全面风险管理下企业内部审计新思路

何 欣 南宁市金通小额贷款有限公司

一、引言

企业的持续经营就是不断设定目标和实现目标的过程，在这个过程中企业所处的外部环境在不断发生变化，遇到的内部管理问题也会层出不穷，这些都会给企业带来新的风险。如何保证企业能在复杂多变的环境中持续具备风险的防范和化解能力，避免企业出现风险管理漏洞而导致经营受到威胁，这就必须实施全面风险管理。

全面风险管理是利用更加科学、系统的方法，将企业治理、运营管理、财务报表等方面，全部纳入风险管理范围内，并且随着企业的发展而不断优化，能够更加全面、有效地防范企业风险。为了保证企业全面风险管理始终是有效的需要发挥企业内部审计的职能，通过审计的监督评价既可以检查企业全面风险管理覆盖的完整性，及时“补位”，又能测试全面风险管理对风险的识别、评估以及控制的效果，合理保证企业全面风险管理的有效性，并促进其不断发展完善。然而现实中，企业内部审计在全面风险管理下仍存在着诸多不足亟需解决，本文将针对当前企业内部审计存在的问题以及改进策略进行重点分析。

二、全面风险管理概述

(一)理论内涵

全面风险管理是指企业围绕着发展目标，按照风险管理计划，利用专业的技术手段，对所有影响目标实现的不确定性因素(也即风险)进行系统地识别，从定性和定量维度评估所识别的风险可能影响企业实现目标的程度，按照重要性等级对风险进行分类、排序，结合风险的特性设定相应的预防和控制措施，并内嵌入业务流程中，由相应的责任人实施管理。

企业需要培育并践行风险管理价值导向和文化氛围，建立并不断完善全面风险管理体系，包括风险管理的组织体系、风险管理信息系统和内控系统、风险管理策略、风险应对措施等，将企业面临的各种风险控制在其可承受的范围内，从而为实现风险管理的总目标提供合理保证。企业需要定期对全面风险管理体系实施评价、监督，以确保及时有效地识别和防范风险。

(二)现实意义

全面风险管理从企业战略目标出发，统一风险度量，建立起覆盖企业战略决策、落地执行、成果反馈全过程的风险识别和控制措施。风险管理措施在流程中内嵌，明确企业治理层、管理层、各岗位员工的风险管理责任。通过管理措施、责任体系全面收集企业、分析和报告企业风险信息，为企业经营决策提供风险依据，避免企业遭受重大损失，促进企业自我发展和自我完善。

三、全面风险管理与内部审计的关系

(一)全面风险管理引导企业内部审计方向

在企业面临风险环境不断变化的背景下，为了有效识别和防范风险，企业对风险的控制策略也在不断改进、变化，从最初被动防御型单一管理模式，到重点业务领域的局部管理，最终发展到如今的全面风险管理。

企业内部审计的重要职责之一是对风险管理的有效性进行监督评价，即评价该体系能否识别风险、评估风险和控制风险以及识别、评估和控制是否到位。虽然内部审计在企业风险管理中起着至关重要的作用，但受职能限制，内部审计并不能完全占据主导地位，主要是对企业风险管理的优化提供建议支持。企业进入全面风险管理阶段以后，相应的管理理念、管理策略和管理重点均需要调整，因此内部审计必须进行变革，以适应新的变化，所以有必要进行全面风险管理引导企业内部审计方向。

(二)全面风险管理与内部审计共同保障企业合规高效发展

企业在进入新的市场领域、开发新的产品及服务、建立新的商业模式时，面临的合规问题、运营效率问题、战略决策问题等，都将增加企业经营的不确定性风险，任何企业想要在复杂的环境中持续稳定发展，保持创新活力，都必须对传统的风险管理模式进行变革，以提升企业的综合竞争力。因此企业必须牢固树立风险意识，通过全面风险管理和内部审计共同保障企业合规高效发展。

全面风险管理与内部审计都属于企业管理风险的重要举措。全面风险管理是企业在市场经济环境下构建的风险管理模式，积极贯彻全面风险管理，能够让企业的所有部门、流程的各个环节以及全体员工均参与到全面风险管理体系中，增强企业的风险管理能力。在内部审计的监督下，企业能够更加有效地贯彻全面风险管理原则，对经营的各个领域、各个环节的潜在风险进行识别、评估，完善相应的风险管理措施，将企业风险始终控制在可接受范围内。

