论文部分内容阅读
摘要 以风险审计理论为指导,结合本单位风险管理审计开展的实际情况,初步建立起风险管理审计应用模型,并对风险管理审计模型在应用实践中进行分析和总结,以期对同行风险审计的应用研究有所借鉴。
关建词 风险管理 风险审计应用模型
一 、引言
随着当今技术经济的飞速发展,企业面临的经营环境日趋复杂,其面临的风险也日趋多样化,风险对企业持续经营及发展的影响也日趋严重。与之相对应,企业管理层对于企业的风险管理也越来越重视,建立风险管理系统( ERM)应对经营过程中的各类风险,已经成为国际上大型企业的普遍管理行为。内部审计作为公司治理的基石之一,将促进企业的风险管理作为自身的主要职责。但是,如何在风险管理流程中履行监控和评价的控制职能,通过评估运营风险管理,提示运营风险,大多数企业的内部审计人员仍然处于摸索阶段。
二 、风险审计与企业风险管理的关系
21世纪以来,随着企业战略管理的实施,风险战略决策的启用,风险审计成为决定内部审计发展的方向。理论与实践已经证明,经营战略、风险管理和内部审计三者之间协调一致,对企业经营目标的实现有着至关重要的影响。因此,为了内部审计这一职业的成长,内部审计的主要职责应该与企业的战略目标、风险管理措施结合起来。
三、 内部审计在风险管理中的作用及流程简述
风险管理是企业的决策层及经营层的职责,制定什么样的内部规章及程序来识别风险、评估风险、应对风险,是企业管理当局在业务流程中应该予以事前明确规范。具体来说,内部审计在风险管理中的作用表现在三个方面,一是鉴别风险;二是区别可控制的风险;三是指出缺乏控制或过度控制的区域并提出建议。
四、 风险管理审计的具体应用
1、建立内部审计信息平台,广泛收集风险因素
要确定风险管理审计的重点及要点,掌握丰富的信息资源是必须的前提条件。具体的做法是针对公司及下属分、子公司、以审计对象为单元,建立审计信息平台,按季度定期收集相關风险信息。信息平台由四部分构成:
(1)基本信息栏
(2)历史审计信息栏
(3)当前信息栏
(4)风险管理信息栏
2、确定风险管理审计重点和要点
在掌握被审计对象的大量风险信息的前提下,我们通过因素分析,确定权重,逐一评分,按重要性原则确定公司风险审计的重点及要点。
(1)根据风险因素企业整体风险的重要性程度,确定每一个风险因素的权重,并对每一个风险因素确定具体的评分标准。
(2)给各种分析因素评分。在对各种风险因素评分时,主要是利用审计人员的专业判断,参考标准,确定该风险因素处于评分标准的哪一个区间,给出相应的分值。
(3)风险排序。将每个审计对象包含的各项风险因素的分值与相应的风险权重相乘并加总,得出每一审计对象所得风险分值。按所得分值从高到低进行风险排序,以确定风险审计对象的重点及要点。
3、风险管理审计的测试
对被审计单位风险管理的测试共分六大模块,旨在明确需要测试的内容,建立相应的测试标准。
六大测试模块分别为:
(1)全面风险管理体系的建立情况模块:主要包括风险管理组织体系的建立情况,职责的落实情况,具体的措施情况。
(2)战略风险识别、分析、评估及应对模块:主要包括战略、计划、目标的制定依据测试,被审计单位对外部环境的分析程序测试,被审计单位对自身的优劣势的分析情况。
(3)市场风险识别分析评估及应对模块:主要有被审计单位产品分析程序的测试,竞争对手分析程序的测试,客户及供应商的分析程序测试
(4)财务风险的识别分析评估及应对模块:主要包括对财务预警体系的建立情况的测试,预警作用的实际发挥情况的测试。
(5)运营风险的识别分析评估及应对模块:主要包括公司治理的测试,组织机构职能及其履行的测试,产品结构及技术能力等风险管理程序的测试,各项资源管理中得风险识别评估应对能力的测试
(6)法律风险的识别分析评估及应对模块:主要包括测试被审计单位对法律风险的分析、研究及把握能力,测试应对法律风险的措施执行效果。
4、风险管理的审计评估
(1)评价被审计对象风险管理范围的合理性
对于被审计对象在风险管理范围的确定方面是否全面和合理,通常是利用以下几种方法:PEOW分析、SWOT分析、KSF分析、核心竞争力分析、财务收益分析、会计比率分析等方法。
(2)评价被审计对象风险评估标准的合理性
被审计单位应该根据风险管理对象的不同,建立相应的风险因素评价标准。若被审计对象没有相应的风险评价标准,则应认为是一种缺陷。
