風險管理主要程序大全11篇

緒論：寫作既是個人情感的抒發，也是對學術真理的探索，歡迎閱讀由發表云整理的11篇風險管理主要程序范文，希望它們能為您的寫作提供參考和啟發。

篇（1）

(一)系統性原則

系統論強調整體性原則，企業財務風險管理是一個系統，系統是由各組成要素相互聯系、相互作用所形成的一個有機整體，系統的各組成要素是不可缺少、不可分割的;系統論強調目的性原則，企業財務風險管理系統通過系統功能的發揮而實現財務風險管理的目標，而系統功能的發揮又與系統的組成及結構有很大關系;系統論強調整體優化原則，企業財務風險管理系統整體性能是否最優會受到該系統組成管理要素及要素間關系變化的影響，若想發揮系統的最優性能，就需要根據環境的變化不斷調整系統組成管理要素及管理要素間的關系，從而達到優化企業財務風險管理系統整體性能的目的。

(二)環境分析起點原則

構建集團企業財務風險管理框架，它就有邊界，邊界外面就是環境。任何活動的實施都是在一定環境下進行的，集團企業財務風險管理活動具有主動適應環境并受環境影響的雙重特性。管理的目標受集團企業戰略目標統馭，制定集團企業戰略目標是在環境分析的基礎上進行的。因此，只有進行環境分析，才能知曉集團企業財務風險管理所面臨的迫切形勢，以及所面臨的優勢和劣勢，然后利用環境造成的機會，回避環境造成的威脅，發揮自身優勢，回避自身劣勢。所以，確立集團企業財務風險管理目標時，必須以環境分析為起點。

(三)目標導向原則

目標是集團企業財務風險管理的方向、也是評價管理效果的依據。我們應該以目標為導向確定集團企業財務風險管理的主體、活動和保障措施。當然集團企業財務風險管理的實施目標和集團企業戰略目標應保持一致，這是由環境分析的結果確定的。集團企業財務風險管理是集團企業財務管理乃至戰略管理的一部分，隨著環境的不斷變化，集團企業財務風險管理處于不同發展階段，可能會面臨不同的問題，因此需要以集團企業財務管理為目標，保持兩者目標的一致性。

(四)具體問題具體分析原則

具體問題具體分析原則是指我們在構建集團企業財務風險管理框架時，在確定集團企業財務風險管理的主體、活動和保障措施，以實現集團企業財務風險管理目標時，要立足于我國的現狀，根據我國國情，而不是一味地照抄照搬國外的做法。當然，我們構建的集團企業財務風險管理框架可以隨著環境而變化、調整、優化，是適應環境的。具體問題具體分析原則要求我們能夠根據環境變化及時改變集團企業財務風險管理框架的構成要素，針對環境保護目標中出現的新的問題不斷完善模式。目前，集團企業財務風險管理面臨的環境發生著非常迅速、異常巨大的變化，這對我們構建集團企業財務風險管理框架提出了新的要求，即要根據環境變化及時調整層次和目標，明確主體、完善活動、健全保障體系、優化實施基礎，合理保證集團企業財務風險管理的效率和效果，實現集團企業財務風險管理的整體目標。

二、集團企業財務風險管理框架的構建

(一)集團企業財務風險管理框架的三層結構

1.目標層。目標是任何實踐活動的最終歸宿，也是指導實施層的重要依據。目標是實施主體的方向和考評依據，沒有目標的行為是沒有任何意義的，沒有目標的實施活動也不會實現預想的效果和效率。因此，目標層的目標要素就是按照環境分析起點原則分析、制定、選擇的切實可行的目標。集團企業財務風險管理的目標包括戰略目標和具體目標，集團企業財務風險管理框架的戰略目標是集團企業層面的長期的、整體的目標，具體目標是不同層次責任主體的具體目標。

2.管理層。管理層是集團企業財務風險管理框架的核心部分，是目標層訴諸于實踐的具體表現。管理層包括責任主體、程序方法和保障體系等要素。管理層以目標層為導向受到目標層的制約，同時又對目標層層級目標的實現起決定作用。管理層更離不開基礎層的支持和保障。因此，管理層是連接目標層和基礎層的橋梁，它是目標層的具體實踐和基礎層的現實表現。

3.基礎層。從目標的建立到為完成目標所開展的管理活動，基礎層都是這個過程的基點。它立足于實際，詳細分析目前面臨的現狀和實情，是整個框架構建的基礎。管理層的管理主體、管理活動和保障體系受基礎層的約束和限制，同時基礎層又為管理層提供支持和保障。

(二)集團企業財務風險管理框架的要素分析

1.管理目標。管理目標是企業通過財務風險管理達到的目標，是我們構建集團企業財務風險管理框架的根本出發點和核心。我們在構建集團企業財務風險管理框架時就必須從管理目標出發。在集團企業財務風險管理框架中管理目標屬于目標層的要素。管理目標是在對集團企業的宏觀、微觀環境進行SWOT分析后得出的戰略選擇基礎上進行戰略評價，在確定企業戰略目標的基礎上，考慮了企業使命和風險承受度后制定的。當然，目標應該從上向下層層分解，每一層管理主體都負有與其權責相對應的目標、指標和考核標準。

2.責任主體。責任主體是集團企業財務風險管理的核心力量，其中，股東大會是公司的最高權力機構，站在所有者角度，通過有效管理所有者的財權，對集團企業財務風險進行管理;董事會是集團企業的經營決策機構，從財務管理的角度看，同樣是經營者財務監督體系的核心和最高層。董事會從行政者的角度，通過全方位負責財務決策有效性，對企業財務風險進行管理;監事會是公司的司法者，在財務風險管理領域，監事會應當全面了解集團企業財務風險管理現狀，跟蹤監督董事會和高級管理層為完善內部控制所做的相關工作，檢查和研究日常經營活動中是否存在違反既定財務風險管理政策和原則的行為;總經理及其集體是公司經營管理最高執行層。從日常財務監督的組織、管理和實施過程看，總經理及其集體的主要職責是負責執行財務風險控制政策，制定財務風險控制的程序和操作規程，及時了解財務風險水平及其控制情況，并確保集團企業具備足夠的人力、物力、恰當的組織結構、管理信息系統以及技術水平，來有效地識別、度量、控制財務風險，并定期或者不定期評價財務風險控制的效果和效率;部門主要包括財務風險控制部門、財務控制部門、內部審計部門等。企業所有崗位能夠實施或者參與財務風險管理的人，都是財務風險管理的責任主體，通過各自職責的履行情況，對企業財務風險進行管理。企業所有崗位都是財務風險管理的責任主體;之所以把子公司單獨列為一個責任主體，是因為集團企業所屬的子公司往往也存在背離母公司的傾向，從而使母公司面臨失控，導致財務風險。

3.程序方法。程序方法是企業財務風險管理的基本程序和方法，是責任主體所表現的行為集合，表現為責任主體進行財務風險管理的行為舉動，同時也是控制系統主要監督、控制的內容，包括規范的財務風險管理基本流程。集團企業財務風險管理的程序方法至少應該包括:風險識別、風險度量、風險應對和管理評價等。集團企業財務風險管理目標實現的效果和效率是由責任主體實施程序方法的效果和效率決定的，必須加強責任主體實施程序方法的引導、控制和評價，以便使集團企業財務風險管理朝著有利于管理目標去組織、貫徹和實施。

篇（2）

 

企業從無到有、從小到大的發展過程，如同人的成長要經歷幼年、青年、中年、老年等階段一樣，也要經歷不同的階段。在每一階段上都具有不同的特征和遇到不同的困難。隨著現代社會的發展，經濟環境變得瞬息萬變，市場競爭越來越激烈。與此同時，企業需要面對的問題越來越多，面臨的風險也越來越大，這樣就迫使企業必須花費更多的精力對付各種風險。 

在市場經濟中有許多失敗的企業，他們的失敗各有其因，但也有一些共同的原因，那就是不重視風險管理，對風險的控制力非常弱。本文研究的問題是面對永遠在變化著的社會環境和經濟環境，企業如何運用內部審計的理論、方法、程序分析自身風險管理現狀，找出問題和不足，提出改進措施和建議，運用先進的風險管理理論對動態變化的風險進行管理，從而實現目標，使企業能夠長期生存發展。 

風險管理理論發展至今，不同的學科、不同的專業機構、團體、研究學者有不同的認識和理解，于是產生了不同的理論派別。本文的理論框架主要來源于美國coso委員會2004年9月制定的《企業風險管理——整合框架》、國際內部審計師協會2004年1月修訂的《內部審計實務標準－專業實務框架》。 

 

一、公司簡介 

 

某集團有限公司是中國最大的肉制品生產企業之一，其產品包括冷鮮肉、冷凍肉、以及以豬肉為主的低溫肉制品、高溫肉制品。集團總部設于中國江蘇省南京市，擁有多處冷鮮肉、冷凍肉生產基地及深加工肉制品生產基地。集團擁有最先進的生產設備和工藝技術，以其獨有的技術方法，研制出一系列符合消費者口味的優質產品。基于肉制品業務的經驗，集團于1997年開展冷鮮肉和冷凍肉業務。2002、2003年，冷鮮肉、冷凍肉的市場占有率分別位列中國大陸第二名、第三名。低溫肉制品，自2002年至2004年，其市場占有率連續三年位居中國大型零售商銷售首位。 

 

二、公司風險管理要素審計評價程序及結論 

 

盡管某集團在香港聯合交易所主板上市，但其實質還是一家中國民營企業，其并沒有建立專門的風險管理組織機構、人員、系統，公司風險管理處于“憑感覺進行風險管理”的階段，只是由管理層根據調查分析、經驗總結，識別、列出公司面臨的四大類十三種主要風險，并制定了一些防范措施。公司審計部作為監督檢查部門，每年至少兩次從集團層面對風險管理進行整體評價，并在每季度對分、子公司執行例行審計過程中，重點關注風險管理狀況。以下試從集團公司層面，以《coso風險管理——整合框架》（以下簡稱coso框架）中所列八要素為線索對公司風險管理進行分析、設計審計評價程序、提出審計評價結論。 

