一、風險管理審計與公司治理的關系
   
　　2008年6月28日，國家五部委聯(lián)合發(fā)布《企業(yè)內(nèi)部控制基本規(guī)范》，出臺企業(yè)內(nèi)部控制制度應用指引、評價指引、審計指引。2013年5月，全球最具影響力的內(nèi)部控制和風險管理標準制定機構——美國COSO委員會發(fā)布了新的《內(nèi)部控制——整合框架》，在繼續(xù)采用原有內(nèi)部控制定義和五要素的基礎上，考慮商業(yè)和運營環(huán)境變化，詳細列示了用以支持內(nèi)部控制五要素的17項基本原則。實踐證明內(nèi)部控制應該與風險管理結合起來，2002年，英國頒布AIRMIC/ALARM/IRM風險管理標準，2005年5月1日實行的《中國內(nèi)部審計準則》具體準則第16號為風險管理審計。國資委發(fā)布的《中央國有企業(yè)風險管理指引》對適用企業(yè)各業(yè)務循環(huán)及相關部門在風險識別、分析、評價、應對等風險管理過程環(huán)節(jié)內(nèi)容進行全面指導。
  
　　風險管理，是對影響組織目標實現(xiàn)的各種不確定性事件進行識別與評估，并采取應對措施將其影響控制在可接受范圍內(nèi)的過程，旨在為組織目標的實現(xiàn)提供合理保證，包括以下主要階段：
  
　　（一）風險識別，根據(jù)組織目標、戰(zhàn)略規(guī)劃等識別所面臨的風險；
　�。ǘ╋L險評估，對已識別的風險評估其發(fā)生的可能性及影響程度；
　�。ㄈ╋L險應對，采取應對措施，將風險控制在組織可接受的范圍內(nèi)。
   
　　風險管理審計指內(nèi)部審計人員實施必要的審計程序，充分了解組織的風險管理過程，審查和評價其適當性和有效性；對風險評估過程進行審查與評價，對風險識別過程進行審查與評價，重點關注組織面臨的內(nèi)、外部風險是否已得到充分、適當?shù)拇_認；對管理層所采用的風險評估方法進行審查，評價風險評估方法的適當性和有效性，對風險應對措施進行審查，向組織適當管理層報告審查和評價風險管理過程的結果，并提出改進建議。
  
　　企業(yè)面臨的風險包括內(nèi)部和外部風險，外部風險指外部環(huán)境中對組織目標的實現(xiàn)產(chǎn)生影響的不確定性，主要來源于以下因素：
  
　�。ㄒ唬�  國家法律、法規(guī)及政策的變化；
　�。ǘ�  經(jīng)濟環(huán)境的變化；
　�。ㄈ�  科技的快速發(fā)展；
　�。ㄋ模�  行業(yè)競爭、資源及市場變化；
　　（五）  自然災害及意外損失；
　�。�  其他。
   
　　內(nèi)部風險指內(nèi)部環(huán)境中對組織目標的實現(xiàn)產(chǎn)生影響的不確定性，主要來源于以下因素：
  
　�。ㄒ唬┙M織治理結構的缺陷；
　�。ǘ┙M織經(jīng)營活動的特點；
　�。ㄈ┙M織資產(chǎn)的性質(zhì)以及資產(chǎn)管理的局限性；
　�。ㄋ模┙M織信息系統(tǒng)的故障或中斷；
　�。ㄎ澹┙M織人員的道德品質(zhì)、業(yè)務素質(zhì)未達到要求；
　�。┢渌�。
     
　　企業(yè)全面風險管理審計一般包括針對企業(yè)全面風險管理框架和政策設計合理性、恰當性的評價，以及對企業(yè)風險管理實施的效率和效力的評價。
  
　　全面風險管理的實施強化了企業(yè)的審計控制職能、全面風險管理職能，許多企業(yè)在決策層設立風險管理和審計委員會，在經(jīng)營層面設立風險管理和審計部門，或者將二者合署為審計督查中心。
  
