关键词:基层央行;风险管理审计;ERM框架
中图分类号:F830文献标识码:B文章编号:1674-2265(2013)09-0044-04
一、引言
近年来,国内内部审计部门顺应国际潮流,推进内部审计的转型与发展,其重点由以真实性、合规性为主的财务审计转向以内部控制、风险管理为主的管理审计。人民银行的内部审计部门也在开展内审转型,转型的总体目标是由传统的财务、业务合规性审计向内部控制审计、风险管理审计和绩效审计模式转变,风险管理审计是内审转型的重点之一。风险管理审计是对组织风险管理状况进行审计和评价的一种审计类型,其主要目标是通过分析组织运行中存在的内外风险,评价具体风险管理措施的充分性、合理性和有效性,帮助管理层完善风险管理机制,保证组织目标的实现,增加组织价值。
二、基层央行开展风险管理审计的必要性
人民银行内部审计部门在履职过程中,承担了向管理层提供本行风险管理信息、改善本行风险管理的责任,因此开展风险管理审计十分必要。
(一)开展风险管理审计有利于促使基层央行组织目标的完成
风险管理审计将审计视野扩展到基层央行全局,对影响基层央行内外部环境的因素进行统筹考虑、综合分析。传统的审计指导思想可以理解为“无利害关系假设”,即假设基层央行的业务运行不存在利害冲突,仅需查找出确实违规的事实即算达成审计目标。而风险管理审计的指导思想是建立在“合理的职业怀疑假设”之上的,审计时不仅仅依赖于上级行的制度规定及基层央行自身设计和执行的各项制度,而且对制度的合理性和风险控制措施的有效性保持合理的职业怀疑。风险管理审计关注基层央行战略目标的实现程度,把审计的重点放在了识别影响目标实现的风险上,从而促进央行组织目标的实现。
(二)风险管理审计有利于风险管理理念的落实
人民银行所承担的诸多重要职能决定着人民银行的业务处理具有较高的风险性,风险管理的重要性不言而喻。内部审计所特有的监督检查职能使其成为推行风险管理理念的重要部门之一。通过对某一单位、部门的风险管理审计,一方面使其完善风险管理机制,落实风险管理措施;另一方面也使其认识到风险管理的重要性,提高风险意识。
(三)风险管理审计有利于增加组织价值
传统的合规性审计主要目标是查错纠弊,保护资产安全,审计结果往往是事后的,所发现的问题往往具有滞后性。而风险管理审计以风险为基点,改变以往的事后评价体制,转变为及时主动地开展事前、事中、事后动态评价。风险管理审计不仅关注内部控制的合规性,而且着眼于评估具体控制对风险管理的效果,从而可以更合理地提出控制风险和规避、转移风险的建议,使风险管理更加有效。传统的合规性审计关注是否符合制度,有时重点不够突出,“眉毛胡子一把抓”。而风险管理审计更加关注重要的风险管理和控制,重点更加突出,审计针对性更强。因此开展风险管理审计能够更好地发挥内部审计增加组织价值的作用。
三、基层央行风险管理审计主要框架
(一)风险管理主要理论
2004年10月,美国COSO委员会(theCommitteeofSponsoringOrganization)了《企业风险管理——整体框架》(EnterpriseRiskManagementFramework,以下简称ERM框架)。该框架得到了风险管理理论界和实务界的认可,很多大型跨国公司和大部分西方中央银行均是按照ERM框架开展风险管理。
ERM框架由内部环境、目标制定、事项识别、风险评估、风险应对、控制活动、信息和沟通、监控等8个相互关联的要素构成。ERM框架要求组织首先制定切合实际的目标,从全方位的角度统筹考虑组织面临的各种事项,区分风险和机会。其次,对识别出的各种风险进行评估,将风险进行高、中、低等级划分。再次,根据不同等级的风险,结合组织的风险偏好,确定风险应对策略。最后,将风险应对策略落实为具体的控制措施,严格执行控制措施,以将风险降低到可以接受的范围之内。如图1所示,ERM框架8个要素中,事项识别、风险评估、风险应对、控制活动围绕着组织目标,形成了全面的、动态的和持续的风险管理过程;内部环境、信息与沟通、监控在整个过程管理中起辅助配套作用。
