基于价值增值的风险管理审计研究
2012-09-14林朝颖
林朝颖
(1.福建农林大学经济与管理学院,福建福州350002;2.福州大学管理学院,福建福州350002)
基于价值增值的风险管理审计研究
林朝颖1,2
(1.福建农林大学经济与管理学院,福建福州350002;2.福州大学管理学院,福建福州350002)
近年来,内部审计逐渐从查错防弊为导向转向价值增值为导向,风险管理审计是内部审计实现价值增值的重点领域。然而由于组织地位安排不合理、期望过高、组织上下不够配合影响了风险管理审计的实施效果,价值增值效应未得到充分体现与认识。因此要提高内审地位,共享风险信息,开展压力测试,加强战略审查,以实现风险管理审计的价值增值目标。
价值增值;内部审计;风险管理
1999年顺应内审实务的变革,国际内部审计师协会(IIA)对内部审计重新界定,为内部审计从传统的合规性审计向增值型审计的转变吹响了集结号,内部审计由关注与会计、财务系统相关的内部控制转向关注目标、战略和风险管理。2002年萨班斯法案颁布后,内部审计以其所处的特殊地位及专业优势成为有效公司治理的基石。2007年次贷危机引发金融海啸,贝尔斯登、雷曼兄弟等曾在国际金融市场呼风唤雨的企业相继倒下,人们更加强烈地意识到风险管理质量的重要性,这也为风险管理审计的发展提供了契机。普华永道在“2012年的内部审计”的调查报告中预测,持续审计、风险管理流程审计与反舞弊审计将是内审部门未来的三大职责。[1]
一、风险管理审计理论与实务进展
(一)受重视程度日益提升
近些年来,风险管理审计的重要性在理论研究领域得到了充分的肯定。Bookal(2002)指出,内部审计人员对风险和控制独一无二的全程关注对于良好的治理程序和财务报告至关重要。公司越大、越复杂,越需要内部审计人员作为独立的内部观察者以其独特的视角让董事会、高管层和外部审计认识到风险和控制中存在的问题,并评估风险管理的有效性,从而在治理过程中发挥重要作用。[2]王斌(2009)提出内审部门作为内部控制和风险管理牵头部门,只有通过其风险管理等各项增值服务,才能真正体现该机构在组织中的存在价值。[3]李越冬(2010)认为,对企业经营运作、风险管理与控制情况的审核应该是内部审计职能重点发展的方向。[4]
在实务中风险管理审计也逐渐得到人们的重视。全球审计信息网(GAIN)调查了超过25个行业的165位首席审计官或者审计领导,调查结果显示内部审计在风险管理中没有承担风险管理职责的只有3.6%。[5]安永(2008)全球内部审计调查报告也显示,多数公司的内部审计在财务报告控制评估方面逐渐成熟,内部审计在财务报告合规性审核方面所花的精力越来越少,其职责逐渐向战略、风险监控领域转变。[6]Protiviti(2009)的调查报告也表明,在全球金融危机背景下更多组织需要内部审计对企业风险做出全面评估,并有效化解和管理风险。[7]
(二)职责范围在理论上逐渐明晰
不论是2003年英国内部审计协会的《风险为基础的内部审计》还是2004年COSO的《企业风险管理——整合框架》(以下简称ERM框架),以及2009年IIA的《内部审计在企业风险管理中的角色》意见书,都对风险管理审计的两大职能达成共识:风险管理审计的核心职能是确认职能,通过评价企业风险管理过程与风险报告,为企业风险管理过程的有效性提供客观保证;风险管理审计的合法职能是咨询职能,通过指导、改善风险管理程序的运行,对企业风险管理提供建议和支持,帮助企业提前规避风险。
为了避免内部审计既当“运动员”又当“裁判”影响独立性,IIA提出内部审计不能承担以下工作:设置风险偏好;对风险管理过程强加影响;为风险提供管理保证;决定风险应对策略;代表管理层执行风险应对策略;对风险管理负受托责任。[8]Bailey等(2006)也认为,内部审计部门通过检查、评价、报告企业风险管理过程的适当性、有效性以及提出改进建议来协助管理层、董事会或审计委员会,而不是履行风险管理的受托责任。[9]王光远(2007)也指出,内部审计不是风险管理的设计者和实施者,是风险管理的确认者,其职责实际上是对风险管理的再管理。[10]国资委颁布的《中央企业全面风险管理指引》中对风险管理三道防线的阐述以及对内部审计在风险管理中第三道防线的定位则是对“风险管理的再管理”非常形象的概括。[11]
