科学的风险管理审计程序不仅有利于提高风险管理审计工作的效率与质量,还可以促进风险管理审计规范化。
风险管理审计程序
科学的风险管理审计程序不仅有利于提高风险管理审计工作的效率与质量,还可以促进风险管理审计规范化。
(一)制定风险管理审计计划
内部审计机构根据单位的具体情况拟定审计计划,并报告单位领导审批后实施。审计计划可以促进内部审计人员及时、高效地完成审计工作,提高审计工作的效率与质量。内部审计人员要深入企业各部门、各环节,通过调查问卷、访谈、审阅相关文件记录、互联网搜集信息等方式获取相关资料,包括国家宏观政策、行业发展状况、企业管理情况等。对所收集到的资料进行分析,了解企业经营过程中面临的风险,确定审计的性质、范围和时间,并编写审计方案。
(二)实施风险管理审计
实施风险管理审计阶段是整个审计过程的重要环节。内部审计人员根据审计方案,采用适当的审计方法与技术,针对调查中发现的问题和缺陷进行深入分析,获取充分适当的审计证据,分析原因,评价这些问题和缺陷带来的风险,并提出改进措施。内部审计人员在实施风险管理审计过程中,需要运用专业知识识别出企业整体层面和具体业务层面所面临的以及潜在的风险(重心放在企业的现在和未来),并分析其成因及其影响,进而评估确定风险量值或程度,以评价企业风险管理机制、风险识别、风险评估、风险应对措施的适当性和有效性。
风险评估过程中,可以采用定量的方法,比如建立计算机分析和统计分析模型,把所有可以定量测试的因素列示出来,按照重要性程度大小,分层、分步地综合各种因素,测试出每种因素对测试目标的影响程度和影响数值大小。当风险难以量化或者数据不可获取时,一般采用定性的方法,如调查问卷法、流程图法、SWOT分析法等。在采用定性方法时,为提高评估结果的客观性,一般需要充分考虑相关部门和人员的意见。另外,风险的度量也可以采用定量与定性相结合的方法。
(三)出具风险管理审计报告
审计工作的最终结果表现为审计报告,报告阶段在整个审计过程中十分重要。风险管理审计报告应当主要反映整个审计的要点,既要肯定企业在风险管理过程中好的、高效的管理方式,又要针对其中的问题和漏洞进行分析,并提出改进的建议。内部审计人员需要对获取的审计证据进行分析和评价,复核审计工作底稿并撰写审计报告,与管理层和治理层进行沟通,最后下达审计意见,跟踪有关部门落实。
(四)进行后续审计
风险管理审计的方法
内部审计工作的通用审计方法,如审核、观察、访谈、调查、监盘、检查、重新计算、分析程序等,在风险管理审计工作中同样适用。同时,由于风险管理审计面对的审计客体具有特殊性,仅靠常规的审计方法收集审计证据难以保证内部审计人员充分了解和审查业务部门的风险识别、评估和应对等工作,难以为最终发表审计意见提供合理的保证。因此,企业内部审计人员应当对风险管理业务常用的技术方法进行深入学习,必要的时候,要采用这些技术方法履行风险管理工作的重新执行程序。
传统审计方法
检查、重新计算、分析程序等传统审计方法,在风险管理审计中的应用是十分广泛的。风险管理审计采用的主要方法,仍然是传统审计方法,即检查、观察、访谈、调查、监盘、函证、重新计算、分析程序等。
1.审阅。
审阅资料是审计工作运用最为广泛的方法之一,内部审计人员需要收集、检查经济环境、发展趋势、行业信息以及其他信息,以及分析与企业的业务相关的宏观经济以及相关的风险控制程序。确定是否存在可能影响企业发展的风险。
2.检查。
企业的经营战略、风险管理理念和方法、检查企业政策和董事会议记录确定。
3.访谈。
由于风险管理是一个动态的过程, 对访谈是风险管理审计中常用的审计方法。其进行审计时要更多地关注“活”的情况。内部审计人员需要与行政经理和业务部门经理交谈,以确定业务部门的目标、相关的风险、管理层开展的控制风险的活动。
4.分析程序。
分析程序在风险管理审计中也是非常重要的方法。内部审计人员通过趋势、对比、勾稽等数据分析方法发现异常状况,然后深入分析异常状况的原因,从而发现风险管理中的薄弱环节。同时,内部审计人员也经常使用分析程序来评估管理层的风险分析是否全面,以及为纠正风险管理过程中发现的问题而采取的措施和提出的改进建议的及安全性、适当性。
风险管理体系建立情况的审计方法
在整个风险管理审计中,了解、完善和改进企业的风险管理体系是内部审计为企业提供增值服务的主要方式,更是审计的关键环节。风险管理体系建立情况审计的主要方法和步骤一般包括:
(1)研究一般性风险。内部审计人员一 般需要建立一份一般性风险清单,其主要来源是保险顾问、咨询公司、行业协会以及其他网站信息等。
(2) 识别企业特有风险。不同的企业风险不同,虽然研究一般性风险为创建风险库提供基础,但内部审计人员应当采用调查问卷等方式让企业的各层管理人员参与头脑风暴,寻找到企业所特有的风险,对一般性风险进行修正,建立与企业相适应的风险库。
(3)定义各类风险。采用“原因和结果”的形式用企业熟悉的语言简明地定义风险,形成一种通用的风险语言。
(4) 链接风险与战略。将每个风险放在“它能对战略产生怎样的影响”的环境中进行讨论,找到风险与企业战略和经营目标的关联。如果一个 风险难以与企业的战略、经营和财务目标联系起来,就说明这个风险没有被恰当地定义,或者甚至与企业不相关。风险与战略的链接过程具有反复性,开始时发现风险与多个目标相关,但经过深入分析后可能会将一些较弱的相关性予以剔除,以修改或增加、删除一些风险。通过深入理解这些风险的特征和相互之间的关系,内部审计人员将在每个风险的评估过程中更加突出与战略强相关的高风险领域。
(5)建立适当的风险模型。风险模型的作用是根据性质把风险进行分类并构建一个结构,这一结构可以使人们理解风险更容易,以及进行企业风险管理和相关培训更为便利。研究人员在理论和实务中讨论了不同的企业风险模型。因为最优的模型是不存在的。内部审计人员必须参照多个特有的风险模型。
常见的风险评估方法
常见的风险评估方法包括PEST因素分析、SWOT分析法、风险坐标图法、关键风险指标分析法、蒙特卡罗分析法、生命周期分析法、VaR模型分析法等。这些方法在一次风险管理审计不可能全部用到。但内部审计人员应该对各种方法适用的范围、步骤、结果类型融会贯通,以便在进行风险管理审计时能恰当评价企业采用的方法是否适当所得结论是否可靠。
PEST (political)E(Economy)S(Social)T(Technology)
SWOT(Strengths)W(Weaknesses)O(Opportunities)T(Thereat)
