同时外部监管者等利益相关方,将此次危机的爆发归咎于薄弱的风险管理,因此各国也相继尝试通过各种监管手段提高风险管理水平。美国证券交易委员会修订了其代理人信息披露原则,要求对董事会的风险监控及应对所应采取的防范措施的效果等信息予以更多的披露。美国全国董事协会发布了新的指导意见,呼吁企业提高其风险管理及风险监控水平。
2006年6月,国务院国有资产监督管理委员会发布《中央企业全面风险管理指引》,并要求企业定期报送《风险管理报告》。2008年5月、2010年4月,我国财政部会同证监会、审计署、国资委、银监会、保监会等五部委相继发布了《企业内部控制基本规范》和《企业内部控制配套指引》,要求执行企业内部控制规范体系的企业必须进行内控自我评价,披露年度自我评价报告,同时聘请会计师事务所对其财务报告内部控制的有效性进行审计,出具审计报告。政府监管部门将对相关企业执行内部控制规范体系的情况进行监督检查。可以说我国在规范企业运营、建立风险管理机制以及内部控制体系方面的法规要求日益严格。
| |||||||||||||||||||||||||||
伴随各利益相关方对风险管理及内部控制的关注,内部审计职能在此领域的优势日益显现。普华永道通过对55个国家超过2000位参与者的调查,形成《2010年内部审计行业现状调研报告》。报告显示,多数企业均意识到,内部审计职能在帮助公司应对重大挑战与风险方面具有较大优势。同时调研数据显示,尽管内审部门已经历了重大的变革,正确地设定了未来工作发展的重心及目标,然而距离高水准内审职能行业指标的实现,仍存在较大的差距。因此内部审计职能必须进行自我提升,向公司管理者提供切实可行的商业风险解决方案。
超越现状
大多数内审部门都已经意识到,要想继续维持内审行业在企业中的价值地位,单凭向公司高级管理层和董事会/审计委员会提供一般性的合规检查工作报告是远远不够的,内部审计活动必须从传统的“价值保护”向“价值增值”转型,以满足高级管理层、董事会/审计委员会的期望。
内部审计的战略目标应与企业的战略目标吻合。图1展示了通常内部审计的功能在于价值保护和价值增值两大方面。图中最底层是内部审计中作为“价值保护”的审计领域,而上三层描述了能带来增值的活动和投入,这些活动和投入能为管理层在改善企业经营状况、实现企业目标的过程中提供指引和协助。
通常,企业热衷于如何提高对重大风险进行监管的绩效,这里的风险指的是那些连最有实力的企业也无法主导的、要么成功要么失败的风险。事实上,企业领导层还必须了解那些存在风险的事件和问题、该风险可能给组织战略目标带来的负面效果以及管理和缓解这些风险所需要的能力。然而不少企业的管理层或董事会对于如何就风险进行系统性评估,缺乏实战经验以及清晰的战略性指导。当高级管理层或董事会/审计委员会,需要就公司总体风险状况、是否采取了有效的风险应对措施、流程是否获得充分保证进行自我评估,并向股东、监管机构等利益相关方进行披露或报告时,其往往期望内部审计给予保证。
因此,如果内部审计能够协助管理层建立有效的内控治理机制,专注关键风险领域已达到为企业内控制度提供全面保证,将为内部审计职能转型及价值提升带来更多机会。
协助企业建立内控治理框架
传统观念下,企业合规和控制活动通常因占用预算和消耗管理层时间而被视为一种负担,且经常被理解成“不必要支出”和“低效率行为”。然而,如果将这些内控活动成功地在日常流程中加以实施并有效运作,则可以帮助提高信息的可信度、决策正确性以及经营业绩。内部审计职能部门应该协助管理层、董事会/审计委员会建立一个更为全面、通俗易懂的风险管理框架,从而评估、解决和监控企业所面临的风险。通过运用最佳实践所总结的经验,内审应该能够协助管理层:更好地理解企业面临的风险;确保管理层实施适当的合规和控制活动框架以应对风险;协调统一组织内部的风险控制流程;协助完成向高级管理层和审计委员会提交的综合风险报告,确保高级管理层和董事会/审计委员会能够清晰、全面地监督企业风险及管理状况,并获得足够的信心,从而给予广大股东充分保证。
内部审计通常可协助企业通过以下10个步骤,建立内控治理框架,为企业内控制度提供全面保证打下基础。