　　公司治理與風險管理審計密不可分，公司治理是風險管理審計的制度環(huán)境，促使風險管理審計有效開展、并保證風險管理審計功能發(fā)揮；風險管理審計是公司治理內(nèi)容必不可少的部分，成為公司治理趨于健全完善的一種制度保證，風險管理審計在公司內(nèi)部治理中的功能如下：

　�。ㄒ唬┰u價。風險管理審計針對識別、計量風險或風險排序等予以評價，或者就風險預警信號、關鍵風險點控制以及相應的應對策略是否切實可行予以評價，或者就企業(yè)整體風險管理流程設計是否合理以及運行是否有效予以評價。

　　（二）鑒證。風險管理審計對受托人履行管理責任情況，即業(yè)務活動和管理業(yè)績予以鑒定和證明，拓展了財務審計鑒定和證明受托人履行財務責任的情況。

　�。ㄈ┳稍�。風險管理審計不僅要對企業(yè)風險管理活動予以評價，還要針對企業(yè)風險管理中存在的問題提出具有針對性、可測量性、可實施性、責任到人、及時性的評價意見和改善建議，協(xié)助管理層更有效地進行風險管理活動，減少或降低制約企業(yè)戰(zhàn)略目標實現(xiàn)的任何障礙。

　�。ㄋ模﹫蟾婊驕贤�。在公司治理中，向決策層報告是保障企業(yè)有效/高效運行以及保障決策層及時應對風險的重要戰(zhàn)略機制。內(nèi)部審計部門每年或定期向決策管理層提交審計工作報告，當企業(yè)出現(xiàn)重大風險事項時及時動態(tài)報告，并在風險管理審計中隨時向管理層、風險所有者進行溝通。風險管理的這些功能促進公司治理在不斷修正中形成向管理層提供全面的指導、權限和監(jiān)督的動態(tài)循壞，有利于公司治理效率的提高。

　　同時，二者還有些區(qū)別，公司治理可以細分為內(nèi)部公司治理和外部公司治理，外部治理是指外部市場和公司外利益相關者對公司經(jīng)營者的激勵和約束，內(nèi)部治理則是指通過公司內(nèi)部的治理制度安排而形成的公司經(jīng)營者之間的相互激勵和約束。

　�。ㄒ唬┕緝�(nèi)部治理機制主要包括:

　　(1)股東權利保護和股東大會作用的發(fā)揮；（2)董事會的形式、規(guī)模、結構
及獨立性；（3)董事的組成與資格；（4)監(jiān)事會的設立與作用；（5)薪酬制度及激勵計劃；（6)內(nèi)部審計制度等。這些內(nèi)部治理方面制度安排的目的是建立完善的監(jiān)督、激勵、約束和決策機制。

　�。ǘ┩獠恐卫碇凶钪饕男问桨ü窘庸苁袌�、機構投資者以及市場競爭機制等，公司接管市場是英美等國公司治理中早期的主要形式，外部接管市場是解決公司委托-代理問題的最后手段，它的存在削弱了現(xiàn)代股份制公司所有者和經(jīng)營者分離的問題，小股東的“搭便車”問題也通過這一市場得到了相當程度的緩解。

　　在股權分散的情況下，機構投資者成為廣大中小投資者約束經(jīng)營者的最重要機構，隨著機構投資者本身實力的壯大和資本市場效率性的增強，機構投資者通常采取以下措施影響公司決策管理層，提高公司質(zhì)量，實現(xiàn)超額收益。這些措施有：

　　推動監(jiān)管部門和證券交易所加大公司治理方面的要求，特別是增加信息披露；將公司治理評級融入投資流程，作為購買、持有和出售股票的依據(jù)，對上市公司形成壓力；獨立進行上市公司治理研究，對被投資公司的公司治理提出意見；與公司治理機構合作積極行使代理投票權；推行股東積極主義，機構投資者逐步參與公司董事和CEO的選撥，向管理層提出兼并、重組等建議；通過信用評級機構的信用報告了解公司治理的情況；成立公司治理基金或社會責任基金。

