●  孙晓东

　　2006年6月国资委印发《中央企业全面风险管理指引》, 指出企业全面风险管理是一项十分重要的工作，关系到国有资产保值增值和企业持续、健康、稳定发展，有利于进一步提高企业管理水平，增强企业竞争力，促进企业稳步发展。新发布的注册会计师鉴证准则则把风险导向审计模式正式纳入财务审计中。这些制度的出台都充分体现了企业为应对日益变化的环境进行风险导向审计的必然趋势。本文从风险管理框架入手探讨了对企业全面风险进行审计的简要思路。

　　风险的概念

　　风险是事件本身的不确定性，具有客观性。风险是在一定的、具体的情况下的风险，风险具有条件性。风险的大小随着时间延续而变化，是一定时期内的风险。风险通常由风险因素、风险事故和损失三种要素组成。风险因素是指促使或引起风险事故发生的条件，以及风险事故发生时，致使损失增加、扩大的条件。风险因素是风险事故发生的潜在原因，是造成损失的间接和内在原因。风险事故是引起损失的直接或外在原因，是使风险造成损失的可能性转化为现实的媒介，即风险是通过风险事故的发生来造成损失的。损失是指非故意、非计划、非预期的经济价值减少的事实。
　　风险按照不同的标准，可以有不同形式的分类，如分为客观风险和主观风险；纯粹风险和投机风险；静态风险和动态风险；基本风险和特定风险；经营风险和财务风险；经营风险、行为风险和管理风险；按照企业风险的实体内容可分为营销风险、财务风险、新产品开发风险、品牌风险、组织架构风险、内部控制风险、信息风险、财务风险等。

　　企业风险管理的实施

　　1.确定风险范围，制定风险评价标准
　　风险管理范围是指依照组织战略目标的要求，考虑风险的重要性，被纳入风险管理的范畴的风险。风险管理机构和审核机构通过审核组织的特定方面和综合方面的强项、弱点、机会和威胁，考虑到成本问题，风险管理应在时间和成本预算内的适当范围进行风险管理。风险管理范围中的战略范围包括：财务战略、竞争战略、经营战略和人才战略。风险管理范围的业务范围包括投资与筹资、销售与收款、采购与付款、固定资产循环、生产循环、存货循环和薪酬循环等。
　　风险评价标准体系是企业风险管理部门对纳入风险管理范围的团体组织及活动的相关重要特征和要求作出的最低或最高要求标准。根据对象的不同可以建立营运风险评价标准、新产品开发风险评价标准、内部控制风险评价标准、财务风险评价标准等。
　　2.识别特定范围下的风险，进行风险分析
　　按照风险产生的环境将风险划分为环境风险、过程风险（营运风险、授权风险、技术风险、诚信风险、流动性风险等）和信息风险（经营性的决策风险、财务性决策风险和战略性决策风险）。风险分析是结合企业特定的条件，如寿命周期和经营战略，将识别出来的风险的可能性、损失额、发生频率等性质进行鉴别，以判断风险程度，为制定风险管理策略与决定风险处理方案提供根据。
　　（1）宏观、中观风险分析
　　通常采用PEST分析法来对宏观因素进行分析，识别宏观环境可能对企业造成的风险。PEST分析主要从政治与法律环境、经济环境、社会和物质环境、技术环境来揭示风险。
　　在了解宏观环境后，还要进行行业分析。对企业间的竞争进行分析主要包括行业增长速度、行业集中度（市场结构类型）、市场容量、市场份额与企业业绩等方面进行分析。对新加入者的竞争威胁进行分析，主要包括分析规模经济因素、先入优势因素、销售网与关系网因素、法律障碍因素等。还要进行替代产品威胁分析。
　　虽然行业竞争力是行业赢利能力的决定因素，但本行业的与供应商、消费者的议价能力决定了行业的实际赢利水平。对供应商的价格谈判能力主要分析供应商的数量对议价能力的影响；供应商的重要程度对议价的影响；单个供应商的供应量。对消费者的价格谈判能力依赖于消费者对价格的敏感程度等因素。
　　还要进一步分析企业竞争策略，企业竞争策略分析帮助企业正确选择竞争战略，使企业保持持久竞争优势和高赢利能力。在分析竞争战略时要注意区别低成本竞争战略和差异化战略。
　　在进行战略分析时通常要采用SWOT分析法和关键成功因素分析。
　　（2）对企业进行全面分析
　　利用水平分析法从数量上了解企业资产的变动情况，将企业资产负债表中不同时期的资产进行对比，考察其变动值与变动率，结合企业产值、销售收入等生产指标的增减变动，判断企业的资产规模变化是否合理，分析具体原因。
　　利用垂直分析法，计算报表中各项目占总体的比重来分析资产结构及其变动情况，检查资源配置是否合理，资源是否被充分利用。
　　检查资产配置中，固定资产与流动资产的比率，适中的比率说明赢利水平一般，风险程度一般，低的比率说明企业风险低，但是赢利能力也低，高的比率说明，企业赢利能力提高，但是风险也加大。该比率需结合行业特点、企业规模判断企业的固定资产与流动资产的比率是否合理。
　　（3）在全面分析中常用的分析方法
　　从投资者角度需要分析销售利润率、销售成本利润率、总资产报酬率、净资产报酬率、资产收益率、资本保值增值率、市盈率、每股股利、股价市场风险、股利支付率等指标；
　　从债权人角度要分析流动比率、速动比率、资产负债率、权益比率、存货周转率、销售利润率等；从社会责任角度要分析社会贡献率、社会积累率和产品销售率；从经营者角度要看财务状况和运营状况及结果。
　　在进行分析时还可以采用因素分析法、趋势分析法和差额分析法，确定关键影响因素、增长水平（增长率）、环比（或定基）增长率等。
　　采用投资组合矩阵分析法确定投资战略风险。
　　3.风险的评价
　　经过风险范围确定、风险识别、风险分析，需对其成果进行综合评价，为确定风险管理战略提供更为科学的依据；对以前风险战略决策与实际业务的评价，可以检查其设计是否合理，执行是否有效，尤其是要找出需要修正完善之处；对于实行风险报警机制的企业，经过风险评价，进行核实报警；对于已经发生的风险，需要对风险的处理进行评价，以便检查控制执行的差异，找出原因，明确责任。
　　通常是由内部审计人员根据风险评价程序对风险的性质、级别进行综合判断，对于运行中的风险管理政策与程序的适当性、执行的有效性进行定期评价，及时修正和完善风险管理方案。
　　4.风险管理措施
　　风险管理措施一般包括：规避、风险抑制与控制、转移、保留和利用五种。风险规避就是不作为，即选择以放弃、停止或拒绝等方式，回避损失发生的影响；风险抑制与控制是指企业对不愿放弃也不愿转移的风险，通过查找风险因素，解除风险事故形成损失的源头，降低损失发生的可能性、频率，缩小损失程度，达到风险控制目的的系统控制措施与方法；风险转移是指企业通过契约、合同、金融工具等将损失转嫁给他人，达到降低发生风险频率和损失程度的目的；风险保留是指当某种风险不能避免、或冒险而获利丰厚时，由自己保留承担的风险；风险利用是把风险当机遇，通过实施风险战略，开拓市场，达到更大的战略目的。

