摘要:公司的经营离不开对于风险的管理,已成为社会的共识,随着经济高速发展,外部风险事件也愈加复杂多样,风险管理尤其是对风险识别的要求就愈高。也正因为此,内部审计人员利用风险导向的内部审计,结合企业主要风险点,评估企业风险管理,从而为企业提供监督与服务,就显得尤为重要。近些年,风险管理审计的数量逐年增加,在传统审计项目进一步深入发展的情况下,风险导向内部审计的思想已经逐渐深入,其内部审计的发展方向也逐渐趋于防范风险方向。财务公司内部审计工作也需要理清思路、适时调整,以应对内外部环境的不断变化。
一、理清风险导向相关概念
与风险导向相关的概念包括有全面风险管理、内部控制等。参照《中央企业全面风险管理指引》对全面风险管理的定义,全面风险管理是指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。而内部控制是全面风险管理的必要环节。内部控制的动力来自企业对风险的认识和管理,对于企业所面临的大部分运营风险,或者说对于在企业的所有业务流程之中的风险,内控系统是必要的、高效的和有效的风险管理方法。内部控制所负责的是风险管理过程中间及其以后的重要活动,如对风险的评估和由此实施的控制活动、信息与交流活动和监督评审与缺陷的纠正等工作。两者最明显的差异在于内部控制不负责企业经营目标的具体设立,而只是对目标的制定过程进行评价,特别是对目标和战略计划制定当中的风险进行评估。
著名的“COSO框架”文件定义了内部控制的五大要素就是控制环境、风险评估、控制活动、信息和沟通、监控,这其中就包含了内部审计环节。银保监会发布的各类风险管理指引中也指出,内部审计部门应定期检查评估风险管理体系运作情况,监督风险管理政策执行情况。因此内部审计必须对风险管理和内部控制的所有内容进行审核、监督和评价,都是为了企业进一步健康发展、防范风险而服务。
二、明确风险导向内部审计内容
风险导向内部审计是一种现代管理审计,主要是以风险的识别、分析以做出相应的应对措施,是全面风险管理理念的延伸。同时,对风险管理、内部控制和公司治理进行评价与监督,提出改进意见,实现企业的增值,促进企业战略目标的实现。从风险导向的具体内容来看最少应当要包含三部分内容。
首先,风险导向必须要从风险识别开始。企业在风险控制的过程中,必须要对企业存在的具体风险类别进行分析,并就风险影响结果进行研究,其中最关键的是要对不确定的风险进行量化,从而分析每一个风险可能会造成的危害及损失。
其次,风险导向的重点是风险控制。企业必须要通过积极的开展各种措施来实现风险的控制,进而降低风险发生的概率,尽可能减少企业损失,最终实现风险控制的目的。控制风险的最有效的方法就是制定完善的风险预警及应急方案,最可能的对各种可能出现的风险提前做好准备工作,这样一旦出现风险后就可以有条不紊的开展工作,将损失降到最低。
最后,风险导向必须要懂得预防风险。在既定目标不发生改变的前提下,通过改变方案实施路径,从而在根本上消除风险。比如说通过建立培训机制、不断完善制度体系、强化人才管理等。
三、财务公司内部审计现状
自财务公司成立以来,公司严格按照监管要求,设立独立的稽核部门,配备专职稽核人员,直接受公司董事会领导,以保证稽核工作的独立性。在内部审计制度建设方面取得了一定成果,从《董事会审计委员会工作条例》、《内部稽核管理制度》到具体业务稽核操作规程等一系列规章制度的实施,为财务公司的审计管理工作提供了制度保障。公司为了保证所有的内部审计工作有迹可循,以此制定了完善的工作流程,主要包含了计划阶段、立项阶段、准备阶段、实施阶段、审计确认阶段、报告阶段、追踪阶段以及档案整理阶段等,进而保证整体审计工作有效运转。
从财务公司内部审计方式方法来看,根据监管重点、业务重要性及复杂程度分为专项稽核、专项业务检查及专项业务抽查三个层次;从检查频率维度分为季度、半年度和年度检查,以通过提高检查频率和业务覆盖面,来提高检查时效性和针对性;从检查方式分为稽核检查、部门联合检查及聘请外部审计等,通过不同专业领域人员优势提高审计质量和效果。
