企業風險審計管理精選(五篇)
發布時間:2023-12-04 10:00:11
序言:作為思想的載體和知識的探索者,寫作是一種獨特的藝術,我們為您準備了不同風格的5篇企業風險審計管理,期待它們能激發您的靈感。
篇1
關鍵詞:風險;風險管理;風險管理審計;
20世紀末、21世紀初,隨著企業戰略管理的實施,風險戰略決策的起用,風險就成為決定內部審計方向的基礎,開展企業風險管理審計也成為企業實現經營目標的迫切要求,是防范和化解企業風險的必然選擇。
一、企業風險管理審計的概述
所謂企業風險管理審計是指企業內部審計部門采用一種系統化、規范化的方法來進行以測試風險管理信息系統、各業務循環以及相關部門的風險識別、分析、評價、管理及處理等為基礎的一系列審核活動,對機構的風險管理、控制及監督過程進行評價進而提高過程效率,幫助機構實現目標。企業風險管理審計是一種現代審計模式,它有其自身的特點:
其一審計思路和觀念發生根本性轉變。賬項基礎審計注重具體交易事項的審查測試;制度基礎審計雖注重內部控制的符合性測試,而企業風險管理審計則是注重確認和測試風險管理部門為降低風險而采取的方式和方法。
其二審計工作重心開始轉移。審計人員的審計工作由原來的內部控制審計擴展到所有風險管理技術審計,審計范圍拓寬了很多。
其三企業風險管理審計的方法更科學、更先進。企業風險管理審計是利用戰略和目標分析的結論,確定關鍵風險點,進行風險評估,采取必要的措施降低或消除風險。企業風險管理審計還廣泛運用數學分析、統計分析和計算機等技術方法,使審計工作更加簡單、快捷。
最后是企業風險管理審計的目的更加明確,在于揭示企業的各種風險因素,降低和防范各種風險,協助企業決策者和管理層達到預期的經營目標。
實施企業風險管理審計是針對內部控制制度的執行情況進行再監督,以便及時發現并消除風險點,把風險損失控制在最低限度,與此同時,能夠通過對內部控制制度的健全性和符合性測試發現內控制度的不足之處,并提出改進意見,進一步修訂和完善內部控制制度;實施企業風險管理審計還能起到預防風險與警示的作用,企業結合實際情況制定具體的內控制度,由相關部門或人員具體實施,事先控制可能出現的風險,把風險消滅在發生之前或萌芽狀態,而當風險產生并造成損失時,分析原因,總結經驗教訓,采取相應措施,發揮風險管理審計的警示作用;企業風險管理審計的開展還有助于提高外部審計質量和效率,一方面將有限的審計資源用于高風險領域,另一方面,降低外部審計成本,提高審計效率。
二、開展企業風險管理審計面臨的若干問題
目前,從世界范圍看,企業的風險管理審計尚處在發展階段,還有相當一部分的企業沒有實行,風險管理審計的理論研究方面的工作及成果還比較少,風險管理審計的發展還面臨著若干問題。
(一)風險意識淡薄。
1、企業缺乏風險意識,沒有積極、主動、系統地進行風險管理工作。主要表現在以下兩個方面:一是企業中的風險管理活動往往是瞬時的或者間斷性的,意識到了就進行管理,事后則是好了傷疤忘了疼,將其拋擲腦后;二是企業缺乏對風險進行定期的復核和再評估,降低了企業適應環境變化、管理風險和規避風險的能力。
2、企業本來應該以追求長遠利益、獲取最大利潤為根本目標,但是有些企業卻只顧眼前的利益,而忽視某些行為決策對企業未來發展產生的影響,往往對所投資的項目的風險不能進行系統全面的分析,從而給企業帶來了巨大的損失。
(二)企業風險管理的組織架構還不完善,缺乏現代意義上獨立的風險管理部門。尤其我國的大多數企業存在較為嚴重的治理結構問題,導致各個部門和崗位的人員對其工作職責和操作程序不清晰,風險承擔的最終主體也不明確,因而很難形成現代意義上獨立的風險管理部門,并且沒有專門的人員進行企業風險管理。即便是成立了相應的風險管理部門,但是沒有專職的風險經理,風險承擔的主體不明確,各個部門或者崗位間互相推卸責任,使其風險管理的成效缺乏有效的約束機制,從而無力承擔起獨立的、具有權威性的、有效管理企業風險的職責,使得我國企業的風險管理始終停留在以眼前利益為目的的決策層次上,而不能像西方一些企業將企業風險管理上升到企業發展的戰略高度。
(三)企業風險管理審計的創新受到一定程度的外部因素的制約。企業風險管理審計隨著風險管理的創新而不斷創新的,風險管理的創新一方面在于企業自身可持續發展的需要,另一方面要求外界給它創造較為寬松的環境,例如,要為銀行風險管理的創新創造寬松的環境就具備三個條件:一是必須具備市場化的交易主體和交易價格,因為,只有這樣,銀行才能作為風險的承擔者在市場上借助已有的或創新的風險管理工具規避和控制風險;二是具備成熟的金融市場,因為創新的本身也會創造出新的風險,一旦管理不慎,金融市場無法消化,就可能引起金融動蕩或危機,因此,成熟的金融市場也是必要的;三是完備的法律保障,沒有完備的法律法規政策來規范、約束和保障各種創新的開展,那么要使金融風險管理創新良性發展也不太可能。由此可見,其他企業也基本如此,然而,我國目前尚且不具備這樣的外部條件,這樣就制約了我國風險管理創新的發展。
(四)關于企業風險管理審計,我國至今沒有出臺較為完備的法律法規政策,不利于風險管理創新的良性發展,同樣,也不能很好的規范、約束和保障企業風險管理審計的開展,使審計人員在開展企業風險管理審計的過程中束手束腳。
