尤雪英（博士）

一、COSO风险管理框架的新导向

COSO《企业风险管理—与战略和业绩的整合》的框架图

2017年COSO发布了新版企业风险管理框架：《企业风险管理—与战略和业绩的整合》（以下简称“COSO新风险管理框架”），引发了业界热议。CO⁃SO新风险管理框架由五大要素二十项原则组成，如下图所示，相较于2004年版《企业风险管理—整合框架》，其突出强调了组织在战略制定与业绩提升过程中的风险管理。大量的企业失败案例表明，运营风险会使组织利益受到损害，而战略风险则会给组织带来致命的打击。因此，战略风险管理在企业风险管理中居于非常重要的地位。COSO新风险管理框架要求组织在制定战略规划的过程中，将企业风险管理、战略和目标进行整合，风险偏好的设立应与战略相一致，通过业务目标的制定来实施战略，并以此作为识别、评估和应对风险的基础，从而帮助组织在一系列“不确定”因素下，即在“风险”的伴随中，为利益相关者创造、维护价值，最终实现组织目标，完成组织使命。

COSO新风险管理框架强调风险管理与战略、绩效之间存在的重要逻辑关系，更深入地探讨了风险管理在战略制定和执行中的角色，更紧密地将风险与价值联系在一起，强调了风险管理需要与组织绩效之间有效协调。企业风险管理不再仅仅局限于防止价值侵蚀和将风险最小化到可接受水平上，而是应在更宽广的视域下，将风险管理视为战略设定、价值创造与维持的有机组成部分，以及整个组织价值链中不可或缺的一部分。在一个充满动态不确定性的环境下，该框架为基于风险管理视角来实现组织目标提供了一个崭新的分析视角。

二、IIA《国际内部审计专业实务框架》的新要求

《国际内部审计专业实务框架》（IPPF）是国际内部审计师协会（IIA）发布的概念性权威框架。该框架由三部分构成：内部审计的使命、强制性指南、推荐性指南。自2009年IPPF第一次发布以来，依据IIA的持续审核机制，应至少每三年对该标准体系进行一次适时调整或适当更新。

IIA作为COSO的发起人之一，一直高度关注企业风险管理框架的最新变化，并及时将风险管理的核心要义融入IPPF。在2017年修订后的IPPF中，涉及战略和目标的修订随处可见，特别是对内部审计的使命、强制性指南部分进行了大量的修订，彰显出内部审计与战略、目标的关系日趋紧密。

（一）内部审计的使命部分对风险管理的强调

在IPPF（2017）中，内部审计的使命被界定为“以风险为基础，提供客观的确认、建议和洞见，增加和保护组织价值”，并突出强调了以风险管理为基础是提供确认与咨询服务的有效切入点。

（二）强制性指南部分对战略风险的高度关注

强制性指南由四部分内容构成，即内部审计的核心原则、内部审计定义、职业道德规范、国际内部审计专业实务标准。IPPF（2017）中的强制性指南部分也展现出了对战略、目标与风险的高度关注。

例如：①在内部审计实务的十大核心原则中，就有三条强调了对风险的关注与应对，如“适应组织的战略、目标和风险状况”“提供以风险为基础的洞见”“富有见解、积极主动，并具有前瞻性”。②2000号标准（内部审计活动的管理）中指出，有效风险管理是指“应对所有可能影响组织发展趋势的事项以及新兴事项进行充分考虑”，而且“当内部审计活动充分考虑战略、目标及风险，努力提供能够提升公司治理、风险管理和内部控制水平的各种方法，客观进行相关确认时，内部审计活动就可被认为已经为组织及其利益相关方增加了价值”。这段论述明确了内部审计的确认服务只要是基于对战略、目标与风险的充分考虑，就是为组织增加价值。③2010号标准（计划）的释义中，对首席审计执行官制定计划的要求是“应事先征询高管层与董事会意见，了解组织的战略、关键经营目标、相关风险及管理程序”，这强调了内部审计计划的制定应基于对战略、目标的考虑。④2100号标准（工作性质）中要求内部审计的方法必须“基于风险”，并指出“当内部审计师通过积极主动的工作，使其评价结果能够提供新的洞见并考虑未来影响时，内部审计的价值与可信度就会获得认同”。⑤2200号标准（业务计划）要求“制定的计划必须是基于对业务有关的组织战略、目标和风险的考虑”，这强调了具体审计业务计划与战略、目标的关系。⑥2450号标准（总体意见）要求“必须在考虑组织战略、目标和风险的基础上，发表总体意见”。

