基本定義
企業風險管理審計是指企業內部審計部門採用一種系統化、規範化的方法來進行以測試風險管理信息系統、各業務循環以及相關部門的風險識別、分析、評價、管理及處理等為基礎的一系列審核活動,對機構的
風險管理、控制及監督過程進行評價進而提高過程效率,幫助機構 實現目標。
是指審計人員在對被審計單位的內部控制充分了解和評價的基礎上,運用一定的審計手段,分析,判斷被審計單位的風險所在及其程度,針對不同風險因素狀況,程度採取相應的審計策略,加強對高風險點的實質性測試,將內部審計的剩餘風險降低到可接受水平。
產生原因
現代企業面臨的高風險經營環境引起企業對內部審計需求的變化是風險管理審計產生的內部背景,而審計外部化趨勢侵蝕內部審計生存的職業空間是風險管理審計產生的外部背景。企業有許多風險點,需要對風險點進行專門審計,這便產生了風險管理審計。
特點
審計目標
確定企業戰略目標,風險管理策略及相應的經營風險(固有風險)並評價企業是如何實施風險管理有效性從 而實現企業目標。
審計策略
①了解企業戰略,經營及價值目標,以及經營行為。 識別實現該目標以及其經營行為的主要固有風險。②了解企業的風險管理策略及風險管理措施。③評價企業的風險管理措施,並有效地將風險降至可接受水平。④關注風險管理缺口的有效性。
測試方法
實質性測試與符合性測試相結合, 其運用取決於企業風險管理的有效性。
管理建議
識別出每個風險關鍵點所存在的風險管理缺口。
風險管理審計吸收了其他審計模式的優點,同時又關注到企業的戰略、績效等整體風險管理的有效性,其不 僅考慮到審計師可接受的剩餘審計風險, 更是從審計固有風險源頭,即企業管理層所進行的風險管理活動的角度 識別並評價風險,從而才能更一步地從 審計師及企業管理層雙角度確保審計資源的分配及審計的有效性。
區別
根據原安達信公司專業人士Paul Sobel, 在其於2003年所著的《Auditor’s risk manage-ment guide: integrating auditing and ERM》一書中的概括, 現代審計模式在過去五十年中經歷了四大階段,其分別是:控制基礎審計、流程基礎審計(又稱經營審計)、風險基礎審計(又稱風險導向審計)、風險管理基礎審計, 又稱風險管理審計。那么企業風險管理審計模式與風險基礎審計模式和控制基礎審計模式的不同在於:
控制基礎審計
(1)出發點不同。企業風險管理審計側重審計風險管理政策與企業經營戰略方針的矛盾統一,控制基礎審計側重測試企業經營的橫向、縱向的制約與協調。
(2)審核目標不同。企業風險管理審計的目標是關注企業風險管理政策設計的適當性;執行的有效性;風險損失處理的合理性。控制基礎審計的目標是關注內部控制制度設計的健全性、適當性;執行的有效性。
(3)審計方法不同。企業風險管理審計採用預警分析、專業判斷、綜合評價等方法。控制基礎審計採用測試、分析、專業判斷等方法。
區別
(1)含義不同。企業風險管理審計是審計主體通過對組織風險識別、風險程度的評價等工作的審計,評價風險政策、措施的適當性、執行的有效性的工作。風險基礎審計體現著審計主體開展財務審計、績效審計、控制審計等審計工作首先以測試組織的風險管理戰略和風險管理為前提,根據對風險管理審計測試的結果,決定其他相應審計的範圍、性質、程度和時間。
(2)側重點不同。風險管理審計側重對風險管理進行鑑證,而風險基礎審計側重於對會計信息質量的鑑證。
風險管理審計-開展風險管理審計工作應注意的問題 企業經營必然要面對許許多多的風險,這些風險有的相互疊加放大,有的相互抵銷減少。因此,企業考慮風險時,必須根據風險組合的觀點,從貫穿整個企業的角度看風險。要實行全面風險管理。這對於對風險管理進行再監督的風險管理審計來說是一種挑戰。?
1.風險管理審計要與企業的各級風險管理組織相配合。開展企業風險管理審計要求內部審計工作超越企業內部各職能部門之間的間隔,實現全體的綜合的和全員層次的行動進行綜合的風險管理。在現代企業的風險控制方面,不少大中型企業一般建立三級的風險管理組織,即由企業高級管理層組成的風險控制委員會作為公司風險管理的最高決策機構;公司風險控制委員會領導下的內部審計及專職風險監管部門。內部審計部門通過常規審計及專項審計評估公司風險,對公司風險管理制度進行設計以及對各業務部門執行風險控制制度的有效性進行定期的檢查,及時揭示和報告潛在風險,並提出防範風險及改進工作的建議。內部審計部門對公司總裁負責。各業務部門、業務支持部門和管理部門承擔一線的風險控制職能,各部門負責人直接負責風險監控,內部審計部門要對其監控情況組織、指導、監管和控制質量進行評估。
2.以風險管理為核心,對公司治理、風險管理和內部控制進行整合。風險管理是與公司治理和內部控制交匯的核心。公司治理的核心職責就是要有確保公司應對風險的戰略和措施,在公司治理中包含一些戰略性的風險管理因素。公司治理的實施需要內部控制,為公司治理機制的運行提供保障。同樣,風險管理的實施也需要內部控制,採用各種內部控制的方式與方法,實現有效的風險管理。因此,從一定程度上說公司治理和內部控制有著相同的目標:風險管理。內部審計以風險管理為核心進行整合中,以內部控制為手段,對風險管理和公司治理進行內部控制;內部控制和風險管理以公司治理為內容,即內部控制和風險管理的內容是公司治理的內容;內部控制和公司治理以風險管理為目標,風險管理的目標是提高企業的經濟效益,因而內部控制和公司治理也是要以提高經濟效益為目標。?
