如何开展风险管理体系审计
现代内部审计理论倡导以风险为导向。
风险管理审计的提出已经好些年了,但实际工作中,又有多少审计部门会开展风险管理审计呢?
现代企业大多已经建立了风险管理机制,并且越来越依照COSO的企业风险管理整合框架来不断地完善。
在市场不确定情况下,风险管理的好坏决定了企业生存和发展的时间。
同时,各个专业领域的风险管理理论也越来越复杂,运用的数学知识和信息技术也越来越高级。
企业内部审计不仅要及时发现具体经济事项存在的问题,还要以点带面,发现风险管理体系和机制中存在的缺陷。
因为风险管理涉及的范围广,涉及的专业知识多,内部审计部门往往先从风险管理体系下手,对其健全性和有效性进行评价。
很多企业的监管机构或主管机构对企业的风险管理都提出过指导性意见,参考这些指导性意见,内部审计部门可以建立对风险管理的审计评价体系,而且内部审计部门可能还会被要求对其所在企业的风险管理进行评价。
一、风险管理体系审计的内容
2017年9月COSO新版《全球风险管理框架》,其中一个变化是五大要素的名称有所变化,原先的“风险治理
和文化、风险、战略和目标设定、执行中的风险、风险信息、沟通和报告、监控风险管理效果”改为了“治理和文化、战略和目标设定、绩效、审阅和修订、信息、沟通和报告”。
既然是风险管理的五大要素,新版里的五大要素里竟然没有“风险”二字,其中肯定有它的道理,就跟国际内部审计协会定义内部审计那样,把“监督和评价”改为了“确认和咨询”。
内部审计要想对风险管理体系做出评价,就要了解风险管理体系的内容是什么。
还有些审计部门把风险管理体系分为八大要素:治理环境、目标设定、风险识别、风险评估、风险应对、控制活动、信息与沟通、监控。
这也是比较清晰的,适用本企业实际就好。
二、风险管理体系审计评价标准
这里的评价标准有两个,一个是监管或主管机构的指导意见,一个是所谓的同行行业相似企业的最佳实践。
监管或主管机构的指导意见可参考性比较强,有的行业尤其是金融行业的监管机构指导意见也更加详细。
内部审计部门往往依照监管或主管机构的指导意见构建自己的评价方法体系。
有些发表的偏理论的文章所说的“双标分析法对风险管理体系进行审计评价,如何获取同行的最佳实践并且予以量化是很难实现的,况且同行业里各个企业的风
险偏好也都不同。
三、风险管理体系审计评价方法
首先将风险管理体系的五大要素进一步分解为二级维度或三级维度,然后对最低一级的维度设定高、中、低三个或五个评价水平,并相应地描述其状态。
实践中,通过建立“风险管理体系审计评价矩阵”,可以有一个全貌性的展示。
其次是设定各个评价维度的权重,权重的设定可以由专家根据专业经验商定,也可以用数学方法来进行确定,诸如模糊判断矩阵法等等。
权重的设定对最后的评价结果影响较大。
这里还有一种情况也比较普遍,就是评价风险管理体系要涉及多个职能部门以及下级经营单位,这又涉及权重的划分。
例如风险应对涉及多个部门,各个部门承担的职责比重是多少?再次是审计人员收集相关的信息、资料,然后进行专家评分并最后汇算得分。
最后是根据得分以及实际管理需求进行综合评价。
有些审计部门在对风险管理体系进行审计评价时还会利用数字化工具,包括生成一个雷达图,来显示风险管理体系中的短板和薄弱环节。
综合评价是否适用”木桶理论“,大家可以商榷。
四、实践中的思考
提一些问题吧:
有多少内部审计部门会开展风险管理方面的审计评价?
已开展的风险管理审计是基于外部要求还是自身的管理需求?
每年审计部门对企业的风险管理提出过哪些审计建议?
有多少审计建议被企业的风险管理部门所采纳?这里的风险管理部门是广义的,不仅仅指风险管理部等。
内部审计部门自我评估风险管理方面的审计活动是否能够起到促进风控完善的效果?
风险为导向的审计和风险管理审计是什么样的关系?如何处理二者之间的关系?。