淺議內部審計與現代企業風險管理

楊悟曉

風險即不確定性，企業風險又稱經營風險，國資委發布的《中央企業全面風險管理指引》對企業風險的定義為：“未來的不確定性對企業實現其經營目標的影響。”企業風險一般可以分為戰略風險、財務風險、市場風險、運營風險、法律風險、公共危機等。企業風險管理就是要建立一個識別、評價和控制風險的體系，為企業實現其目標提供合理保證。

內部審計與現代風險管理目標一致，密不可分。離開了內部審計的風險管理體系，無法有效運行。內部審計不以防范化解風險為核心，沒有存在的價值。具體情況如下：

一、現代企業風險管理與內部審計密不可分

風險管理是一種管理方法，是一個系統過程，包括風險的識別、衡量和控制等環節，目標在于控制和減少損失，提高經濟利益和社會效果。現代內部審計理論認為，內部審計是一種控制，是幫助組織（企業）管理風險、促進有效治理，實現組織目標。我國《內部審計基本準則》內部審計的定義為“是一種獨立、客觀的確認和咨詢活動，它通過應用系統的、規范的方法，審查和評價組織的業務活動、內部控制和風險管理的適當性、有效性，以促進組織完善治理、增加價值和實現目標。”

由此可見，內部審計與風險管理密不可分。二者目標相同。但對于風險管控的層次和方法不同，風險管理是一種方法，是一個系統，內部審計是一種控制。

二、內部審計是現代企業風險管理的重要一環

現代企業的風險無處不在，對企業的生產運營產生很大的影響，為了防范和化解風險，我國很多企業引入了全面風險管理，包括風險管理策略、風險管理的組織職能體系內部控制等。內部控制是目前被普遍認可的風險管理的措施和方法。

COSO內部控制框架被廣泛的采用作為構建和完善內部控制體系的標準，COSO體系認為，通過企業內部控制的有效運行來控制企業運營，確保最終財務報告中的數據是真實、準確、完整的。如果存在內部控制的顯著性缺陷和實質性漏洞，則認為企業的內部控制失效，其財務報告的數據便不可靠。COSO框架中的監控就是通過內部審計和內控自我評估來實施。

《中央企業全面風險管理指引》明確提出：“具備條件的企業可建立風險管理三道防線，即各有關職能部門和業務單位為第一道防線;風險管理職能部門和董事會下設的風險管理委員會為第二道防線;內部審計部門和董事會下設的審計委員會為第三道防線。”

在第一道防線中發揮作用的主要是內部控制，在這道防線中具體操作的是各職能部門和業務部門，但評價是由內部審計牽頭組織或直接實施的。由內部審計牽頭組織，全體部門參加進行內部控制自我評估，對內部控制的設計有效性和執行有效性進行網格化的全面評估，形成評估報告和缺陷列表，然對缺陷列表的整改進行持續跟蹤，確保缺陷得到有效改進。

除了內控自我評估，內部審計部門自行組織開展內控獨立評估和其他各類審計業務，形成報告，跟進缺陷改進。有效的防范和化解企業風險，取得了非常好的效果。

三、風險導向為內部審計提供了新的工作和思路，有效提升了審計效率，節約了審計資源

審計署在2018年發出的《關于中央企業采購與招投標風險提示的函》，明確指出，在被審計的36家企業中，有34家企業存在招標采購方面的問題170個，其中違法違規問題77個，其他管理問題28個，違反企業內部制度問題65個，主要包括應招標未招標、向不具備資質的經銷商分包，不按評標結果定標，制度不規范不健全、違反企業內部采購制度等。諸如此類，大量著名的財務舞弊案例表明，盡管企業的內部控制完善且運行良好，當企業的管理層舞弊造假時，會利用其手中的權利，控制內部控制的制訂和實施，刻意掩蓋其舞弊造假的跡象，管理層舞弊往往都是綜合了串通舞弊，依靠內部控制和第一第二道防線，根本無法有效防范這類風險，獨立性不強的內部審計機構，也不能在第三道防線中防范和化解這類的風險。

正是由于這種狀況，才產生風險導向的審計模式，按照這種審計思維，審計人員從企業的戰略風險入手，通過經營環境-戰略風險-流程風險-控制風險-剩余風險分析的基本思路，在審計過程自始至終都以企業風險分析評估為導向，根據量化的風險水平排定審計項目優先次序，依據風險確定審計范圍與重點，對企業的風險管理、內部控制和治理程序進行評價，進而提出建設性的意見和建議，協助管理風險，為企業增加價值和提高運作效率，提升審計效果。

四、當前企業風險管理及內部審計遇到的挑戰

當前我國正在產業升級，大規模信息化如火如荼，風險管理及內部審計面臨的內外部環境都發生了變化。隨著網絡開放、控制方式改變、外部對信息系統安全威脅、信息介質變化以及傳統審計證據的缺失，給風險管理及內部審計工作帶來前所未有的挑戰。審計目標、審計對象、審計技術方法，包括審計工作內容等都發生了很大的變化，審計工作范圍擴展為各種可能導致發生重大錯報的領域。同時，由于企業的產品升級轉型及大規模數字化，企業風險管理的重點和難點發生重大變化，比如，網絡信息安全成為當今企業面臨的最主要的風險之一，這些情況是目前風險管理和內部審計面臨的主要挑戰，迫切需要推進內部審計的轉型和風險管理技術、方式方法的提升。

為適應新形勢下的風險管理和內部審計工作，不僅需要財務專家，而且迫切需要懂經營管理、熟悉企業運作流程、精通現代信息技術的專業人才，而目前風險管理和內部審計隊伍中的這些專業人才還非常有限，知識結構單一、力量不足、人員素質參差不齊已成為制約風險管理和內部審計工作轉型、影響風險管理和內部審計工作實效的一個突出問題。

此外，由于審計及管控對象信息化程度越來越高，風險管理和內部審計工作如果沒有信息手段的支撐，將處于非常被動的境地，難以實現向經營管理全過程的延伸。因此，迫切需要加快風險管理和內部審計信息化建設的步伐，引入IT人才，推進風險管理和內部審計系統建設，提高在信息化條件下開展風險管理和內部審計工作的能力，為推動審計工作轉型、提高企業風險管理水平提供技術支撐。

參考文獻

[1] 《內部審計思想》? ? ? ?王光遠等譯

[2] 《中央企業全面風險管理指引》

[3] 《企業風險管理》? ? ? ?立信國家會計學院主編

[4] 《內部控制與風險管理》? 池國華 朱榮

[5] 《企業風險管理整體框架》 COSO委員會

[6] 《企業內部控制架構設計實操手冊》 王海榮