3.創新風險管理審計中的技術和方法,提高審計水平。隨著信息技術的廣泛套用,我國內部審計在風險分析、風險量化和套用計算機審計技術方與世界各國存在較大差距,審計效率成為內部審計在風險管理中發揮作用的摯肘。因此,迫切需要研製、開發兼容性強和功能完善的通用審計軟體,從而實現審計效果與效率的統一,全面提高內部審計質量。
4.風險管理審計要注意提高審計人員的素質。企業風險管理審計對審計從業人員的業務素質提出了新的要求,首先,要求審計人員具備必需的管理學知識和經濟學知識。如經濟學、管理學、統計學、經濟法、信息技術等。其次,要加強審計人員的業務素質建設,要加強審計隊伍的理論建設,採取有效措施來改善內部審計人員的專業理論水平,如採取學歷考試、職業技術資格考試、職稱測評、外出培訓及建立人員流動站等方式。然後,還要加強審計人員的職業道德教育,增強內部審計人員的責任感和使命感,樹立廉潔勤政的觀念,將審計部門;建成講正氣、講學習的法治機構,這是保持審計人員獨立性與權威性的基石。最後,按照國際標準,培養某一領域的專家,改變當前內部審計人員知識結構不合理、理論水平不高的現象。
5.輔助審計軟體的使用與完善。現代風險導向審計方法中分析性程式占據非常重要的地位,輔助審計軟體的使用在其中發揮著重要的作用。西方已開發國家大量運用分析性程式的條件是輔助審計程式的開發和運用,它可以直接對資料庫進行加工分析,依據軟體模型自行處理數據,使運用分析性測試程式成為節約成本的重要手段。另外,採用審計軟體使統計抽樣的樣本更具代表性,審計抽樣風險可控,為風險導向審計提供了技術支持。我國在審計軟體的開發和使用上不夠理想,還有待提高,而且大部分註冊會計師缺少相應的技術準備,在現階段推行現代風險導向審計方法只能是一種願望。
動因
風險管理審計動因概括為以下四點:
其一,企業面臨的風險日益增大,減少企業面臨的風險是組織實現目標的關鍵;
其二,內部審計對發展的渴求,使內部審計師把風險管理作為內部審計的重要領域;
其三,內部審計能夠在風險管理中發揮獨特的作用,包括管理風險、控制指導風險管理策略、加強管理當局對內部審計部門意見的重視程度;
其四,外部審計擴展了風險評估這項新的保證服務業務,這不能不對內部審計界產生影響。
企業內容
企業風險管理審計是指企業內部審計部門採用一種系統化、規範化的方法來進行以測試風險管理信息系統、各業務循環以及相關部門的風險識別、分析、評價、管理及處理等為基礎的一系列審核活動,對機構的風險管理、控制及監督過程進行評價進而提高過程效率,幫助機構實現目標。它有其自身的特點:
1.審計目標:確定企業戰略目標,風險管理策略及相應的經營風險(固有風險)並評價企業是如何實施風險管理有效性從而實現企業目標。
2.審計策略: ①了解企業戰略,經營及價值目標,以及經營行為。 識別實現該目標以及其經營行為的主要固有風險。 ②了解企業的風險管理策略及風險管理措施。 ③評價企業的風險管理措施,並有效地將風險降至可接受水平。 ④關注風險管理缺口的有效性。
3.測試方法:實質性測試與符合性測試相結合,其運用取決於企業風險管理的有效性。
4.管理建議:識別出每個風險關鍵點所存在的風險管理缺口。
企業風險管理審計吸收了其他審計模式的優點,同時又關注到企業的戰略、績效等整體風險管理的有效性,其不僅考慮到審計師可接受的剩餘審計風險,更是從審計固有風險源頭,即企業管理層所進行的風險管理活動的角度識別並評價風險,從而才能更一步地從審計師及企業管理層雙角度確保審計資源的分配及審計的有效性。
企業風險管理審計應當包括以下方面的內容:
1.通過審查風險管理組織機構的健全性、風險管理程式的合理性、風險預警系統的存在及有效性確定企業風險管理機制的健全性及有效性:
2.通過審查風險識別原則的合理性、風險識別方法的適當性確定風險識別的適當性及有效性;
3.實施必要的審計程式,對風險評估過程進行審查與評價,並重點關注風險發生的可能性和風險對組織目標的實現產生影響的嚴重程度兩個要素。同時,內部審計人員應當充分了解風險評估的方法,並對管理層所採用的風險評估方法的適當性和有效性進行審查。
準則
內部審計具體準則第16號——風險管理審計
第一章 總 則
第一條 為了規範內部審計人員對組織內部控制中的風險管理狀況進行審查與評價,根據《內部審計基本準則》制定本準則。
