(三)评价企业风险管理过程

　　内部审计应从以下几个方面对企业风险管理过程进行评价：一是评价企业风险管理组织结构是否充分、适当和有效，对于其设计和运行存在的缺陷和不足提出针对性改进措施，充分发挥内部审计的咨询职能，使风险管理组织结构更具有合理性。二是在熟悉企业战略目标和经营业务的基础上，针对不同项具体评价其风险识别是否全面，风险等级划分是否合理。

　　(四)跟踪风险控制活动

　　从实际操作来说,企业风险管理框架的执行远比框架的设计重要,一个设计完美的管理框架可能因判断错误、执行人的胜任能力和内外部境变化等因素而失去其应有的作用。因此，内部审计人员应当对风险所处环境及其他相关因素开展持续性监测和分析，动态关注企业风险监控体系是否健全及执行效果，也可以通过对内部审计揭示披露风险或问题的处理情况开展后续跟踪检查，检查所实行的控制措施是否及时有效或产生新的风险，并将检查结果及建议提供给企业管理层以便改进风险控制措施。

　　四、内部审计与企业风险管理结合在企业的应用和实践

　　根据国资委《中央企业全面风险管理指引》以及《关于20xx年中央企业开展全面风险管理工作有关事项的通知》要求，中国铁路总公司及其所属铁路局已经在探索如何将内部审计与企业风险管理进行有益的结合，并针对高风险领域及管理层关注的问题开展了一系列专项审计和调查，提高了内审的效率和效果，也证明了与企业风险管理的整合是内部审计发展的主要方向之一。例如，中国铁路总公司对铁路基建项目建设情况进行跟踪审计，就工程的立项、预算、招标、合同、实施、验工计价、验收、竣算、付款等各环节进行审计，对发现的问题及时提出管理建议并协助整改，保证了工程项目优质高效快速的建成；南昌铁路局内部审计部门根据与企业风险管理战略目标匹配的业务重点，开展了全局非运输企业物资贸易经营风险防控管理情况、职工保障性住房建设资金管理情况等专项审计，为管理层的后续决策提供了依据，促进了企业风险管理的持续改进。这些专项审计和调查对现阶段国有企业内部审计工作的开展无疑有着很好的示范作用，但是铁路企业因其特殊的历史原因和体制问题，长期以来将安全风险管理作为企业风险管理的主要目标，缺乏将战略风险、财务风险、市场风险、运营风险和法律风险整合的全面风险管理体系，还处于风险管理的初级阶段，不够系统和规范。笔者尝试根据企业风险管理流程，设计了风险管理基础审计的.一般程序，希望能起到抛砖引玉的作用。

　　(一)计划阶段

　　内部审计部门制定年度审计计划时，应对识别出的风险事件评估后进行风险排序，确定审计先后次序。审计计划制定后并非一成不变，当管理层的目标、方针和关注点发生变化时，应对审计计划进行适时调整，重新分配审计资源。其次，在执行审计业务计划的过程中，如果出现内部审计资源不足或审计范围受到限制的情况，内部审计部门负责人应及时向企业管理层报告，以避免无法获取充分、适当的审计证据，导致审计结果出现偏差。

　　(二)准备阶段

　　风险管理审计的准备阶段是进行风险管理审计的基础,这一阶段所需进行的准备工作主要包括:了解企业的风险偏好和战略目标、业务层面目标的风险承受度；在审计业务范围内实施初步调查后，确定审计目标和审计领域相关风险、控制程度及可利用的内审资源；审计方法的选择等。

　　(三)实施阶段

　　1、根据审计范围选取合适的风险评价标准

　　内部审计人员在选取风险评价标准时,应考虑该风险评价标准是否符合被审计单位的实际情况；是否涵盖大部分的风险领域;风险特征是否鲜明清晰，对环境的变化是否具有弹性。

　　2、对审计范围内的风险进行分析和评价

　　内部审计人员结合企业经营战略制定和部署,采取定量分析与定性分析相结合的方法对风险实施综合性评估。通常情况下，风险评估坐标图属于相对常见的分析方法，属于定性分析法，主要是借助对风险带来影响大小的反映，将此结论与风险可能出现的情况进行密切关联，从根本上为明确业务风险次序提供合理化框架。定量分析方法则可以通过采集足够多的风险样本，利用专业工具和技术建立概率模型量化风险来确定风险评级；再按照初始设定的影响程度和可能性估值，计算风险评分，将评分较高的风险列作主要风险，评分较低的风险列作次要风险，然后对风险进行优先次序的排列。