浅议风险管理审计程序

浅议风险管理审计程序

摘要：现代风险管理审计作为一种新的审计模式，在审计程序的各个阶段与传统内部审计相比都有所不同，文章主要探讨现代风险管理审计与传统内部审计各个阶段的不同之处。

关键词：风险管理；审计；程序

风险管理审计是风险管理的重要组成部分，是对风险管理的再监督，是通过系统、规范的方法评价风险管理的效果，以帮助组织实现目标。内部审计师应该多检查、评价、报告风险管理过程的适当性和有效性并提出改进意见，对管理层和审计委员会提供决策依据。

风险管理审计程序与传统内部审计一样，包括审计计划阶段、审计实施阶段和审计报告阶段，但在这三阶段更加突出了风险管理理念。

一、审计计划阶段

国际内部审计师协会实务公告2010指出，首席审计执行官应该制定以风险为基础的计划，以确定与组织目标保持一致的内部审计活动重点。内部审计活动的计划应该反映组织的风险战略。组织的风险管理与内部审计过程之间应该协调一致，使这两项工作产生协同增效的作用。

内部审计师应该在对可能影响组织的风险进行评估的基础上，制定内部审计活动的审计计划。作为一项对管理部门风险管理效果的评估，审计的最终目的是向管理层提供信息，以减少在实现组织目标的过程中可能带来的负面影响。风险暴露的程度或重要性可以看作是在开展控制活动之后风险的降低情况。此外，还应该在评估风险和风险暴露优先次序的基础上安排审计工作。在对风险进行优先排序之后，才能根据风险暴露的重要性分配相关资源。在多数情况下，需要根据风险因素来确定业务工作重点，这些因素有：金额的重要性、资产流动性、内部控制质量、变化或稳定程度、上次审计业务开展的时间、复杂性等。

在确定审计重点时，可以根据风险性质进行审计抽样。杜邦“沸腾壶”模型是风险管理审计的一种重要的抽样模型。它将风险因素分成八大类，定有不同的风险级别。如表1所示：

从图1可以看出，在风险因素中，风险结构一般是高风险占10%，敏感风险占30%，适中风险占40%，低风险占20%。在审计计划资源配置时，对于处于高风险层次的风险因素一般要详细全审；对于处于敏感风险性质的风险因素一般抽样50%；适中风险性质的风险因素一般抽样25%；对于低风险抽样10%进行审计。

二、审计实施阶段

审计实施阶段就是收集信息的过程，具体包括：风险环境分析、评估风险识别的充分性、评价风险控制、评估风险评估结果的恰当性、评价风险应对策略的适当性、确定剩余风险和确定剩余审计风险。

风险环境分析

环境可以对组织目标实现产生不确定性影响，包括外部环境和内部环境。外部包括国家法律法规及政策的变化、经济环境的变化、科技的快速发展、行业竞争资源及市场变化、自然灾害及意外损失等；内部风险主要来源于组织治理结构的缺陷、组织经营活动的特点、组织资产的性质以及资产管理的局限性、组织信息系统的故障或中断、组织人员的道德品质等。内部审计人员在风险管理审计之前，要关注组织风险环境因素的各种变化，以确定组织的战略目标是否与环境相适应。

评估风险识别的充分性

充分识别风险是有效风险管理的基础，风险识别的任务就是识别出风险之所在和引起风险的主要因素。内部审计人员可以运用头脑风暴法、德尔菲法和SWOT法对组织各环节的风险因素进行有效的识别，并和风险管理部门的风险识别相比较。

评价风险控制

控制是管理层采用的，用于提高实现既定目标的可能性的一切活动。控制可以是预防性的(防止不良事件的发生)、发现性的(发现和纠正已发生的不良事件)、指导性的(引导或鼓励良好事件的发生)。包括对内部控制设计合理性的评价和执行有效性的评价两个方面。IIA实务公告2120-评价标准指出：①评价控制前，管理层应当确定被检查业务的可接受风险水平。内部审计师应确认这一风险水平。这主要是从减少威胁被检查业务主要目标实现的关键因素的影响方面来确定的。②如果管理层没有明确关键风险以及可接受的风险水平，内部审计师可能通过风险确认或其他技术予以帮助。③风险水平一经确定，即可对现有控制进行评价，确定控制在将风险降低到期望水平方面是否发挥作用。

