内部控制与风险管理职责的边界趋同带给内部审计的两点启示

2023-09-18 18:05:30
剩余内容,展开全文

全面风险管理、内部控制与内部审计的关系在通常理解下可以如图1所示:

image.png

1:全面风险管理、内部控制与内部审计的关系

                           

笔者认为,根据COSO全面风险管理框架,内部控制发展到今天,其职能边界已与全面风险管理趋同。COSO全面风险管理框架包括八个要素,分别是:内部环境、目标制定、事件识别、风险评估、风险反应、控制活动、信息与沟通、监督。这与起初的COSO内部控制五要素相比,增加了目标制定、事件识别和风险反应三个要素。这个变化是对内部控制五要素中内部环境和风险评估两个要素的细化:其中,目标制定是对内部环境要素的细化,事件识别和风险反应是对风险评估这一要素的细化。它们之间的演变可以用图2来表示:

image.png

2COSO五要素到COSO八要素的演变


这一演变说明,全面风险管理在内部控制的基础上进行延伸,现代内部控制的本质就是管理风险。实践中也体现了COSO 框架理念的转变。以笔者的公司为例,公司设置内控合规部,该部门既承担了企业全面风险管理的职责,也承担了企业内控合规管理的职责,整个部门划分为全面风险管理、内控管理和合规管理三个条线,由财务、审计、法律等专业背景的人员组成。在实际工作中,全面风险管理条线负责制定公司总体风险偏好和风险管理体系,定期对各类风险进行监测、评估,执行全面风险轨迹督察并考核打分,推进风险管理体系的完善。内控管理条线主要负责公司内部控制体系的完善和内控制度的执行监督,定期对内部控制进行自我评价,不定期对内部控制的各组成要素如授权、不相容岗位、员工行为、制度执行等进行监督检查。合规管理条线则主要负责法审和其他法律事务,牵头制定公司合规打分规则并负责年终合规考核。


在内控合规大部门之外,笔者的公司还设置了独立的审计部门,主要负责单独进行专项审计。但在两个部门并行运作的情况下,独立内审部门所创造的边际效益正在逐年递减。这主要是由于内审部门尚没有在大趋势下做好转型的准备,很多工作都已经被内控合规部门做了,因此内审的价值也就越来越难体现出来。如图1所示,内部审计的职责边界一向被认为是最小的,隶属于内部控制和全面风险管理,作为监督的角色保证实现内控和全面风险管理目标的实现。监督可以分为持续监督和单独监督,内部控制本身有持续监督的功能,而内审则作为单独监督而产生。这是转型前内部审计对自己应有的定位。但随着内部控制越来越向风险管理趋同,其持续监督的功能也越来越强大,在这种背景下,可以供内审发挥监督价值的“蛋糕”则越来越小。这也带给内部审计部门以下两点启示:


一是内部审计为什么要引入风险导向理念。风险导向审计理念最早产生于民间审计活动,目的是为了最大程度提高民间审计活动效率,规避审计风险。而内部审计活动一直以来主要以问题为导向。内部审计为什么要引入风险导向的理念?它与问题导向又有什么区别?笔者认为,内部审计引入风险导向的理念,主要是内部审计从监督功能向服务功能转型的需要。那么引入风险导向是否就可以抛弃问题导向?其实,风险导向包含了问题导向。因为问题本身隐含了风险,以问题为出发点开展审计活动本身也是一种风险导向。那么什么才是内部审计的风险导向?在审计项目方案的制定上,风险导向内部审计与风险导向民间审计的逻辑类似,均是以高风险领域为出发点分配审计资源、明确审计重点。而与风险导向民间审计不同的是,内部审计需要从更高的层面上,参与企业的全面风险管理,按照COSO 八要素的要求对企业的风险有整体的理解和评价,并在此基础上发挥监督职能,查找企业全面风险管理中的弱点和缺陷,促进企业不断完善全面风险管理流程和机制。因此,风险导向的内部审计的首要目标是:为实现企业的风险管理目标而服务。这里需要澄清一个概念,企业的风险管理目标不等于企业经营的目标,风险管理目标是一个更基础的目标,内部审计的要义应为在自己的能力范围内确保风险管理基础目标的实现,然后再谈帮助企业实现经营目标。


二是内部审计可能需要突破独立性边界提供更多的咨询服务。在传统的监督职能下,内部审计提问题的时候多,帮助解决问题的时候少,时间久了就被业务部门认为成了“搞事情”,毕竟找毛病谁都会,但解决问题才能体现一个内审的真正水平和价值。有的内审人员认为我们应以“独立”的角色出现,如果参与“解决事情”就损害了独立性,甚至以“独立性”为借口逃避应承担的责任。这其实是对“独立性”的误解。独立性并不应该仅仅被理解成“不参与业务活动”,而是不受日常例行工作的影响,站在业务之外看业务。内部审计人员不需要“独善其身”,但要保证诚实正直和客观公正。内部审计发展到今天,独立性已不是内部审计的灵魂,笔者曾在本公号写过一篇短文阐述为什么独立性不是内部审计的灵魂。CFO和CAO对于组织来说应同样重要,因为他们可以从不同的视角助力企业战略目标的达成。当内部控制的边界已经与全面风险管理趋同,内部审计的边界也要不断向风险管理靠近。CAO应认真考虑如何将自己的部门定位为谋士的角色,突破独立性边界提供更多的咨询服务,而提供咨询服务的最终目的是为了协助企业达成战略目标。此时的内部审计不再是一个技术部门,而是一个企业内部的智囊型组织。发现问题只是内部审计工作的起点,能否为企业战略决策提供增值服务,应是审计团队的核心关注。关于内部审计究竟怎么做才能突破边界提供更多的咨询服务实现价值增值,笔者也希望在后面与各位同仁一起探讨。




素材来源:审计实践

  • 7397 人看过
Baidu
map