战略内审十步走(一),本文主要内容关键词为:十步论文,内审论文,战略论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
无论是出于企业自身发展的需要,抑或是为符合外部监管机构的要求,内部审计正日益受到越来越多企业的重视。而如何建立一个行之有效且具有前瞻性的内审体系,亦成为审计委员会和高级管理层(利益相关方)面临的重要课题之一。
根据普华永道的调查发现,当前企业内审部门常见的问题,如没有明确内审战略就匆忙开始实施战术方面的工作,缺乏清晰的内部审计价值期望,缺乏严谨的方法等,这些都导致不必要的延误及成本的增加。因此,普华永道强调,设计内审职能时,必须以战略推动战术。为了帮助企业设计并实施专注于战略的内审职能,在提炼不同规模公司的实践经验的基础之上,普华永道建立了战略性内审职能十步启动框架(以下简称框架)。
如图1所示,该框架的第一至四步关注战略性问题;第五至十步则战略和战术兼顾,但更多地考虑战术性问题。值得一提的是,第九步“建立沟通机制”是一个贯穿始终的步骤,需要在战略和战术上都予以重视。
图1 十步启动框架
第一步:明确利益相关方的期望
普华永道研究发现,当内审职能在利益相关方制定的战略框架下运行,并关注整个公司范围的风险和控制问题时,将能更好地实现公司治理和风险管理。一旦该战略框架实施后,公司将能更有效地确定内部审计的使命、组织结构、资源模型、工作方法以及沟通方式。
为了建立有效的内审职能,内审的主要利益相关方必须确定该职能如何实现期望的价值。通过这个过程,利益相关方应该明确这一新职能的具体成果或“价值驱动因素”。具体的价值驱动因素包括:
·风险管理和内部控制有效性的保证;
·内部控制的效率和效果评估;
·法规及公司政策的遵循性的保证;
·监管法规所要求的内控有效性检查;
·对紧急事件的处理能力;
·对内审投资的回报;
·提高企业各阶层对风险和控制的意识;
·成为业务部门的咨询伙伴,并协助解决复杂问题;
·优秀管理人员的来源,并作为员工职业发展的一部分;
·通过与外部审计师的合作使审计成本更加有效益。
在内审职能建立后,还应该定期重新评估利益相关方的期望,以确保整个框架与时俱进,符合企业当前的境状。
第二步:明确内审使命
在明确具体的价值驱动因素的基础上,审计负责人应该与高级管理层和审计委员会一起明确内审的使命,制定正式的“使命声明”或内审章程,提出该职能的目标并提供评估内审表现的基础。
有效的“使命声明”不仅要描述该职能的权力和职责,还应反映高级管理层和审计委员会所关注的优先项目。同时,“使命声明”还必须和主要利益相关方及员工进行沟通,以确保得到他们的理解和认同。在调整“使命声明”时,则必须依据企业实际情况及框架第一步中定义的价值驱动因素进行。现实情况表明,很多企业常常忽略了这一关键的联系,而是简单地采用其他企业或内审部门的使命声明。
尽管不同企业的“使命声明”深度不一,但“使命声明”或内审章程应该明确内审职能在传统的内部控制审计和咨询活动之间的资源分配。一个含糊或没有同利益相关方期望取得一致的“使命声明”价值甚微,甚至可能妨碍战略目标的实现。如图2所示的内审连续统一体描述了内审重点和技能趋势如何根据利益相关方期望的变化而改变。
图2 内审连续统一体TM
值得关注的是,当利益相关方寻求价值保护和内控保证时(如中国《企业内部控制基本规范》,香港《企业管治常规守则》和美国《萨班斯-奥克斯利法案404条款》等方面的要求),内部审计人员应该具备优秀的财务审计和合规审计的能力。随着利益相关方需求的改变,通常要求内部审计更多地通过改进经营管理来创造价值,这亦要求内审人员应具备一系列的技能,包括风险管理和咨询能力等。
