CFO实战:提升内部审计战略地位
多数企业均意识到,内部审计职能在帮助公司应对重大挑战与风险方面具有较大优势。(8)部门主管对关键风险的评估,内审部门应定期协助各业务部门主管评估关键风险,如公司治理、各项评价报告的满意度(内审、自我评估、外审)、不同领域风险变化等;
2010年伊始,全球经济正逐步走出金融危机的低谷,整体呈上升态势,但未来宏观经济环境仍蕴藏着较多不确定因素。当前中国经济面临着结构调整、产业升级、转变经济增长方式、实现科学和可持续发展等诸多课题。在经历了2008~2009年的经济金融危机后,大多数企业管理者都认识到,无论企业本身多么强大,当那些至关重要的风险一旦出现时,企业能否有效应对,将最终决定一个企业的成败。
同时外部监管者等利益相关方,将此次危机的爆发归咎于薄弱的风险管理,因此各国也相继尝试通过各种监管手段提高风险管理水平。美国证券交易委员会修订了其代理人信息披露原则,要求对董事会的风险监控及应对所应采取的防范措施的效果等信息予以更多的披露。美国全国董事协会发布了新的指导意见,呼吁企业提高其风险管理及风险监控水平。
2006年6月,国务院国有资产监督管理委员会发布《中央企业全面风险管理指引》,并要求企业定期报送《风险管理报告》。2008年5月、2010年4月,我国财政部会同证监会、审计署、国资委、银监会、保监会等五部委相继发布了《企业内部控制基本规范》和《企业内部控制配套指引》,要求执行企业内部控制规范体系的企业必须进行内控自我评价,披露年度自我评价报告,同时聘请会计师事务所对其财务报告内部控制的有效性进行审计,出具审计报告。政府监管部门将对相关企业执行内部控制规范体系的情况进行监督检查。可以说我国在规范企业运营、建立风险管理机制以及内部控制体系方面的法规要求日益严格。
伴随各利益相关方对风险管理及内部控制的关注,内部审计职能在此领域的优势日益显现。普华永道通过对55个国家超过2000位参与者的调查,形成《2010年内部审计行业现状调研报告》。报告显示,多数企业均意识到,内部审计职能在帮助公司应对重大挑战与风险方面具有较大优势。同时调研数据显示,尽管内审部门已经历了重大的变革,正确地设定了未来工作发展的重心及目标,然而距离高水准内审职能行业指标的实现,仍存在较大的差距。因此内部审计职能必须进行自我提升,向公司管理者提供切实可行的商业风险解决方案。
超越现状
大多数内审部门都已经意识到,要想继续维持内审行业在企业中的价值地位,单凭向公司高级管理层和董事会/审计委员会提供一般性的合规检查工作报告是远远不够的,内部审计活动必须从传统的“价值保护”向“价值增值”转型,以满足高级管理层、董事会/审计委员会的期望。
内部审计的战略目标应与企业的战略目标吻合。图1展示了通常内部审计的功能在于价值保护和价值增值两大方面。图中最底层是内部审计中作为“价值保护”的审计领域,而上三层描述了能带来增值的活动和投入,这些活动和投入能为管理层在改善企业经营状况、实现企业目标的过程中提供指引和协助。
通常,企业热衷于如何提高对重大风险进行监管的绩效,这里的风险指的是那些连最有实力的企业也无法主导的、要么成功要么失败的风险。事实上,企业领导层还必须了解那些存在风险的事件和问题、该风险可能给组织战略目标带来的负面效果以及管理和缓解这些风险所需要的能力。然而不少企业的管理层或董事会对于如何就风险进行系统性评估,缺乏实战经验以及清晰的战略性指导。当高级管理层或董事会/审计委员会,需要就公司总体风险状况、是否采取了有效的风险应对措施、流程是否获得充分保证进行自我评估,并向股东、监管机构等利益相关方进行披露或报告时,其往往期望内部审计给予保证。
因此,如果内部审计能够协助管理层建立有效的内控治理机制,专注关键风险领域已达到为企业内控制度提供全面保证,将为内部审计职能转型及价值提升带来更多机会。
协助企业建立内控治理框架
传统观念下,企业合规和控制活动通常因占用预算和消耗管理层时间而被视为一种负担,且经常被理解成“不必要支出”和“低效率行为”。然而,如果将这些内控活动成功地在日常流程中加以实施并有效运作,则可以帮助提高信息的可信度、决策正确性以及经营业绩。内部审计职能部门应该协助管理层、董事会/审计委员会建立一个更为全面、通俗易懂的风险管理框架,从而评估、解决和监控企业所面临的风险。通过运用最佳实践所总结的经验,内审应该能够协助管理层:更好地理解企业面临的风险;确保管理层实施适当的合规和控制活动框架以应对风险;协调统一组织内部的风险控制流程;协助完成向高级管理层和审计委员会提交的综合风险报告,确保高级管理层和董事会/审计委员会能够清晰、全面地监督企业风险及管理状况,并获得足够的信心,从而给予广大股东充分保证。
内部审计通常可协助企业通过以下10个步骤,建立内控治理框架,为企业内控制度提供全面保证打下基础。
(1)列明关键风险领域,提请董事会批准。内审部门应协助各级运营管理层、各职能部门分析并列明主要风险流程,汇总后报高级管理层、董事会批准;
(2)协助企业明确并记录所有风险偏好/容忍度;
(3)持续的风险管理,内部审计应协助企业采取自上而下和自下而上的策略,开展持续的风险分析和评估;
(4)风险记录,协助企业记录风险评估结果;
(5)记录不同风险领域的所有人、管理手段;
(6)基于企业价值制定战略/商业模式,根据风险评估结果并结合企业风险偏好/风险容忍度,识别对当前战略及商业模式提出挑战;
(7)预警机制(监测),协助企业建立预警监督机制,如监督关键风险指标、最大风险,与风险容忍度相关联进行评估,就关键风险事件/风险信号向高级管理层或董事会报告;
(8)部门主管对关键风险的评估,内审部门应定期协助各业务部门主管评估关键风险,如公司治理、各项评价报告的满意度(内审、自我评估、外审)、不同领域风险变化等;
(9)汇总报告,协助企业将各方面获得的报告汇总,并形成总体报告;
(10)向股东提供汇总报告。