内部审计参与企业风险管理的实施框架与流程分析,本文主要内容关键词为:风险管理论文,内部审计论文,框架论文,流程论文,企业论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
一、企业风险管理(EBM)——风险管理框架
企业进行风险管理一般可分为6个阶段(如图右侧风险管理流程所示),具体分为营造风险管理的环境、风险识别、风险评估、风险应对、控制活动,以及信息共享与沟通。
(一)营造风险管理的环境
企业逐步树立起风险防范意识,构建科学有效的岗位风险防范体系,加强和改进内部管理,建立健全内部控制制度,切实加大风险防范力度,为内审部门对风险管理开展审计创造有利的条件。
(二)建立风险识别机制
风险识别是企业风险管理流程的起点,指对可能影响企业履行职责,可能给企业带来财务或非财务损失的所有潜在风险进行判断、归类和鉴定性质的过程。企业风险一般可分为六类,即操作风险,资金风险,法律风险,声誉风险,信息技术风险和效益风险。
(三)对风险的评估
风险评估是风险识别的延续,识别了潜在的重大风险后,须对其量值从两个维度进行评估,即不利事件发生的概率,以及该事件的发生可能对战略目标的损害程度。风险的衡量可以使风险定量化,为选择最佳风险管理策略提供依据。
(四)对风险的反应
风险反应是指对识别评估后的风险,运用恰当有效的工具最大限度地降低风险损失。管理层可以根据实际情况,针对每一类型和不同程度的风险,做出风险、收益权衡的评价,采取接受、规避或缓解的方式管理风险,使剩余风险在可接受范围内。
(五)一系列的控制活动
风险管理本身就是内部控制的延伸,相应的,内审对风险管理的监控,就是通过一系列控制活动来限制风险量值或减少发生风险的可能性。因此,控制活动在内审对风险管理的监控中是重点,也是基点。
(六)信息共享与沟通
风险管理过程的每个阶段都能提供各个层面必要的风险信息,这些信息以一定的形式在组织体系中传递并予以汇总和整合,能够反映风险组合的总体情况,有助于日常决策和长期决策。至于沟通,在有效的风险管理环境中,不仅包括向下的信息流动(如管理层的计划将已知的风险传递给员工),还包括向上的流动(如员工将意外情况告知管理层)。员工不仅应对风险管理有一定认识并且严格执行上级规定的管控措施,还应向上级报告重大风险动态。
(七)内审部门的监控
为保证风险管理正常有效运转,内部审计部门需要对其进行必要的监控。内审部门通常可以结合日常经营管理活动对风险管理的各个阶段进行控制,从而测试风险控制和管理措施是否能达到预期目标,并预测不能达到目标时会造成的潜在影响。这样内审部门不仅可以纠正业务部门在风险管理过程中存在的偏差,督促业务部门建立全员参与的风险管理框架,最终还可以通过形成报告从而使企业领导对整个企业的风险状况有一个总体层面的认识,从而形成自上而下,涉及企业各项业务活动的全方位风险防御网,为企业的正常运转提供保障。
二、以风险管理为基础的内部审计实施流程分析
内部审计在风险管理中的实施流程可分为两种具体路径(如右下图所示):第一种路径是开展风险管理审计。第二种路径是开展风险导向审计。
(一)开展风险管理审计——对风险管理过程进行审计
内部审计部门所进行的风险管理审计是对于运行中的风险管理政策与程序的适当性、执行的有效性进行的认定与评价,是在企业相关职能部门所进行的风险管理基础上的再监督。内部审计通过对风险管理流程的各个阶段实施审计,从而有效地监督企业风险控制运作机制。
风险管理基础下的内部审计实施流程图
1.风险环境分析。环境可以对组织目标实现产生不确定性影响。根据COSO-ERM框架,企业的风险环境分为外部环境与内部环境。外部环境包括国家法律法规及政策的变化、经济环境的变化、科技的快速发展、行业竞争、资源及市场变化、自然灾害及意外损失等。内部风险主要来源于企业治理结构的缺陷、经营活动的特点、资产的性质以及资产管理的局限性、信息系统的故障或中断、企业人员的道德品质等。内部审计人员在进行风险管理审计之前,要关注银行风险环境因素的各种变化,以确定企业的战略目标是否与环境相适应。具体审计目标包括:完整性——是否考虑到银行所面临的风险环境的各个方面;充分性——是否充分考虑到风险环境因素的变化发展;恰当性——对风险环境的分析是否恰当,是否存在夸大或轻视的情况。对于宏观环境的分析可以采用PEST方法(Political政治与法律环境,Economic经济环境,Social社会和物质环境,Technological市场环境)。对于行业竞争分析可以使用SWOT方法(Strengths优势,Weakness弱点,Opportunities机会,Threats威胁)。
2.评价风险事件识别的充分性。充分识别风险是有效管理风险的基础,风险管理部门在风险识别环节的主要任务是识别出风险之所在和引起风险的主要因素。而内部审计则需要独立地对企业可能面临的风险因素进行识别,并与相关职能部门的工作相比照,从而审查相关部门是否对需要关注的风险进行了有效的识别。也就是说,该环节内部审计的审计对象是相关职能部门出具的风险列表。其审计内容为风险列表中所示的风险的性质、风险的级别和风险的关联性。其具体审计目标可以概括为:全面性——企业应关注的风险是否全部经过识别;充分性——是否充分考虑到各个风险之间的关联情况;合理性——是否对风险进行合理地分类,是否合理地预期风险带来的结果。
