俗话说，天有不测风云，人有旦夕祸福。作为一个国家，常常会发生天灾人祸；作为一个企业，涉及到人财物的配置组合、供产销的市场需求、个人集体国家之间的利益分配、职工领导组织的企业文化，各种各样矛盾错综复杂，各种各样风险危机四伏，可以说各种风险无处不在、无时不有。那么，什么是风险？一般说来，风险是指在一定条件下和一定时期内可能发生的、不确定性的各种结果的变动程度。简要地说，风险是指事先可以知道所有可能发生的后果以及每种后果发生的概率。

　　作为企业领导者来说，通常遇到的有：　 1、筹资风险：企业筹集资金是生产经营等经济活动的起点，为了建设新项目或扩大生产经营规模，企业领导者必须作筹资决策：是招商引资还是借入银行贷款呢？如果企业领导者决策正确、管理有效、效益明显，就能达到筹资目标。但在市场经济条件下，市场信息瞬息万变，企业竞争日趋激烈，就有可能导致企业领导者决策失误、管理措施失当，从而使筹集资金的经济效益具有很大的不确定性，由此产生了筹资风险。2、投资风险：是指企业领导投资某些项目所取得投资收益的不确定性。企业领导在投资过程中的风险主要有：（1）投资项目风险：投资项目成功，可能获得丰厚的投资效益；如果失败，就要受到资金损失，投资风险很大。（2）资源风险：资源是保证投资发挥其能力的必要条件，缺少资源保证，就难以取得好的经济效益。（3）市场风险：一定时期内投资者的经济活动，由于市场的复杂多变，投资产品很可能出现产品销路不畅、没有市场等情况；投资股市，很有可能遇到股票熊市，长期低迷，忍痛割肉，损失巨大。（4）经营风险：投资效益不但受到市场需求的影响，而且在很大程度上取决于被投资企业经营管理水平的高低。（5）政治风险：任何企业的经营活动都不可避免地受到国家在一定时期内有关方针政策的影响，只有因势利导，才能取得成功。3、资金回收风险：首先要求产品能顺利实现销售，其次要尽快收回资金，在经营资金流动中实现增值。这种转化过程的时间和金额的不确定性，就是资金回收风险。

　　作为企业内部审计机构和内部审计人员来说，在审计工作过程中就存在着审计风险。按照〈内部审计具体准第17号-重要性与审计风险〉所称“审计风险，是指内部审计人员未能发现被审计单位经营活动及内部控制中存在的重大差异或缺陷而做出不恰当结论的可能性。”审计风险按其原因可分为被审计单位风险和审计工作风险；按其风险的性质又可分为固定风险、控制风险和检查风险。被审计单位风险是指被审计单位经营活动及内部控制中存在重大差异或缺陷的可能性。审计工作风险是审计人员在审计工作未能查明重大错弊或作出了错误判断应当承担的风险，也就是检查风险。而固有风险是指在审计工作中被审计单位存在差错而未能发现的可能性。控制风险是指由于被审计单位内控制度不完善、执行不得力导致的风险。

　　为了对影响企业组织目标实现的各种不确定性事件进行识别与评估，并采取应对措施将其控制在可接受范围内的过程，为组织目标实现提供合理保证，这就是内部控制中的风险管理。“风险管理包括以下主要阶段：（一）风险识别，即根据组织目标、战略规划等识别所面临的风险；（二）风险评估，即对已识别的风险评估其发生的可能性及影响程度；（三）风险应对，即采取应对措施，将风险控制在组织可接受的范围内。”下面作者根据最近学习《内部审计具体准则第16 号—内部控制中的风险管理》和《内部审计具体准则第17号—重要性与审计风险》的体会，并结合邮政企业内控制度的现状，谈谈对邮政企业发展中防范风险机制的几点思考。

　　一、风险识别阶段，最重要的是对审计风险进行确认和分类，主要解决企业究竟存在哪些风险因素，即分析现代企业风险形成的原因是什么。安东尼。斯蒂勒在其《审计风险和审计证据》一书中列出了表明企业或公司审计风险可能增加的七大类风险因素有：

　　1、 所在行业（1）竞争激烈；（2）变化快，例如高技术行业；（3）没落行业，例如存在大量经营失败；（4）国有企业；（5）由于政治、环境保护或其他原因受到法律限制等。

