嵌入风险管控意识的企业内部审计探索

□刘玉萍

一、企业内部审计发展概况

从理论上分析，所有权与经营权的分离以及组织内部的多种分权管理所形成的受托经济责任关系是内部审计产生与发展的内因。即由于“两权分离”造成了信息不对称，为了防范管理层有可能在股东不知情的情况下作出对企业不利的逆向选择，内部审计应运而生。2001年，国际内部审计师协会（IIA）在《内部审计实务标准》中将内部审计定义为：“是一种独立、客观的确认和咨询活动，旨在增加价值和改善组织的运营。它通过系统、规范的方法，评价并改善风险管理、控制和治理过程的效果，帮助组织实现其目标”。这是国际组织第一次赋予内部审计“确认与咨询”双重服务内容。IIA（2007）的定义，内部审计是“一种旨在增加组织价值和改善组织营运的独立、客观地确认和咨询活动，它通过系统化、规范化的方法来评价和改善风险管理、内部控制和治理程序的效果，以帮助实现组织目标”。IIA（2009）颁布了新的《国际内部审计专业实务框架》（IIPPF），肯定了内部审计对治理程序的监督评价功能。认为公司治理是内部审计的对象。IIA（2011）发布新版《国际内部审计专业实务框架》，强调内部审计的目的“旨在增加价值和改善组织的运营”。2012年中国内部审计协会通过国有企业自荐、国资委和金融监管部门推荐、地方内部审计（师）协会和协会各分会推荐的方式，搜集了大量内部审计工作有引领作用的国有企业内部审计典型经验，以更好地推进内部审计有效地防范风险、提高经济效益、加快发展营造和谐的社会环境和氛围。显然，内部审计的重要性在逐步提高，其职能已从监督和查错防弊转向站在企业风险管控的角度，为公司治理和企业增值服务。

二、目前企业内部审计存在的问题

（一）内部审计人员处境尴尬

目前，内部审计在大多数企业的定位依旧是监督经济业务的警察。内部审计人员的工作待遇是财务经济系列中最低的，在工作中享有的权利和承担的责任并不对等。开展内部审计工作，被审计对象的终端大部分都连着一名甚至多名高管层，审计过程中的困难和阻碍是可想而知的，被审计对象对审计工作有的不理解，有的甚至怀有抵触情绪，往往不会主动配合其工作，认为内部审计人员的所得就是他们的所失。内部审计发现问题和薄弱环节，一方面体现出审计工作业绩，另一方面也凸显了被审计对象工作环节的不到位，反映了二者一定程度上存在有矛盾性，导致内部审计很难被认可。

（二）内部审计人员专业胜任能力不强

内部审计人员对当前经营管理工作分析、把握不够深刻，对国情、企情、司情了解不够全面，积极主动性也不够，没有将其很好地融入到审计工作当中。另外，由于内部审计人员的单一专业所限，审计人员视野比较狭窄，尤其是石化销售企业正处于改革转型期和新业务拓展期，审计人员对传统业务前端延伸不足，对新业务了解不深、研究不透，事前防范风险的作用发挥不够。

（三）内部审计职能发挥不够，缺乏独立性

一是内部审计事后监督多于事前监督和事中监控，侧重于对已经发生的业务和事实进行审查，缺乏风险防控的前瞻性。二是内部审计机构作为公司的内部管理部门，在管理层级上与生产单位和其他职能部门同级，同受经理层领导，这使得内部监督活动易受到干扰，导致无法深入、客观地开展审计监督工作，内部审计的独立性受到影响。

三、加强企业内部审计工作的建议

（一）提升内部审计地位，实行员工激励

随着内部审计的不断发展，内部审计在企业宏观战略管理中的作用逐渐被企业高管层所接受与认可。提高内部审计地位最重要的一点就是要保持独立性。内部审计人员不得从事企业具体的业务活动，要独立于业务管理部门，客观地对风险进行识别。企业内部审计直接对董事会及董事会审计委员会负责，向董事会及审计委员会报告工作。

激励问题一般被认为是良性发展动力，可将其作为改进内部审计的推动力而加以接受。鉴于内部审计工作的难度和对内部审计人员素质的高要求，笔者认为可以通过实行薪酬激励措施来实现，比如可以通过开出比普通同等岗位高出30%—50%的薪酬来吸引有能力的员工转向内审岗位，同时辅以配套的福利计划，以确保审计人员能高效地开展工作。

（二）注重内审团队成员沟通和知识多元化

卡耐基认为，一个人的成功只有15%是由于专业技术，而85%则要靠人际关系和为人处世的能力。一个优秀的内部审计人员同样除了必须具备超高的业务能力外，还需要有良好的沟通及处理人际关系的能力。

