以风险为导向审计

以风险为导向审计 【字体：大 中 小】【打印】

一、风险概念

二、企业风险管理基本知识

三、COSO企业风险管理框架

四、企业风险管理审计

五、我国中央企业风险管理框架

六、案例

一、风险概念

（一）风险的普遍性

风险的概念起源于意大利，17世纪由法国传入英国，19世纪初传入美国。

风险是普遍存在的，任何经济组织，不论其规模、结构、性质或产业如何，其生产经营过程中都会面临各种不同的风险，风险与经济组织的生产经营活动相随相伴。管理者不可能消除风险，只能是建立有效的风险管理机制，将风险控制在一个合理的水平。

1.风险的定义

风险的最初定义是：“风险是遭受损失或伤害机会的可能性。”（负面影响） IIA风险定义：“风险是一个事件、行动或不行动对相关的组织或活动产生不利影响发生的可能性”，即不利事件发生的可能性。风险的衡量标准是后果和可能性。在经营管理活动中，风险常常被定义为生产运营的弊端、失误或失败带来的组织危机的可能性。（IIA）

风险领域

2.风险的本质

传统的风险定义：风险是损失的可能性。

现代的风险定义：风险是收益的波动性，包含损失和盈利的可能性。

收益是因承担风险而获得的回报。

风险控制能力是公司核心竞争力的一部分。

3.重要风险因素

风险包括外部环境风险、战略决策失误风险、经营风险、资产损失风险、信息失真等风险。重要风险因素的确定，需要将风险因素量化，应考虑：

（1）活动中所涉及的金额；

（2）受到影响的人数；

（3）对组织危害的程度；

（4）对人生或健康损害的潜在损失。

（二）企业风险的类型

企业风险可以按多种不同的方式风类。一种有益的方式是将其分为三类：

外部环境风险——来自企业外部各种环境的威胁，包括替代产品、灾害性事件的意外损失、消费者品味与偏好的变化、竞争者、政治环境、法律法规等变化；

经营过程和资产损失风险——来自无效或低效率的并购、融资、生产、商品和商务的营销等经营过程中的威胁因素，以及企业资产（声誉）损失的威胁；

信息风险——企业内部为制定决策提供了低质量信息的危险、信息不完整、使用了不相关的计量方法而错报信息等。

二、企业风险管理基本知识

（一）风险管理的概念

企业面临的风险来自众多方面，既包括内部管理不善，人为损害的风险，也包括外部环境变化造成的风险，还包括出现不可预知的自然灾害等因素。

对企业来说，较大的风险在于市场风险、财产损失的风险和竞争能力减弱的风险。 风险管理就是采取一定的措施对风险进行检测评价，使风险降低并控制在某一可以接受的水平上。从职能上说，风险管理就是在对风险进行观察、评估的基础上，控制风险可能造成的损失，保证组织目标的实现。

1.风险管理的本质

风险管理的目标：

选择1：降低和消除风险。

选择2：以（承担）风险换收益。

答案：取决于企业不同的风险偏好。

2.平衡风险的损失与回报

——现代企业的风险管理正朝着平衡风险与回报的方向发展。如果管理层不理解风险要素就不可能平衡风险与回报的关系。IIA要求内审机构要向管理层提供相关的风险信息，向他们建议“接受”还是“反对”该风险。

（二）风险管理的重要意义

企业风险管理的根本前提是，每一个组织的存在都要为它的利益相关者提供价值。所有的组织都会面临不确定性，企业风险管理面临的挑战就是在努力增加利益相关者价值的同时，确定接受不确定性的程度。由于价值存在受到侵蚀或增值的潜在可能性，因而不确定性使风险和机会并存。

