经管之家送您一份
应届毕业生专属福利!
求职就业群
感谢您参与论坛问题回答
经管之家送您两个论坛币!
+2 论坛币
企业风险管理审计<BR><BR>公告 2006年5月28日 <BR><BR><BR>企业风险管理审计<BR>--读《企业风险审计》和《现代企业风险管理审计》感<BR> 秦俸<BR>正如《现代企业风险管理审计》所述,审计业界并非尚未认识到其面临风险的真正根源,目前需要做的是研究并实施如何在审计行为中识别,控制风险,并使该理念和模式体现在审计各阶段(全过程)具体的审计程序中,而不是仅仅在审计计划阶段对固有风险进行简单的分析。要做到这一点,传统的审计理念和模式,由于其更多的是为了关注财务报表风险而关注报表和企业帐目,而不是从企业经营风险,管理层风险管理的角度来关注财务报表,因而无法实现审计风险控制的有效性,也使审计在为整个财富价值链中的价值无法进一步得到体现。传统的审计方法除了在理念存有不足外,还欠缺足够的可以用来识别现代企业经营风险及其控制的审计工具,模型和方法; 而企业风险管理审计模式,正是从企业经营风险,风险管理角度分析审计风险,实施审计程序,从财务报表风险的源头——企业经营风险角度去关注财务报表风险,从而为风险降至可接受水平提供有效保障,并实现审计目标同整个商业社会的共同目标达到一致。<BR>《企业风险审计》,王晓霞著,2005年1月由中国时代经济出版社出版发行,是一部侧重于内部审计的企业风险审计的专著。《企业风险审计》借鉴国内外风险管理方面的知识,在风险审计的概念、目标、程序以及专业判断等方面有一定创新和突破;在具体风险的审计上,精心编制国内外企业典型案例,具有可操作性。<BR>《现代企业风险管理审计》,卓继民著,2005年8月由中国财政经济出版社出版发行,是CPA视角的中国第一部现代企业风险管理著作。《现代企业风险管理审计》提出的企业风险管理审计模式,是从企业经营风险,风险管理角度分析审计风险,实施审计程序,从财务报表风险的源头——企业经营风险角度去关注财务报表风险,从而为风险降至可接受水平提供有效保障,并实现审计目标同整个商业社会的共同目标达到一致。书中提供了大量的风险管理审计工具,模型和方法以使新的审计理念可付诸实践。<BR>一、《企业风险审计》过于强调内部审计在企业风险管理中角色和作用<BR>《企业风险审计》第2页对内部审计在企业风险管理中角色和作用引用了《内部审计实务标准》的观点认为,内部审计在企业风险管理中角色和作用有两个方面:一是协助风险估算程序;二是对风险管程序的评价,对风险管理的恰当程度作出保证。这一观点在书中多次出现,反复强调。COSO则认为“内部审计师通过对主体企业风险管理的恰当性和有效性进行检查、评价、报告和提出改进建议,来协助管理当局和董事会或审计委员会。内部审计师协会的准则还强调内部审计的适当作用,清楚地指出内部审计师应该对他们所审计的活动持客观的态度。”(《企业风险管理—整合框架》,方红星 王宏译,东北财经大学出版社,2005年9月,P115)。<BR>我赞同COSO的观点,内部审计在企业风险管理中保持客观的态度,通过评价、报告和提出改进建议,来协助管理当局和董事会或审计委员会;在评价企业风险管理的有效性方面起着关键性作用。而不赞同《内部审计实务标准》对内部审计角色和作用的观点,内部审计要保持客观,就需要相对独立,不能又当裁判又当运动员,不能直接参与企业风险管理的风险估算程序。同时内部审计的资源(人力、技术)难以实现“对风险管程序的评价,对风险管理的恰当程度作出保证”的作用。特别是“作出保证”更是不现实的;如果作为理论上的追求,也是无意义的。能作出“保证”的观点只能误导管理当局和董事会或审计委员会赋予内部审计不恰当的地位和权限,占用更多的资源。正如作者在书第3页的表述:客观地讲,要求每一位审计师者成为风险管理等各个方面的专家是不现实的。<BR>二、企业风险管理模型<BR>《企业风险审计》大都采用了澳大利亚—新西兰联合委员会的AS/NZE4360:1999风险管理模型。