第六章风险管理与公司治理审计
第一节风险管理审计的内容
一、什么是风险
(一)定义
国资委在《中央企业全面风险管理指引》中将企业风险定义为未来的不确定性对企业实现其经营目标的影响。【名】IIA新颁布的IPPF将风险定义为:“指对实现目标有影响的事件实际发生的可能性,风险通过影响程度和发生的可能性来衡量。”【名】
(二)风险分类
风险在企业经营活动中有不同的表现,国资委将企业风险分为:战略风险、财务风险、市场风险、运营风险和法律风险五个主要部分。【答】
二、风险管理
企业风险管理是指围绕企业风险去管理策略目标,针对企业战略、规划、产品研发、投融资、市场运营、财务、内部审计、法律事务、人力资源、采购、加工制造、销售、物流、质量、安全生产、环境保护等各项业务管理及其重要业务流程,通过执行风险管理基本流程,制定并执行的规章制度、程序和措施。【名】其含义是“识别、评估、管理和控制潜在事件或情况的过程,目的是为实现组织的既定目标提供合理保证。”风险管理过程可以用下列模型表示。
三、企业风险管理的八大要素【论】
企业风险管理有八个相互关联的要素,这八个要素形成了一个全面性的行动架构。
(一)内部环境
企业的内部环境是风险管理的基础,内部环境不仅会影响到策略及目标的设定、活动的设置,而且影响到对风险的辨认、评估及回应。内部环境由多种因素组成,如道德观、人员、管理者的经营理念及风险管理的态度和文化。
(二)目标设定
即规定设定目标的程序并确认目标、策略及风险承受之间的一致性。企业目标可以从以下几个方面确定:1.策略:有关企业整体的目标及使命。2.营运:有关效率、绩效及获利能力。3.报导:有关内部及对外部的报导。4.遵循:有关法令及规章的遵循。
(三)事件辨认
企业经营环境充满不确定性,没有任何企业可以100%地确定特定事项是否或何时发生及其结果将会如何。通过事项辨认的程序,管理者将思考所有会影响其策略及目标达成的内部及外部因素,并将潜在事项加以分类。管理者还要对这些事项之间的相关性进行分析和了解,并且获得充足的资讯作为风险评估的基础。(四)风险评估
风险评估是指辨认并分析影响目标达成的各种不确定因素。【名】风险评估着重于对潜在事项发生的可能性及其影响程度进行分析和评估,并要分析和评估潜在事项对目标实现的影响。虽然一个单一事项的影响可能很小,但是一连串的事件可能使影响程度增大。风险评估同时使用定性与定量的方法来评估潜在事项的不确定
性程度。
(五)风险回应
当风险被辨认及评估之后,管理者必须思考可能采取的风险回应方式及其影响,评估时应同时考虑风险承受度及成本效益。为了达到有效的风险管理,所选择的风险回应方式不能超出企业所能承受的风险范围。
风险回应方式,主要有回避、降低、分摊及接受,当然还有转移、集中等其他方式。管理者决定了管理风险的方式之后,必须将其转化为有效的行动,制订执行计划并且评估计划执行后的剩余风险。【答】
(六)控制活动
内部控制的政策及程序是为了确保风险回应方式的有效执行。每个企业的目标及达成目标的方法不同,所以控制活动也不相同,而且控制活动还反映了企业经营的环境、产业特征、内部组织、内部控制及文化等。一般控制通常包括了对rr管理架构、软体的购置及维修、资料存取的安全等控制;而应用控制的目的则是确保资讯处理的完整、正确及有效。
(七)资讯及沟通
组织的每个层级在辨认、评估及回应风险口守都需要取得来自内部及外部的暹当资讯。资讯取得后,应及时而详尽地提供给管理者,帮助他们快速而有效地拱行任务。有效的沟通既包括内部从上至下或从卞奎上的沟通,也包括对客户、倒应商、政府单位及股东等外部团体的资讯沟通。
有效的企业风险管理必须依赖于历史资讯及现时资讯。从历史资讯中可追踪实际经营结果与目标的差异并找出趋势,同时也能提前察觉到与风险相关的潜在事项。而现时资讯则能够反映已存在于作业程序或作业单位风险的及时资讯,使企业能够依据风险承受度改变其所进行的营运活动。
(八)监督
