风险管理审计
管理信息系统术语
风险管理审计是由内部审计始发而来,是沿着内部审计和管理实践两条道路发展而来的。
基本定义
企业风险管理审计是指企业内部审计部门采用一种系统化、规范化的方法来进行以测试风险管理信息系统、各业务循环以及相关部门的风险识别、分析、评价、管理及处理等为基础的一系列审核活动,对机构的风险管理、控制及监督过程进行评价进而提高过程效率,帮助机构 实现目标。
是指审计人员在对被审计单位的内部控制充分了解和评价的基础上,运用一定的审计手段,分析,判断被审计单位的风险所在及其程度,针对不同风险因素状况,程度采取相应的审计策略,加强对高风险点的实质性测试,将内部审计的剩余风险降低到可接受水平。
产生原因
现代企业面临的高风险经营环境引起企业对内部审计需求的变化是风险管理审计产生的内部背景,而审计外部化趋势侵蚀内部审计生存的职业空间是风险管理审计产生的外部背景。企业有许多风险点,需要对风险点进行专门审计,这便产生了风险管理审计。
审计特点
审计目标
确定企业战略目标,风险管理策略及相应的经营风险(固有风险)并评价企业是如何实施风险管理有效性从 而实现企业目标。
审计策略
①了解企业战略,经营及价值目标,以及经营行为。 识别实现该目标以及其经营行为的主要固有风险。②了解企业的风险管理策略及风险管理措施。③评价企业的风险管理措施,并有效地将风险降至可接受水平。④关注风险管理缺口的有效性。
测试方法
实质性测试与符合性测试相结合, 其运用取决于企业风险管理的有效性。
管理建议
识别出每个风险关键点所存在的风险管理缺口。
风险管理审计吸收了其他审计模式的优点,同时又关注到企业的战略、绩效等整体风险管理的有效性,其不 仅考虑到审计师可接受的剩余审计风险, 更是从审计固有风险源头,即企业管理层所进行的风险管理活动的角度 识别并评价风险,从而才能更一步地从 审计师及企业管理层双角度确保审计资源的分配及审计的有效性。
主要区别
根据原安达信公司专业人士Paul Sobel, 在其于2003年所著的《Auditor’s risk manage-ment guide: integrating auditing and ERM》一书中的概括, 现代审计模式在过去五十年中经历了四大阶段,其分别是:控制基础审计、流程基础审计(又称经营审计)、风险基础审计(又称风险导向审计)、风险管理基础审计, 又称风险管理审计。那么企业风险管理审计模式与风险基础审计模式和控制基础审计模式的不同在于:
控制基础审计
(1)出发点不同。企业风险管理审计侧重审计风险管理政策与企业经营战略方针的矛盾统一,控制基础审计侧重测试企业经营的横向、纵向的制约与协调。
(2)审核目标不同。企业风险管理审计的目标是关注企业风险管理政策设计的适当性;执行的有效性;风险损失处理的合理性。控制基础审计的目标是关注内部控制制度设计的健全性、适当性;执行的有效性。
(3)审计方法不同。企业风险管理审计采用预警分析、专业判断、综合评价等方法。控制基础审计采用测试、分析、专业判断等方法。
区别
(1)含义不同。企业风险管理审计是审计主体通过对组织风险识别、风险程度的评价等工作的审计,评价风险政策、措施的适当性、执行的有效性的工作。风险基础审计体现着审计主体开展财务审计、绩效审计、控制审计等审计工作首先以测试组织的风险管理战略和风险管理为前提,根据对风险管理审计测试的结果,决定其他相应审计的范围、性质、程度和时间。
(2)侧重点不同。风险管理审计侧重对风险管理进行鉴证,而风险基础审计侧重于对会计信息质量的鉴证。
风险管理审计-开展风险管理审计工作应注意的问题 企业经营必然要面对许许多多的风险,这些风险有的相互叠加放大,有的相互抵销减少。因此,企业考虑风险时,必须根据风险组合的观点,从贯穿整个企业的角度看风险。要实行全面风险管理。这对于对风险管理进行再监督的风险管理审计来说是一种挑战。?
