内部管理风险点范文篇1

【关键词】风险管理；内部控制；财务保障措施

一、国内外关于风险管理及内部控制的理论背景

（一）国外关于风险管理与内部控制的理论与实践

风险管理与内部控制是两个既有区别又有联系的概念，在实践中难以完全隔离，并且随着时代的发展逐步产生、发展和完善。

在20世纪30年代，美国企业为应对经营中的危机，许多大中型企业在内部设立了保险管理部门，负责安排企业的各种保险项目。可见，当时的内部控制和风险管理主要依赖保险手段。

1949年美国审计程序委员会下属的内部控制专门委员会经过两年研究，发表了题为《内部控制，协调系统诸要素及其对管理部门和注册会计师的重要性》的专题报告，第一次对内部控制作了权威性的定义。1955年，美国宾夕法尼亚大学沃顿商学院的施耐德教授第一次提出了“风险管理”的概念。

20世纪70年代中期，基于美国“水门事件”调查结果，立法者和监管团体开始对内部控制问题给予高度重视。为了制止美国公司向外国政府官员行贿，美国国会于1977年通过了“国外腐败实务法案（1977）”。该法案除了反腐败条款外，还包含了要求公司管理层加强会计内部控制的条款，该法案成为美国在公司内部控制方面的第一个法案。1978年，美国执业会计协会下的柯恩委员会（CohenCommission）建议，一是公司管理层在披露财务报表时，提交一份关于内控系统的报告；二是外部独立审计师对管理者内控报告提出审计报告。1980年后，内部控制审计的职业标准逐渐成形，逐渐得到监管者和立法者的认可。

20世纪80年代以后，随着企业面临风险的复杂多样和风险成本的增加，法国从美国引进了内部控制和风险管理体系，日本也开始了风险管理研究。此后20年，美国、英国、法国、德国、日本等国家先后建立起全国性和地区性的风险管理协会。1983年在美国召开的风险和保险管理协会年会通过了“101条风险管理准则”，这是风险管理走向实践化的一个重要文件。1992年9月，美国COSO委员会了《企业内部控制――整合框架》。此后，这份框架被纳入政策和法规之中，并被各国数千家企业用来为实现既定目标对所采取的行动以更好的控制。1995年由澳大利亚和新西兰联合制定的AS/NZS4360明确定义了风险管理的标准程序，这就是通常说的澳新ERM标准，标志着第一个国家风险管理标准的诞生。

多年来，人们在风险管理实践中逐渐认识到，一个企业内部不同部门或不同业务的风险，有的相互叠加放大，有的相互抵消减少。因此，企业不能仅仅从某项业务、某个部门的角度考虑风险，必须根据风险组合的观点，从贯穿整个企业的角度看风险，即要实行全面风险管理。然而，尽管很多企业意识到全面风险管理的重要性，但是对全面风险管理的理解仍存在较大分歧，已经实施了全面风险管理的企业则更少。美国安然公司倒闭案和世通公司财务欺诈案，促使企业的风险管理问题受到全社会的关注。2002年7月，美国国会通过萨班斯法案（Sarbanes-Oxley），要求所有在美国上市的公司必须建立和完善内控体系。该法案被称为是美国自1934年以来最重要的公司法案，在其影响下，世界各国纷纷出台类似的方案，加强公司治理和内部控制规范，加大信息披露的要求，加强企业全面风险管理。2004年9月，COSO《企业风险管理――整合框架》（EnterpriseRiskManagement-IntegratedFramework），该框架拓展了内部控制，更加关注于企业全面风险管理这一更为广泛的领域，并成为了世界各国和众多企业广为接受的标准规范。

（二）我国关于风险管理与内部控制的理论与实践

到目前为止，世界上已有30多个国家和地区，包括所有资本发达国家和地区及一些发展中国家如马来西亚，都发表了对企业的监管条例和公司治理准则。在各国的法律框架下，企业有效的风险管理不再是企业的自发行为，而成为了企业经营的合规要求。中国在这方面的研究始于20世纪80年代。一些学者将风险管理和安全系统工程理论引入中国，在少数企业中试用并取得比较满意的效果。但中国大部分企业缺乏对风险管理的认识，也没有建立专门的风险管理机构并进行制度建设。