(三)价值增值空间日益增大
近年来风险管理审计的价值增值空间日益增大。2007年起我国实行的审计准则标志着风险导向审计在我国的全面推广。事实上审计准则所要求的风险导向审计与内控规范体系所要求的风险评估,在理念和方法上是趋同的。[12]COSO的ERM框架本身是以风险为导向,是内部控制理念发展的新高度。风险管理审计以ERM框架为基础展开,如果企业风险管理审计的质量较高,风险识别、风险评估等流程设计运行良好,则注册会计师考查内部审计的工作后实施的实质性测试就可以适当减少,审计成本得以降低,审计收费也会相应减少。2008年标准普尔在对企业评级时开始考虑企业风险管理因素,风险管理体系运作良好的企业能以更低的成本筹集到资金,内部审计在改善企业风险管理、降低资本成本中功不可没。2010年9月12日巴塞尔委员会27个成员国的中央银行代表就《巴塞尔协议III》达成一致,商业银行的核心一级资本充足率底线提升至7%。在同等风险水平下开展业务,风险管理水平较高的银行更容易达到资本充足的底线;如果资本水平相当,风险管理水平好的银行可以参与更多高风险的业务,获取更多的利润。风险管理审计在控制银行风险的过程中满足了银行盈利发展的需要,提升了银行的价值,实现了“价值增值”的目标。
二、风险管理审计价值增值的瓶颈分析
(一)组织地位安排不合理
我国内部审计机构设置主要有三种模式:即隶属于总经理为代表的管理层的模式、隶属于董事会或其下属审计委员会的模式、以及隶属于监事会或其下属的审计委员会的模式。商业银行作为高负债高风险的行业,相对其他行业来说其风险管理体系设置更加完善,公司治理结构更加健全,对内部审计独立性的要求也更高,内部审计的组织地位安排理应更加合理,值得其他企业借鉴。因此笔者选择商业银行作为研究对象,剔除没有在网上公布年报或者数据不全的银行后,选取了49家商业银行,其中5家国有商业银行,12家股份制银行,32家城市商业银行,其内部审计机构的设置模式如表1所示。
表1 商业银行内部审计机构设置模式
由表1看出,49家银行中有32家的内部审计机构设置在总经理为代表的管理层之下,占调查总数的65.31%。然而企业的决策执行系统是以总经理为核心的经营管理系统,如果内部审计部门与风险管理部门以及其他职能部门平行,同时设置在总经理之下,缺乏权威性,很难独立的从“第三道防线”的高度对前两道防线的工作结果进行审查、评价。作为风险管理先锋模范的商业银行内部审计模式设置尚且如此不合理,其他企业更是令人担忧。
(二)期望差距较大
期望差距(expectation gap)即公众对风险管理审计的期望与审计所实际达到的效果或者执行审计的人员自己的期望之间的差距。人们对风险管理审计认识不清、期望过高是风险管理审计期望差距较大的一个原因。王晓霞在2008~2009年调查了12个行业1400家企业的风险管控审计评价情况,结果表明我国企业风险管理审计角色责任水平普遍高于IIA调查的结果水平,比IIA设定的理想水平也要高不少。我国企业期望内审在企业风险管控中担当的责任水平超乎想象,57.13%的企业认为内部审计而不是管理层对企业风险管理的相关活动负主要责任。[13]某些企业把风险管理系列工作过度集中于内审部门,内审部门不仅要完成风险管理鉴证工作,还要提出风险管理框架、风险管理对策建议等额外工作。虽然风险管理审计的核心职责、合法职责以及不相容职责在理论上逐渐明晰,但是在实务中人们对“第三道防线”以及“风险管理的再管理”认识仍然不到位。对内部审计期望过高,把本不应由内部审计承担的风险管理工作交给内部审计承担,导致内部审计从事了很多不相容的业务,这将严重影响风险管理审计的质量。
期望差距较大的另一个原因是内部审计熟悉的知识领域还主要集中在财务会计、财务审计、内部控制等方面,而对于战略管理、风险管理、信息系统及其审计方面的知识相对不熟悉。这一缺陷在2009年Protiviti的调查报告中得到了验证:2006~2009年风险管理一直属于内部审计急需提高的前五大知识领域。对风险管理不够熟悉,胜任能力欠缺,影响了风险管理审计的效果。[7]
