浅谈现代内部审计的风险管理控制方法

闫文丽

（肇庆市公路局高要分局，广东肇庆526100）

进入21 世纪，世界经济发生了深刻变化，科学技术不断发展，经济全球化发展趋势越发明显，而各国经济体系相互交融，导致经营风险、管理风险不断加剧，尤其是我国在加入WTO 后，风险控制已然成为企业管理中的核心要素。我国十数年来以致于推动构建以“风险管理”为导向的内部审计工作体系，但是风险管理、内部控制的关系错综复杂，导致以风险为导向的内部审计定位存在一定问题，并且我国目前现行的各类审计准则之间的关系也亟待进一步优化。在实务中，审计工作人员也产生了更多的困惑，即“风险管理审计、内部控制审计究竟存在什么差异？”并且，国内对于内部审计的风险管理控制方法研究多处于理论层面，大部分企业仍旧采用“不预测风险的审计方法”，导致内部审计的作用无法全面的发挥出来。在内部审计110 号准则中明确指出，内部审计工作的开展应该以风险管理为导向。为保证企业的稳定发展，确保企业能够规避风险，当下就需要对内部审计的风险管理控制方法进行系统梳理。

一、内部审计中“风险”的定位

“以风险为导向的内部审计方法”进入我国已经有了较长的一段时间，学术界对此也开展了较为广泛的讨论，国内学者认为，内部审计中的“风险”主要是指企业业务活动中的风险、企业经营战略风险、管理务必风险、治理系统风险。这些理论结果的立场主要表现在三个方面：一是认为企业管理本身就是一种风险管理行为；二是内部控制工作的目的为风险管理；三是风险评估对象、结果存在一定的独立性。基于国内目前已有的研究结果，可将学术界对现代内部审计的风险管理的研究总结如下。

一是企业经营风险就是企业的全面风险，现代内部审计的风险管理本身涵盖了企业经营战略层面上的内容，这和我国现行的《ISO 31000 风险管理— —原则与指南》《中央企业全面风险管理指引》《GB/T 24353－2009 风险管理———原则与实施指南》所述内容一致。二是企业治理系统风险本质上就是企业全面风险，企业内部控制主要针对企业的中层、一线工作人员，根据目前已经成熟的内部控制理论，只要是管理措施，就需要落实内部控制。一般而言，社会企业的内部管理若是涉及到企业的决策层、领导层，那么行为就可大致确定为企业治理，但事实上，企业治理、企业管理在企业管理实务中的界限极为模糊，但若是将企业治理的理念进行延伸，企业治理本质上而言仍旧是对企业的管理行为，所以企业管理也就是风险管理。因此，根据这两个方面的分析，现代内部审计中的“风险”也就是企业的“全面风险”，由此能够确定现代内部审计的风险管理控制的具体职责，即“针对企业进行全方位的风险评估，针对企业管理目前存在的重大缺陷，制定完善的审计方法并落实。”

二、风险管理控制和传统内部审计的差异

（一）工作侧重不同

传统的内部审计工作侧重在于对企业运作过程中发生的事件、行为进行审查，找到企业在内部控制方面存在的缺陷，然后决定是否需要对内部控制体系进行完善、约束、调整。而现代内部审计的风险管理控制，需要综合考虑到企业的战略经营，对于影响企业运作的所有风险因子进行有效识别，在此基础上分配审计资源，协助企业规避风险并实现发展目标。

（二）工作深度不同

传统的企业内部审计工作，往往是根据企业的经营历史、经营活动对企业进行评价，关注企业在经营过程中所发生的行为，在审计的过程中，审计工作人员没有全方位考虑到企业的经营成果、战略发展规划等。而现代内部审计的风险管理控制，倡导审计工作人员综合考虑到企业的战略发展决策、经营方式，审计双方能够根据风险控制需求通力合作，找到当前企业经营发展风险所在。

（三）工作广度不同

现代内部审计的风险管理控制，会涉及到企业所有的增值业务，将内部审计工作延伸至企业治理、企业全面管理，比传统的内部审计工作涉及到的内容更加广泛。并且，现代内部审计的风险管理控制更注重于“风险的揭示、风险的评估”，从单纯的控制风险，转变为全方位的“联合风险评估”，评估逻辑点从经营风险出发，且表现出突出的结构化特征。

