2011.7
26中
国内部审计企业风险管理是一个复杂而抽象的实践过程,这方面的专业技术仅是组织开展日常工作的工具。就像一句隽语,即使是理解企业风险管理框架(ERM)的人们,最后还是要理解那几个易于掌握的基本原则,其中一个原则就是风险管理是每个人工作的一部分。事实也是如此,如果不了解如何进行风险管理,那么在日常工作中就不可能始终关注工作中的风险,就不可能很好地履行职责。
但问题在于,不是所有的ERM专家都认可这些基本原则,即使认可也会有不同的理解。两个组织即使风险管理起点相同、原则相同、使用术语相同,也不会按照相同的方式实施ERM。事实上,ERM也没有要求两个组织使用同样的方法,因为风险管理实务在组织之间是存在差异的,有各种各样的风险管理方法。
深谙风险管理复杂性并接受ERM方法有效地控制风险的需要是风险管理新的推动力。这就是,全球经济衰退使许多包括金融服务行业在内的组织,暴露了自身风险管理的不足,而税收和政府财政压力也促使公共机构和非营利组织重新审视自身风险管理的实施情况。
ISO31000标准提供了风险管理的原则与实施指南
◆ (英)尼尔?贝克◆ 夏青 编译
一般来讲,如果一个组织打算尽可能地提升风险管理水平,就要运用风险管理最佳实践的模型,并将其作为基准点。确定风险管理模型是内部审计师对所在组织风险管理质量进行评价的第一步。现在,有许多风险管理模型可供考虑,如特恩布尔指南(TheTurnbull Guidance)在英国就非常普遍地使用,COSO指南也被广泛应用于美国和其他国家。但要建立一套国际风险管理标准却很困难。2009年,日内瓦的国际标准化组织发布了ISO31000标准(以下简称ISO31000):风险管理——原则与实施指南,提供了风险管理的原则和一般性指导方针,可适用于任何类型组织的风险管理。
一、ISO31000应用的广泛性
澳大利亚和新西兰风险管理委员会主席格兰特?珀迪,参与了ISO31000的编制并在其中发挥了重要作用。他说,这是第一个真正用于全球的标准,在过去的20多年,风险和风险管理已经在许多标准和法律中有所强调,并且这些标准和法律大多相互关联,具有相似性,但不具有普遍性。ISO31000基于简单原则,为风险管理提供了相应的框架,描述了风险管理流程的最
佳实践以及流程所体现的特性,具有灵活性。
ISO31000认为,一个组织进行风险管理的最佳方式是组织对于风险应该保持“结构化和持续性”的内部沟通,应该在内部环境和外部环境中识别风险,要考虑政治、社会的变化以及商业道德和战略等。
ISO31000提出,风险应该通过规范的、结构化的流程进行识别;应该有适当的技术,对每一种风险的可能性和后果进行分析;必须有一种方法,按重要性对风险进行排序,划分出风险管理的优先次序,做出比较合理的处置风险决策。同时,整个流程应得到复核和监控,其中包括对已识别风险所采取的行动跟进。风险管理流程是风险管理框架中的组成部分,为设计、实施、监督、复核和持续性改进整个组织的风险管理提供基础和组织安排。组织安排是指计划、各种责任关系、资源和活动。
ISO31000概述了风险管理最佳实务的特性,包括能够明确不确定性;是业务流程和决策的组成部分;依赖最有效并适合组织的信息;充分考虑人类和文化因素,使人们能够在现实世界中予以实施;是动态的、反复的以及
27
2011.7中
国内部审计适应变化的,并具有透明性和包容性,随着组织在风险管理方面的不断改进而进一步加强,创造和保护价值。当然,实现部分目标要比实现全部目标更容易些。
二、ISO31000对内部审计的作用
ISO31000为内部审计师提供的目标是清晰、明确的,其中,第2100条:风险管理工作的性质要求内部审计机构应该通过应用系统的、规范的方法,评价并改善治理、风险管理和控制过程;第2120条:内部审计机构必须评估组织中风险管理的有效性,帮助组织不断改进风险管理。ISO31000对内部审计机构、内部审计师在风险管理方面都提出了要求。
2010年,IIA将ISO31000置于内部审计专业实务框架中,用以评价风险管理的适当性,并制定了相关指南。指南指出,内部审计机构能够对风险管理提供三种保证:主要风险管理流程要素适当,全部流程具有所必需的特性,组织变化和发展时风险管理能够随之改进。同时,ISO31000可以作为模型的框架。
IIA指南的参与者、微软公司高级审计主管布莱恩?福斯特认为,对于内部审计师而言,无论能否推动风险管理工作的加强或者对风险管理的评价是否特别到位,ISO31000都是一个非常有价值的工具,可用来衡量风险管理的履行、计划、执行和监督。
三、ISO31000的实用价值
ISO31000很接近或者说脱胎于澳大利亚和新西兰的AS/NZS4360标准模型(以下简称AS/NZS4360)。IIA澳大利亚专业服务委员会副主席、毕马威会计师事务所(KPMG)董事麦克?
