1、內部審計與企業風險管理的全面結合 自美國 COSO 委員會于20XX 年4月頒布企業風險管理框架(Enterprise Risk Management Framework,以下簡稱ERM框架)后,理論界對ERM的研究風起云涌,監管機構對于ERM的規范不斷推出,實務界對ERM的嘗試不斷增多,如北美、歐洲有11%的組織擁有了完全實施的ERM,90%的組織正在建立或者想建立ERM (James Roth,20XX);財寶世界500強企業截至20XX年底有近40%實施了ERM,30%部分實施了ERM;我國20XX年針對部分先進企業和ERM探索者的一項調查顯示,7.89%的企業建立并實施了ERM,15.

2、79%的企業已經建立但是尚未運作,71%的企業在一定程度上建立但流程缺乏相互約束,5.26%的企業沒有建立(王雅婷,20XX)。可見,ERM受到了越來越多的重視,如何促使企業盡快建立ERM,保證企業順當實施和完善已經建立的ERM,成為當務之急。 ERM的精髓之一在于全員參與,如何清楚地界定各參與方的職責打算著ERM的實施成效。內部審計作為組織治理結構四大支柱之一,在ERM建立和實施中發揮著重要作用。IIA(國際內部審計師協會)在內部審計在企業全面風險管理中的作用意見書中將內部審計在ERM中能夠開展的活動劃分為三類,第一類是核心性保證活動,包括:就風險管理過程供應保證;就風險被精確評估供應保證;

3、評價風險管理過程;評價關鍵風險的報告;審讀關鍵風險的管理。第二類是合理性咨詢活動,包括:促進風險識別與評價;指導管理層作出風險反應;協調風險管理相關活動;加強風險報告;保持和開發ERM框架;促進ERM的建立;經董事會批準制定ERM戰略。第三類是不適當的活動,包括:設立風險偏好;對風險管理過程施加影響;供應管理層風險保證;對風險反應作出決策;以管理層立場做出風險反應;對風險管理擔當責任(Russell A.Jackson,20XX)。 上述分類對于指導內部審計合理定位、供應適當形式的服務、保持獨立性具有一定的意義,卻無助于指導內部審計實現與風險管理過程的有機結合,簡單導致內部審計與ERM脫節,或

4、者重視ERM單一環節而忽視整體。為此,應設計一種能夠將內部審計與ERM實現對接的方式,使內部審計能夠在ERM循環中實現跟蹤式全程審計,實現內部審計對于ERM的全程監督,為持續審計奠定基礎,該種模式稱為“ERM基礎審計”。 ERM基礎審計模式以COSO委員會在企業風險管理框架中設計的內部環境、目標設定、事件識別、風險評估、風險反應、掌握活動、信息與溝通以及監控八要素為基礎,考慮內部審計在ERM中能夠開展的活動,將兩者進行有機結合,形成了ERM基礎審計模式(George Matyjewicz等,20XX)。 外圍各項要素中,以建立和溝通組織目標為起點,依次經歷打算組織的風險偏好、建立適當的風險管理

5、框架、識別阻礙目標實現的風險或事件、評價風險發生的影響和可能性、選擇和實施適當的風險反應、實施掌握和其他反應活動、進行風險信息全都性溝通、監督和調整風險管理過程和結果八個環節,形成了ERM的一個運行系統。在此基礎上,由管理層供應對ERM過程的首要保證,進而由內部審計實施對ERM的獨立客觀保證和咨詢,最終各方履行對董事會服務的職責,董事會對ERM擔當最終責任,形成了ERM的一個保障系統。該模式將ERM與內部審計融合在一個完整的循環中,兩者實現了無縫對接;明確了內部審計和管理層在ERM中的職責地位;同時,也便于內部審計通過深入各個業務環節開展對ERM的全程審計。 1.建立和溝通目標。CEO負責制訂

