求所强调的前两类金融资产以公允价值计量，在计价方式上也并不存在完全意义上的对应关系。事实上，IAS 39在伊始就受到了众多批评，其焦点就在于公允价值的标准以及公允价值的可能滥用对信息使用者的误导。若以基于会计核算的公允价值变动损益反推交易账户市场风险资本，无疑是不够精确和缺乏足够理论依据的。

篇6

一、我国内部审计的回顾

我国从1983年恢复内部审计制度以来，大体经历了三个阶段。第一阶段1983-1994年，是我国内部审计制度初步建立阶段。主要针对国营企业和大量的行政事业单位制定了一系列法规，基本确立了我国的内部审计制度，使内部审计得到了发展；第二阶段1994一2002年，是我国内部审计立法进一步完善的阶段。1995年7月审计署了《审计署关于内部审计工作的规定》，对原有的规定做了全面修订，并对内部审计的定义、机构设置、职责、权限、审计任务、工作程序、职业道德等作了全面具体的规定；第三阶段从2003年开始，是全面建立健全内部审计法规体系的阶段，将内部审计的对象扩展到国有企业以外的其他企业，并颁布了第一和第二批内部审计准则，为所有类型的企业、事业单位、机关、社会团体等各类组织提供了内部审计实务的指导。

二、我国内部审计的现状与存在的问题

（一）我国内部审计的现状

从2003和2004年已的内部审计准则可以看出，内部审计准则已涵盖了内部审计活动从计划到后续的基本步骤，审计准则与职业道德规范充分借鉴了国际管理理论，特别是最先进的风险框架下的内部审计的基本理念，以风险和控制贯穿所有的准则。同时也考虑了我国特有的社会环境对内部审计的准则的影响，具有科学性、现实性和先进性的特点。许多大中型企业在实践中已运用西方先进内部审计理论，将内部审计的范围扩展到企业管理的各项活动中，内部审计的方式从事后监督评价转向事前预警、防范。

（二）我国内部审计存在的问题

1 内部审计人员的知识结构不合理。目前我国内部审计人员70%以上是财会审计专业出身，具有企业管理活动所要求的管理、法律、金融、工程等方面知识的审计人员较少，不符合复合型高素质内部审计人员的要求。2 内部审计范围小，多局限于对财务活动的审计。审计的重点大多在财务会计报表和相关的经济指标，在改善企业经营管理、加强风险的应对、增加企业经济效益方面还存在欠缺。3 审计方法和手段简单、落后。我国企业在审计项目的选择上主要考虑管理层的意愿，带有很大的盲目性。在审计技术和手段上有相当一部分内部审计人员还不能或不完全能熟练使用计算机开展审计工作。4 内部审计机构大部分是在总经理或副总经理的领导下开展工作，缺乏独立性，直接影响到内部审计人员的客观公正性。

三、风险管理框架下的内部审计

（一）风险管理框架下的内部审计理论

21世纪以来，风险成为企业经营活动中不可忽视的因素。按照COSO的定义：企业风险管理框架是一个在战略决策以及在整个企业中贯穿实施的过程，用于识别影响企业的潜在事件，将风险控制在企业风险偏好的范围内，并为企业目标的实现提供合理的保证。因此，风险管理框架下的内部审计关注的核心是企业的各类风险，而企业的风险是针对目标而言的，内部审计能够直接针对高风险的领域展开工作，根据企业目标判断企业的风险，确定对企业的控制方案，抓住机会以实现各类目标。

风险管理框架下的内部审计是一种综合审计类型。不同于单纯的财务审计、业务审计及管理审计，是融风险管理、公司治理和内部控制审查于一体，更关注企业在整个治理过程中的决策风险和经营风险。内部审计的职能从监督和评价转变为确证和咨询。确证是根据客户的标准、要求对特定领域进行评价并提供其需要的信息，能够改善决策与提高决策的科学性。咨询则是直接作为专家顾问参与经营活动，改善客户的经营和财务状况。通过内部审计可以促进公司治理和内部控制的整合。风险管理框架下的内部审计除了对公司治理和现代内部控制发挥各自的作用外，还能成为沟通二者的渠道，促进公司治理与现代内部控制的协同与整合，有利于各类企业外部受托责任与内部受托责任的统一。

