浅谈企业风险导向内部审计的实践模式
作者
【摘要】本文简单阐述内部审计与风险管理的关系,介绍了风险导向审计发展及内涵,重点阐述了企业风险导向审计的实务操作模式,并就我国现阶段风险导向审计应用前提提出一点看法。
【关键词】风险管理 内部审计
随着全球经济一体化进程的推进,企业面临的宏观环境复杂多变。国内“十二五”期间致力于经济结构调整和发展方式转变,对企业经营管理影响的各种因素越来越多,企业在发展过程中面临的不确定性加大,伴随着各种机遇与挑战。因此,在企业风险管理履行重要职能的内部审计,将为有效实施风险管理,保障企业健康稳定发展发挥应有的作用。
一、企业风险和风险管理
(一)风险和风险的特性
企业风险是指企业经营过程中出现的各种不确定性。企业的风险具有以下特性:
1.客观性:风险的存在取决于决定风险的各种因素的存在,完全消除风险或控制风险是不可能的,只有认识风险、承认风险、采取相应的管理措施,以尽可能降低或化解风险。
2.突发性:风险的产生往往给人突如其来的感觉,因而也加剧了风险的破坏性。
3.多变性:风险的多变性是指风险会受到各种因素的影响,在风险性质、破坏程度等方面呈现动态变化的特征。
4.相对性:人们对风险的承受能力随着拥有的财富、资源和经验的不同而有许多不同,造成相对损失也不尽一样。
5.无形性:风险不像一般的物质实体,能够非常确切的被描绘和刻画出来,需要运用系统论、概率、弹性、模糊等概念和方法进行界定和估计,从定性和定量两个方面进行综合分析。
(二)风险管理
对于“风险管理”,COSO是这样定义的,即:“企业风险管理是一个过程,受企业的董事会、管理层和其他人员的影响,应用于企业的战略制定及各个方面,旨在确定影响企业的潜在重大事件,将企业的风险控制在可接受的程度内,从而为实现企业的目标提供合理保证。”按照COSO风险管理框架,包括八要素包括:内部环境、目标设定、事项识别、风险评估、风险反应、控制活动、信息沟通和监督。2006年我国国资委发布了《中央企业全面风险管理指引》,也指出了风险管理的原则性要求。要求中央企业围绕总体经营目标及公司战略,进行风险评估,制定风险管理策略,并提出和实施风险管理解决方案,进而风险管理的监督与改进。风险管理目前已经成为企业科学管理非常重要的手段,需要与经营管理活动有机地融合,通过全员过程参与和实施来促进组织目标的达成和整体利益的实现。风险管理紧紧围绕企业目标和战略,通过评估和管理重大事件,进而帮助企业实现目标。
二、风险导向审计的发展及内涵
内部审计从账项基础审计和制度基础审计发展起来,随着企业风险管理理念的发展和内部审计实践的客观需求,风险导向内部审计已经成为内部审计领域的最新发展方向之一。1999年国际内部审计协会(IIA)经过几年的调研之后,通过了基于风险导向的内部审计新定义和内部审计职业实务标准框架的内容。2001年IIA给出了这样的定义:“内部审计是一种独立、客观的确认和咨询活动,旨在增加组织的价值和改善组织的运营。它通过应用系统化、规范化的方法,评价并改善风险管理、控制和治理过程的效果,帮助组织实现其目的。”根据内部审计定义,可以看出,现代内部审计要求更加关注风险管理、内部控制和公司治理,紧紧围绕组织实现目标、增加价值。而风险管理也是面向未来,紧紧围绕企业目标及公司战略。因此风险管理和内部审计目标是相同的,风险管理技术在内部审计方面的运用能够帮助内部审计更加科学、更加合理地达到组织目标。
风险导向内部审计目的是服务于企业董事会和管理层的,帮助企业控制风险。内审人员要根据企业的目标及战略,识别和评估企业的固有风险及控制的有效性,全面准确地描述公司风险状况,进而确定剩余风险环节的严重程度,进而将重要的剩余风险作为内部审计的切入点,进行风险测评及风险影响分析,提出具体的风险应对措施,帮助公司进行风险管控,真正体现了风险导向的审计理念。
