“风险导向下保险行业内部审计模式的有效应用”< br>
摘要:一个有效的内部审计活动框架体系应该是一个艺术性和科学性的有机体,涵盖内部审计目标、内部审计活动应遵循的基本原则、内部审计活动应实施的核心要素等内部审计部门履行内部控制的监督职能,内部审计质量本身也是内部控制有效性不可或缺的一部分。< br>
1。以风险为导向的内部审计模式有效运作的先决条件(1)组织风险管理的成熟度PhilanAcoeetzeandAvlubbe(2014)指出,以风险为基础的内部审计模式中的一个假设是,组织在风险方面是成熟的,并且在战略和运营层面都有全面的风险管理流程。风险偏好和风险承受能力的水平应由高级管理层和董事会决定,或在适用的情况下,由业务活动管理层决定。换言之,实施风险导向内部审计的前提条件之一是组织的风险管理环境和风险管理活动相对成熟。安永在2017-2018年亚太地区首席风险官调查中指出,风险文化是亚太地区首席风险官的首要议程。普华永道的《2018年保险公司全面风险管理和资产负债管理调查报告》指出,超过90%的受访保险公司已经初步建立了风险管理框架,并面临下一步实施和落地风险管理的挑战。“风险管理目标和工具”是风险管理中最薄弱的部分从上述行业调查报告可以看出,中国保险业整体风险管理体系建设仍处于起步阶段。根据2017年发布的《中国保险业内部审计发展报告》,有111家公司反馈为“风险导向审计”虽然大多数保险公司在其内部审计工作模式中称自己为“风险导向”,但该组织实施的风险管理环境和风险管理战略还不够成熟,内部审计无法依赖风险管理过程的结果,而风险管理过程是风险导向内部审计模式发挥最佳功能的前提。因此,很少有保险公司能够在实际操作中满足实施“风险导向”内部审计的前提条件。(二)内部审计的成熟度1。内部审计业务的类型从内部审计目标的角度来看,内部审计活动可以分为合规审计、舞弊审计、管理审计、内部控制审计、责任审计、效益审计等。每种审计的目标都是不一致的,因此应用的思维逻辑和方法是不同的。正常情况下,合规性审核是通过抽样或其他方式检查是否存在违法违规行为,不需要进行风险评估。同时,风险导向内部审计模式需要在审计计划阶段运用风险管理流程进行全面风险评估,制定年度内部审计计划。实施此流程的前提是内部审核部门已经审核了组织的风险管理流程,并相信此流程的结果是可信的。对于目前专注于合规(包括合规)审计的绝大多数内部审计部门来说,这是缺乏相关风险管理流程审计的准备和经验。2.内部审计实施过程与“风险导向”的相关性虽然大多数公司使用“风险导向审计”一词,但我们很少看到对公司完整的风险描述,包括风险的定义、风险分类和相关术语的描述等。在内部审计规划阶段,显然缺乏任何形式的风险评估(即使进行了所谓的风险评估,也是非常片面和分散的,缺乏相关性,只有规模和爪子,拼凑,顾此失彼)或基于风险的审计规划。同时,风险导向内部审计通过发现问题的线索来分析触发因素和原因,并提出改进组织运作的管理建议。在这个过程中,要兼顾效率和效益,选择合适的风险处置方法,并与公司的风险偏好相一致。对于目前绝大多数专注于合规(包括合规)审计的内部审计部门来说,缺乏能够开展上述活动的综合型人才已经成为目前实施风险导向内部审计的最大障碍之一。目前,我国保险业整体上不具备实施“风险导向”内部审计的条件和基础。内部审计除了自身的发展因素外,在很大程度上还受到行业和公司内部整体风险管理水平的制约。这一创新和演变的过程需要所有有关各方的努力和协调。我们可以借鉴现代内部审计的理念和思想,找到提高内部审计效率的途径。第二,有效的内部审计框架虽然不同的组织受其内部环境和自身发展水平的影响,内部审计部门在实际运作中存在差异,但内部审计部门在构建自身运作时有着相同的共同理念和思维逻辑。本文基于多年实践经验总结出的行为因素,从内部审计的本质出发,进行了系统的理论探索。它认为有效的内部审计活动是艺术和科学的有机体,其框架体系如图1所示。
