師煥榮
摘要:2018年3月,審計署頒布實施《關(guān)于內(nèi)部審計工作的規(guī)定》,正式將風險管理列入內(nèi)部審計法定職責。作為企業(yè)內(nèi)部審計,通過研究企業(yè)風險管理審計實施必要性、審計的主要內(nèi)容及步驟方法等,有利于發(fā)揮內(nèi)部審計在提高風險管理、實現(xiàn)經(jīng)營目標、增加組織價值等方面的重要作用。
關(guān)鍵詞:內(nèi)部審計;風險管理;風險管理審計
按照國資委2006年6月出臺的《中央企業(yè)全面風險管理指引》要求,企業(yè)風險管理工作已全面開展。2018年3月,審計署頒布實施《關(guān)于內(nèi)部審計工作的規(guī)定》,正式將風險管理列入內(nèi)部審計法定職責。作為企業(yè)中的內(nèi)部審計,有效開展風險管理審計是參與企業(yè)全面風險管理工作的重要途徑和手段。
一、企業(yè)實施風險管理審計的必要性
(一)企業(yè)發(fā)展的需要
企業(yè)在其生存和發(fā)展過程中,會受到各種風險威脅。充分利用企業(yè)自身內(nèi)部審計資源開展企業(yè)風險管理審計,可以實現(xiàn)對企業(yè)風險管理的有效監(jiān)督與評價,并及時做出反饋,進而實現(xiàn)企業(yè)風險管理目標,確保企業(yè)的持續(xù)健康發(fā)展。
(二)企業(yè)風險管理監(jiān)督評價的需要
企業(yè)開展全面風險管理,效果如何、管理如何,是企業(yè)管理高層關(guān)心的問題。內(nèi)部審計部門獨立于企業(yè)其他管理部門,熟悉企業(yè)各個管理流程,可以客觀地對全面風險管理體系建設(shè)及風險管理的合理性、完整性、有效性進行監(jiān)督評價,可以直接向企業(yè)高層做出匯報,審計報告和審計建議更具有權(quán)威性。
(三)企業(yè)內(nèi)審部門實現(xiàn)增值功能的需要
企業(yè)內(nèi)部審計在改革的環(huán)境中,面臨著如何轉(zhuǎn)型,從而實現(xiàn)為企業(yè)增加價值的功能。企業(yè)內(nèi)部審計可以組織評估企業(yè)所面臨的風險及制定控制風險的策略,從風險識別、分析、評估、應(yīng)對、監(jiān)控等方面的及時性、合理性、恰當性、有效性等進行評價,并將評價結(jié)果予以匯報反饋,確保企業(yè)防范控制風險,實現(xiàn)為企業(yè)增值的功能。
二、企業(yè)風險管理審計的主要內(nèi)容
風險管理審計通俗講就是對風險管理情況的審計,按照COSO-ERM框架中企業(yè)風險管理要素的劃分,內(nèi)部審計人員可以從內(nèi)部環(huán)境、目標設(shè)定、風險識別、風險分析、風險評價、風險應(yīng)對、信息與溝通、監(jiān)控等八個方面進行風險管理審計。
在組織環(huán)境和目標設(shè)定審計時,主要的審計事項有:1.是否建立合理的組織結(jié)構(gòu),配備合適的風險管理人員。2.是否多種方式營造風險管理氛圍、培育企業(yè)風險管理文化。3.是否設(shè)定企業(yè)目標,目標是否切合實際。4.是否合理分解企業(yè)目標,企業(yè)目標發(fā)生偏離,是否有糾正控制措施等。
在風險識別、分析、評價、應(yīng)對審計時,主要的審計事項有:1.是否制定企業(yè)風險評估標準。2.風險是否識別全面,影響企業(yè)目標實現(xiàn)的重要風險是否識別充分。3.風險識別、分析、評價的方法是否合理、恰當。4.企業(yè)風險評估的定性、定量描述是否合理、準確。5.風險應(yīng)對措施是否有效,是否符合成本效益原則,剩余風險是否控制在企業(yè)容忍度范圍之內(nèi)。
在信息與溝通審計時,主要審計事項:1.是否有完整的信息系統(tǒng)支撐企業(yè)信息的管理。2.企業(yè)重大風險事項是否與內(nèi)部和外部進行溝通以達成共識等。
在監(jiān)控審計時,主要審計事項是是否有風險持續(xù)監(jiān)控措施、是否有個別風險評價措施、是否有企業(yè)風險管理監(jiān)控記錄等。
由于企業(yè)風險管理包括組織整體及職能部門兩個層面,內(nèi)部審計既可對組織整體風險管理進行審查與評價,也可對職能部門風險管理進行審查與評價。
三、企業(yè)風險管理審計流程
風險管理審計流程主要分為計劃、實施、報告三個階段,與其它審計流程基本相同。開展風險管理審計,內(nèi)部審計要注重開展后續(xù)審計。
(一)計劃階段—初評企業(yè)風險,制定風險管理審計計劃
內(nèi)部審計不可能去評估組織面臨的所有可能的風險[1],所以應(yīng)該在了解被審計單位組織結(jié)構(gòu)、業(yè)務(wù)性質(zhì)規(guī)模、單位管理者的管理風格、面臨的內(nèi)外部環(huán)境等經(jīng)營管理情況下,運用“風險因素優(yōu)先策略”等方法,從風險的發(fā)生可能性、出現(xiàn)頻率以及損失額度三個方面分析和評估,一是確定企業(yè)風險的主要存在領(lǐng)域,二是對企業(yè)風險各領(lǐng)域的風險進行初步評估,三是按照風險對企業(yè)的影響進行排序,列出企業(yè)風險管理審計的優(yōu)先順序,編制風險管理審計計劃,配備相應(yīng)的審計人員,詳細全審處于高風險層級的風險因素,不同比例抽審其它領(lǐng)域的風險。
