内部审计丢魂年代,如何定位其在企业风控中的职能?
一、独立性是内部审计的灵魂,怎奈灵魂普遍缺失
2006年,我在青岛啤酒呆了半年,为青岛啤酒建立风险管理和内部控制体系。
当年的项目虽然是战略规划部负责,但是和审计部有很多的交流和沟通,青岛啤酒是九十年代第一家在香港上市的公司,又因为其外资股东比较多,国际化的程度在国内企业是比较领先的,管理的理念和对外部事物的接受程度也普遍相对好一些。
当年亲手编程的电子问卷还记忆犹新
因为当年的全面风险管理工作,审计业务本身的风险也纳入风险管理梳理的范围,在分析审计风险和和当年审计部负责人谭部长的交流中,我们发现由经理层副职管理审计部对审计业务的独立性是有影响的,所以在一次汇报会上,我们和当时分管审计业务的孙XX副总提出了我们对于审计职能独立性的担心,认为应该由董事会直接管理审计部的人权和事权,谭部长也附和说国际上确实是这样的设置。
孙总义正言辞的说:你们这是要上天啊!
搞得我们也只能就此作罢。
有一次在飞机上偶遇时任青岛啤酒股份公司的CFO郑XX女士,郑女士是外资AB(安海斯-布希)公司派驻青岛啤酒的,是国际化的财务专才,她对有些中国特色的内部审计职能设置也是有些许无奈。
青岛啤酒应该算是第一批国际化的企业,其当年内部审计的职能设置今天也仍然是许多中国企业的设置方式,这也正是许多内部审计职能总觉得不受重视,职能无法充分发挥的根本原因。
后来在德勤工作接触了很多外部审计的工作,开始思考外部审计的独立性在中国也照样存在一定的问题,看看最近违规事务所被惩罚的案例大家就能略窥端倪,今天的讨论重点不是外审,不再展开。
国资委前些年开始进行国有企业的董事会试点建设,董事会建立了之后就可以下设一系列的专业委员会,其中必然要有审计委员会,即便是这样,目前内部审计职能设置在经理层的情况也是屡见不鲜,如果审计业务连机构和人员都谈不上独立的话,那审计作为企业风险管理第三道防线和第三只眼的作用必然大大折扣。
在这样的情况下,别说对上级的经理层进行审计,对平级开展审计业务都难,审计职能的掣肘情形可想而知,而对企业风险管理工作的监督和确认工作也只能在一定的范围内施行。
独立性是内部审计的灵魂,怎奈现在很多企业都丢了魂。内部审计起源于私有制的出现,财产的所有权和经营权分离,于是,所有权人会派遣自己信任的人作为第三者进行经济监督,从而产生内部审计。
内部审计职能的设置和履职应该属于公司治理(Corporate Governance)的范畴,在没有一个规范的公司治理结构的情况下,谈内部审计的全面履职其实是一个无根之源。
而且在这样的情况下让内部审计履行评价和改进公司治理结构(国际内部审计师协会对内部审计工作定位的职责之一)更是无稽之谈。
二、中国特色的内部审计职能整合
跟众多国企、民企、外企打过交道之后,亲身感受了内部审计职能的发挥各具特色:
1、外资企业的内部审计职能
外企的内部审计职能最简单,简单到一个国家的分支机构可以没有内部审计职能。我所经历的数个外资企业,当然都是全球性企业的在华分支,在中国的运营机构并没有设置内部审计的机构,甚至连个把审计人员都没有设置。
但是这并不代表没有被审计的必要。外企的审计业务是高度集权的,每年对全球机构的审计业务都是分重点、分内容的根据集团的风险偏好和审计任务的安排、以及风险情况进行抽查。
由于外资企业经历了上百年的积累,公司的运营制度、程序、流程早已标椎化,逐步的标准化过程其实就是将风险管理和控制融入日常运营的过程,只要按照前期设定好的这些制度、程序、流程运行(合规部日常会参与保证业务的合规性),就不会出大问题,所以内部审计经常抽查的有一些例外事项的控制和执行情况,保证整体的控制保持在风险承受度内。
2、民营企业的内部审计职能
民营企业内部审计的职能发挥,要依赖于这个民营企业目前所处的发展阶段。
这个发展阶段从大的方面可以分为两个阶段,没有建立职业经理人制度和已经建立了职业经理人制度两类。
在发展的初期或者是发展壮大之后企业的灵魂人物还是实际掌权派的时候,不在乎是否建立了董事会、审计委员会之类,许多灵魂人物都会充分的利用审计职能这条特殊的职能线,从另一个角度收集信息或贯彻某种政策,来更好的为其管理和发展企业所用。
在建立了规范的公司治理结构的民营企业,特别是建立了职业经理人制度的企业,董事会层面对于经理层的监督很大程度上要依赖于内部审计职能的发挥,这个时候董事会肯定会将内部审计职能提升到董事会层面,人权和事权均移除经理层的掌控范围,以达到内部审计机构和人员的独立性,这类企业内部审计职能的发挥是较为充分的。
3、国有企业的内部审计职能发挥
世界范围内,没有比中国的国有企业内部的监督检查机制更为错综复杂的了,内部审计只是大监督机制其中的一环。我们曾经见过各种各样的内部审计融合职能的设置:审计部、审计法务部、审计监察部、纪检审计部、审计风险部、审计合规部、内控审计部等等。
上级机构涉及党委、纪委、董事会、监事会、经理层,有时是双向汇报线,在这样错综复杂的治理结构下发挥审计职能是需要极大的智慧的。
一不留神可能就会踩上地雷,有时候不是内部审计不想做事,只是条件不予许做事,不想做错事,不能做错事,不想被误会做了错事。
每个企业都有其特殊性,具体的平衡技巧我们此处不再展开赘述。
二、内部审计在风险管理中的职能
内部审计职能的很多问题我们先搁置,其风险管理第三道防线的独特地位却无可替代,准确定位其在风险管理工作中的职责和界限显得极为重要。
前些年我们在协助企业进行全面风险管理体系建设时,风险管理部会去约谈审计部,与审计部交流审计业务本身有哪些风险,因为风险管理部想当然的认为既然是“全面风险管理”,那当然也包含了审计风险。
但有的审计部提出质疑,却不接受这样的交流,认为“审计职能是监督检查风险管理工作的第三只眼,怎么可能让你来识别我的风险?”