框架系统提出内部审计活动的目标是帮助组织实现其战略目标。内部审计活动遵循的基本原则是成本效益原则。内部审计活动的核心是内部审计人员的职业判断。内部审计流程是在公司总体战略目标的框架内评估组织治理、风险管理和内部控制的有效性。在风险分析、原因分析和改进措施的全过程中,与相关方密切相关。这是一个有效的合作和沟通过程。内部审计组织通过促进利益相关者及时采取适当的纠正措施,可以改善组织的运作,确保组织战略目标的实现。3.内部审计的目的是改善组织的运作(1)防止“小错误”变成“大风险”。正如《2019年全球风险报告》所述,我们必须在非指控过程中面对事实,不仅要找出具体问题,还要关注更广泛的组织和系统原因。只有这样,我们才能识别早期预警信号,保持怀疑,使用结构化决策工具,并更好地管理危机——防止“不可预见的错误”。通常,业务部门对这个问题知道得更多,也知道如何更有效地改善它。然而,问责制往往使个人更加谨慎,并在事实面前以各种理由为自己辩护。同时,它还会使不同层次的人扮演“哑巴”的角色,导致重要的问题迷失在组织的底层因此,内部审计部门需要从组织的整体利益出发,考虑自己的角色定位,以便更好地履行自己的职能,并能在审计委员会和高级管理层面前体现自己的价值。(二)为增强组织有效性,内部审计结果如何更有效地给组织带来附加值,这已经远远超出了“监督”职能在一定程度上,内部审计的目标与内部控制和风险管理是一致的,即促进组织的发展和提高效率,更经济、高效、有效和及时地管理风险,满足法律法规的监管要求因此,内部审计不仅显示风险列表(组织中所有风险的清单),而且为有效的风险管理提供见解并促进相关方改进。在大多数组织整体风险管理成熟度较低的背景下,发达的内部审计部门也可以提供一系列提高组织风险所需的工具和支持,如风险管理教育和培训。多年来内部审计揭示的风险和弱点也可以为进一步改进组织的风险管理工具提供参考。(三)遵守法律法规在日益严峻的监管环境下,监管风险已成为组织面临的主要风险之一对于在海外设有机构的保险公司来说,它们也面临着越来越大的地缘政治风险。正确理解和解释监管政策是确保组织遵守法律法规的先决条件。因此,内部审计部门有必要充分分析监管政策及其变化,评估组织的治理、风险管理和内部控制是否能有效促进组织合规,并提出改进建议,帮助组织降低监管风险。基于改善组织运作的根本目标,内部审计部门必须促进各方积极参与内部审计活动然而,从人性的角度来看,这是令人厌恶和厌恶的检查。因此,内部审计部门需要建立一个框架,以加强内部审计部门与组织内各方的协同作用,并加强与组织各级的密切合作。内部审计人员有必要改变他们的“强势姿态”,赋予同理心,并从对方的角度进行思考。如何提高各方参与审计过程的积极性,如何在意见分歧时提出令人信服的论点,何时需要某种“妥协”,以及如何谈判和协商;在不影响风险性质的情况下,如何描述风险,使风险更容易被各方接受,得出更恰当的结论,并在恰当的时间传达给恰当的人,这些都是内部审计部门需要考虑和思考的问题。目前,主流观点认为审计报告应反映审计过程中各方的努力,包括被审计方对过程中风险的识别、已经实施的改进措施和取得的成果等。内部审计的核心是内部审计师的职业判断(1)内部审计师职业发展的现状1。内部审计学科基础知识体系薄弱专业判断来自多学科知识的结合。内部审计师不仅需要本领域的专业知识和技能,还需要心理学、社会学、行为学、哲学、统计学等更广泛领域的基础知识,以提高他们的专业判断能力和对事物的看法。内部审计是一个综合性的知识体系,有其独特的思维逻辑和方法正如安布腾(2016)所言,只有正确理解有效内部审计的本质,掌握审计过程各个阶段的方法论,并获得五个层次的审计能力,内部审计人员才能有效地运用所掌握的方法论,获得所从事领域所需的知识,即使这些领域以前并不熟悉。然而,令人遗憾的是,内部审计并没有被纳入高校的主流学科,甚至许多高校也没有将其作为主流学科的一个分支。目前,从事内部审计的人员很少接受过系统的内部审计方法培训和研究,基础理论知识的薄弱制约了内部审计人员的成长。这就要求集中行业力量,推动内部审计领域共同知识体系的建设,通过行业组织对内部审计人员的基础学科知识进行继续教育和培训,以促进内部审计的专业化发展。2.人才匮乏是内部审计发展的最大障碍在许多组织中,内部审计部门并不是组织中“受欢迎”的部门。在某种程度上,这是由于内部审计自身的角色定位与利益相关者的需求不一致造成的。因此,内部审计部门资源有限,这直接关系到内部审计人员的薪酬和职业发展。对于优秀人才,他们通过观察组织提供的职业发展平台和上升路径,选择最有利于自身发展的部门和岗位。大多数组织的内部审计部门往往缺乏吸引力,吸引和留住优秀人才成为他们最大的困难。