审计部门对外宣传说是风险的第三道防线,在开展业务时倡导风险导向内部审计,在贯彻审计全覆盖时努力实现主要风险的全覆盖。然而,在实际工作中,审计部门是否真正把风险识别、风险评估和风险管理作为提高审计效率和扩大审计成果的工具呢?或者做到了以下几点吗?
1.审计部门是否建立了风险预警机制。健全和正常的风险预警机制能够实时扫描组织各个业务模块、各个分支机构的风险状况,一旦风险阈值开始报警,审计人员就要及时进行风险评估,然后根据评估结果判断是否采取进一步行动。尽管许多审计部门利用信息技术搭建了风险预警信息平台,但还存在以下的问题:风险指标评价体系不完善、风险预警平台从对接的业务系统获取的数据有错误、风险预警平台因维护不利而不能正常运行,等等。同时,风险预警机制不止是风险预警信息平台,还要通过多种渠道获得最及时的风险信息。
2.审计人员是否能够通过审计发现分析评价风险状况。审计发现散布于审计底稿、审计报告中。即使审计人员每年都会做审计发现分析,但分析结果是否能获得对各个业务领域的初步的风险评价。如果不能从审计发现分析结果获得对风险状况的初步评价,那么审计发现分析往往只能起到合规性分析的作用,或者再加上一点效益性分析。注意,这里说的还只是初步评价。风险评价需要一整套分析方法,单靠审计发现可能无法获取全面的风险状况评价,但也能通过审计发现分析搭建一个风险评价的初步平台,实现审计发现分析的“点、线、面”结合。
3.审计业务是否覆盖到组织的主要风险领域。有三个因素制约着主要风险领域的全覆盖:一是鉴于审计人员的知识领域、经验和能力水平,不是所有风险都能被识别;二是没有建立前面所说的风险预警机制,或者更底层的原因是还没养成定期对风险进行识别的意识和习惯;三是市场环境是变化的,业务政策也会适时调整,经营风险也会随之变化,而审计往往因为时候是事后,可能就会错过正在发生的风险。
4.审计部门是否能与风险的第一、第二道防线建立联动机制。内部审计是独立的,但内部审计作为风险的第三道防线却不能是孤立的,需要和第一、第二道防线形成联动机制。就像打仗,各个战线不能只管自己面前的敌人,还要相互之间保持畅通的讯息,甚至还要提供火力支持。要知道,风险如果突破了前两道防线,内部审计作为第三道防线也很难防得住。联动机制包括:定期风险会议、问题整改沟通、风险的相互提示、风险信息共享等。
5.审计人员是否能获得体系化的风险管理培训。“工欲善其事,必先利其器。”审计人员要想充分运用审计管理的知识和工具来开展审计检查,就获得专业化、系统化的风险管理培训。内部控制和风险管理是现代内部审计的两大理论和实务基石,没有扎实的内部控制和风险管理理论基础,就很难在实务中形成更深刻的认识。即使在实际操作中,审计人员不一定会用到风险管理的专业知识,但对外宣传和交流上,如果审计人员对风险管理就没有全面的认识,其专业性也会受到质疑。审计人员的培训分为两种,一种是讲师授课,一种是自己学习,这两者都要根据审计部门实际情况结合使用。
内部审计作为风险的第三道防线要的事情太多了,不止是上面所说的五个方面。审计人员切记审计检查不能就问题说问题,对照制度规定找问题,而是要对一个问题、一类问题、相关问题进行原因分析和风险分析,尤其是高价值的风险分析和提示,使审计的监督和咨询职能更有高度。
(本文为strongrabbit 审计实践公众号原创)