综上，通过这些修订，IPPF（2017）要求内部审计必须前移其在风险管理过程中的位置。传统的内部审计确认服务更注重事后的风险防范，而新时代的内部审计确认服务则要求在制定计划时就应事先考虑组织的战略与目标。新时代下的内部审计顾问与咨询服务则更强调在事中乃至事前的风险防范，使内部审计更加关注未来可能发生的风险。内部审计实务核心原则中所提出的“富有见解、积极主动，并具有前瞻性”，更是对内部审计师的洞见能力提出了相当高的要求。

三、内部审计在战略风险管理中的职责

时至今日，组织所面临的外部环境快速变化且日益复杂，不断扩大的监管要求以及近年来的技术进步，使组织所面临的风险日益复杂和多样化[1]，而风险管理是确保组织能够长期生存并持续发展的关键。这些变化给内部审计职能的发展提供了更为广阔的空间与更多的机会。Bou-Raad[2]发现，内部审计通过提供增值的方法，有助于组织目标的实现，通过改善信息的质量，提高了决策的准确性。Caratas、Spatariu[3]对当代公司发展中内部审计的角色进行研究，发现在业务风险与日俱增的市场环境下，内部审计除了能事先预见部分风险，还能洞察控制领域正在发生的变化；此外，还发现如果内部审计与审计委员会之间能在风险监控方面进行有效合作，将更有益于组织目标的实现。

正如内部审计的使命被界定为“以风险为基础，提供客观的确认、建议和洞见，增加和保护组织价值”，在这瞬息万变的商业环境下，内部审计在监督公司的风险状况和识别与改进风险管理过程方面起着关键作用。

（一）内部审计在战略决策中发挥第三道防线作用

由于内部审计机构的独立性、客观性以及董事会赋予内部审计部门在风险管理中的权力，使得内部审计能在战略决策中发挥独一无二的第三道防线作用[4]。在重大的战略决策中，迫切需要内部审计从独立、客观的角度来帮助应对这些风险。这主要是因为，一旦战略风险领域发生诸如资本项目、并购重组和产品项目等方面的失败，就会对企业市值产生巨大的潜在影响。

根据IIA于2009年对内部审计在全面风险管理中作用的检查结果，发现内部审计在战略决策的风险管理中发挥着核心作用，即对战略决策风险管理过程进行确认，对战略决策风险是否进行过正确评估进行确认，对战略决策风险管理过程进行评估，对战略决策的关键风险的报告进行评价以及对关键风险的管理进行审查。内部审计师通过对这些领域进行确认服务，为组织的战略决策保驾护航。

（二）内部审计可通过多种方式的确认与咨询活动在战略决策中发挥作用

采用COSO新风险管理框架，能更深层次地将风险管理融入组织的策略。因此，内部审计功能也可以在支持采用和实施COSO新风险管理框架方面发挥积极作用。COSO新风险管理框架要求内部审计在更好地识别和应对与战略相关的关键风险中发挥重要作用，因此，服务于组织战略决策中的内部审计师的地位将日益重要。

虽然内部审计的核心作用是向董事会提供关于风险管理有效性的客观确认，但是内部审计仍然可以通过开展多种方式的确认与咨询活动，帮助企业在风险管理方面取得成效[1]。例如：在战略决策中，内部审计师可以为组织在战略决策中的风险管理方法提供方案，为战略决策提供咨询与建议，还可以对战略决策中的风险管理情况进行评价，从而在战略风险管理中发挥更重要的作用。《IIA立场公告：内部审计在企业全面风险管理中的作用》为内部审计参与企业风险管理提供了指导，基于战略的风险管理要求内部审计师在这些领域进行更为深入的学习与思考。

四、战略风险管理下内部审计增加组织价值的路径

COSO新风险管理框架的发布将再次提升人们对风险管理的关注，这将为内部审计师参与企业风险管理提供绝佳机会。国际标准化组织（ISO）于2018年2月发布的《ISO 31000：风险管理指南》也为内部审计师参与风险管理的工作方向、能力提升和报告方式等方面提供了参考。致力于为组织创造和保护价值是内部审计师的使命[5]，因此，更好地理解风险管理原则，转变理念与思路，并将其纳入内部审计实践，在履行内部审计使命的同时，也能为内部审计师未来的职业发展带来益处。可见，在COSO新风险管理框架下，内部审计师需要基于战略的角度，对内部审计实践活动进行再思考，挖掘战略风险管理下增加组织价值的新路径。遵循从理念到实践、从抽象到具体的逻辑线路，从逻辑起点、审计导向、评价标准、业务范围、审计内容等多维度探寻增加组织价值的路径。

