风险管理视角下企业内部审计与控制体系关系研究

杨迎春

（江苏煤炭地质局，江苏 南京 210046）

现阶段，我国经济不断发展，许多企业的规模也越来越大，进而带来企业管理难度也大大增加，企业为了进行更长远的发展，通常需要采取一定的措施进行企业内部控制与管理，这就是企业早期的内部控制。但是现阶段，许多已经初具规模的企业都已经开始实施全面风险管理，并慢慢建立了本企业自己的内控体系，并在进一步的风险控制工作中取得了一定的成效，但是就风控、合规管理体系本身而言，企业在实际运行中还面临着诸如风控、合规管理工作流于形式，落实较难，管理难度难、成本高等一系列问题，如何解决风险管理、合规、内控体系落实不到位等问题，成为许多企业现阶段风险管理的难点。

一、企业内部控制与内部审计的相关概念

企业内部审计与控制体系是企业进行管理的重要组成部分，在企业风险管理视角下，两者之间既是相互联系可以共同促进现代企业管理的关系，又是相互独立和相互制约的关系，内部审计属于内部控制的范畴，同时内部审计又可以通过相关的审计活动促进企业内部控制，从而帮助企业将经营中的风险降低，达到对企业的控制目标。

（一）企业内部审计

根据我国国情，审计体系中的重要组成部分就是企业的内部审计。企业的内审部门不同于企业的其他部门，其具有一定的独立性。一方面，企业的内部审计工作需要在企业董事会或主要负责人的领导下开展，对企业内部各项经济活动进行审计与再监督。另一方面，内部审计工作还要以国家的法律法规、方针政策为依据，维护出资人和国家、组织的利益，遵守内部审计人员的职业道德，以确保企业各项经营活动的合法、合规性。从中看出，企业的内部审计工作具有向内的内向性，同时有具有向外的超脱性。通过企业的内部审计，可以对企业的财务收支、经营活动、经济效益以及内部控制等方面有针对性地进行监督评价，以此深入了解企业的经营现状与经营动态情况，帮助企业进行更好地管理，实现企业的长远发展。

（二）企业内部控制

在企业的经营管理过程中，为了有效地进行企业管理，促进企业发展，企业管理层和员工实施的是企业的内部控制，通过有效的企业内部控制，可以对企业进行有效管理，通过有效管理，可以使企业在合法合规的前提下，最大程度提高经营效果，使企业利润最大化，并且能够持续发展壮大。企业的内部控制体现在企业经营管理活动的方方面面，企业经营离不开企业的内部控制管理工作，通过内部控制，企业可以合理保证资产的完整性以及相关会计资料的真实性与可靠性，促进企业财务工作的正常运转；通过内部控制，企业可以合理保证日常经营活动的高效与经济性，使企业的各项经营管理活动处于发展的正轨；通过内部控制，企业可以保证各项经济决策的有序进行，提高企业的长远发展能力。如果一个企业没有建立完善的内部控制体系，就很难做到扩大生产经营规模，也就很难做到持续、稳定的发展，就更谈不上战略目标的实现。

（三）企业内部控制和内部审计的相互关系

第一，互为促进关系。企业进行内部控制是为了提高企业的运营效果，企业进行内部审计是为企业管理层提供咨询服务，按照一定的评价标准来评价企业的内部控制制度，是对内控制度的再监督在评价，以此促进企业内部控制体系再完善。二者的最终目的都是为了促进企业管理水平的提高，确保企业得到良好运转与长远发展。

第二，相互作用关系。企业的内部审计工作需要内部控制基础，需要健全的内部控制做支撑，否则，企业的内部审计工作就无法顺利开展，企业相关管理人员的责任就会混乱，企业的财务信息也会出现不真实的风险，企业的内部审计工作也会随之陷入困境，加大企业内部审计工作的风险，影响企业内部审计工作质量。

第三，互为一体的关系。在企业日常工作中，在内部控制系统中，企业内部审计工作属于环境控制因素范围。根据内部审计的工作内容，我们可知，内部审计的实施过程就是一种企业管理控制，同时根据严格执行内部审计流程，企业内部的规定和要求得以实现，并且可以在企业中达到监督内部控制政策和程序有效实施的效果，根据实施结果，可以在为企业管理者提供建设性意见，达到更好的管理效果。