　　2、 所在的地理区域（1）政治不稳定；（2）在受贸易制裁的国家和地区有大量销售和其它经营活动；（3）交通不便等。

　　3、 职员、组织和经营程序（1）盛气凌人的高层管理部门或无效的董事会、审计委员会；（2）管理部门凌驾于主要的内部控制之上；（3）与高层管理部门所控制的业务或报告的业绩相关的奖金或报酬；（4）有迹象表明高层部门个人财政困难；（5）过于乐观的收入预测；（6）重要的诉讼；（7）复杂的公司结构与公司的经营或规模不相符合；（8）较为分散的公司由高度分散管理部门管理；（9）人员缺乏，需要某些职员加班或假日不休；（10）主要财务位置包括财务部长或主计长经常更换；（11）审计师或律师的经常更换；（12）内部控制中的已知重要弱点应当予以纠正但始终不予纠正；（13）非法活动或违背公司政策的活动未能得到纠正；（14）关联方交易或者可导致利害冲突的业务；（15）在企业日常经营中因为相关服务向律师、顾问、代理人或其他人（职员等）支付不寻常的大笔金额；（16）不容易收集有关下列方面的证据：[1]异常或不能解释的分录；[2]不完整或遗漏的文件或授权；[3]文件或帐户的变动 ；（17）不可预见的审计问题[1]客户要求在非常短的时间内或困难的情况下完成审计；[2]不明原因的拖延；[3]管理部门对审计询问的敌意或不切实际的回答等。（18）最近同行业其它公司披露的违法或有问题的事项；（19）存在大笔向外国政府的销售；（20）与代理人或其他中介人来往明显不同于与正常的打交道的客户；（21）存在未经营的子公司、秘密银行账户、其它秘密资金等等。

　　4、 收入和经营预测（1）销售的质和量都在下降（信用风险增加、低于成本的销售、较低的边际利润）；（2）经营实务中的重大变化；（3）经营的持续成功依赖于某一个或很少几个新产品、客户或交易；（4）缺少产品开发；（5）过度的闲置；（6）不切实际的生产目标；（7）生产设备更新缓慢、折旧率低；（8）分析复核程序反映的重大变动不能被合理解释，例如：[1]与账户不一致的异常账户余额；[2]异常的存货变动；[3]异常的存货周转率等。（9）尤其是在年底出现对收入有重要影响的大额或异常交易等。

　　5、 资产（1）资产价值的降低；（2）实物保障不充分，有扰乱经营的危险等。

　　6、 流动性和融资（1）现金流量不足；（2）经营资本不足；（3）在借款要求上缺乏弹性，例如，经营资本率低、额外借款受到限制；（4）权益资本缺乏；（5）获取新的权益资本十分困难。

　　7、 不可预见的损失（1）购买和销售合同；（2）分包协议；（3）担保协议；（4）产品保证；（5）租赁合同；（6）外汇状况；（7）保险保障等等。

　　在风险识别阶段，关键在于邮政内部审计人员对企业所面临的外部、内部风险是否已得到充分、适当的确认。需要确认的外部风险主要来源于以下因素：（1）国家法律、法规及政策的变化；（2）经济环境的变化；（3）科技的快速发展；（4）行业竞争及市场变化；（5）自然灾害及其他。内部风险主要来源于以下因素：（1）组织治理机制的缺陷；（2）组织经营活动的特点；（3）组织资产的性质以及资产管理的特点；（4）组织信息系统的故障或中断；（5）组织人员的品质、素质未达到要求及其他。

