浅谈风险导向审计中的风险识别
来源:用户上传
作者: 高澜 徐英
【摘要】随着中国石油集团公司建设综合性国际能源公司的步伐不断加快,国内国际业务的较快发展,日益复杂的组织内部关系和竞争日趋激烈的外部市场,使组织面临的不确定因素越来越多,企业承担的风险也随之加大。因此,开展风险导向审计既是必要的,也是可行的。而风险识别作为风险管理的第一步,风险管理的基础,在企业风险管理过程中具有重要的作用,本文对风险识别的常用方法--风险清单法、流程图法、财务报表法、风险因素分析法进行详述,并结合实际案例进行分析,在此基础上,提出了进行风险识别和衡量的关注点。
【关键词】风险导向审计 风险识别
一、风险导向审计和风险识别的关系
关于风险导向型审计的研究始于21世纪初的公司治理的需要。在《索耶内部审计》第五版中提到“风险导向审计的概念传统上是对控制的观察和分析开始的,接着继续对与经营相关的风险进行确认,最后,确认审计活动是否与组织的目标一致。McNamee和Selim认为这种方法是错误的,因为内部审计首先需要为目标服务,目标是经营的基础,并且不是一成不变的,必须灵活并且是或应当着眼于未来的。他们提出了首先考虑建立组织目标的方法,接着通过识别、衡量和优先排序等方法评估风险,最后,通过控制和接受风险、规避或分散风险、向其他部门分配和转移部分风险等方法进行风险管理”,可见,风险导向审计是以风险识别和评估为起点,以确认风险控制和风险管理改善为过程,以保障组织目标实现为目标[1]。
风险识别是指对尚未发生的、潜在的和客观的各种风险系统地、连续地进行识别和归类,并分析产生风险事故的原因的过程。风险管理人员是在进行了实地调查研究之后,必须对其面临的各种风险有一个清醒的认识,分清哪些风险是主要风险,哪些是次要风险;分清哪些风险通过合理的行为是可以避免、分散的,并据此运用各种方法对尚未发生的潜在的及存在的各种风险进行系统的归类,总结出企业面临的所有风险[2]。一般而言,风险识别的内容主要包括确定风险的来源,风险产生的条件,描述其风险特征和确定哪些风险事件有可能影响本单位等。从定义可看出,风险识别作为风险管理的第一步,风险管理的基础,这个步骤非常重要,因为未被识别的事件不会在风险回应中得到处理,可能导致意外风险的发生。
二、风险识别常用方法
(一)风险清单法
制作风险清单分析风险种类是分析风险事件原因的最基本、最常用方法。采用类似于备忘录的形式,将企业或单位所面临的各种风险逐一例举,并联系组织的经营活动对这些风险进行综合考察。风险管理人员在此基础上对风险的性质及其可产生的损失做出合理的判断,就该企业可能面临的所有风险,逐一归类列出,进行管理,以研究对策来防止风险发生。一般的企业风险类别如下:
风险类别
但需要指出的是,清单只能列举和显示各种存在的风险,却容易使人忽视对潜在风险的研究。所以在分析风险清单时,应密切注意其他潜在风险的威胁。
(二)流程图法
流程图法是一种识别公司面临的潜在风险的常用方法,它是指根据生产过程或管理流程来识别风险的方法。该法可以用来描绘公司内任何形式的流程。比如,经营计划、油气田开发建设、油气生产、财务管理、科技管理、合同与纠纷管理,等等。下面就以油气生产流程图法为例说明流程图法的分析步骤。
第一,识别生产过程的各个阶段。
首先通过与专业技术人员进行讨论,明确生产流程的细节,然后绘制出一幅描述生产过程的草图。然后逐一对每一阶段、每一环节进行调查分析,从中发现潜在风险,找出风险发生的因素,分析风险发生后可能造成的损失以及对全过程和整个企业造成的影响有多大。
第二,设计流程图。
应用流程图方法时,首先应将企业的生产运营过程按照各阶段的顺序绘制成图。
第三,分析或解释流程图。
流程图绘制完毕后,需对其进行静态和动态分析。静态分析,就是对图中的每一个环节逐一调查,找出潜在的风险,并分析风险可能造成的损失后果。动态分析则着眼于各个环节之间的关系,以找出那些关键环节。
