风险管理主要程序大全11篇

绪论：写作既是个人情感的抒发，也是对学术真理的探索，欢迎阅读由发表云整理的11篇风险管理主要程序范文，希望它们能为您的写作提供参考和启发。

篇（1）

(一)系统性原则

系统论强调整体性原则，企业财务风险管理是一个系统，系统是由各组成要素相互联系、相互作用所形成的一个有机整体，系统的各组成要素是不可缺少、不可分割的;系统论强调目的性原则，企业财务风险管理系统通过系统功能的发挥而实现财务风险管理的目标，而系统功能的发挥又与系统的组成及结构有很大关系;系统论强调整体优化原则，企业财务风险管理系统整体性能是否最优会受到该系统组成管理要素及要素间关系变化的影响，若想发挥系统的最优性能，就需要根据环境的变化不断调整系统组成管理要素及管理要素间的关系，从而达到优化企业财务风险管理系统整体性能的目的。

(二)环境分析起点原则

构建集团企业财务风险管理框架，它就有边界，边界外面就是环境。任何活动的实施都是在一定环境下进行的，集团企业财务风险管理活动具有主动适应环境并受环境影响的双重特性。管理的目标受集团企业战略目标统驭，制定集团企业战略目标是在环境分析的基础上进行的。因此，只有进行环境分析，才能知晓集团企业财务风险管理所面临的迫切形势，以及所面临的优势和劣势，然后利用环境造成的机会，回避环境造成的威胁，发挥自身优势，回避自身劣势。所以，确立集团企业财务风险管理目标时，必须以环境分析为起点。

(三)目标导向原则

目标是集团企业财务风险管理的方向、也是评价管理效果的依据。我们应该以目标为导向确定集团企业财务风险管理的主体、活动和保障措施。当然集团企业财务风险管理的实施目标和集团企业战略目标应保持一致，这是由环境分析的结果确定的。集团企业财务风险管理是集团企业财务管理乃至战略管理的一部分，随着环境的不断变化，集团企业财务风险管理处于不同发展阶段，可能会面临不同的问题，因此需要以集团企业财务管理为目标，保持两者目标的一致性。

(四)具体问题具体分析原则

具体问题具体分析原则是指我们在构建集团企业财务风险管理框架时，在确定集团企业财务风险管理的主体、活动和保障措施，以实现集团企业财务风险管理目标时，要立足于我国的现状，根据我国国情，而不是一味地照抄照搬国外的做法。当然，我们构建的集团企业财务风险管理框架可以随着环境而变化、调整、优化，是适应环境的。具体问题具体分析原则要求我们能够根据环境变化及时改变集团企业财务风险管理框架的构成要素，针对环境保护目标中出现的新的问题不断完善模式。目前，集团企业财务风险管理面临的环境发生着非常迅速、异常巨大的变化，这对我们构建集团企业财务风险管理框架提出了新的要求，即要根据环境变化及时调整层次和目标，明确主体、完善活动、健全保障体系、优化实施基础，合理保证集团企业财务风险管理的效率和效果，实现集团企业财务风险管理的整体目标。

二、集团企业财务风险管理框架的构建

(一)集团企业财务风险管理框架的三层结构

1.目标层。目标是任何实践活动的最终归宿，也是指导实施层的重要依据。目标是实施主体的方向和考评依据，没有目标的行为是没有任何意义的，没有目标的实施活动也不会实现预想的效果和效率。因此，目标层的目标要素就是按照环境分析起点原则分析、制定、选择的切实可行的目标。集团企业财务风险管理的目标包括战略目标和具体目标，集团企业财务风险管理框架的战略目标是集团企业层面的长期的、整体的目标，具体目标是不同层次责任主体的具体目标。

2.管理层。管理层是集团企业财务风险管理框架的核心部分，是目标层诉诸于实践的具体表现。管理层包括责任主体、程序方法和保障体系等要素。管理层以目标层为导向受到目标层的制约，同时又对目标层层级目标的实现起决定作用。管理层更离不开基础层的支持和保障。因此，管理层是连接目标层和基础层的桥梁，它是目标层的具体实践和基础层的现实表现。

3.基础层。从目标的建立到为完成目标所开展的管理活动，基础层都是这个过程的基点。它立足于实际，详细分析目前面临的现状和实情，是整个框架构建的基础。管理层的管理主体、管理活动和保障体系受基础层的约束和限制，同时基础层又为管理层提供支持和保障。

(二)集团企业财务风险管理框架的要素分析

1.管理目标。管理目标是企业通过财务风险管理达到的目标，是我们构建集团企业财务风险管理框架的根本出发点和核心。我们在构建集团企业财务风险管理框架时就必须从管理目标出发。在集团企业财务风险管理框架中管理目标属于目标层的要素。管理目标是在对集团企业的宏观、微观环境进行SWOT分析后得出的战略选择基础上进行战略评价，在确定企业战略目标的基础上，考虑了企业使命和风险承受度后制定的。当然，目标应该从上向下层层分解，每一层管理主体都负有与其权责相对应的目标、指标和考核标准。

2.责任主体。责任主体是集团企业财务风险管理的核心力量，其中，股东大会是公司的最高权力机构，站在所有者角度，通过有效管理所有者的财权，对集团企业财务风险进行管理;董事会是集团企业的经营决策机构，从财务管理的角度看，同样是经营者财务监督体系的核心和最高层。董事会从行政者的角度，通过全方位负责财务决策有效性，对企业财务风险进行管理;监事会是公司的司法者，在财务风险管理领域，监事会应当全面了解集团企业财务风险管理现状，跟踪监督董事会和高级管理层为完善内部控制所做的相关工作，检查和研究日常经营活动中是否存在违反既定财务风险管理政策和原则的行为;总经理及其集体是公司经营管理最高执行层。从日常财务监督的组织、管理和实施过程看，总经理及其集体的主要职责是负责执行财务风险控制政策，制定财务风险控制的程序和操作规程，及时了解财务风险水平及其控制情况，并确保集团企业具备足够的人力、物力、恰当的组织结构、管理信息系统以及技术水平，来有效地识别、度量、控制财务风险，并定期或者不定期评价财务风险控制的效果和效率;部门主要包括财务风险控制部门、财务控制部门、内部审计部门等。企业所有岗位能够实施或者参与财务风险管理的人，都是财务风险管理的责任主体，通过各自职责的履行情况，对企业财务风险进行管理。企业所有岗位都是财务风险管理的责任主体;之所以把子公司单独列为一个责任主体，是因为集团企业所属的子公司往往也存在背离母公司的倾向，从而使母公司面临失控，导致财务风险。

3.程序方法。程序方法是企业财务风险管理的基本程序和方法，是责任主体所表现的行为集合，表现为责任主体进行财务风险管理的行为举动，同时也是控制系统主要监督、控制的内容，包括规范的财务风险管理基本流程。集团企业财务风险管理的程序方法至少应该包括:风险识别、风险度量、风险应对和管理评价等。集团企业财务风险管理目标实现的效果和效率是由责任主体实施程序方法的效果和效率决定的，必须加强责任主体实施程序方法的引导、控制和评价，以便使集团企业财务风险管理朝着有利于管理目标去组织、贯彻和实施。

篇（2）

 

企业从无到有、从小到大的发展过程，如同人的成长要经历幼年、青年、中年、老年等阶段一样，也要经历不同的阶段。在每一阶段上都具有不同的特征和遇到不同的困难。随着现代社会的发展，经济环境变得瞬息万变，市场竞争越来越激烈。与此同时，企业需要面对的问题越来越多，面临的风险也越来越大，这样就迫使企业必须花费更多的精力对付各种风险。 

在市场经济中有许多失败的企业，他们的失败各有其因，但也有一些共同的原因，那就是不重视风险管理，对风险的控制力非常弱。本文研究的问题是面对永远在变化着的社会环境和经济环境，企业如何运用内部审计的理论、方法、程序分析自身风险管理现状，找出问题和不足，提出改进措施和建议，运用先进的风险管理理论对动态变化的风险进行管理，从而实现目标，使企业能够长期生存发展。 

风险管理理论发展至今，不同的学科、不同的专业机构、团体、研究学者有不同的认识和理解，于是产生了不同的理论派别。本文的理论框架主要来源于美国coso委员会2004年9月制定的《企业风险管理——整合框架》、国际内部审计师协会2004年1月修订的《内部审计实务标准－专业实务框架》。 

 

一、公司简介 

 

某集团有限公司是中国最大的肉制品生产企业之一，其产品包括冷鲜肉、冷冻肉、以及以猪肉为主的低温肉制品、高温肉制品。集团总部设于中国江苏省南京市，拥有多处冷鲜肉、冷冻肉生产基地及深加工肉制品生产基地。集团拥有最先进的生产设备和工艺技术，以其独有的技术方法，研制出一系列符合消费者口味的优质产品。基于肉制品业务的经验，集团于1997年开展冷鲜肉和冷冻肉业务。2002、2003年，冷鲜肉、冷冻肉的市场占有率分别位列中国大陆第二名、第三名。低温肉制品，自2002年至2004年，其市场占有率连续三年位居中国大型零售商销售首位。 

 

二、公司风险管理要素审计评价程序及结论 

 

尽管某集团在香港联合交易所主板上市，但其实质还是一家中国民营企业，其并没有建立专门的风险管理组织机构、人员、系统，公司风险管理处于“凭感觉进行风险管理”的阶段，只是由管理层根据调查分析、经验总结，识别、列出公司面临的四大类十三种主要风险，并制定了一些防范措施。公司审计部作为监督检查部门，每年至少两次从集团层面对风险管理进行整体评价，并在每季度对分、子公司执行例行审计过程中，重点关注风险管理状况。以下试从集团公司层面，以《coso风险管理——整合框架》（以下简称coso框架）中所列八要素为线索对公司风险管理进行分析、设计审计评价程序、提出审计评价结论。 

