内部审计与风险管理联袂机制研究

2022-07-20 14:00陈都
中国内部审计 2022年7期
关键词:内部审计风险管理

陈都

[摘要]内部审计作为组织风险防控常态化的一项重要制度设计,如何通过与风险管理的联袂发展实现价值增值是新时代赋予内部审计的新任务。本文基于国企深化改革的时代背景和当前面临的不确定性挑战,阐述内部审计与风险管理的内涵及联系,并基于对两者关系的分析,引入DSR模型构建内部审计与风险管理联袂机理,研究二者联袂机制,提高组织风险防控能力。

[关键词]内部审计   风险管理   联袂机制   DSR模型

一、引言

当今世界正经历百年未有之大变局,我国经济发展面临的各种难以预见的风险因素明显增多,防范化解重大风险被列入黨的十九大报告“三大攻坚战”之首。《中共中央关于坚持和完善中国特色社会主义制度、推进国家治理体系和治理能力现代化若干重大问题的决定》强调增强国有经济竞争力、创新力、控制力、影响力、抗风险能力,做强做优做大国有资本。国有企业作为国民经济的支柱,在深化改革中必须增强风险意识,注重防范化解重大风险,统筹发展和安全,助力新时代中国特色社会主义事业行稳致远。

防范化解重大风险重要论述的提出无疑使全面风险管理的发展迈向新台阶,但实务工作中却面临重重挑战。现阶段风险管理人才数量短缺,人员配备与监管要求存在一定差距,且缺乏相关风险知识经验的积累;企业对风险管理所带来的收益认识不够全面,风险管理还未渗透到企业内部各组织职能部门。笔者在实践中也常常遇到各类人员关于风险管理“是什么”“为什么”“怎么做”“怎么用”的诸多困惑,全面风险管理的发展任重道远。

在审计监督全覆盖的大背景下,内部审计工作不断向纵深推进,在审计的广度、深度、工作流程、成果运用等方面均取得了一定成绩。对一个组织而言,内部审计在防范风险和促进组织实现发展目标方面具有独特而重要的作用,能为组织可持续发展提供有力保障。在新时代背景下,内部审计如何在风险管理中发挥作用,增加组织价值,如何结合风险管理实现现代风险导向审计的提质增效是审计人应当进一步思考与探讨的课题。

本文在充分分析内部审计与风险管理耦合发展的基础上,基于DSR模型的内在逻辑构建二者联袂机理,并根据实践中存在的问题创建二者联袂机制,促进提高组织风险防控能力。

二、文献综述

(一)内部审计与风险管理的内涵发展

内部审计历经几个世纪的发展,其概念也在不断革新。上世纪末,IIA(国际内部审计师协会)对内部审计定义进行修订,将内部审计的范畴延伸至风险管理。审计署先后于2003年及2018年对内部审计工作规定进行修订,将风险管理的内容纳入内部审计的定义中,这体现了内部审计在促进组织内部风险防控方面的重要作用。风险管理是内部审计发挥增值作用的重要途径之一(郑石桥等,2017),风险管理充实了内部审计的内涵,内部审计通过扩大审计范围,拓展审计领域,积极适应新形势新常态,不断实现自身的进化与发展。

全美反舞弊性财务报告委员会发起组织COSO委员会(Committee of Sponsoring Organizations of the Treadway Commission)在其发布的全面风险管理(ERM)框架中表示,全面风险管理以价值为导向,是组织目标确立过程中承担增值使命的新型风险管理体系和手段。内部审计可以从全局出发,通过自身专业优势对企业风险管理进行检查、评价和报告,并提出建设性意见和建议,帮助管理层履行职责,更好地实现企业目标,从这个角度看,内部审计是风险管理系统不可或缺的部分。

(二)内部审计与风险管理的交融关系研究

众多文献对内部审计与风险管理的关系进行了研究,二者关系十分密切。孙文刚和孙赛军(2016)分析了内部审计与风险管理二者发展的历程,认为二者在互相推动中耦合,内部审计促进了风险管理不断完善,风险管理推动了内部审计的演进。国际四大会计师事务所之一的普华永道曾在一项调查报告中表明,风险管理流程审计将成为内部审计未来的三大职责之一。王兵等(2013)的研究表达了相似的观点,认为内部审计是风险管理必不可少的工具。侯丽茹(2014)指出内部审计参与风险管理对改进公司治理意义重大,二者相融合对于组织价值提升大有裨益,亦是未来发展的必然趋势。