（二）内部审计在风险管理过程中的作用

1 内部审计在公司尚未建立风险管理的过程中，应积极向管理层提出建立风险管理过程的相关建议。如果公司尚未建立风险管理过程，内部审计人员应该提请管理层注意这种情况，并同时提出建立风险管理过程的相关建议。内部审计人员长期立足于本企业的具体岗位，比较熟悉公司的业务并能够随时深入到生产经营的全过程去了解掌握具体情况，通过周密详细的审前调查，收集到大量的第一手资料，从中发现存在风险的隐患问题，并对其进行风险分析，从而制定出全面且符合实际的审计工作计划，提高工作效率。

2 内部审计可以通过咨询服务的方式协助公司建立风险管理系统。风险管理是一个复杂的系统工程，在一个组织内部应当明确职责分工，各司其职。董事会负责制定战略目标，高层领导各负责一个方面的风险管理责任，其他管理人员由管理层分配给一部分工作，操作人员负责日常监控，而内部审计人员则负责定期评价和保证工作。如果管理层提出建立风险管理系统的要求，内部审计部门可以协助，但不能超出正常的保证和咨询范围，以免损害独立性。内部审计师可以促进、协助风险管理系统的建立，但不负风险管理的责任。

3 内部审计通过将风险管理评价作为审计工作的重点，以体现检查、评价风险管理过程的充分性和有效性。内部审计主要从两个方面评估风险管理过程的充分性和有效性。一是评价风险管理主要目标的完成情况。主要表现在评价公司以及同行业发展情况和趋势，确定是否可能存在影响企业发展的风险；检查公司的经营战略，了解公司能够接受的风险水平；与相关管理层讨论部门的目标、存在的风险，以及管理层采取的降低风险和加强控制的活动，并评价其有效性；评价风险监控报告制度是否恰当；评价风险管理结果报告的充分性和及时性；评价管理层对风险的分析是否全面，防止风险的措施是否完善，建议是否有效；对管理层的自我评估进行实地观察、直接测试，检查自我评估所依据的信息是否准确，以及其他审计技术；评估与风险管理有关的管理薄弱环节，并与管理层、董事会、审计委员会讨论，如果接受的风险水平与公司风险管理战略不一致，应进行报告。二是评价管理层选择风险管理方式的适当性。由于各个公司的文化氛围、管理理念和工作目标不同，风险管理的实施也有很大差别。每个公司应根据自身活动来设计风险管理过程。一般来说，规模大的、在市场筹资的公司必须用正式的定量风险管理方法；规模小的、业务不太复杂的公司，则可以设置非正式的风险管理委员会定期开展评价活动。内部审计人员的职责是评价公司风险管理方式与公司活动的性质是否适当。

4 内部审计应积极持续地支持并参与风险管理过程，对风险管理过程进行管理和协调。现代企业制度下，公司建立了全面风险管理，内部审计因此能够担负起风险管理的职能。首先，内部审计从评价各部门的内部控制制度入手，在生产、采购、销售、财务会计、人力资源管理等各个领域查找管理漏洞，识别并防范风险，做出相关评价。其次，内部审计可以深入到企业管理的极细微的环节查找问题，分析其合理性。内部审计人员更多的是以风险发生可能性大小为依据，深入到经营管理的各个过程，查找并防范风险。再次，内部审计在部门风险管理中还起着协调作用。不仅各部门有内部风险，而且各管理部门还有共同承担的综合风险，内部审计人员作为独立的第二方，可协调各部门共同管理企业，以防范宏观决策带来的风险。

四、结束语

在建立以市场经济为导向的现代化、科学化的企业管理的要求下，借鉴西方内部审计先进理论和技术是我国内部审计的必然选择。随着我国经济日益融入全球化的趋势，我国各类企业应充分借鉴风险管理框架下的内部审计理论、技术和方法，实现管理决策的科学化，增强企业的可持续发展能力。

[参　考　文　献]