企业风险管理使管理层有效处理不确定性以及与此相关的风险和机会，提高创造价值的能力。（COSO）

1.企业风险管理的内容

当管理层制定的战略目标，设法在增长、回报以及相应风险之间达成最优平衡，并在追求组织目标过程中能有效配置资源时，就能实现价值最大化。

企业风险管理包括：

（1）协调风险偏好与战略——制定不同战略和设定相应目标应考虑本组织的风险偏好。

（2）增强风险应对决策——即风险规避、降低、分担和接受的制度。

（3）减少经营意外事故和损失——强化确认潜在事件并作出应对的能力。

（4）识别和管理多层次多部门的企业风险——对多样化的风险做出综合反应。

（5）把握机会——通过全面考虑范围内的潜在事件，促进管理层识别风险和把握机会。

（6）改进资本配置能力——取得合理的风险信息，使管理层能有效评估总体的资本需要，并增强资本配置能力。

风险管理活动和保障意味着什么？

风险管理活动－管理层采取的任何用来减少风险的影响或可能性的行为

（1）支出的授权。

（2）资产的保护（密码、安全系统）。

（3）保险的安排。

保障

（1）常规保障－如何知道控制是有效的，如常规报告。

（2）附加保障－特殊保障，如内部审计报告。

2.风险评估

对确认的风险进行分析可以形成风险管理的基础。风险与可能受到影响的目标有关。考虑风险的可能性和影响，要基于对总体风险和剩余风险的评估。

风险评估：为什么我们需要这样做？

风险评估的潜在收益被许多公司广泛认知。

（1）业务目标更易达成。

（2）减少突发事件和不受欢迎的“意外惊喜”。

（3）更有效的战略评估使得风险可被衡量。

（4）使有限的审计资源得以有效应用。

风险评估应体现在日常流程中。

全球评估应体现在日常流程中。

全球更加强调公司治理。

董事会要求采用一种以风险为基础的方法来建立内部控制体系。

（三）评价风险管理过程

面对不断发展变化的环境，各组织机构的管理部门和内部审计部门的风险都相应增大。内审机构应通过识别风险，帮助管理部门规避风险，应采取正确的行动来防止高级管理层滥用职权。

内部审计师应通过确认和咨询活动帮助管理部门更好地采纳政策和控制程序，改进工作，防范风险，提高效益。

风险评估应体现在日常流程中

1.影响审计工作的几个因素 （1）企业类型； （2）行业或专业； （3）损失的曝光； （4）管理层的支持和关注点； （5）内审人员的专业胜任能力； （7）审计资源。

2.流程 （1）同样需要评估风险. （2）使我们决定是否需要进一步措施。 （3）假设没有任何控制，评估风险（总体风险）； ①理解其对企业的影响？高/中/低 ②评估风险发生的可能性？如概率 高/中/低 （4）我还需要采取什么行动风险降低到可接受的水平； （5）采取行动。 对于审计－所有权的实施日期

三、COSO企业风险管理框架

2004年9月，美国反虚假财务报告委员会的主办机构委员会（简称COSO）发布了《企业风险管理——整合框架》（Enterprise Risk Management- Integrated Framework, 简称ERM），并希望这个框架能得到众多公司以及其他组织的广为接受，并真正受到所有利益相关者以及利益当事方的认可。

该框架规定了企业风险管理必不可少的八个组成部分、原则和概念，为企业风险管理提供了方向和指南。

（一）特点

COSO《企业风险管理——整体框架》的特点是扩展了有关内部控制的内容，其目的不是取代内部控制框架，而是将内部控制框架整合到风险管理框架中，以便在满足企业内部

控制需要的同时，还能朝着更完备的风险管理过程发展。

对于企业管理层而言，最严峻挑战是要确定本机构要面临多少风险并准备接受多大的风险，风险既是挑战也是机遇，风险经过奋斗可以创造价值。

风险与控制的关系

（二）COSO 企业风险管理框架

1.定义

企业风险管理是处理影响价值创造或保值的风险和机会。

ERM的定义——“企业风险管理是一个过程，它受到一个企业的董事会、管理层和其他人员的影响，适用于战略制定并贯穿于整个企业之内，设计用于识别可能影响本企业的潜在事件，并在风险偏好范围内管理风险，为实现本实体目标提供合理保证。”