　　风险审计的资源规划

　　从根本上讲，风险审计的最终目的就是将企业的各种风险通过规避、控制与抑制、转移、利用等风险管理措施，将风险程度降低到组织能够接受的风险偏好之内。为实现审计目标，需要进行审计规划、安排年度审计计划、制定审计策略等。制定企业风险审计规划策略的原则是根据风险性质和权重来配置审计资源，实现对最高程度的风险实施有效管理，求得审计效率与效果的最佳。
　　1.审计范围的确定。审计部门经过风险分析，对风险程度根据重要性原则排出审计优先顺序，优先审计风险高的被审计者。根据风险管理框架，风险审计范围可能为营运风险、财务风险、新产品开发风险、品牌风险、内部控制制度风险、组织风险等。从风险“堤坝理论”和审计资源看，不一定需要对所有风险进行管理和实施审计，通常选择在审计利益大于审计成本时的审计领域；逐渐消减控制，风险提高的领域；并优化审计周期，根据风险领域和风险性质，选择最佳的审计时间间隔，从而达到企业整体风险减至最小的理想状态。
　　2.确定风险因素、风险性质。内部审计机构根据企业的实际情况确定内部控制、人力资源、会计系统、经营环境等各方面的风险因素，并根据风险程度确定风险状态，如优良、正常、轻微、严重、危急等。
　　3.根据每个风险因素对企业整体风险的重要性，采用德尔斐法进行专业判断，确定风险权重。
　　4.将风险因素审计测试结果判定的风险分数与其相应的权数相乘，得出一个风险因素的分值，然后将各个风险因素的分值加总，求出一个审计范围的整体风险分值。
　　5.按照从高到低的次序，排列风险顺序。若确定的审计范围包括几个方面风险审核的内容，都如上进行打分，并按照从高到低排列风险顺序。
　　6.根据风险测试打分排序结果，并考虑高层建议和被审计者的要求来配置审计资源，编制年度审计计划。
　　（作者单位：大众报业集团审计部）

　　来源：青年记者２００８年３月中