基于風險管理的內部審計研究

（淮南師范學院 安徽淮南232001）

近年來，上市公司財務造假和管理層財務舞弊事件頻繁發生，企業經營的不確定性大大增加。會計師事務所在對上市公司財務報告審計中不能及時和有效地發現上市公司存在的問題，讓人不得不懷疑現行審計模式的有效性，動搖了公眾對資本市場的信心，阻礙了經濟的健康發展。風險管理內部審計作為一種新的審計模式，已經在歐美等發達國家得到運用。作為企業內部的組織機構，內部審計在防范企業風險和增加企業價值等方面有很多優勢。

一、相關文獻綜述

從第一部內部審計著作《內部審計——程序的性質、職能和方法》問世以來，內部審計一直被理論界和實務界所關注，但那時的內部審計主要集中在財務審計。1970年以后，內部審計的理論開始有了新的發展，內部審計的職能逐步拓寬，從績效審計、經濟責任審計到3E審計和5E審計，不斷豐富的內部審計項目逐漸引起企業管理層的重視。安然事件的爆發，使會計信息使用者對會計信息質量產生了懷疑，2002年《薩班斯-奧克斯利法案》在這此背景下問世。該法案明確指出在企業風險的確認和評估上，內部審計師要發揮應有職責，并負責對企業風險控制進行修訂。2004年9月，COSO委員會頒布了《企業風險管理——整合框架》，認為ERM框架是一個過程，是由企業的董事會、管理層以及其他人員共同討論決定的，應用于企業戰略制定和不同組織的管理活動，從而更好地識別、計量、分析和應對風險。McEvoy（2007）認為，內部審計是企業內部管理的一個機構，其直接對公司的董事會和高管負責，內部審計部門在公司風險管理和控制中存在著優勢，并能夠為企業風險管理的改進提出建設性的意見。Gresham（2011）指出，在企業風險識別、風險評估和風險控制方面，內部審計師能夠幫助管理層在風險管理上采取有效的措施，他認為內部審計部門對企業的經營目標、企業的風險點以及企業采取的風險控制較為熟悉，能夠根據可能存在的風險提出針對性的解決措施。陳瑞敏（2012）從公司治理結構角度出發，認為內部審計能夠幫助企業進行全面風險的管理，通過引入內部審計部門可以完善企業的公司治理結構，并對我國內部審計在企業風險管理中存在的問題進行了分析，提出了從全面風險管理角度完善內部審計的建議。張巧紅（2015）以原因分析為導向，指出內部審計通過系統的方法，將風險管理貫穿于內部審計的全過程，并對企業現有風險管理進行評價和修正，幫助企業實現其目標。2016年COSO委員會頒布了《風險管理框架——協調風險、戰略以及業績》（征求意見稿），新的ERM框架將會給企業風險管理帶來新的思路。

二、內部審計參與風險管理的動因及途徑

（一）內部審計參與風險管理的動因

1.隨著市場經濟的發展，企業競爭更加激烈，企業面臨的風險更大，企業管理層希望內部審計可以參與到風險管理中來，并最大程度保證企業規避和控制風險。這對內部審計而言是一個絕佳的發展時機。內部審計機構需要不斷擴大自己的業務領域，在企業中發揮更多作用，為其創造價值，從而防止被邊緣化。

2.企業風險管理的需求。經濟全球化的發展在給企業帶來機遇的同時也使其經營環境變得更加復雜，財務風險和經營風險逐漸增大，企業要想在瞬息萬變的市場經濟中立于不敗之地，就必須考慮企業可能面臨的重大風險并采取措施予以應對。從世界500強企業來看，每個企業都很好地控制著經營風險和財務風險。作為企業的管理機構，內部審計能夠在企業風險管理中發揮第三道防線功能，減少由于風險可能帶來的損失，因此內部審計參與到風險管理中是非常有必要的。

（二）內部審計參與風險管理的途徑

企業風險管理框架主要包含以下要素：對環境的具體分析、設定適當的目標、事件的準確鑒別、對風險的評估、采取回應、控制管理活動、信息交流與溝通、監督與回顧風險。筆者就內部審計在企業風險管理框架中通過何種途徑來發揮作用進行研究。圖1為內部審計參與企業風險管理途徑的框架圖。

圖1 內部審計參與企業風險管理的途徑

圖2 風險事件鑒別的確認

1.將公司目標戰略與環境分析關聯起來。企業目標戰略的實施和經營過程由企業的管理者及董事會決定，內部審計的職能是對可能阻礙戰略實施的風險因素進行評估并加以改善，確保企業有能力應對風險，讓公司正常運作。具體表現為：內部審計列出風險因素清單，并判斷出它們對公司的影響程度；將企業的戰略目標與隱藏的風險聯系在一起，建立風險分析矩陣進行分析；內部審計應積極向還未實施風險管理的企業引入風險管理，發揮控制風險的專長。

2.信息技術的迅速發展使得企業的內外環境變幻莫測，對環境進行實時監控就顯得特別重要。首先對環境的監控是要明確企業的風險偏好，內部審計需要確認管理人員及董事會對風險的偏好，幫助企業管理層識別風險，并針對可能存在的風險點提出解決措施。其次要對環境進行持續的監控，內部審計需時刻都能判斷出企業目前所處的環境狀況并預測發展趨勢，對可能出現的環境變化，提供風險應對策略，為企業管理層的決策提供支持。

3.企業風險管理工作的基礎是對風險事件進行鑒別，風險管理人員需要對搜集而來的大量的可靠信息進行分析總結，實時掌握企業潛在的風險。風險事件鑒別最重要的一點就是要保證企業所有的風險都能被鑒別出來，即保證其完整性。主要包括以下幾方面：風險分類層級是否合理；風險識別是否足夠全面；風險控制是否科學。內部審計對風險管理事件鑒別確認的方式如圖2所示。

4.風險被鑒別出來后就要對風險進行等級評估。內部審計首先需要利用管理工具對風險進行相應評估，特別注意每個風險點將會給企業帶來的不利方面及影響程度，然后與收集的有效資料進行對比，對風險評估進行最終確認。內部審計通過判斷企業應對風險的措施是否適當、將與風險有關的內部報告信息及時準確地傳遞給利益相關者以及建立風險管理共享系統等方式參與到企業的風險管理中。

三、內部審計在風險管理中存在的問題

隨著公司治理理論研究的深入和其在實踐中的運用，對企業內部審計的要求越來越高。目前很多企業正由傳統的財務收支審計向風險導向下的現代內部審計轉變。在風險管理的環境下，現代內部審計體系呈現出的要求與變化，需要內部審計充分發揮其職能。但是內部審計機構在運行過程中仍存在很多問題，阻礙內部審計職能的發揮，這些問題的解決將有利于內部審計機構的設置和內部審計工作的運行。

（一）企業風險管理體系不健全

2016年COSO發布的《風險管理框架——協調風險、戰略以及業績》（征求意見稿）對企業風險管理進行了重新界定，新版的ERM框架認為企業風險管理是“組織在創造、維護和實現價值的過程中，進行風險管理所賴以依靠的，與戰略和執行緊密結合的文化、能力和實踐”。傳統意義上的企業風險管理更多側重的是對業務單元風險的管理，很少從企業戰略的角度去進行風險管理體系的建設，也很少將企業風險管理與企業價值提升聯系在一起。這種只重視業務單元的風險管理體系，導致內部審計在日常工作中只能就企業風險管理中所涉及的經濟業務事項進行常規檢查，不能站在企業戰略角度對企業日常的決策進行獨立的裁定。現代內部審計更加重視對企業的增值研究，在增值內部審計的背景下，如何通過健全企業風險管理體系，充分發揮內部審計的增值作用，是值得理論界和實務界關注的。

（二）管理層對內部審計參與風險管理的意識淡薄

在企業風險管理中，管理層認為企業的采購風險、財務風險、研發風險、市場風險等應該由各主管部門對其進行管理，對內部審計參與風險管理的意識不強，認為內部審計主要對公司財務賬目進行審核，并沒有讓內部審計更多地參與企業的管理。由于內部審計沒有參與企業風險管理，企業在面對風險時往往由各主管部門制訂風險應對措施，并沒有充分利用內部審計機構在風險識別和風險應對上的優勢。風險的識別和風險控制做得不好，企業很難實現戰略目標與經營目標的統一。

