风险管理审计模型构建及实例分析,本文主要内容关键词为:风险管理论文,实例论文,模型论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
风险管理审计模型构建的思路及框架
笔者结合中国石化内部审计工作的实际,提出构建“以风险导向审计为一个中心,以内部控制审计评价和风险管理审计为两个基本点,通过三者的有机结合对企业风险控制进行量化实施,最终实现为企业增加价值”的风险管理审计模型。
(一)构建风险管理审计模型的前提条件
构建这一审计模型的前提条件是风险管理审计、风险导向审计、内部控制审计评价在理论和实践中的有机结合。
在理论上有机结合。风险管理审计与风险导向审计、内部控制审计评价之间既有联系又有区别,但是三者具有共同的审计主体——内部审计部门,共同的审计思路——自上而下,共同的审计目标——企业增值,共同的审计主题——风险管理。风险管理审计可以确定企业管理风险点和内部控制薄弱点,查找并确定内部控制流程设计缺陷;风险导向审计可以促进内部控制审计评价效果,确定风险管理审计工作重点:而内部控制审计评价可以提高风险导向审计效率,促进风险管理审计目标的实现。此外,《企业内部控制评价指引》明确规定:内部控制评价也应遵循“风险为导向”、“自上而下”原则进行,这为三者有机结合提供了理论基础和制度保证。
在实践中有机结合。中国石化近年来按照外部监管机构规定要求,建立了内部控制制度体系和风险管控体系,同时构建了内部控制审计评价模型和风险管理审计模型,较好地实现了内部控制、风险管理、内部审计“三位一体”的有效结合。其中2011年修订《内部控制手册》时,在内部控制审计模板基础上构建风险控制模板,增加了453个三级风险清单,同时将每个风险清单一一对应其关联的内部控制关键点,通过潜在错报率计算潜在错报金额确定风险,并通过对风险的量化评价进行缺陷认定和内部控制优化等,产生了“1+1+1>3”的内部协同效应。
(二)构建风险管理审计模型的主体框架
构建风险管理审计模型的主体思路是通过风险管理审计、风险导向审计、内部控制审计评价三者的有机结合,对企业风险控制进行量化实施。因此构建风险管理审计模型,其实质是构建企业风险控制量化实施框架模型(详见图1)。图1中间“一条主线”即是以风险导向审计为主线,按照风险导向审计的“目标→风险→控制”工作模式,首先确认企业目标,然后分析实现目标存在的潜在风险,最后评价对风险进行控制的成效,提出风险防范和控制建议:图1中“两条辅线”,即是以内部控制审计评价和风险管理审计为两个基本点,其中℃右边辅线是内部控制审计评价的“描述→衡量→管理”工作思想,前提是建立健全内部控制,关键是确定企业风险和内部控制缺失,目标是规避风险和强化内部管理:左边辅线是风险管理审计的“企业总体风险-已控制风险=剩余未控制风险”工作目标,在对企业充分评估、识别、分析的基础上,把剩余风险控制在企业可承受范围内。
企业风险控制量化实施框架模型,为科学开展风险管理审计绘制了具有指导借鉴意义的“地形图”和“路线图”。第一,从描述企业风险控制战略路线入手,分析外部环境及描述内部控制:第二,围绕已设定企业目标,识别和评估影响目标实现的主要风险,制定审计计划与方案;第三,构建风险控制模板,通过对内部控制量化评价进行缺陷认定和内部控制优化,通过分析剩余风险,把风险控制在与企业总体目标相适应的范围内,为企业管理层正确决策提供依据:第四,通过向管理层提交审计报告及开展后续审计,确保风险缺陷得到有效管控,发挥内部审计在企业风险管理和内部控制中的作用。
(三)结合安全环保风险管理审计(简称“安全环保审计”)实务案例,剖析风险管理审计模型的量化实施及应用