[1]高延冰，纪红梅 内部审计的国际发展及对我国的启示[J] 山东经济，2003，（1）。

篇7

内部审计与企业风险管理有着紧密的联系，风险管理是公司治理的核心；内部审计作为公司治理的自我调控机制和内部控制的重要组成部分，是解决信息不对称的重要措施，与风险管理密不可分。而随着风险管理导向内部控制时代的来临，内部审计的工作重点也发生了变化，现代内部审计除了关注传统的内部控制之外，更加关注有效的风险管理机制和健全的公司治理结构。在风险导向内部审计的观念下，风险管理成为组织发展的关键，促使内部审计的工作重点不仅是测试控制，而且包括确认风险及测试管理风险的方法。由于内部审计的自身特点，其参与风险管理拥有一定的优势。内部审计机构和人员熟悉本单位情况，对企业面临的风险更了解；内部审计机构和人员是企业内部成员，其利益同企业的发展和兴衰密切相关，对防范企业风险、实现企业目标有着更强烈的责任感；内部审计机构不同于其他部门，不从事企业具体业务，其职能独立于业务管理部门，可以跳出业务各环节的圈子，从全局出发、综合客观地对风险进行识别和评价，采取有效的风险控制措施。在现代企业经营管理中，随着内外部环境的变化，各种风险因素增多，内部审计工作在改进风险管理和完善企业治理机构等方面将发挥更加积极的作用；同时，内部审计也被赋予了更多的职责和使命。近年来，在美国发生的财务造假案导致了安然世通等跨国大公司的破产，同时也导致了安达信这样一个有着90多年历史的世界级会计师事务所退出了历史舞台。在我国也曾出现“银广厦”、“蓝田股份”、“亿安科技”等坑害中小股民的事件。所有这些事件的发生，在全球引起了各方对民间审计机构诚信问题的探讨，同时也触动了人们对企业内部控制的进一步思索。

2内部审计在企业风险管理中的作用

2．1在确定风险管理范围过程中的作用

内部审计能从全局的角度出发，相对独立客观地对企业风险管理范围的合理性做出评价。同时，内部审计应对确定风险范围的方法、标准及体系进行评价，以确定其是否充分合理、健全有效。内部审计还应关注管理层和审计委员会对风险的接受水平，并对风险范围的涵括权衡轻重，确定其是否考虑周密且符合重要性及成本效益原则。

2．2在企业风险识别和分析过程中的作用

内部审计对公司的业务流程和经济管理比较熟悉，有条件和优势评价风险管理组织对风险的识别，确定风险归类的正确性，识别风险是否全面、风险分析方法是否适当。内部审计可以采用各种风险分析方法对企业内部和外部的风险要素、征兆、可能性、性质、后果及频率进行识别分析，然后判断风险管理层是否对主要风险均已识别和分析，并充分考虑风险可能造成的影响，为进行风险的评价奠定基础。

2．3在企业风险评价过程中的作用

内部审计应首先对风险性质及程度的衡量界定进行评价，这关系着进行风险处理的依据是否可靠；其次应对管理层的风险管理政策与程序的适当性、执行的有效性评价，找出需要修改完善的地方，为各级管理层提供审计专业意见。风险评价可以采用风险当量法、蒙特卡罗模拟法及专家打分法等等。

2．4在企业风险处理过程中的运用

企业根据对风险的性质的判断，分别采用相应的战略措施和方法来进行风险处理，以降低和抑制风险损失，获取风险收益。内部审计在风险处理中发挥的作用，直接反映在审计成果中，是审计价值的重要体现，因此是相对重要的一个环节。内部审计主要应结合企业内外综合因素，分析评价风险处理方法措施的合理有效性，并提出意见或建议。

2．5在企业风险反馈过程中的作用

风险管理是一项系统性工程，要求各种有关风险的信息在组织、部门和人员之间有效沟通传递和交流协调，信息传递交流的畅通与否关系着企业决策的正确性以及思想行动的一致有效性。内部审计通过评价信息可以确定并建议修补风险监督反馈系统中存在的漏洞，促进风险管理系统的有效和完善。内部审计也能从另一个角度将内部控制健全性和风险管理有效性等方面实际存在的风险信息反馈给公司治理参与者，实现风险信息的良性循环，为风险管理提供有效的决策依据。同时内部审计应重视后续审计在反馈中的再作用。

3内部审计参与企业风险管理法的途径

3．1提高内部审计的地位

提高管理者对内部审计工作重要性的认识是加强企业内部审计工作的重要保证，要使管理者充分认识到内部审计的重要作用，为内部审计提供必要的工作条件和地位保证，大力支持内部审计工作，使内部审计人员由原来的“内部警察”变成“管理人员的顾问、咨询者”，加强内部审计人员与其他部门的配合和沟通，不仅使其运用先进的方法来有效地开展风险审计，而且通过使其充当风险管理的顾问或咨询者，增强企业内部各级管理者的风险意识和风险管理能力促使和帮助更多的人有效地参与风险管理使企业风险管理的潜力得到充分发挥。

