风险管理过程中的增值型内部审计
2016-11-02洪云李立
洪云+李立
风险管理是公司治理的基本要素之一,是良好治理的关键组成部分。IIA将风险管理定义为:“一个过程,即识别、评估、管理和控制潜在的事情或情况,以提供关于实现组织目标的合理保证”。增值型内部审计是指通过评价和改善企业的风险管理、内部控制和公司治理过程,优化资源配置,提高组织运营效率及效果,提供更多有助于实现组织目标的机会,为企业增加价值。增值型内部审计具有前瞻性、咨询性,参与性及全面性等特点,它建立在“咨询”的基础之上,在咨询服务中识别风险管理、控制和治理问题,提出恰当的建议,帮助企业完成组织目标,实现组织的价值增加。增值型内部审计必须建立在企业风险管理基础之上,内部审计通过评估企业风险管理有效性,优化企业风险管理过程,确保将风险控制在企业风险承受水平之内来达到实现企业目标,为企业增加价值的目的;同时,增值型内部审计又是企业全面风险管理规划的一个重要组成部分,根植于企业的风险管理、控制和治理之中。通过咨询和鉴证企业全面风险管理过程,优化风险战略制定的方式,参与到企业的整个风险管理过程当中,形成风险管理循环,持续改善企业决策,确保风险管理在实现企业目标,增加企业价值过程中发挥良好作用。
一、风险管理过程中的增值型内部审计框架
(一)内部审计增值途径
内部审计通过多种途径增加企业的价值,如:提供财务、绩效、合规性审计;开展系统安全性审计并参与新会计软件的选择;修改组织行为准则;规范组织内外的实务流程;对新任管理者进行内部控制方面的培训等服务。也有学者认为,降低内部审计成本及提高审计效率亦是内部审计的一项增值途径。IIA多年来一直积极倡导内部审计大于风险管理,认为内部审计为组织提供价值的两个最重要途径是对风险管理的充分性和对风险管理及内部控制有效性提供确认和咨询服务,内部审计通过在企业风险管理中发挥作用来提高风险管理的有效性,实现价值增值。目前较为一致的研究认为内部审计增值作用主要是指对风险管理的充分性,有效性提供确认和咨询服务,通过采用预警分析、专家诊断、综合评价等工具,对企业风险管理过程进行实质性测试和符合性测试,以此判断评估企业风险管理系统,帮助提高改进风险管理有效性,从而实现企业价值的增加。
(二)审计方法框架构建
内部审计的咨询对象通常是企业高层管理人员,通过识别可行的方案以及提供相关建议寻求企业利益最大化的解决途径,因此,咨询业务可以从建议、引导和控制文化三方面职能考虑。所谓引导的职能,就是对企业风险管理进行倡导和帮助,包括在制度建立及经营过程中的协调作用;所谓建议是指内部审计人员在恰当的时间提供恰当的建议,包括任何影响风险管理、控制和治理的重大问题;所谓内控文化,是指员工的行为遵循道德标准的程度以及风险防范的意识,良好的道德遵循以及风险意识都有利于企业风险的防范内审工作的高效开展。是指帮助企业指导和推动风险管理、内部控制相关的企业文化,树立全体员工的风险意识和团队意识。内部审计人员通过确认和咨询活动将审计结果报告给董事会、管理层及相关需求者,董事会作为政策的制定者再根据审计报告结果对企业风险管理(ERM)框架进行修订和改进。同时,企业管理层在ERM框架下根据风险登记簿形成内部控制报告(SIC),而内部审计则对SIC的真实性表达出自己的看法。
二、案例分析
(一)s集团情况简介及内审现状
