论内部审计在风险管理中的确认作用
2016-07-14郑杰
郑 杰
(河南豫光金铅集团有限责任公司,河南 济源 459000)
论内部审计在风险管理中的确认作用
郑 杰
(河南豫光金铅集团有限责任公司,河南 济源 459000)
现阶段组织管理人员对风险的空前重视,为内部审计提供了绝好的机会。内部审计对风险管理的介入,会使内部审计在组织发展中成为重要的角色,夯实其在组织发展中的重要地位。文章立足于国内审计实务,融合国际先进理念,从风险管理机制、风险识别过程、风险评估过程、风险应对措施这四个方面论述内部审计在组织风险管理中的确认作用。
内部审计;风险管理;确认作用
内部审计是一种独立、客观的确认和咨询活动,旨在增加价值和改善组织的运营。它通过应用系统的、规范的方法,评价并改善风险管理、控制和治理过程的效果,帮助组织实现其目标。风险控制框架确定风险管理的8个基本要素是:控制环境、目标设定、事件识别、风险评估、风险应对、控制活动、信息与沟通、监控。内部审计的核心功能之一是围绕这几方面为董事会提供关于风险管理效果的客观确认。根据研究,董事会成员最为认可的内部审计为组织增加价值的方式:一是为主要业务风险已得到适当管理提供客观确认;二是为风险管理和内部控制框架正在有效地运作提供确认。基于上述理念,并结合工作实践,应从以下四个方面来论述内部审计在风险管理中的确认作用。
1 对风险管理机制的确认
风险管理机制是组织进行风险管理的基础,良好的风险管理机制能够为组织风险管理的有效性提供保障。内部审计人员可以从以下两个方面,审查和评价组织在风险管理机制上的健全性和有效性。
1.1 审查和评价风险管理体系
组织应该依据自身风险偏好、管理水平、规模大小以及经营方式等特点建立一套规范化的风险管理体系。该体系以全员参与和专业管理相结合的方式,囊括风险管理负责人、专业风险管理层、非专业风险管理层和外部的风险管理服务商等层级。依据风险产生的原因和所处阶段,持续地进行动态调整,并通过健全风险管理制度来明确彼此之间的权力和职责,使组织的风险管理体系成为一个有机整体。这样以全局的视野审查和评价风险,可以尽可能地规避风险以及减少风险在不同机构、部门之间的传递。例如:采购部门为了节约采购成本等目的,可能会在材料质量上出现缺陷,导致生产车间、销售部门出现相应的产品质量和产品销售风险,从而给组织带来更大的经营风险等。
1.2 审查和评价风险预警系统
风险管理是识别、评估、管理和控制潜在事件或情况的过程,目的是为实现组织的既定目标提供合理保证。在风险管理中的一个重要工作是建立一套风险预警系统,通过对风险进行科学的分析及预测,判断可能发生的风险,并及时提醒相关部门或人员采取应对措施。组织的风险管理部门和人员应密切关注组织的内、外部环境变化及发展趋势,并将相关影响因素导入风险预警系统,以便有效发挥其作用。
2 对风险识别过程的确认
中国内部审计协会关于《风险管理审计准则》第九条规定:“内部审计人员应当实施必要的审计程序,对风险识别过程进行审查与评价,重点关注组织面临的内、外部风险是否已得到充分、适当的确认。”
风险识别是对组织现有及潜在的风险进行判断分类并鉴别风险性质的过程。内部审计人员可以审查和评价风险识别过程。具体来说,可以包括以下内容:第一,询问相关人员,充分了解组织内、外部环境以及各层级的目标和经营情况;第二,审查组织开展风险识别所形成的书面文档,并关注其是否涵盖了各个层级的所有内、外部风险;第三,运用分析性复核技术,确认组织经营活动中面临的重大差异和控制缺陷。
3 对风险评估过程的确认
风险评估是通过各种技术手段估计风险大小,从而形成风险应对措施的过程。风险评估可以通过定性或定量的方式进行。定性方式是通过性质术语描述风险发生的可能性及其影响程度。例如:风险发生的可能性可以用“高”“中”“低”来描述,影响程度可以用“严重”“一般”“轻微”来描述。定量方式是通过具体数量描述风险发生的可能性及其影响程度。例如,风险发生的可能性可以用“80%”“50%”“20%”来描述,影响程度可以用“损失1000万元”“损失500万元”“损失200万元”来描述。总的来说,定性方式应用简单,但不够精确;定量方式比较精确客观,但应用难度大,因为并非所有风险状况都可以量化。在风险评估的过程中,应当充分考虑具体情况,选择适当的评估方式得出结果。
