【摘要】面对快速发展、复杂多变环境,企业风险呈现急剧增加趋势,这些风险为企业价值增值带来威胁和机遇。通过风险管理审计,加强企业风险管理的监督和评价,有效促进企业价值增值。文章探讨风险管理审计的概念和特征,分析风险管理审计主体、基本内容和实施程序,剖析我国企业风险管理审计的突出问题和相关对策。
【关键词】风险管理审计;概念和特征;审计主体;内容;程序
企业规模扩大,新兴经济组织如雨后春笋般地涌现,现实环境不确定性因素日益增加,企业必然面临着复杂多样风险,实施有效风险管理成为促使企业持续发展壮大和快速价值增值的必要保障。通过风险管理审计,对企业风险管理发表审计意见,切实帮助企业改善风险管理。因此,国际和国内内部审计准则强调内部审计人员应积极开展企业风险管理审计,将风险管理审计作为其必要职责。
一、风险管理审计概念及特征
(一)风险管理审计概念
20世纪末至21世纪初,内部控制成为企业管理核心,内部控制以风险管理为基础,风险管理成为企业加强内部控制的重要手段。风险管理审计不仅积极评价传统的内部控制,更全面审核和分析风险管理机制。众多成功企业内部审计已经把“对企业风险管理提供建设性审计意见,独立地提供改善建议”作为其基本目标和职责,从风险管理视角持续研究和思考公司治理和企业经营管理,并采取持续改善企业风险管理的有效措施。因此,风险管理审计指审计组织和人员对企业风险现代企业风险管理审计的优化路径探析任富强(西藏民族大学)管理收集审计证据,判断其符合相关标准的程度,发挥监督和评价组织风险管理的审计职能,为实现企业价值增值目标提供合理保证的系统性活动。
(二)风险管理审计特征
风险管理审计与现代风险导向审计密切联系,又存在显著区别。通过与现代风险导向审计的比较,能够揭示风险管理审计的基本特征。
1.密切联系
(1)风险管理审计促进现代风险导向审计。通过风险管理审计,监督和评价风险管理有效性,促进企业提高风险管理水平,能够有力降低企业风险,良好的企业风险管理能提高风险导向审计、风险评估结论的可靠性,进而降低风险导向审计风险,有效提高风险导向审计质量和效率。(2)具有共同的审计标准、内容和目标。两种审计均需以企业的风险管理方针、策略和风险评价指标体系为审计评价标准,形成审计结论;两种审计需审查组织风险范围确定、风险识别、风险评价、风险管理措施和方法等,因而具有相同的基本审计内容;两种审计具有提供战略决策信息依据,服务于战略目标的实现,促进企业价值持续增加的相同目标。
2.相互区别
(1)两者审计目标有差异性。风险管理审计目标是通过风险识别、风险严重程度评估,对企业风险管理政策的合理性、管理措施的适当性以及执行有效性发表审计意见;风险导向审计目标是识别和评估企业风险,根据风险评估结果,计划其他审计程序的性质、时间和范围,最终对企业财务报告、经济效益和内部控制符合有关标准程度发表审计意见。(2)体现不同审计功能。审计功能已经从最初的财务报表审计功能,拓展到认定的鉴证功能,又拓展到对系统等客观事物和认定的认证功能。风险管理审计中的审计师站在企业战略管理的高度,系统性审核企业风险管理流程和控制措施,并以企业内部控制为审核重点,判断企业风险管理流程和控制措施的健全性和有效性,进而对企业风险管理系统发表认证意见,充分发挥审计对系统和认定的认证功能。风险导向审计通过风险评估,计划其他审计程序的性质、时间和范围,对财务报表等信息载体符合有关标准的程度发表审计意见,充分发挥审计对信息载体或认定的鉴证功能。因此,风险管理审计体现了审计的认证功能,风险导向审计体现了审计的鉴证职能,风险管理审计处于审计功能拓展的更高阶段。(3)审计服务范围不同。风险管理审计主要服务于企业内部经营管理,帮助企业管理层发现管理漏洞,提供改善企业管理的对策建议。