3.评价风险评估方法的恰当性。风险评估结果直接影响风险的应对策略,进而影响企业资源的使用效率和效果。在该环节,内部审计需要对风险评估结果的恰当性进行再检验,以确定是否恰当。也即内部审计人员应当关注风险评估结果中的固有风险和剩余风险的评定、风险可能性及影响程度的估计,这些都是制定风险评估标准的关键,而风险评估标准的制定又是风险评估的关键。同时,内部审计人员也应当关注风险评估过程中所采用的内外部数据的可靠性及准确性等等。具体审计目标有:恰当性——对固有风险和剩余风险的评价是否恰当,这些评价是否真实地反应了企业固有风险及剩余风险的情况;合理性——对风险的可能性和影响的估计是否合理,对发生风险的可能性和影响因素的考虑是否周全;可靠性——对用来进行风险评估所依赖的数据是否准确可靠。
4.评价风险应对措施的恰当性。我国企业风险应对措施主要包括:
风险回避——当采取风险应对的其他措施所需费用或机会成本将会超过期望收益或者没有任何应对措施可以将该风险的可能性和影响降低到风险容忍度范围之内时,一般采取回避措施退出引起风险的活动。风险回避可能包括取消某个产品,减少新市场的扩张或者是抛售某些资产的行为。回避意味着其他应对措施所需费用将会超过期望盈利,或者没有任何应对措施可以将风险概率和影响降低到可以接受的水平。
风险降低——即采取措施来减轻风险发生的可能性或影响,或者两者同时降低,使风险降低到全面风险容忍范围内。风险降低措施几乎涉及银行的各种日常经营决策。企业风险降低的具体做法有:资产种类的风险降低;客户的风险降低,即对单一客户授信控制在一定限制之内;投资工具种类的风险降低;资产货币种类的风险降低等。
风险分担——即采取措施,通过转移和分担一部分风险来减少风险发生的可能性或影响。企业通常采用的方法包括购买保险、避险交易、业务外包、辩护协定、无责任约定、保证、合资经营、实行股份制等。
风险承受——当固有风险不超过企业的全面风险容忍范围时,则企业通常不采取任何措施而直接承担此类风险。
在风险应对环节,所采取的策略和方法应由各相关的职能部门提出,而内部审计人员应当检查这些策略和方法的恰当性。例如,当采用风险回避措施时,内部审计人员应当考虑:第一,欲避免某种风险的可能性有多大,是否不可能;第二,采用回避风险的方法是否最为经济,该项风险或风险组合的未来收益是否小于控制成本;第三,回避某项风险是否会产生另外新的风险。同时,检查的内容还应包括用来评价应对措施的剩余风险和全面风险容忍度以及所采用的各种风险应对措施的成本效益分析情况,对于缺乏充分性的控制措施的情况,内部审计人员应提出改进建议,以强化风险管理,降低风险损失。
5.评价风险控制。控制活动是保证风险反应方案得到正确执行的相关政策和程序。控制活动存在于企业的各个部分、各个层面和各个部门,通常包括政策和程序两个要素。一般而言,内部审计人员在进行审计活动时,主要是测试和评价这些控制程序设计的健全性和执行的有效性。
6.评价信息质量和沟通的有效性。内部审计人员需要评价风险信息的质量状况以及沟通系统的顺畅性、完善性,包括沟通方式的有效性。评价的重点包括:企业风险管理获取信息的能力;信息处理的及时性和适当性;信息传递渠道的便捷程度与畅通情况;管理信息系统的安全与可靠性。内部审计通过对风险管理的信息和沟通环节的评价,来评估企业的风险信息是否能够及时恰当地传递给相关人员。
(二)开展风险导向审计——对剩余风险进行审计
内部审计部门所进行的风险导向审计,是对剩余风险的确认并提出咨询建议。所谓剩余风险就是没有被控制住的战略风险或环节风险,或者审计师认为有证据显示这一战略风险或环节风险并没有被控制在可接受的水平范围内。剩余风险是由于企业的控制措施失效或没有采取相应的控制措施而产生的。内部审计部门所进行的风险导向审计,就是企业内审机构以系统的分析、认定和评价固有风险及其管理状况为基础,根据认定和评价得出的已经量化的剩余风险的大小,选定进一步审计的范围、重点和方法的一种审计模式。因此,一方面,内部审计部门应对企业原有的已识别的主要风险是否充分进行评价,即企业所面临的主要风险是否均已被识别出来,并加以控制;另一方面也要找出未被风险管理系统识别和控制的主要风险。通过开展风险导向审计,可以将审计计划和资源管理同企业经营风险结合起来,发挥内部审计的最大价值。剩余风险是风险导向审计需要关注的重点领域。较高的剩余风险很可能意味着较差的控制环境,它一般显示出对特定环节较高的控制风险,或指向某项认定可能被错报的风险。对剩余风险的审计主要目的是将剩余风险降低至可接受水平,具体步骤如下:一是了解管理当局确定可以接受的剩余风险水平;二是确认业务活动领域的剩余风险并进行优先排序,将主要审计资源分配到高风险领域;三是需要将在审计过程中发现的风险问题,同企业进行沟通,并向企业提出管理建议,从而协助企业预防或检查将来可能出现的问题。
(三)内部审计参与风险管理的集中表现——风险审计报告
风险审计报告是内部审计提供的、经过加工的信息产品,是对企业风险管理过程的效率性、效果性进行的独立评价,针对游离于控制之外的“剩余风险”,提出相关建议以帮助管理层采取措施改进控制系统所形成的书面文件。它是内部审计参与风险管理的集中表现,其主要内容包括审计目标、审计范围、对风险管理过程有效性和充分性的评价、发现的剩余风险和审计建议等。
标签:风险管理论文; 内部审计论文; 风险评估论文; 企业内部控制与风险管理论文; 风险评价论文; 控制环境论文; 企业流程管理论文; 审计计划论文; 审计质量论文; 审计目标论文; 审计流程论文; 审计方法论文;