（一）逻辑起点：结合战略与目标的实现进行风险管理

内部审计实践中，虽然内部审计师可以选择是基于程序驱动还是基于风险驱动的方法，但研究结果表明，风险驱动的方法通常比程序驱动的方法更有效，这主要是因为在风险驱动方法下，内部审计师的努力将集中在风险相对较大的领域，从而提高了内部审计的质量与效率。因此，内部审计师应该明确，有效的风险管理并不是孤立地看待风险，而是聚焦于那些会影响组织战略及商业目标实现的风险事项。如果只看风险，而忽略战略与目标，则风险管理就会流于形式。就增加组织价值而言，风险管理也应紧密结合组织的战略与目标，因为只有组织战略与目标顺利实现，才能保证创造与维持组织价值。

在开展风险管理审计时，应将可能影响战略和业务目标实现的事项作为重点。如果仅仅将风险视为管理重点，则企业风险管理只是一个制度或流程而已，其作用不能完全发挥。对于管理层而言，其首要考虑的问题往往不是风险，而是如何制定恰当的战略以及如何提高绩效，从而更好地增加组织价值。企业风险管理必须与战略和目标的实现密切相连。因此，在进行风险管理内部审计时，内部审计师应重点关注与战略目标相关的风险领域。内部审计应将审计活动的主要领域锁定在可以对关键战略决策产生负面影响的风险因素识别及应对方面。在关键的战略决策中，审计师用专业审慎的态度，对风险因素进行排序，对组织面临的风险与机遇发表客观公正的见解。

内部审计师在为风险管理提供确认与咨询服务时，以战略与目标的实现作为逻辑起点，有利于科学制定审计计划，合理确定审计范围，将审计资源高效地配置于影响战略与目标实现的高风险领域，正确建立战略与相关目标体系，为组织价值增值保驾护航。

（二）审计导向：关注风险管理而不是内部控制本身的充分性

企业风险管理并不仅仅是一个简单的控制程序，而是一套由技能、能力、方法、工具与文化等相关内容构成的集合体，各项内容之间并非孤立存在，而是相互联系的，并成为组织决策的有机组成部分。内部审计在企业风险管理方面的核心作用之一是“确保风险得到正确评估”。现实中大多数内部审计师将内部控制的充分性作为重点关注内容，但是“风险”才是其应关注的核心内容，内部控制应被视为仅仅是减少风险的一种方法。因此，内部审计师应该掌握如何识别、评估、分析、应对、审查和报告风险，如果其不具备这些基本的技能，就不可能取得内部控制应有的效果。

内部审计师应当对风险、风险管理与风险应对进行统筹考虑，而不是仅仅关注内部控制本身的充分性。因为管理层是以设定目标和实现目标的方式来实施企业管理并思考商业问题的，而这一过程中所考虑的这些目标都与企业战略、业绩密切相关。同时，内部审计师不仅要评估内部控制，还要评估管理层的选择和风险应对措施的实施，内部控制只是风险应对的一个方面。

可见，如果内部审计师与管理层的步调一致，以风险管理为审计导向，更多地聚焦于这些组织目标以及可能影响绩效的事项，不仅能使管理层更了解内部审计的工作性质以及内部审计是如何帮助组织增加价值的，也能最大限度地得到管理层的信赖与支持，并得到有利于审计活动开展的信息、数据与资源，使内部审计师在提供确认、咨询服务时，在获得审计证据、沟通审计结果方面容易得到认可与接受。这不仅能提高审计效率，也能极大地提高审计结果的使用程度，从而为提升组织价值提供帮助。因此，审计人员需要更多地思考并探讨风险、潜在影响以及如何进行风险应对等问题。

（三）评价标准：涵盖五种风险应对策略

每个组织都会面临风险，甚至可以说风险是组织的基本组成部分，因为组织对于其所采取的每次行动，都无法避免地承担着相应的风险。有时发生的事件会产生积极的影响，有时候是负面的影响，因此需要对风险进行有效管理。

