内部审计与风险管理的关系篇1
关键词:企业;内部审计;风险管理
在现代企业内部审计工作中,需要增加组织价值,将组织的基本目标作为宗旨,以实现全面审计。内部审计工作在参与过程中,与风险管理存在较大关系,它不仅能为内部设审计工作提供一定的发展机遇,还能使企业内部实现独立、客观的执行活动,并发挥其创造价值。
一、企业内部审计与风险管理的关系
(一)相互依存
内部审计与风险管理工作相互依存、相互作用。根据我国的企业风险管理框架进行分析,在内部审计工作中,需要将其作为风险管理工作中的监督部分。随着内部审计范围的不断扩大,不仅要对内部审计对象进行有效控制,还要制约企业风险管理工作。并且,内部审计人员还要通过检查、评价以及制定报告的方式,促进风险管理过程的充分发挥与实施有效性,为其提出有效的意见和建议,这样不仅能实现风险管理工作的优化性,还能将风险工作控制在能够接受的范围内。
(二)相互作用
内部审计与风险管理相互作用,在内部审计工作中,是以组织作为价值发展的,保证组织目标的有效实现。并且,企业风险管理也是实现宗旨的唯一出路,所以,需要准确、评估并反映出风险,使其控制力度下,为了将内部控制在核心内容下,在风险管理工作中,需要将其控制在内部审计工作中,保证审计目标的有效实施。同时,内部审计工作也是风险管理工作中最为主要的部分,在对风险管理进行独立审查期间,可以为其提出一定的评价和建议,不仅能促进系统维护的正常性,还能保证其执行的有效性。对于审计内部的相关人员,需要根据风险制定计划,明确机构的发展目标以及内部审计工作重点,促进风险管理与内部审计程序的协调性发展,以发挥共同发展。
(三)新功能的实现
在风险管理工作中,可以体现出内部审计工作的职能。因为内部审计能够促进企业风险管理工作的有效执行,能够对整个企业进行有效评价,并为其设立合理、科学、能够理解的识别、评估风险系统,保证相关工作人员在执行期间,能够在风险管理工作中承担其责任。这种责任意识在工作执行期间,能够促进企业的有效执行,降低其风险、促进战略目标的形成。企业在遇到一些问题期间,在管理人员支持下,需要在内部审计部门中设立风险管理流程,保证能够推进风险管理工作开展的有序性。
(四)风险导向审计
将传统审计工作转变为风险导向审计,传统的审计方法在执行过程中,已经无法满足其现代化发展需求,该审计方式出现较多问题,如:审计资源浪费现象比较严重、内部审计重心偏移、审计工作效率比较低,都会导致风险问题的产生。但风险导向审计则不同,该审计方式需要审计人员认识到组织需要面对的问题,并根据风险评估思路,对内部控制工作进行有效评价,在内部审计、内部控制与风险管理工作,促进审计效率的有效提升。
(五)战略性审计
将内部审计转化为战略性审计,风险管理工作渗透到企业管理各个方面,与企业的长期发展存在较大关。在对企业进行管理期间,常常会发生一些新变化,因为风险管理的主要对象是战略目标,其存在的风险与企业生存、发展有关。战略目标的形成能够帮助企业发展,所以,战略性审计在其中发挥十分重要的作用。所以,将财务审计转变为战略性审计,这样不仅能为审计工作指明正确方向,还能使内部审计工作作用充分发挥。
二、内部审计与风险管理问题
(一)审计目的不明确
在日常工作实施期间,内部审计机构一般不对财务部门、其他经营部门进行审计,一般是二级部门对其审计。在对总公司的财务部门进行审计工作期间,表现为一种形式,但公司中也会出现一些违法违规行为,造成这些现象主要是因为一些部门只考虑自身发展利益,在违法行为产生期间,常常不对其纠正、披露,这样会内部审计工作无法实现良好的发展效果,还无法促进企业的良性发展。
(二)审计独立性不强
企业内部审计独立性不高,主要是在执行期间,机构权责机构设置不合理,我国企业的内部审计机构以及财务机构等都是一种常规部门,一般情况下,都是主管财务对其指导,在该情况下,不仅降低了内部审计机构的独立性,形成的内部审计结果会受利益的影响,降低其独立性与客观性。并且,对于内部的审计人员来说,常常会受到领导的压力,参与到企业风险管理工作中去,不仅不能避免人与人之间的“交情”,也无法促进风险审计工作的有效执行,从而影响了内部审计工作的独立性。(三)管理片面性企业决策人员在内部审计工作以及风险管理工作中,对其理解比较片面。我国企业中的决策人员都更重视企业中的经营效益,没有重视到企业内部的深层次管理,对其存在的风险较为忽视。企业决策人员对内部审计、风险管理工作没有充分认识主要表现在,内部审计与风险管理之间的联系出现阻隔,不仅会导致企业决策工作在对其评价期间,向经济效益方面倾斜,还会使内部审计人员忽视工作积极开展的重要性。
(四)人员素质不高
内部审计人员的业务能力以及综合素质不高。在企业内部管理工作中,管理知识发挥其重要作用。根据我国相关规定的分析,内部审计人员需要具备各方面的知识,这样才能保证好执行工作的质量。但在实际发展中,内部审计人员都是来自于财务部门,不仅掌握的知识结构比较单一,审计专业知识以及风险管理知识等比较欠缺,对能力判断存在较大失误,不仅无法使其符合现代化发展效率,也无法提高审计人员的自身素质。
(五)审计领域受限
我国内部审计是以国家行政方式组建的,企业中建立的现代化内部审计工作主动性不足,只要是企业对内部审计工作认识不足,单纯地认为对财务进行审计,从而导致一些弊端的出现。同时,随着市场经济水平的不断提升,企业为了获得较大生存和发展,在激烈的竞争市场中,开始转变经营管理,加强内部控制,但监督职能还表现在财务上,无法适应现代企业对内部的发展需要,导致审计工作领域无法得以扩展。
(六)审计技术落后
近几年,我国内部审计工作使用的都是事后审计、静态审计。在具体审计工作期间,都是依靠个人经验以及职业知识对其判断的。并且,也无法体现审计工作的现代化发展,无法提升实际的工作效率。
三、企业内部审计与风险管理建立
(一)发挥审计的独立性与客观性
实现内部审计参与的独立性与客观性,为了使内部审计工作在风险管理工作充分发挥其作用,企业内部就要为其设置专门的内部审计机构。例如:在企业内部设立审计委员会,促进内部审计工作的独立性,保障能够为内部审计工作的客观性发展提供有效保障。
(二)加强对工作的重视
企业需要加强内部审计工作的重视,在实际工作过程中,企业中的管理人员需要树立正确的内部的审计态度,认识到内部审计与风险管理之间的关系,保证企业在实施期间,能够将作用充分发挥起来,这样不仅能带动整个企业的积极发展,还能使内部审计人员在参与过程中,认识到风险管理工作的重要性。在这种发展情况下,既形成了各个部门的共识,还加强了风险管理与内部审计工作的实施。
(三)增强队伍工作水平
在内部审计工作中,为了实现风险管理工作,需要增强内部工作队伍的发展水平,并使内部审计人员的知识结构、业务能力以及自身素质都得以提高,保证内部审计执行工作的科学性,积极参与到风险管理工作中,以促进审计工作效率的有效提升,保证内部审计工作价值的充分发挥。
(四)转变技术和方法
促进内部审计领域的扩展性,充分利用技术与方法。在内部审计工作中,将其投入到风险管理工作中,提高其参与程度。在工作实施期间,需要促进内部审计领域,促进财务审计的广泛性,特别是运营审计、合同审计以及内部控制审计,保证审计的信息化以及社会责任的明确化发展。还要合理选择审计技术,在内部执行过程中,可以选择多种审计抽样方法和选样技术方法,并利用多种审计风险模型减少其风险性,在这种程度上,不仅能在较大程度上控制企业经营中存在的风险,还能促进企业的可持续建设。
四、总结
基于以上的分析,实现内部审计与风险管理,不仅能使企业充分发挥自身职能,还能使企业在激烈的竞争市场中体现优势。因此,对内部审计与风险管理工作进行思考是非常有必要的,能够使企业在发展中实现新时期提出的目标。
参考文献:
[1]陈燊.论企业内部审计风险管理[J].教育教学论坛,2012(28):121-122.
[2]邱大鹏,肖敏.加强企业内部审计风险管理[J].现代商业,2012(36):164-164.
[3]成焕玲.探讨企业内部审计风险管理[J].劳动保障世界,2015(9):40,42.
[4]赵丽芳,张伟.企业风险导向内部审计——风险管理活动(系统)的再确认与咨询[J].会计之友,2011(10):46-49.
[5]张纪军.风险管理视角下的大型煤炭企业内部审计探讨[J].煤炭技术,2013(11):280-281,282.
[6]何淼,潘美霖.基于内部审计视角的企业风险管理研究[J].中国商论,2016(21):28-29.
内部审计与风险管理的关系篇2
【关键词】农业银行;内部审计;风险管理
随着经济全球化以及我国社会主义市场经济的不断发展,商业银行的经营管理面临国内、国际金融市场的激烈竞争,商业银行的内部控制水平已经逐渐成为其核心竞争力,而内部控制制度的建设和完善是一个艰巨性、复杂性和长期性的工作,因此,加强商业银行的内部控制与风险管理是现代商业银行永恒的主题。
一、商业银行风险管理
对银行而言,风险是可能对银行战略目标的实现产生影响的事件、行为和环境,而对这种不确定性进行调节和驾驭的能力就是风险管理。风险管理并非是要消除风险,而是通过对未来结果不确定性的分析预测和缜密思考,以降低决策错误概率、避免可能的损失,相对提高银行的附加价值。
商业银行的风险种类很多,主要有以下几种表现形式:一是信贷风险,信贷资产是银行业的主要资产,在当前商业银行尚不能混业经营的背景下,它是银行业最大的盈利项目,信贷资产质量的高低直接关系着银行经营目标的实现。二是市场风险,主要是由于证券市场不规范和金融市场秩序混乱而引发的种种风险,主要包括利率风险、汇率风险、流动性风险和价格风险。三是经营风险,主要是由银行自身经营管理方面和操作方面存在的问题而形成的风险。近年来,商业银行内控制度尽管有所加强,但受利益驱动和相关管理人员能力、素质的影响,经营规模和经营管理控制能力不相匹配。操作风险是指由于人员因素、流程因素、系统因素以及外部事件引起的风险。比如业务人员操作失误、银行内外勾结、流程执行不严格、系统失灵、系统漏洞、外部欺诈、突发外部事件等。
如发生在河北邯郸的新中国建国以来最大的银行金库盗窃案,2006年10月至2007年4月,河北省农行邯郸分行金库管理人员任晓峰和马向景伙同他人利用看管金库的便利条件,在短短半年的时间里,先后多次从金库盗取人民币总计近5100万元。9月19日,任晓峰、马向景终审被判处死刑。案件的发生引起了银行业对资金安全的高度重视,并逐渐认识到内部控制与风险管理的重要性。
二、商业银行内审机构有必要参与风险管理
1、当前商业银行面临的风险正日益增大。
随着市场经济的快速发展,商业银行经营环境、经营业务变得日趋复杂化、多样化。因决策失误、信息缺乏、操作风险等内部原因,以及市场需求变化、市场竞争加剧等外部原因产生的风险更是雪上加霜。减少和控制各类风险是实现商业银行经营战略目标的关键要素之一,正在引起各级管理人员越来越多的重视。
2、商业银行内部审计参与风险管理是自身发展的要求。
内部审计在商业银行中担当着重要的角色,他们更了解商业银行面临的风险因素,具有丰富的管理经验,有利于将内部审计的资源和成果与企业风险控制相结合,并可以减少银行内部机构的重复设置,参与风险管理已成为内部审计人员义不容辞的责任。
3、商业银行内部审计在风险管理中发挥重要的作用。
(1)能够客观识别和评估风险的充分性
内部审计部门独立于业务管理部门,这使其可以从全局出发,从客观的角度对风险进行识别和评估。所谓风险识别是指对银行所面临的以及潜在的风险加以判断、归类和鉴定风险性质的过程。内部审计师不仅要识别相关的风险,而且还应对风险进行评估,分析控制措施是否完善,是否可以使银行风险发生的可能性能够掌握在风险容忍度之内。
(2)能够综合分析和计量风险的恰当性
风险分析和计量是内部审计对银行经营管理过程中遇到的各种风险采取定量和定性的方法进行有效的分析和确定。定量分析方法是对已识别的风险进行量化估计。内部审计可以借鉴巴塞尔新资本协议的方法,对风险进行计量和解析。在风险难以量化、数据难以获取时,应采取定性评价。定性评价的复杂性在于很多情况下需要主观判断不同结果的可能性,不同背景、不同经验、不同性格和不同职位的人对风险判断都可能不同。
(3)能够发挥风险反馈的预警性
内部审计在银行管理控制系统中发挥反馈作用,对银行的风险管理起预警功能。内部审计在检查内部控制程序的合理性以及执行情况和控制效果,特别在关注高风险领域和内控不健全区域的潜在威胁时,是通过风险反馈进行持续监督与评价,确保目标如期完成。以风险为核心及出发点的内部审计,能够客观地从全局的角度管理风险,能从组织的利益和实际出发,提出防范风险的有效建议,作为管理层改进风险管理的参考意见。
三、商业银行内部审计参与风险管理的途径
1、对风险的预测和识别
内部审计要对商业银行所面临的主要风险进行预测和识别,并找出未被识别的风险。采用的方法包括决策分析、可行性分析、因果分析和专家调查法等。
2、对己经存在和将要发生的风险进行评估
商业银行的内部审计人员采用定性和定量分析相结合的方式,预测风险的大小,找出主要的风险源,合理的评价风险可能产生的影响,以此为依据,对风险采取相应对策。常用的风险评估方法主要有:调查和专家打分法、风险报酬法及解析方法等。