我国系统的内控制度建设是在颁布了《会计法》之后。1999年修订的《会计法》第一次以法律的形式对建立健全内部控制提出原则要求，财政部随即连续制定了《内部会计控制规范――基本规范》等7项内部会计控制规范。从更广泛的管理意义上来说，内部控制和风险管理真正形成法规，是受美国2002年安然事件、世通公司财务欺诈案及随后美国的萨班斯法案的影响。2006年经国务院批准，成立了企业内部控制标准委员会。同年6月6日，国资委了《中央企业全面风险管理指引》，这是我国第一个全面风险管理的指导性文件，意味着中国走上了风险管理的中心舞台。2008年6月28日，财政部、证监会、审计署、银监会、保监会等五部门联合了《企业内部控制基本规范》，并自2009年7月1日起先在上市公司范围内施行，鼓励非上市的其他大中型企业执行。《规范》的，标志着我国企业内部控制规范体系建设取得重大突破，有业内人士和媒体甚至称之为中国版的“萨班斯法案”。

二、风险管理与内部控制的有效整合

（一）风险管理理论

本文中的风险是对公司既定战略目标产生影响事项发生的不确定性。风险分为公司层面风险和业务层面风险两种。公司层面风险是指属于公司层面整体关注的，影响公司全局和公司整体目标实现方面的风险；业务层面风险是指产生于各具体业务活动，影响具体业务活动目标实现方面的风险。

风险管理，指为了合理保证企业战略目标的实现，将企业整体风险控制在偏好之内，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，以对重大风险的管理和重要流程的内部控制为重点，凭借信息化平台，采用与风险管理策略相适应的组合技术或工具所进行的准备、实施、报告、监督和改进的动态连续不断的过程。企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行业务管理的基本流程，培育良好的内部控制环境，在运行过程中不断识别、查找风险，分析风险成因，对风险进行评价，为实现企业管理的总体目标提供合理保证。由风险管理决策层和经营层确定风险管理策略；由风险管理执行层完成对公司层面风险的分解和管控。

（二）内部控制理论

本文所研究的内部控制是指公司为实现财务管理目标，保障严格遵循国家有关法律法规和有关部门监管的要求，确保财务信息真实可靠，保护国有资产安全和完整，保证公司整体战略目标实现，提高公司财务运营的经济性、效率性和效果性而制定和实施相关政策、程序的过程。控制措施是指根据风险识别和分析结果，确保公司内部控制目标得以实现的方法和手段，其贯穿于经营活动的全部过程，包括内部环境、风险评估、控制活动、信息与沟通、内部监督等要素，并受企业董事会、管理阶层及其他人员的影响。

（三）风险管理与内部控制的辩证统一

在内部控制体系中，内部控制是手段，风险管理是前提；风险管理是实质，内部控制是延伸，是实现企业经营目标的保障。同时，开展内控工作，一定要从风险管理的角度出发，因为内控工作的实质就是对风险实施控制，内控不能完全与企业的风险管理脱节。

认识内控在目标、手段、应用范围、风险对象方面的局限，有利于更好地使用内控，更有效地管理风险；有利于内控与其它管理手段的结合，认识内控的风险管理本质；还有利于扩大内控的应用范围，将内控的原则应用于其他的领域。

（四）财务内部控制与全面内部控制的关系

企业全面内控包括管理控制、业务控制和财务控制三部分，财务内部控制是企业全面内控的重要组成部分，受企业内控要素的直接影响，属于企业全面内控体系的支撑子体系。但是，作为能够全面反映企业经济业务活动情况的财务管理环节，财务内部控制又具有其相对的独立性，企业内部控制体系的建立可以从财务内部控制入手，逐步推开。

三、电力企业财务内部控制体系建设的主要内容

电力企业内部控制体系架构的总体思路由实施目标、指导思想、基本思路、实施重点、实施步骤等五个方面构成。

（一）实施目标

1.合理保证公司经营管理合法合规；

2.确保将经济风险控制在公司可承受的范围内；

3.确保公司财务报告及相关信息真实完整；

4.确保公司规章制度和各项决策部署得以贯彻执行，保障经营管理的有效性，提高经营活动的效率和效果，促进公司实现发展战略；

5.确保建立针对各项重大风险发生后的危机处理计划，保护公司不因灾害性风险或人为失误而遭受重大经济损失。

（二）指导思想

以科学发展观为指导，紧紧围绕建设“一强三优”现代公司战略目标，通过实施内部控制的基本流程，培育良好的风险管理文化，建立健全基于财务风险管理的财务内部控制管理体系。