　　根据以上七大风险要素或内、外部十大风险因素，分析现在邮政企业存在的各种各样风险因素是很有必要的，也是很有意义的。现代邮政企业是国家开办并直接管理（政企合一）的、利用交通运输工具以传递实物载体的信息为主的通信行业，是现代社会进行政治、经济、科学、文化、教育等活动和人们联系交往的公用性基础设施的企业。经过几十年的发展，我国现代邮政的业务种类已发展到五大类、几十种：一是寄递业务，包括函件、包裹、特快专递、电子信函、机要通信；二是金融业务，包括储蓄、汇兑、保险、划拨、金融代办；三是报刊发行业务，包括报刊、图书、音响制品；四是集邮业务；五是信息服务业务，包括信息收集、音像租赁、电子商务等增值业务。我国邮政已经具备了一定的实力，但与经济建设和社会的发展相比还存在很大的差距，中国邮政仍然面临着严峻的挑战和很大的经营管理风险。一是邮政管理体制落后，邮政普遍服务补偿机制尚未建立，还没有得到国家财政补贴；二是邮政经营机制不活，传统的计划经济色彩浓厚，收入有水分、成本有挂账，经营财务信息存在着失真现象；三是经营业务繁多，按邮政企业十大类业务专业核算，仅有一、二项业务有盈利，大多数业务存在着亏损；四是邮政企业核心竞争力差，人才流失、设备老化，投入大、产出少；五是邮政企业经营管理水平还有待提高。虽然现代邮政企业在现有国民经济所有部门中是唯一同时具备信息流、实物流、金融流三大渠道功能的企业，但是邮政电子信息业务刚起步，其实力远远落后移动、网通和电信等企业；实物运输：包裹竞争不过公路、铁路企业，特快专递竞争不过航空公司；邮政储蓄业务虽然规模很大，全国邮储余额上万亿元，和几大商业银行相比有一定竞争能力，但还存在着转存款利率政策调整风险、全员营销安全风险和金融调控调息等金融风险；现代邮政可持续发展战略还有待研究探讨。同时，邮政企业有很多邮运车辆，安全隐瞒不少，存在着不安全人身、车祸风险；邮政储蓄业由于外部安全设施不到位、存在抢劫客户存款，内部控制制度失控、存在监守自盗、携款潜逃等金融安全风险；还有个别邮政支局违规收寄化学品等易燃、易爆炸危险物品可能造成危害社会安全的风险等。为此，邮政企业要建立防范各种风险的机制：作为邮政企业组织管理层要对单位的经营规模、经营风险及各项业务的性质、内控制度的重要性作出判断，并负责确定可接受的风险范围，建立、健全风险管理机制并使之有效运行。目前，邮政企业防范各种风险的职能机构大致分工是：局长办公室通过贯彻执行全面质量管理ISO9000把内部控制制度的内容纳入各科室、班组责任制中；业务经营监督检查，由公众经营服务部门的视察员负责；财务会计检查，由计划财务部门的会计检查员负责；企业发生人身、车辆事故、经济案件，由安全保卫部门负责；各种民事诉讼案件，由法律顾问部门负责；违法乱纪事项，由行政监察室负责；财务审计、工程审计、经济责任审计等，由各级审计部门负责。内部控制制度没有作为一个系统工程要求作出制度性安排，内控制度零零星星、不完整、不系统，各个部门分兵把口，各行其是，不成系统，成效甚微。所以，企业风险管理作为一个系统工程，应当建立一个风险管理机构：企业风险管理（评估）委员会，对于企业经营管理中内控制度执行情况及薄弱环节、存在问题进行认真评估，例如；对新建工程项目投资风险的控制；对邮政各专业应收帐款的风险评价与管理；对邮政储蓄内部作案人员风险防范的研究与控制；对财务收支不实、经营财务信息虚假的治理；局（厂）长经济责任审计中发现的问题等各种各样风险，必须进行认真评估和研究整改，从而研究改进内控制度，提高经营管理水平，实现企业经营目标。最近，李金华审计长在全国内审协会第五次会员代表大会上指出：“当前经济生活中违法问题屡禁不止，经济犯罪、贪污腐败时有发生，重要原因之一就是一些部门、一些企业、一些单位轻视内部管理，有些内部控制制度形同虚设、苍白无力。我们将在企业审计的指导思想上有一个较大的转变和调整，要把对企业的审计监督，更多地体现在帮助企业纠正问题、促进企业加强内部控制、提高管理水平和经济效益上来。”这是很切中时弊的。

