有人說：人生80，企業30，說的是壽命。目前，人的平均壽命已經可以達到或接近80歲了，而企業的壽命則是長短不齊，相距甚遠?？v觀人的生命歷程，多數人是因為生理機能的逐步衰退而終其天年，而企業則是因為決策失誤、經濟受騙、投資失敗、巨額虧損或者天災人禍等“意外”原因導致破產、倒閉，這些意外，用經濟學專業術語描述就是“風險”。一時的管理效率低下，對于企業來講可能只是皮肉之傷，稍加療養便可恢復，而如果未能避免一次大的風險，對企業的影響可能是傷筋動骨，甚至是致命的。

　　巴林銀行倒閉可以說是一個典型案例，尼克·里森在短短的三年內，其錯誤賬戶由最初的2萬英鎊轉變為14億英鎊的損失，致使這家有著233年歷史，世界上成立最早的一家商業銀行，頃刻倒閉。隨著資本流動的全球化，經營風險，特別是金融領域的風險與日俱增，20世界90年代以來，大和銀行、德屬西敏士銀行及美國儲蓄和信貸銀行的接連破產倒閉，引發了全球性的經濟持續低迷。就拿我國來講，幾年前還赫赫有名的廣州太陽神、鄭州亞細亞、小霸王、幸福集團等品牌，目前已經銷聲匿跡，他們的“消失”，最主要的原因是在投資、決策等戰略方面受到風險損失的重創。

　　特別是東南亞金融危機以來，金融體系帶來的影響是巨大的，特別是我國承擔了較大的壓力，此時關于風險管理才開始為經濟學界和企業家所重視起來。從全世界范圍看，企業風險戰略與管理尚處在發展階段，有些企業還未實行，操作性較強的當屬銀行和保險業。翻開最近的招聘信息，金融企業承包的招聘崗位多數有“風險管理專員”之類，而且對學歷、專業背景等方面要求頗高，說明風險管理的理念在企業界開始引入。

　　古人云“凡事預則立，不預則廢”，真正有效的戰略是面向未來的管理，以一種發展的超前的眼光來處理當前的事務，從而獲得競爭優勢。對于將來可能出現的危及利益的風險，也就不能不列入戰略思考應對范圍。美國的通用公司是一家有著悠久歷史的跨國公司，它為什么能做到永遠不落伍，因為它的領軍人物韋爾奇在80年代初就預料到將來的市場將沒有國家的界限了，做企業不光要在美國市場上數一數二，還要在全世界范圍內數一數二，所以，通用公司的各種戰略決策都采取了一種全球性的思維，這種思維在當時確實是非常超前的。

　　“戰略”已經不是什么新鮮的概念了，當前，無論是上柴公司這樣的大企業，還是一些軟件公司那樣的小企業，從管理上都已經突破了傳統的科學管理概念，著手實施戰略管理。而從企業戰略管理的內在含義看，企業戰略是為獲得持久競爭優勢而對外部機會和威脅以及內部優勢和劣勢的積極反應，這實際上是對風險管理的另一種描述?？梢?，企業要生存和發展，風險管理已經成為企業不能回避，不能不重視的十分關鍵的管理領域。

　　企業風險審計----內部審計人員的新使命

　　內部審計的發展經歷了幾個世紀，它的使命也幾經變化。近代和現代的內部審計，是西方國家企業為加強內部經濟監督和經營管理，隨著社會經濟的發展和企業管理的需要而產生、發展起來的。內部審計從產生到現在，已經歷了財務收支審計、經濟效益審計、內部控制審計和企業風險審計四個階段，無論在哪個階段，“滿足管理需要”始終是內部審計的永恒主題，因為這是內部審計職業的立身之本。

　　關于財務收支審計和經濟效益審計的產生，廣大內部審計人員已經熟知。在此僅重點談一下內部控制審計和企業風險審計的產生，因為這是兩個關系非常密切的理論體系，在當前的業務實踐中占有舉足輕重的地位。