评估风险评估方法恰当性

风险评估可以采用定性或定量的方法进行。定性方法的采用要充分考虑相关部门或人员的意见，以提高评估结果的客观性；在风险难以量化的情况下应采用定性的方法。运用定量方法时，要描述风险发生的可能性及其影响程度。

评价风险应对策略的适当性

风险应对策略通常有自留、规避、转移、控制四种。

自留：通过风险识别、风险计量、风险处理后确定的风险或剩余风险，如果处于银行制定的可接受区间内，就可以采取自留的方式；

规避：由于银行风险时时存在，外在的、内在的各种因素都可能使银行面临风险，一味的去回避风险并不是上策，但是对于那些会给银行带来严重损失、超出银行承受能力的风险采取规避方式是防止银行发生损失的很好的方法；

转移：由于风险会在风险主体间传导，因此可以将一部分风险沿着风险链或采取其他方式如外包将风险转移给他人，以降低自身的风险程度；

控制:风险控制不同于风险管理。风险管理是银行风险控制的最高阶段，是建立在丰富的业务数据、科学的管理模型等基础之上的风险控制。

内部审计人员应判断风险管理部门的应对策略是否符合适用的条件，是否有利于组织目标的实现。

确定剩余风险

剩余风险是指在管理层采取了有关措施，包括采取应对某项风险的控制活动降低负面事件的影响和可能性之后仍然存在的风险。这一阶段要求内部审计人员运用专业判断，确定那些没将错误风险降至可接受水平的控制范围。

确定剩余审计风险

内部审计应该成为风险管理方面的专家，但是由于被审计单位的固有风险的存在、审计过程中还存在着大量的主观判断，审计风险是不可能消除的。因此，内部审计人员应该将审计风险控制在可接受的范围内，否则就应该追加审计程序或扩大实质性测试范围。

三、审计报告阶段

根据IIA实务公告2110-1，内部审计师在从总体上对风险管理过程适当性发展意见时，必须确认风险管理过程是否着眼于五个主要目标：①找出业务战略与活动领域的风险并进行优先排序；②管理层和委员会已经确定了组织可以接受的风险水平，包括为实现组织的战略计划而接受的风险；③设计、实施了风险降低至管理层和董事会可接受水平的降低风险的活动；④开展持续的监督活动，定期对风险和控制的有效性进行再评估，以管理风险；⑤董事会和管理层定期收到风险管理过程的结果报告。组织的公司治理过程应该包括定期向利益关系方传达风险、风险战略和控制情况。

风险管理审计报告作为风险管理审计的最终成果，包括发现、结论、建议和行动计划四个部分。审计发现是对事实的相关声明；发现和建议应该依据评价标准、实际情况、预期和实际存在差异的原因、产生的效果。内部审计人员通过发现、评价并运用风险管理的方法和控制措施，帮助组织解决这些风险问题。结论是内部审计人员对发现和建议影响被检查活动的情况进行的评价。内部审计人员应该及时报告审计结果。IIA实务标准特别指出，当首席审计执行官认为高级管理层接受了组织可能无法接受的剩余风险水平时，应当与高级管理层就此进行讨论，如果仍无法决定剩余风险问题时，首席审计执行官和高级管理应将此事报告给董事会解决。

此外，IIA《标准》实务公告2500指出，首席审计执行官应建立后续程序，以监督、保证管理措施得到有效落实或高级管理层已接受了不采取行动所带来的风险。因此在必要的情况下，还需开展后续审计。

综上所述，风险管理审计作为内部审计的新模式，其三个阶段审计重点和传统的内部