(二)基层央行风险管理审计流程
ERM框架揭示了风险管理所应考虑的8个要素。开展风险管理审计可将内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控等8个要素作为审计的主要内容,评价被审计单位在这8个方面的情况,找出不足,提出改进措施,从而提升被审计单位整体的风险管理水平。
由于人民银行组织管理体制的特点,各基层央行的履职目标和业务基本相似。在开展风险管理审计时,审计人员可提前识别出人民银行履职中的重要风险点,审计中重点关注各个被审计单位对这些风险点的控制情况,而不用针对每个基层央行在审计实施过程中开展风险识别。基层央行风险管理审计的基本流程为:一是组织业务专家对基层央行履职中重点风险点进行识别,形成风险点清单;二是开展审前调查,确定被审计单位具体管理目标,根据风险点清单和被审计单位实际情况制定审计实施方案;三是采用调查问卷、座谈、自我评估、控制测试等方式对风险管理8个要素进行审计,审计重点在于被审计单位风险识别的充分性、风险评估的科学性、风险应对的合理性和控制活动的有效性;四是根据审计情况对被审计单位的风险管理状况进行评价,提出风险管理改进建议。
(三)基层央行风险点识别
按照上述审计流程,提前对基层央行的重要风险点进行识别是开展风险管理审计的关键。所识别的风险点可应用于对多个基层央行的审计,并作为评价被审计单位风险识别、评估和应对的基础。我们对基层央行重要风险点进行识别、评估,一是根据有关法规制度,确定基层央行的19项职能;二是对各项职能所涉及的业务流程进行分析,确定1431个风险点;三是按照风险的发生可能性及影响程度进行风险评估,按照严重、比较严重、一般和轻微等4个等级对风险点进行划分;四是将风险程度最为严重的285个风险点列入风险管理审计的风险点清单(见表1),据此开展审计。
四、基层央行风险管理审计量化评价体系
为了对被审计单位的整体风险管理状况进行评价,并且便于不同单位之间进行横向比较,我们对风险管理审计量化评价进行了研究。一是将风险管理框架中8个要素作为一级指标;二是围绕反映8个要素的管理状况,设计了20个二级指标和36个三级指标,并确定了相应的指标计算方法;三是运用层次分析法确定上述指标的权重。
(一)利用层次分析法确定指标权重
层次分析法是美国匹兹堡大学教授萨迪于20世纪80年代中期提出的一种定性分析与定量分析相结合的多目标决策分析方法,具有思路清晰、方法简便、适用面广、系统性强等特点,适用于解决多层次因素的复杂问题。
运用层次分析法确定指标要素权重的步骤为:第一,对同层次各评估指标的重要性按“1—9标度法”予以赋值,构造两两比较判断矩阵。第二,运用几何平均法,求得特征向量(权重向量)。第三,计算判断矩阵的最大特征根和平均随机一致性指标CR。第四,若CR
1.构造一级指标两两比较判断矩阵。我们采用萨蒂(A.L.Saaty)建议的1—9标度方法,根据本级别8个指标要素之间相对重要性的比较,构建了两两比较判断矩阵,见表2。
2.运用几何平均法进行计算:计算判断矩阵每一行指标元素的乘积[Mi]:[Mi=j=18Aij];计算[Mi]的8次方根[Wi]:[Wi=Mi8];对向量[W=[W1W2W3W4W5][W6W7W8]T]规范化,[Wi=Wii=18Wi],得[W=[W1W2W3W4W5]
[W6W7W8]T]。
3.计算判断矩阵的最大特征根[λmax=i=18AWnWi];计算一致性指标[CI]:[CI=λmax-88-1];计算平均随机一致性指标[CR]:[CR=CIRI]。按照上述方法计算得出如下数值:[W=[0.15750.08160.15750.08160.0816]
[0.27680.08160.0816]T],最大特征值[λmax=6.058],一致性指标[CI=0.0116],平均一致性指标[CR=0.009]。
