內部審計在全面風險管理中的運用

宋燕舞

[摘要]本文闡述了內部審計作為風險防控協同機制的有機組成部分，應從聚焦質量績效、關注過程控制、構建管理閉環等方面更好發揮服務企業全面風險管理、提升公司治理能力的作用。

[關鍵詞]內部審計 ? 風險管理 ? 閉環

一、聚焦質量績效，前瞻預警風險

近年來，企業面臨的風險挑戰增多，全面風險管理已成為企業健康發展的“必修課”，內部審計組織實施的審計項目應與全面風險管理的要求相契合。從現代管理觀點來看，風險不只是導致損失的純粹風險，還有損失和盈利并存的機會風險。企業作為經濟主體，在瞬息萬變的市場浪潮中，不可能不遇到風險，更多時候只要因勢而為，風險也會轉化為高質量發展的新動能。在審計過程中，內審人員一定要形成理性客觀的思維方式，以事實、數據為主要依據，“由點及面”歸納、分析、總結可能存在的戰略、營銷、運維、財務、法律、管理等風險因素，同時不妨“換位思考”，將自己置于高級管理層或一線業務部門角度想一想“是什么”“為什么”“怎么辦”，實事求是、有針對性地提出解決措施，發揮風險前瞻預警的作用。

二、關注過程控制，精準研判風險

不少企業為了更好地發揮內部審計的建議、咨詢功能，也賦予內審機構列席本單位有關貫徹落實國家重大政策措施、研究戰略發展規劃、重要業務計劃執行、預算管理等方面的會議，通過日常管理渠道（包括信息系統）獲取財務會計、業務和管理等方面信息和資料的權限。內部審計應盡快實現由事后審計向事前、事中相結合的全過程審計模式轉變，將審計監督評價融入企業管理和業務流程的日常風險管理過程，抓早抓小，排查風險隱患。

一要關注決策事項的科學性。從風險管理角度看，內部審計機構在評價決策事項程序規范的同時，重心應放在決策事項的科學性評價上。企業決策事項是否有利于提高企業核心競爭力，實現高質量發展是企業防范風險的第一內核。此外，任何企業的發展都必須適應時代要求和政策導向。當前，內審機構要將推動黨中央、國務院重大決策部署在本地區本部門本單位的有效落實作為首要職責，既要有符合國家宏觀調控要求以及增強競爭力、創新力、控制力、影響力、抗風險能力的發展思路，又要有戰略和生產經營管理措施及科學決策，才能實現全面風險管理的目標。對戰略重組、重大投資及建設項目實施、高風險領域投資等事項還要注意可行性論證是否充分恰當、決策事項是否嚴格、管理是否真正落到實處、是否取得預期績效、是否造成損失浪費等風險因素。

二要關注會計信息的真實性。相對于戰略、市場等“隱形風險”，會計信息失真導致的財務風險對市場、投資者、企業的“殺傷力”更大。內部審計應通過財務和經營績效審計等對企業商業模式的利弊、資金籌集、分配、營運的規范和績效進行判斷，保障會計信息的真實準確，可以從眾多財務數據中選取最具財務質量和風險代表性的收入質量來考慮其真實性。同時，對與收入確認相關的訂單、合同、收發貨物單據、發票、內部流轉過程中的記錄痕跡以及成本計算、銀行收付款記錄等資料要收集齊全，必要時還應結合函證等外部信息確認是否存在虛增、隱瞞、提前或延后收入的情況。此外，內部審計還要重點關注壞賬準備、折舊、資產減值損失、投資收益、商譽、關聯交易、研發費用資本化、在建工程、有息負債、管理費用等容易導致利潤變動科目的增減變化及恰當性。

