基于内部审计视角的全面风险管理审计内容与程序,本文主要内容关键词为:风险管理论文,视角论文,内部审计论文,程序论文,内容论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
一、全面风险管理审计概述
风险,通常是指一种未来的不确定性。因此,COSO认为:“风险是一个事项将会发生并给目标实现带来负面影响的可能性”(COSO,2004),从而正式将企业风险纳入企业经营管理决策中。
风险管理审计属于改善企业经营效率,提高企业价值的一项重要工作。我国内部审计准则(2005)将风险管理审计界定为内部内部审计人员对企业风险进行审查和评价。就性质而言,风险管理审计作为一种全新的审计模式,是以传统的审计方法为基础,并在此基础上将审计对象扩展到整个企业的风险管理范围。因此,风险管理审计作为内部审计模式的新发展,它具有与传统审计不同的特征:(1)将全面风险管理的理念融入各个步骤;(2)注重对被审计单位持续经营能力和经营计划进行分析,从宏观上把握审计面临的风险;(3)改进控制测试,以识别可能存在的重大错报风险;(4)扩大审计证据内涵,将了解企业及其环境获取的证据也作为形成审计结论的依据。
二、风险管理审计的内容安排
风险管理包括组织层面控制架构及业务流程控制两个层面。审计人员既可对组织层面控制架构的风险管理进行审查与评价,也可对业务流程控制的风险管理进行审查与评价。企业风险管理审计包括以下方面的内容:
(一)风险管理机制的审查与评价
企业的风险管理机制是对企业进行风险管理审计的基础,良好的风险管理机制是企业风险管理是否有效的前提。因此,审计人员需要审查以下方面,以确定企业风险管理机制的健全性及有效性:
1.审查风险管理组织机构的健全性
不同的企业,他们的规模大小、行业环境、风险程度、管理水平等都存在很大的不同。各个企业必须根据企业自身方方面面的特点,在全体员工参与合作和专业管理相结合的基础上,来建立规范化的风险管理的组织体系。该体系应根据风险产生的原因和阶段不断地进行动态调整,并通过健全的制度来明确相互之间的责任和权利,使企业的风险管理体系成为一个有机整体。
2。审查风险管理程序的合理性
企业风险管理机构应当关注企业的流程,而流程往往是跨部门、跨职能的。因此,企业风险管理职能部门不单仅仅是采用适当的风险管理程序,还应该对各部门做好有效的沟通,使跨部门的风险管理程序能够得到有效的发挥,以确保风险管理的有效性。
3.审查风险预警系统的存在及有效性
企业进行风险管理的目的是规避风险、减少风险,在经营风险的源头就估计和预防其发生,并且持续不断地采取监督性控制。因此,风险管理的首要工作是建立风险预警系统,即通过对风险的预测分析,预计可能发生的风险,并提醒有关部门采取有力的措施。企业的风险管理机构的人员应密切注意与本企业相关的各种内外因素的变化发展趋势,并从因素变化的动态中分析预测企业可能发生的风险,进行风险预警。
(二)风险识别的适当性及有效性审查
风险识别是指对企业面临的,以及潜在的风险加以判断、归类和鉴定风险性质的过程。审计人员应当实施必要的审计程序,对风险识别过程进行审查与评价,重点关注组织面临的内、外部风险是否已得到充分、适当的确认。
1.审查风险识别原则的合理性
企业进行风险评估乃至风险控制的前提是进行风险识别和分析。风险识别是关键性的第一步,因此组织机构中的任何人都应该关注企业风险的识别和管理。也就是说,不仅仅是管理者需要识别风险,企业的各个部门的相关人员都需要从他们各自不同的角度识别风险。这样,才能够更加全面有效地识别潜在风险,提高企业的价值。
2.审查风险识别方法的适当性
识别风险是风险管理的基础。风险管理人员应在进行了实地调查研究之后,运用各种方法对尚未发生的、潜在的、及已存在的各种风险进行系统的归类,并总结出企业面临的各种风险。风险识别方法所要解决的主要问题是:采取一定的方法分析风险因素、风险的性质以及潜在后果。需要注意的是,风险管理的理论和实务证明,没有任何一种方法的功能是万能的。因此,对风险识别方法的适当性进行审查和评价时,必须注重分析企业风险管理部门是否将各种方法相互融通、相互结合地运用。
(三)风险评估方法的适当性及有效性审查
审计人员应当实施必要的审计程序,对风险评估过程进行审查与评价,用以判断风险评估的方法是否适当,是否全面,并重点关注风险发生的可能性和风险对组织目标的实现产生影响的严重程度。同时,审计人员应当充分了解风险评估的方法,并对管理层所采用的风险评估方法的适当性和有效性进行审查。
