现代内部审计讲求以风险为导向。风险到底在哪里?如果能建立风险预警体系,风险导向内部审计就会有更有力的抓手。内部审计风险预警体系就像雷达,可以扫描到重要或重大风险,然后通过审计去发现具体的内控缺陷、损失、判断风险程度和影响。
近年来,企业面临的风险挑战增多,全面风险管理已成为企业健康发展的“必修课”,内部审计组织实施的审计项目应与全面风险管理的要求相契合。企业作为经济主体,在瞬息万变的市场浪潮中,不可能不遇到风险,更多时候只要因势而为,风险也会转化为高质量发展的新动能。在审计过程中,内审人员一定要形成理性客观的思维方式,以事实、数据为主要依据,“由点及面”归纳、分析、总结可能存在的战略、营销、运维、财务、法律、管理等风险因素,同时不妨“换位思考”,将自己置于高级管理层或一线业务部门角度想一想“是什么”“为什么”“怎么办”,实事求是、有针对性地提出解决措施,发挥风险前瞻预警的作用。
许多大中型企业里,内部审计和合规内控、风险管理部门是分开的。有的合规内控、风险管理部门也会建立自己的风险预警体系。那么,内部审计的风险预警体系和它们会有什么相似和区别之处呢?相似之处就是都要通过:建立指标体系、收集数据信息、风险识别、风险评估、风险预警等环节来向管理层和决策层提供风险预警信息。不同之处是:内部审计风险预警体系要通过风险预警实施必要的审计监督,以内部审计的视角来发现问题,并进行审计判断,得出审计结论,提出审计建议。
开篇之前先用两个小故事形象的阐释风险管理:
故事一:扁鹊三兄弟的医术
战国时,扁鹊三兄弟都精于医术,三弟扁鹊名气最大,二哥次之,大哥的名气混的最差。一日魏文王问扁鹊:“你们三兄弟谁医术最高?”扁鹊答:“我大哥的医术最好,二哥次之,我最差。”
魏文王不解:“你在患者中声望最高,何以自己认为医术是兄弟之间最低的?”
扁鹊回答:“我大哥治病,是治于病情发作之前。由于一般人不知道他事先能铲除病因,所以他的名气无法传出去,只有我们家的人才知道;我二哥治病,是治于病情初起之时,一般人以为他只能治轻微的小病,所以他的名气只及于本乡里;而我是治于病情严重之时,一般人都看到我在经脉上扎针、在皮肤上敷药等大手术,所以都以为我的医术高明,名气因此响遍全国。”
文王连连点头称道:“你说得好极了。”
【总结】风险管理也是一样的道理,通常人们等到危机爆发了才意识到事前风控的重要性,孰知,事后不如事中,事中不如事前。
故事二:桥与栏杆
有人问我,风险管理是什么?
我这样问他:
“你走过大桥吗?”
“走过”
“桥上有栏杆吗?”
“有”
“你过桥的时候扶栏杆吗?”
“不扶”
“那么,栏杆对你来说就没用了?”
“那当然有用了,没有栏杆护着,掉下去了怎么办?”
“可是你并没有扶栏杆啊?”
“......可是......可是没有栏杆,我会害怕!”
【总结】风险管理就是桥上的栏杆!有了事前的保障,企业之间的交易才会更踏实,更安全!
内部审计三大核心要素
建立风险库、风险指标体系、风险预警阈值是内部审计预警体系的三大核心要素。
1.风险库。风险库是结合审计经验以及行业风险信息,按照一定的分类规则,对经营管理各个环节可能存在的风险或风险事件进行归集。建立风险库,是内部审计进行风险识别的基础。
2.风险指标体系。风险指标是风险的探测针,通过风险指标来对风险进行识别和评估。风险指标体系是要通过科学合理的一系列指标多方位、多角度地探测风险。
3.风险预警阈值。如果把风险指标比喻成探测针,那么风险预警阈值就是探测针上红灯,风险指标达到某个数值,红灯就亮了。风险预警阈值的设定要参考法律法规、行业经验数据,还要进行动态管理,根据实际情况进行调整。
防范化解风险
一是建立分类处置防范闭环。内部审计应围绕企业战略发展、管控模式、内控现状,针对发现的风险隐患分类提出改善建议。对存在制度空白或流程缺陷的,应建议企业补充和完善有效的风险管理和内控制度,优化各业务环节的管理规范和企业内部协同流程,形成制度管人、流程管事的风险防范机制。关键控制点的薄弱环节产生潜在风险的,应向风险管理委员会、审计委员会发出预警,督促企业及时采取有效应对措施,降低风险损失,防止发生重大风险事件。
二是完善信息共享反馈闭环。内部审计参与全面风险管理协同机制,内审机构的职责应为发现风险隐患、提出建议并向审计委员会报告。审计委员会应承担起向董事会发出风险预警并督促管理层制定、落实风险应对措施,实现风险管理目标的责任。任何风险事件的防范都离不开信息共享反馈机制的保障,当然涉及风险事项的信息共享机制不应仅限于内部审计机构、内部审计委员会、董事会层面,还应将风险管理委员会、风险合规管理机构以及相关部门等多业务职能单位纳入,从而在具体企业、具体业务领域最大程度地形成风险管理协同防范合力。
三是推进通报整改评估闭环。内部审计在全面风险管理中真正发挥增值作用离不开建议咨询意见的落地。作为“经济体检”的“健康卫士”,内部审计对发现的共性问题要加强汇总分析,对系统性、趋势性、苗头性问题要及时提出有利于标本兼治的对策建议,为企业治理提供高质量的决策依据,守住风险防控“红线”。在风险管理评价监督过程中,还可以进一步对风险组织体系、风险管理解决方案进行优化,对潜在风险进行预警,促进企业优化应急预案,更加有效抵御风险。
风险管理步骤
(一) 收集风险管理初始信息
1.内部环境
内部环境包含组织的基调,包括风险管理理念和风险容量、诚信和道德价值观,以及他们所处的经营环境;
2.目标设定
必须先有目标,管理当局才能识别影响目标实现的潜在事项。确保所选定的目标支持和切合该主体的使命,并且与它的风险容量相符;
3.事项识别
必须识别影响主体目标实现的内部和外部事项,区分风险和机会。
(二) 进行风险评估
1.进行风险评估。在项目的初期,以及主要的转折点或重要的项目变更发生时进行;
2.系统地识别风险。必须识别影响主体目标实现的内部和外部事项,区分风险和机会。
(三) 制定风险管理策略
(四) 提出和实施风险管理解决方案
(五) 风险日常监控预警
1.对企业风险管理进行全面监控;
2.与风险管理体系相关建立的体系;
3.合同管理体系和成本管理体系。
(六) 风险与危机的处理
1.成立风险和危机的处理机构;
2.制订危机处理计划;
3.危机处理;
4.教训总结与责任认定。
(七) 风险管理的监督与改进
1.实施风险管理的总体情况;
2.风险管理内控机制的情况;
3.落实风险识别、风险评估或风险管理措施的情况;
4.是否发生重大风险和危机事件并对企业造成的影响;
5.重大风险和危机事件的事后救济情况。
有任何财税、股权等相关问题可在评论区讨论或问我哦!
▍ 声明:
1、推送稿件及图片均来自审计之窗。版权归原作者所有。除非无法确认,我们都会标明作者及出处,如有侵权,请及时与后台联系处理,谢谢!
2、上述内容仅供大家参考和学习之用,不作为实际操作依据。