(五)對企業風險管理審計的定位不夠清楚、準確。如《內部審計具體準則第16號-風險管理審計》中提出這樣一種說法風險管理是組織內部控制的一部分,內部審計人員對風險管理的審查和評價是內部控制審計的基本內容之一,而在1992年后最新出臺的《企業風險管理框架》中將內部控制擴展為風險管理,明確提出了風險管理包含內部控制。這兩種觀點的之間矛盾使我們對風險管理審計的定位有點模糊不清,對風險管理審計的范圍也有所置疑。
(六)在企業風險管理審計的范圍上,審計人員側重于企業經營管理風險的識別、估算和控制方面的審計,而對企業制度風險、法律風險等其他風險的評估、測試等方面的審視程度不夠,但是隨著我國加入WTO,我國企業的經營管理逐漸與國際接軌,再加上企業自身改革的不斷深化,企業的風險管理不可能只停留在分別對某一種風險進行管理的階段上,企業只有全面的、綜合的考慮可能發生的各種風險因素,才能有效的預防、管理和控制風險,同樣的,企業風險管理審計也不能停留在部門風險管理審計的階段上,而要向全面的、整體的風險管理審計發展,只有這樣企業才能在競爭中立于不敗之地。
(七)企業風險管理審計人才嚴重匱乏。
1、目前,我國企業風險管理審計人才嚴重匱乏,現有風險管理審計人員綜合素質不高,主要表現在文化水平不高,計算機操作能力不夠,知識結構單一,風險意識不強,工作創新能力差等等。如不加強對風險管理審計人員的綜合素質提高,將非常不利于風險管理審計的有效開展。
2、我國注冊會計師對行業風險和企業經營風險缺乏了解,數據積累嚴重不足,正如黃世忠教授所說的:我國會計師事務所90%以上的業務是審計業務和會計業務,沒有經濟方面、法律方面等多元化的背景。注冊會計師們不了解企業的經營狀況、不了解整個行業。這我國審計人員有效開展企業風險管理審計工作所急需解決的問題。
三、開展企業風險管理審計采取的應對措施
在全球經濟化的當今世界,企業為了使自己在競爭中贏得優勢、搶得先機,為了更好地開展風險管理審計,必須對審計工作中存在的問題采取有效地措施。
(一)轉變企業觀念,提高企業風險意識,將風險管理納入企業的經營管理之中。開展企業風險管理審計,首先要求企業管理層要徹底轉變觀念、增強風險意識、把風險管理審計擺在重要位置上,正確合理地處理風險與效益的關系,把企業長遠利益作為企業的根本目標,與此同時審計人員也要轉變觀念,盡快實現從傳統的帳項基礎審計、制度基礎審計向風險管理審計轉變,突出風險管理的重要性。一方面要監督企業各職能部門認真貫徹各項內部控制制度,切實規范操作程序,防止操作過程中人為造成風險;另一方面要認真落實風險管理審計提出的整改意見,克服專業管理部門的偏見,使風險管理審計能夠真正發揮作用。
(二)重視風險管理在企業可持續發展中的戰略地位,進一步完善內部控制制度的建設,完善風險管理的組織架構,明確風險的承擔主體,整合現有的風險管理部門,形成由最高管理層直接負責的、系統的、全面的風險管理系統。另外,企業要在充分利用內部的風險管理人員的基礎上,充分利用外腦即利用企業外部的風險管理咨詢公司專家的才能智慧,進行有效的企業風險管理。這就為審計人員開展企業風險管理審計提供明確的審計對象,使審計人員能夠制定出更加有效合理的審計計劃,節約了審計時間,提高了審計效率。
(三)我國要加強對企業風險管理審計的重視程度,尤其在中國加入世界貿易組織的今天,企業資本迅速積累,企業規模日益擴大,能否有效開展企業風險管理審計與企業能否在競爭中無往不利,企業能否取得成功息息相關。因此,不僅要求企業組織專門的風險管理部門,培養專門的風險管理人員,還要求我國政府盡快出臺與企業風險管理審計相關的比較完備的政策、法律法規以規范、制約和保障企業風險管理審計工作,使其有效開展。
(四)在重視企業經營風險管理審計的同時,對于企業其他風險管理(如制度風險管理、法律風險管理)的審計也應該引起足夠的重視,在經濟全球化和一體化的現代企業的競爭中,哪怕只忽視一種風險都很可能使企業遭受巨大的損失,因此,審計人員應全面系統地進行企業風險管理審計。
(五)立足現實,開展符合我國國情的風險管理審計創新。雖然我國的企業風險管理審計還不具備完備的法律法規政策,并且這些外部因素也不是一蹴而就的,但是這并不表明這些外部條件不具備的情況下就一定不可以進行風險管理審計的創新。例如,根據西方金融業務創新技能方面的發展進程,金融業務創新的層次可分為金融基礎業務層、衍生業務創新層和組合業務創新層,相應地,銀行風險管理的創新也會隨之不斷發展,我國當前創新處于基礎業務層,如開展一些銀行保險業務,實現風險在銀行與保險之間的轉移等,持條件成熟后再進行其他風險管理方法的創新。相信只要我們勇于探索,從最基礎的層次進行創新,就一定能取得成功。