监督的作用在于确保企业风险管理的各个构成要素在组织的每个层级一致执行。监督进行的方式包括持续监督及个别监督。持续监督是建立在营运活动之中,并且随时不断进行;个别监督是在事实发生之后才进行。相比之下,持续监督的机制更能够迅速地发现问题。
所有可能影响企业目标实现的风险——不管这些风险所显现出的潜在问题或机会都应该让相关的决策者知道,所以建立一个适当的资讯传递机制,让执行决策的人员有效地执行决策是相当重要的。
企业风险管理是一个相互关联的程序,只有八个要素同时存在并能顺利地运作才能发挥其作用。当然,任何一种风险管理程序,不论其设计及执行多好,都不能对结果加以保证,但一定有助于管理阶层增加实现目标的信心。
四、风险管理审计的内容
风险管理审计与风险导向审计的内涵截然不同。风险管理审计的涵义是“对组织的风险管理进行审计”。对于企业来说,这里的风险,是指“企业风险”,主要涉及“经营风险”。在风险管理审计框架下,“风险管理”是审计的客体和对象。风险导向审计是作为继账项基础审计、制度基础审计之后一种新的审计模式,其中的风险指的是“审计风险”,其含义更加倾向于审计主体。【答】
根据我国《内部审计具体准则第16号——内部控制中的风险管理》的要求,基于风险管理过程主要包括风险识别、风险评估、风险应对三个主要阶段的考虑,对风险管理的审计亦应围绕这三个方面展开。内部审计机构和人员应当充分了解组织的风险管理全过程,审查和评价其适当性和有效性,并提出改进建议。
(一)风险识别审计
内部审计人员应当实施必要的审计程序,对风险识别过程进行审查与评价,重点关注组织面临的内、外部风险是否已得到充分、适当的确认。
(二)风险评估审计
内部审计人员审查与评价风险评估过程时,应重点关注两个要素:(1)风险发生的可能性,(2)风险对组织目标的实现产生影响的严重程度。
(三)风险应对审计
内部审计人员应当实施适当的审计程序,对风险应对措施进行审查。根据风险评估结果作出的风险应对措施主要包括以下几个方面:1.回避,是指采取措施避免可产生风险的活动;2.接受,是指由于风险已在组织可接受的范围内,因而不采取任何措施;3.降低,是指采取可行措施将风险降低到组织可接受的范围内;4.分担,是指采取措施转移风险。【答】
五、与内部控制审计的比较研究
不能单纯地从COSO的“五要素”或“八要素”角度简单确定内部控制审计与风险管理审计的关系,对于同一个企业来说,内部控制与风险管理的直接载体都是企业的经营活动,控制与风险管理的边界都是企业的法人边界,控制是管理的职能。因此,可以推断,内部控制自然也是风险管理的一个机制,内部控制重心在企业的高管层之下(经营活动),风险管理的重心在高管层之上(战略设计、决策),内部控制主要关注不相容职务是否分离,风险管理主要关注经营目标实现过程中的不确定性;内部控制是风险管理的主要机制,但不是全部;合谋舞弊时内部控制无效,需要风险管理辅之。在这样的基础上甄别内部控制审计和风险管理审计,可以得到如表所示之结论。
表:内部控制审计与风险管理审计的关系【论】
多相似之处,只是重点和审计角度在一定程度上有所不同而已。可以说,风险管理审计是内部控制审计的发展和延伸。
六、内部审计在企业风险管理过程中的角色和责任【论】
内部审计在企业风险管理过程中的核心作用是就企业风险管理过程的有效性提供确认服务和咨询服务。
(一)确认服务。主要包括:1.对风险管理过程的确认服务,2.对正确识别风险的确认服务,3.评估风险管理过程,4.评估关键风险因素报告,5.评估关键风险因素管理。
(二)咨询服务。在咨询服务方面,内部审计应充当企业风险管理过程中的咨询者、建议者、协调者角色,主要包括:1.帮助识别和评估风险,2.指导管理层应对风险,3.协调风险管理相关活动,4.加强对风险的报告与披露,5.保持和完善企业风险管理框架,6.支持企业风险管理的建设,7.在董事会批准的前提下,协助制定风险管理战略。
第二节风险管理审计的途径与方法
风险管理审计从工作的第一步开始就要考虑可能影响企业目标实现的风险,并将这种风险意识一直贯穿于整个审计过程之中。
一、风险识别
风险识别是企业风险管理审计的第一步,是对企业面临的、以及潜在的风险加以判断、归类和鉴定风险性质的过程。
