内部审计如何应对全球金融危机,本文主要内容关键词为:如何应对论文,金融危机论文,内部审计论文,全球论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
IIA2008~2009年度主席、德勤华永会计师事务所企业风险服务合伙人帕蒂·米勒
内部审计的风管理职责
一、风险管理及有效性
风险是指阻碍组织目标实现的因素和遭受的损失或者侵害以及失去获益机会的可能性(图1所示)。由图1可见,风险点往往也是获益点,组织不但要避免处罚、罚款、损失、诉讼等相关风险,而且应该恰当地利用风险进行新产品开发、增加收入市场份额等。如果组织什么风险都不承担,也就不可能发展,关键是怎样在识别风险的基础上承担风险,并做好应急计划,以便在事情发生变化时有所应对。
图1 风险的定义
COSO的风险管理定义:风险管理是一个由董事会、管理人员和其他人员共同参与并应用于组织战略制定和内部、目的是识别可能会影响组织的潜在事项并通过管理使其不超出风险偏好、为实现组织目标提供合理保证的过程。IIA的风险管理定义:风险管理是一个识别、评估、管理和控制潜在事件或情况的过程,旨在为实现组织目标提供合理保证。
有效的风险管理具有7个特征:一是风险管理必须由管理层实施,风险管理是管理层的职责,并应将其贯穿于日常决策始终并涵盖所有业务。二是风险管理涵盖所有业务,打破各部门间的分割,并进行部门间的相互联系。在许多企业中,财务部门考虑的是法律风险,合规部门考虑的是监管风险,保险部门考虑的是出险风险,保障部门考虑的是其他风险,这些部门各司其职,在管理方面相互隔离,缺乏统一联系。有效的风险管理要对风险进行统一定义,统一风险管理框架,并在确定的框架下实施、协调风险管理,强调风险管理报告的透明度,并制定相关的流程、制度支持风险管理,包括对目标进行确认和监控等。三是风险管理强调分类进行。四是风险管理强调对薄弱环节的关注,因为许多风险都可能导致组织的崩溃。五是风险管理要考虑风险的联系和交互作用,因为单个负面事件会引起一系列事件的连锁发生,从而带来非常严重的负面效应。六是风险管理应该融入并成为组织文化。七是风险管理不仅要重视规避风险,还要注重创造价值。
二、内部审计的风险管理职责
IIA2009年1月修订的《国际内部审计专业实务框架》的工作标准2120指出,内部审计活动必须评估风险管理过程的有效性,并对其改善作出贡献;实务公告2120-1指出,评估风险管理过程的适当性。这些表明内部审计的风险管理职责的标准,只是一种指引。内部审计对风险管理的评估事项包括:组织目标支持组织的使命并与其保持一致、重大风险得到识别和评估、选定恰当的风险应对方案并符合组织的风险偏好、获取相关的风险信息并在组织内部及时沟通以便履行各自相关职责、风险管理过程的持续性管理活动及个别评估或两者结合的方式受到监督等。可见,内部审计可以通过提供确认和咨询等服务促进组织的风险管理,可以通过提供风险管理有效性报告等服务协助管理层实施风险管理。帮助组织理解风险管理、促进组织的风险管理、实现组织目标是内部审计的职责。
然而,风险管理往往取决于组织的规模以及业务活动的复杂程度,风险管理过程可能因规模、复杂性的不同而不同,同时还需要考虑组织文化。因此,内部审计的风险管理职责既要考虑组织规模、成熟程度、风险管理状况、风险影响程度及概率、组织文化,还需要有立场公告。(1)成熟程度,特别是风险管理方面的成熟程度(图2所示)决定了内部审计在风险管理中的作用。如果成熟程度位于图2左边,也就是对风险毫无认识,风险管理非常混乱,完全取决于个人、没有有意识的组织行为,在这种情况下,组织需要加强风险管理教育;如果成熟程度位于图2第二部分,就是有零碎风险监控,但也只是有部分反应而不是积极反应;如果成熟程度位于图2第三部分,也就是有自下而上的风险管理,有相关委员会的设置,但是各个业务部门之间缺乏协调,没有统一的检测、衡量、报告过程,需要将风险管理融入组织文化当中。内部审计在风险管理中的作用取决于组织的风险管理成熟程度(图3所示)。