基于戰略視角的內部審計價值提升與實施路徑探索

尤雪英（博士）

一、COSO風險管理框架的新導向

COSO《企業風險管理—與戰略和業績的整合》的框架圖

2017年COSO發布了新版企業風險管理框架：《企業風險管理—與戰略和業績的整合》（以下簡稱“COSO新風險管理框架”），引發了業界熱議。CO?SO新風險管理框架由五大要素二十項原則組成，如下圖所示，相較于2004年版《企業風險管理—整合框架》，其突出強調了組織在戰略制定與業績提升過程中的風險管理。大量的企業失敗案例表明，運營風險會使組織利益受到損害，而戰略風險則會給組織帶來致命的打擊。因此，戰略風險管理在企業風險管理中居于非常重要的地位。COSO新風險管理框架要求組織在制定戰略規劃的過程中，將企業風險管理、戰略和目標進行整合，風險偏好的設立應與戰略相一致，通過業務目標的制定來實施戰略，并以此作為識別、評估和應對風險的基礎，從而幫助組織在一系列“不確定”因素下，即在“風險”的伴隨中，為利益相關者創造、維護價值，最終實現組織目標，完成組織使命。

COSO新風險管理框架強調風險管理與戰略、績效之間存在的重要邏輯關系，更深入地探討了風險管理在戰略制定和執行中的角色，更緊密地將風險與價值聯系在一起，強調了風險管理需要與組織績效之間有效協調。企業風險管理不再僅僅局限于防止價值侵蝕和將風險最小化到可接受水平上，而是應在更寬廣的視域下，將風險管理視為戰略設定、價值創造與維持的有機組成部分，以及整個組織價值鏈中不可或缺的一部分。在一個充滿動態不確定性的環境下，該框架為基于風險管理視角來實現組織目標提供了一個嶄新的分析視角。

二、IIA《國際內部審計專業實務框架》的新要求

《國際內部審計專業實務框架》（IPPF）是國際內部審計師協會（IIA）發布的概念性權威框架。該框架由三部分構成：內部審計的使命、強制性指南、推薦性指南。自2009年IPPF第一次發布以來，依據IIA的持續審核機制，應至少每三年對該標準體系進行一次適時調整或適當更新。

IIA作為COSO的發起人之一，一直高度關注企業風險管理框架的最新變化，并及時將風險管理的核心要義融入IPPF。在2017年修訂后的IPPF中，涉及戰略和目標的修訂隨處可見，特別是對內部審計的使命、強制性指南部分進行了大量的修訂，彰顯出內部審計與戰略、目標的關系日趨緊密。

（一）內部審計的使命部分對風險管理的強調

在IPPF（2017）中，內部審計的使命被界定為“以風險為基礎，提供客觀的確認、建議和洞見，增加和保護組織價值”，并突出強調了以風險管理為基礎是提供確認與咨詢服務的有效切入點。

（二）強制性指南部分對戰略風險的高度關注

強制性指南由四部分內容構成，即內部審計的核心原則、內部審計定義、職業道德規范、國際內部審計專業實務標準。IPPF（2017）中的強制性指南部分也展現出了對戰略、目標與風險的高度關注。

例如：①在內部審計實務的十大核心原則中，就有三條強調了對風險的關注與應對，如“適應組織的戰略、目標和風險狀況”“提供以風險為基礎的洞見”“富有見解、積極主動，并具有前瞻性”。②2000號標準（內部審計活動的管理）中指出，有效風險管理是指“應對所有可能影響組織發展趨勢的事項以及新興事項進行充分考慮”，而且“當內部審計活動充分考慮戰略、目標及風險，努力提供能夠提升公司治理、風險管理和內部控制水平的各種方法，客觀進行相關確認時，內部審計活動就可被認為已經為組織及其利益相關方增加了價值”。這段論述明確了內部審計的確認服務只要是基于對戰略、目標與風險的充分考慮，就是為組織增加價值。③2010號標準（計劃）的釋義中，對首席審計執行官制定計劃的要求是“應事先征詢高管層與董事會意見，了解組織的戰略、關鍵經營目標、相關風險及管理程序”，這強調了內部審計計劃的制定應基于對戰略、目標的考慮。④2100號標準（工作性質）中要求內部審計的方法必須“基于風險”，并指出“當內部審計師通過積極主動的工作，使其評價結果能夠提供新的洞見并考慮未來影響時，內部審計的價值與可信度就會獲得認同”。⑤2200號標準（業務計劃）要求“制定的計劃必須是基于對業務有關的組織戰略、目標和風險的考慮”，這強調了具體審計業務計劃與戰略、目標的關系。⑥2450號標準（總體意見）要求“必須在考慮組織戰略、目標和風險的基礎上，發表總體意見”。

