1、基于企业风险管理总体框架的石油企业风险导向内部审计研究摘要:运用全面风险管理框架(ERM)的理论,针对大港油田内部控制与内部审计发展之需要,探讨如何构建有效的风险导向型内部审计,旨在以风险导向型内部审计为目标,为大港油田公司内部审计发展提供一些具有借鉴意义的思路,并不断推进大港油田公司内部审计工作的创新和发展。 关键词:ERM;风险导向;内部审计;石油企业 一、研究背景 2004 年 COSO 委员会颁布企业风险管理框架(ERM) ,该框架不仅扩大了原 COSO 内部控制整体架构的范围,建立起一个对风险更加关注的、更强大的内控体系,而且将内部控制与风险管理融为一体。企业全面风险管理已成为 21
2、 世纪全球企业管理发展的新趋势。近年来,著名企业评级机构如标准普尔和穆迪已将 ERM 列为其对企业评级的基本评价因素,各国的审计标准已将审计的根本任务从审计内部控制逐渐转移到审计风险管理的职能上来。最近的调查显示:80%西方投资者愿为有能力实施全面风险管理的企业支付溢价,越来越多的企业开始从风险管理的角度来考虑寻找商业合作伙伴,以保障自身的品牌、时限、质量及可持续性。因此,无论从管理标准或企业评级的新导向,还是从来自于监管、投资者或客户的压力,实施全面风险管理已成为当今企业发展的必然选择。 IIA 主席伍顿安德森博士在 2004 年 5 月 25 日的上海报告中指出:在 ERM 框架下,内部控
3、制与风险管理已经有效融合。风险导向型内部审计1通过协助风险估算程序,系统的识别风险事件,衡量和监控业绩,最终促成内部沟通和采取正确行动。基于此,本文提出以风险管理为核心的风险导向型内部审计。 二、构建基于 ERM 的风险导向内部审计 在大港油田公司构建依托 ERM 的风险导向型内部审计是以风险为基础,为实现公司的价值增值目标,由具备复合型才能的职业人员所从事的重在监督和评价公司治理有效性的保证和咨询活动。 (一) ERM 框架下的风险导向内部审计分析 COSO 委员会在 2004 年 9 月发布企业风险管理总体框架 ,简称 ERM 框架,该框架包括八大要素:内部环境、目标制定、事件识别、风险评
4、估、风险反应、控制活动、信息与沟通、监控。下面紧密围绕 ERM框架八要素,对风险导向审计具体内容逐一进行简要阐述: 1.内部环境。内部审计要充分结合企业的外部经营环境(包括本地经营环境和全球经营环境) ,综合考虑内部环境可能的经营风险来源:不胜任的董事会、内部组织文化的功能缺失、与战略不相适应的风险偏好、高层管理人员知识、经验是否与战略主题目标和时代相和谐。 2.目标设定。战略及经营计划中隐含的整体组织风险为 ERM 其他六个要素的运行提供了一个总体框架,这些目标及风险偏好为 ERM 提供了总体标准。内部审计人员要系统的将组织战略和商业模式与对其实现构成威胁的风险联系起来,评估组织的战略目标、
5、经营目标、财务目标、各个部门目标的合理性。 3.事件识别。内部审计人员通常会利用寿命周期分析法、SWOT 法、KSF 法、DCCS 法、盈亏临界点分析法、财务、会计、统计指标分析法等捕捉风险征兆。如我们很熟悉的 SWOT 分析就是将企业内部与外部环境中有利与不利的方面放在同一个框架中进行分析,以综合评价企业从事某一种行业的可行性及风险。 4.风险评估。风险评估是采用定量或定性的方法,考虑企业潜在事件发生的可能性及对实现企业目标的影响程度。审计重点关注风险评估方法的适当性和有效性,应当遵循以下原则:定性方法的采用需要充分考虑相关部门或人员的意见,以提高评估结果的客观性;在风险难以量化、定量评价所
6、需数据难以获取时,一般应采用定性方法;定量方法一般情况下会比定性方法提供更为客观的评估结果。 5.风险反应。管理层在评估相关风险后,按照风险管理优先顺序和风险管理策略,结合风险预警机制,对各类风险或每一项重大风险制定、评估和选择风险管理解决方案,确定如何应对风险。内部审计应重点关注风险管理解决方案制定是否科学。解决方案一般可分为四类:规避风险、减少风险、分担风险、接受风险。方案制定要充分考虑风险容量和风险承受度、成本和收益、方案的机遇等因素。 6.控制活动。控制活动2是指为确保风险管理解决方案得以贯彻执行的政策和程序。内部审计要从如下几个方面评价控制活动的科学性、合理性:(1)检查相关交易过程
7、的控制措施。好的内部审计控制的设计必须保证每项交易都具有证明文件,保证拒绝非法的交易,保证所有合法的交易能够被正确处理。 (2)总体控制与具体控制。总体控制的缺乏会使具体控制失效。设计具体控制时,必须同时考虑相关的风险、报告的风险和发生的频率。 (3)多重控制。为防止一项控制措施不能发现和纠正错误的可能性,应设计多重控制。这里包括授权、职务分离、凭证、接触、实物清查等几个方面同时或交替的控制设计。 (4)对成本与效益原则的考虑。内部控制的设计应该遵从成本与效益原则,即将缺乏控制导致的损失与建立和实施控制的成本相比较,寻求内部控制的独立性、有效性的同时,力求简洁与低耗。 7.信息与沟通。内部审计