当风险导向审计被用于经济效益审计时,其服务于企业内部改善经营管理需要;当风险导向审计被用于财务报表审计、内部控制审计、经济责任审计等时,其服务于外部利害关系人明确受托经济责任履行状况的外部需要,即风险导向审计服务于企业内外需要,但主要服务于企业外部需要。(4)审计工作范围不同。风险导向审计目标是对财务报表等发表审计意见,其仅关注影响财务报表可靠性等的风险状况,较少考虑无关的风险状况;风险管理审计目标对风险管理发表审计意见,相比现代风险导向审计,其更远、更多地覆盖企业风险管理,它既囊括现代风险导向审计基本内容,又扩大审计关注至企业战略目标、管理层的风险容忍度、主要风险评价指标以及企业绩效评价分析等更为深入和全面的区域,为实现企业战略目标,风险管理审计积极关注优化企业风险管理问题,使得风险管理审计已经成为企业风险管理的重要组成要素。
二、现代企业风险管理审计主体、内容和程序
(一)现代企业风险管理审计执行者主要是内部审计主体
在西方当社会经济发展到特定阶段时,企业内部管理层次深化、规模扩大,基于企业加强管理与监督需要而产生内部审计,并随管理需要而不断发展内部审计。内部审计从最初的侧重于发挥企业监督职能的目标,转向侧重于发挥内部审计评价职能的目标,从而增加组织价值,改善组织经营。我国市场经济起步较晚,推广企业内部审计时,市场经济机制尚不成熟,并非在企业内部管理的自愿需求推动下产生和发展内部审计,在政府审计部门强制性要求下建立和发展内部审计。随着我国市场经济机制快速发展并日渐成熟,企业内部审计逐渐成为企业自发内在需求。企业内部审计目标在于协助和支持企业管理层实现相关目标,努力实现企业价值最大化目标。企业风险管理审计总体目标是监督并评价企业风险管理适当性和有效性,发现风险管理漏洞,并提出完善企业风险管理的建议,促进企业最大限度实现目标并增加企业价值,因而内部审计目标与企业风险管理审计目标具有天然的一致性。内部审计机构和人员长期扎根于本企业,其掌握了更多、更深的企业经济活动信息,并能长期跟踪企业经济活动,承担了改善企业经营管理的“家庭医生”角色,因而相比外部审计主体,内部审计主体具有实施本企业风险管理审计的领先优势,其能够更有效地发挥审计客观职能,因而内部审计机构和人员成为开展风险管理审计的主要主体。
(二)现代企业风险管理审计内容
企业存在整体层面与业务流程层面的风险管理,审计人员需从两个层面审查与评价企业风险管理,其应当包括以下具体内容:
1.审查和评价风险管理系统的健全性和有效性
(1)审查企业风险管理系统设置的健全性与合理性
企业依据社会经济环境对企业战略目标的影响,考虑企业经营性质、经营规模、管理水平等因素,建立健全企业风险管理组织机构、业务流程,配备胜任的人员,明确不同层次管理层的职责划分,制定风险管理规章制度和工作计划,从而建立具有健全性与合理性的企业风险管理系统。审计人员既需审查风险管理系统设置的健全性,发现漏洞,又要评价该系统设置的合理性,揭示多余的、重复的、无效的机构、岗位或程序。
(2)审查风险管理程序的合理性和有效性
企业建立业务流程,在业务流程中设置风险管理程序,通过严格的程序化处理,管理企业风险。审计人员必须关注风险之间的联系,审查风险管理程序的合理性,在此基础上,审核企业业务流程中控制程序运行的有效性。
(3)审查风险预警系统的科学性及有效性
风险管理的重心在于从企业外界环境出发,分析实现战略目标的阻碍因素和促进因素,依据企业经营性质、规模和管理水平,建立健全企业风险预警机制,及时发现风险并采取适当的风险管理措施,既消除或最大限度降低企业风险带来的损失和可能性,又及时抓住风险带来的机会,为企业创造价值。审计人员依据企业战略目标,从企业全局出发,分析企业风险预警机制的科学性和有效性,提供改善企业风险预警机制的建议。
2.审查企业风险识别的充分性和有效性
