下载文档原格式
审计风险管理制度一、审计风险管理制度的概念审计风险管理制度是指企业为了有效管理和控制审计风险而建立的一套制度体系。
它是依据审计风险管理的基本原理,从内部控制、风险识别、风险评估、风险应对和监督与反馈等环节,全面系统地规定了企业在审计风险管理中应当遵循的业务流程、操作规范和管理要求。
通过审计风险管理制度,企业能够及时发现、识别和应对审计风险,保障企业经营活动的合法性、规范性和合规性。
审计风险管理制度的基本内容包括:1、内部控制制度内部控制是审计风险管理的基础,是企业保障财务报告准确性和合规性的重要手段。
建立健全的内部控制制度,能够有效地预防和识别审计风险,提高财务报告的可靠性和透明度。
2、风险识别和评估制度企业应当建立风险识别和评估机制,及时发现和评估可能存在的审计风险,确保对审计风险的全面了解和准确评估。
3、风险应对制度企业应当建立应对审计风险的应对机制,明确各种审计风险的应对措施和具体责任人,及时有效地应对各种审计风险。
4、监督与反馈制度在审计风险管理中,企业需要建立监督和反馈机制,对审计风险管理的效果进行监督和检查,并及时反馈和整改存在的问题,不断完善审计风险管理制度。
审计风险管理制度的建立和完善,有助于企业有效地管理和控制审计风险,保障企业经营活动的合法性和安全性,将审计风险降到最低程度,确保企业的持续稳健发展。
二、审计风险管理制度的意义审计风险管理制度对企业的意义是多方面的,主要包括以下几个方面:1、帮助企业识别和应对审计风险审计风险是企业经营管理中的一个重要组成部分,它可能会对企业的财务报告和经营活动产生不利影响。
建立完善的审计风险管理制度,有助于企业及时发现、识别和应对审计风险,避免或降低审计风险对企业的不利影响。
2、提高企业的经营管理水平审计风险管理制度对企业的经营管理水平有着重要的促进作用。
通过建立完善的审计风险管理制度,企业能够规范经营管理行为,提高管理效率,优化资源配置,提高企业的经营管理水平。
一、背景与目的随着金融市场的日益复杂化和金融风险的不断加剧,金融机构的风险管理显得尤为重要。
为了确保金融机构的风险管理措施得到有效执行,防范和化解潜在风险,提升金融机构的整体风险管理水平,特制定本风险管理专项审计方案。
二、审计范围与对象1. 审计范围:本方案适用于金融机构的风险管理活动,包括但不限于风险识别、评估、监控、应对和报告等环节。
2. 审计对象:本次审计对象为XX银行,包括总行各部门、分支机构及下属子公司。
三、审计内容1. 风险管理组织架构:评估金融机构的风险管理组织架构是否完善,风险管理部门的设置是否合理,各级风险管理人员职责是否明确。
2. 风险管理制度:审查金融机构的风险管理制度是否健全,制度内容是否符合国家法律法规及监管要求,制度执行是否到位。
3. 风险识别与评估:评估金融机构风险识别和评估流程的合规性、有效性和及时性,重点关注信用风险、市场风险、操作风险、流动性风险等。
4. 风险应对与监控:审查金融机构风险应对措施的有效性,监控机制是否完善,风险预警系统是否有效运行。
5. 风险报告与信息披露:评估金融机构风险报告的及时性、完整性和准确性,信息披露是否充分、及时。
四、审计方法1. 文件审查:查阅金融机构的风险管理相关制度、流程、报告等文件,评估其合规性和有效性。
2. 面谈与访谈:与金融机构的风险管理人员、业务人员等进行面谈,了解风险管理的实际情况。
3. 案例分析:选取典型案例进行分析,评估金融机构风险管理的实际效果。
4. 内部控制测试:对金融机构的风险管理流程进行内部控制测试,验证风险管理的实际效果。
五、审计时间与进度1. 审计时间:本次审计预计耗时2个月。
2. 审计进度安排:- 第1个月:完成审计方案制定、审计对象确定、资料收集等工作。
- 第2个月:开展现场审计、案例分析、内部控制测试等工作。