8、人员需要关注高层管理者的战略、目标意图能否自由、迅速、畅通的传递给下级,并且下级是否能充分理解上级的意思表达,并将意见充分反映到上级、管理层对员工意见的获取和采纳程度以及组织是否有多种沟通渠道等。 8.风险监控。内部审计对风险管理的监控实际上就是判断高级管理层的 ERM 业绩的优劣,在此过程中,内部审计人员要对风险评估过程进行再次评估,在这里要引入 IIA 的最新分析工具一分解(decomposition) 。分解方法将经营计量系统记录的业绩与计划和预算中的预期业绩以及同一时期的竞争者进行比较,是监控风险环境变化的一种有效方式。与预期值的差异可以按其原因或“起源”来解释,或者用之前的风险分析所
9、指出的、环境或经营条件的变化超出了限度来加以解释。对原因进行相关、及时地计量和剖析便于管理层及时作出反应,又能更好的发挥内部审计咨询方面的增值功能。 (二)ERM 框架下风险导向内部审计的实施安排 1.重视以风险为基础的审计计划。制定审计计划3是指审计人员完成各项审计业务,达到预期的审计目标,在具体执行审计程序之前编制的工作计划。 内部审计实务标准第 2 010 款关于制定审计计划中指出:首席执行官应该制定以风险为基础的计划,以确定内部审计活动的重点。企业风险导向审计计划是对内部审计师的一种指引,也是一种便于审计监督的内部约定,其中说明了将要采取的审计步骤,这些审计步骤旨在收集审计证据和帮助内
10、部审计师对被检查业务中存在的风险、效率、经济性和有效性表达意见。其内容通常包括如下几个方面:(1)审核以前的报告、审计方案、工作底稿及前任审计师提供的文档,列出任何要求采取纠正行动的公开项目。其作用在于获取背景资料及确定过去审核的结果,以更好地确定当前重大风险的审计范围。 (2)实施初步调查,以确定被审核的活动的目标、实际或潜在风险,以及现存的控制系统。(3)审核被审计职能的政策和程序,以及它的经营管理手册、组织结构图、权力结构图、长短期目标。通过审核来确定可以衡量和评价风险的领域以及该职能是否按管理层的意图执行。 (4)审核有关风险的审计领域的现行内部审计资料,针对被审计的业务活动,获得最新
11、的技术信息。(5)准备被审计职能的主要业务流程图,获得业务流程的可视分析,识别控制缺陷。 (6)审核管理层已建立的绩效标准,如果可能,把它和行业标准进行比较。 (7)会晤客户,讨论审计范围和内部审计师试图达到的目标,避免有关审计目标和范围被误解。 (8)编制完成审计业务所需耗费的详细预算,以保证审计过程的效率。 (9)通过风险评估并排序,列出必须考虑的重大风险。 (10)为每个可识别风险确定什么控制有效,检查现行的控制是否可以消除或充分地减少已识别的风险。确定重大问题和机会的实质,识别困难的主要方面,确定其原因和可能的补救方法。2.以确认企业主要风险管理目标是否实现为依据,实施审计测试与审计发
12、现。审计测试意味着通过将选择的项目变成证据,在现代风险导向内部审计中,内部审计师应获得足够的证据,确认企业主要风险管理目标是否实现。审计测试中通过运用抽样、观察、提问、分析、证实、调查与评估4等方法获取有关风险的审计证据,并且揭示出它们的内在品质或特征,目的是为内部审计师形成审计意见提供基础。 在审计工作中内部审计师要确定哪些情况需要采取纠正行动,那些与规范或可接受的标准之间的偏离被称为审计发现。它们可能是:应采取而未采取的行动、不适当的行为、令人不满意的系统及应考虑的风险暴露等。在现代风险导向内部审计中,审计发现通常包括特定要素:背景、标准、情况、原因、影响、结论和建议。包括这些因素的所有审
13、计发现,都为采取纠正行动提供了强有力的依据,同时它会想方设法证明确实存在问题并提出解决方法。 3.丰富审计结果内容并及时进行业务通报。审计结果应该包括审计发现结果、审计结论(意见) 、审计建议和行动计划。审计发现结果是对事实(风险)的相关陈述,通过比较应该达到的目标与实际的做法,就可以得出审计发现结果和审计建议,审计发现和审计建议应该以标准、情况、原因、影响为依据,在现代风险导向内部审计中,审计发现结果和审计建议还可以包括审计客户的业绩、相关问题和未在其他地方反映的辅助信息。审计结果资料是内部审计报告的主要基础。 内部审计实务标准第 2400 款指出内部审计师应及时通报业务结果,通报的内容包括