企业通过健全与合理的风险管理系统,识别企业所处社会经济环境中影响战略目标实现的因素,如国际经济形势发展、政府法规政策变化、行业竞争状况更替、科学技术手段提升、管理思想方法推进等,及时识别影响企业战略目标实现的战略风险;企业通过业务流程与控制措施管理风险,在此过程中,密切关注企业生产经营和管理活动存在的风险因素,加强上下级和同级信息沟通,敏感觉察不利因素,有效识别企业内部风险。风险管理人员应在实地调查研究之后,运用各种方法系统归类尚未发生的、潜在的风险及已经存在的各种风险,总结企业面临的各种风险。识别风险是风险管理的基础,审计人员审查企业识别内外风险的有效性,发现漏洞,避免企业遗漏重要风险,改善与提高企业风险识别水平。
3.审查企业风险评估的可靠性及有效性
企业针对识别的风险,需评估这些风险带来的损失金额即发生可能性,进而决定采取风险规避、风险分担、风险降低中某一风险管理策略;其次,企业通过风险评估,发现可供利用的机会,采取利用机会的措施。审计人员采取适当的审计方法,收集审计证据,判断企业风险评估与相关标准的符合程度,这些标准可能来自企业内部和外部,也可由审计人员根据实际情况,制定相关审计标准。
4.审查风险管理策略与措施的合理性及有效性
企业确定可接受风险水平,针对识别和评估的企业风险,可供选择的风险管理策略有风险规避策略、风险分担策略和风险降低策略,企业选择适当的风险管理策略后,借助企业业务流程,实施系统化配套型的风险管理措施。审计人员评价可接受风险的恰当性,判断企业风险管理策略的科学性,审查企业风险管理措施的合理性和实际有效性。
(三)风险管理审计程序
1.实施战略风险分析
搜集国际形势、国家法规政策、所在行业及企业当前发展趋势信息资料,识别、评估这些信息资料显露的组织战略风险,识别外界环境阻碍或促进企业发展的因素,进而判断企业外界环境对实现企业战略目标的影响,识别、评估企业战略风险。
2.确定可接受风险水平
检查公司政策,董事会和审计委员会的会议记录,评价企业风险管理观念和方法,判断企业对风险(主要指经营风险)的接受程度,确定可接受风险水平。
3.开展流程风险分析
为了克服企业风险,企业设置并执行业务流程,通过业务流程管理风险,但业务流程的局限性导致业务流程并不能将风险降低为零。审计人员开展流程分析,评估剩余风险。(1)检查以前发表的风险评估报告。分析历史风险评估报告,推断企业目前的风险状况。(2)执行控制测试程序。审计人员采用观察法、询问法、检查法、重新执行法、穿行性测试法等检查风险管理策略或措施的有效性。(3)分析流程风险。在风险难于量化,难于获取定量评价指标时,常运用定性方法,比如调查问卷法、SWOT法、流程图法等。(4)与组织管理层沟通。与组织管理层讨论有关部门的目标,相关风险及其控制活动,充分考虑相关部门和人员的意见,提高风险管理评估结果的可靠性和实用性。4.总结风险管理审计结论。综合评价收集的风险信息,独立评估风险管理活动的有效性,评价企业是否达到本行业最佳风险管理水平。
三、我国企业风险管理审计的典型问题及相关对策
(一)我国企业风险管理审计的典型问题
1.侧重审计风险管理过程,忽略风险管理效果
风险管理涵盖整个企业,尽管国内外的一系列准则和理论研究明确认为风险管理审计既要覆盖风险管理工作的各个流程,评价风险管理实施情况和效果。但已经开展的风险管理审计主要审计风险管理流程,更多地关注过程性内容,如是否定期开展风险识别工作、风险预警机制是否按要求运行等,较少关注风险管理的效果性。在风险管理审计中仍然大量依赖审计判断,通过审计判断,实施审计程序,形成审计结论,包含大量审计判断的审计结论只能提供合理保证,为了提高合理保证程度,必须将过程审计与结果审计紧密结合。
2.视风险为独立个体,忽视风险间的普遍联系
