文 李三喜
風險評估審計,就是對風險評估內部控制有效性的檢查和評價。根據中國注冊會計師審計準則的要求,注冊會計師應當了解被審計單位的風險評估過程和結果。
風險評估過程包括識別與財務報告相關的經營風險,以及針對這些風險所采取的措施。在評價被審計單位風險評估過程的設計和執行時,注冊會計師應當確定管理層如何識別與財務報告相關的經營風險,如何估計該風險的重要性,如何評估風險發生的可能性,以及如何采取措施管理這些風險。注冊會計師應當詢問管理層識別出的經營風險,并考慮這些風險是否可能導致重大錯報。在審計過程中,如果識別出管理層未能識別的重大錯報風險,注冊會計師應當考慮被審計單位的風險評估過程為何沒有識別出這些風險,以及評估過程是否適合于具體環境。在小型被審計單位,管理層可能沒有正式的風險評估過程,注冊會計師應當與管理層討論其如何識別經營風險以及如何應對這些風險。
風險評估審計的實踐
在我國企業內部控制審計實踐中,有些企業把風險評估審計要點簡單歸納為是否運用了科學合理的風險評估方法體系和模型對風險進行定期分析與評估,其審計方法包括:使用調查問卷對審計要點主要內容進行了解;詢問各級公司和相關部門的風險信息管理人員,了解其是否掌握科學合理的風險評估方法體系和評估模型;查閱各級公司和相關部門的風險評估文檔記錄,證實其運用了風險評估方法體系和模型對本部門風險進行了分析與評估;詢問部分員工,證實其是否了解本部門風險情況,對所了解風險是否進行了及時處理;查閱相關部門的風險評估與分析文檔記錄,證實遇到重大的外部環境變化時已及時向上級公司報送了風險信息。
上述審計要點,無疑是我國風險評估內部控制審計的基本內容,但風險評估內部控制構建與實施因主體的不同而不同,因此,風險評估內部控制審計內容,因被審計單位的不同而不同,不能固定化、模式化。
一般來說,采用傳統的全面審計方式,風險評估內部控制審計是審查和評價風險評估內部控制設計和運行的有效性兩個方面,范圍包括風險評估設計、風險評估執行等業務。采用現代以風險為導向的審計方式,審計人員應以評估風險為導向,審計已經設計完成的風險評估內部控制及其相關的管理制度是否有效執行,是否有效控制風險評估風險;已經設計有效的風險評估各控制點的控制措施是否有效實施,是否有效防止了各控制環節的風險;是否根據業務、環境等的變化持續改進風險評估內部控制等。
從長期從事風險評估內部控制審計的實踐看,風險評估審計的要點與方法主要包括:風險分析內部控制審計、風險評價內部控制審計、管理改進內部控制審計等主要內容。在具體操作中,對風險評估審計一定要和具體業務審計相結合。
風險管理的審計要點
根據中國內部審計協會制定的《內部控制審計準則》規范要求,內部審計人員應實施適當的審查程序,評價組織風險管理機制的健全性和有效性。這方面審查重點(見上圖)包括:
(一)可能引發風險的內外因素
為了審查風險管理機制是否健全有效,審計人員需要獨立的對組織可能面臨的風險因素進行識別,并與組織各職能部門的工作相比照,從而審查組織是否對可能的風險進行了有效識別。
(二)風險發生的可能性和預計帶來的后果
基于成本效益考慮,組織對所面臨的不同風險將采取不同的對策。判斷應采取何種對策,就取決于對各種已識別的風險的可能性和預計后果進行的分析。對于發生可能性較大且預計后果比較嚴重的風險應該特別關注,采取有效措施進行管理。
(三)對抗風險的能力
在組織運營過程中,風險總是存在的。為了應對風險,組織應建立風險管理機制,保持恰當的對抗風險的能力,盡可能地將風險損失降低到最小程度。內部審計人員需要對組織對抗風險的及時性以及措施的有效性進行審查和評價,保證組織能夠持續穩定地運營,并幫助組織增強對抗風險的能力。
(四)風險管理的具體方法及效果
風險管理的具體方法是各職能部門采取的具體控制活動,內部審計人員的職責是對這些具體方法的實施效果進行檢查與評價,以確定其是否能夠有效將風險控制在組織可以接受的范圍之內。
根據風險評估過程,風險評估審計主要內容包括目標設定審計、風險識別審計、風險分析審計和風險應對策略審計。
風險分析的審計要點
就風險分析審計而言,其審計要點包括:
(一)是否從因果兩方面去分析風險發生的可能性和影響程度
因為找不出風險發生的原因,就無法判定風險發生的可能性(或然率)及難以找出預防風險的方法;如果不知道其結果,也就無法判定風險的影響程度(重大性),也就難以確定用多少資源來控制風險。
(二)所采用的定性、定量分析標準和方法是否科學合理
審計人員應重點考慮已識別的風險特征,相關歷史數據的充分性和可靠性,管理層進行風險評估的技術能力和成本效益的考核與衡量。
(三)是否根據風險分析的結果,進行專業判斷
按照風險發生的可能性大小及其對企業影響的嚴重程度進行風險排序,其風險排序是否準確,所擬定風險管理決策是否恰當,有無確定重點關注的重要風險。
基于企業內部控制基本規范的風險評估審計要點
(一)目標設定
企業應當根據設定的控制目標,全面系統持續地收集相關信息,結合實際情況,及時進行風險評估。
企業開展風險評估,應當準確識別與實現控制目標相關的內部風險和外部風險,確定相應的風險承受度。
(二)風險識別
企業識別內部風險應當關注:董事、監事、經理及其他高級管理人員的職業操守、員工專業勝任能力等人力資源因素;組織機構、經營方式、資產管理、業務流程等管理因素;研究開發、技術投入、信息技術運用等自主創新因素;財務狀況、經營成果、現金流量等財務因素;營運安全、員工健康、環境保護等安全環保因素;其他有關內部風險因素。
企業識別外部風險應當關注:經濟形勢、產業政策、融資環境、市場競爭、資源供給等經濟因素;法律法規、監管要求等法律因素;安全穩定、文化傳統、社會信用、教育水平、消費者行為等社會因素;技術進步、工藝改進等科學技術因素;自然災害、環境狀況等自然環境因素;其他有關外部風險因素。
(三)風險分析
企業應當采用定性與定量相結合的方法,按照風險發生的可能性及其影響程度等,對識別的風險進行分析和排序,確定關注重點和優先控制的風險。
企業進行風險分析,應充分吸收專業人員,組成風險分析團隊,按照嚴格規范的程序開展工作,確保風險分析結果的準確性。
(四)風險應對
企業應當根據風險分析的結果,結合風險承受度,權衡風險與收益,確定風險應對策略。
企業應合理分析、準確掌握董事、經理及其他高級管理人員、關鍵崗位員工的風險偏好,采取適當控制措施,避免因個人風險偏好給企業經營帶來重大損失。
企業應當綜合運用風險規避、風險降低、風險分擔和風險承受等風險應對策略,實現對風險的有效控制。
企業應當結合不同發展階段和業務拓展情況,持續收集與風險變化相關的信息,進行風險識別和風險分析,及時調整風險應對策略。
