論內部審計在風險管理中的確認作用

鄭 杰

(河南豫光金鉛集團有限責任公司,河南 濟源 459000)

論內部審計在風險管理中的確認作用

鄭 杰

(河南豫光金鉛集團有限責任公司,河南 濟源 459000)

現階段組織管理人員對風險的空前重視,為內部審計提供了絕好的機會。內部審計對風險管理的介入,會使內部審計在組織發展中成為重要的角色,夯實其在組織發展中的重要地位。文章立足于國內審計實務,融合國際先進理念,從風險管理機制、風險識別過程、風險評估過程、風險應對措施這四個方面論述內部審計在組織風險管理中的確認作用。

內部審計；風險管理；確認作用

內部審計是一種獨立、客觀的確認和咨詢活動,旨在增加價值和改善組織的運營。它通過應用系統的、規范的方法,評價并改善風險管理、控制和治理過程的效果,幫助組織實現其目標。風險控制框架確定風險管理的8個基本要素是：控制環境、目標設定、事件識別、風險評估、風險應對、控制活動、信息與溝通、監控。內部審計的核心功能之一是圍繞這幾方面為董事會提供關于風險管理效果的客觀確認。根據研究,董事會成員最為認可的內部審計為組織增加價值的方式：一是為主要業務風險已得到適當管理提供客觀確認；二是為風險管理和內部控制框架正在有效地運作提供確認?；谏鲜隼砟?并結合工作實踐,應從以下四個方面來論述內部審計在風險管理中的確認作用。

1 對風險管理機制的確認

風險管理機制是組織進行風險管理的基礎,良好的風險管理機制能夠為組織風險管理的有效性提供保障。內部審計人員可以從以下兩個方面,審查和評價組織在風險管理機制上的健全性和有效性。

1.1 審查和評價風險管理體系

組織應該依據自身風險偏好、管理水平、規模大小以及經營方式等特點建立一套規范化的風險管理體系。該體系以全員參與和專業管理相結合的方式,囊括風險管理負責人、專業風險管理層、非專業風險管理層和外部的風險管理服務商等層級。依據風險產生的原因和所處階段,持續地進行動態調整,并通過健全風險管理制度來明確彼此之間的權力和職責,使組織的風險管理體系成為一個有機整體。這樣以全局的視野審查和評價風險,可以盡可能地規避風險以及減少風險在不同機構、部門之間的傳遞。例如：采購部門為了節約采購成本等目的,可能會在材料質量上出現缺陷,導致生產車間、銷售部門出現相應的產品質量和產品銷售風險,從而給組織帶來更大的經營風險等。

1.2 審查和評價風險預警系統

風險管理是識別、評估、管理和控制潛在事件或情況的過程,目的是為實現組織的既定目標提供合理保證。在風險管理中的一個重要工作是建立一套風險預警系統,通過對風險進行科學的分析及預測,判斷可能發生的風險,并及時提醒相關部門或人員采取應對措施。組織的風險管理部門和人員應密切關注組織的內、外部環境變化及發展趨勢,并將相關影響因素導入風險預警系統,以便有效發揮其作用。

2 對風險識別過程的確認

中國內部審計協會關于《風險管理審計準則》第九條規定：“內部審計人員應當實施必要的審計程序,對風險識別過程進行審查與評價,重點關注組織面臨的內、外部風險是否已得到充分、適當的確認。”

風險識別是對組織現有及潛在的風險進行判斷分類并鑒別風險性質的過程。內部審計人員可以審查和評價風險識別過程。具體來說,可以包括以下內容：第一,詢問相關人員,充分了解組織內、外部環境以及各層級的目標和經營情況；第二,審查組織開展風險識別所形成的書面文檔,并關注其是否涵蓋了各個層級的所有內、外部風險；第三,運用分析性復核技術,確認組織經營活動中面臨的重大差異和控制缺陷。

3 對風險評估過程的確認

風險評估是通過各種技術手段估計風險大小,從而形成風險應對措施的過程。風險評估可以通過定性或定量的方式進行。定性方式是通過性質術語描述風險發生的可能性及其影響程度。例如：風險發生的可能性可以用“高”“中”“低”來描述,影響程度可以用“嚴重”“一般”“輕微”來描述。定量方式是通過具體數量描述風險發生的可能性及其影響程度。例如，風險發生的可能性可以用“80%”“50%”“20%”來描述,影響程度可以用“損失1000萬元”“損失500萬元”“損失200萬元”來描述。總的來說,定性方式應用簡單,但不夠精確；定量方式比較精確客觀,但應用難度大,因為并非所有風險狀況都可以量化。在風險評估的過程中,應當充分考慮具體情況,選擇適當的評估方式得出結果。

內部審計人員審查和評價風險評估過程時應考慮以下因素。

3.1 已識別風險的特征

由于風險特征的不同,管理層在評估過程中所采取的方式也是不一樣的。因此,內部審計人員應結合已識別風險的特征,以評價管理層風險評估結果的適當性。例如,已識別風險的后果采取定量評估方式,用金額表示,那么內部審計人員應判斷該描述金額是否恰當。如果已識別風險的后果采取定性評估方式,那么內部審計人員應判斷管理層所作的定性判斷是否恰當。

3.2 數據的可靠性和可預測性

無論采用何種方式進行風險評估,都有賴于相關的歷史數據。當風險事項的相關歷史數據真實可靠,并且適合用模型進行預測時,可使用定量評估，如果不具備相關歷史數據或不具備可預測性,則較難使用定量評估。內部審計人員應判斷管理層所應用的評估方式是否與相關數據特點相符。

3.3 管理層的風險評估技術能力

管理層進行風險評估的技術能力也是內部審計人員必須考慮的因素。其中,定量評估需要掌握數據模型和信息技術方面的知識,定性評估則需要評估人員擁有豐富的業務經驗。內部審計人員要充分考慮管理層的風險評估技術能力是否與所使用的評估方式相匹配。

3.4 成本效益的考核與衡量

內部審計人員應判斷管理層在開展風險評估過程中所使用的方式是否符合成本效益原則,即該方式帶來的效益能不能超過其成本。通常定量方式在應用上比較復雜,很多時候需要信息技術進行輔助,整體成本較高。而定性方式應用簡單,成本較低,但其結果更加主觀,不如定量方式準確。

4 對風險應對措施的確認

風險應對措施也被稱為風險管理工具的選擇,它是指在識別和評估組織所面臨的風險后采取的措施。具體包括回避、預防、保留和轉移四種方法。根據國際內部審計師協會在內部審計實務公告中的建議：發生的可能性高、影響程度嚴重的風險,可考慮回避應對策略；發生的可能性低、影響程度嚴重的風險,可考慮預防應對策略；發生的可能性低、影響程度輕微的風險,可考慮保留應對策略；發生的可能性高、影響程度輕微的風險,可考慮轉移應對策略。當然,具體采用何種措施應當依據組織的實際情況以及風險的特點綜合考慮。

內部審計的主要職責在于評價風險應對措施的適當性和有效性。具體來說包括以下因素。

4.1 適當性

組織擬采用的風險應對措施應該適合自身的經營管理特點,內部審計人員在評價風險應對措施的適當性時,要充分考慮這一要素。此外,是否符合成本效益原則也是判斷風險應對措施是否適當的重要考慮。如果一項風險應對措施的效果非常好,但是成本極高,那么這種措施并不一定適當；反之,如果一項風險應對措施根本不起作用,即便成本很低,也不能予以采用。組織應當選擇在成本和效益之間取得平衡的風險應對措施。

4.2 有效性

剩余風險是指采取措施以減少負面事件的影響及可能性之后仍然存在的風險。內部審計要評價風險應對措施的有效性,關鍵就在于采取了應對措施后剩余風險是否在組織的可容忍范圍內。內部審計人員應該對剩余風險進行評估,確定當前的剩余風險水平,如果該風險已經降低到可容忍范圍內,就可以判斷該風險應對措施是有效的。

5 結 論

總的來說,管理層應當確保在組織中存在良好的風險管理過程并使其發揮作用。董事會負責監督是否存在適當的風險管理過程以及這些過程是否充分、有效。內部審計師則是對管理層和董事會提供幫助,就管理層的風險管理過程充分性和有效性進行審查、評價,報告和提出改進意見。只有捋順上述各方的關系與責任,才能保證內部審計更好地發揮作用,以實現組織的目標。

[1]中國內部審計協會.內部審計具體準則第16號——風險管理審計[R].中國內部審計協會，中國內部審計協會，2014.

[2]國際內部審計師協會.國際內部審計專業實務框架[R].國際內部空城計師協會，2013.

[3]孫銀鋼.內部審計在風險管理中發揮保障作用的研究[J].經營者2016,30(1).

10.13939/j.cnki.zgsc.2016.49.146