????編者按:針對讀者提出的涉及管理方面的問題�,本刊編輯部邀請專家予以解答�����。讀者也可以在本刊的網站 www.macau7.com 上獲取本欄目的內容�。如有建議或有意參與�����,請通過liquanwei@cci.com.hk與本欄目編輯聯系�。本期回答問題的專家是德勤企業風險管理服務華北區合伙人翁國樟���。翁先生擁有超過20年的企業內部審計�、內部控制及風險管理方面的專業服務經驗����,專長于為中國國內和跨國企業提供量身定做的內部審計��、內部控制及風險管理咨詢服務�����。
????作者: 《財富》(中文版)
????問: 隨經營環境的變化����,公司董事會和高級管理層越來越關注企業內部控制與風險管理建設工作����。但對于未來公司內控與風險管理部門的定位及與其他部門的關系�����,我們仍存在一些困惑���,能否就此提供一些建議����?
????答:受到外部監管��、企業治理及企業戰略管理的推動�����,內部控制與風險管理在企業經營中日趨重要��,并得到公司董事會和高級管理層越來越多的關注�。如何設立企業內控與風險管理部門����,理清其與其他部門之間的關系���,已經成為許多企業需要面對的問題�����。
????我們借鑒企業風險管理三道防線的模型 如下圖 ����,可以為明確企業內控與風險管理部門的定位及與其他部門的關系提供基本思路��。
????第一道防線:企業運營單位及有關部門���,主要職責包括:
????· 設計管理流程及業務流程控制
????· 執行業務控制及風險管理流程
????· 收集相關風險管理信息
????· 實施風險管理評估
????第二道防線:企業內控與風險管理部門����,主要職責包括:
????· 制定企業內控及風險管理政策與程序
????· 實施企業整體風險監控
????· 定期風險匯總與報告
????· 制定重大風險管理解決方案
????第三道防線:企業內部審計部門�,主要職責包括:
????· 基于風險的審計計劃
????· 風險管理監督與評價
????· 內控審計
????從目前中國央企對企業內控與風險管理部門的設置來看���,一般包括以下幾種情況:
????· 單獨設立企業內控與風險管理部門
????· 將企業內控與風險管理職能與企業法律事務職能合并
????· 將企業內控與風險管理職能與企業內部審計職能合并設置
????· 將企業內控與風險管理職能與企業財務職能合并設置
????當然����,企業內控與風險管理部門的設置需要與企業實際情況相結合��,考慮企業戰略����、組織架構���、企業文化�,甚至企業內控與風險管理部門負責人資歷等因素��。但無論如何����,在部門設置過程中需要堅持執行職能與監控職能相分離���、保持內部審計職能獨立性等原則��。
????企業內控與風險管理部門應對總經理或其委托的高級管理人員負責��,主要職責一般包括:
????· 根據公司發展戰略�,制定內控與風險管理體系建設規劃����、政策與程序并組織實施���。
????· 提出跨職能部門的重大決策����、重大風險��、重大事件和重要業務流程的標準���。
????· 提出風險管理策略和跨職能部門的重大風險管理解決方案�,并負責該方案的組織實施和對此風險的日常監控�����。
????· 提出跨職能部門的重大決策風險評估報告�����。
????· 組織���、協調企業內控與風險管理的日常工作��,為各專業部門及公司所屬單位內控與風險管理工作提供指導�。
????· 監督與檢查企業內控與風險管理體系執行的有效性����。
????· 組織建立企業內控與風險管理信息系統�����。
????· 辦理內控與風險管理其他有關工作��。
????只有在董事會及企業高級管理層的大力倡導與推動下��,同時保持企業內控與風險管理部門之間���、企業各運營單位與相關部門之間���、企業內審部門之間良好的溝通與互動���,企業內控與風險管理體系的運行才有效�。
????問:我在一家大型企業集團主管內部審計工作�����。我們集團開展內部審計工作具有較長的歷史����,但近年來隨企業規模的擴張和業務飛速發展����,公司內部審計資源越來越緊張��,如何應對這種情況����?是否有其他公司的先進經驗值得我們學習和借鑒����?請專家給我們提一些建議�。
