您的当前位置:首页正文

风险管理在内部审计年度计划制定中的运用

2024-06-26 来源:个人技术集锦

风险管理在内部审计年度计划制定中的运用

风险管理在内部审计年度计划制定中的运用摘要:风险管理是近年来兴起的一门新兴科学,其成果风险管理整合框架对内部审计有着极大的指导作用,本文从风险管理提出的风险识别、风险评估及风险控制的理念出发,将其风险管理理念引入内部审计年度计划制定当中,旨在发挥内部审计在风险防范和控制方面的作用,从而推动审计工作向科学化方向发展。关键词:风险管理;审计计划

一、风险管理风险管理自被提出以来,一直主要应用于金融领域。而企业的风险管理大范围受到重视仅近30年,其发展历程大致为:20世纪70年代,企业风险管理只是单一的信用风险管理;20世纪80年代,企业风险管理主要是针对投资风险和财务风险的分散和回避;进入20世纪90年代,企业越来越重视风险和风险管理,全面风险管理等被提出并付诸实践。1992年,COSO(CommitteeofSponsoringorganization)委员会了内部控制整体框架,在此基础上,该委员会于2004年提出了企业风险管理整合框架(企业风险管理简称ERM),认为企业风险管理是一个过程,由企业的董事会、管理层和其他人员共同参与实施,应用于企业战略制定和企业内部的各层次和部门,贯穿于企业之中;风险管理的目的在于识别可能对企业造成潜在影响的事项,并在风险偏好范围内管理风险,以将其限制在风险容忍度内,为企业实现目标提供保证。ERM风险管理框架的要素“内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控”,实际就是对风险管理过程的诠译,在这八个要素中,事项识别、风险评估、控制活动及监控与内部审计有直接的关系。基于以上分析,得出风险管理的基本理念就是识别风险、评估风险和控制风险,这与近年来倡导的风险导向审计理念有共同之处。风险管理活动应该贯穿于内部审计工作的全过程,特别是年度审计计划的制定更应体现对企业风险的控制,将有限的审计资源重点投放到高风险的领域。

二、内部审计在风险管理中的作用国际内部审计师协会(IIA)认为内部审计是一种独立、客观的确认和咨询活动,它通过应用系统、规范的方法,评价并改善组织的风险管理、控制和治理过程的有效性,帮助组织实现目标。显而易见,随着客观环境的发展,内部审计已将评价和改善组织的风险管理作为其重要职能之一,内部审计人员必须树立风险理念,将风险识别、评价和控制融入到实际工作中。按照COSO的ERM报告,在风险管理过程中,内部审计机构和人员的职责是应用一定的风险管理方法和审计方法,检查风险管理过程的充分性和有效性,评估风险是否得到有效控制,且以报告形式提出意见,为管理层及审计委员会提供帮助。虽然COSO和IIA都强调了内部审计在风险管理中具有重要的地位和作用,但我们也发现,事实上无论IIA还是COSO都没有对内部审计如何具体参与企业风险管理作出相应的阐述。针对企业的风险管理的具体情况来看,内部审计参与风险管理是一个逐步发展的过程,在不同的阶段中,内部审计工作的侧重点各有不同。企业未建立风险管理机制时,作为职能部门,内部审计应积极向管理层提出建立风险管理机制的建议。提请管理层关注风险。并且内部审计工作计划应该是在风险分析的基础上制定。如果企业管理层提出建立风险管理机制的要求,内部审计部门可以通过咨询服务的方式,积极协助企业风险管理过程的建立,内部审计人员可以运用对企业内部情况比较了解的优势和专业知识,从独立客观的角度为审计委员会和管理层提供有价值的咨询服务。内部审计可以通过指导管理层和相关业务部门对风险进行识别与评估,明确管理层的风险偏好和风险容忍度,并相应地做出风险应对等方式来协助管理层建立风险管理机制,促进企业的风险管理水平的提高。如果企业建立了风险管理机制,内部审计就可以将对风险管理的评价作为审计工作的内容之一,以检查、评价企业对风险管理的适当性和有效性。内部审计人员应当对风险识别过程、风险评估的方法、风险应对措施进行审查与评价,审查评价风险管理过程的充分性适当性和有效性,并对于风险管理过程存在的问题提出改进建议。ERM将企业的内部审计人员推上非常重要的地位,认为内部审计人员可以通过对管理者风险管理过程的充分性、适当性和有效性进行监控、检查、评估、报告和提出改进建议来帮助管理层和董事会履行其职责。实际工作中,内部审计通常并不将企业的风险管理过程作为一个专门审计项目予以开展,其原因在于风险管理措施、手段与企业的内部控制整体不可分割,因此内部审计参与风险管理仍然体现在项目选择和项目实施中。其中项目选择更加突出体现风险管理理念,项目选择实质上就是年度审计计划的制定。可以说,将风险管理理念和方法融入内部审计年度审计计划的制定是科学合理的选择。

