内部审计协助企业内控的十步骤
传统观念下,企业合规和控制活动通常因占用预算和消耗管理层时间而被视为一种负担,且经常被理解成“不必要支出”和“低效率行为”。然而,如果将这些内控活动成功地在日常流程中加以实施并有效运作,则可以帮助提高信息的可信度、决策正确性以及经营业绩。内部审计职能部门应该协助管理层、董事会/审计委员会建立一个更为全面、通俗易懂的风险管理框架,从而评估、解决和监控企业所面临的风险。通过运用最佳实践所总结的经验,内审应该能够协助管理层:更好地理解企业面临的风险;确保管理层实施适当的合规和控制活动框架以应对风险;协调统一组织内部的风险控制流程;协助完成向高级管理层和审计委员会提交的综合风险报告,确保高级管理层和董事会/审计委员会能够清晰、全面地监督企业风险及管理状况,并获得足够的信心,从而给予广大股东充分保证。
内部审计通常可协助企业通过以下10个步骤,建立内控治理框架,为企业内控制度提供全面保证打下基础。
(1)列明关键风险领域,提请董事会批准。内审部门应协助各级运营管理层、各职能部门分析并列明主要风险流程,汇总后报高级管理层、董事会批准;
(2)协助企业明确并记录所有风险偏好/容忍度;
(3)持续的风险管理,内部审计应协助企业采取自上而下和自下而上的策略,开展持续的风险分析和评估;
(4)风险记录,协助企业记录风险评估结果;
(5)记录不同风险领域的所有人、管理手段;
(6)基于企业价值制定战略/商业模式,根据风险评估结果并结合企业风险偏好/风险容忍度,识别对当前战略及商业模式提出挑战;
(7)预警机制(监测),协助企业建立预警监督机制,如监督关键风险指标、最大风险,与风险容忍度相关联进行评估,就关键风险事件/风险信号向高级管理层或董事会报告;
(8)部门主管对关键风险的评估,内审部门应定期协助各业务部门主管评估关键风险,如公司治理、各项评价报告的满意度(内审、自我评估、外审)、不同领域风险变化等;
(9)汇总报告,协助企业将各方面获得的报告汇总,并形成总体报告;
(10)向股东提供汇总报告。