内部审计如何在风险管理实施中发挥积极作用
一、引言
2004年美国COSO在《内部控制――整体框架》(IC框架)基础上,拓展了发布了风险识别、风险评估和风险应等企业风险管理内容,发布了《企业风险管理总体框架》(ERM框架),在内部控制的基础上拓展了企业风险管理。
2006年,国资委参考ERM框架颁布了《中央企业全面风险管理指引》。中国五矿、宝钢集团和中国海油(以下简称三家试点单位)2008年开始试点实施全面风险管理,2011年完成试点工作,2012年总结了风险管理实施案例并汇编为国资委《企业全面风险管理辅导手册》。本文将在这些案例基础上,通过理论分析,探讨内部审计如何在风险管理实施中发挥积极作用。
二、内部审计参与风险管理的动因
1.内部审计和风险管理的作用和目标相似
IIA对内部审计职能定位为“增加价值和改善组织运营,并帮助组织实现其目标”。即内部审计具有增值属性,增值的方式是改善组织运营,最终目标是帮助企业实现目标(部分子目标)。COSO的ERM框架对企业风险管理的定位是为实现经营的效率和效果、财务报告的可靠性以及法规的遵循提供合理保证。即企业风险管理也具有增值属性,增值体现在经营效率和效果上,最终目的是合理保证企业目标(部分子目标)的实现。风险管理通过控制、转移、分散等风险应对手段,合理减少损失外,还可以通过管理机会性风险(与纯损失风险相对应)直接为企业增加价值。如,三家试点单位中的中国五矿通过识别关键风险因素,建立风险量化模型,管理大宗商品价格波动风险,直接增加价值。总之,内部审计和风险管理都具有通过改善运营效率和效果,起到增加价值的作用,虽然增值方式和途径略有不同;都与企业目标直接相关关联,起到帮助或合理保证企业目标实现的作用。
2.内部审计是风险管理的重要组成部分
COSO风险管理的ERM框架由八个要素组成,具体包括内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息与沟通、监督。其中第八个要素“监督”既包括业务部门对风险自我评估,以及风险管理部门对风险管理工作的全面检查,也包括内部审计部门对风险管理工作的再检查,即对风险管理工作进行独立、客观地评价、确认,并提供咨询意见。风险管理作为一项管理职能、一个管理过程,具有“决策―执行―监督”和“计划―执行―检查―行动”(PDCA)等常用管理循环的属性。只有内部审计充分参与,发挥监督作用,这些管理循环才能形成管理闭环,才能持续优化、不断改进。
3.风险管理是内部审计的监督对象
IIA关于内部审计定义可以看出内部审计的对象是“风险管理、控制和治理”。我国《内部审计准则》强调内部控制和风险两大核心概念,国家审计署修订的《关于内部审计工作的规定》对内部审计基本职责的描述是“对本单位及所属单位内部控制制度的健全性有效性以及风险管理进行评审”。从工作实务角度,风险管理应是内部审计的监督对象。
杨应杰(2011)经过理论研究认为“内部审计不仅是内部控制的重要组成部分,也是风险管理的重要组成部分”。部分学者研究认为内部控制和风险管理具有内在一致性,谢志华(2007)认为“内部控制就是控制风险,控制风险就是风险管理”,丁友刚和胡兴国(2007)也认为“内部控制本质上就是企业内部的风险控制机制”。从理论研究角度,风险管理也是内部审计的监督对象。
三、内部审计在实施风险管理中作用
1.介入风险管理实施过程,发挥咨询作用
从三家单位试点经验,可以看出实施企业风险管理的准备,开始于战略目标的风险评估,经过企业集团业务整合,通过管理架构和业务流程梳理和优化,并借助ERP、风险管理、内控体系等信息系统建设和实施,有序实施风险管理,全员参与,将风险管理有效落实到企业管理全过程。内部审计可以借助自身优势,在以下三个层面发挥咨询作用:
第一,审计委员会成员对公司战略目标制定和调整、重大风险的认识全面清晰,内部审计在业务上向审计委员会汇报工作,接受审计委员会的指导和监督,可以在战略目标及其风险管理层面提供咨询意见。
第二,公司其他职能部门和其他管理职能都是内部审计的监督范围,内部审计不参与业务经营,具有独立性优势。内部审计在集团业务重组、业务流程梳理和优化、内控体系建设等工作中,相比业务管理部门更加超脱部门利益,能客观公正地提供综合性的咨询意见。
第三,内部审计长期对内部控制进行持续评价,了解企业管理机制、熟悉业务流程和内部控制,可以有效地感知和识别风险,对内部控制体系的改进更能提供有价值的咨询意见。
2.开展风险导向内部审计,扩大增值作用
万寿义和崔晓钟(2009)以价值链理论为研究基础,指出战略审计从企业整体价值链,乃至整个产业价值链的角度,分析风险类型并评估风险;内部控制审计对价值链上的价值活动的控制和管理情况进行审查和评价;作业审计对特定作业任务的效益和效率进行评价。可见,内部审计在战略管理、内部控制和操作作业三个层面如果能作到风险导向,则能通过改善企业全面风险管理,从而发挥增值作用。
实务中,内部审计可以借助风险管理,加强风险导向,增强与企业目标的联系,促进企业目标的实现,扩大增值作用。第一,内部审计规划充分结合企业战略目标、战略规划及其重大风险,提高审计业务规划和审计资源配备规划的风险导向;第二,年度审计计划密切联系年度经营计划,结合年度经营目标和关键风险,以风险为基础,以审计资源为约束条件,对审计项目和审计领域进行排序,提高年度审计计划的风险导向;第三,通过企业风险管理报告,考虑具体风险的评估结果和应对措施,从剩余风险大小、风险控制和减轻措施的有效性和复杂程度等角度综合确定审计重点,提高具体审计项目风险导向。 3.开展风险管理审计,发挥评价作用
IIA发布的《实务标准》认为内部审计通过评价风险管理程序的效果,对风险管理的恰当性加以确认。也就是说内部审计具有对企业的风险管理工作进行审计的职责。内部审计需对风险管理过程进行检查和评价,具体检查和评价目标设定的合理性、风险识别的充分性、风险评估的合理性、风险应对的恰当性、控制活动的合理性、信息沟通的有效性,最终对风险管理过程的有效性、风险容忍度和风险偏好与风险文化的拟合度进行评价,确认风险管理的恰当性。审计结果既能满足管理当局对风险管理机制、制度和程序有效性的关注,也能给董事会在风险偏好选择、风险容忍度设置等重大方面提供决策支持。
四、思考与启示
综上所述,内部审计和风险管理的作用和目标相似,内部审计是风险管理的重要组成部分,风险管理是内部审计的监督对象,内部审计具有参与风险管理的内在动因。内部审计可以在风险管理实施过程中发挥咨询作用,通过加强风险导向扩大增值作用,甚至对风险管理进行审计。
内部审计要在风险管理中发挥更大作用,还受以下因素制约,需要尽快加以研究和改进:第一,2006年浙江内审协会调查表明我国内部审计机构的独立性较差,审计方式落后,事后审计为主,事前事中审计仅占小部分;第二,我国上市公司、国有企业内部人控制现象较突出,我国内部审计准则没有要求内部审计介入公司治理领域,影响内部审计职能的充分发挥;第三,2004年江苏内审协会的调查结果表明,我国内部审计人员知识结构不合理,财务背景居多,一线经营管理背景很少,对信息化、计算机技术不熟悉;第四,风险管理是个新兴管理工具,需要新的理念、方法和工具,给内部审计带来冲击和挑战。
- 上一篇:论供电企业内部审计的现状及风险防范功能
- 下一篇:企业内部审计独立性探讨
