论企业风险管理要素审计

1、论企业风险管理要素审计风险管理理论发展至今，不同的学科、不同的专业机构、团体、研究学者有不同的认识和理解，于是产生了不同的理论派别。本文的理论框架主要来源于美国COSO委员会2004年9月制定发布的企业风险管理整合框架、国际内部审计师协会2004年1月修订的内部审计实务标准专业实务框架。 一、公司简介 某集团有限公司是中国最大的肉制品生产企业之一，其产品包括冷鲜肉、冷冻肉、以及以猪肉为主的低温肉制品、高温肉制品。集团总部设于中国江苏省南京市，拥有多处冷鲜肉、冷冻肉生产基地及深加工肉制品生产基地。集团拥有最先进的生产设备和工艺技术，以其独有的技术方法，研制出一系列符合消费者口味的优质产品。基于肉

2、制品业务的 经验 ，集团于1997年开展冷鲜肉和冷冻肉业务。2002、2003年，冷鲜肉、冷冻肉的市场占有率分别位列中国大陆第二名、第三名。低温肉制品，自2002年至2004年，其市场占有率连续三年位居中国大型零售商销售首位。 二、公司风险管理要素审计评价程序及结论 尽管某集团在香港联合交易所主板上市，但其实质还是一家中国民营企业，其并没有建立专门的风险管理 组织 机构、人员、系统，公司风险管理处于“凭感觉进行风险管理”的阶段，只是由管理层根据调查分析、经验 总结 ，识别、列出公司面临的四大类十三种主要风险，并制定了一些防范措施。公司审计部作为监督检查部门，每年至少两次从集团层面对风险管理进行

3、整体评价，并在每季度对分、子公司执行例行审计过程中，重点关注风险管理状况。以下试从集团公司层面，以COSO风险管理整合框架（以下简称COSO框架）中所列八要素为线索对公司风险管理进行分析、设计审计评价程序、提出审计评价结论。 （一）内部环境 1.理论描述。内部环境包含组织的基调，它影响组织中人员的风险意识，是企业风险管理所有其他构成要素的基础，为其他要素提供约束和结构。 2.审计评价程序。 （1）设计风险相关 文化 调查表对风险管理的内部环境进行调查； （2）审查公司经营决策、管理方针政策、规章制度、行为准则等是否反映了公司的风险管理理念、诚信和道德价值观。 3.审计评价结论。公司的风险管理理

4、念属于风险偏好型，提倡抓住机会，大胆开拓。但对风险管理理念没有一个书面的说明性的陈述，这些理念存在于董事会及高级管理层的头脑中，通过收购决策、发布政策、行为准则、各种规章制度反映出来并加以强化。 （二）目标设定 1.理论描述。设定战略层次的目标，为经营、 报告 和合规目标奠定了基础。每一个主体都面临来自外部和内部的一系列风险，确定目标是有效的事项识别、风险评估和风险应对的前提。 2.审计评价程序。 （1）获取管理层对目标的书面陈述； （2）通过访谈、询问，获取公司员工对公司目标的知晓、理解程度的信息； （3）通过查阅管理层的 述职 报告，获取目标实现进展情况的信息。 3.审计评价结论。公司管理

5、层对风险管理目标没有明确的书面陈述，公司员工对公司的目标知之甚少，经审计调查总结，目标如下： 战略目标：创中国第一肉食品品牌； 经营目标：顾客满意最大化，品牌价值最大化； 报告目标：财务报告真实、完整，符合上市规则要求； 合规目标：遵循国家、行业、企业的 法律 、法规、制度。 （三）事项识别 1.理论描述。管理当局识别将会对主体产生影响的潜在事项如果存在的话，并确定它们是否代表机会，或者是否会对主体成功地实施战略和实现目标的能力产生负面影响。带来负面影响的事项代表风险，它要求管理当局予以评估和应对。 2.审计评价程序。 （1）查阅行业有关资料，询问、访谈高层、中层、一般职工，审查风险识别是否充