(三)价值增值效应未得到充分认识
内部审计部门不是一个成本中心,而是一个利润中心或投资中心。[10]随着风险导向审计、巴塞尔III的实施,风险管理审计的价值增值空间日益增大。然而风险管理审计多数业务属于隐性增值业务,其增值效应在审计结束后不能立竿见影表现出来,因此未得到人们的充分认识。GAIN(2008)调查显示:风险管理被简单的视为不为组织增加任何价值或者增加很少价值的合规性程序,[5]这与ERM框架的设置初衷明显背离。内部审计仍然未从控制监督的“内部警察”、“冷面孔”形象转变为管理部门的重要合作者,提供内部审计建议、帮助管理部门成功执行风险管理程序的价值创造者。而风险管理审计是需要组织上下共同配合的,组织内各单位的排斥与反弹只会增加风险管理审计价值增值的难度。风险管理审计在组织中到底要怎么做才能使人们真正感受到其存在的价值,才能获得领导或者管理团队更多的支持,这是内部审计面临的一大难题。
三、风险管理审计之价值增值路径分析
(一)提高内审地位,实现权力制衡
对于内部审计而言,独立性与客观性一直是难题。独立性是对内部审计提供服务时所处环境特征的要求,客观性是一种不偏不倚的精神状态,独立性依附于客观性。内部审计在组织地位上的独立性影响着内审人员面临的利益冲突(即对客观性的威胁),也影响着风险管理审计的质量。关于内部审计在组织结构中的安排,不同的学者有不同的观点。Hermanson(2002)认为内部审计机构应该采用隶属于董事会,向审计委员会报告的结构,才最有利于改善治理,才能使内部审计成为治理结构的一部分。2002年美国的《萨班斯法案》规定上市公司必须设立审计委员会,审计委员会由董事会发起并由董事会成员组成。然而,The Treadway Commission(1987)指出,内部审计的功能就是支持审计委员会实施监督职责,审计委员会应该设置在监事会下。Moeller(2005)指出,内部审计机构不能再设置在董事会下,而应该设置在监事会下,这样设置不仅使监事会有了实施监督职能的信息资源,而且提升了内部审计机构的地位和作用。
实际上公司治理是依据产权关系建立起的一种权力制衡结构。董事会拥有资源配置和方案制定的决策权,高管享有资源配置决策的执行权,监事会拥有对公司业务及风险的监督权。只有三权分离并且权力制衡才能起到有效的治理效果。如果将内部审计设置在董事会或者高管之下,势必与董事会、高管有着千丝万缕的联系,进而对内部审计的独立性和客观性产生威胁。因此将内部审计设置在监事会下属的审计委员会之下,不仅有利于划清监督权与决策权、执行权之间的界线,而且能形成与董事会、高管层“强权”机构的制衡,充分发挥内部审计在风险管理体系中的审查监督职能。
(二)共享风险信息,统一风险语言
ERM框架提出的全面风险管理不再是各风险部门分别独立地进行风险管理,而是以风险组合的观念对企业进行高级监督。内部审计如能主动与其他风险管理部门交流沟通并共享风险信息将大大提高风险管理的效率。然而安永(2007)调查了内部审计与其他风险管理部门的相互作用与影响时发现,只有29%的内部审计与其他风险管理部门有很强的相互作用与影响并能主动共享风险与控制信息,[14]这不利于企业从经营战略的高度对风险模块进行协调、关联。一个风险部门识别的风险可能不被其他风险部门识别和沟通,不同风险部门对同一风险的严重性和重要性可能持不同观点,并且用不同的方法来管理风险,这将导致风险管理的混乱局面。如果能在企业上下推广通用的风险语言,让高层的风险观准确的被所有员工领悟并运用于实际工作,使所有员工在作出决策时自发考虑风险的影响,这比员工机械的执行风险管理程序要好得多。美国电力公司巨头Entergy公司的内审部门就将风险分为27个类别,并为每类风险做出书面定义,为企业统一风险语言,并扮演教练的角色,指导下属经营单位执行风险语言,预防、控制风险。这种从“孤军奋战”向“众志成城”的转变不仅能为风险管理审计节省大量的时间,使内部审计从事后补救转向事前防御,还为不同风险管理层级人员的沟通交流提供了便利,节约了风险监控成本。