從市場競爭體系的角度看，公司外部治理形式主要包括：

　　（1)產(chǎn)品市場。包括國內(nèi)貿(mào)易和國際貿(mào)易，公司需要市場占有率和利潤，產(chǎn)品市場的激烈競爭帶來的利潤下降、虧損等威脅激勵股東、經(jīng)營者和員工努力工作。規(guī)范和競爭的產(chǎn)品市場是評判公司經(jīng)營成果和經(jīng)理人員管理業(yè)績的基本標準。（2)經(jīng)理人市場。功能完善的經(jīng)理市場能根據(jù)經(jīng)理人員的前期表現(xiàn)對其人力資本估價，充分的經(jīng)理人市場競爭在很大程度上能動態(tài)地顯示經(jīng)理人的能力和努力程度，使經(jīng)理人努力提高自身的能力，約束自己的機會主義行為。（3)資本市場治理。兼并、收購、接管等涉及到公司控制權，是合理的公司治理結構的重要組成部分。（4）社會審計與評價治理，中國國家治理體系中的經(jīng)濟法律體系日趨完善，社會審計與評價機構的專業(yè)客觀評價體系讓公司決策管理層和全體員工不得不盡全力規(guī)范自己的組織行為。

　　無處不在的外部市場壓力和威脅與內(nèi)部治理機制的有機結合形成了完整的公司治理體系。
    
　　分工和專業(yè)化可以減少重復學習和投資，增加勞動者熟練程度，減少小農(nóng)經(jīng)濟條件下工作轉換的時間，減少人的有限理性的局限性，大大提高生產(chǎn)率，為人們提供大量的經(jīng)濟剩余。然而分工和專業(yè)化意味著合作和交易的必要性，在一、二、三次分配的過程中，由于人的尋租和機會主義等不足產(chǎn)生巨額的交易費用，分工和專業(yè)化產(chǎn)生的經(jīng)濟剩余大打折扣，甚至有可能阻礙分工。為了約束人們的有限理性和機會主義，減少交易費用，企業(yè)和市場這兩種制度安排用以協(xié)調(diào)分工和專業(yè)化以減少交易費用。企業(yè)在協(xié)調(diào)分工方面比市場更有效，而公司治理和內(nèi)部控制是企業(yè)屮最為重耍的制度，公司的內(nèi)、外部治理形式也是企業(yè)和市場手段在協(xié)調(diào)社會分工中的作用體現(xiàn)。
 
　　二、風險管理審計的公司治理制度安排

　�。�1）公司治理機制
 
　　就公司治理來說，風險管理審計經(jīng)常審計公司治理機制，如是否設立或指定風險管理部門，是否有風險預估、識別、評價、應對機制與方案，是否有動態(tài)的風險報告、溝通機制。
 
　　決策層對利益相關方的需要與期望是否了解并定期刷新，對利益相關方可能產(chǎn)生不利影響的結果是否明確，對這些可能結果相關風險承受水平是多少，授權的管理部門是否能在可承受的風險水平內(nèi)運作。
 
　　決策層能否重新評價公司治理指導和風險承受水平，高級管理人員的信息溝通是否具體明確。

　�。�2）企業(yè)風險管理流程
 
　　對于決策來說必要的流程和活動應該為高級管理人員所熟悉，如市場情報的搜集，，競品信息，終端市場的反饋，最新技術國標等。對于超過風險承受水平的商業(yè)因素至少為高級管理人員關注，并將權力和受托責任委托給適當?shù)娘L險所有者。對于企業(yè)的各種風險承受水平，應該在高級管理人員與決策層之間有一個良好的信息溝通、傳遞，并根據(jù)變化的情況進行實時調(diào)整，及時向公司各風險所有者終端指導。

