基于审计发现的风险预警功能研究,本文主要内容关键词为:风险论文,功能论文,发现论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
组织的风险管理比较注重风险的事中控制和事后补救,而事前风险预警则较为薄弱。发挥以审计发现为引导的风险预警功能,在一定程度上能够使组织的风险管理更具前瞻性和有效性。从这个意义上说,研究审计发现的风险预警具有较强的现实意义。 一、审计发现及其风险程度评估 (一)审计发现 审计发现是基于审计判断所发现的可能对组织产生不利影响的情况。审计实践中,我们一般把审计发现分为三类:审计发现问题、被审计单位关注事项、上级单位关注事项。审计发现问题是指审计发现的已经明确违反现有制度并需要及时整改的违规问题;被审计单位关注事项是指审计发现的管理缺陷,虽未明确违反现有制度,但仍然存在一定风险的事项,需被审计单位予以关注;上级单位关注事项是指审计发现的属于上级单位应予以关注的制度、系统设计缺陷等事项。 (二)风险程度评估 审计发现的风险程度评估是风险预警的前提,涉及发生频率和危害程度两个重要指标,充分考量审计发现的“发生频率”和“影响程度”两个纬度,能对审计发现的风险程度具有较为全面的认知。 1.衡量发生频率。发生频率是衡量审计发现的风险程度的重要指标。在确定风险程度时,应全面考虑审计发现的发生频率。将审计发现的发生频率划分为4个等级,分别明确各个等级的定性和定量标准,并相应给予1~4的评分,具体内容如表1所示。此外,由于不同的单位内部控制水平有所差异,对同一审计发现,发生频率的评估结果因个体差异会有所不同。
2.评估危害程度。危害程度是评估审计发现的风险程度的一项重要指标。危害程度的评估应综合参考定性和定量标准,若部分审计发现不涉及经济损失则主要参考定性标准。审计发现的危害程度划分为4个等级,分别确定各个等级的定性和定量标准,并相应给予1-4的评分,具体内容如表2所示。值得说明的是,定量标准(资金损失)是内审人员根据被审计单位的自身地位和业务规模确定的标准,它仅代表在某一时点内审人员站在管理层的角度作出的量化衡量与评估。
二、确立风险等级及其预警区域 (一)计算风险值 审计发现的风险值由发生频率和危害程度的评分计算而得,即发生频率的4种不同评分(1,2,3,4)分别与危害程度的4种不同评分(1,2,3,4)相乘,得出审计发现的风险值(风险值=发生频率评分×危害程度评分)。审计发现的风险值是对审计发现风险程度的量化结果,它将作为进一步明确风险等级、确定风险预警区域的重要依据。 (二)明确风险等级 参照风险评价表(表3)风险值区间的数据,找出审计发现的风险值所对应的区间,从而明确审计发现的风险等级。
(三)确立风险预警区域 将审计发现的“发生频率”和“影响程度”的评分分别标注在风险坐标的横轴和纵轴上,并根据相应的风险值,定位审计发现分布的风险预警区域。由风险坐标图(图1)可知,方框内的数字表示计算后的风险值,方框的颜色表示该风险值所对应的风险等级与预警区域。如白、浅灰、深灰、黑色四个预警区域分别对应风险等级的1级、2级、3级、4级,不同的风险预警区域所对应的风险预警措施将有所不同。
三、白、浅灰、深灰、黑色四色预警措施 (一)白色 分布于白色预警区域的风险为低度风险,在该预警区域的风险程度最低,在一般情况下即使有风险,对被审计单位的影响不大,是单位可接受的风险。被审计单位可通过内控措施的有效执行对该区域的风险加以防控。 关注:对这个区域的风险应当采取及时有效的预防措施,减少小风险演变成大风险的可能。通常以被审计部门的及时整改和自查自纠等方式加以防控。关注被审计部门的整改与自查的情况,及时有效地从日常过程中消除风险隐患。 (二)浅灰色 分布于浅灰色预警区域的风险为中度风险,该预警区域的风险程度中等,这种风险虽然未达到影响全局的程度,但对被审计单位仍会产生一定影响,内部审计部门应提醒被审计单位的相关部门加以关注和及时防范风险。 跟踪:可采取审计简报等书面形式向风险对应的部门发出警示,并通过不定期、不间断、连续性对风险进行动态跟踪。还可以选择开展跟踪审计及时掌握审计整改和风险防范的情况。 (三)深灰色 分布于为深灰色预警区域的风险为较高风险,该预警区域的风险程度较高,对被审计单位会产生明显影响,需要引起被审计单位及其管理层的重视。内部审计部门应该采用风险提示等多种形式,提请被审计单位及其管理层重视并研究风险的防范与控制。 预警:以专题报告等书面形式在日常例会或联席会议上披露相关情况,及时向管理层和风险发生部门发出预警,开展风险提示引起管理层和相关部门负责人的重视,使其采取必要措施达到降低风险、减少损失。 (四)黑色 分布于黑色预警区域的风险为高风险,这种风险一旦发生,会使被审计单位陷入困境面临危机,严重时会给其造成可怕后果。发生黑色预警时,内部审计人员应立即提醒管理层高度重视,尽可能减少高风险给单位带来的严重损失。这一区域的风险为不可承受的风险,应不惜成本阻止其发生。 直报:通常采用召开专题会议或提交专题报告等形式直接向管理层报告,缩短中间环节,强调信息时效性,防止风险给被审计单位带来重大后果。 总体而言,审计发现的风险预警能够实现对风险程度及其风险分布区域的分析与归纳,帮助内审部门依据审计发现的风险分布进行系统和整体的把握,并提出合理和有实效的审计建议,有效发挥内部审计增加组织价值的功能。 四、构建审计发现风险预警体系的初步思考 审计发现风险预警体系的构建针对审计发现的预警信号提前予以防范,使风险管理更具有前瞻性。开展风险预警,能够提高央行风险管理的效率,做到防患于未然,在风险累积到一定程度、爆发危机前及时采取措施,避免较大的损失。此外,风险预警体系的构建能够为单位的管理层进行管理决策、开展有效管理提供有价值的参考。 (一)摒弃审计发现简单分类是前提 审计实践中,内审人员容易基于业务种类对审计发现进行简单定性归类,审计发现及其风险分析没有形成科学、规范的体系。审计发现风险预警体系应避免问题的简单汇总与批量传递,应对审计发现进行科学系统归类并开展风险分析管理,重视定性、定量分析,形成明晰的审计发现风险层级,有利于被审计单位制定对应的分层级的整改措施,从而使被审计单位能够更好地把握问题整改的重点,提高整改的针对性和有效性,及时纠正违规行为,降低问题再次发生的概率。 (二)避免风险评估的主观性是难点 审计实践中,审计发现的风险认定大多依靠内审人员的经验,审计发现风险程度的评估水平也有赖于内审人员的专业水准,因而风险的认定与评估仍难以避免一定的主观性。此外,对于审计发现的发生频率和影响程度这两个纬度的评估虽然有定性、定量标准,但评估标准制定本身也难以剔除主观因素,因而审计发现风险预警体系实际的收效如何仍有待实践的进一步检验。 (三)有效发挥审计预警功能是关键 内审部门应当以高层次、精细化的审计成果服务于组织发展,充分发挥审计预警功能则是一项重要的举措。审计预警侧重风险的事前防范或事中控制,要求内审部门及时在事前或事中发出警示信号,并力求迅速及时、客观中肯,能够全面反映体制性和制度性缺陷并提出具有实效的建议。预警应注意以下几个方面:第一,反映应体现“灵敏度”。审计发现问题后应及时提炼,迅速上报,坚决杜绝瞒报、拖延上报,及时“切断火源”,避免损失扩大化。第二,描述应体现“精确度”。坚决摒弃粗糙的工作作风和粗放的管理方式,自觉遵守科学规范的审计质量控制规程,运用科学有效的审计技术,对问题的定性、定量都要做到严谨细致、准确客观。第三,分析应体现“深度”。问题的分析要一针见血,深入透彻,不应就事论事,破除只关注问题本身的思维定势,应以系统性、整体性的思维,从现象出发发掘现象背后的本质,从问题出发探求问题暴露出来的风险、苗头、趋势,直达问题产生的根源。第四,建议应体现“高度”。内审部门应从宏观的高度,在体制、机制的层面提出合理且具有建设性的建议,进而在防范潜在风险、维护安全稳定、推动创新改革等方面发挥更加积极有效的作用。 (四)推进审计成果充分运用是目的 审计发现的风险预警是有效促进被审计单位及其管理层充分利用审计成果的一项重要举措。预警体系对审计发现的风险分析是从被审计单位风险隐患的整体上进行构造的,借助这一信息被审计单位及其管理层能够更加清晰地把握管理重心,制定管理措施,有效把控风险。审计发现的风险预警对审计发现的归类比以往的问题管理更加科学、更加清晰,更加有利于增强管理层对审计发现所暴露风险的管控能力。可以说,发挥审计发现的风险预警是推进审计成果充分运用的有效途径。
标签:风险预警论文; 审计质量论文; 审计目的论文;
