1. 引言
据世界经济论坛2022年所公布的《全球风险报告》显示,随着社会的飞速发展,全球企业所面临的风险复杂多变,新型风险不断诞生,风险的系统性紧密性也日益突出,对世界经济的影响日益加剧。在此大背景之下,企业树立风险管理意识,提高风险管理能力的重要性不言而喻。美国反财务欺诈委员会下属的发起人委员会(COSO)于2004年发布了《企业风险管理——整合框架》(Enterprise Risk Management Integrated Framework,以下简称ERM2004),并在2017年进行了更新,发布新版框架《企业风险管理——战略与绩效的结合》(Enterprise Risk Management Integrating with Strategy and Performance,以下简称ERM2017),新版的风险管理框架为企业建立行之有效的全面风险管理体系提供了指引,有助于企业更好地实现战略目标和价值增值。
为了高效整合、统筹协调组织中各部门的职责,更加积极的、平衡的实现组织风险管理,国际内部审计师协会(Institute of Internal Auditors,下文简称IIA)组织牵头对2013年发布的“三道防线模型(Three Lines of Defense)”进行了修订并于2020年7月正式发布“三线模型(Three Lines Model)”。“三线模型”通过一种行之有效的方式,清晰阐述了治理层、管理层以及内部审计各自的职责,从而增强了有关风险管理以及控制的沟通,推进组织目标的实现以及价值增值。“三线模型”不仅强调对风险的被动“防御”,更加强调对风险的统筹管理,既看到风险带来损失的不利一面,又看到风险对价值增值的有利一面,以主动的方式“进攻”,可以更好的适应现代风险管理的思想以及企业治理环境的变化。
内部审计作为组织的重要组成部分,在公司治理以及风险管理中起到至关重要的作用,尤其是内部审计的增值功能,有助于企业战略目标的实现以及价值增值。因此,本文通过将“三线模型”融入企业风险管理,并以此为基础构建内部审计职责路径图,明确全面风险管理组织体系中内部审计的相关职责,为企业优化内部审计功能,发挥内部审计的作用提供新思路,从而更好的推动企业实现高质量发展。
2. 国内外研究现状
2.1. 内部审计增值功能研究综述
1999年,IIA发布内部审计的新定义,此后,内部审计进入到了价值增值的新时期。围绕内部审计增值功能,国内外众多学者从不同视角进行了研究。首先,对于发挥内部审计增值功能的必要性,内部审计部门要想在组织中生存下去,就必须将过去资源消耗者的形象转化为价值增值者的形象。王光远(2003) [1]指出为了适应社会环境的变迁,内部审计应由消极防弊、积极兴利发展到价值增值的新阶段。Paul L. Walker通过案例研究提出管理者必须将内部审计视为关键的顾问,充分发挥内部审计的价值增值作用,以推进组织更好的发展,这与季瑞华、霍子叶(2016) [2]的观点不谋而合。李凤华(2007) [3]基于价值链理论视角说明了内部审计在企业价值链中的地位和作用,需要通过发挥内部审计的增值功能来推动组织发展。Barry J. Copper和Peter Robertson (2015) [4]认为虽然业务创新可以带来较大的利润增加,但与之一同而来的是更大的风险,此时内部审计增值功能就能发挥其作用。其次,针对内部审计增值功能的实现路径,Andrew Bailey (2014) [5]等人认为内部审计需要在确认和咨询服务中发挥增值功能,蒋文定、宋媛媛、蒋卉(2014) [6]与其观点类似,他们通过SWOT模型进行分析,认为咨询服务是内部审计增值功能实现的有效方式。Desalegn Getie Mihret (2017) [7]认为内部审计人员正在寻求转型至增值功能内部审计的方法手段,发现最好的增值方式是帮助组织实现目标。郑石桥、李娴娴(2017) [8]同样认为增值功能的内部审计应该与组织的目标保持一致且帮助组织实现目标,通过监督和咨询服务,揭示组织目前的问题,并要求管理层完善管理体系,降低风险。刘玉萍(2016) [9]认为内部审计部门要协调好监督和服务功能,创新审计的手段和方法,才能实现增值功能。