风险导向内部审计思考

时间:2022-12-21 10:08:03

风险导向内部审计思考

摘要:国际标准化组织ISO在经济全球化的新环境下,了一项普遍适用的国际风险管理标准ISO31000:2009《风险管理——原则与指南》。本文全面介绍了ISO31000国际风险管理标准体系,分析了风险管理框架与风险导向内部审计的内在联系,对如何做好风险管理框架下的风险导向内部审计工作进行了研究和探讨。

关键词:风险管理;ISO31000:2009标准;风险导向;内部审计

一、ISO31000:2009《风险管理——原则与指南》

近二十年来国内外各类风险事件层出不穷,美国安然事情、英国巴林银行事件、日本八佰伴事件、国内的三鹿奶粉事件,这些事件存在风险管控缺失、风险意识淡漠、风险应对薄弱的共性原因。在这样的大背景下,无论组织所在的区位,规模的大小,对完善风险管理机制、提高风险防范能力,促进企业可持续发展,维护市场经济秩序,保障相关方利益等方面都产生了共同的、迫切的需求。国际标准化组织ISO在经济全球化的新环境下,了一项普遍适用的国际风险管理标准ISO31000:2009《风险管理——原则与指南》。ISO31000体现了全球范围内风险管理最新理论和最佳实践,指导组织运用先进的风险管理理论来进行风险管理实践。如何防范风险,需要组织主动去管理风险。管理风险首先要厘清对风险的认识,对于风险管理普遍存在着一些错误认知。其一,认为风险只是财务或风险管理部门担心的事情。事实上,每个员工都要实现他的工作目标,而风险是目标实现的不确定性,风险是每个员工都应该关心的事。其二,风险管理似乎成为组织内的一种例行公事,只是完成勾选风险选项的活动。实际上风险管理是一个不断发展变化的过程,随着组织的发展变化而相应变化。其三,风险管理是一个没用的控制层次。其实不然,风险管理可以通过识别不必要的控制、过度管理和过度控制来减少冗余的机制。ISO31000核心术语“风险”一词最新的定义为:不确定性对目标的影响。这一定义赋予了风险新内涵,如下所述。(1)风险具有未来性:风险的两个关键词是不确定性和目标。不可预知风险发生的时间,不确定性是未来将要发生的事件才具有的属性,目标是制定并预期在未来某个时间将要实现的,同样具有未来属性。(2)风险具有双重性:风险具有正面的影响即存在机会,负面的影响即存在威胁的两种可能性。(3)风险具有不确定性:不确定性是风险一词的内核,风险唯一的确定性,就是它的不确定性。(4)风险具有事件性:风险与事件直接相关,潜在事件会导致潜在的后果。(5)风险具有二维性:风险通常由事件发生的可能性及事件产生的后果这两个维度来表示,一维是事件的后果,另一维是发生的可能性。(6)风险具有信息性:一方面风险体现形式本身就是以信息为载体的,另一方面由于缺乏对风险发生的原因、风险本身、造成后果等相关信息,无法对风险进行认识和了解。组织全员对风险定义有透彻的认识,有利于运用ISO31000标准开展风险管理工作。ISO31000标准的主要作用:帮助用户实现其目标;为管理带来更大的主动性;提高用户全体成员的风险认知及管理能力;改善对风险和机遇的把握能力;使用户更遵守法规和国际规范;改善用户的财会制度和报表;提高用户的管理水平;提高股东等利益相关人的信任感和信心;建立更可靠的决策基础;改进高层的控制能力;提高抗风险资源的配置和应用效率;改进组织运作的成效;改善组织的健康性、安全性和环保性;改善防损和危机预案的管理;降低损耗;改进组织的学习力;提高组织的生命力。组织风险管理文化目前存在两种固有的典型形态,现实中大多数组织介于两种形态的结合之间。①厌恶型风险文化:坚持已知的、稳定的经验和知识,组织重视内部管理,而不是关注客户的需求;组织战略不经常变化,风险管理较被动。一旦发生变化,肯定是由于风险损失而造成的。将错误归咎于具体的人,属于典型的责难文化。②包容型风险文化:组织的价值观推崇创新、挖掘机会;组织重视员工积极创新,关注客户需求;组织的战略、内部管理随情况而变化;犯错误是可以包容的,但不准掩盖错误,属于典型的鼓励文化。组织通过实施ISO31000标准,不仅在具体的业务活动或过程中实现对风险管理的改进,还使组织风险管理文化得到持续改进,向着建立风险管理机制的方向迈进。ISO31000标准的核心内容由风险管理“原则、框架、过程”三个部分构成。标准提出11项风险管理原则,其风险管理框架由总则、授权与承诺、管理风险框架的设计、实施风险管理、框架的监测与评审、框架的持续改进六个部分构成。组织在明确标准要求的基础上,结合自身情况建立相适宜的风险管理框架。风险管理过程是风险管理框架的组成部分,由沟通与咨询、建立环境、风险评估、风险应对、监测与评审五个子流程构成。其中,沟通与咨询、监测与评审子流程覆盖整个风险管理流程,循环地进行风险管理的输入、输出。ISO31000标准结构如下图所示。运用ISO31000标准实施风险管理,要做好三个方面的准备工作:①学习风险管理的理论、流程和技术方法;②要明确组织的各个具体过程;③在流程中扩展属性信息的设置——风险点编号、风险事件、风险源、风险等级、风险矩阵、控制措施等。风险是由组织实施战略目标和业务活动而产生,风险管理也不是独立于组织的业务活动而开展的。风险管理的成功取决于风险管理框架的有效性,风险管理框架嵌入到组织的所有层次,在特定环境下实施风险管理框架,在风险管理过程中获得、报告风险信息。ISO31000标准采用嵌入方式将风险管理的理论、流程和技术方法融合于组织的资金活动、采购业务、资产管理、销售管理、研究开发、工程项目、担保业务、业务外包、财务报告、全面预算、合同管理、内部信息、传递信息系统等决策活动、业务活动的过程中去。ISO31000标准组织风险管理嵌入的重点:①由于组织的方针在组织中起着指导性作用,要将风险管理嵌入到组织方针制定流程;②组织战略决策、业务稳定持续需要进行事前的策划、事后的评审,要将风险管理嵌入到事前策划及事后评审流程;③变更会带来新的不确定性,对任何在原有状态下发生的变化实施管理,需要将风险管理嵌入变更管理流程,进行事中管理。掌握上述这些嵌入的重点,再结合企业风险管理与组织流程的融合特性,从嵌入性角度构建风险管理体系,对风险管理做到事前、事中、事后的控制。