六、审计结果与应用1. 审计结果:根据审计发现的问题,形成审计报告,提出整改建议。
2. 应用:金融机构应根据审计结果,完善风险管理组织架构、制度、流程,加强风险识别、评估、应对和监控,提升整体风险管理水平。
审计风险管理岗位职责审计风险管理岗位是一个非常重要的职责,他们负责在组织内部开展审计工作,并管理和控制审计风险。
他们需要具备审计技能和知识,以便能够准确评估组织的风险状况,制定和实施相应的风险控制措施。
审计风险管理岗位的职责包括但不限于以下几个方面:1. 确定审计风险:审计风险管理岗位的首要任务是确定组织的审计风险,包括内部控制不足、违规行为、财务报表不准确等。
他们需要根据组织的特点和业务活动,分析和评估可能存在的风险,制定相应的控制计划。
2. 制定审计计划:审计风险管理岗位需要基于风险评估结果,制定合理的审计计划。
他们需要确定审计的重点和范围,在整个审计过程中对风险进行有效管理和控制。
3. 进行审计工作:审计风险管理岗位需要组织和实施相关的审计工作,包括审查财务报表、内部控制制度等。
他们需要遵循相关的审计准则和标准,确保审计工作的严肃性和有效性。
4. 发现和报告问题:审计风险管理岗位需要及时发现并报告存在的问题,包括内部控制不足、违规行为等。
他们需要准确描述问题的性质和影响,并提出相应的解决方案。
5. 提出改进建议:审计风险管理岗位需要针对发现的问题,提出合理的改进建议。
他们需要基于对组织内部风险的了解,设计和实施相应的风险控制措施,以减轻风险的影响。
6. 持续监测和评估:审计风险管理岗位需要对组织的风险控制措施进行持续监测和评估。
他们需要与组织的各个部门合作,了解风险控制措施的实施情况,并及时采取行动,以确保风险得到有效的控制。
7. 指导和培训:审计风险管理岗位需要对组织成员进行指导和培训,以提高对审计风险的认识和理解。
他们需要向组织内部提供相关的培训和教育,以提高组织的风险意识和控制能力。
总的来说,审计风险管理岗位的职责是负责组织内部审计工作,并管理和控制审计风险。
他们需要具备审计技能和知识,能够准确评估组织的风险状况,并制定和实施相应的风险控制措施。
通过职责的履行,审计风险管理岗位能够为组织提供有效的风险管理和控制,保障组织的发展和稳定。
审计和风控管理制度一、目的与背景为了规范企业的内部审计和风险掌控工作,确保企业运营的透亮度、合规性和稳定性,提高企业的管理效能和风险防控本领,特订立本审计和风险管理制度。
二、适用范围本制度适用于我司全部部门、岗位以及全部员工,包含全职员工、兼职员工和临时工。
三、审计管理3.1 审计职责1)部门经理•负责组织和协调本部门内部审计工作,确保本部门内部掌控措施的有效运作。
•定期进行风险评估,订立风险防范和掌控措施,并将相关情况报告给高层管理人员。
•监督本部门员工的行为,确保他们符合公司各项规章制度和政策的要求。
2)审计部门•负责全面、客观、独立地对公司各部门的业务活动进行审计。
•订立审计计划和工作程序,依照计划开展审核工作。
•对发现的违规行为、经济损失等问题开展调查,提出整改建议并跟进整改情况。
•供应审计报告和看法,向高层管理人员汇报审计结果,为决策供应参考看法。
3.2 审计程序•审计部门依照审计计划,选择合适的时间进行审计,并通知被审计部门,要求其供应相关资料。
•审计部门依照预定的工作程序,对被审计部门的各项业务进行审核和对账。
•审计部门对审计结果进行分析和总结,撰写审计报告,并将报告提交给高层管理人员。
3.3 审计结果•被审计部门应及时整改依据审计报告提出的问题,整改措施应在报告提出之日起15个工作日内落实,并向审计部门提交整改报告。
•审计部门对整改结果进行复核,确保问题得到有效解决。
•对于存在严重违规行为的情况,须采取相应的纪律处分措施,并报告给公司高层管理人员。
四、风险掌控管理4.1 风险评估和排查•部门经理应定期对本部门各项业务和相关风险进行评估,并将评估结果上报公司高层管理人员。
