導語：風險導向內部審計思考一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

摘要：國際標準化組織ISO在經濟全球化的新環境下，了一項普遍適用的國際風險管理標準ISO31000:2009《風險管理——原則與指南》。本文全面介紹了ISO31000國際風險管理標準體系，分析了風險管理框架與風險導向內部審計的內在聯系,對如何做好風險管理框架下的風險導向內部審計工作進行了研究和探討。

關鍵詞：風險管理;ISO31000:2009標準;風險導向;內部審計

一、ISO31000:2009《風險管理——原則與指南》

近二十年來國內外各類風險事件層出不窮，美國安然事情、英國巴林銀行事件、日本八佰伴事件、國內的三鹿奶粉事件，這些事件存在風險管控缺失、風險意識淡漠、風險應對薄弱的共性原因。在這樣的大背景下，無論組織所在的區位，規模的大小，對完善風險管理機制、提高風險防范能力，促進企業可持續發展，維護市場經濟秩序，保障相關方利益等方面都產生了共同的、迫切的需求。國際標準化組織ISO在經濟全球化的新環境下，了一項普遍適用的國際風險管理標準ISO31000:2009《風險管理——原則與指南》。ISO31000體現了全球范圍內風險管理最新理論和最佳實踐，指導組織運用先進的風險管理理論來進行風險管理實踐。如何防范風險，需要組織主動去管理風險。管理風險首先要厘清對風險的認識，對于風險管理普遍存在著一些錯誤認知。其一，認為風險只是財務或風險管理部門擔心的事情。事實上，每個員工都要實現他的工作目標，而風險是目標實現的不確定性，風險是每個員工都應該關心的事。其二，風險管理似乎成為組織內的一種例行公事，只是完成勾選風險選項的活動。實際上風險管理是一個不斷發展變化的過程，隨著組織的發展變化而相應變化。其三，風險管理是一個沒用的控制層次。其實不然，風險管理可以通過識別不必要的控制、過度管理和過度控制來減少冗余的機制。ISO31000核心術語“風險”一詞最新的定義為：不確定性對目標的影響。這一定義賦予了風險新內涵，如下所述。（1）風險具有未來性：風險的兩個關鍵詞是不確定性和目標。不可預知風險發生的時間，不確定性是未來將要發生的事件才具有的屬性，目標是制定并預期在未來某個時間將要實現的，同樣具有未來屬性。（2）風險具有雙重性：風險具有正面的影響即存在機會，負面的影響即存在威脅的兩種可能性。（3）風險具有不確定性：不確定性是風險一詞的內核，風險唯一的確定性，就是它的不確定性。（4）風險具有事件性：風險與事件直接相關，潛在事件會導致潛在的后果。（5）風險具有二維性：風險通常由事件發生的可能性及事件產生的后果這兩個維度來表示，一維是事件的后果，另一維是發生的可能性。（6）風險具有信息性：一方面風險體現形式本身就是以信息為載體的，另一方面由于缺乏對風險發生的原因、風險本身、造成后果等相關信息，無法對風險進行認識和了解。組織全員對風險定義有透徹的認識，有利于運用ISO31000標準開展風險管理工作。ISO31000標準的主要作用：幫助用戶實現其目標；為管理帶來更大的主動性；提高用戶全體成員的風險認知及管理能力；改善對風險和機遇的把握能力；使用戶更遵守法規和國際規范；改善用戶的財會制度和報表；提高用戶的管理水平；提高股東等利益相關人的信任感和信心；建立更可靠的決策基礎；改進高層的控制能力；提高抗風險資源的配置和應用效率；改進組織運作的成效；改善組織的健康性、安全性和環保性；改善防損和危機預案的管理；降低損耗；改進組織的學習力；提高組織的生命力。組織風險管理文化目前存在兩種固有的典型形態，現實中大多數組織介于兩種形態的結合之間。①厭惡型風險文化：堅持已知的、穩定的經驗和知識，組織重視內部管理，而不是關注客戶的需求；組織戰略不經常變化，風險管理較被動。一旦發生變化，肯定是由于風險損失而造成的。將錯誤歸咎于具體的人，屬于典型的責難文化。②包容型風險文化：組織的價值觀推崇創新、挖掘機會；組織重視員工積極創新，關注客戶需求；組織的戰略、內部管理隨情況而變化；犯錯誤是可以包容的，但不準掩蓋錯誤，屬于典型的鼓勵文化。組織通過實施ISO31000標準，不僅在具體的業務活動或過程中實現對風險管理的改進，還使組織風險管理文化得到持續改進，向著建立風險管理機制的方向邁進。ISO31000標準的核心內容由風險管理“原則、框架、過程”三個部分構成。標準提出11項風險管理原則，其風險管理框架由總則、授權與承諾、管理風險框架的設計、實施風險管理、框架的監測與評審、框架的持續改進六個部分構成。組織在明確標準要求的基礎上，結合自身情況建立相適宜的風險管理框架。風險管理過程是風險管理框架的組成部分，由溝通與咨詢、建立環境、風險評估、風險應對、監測與評審五個子流程構成。其中，溝通與咨詢、監測與評審子流程覆蓋整個風險管理流程，循環地進行風險管理的輸入、輸出。ISO31000標準結構如下圖所示。運用ISO31000標準實施風險管理，要做好三個方面的準備工作：①學習風險管理的理論、流程和技術方法；②要明確組織的各個具體過程；③在流程中擴展屬性信息的設置——風險點編號、風險事件、風險源、風險等級、風險矩陣、控制措施等。風險是由組織實施戰略目標和業務活動而產生，風險管理也不是獨立于組織的業務活動而開展的。風險管理的成功取決于風險管理框架的有效性，風險管理框架嵌入到組織的所有層次，在特定環境下實施風險管理框架，在風險管理過程中獲得、報告風險信息。ISO31000標準采用嵌入方式將風險管理的理論、流程和技術方法融合于組織的資金活動、采購業務、資產管理、銷售管理、研究開發、工程項目、擔保業務、業務外包、財務報告、全面預算、合同管理、內部信息、傳遞信息系統等決策活動、業務活動的過程中去。ISO31000標準組織風險管理嵌入的重點：①由于組織的方針在組織中起著指導性作用，要將風險管理嵌入到組織方針制定流程；②組織戰略決策、業務穩定持續需要進行事前的策劃、事后的評審，要將風險管理嵌入到事前策劃及事后評審流程；③變更會帶來新的不確定性，對任何在原有狀態下發生的變化實施管理，需要將風險管理嵌入變更管理流程，進行事中管理。掌握上述這些嵌入的重點，再結合企業風險管理與組織流程的融合特性，從嵌入性角度構建風險管理體系，對風險管理做到事前、事中、事后的控制。