四、全面风险管理中企业内部审计存在的典型问题

(一)未形成基于全面风险管理的审计理念

目前，虽然大多数企业已经建立了全面风险管理制度，但是在实际中仍不尽如人意。首先，参与度较低，无论是企业高层管理者，还是基层干部、员工，都没有形成全面风险管理的意识，甚至对全面风险管理的概念都十分模糊，更不清楚自身应有的定位。其次，许多管理层在意识上仍然简单地认为与财务报表相关的风险就是企业的主要风险，对其他的风险都不以为然，并且以此要求内部审计人员进一步强化财务审计。最后，企业对内部审计的定位不清晰，将内部审计作为全面风险管理的辅助者角色，对于企业的重大事项决策，内部审计人员往往没有机会参与风险评估，只能被动接受评估结果。久而久之，内部审计仍旧在原地踏步，很难形成基于全面风险管理的审计理念。

(二)审计重点过于聚焦在企业传统风险领域

由于内部审计在不同企业中的定位差异较大，审计的范围也不尽相同，但在全面风险管理下，都突出同样的问题，即审计范围过于狭窄。受企业高层管理者和审计人员传统思维的影响，审计重点常局限于企业运营层面的传统风险领域，如财务类审计、合规类审计、舞弊类审计等，而对于企业决策层面的风险涉及甚少，如战略制定和战略决策，重大投融资事项决策所产生的战略风险、法律风险、市场风险等。虽然运营层面的风险类型和数量远远大于决策层面，但是决策层面的事项却决定了企业的发展方向和发展路径，其风险往往直接关乎企业的生死存亡。内部审计代表企业所有者对企业的经营管理进行监督评价，审计范围应当涵盖企业所有存在风险的领域，包括企业决策层面。

(三)审计目标导向偏离企业实际经营需求

全面风险管理的目标是保障企业能够更好地经营，实现企业发展目标。内部审计的目标是合理保证全面风险管理体系的有效性，最终也是促进企业实现发展目标。但是在实际中，许多企业的内部审计未能客观准确认识风险，在审计过程中对任何风险及风险事项均“零容忍”，导致被审计对象“人人自危”，从而造成企业各个部门投入大量管理成本只是为了防风险而防风险，而不是为了发展而防风险，无法做到二者平衡。而且，大多数企业的内部审计观念未能发生改变，仍然以“查错纠弊”为主，审计过程中十分热衷于抓错误和舞弊，而对于影响企业经营效率效果的风险却缺少关注，最终结果是虽然审计查出许多问题，也整改了许多问题，但企业经营并未真正得到改善，甚至影响了企业的经营效率。

(四)现有审计技术手段与全面风险管理不适配

随着大数据和人工智能技术的迅猛发展，企业纷纷走向数字化转型，利用先进的信息技术手段实施经营管理，将企业的业务流程从线下转移到线上，通过在系统中嵌入风险控制措施，提升风险管理的效率。数字化改变了企业的管理形态，也让企业的风险变得更加隐蔽和复杂，因此必须依靠数字化审计技术来监督和评价全面风险管理的有效性。但是许多企业的内部审计技术手段仍然停留在传统的手工审计，或者正在向数字化审计发展，审计信息系统建设落后。这一方面是因为企业高层管理者对内部审计重视不足，另一方面也是因为内部审计的价值很难直接量化，在企业数字化建设中优先级较低，结果造成现有的审计技术手段与全面风险管理不适配，严重阻碍审计价值发挥。

(五)审计自身风险难以得到有效控制

内部审计风险本身也属于企业全面风险管理的重要内容，控制内部审计风险，主要取决于内部审计质量管理和内部审计人员的专业能力。在内部审计质量管理方面，多数企业对审计质量的把关仍停留在内部复核，没有建立完善的评审和意见征询机制。在内部审计人员专业能力方面，专职审计人员数量少是当前我国内部审计行业的普遍现象，其他岗位兼职、转岗人员是大多数企业内部审计队伍的主要组成，而且随着企业的发展变革，需要内部审计人员持续精进专业能力，这对于本身专业能力就有限的内部审计人员十分困难。受制于上述不利因素，企业内部审计自身风险难以得到有效控制。

五、企业全面风险管理中内部审计新思路探索

(一)培养并践行全面风险管理下的审计理念

企业要强化对全面风险管理的制度宣贯，通过制度和机制予以保障。首先，企业高层管理者要加强对全面风险管理的知识学习，了解并掌握全面风险管理的内涵以及对企业的实际意义，在此基础上推行全面风险管理制度，将风险管理与各层级干部员工的绩效挂钩，逐步培养全员的风险管理意识。其次，内部审计部门在全面风险管理制度框架下，优化企业内部审计制度，将审计理念、原则、方式等按照全面风险管理的逻辑以及审计在全面风险管理中的定位明确，并向全体审计人员进行培训。最后，企业高层管理者要优化重大事项决策机制，要求企业内部审计参与到重大决策的风险评估环节，利用内部审计的专业知识、技能，从更加客观的视角对决策相关事项的风险进行独立判断，从源头把控风险。