•风险评估要包含风险的可能性、影响程度和防范措施等内容。
•各部门应依照评估结果,建立相应的风险预警机制和风险管理措施。
•公司高层管理人员应依据评估结果,订立整体的风险掌控策略和应对方案。
4.2 内部掌控管理•各部门应建立健全的内部掌控制度,包含审批流程、岗位职责、内部审计和风险管理等方面。
内部审计与风险掌控管理制度第一章总则第一条为规范企业内部审计与风险掌控管理工作,提高管理水平和风险掌控本领,订立本制度。
第二条本制度适用于企业内部审计与风险掌控管理工作,涉及全部部门和人员。
第三条内部审计与风险掌控管理是企业实施内控的紧要手段之一,目的是确保企业各项工作的合规性、有效性和安全性。
第四条企业内部审计与风险掌控管理工作由主管部门负责具体执行,内部审计委员会帮助监督和引导。
第五条内部审计与风险掌控管理要以科学、公正、独立、客观的原则为引导,重视风险识别、风险评估和风险应对。
第六条本制度的解释权归企业负责人和内部审计委员会共同拥有。
第二章内部审计第七条内部审计是对企业内部运营、财务、风险等方面的系统性、独立性、客观性的评估和监督,通过审计定期发现和矫正问题。
第八条内部审计的目标是评估内部掌控的有效性,检查企业各项制度和规定的实施情况,发现和矫正违反法律、规章制度和道德准则的行为。
第九条内部审计应当依照肯定的计划和程序开展,包含确定审计对象、订立审计计划、收集相关资料、开呈现场检查、编制审计报告等环节。
第十条内部审计应当依照法律、法规的要求,相关制度和规定的要求进行,真实、准确、完整地记录和报告审计过程和结果。
第十一条内部审计委员会应当组织开展内部审计活动,订立审计计划、制度和引导看法,协调内部各部门的搭配,确保审计工作的顺利进行。
第十二条内部审计结果应当及时报告给企业负责人、内部审计委员会和相关部门,并依照要求提出改进看法和建议。
第三章风险管理第十三条风险管理是对企业面对的各种风险进行管理、评估、防备和掌控的过程。
第十四条风险管理的目标是保护企业利益,降低风险并确保企业可连续发展。
第十五条风险管理应当依据企业的实际情况,订立相应的风险管理策略和措施,包含风险识别、风险评估、风险应对和风险监控。
第十六条风险管理涉及的重要内容包含市场风险、信用风险、操作风险、财务风险等,各部门应当依据自身职责进行风险管理。
审计风险管理制度一、审计风险管理的背景审计是一种重要的企业管理工具,通过审计可以及时发现和解决企业经营管理中存在的问题,防范和降低经营风险。
但是,随着企业规模的不断扩大和业务范围的不断增加,同时伴随着信息技术的高速发展,企业面临的审计风险也在不断增加。
例如,企业的交易量越来越大,复杂性也越来越高,导致了审计的难度和风险不断增加。
同时,信息技术的广泛应用使得数据量庞大,数据的来源和真实性难以确认,增加了审计风险。
再者,企业业务范围跨地区、跨国家,在不同的法律、法规和会计准则下运营,审计也面临了国际化的挑战。
由于审计风险的不断增加,管理者需要更加有效地管理审计风险,降低审计风险对企业经营的影响,确保审计的准确、高效进行。
为此,需要建立和完善审计风险管理制度,将审计风险纳入企业的整体风险管理框架,以便更好地评估和管控审计风险。
二、审计风险管理的目的审计风险管理的目的是通过对审计风险的评估、分析和控制,有效地降低审计风险对企业的影响,确保审计的准确、高效进行。
具体包括以下几个方面:1. 保护企业利益。
通过建立和完善审计风险管理制度,可以有效地保护企业的利益,提高经营管理的透明度和有效性,降低舞弊风险,确保经营活动的合法性和合规性。
2. 保障审计质量。
审计风险管理可以帮助企业更好地评估审计风险并有效地控制审计风险,确保审计工作的准确、高效进行,提高审计质量。
3. 降低成本。
审计风险管理可以避免因审计风险导致的问题和纠纷,降低企业面临的审计风险,降低因审计问题导致的成本和影响。