(六)開展企業風險管理審計,需要培養一批高素質的審計人才。企業風險來自各方面,而且不是孤立存在的,受眾多內在因素和外在因素的影響,這就對審計人員提出了更高的素質要求,要求審計人員不僅僅是一個合格的管理者,還要是一名優秀的審計人員,既要掌握了解企業內部的經營管理運作狀況,又要關心企業外部環境的變遷、市場經濟的趨勢、行業的特點和技術的發展等等。現如今這種多才多能的審計人員屈指可數,各單位領導應該花大力氣培養一批高素質的審計人員,為開展風險管理審計奠定基礎,一方面,可以選拔優秀審計人才出國進修現代風險管理審計技術,將國外的優良的審計技術和經驗引入我國的風險管理審計的實踐應用中;另一方面,對現有的風險管理審計人員進行定期的培訓,讓他們不斷更新專業知識,提高他們的專業水平,同時,也要注意提高他們的計算機操作水平,以適應時代的發展。我認為21世紀的高素質審計人才應該具備以下標準:具有豐富的專業知識和相應的技能;具有高度的責任心和良好的職業道德;具有敏銳、細致的觀察思辨能力;具有較強的組織能力、分析能力、處理問題的能力和社會活動能力;熟練地掌握計算機技術;精通英語。
(七)企業風險管理審計要做到經常化、制度化。
風險是隨時隨地都會發生的,而且是不斷變化的,妄想一次、兩次風險管理審計就能解決根本問題是荒謬的、不現實的,因此風險管理審計必須做到經常化,要周期性地或不定期地開展全面的風險審查評估,并在此基礎上,對重點風險點及時開展專項風險審計,尤其是對內部控制制度評價中發現的重大失控點,應予以高度的重視,采取有效措施堵塞漏洞,減少或者消除風險點和內控失控點。
篇2
「關鍵詞 企業風險 風險管理 風險管理審計
由于各種不確定性因素,企業面臨著各種風險,能否對風險進行有效的管理和控制,是企業能否生存發展、實現企業預期目標的關鍵。企業風險管理的有效性在一定程度上取決于企業對風險管理工作的監督和評價。因此,無論是國際內部審計師協會對內部審計的定義,還是我國的內部審計準則都強調了內部審計在企業風險管理中的重要性。我國從2005年5月1日起施行的內部審計具體準則第16號———《風險管理審計》中更是強調了內部審計人員對風險管理進行審查和評價的職責。
一、企業風險及風險管理的內涵
進行企業風險管理審計,必須明確企業風險及風險管理的內涵。否則,企業風險管理審計便無從談起。
1 企業風險的實質
首先,風險產生于不確定性因素的存在,如果企業運行的內外環境是確定的,則不存在企業風險。其次,企業運行環境的不確定性帶來了企業運行結果的不確定性。一般來說,我們更注重企業的運行結果,對預期結果的實現與否及可實現程度的大小成為了衡量企業風險大小的現實標準。因此,可以認為,企業風險則是企業運行結果偏離期望結果的可能性。筆者認為,企業目標是企業期望達到的一種結果狀態,但由于相關因素的持續不斷的變化,企業目標的實現存在不確定性。因此,企業風險可以描述為企業目標不能得以實現的可能性。
2 企業風險的劃分
企業風險可以按多種標準進行分類。筆者認為,既然將風險定義為企業目標不能得以實現的可能性,那么,企業風險可以按照企業目標的不同層次來理解和劃分,并可將其相應劃分為:
(1)企業的戰略風險是指企業戰略目標不能實現的可能性,主要包括:由于對有關影響因素的分析不夠充分或對未來的變化沒能合理預計而帶來的企業在總體戰略選擇環節的失誤風險;由于企業的具體戰略選擇失誤而帶來的風險,包括企業經營領域的選擇風險、企業并購風險等。
(2)企業日常經營管理風險是指企業具體經營目標不能實現的可能性,又可以劃分為企業經營環節的作業鏈風險,如企業供、產、銷等環節的風險;企業的人事風險,如由于人員任用、授權、業績評價等方面的缺陷帶來的風險;企業的信息風險,如企業信息系統風險等。
(3)財務風險。狹義一般是指由于企業籌措資金而形成的風險,并主要是指企業由于舉債而形成的風險,也可稱之為籌資風險。按照本文對風險的定義,即企業目標不能實現的可能性,則企業的財務風險是指企業財務活動目標不能得以實現的可能性,包括籌資風險、資金投放的風險及企業其他財務活動風險,我們可以稱之為廣義的財務風險。
3 企業風險管理
COSO于2004年頒布的《企業風險管理框架》中指出“企業風險管理是一個過程,它由董事會、管理當局和其他人員執行,應用于戰略制訂并貫穿于企業之中,旨在識別可能會影響主體的潛在事項,管理風險以使其在風險容量之內,并為主體目標的實現提供合理保證。”
我國內部審計協會2005年的內部審計具體準則16號—《企業風險管理審計》中指出“風險管理,是對影響組織目標實現的各種不確定性事件進行識別與評估,并采取應對措施將其影響控制在可接受范圍內的過程。風險管理旨在為組織目標的實現提供合理保證。”
從上述對風險管理的解釋可以看出,企業風險管理的最終目標是為企業目標的實現提供合理的保證。
二、企業風險管理審計的目標
對企業風險管理進行監督和評價是現代內部審計發展的結果,企業風險管理審計的目標取決于對企業內部審計的功能定位。
從西方企業內部審計的產生和發展過程來看,內部審計是隨著經濟的發展,企業內部管理層次的增多和控制范圍的擴大,基于企業內部經濟管理與監督的需要而產生的,并隨著管理的需要而不斷發展。隨著內部審計的不斷發展,內部審計的目標也在不斷地變化,其中以國際內部審計師協會(IIA)對內部審計所下定義的變化最具有代表性。國際內部審計師協會(IIA)理事會指出內部審計是一種獨立、客觀的保證和咨詢活動,其目的是增加組織的價值和改善組織的經營。
