浅谈风险管理审计的应用实践
袁
园
(湖南新五丰股份有限公司
审计部,湖南
长沙
410005)
[摘要]在风险管理审计中,应建立内部审计信息平台,广泛收集风险因素,确定风险管理审计重点和要点。对
被审计单位风险管理的测试,应按照《中央企业全面风险管理指引》的要求,明确需要测试的内容,建立相应的测试标准,评价被审计对象风险管理范围和风险评估标准的合理性,评价被审计单位的风险识别、风险分析、风险评价功能,评价被审计单位的风险管理措施和风险监管系统的功能,评价被审计单位的风险预警功能,以判断被审计单位的风险预警系统的合理性与有效性。
[关键词]风险管理;审计;应用实践[中图分类号]F239.4
[文献标识码]B
[收稿日期]2012-11-12
随着当今技术经济的飞速发展,企业面临的风险日趋多样化,与之相对应,企业管理层也越来越重视风险管理,我国于2006年6月,由国资委出台《中央企业全面风险管理指引》,旨在推进与强化大型国有企业的风险管理制度建设。内部审计将促进企业的风险管理作为自身的主要职责,但是,如何在风险管理流程中,履行监控和评价的控制职能,大多数企业的内部审计人员仍然处于摸索阶段。
一、内部审计在风险管理中的作用及流程简述
风险管理是企业的决策层及经营层的职责,内部审计只对企业的风险管理程序的健全性及执行的有效性进行测试及评估,对制度、程序、应对措施的不足进行风险提示。
内部审计在风险管理中的作用表现在三个方面,一是鉴别风险;二是区分可控制的风险;三是指出缺乏控制或过度控制的区域并提出建议。
内部审计了解被审计对象面临的风险,是进行风险鉴别的起点。企业面临的风险,基本上可以划分为系统风险和特有风险,系统风险是指在市场经济条件下,同一行业所共同面对的风险,一般与人文、地理、法律、法规、财政政策、
技术进步等宏观因素有关,企业无法改变也无可避免,只能通过内部调整来加以适应;特有风险,是指某一单个企业因自身特点所面临的独有风险,按实体内容包括营销风险、财务风险、产品开发风险、组织机构风险、内部控制风险等。
内部审计应针对审计对象广泛收集风险因素,进行筛选和分析,得出影响企业经营目标实现的重大不确定因素,视为企业应该予以管理的风险,做为评价企业风险管理范围的恰当性的主要参考指标。
内部审计人员应将审计独立分析的结果与企业已经关注并实施管理的风险进行比对,根据风险审计的重要性理论,参照企业风险管理方
针、政策,按风险管理目标的要求,运用专业方法对审计对象风险范围、
识别、评析、管理等方面进行查证和鉴别,对风险管理及处理方法的合理性和有效性做出评价。
二、风险管理审计的具体应用
(一)建立内部审计信息平台,广泛收集风险因素掌握丰富的信息资源是准确把握风险管理审计重点的前提条件。我们的作法是针对公司总部及下属分、子公司,以审计对象为单元,建立审计信息平台,按季度定期收集相关风险信息,信息平台由四部分构成:一是基本信息栏。组织形式、
主导产品及特点、行业背景、政策影响、经营理念、发展战略等;二是历史审计信息栏。历年的审计范围及方法、审计发现的问题及整改情况、内部控制评价结论、历次审计提示的风险等;三是当前信息栏。经营信息(收入、成本、费用、资产、负债等);绩效评价信息(财务效益状况、资产营运状况、发展能力、营销能力)等;四是风险管理信息栏。战略风险对企业的影响(宏观经济运行、行业状况、国家产业政策趋势及变化、技术及创新、市场需求、
上下游客户关系、竞争对手情况及差距等);市场风险信息(产品价格及供需、主要客户的信用、能源及原材料供应关系、税收利率汇率的变化等);运营风险信息(新产品开发、市场开发与营销、管理层专业背景及经营能力、专业技术人员结构等)、法律与道德方面的风险信息(影响企业的新法律和政策、员工的道德及操守、重大法律纠纷及诉讼情况、知识产权情况)等。
审计信息平台动态更新,在实施风险审计前,审计人员可以充分了解及预测被审计单位经营过程中的风险因素,为实施现场审计筛选审计重点及要点打下坚实的基础。
(二)确定风险管理审计重点和要点1.基本风险因素分析
(1)主要经营者的管理能力及道德水平。对管理能力
第2012年第12期(总第411期)
商业经济
SHANGYE JINGJI
No.12,2012Total No.411
[文章编号]1009-6043
(2012)12-0098-0298--
全面风险管理体系建设的审计(大纲) (上海蓝草咨询) 一、风险管理治理架构的审计 风险治理与风险管理的关系。 全面风险管理组织架构的评价。 二、高级管理层、业务管理部门、风险管理部门履职审计 各部门管理人员能否将本部门风险工作与全面风险管理关联的评估。 审计案例:从管理部门的工作计划和总结入手,结合访谈,评价管理部门对条线风险管理的履职有效性。 对各类管理部门和业务部门(营业网点)风险管理履职审计重点。 三、风险管理制度的审计 制度的完备性、有效性,策略、偏好、限额的规定及评估。 审计案例:从制度清单入手,评价银行制度健全性和制度建设能力。 高级管理层的风险偏好及对风险限额的接受程度,对银行风险管理的影响评估。是否将高级管理层的意见转化为制度的评估。 四、风险管理制度执行机制的审计 从高层到普通员工,对制度权威性的认识评价。
管理部门和普通员工在制度执行的主动性评价。 审计案例:从大额贷款的审批评价某银行贷审委工作的有效性。 审计案例:透过现金调拨的具体流程,评价现金管理制度的执行。 五、相互制衡机制的审计 评估各类业务和部门间的边界是否清晰,评估上下机构间、横向部门间、各类人员间,是否建立了有效的相互制衡制约的机制。 案例:从某行员工信息的维护流程,评估该行在员工管理方面的重大隐患。 六、沟通机制的审计 风险管理为主题的沟通机制是否畅通。行领导是否为员工搭建良好的风险管理沟通交流平台。 各类机构和管理部门例会制度是否健全,例会工作内容对风险沟通机制的影响。单位(或部门)主管怎样通过例会平台鼓励风险管理事项的充分沟通。 报告途径是否畅通。 七、问责机制建设的审计 问责和考核机制的建立情况评估。 考核有效性评估。考核的维度分析评估。 八、信息系统和数据质量控制机制
