成都商务服务交流群

【学术研究】张庆龙:内部审计作用定位——确认与咨询的博弈

首席审计官2019-01-20 13:12:45

点击图片上方“首席审计官”深蓝色小字,可订阅本微信。

在前面关于内部审计的定义中,我们已经指出内部审计是一种独立客观的确认咨询活动。那么,内部审计师参与企业风险管理的核心作用也体现为确认作用和咨询作用。

内部审计师参与风险管理的确认作用体现为评估风险管理的有效性。为此内部审计师必须确认组织的风险管理过程是否着眼于以下五个主要目标,并从总体上对风险管理过程的有效性发表意见:①找出业务战略与活动领域的风险并进行优先排序;②高级管理层和董事会已经确定了组织可以接受的风险水平,包括为实现组织的战略计划而接受的风险;③设计、实施了降低风险的活动,把风险降低、管理在管理层和董事会可以接受的水平上;④开展持续的监督活动,定期对风险和控制的有效性进行再评估,以管理风险;⑤董事会和高级管理层定期收到风险管理过程的结果报告。组织的治理过程应该包括定期向利益关系方传达风险、风险战略和控制情况。

内部审计咨询作用的发挥取决于组织的风险成熟度、董事会所能获取的内部或外部资源。根据组织的风险成熟度不同,内部审计在风险管理咨询中发挥的作用是不同的,具体体现在:

风险管理尚未建立

企业意识到需要建立一个系统或流程来确保有条不紊的应对风险,这是风险管理的开端。内部审计此时就应当主动的担当倡议者提醒管理层着手这一工作,其应该为内部审计活动在风险管理中所能够发挥的职能而争取董事会和管理层的支持与领导。审计章程应该记录和规定各方在其中所起的作用。内部审计在这一阶段因为企业只有风险管理意识而并没有实质的流程,因而无法对其进行评价,即是说确认职能此时是得不到发挥的。但是,内部审计师可以帮助组织识别管理层和董事会关注的问题,并去而定如何通过风险管理程序来解决这一问题。同时,对提醒组织引起对缺乏风险管理程序的注意,并对建立风险管理程序提出建议。如果企业提出要求,内部审计就可以在协助企业建立风险管理流程方面发挥主动的作用,带头制定风险管理制度,各部门的风险管理流程。当高级管理层没有对内部审计部门授权时,内部审计也可以通过咨询的方式改善主要流程以作为对传统的确认职能的补充,从而使得内部审计扮演更为主动的角色。但是,这些推动和协助的工作要以不损害内部审计的独立性为前提,不能超出咨询活动的正常范围。内部审计师应在这一活动中避免称为风险的所有者。

风险管理流程初步形成

在建立企业风险管理的早期,内部审计发挥其职能的形式非常灵活,当然这需要与董事会或审计委员会进行协商以界定内部审计活动的范围。此时的内部审计职能以三种形式表现:推动,协调与领导,帮助与支持。①推动。内部审计在推动企业风险管理的建立和发展中发挥了不可小觑的作用。内部审计师帮助企业促进其风险管理的成长,使之水平逐步提高。内审人员可以通过召集研讨会,提出风险管理的构想,推动风险管理在企业内部发展起来,让人们可以了解和应对与企业经营目标相关的风险。②协调与领导。在推动风险管理框架的开发和建设时,内部审计可以通过协助制定风险管理的相关制度,开发出符合企业自身实际的风险管理战略,从而得到管理层的认可;内部审计还可以对每个职能部门的风险管理情况进行综合评估,制定相应的方案,协助风险管理策略的构建。在具体执行协调工作时,内部审计部门必须明确风险管理的责任是由管理层负责,而且因为对负责协调的事项不具备独立性,所以之后不能对其曾负责协调的事项进行确认服务。担任领导角色时,内部审计师要尽力宣传风险管理的好处,向管理层和员工传授为实施风险管理需要采取的行动,并鼓励他们采取这些行动。③帮助与支持。在风险管理初步建立的阶段,内部审计往往会更主动的发挥作用,扮演更积极的角色。在风险管理中,管理层负责识别风险和建立良好的内控环境,内部审计则是需要复核风险评估和内控的有效性。如果没有明晰的风险评估程序或其未被记录,那么内部审计就可以和管理层一道识别并记录风险评估程序。内部审计还可以主动询问能为推动风险管理的后续工作做些什么,这时虽然内部审计会承担更多的任务但是并不等同于它应该承担风险。

风险管理流程被整合到企业的经营方式中

在这一阶段,风险系统被整合到企业的经营方式中。这时候企业的风险成熟度增加了,风险被认为是同工作密切相关的概念而不再是企业的外来专业术语。此时的企业更倾向于聘请风险管理专家或者设立风险管理部门来为其服务,内部审计在推动风险管理中所起的作用会减少,为企业提供价值就更多的专注于确认功能而不再是承担更多的咨询活动。为了实现企业的经营目标,管理层应当确保企业存在健全的风险管理流程并正在发挥作用。董事会应当肩负监督的职责,确定风险管理流程是否恰当有效。而内部审计则应该检查、评价、报告上述流程的充分有效性,提出改进意见来帮助管理层和董事会进行改善。但是,担任咨询角色的内部审计师能够帮助企业识别、评价和实施风险管理方法,并加以控制,从而出现确认功能和咨询功能相冲突的情况。因为一个人在帮助制定和执行一项政策之后不可能再对该政策进行客观的评价。这一阶段内部审计的两大职能虽并行但凸显出矛盾。