二、風險管理框架下的風險導向內部審計

組織建立ISO31000風險管理框架，使用完整的風險識別、風險分析、風險評價、風險控制等風險管理程序和方法進行風險管理，為企業防范風險，提高效益，實現組織目標提供了合理保證。組織的進步和發展離不開風險管理框架的支撐，但是組織風險管理框架的健全性、有效性、遵循性如何得到合理的保證呢？英國和愛爾蘭內部審計協會和德勤會計師事務所在2003年聯合的研究報告《價值議程》（THEVALUEAGENDA）表明，董事會和內審部門達成共識，內部審計為組織增加價值的兩種方式：一是對主要業務風險已適當管理進行客觀確認；二是對風險管理和內部控制框架的有效運行進行客觀確認。該報告強化了內部審計的核心作用是向董事會提供對風險管理有效性的客觀確認。風險管理框架在組織中的廣泛運用，自然而然引領著內部審計活動由傳統的財務審計、合規審計、績效審計發展到風險導向審計。風險導向內部審計的含義：是指內部審計人員在審計過程中自始至終都以企業風險分析評估為導向，根據量化的分析水平排定審計項目優先次序，依據風險確定審計范圍及重點，對企業的風險管理、內部控制和治理程序進行評價，進而提出建設性的意見和建議，協助企業管理風險，實現企業價值增值的獨立、客觀的簽證和咨詢活動。風險導向內部審計是一種多維的、基于系統觀、戰略觀的新型內部審計類型。傳統內部審計主要關注合規性審查、內控的有效性、遵循性，風險導向內部審計重點關注組織的風險管理，風險能否得到適當的管理和控制。傳統審計一般是事后提供控制保證，風險導向內部審計是伴隨著風險管理的流程，事前、事中、事后全程覆蓋。審計方法得到了新的擴充，風險導向內部審計采用了科學的統計分析方法、IT信息系統審計等技術。

三、風險管理框架與風險導向內部審計的內在聯系

如何做好風險管理框架下的風險導向內部審計工作？研究風險管理框架與風險導向內部審計之間的內在聯系，成為探討風險導向內部審計模式的基礎問題。組織目標的實現離不開風險管理，風險導向內部審計是風險管理框架的必要組織部分，是風險管理框架發揮作用的重要手段。風險導向內部審計的目的在于揭示組織的風險因素，通過對風險評估來提出風險管理的對策，降低和防范組織的風險，通過審計目標的實現來協助組織達到預定的目標。風險導向內部審計的審計對象是風險，風險管理框架關注組織戰略層面、業務領域內存在的一切風險因素，組織的風險管理框架等同于風險導向內部審計的審計對象。風險管理框架明確了風險導向內部審計的審計范圍，即風險導內部審計根據風險管理框架的管理層級、管理流程、管理程序就可以開展風險導向審計。風險管理框架下的風險導向內部審計的作用：監測和檢查風險識別的充分性；監測已有風險控制措施的充分性和有效性；必要時，向管理層、風險管理委員會、董事會提出改進建議；風險導向內部審計對風險管理工作給予評價及反饋，促進了組織風險戰略政策的實施，促進風險管理框架持續自我完善，提升了風險管理水平，達到防范風險、提高效益的組織目標。

四、結論

ISO31000風險管理標準下的風險導向內部審計為組織織成了一張風險防控的網，稍有風吹草動，風險的漣漪就能迅速地通過風險管理框架這張網傳導至監管者，讓組織由安全待機的狀態切換成風險管理模式。在組織風險管理中運用ISO31000風險管理框架，可促進風險導向內部審計理論與實踐持續創新，真正為組織防范風險、識別機會、提高效益、創造價值。

參考文獻：

[1]安泰環球技術委員會．管理風險創造價值——深度解讀ISO31000:2009標準[M]．北京：人民郵電出版社，2010．

[2]（英）菲爾•格里夫茨著，中國人民銀行內審司編譯．風險導向內部審計[M]．北京：中國金融出版社，2014．

[3]嚴卓明．探索推進ISO31000風險管理系列標準的運用途徑[J]．上海質量，2014（5）．

作者:侯俊 單位:昆山城市建設發展集團有限公司