《风险导向下保险业内部审计模型的有效应用》
摘要:有效的内部审计活动框架体系应当是艺术和科学的有机体,涵盖内部审计目标、内部审计活动应遵循的基本原则、内部审计活动实施的核心要素等。内部审计部门履行着内部控制的监督职能,同时内部审计质量本身也是内部控制有效性的组成部分。
PhilnaCoetzeeandDaveLubbe(2014)指出以风险为基础的内部审计模型其中的一个假设为:组织是风险成熟的,在战略和运营层面都有一个全面的风险管理过程;风险偏好和风险容忍度级别由高级管理层和董事会确定,或者在适用的情况下,由业务活动管理条线确定。也就是说,以风险为导向的内部审计实施的前提之一是——组织的风险管理环境和风险管理活动是相对成熟的。
安永《2017年至2018年度亚太地区保险业首席风险官调查》指出,风险文化在亚太区首席风险官的议程上占据首要位置。普华永道《2018年保险公司全面风险管理与资产负债管理调查报告》指出,受访机构中超过九成保险公司已经初步建立风险管理框架,下一步工作面临风险管理实施和落地的挑战;“风险管理目标与工具”是风险管理中最薄弱的部分。从上述行业调研报告中可以看出,我国保险业的整体风险管理体系建设还处于初级阶段。
2017年发布的《中国保险行业内部审计发展报告》显示,有111家公司反馈为“风险导向审计”。虽然绝大多数保险公司内部审计工作模式自称为“风险导向”,但是从当前行业的整体风险管理成熟度来讲,组织实施的风险管理环境以及风险管理策略还不够成熟,不足以使内部审计依赖风险管理过程的结果,而风险管理过程是风险导向内部审计模型发挥最佳功能的先决条件。因此,在实际操作层面甚少有保险公司能够具备践行“风险导向”内部审计的前提条件。
1.内部审计业务类型。从内部审计的目标来看,内部审计活动可以分为遵循性审计、舞弊审计、管理审计、内控审计、责任审计、效益审计等。每一类审计的目标是不一致的,因而思考逻辑和运用的方法论也就不一样。通常情况下,遵循性审计是通过抽样或者其他方式检查是否存在违反法律法规的情况,不需要进行风险评估的。同时,风险导向的内部审计模型,需要在审计计划阶段运用风险管理流程来进行整体性风险评估,制定年度内部审计计划。而实施这一流程的前提是,内部审计部门已对组织的风险管理过程进行了审计,并且认为该过程的结果是可以信赖的。这对于当前绝大多数以遵循性(含合规)审计为主的内部审计部门来说,是缺少对相关风险管理过程审计的准备和经验的。
2.内部审计实施过程与“风险导向”的关联度。虽然大多数公司使用了“风险导向审计”一词,但是我们甚少看到公司完整的风险描述,包括对风险的定义、风险的分类及相关术语的描述等。在内部审计计划阶段,也明显缺乏任何形式的风险评估(即便开展所谓的风险评估,也是非常的片面和零散、缺少关联性,只鳞片爪、东拼西凑、顾此失彼)或基于风险的审计规划。同时,风险导向内部审计通过发现问题线索,对触发因素和原因进行分析,提出改善组织运营的管理建议。而这一过程中需要兼顾效率和效力,选择恰当的风险处置方式,并与公司的风险偏好保持一致。这对于当前绝大多数以遵循性(含合规)审计为主的内部审计部门来说,缺乏具备执行上述活动所需能力的综合型人才,这也成为当前实施风险导向内部审计的最大障碍之一。当前我国保险行业整体尚不具备实施“风险导向”内部审计的条件和基础,除了内部审计自身发展因素外,还在很大程度上受到来自于行业、公司内部整体风险管理水平的制约。这一革新演变的过程需要各相关方的努力和协调,可以借鉴现代内部审计的理念和思路,寻求和识别提高内部审计效率的方法。
虽然不同的组织受到其内部环境及自身发展水平不同的影响,内部审计部门在实际运作上有所差异,但内部审计部门在构建其自身运行时通用的理念和思考逻辑是一致的。本文结合多年实践经验中所总结的行为因素,从内部审计的本质出发,进行了系统性的理论探索,认为有效的内部审计活动是艺术和科学的有机体,其框架体系如图1所示。
该框架体系提出了内部审计活动的目标是帮助组织实现其战略目标,内部审计活动遵循的基本原则是成本效益原则,内部审计活动的核心是内部审计人员的职业判断。内部审计过程是在公司总体战略目标框架下,对组织治理、风险管理、内部控制的有效性进行评估,在风险分析、原因分析以及提出改善措施的整个过程中与相关方紧密相连,是一个有效合作和沟通的过程。内部审计组织通过促进利益相关方及时采取恰当的纠正行为,从而实现改善组织运营的目标,确保组织战略目标的实现。
