内部审计如何参与企业风险管理一个案例分析.docx

内部审计如何参与企业风险管理:一个案例分析 一、问题的提出下载 内部审计产生于上世纪初的经济危机中，每次经济危机和重大事件都给内部审计带来机遇和挑战，使内部审计理念和工作方式产生重大变化。20世纪60年代，内部审计关注的焦点是财务报告；70年代关注的是内部控制；80年代关注的是运营导向；90年代关注的是商业伦理；进入21世纪，随着“安然”、“世通”等财务舞弊事件以及美国“次贷危机”的爆发，引起了内部审计对风险管理的全面关注。 1999年，国际内部审计师协会（IIA）对内部审计的定义进行了革新，在新的定义中将以独立性为基础的“鉴证（或确认）”活动和以决策有用性为基础的“咨询”活动并列起来，提高了内部审计的地位，扩大了内部审计的责任和范围，将内部审计进一步提升至风险管理和公司治理的高度。 内部审计介入风险管理是一个全新的事物，对内部审计如何在风险管理中发挥作用是一个值得内部审计部门和内部审计人员进一步深入探讨的课题。 二、相关标准释义 国际标准化组织发布的风险管理标准（ISO31000）中将风险定义为“目标的不确定性影响”，并将“前后事件的因果联系”和“发生的可能性”作为一种广为使用的风险表达方式。该标准进一步指出，风险产生的影响是对预期目标的背离积极的或是消极的。正因为如此，越来越多的组织对识别风险因素和将风险控制在可接受范围之内感兴趣。为了确保组织运转的效率和效果，必须找到一种应对众多风险的办法。于是IIA将风险管理定义为：“识别、评估、管理和控制潜在事件或情况的过程，目的是为实现组织的既定目标提供合理保证”。风险管理认识到风险存在这一现实，因此，风险管理最大的挑战就是将风险控制在组织风险偏好的范围内。 2004年，COSO发布了企业风险管理整合框架（ERM-IF），其中将风险管理定义为：“企业风险管理是一个过程，它由一个主体的董事会、管理层和其他人员实施，应用于战略制订并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证。”在该框架中，将风险管理描述为8个要素：即内部环境、目标设定、事件识别、风险评估、风险反应、控制活动、信息沟通以及监督。 关于内部审计在风险管理中的作用，IIA在其2120号标准中指出，内部审计活动必须评估企业风险管理的有效性，并为改善风险管理流程做出贡献。进一步地，IIA在其国际专业实务框架（IPPF）中发布了“内部审计在风险管理中作用”的立场文件，在该文件中指出，内部审计在涉及风险管理事务中的角色，是向董事会提供组织风险管理有效性的客观确认，以保证关键的商业风险得到恰当管理以及内部控制系统被有效执行。为合理设定内部审计在风险管理中作用的边界，该文件还对内部审计在风险管理中的活动进行了分类。一是核心角色活动，代表内部审计的“鉴证”职能，包括：对风险管理流程提供确认；对风险是否适当评估提供确认，评估风险管理程序，评估主要风险的报告，检查关键风险的管理等。二是与保障相关的合法角色活动，代表内部审计的“咨询”职能，包括：促进风险识别和评估，培训风险反应能力，整合风险管理活动，强化风险报告，维护和发展风险管理框架，提供可供决策的风险管理策略等。三是不可以涉足的角色活动，包括：设定风险管理偏好，执行风险管理程序，提供风险应对决策，代表管理层执行风险应对措施，以及承担风险管理责任等。 三、捷蓝（Jet-Blue）航空公司的案例分析 捷蓝（Jet-Blue）航空公司是美国一家廉价航空公司，2002年首次公开募股并于纳斯达克上市，主要营运美国内陆航线和来往加勒比海、巴哈马和百慕大的国际航线。捷蓝航空是少数几家能在911事件之后维持盈利的美国航空公司之一，并成为有史以来最受欢迎的航空股份，现今市值已经达到数十亿美元。捷蓝航空的财务状况一直十分稳健，它的成功使它超越了老牌的低价航空公司西南航空公司，获得很多证券分析员和新闻记者的赞赏。2010年6月，美国最为知名的市场调研机构J.D.Power and Associates 公布了2009年北美航空公司满意度调查的调查报告，数据显示，捷蓝航空以810点（共1000点）的总满意度指数连续三年总体排名第一，并继2008年后再次获得低票价航空公司最高的客户满意度。 捷蓝航空公司于2000年成立了内部审计部门，面对航空业激烈的市场竞争和各种商业风险，捷蓝航空公司的内部审计部门积极参与公司的风险管理，并发挥了十分重要的作用。其主要作法是： （一）辨识主要风险 内部审计部门必须首先要识别出哪些因素可能会妨碍企业达到其战略目标。 捷蓝航空公司的愿景是致力于创建一种新的航空公司类别：一家提供价值、服务和品位的航空公司。公司的战略目标是成为领先的、为顾客提供差异化产品和高质量顾客服务的廉价客运航空公司。公司未来5年将继续在低票价的情况下扩大盈利。 