浅议内部审计与现代企业风险管理

杨悟晓

风险即不确定性，企业风险又称经营风险，国资委发布的《中央企业全面风险管理指引》对企业风险的定义为：“未来的不确定性对企业实现其经营目标的影响。”企业风险一般可以分为战略风险、财务风险、市场风险、运营风险、法律风险、公共危机等。企业风险管理就是要建立一个识别、评价和控制风险的体系，为企业实现其目标提供合理保证。

内部审计与现代风险管理目标一致，密不可分。离开了内部审计的风险管理体系，无法有效运行。内部审计不以防范化解风险为核心，没有存在的价值。具体情况如下：

一、现代企业风险管理与内部审计密不可分

风险管理是一种管理方法，是一个系统过程，包括风险的识别、衡量和控制等环节，目标在于控制和减少损失，提高经济利益和社会效果。现代内部审计理论认为，内部审计是一种控制，是帮助组织（企业）管理风险、促进有效治理，实现组织目标。我国《内部审计基本准则》内部审计的定义为“是一种独立、客观的确认和咨询活动，它通过应用系统的、规范的方法，审查和评价组织的业务活动、内部控制和风险管理的适当性、有效性，以促进组织完善治理、增加价值和实现目标。”

由此可见，内部审计与风险管理密不可分。二者目标相同。但对于风险管控的层次和方法不同，风险管理是一种方法，是一个系统，内部审计是一种控制。

二、内部审计是现代企业风险管理的重要一环

现代企业的风险无处不在，对企业的生产运营产生很大的影响，为了防范和化解风险，我国很多企业引入了全面风险管理，包括风险管理策略、风险管理的组织职能体系内部控制等。内部控制是目前被普遍认可的风险管理的措施和方法。

COSO内部控制框架被广泛的采用作为构建和完善内部控制体系的标准，COSO体系认为，通过企业内部控制的有效运行来控制企业运营，确保最终财务报告中的数据是真实、准确、完整的。如果存在内部控制的显著性缺陷和实质性漏洞，则认为企业的内部控制失效，其财务报告的数据便不可靠。COSO框架中的监控就是通过内部审计和内控自我评估来实施。

《中央企业全面风险管理指引》明确提出：“具备条件的企业可建立风险管理三道防线，即各有关职能部门和业务单位为第一道防线;风险管理职能部门和董事会下设的风险管理委员会为第二道防线;内部审计部门和董事会下設的审计委员会为第三道防线。”

在第一道防线中发挥作用的主要是内部控制，在这道防线中具体操作的是各职能部门和业务部门，但评价是由内部审计牵头组织或直接实施的。由内部审计牵头组织，全体部门参加进行内部控制自我评估，对内部控制的设计有效性和执行有效性进行网格化的全面评估，形成评估报告和缺陷列表，然对缺陷列表的整改进行持续跟踪，确保缺陷得到有效改进。

除了内控自我评估，内部审计部门自行组织开展内控独立评估和其他各类审计业务，形成报告，跟进缺陷改进。有效的防范和化解企业风险，取得了非常好的效果。

三、风险导向为内部审计提供了新的工作和思路，有效提升了审计效率，节约了审计资源

审计署在2018年发出的《关于中央企业采购与招投标风险提示的函》，明确指出，在被审计的36家企业中，有34家企业存在招标采购方面的问题170个，其中违法违规问题77个，其他管理问题28个，违反企业内部制度问题65个，主要包括应招标未招标、向不具备资质的经销商分包，不按评标结果定标，制度不规范不健全、违反企业内部采购制度等。诸如此类，大量著名的财务舞弊案例表明，尽管企业的内部控制完善且运行良好，当企业的管理层舞弊造假时，会利用其手中的权利，控制内部控制的制订和实施，刻意掩盖其舞弊造假的迹象，管理层舞弊往往都是综合了串通舞弊，依靠内部控制和第一第二道防线，根本无法有效防范这类风险，独立性不强的内部审计机构，也不能在第三道防线中防范和化解这类的风险。

正是由于这种状况，才产生风险导向的审计模式，按照这种审计思维，审计人员从企业的战略风险入手，通过经营环境-战略风险-流程风险-控制风险-剩余风险分析的基本思路，在审计过程自始至终都以企业风险分析评估为导向，根据量化的风险水平排定审计项目优先次序，依据风险确定审计范围与重点，对企业的风险管理、内部控制和治理程序进行评价，进而提出建设性的意见和建议，协助管理风险，为企业增加价值和提高运作效率，提升审计效果。

四、当前企业风险管理及内部审计遇到的挑战

当前我国正在产业升级，大规模信息化如火如荼，风险管理及内部审计面临的内外部环境都发生了变化。随着网络开放、控制方式改变、外部对信息系统安全威胁、信息介质变化以及传统审计证据的缺失，给风险管理及内部审计工作带来前所未有的挑战。审计目标、审计对象、审计技术方法，包括审计工作内容等都发生了很大的变化，审计工作范围扩展为各种可能导致发生重大错报的领域。同时，由于企业的产品升级转型及大规模数字化，企业风险管理的重点和难点发生重大变化，比如，网络信息安全成为当今企业面临的最主要的风险之一，这些情况是目前风险管理和内部审计面临的主要挑战，迫切需要推进内部审计的转型和风险管理技术、方式方法的提升。

为适应新形势下的风险管理和内部审计工作，不仅需要财务专家，而且迫切需要懂经营管理、熟悉企业运作流程、精通现代信息技术的专业人才，而目前风险管理和内部审计队伍中的这些专业人才还非常有限，知识结构单一、力量不足、人员素质参差不齐已成为制约风险管理和内部审计工作转型、影响风险管理和内部审计工作实效的一个突出问题。

此外，由于审计及管控对象信息化程度越来越高，风险管理和内部审计工作如果没有信息手段的支撑，将处于非常被动的境地，难以实现向经营管理全过程的延伸。因此，迫切需要加快风险管理和内部审计信息化建设的步伐，引入IT人才，推进风险管理和内部审计系统建设，提高在信息化条件下开展风险管理和内部审计工作的能力，为推动审计工作转型、提高企业风险管理水平提供技术支撑。

参考文献

[1] 《内部审计思想》       王光远等译

[2] 《中央企业全面风险管理指引》

[3] 《企业风险管理》       立信国家会计学院主编

[4] 《内部控制与风险管理》  池国华 朱荣

[5] 《企业风险管理整体框架》 COSO委员会

[6] 《企业内部控制架构设计实操手册》 王海荣