会员登录
会员注册摘要:建立风险评估方法体系是确立组织风险导向审计模式的基础。风险的概念应定位于组织风险而不是审计风险。风险评估的流程总体上遵循固有风险识别、风险应对有效性评估、剩余风险评估的思路,风险评估的结果主要用于编制审计计划、确定审计重点、分配审计资源等。审计人员实施的风险评估在目标、侧重点上应区别于管理当局实施的风险评估。
关键词:内部审计,风险评估,模型,原理
所谓风险导向内部审计模式,简而言之,就是以“风险”来引导内部审计工作的方向,包括确定审计计划、重点、范围和频率,分配审计资源等等。目前,主要发达国家企业和组织都普遍实行风险导向审计模式。在国际注册内部审计师协会发布的《内部审计专业实务框架》中,强调内部审计活动“应当制定以风险为基础的计划”,“应该在风险评估结果的基础上开展审计项目”,“应协助组织识别和评价重大风险问题,帮助组织改进风险管理与控制系统”,是从不同层面提出了“风险评估”之于内部审计的重要性和作用。
运用风险评估需要理清“风险”的概念。对于风险导向内部审计中“风险”的概念,一种认识是理解为审计风险,即审计人员在审计过程中由于受某些不确定因素的影响而使审计结论与客观事实在一定程度上相背离,从而受被审单位及有关负责人指控并遭受某种损失的可能性。以“审计风险”引导内部审计,审计人员应立足于对审计风险的分析和评价,并以此为出发点,制定审计计划,实施审计行为。另一种观点认为,“风险”不是单纯意义的“审计风险”,而是指更广意义上组织面临的所有内外部风险。以“组织风险”引导内部审计,审计人员应通过对审计对象面临的风险进行评估后确定审计计划、审计重点、审计策略。从内部审计的目标和职能分析,后一种理解更符合内部审计的职能特征。内部审计应服务于组织目标的实现,因此组织面临的风险也就是内部审计应该关注的;审计需要对组织所处的宏观社会经济环境、战略目标和措施、影响组织目标实现的主要业务活动和关键环节进行深入了解,提高风险管理与组织整体目标的契合度。内部审计如果仅仅关注于审计风险,就不可能真正有效发挥内部审计职能,无法体现与组织目标的趋同。
二、风险量化评估模型
从内部审计的历史发展来看,风险评估并不是一个新鲜事物。现代风险导向审计的开拓者一美国毕马威会计师事务所审计与鉴证研究中心主任Timothy B. Bell博士和伊利诺伊大学香槟分校会计系主任IraSolomon教授认为,风险评估的定位在财务报表审计中至少已经存在了100年(吴俊峰,2009)。无论是账项基础审计模式还是制度基础审计模式,审计人员在运用职业判断时,都会有意识、无意识的、不同程度的对审计对象的风险进行评估。只是这种风险评估是不规范、不系统的,与审计的经验、能力有重要关系,缺乏科学、合理的标准和规范的方法。现代风险导向内部审计所要解决的一个重要问题,就是通过建立风险量化评估模型,使风险评估过程更加规范和系统,评估方法、程序更加科学。
一般来说,运用风险评估技术需要理解几个基本概念:
1.固有风险。是指管理当局没有采取任何措施来改变风险的可能性和影响的情况下,一个主体所面临的风险。如《企业内部控制基本规范》要求,“企业开展风险评估,应当准确识别与实现控制目标相关的内部风险和外部风险,确定相应的风险承受度”。不同企业或组织面临的风险是不一样的,比如对一国中央银行而言,按照风险来源分析,面临的风险主要包括市场风险、信用风险、流动性风险、操作风险、法律风险和声誉风险等。
2.可能性和影响。这是评估风险程度的两个组成要素。可能性表示一个给定事项将会发生的概率,影响代表了它的后果,这两者都能够根据大小、程序划分为不同的级别,实务工作中常用“风险矩阵”来表示风险可能性和影响程度之间的关联程度。如下表所示,矩阵中风险由低到高分为4个等级(Ⅳ级为最高风险),不同的风险等级用不同颜色表示。
3.剩余风险。是指风险应对之后所残余的风险;一旦风险应对已经就绪,接下来就要考虑剩余风险。风险管理目标之一就是使剩余风险水平处于组织能够承担的风险限度之内,包括整体风险承受能力和业务层面的可接受风险水平。
(1)固有风险=风险发生可能性×影响程度
(2)剩余风险=固有风险-风险应对有效性
上述关系不应理解为单纯的算术关系,而只是表明了相互逻辑关系。如果对风险进行量化,则需要设定具体的公式或模型,现以中国人民银行风险量化评估模型为例予以说明。下面的表格中对我国中央银行“紧急贷款管理”的风险进行了分析,根据风险矩阵对风险事项从影响程度和可能性进行评估,每一类风险设置一定权重。通过固有风险评估、风险应对有效性评估后,根据剩余风险的量化公式,计算出剩余风险的级别为1.9。