(三)开展压力测试,确定审计重点
ERM框架中,风险管理的目标已不再是风险最小化,而是将风险控制在一个可容忍的范围内;风险应对策略也不再是简单的控制降低风险,而发展为规避、降低、转移和接受四种。一个成功的企业需要在捕捉机会与控制风险之间进行权衡。如果对所有的风险都规避,必然损失大量的价值增值机会。作为内部审计时间精力有限,将组织所有风险发生的概率都降到零是不可能的,也没有必要。内部审计要通过了解组织的目标,将风险评估与测试集中在那些很可能显著影响一个或多个目标实现的关键风险领域,以此做为风险管理审计的重点领域。压力测试是一套以定量分析为主的风险分析方法,通过评估组织在特定风险条件下可能发生的损失,测试组织在这些突变压力下的表现情况,分析组织的稳健性。压力测试包括敏感性测试和情景分析两种方法。敏感性测试旨在测量单个关键风险因素或少数几项关系密切的因素对组织风险暴露和风险承受能力的影响。情景分析是假设多个风险因素同时发生变化以及某些极端不利事件发生对风险暴露和风险承受能力的影响。内部审计先通过风险识别列出组织或部门所面临风险(包括潜在风险)的完整列表,然后通过压力测试,找出影响组织目标实现、超出组织风险容忍度的关键风险因子,在风险管理审计时重点监控关键风险的控制情况,使组织的剩余风险保持在风险偏好之内。
(四)加强战略审查,全方位评价风险管理绩效
IIA于1999年发布了《内部审计专业胜任能力框架(CFIA)》,提出胜任的内部审计师应具备的认知技能与行为技能,其中包括拥有战略眼光。在ERM框架中风险管理是从战略层面开始并贯穿整个企业的过程。战略目标是最高层次的目标,它决定了其他层次的目标(经营目标、报告目标、合规目标)以及组织的风险偏好,进而影响着风险应对策略。战略目标如果设置有误,必然影响到风险偏好的设定、风险管理的结果,甚至导致组织在竞争中被淘汰。Kocourek,Newfrock(2006)研究了1998~2004年期间资本市值超过10亿美元的1200家企业,其中业绩最差的360家公司的股东价值损失中仅有13%是违规所致,另有87%归因于战略与运营失误。[15]福布斯500强之一SGI公司的内审部门实行三个层次的风险管理框架:符合性与控制审计、经营风险管理审计以及战略风险管理审计,战略审查属于风险管理审计的最高层次。
贾云洁(2009)提出战略视角下内部审计工作的黄金法则——战略适配度,即包括组织整体战略和各个业务单元运营战略的适当性和实现组织价值创造的各业务单元和辅助部门的管理活动与实现战略目标需求的匹配程度。[16]笔者认为可以用RAROC(Risk Adjusted Return on Capital)即风险调整后的资本回报率来衡量风险管理绩效,进而评价战略适配度。RAROC始于20世纪70年代,由银行家信托集团(Bankers Trust)内的一个小组首创。RAROC=(收入-经营成本-预期损失)/经济资本,其中预期损失可由组织内风险管理专家针对不同类型的风险采用不同的方法分项评估;经济资本又称为风险资本,是根据组织所承担的风险计算出的最低资本要求,用以衡量和防御组织实际承担的、超出预计损失的那部分损失。目前RAROC多用于银行风险管理水平的评价,尚未被非金融企业的内部审计使用。在战略审查过程中可借鉴RAROC并将其分解(图1),以此全方位评价组织整体以及各业务层级的战略适配度:战略实施后的整体RAROC与战略实施前RAROC以及目标RAROC进行对比,评价组织整体的战略适配度;将战略实施后各业务部门、项目、产品线的RAROC与战略实施前各业务部门、项目、产品线的RAROC进行对比,评价各业务单元的战略适配度,并以此验证组织资本配置的合理性,使资本分配到风险收益率较高的部门、项目中,提高资金的使用效率,从而实现价值增值。
图1 风险管理审计中的RAROC分析
[1]PWC.Internal Audit 2012[EB/OL].(2007-07-25)[2010-10-02].www.pwc.com/us/en/internal-audit/assets/pwc_ias_2012.pdf.