项目立项阶段:从描述企业风险控制战略路线入手,分析外部环境及描述内部控制,确定审计项目立项。
中国石化把安全生产视为企业的生命线,制定实施如“安全生产十大禁令”等多项规章制度和办法,多年组织开展“安全大检查”和“我要安全”主题活动,但鉴于石化行业属于高危行业的特殊性,部分企业还是会发生井喷原油泄漏、装置爆炸事故并造成环境污染,给企业带来较大经济损失,同时损害了企业的社会形象。基于此,内部审计部门根据各板块业务特点、以往安全环保事故发生频率、以往审计发现的企业风险管理和内部控制薄弱点等科学立项,合理确定被审计单位和部门。
审前调查阶段:围绕已设定的企业目标,识别和评估影响目标实现的主要风险,制订审计实施方案。
开展安全环保审计的目标任务是检查企业安全环保政策法规贯彻执行情况、环保项目建设及风险管控措施落实情况、突发事件应急预案演练效果等,并通过检查督促提高员工的安全生产意识,提高执行安全生产规章制度的自觉性。在明确上述目标任务后,根据审前调查初步结果确定企业主要风险,制订审计实施方案。
现场实施阶段:通过剩余风险分析和对内部控制量化评价进行缺陷认定和内部控制优化,抓住审计工作重点。
中国石化将风险控制模板“镶嵌”在内部控制审计评价模板中,实现了风险导向审计、风险管理审计和内部控制审计评价的有机结合。在现场审计过程中,根据风险导向审计判断的初步结果、内部控制符合性测试和实质性穿行测试检查结果,确定安全环保审计的重点内容:
(1)检查监管制度体系建设,控制监督“盲点”风险。重点检查被审计单位是否下达安全环保考核指标和制定安全环保目标责任制,企业负责人是否与下级单位负责人签订安全环保责任状,是否将安全环保指标作为企业考核指标层层分解、逐级检查考核,是否落实安全环保问责制,防止因监督不到位形成制度缺失风险。
(2)检查建设项目立项与审批,控制“源头”潜在风险。重点关注建设项目是否严格执行环境影响评价(简称“环评”)、可行性研究、初步设计的环保会签制度,是否实行计划、基建、开发、环保等部门的分工负责制,是否均按照建设项目管理程序,进行了环评,杜绝污染严重和治污措施不严的项目上马,在源头上堵截或减少安全生产事故和造成环境污染事件的发生。
(3)检查易发安全环保事件的改进措施,控制日常风险。重点关注企业在日常生产经营中易产生环境污染的领域,如油田企业的油水井作业产生的污水回收是否及时、油水井管线穿孔以及土油池内污水雨季是否外溢等:同时重点关注企业是否针对上述风险采取了有效措施,如加高缺损围堤,防止井场污水溢出:安装泄油器和自封,防止作业时油水落地;采用背罐作业,及时回收落地污油污水;加强油水井及管线的巡回检查,及时发现污染情况,防止污染蔓延;取消临江(河)油水井的土油池,消灭环境污染源等。此外,还要重点关注企业对已发生的污染事件是否建立了明确有效的治理措施,如清污、赔偿和追究相关责任等。
(4)检查安全环保突发事件应急预案,控制突发风险。重点关注企业是否收集、识别及评价施工作业过程中的环境风险源,是否重点对可能存在的安全环保隐患进行深入细致的调查,是否制订了安全环保突发事件应急预案和污染事故联防应急救援机制,是否成立安全环保应急领导小组,各职能部门的职责任务是否明确,应急响应程序是否畅通,是否对安全预案的完整性和安全预案演练的规范性进行审计评估,是否对安全预案的演练效果进行评价等。
审计终结阶段:通过向管理层提交审计报告及开展后续审计,确保风险缺陷得到有效管控,提高审计项目效果。