三、企业风险导向审计的实践模式
企业风险导向内部审计实践模式的建立是依托企业开展的内部控制和风险管理工作。在审计实践中,围绕审计重点,开展测试和评价工作,对于高、中、低风险领域采取不同的审计策略,分析风险影响程度和发生可能性,提出风险应对措施和建议,通过风险导向审计协助企业管理风险,实现企业价值增值。同时风险导向内部审计可以有效地分配审计资源,控制审计风险,节约审计成本,并使企业的风险管理与内部审计程序之间有机融合,产生协同效应。一般企业风险导向审计实践模式如下:
(一)在风险识别和评估的基础上,确定年度审计计划
首先,应在风险识别和评估的基础上,确定年度审计计划。
1.围绕战略及目标,开展总体风险分析。审计部门应组织进行风险识别和评估工作,过程中要与公司董事会、经营层、风险合规部门以及相关职能部门密切协作,沟通了解公司的战略、年度经营目标及风险策略。通过评估总体风险,找出重点关注的业务、机构和流程,针对高风险的领域给予重点关注和分析。
2.结合总体风险分析,评估固有风险状况。在总体风险分析基础上,根据审计风险模型“审计风险=固有风险控制风险检查风险”,对影响公司的固有风险进行评估。评估时按照风险影响程度和发生的可能性两个纬度,结合《中央企业全面风险管理指引》分类划分为战略风险、财务风险、运营风险、法律风险、市场风险五类,并列出主要风险清单和风险地图。下面以某公司某业务固有风险识别和评估为例,审计部组织固有风险评估,将五大类风险作为一级风险,然后进行层层分解到二级业务环节风险、三级流程风险。如图1所示。
(1)销售风险(影响程度★★★★★,发生可能性★★★★★)。
影响程度:宏观经济环境变化较大,房地产市场波动较大,影响公司的业绩达成。
发生可能性:房地产调控政策频出,各地出台的限购、信贷政策紧缩及税收杠杆的调控,市场发生变化的可能性90%以上。
(2)资金风险(影响程度★★★★★,发生可能性★★★★)。
影响程度:目前由于销售不畅导致资金流紧张,加上宏观调控导致货币政策紧缩,如果政策持续,可能资金链紧张,直接影响公司的生存。发生可能性:销售压力大及货币政策预计持续可能性非常大,但有的项目销售预计存在突破,预计发生可能性70%~90%。
(3)人力资源风险(影响程度★★★★,发生可能性★★★★)。
影响程度:目前各公司不同程度存在核心及骨干人才储备不足,人力资源效率不高,有待挖掘,可能导致企业管理能力不高,效益不高,有的项目存在无人可派的情况。
发生可能性:按照目前的项目数量来看,现有人力尚能满足需求,如果考虑到后续项目拓展以及未来人才争夺激烈可能导致的流失,那么人力资源风险发生的可能性70%~90%。
图1 运营风险和财务风险二级环节风险清单
风险影响程度分为五档,分为一星、二星、三星、四星和五星,影响程度分别为极低、低、中等、高、极高。主要分类标准采用定量和定性分析结合。定量主要考虑对公司的损失占到净利润的比例,分为0.5%以下、0.5%~1%、1%~3%、3%~10%和10%以上;定性分析主要考虑到对公司战略达成的影响程度、造成公司声誉和品牌的影响程度以及违反违规受到各种处罚的程度等。
风险发生可能性分为五档,分为一星、二星、三星、四星和五星发生可能分别为极低、低、中等、高、极高,采用的分类标准为定量分析,发生可能性分别为10%以下、10%~30%、30%~70%、70%~90%、90%以上。
结合公司风险的影响程度和可能性两个纬度,我们对评估的固有风险绘制成风险地图,如图表2所示。
图表2 公司某业务风险地图
在风险地图中,红色区域代表固有风险的高风险领域,影响程度极高,发生可能性极大;黄色区域代表固有风险的低风险领域,影响程度低,发生可能性小。
