【摘要】 在理論界、監(jiān)管層和實務界,企業(yè)風險管理已引起越來越高程度的重視。文章從內(nèi)部審計與企業(yè)風險管理全面結合出發(fā),設計了包含企業(yè)風險管理運行系統(tǒng)和保障系統(tǒng)在內(nèi)的企業(yè)風險管理基礎審計模式。在該模式中,內(nèi)部審計能夠?qū)崿F(xiàn)對企業(yè)風險管理運行過程的持續(xù)跟蹤,切實發(fā)揮內(nèi)部審計在企業(yè)風險管理中的作用。
【關鍵詞】 內(nèi)部審計;企業(yè)風險管理(ERM);保證;咨詢
自美國 COSO 委員會于2004 年4月頒布《企業(yè)風險管理框架》(Enterprise Risk Management Framework,以下簡稱ERM框架)后,理論界對ERM的研究風起云涌,監(jiān)管機構對于ERM的規(guī)范不斷推出,實務界對ERM的嘗試不斷增多,如北美、歐洲有11%的組織擁有了完全實施的ERM,90%的組織正在建立或者想建立ERM (James Roth,2006);《財富》世界500強企業(yè)截至2004年底有近40%實施了ERM,30%部分實施了ERM;我國2006年針對部分先進企業(yè)和ERM探索者的一項調(diào)查顯示,7.89%的企業(yè)建立并實施了ERM,15.79%的企業(yè)已經(jīng)建立但是尚未運作,71%的企業(yè)在一定程度上建立但流程缺乏相互約束,5.26%的企業(yè)沒有建立(王雅婷,2008)。可見,ERM受到了越來越多的重視,如何促使企業(yè)盡快建立ERM,保證企業(yè)順利實施和完善已經(jīng)建立的ERM,成為當務之急。
ERM的精髓之一在于全員參與,如何清晰地界定各參與方的職責決定著ERM的實施成效。內(nèi)部審計作為組織治理結構四大支柱之一,在ERM建立和實施中發(fā)揮著重要作用。IIA(國際內(nèi)部審計師協(xié)會)在《內(nèi)部審計在企業(yè)全面風險管理中的作用》意見書中將內(nèi)部審計在ERM中能夠開展的活動劃分為三類,第一類是核心性保證活動,包括:就風險管理過程提供保證;就風險被準確評估提供保證;評價風險管理過程;評價關鍵風險的報告;審閱關鍵風險的管理。第二類是合理性咨詢活動,包括:促進風險識別與評價;指導管理層作出風險反應;協(xié)調(diào)風險管理相關活動;加強風險報告;保持和開發(fā)ERM框架;促進ERM的建立;經(jīng)董事會批準制定ERM戰(zhàn)略。第三類是不適當?shù)幕顒?包括:設立風險偏好;對風險管理過程施加影響;提供管理層風險保證;對風險反應作出決策;以管理層立場做出風險反應;對風險管理承擔責任(Russell A.Jackson,2005)。
上述分類對于指導內(nèi)部審計合理定位、提供適當形式的服務、保持獨立性具有一定的意義,卻無助于指導內(nèi)部審計實現(xiàn)與風險管理過程的有機結合,容易導致內(nèi)部審計與ERM脫節(jié),或者重視ERM單一環(huán)節(jié)而忽視整體。為此,應設計一種能夠?qū)?nèi)部審計與ERM實現(xiàn)對接的方式,使內(nèi)部審計能夠在ERM循環(huán)中實現(xiàn)跟蹤式全程審計,實現(xiàn)內(nèi)部審計對于ERM的全程監(jiān)督,為持續(xù)審計奠定基礎,該種模式稱為“ERM基礎審計”。
ERM基礎審計模式以COSO委員會在企業(yè)風險管理框架中設計的內(nèi)部環(huán)境、目標設定、事件識別、風險評估、風險反應、控制活動、信息與溝通以及監(jiān)控八要素為基礎,考慮內(nèi)部審計在ERM中能夠開展的活動,將兩者進行有機結合,形成了如圖1所示的ERM基礎審計模式(George Matyjewicz等,2004)。