綜上，通過這些修訂，IPPF（2017）要求內部審計必須前移其在風險管理過程中的位置。傳統的內部審計確認服務更注重事后的風險防范，而新時代的內部審計確認服務則要求在制定計劃時就應事先考慮組織的戰略與目標。新時代下的內部審計顧問與咨詢服務則更強調在事中乃至事前的風險防范，使內部審計更加關注未來可能發生的風險。內部審計實務核心原則中所提出的“富有見解、積極主動，并具有前瞻性”，更是對內部審計師的洞見能力提出了相當高的要求。

三、內部審計在戰略風險管理中的職責

時至今日，組織所面臨的外部環境快速變化且日益復雜，不斷擴大的監管要求以及近年來的技術進步，使組織所面臨的風險日益復雜和多樣化[1]，而風險管理是確保組織能夠長期生存并持續發展的關鍵。這些變化給內部審計職能的發展提供了更為廣闊的空間與更多的機會。Bou-Raad[2]發現，內部審計通過提供增值的方法，有助于組織目標的實現，通過改善信息的質量，提高了決策的準確性。Caratas、Spatariu[3]對當代公司發展中內部審計的角色進行研究，發現在業務風險與日俱增的市場環境下，內部審計除了能事先預見部分風險，還能洞察控制領域正在發生的變化；此外，還發現如果內部審計與審計委員會之間能在風險監控方面進行有效合作，將更有益于組織目標的實現。

正如內部審計的使命被界定為“以風險為基礎，提供客觀的確認、建議和洞見，增加和保護組織價值”，在這瞬息萬變的商業環境下，內部審計在監督公司的風險狀況和識別與改進風險管理過程方面起著關鍵作用。

（一）內部審計在戰略決策中發揮第三道防線作用

由于內部審計機構的獨立性、客觀性以及董事會賦予內部審計部門在風險管理中的權力，使得內部審計能在戰略決策中發揮獨一無二的第三道防線作用[4]。在重大的戰略決策中，迫切需要內部審計從獨立、客觀的角度來幫助應對這些風險。這主要是因為，一旦戰略風險領域發生諸如資本項目、并購重組和產品項目等方面的失敗，就會對企業市值產生巨大的潛在影響。

根據IIA于2009年對內部審計在全面風險管理中作用的檢查結果，發現內部審計在戰略決策的風險管理中發揮著核心作用，即對戰略決策風險管理過程進行確認，對戰略決策風險是否進行過正確評估進行確認，對戰略決策風險管理過程進行評估，對戰略決策的關鍵風險的報告進行評價以及對關鍵風險的管理進行審查。內部審計師通過對這些領域進行確認服務，為組織的戰略決策保駕護航。

（二）內部審計可通過多種方式的確認與咨詢活動在戰略決策中發揮作用

采用COSO新風險管理框架，能更深層次地將風險管理融入組織的策略。因此，內部審計功能也可以在支持采用和實施COSO新風險管理框架方面發揮積極作用。COSO新風險管理框架要求內部審計在更好地識別和應對與戰略相關的關鍵風險中發揮重要作用，因此，服務于組織戰略決策中的內部審計師的地位將日益重要。

雖然內部審計的核心作用是向董事會提供關于風險管理有效性的客觀確認，但是內部審計仍然可以通過開展多種方式的確認與咨詢活動，幫助企業在風險管理方面取得成效[1]。例如：在戰略決策中，內部審計師可以為組織在戰略決策中的風險管理方法提供方案，為戰略決策提供咨詢與建議，還可以對戰略決策中的風險管理情況進行評價，從而在戰略風險管理中發揮更重要的作用?！禝IA立場公告：內部審計在企業全面風險管理中的作用》為內部審計參與企業風險管理提供了指導，基于戰略的風險管理要求內部審計師在這些領域進行更為深入的學習與思考。

四、戰略風險管理下內部審計增加組織價值的路徑

COSO新風險管理框架的發布將再次提升人們對風險管理的關注，這將為內部審計師參與企業風險管理提供絕佳機會。國際標準化組織（ISO）于2018年2月發布的《ISO 31000：風險管理指南》也為內部審計師參與風險管理的工作方向、能力提升和報告方式等方面提供了參考。致力于為組織創造和保護價值是內部審計師的使命[5]，因此，更好地理解風險管理原則，轉變理念與思路，并將其納入內部審計實踐，在履行內部審計使命的同時，也能為內部審計師未來的職業發展帶來益處。可見，在COSO新風險管理框架下，內部審計師需要基于戰略的角度，對內部審計實踐活動進行再思考，挖掘戰略風險管理下增加組織價值的新路徑。遵循從理念到實踐、從抽象到具體的邏輯線路，從邏輯起點、審計導向、評價標準、業務范圍、審計內容等多維度探尋增加組織價值的路徑。