4.由于[CR
[0.08160.08160.27680.08160.0816]T]。
同理,建立二级指标及三级指标要素比较判断矩阵,使用上述方法计算相应的二级指标及三级指标的权重,并判断矩阵是否具有满意的一致性,必要时对矩阵进行调整,直到具有满意的一致性为止。最终确定的审计评价指标及权重见表3。
(二)根据量化评价得分确定评价等级
1.计算得分。根据上述评价指标体系和风险管理审计的特点,我们设计了风险管理量化评价模型,使用“风险管理状况评价分值”来衡量被审计单位风险管理的整体状况。即:[Y=QiXi(i=1,…,8)],其中:[Y]代表“风险管理状况评价分值”;[Xi]分别代表风险管理8个要素得分;[Qi]代表风险管理8个要素所占比重。
在对风险管理的8个方面进行审计后,一是根据各指标的评分标准确定三级指标的单项得分;二是根据三级、二级指标权重计算出一级指标的分值;三是结合一级指标的权重得出风险管理状况评价分值。
2.确定评价等级。为合理地对被审计单位的风险管理状况进行评价,我们设计了优秀、良好、一般、较差四级评价标准。其中:90分(含)以上为优秀,80分(含)至90分为良好,70分(含)至80分为一般,70分(含)以下为较差。
五、审计成效
2013年6月,某分行内审处根据风险点清单和A中心支行实际情况,制定了对A中心支行的风险管理审计实施方案,并于2013年7月开展了风险管理审计。通过审计,A中心支行风险管理状况最终得分为83.94,评价等级为良好,扣分的主要原因为控制活动环节制度执行不到位。通过审计实践表明,基层央行参考ERM框架开展风险管理审计具有一定的科学性:一是确定的8个要素内容基本可以涵盖基层央行风险管理的全过程,审计覆盖面全;二是风险点清单可以帮助审计人员明确审计重点、理清审计思路,提高审计的针对性;三是根据审计结果和量化评价模型可以对被审计单位风险管理状况进行量化评价,提高审计分析能力,提出更有建设性的审计建议,增强基层央行的风险管理能力。
参考文献:
[1]美国反欺诈财务报告委员会,方红星,王宏译.企业风险管理——整合框架[M],东北财经大学出版社,2005.
[2]郭庆平.人民银行内审工作转型与发展[J].中国金融,2012,(7).
其实,一切审计都可以归结为经济责任审计,因为审计的主要目的是“保护财产的安全和完整,保证会计资料的真实和可靠,明确财产经营管理者的经营管理责任”。由于我国审计工作的特殊性,一般认为:经济责任审计是指从经济活动入手,通过审计来正确评价领导干部在任职期内对经济职责、遵纪守法等的履行情况,其结果能为组织人事、纪检监察机关调整、任免领导干部提供参考依据。
审计风险伴随着审计的产生而产生,受财产所有者委托评价经营管理者履职情况就是一种风险。经济责任审计风险除具备常规审计的所有风险外,还具有其独到之面:一是不可选择风险。经济责任审计项目是受组织人事部门的委托,无论审计人员或审计组织通过各种途径了解到本次审计将承担多大的审计风险,都不能选择放弃审计。二是组织分配风险。对干部的监督、考核、管理、任用是组织人事部门的工作,用人得当与否的风险是组织人事部门的内在属性,将领导干部的履职情况交与审计部门审计,对其经济责任作出评价,为任免领导干部提供参考,是将组织人事部门的一部分风险转移到审计部门。三是责任界定风险。常规审计事项有现成的法律法规作评判标准,经济责任审计的责任界定目前缺乏统一的评价标准,界定难度大、不易量化,特别是对领导人没有事先约定的、明确的经济责任,一些不可量化的非经济责任的内容,如领导水平、管理能力等更难界定,而审计人员又不能作出“保留、无法表示意见”等结论,必须作出“有或没有”的结论。
二、现代风险导向审计的含义及特征
