企業風險管理審計
出自 MBA智库百科(https://wiki.mbalib.com/)
目錄 |
企業風險管理審計是指企業內部審計部門採取系統化、規範化的方法,評估企業風險管理系統的風險識別、分析、評價、管理和處理能力等內容的內部審核活動。
其一審計工作重心開始轉移。審計人員的審計工作由原來的內部控制審計擴展到所有風險管理技術審計,審計範圍拓寬了很多。
其二審計思路和觀念發生根本性轉變。賬項基礎審計註重具體交易事項的審查測試;制度基礎審計雖註重內部控制的符合性測試,而企業風險管理審計則是註重確認和測試風險管理部門為降低風險而採取的方式和方法。
其三是企業風險管理審計的目的更加明確,在於揭示企業的各種風險因素,降低和防範各種風險,協助企業決策者和管理層達到預期的經營目標。
最後企業風險管理審計的方法更科學、更先進。企業風險管理審計是利用戰略和目標分析的結論,確定關鍵風險點,進行風險評估,採取必要的措施降低或消除風險。企業風險管理審計還廣泛運用數學分析、統計分析和電腦等技術方法,使審計工作更加簡單、快捷。
開展企業風險管理審計的意義[1]
風險管理現今已成為一項公認的新穎的管理學科。經濟全球化和一體化速度的加快,隨之而來的是競爭的全球化、經營的戰略化,風險管理則比以前任何時候更顯得重要了,對企業管理者和決策者而言,其地位也越發的舉足輕重,企業風險管理審計上升到企業發展的戰略高度,成為現代企業內部審計的首要使命,對企業的可持續發展發揮著至關重要的作用。
(一)實施企業風險管理審計是針對內部控制制度的執行情況進行再監督,以便及時發現並消除風險點,把風險損失控制在最低限度,與此同時,能夠通過對內部控制制度的健全性和符合性測試發現內控制度的不足之處,並提出改進意見,進一步修訂和完善內部控制制度。
(二)實施企業風險管理審計還能起到預防風險與警示的作用,企業結合實際情況制定具體的內控制度,由相關部門或人員具體實施,事先控制可能出現的風險,把風險消滅在發生之前或萌芽狀態,而當風險產生並造成損失時,分析原因,總結經驗教訓,採取相應措施,發揮風險管理審計的警示作用。
(三)企業風險管理審計的開展,還有助於提高外部審計質量和效率。審計包括審計計劃、取證、判斷和報告,是一個系統過程。審計過程的質量決定了審計報告的正確性和全面性,在現代企業組織中,內部審計資源(人力、專業技術、時間)比起所要求的大多缺乏,內部審計的工作量負荷很重。因此,在審計資源緊缺的情況下,保證審計質量就成了內部審計的宗旨,風險管理審計從制定審計方案開始就與組織的經營決策緊密聯繫,通常,為了提高審計效率,審計方案往往是以幾個重大風險綜合為導向。風險導向審計使內部審計人員的工作從起點到後續追蹤審查,從審計範圍、工作中心及其變化到審計測試與評價,自始至終與組織系統目標協調一致、針對性強,將有限的審計資源用於高風險領域,降低外部審計成本,提高審計效率,保證和提高了審計質量。
目前,從世界範圍看,企業的風險管理審計尚處在發展階段,還有相當一部分的企業沒有實行,風險管理審計的理論研究方面的工作及成果還比較少,風險管理審計的發展還面臨著若幹問題。
(一)風險意識淡薄。
1、企業本來應該以追求長遠利益、獲取最大利潤為根本目標,但是有些企業卻只顧眼前的利益,而忽視某些行為決策對企業未來發展產生的影響,往往對所投資的項目的風險不能進行系統全面的分析,從而給企業帶來了巨大的損失。
2、企業缺乏風險意識,沒有積極、主動、系統地進行風險管理工作。主要表現在以下兩個方面:一是企業中的風險管理活動往往是瞬時的或者間斷性的,意識到了就進行管理,事後則是“好了傷疤忘了疼”,將其拋擲腦後;二是企業缺乏對風險進行定期的覆核和再評估,降低了企業適應環境變化、管理風險和規避風險的能力。
(二)企業風險管理審計的創新受到一定程度的外部因素的制約。
