內(nèi)部審計與企業(yè)風(fēng)險管理的全面結(jié)合

1、內(nèi)部審計與企業(yè)風(fēng)險管理的全面結(jié)合 自美國 COSO 委員會于20XX 年4月頒布企業(yè)風(fēng)險管理框架(Enterprise Risk Management Framework,以下簡稱ERM框架)后,理論界對ERM的研究風(fēng)起云涌,監(jiān)管機(jī)構(gòu)對于ERM的規(guī)范不斷推出,實務(wù)界對ERM的嘗試不斷增多,如北美、歐洲有11%的組織擁有了完全實施的ERM,90%的組織正在建立或者想建立ERM (James Roth,20XX);財寶世界500強(qiáng)企業(yè)截至20XX年底有近40%實施了ERM,30%部分實施了ERM;我國20XX年針對部分先進(jìn)企業(yè)和ERM探索者的一項調(diào)查顯示,7.89%的企業(yè)建立并實施了ERM,15.

2、79%的企業(yè)已經(jīng)建立但是尚未運(yùn)作,71%的企業(yè)在一定程度上建立但流程缺乏相互約束,5.26%的企業(yè)沒有建立(王雅婷,20XX)?？梢?ERM受到了越來越多的重視,如何促使企業(yè)盡快建立ERM,保證企業(yè)順當(dāng)實施和完善已經(jīng)建立的ERM,成為當(dāng)務(wù)之急。 ERM的精髓之一在于全員參與,如何清楚地界定各參與方的職責(zé)打算著ERM的實施成效。內(nèi)部審計作為組織治理結(jié)構(gòu)四大支柱之一,在ERM建立和實施中發(fā)揮著重要作用。IIA(國際內(nèi)部審計師協(xié)會)在內(nèi)部審計在企業(yè)全面風(fēng)險管理中的作用意見書中將內(nèi)部審計在ERM中能夠開展的活動劃分為三類,第一類是核心性保證活動,包括:就風(fēng)險管理過程供應(yīng)保證;就風(fēng)險被精確評估供應(yīng)保證;

3、評價風(fēng)險管理過程;評價關(guān)鍵風(fēng)險的報告;審讀關(guān)鍵風(fēng)險的管理。第二類是合理性咨詢活動,包括:促進(jìn)風(fēng)險識別與評價;指導(dǎo)管理層作出風(fēng)險反應(yīng);協(xié)調(diào)風(fēng)險管理相關(guān)活動;加強(qiáng)風(fēng)險報告;保持和開發(fā)ERM框架;促進(jìn)ERM的建立;經(jīng)董事會批準(zhǔn)制定ERM戰(zhàn)略。第三類是不適當(dāng)?shù)幕顒?包括:設(shè)立風(fēng)險偏好;對風(fēng)險管理過程施加影響;供應(yīng)管理層風(fēng)險保證;對風(fēng)險反應(yīng)作出決策;以管理層立場做出風(fēng)險反應(yīng);對風(fēng)險管理擔(dān)當(dāng)責(zé)任(Russell A.Jackson,20XX)。 上述分類對于指導(dǎo)內(nèi)部審計合理定位、供應(yīng)適當(dāng)形式的服務(wù)、保持獨(dú)立性具有一定的意義,卻無助于指導(dǎo)內(nèi)部審計實現(xiàn)與風(fēng)險管理過程的有機(jī)結(jié)合,簡單導(dǎo)致內(nèi)部審計與ERM脫節(jié),或