从财务公司内部审计报告来看,除了常规的稽核发现及整改建议外,增加了对重要岗位、人员的廉政风险评价,增加了业务合规性及风险性评价的内容,提高了稽核报告的内容和质量。
四、存在问题
1、制度体系还不够完善。公司虽然在制度建设方面取得了一定成果,明确了具体的操作要求及程序,但具体业务的内部审计制度还未做到全覆盖,特别是各业务管理要求都不尽相同,所面临的主要风险点也都不尽相同,因此,需根据各自的风险管控点,编制适合的内部审计规章制度。
2、风险识别不到位。公司所面临的风险存在识别不全的情况,一是因为外部经济形势、政策环境、业务创新、人员管理变化等因素引起的风险复杂多变导致;二是内部审计人员的素质与经验达不到要求导致。风险识别在风险导向内部审计当中是重中之重,尤其是金融行业,对于风险识别的不到位是无法应对当期经济环境下金融风险多变性的。
3、内部审计技术及方法还有待提高。从内部审计信息科技运用角度上说,公司内部审计的信息化与集约化的发展还远远比不上业务的发展,这也会影响到内部审计的质量。从当前公司信息系统建设情况来看,虽然财务公司已经全面开展信息化管理,但是在内部审计信息化管理方面存在显著的不足。从审计成果应用角度来看,因为信息化发展的不足,很大程度上将导致风险导向内部审计的成果应用受限。
五、优化建议
1、进一步健全公司制度体系。不断推进公司制度体系建设,一是健全完善稽核业务制度体系,对公司各项业务、关键管理环节开展的检查项目制定详细操作规程,以更好地指导稽核实际工作,不断促进稽核监督工作的规范化、科学化、标准化,有效提升稽核监督评价质量和精细化管理水平。二是通过内审检查全面的了解公司经营基本情况,深入掌握各业务普遍存在的倾向性、规律性的问题,及时梳理现有业务流程,对公司业务流程提出优化建议,对流程各节点风险情况进行分析,提炼出该流程最优风险管控信息。实现对关键风险点的有效监控和及时预警重大风险事项的效果,同时达到减少冗余流程,提高工作效率,为公司节约控制成本的效果。
2、进一步优化审计业务流程。完善审前调查要求,审计项目确定之后,如何展开审计,如何确定风险控制点,这些都需要建立在对被审计对象充分地了解的基础之上,因此需要对被审计项目进行细致地审前调查。同时,内部审计部门应当以风险为导向,制定合理适当的内部审计计划方案,明确审计内容范围、审计的重点、被审计部门需配合提供的材料、审计的工作安排、参与此次审计项目的审计人员等,有利于审计人员更好的完成审计工作,从而达到审计目的并提高审计质量。
3、加强信息科技建设,深化审计成果应用,提高风险识别能力。风险导向内部审计的实施阶段对风险识别工作量很大,不可避免会出现风险识别遗漏情况,除了健全的制度保障以外,还需要信息技术的支持。风险管理数据库的建立能够大大减少在风险识别上所需要的审计时间,审计精力。如果能够在企业内部建立风险管理数据库,对于不同审计项目开展风险导向内部审计都是有利的。建立风险管理数据库,能够将经典审计案例的重要风险加入数据库中,有利于在公司各个项目幵展风险导向的内部审计。风险管理数据库的建立也有助于管理层对于公司层面的风险监控,风险较大的业务领域加大监管力度。同时,审计人员在每次工作之后要更新风险管理数据库,因为随着公司业务的发展、外部经济形势、政策环境、人员管理变化等因素,风险点也是随之变化的,就需要经常性更新,以保证数据库的可用性。
4、提高审计人员综合素质,适应新时代需要。目前我们要充分认识新时代内部审计工作以及内部审计人员面临的新要求新挑战,按照习近平总书记提出的“以审计精神立身、以创新规范立业、以自身建设立信”要求,建设高素质专业化内部审计队伍。积极参加内部审计机构开展的教育培训,通过“以审代训”、参加有关培训交流等方式,不断完善内部审计人员知识结构,提升政治能力、专业能力、宏观政策研究能力和审计信息化能力。
参考文献:
[1] 黄吉辰,国有能源企业风险导向内部审计优化研究—以Y公司合同管理项目为例,2017.6;
[2] 侯翰,风险导向的B财务公司内部审计优化研究, 2019.6。