我國的內部審計不是在企業內部管理需要的動因下發展起來的,而是在政府的要求下,在國家審計部門的推動下建立起來的。1993年國家審計署成立,為了盡快建立和完善審計體系,補充剛剛復興的國家審計力量的不足,政府和政府審計機構都極力敦促內部審計的組建。但隨著我國經濟體制的不斷改革發展,企業內部審計越來越受到各方面的重視,對內部審計的理解也發生了較大的變化。我國的內部審計基本準則指出:內部審計是組織內部的一種獨立客觀的監督和評價活動,它通過審查和評價經營活動及內部控制的適當性、合法性和有效性來促進組織目標的實現。
從內部審計的發展過程可以看出,企業內部審計的目標在于幫助企業實現目標。企業內部審計的目標決定了企業風險管理審計的目的在于:通過內部審計機構和人員對企業風險管理過程的了解,審查并評價其適當性和有效性,提出改進建議,促進企業目標的實現。
三、企業風險管理審計的內容
風險管理包括組織整體及職能部門兩個層面。內部審計人員既可對組織整體的風險管理進行審查與評價,也可對職能部門的風險管理進行審查與評價。因此,筆者認為企業風險管理審計應當包括以下方面的內容:
(一)風險管理機制的審查與評價
企業的風險管理機制是企業進行風險管理的基礎,良好的風險管理機制是企業風險管理是否有效的前提。因此,內部審計部門或人員需要審查以下方面,以確定企業風險管理機制的健全性及有效性。包括:
1 審查風險管理組織機構的健全性。企業必須根據規模大小、管理水平、風險程度以及生產經營的性質等方面的特點,在全體員工參與合作和專業管理相結合的基礎上,建立一個包括風險管理負責人、一般專業管理人、非專業風險管理人和外部的風險管理服務等規范化風險管理的組織體系。該體系應根據風險產生的原因和階段不斷地進行動態調整,并通過健全的制度來明確相互之間的責、權、利,使企業的風險管理體系成為一個有機整體。
2 審查風險管理程序的合理性。企業風險管理機構應當采用適當的風險管理程序,以確保風險管理的有效性。
3 審查風險預警系統的存在及有效性。企業進行風險管理的目的是避免風險、減少風險,因此,風險管理的首要工作是建立風險預警系統,即通過對風險進行科學的預測分析,預計可能發生的風險,并提醒有關部門采取有力的措施。企業的風險管理機構和人員應密切注意與本企業相關的各種內外因素的變化發展趨勢,從對因素變化的動態中分析預測企業可能發生的風險,進行風險預警。
(二)風險識別的適當性及有效性審查
風險識別是指對企業面臨的,以及潛在的風險加以判斷、歸類和鑒定風險性質的過程。內部審計人員應當實施必要的審計程序,對風險識別過程進行審查與評價,重點關注組織面臨的內、外部風險是否已得到充分、適當的確認。筆者認為應當包括以下內容:
1 審查風險識別原則的合理性。企業進行風險評估乃至風險控制的前提是進行風險識別和分析,風險識別是關鍵性的第一步。
2 審查風險識別方法的適當性。識別風險是風險管理的基礎。風險管理人員應在進行了實地調查研究之后,運用各種方法對尚未發生的、潛在的、及存在的各種風險進行系統的歸類,并總結出企業面臨的各種風險。風險識別方法所要解決的主要問題是:采取一定的方法分析風險因素、風險的性質以及潛在后果。
需要注意是,風險管理的理論和實務證明沒有任何一種方法的功能是萬能的,進行風險識別方法的適當性審查和評價時,必須注重分析企業風險管理部門是否將各種方法相互融通、相互結合地運用。
(三)風險評估方法的適當性及有效性審查
內部審計人員應當實施必要的審計程序,對風險評估過程進行審查與評價,并重點關注風險發生的可能性和風險對組織目標的實現產生影響的嚴重程度兩個要素。同時,內部審計人員應當充分了解風險評估的方法,并對管理層所采用的風險評估方法的適當性和有效性進行審查。
內部審計人員應當對管理層所采用的風險評估方法進行審查,并重點考慮以下因素:
(1)已識別的風險的特征;
(2)相關歷史數據的充分性與可靠性;
(3)管理層進行風險評估的技術能力;
(4)成本效益的考核與衡量等。
3 審查風險評估方法應當遵循的原則
內部審計人員在評價風險評估方法的適當性和有效性時,應當遵循以下原則:
(1)定性方法的采用需要充分考慮相關部門或人員的意見,以提高評估結果的客觀性;
(2)在風險難以量化、定量評價所需數據難以獲取時,一般應采用定性方法;
(3)定量方法一般情況下會比定性方法提供更為客觀的評估結果。
(四)風險應對措施適當性和有效性審查
篇3
關鍵詞:風險管理審計 ;標準 ;內容
Abstract: The enterprise want to survive and development in the complicated business environment, it must strengthen risk management. Internal audit is an important means of enterprise risk management; risk management audit is the effective supervision on the operation status of the overall risk management mechanism. This paper firstly clarifies the definition of risk management audit, and expounds the risk management standards and content.