对风险管理不太成熟的组织,内部审计主要做咨询服务,应重点关注风险管理的架构和方法以及解决基本风险的建议,为管理层献计献策;对风险管理比较成熟的组织,已经设置了风险管理流程,内部审计应把更多时间放在确认服务上,更好地促进风险管理的改善;对风险管理成熟度在不太成熟和比较成熟间的组织,内部审计主要评估组织的最佳实务和应变措施,优化风险管理实务。(2)风险管理状况同样决定了内部审计在风险管理中的作用。首先,内部审计应当应用辩证的方法了解组织风险管理状况;其次,内部审计依据有效风险管理原则以及成熟模型和不成熟模型的分析结果,向董事会或者高层管理人员报告风险管理与最佳实践的差距以及风险管理的效果,并提供相关的建议。分析时应考虑:组织内是否就风险达成共识;影响组织保值增值的主要风险是否被识别;风险分析是否围绕可能性和影响程度、弱点、发展速度与相互依存等;不同的情况是否被评估和进行了负荷测试;是否着手进行影响因素分析并制订应急计划;风险评估和减灾计划及步骤;与谁沟通、沟通周期及沟通的有效性;在基础结构和所有权方面是否有健全的风险治理;剩余风险是否在可接受水平;是否有审批高风险决定的政策、程序并遵照执行;风险评估结果是否与公开的风险披露一致;董事会和执行管理层是否对风险管理活动满意等。此外,目前评级机构对上市公司的评级也越来越关注风险管理状况,因此,需要内部审计对风险概率进行评估,提供内部审计见解,在改进风险管理方面为管理层献计献策,支持风险管理的持续改善。(3)风险影响程度和概率对内部审计在风险管理中的作用也非常重要。内部审计对风险的识别不仅要看概率,而且要看影响程度。如果只关注概率,低概率的事件有可能会被忽略,但低概率风险暗含的突发因素可能在某种情况下发生相互联系的、不断演变的连带反应,使事件变得越来越严重。图4是关于风险影响程度和概率可能形成的四个象限,内部审计可以依此来开展工作。当发现有一个事件的影响非常重大,而且非常脆弱时,就不应做传统的审计,而应做咨询,帮助组织设计出更好的控制方式,降低风险的重要性和脆弱程度;当觉得事件不是非常脆弱,但是影响会非常大时,可以提供确认服务,确认风险管理确实有效、确实发挥了作用;当觉得事件不是很脆弱,而且影响也非常小时,可以考虑重新分配资源,包括组织更好的控制业务,因为对于这个事件可能产生的影响来说,做审计有点过头了;当觉得某个单一事件影响不大,但是管理、控制手段非常脆弱时,就要考虑会不会出现风险累积,应该做减缓风险处理。对于大多数人来说,使用这个模型非常有效,并且管理层对于脆弱程度的理解好于对概率的理解。管理层如果觉得事件发生的概率较低,一般不愿意参与讨论;如果是讨论事件的脆弱程度,就更愿意参与。(4)立场公告主要说明内部审计在风险管理中应该提供的确认和咨询服务,并指出其不应该扮演的角色,如不应该成为风险管理的主导者、不应该自己做决定、不应该代表管理层管理风险等。咨询服务,主要是协助管理层设计风险管理流程、评估风险、降低风险;评估服务,主要是对风险效果进行评估,还要对组织是否实现全面风险管理进行评估,包括有没有考虑到长远风险、小概率风险以及从正反两方面考虑风险等。
图2 组织的风险管理成熟度
图3在风险管理成熟度不同的组织中内部审计的作用
图4风险影响程度和概率的四个象限
二、结论
全球金融危机为内部审计提供了发挥作用的特殊机遇,是一个至关重要的、可以帮助职业定型的机遇。内部审计人员要正确认识公司治理和内部控制是内部审计的执业基础,是更好地适应、帮助组织做好风险管理和公司治理的前提。内部审计要在帮助组织有效和高效方面提供咨询,内部审计要为董事会和执行管理层提供确认服务。内部审计的风险管理职责,一方面,有责任做风险控制测试和提交报告,并就风险管理进行沟通;另一方面,致力于改善风险管理。内部审计要理解组织的价值和成长目标,明确组织在行业中的地位、需要实现的目标以及落实战略;要寻找和积极探索风险管理的最佳实务;要了解监管和外部如监管机构、顾客、供应商和股东等对组织的期望并与其沟通,这也是很好的学习机会;要接触其他风险管理机构并与之沟通;要接触运营管理层,并了解他们对风险管理的看法,与他们讨论有关增长、盈利和股东价值观方面的问题;与董事会和执行管理层讨论,了解他们对风险管理的满意度等。内部审计人员必须非常清楚地知道,风险管理不是内部审计的工作,不能因为内部审计可以提出好的风险管理建议就取代管理层直接做风险管理。
