國有企業開展內部審計與全面風險管理的幾點思考

汪珊

摘 要：內部審計和全面風險管理都是國有企業近年來提升管理、改革發展的重要管理手段，本文從內部審計和全面風險管理的概念出發，剖析了國有企業內部審計與全面風險管理的三點區別，提出了國有企業內部審計與全面風險管理的三點聯系，對如何認識當前環境下國有企業內部審計與全面風險管理工作的開展進行了有益的探索。

關鍵詞：國有企業? 內部審計? 全面風險管理

一、內部審計的概念

在國內外實務當中，廣受業界認可的國際內部審計師協會（IIA）對內部審計的定義為：內部審計是一種獨立、客觀的確認和咨詢活動，旨在增加價值和改善組織的運營。它通過應用系統的、規范的方法、評價并改善風險管理、控制及治理過程的效果，幫助組織實現其目標。國內官方最新的定義出自于2018年審計署《關于內部審計工作的規定》，在IIA定義的基礎上明確了內審活動的具體對象，即“本單位及所屬單位財政財務收支、經濟活動、內部控制、風險管理”等方面，并保留了諸如“獨立”、“客觀”、“完善治理”、“實現目標”、“活動”等核心概念。

二、全面風險管理的概念

現代風險管理理論自美國起源，二戰后迅速發展，其大致分為傳統風險管理、內部控制和全面風險管理等三個階段。我國國資委在《中央企業全面風險管理指引》中對全面風險管理的定義是：“全面風險管理，指企業圍繞總體經營目標，通過在企業管理的各個環節和經營過程中執行風險管理的基本流程，培育良好的風險管理文化，建立健全全面風險管理體系，從而為實現風險管理的總體目標提供合理保證的過程和方法。

三、國有企業內部審計與全面風險管理的區別

（一）“嵌入性”和“獨立性”的區別

風險管理需要嵌入業務，最好的風險管理實踐就是能與業務融合發展并在其過程中對各類風險的防范起到良好效果。而審計的根與魂則是其獨立性和客觀性，不參與業務活動，而是對業務進行確認和咨詢、了解并評價。自《中央企業全面風險管理指引》提出風險管理三道防線的概念之后，兩者關系首次得到了權威闡述，在實踐當中也非常易于理解、易于實現。首先，各職能部門和業務單位由于其每天處在風險信息收集的第一線，且其具有對這些信息進行具體處理的業務職責，自然就成為了風險管理的第一道防線;而專門的風險管理職能部門和董事會下設的風險管理委員會是站在公司整體、戰略的高度對風險進行決策和判斷的，即為第二道防線;而在前兩道防線都不能完全徹底規避風險的情況下，由內部審計部門這第三道防線對其進行事后的確認、評估和建議則又成為一個互相補充的環節。”這也非常符合IIA定義中關于內審“評價并改善風險管理、控制及治理過程的效果，幫助組織實現其目標”的價值定位。因此，風險管理和內部審計的根本立場不同，一個融于業務，一個獨立于業務。

（二）一個在事中，一個在事后

同是監督，風險管理和內部審計的工作方法和方式雖然很相近，但是其具體目的和發揮作用的時點也并不相同。一個側重于事前和事中，一個側重于事后。

風險管理工作發揮作用的核心流程是風險評估和風險應對，通過評估出來的結果采取不同的管理策略，例如風險承擔、風險規避、風險轉移、風險轉換、風險對沖、風險補償等。各類風險管理策略的實施就是我們日常的戰略和經營決策，例如，風險轉移常常利用外包和保險工具，風險對沖工具在金融業廣泛采用。而目前主流的內部審計工作仍然是事后審計，包括經濟責任審計、專項審計、內部控制評價、工程建設項目審計、經營績效審核、審計整改落實等多項內容。

內控工作是一項很好的例子，可用于深入剖析兩者之間的關系。內控標準的建立和對標本身就是企業自我管理的手段，也是事前和事中管理手段，那么風險管理工作側重于內控的建立和自我評價;但是，內控實施如何僅僅有自我評價是不夠的，還需要獨立第三方的審計，那么內控審計工作就是對內控自評價的監督檢查;兩者結合才是對整個企業內控體系的一項全面評估。

（三）“戰略”與“實務”各有所長

COSO委員會于2017年9月正式發布的最新框架理論《企業風險管理——與戰略績效整合》把風險管理工作從“一個過程”提升到“一種文化、能力和實踐”的層次。該框架拓展了戰略與風險的關系，詳細分析了企業風險管理的重要性。而內部審計更側重于確認和咨詢的“活動”，通過編制審計計劃并依計劃履行審計程序，完成審計工作。當然，在每個審計程序的執行過程中，對審計人員的戰略意識、業務能力和職業素質都有非常高的要求，然而審計工作本身由于其獨立性的特點，仍不能像風險管理一樣能夠與戰略制度與執行結合的如此緊密。

