基于审计发现的风险预警功能研究

作 者:
饶艳 

作者简介:
饶艳,中国人民银行上海总部

原文出处:
现代审计与会计

内容提要:

02


期刊代号:V3
分类名称:审计文摘
复印期号:2016 年 10 期

关 键 词:

字号:

      组织的风险管理比较注重风险的事中控制和事后补救,而事前风险预警则较为薄弱。发挥以审计发现为引导的风险预警功能,在一定程度上能够使组织的风险管理更具前瞻性和有效性。从这个意义上说,研究审计发现的风险预警具有较强的现实意义。

      一、审计发现及其风险程度评估

      (一)审计发现

      审计发现是基于审计判断所发现的可能对组织产生不利影响的情况。审计实践中,我们一般把审计发现分为三类:审计发现问题、被审计单位关注事项、上级单位关注事项。审计发现问题是指审计发现的已经明确违反现有制度并需要及时整改的违规问题;被审计单位关注事项是指审计发现的管理缺陷,虽未明确违反现有制度,但仍然存在一定风险的事项,需被审计单位予以关注;上级单位关注事项是指审计发现的属于上级单位应予以关注的制度、系统设计缺陷等事项。

      (二)风险程度评估

      审计发现的风险程度评估是风险预警的前提,涉及发生频率和危害程度两个重要指标,充分考量审计发现的“发生频率”和“影响程度”两个纬度,能对审计发现的风险程度具有较为全面的认知。

      1.衡量发生频率。发生频率是衡量审计发现的风险程度的重要指标。在确定风险程度时,应全面考虑审计发现的发生频率。将审计发现的发生频率划分为4个等级,分别明确各个等级的定性和定量标准,并相应给予1~4的评分,具体内容如表1所示。此外,由于不同的单位内部控制水平有所差异,对同一审计发现,发生频率的评估结果因个体差异会有所不同。

      

      2.评估危害程度。危害程度是评估审计发现的风险程度的一项重要指标。危害程度的评估应综合参考定性和定量标准,若部分审计发现不涉及经济损失则主要参考定性标准。审计发现的危害程度划分为4个等级,分别确定各个等级的定性和定量标准,并相应给予1-4的评分,具体内容如表2所示。值得说明的是,定量标准(资金损失)是内审人员根据被审计单位的自身地位和业务规模确定的标准,它仅代表在某一时点内审人员站在管理层的角度作出的量化衡量与评估。

      

      二、确立风险等级及其预警区域

      (一)计算风险值

      审计发现的风险值由发生频率和危害程度的评分计算而得,即发生频率的4种不同评分(1,2,3,4)分别与危害程度的4种不同评分(1,2,3,4)相乘,得出审计发现的风险值(风险值=发生频率评分×危害程度评分)。审计发现的风险值是对审计发现风险程度的量化结果,它将作为进一步明确风险等级、确定风险预警区域的重要依据。

      (二)明确风险等级

      参照风险评价表(表3)风险值区间的数据,找出审计发现的风险值所对应的区间,从而明确审计发现的风险等级。

      

      (三)确立风险预警区域

      将审计发现的“发生频率”和“影响程度”的评分分别标注在风险坐标的横轴和纵轴上,并根据相应的风险值,定位审计发现分布的风险预警区域。由风险坐标图(图1)可知,方框内的数字表示计算后的风险值,方框的颜色表示该风险值所对应的风险等级与预警区域。如白、浅灰、深灰、黑色四个预警区域分别对应风险等级的1级、2级、3级、4级,不同的风险预警区域所对应的风险预警措施将有所不同。

      

      三、白、浅灰、深灰、黑色四色预警措施

      (一)白色

      分布于白色预警区域的风险为低度风险,在该预警区域的风险程度最低,在一般情况下即使有风险,对被审计单位的影响不大,是单位可接受的风险。被审计单位可通过内控措施的有效执行对该区域的风险加以防控。

      关注:对这个区域的风险应当采取及时有效的预防措施,减少小风险演变成大风险的可能。通常以被审计部门的及时整改和自查自纠等方式加以防控。关注被审计部门的整改与自查的情况,及时有效地从日常过程中消除风险隐患。

      (二)浅灰色

      分布于浅灰色预警区域的风险为中度风险,该预警区域的风险程度中等,这种风险虽然未达到影响全局的程度,但对被审计单位仍会产生一定影响,内部审计部门应提醒被审计单位的相关部门加以关注和及时防范风险。

      跟踪:可采取审计简报等书面形式向风险对应的部门发出警示,并通过不定期、不间断、连续性对风险进行动态跟踪。还可以选择开展跟踪审计及时掌握审计整改和风险防范的情况。

      (三)深灰色

      分布于为深灰色预警区域的风险为较高风险,该预警区域的风险程度较高,对被审计单位会产生明显影响,需要引起被审计单位及其管理层的重视。内部审计部门应该采用风险提示等多种形式,提请被审计单位及其管理层重视并研究风险的防范与控制。

相关文章: