企业应如何有效开展风险管理审计 审计师如何在财务报表审计中应用coso的企业风险管理框架分析...
一、内部审计在风险管理中的应用
(一)内部审计的含义 内部审计是指由本部门和本单位内部专职的审计机构或人员所实施的审计。这种专职的审计机构或人员,独立于财会部门之外,直接接受本部门、本单位主要负责人的领导,依法对本部门、本单位及其下属单位的财务收支、经营管理活动及其经济效益进行内部审计监督。内部审计的目的是防弊,促使企业改善其经营管理,提高经济效益。
(二)风险管理的含义 企业风险管理是从整体企业的宏观角度来辨识及分析风险的过程。其方法不只是将企业所有风险整合,而是将企业面临的所有不确定性转化为可通过策略及运作优势达到营运目标的一种方法。
(三)内部审计在风险管理中的应用
确认风险识别的充分性 在企业进行风险识别的过程中,内部审计人员应该对风险管理流程进行审查与评价,确定企业在风险识别的过程中风险归类的正确性以及分析方法的适当性。内部审计可以采用多种风险分析方法对企业内部和外部的风险要素进行识别分析,判断企业管理层是否对主要风险均已识别和分析,并充分考虑风险可能造成的影响,为进行风险评价奠定基础。
确定风险评估的恰当性 在企业进行风险评估的过程中,企业要对已识别的风险事件进行定量和定性的分析,分析风险产生的重要性及可能性。内部审计应首先对风险性质及程度的衡量与界定进行评价,这关系到进行风险处理的依据是否可靠。其次,应对管理层的风险评估过程的适当性、执行的有效性进行评价,找出需要修改完善的地方,为各级管理层提供专业审计意见。
评估风险对策的有效性 内部审计在企业风险对策活动中发挥的作用,直接反映在审计成果中,是审计价值的重要体现。企业根据对风险的评估和判断,应采取相应的措施和方法来进行风险处理,以降低和抑制风险损失,获取风险收益。在风险对策活动中,内部审计应分析风险回报的合理性、评价风险措施的有效性。面的限制,则可以设置非正式的风险管理委员会开展评价活动。
评价风险监控的合理性 对企业风险管理的监控是指评估风险管理要素的内容和运行以及执行质量的一个过程。在这个过程中,内部审计首先应当从评价企业各部门的内部控制制度入手,审查企业经营活动中重要环节相关控制制度设置的合理性以及执行的有效性,识别并防范风险。其次,应当密切关注可能引致风险的重要事项,了解企业的风险偏好,与相关管理层讨论部门的目标、存在的风险,并评价管理层采取的风险监控活动的有效性。第三,应当以企业总体风险组合的观点看待风险,协调各部门共同管理企业,从全局角度识别并评价风险,提出改进建议来协助企业管理层履行其职责,以保证企业目标的实现。
二、内部审计在风险管理中的不足及成因
内部审计人员对风险和风险管理缺乏认识 我们的内部审计人员,大多数由财会部门抽调,所以他们的知识结构比较单一,对于风险管理等管理领域的知识比较欠缺,这就造成了他们尽管对于内部审计等审计业务比较熟悉,但是对于风险管理和先进的风险管理理论不甚了解。很多企业的领导,大多数重视经营效益而轻视企业内部深层次的管理,对企业的风险管理不够重视。
风险管理审计开展较少,审计方法落后 由于内部审计人员对风险和风险管理认识上的不足,再加上受到成本、企业政策、人事安排等诸多方面因素的影响,很少有企业经常对风险管理进行专项审计,甚至有不少单位从未进行过风险管理审计。而即便企业进行风险管理审计,他们往往也没有采用先进的审计方法,只有极少的企业中,内部审计人员采用风险基础内部审计,而不少的企业采用的是相对落后的控制基础内部审计甚至账项基础内部审计。
三、相应的对策建议
提高内部审计人员的专业素质和综合胜任能力 在内部审计人员的选聘上要选择专业素质过硬,综合能力较强,职业素质较高的人员。不仅如此,对于在岗人员,也要加强后续的教育,增强他们内部审计的专业能力和综合素质,使他们逐步熟悉内部审计业务,提高他们对内审工作的综合驾驭能力;要特别加强风险管理等方面的培训,使内部审计人员能全面了解风险和风险管理,从而使内部审计在风险管理中更好地发挥作用,更好地为企业实现经济目标服务。