　　20世紀40年代開始，跨國公司迅速崛起，分公司、分支機構增多，經營地點分散，企業管理層次和跨度增大，出現了“管理失控”的危機，于是管理由“內部牽制”逐步擴大到整個系統的“內部控制”，為實現組織目標，進行橫向、縱向的協調與控制。內部審計職責擴大到“內部控制測試與評價”上來，以實現保全資產安全完整，取得經營效果和效率，確定財務報告的可靠及遵循適當的法規等目標。

　　21世紀初，隨著企業戰略管理的實施，風險戰略決策的起用，風險管理的日趨專業化，風險就成為內部審計方向的基礎，企業風險審計應運而生。這樣，內部審計師就把其職責與組織戰略目標、組織風險管理措施結合起來。

　　內部審計的四個階段，每個階段的目標是向前“兼容”的，內部審計的職責是隨著管理目標的改變而與時俱進的，做不到這一點，內部審計職業就會因為自身功能的相對“弱化”而被淘汰。

　　縱觀國內企事業單位的內部審計部門，很多單位只留下一到兩個人“撐門面”，實際開展的業務并不多，更多的是起到上傳下達，內外溝通的作用。分析原因，長期以來，我國內部審計業務領域占主導地位的是財務收支審計，隨著企業管理向縱深發展，內部審計的內向服務功能發揮得越來越不明顯，內部審計部門越來越難以得到高級管理層的重視，每逢減員增效，機構調整，這樣的內部審計部門不可避免地成為沖擊對象，人員流失嚴重，給內部審計職能的提升造成困難，“東山再起”幾乎不可能。相反，對于內部審計前沿比較敏感的一些單位，將業務拓展與企業的改革發展同步規劃，內部審計目標與企業管理需要緊密結合，讓高級管理層體會到內部審計部門的“得力助手”作用，從而在資源配置、政策環境等方面予以重視，為內部審計業務的再發展創造良好條件?？梢?，在當前風險管理逐步在企業管理中占據一席之地的背景下，積極地探索企業風險審計，也是內部審計職業求生存求發展的必然選擇。

　　我國的內部審計領域正在逐步與國際接軌，這是大方向。目前全國在統考的國際注冊內部審計師（CIA），是我國內部審計業務逐步國際化的一種舉措。在《中國內部審計準則序言》第一部分第（二）條第4款明確：制定中國內部審計準則的目標是“建立與國際內部審計準則相銜接的中國內部審計準則”。因此，在研究企業風險審計時，有必要參考一下國際上的一些理論實踐。

　　國際內部審計師協會（IIA）于2001年修改頒布并于2002年1月1日起開始執行的《內部審計實務標準》，無論是概念、業務實施標準還是指南性的工作標準，自始至終貫穿著風險審計的主導思想。首先，內部審計的定義是如下表述的：內部審計是采用一種系統化、規范化的方法來對機構的風險管理、控制及監督過程進行評價進而提高過程效率，幫助機構實現目標。其次，在確定審計計劃時，明確要根據風險制定審計計劃。再次，在審計實務中，明確內部審計活動在于評價并幫助機構改進風險管理、控制和治理體系。最后，關于管理層能夠接受的剩余風險而機構無法接受的情況下，明確了解決辦法。從以上可以看出，2001版的《內部審計實務標準》，將內部審計工作完全引上了風險審計的道路，作為內部審計的職業者，應該系統領會，在內部審計計劃和程序等方面與國際準則和標準接軌，卓有成效地開展以風險為導向的內部審計。

　　企業風險管理體系及內部審計在其中所扮演的角色

　　風險管理不是西方發達國家創立的，中國古代著名的“田忌賽馬”、“圍魏救趙”、“聲東擊西”等大量的經典故事就包含了風險管理之奧妙。將風險管理最早納入企業戰略管理并取得較好效果的當屬美國，隨著全球化的加快，競爭加劇，大公司在制定和實施戰略時普遍實施風險管理，當今全世界風險管理的理論框架和模型有好幾個，但美國在這方面的權威性是勿容置疑的。