二、风险评估的内容与方法
(一)风险评估的主要内容
风险评估是对已识别内部和外部风险的分析确认和衡量。其主要内容包括风险损失频率估计和风险损失程度估计。
(二)风险评估的方法
风险评估的方法有很多,但大体说来可以分为定性分析和定量分析两种方法。
三、基于风险评估的审计计划
制订计划分为两步:评测可利用的资源、风险分析及风险排序【答】
风险分析审计的要点:从因果两个方面去分析风险发生的可能性和影响程度;所采取的定性、定量分析标准和方法是否科学合理;是否根据风险分析的结果进行专业判断和风险排序。【答】
四、基于风险矩阵图与风险测试的审计实施
(一)充分运用风险评估技术,估计风险严重程度和发生的可能性。
(二)数字化的风险测试与风险评价
审计测试是审计实施阶段的主要内容,意味着通过将选择的项目变成证据。对内部控制制度进行测试,需要经过穿行测试和小样本测试两个主要阶段。其中,穿行测试可以通过两种途径达到:一是“凭证穿行测试”,即根据组织的记录来追踪整个活动过程;二是“程序穿行测试”,即由审计人员对活动的每一步进行一到两次的测试。穿行测试是从控制点的分析开始的,审计人员针对项目建设活动中的控制点,对项目建设活动分层进行测试。小样本测试的实质是选择少量的行为活动进行测试,其目的是检查内部控制制度实施的有效性程度,即实际活动效果是否达到了预期的目标。
(三)前瞻性的风险管理审计报告
与常规业务审计报告不同,因不确定性的存在,风险管理审计报告也存在“风险”。如何突出审计报告的前瞻性和可用性?如何体现不同使用者对风险管理审计报告的不同需求?如何降低风险管理审计报告的风险?诸多问题需要讨论和关注。
五、可以借鉴的工具方法
(一)风险坐标图(又称为风险矩阵图)
(二)蒙特卡罗方法
(三)关键风险指标管理、
(四)压力测试
第三节风险管理审计案例分析
1.资料:
某企业2014年1月投产一条年产30000台车载设备生产线,投资100000万元,预计年投资收益15000万元;2015年初,风险管理部门对该生产线进行风险评估。在调查中发现,该生产线生产的设备虽然全部销售,但是,销售车载设备获得的投资收益仅6000万元。
要求:(1)根据上述情况,辨识投产新的车载设备生产线是不是一个风险事件,为什么?(2)可能导致的风险因
A公司是美国一家拟上市的食品生产公司,该公司董事会目前正在审查公司的内部控制系统。A公司管理层一直致力于实现最高水平的内部控制,以使股东对公司的管理层更加有信心,同时提高A公司的社会信誉。但是最近A公司的信誉由于内部出现的事件而受到了负面影响。事件的起因是,一种酸奶制品的部分批次所包含的菌群和菌落超出了相关食品安全标准的规定,食品生产质量检验部的一名员工对外进行了披露。该员工曾就此问题向其所在部门的领导进行反映,但并未得到任何答复,遂向媒体投诉。在接受媒体采访时,该员工指出,A公司的工作作风一向不够严谨,此次漠视食品安全标准规定只是公司对待类似问题的一个例子。要求:确定A公司目前遭受风险的类型,并评价这些风险对A公司可能造成的影响。
3.资料:
美游旅行社从事旅游服务业务,注册资本1000万元人民币,报表中流动资产和负债多,固定投资少,经营成本以人工成本为主。内部审计师王某对2013年美游旅行社的财务报表进行审计。2013年11月间,美游旅行社招揽春节旅游团92团,每团平均20人,预收团费约2000万元,预定2014年2月8日开始陆续出游。在审计2013年美游旅行社财务报表时,内部审计师王某并未发现报表存在重大错报、舞弊或内部控制缺陷,但在执行分析程序时,发现美游旅行社流动比率偏低,资金可能不足。内部审计师王某于2014年2月6日完成对晋美财务报表的审计工作,准备撰写内部审计报告。不料,晋美旅行社于2014年2月8曰不能如约组团旅游,受害人聚集美游旅行社抗议,并声言拟聘请律师告美游旅行社,大众传媒广为报道,内部审计师王某从电视和报纸新闻中得知此事。据报道,由于晋美旅行社预收团费被挪作偿债之用,没有剩余资金用于支付春节旅游团的团费。
