內(nèi)部審計聚焦高風險助推企業(yè)高質(zhì)量發(fā)展

一、引言

內(nèi)部審計作為企業(yè)內(nèi)部治理結(jié)構(gòu)的重要組成部分，特別是在“中國式現(xiàn)代化”“高質(zhì)量發(fā)展”理念的引領(lǐng)下，其重要性在現(xiàn)代企業(yè)管理中日益凸顯。理論上，內(nèi)部審計通過運用系統(tǒng)、規(guī)范的方法，審查和評價組織的業(yè)務(wù)活動、內(nèi)部控制和風險管理的適當性和有效性，以促進組織完善治理、增加價值和實現(xiàn)目標。實踐中，不同行業(yè)的企業(yè)根據(jù)自身特點，采取了多樣化的內(nèi)部審計策略。例如，上市公司更注重財務(wù)審計以提升會計信息質(zhì)量，防止財務(wù)差錯和損失；金融行業(yè)則專注內(nèi)部控制的合規(guī)檢查，落實全面風險管理；國有企業(yè)更多的是結(jié)合領(lǐng)導(dǎo)干部經(jīng)濟責任審計，服務(wù)于組織人事管理；制造型及服務(wù)型企業(yè)多傾向于開展經(jīng)營管理咨詢，提升運行效率、降低成本；而房地產(chǎn)行業(yè)和互聯(lián)網(wǎng)行業(yè)則聚焦反舞弊審計，以應(yīng)對高風險領(lǐng)域。這些多樣化的內(nèi)部審計實踐，彰顯了內(nèi)部審計在不同行業(yè)中發(fā)揮的價值增值作用。

然而，在實際工作中，內(nèi)部審計人員，尤其是民營企業(yè)的內(nèi)部審計人員，時常面臨諸多困惑和挑戰(zhàn)。審計人員精心調(diào)研核查后出具的審計報告和建議，卻往往得不到領(lǐng)導(dǎo)的應(yīng)有重視；審計揭示的問題，盡管證據(jù)扎實充分，但業(yè)務(wù)部門總有辯解的理由，公司管理層有時也態(tài)度模糊，導(dǎo)致整改落實效果大打折扣。這種在認同上存在的問題，有時讓審計人員感到氣餒，審計工作難以深入，缺乏成就感。要解決這些問題，審計工作就必須重新審視自身定位，聚焦企業(yè)真正的、實質(zhì)性的高風險領(lǐng)域，以切實促進企業(yè)高質(zhì)量發(fā)展。

二、聚焦風險策略的必要性

國際內(nèi)部審計師協(xié)會（IIA）前任首席執(zhí)行官錢伯斯指出“心存疑問時要追隨風險”，現(xiàn)代內(nèi)部審計已突破傳統(tǒng)合規(guī)檢查的局限，轉(zhuǎn)向與企業(yè)戰(zhàn)略目標深度融合的風險管理。這一轉(zhuǎn)變要求內(nèi)部審計人員不僅要關(guān)注合規(guī)性問題，更要關(guān)注可能影響企業(yè)戰(zhàn)略目標和可持續(xù)發(fā)展的實質(zhì)性風險。但風險并非靜止的，而是一個不斷變化發(fā)展的動態(tài)過程，并且風險具有高低層級、優(yōu)先層次，而企業(yè)的資源是有限的，因此，優(yōu)化配置應(yīng)對風險的資源和準確識別審計關(guān)注重點就顯得尤為重要。

（一）優(yōu)化內(nèi)部審計資源配置

內(nèi)部審計部門作為企業(yè)的一種內(nèi)部資源，其配置應(yīng)圍繞企業(yè)的核心競爭力和戰(zhàn)略目標進行，以最大化資源的使用效益。內(nèi)部審計部門在資源有限的情況下，應(yīng)優(yōu)先考慮那些對組織目標實現(xiàn)有重大影響的審計任務(wù)。在實際工作中，企業(yè)內(nèi)部審計部門在人員配備、專業(yè)特長、時間精力等方面都存在限制，因此，審計人員不可能對所有風險都一視同仁，對所有問題都進行深入研究，而是需要將有限的資源用在“刀刃”上，集中精力發(fā)現(xiàn)企業(yè)不同發(fā)展階段的突出風險，特別是對企業(yè)戰(zhàn)略目標造成威脅的實質(zhì)性高風險。