2.几个基本概念：

企业风险管理是：

（1）一个过程，持续存在并贯穿在整个组织当中；

（2）受到组织各级人员的影响；

（3）适用于战略制定；

（4）适用于整个企业的各个层级和单元，并接受组织层面的风险组合观；

（5）用来确认可能对企业造成潜在影响的事件，并在企业风险偏好范围内管理风险；

（6）能够为组织的管理层和董事会提供合理保证；

（7）实现一类或几类相互独立但又相互重叠的目标。

3.提供合理保证的要求

（1）为了使ERM对组织内每类目标都能有效，董事会、管理层以及内部审计要对以下事项取得合理保证：

——他们是否了解组织的战略以及经营目标实现的程度；

——组织的报告是否可靠；

——他们是否遵循适用的法律法规。

（2）合理保证与将来的不确定性和风险概念相关；

（3）局限性来自人们在决策判断时会出错这一事实；

（4）风险反应和建立控制的决策都需要考虑相应的成本和效益；

（5）两人或多人合谋就会绕过控制；

（6）管理层具有推翻ERM的能力。

4.立体形的三个层面

风险管理分类：

——战略风险；

——运营风险； ——报告风险； ——合规风险。

风险管理涉及的组织机构： ——附属机构，子公司； ——经营单位； ——部门； ——实体。

风险管理八要素： ——内部环境； ——目标设定； ——事件识别； ——风险评估； ——风险应对； ——控制活动； ——信息与沟通； ——监控。

（1）内部环境：围绕组织基调，包括企业管理理念、风险偏好、诚信与道德价值观以及运营环境，它是机构人员如何看待并解决风险的基础。

（2）目标设定：包括设定明确的企业总体目标和与之相应的具体目标，董事会、审计委员会和管理层的职责、组织结构、内部控制有效性和财务报告可靠性的书面承诺，包括: 授 权与职责分工、人力资源分配；选定的目标要与组织使命和风险偏好密切相关。 （3）事件识别：识别影响企业目标实现的内部和外部事项，区分风险和机会。

（4）风险评估——评价可能影响企业实现目标的内部和外部事件，区别风险和机会，分析风险发生的可能性，考虑可能产生的影响，作为决定如何管理风险的依据，评估总体风险和剩余风险。

（5）风险应对——在确定风险及其严重程度后，管理层选择风险应对措施，即避免、接受、降低或分担风险，把风险控制在企业的风险容忍水平和风险偏好范围内。 （6）控制活动——制定政策和程序应能保证员工有效执行控制风险的活动。

（7）信息与沟通——以某种有效形式适时地确认、获取和沟通风险信息， 促进员工履行其职责。有效沟通是指: 在企业内部自上而下、横向和自下而上的沟通。

（8）监控——对企业风险管理的整个过程进行监控，适时提出修改弥补缺陷建议，并付诸实施，实现对可能发生风险的监控。监控形式：持续性监控和个别评价。 5.风险管理的要点

一是建立限制风险总量的适当政策和规章制度；

二是给能够采取行动的管理人员以改变风险特征的权利； 三是建立适时、有效的风险监控体系。 （三）ERM与IC框架的联系与区别 1.不同的框架：相同的目标 提供：

——评价一个企业多维控制适当性的系统方法； ——标准的检查程序；

——展示多维控制运行良好。 COSO两个框架比较

2.多维控制相关要素

（四）反舞弊程序和控制

1.控制环境包括行为准则、人力资源政策及程序、董事会、审计委员会、反舞弊程序和控制、信息系统控制环境等内容；

2.内审人员研究企业流程以认定舞弊及其关键风险的指标。 3.舞弊已经被定义为用于欺骗或蒙蔽他人的各种诡计和技巧。内部审计师除了了解风

险要素外，还应该了解舞弊的风险因素。

安然、世通等公司舞弊案的发生，除客观环境因素外，一个重要原因就是过度使用风险导向内部审计进行抽查确认，忽视对舞弊线索的追查。

公司舞弊是导致公司面临破产窘境的最严峻风险因素。公司舞弊的现状是：公司每年因舞弊造成的损失在经营业绩4%--6%之间，公司一般难以发现舞弊行为，迄今为止雇员举报是发现舞弊行为成本最低和最有效的方法，这就是为什么《萨·奥法案》中对保护自行检举人作出了明确规定的原因。

