摘要:内部审计是现代管理和管理控制的重要组成部分。内部审计与风险管理协调整合是其自身获得发展和增加价值的重要途径。本文分析了内部审计与风险管理的关系及两者相结合的意义,指出内部审计在企业风险管理过程中可以发挥建议、协调、咨询和监督四种作用,并探讨了在发挥内部审计四种职能作用前提下,从将风险分类、信息共享等方面实现两者协同。
关键词:内部审计 风险管理 协同效应
随着现代企业规范程度的提高和各个行业监管力度的加强,内部审计、风险管理等工作受到了越来越多的重视,国资委发布有《中央企业全面风险管理指引》,许多行业都先后发布了行业风险管理指引,可见监管部门对此的重视。而就世界范围而言,美国《萨班斯――奥克利斯法案》颁布、COSO框架体系建立,也都是对企业内部风险管理的加强。那么,什么是内部审计,什么是风险管理,两者的关系如何, 两者结合的意义有哪些,本文将就这些方面作进一步探讨,并在此基础上研究企业如何发挥两者的协同效应。
■一、内部审计与风险管理的关系
要理顺内部审计与风险管理的关系,首先要清楚内部审计、风险管理的概念。所谓内部审计,国际内部审计师协会(IIA)在《内部审计实务标准》中将内部审计定义为一种独立、客观的保证工作和咨询活动,其目的在于为组织增加价值并提高组织的运作效率,采用系统化、现代化的方法来对风险管理、控制和治理程序进行评价和改善,从而帮助组织实现目标。而企业风险管理是一个由企业的董事会、管理层和员工共同参与,应用于企业战略制定和企业内部各个层次和部门,用于识别可能对企业造成潜在影响的事项,并根据风险偏好管理风险,为企业目标的实现提供合理保证的过程。它参与到企业的各项活动之中,是一个过程,是实现结果的一种方式。与传统的项目风险管理相比,企业风险管理强调战略导向,覆盖了组织所有的管理层次和管理领域,方法也更为结构化和规范化。
内部审计、外部审计、董事会以及高层管理人员被称为有效公司治理的四大基石。内部审计师的作用是检查、评估和分析组织的风险,审查公司对法律法规的遵守情况,促进公司在风险管理、治理结构以及内部控制等方面的提高,向董事会、审计委员会以及高层管理人员负责提供保证――风险已被分散、公司治理是有效的、内部控制是健全的。内部审计以企业内部信息使用者为中心,聚焦于控制、风险管理等关键问题,通过帮助组织管理风险和提高管理效率,来增加组织的价值和改善公司的经营。因此,内部审计承担了监督、分析、评价、检察、报告和改进等任务,是企业风险管理不可或缺的组成部分。就世界范围看,风险管理已成为内部审计的主要内容。IIA早就把评价和改善组织的风险作为内部审计的主要内容,其1999年制定的内部审计定义将风险管理和内部控制、公司治理并列作为内部审计的工作对象,2001年修改的《内部审计实务标准》明确要求内部审计参与风险管理和公司治理过程。
■二、内部审计与风险管理结合的意义
国际内部审计师协会多年来一直积极倡导内部审计参与风险管理,它认为内部审计为组织提供价值的两个非常重要的途径是对风险管理的充分性和对风险管理及内部控制框架的有效性提供保证服务。
内部审计与风险管理相结合是将风险作为内部审计的对象,打破了原来的内部审计只关心内部控制有效性的局面,在评价内部控制的基础上,对企业所面临的各种风险进行识别和分析。从另一个角度来讲,内部审计更加注重企业的未来,从影响企业目标实现的各种系统风险和非系统风险出发,就内部控制是否健全、关键的控制点是否有效控制薄弱的环节以及改进措施是否有效提出认定,来评价风险管理与控制对组织目标实现的影响程度。以风险为对象的审计在风险管理基础上又进了一步。风险审计就是在风险管理基础上审计主体通过对组织风险识别、风险评价等工作的审计,侧重对风险管理进行鉴证。
内部审计参与风险管理不仅为内部审计自身提供了发展契机,而且作为企业内的一种独立、客观的保证工作和咨询活动,内部审计是公司治理必要和有价值的组成部分,能够在风险管理中发挥独特的作用,无论是内部审计还是风险管理都能从双方的整合中提高效率,创造价值。
■三、内部审计在风险管理中的角色和地位
国际内部审计师协会在2004年发表的《内部审计在企业风险管理中的角色》意见书中指出:内部审计关于企业风险管理的核心角色是就组织风险管理的有效性向董事会提供客观保证,以帮助确信关键企业风险被正确管理及内部控制系统有效运行。因此,内部审计在企业风险管理架中首要角色是监督者,包括对风险管理流程的评估和保证服务,对风险评估准确性的保证服务,对关键风险报告的评估和对关键风险管理的评估。
按国际内部审计师协会的标准,内部审计的服务种类可以分为保证服务和咨询服务,前者是一种独立评价的活动,后者是提供建议及咨询的活动。内部审计为整个组织成员以及组织以外的所有利益相关主体服务,其信息服务对象的需求依其所处的位置、环境及掌握信息的不同而不同。总体来讲,处于信息劣势的服务对象希望内部审计为其提供保证服务,处于信息优势的服务对象则更希望内部审计为其提供咨询服务。其中,保证服务是指为了对风险管理。内部控制或公司的治理过程提供一个独立的评价而对证物进行的客观的检验;咨询服务是咨询性的以及与委托人服务相关的活动,其性质和范围是与委托人达成一致意见,目的是增加价值和改进组织的经营。在企业风险管理中,内部审计的本质特征并不发生改变,因而它可以担任的角色也是基于这两种服务衍生的。除了作为监督者所提供的保证服务之外,内部审计还提供咨询服务,包括促进对风险的识别和评估、指导和协调风险管理活动,加强对风险的报告、保持和发展风险管理框架、支持建立风险管理、参与制定风险管理战略等。与此相适应,内部审计承担了咨询者、协调者、建议者角色。
