风险管理审计与ERM时代公司治理.pdfVIP

风险管理审计与ERM时代公司治理

力帆时骏集团审计督查中心潘定心

一、风险管理审计与公司治理的关系

2008年6月28日，国家五部委联合发布《企业内部控制基本规范》，出台企

业内部控制制度应用指引、评价指引、审计指引。2013年5月，全球最具影

响力的内部控制和风险管理标准制定机构——美国COSO委员会发布了新的

《内部控制——整合框架》，在继续采用原有内部控制定义和五要素的基础

上，考虑商业和运营环境变化，详细列示了用以支持内部控制五要素的17

项基本原则。实践证明内部控制应该与风险管理结合起来，2002年，英国颁

布AIRMIC/ALARM/IRM风险管理标准，2005年5月1日实行的《中国内部审

计准则》具体准则第16号为风险管理审计。国资委发布的《中央国有企业

风险管理指引》对适用企业各业务循环及相关部门在风险识别、分析、评价、

应对等风险管理过程环节内容进行全面指导。

风险管理，是对影响组织目标实现的各种不确定性事件进行识别与评估，并

采取应对措施将其影响控制在可接受范围内的过程，旨在为组织目标的实现

提供合理保证，包括以下主要阶段：

（一）风险识别，根据组织目标、战略规划等识别所面临的风险；

（二）风险评估，对已识别的风险评估其发生的可能性及影响程度；

（三）风险应对，采取应对措施，将风险控制在组织可接受的范围内。

风险管理审计指内部审计人员实施必要的审计程序，充分了解组织的风险管

理过程，审查和评价其适当性和有效性；对风险评估过程进行审查与评价，

对风险识别过程进行审查与评价，重点关注组织面临的内、外部风险是否已

得到充分、适当的确认；对管理层所采用的风险评估方法进行审查，评价风

险评估方法的适当性和有效性，对风险应对措施进行审查，向组织适当管理

层报告审查和评价风险管理过程的结果，并提出改进建议。

企业面临的风险包括内部和外部风险，外部风险指外部环境中对组织目标的

实现产生影响的不确定性，主要来源于以下因素：

（一）国家法律、法规及政策的变化；

（二）经济环境的变化；

（三）科技的快速发展；

（四）行业竞争、资源及市场变化；

（五）自然灾害及意外损失；

（六）其他。

内部风险指内部环境中对组织目标的实现产生影响的不确定性，主要来源于

以下因素：

（一）组织治理结构的缺陷；

（二）组织经营活动的特点；

（三）组织资产的性质以及资产管理的局限性；

（四）组织信息系统的故障或中断；

（五）组织人员的道德品质、业务素质未达到要求；

（六）其他。

企业全面风险管理审计一般包括针对企业全面风险管理框架和政策设计

合理性、恰当性的评价，以及对企业风险管理实施的效率和效力的评价。

全面风险管理的实施强化了企业的审计控制职能、全面风险管理职能，

许多企业在决策层设立风险管理和审计委员会，在经营层面设立风险管理和

审计部门，或者将二者合署为审计督查中心。

公司治理与风险管理审计密不可分，公司治理是风险管理审计的制度环

境，促使风险管理审计有效开展、并保证风险管理审计功能发挥；风险管理

审计是公司治理内容必不可少的部分，成为公司治理趋于健全完善的一种制

度保证，风险管理审计在公司内部治理中的功能如下：

（一）评价。风险管理审计针对识别、计量风险或风险排序等予以评

价，或者就风险预警信号、关键风险点控制以及相应的应对策略是否切实

可行予以评价，或者就企业整体风险管理流程设计是否合理以及运行是否

有效予以评价。

（二）鉴证。风险管理审计对受托人履行管理责任情况，即业务活动

和管理业绩予以鉴定和证明，拓展了财务审计鉴定和证明受托人履行财务

责任的情况。

（三）咨询。风险管理审计不仅要对企业风险管理活动予以评价，还

要针对企业风险管理中存在的问题提出具有针对性、可测量性、可实施性、

责任到人、及时性的评价意见和改善建议，协助管理层更有效地进行风险

管理活动，减少或降低制约企业战略目标实现的任何障碍。

（四）报告或沟通。在公司治理中，向决策层报告是保障企业有效/高

效运行以及保障决策层及时应对风险的重要战略机制。内部审计部门每年

或定期向决策管理层提交审计工作报告，当企业出现重大风险事项时及时

动态报告，并在风险管理审计中随时向管理层、风险所有者进行沟