全面風險管理、內部控制與內部審計的關系在通常理解下可以如圖1所示：

圖1：全面風險管理、內部控制與內部審計的關系

　　筆者認為，根據COSO全面風險管理框架，內部控制發展到今天，其職能邊界已與全面風險管理趨同。COSO全面風險管理框架包括八個要素，分別是：內部環境、目標制定、事件識別、風險評估、風險反應、控制活動、信息與溝通、監督。這與起初的COSO內部控制五要素相比，增加了目標制定、事件識別和風險反應三個要素。這個變化是對內部控制五要素中內部環境和風險評估兩個要素的細化：其中，目標制定是對內部環境要素的細化，事件識別和風險反應是對風險評估這一要素的細化。它們之間的演變可以用圖2來表示：

圖2：COSO五要素到COSO八要素的演變

　　這一演變說明，全面風險管理在內部控制的基礎上進行延伸，現代內部控制的本質就是管理風險。實踐中也體現了COSO 框架理念的轉變。以筆者的公司為例，公司設置內控合規部，該部門既承擔了企業全面風險管理的職責，也承擔了企業內控合規管理的職責，整個部門劃分為全面風險管理、內控管理和合規管理三個條線，由財務、審計、法律等專業背景的人員組成。在實際工作中，全面風險管理條線負責制定公司總體風險偏好和風險管理體系，定期對各類風險進行監測、評估，執行全面風險軌跡督察并考核打分，推進風險管理體系的完善。內控管理條線主要負責公司內部控制體系的完善和內控制度的執行監督，定期對內部控制進行自我評價，不定期對內部控制的各組成要素如授權、不相容崗位、員工行為、制度執行等進行監督檢查。合規管理條線則主要負責法審和其他法律事務，牽頭制定公司合規打分規則并負責年終合規考核。

　　在內控合規大部門之外，筆者的公司還設置了獨立的審計部門，主要負責單獨進行專項審計。但在兩個部門并行運作的情況下，獨立內審部門所創造的邊際效益正在逐年遞減。這主要是由于內審部門尚沒有在大趨勢下做好轉型的準備，很多工作都已經被內控合規部門做了，因此內審的價值也就越來越難體現出來。如圖1所示，內部審計的職責邊界一向被認為是最小的，隸屬于內部控制和全面風險管理，作為監督的角色保證內控和全面風險管理目標的實現。監督可以分為持續監督和單獨監督，內部控制本身有持續監督的功能，而內審則作為單獨監督而產生。這是轉型前內部審計對自己應有的定位。但隨著內部控制越來越向風險管理趨同，其持續監督的功能也越來越強大，在這種背景下，可以供內審發揮監督價值的“蛋糕”則越來越小。這也帶給內部審計部門以下兩點啟示：

　　一是內部審計為什么要引入風險導向理念。風險導向審計理念最早產生于民間審計活動，目的是為了最大程度提高民間審計活動效率，規避審計風險。而內部審計活動一直以來主要以問題為導向。內部審計為什么要引入風險導向的理念？它與問題導向又有什么區別？筆者認為，內部審計引入風險導向的理念，主要是內部審計從監督功能向服務功能轉型的需要。那么引入風險導向是否就可以拋棄問題導向？其實，風險導向包含了問題導向。因為問題本身隱含了風險，以問題為出發點開展審計活動本身也是一種風險導向。那么什么才是內部審計的風險導向？在審計項目方案的制定上，風險導向內部審計與風險導向民間審計的邏輯類似，均是以高風險領域為出發點分配審計資源、明確審計重點。而與風險導向民間審計不同的是，內部審計需要從更高的層面上，參與企業的全面風險管理，按照COSO 八要素的要求對企業的風險有整體的理解和評價，并在此基礎上發揮監督職能，查找企業全面風險管理中的弱點和缺陷，促進企業不斷完善全面風險管理流程和機制。因此，風險導向的內部審計的首要目標是：為實現企業的風險管理目標而服務。這里需要澄清一個概念，企業的風險管理目標不等于企業經營的目標，風險管理目標是一個更基礎的目標，內部審計的要義應為在自己的能力范圍內確保風險管理基礎目標的實現，然后再談幫助企業實現經營目標。

　　二是內部審計可能需要突破獨立性邊界提供更多的咨詢服務。在傳統的監督職能下，內部審計提問題的時候多，幫助解決問題的時候少，時間久了就被業務部門認為成了“搞事情”，畢竟找毛病誰都會，但解決問題才能體現一個內審的真正水平和價值。有的內審人員認為我們應以“獨立”的角色出現，如果參與“解決事情”就損害了獨立性，甚至以“獨立性”為借口逃避應承擔的責任。這其實是對“獨立性”的誤解。獨立性并不應該僅僅被理解成“不參與業務活動”，而是不受日常例行工作的影響，站在業務之外看業務。內部審計人員不需要“獨善其身”，但要保證誠實正直和客觀公正。內部審計發展到今天，獨立性已不是內部審計的靈魂，筆者曾在本公號寫過一篇短文闡述為什么獨立性不是內部審計的靈魂。CFO和CAO對于組織來說應同樣重要，因為他們可以從不同的視角助力企業戰略目標的達成。當內部控制的邊界已經與全面風險管理趨同，內部審計的邊界也要不斷向風險管理靠近。CAO應認真考慮如何將自己的部門定位為謀士的角色，突破獨立性邊界提供更多的咨詢服務，而提供咨詢服務的最終目的是為了協助企業達成戰略目標。此時的內部審計不再是一個技術部門，而是一個企業內部的智囊型組織。發現問題只是內部審計工作的起點，能否為企業戰略決策提供增值服務，應是審計團隊的核心關注。關于內部審計究竟怎么做才能突破邊界提供更多的咨詢服務實現價值增值，筆者也希望在后面與各位同仁一起探討。