（一）内部环境 

1.理论描述。内部环境包含组织的基调，它影响组织中人员的风险意识，是企业风险管理所有其他构成要素的基础，为其他要素提供约束和结构。 

2.审计评价程序。 

（1）设计风险相关文化调查表对风险管理的内部环境进行调查； 

（2）审查公司经营决策、管理方针政策、规章制度、行为准则等是否反映了公司的风险管理理念、诚信和道德价值观。 

3.审计评价结论。公司的风险管理理念属于风险偏好型，提倡抓住机会，大胆开拓。但对风险管理理念没有一个书面的说明性的陈述，这些理念存在于董事会及高级管理层的头脑中，通过收购决策、政策、行为准则、各种规章制度反映出来并加以强化。 

（二）目标设定 

1.理论描述。设定战略层次的目标，为经营、报告和合规目标奠定了基础。每一个主体都面临来自外部和内部的一系列风险，确定目标是有效的事项识别、风险评估和风险应对的前提。 

2.审计评价程序。 

（1）获取管理层对目标的书面陈述； 

（2）通过访谈、询问，获取公司员工对公司目标的知晓、理解程度的信息； 

（3）通过查阅管理层的述职报告，获取目标实现进展情况的信息。 

3.审计评价结论。公司管理层对风险管理目标没有明确的书面陈述，公司员工对公司的目标知之甚少，经审计调查总结，目标如下： 

战略目标：创中国第一肉食品品牌； 

经营目标：顾客满意最大化，品牌价值最大化； 

报告目标：财务报告真实、完整，符合《上市规则》要求； 

合规目标：遵循国家、行业、企业的法律、法规、制度。 

（三）事项识别 

1.理论描述。管理当局识别将会对主体产生影响的潜在事项——如果存在的话，并确定它们是否代表机会，或者是否会对主体成功地实施战略和实现目标的能力产生负面影响。带来负面影响的事项代表风险，它要求管理当局予以评估和应对。 

2.审计评价程序。 

（1）查阅行业有关资料，询问、访谈高层、中层、一般职工，审查风险识别是否充分、全面； 

（2）审查风险识别过程资料，判断是否根据内外部环境的变化定期进行修正。 

3.审计评价结论。公司管理层根据调查分析、经验总结，识别、列出公司面临的四大类（行业风险，业务风险，财务风险，合规风险）十三种主要风险： 

（1）爆发动物疫情； 

（2）突然而来的业务干扰； 

（3）消费者口味及喜好的变化； 

（4）产品质量出现问题而导致对人身的伤害； 

（5）原材料价格波动； 

（6）产品未能迎合市场需求； 

（7）主要管理层的流失； 

（8）其他实体误用、盗用本公司商号（商标）； 

（9）资金安全管理； 

（10）资产安全管理； 

（11）会计系统故障； 

（12）违反《上市规则》； 

（13）违反食品管理、环保法规有关法律规定。

经审计调查，公司管理层对风险识别较为充分，且计划每年分两次（期中和期末）对公司面临的风险进行全面的核查，若发现风险变化，即使进行调整，但未能严格实施。而对于机会，管理层没有进行专门识别。 

（四）风险评估 

1.理论描述。风险评估使主体能够考虑潜在事项影响目标实现的程度。管理当局从两个角度——可能性和影响——对事项进行评估，并且通常采用定性和定量相结合的方法。 

2.审计评价程序。获取管理层对风险进行定性评估的资料，评价其评估的合理准确性以及是否根据内外部环境的变化进行动态修正。 

3.审计评价结论。公司管理层对识别出来的十三种风险根据多年的从业经验和过去的风险发生的记录进行了定性的评估，由于缺乏相关的人才、技术、资料，尚未对风险进行过定量分析。公司管理层计划每年分两次（期中和期末）对公司面临的风险进行全面的核查和平谷，若发现风险变化，及使进行调整修正，但未能严格实施。 

（五）风险应对 

1.理论描述。在评估了相关的风险之后，管理当局就要确定如何应对。应对包括风险回避、降低、分担和承受。在考虑应对的过程中，管理当局评估对风险的可能性和影响的效果，以及成本效益，选择能够使剩余风险处于期望的风险容限以内的应对。 

2.审计评价程序。通过访谈、询问，了解管理层采取的风险应对策略及理由，评价其合理性。 

3.审计评价结论。公司管理层对识别出来的重要风险制定了相应的防范措施，从风险应对的角度看多为预防性措施，以降低风险发生的可能性，而没有采取购买保险等风险分担措施。 

（六）控制活动 

1.理论描述。控制活动是帮助确保管理当局的风险应对得以实施的政策和程序。控制活动的发生贯穿于整个组织，遍及各个层级和各个职能机构。它们包括一系列不同的活动，例如批准、授权、验证、调节、经营业绩评价、资产安全以及职责分离。 

2.十三种风险审计评价程序。公司管理层针对识别出来的十三种风险，制定了防范措施，审计部门相应地制订了审计评价程序。 

3.审计评价结论。经审计调查，公司管理层对于风险管理的控制活动要素较为重视，制定的风险防范措施较为全面、严密、可操作，大部分得到了严格有效执行，但也有部分单位未能严格执行风险防范措施。 

（七）信息与沟通 

1.理论描述。有关的信息以保证人们能履行其职责的形式和时机予以识别、获取和沟通。信息系统利用内部生成的数据和来自外部渠道的信息，以便为管理风险和作出与目标相关的知情的决策提供信息。有效的沟通会出现在组织中向下、平行和向上的流动。 

2.审计评价程序。 

（1）走访公司it部和公司内部报刊编辑部，了解评价公司的信息系统的建设和运转情况。 

（2）访问公司网站，观察其运转情况； 

（3）使用公司的局域网、内部电话网，阅读公司内部报刊，评价其运转情况和功效发挥情况。 

3.审计评价结论。公司设立了it部，建立了较为完备、先进的信息管理系统，通过因特网、内部局域网、内部电话网、内部报刊等手段将信息以文字、声音、图片等形式进行传递，并制定各种级别的会议制度进行面对面的信息沟通。但没有建立专门的风险信息生成及传递通道。 

（八）监控 

1.理论描述。对企业风险管理进行监控——随时对其构成要素的存在和运行进行评估。这些是通过持续的监控活动、个别评价或者两者相结合来完成的。持续监控发生在管理活动的正常进程中。 

2.审计评价程序。 

（1）审查内部定期（每天、每周、每月）上报的管理报表（报告），评价风险管理日常监控职能发挥情况； 

（2）审查内部审计部门的审计计划、风险管理审计报告，评价其监控职能的发挥情况。 

3.审计评价结论。公司管理层通过例行的控制活动、信息报告反馈系统对经营管理状况进行日常的监控；通过内部审计部门对公司所控制的所有单位、项目进行例行审计，报告中时常反映一些被审单位风险管理状况的信息，对风险管理的监控较为及时，但对公司总部层面的风险监控较为薄弱。 

 

三、结语 

 

企业要想在市场经济的大潮中基业长青，必须对面临的各种风险进行系统地、全面地管理，这已是不争的事实。借鉴西方先进的风险管理理念、理论、方法、工具，结合本企业具体实际情况，对内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控八个风险管理要素逐一进行分析和评价，查找问题和不足，对风险管理文化、风险管理组织体系、风险识别、评估、排序、风险管理策略与方法、风险管理监控与检查、风险管理沟通与咨询等关键的风险管理流程采取措施不断完善，逐步建立企业风险管理系统，是解决风险管理问题的最佳实务。企业应当增强风险意识，逐步建立险管理系统，为企业保驾护航，这样企业才能在市场经济的大海中劈波斩浪，远航。 

 

参考文献： 

篇（3）

关键词:ERM;内部审计;基于ERM内部审计

Key words: The ERM;internal audit;ERM-based internal audit

中图分类号:F239 文献标识码:A文章编号:1006-4311(2010)16-0039-03

1内部审计发展历程简介

1.1 控制基础审计最初的内部审计可以概括为控制基础审计(Control-based Audit),其包括盛行于二十世纪八十年代前的传统审计活动。其典型特征是独立外部审计的延伸,在很长一段时间里,企业利用其对财务报表及披露的公允性进行评估并发表看法。该审计主要依赖于实质性测试和合理的保证来证实账户余额的正确表述。控制基础审计主要包括三个部分:一是证实是否与相关法律、规章、政策、原则等相一致,称之为符合性审计;二是吸收了外部独立审计的方法来测试和证实账户余额,称之为财务审计;三是对企业内部控制程序设计及运行的有效性进行测试,称为内部控制测试。

1.2 流程基础审计流程基础(process-based)审计通常称之为“营运”(Operational)审计,盛行于二十世纪八十年代。此时企业经营环境日趋复杂,各种管理思想应运而生,具有代表性的流程再造理论得到极大的推广,这就要求企业管理者关注企业的业务流程以适应市场变化。在此情况下,内部审计部门积极尝试采用新的审计方法来关注企业的业务流程并对其加以评价,通过向管理者提供有价值的信息来协助管理者进行管理。流程基础审计主要以企业最佳实务流程作为评价标准,通过了解企业具体营运目标并研究出完成此目标的最佳实务流程,采用询问,观察等方式评价企业当前业务流程并把其与最优业务流程进行对比,评估出两者的差距及由此而产生的影响,据此形成审计意见并提交给管理部门。

