基于风险管理的内部审计业务探讨

周怡 重庆三峡水利电力（集团）股份有限公司

近年来，随着社会经济的飞速发展，全球经济一体化、信息化和数字化的步伐加快，公司所面临的内外部环境日益复杂，对经营决策的把握提出了更高要求，公司董事会、经理层愈发重视风险管理工作。作为服务于公司治理的内部审计，如何从自身角度介入风险管理，明确相关职能定位，并在具体审计业务流程中全线贯穿风险管理，进行价值保护和创造以实现组织目标，将在下面做出阐述和探讨。

一、对风险管理的两面认知

ISO31000国际风险管理标准将风险定义为“不确定性对目标的影响”，所以管理风险就是管理不确定性及其对组织目标产生影响。但传统的风险管理侧重价值保护，风险管理总是与防范和控制损失有关。而我们今天谈到的风险管理，是在不确定性中寻找和把握趋利避害的方式，这既包含了上面提到的传统价值保护，又包含如何更好的价值创造，趋利避害是同时进行、不可割裂的。所以，就组织目标而言，不是要消除不确定性，而是要利用不确定性。

《中央企业全面风险管理指引》也提及，企业把风险管理的各项要求融入企业管理和业务流程中，应注重防范和控制风险可能给企业造成的损失和危害，也应把机会风险视为企业的特殊资源，通过对其管理，为企业创造价值，促进经营目标实现。所以对风险的深刻认识和把握，可以为企业更好更快发展提供方向。

二、内部审计对于风险管理职能的定位

国际内部审计师协会（IIA）2001年在《内部审计实务标准》中对内部审计做出的新定义，以风险管理为基础和核心，是公司增加价值必不可少的环节。事实上，现代内部审计以风险管理过程为审计对象，将审计业务融入到公司风险管理框架下，是公司风险管理的第三道防线，对公司的风险管理全过程进行鉴定、评价，促进公司目标实现。

因内部审计在风险管理处于第三道防线的独特地位，准确定位其在风险管理工作中的职责和界限显得极为重要。结合国内外的实践，我们对内部审计职能在企业风险管理工作中的核心职能和合理职能进行分类探讨：

1.核心职能具体包括：对风险管理流程进行确认；对风险是否已经被恰当评估进行确认；评估风险管理的流程；评估对于关键风险的报告；审查对关键风险管理的情况。

2.合理职能具体包括：推动风险的识别和评估；指导和协助管理层如何应对风险；协作进行企业风险管理活动；汇总各类风险的报告；支持建立企业风险管理框架；保持和发展企业风险管理框架；协助董事会建立风险管理战略。

三、以风险管理为基础开展内部审计业务

（一）内部审计组织推动企业建立系统性的风险数据库，并参与重大项目的风险研判，为实现风险管理目标打下基础

1.内部审计推动企业风险数据库的建立与动态调整

在企业没有设置风险管理委员会和专门风控部门的前提下，内部审计结合建立健全内控体系和加强风险防控等要求，组织推动企业各层级进行外部环境，业务及管理各版块的风险识别、分析与评估，支持建立风险管理框架，并最终形成相对系统完善的风险数据库，有利于企业日常管理、防控及应对各类风险。同时，内部审计将重点评价相关重大风险的识别、评估和应对措施是否充分、合理及有效，从风险管理的第三道防线角度提出独立意见。年底，内部审计还将监督各层级对风险数据库实施动态更新与调整，确保对各类风险的认知始终与企业外部环境变化和自身经营管理实际相适应匹配。

2.参与企业组织的专题项目风险研判工作，将风险监督端口前移

在企业面临较大发展压力时，往往采取相对激进的发展战略和投融资策略，对项目潜在风险与潜在收益需要做出权衡与取舍。内部审计主动参与企业组织的项目前期论证和风险研判工作，结合自身专业知识和经验背景，运用风险管理工具（如风险评估框架、风险数据库等），既要充分揭示潜在风险，也要识别和把握潜在机会，在事前发表独立的咨询意见，帮助企业更好地实现价值保护和价值创造。

（二）内部审计业务流程的具体开展

以风险管理为基础的内部审计业务流程，源头从年度审计计划开始，这一阶段主要是围绕公司年度目标、经营重心和管控风险，确定本年度拟实施的各项审计任务。每项审计任务在具体执行时，通常包括业务计划、业务分析、评估风险和控制、测试有效性、报告五个阶段。

1.在业务计划阶段，根据进一步的研究结果和相关信息，对年度计划期间识别的风险进行分解，将风险类别转换为实际风险事件。

2.开展业务分析，主要是对业务流程、子流程和系统进行足够了解，以便能够识别风险以及减轻这些风险的相应控制措施。

3.评估风险和控制，是整个以风险管理为基础的内部审计业务流程的关键点，主要是运用风险控制矩阵这一工具，具体步骤为：（1）将关键风险与当前控制相匹配，作为风险评估框架设计的基础。（2）风险控制矩阵从关键风险出发，通过风险识别、固有风险评估和风险应对等，从风险发生的可能性和影响性两个方面进行评估（高、中、低），识别出那些被评估为具有高或中等固有风险的风险嵌入到风险控制矩阵的“关键风险”中。（3）对控制设计的三个方面进行评价，即是否符合目标、控制强度是否达到、控制措施是否充分。

4.在对控制设计评估后，进行控制执行的有效性测试，制定测试方案并进行抽样检查，根据控制有效性评估风险暴露水平，得出控制是否有效的结论。

5.报告阶段使用内部审计自己的重要性准则，以及可获得的管理层风险偏好，对发现的问题进行评级和报告。

四、结语

综上所述，风险管理贯穿于整个内部审计业务流程的始终。在当前时代背景下，内部审计应该充分认识风险的两面性，既要做好价值保护，更要实现价值创造。同时，准确界定内部审计在风险管理中的职能定位，积极发挥风险管理的第三道防线作用，做到“不越位不缺位不错位”；并不断强化审计业务流程全线贯穿风险管理理念和运用风险分析工具，全面提高审计工作成效。