风险管理成熟时期

风险管理发展到成熟阶段,越来越多的人和部门加入到风险管理中来,各种不同的角色和责任在企业内变得更加清晰,内部审计扮演的角色也随着风险成熟度的变化有所调整。

这一阶段,内部审计仍然是既有确认职能又有咨询职能,只是随着风险成熟度的提高,确认职能受到越来越多的青睐,逐渐占据了主导位置。这一时期内部审计工作的重点是,复核整个企业的风险管理,合理的确认风险管理系统的适当和有效性。咨询服务这时期往往是以核心的确认职能为基础,根据确认活动的结果,针对企业在风险管理中的不足提出审计建议。咨询职能以三种形式表现:推动、建议和培训。

虽然内部审计在全面风险管理中的作用体现为确认和咨询,但两者通常是不能同时存在的,它们随着组织风险管理的成熟度不同呈现出了交互博弈的变化。确认和咨询作用是否能够同时存在关键是判断内部审计师是否承担了管理责任,内部审计作用的发挥是否对内部审计部门的独立性和客观性造成威胁,是否可能改进组织的风险管理、控制和治理过程的有效性。只要内部审计没有承担管理风险的职能,或者说承担了管理层的职责,只要高级管理层积极认可企业的全面风险管理,内部审计就能够提供咨询服务。关于内部审计确认作用与咨询作用的博弈,我们可以通过下面的扇形图(图6-2)来进一步说明。

该图指出了内部审计参与企业全面风险管理活动的范围,指出了内部审计应当及不应当承担的功能,左侧是所有的确认活动,这些活动从一个侧面为风险管理提供了更加客观的确认。中间部分说明了内部审计在全面风险管理中所应当发挥的咨询作用。一般来说,越偏向转盘右侧的内部审计咨询活动,越需要安全保障措施以维护它的独立性和客观性。内部审计部门可以承担的一些咨询作用包括:①将内部审计分析风险和控制所用的工具与技术提供给管理层;②作为将企业全面风险管理引入组织的倡导者,充分发挥其在风险管理和控制方面的专业知识及对组织的总体认知方面的优势;③提供建议,推动专题讨论会,指导组织风险和控制,促进共同语言、框架和理解的建立;④作为协调、监督和报告风险的中心;⑤协助管理者确定降低风险的最佳方式。

那么,我们所说的安全保障措施又是指什么呢?它是指内部审计部门在满足某些条件(安全措施)时,可以拓展其对企业全面风险管理的参与。这些条件包括:①应当明确管理层对风险管理的职责;②内部审计师职责的性质应当写入内部审计章程并由审计委员会审批通过;③内部审计不应当代表管理层管理任何风险;④内部审计应当提供建议、挑战并支持管理层作决定,而不是他们自行做出风险管理决定。当然,内部审计不能同时为其所负责的风险管理框架的任何一部分提供客观的确认。这种确认服务应当由其他适当的、有资格的人提供;确认活动之外的任何工作应当被视为一种咨询业务,应当遵循与此业务相关的实施标准。

该扇形图的最右侧强调了内部审计部门在参与风险管理过程中所不应该发挥的作用,这些作用包括:①设定风险偏好。风险偏好代表一个企业的风险承受程度,这是由公司董事会和高级管理层的风险偏好以及公司的风险承受能力所决定的。内部审计师既无权限设定,相比管理层而言对公司战略方面也更缺乏了解。②强行施加风险管理程序。实施风险管理程序是风险管理部门的职能,是管理层的责任。内部审计只起评价、监督的作用。③对风险的管理保证。首先,风险管理不是内部审计的责任。其次,由于风险的不确定性,如果对风险进行保证只会对内部审计部门造成负面影响。④做出关于风险应对的决定。风险应对是对风险识别、评估后的反应,它有关企业的战略,这不是内部审计部门能够胜任、能够承担的。内部审计能做的只是对风险应对进行评估,经过评估如果认为风险应对方法不合理,则向管理层提出建议,仅此而已。⑤代表管理层实施风险应对。⑥对风险管理承担责任。

来源:《成为明日胜任的内部审计师》

【如何分享】

如果您觉得我们分享的文章不错,请点击右上角的“转发到朋友圈”,让更多的朋友与您一同收获。

【如何订阅】

您可以点击文章标题下方的“首席审计官”,或通过搜索微信号“chinaia”添加关注。

【官方网站】

如果您想获得更多信息,请登陆我们的网站“内部审计师网”,网址是http://www.chinaia.net.cn


Copyright © 成都商务服务交流群@2017