圖示外圍各項要素中,以建立和溝通組織目標為起點,依次經(jīng)歷決定組織的風險偏好、建立適當?shù)娘L險管理框架、識別阻礙目標實現(xiàn)的風險或事件、評價風險發(fā)生的影響和可能性、選擇和實施適當?shù)娘L險反應、實施控制和其他反應活動、進行風險信息一致性溝通、監(jiān)督和調(diào)整風險管理過程和結果八個環(huán)節(jié),形成了ERM的一個運行系統(tǒng)。在此基礎上,由管理層提供對ERM過程的首要保證,進而由內(nèi)部審計實施對ERM的獨立客觀保證和咨詢,最終各方履行對董事會服務的職責,董事會對ERM承擔最終責任,形成了ERM的一個保障系統(tǒng)。該模式將ERM與內(nèi)部審計融合在一個完整的循環(huán)中,兩者實現(xiàn)了無縫對接;明確了內(nèi)部審計和管理層在ERM中的職責地位;同時,也便于內(nèi)部審計通過深入各個業(yè)務環(huán)節(jié)開展對ERM的全程審計。
1.建立和溝通目標。CEO負責制訂組織的整體戰(zhàn)略目標,處于不同管理層次、不同地域分布中的各業(yè)務單位、分部和子公司管理層負責制訂各自的子目標,子目標必須與組織整體目標保持一致,并與組織文化、價值觀、使命和愿景相協(xié)調(diào),在整個組織員工中得到全面的溝通、清晰的解釋和正確的理解。內(nèi)部審計應為下列各個方面提供保證:審查組織目標得到有效建立(如檢查目標建立依賴的信息、采用的程序、參與者的素質(zhì)等);審查子目標與組織整體目標協(xié)調(diào)一致;審查目標在組織員工中得到全面的溝通和一致的理解。審計人員可以采用訪談關鍵人員、獲取和審閱相關資料、向不同層次人員發(fā)放調(diào)查問卷、實施控制自我評估等方法來開展審計工作,其中問卷設計應該提供可以由回答者進行評論的空間,以便于收集員工對目標理解情況的軟性信息。
2.確定風險偏好。組織的風險偏好決定了組織能夠承受的風險水平。風險偏好與目標設定有著直接的關系,體現(xiàn)在組織交易形式審批、資本預算限制、職責權限劃分、購買事項確定等各項活動中。確定風險偏好是董事會和管理層的責任,內(nèi)部審計不能設定組織風險偏好或容忍度,但可以就風險偏好和容忍度水平的確定、量化、溝通,在政策、程序和實務中的有效實施情況提供保證。
3.建立風險管理框架。在不同組織之間甚至在同一個組織不同部門之間,由于文化氛圍、管理理念、工作目標、組織規(guī)模、業(yè)務復雜性以及與業(yè)務目標和風險容忍度相關的固有風險水平不同,ERM框架可能會存在很大差別。例如,信息技術部門因為其工作的性質(zhì)需要有完整的風險識別、評價框架,而人力資源部門可能僅需要一個明確的政策和程序性審閱。從事常規(guī)交易的部門一般具有相對成熟的ERM框架,該框架中有明確界定的風險指示,與日常的業(yè)務運行過程相結合;而戰(zhàn)略管理部門卻不具有這樣正式的框架,需要進一步加以開發(fā)。某些組織擁有了較成熟的ERM框架,而其他一些組織卻僅處于ERM的計劃階段、萌芽階段甚至無知階段。
董事會和高級管理層負責建立和管理ERM框架。審計人員不能參與設計ERM框架,但是需要依賴他們的判斷,結合組織的實際對ERM框架的適當性做出結論,發(fā)現(xiàn)框架結構和功能中的缺陷。具體的審查內(nèi)容包括:審查ERM框架的組成要素;審查在組織政策、治理框架、實務操作中所體現(xiàn)出來的風險觀點和價值;審查風險管理政策和指南的實用性、靈活性和自我引導性;審查員工對風險管理含義的理解和對風險管理技術的掌握情況;審查管理層對風險管理的支持、對公司文化的培育情況;審查風險管理實務按框架期望持續(xù)運行情況;審查框架動態(tài)調(diào)整、監(jiān)督和自我評價管理情況。