[2]Bookal LRE.Integral to good corporate governance[J].Internal Auditor,2002,59(4):44-49.
[3]王斌.股东期望、全面风险管理与审计价值[J].会计研究,2009(5):87-92..
[4]李越冬.内部审计职能研究:国内外文献综述[J].审计研究,2010(3):42-47.
[5]GAIN.ERM Benchmarking Survey 2008[EB/OL].(2008-08-19)[2010-10-02].http://www.theiia.org/download.cfm?file=68594.
[6]Ernst&Young.Escalating the role of internal audit:Ernst&Young's 2008Global Internal Audit Survey[EB/OL].(2008-8-19)[2010-10-02].http://www.ey.com/Publication/vwLUAssets/Escalating_the_role_of_internal_audit_2008/$FILE/Escalating%20the%20role%20of%20internal%20audit%202008.pdf.
[7]Protiviti.2009Internal Audit Capabilities and Needs Survey[EB/OL].(2009-03-28)[2010-10-02].http://www.knowledgeleader.com/KnowledgeLeader/content.nsf/dce93ca8c1f384d6862571420036f06c/678566ee8ad35a5d8825757d0078e1c3/$FILE/2009%20IA%20Capabilities%20and%20Needs%20Survey.pdf.
[8]The Institute of Internal Auditors.IIA position paper:The Role of Internal Auditing in Enterprise-wide Risk Management[EB/OL].(2008-11-27)[2010-10-2].http://www.theiia.org/download.cfm?file=62465.
[9]Andrew D Bailey Jr,Audrey A Gramling,Sridhar Ramamoorti.Research Opportunities in Internal Auditing[EB/OL].(2004-07-12)[2010-10-2].http://www.theiia.org/research/research-reports/research-opportunities-in-internal-audit/.
[10]王光远.现代内部审计十大理念[J].审计研究,2007(2):24-30.
[11]国务院国有资产监督管理委员会.中央企业全面风险管理指引[EB/OL].(2006-6-6)[2010-10-2].www.fdi.gov.cn/pub/FDI/zcfg/qt/P020060818316962500103.pdf.
[12]刘玉廷,王宏.提升企业内部控制有效性的重要制度安排——关于实施企业内部控制注册会计师审计的有关问题[J].会计研究,2010(7):3-10.
[13]王晓霞.国有企业风险管理审计的责任与目标构建[J].审计研究,2010(3):54-58.
[14]Ernst&Young.Global internal audit survey:a current state analysis with insights into future trends and leading practices[EB/OL].(2007-04-21)[2010-10-02].http://www.ey.com/Publication/vwLUAssets/Global_Internal_Audit_Survey_conducted_by_Ernst___Young/$FILE/EY_BRS_GlobalInternalAudit07.pdf.
[15]Kocourek P,Newfrock J.Are boards worrying about the wrong risks?[J].Corporate Board,2006,157:6.
[16]贾云洁.从战略角度谈内部审计价值增值策略[J].审计与经济研究,2009,24(2):45-49.
(编辑:佘小宁)
Risk Management Audit Based on Value Increment
LIN Chao-ying1,2
(1.School of Economics and Management,Fujian Agriculture and Forestry University,Fuzhou Fujian 350002,China;2.School of Management,Fuzhou University,Fuzhou Fujian 350002,China)
In recent years,the objective of internal audit has changed from checking error and preventing fraud to adding value,which is also the main purpose of risk management audit.However,with the restriction of improper status in organization,exorbitant expectation and inadequate cooperation of staff,the effect of risk management audit is not evident,and the incremental value has not been fully realized.Thus the status of internal auditor should be advanced,the risk information be shared,the pressure test be implemented,and the strategy examination be enhanced,then the value-added objective of risk management audit can be realized.
Value-added;Internal audit;Risk management
F230
A
1671-816X(2012)05-0520-05
2012-03-15
林朝颖(1981-),女(汉),福建福州人,讲师,博士研究生,主要从事风险管理及内部审计方面的研究。
福建省教育厅社会科学基金项目(JBS10111);福建农林大学青年教师基金项目(08SB03)