一、选题的理论意义与实际意义 (一)理论意义 通过对于本文的研究,从而成功完成审计的过程,丰富了会计师事务所在审计企业时,通过识别、评估审计风险,有针对性的设计、实施控制测试或实质性程序进行风险点防范的实务指导方面的研究。 (二)实际意义 注册会计师在审计企业时,可供参考的权威资料并不多,财政部2007年颁布的1633号审计准则的修订版是其中之一。这一审计准则主要论述了电子商务对财务报表的影响,但其仅提示注册会计师在审计过程中,面对被审计单位时候,应考虑该业务对被审计单位财务报表产生的影响。而对于具体的审计细则和审计体系并没有做出说明。因此,财政部颁布的1633号审计准则仅能为注册会计师提供方向性的指导,但具体到实务工作中的应用指导,该准则的作用就极其有限了。通过对于本文的研究能够有效的降低会计风险发生的概率,具有一旦的现实意义。 二、论文综述 国内外有关的学者对于审计风险的避免与控制进行了相关的研究,并且取得了一定的研究的结果,具体的研究的结果如下所示: (一)国内研究现状 韩玲玉(2018)研究了B2B模式的电子商务企业发现,注册会计师在对B2B模式的电子商务企业审计过程中,其审计环境、范围及内容都发生了极大的变化,必须不断更新审计方法与审计程序以应对审计风险。针对电子商务企业的特点,发掘新而有效的审计技术,如使用数据处理技术等,能有效降低审计风险 冷晓(2018)对网络信息技术与电子商务企业审计职业判断的关系进行研究,建立两者之间的模型,并选取中间变量展开调查,研究注册会计师信息技术及系统管理的专业知识的掌握程度对其审计电子商务企业时的职业判断产生的影响程度。研究认为,注册会计师应全面掌握审计会计方面的专业知识以及计算机网络、数据库方面的相关知识。 陈婧(2018)在审计风险模型里,重大错报风险与被审计单位有关,审计人员只能对其水平进行评估。而审计风险又存在客观性,这时审计机构和被审计单位就应该约定双方都可以接受的程度。并不是每一位委托人都知道,仅仅通过一场审计,是不可能发现企业的所有问题之所在的。而预先设定可接受的审计风险,就是审计业务中的三方关系人就理解和诉求的差异达成共识。 薛松(2018)认为:审计作为一种检查监督的机制,对国家企事业单位以及各类企业的经济管理活动、财务收支等各方面的财务活动进行审核与监督,以提高被审计单位的经济效益。
如何开展风险管理体系审计 现代内部审计理论倡导以风险为导向。风险管理审计的提出已经好些年了,但实际工作中,又有多少审计部门会开展风险管理审计呢? 现代企业大多已经建立了风险管理机制,并且越来越依照COSO的企业风险管理整合框架来不断地完善。在市场不确定情况下,风险管理的好坏决定了企业生存和发展的时间。同时,各个专业领域的风险管理理论也越来越复杂,运用的数学知识和信息技术也越来越高级。企业内部审计不仅要及时发现具体经济事项存在的问题,还要以点带面,发现风险管理体系和机制中存在的缺陷。 因为风险管理涉及的范围广,涉及的专业知识多,内部审计部门往往先从风险管理体系下手,对其健全性和有效性进行评价。很多企业的监管机构或主管机构对企业的风险管理都提出过指导性意见,参考这些指导性意见,内部审计部门可以建立对风险管理的审计评价体系,而且内部审计部门可能还会被要求对其所在企业的风险管理进行评价。 一、风险管理体系审计的内容 2017年9月COSO新版《全球风险管理框架》,其中一个变化是五大要素的名称有所变化,原先的“风险治理
和文化、风险、战略和目标设定、执行中的风险、风险信息、沟通和报告、监控风险管理效果”改为了“治理和文化、战略和目标设定、绩效、审阅和修订、信息、沟通和报告”。既然是风险管理的五大要素,新版里的五大要素里竟然没有“风险”二字,其中肯定有它的道理,就跟国际内部审计协会定义内部审计那样,把“监督和评价”改为了“确认和咨询”。内部审计要想对风险管理体系做出评价,就要了解风险管理体系的内容是什么。 还有些审计部门把风险管理体系分为八大要素:治理环境、目标设定、风险识别、风险评估、风险应对、控制活动、信息与沟通、监控。这也是比较清晰的,适用本企业实际就好。 二、风险管理体系审计评价标准 这里的评价标准有两个,一个是监管或主管机构的指导意见,一个是所谓的同行行业相似企业的最佳实践。监管或主管机构的指导意见可参考性比较强,有的行业尤其是金融行业的监管机构指导意见也更加详细。内部审计部门往往依照监管或主管机构的指导意见构建自己的评价方法体系。有些发表的偏理论的文章所说的“双标分析法对风险管理体系进行审计评价,如何获取同行的最佳实践并且予以量化是很难实现的,况且同行业里各个企业的风
企业风险管理审计(上) 什么是企业风险管理审计? 指企业的内部审计机构采用规范化系统化的方法,对企业的风险管理过程的适当性和有效性,进行审查和评价的活动,内部审计中关注的风险管理,包括风险识别与分析,风险评估与溯源以及对企业风险采取的应对措施等各个方面,因此内部审计机构与人员在开展风险管理审计时,必须了解风险管理的最佳实务与通过测试和评价获取的具体情况进行对比分析,找到差距及其产生的原因,为企业加强风险管理提出改进的建议。 风险管理审计的特点 1.审计对象是风险管理 风险管理审计要求内部审计人员对企业风险管理体系的设计及其运行的有效性,进行评价,另外作为企业风险管理体系的一个环节,内部审计人员应当监督评价企业风险管理体系的有效性及机构的治理经营及信息系统方面的风险因素。 2.高层次 2013版内部控制整合框架中包含了战略目标,要求企业在建立风险管理体系时,要将企业的战略和风险管理融合在一起,保持一致,因此风险管理审计需要对企业的战略进行充分的了解,从战略的高度,从战略的高度对企业风险管理进行评价, 3.重要性 从企业长远发展角度和战略高度出发,开展风险管理审计工作。具有较高的前瞻性,将对企业长期生存和发展产生巨大的影响。 风险管理审计要点 风险管理审计要求内部审计人员对企业的风险管理流程进行总体评价。美国COSO委员会发布的《企业风险企业的风险管理---整合框架》,包括三个维度:
第一维度是企业的目标,即战略目标、经营目标、报告目标和合规目标; 第二维度是全面风险管理的八个要素,即内部环境、风险应对、控制活动、信息与沟通、监控、目标设定、事件识别、风险评估;含各个职能部门、各条业务线及下属于包括整个企业; 第三维度是企业的各个层级,包括各公司。全面风险管理的8个要素是为企业的4个目标服务的,企业各个层级同样也是要坚持这4个目标,同时从以上的8个方面开展风险管理活动。企业内部审计人员以Coso风险管理框架为基础,重点围绕风险因素进行审计,风险管理审计的要点如下: 1 风险管理政策的审核 企业内部审计人员应当审核:企业是否制定正式的风险管理政策;风险管理政策是否包含了COSO全面风险管理的8个要素;风险管理政策内是否包含对风险管理的实施流程:风险管理政策是否适合企业的经营方式与企业文化;风险管理政策是否明确了管理层、合作伙伴、审计人员以及其他所有人员的职责;风险管理政策是否能确保风险渗透整个企业,是否包含了将基本的风险循环嵌入经营流程的方法;风险管理政策中是否将风险与企业经营 相结合,使其能够高效地应对风险,促进企业的发展。 2 风险目标设定的审核 风险目标设定是指企业的管理层必须以目标为基础来识别成功的潜在因素。风险管理应确保企业管理层有一个特定的程序,用来设定目标、选择支持和连接企业使命的目标,并保证和企业风险偏好相一致。目标设定的审核主要是从目标制定和实施方面进行评价。企业内部审计人员应当审核:企业战略是否考虑了董事会已识别的风险;在定义、识别风险以及决策实施过程中,企业的战略是否与风险管理政策一致; 企业战略是否将风险战略考虑在内,对未能实现既定战略目标的风险进行整体应对;企业战略是否考虑了利益相关者对尽早回报的期望与经营增长和市场地位的可持续性之间的内在冲突未得到解决的风险;企业是否确定了适当的程序,保证目标能够分解到实施层,并使其能对相应的风险负责;战略制定是否充分了解利益相关者的责任,是否在合规与绩效之间取得平衡;企业是否建立了战略与员工
159 E nterprise E conomy 2012年第7期(总第383期) 上市公司风险管理审计研究 □陈英蓉 [摘 要]按照我国证监会要求,上市公司监事会应当向全体股东负责,保护公司资产安全,降低公司的财务和经营风险。但是, 由于股权结构、 立法、体制等因素的影响,导致我国上市公司监事会监督失效的现象非常普遍。笔者认为应从法律、上市公司责任意识、监事独立性等方面,增强上市公司监事会的监督作用,允许监事会有权聘请外部审计机构对上市公司的风险管理进行审计。为此,本文分析研究了上市公司风险管理审计的作用、审计步骤及措施。 [关键词]上市公司;风险管理;审计[中图分类号]F276.6 [文献标识码]A [文章编号]1006-5024(2012)07-0159-03 [作者简介]陈英蓉,攀枝花学院经济与管理学院副教授,硕士,研究方向为审计、企业投融资。(四川攀枝花617000) Abstract :According to the requirements of China Securities Regulatory Commission (CSRC ),board of supervisors of listed companies should take responsibility for all the shareholders,protecting companies ’assets safety and reducing the financial and operation risks.However,due to the factors such as ownership structure,legislation,and system and so on,it is common phenomenon that board of supervisors of listed company fails to carry out supervision.This paper believes that it is imperative to strengthen the supervision function of board of supervisors of listed company from the aspects of laws,listed companies ’responsibility consciousness,and supervisors ’independence and so on,and authorize board of supervisors to hire external audit institutions to audit the risk management of listed companies.Thus,the paper has analyzed the role,procedures,and measures of risk management audit of listed companies. Key words :listed companies ;risk management ;audit 一、风险及上市公司风险管理 风险是指在特定客观情况下,在特定期间,某种损失发生的可能性,而不是已经存在的客观结果或既定的事实。风险具有一定可度量性,测定风险立足于风险转化为现实的危害和损失之前,风险是损失发生的机会概率。其概率越大风险就越大。研究和控制管理风险的目的是设法压缩风险出现的概率值,阻止风险的潜在性转变为现实性,阻止可能的危机转变为现实的损失。 风险管理是通过对风险的识别、衡量和控制,以最低的成本处理风险,实现最大的安全保障,以提高上市公司经济效益的管理活动。