舞弊的风险因素（公司舞弊的预警信号）： （1）高官内部明争暗斗； （2）雇员士气和动力较低； （3）会计部门人手不足；

（4）顾客供应商或监管部门对组织有较多的抱怨； （5）短暂的、惊人的现金不足；

（6）应付账款和应收账款的增加同时，销售或收入下降； （7）长时间以来公司的信用额度都用到了极限； （8）存在重大的存货富余；

（9）存在越来越多的年终会计分录调整。 员工舞弊的征兆：

（1）未经管理层授权和证实细节就调整会计分录； （2）费用缺乏支持性凭单；

（3）会计账簿中的虚假和错误分录； （4）破坏、假冒和伪造支付凭单； （5）收货短缺；

（6）商品采购价格过高； （7）双重付款； （8）劣质品替换。 舞弊案件发现的途径

美国注册舞弊检查师协会公布舞弊案件检查结果发现的途径： 1.雇员举报 26.3%； 2.偶然发现 18.8%； 3.内审人员发现 18.6%； 4.内控系统检查 15.4%； 5.外部审计 11.5%。

在舞弊审计方面，反舞弊手段主要包括两方面： 第一，通过公司良好的治理程序来发现舞弊迹象，包括：创建高水准的道德文化氛围、评价反舞弊的控制措施、制定持续监控的程序；

第二，通过其它方式发现舞弊，包括：举报热线、与员工签订行为准则、培训员工、进行背景情况检查、寻找舞弊线索并进行调查以及运用计算机辅助审计技术方法来发现舞弊迹象。

四、企业风险管理审计（Enterprise Risk Management, ERM） （一）以风险为导向审计的兴起 20世纪80年代，内部控制是企业管理重要内容，检查和评价内部控制制度是否适当、有效和具有可操作性是内部审计的重要内容。

从1991年开始，世界许多大公司开始了兼并、重组和公司治理的过程，企业面临的风险普遍增大。在这种情况下，企业开始注重风险管理，内部审计重点也从内部控制评审转向风险导向审计。

以风险为导向审计就是对企业风险管理过程中的风险评估、风险应对和风险控制活动进行审计。

在充分关注风险的时代，内部审计的建设更加强调风险规避、风险转移和风险控制。 PCAOB第2号审计准则

美国上市公司会计监管委员会（PCAOB）于2004年3月发布了第2号审计准则 独立审计师在审计与财务报告相关的内部控制时应利用内部审计人员的工作成果。 第140条款指出，对于规模巨大的公司或高度复杂的公司，其内部审计职能或风险评估职能无效意味着至少存在显著缺陷，同时也是存在实质性漏洞的一个重要信号。 （二）建立企业全面风险管理机制

以战略为导向,以流程为基础

1.用ERM框架建立企业风险管理系统

2.企业风险管理系统

（1）评估组织的环境及战略； （2）建立ERM框架； （3）降低风险及控制；

（4）建立一套风险反馈系统； （5）持续监督及报告； （6）评估风险管理框架； （7）风险转化管理。 3.风险管理计划的执行

风险管理计划的执行，包括： （1）风险评估

——确认及评价组织的资产及资源； ——确认主要的损失曝露；

——评估并沟通目前的潜在风险。 （2）风险控制

——支持预发式的风险及损失控制计划； ——对风险控制计划参与者提供最大的激励； ——监督风险控制作业的效果。 （3）风险融资

——考虑各种可能的财务资源，以支持风险管理； ——维持适当的灾害保障；

——将风险财务支出的成本以合理的方式分摊于各营运单位。 （4）行政管理

——创造并维持管理阶层对风险管理的重视与承诺； ——采行一种明确界定的风险管理结构； ——制定明确的年度目标；

——与相关的管理阶层维持良好的沟通。 （三）内部审计在风险导向审计中的作用 1）咨询（advisory）； 2）促进（promotion）； 3）参与（participation）； 4）评价（evaluation）； 5）分析（analysis）。