安全环保审计现场检查结束后,审计组将企业存在的安全环保内部控制制度执行不到位、责任考核指标不分解不落实、建设项目缺少环评报告、应急预案演练效果未经评估等问题,形成专项审计报告提交公司管理层,由公司领导和职能部门负责督促问题的整改:同时内部审计部门结合常规审计开展安全环保后续审计,进一步检查企业整改落实情况,充分发挥内部审计在企业风险管理和内部控制中的作用。
风险管理审计面临的问题
风险管理组织体系不完善,风险管理审计工作难以落实。风险管理领导体制方面,未设置隶属于董事会的风险管理委员会,风险管理缺乏组织领导;运行机制方面,缺乏系统严密的风险管理运行机制,风险管理缺乏组织协调;组织机构方面,风险管理机构职能未细化,责任不明确,风险管理缺乏运行主体。上述问题的存在,给内部审计部门开展风险管理审计带来了较大的工作难度,突出表现在资料信息不完备,审查对象不清晰,责任主体不明确和整改措施难落实等。
缺乏风险管理审计实务操作规范,审计评价标准不统一。目前,国内理论界对风险管理审计作了大量的探讨研究,理论体系也趋近成熟,但缺乏一套完整的操作规范及具体标准,尤其在实务研究方面尚存在不足,突出表现为对风险管理审计的本质理解不透,监控不到位,评估结论不准确,标准不统一,导致对企业风险的识别还处于“就事论事”的状态,建立的企业风险控制量化模型作用发挥受到很大限制等。
管理人员风险意识淡薄,对风险管理审计作用认识不足。一方面,企业管理层个别领导缺乏风险管控意识和对内部审计部门开展风险管理审计重要性的认识,对风险管理审计工作的支持力度不大:另一方面,少数内部审计人员缺乏风险管理审计意识,工作重点仍局限于财务收支、经济效益审计等传统审计项目,未积极主动地组织开展风险管理审计工作,对涉及风险的信息缺乏应有的关注等。
改进风险管理审计的建议
建立健全风险管理审计组织体系,提供审计组织保障。企业应严格按照外部监管机构相关制度规定要求,尽快建立健全风险管理组织体系,包括:从领导体制上设置隶属于董事会的风险管理委员会,并在建立健全风险管理组织体系的基础上建立健全风险管理审计组织体系;从运行机制上建立一套系统、严密的风险管理运行机制,加强风险管理的组织协调,形成具有石化特色的财务稽核、审计、纪检监察等监管合力“大监督”格局;从组织机构上完善风险管理机构设置,细化职能,明确责任,突出内部审计部门在企业风险管理、内部控制、公司治理中的地位,从组织体系上保障风险管理审计的有序开展。
建立健全风险管理审计法规体系,提供审计制度保障。企业应在建立健全风险管理组织体系的基础上,结合企业风险控制模型和企业工作实际尽快建立科学、合理、统一的风险管理评价体系,确保风险评估者对评估标准理解的一致性以及评估结果的客观性和科学性;同时要加快风险管理审计法规体系建设,尽快制定实施风险管理审计相关管理办法、业务规范及实施细则,从制度上保障风险管理审计依法依规开展。
强化风险责任意识,提供审计履职保障。一方面,企业管理层应采取加强风险防范宣传教育、建立风险管理责任追究机制等有效措施,强化领导层、各职能部门及员工的风险防范意识,同时主动给内部审计部门下任务、压担子,认真整改落实内部审计人员提出的审计意见建议,真正把内部审计当做企业风险管理的重要组成部分;另一方面,内部审计人员要牢固树立风险意识,树立防控企业风险、审慎处置机会风险等风险管理理念,并在审计实践中将审计工作重点向风险管理审计业务领域拓展,早日实现内部审计的全面转型和科学发展。
标签:风险管理论文; 内部控制论文; 风险导向审计论文; 内部审计论文; 企业内部控制评价指引论文; 企业内部控制与风险管理论文; 风险评价论文; 安全风险管理论文; 审计计划论文; 安全审计论文; 风险模型论文; 审计目标论文; 内部控制缺陷论文; 审计流程论文; 风险控制论文; 环保论文;