4. 提高管理效率。
通过审计风险管理制度,可以使企业更好地了解自身的审计风险状况,为企业的战略决策、风险管理和内部控制提供有益的参考。
因此,建立和完善审计风险管理制度有利于保障企业的利益,提高审计质量,降低企业成本,提高管理效率,实现企业经营管理的可持续发展。
三、审计风险管理的内容审计风险管理的内容主要包括审计风险管理框架、审计风险评估、审计风险控制和审计风险监督等几个方面。
风控审计管理制度一、风控审计管理制度的重要性1.提高风险意识:风险控制审计管理制度可以帮助企业建立起正确的风险意识,使员工认识到风险的存在和潜在损失,并采取相应的控制和管理措施。
2.规范经营行为:风险控制审计管理制度有助于规范企业的经营行为,防止违规操作和内部失控现象的发生,维护企业的正常经营秩序。
3.提高风险防控水平:通过风险控制审计管理制度的建立和实施,企业可以全面了解风险状况,及时发现和解决问题,提高风险的防范和控制水平。
4.保障企业安全:风险控制审计管理制度将企业内部各项管理活动纳入监控范围,有助于发现潜在的危机和风险,及时采取措施避免风险的发生,确保企业的资产和利益安全。
二、风控审计管理制度的内容1.风险管理政策:明确企业的风险管理理念、目标和责任分工,制定风险控制的总体战略和政策。
2.风险评估与识别:建立风险评估体系,对企业的各项经营风险进行评估和识别,确定优先处理和防范的重点风险。
3.风险控制措施:制定风险控制方案,明确控制措施、控制标准和控制流程,确保风险能够得到有效的控制。
4.风险监控与检查:建立风险监控机制,定期对企业的风险状况进行监测和检查,及时发现和解决问题。
5.风险溯源与整改:对发生的风险事件进行调查溯源,找出问题的根源并进行整改,避免类似问题再次发生。
6.风险信息披露:建立健全的风险信息披露制度,及时向内外部关系方披露风险信息,保障企业的透明度和合规性。
7.风险应急预案:建立风险应急预案,制定可行的应急措施和方案,做好突发风险事件的应急处理准备。
8.风险审计报告:对企业的风险控制工作进行全面审计和评估,形成风险审计报告,为企业的风险管理工作提供参考和改进方向。
三、风控审计管理制度的实施步骤1.确定风险管理目标:制定企业的风险管理目标和政策,明确风险控制的重点和方向。
2.建立风险管理组织架构:设立专门的风险管理部门或委员会,明确部门职责和权责关系。
3.制定风险管理规章制度:制定风险管理的相关规章制度,包括风险评估、风险控制、风险监控等方面。
审计与风险防控管理制度1. 前言审计与风险防控是企业管理中至关紧要的环节,能够保障企业的正常运营、防范风险、提升管理水平。
本制度旨在规范和引导企业审计与风险防控工作的开展,确保企业健康稳定运营,同时保障股东和利益相关方的合法权益。
2. 审计与风险防控组织架构2.1 审计与风险防控委员会(ARCC)审计与风险掌控委员会是由企业高级管理人员构成的决策机构,负责订立审计与风险防控策略和制度,并监督和掌控审计与风险防控工作的实施。
2.2 内部审计部门内部审计部门作为企业内部的独立审计机构,负责规划和执行企业内部审计工作。
内部审计人员应具备相关专业知识和技能,保持独立、客观和保密,及时发现和报告企业内部经营风险。
2.3 风险管理部门风险管理部门负责订立企业风险管理政策和引导方针,对企业各类风险进行评估和分析,并提出防备和应对措施。
风险管理部门与各部门紧密合作,帮助订立风险防控措施,确保企业风险可控。
3. 审计管理3.1 审计目标与原则审计的目标是全面了解企业的经营情形、财务情形和风险情形,供应客观、独立、可靠的审计看法。
审计工作必需遵从独立、客观、公正、准确及时、保密的原则。
3.2 审计程序与方法审计工作包含但不限于对核算记录和财务报表的审查、批阅与核实、内部掌控的评估、经营风险的评估等。
