开展风险管理审计助推国有企业安全发展研究

梁家钦 王小亮 陈春燕 覃芳梅 田春雷 欧阳湘萍 吴冰

[摘要]随着社会的发展，外部环境不断发生变化，企业面临的风险日益增多。BT集团主动适应新发展阶段背景下企业安全发展需求，适时探索开展风险管理审计工作，助推企业安全发展取得实效。本文对BT集团风险管理审计工作进行分析、总结、经验推广，为保障国有企业在新形势下安全发展提供借鉴。

[关键词]风险管理审计   国有企业   安全发展研究

党的十九大报告提出“贯彻新发展理念，建设现代化经济体系”，并指出“我国经济已由高速增长阶段转向高质量发展阶段”，明确新发展阶段国有企业的定位与要求，要求统筹发展和安全，防范化解重大风险，风险管理被提升到新的高度。BT集团积极响应党的号召，大力打造风险管理体系，积极防范风险。为确保风险管理的有效性，BT集团于2019年推行风险管理审计，深挖问题和风险根源，促进企业健全风险管理体系，提升风险管理策略，助力企业安全发展。

一、企业风险管理审计与安全发展的关系

（一）企业风险管理审计的概念

国际内部审计师协会（IIA）在1999年6月提出内部审计的重心应转移到风险管理和公司治理层面，并于2001年在审计职能要求中加入风险管理，提出内部审计部门应该采用科学、合理的方法，优化风险管理体系，提高企业治理水准，帮助企业实现目标的新理念。2004年，美国反虚假财务报告委员会（COSO）出台的《企业风险管理——整合框架》提出，内部审计人员通过对风险管理过程的充分性和有效性进行检查、评估、报告，提出建议帮助企业的董事会、审计委员会、管理层等履行其职责。此后众多学者对风险管理审计进行了深入探讨。孟焰，潘秀丽（2006）提出风险管理审计的内审部门、人员审查和评价企业风险管理各环节的适当性、有效性，并提出改进建议。胡静波，李卜（2012）指出，企业的经营环境日益复杂，面临的风险不断增多，内部审计对风险管理工作评价和监督，在一定程度上可以提升企业风险管理的有效性。魏世豪（2020）认为，风险管理审计工作应分为两部分，审查组织风险管理架构的健全性和完整性及审查风险管理体系运行的有效性。李竹青等（2021）在对国网安徽电力有限公司进行研究后认为，风险管理审计是风险管理的有机组成，可以为企业带来直接与间接价值增值。时至今日，风险管理审计被定义为内审部门在其他部门风险管理基础上对企业风险管理的适当性和有效性进行审查与评价，并提出改进建议的活动。本文通过对相关文献的梳理，发现风险管理审计理论方面研究相对成熟，但实践方面研究比较少。

（二）企业风险管理审计的功能

企业风险管理审计是内审部门对企业风险管理状况进行的审查与评价，是对企业风险管理体系的查缺补漏，是企业风险管理过程的必要监督。内审部门从风险识别、风险评估、风险应对等三方面着手开展工作，包括评估风险识别的充分性、风险衡量的准确性、风险防范措施的恰当性，并提出改进措施，最终出具专业的风险管理审计报告，为企业完善风险管理体系提供依据，增强企业防范风险能力。此外，开展风险管理审计能够关注风险发生的概率和结果，对企业目标实现产生重要影响，为管理层决策提供依据，有利于企业有效地控制和规避各种风险，减少损失，增加潜在收益，更好地实现企业经营目标。

（三）企业风险管理审计对安全发展的作用与意义

“十四五”规划和2035年远景目标纲要提出“统筹发展和安全 建设更高水平的平安中国”，进一步凸显了安全的重要性，风险管理审计在企业管理中的作用也愈加突出。企业内审部门通过开展风险管理审计，对企业风险管理的适当性、有效性进行审查和评价，把握高质量发展过程中的变化与趋势，关注重点领域和关键环节，强化风险研判，准确识变，客观揭示关键问题和突出矛盾，加强经济安全风险预警并提出对策，帮助企业改善全面风险管理体系建设，健全企业安全审查和监管制度，严守不发生重大风险的安全底线。因此，风险管理审计能充分发挥促规范、强内控、防风险、提效益的内部审计增值作用，促进贯彻落实企业高质量发展目标，实现企业安全发展。

二、风险管理审计体系的构建思路及内涵

风险管理审计涵盖企业所有组织结构，包括决策层、管理层、业务层，覆盖企业所有业务流程与事项，涉及内外部诸多风险因素，是全方位的综合性审计。企业风险信息范围广、数量多，收集难度大，需要充分利用企业信息化管理平台优势，强化部门工作协同，提升风险管理审计效率和效果。此外，风险管理信息类别多，单一评价标准已无法满足审计需求，需要创建评价模型对企业风险管理进行多维度评价。BT集团创新审计方式方法，将风险分析、风险量化和应用计算机审计相融合，在审计计划、审计实施、审计报告三个阶段中引入风险管理成熟度模型，使之贯穿于整个风险管理审计过程，指引开展风险识别、风险分析、分析评价等风险管理审计工作，形成风险管理审计体系（如图1所示）。同时制定“534”审计标准，即审计计划阶段“5到位”、审计实施阶段“3必做”和审计报告阶段的“4确保”，构建高效风险管理审计实施机制，确保风险管理审计成效。