企业决策层应提高对内部审计工作的重视 企业的管理者要端正对内部审计的态度,要全面认识到其在风险管理中和企业目标实现上的重要作用。企业内部应广泛宣传风险管理内部审计的重要性,使整个企业达成加强风险管理内部审计的共识。除了在思想上,在行动上,要提高内部审计机构和内部审计人员的地位,使内部审计机构成为企业管理机构中必不可少的一个部门,并且为内部审计创造良好的环境,使内部审计人员在稳定的环境中工作。
提高审计人员独立性。内审机构和人员的独立性是内部审计实现其职能的前提条件。中国企业要想真正发挥内部审计在风险管理中的作用,应该设置专门的审计机构,并提高内审机构的直属领导层次,因为内部机构隶属关系的层次越高,其独立性越强;权威性越高,审计工作越容易展开。例如在董事会下设立内部审计机构,直接对董事会负责。改进审计方法,将风险基础内部审计纳入企业经营管理之中。
企业内部审计人员必须认真学习并贯彻实行风险基础内部审计,与此同时要及时关注内部审计理论和审计方法的更新,在工作的过程中不断学习,力求做到与时俱进。而企业其他各层级的人员特别是高层管理者和决策层,应该转变观念,注重风险,抛弃以往重效益轻风险的观念,重视风险,做到风险与效益并重,做到企业短期利益与长期发展的统一。
COSO是美国五个职业团体1985年联合发起设立的一个民间组织,当时成立的主要动机是资助“财务报告舞弊研究全国委员会”。这五个职业团体是美国会计学会、美国注册会计师协会、财务总监协会、内部审计师协会和管理会计协会。COSO主要致力于通过倡导良好的企业道德及有效的内部控制和公司治理,改进财务报告的质量。
因此说到对财务报表审计时,一般都是按照COSO发布的内部控制框架,去了解被审计单位的内部控制是否合理并有效执行。
在进行财务报表审计时,应当结合COSO发布的内部控制框架,对被审计单位的内部控制进行了解,重点考虑被审计单位某项控制是否能够以及如何防止或发现并纠正各类交易,账户余额、列报存在的重大错报,了解的目的就是评估重大错报风险,从而来决定下一步的审计程序,控制检查风险,使得审计风险在一个可接受的低水平。
内部控制主要有五个要素:控制环境,风险评估过程,信息系统与沟通,控制活动,对控制的监督。
在对被审计单位进行审计时,无论该单位内部控制是否能够实现控制目标,审计师均应涉及内部控制五个要素所设计的各个方面。
可能表达上还有点问题,你有问题的话可以把不能理解得回复,我尽量再回答仔细点,毕竟你问题也比较抽象。
2.在实施阶段,审查、评价风险管理状况。在实施阶段,围绕风险管理审计的主要内容,审查和评价风险管理状况,包括风险管理机制、风险识别过程、风险评估以及风险应对措施的审查和评价四个方面。
3.在审计报告阶段,出具风险管理审计报告,开展后续审计。按照审计过程中发现情况,依据《风险管理审计准则》出具风险管理审查和评价报告、或者出具详尽的专项审计报告,将风险管理审计的范围、内容、方式、时间以及发现的主要问题及建议报告给适当的管理层。
由于多数企业风险管理职能由内审部门承担,因此审计人员的审查评价结果可作为改进和完善风险管理工作的一项重要依据。为保证、监督风险管理审计提出的合理化建议能够得到有效落实,内审人员可以通过后续审计来复查管理层是否就报告中的建议采取合适的行动,是否取得预期效果,如果未采取行动,需要明确相应责任和原因。
4.审计过程中常用的方法。在风险管理审计不同任务阶段,可采用的审计方法有所不同。如,在制定审计计划时,可通过流程图法和文字表述法、问卷调查法(编制风险管理问卷调查表)、关键路线法确定风险管理审计开展的重点;在审查评价风险识别时,可采用决策分析、可行性分析、生产流程分析、投入产出分析、资产负债分析、排列图、因果分析、因素分解、经济活动分析法和统计分析法、鱼刺图、专家调查列举法等;在衡量风险管理措施时可使用专家调查法、风险报酬法、风险当量法、蒙特卡罗模拟方法;在后续审计阶段,可以通过座谈、查阅有关资料、现场观察等进行审计。