由此可以看出,流程图法的思路是,依据生产的程序,将公司的运作分成一个一个的环节,再逐一分析这些环节和环节之间的关系。这样更有助于识别关键环节,并可进行初步的风险评估。因此,流程图法的优点是:第一,流程图法能把一个问题分成若干个可以进行管理的部分。虽然这是一件烦琐的工作,但当一个大问题被划分成若干个小部分,工作就容易开展了,从而能够清晰、形象,基本上能够揭示出所有生产运营环节中的风险。第二,流程图法可以使管理人员通过一幅图就认识到整个生产过程。该法的主要缺点就在于需要耗费大量的时间。从了解生产过程到绘制图表需要相当多的时间,随后还要对图表进行解释。如果一幅图过于复杂,以至于对潜在风险状况描述不清,那么流程图法就不是最优选择。其次,流程图可能过于笼统,它描述了整个生产过程,但它却不能描述任何生产的细节,这就可能遗漏一些潜在风险。最后,流程图无法对事故发生的可能性进行评估,即流程图只强调事故的结果,并不关注损失的原因。对于那些不善于定量分析的人来说,流程图法不失为是一种有用的风险识别方法,但缺乏定量分析是它的一个缺点。因此,要想分析风险因素,就要和其他方法配合使用。
(三)财务报表法
对一个经济单位而言,财务报表是企业一定期间经济活动状况及其经济效果的综合反映,它记载了企业的大量经济活动情况,包括企业的建筑物、机器设备、产品种类、产品成本以及其他资产项目,经济实体存在的许多问题均可从财务报表中反映出来。财务报表分析法就是按照企业的资产负债表等资料,对企业的固定资产和流动资产进行风险分析,以便从财务的角度发现企业面临的潜在风险和财务损失。
应用财务报表识别风险,关键是从损失暴露入手,先找出损失暴露,再设想可能对这些损失暴露有影响的风险源。以企业的建筑物为例,企业所拥有的建筑物通常在资产负债表中予以注明,融资租出的建筑物以附注的形式注明。明确了这些现有的和未来将有的建筑物之后,就能考虑和它们相联系的潜在损失,包括一旦发生损毁后的修理费用、内置的存货和设备的价值、建筑物无法使用时的收入损失以及雇员或客户在建筑物内收到伤害后导致的损失。如果是出租的建筑物,还要考虑它被损害时对租赁合同的处置以及替代设施的成本。按照这种思维方式,利用财务报表基本上就能够识别出企业面临的财产风险、责任风险和人力资本风险。
(四)风险因素分析法
因素分析法,又称因素替代法、或连环替代法,是一种通过对某项综合指标的变动原因按其内在的组成因素进行顺次逐个地数量分析,从而确定各个因素对该指标的影响程度和影响方向的分析方法。它一般是在比较分析所确定的差异的基础上,先确定影响经济指标的诸因素及其与指标的关系,并加以排列;再顺序假定一个因素变动,其他因素不变,依次逐个进行因素替代,据以从数量上测定各因素对指标的影响程度。
应用因素分析法分析计算时通常有五个步骤:第一步根据影响某项综合指标完成轻快地因素,按其依存关系分别建立报告期和基期(计划期、同期或上期)两个指标体系。第二步以基期指标体系为计算基础,用报告期指标体系中各个因素的报告期数逐项顺序地替代其基数,每一次替代后,报告期数就被保留下来,不再退回基数,并计算出该因素变动产生的结果。第三步将每次替代后得的结果与该因素被替代前的结果进行比较,两者的差额就是这一因素变动对综合指标变动差异的影响程度,亦可体现影响方向。第四步是将各个因素变动的影响值相加,其代数和应同该综合指标的报告期指标与基期指标之间的总差异相符。第五步对该指标的差异及其各因素的影响程度给予评价。
因素分析法主要是利用指数体系,从数量方面研究分析现象总体变动中各个因素变动的影响程度和效果。在实际应用过程中,由于对该方法缺乏统一的规定性,致使在分析中利用该方法对同一组资料进行分析时,由于分析指标中各因素分析顺序的不同,会产生不同的结论,因而导致其影响分析结论的有效性和合理性。
上述风险识别的各种方法在风险识别的感知阶段和分析阶段中都有不同程度的运用。财务报表分析法、流程图分析法等较多地被用于感知风险;风险清单法、事故树分析法和风险因素分析法则较多地被用于分析风险。还有一些方法如现场调查法,与企业内外专家磋商等在两个阶段中都能得到较好地运用。
三、风险识别应用实例
2009年9月,某项目组依据《企业内部控制规范》等有关规定,对某公司进行风险识别。
(一)风险识别的方法
主要方法包括:第一,问卷调查法。将可能发生的风险列入问卷,通过问卷调查、统计分析,判别风险大小和影响程度等。第二,研讨会。将跨部门和不同级别的管理人员召集到一起,就风险识别进行讨论。第三,流程图法。通过对流程的分析,发现和识别风险可能发生的环节或地方以及流程中各个环节对风险影响的大小。第四,情景分析法。通过有关数字、图表和曲线等,对未来的某个状态或某种情况进行详细的描绘和分析,从而识别引起风险的关键因素以及影响程度的一种风险识别方法。该方法注重说明某些事件出现风险的条件及因素以及当某些因素发生变化时将发生的风险和产生的后果等。