1.内部审计在风险管理中的作用

内部审计的作用

内部审计的目的是对风险和控制环境提供独立的评价，确保控制： （1）适当――是否设计了系统已实现目标？ （2）有效――系统是否按照要求工作？ （3）高质量――系统是否正在实现其目标？ 2.内部审计人员应定期评估道德风险

道德风险是企业整体或员工价值观的堕落，钻法律法规的空子, 打擦边球边缘，凡事均考虑权利的大小，而非企业整体利益。

内审人员应定期评估相关道德文化政策的有效性，以管理道德规范。 （1）评估企业书面化的职业道德规范，激励政策和奖惩事项；

（2）经常与有影响力的主管沟通，期望各级主管能率先垂范，遵守道德行为规范； （3）疏通投诉不法行为的举报渠道；

（4）让员工、供应商及客户明白，他们的经营管理活动必须符合道德规范的要求； （5）员工必须不断接受后续教育, 提高职业胜任能力和职业道德水准；

（6）定期向员工、供应商及客户征询意见，了解他们对公司道德文化的感受； （7）定期复核组织内部可能造成的压力以及预设的减压流程。 3.以风险为导向制定内部审计计划

內部审计主管应依据组织目标及风险评估的结果，制定工作计划，以决定审计业务的优先顺序。

內部审计主管负责制定一套以风险为导向的计划。应利用本组织的ERM框架，包含使用管理层针对本组织的不同作业或部分所设定的风险偏好程度。若无ERM框架，內部审计主管可在咨询高级管理层及董事会之后，自行判断。

风险评价评级 Risk Assessment Levels

高风险级别的审计计划 年度计划

（1）将企业划分为可审计的若干单位； （2）确定风险因素；

（3）评价在可审计单位中的风险因素； （4）对每个可审计单位确定一个风险级别； （5）决定在相关风险基础上开展的审计。 编制具体的审计方案

4.确定内部审计重点

（1）年度审计计划必须与组织最高层级的战略风险相联系； （2）审计计划须与经营计划相一致； （3）确定审计重点：

①对业绩有重要影响的事项；

②潜在危机的发现与使受害程度减至最低的事项； ③高级管理及全公司关心的审计主题； ④无效业务的发现与改善的有关事项； ⑤希望改进的业务及其对策有关的事项； ⑥经营层和管理层的审计主题； ⑦管理部门中不易发觉的事项；

⑧前次审计中未列作审计对象的事项。 5.建立评估风险的框架 利用该框架：

——识别潜在审计业务的来源，例如，审计领域、管理层的要求、法规授权； ——评估组织范围的风险； ——从不同来源寻求审计业务；

——收集和分析已计划的审计业务资料； ——对风险高低进行排序和证实。

（四）有效利用风险评估，合理分配内审资源 1.选择被审单位的方法

（1）依照一种有系统的方法来决定； （2）高级管理层或董事会的要求； （3）被审单位的请求。

2.制定选择被审单位的战略将组织细分为不同的情况 （1）分公司、工厂、商店、厂房资产等坐落地点； （2）与每一地点或每一营运类型相关的总金额； （3）各种活动、营运作业与过程的复杂性； （4）审计部门可供使用的人力资源； （5）管理阶层的关心程度； （6）功能性的组织单位；