正如《2019年全球风险报告》所述,我们必须以无指责的过程面对事实,不仅仅是确定具体的问题,而且需要着眼于更广泛的组织和系统性的原因。只有这样做,才能识别到早期的预警信号,保持怀疑,使用结构化决策工具,更好地管理危机——防止“未能预见的错误”。通常业务部门更了解问题所在,以及如何更有效地去改善。然而,问责往往使得个人更为小心谨慎,在事实面前以各种理由为自己辩护;同时,也会使得不同层级的人员扮演起“哑巴”的角色,导致重要的问题迷失在组织层级的底层。因此,内部审计部门需要从组织的整体利益出发,思考自身的角色定位,以便更好地履行自身的职能,并且能够在审计委员会和高级管理层面前体现出自身的价值。
内部审计成果如何更为有效地为组织带来增值,这已远远超过了“监督”这一职能。从某种程度上讲,内部审计的目标与内控控制、风险管理是一致的,即促进组织的发展和提高效益,具体而言,是以更具有经济性、效率性、效果性、及时性的方式来管理风险,并符合法律法规的监管要求。因而,内部审计所展现的不仅仅是一个风险清单(对组织内的所有风险进行盘点),而是为有效的管理风险提供见解并推动相关方去改善。在当前大多数组织整体风险管理成熟度较低的背景下,发展较为成熟的内部审计部门还可以提供系列改善组织风险所需的工具和支持,比如风险管理教育和培训;历年来内部审计所揭示的风险和薄弱环节,也可以为进一步完善组织的风险管理工具提供参考。
在监管日益严峻的环境下,监管风险已成为组织面临的主要风险之一。对于在国外设有机构的保险公司来说,还面临着日益增加的地缘政治风险。对监管政策的正确理解和解读是确保组织遵循法律法规的前提条件,因而内部审计部门有必要对监管政策及其变化进行充分分析,对组织的治理、风险管理、内部控制能否有效促进组织实现对监管的遵循性方面进行评估,并提出改善建议,帮助组织降低监管风险。基于改善组织运营的这一根本目标,内部审计部门必须推动各方主动参与到内部审计活动中。然而,从人的本性来看,是厌恶、排斥被检查的,因而内部审计部门需要搭建一个框架,提升内部审计部门与组织各方的协同性,加强与组织各层级的密切合作。内部审计人员有必要改变其“强势的姿态”,赋予同理心,站在对方的角度去思考。如何在审计过程中提升各方参与的积极性,在发生意见分歧时如何提出有说服力的论点,何时需要一定的“妥协”,怎样进行协商和谈判;在不影响风险本质的情况下,如何对风险进行描述,使各方更容易接受,得出更恰当的结论,并在正确的时间将其传达给正确的人,这些都是内部审计部门需要考虑和思考的。当前一个主流观点是,审计报告中要体现出各方在审计过程中所做出的努力,包括被审计单位在这一过程中对风险的识别,已经实施的改善措施以及取得的效果等。
1.内部审计学科基础知识体系薄弱。职业判断是来自多学科知识的结合,内部审计人员不仅需要具备所在领域的专业知识和技能,还要掌握一定的心理学、社会学、行为学、哲学、统计学等更广泛领域的基础知识,从而提升其职业判断能力和对事物的见解。内部审计学是一门综合的知识体系,有着其独特的思考逻辑和方法论。正如AnnButern(2016)所述,当正确理解了有效内部审计的本质、掌握审计过程中每一阶段的方法论、具备了五个层次的审计能力时,内部审计人员才可以有效运行其掌握的方法论获取所从事领域应具备的知识,即使这些领域是其之前不太熟悉的领域。然而,令人遗憾的是,内部审计学在高校并没有纳入主流学科,甚至很多院校没有将其作为主流学科下的一个分支。目前从事内部审计工作的人员甚少有接受过系统性的内部审计方法论的培训和学习,基础理论知识的薄弱限制了内部审计人员的成长。这需要集行业的力量,推动内部审计领域通用知识体系的建设,通过行业组织对内部审计人员基础学科知识进行持续教育和培训,以推动内部审计职业专业化发展。
2.人才欠缺是制约内部审计发展的最大障碍。在很多组织中,内部审计部门并不是组织中“受欢迎”的部门,这某种程度上是因内部审计自身的角色定位与利益相关者的需求不一致所导致,并由此产生内部审计部门资源受限,直接关系到内部审计人员的薪酬和职业发展。对于优秀人才来说,他们通过观察组织所呈现出的职业发展平台和上升路径,选择最有利于自己发展的部门和岗位。大多数组织的内部审计部门往往缺乏吸引力,吸引和留住优秀人才成为其最大的困难。因此,内部审计责任人有必要想办法打破这种僵局,建议审计委员会和高级管理层,在高级管理人员的晋升通道中为内部审计人员留下一席之位,这也是国际上一些领先机构的最佳实践。
