1、1内部审计的在风险管控中的职能定位从内部审计与风险管控的逻辑关系说起南通中远重工有限公司刘元庆内容摘要:当前,国内很多企业都在如火如荼地推行内部控制和全面风险管理,这给国内内部审计的发展提供了契机。然而,正是在这样的浪潮中,由于对自身的职能定位不明确,国内相当一部分企业的内部审计机构渐渐迷失了自己,错位现象相当严重。那么,内部审计与风险管控到底是什么关系,内部审计在风险管控中又应当扮演什么角色呢?本文将对上述问题进行探索,希望能为企业内部审计部门在风险管控体系建设的进程中找准自身角色定位、正确发挥自身作用提供一些思路。关键词:内部审计,企业风险管理,内部控制当前,国内很多企业都在如火如荼地推行
2、内部控制和全面风险管理,这给国内内部审计的发展提供了契机。然而,正是在这样的浪潮中,由于对自身的职能定位不明确,国内相当一部分企业的内部审计机构渐渐迷失了自己,错位现象相当严重。比如,有些企业的内部审计机构同时是企业的风控部门,不但要负责风险管控体系的建设,还要针对该体系进行“自我审计”;有些企业的内部审计机构是纪检监察部门或者监督部门的一部分,他们把工作重心放在监督职能上,却忽略了其本应承担的确认和咨询职能;有些企业的内部审计机构直接参与企业的日常业务活动中,身兼运动员和裁判员双重身份。上述这些错位现象均会导致内部审计丧失其独立性和客观性,使内部审计失去生存之根本。2那么,内部审计与风险管控
3、到底是什么关系,内部审计在风险管控中又应当扮演什么角色呢?下文将从内部审计的概念出发,探索内部审计与风险管控的逻辑关系,进而对内部审计在风险管控中的职能定位进行论述,希望能为内部审计机构在风险管控中找准自身的角色定位、正确发挥自身作用提供一些思路。一、内部审计的概念现代企业内部审计,最初是以财务审计为主,重点关注合规性审查,目的在于纠正错误、防止舞弊;从 20 世纪 50 年代开始,内部审计不断向经营审计和管理审计拓展,审计的重点也逐渐转变为对经营活动和管理控制的审查和评价;20 世纪 90 年代后,内部审计引入了风险导向审计理念,重点关注阻碍组织目标实现的风险和威胁,审计理念也从监督型向服务
4、型转变,咨询服务开始发展,内部审计逐步由被动审查向主动提出解决问题的建议转变,这使得内部审计更具有前瞻性和建设性。随着上述内部审计理念的转变和拓展,内部审计的概念也在不断发展。国际内部审计师协会(IIA)在其 2001 年 1 月发布的新版国际内部审计专业实务框架中,将内部审计全新定义为:“内部审计是一种独立的、客观的确认和咨询活动,旨在增加组织的价值和改善组织的运营。它通过应用系统的、规范的方法,评价并改善风险管理、控制及治理过程的效果,帮助企业实现其目标 1。”这一定义一直沿用至今。 上述定义的基本要点有:(1)明确内部审计的职能是“确认”与“咨询”,删除了以往定义中的“监督”职能;(2)
5、明确内部审计的工作内容是“评价并改善风险管理、控制及治理过程的效1见国际内部审计师协会于 2001 年 1 月发布的国际内部审计专业实务框架 。此为中国内部审计协会译本,原文为:“Internal Auditing is an independent, objective assurance and consulting activity designed to add value and improve an organizations operations. It helps an organization accomplish its objectives by bringing a s
6、ystematic, disciplined approach to evaluate and improve the effectiveness of risk management, control, and governance processes.”3果”;(3)明确内部审计的目标是“增加组织的价值和改善组织的运营”以及“帮助企业实现其目标”。二、从内部审计的概念,看内部审计与风险管控的逻辑关系首先说明一下,本文所称“风险管控”,是企业风险管理与内部控制的统称。之所以没有使用企业风险管理与内部控制这两个更为常见的名称,是因为本文认为企业风险管理是内部控制的升级版,它们仅仅是风险管控在不
7、同发展水平的不同名称而已,二者并无本质区别,没有必要进行人为的区分。比如,COSO 1在 1992年、2004 年分别发布了堪称风险管控教科书的内部控制整合框架和企业风险管理整合框架,后者在其第一章中就明确写到“虽然本框架仅仅引用了内部控制整合框架的部分原文,但是本框架通过参考的方式把内部控制整合框架整体融合了进来” 2。关于内部审计与风险管控的逻辑关系,其实上文内部审计的定义已经一言道出了内部审计与风险管控的区别和联系,即内部审计的工作内容是“评价并改善风险管理、控制及治理过程的效果”。1、内部审计与风险管控是各不相同的两种管理活动既然内部审计的工作内容是“评价和改善风险管控的效果”,可见内
8、部审计是风险管控的再管控,它以风险管控为管理对象,与风险管控是各不相同的两种管理活动。因此,内部审计机构应当认清自身“再管理”的本质,不宜直接参与风险管控体系的建设,更不应直接参与企业的日常业务活动或者职能部门的日常监督。 2、内部审计是提升风险管控水平的重要手段和核心动力之一1COSO 是“The Committee of Sponsoring Organizations of the Treadway Commission”的英文缩写,即美国反虚假财务报告委员会下属的发起人委员会。2见 COSO 于 2004 年 9 月发布的企业风险管理整合框架第一章,其原文为:“While only p