内部审计部门采用定性分析的方法，参考和借鉴美国航空管理委员会的风险评价标准以及国际航空业的风险分类和列表，根据风险与公司价值链管理的相关性，总结归纳曾发生的风险事件，初步确定51项风险长名单。以此为基础，通过对公司内外部环境的研究分析、内部大量访谈和专家评估，初步确定22项主要风险。概括而言，这22项主要风险中（1）战略风险包括：兼并收购风险，运能规划风险；（2）外部风险包括：监管政策风险，石油市场风险，客户偏好风险，合同风险，自然灾害风险；（3）财务风险包括：资金管理风险、成本控制风险，分公司管控风险，融资结构风险；（4）合规性风险包括：信息披露风险，航线审批风险，关联交易风险；（4）运营风险包括：一体化调度风险，价格风险，物资采购风险，人力资源风险，安全风险，航班准时风险，技术创新风险，新市场开发风险。 （二）确定风险评估的标准 在确定风险评估的标准时，主要考虑风险发生可能性标准，风险影响程度标准。内部审计部门制定的风险评估标准如表1所示。 （三）评估初始风险和管控有效性 内部审计部门综合运用穿行测试、个别访谈、问卷调查、专题研讨等方法进行风险评估。结合IIA红皮书（国际专业实务框架（IPPF）的有关原则，内部审计部门确定的评估公式如下： 初始风险（或剩余风险）=风险发生可能性（概率值）风险影响程度（评分值） 管控有效性=初始风险-剩余风险 其中，初始风险指未采取控制活动之前的风险；剩余风险指采取相应的控制活动之后的风险；管控有效性指目前风险应对策略的效果，管控有效性越高，剩余风险就越低。 评估结果如表2所示。 （四）绘制和分析风险坐标图 以初始风险为纵轴，以管控有效性为横轴，22种主要风险的风险坐标图如图1所示。 在图1中，A区域的初始风险较高，管控有效性也较高，属于持续关注的风险领域。B区域的初始风险较高，管控有效性较低，属于重点关注的风险领域。C区域的初始风险较低，管控有效性较高，属于一般关注的风险领域。D区域的初始风风险较低，管控有效性也较低，属于加强关注的风险领域。 针对图1中的不同风险领域，内部审计部门提出了包括风险规避、风险降低、风险转移、风险共享、风险承担等多种风险应对策略。例如，对于区域B的兼并收购风险，为避免公司的业务增长过快，收购其他航空公司可能会危及公司的财务稳定，内部审计部门提出并购尽职调查、可行性研究、董事会决议等风险降低的控制措施，并完善了相应的风险管控流程。 （五）进一步完善风险管控流程 在对风险适当分类的基础上，组织和督促相关负责部门进一步完善风险管控流程，每一项风险管控流程都包括：风险描述、风险控制点、控制活动和方法、自我评估方法、负责单位、参与单位等。 内部审计部门定期组织不同频次（从一年2次到三年1次不等）内部控制自我评估，对风险管理流程和管控措施进行测试和完善。 四、主要启示 2006年6月6日，国资委发布了中央企业全面风险管理指引，作为我国当前企业风险管理的重要制度性规范，在文件中强调了具备条件的企业可建立风险管理三道防线：即各有关职能部门和业务单位为第一道防线；风险管理职能部门和董事会下设的风险管理委员会为第二道防线；内部审计部门和董事会下设的审计委员会为第三道防线。这表明，内部审计在企业风险管理中应发挥积极的、建设性的作用。 捷蓝航空公司的案例具有一定的代表性，内部审计在风险管理中的作用既没有弱化也没有泛化，而是得到了适当的强化，对我国内部审计参与企业风险管理也具有一定的借鉴价值。 第一，在案例中，内部审计部门通过其鉴证职能，利用各种方式协助企业全面风险管理的实现。内部审计师提供的鉴证服务包括：一是风险管理过程，包括其设计和运行情况；二是对“主要”风险进行管理，包括控制的效果和应对措施；三是可靠、适当的风险评估及对风险和控制情况的报告。其中，内部审计为组织增加价值的两种最重要的方式是：为主要业务风险已得到适当管理提供客观鉴证；为风险管理和内部控制框架正在有效地运作提供鉴证。 第二，内部审计部门也承担了必要的咨询职能。包括：一是将内部审计分析风险和控制所用的工具与技术提供给管理层，作为将企业全面风险管理引入组织的倡导者，充分发挥其在风险管理和控制方面的专业知识及对组织的总体认知方面的优势；二是提供建议，推动专题讨论会，指导组织风险和控制，促进共同语言、框架和理解的建立；三是作为协调、监督和报告风险的中心，协助管理者确定降低风险的最佳方式。 第三，内部审计部门在风险管理中没有仅仅就风险而论风险，而是将目标、风险、控制有机地结合在一起系统地解决问题。始终围绕什么是企业的战略目标，哪些因素（风险）会影响企业实现战略目标，风险发生的可能性及潜在的影响如何，哪些是重大风险和主要风险，现有的内部控制（管控活动）是否有效、是否执行等，在此基础上，对有效执行的管控活动持续监控，对未有效执行的管控活动制定改进计划，实施风险管理方案。 第