二、风险管理框架下的风险导向内部审计

组织建立ISO31000风险管理框架,使用完整的风险识别、风险分析、风险评价、风险控制等风险管理程序和方法进行风险管理,为企业防范风险,提高效益,实现组织目标提供了合理保证。组织的进步和发展离不开风险管理框架的支撑,但是组织风险管理框架的健全性、有效性、遵循性如何得到合理的保证呢?英国和爱尔兰内部审计协会和德勤会计师事务所在2003年联合的研究报告《价值议程》(THEVALUEAGENDA)表明,董事会和内审部门达成共识,内部审计为组织增加价值的两种方式:一是对主要业务风险已适当管理进行客观确认;二是对风险管理和内部控制框架的有效运行进行客观确认。该报告强化了内部审计的核心作用是向董事会提供对风险管理有效性的客观确认。风险管理框架在组织中的广泛运用,自然而然引领着内部审计活动由传统的财务审计、合规审计、绩效审计发展到风险导向审计。风险导向内部审计的含义:是指内部审计人员在审计过程中自始至终都以企业风险分析评估为导向,根据量化的分析水平排定审计项目优先次序,依据风险确定审计范围及重点,对企业的风险管理、内部控制和治理程序进行评价,进而提出建设性的意见和建议,协助企业管理风险,实现企业价值增值的独立、客观的签证和咨询活动。风险导向内部审计是一种多维的、基于系统观、战略观的新型内部审计类型。传统内部审计主要关注合规性审查、内控的有效性、遵循性,风险导向内部审计重点关注组织的风险管理,风险能否得到适当的管理和控制。传统审计一般是事后提供控制保证,风险导向内部审计是伴随着风险管理的流程,事前、事中、事后全程覆盖。审计方法得到了新的扩充,风险导向内部审计采用了科学的统计分析方法、IT信息系统审计等技术。

三、风险管理框架与风险导向内部审计的内在联系

如何做好风险管理框架下的风险导向内部审计工作?研究风险管理框架与风险导向内部审计之间的内在联系,成为探讨风险导向内部审计模式的基础问题。组织目标的实现离不开风险管理,风险导向内部审计是风险管理框架的必要组织部分,是风险管理框架发挥作用的重要手段。风险导向内部审计的目的在于揭示组织的风险因素,通过对风险评估来提出风险管理的对策,降低和防范组织的风险,通过审计目标的实现来协助组织达到预定的目标。风险导向内部审计的审计对象是风险,风险管理框架关注组织战略层面、业务领域内存在的一切风险因素,组织的风险管理框架等同于风险导向内部审计的审计对象。风险管理框架明确了风险导向内部审计的审计范围,即风险导内部审计根据风险管理框架的管理层级、管理流程、管理程序就可以开展风险导向审计。风险管理框架下的风险导向内部审计的作用:监测和检查风险识别的充分性;监测已有风险控制措施的充分性和有效性;必要时,向管理层、风险管理委员会、董事会提出改进建议;风险导向内部审计对风险管理工作给予评价及反馈,促进了组织风险战略政策的实施,促进风险管理框架持续自我完善,提升了风险管理水平,达到防范风险、提高效益的组织目标。

四、结论

ISO31000风险管理标准下的风险导向内部审计为组织织成了一张风险防控的网,稍有风吹草动,风险的涟漪就能迅速地通过风险管理框架这张网传导至监管者,让组织由安全待机的状态切换成风险管理模式。在组织风险管理中运用ISO31000风险管理框架,可促进风险导向内部审计理论与实践持续创新,真正为组织防范风险、识别机会、提高效益、创造价值。

参考文献:

[1]安泰环球技术委员会.管理风险创造价值——深度解读ISO31000:2009标准[M].北京:人民邮电出版社,2010.

[2](英)菲尔•格里夫茨著,中国人民银行内审司编译.风险导向内部审计[M].北京:中国金融出版社,2014.

[3]严卓明.探索推进ISO31000风险管理系列标准的运用途径[J].上海质量,2014(5).

作者:侯俊 单位:昆山城市建设发展集团有限公司