（二）獲得治理層信任

企業(yè)治理層的精力同樣有限，他們更關(guān)注那些能夠?qū)ζ髽I(yè)戰(zhàn)略目標和運營效果產(chǎn)生重大影響的問題和建議，若內(nèi)部審計部門常提原則正確卻無實質(zhì)影響的問題和建議，此類報告將難以獲得真正關(guān)注，反而讓真正有價值的問題和建議淹沒在大量低水平的重復(fù)報告中，稀釋了應(yīng)有的關(guān)注，導(dǎo)致內(nèi)部審計工作失去企業(yè)治理層的信賴。因此，內(nèi)部審計聚焦真正有價值的風險問題，才能言之有物、擲地有聲，贏得治理層的信任和支持。

（三）適應(yīng)一、二線職能強化

隨著現(xiàn)代企業(yè)治理機制的完善，特別是在數(shù)字化、智能化浪潮的推動下，業(yè)務(wù)與財務(wù)的融合趨勢加快，一、二線職能在風險管理中的作用日益健全強化。比如，由于企業(yè)信息系統(tǒng)、數(shù)據(jù)資產(chǎn)和人工智能技術(shù)進一步整合，一、二線職能自身已經(jīng)能夠?qū)崿F(xiàn)全面性的業(yè)務(wù)數(shù)據(jù)分析，發(fā)現(xiàn)有價值的問題，而不再完全依賴于內(nèi)部審計部門。內(nèi)部審計人員必須提供真正實質(zhì)性高風險的洞見，才能在組織中保持地位和價值。

（四）利益相關(guān)方達成共識

企業(yè)的生存和發(fā)展受到各方利益相關(guān)者如股東、員工、客戶、供應(yīng)商、政府和社會公眾等的影響。內(nèi)部審計作為企業(yè)內(nèi)部治理的重要機制之一，其工作成果應(yīng)充分考慮各利益相關(guān)者的利益和訴求，以形成共識和合力。組織內(nèi)部不同層級、不同職能部門的利益是復(fù)雜交織的。只有觸及實質(zhì)性的高風險，才能真正引起最高層重視，取得各利益相關(guān)方共識，從而推動自上而下的整改落實。否則，內(nèi)部審計工作將難以取得實質(zhì)性的進展和成效。

三、聚焦風險策略的一些實踐

企業(yè)在不同的發(fā)展階段面臨著不同的風險和挑戰(zhàn)。通過對企業(yè)風險各維度的分析，審計團隊可以切實把握當前企業(yè)面臨的最重要的風險，集中資源進行有針對性的工作，可以事半功倍、最大化提升審計成果的價值。

（一）把握企業(yè)生命周期各階段最重要的風險

1.初創(chuàng)期。初創(chuàng)階段的企業(yè)還在探索業(yè)務(wù)模式，主要任務(wù)是打開市場、生存下去，因此戰(zhàn)略風險和市場風險是這一階段最重要的風險領(lǐng)域。此階段，新業(yè)務(wù)拓展需巨額投資，涵蓋設(shè)備、人力、市場推廣等，而財務(wù)誤差、營銷采購中的舞弊及浪費雖頻發(fā)，卻相對公司戰(zhàn)略而言，僅屬次要風險。確認決策的基礎(chǔ)信息是否正確，確認戰(zhàn)略執(zhí)行中信息反饋系統(tǒng)是否正常，是否會導(dǎo)致戰(zhàn)略誤判，才是這一階段內(nèi)部審計的重點所在。