（7）交易循环（Transaction Cycles）； （8）决策中心（Decision Center）。

3.依据风险评估结果，选出被审单位分配内部审计资源 （1）重要风险因素的确定； （2）将风险因素量化； （3）资料收集技术。

在决定组织在风险管理方面的实际活动时，内部审计人员应确定谁在执行某些活动，例如：

——工业安全；

——资产保全（security）； ——火灾防护； ——索赔管理；

——福利协调，例如，健康医疗、残障、劳工酬劳；

——合约的风险转移－保险及非保险的合约； ——产品质量； ——环保事务；

——灾难恢复计划，即信息资源、制造及行政管理。 识别负责活动的执行者及他们如何完成这些任务，有助于洞察组织的整体风险管理计划，以及决定如何有效执行审计业务。

不论审查任何领域，内部审计人员都应确认： （1）有证据显示充分了解公司资产吗? （2）此项信息的来源及其正确性如何？ （3）损失的暴露如何被识别？

（4）上次执行正式风险评估的时间？ （5）曾经采用什么计划来消除风险？

（6）曾经执行哪些事项以减少风险发生的冲击？

（7）采用什么程序来监控这些风险管理计划的执行效果？ （五）改善内部审计管理的十项原则 1.建立一个回应性的组织； 2.善用风险导向审计； 3.坚持开发与创新；

4.树立持续的流程改进理念； 5.充分放权；

6.建立良好的激励奖惩制度； 7.制定可计量的审计目标； 8.将审计过程电脑化；

9.将审计报告的撰写整合于审计过程之中； 10.善于总结工作中的成败经验。

五、我国中央企业风险管理框架 中国证监会关于全面风险管理的要求 中国证监会

――发布《关于提高上市公司质量的意见》，于2005年10月19日获得国务院的批准。

――《意见》要求完善上市公司法人治理结构及其运作机制；建立健全公司内部控制制度，有效提高风险防范能力。

北京证监局2005年11月15日发布“关于深入学习，贯彻落实《关于提高上市公司质量的意见》精神的通知”，要求：

－公司董事会报送内部控制自我评估报告；

－审计师对上市公司内部控制及自我评估报告进行核实评价，报送专项报告。 国务院和国资委关于全面风险管理的要求

2006年1月1日起施行的新《公司法》：第一百二十三条 上市公司设独立董事，具体办法由国务院规定

国资委于2006年1月发布《中央企业全面风险管理指引》（征求意见稿），要求中央企业建立风险管理基本流程，依次开展以下工作： （1）收集风险管理初始信息；

（2）进行风险评估，包括风险辨识、风险分析、风险评价三个步骤；

（3）制定风险管理策略；

（4）制定和实施风险管理解决方案； （5）风险管理的监督与改进； （6）建立企业风险管理文化； （7）建立企业风险管理组织体系； （8）建立风险管理信息系统。

（一）《中央企业全面风险管理指引》

2006年6月，国资委发布《中央企业全面风险管理指引》，从国有企业管理实践的内在需求以及国有资产出资人监管的角度出发，对中央企业开展风险管理工作的目标、全面风险管理体系建设的内容、流程以及工具和方法进行了详细阐述，并提出了明确的执行要求。

这是国资委第一部以企业风险管理为主要内容的指导性文件，表明国家对中央企业建立健全风险管理框架的重视。该指引对建立健全风险管理长效机制，促进企业稳步发展，防止国有资产流失，保护投资者利益，都具有一定的意义。 （二）央企全面风险管理框架的组成

根据《COSO全面风险管理——整合框架》，中央企业风险管理应由内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通以及监控等8个要素构成。 （三）中央企业全面风险管理框架实施的基本步骤

针对不同的风险，中央企业应建立并实施一套由5个步骤组成的风险管理流程：

六、案例

-------加拿大邮政公司（CPC）的风险管理流程及审计 （一）加拿大邮政公司（CPC）的背景

CPC的企业愿景是成为提供实体邮件及电子运输的领导者；积极朝向以网络案例为基础的新快递服务业迈进。CPC在加拿大为排名第六的大企业，雇有61 000位员工，并在加拥有最具规模的运送车队。在2001年年底，CPC处理一百亿件邮件，当年的营收为59亿美元。CPC拥有绵密的网络配合25个主要据点输送到1300户地址，该公司并有24 000零售存取点。面对如此有利的经营条件，CPC积极寻求新的突破并希冀成为全世界同行业的领导者。

CPC的董事会及审计委员会认为公司治理是他们实现政策目标的重要因素, 公司治理是一个持续的过程。董事会定期召开管理阶层不在场的会议。该公司有一个全国性控制中心，每天早晨，总经理与副总经理复核前一天的业务活动，包括邮件投递失败的事件及其损失，或未达到目标的计划等；该中心也是备援计划中心------如计算机病毒的防范或洪水、911事件等。

