現實中,經常聽到內部控制、風險管理等字眼,它們和內部審計是什麼關係呢? 下面我們通過一張圖來解釋一下它們三者之間的關係。
通過上圖我們發現,內部控制、風險管理與內部審計三者之間是相互依存、相互聯繫的關係。
想象一下,你去參加一場面試,面試官問你:風險管理、內部控制與審計,這三者到底是什麼關係?你將如何回答?會對答如流嗎?
先說風險管理,舉個日常生活中的例子:你是一個風險規避者,現在的目的是上班不遲到。可以想見,遲到的風險大致有:早上沒聽見鬧鐘、上班路上堵車、辦公樓電梯壞了等等。那怎麼對這些風險進行管理呢?首先,用手機設定一個鬧鐘,再買一個鬧鐘,並且在睡覺之前保證手機電量滿格;然後,每天為了避開高峰期,提前半個小時起床,充分享受城市的清晨;最後,每天鍛鍊身體,即便辦公樓的電梯壞了,也可以毫不猶豫地選擇爬樓梯,準時到達辦公室。上述這些措施都可以稱之為風險管理。
內部控制是內部審計的根,為風險管理提供控制機制,為內部審計提供審計對象;
企內部控制的關鍵節點也常常作為審計對象,因為內部控制的重點就是內部審計關注的重點。企業內部控制是否完整、是否有效,直接對管理起到決定性作用,管理過程中風險的產生,也取決於內部控制的機制有效與否。
其次,風險管理是內部審計的依據,它為內部審計作業提供邏輯地點和發展方向;通過分析管理過程中存在的問題及各項風險,確定風險所在地,為內部審計目標提供依據,減少確定審計目標和審計重點的時間,直接指明整個審計方向與審計重點。
最後, 內部審計通過確認和諮詢來完善和優化風險管理和內部控制,對內部控制和風險管理提出更高的要求。
我們分析整個內部審計過程,可以總結:內部審計就是對企業內控和風險工作的進一步確認,以此作為管理諮詢依據,為企業管理提供相應的建議。
從控制方式來看,內控就是事前控制,風控是事中控制,內審則是事後控制。
從因果或關聯上分析:內部控制是因,是根;風險管理是過程;內部審計是果,確認結果。
1.目標導向一致:戰略目標導向
內審、內控、風控都是基於治理、監管等因素下的“產品“,繼續追溯產生的動因,從內部角度分析,兩權分立(所有權與經營權)是重要的因素之一,從外部角度分析,組織運營要滿足法律法規遵循性的要求。企業的組織層次可以分為管理層和控制層,管理層側重運營執行,控制層側重監督評價(分類純屬個人觀點,值得商榷,因為管理本身的職責就有控制)。內審、內控和風控對公司的運營就是一種制衡,對人的制衡,對事的制衡,對利益的制衡,制衡之外是對組織健康發展的一種促進。
公司存在的目的:生存、發展、獲利。公司要實現其目的,內審、內控、風控可以說是公司的”防火牆“、“保健醫生”。內審、內控、風控的落腳點要導向組織的戰略目標、遠景、規劃,從近處說,要服務組織某階段的發展目標(短期目標),從這個角度分析,三者目標導向是一致的。
2.內審、內控、 風控的關係
關係淺析:
(1)、有交叉部分。我中有你,你中有我。主要表現在風險評價和評估。三者都與風險、風險評估有關。內部控制側重公司層面與業務層面,而風險管理是內部控制的延伸和昇華,關注風險與戰略。
(2)、治理的三道防線。內審對應審計部門,內控對應業務層與管理層(如財務部門),風控對應風控部門(如質量、安全)。
(3)、獨立性的程度。理想內審的獨立性最高,對董事會負責。其他的獨立性相比而言較弱。
事前控制:防微杜漸
事中控制:張弛有度
事後控制:亡羊補牢
3.內審、內控、風控的關注點
4、內審、內控、風控的標準
總結一下
▐ 內部審計、內部控制、風險管理的關係
風險管理是定性定量地對風險進行衡量,側重的是“可能性”。因此,風險管理應該是最早的環節,從企業整體出發,評估風險狀況,找到應對策略。這其中,又可分為不可控風險和可控風險。不可控風險通常通過風險轉移、保險、風險接受等方式進行應對;可控的風險通常通過內部控制手段進行應對。所以內部控制本質上就是企業管理中通過日常管控手段降低風險的行為。那內控執行的效果如何,就通過審計來檢查。審計檢查完後有一些發現問題,可能是最早風險評估環節就沒考慮到的,那麼審計發現問題又回過頭來指導風險管理的完善。
至此,你是否能自信地告訴面試官,風險管理、內控與審計,這三者到底是什麼關係了呢?
閱讀更多 CIA內審師小站 的文章
