【专栏丨布织道】内部审计作为风险的第三道防线或第三道线都该些什么？

锐思商学院 · 公众号 · · 2022-02-27 20:44

正文

感谢 strongrabbit 老师 的整理和分享！

微信公众号：审计实践（ID：one_auditor）

审计部门对外宣传说是风险的第三道防线，在开展业务时倡导风险导向内部审计，在贯彻审计全覆盖时努力实现主要风险的全覆盖。然而，在实际工作中，审计部门是否真正把风险识别、风险评估和风险管理作为提高审计效率和扩大审计成果的工具呢？或者做到了以下几点吗？

0 1

审计部门是否建立了风险预警机制

健全和正常的风险预警机制能够实时扫描组织各个业务模块、各个分支机构的风险状况，一旦风险阈值开始报警，审计人员就要及时进行风险评估，然后根据评估结果判断是否采取进一步行动。尽管许多审计部门利用信息技术搭建了风险预警信息平台，但还存在以下的问题：风险指标评价体系不完善、风险预警平台从对接的业务系统获取的数据有错误、风险预警平台因维护不利而不能正常运行，等等。同时，风险预警机制不止是风险预警信息平台，还要通过多种渠道获得最及时的风险信息。

0 2

审计人员是否能够通过审计发现分析评价风险状况

审计发现散布于审计底稿、审计报告中。即使审计人员每年都会做审计发现分析，但分析结果是否能获得对各个业务领域的初步的风险评价。如果不能从审计发现分析结果获得对风险状况的初步评价， 那么审计发现分析往往只能起到合规性分析的作用，或者再加上一点效益性分析 。注意，这里说的还只是初步评价。风险评价需要一整套分析方法，单靠审计发现可能无法获取全面的风险状况评价，但也能通过审计发现分析搭建一个风险评价的初步平台，实现审计发现分析的“点、线、面”结合。

0 3

审计业务是否覆盖到组织的主要风险领域

有三个因素制约着主要风险领域的全覆盖：

一是鉴于审计人员的知识领域、经验和能力水平，不是所有风险都能被识别；

二是没有建立前面所说的风险预警机制，或者更底层的原因是还没养成定期对风险进行识别的意识和习惯；

三是市场环境是变化的，业务政策也会适时调整，经营风险也会随之变化，而审计往往因为时候是事后，可能就会错过正在发生的风险。

0 4

审计部门是否能与风险的第一、第二道防线建立联动机制

内部审计是独立的， 但内部审计作为风险的第三道防线却不能是孤立的，需要和第一、第二道防线形成联动机制。 就像打仗，各个战线不能只管自己面前的敌人，还要相互之间保持畅通的讯息，甚至还要提供火力支持。要知道，风险如果突破了前两道防线，内部审计作为第三道防线也很难防得住。联动机制包括：定期风险会议、问题整改沟通、风险的相互提示、风险信息共享等。

0 5

审计人员是否能获得体系化的风险管理培训

“工欲善其事，必先利其器。” 审计人员要想充分运用审计管理的知识和工具来开展审计检查，就获得专业化、系统化的风险管理培训。 内部控制和风险管理是现代内部审计的两大理论和实务基石，没有扎实的内部控制和风险管理理论基础，就很难在实务中形成更深刻的认识。即使在实际操作中，审计人员不一定会用到风险管理的专业知识，但对外宣传和交流上，如果审计人员对风险管理就没有全面的认识，其专业性也会受到质疑。审计人员的培训分为两种，一种是讲师授课，一种是自己学习，这两者都要根据审计部门实际情况结合使用。

内部审计作为风险的第三道防线要的事情太多了，不止是上面所说的五个方面。审计人员切记审计检查不能就问题说问题，对照制度规定找问题，而是要对一个问题、一类问题、相关问题进行原因分析和风险分析，尤其是高价值的风险分析和提示，使审计的监督和咨询职能更有高度。

本文为 布织道授权转载文章 。尊重原创！ 未经原作者授权，请勿擅自转载！

【专栏丨布织道】内部审计作为风险的第三道防线或第三道线都该些什么？

正文

请到「今天看啥」查看全文