境外項目內控體系建設條件下的風險管理審計探討

封銳

【摘要】近年來，隨著我國企業海外市場經營規模的不斷擴大，海外業務面臨的風險、風險發生機率也在不斷增大，實施風險管理審計不僅有助于提高境外項目的風險防范能力，更有利于進一步發揮內部審計“管理”與“服務”的職能。本文從風險管理審計概念入手，分析了風險管理審計與內控審計的區別與聯系，闡述了開展境外風險管理審計的必要性，指出了現階段境外項目風險管理審計中存在的主要問題;分析了內部控制與風險管理審計之間相互借鑒、相輔相成的關系;最后通過列舉實例，詳細闡述了在內控體系建設的環境下如何對境外項目開展風險管理審計。

【關鍵詞】境外項目;內部控制;風險管理審計

一、風險管理審計概述

（一）風險管理審計的涵義

企業風險管理審計是指企業內部審計機構采用一種系統化、規范化的方法來進行以測試風險管理系統、各業務循環以及相關部門的風險識別、分析、評價、管理及處理等為基礎的一系列審核活動，對企業的風險管理、控制過程進行監督、評價和咨詢，并提出改進和加強風險管理的意見或建議。

（二）與傳統內部控制審計的區別

近年來，內部審計正在從傳統的財務報表審計向管理審計轉變，而內部控制審計和風險管理審計是其中的重要組成部分。內部控制審計和風險管理審計不管是在目標定位上還是在職能上，乃至內容方法上都有共性和交叉的部分，但區別是主要的，主要表現在：

1.內部控制審計局限于會計控制，風險管理審計覆蓋經營管理全過程

內部控制審計更多得服從于會計、審計工作的需要。內部控制強調不相容職務分離，強調授權控制，強調檢查監督，強調風險與控制，其最終目的還是離不開保證企業財務報告的真實公允和法律法規的嚴格遵守。而風險管理審計更多的是對經營管理活動中突出的風險點的識別與評估，目的是建議對這些風險點實施必要的控制。

2.風險管理審計的內容較內部控制審計的內容范圍更廣

內部控制的主要目標有經營目標、財務報告目標、合規目標三類;風險管理的目標包括戰略目標、經營目標、報告目標及合規目標四類。可以看出風險管理比內部控制多了一個戰略目標。戰略目標屬高層次目標，它與企業的使命息息相關。這就意味著風險管理審計要格外關注影響企業的戰略的風險，要站在高管層的角度識別、評估風險，并提出合理化建議。

（三）開展境外風險管理審計的必要性

1.境外機構所面臨的風險日益復雜，要求內部審計向風險管理審計轉型

當前國際金融危機并未結束，貿易保護主義繼續升溫，國際油價大幅波動的可能性依然存在，人民幣升值壓力進一步加大，國際市場競爭日趨激烈，境外項目在經營業務管理、資金、資產管理、匯率管理、預算管理、稅收籌劃等方面面臨著較大風險，這就對內部審計工作提出了更高的要求，內部審計不能再局限于傳統的單純審查財務、查錯防弊等內容，而是應在“管理”的基礎上進一步發揮“服務”的職能，做到審計監督與審計服務并重，就防范風險、加強管理和控制提出意見和建議，為加強境外機構風險管控能力與提高內部管理水平起到更大的作用。

2.風險管理審計在滿足覆蓋面的前提下突出重點，平衡審計成本與效益

境外審計往往時間緊、任務重，境外機構分布點多、面廣，地區間、國家間在地緣政治、經濟、法律環境和文化宗教等方面有很大差異，在傳統的審計模式下，全面審計和保證重點很難結合，往往被割裂開來，或顧此失彼。因為在審計資源有限的條件下，若要側重覆蓋面，將時間與精力在法律法規健全、管理體系執行有效等一般風險領域投入過多，勢必造成審計深度不夠，重要風險領域未識別或無法深入，會使有限的審計資源無法充分發揮其效果。

風險管理審計既要境外機構內部經營和管理，又要關注其外部環境和關系;既要審計管理層的決策和戰略，又要審計基層的運行和操作，關注業務運轉的各個環節，把握組織之間、部門之間、業務流程之間接口上的風險。可以說，風險管理審計把審計覆蓋面與審計重點結合了起來。只有全面進行審計，才能準確地預測風險;在全面審計的基礎上，風險管理審計又根據重要性原則，從風險的嚴重程度及其對境外機構目標的影響程度，進行重點審計。

