现实中,经常听到内部控制、风险管理等字眼,它们和内部审计是什么关系呢? 下面我们通过一张图来解释一下它们三者之间的关系。
通过上图我们发现,内部控制、风险管理与内部审计三者之间是相互依存、相互联系的关系。
想象一下,你去参加一场面试,面试官问你:风险管理、内部控制与审计,这三者到底是什么关系?你将如何回答?会对答如流吗?
先说风险管理,举个日常生活中的例子:你是一个风险规避者,现在的目的是上班不迟到。可以想见,迟到的风险大致有:早上没听见闹钟、上班路上堵车、办公楼电梯坏了等等。那怎么对这些风险进行管理呢?首先,用手机设定一个闹钟,再买一个闹钟,并且在睡觉之前保证手机电量满格;然后,每天为了避开高峰期,提前半个小时起床,充分享受城市的清晨;最后,每天锻炼身体,即便办公楼的电梯坏了,也可以毫不犹豫地选择爬楼梯,准时到达办公室。上述这些措施都可以称之为风险管理。
内部控制是内部审计的根,为风险管理提供控制机制,为内部审计提供审计对象;
企内部控制的关键节点也常常作为审计对象,因为内部控制的重点就是内部审计关注的重点。企业内部控制是否完整、是否有效,直接对管理起到决定性作用,管理过程中风险的产生,也取决于内部控制的机制有效与否。
其次,风险管理是内部审计的依据,它为内部审计作业提供逻辑地点和发展方向;通过分析管理过程中存在的问题及各项风险,确定风险所在地,为内部审计目标提供依据,减少确定审计目标和审计重点的时间,直接指明整个审计方向与审计重点。
最后, 内部审计通过确认和咨询来完善和优化风险管理和内部控制,对内部控制和风险管理提出更高的要求。
我们分析整个内部审计过程,可以总结:内部审计就是对企业内控和风险工作的进一步确认,以此作为管理咨询依据,为企业管理提供相应的建议。
从控制方式来看,内控就是事前控制,风控是事中控制,内审则是事后控制。
从因果或关联上分析:内部控制是因,是根;风险管理是过程;内部审计是果,确认结果。
1.目标导向一致:战略目标导向
内审、内控、风控都是基于治理、监管等因素下的“产品“,继续追溯产生的动因,从内部角度分析,两权分立(所有权与经营权)是重要的因素之一,从外部角度分析,组织运营要满足法律法规遵循性的要求。企业的组织层次可以分为管理层和控制层,管理层侧重运营执行,控制层侧重监督评价(分类纯属个人观点,值得商榷,因为管理本身的职责就有控制)。内审、内控和风控对公司的运营就是一种制衡,对人的制衡,对事的制衡,对利益的制衡,制衡之外是对组织健康发展的一种促进。
公司存在的目的:生存、发展、获利。公司要实现其目的,内审、内控、风控可以说是公司的”防火墙“、“保健医生”。内审、内控、风控的落脚点要导向组织的战略目标、远景、规划,从近处说,要服务组织某阶段的发展目标(短期目标),从这个角度分析,三者目标导向是一致的。
2.内审、内控、 风控的关系
关系浅析:
(1)、有交叉部分。我中有你,你中有我。主要表现在风险评价和评估。三者都与风险、风险评估有关。内部控制侧重公司层面与业务层面,而风险管理是内部控制的延伸和升华,关注风险与战略。
(2)、治理的三道防线。内审对应审计部门,内控对应业务层与管理层(如财务部门),风控对应风控部门(如质量、安全)。
(3)、独立性的程度。理想内审的独立性最高,对董事会负责。其他的独立性相比而言较弱。
事前控制:防微杜渐
事中控制:张弛有度
事后控制:亡羊补牢
3.内审、内控、风控的关注点
4、内审、内控、风控的标准
总结一下
▐ 内部审计、内部控制、风险管理的关系
风险管理是定性定量地对风险进行衡量,侧重的是“可能性”。因此,风险管理应该是最早的环节,从企业整体出发,评估风险状况,找到应对策略。这其中,又可分为不可控风险和可控风险。不可控风险通常通过风险转移、保险、风险接受等方式进行应对;可控的风险通常通过内部控制手段进行应对。所以内部控制本质上就是企业管理中通过日常管控手段降低风险的行为。那内控执行的效果如何,就通过审计来检查。审计检查完后有一些发现问题,可能是最早风险评估环节就没考虑到的,那么审计发现问题又回过头来指导风险管理的完善。
至此,你是否能自信地告诉面试官,风险管理、内控与审计,这三者到底是什么关系了呢?