先看两张图,图一是某集团公司风险管理部的职能架构,图二是风险管理体系的架构,包括风险管理部、审计部、合规部。有人看了这两张图,会猜出这个集团公司是金融企业,是的没错,而且还是大型的金融企业。金融行业的监管机构会专门出台风险管理、合规管理、内部审计的相关制度要求。对于大型银行、保险公司等金融企业,都会分设风险管理部、合规管理部、内部审计部三个部分。尽管分设三个部门,尽管分属于二、三道防线(也有把风险管理部、合规管理部放在第一道防线的),但是三个部门在风险管理上还是有交叉。
现代审计理念提倡以风险为导向。实际工作中,审计人员也会进行风险评估,像图二所示,审计部门的风险评估主要是针对运营风险的评估或评价上。即使审计部门要对组织的整个风险管理体系进行评价,基本上也只是针对组织架构是否健全、是否按照制度、流程开展工作,具体到风险模型设计是否合理、风险监控是否起到效果,这对审计部门提出了挑战。
审计部门在组织风险管理中发挥什么作用?充当什么角色?这要先看内部审计在组织风险管理中的位置。
有人把内部审计包含在风险管理当中,见图三:
反过来,内部审计对组织的风险管理和内部控制进行监督和评价,见图四:
那么,现实中内部审计究竟在组织里可以充当什么角色呢?我们看看能不能做到这几点:
1.风险管理的宣导者。既然现代审计以风险为导向,审计工作目标之一也是为了促进组织风控水平的提高,那么审计部门就有风控宣导的责任。审计部门要通过宣导,尤其对业务部门和经营单位,让大家具备风险防控、合规意识,掌握防范风险的方法。
2.风险分析的践行者。审计部门既然以风险为导向,就要对内外部风险进行全面识别、评估和分析,将风险分析结果运用于审计计划制定、审前准备、审计方案制定、审计实际检查等环节。审计部门要扩大信息技术的应用,要不断建立和完善风险分析模型,通过在信息系统上的运行获得有价值的风险信息和风险范围。
3.风险信息的提供者。审计部门不能把风险分析的结果只用于审计检查,必要时还可以把风险预警信息提供给风险管理部门或业务部门,以引起其关注和采取防范措施。审计部门在审计检查中获取的风险信息,如果是系统性风险或重大风险信息,需要及时提供给决策层和管理层。
4.风险评估的运用者。风险管理部门或风险评估相关部门会定期、不定期开展风险评估,审计部门可以获取评估结果,在审计检查中进行运用、验证,这样既能为风险评估部门提供验证信息,又能节省审计部门的精力避免重复投入。因此,审计部门应该加强与风险管理部门的沟通。
5.风险管控的参与者。风险管控是系统工程,需要组织每一个部门、业务单位都来参与。审计部门不能只查问题,而不去提供风控的建议。审计部门还应该与业务部门、风险管理部门、合规内控部门加强联系、交流和沟通,共同筑起风险的防线。
6.风险管理的学习者。做好风险管理和风险导向审计,风险识别、风险评估非常重要,这就需要审计部门加强风险管理知识的学习,还应该把风险管理中的一些分析工具运用到审计分析和检查中去。风险管理的理论和实务也是在不断发展的,审计部门要适时更新风险管理理论,学习风险管理的先进实务,将风险管理理论和先进经验借鉴到审计实务中。