俗話說，天有不測風云，人有旦夕禍福。作為一個國家，常常會發生天災人禍；作為一個，涉及到人財物的配置組合、供產銷的市場需求、個人集體國家之間的利益分配、職工領導組織的企業文化，各種各樣矛盾錯綜復雜，各種各樣風險危機四伏，可以說各種風險無處不在、無時不有。那么，什么是風險？一般說來，風險是指在一定條件下和一定時期內可能發生的、不確定性的各種結果的變動程度。簡要地說，風險是指事先可以知道所有可能發生的后果以及每種后果發生的概率。

作為企業領導者來說，通常遇到的有： 1、籌資風險：企業籌集資金是生產經營等活動的起點，為了建設新項目或擴大生產經營規模，企業領導者必須作籌資決策：是招商引資還是借入銀行貸款呢？如果企業領導者決策正確、管理有效、效益明顯，就能達到籌資目標。但在市場經濟條件下，市場信息瞬息萬變，企業競爭日趨激烈，就有可能導致企業領導者決策失誤、管理措施失當，從而使籌集資金的經濟效益具有很大的不確定性，由此產生了籌資風險。2、投資風險：是指企業領導投資某些項目所取得投資收益的不確定性。企業領導在投資過程中的風險主要有：（1）投資項目風險：投資項目成功，可能獲得豐厚的投資效益；如果失敗，就要受到資金損失，投資風險很大。（2）資源風險：資源是保證投資發揮其能力的必要條件，缺少資源保證，就難以取得好的經濟效益。（3）市場風險：一定時期內投資者的經濟活動，由于市場的復雜多變，投資產品很可能出現產品銷路不暢、沒有市場等情況；投資股市，很有可能遇到股票熊市，長期低迷，忍痛割肉，損失巨大。（4）經營風險：投資效益不但受到市場需求的，而且在很大程度上取決于被投資企業經營管理水平的高低。（5）風險：任何企業的經營活動都不可避免地受到國家在一定時期內有關方針政策的影響，只有因勢利導，才能取得成功。3、資金回收風險：首先要求產品能順利實現銷售，其次要盡快收回資金，在經營資金流動中實現增值。這種轉化過程的時間和金額的不確定性，就是資金回收風險。

作為企業內部審計機構和內部審計人員來說，在審計工作過程中就存在著審計風險。按照〈內部審計具體準第17號-重要性與審計風險〉所稱“審計風險，是指內部審計人員未能發現被審計單位經營活動及內部控制中存在的重大差異或缺陷而做出不恰當結論的可能性。”審計風險按其原因可分為被審計單位風險和審計工作風險；按其風險的性質又可分為固定風險、控制風險和檢查風險。被審計單位風險是指被審計單位經營活動及內部控制中存在重大差異或缺陷的可能性。審計工作風險是審計人員在審計工作未能查明重大錯弊或作出了錯誤判斷應當承擔的風險，也就是檢查風險。而固有風險是指在審計工作中被審計單位存在差錯而未能發現的可能性。控制風險是指由于被審計單位內控制度不完善、執行不得力導致的風險。

為了對影響企業組織目標實現的各種不確定性事件進行識別與評估，并采取應對措施將其控制在可接受范圍內的過程，為組織目標實現提供合理保證，這就是內部控制中的風險管理。“風險管理包括以下主要階段：（一）風險識別，即根據組織目標、戰略規劃等識別所面臨的風險；（二）風險評估，即對已識別的風險評估其發生的可能性及影響程度；（三）風險應對，即采取應對措施，將風險控制在組織可接受的范圍內。”下面作者根據最近《內部審計具體準則第16 號—內部控制中的風險管理》和《內部審計具體準則第17號—重要性與審計風險》的體會，并結合郵政企業內控制度的現狀，談談對郵政企業中防范風險機制的幾點思考。

一、風險識別階段，最重要的是對審計風險進行確認和分類，主要解決企業究竟存在哪些風險因素，即企業風險形成的原因是什么。安東尼。斯蒂勒在其《審計風險和審計證據》一書中列出了表明企業或公司審計風險可能增加的七大類風險因素有：