3.風險管理審計著眼于防范于未然，切實提高境外機構風險防范能力

以往內部控制審計的重點放在制度中各控制環節的審查上，目的在于發現制度中控制的薄弱環節，找出問題發生的根源，然后在這些環節上擴大檢查范圍，看其是否造成了重大的錯誤或舞弊。風險管理審計是以防范風險為目的，按照企業風險管理流程設計展開，從企業目標的角度來評估與改善風險，并對企業風險管理體系的準確、可靠、充分和有效發表審計意見，屬于事前審計范圍，著眼在防范于未然，通過評估風險、給出風險解決建議的方式切實提升境外機構的風險防范能力。

（四）現階段境外項目風險管理審計存在的主要問題

1.境外風險管理審計方面尚未出臺較為完備的法律法規政策，不能很好地規范、約束和保障風險管理審計的開展，使審計人員在開展風險管理審計的過程中缺少指導規范，風險管理審計工作開展無依據。

2.境外機構風險管理的組織架構還不完善，缺乏風險管理部門。

3.在境外風險管理審計的范圍上，審計人員側重于對境外機構經營管理風險的識別、評估和控制方面的審計，而對企業制度風險、法律風險等其他風險的評估、測試等方面的審查重視程度不夠。

二、建立內控體系，開展風險管理審計工作

隨著海外市場開發工作的不斷深入，海外市場經營規模的不斷擴大，海外業務面臨的風險、風險發生機率也在不斷增大，為規避海外業務風險，規范境外機構的日常管理，促進其經營活動有序運行，增強其風險防范能力，建立一套國際標準與公司境外項目實際情況相結合，簡潔、適用、運行有效的境外機構內控體系顯得尤為重要，而內控體系的建立則有助于風險管理審計工作的開展，有助于提高審計效率，降低審計風險，提高審計質量，具體體現在以下幾方面：

（一）風險管理審計可充分借鑒內控體系中風險評估成果

內部控制框架中的一項關鍵構成要素即風險評估，風險評估是公司及時識別、系統分析經營活動中與實現內部控制目標相關的風險，合理確定風險應對策略的過程，是風險管理的基礎。在境外內控體系建設時期，按照風險評估目標設定、資料收集、風險識別、風險分析、風險評價的評估思路，運用科學的風險評估工具，對境外核心業務潛在的風險進行重點識別與系統地評估，對海外風險表現形式、影響程度進行全面梳理，風險評估范圍覆蓋地緣政治、法律、金融、稅收等外部環境，也包括合同管理、匯率管理、供應商與客戶管理、保函與信用證管理等業務領域。開展風險管理審計時可充分利用內控風險評估結果，一方面在審計期間一定的條件下，擴大了審計覆蓋面，并在確定風險管理審計重點、分配審計資源時可作為參考。

（二）內控體系建設成果彌補了風險管理審計力量上的不足

風險管理審計需結合所在國實際情況對境外機構在組織架構、權力與責任、內部控制環境、經營業務、投資、融資等各方面風險進行評價，但現有內部審計人員多長期從事財務審計，不具備海外工作經驗，不了解境外機構所在國的具體情況，開展風險管理審計力量相對薄弱。而內控體系建設是一項覆蓋公司全部經營管理業務的工作，參與體系建設的人員多具備國際貿易、財務、金融、人力資源、資本運營、法律等各方面知識與工作經驗，部分具備海外工作經驗的人員更了解境外機構所在國具體情況，能夠從專業角度開展風險識別與分析，保證了內控體系的專業性與質量。所以，內控體系成果一定程度上可以彌補風險管理審計力量的不足。

（三）風險管理審計是補充、完善內控體系的一種手段

風險評估是一個持續、反復的過程，風險評估一次不能一勞永逸。通過境外項目風險管理審計，評估風險識別的充分性，企業可以持續收集與風險變化相關的信息，對于審計中發現的各類問題，可納入企業的《風險事件庫》，完整記錄事件原因、造成的影響、采取的解決措施等信息，并制定防止此類問題再次發生的對策，以便對日后的工作起到警示作用;在風險事件收集的基礎上，開展風險識別和風險分析，確定企業正在或將要面臨哪些風險，對現有風險數據庫進行補充、完善。

