内部审计如何应对全球金融危机

作 者:

作者简介:

原文出处:
中国内部审计

内容提要:

2009年7月13~14日,由中国内部审计协会承办的2009年亚洲首席审计执行官论坛在北京举行。论坛围绕“内部审计如何应对全球金融危机”主题进行了五个专题演讲、一个专题讨论和两个座谈活动。《中国内部审计》编辑部对5个专题演讲录音稿进行整理,并经演讲者确认后予以摘登。


期刊代号:V3
分类名称:审计文摘
复印期号:2010 年 02 期

关 键 词:

字号:

      IIA2008~2009年度主席、德勤华永会计师事务所企业风险服务合伙人帕蒂·米勒

      内部审计的风管理职责

      一、风险管理及有效性

      风险是指阻碍组织目标实现的因素和遭受的损失或者侵害以及失去获益机会的可能性(图1所示)。由图1可见,风险点往往也是获益点,组织不但要避免处罚、罚款、损失、诉讼等相关风险,而且应该恰当地利用风险进行新产品开发、增加收入市场份额等。如果组织什么风险都不承担,也就不可能发展,关键是怎样在识别风险的基础上承担风险,并做好应急计划,以便在事情发生变化时有所应对。

      图1 风险的定义

      

      COSO的风险管理定义:风险管理是一个由董事会、管理人员和其他人员共同参与并应用于组织战略制定和内部、目的是识别可能会影响组织的潜在事项并通过管理使其不超出风险偏好、为实现组织目标提供合理保证的过程。IIA的风险管理定义:风险管理是一个识别、评估、管理和控制潜在事件或情况的过程,旨在为实现组织目标提供合理保证。

      有效的风险管理具有7个特征:一是风险管理必须由管理层实施,风险管理是管理层的职责,并应将其贯穿于日常决策始终并涵盖所有业务。二是风险管理涵盖所有业务,打破各部门间的分割,并进行部门间的相互联系。在许多企业中,财务部门考虑的是法律风险,合规部门考虑的是监管风险,保险部门考虑的是出险风险,保障部门考虑的是其他风险,这些部门各司其职,在管理方面相互隔离,缺乏统一联系。有效的风险管理要对风险进行统一定义,统一风险管理框架,并在确定的框架下实施、协调风险管理,强调风险管理报告的透明度,并制定相关的流程、制度支持风险管理,包括对目标进行确认和监控等。三是风险管理强调分类进行。四是风险管理强调对薄弱环节的关注,因为许多风险都可能导致组织的崩溃。五是风险管理要考虑风险的联系和交互作用,因为单个负面事件会引起一系列事件的连锁发生,从而带来非常严重的负面效应。六是风险管理应该融入并成为组织文化。七是风险管理不仅要重视规避风险,还要注重创造价值。

      二、内部审计的风险管理职责

      IIA2009年1月修订的《国际内部审计专业实务框架》的工作标准2120指出,内部审计活动必须评估风险管理过程的有效性,并对其改善作出贡献;实务公告2120-1指出,评估风险管理过程的适当性。这些表明内部审计的风险管理职责的标准,只是一种指引。内部审计对风险管理的评估事项包括:组织目标支持组织的使命并与其保持一致、重大风险得到识别和评估、选定恰当的风险应对方案并符合组织的风险偏好、获取相关的风险信息并在组织内部及时沟通以便履行各自相关职责、风险管理过程的持续性管理活动及个别评估或两者结合的方式受到监督等。可见,内部审计可以通过提供确认和咨询等服务促进组织的风险管理,可以通过提供风险管理有效性报告等服务协助管理层实施风险管理。帮助组织理解风险管理、促进组织的风险管理、实现组织目标是内部审计的职责。