阳秋林等(2016) [10]认为转变内部审计理念、提升审计人员沟通水平、扩大审计服务领域、提高审计人员综合素质,是提升内部审计增值功能的有效对策。吴芳娇(2019) [11]认为将增值理念融入审计制度、优化审计方式、培养审计人才是实现审计增值的有力措施。最后,对于内部审计增值功能实现过程中所面临的问题,学者们也给出了自己的意见。Peter Robertson通过调查问卷的方式对内部审计进行研究,认为虽然内部审计的价值增值功能为内部审计工作贡献了执行理念,但是在审计实务中如何具体操作还存在着较大的问题,且由于审计人员的素质能力存在差异,很可能在具体操作中无法实现价值增值。陈国珍(2015) [12]认为当前内部审计的增值理念还未深入人心,应用实践的还远远不够,需要建立相应的配套制度。Philna Coetzee (2016) [13]认为当前内部审计人员实现的价值增值,与利益相关者对其期望差距还很大。
2.2. 风险管理框架的发展及变化
2.2.1. 风险管理框架的发展历程
1985年,为了研究财务报告舞弊产生的原因,美国注册会计师协会、内部审计师协会等组织共同组建了美国反虚假财务报告委员会,两年之后,以此为基础组建了以研究内部控制为核心的COSO委员会。1992年COSO发表了《内部控制——整合框架》,作为在美上市公司内部控制体系制定的指引框架,它不但受到了美国证监会的认可,同时在世界各地也得到了广泛的应用。随着实践运用的不断发展和进步,COSO对内部控制框架进行了多次修订和完善,但在内部控制框架实施了十年之后,实务界发现即使是在内部控制体系得到有效运作的前提之下,企业还是会面临倒闭、破产等问题,给企业以及利益相关者带来巨大的损失。因此,2004年12月,COSO正式公布了《企业风险管理——整合框架》,该框架以1992年的框架为基础,并进行了相应的完善与创新,以企业的内部控制为出发点,重点分析了风险管理的过程及实施要点,把风险管理融入到了公司的各项业务活动之中,并把战略目标引入风险管理的过程。2014年开始,COSO就采取了一系列措施为升级框架做准备,并于2017年9月6日正式推出新版框架《企业风险管理——战略与绩效的结合》。
2.2.2. ERM2017的内容及变化
ERM2017主要以5个基本要素为基础,以20个原则为导向,以实现企业的绩效为目标,通过风险管理与战略相整合为路径,注重价值创造和增值。
(1) 重新界定企业风险管理,强调风险与价值的关系
ERM2017对企业风险管理的定义进行了彻底的改变,它将风险管理定义为组织在创造、保持和实现价值的过程中,结合战略制定和执行,赖以进行管理风险的文化、能力和实践。舒伟等(2018) [14]通过对比分析提出新定义将风险管理工作从“一个流程或程序”提升至“一种文化、能力和实践”,明确风险与价值的结合,强调价值创造而非仅是防止损失,由此可以划清和内部控制定义的界限。
(2) 创新风险管理形式,定位风险管理与战略和绩效的协同作用
对比ERM2004,ERM2017更加注重企业风险管理的具体过程以及实施方式。ERM2017强调风险管理的形式主要是文化、能力以及实践,作用环节包括战略制定和执行,然后通过与战略和绩效的整合,推进企业价值创造和增值。
(3) 整合风险管理要素,以原则为导向,构建新的风险管理原则
ERM2004由8个要素构成,而ERM2017将原有的八个要素进行整合,简化为五个要素。ERM2017明确提出20个原则,内容涵盖框架中的五个要素,并且其中每个原则都体现一个要素的基础部分,在风险管理中得到普遍运用。这些要素和原则为企业判断风险管理的有效性提供了标准和依据,因为当企业的风险管理有效时,风险管理相关的要素与原则是实际存在并且以整合的方式持续运行的。
2.3. “三线模型”的演变与发展
2.3.1. “三线模型”的内容
如表1,因为三道防线模型过于关注风险的防范以及减少,所以容易使得组织丧失一些高收益高风险的机会。为了更好地适应现代风险管理环境的变化以及组织追求利益需要,2020年7月,IIA在三道防线模型的基础上发布了全新的“三线模型”。“三线模型”在“三道防线模型”的基础上新增了六项原则,着重强调治理机构的职责,并突出了风险管理在价值创造方面的目标和使命。“三线模型”重新划分了各部门的职责,其中组织治理机构将职责授权给内部各条线,并负责指导、调配资源和监督,管理层(第一线、第二线)负责实现组织目标和风险管理,内部审计(第三线)独立开展评估和提高风险管理并向治理机构负责。
Table 1. Three lines of defence model
表1. 三道防线模型
防线 |
对应职责部门 |
主要职责 |
第一道防线 |
运营管理的业务部门 |
在业务活动中合规、有效的执行内部控制措施 |
第二道防线 |
风险管理与合规的职能部门 |
负责各类风险的识别并制定相应的控制措施,同时检查业
务部门对相应内控措施的执行情况 |
第三道防线 |
内部审计部门 |
在各类检查审计工作中,向董事会和经营层确认公司内部
控制及风险管理的有效性 |
2.3.2. 三道防线模型与三线模型的区别
三道防线模型的界限太过分立,没有抓住组织的风险和控制的协调和共同责任。该模型可能会造成风险经理和内部审计师阻止运营经理过于冒险激进的做法,阻挡运营积极探索新业务的行为,还有可能加剧部门间的对抗,丧失了高风险高收益的机会。
与“三道防线模型”相比,“三线模型”的主要特点是去掉了“防”一字。这种变化表明“三线模型”作为一种新型的风险管理工具,不再仅仅局限于风险防范,而是倾向于更为积极进取的风险管理。巩凤(2021) [15]通过研究指出,“三线模型”更好地适应了现代风险管理环境的变化以及组织追求利益需要,有利于组织实现提升价值和创造价值的目标。此外,“三线模型”还强调了组织所有部门之间沟通与合作的重要性。内部审计与管理层之间必须定期进行互动,以确保内部审计的工作是相关的,并与组织的战略和运营需求保持一致。此外,通过内部审计的所有活动,内部审计将建立对组织的知识和了解,这有助于它作为可信赖的顾问为战略合作伙伴提供保证和建议。当所有部门共同努力并协调其目标时,组织将有效运作并成功实现其目标。
3. 基于ERM与“三线模型”相契合的内部审计功能优化
3.1. ERM2017与“三线模型”的契合性分析
3.1.1. 思想理念一致
“三线模型”与ERM2017均采用了更积极的“进可攻、防可守”的新时代风险管理理念,更好的适应现代风险管理的思想以及企业治理环境的变化。ERM2017强调风险与价值组合,突出价值创造而非仅是防止损失。“三线模型”同样不仅仅关注对风险的“被动”防御,更加强调积极进取的风险管理,以主动的方式“进攻”,既看到风险带来损失的不利一面,又看到风险价值增值的有利一面。
3.1.2. 最终目标一致
“三线模型”与ERM2017的最终目标是一致的,均强调风险管理在为组织提供价值方面的目标以及使命。ERM2017提出要在正视风险的基础上防范风险且创造更符合组织利益的价值,实现组织的目标以及价值增值。“三线模型”突出从组织整体的“价值网”出发,攻守兼备,实现为组织提升价值和创造价值的最终目标。
3.1.3. 表达方式一致
“三线模型”与ERM2017的表达方式是一致的,都是基于原则导向。ERM2017以价值创造链条的形式描述了风险管理要素与战略目标和价值创造的关系,框架主要内容包括5个要素及20个原则,可以更直观的与“三线模型”中的角色相对应。“三线模型”在以往模型的基础上增加了6项原则,突出了治理机构的地位以及责任,并且明确了各线的职责以及作用,有利于推动有关风险和控制的沟通,与ERM2017相契合。
3.2. ERM2017具体元素与“三线模型”的对应关系
3.2.1. 具体对应关系
ERM2017中的“治理和文化”、“战略与目标制定”两元素及其原则对应“三线模型”中的组织治理机构;“绩效与执行”要素及其原则对应“三线模型”中管理层这一角色;“审查与纠正”要素及其原则对应“三线模型”中内部审计部门;“信息、沟通与报告”在“三线模型”中虽无明确的角色对应,但却是在三线角色之间充当一种“润滑剂”的角色,推动各线角色之间的交流与沟通,从而提高组织的绩效。
3.2.2. 对内部审计的要求一致