　　二、风险评估阶段，作为邮政企业内部审计人员一定要对邮政企业的内部控制制度现状搞清楚。所谓邮政企业内部控制评价，就是对邮政企业内部控制体系建设、实施和运行结果独立开展的调查、评估、测试和分析的系统性活动。内部控制评价包括过程评价与结果评价。过程评价侧重对内部控制过程的充分性、合规性、有效性、适当性的评价，结果评价是对内部控制主要目标实现程度的评价。评价时必须遵循的原则是：系统性、独立性、公正性和重要性等原则。内部控制评价的内容有：内控环境、风险识别与评估、内控措施、监督评价与纠正、信息交流与反馈等方面。那么，怎么样评估各种审计风险呢？首先，要重点关注两个要素：（一）各种风险发生的可能性；（二）风险对组织目标的实现产生影响的严重程度。邮政企业应当建立起国家局、省局、市邮政局为主体的公司式治理组织结构，制定一整套严密的内部控制制度，保证各机构规范运作、分权制衡；应当在相关管理职能和层次上建立并保证实现内部控制目标，建立分工合理、职责明确、报告关系清晰的组织结构。邮政企业的主要风险包括信用风险、业务操作风险、市场风险、国家政策风险、利率风险、资金流动风险、法律风险以及声誉风险等，应当建立和保持书面程序，以持续对各类风险进行有效地识别与评估；应当确定需要重点控制的经营业务和管理项目，依据所采取的控制措施或已有的控制程序对这些重点业务和项目加以控制；应当建立并保持书面程序，通过适当的监测活动，对内部控制成败进行持续监测，同时应当对违规、险情、事故的发现、报告、处理和纠正、预防等防范措施作出规定。同时，企业内审机构应针对企业内部控制体系所存在问题的性质及严重程度，分别采取相应的监督措施，以取得实效。实际上审计风险具有客观性，内审人员要控制审计风险，将其降到最低限度，就必须对审计风险的各种因素作出判断和评估，要恰当地确定总体风险水平。因此，审计风险评价的关键是确定一个审计风险的可接受标准。英国的E.伍尔夫曾指出：“由于客观条件的限制和人们长期以来对衡量总体审计风险水平的可接受标准问题不重视，审计职业界一直不能确定一个统一的审计风险的可接受标准，这是一个很值得研究的课题。我们由于资料的限制，也无法得出这方面的结论，我们认为审计风险的可接受标准可定为5%，社会可接受的损失程度以保险公司的保费率为准”。国外一般将期望总体审计风险水平确定在5%，它意味着审计人员有95%的把握确信或保证作出的审计结论是正确的。审计人员随着审计过程的进展和新信息的获取，还应对预期审计风险水平作出适当的修正。其次，在确定固有风险时，除了考虑每个帐户本身有着不同的固有风险外，还要考虑1、客户的财务状况和管理部门的诚实性。当客户的财务状况不佳，管理部门缺乏诚实性时，不仅使某些帐户的固有风险上升，还会使控制风险上升。2、客户外部环境的变化。如果所在行业经济条件恶化，有可能拖欠三角债严重，故应收帐款的固有风险就很高。另外社会经济、会计制度、会计政策的发展变化，也使某些时期的固有风险提高。为此，审计人员在审计实务操作中，宁可高估固有风险，一般对审计风险持特别谨慎的态度。再次，确定控制风险。控制风险取决于企业内部控制的有效性。对于固有风险、控制风险，我们审计人员只能评估、不能控制。为此，必须在被审计单位完成以下工作后，审计人员才能作出恰当的估计：1、了解和描述该企业的内部控制的现状；2、初步评价控制风险；3、进行符合性测试，必要时还进行实质性测试。每个单位都不同程度地存在着内部控制活动，审计人员完全可以将控制风险确定在一定的水平上。4、检查风险的确定。审计人员的检查风险的确定取决于该单位固有风险和控制风险的水平，企业有效的内部控制可以减少会计记录和经济业务处理中出现错误的可能性。当该单位固有风险和控制风险较低时，审计人员完全可以接受较高的检查风险，能满足期望审计风险的要求。并采取必要的审计程序和审计方法来控制审计风险，提高审计结论的可靠性。为此，内审人员在实施审计项目时，一定要注意：1、制订详细的审计方案，遵循严格的审计程序。2、在一定的审计风险水平上，取得充分、可靠、有力的审计证据。3、正确评价被审计单位内部控制的可依赖程度，合理地确定控制风险。4、考虑被审计单位的环境和经济现状，运用统计抽样等技术方法，保证审计结论的可靠性。5、加强对审计工作底稿的复核和检查，确保审计工作的质量。6、加强对审计人员的后续教育，总结审计实务中的经验教训，提高审计人员职业判断和分析问题的能力、水平。

　　三、风险应对阶段，审计人员在评价风险应对措施的适当性和有效性时，应当考虑以下因素：1、采取风险应对措施之后的剩余风险水平是否在组织可以接受的范围之内；2、采取风险应对措施是否适合本组织的经营、管理特点；3、成本效益的考量。然后，根据风险评估结果作出主要应对措施：1、回避，是指采取措施避免可发生风险的活动，如购买股票、信件丢弃事件等；2、接受，是指由于风险已在组织可接受的范围内，因而不采取任何措施，如已发生的交通车辆安全事故等；3、降低，是指采取适当措施将风险降低到组织可接受的范围内，如经营信息失真现象等；4、分担，是指采取措施转移风险，如：向保险机构缴纳人身、财产安全保险费用等。审计人员应当向被审计单位的适当管理层报告审查和评价风险管理过程的结果，并提出积极的内部控制改进建议，从而保证实现企业的经营目标。