审计程序与方法应依据具体情况确定,并符合相关国家和地区的法规要求。
3.3 审计报告与落实内部审计部门应及时编制审计报告,并将结果报送给审计与风险防控委员会。
委员会应定期审查审计报告,并确保审计结果得到妥当处理和执行。
4. 风险防控管理4.1 风险管理流程风险管理流程包含风险识别、风险评估、风险掌控和风险监控等环节。
各部门应紧密合作,执行风险管理流程,确保风险得到及时识别和有效掌控。
4.2 风险评估风险评估是指对企业的各类风险进行定性与定量评估,确定风险的可能性和影响程度,为后续的风险掌控供应依据。
风险评估应基于科学的方法和数据,由专业人员进行。
审计与风险控制管理制度一、引言审计与风险控制是企业管理中的重要环节,对于保障企业的运营和发展具有至关重要的作用。
审计是通过对企业财务数据和业务流程的检查和评估,来确保企业的财务报告的准确性、合规性和可靠性的过程。
而风险控制则是通过对企业内部和外部风险的识别、评估和管理,预防和减少风险对企业造成的负面影响。
为了确保审计与风险控制的有效进行,企业需要建立一套完善的管理制度。
本文将详细介绍审计与风险控制管理制度的目标、内容和执行流程,以及该制度的重要性和应用建议。
二、目标审计与风险控制管理制度的目标是确保企业的财务报告的准确性、合规性和可靠性,预防和降低企业面临的内部和外部风险,并提高企业的经营效益和信誉。
具体目标包括1. 确保财务数据的准确性和完整性,遵守会计原则和相关法律法规的要求。
2. 发现和纠正财务报告中的错误和漏洞,提高财务报告的质量。
3. 识别和评估企业面临的内部和外部风险,并制定相应的风险控制措施。
4. 提高企业的运营效率,降低成本,增加利润。
5. 保护企业的声誉和利益。
三、内容1. 审计程序和要求明确审计的流程和步骤,确定审计的对象、范围和频次,规定审计的要求和标准。
2. 财务报告制度规定财务报告的编制方法和要求,明确财务报告的披露内容和格式。
3. 内部控制制度建立有效的内部控制机制,包括审计内部控制的评价和改进。
4. 风险管理制度识别和评估企业面临的内部和外部风险,制定相应的风险控制策略和措施。
5. 审计委员会或审计部门的职责和权力明确审计委员会或审计部门的组成、职责和权力,并规定其与管理层的合作关系。
6. 信息系统审计制度确保企业信息系统的安全性和可靠性,防止信息泄露和滥用。
四、执行流程1. 计划阶段制定审计和风险管理计划,明确目标、范围、时间和资源的安排。
2. 执行阶段按照计划进行审计和风险管理活动,对财务数据和业务流程进行检查和评估,识别和评估风险。
3. 报告阶段编制审计报告和风险评估报告,向管理层和审计委员会或审计部门汇报审计结果和风险控制建议。
一、前言为了提高公司审计风险管理水平,确保公司财务报告的真实性、准确性和完整性,防范和化解审计风险,根据《中华人民共和国公司法》、《中华人民共和国审计法》等相关法律法规及公司实际情况,特制定本审计风险管理工作计划。
二、总体目标1. 建立健全审计风险管理体系,确保审计工作合规、高效。
2. 提高审计风险识别、评估和应对能力,降低审计风险发生的可能性。
3. 加强审计队伍建设,提升审计人员的专业素养和风险意识。
4. 优化审计流程,提高审计工作效率,确保审计成果质量。
三、具体措施1. 完善审计风险管理组织架构(1)设立审计风险管理委员会,负责公司审计风险管理的总体规划和决策。
(2)明确审计风险管理职责,建立审计风险管理责任制。
(3)加强审计风险管理队伍建设,选拔具有丰富经验和专业素养的审计人员。
2. 制定审计风险管理规章制度(1)根据国家法律法规和公司实际情况,制定审计风险管理规章制度。
(2)明确审计风险管理的范围、程序、方法和要求。
(3)定期修订和完善审计风险管理规章制度,确保其适应公司发展需要。
3. 开展审计风险识别和评估(1)定期对公司财务报告、内部控制制度、经营业务等方面进行审计风险识别。