　　風險管理活動應該進行有效的設計，并按設計的框架和過程進行運作，確保風險管理的整體保障體系有效，企業(yè)的關鍵風險能被識別并處在治理或控制狀態(tài)，風險管理績效的聲明準確，風險信息完整和準確，集中化的風險管理流程全覆蓋，風險治理或風險控制信息披露可靠。
 
　　三、企業(yè)常見風險審計

　　企業(yè)應及時識別、系統(tǒng)分析經(jīng)營活動中與實現(xiàn)內(nèi)部控制目標相關的風險，合理確定風險應對策略。任何一個企業(yè)乃至其中的各個責任中心，無時無刻不面臨諸多風險的侵襲。企業(yè)常見的風險包括：
   
　　整體層面風險、內(nèi)部控制風險、營銷風險、財務風險、操作風險、法律合規(guī)風險、人力資源管理風險、戰(zhàn)略風險、公司治理風險、IT風險、質(zhì)量控制風險、行業(yè)或部門和項目特定風險等。
  
　　財務風險又可以分為整體性財務風險和特定財務風險。投資風險、籌資風險、經(jīng)營失敗而引起的資金周轉困難風險以及分配風險等都屬于財務風險。
   
　　企業(yè)整體層面風險審計一般包括全面風險管理框架和政策設計合理性與恰當性的評價，以及包括對企業(yè)風險管理實施的效率和效力的評價。

　　內(nèi)部控制審計既可以整體進行，也可以按照對某一部門或某一環(huán)節(jié)的內(nèi)部控制進行審計，國際國內(nèi)的內(nèi)部控制規(guī)范與標準為內(nèi)部審計人員提出了框架和指引，審計人員針對企業(yè)內(nèi)部控制設計的合理性和內(nèi)部控制運行的有效性提出評價，并對其重大缺陷提出警示改進建議。銀行、證券等行業(yè)有自己的內(nèi)部評價辦法、風險控制指標管理辦法。

　　審計人員能夠以企業(yè)營銷流程圖、營銷環(huán)境、營銷運作以及營銷人員等為審計目標來執(zhí)行審計程序，對企業(yè)營銷風險識別、分析、評價方法的合理性，對營銷風險控制的合理性以及有效性提出意見。

　　整體性財務風險審計為識別企業(yè)主要財務風險（如造成50%損失的因素），評價財務風險管理框架和政策的得當性與合理性，檢查財務風險管理政策的落實情況，檢查企業(yè)財務風險控制體系的設計水平和運行有效性（其中包括檢查財務預警體系、財務制度體系和財務應急措施等），以及評價財務風險綜合治理措施的有效性。

　　特定財務風險管理領域審計，如對財務報告的真實性和可靠性實施審計，對財務合規(guī)實施審計、對某一財務活動實施審計，以及對企業(yè)流動性風險管理、融資風險管理和投資風險管理實施審計等。

　　人力資源管理風險審計，從人力資源的招聘、分配崗位、業(yè)績評價以及對員工的激勵約束等環(huán)節(jié)執(zhí)行審計程序，對企業(yè)識別、分析、評價以及對應人力資源風險管理活動進行評價并提出建議。

　　對企業(yè)戰(zhàn)略管理過程實施水平進行評價，找出企業(yè)在管理可控制性戰(zhàn)略風險方面的差距和缺陷，評價企業(yè)管理那些不可控制的戰(zhàn)略風險的技藝水平，另外，針對企業(yè)某些戰(zhàn)略風險管理活動也可以實施評價，例如針對企業(yè)收購合并的行為或針對企業(yè)開發(fā)新產(chǎn)品的決策實施評價。

　　IT風險管理審計根據(jù)《內(nèi)部審計具體準則第28號——信息系統(tǒng)審計》、計算機審計實施，質(zhì)量控制體系審計根據(jù)ISO質(zhì)量標準體系實施，同時結合國標、國標推廣技術進行，重點關注質(zhì)量成本管理。
 