Keywords: risk management audit; standard; content
中圖分類號:F279.23
隨著經濟全球化發展,市場競爭越來越激烈,企業的經營環境更加充滿了不確定性,如何識別、控制和利用好風險,完善企業的內部控制制度,提高企業的風險管理水平,已成為當務之急。內部審計是企業風險管理的重要手段,開展企業風險管理審計,對企業的風險管理進行持續監督評價,已成為企業內部審計新的任務和轉型的必然之路。
一、風險管理審計的定義
風險是無法完全規避的,既然無法規避,就需要對其進行管理控制,管理控制的效益、效率、效果如何,就需要對其進行監督評價,就需要開展風險管理審計。所謂企業風險管理審計是指企業內部審計部門采用一種系統化、規范化的方法作為指引或導向,對企業風險管理進行評價、為企業風險管理提供咨詢,對企業風險管理提供合理保證的活動,其目的是提高企業風險管理效率、幫助企業實現風險管理目標、為企業增加價值。風險管理審計是全面風險管理體系的重要組成部分,屬于風險管理要素中的監控要素,主要負責對風險的持續監控、單獨評價和報告缺陷等。
二、風險管理審計的標準
1、風險管理審計評價標準。風險管理審計評價標準應參考并不固化于以下內容:一是COSO委員會新報告《企業風險管理框架》,它是在1992年COSO委員會頒布的內部控制框架基礎上,結合《薩班斯一奧克斯法案》在報告方面的要求,吸收各方風險管理研究成果基礎上提出的,具有一定的權威性并為大多數企業所接受;二是政府有關部門結合國情制定的企業風險管理指引等文件規定;三是企業結合本單位實際情況制定的風險管理制度;四是企業制定的發展戰略目標和風險管理目標;五是企業存在的潛在風險管理與內外部環境是否適應,是否影響企業持續經營;六是企業發生的風險損失大小與機會利用程度。
2、審計實務標準。開展企業風險管理審計要遵守國際內部審計師協會制定的《內部審計實務標準》,遵守中國內部審計協會制定的《內部審計準則》,它們“為開展并促進多種不同的,具有增值作用的內部審計活動制定了框架”,為內部審計提供了行為標準,是衡量內部審計工作質量的準繩,是開展內部審計工作的保障。因此,它同樣也是開展風險管理審計的實務標準,是開展風險管理審計的系統化、規范化的方法。
三、開展風險管理審計的主要內容
1、企業內外部風險管理環境。企業的內部風險管理環境是指建立、加強或削弱特定風險管理政策、程序及其效率的各種因素,是其他所有風險管理要素的基礎,是實施風險管理的有力保障,是影響企業風險管理目標實現的核心因素。企業的內部風險管理環境不僅影響企業戰略和目標的制定、業務活動的組織和對風險的識別、評估和反應,還影響企業控制活動、信息和溝通系統以及監控活動的設計和執行。風險從另一個側面也可以看作企業的運營對外部環境的不適應性。不掌握這種外部環境,缺乏足夠的外部信息資源,就難以識別并評價這種不適應性,對風險識別、評估也不會得出正確的結果。因此,企業的外部環境也同樣是風險管理審計的重要內容。
現行的審計準則,無不要求審計人員在組織審計實施時,深入調查了解被審計單位的情況,并把了解熟悉企業的內外部環境,作為確定審計范圍、審計重點、制訂和調整審計方案的前提,作為選擇審計策略的重要方法和途徑。這些要求對開展風險管理審計同樣是使用的,但是它不僅是做好風險管理審計的前提,更是風險管理審計的重要內容,如果把環境放在風險管理要素之外或僅對環境做一般了解,而不是作為一項審計內容深入檢查評價,就不可能從組織的頂端、以一種全局的風險組合觀來看待風險,就不可能找到風險管理缺失或失效的真正原因。
2、企業的風險管理制度是否健全有效。企業風險管理制度是企業員工在生產經營活動中進行風險管理共同遵守的規定和準則的總稱,如果沒有統一的規范性的風險管理制度,風險管理就不可能在企業管理制度體系正常運行下,企業的風險管理制度是否健全有效應作為一項重要審計內容。要通過風險管理制度的審計檢查,確認企業中的每個員工都能分享風險的概念,并在日常的生產經營中使用相同的風險語言。要通過制度檢查確信企業是否已建立風險管理機制,風險管理機制是否包含了風險管理各項要素,覆蓋了所有風險領域和風險種類,風險管理策略是否適當,風險管理體系是否健全,風險管理職責是否明確,風險管理文化是否具備、風險信息是否能夠及時溝通、風險是否能夠得到及時和持續監控等。
3、審查企業的風險管理體系是否健全并有效運作。一是企業是否建立和健全風險管理基本流程。主要包括收集風險管理信息、進行風險評估、制訂風險管理策略、提出和實施風險管理解決方案、對風險管理持續監督與改進等工作;二是企業是否建立了內部控制系統。是否圍繞風險管理戰略目標,針對企業內部的各項業務管理和重要業務流程存在的風險事項,制定并執行相關的規章制度、程序、政策和措施;三是企業是否建立風險管理組織體系。風險管理職責是否得到明確規定和履行。主要包括是否建立了規范的法人治理結構,是否設立了風險管理職能部門,各業務職能部門或生產經營單元是否執行風險管理職責,正確執行風險管理流程,內部審計或監督部門是否定期對風險管理進行指導、監督、檢查、評價等;四是企業是否建立了風險管理信息系統。建立了涵蓋風險管理基本流程、內部控制系統各環節和風險管理全部組織體系,風險管理信息能夠在各職能部門和業務單元之間集成與共享;五是企業是否建立風險管理文化系統;六是企業的風險管理要求是否融入到企業管理和業務流程當中。要通過審查風險管理體系,確認企業的風險管理是否全過程、全方位和全員、全要素的風險管理控制。
篇4
【關鍵詞】內部控制;企業風險管理;風險審計
一、企業風險管理
(一)企業風險管理概念
