(一)风险管理审计概念
风险管理审计是指审计机构合理地采用一种规范化、系统化的方法来进行测试各业务
循环、风险管理信息系统以及相关部门的风险管理、识别、分析、处理及评价等为基础的一系列审核活动,对机构的监督、风险管理及控制过程进行评价,从而提高过程的效率。
帮助机构实现目标。国际内部审计师协会(IA)2001 年版《内部审计实务标准》倡导组织内部应开展以风险为导向的内部审计。
(二)风险管理审计的意义
内部审计是风险管理的一种手段、一种方法,而风险管理则是内部审计的一个新领域、一项新的内容。从发展趋势来看,内部审计不仅越来越关注风险,同时,也是风险管理的重要组成部分。内部审计更强调确认经营风险是否能够得到有效管理,由对政策和交易事项的遵循的评价,转变为对风险、目标和战略管理程序的关注;内部审计的建议更加强调风险的控制和规避转移,通过有效的风险管理提高组织整体管理的效果和效率。风险管理审计的意义主要有以下两个方面。
1.能够全面、客观地管理风险
风险在企业内部有一定的综合性与复杂性特征,即一个部门疏于风险管理或造成的风险所带来的后果往往不是由其直接承担,而是传递到其他部门,最终可能使整个企业陷入困境。因此,有些部门可能会出现道德风险。如采购部门为降低采购成本,就会忽视对材料品质、使用效果等方面的检查,或者有意购买残次品。这种隐蔽的风险最后会在产品消费或生产过程中反映出来,最终给企业造成巨大损失,因此对风险的控制、防范需要从整个系统中进行综合考虑。但各部门受专业的局限较难做到,而内部审计部门则不从事具体业务活动,可以从客观的角度对风险进行识别,从全局出发,及时预警管理部门采取措施规避风险。
2.调控、指导企业的风险策略
由于内部审计部门处于企业的管理层、董事会和各职能部门之间,能够充当企业各种决策和长期风险策略的协调人,通过参与实施过程的监督与计划编制,可以指导、调控企业的风险策略。
内部审计通过将风险管理评价作为审计工作的重点,以评价、检查风险管理过程的有效性和充分性。
(1)评价风险管理主要目标的完成情况
主要表现在评价公司以及同行业的发展趋势和情况,检查公司的经营战略,了解公司能够接受的风险水平;确定是否存在可能影响企业发展的风险;评价风险监控报告制度是否恰当;评价风险管理结果的充分性和及时性;与相关管理层讨论存在的风险、部门的目标以及对降低风险和加强控制的活动评价其有效性;评价管理层对风险的分析是否全面,为防止风险而给出的建议是否有效、采取的措施是否完善;对管理层的自我评估进行直接测试、实地考察,审计技术的应用,以及检查自我评估所收集的信息是否准确;评估与风险管理有关的薄弱环节,并与审计委员会、管理层、董事会讨论,提出意见并实施监督。
(2)评价管理层选择的风险管理方式的适当性
每个公司应该根据自身活动来设计风险管理过程。一般来说,有市场融资能力的、规模大的公司必须用正式的定量风险管理方法;业务不太复杂的、规模小的,则可以设置非正式的风险管理委员会定期开展评价活动。内部审计人员的职责是评价公司风险管理方式与公司活动的性质是否适当。在现代企业制度下,内部审计参与风险管理要积极发挥其职能作用。第一,要积极评价内部各部门的执行力度与控制制度,以专业能力发现问题,做出相关结论。第二,工作要以点带面、以小见大,发现问题,规避风险。第三,各部门之间要协调配合。