（三）基本思路

在已有的内部控制制度的基础上，对现行业务流程进行梳理，分析评价公司的内部控制即全面风险管理的现状，完成风险识别、分析、评价，建立风险数据库，提出风险策略，制定风险对策，对内部控制制度进行优化和改进，包括：对现有内部控制中的空白部分进行补充；对现有内部控制中存在缺陷的部分进行完善；实现内部控制的规范化和标准化，保证内部控制的可操作性。

（四）实施重点

1.风险评估。在梳理业务流程和确定流程目标的基础上，识别影响流程目标实现的相关风险，分析形成原因，对风险发生的可能性和影响程度进行评价，锁定各项业务流动中的重要风险。

2.控制设计。根据风险识别和评价的结果，选择风险策略，制定风险对策，完善公司相应控制措施，优化业务流程，实现对风险的有效控制。在工作中，重点突出对重要风险的关键控制设计。

3.与政治安全风险管理的结合。经济风险往往与政治风险相伴相生，查找经济风险点的同时关注政治安全风险点，结合电力企业开展的政治安全风险管理工作，充分交流沟通，发挥协同作用。

4.与信息系统的融合。结合电力企业目前开展的ERP系统咨询，将风险管理的理念与方法融入信息系统，将关键控制措施通过ERP系统固化在流程中，依托信息系统实现有效控制。

（五）实施步骤

财务内控体系建设工作分四个阶段进行。

第一阶段为项目启动阶段。这个阶段应明确项目实施的任务和重点；成立内控工作组织机构，确定成员，并对成员进行内部培训；根据内控建设任务编制访谈提纲和访谈名单，并实施访谈；发放调查问卷，总结分析问卷调查结果。

第二阶段为现状梳理阶段。重点为：收集并整理分析内部控制相关资料；编制网省公司本部业务流程目录；编制网省公司本部现行业务流程图；编制试点所属分子公司业务流程目录；编制试点所属分子公司现行业务流程图。

第三阶段为评价阶段。主要为：对网省公司本部现有业务流程进行初步风险控制分析；对网省公司本部现有业务流程内部控制状况进行测试，评价内部控制状况；对试点所属分子公司现有业务流程进行初步风险控制分析；对试点所属分子公司现有业务流程内部控制状况进行测试，评价内部控制状况；编制内部控制评价报告。

第四阶段为完善阶段。主要为：系统识别、分析、评价各项风险、确定风险应对策略；补充完善控制措施，对现有业务流程进行优化；编制风险监控与风险预警体系文件；编制电力企业财务内部控制相关制度；编制电力企业财务内控管理手册。

四、财务内部控制体系保障措施

财务内部控制管理模式涵盖了电力企业价值链的核心环节，监控了各类经济业务环节的风险状况并给出管理策略。在新管理模式的推行过程中，还必须设计与之匹配的保障体系，通过必要的保障机制，在整个电力企业中灌输风险管理思想，引入风险管理理念，运用风险管理工具，实施控制措施，以辅助新的管理模式的顺利实施。

（一）财务内部控制组织保障

在现有财务部机构设置的基础上，进一步完善综合部职责，同时，明确财务部对下属单位内部控制监督管理职责。综合处设置内部控制岗位，对财务风险评估及预警、内控测试及评价、内控监督及改进提出工作计划，讨论批准后组织实施；对公司财务风险管理和财务内部控制工作担负组织管理责任，对各分（子）电力企业内部控制工作实施监督和指导；负责电力企业财务内部控制手册的更新等工作。

（二）财务内部控制绩效考核体系

为了充分发挥基于风险管理的财务内部控制管理模式的保障和促进作用，除了引入自我检查、自我改进的方法和机制外，纳入考核体系尤其重要。建立财务内部控制自我评估体系，明确评价范围、测试方法、评价标准等内容，并将评价结果与绩效考核挂钩，在考评总分中要占一定分值，其直接影响考核结果。同时，根据动态管理的原则，适时调整评价内容和标准。通过全员考核加强员工风险意识，使员工自觉主动识别风险源。