风险管理是一个管理过程,包括风险的识别、衡量和控制等环节;风险管理是一种管理活动,目标在于以最低的成本实现最大的安全保障,以提高公司经济效益。 上市公司在经营活动中会遇到各种各样的风险,如 财务风险、经营风险、市场风险、汇率风险等等。财务风险亦称筹资风险,是上市公司由于举债经营而给上市公司收益带来的不确定性。上市公司举债经营,上市公司需要按时归还债务;同时,全部资金中借入资本和自有资本结构的变动将影响上市公司的收益。经营风险亦称营业风险,是上市公司因生产经营方面的原因给上市公司收益带来的不确定性。 由于上市公司生产经营的许多方面,如供产销状况、技术进步、管理水平、市场竞争等诸多因素的不确定性,都会影响上市公司的经营状况,使上市公司的收益水平具有不确定性。重视风险管理,能最大限度地减少上市公司损失。 中国证监会公布的《上市公司治理准则》中明确指出,上市公司监事会应当向全体股东负责,以财务监督为核心,同时对公司董事、经理及其他高级管理人员的 尽职情况进行监督,保护公司资产安全,降低公司的财 Financial Accounting |财务会计
企业内部审计与风险管理 会计与审计 企业内部审计与风险管理 安鹏宋雪婷 ()合肥京东方光电科技有限公司,安徽合肥230012 面对企业急需加强的风险管理,既为内部审计的发展带来了机遇,又提出了挑战。笔者结合自身的工作经摘要: 验,从有利于企业科学发展的角度提出:作为内部审计,首先要充分认识内部审计在风险管理中的独特作用;其次要积极主动地参与风险管理。 内部审计;企业风险管理关键词: 客观的保证和咨询活动,其目的内部审计是一种独立、 是在于为组织增加价值和提高组织的运作效率,它通过系统评价和改进风险管理、控制及治理过程化和规范化的方法, 的效果,帮助组织实现其目标。 之地。 最后,内部审计通过对企业风险管理系统进行系统性、专业性监督检查,充分发挥“医士”和“卫士”作用,保证企业科学发展。 内部审计部门应对有关部门针对风险所采取的防范1. 措施进行连续的跟踪,并进行系统的专业性监督检查,看其是否充分、得当,同时评价其是否执行有力。 适时对组织内风险控制系统的健全、时效性进行检2. 对失控、漏控的环节进行再完善,改进风险控制系统机查, 能,达到风险控制系统最优化构建,加强系统内部的组织性和自主性。 内部审计可以直接作为风险管理者,对企业风险进行3. 管理。通过专业知识和技能、先进的方法,直接对企业的风能够引起管理层的更加重视,取得更险管理提出改进意见,好的效果。 一、内部审计在风险管理中独特的作用
内部审计作为最高管理层实施控制的手段,在企业管理尤其是风险管理方面的地位和作用将日趋突出。 首先,内部审计能够通过客观地、全面地参与风险预测和识别,充分发挥预警作用。风险在企业内部具有感染性、传递性、不对称性等特征,即一个部门造成的风险或疏于风而是会传递到险管理所带来的后果往往不是由其直接承担, 其他部门,最终可能使整个企业陷入困境。正因为如此,有些部门可能会出现过度道德风险,如采购部门为节约采购成本,就会忽视对材料规格、型号、质量方面的检查,或者有意购买残次品等等。因此对风险的识别和防范、控制需要从全局考虑,而内部审计部门不从事具体业务活动,独立于业务管理部门,这使得它们可以从全局出发、客观地对风险进行预测。 其次,内部审计通过对风险进行评估,研究风险防范的措施,控制、指导企业的风险策略,充分发挥内部审计的谋士作用。内部审计对监测到的整个组织可能存在的风险因子和不利因素及相互作用进行分析、评价和沟通,关注组织目采用数学统计、模拟试验等方法,遵循3经标价值取向,E(济、效率和效果)原则,和管理层共同寻找消除风险根源的可能途径,充分出谋划策,发挥谋士作用。如有的外部风险根源是企业无法避开和影响的,如国家政策的变化,市场因素的变化,企业只能调整自己的生产经营策略减轻外部风险的影响。但是许多企业内部的风险根源则是可以通过改善管理而消除的,这也是我们内部审计更多发挥作用的用武 二、内部审计应积极参与风险管理 内部审计应在提高自身素质和风险管理水平的基础上,通过对企业风险进行预测和识别,进而进行分析和评估,最终达到控制和化解风险,积极主动参与风险管理。 首先,内部审计人员要成为精通技术专家。“要想知其,言,必须知其所以言”同样内部审计要想有效地参与风险管理,必须自己要成为风险管理专家。内部审计人员不仅要懂审计及相关法律法规,熟练地运用内部审计标得财务会计、 准、程序和技术,还必须具备丰富专业风险管理的知识和技能,精通现代管理信息技术和先进的管理技术手段,这样才能真正有效地参与到企业风险管理中去。 其次,内部审计人员要积极、主动、全面地参与企业风险识别、评价和控制。风险的预测、识别、评价和控制的预测、 是指对企业所面临的,以及潜在的风险因素加以判断、归类 会计与审计 并采用各种科学管理技术,鉴定风险性质、评估风险损失、制改进风险管理,最终达到控制和化解风险的过定控制措施,
2017年度全面风险管理报告 【最新资料,WORD文档,可编辑修改】 2015年度全面风险管理报告 一、2011年度企业全面风险管理工作回顾 (一)企业全面风险管理工作计划完成情况 在上年开展企业全面风险管理工作基础上,进一步加强公司全面风险管理体系的建设,制订了公司全面风险管理制度和办法,公司根据上市要求和集团公司关于加强内部控制要求以及公司实际需要成立了审计部,审计部为全面风险管理的专职部门。按照集团公司要求,