1.3 风险基础内部审计在二十世纪九十年代,风险(Risk-based)基础审计开始流行。在此时期,企业所面临的竞争环境日趋恶化,技术革新的周期也大大缩短,这给企业的经营管理活动带来了极大的影响,企业目标能否实现具有了相当大的不确定性,企业所面临的风险成为利益相关者所共同关注的焦点。同时随着大型公众会计师事务所积极向企业提供咨询和内部审计服务,内部审计需要采用新的方法来提供更高的集中度和价值,以此证实内部审计存在的价值。风险基础审计应运而生。风险基础审计通过对企业经营环境的了解,识别出企业所面临的主要风险,采用控制测试和实质性分析程序对企业控制风险的程序进行评价,判断企业当前实施的控制风险的策略和程序能否把企业风险降低到可接受水平以内,以及是否有效并据此形成审计建议,向管理者提出可行的改善措施。

1.4 风险管理基础审计在二十世纪九十年代后期,ERM(本文第三部分有相关介绍)开始成为企业全面管理风险的方法。审计部门采用的风险基础审计方法所关注的风险同时体现在ERM过程中。然而ERM具有风险基础审计方法所没有的功能。所以为对企业的风险管理活动进行审计,势必需要对审计方法进行改进,以此满足审计活动的需要。风险管理基础审计基本形成。风险管理基础审计重点在于识别当前风险管理有效性与期望有效性之间的差距,借助对企业经营环境及其目标的了解,识别出影响目标达成的风险,理解风险容忍度,识别绩效与风险衡量方法,并对风险进行评估,同时了解管理人员如何在风险容忍限度内进行风险管理活动,并对风险管理活动的有效性进行评估,据此形成审计建议。此时的风险管理基础审计是以企业的风险管理活动为审计对象,将内部审计业务嵌入到企业实施的全面风险管理的框架中,对机构的种种风险管理程序和结果进行鉴定和评价,帮助企业实现其目标。由此可以得出风险管理基础审计被紧紧束缚于企业风险管理活动之中,其所能适用领域也将受到企业风险管理领域的限制。

2采用基于ERM内部审计方法的必要性

为了打破企业风险管理领域的限制,将ERM框架中风险分析思路拓展到内部审计所适用的其他领域,本文提出基于ERM内部审计方法,其定义如下:基于REM内部审计方法是以企业风险为核心,运用COSO框架中系统的、规范的风险管理方法,识别并评估风险,据此确定审计对象,开展审计活动,并对其进行评价和提出改进建议,协助管理人员实现企业的目标。以下两个方面促使内审人员实施基于ERM内部审计方法:第一,现行的内部审计方法,不适用于已实施ERM的企业。ERM是20世纪90年代以来国际上兴起的一种新的风险管理模式。在Deloitte(2007)的调查中显示,35%的受访企业已建立起了完整的ERM项目,另外1/3正在建设之中,其余9%正在考虑建设。在国内,2006年6月国务院国有资产监督管理委员会也已下发《中央企业全面风险管理指引》,要求由履行出资人职责的国有企业贯彻执行。渤海银行、建设银行、工商银行、交通银行和中国银行等也已先后启动了ERM项目。在这种情况下,结合IIA(Institute of Internal Auditors, 后文简称IIA,即内部审计师协会)有关内部审计的最新定义(下文有相关介绍),内部审计需要对企业实施的ERM项目进行评价,并能够适时提出改进建议,提供增值服务,以协助管理层实现企业目标。COSO委员会提出的ERM框架中,其风险管理程序揭示了审计业务的分析性思路,故可将其纳入到内部审计中来,帮助内审人员提供增值服务。采用基于ERM内部审计方法既能满足评价企业实施的ERM需求,又可将其运用到内部控制和治理程序的评价中去。同时,并不是所有的企业都实施了ERM项目,在这些企业中基于ERM内部审计方法亦可对其内部审计人员提供指导,强化其服务能力。第二,内部审计自身发展的需要。IIA在1999年对内部审计进行了重新定义:内部审计是旨在增加组织价值和改善组织营运的独立、客观的确认与咨询活动。它通过系统化、规范化的方法来评价和改善风险管理、内部控制和治理程序的效果,以帮助实现组织目标。由以上定义可以得出,内部审计主要通过独立、客观的确认和咨询两类活动向企业提供服务,以此来增加企业的价值。同时该定义认为,控制的唯一目的是为了帮助组织管理风险、促进有效的治理。同时由于内部审计方法对内部审计职能的更好实现起着至关重要的作用,所以为满足此种要求,成功的履行其被赋予的受托责任包括内部受托责任和外部受托责任,充分体现内部审计存在的价值,内部审计应当与时俱进,改善其审计方法,来满足不同审计领域的需求。

3基于ERM内部审计方法实施步骤

2004年9月,美国国家财务报告舞弊委员会(National Commission On Fraudulent Financial Reporting,Treadway Commission)所发起的内部控制研究发起组织(Committee of Sponsoring Organization,COSO)了《企业风险管理框架》(Enterprise Risk Management -integrated framework),该风险管理框架理论是目前为止最完备的并具有广泛适用性的风险管理理论,受到世界各国理论界和实务界的广泛关注。在此情况下,本文借助COSO委员会提出的企业风险管理理论框架,使之与内部审计方法进行融合,提出基于ERM内部审计方法。希望其能够弥补风险管理基础审计方法不足。同时也希望内部审计人员借此能够更好地实现其价值增值目标,提升内部审计的地位。COSO委员会提出的ERM从目标、层次和构成要素等三个维度构造了一个包容性很强的框架,其可以通过一个三维矩阵以立方体的形式表示出来如图1所示。

第一维度,也就是对企业风险管理目标的划分。新COSO报告将企业风险管理的目标归为战略目标、经营目标、报告目标、合规目标四类。对主体目标的这种分类可以使企业的管理者和董事会关注企业的不同侧面。第二维度,也就是企业风险管理的要素。为了实现风险管理的有效性,需要以下八个方面的要素支持:内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通和监控。各要素相互关联,贯穿在企业风险管理的过程之中。第三个维度,是实施企业风险管理的层次问题。ERM可以根据企业的不同需求在子公司,业务单元,分部,主体层次上分别予以实施。本文根据COSO的企业风险管理框架结合内部审计本身已有的内部审计测试方法构建基于ERM内部审计模型:其主要可分为四个部分:

第一,重点审计对象的确定。内部审计部门本身就是企业内部的一个组织,其主动规划审计项目并进行实施是其应尽的职责,这就使得内部审计面临着审计项目的选择问题,如何才能确定出重点审计对象,对内部审计活动来说具有重要的意义。他直接决定了内部审计活动的成败。在确定内部审计的重点审计对象时,可以通过以下几个步骤:步骤一:环境分析。企业所处的环境对企业的生产经营活动以及企业的经营目标最终能否实现有着至关重要的影响。对企业所处的内外部环境的了解及分析,是开展审计活动的第一步。企业的外部环境主要包括:行业状况、法律环境与监管环境以及其它外部因素。内部环境主要包括:企业的经营模式、组织结构与风险偏好等。可以采用观察、询问以及检查等方式来加深对企业环境的了解,从而可以宏观上把握企业所面临的各种风险。步骤二:目标设定。在对企业环境进行分析之后,审计师应当明确此次审计的目的,同时了解审计对象即程序运行的目的以及与程序相关的绩效评价指标并同时评价两者的设定是否合理,为随后的风险识别打下基础。审计目的可能源于以下几种情况:进行此次审计是基于管理者的要求,对正在实施的某一程序的有效性进行评价;基于年度审计计划来审查企业的固有风险;企业环境发生变化,为应对这一变化管理层对相关程序进行重新设计,要求审计人员评价这一新程序是否能够有效地应对环境的变化;企业发生舞弊案件,管理层要求内审人员就所涉及的相关程序进行评估,查出程序的漏洞等。进行审计的动因并不局限以上的几种情况,要求内审人员根据企业的具体情形进行判断。进行风险识别和评估的前提是应明确程序的主要目的以及与其相关的主要绩效评价指标。步骤三:风险识别。必须识别出可能会对程序目标实现产生影响的内外部潜在事件以及促使潜在事项发生的主要动因。COSO委员会颁布的ERM框架中对事项做了如下描述:事项可能会带来负面的影响,也可能会带来正面的影响,抑或二者兼而有之。带来负面影响的事项代表风险,它会妨碍价值创造或者破坏现有价值。带来正面影响的事项可能会抵消负面影响,或者说代表机会。机会是一个事项将会发生并对目标――支持价值创造或保持――的实现产生正面影响的可能性。其建议管理当局把机会反馈到战略或目标制订过程中,以便制订计划去抓住机会。故此,我们所说的事项仅指给企业带来负面影响的风险。在此过程中为识别出企业所有影响程序目标实现的风险以及主要动因,最好能够和程序的相关人员以及所涉及的管理人员进行讨论,采用头脑风暴法,对所涉及的事项进行逐一分析,以期达到最优的结果。例如,提出以下问题,要求参与者发表自己的看法。①在外界环境发生变化时,该程序能否迅速做出恰当的反应?②与该程序相关的文件记录是否存在缺陷?③该程序在实施过程中有什么意想不到的事情发生?④执行该程序的人员是否能够胜任此项工作?等等,通过提问和讨论直到找到影响程序目标实现的所有潜在的风险及相关的主要动因。审计人员收集到所需的相关资料后对识别的风险进行定义,采用COSO委员会ERM框架下的风险组合观,把类似的风险加以归类,集中应对。此过程中得出的风险定义以及风险组合应当与管理者对风险的认识相一致或应取得管理者的认可,从而取得两者对风险的共同语言。这样可以加强内审人员与管理者之间的沟通,从而有利于完成两者的受托责任,实现企业的目标。步骤四:风险评估。对识别出的风险进行评估,主要涉及到风险的两个方面:风险发生的可能性及影响。通过考虑风险的可能性和影响来对其加以分析,并以此作为决定审计的方向。新COSO框架在风险评估的过程中把风险分为固有风险和剩余风险。而我们在此过程中主要关注与企业相关的固有风险。企业风险评估的方法有多种,主要分为定量分析和定性分析两种。企业无须对所有的风险采用同样一种评估方法,可根据不同的风险目标确定相应的风险评估方法,达到成本最低情况下的效益最大化目的。我们在此建议一种方法:九格图法,并简单加以论述。九格图如图2。首先,我们分别把风险发生的可能性和影响分为低,中,高三个档次。其次,内审人员应和相关的管理者和程序的执行人员进行讨论确定低,中,高的具体分界线是多少。在此过程中涉及了相当大的主观判断,不同的审计人员对此判断可能是不同的,但应取得管理层的认可,即双方达成共识。例如,对于可能性的划分:25%以下为低,25%至50%之间为中,50%以上为高。再次,将识别的风险在与管理者和程序执行人员进行充分的讨论的情况下,依次填入以上表格。此过程可以通过对风险的两属性进行打分来完成。最后,在取得管理层对风险的容忍度的充分理解的情况下,评价识别的风险并进行从高到低的排序。例如,填入1,2,3,4表格中的风险视为低风险。填入5,6,7表格中的风险视为中等风险。填入8,9表格中的风险视为高风险。此过程中对管理层风险容忍度的理解和对风险的排序可以帮助以下的审计活动如,判定审计的具体方向、分配审计资源以及评价审计结果等。

