三是在风险评估中的作用。风险导向型内部审计通常要求采用风险评级和计分的方法进行风险评估,并根据量化的风险水平排定优先次序,尽量找出风险存在的根本原因,以寻求最好的解决方案。对难以客观量化的风险事件,则采用主观估计风险发生的可能性,此时,内部审计人员的职业判断最得尤为重要,其可以帮助管理者做出比较正确的选择。可见,在风险评估中,内部审计人员需要从客观的角度分析风险的假设条件、计算方法的适当性来评价风险,以向管理层提供专业意见。
四是在风险反映和控制活动中的作用。对于经过识别和评估后的风险,企业都要经过风险与收益的权衡。ERM将风险反映分为j类:可接受风险、规避风险和减少风险。规避风险超出了企业的风险偏好,企业不能接受且无法经济有效地加以抑制,则须放弃该项目或计划从而避免风险带来负面影响。对于大部分风险,需要企业采取一定的行动,转移或分散风险,以达到企业可接受的水平。为此,企业需要对其风险加以控制,即将不可接受的“固有风险”转化为可接受的“剩余风险”,由于控制活动本身是很复杂的,内部审计人员通常采用分析性程序和详细测试,评估控制活动的有效性,使风险得以管理。因此,在风险反映和控制活动中,内部审计人员通过分析、评估风险回避的合理性、减少风险措施的有效性,以降低组织承受的风险。
五是在风险信息沟通和风险管理系统监控中的作用。风险管理涉及企业各个职能主体,是各管理部门共同承担企业的综合风险。风险导向内部审计从评价各部门内部控制制度人手,在各领域查找管理漏洞,以独立第三方的身份验证信息的准确性和及时性,帮助企业管理当局进行风险的管理与协调。为此,内部审计人员需要采用风险监控方式,将经营计量系统记录的业绩与计划和预算中的预期业绩以及同一时期的竞争者业绩进行比较,来判断风险环境中新的风险和变化,便于管理者及时做出反应。可见,在风险信息沟通和风险管理系统监控中,内部审计人员通过审计报告以向董事会和审计委员会传递风险是否得到有效管理的信息,保证单位对风险的管理是一直有效的。
(二)风险导向型内部审计在企业风险管理中发挥作用的途径
风险管理框架(ERM)下的内部审计关注的核心是企业的风险管理过程和剩余风险水平,由于内部审计部门所进行的风险管理是对剩余风险的确认并提出咨询建议,因此,内部审计参与风险管理的途径是开展风险导向型审计。通过开展风险导向审计,内部审计将事后评价转变为更为及时和主动的事前事中的风险审查和事后的动态反应,全过程控制和管理企业风险,从而能够客观评价风险管理系统,以降低风险损失。因此,剩余风险是风险导向审计需要关注的重点领域。内部审计部门所进行的风险导向审计就是通过系统的分析、认定和评价被审计对象各个领域的固有风险及其管理状况,评价其得出的已量化的剩余风险水平,并据此确定进一步审计的范围、重点和方法。因此,在审计实务中,内部审计部门要从审计的过程和整体角度分析审计风险在审计中的作用。把审计基础工作大量放在对被审计对象业务过程的调查,对内部控制要素进行控制测试,并对财务报表和业务操作程序、审计环境等进行科学分析、判断上,从而使期末需要审查的结果,在期初和期中得到判断。对剩余风险审计的主要目的是将剩余风险降低至可接受水平,为此,需要通过以下途径实现风险导向型内部审计在企业风险管理中的作用:了解管理层确定可以接受的剩余风险水平;确认业务活动领域的剩余风险并进行优先排序,将主要审计资源分配到高风险领域;审计师需要将在审计过程中发现企业尚未对某些重要风险采取管理措施,应同被审计单位或被审计对象的管理层进行沟通,并向其提出管理建议,从而协助被审计单位预防或检查将来可能出现的错弊。最后,内部审计师以经过核实的审计证据为依据提出风险审计报告。风险审计报告是针对剩余风险提出相关建议,以帮助管理层采取必要措施改进控制系统所形成的书面文件,它是内部审计参与企业风险管理的集中表现,也是内部审计发挥风险管理作用的重要形式。
三、风险导向型内部审计应注意的问题
(一)责任问题
企业风险管理作为风险导向型内部审计的主要业务,内部审计人员并不参与风险管理的建立和运行过程,而是在企业已有风险管理的基础上实施再监督,以促进风险管理过程的建立或使风险管理的有效性成为可能。
(二)途径问题
在企业风险管理框架下,内部审计是风险管理的函数,是对风险管理的再管理,因此,内部审计参与风险管理的途径有两种:即风险管理审计和风险导向审计。但对风险导向型内部审计而言,其路径专指第二种,即对剩余风险的确认、排序和建议。
(三)侧重点问题
风险导向内部审计的审计模式遵循了:目标一风险—控制的顺序,重视与企业目标直接关联的风险分析,所以,风险导向内部审计在评估企业风险管理时,关注的是优先选择高风险领域的控制,并且着眼于评估具体控制对风险管理的效果。此时,内审部门不再只是强化控制。而是通过规避转移和控制风险,使风险管理更加有效并提高企业整体经营管理的效果和效率。
