随着企业风险管理工作越来越受到重视，作为风险管理的重要组成部分——风险库也逐步走进了管理层的视野。

企业风险库收集、归类、跟踪已识别的各类风险信息，能够帮助管理层特别是内部审计部门了解、掌报企业的风险现状及变化趋势，是企业风险管理的重要工具。同时，在实践中由企业内部审计部门承担风险管理工作的情况也屡见不鲜。

为此，如何建设及运行企业风险库就成为摆在内部审计部门面前的重要课题。

1、先易后难、逐步扩展原则。

企业风险库建没涉及企业管理和运营方面，内容包括内部控制风险、运营风险、市场风险、财务风险、安全风险、法律风险等，其建设与完善绝非一蹴而就。作为企业内部审计部门，可采用电子表格形式，先将比较熟悉的内部控制风险、运营风险、财务风险等类风险纳入风险库进行监管，待条件成熟后再将其他风险逐一纳入企业风险库进行跟踪管理。

2、形式规范原则。

企业风险库是企业风险管理的一个重要工具，承载着企业风险的识别、评估与应对工作。同时也是一项重要资源，企业管理层能够从中获取有用的管理信息和风险提示。因此，风险库的形式必须规范，既能承载企业风险管理的日常工作和信息，又能让相关部门在日常业务中借鉴。

3、定期维护原则。

在风险库建立后，运行维护工作成为关键。没有日常运行维护的风险库，即使建立时风险数据比较全面，也将逐步脱离企业实际情况，失去其价值。维护周期视企业具体情况而定，但不能少于每月一次。

4、信息化辅助管理原则。

随着企业风险管理工作逐步完善，风险库数据量快速增大，日常维护工作耗费大量人力，运行成本大幅增加;风险库应用在企业内逐步推广，维护及使用部门增多，电子表格的协作性功能受到考验。因此，风险库载体由电子表格向专业软件演化将是发展趋势，内部审计部门在风险库设计及日常运行时应充分考虑这一因素。

必要的人员配置和项目预算是风险库建设和运行的前置条件，决定了风险库建设和日后运行状态的优劣。

内部审计部门应充分意识到风险库在风险管理工作中的重要性，成立项目组，安排专门人员结合企业实际情况和相关法律法规，制订风险库建设的步骤、方法等计划;报批项目组人员配置、工作职责、项目预算等;拟订风险的搜集、分类、分级、录入、运维办法等。

风险数据库建设人员应包括内部审计、内部控制、法务、财务、企业管理等人员；后期维护人员应不少于一人，可视企业规模设为兼职，但必须有确定的人员和工作职责。风险库在内容和要素方面应包含以下内容：

1、内容方面。

风险库应当包括但不限于战略风险、内部控制风险、运营风险、市场风险、财务风险、安全风险、法律风险等，细分之下还包括生产风险、政策风险、道德风险等。风险的纳入应遵循先易后难、逐步扩展原则。

2、要素方面。

风险库应有风险的名称、描述、分类、等级、控制流程、主控部门、应对措施、状态等要素，内部审计部门可以根据企业实际情况适当增补部分项目，以达到对风险进行充分管控的目标。

风险名称应简单易懂；风险描述内容应具体明确；风险分类原则上按内容区别，如内部控制风险、市场风险、法律风险；风险等级评定要考虑具体风险的年发生频次及每次发生的损失金额；风险控制流程根据企业实际业务流程填写；风险主控部门同时也是风险应对的主要责任部门；风险应对措施不仅包括风险主控部门报送的应对措施，还包括内部审计部门对应对措施落实的检查情况；风险状态以风险管理的各个阶段确认，如识别、评估 , 应对、跟踪、结案等。

风险库运行的基本方式是以数据库作为支撑，通过识别、评估、应对、监控企业风险，对企业管理层提供建议，使管理层能够较快做出科学合理的风险决策。同时，跟踪风险的发展状态，实现企业动态风险管理。风险库的运行工作主要包括以下几个方面：

1、识别风险，甄选人库。

风险的识别可依据相关的资料和以前的审计发现，使用清单法、调查法、流程图法和事件树法等进行。通过上述方法并广泛走访调查，能够相对全面地识别企业面临的风险。

在经过风险识别后，得出企业运营中的常见风险，进而根据识别出的风险进行甄选，优先将其有管理效益的风险纳人企业风险库。在确定风险等级时，应考虑年发生频次和每次可能损失的金额。当风险项目需要采用总分类管理时，可以采用电子表格的分组功能实现。

2、评估风险，组织应对。

内部审计部门应对已纳入风险库的风险项目进行分析，明确风险主控部门和控制流程，并督促风险主控部门制定出相应地风险应对策略和具体措施。在应对策略方面，可供选择的有风险回避、风险预防、风险转移等。

风险主控部门应根据实际业务情况和可能发生的损失，制定具体应对措施。内部审计部门应对制定的应对措施进行审核和评估，以确认是否能够达到企业决策的风险管理目标。

3、监控风险，跟踪落实。

内部审计部门应在企业运营过程中，持续对风险情况进行监控和跟踪。主要途径有风险主控部门定期汇报、日常走访了解、专项审计报告确认等。监控的主要内容包括已识别风险变化情况、风险应对措施实际落地情况和应对风险效果、残余风险和衍生风险情况。针对风险应对措施实际效果考虑是否追加或减少措施。

4、信息共享，全面管理。

内部审计部门定期整理风险库数据，形成报表传达各风险主控部门，内容包括对各个风险的评估、决策、应对措施和处置结果。风险库日常对风险主控部门和相关管理部门开放各自业务范围内的风险信息权限，能够有效提高工作效率并促进风险管理规范化、制度化，达到全面风险管理的最终目标。

综上所述，企业风险库的建设及应用以防范和解决企业风险为主线，通过系统评估和记录企业内部控制漏洞和风险状况，评判应对措施，有利于加强企业内部控制工作和增强管理层的风险意识。风险库对于企业建立完善先进的风险管理体系，健全经营管理机制，实现风险可控、能控、在控具有重要的现实意义。

本文摘自《中国内部审计》

转载自：风控在线