9、ortions of the text of Internal Control- Inergrated Framework are reproduced in this framework, the entirety of Internal Control- Inergrated Framework is incorporated by reference into this framework.”4根据企业风险管理整合框架,企业风险管理由 8 个要素构成,其中,“监控”要素是指通过持续性的监控活动和个别评价随时对上述构成要素的存在和运行进行评估,该要素对提升风险管控水平至关重要。当然,此处监
10、控的主体,不仅仅是内部审计机构,也可以是纪检监察部门或者职能部门。但尽管如此,内部审计在评价企业风险管理的有效性以及提出改进建议等方面仍然起着关键性作用,甚至可以说是最有效的监控手段,是提升风险管控水平的重要手段和核心动力之一。三、从内部审计与风险管控的逻辑关系,看内部审计在风险管控中的职能定位根据上文对内审审计与风险管控的逻辑关系的分析,本文得出如下结论:内部审计是一项确认和咨询活动,它在风险管控领域的工作内容是评价和改善风险管控的效果。因此,本文将内部审计在风险管控中的职能定位于“确认”与“咨询”两大职能。1、内部审计的确认职能评价风险管控的有效性所谓“确认”,即对风险管控的有效性进行评价
11、。借鉴中国内部审计协会内部审计具体准则内部控制审计中“本准则所称内部控制审计,是指内部审计机构对组织内部控制设计和运行的有效性进行的审查和评价活动”的提法,本文将风险管控的有效性解释为“风险管控系统设计和运行的有效性”。其中,设计有效性的评价要点有:(1)完整性,即风险管控系统是否完整,内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控等构成要素是否齐全,控制点是否准确,有没有应设置而未设置的控制点等等;(2)合理性,所设定的风险容量、风险容限 1与企业发展战略的期望报酬是否相适应,5是否有控制成本大于控制效益的情况,风险应对措施能否平衡控制与效率之间的关系、是否具有
12、操作性等等。运行有效性的评价要点有:(1)风险管控系统是否按照设计要求实际运行;(2)实际运行是否达到了预定的效果,比如经营活动是否能达到预期目标等;(3)执行人是否有相应的胜任力并获得相应授权。2、内部审计的咨询职能改善风险管控的效果所谓“咨询”,即在上述评价的基础上,进而提出改进建议,以期改善风险管控的效果。该职能是内部审计展现自身价值的重要手段,它是当前内部审计的发展方向,也是内部审计在未来相当长时期内的核心职能。我国的内部审计发展到现在,大部分企业的内部审计机构仍然深陷于“管理层不理解内部审计机构内部审计机构错位、越位、失位,无法体现自身价值内部审计机构抱怨管理层”的恶性循环中;另外,
13、很多企业的内部审计机构都被整合在纪检监察部门、监督部门或者风控部门,虽然没闲着,但却一直种着别人家的地,地位相当尴尬。之所以产生这些问题,是因为内部审计人员总是在单方面地抱怨自己得不到管理层重视,或者一厢情愿地向管理层提出内部审计理念应当如何如何,而从未思考过自身的核心价值到底是什么。而要找到自身的核心价值,内部审计机构就得从管理层的需求出发,发掘和满足管理层需求。有一则公益广告曾经说过:“没有买卖,就没有杀害。”这句话的重点当然是动物保护,但它同时也给我们讲述了一个基本道理,即“有需求才有市场”。因此,内部审计机构应当越来越多地了解管理层需求,不断深入到企业经营层面进行审计,查找提高收入、节
14、约成本的机会,发现存在的问题并1其中,风险容量(risk appetite) ,是指主体在追求价值的过程中所愿意承受的风险的数量,也有人将其翻译为风险偏好;风险容限(risk tolerance) ,是指主体为实现其目标而设定的其所能接受的偏离程度。参见COSO 于 2004 年 9 月发布的企业风险管理整合框架 。6避免可能发生的损失,让内部审计产生出实际效益,这样才能让管理层觉得他们为内部审计所付出的成本是有回报的,才能让管理层重视内部审计机构并且愿意提高内部审计人员地位和薪酬,从而形成内部审计工作的良性循环。综上,确认职能仅仅是基础,具有预防性、建设性的咨询职能才能体现内部审计的核心价值
15、,是内部审计当之无愧的核心功能,是内部审计部门和内部审计人员理所应当的核心定位。四、对我国内部审计的展望要想发展内部审计,内部审计机构必须首先找到自身生存的根本,即“发掘和满足管理层需求”。而要做到这一点,内部审计机构就必须准确定位自身职能,以确认为基础,以咨询为核心,发展服务型内部审计;在此基础上,内部审计机构应当进一步谋求内部审计机构的独立性以及审计人员的专业性,提高审计结果的可靠性和客观性,提升从管理视角为管理层提供咨询建议的能力,这样才能使内部审计产生出实际效益,从而促成内部审计发展的良性循环,以期早日赶上世界先进水平。参考文献:1国际内部审计师协会(IIA),2011:国际内部审计专业实务框架,中译本,西苑出版社2国资委,2006-08-16:中央企业效能监察暂行办法,http:/