第二,实施测试程序。在重点审计对象确定出来以后,就是具体实施审计测试程序,收集审计证据,为进行评价建议打下基础。审计测试程序具体可以包括控制测试和实质性程序测试,两者可以分别或结合使用,可根据不同的情况具体进行选择。在此过程中,内审人员需要判断企业程序设计和运行的有效性,就其是否能够将企业固有风险降低到可接受的水平与管理人员和程序执行人员进行有效的沟通,据此评估出其剩余风险并识别出当前实施的程序与理想程序之间的差距所在,并做出相关记录。

第三,评价测试结果,提出改进建议。当收集到充分的、适当的审计证据之后,就可以对其进行评价。此阶段,通过分析所收集的证据,并与相关管理人员进行有效沟通,就当前实施的审计程序与理想审计程序之间的差距提出改进建议。并将其以恰当的格式提交给适当的管理人员,以便其能够被采纳并得以实施。

第四,实施监控。当建议被管理人员所采纳后,其能否如实地被管理人员所实施,关系到内部审计所做出的努力是否能够被体现出来。因此,需要内审人员对其实施的过程进行监控。此过程可以采用实时或定点检查等方法来确保改进建议得以恰当的实施。从而企业的经营管理活动得以真正改善。内部审计的价值最终被体现出来。

4结论

在企业经营管理活动面临极大“不确定”性的今天,内部审计被寄予了极高的厚望。内部审计能否在此情况下满足利益相关者的需求,体现出其价值,对其形象及其地位的建立显得尤为重要。本文通过对内部审计方法发展历程的论述,结合当今内部审计所面临的环境,提出基于ERM内部审计方法,旨在丰富内部审计人员在进行审计活动时的方法的选择,而不是对以前审计方法的取代,从而能够使其按不同的审计目标及不同的审计需选择恰当的审计方法,能够高效地完成其价值增值的目标,为企业目标的实现提供支持。

参考文献:

[1]保罗・J・索贝尔.审计人员风险管理指南:审计与企业风险管理的结合[M].北京:中信出版社,2004.

篇（4）

1、公司成立负责风险管控的专业部门（如风险管理委员会），明确风险管理委员会及各专业委员会，风险管控部、各渠道部门，后援部门和资源部门等在风险管理工作中的角色及工作职责，通过不断修订和完善风险管理制度、流程、加强分公司风险管理体系建设，保证风险管理目标的实现。

2、公司各部门结合部门的风险类别，建立并完善相应的内部控制制度，实现风险管理的制度化，标准化，推动分公司风险管理制度建设。各部门要通过对日常业务进行风险监控，收集风险管理信息，对风险点提出整改建议并及时报送风险管控部。依据风险管控部下发的风险管理建议书完成整改。

4、公司明确将风险管理纳入各部门日常经营的各个环节，各部门负责人为本部门风险管理第一责任人，对于违反相关内容的部门和个人，依据公司下发的规定结合自身的实际情况，给予追究和处罚。

二、公司各部门有效配合风险管理工作

1、风险管控部牵头组织，定期收集整理各部门上报的各类风险信息，以及外部监管信息，通过分析汇总，由公司风险管理委员会审批后发放至各部门遵照执行。该部在年度风险识别和评估的基础上，对“内险分类标准”、“内险识别和评估方法”不断进行补充和完善，建立公司风险管理库。制定年度计划，组织开展风险排查和制度执行检查工作，对各部门、各机构的风险管理和内控合规效果进行评估，对需要整改的事项下达风险管理建议书。风险管控部年中、年末组织召开风险管控工作建议，总结公司风险管控工作开展情况，并提出改进建议上报风险管理委员会。

2、人力资源部负责建立绩效考核制度，对各级管理人员的考核，薪酬、奖惩、晋升等决定与风险管理和内控合规成效相挂钩。配合风险管控部每月定期组织开展风险排查和内部审计检查工作，对检查中发现的各级人员的违规情况报备人力资源部，人力资源部记入人员档案并纳入各层级绩效考核。

3、计划财务部根据下发的会计制度进行日常会计处理；依据预算体系，完成预算的编制、执行、调整、分析与考核的工作；建立财产日常管理制度和定期清查制度，确保财产安全，配合风险管控部进行财务数据相关调查。

4、销售管理工作由营销业务部，培训部、银行业务部、团体业务部、健康保险部、保费部、财富管理业务部、各机构共同完成，主要负责建立并保持书面程序，对销售人员的甄选、签约、薪酬、考核、档案、品质管理、宣传材料管理等进行控制；定期对销售人员进行专业培训和职业道德教育，建立销售人员失信惩戒机制；对于销售过程中已识别的风险，建立并保持控制程序；执行公司的风险管理制度。

5、运营管理部和法人运营部主要负责核保核赔，单证管理及保全管理，建立明确有核保，核赔标准，实施权责明确、分级授权，相互制约，规范操作的承保理赔管理机制；明确核保核赔人员的适任条件，定期对核保核赔人员进行培训，确保核保核培人员具有专业操守并勤勉尽职；对单证的印刷、保管、领用、作废和核销及档案的保管实施控制。

6、客户服务部主要负责客户的咨询投诉管理、客户的回访、客户服务及柜面管理。建立并保持咨询投诉处理程序，对咨询投诉处理中发现的问题进行核实、分析、反馈、进行整改和跟踪监督，并对公司业务品质管理进行原则确定、统一管理；建立并实施业务操作标准和服务质量标准，对柜面活动的服务质量进行规范管理，并建立客户服务质量考评机制；按照有关规定确定客户回访范围和内容，对客户反馈信息进行分析整改并定期跟踪。

7、信息技术部主要负责信息安全管理、建立信息安全管理体系、对硬件、操作系统，应用程序和操作环境实施控制，确保信息的完整性，安全性和可用性；出入计算机机房有严格的审批程序和出入记录；对系统数据资料采取加密措施，建立健全网络管理系统，对网络安全，故障、性能、配置等进行有效管理；对完络设备，操作系统，数据库系统，应用程序等设置必要的日志。

8、办公室主要负责行政管理，负责建立并保持书面程序，对公司的印鉴，合同档案，职场管理，招标投标、文件、品牌宣传、固定资产及物料管理等环节进行控制，定期对固定资产及物料进行清查，保证财产的安全，对工作当中已经识别出的风险保持控制。

9、企划部主要根据公司的战略规划，统一制定分支机构组织设置，职责权限，建立健全分支机构管控制度，实现对分支机构的全面、动态、有效管理、包含公司经营目标，经营计划的督导追踪、分支机新设、撤销、变更、晋级等业务。

篇（5）

风险管理作为现代企业管理的一项重要内容，越来越受到企业的重视。而内部审计作为检查监督和服务机构，必然会参与到企业风险管理当中。但是，内部审计应当如何参与到企业风险管理当中。扮演什么样的角色，起到什么作用，这是我们首先要明确地，只有明确了这一前提，才能充分发挥内部审计应有的作用。

2004年，国际内部审计协会(IIA)联合英国内部审计协会和爱尔兰分会共同发表了一份《关于内部审计在企业风险管理中作用的意见书》(以下简称《意见书》)，该《意见书》指出企业的首席审计师在决定内部审计在企业风险管理当中扮演的角色和作用时，应当考虑的主要因素是内部审计所从事的活动是否会威胁到内部审计的独立性和客观性，能否促进企业的风险管理和控制程序的完善。基于这一思想，IIA对内部审计在企业风险管理中的作用提出了明确意见。以下是笔者对《意见书》阐述的解读，并结合实际情况，对内部审计在风险管理中的作用进行的分析。

一、坚持检查与评价的核JC舴用

IIA《意见书》明确提出，内部审计在风险管理过程中的核心作用包括：监督企业风险管理过程的有效实施；保证企业风险得到正确的评价；评价风险控制程序的有效性；分析关键风险的记录：检查关键风险管理的效果。这五点归纳起来的核心思想就是检查与评价。