（一）內部環境 

1.理論描述。內部環境包含組織的基調，它影響組織中人員的風險意識，是企業風險管理所有其他構成要素的基礎，為其他要素提供約束和結構。 

2.審計評價程序。 

（1）設計風險相關文化調查表對風險管理的內部環境進行調查； 

（2）審查公司經營決策、管理方針政策、規章制度、行為準則等是否反映了公司的風險管理理念、誠信和道德價值觀。 

3.審計評價結論。公司的風險管理理念屬于風險偏好型，提倡抓住機會，大膽開拓。但對風險管理理念沒有一個書面的說明性的陳述，這些理念存在于董事會及高級管理層的頭腦中，通過收購決策、政策、行為準則、各種規章制度反映出來并加以強化。 

（二）目標設定 

1.理論描述。設定戰略層次的目標，為經營、報告和合規目標奠定了基礎。每一個主體都面臨來自外部和內部的一系列風險，確定目標是有效的事項識別、風險評估和風險應對的前提。 

2.審計評價程序。 

（1）獲取管理層對目標的書面陳述； 

（2）通過訪談、詢問，獲取公司員工對公司目標的知曉、理解程度的信息； 

（3）通過查閱管理層的述職報告，獲取目標實現進展情況的信息。 

3.審計評價結論。公司管理層對風險管理目標沒有明確的書面陳述，公司員工對公司的目標知之甚少，經審計調查總結，目標如下： 

戰略目標：創中國第一肉食品品牌； 

經營目標：顧客滿意最大化，品牌價值最大化； 

報告目標：財務報告真實、完整，符合《上市規則》要求； 

合規目標：遵循國家、行業、企業的法律、法規、制度。 

（三）事項識別 

1.理論描述。管理當局識別將會對主體產生影響的潛在事項——如果存在的話，并確定它們是否代表機會，或者是否會對主體成功地實施戰略和實現目標的能力產生負面影響。帶來負面影響的事項代表風險，它要求管理當局予以評估和應對。 

2.審計評價程序。 

（1）查閱行業有關資料，詢問、訪談高層、中層、一般職工，審查風險識別是否充分、全面； 

（2）審查風險識別過程資料，判斷是否根據內外部環境的變化定期進行修正。 

3.審計評價結論。公司管理層根據調查分析、經驗總結，識別、列出公司面臨的四大類（行業風險，業務風險，財務風險，合規風險）十三種主要風險： 

（1）爆發動物疫情； 

（2）突然而來的業務干擾； 

（3）消費者口味及喜好的變化； 

（4）產品質量出現問題而導致對人身的傷害； 

（5）原材料價格波動； 

（6）產品未能迎合市場需求； 

（7）主要管理層的流失； 

（8）其他實體誤用、盜用本公司商號（商標）； 

（9）資金安全管理； 

（10）資產安全管理； 

（11）會計系統故障； 

（12）違反《上市規則》； 

（13）違反食品管理、環保法規有關法律規定。

經審計調查，公司管理層對風險識別較為充分，且計劃每年分兩次（期中和期末）對公司面臨的風險進行全面的核查，若發現風險變化，即使進行調整，但未能嚴格實施。而對于機會，管理層沒有進行專門識別。 

（四）風險評估 

1.理論描述。風險評估使主體能夠考慮潛在事項影響目標實現的程度。管理當局從兩個角度——可能性和影響——對事項進行評估，并且通常采用定性和定量相結合的方法。 

2.審計評價程序。獲取管理層對風險進行定性評估的資料，評價其評估的合理準確性以及是否根據內外部環境的變化進行動態修正。 

3.審計評價結論。公司管理層對識別出來的十三種風險根據多年的從業經驗和過去的風險發生的記錄進行了定性的評估，由于缺乏相關的人才、技術、資料，尚未對風險進行過定量分析。公司管理層計劃每年分兩次（期中和期末）對公司面臨的風險進行全面的核查和平谷，若發現風險變化，及使進行調整修正，但未能嚴格實施。 

（五）風險應對 

1.理論描述。在評估了相關的風險之后，管理當局就要確定如何應對。應對包括風險回避、降低、分擔和承受。在考慮應對的過程中，管理當局評估對風險的可能性和影響的效果，以及成本效益，選擇能夠使剩余風險處于期望的風險容限以內的應對。 

2.審計評價程序。通過訪談、詢問，了解管理層采取的風險應對策略及理由，評價其合理性。 

3.審計評價結論。公司管理層對識別出來的重要風險制定了相應的防范措施，從風險應對的角度看多為預防性措施，以降低風險發生的可能性，而沒有采取購買保險等風險分擔措施。 

（六）控制活動 

1.理論描述。控制活動是幫助確保管理當局的風險應對得以實施的政策和程序。控制活動的發生貫穿于整個組織，遍及各個層級和各個職能機構。它們包括一系列不同的活動，例如批準、授權、驗證、調節、經營業績評價、資產安全以及職責分離。 

2.十三種風險審計評價程序。公司管理層針對識別出來的十三種風險，制定了防范措施，審計部門相應地制訂了審計評價程序。 

3.審計評價結論。經審計調查，公司管理層對于風險管理的控制活動要素較為重視，制定的風險防范措施較為全面、嚴密、可操作，大部分得到了嚴格有效執行，但也有部分單位未能嚴格執行風險防范措施。 

（七）信息與溝通 

1.理論描述。有關的信息以保證人們能履行其職責的形式和時機予以識別、獲取和溝通。信息系統利用內部生成的數據和來自外部渠道的信息，以便為管理風險和作出與目標相關的知情的決策提供信息。有效的溝通會出現在組織中向下、平行和向上的流動。 

2.審計評價程序。 

（1）走訪公司it部和公司內部報刊編輯部，了解評價公司的信息系統的建設和運轉情況。 

（2）訪問公司網站，觀察其運轉情況； 

（3）使用公司的局域網、內部電話網，閱讀公司內部報刊，評價其運轉情況和功效發揮情況。 

3.審計評價結論。公司設立了it部，建立了較為完備、先進的信息管理系統，通過因特網、內部局域網、內部電話網、內部報刊等手段將信息以文字、聲音、圖片等形式進行傳遞，并制定各種級別的會議制度進行面對面的信息溝通。但沒有建立專門的風險信息生成及傳遞通道。 

（八）監控 

1.理論描述。對企業風險管理進行監控——隨時對其構成要素的存在和運行進行評估。這些是通過持續的監控活動、個別評價或者兩者相結合來完成的。持續監控發生在管理活動的正常進程中。 

2.審計評價程序。 

（1）審查內部定期（每天、每周、每月）上報的管理報表（報告），評價風險管理日常監控職能發揮情況； 

（2）審查內部審計部門的審計計劃、風險管理審計報告，評價其監控職能的發揮情況。 

3.審計評價結論。公司管理層通過例行的控制活動、信息報告反饋系統對經營管理狀況進行日常的監控；通過內部審計部門對公司所控制的所有單位、項目進行例行審計，報告中時常反映一些被審單位風險管理狀況的信息，對風險管理的監控較為及時，但對公司總部層面的風險監控較為薄弱。 

 

三、結語 

 

企業要想在市場經濟的大潮中基業長青，必須對面臨的各種風險進行系統地、全面地管理，這已是不爭的事實。借鑒西方先進的風險管理理念、理論、方法、工具，結合本企業具體實際情況，對內部環境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通、監控八個風險管理要素逐一進行分析和評價，查找問題和不足，對風險管理文化、風險管理組織體系、風險識別、評估、排序、風險管理策略與方法、風險管理監控與檢查、風險管理溝通與咨詢等關鍵的風險管理流程采取措施不斷完善，逐步建立企業風險管理系統，是解決風險管理問題的最佳實務。企業應當增強風險意識，逐步建立險管理系統，為企業保駕護航，這樣企業才能在市場經濟的大海中劈波斬浪，遠航。 

 

參考文獻： 

篇（3）

關鍵詞:ERM;內部審計;基于ERM內部審計

Key words: The ERM;internal audit;ERM-based internal audit

中圖分類號:F239 文獻標識碼:A文章編號:1006-4311(2010)16-0039-03

1內部審計發展歷程簡介

1.1 控制基礎審計最初的內部審計可以概括為控制基礎審計(Control-based Audit),其包括盛行于二十世紀八十年代前的傳統審計活動。其典型特征是獨立外部審計的延伸,在很長一段時間里,企業利用其對財務報表及披露的公允性進行評估并發表看法。該審計主要依賴于實質性測試和合理的保證來證實賬戶余額的正確表述。控制基礎審計主要包括三個部分:一是證實是否與相關法律、規章、政策、原則等相一致,稱之為符合性審計;二是吸收了外部獨立審計的方法來測試和證實賬戶余額,稱之為財務審計;三是對企業內部控制程序設計及運行的有效性進行測試,稱為內部控制測試。

1.2 流程基礎審計流程基礎(process-based)審計通常稱之為“營運”(Operational)審計,盛行于二十世紀八十年代。此時企業經營環境日趨復雜,各種管理思想應運而生,具有代表性的流程再造理論得到極大的推廣,這就要求企業管理者關注企業的業務流程以適應市場變化。在此情況下,內部審計部門積極嘗試采用新的審計方法來關注企業的業務流程并對其加以評價,通過向管理者提供有價值的信息來協助管理者進行管理。流程基礎審計主要以企業最佳實務流程作為評價標準,通過了解企業具體營運目標并研究出完成此目標的最佳實務流程,采用詢問,觀察等方式評價企業當前業務流程并把其與最優業務流程進行對比,評估出兩者的差距及由此而產生的影響,據此形成審計意見并提交給管理部門。

