基于风险导向的链式审计方法研究
来源:用户上传
作者:张儒芳
[摘要]本文运用链式思维从保险企业的价值链和风险链入手,通过环境分析、现状梳理、漏洞排查、风险串联和评价网构建五个步骤,探查了风险点之间的关联性,实现了点、线、面的有效升级,使风险导向审计工作紧贴保险企业业务特点,更好地为风险管理工作出谋划策,服务企业战略管理,彰显内审工作价值。
[关键词]风险导向审计 价值链 风险链 审计评价网
一、链式审计方法概述
(一)链式审计方法发展历程
20世纪90年代以来,在全球经济一体化、信息化的大背景下,面对不断出现的舞弊事件及审计失败案例,审计实务界开始了对审计流程的探究和再造,新型风险导向审计孕育而生。不同于传统风险导向审计,新型风险导向审计以被审计单位的经营风险分析为导向,故也被称为经营风险审计(business risk audit)。
在现代风险导向审计的理念下,围绕价值活动的单个风险事项开展静态审计工作,显然无法满足对企业整体价值活动进行有效评估的需要,基于对问题事项的关联性及全局性要求考虑,链式审计方法应运而生。该方法以关注各项业务活动中企业价值流动及影响价值实现的风险为核心目标,将单个风险事项与企业价值链进行有效融合,揭示相应的风险链,围绕相应的关联关系实施动态审计,从过去侧重单个风险的“点”式状态向“链”式状态转变升级,最终通过“链与链”的交织形成风险管理的全局观,与企业经营特点进行有效融合。链式审计方法是现代风险导向审计的演进和创新,能充分体现审计工作价值和成效。
(二)链式审计方法核心要点
由于企业各项价值活动产生的风险相互交织、彼此传递,潜伏在价值链中的某项风险若不能被控制或规避,往往会通过风险传导而影响整条价值链的运行效率,甚至出现价值链中某价值环节断裂,使整个价值链无法正常运作的情形。因此,基于风险导向下的链式审计关键在于对整个价值活动的各项风险进行梳理,形成相应风险链,通过对单个风险的串联进一步明确影响企业价值实现的系统性问题。
二、链式审计方法实现路径
传统风险导向审计侧重关注过程性内容,未能有效涉及与风险事项相关的实质性内容,将风险简单割裂,缺乏对风险及应对举措关联性的深入剖析,审计工作成果缺乏全局观,难与企业战略及价值进行有效关联。在实施审计过程中,沿用传统审计标准还易导致审计结果与实际出现偏差,对企业审计对象、所面临的风险水平无法进行系统、客观评价,难以体现审计工作成效与价值。面对上述困境,内部审计部门有责任也有义务去改变现状,综合运用系统思维、管理思维和创新思维去厘清企业管理现状,挖掘控制漏洞,分析问题成因,做出综合性评价,最终给出可行的意见和建议。
(一)分析管理环境
企业的外部环境主要包括原材料供应者、资金来源提供者、竞争者、顾客、政府管理者等方面的情况。企业的内部环境则包括其生产条件、技术水准、人员素质、管理水平等。在对企业内外部各方面因素进行分析时,可借助“波特五力模型”“PESTAL模型”“SWOT模型”“全环境模型”等,通过剖析这些因素之间的潜在联系,及其中一类因素发生变化可能产生的影响和结果,及时发现企业面临的经营风险和潜在损失。
(二)梳理内控现状
受审计资源的限制,我们在梳理企业内控活动时不可能面面俱到,需要结合内控的全面性、重要性、制衡性、适应性及成本效益五个原则来进行合理x择。我们在梳理时除了把握上述五个原则外,还需明确整体逻辑,切忌眉毛胡子一把抓。主要路径大致分为两类,一类是流程式梳理,根据业务开展的具体流程实施;另一类是功能化梳理,结合经营事项或业务活动相关环节,依照具体事项所起作用进行分类,根据功能差异实施分类梳理。然而无论是流程还是功能,归根结底是企业经营各环节所对应的经济活动,这一系列经济活动相互关联,通过企业基本活动和支持性活动实现各环节产品或服务的价值增值,构成了企业的价值链。我们在梳理企业内控现状时需沿着企业经营活动的价值链开展,追本溯源。
(三)排查内控漏洞
沿着企业经营活动的价值链梳理内控管理现状后,就需要对企业各节点或各价值活动的具体成果进行整体评价,排查内控漏洞,具体需注意以下三个方面:
一是评价标准的颗粒度大小,这直接影响评估事项所涵盖的范围,颗粒度太粗容易忽略细节,使评判结果不够深入细致,颗粒度太细又会导致缺乏全局观,过分注重细节,以管窥豹。审计人员需要结合价值活动所涉及的具体业务流程进行梳理,重点选取影响工作质效的工作节点进行分析。
二是评判依据及标准,也就是拿什么来衡量所考察和评估的对象。我们需结合内外部环境及当前管理现状进行综合评判,审计人员在是否属于审计缺陷的判断过程中,易忽视企业风险容忍度及企业经营管理现状而直接判断为风险事项,但该事项在实际经营中并未出现直接或间接损失,导致最终的审计结果与企业实务贴合度低。
三是风险度量,在适当的颗粒度下选择恰当的评判标准后,需结合企业风险偏好、专家经验,对风险事项发生的可能性和影响力进行定量或定性分析,最终实现风险事项的有效分类。审计人员可以根据严重性程度,将具体风险事项分为一般、重要、重大三个风险等级。
通过上述三个步骤我们可以梳理出企业现存的管理漏洞,根据风险事件属性进行分类和排序,逐步勾勒“企业风险画像”(如图1所示)。
(四)串联风险点
企业各项价值活动所产生的相应风险,相互交织传递,与企业价值链并行,构成企业的风险链。两者既对立又统一,一方面价值链可以帮助企业实现价值增值,风险链则一定程度阻碍了企业价值的实现;另一方面价值链作为企业价值活动的集合,价值活动的变化可能放大或减小原有风险,也可能带来新的风险,风险链的变动也对企业价值链上的各项活动流程产生影响。因此,我们在开展风险导向审计过程中梳理企业风险链时,需把价值链因素有机结合进来,通过对前期梳理出来的问题风险进行系统串联,进一步明确当前存在哪些影响企业价值实现的风险点。具体可分为两大步骤:一是结合企业经营管理特点和模式,梳理出价值链,明确企业各项价值活动;二是根据前期梳理出的各环节风险点,按照问题性质、严重程度、流程节点及相互作用关系等进行分类,逐步梳理出企业所面临的风险链。这既是实施风险导向审计的关键,也是开展链式审计评价的基础。
nlc202205191420
转载注明来源:https://www.xzbu.com/1/view-15431749.htm