第七章 以风险为导向的稽核审计

第一节 全面风险管理与内部审计

一、风险的定义

关于风险的含义，许多国内外专业研究机构都给出了不同的表述。2001年国际内部审计师协会（IIA）对风险进行定义，认为“对实现目标产生影响的事件发生的不确定性称为风险”，并指出后果和可能性是衡量风险的指标。美国反虚假财务报告委员会（COSO）下属的发起人委员会对风险的定义，认为风险是某个事件的发生将会对目标实现的可能性发生严重影响。风险源于公司外部和内部，对公司实现目标或者使得目标发生变化，对目标的实现可能会产生积极的变化或负面的影响，而负面的影响被称为风险。中国国有资产监督管理委员会对风险进行定义，认为风险是未来的不确定性对公司实现经营目标的影响。

无论如何定义“风险”一词，其基本的核心含义都是“风险是指某一特定环境下，在某一特定时间段内，某种损失发生的可能性”。通过分析上述国际专业协会和国家机构对风险定义的论述，可以概括出风险的特征：

（1）风险具有不确定性，是可能发生的事件，具有一定概率性；

（2）风险是客观存在的、不可避免的，伴随着公司运营，与公司目标相关，是由于公司风险敞口造成的；

（3）一旦发生风险事件，将会影响公司的目标实现，对公司造成损失或者影响，但并不仅仅片面地认为是消极因素，也有可能是积极因素，给公司创造机会，增加公司价值。

二、全面风险管理要素

全面风险管理的基本原理是以公司价值最大化、股东财富最大化为目标，以公司整体的经营管理活动为对象，综合分析公司可能会面临的所有风险，通过风险识别、风险评估、风险应对等措施并把握机会，及时有效地预防风险。

根据COCO《企业风险管理——整合框架》的规定，全面风险管理的要素包括内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通及监督。

（一）内部环境

内部环境对公司的影响是重大的，是其他七个要素的基础。公司内部环境受到多方面因素的影响，如公司文化氛围、公司发展历史等因素的影响。内部环境包括董事会和经理层的风险理念、公司可容忍的风险、公司员工的诚信及价值观念、公司员工的专业胜任能力等方面。

（二）目标设定

目标设定是指在战略目标、经营目标、报告目标及合规目标的基础上进行细化，建立次级目标体系，次级目标体系贯穿于公司经营管理的始终。目标设定不仅需要考虑如何对公司使命实现提供支撑，而且需要考虑与公司的风险容量相互匹配。

（三）事项识别

事项识别是指公司需要识别出影响公司目标的潜在事项。影响潜在事项的因素包括外部因素及内部因素，外部因素包括经济因素、科技因素等，内部因素包括人员因素、流程因素等。

（四）风险评估

风险评估是在事项识别的基础上开展的，风险评估时可以采用定性及定量技术来评估潜在事项发生的可能性及影响范围。

（五）风险应对

风险应对工作是在风险评估的基础上开展的，公司选择的风险应对手段包括风险接受、风险规避、风险分担及风险降低，公司董事会通过选择风险应对措施使得剩余风险在公司可接受范围内。

（六）控制活动

控制活动是在风险应对的基础上开展的，控制活动保证风险应对措施得到有效的实施。控制活动包括董事会和经理层的重新审核、业绩指标及职权分离等。

（七）信息与沟通

信息为公司管理风险及决策提供保障，而沟通是信息传递给相关人员的方式。

（八）监督

持续地对公司风险管理进行监督，从而及时发现风险管理体系的缺陷及不足。

三、风险管理审计

风险管理审计是指公司内部审计部门采用系统化、规范化的方法，进行以测试风险管理信息系统、各业务循环以及相关部门的风险识别、分析、评价、管理及处理等为基础的一系列审计活动，对公司的风险管理过程进行评价进而提出改进建议及措施，帮助公司实现其目标。

内部审计实施风险管理审计的程序，主要包括审计计划阶段、审计实施阶段、审计报告阶段和后续审计阶段。

内部审计实施风险管理审计，主要是通过对公司内部环境的确认、风险事件识别充分性的确认、风险评估合理性的确认、风险应对措施恰当性的确认、控制活动科学性及合理性的确认、信息与沟通有效性的确认、风险监控有效性的确认。