在读了卓继民所著《现代企业风险管理审计》后,作为CPA的我比较认同《现代企业风险管理审计》选用的风险管理模型,即《企业风险审计》第77页所述的原安达信咨询公司经营风险管理框架图。<BR>三、含混的风险审计重要性概念<BR>《企业风险审计》第121页提出的风险审计重要性概念。“风险审计重要性是指被审计单位所处的环境、管理和业务活动,风险识别、分析评估及风险处理方法的任何方面,若存在影响组织基本目标实现的潜在可能,审计师则可判定该风险是重要的,否则,则可判定为不重要或判定为保留风险或剩余风险。”这一概念可能是由审计重要性在风险审计中的运用。审计重要性是指被审计单位会计报表中错报或漏报的严重程度,这一程度在特定环境下可能影响会计报表使用者的判断或决策。我认为风险审计重要性概念是含混的,将“重要性”定义为“潜在可能”很难理解。我认为,风险审计重要性是指被审计单位潜在的可能负面影响目标实现的严重程度,这一程度可以通过估计损失额、发生概率和发生频率进行界定。<BR>四、具体风险管理审计<BR>原安达信(Author Anderson)将风险定义为,环境风险、过程风险和决策所需信息风险三大类,细分七十三种常见的风险(《企业的泛风险管理—一种动态地处理风险与机遇系统化策略》,詹姆斯•德阿克著,丁一兵译,吉林人民出版社,2001年8月)。《企业风险审计》在第三篇介绍了风险审计的理论与专业判断、规划策略和审计框架,第四至八篇介绍了营销风险、产品开发与品牌创立风险、企业财务风险、企业组织风险和企业内部控制系统风险等5种具体风险的审计,其审计思路受束于前述所选用风险管理模型和第42页所述的风险适管理的前提与基础研究:<BR>风险管理的前提与基础研究<BR>序号 <BR>分析内容 <BR>方法<BR>1 宏观环境分析 PEST方法<BR>2 市场环境分析 行业竞争力、市场谈判能力<BR>3 核心竞争力分析 SWOT、KSF方法<BR>4 投资活动分析 资产规模、结构优化分析<BR>5 财务收益、会计比率、统计趋势分析 收益预测、会计比率、统计比率<BR>6 投资组合分析 投资矩阵图<BR>《现代企业风险管理审计》,在了解企业经营识别经营风险时,提供了一个整体框架用于了解企业风险管理行为的有效性,并且分析企业的情况和信息流程。使用的主要分析工具包括:(1) 企业分析框架(Business Analysis Framework, “BAF”; (2) 企业风险模型(Business Risk Model, “BRM”); (3) 企业信息流程(Business Information Flow, “BIF”); (4) 企业绩效评价分析 ( Business Performance Review, “ BPR”);(5) 企业整体风险管理有效性评价(Business Risk Management Process, “BRMP”)。 在企业风险控制评价时,提供了一个完整的框架用于评估管理层如何对信息流程和特定估计的相关风险进行控制。使用的主要工具包括:(1) 风险控制流程框架 ( Risk Control Process Framework);(2)风险控制标准及控制矩阵 ( Risk Control Standard Matrix ) ;(3) 信息可信度测试;(4)风险控制识别;(5)评价风险控制的设计;(6)测试风险控制;(7)控制信赖与否之决策树 ( Control Reliance Decision Tree )。作为一名CPA比较容接受《现代企业风险管理审计》的观点,同时认为《现代企业风险管理审计》介绍的工具能够全面地了解企业经营、识别经营风险;评估管理层如何对信息流程和特定估计的相关风险进行控制,为确定和管理剩余风险的供了支持。<BR><BR> 2006年5月28日
扫码加我 拉你入群
请注明:姓名-公司-职位
以便审核进群资格,未注明则拒绝
|