S集团是一家国有独资大型文化企业集团,组建于2011年,拥有控股公司13家,参股公司2家,2015年总收入约30亿元,集团总部下设办公室、财务部、审计部、战略规划部、投资管理部等9大职能部门,职工总数达7000余人。s集团审计部目前由集团党委副书记直接领导,职能上向党委副书记汇报工作,行政上向集团总经理汇报工作。从委托代理角度讲,内部审计师的本质是董事会委托的、独立的、中性的监督者,因此,在分管领导的直接领导之下开展工作限制了内部审计的报告层次和服务范围,降低了内部审计的独立性和权威性。在强调内部审计治理功能和价值增值的趋势下,这样的领导模式使内部审计机构主要停留在管理层次上,无法发挥内部审计对高层领导的监督和控制,影响内部审计功能的发挥,亦不利于集团董事会及时了解公司经营情况,采取措施降低经营风险。
s集团自成立以来,已逐步建立起各项审计工作标准和制度体系,着力推动集团内控建设,持续关注下属公司经营状况改善,强化经营目标责任审计,重视审计队伍建设和人才培养。目前已形成集团审计部为第一层级,控股公司审计部为第二层级的二级审计体系,集团审计部对设有独立审计部门的控股公司进行审计监督和指导。由于集团成立时间较短,集团审计部尚处在不断完善和发展的过程之中,审计战略规划和业务流程都需要进一步完善和加强,存在内审职能较为单一,审计信息化发展不足,审计队伍建设有待加强等问题。从总体上讲,s集团审计部门目前仍以财务收支审计、经营目标完成情况审计、工程项目审计、经济责任审计等常规审计为主,对企业风险管理及增值方面发挥的作用十分有限,尚未建立起与企业风险管理相关联的审计流程模式。
(二)S集团内审体系构建策略
建立和完善S集团内部审计体系构架,首先应当明确内部审计在企业治理过程中所发挥的职能与作用,对内部审计进行正确的职能定位。在新的环境下,内部审计人员必须认清形势,着眼未来,不断推动企业的发展,而不是停留在对已有事务的鉴证活动之中。内部审计应当以提高公司运营效率为己任,以增加公司价值为目的,满足公司的战略需求。独立性决定了整个内部审计活动的有效性和客观性,是开展一切内部审计活动的基石。对于S集团来讲,对董事会和高级管理层进行双层汇报是一种能够提高内审部门独立性并且切实可行的治理架构。在这种双层领导体制下,内部审计部门的经费预算、人员编制及委派、内部审计计划及基本政策制度等由董事会负责审核确定,内部审计在职能上向董事会汇报;开展内部审计所需的资源配置、审计发现问题整改则由管理层负责执行,在行政上向高级管理层汇报。如下图所示。
在认清职能定位和解决治理框架之后,S集团还需要进一步理清和规范审计流程,增强审计规范性;强化审计信息技术,改进审计工具和方法,这对提高审计效率,为企业创造更大的价值作用巨大;培养并提升内部审计人员的专业胜任能力,形成完善的内部审计质量控制和考核模式也十分重要,关系着内部审计工作的质量和在企业发展中发挥的作用。
在具体的流程设计当中,S集团内部审计部门应当充分发挥其在企业治理过程中第三道防线的有效作用。以风险评估和内部控制为基础制定审计计划,围绕企业目标开展各项审计活动,最终促使企业目标的实现;然后,在以风险和控制为基础的审计活动之上提出建议。这里需要指出的是,审计建议不是对内部控制规范的重中,而应当是对问题解决方案的建议,一是对审计过程中发现的实效内控措施进行识别,以规避风险;二是对控制失败的措施查找原因提出改善建议;三是与业务人员进行沟通,结合实际提出更好的建议;四是避免疏漏冗余和过度的控制措施,帮助企业降低不必要的成本费用,提高经营效率。通过这些前瞻性的建议和引导,发挥内部审计的咨询作用,这正是内部审计在企业治理过程中发挥增值作用的所在;此外,建设和利用信息技术也是s集团内部审计构架必不可少的一个重要组成部分,采用计算机辅助技术不单是提高了审计工作的效率,规范了审计管理,更重要的是可以通过审计信息技术建立审计模型,积累审计经验及案例,通过数据仓库收集全面的审计样本,形成对审计业务的持续全面监督,发挥内部审计的前瞻性、连续性和咨询性作用,基于企业风险管理开展有效的增值作用,建立健全反舞弊机制和三道防线,为企业提供更加优质的内部审计服务并创造更大的价值。