因此,内部审计人员有必要找到打破这一僵局的方法。一些主要国际组织的最佳做法也是建议审计委员会和高级管理层在高级管理层的晋升道路上给内部审计员留一个席位。(二)增强内部审计师职业判断的关键要素1。内部审计基本方法论是职业判断的基本原则一个组织的运作需要同时考虑成本和收益。新技术的发展给运营过程带来了优化机遇,也带来了新的风险。虽然基于历史的检查方法可以在一定程度上发现组织中的一些问题,但问题的改善需要内部审计部门与时俱进,从内部控制和风险管理的效果和能力方面寻找切实可行的改进方案,从根本上预防和降低风险。“目标-风险-控制”是作为内部审计基本方法理论和思维逻辑框架的基本思维逻辑框架。它的正确理解和熟练运用是内部审计师应该掌握的基本知识。(1)内部审计注重风险众所周知,风险是客观存在的,风险管理是利益与风险的平衡。因此,内部审计不是一张清单,而是通过运用一套系统的方法和原则,有效识别组织面临的内在风险和残余风险,有效评价公司治理、内部控制和风险管理的效果,寻找改善组织运作的机会,促进管理快速有效地改进。内部审计关注风险风险可以被定义为不确定的事件或条件,如果发生,可能影响组织目标的实现风险可能来自内部,也可能来自外部。风险可能由人、系统、环境等因素引起。,或者它可能是由多种因素交叉造成的。有主观的、有意的和客观的。然而,当员工执行特定工作时,错误是由工作技能、工作经验和工作责任等因素引起的。组织可以通过良好的内部控制来减少错误的概率和损失,例如对员工的持续教育、自动系统验证和错误纠正、对关键问题的多层次审查等。将错误控制在组织可接受的范围内。因此,在实施审计项目的过程中,内部审计师不仅要发挥“审核”或“审核”的作用,还要通过有效运用长期积累的工作经验和审计方法,在发现错误和其他行为风险的基础上,评价内部控制和风险管理的有效性。(2)审计抽样与风险判断的相关性审计抽样方法一般分为随机抽样、随机抽样、判断抽样、统计抽样和非统计抽样等。不同的抽样方法可能对风险形成不同的判断,因此有必要根据具体的审计目标和审计程序,采用相应的审计抽样方法或多种抽样方法的组合。例如,内部审计部门评估“运营核保文件的完整性、正确性和及时性”。程序需要通过一定数量样本的随机抽样,并将样本结果与公司的评估指标(公司可接受的风险)进行比较,以判断过程控制的有效性。然而,如果审计人员通过经验进行判断抽样,他们会发现更多的错误,结论可能会偏离它。但是,审计部门对“操作核保文件真实性”的评估可能要求审计人员根据经验进行判断抽样,在有限的样本中发现可疑线索,并进行进一步检查。因此,内部审计部门需要建立一套完善的审计抽样制度,涵盖抽样原则、方法等。,为审计师尤其是新员工开展审计项目提供参考,从而提高内部审计师职业判断的恰当性。(3)风险原因分析是提出改进建议的基础正如保险索赔是基于近因原则来判断其是否符合合同履行的支付标准一样,风险管理也是基于判断风险原因的前提来思考改进措施。如果对风险原因的判断不一致,风险改善的措施就不一定相同,风险管理的效果也会不同。因此,有效识别风险原因对于审计师做出正确的职业判断和提出恰当的审计建议至关重要。如前所述,在内部审计过程中,有必要通过控制活动和风险管理重点减轻、避免和转移风险。以销售误导为例,基于对人们自身利益的考虑,销售误导是一种内在风险,客观存在,本身无法完全消除通过有效的内部控制和风险管理,组织可以避免系统性和群体性销售误导行为的发生,及时发现个人销售误导行为并采取措施加以控制,从而减少可能的影响,将风险控制在组织可接受的范围内。因此,在内部审计过程中,关注销售误导控制过程的健全性和有效性。例如,如果缺少某个控制点或某个控制点没有发挥相应的作用,可能需要注意预防性控制措施(合规文化、员工培训和合规教育等)。),监督措施(监督员工不良行为的方法、监督的及时性和全面性、风险处置方法等。),纪律措施(处理处罚、开除等。)在具体的原因分析中,有必要综合所有可用的信息,包括一些历史信息,来判断行为是人为的还是产品的。是主观恶意行为、缺乏客观技能还是历史遗留问题等由于不同的原因,改进计划会有所不同。2.审计信息是正确职业判断的基础在保险业快速发展和改革的过程中,随着组织规模的扩大、数据的急剧增加和经营模式的变化,原有的内部控制可能不适应当前组织的发展。