（二）CPC“企业风险管理”要素

CPC的企业风险管理流程叫做“动能风险评估及执行，简称（D.A.R.E）”，它包含三个要素：初步调查、研讨会和风险评估。管理阶层提供人力、知识及内部信息, 内部审计提供执行工具、技术及流程。此初步调查的因素包含辨识目标、风险、能量及选择持续研讨会的参与者。初步调查所得到的信息作为研讨会的资料；此步骤依赖访谈及先前的知识完成，其中包含内部审计工作。

表一D.A.R.E.流程总览及表二D.A.R.E.研讨会流程图如下： 表一.D.A.R.E.流程总览

表二.D.A.R.E.研讨会流程图

（三）CPC“企业风险管理”框架 1.外部环境的风险

外部环境的风险可分为政治风险、法律风险、资源分配风险、行业风险及市场风险，政治风险如游说团体的影响损及企业利益；法律风险如立法改变可能影响营运成本；资源分配风险如股东间的关系及利益分配；行业风险如目前与公司竞争及新兴产品的信息的出台。市场风险如竞争者不断加入。 2.客户服务风险

客户服务的风险包含顾客与公司交易不便捷；产品、服务、企业地点及执行皆未达到顾客的期望；服务绩效差，但与效果无关等风险。 3.领导能力的风险

领导能力的风险如下列可能发生的状况：文化、领导能力或管理逻辑无法让企业达成目标；企业部门、活动及流程缺乏跨组织的整合；管理阶层无能应变以利用新的机会；未利用适当时机去启动公司动能及学习热诚；商誉毁损或无能力去有效实践公共政策的责任等。

4.经营风险

经营风险包含营运的风险、沟通风险、安全风险、人力资源风险、信息适足性风险、财务风险、遵循法规风险及衡量风险。

（1）营运风险

营运风险包含下列状况：流程是无效率的或无法如当初设计般运作；产能无效率；周期太长；产品毁损或缩水；紧急事件后无法马上复原并继续运转等。

（2）沟通风险

沟通风险包含可能发生的状况如：缺乏信任及尊重；缺乏企业目标的公开沟通。

（3）安全风险

安全风险如：企业资产并未被适当保护、员工舞弊、顾客舞弊、供应商舞弊等相关人员的诚实、正直问题。

（4）人力资源风险

人力资源风险如：无法吸引或留住有特殊才能的重要人才、无适当的训练及发展计划、资源配置无法配合产品质量的改变、未釐清的权力及责任、无法有效管理目前的契约、绩效奖励无法与其他机构竞争等。

（5）信息适足风险

信息适足风险如：管理阶层未能获得及时、正确及可靠的信息；系统所提供的信息不稳定及不确切；存取权限未明确规定；未能达到信息适足的需求；无法配合信息科技结构的重大改变等。

（6）财务风险

财务风险如：价格与市场脱节；未适当管控现金流量；客户未能尽到财务契约的义务；因第三者申请理赔而未能充分保护企业的损失；未能控管投资风险。

（7）法规遵循风险

法规遵循风险如：与其他机构的合约未有法律效力；或文件不正确；未达成对环境的承诺；未适切保护员工的健康及安全等。

（8）衡量风险

衡量风险如：服务绩效痕量无效、财务绩效衡量无效、员工满意度衡量无效、客户满意度衡量无效及供应商绩效衡量无效等。

初步调查阶段，管理阶层以上述框架去识别企业相关风险，并认知风险管理工作要处理许多不同层面出现的风险。风险因素不计其数，若单独考虑每个风险，个个都无足轻重，发生的概率低或难于量化，但若把这些风险的长期影响汇总起来，风险的严重影响则令人吃惊。

表三.年度风险评估过程总览

主要参考资料：

1.COSO《企业风险管理——整合框架》；

2.《内部审计思想》王光远等译中国时代经济出版社，2006年1月出版；

3.《如何遵循SOX404条款——评估内部控制的效果》迈克尔·拉莫斯著 中国时代经济出版社，2007年8月出版；

4.《内部审计在治理、风险和控制中的作用》（IIA-CIA考试指定辅导用书）中国财经出版社，2004年出版。