（三）财务内部控制文化建设

电力企业承担着重要的社会责任，同时还需完成国有资产保值、增值的主要目标，在此前提下，电力企业应采取审慎且保守的风险文化，风险管理理念横向和纵向渗透。风险管理和内部控制是电力企业自上而下的流程管理，通过文化渗透的方式，使每一个财务人员都能充分认识到自身的风险管理责任，履行全面风险管理工作职责，自觉防范和控制风险。

1.风险无处不在，风险管理全员参与；

2.风险既是威胁，也是机会，防止过分畏惧风险而放弃发展创新的动力；

3.加快科学技术应用研究，解放生产力，并承担相应风险；

4.目标的实现源于对风险的有效管理和持续的改进；

5.提倡科学辨识、主动揭示、及时报告风险的“透明”文化。

电力企业应致力于塑造良好的风险管理文化，树立正确的风险管理理念，增强员工风险管理意识，将风险管理融入企业经营管理的活动之中，大力提高风险管理水平，逐步使电力企业成为关爱员工、勇于承担社会责任、业绩卓著、广受尊敬的输配电企业。

内部管理风险点范文

关键词：风险管理；审计计划

中图分类号：F239文献标识码：A文章编号：1001-828X（2013）06-0-01

一、风险管理

风险管理自被提出以来，一直主要应用于金融领域。而企业的风险管理大范围受到重视仅近30年，其发展历程大致为：20世纪70年代，企业风险管理只是单一的信用风险管理；20世纪80年代，企业风险管理主要是针对投资风险和财务风险的分散和回避；进入20世纪90年代，企业越来越重视风险和风险管理，全面风险管理等被提出并付诸实践。1992年，COSO（CommitteeofSponsoringorganization）委员会了《内部控制――整体框架》，在此基础上，该委员会于2004年提出了《企业风险管理――整合框架》（企业风险管理简称ERM），认为企业风险管理是一个过程，由企业的董事会、管理层和其他人员共同参与实施，应用于企业战略制定和企业内部的各层次和部门，贯穿于企业之中；风险管理的目的在于识别可能对企业造成潜在影响的事项，并在风险偏好范围内管理风险，以将其限制在风险容忍度内，为企业实现目标提供保证。

ERM风险管理框架的要素“内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控”，实际就是对风险管理过程的诠译，在这八个要素中，事项识别、风险评估、控制活动及监控与内部审计有直接的关系。基于以上分析，得出风险管理的基本理念就是识别风险、评估风险和控制风险，这与近年来倡导的风险导向审计理念有共同之处。风险管理活动应该贯穿于内部审计工作的全过程，特别是年度审计计划的制定更应体现对企业风险的控制，将有限的审计资源重点投放到高风险的领域。

二、内部审计在风险管理中的作用

国际内部审计师协会（IIA）认为内部审计是一种独立、客观的确认和咨询活动，它通过应用系统、规范的方法，评价并改善组织的风险管理、控制和治理过程的有效性，帮助组织实现目标。显而易见，随着客观环境的发展，内部审计已将评价和改善组织的风险管理作为其重要职能之一，内部审计人员必须树立风险理念，将风险识别、评价和控制融入到实际工作中。按照COSO的ERM报告，在风险管理过程中，内部审计机构和人员的职责是应用一定的风险管理方法和审计方法，检查风险管理过程的充分性和有效性，评估风险是否得到有效控制，且以报告形式提出意见，为管理层及审计委员会提供帮助。

虽然COSO和IIA都强调了内部审计在风险管理中具有重要的地位和作用，但我们也发现，事实上无论IIA还是COSO都没有对内部审计如何具体参与企业风险管理作出相应的阐述。针对企业的风险管理的具体情况来看，内部审计参与风险管理是一个逐步发展的过程，在不同的阶段中，内部审计工作的侧重点各有不同。

企业未建立风险管理机制时，作为职能部门，内部审计应积极向管理层提出建立风险管理机制的建议。提请管理层关注风险。并且内部审计工作计划应该是在风险分析的基础上制定。如果企业管理层提出建立风险管理机制的要求，内部审计部门可以通过咨询服务的方式，积极协助企业风险管理过程的建立，内部审计人员可以运用对企业内部情况比较了解的优势和专业知识，从独立客观的角度为审计委员会和管理层提供有价值的咨询服务。内部审计可以通过指导管理层和相关业务部门对风险进行识别与评估，明确管理层的风险偏好和风险容忍度，并相应地做出风险应对等方式来协助管理层建立风险管理机制，促进企业的风险管理水平的提高。如果企业建立了风险管理机制，内部审计就可以将对风险管理的评价作为审计工作的内容之一，以检查、评价企业对风险管理的适当性和有效性。内部审计人员应当对风险识别过程、风险评估的方法、风险应对措施进行审查与评价，审查评价风险管理过程的充分性适当性和有效性，并对于风险管理过程存在的问题提出改进建议。