根據《企業風險管理框架》(簡稱ERM框架),“企業風險管理是一個過程。這個過程受董事會、管理層和其他人員的影響。這個過程從組織戰略制定一直貫穿到組織的各項活動中,用于識別那些可能影響組織的潛在事件并管理風險,使之在組織的風險偏好之內,從而合理確保組織取得既定的目標。”ERM框架有三個維度,第一維是組織的目標,包括戰略目標、經營目標、報告目標和合規目標;第二維是企業風險管理要素,包括內部環境、目標設定、事項識別、風險評估、風險反應、控制活動、信息和交流、監控;第三維是組織的各個層級,包括整個組織、各職能部門、各條業務線及下屬各子公司。ERM三個維度的關系是,企業風險管理的八個要素都是為組織的四個目標服務的;組織各個層級都要堅持同樣的四個目標;每個層次都必須從以上八個方面進行風險管理。企業風險管理定義直接關注組織目標的實現,并且為衡量組織風險管理的有效性提供了基礎。該定義強調:風險管理本身并不是一個結果,而是實現結果的一種方式;決定一個組織的風險管理是否有效是基于對風險管理要素設計和執行是否正確的評估基礎上的一個主觀判斷;該過程應應用于組織內部每個層次和部門,可以從一個組織的總體來認識,也可以從一個單獨的部門或多個部門的角度來認識;該過程是用來識別可能對組織造成潛在影響的事項并在風險偏好的范圍內管理風險。
(二)企業風險管理要素
1.內部環境。內部環境包含組織基調,是組織員工如何看待風險、對待風險的基礎,包括風險管理理念、風險偏好、正直和道德價值觀及工作環境,是其他所有風險管理要素的基礎,為其他要素提供規則和結構。管理當局是內部環境的重要組成部分,對其他內部環境要素有重要的影響,其職責是建立組織風險管理理念,確定組織的風險偏好,營造組織的風險文化,并將風險管理和相關的初步行動結合起來。
2.目標制定。組織先制定使命,在此背景下,管理層制定戰略和目標,并把目標逐層分解為戰略目標(高層次目標,和組織使命方向一致,并支持使命)、運營目標(有效且高效地使用資源)、報告目標(報告的可靠性)和合規目標(遵循適用的法律法規)。企業風險管理框架就是為實現組織目標服務,確保管理層參與目標制定流程,確保所選擇的目標不僅和組織使命方向一致,支持組織的使命,而且能夠保證制定的目標與組織的風險偏好相一致。
3.事項識別。事項既可能帶來消極后果,也可能帶來積極后果,或者帶來混合后果。消極后果的事項意味著風險,它會阻礙價值創造或破壞現有價值。積極后果的事項會抵消消極影響,或者帶來機會(所謂機會,就是事項如果發生,能促進目標的實現,能支持價值創造或價值的保存)。因此,管理者應識別影響組織目標實現的內外事項,分清風險和機會。企業風險管理能夠改善對交叉影響的有效反應,并能為各種風險提供統一的風險反應對策。
4.風險評估。識別和分析風險,考慮可能性和后果,在此基礎上決定應如何管理風險。風險評估可以使管理者了解潛在事項如何影響組織目標的實現。管理者應從兩個方面對風險進行評估――風險發生的可能性和影響。風險發生的可能性是指某一特定事項發生的可能性,影響則是指事項的發生將會帶來的影響。對于風險的評估應從組織戰略和目標的角度進行。
5.風險反應。風險反應是管理層選擇風險反應方式并制定一套措施把風險控制在組織的風險容忍度和風險偏好之內。風險反應可以分為規避風險、減少風險、共擔風險、接受風險和利用風險。規避風險是指采取措施退出會給組織帶來風險的活動。減少風險是指減少風險發生的可能性、減少風險的影響或兩者同時減少。共擔風險是指通過轉嫁風險或與他人共擔風險,降低風險發生的可能性或降低風險對組織的影響。接受風險則是不采取任何行動而接受可能發生的風險及其影響。利用風險是把風險看作機會,利用可能發生的風險及其影響。對于每一個重要的風險,組織都應考慮所有的風險反應方案。
6.控制活動。控制活動是幫助保證風險反應方案得到正確執行的相關政策和程序。控制活動存在于組織的各部分、各個層面和各個部門,通常包括兩個要素:確定應該做什么的政策和影響該政策的一系列程序。
7.信息和溝通。識別、分析和溝通來自于組織內部和外部的相關信息,必須以一定的格式和時間間隔進行確認、捕捉和傳遞,以保證組織的員工能夠執行各自的職責。有效的溝通包括組織內上傳、下達和平行的溝通,還包括將相關的信息與組織外部相關方進行有效溝通和交換。
8.監控。監控是指評估風險管理要素的內容和運行以及一段時期的執行質量的一個過程。組織可以通過兩種方式對風險管理進行監控――持續監控和個別評估。持續監控和個別評估都是用來保證組織的風險管理在組織內務管理層面和各部門持續得到執行。
二、風險管理審計
(一)風險管理審計的目標
風險管理審計是指勝任的專職機構和專業人員對組織內部風險管理程序、風險反應、管理制度及機制的合理性、有效性進行獨立的審查和評價過程。風險管理審計的根本目的是最大限度地增加組織價值。
審計目標是回答“通過審計要證明什么”的理論問題,是審計行為的出發點,是審計工作的指南,也是審查和評價審計內容所期望達到的境地和最終結果。審計目標體系由總目標、一般目標和項目目標構建。
(二)風險管理審計的內容
審計內容是回答“審計什么”的問題。根據ERM框架中的要素,風險管理審計的內容主要包括:
1.風險管理程序的科學性和合理性,主要包括風險管理開發階段所制訂的風險管理框架結構的內容;風險管理試探階段所實施風險管理框架結構的內容;風險管理回顧階段所豐富并增強風險管理框架結構的內容;風險管理展開階段所推廣并實施風險管理框架的情況;風險管理支持階段所需要提供的各種基礎組織以及服務。