结合公司的经营运作、岗位设置等实际情况,在全公司范围内对各部门积极开展全面风险管理的各项工作,各部门查找提出自身存在的风险点,并对其加以识别,再组织各部门领导汇总、归纳、整理出公司风险点,对其进行识别、评估,经过对风险成因分析,找出策略和解决方案。并将各类风险管理责任落实到相应部门及个人。编制了风险管理网络图,把公司所有风险点纳入到管理体系中。明确公司全面风险管理职责分工,相关问题由部门提出,专职部门提出审核意见,报总经理办公会讨论,进一步细化了各层级和各部门的职责分工。 从全年全面风险管理工作计划执行情况来看都较好的完成了目标任务,全年没有出现一般以上的风险因素,全面完成了公司经济效益和预算目标任务。 (二)企业重大风险管理情况 2011年公司全年整体运行良好,公司在不影响正常生产经营的前提下,采取多种措施,加大管理力度,出台一系列政策、办法、措施,有针对性的解决,把问题消灭在萌芽状态,坚决杜绝各类事故、问题的发生,通过对重大、重要风险辨识、评估,采取应对措施,对防止风险、稳定质量、提高效率、减少损失、增加效益,促进公司又好又快发展起到了积极作用。全年没有发生重大风险事故。 (三)重大风险管理解决方案的监督检查情况 通过对重大风险管理解决方案的实施情况进行监督,并对风险管理有效性进行检验。公司每年根据公司实际生产经营中存在的风险种类根据类别、轻重来重新划分等级或重点,有针对性的加以重点控制和管理,根据新发生风险的可能性采取措施,进行监督检查落实,以
***********公司风险管理审计办法 编号:TS-KP-XS-** 版本: 2013 编制:审计部 批准:董事会 2013年**月**日 ****************公司部控制体系
风险管理审计办法 目录:共九章 第一章总则 第二章风险管理审计的目标 第三章风险管理审计的思路 第四章风险管理审计的主要分类 第五章风险管理审计须遵循的原则 第六章风险管理审计的程序 第七章制定风险管理审计方案的主要容第八章风险管理审计取证的评价标准第九章审计报告 第一节整理审计发现的要求 第二节风险管理审计报告的容 第十章附则
第一章总则 第一条为了规部审计人员对公司全面风险管理的审查与评价行为,根据中国部审计协会《部审计具体准则第16号——风险管理审计》、公司部控制体系文件、《企业部审计制度》特制定本办法。 第二条本办法所称风险管理险审计又称风险审计或风险导向审计。风险管理审计(或风险审计)是指公司部审计机构根据公司全面风险管理的目标和政策,采用一种系统化、规化的方法对公司风险管理过程中的风险评估、风险应对和风险控制活动进行评价和测试,以识别、预警和纠正公司在实施风险管理过程中可能存在的不适或缺陷,进而提高公司风险管理的效率和效果,保障企业战略目标的实现。 第三条本办法所称风险管理,是指一套由董事会和经营管理层共同设立、与企业战略相结合的管理流程。它的功能是对影响公司目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受围的过程。风险管理旨在为公司目标的实现提供合理保证。 第四条本办法所称全面风险管理,是指公司围绕总体经营目标,通过在公司管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理风气,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。 第四条本办法适用******(以下简称“公司”)及所属各分公司、全资子公司的部审计工作,控股子公司的部审计部门参照执行。
会计师事务所审计风险控制研究 1 审计风险的涵义探究 1.1 各国审计风险定义比较 1.2 审计风险实质的理解 审计风险是伴随着审计而一直存在着的,如果只是发表了不恰当的审计意见而没有造成什么实质性的不利影响,也不会形成审计风险。 1.3 我对审计风险定义的理解 审计风险是审计人员对存在重大错报的财务报表未能适当地发表意见,并可能给审计人员造成损失的风险。 2 审计风险的特征 2.1 审计风险的客观性 采用抽样审计方法不可能保证审计结论绝对正确,必然存在一定程度的审计风险。即使审计人员采用详细审计,也会由于各种原因,使审计意见出现一定程度的偏差。 2.2 审计风险的隐蔽性 审计责任的存在是形成审计风险的一个基本因素,这就决定了审计风险在一定时期具有潜在性。 2.3 审计风险的可控性 审计风险虽是不可消除的,但其水平高低是可控制的。审计人员可以通过自身的努力降低这种潜在损失发生的可能和数额。 2.4 审计风险的利害双重性 在现代社会中,允许存在一定的审计风险是审计职业存在的前提条件,审计人员可以利用审计风险来保护自己的利益,减少损失。同时,当审计人员所冒的审计风险超过其控制能力,或当审计人员不注意控制审计风险时,它就可能显化为现实的审计损失,形成审计失败。 2.5 审计风险的普遍性 审计风险具有普遍性,它存在于审计过程的每一个环节,任何一个环节的审计失误,都会增加最终的审计风险。 3 审计风险的形成原因 3.1 审计风险形成的客观原因 3.1.1 社会公众与审计职业界之间的审计期望差对审计风险的影响 社会公众对审计人员要求过高,公众认为审计人员应揭示所有问题;而审计人员则认为他们无法保证能够觉察任何舞弊行为。社会公众为了维护自己的利益,于是诉讼案件越来越多,从而导致审计风险的产生。 3.1.2 审计对象的复杂性和审计内容的广泛性对审计风险的影响 企业规模越大,越复杂,审计的范围越宽越广,也就越来越借助于审计抽样等非全面检查技术的帮助。然而,这使得审计结论的正确性越来越难以保证,因而使审计的风险加大。 3.1.3 经济环境和法律环境对审计风险的影响 经济环境和法律环境的不断变化使审计人员对企业的情况难以全面地反映和评价,获得正确结论的难度加大,从而增加了审计风险。