**** ** **
澳大利亚昆士兰州公共工程部首席审计执行官鲍勃·麦克唐纳德
风险管理
一、风险与风险管理
风险是指对目标产生影响的事件发生的机会。风险不是完全消极的概念,不但能给组织带来坏消息,还可以给组织创造机遇,并通过对风险的管理,促使这些机遇给组织带来更多的价值。有效的风险管理:一是可以预见可能发生的事情,能够明确组织所面临的风险和挑战,并做好应对准备,防止组织受到不确定性因素的影响;二是可以增加组织实现目标的概率;三是可以帮助组织提高取得成果的价值;四是识别提高业绩的机会。股东、利益相关者及组织雇员都可以通过参与风险管理,帮助组织改善绩效、支持决策和提供机会等实现增加价值。
二、风险管理与《萨班斯法案》
《萨班斯法案》主要是控制财务报告系统,其两个主要条款302条款和404条款。302条款要求首席财务官和首席执行官能够保证财务报告的准确性以及建立了季报和年报的披露程序,还要对会计内部控制效果进行确认;404条款要求首席财务官和首席执行官对会计内部控制的有效性进行年度评估,并由外部审计师对管理层出具的会计内部控制报告进行验证。如果风险管理只关注《萨班斯法案》、只关注财务报告,范围就太窄了,应当对组织的整个风险管理给予足够的关注,包含所有的风险和控制,并进行全面风险管理。
三、风险管理与管理层
风险管理是管理层的工作,但是风险管理不仅仅限于首席执行官,组织内部的每一个人都有风险管理责任。管理层要做好风险管理工作,必须能够展望组织的未来,要有很好的政策、计划以及合适的结构、明确的分工,并且了解出现问题时的风险程度以及适当的监督和控制措施;要了解组织各个层面所传递的信息,并进行信息汇总,以便对风险的预期进行预测和应对。管理层对待风险有三种态度:一是认为风险是生活的一部分并接受风险;二是倾向于预先识别、处理和管理风险,在负面事件发生前消灭或者降低风险的危害程度;三是没有意识到风险的存在、忽视风险,甚至将大部分时间花在善后上。对待风险,应当树立现实的风险态度,即接受风险存在并会发生的现实,并能够未雨绸缪地进行管理。也就是说,要有风险意识,并能够运用技术和科学进行风险管理。
四、规避或减小风险的途径
购买保险是规避或减小风险的途径。一般来说,购买保险是对无法控制的风险进行管理的方法,比如火灾、洪灾、车祸等,可以通过购买保险来规避或减小风险损失。但购买保险需要对保险所涵盖的内容进行风险分析,因为保险公司并不是为了理赔而是为了盈利出售保险,所以需要分析所购买的保险是否能够满足一旦遇到灾害能够通过理赔保证组织持续运营的需要。在财务上做好准备也是规避或减小风险的有效途径,这是美国次贷危机中,市场给予的警示。关注舞弊也是规避或减小风险的有效途径,特别是在全球金融危机的经济下行期,因为工作岗位稀缺,找工作越来越困难,同时服务成本越来越高,舞弊动机和舞弊机会两个因素联系越来越紧密,更应关注舞弊风险。
图5 风险管理流程
图6 性质分析矩阵
H=高风险:需要马上采取措施,董事会或管理层应当参与处理。
S=严重风险:高级行政管理层需要重视。
M=中等风险:由特定监控或应对流程处理。
L=低风险:由固定流程处理,不太可能需要特地为此申请资源。
五、风险管理流程
风险管理流程如图5所示:(1)建立环境。应当在广泛的组织目标、战略环境中进行风险管理,必须对组织结构环境、项目范围以及存在环境等进行定义。(2)识别风险。不存在任何公式,只需要知识、经验、智能和推理能力等,识别与技术、业务、项目、产品/服务相关的风险事件及其影响程度。可以采取集思广益、列出清单、参考类似项目、SWOT分析、因果示意图、访谈、咨询专家等方法。(3)分析风险。可采用定性分析、定量分析、定性分析和定量分析相结合等方法,使用风险的定义和分类、计算风险分级、区分固有风险和剩余风险,通过分级清单评估风险,具体参见“性质分析矩阵”(图6所示)。