一、企业风险管理(EBM)——风险管理框架 企业进行风险管理一般可分为6个阶段(如图右侧风险管理流程所示),具体分为营造风险管理的环境、风险识别、风险评估、风险应对、控制活动,以及信息共享与沟通。 (一)营造风险管理的环境 企业逐步树立起风险防范意识,构建科学有效的岗位风险防范体系,加强和改进内部管理,建立健全内部控制制度,切实加大风险防范力度,为内审部门对风险管理开展审计创造有利的条件。 (二)建立风险识别机制 风险识别是企业风险管理流程的起点,指对可能影响企业履行职责,可能给企业带来财务或非财务损失的所有潜在风险进行判断、归类和鉴定性质的过程。企业风险一般可分为六类,即操作风险,资金风险,法律风险,声誉风险,信息技术风险和效益风险。 (三)对风险的评估 风险评估是风险识别的延续,识别了潜在的重大风险后,须对其量值从两个维度进行评估,即不利事件发生的概率,以及该事件的发生可能对战略目标的损害程度。风险的衡量可以使风险定量化,为选择最佳风险管理策略提供依据。 (四)对风险的反应 风险反应是指对识别评估后的风险,运用恰当有效的工具最大限度地降低风险损失。管理层可以根据实际情况,针对每一类型和不同程度的风险,做出风险、收益权衡的评价,采取接受、规避或缓解的方式管理风险,使剩余风险在可接受范围内。 (五)一系列的控制活动 风险管理本身就是内部控制的延伸,相应的,内审对风险管理的监控,就是通过一系列控制活动来限制风险量值或减少发生风险的可能性。因此,控制活动在内审对风险管理的监控中是重点,也是基点。 (六)信息共享与沟通 风险管理过程的每个阶段都能提供各个层面必要的风险信息,这些信息以一定的形式在组织体系中传递并予以汇总和整合,能够反映风险组合的总体情况,有助于日常决策和长期决策。至于沟通,在有效的风险管理环境中,不仅包括向下的信息流动(如管理层的计划将已知的风险传递给员工),还包括向上的流动(如员工将意外情况告知管理层)。员工不仅应对风险管理有一定认识并且严格执行上级规定的管控措施,还应向上级报告重大风险动态。 (七)内审部门的监控 为保证风险管理正常有效运转,内部审计部门需要对其进行必要的监控。内审部门通常可以结合日常经营管理活动对风险管理的各个阶段进行控制,从而测试风险控制和管理措施是否能达到预期目标,并预测不能达到目标时会造成的潜在影响。这样内审部门不仅可以纠正业务部门在风险管理过程中存在的偏差,督促业务部门建立全员参与的风险管理框架,最终还可以通过形成报告从而使企业领导对整个企业的风险状况有一个总体层面的认识,从而形成自上而下,涉及企业各项业务活动的全方位风险防御网,为企业的正常运转提供保障。 二、以风险管理为基础的内部审计实施流程分析 内部审计在风险管理中的实施流程可分为两种具体路径(如右下图所示):第一种路径是开展风险管理审计。第二种路径是开展风险导向审计。 (一)开展风险管理审计——对风险管理过程进行审计 内部审计部门所进行的风险管理审计是对于运行中的风险管理政策与程序的适当性、执行的有效性进行的认定与评价,是在企业相关职能部门所进行的风险管理基础上的再监督。内部审计通过对风险管理流程的各个阶段实施审计,从而有效地监督企业风险控制运作机制。
风险管理基础下的内部审计实施流程图 1.风险环境分析。环境可以对组织目标实现产生不确定性影响。根据COSO-ERM框架,企业的风险环境分为外部环境与内部环境。外部环境包括国家法律法规及政策的变化、经济环境的变化、科技的快速发展、行业竞争、资源及市场变化、自然灾害及意外损失等。内部风险主要来源于企业治理结构的缺陷、经营活动的特点、资产的性质以及资产管理的局限性、信息系统的故障或中断、企业人员的道德品质等。内部审计人员在进行风险管理审计之前,要关注银行风险环境因素的各种变化,以确定企业的战略目标是否与环境相适应。具体审计目标包括:完整性——是否考虑到银行所面临的风险环境的各个方面;充分性——是否充分考虑到风险环境因素的变化发展;恰当性——对风险环境的分析是否恰当,是否存在夸大或轻视的情况。对于宏观环境的分析可以采用PEST方法(Political政治与法律环境,Economic经济环境,Social社会和物质环境,Technological市场环境)。对于行业竞争分析可以使用SWOT方法(Strengths优势,Weakness弱点,Opportunities机会,Threats威胁)。 2.评价风险事件识别的充分性。充分识别风险是有效管理风险的基础,风险管理部门在风险识别环节的主要任务是识别出风险之所在和引起风险的主要因素。而内部审计则需要独立地对企业可能面临的风险因素进行识别,并与相关职能部门的工作相比照,从而审查相关部门是否对需要关注的风险进行了有效的识别。也就是说,该环节内部审计的审计对象是相关职能部门出具的风险列表。其审计内容为风险列表中所示的风险的性质、风险的级别和风险的关联性。其具体审计目标可以概括为:全面性——企业应关注的风险是否全部经过识别;充分性——是否充分考虑到各个风险之间的关联情况;合理性——是否对风险进行合理地分类,是否合理地预期风险带来的结果。