《风险管理导向内部审计》由会员分享,可在线阅读,更多相关《风险管理导向内部审计(7页珍藏版)》请在金锄头文库上搜索。
1、1.1 风险管理导向内部审计1.1.1 基于风险管理导向的内部审计风险导向审计(Risk -Based Auditing)。20 世纪 90 年代初期,外包成为企业实施内部审计较为普遍的方式,内部审计的职能由中介机构来实现。这使内审人员须从高于内部控制角度,综合考虑企业内外环境因素,重视对风险的全面分析,既关注经营风险又关注审计风险,据此制定与企业状况相适应的多元审计计划。四是风险管理导向审计(RiskManagement Based Auditing)。20 世纪 90 年代以后,知识经济等外部环境的变化引起企业管理重大变革,最明显的就是实施公司治理改革、强化风险管理、改造组织机构和业务流程
2、,而强化风险管理对内部审计的发展产生巨大影响。很多优秀企业的内部审计,从风险管理的视角持续审视公司治理和企业各个领域工作。此外,在风险管理的基础上,国际职业界在对传统风险导向审计方法改进过程中,创造出风险基础战略系统审计方法(riskbased strategicsystems audit approach)。该方法包括以下主要特征:了解客户的战略性优势和威胁经营目标实现的风险,以及实现战略优势所需的关键程序和相关胜任能力;利用全面的经营知识决策框架对整体会计报表包含的关键认定进行预计;将报告的财务成果与预期值比较,设计额外的审计测试工作以解决预期值与报告结果之间的任何差异。在当今资本市场,企
3、业经营失败、舞弊、违法等行为引发的风险对内审人员往往最不可控又是最致命的,这需要从公众期望、现代资本市场规律、公司治理框架,特别是风险管理视角,重新审视和发挥内部审计功能。风险管理导向内部审计的目标取决于对企业内部审计的功能定位,防范、化解和降低风险、提升企业价值是其整体目标。所谓防范、化解和降低风险,不仅指审计风险得到防范、化解和降低,而且通过企业自身风险管理活动及内部审计,防范、化解和降低企业在创造财富过程所面临的诸多风险,进而使得内部审计风险也相应降低到可接受水平。运用风险管理导向内部审计,内审人员在审计过程须自始至终关注企业风险,依据风险选择项目,识别风险,测试管理者降低风险的方法,并
4、以企业风险为中心出具审计报告。事实上,风险管理导向内部审计是风险导向内部审计的延伸,不仅将全面风险管理的理念融入到内部审计的各个步骤,还吸收了风险导向审计各种优点,将审计关注点扩大到企业的主要战略目标、管理层对风险的容忍度、主要风险评价指标,以及企业绩效评价分析等涉及现代企业整体风险管理领域的多方位、多角度。不仅如此,风险管理导向内部审计还关注为实现企业战略目标应如何进行风险优化,如企业对哪些固有风险可进行规避、转移或接受并予以控制的风险管理策略。可见,风险管理导向内部审计的核心是通过监督发挥内部审计的增值作用,而其增值作用的领域比风险导向审计更为宽泛,如涉及管理是否真正有效履行职责、管理效率
5、问题等。风险管理导向内部审计是在风险导向内部审计基础上的改进,二者的本质区别在于审计理念和技术方法的不同。风险导向内部审计的起点是企业的内部控制,偏重于内部审计行为自身的风险,关注于应采取而未采取的缓和关键风险的控制措施与过程。内审人员通过对审计对象进行风险职业判断,评价审计对象风险控制,确定剩余风险,执行追加审计程序,将剩余风险降低到可接受水平。风险导向内部审计的内在思想是审计业务必须将审计风险控制在可接受风险水平内。不是制度基础审计之外的一种方法,而是制度基础审计的发展 i。基于风险管理导向的内部审计,则关注企业当前风险管理效果与所追求的风险管理效果的差距,通过综合评估经营控制风险以确定实