以上风险量化评估模型总体上遵循“固有风险识别、评估→风险应对有效性评估→剩余风险评估”的思路。在风险的分类上,按照风险来源将中国人民银行面临的固有风险划分为市场风险、信用风险、流动性风险、操作风险、法律风险和声誉风险共六类。风险量化采用风险因素权重加总法计算,也就是将各风险因素的风险级别乘以相应的权重,得出“积”;将所有风险因素各自的“积”相加,得出审计对象的风险值。从内部审计实务看,运用风险量化与评估的框架具有以下特点:一是对风险的分析、评价更加系统,改变了以往较为模糊的风险引导审计的状况;二是审计流程、思路清晰,便于操作并提高审计工作效率;三是审计结论提供的信息更加关注组织风险,使审计报告的使用者能够清晰了解和掌握审计对象的风险状况,便于作出决策。
三、风险评估结果的应用
现代风险导向内部审计的基本特征,是审计人员在审计过程中自始至终都以组织风险分析为导向,根据量化的分析水平排定审计项目优先次序,依据风险确定审计范围与重点,对组织风险管理、内部控制和治理程序进行评价,进而提出建设性意见和建议,协助组织管理风险。在风险评估中,职业判断是灵魂,从风险评估所要达到的目的看,不过于强调评估个体风险估值的准确性、精准性,而应注重评估对象整体风险排序的合理性。也就是说,对一个特定风险事项而言,由于评估人员经验、能力、风险偏好的差异,具体的风险赋值可能是不一样的,但对评估对象整体而言,只要所有风险事项最终的风险排序是准确的,风险评估就可以认为是有效的,这样就科学解决了风险评估由于大量运用主观判断而导致评估结果的不确定性所引发的缺陷。
在审计计划阶段,内审部门应对影响组织目标实现的风险因素进行评估,根据风险的重要性、风险优先次序拟定中长期审计规划,安排年度审计工作,包括选择审计对象、确定审计范围、分配审计资源等。审计计划的制定应紧密结合组织风险管理目标,确定关键风险、高风险领域作为年度审计计划优先安排的项目。基本思路是,风险小的业务减少审计频率,风险大的业务增加审计频率,追加审计资源,优先把高风险业务作为审计项目规划的重点;确保审计频率和程度与审计对象的业务性质、复杂程度、风险状况和管理水平相一致,克服传统审计较为模糊的风险引导审计概念,导致审计不足或审计过度的问题。比如,实务中有的组织根据剩余风险水平设置如下审计频率标准:
四、审计的风险评估与管理当局风险评估的关系
风险导向型内部审计所指的风险评估,是基于审计所必须掌握的、了解审计对象面临风险的类别和重点,用以拟定审计计划、部署审计策略、提高审计效率所应用的方法,是审计本身的需要,侧重于分析结果,确认风险的排序。管理当局在风险管理框架(和内部控制框架)内所实施的风险评估,是基于组织目标而实施的,包括目标设定、事项识别、风险评估、风险应对在内的一系列风险管理组成要素,侧重于识别风险并制定有效风险应对措施。
从内部审计在风险管理中的地位和作用来看,作为内部控制和风险管理的确认者,管理当局往往需要内部审计的专业技术和方法,也可能直接将风险评估的部分任务安排给内审部门。此时,审计人员的风险评估也就不是单纯审计本身的需要,而是为推动组织风险管理发挥咨询、服务作用。在这一过程中内审部门可能扮演参与者、组织者、协调者等多重角色,此时审计人员的风险评估既能够为风险导向审计服务,也是组织风险管理的工具。但即使是这样,审计人员参与风险评估,仍然与其在风险管理中角色有紧密联系,须“有所为而有所不为”。审计人员可以对风险事项进行分类,可以利用专业能力评估风险管理流程的设计和运行效果,提出改善建议等;但不便设定组织的风险偏好水平,也不能强加风险管理程序,决定风险响应策略,更不能为风险管理的绩效负责。
【作者简介】彭伟,男,湖南长沙人,管理学硕士研究生,中国人民银行武汉分行,研究方向:内部控制理论与实务、中央银行内部审计等。
【参考文献】
[1]中央银行内审部门风险导向审计模式.中国人民银行内审司“确立风险导向审计模式”课题组.中国金融.2012年第9期
[2]风险导向内部审计基本理论及程序构建.徐元玲.会计之友.2008.12
[3]我国风险导向内部审计的应用研究.石丽娟、杨静静.中国证券期货.2010.10
[4]企业内部控制基本规范.财政部等五部委.2008年颁布
[5]风险导向内部审计基本问题研究.吴俊峰.西南财经大学博士论文.2009
[6]从审计模式及其思想的演进辨析风险导向审计应有的内涵.陈志强.审计研究.2006.3
[7]公共部门内部控制—最高审计机关国际组织内部控制概念的更新.王戍/译.中国内部审计.2005.12
[8]基于风险导向的内部审计原理及其应用.王敏、黄瑛.财经理论与实践.2006.5
[9]风险导向内部审计若干理论问题探讨.郑小荣.审计与经济研究.2006.(1)
[10]论风险导向的内部审计理论与实务——通过解读IIA2001版.内部审计实务标准.看内部审计的风险导向.王晓霞、孙坤、张宜霞.审计研究.2004(2)
[11]独立审计质量衡量标准体系的研究.万佳、陈颖、财务与金融.2010.5