矩阵中,纵轴按肯定会发生到不可能发生排列事件,横轴是事件带来的、相应的后果;H表示风险非常高,会对组织造成很重大的影响,必须立刻采取行动,不然会对组织造成伤害;S表示组织面临非常严峻的风险(实际上很多行业、组织都处于这样的风险状态),必须要有计划地应对风险(但是很多组织并没有这样做);M表示风险处于一般水平,需要组织有相应的应对措施和控制流程保证;L表示风险不太可能发生,如果按照固定流程管理风险的话,组织不需要增加资源,不然就是浪费。(4)评价风险。对评价风险的描述:一是可能性,即风险事件发生的频率和可能性;二是后果,即风险事件产生的影响和量级;三是程度,即对组织的危害程度。(5)处理风险。一是选择适当的风险处理方式,主要有规避风险、降低风险可能性(缓解计划)、减轻风险后果(应急计划)、风险转移及接受或保留风险;二是制定风险管理计划,内容包括由谁负责风险管理计划的制订、谁最适合执行计划、需要什么资源支持、预算分配/应急和执行时间表以及监控、报告和处理风险的办法等。(6)监控和检查。有效的风险管理关键在于对风险的预警和对风险管理计划执行的监控和检查,包括处理方法是否适当和有效、风险是否存在还是已经过时、应急措施是否适当、是否出现了新的风险等;同时,风险管理应当作为一项日常事务并在相关报告中体现。(7)沟通和咨询。利益相关者和客户对风险的承受力有不同的理解,从长远来看,这些不同的理解对组织来说是一个重大的风险源,因此,应与利益相关者和客户保持持续沟通,通过沟通建立自主权,促进协同合作和效率提高。
六、结论
总之,风险管理不仅仅是一个过程,还是一种思维方式;管理层必须意识到风险,并管理风险;风险管理的艺术在于识别风险并适当地应对;风险管理的精髓在于运用结构化、系统化的方法进行管理;风险和控制应当互相对应、互为镜像;对不存在的风险进行控制是资源浪费。
* ***
*
*
*
*
*
IIA执行主席理查德·钱伯斯
全球金融危机对内部审计的影响及变化
一、影响
今年年初,IIA就关注和研究内部审计职业怎样应对全球金融危机,开展了相关的调查工作,看看金融危机后内部审计职业发生了哪些变化。调查为全球范围,总调查人数达到1260人,包括北美、欧洲和澳大利亚、英国、日本等地区和国家。回收调查问卷600多份,其中北美360多份,北美以外的国家200多份。从北美的调查对象看,70%是首席执行官,65%的来自年收入超过10亿美元的公司,其中有34人为财富排名前10位公司的首席执行官,也就是说调查对象涵盖了大部分美国五百强公司。通过调查发现,金融危机不仅仅使内部审计资源的分配发生了变化,而且内部审计职责范围也发生了变化。主要体现在以下几个方面:
1、对所在公司的影响。全球范围有81%、北美有87%被调查对象认为对所在公司有影响。其中认为没有影响或者影响很小的全球范围有19%、北美有13%,认为有一点影响——收入、利润下降不超过20%的全球范围有33%、北美有42%,认为有影响——收入、利润下降在20%~50%的全球范围有29%、北美有29%,认为有严重影响——收入、利润下降超过50%的全球范围有16%、北美有12%。调查结果表明,北美的数据与全球的数据只有很小的差别,两类数据的对比更说明数据的代表性。同时,大家可以看到,经济衰退在北美更严重一些,北美企业及内部审计职业可能受到的影响也更严重一些。
2、对内部审计预算的影响。全球范围有42%、北美有51%被调查对象认为内部审计预算减少,其中认为预算增加的全球有9%、北美有9%,认为预算不变的全球有49%、北美有41%,认为预算下降10%以内的全球有15%、北美有27%,认为预算下降11%~25%的全球有16%、北美有16%,认为预算下降26%~50%的全球有7%、北美有7%,认为预算下降超过50%的全球有4%、北美有1%。据统计,2004年至金融危机前,内部审计都没有出现预算减少的情况。调查结果表明,在过去几个月里,有42%甚至51%的内部审计减少了预算。实际上在今年之前,有很多公司都因为金融危机影响削减了内部审计预算,而且减少比例超过10%(表1所示)。内部审计怎样紧缩预算呢?第一,减少支出,比如减少管理费用,这方面减少的最多;第二,减少差旅费;第三,减少培训费,从IIA总部培训项目就可以看到,内部审计人员现在不再那么频繁地参加培训。这些数据在北美非常明显,大概有80%的内部审计出现预算紧缩,相应的减少了80%差旅费、70%培训费。特别值得关注的是,出现了内部审计裁员,全球有15%,北美有33%。这些表明:一是经济危机的严重性,并且北美地区比北美以外地区更为严重;二是从文化上讲,裁员尽管在北美是很普通的事情,但可能在其他很多地区并不是件容易接受的事情。
