内部审计参与企业风险管理研究

丁登峰

摘要：内部审计作为企业风险管理的第三道防线，也是最后一道防线，是国有企业资产保值增值和持续健康发展的重要保障。文章阐述了内部审计和风险管理的关系，分析了内部审计参与企业风险管理的动因和作用，对内部审计参与企业风险管理的途径进行了研究，提出了内部审计参与企业风险管理的建议。

Abstract： As the third line and the last line of enterprise risk management， internal audit is an important guarantee for the state-owned enterprises to maintain and enhance the value of assets and keep the healthy development. This paper expounds the relationship between internal audit and risk management， analyzes the motivations and functions of internal audit in enterprise risk management， studies the way of internal audit participating in enterprise risk management and puts forward some suggestions on how to participate in enterprise risk management.

关键词：内部审计；风险管理；保值增值

Key words： internal audit；risk management；maintain and increase value

中图分类号：F239.45 文献标识码：A 文章编号：1006-4311（2017）14-0068-03

1 选题背景

随着全球经济金融一体化进程的加深，企业面临的经济环境日趋复杂，面临经营风险空前增加。因此，集团公司在成立之初就启动了全面风险管理工作，于2014年在全集团范围内提出了全面风险管理与内部控制体系（以下简称风控体系）建设“三年全覆盖”的要求，即从2014年到2016年，全集團要完成风控体系的建设，确保风控体系覆盖重要业务单位、重大业务事项、主要业务流程和高风险领域。为加快各单位风控体系的建设和运行，又于2015年提出了风控体系建设监督与评价“三年全覆盖”要求，即从2015年到2017年，全集团要完成对各单位风控体系建设的监督与评价。

同时，作为公司治理的有效手段，内部审计也获得了国资委和集团公司的高度重视。国资委明确要求中央企业内部审计工作必须由企业的法人直接管理。集团公司为加强对各单位的管控、提升各单位公司的治理水平，对内部审计的重视也与日俱增，不仅加大了对各单位内部审计的频率，更拓展了内部审计的职能，从传统的财务审计逐步过度到了经营审计和管理审计，也加大了审计发现问题的问责力度。

从国际和国内对内部审计定义的演变过程可以看出，内部审计参与风险管理是企业内部审计工作的主要发展趋势。在企业未来的发展阶段，内部审计必将在风险管理体系中发挥至关重要的作用。集团公司对为企业生产经营目标服务的内部审计和风险管理均高度重视并大力推行。但是我们也应该看到，内部审计参与企业风险管理基本局限在一些基层工作上，未将内部审计工作全面参与到各单位风险管理工作中。因此，如何将内部审计工作和风险管理充分融合，做到互惠互通，就成为了集团公司必须深入研究和解决的问题。本人前后分别从事内部审计与风险管理工作，对内部审计与风险管理进行了一定的研究，并尝试着对内部审计参与企业风险管理的方法和实施过程进行深入细致的研究。

2 内部审计与风险管理的关系

在企业内部管理体系中，内部审计与风险管理是互为补充、相辅相成、联动发展的关系，其具体体现在以下方面：

2.1 内部审计与风险管理的目标是一致的

从定义来看，风险管理就是通过认识、预测评估来应对面临的风险因素，对项目执行过程中的不确定性进行估测和预控，力求以最低的投入最大限度地保障项目安全实施，同时把风险引起的损失降到最低。严格来讲，风险管理直接为实现企业经营目标服务。而内部审计则是为企业增加价值，同时对企业运行中存在的问题进行优化调整。内部审计部门基于所掌握的资料，对风险过程进行识别和评价后，可以为企业规避经营过程中的风险提供可靠的建议，以此消除管理缺陷、控制漏洞或者其它风险因素，实现为企业增值的目的。从目的来看，风险管理与内部审计存在共性。

2.2 内部审计是风险管理的有效工具

在重新修订内部审计的定义时，国际内部审计师协会重点突出了内部审计是一种实现企业内部风险管理的有效工具。而从企业内部审计发展趋势来看，现代企业内部审计的根本目的是实现有效的风险管理。

2.3 内部审计为实现风险管理提供必要的支持

客观详实的内部风险信息是企业科学及时地实现风险规避、风险承担和风险转移等风控策略的基本前提。企业在风控过程中，为了客观地统计和评价内部风险因素，就必须通过准确客观的内部审计来实现。