1.3 風險基礎內部審計在二十世紀九十年代,風險(Risk-based)基礎審計開始流行。在此時期,企業所面臨的競爭環境日趨惡化,技術革新的周期也大大縮短,這給企業的經營管理活動帶來了極大的影響,企業目標能否實現具有了相當大的不確定性,企業所面臨的風險成為利益相關者所共同關注的焦點。同時隨著大型公眾會計師事務所積極向企業提供咨詢和內部審計服務,內部審計需要采用新的方法來提供更高的集中度和價值,以此證實內部審計存在的價值。風險基礎審計應運而生。風險基礎審計通過對企業經營環境的了解,識別出企業所面臨的主要風險,采用控制測試和實質性分析程序對企業控制風險的程序進行評價,判斷企業當前實施的控制風險的策略和程序能否把企業風險降低到可接受水平以內,以及是否有效并據此形成審計建議,向管理者提出可行的改善措施。

1.4 風險管理基礎審計在二十世紀九十年代后期,ERM(本文第三部分有相關介紹)開始成為企業全面管理風險的方法。審計部門采用的風險基礎審計方法所關注的風險同時體現在ERM過程中。然而ERM具有風險基礎審計方法所沒有的功能。所以為對企業的風險管理活動進行審計,勢必需要對審計方法進行改進,以此滿足審計活動的需要。風險管理基礎審計基本形成。風險管理基礎審計重點在于識別當前風險管理有效性與期望有效性之間的差距,借助對企業經營環境及其目標的了解,識別出影響目標達成的風險,理解風險容忍度,識別績效與風險衡量方法,并對風險進行評估,同時了解管理人員如何在風險容忍限度內進行風險管理活動,并對風險管理活動的有效性進行評估,據此形成審計建議。此時的風險管理基礎審計是以企業的風險管理活動為審計對象,將內部審計業務嵌入到企業實施的全面風險管理的框架中,對機構的種種風險管理程序和結果進行鑒定和評價,幫助企業實現其目標。由此可以得出風險管理基礎審計被緊緊束縛于企業風險管理活動之中,其所能適用領域也將受到企業風險管理領域的限制。

2采用基于ERM內部審計方法的必要性

為了打破企業風險管理領域的限制,將ERM框架中風險分析思路拓展到內部審計所適用的其他領域,本文提出基于ERM內部審計方法,其定義如下:基于REM內部審計方法是以企業風險為核心,運用COSO框架中系統的、規范的風險管理方法,識別并評估風險,據此確定審計對象,開展審計活動,并對其進行評價和提出改進建議,協助管理人員實現企業的目標。以下兩個方面促使內審人員實施基于ERM內部審計方法:第一,現行的內部審計方法,不適用于已實施ERM的企業。ERM是20世紀90年代以來國際上興起的一種新的風險管理模式。在Deloitte(2007)的調查中顯示,35%的受訪企業已建立起了完整的ERM項目,另外1/3正在建設之中,其余9%正在考慮建設。在國內,2006年6月國務院國有資產監督管理委員會也已下發《中央企業全面風險管理指引》,要求由履行出資人職責的國有企業貫徹執行。渤海銀行、建設銀行、工商銀行、交通銀行和中國銀行等也已先后啟動了ERM項目。在這種情況下,結合IIA(Institute of Internal Auditors, 后文簡稱IIA,即內部審計師協會)有關內部審計的最新定義(下文有相關介紹),內部審計需要對企業實施的ERM項目進行評價,并能夠適時提出改進建議,提供增值服務,以協助管理層實現企業目標。COSO委員會提出的ERM框架中,其風險管理程序揭示了審計業務的分析性思路,故可將其納入到內部審計中來,幫助內審人員提供增值服務。采用基于ERM內部審計方法既能滿足評價企業實施的ERM需求,又可將其運用到內部控制和治理程序的評價中去。同時,并不是所有的企業都實施了ERM項目,在這些企業中基于ERM內部審計方法亦可對其內部審計人員提供指導,強化其服務能力。第二,內部審計自身發展的需要。IIA在1999年對內部審計進行了重新定義:內部審計是旨在增加組織價值和改善組織營運的獨立、客觀的確認與咨詢活動。它通過系統化、規范化的方法來評價和改善風險管理、內部控制和治理程序的效果,以幫助實現組織目標。由以上定義可以得出,內部審計主要通過獨立、客觀的確認和咨詢兩類活動向企業提供服務,以此來增加企業的價值。同時該定義認為,控制的唯一目的是為了幫助組織管理風險、促進有效的治理。同時由于內部審計方法對內部審計職能的更好實現起著至關重要的作用,所以為滿足此種要求,成功的履行其被賦予的受托責任包括內部受托責任和外部受托責任,充分體現內部審計存在的價值,內部審計應當與時俱進,改善其審計方法,來滿足不同審計領域的需求。

3基于ERM內部審計方法實施步驟

2004年9月,美國國家財務報告舞弊委員會(National Commission On Fraudulent Financial Reporting,Treadway Commission)所發起的內部控制研究發起組織(Committee of Sponsoring Organization,COSO)了《企業風險管理框架》(Enterprise Risk Management -integrated framework),該風險管理框架理論是目前為止最完備的并具有廣泛適用性的風險管理理論,受到世界各國理論界和實務界的廣泛關注。在此情況下,本文借助COSO委員會提出的企業風險管理理論框架,使之與內部審計方法進行融合,提出基于ERM內部審計方法。希望其能夠彌補風險管理基礎審計方法不足。同時也希望內部審計人員借此能夠更好地實現其價值增值目標,提升內部審計的地位。COSO委員會提出的ERM從目標、層次和構成要素等三個維度構造了一個包容性很強的框架,其可以通過一個三維矩陣以立方體的形式表示出來如圖1所示。

第一維度,也就是對企業風險管理目標的劃分。新COSO報告將企業風險管理的目標歸為戰略目標、經營目標、報告目標、合規目標四類。對主體目標的這種分類可以使企業的管理者和董事會關注企業的不同側面。第二維度,也就是企業風險管理的要素。為了實現風險管理的有效性,需要以下八個方面的要素支持:內部環境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通和監控。各要素相互關聯,貫穿在企業風險管理的過程之中。第三個維度,是實施企業風險管理的層次問題。ERM可以根據企業的不同需求在子公司,業務單元,分部,主體層次上分別予以實施。本文根據COSO的企業風險管理框架結合內部審計本身已有的內部審計測試方法構建基于ERM內部審計模型:其主要可分為四個部分:

第一,重點審計對象的確定。內部審計部門本身就是企業內部的一個組織,其主動規劃審計項目并進行實施是其應盡的職責,這就使得內部審計面臨著審計項目的選擇問題,如何才能確定出重點審計對象,對內部審計活動來說具有重要的意義。他直接決定了內部審計活動的成敗。在確定內部審計的重點審計對象時,可以通過以下幾個步驟:步驟一:環境分析。企業所處的環境對企業的生產經營活動以及企業的經營目標最終能否實現有著至關重要的影響。對企業所處的內外部環境的了解及分析,是開展審計活動的第一步。企業的外部環境主要包括:行業狀況、法律環境與監管環境以及其它外部因素。內部環境主要包括:企業的經營模式、組織結構與風險偏好等。可以采用觀察、詢問以及檢查等方式來加深對企業環境的了解,從而可以宏觀上把握企業所面臨的各種風險。步驟二:目標設定。在對企業環境進行分析之后,審計師應當明確此次審計的目的,同時了解審計對象即程序運行的目的以及與程序相關的績效評價指標并同時評價兩者的設定是否合理,為隨后的風險識別打下基礎。審計目的可能源于以下幾種情況:進行此次審計是基于管理者的要求,對正在實施的某一程序的有效性進行評價;基于年度審計計劃來審查企業的固有風險;企業環境發生變化,為應對這一變化管理層對相關程序進行重新設計,要求審計人員評價這一新程序是否能夠有效地應對環境的變化;企業發生舞弊案件,管理層要求內審人員就所涉及的相關程序進行評估,查出程序的漏洞等。進行審計的動因并不局限以上的幾種情況,要求內審人員根據企業的具體情形進行判斷。進行風險識別和評估的前提是應明確程序的主要目的以及與其相關的主要績效評價指標。步驟三:風險識別。必須識別出可能會對程序目標實現產生影響的內外部潛在事件以及促使潛在事項發生的主要動因。COSO委員會頒布的ERM框架中對事項做了如下描述:事項可能會帶來負面的影響,也可能會帶來正面的影響,抑或二者兼而有之。帶來負面影響的事項代表風險,它會妨礙價值創造或者破壞現有價值。帶來正面影響的事項可能會抵消負面影響,或者說代表機會。機會是一個事項將會發生并對目標――支持價值創造或保持――的實現產生正面影響的可能性。其建議管理當局把機會反饋到戰略或目標制訂過程中,以便制訂計劃去抓住機會。故此,我們所說的事項僅指給企業帶來負面影響的風險。在此過程中為識別出企業所有影響程序目標實現的風險以及主要動因,最好能夠和程序的相關人員以及所涉及的管理人員進行討論,采用頭腦風暴法,對所涉及的事項進行逐一分析,以期達到最優的結果。例如,提出以下問題,要求參與者發表自己的看法。①在外界環境發生變化時,該程序能否迅速做出恰當的反應?②與該程序相關的文件記錄是否存在缺陷?③該程序在實施過程中有什么意想不到的事情發生?④執行該程序的人員是否能夠勝任此項工作?等等,通過提問和討論直到找到影響程序目標實現的所有潛在的風險及相關的主要動因。審計人員收集到所需的相關資料后對識別的風險進行定義,采用COSO委員會ERM框架下的風險組合觀,把類似的風險加以歸類,集中應對。此過程中得出的風險定義以及風險組合應當與管理者對風險的認識相一致或應取得管理者的認可,從而取得兩者對風險的共同語言。這樣可以加強內審人員與管理者之間的溝通,從而有利于完成兩者的受托責任,實現企業的目標。步驟四:風險評估。對識別出的風險進行評估,主要涉及到風險的兩個方面:風險發生的可能性及影響。通過考慮風險的可能性和影響來對其加以分析,并以此作為決定審計的方向。新COSO框架在風險評估的過程中把風險分為固有風險和剩余風險。而我們在此過程中主要關注與企業相關的固有風險。企業風險評估的方法有多種,主要分為定量分析和定性分析兩種。企業無須對所有的風險采用同樣一種評估方法,可根據不同的風險目標確定相應的風險評估方法,達到成本最低情況下的效益最大化目的。我們在此建議一種方法:九格圖法,并簡單加以論述。九格圖如圖2。首先,我們分別把風險發生的可能性和影響分為低,中,高三個檔次。其次,內審人員應和相關的管理者和程序的執行人員進行討論確定低,中,高的具體分界線是多少。在此過程中涉及了相當大的主觀判斷,不同的審計人員對此判斷可能是不同的,但應取得管理層的認可,即雙方達成共識。例如,對于可能性的劃分:25%以下為低,25%至50%之間為中,50%以上為高。再次,將識別的風險在與管理者和程序執行人員進行充分的討論的情況下,依次填入以上表格。此過程可以通過對風險的兩屬性進行打分來完成。最后,在取得管理層對風險的容忍度的充分理解的情況下,評價識別的風險并進行從高到低的排序。例如,填入1,2,3,4表格中的風險視為低風險。填入5,6,7表格中的風險視為中等風險。填入8,9表格中的風險視為高風險。此過程中對管理層風險容忍度的理解和對風險的排序可以幫助以下的審計活動如,判定審計的具體方向、分配審計資源以及評價審計結果等。

