风险是我们人类生存的环境特征,始终伴随并影响着我们人类的一切活动。纵观历史变迁,人类社会所有的损失、灾难、问题都源于风险,一切又基于风险管理的不利。企业的发展更是与风险及风险管理息息相关,如影随行。
在国资委《关于2012年中央企业开展全面风险管理工作有关事项的通知》中确立的13项世界一流企业具备的共性要素中,风险管理亦是世界一流企业的重要要素之一,也是衡量世界一流企业能否持续发展的核心要素。中石化集团公司“十二五”提出了“创建世界一流能源化工公司”战略目标,进一步做强做优中国石化,倾力打造从国内一流到世界一流,且具有较强国际竞争力的能源化工公司,并将实现全面风险管理和防范风险放在了企业发展核心竞争力的重要位置。
源于此,本人就内部审计在风险管理中的价值取向谈一些肤浅的认识。
一、风险与风险管理的认识
风险就是“不确定性对目标的影响”——Effect
ofuncertaintyonobjectives(ISO31000&Guide
73),准确地表达了三个要素:即风险、不确定性及二者之间关系。
风险管理也即是对风险的控制和影响的评估。IIA《内部审计实务标准》认为:企业风险管理就是组织内部管理层采取一定的措施,对风险进行监测评估,使风险降低到可以接受的程度,并将其控制在某一可以接受的水平上。就是通过企业内外部环境信息的全面释疑和明确后,制定有效的、系统性的风险管理框架和标准,并对标准在各个环节进行认真的实施和执行的管理。针对风险管理流程和关键节点存在的风险进行风险识别、风险分析和风险评价的风险评估,并根据风险评估作出应对风险的策略等开展连续的、动态的和高效的风险管控机制再监督和再管理,从而提升企业防范风险的免疫系统体质,实现企业的整体目标。
二、风险管理与内部审计关系与角色定位
就管理而言,一方面,内部审计是企业风险管理的重要组成部分;另一方面,内部审计也是企业风险管理的再监督和再管理。首先,企业风险管理贯穿企业全业务流程,需要各部门参与,内部审计部门作为企业的管理职能部门之一,应在风险管理中发挥重要监督与服务作用。其次,随着经济发展,内部审计将“评价并改善风险管理、控制和治理过程的效果”作为自己的重要职责,使企业内部审计与全面风险管理融为一体,并成为企业全面风险管理体系的关键环节。同时,内部审计全面参与公司治理与风险管理,除了关注传统的内部控制之外,更加关注有效的风险管理机制和健全的公司治理结构,即通过对风险管理的审计,促进企业的风险管理,提升其管理的“免疫力”。
国资委2006年下发的《中央企业全面风险管理指引》的通知中,就中央企业实现全面风险管理工作的具体要求,对风险管理组织体系进行了明确职责分工。其中要求内部审计部门要切实履行风险管理的监督职能,并根据实际提交企业风险管理评价审计综合报告。在《通知》中的第五十条 企业应在董事会下设立审计委员会,企业内部审计部门对审计委员会负责。审计委员会和内部审计部门的职责应符合《中央企业内部审计管理暂行办法》(国资委令第8号)的有关规定。内部审计部门在风险管理方面,主要负责研究提出全面风险管理监督评价体系,制定监督评价相关制度,开展监督与评价,出具监督评价审计报告。进一步明确了内部审计参与风险管理内部角色与定位就是监督、评价、促进和帮助。
三、风险管理审计的价值取向
内部审计参与风险管理既是审计监督与服务职责的需要,也是企业防范和规避风险,实现可持续发展的需要。其价值取向主要表现在四个方面。
(一)为企业决策层提供可以借鉴的、独立判断的依据。
按照国资委《中央企业全面风险管理指引》以及《关于2012年中央企业开展全面风险管理工作有关事项的通知》中要求,内部审计部门充分运用科学的组织形式和合理的审计方法(风险坐标法、蒙特卡罗法、关键风险指标管理和压力测试等),以企业经营管理环境和发展目标为基础,以内部控制制度为引导,以风险及风险管理为导向,对企业内部经营决策、战略目标、内控体系、信用风险、资产风险、投资风险、市场风险、法律风险、廉政风险、监控预警等进行全面而科学的审计评价和监督,检查是否建立健全“企业体检”制度,特别是企业“三重一大”、高风险业务、重大改革以及海外投资并购等重要事项应建立专项风险评估制度,监督和促进企业在风险管理中对风险量化分析与改进工作,特别对重大风险关键成因量化分析水