基于风险管理技术的内部审计思考

基于风险管理技术的内部审计思考

我国《内部审计具体准则第5号—内部控制审计》规定：内部审计人员应实施适当的审查程序，评价组织风险管理机制的健全性和有效性。其审查的重点内容包括：可能引发风险的内外因素；风险发生的可能性和预计带来的后果；对抗风险的能力；风险管理的具体方法及效果。由此看出，审计人员充分掌握和利用好风险管理技术，是企业内部审计能否成功实施的必备条件之一。一、风险识别技术在内部审计中的应用风险识别是风险管理的基础，只有充分地识别出各种风险，才会有完善的风险管理。内审人员对企业风险管理机制的审查首先是从其风险识别开始的。风险识别是指借助于各种分析方法，完整地辨识出风险的来源和所在。这些方法主要有：（一）政策分析法主要是分析辨识政府制定的政策对企业可能产生的不利影响，包括对政治社会稳定性、货币政策、财政政策、经贸政策以及环保政策等的分析，以识别危害性风险的具体来源。（二）制式表格法利用保险业或专业风险管理组织设计的标准表格来辨识风险。常用的表格主要有风险分析调查表、保单检视表、资产暴露分析表等。这些制式表格是针对一般企业组织设计的，可通过登陆相关组织的网站获取。其优点是经济方便，缺点是缺乏弹性，无法满足特定企业的需求。（三）财务分析法一是结合企业的资产负债表、损益表和现金流量表来辨识企业所拥有的实质资产、财务资产及其面临的风险；二是利用财务比率的计算来综合分析辨识企业的财务风险；三是流程图分析法。根据企业的生产流程和管理流程图来判别企业的经营风险，如图1所示。根据该企业的材料供应流程和产品销售流程，可分别判断M企业正面临供应商过于集中与客户过于集中的风险，进而判断该企业具有较大的营业中断风险。四是实地检视法。指企业风险管理人员和内审人员通过与实际操作人员面对面的沟通与交流，了解风险状况，以及实地检查企业资产等方式来判断企业风险。仅仅运用一种或两种方法是无法全面识别企业所面临风险的，因此，内审人员在评估时通过充分、合理地利用各种风险识别技术，来确认企业所面临的风险是否得到最大程度的识别。图1M企业生产全流程二、风险评估技术在内部审计中的应用在识别出风险以后，就要对其进行评估，以确定其重要性与危害程度，从而为企业的风险控制确定重点。风险评估包括两个方面：风险损失频率估计和风险损失程度估计。（一）风险损失频率估计估计风险损失频率，主要是通过计算损失次数的概率分布，这需要考虑三个因素：风险暴露数、损失形态和危险事故，三项因素的不同组合影响着风险损失次数的概率分布。如果企业建有完善的风险管理信息系统，也可根据信息系统提供的历史数据来估计损失频率。一般依据风险发生的可能性可将风险分成五类：几乎不发生，约每一百年或更长时间发生一次；可能但未曾发生，约每二十年发生一次；发生过数次，约每五年发生一次；经常发生，每两年发生一次；绝对发生，一年发生一次或几次。不同的企业还可予以进一步细分。（二）风险损失程度估计风险损失程度的估计需考虑三个事项：同一危险事故所致各种损失的形态、一个危险事故牵连的风险暴露数以及损失的时间性和金额。而对于财务风险损失程度的估计，最新的方法则是风险值(VAR)法，即在既定的风险容忍度下，市场状况最坏时确认投资组合最大的不可预期损失。同样，按风险损失程度可将各种风险划分为五类：最严重，损失金额占营业收入的10%以上者；很严重，损失额占营业收入的7～10%；中等，损失额占营业收入的5～7%；不严重，损失额占营业收入的3～5%；可忽略，损失额占营业收入的3%以下者。不同规模企业可按不同比例予以划分或细分，编制风险矩阵图表，以判断各类风险的重要性和损失程度。