《如何开展风险导向内部审计.doc》由会员分享,可在线阅读,更多相关《如何开展风险导向内部审计.doc(9页珍藏版)》请在三一办公上搜索。
1、如何开展风险导向内部审计XXXX公司内容摘要文章从审计方法发展的角度认识风向导向内部审计的概念,从内审机构的职能内外两方面论述开展风险导向审计的必要性,着重以内审机构如何识别企业风险、评估风险来分析如何进行风险导向审计,在内审中推进风险导向审计的建议。关键词风险导向审计;内部审计;风险识别;风险评估引言新任审计长刘家义在南京发表的演讲中提出审计本质的新观点审计是“国家经济运行的免疫系统”,强调现阶段审计的工作重点之一是“揭示重大体制性障碍,促进建立健全富有活力的体制和运行机制”。今年新疆油田分公司领导要求内部审计机构加快审计转型,强调对潜在的风险进行前瞻和评估。那么,内部审计机构开展风险导向审
2、计就有其必要性和现实意义。本文就如何开展风险导向内部审计谈谈自己的看法。一、 从审计方法的发展角度认识风险导向内部审计的概念随着社会经济的发展变化,西方审计方法适应审计环境的变化经历了三个发展阶段:一是审计发展早期的帐项基础审计,二是从1950年起的以内部控制为重点的制度基础审计,三是1970年以后一种以风险防范为基础的风险导向审计。风险导向内部审计也正在国内兴起。风险导向内部审计是指内审人员在审计过程中自始至终都以企业风险分析评估为导向,根据量化的分析水平排定审计项目优先次序,依据风险确定审计范围与重点,并以此为前提制定符合被审计单位具体情况的审计计划。对企业的风险管理、内部控制和治理程序进
3、行评价,进而提出建设性意见和建议,协助企业管理风险,实现企业价值增值的独立、客观的签证和咨询活动。这里的风险不是单纯意义的审计风险,而是指企业生产经营过程中面临的各种企业风险。账项基础审计重在详细检查,因而是滞后的;制度基础审计将重心移到控制风险,向前迈进了一步;风险导向审计则将重心再次前移。风险导向审计从战略风险入手,通过经营环境- 经营产品- 经营模式- 风险分析的基本思路,克服了制度基础审计简化的认知模式,在源头上和宏观上判断和发现企业风险存在的重大错报。将环境变量引入审计风险模型的同时,也意味着现代审计确立了战略审计观。二、 内部审计机构进行风险导向审计的必要性1、 风险导向审计是内部
4、审计职能发展的方向。国际内部审计师协会对内部审计职能有如下明确定义:“内部审计是一项独立的、客观的保证和咨询活动,其目的在于为组织增加价值并提高组织的运作效率。它采取系统化和规范化的方法,对风险管理、控制和治理过程进行评估和改善,从而帮助组织实现其目标”。由此可见,风险导向审计正好符合内部审计职能的变化,要求内部审计人员运用现代的审计方法,识别企业面对的各种风险,为企业管理者提供有关的分析、评价和建议,以减少和控制风险,确保企业目标的实现。2、 有效利用内部审计资源的需要目前,某些企业内部审计部门在选择审计项目、确定审计目标、范围和审计重点时,尚缺乏对企业风险的全面考虑和系统分析,还停留在审计
5、方法发展的前两个阶段。结果是把过多的精力投入到了一些细枝末节或无关紧要的问题上,而忽视了对重大风险的应有关注。这种模式不利于内部审计资源的有效配置和内部审计工作的有效开展。而在风险导向审计模式中,对被审计单位的了解,对内部控制的研究与评价,分析性复核都关注较高风险领域,而对低风险的领域较少关注,因此,可以有效地降低审计风险,减少效率较低的细节测试工作,大大提高审计效率,优化内部资源的配置。内部审计部门参与企业风险管理,进行风险导向审计有其自身的优势。内部审计部门是企业的一个重要的部门,对企业各方面的管理比较熟悉,对企业面临的风险因素比较了解,有利于将内部审计资源与企业风险控制相结合;内部审计部