　?。ㄒ唬┫嚓P概念

　　風險。在日常生活中，提起風險，人們往往會想起負面的結果。其實，在財務管理、保險學中，對于“風險”的定義往往是說一種變動的不確定性，這種不確定性既有朝好的一面發展的不確定性，也有朝壞的方面發展的不確定性。2001版《內部審計實務標準》關于“風險”的定義：是指可能對目標的實現產生影響的事情發生的不確定性。

　　就風險而言，它是事件本身的不確定性，這是客觀的。此外，風險是一定時期內，具體條件下的風險。一般情況下，風險可以預計到，所以，可以管理。但若等到風險已經形成，就可能變成損失，所以，對風險最好做到“事先控制”。

　　風險通常由三要素構成，它們是風險因素、風險事故、損失。風險因素是指促使或引起風險發生的條件，以及風險發生時，致使損失增加、擴大的條件。風險事故，是引起損失的直接或外在原因，是使風險造成損失的可能性轉化為現實性的媒介。損失是指非故意、非計劃、非預期的經濟價值減少的事實。它們之間的關系：風險因素借助風險事故形成損失，風險管理也就著眼于這三個要素及其相互關系。

　　風險管理是企業以組織戰略目標為根本，為尋求和維持組織持久競爭優勢而做出的有關全局的重大籌劃和謀略，如營銷戰略、新產品開發戰略、品牌戰略、財務戰略、組織管理戰略等，并對戰略決策執行過程中的不確定因素進行系統管理的過程。

　?。ǘ╋L險管理流程

　　IIA2001版《內部審計實務標準》提出風險管理流程的5個關鍵目標，第一，確定和優先排序來自商業戰略和活動的風險；第二，管理層和董事會確定了企業可承受的風險水平；設計和實施風險降低活動或者管理企業高層直接確定可以接受的風險；第三進行持續的監控活動以定期評估風險和風險管理控制的效力；第五，定期向高層報告風險管理結果。

　　國內外的企業，所面臨的內外部環境，風險的性質、程度，風險對戰略目標的影響程度不盡相同，各企業所實施的風險管理戰略也是不同的。不管企業的情況如何千差萬別，適合企業經營性質的風險管理框架不外乎七個方面，即：確定風險范圍、識別風險，分析風險、評價風險、處理風險、溝通與協調、監督與檢查。

　　1、確定風險范圍：

　　為了保證風險管理與企業戰略目標相一致，確定風險范圍包括戰略范圍、組織范圍、業務范圍和風險管理范圍。

　　戰略范圍指影響企業戰略制定與執行的各種外在團體力量（利害關系人）和內在因素（影響條件），一般包括股東、債權人、客戶、消費者、供應商、競爭對手、政府組織、人才資源、組織經營與管理活動等。

　　組織范圍是指為實現利害關系人目標而構建的有授權、管理、報告功能的系統。

　　業務范圍是指組織為實現戰略目標而進行的所有業務活動，包括產、供、銷、投資、籌資等各個循環。

　　風險管理范圍是指依據組織戰略目標的要求，考慮風險的重要性，被納入風險管理范疇的風險。結合組織的強項、弱點、機會和威脅，考慮到成本問題，風險管理在時間和成本預算范圍內進行適當的項目選擇，沒有必要對經營中的所有風險進行管理。

　　2、識別特定范圍內的風險

　　站在企業的角度，按照風險產生的環境將風險分為環境風險、過程風險和信息風險三部分。

　　環境風險主要是外在風險，比如金融風險、行業風險、法律風險、資本取得、股東關系、競爭者風險等等。

　　過程風險與企業的運作過程密切相關，包括營運風險、授權風險、誠信風險、信譽風險、流動性風險、金融風險及信息處理/技術風險。這種分類是大的系統分類，還必須進行細分，比如，營運風險還可以細分為客房滿意風險、產品開發風險、環保風險、品牌風險等等。

　　決策中的信息風險是決策環節特有的風險，主要包括經營性決策風險、財務性決策風險和戰略性決策風險三大類，當然每一大類，還可以根據信息的不同內容細分為各種具體的風險。

　　風險的識別，與風險管理人員的知識背景、系統思考能力以及風險的敏感度密切相關，需要一定的專業經驗積累，不同的風險管理人員對風險的識別可能是不同的。

　　3、風險分析

　　結合企業的特定條件（如企業所處的壽命周期，所采取的經營戰略等），將識別出來的風險的可能性、損失額及發生頻率等性質進行鑒別。風險分析的目的是判斷風險程度，為合理制定風險管理策略與決定風險處理方案提供充分根據。

