国外审计机构风险评估工作做法及启示.docxVIP

国外审计机构风险评估工作做法及启示 一、国外审计机构风险评估主要做法 （一）评估标准。国外审计机构所开展的风险评估工作均依 据于明确的评估标准。 由于多数组织将风险评估工作作为风险管 理框架中的环节开展， 因此国际或国内的风险管理框架标准成为 了风险评估工作的主要依据。如：国际会计师联合会、澳大利亚 审计署将 AS/NZS ISO 31000 （2009）风险管理标准作为组织的 风险评估标准，国际内部审计师协会主要依据 COSO（ 2002）制 定的风险管理框架标准进行风险评估。 此外， 美国审计署则将联 邦政府制定的 《联邦政府内部控制准则绿皮书》 作为开展风险评 估的标准，欧洲审计院也针对绩效审计制定了专门的风险评估标 准。明确的评估标准成为国外各审计组织开展风险评估工作的基 础。 （二）评估流程。国外各审计机构的风险评估流程大体上相 似，主要涵盖控制目标设定、分类定义风险、分析评估风险、决 定应对策略等四个方面（详见图 1）。 设定控制目标， 确保目标可衡量。 设定控制目标即通过收 集高质量的相关数据对组织业务领域进行整体理解， 结合风险因 素和应有的控制措施， 设定组织风险控制目标。 国外审计机构在 设定风险控制目标时， 注重对目标进行明确的、 可量化或可定性 的描述，从而便于审计人员评估目标是否实现。例如，美国审计 署强调用可衡量的专业术语来定义目标， 内容包括：目标是什么， 谁来实现，怎样实现及实现的时限。 分类定义风险， 注重识别风险来源及影响。 分类定义风险， 即根据风险控制目标列出所有可能的风险， 并按照一定标准对其 进行分类或定义， 从而识别出主要风险。 国外审计机构在识别风 险事件时， 注重从风险来源及影响的角度对未考虑已存在控制措 施的固有风险事件进行分类或定义， 从而更加清晰地把握风险事 件的本质。例如，多数组织根据风险来源及影响的不同，将风险 事件分类为外部环境、财务、运营、人员、声誉等类型风险（见 表 1）。欧洲审计院则要求以“原因 +问题 +影响”的方式对风险 事件进行描述。 分析评估风险， 注重考虑风险影响的复杂性。 多数机构从 影响程度和发生可能性两个维度来分析和评估风险事件严重性， 通过风险矩阵（见图 2）来确定风险事件的等级，再通过各风险 事件对应的控制措施形成剩余风险。 国外审计机构在分析评估风 险时，注重综合考虑风险影响的复杂性。例如，国际内部审计师 协会在评估风险事件时提出要考虑到同一事件的风险影响可能 带来不同量级的损失。 而美国审计署则指明在评估风险影响程度 时，除了规模及持续时间外， 还要将风险影响的时效性作为评估 的要素，即考虑到风险会立刻产生影响还是持续一段时间后产生 影响，以及特定风险对组织产生的影响是立即发生的、 中期的还 是长期的。 决定应对策略， 关注风险动态变化趋势。 完成对风险事件 的分析评估后， 各机构按照各项风险事件的等级， 以接受、 降低、 转移、控制作为风险应对原则拟定措施。例如，欧洲审计院提出 了核心风险的理念，通过给定的核心风险确定标准（见表 2）对 风险事件进行判断，来考虑是否纳入审计范围或采取应对措施， 并在风险评估结果中予以呈现（见表 3）。国外审计机构在制定 风险应对策略时，强调关注风险动态变化趋势。例如，澳洲审计 署提出了动态风险应对措施， 对于不断增加的风险采取监测和降 低的措施； 对于平稳的风险采取监测和接受； 对于降低的风险采 取接受的措施。 （三）评估方法。各机构采取了多样化的风险评估方法及工 具开展评估工作。众多风险评估工作主要用于控制目标的确定、 风险事件的识别和风险事件的分析三个过程。 控制目标的确定和 风险事件的识别这两个环节， 所使用的评估方法具有一定的互通 性。“程序逻辑模型图”“流程图和相关性分析”“情景构建 法”“问卷和清单”“研讨会和头脑风暴”“检查和审 计”“ HAZOP分析法和FMEA分析法”“ SWO分析法和PESTLE分 析法”均可以单独或组合运用， 来确定风险事件。 也可以考虑使 用“神经网络法”， 通过利用对不同数据模式的探索认识来识别 可能存在的风险。 针对风险分析环节， 当下衡量风险的主流做法是通过对风险 事件的影响程度和发生可能性进行二维的判断， 结合风险矩阵确 定风险高低， 这种在单一维度内假定事件发生可能性为固定值的 做法，对于离散的风险事件较为有效， 但不适用于连续的风险事 件。因此， ?L 险的“概率密度函数”、“损失的预期值”也适 用于不同情况下的风险度量。 还可以通过“建立在风险控制自我 评估之上的记分卡”“比较分析”等方法来对风险事件进行分 析和衡量（见表 4）。 二、国外审计机构风险评估主要特点 （一）考虑组织的风险偏好和容忍度。各审计机构在其风险 评估框架中均强调了机构对风险偏