内部审计的在风险管控中的职能定位

内部审计的在风险管控中的职能定位

——从内部审计与风险管控的逻辑关系说起

南通中远重工有限公司

刘元庆

内容摘要：当前，国内很多企业都在如火如荼地推行内部控制和全面风险管理，这给国内内部审计的发展提供了契机。然而，正是在这样的浪潮中，由于对自身的职能定位不明确，国内相当一部分企业的内部审计机构渐渐迷失了自己，错位现象相当严重。那么，内部审计与风险管控到底是什么关系，内部审计在风险管控中又应当扮演什么角色呢？本文将对上述问题进行探索，希望能为企业内部审计部门在风险管控体系建设的进程中找准自身角色定位、正确发挥自身作用提供一些思路。

关键词：内部审计，企业风险管理，内部控制

当前，国内很多企业都在如火如荼地推行内部控制和全面风险管理，这给国内内部审计的发展提供了契机。然而，正是在这样的浪潮中，由于对自身的职能定位不明确，国内相当一部分企业的内部审计机构渐渐迷失了自己，错位现象相当严重。比如，有些企业的内部审计机构同时是企业的风控部门，不但要负责风险管控体系的建设，还要针对该体系进行“自我审计”；有些企业的内部审计机构是纪检监察部门或者监督部门的一部分，他们把工作重心放在监督职能上，却忽略了其本应承担的确认和咨询职能；有些企业的内部审计机构直接参与企业的日常业务活动中，身兼运动员和裁判员双重身份。上述这些错位现象均会导致内部审计丧失其独立性和客观性，使内部审计失去生存之根本。

那么，内部审计与风险管控到底是什么关系，内部审计在风险管控中又应当扮演什么角色呢？下文将从内部审计的概念出发，探索内部审计与风险管控的逻辑关系，进而对内部审计在风险管控中的职能定位进行论述，希望能为内部审计机构在风险管控中找准自身的角色定位、正确发挥自身作用提供一些思路。

一、内部审计的概念

现代企业内部审计，最初是以财务审计为主，重点关注合规性审查，目的在于纠正错误、防止舞弊；从20世纪50年代开始，内部审计不断向经营审计和管理审计拓展，审计的重点也逐渐转变为对经营活动和管理控制的审查和评价；20世纪90年代后，内部审计引入了风险导向审计理念，重点关注阻碍组织目标实现的风险和威胁，审计理念也从监督型向服务型转变，咨询服务开始发展，内部审计逐步由被动审查向主动提出解决问题的建议转变，这使得内部审计更具有前瞻性和建设性。

随着上述内部审计理念的转变和拓展，内部审计的概念也在不断发展。国际内部审计师协会（IIA）在其 2001年1月发布的新版《国际内部审计专业实务框架》中，将内部审计全新定义为：“内部审计是一种独立的、客观的确认和咨询活动，旨在增加组织的价值和改善组织的运营。它通过应用系统的、规范的方法，评价并改善风险管理、控制及治理过程的效果，帮助企业实现其目标①。”这一定义一直沿用至今。

上述定义的基本要点有：（1）明确内部审计的职能是“确认”与“咨询”，删除了以往定义中的“监督”职能；（2）明确内部审计的工作内容是“评价并改善风险管理、控制及治理过程的效果”；（3）明确内部审计的目标是“增加组织的价值和改善组织的运营”

①见国际内部审计师协会于2001年1月发布的《国际内部审计专业实务框架》。此为中国内部审计协会译本，原文为：“Internal Auditing is an independent, objective assurance and consulting activity designed to add value and improve an organization’s operations. It helps an organization accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk management, control, and governance processes.”

以及“帮助企业实现其目标”。

二、从内部审计的概念，看内部审计与风险管控的逻辑关系

首先说明一下，本文所称“风险管控”，是企业风险管理与内部控制的统称。之所以没有使用企业风险管理与内部控制这两个更为常见的名称，是因为本文认为企业风险管理是内部控制的升级版，它们仅仅是风险管控在不同发展水平的不同名称而已，二者并无本质区别，没有必要进行人为的区分。比如，COSO①在1992年、2004年分别发布了堪称风险管控教科书的《内部控制——整合框架》和《企业风险管理——整合框架》，后者在其第一章中就明确写到“虽然本框架仅仅引用了《内部控制——整合框架》的部分原文，但是本框架通过参考的方式把《内部控制——整合框架》整体融合了进来”②。

关于内部审计与风险管控的逻辑关系，其实上文内部审计的定义已经一言道出了内部审计与风险管控的区别和联系，即内部审计的工作内容是“评价并改善风险管理、控制及治理过程的效果”。

1、内部审计与风险管控是各不相同的两种管理活动

既然内部审计的工作内容是“评价和改善风险管控的效果”，可见内部审计是风险管控的再管控,它以风险管控为管理对象，与风险管控是各不相同的两种管理活动。因此，内部审计机构应当认清自身“再管理”的本质，不宜直接参与风险管控体系的建设，更不应直接参与企业的日常业务活动或者职能部门的日常监督。

2、内部审计是提升风险管控水平的重要手段和核心动力之一

根据《企业风险管理——整合框架》，企业风险管理由8个要素构成，其中，“监控”要素是指通过持续性的监控活动和个别评价随

①COSO是“The Committee of Sponsoring Organizations of the Treadway Commission”的英文缩写，即美国反虚假财务报告委员会下属的发起人委员会。

②见COSO于2004年9月发布的《企业风险管理——整合框架》第一章，其原文为：“While only portions of the text of Internal Control- Inergrated Framework are reproduced in this framework, the entirety of Internal Control- Inergrated Framework is incorporated by reference into this framework.”