2.風險反應的周密性和可行性,主要包括風險反應計劃的周密性(如有否考慮風險的可規避性、可轉移性、可減少性、可接受性);風險應對策略的可行性(如是否采取了風險控制、風險自留、風險轉移)。
3.風險管理制度的合法性和完善性,主要包括風險管理制度的合法性(如建立風險管理制度是否經過充分論證);風險管理體制的完善性(如考核評價體制和責任追究制度是否健全)。
4.風險管理機制的結構性和盡責性,主要包括高層管理人員和重要崗位業務人員的風險管理理念及對風險管理的重視程度;風險管理人員的結構和素質;全員風險管理的情況。
(三)風險管理審計的程序
1.審計規劃階段,包括選定被審計對象和制定風險管理審計計劃。被審計對象選定工作包括識別被審計對象的策略、識別潛在被審計對象和排列被審計對象的順序。制定風險管理審計計劃包括制訂財務風險管理、生產風險管理、市場風險管理、會計風險管理、人事風險管理和其他風險管理審計計劃,確定風險管理審計的位置和背景。
2.審計測評階段,包括風險的分析、評估和監控。(1)分析風險。審計人員應對風險跡象進行深入了解、描述和記錄,并對風險的可能性和發生頻率進行分類。風險可能性分析結果一般有“很少的”、“不太可能的”、“可能的”、“很可能”、“基本確定”等類別,風險發生頻率分析結果一般可分為“高頻率、高損害風險”,“高頻率、低損害風險”,“低頻率、低損害風險”,“低頻率、高損害風險”等類別。(2)評估風險。審計人員應分析風險的成因及其影響,并確定風險程度及等級。風險程度一般分為“極高”、“高”、“中等”、“低”和“極低”等級別。風險概率用風險發生可能性的百分比表示,風險量=風險概率×風險損失量。(3)監控風險。審計人員應對可能發生的風險和損失進行跟蹤檢查。跟蹤已識別風險的發展變化情況,包括在整個項目生命周期內,風險產生的條件和導致的后果變化,作出減緩風險的方案,調險管理計劃。
3.審計報告階段,包括匯總審計結果、出具審計報告和追加后續審計。(1)匯總審計結果,包括審計現狀、標準、差異、原因和建議等部分。如審計建議中對損失大、概率大的災難性的風險要避免;對損失小、概率大的風險,可采取措施來降低風險量;對損失大、概率小的風險,可通過保險或合同條款將責任轉移;對損失小、概率小的風險,可采取積極手段來控制。(2)出具審計報告,包括標題、收件人、正文、附件、簽章、報告日期等基本要素。審計報告正文部分主要內容有:審計目標、風險概況、審計依據、審計結論、審計評價和審計建議等。(3)追加后續審計。ERM是一個動態的過程,審計測試應與之相協調,追加后續審計顯得重要。后續審計應將重點放在最嚴重的問題上,相關部門是否予以糾正,若不糾正,責任和原因到底在哪兒;對一般事項可僅限于詢問和簡短的討論。
【參考文獻】
[1] 朱榮恩,賀欣.內部控制框架的新發展――企業風險管理框架[J].審計研究,2003,(6).
[2]中國內部審計協會.內部審計理論與實務[M].中國石化出版社,2004.
篇5
「關鍵詞 企業風險 風險管理 風險管理審計
由于各種不確定性因素,企業面臨著各種風險,能否對風險進行有效的管理和控制,是企業能否生存發展、實現企業預期目標的關鍵。企業風險管理的有效性在一定程度上取決于企業對風險管理工作的監督和評價。因此,無論是國際內部審計師協會對內部審計的定義,還是我國的內部審計準則都強調了內部審計在企業風險管理中的重要性。我國從2005年5月1日起施行的內部審計具體準則第16號———《風險管理審計》中更是強調了內部審計人員對風險管理進行審查和評價的職責。
一、企業風險及風險管理的內涵
進行企業風險管理審計,必須明確企業風險及風險管理的內涵。否則,企業風險管理審計便無從談起。
1 企業風險的實質
首先,風險產生于不確定性因素的存在,如果企業運行的內外環境是確定的,則不存在企業風險。其次,企業運行環境的不確定性帶來了企業運行結果的不確定性。一般來說,我們更注重企業的運行結果,對預期結果的實現與否及可實現程度的大小成為了衡量企業風險大小的現實標準。因此,可以認為,企業風險則是企業運行結果偏離期望結果的可能性。筆者認為,企業目標是企業期望達到的一種結果狀態,但由于相關因素的持續不斷的變化,企業目標的實現存在不確定性。因此,企業風險可以描述為企業目標不能得以實現的可能性。
2 企業風險的劃分
企業風險可以按多種標準進行分類。筆者認為,既然將風險定義為企業目標不能得以實現的可能性,那么,企業風險可以按照企業目標的不同層次來理解和劃分,并可將其相應劃分為:
(1)企業的戰略風險是指企業戰略目標不能實現的可能性,主要包括:由于對有關影響因素的分析不夠充分或對未來的變化沒能合理預計而帶來的企業在總體戰略選擇環節的失誤風險;由于企業的具體戰略選擇失誤而帶來的風險,包括企業經營領域的選擇風險、企業并購風險等。
(2)企業日常經營管理風險是指企業具體經營目標不能實現的可能性,又可以劃分為企業經營環節的作業鏈風險,如企業供、產、銷等環節的風險;企業的人事風險,如由于人員任用、授權、業績評價等方面的缺陷帶來的風險;企業的信息風險,如企業信息系統風險等。
(3)財務風險。狹義一般是指由于企業籌措資金而形成的風險,并主要是指企業由于舉債而形成的風險,也可稱之為籌資風險。按照本文對風險的定義,即企業目標不能實現的可能性,則企業的財務風險是指企業財務活動目標不能得以實現的可能性,包括籌資風險、資金投放的風險及企業其他財務活動風險,我們可以稱之為廣義的財務風險。
3 企業風險管理
COSO于2004年頒布的《企業風險管理框架》中指出“企業風險管理是一個過程,它由董事會、管理當局和其他人員執行,應用于戰略制訂并貫穿于企業之中,旨在識別可能會影響主體的潛在事項,管理風險以使其在風險容量之內,并為主體目標的實現提供合理保證。”