第二,實施測試程序。在重點審計對象確定出來以后,就是具體實施審計測試程序,收集審計證據,為進行評價建議打下基礎。審計測試程序具體可以包括控制測試和實質性程序測試,兩者可以分別或結合使用,可根據不同的情況具體進行選擇。在此過程中,內審人員需要判斷企業程序設計和運行的有效性,就其是否能夠將企業固有風險降低到可接受的水平與管理人員和程序執行人員進行有效的溝通,據此評估出其剩余風險并識別出當前實施的程序與理想程序之間的差距所在,并做出相關記錄。

第三,評價測試結果,提出改進建議。當收集到充分的、適當的審計證據之后,就可以對其進行評價。此階段,通過分析所收集的證據,并與相關管理人員進行有效溝通,就當前實施的審計程序與理想審計程序之間的差距提出改進建議。并將其以恰當的格式提交給適當的管理人員,以便其能夠被采納并得以實施。

第四,實施監控。當建議被管理人員所采納后,其能否如實地被管理人員所實施,關系到內部審計所做出的努力是否能夠被體現出來。因此,需要內審人員對其實施的過程進行監控。此過程可以采用實時或定點檢查等方法來確保改進建議得以恰當的實施。從而企業的經營管理活動得以真正改善。內部審計的價值最終被體現出來。

4結論

在企業經營管理活動面臨極大“不確定”性的今天,內部審計被寄予了極高的厚望。內部審計能否在此情況下滿足利益相關者的需求,體現出其價值,對其形象及其地位的建立顯得尤為重要。本文通過對內部審計方法發展歷程的論述,結合當今內部審計所面臨的環境,提出基于ERM內部審計方法,旨在豐富內部審計人員在進行審計活動時的方法的選擇,而不是對以前審計方法的取代,從而能夠使其按不同的審計目標及不同的審計需選擇恰當的審計方法,能夠高效地完成其價值增值的目標,為企業目標的實現提供支持。

參考文獻:

[1]保羅?J?索貝爾.審計人員風險管理指南:審計與企業風險管理的結合[M].北京:中信出版社,2004.

篇（4）

1、公司成立負責風險管控的專業部門（如風險管理委員會），明確風險管理委員會及各專業委員會，風險管控部、各渠道部門，后援部門和資源部門等在風險管理工作中的角色及工作職責，通過不斷修訂和完善風險管理制度、流程、加強分公司風險管理體系建設，保證風險管理目標的實現。

2、公司各部門結合部門的風險類別，建立并完善相應的內部控制制度，實現風險管理的制度化，標準化，推動分公司風險管理制度建設。各部門要通過對日常業務進行風險監控，收集風險管理信息，對風險點提出整改建議并及時報送風險管控部。依據風險管控部下發的風險管理建議書完成整改。

4、公司明確將風險管理納入各部門日常經營的各個環節，各部門負責人為本部門風險管理第一責任人，對于違反相關內容的部門和個人，依據公司下發的規定結合自身的實際情況，給予追究和處罰。

二、公司各部門有效配合風險管理工作

1、風險管控部牽頭組織，定期收集整理各部門上報的各類風險信息，以及外部監管信息，通過分析匯總，由公司風險管理委員會審批后發放至各部門遵照執行。該部在年度風險識別和評估的基礎上，對“內險分類標準”、“內險識別和評估方法”不斷進行補充和完善，建立公司風險管理庫。制定年度計劃，組織開展風險排查和制度執行檢查工作，對各部門、各機構的風險管理和內控合規效果進行評估，對需要整改的事項下達風險管理建議書。風險管控部年中、年末組織召開風險管控工作建議，總結公司風險管控工作開展情況，并提出改進建議上報風險管理委員會。

2、人力資源部負責建立績效考核制度，對各級管理人員的考核，薪酬、獎懲、晉升等決定與風險管理和內控合規成效相掛鉤。配合風險管控部每月定期組織開展風險排查和內部審計檢查工作，對檢查中發現的各級人員的違規情況報備人力資源部，人力資源部記入人員檔案并納入各層級績效考核。

3、計劃財務部根據下發的會計制度進行日常會計處理；依據預算體系，完成預算的編制、執行、調整、分析與考核的工作；建立財產日常管理制度和定期清查制度，確保財產安全，配合風險管控部進行財務數據相關調查。

4、銷售管理工作由營銷業務部，培訓部、銀行業務部、團體業務部、健康保險部、保費部、財富管理業務部、各機構共同完成，主要負責建立并保持書面程序，對銷售人員的甄選、簽約、薪酬、考核、檔案、品質管理、宣傳材料管理等進行控制；定期對銷售人員進行專業培訓和職業道德教育，建立銷售人員失信懲戒機制；對于銷售過程中已識別的風險，建立并保持控制程序；執行公司的風險管理制度。

5、運營管理部和法人運營部主要負責核保核賠，單證管理及保全管理，建立明確有核保，核賠標準，實施權責明確、分級授權，相互制約，規范操作的承保理賠管理機制；明確核保核賠人員的適任條件，定期對核保核賠人員進行培訓，確保核保核培人員具有專業操守并勤勉盡職；對單證的印刷、保管、領用、作廢和核銷及檔案的保管實施控制。

6、客戶服務部主要負責客戶的咨詢投訴管理、客戶的回訪、客戶服務及柜面管理。建立并保持咨詢投訴處理程序，對咨詢投訴處理中發現的問題進行核實、分析、反饋、進行整改和跟蹤監督，并對公司業務品質管理進行原則確定、統一管理；建立并實施業務操作標準和服務質量標準，對柜面活動的服務質量進行規范管理，并建立客戶服務質量考評機制；按照有關規定確定客戶回訪范圍和內容，對客戶反饋信息進行分析整改并定期跟蹤。

7、信息技術部主要負責信息安全管理、建立信息安全管理體系、對硬件、操作系統，應用程序和操作環境實施控制，確保信息的完整性，安全性和可用性；出入計算機機房有嚴格的審批程序和出入記錄；對系統數據資料采取加密措施，建立健全網絡管理系統，對網絡安全，故障、性能、配置等進行有效管理；對完絡設備，操作系統，數據庫系統，應用程序等設置必要的日志。

8、辦公室主要負責行政管理，負責建立并保持書面程序，對公司的印鑒，合同檔案，職場管理，招標投標、文件、品牌宣傳、固定資產及物料管理等環節進行控制，定期對固定資產及物料進行清查，保證財產的安全，對工作當中已經識別出的風險保持控制。

9、企劃部主要根據公司的戰略規劃，統一制定分支機構組織設置，職責權限，建立健全分支機構管控制度，實現對分支機構的全面、動態、有效管理、包含公司經營目標，經營計劃的督導追蹤、分支機新設、撤銷、變更、晉級等業務。

篇（5）

風險管理作為現代企業管理的一項重要內容，越來越受到企業的重視。而內部審計作為檢查監督和服務機構，必然會參與到企業風險管理當中。但是，內部審計應當如何參與到企業風險管理當中。扮演什么樣的角色，起到什么作用，這是我們首先要明確地，只有明確了這一前提，才能充分發揮內部審計應有的作用。

2004年，國際內部審計協會(IIA)聯合英國內部審計協會和愛爾蘭分會共同發表了一份《關于內部審計在企業風險管理中作用的意見書》(以下簡稱《意見書》)，該《意見書》指出企業的首席審計師在決定內部審計在企業風險管理當中扮演的角色和作用時，應當考慮的主要因素是內部審計所從事的活動是否會威脅到內部審計的獨立性和客觀性，能否促進企業的風險管理和控制程序的完善。基于這一思想，IIA對內部審計在企業風險管理中的作用提出了明確意見。以下是筆者對《意見書》闡述的解讀，并結合實際情況，對內部審計在風險管理中的作用進行的分析。

一、堅持檢查與評價的核JC舴用

IIA《意見書》明確提出，內部審計在風險管理過程中的核心作用包括：監督企業風險管理過程的有效實施；保證企業風險得到正確的評價；評價風險控制程序的有效性；分析關鍵風險的記錄：檢查關鍵風險管理的效果。這五點歸納起來的核心思想就是檢查與評價。