3．2壮大内部审计人员队伍

内部审计要想参与企业的风险管理审计人员中除了要有财会专业的人员，还需要风险管理人员、信息技术人员等。为了满足企业风险管理的需要，企业的内部审计部门要改变以往的人员结构，积极吸收相关专业的人员加入内部审计部门，增强内部审计部门的实力。为此，一方面可以从人才市场上招聘新的员工；另一方面，可以在企业现有人员中吸收新的力量，这样也可以达到节约成本的目的。

3．3提高内部审计人员的素质

（1）培养基础人才。现在我国很多高校设置了审计专业，但大部分审计专业的学生更注重对会计、独立审计知识的学习，对内部审计知识的学习重视不够；同时也缺乏对数学、管理、信息、风险等知识的学习。为了适应内部审计的发展需要，尤其为了推动我国风险审计的顺利开展，在加强内部审计知识学习的同时，也要加强交叉学科知识的学习，培养更多的复合型人才。

（2）加强内部审计人员的后续教育。企业管理部门应积极组织内部审计人员学习风险管理知识，积极参与有关部门组织的风险管理知识的培训，增加内部审计人员风险管理方面的知识。

（3）企业内部审计人员也要增强自身的学习意识，加强知识的积累，中国内部审计协会已将IIA在国际上举办的国际注册内部审计师考试引入我国，内部审计人员可以参加国际注册内部审计师考试，提高自身水平。

篇8

关键词:商业银行;合规风险;嵌入式管理

近年来，我国银行业暴露出的重大违规事件比比皆是，银行业的财政和声誉损失严重。究其主要原因是我国的银行业没有将合规视为重要的风险管理，合规风险并不是银行业关注的重点风险。如今大量的银行合规风险事例的出现，合规风险引起了银行业的重点关注。我国银行业必须要认真分析和研究自身所面临的合规风险，并认真加以解决。

一、准确把握合规风险管理的内涵及意义

合规，是指使商业银行的经营活动与法律、规则和准则相一致。合规风险是指银行因未能遵循合规法律、规则和准则，而可能遭受法律制裁或监管处罚、重大财务损失或声誉损失的风险。合规风险管理的任务正是及时发现并制止风险产生以及由此造成的破坏。有时，合规风险也指诚信风险，因为银行的商誉有时与其一贯遵循的诚实廉正原则和公平交易原则密切相关。为了满足监管当局的监管要求，银行必须采取有效的合规政策和流程规定，以确保在违反法律、规则和标准的情形发生时，银行管理人员能够采取适当措施予以纠正。

合规是银行业及相关及融机构的一项核心风险管理活动，健全、有效的合规风险管理机制，是实施以风险为本监管的基础。合规风险贯穿于银行业务的全过程，涉及银行各层次的所有员工，随时、随处都可能会产生合规风险，只有银行管理好自身的合规风险，监管机构的合规性监管才可能有效。就银行而言，违规经营、道德风险是长期困扰和制约银行稳健发展的主要因素，根源就在于我国的银行业一直没有将合规视为风险管理的一项活动，更没有将合规作为一个重要的风险源来管理，长期以来合规一直不是银行重点关注的风险领域。因此，银行就要转变观念。银行主动避免违规事件发生，主动发现并采取适当措施纠正已发生的违规事件，其岗位手册也是一个相关制度和相应做法持续修订的周而复始的循环过程。这一合规风险管理的过程，是构建银行有效的内部控制机制的基础和核心。合规与银行的成本与风险控制、资本回报等经营的核心要素具有正相关的关系，合规能为银行创造价值。

二、当前我国商业银行合规风险管理存在的问题

(一)合规风险管理没有引起足够重视。一是多数银行都是重业务拓展，而轻合规管理。二是重事后管理，轻事前防范。三是重执行层操作人员管理，轻管理层人员约束。

(二)合规风险管理机制有待进一步完善。一是合规管理没有完善、垂直的合规风险管理体制还没有完全形成。一些银行特别是中小银行，还没有成立独立的合规风险管理部门来对合规风险进行统筹管理，还没有形成横向到边、纵向到底的全面和全方位的合规风险管理架构。二是合规风险管理职责分散。目前有的中小银行合规性管理分别由财会、信贷不同的业务部门进行自律监管，这种自立门户、各自为政的合规管理模式，使得合规风险管理不能有效地独立于经营职能，同时由于缺乏专门的管理部门进行统一组织协调，使得合规风险管理有的部门重叠，形成重复管理，有的职责不清，出现管理真空。