　　風險分析的程序包括：分析風險因素、風險事故，捕捉風險征兆，確定風險的存在；分析風險可能性，風險發生的頻率；分析風險發生的可能影響----波及面和損失額。

　　風險分析是一項專業性很強的精細工作，主要是用量化數據對風險信息進行加工處理，目前國際上已經形成一整套科學的方法體系。

　　4、風險評價

　　在經過以上對風險的范圍確定、識別、分析三個階段的工作以后，需要對其成果予以鑒別，進行綜合評價。不僅可以通過該項評價為確定風險管理戰略、政策與程序提供更為科學的依據。

　　重要的是，對于以前風險戰略決策、政策與程序通過與實際業務的結合的評價，可以檢查其設計是否合理、適當，執行是否有效，尤其是要找出需要修正、完善之處；對于實行風險預警機制的企業，經過風險評價，進行合適報警；對于已經變成現實的風險，需要對風險的處理進行評價，以便檢查控制執行的差異，找出原因，明確責任。

　　5、風險管理措施與方法

　　現實生活中，有許多實際進行風險管理措施與方法，只是沒有將之上升為風險管理的理論高度。比如，企業用“套期保值”的方法來規避價格變動風險；國家通過制訂“防汛防臺”預案來減少自然災害風險等等。

　　一般而言，風險管理措施包括規避、損失預防與抑制、接受、轉移、利用五種。

　　風險規避是風險管理技術中最簡單、也是最消極的一種方法。不是說“股市有風險，入市需謹慎”嗎，那就不關心股市；不是說賒銷可能帶來壞賬嗎，所有業務全部采取現款銷售方式。這種做法，風險是沒有了，但考慮到“風險與收益”的關聯原則，規避了風險，很可能也就放棄了許多獲益的機會。

　　風險抑制與控制是指企業不愿放棄也不愿轉移風險，通過查找風險因素借助風險事故形成損失的源頭，降低損失發生的可能性、頻率，縮小損失程度，達到風險控制目的。這些系統的控制措施與方法統稱為企業的“內部控制制度”或者“內部控制系統”。到此，風險管理與內部控制的關系就清晰了，“內部控制”僅是“風險管理”體系的一個“角”，風險管理是企業的一種更寬泛、更前置的控制體系，更能體現管理的深度和廣度。

　　風險轉移是指將風險轉嫁給它人，比如企業將市場跌價風險轉嫁給供應商，將難以消除的風險交給保險公司等。從控制力量看，轉移風險更注重與企業外部力量的合作，而內部控制則在于發揮企業自身的力量來管理控制風險。

　　風險接受是指各種原因必須要承受的風險。比如，對于風險很小或企業因冒風險可以獲得豐厚的利潤時，它愿意承擔風險；若無法回避的風險太大，連保險公司也不愿承保，企業不得不承受的風險。

　　風險利用是把風險當作機遇，達到更大的戰略目的。比如，海爾集團正是利用劣質冰箱事件，引以為戒，把企業做大做強，最終建立起世界矚目的“海爾文化”。再比如，某些不知名的演藝界人士，通過制造轟動的花邊新聞，特別是一些負面事件，達到炒作自己的目的，反正是由此而出名了。

　　6、溝通與協調

　　信息風險是企業中普遍存在的風險，由于信息在來源、傳遞、處理等方面均可能產生風險。風險管理是一個系統工程，是一個目標與手段、局部與整體、過程與結果有機結合的過程，是企業團隊攜手使用的過程，為了保證風險管理成效，風險管理的溝通與協調顯得非常重要。

　　7、監督與檢查

　　由于經營和人員都會發生變動，風險以至隨之的后果和可能性也要變動，最為有效的控制能隨時間的變動而改變。對于這些風險因素的存在，對風險和控制有效性進行持續、定期的監督和檢查是必要的。