一些企業提出內部審計應當從查錯糾弊的傳統角色中轉變為管理咨詢服務。這種提法理論上是正確的，只是目前的客觀條件還不具備，所以暫時無法實現。按照IIA的建議，內部審計能夠在多大程度上為企業的管理提供咨詢服務，依賴于企業內、外部環境和資源，比如，企業是否依法設立了內部審計委員會，審計委員會是否能發揮其應有的作用；內部審計是否具有獨立性和客觀性；企業預算是否給予內部審計充足的份額；內部審計人員自身的知識和技術水平能否有效的完成對風險的識別、劃分和評估等等。大部分企業的實際情況是，審計委員會雖然已經建立，但基本沒履行應盡的責任；內部審計機構健全，但還是作為企業的一個職能部門受單位主要負責人領導，無法確保審計的獨立性和客觀性，這也是內部審計和外部審計的最大不同；還有內部審計在組織中所受到的重視程度不夠，審計預算經費不足，審計人員自身的素質和能力有待提高等等，在諸多主、客觀條件根本不具備的情況下，內部審計要達到全面開展管理咨詢服務是不現實的。在這種情況下。檢查與評價仍然是目前內部審計在企業風險管理過程中應當承擔的主要責任，也是當前內部審計的工作中心。

二、加強指導和建議的保障作用

IIA《意見書》指出內部審計圍繞企業風險管理有效運行應當提供的保障作用包括：倡導建立企業風險管理；推動風險管理戰略獲得董事會的批準；協助企業進行風險識別與評價；指導管理層應對風險；協調企業風險管理活動的開展；統一風險報告；促進企業經營管理框架的保持和發展。這些都是內部審計為企業風險管理有效運行而提供的指導和建議活動，為企業風險管理的有效實施提供的保障作用。

目前。雖然許多企業強調風險管理，但真正建立了風險管理體系的卻非常少，而且，風險管理體系的建立也不是一蹴而就的，是逐步完善起來的，隨著企業經營環境的改變，還要不斷更新的。內部審計作為企業內部的職能部門，屬于組織的一部分，對于其他職能部門的業務流程比較熟悉，同時，由于內部審計并不直接參與企業的經營管理活動，對企業的經營和管理風險并不承擔直接責任，這使得內部審計具有相對的獨立性，內部審計可以利用這種優勢，從全局的角度，客觀的對企業風險管理進行指導和建議，保障企業風險管理程序的順利實施。

內部審計如何充分發揮保障作用，一是對尚未建立風險管理系統的企業，積極向管理層提出建立風險管理體系；二是通過咨詢指導的方式，積極協助企業管理層完善風險管理系統；三是運用諸如風險導向審計、IT審計等先進的審計方法和技術對企業面臨的風險和控制情況進行分析，及時提出完善風險管理體系的建議：四是通過開展專項審計調查，對直接參與風險管理的職能部門的管理情況進行審計。對存在的風險因素進行批露，并提出相關的建議。

三、內部審計在企業風險管理中不應當從事的活動

篇（6）

關鍵詞 完善 稅收 風險 管理機制 措施

一、明確稅收風險管理基本流程

從分析、歸集各類涉稅信息著手，將風險管理劃分為風險識別、風險評定、風險應對三個階段。風險識別階段，一般通過分年度、季度對各類信息收集和特征歸納，運用推理統計、數據分析等方法，對照稅收風險管理指標體系和特征庫，針對不同角度和領域，找到稅收風險點，對識別出的風險點進行定性分析。風險評定階段，對識別出的風險點，通過人機結合的方式，對納稅人的風險級別進行統一的、基礎性的評定。稅收風險大小以稅收風險積分表示，以稅收風險發生概率和風險發生造成稅款流失的嚴重程度即強度為主要評價因素，通過設立風險評定項目分值和風險強度系數，計算風險積分，按季對納稅人進行風險等級劃分，分為一至五個等級，五級最高，一級最低。風險應對階段，針對不同風險等級的納稅人，采取差別化的管理和服務。各業務科室、基層局各職能部門可以直接參與到具體的風險應對工作中，形成縱向各層級、橫向各部門的聯動互動、協調協同的風險應對工作機制，確保稅收風險管理取得實效。

二、強化稅收分析

稅收風險管理中，風險控制標準的制定和執行成為風險管理體制有效運轉的重要保證。而加強對稅收風險點的識別和定位，對稅收風險點進行詳細分析則是有效識別和定位稅收風險，構建合理稅收風險管理系統的重要基礎工作。高質量的分析工作可以不斷提高各級稅收管理層的稅收風險預警能力。提高稅收風險管理的針對性和指向性。按照國家稅務總局的要求，稅收分析可以細分為經濟稅源分析、政策效應分析、管理風險分析和預測預警分析。其核心內容是依托信息平臺，根據內外部數據來源，對稅源企業進行分類分級，明確各級稅源監控的。標準、范圍及要求，按照風險級別排序，采取有針對性的稅源監控措施，合理地配置稅收管理資源，提高稅源管理的針對性和有效性。

三、健全稅收管理機制，建立專業化的風險控管運行機制

按照稅收風險管理的程序要求，各級稅務機關，特別是各級管理層，通過轉變管理職能，逐步建立滿足風險管理體系建設需要的各類運行機制，主要包括：風險管理戰略規劃管理機制、風險信息情報采集交換機制、風險信息分析識別管理機制、風險等級估算排序管理機制、風險應對策略選擇管理機制、風險應對措施實施管理機制、風險管理全程監控評估機制等。

建立稅收風險管理規劃目標管理機制。承擔稅收風險戰略規劃管理的稅務機關，通過建立部門聯席會議，形成稅收風險管理戰略規劃管理工作機制，承擔系統風險管理的規劃管理工作，對規劃期風險管理的工作目標、階段重點、方針策略、主要措施、實施步驟等作出系統性安排。對規劃期風險管理工作開展情況進行全程跟蹤監控；在規劃期末，對作出及時的總結評估，為風險管理體系持續改進、持續完善，為未來稅收風險戰略管理的規劃安排提供改進建議。

篇（7）

企業風險管理體系簡介

要對風險管理過程的充分性和有效性進行評價，首先要對風險管理體系有一個初步的了解。根據美國COSO委員會《企業風險管理框架》的要求，建立風險管理體系包括相互關聯的八個風險管理要素，各要素貫穿在企業管理過程中，為實現企業目標提供保證。

第一是內控環境。主要是在企業中樹立風險管理理念，營造一種風險管理文化，為其他風險管理要素打下基礎。

第二是目標制定。管理者必須首先確定企業的目標，才能夠確定對目標的實現有潛在影響的事項。根據企業確定的任務或預期，管理者制定企業的戰略目標，選擇戰略并確定其他與之相關的目標并在企業內層層分解和落實。

第三是事項識別。下列事情可能給組織帶來風險：因使用不正確、不及時、不完整、不可靠的資料而導致決策錯誤；記錄有錯誤、會計核算資料不真實、不完整；資產保護不當；顧客不滿意，組織信譽受損；執行組織決策、計劃、程序不力，或有違法違規行為；不經濟地獲取或無效地利用資源；沒有完成組織的任務和目標。需要企業的管理者對其進行識別、評估和反應。

第四是風險評估。風險評估可以使管理者了解潛在事項如何影響企業目標的實現。管理者應從兩個方面對風險進行評估-風險發生的可能性和影響。對于風險的評估應從企業戰略和目標的角度進行。

第五是風險反應。風險反應可以分為規避風險、減少風險、共擔風險和接受風險四類。對于每一個重要的風險，企業都應考慮所有的風險反應方案。有效的風險管理要求管理者選擇可以使企業風險發生的可能性和影響都在風險容忍度之內的風險反應方案。

第六是控制活動。控制活動是幫助保證風險反應方案得到正確執行的相關政策和程序。控制活動存在于企業的各個部分、各個層面和各個部門，通常包括兩個要素：確定應該做什么的政策和影響該政策的一系列程序。

第七是信息和溝通。來自于企業內部和外部的相關信息必須以一定的格式和時間間隔進行確認、捕捉和傳遞，以保證企業的員工能夠執行各自的職責。

第八是監控。對企業風險管理的監控是指評估風險管理要素的內容和運行以及執行質量的一個過程。企業可以通過持續監控和個別評估兩種方式，來保證企業的風險管理在企業內務管理層面和各部門持續得到執行。

從以上八個風險管理要素可以看出，企業風險管理是一個過程。是一個由企業的董事會、管理層和其他員工共同參與的，應用于企業戰略制定和企業內部各個層次和部門的，用于識別可能對企業造成潛在影響的事項并在其風險偏好范圍內管理風險的，為企業目標的實現提供合理保證的過程。

內部審計在風險管理中的作用

根據《內部審計實務標準》對內部審計的定義：內部審計是一種獨立、客觀的保證與咨詢活動，目的是為機構增加價值并提高機構的運作效率。它采用系統化規范化的方法來對風險管理、控制及治理程序進行評估和改善，從而幫助機構實現其目標。所以在風險管理中，內部審計要發揮兩方面的作用：

第一是對風險管理過程的充分性和有效性進行評價，主要從以下幾個方面進行評價：1.評價企業戰略目標的制定是否是在分析組織和行業的發展情況和趨勢、企業的優勢和劣勢、外部的機會和威脅的基礎上結合企業風險偏好來制訂；2.與相關管理層討論部門的目標，看分解到各部門的目標是否對戰略目標提供足夠的支持；3.評價管理層對風險的識別和評估是否準確；4.分析控制措施是否完善，是否可以使企業風險發生的可能性和影響都落在風險容忍度之內；5.風險監控是否持續得到執行，監控報告制度是否恰當，風險管理報告是否充分、及時。

第二是以咨詢顧問身份協助機構確定、評價并實施針對風險管理的方法和控制措施。內部審計在該方面的作用包括：1.進行控制和風險評估培訓。使風險意識貫穿于整個企業的各個層面，并且使每名員工能夠有效識別風險并提出有效控制措施，實施企業全員、全過程、全方位、全天候的風險管理。2.召開控制和風險評估專題討論會。針對重大風險隱患，要集合企業內外部的專家進行專題研討。審計人員既是組織者，又是參與者，同時也是學習者。3.開發自我評估工具。對風險管理進行深入研究，利用現代技術開發適合本企業的評估工具

將企業風險管理融入內部審計程序

在風險管理中，內部審計部門主要是對風險管理部門和其他相關部門所進行的風險管理進行再監督。因此內部審計程序與機構的風險管理之間應該協調一致，使這兩項工作產生協同增效的作用。

