审计实务
风险评估审计实务
添加日期:2014年04月10日
风险评估审计,就是对风险评估内部控制有效性的检查和评价。根据中国注册会计师审计准则的要求,注册会计师应当了解被审计单位的风险评估过程和结果。
风险评估过程包括识别与财务报告相关的经营风险,以及针对这些风险所采取的措施。在评价被审计单位风险评估过程的设计和执行时,注册会计师应当确定管理层如何识别与财务报告相关的经营风险,如何估计该风险的重要性,如何评估风险发生的可能性,以及如何采取措施管理这些风险。注册会计师应当询问管理层识别出的经营风险,并考虑这些风险是否可能导致重大错报。在审计过程中,如果识别出管理层未能识别的重大错报风险,注册会计师应当考虑被审计单位的风险评估过程为何没有识别出这些风险,以及评估过程是否适合于具体环境。在小型被审计单位,管理层可能没有正式的风险评估过程,注册会计师应当与管理层讨论其如何识别经营风险以及如何应对这些风险。
风险评估审计的实践
在我国企业内部控制审计实践中,有些企业把风险评估审计要点简单归纳为是否运用了科学合理的风险评估方法体系和模型对风险进行定期分析与评估,其审计方法包括:使用调查问卷对审计要点主要内容进行了解;询问各级公司和相关部门的风险信息管理人员,了解其是否掌握科学合理的风险评估方法体系和评估模型;查阅各级公司和相关部门的风险评估文档记录,证实其运用了风险评估方法体系和模型对本部门风险进行了分析与评估;询问部分员工,证实其是否了解本部门风险情况,对所了解风险是否进行了及时处理;查阅相关部门的风险评估与分析文档记录,证实遇到重大的外部环境变化时已及时向上级公司报送了风险信息。
上述审计要点,无疑是我国风险评估内部控制审计的基本内容,但风险评估内部控制构建与实施因主体的不同而不同,因此,风险评估内部控制审计内容,因被审计单位的不同而不同,不能固定化、模式化。
一般来说,采用传统的全面审计方式,风险评估内部控制审计是审查和评价风险评估内部控制设计和运行的有效性两个方面,范围包括风险评估设计、风险评估执行等业务。采用现代以风险为导向的审计方式,审计人员应以评估风险为导向,审计已经设计完成的风险评估内部控制及其相关的管理制度是否有效执行,是否有效控制风险评估风险;已经设计有效的风险评估各控制点的控制措施是否有效实施,是否有效防止了各控制环节的风险;是否根据业务、环境等的变化持续改进风险评估内部控制等。
从长期从事风险评估内部控制审计的实践看,风险评估审计的要点与方法主要包括:风险分析内部控制审计、风险评价内部控制审计、管理改进内部控制审计等主要内容。在具体操作中,对风险评估审计一定要和具体业务审计相结合。
风险管理的审计要点
根据中国内部审计协会制定的《内部控制审计准则》规范要求,内部审计人员应实施适当的审查程序,评价组织风险管理机制的健全性和有效性。这方面审查重点(见上图)包括:
(一)可能引发风险的内外因素
为了审查风险管理机制是否健全有效,审计人员需要独立的对组织可能面临的风险因素进行识别,并与组织各职能部门的工作相比照,从而审查组织是否对可能的风险进行了有效识别。
(二)风险发生的可能性和预计带来的后果
基于成本效益考虑,组织对所面临的不同风险将采取不同的对策。判断应采取何种对策,就取决于对各种已识别的风险的可能性和预计后果进行的分析。对于发生可能性较大且预计后果比较严重的风险应该特别关注,采取有效措施进行管理。
(三)对抗风险的能力
在组织运营过程中,风险总是存在的。为了应对风险,组织应建立风险管理机制,保持恰当的对抗风险的能力,尽可能地将风险损失降低到最小程度。内部审计人员需要对组织对抗风险的及时性以及措施的有效性进行审查和评价,保证组织能够持续稳定地运营,并帮助组织增强对抗风险的能力。
(四)风险管理的具体方法及效果
风险管理的具体方法是各职能部门采取的具体控制活动,内部审计人员的职责是对这些具体方法的实施效果进行检查与评价,以确定其是否能够有效将风险控制在组织可以接受的范围之内。
根据风险评估过程,风险评估审计主要内容包括目标设定审计、风险识别审计、风险分析审计和风险应对策略审计。
风险分析的审计要点
就风险分析审计而言,其审计要点包括:
(一)是否从因果两方面去分析风险发生的可能性和影响程度
因为找不出风险发生的原因,就无法判定风险发生的可能性(或然率)及难以找出预防风险的方法;如果不知道其结果,也就无法判定风险的影响程度(重大性),也就难以确定用多少资源来控制风险。
(二)所采用的定性、定量分析标准和方法是否科学合理
审计人员应重点考虑已识别的风险特征,相关历史数据的充分性和可靠性,管理层进行风险评估的技术能力和成本效益的考核与衡量。
(三)是否根据风险分析的结果,进行专业判断
按照风险发生的可能性大小及其对企业影响的严重程度进行风险排序,其风险排序是否准确,所拟定风险管理决策是否恰当,有无确定重点关注的重要风险。
基于企业内部控制基本规范的风险评估审计要点
(一)目标设定
企业应当根据设定的控制目标,全面系统持续地收集相关信息,结合实际情况,及时进行风险评估。
企业开展风险评估,应当准确识别与实现控制目标相关的内部风险和外部风险,确定相应的风险承受度。
(二)风险识别
企业识别内部风险应当关注:董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素;组织机构、经营方式、资产管理、业务流程等管理因素;研究开发、技术投入、信息技术运用等自主创新因素;财务状况、经营成果、现金流量等财务因素;营运安全、员工健康、环境保护等安全环保因素;其他有关内部风险因素。
企业识别外部风险应当关注:经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素;法律法规、监管要求等法律因素;安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素;技术进步、工艺改进等科学技术因素;自然灾害、环境状况等自然环境因素;其他有关外部风险因素。
(三)风险分析
企业应当采用定性与定量相结合的方法,按照风险发生的可能性及其影响程度等,对识别的风险进行分析和排序,确定关注重点和优先控制的风险。
企业进行风险分析,应充分吸收专业人员,组成风险分析团队,按照严格规范的程序开展工作,确保风险分析结果的准确性。
(四)风险应对
企业应当根据风险分析的结果,结合风险承受度,权衡风险与收益,确定风险应对策略。
企业应合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好,采取适当控制措施,避免因个人风险偏好给企业经营带来重大损失。
企业应当综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略,实现对风险的有效控制。
企业应当结合不同发展阶段和业务拓展情况,持续收集与风险变化相关的信息,进行风险识别和风险分析,及时调整风险应对策略。