一些企业提出内部审计应当从查错纠弊的传统角色中转变为管理咨询服务。这种提法理论上是正确的，只是目前的客观条件还不具备，所以暂时无法实现。按照IIA的建议，内部审计能够在多大程度上为企业的管理提供咨询服务，依赖于企业内、外部环境和资源，比如，企业是否依法设立了内部审计委员会，审计委员会是否能发挥其应有的作用；内部审计是否具有独立性和客观性；企业预算是否给予内部审计充足的份额；内部审计人员自身的知识和技术水平能否有效的完成对风险的识别、划分和评估等等。大部分企业的实际情况是，审计委员会虽然已经建立，但基本没履行应尽的责任；内部审计机构健全，但还是作为企业的一个职能部门受单位主要负责人领导，无法确保审计的独立性和客观性，这也是内部审计和外部审计的最大不同；还有内部审计在组织中所受到的重视程度不够，审计预算经费不足，审计人员自身的素质和能力有待提高等等，在诸多主、客观条件根本不具备的情况下，内部审计要达到全面开展管理咨询服务是不现实的。在这种情况下。检查与评价仍然是目前内部审计在企业风险管理过程中应当承担的主要责任，也是当前内部审计的工作中心。

二、加强指导和建议的保障作用

IIA《意见书》指出内部审计围绕企业风险管理有效运行应当提供的保障作用包括：倡导建立企业风险管理；推动风险管理战略获得董事会的批准；协助企业进行风险识别与评价；指导管理层应对风险；协调企业风险管理活动的开展；统一风险报告；促进企业经营管理框架的保持和发展。这些都是内部审计为企业风险管理有效运行而提供的指导和建议活动，为企业风险管理的有效实施提供的保障作用。

目前。虽然许多企业强调风险管理，但真正建立了风险管理体系的却非常少，而且，风险管理体系的建立也不是一蹴而就的，是逐步完善起来的，随着企业经营环境的改变，还要不断更新的。内部审计作为企业内部的职能部门，属于组织的一部分，对于其他职能部门的业务流程比较熟悉，同时，由于内部审计并不直接参与企业的经营管理活动，对企业的经营和管理风险并不承担直接责任，这使得内部审计具有相对的独立性，内部审计可以利用这种优势，从全局的角度，客观的对企业风险管理进行指导和建议，保障企业风险管理程序的顺利实施。

内部审计如何充分发挥保障作用，一是对尚未建立风险管理系统的企业，积极向管理层提出建立风险管理体系；二是通过咨询指导的方式，积极协助企业管理层完善风险管理系统；三是运用诸如风险导向审计、IT审计等先进的审计方法和技术对企业面临的风险和控制情况进行分析，及时提出完善风险管理体系的建议：四是通过开展专项审计调查，对直接参与风险管理的职能部门的管理情况进行审计。对存在的风险因素进行批露，并提出相关的建议。

三、内部审计在企业风险管理中不应当从事的活动

篇（6）

关键词 完善 税收 风险 管理机制 措施

一、明确税收风险管理基本流程

从分析、归集各类涉税信息着手，将风险管理划分为风险识别、风险评定、风险应对三个阶段。风险识别阶段，一般通过分年度、季度对各类信息收集和特征归纳，运用推理统计、数据分析等方法，对照税收风险管理指标体系和特征库，针对不同角度和领域，找到税收风险点，对识别出的风险点进行定性分析。风险评定阶段，对识别出的风险点，通过人机结合的方式，对纳税人的风险级别进行统一的、基础性的评定。税收风险大小以税收风险积分表示，以税收风险发生概率和风险发生造成税款流失的严重程度即强度为主要评价因素，通过设立风险评定项目分值和风险强度系数，计算风险积分，按季对纳税人进行风险等级划分，分为一至五个等级，五级最高，一级最低。风险应对阶段，针对不同风险等级的纳税人，采取差别化的管理和服务。各业务科室、基层局各职能部门可以直接参与到具体的风险应对工作中，形成纵向各层级、横向各部门的联动互动、协调协同的风险应对工作机制，确保税收风险管理取得实效。

二、强化税收分析

税收风险管理中，风险控制标准的制定和执行成为风险管理体制有效运转的重要保证。而加强对税收风险点的识别和定位，对税收风险点进行详细分析则是有效识别和定位税收风险，构建合理税收风险管理系统的重要基础工作。高质量的分析工作可以不断提高各级税收管理层的税收风险预警能力。提高税收风险管理的针对性和指向性。按照国家税务总局的要求，税收分析可以细分为经济税源分析、政策效应分析、管理风险分析和预测预警分析。其核心内容是依托信息平台，根据内外部数据来源，对税源企业进行分类分级，明确各级税源监控的。标准、范围及要求，按照风险级别排序，采取有针对性的税源监控措施，合理地配置税收管理资源，提高税源管理的针对性和有效性。

三、健全税收管理机制，建立专业化的风险控管运行机制

按照税收风险管理的程序要求，各级税务机关，特别是各级管理层，通过转变管理职能，逐步建立满足风险管理体系建设需要的各类运行机制，主要包括：风险管理战略规划管理机制、风险信息情报采集交换机制、风险信息分析识别管理机制、风险等级估算排序管理机制、风险应对策略选择管理机制、风险应对措施实施管理机制、风险管理全程监控评估机制等。

建立税收风险管理规划目标管理机制。承担税收风险战略规划管理的税务机关，通过建立部门联席会议，形成税收风险管理战略规划管理工作机制，承担系统风险管理的规划管理工作，对规划期风险管理的工作目标、阶段重点、方针策略、主要措施、实施步骤等作出系统性安排。对规划期风险管理工作开展情况进行全程跟踪监控；在规划期末，对作出及时的总结评估，为风险管理体系持续改进、持续完善，为未来税收风险战略管理的规划安排提供改进建议。

篇（7）

企业风险管理体系简介

要对风险管理过程的充分性和有效性进行评价，首先要对风险管理体系有一个初步的了解。根据美国COSO委员会《企业风险管理框架》的要求，建立风险管理体系包括相互关联的八个风险管理要素，各要素贯穿在企业管理过程中，为实现企业目标提供保证。

第一是内控环境。主要是在企业中树立风险管理理念，营造一种风险管理文化，为其他风险管理要素打下基础。

第二是目标制定。管理者必须首先确定企业的目标，才能够确定对目标的实现有潜在影响的事项。根据企业确定的任务或预期，管理者制定企业的战略目标，选择战略并确定其他与之相关的目标并在企业内层层分解和落实。

第三是事项识别。下列事情可能给组织带来风险：因使用不正确、不及时、不完整、不可靠的资料而导致决策错误；记录有错误、会计核算资料不真实、不完整；资产保护不当；顾客不满意，组织信誉受损；执行组织决策、计划、程序不力，或有违法违规行为；不经济地获取或无效地利用资源；没有完成组织的任务和目标。需要企业的管理者对其进行识别、评估和反应。

第四是风险评估。风险评估可以使管理者了解潜在事项如何影响企业目标的实现。管理者应从两个方面对风险进行评估-风险发生的可能性和影响。对于风险的评估应从企业战略和目标的角度进行。

第五是风险反应。风险反应可以分为规避风险、减少风险、共担风险和接受风险四类。对于每一个重要的风险，企业都应考虑所有的风险反应方案。有效的风险管理要求管理者选择可以使企业风险发生的可能性和影响都在风险容忍度之内的风险反应方案。

第六是控制活动。控制活动是帮助保证风险反应方案得到正确执行的相关政策和程序。控制活动存在于企业的各个部分、各个层面和各个部门，通常包括两个要素：确定应该做什么的政策和影响该政策的一系列程序。

第七是信息和沟通。来自于企业内部和外部的相关信息必须以一定的格式和时间间隔进行确认、捕捉和传递，以保证企业的员工能够执行各自的职责。

第八是监控。对企业风险管理的监控是指评估风险管理要素的内容和运行以及执行质量的一个过程。企业可以通过持续监控和个别评估两种方式，来保证企业的风险管理在企业内务管理层面和各部门持续得到执行。

从以上八个风险管理要素可以看出，企业风险管理是一个过程。是一个由企业的董事会、管理层和其他员工共同参与的，应用于企业战略制定和企业内部各个层次和部门的，用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的，为企业目标的实现提供合理保证的过程。

内部审计在风险管理中的作用

根据《内部审计实务标准》对内部审计的定义：内部审计是一种独立、客观的保证与咨询活动，目的是为机构增加价值并提高机构的运作效率。它采用系统化规范化的方法来对风险管理、控制及治理程序进行评估和改善，从而帮助机构实现其目标。所以在风险管理中，内部审计要发挥两方面的作用：

第一是对风险管理过程的充分性和有效性进行评价，主要从以下几个方面进行评价：1.评价企业战略目标的制定是否是在分析组织和行业的发展情况和趋势、企业的优势和劣势、外部的机会和威胁的基础上结合企业风险偏好来制订；2.与相关管理层讨论部门的目标，看分解到各部门的目标是否对战略目标提供足够的支持；3.评价管理层对风险的识别和评估是否准确；4.分析控制措施是否完善，是否可以使企业风险发生的可能性和影响都落在风险容忍度之内；5.风险监控是否持续得到执行，监控报告制度是否恰当，风险管理报告是否充分、及时。

第二是以咨询顾问身份协助机构确定、评价并实施针对风险管理的方法和控制措施。内部审计在该方面的作用包括：1.进行控制和风险评估培训。使风险意识贯穿于整个企业的各个层面，并且使每名员工能够有效识别风险并提出有效控制措施，实施企业全员、全过程、全方位、全天候的风险管理。2.召开控制和风险评估专题讨论会。针对重大风险隐患，要集合企业内外部的专家进行专题研讨。审计人员既是组织者，又是参与者，同时也是学习者。3.开发自我评估工具。对风险管理进行深入研究，利用现代技术开发适合本企业的评估工具

将企业风险管理融入内部审计程序

在风险管理中，内部审计部门主要是对风险管理部门和其他相关部门所进行的风险管理进行再监督。因此内部审计程序与机构的风险管理之间应该协调一致，使这两项工作产生协同增效的作用。