(1)列明关键风险领域,提请董事会批准。内审部门应协助各级运营管理层、各职能部门分析并列明主要风险流程,汇总后报高级管理层、董事会批准;
(2)协助企业明确并记录所有风险偏好/容忍度;
(3)持续的风险管理,内部审计应协助企业采取自上而下和自下而上的策略,开展持续的风险分析和评估;
(4)风险记录,协助企业记录风险评估结果;
(5)记录不同风险领域的所有人、管理手段;
(6)基于企业价值制定战略/商业模式,根据风险评估结果并结合企业风险偏好/风险容忍度,识别对当前战略及商业模式提出挑战;
(7)预警机制(监测),协助企业建立预警监督机制,如监督关键风险指标、最大风险,与风险容忍度相关联进行评估,就关键风险事件/风险信号向高级管理层或董事会报告;
(8)部门主管对关键风险的评估,内审部门应定期协助各业务部门主管评估关键风险,如公司治理、各项评价报告的满意度(内审、自我评估、外审)、不同领域风险变化等;
(9)汇总报告,协助企业将各方面获得的报告汇总,并形成总体报告;
(10)向股东提供汇总报告。通过笔者的观察,大多数企业拥有上述框架中提到的部分环节,但很少能够拥有全部。在亚洲的经验表明,目前多数跨国企业已经不同程度地运用了持续的风险管理系统(阶段3)及相应的风险记录。但是对于列明主要风险领域及记录风险偏好(阶段1和阶段2)或者是对商业模型提出挑战(阶段6),目前在非金融行业尚未普遍运用。另外一个针对非金融服务行业的有价值的发现是他们的风险管理往往没有嵌入企业的业务构架中。内控治理评估及汇总报告(阶段8及阶段9),是董事会评价内控治理有效性的依据。
最近,三道防线理论往往被用来评估控制保证程序。最佳实践是通过设置三道防线来获得保证,包括:
第一道防线,由业务部门和管理流程组成,使责任的落实,以确保业务部们人员能够识别、负责和应对以降低风险。这道防线通常包括了内部控制体系、内部控制自我评价、控制持续监督等。这些通常被认为是管理层提供的嵌入式业务流程的保证机制。
第二道防线,由各制定风险管理政策、指引并总体监控风险的风险职能部门组成。他们也可能管理一些调查和违规行为。属于第二防线的部门可能是承担风险及合规职能的各业务部门、法律、健康与安全、企业社会责任、全球客户与贸易、道德与合规等。这些可以看做是独立于管理流程的定期保证机制。
第三道防线,由内部审计和外部审计组成。他们对控制提供独立监控、独立审计并报告。有些时候,监管部门也会定期执行独立检查。
将各道防线与关键业务流匹配,将形成风险与控制信息图(见图2)。该图能够将各业务流程、关键风险、防范措施(三道防线)有机结合并整体展示,是高级管理层、董事会/审计委员会以及内部审计分流程检查管理活动的有效工具模板。
如图2所示,左列(一)流程完全保证摘要表示需要控制的风险领域,右列(二)则表示三道防线的控制信心。在相关部门分别分析各道防线的管控状况后,该工具在总结部分单元格中列示汇总结果(如标注颜色的单元格表示控制是否运作有效或是否缺少控制)。那些存在无效控制的风险领域,则需要引起管理层以及内部审计的充分重视,制定并执行相应解决方案。当然形成综合的全面汇总的起点,是确保严格执行了内控治理框架中的每一个步骤,确保覆盖了所有的重要的风险领域。风险与控制信息图能够让人较直观的看到有哪些领域有各防线控制活动的叠加,而另外一些领域尚没有被控制活动涵盖。
通过将风险与业务流程匹配并获得控制,并将主要业务流程的风险受控程度进行汇总,就能够了解公司整体内控治理状况(见图3)。内部审计人员可据此评估现有审计计划的适当性,并在风险较高的流程开展更多工作,同时对于一些专业领域,内部审计人员可适当的引入内部或外部的专家参与以提高内审工作结果的有效性。而高级管理层、董事会/审计委员会,则可以通过内控治理框架总体工作成果,该评估企业的风险管治状况并做出相关决策的应对,以及发表对公司风险和治理的声明。