(三)合规风险管理法规制度可操作性不强。目前，合规风险管理还不能完全适应防范和化解金融风险的需要，不能适应银行审慎经营和银行业监管的需要。有的银行内部缺乏一整套统一完整、全面科学的合规风险管理法规制度及操作规则，不少制度规定有粗略化、大致化、模糊化现象，缺乏可操作性。同时合规风险管理的激励约束机制不健全，奖励力度较小，惩罚措施较轻。

三、实施合规风险嵌入式管理，提高银行业抗风险能力

通过全面引进合规风险嵌入式管理模式，努力提高风险管理的及时性和有效性，使商业银行的合规管理实现岗、责、人相匹配，以促进内部相互制衡机制有效发挥作用，使全行风险管理能力与经营发展实现整体协调与匹配，为“平安银行”建设提供更为有效的合规保障。合规风险嵌入式管理，是以流程和岗位责任为基础，在业务流程的相关环节中落实相关法律、规则、准则和本行规章制度的要求与规定，随流程落实内控，提高过程控制能力和人员执行力，系统地提升合规风险管理体系有效性，从而有效解决和纠正在经营中有章不循、内部管理规章制度和操作流程执行不力而导致的合规失效问题。

(一)要在合规风险管理中嵌入合规文化建设。如果银行上下都严格遵守高标准的道德行为准则，那么该银行合规风险的管理是最为有效的。董事会和高级管理层应采取一系列措施，推进银行的组织文化建设，促使所有员工(包括高层管理人员)在开展银行业务时都能遵守法律、规则和标准。银行在组建内部的合规部门时，应遵循巴塞尔银行监管委员会所规定的原则，而合规部门则应支持管理部门推进以职业操守为基础，建设蓬勃向上富有活力的合规文化，从而促进形成高效的公司治理环境。建立一整套有效管理各类风险的职业行为规范和做事方法;而且在银行内部，要形成浓厚的合规文化，做到人人合规。所有员工都要有足够的职业谨慎、具有诚信正直的个人品行以及良好的风险意识和行为规范;银行内部要具有清晰的责任制和问责制，以及相应的激励约束机制，形成所有员工理所当然要为他从事的职业和所在岗位的工作负责任的氛围，进而逐步形成合规文化，这对于银行有效管理包括合规风险在内的各类风险至关重要。

(二)要在合规风险管理中实行流程程序性嵌入。在流程构造工作中，同步将法律、规则、准则和本行规章制度的相关要求，嵌入于业务流程的相应环节，以此进一步明确岗位职责，强化岗位约束，确立岗位权威和流程操作的严肃性，引导、约束各层级管理人员不断提高风险管控能力，大力提高每一位员工对具体业务流程操作的合规自律意识、规范操作责任与水平，进而加强流程风险的全程监控和管理。通过各级机构、各业务条线和全行的工作，确保法律、规则、准则和本行规章制度得到有效遵守，使本行避免遭受法律制裁、监管处罚和声誉损失;在具体工作中，不仅以防险、查险为要务，更要注重发挥专业所长，从排险角度，对虽存在隐患或瑕疵但具有较高营销价值潜力的具体业务，提出和给予正面的建议、顾问和协助。特别是在合规管理需要与业务发展需要发生冲突时，要按照“风险是否可控、效益是否可测”原则加以处理，帮助业务部门从防范风险、优化方案、整合流程等方面积极加以改进。

(三)构建综合管理体系，提高合规建设水平。构建业务合规制、岗位责任制和守规监督考核制三位一体的管理体系，明晰各业务流程中主要操作环节的风险提示、准入条件、限制条件、禁入条件、预警信号、问题与危机处理等基本要求及退出条件等，使合规要求与相关业务线条、运作单元和岗位职责形成映射关系，促进经营运作与管理实现“操作循制度、过程可控制、结果有考核、违规有处罚”，为建立长效的遵章守制工作机制奠定基础。职能管理部门从实践层面上，为合规部门优化本行之“规”提供参考信息和意见，力求在制度的设计环节上，就充分考虑前瞻性、可操作性和整体性，消除制度设计本身的缺陷。对重要制度的实施，还要充分考虑试点工作，并根据运行情况及时补充完善，使制度设计既“合规”更具可操作性。

