风险管理和内部审计

 
跨入21世纪，全球商界越来越关注风险管理——内部风险、外部风险、财务风险、经营风险，战略风险，甚至技术风险和法律风险，当然，也有声誉风险。

世界经济云诡波谲，尽管企业不断地提高风险管理的效率，职业经理人们仍在风险突现的运营环境中，艰难地逆水行舟，追逐利润。尤其今年，世所罕见的网络安全漏洞、局势动荡的中东和东欧、难民危机等等世态，令全球金融界商界为之震惊。

而越来越多的内部审计师们发觉，在遵循每年3月抵定的风险导向性“年度计划”开展工作时，更多的是在解决“陈病旧疾”。

如此态势更加坚定我一直秉持的观念——内部审计的风险评估必须更具有持续性。唯有不断根据潜在风险的演变情况评估调整内部审计计划和范围，尤其应对突发事件或意外事故时，（实施内部审计）才能够持续为内部审计利益相关者增值，保持事业长青。

“常规的内部审计计划并不适合应对突发危机”的观念，源自我以往的职业生涯：上世纪90年代，伊拉克入侵科威特期间，由于传统的内部审计计划拙于应对突发事件的关系，为保证风险识别的及时性及审计重点的准确性，当时作为美国陆军CAE的我必须全神贯注于不断地持续评估风险并调整修订内部审计计划。

因循传统的（内部审计计划）方式以及6-12个月前预定的例行公事，内部审计师能够成功的处理意外事件的可能性有多高呢？答案不言而喻。

最好的解决方案就是，建立持续性的风险评估，并不断更新信息保证内部审计计划与时俱进。

那些没有设计连续风险评估机制的内部审计师，常常拿实际执行的艰难和费时费事作借口。确实，不少企业一年都难得有机会完成一次全面风险评估。那么，如何始终保持风险评估结果的 “新鲜”呢，这里可以提供一些简单的小窍门：

形式化方法（制式化管理）

1

在最近CBOK *研究协会上， IIA 研究机构指出,“内部审计可以每年只更新其审计计划一次,但内审仍保持高效及时并且能迎接大的挑战。”持续监测风险的一个方法是在年初识别关键风险指标(KRIS)并全年定期或持续监控他们。这些关键风险指标和年度风险评估结果,及众所周知的的不稳定的风险有着密切联系。当出现异常时,内部审计应该评估组织的风险是否转移。同时，内部审计的范围应该相应地调整。

注：CBOK是IIA在针对内审专业做过全球性的调查及研究后，依全球内审师应共同具备的专业知识和技能所建构的核心知识

鞋底评估

2

另一种使你的风险评估和审计计划及时更新的方法，我愿称之为 “走动式风险评估”。顾名思义,（这种方法）取决于与从事中高层管理工作的关键成员建立强有力的工作关系。这样只要风险发生就能即刻洞察。风险评估的“走动”可能缺乏更正式的纪律和结构评估，但它是个能让你时刻知晓组织内任何活动的顶级策略。同时，它也能揭示新的风险，这是传统风险指标所无法比拟的。在那些大公司，风险评估走动不能只是CAE的责任；整个内部审计部门必须组织和调动起来。

大局意识

3

第三种方法是简单地把视角定得尽可能高，以监测全行业的变化，经济的发展趋势，以及其他外在因素。行业出版物，研讨会和专业协会的会议帮助我们去的可能影响风险评估的关键情报的宝贵来源。这也必须是一个团队努力的结果。

那么，究竟依靠哪种方式进行持续性评估才能紧跟时代浪潮呢？

在我看来，上述任何一个方法都远胜于“不管世易时移始终不改初衷”的传统审计计划方法。然而，遗憾的是，至今也没有一个方法能够至始至终符合时局变化。

我的建议是综合应用上述方法：

形式化方法最适合解决先前确定的风险； 鞋底评估有助于确定新的内部风险；而大局意识，让我们始终保持高度敏感，能轻松应对我们行业或整个经济中新出现的外部风险。

CBOK的最近一项研究将“实施更敏感、更灵活的风险导向审计”列为“改变的必要条件”之一。该研究推荐了下列“CAE的关键操作步骤”：

判断风险评估流程的成熟度，并制定其在整个企业范围的推广应用计划。

制定内部审计流程来识别和报告新出现的风险:
1、将识别新风险事项作为直接下属的关键绩效考核项目之一；

2、统筹企业中其他的风险部门及管理单位，共享有关新风险的信息和观点；

3、识别和使用源自外部的相关数据、知识和商业问题，这有助于揭露更多的新问题。

评估审计流程并定期更新、更改年度审计计划。当组织风险演变时能立即采取行动，更快地推动审计进程，更频繁地修改审计计划。

和内部审计主要服务对象（管理层和审计委员会）谈谈频繁更新审计计划的必要性，寻求内审在“完成年度计划”与回应风险的新增、变化之间的平衡：

1、考虑实施滚动的审计计划——比如说，计划滚动覆盖了接下来的六个月；

2、定期开展坦率地和高级管理层及审计委员会讨论，讨论主要涉及组织风险的性质、范围和严重程度；

3、制定或完善审计报告，以明确组织风险的改变与审计计划的更新之间有直接关联。