6、組織的整體戰略目標,處于不同管理層次、不同地域分布中的各業務單位、分部和子公司管理層負責制訂各自的子目標,子目標必需與組織整體目標保持全都,并與組織文化、價值觀、使命和愿景相協調,在整個組織員工中得到全面的溝通、清楚的解釋和正確的理解。內部審計應為下列各個方面供應保證:審查組織目標得到有效建立(如檢查目標建立依靠的信息、采用的程序、參與者的素養等);審查子目標與組織整體目標協調全都;審查目標在組織員工中得到全面的溝通和全都的理解。審計人員可以采用訪談關鍵人員、獲取和審讀相關資料、向不同層次人員發放調查問卷、實施掌握自我評估等方法來開展審計工作,其中問卷設計應當供應可以由回答者進行評論的空間,以

7、便于收集員工對目標理解狀況的軟性信息。 2.確定風險偏好。組織的風險偏好打算了組織能夠承受的風險水平。風險偏好與目標設定有著直接的關系,體現在組織交易形式審批、資本預算限制、職責權限劃分、購買事項確定等各項活動中。確定風險偏好是董事會和管理層的責任,內部審計不能設定組織風險偏好或容忍度,但可以就風險偏好和容忍度水平的確定、量化、溝通,在政策、程序和實務中的有效實施狀況供應保證。 3.建立風險管理框架。在不同組織之間甚至在同一個組織不同部門之間,由于文化氛圍、管理理念、工作目標、組織規模、業務復雜性以及與業務目標和風險容忍度相關的固有風險水平不同,ERM框架可能會存在很大差別。例如,信息技術部門

8、因為其工作的性質需要有完整的風險識別、評價框架,而人力資源部門可能僅需要一個明確的政策和程序性審讀。從事常規交易的部門一般具有相對成熟的ERM框架,該框架中有明確界定的風險指示,與日常的業務運行過程相結合;而戰略管理部門卻不具有這樣正式的框架,需要進一步加以開發。某些組織擁有了較成熟的ERM框架,而其他一些組織卻僅處于ERM的計劃階段、萌芽階段甚至無知階段。 董事會和高級管理層負責建立和管理ERM框架。審計人員不能參與設計ERM框架,但是需要依靠他們的推斷,結合組織的實際對ERM框架的適當性做出結論,發覺框架結構和功能中的缺陷。詳細的審查內容包括:審查ERM框架的組成要素;審查在組織政策、治理

9、框架、實務操作中所體現出來的風險觀點和價值;審查風險管理政策和指南的實用性、敏捷性和自我引導性;審查員工對風險管理含義的理解和對風險管理技術的把握狀況;審查管理層對風險管理的支持、對公司文化的培育狀況;審查風險管理實務按框架期望持續運行狀況;審查框架動態調整、監督和自我評價管理狀況。 4.識別風險。識別風險是對組織正在和將要面臨的風險加以推斷、歸類和鑒定風險性質的過程,換言之,即確定組織正在或將要面臨哪些影響組織目標實現的風險。風險識別是管理層的職責。內部審計在風險識別中的主要工作包括:審查風險識別的充分性,即與組織整體目標和戰略相關的、涉及組織整體和分部層次的主要風險是否均已被識別出來,是否存在未被識別的風險,并提示管理層留意;審查風險識別的全都性,風險定義、分類是否在組織中得到統一的運用。對于發覺的風險識別不完全、不全都、忽視風險等狀況,內部審計應采用特別審計程序并加以報告。 5.評估風險。評估風險是指采用定性與定量相結合的方式,估計風險影響的大小和發生的可能性,在二者結合的基礎上,對風險進行排隊,進而實施不同關注。實施風險評估是管理層的責任。內部審計應就風險是否被精確評估供應保證。詳細可以采取兩種方式:(1)對管理層的風險評估結果進行再檢驗,即把握風險評價的系統方法,對風險成因、影響后果、發生頻率等作出綜合分析,依據“風險值=風