(2)对识别出的审计风险进行评估,确定风险等级。
(3)针对不同风险等级,制定相应的应对措施。
4. 加强审计风险应对和监控(1)对评估出的高风险,制定专项审计计划,实施重点审计。
(2)对中低风险,加强日常审计监督,确保审计风险得到有效控制。
(3)建立审计风险监控机制,定期对审计风险进行跟踪和评估。
5. 提高审计人员专业素养和风险意识(1)开展审计人员专业培训,提高其审计技能和风险意识。
(2)鼓励审计人员参加各类专业考试,提升其专业水平。
(3)加强审计团队建设,培养团队协作精神,提高审计工作效率。
6. 优化审计流程,提高审计工作效率(1)简化审计程序,缩短审计周期。
(2)运用信息化手段,提高审计工作效率。
(3)加强审计信息化建设,提高审计数据质量。
Dec. 2007, Vol, 3, No.12 (Serial No.31) 现代会计与审计 Journal of Modern Accounting and Auditing, ISSN1548-6583, USA44风险管理审计:一个重要的制度安排∗李晓慧(中央财经大学会计学院,北京 100081)摘 要:为了使内部控制、公司治理,以及风险管理在动态中不断适应企业的发展,促使企业内生出减少财务舞弊以及公司治理失效的内部控制和风险管理机制,本文引入了风险管理审计制度。
这种制度通过评价、鉴证、咨询和报告来促使企业形成自我纠正、自我完善、不断提升的公司治理循环,也有利于提高公司的治理效率。
关键词:风险管理审计;制度安排;公司治理一、引言在资本市场,人们总是疑虑为什么一些企业会乐此不疲地粉饰财务报表。
也许人们已经寻找出不同的理由以及相应的改善措施,但究其根本在于公司缺乏盈利能力。
当一个企业缺乏盈利能力时,为了避免向市场报告“坏信息”或规避资本市场的监管,公司有强烈动机不报告亏损,尤其在连续亏损时,公司必然会铤而走险地利用会计手段进行“清洗”(Haw, et al,1998;陆建桥,1999;沈振宇等,2004;李远鹏等,2005)。
反之,如果企业盈利能力强,就没有必要粉饰财务报表。
正是基于这些研究,目前会计理论界和实务界都着力研究企业内部控制、公司治理以及整个企业的风险管理,以期从公司内部形成减少舞弊的控制机制,以减少风险,这种研究思路和解决问题的角度无疑是正确的。
但在一个动态发展的企业中经常会看到,即便是一些企业聘请国际“四大”设计了完善的内部控制和全面的风险管理,也会面临着设计不合理(主要是与企业现实不符)、运行无效的尴尬1;即便是公司治理结构设计的再完美,大股东和管理层合谋舞弊以及严重的内部人控制也很猖狂,如何解决这些问题呢?这需要企业有一个自我纠正、自我完善、不断提升的制度,才能从根本上解决问题,为此,我们在公司治理中引进风险管理审计制度。
二、风险管理审计的内涵从现代企业全面风险管理的角度看,风险管理审计是审计人员根据企业全面风险管理的方针和政策,采用系统化、规范化的方法,测试企业风险管理系统、各业务循环及相关部门的风险识别、分析、评价、管理及处理等,并对企业的全面风险管理进行动态评价的一个过程,以保证和预警,进而提高企业风险管理的效率,帮助企业实现其战略目标。
从这个定义出发,我们可以确定风险管理审计内涵包括如下几点:∗本文是“中财121人才工程博士发展基金”项目(项目编号:GBG0606)阶段性成果之一,感谢财政部全国会计学术带头人后备人才培训项目的支持,感谢东北财经大学张宜霞老师的意见。
【作者简介】李晓慧,女,河南南召人,经济学博士,中央财经大学会计学院教授、副院长;研究方向:现代审计理论与方法、内部控制与风险管理、资本市场会计与审计问题研究。
1中航油的风险管理体系出自安永会计师事务所之手,《风险管理手册》与其他国际石油公司基本一致,但仍然无法阻止企业由最初判断失误造成580万元亏损扩大到5.5亿美元,这说明中国企业现在内部控制的最大、最迫切的问题不是设计出最好、最超前的内部控制,而是如何保证最常规的内部控制能够有效运行。
