风险管理审计实务初探
摘要:20世纪末以来,随着知识经济的到来和世界经济全球化的加剧,企业面临的风险越来越大,风险管理逐渐发展成为企业管理的核心,风险管理审计已成为当前企业内部审计工作面临的新课题。鉴于此,从风险管理审计的背景、风险及风险管理审计的含义、风险管理审计的工作步骤、开展风险管理审计需要具备的条件等几个方面进行了初步的探讨。
关键词:风险管理;内部审计;风险管理审计
一、风险管理审计的产生背景
20世纪末以来,随着知识经济的到来和世界经济全球化的加剧,企业面临的风险越来越大,其中既包括内部管理不善、人为损害的风险,也包括外部环境变化造成的风险,同时包括可能出现的不可预知的自然灾害风险。诸多方面的风险导致企业的经营面临重大不确定性,稍有不慎,就会遭到风险袭击而造成巨大的损失。为了避免风险损失的发生,企业管理层必须以一种战略的眼光观察、管理自己的企业及其所面临的风险,风险管理逐渐发展成为企业管理的核心。
2001年的内部审计实务标准对内部审计做出了全新的定义:“内部审计是一种独立、客观的保证和咨询活动。其目的在于为组织增加价值和提高组织的运作效率。它通过系统化和规范化的方法,评价和改进风险管理、控制和治理程序的效果,帮助组织实现其目标。”2006年6月15日,中国内部审计协会副会长兼秘书长易仁萍在浙江省进行内部审计工作调研时指出:企业发展到一定程度,在好的进程中,要树立风险意识,内部审计要在风险管理中充分发挥作用。2006年6月20日,中国内部审计协会会长王道成在介绍内部审计工作情况时指出:内部审计正处于从以财务收支审计为主的审计模式向以内部控制和风险管理为主的审计模式转变。
由此可以看出,随着时代的变迁,社会赋予了它新的使命。内部审计的根本目的是增加企业的价值。内部审计作为企业的“免疫系统”,站在企业特有的高度上,自然而然应成为各种风险的强有力防线。内部审计人员参与到企业风险管理是其义不容辞的责任,风险管理审计已成为内部审计人员面临的新课题。
二、风险管理及风险管理审计的内涵
(一)风险管理
风险管理是对影响企业目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的过程。风险管理是组织内部控制的基本组成部分,既可以从企业的总体来认识,也可以从一个单独的部门角度认识,它为实现企业目标提供合理保证。风险管理过程共包括风险识别、风险评估、风险应对三个阶段。
(二)风险管理审计
企业风险管理审计是指企业内部审计部门采用一种系统化、规范化的方法来进行的,以测试风险管理信息系统、各业务循环以及相关部门的风险识别、分析、评价、管理及处理等为基础的一系列审核活动,对企业的风险管理、控制及监督过程进行评价进而提高过程效率,帮助企业实现目标。企业风险管理审计是一种现代管理审计模式,与传统的企业审计活动相比较,有其自身的特点。
1.审计内容和思路发生转变
内部审计由账项基础审计发展到制度基础审计、风险管理审计,审计内容和思路发生重大转变。账项基础审计是对具体交易事项进行审查测试;制度基础审计是对内部控制进行评价和符合性测试;企业风险管理审计是对风险管理活动进行评价和测试。
2.内部审计职能发生转变
传统的内部审计职能主要是以后监督为主;风险管理审计职能是对企业所面临的内外部风险事前的评估和防范,强调确认风险并测试风险是否得到有效控制。
3.企业风险管理审计的方法更加科学、先进
企业风险管理审计是利用战略和目标分析的结论,确定关键风险点进行风险评估,采取必要的措施降低或消除风险。企业风险管理审计还广泛运用数学分析、统计分析和计算机等技术方法,使审计工作更加简单、快捷。
4.企业风险管理审计的目的更加明确
企业风险管理审计主要目的在于揭示企业的各种风险因素,降低和防范各种风险,提高企业的经济效益,增加企业价值,协助企业决策者和管理层达到预期的经营目标。
三、风险管理审计步骤
内部审计部门参与风险管理是在其他部门风险管理基础上的再监督,应实施以下步骤:
1.风险识别是风险管理的第一阶段,是根据企业目标、战略规划等对所面临的以及潜在的风险进行判断,也就是确定企业正在或将要面临哪些风险。正确识别风险将为成功的风险管理奠定基础。
内部审计人员应当实施必要的审计程序,对风险识别过程进行审查与评价,重点关注企业面临的风险是否已得到充分、适当的确认,面临的主要风险是否均已被识别出来,并找出未被识别的风险。采用的方法包括决策分析、可行性分析、生产流程分析、投入产出分析、资产负债分析、因果分析、风险专家调查列举法。