4、者重視ERM單一環(huán)節(jié)而忽視整體。為此,應(yīng)設(shè)計一種能夠?qū)?nèi)部審計與ERM實現(xiàn)對接的方式,使內(nèi)部審計能夠在ERM循環(huán)中實現(xiàn)跟蹤式全程審計,實現(xiàn)內(nèi)部審計對于ERM的全程監(jiān)督,為持續(xù)審計奠定基礎(chǔ),該種模式稱為“ERM基礎(chǔ)審計”。 ERM基礎(chǔ)審計模式以COSO委員會在企業(yè)風(fēng)險管理框架中設(shè)計的內(nèi)部環(huán)境、目標(biāo)設(shè)定、事件識別、風(fēng)險評估、風(fēng)險反應(yīng)、掌握活動、信息與溝通以及監(jiān)控八要素為基礎(chǔ),考慮內(nèi)部審計在ERM中能夠開展的活動,將兩者進(jìn)行有機(jī)結(jié)合,形成了ERM基礎(chǔ)審計模式(George Matyjewicz等,20XX)。 外圍各項要素中,以建立和溝通組織目標(biāo)為起點(diǎn),依次經(jīng)歷打算組織的風(fēng)險偏好、建立適當(dāng)?shù)娘L(fēng)險管理

5、框架、識別阻礙目標(biāo)實現(xiàn)的風(fēng)險或事件、評價風(fēng)險發(fā)生的影響和可能性、選擇和實施適當(dāng)?shù)娘L(fēng)險反應(yīng)、實施掌握和其他反應(yīng)活動、進(jìn)行風(fēng)險信息全都性溝通、監(jiān)督和調(diào)整風(fēng)險管理過程和結(jié)果八個環(huán)節(jié),形成了ERM的一個運(yùn)行系統(tǒng)。在此基礎(chǔ)上,由管理層供應(yīng)對ERM過程的首要保證,進(jìn)而由內(nèi)部審計實施對ERM的獨(dú)立客觀保證和咨詢,最終各方履行對董事會服務(wù)的職責(zé),董事會對ERM擔(dān)當(dāng)最終責(zé)任,形成了ERM的一個保障系統(tǒng)。該模式將ERM與內(nèi)部審計融合在一個完整的循環(huán)中,兩者實現(xiàn)了無縫對接;明確了內(nèi)部審計和管理層在ERM中的職責(zé)地位;同時,也便于內(nèi)部審計通過深入各個業(yè)務(wù)環(huán)節(jié)開展對ERM的全程審計。 1.建立和溝通目標(biāo)。CEO負(fù)責(zé)制訂

6、組織的整體戰(zhàn)略目標(biāo),處于不同管理層次、不同地域分布中的各業(yè)務(wù)單位、分部和子公司管理層負(fù)責(zé)制訂各自的子目標(biāo),子目標(biāo)必需與組織整體目標(biāo)保持全都,并與組織文化、價值觀、使命和愿景相協(xié)調(diào),在整個組織員工中得到全面的溝通、清楚的解釋和正確的理解。內(nèi)部審計應(yīng)為下列各個方面供應(yīng)保證:審查組織目標(biāo)得到有效建立(如檢查目標(biāo)建立依靠的信息、采用的程序、參與者的素養(yǎng)等);審查子目標(biāo)與組織整體目標(biāo)協(xié)調(diào)全都;審查目標(biāo)在組織員工中得到全面的溝通和全都的理解。審計人員可以采用訪談關(guān)鍵人員、獲取和審讀相關(guān)資料、向不同層次人員發(fā)放調(diào)查問卷、實施掌握自我評估等方法來開展審計工作,其中問卷設(shè)計應(yīng)當(dāng)供應(yīng)可以由回答者進(jìn)行評論的空間,以

7、便于收集員工對目標(biāo)理解狀況的軟性信息。 2.確定風(fēng)險偏好。組織的風(fēng)險偏好打算了組織能夠承受的風(fēng)險水平。風(fēng)險偏好與目標(biāo)設(shè)定有著直接的關(guān)系,體現(xiàn)在組織交易形式審批、資本預(yù)算限制、職責(zé)權(quán)限劃分、購買事項確定等各項活動中。確定風(fēng)險偏好是董事會和管理層的責(zé)任,內(nèi)部審計不能設(shè)定組織風(fēng)險偏好或容忍度,但可以就風(fēng)險偏好和容忍度水平的確定、量化、溝通,在政策、程序和實務(wù)中的有效實施狀況供應(yīng)保證。 3.建立風(fēng)險管理框架。在不同組織之間甚至在同一個組織不同部門之間,由于文化氛圍、管理理念、工作目標(biāo)、組織規(guī)模、業(yè)務(wù)復(fù)雜性以及與業(yè)務(wù)目標(biāo)和風(fēng)險容忍度相關(guān)的固有風(fēng)險水平不同,ERM框架可能會存在很大差別。例如,信息技術(shù)部門