(二)风险识别的工作流程
主要工作流程有:第一,各部门结合自身业务特点收集相关信息,填写《风险信息收集表》。第二,根据《风险信息收集表》,整理分析初始信息,编制《风险调查问卷》。第三,主管领导对问卷进行补充,重点补充公司层面的主要风险事件。第四,发放问卷,并指导各部门进行填写。第五,访谈部门领导,并做好访谈记录,对访谈进行整理,整理出初始公司层面风险和业务层面风险。第六,梳理各部门业务,确定流程目录,绘制流程图,确定业务层面风险。第七,回收问卷并统计分析,结合领导访谈和业务流程梳理,自上而下、自下而上确定公司层面风险。第八,向主管领导提交确定了的业务层面风险和公司层面风险,主管领导提出修改意见。第九,通过对公司层面风险及业务层面的风险描述,形成初始风险数据库(风险辨识表),并提交主管领导,主管领导提出修改意见。第十,分析风险成因及影响结果,准备风险评估工作。
(三)对案例的分析
该项目组在了解公司的基本情况的基础上,系统地收集和确认公司各个层面对经营目标有影响的风险事件,包括内部和外部的风险事件,并进行归类,形成风险清单;同时,收集各项风险事件的属性信息,如动因、责任岗位、涉及流程、发展趋势等,为风险评估提供基础资料。在进行风险识别时,工作流程清晰,方法得当,形成的主要成果有,细分出一级流程3个、二级流程16个、三级流程46个、四级流程25个,在此基础上,结合职业判断对每一个业务流程中的潜在风险进行了识别,初步识别出主要风险34项,形成公司风险识别表。
四、结论和建议
(一)进行风险识别,应遵循全面周详原则
实现风险识别的目标,必须全面地了解各种风险事件存在和可能发生的概率以及损失的严重程度,风险因素以及因风险的出现而导致的其他问题。因此,必须全面了解各种风险损失的发生及后果的详细状况,及时而清晰地为决策者提供比较完备的决策信息。
(二)进行风险识别,应遵循综合考察原则
企业面临的风险是一个复杂的,其中包括不同类型、不同性质、损失程度不等的各种风险。复杂风险系统的存在,使独立的分析方法难以对全部风险奏效,因此必须根据经济单位的性质、规模以及每种方法的用途将多种方法结合使用。
(三)进行风险识别,应遵循量力而行原则
风险识别的目的在于为风险管理提供前提,以保证企业、单位、个人以最小的支出来获得最大的安全保障,减少风险损失。因此,在经费有限的条件下组织风险识别必须根据实际情况和自身承受财务能力,选择效果最佳、经费最少的识别和衡量方法。如果风险识别和衡量的成本超出对风险管理的收益,这项工作就没意义了。
(四)进行风险识别,应遵循系统化、制度化、经常化原则
风险识别是风险管理的前提和基础,识别是否准确将决定管理效果。为保证最初分析的准确度,就必须作周密系统的调查分析,将风险进行综合归类,解释各种风险的性质及后果。如果没有科学系统的方法来识别和衡量风险,就不可能对风险有一个总体的、综合的认识,难以确定哪种风险是可能发生的,不可能较合理地选择控制和处置风险的方法。风险分析对风险管理的意义是重大的,风险识别是风险分析的基本要素,不论在风险管理的其他方面做得多么完备,只要在识别方面失去系统性和准确性,则无法对风险做出正确的判断,不能有效地实现管理目标。
(五)进行风险识别,应提升审计高度,从关注局部风险上升到关注战略风险
风险导向审计的主要特征之一是站在企业全局的高度进行风险评估和审计资源配置。目前,很多企业的风险导向审计对企业风险的揭示和评估仍局限于局部或某些环节,未能从企业战略的高度揭示和评估企业风险及风险管理。因此,从企业战略风险出发开展风险导向审计,进行审计风险评估,是风险导向审计发展的必由之路。
作者简介:高澜(1976-),女,汉族,浙江临安人,任职于中国石油新疆油田公司,研究方向:内部审计;徐英(1974-),女,汉族,浙江余姚人,任职于中国石油新疆油田公司,研究方向:内部审计。
转载注明来源:https://www.xzbu.com/3/view-726846.htm