1.风险管理审计要与企业的各级风险管理组织相配合。开展企业风险管理审计要求内部审计工作超越企业内部各职能部门之间的间隔,实现全体的综合的和全员层次的行动进行综合的风险管理。在现代企业的风险控制方面,不少大中型企业一般建立三级的风险管理组织,即由企业高级管理层组成的风险控制委员会作为公司风险管理的最高决策机构;公司风险控制委员会领导下的内部审计及专职风险监管部门。内部审计部门通过常规审计及专项审计评估公司风险,对公司风险管理制度进行设计以及对各业务部门执行风险控制制度的有效性进行定期的检查,及时揭示和报告潜在风险,并提出防范风险及改进工作的建议。内部审计部门对公司总裁负责。各业务部门、业务支持部门和管理部门承担一线的风险控制职能,各部门负责人直接负责风险监控,内部审计部门要对其监控情况组织、指导、监管和控制质量进行评估。
2.以风险管理为核心,对公司治理、风险管理和内部控制进行整合。风险管理是与公司治理和内部控制交汇的核心。公司治理的核心职责就是要有确保公司应对风险的战略和措施,在公司治理中包含一些战略性的风险管理因素。公司治理的实施需要内部控制,为公司治理机制的运行提供保障。同样,风险管理的实施也需要内部控制,采用各种内部控制的方式与方法,实现有效的风险管理。因此,从一定程度上说公司治理和内部控制有着相同的目标:风险管理。内部审计以风险管理为核心进行整合中,以内部控制为手段,对风险管理和公司治理进行内部控制;内部控制和风险管理以公司治理为内容,即内部控制和风险管理的内容是公司治理的内容;内部控制和公司治理以风险管理为目标,风险管理的目标是提高企业的经济效益,因而内部控制和公司治理也是要以提高经济效益为目标。?
3.创新风险管理审计中的技术和方法,提高审计水平。随着信息技术的广泛应用,我国内部审计在风险分析、风险量化和应用计算机审计技术方与世界各国存在较大差距,审计效率成为内部审计在风险管理中发挥作用的挚肘。因此,迫切需要研制、开发兼容性强和功能完善的通用审计软件,从而实现审计效果与效率的统一,全面提高内部审计质量。
4.风险管理审计要注意提高审计人员的素质。企业风险管理审计对审计从业人员的业务素质提出了新的要求,首先,要求审计人员具备必需的管理学知识和经济学知识。如经济学、管理学、统计学、经济法、信息技术等。其次,要加强审计人员的业务素质建设,要加强审计队伍的理论建设,采取有效措施来改善内部审计人员的专业理论水平,如采取学历考试、职业技术资格考试、职称测评、外出培训及建立人员流动站等方式。然后,还要加强审计人员的职业道德教育,增强内部审计人员的责任感和使命感,树立廉洁勤政的观念,将审计部门;建成讲正气、讲学习的法治机构,这是保持审计人员独立性与权威性的基石。最后,按照国际标准,培养某一领域的专家,改变当前内部审计人员知识结构不合理、理论水平不高的现象。
5.辅助审计软件的使用与完善。现代风险导向审计方法中分析性程序占据非常重要的地位,辅助审计软件的使用在其中发挥着重要的作用。西方发达国家大量运用分析性程序的条件是辅助审计程序的开发和运用,它可以直接对数据库进行加工分析,依据软件模型自行处理数据,使运用分析性测试程序成为节约成本的重要手段。另外,采用审计软件使统计抽样的样本更具代表性,审计抽样风险可控,为风险导向审计提供了技术支持。我国在审计软件的开发和使用上不够理想,还有待提高,而且大部分注册会计师缺少相应的技术准备,在现阶段推行现代风险导向审计方法只能是一种愿望。
动因
风险管理审计动因概括为以下四点:
其一,企业面临的风险日益增大,减少企业面临的风险是组织实现目标的关键;
其二,内部审计对发展的渴求,使内部审计师把风险管理作为内部审计的重要领域;
其三,内部审计能够在风险管理中发挥独特的作用,包括管理风险、控制指导风险管理策略、加强管理当局对内部审计部门意见的重视程度;
其四,外部审计扩展了风险评估这项新的保证服务业务,这不能不对内部审计界产生影响。
企业内容
企业风险管理审计是指企业内部审计部门采用一种系统化、规范化的方法来进行以测试风险管理信息系统、各业务循环以及相关部门的风险识别、分析、评价、管理及处理等为基础的一系列审核活动,对机构的风险管理、控制及监督过程进行评价进而提高过程效率,帮助机构实现目标。它有其自身的特点:
1.审计目标:确定企业战略目标,风险管理策略及相应的经营风险(固有风险)并评价企业是如何实施风险管理有效性从而实现企业目标。
2.审计策略: ①了解企业战略,经营及价值目标,以及经营行为。 识别实现该目标以及其经营行为的主要固有风险。 ②了解企业的风险管理策略及风险管理措施。 ③评价企业的风险管理措施,并有效地将风险降至可接受水平。 ④关注风险管理缺口的有效性。
3.测试方法:实质性测试符合性测试相结合,其运用取决于企业风险管理的有效性。
4.管理建议:识别出每个风险关键点所存在的风险管理缺口。
企业风险管理审计吸收了其他审计模式的优点,同时又关注到企业的战略、绩效等整体风险管理的有效性,其不仅考虑到审计师可接受的剩余审计风险,更是从审计固有风险源头,即企业管理层所进行的风险管理活动的角度识别并评价风险,从而才能更一步地从审计师及企业管理层双角度确保审计资源的分配及审计的有效性。