COSO新风险管理框架概述了风险应对的五个基本方法：接受、避免、追求、减少和分担，与原先的框架相比，增加了“追求”这一应对策略，而内部审计师经常认为应对风险的正确方法是第四个选择——减少，所采取的措施也通常是实施内部控制以减少风险事件发生的可能性或影响，但这不是唯一的选择，其他选项可能会更好。因此，内部审计师在评估管理层是否选择了恰当的解决风险问题的最佳方式时，应对五种基本的风险应对方法进行全面考虑，而不是像以前一样，仅仅关注“减少”这一应对策略下所采取的措施与方法。在COSO新风险管理框架下，即使被审计单位所采取的风险应对策略是“追求”风险，但只要是在组织所能承受的风险范围之内，并有相应的风险管理措施，且能给组织带来可观的价值，则内部审计师在进行风险管理评价时，也应将这种风险应对策略纳入可供选择的范围，帮助组织在激烈的市场竞争中积极面对挑战，获得更多的机会，从而增加组织价值，完成组织使命。

（四）业务范围：从战略执行层面延展到战略制定层面

风险是战略制定过程中必须要考虑的因素。以往对风险进行识别与防范更多地侧重于既有战略，例如过去内部审计师常常会分析什么风险可能会影响企业战略的持续开展，这种风险评估主要是针对已经确定的战略并分析其潜在影响。事实上，这种分析与应对属于战略的执行层面，而COSO新风险管理框架则强调基于战略的风险管理，所以应在最初的战略制定层面就开始考虑并关注所有可能存在的与战略不匹配的可能性以及风险对已选定战略的影响。

在战略风险管理审计中，内部审计范围应从传统的合规性审计与内部控制的确认服务扩大到重要战略风险决策领域。内部审计可以在对关键战略决策产生负面影响的风险因素识别及应对中发挥重要作用。更为重要的是，审计师因其独具的不偏不倚的职业态度，使其能够在战略决策中对管理层的假设、估计和决策模型提供独立的确认服务，并用专业审慎的态度，对风险因素进行排序，对组织面临的风险与机遇发表客观公正的见解。

已有研究表明，利益相关者对内部审计价值的认知与其对公司战略的参与程度存在显著的相关性[6][7]。在获得了高度评价的内部审计部门中，将近有50%的内审部门是因为其能够为公司的战略提供前瞻性的建议与洞见。内部审计部门参与公司重要业务活动越多，内部审计活动越能更好地融入组织的关键领域，就越容易被认为其在公司价值提升方面具有重要贡献，因此，具有战略眼光的内部审计部门会使其工作与公司战略目标保持一致，并对存在的风险提出具有前瞻性的意见，使利益相关者能够很快地认识到内部审计带来的价值。在组织发展过程中，内部审计的这种价值是通过对风险的识别、探讨及有效控制进行衡量的，或根据全面了解风险后做出决策的速度而定，而不是以审计报告的报送数量或审计发现问题的多少作为评判标准。因此，内部审计需要将风险管理审计范围从战略执行层面延展到战略制定层面，利用内部审计师所特有的专业素养，将业务范围前移，融入组织的战略制定层面，帮助组织通过科学的项层设计来建设战略与目标体系，避免因战略失误而导致经营失败，为保障组织可持续发展的正确方向发挥重大作用，为组织价值增值奠定坚实的基础。

（五）审计内容：战略管理内部审计应成为实现组织价值增值目标的重要内容

战略管理审计是内部审计师在对组织的战略管理过程与战略管理活动进行分析、审查的基础上，对战略管理的科学性与效果性进行评价的活动。战略管理内部审计应成为实现组织价值增值目标的重要内容。

在战略管理内部审计中，确认与咨询服务的范围应该包括战略风险管理所涉及的所有层次与所有重要事项，只有这样才能妥当地评判战略制定所依据资料的可靠性和相关性、战略决策程序的科学性、所制定战略目标与内部资源的匹配性、战略执行的效果性。主要审计内容包括：①在全面、充分认识内外部环境的基础上，审查公司战略是否符合组织的愿景、使命、目标；②审查战略目标是否符合经济社会环境与市场需求，并与公司内部资源保持适应与平衡；③审查公司战略类型的选择是否适当，以及战略制定程序是否合法合规；④审查战略制定依据是否充分并与客观条件相吻合；⑤审查战略实施过程，主要审查总体目标分解的科学性以及战略方案选择的可行性；⑥战略目标确定后，审查公司内部各层级在公司战略目标体系中所处位置及职责的明晰性；⑦审查战略管理活动执行的恰当性以及业绩评价的准确性。内部审计通过实施这一系列的相关活动，以专业的知识与态度，帮助组织管理战略风险，实现组织目标，完成组织使命，并最终实现组织价值增值。