1.在编制审计计划时，应该在对可能影响机构的风险进行评估的基础上，制定内部审计部门的审计计划，确定审计项目。

2.确定审计范围时，要考虑并反映整个公司的战略性计划目标，并每年对审计范围进行一次评估，以反映机构的最新战略和方针。

篇（8）

概括来说,校企合作的风险具有以下特征:第一,客观性。客观环境的复杂性、社会的发展性和学校与企业等主体认识的局限性,决定了校企合作的风险是不以人的意志为转移的客观存在。决定校企合作风险的许多因素都是相对于风险主体而独立存在的,并且在一定条件下使得风险由可能转化为现实。对校企合作风险的管理应以承认其客观性为基本前提,从而加强对风险因素的系统性管理,统筹兼顾,以最大化地消除风险。第二,不确定性。源于校企合作双方内部或外部的某一事件的发生具有可能性即不确定性,该事件会影响校企合作目标的达成程度,既可能产生积极影响,也可能产生消极影响,或两者兼有。这种不确定性往往是复杂的、多元化的,使得风险主体无法准确预期自身和外界环境的未来以及校企合作的成效。第三,相对性。校企合作风险的大小是针对风险承受能力不同的风险主体而言的。对不同的校企双方来说,完全相同的风险因素产生的风险大小可能是完全不相同的。

因此,校企双方应具体地结合自身状况和客观环境综合分析,完善管理策略和应对机制,这是进行校企合作风险管理的基础。第四,对称性。风险和收益对于校企合作主体来说同时存在,一般来说,所面临的风险越高,所要求的风险补偿即收益就越高。承担风险是取得收益的必要代价,所得收益是对承担风险的补偿。在校企合作中,应把握适度原则,只有适当的风险对校企合作才最有利,它有助于激发校企双方潜能,使双方在各展所长中进行优势互补,在风险管理中获得最大收益。风险过高或过低对校企合作都是不利的,低风险通常意味着低回报,对校企双方,尤其是以逐利为目的的企业来说,动力的缺乏容易导致合作停滞不前、难以维系;虽然高风险往往伴随着高收益,但也蕴含着更大的不确定性和不稳定因素,一旦风险由可能变成现实,不仅会导致校企合作的破裂,还可能会对校企合作的双方带来重大不利影响。

二、校企合作风险的主要类型及成因分析

1.信用风险

信用风险又称违约风险,是指由于校企合作的双方或一方未能履行合作协议所规定的义务或信用质量发生变化,从而给校企合作双方或一方带来损失的可能性。对大多数高校和企业来说,信用风险几乎存在于所有的校企合作中,而企业是引发信用风险的主要方面。从投入产出比来看,人才培养需要长期投资教育,投资周期较长、成本较高,而教育效果的时滞现象,使得企业的短期内投入远大于产出。此外,企业的逐利性导致其比较注重短期既得利益,故而多数企业在合作的过程中,基于自身利益的考量,为达到短期利润最大化的目的不惜以降低校企合作质量为代价。

2.产权争议风险

由校企合作双方在投入方式上的差异及投入的难以量化导致的在产权保护和产权归属上产生冲突的风险[2]。在校企合作前期,产权争议主要受到利益预期、外部环境等因素的影响,中期主要的影响因素是内部环境、成本控制等,后期的主要影响因素是产权的归属和利润的分配。同时,合作协议模糊不明及合作前期准备工作不充分,也是产权争议产生的重要原因。一旦发生争议,校企双方没有明确可依的合作协议和事前的相关文件、解决方案等,使得分歧难以化解,甚或矛盾加剧乃至诉诸法律。

3.共同利益风险

在校企合作的中,由于双方的共同利益得不到满足而引发的风险,常与信用风险交织并发。资源依赖理论认为,组织是一个开放的系统,没有任何组织赖以生存和发展的资源是能够自给自足的[3]。共同利益是校企合作的基础,只有校企双方的需求都能在一定程度得到满足,其合作才能延续和发展。一般来说,企业希望在校企合作中满足下述几方面的需求:未来稳定的企业用工来源、技术支持、员工培训、引进先进的技术、合作科研开发和赢得社会声誉等[4]。而学校在校企合作中,希望通过与企业共同建立实训基地和引进企业高级人才来校讲学等途径,解决学生的实习问题,加强教师专业能力发展,推进人才培养模式的创新和课程体系的完善等。在合作中,如果双方的需求无法满足,则合作将难以维系,风险就极易发生。

4.操作风险

操作风险潜藏于校企合作制度、内部程序等各个方面,风险发生概率极高,因此应该加以重视。大多数校企合作普遍存在合作协议空洞模糊的问题,对合作所必须的具体实施细则和内部程序的制定不重视,对参与人员的职责分配、校企双方利益分配的界定不明确,对合作期间的成效反馈机制、参与人员管理机制和风险监控机制的建立不完善,校企合作缺乏系统的管理,呈现表面化、功利化的态势。而良好的校企合作的建立需要合理完善的程序指引和制度规范,这其中涉及如何协调校企之间的利益分配、如何保证主要参与者积极履行职责、如何激发企业参与校企合作的能动性等。

5.学生安全风险

学生在校企合作过程中出现伤亡事故引发的风险,这类风险发生概率虽小,而一旦发生,尤其是死亡事故的发生,校企双方的态度会出现很大转变,通常会由积极主动变得冷漠推诿,给校企合作带来沉重打击。之所以出现这种情况,一方面在于校企双方缺乏安全意识,对学生缺少安全教育和安全管理;另一方面在于校企合作双方责任划分不明确,且缺乏风险规避、风险转移等风险管理机制。

三、校企合作风险管理程序

1.确定风险管理目标

目标是行动的纲领,校企合作风险管理的第一步就是要明确目标,这是校企合作的出发点和归宿。校企双方通过合作来满足自己的利益需求,因此,制定目标时应先考虑双方的利益诉求,然后在双方利益尽可能最大化的基础上寻求平衡点。校企合作的目标往往是多元化的,包括维持合作的长期存在,创造校企双方的双赢局面,最小化校企合作的风险代价,防止可能造成的学生伤亡事故等。风险管理目标是一切风险管理决策和行动的核心依据,它使得风险管理计划成为一个整体问题,其中涉及的每一项具体工作都是这个整体中的有机组成部分。

2.识别并评估风险

识别并评估风险是校企合作风险管理工作中非常重要的一项工作,风险管理工作的成效如何主要取决于对风险的识别和评估。校企双方应各自抽调出熟悉校企合作项目情况的专家、高级管理人员等组成风险管理委员会,对校企合作所面临的具体风险进行有效识别,并利用历史损失信息和数理统计方法对所识别的风险进行量化评估。风险评估包括评估潜在损失频率和潜在损失程度两个方面,主要用于对风险的定级。用潜在损失频率对风险加以定级,特别是在无法取得精确资料的情况下,可以对损失频率进行粗略估计,分为几乎不会发生、不大可能发生、频率适中、肯定发生四个等级。在校企合作中,因此更多的是用潜在损失程度进行定级,由于损失程度往往是影响校企双方回报的关键性因素,主要分为三个等级,致命风险、严重风险和一般风险。对校企合作风险的有效识别和合理评估,有利于管理者全面掌握风险信息,并为风险管理后续工作的进行奠定基础。

3.制定并实施风险管理计划

在风险评估工作结束后,风险管理委员会必须选择最适当的应对风险的方法或综合方案,制定风险管理计划,其核心在于面临不同的风险应采用不同的可行性方法。当风险是内生时,即校企合作面临的是可控风险,委员会应及时排查合作漏洞,通过明晰合作双方的责任和义务,细化合作内部程序来规避操作风险。当风险不可控时,利用合作协议转移并分散风险便成为委员会风险管理的合理选择,其实质就是风险的补偿措施。即当风险事故一旦发生,将损失的一部分转移到合作双方以外的第三方身上。例如,为实习学生购买意外伤害保险,将风险转移给保险公司。风险管理计划只有付诸实践,才能产生应有的成效。因此,计划的实施是风险管理中必不可少的环节,这依赖于风险管理委员会和校企双方工作人员的密切配合、及时沟通和信息共享,这样才能将风险管理落到实处,促进合作目标的达成,否则风险管理只能停留于表面、流于形式。

篇（9）

1风险管理与内部控制架构

西方商业银行都建立了全面风险管理框架，对各类业务、各种风险进行管理和控制，并根据各自的业务特点和管理需要，对风险进行分类。如摩根大通银行将风险主要划分为信用风险、市场风险、操作和经营风险、流动性风险、权益风险，按照风险种类进行管理和控制。

在风险控制结构的设计上，主要考虑要保证银行能够形成强势的、信息充分的风险文化，使银行在进行经营决策时，能够在风险与回报之间进行平衡，进而实现股东回报最大化。因此，风险控制的要点是要保证银行的经营行为要与对风险的承受能力保持一致，避免造成过大的风险压力。

在组织架构上，实行层级管理，分为3个层面。首先是董事会及其下属的风险管理委员会(风险政策委员会)，其职责主要是从宏观层面上设定银行的风险管理政策、方针，批准风险管理政策、进行风险限额授权、对管理层的风险管理工作进行评价等，而不涉及具体业务的风险管理工作。其次是高级行政管理层，负责建立操作流程、风险限额、风险准备的提留等。再次是具体执行层面，由专门的风险管理部门负责对具体业务风险的管理、授信业务的审批、检验风险管理程序是否合理。

