集团型企业风险导向的内部审计机制

周莉

本文从风险管理的角度研究集团型企业的内部审计工作机制，希望为集团型企业提供内部审计运作指导，从而实现内部审计为集团型企业增值的目的。

集团型企业 风险管理 内部审计

内部审计与企业风险管理

（1）内部审计与风险管理的定义与关系

内部审计是一种独立、客观的确认和咨询活动，旨在增加价值和改善组织运营。它通过运用系统、规范方法，评价并改善风险管理、控制和治理过程的效果，帮助组织实现目标。

风险管理是一个过程，受董事会、高级管理层和其他员工的影响，包括内部控制及其在战略和整个公司的应用，日的是为实现经营效率和效果、财务报告的可靠性以及法律法规的遵循提供合理保证。

内部审计是企业内部评价、监督与控制的重要环节，可以辨别以及评估重大风险，并且能够改进风险管理以及内部控制体系。对风险的防范和控制要从整体出发，内部审计部门具有独立性，所以在风险管理过程中，能够从伞局角度，独立客观地审视风险，通过实施有效的审计程序识别和评估风险，最终提出预防和控制风险的审计建议。

（2）内部审计在企业风险管理中的作用

在识别风险中，内部审计人员应该审查和评价公司的风险管理流程，确定公司在风险识别过程中风险分类的正确性和分析方法的適当性。在评估风险中，内部审计人员要对已经识别的风险进行定量和定性分析，研究风险产生的可能性以及概率，估量风险产生后的经济损失和影响。在控制风险中，要检查风险控制活动的有效性，主要包括高级管理层复核、职能部门审核、实物控制、职责分离、信息处理和检查监督。

（3）基于风险导向的内部审计模式

内部审计的发展经历了财务导向、业务导向、管理导向内部审计几个重要阶段。20世纪90年代末以后，内部审计逐步迈入了风险导向内部审计阶段。人们更关注风险，从风险的角度考虑受托责任的完成并形成相应的管理控制机制。风险导向的内部审计理论认为风险足企业活动的驱动力，内部审计应把关注的核心转向风险，注重现在和未来。风险是面向未来的，直接与日标及战略相关联，因此以风险为核心、出发点的内部审计，能将事后的反馈延伸到事前及事中，从而实现更高效率的控制。

建立集团型企业风险导向的内部审计机制

风险导向的内部审计机制，是将集团所属各个企业潜在的风险加以判断、归类和鉴定风险性质，评估风险事件发生的可能性、概率和风险事件可能造成的影响，结合企业战略目标，按照企业业务循环，尽量识别出各个层面的风险，确定每个风险要素的影响大小，采用定性和定量相结合的方法确定各企业总体风险的大小，最终将各企业按照风险等级进行分类的过程。

（1）风险识别，确定分类标准

为了有效地实施分类，首先需要制定一个适用于各企业的分类标准。通过观察和检查企业的日常经营管理，要特别关注三重一大事项和异常交易以了解企业及其环境，识别可能面临的风险。风险容忍度大，说明企业承受风险的能力较强，在容忍度范围内的小风险可以采取经济、节约的应对措施。因此，风险容忍度的确定相当关键。

在了解企业内外部环境的基础卜，应该分析企业的经营管理过程，分析可能面临的潜在风险，并参考对各类风险的容忍度，以此为基础制定分类标准。

（2）风险评估，对企业进行分类

将集团所属各企业对照分类标准进行风险评估。在评估时应当征求多方面的意见，联合企业法务、财务、规划等部门共同开展，根据意见不断完善分类标准，从集团型企业整体管理的角度进行科学地评估。

集团型企业分类的结果，至少应当包含3个层级。一是重点风险企业，即该类企业经评估风险等级非常高或发生风险事件将会对集团整体或局部产生重大影响；二是一般风险企业，即该类企业经评估风险等级一般或发生风险事件会对集团局部造成影响；三足低风险企业，即经评估风险较低或发生风险事件对集团几乎没有影响。

（3）制定分类审计计划，灵活运用

根据各企业风险等级和重要程度的不同，制定相应的分类审计计划。

第一，从审计范围分类

对于风险等级较低的企业，内部审计应选择和企业发展最迫切相关的内容，比如：战略审计、内部控制审计、经济效益审计等。

对于风险等级较高的企业，不仅要开展常规的审计项目，还要以多角度拓展、多渠道核实、多层面访谈等为手段，围绕风险管理体系、风险应对措施等多方面开展审计。审计内容包括风险管理体系的建设性、风险管理文化的积极性、信息收集过程的准确性、风险评估环节的可靠性、风险应对措施的有效性、风险监控机制的预警性、风险管理考核的时效性等。

第二，从审计方式分类

对于风险等级较低的企业，一般采取“集约式”的审计方式。在集团公司设立审计部门，在下属单位设立审计分部，对审计人员实行统一配置的原则，实现信息共享，提高审计部门和人员的独立性。

对于风险等级较高的企业，一般采取“渗透式”的审计方式。对重大交易和事项由总公司进行审计，并直接向董事会报告；同时每年由母公司制定计划对控股公司进行经营责任审计，并向公司管理层和董事会报告。另外，还应充分借助社会审计力量，加强对业务质量的监督，充分利用其审计成果，在审核把关的基础上为我所用。同时还可以聘请有相关专业知识的社会审计人员参加审计组，或委托有法定资格的社会中介机构协助，以解决专业人员不足的问题。

（4）关注高风险企业，构建内部审计日常服务机制

高风险等级企业是内部审计关注的重点，应当在分类管理的基础上针对高风险等级企业建立内部审计日常服务机制。将对原有以审计项目实施为主要内容的内部审计工作做出较大改进，将审计项目实施阶段中的收集、分析工作转移到日常进行，解决了审计项日实施中工作内容多、压力大、人员少以及信息资料提供不及时等问题，能够把审计项目实施的重点完全放在疑点或问题的核查上，有利于提升审计项目的质量。

结论

传统的观念大多认为内部审计工作本身是不增值的，但基于风险导向的内部审计改变了这一观念，通过建立风险导向的内部审计机制，不但可以完善企业管理体系，还可以实现企业价值增值。

[1]发电企业内部控制评价研究[D].李俐瑶.首都经济贸易大学2016

[2]中小企业内部控制有效性评价研究[D].贺宇琼.华北电力大学（北京）2016