四、國有企業內部審計與全面風險管理的聯系

（一）兩個領域的核心目標指向一致

從國際內部審計師協會（IIA）的定義可以發現，內審就是通過發現問題-解決問題-再發現問題-再解決問題這樣不斷往復的循環，實現組織管理效能的不斷提升，最終核心目標就是支持組織目標的實現。再看全面風險管理，它首先需要回答第一個問題是企業總體經營目標是什么，然后再考慮從企業經營管理各方面宣貫風險管理文化、貫徹風險管控流程，從而建立健全風險管理體系，以此實現風險管理的總體目標。

因此，兩者的核心目標都是為企業或者組織的目標實現做保障，組織目標既包括戰略層面，也包括組織和運營層面，無論審計、風險管理，還是日常業務經營，目標都是一致的。

（二）主要工作內容趨于一致

從國際和國內的管理實踐歷程上看，風險管理工作的做實與內部控制實踐的運用發展是密不可分的。國際上，以1992年美國COSO委員會發布的《內部控制——整合框架》為標志，風險管理的方法和程序進一步規范化、標準化，風險管理的概念和理論開始在全球傳播，風險管理理論體系進入內部控制階段。之后，隨著911和安然等事件的發生，使得各國政府和企業對風險的多元和復雜性的認識大大提高，2004年9月，COSO委員會發布了《企業風險管理——整合框架》，風險管理理論體系進入了全面風險管理階段。我國自2006年《中央企業全面風險管理指引》發布以來，我國央企、國企、上市公司等紛紛以內控建設為重點，全面開始打造風險管理體系。2010年，財政部等五部委制定的《企業內部控制應用指引第1號——組織架構》等18項應用指引，標志著中國企業內部控制規范體系的成功搭建。自此，風險管理的內容和范圍就融合了內部控制。

近20年來，我國內部審計的理論與實踐進入到一個快速的新發展期。2010年兩辦正式印發《黨政主要領導干部和國有企業領導人員經濟責任審計規定》，明確規定，有關內部控制制度的建立和執行情況是國有企業領導人員經濟責任審計的主要內容。

由此看出，不論風險管理還是內部審計，它們的主要內容隨著各自理論與實踐的發展，逐漸趨于一致，都落腳在內部控制體系。

（三）兩個領域戰略發展均需依托信息化、數據化

隨著電子商務、互聯網、云計算等一系列高速、高效的技術手段廣泛應用于企業經營中，傳統的審計作業手段和審計管理方式已經不能適應當代內審的需要，2018年5月中央審計委員會第一次會議就強調：“要始終堅持科技強審理念，采取有效措施，提升大數據審計能力，加強信息化建設”;中國內部審計協會在其發布的《中國內部審計信息化發展報告》中提出了內部審計信息化發展階段的演進模型，當演進到戰略應用階段，信息化不再只是內部審計工作的工具，開始對內部審計“增加組織的價值和改善組織的運營”具有戰略價值。

風險管理的全面性、復雜性和技術性，本身就要求需要通過現代化的技術手段——一項需要企業投入大量資源并且持之以恒的復雜系統來予以支持，這也是全面風險管理建設的必要一項——風險管理信息系統。這一要求在政策層面上，早在2006年《中央企業全面風險管理指引》就已指出：“企業應將信息技術應用于風險管理的各項工作，建立涵蓋風險管理基本流程和內部控制系統各環節的風險管理信息系統。”

因此，內部審計和風險管理均需要加強信息化的建設，在基本階段，信息化有助于支持兩個領域的基礎業務，但在戰略階段，信息化、數據化對其領域發展具有至關重要的戰略價值。

綜上，隨著內部審計與全面風險管理這兩項工作各自豐富內涵與實踐的不斷擴大和延伸，兩項工作的融合點將會越來越多，也必將共同為國有企業改革發展和戰略經營目標的實現與達成提供強大的助推力！

參考文獻：

[1]中審網校.《國際內部審計專業實務框架》精要解讀[M].北京：中國財政經濟出版社，2014.

[2]王慧.COSO風險管理框架的新變化及啟示[J].中國審計學會，2018（9）.

[3]嚴復海等.風險管理發展歷程和趨勢綜述[J].管理現代化，2007（2）.

[4]中國內部審計協會.中國內部審計信息化發展報告[J].中國內部審計，2014（3）.