内容 摘要:良好发挥内部审计的作用能为 企业 风险管理(ERM)增值,这已经成为不争的事实。本文首先为内部审计在ERM中进行职能定位,指出内部审计在ERM中应该发挥和不应该发挥的作用,进而对内部审计在ERM中如何发挥作用进行探讨。
关键词:内部审计 企业风险管理(ERM) 职能定位 作用机制
关于内部审计在ERM中作用的 文献 综述
国外关于内部审计在企业风险管理中作用的理论研究观点主要集中在:识别和评估风险。内审员更希望内部审计在识别和评估风险方面发挥作用,并把风险管理看作为组织增加价值的途径;参与企业的风险管理过程。内部审计员指导管理者将风险管理过程嵌入到业务活动中。审计组织的风险管理过程,并提供积极的参与和支持。帮助管理者和审计委员会监督、检查、评估、报告和提高管理者ERM进程的有效性和充分性;提供确认与咨询服务。
国内的相关研究存在以下几方面观点:内部审计在具有相对独立的地位,能从全局出发、从客观的角度对风险进行识别,可将风险评估的意见直接报告给董事会,提升管理当局对内部审计部门意见的重视程度;对风险从各个角度进行评估。评估风险识别的充分性、风险防范措施的充分性。对企业风险管理目标进行合理性评价,按“三性”要求进行风险识别、衡量并采取措施。评价风险管理主要目标的完成情况,评价管理层选择的风险管理方式的适当性,识别风险并提出建议。COSO的ERM框架颁布以来,学者侧重于从框架所包含流程的角度来阐述作用;确认和咨询作用。内部审计的职能从监督和评价转变为确认和咨询。内部审计提供实现目标、增加价值的保证;通过咨询建议,使管理部门采纳更好政策和控制程序,防范风险。
内部审计的职能定位
(一)应发挥的作用
确认作用。内部审计应保持独立性和客观性,针对管理层的ERM过程予以评价,提供确认服务。内部审计应对ERM过程进行确认和评估,对主要风险的管理进行评论,保证风险被正确地评估,对主要风险的报告进行评估确认。
咨询作用。内部审计应以咨询顾问的身份介入ERM过程:发挥内部审计在风险管理和控制方面的专长,向组织内引入ERM和支持ERM的建立;促进组织内部 学习 ,提高成员在风险和控制上的能力;提供 分析 风险和控制的管理工具和技术,促进识别和评估风险;以协调、监督和汇报风险作为内部审计行动的中心,协调ERM活动;指导管理者采取最优方案减轻风险, 发展 董事会赞成的风险管理策略。
(二)不应发挥的作用
内部审计参与企业风险管理的活动越深入,其客观性和独立性越易受到威胁。为保证客观性和独立性不被削弱:内部审计必须明白是管理者对风险管理负责,风险偏好由管理层设定。内部审计不应代表管理者来对风险进行管理。内部审计不应对风险反应作出决定,可支持管理者所作出的决定。当管理者所作出的风险管理决定与内部审计不同时,应提出质疑或建议。
ERM中内部审计的作用机制
COSO的ERM框架包含有七个组成因素:环境、事件鉴别、风险评估、风险回应、控制活动、信息和沟通、监控。内部审计在除监控外所列的六个要素中发挥确认和咨询作用。如图1所示。
(一)将公司目标、战略与风险相联系
企业 的目标、实施目标的战略、及实施战略所需的经营模式和经营过程由企业的管理者和董事会来决定。内部审计负责将企业的战略、实施战略所需的经营模式和阻碍目标实现的风险系统地加以联系,以保证战略和经营模式能够应对风险。内部审计首先要列出所有的实现目标的关键性成功因素和可能阻碍成功的风险因素。 分析 组织的竞争战略,分析组织的优势、劣势(如SWOT模型),找出关键成功因素(如KSF模型),架构或加强组织的核心竞争要素。将识别的关键性成功因素和可能阻碍成功的风险因素逐一列出,从企业各目标角度分析判断风险因素对目标实现的 影响 程度。建立风险分析矩阵,将企业的目标与潜在的风险联系起来。对于还没有实施ERM的企业,内部审计应承担向组织内引入ERM的责任,向管理者和董事会提供咨询,支持其建立ERM。内部审计向董事会、审计委员会、高级管理人员以及其它人就风险管理系统方面良好的实务操作提供咨询,从其它组织中吸取教训,为新公布的准则指南和标准提供客观的解释说明。
(二)对环境进行监控