帕金森认为,两个标准几乎完全相同。
ISO31000为评价组织流程控制体系提供了方式,并有助于内部审计师制订完整的审计方案,明确需覆盖的领域。正如帕金森所说,ISO31000为内部审计师建立标准化模型提供了基础,为内部审计师开展风险管理流程的测试活动提供了基本原则,有助于内部审计师规划每项具体审计任务;同时,内部审计师不需要对每个事项进行测试或复核,重要的是识别最高的、优先级的风险,评价控制系统的适当性,评价控制系统设计是否针对经营管理活动中存在的风险。帕金森高度评价ISO31000提供的风险确认和分析方法,认为可用来设计控制系统以及组织对风险管理实务的评估,且简单、易做,具有完全的独立性。
由于组织的风险管理专家和内部审计师有很多共同目标,所以最好能通过一种共同的语言和方式加强合作。ISO31000为风险管理确定了被广泛认可的规范词汇,意味着不仅是风险管理人员之间用同一种语言进行沟通,而且与内部审计师也能够进行良好的沟通和相互理解。帕金森认为,当ISO31000提出具有吸引力的共同术语的同时,一些关键术语的定义与IIA的定义却存在一定的差异,例如风险偏好、风险容忍度等。这意味着,当风险管理人员、内部审计师与管理层进行讨论时,一些同字不同意的词汇可能会导致混淆甚至争议。其实,内部审计师一般习惯使用客户的语言而不是审计语言,但对同字不同意的词汇的问题,内部审计师也很难解决。
四、ISO31000是着眼全局的风险管理标准
IIA澳大利亚分会发布基于
ISO31000的确认实务指南。安德鲁?麦克劳德认为,ISO31000在合适的层面上建立了一个框架,不仅停留在纸笔上,具有可操作性。
ISO31000提供的方法,有助于组织将其融入风险管理,使风险管理活动更加有效,风险管理方案和风险管理效果更具有可持续性。
加拿大多伦多Risk Oversight公司的首席方法论师提姆?里氏认为,ISO31000是风险管理“简洁形式”的象征,但并不是内部审计师的“万能药”。内部审计机构仍然是主要的风险分析家和风险与控制的报告者,负责对大多数常规风险的控制进行评价。ISO31000要求内部审计师对其自身为重要因素的某一流程进行评价,必然会对其独立性和客观性产生质疑。
美国加州圣何塞市SAP公司副总裁诺曼?马克将ISO31000视为一个有价值的文件,但强调其局限性。他认为,ISO31000没有讨论企业内是否需要开展风险管理,也没有讨论有关风险管理活动的设计,忽视对风险反应时间的要求以及与风险波动性相关的风险管理设计。这些“不足”会影响其使用以及内部审计师对某些方面的关注,如ISO31000不强调内部审计师应具备充分的风险文化,却要求风险管理必须适应组织的文化。应该认识到,一个框架不会持续不断地提供现成的解决方案,ISO31000的使用同样需要量体裁衣。
(来源:IIA《内部审计师》2011年4月刊,编译者单位:银联商务有限公司,邮政编码:201203,电子邮箱:xiaqing517@126.com)