摘要：以風險審計理論為指導，結合本單位風險管理審計開展的實際情況，初步建立起風險管理審計應用模型，并對風險管理審計模型在應用實踐中進行分析和總結，以期對同行風險審計的應用研究有所借鑒。
　　
　　關建詞：風險管理，風險審計，應用模型
　　
　　一、引言
　　隨著當今技術經濟的飛速發展，企業面臨的經營環境日趨復雜，其面臨的風險也日趨多樣化，風險對企業持續經營及發展的影響也日趨嚴重。與之相對應，企業管理層對于企業的風險管理也越來越重視，建立風險管理系統（ERM）應對經營過程中的各類風險，已經成為國際上大型企業的普遍管理行為。內部審計作為公司治理的基石之一，將促進企業的風險管理作為自身的主要職責。但是，如何在風險管理流程中履行監控和評價的控制職能，通過評估運營風險管理，提示運營風險，大多數企業的內部審計人員仍然處于摸索階段。
　　二、風險審計與企業風險管理的關系
　　21世紀以來，隨著企業戰略管理的實施，風險戰略決策的啟用，風險審計成為決定內部審計發展的方向。理論與實踐已經證明，經營戰略、風險管理和內部審計三者之間協調一致，對企業經營目標的實現有著至關重要的影響。因此，為了內部審計這一職業的成長，內部審計的主要職責應該與企業的戰略目標、風險管理措施結合起來。
　　三、內部審計在風險管理中的作用及流程簡述
　　風險管理是企業的決策層及經營層的職責，制定什么樣的內部規章及程序來識別風險、評估風險、應對風險，是企業管理當局在業務流程中應該予以事前明確規范。具體來說，內部審計在風險管理中的作用表現在三個方面，一是鑒別風險；二是區別可控制的風險；三是指出缺乏控制或過度控制的區域并提出建議。
　　四、風險管理審計的具體應用
　　1、建立內部審計信息平臺，廣泛收集風險因素
　　要確定風險管理審計的重點及要點，掌握豐富的信息資源是必須的前提條件。具體的做法是針對公司及下屬分、子公司、以審計對象為單元，建立審計信息平臺，按季度定期收集相關風險信息。信息平臺由四部分構成：
　　（1）基本信息欄
　　（2）歷史審計信息欄
　　（3）當前信息欄
　　（4）風險管理信息欄
　　2、確定風險管理審計重點和要點
　　在掌握被審計對象的大量風險信息的前提下，我們通過因素分析，確定權重，逐一評分，按重要性原則確定公司風險審計的重點及要點。
　　（1）根據風險因素企業整體風險的重要性程度，確定每一個風險因素的權重，并對每一個風險因素確定具體的評分標準。
　　（2）給各種分析因素評分。在對各種風險因素評分時，主要是利用審計人員的專業判斷，參考標準，確定該風險因素處于評分標準的哪一個區間，給出相應的分值。
　　（3）風險排序。將每個審計對象包含的各項風險因素的分值與相應的風險權重相乘并加總，得出每一審計對象所得風險分值。按所得分值從高到低進行風險排序，以確定風險審計對象的重點及要點。
　　3、風險管理審計的測試
　　對被審計單位風險管理的測試共分六大模塊，旨在明確需要測試的內容，建立相應的測試標準。
　　六大測試模塊分別為：
　　（1）全面風險管理體系的建立情況模塊：主要包括風險管理組織體系的建立情況，職責的落實情況，具體的措施情況。
　　（2）戰略風險識別、分析、評估及應對模塊：主要包括戰略、計劃、目標的制定依據測試，被審計單位對外部環境的分析程序測試，被審計單位對自身的優劣勢的分析情況。
　　（3）市場風險識別分析評估及應對模塊：主要有被審計單位產品分析程序的測試，競爭對手分析程序的測試，客戶及供應商的分析程序測試
　　（4）財務風險的識別分析評估及應對模塊：主要包括對財務預警體系的建立情況的測試，預警作用的實際發揮情況的測試。
　　（5）運營風險的識別分析評估及應對模塊：主要包括公司治理的測試，組織機構職能及其履行的測試，產品結構及技術能力等風險管理程序的測試，各項資源管理中得風險識別評估應對能力的測試
　　（6）法律風險的識別分析評估及應對模塊：主要包括測試被審計單位對法律風險的分析、研究及把握能力，測試應對法律風險的措施執行效果。
　　4、風險管理的審計評估
　　（1）評價被審計對象風險管理范圍的合理性
　　對于被審計對象在風險管理范圍的確定方面是否全面和合理，通常是利用以下幾種方法：PEOW分析、SWOT分析、KSF分析、核心競爭力分析、財務收益分析、會計比率分析等方法。
　　（2）評價被審計對象風險評估標準的合理性
　　被審計單位應該根據風險管理對象的不同，建立相應的風險因素評價標準。若被審計對象沒有相應的風險評價標準，則應認為是一種缺陷。
　　（3）評價被審計單位的風險識別、風險分析、風險評價功能
　　結合企業的經營戰略，通過對審計單位的識別、分析、評價的職能分工、機構設置和具體業務流程進行檢查，測試風險控制流程，評價被審計單位是否能完成風險管理的使命與目標。
　　（4）被審計單位的風險管理措施
　　現代企業應對各種風險的措施一般有五種，分別是：規避、控制、保留、轉移和利用。每種措施的應用對應于一定的條件，否則就可以認定為不恰當。
　　①規避措施的評價。被審計單位采用規避措施，應該具備如下條件：風險的發生不可避免或雖可避免但將產生另一新的更大風險；采用規避措施最經濟。
　　②控制措施的評價。如果被審計單位采用控制措施，審計人員應該對控制措施的健全性和有效性進行測試，并評價措施是否能將風險控制在審計單位可以接受或承擔的范圍內。
　　③風險保留措施的評價。當被審計單位采用風險保留措施時，審計人員應審核該風險是否是不可轉移與不可避免，審核處理風險的成本是否大于承擔風險所付出的代價，風險可能發生的損失單位是否可以承擔的范圍內。
　　④轉移措施的評價。如果被審計單位采用保險或財務性非保險等風險轉移措施，審計人員應審核其保險條款及保險范圍與風險的適應性，財務性非保險轉移措施是否存在的法律風險。
　　⑤風險應用措施的評價。如果被審計單位采用利用措施，審計人員應該對利用風險可以帶來的收益與承擔風險所付出的成本是否匹配進行，對風險利用措施的系統性及未來效果進行預測并作出評價。
　　5、評價被審計單位風險監管系統的功能
　　一個完整的風險監管系統，一般有四個基本要求，即風險管理政策、風險管理的支持結構和資源、實施的方案、持續的評估和審核。
　　6評價被審計單位風險預警功能
　　風險評價指標與風險臨界點構成風險預警系統的兩大支柱。內部審計人員應該審核被審計單位是否根據不同的風險類型建立了標準的風險臨界點，主要根據風險的性質（最好是能夠定量）、發生的概率、發生的頻率，計算出風險數值（風險度），與風險管理的經驗層制定的臨界點進行對比，以判斷被審計單位的風險預警系統的合理性與有效性。
　　五、結語
　　本文對風險管理審計具體應用的體會進行了闡述，還有許多不完善的地方需要在以后的工作中進一步地學習與探索；一是進入風險信息平臺信息量的選取要進一步科學分類；二是重要風險因素的評分標準在應用中不太好掌握；三是建立的風險管理審計標準的假設前提并不在任何時候都存在。