1.内部审计基础方法论是职业判断的基本原理。组织的运营需要兼顾成本和效益,新技术的发展给运营流程带来了优化的机会,同时也带来了新的风险。以史为鉴的检查方法虽然在某种程度上可以发现组织表现出来的一些问题,但问题的改善需要内部审计部门与时俱进,从内部控制和风险管理的效果和能力方面寻找切实可行的改善方案,从根本上防范和降低风险。“目标—风险—控制”这一基本思考逻辑框架作为内部审计的基础方法理论和思考逻辑框架,对其的正确理解和熟练运用是内部审计人员应掌握的基础知识。
(1)内部审计关注的是风险。众所周知,风险是客观存在的,风险管理是效益和风险的平衡。因而,内部审计不是一个检查表,而是通过运用一套系统性的方法和原则,对组织所面临的固有风险、剩余风险的有效识别,对公司治理、内部控制、风险管理效果的有效评估,找到改善组织运营的机会,并促进管理层快速、有效地去改善,内部审计关注的是风险。可以把风险定义为一个不确定的事件或条件,如果发生,可能会影响组织目标的实现。风险可能是来自内部,也可能是来自外部;风险可能是由人、系统、环境等某一因素带来的,也可能是多因素交集造成的;有主观故意的,也有客观存在的。而差错是由员工在执行具体的岗位工作时因工作技能、工作经验、工作责任心等因素所造成的。组织可以通过良好的内部控制来降低差错发生的概率和损失程度,如通过员工持续教育、系统自动效验和纠错、关键事项的多级复核等,将差错控制在组织所能接受的范围内。因而,内部审计人员在执行审计项目的过程中,所扮演的不仅仅是“复核”或者“审核”的角色,而是通过有效运用长期以来积累的工作经验和审计方法,在发现差错及其他行为风险等的基础上,对内部控制和风险管理的有效性进行评估。
(2)审计抽样与风险判断的相关性。通常,审计抽样方法分为随机抽样、任意抽样、判断抽样、统计抽样与非统计抽样等。不同的抽样方法可能会对风险形成不同的判断,因而需要根据特定的审计目标和审计程序,运用相应的审计抽样方法,或者多种抽样方法相结合。比如,内部审计部门对“运营承保档案的完整性、正确性、及时性”进行评估,该程序需要通过一定量样本的随机抽样,并将样本的结果与公司的考核指标(公司可接受的风险)进行对比,从而判断该流程控制的有效性;而如果审计人员通过经验进行判断抽样,就会发现更多的差错,得出的结论可能会有所偏离。然而,审计部门对“运营承保档案真实性”的评估,可能就需要审计人员结合经验进行判断抽样,在有限的样本中找到可疑线索,进行进一步的检查。因而,内部审计部门需要建立一套完善的审计抽样体系,涵盖抽样的原则、方法论等,为审计人员尤其是新入职的员工在审计项目开展中提供参考,从而提升内部审计人员职业判断的适当性。
(3)风险成因分析是提出改善意见的依据。正如保险理赔是以近因原则来判断是否符合履行合同支付标准的依据一样,风险管理是以对风险成因的判断为前提对改善措施进行思考。对风险成因的判断不一致,风险改善的措施也就不一定相同,风险管理的效果也就有所差异。因而,风险成因的有效识别对于审计人员作出正确的职业判断以及提出恰当的审计建议至关重要。如前所述,在内部审计过程中,需要重点关注的是通过控制活动和风险管理能够缓和、规避、转移的风险。以销售误导为例,基于人自我利益的考虑,销售误导是客观存在的固有风险,其本身是不能够完全杜绝的。组织可以通过有效的内部控制和风险管理,规避系统性、群体性销售误导行为的发生,及时发现个体销售误导行为并采取措施进行控制,以降低可能造成的影响,从而使风险控制在组织所能接受的范围内。因而,在内部审计过程中,关注的是销售误导这一控制流程的健全性和有效性,如是否存在某一控制点的缺失,或者某一控制点未发挥相应的作用,可能就需要关注预防性控制措施(合规文化、员工培训以及合规教育等)、监督措施(员工不良行为监测的方法、监督的及时性和全面性、风险处置方式等)、惩戒性措施(处理处罚、辞退等)等。而在具体原因分析方面,就需要结合能获取到的所有信息包括一些历史信息,对该行为进行判断,是人的方面,还是产品方面;是主观恶意的行为,客观的技能欠缺,还是历史遗留问题等。成因不同,改善的方案就会有所差异。