ERM将企业的内部审计人员推上非常重要的地位，认为内部审计人员可以通过对管理者风险管理过程的充分性、适当性和有效性进行监控、检查、评估、报告和提出改进建议来帮助管理层和董事会履行其职责。实际工作中，内部审计通常并不将企业的风险管理过程作为一个专门审计项目予以开展，其原因在于风险管理措施、手段与企业的内部控制整体不可分割，因此内部审计参与风险管理仍然体现在项目选择和项目实施中。其中项目选择更加突出体现风险管理理念，项目选择实质上就是年度审计计划的制定。可以说，将风险管理理念和方法融入内部审计年度审计计划的制定是科学合理的选择。

三、运用风险管理理念制定年度审计计划的基本原理及方法

《国际内部审计实务公告》第2010―2：“审计计划对风险和风险的暴露的关注”强调首席审计执行官应该制定以风险为基础的计划，以确定内部审计活动重点。具体方法是在风险评估和风险暴露优先次序的基础上安排审计工作。根据以上论述，我们认为如果企业已经建立起风险管理机制并开展了风险管理工作，则内部审计完全可以利用其成果，有针对性地选择审计重点；如果企业尚未建立风险管理机制，则内部审计可以按照风险管理的理念和思路开展风险识别、风险评估等工作，并以此为基础制定年度审计计划，确定审计重点。

风险识别是风险管理中的关键和难点，如何识别风险也是审计计划制定过程中的关键起点。这里我们充分利用传统的审计风险控制模型来和内部控制评价理论来确定风险识别的方法。传统审计风险模型认为，审计风险=固有风险×控制风险×检查风险，当审计师可接受的审计风险水平确定时，固有风险、控制风险与检查风险成反比例关系，也就是说当审计师识别了高固有风险和高控制风险领域，那么其检查风险就会降低。显然识别风险就是要识别固有风险和控制风险，但在实际操作中，固有风险与控制风险往往相伴相生，我们通常并不将其分开识别和评估。同时考虑到内部控制评价对企业业务流程的分解和评价与这里的风险识别和评估有着共同特点，因此我们可以参照内部控制评价方法细化流程中的控制环节，针对各个控制环节识别并评估固有风险和控制风险的高低，这将大大降低风险识别的盲目性。具体步骤是根据内部控制评价体系的基础资料，制定风险评估方案，进行风险识别、风险调查、风险专业判断、风险评估及报告和实际运用（制定审计计划），当然对固有风险和控制风险的评估结果并不是制定审计计划的唯一依据，通常还须结合审计资源等情况，综合考虑和权衡。

四、实际运用中需要注意的问题

1.在风险识别环节，根据经验和内部控制评价方法来选择风险环节的科学性，是否存在遗漏其他高风险环节，这方面需要在实践中不断完善。

2.在风险调查环节，风险管理是全员参与的过程，风险识别调查范围必须有一定的宽度，选择的调查点须具有代表性。另外，调查方式方法的选择及调查内容的设计，对调查的被接受性和调查结果的准确性必然产生很大的影响，因此调查的方式方法选择要避免走过场式的随意性，调查内容的设计要易于理解，不会让被调查者产生歧义。

3.在风险判断环节，如何把握风险测定的因素和标准的完整性准确性、专业判断的科学性，需要根据企业发展的实际情况不断完善。

综上所述，随着审计环境的变化，运用风险管理理念制定年度审计计划不仅是一种有益的尝试，更是的提高效率、合理化科学化的必然选择。风险管理理念的融入必将使内部审计年度计划的制定更加具有针对性，使内部审计部门能够更加合理地配置有限的审计资源，将审计工作重点转向高风险领域，从而使企业的内部控制达到事半功倍的效果，反过来也必将推动内部审计工作不断向科学化方向发展。

参考文献：

[1]朱荣恩，贺欣.内部控制框架的新发展―企业风险管理框架-COSO委员会新报告《企业风险管理框架》简介[J].审计研究，2003（6）.