（一）邏輯起點：結合戰略與目標的實現進行風險管理

內部審計實踐中，雖然內部審計師可以選擇是基于程序驅動還是基于風險驅動的方法，但研究結果表明，風險驅動的方法通常比程序驅動的方法更有效，這主要是因為在風險驅動方法下，內部審計師的努力將集中在風險相對較大的領域，從而提高了內部審計的質量與效率。因此，內部審計師應該明確，有效的風險管理并不是孤立地看待風險，而是聚焦于那些會影響組織戰略及商業目標實現的風險事項。如果只看風險，而忽略戰略與目標，則風險管理就會流于形式。就增加組織價值而言，風險管理也應緊密結合組織的戰略與目標，因為只有組織戰略與目標順利實現，才能保證創造與維持組織價值。

在開展風險管理審計時，應將可能影響戰略和業務目標實現的事項作為重點。如果僅僅將風險視為管理重點，則企業風險管理只是一個制度或流程而已，其作用不能完全發揮。對于管理層而言，其首要考慮的問題往往不是風險，而是如何制定恰當的戰略以及如何提高績效，從而更好地增加組織價值。企業風險管理必須與戰略和目標的實現密切相連。因此，在進行風險管理內部審計時，內部審計師應重點關注與戰略目標相關的風險領域。內部審計應將審計活動的主要領域鎖定在可以對關鍵戰略決策產生負面影響的風險因素識別及應對方面。在關鍵的戰略決策中，審計師用專業審慎的態度，對風險因素進行排序，對組織面臨的風險與機遇發表客觀公正的見解。

內部審計師在為風險管理提供確認與咨詢服務時，以戰略與目標的實現作為邏輯起點，有利于科學制定審計計劃，合理確定審計范圍，將審計資源高效地配置于影響戰略與目標實現的高風險領域，正確建立戰略與相關目標體系，為組織價值增值保駕護航。

（二）審計導向：關注風險管理而不是內部控制本身的充分性

企業風險管理并不僅僅是一個簡單的控制程序，而是一套由技能、能力、方法、工具與文化等相關內容構成的集合體，各項內容之間并非孤立存在，而是相互聯系的，并成為組織決策的有機組成部分。內部審計在企業風險管理方面的核心作用之一是“確保風險得到正確評估”。現實中大多數內部審計師將內部控制的充分性作為重點關注內容，但是“風險”才是其應關注的核心內容，內部控制應被視為僅僅是減少風險的一種方法。因此，內部審計師應該掌握如何識別、評估、分析、應對、審查和報告風險，如果其不具備這些基本的技能，就不可能取得內部控制應有的效果。

內部審計師應當對風險、風險管理與風險應對進行統籌考慮，而不是僅僅關注內部控制本身的充分性。因為管理層是以設定目標和實現目標的方式來實施企業管理并思考商業問題的，而這一過程中所考慮的這些目標都與企業戰略、業績密切相關。同時，內部審計師不僅要評估內部控制，還要評估管理層的選擇和風險應對措施的實施，內部控制只是風險應對的一個方面。

可見，如果內部審計師與管理層的步調一致，以風險管理為審計導向，更多地聚焦于這些組織目標以及可能影響績效的事項，不僅能使管理層更了解內部審計的工作性質以及內部審計是如何幫助組織增加價值的，也能最大限度地得到管理層的信賴與支持，并得到有利于審計活動開展的信息、數據與資源，使內部審計師在提供確認、咨詢服務時，在獲得審計證據、溝通審計結果方面容易得到認可與接受。這不僅能提高審計效率，也能極大地提高審計結果的使用程度，從而為提升組織價值提供幫助。因此，審計人員需要更多地思考并探討風險、潛在影響以及如何進行風險應對等問題。

（三）評價標準：涵蓋五種風險應對策略

每個組織都會面臨風險，甚至可以說風險是組織的基本組成部分，因為組織對于其所采取的每次行動，都無法避免地承擔著相應的風險。有時發生的事件會產生積極的影響，有時候是負面的影響，因此需要對風險進行有效管理。