(二)创新审计机制拓展审计覆盖领域

企业内部审计要将重心逐渐从事后审计，推向事中和事前审计。对于企业战略规划决策等重大事项，内部审计要在决策前即介入，通过审计的客观视角对决策事项的科学性与合理性进行评价，例如对于企业的发展战略，内部审计应当从市场、客户、核心竞争力、商业模式等方面，对可行性进行研究，评判决策依据的真实性可靠性，从源头规避战略失败风险。在重大事项落地过程中，内部审计要按照重要程度、风险影响大小等，确定是否进行跟踪审计。例如重大投资项目，内部审计应当在投资实施后跟踪项目的运营情况，尤其是项目过程中预期的各种风险是否均得到有效控制。对于项目发生变化，导致预期投资目标无法达成的，内部审计要及时查明原因，并重新评价项目决策和执行过程，发现风险管理的疏漏并推动整改，将损失控制在最小范围内。

(三)实施效能审计提升企业经营效率效果

内部审计要始终围绕着企业经营的实际需求，以促进企业发展为目的，关注企业的经营效能。企业内部审计在“查错纠弊”的同时，要逐渐将审计目标向流程效能提升方面扩展。针对企业业务流程，内部审计要从三个方面实施效能审计。第一是现有流程与过去流程对比，效能是否有所提升。例如企业销售线索到回款的流程周期，是否被拉长，如果被拉长，进而查明导致交易成功率降低、回款速率变慢等问题的主要原因。第二是现有流程的结果与目标对比，是否有助于达成业绩达成。例如可以从当年的销售业绩入手，分析影响销售业绩达成的原因中，是否存在因流程设计或执行问题导致企业无法及时满足客户需求进而损失订单的情况。第三是现有流程与竞争对手的流程对比，是否存在差距。例如，可以对比本企业与行业内标杆企业的产品研发流程效率，分析导致差距的主要原因，并确定改进方向。

(四)加大审计数字化投入提质增效

企业内部审计数字化建设要按照数据治理、平台搭建、线上管理和作业三个步骤实施。第一，企业要统一业务数据的标准格式和传输口径，从整体出发，建立数据治理中心，制定数据标准，进行统一的数据采集、编译、分类、储存，对数据进出、权限、安全保护进行统一规范。第二，建立企业内部审计信息平台，与其他各业务管理系统之间互联互通，审计人员在授权下可以不受限制地直接检索和采集审计需要的所有数据，并且可以将审计过程中发现的问题及需要整改的部分直接与业务对接，提高整改效率。第三，将审计立项审批、团队组建、计划拟定、方案落实、底稿编制、报告撰写、整改跟踪全部推向线上化，按节点进行管控。同时利用大数据和人工智能技术辅助进行审计分析，例如可以在线上通过大数据关联企业当前风险状况，检索既往风险点、审计风险等，执行了解程序，确定审计重点和审计方案。

(五)健全质量管理降低审计风险

企业内部审计要从内外两个角度着力提升审计质量。从内部角度，企业内部审计一是要完善内部审计质量管理机制，除了必要的交叉复核等程序外，也要建立项目质量评审程序，由总审计师或其他部分的责任人，对审计项目的过程和结果质量进行打分，并且与内部审计人员绩效直接挂钩。二是要积极培养和引入内部审计人才，优先选拔具备审计专业能力并且对企业经营管理具有一定了解的人员，总审计师要规划人才上升通道和职业发展路径，以保障能够留住人才。从外部角度，企业要建立审计公开制，除敏感特殊的审计类型外，其他内部审计项目在实施前必须要通过企业公开渠道进行公示，说明审计对象、背景、目的、范围等，在审计结束后也要公开审计结果、整改责任、整改期限等，通过公共监督提升审计的透明度和成果应用，进而促进企业内部审计质量提升。

六、结语

内部审计与全面风险管理相辅相成，相互促进。企业一方面要充分认识到全面风险管理的价值，着眼于企业发展的整体，强化高层管理者的风险意识和大局意识，真正将全面风险管理践行在企业经营管理之中；另一方面要在全面风险管理下重新审视内部审计的定位和价值，改变以往传统的认知和思维方式，保持底线意识的同时，强化经营意识和责任意识，立足于企业发展目标，不断探索全面风险管理下企业内部审计的新思路。■