第二條 本準則所稱風險管理,是對影響組織目標實現的各種不確定性事件進行識別與評估,並採取應對措施將其影響控制在可接受範圍內的過程。風險管理旨在為組織目標的實現提供合理保證。
第三條 本準則適用於各類組織的內部審計機構、內部審計人員及其從事的內部審計活動。
第二章 一般原則
第四條 風險管理是組織內部控制的基本組成部分,內部審計人員對風險管理的審查和評價是內部控制審計的基本內容之一。
第五條 組織管理層負責確定可接受的風險範圍,建立、健全風險管理機制並使之有效運行。
第六條 風險管理包括以下主要階段:
(一)風險識別,即根據組織目標、戰略規劃等識別所面臨的風險;
(二)風險評估,即對已識別的風險,評估其發生的可能性及影響程度;
(三)風險應對,即採取應對措施,將風險控制在組織可接受的範圍內。
第七條 內部審計機構和人員應當充分了解組織的風險管理過程,審查和評價其適當性和有效性,並提出改進建議。
第八條 風險管理包括組織整體及職能部門兩個層面。內部審計人員既可對組織整體風險管理進行審查與評價,也可對職能部門風險管理進行審查與評價。
第三章 風險管理的審查與評價
第九條 內部審計人員應當實施必要的審計程式,對風險識別過程進行審查與評價,重點關注組織面臨的內、外部風險是否已得到充分、適當的確認。
第十條 外部風險是指外部環境中對組織目標的實現產生影響的不確定性,其主要來源於以下因素:
(一) 國家法律、法規及政策的變化;
(二) 經濟環境的變化;
(三) 科技的快速發展;
(四) 行業競爭、資源及市場變化;
(五) 自然災害及意外損失;
(六) 其他。
第十一條 內部風險是指內部環境中對組織目標的實現產生影響的不確定性,其主要來源於以下因素:
(一)組織治理結構的缺陷;
(二)組織經營活動的特點;
(三)組織資產的性質以及資產管理的局限性;
(四)組織信息系統的故障或中斷;
(五)組織人員的道德品質、業務素質未達到要求;
(六)其他。
第十二條 內部審計人員應當實施必要的審計程式,對風險評估過程進行審查與評價,重點關注以下兩個要素:
(一)風險發生的可能性;
(二)風險對組織目標的實現產生影響的嚴重程度。
第十三條 內部審計人員應當充分了解風險評估的方法。風險評估可以採用定性或定量的方法進行。
(一)定性方法,是指運用定性術語評估並描述風險發生的可能性及其影響程度。
(二)定量方法,是指運用數量方法評估並描述風險發生的可能性及其影響程度。
第十四條 內部審計人員應當對管理層所採用的風險評估方法進行審查,並重點考慮以下因素:
(一) 已識別的風險的特徵;
(二) 相關歷史數據的充分性與可靠性;
(三) 管理層進行風險評估的技術能力;
(四) 成本效益的考核與衡量;
(五) 其他。
第十五條 內部審計人員在評價風險評估方法的適當性和有效性時,應當遵循以下原則:
(一)定性方法的採用需要充分考慮相關部門或人員的意見,以提高評估結果的客觀性;
(二)在風險難以量化、定量評價所需數據難以獲取時,一般應採用定性方法;
(三)定量方法一般情況下會比定性方法提供更為客觀的評估結果。
第十六條 內部審計人員應當實施適當的審計程式,對風險應對措施進行審查。根據風險評估結果作出的風險應對措施主要包括以下幾個方面:
(一)迴避。是指採取措施避免進行可產生風險的活動;
(二)接受。是指由於風險已在組織可接受的範圍內,因而可以不採取任何措施;
(三)降低。是指採取適當措施將風險降低到組織可接受的範圍內;
(四)分擔。是指採取措施將風險轉移給其他組織或保險機構。
第十七條 內部審計人員在評價風險應對措施的適當性和有效性時,應當考慮以下因素:
(一)採取風險應對措施之後的剩餘風險水平是否在組織可以接受的範圍之內;
(二)採取的風險應對措施是否適合本組織的經營、管理特點;
(三)成本效益的考核與衡量。
第十八條 內部審計人員應向組織適當管理層報告審查和評價風險管理過程的結果,並提出改進建議。
第十九條 風險管理的審查和評價結果應反映在內部控制審計報告中,必要時應出具專項審計報告。
第四章 附 則
第二十條 本準則由中國內部審計協會發布並負責解釋。
第二十一條 本準則自2005年5月1日起施行。