企业风险管理审计应当包括以下方面的内容:
1.通过审查风险管理组织机构的健全性、风险管理程序的合理性、风险预警系统的存在及有效性确定企业风险管理机制的健全性及有效性:
2.通过审查风险识别原则的合理性、风险识别方法的适当性确定风险识别的适当性及有效性;
3.实施必要的审计程序,对风险评估过程进行审查与评价,并重点关注风险发生的可能性和风险对组织目标的实现产生影响的严重程度两个要素。同时,内部审计人员应当充分了解风险评估的方法,并对管理层所采用的风险评估方法的适当性和有效性进行审查。
准则
内部审计具体准则第16号——风险管理审计
第一章 总 则
第一条 为了规范内部审计人员对组织内部控制中的风险管理状况进行审查与评价,根据《内部审计基本准则》制定本准则。
第二条 本准则所称风险管理,是对影响组织目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的过程。风险管理旨在为组织目标的实现提供合理保证。
第三条 本准则适用于各类组织的内部审计机构、内部审计人员及其从事的内部审计活动。
第二章 一般原则
第四条 风险管理是组织内部控制的基本组成部分,内部审计人员对风险管理的审查和评价是内部控制审计的基本内容之一。
第五条 组织管理层负责确定可接受的风险范围,建立、健全风险管理机制并使之有效运行。
第六条 风险管理包括以下主要阶段:
(一)风险识别,即根据组织目标、战略规划等识别所面临的风险;
(二)风险评估,即对已识别的风险,评估其发生的可能性及影响程度;
(三)风险应对,即采取应对措施,将风险控制在组织可接受的范围内。
第七条 内部审计机构和人员应当充分了解组织的风险管理过程,审查和评价其适当性和有效性,并提出改进建议。
第八条 风险管理包括组织整体及职能部门两个层面。内部审计人员既可对组织整体风险管理进行审查与评价,也可对职能部门风险管理进行审查与评价。
第三章 风险管理的审查与评价
第九条 内部审计人员应当实施必要的审计程序,对风险识别过程进行审查与评价,重点关注组织面临的内、外部风险是否已得到充分、适当的确认。
第十条 外部风险是指外部环境中对组织目标的实现产生影响的不确定性,其主要来源于以下因素:
(一) 国家法律、法规及政策的变化;
(二) 经济环境的变化;
(三) 科技的快速发展;
(四) 行业竞争、资源及市场变化;
(五) 自然灾害及意外损失;
(六) 其他。
第十一条 内部风险是指内部环境中对组织目标的实现产生影响的不确定性,其主要来源于以下因素:
(一)组织治理结构的缺陷;
(二)组织经营活动的特点;
(三)组织资产的性质以及资产管理的局限性;
(四)组织信息系统的故障或中断;
(五)组织人员的道德品质、业务素质未达到要求;
(六)其他。
第十二条 内部审计人员应当实施必要的审计程序,对风险评估过程进行审查与评价,重点关注以下两个要素:
(一)风险发生的可能性;
(二)风险对组织目标的实现产生影响的严重程度。
第十三条 内部审计人员应当充分了解风险评估的方法。风险评估可以采用定性或定量的方法进行。
(一)定性方法,是指运用定性术语评估并描述风险发生的可能性及其影响程度。
(二)定量方法,是指运用数量方法评估并描述风险发生的可能性及其影响程度。
第十四条 内部审计人员应当对管理层所采用的风险评估方法进行审查,并重点考虑以下因素:
(一) 已识别的风险的特征;
(二) 相关历史数据的充分性与可靠性;
(三) 管理层进行风险评估的技术能力;
(四) 成本效益的考核与衡量;
(五) 其他。
第十五条 内部审计人员在评价风险评估方法的适当性和有效性时,应当遵循以下原则:
(一)定性方法的采用需要充分考虑相关部门或人员的意见,以提高评估结果的客观性;
(二)在风险难以量化、定量评价所需数据难以获取时,一般应采用定性方法;
(三)定量方法一般情况下会比定性方法提供更为客观的评估结果。
第十六条 内部审计人员应当实施适当的审计程序,对风险应对措施进行审查。根据风险评估结果作出的风险应对措施主要包括以下几个方面:
(一)回避。是指采取措施避免进行可产生风险的活动;
(二)接受。是指由于风险已在组织可接受的范围内,因而可以不采取任何措施;
(三)降低。是指采取适当措施将风险降低到组织可接受的范围内;
(四)分担。是指采取措施将风险转移给其他组织或保险机构。
第十七条 内部审计人员在评价风险应对措施的适当性和有效性时,应当考虑以下因素:
(一)采取风险应对措施之后的剩余风险水平是否在组织可以接受的范围之内;
(二)采取的风险应对措施是否适合本组织的经营、管理特点;
(三)成本效益的考核与衡量。
第十八条 内部审计人员应向组织适当管理层报告审查和评价风险管理过程的结果,并提出改进建议。
第十九条 风险管理的审查和评价结果应反映在内部控制审计报告中,必要时应出具专项审计报告。
第四章 附 则
第二十条 本准则由中国内部审计协会发布并负责解释。
第二十一条 本准则自2005年5月1日起施行。
最新修订时间:2022-03-24 16:50
目录
概述
基本定义
产生原因
参考资料