(四)风险应对措施适当性和有效性
审计人员应当实施适当的审计程序,并根据成本效益的考核与衡量等因素,对风险应对措施的适当性进行审查,评价应对措施是否能及时有效地应对风险,从而将风险可能造成的不良影响降到最低,尽可能地使企业少受损失。
三、风险管理审计的程序
风险管理审计也可以分为计划阶段、实施阶段和报告阶段,但在具体内容上与系统导向审计有着较大的差别。
(一)制定内部战略审计计划
制定内部战略审计计划是整个审计框架的第一阶段。在这个阶段,审计师需要运用各种方法对被审计单位的情况进行全面的了解,如召开座谈会,查阅有关年度档案资料,走访有关部门,进行实地考察等,初步确认审计风险。
(二)了解企业经营情况和识别风险
了解企业经营情况和识别风险是整个审计框架的第二阶段。在这个阶段,审计师需要根据企业整体框架来了解企业风险管理行为的有效性,并且分析企业的经营情况和信息的流程。了解企业情况可以使审计师确认影响财务报表审计的重大错误、舞弊以及审计失败风险,并追溯其产生的源头,还可以使注册会计师发现对该企业进行改进的机会。此外,还可以确认那些低风险的重要账户,并根据审计准则对其进行实质性测试。
在这个阶段中,审计师主要应关注企业中发生的哪些变化和产生的哪些问题对财务报表有影响;企业信息流程中哪些变化、问题和复杂性对财务报表有影响;财务报表审计中,什么是重大的错误、欺诈和审计失败风险;对于低风险的重要账户来说,哪些是需要执行的实质性测试。
(三)企业风险控制评价
企业风险控制评价是整个审计框架的第三阶段,它提供了一个完整的框架用于评估管理层如何对信息流程和特定估计的相关风险进行控制。评估企业的风险控制可以让审计师考虑依赖该控制将审计风险降低到可接受水平,这通常是财务报表审计方法中最有效也是最高效的。此外,还有助于审计师向客户提供有价值的控制改进建议。
在这一阶段中,特别需要关注企业如何控制信息流程和特定估计的风险,以及企业如何确定其风险控制流程与有效地运作等问题。
(四)确定剩余审计风险
确定剩余审计风险是整个审计框架的第四阶段。在这个阶段,要求审计师运用专业判断,确定那些没有将错报风险有效地降至可接受水平的控制范围,以及这些不够有效的控制是如何导致了剩余审计风险(包括内部控制的剩余风险以及战略和经营决策的剩余风险)。
在这一阶段,需要关注的是,企业是否存在超过可接受水平的风险。如果存在,那么是哪些控制程序没有得到有效运行?以此来指引审计师考虑如何加强对剩余风险的管理。
(五)剩余审计风险的管理
剩余审计风险的管理为整个审计框架的第五个阶段。这个阶段提供了一个完整的框架,通过审计人员的管理建议书以及对公司的分析和行动(包括改进相关控制措施)或者通过审计师执行降低风险的程序,将剩余风险降至可接受水平。
在这一阶段,审计师应该关注在财务报表审计中,什么样的企业行为或审计程序能够将剩余审计风险降至可接受水平,以及审计人员应该向企业提供什么样的建议用于改进其风险控制流程。其主要目的是使得审计师提出的剩余风险管理的问题能够更好的实现。
(六)确定最终剩余风险与重大错报风险
在第五阶段中,审计师通过确定初步的审计风险,形成管理建议书,待企业对照审计师的建议书反馈改善后,再次对企业实施风险评估程序,找出最终剩余风险,从而得到重大错报风险。
(七)确定检查风险与实质性测试审计程序
由于以上阶段中仍然存在无法继续降低的剩余风险,审计人员只有根据检查结果采用实质性测试程序,将最终的审计风险降低到可接受水平。实质性测试包括交易业务测试和余额细节测试两种。
(八)出具风险管理类的审计报告与管理建议书
在这一环节中,审计师的工作主要是执行全面评估,收集相关的风险审计证据,评估风险的限度与影响,最终形成审计结论,出具审计报告,向管理层及股东报告企业风险控制与管理的执行情况,并就制度的缺陷及改进建议以书面文件形式整理出来——风险控制管理建议书——提供给管理层。审计人员在出具的风险管理类建议书中,应当综合陈述在审计过程中发现的问题以及提出针对性管理建议,帮助企业完善风险控制体系,完善企业的全面风险管理。可见风险管理审计报告及管理建议书的主要价值在于帮助企业识别、管理及控制企业风险,在降低企业总体风险的前提下,提升企业价值,促进企业目标的顺利实现。
标签:风险管理论文; 审计风险论文; 审计师论文; 管理审计论文; 企业内部控制与风险管理论文; 风险评价论文; 内部审计职能论文; 审计计划论文; 审计方法论文; 审计准则论文; 管理控制论文; 审计流程论文; 审计目标论文; 风险控制论文;