3.结合审计对公司控制有效性的了解。初步评价控制风险状况。根据审计风险模型,“审计风险=固有风险控制风险检查风险”对企业的固有风险评估后,后续对评估出来的固有风险环节进行控制风险评估。只有固有风险大,且评估的控制风险大,那么该环节的总体风险等级高,如果固有风险大,而评估的控制风险小,代表尽管固有风险大,但企业对该环节已经有所控制和关注,那么该环节的总体风险等级相对较低。
对评估出来的固有风险环节进行控制风险评估,要结合内部审计以前年度获取的信息、公司最近的重要组织架构、业务流程、管理制度及重要岗位人员的变动等,初步评估控制风险状况。控制风险等级分为五级,分别为健全、较为健全、一般、薄弱、失控。
4.针对固有风险状况和控制有效性评价,确定各环节的风险等级。总体风险等级确定按照固有风险和控制风险两个纬度进行,固有风险评估高和较高的,且控制风险为一般、薄弱和失控的,代表总体风险等级较高,在制定年度审计计划时应该重点关注。
在确定年度审计计划时,根据风险评估结果,同时还要结合董事会和管理层要求、外部监管重点、外部审计管理建议书和以前年度审计结果,确定审计项目和本年度审计重点。
例如上述公司某年度固有风险较高的包括:销售管理、资金和人力资源管理,通过控制有效性评估,上述环节的控制有效性不高,那么应该作为该年内部审计的工作重点。该公司制定审计计划时,要围绕公司的战略,结合宏观经济环境变化,借鉴风险管理的评估情况,考虑董事会和管理层内部管理需要,确定该年度审计重点为:销售指标达成情况及销售管理、资金管理和资金风险、人力资源内控管理和效益分析。
(二)编写项目审计方案,确定重要审计程序和重要性水平
在开始项目审计前,制定项目审计方案。在制定审计方案时,内部审计要进行审前调查,审前调查的内容包括但不限于:公司最近的业务发展策略、业务指标情况、管理情况等,评估各公司的内部控制情况、审计项目的重要程度、复杂性和项目风险水平以及以前年度审计结果,结合被审计单位的基本情况,确定重要审计程序和重要性水平,将审计程序按照重要性分出高、中、低的层次,针对不同层级采取不同的审计方法。对风险低的可相应简化审计程序,可采取的方法有:利用管理层自查的结果并抽取一定比例验证自查的准确性、借鉴其他职能部门检查的结果、减少样本量、采用询问、观察等简化的审计程序。对风险高的则采取扩大样本量、进行穿行测试、增加分析性复核程序等审计方法。
在编写项目审计方案时,首先对评估出的风险等级较高的风险环节进行影响因素的细化分解,确定关键审计点,在审计实施阶段对关键审计点的影响因素及控制流程进行审计。例如将资金管理环节的关键审计点确定为:资金管理制度建设情况;银行存款的真实性;资金支出控制流程;资金支出发票的合理性、合规性;资金预算的管理;现金流的平衡情况等6个关键审计点。
然后充分考虑各公司的项目进展情况、以前年度审计结果和内部审计资源等,并结合关键审计点的影响因素及控制流程的重要程度,确定该审计项目的重要性水平。例如资金管理环节的资金支出审批流程:参考审计期间事前审计调查获取的资金支出数量,并考虑资金支出金额的影响,来确定资金支出的重要性水平。
(三)实施审计程序,识别和评估风险
实施审计过程中,以初步评估的风险等级较高的环节作为审计的切入点,通过内部测评、分析性复核、具体审查等,以有效识别风险和发现问题。
审计中要对识别的风险进行深入分析,了解风险形成的主客观原因,注重采用定量和定性相结合的方式进行风险影响程度的评估。例如对公司收入、利润、资产的影响,对公司生产周期、资产周转率的影响。
(四)撰写审计报告,提出风险应对措施和管理建议
在编制审计报告时,将审计中测评的关键风险点情况进行评价,指出内部控制中存在的漏洞和薄弱环节,提出风险应对策略和管理建议。
风险应对策略包括:风险规避、风险降低、风险分担和风险承受。不同的应对策略,适用不同的范围的风险事件。