4.識別風險。識別風險是對組織正在和將要面臨的風險加以判斷、歸類和鑒定風險性質(zhì)的過程,換言之,即確定組織正在或?qū)⒁媾R哪些影響組織目標實現(xiàn)的風險。風險識別是管理層的職責。內(nèi)部審計在風險識別中的主要工作包括:審查風險識別的充分性,即與組織整體目標和戰(zhàn)略相關的、涉及組織整體和分部層次的主要風險是否均已被識別出來,是否存在未被識別的風險,并提醒管理層注意;審查風險識別的一致性,風險定義、分類是否在組織中得到統(tǒng)一的運用。對于發(fā)現(xiàn)的風險識別不完全、不一致、忽視風險等情況,內(nèi)部審計應采用特殊審計程序并加以報告。
5.評估風險。評估風險是指采用定性與定量相結合的方式,估計風險影響的大小和發(fā)生的可能性,在二者結合的基礎上,對風險進行排隊,進而實施不同關注。實施風險評估是管理層的責任。內(nèi)部審計應就風險是否被準確評估提供保證。具體可以采取兩種方式:(1)對管理層的風險評估結果進行再檢驗,即掌握風險評價的系統(tǒng)方法,對風險成因、影響后果、發(fā)生頻率等作出綜合分析,根據(jù)“風險值=風險概率×風險影響”的計算結果,對風險級次進行排序,對不恰當?shù)娘L險評估予以更正;(2)對管理層的風險評估能力進行審查,如審查管理層的風格(激進與穩(wěn)健的管理者對于相同風險的賦值往往存在較大差別)、采用的風險評估方法、對相關信息的掌握程度、對成本效益的考量、對相關部門或人員意見考慮的幅度,等等。
6.選擇實施風險反應。選擇實施風險反應即在風險評估優(yōu)先級排序的基礎上,根據(jù)風險性質(zhì)和風險偏好制定相應的防范措施,可采取的措施一般包括回避、接受、降低和分擔。內(nèi)部審計應該對風險應對措施的選擇和執(zhí)行提供保證,包括:審查采取的風險應對措施是否適合本組織的經(jīng)營、管理特點;審查采取風險應對措施之后的剩余風險水平是否在組織可以接受的范圍之內(nèi);審查風險應對措施的成本效益衡量是否合理。對于風險缺乏充分控制措施的情況,內(nèi)部審計應提出改進措施和建議,協(xié)助完善風險反應方案。 7.建立控制。控制活動是使所選擇的風險反應活動得到適當決定和實施的政策、程序、過程和監(jiān)督機制等系列活動的總稱。一旦選擇了特定的風險反應方案,管理層需要據(jù)以實施相應的控制和其他風險反應活動,包括批準、授權、資產(chǎn)安全、職務分離、調(diào)整等。審計人員應獲取對控制設計的全面理解(包括理解目標、潛在風險和控制活動之間的關系),審查其與組織風險政策的一致性;審查其對組織戰(zhàn)略、經(jīng)營、報告和遵循性目標的支持程度;審查其化解風險的有效性;審查其按設計功能運行的持續(xù)性。
8.風險信息溝通。風險信息溝通是指以一致的方式在整個組織中所有層次之間對風險信息進行可靠、及時、完整的傳遞和反饋,以實現(xiàn)對風險的識別、分析和反應。并非所有的風險都能夠被避免,但早期的披露能夠為采取適當?shù)男袆犹峁r間。內(nèi)部審計的核心職能是向董事會、管理層、股東提供風險得到及時削減的保證。為此,內(nèi)部審計需要審查風險信息的準確性;審查關鍵風險報告的及時性、相關性和完整性;審查風險信息在整個組織不同層次中傳遞的有效性;審查風險信息支持系統(tǒng)的安全性等。
9.監(jiān)督和調(diào)整。組織需要對風險管理進行持續(xù)監(jiān)控和不斷調(diào)整,以保證風險管理過程的持續(xù)有效性。可以采用的監(jiān)控和調(diào)整方式包括控制自我評估、定期檢查和數(shù)據(jù)分析,各種方式或者融合在持續(xù)的管理活動中,或者采取個別評價的方式,或者通過兩者的結合來完成。管理層執(zhí)行對風險管理過程的監(jiān)督和調(diào)整。內(nèi)部審計通過調(diào)查問卷、控制自我評估、行動跟蹤等方式,獲取管理層實施監(jiān)督的相關證明,審查管理層監(jiān)督執(zhí)行的一致性、持續(xù)性和有效性以及實施調(diào)整的適時性和必要性。