1. 风险管理审计的目标是在确定企业基本经营目标、风险、绩效指标和风险承受能力的基础上,评价风险管理活动,并将企业风险控制在可接受范围内,以增加企业价值或改进企业运行效率。
风险管理审计目标与企业经营目标是一致的,比一般审计目标范围要大。
如一般的财务审计目标是对财务报表的合法性、公允性发表意见,企业内部控制审核目标是对内部控制的有效性发表意见,但风险管理审计的目标可具体细分为对风险管理政策设计的适当性;执行的有效性和风险损失处理的合理性发表意见,该意见尽量避免集中在遵循要求上,而是实质地评估企业的风险偏好以及期望差距,提出缩短差距的具体措施和意见,以求把企业的风险控制在可接受的范围内,为实现企业价值增值和改进企业运行效率的终极目标服务。
2. 风险管理审计的对象是企业全面的风险管理活动。
企业的全面风险管理活动包括企业的风险管理信息系统和内部控制系统2,为此,风险管理审计也包括对财务报表重大错报和内部控制缺陷的查证、评价与沟通。
但区别于财务报表审计和企业内部控制审核的关键点是:风险管理审计还需要针对企业战略层面的风险予以查证、评估并提出应对措施。
3. 风险管理审计职能体现在鉴证和咨询活动上。
其鉴证职能与一般的审计一样,旨在客观地获取和评价与经济活动和经济事项的认定有关的证据,以确认这些认定与既定标准之间的适合程度。
其咨询的职能具有“增值性”,根本区别于一般财务报表审计,要求审计人员针对企业风险管理中存在的问题,提出具有针对性(specific)、可测量性(measurable)、可实施性(actionable)、责任到人(responsibility)、及时性(timely)3的评价意见和改善建议,协助管理层更有效地进行风险管理活动,减少或降低阻碍企业战略目标实现的任何障碍。
4. 风险管理审计采用的方法具有系统性、规范性,主要包括:了解管理当局在战略上、运营上和价值上的目标;识别和评估阻碍企业达到上述目标的关键经营风险;理解管理当局对于相关风险的承受度;评估风险管理活动,并将其降低至可接受风险水平。
这些方法在风险基础/导向审计中也运用,但风险管理审计在运用这些方法时,主要利用数量模型来量化风险、对风险进行排序,以便为公司提出具有针对性的精细分类的风险管理策略并提出改善意见,而风险基础/导向审计在运用这些方法时,侧重于定性评价内部控制及其控制风险,目的是为了找到公司内部控制不能防范的剩余风险,以确定下一步对剩余风险予以查证的实质性程序的性质、时间和范围。
5. 风险管理审计的重心在于识别目前风险管理有效性水平与期望水平之间的差距,以评价和改进风险管理的有效性。
为此,风险管理审计属于凸现咨询活动的企业内部审计4的一种,它是审计人员执行内部控制评价和管理审计的合理拓展,即站在战略层面和风险管理全过程的角度,对企业风险管理进行审计。
现实中,企业根据需要,在进行风险管理审计的同时,也可以从某种专门的需要出发,安排内部控制评价或管理审计。
三、风险管理审计是一种制度安排1. 正如注册会计师审计是企业外部治理的一种制度安排一样,风险管理审计也作为企业内部治理的一种制度安排而存在。
在现代企业中,公司治理是基于企业所有权与经营权相分离后而引发的有关委托代理关系及“内部人控制”等问题而被逐步提出的,人们希望公司治理通过一系列制度安排有效运行而形成治理循环,为公司2 2006年6月国务院国有资产监督管理委员会颁布的《中央企业全面风险管理指引》(国资发改[2006]108号)规定健全的全面风险管理体系,包括风险管理策略、风险理财措施、风险管理组织职能体系、风险管理信息系统和内部控制系统。
3 2004年9月国际内部审计师协会(IIA)发布的《全面风险管理中内部审计角色》的职位说明书中提出的SMART(specific, measurable, actionable, responsibility, timely)标准。