三、现代内部审计的风险管理控制方法

（一）深刻认识内部风险特征，树立内部风险感危机感

只有企业内部对于“风险”有辩证的认识，才能够发现在企业内部存在何种风险，并有效的界定风险性质。一般而言，现代内部审计的风险管理主要表现出以下特征。一是企业风险表现出一定的普遍性，风险不仅仅存在于某项业务上，一般还能够表现在各个职能部门、各个业务环节、各个管理层次。二是企业内部风险具有多元化特征，通常表现为多种形式。三是企业风险表现出内隐的可变性，一般情况下，企业内部风险有可能转化为另一种风险或者多种风险。四是企业内部风险多为突发风险，我国目前进入了“新常态”发展阶段，外部市场的变化越来越难以预测，企业可能会遭遇突如其来的金融风险。五是企业内部风险表现出隐蔽性特征，一般情况下，外部的风险可通过一定措施感知，但内部风险却较为隐蔽，因企业本身是运作在一定制度框架以及工作体系下的，想要通过既有的工作模式来揭示企业管理目前存在的问题存在较大难度。六是企业内部风险常受到多种因素同时影响，以一般涉外企业为例，企业风险不仅仅会受到企业管理制度、管理行为、决策、战略规划影响，外汇汇率变化、国际形势、贸易发展、政治、战争等均会对风险构成影响，部分风险也是在多种因素交织下产生的。七是风险本身有着突出的可控性，在合理调控下，以及全面的预测、分析下，采取有针对性的措施就能够让企业规避风险。现代内部审计的风险管理控制，应对风险的特征有足够认识，如此才能够强化对风险的识别能力，并提高对风险的控制效率。

（二）透彻分析企业风险成因，确定具体风险控制方法

风险表现出多元化、多变等特性，风险的表现形式和造成的影响往往存在一定差异，为提高风险控制有效性，应对风险的类别进行确认，并从中辨识出风险的客观性质，以确定当前影响企业发展的主要风险、派生风险等。国内外当前针对现代内部审计的风险管理控制有着丰富研究，学者们提出了多样化的风险分类模式。一是企业外部经营风险。政策法规变动、金融市场波动、竞争对手发展、企业种类变动、特大灾害、股东关系变动、资金调动不合理等。二是业务风险。产品服务缺陷、产品开发能力不足、资产折旧、材料供应商倒闭、从业人员资质不合格、违反法律法规、生产能力下降、生产效率下降、经营失败、安全管理缺位、顾客要求变化等。三是职权风险。业绩评价不合理、沟通方式不合理、权责不清晰等。四是技术风险。信息利用不充分、信息来源不可靠、信息内容不完整等。五是诚信风险。从业人员不诚信、社会舆论约束、违规行为、违法行为等。六是财务风险。决策不合理、担保责任、债务过期履行、债券过期履行、价格变动、现金流停滞、投资价值下降、金融商品贬值、汇率变动、外汇交易失控、税务信息不全、预算控制缺位、预算执行违规、会计信息失真等。七是战略风险。产品生命周期缩短、组织结构失效、经营过程效果下降、经营资源不合理分配、企业价值下降、外部环境判断错误等。

现代内部审计的风险管理控制一般要从宏观层面上对企业的经营状态进行分析，判断企业经营、管理实际情况和战略发展规划存在的差异，形成差异化信息，从宏观差异来判断差异成因，确定导致差异的具体部门，再去判断风险的类型以及性质，应评价风险是战略风险、技术风险、财务风险还是业务风险，从外部到内部，揭示出风险相关因素以及派生风险，制定相应的控制管理措施，并为此后企业现代内部审计的风险管理控制奠定基础。