(三)内部审计与风险管理联袂的必要性及可行性研究

刘力(2016)基于风险管理流程,指出内部审计有助于风险管理识别、评估及控制应对等环节的不断改进和完善。张艳和周永钊(2022)以大数据审计在Z公司内部审计中的应用为例进行研究,认为随着现代信息技术的发展,内部审计工作内涵和重心都发生了显著变化,从第三方事后信息鉴证和内部控制向全面风险管理转变。王海兵等(2022)认为,防范风险与创造价值是新发展阶段内部审计的根本定位与使命。

综上所述,众多学者以内部审计和风险管理进行大量的研究,并普遍认为风险管理是内部审计的重点关注方向,内部审计对风险管理起到良好作用。

三、内部审计与风险管理的联袂关系分析

(一)内部审计与风险管理具有目标一致性

内部审计的最终目的是通过专业的知识、系统的方法,结合组织目标,以咨询建议、书面报告等形式产出,增加组织价值并提高运营效率,帮助机构实现组织目标。而风险管理是通过风险识别、分析、评估、应对等流程,为组织目标实现提供合理保证的过程。基于上文对二者的具体阐述,可以发现内部审计与风险管理你中有我、我中有你、相互依存、联动发展的紧密关系,他们的主要目的都是改善管理,强化治理,实现组织的最终目标。

(二)内部审计在风险管理中的角色定位

1.建议者。当企业尚未构建风险管理体系时,内部审计通常能在工作中发现并识别企业管理过程中潜藏的风险,通过向企业管理者提出专业意见,向相关人员倡导风险理念,提议建立风险管理过程,或是提醒企业所面临的风险对于实现组织目标的影响以及采取相应控制措施的必要性,帮助企业管理层将日常经营与风险管理更好地结合。

2.咨询者。在风险管理建设初期,内部审计可以发挥对组织了解熟悉的优势及往期的审计成果为风险管理体系搭建、风险管理流程建设等提供建议。通过咨询的方式,协助组织初步建立风险管理过程,如协调风险管理活动、指导管理层应对风险、支持企业风险管理建设等,并发表专业意见,不断完善公司风险管理体系。内部审计以咨询顾问的角色帮助企业改善风险管理过程,协助管理层找到风险管理的最佳实践。

3.监督者。根据COSO《企业风险管理框架》(2017版),内部审计在风险管理监控中具有重要地位,具体通过对风险管理过程的充分性和有效性进行监控、检查评估、报告和建议实现。IIA(国际内部审计师协会)所发表的《内部审计在企业全面风险管理中的角色》意见书中明确内部审计通过确认风险管理过程的有效性确保关键运营风险得到恰当管理,其作为监控活动存在于风险管理框架中。

4.宣传者。在风险管理的全过程,内部审计都应积极担任风险管理的宣传者。由于二者目标具有一致性,内部审计通过将风险意识和底线思维推广至组织各个层级,宣传风险管理知识和技能,有助于实现风险的全员管理,也有助于开展风险导向型内部审计工作,进一步提升工作效率和效果。

内部审计在风险管理中的角色定位如图1所示。

(三)内部审计在企业风险管理流程中的作用

风险管理流程通常包含五个基本步骤:风险识别、风险评估、风险应对、实施与评估、沟通与反馈。内部审计可根据企业风险管理偏好,明确企业的风险容量,关注超出风险容量的风险,并确认企业风险识别的完整性,就其中的疏漏环节提出建议,帮助企业发现未识别的潜在风险;风险评估是风险管理的重要环节,内部审计应保证企业所采用的风险评估手段严格遵守了风险管理制度,遵循相应的操作流程并采取了适当的技术及方法,以对识别出的风险进行准确评估并执行恰当的应对措施;将风险控制融入日常的业务流程可有效应对大多数风险,通过合理的规划和限制可有效降低风险发生的可能性,内部审计人员在日常工作中可对这些控制活动的适当性进行评估,对于一些长期存在的风险,内部审计可利用自身相对独立的地位对企业长期规划和风险策略提出建议,参与企业短期计划的动态调节,有效指引和控制企业风险管理措施;企业内外部环境的变化需要对风险策略进行相应调整,企业应当定期检查和评估风险控制活动,内部审计人员应积极发挥咨询作用,协助企业找到科学有效的方法应对不断变化的风险;内部审计应确保与风险相关的信息沟通渠道畅通高效,确保企业领导者能及时充分地获知风险信息并与之就其展开交流与沟通。