3、提出改进和防范的措施
风险的防范措施是指商业银行为降低已识别出的风险可能造成的损失所采取的措施。内部审计机构可以根据不同的情况,提出避免风险、接受风险、还是降低风险的具体措施和建议,以强化商业银行的风险管理,降低风险损失,并对有关部门所采取的风险防范措施进行监督和检查。采用改进和防范措施主要有:避免风险、损失控制、分离风险单位、转移风险和投保等。内部审计机构可以作为直接的风险管理人,直接进行风险管理。
4、树立全员的风险管理意识
内部审计与风险管理的关系篇3
关键词:风险管理风险管理审计评价
中图分类号:F239.6文献标识码:a
文章编号:1004-4914(2014)02-117-02
一、引言
国资委2006年《中央企业全面风险管理指引》,极大地推动了风险管理工作在国内企业特别是在国有大中型企业的应用。风险管理属于新的管理活动,其理论在不断深化、方法在不断丰富,风险管理已成为组织治理必不可少的一部分。内部审计机构承担了风险管理职责,开展基础体系建设、业务风险管理等系列工作,以风险和内控为角度开展审计,发挥出对风险管理工作的监督、评价职能。为了确保风险管理的有效性,众多优秀企业已逐步开展风险管理审计,这一类型审计成为内部审计发展的一个亮点和趋势。
二、风险管理审计的基本概念、价值
我国内部审计工作正在从传统的财务账项审计向到现代管理审计转变,内部审计将更加贴近企业的各项管理,更加融入管理的过程之中。风险管理审计是内部审计的组成部分,是管理审计中新的审计类型。它是内审部门采用系统化、规范化的方法,对承担风险管理职责的部门所制定的应对程序、对策方案以及机制的合理性与有效性进行监督、评价和咨询,以改进企业对风险的管理、增进企业价值的一种审计类型。
风险管理审计的目标主要包括:范围的科学合理性;评价标准与指标体系的科学性;识别与评估的科学合理性;措施、方法与程序的合理性;风险应对的合理性等。与传统内部审计相比,风险管理审计的范围由内控审计扩展到所有风险管理技术审计,它更加注重确认和测试风险管理部门为降低风险而采取的措施及效果。
开展风险管理审计可以使组织利益相关者了解组织风险现状,保障各利益相关者共同利益最大化,也可以进一步提高风险应对方案效率、效果,提高内部审计工作的针对性,实现风险管理与组织整体经营战略的优化结合。
三、风险管理审计的主要内容
从风险管理审计的内涵可以看出风险管理审计的主要任务包括:检查、评价、报告风险管理过程的适当性和有效性,以提出改进风险管理工作的意见,为企业管理层、审计委员会的提供有用信息。
1.评价风险管理机制。良好的风险管理机制是风险管理是否有效的前提,因此,首先应审计、确定组织风险管理机制的健全性及有效性,包括但不限于组织体系、内控体系、报告体系和考核体系。(1)审计风险管理组织机构健全性。开展风险管理,做好组织和人员保障是一项重要内容。组织应根据自身实际特点,在统一领导、广泛参与下,搭建职责明确、有效运行的风险管理结构框架,包括风险管理责任人、专业和非专业管理人员、外部服务机构在内的组织体系。(2)审计风险管理程序的合理性。企业应当结合实际建立风险管理的程序流程,确保风险管理的有效性。(3)审计风险管理内控体系的健全性。内控体系在风险管理中占重要部分,属于核心内容。没有与组织管理实际相适应的、完整的内控体系,风险管理有效性无从谈起。审计人员需要审查被审计单位内控体系构建情况,可以《企业内部控制基本规范》为标准,考察对于各个要素的控制。(4)审查报告体系的存在性及运行有效性。考察日常报告体系及运行、突发风险报告体系及运行、预警报告体系及运行。(5)审查考核体系的执行性、有效性。考察考核体系覆盖程度及结果应用情况,评价考核体系是否能够有效推动风险管理工作。
2.审计评价风险识别的过程。审计人员在审计时应注意分析企业风险识别是否结合实际情况充分识别组织内外部所面临的各项风险。通常来看,应结合风险管理各项环境和内控要素,如就组织目标、经营情况、管理薄弱环节或问题等进行访谈、查阅资料、记录、历史案例,应了解风险识别过程中的相关记录材料并评价其充分性,必要时还应进行分析性复核,对企业经营管理活动与内部控制中所面临的缺陷进行分析、确认。(1)审计识别原则的合理性。风险识别是风险评估及进行应对的关键性第一步。只有采取合适的原则才能更充分地识别出各种风险因素。
(2)审计识别的充分性、全面性与否。风险管理审计需要评价相关风险资料是否涵盖了对组织各层次目标产生影响的所有内部、外部风险。内部风险主要来源于组织治理机构效能、管理的局限,业务控制失效、产品或服务销售策略、经营活动和业务特点、资产性质及其管理局限、人员知识结构、专业经验等方面。外部风险主要来源于国家法律法规政策变化、宏观经济环境变化、行业变化、竞争环境等方面。(3)审计识别方法的适当性。审计人员应对各种风险做系统地分析与归类,形成企业风险框架,并结合管理实际特点,对企业风险识别方法的适当性进行审查,评价该方法能否适当地识别出对各层目标有针对性的风险。
3.审计评价风险评估过程。风险评估是应用各种工具方法,定性或定量地估计风险发生的概率及其影响程度。审计人员应实施必要的审计程序,特别是要关注“风险发生概率”和“风险对企业目标产生的影响程度”两个要素确定的方法、记录、过程,并分析其合理性。(1)风险识别所反映的特征分析。不同企业所具有的风险具有一定的差异性,对风险评估过程进行评价,因不同的风险所应采取的评估方法不尽相同,审计人员应首先对企业风险识别结果所具有的特征进行了解,如哪些是内部原因所产生的,哪些是外部原因所产生的,哪些是与战略、核心业务、支撑性业务相关的风险,哪些是与企业价值链关系密切的风险。
审计人员在对风险评估方法审计时,应考虑风险特征来评价评估方法的适当性。如已识别风险可用定量方法评估风险的严重程度,审计人员需要判断描述风险事件影响的“数量”是否恰当;如无法定量表示,审计人员应判断管理层所定的“性质”是否合适合理。(2)历史资料的可信赖程度。企业(下转第119页)(上接第117页)管理层多数依据历史已发生的案例、风险事件为参照标准、参考对象进行风险评估,审计人员应考虑历史资料的充分性、可靠性,充分论证案例发生环境、各相关因素、结果发生条件等是否能够恰当地借鉴到当期的风险评估中。(3)判断企业开展风险评估的能力。开展风险评估的水平高低与企业管理层对风险评估方法的理解、运用有密切关系。审计人员应对企业管理层运用定量定性方法的能力、对所依靠的数量模型、信息技术、个人经历经验进行了解,考虑评估过程中企业管理层运用是否恰当。(4)对成本、效益进行权衡。管理层在运用定性或定量方法开展风险评估时应考虑评估方法成本、效益性。审计人员需要对管理层选用方法的成本效益性予以考量。
4.审计评价风险应对措施。审计人员在评价企业风险应对措施的适当、有效性时,应考虑以下方面:(1)剩余风险是否在可接受的范围。一般企业对固有风险具有相应的管控措施,风险应对措施应主要针对剩余风险。因此,审计人员应评价在采取应对措施后剩余风险能否在组织可接受范围内。如果已将风险降低到企业可接受的范围,可以确认风险应对措施有效。(2)是否结合企业的经营管理实际。每个企业风险应对措施会有所不同,这是基于企业管理实际状况而定。如果不适合自身特点,就不是恰当的应对措施。审计人员应考虑企业经营管理特点,对所采取措施的适当性做出评价。
四、风险管理审计程序和方法
1.在计划阶段,识别经营风险,制定风险管理审计计划。通过了解被审计单位的经营,识别经营风险。如了解企业性质、管理机制、业务内容、经营范围、组织结构、人员组成等,建立对企业框架性的认识;通过查阅企业文件、规章制度,了解各项管理要求;访谈各级领导、骨干员工等主要人员,全面了解风险管理现状;现场查阅各种经营生产过程原始记录,审计审核、批准等管理控制程序。初步确定风险管理薄弱环节,编制审计工作计划。
2.在实施阶段,审查、评价风险管理状况。在实施阶段,围绕风险管理审计的主要内容,审查和评价风险管理状况,包括风险管理机制、风险识别过程、风险评估以及风险应对措施的审查和评价四个方面。
3.在审计报告阶段,出具风险管理审计报告,开展后续审计。按照审计过程中发现情况,依据《风险管理审计准则》出具风险管理审查和评价报告、或者出具详尽的专项审计报告,将风险管理审计的范围、内容、方式、时间以及发现的主要问题及建议报告给适当的管理层。
由于多数企业风险管理职能由内审部门承担,因此审计人员的审查评价结果可作为改进和完善风险管理工作的一项重要依据。为保证、监督风险管理审计提出的合理化建议能够得到有效落实,内审人员可以通过后续审计来复查管理层是否就报告中的建议采取合适的行动,是否取得预期效果,如果未采取行动,需要明确相应责任和原因。
4.审计过程中常用的方法。在风险管理审计不同任务阶段,可采用的审计方法有所不同。如,在制定审计计划时,可通过流程图法和文字表述法、问卷调查法(编制风险管理问卷调查表)、关键路线法确定风险管理审计开展的重点;在审查评价风险识别时,可采用决策分析、可行性分析、生产流程分析、投入产出分析、资产负债分析、排列图、因果分析、因素分解、经济活动分析法和统计分析法、鱼刺图、专家调查列举法等;在衡量风险管理措施时可使用专家调查法、风险报酬法、风险当量法、蒙特卡罗模拟方法;在后续审计阶段,可以通过座谈、查阅有关资料、现场观察等进行审计。
五、结语
风险管理审计处于发展探索阶段,很多企业还没有形成常规性审计类型,甚至尚未开展。当然,风险管理审计发展还面临很多问题。如组织结构及制度不健全,管理层对风险管理审计重要性认识不足,尚未建立科学合理的风险管理评价标准,开展风险管理审计的人员业务结构和经验等条件无法满足风险管理审计需要。
随着组织内外环境变化日益加快,风险管理工作逐渐提升到重要层面是一个重要趋势。作为风险管理的再管理,风险管理审计的广泛开展需要强化风险管理工作,制定切合实际的风险管理评价标准,明确审计部门开展风险管理审计的重要作用,提高审计人员胜任力,培养高素质审计人才,将风险管理审计常态化。
参考文献:
[1]高东坡.内部审计如何参与企业的风险管理.商场现代化,2007(9)
[2]靳建堂.风险管理审计初探.现代企业风险管理论文汇编,2005
[3]李晓光.浅议企业风险管理审计.经济师,2011(5)
[4]钱光明,陈德艳.论我国企业风险管理审计.商业会计,2011(33)
[5]万文钢.对风险管理及风险管理审计的认识和理解.中国内部审计,2010(9)
[6]汪振纲.风险管理审计理论述评.风险与内控,2010(2)
[7]夏丹宁.推进风险管理审计的思路.中国内部审计,2004(12)
[8]谢浩,尹珍丽.风险管理审计常用方法解析.时代经贸,2010(10)
[9]朱奇云.关于风险管理审计在我国运用的思考.中国市场,2008(48)
内部审计与风险管理的关系篇4
随着医疗事业的不断发展,医院遭遇的内部与外部风险也是无可避免的,这时医院必须发挥风险导向审计在医院内部控制的作用,对医院内部进行自我监督、自我约束,使风险导向审计在医院内部发挥应有的作用。笔者在本文着重介绍了风险导向审计与医院内部控制的关系及风险导向审计在医院内部控制中的应用。
一、风险导向审计与医院内部控制的关系
风险导向审计是医院内部控制的重要组成部分,风险导向审计是对内部控制的再控制。医院虽然可以通过专业人士的评价、外部行政管理部门的监督检查、外聘中介机构等进行监督检查,但要想对日常事务进行全方位多层次的检查,只有内部审计可以做到。风险导向审计对医院内部控制系统的充分性、有效性发挥着重要作用,内部审计及时根据实际情况的变化而进行医院各部门的调整,为内部机制的有序运行提供保障。同样,内部控制搞好了,对于审计工作的顺利开展也有很大帮助:一方面可以提高审计效率,为审计制定合理的程序,另一方面也有助于确定审计的方法与范围,为审计提供依据,最后对于审计的质量也有了保证。
二、风险导向审计在医院内部控制中的应用
依据国家审计协会的《内部审计实务标准》,风险导向审计主要应用在编制审计计划时、确定审计范围时、编制审计方案时、实施审计过程中、编制审计报告时等,从风险导向审计与内部控制的关系来看,可以得出结论,医院风险导向审计离不开医院内部控制,采用风险导向审计办法,必须建立在对医院的风险管理与内部控制有一定了解的基础上,只有了解了这些基本情况,才能对内部控制实现再控制,合理配置审计资源,提高审计效率。
1.了解单位基本情况,进行应用思路的部署
进行风险导向审计的应用,必须要了解应用单位的基本情况,对于风险导向审计在医院内部控制中应用进行分析,必须要了解医院年总收入情况、固定资产、拥有病床数、相关背景、工作人员方面全方位的内容,然后进行运用思路的部署。为了实施风险导向审计,首先必须要对医院内部进行风险监测、分析、与预警,提高医院整体的风险防范意识,其次需建立健全医院内部控制制度,降低控制风险。通过对医院风险的分析与内部控制的评估,最后按风险的高低制定审计方案,开展审计工作。由审计风险模式可以看出,审计风险与重大错报风险和检查风险相关,其中重大错报风险很大层面上与医院的风险管理体制不严格、风险监测不严密相关。因此,应用风险导向审计的第一步便是完善风险管理体系。
2.建立与完善医院风险管理体系