审计、内控、风险管理三者之间的关系标 风险管理侧重的是“可能性”。因此,风险管理应该是最早的环节,从企业整体评估风险状况,找到应对策略。这其中,又可分为不可控风险和可控风险。不可控风险通常通过风险转移、保险、风险接受等方式进行应对;可控的风险通常通过内部控制手段进行应对。所以内部控制本质上就是企业管理中通过日常管控手段降低风险的行为。那内控执行的效果如何,就通过审计来检查。审计检查完后有一些发现问题,可能是最早风险评估环节就没考虑到的,那么审计发现问题又回过头来指导风险管理的完善。 所负责部门,每个企业都不太一样。有的是分设三个部门:风险管理部、内控部、审计部。也有的将这几块自由排列组合,也有放到一个部门的,甚至放到财务部底下的都有。 风险管理——>内部控制——>风险控制 内部审计是内部控制的重要手段。 内部控制和内部审计的互动共进, 有效提升公司治理效率。 内部控制是内部审计的“风向标”, 内部审计是内部控制的“测试仪”。 三者的本质都是为了控制好风险。三者区别是: 1.内控是让你好好开车别撞人,也别开到沟里去,它是一切风险管理的基础,特别是治理层面的内部控制。 2.风险管理是一个更广的含义,不仅仅是不撞人、不翻车,更要保证方向是对的,速度是合适的,开车的方式是可持续的,还要保证尽量不被别人撞,万一被撞要能扛得住…… 3.风险管理包括内部控制,但他们都不是一个部门的事情,是一个组织行为。 4.审计是风险管理的一种手段,也是内控要素中监督要素的一种体现。是风险管理工作具体落地的方式,和之前的两个不在一个层面上。 实务中全面的应用到了风险、内控与审计三个概念的,主要是银行业及部分工业企业(如核电、采矿、化工等)。其他企业中实际上真正界定了这三个概念并付诸实施的其实很少。
银行风险管理审计
[摘要]风险管理审计是对传统审计方式的突破和创新,是融风险管理、审计为一体的新兴审计模式,本文对银行风险的界定及类型、银行风险管理审计存在的问题以及银行风险管理审计的优势等问题进行了阐述。[关键词]风险管理审计内部审计问题优势风险管理起源于20世纪60、70年代,20世纪80年代在金融、保险、制造业等行业的大企业有了发展,从风险管理内容的规范性来看当属银行和保险业。风险管理审计是在20世纪末2l世纪初,随着风险管理导向内部控制时代的来临,风险管理成为内部审计关注的重点。它不仅关注传统的内部控制,更加关注有效的风险管理机制。内部审计人员通过对当前的风险分析确保其审计计划与经营计划相一致。风险管理成为组织中的关键流程,促使内部审计的工作重点不仅是测评控制,而且包括确认风险及测试管理风险的方法,风险管理审计是内部审计发展的新阶段。一、银行风险的界定及类型1.银行风险的界定关于银行风险现有两种说法。一是指商业银行在经营中由于各种不确定因素而招致经济损失的可能性。二是指在货币经营和信用活动中,由于各种事先无法预料的不确定因素的影响,使银行的实际收益与预期收益发生背离,有蒙受经济损失或获得额外收益的双重机会和可能。本人同意第二个观点。银行风险存在于银行价值
链的每一个环节,可以说,银行自成立之日起就是在风险管理的过程中谋取收益的。对银行风险的正确理解须注意以下几点:(1)银行风险不等于银行损失。风险指的是发生不利或有利事件的可能性;而损失是消耗或丧失的东西,是原来不确定事件形成的一种事实。两者的着眼点不同,风险着眼于未来,损失着眼于现在和过去。(2)风险既是一种挑战又是一种机遇,它具有双重性。(3)它包含多层次风险内容且有动态性的范畴。多层次的风险包括法律风险、政策风险、决策风险和操作风险等。(4)商业银行风险更多的是经济运行中风险的反映,与经济主体的行为目标、决策方式和经济环境相联系,并不单纯是银行自身的问题。 2.银行风险的类型我国银监会制定并于2005年2月1日起实施的《商业银行内部控制评价试行办法》指出,商业银行的主要风险包括信用风险、市场风险(含利率风险)、操作风险、流动性风险、法律风险以及声誉风险等。从实践来看,对于银行影响比较大的风险主要有四种:信用风险、操作风险、市场风险和流动性风险。二、内部审计在风险管理中的定位、职责与作用内部审计是一种独立、客观的确认与咨询活动,它通过应用系统的、规范的方法,评价并改善风险、控制和治理过程的效果,帮助组织实现其目标。由于其自身的特点,内部审计参与风险管理拥有一定的优势。内部审计部门和人员熟悉本单位情况,对单位面临的风险更了解;内
企业风险管理审计 「摘要」企业风险管理是一个倍受关注的焦点问题,企业能否在存有各种不确定性因素影响的环境中有序、有效地运转,在很大水准上取决于企业风险管理的有效性。对企业风险管理的有效性进行审查和评价是现代内部审计的一个崭新领域,本文在分析了企业风险和风险管理内涵的基础上,分析了企业风险管理审计的目标及主要内容。 「关键词」企业风险风险管理风险管理审计因为各种不确定性因素,企业面临着各种风险,能否对风险进行有效的管理和控制,是企业能否生存发展、实现企业预期目标的关键。企业风险管理的有效性在一定水准上取决于企业对风险管理工作的监督和评价。因此,无论是国际内部审计师协会对内部审计的定义,还是我国的内部审计准则都强调了内部审计在企业风险管理中的重要性。我国从2005年5月1日起施行的内部审计具体准则第16号———《风险管理审计》中更是强调了内部审计人员对风险管理进行审查和评价的职责。 一、企业风险及风险管理的内涵进行企业风险管理审计,必须明确企业风险及风险管理的内涵。否则,企业风险管理审计便无从谈起。1企业风险的实质首先,风险产生于不确定性因素的存有,如果企业运行的内外环境是确定的,则不存有企业风险。其次,企业运行环境的不确定性带来了企业运行结果的不确定性。一般来说,我们更注重企业的运行结果,对预期结果的实现与否及可实现水准的大小成为了衡量企业风险大小的现实标准。因此,可以认为,企业风险则是企业运行结果偏离期望结果的可能性。作者认为,企业目标是企业期望达到的一种结果状态,但因为相关因素的持续持续的变化,企业目标的实现存有不确定性。因此,企业风险可以描述为企业目标不能得以实现的可能性。2企业风险的划分企业风险可以按多种标准进行分类。作者认为,既然将风险定义为企业目标不能得以实现的可能性,那么,企业风险可以按照企业目标的不同层次来理解和划分,并可将其相对应划分为:(1)企业的战略风险是指企业战略目标不能实现的可能性,主要包括:因为对相关影响因素的分析不够充分或对未来的变化没能合