作为一个高效的内审团队，既需要经验丰富的财会专家，也需要计算机专家和法律专业人士等，团队成员的知识背景应尽可能多元化，除具备扎实的财会知识和经验外，还应熟悉本单位生产经营及经济业务情况，熟悉相应的法律法规及公司规章，掌握内部审计内容、专业技术及信息系统。必要时可以对内审人员分组，各司其职，以尽可能优化内审组织结构，完善内审工作体系，推进日常审计工作流程化与标准化，提升审计工作质量。

（三）拓展内部审计范围

随着企业经营风险的增大，内部审计的职能范围也不断扩展，内部审计的触角已延伸到企业内部经营管理的各个环节，包括财务收支审计、经济效益审计、投资可行性评价审计、基建工程管理审计、预算管理及考核审计、人力资源审计及重大合同管理审计等。内部审计通过充分发挥贴近生产经营的优势，紧扣中心任务和薄弱环节，抓住经营发展的新趋势、新动向、新苗头，及早发现、及时诊断被审单位的经营管理问题，实现关口前移，事前防范。如石化销售企业内部审计可以紧紧抓住问题多、风险较大的领域、环节、流程，重点围绕油（气）外采外销、非油品经营、营销活动、投资发展、成本费用控制、油品溢耗、工程建设、资产处置、委托管理、合资企业等方面，科学灵活立项，开展审计监督。

（四）创新内部审计方法

内部审计人员应充分考虑企业的实际情况，采用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法进行审计，除此之外，还可实行“家访制度”，了解员工特别是领导八小时以外的生活情况，这对企业内部反贪反腐审计非常有效。也可以指派专人负责研究和评估重大投资项目的可行性、投资风险和投资效益，并跟踪监督重大投资项目的进展情况以更好地审计重大投资情况。如果内审工作找不到突破口，可以从最基础的工作入手，如进行固定资产审计，可以考虑从固定资产盘点开始，对照资产盘点表进行盘点，从中发现固定资产的盘盈盘亏、转移或报废处置等情况。

（五）抓好内部审计工作的成果转换

内部审计工作呈现的成果是出具内部审计报告。但内部审计报告并不意味着内审工作的结束。审计报告出具后，企业管理层要注重对内部审计工作的成果转换。企业内部审计部门与被审计单位签订限期整改通知书，加强跟踪审计及必要的后续审计程序，以检查被审计单位落实审计建议或审计决定的情况，检查和评定审计项目的质量和效果，对整个审计项目实施事后监督和检查。同时，企业管理层也需要对照内审结果进行对比自查，确保审计工作的正常运转与审计工作的成果转换。

四、企业内部审计风险管控新思路——嵌入风险管控意识

近年来，我国企业舞弊现象层出不穷，特别是高管舞弊使得企业的内部控制风险无限增大。红塔集团原负责人利用职权和职务之便，伙同他人私分单位巨额的销售货款；上海市劳动和社会保障局原负责人违规挪用巨额社会保障资金给民营企业投资经营；天津大学原有关领导动用教育经费炒股损失巨大。从经济监督角度看，这些案件都是单位的内部控制失效、内部监督失控的结果。而本该发挥监督作用的社会审计却无所作为。随着国家取消强制验资和年报审计政策，社会审计需求越来越窄，而内部审计需求将越来越大。内部审计已经被推向企业防范舞弊、降低管控风险的前沿。

尽管有些方面会质疑内部审计对于企业风险管理的有效性，认为内部控制的独立性较社会审计会差一些，甚至还会选择审计业务外包。但越来越多的企业已经意识到用社会审计替代内部审计的弊端所在。比如，社会审计人员并不了解企业情况，审计中通常会运用跟国家审计相似的方法和思维。事实上，内部审计的范围和角度跟社会审计大相径庭。外部审计人员无法站在管理层的角度为企业考虑，且与企业内部各部门的沟通方面也有所欠缺，而且社会审计费用较高，必然会增加企业负担。还有外部审计人员有可能泄露企业秘密。相反，内部审计人员熟悉企业业务并能够随时深入生产经营的全过程去了解掌握具体情况，收集到大量第一手资料，从中发现存在风险的隐患问题，进行风险分析，提请管理层注意风险管理和防范等相关建议。另外，内部审计活动范围在经营风险、信用风险、财务风险、风险管理的有效性、成本较低、提高效益等领域不断扩大，这对企业降低管控风险是非常有必要的。