4 Bailey等认为,咨询活动显得有些新颖,但它所囊括的许多活动实际上早已成为内部审计工作的一部分。
45不断培育和提升增值能力提供保障。
如图1,企业的外部治理在运行时,市场这个“看不见的手”将会发挥作用:资金在资本市场中由低效益领域流向高效益领域;经理人在经理市场会因企业业绩变化而提升经理人价值,或被赶出经理市场(如利用收购、兼并等);产品的适销对路或积压会把企业推向大发展或濒临破产;劳动力也会追逐利益而流动,但这些市场的敏感反应必然借助于注册会计师的审计,“年度审计是公司治理的一个基石……审计提供了外部的客观的审查,该过程中需要准备和提供财务报表”5,注册会计师审计担负着过滤会计信息风险、合理保证会计信息质量、降低会计信息识别成本的责任,被利益相关者视为重要的利益保障机制(程新生,2005),从而有利于提高公司的透明度,减少外部治理运行中的信息不对称而引发的一系列后果(逆向选择和道德风险)。
企业的内部治理运行时,配置和行使控制权、监督和评价董事会、经理层和职工以及设计和实施激励机制等制度至关重要,但更为重要的是这些制度如何被执行。
众所周知,制度执行的关键在于评价,评价的关键又在于咨询,风险管理审计在公司内部治理中就承担了咨询的职责,即从企业发展战略的视角评价、鉴证企业全面风险管理,并站在战略高度,具体到企业运营中各个流程和环节,并提出具有建设性的建议。
这不仅有利于企业形成“自上而下”和“自下而上”相协调的制度执行机制,也能够促使企业形成自我纠正、自我完善、不断提升的内部治理机制。
图1 企业的内外治理制衡机制2. 相对于内部控制和风险管理的“监督”要素,风险管理审计成为内部控制和风险管理运行中内生和外生相协调的制度安排。
如图2公司内部治理框架所示,企业的内部控制和风险管理是企业治理层的工具,但却根植在企业经营管理的每一个流程和环节当中,属于公司治理机制的核心。
对于一个现代化企业来讲,无论按照“内部控制整体框架(Internal Control——Integrated Framework)”(COSO框架)或是“全面风险管理整合框架(Enterprise Risk Management)”(COSO-ERM框架)来构建自身的内部控制和风险管理框架,框架本身都内生存在“监督”环节6。
监督是对内部控制和风险管理系统5 Cadbury Report, 1992, 36, para.5.1。
6 COSO框架的“五要素”包括“内控环境、风险评估、内控活动、信息与沟通和监督”COSO-ERM框架的“八要素”包括46有效性进行评估的过程,可以通过持续性监督、独立评估或两者的结合来实现。
内部控制和风险管理内生要素中“监督”如果仅仅限于自我评估,则无论是否是持续的,都可能会出现“不识庐山真面目,只缘身在此山中”的情况,因此,需要特设的一个制度安排——风险管理审计,由直接隶属于董事会(可以通过审计委员会,但最终是对董事会负责)的审计部门组织实施,以落实内部控制和风险管理的各个环节的自我评价为基础的专门的审计活动,并且利用咨询意见,在战略层面上为董事会提供发现、防范并纠正自身战略风险的意见。
为此,在公司内部治理框架中,风险管理审计成为内部控制和风险管理运行中的内生和外生相协调的制度安排,其内生性表现在风险管理审计本身是内部控制和风险管理中“监督”环节所要求的独立评估部分;其外生性体现在风险管理审计是特设的制度安排(强调直接隶属于审计委员会的内部审计部门实施)来保证内部控制和风险管理在不断修正中有效运行;其内生和外生相协调表现在内部审计部门在实施风险管理审计中,必须以企业内部控制和风险管理的自我持续评估为基础,但要站在战略高度,把握全面风险,来对整个公司内部治理的全过程以及各个层面(治理层和控制层)实施监督。