三、运用风险管理理念制定年度审计计划的基本原理及方法国际内部审计实务公告第20102:“审计计划对风险和风险的暴露的关注”强调首席审计执行官应该制定以风险为基础的计划,以确定内部审计活动重点。具体方法是在风险评估和风险暴露优先次序的基础上安排审计工作。根据以上论述,我们认为如果企业已经建立起风险管理机制并开展了风险管理工作,则内部审计完全可以利用其成果,有针对性地选择审计重点;如果企业尚未建立风险管理机制,则内部审计可以按照风险管理的理念和思路开展风险识别、风险评估等工作,并以此为基础制定年度审计计划,确定审计重点。风险识别是风险管理中的关键和难点,如何识别风险也是审计计划制定过程中的关键起点。这里我们充分利用传统的审计风险控制模型来和内部控制评价理论来确定风险识别的方法。传统审计风险模型认为,审计风险=固有风险控制风险检查风险,当审计师可接受的审计风险水平确定时,固有风险、控制风险与检查风险成反比例关系,也就是说当审计师识别了高固有风险和高控制风险领域,那么其检查风险就会降低。显然识别风险就是要识别固有风险和控制风险,但在实际操作中,固有风险与控制风险往往相伴相生,我们通常并不将其分开识别和评估。同时考虑到内部控制评价对企业业务流程的分解和评价与这里的风险识别和评估有着共同特点,因此我们可以参照内部控制评价方法细化流程中的控制环节,针对各个控制环节识别并评估固有风险和控制风险的高低,这将大大降低风险识别的盲目性。具体步骤是根据内部控制评价体系的基础资料,制定风险评估方案,进行风险识别、风险调查、风险专业判断、风险评估及报告和实际运用(制定审计计划),当然对固有风险和控制风险的评估结果并不是制定审计计划的唯一依据,通常还须结合审计资源等情况,综合考虑和权衡。

四、实际运用中需要注意的问题1.在风险识别环节,根据经验和内部控制评价方法来选择风险环节的科学性,是否存在遗漏其他高风险环节,这方面需要在实践中不断完善。2.在风险调查环节,风险管理是全员参与的过程,风险识别调查范围必须有一定的宽度,选择的调查点须具有代表性。另外,调查方式方法的选择及调查内容的设计,对调查的被接受性和调查结果的准确性必然产生很大的影响,因此调查的方式方法选择要避免走过场式的随意性,调查内容的设计要易于理解,不会让被调查者产生歧义。3.在风险判断环节,如何把握风险测定的因素和标准的完整性准确性、专业判断的科学性,需要根据企业发展的实际情况不断完善。综上所述,随着审计环境的变化,运用风险管理理念制定年度审计计划不仅是一种有益的尝试,更是的提高效率、合理化科学化的必然选择。风险管理理念的融入必将使内部审计年度计划的制定更加具有针对性,使内部审计部门能够更加合理地配置有限的审计资源,将审计工作重点转向高风险领域,从而使企业的内部控制达到事半功倍的效果,反过来也必将推动内部审计工作不断向科学化方向发展。参考文献:1朱XX,贺X.内部控制框架的新发展企业风险管理框架-COSO委员会新报告企业风险管理框架简介J.审计研究,2003(6).2高岩芳.ERM框架影响下的内部审计的新发展J.内蒙古财经学院学报,2005(5).3赵XX.内部审计与风险管理J.广东行政学院学报,2011(4).4聂彦军.风险导向审计模式在央行信息技术审计中的应用J.理财,2013(2).

显示全文