6、分、全面； （2）审查风险识别过程资料，判断是否根据内外部环境的变化定期进行修正。 3.审计评价结论。公司管理层根据调查分析、经验总结，识别、列出公司面临的四大类（行业风险，业务风险，财务风险，合规风险）十三种主要风险： （1）爆发动物疫情； （2）突然而来的业务干扰； （3）消费者口味及喜好的变化； （4）产品质量出现问题而导致对人身的伤害； （5）原材料价格波动； （6）产品未能迎合市场需求； （7）主要管理层的流失； （8）其他实体误用、盗用本公司商号（商标）； （9）资金安全管理； （10）资产安全管理； （11） 会计 系统故障； （12）违反上市规则； （13）违反食品管理、环保法

7、规有关法律规定。 经审计调查，公司管理层对风险识别较为充分，且 计划 每年分两次（期中和期末）对公司面临的风险进行全面的核查，若发现风险变化，即使进行调整，但未能严格实施。而对于机会，管理层没有进行专门识别。 （四）风险评估 1.理论描述。风险评估使主体能够考虑潜在事项影响目标实现的程度。管理当局从两个角度可能性和影响对事项进行评估，并且通常采用定性和定量相结合的方法。 2.审计评价程序。获取管理层对风险进行定性评估的资料，评价其评估的合理准确性以及是否根据内外部环境的变化进行动态修正。 2.十三种风险审计评价程序。公司管理层针对识别出来的十三种风险，制定了防范措施，审计部门相应地制订了审计评

8、价程序。 3.审计评价结论。经审计调查，公司管理层对于风险管理的控制活动要素较为重视，制定的风险防范措施较为全面、严密、可操作，大部分得到了严格有效执行，但也有部分单位未能严格执行风险防范措施。 （七）信息与沟通 1.理论描述。有关的信息以保证人们能履行其职责的形式和时机予以识别、获取和沟通。信息系统利用内部生成的数据和来自外部渠道的信息，以便为管理风险和作出与目标相关的知情的决策提供信息。有效的沟通会出现在组织中向下、平行和向上的流动。 2.审计评价程序。 （1）走访公司IT部和公司内部报刊编辑部，了解评价公司的信息系统的建设和运转情况。 （2）访问公司网站，观察其运转情况； （3）使用公司

9、的局域网、内部电话网，阅读公司内部报刊，评价其运转情况和功效发挥情况。 3.审计评价结论。公司设立了IT部，建立了较为完备、先进的信息管理系统，通过因特网、内部局域网、内部电话网、内部报刊等手段将信息以文字、声音、图片等形式进行传递，并制定各种级别的会议制度进行面对面的信息沟通。但没有建立专门的风险信息生成及传递通道。 （八）监控 1.理论描述。对 企业 风险管理进行监控随时对其构成要素的存在和运行进行评估。这些是通过持续的监控活动、个别评价或者两者相结合来完成的。持续监控发生在管理活动的正常进程中。 2.审计评价程序。 （1）审查内部定期（每天、每周、每月）上报的管理报表（ 报告 ），评价风

10、险管理日常监控职能发挥情况； （2）审查内部审计部门的审计计划、风险管理审计报告，评价其监控职能的发挥情况。 3.审计评价结论。公司管理层通过例行的控制活动、信息报告反馈系统对经营管理状况进行日常的监控；通过内部审计部门对公司所控制的所有单位、项目进行例行审计，报告中时常反映一些被审单位风险管理状况的信息，对风险管理的监控较为及时，但对公司总部层面的风险监控较为薄弱。 三、结语 企业要想在市场 经济 的大潮中基业长青，必须对面临的各种风险进行系统地、全面地管理，这已是不争的事实。借鉴西方先进的风险管理理念、理论、方法、工具，结合本企业具体实际情况，对内部 环境 、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控八个风险管理要素逐一进行分析和评价，查找问题和不足，对风险管理 文化 、风险管理组织体系、风险识别、评估、排序、风险管理策略与方法、风险管理监控与检查、风险管理沟通与咨询等关键的风险管理流程采取措施不断完善，逐步建立企业风险管理系统，是解决风险管理问题的最佳实务。企业应当增强风险意识，逐步建立险管理系统，为企