企业内部审计与内部控制、风险管理的统筹结合
从国际内部审计发展的历程来看,企业内部审计呈现三大发展趋势,一是开拓风险管理新领域,二是深入介入内部控制,三是推动更有效的企业治理。当今世界先进企业也普遍采用以“内部监控”为特征的企业治理模式,在此背景下,内部审计与内控建设、风险管理必须相互结合,统筹发展,才能真正促进企业治理有效运行。
一、科学认识三者的职能作用
(一)内部审计的职能作用
内部审计是一项独立、客观的鉴证和咨询服务活动,其目标在于增加价值并改进经营,定位于企业内部的管理过程,主要为管理层服务,突出服务的内向性特点。主要审查各项内部控制是否健全、有效,会计及相关信息是否真实、合法、完整,对经营绩效以及经营合规性进行检查、监督和评价,对企业治理、风险管理以及内部控制提供咨询服务。其作用突出表现为:保证企业内部约束机制的建立健全,企业的健康发展;防范经营风险和财务风险;为企业领导层提供决策依据。
(二)内部控制的职能作用
内部控制是一系列方法、手续与措施总称,是企业为了实现经营目标,保护资产的安全完整,保证会计信息资料的正确可靠,确保经营方针的贯彻执行,保证经营活动的经济性、效率性和效果性。内部控制通常包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。主要作用有:保证国家的方针、政策和法规在企业内部的贯彻实施;保证会计信息的真实性和准确性;有效的防范企业经营风险;维护财产和资源的安全完整;促进企业的有效经营。
(三)风险管理的职能作用
全面风险管理是一个过程,它由一个企业的董事会、管理层和其他人员实施,应用于战略制定并贯穿于企业之中,用于识别那些可能影响主体的潜在事件,管理风险以促使其在该主体的风险偏好之内,为企业目标的实现提供合理的保证。企业全面风险管理在协助组织管理风险从而实现目标方面具有重要作用,具体表现为:在董事会层面综合报告不同的风险;提高对主要风险及其广泛影响的认识;对重要事项集中管理;减少意外或危机;在组织内部更加关注用正确的方法做正确的事情;对将要采取的行动增加变更的可能性;具备为获取更高回报而承担更大风险的能力;更有依据的风险承受和决策。
二、正确处理三者之间的相互关系
(一)内部审计与内部控制的关系
内部审计是内部控制的重要组成部分,在内部控制中属于环境控制要素,执行监督评价活动,协助单位管理者监督内部控制政策和程序的有效性,促成好的控制环境的建立,并为改进内部控制提供建设性意见。内部审计在内部控制中发挥不可替代的独特作用,没有内部审计的评价、监督,就不能形成良好的企业内部控制制度。
内部审计又是对内部控制的控制。内部审计在会计控制之外,代表管理层对整个企业内部控制制度的健全性、有效性及其遵循情况等进行评价,具有其他任何部门和控制所无法代替的重要作用。目前,内部审计范围已从传统的财务收支审计扩展到经营管理的各方面。内部审计促进内部控制,通过分析问题产生的原因和影响,协助单位上层管理者完善内部控制,促进内部控制的健全,维护内部控制的建设。
(二)内部审计与风险管理的关系
内部审计定义中包含有风险管理的内容,风险管理赋予了内部审计在企业中新的地位和作用,两者目标都是消除风险、增加价值,逐渐形成了你中有我、我中有你、相互依存、联动发展的紧密关系。大部分企业制定风险管理方案时,将内部审计列为风险管理的一道重要防线,由内部审计对整个风险管理流程进行评估和监控;有的企业还特意安排内部审计直接参与风险管理方案的制定和执行全过程,以发挥内部审计在风险管理中的突出作用。
内部审计部门在风险管理方面,主要负责开展监督与评价,并出具监督评价审计报告。内部审计参与企业全面风险管理是有前提条件的:应当明确管理层对风险管理的职责;审计人员职责的性质应当写入内部审计章程并由审计委员会审批通过;内部审计不应当代表管理层管理任何风险;内部审计应当提供建议并支持管理层作决定,而不是他们自行做出风险管理决定。内部审计不能同时为其所负责的风险管理框架的任何一部分提供客观确认。