比如，某集團投資開拓電商業(yè)務(wù)，內(nèi)部審計團隊發(fā)現(xiàn)了一些侵占公司營銷費用、內(nèi)外勾結(jié)騙取補貼、收受采購回扣等問題，然而，這些問題相對于公司戰(zhàn)略而言只是次要風險。公司戰(zhàn)略成功最重要的指標——用戶和交易數(shù)量的增長及盈利能力的實現(xiàn)，應(yīng)成為審計團隊最關(guān)心的問題。在這個問題中，最大的舞弊，是業(yè)務(wù)數(shù)據(jù)增長的弄虛作假。如果用戶和交易數(shù)據(jù)增長和盈利模型的真實性有問題，那么基于此的企業(yè)戰(zhàn)略必將失敗。最大的風險，就是虛假數(shù)據(jù)導(dǎo)致錯誤的決策，使公司在錯誤方向上投入巨資，造成虧損。審計團隊應(yīng)緊緊把握用戶和交易數(shù)據(jù)真實性以及盈利質(zhì)量這個關(guān)鍵的風險，揭示出公司戰(zhàn)略決策的基礎(chǔ)信息和戰(zhàn)略執(zhí)行的反饋系統(tǒng)的重大漏洞，并且始終關(guān)注盈利預(yù)算假設(shè)的真實性和合理性。由于審計團隊盯緊這一重大風險問題，協(xié)助決策層及時掌握公司初創(chuàng)業(yè)務(wù)線上交易的真實情況，對其市場前景進行了科學(xué)研判，最終公司果斷做出戰(zhàn)略決策，及時關(guān)停了這一初創(chuàng)業(yè)務(wù)，避免損失進一步擴大。

2.迅速發(fā)展期。隨著公司規(guī)模擴大，內(nèi)部控制問題開始出現(xiàn)，跑冒滴漏現(xiàn)象增多。公司在快速發(fā)展中，追求規(guī)模擴大，考核指標也以發(fā)展指標為主，往往伴隨著較多的企業(yè)并購活動。企業(yè)在擴張過程中面臨著多種風險和挑戰(zhàn)，如并購風險、融資風險、市場風險等。內(nèi)部審計部門應(yīng)重點關(guān)注這些風險領(lǐng)域，確保企業(yè)在擴張過程中能夠穩(wěn)健前行。

比如，某集團董事會決定實施擴張戰(zhàn)略進行多元化并購時，內(nèi)部審計部門不應(yīng)把精力過多浪費在精細化成本管控、業(yè)務(wù)合規(guī)等一般性風險上，而應(yīng)重點關(guān)注公司并購及投后管理的高風險領(lǐng)域。審計部門在查出原股東繼續(xù)控制和掏空公司，而派駐財務(wù)總監(jiān)被架空、信息嚴重不對稱等重要問題后，幫助董事會認識到這類并購公司治理存在的天然缺陷，集團實施有效管理的成本非常高，而且未必能為集團帶來預(yù)期的戰(zhàn)略協(xié)同，最終董事會決定放棄該并購業(yè)務(wù)及時止損。如果不揭示這個實質(zhì)性風險，而只是揭示財務(wù)錯誤風險、業(yè)務(wù)合規(guī)風險、采購風險等一般性風險，內(nèi)部審計將無法發(fā)揮其應(yīng)有的價值。

3.成熟期。處于發(fā)展成熟階段的企業(yè)盈利模式已經(jīng)得到驗證，市場份額穩(wěn)定，經(jīng)營風險較低，但此階段的企業(yè)中，管理層和股東之間的利益沖突可能加劇，導(dǎo)致管理層出現(xiàn)道德風險和逆向選擇等問題。內(nèi)部審計部門應(yīng)加強對管理層的監(jiān)督和約束，確保企業(yè)的健康穩(wěn)定發(fā)展。各級管理層對公司管理流程和控制漏洞都已熟悉，可能會產(chǎn)生利用公司的優(yōu)勢地位設(shè)租尋租、吃拿卡要等不良行為，成為威脅企業(yè)健康發(fā)展的重要風險。因此，內(nèi)部審計團隊應(yīng)集中精力對這類貪腐問題和舞弊風險進行監(jiān)督揭示，不斷完善制度。對于處于成熟階段的企業(yè)而言，企業(yè)風險控制機制相對成熟，對于一般風險的承受能力和糾偏能力較強，內(nèi)部審計應(yīng)更關(guān)注游離于正常管控之外、繞開管控、使得正常內(nèi)控機制失效的風險事項。