1、 所在行業（1）競爭激烈；（2）變化快，例如高技術行業；（3）沒落行業，例如存在大量經營失敗；（4）國有企業；（5）由于政治、環境保護或其他原因受到限制等。

2、 所在的地理區域（1）政治不穩定；（2）在受貿易制裁的國家和地區有大量銷售和其它經營活動；（3）不便等。

3、 職員、組織和經營程序（1）盛氣凌人的高層管理部門或無效的董事會、審計委員會；（2）管理部門凌駕于主要的內部控制之上；（3）與高層管理部門所控制的業務或報告的業績相關的獎金或報酬；（4）有跡象表明高層部門個人財政困難；（5）過于樂觀的收入預測；（6）重要的訴訟；（7）復雜的公司結構與公司的經營或規模不相符合；（8）較為分散的公司由高度分散管理部門管理；（9）人員缺乏，需要某些職員加班或假日不休；（10）主要財務位置包括財務部長或主計長經常更換；（11）審計師或律師的經常更換；（12）內部控制中的已知重要弱點應當予以糾正但始終不予糾正；（13）非法活動或違背公司政策的活動未能得到糾正；（14）關聯方交易或者可導致利害沖突的業務；（15）在企業日常經營中因為相關服務向律師、顧問、代理人或其他人（職員等）支付不尋常的大筆金額；（16）不容易收集有關下列方面的證據：[1]異常或不能解釋的分錄；[2]不完整或遺漏的文件或授權；[3]文件或帳戶的變動 ；（17）不可預見的審計[1]客戶要求在非常短的時間內或困難的情況下完成審計；[2]不明原因的拖延；[3]管理部門對審計詢問的敵意或不切實際的回答等。（18）最近同行業其它公司披露的違法或有問題的事項；（19）存在大筆向外國政府的銷售；（20）與代理人或其他中介人來往明顯不同于與正常的打交道的客戶；（21）存在未經營的子公司、秘密銀行賬戶、其它秘密資金等等。

4、 收入和經營預測（1）銷售的質和量都在下降（信用風險增加、低于成本的銷售、較低的邊際利潤）；（2）經營實務中的重大變化；（3）經營的持續成功依賴于某一個或很少幾個新產品、客戶或交易；（4）缺少產品開發；（5）過度的閑置；（6）不切實際的生產目標；（7）生產設備更新緩慢、折舊率低；（8）分析復核程序反映的重大變動不能被合理解釋，例如：[1]與賬戶不一致的異常賬戶余額；[2]異常的存貨變動；[3]異常的存貨周轉率等。（9）尤其是在年底出現對收入有重要影響的大額或異常交易等。

5、 資產（1）資產價值的降低；（2）實物保障不充分，有擾亂經營的危險等。

6、 流動性和融資（1）現金流量不足；（2）經營資本不足；（3）在借款要求上缺乏彈性，例如，經營資本率低、額外借款受到限制；（4）權益資本缺乏；（5）獲取新的權益資本十分困難。

7、 不可預見的損失（1）購買和銷售合同；（2）分包協議；（3）擔保協議；（4）產品保證；（5）租賃合同；（6）外匯狀況；（7）保險保障等等。

在風險識別階段，關鍵在于郵政內部審計人員對企業所面臨的外部、內部風險是否已得到充分、適當的確認。需要確認的外部風險主要來源于以下因素：（1）國家法律、法規及政策的變化；（2）經濟環境的變化；（3）的快速發展；（4）行業競爭及市場變化；（5）災害及其他。內部風險主要來源于以下因素：（1）組織治理機制的缺陷；（2）組織經營活動的特點；（3）組織資產的性質以及資產管理的特點；（4）組織信息系統的故障或中斷；（5）組織人員的品質、素質未達到要求及其他。