企業風險管理審計隨著風險管理的創新而不斷創新的,風險管理的創新一方面在於企業自身可持續發展的需要,另一方面要求外界給它創造較為寬鬆的環境,例如,要為銀行風險管理的創新創造寬鬆的環境就具備三個條件:一是必須具備市場化的交易主體和交易價格,因為,只有這樣,銀行才能作為風險的承擔者在市場上藉助已有的或創新的風險管理工具規避和控制風險;二是具備成熟的金融市場,因為創新的本身也會創造出新的風險,一旦管理不慎,金融市場無法消化,就可能引起金融動蕩或危機,因此,成熟的金融市場也是必要的;三是完備的法律保障,沒有完備的法律法規政策來規範、約束和保障各種創新的開展,那麼要使金融風險管理創新良性發展也不太可能。由此可見,其他企業也基本如此,然而,我國目前尚且不具備這樣的外部條件,這樣就制約了我國風險管理創新的發展。
(三)企業風險管理的組織架構還不完善,缺乏現代意義上獨立的風險管理部門。
尤其我國的大多數企業存在較為嚴重的治理結構問題,導致各個部門和崗位的人員對其工作職責和操作程式不清晰,風險承擔的最終主體也不明確,因而很難形成現代意義上獨立的風險管理部門,並且沒有專門的人員進行企業風險管理。即便是成立了相應的風險管理部門,但是沒有專職的風險經理,風險承擔的主體不明確,各個部門或者崗位間互相推卸責任,使其風險管理的成效缺乏有效的約束機制,從而無力承擔起獨立的、具有權威性的、有效管理企業風險的職責,使得我國企業的風險管理始終停留在以眼前利益為目的的決策層次上,而不能像西方一些企業將企業風險管理上升到企業發展的戰略高度。
(四)對企業風險管理審計的定位不夠清楚、準確。
如《內部審計具體準則第16號-風險管理審計》中提出這樣一種說法“風險管理是組織內部控制的一部分,內部審計人員對風險管理的審查和評價是內部控制審計的基本內容之一”,而在1992年後最新出台的《企業風險管理框架》中將內部控制擴展為風險管理,明確提出了風險管理包含內部控制。這兩種觀點的之間矛盾使我們對風險管理審計的定位有點模糊不清,對風險管理審計的範圍也有所置疑。
(五)關於企業風險管理審計
我國至今沒有出台較為完備的法律法規政策,不利於風險管理創新的良性發展,同樣,也不能很好的規範、約束和保障企業風險管理審計的開展,使審計人員在開展企業風險管理審計的過程中束手束腳。
(六)在企業風險管理審計的範圍上
審計人員側重於企業經營管理風險的識別、估算和控制方面的審計,而對企業制度風險、法律風險等其他風險的評估、測試等方面的審查重視程度不夠,但是隨著我國加入wto,我國企業的經營管理逐漸與國際接軌,再加上企業自身改革的不斷深化,企業的風險管理不可能只停留在分別對某一種風險進行管理的階段上,企業只有全面的、綜合的考慮可能發生的各種風險因素,才能有效的預防、管理和控制風險,同樣的,企業風險管理審計也不能停留在部門風險管理審計的階段上,而要向全面的、整體的風險管理審計發展,只有這樣企業才能在競爭中立於不敗之地。
(七)企業風險管理審計人才嚴重匱乏。
1、目前,我國企業風險管理審計人才嚴重匱乏,現有風險管理審計人員綜合素質不高,主要表現在文化水平不高,電腦操作能力不夠,知識結構單一,風險意識不強,工作創新能力差等等。如不加強對風險管理審計人員的綜合素質提高,將非常不利於風險管理審計的有效開展。
2、我國註冊會計師對行業風險和企業經營風險缺乏瞭解,數據積累嚴重不足,正如黃世忠教授所說的:“我國會計師事務所90%以上的業務是審計業務和會計業務,沒有經濟方面、法律方面等多元化的背景。註冊會計師們不瞭解企業的經營狀況、不瞭解整個行業。”這我國審計人員有效開展企業風險管理審計工作所急需解決的問題。
在全球經濟化的當今世界,企業為了使自己在競爭中贏得優勢、搶得先機,為了更好地開展風險管理審計,必須對審計工作中存在的問題採取有效地措施。
(一)我國要加強對企業風險管理審計的重視程度
尤其在中國加入世界貿易組織的今天,企業資本迅速積累,企業規模日益擴大,能否有效開展企業風險管理審計與企業能否在競爭中無往不利,企業能否取得成功息息相關。因此,不僅要求企業組織專門的風險管理部門,培養專門的風險管理人員,還要求我國政府儘快出台與企業風險管理審計相關的比較完備的政策、法律法規以規範、制約和保障企業風險管理審計工作,使其有效開展。
(二)立足現實