我國內部審計協會2005年的內部審計具體準則16號—《企業風險管理審計》中指出“風險管理,是對影響組織目標實現的各種不確定性事件進行識別與評估,并采取應對措施將其影響控制在可接受范圍內的過程。風險管理旨在為組織目標的實現提供合理保證。”
從上述對風險管理的解釋可以看出,企業風險管理的最終目標是為企業目標的實現提供合理的保證。
二、企業風險管理審計的目標
對企業風險管理進行監督和評價是現代內部審計發展的結果,企業風險管理審計的目標取決于對企業內部審計的功能定位。
從西方企業內部審計的產生和發展過程來看,內部審計是隨著經濟的發展,企業內部管理層次的增多和控制范圍的擴大,基于企業內部經濟管理與監督的需要而產生的,并隨著管理的需要而不斷發展。隨著內部審計的不斷發展,內部審計的目標也在不斷地變化,其中以國際內部審計師協會(IIA)對內部審計所下定義的變化最具有代表性。國際內部審計師協會(IIA)理事會指出內部審計是一種獨立、客觀的保證和咨詢活動,其目的是增加組織的價值和改善組織的經營。
我國的內部審計不是在企業內部管理需要的動因下發展起來的,而是在政府的要求下,在國家審計部門的推動下建立起來的。1993年國家審計署成立,為了盡快建立和完善審計體系,補充剛剛復興的國家審計力量的不足,政府和政府審計機構都極力敦促內部審計的組建。但隨著我國經濟體制的不斷改革發展,企業內部審計越來越受到各方面的重視,對內部審計的理解也發生了較大的變化。我國的內部審計基本準則指出:內部審計是組織內部的一種獨立客觀的監督和評價活動,它通過審查和評價經營活動及內部控制的適當性、合法性和有效性來促進組織目標的實現。
從內部審計的發展過程可以看出,企業內部審計的目標在于幫助企業實現目標。企業內部審計的目標決定了企業風險管理審計的目的在于:通過內部審計機構和人員對企業風險管理過程的了解,審查并評價其適當性和有效性,提出改進建議,促進企業目標的實現。
三、企業風險管理審計的內容
風險管理包括組織整體及職能部門兩個層面。內部審計人員既可對組織整體的風險管理進行審查與評價,也可對職能部門的風險管理進行審查與評價。因此,筆者認為企業風險管理審計應當包括以下方面的內容:
(一)風險管理機制的審查與評價
企業的風險管理機制是企業進行風險管理的基礎,良好的風險管理機制是企業風險管理是否有效的前提。因此,內部審計部門或人員需要審查以下方面,以確定企業風險管理機制的健全性及有效性。包括:
1 審查風險管理組織機構的健全性。企業必須根據規模大小、管理水平、風險程度以及生產經營的性質等方面的特點,在全體員工參與合作和專業管理相結合的基礎上,建立一個包括風險管理負責人、一般專業管理人、非專業風險管理人和外部的風險管理服務等規范化風險管理的組織體系。該體系應根據風險產生的原因和階段不斷地進行動態調整,并通過健全的制度來明確相互之間的責、權、利,使企業的風險管理體系成為一個有機整體。
2 審查風險管理程序的合理性。企業風險管理機構應當采用適當的風險管理程序,以確保風險管理的有效性。
3 審查風險預警系統的存在及有效性。企業進行風險管理的目的是避免風險、減少風險,因此,風險管理的首要工作是建立風險預警系統,即通過對風險進行科學的預測分析,預計可能發生的風險,并提醒有關部門采取有力的措施。企業的風險管理機構和人員應密切注意與本企業相關的各種內外因素的變化發展趨勢,從對因素變化的動態中分析預測企業可能發生的風險,進行風險預警。
(二)風險識別的適當性及有效性審查
風險識別是指對企業面臨的,以及潛在的風險加以判斷、歸類和鑒定風險性質的過程。內部審計人員應當實施必要的審計程序,對風險識別過程進行審查與評價,重點關注組織面臨的內、外部風險是否已得到充分、適當的確認。筆者認為應當包括以下內容:
1 審查風險識別原則的合理性。企業進行風險評估乃至風險控制的前提是進行風險識別和分析,風險識別是關鍵性的第一步。
2 審查風險識別方法的適當性。識別風險是風險管理的基礎。風險管理人員應在進行了實地調查研究之后,運用各種方法對尚未發生的、潛在的、及存在的各種風險進行系統的歸類,并總結出企業面臨的各種風險。風險識別方法所要解決的主要問題是:采取一定的方法分析風險因素、風險的性質以及潛在后果。
需要注意是,風險管理的理論和實務證明沒有任何一種方法的功能是萬能的,進行風險識別方法的適當性審查和評價時,必須注重分析企業風險管理部門是否將各種方法相互融通、相互結合地運用。
(三)風險評估方法的適當性及有效性審查
內部審計人員應當實施必要的審計程序,對風險評估過程進行審查與評價,并重點關注風險發生的可能性和風險對組織目標的實現產生影響的嚴重程度兩個要素。同時,內部審計人員應當充分了解風險評估的方法,并對管理層所采用的風險評估方法的適當性和有效性進行審查。
內部審計人員應當對管理層所采用的風險評估方法進行審查,并重點考慮以下因素:
(1)已識別的風險的特征;
(2)相關歷史數據的充分性與可靠性;
(3)管理層進行風險評估的技術能力;
(4)成本效益的考核與衡量等。
3 審查風險評估方法應當遵循的原則
內部審計人員在評價風險評估方法的適當性和有效性時,應當遵循以下原則:
(1)定性方法的采用需要充分考慮相關部門或人員的意見,以提高評估結果的客觀性;
(2)在風險難以量化、定量評價所需數據難以獲取時,一般應采用定性方法;
(3)定量方法一般情況下會比定性方法提供更為客觀的評估結果。
(四)風險應對措施適當性和有效性審查
內部審計人員應當實施適當的審計程序,對風險應對措施進行審查。