　?。ㄈ﹥炔繉徲嬙陲L險管理中的角色與定位

　　現代大企業有專門機構執行風險管理的行政工作，董事會里設有風險管理委員會，由技術權威----首席風險執行官負責領導；公司內部建立有風險管理信息系統。在一些中小企業中，設有專門的風險管理機構，風險管理更多地依賴內部審計人員的參與了。

　　風險管理是企業管理的一個部分，屬于公司治理的重要內容，公司治理就是要確保公司經營，既要有效率和效益，又要信息可靠、遵循有關法規。內部審計在公司治理和企業控制測試中扮演重要角色，它在保證企業管理信息的同時也實現了對股東利益的保護。

　　IIA之《內部審計實務標準》認為，內部審計在風險管理中的角色和作用有兩個方面：一是協助風險估算程序；二是對風險管理程序的評價，對風險管理的恰當程度做出保證。審計師通過接受風險管理方面的咨詢幫助管理層。具體地說：內部審計在風險管理中的作用表現在：①鑒別風險；②區分可控制的風險；③指出缺乏控制的區域并提出建議；④指出過度控制的領域并提出建議。

　　企業風險審計的框架及其與內部控制審計的比較

　　內部審計在風險管理流程中起監控和評價的控制職能。

　　企業風險審計總目標是以風險管理目標為標準，審核被審計部門在風險識別、評價、管理等方面的合理性和有效性，于損失發生之前作出最有效安排，使損失發生后所需要的資源，與保持有效經營必要的資源，能達成適度平衡。企業風險審計具體審計目標一般有以下幾點：①風險范圍的合理性；②風險識別、評價的科學性；③風險管理措施、方法與程序的合理性；④風險實際處理的合理性。

　　企業風險審計在制訂審計計劃時，要貫徹風險因素優先性策略。首先要確定審計域，把影響業務和業績的風險因素識別出來，然后進行風險優化，對域內風險予以分析，確定每種風險的級別和權數，評價風險程度，給風險打分并排序，對特殊要求進行適當考慮，按重要性原則對年度審計資源進行合理配置。

　　企業風險審計在方法及程序上，與其它審計相比較，除特別使用的方法有預警分析法、綜合的專業判斷法外，其它與一般審計沒有大的區別。

　　在內部審計的四個階段中，財務收支審計和經濟效益審計，是對已經形成的經濟事實進行審計評價，可以說是面向過去的“事后審計”。而內部控制審計和風險管理審計，以現行控制體系為基礎，著眼的未來風險的管理，屬于未雨綢繆型，是一種面向未來的“事前審計”。

　　內部控制審計與風險管理審計有著密切的聯系。內部控制的設計和執行應該針對風險管理的要求，而風險的管理很大程度依賴內部控制的設計和執行。所以，內部控制審計和風險管理審計在有些地方是互相滲透的，目的都是為了增加企業價值。

　　當然，風險管理審計與內部控制審計的區別也是顯而易見的：見下表(略)

　　從內部控制與風險管理的關系我們可以看到，內部控制是風險管理體系的一個部分，風險管理是內部控制在功能和范圍上的延伸，是一種大范圍的前置控制體系。從現代內部審計的理念來看，要與企業的戰略管理相一致，審計領域要拓展，審計關口要前移，而從內部控制審計向風險管理審計的過渡，恰恰反映了這種功能的轉化。

　　關于“企業風險審計”的探索

　　企業風險審計，在當前國內外之內部審計領域都可以說是一種新生事物，是該領域的研究前沿。對于我國大多數還是以財務收支審計為主導的企事業單位而言，離企業風險好象顯得比較遙遠，但企業風險審計畢竟是當前內部審計的前進方向和必然選擇，不管距離有多遠，都必須要朝這個方向堅持努力，否則必然會自斷生路。