      然而,风险管理往往取决于组织的规模以及业务活动的复杂程度,风险管理过程可能因规模、复杂性的不同而不同,同时还需要考虑组织文化。因此,内部审计的风险管理职责既要考虑组织规模、成熟程度、风险管理状况、风险影响程度及概率、组织文化,还需要有立场公告。(1)成熟程度,特别是风险管理方面的成熟程度(图2所示)决定了内部审计在风险管理中的作用。如果成熟程度位于图2左边,也就是对风险毫无认识,风险管理非常混乱,完全取决于个人、没有有意识的组织行为,在这种情况下,组织需要加强风险管理教育;如果成熟程度位于图2第二部分,就是有零碎风险监控,但也只是有部分反应而不是积极反应;如果成熟程度位于图2第三部分,也就是有自下而上的风险管理,有相关委员会的设置,但是各个业务部门之间缺乏协调,没有统一的检测、衡量、报告过程,需要将风险管理融入组织文化当中。内部审计在风险管理中的作用取决于组织的风险管理成熟程度(图3所示)。对风险管理不太成熟的组织,内部审计主要做咨询服务,应重点关注风险管理的架构和方法以及解决基本风险的建议,为管理层献计献策;对风险管理比较成熟的组织,已经设置了风险管理流程,内部审计应把更多时间放在确认服务上,更好地促进风险管理的改善;对风险管理成熟度在不太成熟和比较成熟间的组织,内部审计主要评估组织的最佳实务和应变措施,优化风险管理实务。(2)风险管理状况同样决定了内部审计在风险管理中的作用。首先,内部审计应当应用辩证的方法了解组织风险管理状况;其次,内部审计依据有效风险管理原则以及成熟模型和不成熟模型的分析结果,向董事会或者高层管理人员报告风险管理与最佳实践的差距以及风险管理的效果,并提供相关的建议。分析时应考虑:组织内是否就风险达成共识;影响组织保值增值的主要风险是否被识别;风险分析是否围绕可能性和影响程度、弱点、发展速度与相互依存等;不同的情况是否被评估和进行了负荷测试;是否着手进行影响因素分析并制订应急计划;风险评估和减灾计划及步骤;与谁沟通、沟通周期及沟通的有效性;在基础结构和所有权方面是否有健全的风险治理;剩余风险是否在可接受水平;是否有审批高风险决定的政策、程序并遵照执行;风险评估结果是否与公开的风险披露一致;董事会和执行管理层是否对风险管理活动满意等。此外,目前评级机构对上市公司的评级也越来越关注风险管理状况,因此,需要内部审计对风险概率进行评估,提供内部审计见解,在改进风险管理方面为管理层献计献策,支持风险管理的持续改善。(3)风险影响程度和概率对内部审计在风险管理中的作用也非常重要。内部审计对风险的识别不仅要看概率,而且要看影响程度。如果只关注概率,低概率的事件有可能会被忽略,但低概率风险暗含的突发因素可能在某种情况下发生相互联系的、不断演变的连带反应,使事件变得越来越严重。图4是关于风险影响程度和概率可能形成的四个象限,内部审计可以依此来开展工作。当发现有一个事件的影响非常重大,而且非常脆弱时,就不应做传统的审计,而应做咨询,帮助组织设计出更好的控制方式,降低风险的重要性和脆弱程度;当觉得事件不是非常脆弱,但是影响会非常大时,可以提供确认服务,确认风险管理确实有效、确实发挥了作用;当觉得事件不是很脆弱,而且影响也非常小时,可以考虑重新分配资源,包括组织更好的控制业务,因为对于这个事件可能产生的影响来说,做审计有点过头了;当觉得某个单一事件影响不大,但是管理、控制手段非常脆弱时,就要考虑会不会出现风险累积,应该做减缓风险处理。对于大多数人来说,使用这个模型非常有效,并且管理层对于脆弱程度的理解好于对概率的理解。管理层如果觉得事件发生的概率较低,一般不愿意参与讨论;如果是讨论事件的脆弱程度,就更愿意参与。(4)立场公告主要说明内部审计在风险管理中应该提供的确认和咨询服务,并指出其不应该扮演的角色,如不应该成为风险管理的主导者、不应该自己做决定、不应该代表管理层管理风险等。咨询服务,主要是协助管理层设计风险管理流程、评估风险、降低风险;评估服务,主要是对风险效果进行评估,还要对组织是否实现全面风险管理进行评估,包括有没有考虑到长远风险、小概率风险以及从正反两方面考虑风险等。

相关文章: