打开审计视角下的风险边界，国际内审协会发布《风险2020，理解、协同和优化风险指南》

对风险的理解，近些年发生了很大的变化，从原来可能出现损失的风险认识发展到了今天影响目标的不确定性。我们从讨厌、拒绝、躲避、远离风险，到理解、接受、欢迎和拥抱风险，是一个认知发展的过程。其实，风险，一直没变，只是我们对它的认知进程在向前，走到了今天。

今天的风险，是利润的来源，企业的核心竞争力，在于你比竞争对手谁能更好的洞悉和把握所在领域风险。

近日，国际内部审计协会（IIA）发布了《风险2020，理解、协同和优化风险》的报告，连最强调独立和监督的审计职能都开始提倡打开风险边界，给我最大感触是，对风险认知革命的风暴已来。在这份IIA发布的报告介绍中的第一句话：风险，这是个比较纠结的词。

最简单的理解，就是暴露于危险之中，但是在组织和商业的背景下，它的含义要更丰富的多！很久以来，投资者，董事会和管理层都将风险视为需要避免或减轻的风险，但是在全球竞争、技术快速变化和地缘政治不确定驱动的瞬息万变的复杂社会，采取这种防御姿态的组织不可能长期繁荣发展。现代的风险管理方法必须将风险视为机遇！

最近在直播课堂里讲了好几次三道防线的话题，审计职能，在我们的三道防线里属于第三道防线，也可以说是最后一道防线。以往的审计工作内容中，面对的都是可能导致损失的这类风险，也符合我们对风险的传统认知。过去这些年，从我们的风险管理实践的角度出发，主要泛指二道防线的范畴（感兴趣可以看下之前几篇文章），包括专门从事风险管理理论研究的专业人士，开启了为风险的正名之旅！

• 24年前，从全球第一个国家风险管理标准将风险定义为——“影响目标实现的事项发生可能性” 开始，风险就开始走上摆脱负面影响的抗争之路；
• 13年前，中央企业全面风险管理指引中将风险定义为不确定性对经营目标的影响，包含正面影响；
• 10年前，ISO 31000中描述了风险的正面影响；
• 2年前，新发布的COSO 企业风险管理框架认可了风险的正面影响。

今天，打开风险边界之火从二道防线烧到了三道防线，旨在协同所有的职能从更完整的视角看待风险。风能吹灭蜡烛，也能让火越烧越旺！——塔勒布。我们这几年一直守着这个“火苗”，陪我们一路走来的朋友们应该知道，我们花了多少时间、写了多少篇文章，希望它可以影响更多的从业者，做知识和认知更新。有人会问：什么时候烧到第一道防线？就是我们的业务部门。答案是，不需要！那边火一直很旺，是真正的战场，只不过之前我们和一线的火力没有接上。

风险的发生地绝大部分都在第一道防线，之前的二、三道防线一直谈损失，造成了和一道防线的割裂，总是无法“坦诚相见”，是因为我们失掉了一道防线最关心的问题，其实，我们都应该谈的是在既定目标下的风险最优化配置。今天，这把火烧到了第三道防线，所有职能都需要重新反思，之前涉及风险工作的内容边界是不是需要扩充一下了。之前，企业在确定性为主基调的时代，企业面临的内部矛盾和外部矛盾同在，甚至有的时候内部矛盾更大一些，所以我们强调监督和制衡。

当外部环境从确定进入不确定时，企业在不确定环境下的生存压力加大，导致外部矛盾大于内部矛盾，但在当下组织的生存和发展面前，外部矛盾成为了矛盾的主要方面。这就要求组织内部职能最大程度的协同一致，消除内耗，不能一味强调万无一失，那会一失万无，要共同面向价值，这比任何时候都要重要，这是我们看到一系列管理理论都在做更新调整的原因。

本份报告中强调首次将首席审计官（CAE）和董事会及管理层一起，在推动风险管理的革命性认知中各自起到的协同作用。报告指出，审计职能是董事会和管理层的资源，可提供独立于管理层的保证和见解。在当今瞬息万变的环境中，风险管理必须有效地将可能产生损失结果的风险与带来收益的机会结合的来看，以提高组织价值。

附董事会、管理层和首席审计官关注的11种风险类型：

1、网络安全

日益复杂的网络攻击和各种各样的攻击继续对组织的品牌和声誉，通常会造成灾难性的财务影响。此风险检查组织是否准备充分应对可能造成破坏和声誉损害的网络威胁。

2、数据保护

除了法规遵从性之外，随着投资者和公众要求对个人数据进行更严格的控制并提高安全性，对数据隐私的关注也越来越多。此风险检查组织如何保护其护理中的敏感数据。

3、政策变更

从关税到新的数据隐私法，各种各样的法规问题引起了人们对该风险的兴趣。此风险检查了组织在动态的，有时是不稳定的监管环境中面临的挑战。

4、业务连续性/危机响应

组织面临重大的生存挑战，从网络破坏和自然灾害到声誉丑闻和继任计划。此风险检查组织的准备，反应，响应和恢复能力。此风险检查组织的准备，反应，响应和恢复能力。

5、数据和新技术

随着步伐的加快，组织面临重大破坏技术的发展和海量数据收集的便捷性。考虑传统的与原始的数字业务模型。该风险检查了组织利用数据和新技术在第四次工业革命中蓬勃发展的能力。

6、第三方组织

越来越依赖第三方提供服务，尤其是围绕IT的服务，需要加强监督和改进流程。此风险检查了组织选择和监视第三方合同履行的能力。

7、人才管理

历史上较低的失业率，零工经济的增长以及数字化的持续影响正在重新定义工作的完成方式。此风险检查组织面临的挑战确定，获取和保留合适的人才以实现其目标。

8、组织文化

“围绕这里完成事情的方式”一直是许多公司丑闻的核心。此风险检查组织是否理解，监视和管理驱动行为的语气，激励措施和行动。

9、董事会信息

随着监管机构，投资者和公众要求加强董事会监督，董事会更加依赖提供给决策的信息。此风险检查董事会是否正在接收完整，及时，透明，准确和相关的信息。

10、数据伦理

数据的收集，分析和使用的复杂性正在呈指数级增长，而人工智能使之复杂化。此风险检查组织行为以及由于未能建立适当的数据治理而可能造成的相关声誉和财务损失。

11、可持续性

环境，社会和治理（ESG）意识的增长越来越影响组织的决策。此风险检查了组织制定战略以解决长期可持续性问题的能力。

本文来自公众号：大风控。