一、內控、合規與風險管理
內控、合規和風險管理的概念在很多書籍以及網絡上都有描述,這里不再剖析。我們僅僅從直觀的感覺上來看看三者的關系。
內控更多地來自企業組織自身發展的管理需求。盡管外部監管部門會對企業,尤其是上市企業的內控有更具體的需求,但企業要想健康、長遠地發展,會主動完善自己的內控體系。
合規管理,可簡稱合規,多來自于企業組織的外部要求,例如國家法律法規、行業的監管規定等等。企業組織也會自己定立一些規章制度來約束各經營單位、部門、員工等的經營行為,這也是合規。
風險管理,是企業組織面對經營中的風險采取的一系列管理措施。企業組織面臨的風險一般可以分為七大類,例如市場風險、操作風險等等。風險既可以來自外部也可以來自內部。內控不嚴也能產生舞弊風險。
如上圖所示,內控的范疇最小,合規的范疇要大些,風險管理的范疇更大。不是所有流程的所有環節都要有內控節點,而所有流程都要符合合規要求。而風險對企業組織來說,更具有復雜性和不可控性,尤其是外部風險。風險的范疇相對合規更大,合規風險就是眾多風險中的一種。狹義地看,合規包含內控,風險管理又包含合規管理。
當然,如果從更多的角度看,內控、合規和風險管理并不是單純的包含關系,可以互相有所交叉和滲透。合規中也有內控的要求,內控也是為了控制風險,降低合規風險也是風險管理的任務之一。
之所以在圖中以包含的關系展示,是為了便于理解。實際工作中,為了便于組織和協作,我們可能對一些任務進行人為劃分。例如審計項目中,我們可能會分為業務檢查小組、財務檢查小組、行政檢查小組等,如果從一條完整的業務線來看,業務、財務、行政等環節都會涉及,這樣劃分主要從審計人員的知識結構、工作背景等方面來考慮的。
二、內審與內控、合規、風險管理
內審是風險防控的第三道防線,內控部門、合規部門、風險管理部門是風險防控的第二道防線。內審因為其獨立性,會對企業組織的內控、合規管理和風險管理進行檢查監督和評價。內審的檢查方式很多種,其中穿透式的檢查會涉及到整個業務流程。從理論上說,內控、合規、風險管理更側重過程管理以及前端管理,而內審雖說也在往前端擴展,但因為其獨立性不能參與具體操作,更多地是對結果進行監督。內審往前端擴展也是指審計范圍向制度制定、方案、流程和系統設計等的結果擴展。內控、合規、風險管理部門是要制定制度和政策的,如果內審部門也參與制度和政策的制定,就失去了內審的獨立性,也就很難發揮監督職能,也就不容易或不愿意發現制度和政策制定中存在的問題。
實務中,還有很多企業組織把內審與內控、合規、風險管理放在一個部門,使內審也參與到了具體操作;還有企業組織把內審和紀檢、監察放在一個部門,把監督權和處罰權放在了一起。這也使對內審不了解的人,分不清內審與內控、合規、風險管理、紀檢監察的區別。不過,存在也有其合理性。把內審與內控、合規等部門放在一起,雖然喪失了一些內審的獨立性,但也會使監督和問題整改之間的距離縮短,管理措施能夠更快落地。
三、廣義的內控、風險管理又包含內審
如果從企業整體來看,內控、風險管理又包含內審,即內審又是內控和風險管理的重要手段和有機組成部分。內控、風險管理和內審的最終目的都是為了促進企業組織達成管理目標或戰略目標。內審不能脫離企業組織的經營而存在。內控和風險管理需要從內審獲得風險信息和風險判斷、評估結果,以及實際或潛在的重大問題。
有人把內審比作企業組織的“免疫系統”,那么“免疫系統”是不能脫離企業組織“機體”而獨立存在的。內控和風險管理要覆蓋到整個機體,而內審就又像檢查機體的“探測器”,在經過整個掃描之后,內審要深入具體某個局部進行問題的查找,并把問題信息反饋給內控和風險管理系統。所以,內審又是完善內控和風險管理體系的重要手段。
四、內審部門的定位
理論上,內審部門的定位可以很高大上,比如戰略的推動者、風險第三道防線、管理咨詢師等等。但內審最基本的定位應該是發現問題、揭示風險。即使是這最基本的地位還能再進一步地明確,發現什么問題?揭示什么風險?企業組織不同的發展階段、不同的經營模式和策略,都需要內審部門重新審視和調整自己的定位。定位很重要,定位就像階梯,雖然方向是對的,如果階梯之間的距離過大或過小,都會對內審部門的發展產生影響。階梯之間的距離過大,內審部門就很難邁過去,階梯之間的距離過小,就會減緩內審部門前進的速度。