開展符合我國國情的風險管理審計創新。雖然我國的企業風險管理審計還不具備完備的法律法規政策,並且這些外部因素也不是一蹴而就的,但是這並不表明這些外部條件不具備的情況下就一定不可以進行風險管理審計的創新。例如,根據西方金融業務創新技能方面的發展進程,金融業務創新的層次可分為金融基礎業務層、衍生業務創新層和組合業務創新層,相應地,銀行風險管理的創新也會隨之不斷發展,我國當前創新處於基礎業務層,如開展一些銀行保險業務,實現風險在銀行與保險之間的轉移等,持條件成熟後再進行其他風險管理方法的創新。相信只要我們勇於探索,從最基礎的層次進行創新,就一定能取得成功。
(三)轉變企業觀念
提高企業風險意識,將風險管理納入企業的經營管理之中。開展企業風險管理審計,首先要求企業管理層要徹底轉變觀念、增強風險意識、把風險管理審計擺在重要位置上,正確合理地處理風險與效益的關係,把企業長遠利益作為企業的根本目標,與此同時審計人員也要轉變觀念,儘快實現從傳統的帳項基礎審計、制度基礎審計向風險管理審計轉變,突出風險管理的重要性。一方面要監督企業各職能部門認真貫徹各項內部控制制度,切實規範操作程式,防止操作過程中人為造成風險;另一方面要認真落實風險管理審計提出的整改意見,剋服專業管理部門的偏見,使風險管理審計能夠真正發揮作用。
(四)在重視企業經營風險管理審計的同時,對於企業其他風險管理(如制度風險管理、法律風險管理)的審計也應該引起足夠的重視,在經濟全球化和一體化的現代企業的競爭中,哪怕只忽視一種風險都很可能使企業遭受巨大的損失,因此,審計人員應全面系統地進行企業風險管理審計。
(五)重視風險管理在企業可持續發展中的戰略地位
進一步完善內部控制制度的建設,完善風險管理的組織架構,明確風險的承擔主體,整合現有的風險管理部門,形成由最高管理層直接負責的、系統的、全面的風險管理系統。另外,企業要在充分利用內部的風險管理人員的基礎上,充分利用“外腦”即利用企業外部的風險管理咨詢公司專家的才能智慧,進行有效的企業風險管理。這就為審計人員開展企業風險管理審計提供明確的審計對象,使審計人員能夠制定出更加有效合理的審計計劃,節約了審計時間,提高了審計效率。
(六)企業風險管理審計要做到經常化、制度化。
風險是隨時隨地都會發生的,而且是不斷變化的,妄想一次、兩次風險管理審計就能解決根本問題是荒謬的、不現實的,因此風險管理審計必須做到經常化,要周期性地或不定期地開展全面的風險審查評估,併在此基礎上,對重點風險點及時開展專項風險審計,尤其是對內部控制制度評價中發現的重大失控點,應予以高度的重視,採取有效措施堵塞漏洞,減少或者消除風險點和內控失控點。
風險管理審計還應當做到制度化,因為風險管理審計是強化內部控制的重要手段,企業決策人或者企業管理層人員應對風險管理審計的範圍、內容、方法及審計結果的利用等做出明確的規定,將其納入內部控制制度,強制各部門執行,達到消除、防範風險的目的。
自五十年代以來,風險管理就在美國崛起了,現今已成為一項公認的新穎的管理學科。而21世紀的世界,經濟全球化和一體化速度的加快,隨之而來的是競爭的全球化、經營的戰略化,風險管理則比以前任何時候更顯得重要了,對企業管理者和決策者而言,其地位也越發的舉足輕重,企業風險管理審計上升到企業發展的戰略高度,成為現代企業內部審計的首要使命,對企業的可持續發展發揮著至關重要的作用。
(七)開展企業風險管理審計,需要培養一批高素質的審計人才。
企業風險來自各方面,而且不是孤立存在的,受眾多內在因素和外在因素的影響,這就對審計人員提出了更高的素質要求,要求審計人員不僅僅是一個合格的管理者,還要是一名優秀的審計人員,既要掌握瞭解企業內部的經營管理運作狀況,又要關心企業外部環境的變遷、市場經濟的趨勢、行業的特點和技術的發展等等。現如今這種多才多能的審計人員屈指可數,各單位領導應該花大力氣培養一批高素質的審計人員,為開展風險管理審計奠定基礎,一方面,可以選拔優秀審計人才出國進修現代風險管理審計技術,將國外的優良的審計技術和經驗引入我國的風險管理審計的實踐應用中;另一方面,對現有的風險管理審計人員進行定期的培訓,讓他們不斷更新專業知識,提高他們的專業水平,同時,也要註意提高他們的電腦操作水平,以適應時代的發展。我認為21世紀的高素質審計人才應該具備以下標準:具有豐富的專業知識和相應的技能;具有高度的責任心和良好的職業道德;具有敏銳、細緻的觀察思辨能力;具有較強的組織能力、分析能力、處理問題的能力和社會活動能力;熟練地掌握電腦技術;精通英語。
