风险导向型审计在企业风险管理中的作用
2015-07-06成康
成康
一、风险导向型审计在企业风险管理中的作用
(一)在风险环境分析中的作用。风险环境是指影响组织经营目标不能实现的经营环境,包括内部风险环境和外部风险环境。外部环境因素主要包括法律、政治和经济等环境因素;内部环境因素主要有:企业的风险偏好与风险文化、诚信与道德价值、管理理念与经营风格、组织结构与权责划分等,其次是企业设定经营目标和战略计划的基础。由于经营环境是风险的根源,因此内部审计应从着眼于风险转到着眼于经营环境,通过对经营环境(包括一般环境和社会环境、创业环境、内部审计应用环境和组织环境等)的分析,以进一步评估组织的“固有风险”和“剩余风险”,并通过对企业各项环境因素变化的分析,将分析结果以审计报告的形式反映给管理层,以便管理层更加有效地管理风险。正是由于内部审计熟悉企业的内部环境、并具有相对独立的职能地位,可以全面客观的判断企业的固有风险、评价企业目标的有效性和可行性。
(二)在风险事件识别活动中的作用。风险管理框架ERM要求识别出所有可能发生并对企业目标实现产生不利影响的重要状况,该步骤非常重要,因为未被识别的事件不会在风险回应中得到处理,可能导致意外风险的发生。内部审计针对现有环境与经营过程,通常以各种类型的战略或各种形式的商业活动为基础的模板,观察同行业内其他企业的经营情况及整个市场的经营风险水平,同时,内部审计人员以其专业知识和技术,独立地推断潜在的重大风险。因此,在风险事件识别活动中。内部审计人员要判断管理层是否完全识别了单位的所有风险。
(三)在风险评估中的作用。风险导向型内部审计通常要求采用风险评级和计分的方法进行风险评估,并根据量化的风险水平排定优先次序,尽量找出风险存在的根本原因,以寻求最好的解决方案。对难以客观量化的风险事件,则采用主观估计风险发生的可能性,此时,内部审计人员的职业判断显得尤为重要,其可以帮助管理者做出比较正确的选择。可见,在风险评估中,内部审计人员需要从客观的角度分析风险的假设条件、计算方法的适当性来评价风险,以向管理层提供专业意见。
(四)在风险反映和控制活动中的作用。对于经过识别和评估后的风险,企业都要经过风险与收益的权衡。ERM将风险反映分为三类:可接受风险、规避风险和减少风险。规避风险超出了企业的风险偏好,企业不能接受且无法经济有效地加以抑制,则须放弃该项目或计划从而避免风险带来负面影响。对于大部分风险,需要企业采取一定的行动,转移或分散风险,以达到企业可接受的水平。为此,企业需要对其风险加以控制,即将不可接受的“固有风险”转化为可接受的“剩余风险”,由于控制活动本身的复杂性,内部审计人员通常采用分析性程序和详细测试,评估控制活动的有效性,使风险得以管理。因此,在风险反映和控制活动中,内部审计人员通过分析、评估风险回避的合理性、减少风险措施的有效性,以降低组织承受的风险。
(五)在风险信息沟通和风险管理系统监控中的作用。风险管理涉及企业各个职能主体,是各管理部门共同承担企业的综合风险。风险导向内部审计从评价各部门内部控制制度入手,在各领域查找管理漏洞,以独立第三方的身份验证信息的准确性和及时性,帮助企业管理层进行风险的管理与协调。为此,内部审计人员需要采用风险监控方式,将经营计量系统记录的业绩与计划和预算中的预期业绩以及同一时期的竞争者业绩进行比较,来判断风险环境中新的风险和变化,便于管理者及时做出反应。可见,在风险信息沟通和风险管理系统监控中,内部审计人员通过审计报告以向董事会和审计委员会传递风险是否得到有效管理的信息,保证单位对风险的管理是一直有效的。
二、风险导向型审计在企业风险管理中发挥作用的基本途径
风险管理框架下的内部审计关注的核心是企业的风险管理过程和剩余风险水平,由于内部审计部门所进行的风险管理是对剩余风险的确认并提出咨询建议,因此,内部审计参与风险管理的途径是开展风险导向审计。通过开展风险导向审计,内部审计将事后评价转变为更为及时和主(转48页)(接40页)动的事前事中的风险审查和事后的动态反应,全过程控制和管理企业风险,从而能够客观评价风险管理系统,降低风险损失。内部审计部门所进行的风险导向审计就是通过系统的分析、认定和评价被审计对象各个领域的固有风险及其管理状况,评价其得出的已量化的剩余风险水平,并据此确定进一步审计的范围、重点和方法。因此,在审计实务中,内部审计部门要从审计的过程和整体角度分析审计风险在审计中的作用。把审计基础工作大量放在对被审计对象业务过程的调查,对内部控制要素进行控制测试,并对财务报表和业务操作程序、审计环境等进行科学分析、判断上,从而使期末需要审查的结果,在期初和期中得到判断。对剩余风险审计的主要目的是将剩余风险降低至可接受水平,为此,需要通过以下途径实现风险导向型内部审计在企业风险管理中的作用:了解管理层确定可以接受的剩余风险水平;确认业务活动领域的剩余风险并进行优先排序,将主要审计资源分配到高风险领域;审计师需要将在审计过程中发现企业尚未对某些重要风险采取管理措施,应同被审计单位或被审计对象的管理层进行沟通,并向其提出管理建议,从而协助被审计单位预防或检查将来可能出现的错弊。最后,内部审计师以经过核实的审计证据为依据提出风险审计报告。风险审计报告是针对剩余风险提出相关建议,以帮助管理层采取必要措施改进控制系统所形成的书面文件,它是内部审计参与企业风险管理的集中表现,也是内部审计发挥风险管理作用的重要形式。
(作者单位:陕西省交通建设集团公司)