6、质性测试的范围、时间和程序。其审计起点为企业的经营战略及其业务流程。如果企业的业务流程不重要或风险控制很有效,则将实质性测试集中在例外事项上。风险管理导向内部审计的优点在于,内审人员容易掌握企业存在的重大风险点,有利于节省审计成本,克服缺乏全面性观点导致的审计风险。但运用该方法也有较高要求:一是企业必须建立功能强大的数据库,以满足内审人员了解战略、流程、风险评估、业绩衡量和持续改进的需要。二是内审人员应当是复合型的人才,能够判断企业的生存能力和经营行为。三是由于实质性程序有限,当内部控制存在缺陷而内审人员未发现或测试不充分,内审人员承担的审计风险就会大大增加。1.1.2 风险管理导向的内部审计
7、的必要性证券交易所在证券市场的角色极具特殊性,它既是一个集中交易场所,又是由众多证券从业机构组成的市场中介组织;它既是市场运营组织又是市场监管机构;既是具体监管上市公司、券商和市场交易行为的一线监管机构,又是受政府管理机构监管的主要对象。这种特殊性使得证券交易所同时具备监管者和被监管者的双重性质和职能,居于承上启下的市场中枢地位。正是由于证券交易所被赋予了这些独特功能,对其开展基于风险管理导向内部审计的重要性才尤显必要。1.1.2.1 经营风险是实施审计的直接原因随着我国证券市场的快速发展,各种产品和制度不断创新,各类市场风险日渐显露,如宏观调控中的决策风险、依法监管中的法律风险以及内部资金重
8、大投资风险、信息技术和网络风险、道德风险等。加之技术的快速创新以及由此导致的制度创新,证券交易所面临的经营环境和市场竞争不确定性越来越大。在此背景下,证券交易所生存与发展的关键,更多地取决于对未来环境变化的适应和把握,必须在战略目标、投资决策、日常经营活动和绩效评价等各个方面高度关注风险因素。各职能部门在开展各自活动的时候高度重视风险,并应将其纳入到证券交易所的整体风险管理范围当中,为实现其基本目标而进行全面的风险管理,风险管理应成为高风险环境下证券交易所活动的中心任务。内部审计作为证券交易所内置的功能,应当成为其风险管理的有效组成部分,从组织目标的角度来评价与改善风险,为专业的风险管理部门或
9、专职的风险管理人员提供咨询与保证服务,从而推行风险导向内部审计。1.1.2.2 风险管理导向审计克服传统缺陷审计理论和实务发展的经验表明,着眼于以账项为基础和内部控制评价的审计模式存在着固有的局限性。即使是考虑完美的内部控制制度,也会因为工作人员粗心大意、判断失误等导致内部控制失效。传统内部审计以检查历史记录和内部控制系统的历史运营情况,提出建议和意见方式,所从事的是事后评价和反馈。内部控制是针对企业或组织过往的经营和管理而制订的,可能因为所处的内外部环境改变造成内部控制的效率下降,从而无法有预见性地自动纠偏。不仅如此,传统内部审计在评价管理活动的着眼点在于管理决策、经营活动及内部控制本身,没
10、有将这些对象与证券交易所的目标很好联系起来。现代企业管理己发生深刻变化,最主要的变化是从过程管理向战略管理转变,战略管理思想渗透到企业管理的方方面面。这种思想最根本的着眼点是分析企业所面临的风险点并找出化解风险的对策。证券交易所内部审计必须首先理解所依存的环境,基于环境制定发展战略及相关风险与控制,从而考虑对会计报告认定的影响。1.1.2.3 风险管理导向审计是功能创新的要求现代内部审计的发展是以内部控制和风险管理为中心,一旦目标达不到预期,将会使其职能的发挥面临压力。内部审计对风险管理的介入,会使其在组织中成为一个重要的角色,并将其作用推向一个新水平。证券交易所的内部审计与其经营目标紧密相关
11、,内部审计的职责就是帮助实现其经营目标。风险在证券交易所内部具有感染性、传递性、不对称性等特征,一个部门造成的风险或疏于风险管理所带来的后果往往不由其直接承担,而会传递到其他部门,最终可能使整个组织陷入困境。加之有的部门可能出现过渡道德风险. 很难从全局考虑对风险的认识和防范。近年来,独立审计将风险评价、会计咨询、投资咨询及管理咨询等业务纳入了其工作范畴,且不断扩大服务领域,向企业或其他组织提供内部审计服务。受到这种业务发展的影响, 审计署关于内部审计工作的规定要求,对本单位及所属单位内部控制制度的健全性和有效性以及风险管理进行评审,把风险管理作为内部审计的重要领域直接写入了内部审计的定义。目