医疗体制的改革,医疗卫生事业的迅速发展,使医院面临的风险越来越多且越来越大,建立与完善医院风险管理体系已经势在必行,为了促进医院管理体制的发展,根据相关文献与实践经验提出计划与控制系统应用于风险管理体系,如何实现计划与控制系统是需要深思的一个问题,我们必须要从组织保证、工作重点、具体措施三方面入手。在组织保证方面,需要明确的是要想实现计划与控制目标,必须要建立相应的机构来实现,这时,计划控制委员会的成立是必要的,其工作的内容是先制定医院的战略部署与总体的工作计划,再对工作的总体进程进行控制,最后对计划的内容进行评价,来决定计划与控制管理中的问题。
单独成立计划控制委员会无法对工作进行直接部署,在其下级需要成立发展计划部,计划部的组成人员可以有管理人员、医疗人员、文秘人员。该部门的主要任务是对医院各种相关情报进行收集整理分析,对于可能发生的风险提出提前预警方案,协助领导进行全院的计划与控制工作,为计划与控制委员会提出具有建设意义的方案,并且对计划的合理性进行审查与调划,成为计划与控制的桥梁。
依据其它企事业单位的实践与研究及相关研究资料表明,该部门的工作内容含有拟定实施计划与各项草案,审查设定的计划在医院风险管理以及内部控制中的运用情况,并对运用过程进行监督,对于在此过程中出现的问题给出评估,并给出相应的解决措施,对医院的内外部环境进行综合分析,对于潜在风险要进行日常管理。
医院要把全面风险管理的思想贯穿于计划与控制的整个过程,把此作为计划与控制管理工作的重点,以此为思路进行医院内部计划控制与管理,有助于计划实施的有步骤、有条理,从而实现医院的发展目标。
3.完善的系统控制降低风险
为完善医院的内部控制系统,实现风险导向在医院内部控制中的应用,要在以下几个方面进行相关研究。要点之一便是要通过监察审计室来进行内部控制的评价与估测,监察室有了对内部控制方案的基本了解后,明确各科室在内部控制中的职责,了解风险导向审计部门在对内部控制进行监督与评价时的责任与义务。依据相关文献与国家颁布的法律政策,实现评估与审计内部控制而采取的措施和政策有以下几项:审查医院的内部控制制度是否符合国家规定的有关法规以及企业制订规章制度、办法、程序等;审计医院内部控制系统是否具有真实性完整性、系统性全面性等特点。
要点之二便是排查风险,完善医院内部控制制度,这一点要求各部门对自己部门内部的各个程序所存在的风险进行一一排查与估算,对风险划分相应的等级,按照等级制定相应的应对与填补漏洞措施,完善内部控制,通过对风险点的排查,有效地降低风险的发生概率,对于风险导向审计在内部控制中的应用提供有效指导作用。
通过前两个要点对内部控制系统的完善可以有效地降低风险发生的可能性,要点三和四是对一和二的补充与拓展,要点三是开展内部风险评价试点,对内部风险进行量化评价,依据各风险点的影响与后果,划分风险等级,依据风险等级划分审计资源,节省人力、物力、财力,在有效的分配资源中降低了内部控制的风险等级。
要点四是制定和完善内部控制方法,内部控制的重要组成部分之一就是要对内部控制系统进行监督评价,因此,必须要形成有效的监督与评价体系,对医院内部各部门的风险等级进行明确划分,明确评价内容。具体评价内容包括内部控制环境、风险评估、制度建设、岗位设置与管理、权限控制、计划管理、计算机信息系统控制、应急机制等,把等级与内容相结合。
内部审计与风险管理的关系篇5
关键词:事业单位;风险管理;内部审计;参与路径
随着国家对事业单位财政资金投入的加大,以及财政管理体制改革的深入,在原有管理体制下,事业单位对财政资金的风险管理水平较低,运行效率低下,已经不适合现在的发展需求。如何防范风险,加强风险管理,已成为事业单位面临的重要课题。与事业单位的其他部门相比,内部审计相对独立,它能从事业单位全局角度识别和评估风险。根据国际内部审计师协会(iia)的要求,内部审计要积极参与组织的风险管理。因此,借鉴企业在风险管理方面的先进经验,根据CoSo的eRm框架,使内部审计可以成为风险管理的“再管理者”,在事业单位风险管理中发挥重要的作用。
一、内部审计与风险管理概述
(一)内部审计概述。审计分为国家审计、民间审计和内部审计,其中国家审计和民间审计属于外部审计,而内部审计的机构设置和人员配备都在组织内部。内部审计经历了由财务审计、经营审计、管理审计和风险导向的综合审计四个阶段。从内部审计的发展过程来看,呈现职责范围不断扩大、静态向动态转变的特点。内部审计的发展过程完全是顺应当时现实社会经济环境的变化,也在现代事业单位治理的不断完善过程中发展演变。国际内部审计师协会(iia)在《内部审计实务标准(2001年版)》修正了内部审计的定义,指出内部审计是一种独立、客观的确认和咨询活动,目的在增加组织价值和完善组织的运营。同时,内部审计有必要采用一种系统和规范的方法来参与组织的风险管理、控制及监督过程,并进行评价,从而提高过程效率,以帮助组织实现目标。根据这种观点,内部审计的职能和范围已经扩展到组织的风险管理、控制与治理程序。因此,现代内部审计既要关注财务数据,还要关注更广泛的经营领域,在指导和监督组织合规经营的同时,还要积极组织人力和资源,参与和改善组织的各项风险管理状况,以期实现组织的最终目标,为组织增加价值。
(二)风险管理概述。风险是指可能对目标的实现产生影响的事件发生的不确定性。对于事业单位来说,风险是由于某种不利因素导致事业单位发生损失,并致使其目标无法实现或降低实现目标的可能性。风险具有不确定性、客观性、普遍性、必然性、可识别性等特点,是能够通过有效的管理达到有效控制和规避的。风险管理是一种全过程管理,它贯穿于事业单位经营活动的始终,包括事前、事中和事后。风险管理的主要内容是采取一定的措施对风险进行检测和评价,并使风险降到可以接受的程度,以及将其控制在某一可以接受的水平上。美国CoSo委员会在2004年9月的《企业风险管理(eRm)———整体框架》中,提出了“全面风险管理”的概念。“全面风险管理”强调全面和全过程的风险管理。这同样适用于事业单位。事业单位可以借鉴“全面风险管理”的理念,从事业单位目标制定一直贯穿到事业单位的各项活动中,用于识别那些可能影响事业单位的潜在事件和管理风险,使其在事业单位可以接受的风险偏好范围内,从而有效确保事业单位实现既定的目标。
(三)内部审计与风险管理的关系。国际内部审计师协会(iia)在2002年的《eRm:trendsandemergingpracticesconclude》中指出:“在21世纪,风险管理将会变成组织管理的主要部分,这会影响公司如何被组织委派首席风险长向Ceo和董事长报告,同时也会影响到内部审计的执行。”2005年,罗伯特•R•莫勒尔的《布林克现代内部审计学》也认为:“风险管理应该成为内部审计计划评估过程的组成部分,内部审计师要用一个正式的过程来帮助理解风险并尽力将工作集中在高风险领域。”在组织的风险管理过程中,内部审计师通过评估组织的内部环境、识别组织的风险事件、检查组织的风险应对措施和评价关键的风险报告,能够使得组织的风险得到有效的管理,从而保证组织有效的运行;另一方面内部审计师可以协助组织制定相关的风险管理战略、指导制定相关的风险应对措施、强化组织对风险的报告,达到更好地为组织风险管理提供咨询服务的目的。要注意的是,为了保证不损害内部审计的独立性和客观性,内部审计师不能设定风险偏好,不能对管理层做风险保证,也不能对风险反应进行决策,更不能代表管理层执行风险应对措施和承担风险管理的责任。
二、内部审计参与事业单位风险管理的路径
在CoSo的《企业风险管理(eRm)———整体框架》中,风险管理包含内部环境、目标设定、事件识别、风险评估、风险反应、控制活动、信息与沟通、监控等八个要素,这些要素贯穿于企业风险管理的全过程。在eRm框架中,内部审计的职能是“通过检查、评估、报告和建议,来帮助管理层和董事长或审计委员会进行有效的企业风险管理。”对于事业单位,内部审计也可以作为风险管理的“再管理者”,首先从事业单位的风险环境进行评估,然后对事业单位风险管理部门的工作进行监督和控制,最后是做好信息的传递和沟通工作。
(一)事业单位风险环境分析。环境会对组织目标实现产生不确定性影响。根据风险管理框架,风险环境分为外部环境与内部环境。对于事业单位来说,外部环境风险主要是国家法律法规及政策的变化、经济环境的变化、科技的快速发展、自然灾害及意外损失等。内部环境风险主要来源于事业单位经营活动的特点、资产的性质以及资产管理的局限性、人员的道德品质等。为了有效地参与风险管理工作,内部审计部门必须结合事业单位运行目标进行风险环境分析,将事业单位运行目标和阻碍运行目标实现的风险系统地加以联系。内部审计首先要列出与组织目标相关的关键性成功因素和可能阻碍成功的风险因素,可以运用Swot模型、KSF模型将识别的风险因素逐一列出,并从事业单位组织目标的角度分析判断风险因素对组织目标实现的影响程度。同时,建立风险分析矩阵,将事业单位的运行目标与潜在的风险联系起来。
(二)对事业单位风险管理部门的工作进行监督和控制
1、评估风险识别的充分性。事业单位风险管理工作的基础是风险识别工作。风险识别就是指对事业单位所面临的以及潜在的风险加以判断、归类和鉴定风险性质的过程。也就是说,要确定事业单位正在或将要面临哪些风险。内部审计人员必须保证风险识别的充分性,保证所有重要的风险都被识别出来。内部审计人员应该结合事业单位的组织目标,检查和评估有关单位和职能部门对风险的识别、检查,并提出建议,通过取得的证据来评价事业单位风险管理部门是否全部识别出事业单位所面临的主要风险。内部审计部门和人员可以采用的方法包括决策分析、可行性分析、统计预测分析、流程图分析、资产负债表分析、因果关系分析、损失清单分析、保险调查法和专家调查法等。
2、评估风险级别的适当性。事业单位风险管理部门识别所有潜在的重要的风险后,会对这些风险的等级进行测量,也就是对这些风险级别进行评估。内部审计人员要对事业单位风险管理部门做出的风险评估结果进行再次确认,以确定其是否恰当,并修正不恰当的风险评估结果。在风险评估的再次确认活动中,内部审计部门要运用管理工具和技术分析风险。首先,要建立风险评价指标体系,收集并整理相关资料,对风险因素进行分析;其次,根据预先确定的风险评价指标体系,对已识别的风险事件进行定性分析和定量分析,从而实现对风险有效的计量。评估要注意与事件相关的不利事件;最后,进行综合评价,对比和分析内部审计部门与事业单位风险管理部门的结论,对风险评估进行再检验,确定其是否恰当。
3、评估风险应对措施的合理性。在风险被识别和评级以后,就应该采取措施减轻风险,将风险降低到可接受的水平,以及增加所期望的结果发生的可能性。事业单位可以根据组织预先设定的风险偏好,来采纳风险应对的方法。风险应对的方法,有风险处理、风险规避、风险转移和风险接受四种。内部审计部门要对风险管理部门采取的风险防范措施进行检查,并评估其是否充分、得当。内部审计师在评估风险应对措施时应考虑以下三方面:(1)采用此种方法的成本与承担风险所付出的代价的比较;(2)此风险所致损失的概率和程度的大小;(3)是否具有处理风险的技术。如果缺乏充分的风险控制措施,在这种情况下,内部审计部门应当提出改进措施和建议,以加强事业单位的风险管理,从而降低风险损失。可以采用的方法有:避免风险、损失控制、分离风险单位、非保险方式的转移风险(包括转移风险源、签订免除责任协议、利用合同中的转移责任条款)、保险等。
4、跟踪与评价风险控制活动。在选择与实施风险应对措施以后,管理者就需要实施控制或其他可减轻风险的活动,将风险控制在一定的水平。事业单位风险控制是对事业单位整个风险进行控制的活动,控制活动贯穿于整个组织,包括:批准与授权、证实、观察、鉴定、协调、经营成果复核和资产实物保全等。内部审计部门要跟踪风险控制活动,并及时评价风险控制效果。内部审计部门要测试这些控制活动的有效性。内部审计部门可以采用流程图法和调查表法,将测量结果与高层管理者设定的目标进行对比,如果超出了限度,内部审计部门就应该及时将背离结果向高层管理者汇报,以便于高层管理者决策。
(三)确保信息正确及时地传递与沟通。实现风险管理信息的传递与沟通是有效实施事业单位风险管理的必要条件之一,其功能是将事业单位内外部的相关风险管理信息进行确认和传递,以监督事业单位各部门及其成员有效履行各自的职责。内部审计部门可以通过信息技术和定期的内部报告,将与风险有关的信息在事业单位内展示。内部审计部门要保证这些信息能够正确及时地传递给管理部门、供应商、消费者等利益相关者,并且就风险管理方面的信息进行沟通。
三、内部审计参与事业单位风险管理应注意的问题
(一)将内部审计全面融入风险管理。从国际内部审计师协会对内部审计的新定义就可以看出,内部审计的职能和范围已经不限于监督和评价,而是扩展到了确认和咨询,其最终目的是为了满足客户的需求。如果不能够满足客户的需求,企业将会在竞争中淘汰。现在,事业单位运行环境日益复杂,风险管理在组织管理中非常重要。因此,内部审计人员要扩展内部审计的职能和范围,积极参与风险管理,树立为客户服务的理念。在实践中,内部审计部门应该是在审计委员会的领导下,将风险管理融入到内部审计的体系中,使得内部审计成为风险管理的重要组成部分,从而充分发挥其作用,能够更好地为风险管理提供建议与咨询。但是,要严格区分内部审计与风险管理的权利与责任。
