现代企业风险管理审计实务研究
中 等 低 极 低 6 3 极轻微 轻微 中等 重大 灾难性
影响程度 图表15:风险矩阵图
如果说以风险评估为基础的审计计划更多地体现了企业整体层面的风险的话,其目的是确定全年审计范围和审计活动项目及先后顺序的话,那么,风险矩阵图的绘制更突出具体经营过程中的风险,是微观层面风险的显示,是审计计划执行的必然环节,是风险管理审计的深入。其目的是进一步确认审计业务本身面临的风险和风险的严重程度,以此为基础进一步明确审计实施阶段的审计内容和审计重点,如果必要的话,需要按照程序调整审计计划。
编制审计计划发生在审计准备阶段,绘制风险矩阵图发生在审计实施阶段。
(三)数字化的风险测试与风险评价
审计测试是审计实施阶段的主要内容,意味着通过将选择的项目变成证据。在风险管理审计中,内部审计师应获得足够的证据,确认企业风险管理目标是否实现。审计测试中通过运用抽样、观察、提问、
21
现代企业风险管理审计实务研究
分析、证实、调查与评估等方法获取有关风险的审计证据,并且揭示出它们的内在品质或特征,目的是为内部审计师形成审计意见提供基础。对内部控制制度进行测试,需要经过穿行测试和小样本测试两个主要阶段。其中,穿行测试可以通过两种途径达到:一是“凭证穿行测试”,即根据组织的记录来追踪整个活动过程;二是“程序穿行测试”,即由审计人员对活动的每一步进行一到两次的测试。穿行测试是从控制点的分析开始的,审计人员针对项目建设活动中的控制点,对项目建设活动分层进行测试。小样本测试的实质是选择少量的行为活动进行测试,其目的是检查内部控制制度实施的有效性程度,即实际活动效果是否达到了预期的目标。
上述两种测试方式依然适用于风险管理审计的测试。这一过程表现在风险管理审计的事实阶段,通过对审计活动风险的实质性测试,得出被审计业务风险情况的真实结论,并形成审计发现,为审计报告的编写奠定基础,提供数据和支撑。
(四)前瞻性的风险管理审计报告
在实施必要审计程序后,内部审计机构与人员应当整理相关工作底稿并编写审计报告。编写审计报告,是审计人员必需的一个技能,也是完整审计流程中的一个重要环节,我国内部审计协会在其颁布的《中国内部审计基本准则》、《内部审计具体准则第7号:审计报告》和《内部审计实务指南3号:审计报告》中对审计报告的格式、内容、类型、编写过程及相关要求等都有明确规定,本研究不再赘述。但是,
22
现代企业风险管理审计实务研究
与常规业务审计报告不同,因不确定性的存在,风险管理审计报告也存在“风险”。如何突出审计报告的前瞻性和可用性?如何体现不同使用者对风险管理审计报告的不同需求?如何降低风险管理审计报告的风险?诸多问题需要讨论和关注。
1、披露风险表现和风险排序。常规业务审计报告主要表达业务执行过程中在真实性、合规性和效益性方面存在的问题及原因分析等内容,而风险管理审计报告的内容应该披露被审计事项的风险点,并按照风险大小的程度进行排列,明确出重要风险和关键风险控制点。比如,采购业务的重要风险是舞弊风险,其后果是“质低价高拿回扣”,关键风险控制点是“供应商的选择环节(如招标投标等)”。
2、披露被审计单位对利用风险、防范风险的制度、措施及执行情况。常规业务审计报告一般不涉及这方面内容,但风险管理审计报告要从公司治理、内部控制和全面风险管理的整体系统中寻找与具体的风险防范、风险利用有关的规定,并表达这些规定执行的情况。
3、披露风险利用风险、风险防范的效果。重点表达风险转化、风险防范的成本、效率和效果,突出风险管理的绩效。
4、披露风险管理审计的方法、风险评价的条件和标准。结合被审计活动特点,使用恰当的方法和标准,是风险管理审计的必然要求。为提高审计信息的对称性,风险管理审计报告应该对这样的内容有所披露,这样也有助于降低审计报告的风险。
5、谨慎披露舞弊事项。舞弊是企业面临的主要风险之一,内部审计人员在舞弊审计中的责任是:保持职业警惕性和审慎性,在常规
23
现代企业风险管理审计实务研究
审计过程中注意发现舞弊线索,一旦迹象明朗,则要向组织内合适的部门(一般是纪检监察部门)和高管层、董事会报告。因为舞弊更多地涉及“人”的问题,所以,审计人员在对这部分事项报告时,要注意合法性,最好要咨询法律专家后再做适当披露,以降低越权或违法的风险。
6、前瞻性地规划提高风险管理质量的建议。常规业务审计报告的“审计建议”部分比较集中在“就事论事”的微观层面,就审计发现的问题,其审计建议一一对应,更有针对性。与之相比较,风险管理审计报告应该在微观建议的基础上,更加关注战略管理、方案选择等方面的建议,以便于指导被审计单位高管层今后能够更加重视企业风险管理工作,从根本上提高风险管理审计的增值功能。
四、案例导入
图表16:4家世界知名企业内部审计部门促进和帮助风险管理的做法
企业名称 风险管理审计实践简述(主要做法) 1、内部审计部门与风险管理部门合署办公; 2、将企业面临的风险分为27个类别,为每一类风险做出书面定义,在企业内,统一风险语言; Entergy 公司 3、内部审计部门为下属22个经营单位指派“教练”。经营单位负起全备注 美国面的风险管理责任,内部审计部门扮演平等的顾问角色,作用主要在于最大指导和影响; 4、22个业务单位的负责人年初向审计委员会主席及首席执行官提交风险管理责任书,声明对其自身业务的风险管理负责,并积极采取风险管理战略; 的电力公司之一 24
相关推荐:
loading