2.审计信息是正确职业判断的基础。在保险业快速发展和变革的过程中,随着组织规模的扩张、数据的剧增、运营方式的改变,以往的内部控制不一定适合当前组织的发展。内部审计人员的知识储备,对于现代内部审计运行的有效性至关重要。而这一知识储备很大程度上体现在信息的储备量,这些信息不仅包括组织内部的信息,如公司的发展战略、管理举措、实施效果、面临的困境等,还包括外部的信息,如行业的最佳实践、行业通用知识信息、行业整体环境等。充分、及时的信息是内部审计人员做出恰当职业判断的关键所在。风险评估、审计计划、项目实施、审计建议……无论哪个阶段,完整、准确、及时的信息都非常重要。以某中支机构虚假提升13个月继续率为例,如果单看这一问题,可能会被定性为“个人或组织通过继续率弄虚作假获利”;而有时则会得到“诸如指标考核越来越高”这样的反馈,对于反馈信息的判断需要获取上级机构“指标追踪记录和指标要求”等相关资料,而对于该指标合理性的判断可能就需要掌握行业的通用定义(如精算假设),通过对比进行评估。而在此过程中,涉及多层级的信息,同时也逐步形成对原因的判断,如是个人的恶意获利,还是考核指标的不合理,还是其他的因素。与传统内部审计所要求的具备所检查领域所应具备的业务知识能力相比,现代内部审计对于内部审计人员的“软技能”提出了相当高的要求。如何与来自组织各个层级的其他人以及组织外的相关方保持良好的联系,如何获取信息并对信息进行判断,已成为综合能力的体现。
3.审计技术是有效职业判断的保证。每个实体都面临着无数的风险,这些风险可能影响到组织的许多部分。有时,风险可能起源于实体的一个部分,但影响到另一个部分。由于组织所面临风险的复杂性,内部审计需要在整个实体内识别和管理风险。在当前保险行业积极拥抱技术革新的浪潮下,更多的自动化和数据分析工具给内部审计工作效率的提升带来了前所未有的机遇,使得某些风险可以进行全样本的风险识别和分析,某些审计程序使得同时对所有分支机构进行检查成为可能。传统上,保险公司覆盖多家分支机构,内部审计部门对每家分支机构进行年度审计,这在一定程度上带来了数据的割裂,风险识别和分析的碎片化,因而很难形成对风险的整体判断或者需要更高的成本。而技术的发展已使得内部审计部门可以从整体上对某些风险进行识别,从而对整个控制流程进行评估,做到全面分析、精确制导。自动化的工具更有助于进行实时监测,从根本上突破传统定期审计模式下监督职能的滞后。同时,随着保险行业监管的日益严峻,越来越多的监管制度要求内部审计履行相应的职责,内部审计部门更应在自身建设中以成本效益为核心,充分利用审计技术,满足监管要求。拥抱技术、利用技术提升内部审计效率是现代内部审计的必然趋势。
五、内部审计是组织内部控制、风险管理的有机组成部分之一
1.内部审计质量内部评估。
内部审计质量内部评估包括整体质量评估和审计作业评估两个部分。
在整体质量评估中,遵循成本效益这一基本原则,对内部审计这一监督职能的效果性、效率性、及时性、全面性等进行评估,防止审计部门绩效低下或者过度审计。内部评估包括审计覆盖面、审计能力(审计方法、审计技术、审计系统、审计流程等)、审计人员技能(综合能力、持续教育和培训)、审计质量管理、相关利益方满意度等的评估,以提升审计项目的效率和效果,更有效地履行监督的职能,促进整个内控体系的优化和完善。在审计作业评估中,主要是具体审计项目质量的评估,是内部审计部门作业质量管理的一个环节。在大型公司的内部审计部门有必要建立一个质量保证小组(或相应职能),促进内部审计职能的不断优化和改善。
2.内部审计质量外部评估。内部评估可能会受限于审计部门自身过往的经验,从而忽视了一些已暴露的风险,或者对于新风险的敏锐度较低等,因而有必要根据内部审计准则的要求,定期开展内部审计质量外部评估,形成对整个组织全流程的治理、审计环境、风险管理、内控控制有效性的评价和改善。
综上所述,从内部审计目标的角度来讲,在整个内部审计过程中不是简单的“对”与“错”的裁定,需要内部审计人员赋予同理心以及具备一定的专业能力和有效的沟通能力,营销审计建议,促进组织运营的改善,这是技术和艺术的有机结合;从内部审计人员的角度来讲,内部审计人员不仅要遵循内部审计准则和职业道德,保持客观性和专业能力,还要加强与相关方的联系和沟通,及时获取相关信息,恰当地平衡这种关系本身也是技术和艺术的有机结合;从内部审计成果来讲,防止“小问题”变成“大问题”是组织的目标所在,如何发现对组织发展有着决定性因素的“小问题”是一门技术,而通过“小问题”体现内部审计部门的价值更是一门艺术。内部审计是艺术和科学的有机体,这赋予了内部审计更高的使命和价值。