《风险管理审计研究》word版.docVIP

风险管理审计研究XXXX公司 【内容摘要】公司风险管理从来没有像现在这样受到广泛的关注和重视，人们认识到只有建立一套完整的风险管理系统，才能彻底解决管理不当的问题。在这一系统中，内部审计是必不可少的组成部分。本文从公司管理与内部审计的核心风险管理的角度出发，研究内部审计如何在风险管理中发挥作用。 【关键词】风险 管理 控制 治理 一、风险管理审计的概念及发展 风险管理审计是内部审计实施的一种类型，是对组织各级管理部门在风险管理过程中职责的履行情况进行的审查和评价，其核心是识别风险并设计控制风险的方法，将没有预计到的未来事项的影响控制在最低程度。对风险管理，首先，要求在组织中发现那些高风险暴露的领域，对高风险暴露点的识别要通过对组织的分析进行，这种分析既包括审计人员客观的测试，也包括主观的判断。其次，将分析的结果与认为可接受的风险水平相比较。最后，实施必要的变革，使组织的风险暴露水平与其所设定的目标相一致。 顺应内部审计理论及实务的变化，国际内部审计师协会（IIA）在1999年对内部审计重新定义，即“内部审计是用来增加组织价值和改善组织运营的独立、客观的保证和咨询活动。它以系统的、专业的方法对风险管理、控制及治理过程的有效性进行评价和改善，帮助组织实现其目标。” 这一新定义将内部审计的范围延伸到风险管理，认为内部审计是针对风险管理、控制及治理过程的有效性进行评价和改善所必需的。 二、内部审计风险管理审计的内容和范围内部审计的对象是经营活动和内部控制，风险管理是内部控制的要素之一，内部审计机构和内部审计人员必须将组织的风险管理作为主要的工作内容，在充分了解风险管理过程的基础上审查和评价其适应性和有效性。在评价的同时提出改进建议以帮助组织管理层建立适当、有效的风险管理机制。风险管理包括：1、风险识别，即根据组织目标、战略规划等识别所勉励的风险；2、风险评估，即对已识别的风险，评估其发生的可能性及影响程度；3、风险应对，即采取应对措施，将风险控制在组织可以接受的范围内。内部审计具体准则第16号风险管理审计中就要求内部审计机构和人员应当充分了解组织的风险管理过程，审查和评价其适应性和有效性，并提出改进建议。国际内部审计实务也要求：内部审计活动应帮助机构发现并评价重要的风险因素、帮助改进风险管理与控制体系。由于风险管理包括组织整体和职能部门两个层面，而组织不同层面所面临的风险也表现出多样性的特点，因此内部审计人员既需要对组织整体风险管理进行审查与评价，也应该对各职能部门风险管理进行审查与评价。 三、内部审计风险管理职能的体现 风险管理是内部审计的主要职责，现代内部审计除了关注传统的内部控制之外，更加关注有效的风险管理机制，在风险导向内部审计的观念下，年度审计计划与公司最高层的风险战略连接在一起，内部审计人员通过对当前的风险分析确保其审计计划与经营计划相一致，使用风险管理原则改变审核过程。风险管理成为组织中的关键流程，促使内部审计的工作重点转向分析、确认、揭示关键性的经营风险，对组织经营活动重大差异和内部控制重大缺陷进行审查等。但是内部审计在组织风险管理中的地位和作用还不是特别明确，绝大多数内部审计机构还没有开展风险管理审计，可是，现在的实际情况是风险管理在组织内部的作用已经相当突出，风险管理已经贯穿于从组织战略目标的制定到目标最终实现的整个过程，包括组织目标、全面风险管理要素、组织的各个层级，涵盖内部环境、目标设定、事件识别、风险评估、风险反应、控制活动、信息和沟通、监控8个要素。组织对风险管理的日益重视是由于组织面临风险的日益加剧，而这些风险会在不同程度上对组织目标实现产生影响，组织虽然无法事先预知风险的程度和发生的概率等详细的确定信息，但是却可以采用风险管理的程序控制风险、管理风险，并将风险控制在可以接受的范围内，为组织目标的实现提供合理的保证。内部审计风险管理可以帮助组织各级管理部门更好的履行其在风险管理活动中的职责。