毕业论文(设计)文献综述 题目:内部审计参与企业风险管理相关问题研究 专业:会计学 一、前言部分(说明写作目的,介绍有关概念、综述范围,扼要说明有关主题或争论焦点) (一)写作目的 随着社会经济的发展,全球经济金融一体化程度的加深,企业经营环境变得日趋复杂,从而大大增加了企业的经营风险。因此在这样的趋势下,要规避风险或将风险的影响控制在可接受的范围内,就必须强调风险管理。与此同时,会计学者将内部审计这一概念引入到了企业风险管理中。 内部审计的目的在于提高组织的价值和改善组织的经营,内部审计人员是企业的管理咨询师,内部审计部门和内部审计人员参与企业的风险管理也就成为必然的内在需求。麦克宁和塞林提出在风险导向的内部审计下,内部审计在组织中的作用已从原来“独立的评价职能”变为“整合风险管理和公司治理”。(刘振华,2009)在其文章中对内部审计参与企业风险管理的作用也给予了一定的论述。内部审计参与企业风险管理已经是发展的必然趋势,帮助企业实现其目标。本综述在已有研究成果的基础上,主要分析内部审计参与企业风险管理的职责和作用,以及我国在这方面的应用现状,并提出若干解决的措施,从而加强内部审计在企业风险管理中的应用。 (二)相关概念 风险是指未来的不确定性对企业实现其经营目标的影响。“风险”是指某种不利因素产生的可能性,其衡量标准是遭受损失的后果与可能性。而风险管理是企业有效利用各种资源,通过对潜在意外或损失的识别、衡量和分析,采取各种科学、有效的手段和方法,对风险进行有效的控制、预防、规避,以降低企业风险损失,使企业在多变的环境下以稳健的方式运作,用最经济和合理的方法获得增加价值的机会。 内部审计是一种独立的活动,旨在增加价值和改善组织的运营。它通过应用系统的、规范的方法,评价并改善风险管理、控制和治理过程的效果,帮助组织
操作风险审计管理规定 第一条为加强公司操作风险管理,发挥内部审计在案件防控中的作用,根据《北京银监局关于印发〈关于提高操作风险内部审计工作有效性的指导意见〉的通知》(大银监发[2007]426号文件)等相关要求及公司《审计工作管理规定》制定本规定。 第二条本规定所称操作风险是指由不完善或有问题的内部程序、员工和信息科技系统,以及外部事件给公司造成损失的风险。 第三条操作风险审计遵循以下原则: (一)独立性原则。审计部独立开展操作风险审计,不受其他部门和人员等外在因素的影响和干扰。 (二)统一性原则。审计部对操作风险审计实行统一管理,保证操作风险审计工作的一致性。 (三)有效性原则。公司应保证操作风险审计的有效性,以提高对公司各项业务操作风险的防控能力。 第四条操作风险审计目标 保证公司操作风险政策、规定、要求的贯彻、执行;审查、评价并改善系统内操作风险的管理;提升操作风险管控能力,提高案件堵截率,降低案件发生率,促进公司业务的健康发展。 第五条审计机构设置及职责 公司设立审计部,独立开展操作风险内部审计工作,向董事会、审计委员会报告工作,在操作风险管理方面的主要职责为: (一)监督公司操作风险管理政策、制度的制定、执行情况; (二)监督风险管理部门履职情况; (三)开展操作风险审计,促进各部门加强操作风险管理。 (四)对公司贯彻落实监管部门有关案件防控要求情况进行监督。 第六条操作风险审计主要内容 (一)公司操作风险管理相关政策、制度、流程制定情况; (二)风险管理部门履职情况; (三)轮岗、强制休假、离任审计等制度执行情况; (四)不兼容岗位分离、对账等操作风险防范措施执行情况; (五)其他与操作风险管理有关的情况。 第七条操作风险审计在风险评估基础上确定审计重点和频率。轮岗、强制休假、离任审计及对账等情况应每季度审计一次。其他相关情况至少每半年审计一次。 第八条操作风险审计程序及后续处理按照《审计工作管理规定》执行。 第九条审计部应按季向管理层及审计委员会汇报操作风险内部审计工作情况。 第十条审计部应就以下事项向监管部门报告或备案:
注册会计师审计风险分析及控制研究 风险管理制度的不完善普遍地存在于我国的会计师事务所,他们往往忽视了审计风险,置审计客户的信誉和管理水平于不顾,下面是小编就这一问题搜集整理的一篇相关论文范文,供大家阅读借鉴。 20世纪60年代中期以来,西方各国控告审计人员的诉讼案件急剧增加。到九十年代索赔给会计公司造成巨额损失:1991年美国的六大国际会计公司被直接索赔共计近5亿美元,占其收入的9%,比1990年上升了7.7%。1992年8月,美国整个CPA职业界面临的诉讼损失估计有300亿美元。一些会计师事务所因诉讼而陷入困境甚至倒闭。我国也先后发生了深圳原野事件、北京中城事件、浙江尖峰事件、四川红光事件、宁夏银广夏事件及麦科特事件等等一系列重大事件。这些事件表明,审计风险无时不在,无处不有,而且愈演愈烈,接连引起审计理论界和职业界的震动,关于审计风险的研究日益得到广泛的重视。如何正确认识审计风险,如何有效控制审计风险,成为审计理论界与实务界的重要课题。 一、国内研究现状 我国自1980年恢复审计制度以来,对审计风险的认识主要分为三个阶段:(1)对审计风险认识的初期阶段(1980年一1991年)。在这一阶段注册会计师几乎不承担任何风险,其主要任务是实现自身的发展,并且也顺利地渡过了谋生存的第一关。(2)对审计风险的初步认识阶段(1992年-1995年)。在这一阶段我国正式实施《中华人民共和国注册会计师法》等有关法律文件,这不但标志着对审计风险认识的加
深,更为判定注册会计师审计质量提供了初步的依据。审计风险的主要来源开始由职业内部转为职业内部和外部。(3)审计风险研究的纵深发展阶段(1996年-现在)。在这一阶段,我国对审计风险的形成、性质、特点等进行了全面的分析和深入的研究,特别是在借助现代审计风险模型的基础上,加之有效的定性分析,已能比较合理的控制审计风险。但是与不断发展的实践相比我国审计理论研究至今仍不成熟,特别是对于审计风险及控制的研究。在各类关于审计的书籍中论述审计风险的篇幅很有限,很多都是把它做为某章的一节简单介绍,很难对其有深入的了解。现有的关于审计风险的认识散见于各审计杂志和刊物,并且仅限于定性,多数呈现出就风险论风险的局面。因此,深入研究审计风险,特别是对于审计风险的定量分析以及控制研究是十分必要的。 二、注册会计师审计风险控制存在的问题及原因 目前,许多会计师事务所的审计风险控制还非常薄弱,往往缺乏必要的审计风险意识和控制管理措施。结合我国的具体情况,事务所的审计风险控制主要存在以下几方面的问题: (一)审计业务文书不规范。审计报告、审计决定书等审计业务文书不但是审计工作成果和质量的最终体现,同时也是审计风险的重要载体。审计业务文书的质量直接影响到审计风险的控制。 (二)会计师事务所体制不当。我国的会计师事务所由于发展的时间还不长,在体制方面还存在许多有待完善的地方。根据《注册会计师法》的规定,我国可以设立合伙制会计师事务所和有限责任制的会