(3)评价被审计单位的风险识别、风险分析、风险评价功能
结合企业的经营战略,通过对审计单位的识别、分析、评价的职能分工、机构设置和具体业务流程进行检查,测试风险控制流程,评价被审计单位是否能完成风险管理的使命与目标。
(4)被审计单位的风险管理措施
现代企业应对各种风险的措施一般有五种,分别是:规避、控制、保留、转移和利用。每种措施的应用对应于一定的条件,否则就可以认定为不恰当。
①规避措施的评价。被审计单位采用规避措施,应该具备如下条件:风险的发生不可避免或虽可避免但将产生另一新的更大风险;采用规避措施最经济。
②控制措施的评价。如果被审计单位采用控制措施,审计人员应该对控制措施的健全性和有效性进行测试,并评价措施是否能将风险控制在审计单位可以接受或承担的范围内。
③风险保留措施的评价。当被审计单位采用风险保留措施时,审计人员应审核该风险是否是不可转移与不可避免,审核处理风险的成本是否大于承担风险所付出的代价,风险可能发生的损失单位是否可以承担的范围内。
④转移措施的评价。如果被审计单位采用保险或财务性非保险等风险转移措施,审计人员应审核其保险条款及保险范围与风险的适应性,财务性非保险转移措施是否存在的法律风险。
⑤风险应用措施的评价。如果被审计单位采用利用措施,审计人员应该对利用风险可以带来的收益与承担风险所付出的成本是否匹配进行,对风险利用措施的系统性及未来效果进行预测并作出评价。
5、评价被审计单位风险监管系统的功能
一个完整的风险监管系统,一般有四个基本要求,即风险管理政策、风险管理的支持结构和资源、实施的方案、持续的评估和审核。
6评价被审计单位风险预警功能
风险评价指标与风险临界点构成风险预警系统的两大支柱。内部审计人员应该审核被审计单位是否根据不同的风险类型建立了标准的风险临界点,主要根据风险的性质(最好是能够定量)、发生的概率、发生的频率,计算出风险数值(风险度),与风险管理的经验层制定的临界点进行对比,以判断被审计单位的风险预警系统的合理性与有效性。
五、结语
本文对风险管理审计具体应用的体会进行了阐述,还有许多不完善的地方需要在以后的工作中进一步地学习与探索;一是进入风险信息平台信息量的选取要进一步科学分类;二是重要风险因素的评分标准在应用中不太好掌握;三是建立的风险管理审计标准的假设前提并不在任何时候都存在。
关建词 风险管理 风险审计应用模型
一 、引言
随着当今技术经济的飞速发展,企业面临的经营环境日趋复杂,其面临的风险也日趋多样化,风险对企业持续经营及发展的影响也日趋严重。与之相对应,企业管理层对于企业的风险管理也越来越重视,建立风险管理系统( ERM)应对经营过程中的各类风险,已经成为国际上大型企业的普遍管理行为。内部审计作为公司治理的基石之一,将促进企业的风险管理作为自身的主要职责。但是,如何在风险管理流程中履行监控和评价的控制职能,通过评估运营风险管理,提示运营风险,大多数企业的内部审计人员仍然处于摸索阶段。
二 、风险审计与企业风险管理的关系
21世纪以来,随着企业战略管理的实施,风险战略决策的启用,风险审计成为决定内部审计发展的方向。理论与实践已经证明,经营战略、风险管理和内部审计三者之间协调一致,对企业经营目标的实现有着至关重要的影响。因此,为了内部审计这一职业的成长,内部审计的主要职责应该与企业的战略目标、风险管理措施结合起来。
三、 内部审计在风险管理中的作用及流程简述
风险管理是企业的决策层及经营层的职责,制定什么样的内部规章及程序来识别风险、评估风险、应对风险,是企业管理当局在业务流程中应该予以事前明确规范。具体来说,内部审计在风险管理中的作用表现在三个方面,一是鉴别风险;二是区别可控制的风险;三是指出缺乏控制或过度控制的区域并提出建议。
四、 风险管理审计的具体应用
1、建立内部审计信息平台,广泛收集风险因素
要确定风险管理审计的重点及要点,掌握丰富的信息资源是必须的前提条件。具体的做法是针对公司及下属分、子公司、以审计对象为单元,建立审计信息平台,按季度定期收集相關风险信息。信息平台由四部分构成:
(1)基本信息栏
(2)历史审计信息栏
(3)当前信息栏
(4)风险管理信息栏
2、确定风险管理审计重点和要点
在掌握被审计对象的大量风险信息的前提下,我们通过因素分析,确定权重,逐一评分,按重要性原则确定公司风险审计的重点及要点。
(1)根据风险因素企业整体风险的重要性程度,确定每一个风险因素的权重,并对每一个风险因素确定具体的评分标准。