8、因為其工作的性質(zhì)需要有完整的風(fēng)險識別、評價框架,而人力資源部門可能僅需要一個明確的政策和程序性審讀。從事常規(guī)交易的部門一般具有相對成熟的ERM框架,該框架中有明確界定的風(fēng)險指示,與日常的業(yè)務(wù)運(yùn)行過程相結(jié)合;而戰(zhàn)略管理部門卻不具有這樣正式的框架,需要進(jìn)一步加以開發(fā)。某些組織擁有了較成熟的ERM框架,而其他一些組織卻僅處于ERM的計劃階段、萌芽階段甚至無知階段。 董事會和高級管理層負(fù)責(zé)建立和管理ERM框架。審計人員不能參與設(shè)計ERM框架,但是需要依靠他們的推斷,結(jié)合組織的實際對ERM框架的適當(dāng)性做出結(jié)論,發(fā)覺框架結(jié)構(gòu)和功能中的缺陷。詳細(xì)的審查內(nèi)容包括:審查ERM框架的組成要素;審查在組織政策、治理

9、框架、實務(wù)操作中所體現(xiàn)出來的風(fēng)險觀點(diǎn)和價值;審查風(fēng)險管理政策和指南的實用性、敏捷性和自我引導(dǎo)性;審查員工對風(fēng)險管理含義的理解和對風(fēng)險管理技術(shù)的把握狀況;審查管理層對風(fēng)險管理的支持、對公司文化的培育狀況;審查風(fēng)險管理實務(wù)按框架期望持續(xù)運(yùn)行狀況;審查框架動態(tài)調(diào)整、監(jiān)督和自我評價管理狀況。 4.識別風(fēng)險。識別風(fēng)險是對組織正在和將要面臨的風(fēng)險加以推斷、歸類和鑒定風(fēng)險性質(zhì)的過程,換言之,即確定組織正在或?qū)⒁媾R哪些影響組織目標(biāo)實現(xiàn)的風(fēng)險。風(fēng)險識別是管理層的職責(zé)。內(nèi)部審計在風(fēng)險識別中的主要工作包括:審查風(fēng)險識別的充分性,即與組織整體目標(biāo)和戰(zhàn)略相關(guān)的、涉及組織整體和分部層次的主要風(fēng)險是否均已被識別出來,是否存在未被識別的風(fēng)險,并提示管理層留意;審查風(fēng)險識別的全都性,風(fēng)險定義、分類是否在組織中得到統(tǒng)一的運(yùn)用。對于發(fā)覺的風(fēng)險識別不完全、不全都、忽視風(fēng)險等狀況,內(nèi)部審計應(yīng)采用特別審計程序并加以報告。 5.評估風(fēng)險。評估風(fēng)險是指采用定性與定量相結(jié)合的方式,估計風(fēng)險影響的大小和發(fā)生的可能性,在二者結(jié)合的基礎(chǔ)上,對風(fēng)險進(jìn)行排隊,進(jìn)而實施不同關(guān)注。實施風(fēng)險評估是管理層的責(zé)任。內(nèi)部審計應(yīng)就風(fēng)險是否被精確評估供應(yīng)保證。詳細(xì)可以采取兩種方式:(1)對管理層的風(fēng)險評估結(jié)果進(jìn)行再檢驗,即把握風(fēng)險評價的系統(tǒng)方法,對風(fēng)險成因、影響后果、發(fā)生頻率等作出綜合分析,依據(jù)“風(fēng)險值=風(fēng)