需要指出的是,企业对其内审部门功能重点的选择没有是非对错之分,也没有一个“放之四海皆准”的答案。利益相关方选择将职能定位于上述内审连续统一体的任何一个位置时,都直接地反映了他们在内审“使命声明”中的风险偏好和相关审计需求。
第三步:制定正式的战略计划
战略计划帮助并指导建立内审职能。该计划并不仅仅是某一时点的风险评估,它正式定义了内审新职能的价值主张、服务对象及其将来创造的价值,亦概述了实现关键目标的战术方法和职能上的管理责任。
战略计划同样强调初始阶段的规划以及三到五年的财力和人力资源的需求,通常还包括计划中的关键假设和基准指标与第三方数据的比较。该计划同时可能考虑使用不同方法实现预期结果的成本和收益,具体包括:与其他风险和控制监控职能的优化整合,如法律、合规、信用、市场、安全和舞弊风险管理职能;使用外包服务以提供专业的技术、技能;建立控制自我评估程序。
战略计划也十分强调沟通问题,这是内审职能成功的关键。计划的沟通部分可针对如下问题:
由企业的审计委员会及高级管理层向内部进行初步沟通,
·对内审职责和权力的通告;
·企业期望对内审使命的支持;
·企业期望对解决内部审计发现的控制缺陷和问题的决心。
最终,战略计划应制定将来如何考核内审工作成果的标准。我们建议企业每年应重新审阅和修订战略计划,并得到利益相关方的批准。
第四步:风险评估并制定审计计划
风险是可能影响公司实现公司目标的任何事件。风险评估使内审人员考虑潜在事件如何影响公司目标的实现。
为了帮助企业提升价值,内审应以风险为导向进行审计工作。对内审而言,制定系统的方法分析风险至关重要。风险评估程序开始于界定审计的领域。审计领域包括公司的所有单位、流程和活动。然后,内审人员从行业角度考虑公司的商业模型和其主要商业目标。通过与利益相关方的沟通,内审应该确认其对审计领域、主要商业目标及实现这些目标中的固有风险的理解。
根据对公司及其目标和固有风险的理解,内审人员应考虑各风险因素对公司实现目标的影响及其发生的可能性,并通过考虑这两点,编制企业的风险概况。
企业风险概况的一种常见形式是风险热度图,以不同的颜色区别企业高、中、低风险领域。在风险评估中被识别为高风险的公司单位、流程及活动,应成为审计的重点和优先点。风险评估的结果能协助企业编制相关的内审计划来防范、应对公司的各种风险。
有效审计计划提供系统的方法,将风险分为高、中、低类别。在评估风险后,审计负责人还应该同审计委员会和高级管理层一起将风险进行优先排序,并决定在内审职能中所需的能力和技能组合,以专注于优先考虑的高风险领域和主要利益相关方的需求。
在内审启动的第一年,公司通常没有控制活动有效性评估的正式标准。这样,初步的风险评估及审计计划的制订主要从固有风险出发。固有风险包括内、外两方面。外部风险指全球、国内及经济形势的变化,技术、法律及政治的变化;内部因素则包括操作系统的变化,发行新的产品,进入新的市场,管理层和组织的变化以及海外业务的扩张。
随着逐步了解内部控制有效性的标准,定期的风险评估可考虑这些控制的可靠性和有效性与规避相关风险的重要性及/或发生的可能性。基于这些知识,可根据对内控制度的了解将风险重新分类。然而,即使在认为控制有效的领域,内审也必须定期对关键控制进行测试,以保证这些关键控制可以继续规避重大风险。
为了达到最佳的效果,内审风险评估及风险结果概况应该与内审战略计划及审计委员会所需的保证水平相连接。(待续)
图3 内部审计风险评估流程图
标签:内部审计论文; 风险价值论文; 审计计划论文; 审计方法论文; 审计职能论文; 审计流程论文; 风险评估论文; 职能战略论文; 审计目标论文; 审计职业论文; 审计委员会论文; 普华永道论文;