对内部审计参与企业风险管理的探讨

刘益男

（国铁集团北京审计特派办 代理高级审计师/高级会计师、审计助理，北京 100055）

面对激烈的国内外市场竞争，尤其是新冠疫情对产业链和供应链造成的影响，企业面临的各种风险与日俱增。如何加强风险管理并有效防范化解风险，成为企业实现高质量发展所必须面对和解决的难点问题。外部审计并不能满足企业发展和规避风险的客观要求，而内部审计依托职业特性和贴近企业的优势，以合理方式积极参与企业风险管理，对防范化解企业整体风险与促进企业健康发展具有重要的现实意义。

1 企业风险管理和内部审计

企业风险管理，是对影响发展目标实现的各种不确定性事件进行识别与评估，并采取应对措施将其影响控制在可接受范围内的过程。内部审计参与风险管理，主要是采用系统化、规范化的方法，对企业风险管理过程的适当性和有效性进行审查和评价，一般包括评估风险识别的充分性、评价已有风险衡量的恰当性、评估风险应对和评价风险监控四个方面，是在一般部门所进行的风险管理基础上的再管理。内部审计与风险管理相互依存和相互作用，最终目标都是防范和控制风险，促进企业实现发展战略和目标。

2 内部审计参与风险管理的必然性

《审计署关于内部审计工作的规定》（审计署令第11 号）将风险管理直接在审计定义中予以体现，职责中也包含了对风险管理情况进行审计的内容；《内部审计具体准则第16 号——风险管理审计》中更是强调了内部审计人员对风险管理进行审查和评价的职责。一方面，在现代企业制度下，内部审计功能作用需要实现新的拓展，由传统的合规性审计，向以合规性审计为基础的风险管理和价值管理审计转型。另一方面，从本质上讲，内部审计代表一种更高层次的控制与风险防范，是对风险管理的检查和再控制，其不仅直接以风险管理作为检查和评价的对象，更是作为风险管理的最后一道防线，通过确认和咨询活动来完善和优化风险管理。同时，风险管理是企业治理的核心，内部审计是企业治理的监督主体，两者的有机融合，能促进企业治理、风险管理和内部控制之间的协同与整合。合理参与企业风险管理，是现代企业内部审计转型发展的重要方向，也是企业提高经营管理效率和健康发展的必然选择。

3 内部审计参与风险管理的难点

3.1 对风险管理整体认识不足，相关理念实践落地难

一方面，企业管理层通常将关注点放在追求利润或相关考核目标的完成上，对自身发展所面临的各种不确定因素以及完全市场条件下的资金、法律等风险认识不足，如因国际贸易争端和疫情影响，出口导向型企业未及时调整策略加大国内市场开发力度，容易产生产品积压、资金链断裂等风险问题；也有个别企业为完成考核目标而忽视风险甚至违规开展金融衍生品等高风险业务，导致产生诸如严重产品质量缺陷或大额资金损失等风险[1]。另一方面，企业内部审计理念相对滞后，风险管理参与度低。企业内部审计通常将经营业绩及经济责任审计作为基本工作内容，并捆绑或穿插不同的专项审计，其间虽涉及了内部控制等部分风险管理内容，但限于审计理念、时间、资源和方法等主客观条件，内部审计人员主要还是集中于尽快发现与报告问题，缺乏对企业风险的整体考虑与把握。

3.2 缺乏统一明晰的风险管理制度及评价标准

面对复杂多变的内外部环境，针对战略、经营和法律合规性等方面存在的风险，部分企业仍延续传统管理模式，未能结合新时代发展要求和企业实际情况，建立一套规范可行的风险管理制度及评价标准，风险管理内容、职责分工及管控要求等均不明确。在缺少强制性要求及统一规范的情况下，相关企业一般依据上级不同部门或系统文件要求，结合各自的生产经营特点制定相关内部控制管理制度，涉及风险管理的内容通常散见于不同文件制度之中，条块分割且不成体系，缺少整体规范和必要的衔接，进而也导致无法对风险管理形成有效的评价标准。审计评价对象的模糊以及评价标准的缺失，不利于审计人员对风险管理的健全性、有效性做出准确、规范的审计评价，其将目标多定位在查错与防弊上，无法对企业整体风险进行判断和评价。