三要關注發展措施的合規性。企業生產經營管理的一切準則都需要法律來檢驗。合規風險屬于純粹風險，不僅給企業帶來經濟損失，也對企業聲譽、社會形象造成負面影響。當前，大部分企業都設有法律合規部，內部審計對合規風險的關注度并不高。但作為部門、單位的內部約束機制，內部審計越有效，出現違法違規問題的可能性就越小。內部審計在制度執行、經濟責任履行、經營績效審計項目中要聚焦制度制定環節，關注規章制度、改革方案等重要文件的合規審查程序是否到位;要聚焦經營決策環節，關注是否嚴格落實“三重一大”決策制度，是否從完善公司治理結構角度強化授權管理、細化各層級決策事項和權限，是否對決策事項的合規性進行論證審核;要聚焦管理運營，關注公司管理層和職能部門是否嚴格執行合規制度、是否對重點管理運營流程進行監督檢查、管理運營過程是否依法合規;要特別關注包含董事、監事、高級管理人員在內的全部人員的合規自律行為，對可能存在行賄、造假、關聯交易、操縱股價、欺詐投資人和監管部門的違紀違法違規行為要及時亮紅牌，及時移交處理，堅決果斷遏制合規風險。

四要關注方法技術的創新性。黨的十八大以來，隨著統一高效審計監督體系的構建和內部審計功能的日臻完善，以風險導向為主的內部審計項目越來越多，需要審計人員具備準確識別、評估風險的能力。同時，企業風險管理涉及諸多職能部門，相關職能部門對各領域的業務規程、風險應對流程相較審計人員來說更專業。在此基礎上通過人員整合，將內審部門的“單兵團”作戰轉變為與其他生產經營管理人員共同組成審計組的“大兵團”聯合實施，發揮各專業、各職能識別應對風險的優勢特長，精準靶向發現、評估風險，讓改進風險的措施建議更專業、更具針對性。有條件的企業還可將業務數據與審計數據相融合，建立風險數據庫，提升數據匯總分析、價值挖掘功能，打造風險管理的價值鏈條。

三、構建管理閉環，防范化解風險

內部審計通過與風險管理、內部控制的密切結合，實現對企業全面風險管理目標的“自檢”。企業要善于運用內部審計的評價監督成果，檢視內部控制缺陷，不定期總結和分析現有風險管理策略的有效性和合理性，形成風險防范的共建共享機制，確保“制定—評估—整改—提高”的效果，提升企業管理效率和經濟效益，增強抗風險能力。

一是建立分類處置防范閉環。內部審計應圍繞企業戰略發展、管控模式、內控現狀，針對發現的風險隱患分類提出改善建議。對存在制度空白或流程缺陷的，應建議企業補充和完善有效的風險管理和內控制度，優化各業務環節的管理規范和企業內部協同流程，形成制度管人、流程管事的風險防范機制。關鍵控制點的薄弱環節產生潛在風險的，應向風險管理委員會、審計委員會發出預警，督促企業及時采取有效應對措施，降低風險損失，防止發生重大風險事件。

二是完善信息共享反饋閉環。根據《中央企業全面風險管理指引》要求，企業內部審計部門的風險監督評價報告應直接報送董事會或董事會下設的風險管理委員會和審計委員會。內部審計參與全面風險管理協同機制，內審機構的職責應為發現風險隱患、提出建議并向審計委員會報告。審計委員會應承擔起向董事會發出風險預警并督促管理層制定、落實風險應對措施，實現風險管理目標的責任。任何風險事件的防范都離不開信息共享反饋機制的保障，當然涉及風險事項的信息共享機制不應僅限于內部審計機構、內部審計委員會、董事會層面，還應將風險管理委員會、風險合規管理機構以及相關部門等多業務職能單位納入，從而在具體企業、具體業務領域最大程度地形成風險管理協同防范合力。

三是推進通報整改評估閉環。內部審計在全面風險管理中真正發揮增值作用離不開建議咨詢意見的落地。作為“經濟體檢”的“健康衛士”，內部審計對發現的共性問題要加強匯總分析，對系統性、趨勢性、苗頭性問題要及時提出有利于標本兼治的對策建議，為企業治理提供高質量的決策依據，守住風險防控“紅線”。在風險管理評價監督過程中，還可以進一步對風險組織體系、風險管理解決方案進行優化，對潛在風險進行預警，促進企業優化應急預案，更加有效抵御風險。不論是治理層、管理層還是風險管控的業務部門，都要采用宣傳培訓、制度完善、措施糾偏、評估反饋等方式，更充分、更廣泛地運用好審計結果，切實抓好風險問題（隱患）的整改。

（作者單位：中信工程設計建設有限公司，郵政編碼：430014，電子郵箱：songyw1@citic.com）