12、前,国际证券交易所间并购重组浪潮风起云涌,我国证券交易所的改制和公司化之路尚未启动。然而,树欲静而风不止,市场竞争的格局已然是不争事实,主动调整发展战略,适时进行改革创新,是长远持续发展的必由之路。证券交易所内部审计仍采用存在诸多缺陷的账项基础或制度基础审计,审计目标和范围则不能有效针对经营的主要风险,内部审计的功能、作用和地位必然面临挑战。1.1.3 内部审计定位及分工借鉴境外成熟经验,证券交易所的内部审计工作,处于相对超脱独立的地位,符合现代公司治理的一般要求。这种科学的制度安排,为从内部监控的角度了解管理层的战略意图,设计及营运一个稳健有效的内部监控制度,服务于公司实现其企业目标,提供了
13、可能。内部审计工作的角色,在于透过审视和进行审计测试(包括应用 COSO 准则等) ,就港交所内部监控系统是否充足、是否有效,向董事会及管理层提供独立的评估及客观的保证,并在需要时提出有关改善建议。证券交易所内部审计部的主要职责可氛围综合稽核(Integrated Audit)与技术稽核(Technical Audit) 两大类。综合稽核小组的工作,主要是针对证券交易所各部门,在财务、营运、合规及业务程序等方面,实施的对所有主要监控措施的审计。比如,综合稽核小组可根据工作计划,审视有关部门业务风险管理及内部监控的安排,以及这些安排对公司业务运作的影响。再如,可查看财务资源及资产的调配及保管情况
14、,以及财务会计工作的汇报程序等。由于各业务职能和运作都离不开计算机应用系统的支持,综合稽核小组在实际审计中,通常采用综合审核法,即结合 IT 与业务审核技巧,审核各部门为达成业务目标,而制订的相关制度、采取的相关监控措施(包括用以确保计算机应用系统持续及妥善运作等) 。技术稽核小组。由于证券交易所的 IT 系统及基础设施相当复杂,内部内部审计部特设一个由 IT 专业人员组成的小组技术稽核。该小组专门负责审计评估有关信息系统和数据保安管理、计算机系统发展及持续运作、数据中心运作等 IT 营运层面,在内部风险管理和监控方面安排的适当性有效性。该小组成员应拥有很高的 IT 专业知识,对 IT 系统的
15、技术层面、相关的风险以至管理该等风险所需的相应内部监控安排十分熟悉。小组成员能进行系统应用审计、评估一般 IT 系统的监控,并审视 IT 系统的保安风险。不过,技术稽核小组在具体工作中绝不应单打独斗,须顾及工作对象实际的业务营运需要,还要与综合稽核小组紧密合作,二者之间的互相配合、互相支持是完成既定工作目标的保障。上述这两个小组的日常工作,除按照各自领域实施稽核工作外,应彼此互相复核对方的工作成果。1.1.4 工作依据和方法在内部审计工作的整个过程中,包括在找出漏洞及制定整改建议阶段,内部内部审计部均结合证券交易所的实际需要,参考或比照业内最佳的常规审计标准,以及由内部审计师协会(IIA)特许
16、秘书及行政人员公会(ICSA)、信息系统审计和控制协会(ISACA) 、IT 治理协会(ITGI)等有关机构发出的专业准则。与当代主流的审计理念趋同,证券交易所的内部审计工作,主要采用以风险管理为导向的审计方法。下图 4-3 直观说明了证券交易所内部审计工作方法,风险为本的理念,在具体审计工作中得到充分运用。报告结果:独立意见改善工作分析业务流程及评估相关控制理解和分析与审计相关的业务确定相关审计业务的风险领域评估及测试监控的成效识别重要的业务风险评估风险是否得到适当管理和控制提升监控及业务表现图 4-3 证券交易所风险管理审计方法在确定审计范围时,内部内部审计部通常会审慎考虑董事会、管理层等各相关层面的期望,结合以往的审计结果,并考虑当时的风险状况及监控环境。审计范围明确后,接下来就要识别审计范围内的所有主要风险及相应的控制安排,通过评估有关风险是否得到适当的管理和监控,例如以穿行测试(walkthrough test) 确定内部控制是否存在,再以抽样的符合性测试确定管理层是否一直贯彻执行有关控制程序,及其控制情况是否符合预期