3、对内部审计职责范畴的影响。在过去一年,无论在全球范围还是北美,内部审计职责范畴发生了明显的变化,不仅关注财务控制,而且在很多情况下实际上都没有关注内部审计传统应该关注的范围,更加关注金融风险、萨班斯法案测试与其他支持、运营风险、合规风险、信用风险和流动资产风险等(表2所示)。考虑到现在经济形势给很多公司造成了巨大影响,内部审计这种职责范围的变化是合理的;同时,对风险、风险管理方面的关注,并且有非常高的上升,还在于几年前IIA的推动。IIA在这方面制订了标准、实务指南,充分表明内部审计应该在公司风险管理起到作用和影响,去年开始看到内部审计真正了解在这个领域可以做什么,并且作为令人鼓舞。
4、对内部审计作用的影响。随着内部审计职责范畴的拓展,内部审计在风险管理等方面的作为,使内部审计的作用得到进一步的发挥,内部审计人员以其高度的职业敏感,帮助公司明确关键的风险,减少公司由于经济危机造成的损失。随着内部审计职责范畴的拓展,内部审计更加注重在削减成本和开支等方面采取行动,使内部审计价值在经济危机时期得以真正的、更加充分的体现。这些都证明内部审计职业大有可为。但是,需要强调的是,内部审计还可以做得更好,因为,北美与其他地区不太一样的调查结果表明,内部审计未能尽其所能。在被调查对象中,认为所在公司风险管理做的不错的全球只有39%、北美大概有60%。同样,在华盛顿召集的大公司首席审计执行官会议上,大部分首席审计执行官都认为所在公司风险管理做得不错。我问该如何解释金融风暴与“风险管理做得不错”这一现象?大多数都不是来自金融服务机构而是其他行业的首席审计执行官的回答,让我非常惊讶。他们说,让经济这么快衰退的风险主要是不可预见的风险,或者说是非常不可能发生的风险;尽管这些发生会产生很大的影响,但是发生的可能性很低,如百年一遇的洪水,姑且可以不管。因此,内部审计要调整以前的风险分析模型,不仅要分析很可能发生的、影响很大的风险,同时也要看到不太可能发生、影响很大的风险,促使公司把风险管理做得更好。
二、变化
1、重新评估利益相关者的需求。内部审计职业有一系列利益相关者,主要是董事会和审计委员会、管理层、股东、外部监管和法规部门。内部审计要明确没有遗漏利益相关者,并把利益相关者进行分类;同时,根据利益相关者期望值的变化,调整内部审计工作。第一,关注董事会和审计委员会期望。很多董事会和审计委员会面对环境的变化,已经丧失了对管理层的信任,因此,需要某个部门或者某些人能够指出公司面对的风险、风险管理的有效性等,需要对财务和经营控制的适应性进行确认。同时,董事会和审计委员会以前只关注财务控制,在金融危机影响下,现在也关注经营控制,因为经营控制有效,可以减少损失。因此,董事会和审计委员会期望内部审计成为他们独立、客观的“眼睛和耳朵”,帮助他们避免突发情况。第二,关注管理层期望。管理层需要内部审计确认经营控制的有效性,但不希望内部审计过多地参与经营,只要帮助他们明确经营控制的有效程度,帮助他们识别降低成本的机会,使他们的利润能够有所提高;同时,也需要内部审计帮助献计献策,识别重大风险。第三,关注外部监管期望。内部审计需要做好适应新的监管形势的准备。在美国及北美国家会有进一步的监管要求,需要确保公司杜绝不恰当的行为,使不恰当行为的历史不会重演。北美国家监管机构已经开始考察内部审计是否能在这方面发挥新的作用。美国会计准则委员会是美国非常重要的监管机构,对内部审计新的定位及所思所想非常感兴趣。因此,虽然内部审计不直接为这些监管机构工作,但是必须了解他们的期望,以适应新要求。