将风险视作独立个体,对各风险分别实施审计工作,分散地开展评价单个风险应对举措,未能深入剖析风险之间及应对举措之间关联性,导致审计结论就事论事、浮于表面,缺乏全局观,与企业战略与价值缺乏有效关联。审计实务中常发现重大风险事件的成因往往在价值链上游,有的事件甚至经过多个环节层层传递风险,即各环节的风险具有普遍联系。单个风险的影响能够被容忍时,但风险的累积影响极可能是重大的,此时的单个风险不可容忍。审计人员未能系统性地评价企业的风险管理,忽视风险的联系将直接导致忽视风险的累计影响。
3.依据传统审计标准评价发现问题,未能充分考虑风险容忍度
在风险管理审计过程中,基本仍沿用传统审计(如财务报告审计、内控审计、经责审计)标准,未能充分考虑风险管理特点,即风险容忍度。如风险管理审计中常发现未能严格执行部分管控措施,在判断是否属于风险管理缺陷时,未融入企业风险容忍度,未能密切联系风险发生可能性、损失金额,适当地评价风险的严重程度,或者简单地判断存在风险管理缺陷,但实际在经营中常常并没有发生实际损失,风险管理审计结论“草木皆兵”,过于敏感,导致审计结论严重脱离企业经济业务实务,徒增企业管理成本的现象;或者风险管理审计结论过于乐观、冒险,但企业发生重大损失,未能帮助企业“防患于未然”;未能客观评价风险管理工作,审计成果无法得到企业认可和有效运用。由于上述问题,导致审计工作的成效与价值较难更有效地促进企业价值增值,众多企业认为风险管理审计中看不中用,其未肯积极开展风险管理审计。
(二)改善我国企业风险管理审计的对策
1.改善剩余风险管理审计,增强审计实效性
企业通过科学设置业务流程,努力控制企业风险,但业务流程存在固有局限性,经济业务经过业务流程后,仍然存在一定剩余风险,即剩余风险不可能降低为零。企业风险管理措施不当或存在漏洞是剩余风险主要原因,剩余风险导致风险管理失效现象,其体现了企业风险管理的最终效果,因此,通过加强剩余风险管理审计,既避免审计结论过于谨慎、敏感,而徒增企业管理成本,又要防范审计结论盲目乐观、过于冒险而给企业造成不必要损失。首先,审计人员充分把握风险因素的特征,准确识别风险因素,测试风险管理政策,分析风险管理不足之处,确定哪些剩余风险属于高危风险。其次,应当综合性评价剩余风险,综合考虑企业剩余风险发生的可能性和损失金额,将剩余风险进行科学合理地排序,针对不同序次剩余风险,帮助企业采取梯度性管理措施,增强风险管理审计结论的稳妥性。
2.系统性评估风险管理
单个风险的单独影响不重要时但多个风险的累积影响可能是重要的,审计人员既要考虑风险的单独影响,也要考虑风险的累积影响。企业通过细致分工与协作基础上的业务流程开展业务活动,风险往往具有传导性,审计人员需充分考虑传导性风险滋生的其他风险。首先,审计人员综合考虑企业目标,做好充足的调查工作,深入相关审计领域,发现如企业文化、内部控制体系、业务交易系统等方面的风险因素,审计人员相互交流和讨论掌握的信息,在普遍联系中验证企业风险管理状况,科学合理地评价风险管理。其次,针对管理层的风险管理自我评估进行实地观察,验证这些自我评估的可靠性、全面性和深入性。最后,审计人员系统性评估风险管理相关的工作薄弱环节,并与管理层沟通这些环节,努力取得管理层对审计结论的支持和认可。
3.设置和运用可接受风险水平,提高审计效率性和效果性
充分认识企业风险的必然性、客观性,即企业风险不可能降低为零,设置恰当的可接受企业风险,有助于将评估的企业风险与可接受风险的比较,采取恰当的风险管理策略和措施。审计人员评价可接受风险的适当性,判断企业运用可接受风险实施风险管理的合理性和有效性,进而科学合理地做出风险管理审计结论;通过可接受风险水平,指导和安排审计工作,提高审计效率,尽早提供风险管理审计报告,使得企业各部门及时采取改善企业风险管理的措施。
主要参考文献:
[1]陈巍,阎栗,张东风,胡霜竹,蔡晓勇,许波东,马莹,季晓禹.“三链互动点面结合”的风险管理审计研究[J].中国内部审计,2018(01):44-49.
[2]王学龙.经济效益审计[M].大连:东北财经大学出版社,2015(08).
作者:任富强 单位:西藏民族大学