(2)给各种分析因素评分。在对各种风险因素评分时,主要是利用审计人员的专业判断,参考标准,确定该风险因素处于评分标准的哪一个区间,给出相应的分值。
(3)风险排序。将每个审计对象包含的各项风险因素的分值与相应的风险权重相乘并加总,得出每一审计对象所得风险分值。按所得分值从高到低进行风险排序,以确定风险审计对象的重点及要点。
3、风险管理审计的测试
对被审计单位风险管理的测试共分六大模块,旨在明确需要测试的内容,建立相应的测试标准。
六大测试模块分别为:
(1)全面风险管理体系的建立情况模块:主要包括风险管理组织体系的建立情况,职责的落实情况,具体的措施情况。
(2)战略风险识别、分析、评估及应对模块:主要包括战略、计划、目标的制定依据测试,被审计单位对外部环境的分析程序测试,被审计单位对自身的优劣势的分析情况。
(3)市场风险识别分析评估及应对模块:主要有被审计单位产品分析程序的测试,竞争对手分析程序的测试,客户及供应商的分析程序测试
(4)财务风险的识别分析评估及应对模块:主要包括对财务预警体系的建立情况的测试,预警作用的实际发挥情况的测试。
(5)运营风险的识别分析评估及应对模块:主要包括公司治理的测试,组织机构职能及其履行的测试,产品结构及技术能力等风险管理程序的测试,各项资源管理中得风险识别评估应对能力的测试
(6)法律风险的识别分析评估及应对模块:主要包括测试被审计单位对法律风险的分析、研究及把握能力,测试应对法律风险的措施执行效果。
4、风险管理的审计评估
(1)评价被审计对象风险管理范围的合理性
对于被审计对象在风险管理范围的确定方面是否全面和合理,通常是利用以下几种方法:PEOW分析、SWOT分析、KSF分析、核心竞争力分析、财务收益分析、会计比率分析等方法。
(2)评价被审计对象风险评估标准的合理性
被审计单位应该根据风险管理对象的不同,建立相应的风险因素评价标准。若被审计对象没有相应的风险评价标准,则应认为是一种缺陷。
(3)评价被审计单位的风险识别、风险分析、风险评价功能
结合企业的经营战略,通过对审计单位的识别、分析、评价的职能分工、机构设置和具体业务流程进行检查,测试风险控制流程,评价被审计单位是否能完成风险管理的使命与目标。
(4)被审计单位的风险管理措施
现代企业应对各种风险的措施一般有五种,分别是:规避、控制、保留、转移和利用。每种措施的应用对应于一定的条件,否则就可以认定为不恰当。
①规避措施的评价。被审计单位采用规避措施,应该具备如下条件:风险的发生不可避免或虽可避免但将产生另一新的更大风险;采用规避措施最经济。
②控制措施的评价。如果被审计单位采用控制措施,审计人员应该对控制措施的健全性和有效性进行测试,并评价措施是否能将风险控制在审计单位可以接受或承担的范围内。
③风险保留措施的评价。当被审计单位采用风险保留措施时,审计人员应审核该风险是否是不可转移与不可避免,审核处理风险的成本是否大于承担风险所付出的代价,风险可能发生的损失单位是否可以承担的范围内。
④转移措施的评价。如果被审计单位采用保险或财务性非保险等风险转移措施,审计人员应审核其保险条款及保险范围与风险的适应性,财务性非保险转移措施是否存在的法律风险。
⑤风险应用措施的评价。如果被审计单位采用利用措施,审计人员应该对利用风险可以带来的收益与承担风险所付出的成本是否匹配进行,对风险利用措施的系统性及未来效果进行预测并作出评价。
5、评价被审计单位风险监管系统的功能
一个完整的风险监管系统,一般有四个基本要求,即风险管理政策、风险管理的支持结构和资源、实施的方案、持续的评估和审核。
6评价被审计单位风险预警功能
风险评价指标与风险临界点构成风险预警系统的两大支柱。内部审计人员应该审核被审计单位是否根据不同的风险类型建立了标准的风险临界点,主要根据风险的性质(最好是能够定量)、发生的概率、发生的频率,计算出风险数值(风险度),与风险管理的经验层制定的临界点进行对比,以判断被审计单位的风险预警系统的合理性与有效性。
五、结语
本文对风险管理审计具体应用的体会进行了阐述,还有许多不完善的地方需要在以后的工作中进一步地学习与探索;一是进入风险信息平台信息量的选取要进一步科学分类;二是重要风险因素的评分标准在应用中不太好掌握;三是建立的风险管理审计标准的假设前提并不在任何时候都存在。