问题1:内部审计
1、内部审计的本质区别于外部审计。内部审计是以实现在组织内部进行的提高机构运作效率、增加组织价值为目的的。
2、内部审计不仅仅是财务审计。许多企业,一提到审计,首先想到的是财务审计,这种观念有失偏颇,早在1947年,IIA对内部审计的定义是这样的:“建立在审查财务、会计和其他经营活动基础上的独立评价活动”,到了2001年,经过七次修改完善,现代国际内部审计定义已经将审计的方向由财务审计向经营审计转变。
3、内部审计的对象包括风险管理、控制及治理程序。由此,可以看出内部审计与风控的关系。
问题2:内部审计与外部审计
两者的审计目标不同: 外部审计的目标常常受到法律和服务合同的限制,如常见业务——财务报表审计的目标是财报的合法性、公允性作出评价,而内部审计的目的是评价和改善风险管理、控制和公司治理流程的有效性,帮助企业实现其目标。
两者关注的重点领域不同:外部审计的关注重点领域受到法律和合同的指定,例如财务报表审计中,外部审计主要侧重点是会计信息的质量和合规性,也就是对财报的合法性、公允性作出评价。而内部审计主要侧重点是经济活动的合法合规、目标达成、经营效率等方面。
问题3:风控与审计区别与联系
大型企业审计部门有的是设置为“风控与审计中心”,这风控与审计两者之间是否有什么区别与联系呢?
风控:风控部门一般是由机构的最高机构牵头,下面应该有好几个部门一起来做。
内部审计:是风控的一个环节,而不是全部。一般可以认为内审是事后的控制部门,也可以参与以事中和事前,但力度肯定要差一些。风控的最佳时机是事前,所以,内审与风控不能等同,更不能替代。
项目 | 内部控制审计 | 风险管理审计 |
目标 | 审查内部控制的健全性、合理性和有效性,查找“盲点”。 | 对企业的风险管理、控制过程进行监督、评价和咨询,并提出改进和加强风险管理的意见或建议。 |
内容 | 控制环境;组织风险管理机制的健全性和有效性;控制活动的适当性、合法性、有效性;组织获取及处理信息的能力。 | 企业风险管理系统、各业务循环及相关部门在风险识别、分析、评价、管理及处理等方面的活动内容。 |
作用 | 控制、监督、评价 | 控制、评价、咨询 |
审查重点 | 经营管理秩序的规范性、严密性和有序性;各控制点是否由不同部门和个人去完成,有无“独揽”的情况,经营管理职权是否民主科学和相互制约,寻找失控点和漏洞,提出弊端及症结所在。 | 风险范围确定的合理性;风险评价标准与指标体系的科学性;风险识别、评价的科学性;风险管理措施、方法与程序的合理性;风险实际处理的合理性等。 |
风险管理:侧重的是“可能性”。因此,风险管理应该是最早的环节,从企业整体评估风险状况,找到应对策略。这其中,又可分为不可控风险和可控风险。不可控风险通常通过风险转移、保险、风险接受等方式进行应对;可控的风险通常通过内部控制手段进行应对。所以内部控制本质上就是企业管理中通过日常管控手段降低风险的行为。那内控执行的效果如何,就通过审计来检查。审计检查完后有一些发现问题,可能是最早风险评估环节就没考虑到的,那么审计发现问题又回过头来指导风险管理的完善。
问题4:风控、内控、合规与审计
风控:就是对于企业风险的控制,一般来说市面上最常见的办法是使用ERM,即全面风险管理体系。这个体系中的风险偏好、风险识别、风险打分、风险管理、风险汇报形成一个完整的闭环,在企业中循环运行。
内控:在一个公司所面临的所有风险中,有一些可以通过内部控制来加以管理,最典型的例子就是操作风险:在生产经营中由于操作不当造成的风险。针对这样的风险,可以通过制定更加详细的操作手册、流程标准加以规范以减少风险发生的可能性及风险发生后产生的影响。而相对的,对于另一些风险,比如战略风险、投资风险等,虽然也可以有针对性的制定一些政策,但一般来说内控在这领域能取得的成果很低。
区别风控与内控概念的标准在于是否可以使用流程管控、制度或操作细则这些手段来进行风险管理。当然风控是更大的概念,包含了内控。内控是风控的其中一种手段、一种形式。
合规:合规与内控类似,也是通过明确的规章约束员工的行为。但合规所管辖行为的范围更加小但更加严格。一大部分的合规要求来自于国家或行业的法律法规,比如贪污、腐败、滥用职权。这些行为最本质的特征就是有一条明显的红线,越过即违规。而反过来看当我们进行内控评价的时候,往往不是这样的一刀切,在合规之上,我们还会评价内控有多好,有多有效。
所以我认为区隔内控与合规概念的标准在于是否有一条明确的违规界线来评价一个行为。内控是一个更大的概念,包含了合规。合规是内控中最基本、最严格的部分。
总结而言,这三个概念从大到小是风控-内控-合规。如果一个事情不合规,那么他一定也不符合内部控制流程,一定会是企业的风险。但一个风险不一定通过内控的方式管理,当然也不一定在合规的管辖范围之内。
审计:审计是完全独立于风控、内控及合规的。这种独立并不是源自于业务上的分离,更应该是来自于权责上的划分。
在我们行使风险管理、内控评价以及合规审查的职能时,是在行驶作为第二道防线的职能(第一道防线就是业务单位自身在工作中减少问题的产生)。而第二道防线并不完全是独立的,它往往依赖于第一道防线所提供的资料,甚至可以说,一二道防线的工作是紧密相连、不可分割的。风控部门更多的只是提供方法论、进行过程监督、协助调度资源等工作。但是对于一线部门提供资料的准确性是没有办法进行直接审查的。实际操作中,风险点的梳理与打分是业务部门完成的,内控评价往往也都是自评,合规调查更是大多依赖于一线员工的举报。这个时候我们就需要一个完全独立的部门行使复核的职能,而这个部门就是审计。
审计在制定自己的巡检方案时可以参考之前发生的历史数据,但一定是在自主的选择一个认为应该被调查的领域。而在调查中的资料收集也是尽可能的拿到原始数据而非各部门提供的二手汇总材料(理论情况下)。
举个例子,内控部门开展内控测评,其工作的重点在于汇总和整理一线部门反馈中薄弱的流程,并提出加强的办法。而那些得分为良好或者优秀的流程是否真的如汇报所示呢?这里的检查工作就应交给审计进行核查。
当然以上说的只是我认为理想状态下的分工,实际操作中的执行又是另外的一回事了。