风险管理审计研究_基于企业内部审计视角的分析_时现
- 格式:pdf
- 大小:726.75 KB
- 文档页数:6
内部审计发展研究中心中国内部审计协会[摘要] 从企业风险管理和内部审计理论与实践发展的现实需要出发,结合先进的内部审计理论,架构企业风险管理审计框架;从风险管理审计的背景分析入手,研究企业风险管理审计的内容、实现途径、现实困惑等相关问题;以审计客体为中心,以审计流程为导引,设计企业风险管理审计模型,厘清风险导向审计与风险管理审计的关系。
一、问题的提出安然等舞弊事件爆光后,各大企业和行业监管组织都将视线转向舞弊及舞弊的防范,如美国反虚假财务报告委员会下设的资助性组织(COSO)、国际内部审计师协会(IIA)等。
推进全面风险管理,强化内部控制意识,优化公司治理结构成为防止舞弊的首要选择。
IIA2001年发布的《内部审计实务标准》中明确提出,内部审计“通过运用系统的、规范的方法,评价并改善风险管理、控制和治理过程的效果,帮助组织实现其目标”。
该要求在IIA2009年修订发布的《国际内部审计专业实务框架》(IPPF)中再次被确认并被强烈推荐,并要求审计人员使用风险评估的方法编制审计计划,同时积极开展风险管理审计。
IIA成立的内部审计研究的知识共同体——Common Body of Knowledge(简称CBOK),致力于内部审计理论研究和实践状况调查。
2006年底,CBOK发布了第一份全球内部审计活动状况的调查报告。
报告指出,有79.5%的被调查者认为风险管理审计在未来三年将有增长的趋势(见表1)。
但是,受到多种因素影响,风险管理审计在我国尚未得到全面响应。
来自中国内部审计协会内部审计发展研究中心的研究报告表明,至2007年底,我国国有企业内部审计活动主要包括财务审计、经济责任审计、投资项目审计、经济效益审计、物资采购审计、专项审计等,风险管理审计、内部控制审计、舞弊审计和IT审计虽然有所开展,但比例很低(见表2)。
实践标杆的缺失,使我国一些率先实践风险管理审计的企业十分迷惘。
不仅如此,内部审计新旧概念频繁更迭,专业术语诸多,如内部控制审计、制度基础审计、风险管理审计、风险导资料来源:时现等翻译:《国际内部审计概览——来自于IIA知识共同体2006年内部审计调查报告》第30~35页,载《中国内部审计》,2008 (3)。
活动选项财务过程审核风险管理组织治理规章的执行运营审计样本量67246728670466986715增长43.5%79.5%63.2%46.9%46.2%减少14.5%2.3%4.0%11.7%14.7%保持不变41.9%18.2%32.8%41.4%39.1%合计100%100%100%100%100%表1 内部审计执行的审计类型的期望变化资料来源:时现、毛勇:《08’中国国有企业内部审计发展研究报告》第29页,北京:中国时代经济出版社,2008。
风险管理审计研究——基于企业内部审计视角的分析向审计等;同时,内部审计内涵也发生了深刻变化。
如何在实践中清楚界定有关概念,实现现代内部审计帮助组织增加价值的目标,是内部审计人员必须要关注和研究的问题。
本文从审计内容的界定和审计流程两个维度设计风险管理审计框架,以期丰富风险管理审计内涵,推进企业风险管理审计实践发展。
二、审计客体和审计流程双轮驱动的风险管理审计(一)风险来自不确定性国资委在《中央企业全面风险管理指引》中将企业风险定义为未来的不确定性对企业实现其经营目标的影响(见图1)。
《国际内部审计专业实务框架》将风险定义为:“指对实现目标有影响的事件实际发生的可能性,风险通过影响程度和发生的可能性来衡量。
”风险是风险因素、风险事故和损失三个要素的结合体(见图2)。
风险在企业经营活动中有不同的表现形式,国资委将企业风险分为战略风险、财务风险、市场风险、运营风险和法律风险五个主要部分。
具体见表3。
(二)企业风险管理融入企业战略设计和所有经营活动之中企业全面风险管理,指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。
风险管理应当围绕企业风险管理策略目标,针对企业战略、规划、产品研发、投融资、市场运营、财务、内部审计、法律事务、人力资源、采购、加工制造、销售、物流、质量、安全生产、环境保护等各项业务管理及其重要业务流程,通过执行风险管理基本流程,制定并执行规章制度、程序和措施。
其含义是识别、评估、管理和控制潜在事件或情况的过程,目的是为实现组织的既定目标提供合理保证。
纵览企业风险管理发展路程,对以下两要素应给予足够关注:1、企业管理目标引导风险管理(见图3)。
企业管理目标的变化引导企业风险管理重点的转移。
2、企业管理环境影响风险管理(见图4)。
企业管理环境的变化影响风险管理模式的变化。
(三)“双轮驱动”的含义从内部审计视角看,风险管理审计与风险导向审计的内涵截然不同。
风险管理审计的含义是“对组织的风险管理进行审计”。
对企业来说,这里的“风险”,是指企业风险,主要涉及“经营风险”;“风险管理”是指审计的客体和对象。
风险导向审计是作为继账项基础审计、制度基础审计之后一种新的审计模式。
这里的“风险”指的是“审计风险”,其含义更加倾向于审计主体。
“双轮驱动” 风险管理审计是基于以上审计主体和审计客体的划分,其内在含义主要体现在两个方面:一方面,审计客体主导,审计重心转移。