1.在編制審計計劃時，應該在對可能影響機構的風險進行評估的基礎上，制定內部審計部門的審計計劃，確定審計項目。

2.確定審計范圍時，要考慮并反映整個公司的戰略性計劃目標，并每年對審計范圍進行一次評估，以反映機構的最新戰略和方針。

篇（8）

概括來說,校企合作的風險具有以下特征:第一,客觀性。客觀環境的復雜性、社會的發展性和學校與企業等主體認識的局限性,決定了校企合作的風險是不以人的意志為轉移的客觀存在。決定校企合作風險的許多因素都是相對于風險主體而獨立存在的,并且在一定條件下使得風險由可能轉化為現實。對校企合作風險的管理應以承認其客觀性為基本前提,從而加強對風險因素的系統性管理,統籌兼顧,以最大化地消除風險。第二,不確定性。源于校企合作雙方內部或外部的某一事件的發生具有可能性即不確定性,該事件會影響校企合作目標的達成程度,既可能產生積極影響,也可能產生消極影響,或兩者兼有。這種不確定性往往是復雜的、多元化的,使得風險主體無法準確預期自身和外界環境的未來以及校企合作的成效。第三,相對性。校企合作風險的大小是針對風險承受能力不同的風險主體而言的。對不同的校企雙方來說,完全相同的風險因素產生的風險大小可能是完全不相同的。

因此,校企雙方應具體地結合自身狀況和客觀環境綜合分析,完善管理策略和應對機制,這是進行校企合作風險管理的基礎。第四,對稱性。風險和收益對于校企合作主體來說同時存在,一般來說,所面臨的風險越高,所要求的風險補償即收益就越高。承擔風險是取得收益的必要代價,所得收益是對承擔風險的補償。在校企合作中,應把握適度原則,只有適當的風險對校企合作才最有利,它有助于激發校企雙方潛能,使雙方在各展所長中進行優勢互補,在風險管理中獲得最大收益。風險過高或過低對校企合作都是不利的,低風險通常意味著低回報,對校企雙方,尤其是以逐利為目的的企業來說,動力的缺乏容易導致合作停滯不前、難以維系;雖然高風險往往伴隨著高收益,但也蘊含著更大的不確定性和不穩定因素,一旦風險由可能變成現實,不僅會導致校企合作的破裂,還可能會對校企合作的雙方帶來重大不利影響。

二、校企合作風險的主要類型及成因分析

1.信用風險

信用風險又稱違約風險,是指由于校企合作的雙方或一方未能履行合作協議所規定的義務或信用質量發生變化,從而給校企合作雙方或一方帶來損失的可能性。對大多數高校和企業來說,信用風險幾乎存在于所有的校企合作中,而企業是引發信用風險的主要方面。從投入產出比來看,人才培養需要長期投資教育,投資周期較長、成本較高,而教育效果的時滯現象,使得企業的短期內投入遠大于產出。此外,企業的逐利性導致其比較注重短期既得利益,故而多數企業在合作的過程中,基于自身利益的考量,為達到短期利潤最大化的目的不惜以降低校企合作質量為代價。

2.產權爭議風險

由校企合作雙方在投入方式上的差異及投入的難以量化導致的在產權保護和產權歸屬上產生沖突的風險[2]。在校企合作前期,產權爭議主要受到利益預期、外部環境等因素的影響,中期主要的影響因素是內部環境、成本控制等,后期的主要影響因素是產權的歸屬和利潤的分配。同時,合作協議模糊不明及合作前期準備工作不充分,也是產權爭議產生的重要原因。一旦發生爭議,校企雙方沒有明確可依的合作協議和事前的相關文件、解決方案等,使得分歧難以化解,甚或矛盾加劇乃至訴諸法律。

3.共同利益風險

在校企合作的中,由于雙方的共同利益得不到滿足而引發的風險,常與信用風險交織并發。資源依賴理論認為,組織是一個開放的系統,沒有任何組織賴以生存和發展的資源是能夠自給自足的[3]。共同利益是校企合作的基礎,只有校企雙方的需求都能在一定程度得到滿足,其合作才能延續和發展。一般來說,企業希望在校企合作中滿足下述幾方面的需求:未來穩定的企業用工來源、技術支持、員工培訓、引進先進的技術、合作科研開發和贏得社會聲譽等[4]。而學校在校企合作中,希望通過與企業共同建立實訓基地和引進企業高級人才來校講學等途徑,解決學生的實習問題,加強教師專業能力發展,推進人才培養模式的創新和課程體系的完善等。在合作中,如果雙方的需求無法滿足,則合作將難以維系,風險就極易發生。

4.操作風險

操作風險潛藏于校企合作制度、內部程序等各個方面,風險發生概率極高,因此應該加以重視。大多數校企合作普遍存在合作協議空洞模糊的問題,對合作所必須的具體實施細則和內部程序的制定不重視,對參與人員的職責分配、校企雙方利益分配的界定不明確,對合作期間的成效反饋機制、參與人員管理機制和風險監控機制的建立不完善,校企合作缺乏系統的管理,呈現表面化、功利化的態勢。而良好的校企合作的建立需要合理完善的程序指引和制度規范,這其中涉及如何協調校企之間的利益分配、如何保證主要參與者積極履行職責、如何激發企業參與校企合作的能動性等。

5.學生安全風險

學生在校企合作過程中出現傷亡事故引發的風險,這類風險發生概率雖小,而一旦發生,尤其是死亡事故的發生,校企雙方的態度會出現很大轉變,通常會由積極主動變得冷漠推諉,給校企合作帶來沉重打擊。之所以出現這種情況,一方面在于校企雙方缺乏安全意識,對學生缺少安全教育和安全管理;另一方面在于校企合作雙方責任劃分不明確,且缺乏風險規避、風險轉移等風險管理機制。

三、校企合作風險管理程序

1.確定風險管理目標

目標是行動的綱領,校企合作風險管理的第一步就是要明確目標,這是校企合作的出發點和歸宿。校企雙方通過合作來滿足自己的利益需求,因此,制定目標時應先考慮雙方的利益訴求,然后在雙方利益盡可能最大化的基礎上尋求平衡點。校企合作的目標往往是多元化的,包括維持合作的長期存在,創造校企雙方的雙贏局面,最小化校企合作的風險代價,防止可能造成的學生傷亡事故等。風險管理目標是一切風險管理決策和行動的核心依據,它使得風險管理計劃成為一個整體問題,其中涉及的每一項具體工作都是這個整體中的有機組成部分。

2.識別并評估風險

識別并評估風險是校企合作風險管理工作中非常重要的一項工作,風險管理工作的成效如何主要取決于對風險的識別和評估。校企雙方應各自抽調出熟悉校企合作項目情況的專家、高級管理人員等組成風險管理委員會,對校企合作所面臨的具體風險進行有效識別,并利用歷史損失信息和數理統計方法對所識別的風險進行量化評估。風險評估包括評估潛在損失頻率和潛在損失程度兩個方面,主要用于對風險的定級。用潛在損失頻率對風險加以定級,特別是在無法取得精確資料的情況下,可以對損失頻率進行粗略估計,分為幾乎不會發生、不大可能發生、頻率適中、肯定發生四個等級。在校企合作中,因此更多的是用潛在損失程度進行定級,由于損失程度往往是影響校企雙方回報的關鍵性因素,主要分為三個等級,致命風險、嚴重風險和一般風險。對校企合作風險的有效識別和合理評估,有利于管理者全面掌握風險信息,并為風險管理后續工作的進行奠定基礎。

3.制定并實施風險管理計劃

在風險評估工作結束后,風險管理委員會必須選擇最適當的應對風險的方法或綜合方案,制定風險管理計劃,其核心在于面臨不同的風險應采用不同的可行性方法。當風險是內生時,即校企合作面臨的是可控風險,委員會應及時排查合作漏洞,通過明晰合作雙方的責任和義務,細化合作內部程序來規避操作風險。當風險不可控時,利用合作協議轉移并分散風險便成為委員會風險管理的合理選擇,其實質就是風險的補償措施。即當風險事故一旦發生,將損失的一部分轉移到合作雙方以外的第三方身上。例如,為實習學生購買意外傷害保險,將風險轉移給保險公司。風險管理計劃只有付諸實踐,才能產生應有的成效。因此,計劃的實施是風險管理中必不可少的環節,這依賴于風險管理委員會和校企雙方工作人員的密切配合、及時溝通和信息共享,這樣才能將風險管理落到實處,促進合作目標的達成,否則風險管理只能停留于表面、流于形式。

篇（9）

1風險管理與內部控制架構

西方商業銀行都建立了全面風險管理框架，對各類業務、各種風險進行管理和控制，并根據各自的業務特點和管理需要，對風險進行分類。如摩根大通銀行將風險主要劃分為信用風險、市場風險、操作和經營風險、流動性風險、權益風險，按照風險種類進行管理和控制。

在風險控制結構的設計上，主要考慮要保證銀行能夠形成強勢的、信息充分的風險文化，使銀行在進行經營決策時，能夠在風險與回報之間進行平衡，進而實現股東回報最大化。因此，風險控制的要點是要保證銀行的經營行為要與對風險的承受能力保持一致，避免造成過大的風險壓力。

在組織架構上，實行層級管理，分為3個層面。首先是董事會及其下屬的風險管理委員會(風險政策委員會)，其職責主要是從宏觀層面上設定銀行的風險管理政策、方針，批準風險管理政策、進行風險限額授權、對管理層的風險管理工作進行評價等，而不涉及具體業務的風險管理工作。其次是高級行政管理層，負責建立操作流程、風險限額、風險準備的提留等。再次是具體執行層面，由專門的風險管理部門負責對具體業務風險的管理、授信業務的審批、檢驗風險管理程序是否合理。