3.3 风险管控机制不完善

一些企业对经营、法律等方面风险的信息收集、识别、监控、评估及应对处理等方面的管控机制并不健全，相关部门、人员职责不清，主动风险管理意识不强，往往将风险管理体系建设理解为整章建制，重视规章制度的有无，但对于是否执行以及执行效果缺乏必要的关注和闭环管理，从而导致不能及时识别并防范化解风险，而是在风险发生后才被动应对。同时，对于审计发现的已有或潜在风险，由于缺少有效的预警、管控措施和风险衡量标准、处理路径，导致企业往往不予重视，也不能提出有效的解决方案，以风险为导向的审计工作并不能有效开展。

3.4 审计技术与方法相对单一和滞后

目前，企业涉及风险管理的审计方法通常是制度基础审计，诸如大数据、云计算、人工智能等审计信息化应用新手段尚处在摸索阶段，对被审计对象的相关管理制度有很大的依赖。但制度本身是固定的，而每个企业面临的环境和情况却不尽相同，仅仅依靠制度基础审计，无法精准发现企业经营的症结以及舞弊现象，可能会使审计结论与实际情况不符，导致审计风险的同时，也达不到预警风险的目的[2]。同样，此种审计方法并不能发挥审计人员的主观能动性，不能及时识别企业重大风险，更不能及时为企业风险防范提出合理的建议。

3.5 内部审计人员结构不合理

以风险为导向的内部审计工作难度较大，对审计人员有着更高的执业要求，不仅需要具备财务知识，还需具备法律、业务、技术与管理等方面的知识。当前，许多企业内部审计人员多是财务出身，知识面比较单一，业财融合深度不够，在审计过程中，将大部分精力投入到检查财务数据是否合理合法上，审计对象主要集中在账证、账表、账账是否相符，难以从实际工作中发现企业管理和经营领域的深层次风险问题。

4 内部审计参与风险管理的举措

4.1 有效宣传引导，强化对内部审计参与风险管理的重视

一方面，作为风险管理的核心力量，企业管理层应加快转变管理理念，重视并积极推进风险管理工作，加强宣传引导，及时健全完善相关制度并确保落实到位。另一方面，企业各层级人员，应积极跟随并适应企业在风险管理等方面的转变，准确把握各自职责。尤其是审计人员，应积极转变审计理念，认真研究风险管理审计理论，创新并拓展审计思路与方法，结合工作实际，提高风险管理审计能力，不断提升内部审计价值。

4.2 健全风险管理制度和评价体系

一方面，企业应结合实际制定统一明晰的风险管理制度，区分风险类型、明确职责分工，并充分考虑发展环境变化，在不同阶段给予不同侧重。如针对总体风险管理，应明确职责分工，建立风险归类、识别、评估、预警及应急处置等一整套制度安排；针对具体的资金链、供应链风险，应明确账户开设、资金筹集、信用评价、供应主体多元化、针对性的应急处置方案等相关风险管理要求。同时，企业应根据不同类型及业务特点，设置评价重点与权重，制定科学统一的风险管理评价体系，提高加强风险管理的主动性，也便于内部审计人员更高效、更有针对性地开展企业风险管理审计。如交通运输企业可将运输安全风险、数据泄露风险、经营风险和廉政风险等内容作为评价重点；涉外企业可将信息技术安全、产业链安全与法律合规性风险等内容作为评价重点等。

4.3 建立健全风险管控机制

企业应从生产经营实际出发，结合管理架构和业务特性建立健全风险管控机制，既便于对已有或潜在风险的有效应对，也为风险管理审计提供评价对象和依据。如铁路运输企业可结合机务、车务、工务等系统业务特点建立；非运输企业可按商贸物流、互联网技术应用、工业制造等进行分类建立。在此过程中，需要管理层、业务、信息技术、法律及财务等相关部门的参与，一方面要明晰并把握企业关键领域和环节的风险点，并注意相关业务之间的风险关联和相互影响，提高风险管控机制的系统化；另一方面要建立风险衡量标准，细化预警和管控措施，提高风险处理的可操作性。同时要畅通风险反馈渠道，重视审计发现问题的整改，强化闭环管理，有效堵塞风险漏洞。