4.衰退期。當企業(yè)出現(xiàn)技術(shù)淘汰、市場萎縮、效率下降、盈利困難等問題時，發(fā)展前景黯淡，此時審計最重要的工作，可能不再是查舞弊、降成本、提效率，而是關(guān)注企業(yè)戰(zhàn)略轉(zhuǎn)型的重大風險，保障制度變革創(chuàng)新、推動企業(yè)戰(zhàn)略轉(zhuǎn)型。對于處于衰退期的企業(yè)而言，應(yīng)有相應(yīng)的戰(zhàn)略規(guī)劃，是被動自然退出、主動戰(zhàn)略轉(zhuǎn)型，還是兼并重組，內(nèi)部審計需根據(jù)企業(yè)的具體戰(zhàn)略部署，細致分析各自的風險特點，并針對當前戰(zhàn)略面臨的重大風險，制訂相應(yīng)的工作計劃。

當然，不同行業(yè)差異很大，業(yè)務(wù)模式、市場環(huán)境、企業(yè)性質(zhì)、行業(yè)地位和風險特點各不相同，具體企業(yè)層面的問題也千差萬別，所以內(nèi)部審計應(yīng)關(guān)注的風險問題不可能一概而論。只有精準把握企業(yè)各個生命周期的經(jīng)營狀況和風險情況，才能確定當前內(nèi)部審計需要聚焦著力的重點，避免四處出擊、降低效能。

（二）重視企業(yè)經(jīng)營一線風險

企業(yè)風險多來源于業(yè)務(wù)活動，而業(yè)務(wù)活動的實際情況往往隱藏在企業(yè)經(jīng)營一線。內(nèi)部審計要發(fā)揮實效，就必須深入一線，了解真實情況，挖掘潛在風險。通過拓寬信息來源、重視投訴舉報渠道建設(shè)、加強技術(shù)創(chuàng)新和賦能以及風險責任到人等措施，更準確地理解和評估風險，找到企業(yè)面臨的最重要的問題，從而制訂有效的審計工作計劃。

1.到企業(yè)經(jīng)營一線廣交朋友。隨著人工智能技術(shù)的普及，出現(xiàn)了很多風險分析工具，但挖掘數(shù)據(jù)背后的原因還需要對業(yè)務(wù)深入了解。內(nèi)部審計人員要真正感知企業(yè)經(jīng)營風險，還是必須深入一線。讀萬卷書，不如行萬里路；行萬里路，不如閱人無數(shù)。審計不可閉門造車，一定要走出去，與各行業(yè)、公司內(nèi)部各業(yè)務(wù)條線、各部門廣交朋友，掌握特定行業(yè)的“潛規(guī)則”和基層的第一手的真實情況。只有這樣，審計對風險的理解才不會滯后、扭曲或浮于表面。

2.重視投訴舉報渠道建設(shè)。企業(yè)應(yīng)加強投訴熱線、微信公眾號、電子郵件等舉報投訴渠道的宣傳推廣，把廉潔協(xié)議和審計監(jiān)督寫進合同，鼓勵基層員工、客戶、供應(yīng)商等各方積極提供風險線索，對有價值的風險線索提供者給予獎勵，暢通審計獲知風險信息的渠道。

3.加強技術(shù)創(chuàng)新和賦能。利用現(xiàn)代信息技術(shù)手段提高內(nèi)部審計的效率和準確性是現(xiàn)代企業(yè)內(nèi)部審計的重要趨勢。打通集團所屬各公司、各部門數(shù)據(jù)，建立審計大數(shù)據(jù)平臺，通過全面數(shù)據(jù)挖掘，并利用人工智能技術(shù)，不斷完善風險分析模型，對各公司各業(yè)務(wù)條線的風險情況進行動態(tài)掃描，對達到風險閾值的異常行為進行預(yù)警，并研究決定是否開展專項調(diào)查。