　　四、風險管理審計結論與報告評價

　　審計資源的配置涉及到專業(yè)化問題，如數(shù)據(jù)處理效率，衍生金融工具業(yè)務、安全環(huán)境審計等。

　　常規(guī)的風險管理審計頻率通常按照COSO-ERM(2004)框架的四個層面進行：即整體層面、分部層面、業(yè)務單位層面、子公司層面，對這企業(yè)管理層面風險管理水平的審計一般宜一年或半年周期實施一次。審計的內(nèi)容和深度根據(jù)企業(yè)情況決定。還可以按照關鍵風險分布實施周期性的風險管理審計，采用風險分數(shù)確定審計頻率，如每半年或每一年或兩年等。根據(jù)風險分數(shù)進行排序，根據(jù)風險性質(zhì)進行審計抽樣，如杜邦“沸騰壺”模型中，風險因素表現(xiàn)為高風險占10%，敏感風險占30%，適中風險占40%，低風險占20%，對應的風險結構決定了審計資源配置，高風險因素要實施詳細、全部審計，敏感性質(zhì)的風險因素一般收取50%的樣本，適中風險因素抽樣25%，低風險因素抽樣10%。
  
　　風險的嚴重性一般包括：不嚴重、輕度嚴重、中度嚴重、嚴重、高度嚴重。

　　風險可能性（概率）一般包括：不發(fā)生（《5%）、不太可能（《25%）、可能（＜50% ）、很可能（ ＞50%）、肯定（＞90%）。
 
　　風險的層次評價（擴展的尺度）包括極小的威脅、輕度威脅、中度威脅、嚴重威脅、災難性威脅。
 
　　風險承受限度的評價包括：
　　
　　避免，在任何情況下都不允許此風險發(fā)生；
　　降低，實行持續(xù)地管理此風險的政策、流程和程序，將風險影響降低到最低、組織可以接受范圍之內(nèi)；
　　管理，預測相關風險發(fā)生，采取前瞻性行動降低影響；
　　檢查，風險發(fā)生后在其影響過大之前及時檢查并報告此風險；
　　接受，風險的發(fā)生是可以接受的。
 
　　風險管理/控制可擴展度（可管理性或可控性）評價包括：無風險管理、低層次的風險管理、中等的風險管理、拓展的風險管理、持續(xù)的風險管理。
 
　　風險管理成熟度評價（采用風險管理成熟度模型評價），包括：
　　A級：特定風險管理
　　B級：初步風險管理
　　C級：可重復性風險管理
　　D級：主動性風險管理
　　E級：前瞻性風險管理。

　　被審事項現(xiàn)有風險管理水平或效力評價，一般包括效力（effectiveness）、效率（efficiency）和系統(tǒng)整合性（coherence）評價。

　　風險管理審計的結論為評估企業(yè)整體（或被審事項）風險管理體系運行效果，評估每一個風險應對策略的科學性、合理性和落實效果，評估旨在落實風險策略的每一個將主要風險控制在可接受水平的管理活動效果，評估在現(xiàn)有風險治理和風險控制之水平下每一個（或某一個，根據(jù)審計任務決定）關鍵風險現(xiàn)存的風險暴露水平，比較這種風險暴露與期望值之間的差距，提出縮小差距的建議行動步驟和實施方案。風險管理審計的總結始終把重點放在風險管理的總體效果上。如強大的風險管理、一般水平的風險管理、薄弱的風險管理，風險管理審計建議則包括：現(xiàn)有系統(tǒng)運行良好，無需改變；現(xiàn)有系統(tǒng)需要全部或局部改變，包括改進的方案設計，方案實施的要求，方案實施效果的預計，未實施此方案的后果分析。

　　企業(yè)全面風險管理的使命是弱勢最小化、減小不確定性和績效最優(yōu)化，應用于企業(yè)的整個生命過程，以及一系列廣泛的活動、過程、職能、項目、產(chǎn)品、服務、資產(chǎn)、業(yè)務、操作和決策。
實施全面風險管理審計將促使整個企業(yè)（集團）建立共同的風險語言。