所在位置:首页 > 文库 > 准则
内审实务|企业风险管理审计(下)
2020年07月08日

内审实务|企业风险管理审计(上)

 

 

 


三、风险管理审计的程序

科学的风险管理审计程序不仅有利于提高风险管理审计工作的效率与质量,还可以促进风险管理审计规范化。

(一)制定风险管理审计计划

内部审计机构根据单位的具体情况拟定审计计划,并报告单位领导审批后实施。审计计划可以促进内部审计人员及时、高效地完成审计工作,提高审计工作的效率与质量。

内部审计人员要深入企业各部门、各环节,通过调查问卷、访谈、审阅相关文件记录、互联网搜集信息等方式获取相关资料,包括国家宏观政策、行业发展状况、企业管理情况等。对所收集到的资料进行分析,了解企业经营过程中面临的风险,确定审计的性质、范围和时间,并编写审计方案。

(二)实施风险管理审计

实施风险管理审计阶段是整个审计过程的重要环节。内部审计人员根据审计方案,采用适当的审计方法与技术,针对调查中发现的问题和缺陷进行深入分析,获取充分适当的审计证据,分析原因,评价这些问题和缺陷带来的风险,并提出改进措施。

内部审计人员在实施风险管理审计过程中,需要运用专业知识识别出企业整体层面和具体业务层面所面临的以及潜在的风险(重心放在企业的现在和未来),并分析其成因及其影响,进而评估确定风险量值或程度,以评价企业风险管理机制、风险识别、风险评估、风险应对措施的适当性和有效性。

风险评估过程中,可以采用定量的方法,比如建立计算机分析和统计分析模型,把所有可以定量测试的因素列示出来,按照重要性程度大小,分层、分步地综合各种因素,测试出每种因素对测试目标的影响程度和影响数值大小。当风险难以量化或者数据不可获取时,一般采用定性的方法,如调查问卷法、流程图法、SWOT分析法等。在采用定性方法时,为提高评估结果的客观性,一般需要充分考虑相关部门和人员的意见。另外,风险的度量也可以采用定量与定性相结合的方法。

(三)出具风险管理审计报告

审计工作的最终结果表现为审计报告,报告阶段在整个审计过程中十分重要。风险管理审计报告应当主要反映整个审计的要点,既要肯定企业在风险管理过程中好的、高效的管理方式,又要针对其中的问题和漏洞进行分析,并提出改进的建议。内部审计人员需要对获取的审计证据进行分析和评价,复核审计工作底稿并撰写审计报告,与管理层和治理层进行沟通,最后下达审计意见,跟踪有关部门落实。

 

 (四)进行后续审计
后续审计是对风险管理审计项目的情况进行追踪审计。审计人员对其所提出的改进措施是否得以实施,风险管理的效果如何。


四、风险管理审计的方法

内部审计工作的通用审计方法,如审核、观察、访谈、调查、监盘、检查、重新计算、分析程序等,在风险管理审计工作中同样适用。同时,由于风险管理审计面对的审计客体具有特殊性,仅靠常规的审计方法收集审计证据难以保证内部审计人员充分了解和审查业务部门的风险识别、评估和应对等工作,难以为最终发表审计意见提供合理的保证。因此,企业内部审计人员应当对风险管理业务常用的技术方法进行深入学习,必要的时候,要采用这些技术方法履行风险管理工作的重新执行程序。

1

(一)传统审计方法

检查、重新计算、分析程序等传统审计方法,在风险管理审计中的应用是十分广泛的。风险管理审计采用的主要方法,仍然是传统审计方法,即检查、观察、访谈、调查、监盘、函证、重新计算、分析程序等。


1.审阅。
审阅资料是审计工作运用最为广泛的方法之一,内部审计人员需要收集、检查经济环境、发展趋势、行业信息以及其他信息,以及分析与企业的业务相关的宏观经济以及相关的风险控制程序。确定是否存在可能影响企业发展的风险。

2.检查。

企业的经营战略、风险管理理念和方法、检查企业政策和董事会议记录确定。


3.访谈。
由于风险管理是一个动态的过程, 对访谈是风险管理审计中常用的审计方法。其进行审计时要更多地关注“活”的情况。内部审计人员需要与行政经理和业务部门经理交谈,以确定业务部门的目标、相关的风险、管理层开展的控制风险的活动。

 

4.分析程序。
分析程序在风险管理审计中也是非常重要的方法。内部审计人员通过趋势、对比、勾稽等数据分析方法发现异常状况,然后深入分析异常状况的原因,从而发现风险管理中的薄弱环节。同时,内部审计人员也经常使用分析程序来评估管理层的风险分析是否全面,以及为纠正风险管理过程中发现的问题而采取的措施和提出的改进建议的及安全性、适当性。

2

风险管理体系建立情况的审计方法

在整个风险管理审计中,了解、完善和改进企业的风险管理体系是内部审计为企业提供增值服务的主要方式,更是审计的关键环节。风险管理体系建立情况审计的主要方法和步骤一般包括:

(1)研究一般性风险。内部审计人员一 般需要建立一份一般性风险清单,其主要来源是保险顾问、咨询公司、行业协会以及其他网站信息等。

(2) 识别企业特有风险。不同的企业风险不同,虽然研究一般性风险为创建风险库提供基础,但内部审计人员应当采用调查问卷等方式让企业的各层管理人员参与头脑风暴,寻找到企业所特有的风险,对一般性风险进行修正,建立与企业相适应的风险库。

(3)定义各类风险。采用“原因和结果”的形式用企业熟悉的语言简明地定义风险,形成一种通用的风险语言。

(4) 链接风险与战略。将每个风险放在“它能对战略产生怎样的影响”的环境中进行讨论,找到风险与企业战略和经营目标的关联。如果一个 风险难以与企业的战略、经营和财务目标联系起来,就说明这个风险没有被恰当地定义,或者甚至与企业不相关。风险与战略的链接过程具有反复性,开始时发现风险与多个目标相关,但经过深入分析后可能会将一些较弱的相关性予以剔除,以修改或增加、删除一些风险。通过深入理解这些风险的特征和相互之间的关系,内部审计人员将在每个风险的评估过程中更加突出与战略强相关的高风险领域。

(5)建立适当的风险模型。风险模型的作用是根据性质把风险进行分类并构建一个结构,这一结构可以使人们理解风险更容易,以及进行企业风险管理和相关培训更为便利。研究人员在理论和实务中讨论了不同的企业风险模型。因为最优的模型是不存在的。内部审计人员必须参照多个特有的风险模型。

 

 

 

 

 

 

3

常见的风险评估方法

常见的风险评估方法包括PEST因素分析、SWOT分析法、风险坐标图法、关键风险指标分析法、蒙特卡罗分析法、生命周期分析法、VaR模型分析法等。这些方法在一次风险管理审计不可能全部用到。但内部审计人员应该对各种方法适用的范围、步骤、结果类型融会贯通,以便在进行风险管理审计时能恰当评价企业采用的方法是否适当所得结论是否可靠。

PEST(political)E(Economy)S(Social)T(Technology)

SWOT(Strengths)W(Weaknesses)O(Opportunities)T(Thereat)

风险评估方法

说  明

PEST因素分析法

是指宏观环境的分析,通过对政治、经济、社会和技术四个因素分析企业所面临的状况

SWOT分析法

是用来确定企业自身的竞争优势(S)、劣势(W机会(O)和威胁(Threat), 从而将公司的战略与公司内部资源、外部环境有机地结合起来的一种科学的分析方法

德尔菲法

一种综合各类专家观点并促其一致的办法,这些观点有利于支持风险源及影响的识别、可能性与后果分析以及风险评价。需要独立分析和专家投票

蒙特卡罗分析法

蒙特卡罗模拟用于确定系统内的综合变化,该变化产生于多个输人数据的变化,其中每个输人数据都有确定的分布,而且输人数据与输出结果有着明确的关系。该方法能用于那些可将不同输人数据之间相互作用计算确定的具体模型。根据输人数据所代表的不确定性的特征,输入数据可以基于各种分布类型。风险评估中常用的是三角或贝塔分布

生命周期分析法

生命周期分析法是运用生命周期分析矩阵,根据企业的实力和产业的发展阶段来分析评价战略的适宜性的一种方法。横坐标代表产业发展的阶段一幼稚、成长、成熟、衰退。纵坐标代表企业的实力,分为五类:主导、较强、有利、维持、脆弱

在险值(VaR)法

 

 

风险矩阵法

基于统计分析基础上的风险度量技术,可有效描述资产组合的整体市场风险状况。

 

 

风险矩阵是一种将后果分级与风险可能性相结合的方式

 

 

---------The  end----------

 

来源:快乐内审 ,版权归原作者所有,如涉侵权,请联系我们删除,谢谢!
分享到 :
63.2K