一、全面风险管理审计概述 风险,通常是指一种未来的不确定性。因此,COSO认为:“风险是一个事项将会发生并给目标实现带来负面影响的可能性”(COSO,2004),从而正式将企业风险纳入企业经营管理决策中。 风险管理审计属于改善企业经营效率,提高企业价值的一项重要工作。我国内部审计准则(2005)将风险管理审计界定为内部内部审计人员对企业风险进行审查和评价。就性质而言,风险管理审计作为一种全新的审计模式,是以传统的审计方法为基础,并在此基础上将审计对象扩展到整个企业的风险管理范围。因此,风险管理审计作为内部审计模式的新发展,它具有与传统审计不同的特征:(1)将全面风险管理的理念融入各个步骤;(2)注重对被审计单位持续经营能力和经营计划进行分析,从宏观上把握审计面临的风险;(3)改进控制测试,以识别可能存在的重大错报风险;(4)扩大审计证据内涵,将了解企业及其环境获取的证据也作为形成审计结论的依据。 二、风险管理审计的内容安排 风险管理包括组织层面控制架构及业务流程控制两个层面。审计人员既可对组织层面控制架构的风险管理进行审查与评价,也可对业务流程控制的风险管理进行审查与评价。企业风险管理审计包括以下方面的内容: (一)风险管理机制的审查与评价 企业的风险管理机制是对企业进行风险管理审计的基础,良好的风险管理机制是企业风险管理是否有效的前提。因此,审计人员需要审查以下方面,以确定企业风险管理机制的健全性及有效性: 1.审查风险管理组织机构的健全性 不同的企业,他们的规模大小、行业环境、风险程度、管理水平等都存在很大的不同。各个企业必须根据企业自身方方面面的特点,在全体员工参与合作和专业管理相结合的基础上,来建立规范化的风险管理的组织体系。该体系应根据风险产生的原因和阶段不断地进行动态调整,并通过健全的制度来明确相互之间的责任和权利,使企业的风险管理体系成为一个有机整体。 2。审查风险管理程序的合理性 企业风险管理机构应当关注企业的流程,而流程往往是跨部门、跨职能的。因此,企业风险管理职能部门不单仅仅是采用适当的风险管理程序,还应该对各部门做好有效的沟通,使跨部门的风险管理程序能够得到有效的发挥,以确保风险管理的有效性。 3.审查风险预警系统的存在及有效性 企业进行风险管理的目的是规避风险、减少风险,在经营风险的源头就估计和预防其发生,并且持续不断地采取监督性控制。因此,风险管理的首要工作是建立风险预警系统,即通过对风险的预测分析,预计可能发生的风险,并提醒有关部门采取有力的措施。企业的风险管理机构的人员应密切注意与本企业相关的各种内外因素的变化发展趋势,并从因素变化的动态中分析预测企业可能发生的风险,进行风险预警。 (二)风险识别的适当性及有效性审查 风险识别是指对企业面临的,以及潜在的风险加以判断、归类和鉴定风险性质的过程。审计人员应当实施必要的审计程序,对风险识别过程进行审查与评价,重点关注组织面临的内、外部风险是否已得到充分、适当的确认。 1.审查风险识别原则的合理性 企业进行风险评估乃至风险控制的前提是进行风险识别和分析。风险识别是关键性的第一步,因此组织机构中的任何人都应该关注企业风险的识别和管理。也就是说,不仅仅是管理者需要识别风险,企业的各个部门的相关人员都需要从他们各自不同的角度识别风险。这样,才能够更加全面有效地识别潜在风险,提高企业的价值。 2.审查风险识别方法的适当性 识别风险是风险管理的基础。风险管理人员应在进行了实地调查研究之后,运用各种方法对尚未发生的、潜在的、及已存在的各种风险进行系统的归类,并总结出企业面临的各种风险。风险识别方法所要解决的主要问题是:采取一定的方法分析风险因素、风险的性质以及潜在后果。需要注意的是,风险管理的理论和实务证明,没有任何一种方法的功能是万能的。因此,对风险识别方法的适当性进行审查和评价时,必须注重分析企业风险管理部门是否将各种方法相互融通、相互结合地运用。 (三)风险评估方法的适当性及有效性审查 审计人员应当实施必要的审计程序,对风险评估过程进行审查与评价,用以判断风险评估的方法是否适当,是否全面,并重点关注风险发生的可能性和风险对组织目标的实现产生影响的严重程度。同时,审计人员应当充分了解风险评估的方法,并对管理层所采用的风险评估方法的适当性和有效性进行审查。 (四)风险应对措施适当性和有效性 审计人员应当实施适当的审计程序,并根据成本效益的考核与衡量等因素,对风险应对措施的适当性进行审查,评价应对措施是否能及时有效地应对风险,从而将风险可能造成的不良影响降到最低,尽可能地使企业少受损失。 三、风险管理审计的程序 风险管理审计也可以分为计划阶段、实施阶段和报告阶段,但在具体内容上与系统导向审计有着较大的差别。 (一)制定内部战略审计计划 制定内部战略审计计划是整个审计框架的第一阶段。在这个阶段,审计师需要运用各种方法对被审计单位的情况进行全面的了解,如召开座谈会,查阅有关年度档案资料,走访有关部门,进行实地考察等,初步确认审计风险。 (二)了解企业经营情况和识别风险 了解企业经营情况和识别风险是整个审计框架的第二阶段。在这个阶段,审计师需要根据企业整体框架来了解企业风险管理行为的有效性,并且分析企业的经营情况和信息的流程。了解企业情况可以使审计师确认影响财务报表审计的重大错误、舞弊以及审计失败风险,并追溯其产生的源头,还可以使注册会计师发现对该企业进行改进的机会。此外,还可以确认那些低风险的重要账户,并根据审计准则对其进行实质性测试。