内部审计与风险管理
[摘要]本文稿源来自国际内部审计协会(IIA)研究机构――全球内部审计知识共同体(CBOK),该机构于2015年开展了一项全球内部审计师的调查,该调查受访者14518人,涉及166个国家,23种语言,并发布了一系列的研究报告,为内部审计一些关键问题提供了更深的思考。
本译文即为其中的一篇,旨在探讨内部审计在风险管理中承担角色的转变。
毕业论文网 [关键词]内部审计 风险管理 角色 最近更新的国际内部审计实务框架为内部审计增添了一项新的任务:“通过利益相关者提供以风险为基础的,客观、可靠的鉴证服务,建议和见解,来加强和保护组织价值。
”因此,内部审计必须将风险作为审计内容、审计方式以及报告内容的基础。
2008年金融危机证明,良好的风险管理实践具有重要的价值。
自此,相关法规陆续颁布,要求进行风险管理。
其中有不少法规提出了在变化的外部环境中做好风险管理的一些方法。
(1)时间变量对风险管理水平的影响。
尽管很少有研究会涉及风险管理水平的发展,但仍然有一些资料可以为我们提供参考。
对比可发现,在走出全球金融危机的过程中,正规的风险管理有了显著的发展。
(2)区域因素对风险管理水平的影响。
2015年CBOK调查显示,67%的欧洲首席审计执行官认为其组织有正式风险管理流程,只有35%的中东、北非受访者和42%的拉丁美洲、加勒比地区受访者认为有正式的风险管理流程。
对于此项调查结果,有观点认为,欧洲金融服务部门的法规促使独立风险管理职能的发展,但在中东、北非、拉丁美洲和加勒比地区这样的法规尚未普及。
(3)行业因素对风险管理水平的影响。
调查显示,75%的金融和保险公司建立了正规的风险管理流程,非金融行业只达到45%,这种差异与监管水平有关,全球金融危机后,金融行业颁布了大量的法律法规,强化了金融和保险公司实施风险管理的预期。
(4)规模因素对风险管理水平的影响。
大公司比小公司有更高的风险管理水平,究其原因:一是大公司可以投入更多的资源加强风险管理,二是大多数金融机构规模较大。
二、内部审计在风险管理中的定位 三线防御模型中,风险管理为第二道防线,内部审计为第三道防线。
在全球的受访者中,有66%认为内部审计和风险管理在他们的组织中是独立的职能部门,但却互相合作、信息共享。
另外的14%认为内部审计和风险管理是独立的职能部门,且没有联系。
即80%的受访者都认为内部审计的功能和风险管理的功能是不同的。
但另一方面,20%的受访者认为内部审计承担着风险管理的责任。
因此,有必要对这两者的功能差异进行区分。
(2)三线防御模型。
然而,66%受访者认为内部审计和风险管理互相合作并共享信息,但该观点也模糊了第二道防线和第三道防线的界限。
认为组织中存在三线防御模型的受访者中,13%的人认为第二道防线和第三道防线之间界限并不明显。
区域视角。
欧洲有86%的组织将内部审计和风险管理两者分离,为全球最高比例的地区,与此相对应,欧洲也有着较高水平的正规风险管理。
东亚和太平洋地区有84%将二者相分离,他们的企业中正规的风险管理实际上是要低于全球的平均水平的。
日本东京AIG控股公司的执行总裁兼首席审计执行官内赫柔?毛利解释,东亚太平洋地区,虽然正规的风险管理低于全球的平均水平,但它着重强调的是本地区整体水平符合IIA的国际内部审计执业准则和其他标准,这进一步拉开了内部审计和风险管理的区别。
产业视角。
从产业的角度看,93%的金融和保险行业的受访者认为在他们公司中内部审计和企业风险管理之间存在分界。
由于在所有的受访者中,从事金融和保险行业的占了33%,因此将全球的平均水平拉高至80%。
实际上,其他的行业部门并没有在80%以上。
这表明在其他的行业中,第二道和第三道防线的区别也许并不明显。
规模视角。
大规模公司中,其内部审计和企业风险管理相分离的尺度要比小公司大得多。
(3)小结。
总体来说,内部审计和风险管理之间有着一定的分界,尤其对于管理严格的金融服务部门。
组织规模越大,这种分界就越明显。
2014的职业调查和其他一些数据都表明,第二道防线和第三道防线之间的界限仍然难以明确区分。
明确区分这两道防线中重要的角色,将会保障鉴证服务的质量和可靠性,这还需要我们关注未来几年的情况。
三、结论 风险是?炔可蠹频幕?础,随着组织中风险职责不断变化,内部审计一直扮演着风险中的关键角色。
虽然区分防御模型中的二线和三线仍存在一定困难,但将风险管理从内部审计中分离出来是一种趋势。
另外,实施联合鉴证模型的组织仍然比较少,这表明风险管理鉴证的效率并未达到最优化。