保险经营的对象即风险。十九大以来,随着对外资保险公司开放程度的不断加大,保险业竞争的格局进一步加剧,而中小保险公司,在商车险三次费改、投资收益率下降等压力情况下,面临的风险更加严峻而复杂。尤其是2016年“偿二代”的实施,对中小保险公司的产品结构、资产配置以及风险管理能力提出了更高要求。而内部审计作为公司治理的重要角色,如何能在风险管理中更好地发挥第三道防线的作用,又如何能在公司不断发展和变革中转型,体现自身的增值价值呢?那就是建立以风险为导向的内部审计体系。
1以风险为导向的内部审计发展历程
从国外的内部审计演进历史来看,20世纪末,随着经济全球化趋势的发展,经营环境日趋复杂,内部审计逐渐引入风险管理的理念,审计重点也转变为风险的识别、评估和应对,通过评价组织的风险管理体系、内部控制框架并对其进行改善,来提升组织的价值。在此基础上,国际内部审计协会2003年在新修订的《内部审计实务标准》中,对以风险为导向的内部审计工作实施做了规范,强化内部审计人员的风险理念,明确开展风险审计的方法和步骤,为以风险为导向的内部审计提供了制度依据。为了紧跟国际内部审计发展步伐,同时也是为了更好地服务于组织,中国内部审计协会在2014年新实施的内部审计准则——基本准则中,首次提出了内部审计机构和审计人员应当全面关注组织风险,以风险为基础组织实施内部审计业务,将内部审计的作用提升到战略的高度,审计的重点也转向强化内部控制和完善风险体系。但内部审计准则中仅是提出实施内部审计时要关注风险,应加强风险管理,风险审计的模式仍处于导向性,未形成较为成熟的体系。
2中小保险公司内部审计现状
随着保险行业公司治理体系的完善和信息技术水平的提高,部分大型保险集团和外资控股保险公司,利用集团公司和外资母公司的先进计算机技术,建立了风险数据库和风险量化分析模型,并与审计系统结合,实现对风险的监控和防范。但是大部分中小保险公司风险审计仍处于初级阶段,表现在以下几点。一是对内部审计体系建设不够重视,认为内部审计并不创造效益,相反只会浪费资源,甚至影响业务发展。设置内部审计部门,只是为了满足监管要求,只要在规定的时间内完成审计项目并上报审计报告就可以。二是以事后监督为主,审计重点为经营活动中是否存在会计差错和内部控制缺陷,是否存在舞弊和违法违规行为。三是审计信息化运用程度较低,大部分公司通过电子表格和电子文档等日常办公软件开展审计项目,未将审计全流程纳入系统化管理。
3中小保险公司风险导向内部审计实施步骤
中小保险公司由于组织架构和制度建设多存在不完善之处,内部控制较弱,面临的内外部风险更多,因此建立以风险为导向的内部审计体系更为必要。那么如何实施风险导向的内部审计,笔者认为有以下步骤。
3.1围绕公司战略目标和经营环境,建立风险审计模型
3.1.1编制年度审计计划。各中小保险公司应结合“偿二代”监管体系的风险分类要求,将公司面临的风险分为七大类(保险风险、市场风险、信用风险、操作风险、战略风险、声誉风险和流动风险),在此基础上,围绕公司战略目标和经营环境,确定重点的风险领域和风险水平,据此编制年度审计计划。3.1.2建立风险审计模型。在年度内部审计计划基础上,对公司业务流程梳理后,分为八类,分别为公司治理、人事管理、行政管理、承保管理、理赔管理、财务管理、再保管理、准备金评估,将每个流程对应七类风险,通过对各业务流程风险环节的分析识别,并结合以往的审计经验,分别确定审计风险点,对应审计风险点制定具体的审计方法,建立标准化的风险审计模型。3.1.3制定项目审计方案。在审计项目实施前,应制定项目审计方案。首先应确定被审计单位的风险领域和风险点,具体方法如下。第一,查阅被审计单位以往外部检查、内部自查报告;第二,调取风险预警指标进行分析;第三,向总部条线部门或基层单位下发调查问卷。通过以上方式了解被审计单位可能存在的风险,并根据公司整体可接受风险水平进行分解,确定被审计单位各类型风险具体的可接受水平。审计重点确定后,引用风险审计模型中的风险点及对应审计方法实施审计,将有限的审计资源投入到高风险领域,并关注导致风险产生的原因和要素,将审计检查结果按照七大风险进行分类,综合评价被审计单位整体风险,提出具有建设性和可操作性的建议,从而改善被审计单位的经营管理,增加公司价值。
3.2加强非现场审计方法的运用,提高审计效率
3.2.1建立具有行业特色的风险预警监测指标体系。为了能够及时发现风险、化解风险,中小保险公司应总结行业内存在的风险,并结合公司战略目的和经营特点,建立系统化的风险预警监测指标体系,该指标体系包括公司宏观层面指标和业务流程层面指标两类。在此风险预警监测指标基础上,再将审计系统与业务、财务系统实时对接,当超过监测阀值时审计系统能够及时预警提示风险,同时按照风险预警指标类型定期归类形成指标比较表,与历史期比较、与行业比较及系统间各公司间的比较,通过比较,发现异常并进行分析,达到提示并预防风险目的。3.2.2做好非现场审计和现场审计的对接工作。在制定整体审计计划中,通过分析公司宏观层面和业务流程层面指标,了解公司整体的业务、财务经营情况,有效地确定风险领域和审计重点,同时通过日常对风险预警监测指标的分析,能够及时发现问题并进行风险提示,将风险隐患消灭在萌芽状态,弥补了现场审计发现问题滞后的缺陷,最大程度的规避风险。在实施具体审计项目中,通过非现场审计,提前对被审计单位监测指标和经营数据进行分析,合理确定重要性水平和审计策略,提前圈定检查重点,进入现场后,可充分、深入的追踪非现场审计阶段发现的重大线索或跟进事项,达到提高审计效率目的。
3.3提升信息化建设水平,创新审计方式
3.3.1加快审计管理信息系统的开发和应用。中小保险公司应改进现有审计工作流程,加快审计管理信息系统的开发和应用,将审计计划编制、资源配置、作业执行、审计报告流转、追踪整改、资料归档等全流程管理环节均纳入系统,通过系统的刚性控制,实现审计作业模式的统一化、标准化,提升内部审计工作质量。3.3.2加速审计系统与业务、财务系统对接。全面梳理业务流程,分析各业务流程的风险环节,评估风险水平,将部分控制措施内嵌入核心业务系统,并实现业务系统与审计系统对接,实时监测预警,及时发现违法违规行为,有效防范并化解经营风险。3.3.3加强审计信息化人才队伍建设。加强IT审计专业人才引进和培养,改变现有人才结构,提高内部审计队伍的科技专业化水平;重视对内部审计人员的后续教育与学习,创新审计技术,实现人才队伍的业务全面化和信息专业化。面对复杂多变的市场环境,面临公司内部的不断转型升级,内部审计部门必须树立风险审计意识,运用系统化和规范化的方法审查、评价并改善公司的风险管理,进一步提升公司管理效益,促进公司稳步发展。
参考文献
[1]王墨翔.国有企业风险导向内部审计的实践探索——基于BOP公司案例[D].对外经济贸易大学,2015.
[2]中国太平集团稽核中心.“偿二代”下以风险为导向的内部审计模式探讨[J].保险理论与实践,216(9).
[3]王梅茹.风险导向内部审计在H国有企业的应用研究[D].广东工业大学,2017.