内部审计与企业风险治理的全面结合(2)
2016-04-03 01:05
导读:2.确定风险偏好。组织的风险偏好决定了组织能够承受的风险水平。风险偏好与目标设定有着直接的关系,体现在组织交易形式审批、资本预算限制、职责权
2.确定风险偏好。组织的风险偏好决定了组织能够承受的风险水平。风险偏好与目标设定有着直接的关系,体现在组织交易形式审批、资本预算限制、职责权限划分、购买事项确定等各项活动中。确定风险偏好是董事会和治理层的责任,内部审计不能设定组织风险偏好或容忍度,但可以就风险偏好和容忍度水平的确定、量化、沟通,在政策、程序和实务中的有效实施情况提供保证。
3.建立风险治理框架。在不同组织之间甚至在同一个组织不同部分之间,由于文化氛围、治理理念、工作目标、组织规模、业务复杂性以及与业务目标和风险容忍度相关的固有风险水平不同,ERM框架可能会存在很大差别。例如,信息技术部分由于其工作的性质需要有完整的风险识别、评价框架,而人力资源部分可能仅需要一个明确的政策和程序性审阅。从事常规交易的部分一般具有相对成熟的ERM框架,该框架中有明确界定的风险指示,与日常的业务运行过程相结合;而战略治理部分却不具有这样正式的框架,需要进一步加以开发。某些组织拥有了较成熟的ERM框架,而其他一些组织却仅处于ERM的计划阶段、萌芽阶段甚至无知阶段。
董事会和高级治理层负责建立和治理ERM框架。审计职员不能参与设计ERM框架,但是需要依靠他们的判定,结合组织的实际对ERM框架的适当性做出结论,发现框架结构和功能中的缺陷。具体的审查内容包括:审查ERM框架的组成要素;审查在组织政策、治理框架、实务操纵中所体现出来的风险观点和价值;审查风险治理政策和指南的实用性、灵活性和自我引导性;审查员工对风险治理含义的理解和对风险治理技术的把握情况;审查治理层对风险治理的支持、对公司文化的培育情况;审查风险治理实务按框架期看持续运行情况;审查框架动态调整、监视和
自我评价治理情况。
(转载自http://www.NSEAC.com中国科教评价网) 4.识别风险。识别风险是对组织正在和将要面临的风险加以判定、回类和鉴定风险性质的过程,换言之,即确定组织正在或将要面临哪些影响组织目标实现的风险。风险识别是治理层的职责。内部审计在风险识别中的主要工作包括:审查风险识别的充分性,即与组织整体目标和战略相关的、涉及组织整体和分部层次的主要风险是否均已被识别出来,是否存在未被识别的风险,并提醒治理层留意;审查风险识别的一致性,风险定义、分类是否在组织中得到同一的运用。对于发现的风险识别不完全、不一致、忽视风险等情况,内部审计应采用特殊审计程序并加以报告。
5.评估风险。评估风险是指采用定性与定量相结合的方式,估计风险影响的大小和发生的可能性,在二者结合的基础上,对风险进行排队,进而实施不同关注。实施风险评估是治理层的责任。内部审计应就风险是否被正确评估提供保证。具体可以采取两种方式:(1)对治理层的风险评估结果进行再检验,即把握风险评价的系统方法,对风险成因、影响后果、发生频率等作出综合分析,根据“风险值=风险概率×风险影响”的计算结果,对风险级次进行排序,对不恰当的风险评估予以更正;(2)对治理层的风险评估能力进行审查,如审查治理层的风格(激进与稳健的治理者对于相同风险的赋值往往存在较大差别)、采用的风险评估方法、对相关信息的把握程度、对本钱效益的考量、对相关部分或职员意见考虑的幅度,等等。
