風險管理：內部審計新視點

2004年可能對很多人仍然記憶猶新，震驚國內外的“中航油事件”，以及同期發(fā)生在國內的伊利股份高管被拘、創(chuàng)維數(shù)碼董事局主席被捕以及金正數(shù)碼和深圳石化原董事長被捕等事件敲響了業(yè)界要求加強風險管理的警鐘。而這兩年來一系列與內部控制、風險管理相關的政策法規(guī)的密集出臺及企業(yè)內部控制標準委員會的成立，無一不彰顯了各界對內部控制與風險管理制度要求的高起點和高標準。種種跡象表明，中國版“薩班斯法案”已經進入倒計時，企業(yè)內部控制和風險管理的制度體系建設也由此進入最關鍵時刻。
     中央企業(yè)、上市公司對如何建立有效的企業(yè)風險管理體系借以防范風險已提到議事日程。對此，中國期貨業(yè)協(xié)會會長田源認為，企業(yè)風險管理機制的建立，關鍵不在于機制本身，而在于有沒有被落實。中國內部審計協(xié)會王道成會長在今年9月27日“內部控制與風險管理創(chuàng)新高峰論壇”上提出，應充分發(fā)揮內部審計在完善公司治理、健全內部控制機制、加強風險管理當中的職能作用，倡導和推進內部審計從傳統(tǒng)的財務收支審計、單獨的查錯防弊向以風險管理和內部控制為導向的管理審計轉變。因此，對于內部審計人員來說，的挑戰(zhàn)是在企業(yè)風險管理過程中扮演何種角色？
     一、風險管理：國外的理論與實務動態(tài)
     1995年2月27日，英國巴林銀行宣告破產，表面上看是市場風險，交易員在日經指數(shù)期貨合約和期權合約上建立的巨額頭寸因神戶大地震導致市場大幅波動而暴倉，但實質上暴露了這家百年老行所謂嚴密的風險管理系統(tǒng)和嚴格的交易風險控制策略僅是一層窗戶紙，一捅就破。1990年以來，相繼發(fā)生震撼世界的墨西哥、巴西、亞洲金融危機，如同多米諾骨牌效應對世界經濟產生了巨大影響。而這一系列危機多發(fā)生在發(fā)展中國家，其重要原因之一在于發(fā)展中國家對金融風險管理不夠重視，發(fā)達國家在理論研究與實踐中已經逐步建立起對金融風險從識別、衡量、評價到控制管理的一套完整的體系。
     “安然”、“世通”破產事件促使了美國《薩班斯法案》的出臺，2004年發(fā)布的《新巴塞爾協(xié)議》標志著當代商業(yè)銀行風險管理模式發(fā)生了徹底“革命”，即由以前單純的信貸風險管理模式轉向信用風險、市場風險與操作風險并舉，組織流程再造與技術手段創(chuàng)新并舉的全面風險管理模式。而2004年9月發(fā)布的企業(yè)風險管理（ERM）框架，是在1992年COSO報告基礎上，結合《薩班斯法案》的相關要求擴展得到的。在ERM框架中，要求內部審計人員在監(jiān)督和評價成果方面承擔重要任務，評估風險管理要素的內容和運行以及執(zhí)行質量，協(xié)助管理層和董事會履行其職責。
     IIA1999年的新定義將風險管理納入了內部審計的工作范圍。IIA認為內部審計師應該通過檢查、評價、報告風險管理過程的適當性和有效性并提出改進建議來協(xié)助管理層和審計委員會的工作。2001年亞洲內部審計聯(lián)合會組織的亞洲內部審計大會主題是：新經濟對內部審計的挑戰(zhàn)——風險管理與公司治理。大會提出，在新的經濟形勢下，內部審計必須繼續(xù)關注組織管理層的需求，了解組織的風險，并對風險管理進行評估。
