企业风险管理之内部审计的价值思考
风险是我们人类生存的环境特征,始终伴随并影响着我们人类的一切活动。纵观历史变迁,人类社会所有的损失、灾难、问题都源于风险,一切又基于风险管理的不利。企业的发展更是与风险及风险管理息息相关,如影随行。
在国资委《关于2012年中央企业开展全面风险管理工作有关事项的通知》中确立的13项世界一流企业具备的共性要素中,风险管理亦是世界一流企业的重要要素之一,也是衡量世界一流企业能否持续发展的核心要素。中石化集团公司“十二五”提出了“创建世界一流能源化工公司”战略目标,进一步做强做优中国石化,倾力打造从国内一流到世界一流,且具有较强国际竞争力的能源化工公司,并将实现全面风险管理和防范风险放在了企业发展核心竞争力的重要位置。 源于此,本人就内部审计在风险管理中的价值取向谈一些肤浅的认识。 一、风险与风险管理的认识 风险就是“不确定性对目标的影响”——Effect of uncertainty on objectives(ISO 31000&Guide 73),准确地表达了三个要素:即风险、不确定性及二者之间关系。 风险管理也即是对风险的控制和影响的评估。IIA《内部审计实务标准》认为:企业风险管理就是组织内部管理层采取一定的措施,对风险进行监测评估,使风险降低到可以接受的程度,并将其控制在某一可以接受的水平上。就是通过企业内外部环境信息的全面释疑和明确后,制定有效的、系统性的风险管理框架和标准,并对标准在各个环节进行认真的实施和执行的管理。针对风险管理流程和关键节点存在的风险进行风险识别、风险分析和风险评价的风险评估,并根据风险评估作出应对风险的策略等开展连续的、动态的和高效的风险管控机制再监督和再管理,从而提升企业防范风险的免疫系统体质,实现企业的整体目标。 二、风险管理与内部审计关系与角 色定位 就管理而言,一方面,内部审计是企业风险管理的重要组成部分;另一方面,内部审计也是企业风险管理的再监督和再管理。首先,企业风险管理贯穿企业全业务流程,需要各部门参与,内部审计部门作为企业的管理职能部门之一,应在风险管理中发挥重要监督与服务作用。其次,随着经济发展,内部审计将“评价并改善风险管理、控制和治理过程的效果”作为自己的重要职责,使企业内部审计与全面风险管理融为一体,并成为企业全面风险管理体系的关键环节。同时,内部审计全面参与公司治理与风险管理,除了关注传统的内部控制之外,更加关注有效的风险管理机制和健全的公司治理结构,即通过对风险管理的审计,促进企业的风险管理,提升其管理的“免疫力”。 国资委2006年下发的《中央企业全面风险管理指引》的通知中,就中央企业实现全面风险管理工作的具体要求,对风险管理组织体系进行了明确职责分工。其中要求内部审计部门要切实履行风险管理的监督职能,并根据实际提交企业风险管理评价审计综合报告。在《通知》中的第五十条 企业应在董事会下设立审计委员会,企业内部审计部门对审计委员会负责。审计委员会和内部审计部门的职责应符合《中央企业内部审计管理暂行办法》(国资委令第8号)的有关规定。内部审计部门在风险管理方面,主要负责研究提出全面风险管理监督评价体系,制定监督评价相关制度,开展监督与评价,出具监督评价审计报告。进一步明确了内部审计参与风险管理内部角色与定位就是监督、评价、促进和帮助。 三、风险管理审计的价值取向 内部审计参与风险管理既是审计监督与服务职责的需要,也是企业防范和规避风险,实现可持续发展的需要。其价值取向主要表现在四个方面。 (一)为企业决策层提供可以借鉴的、独立判断的依据 按照国资委《中央企业全面风险管理指引》以及《关于2012年中央企业开展全面风险管理工作有关事项的通知》中要求,内部审计部门充分运用科学的组织形式和合理的审计方法(风险坐标法、蒙特卡罗法、关键风险指标管理和压力测试等),以企业经营管理环境和发展目标为基础,以内部控制制度为引导,以风险及风险管理为导向,对企业内部经营决策、战略目标、内控体系、信用风险、资产风险、投资风险、市场风险、法律风险、廉政风险、监控预警等进行全面而科学的审计评价和监督,检查是否建立健全“企业体检”制度,特别是企业“三重一大”、高风险业务、重大改革以及海外投资并购等重要事项应建立专项风险评估制度,监督和促进企业在风险管理中对风险量化分析与改进工作,特别对重大风险关键成因量化分析水平,并提供相对科学合理的、具有前瞻性的和风险预警性的综合性的审计报告,为企业决策层在制定发展目标、决定投资决策和实现绩效管理时对风险有更加清晰的认识与评估,进一步促进企业决策层在风险与机遇的价值平衡中,根据企业风险偏好和发展策略,依据审计成果来有效规避风险带来的不确定性损失,从而达到企业战略目标。 (二)为企业业务层提供有效的监督保障 业务层是企业风险管理的主要实施层级,也是潜在风险存在的发源地。内部审计不但要监督和评价企业建立风险管理体制实质性的作用和水平,还要监督和评价风险管理体系在各种经营管理环境中,对风险应对的预警预判的科学性和实用性。通过压力测试,来查看风险管理的最大承载能力和风险防范的特殊缺陷,从而提供更佳的解决方案与应对措施,并不断完善和改进风险管理控制体系。如内部审计在进行风险管理审计中对企业业绩考核和评价时,不能单纯就业绩评价业绩,而应该看到其风险管理后的综合业绩,即不仅要看指标结果,更要分析指标背后的风险大小和风险管理的状况,这是对企业在可持续发展与阶段性业绩评价中持续评估风险、承担风险和控制风险能力的体现。与此同时,要紧密围绕企业发展战略,把企业发展过程中的风险管控作为“短板”进行重点考核评价,为企业对未来中、长期发展中所面临全局性、趋势性的风险进行科学研判,准确定位风险管理工作的方向和重点,切实为企业实现经营目标提供支撑和保障。