(二)兼顾内部审计的独立性和客观性。独立性是内部审计的灵魂,这要求内部审计部门独立于管理部门。而组织的风险管理又强调内部审计人员要与事业单位管理层之间进行沟通。而国际内部审计师协会(iia)实施建议的“双报告”模式可以比较有效地解决这个问题,使得内部审计能够兼顾独立性和客观性。具体而言,就是内部审计部门在职能上向审计委员会报告,在行政上向事业单位负责人报告。职能性报告关系可以使其不受管理层的影响,而行政上的报告关系则能够取得最高管理层的支持,进而获得被审计部门的合作,还能够避免有关职能部门的干扰。“双报告”模式能够较好地处理内部审计与组织的治理机构和管理层之间的关系,也能够保证内部审计的独立性。
(三)优化内部审计部门的人力资源管理。为有效参与事业单位的风险管理过程,评估和应对事业单位所面临的风险,内部审计人员不应局限于会计专业和审计专业,应该适当吸收市场专家、计算机专家、管理顾问、工程师、舞弊检查专家等多种专业人才,优化内部审计队伍,满足事业单位风险管理的需要。同时,在事业单位内部可以建立人才流动机制,实现内部审计人员的内部流动。这样能够使事业单位成员对事业单位范围内风险和控制有关的知识有一个全面的了解,还可以使得内部审计人员与事业单位其他职能部门的人员保证良好人际关系,从而有利于事业单位的风险管理工作,提供风险管理的效果。
(四)提高内部审计人员自身素质。内部审计工作本身就是一项复杂的工作。而在新形势下,内部审计人员还要参与事业单位的风险管理,应用专业技术知识来预防和减少事业单位的风险,在风险控制和改进组织治理的效果方面发挥咨询和服务作用。这样就要求内部审计人员从以下三方面提高自身素质,才能胜任风险管理工作。首先,内部审计人员要掌握一定的信息技术。面对事业单位普遍使用的信息技术和日趋复杂的运行环境,要想有效行使风险管理职能,必须要掌握计算机辅助审计技术和其他数据分析技术;其次,内部审计人员要具备良好的沟通技能。为了有效地参与风险管理,提供建设性的意见,内部审计人员需要深入调查内部控制和经营管理的现状,取得被审计部门的理解、参与和合作。在这过程中,良好的沟通技能是必不可少的;最后,内部审计人员还应具备创造性的思维模式。事业单位经营风险存在的原因是由于其内外部环境中充满了不确定的因素,内部审计人员有创造性的思维模式,才能适应不断变化的环境,进行有效的风险管理。
主要参考文献:
[1]张玉.iia“内部审计”定义中文翻译修改说明[J].中国内部审计,2005.9.
[2]王华庆.风险监管原理与实务[m].北京:中国金融出版社,2003.
[3]张巧良,房亮.内部审计在eRm中的作用机制探讨[J].商业时代(理论版),2007.3.
[4]宁静芬.审计参与风险管理研究[D].山西:山西财经大学硕士论文.
[5]李明辉.内部审计的独立性:基于内审机构报告关系的探讨[J].审计研究,2009.1.
[6]张玉.后安然时代国际内部审计发展趋势综述[J].审计研究,2005.5.
内部审计与风险管理的关系篇6
1.风险管理与内部审计的关系
(1)风险管理是内部审计的重要内容iia对内部审计做了这样的定义,内部审计是一种独立、客观的保证和咨询活动,旨在增加价值和改善组织的运营。它通过应用系统的、规范的方法,评估并改善风险管理,控制和治理过程的效果,帮助组织实现其目标。该定义将内部审计的范围延伸到企业风险管理和公司治理,认为内部审计是针对风险管理、控制及治理过程的有效性进行评价和改善所必须的。
(2)内部审计是风险管理的监督职能的承担者和执行者审计委员会与内部审计部门是企业风险管理的最后一条防线,是风险管理的监督职能的承担者和执行者。内部审计部门在风险管理方面,主要负责研究提出全面风险管理监督评价体系,制定监督评价相关制度,开展监督与评价,出具监督评价审计报告。
2.公司主要风险及风险管理现状
(1)主要风险通过对数家企业的考察,发现考察的多数企业在经营和发展过程中面临的风险主要表现在:经济萎缩带来的产业重新定位风险;体制、机制落后制约发展;加工企业产品结构不尽合理;投资决策不当,被投资企业经济效益不佳;长短期债务资金结构不合理,资本性投资多用短期信贷资金解决,造成现金流短缺,资金紧张,资金成本加大;进出口和其他对外业务因汇率变动遭受损失;赊销政策不当,导致应收款项无法收回,形成坏账损失;境外投资企业财务监管不到位;安全管理不善。
(2)风险管理现状多数公司非常重视风险管理,当前,公司在风险管理方面还存在如下主要问题:
①风险管理职能分散,尚未形成管理体系。
②风险管理与内部控制缺乏有机结合,未形成突出风险管理的内部控制系统。
③风险管理组织机构不健全,未形成有效的风险约束机制。
二、内部审计在风险管理中的作用
《内部审计实务标准》将内部审计在风险管理中的作用概括为两方面,一是对企业是否建立恰当的风险管理过程以及其充分性和有效等方面起到保证作用;二是以咨询顾问的身份协助企业确定评价并应用处理风险和管理方法和控制措施。笔者结合实际工作,将内部审计在风险管理中的保证作用具体归纳为以下几点。
1.研究提出风险管理监督体系
从监督企业是否已经建立了风险管理体系;已经建立的风险管理体系是否涵盖了决策、经营、生产、财务等主要风险;风险管理体系是否发挥了应有的作用等方面,评价企业风险管理体系的健全性和有效性。目前,很多公司尚未建立起完整的风险管理和监督体系,内部审计主要是立足本职岗位,通过收集大量第一手资料,对发现的风险隐患加以分析整理和评估,提请管理层关注各种风险,为完成风险管理和监督体系做好初始信息管理和风险评估等基础工作。
2.监督评价风险管理相关制度
在具体的实践中,内部审计人员从评价各单位和部门的内部控制制度入手,结合符合性测试等办法,审查相关控制制度设置的合理性以及执行的有效性,识别并防范风险。例如,一家公司下属热电公司的煤炭采购是管理上困扰企业经营者多年的难点问题。内部审计通过实地调查和对各个环节的分析,发现该公司在煤炭采购、检尺、化验、入库、付款等环节中存在一人多职的问题。对此,内部审计提出了建议并帮助建立内部监督制约制度,加大对关键部位的控制,使该企业的管理得到了提升,卸掉了领导身上的包袱。通过对此类问题的监督,内部审计协助完善集团材料采购、招投标废旧物资处理等一系列规章制度,有效解决了人碰人的管理弊端,实现了重点环节的制度化管理。内部审计不光监督和揭示风险,更注重发现和总结被审计单位风险管理的成功经验,并加以推广,发挥典型引路的作用。
三、对内部审计全面参与企业风险管理的建议
随着市场经济的发展,很多公司的组织形式日趋集团化,经营方式走向多元化,组织结构倾向月扁平化和网络化,这些变化客观上使公司面临更多的风险,要求加强对整个公司的监管,如何克服风险管理中存在的弊端,在开展风险管理审计的基础上全面参与风险管理,是内部审计应该积极思考的问题,笔者结合实际工作情况提出如下建议。
1.建立符合经营目标的稳定的风险管理框架
内部审计要指导和协助风险管理部门建立适合的风险管理框架,从企业整体层面建设风险管理整体架构,包括制定企业的风险管理战略,完善企业的内控体系,设计与优化企业的风险管理流程,设计企业风险管理组织结构及其职能,从而改变目前“直觉管理”、“局部管理“的状态,将企业风险管理与内部控制有机结合起来,形成突出风险管理的内部控制系统,建立起风险管理的长效机制,从根本上提升风险管理的效率和效果。
2.建立健全风险管理监督评价体系
一个有效的风险管理体系,离不开风险监控,这是内部审计最重要的职责。所以,建立健全风险管理监督评价体系,用一个有活力的程序指出风险管理中的弱点和缺陷,使我们能正确地行动。首先,要制定符合实际的关键风险指标和效力标准。其次,各职能部门、分公司、子公司建立风险管理岗位,设立专职人员对风险管理进行效果评价。再次,健全审计与风险管理委员会职责范围和内部审计制度,内部审计对包括风险管理职能部门在内的各有关部门和业务单位能否按照有关规定开展风险管理工作及其工作效果进行监督评价,向董事会和审计与风险管理委员会报送监督评价审计报告。
3.立足现实,开展符合企业实际的风险管理审计
虽然内部审计开展了一些涉及风险管理的工作,但还要积极开展更科学、更专业的风险管理审计。首先,要改变原来的审计思路和观念,更加注重确认和测试为降低风险而采取的方式和方法。其次,结合实际,积极探索风险管理审计创新。再次,将风险管理审计经常化、制度化,要周期性或不定期地开展风险管理审计。
4.加强队伍建设提高内部审计人员自身素质
尽管内部审计为公司的风险管理做出了很大贡献,但是由于专职审计人员比较少,并且以财务人员转型为主,开展风险管理审计工作存在一定困难。风险管理审计涉及的知识面比较广,除政治素质外,业务上需要学习财务知识以外的更多的东西,需要投入更多的人力、物力、财力和精力,否则,难以胜任。首先,要增加内部审计力量,在分公司、子公司设专职内审人员。其次,内审人员要定期培训,不断更新专业知识,提高专业水平,同时也要注意提高计算机操作水平,以适应时代的发展。再次,除财务人员外,审计队伍还要吸收一些经营管理技术方面的专家参与。
四、结语
内部审计与风险管理的关系篇7
关键词:商业银行公司治理风险管理风险审计
全面风险管理是从战略目标制定到目标实现的全过程风险管理,随着现代商业银行所承担风险的增加,商业银行内部审计关注的重点也逐渐转移到风险管理上来,当今风险审计作为一种新的审计理念,成为备受人们关注的热点。与其说银行是在经营货币的企业,不如说银行是经营风险,从风险管理中获取收益的企业。商业银行一直在利润与风险之间做着谨慎和侥幸的选择,防范和控制经营中的风险,实施全面风险管理战略,是商业银行面临的现实而紧迫的任务。作为现代商业银行的审计部门,如何由传统的合规性审计向风险预警和防范为目标的风险审计转变,合理配置有限的审计资源,提高审计效率与效益,有效发挥审计监督在防范和控制风险中的积极作用,已成为现代商业银行内部审计面临的焦点课题。
风险审计的涵义
风险审计,也称风险基础审计或者风险导向审计,它是在传统的账项基础和内部控制制度基础审计上发展起来的一种审计模式,是指审计人员在对被审单位的内部控制充分了解和评价的基础上,综合分析、判断被审计单位的风险状况及其风险程度,从而把有限的审计资源集中到高风险的审计领域,针对不同风险程度采取相应的审计对策,重点对高风险点进行实质性测试,从而伎内部审计的剩余风险降至可接受的最低水平。与账项基础审计、内部控制制度基础审计相比,风险审计关注点在于对被审单位的风险评估,其审计重心向风险评估转移,更加关注的是企业的风险管理活动一一是否建立清晰的风险管理战略、完善的管理架构、全面的风险管理过程和良好的风险管理文化,最终实现风险管理效率和价值的最大化,不但可以保证充分的审计覆盖面,而且对每一个领域都会根据其风险评价结果有不同的审计频率与深度,增强了对风险的预防控制作用,风险审计方法的重点是识另q、预防与控制风险。因此,风险审计理论的核心是从分析审计风险入手,通过建立科学的审计风险分析模型,采取定性定量分析方法,量化确定固有保证程度系数,并控制保证程度系数,确定可接受的检查风险水平,以确保审计质量。
商业银行实施风险审计方法的坝实重要牲格林斯潘曾经说过:“银行的基本职能是预测、承担和管理风险。”风险审计的本质和根本目标是促进和保障商业银行业务的稳健发展,促进商业银行树立全面的风险管理理念,坚持发展与防范风险并重;适应市场和业务需要,不断完善风险管理手段,健全风险管理体制,培育风险管理文化,提高风险管理水平,促进业务发展,目标是优化资源配置,将风险控制在商业银行可以承担的范围内,实现风险调整后的收益最大化。
(一)风险审计的理念和方法是商业银行实施全面风险管理的现实选择,进一步提升了内部审计的增值服务?风险是商业银行与生俱来的产物,存在于商业银行业务的每一个环节当中,商业银行提供金融服务的过程也是承担和控制风险的过程,因此,风险管理是商业银行永恒的主题。在现代金融领域中,能建立良好的风险管理架构和体系,对风险进行全面有效的管理,并以良好的风险定价策略实现价值增长,是影响商业银行核心竞争力的重要因素,也是实施风险审计的必然要求。国有商业银行上市后,要在提高全面风险管理能力的前提下保持持续的价值创造能力。
巴塞尔新资本协议和美国反舞弊财务报告委员会的发起组织委员会fCoSo)的《企业全面风险管理框架》将全面风险管理概括为对商业银行各个层次的业务单位和各种类型的风险进行统筹管理,这种管理要求将包含信用风险、市场风险、操作风险和其他风险的各种金融资产与资产组合,承担这些风险的各个业务单位纳入到统一的管理体系中,对各类风险依据统一的标准进行测量并加总,依据全部业务的相关性对风险进行全程的控制和管理。风险审计正是以全面评估风险为基础,从重要风险点上人手,在深入分析判断不同层面和业务单位风险状况的基础上,确定审计重点,对风险高的业务集中资源重点审计,通过评估银行风险识别的充分性、风险衡量的恰当性及风险防范的有效性,并在此基础上提出相应的改进措施和建议,直接影响商业银行经营战略的制定,确保商业银行实现业务发展、风险控制和效益增长的有机统一.
