淺議風險管理審計程序

淺議風險管理審計程序

摘要：現(xiàn)代風險管理審計作為一種新的審計模式，在審計程序的各個階段與傳統(tǒng)內(nèi)部審計相比都有所不同，文章主要探討現(xiàn)代風險管理審計與傳統(tǒng)內(nèi)部審計各個階段的不同之處。

關鍵詞：風險管理；審計；程序

風險管理審計是風險管理的重要組成部分，是對風險管理的再監(jiān)督，是通過系統(tǒng)、規(guī)范的方法評價風險管理的效果，以幫助組織實現(xiàn)目標。內(nèi)部審計師應該多檢查、評價、報告風險管理過程的適當性和有效性并提出改進意見，對管理層和審計委員會提供決策依據(jù)。

風險管理審計程序與傳統(tǒng)內(nèi)部審計一樣，包括審計計劃階段、審計實施階段和審計報告階段，但在這三階段更加突出了風險管理理念。

一、審計計劃階段

國際內(nèi)部審計師協(xié)會實務公告2010指出，首席審計執(zhí)行官應該制定以風險為基礎的計劃，以確定與組織目標保持一致的內(nèi)部審計活動重點。內(nèi)部審計活動的計劃應該反映組織的風險戰(zhàn)略。組織的風險管理與內(nèi)部審計過程之間應該協(xié)調一致，使這兩項工作產(chǎn)生協(xié)同增效的作用。

內(nèi)部審計師應該在對可能影響組織的風險進行評估的基礎上，制定內(nèi)部審計活動的審計計劃。作為一項對管理部門風險管理效果的評估，審計的最終目的是向管理層提供信息，以減少在實現(xiàn)組織目標的過程中可能帶來的負面影響。風險暴露的程度或重要性可以看作是在開展控制活動之后風險的降低情況。此外，還應該在評估風險和風險暴露優(yōu)先次序的基礎上安排審計工作。在對風險進行優(yōu)先排序之后，才能根據(jù)風險暴露的重要性分配相關資源。在多數(shù)情況下，需要根據(jù)風險因素來確定業(yè)務工作重點，這些因素有：金額的重要性、資產(chǎn)流動性、內(nèi)部控制質量、變化或穩(wěn)定程度、上次審計業(yè)務開展的時間、復雜性等。

在確定審計重點時，可以根據(jù)風險性質進行審計抽樣。杜邦“沸騰壺”模型是風險管理審計的一種重要的抽樣模型。它將風險因素分成八大類，定有不同的風險級別。如表1所示：

從圖1可以看出，在風險因素中，風險結構一般是高風險占10%，敏感風險占30%，適中風險占40%，低風險占20%。在審計計劃資源配置時，對于處于高風險層次的風險因素一般要詳細全審；對于處于敏感風險性質的風險因素一般抽樣50%；適中風險性質的風險因素一般抽樣25%；對于低風險抽樣10%進行審計。

二、審計實施階段

審計實施階段就是收集信息的過程，具體包括：風險環(huán)境分析、評估風險識別的充分性、評價風險控制、評估風險評估結果的恰當性、評價風險應對策略的適當性、確定剩余風險和確定剩余審計風險。

風險環(huán)境分析

環(huán)境可以對組織目標實現(xiàn)產(chǎn)生不確定性影響，包括外部環(huán)境和內(nèi)部環(huán)境。外部包括國家法律法規(guī)及政策的變化、經(jīng)濟環(huán)境的變化、科技的快速發(fā)展、行業(yè)競爭資源及市場變化、自然災害及意外損失等；內(nèi)部風險主要來源于組織治理結構的缺陷、組織經(jīng)營活動的特點、組織資產(chǎn)的性質以及資產(chǎn)管理的局限性、組織信息系統(tǒng)的故障或中斷、組織人員的道德品質等。內(nèi)部審計人員在風險管理審計之前，要關注組織風險環(huán)境因素的各種變化，以確定組織的戰(zhàn)略目標是否與環(huán)境相適應。

評估風險識別的充分性

充分識別風險是有效風險管理的基礎，風險識別的任務就是識別出風險之所在和引起風險的主要因素。內(nèi)部審計人員可以運用頭腦風暴法、德爾菲法和SWOT法對組織各環(huán)節(jié)的風險因素進行有效的識別，并和風險管理部門的風險識別相比較。