14、业务标准、范围及业务结论、建议和行动计划。但内部审计师在审计通报和工作底稿中包括与违法违规行为和其他法律问题有关的审计结果,并就此发表意见时应非常谨慎,在处理这些事项时应与有关方面(法律顾问、稽核官员)建立紧密联系。 4.以所涉及的风险及实施纠正措施的困难程度和时间安排的重要性为依据,实施后续审计。在现代风险导向内部审计流程中,从审计计划到审计实施以及后续审计,自始至终都贯穿现代风险导向的审计理念。以大港油田的实际业务为例,比如对一项销售收入进行审计,内部审计人员不仅要在收入发生之后审核其签订合同金额与客户付款金额是否相同、所付票据是否齐全,而且要在收入发生之前审查设计收款计划的制定依据是否真
15、实可靠,收款计划是否可行,设计收费价格是否合理;再如对投资项目进行审计,内部审计人员在项目投资之前要对该项投资决策进行审计,包括审查该项目是否应该投资、投资回报率是否合理、合作对象的信誉高低以及是否还存在更优的选择方案,在项目投资之后要审核投资协议是否完整、企业是否根据投资比例在相应的会计期间对被投资单位的投资收益按照权益法或成本法进行了正确的核算;再如对石油开发工程项目进行审计,内部审计人员首先在工程项目立项阶段就对可行性报告、初步设计、设计概算、资金来源等进行审查,其次进行工程预算审计,以审核后的预算和工程合同为依据支付工程款,在项目施工时进行阶段性结算审计,主要对项目的设计变更、增减较大
16、项目的预算审计以及对项目进度的审查,最后进行工程决算审计。 (三)ERM 框架下风险导向内部审计的实现途径 在 ERM 框架下建立和应用现代风险导向内部审计模式,是一个大胆的尝试和创新,是对原有内部审计功能的拓展,而大港油田目前的内部审计现状与之存在一定的距离,因此需要通过以下途径来实现内部审计的转变和发展。 1.拓展集团内部审计的功能定位,确保内部审计的独立性和客观性,提升内部审计人员的职业素质。在保留内部审计原有监督、检查的基础职能的同时,应当赋予内部审计更多参与内部控制、风险管理的职能,拓展集团内部审计的功能定位,体现内部审计“咨询顾问” 、 “业务伙伴”的角色,明确内部审计的管理体系,
17、确保内部审计的独立性和客观性。市场经济条件下,企业风险无处不在,从事风险导向内部审计的人员必须具备很高的职业素质,需要造就一支具有国际化水平的内部审计队伍。2.运用现代风险导向审计理论,重视了解和测试,确定审计的重点和范围,提高审计效率,将审计风险减少到最小程度,实现防范风险的目的。企业内部审计人员要根据对被审计单位基本情况的了解和分析性复核的结果,加强审计风险分析,最后根据确定的总体审计风险概率和评估的重大错报风险概率,得出关于剩余审计风险也就是检查风险的概率,据此确定实质性测试的性质和范围。同时以检查内部控制和风险管理作为审计的切入点5,通过对内部控制环境的调查和对风险管理、业务审批、职能
18、分离、项目管理等各项业务流程的审查,对内部控制制度的健全性和有效性以及风险管理进行测评,以揭露问题,堵塞漏洞,促进集团完善内部控制机制,加强内部管理和监督,防范风险。 3.实现审计手段信息化,提高审计工作水平随着信息化、网络化的迅速发展,信息资源集中程度较高。在推行信息化平台建设的过程中,要在业务处理系统和管理信息系统中设置审计接口6,镶嵌业务流程图,使企业内部审计人员在评估风险、实施审计时能够及时获得必要的审计线索。同时围绕企业的发展目标,构建完整的审计信息系统,推进现代风险导向内部审计与非现场内部审计的有机结合,提高内部审计的质量和效率。 参考文献: 1常勋,黄京青.从审计模式的演进看风险导向审计J.财会通讯,2004,(7):10-14. 2郭群,吴惠吟.风险导向内部控制评价模式研究J.广东商学院学报,2002,(2):54-57. 3胡慧.现代风险导向审计的理论框架及其应用研究D.成都:四川大学,2006:12-13. 4廖文凯.风险导向审计在实务中存在的问题J.审计与理财,2008,(7):40-41. 5严晖.风险导向内部审计若干问题研究D.厦门:厦门大学,2004:45. 6宋士杰.企业风险导向内部审计应用研究D.长沙:长沙理工大学硕士论文,2008:4-6.
Copyright © 2018-2021 Wenke99.com All rights reserved
工信部备案号:浙ICP备20026746号-2
公安局备案号:浙公网安备33038302330469号
本站为C2C交文档易平台,即用户上传的文档直接卖给下载用户,本站只是网络服务中间平台,所有原创文档下载所得归上传人所有,若您发现上传作品侵犯了您的权利,请立刻联系网站客服并提供证据,平台将在3个工作日内予以改正。