企业要满足“有限责任、有人负责、有效制衡”的要求，就需建立起规范的决策、执行、监督三权分立式的内部控制制度。同时要充分吸收全面风险管理的理念和方法，强调内部控制与风险管理的统一，将内部控制建设和风险管理工作有机结合起来。而以风险为导向、以内控为基础的内部审计，则通过对内部控制制度的建立及执行的评价，评估和识别可能的控制风险并报告公司管理层，防范和杜绝舞弊和重大错报等问题的发生，降低企业风险。

（一）企业内部审计模式需要朝风险管控方向转变

为适应外部环境的变化，企业内部审计需要开展自我模式的创新，从“揭露问题型”向“持续改进型”转变，从“被动接受型”向“主动参与型”转变，从单独强调“独立性”向积极追求“价值增值”转变，从“过程控制型”向“风险管理型”转变，从“借鉴应用型”向“开发创新型”转变。企业内部审计需要化解威胁企业的内、外部风险，为实现组织的可持续发展服务，以增加企业价值为审计理念，帮助企业防范和降低经营风险，提高其经营管理水平。

（二）内部审计要融入企业风险管理，提倡参与式审计

内部审计的着力点是风险管理、控制和治理。内部审计团队要以合作的方式与企业内部各部门保持良好的沟通，提高被审计人员对内部审计的接受程度，让各个部门和岗位人员参与其中，保证各方利益目标的一致性。要增加企业实现既定目标的机会，确认运营改进，降低风险，从而为企业创造价值。内部审计人员要站在公司治理的高度，通过对公司整体风险管理中存在的问题，及时提出改善、指导企业风险管理的意见和措施，使内部审计成为企业的免疫系统。

（三）提升内审人员专业胜任能力，强调职业道德

内部审计作为受托责任的一种控制机制，其发展首先需要提升内审人员的专业胜任能力，要求内部审计人员从“后台”走向“前台”，审计控制的关口需要前移，而非“秋后算账”、“事后诸葛亮”，要主动进行事前、事中诊断、控制和评价。内部审计人员要从以监督、检查为主的“裁判”角色转变为以协助、参谋为主的服务角色，集调查人员、指导顾问、咨询专家、管理层的有益助手等职责于一身。深入企业生产经营的各个领域，及时发现问题，提出建设性意见，在监督中服务，在服务中监督，规范企业经营管理行为，增强企业抗风险能力，提高企业的经济效益。其次，要保持高质高效的内部审计，内审人员除了要具有高超的专业胜任能力外，还需要良好的职业道德做保证，促进内部审计保持其独立性。

（四）着重考虑ERP信息系统对企业内部审计的影响

内部审计理论与技术、方法的每一次重大变革，都是随着经济的发展、新技术的出现等而催生的。在信息化飞速发展的时代，ERP系统（Enterprise Resource Planning，企业资源计划的简称）对企业内部审计将产生深远影响。内部管理权限的严密性以及关键风险点的设置成为ERP环境下内部控制的重点。相关员工通过对程序的篡改，不仅可以对数据资料进行修改、复制或销毁，还可以消除交易轨迹，不留下操作痕迹，传统的审计线索已不能完全满足这种突变。因此，内部审计会存在操作风险、过分信赖自动控制结果风险、设备风险、网络风险等并存的多样化状态，在内部审计工作中都必须一一加以考虑。作为石化销售企业内部审计，要依托集团公司目前在用的AIS、审计信息集成系统、审计预警系统三大信息应用平台，继续深化审计工作的信息化建设，重点要加大对ERP系统相关原始数据的分析运用，利用企业“云数据”优势，拓展大数据的技术运用渠道，探索多维度、智能化的数据分析功能，运用信息技术准确判断、分析发现审计问题，提高防范风险能力。

（五）以风险导向强化事前监督、动态监督和风险预警

风险导向的内部审计监督重在监督活动的前置，通过制度安排、事前防控和动态管理来防范企业内部控制风险和个体廉政风险的产生，具体落实重点有：一是内部审计可通过穿行测试等方法，对内部管理制度体系、内部控制体系的有效性进行测试、评估，发现是否存在设计缺陷和运行缺陷，以促进管理制度和内部控制系统的不断完善；二是内部审计在开展日常监督和专项监督过程中，通过对发现的各类违规事件进行归纳分析，识别被监督对象所处岗位和被监督业务活动相关的风险因素，为修复完善风险防控体系和风险解决方案提供专业建议；三是通过建立内部风险预警机制和适时的动态监督，主动寻找内部审计的切入点，进行超前监督，以便及时中止风险诱因行为，进而填补制度和流程漏洞，避免风险事项的发生。