2.风险评估是风险管理的第二阶段,是对已识别的风险评估其发生的可能性及影响程度。审计人员通过对各种风险的识别,了解各种风险的类型及其产生的原因,进一步确定这些风险将会对审计结果与被审计单位产生多大的影响,即评估已识别的风险,估测发生的可能性及影响程度。风险评估是整个风险管理审计过程中关键的一环。
内部审计人员审查与评价风险评估过程时重点关注两个要素:风险发生的可能性及风险对企业目标的实现产生影响的严重程度。审计人员对风险的评估一般采用定性或定量的方法。定性方法,是指运用定性术语评估描述风险发生的可能性及其影响程度;定量方法,是指运用数量方法评估并描述风险发生的可能性及其影响程度。内部审计人员既可对企业整体风险管理进行审查与评价,也可以对职能部门风险管理进行审查与评价。
3.风险应对阶段,是风险管理的第三阶段,是风险管理的最终目的。在识别和估价风险之后,进入风险应对阶段。在风险应对是指采取应对措施,将风险控制在组织可接受的范围内。在风险应对阶段,内部审计人员应当实施适当的审计程序,对风险应对措施进行审查,检查其是否充分、得当,对于不合理措施提出改进建议。一般来讲,风险应对措施一般包括避免风险、分散风险、风险分担(包括保险方式和非保险方式)。
4.风险接受。风险接受是指企业实施一项方案的风险导致损失的概率和可能产生损失的幅度在企业可接受的范围内,企业愿意承担,这种情况下可以不采取任何措施。
在风险控制活动中,企业要根据不同的风险来选择应对措施,对于有回报的风险,可以采取分散风险、转移风险、接受风险的办法。在采取接受风险时,要考虑风险与回报的关系,尽可能采取控制措施,降低风险到可以接受程度。
一般而言,为了控制经营风险,企业要设计业务控制程序来限制、降低风险,内审人员在进行风险管理审计时,应测试这些控制程序是否得以有效执行。针对有回报的风险应对措施,要分析和评价风险回报的合理性、减少风险措施的有效性,以及采取分散风险、转移风险、接受风险所要承担的风险程度。
四、开展风险管理审计需具备的条件
(一)公司高层管理人员的高度重视
公司管理层从思想上重视公司内审部门,不能把内部审计部门当做“摆设”、“消防员”,对内部审计机构在企业风险管理中的作用要给予充分的肯定,充分认识到风险管理审计是强化风险控制的重要手段,建立独立、合理的组织机构,配备相应的审计资源。
(二)审计机构的内部审计职能更新
内部审计机构自身实现观念更新,将工作职能从传统监督职能、经济责任审计职能延伸到规避企业风险的管理审计职能。制定风险管理审计的工作规范,如结合公司的实际情况制定风险管理审计工作实施办法及相应的审计工作操作指南等。将风险管理审计纳入年度审计工作计划,充分考虑管理层的经营方针、目标和工作重心,使年度工作计划与企业最高层的战略风险一致,具体审计计划与具体经营风险相一致,从独立客观的视角为公司管理层评价公司的风险管理活动,针对发现的漏洞和存在的问题,及时提出整改意见和建议,提高企业的风险管理水平,为防范企业将来可能出现的风险做好准备。
审计机构应加强沟通与宣传,与管理当局保持密切联系,参加管理当局的重要会议和有关研讨活动,及时、准确地了解企业的业务运作情况,加强与相关业务部门的联系,取得他们的理解和支持。
(三)对审计人员提出更高的要求
风险管理审计涉及企业整体和职能部门两个层面,既要求审计人员从战略高度认识企业的风险,同时又应该熟悉企业各项工作流程,具备洞察具体经营风险的能力。风险管理审计对内部审计人员的素质提出了更高的要求。
首先,内审人员应该具备广博的知识,不仅具备财务、审计专业知识,还要具备管理学、计算机应用科学等相关知识;既要了解产品特点、行业背景,又要了解企业生产流程、管理流程,市场现状和发展前景。内审人员要有强烈的求知愿望和学习能力,努力培养多元化的专业技能。王光远教授曾形象地称,“做内部审计,既应有书生之见,也应有头衔之见、街头之见。”
其次,内审人员应该具有较强职业素养,具备良好的逻辑、综合思维能力,对审计事项能够做出正确的分析、判断,对问题有较强的宏观把握和驾驭能力;与管理层、相关业务部门、被审计单位建立良好的沟通,取得理解和信任,树立审计部门的形象与威信;具有客观公正的心态;具有强烈的团队意识,充分认识到审计工作的集体性,明确自己所承担角色和任务,在团队中实现自己的价值。
企业开展风险管理审计是内部审计科学发展的客观规律,是内部审计的新课题。内部审计人员肩负着历史重任,在今后的实际工作中要不断探索,有意识地推动风险管理审计的发展,充分发挥内部审计职能作用,为实现企业经营目标尽一份力量。
参考文献:
[1] 王光远。受托管理责任与管理审计[M].北京:中国时代经济出版社,2004。
[2] 石贵泉,王凡林。现代内部审计理论与实务[M].济南:山东人民出版社,2005。