内部审计的在风险管控中的职能定位——从内部审计与风险管控的逻辑关系说起南通中远重工有限公司刘元庆内容摘要:当前,国内很多企业都在如火如荼地推行内部控制和全面风险管理,这给国内内部审计的发展提供了契机。然而,正是在这样的浪潮中,由于对自身的职能定位不明确,国内相当一部分企业的内部审计机构渐渐迷失了自己,错位现象相当严重。那么,内部审计与风险管控到底是什么关系,内部审计在风险管控中又应当扮演什么角色呢?本文将对上述问题进行探索,希望能为企业内部审计部门在风险管控体系建设的进程中找准自身角色定位、正确发挥自身作用提供一些思路。关键词:内部审计,企业风险管理,内部控制当前,国内很多企业都在如火如荼地推行内部控制和全面风险管理,这给国内内部审计的发展提供了契机。然而,正是在这样的浪潮中,由于对自身的职能定位不明确,国内相当一部分企业的内部审计机构渐渐迷失了自己,错位现象相当严重。比如,有些企业的内部审计机构同时是企业的风控部门,不但要负责风险管控体系的建设,还要针对该体系进行“自我审计”;有些企业的内部审计机构是纪检监察部门或者监督部门的一部分,他们把工作重心放在监督职能上,却忽略了其本应承担的确认和咨询职能;有些企业的内部审计机构直接参与企业的日常业务活动中,身兼运动员和裁判员双重身份。上述这些错位现象均会导致内部审计丧失其独立性和客观性,使内部审计失去生存之根本。1那么,内部审计与风险管控到底是什么关系,内部审计在风险管控中又应当扮演什么角色呢?下文将从内部审计的概念出发,探索内部审计与风险管控的逻辑关系,进而对内部审计在风险管控中的职能定位进行论述,希望能为内部审计机构在风险管控中找准自身的角色定位、正确发挥自身作用提供一些思路。一、内部审计的概念现代企业内部审计,最初是以财务审计为主,重点关注合规性审查,目的在于纠正错误、防止舞弊;从20世纪50年代开始,内部审计不断向经营审计和管理审计拓展,审计的重点也逐渐转变为对经营活动和管理控制的审查和评价;20世纪90年代后,内部审计引入了风险导向审计理念,重点关注阻碍组织目标实现的风险和威胁,审计理念也从监督型向服务型转变,咨询服务开始发展,内部审计逐步由被动审查向主动提出解决问题的建议转变,这使得内部审计更具有前瞻性和建设性。随着上述内部审计理念的转变和拓展,内部审计的概念也在不断发展。国际内部审计师协会(IIA)在其2001年1月发布的新版《国际内部审计专业实务框架》中,将内部审计全新定义为:“内部审计是一种独立的、客观的确认和咨询活动,旨在增加组织的价值和改善组织的运营。它通过应用系统的、规范的方法,评价并改善风险管理、控制及治理过程的效果,帮助企业实现其目标①。”这一定义一直沿用至今。上述定义的基本要点有:(1)明确内部审计的职能是“确认”与“咨询”,删除了以往定义中的“监督”职能;(2)明确内部审计的工作内容是“评价并改善风险管理、控制及治理过程的效果”;(3)明确内部审计的目标是“增加组织的价值和改善组织的运营”①见国际内部审计师协会于2001年1月发布的《国际内部审计专业实务框架》。此为中国内部审计协会译本,原文为:“InternalAuditingisanindependent,objectiveassuranceandconsultingactivitydesignedtoaddvalueandimproveanorganization’soperations.Ithelpsanorganizationaccomplishitsobjectivesbybringingasystematic,disciplinedapproachtoevaluateandimprovetheeffectivenessofriskmanagement,control,andgovernanceprocesses.”2以及“帮助企业实现其目标”。二、从内部审计的概念,看内部审计与风险管控的逻辑关系首先说明一下,本文所称“风险管控”,是企业风险管理与内部控制的统称。之所以没有使用企业风险管理与内部控制这两个更为常见的名称,是因为本文认为企业风险管理是内部控制的升级版,它们仅仅是风险管控在不同发展水平的不同名称而已,二者并无本质区别,没有必要进行人为的区分。比如,COSO①在1992年、2004年分别发布了堪称风险管控教科书的《内部控制——整合框架》和《企业风险...