内部审计人员审查和评价风险评估过程时应考虑以下因素。
3.1 已识别风险的特征
由于风险特征的不同,管理层在评估过程中所采取的方式也是不一样的。因此,内部审计人员应结合已识别风险的特征,以评价管理层风险评估结果的适当性。例如,已识别风险的后果采取定量评估方式,用金额表示,那么内部审计人员应判断该描述金额是否恰当。如果已识别风险的后果采取定性评估方式,那么内部审计人员应判断管理层所作的定性判断是否恰当。
3.2 数据的可靠性和可预测性
无论采用何种方式进行风险评估,都有赖于相关的历史数据。当风险事项的相关历史数据真实可靠,并且适合用模型进行预测时,可使用定量评估,如果不具备相关历史数据或不具备可预测性,则较难使用定量评估。内部审计人员应判断管理层所应用的评估方式是否与相关数据特点相符。
3.3 管理层的风险评估技术能力
管理层进行风险评估的技术能力也是内部审计人员必须考虑的因素。其中,定量评估需要掌握数据模型和信息技术方面的知识,定性评估则需要评估人员拥有丰富的业务经验。内部审计人员要充分考虑管理层的风险评估技术能力是否与所使用的评估方式相匹配。
3.4 成本效益的考核与衡量
内部审计人员应判断管理层在开展风险评估过程中所使用的方式是否符合成本效益原则,即该方式带来的效益能不能超过其成本。通常定量方式在应用上比较复杂,很多时候需要信息技术进行辅助,整体成本较高。而定性方式应用简单,成本较低,但其结果更加主观,不如定量方式准确。
4 对风险应对措施的确认
风险应对措施也被称为风险管理工具的选择,它是指在识别和评估组织所面临的风险后采取的措施。具体包括回避、预防、保留和转移四种方法。根据国际内部审计师协会在内部审计实务公告中的建议:发生的可能性高、影响程度严重的风险,可考虑回避应对策略;发生的可能性低、影响程度严重的风险,可考虑预防应对策略;发生的可能性低、影响程度轻微的风险,可考虑保留应对策略;发生的可能性高、影响程度轻微的风险,可考虑转移应对策略。当然,具体采用何种措施应当依据组织的实际情况以及风险的特点综合考虑。
内部审计的主要职责在于评价风险应对措施的适当性和有效性。具体来说包括以下因素。
4.1 适当性
组织拟采用的风险应对措施应该适合自身的经营管理特点,内部审计人员在评价风险应对措施的适当性时,要充分考虑这一要素。此外,是否符合成本效益原则也是判断风险应对措施是否适当的重要考虑。如果一项风险应对措施的效果非常好,但是成本极高,那么这种措施并不一定适当;反之,如果一项风险应对措施根本不起作用,即便成本很低,也不能予以采用。组织应当选择在成本和效益之间取得平衡的风险应对措施。
4.2 有效性
剩余风险是指采取措施以减少负面事件的影响及可能性之后仍然存在的风险。内部审计要评价风险应对措施的有效性,关键就在于采取了应对措施后剩余风险是否在组织的可容忍范围内。内部审计人员应该对剩余风险进行评估,确定当前的剩余风险水平,如果该风险已经降低到可容忍范围内,就可以判断该风险应对措施是有效的。
5 结 论
总的来说,管理层应当确保在组织中存在良好的风险管理过程并使其发挥作用。董事会负责监督是否存在适当的风险管理过程以及这些过程是否充分、有效。内部审计师则是对管理层和董事会提供帮助,就管理层的风险管理过程充分性和有效性进行审查、评价,报告和提出改进意见。只有捋顺上述各方的关系与责任,才能保证内部审计更好地发挥作用,以实现组织的目标。
[1]中国内部审计协会.内部审计具体准则第16号——风险管理审计[R].中国内部审计协会,中国内部审计协会,2014.
[2]国际内部审计师协会.国际内部审计专业实务框架[R].国际内部空城计师协会,2013.
[3]孙银钢.内部审计在风险管理中发挥保障作用的研究[J].经营者2016,30(1).
10.13939/j.cnki.zgsc.2016.49.146