二、企业内部审计在风管管理视角下的相关问题

企业风险管理就是指企业在生产经营过程中，对各种影响企业经营发展，阻碍企业实现经营目标的各种具有不确定风险的识别与评估，并采取一定的积极措施确保将其影响降到最低，以此促进企业实现各项经营目标。

（一）企业风险管理中内部审计工作的现状与不足

第一，企业内部审计工作仍然偏向财务审计层面。根据相关的数据表明，现阶段，我国许多企业的内部审计工作大多还是以财务审计为主要内容，并且只有不到十分之一的企业开展过风险管理审计方面的工作，大部分企业对风险管理的相关内容重视不足，对将风险管理纳入企业常规审计内容较少。

第二，内部审计部门风险控制的独立性不足。因企业内部审计部门仍属于企业内部的职能部门，接受企业内部相关管理层的管理和领导，缺乏真正独立运行的环境基础，并不能完全充分、客观、独立的发表风险控制意见，如何兼顾风险控制和经营发展的关系还有待于进一步落实和优化。

第三，内部审计人员结构单一。我国大部分企业的内部审计人员，其专业背景多是会计与审计方面，这些人员对企业风险管理、企业战略、市场营销以及信息化管理方面的知识了解较少，企业风险管理人才缺乏，往往无法兼顾企业风险方面的审计工作，实现对企业风险的内部控制。

（二）风险视角下企业进行内部审计应该掌握的基本原则

第一，内部审计业务应遵循上级业务部门的管理规定。基于风险管理视角，企业内部的审计活动以及内部审计体系的构建要符合国家相关的法律规定与业务监管要求，工作范围应涵盖企业绝大部分的经营管理活动，并且要对企业的重点业务以及具有较高风险的活动进行重点控制。中央企业要围绕主责主业，加强对重点业务领域、重要岗位和关键环节内控控制审计，进一步整合、优化和合理配置审计资源，不断提供内控管理水平和风险防控能力。

第二，强化内部审计的组织领导。在企业实施内部审计中，企业董事会、党委会、企业主要负责人负责的内部审计工作，内部审计部门可直接向企业董事会、党委会汇报，董事会设立审计与风险管控委员会，负责对审计业务的管理和指导，审计部门承担审计监督、内控体系建设与风险监督职责，不断提高内部审计工作的独立性。

第三，提升内部审计队伍职业化、专业化。在企业的实际工作中，为了提升内部审计队伍的职业化，专业化，应该在企业中选拔专业技能扎实，业务知识全面的优秀人才加入。通过人才的补充，可以提升整体团队的素质，并且通过人才选拔，可以实现多部门融合交流，在实际工作中可以增加内部审计人员的职业发展规划，并且使部门之间沟通趋于融洽，减少内耗，最终提升企业管理效果。多部门协同配合，可以有效提升监督效果，使监督合力更大，进而企业风险防控能力逐步提高。

第四，内部审计业务要注重理论与实践相结合，并持续优化。在风险管理视角下，企业的内部审计业务开展要与企业的实际情况相结合，审计建议要具有针对性、可操作性和效益性，不断增强审计成果运用。并坚持内部审计工作体系的不断创新，推动企业实现更好内部管理，实现企业经济效益增长。

三、风险管理视角下企业控制体系

现阶段，全球经济一体化迅速发展，企业所面临的外部环境日趋复杂，企业风险控制成为企业必须要加强和重视的环节。为了促进社会主义市场经济的发展，深入贯彻新时代中国特色主义思想和党的十九大精神，完善企业风险防控机制，国资监管机构在近年来频发关于“风控”“合规”等方面的文件，根据国资委发布的实施意见，通过提出强内控、防风险、促合规的审计管控目标，为企业在实际内部审计工作中的制度制定，提供了指导意见，并且能够提升企业对于风险管理的认识。根据我国国情，国有企业内部的风险管理、企业内部控制、合法合规，内部审计融合，是重中之重，充分体现了在对企业风险管理上我国的重视程度。