(三)内部控制与风险管理的关系
内部控制与全面风险管理是紧密相关的。内部控制与风险管理的本质目标是一致的,其本质都是为了增加组织的价值而服务的。内部控制是全面风险管理的必要环节,内部控制的动力来自企业对风险的认识和管理。
从内部控制和风险管理的差异来讲,内部控制是风险管理的青少年期,风险管理是内部控制的成年版。全面风险管理则贯穿于管理过程的各个方面,而内部控制仅是管理的一项职能;全面风险管理的一系列具体活动并不都是内部控制要做的,例如企业目标设定;两者对风险的定义不一致,全面风险管理把风险明确定义为负面影响的事件发生的可能性,内部控制没有区分风险和机会;内部控制中没有提及对风险的对策。
三、加强三者之间统筹结合与实施的措施
(一)树立“统筹融合思想”
风险管理、内部控制与内部审计必须紧密融合,统筹建设,形成了一个良性系统循环:风险管理为起点,内部控制做过程,内部审计评结果,结果再反馈给风险管理,才能真正发挥企业运营体系和监督体系的高效。建立三道防线:内部控制系统第一道控制防线在各业务运营部门,第二道防线在企业层面的风险管理部门,第三道防线是内部审计部门。 (二)建立健全企业“综合控制治理机制”,打造统筹结合平台
由企业董事会建立内控与全面风险管理专门委员会,统筹协调风险管理、内部控制及内部审计工作,各业务主管部门之间权责划分明确、清晰,部门之间的信息沟通方便、快捷,准确无误,运作高效,形成一个“综合控制治理机制”,切实发挥风险管理、内部控制及内部审计“三道防线”的作用,构筑起全方位、立体交叉的监督控制体系。
(三)严格执行“两个规定”、“两个评价”,确立统筹实施依据
一是严格按照国资委《中央企业全面风险管理指引》和中国内部审计准则中《风险管理审计准则》的要求,在企业风险管理文件中规定内部审计的监督评价职责,审计部门每年对包括风险管理职能部门在内的各有关部门和业务单位能否按照有关规定开展风险管理工作及其工作效果进行监督评价,监督评价报告应直接报送董事会内控与全面风险管理委员会,也可结合年度审计、任期审计或专项审计工作一并开展;二是严格按照国资委《关于加快构建中央企业内部控制体系有关事项的通知》(国资发评价〔2012〕68号)和中国内部审计准则中《内部控制审计准则》的要求,在企业内控制度文件中规定内部审计监督评价职责,审计部门做好对企业内部控制的年度自我评价工作,加强对重点子企业、基层子企业和关键业务流程内部控制有效性的检查评价。
(四)做好“两个传递”、“两个反馈”,打通实务结合路径
风险管理部门要定期将风险评估结果信息传递给审计部门,以供内部审计进行年度审计项目立项时参考使用,加强对重点风险领域、事项的审计监督;也要将风险评估结果信息传递给内部控制管理部门,以供内控部门确定关键控制环节、风险点,加强内控体系建设。审计部门要将年度审计发现问题情况及风险管理监督评价结果反馈给风险管理部门,以供其对风险清单重新进行确认、完善、更新;也要将年度审计发现问题情况及内部控制自我评价结果反馈给内部控制管理部门,已便于继续改进、提升。
(五)加强“两级”组织队伍建设,做好人力资源保障,促进“统筹结合”落地生根
对于内部控制与风险管理建设,建议在企业层级所对应的职能部门成立专门处室,设置内控主管和风管主管岗位,负责顶层策划与组织建设工作;在所属单位或生产单元层级对应的职能部门设置内控科室和风险管理科室,配置内控经理和风管经理,负责内控与风险管理工作,确保内部控制与风险管理工作在一线工作中贯彻落实。对内部控制与风险管理监督评价工作,建议在企业层级审计部,设置内控与风险评价处室,配备专职审计评价人员,负责制定监督评价相关制度,建立监督评价网络体系,实施企业层级内控与风险管理监督评价工作。
