审计干货——风险矩阵 ID:内审师修行与实战 内审人,如果不研究风险,不研究风险矩阵,会是职业生涯中的一大缺憾! 一、风险矩阵是啥? 至今,也没有见过到“风险矩阵”准确而详实的定义,就算有类似的解释,也多是狭义或片面的定义。 大致定义:一种能够把危险发生的可能性和伤害的严重程度综合评估风险大小的定性(或定量)的风险评估分析方法。 风险矩阵不是诸葛亮的八卦阵,一点也不玄乎,其价值或实用性远远没有其名头响亮。 用来唬唬外行人,装装逼,效果还是刚刚的,至于用于内部控制上,却有点儿差强人意。 但是,对于审计人员来说,如果能够好好研究下风险矩阵,对个人成长和日常业务很有帮助。 风险定义、风险矩阵图,风险地图,大致都差不多,都是从两个维度:严重程度(或后果)、可能性(发生概率)来设计一个二维坐标或者图表。 二、3个工具图 图表1:风险矩阵图 图表2:风险地图 图表3:风险应对 三、风险矩阵为何没那么好用? 1.硬生生把“定性分析”拧巴成“定量分析” 风险矩阵设计,需要搜集和分析各类风险事项(或风险点),再从“严重程度”和“可能性”两个维度来分析评估。 很多风险评估,本来只能用“好与坏”,“强与弱”等定性类评价,但此矩阵却总想把这些定性的东西变成数据。 当然也可以不变成数据,还用文字表述,但是文字也是要用程度来表述,仍旧是向着量化方向改进。 另外,不同的人来评估,量化标准可能完全不一样。 2.半量化分析,精确度低 看似量化了一些定性评估,比如“可能性”分为:极有可能、很可能、可能、极小可能、不可能,或者用1-5的数字来评级。 对于不同风险点来说,这种量化很多时候只能在“概念”上区分,只能算是“半量化”。 因为在实务中,很难有具体数据来论证量化的准确性。 就算你以历史数据作参考,比如:招标舞弊发生的概率是1%,这个1%的概率你怎么得出的?可能是通过已查出舞弊项占总采购项的比例,但你又怎么确定你审计出来的舞弊占总舞弊的比例是多少呢? 所以,所谓的量化,仍旧是对定性判断的粗略分类,精确度很低,如果我们用完全以量化后的数据来评估风险,可能与事实大相径庭。 3.除了内控、内审人员,其他人员很难关注 风险矩阵做出来后,除了审计人员或内控人员用它来评估风险外,很难被管理层使用。 一来,风控模型管理还没有得到广泛接受; 二来,风险矩阵与具体业务关联不紧密,无法直接指导工作。 4.风险矩阵不是简单的风险事项和数据的堆积 风险点可以横向和纵向延伸。 比如营利风险可以细分成多个细化风险,一个方向细化如下:利润控制-项目成本控制-招标程序-供应商入围-供应商考察-供应商资质。 风险点又可以横可以分不同业务类型,不同组织单元。 那么,在风险矩阵中,要怎么选择风险事项(风险点)呢? 不同的选择,对风险矩阵是否有使用价值的影响极大。 5.风险矩阵过于庞大 风险点多样而变化,要想将风险事项有机组织起来加以分析、评级,并进行风险容忍度分析、应对方案制定等,那是一项巨型工程,也是一个漫长过程。 这不仅要求企业决策管理层要有耐心,对风险矩阵的组织和使用人的要求更高,既要有战略眼光,还要熟悉具体业务运营。 四、为什么建议内审人员用? 虽然风险矩阵对企业的价值远远没有发掘出来,但对审计人员的价值却很明显: 1.有利于审计人员成长,拥有一个全面了解组织运营和内部控制的机会; 2.建立风险矩阵后,使得审计业务更加经济有效,直接将资源用在高风险领域; 3.通过记录从风险识别到制定审计项目过程的思路,将整个审计过程串联在一起,使审计工作更全面高效; 4.审计可以提供更有价值的咨询服务,指导风险评估思路,成为更加有效的审计掌控者; 5.提高审计人员参与公司风险、内控甚至决策的参与机会,其地位和权威得到加强; 6.将风险矩阵做成所有控制的综合手册,矩阵包含了全面的管控细节,完全可以作为审计业务的工作总纲,也可以成为各个审计领域的审计工作底稿。. 五、设计和运用风险矩阵七大步骤 第一步:识别经营目标;首先是组织目标,然后是各业务目标, 切记不是审计目标; 第二步:识别完成经营目标过程的相关风险; 第三步:按“可能性”和“严重程度”两个维度对风险进行识别分析; 第四步:识别控制活动,也就是四类应对方法:转移、回避、保留和预防; 第五步:评估控制措施是否充分; 第六步:测试内部控制的有效性,看是否与预期一致; 第七步:对控制的充分性和有效性作出最终意见。 请多多关注转发! |
|