一、问题的提出 内部审计产生于上世纪初的经济危机中,每次经济危机和重大事件都给内部审计带来机遇和挑战,使内部审计理念和工作方式产生重大变化。20世纪60年代,内部审计关注的焦点是财务报告;70年代关注的是内部控制;80年代关注的是运营导向;90年代关注的是商业伦理;进入21世纪,随着“安然”、“世通”等财务舞弊事件以及美国“次贷危机”的爆发,引起了内部审计对风险管理的全面关注。 1999年,国际内部审计师协会(IIA)对内部审计的定义进行了革新,在新的定义中将以独立性为基础的“鉴证(或确认)”活动和以决策有用性为基础的“咨询”活动并列起来,提高了内部审计的地位,扩大了内部审计的责任和范围,将内部审计进一步提升至风险管理和公司治理的高度。 内部审计介入风险管理是一个全新的事物,对内部审计如何在风险管理中发挥作用是一个值得内部审计部门和内部审计人员进一步深入探讨的课题。 二、相关标准释义 国际标准化组织发布的风险管理标准(ISO31000)中将风险定义为“目标的不确定性影响”,并将“前后事件的因果联系”和“发生的可能性”作为一种广为使用的风险表达方式。该标准进一步指出,风险产生的影响是对预期目标的背离——积极的或是消极的。正因为如此,越来越多的组织对识别风险因素和将风险控制在可接受范围之内感兴趣。为了确保组织运转的效率和效果,必须找到一种应对众多风险的办法。于是IIA将风险管理定义为:“识别、评估、管理和控制潜在事件或情况的过程,目的是为实现组织的既定目标提供合理保证”。风险管理认识到风险存在这一现实,因此,风险管理最大的挑战就是将风险控制在组织风险偏好的范围内。 2004年,COSO发布了《企业风险管理整合框架(ERM-IF)》,其中将风险管理定义为:“企业风险管理是一个过程,它由一个主体的董事会、管理层和其他人员实施,应用于战略制订并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体目标的实现提供合理保证。”在该框架中,将风险管理描述为8个要素:即内部环境、目标设定、事件识别、风险评估、风险反应、控制活动、信息沟通以及监督。 关于内部审计在风险管理中的作用,IIA在其2120号标准中指出,内部审计活动必须评估企业风险管理的有效性,并为改善风险管理流程做出贡献。进一步地,IIA在其《国际专业实务框架(IPPF)》中发布了“内部审计在风险管理中作用”的立场文件,在该文件中指出,内部审计在涉及风险管理事务中的角色,是向董事会提供组织风险管理有效性的客观确认,以保证关键的商业风险得到恰当管理以及内部控制系统被有效执行。为合理设定内部审计在风险管理中作用的边界,该文件还对内部审计在风险管理中的活动进行了分类。一是核心角色活动,代表内部审计的“鉴证”职能,包括:对风险管理流程提供确认;对风险是否适当评估提供确认,评估风险管理程序,评估主要风险的报告,检查关键风险的管理等。二是与保障相关的合法角色活动,代表内部审计的“咨询”职能,包括:促进风险识别和评估,培训风险反应能力,整合风险管理活动,强化风险报告,维护和发展风险管理框架,提供可供决策的风险管理策略等。三是不可以涉足的角色活动,包括:设定风险管理偏好,执行风险管理程序,提供风险应对决策,代表管理层执行风险应对措施,以及承担风险管理责任等。 三、捷蓝(Jet-Blue)航空公司的案例分析 捷蓝(Jet-Blue)航空公司是美国一家廉价航空公司,2002年首次公开募股并于纳斯达克上市,主要营运美国内陆航线和来往加勒比海、巴哈马和百慕大的国际航线。捷蓝航空是少数几家能在9·11事件之后维持盈利的美国航空公司之一,并成为有史以来最受欢迎的航空股份,现今市值已经达到数十亿美元。捷蓝航空的财务状况一直十分稳健,它的成功使它超越了老牌的低价航空公司——西南航空公司,获得很多证券分析员和新闻记者的赞赏。2010年6月,美国最为知名的市场调研机构J.D.Power and Associates公布了《2009年北美航空公司满意度调查》的调查报告,数据显示,捷蓝航空以810点(共1000点)的总满意度指数连续三年总体排名第一,并继2008年后再次获得低票价航空公司最高的客户满意度。 捷蓝航空公司于2000年成立了内部审计部门,面对航空业激烈的市场竞争和各种商业风险,捷蓝航空公司的内部审计部门积极参与公司的风险管理,并发挥了十分重要的作用。其主要做法是: (一)辨识主要风险 内部审计部门必须首先要识别出哪些因素可能会妨碍企业达到其战略目标。 捷蓝航空公司的愿景是致力于创建一种新的航空公司类别:一家提供价值、服务和品位的航空公司。公司的战略目标是成为领先的、为顾客提供差异化产品和高质量顾客服务的廉价客运航空公司。公司未来5年将继续在低票价的情况下扩大盈利。 内部审计部门采用定性分析的方法,参考和借鉴美国航空管理委员会的风险评价标准以及国际航空业的风险分类和列表,根据风险与公司价值链管理的相关性,总结归纳曾发生的风险事件,初步确定51项风险长名单。以此为基础,通过对公司内外部环境的研究分析、内部大量访谈和专家评估,初步确定22项主要风险。概括而言,这22项主要风险中(1)战略风险包括:兼并收购风险,运能规划风险;(2)外部风险包括:监管政策风险,石油市场风险,客户偏好风险,合同风险,自然灾害风险;(3)财务风险包括:资金管理风险、成本控制风险,分公司管控风险,融资结构风险;(4)合规性风险包括:信息披露风险,航线审批风险,关联交易风险;(4)运营风险包括:一体化调度风险,价格风险,物资采购风险,人力资源风险,安全风险,航班准时风险,技术创新风险,新市场开发风险。 (二)确定风险评估的标准 在确定风险评估的标准时,主要考虑风险发生可能性标准,风险影响程度标准。内部审计部门制定的风险评估标准如表1所示。