(二)采用风险审计的理论和技术、是现代商业银行审计发展的目标和方向,实现增值型审计转型需要:当前国际内审发展已进入一个以风险管理和公司治理为标志的新的发展阶段,西方的绝大部分商业银行在内部审计均采用了风险审计的理论和技术。国际审计师协会主席捷奎林?瓦格娜曾提出:“环境的变化给内部审计师带来增加价值的机会最多的领域是风险管理的公司治理。”2003年国际内部审计协会对2001年新的《内部审计实务标准》(以下简称《标准》)修改后,在内容上也自始至终都贯穿着风险审计的主导思想。
一是在对内部审计的定义中要求内部审计采用一种系统化、规范化的方法来对机构的风险管理、控制及监管过程进行评价进而提高它的效率,帮助机构实现它的目标。二是内部审计的目标要求内部审计参与风险管理。三是内部审计的工作重点要求内部审计参与风险管理。四是标准对审计计划、审计测试、审计结果、后续审计各个方面都作了和风险相关的明确规范。五是关于剩余风险,《标准》做出了在审计执行主管认为高级管理层接受的剩余风险水平对于机构来说是无法接受时就报告董事会加以解决的规定。这些规定和要求将内部审计的范围延伸到风险管理和公司治理,所以风险管理已经成为内部审计的主要工作。随着风险管理导向内部控制时代的来临,内部审计的工作重点也发行了变化,现代内部审计突破了传统的监督、鉴证、评价职能的范围,更多地介入商业银行有效的风险管理机制和健全的公司治理结构领域。
风睑审计在项代商业银行风睑管理中的作用
(一)风险审计有利于提高商业银行风险管理水平,促进风险文化建设。风险基础审计主动发现和控制各项风险,通过对商业银行业务部门进行风险评估,并按照次序排列风险,集中高风险的项目优先审计。前者试图阻止不期望的行为发生,这种事先的控制有助于阻止损失的发生;后者试图检查出不期望发生的行为,检查性的控带l目的是提供损失发生的证据。这两种类型的控制都是必要的内部控制系统,使商业银行的内控机制完善、管用。同时,风险审计关注的重点是业务过程中的每一个风险点,涉及所有员工和管理者,这样有助于形成商业银行风险文化,从而提高商业银行全面风险管理水平。
(二)风险审计有利于对风险事件的识别风险审计采用通用风险分析模板及方法,识别商业银行业务过程的风险和外部环境风险。风险审计人员运用某些分析方法,创造性地进行分析,判断管理层是否完全识别了企业的所有风险,若有遗漏的风险要提醒管理层加以考虑。
(三)风险审计有利于对风险的反应和控制。在风险反应活动中,商业银行要根据不同的风险决定要采取的策略和方法,决定是避免风险、接受风险、还是降低风险。如对有相对的风险回报的风险,商业银行可以考虑接受,但要采取控制措施,才能将风险降低到可以接受的水平,获得希望的回报。对于这部分风险,商业银行会采取减少风险、转移风险或分担风险的办法以降低商业银行承受的风险。风险审计人员的主要工作在于分析、评价风险回报的合理性、减少风险的措施的有效性、以及接受风险转移和风险分担的那一方的风险。
(四)风险审计有利于对风险信息沟通和风险管理系统的监控。在风险信息沟通活动中,商业银行的风险管理要将风险及时有效地传递给内部相关人员,以便及时采取相应的控制措施。风险审计人员可以通过评价报告系统证明风险信息被准确、及时地传递到相关人员,内部审计报告可以向董事会和审计委员会传递风险是否得到有效管理的信息。在监控活动中,商业银行要对风险管理进行持续监控,通过对内部控制系统的运行的监控和对定期检查结果及意外事项的处理结果的评价,保证商业银行对风险管理是一直有效的。风险审计人员可以通过分析环境和风险变化,检查内部控制系统是否已更新,是否能控制新的风险。还可以通过后续审计管理层对审计中发现的问题及对意外事项的处理情况,检查新的控制措施是否有效,将分析结果和建议提供给管理层以便改进控制措施。
风险审计在捕国商业银行规划与存在问题
(一)风险基础审计的法制化、制度化规范化建设的道路还很漫长。一是商业银行内部制度调整工作量大,相关业务制度和操作流程也要进行相应调整;二是支持系统建设难度大,因长期需要具备相应功能的电子化系统作支持,要求商业银行改进现有业务系统,并开发建设风险评估系统,风险评估系统的建设包括业务流程、历史数据收集、参数选择等需要大量投资和时间准备。三是短期内风险审计人员素质难以提高。风险审计人员需要精通包括审计、会计财务、法律、逻辑学、信息学、系统论、管理学等专业知识,懂得运用经济、数理、计算机等专用分析手段来预知和减少风险,每位风险审计人员达到运用自如的水准尚需时日。
(二)审计证据的较高要求增加风险审计取证的难度风险基础审计必须获取充足的、可靠的相关的证据以判断,而目前我国商业银行风险基础审计缺少可供遵循的标准和程序,且审计取证的渠道和方式多样,因此,审计人员一般都需要提高调查样本代表性和增大调查样本的方法,以增强对总体风险推断的准确性。
(三)风险审计技术手段落后,难以适应工作需要。计算机会计信息系统、信贷管理系统的广泛应用和发展,大大增强了审计的及时性,事后审计;逐步被实时审计所代替,这与针对经营全过程的风险基础审计不谋而合。在我国,商业银行审计人员大多数对计算机辅助审计不太熟悉,许多还停留在传统手工查账的基础上,在新技术面前还有些无所适从.审计手段落后,不但增加了审计难度,而且效率低、准确差,严重影响了审计作用的发挥,无法满足商业银行风险基础审计工作的需要
(四)协调配台欠缺,降低了审计结果的运用日常审计中很少利用纪检、人事及其他部门掌握的信息,审计结束后,除个别项目外一般也不与这些部门交换,致使审计成果在干部考核、任用、奖惩等方面没有发挥应有的作用,相应削弱了审计的威慑力。
我国商业银行发展和完善风险审计的对策
(一)正确认识风险基础审计在银行公司治理结构的重要作用,为风险审计的发展刨造良好的环境商业银行公司治理的核心问题是委托人(股东、投资者、管理者)如何激励和约束人(经理层)、积极有效地完成受托经营管理责任,以确保股东或投资者财富最大化。显然仅仅通过财务审计,委托人难以全面了解人是否有效履行其受托责任,而风险基础审计有利于减少信息不对称性,较为全面地提供委托人所需要的有关经营管理活动方面信息,大大遏制了“道德风险”的发生,增强了经营管理的透明度,从而达到控制和抑制“内部人控制”的目的,同时,通过风险审计可以有效地判断人的业绩和能力,评价人对受托人责任履行情况,促进人提高经营管理效率因此,风险审计是商业银行公司治理结构的重要组成部分,是完善公司治理结构的“四大基石”之一。
(二)抓紧制定风睑基蒯{计;,立则尽快完善评价标:停体系要吸收借鉴美国、英国、典等发达国家的先进经验,抓紧研究制定我国的风险基础审计准则,这是开展风险审计的当务之急。风险基础审计准则的制定要遵循“衔接”、“配套”、“务实”的原则,注意解决好前瞻与现实的矛盾,接轨与国情的矛盾。逐步探索和完善风险审计的评价标准体系,量化评价指标,为不同项目之间的比较提供依据.
(三)认真搞好风险基础审计研究,探索先进审计技术方法。先进的审计技术和方法,是提高审计效率和质量的重要保证要通过传统方法与现代信息技术的结合,加大风险审计技术的研究力度,特别要注重探索完善审计抽样、内控测评、风险评估等方面的方法和技术产。在风险审计的方法和技术的研究中,要实行科研人员与实务人员、科研与调研、审计人员与项目工程人员相结合的办法开展,以增强实用性、指导性和前瞧性。
内部审计与风险管理的关系篇8
关键词:整体化风险管理内部审计
自20世纪90年代起,西方国家许多大型企业内审部门便开始逐步介入企业风险管理这一领域,对企业的风险管理进行评估与监督,以维护本企业经营目标实现的安全性、效率性和效果性。随着经济一体化和全球化的进程加快,企业面临的各种风险亦日益增多。这就迫使企业必须不断创新风险管理技术,降低风险管理成本,提高风险管理收益。作为风险管理体系的重要组成部分,内部审计也必须积极做出相应创新,以适应这一变化趋势,更为主动地参与整体风险管理,以促进企业目标的实现。
一、整体化风险管理的客观背景
(一)现行风险管理模式的局限性进入20世纪90年代后,人们逐渐认识到传统的风险模式所表现出来的一些局限性:(1)传统风险管理模式下,管理范围是局部的,管理过程是分离式的。不同类型风险的管理方法存在很大差异。人人厌恶纯粹风险,因此,风险回避、风险转移或损失控制是管理风险的基本方法。其中,保险是转移纯粹风险的手段,资产组合理论是回避不带来回报的非系统风险的风险管理方法,衍生工具是用于转移投机风险、投机获利的风险管理手段。在同一企业,即使对于纯粹风险也是不同部门、不同管理者负责不同风险的识别、控制和管理决策,各部门一般也缺乏沟通和交流,缺乏以企业整体价值为分析基础的全盘考虑。(2)传统风险管理模式下,管理成本偏高而效率偏低。由于传统风险管理下分离式的管理,需要大量人力、物力和财力的投入,导致许多不必要的成本和费用开销,造成资源的浪费。同时,分离式管理还可能因为不同管理部门之间的不协调,或因利益和权限的冲突,不但使风险控制不力,还可导致其他风险和损失负担。此外,分离式管理一般中只注重风险的控制而无视风险的利用。实际上,不同风险彼此之间并不是完全独立的,可能会具有某种相关性,一种事故或事件的发生可能导致一系列其他的事故发生。而传统风险管理不能充分把握和有效利用不同风险之间的内在联系,或者说不能利用不同风险具有此消波长、相互关联的性质,管理效果经常是顾此失彼。
(二)整体化风险管理的优势特征整体化风险管理在实践应用中有以下明显优势:(1)降低企业总体风险水平,减少出现财务困境的可能性。在目前的市场上,即使是经营非常成功的企业也很容易遭受财务方面的压力,而通过实施整体化风险管理,企业将可以对自身面临的风险有一个全面的把握,并充分利用各个风险因素之间的负相关性,使得企业的总体风险程度显著降低,从而减少出现财务困境的可能性。(2)可以提高企业风险管理效益。从理论上讲,如果将企业由于对风险的无知或者有意识的风险自留而产生的“拟保险成本”考虑在内,那么,整体化风险管理不仅可以降低企业的总体风险程度,而且能够大幅度节约风险管理成本。特别是企业在实施整体化风险管理中一般都要利用多重保险计划,这种多重保险计划使用的保险单比一般的总括保单或者综合保单所涉及的范围都要大。它所承保的是由多种不同类型风险组成的风险组合,保险免赔额则根据各单个风险的免赔额的总和而确定。显然,这种方式能够有效避免为过度而不必要的保险活动支付费用。(3)可以获取税收减负效应。具有累进性质的税负结构使得企业有动机去平滑各年度的收益水平,以便尽可能地合理避税,而有效的风险管理则能够帮助企业平滑各年度的收益。整体化风险管理还可能通过增强企业的举债能力而减少税收负担。在既有的风险管理能力条件的约束下,每个企业都存在一个最优的债务比率,而通过举借债务获得的营运资金具有增加税后现金流的作用,这就是所谓的债务的税收盾牌的边际作用。新的风险管理技术与工具的出现为那些目前盈利状况很好的公司重新规划自身的资本结构提供了方便。每个公司的债务比率应当随着公司的发展而不断调整,为适应公司过去情况而确定的目标债务率在今后的情况下未必是最优的。公司如果具备足够的风险管理能力的话,它完全可以将自身的目标债务率适当提高而不用担心引发财务风险。
二、整体化风险管理下内部审计面临的挑战
(一)内部审计承担的受托责任更加广泛内部审计的产生缘由于受托责任关系的存在,其不同阶段的发展也体现了受托责任的发展。奴隶社会与中世纪内部审计确保的是内部受托财务责任的合法性。在财务导向阶段,股份公司制度的形成更凸显了受托责任的重要性,内部审计关注的依然是内部受托财务责任。但是公司规模的扩大,已使该责任在公司内部分为多个层次。在业务导向阶段,内部审计从关注内部受托财务责任转向了受托管理责任,特别是低层的受托管理责任,主要指企业业务经营和内部控制的效率。在管理导向阶段,受托管理责任层级逐步提高,同时由于审计委员会制度的建立,内部审计要向其报告高级管理层的外部受托管理责任。内、外受托责任在此阶段都是内部审计关注的对象。而在进入风险导向阶段后,特别是企业风险管理发展到整体化风险管理后,内部审计承担的受托责任便与风险结合起来,表现出更为广泛的内涵。首先,委托人的广泛性带来了外部受托责任的多样化。和强调股东利益的狭义受托关系相比,此阶段更加强调各种利益相关者的利益,包括顾客、员工甚至社会等。其次,由于股权的分散,企业规模的扩大,企业内部管理层次的增多,导致了内部受托责任的多层性。最后,整体化风险管理强调系统性和从企业整体出发,从而对其有效性进行评估时会牵涉到各部门之间的协调作用,体现管理责任的复杂性。因此,面对更为广泛的受托责任,内部审计如何去全面履行是一个新的挑战。
(二)内部审计人员具有更高的素质内部审计形成职业化以后,对内部审计人员的专业素质和综合能力的要求便越来越高。要求从事内部审计的人员必须通过统一考试,以检验是否具有相应的专业知识储备和能力。在整体化风险管理条件下,其要求的知识结构和综合能力明显要高于过去。例如在对内部审计人员的知识结构和专业背景方面,要求他们必须具有扎实的管理学理论基础,同时还须具备风险、系统论、控制论等方面的专业知识,这样才能对企业的风险管理系统作出全面合理的评估,而且对内审人员的专业背景要求也更具综合性。再如在内部审计人员的综合能力方面,更加强调其沟通协调能力。因为整体化风险管理的综合性和系统性,要求内部审计人员在评估过程中必须能把握好和每一个部门环节的沟通细节,这样才能针对风险系统存在的缺陷获取有用的信息,并能最终提出有价值的改进建议。因此,整体化风险管理所要求的高标准,对广大内部审计人员提出了新的挑战。
(三)内部审计机构在组织中具有更超然的地位与传统风险管理相比,整体化风险管理系统的某一项风险控制往往都会涉及到两个以上部门,而涉及到风险的利用时,往往还会造成部门之间相关风险措施的冲突。内部审计作为管理系统中对风险管理效率性、效果性和经济性的评估者,以及作为风险控制的最后一道防线,其承担的责任也是巨大的。而此时,承担此一职能必然需要独立于各个部门之上,以超然的视角对各项风险控制和风险利用措施进行评估。同时,整体化风险管理的宏观性也要求内部审计必须能着眼于企业的长远利益和经营目标,这也需要内部审计在组织结构中具有超然地位。此外,内部审计在向董事会或审计委员会提高评估报告的客观性,也要求内部审计站在独立、超然的角度来对组织风险管理体系作出客观评估。因此,面对整体化风险管理的这一要求,内部审计如何增加自身的价值创造能力,提升自身在组织结构中的地位,也是内部审计需解决的一个难题。
(四)内部审计过去的目标起点受到挑战内部审计的目标起点决定了其审计内容的确定和审订程序的制订。企业的经营目标一般表现为实现企业价值的最大化,这正同整体化风险管理的目标保持了一致。过去的内部审计均是以审计目标为起点,如内部审计产生的初期是以查错防弊为目标,后发展为以企业资产经营的真实性、合法性和完整性为目标,再后来发展为以内部控制的完整性和有效性为目标。内部审计以审计目标为起点,一是容易使内部审计成为单纯的监督者,而忽视了其应有的管理职能;二是由于过于关注对内部控制的完整性、效益性的评估,会不断要求增加内部控制组织和规章制度,易导致企业组织结构的不断细化和复杂化;三是以审计目标为起点,往往是依据过去制定的一套规则或制度来进行评估,难以发现企业当前所面临的风险,因此与环境变化不相适应。整体化风险管理要求各参与部门以企业的经营目标为起点,更多地考虑企业的长远利益和战略安排,关注风险之间的关联性,从而制定出最优的风险管理方案。显然,内部审计过去的目标起点已不能适应这一新的要求。
(五)传统的审计方法受到挑战过去的内部审计大多以事后评估为主,事前和事中的评估只占少部分。这一方面是由于内审资源比较紧张,另一方面也是由审计内容决定的。过去的审计内容多以财务事项和内部控制为主,因此事前审计的意义相对事后审计来说相对较弱。进入风险管理系统后,由于风险代表着不确定性,其一旦发生就可能意味着巨大的无可挽回的损失,因此事后进行评估的意义就不大,而需要在事前作好充分的评估。在整体化风险管理条件下,有些风险是既可能带来损失,也可能带来收益的,这就需要进行综合管理,在事前就收集充分的管理信息,然后对风险发生的频率和程度、范围进行合理的分析,以争取最小的成本来实现最大的风险管理效益。即要求内部审计具备一定的预测职能。如果仍坚持以事后评估为主,将难以使得整体化风险管理系统的管理效应得到最大发挥。
三、整体化风险管理下内部审计的创新
(一)加强整体化风险管理理念的培育要使内部审计在风险管理中发挥积极作用,首先就应着重培育内审人员的风险管理理念。2003年,美国反虚假财务报告委员会下属的CoSo组织在其公布的“企业风险管理(eRm)框架”草案中提出了一个新概念―“风险组合观”,即要求管理者用风险组合的观念去分析管理风险。这就为风险管理理念的培育提供了更高的标准――整体化风险管理理念。内部审计是企业自我约束机制的重要组成部分,是风险管理的倡导者和推动者,也是风险管理的最后一道防线。内审人员要正确地认识企业组织所处的环境,加强与企业风险管理部门的合作与交流,并时时保持适度的危机感。风险管理是企业组织全体成员参与的管理,包括每个职能部门和生产环节,因此,风险管理理念也应是全体成员的风险管理理念。内审人员除了要求自己站在全局、整体的角度充分认识企业风险外,还需通过事前、事中、事后的评估和对内咨询服务,向企业组织其他成员灌输风险意识,使其认识到组织所面临各种风险的利弊,并自觉地参与管理。只有真正树立了全员的风险管理意识,才能实现企业的整体化风险管理。
(二)以经营目标为内部审计起点在整体化风险管理环境下,企业内部审计必须改变过去以事先确立的审计目标为起点的审计方式,而转向以企业的经营目标为起点。内部审计选择以企业经营目标为起点,首先会将自身关注的范围与职责扩大,以更加充分的体现自身的管理和价值增值功能,促使自身更加全面地辩识风险;其次,由于其他职能部门也普遍关注企业经营目标的最终实现,因此为内审部门与其他职能部门平等交流提供了基础,从而改变以前双方的监督与被监督的关系。还会促使内部审计站在企业宏观的角度时刻关注企业环境的变化,并在风险管理、内部控制措施与企业整体目标不一致时能提出合理化建议。
(三)建立企业风险危机预警管理系统内部审计开展审计和评估活动必须有一套评估标准,如评价合法性和真实性时,往往以财经法规、审计准则和历史资料为标准。在评价风险管理的合理性、有效性时,内部审计也必须有一套评估标准。这一标准并不是统一的,而是因行业而异、因企业而异。企业内部审计部门作为风险管理系统中处于独立地位的评估者,需要事前建立一套自身的评估标准,而建立危机预警管理系统则是较好的选择。所谓危机预警管理系统,即是通过将组织的各项危机进行分类,并分别确定各类危机的预警指数和信号征兆,从而对危机进行适时预告并采取措施的管理系统。企业的危机一般包括财务危机、营销危机、人力资源危机、公共关系危机以及产品创新危机等,或者也可根据风险管理部门确定的企业风险分类进行划分。企业危机表现的一般预警信号有:竞争对手日益强大,库存增加,产品积压;客户投诉索赔增加;财务指标恶化;人力资源费用负担过重等。建立危机预警系统的程序包括:确定需要发出危机警报的对象;建立危机监测指标和预警的临界点;准备危机预警系统所需要的资源;评估危机预警系统的性能;安排专人负责实施并维护预警系统。建立危机预警系统后,内部审计人员还应确立各种危机处理计划,建立危机处理框架和流程,同时还需充分考虑设立消除危机负面影响的危机恢复系统。这样,危机预警信号系统、危机处理框架和危机恢复系统三者相对应地便可分别作为风险识别、风险处理和风险控制三个过程的有效性的标准。如以财务危机预警为例,内审部门可同时综合企业风险管理部、财务部等职能部门各自的风险管理体系,来主导建立企业财务危机预警系统。具体可根据各风险事件的重要性、发生可能性和检测风险三个因素来量化风险事件的风险水平,计算出风险值,即:风险值=风险事件的重要性×发生可能性×检测风险。然后,根据企业的风险偏好和风险容忍度来确定预警线。在企业风险达到预警时,应及时报告相关部门利用保险模型、套期保值等风险管理方法进行风险消化。这样,内部审计一方面为自身的评估和咨询服务工作提供了依据,另一方面也实施了对企业风险的动态监控。
(四)建立企业风险数据库和信息共享系统风险管理信息的交流与共享,是实施整体化风险管理的必要条件之一。在CoS组织公布的“企业风险管理(草案)”中,将“信息与沟通”列为其要素之一。其功能是将企业内外部的相关风险管理信息进行确认和传递,以保证企业成员能有效履行各自的职责。信息技术的发展,为企业组织内部实现资源共享和信息传递提供了充分条件。国际注册内部审计师协会也正努力建设风险管理数据库,为全球内部审计师参与风险管理提供许多共享的重要信息和数据。企业内部审计部门也应结合自身过去的执业经验和行业内外信息,参与建立企业风险数据库。风险信息传递与共享不仅在内部审计师之间进行,同时也还在部门与部门之间、企业与企业之间,特别是同行业的企业之间进行。内部审计师通过建立风险信息共享系统,一方面充实了企业的危机预警管理系统,为自身的危机预警提供依据,另一方面将本企业相关风险信息传递给其他企业,可使所有参与风险评估的内部审计师能获得更充足的本企业之外的风险管理信息,拓宽了风险管理视角,更容易从整体出发,从宏观出发来评估整体化风险管理的效率和效果。