2、内部审计更深层次的潜在角色。调查结果表明,60%的被调查者认为内部审计应该扩大审计职责范围,应该更多关注经营风险、合规风险、信用风险和减少成本/开支、模型/评估确认、海外/销售风险等(表3所示)。特别是声誉风险,是一种非常抽象的概念,内部审计人员以前并没有想到,也很难进行审计。但在过去一年里却看得越来越清楚,在未确定声誉风险是否列入内部审计职责范围的同时,至少内部审计应该确保管理层充分了解声誉风险,并且能够有效地进行规划,防止声誉受到破坏。例如,有的大型跨国公司,拿到了经济刺激计划中的政府拨款,或者说受到一些政府救助,但公司对此非常随意。美国通用汽车公司总裁坐着私人飞机到华盛顿,要求政府给通用汽车公司更多的资金,在媒体上造成了很坏的影响:有些公司接受政府援助时,高管还拿股息分红,而且数额非常高。这些都是内部审计可以发挥作用的地方,内部审计人员应该在公司高管做可能对公司声誉造成破坏的事情之前告知他这样做会影响公司声誉,否则就是一种失职。内部审计人员必须在关键时候展现出勇气,即使有人告诉你不要多说话、做自己工作就行时,也要勇于站出来,发出自己的声音,防止公司遭到声誉风险的破坏。
总之,在内部审计职业不断前进的过程中,IIA同中国内部审计协会、马来西亚内部审计协会和其他地区内部审计协会进行积极的合作,确保能够掌握更新的情况。为了实现2013年前内部审计被广泛作为一个职业的目标,IIA将致力于:定义内部审计职业原则,并保证这些原则世界各地都可以获取;确认遵守的职业要求;作为研究、开发和传播知识的职业组织,推动内部审计职业的发展;被会员认同为全球组织,并以全球组织方式运营。
*
*
* * * *
中国太平洋保险(集团)股份有限公司审计总监顾越
金融危机下中国保险业风险导向审计的新挑战
——建立基于持续发展的内部审计新体系
一、金融危机下中国保险业风险导向审计的新挑战
产生金融危机的原因很多,从宏观角度讲,主要是货币政策、资本市场的高杠杆率、抵押违约率的上升;从微观角度讲,金融保险业扮演了不光彩的角色,尽管在此次全球金融危机中损失巨大。如保险公司通过提供金融产品保险,使美国金融市场过度地扩张,投行过度的供给造成了房地产市场的虚假需求,形成房地产泡沫。保险公司的金融产品保险,使美国老百姓买房子根本用不着担心还款,买房贷款零利率;同时,有很多贷款公司会上门动员你买房,说:“不用担心还款,有保险公司、有投行给全世界提供金融工具作保障。”过去,很多企业、很多老百姓都认为,可以通过买保险“解脱”风险。保险在企业和老百姓心中,按照中国人的讲法,具有“镇海神针”的作用。然而在今天,保险业成为全球金融危机的风险。这严重影响了社会对保险业的信心,特别是在美国,很多老百姓担心保险公司是不是在“保险”,而是在“冒险”。这不但使保险业受到很大挑战,而且使整个社会风险管理也受到很大挑战,因为某种程度上,保险业是社会风险管理的标杆。保险公司的内部审计又如何呢?从这次全球金融危机看,无论是遭受重大影响的还是破产倒闭的保险公司(包括保险巨头),都没有看到内部审计在其风险管控中的作用,也没见到内部审计在保险公司中发挥作用、提交了相关风险审计报告等的相关报道,所以很难做评论。
在此次全球金融危机中,中国保险业像个“幸运儿”,没有受到太大的冲击,比较安全。但这并不表明中国保险业风险管理水平高,只能说明中国保险业与国际金融一体化程度不高。反过来看,就目前我国保险业的风险管理水平、技术能力,若与国际金融实现了一体化,那么,在此次全球金融危机中估计会全军覆没。所以,不能乐观地认为,中国保险业没什么大问题,经受住了全球金融危机的考验。这种认识迷惑了很多人,特别是保险行业的人员,包括监管层。金融危机下中国保险业面临的不仅是“信心”的挑战,而且还有“成长的烦恼”,应更加关注风险和风险管理,充分发挥内部审计以及其他力量在风险管控中的作用。IIA在1999年就明确了内部审计以风险为导向的基本原则,并且以风险为导向定义内部审计,要在企业运行当中实现风险管理、成本控制和持续发展三者之间的利益均衡。金融危机下中国保险业内部审计要很好地兼顾各方利益,从微观角度讲,要满足四“性”。
