国际内部审计师协会认为,内部审计是通过参与风险管理、内部控制和公司治理来实现企业增值的一项咨询活动。经济技术的全球化与信息化发展,使企业与商业伙伴形成密不可分的“命运共同体”———合作共赢、风险共担。与此同时,风险来源的多样化使得企业风险管理的需求愈加紧迫。特别是复杂的网络经济使企业经营管理中的任何一环出现第三方风险都有可能造成不可弥补的“出血点”。对企业的风险管理进行监督、评估以及战略协调是内部审计职能重点发展的方向。随着风险导向审计模式在内部审计的应用日渐成熟,内部审计必将成为风险管理的必要方式。 一、企业的第三方风险 所谓第三方风险是指由于商业伙伴的行为不当为企业带来的风险。供应商与顾客关系在全球化与信息化的大环境下,逐渐演化为代理人、承包商、联营伙伴、技术合作者、分销商或者转销商等一系列广泛而密切的合作关系,因此,第三方风险主要表现在以下几个方面: (一)合规风险 合规风险是指因未能遵循法律法规、监管要求以及合同约定条款等而可能遭受重大财务损失或者名誉损失的风险。对于第三方风险,合规风险特指由于商业伙伴的行为未能合规而给企业自身带来的风险。全球化背景下,跨国合作拓展了新市场,为企业带来更多商业伙伴,也为企业监管商业合作伙伴的合规性增加了难度[ 1 ]。对于同一经济事项的法律政策,不同国家之间的法律规定存在差异,同一个国家也会不断颁布新的法律条款,导致同一经济事项的前后期处理存在差异。然而,传统模式下合规审计很少涉及对于商业伙伴所带来的合规风险的监管,内部审计针对第三方合规风险的管理亟需战略上的转变。 (二)道德风险 第三方风险的道德风险,一方面表现为商业伙伴在共担风险的情况下因最大限度增进自身利益而作出不利于他人的行动,如单方面违约、违规;另一方面表现为不顾企业形象,从事有违社会公德的种种行为,如过度广告、虚假宣传。命运共同体模式下合作双方共担风险,商业伙伴的不道德、利己行为都会为企业带来不可预估的风险。在信息高速传播的今天,公众对负面事件的反应极为迅速[ 2 ]。道德价值观在商业合作中的重要性显著提升,企业的形象与价值并不仅仅维系于企业自身,而与供应商、服务提供商等关联企业的公众形象密切相关。因此,企业在关注自身商业道德的同时,还应防范商业伙伴的道德风险。因为商业伙伴的不道德行为在经历多次发酵后,会给合作伙伴带来无妄之灾,直接导致企业形象、品牌大幅度贬值等隐性损失。 (三)信息风险 广义的信息风险是指企业信息资产的安全风险。对于第三方风险,信息风险是指商业伙伴所掌握的企业信息存在的安全风险,风险源头为第三方共享信息。互联网时代,商业伙伴共享信息成为常态。多方分享数据在提高生产效率的同时,信息安全问题随之伴生。依赖信息系统进行智能管理是大多数企业的常态,信息因此成为需要重点保护的资产,信息风险最终必然会影响到业务层面,从而构成业务风险[ 3 ]。如制造企业为更好地管理生产和库存,与供应商通过信息共享而交换生产计划、库存状况等信息,该信息平台的存在就有可能成为竞争对手窃取重要信息资源的有效途径。信息风险并不单指数据保护的技术问题,一些专有信息或知识产权往往成为竞争对手觊觎的对象,其安全事关企业生死存亡[ 4 ]。商业伙伴间信息共享与开放程度的提高,使得信息风险增大,信息风险成为第三方风险管理的重中之重。 二、第三方风险应对与内部审计职能拓展 风险理念的引入使内部审计由合规导向、管理导向逐步过渡到风险导向,内部审计职能也从单一监督职能转变到多职能。对于一般的风险管理,内部审计职能主要表现为确认职能和咨询职能,确认职能对风险管理的有效性进行评价,咨询职能对风险管理提供改进建议。而对于第三方风险管理,内部审计的职能拓展被赋予了新的涵义。第三方风险与内部审计职能拓展的关系如图1所示。 (一)实现第三方风险管理的确认职能:商业伙伴尽职调查 |