现代风险导向审计是以被审计单位的战略经营风险为导向进行的审计,又称经营风险审计,其审计风险模型为:审计风险=重大错报风险×检查风险。其中重大错报风险包括两个层次:财务报表整体层次和认定层次。与传统的风险模型相比,其形式上有所简化,但审计风险的内涵及外延却扩大了。其主要优点是克服了传统风险导向审计的弊端。一是风险模型更合理。传统风险导向审计的模型为:审计风险、固有风险和控制风险,尽管审计人员在计划中做出了最大的努力,但对该三个风险期望的评价基本上是主观的,只有大体上的可信性。二是更符合系统理论。传统风险导向审计不能发现由于内部控制失效所导致的会计报表的重大错报和漏报,它只关心企业的内部控制,认为审计人员通过对各个账户层面的认定进行审计就可以获得充分适当的审计证据,没有充分关注企业(部门)与外环境之间的联系以及企业(部门)内部之间的联系,在这种情况下,发现重大错报的概率几乎为零。三是审计资源分配更优化。传统风险导向审计采用一种自上而下的审计思路,在审计资源上面面俱到,造成审计资源的浪费。现代风险导向审计以被审计单位的重大错报风险为导向,扩大了对被审单位的分析范围,加深了分析深度,可以更合理配置审计资源,在提高效率保证效果的同时,降低了审计风险。
现代风险导向审计的特点就是将被审计对象置于一个经济环境中,运用立体观察的理论来判定影响其持续经营的因素,从企业(部门)所处的政治环境、商业条件到经营方式和管理机制等内外部各个控制因素来分析评估审计的风险水平。其具有以下特征:一是审计重心前移,从以审计测试为中心转移到以风险评估为中心,加强了风险评估程序,着重于发现高风险审计领域。二是风险评估由直接评估变为间接评估,现代风险导向审计从经营风险评估入手来评估审计风险,其重点考虑三个方面:经营失败带来审计失败;经营风险越高,审计风险也越大,管理舞弊可能性就越大;经营风险反映财务报表潜在的重大错报,如果经营风险未能在报表上得到体现,则财务报表很有可能失真。三是风险评估以分析性复核为中心。现代风险导向审计以分析为中心,不仅分析报表和财务数据,也分析政治、经营环境和非财务数据,分析工具也充分借鉴现代管理方法,将管理方法运用到分析性程序中。四是审计测试程序个性化。现代风险导向审计针对风险不同的客户、客户不同的风险领域,采用个性化的审计程序,可以克服很多有财务、审计、或者长期与审计打交道经验的客户预先设置的障碍或防范措施。五是审计人员专业知识重心转移,即以会计、审计知识为中心转向管理知识、行业知识为中心。六是自上而下与自下而上审计相结合,相互印证,提高效率。七是审计证据重点向外部证据转移。
三、将现代风险导向审计理论植入经济责任审计中的理由
经济责任审计风险一般是指被审计领导干部所在单位的财务报表、其他会计资料以及本人述职述廉报告没有公允地反映其任职期间财政收支、管理的真实情况。经济责任审计一般是业务比较复杂、领导任期时间长、经济责任界定难度大,特别是审计对象一般都拥有较大的政治或经济权力,其违规行为具有复杂性和隐蔽性的特点;加上人事变动有时具有批量性,比如任期、换届等,在短期内很容易形成经济责任审计项目多、审计力量相对不足的矛盾,这些因素都会增大经济责任审计风险。
现代风险导向审计首先是运用自上而下的审计思路,从被审单位的经营环境、经营风险和战略管理分析入手,确定实施审计的重点和范围,进而对被审单位的经济业务做出实质性的判断,从而确定相关的审计程序;其次,要求审计人员在实施审计程序的过程中充分运用重要性判断的原则,对审计结果进行取证。最后,再结合自下而上的思路对财务报表的整体风险进行综合评估,形成最终的审计结论。其重点由控制测试向风险评估转移,提出了审计人员从源头分析和发现会计报表错报的观念,有利于揭露和发现被审单位的财务舞弊现象,从而降低审计风险。因此,将风险导向审计与经济责任审计相结合有利于事先确定存在“重大错报风险”的事项,据此设计和实施审计程序,将检查风险控制在可接受的水平内。
四、经济责任审计中运用现代风险导向审计理论
