施工企业风险管理审计
来源:用户上传
作者: 胡 舜
所谓风险就是一种不确定性。对于企业来说风险就是能够影响其实现既定经营目标的不确定性。风险基本分为两类,其一是外部不可控风险,是指外部环境中对组织目标实现产生影响的不确定性事件,如国家法律、法规及政策、经济运行环境发生变化,科学技术的快速发展,行业竞争及市场变化,自然灾害等。其二是由于内部原因产生的可控风险,即内部风险,是指内部环境中对组织目标实现产生影响的不确定性事件,如组织治理机制缺陷,组织经营活动的特点,组织资产的性质及资产管理的特点,组织内人员的品质、素质,企业内部执行力及其他。风险管理就是一种能够有效认知涵盖组织生产经营过程中所面临的上述两类风险,并对其进行有效管理的一种机制和方法。这种机制和方法是系统的、全面和规范的,它能够使管理层有效地调动整个企业的资源将可控、不可控风险的影响控制在企业可以接受的范围内。
一、风险管理审计的主要内容
风险管理审计不同于财务收支审计、财经法规审计等常规审计,它的产生前提是世界经济日趋全球化、竞争日趋白热化、与企业相关利益者关注点日趋多元化的市场经济,产生的基础是企业为应对风险而实行的风险管理,它是企业全面风险管理规划的一个重要组成部分,并随着风险管理在企业的拓展和深入而渗透到企业各业务流程及各种管理职能之中。
风险管理审计的主要内容:一是将主要审计目标确定为评价企业的风险管理活动以及评估风险程度,使管理层能够清晰地认识风险,并协助管理层对风险实施持续监控;二是采用的方法是通过熟悉管理层的经营理念及目标,识别和评估阻碍企业达到目标的关键风险,了解管理层对于企业风险的承受力,协助管理层将风险控制在可接受范围内;三是关注的重点是识别当前企业风险管理的实际能力,评估风险影响与企业经营目标期望值之间的差异。
二、实施风险管理审计
由于目前我国绝大多数施工企业对风险管理还基本处于一种认识的初级阶段,真正开展风险管理的施工企业几乎是凤毛麟角。因此,在现阶段国内施工企业内部审计部门开展风险管理审计,首先要做好以下前期准备工作:一是提高企业对风险管理的认知度。由于受传统管理模式影响,国内施工企业管理理念相对比较滞后,管理层对风险管理的认知还比较模糊。而作为企业来讲,管理层对某一事物的认知度直接决定了该事物推广的难易程度。因此,充分提高管理层对风险管理的认识,有助于管理层支持审计部门开展风险管理审计;二是要协助管理层动员企业职员广泛学习风险管理、参与企业风险管理,便于审计人员在实施审计过程中能收集到大量的、有用的数据、信息;三是要统一对风险的识别标准,即统一风险定义、分类、识别、数据收集、风险度量、风险评估、风险监控标准,沟通信息和报告机制等;四是要建立风险数据模型。审计人员应组织人员或通过聘请专家、走访专家等措施,根据企业性质,运用科学知识建立一整套风险识别模型,并利用数据对模型大量测试,及时进行修正,使所建立的模型能符合本企业,能识别、确认影响企业成功的所有风险;五是作为风险管理审计的实施者,必须全面了解、熟悉企业各领域的业务流程、业务特征和各业务流程的关键控制点,这是企业顺利开展风险管理审计的前提条件。
其次是实施风险管理审计。一是设定审计目标,收集风险数据和相关资料。设定目标的主要依据是企业管理层确定的当年企业目标、管理层的要求以及已露出端倪的风险事件等。审计部门据此设定审计目标、范围和重点,并组织实施。对于施工企业来讲,在针对目前企业的管理状况,应抓住企业在项目管理中存在的各种经营性风险、因资金问题带来的财务风险,以及材料市场价格波动对项目经营业绩的影响;二是收集风险数据及风险资料。在此阶段审计人员要深入企业基层,调查、分析、研究各部门或领域的特点,广泛收集充分的风险数据和风险资料;三是进行风险评估。主要是审计人员利用前期所建立风险模型和收集到的数据、资料,进行风险分析、识别、定义,并按照重要性和可能性以及管理层对企业各种风险的承受度,对风险进行排序,分出主要风险、次要风险以及低级风险等;四是全面进行流程分析。通过对流程图的分析,认识流程,识别和记录风险控制关键点。同时,评估风险控制关键点是否能有效将风险控制在预期水平或管理层可接受程度,对不能将风险控制在预期水平或管理层可接受程度的控制点,进行差异分析,找出差异原因,提出改进措施;五是进行审计测试。主要为证实流程的实际运行是否能达到设计目标,并确定流程不能达到目标时的潜在影响。审计人员可依据建立的模型和所收集到的数据对流程进行测试,验证流程是否按设计有效运行;当流程的一部分设计不完善或未能如设计预期顺畅运行时,则要执行实质性测试,以便推算或预测潜在的影响;对设计不完善的流程或运行不顺畅的流程,应进一步分析其原因,分析原因,找出解决方案;六是评估风险管理能力。风险管理能力是企业的综合能力的体现,它主要表现企业应对风险的应变能力,风险发生后的协调、处理能力,对风险的承受能力。审计人员在完成风险评估、流程测试以及审计测试后,根据流程分析和审计测试的结果,描述企业各领域在风险中的具体表现特征,最终得出企业的风险管理能力值。并将得出的风险管理能力值与设定的期望值进行比较,找出差异,寻求改进措施。最后针对存在的差异提出改进建议。按照既定的标准,结合上述审计发现的当前风险管理活动的实际情况,提出完善风险管理建议,及时向管理层报告,与相关业务领域沟通,落实风险管理改进责任人,设定落实时限,并进行审计回访,确保风险管理各项改进措施能得到彻底执行。
三、施工企业开展风险管理审计应注重的事项
由于风险管理是一种更高层次的管理模式,对实施人员的素质要求相对较高。这对目前的国内施工企业来说是一种挑战。又由于风险管理审计关注的重点是影响企业的社会因素和人文因素,侧重于企业的经营目标、管理层风险承受能力、风险的评估及风险管理能力等,它要求审计人员有更高的专业素养、综合分析能力、处理问题能力。这对目前企业的内部审计人员来说更是一种考验。因此,企业要开展好风险管理审计工作必须注意以下事项:一是传统审计知识的巩固与强化。虽然风险管理审计是一种全新的审计,但其毕竟是内部审计的一项审计内容,更需要扎实传统审计的业务知识和技巧。因此,审计人员必须强化、提高传统审计业务知识,以便更好的开展风险审计工作。二是加强人才培训,提高审计人才素质,提高内部审计人员参与公司治理能力和价值创造力。由于风险管理审计是增值型审计,增强审计人员的风险管理责任意识,将风险防范渗透到内部审计日常管理工作中,通过风险识别以及风险管理测试,聚焦重大舞弊发现,提高审计人员的价值创造力。同时,由于内部审计在风险管理领域开展的是再监督,要发现和准确评价各种风险,并确认风险管理的目标是否实现,提出可行性建议。因此,审计人员就更多参与了企业日常管理,也为审计人员拓展了更广的业务发展空间。
转载注明来源:https://www.xzbu.com/2/view-414177.htm