COSO新風險管理框架概述了風險應對的五個基本方法：接受、避免、追求、減少和分擔，與原先的框架相比，增加了“追求”這一應對策略，而內部審計師經常認為應對風險的正確方法是第四個選擇——減少，所采取的措施也通常是實施內部控制以減少風險事件發生的可能性或影響，但這不是唯一的選擇，其他選項可能會更好。因此，內部審計師在評估管理層是否選擇了恰當的解決風險問題的最佳方式時，應對五種基本的風險應對方法進行全面考慮，而不是像以前一樣，僅僅關注“減少”這一應對策略下所采取的措施與方法。在COSO新風險管理框架下，即使被審計單位所采取的風險應對策略是“追求”風險，但只要是在組織所能承受的風險范圍之內，并有相應的風險管理措施，且能給組織帶來可觀的價值，則內部審計師在進行風險管理評價時，也應將這種風險應對策略納入可供選擇的范圍，幫助組織在激烈的市場競爭中積極面對挑戰，獲得更多的機會，從而增加組織價值，完成組織使命。

（四）業務范圍：從戰略執行層面延展到戰略制定層面

風險是戰略制定過程中必須要考慮的因素。以往對風險進行識別與防范更多地側重于既有戰略，例如過去內部審計師常常會分析什么風險可能會影響企業戰略的持續開展，這種風險評估主要是針對已經確定的戰略并分析其潛在影響。事實上，這種分析與應對屬于戰略的執行層面，而COSO新風險管理框架則強調基于戰略的風險管理，所以應在最初的戰略制定層面就開始考慮并關注所有可能存在的與戰略不匹配的可能性以及風險對已選定戰略的影響。

在戰略風險管理審計中，內部審計范圍應從傳統的合規性審計與內部控制的確認服務擴大到重要戰略風險決策領域。內部審計可以在對關鍵戰略決策產生負面影響的風險因素識別及應對中發揮重要作用。更為重要的是，審計師因其獨具的不偏不倚的職業態度，使其能夠在戰略決策中對管理層的假設、估計和決策模型提供獨立的確認服務，并用專業審慎的態度，對風險因素進行排序，對組織面臨的風險與機遇發表客觀公正的見解。

已有研究表明，利益相關者對內部審計價值的認知與其對公司戰略的參與程度存在顯著的相關性[6][7]。在獲得了高度評價的內部審計部門中，將近有50%的內審部門是因為其能夠為公司的戰略提供前瞻性的建議與洞見。內部審計部門參與公司重要業務活動越多，內部審計活動越能更好地融入組織的關鍵領域，就越容易被認為其在公司價值提升方面具有重要貢獻，因此，具有戰略眼光的內部審計部門會使其工作與公司戰略目標保持一致，并對存在的風險提出具有前瞻性的意見，使利益相關者能夠很快地認識到內部審計帶來的價值。在組織發展過程中，內部審計的這種價值是通過對風險的識別、探討及有效控制進行衡量的，或根據全面了解風險后做出決策的速度而定，而不是以審計報告的報送數量或審計發現問題的多少作為評判標準。因此，內部審計需要將風險管理審計范圍從戰略執行層面延展到戰略制定層面，利用內部審計師所特有的專業素養，將業務范圍前移，融入組織的戰略制定層面，幫助組織通過科學的項層設計來建設戰略與目標體系，避免因戰略失誤而導致經營失敗，為保障組織可持續發展的正確方向發揮重大作用，為組織價值增值奠定堅實的基礎。

（五）審計內容：戰略管理內部審計應成為實現組織價值增值目標的重要內容

戰略管理審計是內部審計師在對組織的戰略管理過程與戰略管理活動進行分析、審查的基礎上，對戰略管理的科學性與效果性進行評價的活動。戰略管理內部審計應成為實現組織價值增值目標的重要內容。

在戰略管理內部審計中，確認與咨詢服務的范圍應該包括戰略風險管理所涉及的所有層次與所有重要事項，只有這樣才能妥當地評判戰略制定所依據資料的可靠性和相關性、戰略決策程序的科學性、所制定戰略目標與內部資源的匹配性、戰略執行的效果性。主要審計內容包括：①在全面、充分認識內外部環境的基礎上，審查公司戰略是否符合組織的愿景、使命、目標；②審查戰略目標是否符合經濟社會環境與市場需求，并與公司內部資源保持適應與平衡；③審查公司戰略類型的選擇是否適當，以及戰略制定程序是否合法合規；④審查戰略制定依據是否充分并與客觀條件相吻合；⑤審查戰略實施過程，主要審查總體目標分解的科學性以及戰略方案選擇的可行性；⑥戰略目標確定后，審查公司內部各層級在公司戰略目標體系中所處位置及職責的明晰性；⑦審查戰略管理活動執行的恰當性以及業績評價的準確性。內部審計通過實施這一系列的相關活動，以專業的知識與態度，幫助組織管理戰略風險，實現組織目標，完成組織使命，并最終實現組織價值增值。