ID:内审师修行与实战
内审经验——审计人员是否要参考管理层的风险评估?咋整?
一、什么时候进行风险评估?
刨除单独的风险管理业务,审计业务中所开展的风险评估,该处于审计过程的哪个阶段?
必须是:制订计划阶段!
编制审计计划的核心依据就是:风险评估!
审计人员必须按照业务的风险大小来分配资源,以制订合理的审计计划。
有人说:“我一直是在审计过程中评估业务风险的!”
审计人需要明白二者的区别:过程中的风险评估是对具体业务活动的确认与评估,重点在于揭示问题、缺陷和危害。
而不是评估整体风险:识别、确认与量化评估。
风险评估的重要性可以用一个例子来说明:女朋友或老婆劈腿,男人准备捉奸,他需不需要先进行简单的风险评估?
如:狗男女约会地点设在哪的可能性更大:大街上?宾馆?办公室?家里?
以什么样的方式抓奸更有效,且对自己的危害小?
有了初步的风险评估,才好做出具体的捉奸计划!
图片
二、风险评估不只是审计人员或风控人员的事儿,还包括管理层!
管理层是风险管理的最终责任。
哪怕没有明确“风险”概念或者风险管理的相关规定,管理人员也会对风险做出“自发性”的评估与应对。
就算你不用放成人教育片给性成熟的男女们,当两个光屁股男女在一起时,自然而然会做!
事实上,实战者(也就是管理层)对业务风险的认知水平超出了大多数审计人员或风控人员。
毕竟你是旁观者,看的再入戏也没亲身体会来的快乐!
所以,审计人员在制订审计计划时,一定要参考管理层的意见。
这里所说的管理层包括两个:(1)审计部门的上级,包括老板等高层决策者;(2)被审计对象:企业的各层次管理者。
老板对风险的评估,你不听也得听,他们的评估必须融入计划;
重点是被审计单位的领导,你听还是不听?想必大多数审计人员在制订审计计划时,不太参考他们的意见。
事实上,他们的意见,同样很重要。
图片
三、对于管理层做出的风险评估,需要关注什么?
1.可靠性:必须先了解他们风险评估的可靠性!
无论是审计证据还是各类报表数据、文件,其核心前提是必须保证“可靠性”。
管理层做出的风险评估,未必都真实可靠,他们往往会夸大困难,夸大风险,以彰显自己的能力。
可靠性本身就代表真实、值得信赖,就像女人嫁老公一样,如果男人缺少了可靠性,什么颜值、金钱或甜言蜜语,对她来说都是假的,终会沦为泡影。
你非说你就是想玩玩,那也由你!不过最终你会发现:自己才是被玩者,而且要承担后果。
2.程序:管理层管理和控制问题的措施,如监管、报告、解析风险和控制问题
管理层必须为风险制订一些控制程序,比如:为了控制质量,加强原材料采购控制,提升机器性能;或者为了减少偷窃,加强安全措施,等等。
审计人员需要从管理层那里了解到,他们制订了哪些控制程序,并初步评估这些程序的合理性与有效性。
举个例子:男人老婆经常出轨,你问他控制措施是啥?他却说:“逼老婆多穿一条内裤!让他们脱起来不方便!”
有效吗?
3.反应:对超出组织风险偏好的反应,如:向上报告、应急措施
先说什么是风险偏好?
比如:有三个男人,第一个男人不能容忍自己老婆和其他男人亲嘴;第二个男人不能容忍自己老婆与其他男人滚床单;而第三个男人却是不能容忍老婆把病带回家。
一旦她们超出了男人的容忍度,男人们就要做出反应。
他们要怎么办?有什么反应?就是审计师们需要了解的!
4.关联风险:与被检查活动相关的其他活动中的关联风险
你去审计库存现金时,管理层只告诉你保险库有多安全,保险库钥匙有多保险,就够了吗?
肯定不行!
现金不是用来储存和欣赏的,而是花的。
除了关注现金储存安全外,还要关注相关联的风险:现金来路正吗?去路正吗?买毒品或喝花酒了怎么办?等等。
图片
四、怎么获取管理层的风险评估
1.意识:要明白其重要性,有意识地去获取;
2.面谈:要注意态度和方法,记住“好言一句三冬暖”,同时也要知道“人心隔肚皮”,要学会甄别真假。
3.查阅:他们制订出的各类风险或应急制度;
4.现场观察:重点看他们的管理动作有哪些,是否有效?
5扒历史:.管理层曾经出具的各类风险评估文件或报告,以及历史风险案例。
等等!
亲,多关注转发!