由于风险审计的实施是针对组织内部控制的执行情况所进行的监督，因此可以更加及时地发现并消除风险点，将风险损失控制在最低限度，与此同时，通过风险管理审计还可以发现组织内部控制中的薄弱环节，以意提出改进建议，并通过后续审计监控内部控制的改善效果；内部审计人员在实施风险管理审计的同时还可以充当组织风险管理的培训人、顾问和策划人，以增强组织各级管理部门的风险意识和风险管理能力，促进和帮助更多的员工有效地参与风险管理，挖掘组织各方面的风险管理潜力；内部审计风险管理审计职能的履行也是组织资源优化配置的重要方式，通过内部审计风险管理审计职能的作用发挥，可以将组织内部有限的审计资源集中于高风险的领域，提高内部审计的质量和效率。内部审计强化其在风险管理审计方面的职能，内部审计已经不再是原来的“看门狗”和“效益的挖掘者”，而转变成为“风险的减少者”和“保险人”。在内部审计的职能定位发生了根本的转变。内部审计职能定位的改变也引发了其在基本特征、工作方式等方面的改变。内部审计思路和观念发生了改变，传统的内部审计更多地将关注点放在财务收支等相关资料上，风险管理的实施需要内部审计将关注点转移到组织面临的各种风险上来，其工作计划和工作方式也要以风险作为导向。、内部审计的工作重心发生了转移，传统的内部审计更加重视内部控制的审查，风险管理审计的实施要求内部审计将工作重心转移和扩展到所有的风险管理程序，风险管理审计的实施使得内部审计的方法更加科学和先进，它可以引导内部审计人员利用战略目标分析的结论确定风险关键点，进行风险评估，并采取有效的方式降低和消除风险。数学技术、统计和计算机的使用也进一步增强了内部审计的技术力量。风险管理审计职能的重新定位时的使得内部审计的目标更加明确，即揭示组织的各种风险因素，降低和防范各种风险，协助组织决策者和管理者达到预期的组织目标。四、内部审计风险管理审计的程序和方法1、对风险识别过程的审查与评价。内部审计人员应当实施必要的审计程序，对风险识别过程进行审查与评价，重点关注组织面临的内外部风险是否已得到充分、适当的确认。外部风险主要是指外部环境中对组织目标的实现产生影响的不确定性，主要来源于以下因素：国家法律、法规及政策的变化；经济环境的变化；科技的快速发展；行业竞争、资源及市场的变化；自然灾害和意外损失。内部风险主要是指内部环境中对组织目标的实现产生影响的不确定性，主要有以下因素：组织智力结构的缺陷；组织经营活动的特点；组织资产的性质以及资产管理的局限性；组织信息系统的故障或中中断；组织人员的道德品质、业务素质未达到要求。内部审计人员可以采取各种必要的审计程序审查与评价管理部门的风险识别过程，例如可以向管理层及相关人员询问该管理层所面临的风险状况，审查管理层在识别和评价风险时所形成的书面文件，运用分析性复合方法分析管理层对风险的评价是否充分合理，评价管理层针对风险状况采取的管理措施是否有效等。2、对风险评估过程的审查与评价。内部审计人员应当实施必要的审计程序，对风险评估过程进行审查与评价，重点关注两个方面的要素。凤险发生的可能性，即影响组织目标实现的不确定性事件成为现实的可能性；风险对组织目标的实现产生影响的严重程度，即影响组织目标实现的不确定性事件成为现实后给组织带来的影响方式及损失程度。为对管理层的风险评估过程进行审查与评价，内部审计人员应当充分了解管理层风险评估的方法。管理层对风险的评估可以采用定性或定量的方法进行，内部审计人员应当对管理层所采用的风险评估方法进行审查，并重点考虑以下因素。（1）已以识别的风险的特征。风险的特征不同所使用的评估方法也会不同，能够数量化的风险应使用定量方法，不能数量化的风险可以使用定性方法。（2）相关历史数据的充分性和可靠性。在风险评估中要大量使用历史数据，它们的质量特征对风险评估的有效性至关重要。（3）管理层进行风险评估的技术能力。因为定量方法的使用需要数量模型和现代信息技术，定性方法的使用也需要丰富的实践经验和判断能力，管理层的技术能力也是风险评估效果的影响因素。（4）成本效益的考核与衡量。任何评估方法都要耗费组织资源，管理层应该选择其效益能够大大超过其成本的评估方法。