蒙特利尔银行自董事会到各级管理部门均建立了不同层次的风险管理委员会，包括董事会所辖风险审核委员会、行长所辖部门风险委员会、风险管理委员会及资本管理委员会等。董事会及管理层负责审核风险管理的政策及规定，风险管理委员会及审计委员会负责处理大额业务或特殊业务、制定信贷政策及风险管理框架等；专业化的风险管理小组负责处理特定行业、部门或产品的风险；专一的小组负责贷款的清理及回收。信贷员正式上岗之前必须经过一系列的业务知识和技能的培训，并经过严格的资格认定；对待特殊风险问题，需聘请咨询专家提供支持；资产组合管理人员通过引入信息管理系统，及时利用外部各种渠道掌握客户的全面信息。审计部门每季度对银行的内部控制状况进行评价，并将评价结论向董事会的审计小组进行汇报。

蒙特利尔银行很强调风险管理专家的作用，在银行的风险管理部门和前台经营部门中都设有风险专家，风险管理专家的能力和经验有助于强化风险管理的作用，提升纪律化、高效的风险管理程序的价值；为评估和接受风险建立风险管理标准；在决策过程中采用有效的模型，以作出合理商业判断。

摩根大通银行的最高决策机构是董事会，在董事会下设有风险政策委员会，负责所有风险的管理。风险政策委员会下设立了执行委员会。执行委员会的职责有两项，一是负责战略指引，二是负责内部评价。执行委员会下设立了资本委员会和风险管理委员会。资本委员会的职责有以下6项：(1)提出资本比率的目标建议并负责监控该比率；(2)提出资本分配的建议；(3)监控公司及母公司的流动性，批准抵押品及流动性计划政策；(4)评价公司的资本充足性及债务水平；(5)为资本充足性和流动性的讨论提供一个论坛；(6)从潜在流动性风险的角度评价特殊目的实体的风险敞口。风险管理委员会的职责有以下6项：(1)提供全面、直接的风险描述及风险偏好；(2)评价并批准公司政策和风险战略：以保证银行的风险管理和监控能够准确反映经营授权、经营行为、合法性及是否满足监管要求等；(3)批准集合限额和授权以控制风险；(4)监控重要风险敞口、头寸集中度、资产流动性、重要头寸及交易的风险限额，对压力情况给予特别关注；(5)评价折扣的充足性并批准损耗；(6)提供风险讨论的论坛。

纽约银行风险政策部门的层级划分及职责是：最高一级是高级风险政策官，负责监控整个银行的市场风险、信用风险、操作风险；其下设立分别负责信用风险、市场风险、操作风险的高级官员；然后是高级国际业务风险官；最后是地区信贷官，分别负责欧洲、亚洲及其它地区风险控制。

2信贷风险控制方法

2．1摩根大通银行风险经理制度

摩根大通银行在总行设首席风险经理，曲副行长或副行长级高级管理人员担任，负责全行各种风险的控制和管理，监控各种可能对全行业务发展有重大影响的“重大风险”。在首席风险经理领导之下，每个信贷业务部门都有信贷风险的专门管理人员——信贷高级风险经理，他们都由首席信贷官主管。在首席信贷官之下有3个高级信贷官，其中2人分别负责国际或国内的批发业务，另1人负责零售业务。在3个高级信贷经理之下，还有区域风险经理，分成几个地区，例如亚太地区、欧洲地区等。或者按产品分，如资本市场、信用卡等。在区域风险经理之下，每个部门还有信贷风险管理人员，他们在技能、分析、管理方面比较有优势，所以能从事这项工作。在业务部门内，风险管理人员有最高审批权，即他们对其各自所负责管辖的区域或产品领域内的信贷额度有最终的审批决策权。这里还有一个原则，即每个信贷风险管理人员有两个上司，一个是较高级的信贷执行官员，一个是本部门的负责人。这种方法使高级信贷人员能够参与信贷管理，他们不仅说行与不行，还要说出理由。

2．2信贷业务双签制度

摩根大通银行根据不同部门、不同级别有关人员的能力和业务需求，给予不同的信贷业务决策审批权限。风险较高的业务需要高级管理人员审批，风险特别高的还要更高一级的官员批准。但不管谁批．至少需要2个或2个以上的签字人。蒙特利尔银行除客户管理部门授权之内的业务、风险较低的业务及特定的小额业务之外，银行发放贷款时，除信贷经营部门(客户管理部)批准同意外，还需要得到信贷监控部门的同意。如果两个部门意见不统一或超权限的项目均要分别报上一级主管部门。

2．3小额信用风险的控制

由于零售业务单笔规模小但笔数多，违约率高但单笔违约损失小的特点，其风险主要表现为系统风险。根据这一特点，蒙特利尔银行针对零售业务采用了自动审批贷款系统，只要将客户资料输入．系统即可以判断是否应该给予该客户以信用支持，以及可以给予多少信用额度。该系统还和社会信用系统相连接，可以直接得到该客户的信用资料。自动审批贷款系统的采用，在控制系统风险的前提下，极大地节约了人力成本。

3风险管理程序和风险管理模型

严格的风险管理程序和有效的风险管理模型是风险管理中非常重要的手段。银行通过使用这些程序和模型，保证了整个银行系统对风险管理的一致性和有效性。程序是银行的操作规范，一旦制定以后，就要求各部门和分支机构严格按程序操作。这种程序是对经营和管理行为的约束，银行工作人员只要遵守这些程序，就会得到程序给予的保护。银行审计部门每隔一定时间就会对这些程序进行评价。 模型在银行中使用的范围很广，从非常简单的交易，到复杂的贷款组合管理和资本管理。银行的经营部门使用这些模型，来指导战略决策，用于制定每天贷款、交易、承销、投资和操作决策。在风险计量方面，也开发了有效的模型。银行使用这些模型来计量各类风险敞口(包括信用风险、市场风险、流动性和融资风险、操作风险)。蒙特利尔银行以在险资本方法计量银行整体风险。

模型的广泛采用，依赖于银行内部有效的审查能力。依据已经建立起来的程序，模型必须先由风险管理人员独立进行测试和评价，以保证其完整性不因经营环境和使用者的改变而改变。这样的程序对模型的适用性和假设前提的合理性提供了独立的证明。在模型采用之前进行检查，保证了输出结果的正确。对模型的测试和评价，还包括输出结果的敏感性。对模型和假设前提，根据情况进行更新。评价的日程安排取决于评价的复杂性和评价对财务的潜在影响。

4管理政策

信贷管理政策、风险管理政策等是指导银行日常风险管理、经营活动的原则。纽约银行和蒙特利尔银行按照营业单位(或产品线)制定信贷政策，由于这些政策的执行涉及到整个银行的利益，因此，在蒙特利尔银行，这些政策由风险主管向董事会提出。在蒙特利尔银行，每个信贷经营部门还要制定贷款指南，要得到风险管理部门同意。

5风险回报观念与经营管理

风险回报的观念在银行日常经营管理中得到了充分的体现，这一观念贯穿于银行的资本管理、战略管理、产品定价等各方面。在资本管理上，引入了经济资本、在险资本等概念。其核心思想是，各种银行业务都承担了不同程度的风险，因而需要不同数额的资本来作保障。在险资本是依据风险进行资本管理的基础，可以具体计量出为支持某种产品线的活动所需的资本及资本的潜在成本，以此对该产品线的表现进行综合评价，并对各类产品线的表现进行比较。

在战略管理上，强调银行最后承担的风险必须与银行股东回报最大化的目标相一致。因此，基于上述资本管理的基础，可以对各种客户战略、产品战略进行比较，进而作出选择，确定银行经营战略，调整日常经营。在产品定价方面，按照高风险高回报、低风险低回报的原则，具体确定每一笔业务的价格。

6内部风险等级评定

内部风险等级评定是商业银行内部风险管理的重要手段，对客户和产品都要进行内部风险等级评定。对产品的评级建立在客户评级的基础上，有时对产品的评级会高于客户评级，但不会低于对客户的评级。银行通过对产品评级，来确定这笔业务应得的回报，评级较高的业务，只需要较少的资本保证，可以定价较低，反之，则定价较高。

纽约银行的内部风险等级分为18级，基本上分别与穆迪的评级、标准普尔的评级一一对应。蒙特利尔银行客户风险级别从0到80，摩根大通银行的信用评级分为10个等级。3家银行内部风险等级的认定程序稍有不同。纽约银行和摩根大通银行内部风险评级工作由前台部门的人员提出评级结果，但要得到后台风险管理部门的认可。由于银行都实行全面风险管理，后台人员会对前台人员的风险分析进行辅导，前台和后台人员对风险有着共识。如果风险管理人员认为评级结果有问题，可以提出不同意见，但要提出充足的理由。蒙特利尔银行由客户管理部门根据特定的模型对客户进行风险评级，风险管理部门需经常对客户评级进行抽样调查，确定评级是否合理。对客户的信用评级实行年审制，对每笔不良贷款实行季审并采取必要的准备金或冲销措施。

篇（10）

美林证券的组织架构可以分成四个部分，即最高决策管理、内部管理、业务管理和区域管理。这里只分析美林较为重要的决策管理和内部管理。

决策管理美林证券的最高决策管理层主要包括董事会和执行管理委员会。董事会下设董事会办公室、审计委员会、薪酬委员会等，主要负责公司的发展规划、战略管理和重大投资决策，对公司内部管理进行审计监督等。同时，它在全球范围内监管美林与公司和机构客户的关系，并加强引导以确保公司动员整体资源来满足这些客户的多样化需求。

执行管理委员会主要负责公司的具体政策和管理程序的制定，公司各种决策的执行以及总体业务的策划、协调及统筹管理等。该委员会包括董事长办公室和总裁办公室的行政管理者，以及负责营销企划、技术服务、风险控制、全球业务、财务监管等方面的高级主管。

