“给我一个支点,我就能撬动地球”—内部审计师的阿基米德支点是什么

古希腊科学家阿基米德在发现杠杆原理后说：“给我一个支点，我就能撬动地球。”后来，人们把阿基米德支点定义为事物或理论统筹起来的关键点。

那么对于内部审计师来说，有没有阿基米德支点是什么呢？这个支点又是什么呢？答案就是：内部控制和风险管理。

一、内部控制

1.内部控制贯穿于现代企业的所有关键环节

现代管理学或者现代企业里，对内部控制的定义是：企业出于价值创造或降低风险的目的而在其组织内部建立一套内部政策、制度或流程，并加以执行。内部控制不是对经营活动的限制，而是帮助企业达成目标。现代企业里，无论是战略层面还是经营管理层面，无论是设计层面还是执行层面，关键环节一定要有内部控制，如果没有内部控制，那么由于控制缺陷可能造成风险、舞弊、资源浪费、效率低等。广义来说，内部审计也是企业内部控制的一种手段。

2.内部控制是内部审计师在企业里通用的工具

内部审计师并不是对所有领域样样精通。即使内部审计师在某一领域非常精通，但他也不一定是该领域最专业的专家。那么，内部审计师在自己不熟悉的领域该如何去发现问题呢？那就是通过内部控制来发现问题。在企业里，所有的业务流程的关键环节中都有内部控制节点。内部控制是企业里的通用语言。即使企业里有很多部门都读不懂会计报表，但是只要涉及内部控制，每一个部门都应该清楚和理解。例如，企业里，每一个部门或业务单元，都涉及例如：审批、授权等控制因素。

内部审计师通过实施规范的审计程序去发现内部控制缺陷，并把审计发现和审计意见反馈给内部控制缺陷所在的部门或业务单元。内部控制缺陷所在的部门或业务单元能够读懂审计报告上反映的问题，并能够去改进控制措施。被审计单位不喜欢内部审计师单纯地挑毛病，他们更希望和内部审计师一道来完善内部控制，以降低承担经济损失、违规等风险。

3.内部审计师如何利用内部控制这个“支点”

首先，内部审计师要梳理企业所有关键流程的内部控制点。内部审计师一方面要梳理企业的所有关键流程，检查是否内部控制缺失的情况；另一方面内部审计师要检查关键流程内部控制是否能够得到有效执行。没有内部控制这个“支点”，内部审计师就不能撬动企业通过完善、改善内部控制来提升价值和降低风险损失。

其次，内部审计师要评估企业的整体内部控制状况。企业里，每个部门或业务单元或多或少地会关注自身的内部控制。但只有内部审计师会站在企业整体的角度，独立地评估企业的内部控制水平。内部审计师要向董事会和管理高层汇报对内部控制整体水平的审计判断，从而为董事会和管理高层对内部控制的投入、改善等提供决策依据。

再次，内部审计师要以价值为导向对内部控制提出审计意见。内部控制是需要资源投入的，是要核算成本的。如果某一业务流程因为增加内部控制措施所带来的收益小于所投入的成本，那么就值得内部审计师来考量。如果某一业务流程因为增加内部控制措施而使另外的业务流程降低效率并影响到企业的整体效益，那么也值得内部审计师去考量。

二、风险管理

风险管理也是内部审计工作实现价值、撬动企业完善管理的一个支点。通过对风险的识别、计量和评估，开展风险导向审计，通过审计发现问题去督促企业建立健全风险管理体系，通过审计发现问题去挖确定数据分析所不能触及的风险，或者通过审计发现问题来确定、核实数据分析评估出的风险。

2020年7月，国际内部审计协会（IIA）正式发布全新的“三线模型”。新模型指出，不应将风险管理只局限于防范风险，而是要更全面地为组织的战略和运营提供支持，不再局限于防御功能。新模型对内部审计如何在做好监督工作的同时做好咨询服务带来了新的启发。内部审计也应该在风险管理方面不仅提出监督方面的意见和建议，还应该以风险管理为切入点，提出促进企业战略落地的审计建议。

三、想象力

是的，你没看错，想象力也是审计工作的支点。内部审计工作的开展和内部审计业务的发展受着各种环境、条件的限制，在现有的边界下，如何实现突破？虽然内部控制和风险管理是两大支点，但是如果没有想象力，就会被困难和压力所阻碍。内部审计工作是非常严谨的，但内部审计要敢想和敢做，要通过想象力打破固有的思维模式。很多时候，困难和障碍不是外部施加的，而是审计人员或审计部门在固有思维模式下，看不到解决的策略和办法。审计工作有时候也需要大胆设想，小心求证。有了想象力，就会激发审计人员的创造力。