（一）风险视角下企业内部控制体系存在的问题

第一，风险管理意识缺乏。自2006年6月，国资委印发了《中央企业全面风险管理指引》，要求中央企业根据自身实际情况贯彻执行，以增强企业竞争力，促进企业持续、健康、稳定发展。2019年，党中央、国务院做出关于防范化解重大风险和推动高质量发展的决策部署。但现阶段，我国仍有企业对内部风险管理的重视程度不够，在企业的日常生产经营的过程中缺乏全局思想，对风险管理的认知程度不高，造成许多企业在面对企业风险时往往没有应变的能力，无法及时地对出现的风险进行很好的控制。还有企业认为，企业所发生的风险只是出于偶然，基于这种观念下，这些企业对风险的发生并不会进行自我反省，更不会健全风险管理机制。还有企业认为，只有经营效益不佳、风险事件发生次数较多的企业才需要进行风险管理，企业日常经营中加强风险管理其实是一种浪费。以上几种思想对于企业的长远发展而言是十分危险的，只能使这些企业缺乏风险防范与治理能力，当这些企业再次面对风险时，又会处于被动地位，从而容易造成公司更大的经济损失。

第二，企业内部控制水平低下。企业内部风险管理的质量与效果与企业的内部控制水平有着最直接的关系。现阶段，我国企业内部控制体系建设的还不健全，企业整体内部控制水平较低。现阶段，我国正处于经济高速发展的阶段，市场经济环境受到全球化的影响，变得日趋复杂，我国也正处于经济发展与变革当中，在这种大的时代背景下，许多企业的发展也就不是一帆风顺。基于企业日趋复杂的发展环境，企业人员的流动性较大，内部控制环境复杂，许多企业虽然制定了较为完善的内部管理制度，但是其实际的执行力度欠佳，执行效果不好。

第三，企业风险管理机制不健全。现阶段，我国许多企业对风险管理的认知比较片面，风险管理意识不强，风险防范机制缺失。有的企业虽然建立了风险管理机制，但是风险管理机制的实际执行效果不佳，企业风险管理机制效果不好。有的企业虽然建立了风险管理机制，但这些企业对风险管理的重视程度不高，出现风险管理部门与其他部门的职能与责任常常混为一谈。还有的虽然专门设置了风险管理部门，但是却没有配备专门的风险管理人员，相关风控职责责任划分十分繁杂混乱。企业风险管理制度也不规范，制度规定相互矛盾，一旦出现风险，无法或很难落实具体责任人。其次，还有的企业根本就没有建立风险管理部门，更没有完善的企业风险管理机制。同时，企业风险管理信息化的程度不高，这些都直接影响了企业风险管理效率与效果。

（二）企业内部控制体系在风险管理视角下的有效建立途径

第一，建立健全内控体系。企业应当以强化其内部控制系统，进一步完善相关内部管理制度，建立有效的监督评价体系，以此全面建立以风险管理为导向、以合规管理为重点的管控目标，全面、规范建立内部控制体系。

第二，将内控体系进行有效落实。现阶段，想要将内控体系进行更好地执行，应当加强重点业务领域、重点环节和关键岗位的人员管控，优化与业务流程的有机结合，明确职责权限，加强重要岗位授权管理和权力制衡，以此促进企业形成相互监督、相互制约的工作机制，做到“强监管、严问责”，切实全面提升内控执行有效性。

第三，提高企业内部控制信息化的有力约束。企业应当将信息化建设作为促进企业内控体系的重要手段，以此推动企业内控系统的信息化进行，实现企业的各项管理经营决策和执行活动的可控性、可追溯、可检查，进而降低人为违规操纵因素。企业通过信息化系统，将企业内控控制要求进行编程固化，通过信息化形式实时反馈各个管控环节的内控执行情况，及时获取风险信息，实时予以分析预警，为决策层提供风险控制依据。

第四，突出“强监管、严问责”。在企业内部审计中，一个重要有力的控制手段就是监督问责制度。以此不断增加企业监督评价力度，实现以查促改的责任动态跟踪落实制度，将追责工作有效落实，不断建立健全企业完善的内部控制体系。

四、结束语

总而言之，现代企业需要面临复杂的市场环境，提高企业风险防范意识与抗风险能力，尤其是对于央企，更加需要结合国资监管的相关要求，加强内部控制的建设，与审计监督部门进行协同配合，才能更好地完善企业内部控制体系，促进企业的长远发展。