評價風險控制

控制是管理層采用的，用于提高實現(xiàn)既定目標的可能性的一切活動。控制可以是預防性的(防止不良事件的發(fā)生)、發(fā)現(xiàn)性的(發(fā)現(xiàn)和糾正已發(fā)生的不良事件)、指導性的(引導或鼓勵良好事件的發(fā)生)。包括對內(nèi)部控制設計合理性的評價和執(zhí)行有效性的評價兩個方面。IIA實務公告2120-評價標準指出：①評價控制前，管理層應當確定被檢查業(yè)務的可接受風險水平。內(nèi)部審計師應確認這一風險水平。這主要是從減少威脅被檢查業(yè)務主要目標實現(xiàn)的關鍵因素的影響方面來確定的。②如果管理層沒有明確關鍵風險以及可接受的風險水平，內(nèi)部審計師可能通過風險確認或其他技術予以幫助。③風險水平一經(jīng)確定，即可對現(xiàn)有控制進行評價，確定控制在將風險降低到期望水平方面是否發(fā)揮作用。

評估風險評估方法恰當性

風險評估可以采用定性或定量的方法進行。定性方法的采用要充分考慮相關部門或人員的意見，以提高評估結果的客觀性；在風險難以量化的情況下應采用定性的方法。運用定量方法時，要描述風險發(fā)生的可能性及其影響程度。

評價風險應對策略的適當性

風險應對策略通常有自留、規(guī)避、轉移、控制四種。

自留：通過風險識別、風險計量、風險處理后確定的風險或剩余風險，如果處于銀行制定的可接受區(qū)間內(nèi)，就可以采取自留的方式；

規(guī)避：由于銀行風險時時存在，外在的、內(nèi)在的各種因素都可能使銀行面臨風險，一味的去回避風險并不是上策，但是對于那些會給銀行帶來嚴重損失、超出銀行承受能力的風險采取規(guī)避方式是防止銀行發(fā)生損失的很好的方法；

轉移：由于風險會在風險主體間傳導，因此可以將一部分風險沿著風險鏈或采取其他方式如外包將風險轉移給他人，以降低自身的風險程度；

控制:風險控制不同于風險管理。風險管理是銀行風險控制的最高階段，是建立在豐富的業(yè)務數(shù)據(jù)、科學的管理模型等基礎之上的風險控制。

內(nèi)部審計人員應判斷風險管理部門的應對策略是否符合適用的條件，是否有利于組織目標的實現(xiàn)。

確定剩余風險

剩余風險是指在管理層采取了有關措施，包括采取應對某項風險的控制活動降低負面事件的影響和可能性之后仍然存在的風險。這一階段要求內(nèi)部審計人員運用專業(yè)判斷，確定那些沒將錯誤風險降至可接受水平的控制范圍。

確定剩余審計風險

內(nèi)部審計應該成為風險管理方面的專家，但是由于被審計單位的固有風險的存在、審計過程中還存在著大量的主觀判斷，審計風險是不可能消除的。因此，內(nèi)部審計人員應該將審計風險控制在可接受的范圍內(nèi)，否則就應該追加審計程序或擴大實質性測試范圍。

三、審計報告階段

根據(jù)IIA實務公告2110-1，內(nèi)部審計師在從總體上對風險管理過程適當性發(fā)展意見時，必須確認風險管理過程是否著眼于五個主要目標：①找出業(yè)務戰(zhàn)略與活動領域的風險并進行優(yōu)先排序；②管理層和委員會已經(jīng)確定了組織可以接受的風險水平，包括為實現(xiàn)組織的戰(zhàn)略計劃而接受的風險；③設計、實施了風險降低至管理層和董事會可接受水平的降低風險的活動；④開展持續(xù)的監(jiān)督活動，定期對風險和控制的有效性進行再評估，以管理風險；⑤董事會和管理層定期收到風險管理過程的結果報告。組織的公司治理過程應該包括定期向利益關系方傳達風險、風險戰(zhàn)略和控制情況。

風險管理審計報告作為風險管理審計的最終成果，包括發(fā)現(xiàn)、結論、建議和行動計劃四個部分。審計發(fā)現(xiàn)是對事實的相關聲明；發(fā)現(xiàn)和建議應該依據(jù)評價標準、實際情況、預期和實際存在差異的原因、產(chǎn)生的效果。內(nèi)部審計人員通過發(fā)現(xiàn)、評價并運用風險管理的方法和控制措施，幫助組織解決這些風險問題。結論是內(nèi)部審計人員對發(fā)現(xiàn)和建議影響被檢查活動的情況進行的評價。內(nèi)部審計人員應該及時報告審計結果。IIA實務標準特別指出，當首席審計執(zhí)行官認為高級管理層接受了組織可能無法接受的剩余風險水平時，應當與高級管理層就此進行討論，如果仍無法決定剩余風險問題時，首席審計執(zhí)行官和高級管理應將此事報告給董事會解決。

此外，IIA《標準》實務公告2500指出，首席審計執(zhí)行官應建立后續(xù)程序，以監(jiān)督、保證管理措施得到有效落實或高級管理層已接受了不采取行動所帶來的風險。因此在必要的情況下，還需開展后續(xù)審計。

綜上所述，風險管理審計作為內(nèi)部審計的新模式，其三個階段審計重點和傳統(tǒng)的內(nèi)部