一般而言，定量方法复杂，成本较高，结果较为客观和准确，具有良好的效益；定性方法成本较低，含有大量的主观因素，效果缺乏客观性。3、对风险应对措施的审查与评价。内部审计人员对风险应对措施进行审查，根据风险评估结果做出的风险应对措施主要有以下几个方面：回避是采取措施避免进行可产生风险的活动，这是在风险评估结果表明风险发生的可能性较大时采取的应对措施；接受是由于风险已在组织可接受范围内，因而可以不采取任何措施；降低是采取适当措施将风险降低到组织可接受的范围内，如果风险评估结果表明风险发生的可能性较大，但该活动又是组织目标实现所必须进行的活动，组织就应该采取降低策略应对风险。降低是采取措施将风险转移各其他组织或保险机构。内部审计人员在评价风险应对措施的适当性和有效性时应考虑以下因素：采取风险应对措施后的剩余风险水平是否在组织可以接受的范围内，如果在组织可接受的范围内，就说明管理层采取的风险应对措施是有效的。采取风险应对措施是否适合本组织的的经营、管理特点，内审人员应充分评价组织的经营管理特点已对风险应对措施的适当性进行评估；成本效益的考核与考量，风险应对措施达到最佳效果并不是最好的措施，能够达到满意效果且成本又最低的措施才是最好的措施。4、风险管理审计报告在对管理部门采用的风险识别、评估过程和应对措施进行审查和评价后，内部审计人员应该向适当的管理层报告风险审查和评估的结果，并提出改进建议。适当的管理层应该是能够使报告结果引起足够重视的管理层，提出改进建议不仅是内部审计的职责，也是内部审计寻求增值的主要体现。五、内部审计风险管理与内部控制 1、内部控制与风险管理的联系日趋紧密。在决定内部控制政策，并在此基础上评估特定环境中内部控制的构成时，管理层应对诸多风险管理问题进行深入思考。比如：公司面临风险的性质和程度；公司可承受风险的程度和类型；风险发生的可能性；公司减少事故的能力及对已发生风险的影响；实施特殊风险控制的成本，以及从相关风险管理中获取的利益。执行风险控制政策是管理层的职责，在履行其职责的过程中，管理层应确认、评价公司所面临的风险，并执行内部控制政策。2、内部审计作为内部控制的重要组成部分，其在风险管理中发挥不可替代的独特作用，主要有以下几方面：能够客观地、从全局的角度管理风险。风险在企业内部具有感染性、传递性、不对称性等特征，即一个部门造成的风险或疏于风险管理所带来的后果往往不是由其直接承担，而会传递到其他部门，最终可能使整个企业陷入困境。因此对风险的认识、防范和控制需要从全局考虑，而各业务部门又很难做到这一点。内部审计人员不从事具体业务活动，独立于业务管理部门，这使得他们可以从全局出发、从客观的角度对风险进行识别，及时建议管理部门采取措施控制风险。控制、指导企业的风险策略。由于内部审计部门独立于企业的各个经营管理部门之外，内部审计人员能够充当企业长期风险策略与各种决策的协调人。通过对长期计划与短期计划的调节，内部审计人员可以调控、指导企业的风险管理策略。内部审计部门的建议更易引起重视。内部审计部门独立于管理部门，其风险评估的意见可以直接上报给管理层，这会加强管理当局对内部审计部门意见的重视程度。 六、内部审计风险管理与公司治理 目前，我国内部审计一般尚未与公司治理相结合，成为公司治理的有机部分，对风险管理也不够关注。为此，要逐步完善企业法人治理结构，明确企业外部和内部的委托代理关系，培养管理者的竞争意识和风险意识，形成内部审计的需求市场，为内部审计的发展创造良好的环境。同时，要顺应内部审计科学发展的客观规律，在实践中有意识地推动风险导向内部审计的发展。从强调确认和测试控制的完整性，逐步转向强调确认和测试风险是否得到有效管理；从传统的强调关注风险因素，逐步转向关注前景规划。内部审计的建议应不再仅是强化控制、提高控制效率和效果，而应该包括规避风险、转移风险和控制风险，通过风险管理的有效化，评价并改进组织的治理程序，提高公司整体的管理效率和效果。在新的内部审计范式下，内部审计参与到公司治理与风险管理中，帮助组织发现并评价重要的