[2]高岩芳.ERM框架影响下的内部审计的新发展[J].内蒙古财经学院学报，2005（5）.

内部管理风险点范文

一、信用担保机构风险管理审计内涵界定

在企业经营中，风险和收益往往是并列的。伴随着经济环境的日益复杂和多变，企业在经营中遭遇风险的可能性进一步加大。我国《中央企业全面风险管理指引》指出，企业面临的风险分为战略风险、运营风险、财务风险、市场风险和法律风险，要求企业辨别出对战略和目标影响最突出的重大风险作为重点管理。目前就实际情况来说，银行、担保等作为经营风险的行业，风险管理工作更是企业组织机构管理工作的重点。但是由于传统的内部审计方法大多以财务、控制为重点，对风险管理工作的效果甚微，已不能满足公司治理的需要。在此背景下，企业对内部审计的要求进一步加深，要求内部审计部门将“评价和改善风险管理，实现价值增值”的理念加入到内部审计工作中。

对于风险管理审计的概念，国内外机构和学者没有给出统一的规定。国际内部审计师协会（IIA）从实施的主体和功能方面，对内部审计给出了明确的定义，但对于风险管理审计的这种内部审计方法并未给出详细解释和说明。风险管理框架（FRM）也仅从对内部审计人员的要求方面提出内部审计人员要在监督和评价风险管理成果方面承担重要任务，评估风险管理要素的内容和运行以及执行质量，协助管理层和董事会履行其职责。我国风险管理审计的起步较晚，对其研究的领域和深度等都受到一定的限制。总体来看，国内有关协会和组织提出以下解释。我国内部审计师协会（CIIA）认为，风险来源于企业内外部，风险管理审计是针对企业内外部风险管理活动来进行的。时现等（2010）认为风险管理审计就是内部审计人员以风险管理为对象进行的审计。王晓霞指出（2005）风险管理审计是一种系统化、规范化的内部审计方法。通过对企业各部门、各个业务流程、各个管理系统等所需面对的风险进行识别、计量和分析，提出解决对策的同时对企业的整个监督和控制过程进行评价，帮助企业减少损失，提高效率，最终实现经营目标。学者张海（2009）认为，风险管理审计是传统内部审计发展的新方向。通过评估风险识别的充分性，风险防范措施的恰当性等为管理层提出改进意见，帮助企业减少风险带来的损失，从而实现更多价值。胡静波和李卜（2012）等注重风险管理审计对于风险管理的监督和评价功能，并认为该功能是风险管理审计产生的根源。

通过对有关学者理论的分析，笔者认为，信用担保机构风险管理审计是以专业化的信用担保机构内部风险管理作为审计客体的内部审计方法，该方法要求内部审计人员着眼组织整体以及战略目标的角度，着重关注组织在风险管理机制的构建，在风险识别、风险分析和风险应对的有效性、合理性和健全性方面实施评价与监督，旨在提高风险管理水平，实现组织目标。

风险管理审计作为新型的内部审计方法，使风险管理成为企业组织核心竞争力的一部分，必然会成为组织治理工作的重点内容

二、信用担保机构风险管理审计的现实需求

（一）巨额代偿风险

信用担保机构作为一种信誉和资产责任担保结合的金融中介，其风险主要来自于宏观政策、银行、机构自身以及受保企业。其中，受保企业主要是中小企业。只有中小企业实现盈利才能保障其与银行贷款协议的履行，而中小企业经营效益差的现实客观上加大了违约风险。就目前实际情况看来，我国中小企业普遍面临着经营效益差、财务制度不规范、破产率高等问题，中小企业亏损倒闭的几率远远大于大型企业。据有关部门统计，中国中小企业的平均寿命为2.9年，在大多为中小企业的民营企业中，每年平均有100多万家民营企业倒闭。一旦发生担保事故，尤其是很可能全额代偿的现实使信用担保机构面临巨大的“代偿风险”。