(二)實施階段—審查評估企業(yè)風險管理的充分性、有效性,確定剩余風險
實施企業(yè)風險管理審計,主要從風險管理體系、風險評估過程及風險應(yīng)對措施三個方面審查和評價。
1.風險管理體系的審查與評價
為了確定企業(yè)風險管理機制的健全性及有效性,內(nèi)部審計需要審查風險管理組織機構(gòu)的健全性、管理程序的合理性、風險預(yù)警系統(tǒng)的存在及有效性。采用的主要方式是訪談、文件查閱、問卷調(diào)查等。重點關(guān)注:一是企業(yè)是否建立一個包括全面風險管理領(lǐng)導決策機構(gòu)、組織協(xié)調(diào)部門、監(jiān)督評價部門及業(yè)務(wù)風險責任主體等構(gòu)成的風險管理組織體系。二是已建立的風險管理組織體系是否根據(jù)風險產(chǎn)生的原因和階段不斷地進行動態(tài)調(diào)整。三是企業(yè)是否建立風險預(yù)警機制、及時進行風險預(yù)警分析并對警情采取相應(yīng)的控制措施。
2.風險評估過程的審查和評價
風險評估過程包括風險辨識、分析與評價三個階段。內(nèi)部審計重點關(guān)注:一是評價辨識的風險是否涵蓋了對組織目標實現(xiàn)產(chǎn)生影響的所有內(nèi)、外部風險,是否辨識確認企業(yè)面臨的重大缺陷風險。二是分析評估已識別風險依據(jù)的數(shù)據(jù)、信息等是否真實可靠,是否正確選擇定性或定量的風險評估方法。三是是否根據(jù)企業(yè)風險評估標準,分析和計量風險發(fā)生的可能性、影響程度確定風險的等級,并予以排序找出關(guān)鍵和主要風險。采用的主要方式是分析性復核方法、訪談、抽查、風險清單表等。
3.風險應(yīng)對措施的審查和評價
風險應(yīng)對措施主要有回避、接受、降低、分擔四種。內(nèi)部審計在評價風險應(yīng)對措施的適當性和有效性時,重點關(guān)注:一是風險應(yīng)對措施是否與企業(yè)內(nèi)外部環(huán)境相適應(yīng),是否符合成本低于效益原則。二是企業(yè)制定的內(nèi)控管理制度是否有具體的內(nèi)容條款等,來應(yīng)對企業(yè)面臨的風險。三是企業(yè)規(guī)章制度是否有效執(zhí)行,管控后的剩余風險水平是否在企業(yè)可接受范圍之內(nèi)。如果風險降低到可接受范圍內(nèi),那么該風險應(yīng)對措施是有效的。
(三)報告階段—出具審計報告,開展后續(xù)審計
1.出具審計報告
風險管理審計報告是風險管理審計工作的最終成果和表現(xiàn)形式。重點要根據(jù)審計情況,評價企業(yè)風險管理水平;分析發(fā)生的每一項重大風險事件的過程、原因、影響;指出規(guī)章制度的健全性、未發(fā)揮應(yīng)有作用的原因等;報告在風險管理體系建設(shè)和年度風險評估方面取得的主要成績和存在的主要不足;逐項列示重大風險管理與內(nèi)部控制缺陷,并提出審計意見與建議。風險管理的審查和評價結(jié)果須反映在風險管理審計報告中。
2.后續(xù)審計
對于企業(yè)風險管理審計,提交審計報告,并非意味著該項審計的結(jié)束[2],國際內(nèi)部審計實務(wù)標準明確要求內(nèi)部審計必須進行后續(xù)審計。后續(xù)審計重點是控制目標的實現(xiàn)和風險的再評估。在后續(xù)審計時,內(nèi)部審計應(yīng)確認措施己執(zhí)行并評價這些措施的效果;當審計報告的某些或全部事項沒有采取措施時,審計人員應(yīng)要確認管理層已經(jīng)接受了不采取措施所帶來的風險。如企業(yè)出于多方考慮,決定承擔不對審計發(fā)現(xiàn)采取糾正措施的風險,那么,內(nèi)部審計應(yīng)向單位負責人作出書面匯報,加以解決。
四、結(jié)束語
實施風險管理審計,既是企業(yè)內(nèi)部審計實現(xiàn)轉(zhuǎn)型的客觀要求,也是企業(yè)強化內(nèi)部控制、防范經(jīng)營風險的必要措施。近幾年,風險管理審計在企業(yè)一直是空白,經(jīng)過初步研究風險管理審計的內(nèi)容及流程,并在企業(yè)中積極實施,初步滿足企業(yè)經(jīng)營管理的需求。隨著企業(yè)風險管理工作的進一步深入,企業(yè)內(nèi)部審計必須積極學習、探索、實踐,通過實施切實有效的風險管理審計,促進企業(yè)全面風險管理工作有序開展,確保企業(yè)健康可持續(xù)發(fā)展。
參考文獻:
[1]國際注冊內(nèi)部審計師考試指定輔導用書(第四版).內(nèi)部審計在治理、風險和控制中的作用[M].西苑出版社,2008.
[2]馬劍華.風險導向?qū)徲嬙诖笮推髽I(yè)集團的應(yīng)用策略[J].中國內(nèi)部審計,2012.4.