（三）内部审计工作注意配合，实现企业综合风险管理

根据The Committee of Sponsoring Organizations of the Tread way Commission 管理框架，国内部分企业以及会计公司，逐步完善了基于“Enterprise Wide Risk Management”的管理模式，该管理模式要求内部审计工作打破企业内部各个部门的职能隔离，实现全层次、全体、全员的风险控制，在现代内部审计的风险管理控制实践方面，我国有相当一部分大型集团企业、中型企业构建出了层次化的现代内部审计的风险管理控制组织，具体表现为以下几点。一是由企业领导、高层组建企业风险控制委员会，实现针对现代内部审计的风险管理控制的决策控制。二是委员会下部设置专职风险监督管理部门，通过专项审计、常规审计来实现对企业风险的有效评估以及对各个业务部门风险的有效审查，定期评估企业风险状态，揭示相关风险内容，并提出改善企业管理工作的建议以及意见。三是各个业务部门、管理部门承担具体的风险控制职能，直接实现风险监控、风险控制措施落实。

（四）根据需求开展风险控制，提高风险控制工作效果

进入21 世纪，我国各企业就已经相继开始推动风险控制工作，现代内部审计的风险管理控制需要和企业的经营管理实现有机结合，在企业运作过程中，充分发挥该项功能的监督功能、导向功能、控制功能，确定各层级控制风险的具体目标、工作内容，在此基础上广泛搜集相关的决策信息、风险情报，根据项目风险作出完善的评价，确定控制风险的策略以及方法，考虑到规避风险策略、接受风险调控策略、风险转移策略，建议采用“PDCA”循环管理模式，对各个层次依次进行审计。在这个过程中，要确保现代内部审计风险管理控制的有效性，就应该根据企业的发展需求来开展风险控制，首要任务是保证风险控制、内部审计在企业内部的绝对权威、绝对自主，相关工作应该直接服务于决策层，不受企业其他职能部门、中层管理者所影响。

（五）实现全过程的风险控制，真正消除风险隐患要素

风险控制的最终目的是消除风险，保证企业的稳定发展，所以该项工作切忌“虎头蛇尾”，而是应该根据实际情况，循序推进工作。这里以一般性投资项目的风险审计为例，对全过程风险控制进行详尽论述。一般性投资项目在项目立项前，就应该根据实际情况对项目相关风险进行全面预测，起到防范于未然的作用，风险预测方法主要为现金流量预测法、货币时间价值推算法，同时总结近几年相似投资项目的效益以及变动，利用内涵报酬率法对投资效益进行大致估算，并得出相应的标准差、利润期望值。在项目立项后，对投资的实际情况进行监督、控制，计算出相应的实时风险，保证决策层有关领导能够及时掌握投资风险收益、风险情况。项目完成后应及时进行风险评估，在总结项目投资风险控制的基础上，确定具体的方式方法，从中归纳经验教训，找到优化风险控制措施的关键要素。另外，若是在项目开展的过程中出现风险，并采取了干预控制措施，则应该对风险的控制情况进行全过程监督，并综合分析影响风险的内部、外部因素，判断风险控制的有效性。

（六）创建良好内部审计环境，奠定风险控制工作基础

当前，应该基于《审计署关于内部审计工作规定》，在企业内部完善相应的规章制度，确定内部审计、风险控制在企业管理中的权威地位，引起企业内部工作人员的高度重视，应将基础性措施的强化作为主要任务，完善相关制度，规定具体的审计工作行为，督促独立审计部门承担风险控制职责。另外，要构建起一支高素质的审计队伍、内部风险控制队伍，现如今各大企业内部审计工作人员前身大多为财务工作人员，此类人员虽然熟悉企业内部财务管理方法，但是却缺少对统计学、金融学、法律相关知识内容的认识，对企业的业务活动也缺少足够了解。因此，应该根据企业经营管理实际情况，根据企业的战略发展规划，制定出长期、短期的培训教育计划，提高工作人员能力以及素质，让内部审计工作能够适应企业发展需要。

四、结语

综上所述，对于现代企业发展而言，内部审计、风险控制有着极其重要的作用，当下应该根据风险导向内部审计累积的经验以及教训，立足于我国现行的规范、准则以及学术理论研究成果，深刻认识到风险的特征、类型，从多个方面采取风险控制、内部审计对策，以消除影响企业发展的风险因素，为现代企业发展保驾护航。