风险管理与内部审计

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

风险管理与内部审计
摘要:本文对风险管理与内部审计的关系以及内部审计参与风险管理的优势和内部审计部门如何开展风险管理审计进行了初步
探讨。

关键词:风险风险管理内部审计风险管理审计风险导向审计
一、风险及风险的分类
国际标准化组织将风险定义为不确定性对目标的影响。

这种影响可能是正面的使组织获得收益的因数,也可能是负面的导致组织损失发生的因数。

狭义的企业风险则是指企业经营过程中客观存在的有碍于组织目标实现的威胁因数。

根据风险的来源不同,可以将企业风险分为企业内部风险和企业外部风险,也可以分类为环境风险、决策风险和过程风险。

中国国资委发布的《中央企业全面风险管理指引》将企业风险划分为五大类:市场风险、战略风险、运营风险、财务风险、法律风险。

因此对企业来说,相对来说比较难以掌控。

二、风险管理与内部控制、内部审计之间的关系
从风险管理的定义可以看出,风险管理既是一种管理方法,也是一项系统工程,需要全员参与并包括风险识别、评估和控制等环节;风险管理的目标不是完全彻底的消除风险,而是通过各种手段,如风险避免、风险控制、风险转嫁、风险保留与承担、风险保险等,将风险控制在企业可以接受的范围之内。

美国企业风险管理与内部控制、内部审计之间的关系,可以概括为三句话:风险管理与内部控制、内部审计分别实施,紧密结合;内部控制是风险管理的一种措施或手段;内部审计是以经营管理中的重大风险或内部控制中的薄弱环节为目标,以风险评估结果为导向实施的检查行为,是基于风险评估结果展开的。

有效的风险管理一般具有七个特征:
(一)风险管理是管理者的职责
风险管理必须由管理层实施并贯穿于日常决策和企业所有经济业务。

(二)风险管理必须涉及所有部门并涵盖所有业务
通常情况是,企业各部门各司其职,业务管理方面相互隔离,缺乏统一联系。

风险管理要求企业打破部门和业务之间的相互分割,建立统一的风险管理框架,并在确定的框架下制定相关流程、制度,协调实施风险管理。

(三)风险管理要分类进行
企业应根据各自的业务和管理特点,确定各自的风险类别,根据风险的轻重缓急程度,制定相应管控措施。

(四)风险管理强调对薄弱环节的管理
通常情况是,经营管理的薄弱环节是企业管理不到位、风险较高的环节,薄弱环节的风险累积有可能对企业造成实质性的损害和危机。

(五)风险管理要考虑风险的联系和交互作用
单个负面事件会引发一系列事件的连锁发生,从而带来非常严重的负面效应。

“屋漏偏逢连夜雨,船迟又遇打头风”说的就是这种情形;
(六)风险管理应该融入并成为企业文化
企业文化是生产力,是推动企业持续、健康发展和提升竞争力的强大精神动力。

企业风险管理只有融入并成为企业文化,才能具有长久的生命力,成为企业的一项长效机制。

企业管理层应在各种场合不断宣讲风险管理理念和制度,使企业真正做到未雨绸缪,居安思危。

(七)风险管理不仅要重视规避风险,还要注重创造价值
风险不仅会造成损失,同时也能带来收益。

企业管理层在选择规避风险的同时,不应一味的躲避风险,应善于从现有的风险中发现为企业创造价值的机会。

从风险中发现能为企业创造增加价值的机会,是许多成功的企业管理者不断创造企业神话,带领企业从成功走向辉煌的必由之路。

三、内部审计在企业风险管理中的独特优势
(一)内部审计在风险识别和评估过程中的优势
内部审计作为企业有效治理、风险管理和内部控制不可或缺的一部分,参与风险管理既是内部审计职业发展的要求,也是企业发展的需要。

企业相关职能部门如人力资源、合同管理部门等,只能对其所管理的领域或经济事项的某一阶段的固有风险进行识别和管理,内部审计部门的优势在于,首先,内部审计不仅可以涉及企
业的组织结构、工作流程和经营战略等领域,而且可以监控经济业务管理的整个过程;其次,内部审计不仅重视会计信息,而且重视经济信息、产业信息和财务信息等。

内部审计的独特地位和专业知识使其可以通过对所掌握的企业经营过程中所表现出来的各个方面的风险进行汇总、归纳、综合分析和提升,发现企业内部存在的共性问题、体制和机制层面的缺陷和风险,进而从根本上解释和评估风险管理措施,提高风险管理的有效性。

(二)内部审计在风险信息沟通和风险管理系统监控中的优势由于企业职能部门和内部组织直接参与企业内部经营和风险管理,出于对单位和部门自身利益的考虑,企业职能部门和内部组织有可能不会将其所掌握的所有风险毫无保留的上报到董事会和管理层,进而由于信息沟通不畅造成过程控制风险。

内部审计部门直接向董事会或总经理负责的机制决定了内部审计部门不存在像职能部门和内部组织那样的小团体利益,因而可以在其职责范围内,较好的完成其他管理部门不能完成的风险监控和风险信息沟通职能。

四、内部审计在企业风险管理中的作用
在企业风险管理框架下,内部审计是风险管理的函数,是对风险管理的再管理。

内部审计参与风险管理的途径有两种:即风险管理审计和风险导向审计。

两者既各有区别相互依存。

内部审计部门在全面深刻地了解被审计单位的剩余风险的基础上,重点关注妨碍组织目标实现的高风险领域,合理设计进一步实质性审计程序的范
围、重点和方法,并合理分配审计资源,提出改进措施和建议,做到既能保持审计效果,又能提高审计效率。

两者的联系在于都是以企业内部控制中的风险管理为审计对象,在两者的相互关系中,风险管理审计是风险导向审计的基础,详尽而精准的风险管理审计为风险导向审计指明了审计方向,明确了审计重点,是成功风险导向审计的必要条件。

同时,风险导向审计是对风险管理审计的进一步延伸,在风险管理审计的基础上,风险导向审计对企业剩余风险较大的领域进行重点审计,提出进一步减少或降低风险的措施和建议,提高企业风险管理水平,为企业目标的实现提供合理保证。

内部审计部门可以从以下方面开展风险管理审计:
(一)分析风险环境,识别风险事件
风险环境是指是指妨碍组织经营目标实现的经营环境,既包括法律、政治和经济等外部风险环境,也包括企业的风险偏好与风险文化、诚信与道德价值、管理理念与经营风格、组织结构与权责划分等内部风险环境。

内部审计部门通过对经营环境及其变化的详细分析,观察同行业内其他企业的经营状况及整个市场的经营风险水平,加上内部审计人员独特的专业知识和技术,可以独立的推断企业存在的潜在重大风险,并比较全面客观地判断企业的固有风险以及剩余风险。

(二)评估风险级别
风险管理通常要求采用风险评级和计分的方法进行风险评估,并根据量化的风险水平对风险进行排序。

内部审计人员需要从客观
的角度分析风险的假设条件、计算方法的适当性来评价风险。

对一些难以客观量化的风险,内部审计人员则需要凭借职业判断,采用主观估计判断风险发生的可能性。

内部审计对风险的评估不仅要看概率,而且要看影响程度。

如果只关注概率,低概率的事件有可能会被忽略。

但低概率风险暗含的突发因素可能会在某种情况下发生相互联系的、不断演变的连带反应,使事件变得越来越严重。

(三)评估风险控制的有效性
对于经过识别和评估后的风险,企业都要经过风险与收益的权衡,作出接受、规避或分散风险的决策。

当风险超过企业的风险偏好,企业不能接受或无法经济有效的加以抑制,为避免风险带来的负面影响,企业有可能采取放弃该项目或计划的做法。

对于大部分风险,企业需要采取一定的控制行动,将不可接受的固有风险转化为可接受的剩余风险。

内部审计部门需要采取各种方法,如分析性复核和详细测试程序,对企业采取的风险控制及管理活动进行分析,评估企业风险回避的合理性、减少风险措施的有效性,是否出现了新的风险等。

分析时应考虑:组织内是否对风险达成共识;影响组织保值增值的主要风险是否被识别;风险分析是否围绕可能性和影响程度、弱点、发展速度与相互依存等;不同的情况是否被评估和进行了负荷测试;是否着手影响因素分析并制定应急计划;风险评估及降低风险计划及步骤;与谁沟通、沟通周期及沟通的有效性;剩余风险是否
在可接受水平;是否有审批高风险决定的政策、程序并遵照执行;董事会和执行管理层是否对风险管理活动满意等。

(四)风险信息沟通
内部审计部门从评价各职能部门的内部控制制度入手,查找各领域的管理漏洞,以独立第三方的身份验证信息的准确性和及时性,对风险环境中出现的新的风险和变化作出职业判断,对企业风险管理过程的效率性、效果性进行独立评价,并以审计报告的形式定期向董事会或审计委员会报告组织内存在的剩余风险以及风险是否得到有效管理的信息。

值得注意的是,内部审计部门通过风险管理审计和风险导向审计参与企业风险管理,但并不参与风险管理程序的建立和运行过程,而是在企业已有风险管理的基础上实施再监督,目的在于促进风险管理过程的建立健全和风险管理的有效性。

相关文档
最新文档