企業風險管理審計的程式和方法[2]
一、準備階段,確定被審計者
(一)編製年度審計計劃。審計計劃是指審計人員為了完成各項審計業務,達到預期目標,在具體執行審計程式之前編製的工作計劃。依據IIA《工作標準))2200款,“內部審計師在開展每項審計業務時都應制定並記錄審計計劃,包括範圍、目標、時間和資源分配。”風險管理審計計劃是審計機構和人員為實現給企業管理層提供風險信息可靠性程度保證的要求,對風險管理相關活動的審計作出的事先安排和規劃。其編製可採用風險因素優先性審計方法,以每年的風險評估為基礎,確定審計範圍,從業務和業績兩個角度分析影響企業的主要風險因素,確定每種風險的級別和權數。評價風險程度,給風險打分併排序,對特殊要求進行適當考慮,進而對年度審計資源進行合理配置。此外.也可以採用關鍵線路法(CPM).藉助網路表示各項工作及所需時間,表示出各項工作間的相互關係,找出編製與執行計劃的關鍵路線,從而確定審計在各個環節上所花費的時間.以及完成整個審計過程所需要的總體時間。
(二)選擇被審計者。
1.選擇被審計者的原則。不論是哪一種審計,選擇被審計者時都必須把風險作為一個主要的因素考慮(即通常意義上討論的風險導向審計),且在考慮風險大小時必須考慮重要性。重要性主要從以下兩個方面來分析:首先,數量上重要.即在企業中的風險損失預計額占的比例要大。例如,對於金額為2萬元的賬戶.1萬元的錯報應被認為是重要的,而對於金額為200萬元的賬戶,1O萬元的錯報卻算不上重要。其次,性質上重要。有一些類型的業務,其性質本身就是重要的,而不必考慮其相關的金額大小,例如:關聯方交易、受法規限制的業務、易受政治局勢影響的業務。
內部審計人員應檢查整個組織,評估與各種活動相關的風險,並按照這些活動的風險水平順序排列.首先檢查高風險的活動。
2.選擇被審計者的方法。(1)系統審計法。系統審計法是由審計部門編製年度審計工作計劃表.在表上列出當年擬實施的審計項目。審計項目的時間安排通常以風險評估作為基礎,也就是說要優先審計風險高的被審者,即風險因素優先性審計規劃。這種方法是最常用的方法。(2)管理層和董事會通過判斷,發現急需關註和處理的問題,從而替代審計人員完成選擇被審計者的工作。(3)被審計者的要求 例如經理層認為需要內部審計人員的參與來評價風險管理措施的適當性和效果性等 需要註意的是,在決定是否中斷預先制定的審計計劃來實施另一項審計前,首先應考慮的是該項目是否比原定的審計項目重要。重要性同樣要通過風險評價來衡量。
總的來說,選擇被審者可通過上述三種方法進行,即:通過系統地分析風險來制定年度審計工作計劃;在緊急情況下.可實施計劃外的異常事項的審計;由被審計者自身提出審計的要求。另外,在年度審計計劃中,還包括審計的時間預算、審計小組成員的選派與分工、利用專家及其他人員的工作等,由於這些內容與執行其他審計時考慮的內容相差不大.所以在這裡不再贅述。
二、實施階段,審查合規性和有效性
(一)初步調查被審對象、被審項目風險管理情況。具體方法包括:瞭解被審計單位的性質、管理體制、經營品種、經營規模、人員結構等,對被審計單位的概況有一個輪廓性的掌握;查閱被審計單位及其下屬機構的各種文件,搜集被審計單位實施管理中以文件形式體現的部分;與被審計單位領導、各層面的管理人員、技術人員、職工群眾進行談話,全面瞭解被審計單位的風險管理情況;現場察看並查閱被審計單位的財務管理、生產管理、產品質量管理、原材料和產品進出庫管理、銷售發票管理、業務合同管理,以及各種經營經濟事項的審核、批准、指令等資料。此外,還可以召開審計座談會,發放風險管理情況調查問卷表,初步瞭解被審計對象風險管理控制弱點;實地觀察並走訪被審計者現場,進一步證實風險管理控制弱點;研究被審計者風險管理部門制定的有關風險管理的資料,初步分析風險管理政策、程式是否合理,風險管理措施是否充分有效。