（四）風險管理審計可推動內控體系的有效執行

風險管理審計本身就是內部控制的重要組成部分，作為監督要素的內容，是公司自我評價的一種方式，對內控體系設計與執行的有效性進行評價，促進良好控制環境的建立，通過分析問題產生的原因和影響，為改進內部控制提供建設性意見，不斷完善內部控制，促進內部控制的健全。

三、境外項目風險管理審計內容及程序

（一）風險管理審計的內容

風險管理審計內容主要包括：風險管理組織機構的健全性、風險管理程序的合理性、風險預警系統的存在與有效性;風險識別原則的合理性;風險評估方法是否適當和有效。風險審計范圍主要包括組織風險、財務風險、內控系統風險與經營風險等。

（二）風險管理審計的程序

1.了解被審計企業內外部環境

外部環境包括所在國的地緣政治、法律環境、市場環境、稅收環境、金融政策、社會環境等方面，內部環境則包括被審計單位開展的經營業務特點、內部規章制度建立健全情況、內部控制體系建立與執行情況、風險管理機構的健全性。對內外部環境進行初步調研有助于了解被審計單位面臨的外部風險程度，對其內部控制體系的適用性與設計有效性作出合理評價，是下一步結合其自身經營業務情況開展風險評估、確定審計重點、制定風險管理策略的基礎。

通過對上述外部環境的初步調研，我們大致明確了境外項目在招投標管理、納稅籌劃管理、匯率風險管理以及法律糾紛管理等業務領域存在不同程度的風險影響，在審計過程中應給予重點關注。

2.開展風險識別

風險識別是風險管理審計的第二階段，是根據被審單位目標、戰略規劃等對其所面臨的以及潛在的風險進行判斷。內部審計人員應當采取決策分析、可行性分析、流程圖分析、投入產出分析、資產負債分析、因果分析、風險專家調查等適當方法，實施必要的審計程序，對被審單位面臨的風險是否已得到全面、充分的識別與評估進行審查與評價，找出未被識別的風險。并在此基礎上重點關注前期調研發現的重要風險業務領域在以往年度是否發生了風險事件、是否存在的重大隱患，被審單位是否全面、充分識別了相關業務層面風險。

3.開展風險評估

風險評估是風險管理審計的第三階段，是對已識別的風險評估其發生的可能性及影響程度，從而確定境外項目風險評估方法的適當性和有效性。審計人員應從主客觀原因、企業內外部環境等角度出發，對產生風險的因素進行逐級逐層的梳理，進一步確定這些風險將會對被審計單位產生多大的影響，為下一步制定風險策略和解決方案提供控制依據。風險評估是整個風險管理審計過程中關鍵的一環。

內部審計人員審查與評價風險評估過程時重點關注兩個要素：風險發生的可能性及影響程度。審計人員對風險的評估一般采用定性或定量的方法。審計人員應結合審計發現，對風險事件發生成因進行深入分析，判斷損失的發生是由于結算幣種選擇不恰當、收匯不及時，還是未及時獲取匯率波動信息等原因。

4.評估風險防范措施的適當性與有效性，并提出改進措施

在識別和評估風險之后，審計人員應評估風險防范措施的充分性，并提出改進措施。一般而言，應檢查被審單位制定了哪些對應的控制措施，分析和評價風險控制措施是否適用，對能否有效規避業務風險作出合理判斷;并實施適當的審計程序，對被審單位制定的控制程序是否得以有效執行進行測試，對于不合理的措施提出改進建議。

在評價風險防范措施時，審計人員應當考慮是否在成本與效益之間進行了衡量;所采取的措施是否適合被審單位的經營、管理特點;采取風險防范措施后的剩余風險水平是否在可接受范圍內。

例如，為了防范及控制匯率波動風險，境外機構制定了匯率管理制度，明確在項目簽約時，應合理選擇計價結算貨幣，收入爭取采用匯率穩定或趨于升值的貨幣，支出爭取采用趨于貶值的貨幣;在合同中爭取簽訂保值條款，約定計價貨幣匯率波動超過一定范圍時，改用參照貨幣計價結算或要求補償一定程度的匯率損失。

四、結束語

2021年是“十四五”的開局之年，企業海外業務發展面臨的環境仍然十分嚴峻復雜，為進一步提升海外業務風險管理水平，保障海外業務規模有效可持續發展，在全面推進海外內控體系建設的大環境下，需要進一步加強對風險識別與評估方法的學習，全面掌握風險管理審計方法，不斷探索、全面提升內部審計水平與質量，不斷增強境外項目風險防范能力，促進境外機構各項經營目標的實現。