三、基于内部审计的企业风险管理
(一)改善风险管理的内部审计工作程序内部审计应以重大风险、重大事件和重大决策、重要管理及业务流程为重点,对风险管理初始信息、风险评估、风险管理策略、关键控制活动及风险管理解决方案的实施情况进行监督,采用压力测试、返回测试、穿行测试以及风险控制自我评估等方法对风险管理的有效性进行检验,根据变化情况和存在的缺陷及时加以改进。具体来说,内部审计能够利用以下工作程序改善企业风险管理:一是检查与评价。内部审计可以对企业风险管理体系的充分性和有效性进行评估,主要包括:评价企业战略目标的制定是否在分析组织及行业的发展情况和趋势、企业的优势和劣势、外部的机会和威胁的基础上结合企业自身风险偏好来制订;与相关管理层讨论部门目标,评估分解到各部门的具体目标是否与企业整体战略目标一致并拥有足够的支持;评价管理层对风险的识别与评估是否适当;分析风险控制措施是否足以使风险失控的可能性和影响在企业风险容忍度之内;评估风险监控程序是否得到持续、有效执行,监控报告及风险管理报告是否充分、及时。二是管理与协调。内部审计经过长期发展已成为一种专门职业。在企业组织架构中,内部审计具有相对独立性,能够以客观开放的视角清醒地识别和评价风险,并提出防范风险的有效建议;内部审计凭借对企业全面深入的了解以及能够影响决策层的特殊地位,积极参与企业风险体系建设,对风险控制各要素进行组织、管理和协调,推动各个部门乃至整个企业不断提高风险管理的效率和效果。三是顾问与咨询。内部审计人员以咨询顾问身份协助企业确定、评价并实施针对风险进行管理的方法和控制措施:内部审计对组织的了解以及对风险的洞察,具备他人无法企及的优势,能够以建议或咨询的形式,积极协助企业建设风险管理体系或使风险管理体系的建立成为可能;内部审计在改善企业风险管理流程的效果和效率方面,能够集合企业内外资源,高效地协助管理层或审计委员会进行检查、评价并提出建议;内部审计能够运用专业知识进行风险评估与控制培训,使风险意识贯穿于企业各层面,逐步形成全员、全过程、全方位、全天候的风险管理;内部审计所处地位有助其对企业整体风险进行深入研究,并利用现代技术开发适合本企业的风险识别、评估工具和控制方法。四是报告与防范。内部审计能够在风险控制和改进组织风险管理成效方面发挥关键作用。内部审计通过适时与相关部门就风险管理事项进行沟通,检查、评价并报告风险管理过程的充分性和有效性,并按清晰传递的线路对发现的重大风险进行报告,对整改情况进行后续审计,使风险及时得到有效控制和防范。此外,内部审计在运用技术手段评估风险控制程序的充分性和有效性的同时,能够利用自身优势推动风险管理意识成为企业文化的一部分,从而为企业风险防范构筑意识形态上的屏障。
(二)改善风险管理的内部审计评价报告风险管理效果评价是分析、比较已实施的风险管理方法的结果与预期目标的偏离程度,以此来评判风险管理方案的科学性、适应性和收益性。由于风险性质的可变性、人们对风险认识的阶段性以及风险管理技术处于不断完善之中,因此,需要对风险的识别、估测、评价及管理方法进行定期检查、修正,以保证风险管理方法适应变化了的新情况。所以,可将风险管理视为一个周而复始的管理过程。风险管理效益的大小取决于是否能以最小风险成本取得最大安全保障,同时还要考虑与整体管理目标是否一致以及具体实施的可能性、可操作性和有效性。企业内部审计机构对企业全面风险管理工作进行评价,出具风险管理评估和建议专项报告。内部审计可以通过对以下方面的实施情况和存在缺陷进行评价并提出改善风险管理的评价报告:风险管理基本流程与风险管理策略;企业重大风险、重大事件和重要管理及业务流程的风险管理及内部控制系统的建设;风险管理组织体系与信息系统;全面风险管理总体目标。
(三)改善风险管理的内部审计方法与手段由于风险管理涉及企业各个部门和各个环节,仅靠董事会及有关委员会、最高管理层和风险管理、内部审计等职能部门,难以实现对整个企业面临的所有风险进行有效管理,因而还必须组织企业内部各级管理层及每个员工协同进行。在此过程中,内部审计人员通过向有关方面反映风险管理的有效做法和负偏差,提出纠正与预防负偏差、激励与推动优良行为等改进风险管理的建议,可以对有关方面开展风险管理起到一定指引作用。内部审计可以采用以下方法改善风险管理:一是进行风险预测和识别。风险的预测和识别是指对企业所面临的以及潜在的风险加以判断、归类和鉴定风险性质的过程,以确定企业正在或将要面临哪些风险。内部审计要对企业所面临的主要风险进行预测和识别,并找出未被识别的风险。采用的方法包括决策分析、可行性分析、因果分析和专家调查法等。二是对已经存在和将要发生的风险进行评估。企业的内部审计人员应用各种管理科学技术,采用定性和定量分析相结合的方式,预测风险的大小,找出主要的风险源,合理的评价风险可能产生的影响,以此为依据提出对风险采取的相应对策。常用的风险评估方法主要有:调查和专家打分法、风险报酬法及解析方法等。三是提出改进和防范风险的措施。风险的防范措施是指企业为降低已识别出的风险可能造成的损失所采取的措施。内部审计可以根据不同的情况,提出避免风险、接受风险、还是降低风险的具体措施和建议,以强化企业的风险管理,降低风险损失,并对有关部门所采取的风险防范措施进行监督和检查。采用改进和防范的措施主要有:避免风险、损失控制、分离风险单位、转移风险(包括转移风险源、签订免除责任协议、利用合同中的转移责任条款)和投保等。四是压力测试。压力测试是指在极端情形下,分析评估风险管理模型或内部控制流程的有效性,发现问题,并制定改进措施的方法,目的是防止出现重大损失事件。其具体操作步骤如下:针对某一风险管理模型或内部控制流程,假设可能会发生哪些极端情形。极端情形是指在非正常情况下,发生概率很小,且一旦发生,后果十分严重的事件。假设极端情形时,不仅要考虑本企业或与本企业类似的其他企业出现过的历史教训,还要考虑历史上不曾出现,但将来可能会出现的事件;评估极端情形发生时,该风险管理模型或内部控制流程是否有效,并分析对目标可能造成的损失;制定相应措施,进一步修改和完善风险管理模型或内部控制流程。内部审计还可以通过与外部咨询机构合作以补充内部审计技能的不足;为了对企业所面临的各种风险作出反映,优化内部审计人员组合,吸收市场专家、计算机专家、管理顾问、工程师等多种专业人才加入内部审计队伍;通过网络沟通信息、调阅资料;内部审计人员与各经营单位的负责人建立一对一的合作伙伴关系;内部审计部门为下属经营单位指派“教练”,由经营单位负起全面的风险管理责任,而内部审计部门则扮演平等的顾问角色,其作用主要在于指导和影响;内部审计与风险管理部门合署办公,以促进企业风险管理的不断改进;内部审计人员事前积极参与重大决策的风险评估过程,以便在业务开展前识别风险并提出解决方案。