蒙特利爾銀行自董事會到各級管理部門均建立了不同層次的風險管理委員會，包括董事會所轄風險審核委員會、行長所轄部門風險委員會、風險管理委員會及資本管理委員會等。董事會及管理層負責審核風險管理的政策及規定，風險管理委員會及審計委員會負責處理大額業務或特殊業務、制定信貸政策及風險管理框架等；專業化的風險管理小組負責處理特定行業、部門或產品的風險；專一的小組負責貸款的清理及回收。信貸員正式上崗之前必須經過一系列的業務知識和技能的培訓，并經過嚴格的資格認定；對待特殊風險問題，需聘請咨詢專家提供支持；資產組合管理人員通過引入信息管理系統，及時利用外部各種渠道掌握客戶的全面信息。審計部門每季度對銀行的內部控制狀況進行評價，并將評價結論向董事會的審計小組進行匯報。

蒙特利爾銀行很強調風險管理專家的作用，在銀行的風險管理部門和前臺經營部門中都設有風險專家，風險管理專家的能力和經驗有助于強化風險管理的作用，提升紀律化、高效的風險管理程序的價值；為評估和接受風險建立風險管理標準；在決策過程中采用有效的模型，以作出合理商業判斷。

摩根大通銀行的最高決策機構是董事會，在董事會下設有風險政策委員會，負責所有風險的管理。風險政策委員會下設立了執行委員會。執行委員會的職責有兩項，一是負責戰略指引，二是負責內部評價。執行委員會下設立了資本委員會和風險管理委員會。資本委員會的職責有以下6項：(1)提出資本比率的目標建議并負責監控該比率；(2)提出資本分配的建議；(3)監控公司及母公司的流動性，批準抵押品及流動性計劃政策；(4)評價公司的資本充足性及債務水平；(5)為資本充足性和流動性的討論提供一個論壇；(6)從潛在流動性風險的角度評價特殊目的實體的風險敞口。風險管理委員會的職責有以下6項：(1)提供全面、直接的風險描述及風險偏好；(2)評價并批準公司政策和風險戰略：以保證銀行的風險管理和監控能夠準確反映經營授權、經營行為、合法性及是否滿足監管要求等；(3)批準集合限額和授權以控制風險；(4)監控重要風險敞口、頭寸集中度、資產流動性、重要頭寸及交易的風險限額，對壓力情況給予特別關注；(5)評價折扣的充足性并批準損耗；(6)提供風險討論的論壇。

紐約銀行風險政策部門的層級劃分及職責是：最高一級是高級風險政策官，負責監控整個銀行的市場風險、信用風險、操作風險；其下設立分別負責信用風險、市場風險、操作風險的高級官員；然后是高級國際業務風險官；最后是地區信貸官，分別負責歐洲、亞洲及其它地區風險控制。

2信貸風險控制方法

2．1摩根大通銀行風險經理制度

摩根大通銀行在總行設首席風險經理，曲副行長或副行長級高級管理人員擔任，負責全行各種風險的控制和管理，監控各種可能對全行業務發展有重大影響的“重大風險”。在首席風險經理領導之下，每個信貸業務部門都有信貸風險的專門管理人員——信貸高級風險經理，他們都由首席信貸官主管。在首席信貸官之下有3個高級信貸官，其中2人分別負責國際或國內的批發業務，另1人負責零售業務。在3個高級信貸經理之下，還有區域風險經理，分成幾個地區，例如亞太地區、歐洲地區等。或者按產品分，如資本市場、信用卡等。在區域風險經理之下，每個部門還有信貸風險管理人員，他們在技能、分析、管理方面比較有優勢，所以能從事這項工作。在業務部門內，風險管理人員有最高審批權，即他們對其各自所負責管轄的區域或產品領域內的信貸額度有最終的審批決策權。這里還有一個原則，即每個信貸風險管理人員有兩個上司，一個是較高級的信貸執行官員，一個是本部門的負責人。這種方法使高級信貸人員能夠參與信貸管理，他們不僅說行與不行，還要說出理由。

2．2信貸業務雙簽制度

摩根大通銀行根據不同部門、不同級別有關人員的能力和業務需求，給予不同的信貸業務決策審批權限。風險較高的業務需要高級管理人員審批，風險特別高的還要更高一級的官員批準。但不管誰批．至少需要2個或2個以上的簽字人。蒙特利爾銀行除客戶管理部門授權之內的業務、風險較低的業務及特定的小額業務之外，銀行發放貸款時，除信貸經營部門(客戶管理部)批準同意外，還需要得到信貸監控部門的同意。如果兩個部門意見不統一或超權限的項目均要分別報上一級主管部門。

2．3小額信用風險的控制

由于零售業務單筆規模小但筆數多，違約率高但單筆違約損失小的特點，其風險主要表現為系統風險。根據這一特點，蒙特利爾銀行針對零售業務采用了自動審批貸款系統，只要將客戶資料輸入．系統即可以判斷是否應該給予該客戶以信用支持，以及可以給予多少信用額度。該系統還和社會信用系統相連接，可以直接得到該客戶的信用資料。自動審批貸款系統的采用，在控制系統風險的前提下，極大地節約了人力成本。

3風險管理程序和風險管理模型

嚴格的風險管理程序和有效的風險管理模型是風險管理中非常重要的手段。銀行通過使用這些程序和模型，保證了整個銀行系統對風險管理的一致性和有效性。程序是銀行的操作規范，一旦制定以后，就要求各部門和分支機構嚴格按程序操作。這種程序是對經營和管理行為的約束，銀行工作人員只要遵守這些程序，就會得到程序給予的保護。銀行審計部門每隔一定時間就會對這些程序進行評價。 模型在銀行中使用的范圍很廣，從非常簡單的交易，到復雜的貸款組合管理和資本管理。銀行的經營部門使用這些模型，來指導戰略決策，用于制定每天貸款、交易、承銷、投資和操作決策。在風險計量方面，也開發了有效的模型。銀行使用這些模型來計量各類風險敞口(包括信用風險、市場風險、流動性和融資風險、操作風險)。蒙特利爾銀行以在險資本方法計量銀行整體風險。

模型的廣泛采用，依賴于銀行內部有效的審查能力。依據已經建立起來的程序，模型必須先由風險管理人員獨立進行測試和評價，以保證其完整性不因經營環境和使用者的改變而改變。這樣的程序對模型的適用性和假設前提的合理性提供了獨立的證明。在模型采用之前進行檢查，保證了輸出結果的正確。對模型的測試和評價，還包括輸出結果的敏感性。對模型和假設前提，根據情況進行更新。評價的日程安排取決于評價的復雜性和評價對財務的潛在影響。

4管理政策

信貸管理政策、風險管理政策等是指導銀行日常風險管理、經營活動的原則。紐約銀行和蒙特利爾銀行按照營業單位(或產品線)制定信貸政策，由于這些政策的執行涉及到整個銀行的利益，因此，在蒙特利爾銀行，這些政策由風險主管向董事會提出。在蒙特利爾銀行，每個信貸經營部門還要制定貸款指南，要得到風險管理部門同意。

5風險回報觀念與經營管理

風險回報的觀念在銀行日常經營管理中得到了充分的體現，這一觀念貫穿于銀行的資本管理、戰略管理、產品定價等各方面。在資本管理上，引入了經濟資本、在險資本等概念。其核心思想是，各種銀行業務都承擔了不同程度的風險，因而需要不同數額的資本來作保障。在險資本是依據風險進行資本管理的基礎，可以具體計量出為支持某種產品線的活動所需的資本及資本的潛在成本，以此對該產品線的表現進行綜合評價，并對各類產品線的表現進行比較。

在戰略管理上，強調銀行最后承擔的風險必須與銀行股東回報最大化的目標相一致。因此，基于上述資本管理的基礎，可以對各種客戶戰略、產品戰略進行比較，進而作出選擇，確定銀行經營戰略，調整日常經營。在產品定價方面，按照高風險高回報、低風險低回報的原則，具體確定每一筆業務的價格。

6內部風險等級評定

內部風險等級評定是商業銀行內部風險管理的重要手段，對客戶和產品都要進行內部風險等級評定。對產品的評級建立在客戶評級的基礎上，有時對產品的評級會高于客戶評級，但不會低于對客戶的評級。銀行通過對產品評級，來確定這筆業務應得的回報，評級較高的業務，只需要較少的資本保證，可以定價較低，反之，則定價較高。

紐約銀行的內部風險等級分為18級，基本上分別與穆迪的評級、標準普爾的評級一一對應。蒙特利爾銀行客戶風險級別從0到80，摩根大通銀行的信用評級分為10個等級。3家銀行內部風險等級的認定程序稍有不同。紐約銀行和摩根大通銀行內部風險評級工作由前臺部門的人員提出評級結果，但要得到后臺風險管理部門的認可。由于銀行都實行全面風險管理，后臺人員會對前臺人員的風險分析進行輔導，前臺和后臺人員對風險有著共識。如果風險管理人員認為評級結果有問題，可以提出不同意見，但要提出充足的理由。蒙特利爾銀行由客戶管理部門根據特定的模型對客戶進行風險評級，風險管理部門需經常對客戶評級進行抽樣調查，確定評級是否合理。對客戶的信用評級實行年審制，對每筆不良貸款實行季審并采取必要的準備金或沖銷措施。

篇（10）

美林證券的組織架構可以分成四個部分，即最高決策管理、內部管理、業務管理和區域管理。這里只分析美林較為重要的決策管理和內部管理。

決策管理美林證券的最高決策管理層主要包括董事會和執行管理委員會。董事會下設董事會辦公室、審計委員會、薪酬委員會等，主要負責公司的發展規劃、戰略管理和重大投資決策，對公司內部管理進行審計監督等。同時，它在全球范圍內監管美林與公司和機構客戶的關系，并加強引導以確保公司動員整體資源來滿足這些客戶的多樣化需求。

執行管理委員會主要負責公司的具體政策和管理程序的制定，公司各種決策的執行以及總體業務的策劃、協調及統籌管理等。該委員會包括董事長辦公室和總裁辦公室的行政管理者，以及負責營銷企劃、技術服務、風險控制、全球業務、財務監管等方面的高級主管。