如表2所示可以初步确定，以2～4分为低度风险，5～7分为中度风险，8～10分为高度风险。风险度不同，企业的风险控制方法组合也会不同。内审人员在审查本企业的风险评估时，一般结合本企业的资产规模、风险承担能力、行业背景以及风险偏好等因素，评价本企业风险评估所选方法的适当性和风险划分的合理性，以最终判断确认的风险管理重点是否符合企业实际。表1风险矩阵表损失频率损失程度最严重5很严重4中等3不严重2可忽略1绝对发生5109876经常发生498765发生过数次387654可能但未发生276543几乎不发生165432三、风险控制技术在内部审计中的应用风险控制是指企业根据风险评估的结果，按各类风险的重要性分别采取不同的风险控制方法，通过降低损失频率，缩小损失程度，将可能的风险损失降到最低点。一般的风险控制方法有：（一）风险规避当风险所造成的损失不能由生产经营活动获得的利润予以抵消时，放弃该项经营活动以规避风险就成了最可行的方法。风险规避包括完全规避与部分规避两种。完全规避，要不惜放弃伴随风险而来的盈利机会。部分规避，则要综合考虑成本因素和社会、心理等其他非经济因素。规避一般包括两种策略：一是进攻型规避，即在高收益和低风险替代选择中，选择高收益而不顾忌风险；二是防守型规避，即在高收益和低风险的替代选择中，选择低风险而不在乎收益。（二）损失预防与控制一是在危险事故发生前采取措施消除引发危险事件的因素，减少危险损失频率。企业的各项安全防火、防盗以及财务预测、债务人信用评估等属于此类损失预防；二是危险事故发生后，采取相关措施控制损失蔓延，以降低损失程度。如紧急抗灾、股票投资止损线等就属于此类损失控制。（三）风险分散与中和风险分散是指企业利用多元化经营、多方融资、资产多元化，以及争取供应商和客户多元化等措施来分散经营风险；风险中和则是利用套期保值、远期外汇业务等措施来避免价格、汇率等风险。（四）风险承担与转嫁当企业既不能规避风险，又不能完全控制、分散和中和风险时，只能承担风险所造成的损失。风险承担可分为无计划的单纯自留和有计划的自己保险。无计划的单纯自留主要是承担没有预测到的风险所造成的损失，有计划的自己保险则是承担已预测到的风险所造成的损失，如企业提取坏账准备金等。企业通过保险和其他非保险形式将风险转嫁给其他单位共同承担，以降低自身的损失程度。购买保险是将风险转嫁给保险公司。其他非保险方式主要指与合作伙伴订立合同，规定共同承担未来风险。如国际工程承包中，合同规定工程款分别以本币和外币支付，就是使承包方和业主共同承担了汇率风险。（五）风险集中主要指大型集团公司通过预测，向各分支机构收取一定的风险管理费，由集团公司承担某些风险，增强自身抗风险能力。内审人员在审查风险控制时，坚持按照成本效益原则，评价本企业的各项风险控制措施是否得当和发挥最大效用。内部审计人员通过尽量多地掌握各种风险控制方法，对企业的风险管理机制是否完善、措施是否得当以及管理是否效率最大化作出合理评估。同时，内审人员也只有充分合理地利用各种风险管理技术，才能及时地发现企业风险管理中存在的不足并提出改正建议，以体现内部审计的价值增值和企业管理功能。随着企业管理实践和企业风险环境的改变，风险管理理念和技术方法也在不断发生改变。随着市场经济体制的建立和市场的规范健全，我国企业的内部审计有了较大发展，绝大多数企业设立了独立的内审机构。但我国企业的内部审计工作仍滞后于企业管理，不能很好地满足经营管理需要，主要表现为：审计职能以查错纠弊为主，没有充分发挥内部审计独特作用；审计范围局限于财务会计，没有扩展到经营管理各个方面