(五)进行后续审计,评估风险应对策略落实情况
后续审计是指出具审计报告后,审计人员仍要为报告中所涉及的审计发现和建议进行跟踪,以确认公司是否采取了风险防范和控制措施。对于重大的审计发现,在后续审计应跟踪中关注相关部门和环节是否予以纠正。若未纠正,要查找相应的责任和原因。
后续审计工作要坚持风险导向和成本效益原则,以所涉及的风险程度、实施纠正措施的困难程度、实施纠正措施的时间安排为依据。风险越大,后续审计的范围就可能越广,内审人员要投入更多的时间和精力;反之,后续审计可仅限于询问和简短的讨论,以节约审计成本。
四、风险导向审计在实务的应用对策
(一)借助专业职能部室的力量进行风险评估
开展风险导向审计的前提是审计人员既要有会计、法律、管理等多方面的知识,又要有较强的专业判断能力、较高的风险分析能力和丰富的从业经验。这就必然要求审计人员具有较高的综合素质,而我国目前正缺少这样高水平的审计人员。若仅凭企业目前的审计人员可能无法对被审单位的经营风险和舞弊风险做出全面、准确地评估。
针对现状,建议企业组织各专业职能部室对各自所管辖范围内的风险进行识别和评估,也可以聘请外部专家、行业经营管理专家等共同进行风险识别和评估,研究提出公司风险清单。审计部门可在此基础上,结合自身判断确定公司的风险评估结果。
(二)建立比较完善的资料库,并充分利用专家的工作
在风险导向管理审计中,审计人员需要获取大量的信息来充分了解被审单位的情况。因此只有建立信息全面的、共享的行业信息资料库,或者在审计人员某方面专业能力欠缺的情况下,充分地利用专家的工作,才能满足审计人员了解被审单位战略规划、评估经营风险和进行个性化审计程序设计的需要。目前,企业对数据的积累还非常有限,虽然审计准则中规定了可以借助专家的工作,但审计实务中各企业应用程度也有所不同。因此,各企业应尽快建立相对完善的资料库,并在可能的情况下充分利用专家的工作。
(三)健全企业内部控制,为现代风险导向审计打下良好的制度基础
一個企业的内部控制是否完善,直接关系到实施风险导向审计能否得到预期效果。从目前情况来看,我国企业内部控制的不完善已经成为现代风险导向审计运用的绊脚石。因此,国家应该引导各企业从内部控制的设计、运行、评价、改进四个环节上建立与完善企业内部控制,强化企业高管层的控制责任,关注企业风险的评估,强化内部审计监督职能,使风险导向审计实施具有良好的制度基础和文化基础。
(四)对企业经营目标、战略措施和经营活动进行深层分析
实务操作中,内审人员应重点放在企业经营目标、战略措施和经营活动的分析上,而不是追查所有经营风险,相应记录做到简而有理、繁而有用,既不遗漏重要信息,也不做表面文章,做到思路清晰,内容有用,使审计人员能获得全面、客观、充分的有关客户经营环境和经营活动的信息,为后续风险评估打下基础。同时,通过将识别的重大错报风险和实施的审计程序相联系,将进一步的审计程序放在高风险领域。这些策略都可能有效抵减实施风险评估程序本身带来的审计工作量和成本的上升。
综上所述,通过风险导向管理审计可以评估出企业可能存在的高风险领域,并针对评估的重大风险实施审计,发现内部控制的薄弱环节,并提出相应的改进建议,提高审计工作的有效性。但是如何让风险导向审计在公司治理中发挥更好的作用,仍需我们在实践中不断探索!
参考文献
[1]雒文彦《现代风险导向审计下企业审计实施框架》经济师2009年第三期
[2]王秀丽《风险导向审计模式的发展及在我国的应用》新疆财经2006年第2期
[3]刘慧霞《风险导向审计在实务应用中的问题研究》中国内部审计2009年第26期
[4]朱薇《企业风险导向审计实务浅析》北京内部审计协会
[5]中国建设银行广州审计分部课题组《风险导向审计在商业银行内部控制评审中的作用》中国内部审计2011年第4期
作者 马建敏