篇9

【关键词】中小型担保公司信用风险评估模糊综合评估

一、引言

在金融风暴影响下，我国经济和金融业受到了巨大冲击，中小型担保公司面临的风险日益突出。与大型担保公司相比，很多中小型担保公司从业人员缺乏从事担保业务的知识、经验，对担保对象不能准确判断，或风险意识淡薄，不利于对复杂金融市场环境下的风险进行有效控制。建立预警机制和应急保障体系，健全风险管理机制，规避信用风险已成为中小型担保公司目前所亟待解决的重要问题。

二、担保公司信用风险管理体系框架构建

在中小型担保公司实际运作过程中，既希望不断签单，提高资金的利用率，又希望对系统性风险进行有效控制，实现收益最大。然而，无论是政策性信用担保还是商业性信用担保，风险管理能力都是担保机构最核心的竞争力。尤其是商业性信用担保则完全要依靠自身的能力来获得生存和发展。可见，风险管理是大部分中小型担保公司的第一要务，决定了其生存和发展的能力。因此，建立一套完善的信用风险管理体系，为担保公司的整体风险控制提供有效支撑则显得尤为重要。担保公司信用风险管理体系框架如图1所示。

目前，很多文献都对担保公司信用风险的风险源（即风险识别部分）以及风险的应对措施进行了分析论述，但在风险分析过程中定量地对风险防控能力进行评价的研究还相对较少，不能给各担保机构以真正的辅助决策，在一定程度上制约了各中小型担保公司风险防范能力的准确性。因此，对定量的风险评估则需要进一步分析研究。

三、担保公司信用风险评估方法研究

（一）风险评估方法概述

作为一门理论和实用性都很强的工作，风险评估通过充分利用各种定量方法对风险进行评价以判断风险大小，为风险管理提供重要依据。目前，常用的风险评估的方法包括：蒙特卡罗法、模糊综合评价法、灰色预测法等。这些方法各有特点，可以针对不同规模的担保公司、不同金额的担保业务分别进行应用。

（二）评估指标体系的确立

一般担保公司对信用担保业务的风险评估主要从担保企业（含项目）和反担保措施两个方面进行评估，因此，在进行评估指标体系构建时需同时考虑这两个方面的内容。按照模糊评价指标体系建立应遵循的科学性、代表性、全面性、可行性和系统性等原则，建立了评价中小企业信用风险评估的指标体系，如图2所示。

图2 担保公司信用风险评估指标体系

该体系共分目标层.准则层和指标层三个层次。目标层主要为中小型担保公司需要进行担保的项目风险，这是第一层次。准则层由项目背景、反担保措施两大部份组成，这是第二层次。指标层企业行业特点、竞争能力、偿债能力、资产质量、盈利情况等指标组成，这是第三层次。

（三）基于模糊综合评估的信用风险评估方法

模糊综合评判原理简单，适于对受多因素影响的项目进行评价，尤其是对人才短缺、人员行业能力不是十分强大的中小型担保公司进行担保业务的风险定量研究时更为合适。因此，本文选择模糊综合评判方法对风险进行评估。

1.建立权重集

假设准则层对目标层的权重为,且，。同样，指标层对准则层的权重，，且。

2.建立评价集

作为对评判对象可能做出的各种评判结果所组成的集合。假设强度由高到低为强、较强、一般、较弱、弱，则评价集为：，则表示程度。

3.一级模糊综合评判

对准则层各评价指标建立模糊评价矩阵，通过指标层评价准则层分类因素指标，若单独考虑，评判其类属于第m个评语的概率为，得到模糊评价矩阵。

由得到准则层的各指标的一级模糊综合评价结果。

4.二级模糊综合评判

二级模糊综合评判的结果为：

5.确定评价结论

对作归一化处理，根据最大隶属原则，评定中小企业信用风险的高低。

四、总结

作为高风险行业，信用担保业能否有效地防范与控制担保风险决定着担保机构能否可持续发展。中小型担保公司因各种原因致使在信用风险的评估方面存在很大不足。因此，就需要不断探索信用风险评估方法，提高自身的风险管理能力。在此基础上，中小型担保公司还应利用网络实现企业信用等信息储备，提高信用风险评估的可信度和可行性。

参考文献

[1]李蔚等.中小企业信用担保机构综合风险预警系统研究[J].科研管理，2007（3）.

[2]熊笑坤.中小企业信用担保机构风险分析及防范[J].河北金融，2007（1）.