(四)风险管理对内部审计的影响

从企业风险管理视角,内部审计的工作方式、方法和重点也随之变化,逐渐由传统的制度型导向审计转变为风险导向审计。第一,在企业审计计划的编制工作阶段,更关注有效的风险管理机制和健全的组织治理结构,着重考虑可能影响企业的重大风险,科学评估并将其纳入内部审计计划。第二,在开展审计方案编制工作时,要基于风险因素,掌握企业审计业务重点,在具体审计工作中,使用检查、访谈、再執行、鱼刺图、德尔斐法等技术方法分析、确认、揭示关键性管理控制风险,找寻薄弱环节。第三,在开展审计报告编制工作时,针对实际漏洞,对企业的风险管理状况进行评价,并提出审计意见和建议,强化管理效果。

四、基于DSR模型的内部审计与风险管理联袂机理

(一)DSR模型及其运用思路

DSR模型,全称Driving(驱动力)-State(状态)-Response(响应)模型,由PSR模型,即Pressure(压力)-State(状态)-Response(响应)模型发展演变而来,将PSR中的压力负面因素进一步改进为包含正面因素的驱动力。DSR模型是常用于研究人类与生态环境相互关系的框架体系,其应用机理在于能够检测驱动力、状态和响应因子系统之间的连续回馈机制。受到人类经济社会活动驱动力(D)的影响,自然资源与生态环境呈现某种状态(S),为修复或发展环境人类社会将采取哪些措施响应(R),其所蕴含的因果律帮助探索人类活动与环境影响之间的因果链,适用领域已不局限于自然生态范畴,逐渐为经济社会等学科使用。在DSR模型的构建思想下,弱化负面压力或是强化正面驱动力(D)影响,同时加大响应(R)力度,则可有效改善现有状态(S),促进持续健康发展。

(二)基于DSR模型的内部审计与风险管理联袂机理

全面风险管理是一个逐步推进的动态过程,受传统经济社会活动、管理水平、意识观念等驱动力影响,风险管理多呈现意识薄弱、知识储备不足、技术手段落后、缺乏成果等状态,企业的风险管理现状不容乐观。而企业风险事件频发易对正常生产经营活动产生影响,进而产生新的以深化改革和强化风险管理为驱动力的内生要求,如何有效应对企业当前状态与理想目标间存在的差距值得思考。

基于前述内部审计与风险管理相互补充、联动发展的关系,在DSR模型的因果分析思路下,寻求风险管理与内部审计联袂发展,从文化培育、组织体系搭建、流程机制等方面进行响应,从内部审计视角探索建立健全风险管理体系不失为一条有效途径。

内部审计力量的加入有助于加速风险管理体系建设,改善风险管理现状,风险管控体系的完善同时也推动内部审计的发展,一系列积极的响应形成一个有机的动态循环,最终达到深化国有企业改革、强化风险防控、助力企业实现价值增值的目的。

内部审计与风险管理联袂的DSR模型如图2所示。

五、内部审计与风险管理联袂机制构建

(一)文化认同机制

风险无处不在,企业应牢固树立风险意识,将风险管理贯穿企业发展始终。内部审计可通过报告、案例分享、结果通报等形式对风险标准、风险分类、风险控制行为、风险责任等风险管理要素向管理层和员工进行宣介,强调风险管理的重要性,充分利用自身优势加强全面风险管理理念传导工作。企业各级管理层需深刻理解并准确把握总体安全观,充分考虑企业经营过程中所面临的各种不确定性,把风险作为重要决策变量,持续推动组织风险管理体系的建立与完善。同时,也应积极引导全员对风险文化理念的认同,使风险意识不局限于审计和风控部门,而是突破部门间界限,实现自上而下的全方位风险文化氛围。风险并不代表损失,而是蕴含着机会和更多的可能性,内部审计所传导的文化不是一味规避风险,而是如何获知并应对风险。