关于对XX银行 科技信息风险管理进行专项审计的报告(模板) 为有效防范、控制、化解利用信息系统进行业务处理、经营管理和内部控制过程中产生的风险,促进XXX农村信用社安全、持续、稳健发展,根据《商业银行内部控制指引》、《商业银行信息科技风险管理指引》和有关信息系统管理的法规、XXX联社审计部根据市审计中心审计工作的安排,对本联社的科技信息风险管理进行了专项审计,现将审计情况报告如下: 一、基本情况 略。 二、审计依据 银监会《商业银行信息科技风险管理指引》、银监会《商业银行数据中心监管指引》及省联社信息科技相关制度和本联社信息科技相关管理文件。 三、组织架构、制度建设及管理情况 1、信息科技治理组织架构 (1)县联社董事会下设科技信息安全管理委员会,信息安全管理委员会下设应急处理领导小组。 科技管理委员会负责统一规划全社的信息化建设,指导和监督科技部门的各项工作,审议全社计算机网络的设计方案、软件项目招标、设备招标和统一采购及日常管理中重大问题的研究和建议。
信息系统应急处理领导小组负责组织制定全辖应急处置的实施细则,统一组织、协调、指导、检查全辖应急处置的管理;负责全辖信息系统突发事件的应急指挥、组织协调和过程控制 (2)成立了科技部,加强了科技运维信息治理。 (3)科技风险审计工作由联社稽核审计部完成。 2、信息科技管理制度 (1)安全管理 对安全管理活动中的各类管理内容,依据省联社相关制度建立安全管理制度,制定了由安全策略、管理制度、操作规程等构成的全面的信息安全管理。安全管理制度审定周期为一年一次,并且及时发现缺漏或不足对制度进行修订,并有修订记录 (2)事件管理 制订了安全事件报告和处置管理制度—《信息安全事件管理制度》明确安全事件类型,规定安全事件的现场处理、事件报告和后期恢复的管理职责,并根据国家相关管理部门对计算机安全事件等级划分方法和安全事件对本系统产生的影响,对安全事件进行等级划分,制定安全事件报告和响应处理程序,确定事件的报告流程,响应和处置方法等,并对发现的安全弱点和可疑事件有《异常情况上报规定》(3)应急处理 建立较为完善的信息系统应急恢复策略《河北省农村信用社联合社计算机信息系统应急处理方案》,对各业务信息
企业风险管理审计研究 '由于各种不确定性因素,企业面临着各种风险,能否对风险进行有效的管理和控制,是企业能否生存 、实现企业预期目标的关键。企业风险管理的有效性在一定程度上取决于企业对风险管理 的监督和评价。因此,无论是国际内部审计师协会对内部审计的定义,还是我国的内部审计准则都强调了内部审计在企业风险管理中的重要性。我国从2005年5月1日起施行的内部审计具体准则第16号———《风险管理审计》中更是强调了内部审计人员对风险管理进行审查和评价的职责。 进行企业风险管理审计,必须明确企业风险及风险管理的内涵。否则,企业风险管理审计便无从谈起。 1 企业风险的实质 首先,风险产生于不确定性因素的存在,如果企业运行的内外环境是确定的,则不存在企业风险。其次,企业运行环境的不确定性带来了企业运行结果的不确定性。一般来说,我们更注重企业的运行结果,对预期结果的实现与否及可实现程度的大小成为了衡量企业风险大小的现实标准。因此,可以认为,企业风险则是企业运行结果偏离期望结果的可能性。笔者认为,企业目标是企业期望达到的一种结果状态,但由于相关因素的持续不断的变化,企业目标的实现存在不确定性。因此,企业风险可以描述为企业目标不能得以实现的可能性。 2 企业风险的划分 企业风险可以按多种标准进行分类。笔者认为,既然将风险定义为企业目标不能得以实现的可能性,那么,企业风险可以按照企业目标的不同层次来理解和划分,并可将其相应划分为: (1)企业的战略风险是指企业战略目标不能实现的可能性,主要包括:由于对有关影响因素的分析不够充分或对未来的变化没能合理预计而带来的企业在总体战略选择环节的失误风险;由于企业的具体战略选择失误而带来的风险,包括企业经营领域的选择风险、企业并购风险等。 (2)企业日常经营管理风险是指企业具体经营目标不能实现的可能性,又可以划分为企业经营环节的作业链风险,如企业供、产、销等环节的风险;企业的人事风险,如由于人员任用、授权、业绩评价等方面的缺陷带来的风险;企业的信息风险,如企业信息系统风险等。 (3)财务风险。狭义一般是指由于企业筹措资金而形成的风险,并主要是指企业由于举债而形成的风险,也可称之为筹资风险。按照本文对风险的定义,即企业目标不能实现的可能性,则企业的财务风险是指企业财务活动目标不能得以实现的可能性,包括筹资风险、资金投放的风险及企业其他财务活动风险,我们可以称之为广义的财务风险。 3 企业风险管理 COSO于2004年颁布的《企业风险管理框架》中指出“企业风险管理是一个过程,它由董事会、管理当局和其他人员执行, 于战略制订并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在风险容量之内,并为主体目标的实现提供合理保证。” 我国内部审计协会2005年发布的内部审计具体准则16号—《企业风险管理审计》中指出“风险管理,是对影响 目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的过程。风险管理旨在为组织目标的实现提供合理保证。” 从上述对风险管理的解释可以看出,企业风险管理的最终目标是为企业目标的实现提供