“三线模型”与ERM2017均强调内部审计要发挥价值增值的功能。“三线模型”提出内部审计部门应当在分析企业风险承受能力的前提下,充分发挥增值功能,给企业第一线和第二线部门提出正确客观的建议,为企业出谋划策,帮助企业更好的抓住发展机遇、做出正确决策。而ERM2017也对内部审计的发展提出了更高的要求,提出内部审计应当基于风险管理视角,积极参与规划性的决策事务,充分发挥自身的专业技能以及优势,在帮助企业进行风险防范的同时洞察发展机遇,发挥内部审计预防风险、提供科学决策以及价值创造等积极作用,从而推进组织风险管理能力的进一步提升。
3.3. 构建内部审计职责路径图,优化内部审计功能
由于ERM2017与“三线模型”的契合,对内部审计提出了更高的要求,不仅要求防范风险,还要求发挥价值增值的功能。但在实际业务中,内部审计部门可能由于结构不完善等问题而对自身的职责不明确,导致开展工作时没有明确目标,也就不能正确或充分发挥内部审计的增值功能。所以我们可以通过ERM2017与“三线模型”的契合构建内部审计职责路径图,明确内部审计部门的第三线角色,优化内部审计功能,如图1所示,为内部审计部门开展工作提供指引,从而更好地发挥内部审计价值增值作用。
Figure 1. Pathway map of internal audit responsibilities
图1. 内部审计职责路径图
基于ERM2017与“三线模型”的契合构建内部审计职责路径图,明确内部审计的第三线角色,强调内部审计相对于管理层的独立性以及内部审计应对治理层负责,在治理层的指导下完成相应工作,为公司治理提出评价和建议。内部审计的职责主要是以公司的战略发展为核心,而后围绕战略发展的重点任务,将内部审计与管理层的任务相互融合,加强第一二线管理层与第三线内部审计的沟通,为组织治理和风险管理工作的适当性和有效性提供独立且客观的确认和咨询。以此为基础,可以将内部审计职责分为三类,即基本职责、主要职责以及首要职责。基本职责是内部审计履行其他职责的前提,是发挥价值增值功能的基础;主要职责是对基本职责的深化,对履行基本职责过程中所发现的具体问题进行归因分析与提供洞察见解;在充分落实基本职责和首要职责的基础上,内部审计应履行首要职责,利用自身的优势辅助企业做出前瞻性决策,帮助企业实现战略目标,这也对内部审计提出了更高的要求。
首先,内部审计的基本职责是对企业经营管理活动进行有效的监督,发挥基础的监督评价功能,包括关注评价内部审计章程或者任务规定领域中内部控制设计和运行的有效性、关注重要法规和政策的合规问题等,从而防范风险,推进企业合规经营,为企业的发展提供相应的监督保障。
其次,内部审计的主要职责是推进企业治理能力的提升,实现企业治理能力现代化。在涵盖基本职责之外,内部审计还应将提供高质量、相关的意见作为业务活动的一部分,例如对管理信息传递不及时等问题进行关注且提出相应的意见,对审计过程中发现的问题进行原因分析并提出洞察见解,推进企业治理体系的完善与发展,发挥内部审计的增值功能。
最后,内部审计的首要职责是要推进企业战略目标的实现。内部审计部门拥有人才、知识以及相关的经验,在战略举措、挑战、组织变革等方面可以为企业管理提供专业资源和意见,协助企业作出前瞻性的决策,充分发挥内部审计的价值增值功能。从“三线模型”出发,明确内部审计的第三线职能,并将第三线职能具体化,形成内部审计的职责路径图,展现内部审计的三种不同职责,指导内部审计部门更好的开展审计工作。从发挥内部审计的监督作用到发挥其评价和建议的价值增值作用,更好的推进内部审计功能的优化与发挥,从而促进组织目标的实现与高质量发展。
4. 总结
本文通过系统分析ERM2017框架与“三线模型”的内在契合性,揭示了二者在风险管理理念、目标导向及实践路径上的高度一致性。研究指出,ERM2017强调风险与价值的协同,注重通过文化、能力与实践推动战略目标的实现,而“三线模型”则通过重构治理层、管理层与内部审计的职责关系,强化了风险管理的主动性与价值创造导向。基于此,本文构建了内部审计职责路径图,明确其基本职责(监督保障)、主要职责(治理优化)与首要职责(战略支持)的三层递进结构,为内部审计从传统合规导向转向价值增值提供了操作性框架。这一路径不仅契合现代风险管理对内部审计的独立性、专业性与前瞻性要求,也为企业整合治理资源、提升风险应对能力及实现高质量发展提供了理论支持与实践指引。未来研究可进一步探索不同行业背景下该框架的适应性,并关注数字化技术对内部审计功能优化的影响,以持续完善风险管理与审计实践的协同机制。