內部審計與企業(yè)風(fēng)險治理的全面結合

【摘要】 在理論界、監管層和實(shí)務(wù)界,企業(yè)風(fēng)險治理已引起越來(lái)越高程度的重視。文章從內部審計與企業(yè)風(fēng)險治理全面結合出發(fā),設計了包含企業(yè)風(fēng)險治理運行系統和保障系統在內的企業(yè)風(fēng)險治理基礎審計模式。在該模式中,內部審計能夠實(shí)現對企業(yè)風(fēng)險治理運行過(guò)程的持續跟蹤,切實(shí)發(fā)揮內部審計在企業(yè)風(fēng)險治理中的作用。
　　【關(guān)鍵詞】 內部審計;企業(yè)風(fēng)險治理(ERM);保證;咨詢(xún)
　　
　　自美國 COSO 委員會(huì )于2004 年4月頒布《企業(yè)風(fēng)險治理框架》(Enterprise Risk Management Framework,以下簡(jiǎn)稱(chēng)ERM框架)后,理論界對ERM的研究風(fēng)起云涌,監管機構對于ERM的規范不斷推出,實(shí)務(wù)界對ERM的嘗試不斷增多,如北美、歐洲有11%的組織擁有了完全實(shí)施的ERM,90%的組織正在建立或者想建立ERM (James Roth,2006);《財富》世界500強企業(yè)截至2004年底有近40%實(shí)施了ERM,30%部分實(shí)施了ERM;我國2006年針對部分先進(jìn)企業(yè)和ERM探索者的一項調查顯示,7.89%的企業(yè)建立并實(shí)施了ERM,15.79%的企業(yè)已經(jīng)建立但是尚未運作,71%的企業(yè)在一定程度上建立但流程缺乏相互約束,5.26%的企業(yè)沒(méi)有建立(王雅婷,2008)�？梢�(jiàn),ERM受到了越來(lái)越多的重視,如何促使企業(yè)盡快建立ERM,保證企業(yè)順利實(shí)施和完善已經(jīng)建立的ERM,成為當務(wù)之急。
　　ERM的精華之一在于全員參與,如何清楚地界定各參與方的職責決定著(zhù)ERM的實(shí)施成效。內部審計作為組織治理結構四大支柱之一,在ERM建立和實(shí)施中發(fā)揮著(zhù)重要作用。IIA(國際內部審計師協(xié)會(huì ))在《內部審計在企業(yè)全面風(fēng)險治理中的作用》意見(jiàn)書(shū)中將內部審計在ERM中能夠開(kāi)展的活動(dòng)劃分為三類(lèi),第一類(lèi)是核心性保證活動(dòng),包括:就風(fēng)險治理過(guò)程提供保證;就風(fēng)險被正確評估提供保證;評價(jià)風(fēng)險治理過(guò)程;評價(jià)關(guān)鍵風(fēng)險的報告;審閱關(guān)鍵風(fēng)險的治理。第二類(lèi)是公道性咨詢(xún)活動(dòng),包括:促進(jìn)風(fēng)險識別與評價(jià);指導治理層作出風(fēng)險反應;協(xié)調風(fēng)險治理相關(guān)活動(dòng);加強風(fēng)險報告;保持和開(kāi)發(fā)ERM框架;促進(jìn)ERM的建立;經(jīng)董事會(huì )批準制定ERM戰略。第三類(lèi)是不適當的活動(dòng),包括:設立風(fēng)險偏好;對風(fēng)險治理過(guò)程施加影響;提供治理層風(fēng)險保證;對風(fēng)險反應作出決策;以治理層態(tài)度做出風(fēng)險反應;對風(fēng)險治理承擔責任(Russell A.Jackson,2005)。
　　
　　上述分類(lèi)對于指導內部審計公道定位、提供適當形式的服務(wù)、保持獨立性具有一定的意義,卻無(wú)助于指導內部審計實(shí)現與風(fēng)險治理過(guò)程的有機結合,輕易導致內部審計與ERM脫節,或者重視ERM單一環(huán)節而忽視整體。為此,應設計一種能夠將內部審計與ERM實(shí)現對接的方式,使內部審計能夠在ERM循環(huán)中實(shí)現跟蹤式全程審計,實(shí)現內部審計對于ERM的全程監視,為持續審計奠定基礎,該種模式稱(chēng)為“ERM基礎審計”。
