我国《内部审计具体准则第5号—内部控制审计》规定:内部审计人员应实施适当的审查程序,评价组织风险管理机制的健全性和有效性。其审查的重点内容包括:可能引发风险的内外因素;风险发生的可能性和预计带来的后果;对抗风险的能力;风险管理的具体方法及效果。由此看出,审计人员充分掌握和利用好风险管理技术,是企业内部审计能否成功实施的必备条件之一。 一、风险识别技术在内部审计中的应用 风险识别是风险管理的基础,只有充分地识别出各种风险,才会有完善的风险管理。内审人员对企业风险管理机制的审查首先是从其风险识别开始的。风险识别是指借助于各种分析方法,完整地辨识出风险的来源和所在。这些方法主要有: (一)政策分析法 主要是分析辨识政府制定的政策对企业可能产生的不利影响,包括对政治社会稳定性、货币政策、财政政策、经贸政策以及环保政策等的分析,以识别危害性风险的具体来源。 (二)制式表格法 利用保险业或专业风险管理组织设计的标准表格来辨识风险。常用的表格主要有风险分析调查表、保单检视表、资产暴露分析表等。这些制式表格是针对一般企业组织设计的,可通过登陆相关组织的网站获取。其优点是经济方便,缺点是缺乏弹性,无法满足特定企业的需求。 (三)财务分析法 一是结合企业的资产负债表、损益表和现金流量表来辨识企业所拥有的实质资产、财务资产及其面临的风险;二是利用财务比率的计算来综合分析辨识企业的财务风险;三是流程图分析法。根据企业的生产流程和管理流程图来判别企业的经营风险,如图1所示。根据该企业的材料供应流程和产品销售流程,可分别判断M企业正面临供应商过于集中与客户过于集中的风险,进而判断该企业具有较大的营业中断风险。四是实地检视法。指企业风险管理人员和内审人员通过与实际操作人员面对面的沟通与交流,了解风险状况,以及实地检查企业资产等方式来判断企业风险。仅仅运用一种或两种方法是无法全面识别企业所面临风险的,因此,内审人员在评估时通过充分、合理地利用各种风险识别技术,来确认企业所面临的风险是否得到最大程度的识别。
图1 M企业生产全流程 二、风险评估技术在内部审计中的应用 在识别出风险以后,就要对其进行评估,以确定其重要性与危害程度,从而为企业的风险控制确定重点。风险评估包括两个方面:风险损失频率估计和风险损失程度估计。 (一)风险损失频率估计 估计风险损失频率,主要是通过计算损失次数的概率分布,这需要考虑三个因素:风险暴露数、损失形态和危险事故,三项因素的不同组合影响着风险损失次数的概率分布。如果企业建有完善的风险管理信息系统,也可根据信息系统提供的历史数据来估计损失频率。一般依据风险发生的可能性可将风险分成五类:几乎不发生,约每一百年或更长时间发生一次;可能但未曾发生,约每二十年发生一次;发生过数次,约每五年发生一次;经常发生,每两年发生一次;绝对发生,一年发生一次或几次。不同的企业还可予以进一步细分。 (二)风险损失程度估计 风险损失程度的估计需考虑三个事项:同一危险事故所致各种损失的形态、一个危险事故牵连的风险暴露数以及损失的时间性和金额。而对于财务风险损失程度的估计,最新的方法则是风险值(VAR)法,即在既定的风险容忍度下,市场状况最坏时确认投资组合最大的不可预期损失。同样,按风险损失程度可将各种风险划分为五类:最严重,损失金额占营业收入的10%以上者;很严重,损失额占营业收入的7~10%;中等,损失额占营业收入的5~7%;不严重,损失额占营业收入的3~5%;可忽略,损失额占营业收入的3%以下者。不同规模企业可按不同比例予以划分或细分,编制风险矩阵图表,以判断各类风险的重要性和损失程度。如表2所示可以初步确定,以2~4分为低度风险,5~7分为中度风险,8~10分为高度风险。风险度不同,企业的风险控制方法组合也会不同。内审人员在审查本企业的风险评估时,一般结合本企业的资产规模、风险承担能力、行业背景以及风险偏好等因素,评价本企业风险评估所选方法的适当性和风险划分的合理性,以最终判断确认的风险管理重点是否符合企业实际。 表1 风险矩阵表 损失频率损失程度 最严重5很严重4中等3不严重2可忽略1 绝对发生5 10 9 8 7 6 经常发生4 9 8 7 6 5 发生过数次38 7 6 5 4 可能但未发生2 7 6 5 4 3 几乎不发生16 5 4 3 2 三、风险控制技术在内部审计中的应用 风险控制是指企业根据风险评估的结果,按各类风险的重要性分别采取不同的风险控制方法,通过降低损失频率,缩小损失程度,将可能的风险损失降到最低点。一般的风险控制方法有: (一)风险规避 当风险所造成的损失不能由生产经营活动获得的利润予以抵消时,放弃该项经营活动以规避风险就成了最可行的方法。风险规避包括完全规避与部分规避两种。完全规避,要不惜放弃伴随风险而来的盈利机会。部分规避,则要综合考虑成本因素和社会、心理等其他非经济因素。规避一般包括两种策略:一是进攻型规避,即在高收益和低风险替代选择中,选择高收益而不顾忌风险;二是防守型规避,即在高收益和低风险的替代选择中,选择低风险而不在乎收益。