4.4 加强内部审计职能转变，灵活选择审计方式

内部审计的职能要从查错防弊型向管理服务型转变，从内部检查监督向分析评价转变，从事后审计向事前审计和事中审计转变，并依据实际情况灵活选择捆绑或专项审计方式开展风险管理审计。一是要对企业制度建设和内部控制的健全完善进行监督评价，结合审计过程中发现的问题或矛盾，发现制度制定或执行过程中的缺陷，堵塞风险管理漏洞。二是要明确审计关注重点，聚焦企业主责主业，强化对大额资金管控、“三重一大”事项、高风险金融业务、境外资产等关键点的审计监督[3]。三是要加强审前调查和审中沟通，创新审计理念，利用有效的审计方法，熟悉业财融合的过程和机理，掌握相关业务开展流程的关键环节和细节，尽可能发现其中的漏洞和风险点，并对此加以分析和验证。四是要充分利用审计管理信息系统、业务信息系统和电子表格等工具，结合审计思考与分析，通过大数据筛查和比对，或取得相关内外部技术支持，发现疑点和问题，并及时改进方法、总结经验，提升风险管理审计质量和效果，有效把控企业整体风险水平。

4.5 优化人员结构，注重知识能力的更新与储备

一是加强内部审计人员力量配备，合理均衡内部审计人员知识结构，优化信息技术、经济管理、工程技术等知识人员比重。二是加强培训创新，丰富培训内容。企业可将各层次（级）经验丰富的专业人员作为授课人员，对不同专业知识、生产业务流程、安全监管等方面进行专业讲解与知识传授，提升审计人员风险把控水平。将培训内容拓展到包括宏观政治经济、现代企业管理知识、国内外内部审计最新发展动态、政策法规变动以及信息技术在内部审计工作中的应用等各个方面，开拓视野并丰富其知识结构。三是加强企业间内部审计的交流参观，向其他企业借鉴在风险管理方面好的经验做法，并结合自身实际，健全完善相关审计流程，提升审计效果。

5 内部审计参与风险管理需要注意的问题

5.1 重视企业发展战略风险，增强风险管理与企业战略、目标的协同

企业进行风险管理的目的是为了实现企业的战略与目标。在进行风险管理审计时，一方面，要注意企业发展战略相关风险，是否与社会经济发展趋势、国家大政方针相适应，如高污染、高能耗企业沿续传统发展战略、不注重节能减排带来的风险；房地产企业不断加大杠杆、继续盲目拿地的风险等。另一方面，要关注风险管理与个体战略及目标的一致性，更要关注与企业整体更高战略与目标的一致性，确保个体利益不能损害整体利益。同时，要围绕企业发展战略及目标的实现，重点关注风险管理制度的设计与执行效果是否与企业战略和目标一致，尤其是涉及资金、运营等关键业务领域制度设计与运行的有效性，及时发现存在的缺陷并整改，从而持续提升公司风险防范能力。

5.2 关注风险管理制度设计和方式的合理性

在部门设置上，要关注是否存在职能交叉、资源浪费、重复劳动的情况。在制度及管理方式上，应重点关注风险管理与企业活动的性质是否适当，是否存在内部控制设计缺失导致的企业管理风险，是否存在内部控制冗余影响企业的生产经营效率及效果的问题[4]。同时，审计过程中还要关注企业的风险管理是否依据内外部环境的变化而进行动态调整与优化。

5.3 保持独立性，适度把控风险

一是要注意与管理层就风险和薄弱环节进行讨论，如果管理层接受的风险水平高于内部审计认可的水平，且管理层不予整改，应向审计委员会、董事会等更高层级报告。二是要注意内部审计在企业风险管理过程中的角色和责任，只就企业风险管理过程的有效性提供确认服务，主要作为监督者的角色参与风险管理。三是注意风险管理超载问题。过分强调风险管理可能导致管理人员专注于风险管理流程，而忽略了实际的业务经营[5]。

6 结语

总之，在现代企业制度下，内部审计合理参与企业风险管理具有重要的现实意义。同时，作为一项新的探索，内部审计机构需要在后续工作中加强理论研究、总结得失，从而为企业防范降低风险提供有益的借鉴，促进企业健康可持续发展。