　　經過對企業風險審計理論的研究，內部審計界對于開展企業風險審計持樂觀態度的還在大有人在的。通過將企業風險審計與內部控制審計的比較，有人覺得，企業風險審計不就是內部控制審計的一種簡單延伸和擴展嗎，在內部控制審計的基礎上，稍加改進和提升，不就實現了企業風險審計嗎？其實，這種信心在戰略上是可取的，但在操作上有些方面是值得商榷的。比如多數企業在審計理念的導入、審計人員的專業理論素質、風險管理的基礎工作及審計環境等方面與企業風險審計還是有距離的。

　　我國企業的經營管理水平不參差不齊，許多中小企業根本就沒有內部審計部門或者內部審計人員，特別是國內企業（國有企業尤甚）近幾年基礎管理工作滑坡，正常的管理體系尚且有許多需要改善的地方，風險管理和企業風險審計的理念在一些企業中還難有作為。

　　風險管理體系中，對于風險分析、識別、及評價等環節，需要大量的量化數據處理，采用了許多專業工具或方法，比如PEST方法、DMAIC（6西格瑪）方法、SWOT分析及KTF分析等等，風險管理審計中需要大量的專業判斷，國內的審計人員在這種專業判斷能力方面并不一定能夠滿足需要。

　　此外，在風險管理信息化，風險管理環境等方面，大多數企業與風險管理的要求還是有距離的，比如，國內就沒有幾個企業建立了ERM（企業風險管理系統）。

　　近幾年來，上柴股份有限公司在審計業務方面不斷進行探索和創新，盡管沒有按“企業風險審計”的模式開展風險管理審計，在審計業務中，已經充分考慮了風險管理因素，在業務領域、審計程序與方法方面向風險審計靠攏。

　　2003年以來，上柴公司審計法律室將審計關口前移，開展以預警為中心的審計監督服務工作。按照“防范勝于查處”的工作思路，將工作重點放在業務過程控制上，借助風險管理理論，將預警作為審計工作的重點。比如：

　　先后組織應收賬款專項審計，督促職能部門防范壞賬風險。近年來，上柴公司柴油機產銷兩旺，但同時帶來了應收賬款的上升，應收賬款成為影響公司經濟運行質量的重要方面。由于公司沒有一套專門進行應收賬款監管的組織和機制，為了有效控制風險，審計法律室便著手對應收賬款的質量和管理情況進行檢查評估。從風險管理的視角，對關鍵客戶授信額度的執行情況逐一進行全程跟蹤，對合同管理及賬款清欠情況進行細致檢查，指出了銷售部門在合同簽訂、信用額度控制等方面的問題，并提出針對性的審計建議。通過對審計建議的執行情況進行后續跟蹤，消除了部分應收賬款管理的薄弱環節，在一定程度上降低了公司的壞賬風險。

　　對合資項目進行風險和對策研究，為公司決策服務。上柴公司去年與一外地企業合資組建新產品生產基地，這是一項事關上柴公司發展前途的重大戰略投資。為了有效控制風險，審計法律人員對項目投資全程參與，進行細致的風險分析評價，并專門出具了《關于合資項目的風險與對策》，從公司核心技術流失的風險、合資項目計劃進度脫期風險、經濟效益不理想甚至虧損的風險、產品市場風險、項目選點風險、經營控制力風險、利益沖突風險、地域文化差異碰撞風險共八個方面進行詳細闡述，并提出相應的對策。這些風險及對策研究，為公司項目決策提供了有益的借鑒，在項目實施過程中采取必要的措施規避相關的風險。

　　上柴“東風”是馳名商標，在國內外市場面臨搶注、假冒的風險比較大，為防范品牌管理風險，審計法律室主動出擊，采取了相關的對策，保護公司的無形資產，降低了“東風”商標被搶注、假冒的風險。

　　此外，2005年上半年，上柴公司開始嘗試部門管理職能評審，這是一項事關整個公司組織體系的系統工程，在評價過程中，審計法律室結合上柴公司對于“管理革命”的要求，對部門職能履行的環節進行風險評估。

　　盡管上柴審計法律室在學習企業風險審計理論上有一些學習，畢竟企業風險審計是一個新的業務形態，未知領域還太多。規范的企業風險審計模式并未在建立，開展企業風險審計，可以說還是非常任重而道遠的。