     總部位于紐約的雅芳公司就是一個例子。他們提出：內部審計部門的目標是成為運營部門和公司管理層的業(yè)務伙伴。審計主管Hudson說，根據公司戰(zhàn)略行為和目標調整審計策略，在新的業(yè)務風險降臨時，設法從開始就介入，并通過雇傭有經驗的員工執(zhí)行原本草率行事的初始檢查。內部審計部門通過引導公司改進審計計劃來關注公司全面的業(yè)務風險。當內部審計向控制、管理方向發(fā)展時，內部審計人員作為高層次的監(jiān)督、管理人員，當然以“咨詢顧問”、“業(yè)務伙伴”的角色為公司增加價值，而不會使內部審計部門成為“花瓶”或僅僅臨場“救火”。
     二、圍繞中國風險管理的發(fā)展，拓展內部審計新思路
     1995年的“327國債事件”被稱為“中國的巴林事件”，由于當初的交易所忽略了最基本的風險管理，直接導致國債期貨暫停，這使我國在金融衍生產品上的第一次試點以失敗告終。而2004年的“中航油”與2005年的“國儲銅”事件，也是因石油和金屬期貨市場風險導致企業(yè)的重大損失。相應的機構在出現(xiàn)風險事件前均存在“完備”的風險管理政策和程序，其中2003年中航油公司曾被新加坡證券監(jiān)督部門列為“透明”的企業(yè)，說明公司確實在細節(jié)方面的內部控制設計得非常周到，然而由于未能做到政策和程序的嚴格執(zhí)行，高管層未將主要精力放在風險管理上，最終累計虧損達5.54億美元。
     2005年是中國金融業(yè)的“風險管理年”，包括銀行在內的各類金融機構都在加大風險管理力度。自2005年10月中國證監(jiān)會首次出臺《關于提高上市公司質量意見》開始，到今年5月17日發(fā)布《首次公開發(fā)行股票并上市管理辦法》，這是首次對上市公司內部控制提出要求。6月5日上交所、9月28日深交所分別出臺針對上市公司內部控制和風險管理制度的《上市公司內部控制指引》。德勤風險管理專家認為，上交所指引比《薩班斯法案》的控制過程更復雜，新增“目標設定、風險確認、風險管理策略選擇”，盡管不像《薩班斯法案》已經上升到法律高度，但是其要求的內控框架更高。
    國資委、銀監(jiān)會、保監(jiān)會最近都動作頻頻。國資委今年6月6日發(fā)布了《中央企業(yè)全面風險管理指引》，促進建立健全中央企業(yè)的風險管理長效機制。銀監(jiān)會從2004年底到現(xiàn)在連續(xù)公布《商業(yè)銀行市場風險管理指引》、《商業(yè)銀行內部控制評價試行辦法》、《市場風險監(jiān)管現(xiàn)場手冊》以及最新《商業(yè)銀行合規(guī)風險管理指引》、《銀行業(yè)金融機構信息系統(tǒng)風險管理指引》，引導銀行業(yè)加強公司治理，提高風險管理的有效性，應對銀行業(yè)對外開放的挑戰(zhàn)。保監(jiān)會也即將出臺包括《保險公司風險管理指引》等一系列規(guī)章制度，旨在推動保險公司建立一套實施風險管理的組織體系和程序化的管理方式。
     可以說，偌大的一個風險管理市場即將應運而生，但是對于實行企業(yè)范圍內的全面風險管理而言，并不存在一本類似菜譜的方法。風險管理的成功取決于企業(yè)文化、風險管理機構和風險識別程序。全面風險管理機制只有在健全的內部控制體系下，才能更好的實現(xiàn)目標。中國內部審計協(xié)會在2005年5月發(fā)布了第16號“具體準則—風險管理審計”，提出內部審計人員可以從企業(yè)整體和職能部門層面上對風險管理進行審查和評價。內部審計人員比較熟悉企業(yè)的生產、經營管理等活動，容易發(fā)現(xiàn)問題，并有能力參與評估企業(yè)存在的風險。結合李金華審計長今年提出的把內部審計作為一個控制系統(tǒng)，在企業(yè)管理尤其是風險管理、內部控制以及公司治理方面，突出內部審計在公司運營中的地位和作用，定期對公司的風險管理過程進行評價和報告，增強風險意識，保證各項風險管理措施不會出現(xiàn)“說的時候重要，做的時候次要，忙的時候不要”這種情況的發(fā)生。