3 内部审计参与企业风险管理的动因

3.1 企业管理发展的需求

在企业的生产经营中，风险无处不在。识别风险并采取有效的风控策略全力保证生产经营活动正常开展，规避风险带来的损失，是每个企业必须面对的问题。近年来，伴随我国经济的不断发展和市场的开放程度不断加强，市场中的竞争程度变得更加激烈，企业在这样的市场环境下的风险进一步增加，因此规避或消除风险便成为企业顺利达成生产经营目标的主要措施。现阶段，内部审计与经营管理活动已经密不可分，并且伴随着企业的发展，其性质逐步由外在介入型转变为内在融入型。内部审计是独立于企业之外的第三方管理机构，它能从第三方视角客观的评价和预测企业全面风险管理体系是否科学，是否有效，它在企业中扮演着改善管理的监督者、风险管理的实施者以及提高效能、促进企业增值的推动着，是“第三道防线”。鉴于此，企业应该将内部审计作为企业全面风控系统中的关键节点来对待。

3.2 内部审计发展的需求

市场经济体制下的企业管理理念在不断更新，在企业运营过程中，传统内部审计模式的弊端日益暴露。内部审计部门应该结合企业所处的发展阶段和市场经济发展要求进一步拓宽业务领域，在财务收支审计、内部控制审计等传统业务项目的基础上增设公司战略审计、公司治理审计以及企业风险管理审计等新兴业务项目，使内部审计参与并监控更多企业的管理内容，为企业调整战略规划和进行风险控制提供必要的支持。

3.3 内部审计参与企业风险管理具有天然优势

一是具有独立性优势。

独立性对审计非常重要，设立内部审计机构的首要原则就是确保其独立性。审计机构在企业的地位越高，越受到重视，其独立性也就越强，这也是国际内部审计界的共同经验和基本主张。只有确保内部审计机构的独立性，才能保证其能够不受干扰，正确地行使其职能，确保审计过程的独立有效。

二是综合性优势。

内部审计具有从全局考虑分析判断风险的综合性优势，对企业风险管理进行的系统性、专业性监督与评价，权衡企业实施风险防范和效益成本的利弊，在风险与收益比较中研究风险管理的定位。

总之，内部审计本身是一种公司治理机制，其质量的提升是对公司治理结构的补充，内部审计有助于公司防范和识别潜在的风险，更好地实现公司治理的目标。企业设立内部审计部门是一种内在需求，有助于企业更好地组织和控制企业的经营活动，提高经营活动的经济性、效率性和效果性。

4 内部审计参与企业风险管理的作用

4.1 能对企业风险管理进行监督与评价

对风险的认识、防范和控制需要从全局考虑，但各业务部门很难做到这一点。由于内部审计所独有的天然优势，内部审计可以独立地、综合地对企业的风险管理进行监督与评价。内部审计可以对风险管理流程中的每个阶段进行各种专项检查，评价企业风险管理政策设计的适当性、执行的有效性和风险损失处理的合理性等，从而对进一步改进风险管理提出意见。

4.2 基于反馈机制对企业经营风险进行有效的预警

严格来讲，风险管理主要是针对企业未来经营阶段做出的风险预控，它与企业的战略规划和生产经营目标息息相关。因此以风险为出发点和核心的内部审计，能够以事后的反馈延伸到事前以及事中，从而达到更高效率的控制。内部审计的咨询职能充分体现了内部审计的能动性及增值目标，并且将事后的反馈扩展到内部控制建立前以及实施时的协助与促进，帮助企业管理层对风险管理进行持续改进与完善，产生预警功能，从而达到内部审计在企业管理控制系统中的反馈作用。

5 内部审计参与企业风险管理的途径

目前许多集团公司对内审机制始终持有顾虑，或者根本不重视。有人说，现阶段，随着现代企业制度在国内的推行，股东大会、董事会、监事会以及经营管理层等“三会一层”管理机制早已成形，但许多企业始终碍于“一股独大”，无法彻底落实现代企业管路机制，在这种情况下更无力去搞什么内审机制。从这点来看，传统观念应该是造成企业忽视内审机制的主要因素。在很多人看来企业搞内审是：没事招事、寻找麻烦、小事化大；它是一个可有可无、工作不被重视、非增值的部门。因此很多企业都对此淡化，但是企业要想做得更好，内审部门必不可少。具体来讲，内部设计真正参与企业风控体系的主要途径如下：

5.1 企业目标评价

对企业目标进行分析，是风险管理的基本前提。

首先，内部审计人员应该從客观的角度来评价企业制定的战略目标及其与企业发展目标是否一致。

其次，应当对企业各层级的目标的科学性、彼此之间的统一性以及各层级目标与总的战略目标之间的一致性进行评价，另外，重点评价企业识别的成功关键、企业衡量业绩的指标，以及企业成员对企业目标及个人目标的了解程度等等。

