基于《企业风险管理——总体框架》的石油企业风险导向内部审计研究

摘要：运用全面风险管理框架（ERM）的理论，针对大港油田内部控制与内部审计发展之需要，探讨如何构建有效的风险导向型内部审计，旨在以风险导向型内部审计为目标，为大港油田公司内部审计发展提供一些具有借鉴意义的思路，并不断推进大港油田公司内部审计工作的创新和发展。
　　关键词：ERM；风险导向；内部审计；石油企业

　　一、研究背景
　　2004年COSO委员会颁布企业风险管理框架（ERM），该框架不仅扩大了原COSO内部控制整体架构的范围，建立起一个对风险更加关注的、更强大的内控体系，而且将内部控制与风险管理融为一体。企业全面风险管理已成为21世纪全球企业管理发展的新趋势。近年来，著名企业评级机构如标准普尔和穆迪已将ERM列为其对企业评级的基本评价因素，各国的审计标准已将审计的根本任务从审计内部控制逐渐转移到审计风险管理的职能上来。最近的调查显示：80%西方投资者愿为有能力实施全面风险管理的企业支付溢价，越来越多的企业开始从风险管理的角度来考虑寻找商业合作伙伴，以保障自身的品牌、时限、质量及可持续性。因此，无论从管理标准或企业评级的新导向，还是从来自于监管、投资者或客户的压力，实施全面风险管理已成为当今企业发展的必然选择。
　　IIA主席伍顿·安德森博士在2004年5月25日的上海报告中指出：在ERM框架下，内部控制与风险管理已经有效融合。风险导向型内部审计[1]通过协助风险估算程序，系统的识别风险事件，衡量和监控业绩，最终促成内部沟通和采取正确行动。基于此，本文提出以风险管理为核心的风险导向型内部审计。
　　二、构建基于ERM的风险导向内部审计
　　在大港油田公司构建依托ERM的风险导向型内部审计是以风险为基础，为实现公司的价值增值目标，由具备复合型才能的职业人员所从事的重在监督和评价公司治理有效性的保证和咨询活动。
　　（一） ERM框架下的风险导向内部审计分析
　　COSO委员会在2004年9月发布《企业风险管理——总体框架》，简称ERM框架，该框架包括八大要素：内部环境、目标制定、事件识别、风险评估、风险反应、控制活动、信息与沟通、监控。下面紧密围绕ERM框架八要素，对风险导向审计具体内容逐一进行简要阐述：
　　1.内部环境。内部审计要充分结合企业的外部经营环境（包括本地经营环境和全球经营环境），综合考虑内部环境可能的经营风险来源：不胜任的董事会、内部组织文化的功能缺失、与战略不相适应的风险偏好、高层管理人员知识、经验是否与战略主题目标和时代相和谐。
　　2.目标设定。战略及经营计划中隐含的整体组织风险为ERM其他六个要素的运行提供了一个总体框架，这些目标及风险偏好为ERM提供了总体标准。内部审计人员要系统的将组织战略和商业模式与对其实现构成威胁的风险联系起来，评估组织的战略目标、经营目标、财务目标、各个部门目标的合理性。
　　3.事件识别。内部审计人员通常会利用寿命周期分析法、SWOT法、KSF法、DCCS法、盈亏临界点分析法、财务、会计、统计指标分析法等捕捉风险征兆。如我们很熟悉的SWOT分析就是将企业内部与外部环境中有利与不利的方面放在同一个框架中进行分析，以综合评价企业从事某一种行业的可行性及风险。
　　4.风险评估。风险评估是采用定量或定性的方法，考虑企业潜在事件发生的可能性及对实现企业目标的影响程度。审计重点关注风险评估方法的适当性和有效性，应当遵循以下原则：定性方法的采用需要充分考虑相关部门或人员的意见，以提高评估结果的客观性；在风险难以量化、定量评价所需数据难以获取时，一般应采用定性方法；定量方法一般情况下会比定性方法提供更为客观的评估结果。
　　5.风险反应。管理层在评估相关风险后，按照风险管理优先顺序和风险管理策略，结合风险预警机制，对各类风险或每一项重大风险制定、评估和选择风险管理解决方案，确定如何应对风险。内部审计应重点关注风险管理解决方案制定是否科学。解决方案一般可分为四类：规避风险、减少风险、分担风险、接受风险。方案制定要充分考虑风险容量和风险承受度、成本和收益、方案的机遇等因素。