6、门具有相对的独立性,受单位主要负责人直接领导,可以全面、客观地识别风险并将风险评估结果直接向总经理汇报,减少了相应环节,可以及时引起管理当局的高度重视。三、 如何进行风险导向的内部审计按照审计流程,风险导向内部审计就应该以风险导向为内部审计的理念去指导审计立项、计划编制到报告撰写,直至后续审计的整个审计过程。(一) 以风险为导向进行审计立项,编制审计计划。1、收集企业风险,识别企业风险。内部审计机构应广泛、持续不断地收集与被审企业相关的风险以及和风险管理有关的信息。内部审计人员可以通过以下渠道获取关于风险的相关信息:一是风险自我评估结果。风险自我评估中,风险评估工作的主体是各级管理人员,内部审
7、计部门只负责组织、协调、记录和监督工作。组织方式可采用访谈、座谈、发放调查问卷等形式。当然,风险自我评估结果有多大的可信度,在最终风险评估结果中所占比重大小等都需要内部审计人员根据具体情况作出分析判断。二是以前年度内控测试和内部审计的结果。三是审计人员的分析性复核结果,即审计人员通过对一些指标的统计分析得出的关于重要风险环节的判断。 下面谈谈几方面主要企业风险:战略风险方面,应了解战略风险构成要素及相关信息。战略风险是指企业战略的变化引起回报的变化,涉及到不可知的冒险,并可能导致企业的破产,强调战略风险产生于战略制定的过程中,战略环境、战略定位、企业的资源和竞争能力、企业领导者构成了企业的战略
8、风险形成因素。了解企业战略环境应收集企业政治经济环境、技术环境、行业市场环境等信息。了解企业的战略资源应熟悉企业管理资源、技术资源、市场资源、资产资源、人力资源等信息。了解企业的竞争能力应收集企业管理控制能力、技术创新能力,市场营销能力、战略管理能力等信息。还应了解企业领导的风险偏号、风险接受程度等信息,编制战略定位、规划、计划、目标的有关依据。战略风险的任一构成因素发生变化,都有可能影响目标的实现而产生战略风险。财务风险方面,应深刻分析企业财务风险失控引发的案例并注意收集以下重要财务信息:偿债能力负债、或有负债、资产负债率,流动比率,资产获利能力总资产报酬率、成本费用利润率,产品存货及其占销
9、售成本的比重、应收帐款与其购货额的比重,企业的制造成本、管理费用、财务费用、营业费用,成本核算、资金结算和现金管理业务中曾发生或易发生错误的业务环节,与企业相关的会计政策、会计估算等信息。 市场风险方面,应关注市场的瞬息万变,收集与企业相关的市场信息:产品的供求状况及价格变化,能源及原材料供应状况,主要客户的信用状况,竞争对手的状况,国家的税收政策及利率、汇率变化等。经营风险方面,了解经营风险概念并收集企业相关信息。经营风险指企业内部管理混乱、销售不畅、费用超高,股东撤资、银企关系不协、客服不到位、资产沉淀,造成资不抵债或亏损的困境。收集以下信息:产品结构、新产品研发,新市场开发、市场营销策略
10、,企业组织效能、管理现状、企业文化,对现有业务流程和信息系统操作运行情况的监督、运行评价及持续改进能力、企业风险管理的现状和能力等。2、进行风险评估。在充分了解企业风险的基础上,就需要对风险进行评估。内部审计人员应用各种管理科学技术,采用定性和定量分析相结合的方式,预测风险的大小,找出主要风险源,合理评价风险可能产生的影响。风险评估是风险导向审计的重点和难点。为此,应设计一套详细的风险评估流程和一个合理的风险评估模型,为风险评估工作提供操作指南。风险评估的标准可参考股份公司风险评估规范、COSO企业风险管理框架和ISO/IEC 15408-1999(等同GB/T 18336-2001)。风险评
11、估流程可参见下图(安全风险评估流程):第一阶段资产识别与评估第二阶段威胁识别与评价薄弱点识别与评价已有安全控制第三阶 段风险评估(测量与等级划分) 风险评估原则 第四阶段保持已有控制 yes接受 No选择控制目标与控制方式实施风险评估原则有:标准性原则,风险评估理论模型的设计和具体实施应该依据国内外相关的标准进行;规范性原则,风险评估的过程以及过程中涉及到的文档应该具有很好的规范性,以便于项目的跟踪和控制;可控性原则,在风险评估项目实施过程中,应该按标准的项目管理方法对人员、组织、项目进行风险控制管理,以保证风险评估在实施过程中的可控性;保密性原则,评估过程应该与组织机构签订相关的保密协议,以