内部管理美林公司的内部管理是按照职能来划分部门的，其重点是实行有效的监管和激励。监管主要是通过财务稽核、法律督察和风险控制来实现，分别由财务部、稽核部、法律部和风险管理部等负责；激励主要是通过人力资源管理来实现，由专设的人力资源部负责。内部管理部门直接由执行管理委员会领导，同时他们与董事会下设的审计委员会、薪酬委员会等保持经常性的联系和沟通，以便董事会可以有效地履行监管职责。

美林的这一组织模式既不同于传统的直线型、职能型架构，也不同于按照职能、产品划分的简单的矩阵型组织架构。总体来说，美林的组织模式属于一种多维立体型网络架构。

美林的这种组织架构具有以下主要特点：

一是内部管理强调监管和风险控制。作为一家跨国集团，美林在全球范围内开展投资银行业务，需要承担很大的政策风险和市场风险。为了协助各营运部门管理和控制风险，美林集团无论是在组织架构中的部门设置，还是在政策制定、业务拓展方面都强调应加强财务监管、风险识别、风险测量、风险评估和风险控制，在进行成本收益分析的前提下，尽力保证公司资产的稳健运营，提高资产的营运质量。

二是决策管理强调集中统一。美林集团的组织架构中包含了极具特色的委员会管理模式，这一模式作为集中统一管理的主要形式正在被越来越广泛地采用。一般来说，设立执行管理委员会的优势主要有两方面：一方面，在集团决策中可以采用集体智慧进行审议和判断；另一方面，有利于各部门之间、计划和政策之间的相互协调。

三是多维立体型的网络组织架构独具特色。在美林的组织模式中，按照职能划分部门的内部管理、按照客户需求划分部门的业务管理以及地区营运总监负责制的区域管理这三个系统相互有机地结合成为一个整体，并由决策层的执行管理委员会集中统一协调。所有的重要决策，均通过执行管理委员会沿着这三个方向推进，最终付诸实施。这种多维立体型的网络组织架构将多元化的专业分工与集中统一协调的优势融为一体，是美林组织架构的最大特色。

风险管理哲学

风险承担是美林证券核心业务中不可分割的组成部分。美林在从事各项业务活动时，面临着各种不同风险，包括市场风险、信用风险、流动性风险、程序风险以及其他风险，需要全面地管理和控制这几类风险。

美林集团认为，业务的主要风险并非来自金融产品本身，而是来自管理上的共误，比如违规运作和缺乏监管。十多年前，美林集团总结了一套风险管理理念，尽管风险管理的方法和策略一再改变，但是风险管理的基本理念却一直维持延续下来。

这些基本理念包括六项原则：在任何风险管理程序中，最可靠的途径和工具是经验、判断、沟通和联系；加强公司内部风险监管，强化纪律和风险意识；有关投资的决定必须以清楚、简要的方式作出，并传达到下属；风险管理部门必须考虑可能出现的意外情况并确定风险限额，找出潜在问题和不足之处；风险管理程序的执行必须灵活，以适应不断变化的环境；风险管理的主要目标是将承受损失的可能性降至最低，这样的损失通常是由意外事件所引起，大部分风险管理的统计模型无法预计。

公司风险管理委员会（Corporate Risk Management，CRM）确保这些风险在整个公司范围内得到明确的定义、监控和管理。为此，公司风险管理委员会建立了一套风险管理程序，具体来说包括以下几个方面：

建立一个正式的风险管理架构，明确定义风险监控程序和它的组成部分；董事会下设审计委员会对风险管理过程进行经常性审查；制定明确定义的风险管理政策与程序，并得到最适合的高级分析工具的支持；在业务部门、执行部门和风险管理部门间保持严格的责任、控制和监控隔离的同时，促进它们之间的交流与合作；明确定义和表达各个业务层次的风险承受能力，并且经常审视以确保其与公司的业务战略、资本结构、现实和预期的市场状况相符合。

风险管理组织结构

为了在基层交易部门强化风险管理机制，美林公司制定了风险控制策略和操作规程，要求相关的区域机构和单位在识别、评价和控制风险时予以遵循。这些风险控制策略和操作规程的实施由许多部门共同完成，包括全球风险管理部、信贷部以及其他风险控制部门如财务部、审计部、经营部、法律部和纪检部等。

在风险管理的组织结构上，除了各部门自己承担其职责范围内的风险管理责任外，美林公司还成立了由风险管理部、信贷部和有关高级管理人员组成的风险控制委员会和储备委员会，监察整个风险管理机制的运行。风险控制委员会和风险管理部对所有机构交易活动进行风险监控。其中风险管理委员会除了向董事会及其财务委员会报告工作外，在运作上独立于美林集团的其他营运部门；储备委员会监察与资产和财务有关的风险事务，由财务总监主持，负责检讨和批准美林集团的储备金水平及储备金处理方法。

美林证券风险管理部门的组织结构是按照不同的地区及产品来划分的，以确保风险管理人员可以直接监察单项交易。风险管理部门的主要职责是：定期与高级交易经理会商、商讨有关风险；制定风险控制及指引，以协助交易部门对冲；制定和监督所有交易限额；同其他部门的代表一起负责审批新产品、新业务的开发事项；在承接有关股票、高收益产品、新兴市场包销、物业融资以及过渡性贷款等业务之前，必须事先取得风险管理及其他控制部门的批准，风险管理部有权要求削减个别交易的风险限额，甚至有权否决交易。

风险框架

篇（11）

一、在系统风险评估的基础上制定审计计划

在审计工作的序列行为和程序中，酝酿、制定审计计划是第一步也是决定后续阶段性质和内容的关键步骤。在风险导向审计工作中，风险要素在审计计划阶段便表露出来，具体表现如下：

（一）准备阶段强化风险评估

过去，基于计划经济体制的作风遗留，审计项目的设定、审计区域的确定及审计频率的规划等都由上级单位或相关部门通过行政指令确定。随着风险管理理念的渗入及普及，风险评估成为审计领域的一个重要法宝。对于企业组织而言，审计计划协调风险管理部门及各主体业务部门定期系统开展风险评估活动，利用专业素养进行风险排序，出具风险图谱，列出重大风险区域，管理层据此对组织风险有了比较充分而全面的了解后，确定重点审计区域，指导确定宏观的审计计划。对于特定审计项目而言，专项或微观的风险评估为具体项目的启动提供支撑，也为项目计划的编制提供框架，让审计工作一开始就带着强化风险要素的气氛。

（二）编制计划阶段以风险评估情况为根据

确定重点审计区域及范围后，后续工作是针对重点区域和范围进行审计立项。对此，在宏观方面讲，各审计项目需要投入的资源多寡要以其风险情况为依据，尽量实现资源的最优配置；在微观方面来说，具体的审计项目规划具体审计程序，也要以微观领域的风险排序和对比进行适当安排，充分体现与风险状况的分布及程度等均保持高度的一致性。

（三）评价阶段以风险涵盖度为标准

审计计划的制定不是一成不变的，而需要在持续的评价中保持更新的灵活性。对此，一个重要的问题是审计评价标准，以前上级指令及相关部门的建议便是必须遵循的原则，在风险管理境遇下的如今这种评价标准直接指向对组织目标的影响和作用程度，据此延伸到关注风险涵盖度这个概念上。具体而言就是，审计计划涵盖的关键风险范围越广，其资源配置分布情况与风险状况一致性越高，审计计划的编制水平就相对高。

二、以风险防控为旨归实施审计程序

审计计划关注风险要素只是一个开端，更关键的阶段是审计程序执行阶段。对此，风险导向审计工作同样依托风险要素，以风险防控为旨归，具体表现为下几点：

（一）审计关注的重点是组织的风险管理框架的存在和完善与否

在传统审计形态下，审计人员关注的对象多是组织财务合规方面的内容，稍微出色的审计项目也注意到了绩效的内容。不过，这些都没抓住组织发展的关键点，只能看到确认一时的问题，而不能在宏观及长远意义上为组织提供帮助。在风险管理的境遇下，审计关注的重点对象从具体琐碎事务提升到风险管理层面，重点关注组织构建完善风险管控框架的情况，主要有三个维度，一是否构建；二是构建得完善程度，三是发挥效用的情况。

（二）审计审核的重点内容是关键风险点防控的有效性和适度性

因为重点关注内容转向组织风险管理情况，所以审核工作的具体内容也同以此为重心，对风险点和风险防控措施进行分析，制定出审计目标、风险防控失败后果及具体审计程序，编制《风险认定与审计目标对应关系表》、《审计目标与审计程序对应关系表》，重点关注审计目标、各风险点、风险防控失败后果、风险防控措施及具体审计程序等系列事宜，对防控失误事项进行分析分类，查找风险防范措施设计和执行有效性方面的不足，评估界定风险防控失误事项的性质，并判断分析风险防控失误对企业造成的影响。

（三）审计跟踪检查的重点整改内容是管控措施的出具情况及效果

审计工作的完成并不等于终结，还有审计跟踪检查工作。审计跟踪的对象就是审计程序中的具体发现，确切说就是对风险管控失控方面的应对情况，具体而言是关注两个方面，一是相关负责组织是否出具了有针对性的应对举措，二是所出具应对举措的具体效果，根据这两方面的情况确认相关信息。

三、以管控建议为重点编制审计报告及相关文件

审计程序完成后，需要向董事会等管理层出具评估报告，也就是编制审计报告及相关文件。在这个阶段，风险导向审计工作的开展同样强化风险要素的中心地位。

（一）从报告内容上说，审计报告重点介绍组织风险管理及评估的状况

基于事务前后的一致性和连贯性，审计报告的来源是审计程序的过程和发现，重点同样在于确认风险管理框架的完善性及发挥作用的效度、风险评估的结果及关键风险点防控措施及失控情况，以风险要素及状况为主线向管理层及治理层提供全面准确的参考信息。

（二）从报告目的上说，审计报告的出具是为了推动组织风险管理工作的持续开展