要求:(1)企业经营风险与审计风险有什么不同?内部审计师在审计中应考虑哪些风险?(2)结合本案例分析内
4.资料:
2008年12月25日,A市政府举行新闻发布会,通报S集团股份有限公司破产案处理情况。SL牌婴幼儿配方奶粉重大食品安全事故发生后,S集团于2008年9月12日全面停产。截止2008年lO月31日财务审计和资产评估,S集团资产总额为15.6l亿元,总负债17.62亿元,净资产一2.01亿元,经中国品牌资产评价中心评定,价值高达149.07亿元的SL品牌资产灰飞烟灭。S集团倡导的企业文化是为提高大众的营养健康水平而不懈地进取。其宣传资料显示,多年来S集团以履行社会责任为己任。带领8万多户农民脱贫致富,吸纳5万下岗职工和80多万农村剩余劳动力,S集团“与奶农形成了稳固的利益联合体”。s集团的原奶采购模式是“奶农一奶站一乳企”。采用此模式,乳品企业不需要建立养殖场、不需要养殖奶牛,却可以迅速扩大奶源产量。但奶农、奶站都不属于乳企,乳企无法直接、全面地控制奶农和奶站;随着企业规模快速扩张,奶农、奶站愈来愈加分散,控制难度愈来愈大。S集团在养殖区建立技术服务站,派出驻站员,监督检查饲养环境、挤奶设施卫生、挤奶工艺程序的落实。驻站员监督检查对于从源头上保证产品质量意义重大。然而,S集团驻站员监督检查等并没有严格实施,在原奶进入S集团的生产企业之前,缺乏对奶站经营者的有效监督。自“七五”以来集团实现了跨越式发展。其主要原因之一是走一条低成本扩张的资本运营之路,先后与一些省市的30多家企业进行控股、合资、合作,快速壮大了企业规模,扩大了市场份额,使得s集团的组织结构发生了很大变化。但是,这种扩张导致了资金投入跟不上、机器设备及内部管理跟不上的现实,S 集团旗下的子公司、联营企业、合营企业大多厂房破旧,设备简陋,埋下了诸多的安全隐患。2005年7月5日,天津市河西区质量技术监督局执法人员在一库房内发现,“SL原味酸牛奶”生产日期是2005年7月6日。执法人员在司机提供的发货凭证上确定这批酸牛奶是在本月4日发出的。现场检查表明,这批SL酸牛奶已经涉嫌伪造生产日期。2007年12月以来,S集团陆续接到消费者关于婴幼儿食用SL牌奶粉出现疾患的投诉。经企业检验,2008年6月份已发现奶粉中非蛋白氮含量异常,后确定其产品中含有三聚氰胺。直到8月2日,S集团才向市政府做了报告。在2007年12月至2008年8月2日的8个月中,S集团未向市政府和有关部门报告,也未采取积极补救措施,导致事态进一步扩大,给中国奶业造成恶劣影响。
2009年7月6日上午8:02,C市一辆出租车在一立交下桥处发生燃烧。受伤伤员被运送到医院进行救治。该事故已造成2人死亡、4人受伤。对事故原因调查和认定过程中发现以下问题:随着90年代市场化的推进,一些出租车公司开始将出租车承包给司机负责,司机的收入和运载的里程和乘客数成正比。于是,为了多争抢客源,多创经济效益,许多出租车开的异常快,上下班高峰期还常会有拼车、超载的情况。出租车司机只把精力全部投入到驾驶营运当中,而对其车身可能发生的意外和灾难,包括起火白燃,是难以顾及和及时发现的。6曰上午,一辆出租车驶往市区方向的途中,在开到桥上时,一乘客对司机说:“车上有味道,停下来看一下吧。”司机却以“桥上停车不安全”的说法拒绝了该乘客的要求。此次事件发生的时间8:02正是上下班高峰,公交此时基本爆满,出租车也难打到,于是会出现拼车、超载的情况。此次出事的出租车核定的载客人数为4人,但最终却挤上了5个成人和1个儿童。出租车上没有灭火、救生设备。对于C市出租车而言,只有新车以及部分较为高档的车型才可能配置。出租车公司对司机也几乎没有安全教育和应急处理的培训。出租车内也没有明显的标示,对市民也缺乏相关的公共教育。2006年4月,《华商报》曾发表题为《城市公交及出租车辆的应急漏洞》的文章,报道描述除个别公交车及出租车的司机缺乏应急处理的知识和技能,相应的公交公司和出租车公司管理层的安全意识薄弱。文章是基于对2家公交公司和3家出租车公司的调查而写的,而此次出事的出租车所在的公司正是记者批露的3家出租车公司之一。