12、承诺对组织机构内部信息的保密。风险评估模型可参见下图(安全风险评估模型):资产评估(影响分析)资产信息 威胁评估 威胁信息风险评估分析风险信息脆弱性评估脆弱性信息3、根据风险管理策略进行风险导向审计立项,编制审计计划。对上述风险评估资料,内部审计人员应进行汇总整理和综合分析,根据企业不同业务特点确定企业风险偏号、风险承受程度和风险管理策略进而进行风险导向审计立项,编制审计计划。如企业愿意承担、喜好高风险,管理风险的水平高,则应以高风险项目进行审计立项,测试实际的控制能力能否切实管理这些风险,内部审计人员关注的是风险管理的效果。(二)以风险为导向实施审计项目以风险为导向实施审计项目,就必须重视项
13、目的审前调查和审计实施方案的编制工作。审前调查工作是对前述审计计划编制中风险评估工作的深化和细化。审计实施方案的编制应以审前调查的结果为依据,细化审计步骤,根据取得信息适时调整风险评估结果。如抽取样本的比例应以样本风险的高低确定样本的多少并保证抽取样本的随机性,并要运用审计人员的专业判断提高审计的质量。(三)、以风险导向撰写审计报告以风险导向的内部审计报告应该强化对风险管理效果的评价结论和建议。对提出的审计建议应提请被审计单位注意权衡得与失、利与敝,不能纯以规避风险而放弃发展机遇或片面追求利益而忽视风险。提请相关领导人推进风险导向审计成果在更大范围更高层次上的共享,以吸取教训、由点到面、举一反
14、三、建章立制。四、 推进风险导向审计在内审中运用的几点建议1、转变内部审计观念,充分发挥内部审计在风险管理中的作用。内部审计人员要跟上时代潮流,转变审计观念,以有效促进内部审计事业的发展。一切事物都处在不断的发展、变化中,我们必须用发展的观点来观察处理一切事物。随着现代公司制企业的迅速兴起,内部审计不再仅是强化控制、提高控制效率和效果,应该转向规避风险、转移风险和控制风险,通过风险管理的有效化,提高企业整体管理效率和效果。审计部门应该帮助企业有效地使用资源、持续改进业务流程、建立强有力的风险控制文化氛围和确保企业遵守相关法律法规,通过这些活动使审计部门在企业内成为关键部门并为企业带来增值。2、
15、从制度设计上给内审人员进行风险导向审计提供支持。现在,企业内审部门从传统的审计方法转型为风险导向审计,审计工作有一定的难度。比如,内审部门作为企业的监督部门而不是企业的职能管理部门,风险信息渠道的来源就需要相关部门的密切配合。内部审计应渗透到内部控制的各个环节,要触及到整个组织的政策制定、执行和报告的全过程,触及到整个组织的结构,触及到组织工作的所有程序、环节。这就需要通过一定的制度设计,树立内部审计部门的权威并将内部审计职能嵌入到组织过程的方方面面。这样,内部审计的风险导向审计才能发挥最大功效。 3、提高内部审计人员的自身素质。根据国际内部审计师协会内部审计标准说明规定,内部审计师应具备财务
16、、会计、企业管理、统计、计算机、概率、线性规划、审计、工程、法律等各方面的知识,以保证执业质量。而目前我国企业内审人员有的只掌握某一方面的知识,导致企业内部审计人员知识结构不合理,缺乏必要的审计专业知识和技巧或缺乏与生产、经营、管理相关的知识和经验。应完善内部审计人员的结构和后续教育体制,加强内部审计队伍的建设,与时俱进,理论与实践相结合,进一步提高内审人员素质。内部审计人员要掌握一定的信息技术,了解信息技术的基本原理,熟悉企业的信息系统的操作,懂得如何运用计算机进行审计。参考文献1、苏永通外界众议新审计长刘家义:需要政治家的智慧勇气 ,新华网2、祝爱民战略风险构成要素及形成机理,现代管理科学3、刘闻欢风险评估分析与实践,eNet硅谷动力4、武怀玉风险评估定量与定性的分析方法,新华网5、石爱中在审计署怀柔干部培训基地上的讲话内部审计应发挥第一道防线作用, 5月中国审计报。
