风险管理对于良好的公司治理的重要性已经越来越为人们所认识。组织承受的压力是识别所有面临的风险,诸如社会、道德、环境及财务和运营方面的风险,并解释如何管理风险使之降低到可接受的水平。同时,全面风险管理框架具备的优势被组织充分认识而日益得到普及。内部审计通过其确认和咨询作用,利用各种方式协助全面风险管理的实现。
图:内部审计在企业全面风险管理中的作用 企业全面风险管理人们从事风险管理活动以识别、评估、管理和控制各类事项或情况。这些事项或情况涵盖单个项目或狭义的风险类型(如市场风险)以及整个组织面临的威胁和机遇。本立场公告所阐述的原则可以用于指导内部审计对各类风险管理的参与,但是我们特别关注企业的全面风险管理,因为这更有助于改善组织的治理过程。 企业全面风险管理(ERM)是贯穿整个组织的具有结构性、一致性和持续性的过程,用以识别、评估并确定如何应对及报告影响组织实现目标的机遇和威胁。 企业全面风险管理的责任董事会对确保风险得到管理负全部责任。实践中,董事会将风险管理框架的运作授权给管理团队来执行,由管理团队负责完成以下所列的各项活动。可以设立一项单独的职能协调和项目化管理这些活动,并利用专业技能和知识。 组织中的每个人都在确保成功的企业全面风险管理中发挥作用,但管理层对识别和管理风险负主要责任。 企业全面风险管理的好处企业全面风险管理框架能够在协助组织管理风险从而实现目标方面做出重大贡献,其好处包括:为实现组织目标提供更大的可能性;在董事会层面综合报告不同的风险;提高对主要风险及其广泛影响的认识;识别和分担跨业务风险;对重要事项集中管理;减少意外或危机;在组织内部更加关注用正确的方法做正确的事情;对将要采取的行动增加变更的可能性;具备为获取更高回报而承担更大风险的能力;更有依据的风险承受和决策。 企业全面风险管理活动企业全面风险管理活动包括:说明和沟通组织目标;确定组织的风险偏好;建立适当的内部环境,包括风险管理框架;识别影响目标实现的潜在威胁;评估风险(如威胁的影响和发生可能性);选择和实施风险应对;采取控制和其他应对措施;组织中所有层级采用一致的方式进行风险信息沟通;集中监督和协调风险管理过程及结果;为风险管理的效果提供确认。 对企业全面风险管理的确认董事会或同类机构的主要要求之一是确保风险管理过程有效运作且主要风险被控制在可接受的水平。对全面风险管理的确认源自不同的渠道,其中来自管理层的确认是最基本的,应当与客观确认相结合,而内部审计是客观确认的主要来源;其他来源包括外部审计师和独立的专家检查。通常内部审计师对以下三方面提供确认:风险管理过程,包括其设计和运行情况;对主要风险进行管理,包括控制的效果和其他应对措施;可靠、适当的风险评估及对风险和控制情况的报告。 内部审计在企业全面风险管理中的确认作用 内部审计是一种独立客观的确认和咨询活动,其与企业全面风险管理相关的核心功能是为董事会提供关于风险管理效果的客观确认。研究表明,事实上董事会成员和内部审计师均认可内部审计为组织增加价值的两种最重要的方式,是为主要业务风险已得到适当管理提供客观确认,及为风险管理和内部控制框架正在有效地运作提供确认。 图表示企业全面风险管理活动的范围,指出有效的专业内部审计活动应当及不应当(同样重要)承担的功能。确定内部审计的作用时需要考虑的主要因素是该活动是否对内部审计部门的独立性和客观性产生任何威胁,是否可能改进组织的风险管理、控制和治理过程。 图的左侧是所有确认活动。这些活动从一个侧面为风险管理提供了更加客观的确认。遵循《标准》的内部审计工作能够并应当至少执行其中的某些活动。 内部审计在企业全面风险管理中的咨询作用 内部审计能为改进组织的治理、风险管理和控制过程提供咨询服务。内部审计师对企业全面风险管理的咨询工作的深入程度取决于其他资源,包括董事会所能够获取的内部和外部的资源,还取决于组织的风险成熟度,并且可能会随时间而变化。内部审计师在考虑风险、了解风险和治理之间的联系及推动方面的专长,意味着内部审计部门完全有能力作为企业全面风险管理的推动者,甚至项目的管理者,特别是在引入企业全面风险管理概念的早期。随着组织风险成熟度的增加和风险管理在业务操作中的不断深入,内部审计对企业全面风险管理的推动作用可能会减弱。类似的,如果组织雇用了风险管理专家或机构服务,则内部审计更可能通过专注于确认作用来增加价值,而不是通过更多地开展咨询活动。然而,如果内部审计未采取图左侧确认活动所表明的以风险为基础的方法,就不可能开展图中间的咨询活动。 图中间部分说明了与企业全面风险管理相关的内部审计的咨询作用。一般来说,越偏向转盘右侧的内部审计咨询活动,越需要安全保障措施以维护它的独立性和客观性。内部审计部门可以承担的一些咨询作用包括:将内部审计分析风险和控制所用的工具与技术提供给管理层;作为将企业全面风险管理引入组织的倡导者,充分发挥其在风险管理和控制方面的专业知识及对组织的总体认知方面的优势;提供建议,推动专题讨论会,指导组织风险和控制,促进共同语言、框架和理解的建立;作为协调、监督和报告风险的中心;协助管理者确定降低风险的最佳方式。