一、风险导向内部审计的产生
随着经济全球化、管理信息化、经营多元化,企业倾向于在更大程度上将决策权向中下层分散,以适应灵活多变的环境,这客观上为各级管理人员甚至一线操作人员提供了舞弊空间。美国忠诚与保证公司的调查显示:70%的公司破产是由于内控不力导致的。为了保证企业安全和持续发展,企业董事会和最高管理层普遍要求内部审计及时揭露显现与潜在的风险,提出防范和控制建议,并对审计风险承担一定责任,这样就促使内部审计部门必须面对企业整体或被审计单位的各种经营风险。风险导向内部审计这种多维和有效的审计模式便应运而生。
风险导向内部审计是企业内部审计师通过测试企业风险管理的有关方面(企业风险管理方针、策略和风险评价指标体系),对风险程度及管理情况作出专业判断,提出审计评价与建议,以实现企业运营目标。其根本目标是通过将风险与企业目标的实现直接联系起来,为公司治理层及管理层提供有价值的服务。
我国风险导向内部审计尚处于起步阶段,本文主要探讨风险导向内部审计在企业风险管理中的具体应用。
二、风险导向内部审计的具体应用
根据风险导向内部审计框架体系及其在企业风险管理中所承担的角色,从以下几个方面探讨风险导向内部审计的具体应用。
1.围绕经营目标,全面鉴别风险
内部审计人员应花大量的时间和精力与各级管理层沟通,充分了解被审计单位经营目标实施过程中的审计域和相关风险因素。审计域是指被审计职能确定为可检查和评估的项目、部门或制度。
至于相关的风险因素,应综合世界有关组织或团体内部审计机构的观点,结合被审计单位的情况具体分析。为实现规范化,应将具有代表性的审计域及其风险因素整理归档,形成数据库。
2.确认现有控制,判断剩余风险
在充分鉴别风险的基础上,内部审计人员要测试被审计单位现有内部控制(或企业风险管理政策和程序)的健全性和有效性,以确定哪些风险在现有控制框架下无法地得到防范和控制,即确定剩余风险。
由于风险是绝对的,审计资源是有限的,而且风险也可能给企业创造新的机遇,所以需要对剩余风险进行判断。当某种风险不能避免或因敢冒风险可获厚利时,审计部门可以建议被审计单位选择风险保留,否则,应进一步确定剩余风险的程度。
确定风险程度时应注意:
(1)关注的指标应至少包括风险可能性、损失程度、损失频率。
(2)应从定性和定量两个角度进行。强调定性分析,是因为有些因素不能直接计量(如审计对象对职业道德与操守的恪守程度等),但对判断风险偏好十分重要。
对于定性分析的风险因素应尽量采用模糊矩阵测评法,进行量化和归一化处理,以便将剩余风险按照相同的口径由高到低排序,确定风险优先级。
3.设置报警准则,实现风险预警
为了使企业风险管理由被动转为主动,应该通过预警的方式,使决策者对未来风险有所察觉,在风险事件真正发生之前,即对风险的成因进行控制,阻止风险事件的发生或使发生以后的损失减到最低。预警本身也是企业思维方式的转变。
风险预警系统应该包含两个重要的内容:预警指标和临界点。预警指标是预先发现不测事态征兆的指标;临界点则是一触即发的时点。
4.编制审计计划,优化资源配置
完善的风险审计计划,应该包括三个层次:年度审计计划、项目审计计划、审计方案。年度审计计划是配合长期和年度风险战略,对年度的风险审计任务所作的事先安排和规划,是企业年度工作计划的重要组成部分。年度审计计划应当具有一定的柔性(比如安排30%~40%的机动时间),以满足随时可能出现的战略需求。项目审计计划是对具体风险业务、项目或因素实施审计的全过程所做的综合安排。审计方案是指导现场审计达到审计目标的一套具体行动措施,一般包括从审计开始到结束的全部执行步骤。风险审计计划的上述三个层次应在可用审计资源上形成对接,以保证资源的最优配置。可用审计资源包括时间和人力资源两个方面。