10.管理層保證。根據(jù)組織結構形式、資源保障程度、政府監(jiān)管要求和風險管理的特點,風險管理的保證可以來自于不同方面,包括董事會、管理層、操作人員、內(nèi)部審計、外部審計和獨立專家等。其中,董事會對保證風險管理承擔全部責任,但董事會往往將風險管理的責任委托給管理層,該種委托代理關系決定了管理層對風險管理承擔直接、首要的責任,他們向董事會提供的風險保證居于首位。管理層必須向董事會保證,他們對于存在的風險和運行的控制實施了檢查,所采取的措施能夠足以降低那些阻礙公司目標實現(xiàn)的風險,其風險管理過程的運行是有效的。內(nèi)部審計針對上述各個業(yè)務環(huán)節(jié)的審查結果可以對管理層保證情況做出基本判斷,同時,還可以根據(jù)對管理層誠實性、業(yè)績、勝任能力、素質(zhì)和文化等方面的綜合評價來制定相應的審計戰(zhàn)略,對管理層的風險保證活動提供再保證。
11.內(nèi)部審計保證和咨詢。內(nèi)部審計的保證和咨詢具體體現(xiàn)在ERM各個運行程序中,如上所述。其中,內(nèi)部審計在ERM中的核心作用是向董事會提供客觀保證:保證風險管理過程和內(nèi)部控制框架的設計和運行有效,保證關鍵風險的管理(包括控制和其他風險反應)有效,保證風險信息的分類和報告可靠、適當。
內(nèi)部審計就ERM提供咨詢的程度依賴于組織風險管理的成熟度。在組織尚未建立風險管理體系的情況下,內(nèi)部審計就執(zhí)行審計項目時發(fā)現(xiàn)的風險問題提請管理層和董事會注意,提出建立風險管理過程的相關建議;如果董事會提出要求,內(nèi)部審計人員可以協(xié)助管理層完成組織風險管理的初步建立工作,甚至可以在董事會允許的情況下制定風險管理戰(zhàn)略,指導風險識別和評估,協(xié)調(diào)實施風險管理措施,此時,內(nèi)部審計直接參與了風險管理過程;在組織風險管理體系建立后,內(nèi)部審計可以就管理層的風險決策提供建議、質(zhì)疑或支持;隨著組織風險管理體系的逐步成熟,內(nèi)部審計可以接受委托提供專項的風險管理咨詢服務,或者在提供保證服務的同時提供風險管理建議書,此時,內(nèi)部審計咨詢作用將逐步降低,更多地集中于其保證作用。
總之,內(nèi)部審計在ERM中的功能不是獨立運行、單獨設置的,它融合在ERM過程中,與ERM的各個業(yè)務環(huán)節(jié)緊密結合,成為一個完整的統(tǒng)一體。如此,事前防范、事中監(jiān)控性跟蹤式內(nèi)部審計的功效才能夠得到充分發(fā)揮,內(nèi)部審計價值增值的目標才能夠得到切實體現(xiàn)。●
【參考文獻】
[1] James Roth. An Enterprise Risk Catalyst.Internal Auditor, Feb.2006,81-84.
[2] Russell A.Jackson.Role Play.Internal Auditor, April 2005,44-50.
[3] George Matyjewicz, James R D'Arcangelo. ERM-Based Auditing. Internal Auditing. Boston: Nov/Dec 2004.Vol.19, Iss. 6;4-13.
[4] Sean De Larosa. DCOM, CIA, CISA, CCSA. Moving Forword with ERM. Internal Auditor, June 2007, 50-54.
[5] Mark S. Beasley, Richard Clune, Dana R.Hermanson. ERM: A Status Report, Internal Auditor, Feb.2005, 67-72.
[6] 王雅婷. 企業(yè)風險管理現(xiàn)狀調(diào)查與保險公司服務創(chuàng)新[J]. 改革與戰(zhàn)略, 2008(04):135-137.