1、均衡性。在内部审计过程中要均衡“发展的效益性、风险的可控性、治理的有效性”,不能突出某一方面、某一“性”,任何突出某一方面、过度强调某一“性”的片面观点都会使内部审计遭遇大的困难。特别是在风险导向审计中,要兼顾审计目标、容忍度、成本与企业目标之间的均衡,要兼顾董事会、审计委员会、经营层等之间的均衡,要兼顾企业与监管之间的均衡,要兼顾企业最高决策层与每一级执行层之间的均衡,内部审计的过程就是均衡的过程。
2、有效性。内部审计具有确认和咨询职能,一般确认依据是企业内部的政策、方针和制度,如果确认依据本身有问题,将导致确认的结果存在很大的误差。保险行业是一个新兴行业,以前保险企业一般是向友邦(AIG)学,现在AIG遇到了大的问题,保险企业没有了标杆,也就是说内部审计确认的基础发生了问题,即使确认的过程科学,确认的结果肯定还是有问题。可见,内部审计的有效性受到质疑。
3、自我性。自我性指的是内部审计的“独立和客观”。内部审计的“独立和客观”,说起来容易,做起来很难。从内部审计角度讲,过于独立其实与内部审计本身是有冲突的。从保险行业内部审计角度讲,独立性更多地体现在组织架构的相对独立上,不是完全意义的独立。很多保险企业是在董事会的审计委员会和经营层双重领导下,建立相对独立的内部审计机构,这种组织架构在实践中能更好地发挥内部审计的作用。有些企业是在董事会下设独立的内部审计机构,这种组织架构在实践中内部审计很难开展工作,因为从经营层角度看,独立的内部审计是被孤立的。所以,内部审计既要强调独立,有时候又不能过于独立,因为过于独立就会变成孤立;既要客观,但又不能清高。
4、风险性。保险公司本身是经营风险的,风险无处不在,风险是保险公司利润源泉。保险公司的显著风险特征,使其风险导向审计面临更大的挑战。尽管1998年亚洲金融危机和此次全球金融危机,对中国保险行业都没有构成大的冲击,但要清醒地认识到,今后面临的风险更大、更高。
二、金融危机下中国保险业风险导向审计的应对策略
1、梳理风险,建立以内部控制评估为抓手的风险评估体系。在实践中,梳理风险很难,一方面风险无处不在,另一方面当扎入风险堆后,很难搞清楚哪些风险大、哪些风险小,虽然有很多理论支撑,但难度还是很大。对风险进行评估更是个艰难的过程,特别是保险行业发展历史很短,没有成熟的经验和体系。原来学AIG,现AIG出了问题,只能将它束之高阁,不然,今后自己也要出问题。只能另辟蹊径,努力探索。
2、审计制度,确认内部审计依据的准确性。在实践中,经常遇到确认依据本身存在问题,并且相当部分存在于基本制度层面。所以,要对确认依据进行审计,以保证确认过程和确认结果有效性。
3、建立内部审计新体系。保险业风险导向审计要紧紧抓住当前金融危机的新背景,围绕“发展持续性、风险可控性、治理有效性”,大胆实践、积极探索,逐步建立“基于持续发展的风险导向审计新体系,促进风险可控,治理有效,为企业稳定、健康、持续发展服务。
* * * * * * *
瑞安房地产发展有限公司内部审计部主管聂霭民
金融危机下的企业管治反思
每把椅子都有四条腿,一个座位和一个靠背。良好的企业管治就如同一把椅子,具备六个基本要素(图7所示),如果其中任何一部分有问题,都可以使坐在上面的人(投资者)受到伤害。
图7 良好企业管治的六个要素
图8 企业治理结构和系统 单层董事会模式(英美)
图9 企业治理结构和系统 双层董事会模式(欧洲)
图10 企业治理结构和系统 业务网络模式(日本)
1、企业管治架构。企业管治中有三个非常基本的理论:一是管家理论。管家理论假定董事都是可被信任的,以追求股东的利益为目标,会谨慎地履行授权责任。二是利益相关者理论。利益相关者理论立论于公司董事不仅要对股东负责,而且也要对利益相关者负责,强调追求环境与经济的可持续发展。三是代理理论。代理理论认为董事是股东(所有者)的代理人,为自己的利益做出决策并且被利益所驱动(通常被奖励或认股期权所推动),所以应对董事进行控制和监督。由这些基本理论发展出来的企业管治架构及模式中,最流行及最为人所共知的是英美模式(图8所示),该模式注重独立及非执行董事(INED)制衡执行董事,CEO和董事长应为不同人选,而INED最好占多数。其次是欧洲模式(图9所示),采用双层董事会(中国的国企大多数采用这种模式),用监事会来监察董事会的行为(监事会可能是前任董事会成员、员工代表、股东代表,在我国也有党的代表)。再者是日本的业务网络模式(如图10所示),董事会成员及管理层由可信任的家族成员和资历深、忠诚度高的老员工或是与他们有关系的人员组成,董事会成员中很少有外部聘用董事(日本、韩国、中国台湾以及东南亚国家很多采用这种模式)。