内部审计在企业风险管理中的角色不是一成不变的,而是一个逐步变化和延续发展过程。在组织缺乏风险管理程序的情况下,内部审计可以向管理层提出建立企业风险管理的建议;在组织实施风险管理的初期,内部审计能够发挥更大的协调作用,甚至直接担任项目经理;而当企业风险管理逐步成熟,运作稳定以后,内部审计就从建议者、协调者转化为监督者和咨询者。内部审计的报告关系也会影响其在企业风险管理中的角色,报告关系层次越高,独立性越强,内部审计就越能够从全局和战略角度参与企业风险管理;反之,则从局部和流程角度参与企业风险管理。
■四、企业如何发挥内部审计与风险管理的协同效应
按照审计署颁发的《审计署关于内部审计工作的规定》中的有关规定以及法人治理的有关要求,内部审计要相对独立。因此,通常情况下,内部审计部门独立于公司经营管理层,在业务上直接向董事会下属的审计委员会汇报,但这并不等于内部审计部门与企业的风险管理相脱节,事实上,如果内部审计能够充分利用风险管理的相关信息,最大限度发挥与企业内部风险管理的协同效用,无论是审计计划的制定还是审计范围的确定都将更具有针对性,审计的效果也会更好。那么,如何充分发挥内部审计与风险管理的协同效应呢?
1、以企业整体的战略目标为基础,进行风险分类,合理分配审计资源
企业在不同时期,其战略目标是不同的,风险分布、风险偏好以及风险应对策略都相应有所差异,保险企业亦如此。作为内审部门参与风险管理,应以公司整体的战略目标为基础,分析公司当前的风险分布,了解公司当前的风险应对策略和风险承受能力,并对这些风险进行分类,有针对性地制定审计计划,分配审计资源。同时,作为一个全国性的保险公司的内部审计部门,在参与风险管理的时候,要清楚不同层级机构风险分布是不同的,在总公司层面,主要是决策风险,在分公司层面,主要是控制风险,在中心支公司及以下机构,主要是经营风险。
2、充分获取风险管理部门的意见,按风险管理的要求开展内部审计
风险管理部门是风险管理的专业部门,其对于公司风险分布的了解最全面、最准确,内审部门应主动与风险管理部门沟通,了解目前公司风险管理的基本情况,以及其对于目前公司风险的看法和意见,并要求其对待定的审计项目提出有针对性的建议。同时,由于目前大部分公司风险管理都还比较薄弱,无论是人员配备、人员的专业能力,还是公司的重视程度都还不够,风险管理部门也要依赖内审部门通过现场审计来验证、评价其风险评估、风险分析的合理性、有效性。因此,对于风险管理部门提出的审计要求,内审部门在条件允许的情况下,应及时予以合理安排。
3、与风险管理部门进行信息共享
毫无疑问,内部审计部门与风险管理部门是掌握公司风险信息最全面、最准确的两个部门,但掌握的情况却又有所区别。风险管理部门是在既定的风险承受能力和风险应对策略的基础上,注重对风险整体情况的识别、评价和分析,并对出现的重大风险提出可行的解决方案。因此,无论是其风险评级报告还是其风险分析报告,着眼点都是一个组织单位(全系统、分公司、甚至中心支公司)整体风险是否在合理、可控的范围内。而内审部门是通过必要的审计程序、有针对性的审计方法对公司经营过程的记录、结果等进行验证、核对、测试,以了解其合规性、合理性和发现其是否存在风险,因此,内审部门对于风险的了解更具体、更有说服力。因此,如果内审部门能与风险管理部门进行信息共享,实现整体与具体的结合,则对于提高风险管理的水平和风险信息的有效性都具有重要意义。
4、利用自身优势,实现内部审计与风险管理的有机整合
内部审计部门处于企业的董事会、总经理与各职能部门之间,内部审计人员能够充当企业长期风险策略与各种决策的协调人,其建议更易引起重视。内部审计部门独立于企业高级管理层,其风险评估的意见可以直接上报给董事会,这会加强管理当局对内部审计部门意见的重视程度。从内部审计发挥的上述职能看,内部审计已经参与到公司治理与风险管理中,帮助组织发现并评价重要的风险因素,促进组织改进风险管理体系;评价并改进组织的治理程序,为组织的治理做出贡献;同时继续原有的对控制效率和效果的评价作用,帮助组织保持有效的控制。此时的内部审计人员是风险管理专家,通过对风险的把握来评价公司治理及内部控制,并促进公司治理和内部控制的改善,从而实现对风险的控制。在风险管理这个统一核心下,公司治理与内部控制实现了一定程度整合,为组织增加了价值。
随着经营环境的日趋复杂,企业面临的风险越来越多,风险管理的困难不断增加,在这样一个大背景下,充分发挥内部审计与风险管理的协同效应,既是工作需要,也符合社会大的环境。因此,无论是内审部门,还是风险管理部门,要充分沟通,密切合作,坚决摒弃各自为政的陋习,充分发挥内部审计和风险管理的协同效应,共同提高公司的风险管理乃至经营管理水平。