　　ERM基礎審計模式以COSO委員會(huì )在企業(yè)風(fēng)險治理框架中設計的內部環(huán)境、目標設定、事件識別、風(fēng)險評估、風(fēng)險反應、控制活動(dòng)、信息與溝通以及監控八要素為基礎,考慮內部審計在ERM中能夠開(kāi)展的活動(dòng),將兩者進(jìn)行有機結合,形成了如圖1所示的ERM基礎審計模式(George Matyjewicz等,2004)。
　　圖示外圍各項要素中,以建立和溝通組織目標為出發(fā)點(diǎn),依次經(jīng)歷決定組織的風(fēng)險偏好、建立適當的風(fēng)險治理框架、識別阻礙目標實(shí)現的風(fēng)險或事件、評價(jià)風(fēng)險發(fā)生的影響和可能性、選擇和實(shí)施適當的風(fēng)險反應、實(shí)施控制和其他反應活動(dòng)、進(jìn)行風(fēng)險信息一致性溝通、監視和調整風(fēng)險治理過(guò)程和結果八個(gè)環(huán)節,形成了ERM的一個(gè)運行系統。在此基礎上,由治理層提供對ERM過(guò)程的首要保證,進(jìn)而由內部審計實(shí)施對ERM的獨立客觀(guān)保證和咨詢(xún),終極各方履行對董事會(huì )服務(wù)的職責,董事會(huì )對ERM承擔終極責任,形成了ERM的一個(gè)保障系統。該模式將ERM與內部審計融合在一個(gè)完整的循環(huán)中,兩者實(shí)現了無(wú)縫對接;明確了內部審計和治理層在ERM中的職責地位;同時(shí),也便于內部審計通過(guò)深進(jìn)各個(gè)業(yè)務(wù)環(huán)節開(kāi)展對ERM的全程審計。
　　1.建立和溝通目標。CEO負責制訂組織的整體戰略目標,處于不同治理層次、不同地域分布中的各業(yè)務(wù)單位、分部和子公司治理層負責制訂各自的子目標,子目標必須與組織整體目標保持一致,并與組織文化、價(jià)值觀(guān)、使命和愿景相協(xié)調,在整個(gè)組織員工中得到全面的溝通、清楚的解釋和正確的理解。內部審計應為下列各個(gè)方面提供保證:審查組織目標得到有效建立(如檢查目標建立依靠的信息、采用的程序、參與者的素質(zhì)等);審查子目標與組織整體目標協(xié)調一致;審查目標在組織員工中得到全面的溝通和一致的理解。審計職員可以采用訪(fǎng)談關(guān)鍵職員、獲取和審閱相關(guān)資料、向不同層次職員發(fā)放調查問(wèn)卷、實(shí)施控制自我評估等方法來(lái)開(kāi)展審計工作,其中問(wèn)卷設計應該提供可以由回答者進(jìn)行評論的空間,以便于收集員工對目標理解情況的軟性信息。
　　2.確定風(fēng)險偏好。組織的風(fēng)險偏好決定了組織能夠承受的風(fēng)險水平。風(fēng)險偏好與目標設定有著(zhù)直接的關(guān)系,體現在組織交易形式審批、資本預算限制、職責權限劃分、購買(mǎi)事項確定等各項活動(dòng)中。確定風(fēng)險偏好是董事會(huì )和治理層的責任,內部審計不能設定組織風(fēng)險偏好或容忍度,但可以就風(fēng)險偏好和容忍度水平的確定、量化、溝通,在政策、程序和實(shí)務(wù)中的有效實(shí)施情況提供保證。
　　3.建立風(fēng)險治理框架。在不同組織之間甚至在同一個(gè)組織不同部分之間,由于文化氛圍、治理理念、工作目標、組織規模、業(yè)務(wù)復雜性以及與業(yè)務(wù)目標和風(fēng)險容忍度相關(guān)的固有風(fēng)險水平不同,ERM框架可能會(huì )存在很大差別。例如,信息技術(shù)部分由于其工作的性質(zhì)需要有完整的風(fēng)險識別、評價(jià)框架,而人力資源部分可能僅需要一個(gè)明確的政策和程序性審閱。從事常規交易的部分一般具有相對成熟的ERM框架,該框架中有明確界定的風(fēng)險指示,與日常的業(yè)務(wù)運行過(guò)程相結合;而戰略治理部分卻不具有這樣正式的框架,需要進(jìn)一步加以開(kāi)發(fā)。某些組織擁有了較成熟的ERM框架,而其他一些組織卻僅處于ERM的計劃階段、萌芽階段甚至無(wú)知階段。