所以我们这么多年都没有搞清楚一个问题,我们谈的企业风险管理到底是谁管理谁的风险?这是一个非常基本的问题,但是这么多年来没有人能给解释清楚,我们后期会专门撰文来分析。
关于内部审计在企业风险管理工作的职能发挥,国际上其实已经探讨了很多年,我们走过的路和产生的疑问可能其他国家早就经历过,而且我们自己这么多年的摸索也有所感悟,结合国内外的实践,我们今天帮助大家一起来整理一下,下图展示了内部审计职能在企业风险管理工作中的核心职能,合理职能和不该承担的职能。
1、内部审计核心职能(5项):
对风险管理流程进行确认;
对风险是否已经被恰当评估进行确认;
评估风险管理的流程;
评估对于关键风险的报告;
审查对关键风险管理的情况;
2、内部审计合理职能(7项):
推动风险的识别和评估;
指导和协助管理层如何应对风险;
协作进行企业风险管理活动;
汇总各类风险的报告;
支持建立企业风险管理框架;
保持和发展企业风险管理框架;
协助董事会建立风险管理战略;
3、内部审计不应该承担的职能(6项):
设定风险偏好;
执行风险管理流程;
对风险管理工作提供保证;
选择风险应对措施;
代表管理层实施风险应对措施;
对风险管理结果负责。
这些职能的划分可以为我们更好的定位内部审计职能提供参考和思考,尽管每个企业的情况不尽相同,但有一些共性的特点,仍然值得我们从过往和其他企业的经验中学习和借鉴。
三、内部审计和风险管理职能的融合实践
在我们还没有明确提出风险管理三道防线的时候,内部审计就一直担任着非常重要的风险管理防线的角色,尽管我们明确了三道防线,让第二道防线承担了许多风险管理的职能,可以更好的和第一道防线和第三道防线协同,但第一道和第二道、第二道和第三道防线在有的企业,界限并不是十分清晰,上面我们提到了有的企业设置了审计风险部,确实有将审计职能和风险管理职能整合在一个部门的情况,之前我们的文章中(三道防线就是一场足球赛 点击打开)也提到了关于三道防线和融合与协同的问题。在国际各企业的实践中,也同样存在这样的探讨和讨论。
2015年,国际内部审计师协会对全球166个国家的14,518名首席审计官、管理层和内部审计人员进行过一项调查,关于风险管理和内部审计职能的融合情况,我们共同来看一下几个调研结果。
1、关于风险管理职能的建立情况
感到很欣慰的是,受访的众多企业中有超过一半的企业已经建立了正式的风险管理职能,而且这些企业中有一半左右任命了首席风险官(CRO),有37%的企业风险管理职能属于正在建立过程中,只有10%的企业尚未建立风险管理职能。
2、关于内部审计和风险管理工作的关系
在所有的全球调查者中,66%的调查者认为内部审计和企业风险管理是相互协调、共享信息但相互独立的。
另外14%认为内部审计和企业风险管理相互独立并且互不交流分享风险信息。这意味着80%的调查对象说他们的内部审计功能与风险管理是分开的,这表明了第二、三道防线的分离还是大多数企业的选择。
但是,还有20%的调查对象表示在企业内部审计负责风险管理工作,其中超过三分之二的调查对象没有打算转移这项职能。
四、我们能做什么?
中国内部审计的独特环境,表明我们短期还不能照搬国际的最佳实践,需要结合我们的国情和企情。所以,我们看到国际上的大方向,也看到了一部分例外,没有放之四海而皆准的规则,具体企业采取哪种模式,还是企业结合自身的实践来摸索,找到适合自己的,才是最好的!
今天,不管是第二道防线还是第三道防线,不论内部审计的使命,还是风险管理工作的使命都聚焦到支持组织更好的进行价值保护和创造,从不同的角度提出对组织实现战略目标的支持。
所以,有时不必纠结责任界限是不是划分的清晰、合理,出了问题到底是谁的责任。企业的所有防线并无利益冲突,职能之间的摩擦都是局部和短期的,大的目标都是一致的,都是在齐心协力保护企业向着远方航行的时候,可以走的又快又稳,各条防线一起协同作战,更好的提升乘风破浪的能力。
在华为,有一种灰度管理理论,讲的就是这种有时不能清晰界定黑白的管理边界问题,那说的是颠倒黑白吗?
当然不是,在我看来灰度管理理论包含的是一种不黑不白、无黑无白、亦黑亦白的管理智慧和人生真谛!