(五)提高内部审计人员的专业判断能力内部审计工作如同会计一样,既是一门科学,也是一门艺术。内部审计既有一套统一的规范标准作为执业指南,同时内部审计人员在执行审计过程中又需要充分运用自身的实践经验和专业知识进行灵活判断,这就是所要求的审计专业判断能力。而所谓风险审计专业判断,则是指内部审计人员根据风险导向内部审计的重要性理论,依照风险管理方针、政策,按照风险管理目标的要求,运用专业方法对机构风险的范围、识别、评析、管理和处理方法等等而进行查证与鉴别,对风险管理及处理方法的合理性和有效性作出评价,捕捉风险征兆,对风险程度作出预警,为管理当局提出建议,帮助机构实现目标。风险审计专业判断的内容会涉及到经理人的风险偏好、风险预警指标体系中的定性因素条件、定量的计算方法、风险范围、风险类别、风险因素、风险事故、时间、损失额、发生的可能性、频率、征兆、风险状态、管理方法、成本与效果等。这些内容的判断需要内部审计人员充分地灵活运用自身专业知识和经验去进行。而显然,内部审计人员在这方面能力的提高,必然会促进整体化风险管理效果的提升。这就需要内部审计人员之间进行充分的沟通和交流,互相扬长补短,共同提高专业判断能力。
(六)改进内部审计组织模式和人员结构整体化风险管理强调整体化和全局性,决定了内部审计部门在企业组织中需保持一定的超然性和权威性。因此本文建议应在大中型企业里模仿“会计委派制”形式,推广总部垂直领导的集中式内部审计模式,即企业下属的各级审计主管或主要内审人员由总部直接委派垂直管理,这样既可保证内审部门参与风险管理行为的权威性,也有利于整个企业组织内部风险管理措施的互补。而内审人员结构既包括人员构成结构,也包括人员知识结构。在人员构成方面,不强调内部审计工作的完全职业化和专业化,而应实行弹性人员编制,以少数职业内审师为主,辅以更多的其他职能部门的内部协审员参加。在进行专项风险评估和审计时,可临时雇请生产、市场、质量等部门的专业人士共同参与,以“作业组”的方式进行审计,这样可保证内部审计职能的职业化。在人员知识结构方面,则必须认识到内部审计师是复合型的专业人才,要求综合能力较强,知识面较广,因此需定期加强对内审人员关于信息技术、风险管理技术、金融创新等方面的教育,以保持知识面的不断更新。
*本文系湖南省哲学社会科学基金项目“企业风险管理视角下内部审计的若干问题研究”(项目编号:09YBB443)的阶段性成果
参考文献:
内部审计与风险管理的关系篇9
关键词:铁路;建设项目;风险导向审计
1概述
随着大规模铁路建设的开展,投资持续增长,铁路建设管理更加精细,管理要求越来越高,铁路建设项目管理过程中面临的风险也越来越多。传统审计模式为推进铁路建设规范管理发挥了重要作用,但在风险管理方面发挥的作用有限。风险导向审计是在传统审计模式基础上发展起来的一种新型审计模式[1],在注重审计效益的基础上,强调风险防范。它是根据风险量化结果分析审计项目的次序,确定审计的范围与重点项目,通过采取系统化和规范化的方法,对组织的内部控制、治理程序、风险管理等进行全面评价,提出合理有效的建议,从而帮助组织实现其目标的独立、客观的确证和咨询活动[2]。如何发挥风险导向审计在铁路建设项目风险管理中的作用,从而促进建设项目管理目标的实现,是当前铁路内部审计面临的重要课题。风险导向审计特征如下。(1)凸显组织风险。风险导向审计要求将风险贯穿于审计的全过程,审计项目实施前应根据风险的大小次序确定审计范围和审计重点,审计实施过程中应高度关注组织在治理过程中面临的各种风险,并对这些风险进行评估,如财务风险、市场风险、信贷风险、技术风险等,分析风险对组织目标的影响程度,提出控制风险的合理化建议[3]。(2)实现审计目标与组织目标的高度融合。根据国际内部审计师协会(iia)的定义,内部审计通过应用系统的、规范的方法,评价并改善风险管理、控制和治理过程的效果,帮助组织实现其目标[4];中国内部审计协会2013年的《中国内部审计准则》指出,内部审计通过运用系统、规范的方法,审查和评价组织的业务活动、内部控制和风险管理的适当性和有效性,以促进组织完善治理、增加价值和实现目标。可以看出,国际内部审计师协会和中国内部审计协会均将帮助组织实现其目标作为内部审计的目标,体现了审计目标与组织目标高度融合。(3)体现效率与价值。一方面,风险导向审计强调通过对风险的识别和评估,确定审计重点,将有限的审计资源分配在高风险审计领域,以提高审计效率,降低审计成本;另一方面,风险导向审计通过评价并改善风险管理、控制和治理过程的效果,帮助组织实现其目标,促进组织增加价值。
2影响铁路建设项目风险导向审计开展的因素分析
在铁路建设项目管理过程中,承担铁路大中型项目建设任务的建设单位应围绕建设项目的工程质量、施工安全、工期进度、投资控制、环境保护和维护稳定等方面管理目标开展相关工作。近年来,随着铁路建设项目投资金额越来越大,技术标准更加精细,项目管理要求越来越高,政策越来越严格,特别是高速铁路项目大规模投资建设,一个建设单位往往管理几个在建项目,有的建设单位还同时管理已开通运营的项目,无论是管理难度还是管理的复杂性,都变得比以往更高,建设单位在作出管理决策时,面临着越来越难以预测的风险,这已成为影响建设项目管理目标能否顺利实现的重要因素,因而控制风险对实现建设管理目标起着至关重要的作用。传统审计模式下对铁路建设项目的审计内容主要是针对建设资金管理与使用情况,重点关注收入、支出、成本费用及验工计价等方面,以纠错防弊为主,审计对象主要是会计凭证、账簿、报表及合同招投标等资料,审计内容比较单一,对风险管理领域的内容很少涉及,在一定程度上限制了铁路内部审计作用的发挥。风险导向审计作为一种新的审计理念,要求审计人员根据风险的大小次序确定审计范围和重点项目,将有限的审计资源分配在高风险审计领域,在审计过程中自始至终关注风险,并利用技术手段评估建设项目管理中关键环节、关键控制点存在的风险,提出控制风险的建议,管控好风险,促进建设项目管理目标的实现。相比传统审计模式,风险导向审计更有利于提高审计效率和自身价值,充分体现审计的增值作用。目前,影响铁路建设项目风险导向审计开展的因素如下。
2.1风险管理意识不足
建设项目的建设单位及其管理者为完成上级部门下达的建设项目管理考核目标,在建设项目管理过程中作出相关决策时,往往忽视了对风险的关注,对风险可能带来的影响缺乏足够的认识,有关风险管理活动往往是按照上级单位或有关政策要求被动执行,而不是出于自身管理的需要主动开展风险管理活动。风险导向审计作为一种新理念、新模式,铁路内部审计机构和人员目前对风险导向审计大多还停留在概念上,对风险导向审计如何实施及实施效果还缺乏足够的认识。此外,风险导向审计要求审计人员更全面地了解风险管理知识,并掌握风险评估等专业技术。在没有强力推动的情况下,内部审计机构和人员缺乏主动参与风险导向审计的积极性。
2.2审计信息和数据有限
在风险导向审计过程中,审计人员需要大量的信息进行风险量化分析。目前,铁路内部审计机构对建设项目有关信息和数据的了解主要依赖自身以往开展建设项目审计信息资料的积累,掌握的审计信息和数据资料有限,而且大部分比较滞后,不能适时反映当前铁路建设项目管理现状。在信息获取方面,中国铁路总公司和铁路局2级审计机构之间的纵向信息沟通,以及2级审计机构与其他部门之间的横向信息交流比较有限。2级审计机构之间主要是通过“下达和上传”的形式,上级审计机构下达需要提报的信息内容和要求,下级审计机构按照报告工作制度的要求向上级审计机构提报有关资料,沟通渠道单一,缺乏时效性。财务、计统、建设、工程及安全监督等业务主管部门在日常管理中与建设单位在业务方面有着更多的信息沟通。因此,各业务主管部门在对口业务方面掌握着建设项目更多的信息和数据资料,但由于审计机构与各部门信息不互通,使得信息资料比较分散,不能发挥信息整合的优势,限制了审计机构从其他部门获得更多信息。由于对建设项目风险信息掌握不够,审计机构在确定年度审计项目计划时,主要是按照“全覆盖,无遗漏”的要求,考虑项目是否在建设期内已审计,以及对各项目已审计的次数选择审计项目,从风险的角度考虑得较少。
2.3风险评估体系尚未形成
风险评估是风险管理的核心,科学有效的风险评估方法是对风险进行合理评价的基础,否则就难以得出有效的审计结论。受传统审计指导思想的影响,铁路内部审计目前在建设项目审计过程中对风险领域关注还比较少,内部尚未建立对风险的量化标准,没有形成适合铁路建设项目风险导向审计特点的风险评估体系。审计过程中即使涉及对有关风险的分析判断,审计人员也只能依靠有限的信息资料和个人经验作出主观判断,所得出结论的准确性和有效性都将难以保证,反而增加了审计风险。
2.4审计人员综合素质有待提高
铁路建设项目风险导向审计除要求审计人员掌握财会专业知识外,还要求掌握工程、风险管理、计算机技术及法律等方面的知识,充分利用风险技术手段,有效识别风险信息,评估和分析风险的大小及影响程度,提出控制风险的合理建议。目前,铁路内部审计人员在知识结构方面主要是以财会专业为主,具有铁路一线财会工作经验,熟悉铁路基层财务管理流程和生产业务,但知识结构和工作经历比较单一,知识更新较慢。审计队伍缺乏具备工程、计算机、管理及法律等专业知识和工作经历的综合人才,难以满足开展风险导向内部审计的需要。
3推进铁路建设项目风险导向审计的对策
3.1加强风险导向审计意识
在铁路建设快速发展的新形势下,铁路内部审计机构应当更新审计理念,主动推动铁路建设项目风险导向审计,通过开展风险导向审计课题研究、试审等形式,探索适合铁路建设项目风险导向审计的方法体系。内部审计人员应更新观念,积极学习风险管理知识,提高风险管理意识,并在审计实践中自觉关注风险,分析风险,提出控制风险的合理化建议,为管理者实现既定目标服务,充分发挥内部审计在铁路建设项目风险管理中的推动作用。建设单位应在企业内部营造良好的管理环境,建立健全内部风险管理体系,培育管理人员和职工的风险意识,鼓励全员积极参与到企业风险管理活动中来。管理者应切实转变思想观念,将风险理念贯穿于建设项目管理的各个环节,并全力支持铁路建设项目风险导向审计的开展。
3.2建立完整有效的审计风险管理信息库
充分把握当前推进铁路审计管理信息系统建设的有利时机,在审计管理信息系统中建立铁路建设项目审计风险管理信息库。风险管理信息库应结合当前铁路建设项目的实际情况,对信息和数据按照一定层级和类别进行分类[5],如纵向可以分为铁路建设行业风险并具体到单个建设项目的管理风险,横向可以根据业务分为财务、质量、安全、技术等类别。铁路建设项目审计风险管理信息库架构如图1所示。依据建设项目审计分级负责的原则,铁路2级审计机构对风险管理信息库的建设应有明确分工:中国铁路总公司审计机构应主要负责对铁路建设行业风险信息及本级负责审计的建设项目风险信息的识别,并指导、协调铁路局审计机构对本级负责审计的建设项目风险信息的梳理;铁路局审计机构负责对本级审计的建设项目风险信息的识别,对识别的风险进行筛选,及时录入铁路建设项目审计风险管理信息库。应积极推动铁路建设项目审计风险管理信息库与财务、计统、建设、工程及安全监督等业务主管部门信息对接,实现审计与业务主管部门之间的信息互通,共享有关信息资源,进行全面风险管理。根据内外部风险环境的动态变化,应及时更新和维护铁路建设项目审计风险管理信息库,对重要风险进行实时监测和分析预警[6]。铁路2级审计机构和人员可以随时查询相关信息,实时了解当前铁路建设项目有关风险信息,在提报年度铁路建设项目审计计划时,在遵循“全覆盖,无遗漏”的前提下,根据风险大小选择重点关注的审计项目并设定审计频次。
3.3建立科学有效的风险评估体系
结合铁路建设项目审计实际情况,应逐步建立符合铁路建设项目风险导向审计特点的风险评估体系。(1)建立风险分析技术方法体系。应用定性分析和定量分析,采用一定的技术方法,从风险发生的可能性和风险的影响程度2个维度对风险进行全面分析[7]。风险导向审计开展初期,铁路内部审计机构可以通过开展风险导向审计课题研究,积累理论成果,在此基础上开展试审。试审阶段可以借助外部智力或引进人才进行,后续通过总结经验和不足,逐步建立适合铁路内部审计的风险分析技术方法体系,并随着风险导向审计的全面开展不断改进和完善。(2)建立风险评价指标体系。应结合建设项目风险导向审计的特点,将风险分为战略风险、财务风险、质量安全风险、技术风险及政策风险5大类风险指标,每一类风险指标包含不同的具体风险指标,如财务风险应包含税务风险、抵押担保风险、流动性风险、融资风险、利率风险等,在对风险指标进行细化分类的基础上,根据每个具体风险指标的重要程度,将风险划分为不重要、低重要性、中等重要、重要及高度重要5个不同的等级标准。风险指标及风险等级标准的确定应根据形势的发展变化及时进行调整,并与建设项目各个阶段管理风险的能力相匹配,以便通过科学评价风险,揭示风险,及时采取应对措施,为风险管理提供有效依据。
3.4提高审计人员综合素质
努力打造一支全面掌握风险、战略管理、计算机及法律等方面专业知识的审计队伍,使审计人员在审计实践中运用风险理念思考问题,用风险语言描述问题。加强对审计人员的培训,通过举办以风险导向审计为主题的培训班,使审计人员通晓风险管理、计算机技术及法律等方面的知识,增强审计人员的风险意识,并掌握风险管理的技能。加强内部交流学习,如选派审计人员到建设单位锻炼,或向相关业务部门轮岗工作、学习[8],使审计人员熟悉不同岗位的业务流程和管理特点,以扩大审计人员的视野,开阔思路,增长见识。充实内部控制、风险管理和计算机技术等方面的人才,以改善审计人员结构,增强审计力量。邀请外部风险管理专家参与现场审计,指导审计人员掌握对重要风险的识别和评估方法,在实践中培养审计人员运用风险管理的技能。
4结束语
风险导向审计为铁路建设项目审计提供了新的审计工作思路,铁路内部审计机构应结合铁路建设管理实际,深入研究,建立适合铁路建设项目风险导向审计特点的方法体系。审计人员在不断提高审计技术的同时,应不断提高自身职业道德水平,增强法律责任意识,真正做到客观、公正、有效,使风险导向审计在铁路建设领域真正发挥其应有的作用。
参考文献:
[1]严晖.风险导向内部审计整合框架研究[m].北京:中国财政经济出版社,2004.YanHui.ResearchontheintegratedFrameworkofRisk-orientedinternalaudit[m].Beijing:ChinaFinancial&economicpublishingHouse,2004.