　　董事會(huì )和高級治理層負責建立和治理ERM框架。審計職員不能參與設計ERM框架,但是需要依靠他們的判定,結合組織的實(shí)際對ERM框架的適當性做出結論,發(fā)現框架結構和功能中的缺陷。具體的審查內容包括:審查ERM框架的組成要素;審查在組織政策、治理框架、實(shí)務(wù)操縱中所體現出來(lái)的風(fēng)險觀(guān)點(diǎn)和價(jià)值;審查風(fēng)險治理政策和指南的實(shí)用性、靈活性和自我引導性;審查員工對風(fēng)險治理含義的理解和對風(fēng)險治理技術(shù)的把握情況;審查治理層對風(fēng)險治理的支持、對公司文化的培育情況;審查風(fēng)險治理實(shí)務(wù)按框架期看持續運行情況;審查框架動(dòng)態(tài)調整、監視和自我評價(jià)治理情況。
　　4.識別風(fēng)險。識別風(fēng)險是對組織正在和將要面臨的風(fēng)險加以判定、回類(lèi)和鑒定風(fēng)險性質(zhì)的過(guò)程,換言之,即確定組織正在或將要面臨哪些影響組織目標實(shí)現的風(fēng)險。風(fēng)險識別是治理層的職責。內部審計在風(fēng)險識別中的主要工作包括:審查風(fēng)險識別的充分性,即與組織整體目標和戰略相關(guān)的、涉及組織整體和分部層次的主要風(fēng)險是否均已被識別出來(lái),是否存在未被識別的風(fēng)險,并提醒治理層留意;審查風(fēng)險識別的一致性,風(fēng)險定義、分類(lèi)是否在組織中得到同一的運用。對于發(fā)現的風(fēng)險識別不完全、不一致、忽視風(fēng)險等情況,內部審計應采用特殊審計程序并加以報告。
　　5.評估風(fēng)險。評估風(fēng)險是指采用定性與定量相結合的方式,估計風(fēng)險影響的大小和發(fā)生的可能性,在二者結合的基礎上,對風(fēng)險進(jìn)行排隊,進(jìn)而實(shí)施不同關(guān)注。實(shí)施風(fēng)險評估是治理層的責任。內部審計應就風(fēng)險是否被正確評估提供保證。具體可以采取兩種方式:(1)對治理層的風(fēng)險評估結果進(jìn)行再檢驗,即把握風(fēng)險評價(jià)的系統方法,對風(fēng)險成因、影響后果、發(fā)生頻率等作出綜合分析,根據“風(fēng)險值=風(fēng)險概率×風(fēng)險影響”的計算結果,對風(fēng)險級次進(jìn)行排序,對不恰當的風(fēng)險評估予以更正;(2)對治理層的風(fēng)險評估能力進(jìn)行審查,如審查治理層的風(fēng)格(激進(jìn)與穩健的治理者對于相同風(fēng)險的賦值往往存在較大差別)、采用的風(fēng)險評估方法、對相關(guān)信息的把握程度、對本錢(qián)效益的考量、對相關(guān)部分或職員意見(jiàn)考慮的幅度,等等。

【內部審計與企業(yè)風(fēng)險治理的全面結合】相關(guān)文章：

內部審計與風(fēng)險治理03-24

內部審計在企業(yè)風(fēng)險治理中的作用03-22

關(guān)于內部審計與風(fēng)險治理題目03-20

芻議內部審計參與風(fēng)險治理03-23

論企業(yè)風(fēng)險治理審計03-24

試論內部審計與風(fēng)險治理之間的關(guān)系02-27

內部審計在國有企業(yè)風(fēng)險治理中的責任和作用03-24

從風(fēng)險管理談公司治理與內部審計03-18

重視企業(yè)內部審計風(fēng)險03-20