经济责任审计的内容是以责任人是否充分履行其经济责任为中心,围绕其应该承担的财务责任、经营责任、管理责任等展开审计;经济责任审计的重点要根据被审计单位的行业和管理特点有所侧重,对单位资金多、领导干部权力大、历年违纪违规问题多、社会反映比较差、近期有举报信件的单位或个人列为重点,从而整合审计力量,加强重点对象的审计工作,以发现可能存在的重大经济责任事项,从而确保整体经济责任审计质量。现代风险导向审计将审计重心前移,在审前调查注重发现审计工作的起点和重心,关注被审计对象与外部大环境的关联,关注内部控制的合理性和执行情况。因此,将风险导向审计理论植入经济责任审计有利于事先确定存在“重大错报风险”的事项,据此设计和实施审计程序,将检查风险控制在可接受的水平内。
1.审计计划及评估重大错报风险。
在开展领导干部任期经济责任审计之前,必须花大力气做好审前的调查了解工作,将审计风险重心前移。审计人员应通过设立举报电话、信箱、个别走访、座谈、实地观察检查等多种形式,了解被审计单位和被审计领导干部的基本情况、被审单位的内外部环境、内部控制制度的设置情况等,评估重大错报风险。经济责任审计中“重大错报风险”的主要因素有:经济责任制度是否健全;内部控制是否合理、是否得到有效执行;上级审计及管理机关的检查力度;平级的审计及管理机关的监督力度;被审计的领导干部的权力大小、外部环境对被审计单位的影响等。根据重大错报风险事项,制定审计工作方案,及时调整审计实施方案,明确审计内容和审计方法,调配审计资源,确定实施进一步审计程序的性质、时间和范围,做到实施方案个性化。
2.审计实施及检查风险。
审计人员应当严格按照审计实施方案实施审计,结合实际情况对方案不断修改完善,并针对评估的重大错报风险和经济责任审计具体实际,如审计的期间长、内容多、工作量大、审计人员有限、素质参差不齐、组织人事部门对经济责任审计结果的需求较急等确定总体审计措施。比如:审计人员应当在收集和评价审计证据过程中应时刻保持职业怀疑态度;将更有经验或具有特殊技能的审计人员分派到重要事项的调查中,或充分利用专家的工作;注意采取一些被审计人员及其相关的部门不能预见或事先了解的审计程序,如个别谈话等;坚持账面审计和调查相结合,注意对非会计资料的审计,从各个渠道广泛收集领导干部主要业绩和问题的资料,充分利用信息网络技术,通过实施控制测试以确定内部控制运行的有效性;在涉及到可能存在重大错报的事项时,应注意收集较多的证据,必要时实施进一步审计程序,包括检查、观察、询问、函证、重新计算、重新执行和分析程序等;要十分重视其相关事项的调查了解,以证实是否真正存在重大错报,在可控的检查风险范围内将重大错报风险降至最低。
3.审计评价及现代风险导向审计。
[关键词]审计风险特征成因对策
所谓审计风险,就是审计发表不恰当的审计意见的可能性。在审计实务中,由于审计人员的意见或结论是建立在一种职业审查和专业判断上,有时可能会错误地估计和判断审计事项,以至发表了与事实相悖的审计报告,使重大错误或舞弊行为未能提示出来,从而受到有关人的指控并遭受某种损失。所以,我们有必要探讨一下审计风险的成因及相应的对策等。
一、审计风险的基本特征
审计风险的性质总表现为某些特质或特征。我们在探讨了审计风险的内涵之后,应继续阐述审计风险的特征,并说明在我国社会主义市场经济下的特有表现。
1.审计风险的客观性。现代审计的一个显著特征,就是采用抽样审计的方法,即根据总体中的一部分样本的特性来推断总体的特性,而样本的特性与总体的特性或多或少有一点误差,这种误差可以控制,但一般难以消除。即审计人员要承担一定程度的做出错误审计结论的风险。
2.审计风险的普遍性。虽然审计风险通过最后的审计结论与预期的偏差表现出来,但这种偏差是由多方面的因素引起的,审计活动的每一个环节都可能导致风险因素的产生。因此,审计风险具有普遍性,它存在于审计过程的每一个环节,任何一个环节的审计失误,都会增加最终的审计风险。