????答:在公司規模擴張與業務發展過程中面臨資源不足的問題�����,應該是目前許多集團內部審計面臨的共同問題���,我們可以從內部審計方法方面作一些檢討���,希望對您有所裨益���。
????從國際內審實踐看����,風險導向內部審計是一種發展趨勢�����。風險導向內部審計的工作內容包括:確定機構的風險所在�����,并保證它們適用于內審計劃的制定���;根據風險評估的結果確定審計對象����;以風險評估為基礎制定年度內審計劃并上報審計委員會審批����;實施獨立的審計項目并將審計結果定期上報審計委員會�;持續進行風險評估和審計對象的更新��。
????由于風險導向內部審計計劃是以風險評估的結果為依據�����,并應用于明確的內審對象����,以保證風險評估覆蓋全部的業務條線和支持職能���,確保內審對象的風險等級是相對較高的�,因此以風險為導向的內部審計將內審人員進行最優配備���,并評估由于資源的限制而沒有覆蓋到的剩余風險暴露的接受程度�,因而審計工作也更加有效率���。
????右圖可以用來從風險評估方法�����、內審計劃和內審部門預算三個方面評估企業風險導向內部審計工作的成熟程度����。
????對于建立風險導向內部審計���,相關建議如下:
????1 建立一套完整�����、統一的風險評估方法���,有確定的檢查對象�、風險分類和評分方法����,并在集團范圍內實施�。
????· 風險評估的對象通常是業務線���,包含的兩個要素是影響級別和可能性級別�。風險評估的過程就是將每一個業務線所涉及的固有風險按照這兩個要素進行評分�����,得到固有風險的風險級別結果���。
????· 風險評估的流程結合了業務單元內控自我評估和內審發現的問題�,而風險評估的結果則綜合了固有風險和控制風險����。在考慮業務流程或框架的固有風險的同時�����,還要考慮機構對于風險的控制情況����,兩者結合起來得到最終的風險評估結論�����。
????· 風險評估是持續進行的���,并有一套完整�����、高度自動化的軟件系統作為支持���。該系統可以查詢風險評估的各項標準���,并支持風險評估結果的錄入���、查詢和保存���。
????2 根據風險評估的結果完成年度內審計劃的制定��,內容包括確定的審計對象���、審計頻率��、審計重點�、人員配備以及具體業務安排����。
????· 內審年度計劃是以風險評估的結果為依據的�����,內容有:需要進行哪些具體的內審項目���、項目開展的時間����、項目預計用時�、內審項目涉及的風險和業務線以及內審項目的人員配置情況���。
????· 風險評估的結果會將被評估的對象分成高低不同的風險級別���,制定年度計劃時應包括風險評估結果中風險等級高的所有業務流程或框架�。對于風險評估等級低的業務流程或框架����,則按照一定的標準制定覆蓋的頻率��。人員安排充分考慮已制定的內審項目�,并考慮人員的資歷�����、專業水平�����、級別����、參與內審項目的歷史記錄等要素���,且對于人員缺口���,要考慮利用外部資源 包括借助外部咨詢機構的力量 �����。一個內審團隊應包括各個級別����、不同專業領域和資歷的內審人員����,按照一定的循環政策安排內審人員的內審項目����。
????· 年度審計計劃保持一定的機動性�,以應對公司可能的突發情況 如舞弊調查 或管理層的特別要求���。
????3 獨立制定內審部門費用預算���,并有確定的費用明細項及估算方法�。
????· 內審預算是獨立進行的��,有獨立的制定流程�、方法和費用額度�,同其他機構分開核算�����,有確定的預算明細項目���,且充分反應內審在預算年度所耗費的各種資源�。部分費用可以根據具體情況進行月度間調整���、科目間調整和采取總量控制����,但季度預算存在剛性�,同科目預算不允許季度間進行預算調整�����。預算在實施的過程中需要定期分析差異原因����,對經營活動進行及時的調整和控制����,而預算的執行情況將會納入績效考核管理體系���。
????· 內審預算以內審計劃為基礎�,采用零基預算的思路�,參照往年的數據對具體的明細項進行估算�。