2、法律、法规和规章制度。用适当的法律、法规和规章制度,如公司法、会计法和交易所的规章制度支持良好的企业管治。在执行这些法律、法规和规章制度时,一视同仁,没有特权,没有豁免。
3、会计和审计准则及指南。完善会计和审计准则及指南并执行是确保公司信息能够真实、公允、独立地报告给利益相关者的保障,是企业业绩能够得到公平的评核及比较的保证。不管是有意还是无意,都不应该提供任何模糊、不实、夸大的信息,以欺骗或者误导利益相关者,使利益相关者无法对公司业绩进行比较分析和基准评判。每一次经济危机后,会计和审计准则及指南都有一些改善,如1992年的凯德伯瑞报告和崔德威报告、2002年的《萨班斯法案》等。
4、价值观和信念。现在,西方国家很多国民都在追求不能持续的消费模式,最终形成经济泡沫和次贷危机。其实很多大国的实力是建立在价值观和信念——基督教教义的基础上的,但是,现在这些价值观和信念好像都离开了、被背弃了。美国9·11事件之后,美国人曾问著名布道家Billy Graham的女儿,为什么上帝容许9·11事件发生。她回答,因为上帝已经不在了,美国的社会、校园及家庭把他赶走了。若今天美国人要问,为什么会有金融风暴,我相信答案是一样的。中国改革开放30多年,也丢失了一些过去的价值观和信念。现在是一个真空期,缺少支持良好的企业管治的价值观和信念,并且正在努力寻找新的价值观和信念,在探索并重拾传统价值观和信念。
5、领导力。领导的能力对一个企业非常重要,无论是董事会主席、CEO,对整个企业管治的成功与失败有决定性的影响。一个在企业管治方面的领导人应具备一些基本能力:建立长期的战略目标和规划;建立合适的管理层和架构;维护公司的诚信、名誉,并对利益相关者尽责。同时,良好的领导力还体现在能够制定正确的决策,董事会可以通过审核和控制帮助领导层制定更好的决策,CEO和团队可以基于他们的经验、默会知识、常识和知觉来执行决策。此外,领导风格是影响良好的领导力的最重要的因素,包括CEO或领导的个性、能力、价值观及信念和董事会的制衡是钳制还是宽松。由于CEO性格方面的缺陷会导致一些不好行为和结果(图11所示)。例如,自我陶醉型,非常有魅力,非常有能力,手下也非常支持,但缺乏监管,犯错误可能比其他人犯错误更厉害,最危险。美国的十大破产重组案大部分都是领导失误导致(表4所示),他们的共同点就是以上性格缺陷都存在。
6、利益相关者的支持。主要是指股东和机构投资者的支持,尤其是大股东的支持,并需要广大公众和公众投资者对管理层和董事会执行良好的企业管治操守予以支持。企业若没有这些支持,哪怕有很好的领导者,也不可能实现可持续增长,也不能成功。问题是现在很多机构投资者将投资市场视为赌场,追求短期及快速的回报,追求巨额的回报,使企业因怕受责难而去追求更高风险及不可持续的增长及业务。这些机构投资者导致了很多企业的倒闭和其他方面的失败,因此,在这方面企业很需要股东和机构投资者的支持,以实现企业的长期愿景和目标。金融危机之后,投资者要清晰一点,不要追求短期利益;机构投资者要理性一点,追求合理及长远的回报。
总的来说,要改变价值观。价值观改变了,思维就可以改变;思维改变后,行为也跟着改变;思维和行为改变了,结果就会改变。
表4 美国十大破产重组案例
图11 CEO性格缺陷
标签:内部审计论文; 风险管理论文; 全球金融危机论文; 企业内部控制与风险管理论文; 预算控制论文; 概率计算论文; 预算调整论文; 沟通管理论文; 控制计划论文; 管理控制论文; 计划管理论文; 预算执行论文;