內部管理美林公司的內部管理是按照職能來劃分部門的，其重點是實行有效的監管和激勵。監管主要是通過財務稽核、法律督察和風險控制來實現，分別由財務部、稽核部、法律部和風險管理部等負責；激勵主要是通過人力資源管理來實現，由專設的人力資源部負責。內部管理部門直接由執行管理委員會領導，同時他們與董事會下設的審計委員會、薪酬委員會等保持經常性的聯系和溝通，以便董事會可以有效地履行監管職責。

美林的這一組織模式既不同于傳統的直線型、職能型架構，也不同于按照職能、產品劃分的簡單的矩陣型組織架構。總體來說，美林的組織模式屬于一種多維立體型網絡架構。

美林的這種組織架構具有以下主要特點：

一是內部管理強調監管和風險控制。作為一家跨國集團，美林在全球范圍內開展投資銀行業務，需要承擔很大的政策風險和市場風險。為了協助各營運部門管理和控制風險，美林集團無論是在組織架構中的部門設置，還是在政策制定、業務拓展方面都強調應加強財務監管、風險識別、風險測量、風險評估和風險控制，在進行成本收益分析的前提下，盡力保證公司資產的穩健運營，提高資產的營運質量。

二是決策管理強調集中統一。美林集團的組織架構中包含了極具特色的委員會管理模式，這一模式作為集中統一管理的主要形式正在被越來越廣泛地采用。一般來說，設立執行管理委員會的優勢主要有兩方面：一方面，在集團決策中可以采用集體智慧進行審議和判斷；另一方面，有利于各部門之間、計劃和政策之間的相互協調。

三是多維立體型的網絡組織架構獨具特色。在美林的組織模式中，按照職能劃分部門的內部管理、按照客戶需求劃分部門的業務管理以及地區營運總監負責制的區域管理這三個系統相互有機地結合成為一個整體，并由決策層的執行管理委員會集中統一協調。所有的重要決策，均通過執行管理委員會沿著這三個方向推進，最終付諸實施。這種多維立體型的網絡組織架構將多元化的專業分工與集中統一協調的優勢融為一體，是美林組織架構的最大特色。

風險管理哲學

風險承擔是美林證券核心業務中不可分割的組成部分。美林在從事各項業務活動時，面臨著各種不同風險，包括市場風險、信用風險、流動性風險、程序風險以及其他風險，需要全面地管理和控制這幾類風險。

美林集團認為，業務的主要風險并非來自金融產品本身，而是來自管理上的共誤，比如違規運作和缺乏監管。十多年前，美林集團總結了一套風險管理理念，盡管風險管理的方法和策略一再改變，但是風險管理的基本理念卻一直維持延續下來。

這些基本理念包括六項原則：在任何風險管理程序中，最可靠的途徑和工具是經驗、判斷、溝通和聯系；加強公司內部風險監管，強化紀律和風險意識；有關投資的決定必須以清楚、簡要的方式作出，并傳達到下屬；風險管理部門必須考慮可能出現的意外情況并確定風險限額，找出潛在問題和不足之處；風險管理程序的執行必須靈活，以適應不斷變化的環境；風險管理的主要目標是將承受損失的可能性降至最低，這樣的損失通常是由意外事件所引起，大部分風險管理的統計模型無法預計。

公司風險管理委員會（Corporate Risk Management，CRM）確保這些風險在整個公司范圍內得到明確的定義、監控和管理。為此，公司風險管理委員會建立了一套風險管理程序，具體來說包括以下幾個方面：

建立一個正式的風險管理架構，明確定義風險監控程序和它的組成部分；董事會下設審計委員會對風險管理過程進行經常性審查；制定明確定義的風險管理政策與程序，并得到最適合的高級分析工具的支持；在業務部門、執行部門和風險管理部門間保持嚴格的責任、控制和監控隔離的同時，促進它們之間的交流與合作；明確定義和表達各個業務層次的風險承受能力，并且經常審視以確保其與公司的業務戰略、資本結構、現實和預期的市場狀況相符合。

風險管理組織結構

為了在基層交易部門強化風險管理機制，美林公司制定了風險控制策略和操作規程，要求相關的區域機構和單位在識別、評價和控制風險時予以遵循。這些風險控制策略和操作規程的實施由許多部門共同完成，包括全球風險管理部、信貸部以及其他風險控制部門如財務部、審計部、經營部、法律部和紀檢部等。

在風險管理的組織結構上，除了各部門自己承擔其職責范圍內的風險管理責任外，美林公司還成立了由風險管理部、信貸部和有關高級管理人員組成的風險控制委員會和儲備委員會，監察整個風險管理機制的運行。風險控制委員會和風險管理部對所有機構交易活動進行風險監控。其中風險管理委員會除了向董事會及其財務委員會報告工作外，在運作上獨立于美林集團的其他營運部門；儲備委員會監察與資產和財務有關的風險事務，由財務總監主持，負責檢討和批準美林集團的儲備金水平及儲備金處理方法。

美林證券風險管理部門的組織結構是按照不同的地區及產品來劃分的，以確保風險管理人員可以直接監察單項交易。風險管理部門的主要職責是：定期與高級交易經理會商、商討有關風險；制定風險控制及指引，以協助交易部門對沖；制定和監督所有交易限額；同其他部門的代表一起負責審批新產品、新業務的開發事項；在承接有關股票、高收益產品、新興市場包銷、物業融資以及過渡性貸款等業務之前，必須事先取得風險管理及其他控制部門的批準，風險管理部有權要求削減個別交易的風險限額，甚至有權否決交易。

風險框架

篇（11）

一、在系統風險評估的基礎上制定審計計劃

在審計工作的序列行為和程序中，醞釀、制定審計計劃是第一步也是決定后續階段性質和內容的關鍵步驟。在風險導向審計工作中，風險要素在審計計劃階段便表露出來，具體表現如下：

（一）準備階段強化風險評估

過去，基于計劃經濟體制的作風遺留，審計項目的設定、審計區域的確定及審計頻率的規劃等都由上級單位或相關部門通過行政指令確定。隨著風險管理理念的滲入及普及，風險評估成為審計領域的一個重要法寶。對于企業組織而言，審計計劃協調風險管理部門及各主體業務部門定期系統開展風險評估活動，利用專業素養進行風險排序，出具風險圖譜，列出重大風險區域，管理層據此對組織風險有了比較充分而全面的了解后，確定重點審計區域，指導確定宏觀的審計計劃。對于特定審計項目而言，專項或微觀的風險評估為具體項目的啟動提供支撐，也為項目計劃的編制提供框架，讓審計工作一開始就帶著強化風險要素的氣氛。

（二）編制計劃階段以風險評估情況為根據

確定重點審計區域及范圍后，后續工作是針對重點區域和范圍進行審計立項。對此，在宏觀方面講，各審計項目需要投入的資源多寡要以其風險情況為依據，盡量實現資源的最優配置；在微觀方面來說，具體的審計項目規劃具體審計程序，也要以微觀領域的風險排序和對比進行適當安排，充分體現與風險狀況的分布及程度等均保持高度的一致性。

（三）評價階段以風險涵蓋度為標準

審計計劃的制定不是一成不變的，而需要在持續的評價中保持更新的靈活性。對此，一個重要的問題是審計評價標準，以前上級指令及相關部門的建議便是必須遵循的原則，在風險管理境遇下的如今這種評價標準直接指向對組織目標的影響和作用程度，據此延伸到關注風險涵蓋度這個概念上。具體而言就是，審計計劃涵蓋的關鍵風險范圍越廣，其資源配置分布情況與風險狀況一致性越高，審計計劃的編制水平就相對高。

二、以風險防控為旨歸實施審計程序

審計計劃關注風險要素只是一個開端，更關鍵的階段是審計程序執行階段。對此，風險導向審計工作同樣依托風險要素，以風險防控為旨歸，具體表現為下幾點：

（一）審計關注的重點是組織的風險管理框架的存在和完善與否

在傳統審計形態下，審計人員關注的對象多是組織財務合規方面的內容，稍微出色的審計項目也注意到了績效的內容。不過，這些都沒抓住組織發展的關鍵點，只能看到確認一時的問題，而不能在宏觀及長遠意義上為組織提供幫助。在風險管理的境遇下，審計關注的重點對象從具體瑣碎事務提升到風險管理層面，重點關注組織構建完善風險管控框架的情況，主要有三個維度，一是否構建；二是構建得完善程度，三是發揮效用的情況。

（二）審計審核的重點內容是關鍵風險點防控的有效性和適度性

因為重點關注內容轉向組織風險管理情況，所以審核工作的具體內容也同以此為重心，對風險點和風險防控措施進行分析，制定出審計目標、風險防控失敗后果及具體審計程序，編制《風險認定與審計目標對應關系表》、《審計目標與審計程序對應關系表》，重點關注審計目標、各風險點、風險防控失敗后果、風險防控措施及具體審計程序等系列事宜，對防控失誤事項進行分析分類，查找風險防范措施設計和執行有效性方面的不足，評估界定風險防控失誤事項的性質，并判斷分析風險防控失誤對企業造成的影響。

（三）審計跟蹤檢查的重點整改內容是管控措施的出具情況及效果

審計工作的完成并不等于終結，還有審計跟蹤檢查工作。審計跟蹤的對象就是審計程序中的具體發現，確切說就是對風險管控失控方面的應對情況，具體而言是關注兩個方面，一是相關負責組織是否出具了有針對性的應對舉措，二是所出具應對舉措的具體效果，根據這兩方面的情況確認相關信息。

三、以管控建議為重點編制審計報告及相關文件

審計程序完成后，需要向董事會等管理層出具評估報告，也就是編制審計報告及相關文件。在這個階段，風險導向審計工作的開展同樣強化風險要素的中心地位。

（一）從報告內容上說，審計報告重點介紹組織風險管理及評估的狀況

基于事務前后的一致性和連貫性，審計報告的來源是審計程序的過程和發現，重點同樣在于確認風險管理框架的完善性及發揮作用的效度、風險評估的結果及關鍵風險點防控措施及失控情況，以風險要素及狀況為主線向管理層及治理層提供全面準確的參考信息。

（二）從報告目的上說，審計報告的出具是為了推動組織風險管理工作的持續開展