（三）內部審計人員結構單一

在企業組織架構中，內部審計人員大部分是財會專業，這些人員有著過硬的財務技能，但是對于企業風險管理，特別在特殊部門的風險識別上，由于缺乏對具體工作的經歷，內部審計人員在特殊業務的風險識別和處理上顯得力不從心。從公司治理角度來看，企業的每個部門都對企業的經營產生影響，在日常的經營過程中，每個部門都可能會發生風險，內部審計人員來源的單一也會造成內部審計在發現風險的及時性和準確性上存在一些問題。從全面風險管理角度來看，信息的不對稱也會導致企業風險的發生。如何突破內部審計人員結構的單一，做到內部審計人員既熟悉企業經營環節的整個流程，同時又能夠識別各經營環節中可能存在的問題，并利用內部審計的職能對可能存在的風險點提出解決措施，是內部審計在風險管理中的突破點。

四、對策研究

從企業風險管理角度出發，內部審計工作需要向深度和廣度拓展，不斷提高內部審計在識別風險、修正企業風險管理框架上的能力。

（一）建立健全企業風險管理體系

企業的風險管理需要從企業的戰略角度出發，并結合企業的經營目標，做到企業戰略風險管理目標與企業經營風險目標相一致。內部審計部門要積極加入到企業風險管理體系的建設中來，對企業風險管理提出切實可行的方案，以便在日常風險管理過程中了然于胸，并對可能存在的風險點提出解決措施，健全企業的內部控制制度，借助ERM最新框架建設企業風險管理體系。

（二）加強內部控制環境建設

在風險管理過程中，管理層起到了引導作用。但是管理層對于內部審計參與企業風險管理的漠視，導致企業在風險管理中顯得力不從心。根據2004版ERM框架中的內部環境要素，企業在實行內部控制時需要內部員工包括管理層對內部控制有充分的認識，在掌握內部控制的基礎上加強對內部審計的認識，要充分認識到內部審計部門參與到企業風險管理中，對于企業發現風險和修正風險管理體系有著積極的作用。企業的所有員工要加強對內部控制理論的學習，企業的管理者要從意識上轉變對內部審計的態度，同時動員所有員工積極加入到企業風險管理中來，做到人人參與風險管理，人人都是風險的管理者。只有通過內部控制環境的建設，才能讓內部審計更好地開展風險管理工作。

（三）調整內部審計部門人員結構

企業在組建內部審計部門時大部分人員來自于財務部門或者審計部門，對企業其他部門人員的引進缺乏力度，由于人員結構的單一導致內部審計在識別企業經營過程中風險增大。為了降低風險發生的概率，需要調整內部審計部門人員的結構，從各部門抽調人員加入內部審計部門。但是由于人員總數的限制，若企業內部審計部門從其他部門調集人員確有難度，可以通過設立AB崗來達到關鍵人員既從事本部門工作又從事內部審計工作的目的，在工作中可以及時發現企業經營過程中的風險點，通過修正企業風險管理體系，堵住風險點，達到企業增值的目標。同時積極引導企業所有員工參與到內部審計工作中來，如果員工在工作中發現可能存在的風險點并及時上報內部審計部門，內部審計部門在核查清楚后確認風險的存在并給予獎勵，對于既識別了風險又提出合理解釋的員工可以給予雙重獎勵。

總之，內部審計在企業風險管理中的作用不僅僅是發現企業的經營風險和戰略風險，更能幫助企業增值，傳統的內部審計逐漸向增值型內部審計轉變。在公司治理結構中，要想充分發揮內部審計的作用，需要賦予內部審計充分的獨立性，內部審計只有在獨立的基礎上才能有效地發揮其職能。這種獨立性既是形式上的獨立更是實質上的獨立。在內部審計的工作方式上可以引入PDCA循環，加強風險的評估和應對措施。將企業的業績評價與企業風險管理結合在一起，加強企業內部管理層的溝通，通過公司治理和企業文化的塑造來落實內部審計在風險管理中的作用。通過引入COSO委員會最新的研究成果，從五個要素、二十二個原則著手豐富內部審計在風險管理中的作用，幫助企業實現增值的目的。