对环境进行监控包括明确风险偏好和对环境变化和意外环境的持续监控。内部审计不负责制定风险偏好,但需要明确风险偏好,将风险评估和风险偏好进行定期比较,对“固有风险”和“剩余风险”进行评价,对企业希望承受的剩余风险提供限度。内部审计要评判企业所处的环境现状,预测环境 发展 趋势。分析客户需要,分析消费者购买行为,考虑供应商状态,帮助找出议价渠道和空间。将商业计量系统所记录的业绩同计划和预算中预期的业绩以及竞争对手同期业绩进行对比。把这些差异和产生差异的原因进行分解,以便进行业绩评估和评估环境变化的风险。当企业所假定的环境与外部环境和企业经营过程的变化相冲突时,应及时向管理者和董事会提供反馈。内部审计要分析这些环境因素的变化,进一步考虑组织结构的风险的变化和控制是否与形势变化相符,并将分析结果反映在给管理层的审计报告中,供他们作决策时 参考 。
(三)保证风险事件鉴别的完整性
内部审计就是要对风险事件鉴别的完整性进行确认,保证所有重要的风险都被鉴别出来。风险事件鉴别的完整性包括:风险识别是否全面;风险各级分类的合理性;可控风险、不可控风险确定的 科学 性等。内部审计结合企业战略目标的制定和布置,通过对有关单位和部门风险的识别进行检查、评估并提出建议,通过所获得的证据评价ERM流程是否能完成风险管理使命和目标。内部审计需要创新性地组织具有不同背景和专业知识的人员运用“头脑风暴法”,利用“方案构建”等活动来产生所有的可能风险的观点。开发利用各种模板(如:流程图、调查表等),通过这些模板来反映出各种可能的风险。内部审计编制风险分析调查表,发放风险问卷,用来调查企业活动可能遭遇的风险,并对调查结果进行分析。
(四)对风险评估的确认
内部审计要利用管理工具和技术,促进对风险评估的确认。首先进行风险因素分析,收集相关资料并对资料进行整理。其次,对已识别的风险事件进行定量分析和定性分析,分析事件发生的可能性和影响。评估要注意与事件相关的不利事件的程度。内部审计师可采用风险度来判断特定风险的重要程度。风险计量中如果有些风险事件在客观上不能用数字来量化,则要用主观概念来描述这些可能性。根据风险因素所具备的风险特征(可能性、损失额度、发生频率),排列风险综合分析矩阵。最后,进行综合评价,内部审计部门与企业风险管理部门的结论进行对比,以对风险评估进行评价。另外,风险评估中存在的一个 问题 是评估者的偏见。内部审计要从客观的角度分析风险的假设条件、 计算 方法 来评价风险,提供专业意见。
(五)对风险应对措施的评价和建议
每个企业都会对每项重要风险的风险与回报的平衡进行评估,依据这个平衡将风险应对措施分为规避、控制与抑制、转移、保留四种情况。内部审计监控风险措施的执行情况,评估应对措施的合理性。因此,内部审计师判断采用何种风险应对措施应有如下考虑:第一,采用此种方法的成本与承担风险所付出的代价的比较;第二,此风险所致损失的概率和程度的大小;第三,是否具有处理风险的技术。若欲避免某种风险也许不可能,接受该项风险可能产生另外新的风险。若采用规避风险方法最 经济 ,则应该采取该措施。若某种特定风险所致的损失概率和损失程度并不大,并且可 应用 企业现有的风险处理技术进行控制与抑制,则采用风险控制与抑制措施。风险转移注重考虑与企业外部力量的合作来管理风险。当处理风险的成本大于承担风险所付出的代价,企业对风险可能发生的重大损失本身可以安全承担,或风险不可能转移于他人或不可能防止,采取保留风险的措施。
(六)引导控制活动
控制活动贯穿于整个组织,包括:批准与授权、证实、观察、鉴定、协调、经营成果复核和资产实物保全等。内部审计要测试这些控制程序的有效性,对确定的相关风险建议控制措施。内部审计采用流程图法和调查表法,通过将测量值与高层管理者限定的目标和限制进行对比来对业务进行监控。流程图法用符号和图形将内部控制系统反应出来。流程图是最为直观、形象描述内部控制系统的方法,有助于发现系统的薄弱环节。调查表法即“问卷法”,由内审人员将测试内部控制的一系列问题列出,通过座谈、交流或填表等形式取得测试结果。调查表大多采用问答式,以“是”、“否”、“不适用”等作为备选答案,问题按照调查对象分别设计。内部审计熟悉此控制活动,如果超出限度,就将此背离报告给高层管理者,以决定下一步的行动。
(七)提供风险方面的信息与企业各个层面进行沟通
与风险有关的信息可在企业内通过信息技术和定期的内部报告表示出来。内部审计应该正确及时地向董事会、管理者提供适当信息。内部审计需要审查雇员的 教育 计划和风险信息进行评估的技术。内部审计利用专家来检验雇员对风险报告的理解,利用图表和概率来进行分析。内部审计应先估计企业战略和风险偏好,再决定是否对ERM业绩差的高层管理者进行报告。