[2]菲尔•格里夫茨.风险导向内部审计[m].北京:中国金融出版社,2014.philGriffiths.Risk-basedauditing[m].Beijing:ChinaFinancialpublishingHouse,2014.
[3]谢忠贵.风险导向内部审计理论与运用[D].北京:北京交通大学,2009.XieZhong-gui.thetheoryandpracticeofRisk-orientedinternalaudit[D].Beijing:BeijingJiaotongUniversity,2009.
[4]国际内部审计师协会.国际内部审计专业实务框架[m].北京:中国财政经济出版社,2013.theinstituteofinternalauditors.iiainternationalprofessionalpracticeFramework[m].Beijing:ChinaFinancial&economicpublishingHouse,2013.
[5]黄文佳.铁路建设项目管理信息系统投资分析功能的开发与应用[J].铁道运输与经济,2015,37(5):38-43.HUanGwen-jia.DevelopmentandapplicationofinvestmentanalysisFunctionsofmanagementinformationSystemofRailwayConstructionprojects[J].Railwaytransportandeconomy,2015,37(5):38-43.
[6]冯安平.内部审计部门如何建设及运行企业风险库[J].中国内部审计,2015(12):73-74.
[7]王长峰.现代项目风险管理[m].北京:机械工业出版社,2008.wanGChang-feng.modenprojectRiskmanagement[m].Beijing:Chinamachinepress,2008.
内部审计与风险管理的关系篇10
关键词:电网企业;风险管理;审计
作者简介:梁国栋(1977-),男,河南新乡人,北京英大长安风险管理咨询有限公司咨询业务一部主任,国家注册管理咨询师,国际注册内部审计师,经济师。
中图分类号:F272文献标识码:a文章编号:1007-0079(2013)14-0183-02
随着国务院国资委《中央企业全面风险管理指引》和财政部等五部委联合颁布的《企业内部控制规范》的先后出台,国家部委和监管机构日益重视央企风险管理工作,国家电网公司系统在公司总部的正确引领下,正在大力推进全面风险管理体系和内控体系建设,并在完善组织架构、运营体系建设、专项领域研究和风险文化建设等方面不断取得突破。
内部审计职能作为电网企业全面风险管理体系的第三道防线,需要运用科学的风险管理审计方法,对已有风险管理工作进行客观、真实和有效地评价,责任重大。然而,风险管理审计作为一项尚未完全成熟的审计职能,仍需对其进行不断研究。
一、电网企业风险管理审计理论简述
中国内部审计具体准则第16号《风险管理审计》指出“本准则所称风险管理审计,是指内部审计机构、内部审计人员依据国家法律、法规、政策和标准,独立、客观地对本组织风险管理和治理过程进行监督、评价和咨询,提出改进和加强风险管理的意见或建议的行为”。
根据以上定义,电网企业风险管理审计是指电网企业内部审计部门采用系统化、规范化的方法来进行以测试风险管理体系建设、各业务循环以及相关部门的风险识别、风险评估、风险控制等为基础的一系列审核活动,从而实现对电网企业风险管理工作适当性、有效性的评价,促进电网企业提高风险管理工作的效率和效果。
风险管理审计作为内部审计的崭新领域,与传统的财务审计、制度审计等相比具有两方面的差异。
一是风险管理审计与企业目标直接关联。传统内部审计将着眼点放在财务结果、经营管理活动等方面,并没有与企业战略、经营目标相联系。而风险管理审计则是立足企业经营目标,对影响目标实现的不确定性因素的管理进行审计,把握企业整体和各流程、各部门的风险,通过“目标—风险—管理—审计”的路线将审计对象与企业目标直接联系,从而更好地为企业服务。
二是风险管理审计将原有审计关口前移。在传统的审计模式下,审计的目的是对已经发生的事件进行检查和分析,从而揭示已经发生的风险事件、差错和舞弊。而风险管理审计则立足企业重大风险,对风险的管理过程和效果进行测试、评价和反馈,充分体现事前审计的思想,由原先消极的以“发现和评价”为主的内部审计活动转向积极的防范和解决问题的内部审计活动。
电网企业面临的高风险经营环境日益复杂,带来了自身风险管理需求的提升,如何有效评价风险管理工作是引起电网企业风险管理审计产生的内部背景,与此同时,电网企业风险点众多,内部审计部门还需要对重大风险点进行风险管理专项审计。因此,电网企业引入风险管理审计需求强烈。
二、风险管理审计与企业风险管理的关系
电网企业开展全面风险管理体系建设是一项庞大的系统工程,一方面需要搭建公司级的组织体系、制度体系、流程体系和文化体系,另一方面又要整合原有风险管理工作成果,例如安全风险管理(涉及电网、设备和人身)、财务风险管理、营销风险管理等。为确保风险管理的充分性和有效性,对风险管理进行持续监控必不可少。
在电网企业全面风险管理体系建设过程中,管理层在做出风险管理决策方面负主要责任,而审计人员在管理层的风险决策方面可以提供建议、质疑或者支持,通过运用风险管理方法和技术,对风险管理过程的充分性和有效性进行检查、评价和报告,提出改进建议和意见,为电网企业管理层提供有关决策参考。
因此,风险管理审计的目标就是内部审计部门采用系统、科学的审计方法,结合风险管理工具,对电网企业风险管理工作的完整性、合理性和有效性进行评价。
三、电网企业风险管理审计的内容与方法
国家电网公司目前开展的全面风险管理体系建设工作已经取得了丰硕的成果,根据国网公司系统风险管理体系建设取得的经验,一个设计完整、运行有效的风险管理体系应该包括两个层面的风险管理体系,即公司层面风险管理体系和业务层面风险管理体系,内审部门开展风险管理审计工作的内容,应立足上述两个方面实施,具体如图1所示。
如图1所示,电网企业内审部门可以采取“立足一个体系、抓住两个层面”的工作思路,从公司层面对电网企业开展风险管理体系建设工作的完整性和有效性进行评价,从业务层面对电网企业开展风险管理具体工作的设计有效性和执行有效性进行评价。
在整个风险管理审计过程中,内审部门在公司层面的风险管理审计中往往不用花费过多的精力,而业务层面风险管理则是整个风险管理审计工作的重中之重,一般而言,针对业务层面风险管理的审计可采取如下方式:
1.立足风险管理策略
风险管理策略是电网企业面对公司各类风险的态度,它包括风险偏好、风险承受度等内容。风险管理策略制定的科学与否直接关系到后续风险管理工作的成败,因此在具体审计过程中,必须牢牢抓住风险管理“策略制定程序的合规性、策略选择方法的科学性和策略选择结果的适当性”这三个关键问题。
2.关注企业目标设定
风险的定义是“不确定性对目标的影响”,因此在风险管理审计过程中,要首先关注目标设定是否恰当,是否是管理层或各部门的关注目标。一旦目标发生偏移,则再科学、有效的风险管理工作也将毫无价值,因此在具体审计过程中,应关注设定目标的准确性和适当性。
3.抓住风险识别范围
在目标设定的情况下,风险识别的结果将会对电网企业风险状况的了解产生重大影响。因此,内审部门在审计过程中,应重点关注风险识别的方法是否适当、过程是否严密、结果是否完整。一般意义上,针对设定目标识别出的风险应该是穷尽的,而且是基于原因的(对目标实现有影响的原因或者因素)。
4.分析风险评估标准
评估标准在一定意义上是电网企业风险偏好和承受度的直观反映,风险评估标准涉及到风险发生可能性和影响程度两个维度,审计时要充分考虑到评估标准在电网企业风险偏好的影响下,其风险承受度的极大值和极小值是否与标准相符,因此在开展该阶段审计时,应重点关注风险管理标准设计的前后一致性、科学性和适用性,
5.判断风险控制措施
风险控制措施往往都是针对重大风险而设计的,因此,针对风险控制措施的审计,首先要特别关注该控制措施是否是对重大风险有针对性;其次要关注控制措施设计的全面性;最后要关注所设计控制措施的有效性。审计关注重点可包括风险成因分析、措施制定情况、工作节点安排、具体责任归属和控制预期成果等方面。
6.审视监督改进机制
作为相对独立的第三方,内审职能还应对电网企业风险管理工作的闭环管理机制进行审计和评价,以判断其监督改进工作是否开展?如何开展?以及有效性如何?从而为管理层判断公司风险管理工作的有效性提供证据。因此,审计的关注重点应放在机制是否按照计划、组织、实施、控制、反馈的闭环回路进行。
7.追踪重大风险预警
针对重大风险的监控和预警是整个风险管理工作的核心,也是内审部门在有限的审计资源条件下,有效开展风险管理审计工作的重点。电网企业每年年初都会针对当年的风险情况进行识别、评估,确定重大风险,从而集中优质资源予以管控,并设置预警指标予以监控,内审机构可相应地跟进上述过程,并保持应有的职业敏感性和判断力,从相对独立、客观的角度保持对重大风险的追踪,从而对重大风险的管理工作做到全过程、全方位的评价。
四、电网企业风险管理审计的主要方法
1.问卷调查法
“问卷调查法”是指内审人员针对需要调查了解的风险管理体系构成要素和风险控制点,设计拟调查的问题条款,形成调查问卷以了解风险管理情况的方法。调查问题的提出,应紧紧围绕风险管理体系中的控制点及其管理措施,即对控制点设置的各项控制措施逐一设计调查问题。问卷调查表的设计一般可分三步进行:一是确定风险管理审计目标;二是根据审计目标,确定所要调查的风险控制点及其控制措施;三是根据控制点及其控制措施拟定具有针对性的调查问题。调查问卷的格式,通常有封闭式和开放式两种。其要素一般包括:调查单位、调查项目、调查时间、调查问题、被调查人、审计负责人和审计调查人等。
2.流程图分析
“流程图分析”是指企业风险管理部门将整个企业生产过程的一切环节系统化、顺序化,制成流程图,从而便于发现企业面临的风险。内审部门可根据本企业的生产流程,列举出各个生产环节的所有风险。流程图通常包括风险点、控制点、审批环节等,能够直观反映流程中的风险分部情况。然而,流程图中往往难以直接显示控制点的控制措施,因此还需借助风险控制矩阵、权限指引等表单,以配合对流程图的理解。
3.自我评估法
“控制自我评估”(ControlSelfassessment,简称CSa)是iia协会力推的一种风险控制自我评估方法,在发达国家的企业内审工作中应用比较普遍,是指企业内部为实现目标、控制风险而对内部控制系统的有效性和恰当性实施自我评估的方法。其有三个基本特征:关注业务的过程和控制的成效;由管理部门和职员共同进行;用结构化的方法开展自我评估。内审人员可积极推动企业管理层和部门负责人引入与推广该方法,以实现对风险管理的自我评价。
4.价值链分析
“价值链分析法”指的是审计人员通过对被审计项目的价值链活动进行风险识别并且找出其重大风险,进而对重大风险上的风险管控措施的有效性情况进行评估,同时还对价值链的内部联系和纵向联系进行风险分析,查找所采取的风险控制措施不适当、高成本或者控制效果不佳的问题,做出重大风险管理措施有效性评价并且提出审计建议的一种工作方法。
5.专家意见法
“专家意见法”是指审计人员依据系统的程序,采用匿名发表意见的方式向专家征求意见,即专家之间不得互相讨论,不发生横向联系,只能与调查人员发生关系,通过多轮次调查专家对问卷所提问题的看法,经过反复征询、归纳、修改最后汇总成专家基本一致的看法,作为针对某个风险管理活动的风险管
理情况评价的结果。这种方法具有广泛的代表性,较为可靠。
6.概率分析法
“概率分析法”又称风险分析法,是通过研究影响目标实现的各种不确定性因素发生的频率及其对目标的影响程度,进而对风险的等级做出判断,并对相应的风险管理措施的优劣作出判断的一种不确定性分析法。概率分析法常用于对大中型重要若干项目的评估和决策之中。
五、结语
风险管理审计尚处于不断发展、创新的过程中,在中国企业中的应用尚不普遍,还需要不断的深入研究。随着电网企业风险管理工作的不断深入推进,内审部门作为风险管理的第三道防线,其承担的监督检查职能日益重要,内审部门相对独立、客观、科学地评价风险管理工作成效将是今后电网企业风险管理工作的重点。
参考文献:
[1]国务院国资委.中央企业全面风险管理指引(国资发改革[2006]108号)[Z].2006.
[2]石贵泉,王凡林.现代内部审计理论与实务[m].济南:山东人民出版社,2005.
[3]卓继民.现代企业风险管理审计[m].北京:中国财政经济出版社,2005.