损害公司业务流程的因素是否在合理的限度内？公司的资产有可能被盗吗？能否通过内部流程、信息和报告恰当第计量和传递资产、营运过程及战略实现所构成的威胁？公司对外部群体的报告是否遵循了相应的法律、法规和准则？上述五个问题都与现实世界可能发生的事件相关，并且可能对企业构成严重的威胁，也是企业风险管理和内部审计监督的主题。
2
21风险管理审计
风险管理审计
进入21世纪，“风险审计”“风险管理审计”“风险导向审计”等类似名词不断出现在审计者的视线中。根据《内部审计具体准则第17号重要性与审计风险》的定义，即内部审计人员未能发现被审计单位经营活动及内部控制中存在的重大差异或缺陷而做出不恰当审计结论的可能性。审计风险不仅包括审计过程中审计人员主观因素造成的风险，同时也包括审计过程之外的非主观因素产生的风险。站在内部审计的视角看，风险管理审计的含义是“对组织的风险管理进行审计”。对于企业来说，这里的风险，是指企业风险，主要涉及经营风险。在风险管理审计框架下，风险管理是审计的客体和对象。风险管理是对影响组织目标实现的各种不确定性事件进行识别与评估，并采取应对措施将其影响控制在可接受范围内的过程。基本含义：是对风险管理的设计与执行情况进行测试和评价。并为管理层提供有关风险管理信息的适度保证。出发点：审核风险管理政策和经营战略方针。目标：风险管理政策设计的适当性、执行的有效性、风险损失处理的合理性。特有方法：风险管理因素优先性策略、预警分析、综合评价。
22风险管理八要素
221内部环境董事和管理层制定组织的目标、实现目标的战略、经营过程相互关联的商业模
1
f式，以及实施战略的短期经营计划。这些选择组成了ERM的环境要素，也提供了其他要素运作的框架。环境要素还包括所谓的“风险管理哲学”以及风险“偏好”，以确定组织将会如何应对可能出现的负面意外事件总是会有一些意义事件将要发生。管理层（以及董事）必须决定如何处理战略及其实施过程中所隐含的风险与收益的权衡，对风险的态度将会影响到企业采取何种经营活动，只有将战略中固有的风险限定在一个可接受的水平时，这些活动才会有助于战略的实施。222目标设定即规定设定目标的程序，并确认目标、策略及风险承受之间的一致性。企业目标可以从以下几个方面确定：策略：有关企业整体的目标及使命。营运：有关效率、绩效及获利能力。报道：有关内部及对外部的报道。遵循：r