内部审计师的知识储备对现代内部审计运作的有效性至关重要。然而,这种知识储备在很大程度上反映在信息储备中,它不仅包括组织的内部信息,如公司的发展战略、管理措施、实施结果、面临的困难等。,还包括外部信息,如行业的最佳实践、行业的一般知识信息、行业的整体环境等。充足及时的信息是内部审计师做出正确专业判断的关键。风险评估、审计计划、项目实施、审计建议...完整、准确和及时的信息在任何阶段都非常重要。以一个中国的分行为例,如果我们只看这个问题,它可能被定性为“个人或组织通过持续率欺诈获利”;然而,有时我们会得到诸如“对指标的评价越来越高”这样的反馈。对于反馈信息的判断,我们需要从上级组织获取“指标跟踪记录和指标要求”等相关数据。为了判断指数的合理性,我们可能需要掌握行业的一般定义(如精算假设)并通过比较进行评估。在这一过程中,涉及到多层次的信息,同时也逐渐形成对原因的判断,如个人恶意获利、不合理的考核指标或其他因素与传统内部审计要求被审领域的专业知识和能力相比,现代内部审计对内部审计人员的“软技能”要求相当高。如何与组织的各级人员和组织外的相关方保持良好的联系,如何获取信息和判断信息,已经成为综合能力的体现3.审计技术是有效职业判断的保证每个实体都面临着可能影响组织许多部分的众多风险。有时,风险可能源于一个实体的一部分,但影响到另一部分。由于组织面临风险的复杂性,内部审计需要识别和管理整个实体的风险。在当前保险业积极拥抱技术创新的浪潮中,更多的自动化和数据分析工具为提高内部审计工作的效率带来了前所未有的机遇,使得用完整的样本识别和分析某些风险成为可能,一些审计程序使得同时检查所有分支机构成为可能。传统上,保险公司覆盖多个分支机构,内部审计部门对每个分支机构进行年度审计,这在一定程度上导致风险识别和分析的数据碎片化和碎片化,从而难以形成对风险的整体判断或要求较高的成本。然而,技术的发展使内部审计部门能够从整体上识别某些风险,从而对整个控制过程进行评估,实现全面分析和准确指导。自动化工具更有利于实时监控,从根本上突破了传统常规审计模式下监管职能的滞后同时,随着保险业监管的日益严格,越来越多的监管制度要求内部审计履行相应的职责。内部审计部门在自身建设中应以成本效益为核心,充分利用审计技术,满足监管要求。拥抱技术,利用技术提高内部审计效率是现代内部审计的必然趋势。5.内部审计是组织内部控制和风险管理的有机组成部分之一。1.内部审计质量的内部评价内部审计质量内部评价包括总体质量评价和审计操作评价在总体质量评价中,遵循成本效益的基本原则,评价内部审计监督职能的有效性、效率、及时性和全面性,防止审计部门绩效不佳或过度审计。内部评估包括对审计范围、审计能力(审计方法、审计技术、审计系统、审计过程等)的评估。)、审计人员的技能(综合能力、持续教育和培训)、审计质量管理、相关利益相关者的满意度等。,从而提高审计项目的效率和效果,更有效地履行监督职能,促进整个内部控制体系的优化和完善。在审计工作评价中,主要是对具体审计项目质量的评价,是内部审计部门经营质量管理的一个环节。有必要在大公司的内部审计部门建立一个质量保证团队(或相应的职能部门),以促进内部审计职能的持续优化和改进。2.内部审计质量的外部评价内部评估可能会受到审计部门自身过去经验的限制,从而忽略一些暴露的风险或对新风险不太敏感。因此,有必要按照内部审计准则的要求,定期对内部审计质量进行外部评价,以形成对整个组织全过程的治理、审计环境、风险管理和内部控制有效性的评价和改进。
综上所述,从内部审计目标的角度来看,它不是整个内部审计过程中简单的“对”与“错”的裁决。内部审计师被要求赋予同理心,具备一定的专业能力和有效的沟通能力,提出审计建议并促进组织运作的改进。这是技术和艺术的有机结合;从内部审计师的角度来看,内部审计师不仅要遵循内部审计准则和职业道德,保持客观性和职业能力,还要加强与相关方的联系和沟通,及时获取相关信息,妥善平衡关系本身就是技术和艺术的有机结合;从内部审计结果的角度来看,防止“小问题”变成“大问题”是组织的目标。如何发现对组织发展具有决定性因素的“小问题”是一门技术,如何通过“小问题”体现内部审计部门的价值是一门艺术。内部审计是一个艺术和科学的有机体,它赋予内部审计更高的使命和价值。
手机网站