（二）信用担保机构风险管理不到位

我国专业化的信用担保起步较晚，风险管理水平也相对落后。首先，担保机构普遍尚未建立完善的风险管理制度，风险管理文化没有形成。同时，风险管理部门也一直存在着职责不明、效率低下、工作流于形式等问题。从风险防范机制上讲，信用担保机构缺乏科学的防范和评估程序，大多机构仅仅从受保企业财务报告和粗略地询问出发，并且在风险评估上侧重于定性评估而忽略了定量评估，主观性过强的弊端甚至造成“人情担保”等现象的发生。另外，在机构与中小企业签订协议后往往忽视对其进行全程监管以及对抵押品的关注，化解风险的能力大打折扣。以上几个方面都在一定程度上反映了目前我国信用担保机构风险管理还相对欠缺，需要内部审计部门实施风险管理审计进行完善。

（三）增加内部审计工作价值和功能

担保行业不同于其他工商业，它是通过收取担保费用来实现收益，而前提是能够防范、控制和经营风险，风险管理备受关注。这自然给很多内部审计人员造成假象，认为机构内部风险管理已很完善。再者，信用担保机构内部审计部门还处在查错纠弊的阶段，注重对财务以及事后审计，并且大都采取现场审计的形式，非现场审计执行力度不够。加上很多担保机构有政府资金支持的原因，内部审计人员只是被动执行审计工作或者即使开展也只是拘泥于流程，不能充分从风险角度展开工作，种种原因限制了内部审计部门对于风险管控和价值增值功能的发挥。内部审计部门开展风险管理审计能够从全局和战略层面展开工作，能够从贯穿风险的事前、事中、事后三方面进行风险管理的评价和监督，弥补了缺乏非现场审计的缺陷，增强了内部审计部门防范和控制风险的价值功能。

三、信用担保机构风险管理审计工作重点

（一）审查风险管理工作体系

风险管理体系是组织机构展开风险管理工作的前提，因此内部审计人员应首先对担保机构内部风险管理体系的建立健全性实施评价和监督。其工作主要从三个方面展开：

1.组织体系。内部审计人员通过查阅文件或走访问卷等形式，审查担保机构是否充分发挥了风险管理部门的职能，是否制定了风险管理的规章制度并设立职责分明的领导体制，评价其合理性。同时还要确定风险管理部门组织目标与担保机构整体战略目标的一致性。

2.内控体系。内部控制作为风险管理工作最主要的表现形式，内部审计人员应重点关注担保机构内部控制构建的各个要素，评价和核实内部控制的健全有效性。如内部审计人员可以通过查阅日常报告文件、突发风险事件报告以及与相关管理层访谈的形式，推断验证有无“人情担保”、“越权审批”等事件的发生。

3.考核体系。内部审计人员在审查考核体系时，应关注考核体系是否覆盖风险管理的全流程，预警指标、考核方式的设定是否符合本担保机构的实际状况，如考虑注册资本等。同时还要关注考核体系在多大程度上对风险管理工作起到的促进作用，评价其合理性。

（二）审查风险识别工作

信用担保机构面临着来至内外部的各种风险，风险识别工作是有效的风险管理实质工作的基础。内部审计人员在进行风险识别审计工作时，应结合内外部环境以及其具体担保实例，关注信用担保机构是否对风险进行充分、全面的识别。比如，内部审计人员可以查阅历史担保案例，复核机构在审批前收集的风险信息，结合实际管理状况，分析并评价已有的风险信息是否对案例中所涉及的风险实现充分识别。同时，内部审计人员还应审查对比本担保机构在不同时间段整理归档的风险信息文件、具体担保项目后续跟踪风险的文件，评价信用担保机构是否持续动态的进行风险识别工作。

（三）审查风险评估工作

风险评估是全面风险管理的中心环节，其评估质量的好坏往往是担保项目成功与否的关键。内部审计人员在对风险评估工作进行审计时，应重点关注“风险发生概率”和“风险的影响程度”两个要素。通过查阅资料文件、询问相关人员，如有条件，可现场观察实时项目的风险评估工作，了解担保机构风险评估的过程、方法和风险评估所依据的成本―效益衡量标准，重点关注风险评估工作中定量、定性的评估手段，并在必要时通过向专家咨询的方式，分析评价风险评估是否合理有效。同时，风险评估工作需要应用各种风险工具，技术含量以及难度都比较大，对于风险评估人员的素质要求较高。因此，内部审计人员可通过与工作人员沟通询问的方式对工作人员作进一步了解，作为评价风险评估合理有效性的有力补充。

（四）审查风险应对措施