　　6.控制活动。控制活动[2]是指为确保风险管理解决方案得以贯彻执行的政策和程序。内部审计要从如下几个方面评价控制活动的科学性、合理性：（1）检查相关交易过程的控制措施。好的内部审计控制的设计必须保证每项交易都具有证明文件，保证拒绝非法的交易，保证所有合法的交易能够被正确处理。（2）总体控制与具体控制。总体控制的缺乏会使具体控制失效。设计具体控制时，必须同时考虑相关的风险、报告的风险和发生的频率。（3）多重控制。为防止一项控制措施不能发现和纠正错误的可能性，应设计多重控制。这里包括授权、职务分离、凭证、接触、实物清查等几个方面同时或交替的控制设计。（4）对成本与效益原则的考虑。内部控制的设计应该遵从成本与效益原则，即将缺乏控制导致的损失与建立和实施控制的成本相比较，寻求内部控制的独立性、有效性的同时，力求简洁与低耗。
　　7.信息与沟通。内部审计人员需要关注高层管理者的战略、目标意图能否自由、迅速、畅通的传递给下级，并且下级是否能充分理解上级的意思表达，并将意见充分反映到上级、管理层对员工意见的获取和采纳程度以及组织是否有多种沟通渠道等。
　　8.风险监控。内部审计对风险管理的监控实际上就是判断高级管理层的ERM业绩的优劣，在此过程中，内部审计人员要对风险评估过程进行再次评估，在这里要引入IIA的最新分析工具一分解（decomposition）。分解方法将经营计量系统记录的业绩与计划和预算中的预期业绩以及同一时期的竞争者进行比较，是监控风险环境变化的一种有效方式。与预期值的差异可以按其原因或“起源”来解释，或者用之前的风险分析所指出的、环境或经营条件的变化超出了限度来加以解释。对原因进行相关、及时地计量和剖析便于管理层及时作出反应，又能更好的发挥内部审计咨询方面的增值功能。
　　（二）ERM框架下风险导向内部审计的实施安排
　　1.重视以风险为基础的审计计划。制定审计计划[3]是指审计人员完成各项审计业务，达到预期的审计目标，在具体执行审计程序之前编制的工作计划。《内部审计实务标准》第2 010款关于制定审计计划中指出：首席执行官应该制定以风险为基础的计划，以确定内部审计活动的重点。企业风险导向审计计划是对内部审计师的一种指引，也是一种便于审计监督的内部约定，其中说明了将要采取的审计步骤，这些审计步骤旨在收集审计证据和帮助内部审计师对被检查业务中存在的风险、效率、经济性和有效性表达意见。其内容通常包括如下几个方面：（1）审核以前的报告、审计方案、工作底稿及前任审计师提供的文档，列出任何要求采取纠正行动的公开项目。其作用在于获取背景资料及确定过去审核的结果，以更好地确定当前重大风险的审计范围。（2）实施初步调查，以确定被审核的活动的目标、实际或潜在风险，以及现存的控制系统。（3）审核被审计职能的政策和程序，以及它的经营管理手册、组织结构图、权力结构图、长短期目标。通过审核来确定可以衡量和评价风险的领域以及该职能是否按管理层的意图执行。（4）审核有关风险的审计领域的现行内部审计资料，针对被审计的业务活动，获得最新的技术信息。（5）准备被审计职能的主要业务流程图，获得业务流程的可视分析，识别控制缺陷。（6）审核管理层已建立的绩效标准，如果可能，把它和行业标准进行比较。（7）会晤客户，讨论审计范围和内部审计师试图达到的目标，避免有关审计目标和范围被误解。（8）编制完成审计业务所需耗费的详细预算，以保证审计过程的效率。（9）通过风险评估并排序，列出必须考虑的重大风险。（10）为每个可识别风险确定什么控制有效，检查现行的控制是否可以消除或充分地减少已识别的风险。确定重大问题和机会的实质，识别困难的主要方面，确定其原因和可能的补救方法。
2.以确认企业主要风险管理目标是否实现为依据，实施审计测试与审计发现。审计测试意味着通过将选择的项目变成证据，在现代风险导向内部审计中，内部审计师应获得足够的证据，确认企业主要风险管理目标是否实现。审计测试中通过运用抽样、观察、提问、分析、证实、调查与评估[4]等方法获取有关风险的审计证据，并且揭示出它们的内在品质或特征，目的是为内部审计师形成审计意见提供基础。