企业风险管理审计的总目标是审计部门和审计师按照企业风险管理方针和策略的部署,以风险管理目标为标准,审核被审计单位在风险识别、评价和管理等方面的合理性和有效性,在损失发生之前能做出最有效的防范,帮助企业实现目标。企业风险管理主要包括风险识别、风险估测、风险应对三个方面,因而内部审计所进行的风险管理审计就是对这三方面的再监督,其程序如下: (一)评估风险识别的充分性 风险识别,即根据企业目标、战略规划等识别企业所面临的风险。内部审计人员应当对风险识别过程进行审查与评价,重点关注企业面临的内、外部风险是否已得到充分、适当的确认。外部风险是指外部环境中对企业目标的实现产生影响的不确定性事件,主要包括国家法律、法规及政策的变化,经济环境的变化,科技的快速发展,行业竞争及市场变化,自然灾害等。内部风险是指内部环境中对企业目标的实现产生影响的不确定性事件,主要包括,企业经营活动的特点,企业资产的性质以及资产管理的特点,企业治理机制的缺陷,企业信息系统的故障或中断,企业人员的品质、素质未达到要求等。企业风险管理常用的技术方法主要有风险坐标图法、蒙特卡洛法、关键风险指标管理法、压力测试法等。 (二)评估风险估测的恰当性 风险估测,即对已识别的风险,估测其发生的可能性及影响程度。内部审计人员审查与评价风险评估过程时重点关注两个要素,即风险发生的可能性及风险对企业目标的实现产生影响的程度。审计人员对风险的评估一般采用定性或定量的方法。审计时应当重点审查已识别的风险的特征、相关历史数据的充分性与可靠性、管理层进行风险评估的技术能力。同时还要对已有风险的估测结果进行再检验以确定其是否恰当,对不恰当的予以修正。 (三)评估风险应对措施的有效性,并提出改进意见 风险应对,即采取应对措施,将风险控制在企业可接受的范围内。内部审计人员应当实施适当的审计程序,对风险应对措施进行审查。一般来讲,风险应对包括以下几个方面: 1.风险回避。风险回避是处置风险最彻底的一种方法,能够在风险发生之前完全消除某一特定的风险所造成的损失。但这一方法有其明显的局限性,风险回避也往往伴随着放弃某些方案,而且在避免了某一风险之后,又可能产生另一种风险。 2.风险转移。风险转移是指企业将自己面临的风险转移给其他企业或个人的行为,一般来说这种风险的转移可以分为保险方式和非保险方式的转移两种:保险方式指企业通过投保在发生意外时由保险公司进行赔付;非保险方式是指企业通过签订有关的合同或协议,利用法律规定将产生损失的责任或财务后果转由他人承担的风险转移方式。 3.风险接受。风险接受是指企业一项方案的实施其风险导致损失的概率和其可能产生损失的幅度在企业可接受的范围内,企业愿意用自己的财力承担。 4.风险降低。风险降低是指企业采取措施,针对不同的控制点,采取相应控制措施,设法降低损失的概率和损失幅度的方法,尽量将风险控制在企业可接受的水平。审计人员在评价风险应对措施的适当性和有效性时,应当考虑以下因素,即采取风险应对措施之后的剩余风险水平是否在企业可以接受的范围之内,采取的风险应对措施是否适合本企业的经营、管理特点,成本效益的考量等。 5.向企业管理层报告。内部审计人员向企业管理层报告审查和评价风险管理过程的结果并提出改进建议,必要时应出具专项审计报告或管理建议书等。