要求:结合风险管理八要素框架分析该出租车公司在这起出租车燃烧惨剧中风险管理存在的问题。
TP软件有限公司1995年在深圳证券交易所上市,主营业务为计算机软、硬件、网络集成等。该公司早在1997年就有了审计部,然而内部审计部门的运作情况极不理想,很少对内部控制运行情况进行监督。1997年TP 公司成为首批四家国家级软件企业之一,然而在此机会面前,TP公司不是建设、开发软件园,而是打起以“建设软件园,投资换市场’’的名义源源不断地从政府手中拿到廉价的“高科技”用地的主意,然后把土地按市场价格评估后到银行抵押贷款套现。最后因大部分软件园的建设和投资远落后于当初的承诺,相当部分用地被政府收回。公司一副总裁离开公司的时候,带走了公司核心业务的几乎所有技术和业务骨干。华东区一个主管后勤的副总裁一个月仅“出差”就净赚近万元。2000年5月,作为首批市场化增发的试点,该公司增发3380万股,实际募集资金9亿元。有了充足的资金保障,TP的发展本应如虎添翼。然而,2004年初,在董事长宋xx将其持有的TP股权以象征性2元的价格转让给两同乡1个月后,TP就爆出了近40亿资金黑洞。公司股票于2007年5月21日终止上市。在此期间,该公司以上市公司存款为大股东贷款担保的方式“掏钱”。在难以得到上市公司过半数董事同意的情况下,制造虚假的上市公司董事会决议。为了便于控制,近几年来公司高管和董事会成员频繁更换,公司的重大决策听命于个别核心人物。由于在全国多个城市同时招聘软件工程师,公司根本无法派出足够懂技术的面试考官,有的考官则被应试者问得瞠目结舌。不少公司高层“把公司的钱装进自己的兜”,一些中层更是把公司用于奖励员工的奖金截留提成,业务人员则签署大量的虚假
合同。2005年确定的目标是要实现年产值500亿元,成为中国第一流企业,但该年主营业务收人仅5000万元。要求:分析TP软件公司在风险管理方面存在的不足。
第六章风险管理与公司治理审计【必做题】
一、单选题
1.公司治理审计将传统内部审计外延到()
A.内部控制审计B.财务管理活动审计C.经营活动审计D、战略审计
2.关于公司治理的陈述不正确的是()
A.公司控制机制包括内部和外部机制B.管理层的薪酬方案是公司控制机制的组成部分C.因员工优先认股权或员工股票红利而导致的股东财富稀释属于会计问题而非公司治理问题D、与董事会相比,公司的内部审计师对公司治理要承担更多的责任。
3.如果风险重大性超出了整体风险承受能力或具体业务层次上可接受的风险水平,应采取()
A、风险回避策略B.风险承担策略C.风险降低策略D.风险分担策略
4.前瞻性的风险管理审计报告中应包括()
A.披露风险表现和风险排序B.披露被审计单位对利用风险、防范风险的制度、措施及执行情况C.披露风险管理审计的方法、风险评价的条件和标准D、以上全有
5.下面关于公司治理不正确的说法是()
A.研究包括股东在内的利益相关者之间的联系以及规定他们直接关系的制度安排B.目的是保证企业的经营管理活动符合股东的利益C.加强公司重要决策对股东的透明度D、加强股东对管理者的责任
6.平等地对待所有股东,这是公司治理基本原则中的()
A.受托责任原则
B.监督制约原则
C.透明原则D、公平原则
7.企业管理者的经营理念及风险管理的态度和文化属于()
A、内部环境B.风险评估C.风险回应D.控制活动
二、判断题
1.风险识别审计中,要审计组织是否在充分调研和科学分析的基础上,准确识别内部风险因素()
三、名词解释
1.风险2.公司治理3.风险管理4.风险评估
四、简答题
1.简述国资委对企业风险的分类2.简述风险回应的方式。3.简述制订基于风险评估的审计计划的步骤。4.简述公司治理的基本原则。5.简述风险分析审计的要点
五、论述题
1.试述风险管理审计与内部控制审计的关系。
2.试述内部审计在企业风险管理过程中的角色和责任。3.试述风险管理的要素
4.风险管理审计与风险导向审计的内涵是否相同?为什么?
六、案例分析:第三节的例题