根據以上七大風險要素或內、外部十大風險因素，現在郵政存在的各種各樣風險因素是很有必要的，也是很有意義的。郵政企業是國家開辦并直接管理（政企合一）的、利用運輸工具以傳遞實物載體的信息為主的通信行業，是現代進行、、、文化、等活動和人們聯系交往的公用性基礎設施的企業。經過幾十年的，我國現代郵政的業務種類已發展到五大類、幾十種：一是寄遞業務，包括函件、包裹、特快專遞、信函、機要通信；二是業務，包括儲蓄、匯兌、保險、劃撥、金融代辦；三是報刊發行業務，包括報刊、圖書、音響制品；四是集郵業務；五是信息服務業務，包括信息收集、音像租賃、電子商務等增值業務。我國郵政已經具備了一定的實力，但與經濟建設和社會的發展相比還存在很大的差距，郵政仍然面臨著嚴峻的挑戰和很大的經營管理風險。一是郵政管理體制落后，郵政普遍服務補償機制尚未建立，還沒有得到國家財政補貼；二是郵政經營機制不活，傳統的計劃經濟色彩濃厚，收入有水分、成本有掛賬，經營財務信息存在著失真現象；三是經營業務繁多，按郵政企業十大類業務專業核算，僅有一、二項業務有盈利，大多數業務存在著虧損；四是郵政企業核心競爭力差，人才流失、設備老化，投入大、產出少；五是郵政企業經營管理水平還有待提高。雖然現代郵政企業在現有國民經濟所有部門中是唯一同時具備信息流、實物流、金融流三大渠道功能的企業，但是郵政電子信息業務剛起步，其實力遠遠落后移動、網通和電信等企業；實物運輸：包裹競爭不過公路、鐵路企業，特快專遞競爭不過航空公司；郵政儲蓄業務雖然規模很大，全國郵儲余額上萬億元，和幾大商業銀行相比有一定競爭能力，但還存在著轉存款利率政策調整風險、全員營銷安全風險和金融調控調息等金融風險；現代郵政可持續發展戰略還有待探討。同時，郵政企業有很多郵運車輛，安全隱瞞不少，存在著不安全人身、車禍風險；郵政儲蓄業由于外部安全設施不到位、存在搶劫客戶存款，內部控制制度失控、存在監守自盜、攜款潛逃等金融安全風險；還有個別郵政支局違規收寄化學品等易燃、易爆炸危險物品可能造成危害社會安全的風險等。為此，郵政企業要建立防范各種風險的機制：作為郵政企業組織管理層要對單位的經營規模、經營風險及各項業務的性質、內控制度的重要性作出判斷，并負責確定可接受的風險范圍，建立、健全風險管理機制并使之有效運行。，郵政企業防范各種風險的職能機構大致分工是：局長辦公室通過貫徹執行全面質量管理ISO9000把內部控制制度的納入各科室、班組責任制中；業務經營監督檢查，由公眾經營服務部門的視察員負責；財務檢查，由計劃財務部門的會計檢查員負責；企業發生人身、車輛事故、經濟案件，由安全保衛部門負責；各種民事訴訟案件，由顧問部門負責；違法亂紀事項，由行政監察室負責；財務審計、工程審計、經濟責任審計等，由各級審計部門負責。內部控制制度沒有作為一個系統工程要求作出制度性安排，內控制度零零星星、不完整、不系統，各個部門分兵把口，各行其是，不成系統，成效甚微。所以，企業風險管理作為一個系統工程，應當建立一個風險管理機構：企業風險管理（評估）委員會，對于企業經營管理中內控制度執行情況及薄弱環節、存在進行認真評估，例如；對新建工程項目投資風險的控制；對郵政各專業應收帳款的風險評價與管理；對郵政儲蓄內部作案人員風險防范的研究與控制；對財務收支不實、經營財務信息虛假的治理；局（廠）長經濟責任審計中發現的問題等各種各樣風險，必須進行認真評估和研究整改，從而研究改進內控制度，提高經營管理水平，實現企業經營目標。最近，李金華審計長在全國內審協會第五次會員代表大會上指出：“當前經濟生活中違法問題屢禁不止，經濟犯罪、貪污腐敗時有發生，重要原因之一就是一些部門、一些企業、一些單位輕視內部管理，有些內部控制制度形同虛設、蒼白無力。我們將在企業審計的指導思想上有一個較大的轉變和調整，要把對企業的審計監督，更多地體現在幫助企業糾正問題、促進企業加強內部控制、提高管理水平和經濟效益上來。”這是很切中時弊的。

