会员登录
会员注册编者按:针对读者提出的涉及管理方面的问题,本刊编辑部邀请专家予以解答。读者也可以在本刊的网站 www.fortunechina.com 上获取本栏目的内容。如有建议或有意参与,请通过liquanwei@cci.com.hk与本栏目编辑联系。本期回答问题的专家是德勤企业风险管理服务华北区合伙人翁国樟。翁先生拥有超过20年的企业内部审计、内部控制及风险管理方面的专业服务经验,专长于为中国国内和跨国企业提供量身定做的内部审计、内部控制及风险管理咨询服务。
作者: 《财富》(中文版)
问: 随经营环境的变化,公司董事会和高级管理层越来越关注企业内部控制与风险管理建设工作。但对于未来公司内控与风险管理部门的定位及与其他部门的关系,我们仍存在一些困惑,能否就此提供一些建议?
答:受到外部监管、企业治理及企业战略管理的推动,内部控制与风险管理在企业经营中日趋重要,并得到公司董事会和高级管理层越来越多的关注。如何设立企业内控与风险管理部门,理清其与其他部门之间的关系,已经成为许多企业需要面对的问题。
我们借鉴企业风险管理三道防线的模型 如下图 ,可以为明确企业内控与风险管理部门的定位及与其他部门的关系提供基本思路。
第一道防线:企业运营单位及有关部门,主要职责包括:
· 设计管理流程及业务流程控制
· 执行业务控制及风险管理流程
· 收集相关风险管理信息
· 实施风险管理评估
第二道防线:企业内控与风险管理部门,主要职责包括:
· 制定企业内控及风险管理政策与程序
· 实施企业整体风险监控
· 定期风险汇总与报告
· 制定重大风险管理解决方案
第三道防线:企业内部审计部门,主要职责包括:
· 基于风险的审计计划
· 风险管理监督与评价
· 内控审计
从目前中国央企对企业内控与风险管理部门的设置来看,一般包括以下几种情况:
· 单独设立企业内控与风险管理部门
· 将企业内控与风险管理职能与企业法律事务职能合并
· 将企业内控与风险管理职能与企业内部审计职能合并设置
· 将企业内控与风险管理职能与企业财务职能合并设置
当然,企业内控与风险管理部门的设置需要与企业实际情况相结合,考虑企业战略、组织架构、企业文化,甚至企业内控与风险管理部门负责人资历等因素。但无论如何,在部门设置过程中需要坚持执行职能与监控职能相分离、保持内部审计职能独立性等原则。
企业内控与风险管理部门应对总经理或其委托的高级管理人员负责,主要职责一般包括:
· 根据公司发展战略,制定内控与风险管理体系建设规划、政策与程序并组织实施。
· 提出跨职能部门的重大决策、重大风险、重大事件和重要业务流程的标准。
· 提出风险管理策略和跨职能部门的重大风险管理解决方案,并负责该方案的组织实施和对此风险的日常监控。
· 提出跨职能部门的重大决策风险评估报告。
· 组织、协调企业内控与风险管理的日常工作,为各专业部门及公司所属单位内控与风险管理工作提供指导。
· 监督与检查企业内控与风险管理体系执行的有效性。
· 组织建立企业内控与风险管理信息系统。
· 办理内控与风险管理其他有关工作。
只有在董事会及企业高级管理层的大力倡导与推动下,同时保持企业内控与风险管理部门之间、企业各运营单位与相关部门之间、企业内审部门之间良好的沟通与互动,企业内控与风险管理体系的运行才有效。
问:我在一家大型企业集团主管内部审计工作。我们集团开展内部审计工作具有较长的历史,但近年来随企业规模的扩张和业务飞速发展,公司内部审计资源越来越紧张,如何应对这种情况?是否有其他公司的先进经验值得我们学习和借鉴?请专家给我们提一些建议。
答:在公司规模扩张与业务发展过程中面临资源不足的问题,应该是目前许多集团内部审计面临的共同问题,我们可以从内部审计方法方面作一些检讨,希望对您有所裨益。
从国际内审实践看,风险导向内部审计是一种发展趋势。风险导向内部审计的工作内容包括:确定机构的风险所在,并保证它们适用于内审计划的制定;根据风险评估的结果确定审计对象;以风险评估为基础制定年度内审计划并上报审计委员会审批;实施独立的审计项目并将审计结果定期上报审计委员会;持续进行风险评估和审计对象的更新。
由于风险导向内部审计计划是以风险评估的结果为依据,并应用于明确的内审对象,以保证风险评估覆盖全部的业务条线和支持职能,确保内审对象的风险等级是相对较高的,因此以风险为导向的内部审计将内审人员进行最优配备,并评估由于资源的限制而没有覆盖到的剩余风险暴露的接受程度,因而审计工作也更加有效率。
右图可以用来从风险评估方法、内审计划和内审部门预算三个方面评估企业风险导向内部审计工作的成熟程度。
对于建立风险导向内部审计,相关建议如下:
1 建立一套完整、统一的风险评估方法,有确定的检查对象、风险分类和评分方法,并在集团范围内实施。
· 风险评估的对象通常是业务线,包含的两个要素是影响级别和可能性级别。风险评估的过程就是将每一个业务线所涉及的固有风险按照这两个要素进行评分,得到固有风险的风险级别结果。
· 风险评估的流程结合了业务单元内控自我评估和内审发现的问题,而风险评估的结果则综合了固有风险和控制风险。在考虑业务流程或框架的固有风险的同时,还要考虑机构对于风险的控制情况,两者结合起来得到最终的风险评估结论。
· 风险评估是持续进行的,并有一套完整、高度自动化的软件系统作为支持。该系统可以查询风险评估的各项标准,并支持风险评估结果的录入、查询和保存。
2 根据风险评估的结果完成年度内审计划的制定,内容包括确定的审计对象、审计频率、审计重点、人员配备以及具体业务安排。
· 内审年度计划是以风险评估的结果为依据的,内容有:需要进行哪些具体的内审项目、项目开展的时间、项目预计用时、内审项目涉及的风险和业务线以及内审项目的人员配置情况。
· 风险评估的结果会将被评估的对象分成高低不同的风险级别,制定年度计划时应包括风险评估结果中风险等级高的所有业务流程或框架。对于风险评估等级低的业务流程或框架,则按照一定的标准制定覆盖的频率。人员安排充分考虑已制定的内审项目,并考虑人员的资历、专业水平、级别、参与内审项目的历史记录等要素,且对于人员缺口,要考虑利用外部资源 包括借助外部咨询机构的力量 。一个内审团队应包括各个级别、不同专业领域和资历的内审人员,按照一定的循环政策安排内审人员的内审项目。
· 年度审计计划保持一定的机动性,以应对公司可能的突发情况 如舞弊调查 或管理层的特别要求。
3 独立制定内审部门费用预算,并有确定的费用明细项及估算方法。
· 内审预算是独立进行的,有独立的制定流程、方法和费用额度,同其他机构分开核算,有确定的预算明细项目,且充分反应内审在预算年度所耗费的各种资源。部分费用可以根据具体情况进行月度间调整、科目间调整和采取总量控制,但季度预算存在刚性,同科目预算不允许季度间进行预算调整。预算在实施的过程中需要定期分析差异原因,对经营活动进行及时的调整和控制,而预算的执行情况将会纳入绩效考核管理体系。
· 内审预算以内审计划为基础,采用零基预算的思路,参照往年的数据对具体的明细项进行估算。