(三)为全员风险意识提供服务和支持
全面风险管理不但在全过程、全系统和全方位进行风险管理,而更应该是在全员的每个岗位和每个人的潜意识中形成风险意识。这不仅仅是管理层、业务层要关注的问题,也是内部审计在关注风险管理时要参与和加强的工作,从而为实行企业全员风险管理文化提供审计服务和支持。 在实际审计工作中,运用各种有利条件,通过审计报告、审计通报、专题审计和审计报道,积极影响和引导全员对风险管控要求与目的的认识与理解,灌输管理就是管理风险,做到风险无处不在、风险无处不管和人人都负风险管理之责的理念。并根据风险变化,不间断地改进和完善风险管控的组织结构和业务流程,使组织始终处于应对风险的最佳状态。同时,审计部门要在服务组织内部培育健康的风险意识提供技术支持,通过沟通使所有利益相关人统一风险语言,明确管理是管理风险的理念,把组织成员从事物管理的狭隘眼界中解放出来,由上而下的灌输风险意识,风险管理工作才有较大的成功可能,且风险防范的效率才能得到进一步的较高,内部审计价值的延伸才能更远、更有意义。 (四)为树立形象提供内在的诚信支持与帮助 苏轼《教战守策》中提到“是以善养身者,使之能逸而能劳,步趋动作,使其四体狃于寒暑之变;然后可以刚健强力,涉险而不伤。”企业如人之躯体,免疫力低下则易外感内伤,内外界形象受到损失。 在当前欧洲主权债务危机蔓延、世界经济复苏不稳定性不确定性明显上升、中国石化争创世界一流能源化工公司的大背景下,风险管理又将面临新的机遇和挑战。内部审计作为风险管理体系中监督与问责机制的重要职能部门,不但要以人为本推进风险诚信报告,以企为本促进诚信经营,以审为本提高审计成果的诚信度,而且要为企业在内外部市场树立诚信经营、规范经营和可持续发展的良好企业形象提供支持与帮助,要不断促进企业在应对各种风险时内强体魄、外树形象,真正使全面风险管理成为企业可持续战略中的“血液文化”,从而从容应对发展中的各种风险,在长期的市场竞争中保持有利地位。 四、实现审计价值,内部审计参与风险管理需要强化的几个方面 (一)树立全新的审计监督理念,实现两个方面的转变 一是由基础性、合规性审计监督向风险导向、管理导向的审计监督转变,突出审计思路设计的创新。二是由事后监督向事中和事前以及跟踪监督转变,突出审计方式方法的不断的连续性前移。三是由局部、单项经济效益或财务收支审计向全局、全面性和整体性效益管理和风险管理审计的增加价值转变,突出审计在风 险管理中监督与服务真正价值。 (二)理顺内部审计管理体制,实现审计的独立、客观、公正 内部审计必须在体制上完善管理职能,在组织机构的顶层设计中强化监督的空间,在机制上树立权威。内部审计作用的发挥与审计地位是相辅相成的。作用的进一步扩大为内部审计赢得较高的地位创造了机会,同时组织地位的提升,也为内部审计人员在风险管理审计中报告信息的直达与畅通,卓有成效地履行职责发挥作用提供了条件。其次,内部审计机构要有一定的处罚权和问责权,这样才能充分体现内部审计的权威性。 (三)提高审计综合素质,突出技术、思维和文化创新 随着中国石化在国际市场不断开拓,业务领域不断拓展,新知识、新业务和新技术的大量涌现,特别是在国内、国际市场不确定性风险因素的影响下,风险管理审计过程中大量运用定性和定量的方法,去评价风险管理体系的合理性、有效性已经难以从容应对,各种内外部经营风险和管理风险无处不在浸蚀和威胁着企业的生存,对内部审计人员综合素质的要求越来越高。所以,加大审计专业技术领军人物、科学审计理念思维和审计文化素养的培育就显得尤为迫切。 (四)建立相对完整的风险管理流程和标准体系 风险管理重要的基础是建立和完善良好的管控与监督流程以及监督评价标准体系。风险管理一般有四个基本步骤,即风险辨识、风险分析、风险监控和风险管理业务等。通过制定一套统一的适合企业运行的风险标准,用于汇总和比较不同项目和业务部门中的内外部关键因素和风险管理水平,按照不同的风险等级与风险影响企业目标的程度,形成本企业的经营管理和发展战略的风险图谱。根据风险图谱的关键要素、重大风险事件排序的分析,形成风险标准,并依据风险管理分析方法对风险管理定性、量化分析,评价其对风险承受能力和管理能力,建立风险管理活动评估和报告系统,及时向决策层提供审计报告等监督成果,落实对风险评估的监督预警,从而使风险降低到企业可以接受的风险水平。