[3]张志斌.中小企业信用担保机构风险分析及对策[J].河北经济，2009（10）.

篇10

「关键词　企业风险　风险管理　风险管理审计

由于各种不确定性因素，企业面临着各种风险，能否对风险进行有效的管理和控制，是企业能否生存发展、实现企业预期目标的关键。企业风险管理的有效性在一定程度上取决于企业对风险管理工作的监督和评价。因此，无论是国际内部审计师协会对内部审计的定义，还是我国的内部审计准则都强调了内部审计在企业风险管理中的重要性。我国从2005年5月1日起施行的内部审计具体准则第16号———《风险管理审计》中更是强调了内部审计人员对风险管理进行审查和评价的职责。

一、企业风险及风险管理的内涵

进行企业风险管理审计，必须明确企业风险及风险管理的内涵。否则，企业风险管理审计便无从谈起。

1 企业风险的实质

首先，风险产生于不确定性因素的存在，如果企业运行的内外环境是确定的，则不存在企业风险。其次，企业运行环境的不确定性带来了企业运行结果的不确定性。一般来说，我们更注重企业的运行结果，对预期结果的实现与否及可实现程度的大小成为了衡量企业风险大小的现实标准。因此，可以认为，企业风险则是企业运行结果偏离期望结果的可能性。笔者认为，企业目标是企业期望达到的一种结果状态，但由于相关因素的持续不断的变化，企业目标的实现存在不确定性。因此，企业风险可以描述为企业目标不能得以实现的可能性。

2 企业风险的划分

企业风险可以按多种标准进行分类。笔者认为，既然将风险定义为企业目标不能得以实现的可能性，那么，企业风险可以按照企业目标的不同层次来理解和划分，并可将其相应划分为：

（1）企业的战略风险是指企业战略目标不能实现的可能性，主要包括：由于对有关影响因素的分析不够充分或对未来的变化没能合理预计而带来的企业在总体战略选择环节的失误风险；由于企业的具体战略选择失误而带来的风险，包括企业经营领域的选择风险、企业并购风险等。

（2）企业日常经营管理风险是指企业具体经营目标不能实现的可能性，又可以划分为企业经营环节的作业链风险，如企业供、产、销等环节的风险；企业的人事风险，如由于人员任用、授权、业绩评价等方面的缺陷带来的风险；企业的信息风险，如企业信息系统风险等。

（3）财务风险。狭义一般是指由于企业筹措资金而形成的风险，并主要是指企业由于举债而形成的风险，也可称之为筹资风险。按照本文对风险的定义，即企业目标不能实现的可能性，则企业的财务风险是指企业财务活动目标不能得以实现的可能性，包括筹资风险、资金投放的风险及企业其他财务活动风险，我们可以称之为广义的财务风险。

3 企业风险管理

COSO于2004年颁布的《企业风险管理框架》中指出“企业风险管理是一个过程，它由董事会、管理当局和其他人员执行，应用于战略制订并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在风险容量之内，并为主体目标的实现提供合理保证。”

我国内部审计协会2005年的内部审计具体准则16号—《企业风险管理审计》中指出“风险管理，是对影响组织目标实现的各种不确定性事件进行识别与评估，并采取应对措施将其影响控制在可接受范围内的过程。风险管理旨在为组织目标的实现提供合理保证。”

从上述对风险管理的解释可以看出，企业风险管理的最终目标是为企业目标的实现提供合理的保证。

二、企业风险管理审计的目标

对企业风险管理进行监督和评价是现代内部审计发展的结果，企业风险管理审计的目标取决于对企业内部审计的功能定位。

从西方企业内部审计的产生和发展过程来看，内部审计是随着经济的发展，企业内部管理层次的增多和控制范围的扩大，基于企业内部经济管理与监督的需要而产生的，并随着管理的需要而不断发展。随着内部审计的不断发展，内部审计的目标也在不断地变化，其中以国际内部审计师协会（IIA）对内部审计所下定义的变化最具有代表性。国际内部审计师协会（IIA）理事会指出内部审计是一种独立、客观的保证和咨询活动，其目的是增加组织的价值和改善组织的经营。