4.風險責任到人。明確風險責任主體可以確保風險管理的有效實施和持續(xù)改進。在審計團隊建立業(yè)務(wù)分區(qū)制度，給每名審計人員明確劃分自己的風險責任區(qū)域，通過定期的風險評估和考核，確保審計人員能夠切實履行自己的職責，盯緊所負責的業(yè)務(wù)領(lǐng)域，成為該業(yè)務(wù)領(lǐng)域的風險專家。

（三）始終保持反舞弊思維

舞弊行為不僅會給企業(yè)帶來財務(wù)損失，還會對團隊文化、企業(yè)聲譽形象乃至公司戰(zhàn)略造成巨大破壞。因此，反舞弊審計是企業(yè)內(nèi)部審計的重要組成部分。中國企業(yè)現(xiàn)代內(nèi)部審計從最初的反舞弊審計，發(fā)展到以內(nèi)控和風險為導(dǎo)向的審計、效益審計，再到21世紀初流行的戰(zhàn)略管理審計，近年來又重視起反舞弊審計。其中原因，除了固有的委托—代理問題導(dǎo)致各行業(yè)的舞弊行為長期存在外，有些企業(yè)在進入新興行業(yè)、開發(fā)創(chuàng)新業(yè)務(wù)時，對業(yè)務(wù)流程中的反舞弊控制措施相對滯后。眾多企業(yè)在處理員工舞弊問題時，一般是開除處理，很少主動移送司法。在收益與風險的權(quán)衡中，不少舞弊人員選擇鋌而走險，這種行為給企業(yè)帶來了巨大的經(jīng)濟損失。

隨著現(xiàn)代企業(yè)運營環(huán)境的網(wǎng)絡(luò)化，舞弊行為變得更加隱蔽高效，相應(yīng)地，對內(nèi)部審計的能力要求和挑戰(zhàn)也就更高。因此，內(nèi)部審計人員必須不斷提高自身的專業(yè)能力和技術(shù)水平，運用先進的分析工具和方法揭示舞弊行為，不斷拓展審計視野和領(lǐng)域，關(guān)注新型舞弊形式的風險點和特征，還應(yīng)注重與其他部門的協(xié)作與配合。通過與法務(wù)、合規(guī)、人力資源等部門的緊密合作，共同構(gòu)建企業(yè)的反舞弊防線。

（四）關(guān)注社會責任風險

隨著現(xiàn)代社會的發(fā)展，環(huán)境、社會和治理（ESG）問題日益受到企業(yè)界和社會公眾的關(guān)注，而履行社會責任成為企業(yè)高質(zhì)量發(fā)展的應(yīng)有之義。相應(yīng)地，內(nèi)部審計作為企業(yè)內(nèi)部治理的重要機制之一，也應(yīng)關(guān)注企業(yè)在環(huán)境、社會和治理方面的風險和問題，推動企業(yè)實現(xiàn)可持續(xù)發(fā)展。

有的學(xué)者甚至認為，內(nèi)部審計除了受股東、董事會委托之外，還可能承擔一定的社會期待和隱形的外部責任。如內(nèi)部審計在企業(yè)合規(guī)風險檢查中，關(guān)注商業(yè)賄賂、環(huán)境污染、偷稅漏稅、產(chǎn)品安全等風險，也對社會治理起到積極的作用。隨著現(xiàn)代社會信息化、網(wǎng)絡(luò)化的日益發(fā)達，企業(yè)的社會屬性也在不斷加強，企業(yè)社會責任履行情況可能會直接影響到企業(yè)在消費者心目中的形象與口碑傳播，對企業(yè)發(fā)展具有重要意義。因此，內(nèi)部審計不應(yīng)忽視此類風險。

隨著社會公眾對內(nèi)部審計的期待不斷提高，內(nèi)部審計不再僅僅是企業(yè)內(nèi)部的治理機制，也越來越具有一定的社會影響。隨著中國式現(xiàn)代化的發(fā)展，民營企業(yè)和外資企業(yè)的政策意識也在逐漸加強，涉及國家安全、國家政策、社會責任在企業(yè)層面的落實，也應(yīng)成為內(nèi)部審計關(guān)注的重點風險。