二、風險評估階段，作為郵政企業內部審計人員一定要對郵政企業的內部控制制度現狀搞清楚。所謂郵政企業內部控制評價，就是對郵政企業內部控制體系建設、實施和運行結果獨立開展的調查、評估、測試和分析的系統性活動。內部控制評價包括過程評價與結果評價。過程評價側重對內部控制過程的充分性、合規性、有效性、適當性的評價，結果評價是對內部控制主要目標實現程度的評價。評價時必須遵循的原則是：系統性、獨立性、公正性和重要性等原則。內部控制評價的內容有：內控環境、風險識別與評估、內控措施、監督評價與糾正、信息交流與反饋等方面。那么，怎么樣評估各種審計風險呢？首先，要重點關注兩個要素：（一）各種風險發生的可能性；（二）風險對組織目標的實現產生的嚴重程度。郵政企業應當建立起國家局、省局、市郵政局為主體的公司式治理組織結構，制定一整套嚴密的內部控制制度，保證各機構規范運作、分權制衡；應當在相關管理職能和層次上建立并保證實現內部控制目標，建立分工合理、職責明確、報告關系清晰的組織結構。郵政企業的主要風險包括信用風險、業務操作風險、市場風險、國家政策風險、利率風險、資金流動風險、法律風險以及聲譽風險等，應當建立和保持書面程序，以持續對各類風險進行有效地識別與評估；應當確定需要重點控制的經營業務和管理項目，依據所采取的控制措施或已有的控制程序對這些重點業務和項目加以控制；應當建立并保持書面程序，通過適當的監測活動，對內部控制成敗進行持續監測，同時應當對違規、險情、事故的發現、報告、處理和糾正、預防等防范措施作出規定。同時，企業內審機構應針對企業內部控制體系所存在問題的性質及嚴重程度，分別采取相應的監督措施，以取得實效。實際上審計風險具有客觀性，內審人員要控制審計風險，將其降到最低限度，就必須對審計風險的各種因素作出判斷和評估，要恰當地確定總體風險水平。因此，審計風險評價的關鍵是確定一個審計風險的可接受標準。英國的E.伍爾夫曾指出：“由于客觀條件的限制和人們長期以來對衡量總體審計風險水平的可接受標準問題不重視，審計職業界一直不能確定一個統一的審計風險的可接受標準，這是一個很值得研究的課題。我們由于資料的限制，也無法得出這方面的結論，我們認為審計風險的可接受標準可定為5%，社會可接受的損失程度以保險公司的保費率為準”。國外一般將期望總體審計風險水平確定在5%，它意味著審計人員有95%的把握確信或保證作出的審計結論是正確的。審計人員隨著審計過程的進展和新信息的獲取，還應對預期審計風險水平作出適當的修正。其次，在確定固有風險時，除了考慮每個帳戶本身有著不同的固有風險外，還要考慮1、客戶的財務狀況和管理部門的誠實性。當客戶的財務狀況不佳，管理部門缺乏誠實性時，不僅使某些帳戶的固有風險上升，還會使控制風險上升。2、客戶外部環境的變化。如果所在行業經濟條件惡化，有可能拖欠三角債嚴重，故應收帳款的固有風險就很高。另外社會經濟、會計制度、會計政策的發展變化，也使某些時期的固有風險提高。為此，審計人員在審計實務操作中，寧可高估固有風險，一般對審計風險持特別謹慎的態度。再次，確定控制風險。控制風險取決于企業內部控制的有效性。對于固有風險、控制風險，我們審計人員只能評估、不能控制。為此，必須在被審計單位完成以下工作后，審計人員才能作出恰當的估計：1、了解和描述該企業的內部控制的現狀；2、初步評價控制風險；3、進行符合性測試，必要時還進行實質性測試。每個單位都不同程度地存在著內部控制活動，審計人員完全可以將控制風險確定在一定的水平上。4、檢查風險的確定。審計人員的檢查風險的確定取決于該單位固有風險和控制風險的水平，企業有效的內部控制可以減少會計記錄和經濟業務處理中出現錯誤的可能性。當該單位固有風險和控制風險較低時，審計人員完全可以接受較高的檢查風險，能滿足期望審計風險的要求。并采取必要的審計程序和審計來控制審計風險，提高審計結論的可靠性。為此，內審人員在實施審計項目時，一定要注意：1、制訂詳細的審計方案，遵循嚴格的審計程序。2、在一定的審計風險水平上，取得充分、可靠、有力的審計證據。3、正確評價被審計單位內部控制的可依賴程度，合理地確定控制風險。4、考慮被審計單位的環境和經濟現狀，運用統計抽樣等技術方法，保證審計結論的可靠性。5、加強對審計工作底稿的復核和檢查，確保審計工作的質量。6、加強對審計人員的后續教育，審計實務中的經驗教訓，提高審計人員職業判斷和分析問題的能力、水平。

三、風險應對階段，審計人員在評價風險應對措施的適當性和有效性時，應當考慮以下因素：1、采取風險應對措施之后的剩余風險水平是否在組織可以接受的范圍之內；2、采取風險應對措施是否適合本組織的經營、管理特點；3、成本效益的考量。然后，根據風險評估結果作出主要應對措施：1、回避，是指采取措施避免可發生風險的活動，如購買股票、信件丟棄事件等；2、接受，是指由于風險已在組織可接受的范圍內，因而不采取任何措施，如已發生的交通車輛安全事故等；3、降低，是指采取適當措施將風險降低到組織可接受的范圍內，如經營信息失真現象等；4、分擔，是指采取措施轉移風險，如：向保險機構繳納人身、財產安全保險費用等。審計人員應當向被審計單位的適當管理層報告審查和評價風險管理過程的結果，并提出積極的內部控制改進建議，從而保證實現企業的經營目標。