5.2 风险识别

准确识别企业管理层的风险容量是风险识别的基本前提。风险识别的重点是针对超出风险容量的风险进行识别，而非是要全面呈现企业经营过程中的所有风险。内部审计部门要重点评价企业管理层的风险识别是否合理、风险记录是否客观完善，根据评价结果深入挖掘对企业的生产运营存在潜在影响却未能识别出的重大风险源，同时就风控措施提出合理化建议。

5.3 风险评估

通过风险评估对各类风险因素划分等级，根据风险等级可确定各风险因素对企业生产经营过程的干扰程度。从严格意义上讲，风险评估是为风险管理决策提供参考依据，其根本目的是对风险进行有效的控制，确保其对企业生产经营过程的影响作用始终可控。内部审计部门可采用定性分析与定量分析相结合的手段进行风险评估。正常情况下，应该先对风险进行定性分析，确定风险的影响程度，同时对风险源进行核查，再针对风险源进行定量或半定量分析，对风险源划分等级，最后根据分析结果制定出有效的风控措施。

5.4 风险控制

风险控制，就是将风险降低到企业可控范围内。在风险发生时对其进行有效的控制，以确保其不会对日常生产经营活动造成干扰。企业可针对风险评估所确定的风险等级采取不同的风控策略，结合企业自身的风控能力确定是否避免风险、接受风险或者直接应对风险。对于一些高风险但利润也十分可观的经营项目，若要接受风险，内部审计部门就应该提前进行风险识别、风险预测，并制定出科学地风控措施，以期将项目风险降低到可控范围。除此以外，风控部门也要精心梳理业务控制流程来配合内审部门的风控策略，力求将风险的影响程度降至最低。内部审计部门可以通过评价风险回报的合理性和风险程度降低的幅度来综合评价风险管理部门的风控程序是否具有实效性，并针对其中的问题提出可行性的建议，以实现控制风险、降低风险的工作目标。

6 内部审计参与企业风险管理的建议

6.1 进一步拓展内部审计职能

随着集团公司的快速发展，集团公司逐步拓展了内部审计的职能，从传统的财务审计逐步过度到了经营审计和管理审计，但目前在风险管理系统中，内部审计的参与程度仍局限在肤浅的层面，并未真正深入到各单位风险管理工作中。当前的经济环境瞬息万变，新机遇、新挑战、新问题不断涌现，以经济审计为主的传统内部审计模式已无法满足企业的发展要求。内部审计部门应该认清这一点，及时更新工作理念，根据市场形势调整内部审计机制，适当拓宽审计业务范围，借助大数据思维，利用网络科技构建事前、事中、事后一体化内部审计工作流程，真正发挥内部审计作为企业全面风险管理的第三道防线的作用。

6.2 将企业风险管理融入日常审计项目

就目前来看，企业内部审计仍局限在经济审计范畴，相对于国外来说，我国内部审计的业务项目单一。而且，关于内审结果，国内是直接向行政管理部门上报，而国外则是直接对董事会的审计委员会负责。这是我国线形内部审计工作在企业高层中始终“不得人心”的主要原因。企业要建立专业的内部审计部门，就必须“政企分开”，而且应从国有大型企业开始落实，真正的在企业日常审计项目中融入更多企业风险管理的内容。比如，推行企业负责人经济责任审计，重点审计在企业负责人任期内做出的重大投资决策以及重大经济活动决策对企业后续的生产经营活动所产生的影响，部分管理缺陷或经济纠纷的影响可能在下一任企业负责人任期内发生，所以内部审计部门必须做出客观的风险评价，厘清现任与前任的经济责任，同时协助企业针对可能存在的风险因素加强预控，以达到防患于未然的目的。

6.3 优化内部审计人员结构，提高审计专业素质

集团公司目前大部分内部审计人员都具有扎实的财会专业知识积累，但是普遍缺乏风险意识，并且风险分析、风险控制以及风险管理能力相对欠缺，因此，为让内部审计人员能更好参与企业风险管理，必须持续提升内部审计人员素质。因此，企业应该不断优化内部审计人员结构，除了招聘财会专业人员以外，还应该吸收外部专家、管理顾问、舞弊检查专家等多种专业人才。同时，要重点培养一批高素质的内部审计人员，不仅应当具备从事审计业务相适应的专业知识和业务能力，而且还应掌握和了解企业经营管理运作状况，掌握风险管理相关的业务知识。

参考文献：

[1]胡少朴.论内部审计对经济的作用[J].时代经贸，2006（S1）.

[2]郭艳萍.内部审计增值目标实现途径——参与企业风险管理[J].审计月刊，2007（08）.

[3]杨爱群.风险导向内部审计在企业风险管理中的应用探讨[J].商场现代化，2007（04）.