在执行整合的、三道防线式保证机制对大多数企业而言是一项挑战。因为不是由一个部门或一个人掌控所有的事情,如同前述对三道防线的阐述,由多个部门为风险和治理提供了保证,但他们的活动没有相互联系,而各部门间也往往缺乏有效沟通,由此则可能导致对某项关键风险应对措施的冗余或缺失。因此由内审部门协助高级管理层牵头负责,组织协调,将各部门有机结合起来,是最佳实践的经验总结。
当然,每个企业都应从自己的实际情况出发,认真审视企业自身的现状并评估上述的风险评价过程的频度,上述的风险与控制信息图以及其工作过程也应是一个不断根据企业实际变化更新的过程。
全面保证框架在ERP项目投资和系统实施的应用
近年来,很多企业投入大量资源人力、物力、财力实施ERP系统。一方面,ERP的实施可以很好的将企业各项资源、数据与业务流程进行整合,将企业资源进行有效规划,最大化企业收益;但另一方面,ERP项目实施过程中往往由于缺乏有效的管理措施和客观的监督检查,无法实现企业预期目标,如实施项目超期、投入资源超过预算、系统功能无法满足业务需求、存在员工对于ERP应用表示无法接受、ERP未能实现预期效益等问题。
某知名企业CEO就曾撰文写到“有媒体报道,实施ERP的中国企业成功率只有7%。企业是水,把ERP当成油放在上面,两者永远融合不了,其原因是企业没有做流程再造。更重要的是,企业做好内部流程才能适应信息化时代的变化” 。
因此在IT领域方面,企业怎样获得客观的内控制度全面保证以确保企业在ERP项目投资和系统实施的利益最大化是值得关注的。所以在形成风险与控制信息图后,企业管理层应识别出现状的差距,并根据三道防线确定其企业所需获得的内部及外部风险保障程度。根据笔者的经验,在ERP项目实施的全过程中,如用户需求分析、系统开发、数据迁移、安全配置、上线测试等各阶段均存在关键风险,一旦缺乏必要管控措施,就可能造成企业的损失。
根据许多国际先进企业成功实施ERP的经验,我们发现ERP的上线实施过程实际上是对原有的业务流程的一次变革。不幸的是,从上面的报道结果可以看出,只有很少一部分企业从ERP的实施使用过程中受益。ERP系统的投资通常都不是一个小数目,但不少公司在投资了许多资金上线ERP系统后仍保留了大量的原有的手工流程,甚至仍在使用在ERP之外的财务系统。此外在ERP的开发实施过程中缺乏必要的监控管理,也将最终对于ERP的数据转换、流程一致性等与预期造成一定的差距。更遗憾的是,企业未能有效地把ERP的投资利益最大化。
内部审计可以协助管理层就ERP项目投资和系统实施提供全面保证,首先需要将项目实施各环节及关键风险、风险负责部门清晰列示。例如ERP项目由IT部门和业务部门负责,项目团队需要制定详尽的实施计划,就各阶段关键里程碑、风险因素进行分析,并制定保障计划。在系统开发过程中,需执行测试并保留相关文档。可以说,IT实施团队有责任建立防范风险的第一道防线。在一些比较大规模的企业,风险部门往往作为第二道防线,即在系统实施全过程进行监督,对重要节点,如系统蓝图批准、重要的系统控制功能变化、系统上线计划等,均需要风险管理部门的正式批准。这种实践模式的优势在于,对项目监督检查的前置性,以及对ERP系统的控制要求能够被较好地考虑并配置,确保未来系统上线后对风险的有效管控。内部审计通常作为第三道防线,通常需要引入独立客观的第三方进行协助来定期执行检查,就项目阶段目标、预算执行情况、项目管理和实施后的评价等方面进行监督评价,并向高级管理层和治理机构汇报。
内审人员可以利用内控治理框架的工具分析和识别关键风险,以及该风险管控措施的适当性,定期形成汇总报告向管理层汇报,以达到为企业内控制度提供全面保证的目的。管理层则可以在内审的协助下,有效监督管理相关风险,制定管理决策。
笔者希望内控治理框架能够帮助内部审计在企业风险管理及内部控制领域发挥更大作用。无论是作为业务咨询角色协助管理层完善管控及治理流程,还是满足监管机构对风险和内控的要求作为监督角色开展独立测试评估,并向管理层、董事会/审计委员会报告,内审将对战略、运营风险等关键风险持续关注,拓展服务范围,在为企业提供增值服务的同时不断增加自身价值,提升绩效。
(作者为普华永道风险管理与内部控制服务合伙人)
(来源:首席财务官)
京公网安备 110105001605号