(二)流程互助机制

内部审计可通过对风险管理全过程的适当性、有效性进行检查、评价、报告,提出优化和改进意见,促进全面风险管理水平的不断提升。内部审计人员应当结合企业所处的内外部环境和战略目标,评价组织风险容忍度的合理性,以确保组织在偏好范围内开展经营活动。通过利用各种支持性技术检查和评价风险识别、评估过程的适当性,确认流程是否与内外部不断变化的诸多因素相匹配,帮助企业发现更多的潜在风险,提升评估结果的准确性。同时,内部审计还应对风险应对策略的适用性和匹配性进行评估,保证风险控制措施能够达到预期效果,内部审计人员可积极发挥自身的咨询作用,协助管理人员寻找应对风险的最佳途径,协助组织创新应对风险的新方法。

风险管理也是内部审计计划评估过程的组成部分,通过对风险进行有效评估,内部审计确定工作重点,将审计工作重心集中在可能影响组织目标实现的高风险领域。在制订年度审计计划阶段,可根据风险评估结果确定项目的优先次序;在审计实施阶段,进一步查找分析对组织目标产生影响的风险;在审计报告阶段,以风险评估为基础提出审计发现和建议。

(三)信息系统保障机制

信息系统建设和应用是当前信息数据爆炸时代支撑管理的重要手段,建立风险信息系统,从海量的内外部交易交互数据中,通过业财数据联动、行业对比、设置模型等采集处理分析数据,提取数据价值,实现风险的识别、评估、预警,形成全面风险事件库,提高风险信息采集和利用效率。内部审计在风险信息系统基础上进行工作,一方面可对企业风险情况进行监控预警,对企业风险管理的整个流程进行评估,提出审计建议;另一方面可通过运用系统扩大审计边界,优化审计方法,聚焦重点难点。一是基于风险信息,全面科学地统筹管理、合理安排审计计划,集中审计力量于高风险区域,优化资源配置。二是优化审计方式,由传统的翻账簿、手动计算、驻扎一线等模式转向信息系统自动化生成计算、链接关联数据,通过线上梳理和分析,借助网络环境加强信息探讨和传递,通过远程审计辅助现场工作,提升内部审计效率。三是树立大数据风控意识,提升审计人员执业能力。风险意识是新时代增值型内部审计人员所必须具备的基本意识,对大数据的风险管控职能将超越财务管理,要求审计人员具备计算机、金融、法律等方面知识,优化整体知识结构,拓展专业边界,打造多元化审计队伍,提升内部审计主体能力,促进内部审计的增值作用。

(四)责任追究联动机制

近年来,企业各类违规风险事件频发,需要进一步推动风险责任追究与审计问责机制联合,强化监督管控,加大对责任人员的查处力度。内部审计通过推动相关部门补充完善相关制度,对问责程序进行调整完善,明确应贯彻的原则、责任认定部门、问责具体程序、与其他条线的对接等,加大对未能及时应对和处置风险造成直接损失的各级领导人员责任追究力度,与薪酬制度和人事制度相结合,防止盲目扩张、片面追求业绩、忽视风险等行为的发生。通过追责对风险责任人员形成震慑,强化行为约束,补齐风险管控的短板,严守风险底线。

(作者单位:广西盐业集团有限公司,邮政编码:530022,电子邮箱:chendugx@163.com)

主要参考文献

[1] 刘力.内部审计在企业风险管理中的作用[J].中国内部审计, 2016(8):38-39

[2] 孙文刚,孙赛军.风险管理视角下内部审计的作用及实现路径研究[J].山东财经大学学报, 2016(2):65-71

[3] 王兵,劉力云,张立民.中国内部审计近 30 年发展:历程回顾与启示[J].会计研究, 2013(10):83-88+97

[4] 王海兵,周,贺妮馨,等.基于平衡计分卡的上市公司内部审计指数构建研究[J].重庆理工大学学报(社会科学), 2022(3):142-150

[5] 张艳,周永钊.大数据审计在Z公司内部审计中的应用与探讨[J].中国内部审计, 2022(3):35-40

[6] 郑石桥,李娴娴.增值型内部审计:理论框架和例证分析[J].会计之友, 2017(5):131-137

猜你喜欢
内部审计风险管理
住房公积金风险管理信息化审计探讨
风险管理在心内科中的应用效果观察
护理风险管理在急诊科护理管理中的应用
养老保险精算的分析与风险管理的研究
养老保险精算的分析与风险管理的研究
浅析SAP系统在石化企业内部审计中的运用
新常态下集团公司内部审计工作研究
图书馆内部控制建设的深度思考