《国际内部审计专业实务框架》的工作标准2120明确了风险管理审计的内容和相关要求,即:“内部审计活动必须评估风险管理过程的有效性,并对其改善作出贡献。
”具体见表4。
另一方面,审计主体实施,审计流程牵引。
企业风险管理是风险管理审计的实质性内容,但内部审计人员在履行审计职责时,必须要将风险导向审计模式融入审计流程之中。
即以风险评估为基础,确定审计计划,并以审计计划为起点,在审计流程中全面推行风险管理审计。
具体见图5。
综合而言,风险管理审计的确切含义是以风险为导向,对企业的风险管理进行审计。
三、企业风险管理审计实现途径研究(一)以风险为导向制订内部审计计划审计计划是指内部审计机构和人员为完成审计业务,达到预期审计目的,对一段时期审计工作任务或具体审计项目做出的事先规划。
按照中国内部审计协会《内部审计具体准则第1号——审计计划》要求,审计计划“一般包括年度审计计划、项目审计计划和审计方案三个层次”。
内部审计计划是组织开展内部审计活动的依据,是考核与评估内部审计质量的重要标准。
充分考虑中国内部审计协会和IIA的要求、准则和规定情况下,包含三个层次的审计计划主要内容见表5。
多年来,许多企业已经习惯按照企业的经营计划和经营重点、领导交办及企业内部审计制度要求编制审计计划,很少使用风险评估的方法确定审计内容、审计范围和制订审计计划。
IIA 2001年发布的《内部审计实务标准》,第一次提出在制定审计业务计划时,应确认并评价相关风险;在2009年发布的《国际内部审计专业实务框架》的工作标准2010进一步明确,首席审计执行官必须以风险为基础制订计划,以确定与组织目标相一致的内部审计活动重点。
在审计计划阶段,选择被审计对内部审计部门必须评估下列与组织治理、运营及信息系统有关的风险:(1)财务和运营信息的可靠性和完整性;(2)运营的效果与效率;(3)资产的安全;(4)法律、法规及合同的遵循情况。
内部审计部门必须评估发生舞弊的可能性以及所在组织如何管理舞弊风险。
在开展咨询业务时,内部审计师必须关注与业务目标相关的风险,并警惕其他重大风险的存在。
内部审计师必须将开展咨询业务过程中了解到的风险情况,运用于评估组织的风险管理过程。
协助管理层建立或改善风险管理过程时,内部审计师必须避免在实际工作中对风险进行管理,从而承担任何管理层的责任。
表4 风险管理审计内容和要求来源内容描述工作标准2120.A1工作标准2120.A2工作标准2120.C1工作标准2120.C2工作标准2120.C3资料来源:根据IIA《国际内部审计专业实务框架》整理。
象为工作起点。
对企业而言,被审计对象可以是某个子公司、某项经营活动或某个方案,也可以是一个独立的过程或活动。
虽然风险发生的概率及造成的损失难以确定,但选择被审计者时考虑风险却是毋庸置疑的,这也是风险导向审计的第一步。
审计人员应该在评估风险和风险暴露优先次序的基础上安排审计工作。
根据风险评估的结果,对风险从大到小进行排序,再充分结合审计资源、审计限制条件、审计环境及其他要素确定审计业务数量和审计的先后顺序。
如果没有特别原因(如舞弊事项),审计顺序应该按照风险大小来排列,风险大的先审,风险小的后审或不审。
以风险评估为基础编制审计计划,要求审计人员具备风险识别、风险分对企业决策过程、经营活动流程等相关内容十分熟悉,并对主要经营活动的风险点有一定的认识和了解。
国资委2004年对我国国有企业经理进行了调查。
调查发现,经理最关心的十大风险是:市场竞争加剧、国家政策导向、战略决策失误、关键人才流失、经济全球化、环境保护、成本上升、客户需求发生转变、利率及利率波动、坏账风险。
充分运用风险评估技术,估计风险严重程度和发生的可能性,能够形成风险矩阵图(见图6)。
如果说以风险评估为基础的审计计划更多地体现了企业整体层面的风险,那么,风险矩阵图的绘制更突出具体经营过程中的风险,是微观层面风险的显示。
其目的是进一步确认审计业务本身面临的风险和风险的严重程度,以此为基础进一步明确审计实施阶段的审计内容和审计重点。
如果必要的话,需要按照程序调整审计计划。
析和风险评价的基本能力。
风险识别是识别企业面临的风险,并将风险归类;风险分析是将辨识出的风险放入统一的模型中进行分析处理,进一步做出定性和定量的分析,包括风险对企业目标实现的可能影响、风险物化的多重情境分析和统计特性、可能的影响因素和方式;风险评价是评价风险对企业目标的影响,影响最大的风险将成为企业风险管理的重点。
(二)基于风险矩阵图的审计实施内部控制审计一般通过调查问卷、座谈会和个别走访三种方式开展。
这三种方式在风险管理审计中同样适用,但问卷的重点和内容与内部控制审计有所不同。
为了保证对风险管理情况的描述到位,审计人员必须图6 风险矩阵图1、内部审计年度工作目标;2、需要执行的具体审计项目及其先后顺序;3、各审计项目所分配的审计资源;4、后续审计的必要安排。
1、审计目的和审计范围;2、重要性和审计风险的评估;3、审计小组构成和审计时间的分配;4、对专家和外部审计工作结果的利用;5、其他有关内容。
1、具体审计目的;2、具体审计方法和程序;3、预定的执行人及执行日期;4、其他有关内容。
表5 内部审计计划的主要内容内部审计计划构成主要内容年度审计计划项目审计计划审计方案资料来源:根据相关资料整理。