3.审计风险的潜在性。审计责任的存在是形成审计风险的一个基本因素,如果审计人员在执业上不受任何约束,对自己的工作结果不承担任何责任,就不会形成审计风险,这就决定审计风险在一定时期里具有潜在性。
二、审计风险形成的原因
既然审计分析是客观存在的,是不能够被消除的,那么准确的认识和把握显得尤为重要,因此,下面将从主客观方面来分析它的成因,以便我们更好地了解审计风险的形成。
1.审计风险形成的客观原因:(1)被审计单位的经营环境,特别是行业和环境因素;(2)被审计单位的经济性质和业务性质;(3)审计对象十分复杂,审计内容特别广泛。
2.审计风险形成的主观原因:(1)审计人员经验和能力的有限性:审计能力的相对有限,使审计结果的准确性难以达到社会的全部期望,或者使社会与审计职业界对审计的内容和要求不一致,这种状况常常使人们卷入不愉快的责任诉讼纠纷之中。这种认识从另一个方面表明,审计人员对审计结论承担一定的风险。(2)管理人员的品行和能力:审计工作要求审计人员是德才兼备的人才,他们必须具有高尚的品德和一丝不苟的工作精神,必须具有扎实的会计、审计、法律知识和审计基本技能,具有敏锐的分析能力和准确的判断能力。但是,由于种种因素,难以使所有审计人员都能够达到上述要求,这就不可避免地会限制审计工作的开展,影响审计工作质量。(3)管理人员特别是财会人员的变动:如果一个企业的财会管理人员或者领导层更换十分频繁,那么当中存在的错漏报可能就会变大,注册会计师也应该给予更多的关注。(4)现代审计方法本身存在缺陷:现代审计方法强调审计成本和审计风险的均衡,所采用的审计程序以允许存在一定审计风险为必要的前提,并且抽样审计方法和分析性复核方法的应用贯穿于整个审计过程中,因而审查的结果必然带有一定的误差。
二、规避审计风险的措施
1.完善效益审计法律规范体系。首先,要在《审计法》和相关法律中确立效益审计的地位,把效益审计作为各级审计机关开展审计工作的重要内容,使效益审计制度化;其次,要在现有审计的基础上,认真总结在以往审计中取得的效益评价的经验,吸取当前效益审计的理论研究成果,制定系统、全面的效益审计准则;再次,必须要建立一套科学可行的效益评价指标体系。
2.提高审计人员的素质,即从理念层面规避审计风险。效益审计要求审计人员熟悉被审计单位的业务流程,了解被审计单位业务领域的基本情况和存在的问题,掌握相关的专业技术知识,以便能对审计对象的经济效益做出切合实际的评价。素质应该是综合素质,包括“德”与“才”两个方面。
3.积极探索效益审计方法,在约束机制上来规避审计风险。约束机制主要是利益约束机制。只要一个人的工作与其利益及前途挂钩,其责任心自然就增强了,风险意识自然就浓了。合伙制是一种较好的利益约束机制,是注册会计师行业的发展方向。合伙制可以让每一个执业者真正地成为风险主体,真正地珍惜自己的执业资格。
4.从实施层面来规避审计风险,加强效益审计风险评估与控制的研究。实施层面主要是对业务承接、审计、报告签发整个过程进行监控,扫除风险。在业务承接时,任何业务的承接,都应该由出资人把关。审计实施过程中,要严格按照规定来做,层层把关,层层落实责任,报告签发权一定要集中在事务所出资人手中。在程序上,一定要完善,包括起草、打印、加盖印章等。
基本审计风险点就是会计中容易出现舞弊而导致注册会计师风险增加的地方,审计人员可以在实践中不断积累和总结,将这些风险点存入风险库,并且在审计计划中单独列出一个“风险关注计划”,将这些风险点作为重要的关注对象。当然,还要具体问题具体分析,关注的对象不能仅局限于风险库中列出的现有的风险点。审计案例则应主要作为培训使用,这些案例可以提高注册会计师的专业判断能力。
总之,风险是一个人人都必须面对而无法回避的永恒话题,当然审计活动过程中也不除外。但只要我们正确地认识了风险,并设法控制、减少风险的发生,那我们一定会从中受益的。
参考文献:
[1]吕先锫:《审计》[m].西南财经大学出版社,2006,(7)