(二)描述、分析和評價。風險管理政策和程式(符合性測試) 編製風險管理流程圖,找出關鍵風險管理控制點,並與上一步驟瞭解和證實的控制弱點相比較,正式確定風險管理控制弱點;對交易或決策程式實施穿行測試,以檢查被審計對象在風險管理程式的設計上是否存在漏洞,或者審查和評價測試結果是否與原來目標或計劃制定的內容相符;對調查表或流程岡中最可能出現問題的部分(風險管理控制弱點)進行小樣本測試,以檢查企業風險管理的執行過程,並能審查出風險管理措施的有效執行情況:編製風險管理矩陣圖.對風險管理政策、程式和措施進行評價,根據矩陣圖中列示出的風險性質和嚴重程度修定被審項目。在風險管理審汁中,符合性測試有兩類:風險管理處理程式測試和風險管理制度功能測試。前者用以檢查風險管理政策和程式是否得到執行.後者用以查明風險管理措施是否能充分發揮作用,在這個過程中,強調的是通過定性分析反映企業遵循風險管理政策和程式的情況.以及偏離風險管理水平的程度。
(三)實行實質性測試。符合性測試直接影響到實質性測試的性質、時間和範用,是否執行實質性測試取決於以前各步驟收集的證據及符合性測試的結果。但是在風險管理審計中,實質性測試一般來說是必不可少的,因為審計人員在確定被審計對象、項目時,已初步確定這些對象、項目是審計的重點,即使在前階段證明被審計對象的風險管理政策和程式執行得比較好,在本階段也必須進一步採用定量方法來對風險管理措施進行評價。如果措施執行得好,要對被審計單位的風險管理水平予以肯定,藉以作為考核其業績的依據;如果措施沒有效率,應明確形成差距的風險原岡,分析風險的產生部門、風險的類別及其性質,、例如分析發生的風險是屬於業務風險還是財務風險,如果是業務風險,應再進一步分析是哪一方面的風險,如材料供應方面引起的風險,生產能力方面的風險等。通過對風曩險深刻的分析可以揭示出風險產生的原因,為今後防範、規避風險提供依據。
三、報告階段,做出審計結論
風險管理審計結論是在對被審計單位風險管理情況進行檢查、審核,並對其風險管理的程式、對策、體制及機制進行評價後,得出的一個有關企業被審計對象風險管理的結論。這個結論必須是圍繞審查評價被審計單位的風險管理情況得出的。審計人員應按照審計指標體系,在企業內外廣泛深入地進行資料收集丁作,將獲得的資料、數據進行分類和統計。在整理過程中,應採用較為科學的分類方法和統計方法,使計算結果客觀、可靠。利用上述統計結果與前期的有關數據進行比較.如果是初次評價,則將統計結果與有關歷史數據進行比較。如果統計數據優於前期數據,說明企業風險管理實施效果較佳;反之則說明企業風險管理實施效果欠佳,並應當分析其中存在的問題。風險管理審計部門將審計中所反映出的問題反饋給風險管理決策委員會,為修改、調整風險管理計劃提出建設性建議。最終審計結論應通過書面審計報告的彤式表現出來。
審計報告至少應包括以下內容:審計目標、範圍、程式、建議及各種可能的糾正方案四、後續階段,落實審計建議後續階段是指審計項目完成一段時間後,對審計建議和改進措施的執行情況進行同訪性審計的過程。企業風險管理審計的目的決定了開展風險管理審計不僅應著眼於對被審計單位或審計項目現時的風險管理進行評價.更應該註重未來風險管理水平的提高。因此.為了確保審計建議的貫徹執行,審計人員在出具審計報告之後要進行同訪性審計,複查管理層是否對報告中提出的建議採取了合適的糾正行動,是否取得了理想的效果:如果沒有採取糾正行動是否是高級管理層和董事會的責任。《內部審計實務標準}440條指出:“內部審計人員必須進行後續審計.以確保對報告中提出的審計結果採取適當的行動。”商議解決問題的方法是高級管理層和被審苦的責任,審計人員只需要審查這些糾正行動的實際效果,這樣做有助於保持決策過程的完整性,同時能有效地發揮審汁人員的作用 後續審計過程一般有兩個階段:一是審計人員應確認已經採取了什麼樣的行動並評價這些行動的效果;二是當報告的某些或全部事項沒有採取行動時,審計人員應確認管理肖局已經承擔了不採取行動的風險。