我国的内部审计不是在企业内部管理需要的动因下发展起来的，而是在政府的要求下，在国家审计部门的推动下建立起来的。1993年国家审计署成立，为了尽快建立和完善审计体系，补充刚刚复兴的国家审计力量的不足，政府和政府审计机构都极力敦促内部审计的组建。但随着我国经济体制的不断改革发展，企业内部审计越来越受到各方面的重视，对内部审计的理解也发生了较大的变化。我国的内部审计基本准则指出：内部审计是组织内部的一种独立客观的监督和评价活动，它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现。

从内部审计的发展过程可以看出，企业内部审计的目标在于帮助企业实现目标。企业内部审计的目标决定了企业风险管理审计的目的在于：通过内部审计机构和人员对企业风险管理过程的了解，审查并评价其适当性和有效性，提出改进建议，促进企业目标的实现。

三、企业风险管理审计的内容

风险管理包括组织整体及职能部门两个层面。内部审计人员既可对组织整体的风险管理进行审查与评价，也可对职能部门的风险管理进行审查与评价。因此，笔者认为企业风险管理审计应当包括以下方面的内容：

（一）风险管理机制的审查与评价

企业的风险管理机制是企业进行风险管理的基础，良好的风险管理机制是企业风险管理是否有效的前提。因此，内部审计部门或人员需要审查以下方面，以确定企业风险管理机制的健全性及有效性。包括：

1 审查风险管理组织机构的健全性。企业必须根据规模大小、管理水平、风险程度以及生产经营的性质等方面的特点，在全体员工参与合作和专业管理相结合的基础上，建立一个包括风险管理负责人、一般专业管理人、非专业风险管理人和外部的风险管理服务等规范化风险管理的组织体系。该体系应根据风险产生的原因和阶段不断地进行动态调整，并通过健全的制度来明确相互之间的责、权、利，使企业的风险管理体系成为一个有机整体。

2 审查风险管理程序的合理性。企业风险管理机构应当采用适当的风险管理程序，以确保风险管理的有效性。

3 审查风险预警系统的存在及有效性。企业进行风险管理的目的是避免风险、减少风险，因此，风险管理的首要工作是建立风险预警系统，即通过对风险进行科学的预测分析，预计可能发生的风险，并提醒有关部门采取有力的措施。企业的风险管理机构和人员应密切注意与本企业相关的各种内外因素的变化发展趋势，从对因素变化的动态中分析预测企业可能发生的风险，进行风险预警。

（二）风险识别的适当性及有效性审查

风险识别是指对企业面临的，以及潜在的风险加以判断、归类和鉴定风险性质的过程。内部审计人员应当实施必要的审计程序，对风险识别过程进行审查与评价，重点关注组织面临的内、外部风险是否已得到充分、适当的确认。笔者认为应当包括以下内容：

1 审查风险识别原则的合理性。企业进行风险评估乃至风险控制的前提是进行风险识别和分析，风险识别是关键性的第一步。

2 审查风险识别方法的适当性。识别风险是风险管理的基础。风险管理人员应在进行了实地调查研究之后，运用各种方法对尚未发生的、潜在的、及存在的各种风险进行系统的归类，并总结出企业面临的各种风险。风险识别方法所要解决的主要问题是：采取一定的方法分析风险因素、风险的性质以及潜在后果。

需要注意是，风险管理的理论和实务证明没有任何一种方法的功能是万能的，进行风险识别方法的适当性审查和评价时，必须注重分析企业风险管理部门是否将各种方法相互融通、相互结合地运用。

（三）风险评估方法的适当性及有效性审查

内部审计人员应当实施必要的审计程序，对风险评估过程进行审查与评价，并重点关注风险发生的可能性和风险对组织目标的实现产生影响的严重程度两个要素。同时，内部审计人员应当充分了解风险评估的方法，并对管理层所采用的风险评估方法的适当性和有效性进行审查。

内部审计人员应当对管理层所采用的风险评估方法进行审查，并重点考虑以下因素：

（1）已识别的风险的特征；

（2）相关历史数据的充分性与可靠性；

（3）管理层进行风险评估的技术能力；

（4）成本效益的考核与衡量等。

3 审查风险评估方法应当遵循的原则

内部审计人员在评价风险评估方法的适当性和有效性时，应当遵循以下原则：

（1）定性方法的采用需要充分考虑相关部门或人员的意见，以提高评估结果的客观性；

（2）在风险难以量化、定量评价所需数据难以获取时，一般应采用定性方法；

（3）定量方法一般情况下会比定性方法提供更为客观的评估结果。

（四）风险应对措施适当性和有效性审查