企业风险管理成熟度模型，是BT集团内审部门在实践研究的基础上建立的三维模型（如图2所示）。第一维是关键风险因素，为国资委风险管理框架下风险分类，包括战略风险、财务风险、市场风险、运营风险、法律风险五个一级风险及涵盖的二、三级风险（风险事件）;第二维是风险能力测评标准，包括规则、流程、执行、改进四重标准;第三维是成熟度等级，包括混乱级、基本级、可定义级、标准级四个等级，其中成熟度≤45%为较差，对应企业风险管理层级为混乱级;45%<成熟度≤70%为一般，对应企业风险管理层级为基本级;70%<成熟度≤85%为优秀，对应企业风险管理层级为可定义级;成熟度>85%为卓越，对应企业风险管理层级为标准级。在实际运用中，审计人员需将分值较低事项作为缺陷事项列入检查清单，同時将风险分类对应的各流程风险事件按风险测评标准进行评估，在评估过程中识别企业重大缺陷，查找重大缺陷事项，最终对企业风险管理能力成熟度进行综合评价。为获取风险管理数据，需根据企业风险管理成熟度模型设定标准化企业管理基础信息表，按四维测评标准对流程事件的缺陷进行识别，测评出企业风险管理成熟度初评结果，再通过审计实施任务清单对照排查，修正风险管理成熟度结果，并进行风险管理综合评价，形成最终的风险管理审计报告。

三、BT集团风险管理审计的实践总结

BT集团内审部门通过不断地研究实践，优化升级了风险管理审计流程。在审计计划阶段，创新审前调查方式，依托风险管理成熟度初测结果，制定更符合风险管理审计特点的审计实施方案，通过落实“5到位”要求，为风险管理审计开篇布局打好基础;在审计实施阶段，结合审计实施任务清单对照排查，执行“3必做”标准，强化风险分析，并实行风险事项A、B库分类管理，优化资源配置;在审计报告阶段，通过缺陷清单汇总表，修正企业风险管理成熟度初评结果，以“4确保”渗透风险管理审计报告，确保报告质量。具体做法如下：

（一）审计计划阶段

1.立足企业整体发展规划统筹制定审计计划。准确把握企业“十四五”规划目标，在新发展阶段下，要促进战略落地、提升管理能力、强化风险防控、推动目标高质量完成。基于此，内审部门要提高政治觉悟，以服务企业战略和高质量发展为根本目的，统筹系统审计资源，调查了解下属单位情况，收集相关资料，确定审计目标及重点关注方向，做好风险管理审计计划。

2.巧用企业信息化管理系统辅助审前调查。内审部门利用公司信息化管理系统，推送企业管理基础信息表（如表1所示）至被审计单位，由相关责任部门在线填制，系统自动赋权计算风险管理成熟度，按各个层级风险管理成熟度分别形成企业一级风险要素管理成熟度初评表与企业二级风险要素管理成熟度初评表（如表2所示），对企业的关键风险要素进行初步识别及评估。

3.依托风险成熟度初评结果编制审计实施方案。科学合理的审计实施方案是实现审计目标的前提。内审部门通过引入风险管理成熟度模型，在审前阶段充分开展审前调查及企业风险管理初评，确定审计方向和重点，确保审计方案的落实和审计资源的科学配置。首先，审计人员将风险管理成熟度测评值结合审前调查的各项资料综合分析，初步了解企业管理薄弱环节与重大缺陷事项，明确审计目标和重点;其次，按审计目标与重点确定实施审计的范围、审计时间节点、必要程序及方法，合理配置审计资源;最后，对审计方案进行充分审核与评估，确保方案行之有效。

4.遵循“5到位”原则科学配置审计资源。在实践中对审计方案的编制进行总结，提出“将审计目标和审计重点明确到位，将风险分析和重大风险查找到位，将人员分工和时间节点安排到位，将模型疑点和查证方法培训到位，将审计方案和测试要求执行到位”的“5到位”要求，确保风险管理审计起好头、迈好步、开好局。

（二）审计实施阶段

1.对照任务清单做实现场审计。审计实施阶段是审计质量控制的关键环节，这一阶段以现场审计为重点。在实施过程中，审计人员根据风险管理审计的主要内容，按照风险管理体系、风险管理信息收集、风险识别与评估、风险应对措施、风险监控预警机制和监督评价与改进内容细分任务清单，对照审计目的、审计内容、查阅重点和方法实施（如表3所示）。

2.建立问题“AB”库优化资源配置。风险原因分析环节是风险管理审计中最重要、难度最大的环节。为更好地实施本环节，审计人员按照问题性质和影响结果，将发现的问题分成过程A库和结果B库进行识别诊断。A库事项属于一般业务性缺陷，主要对照企业内部控制要求进行对比分析;B库事项属于重大风险事项，应结合企业战略、规划和目标要求进行对比，重点分析与目标形成偏差的主要原因和影响，提出解决措施。因此，审计组应重点跟踪B库事项，由审计组长牵头，组织经验丰富的审计人员一起参与。如审计组在对下属M集团的审计中，应将施工过程资料保管不当、利息资本化核算不规范等属于过程管理等41个具体问题纳入A库管理;对服务费价格以及部分工程超概等15个结果性问题纳入B库管理。审计人员按照A、B库内容重新调整组内分工，有效提高了审计效率和质量。

3.落實“3必做”标准，夯实审计作业基础。为确保审计实施质量，审计人员在审计实施阶段总结了“3必做”工作标准：在问题查证方面，做到查深查透必做，完善证据链条;在风险分析方面，做到原因分析必做，深挖问题病灶;在底稿方面，做到分级复核必做，强化质量控制。

（三）审计报告阶段

1.修正风险管理成熟度结果辅助综合评价。通过实施风险管理审计，对风险管理事项进行评估测试，查找缺陷，形成缺陷清单汇总表，并提出风险应对措施。为了更准确、客观地做好风险管理评价，需根据具体情况对企业风险管理成熟度初评结果进行修正（如表4所示）。该表辅助内审人员进行风险管理综合评价，最终形成风险管理审计报告。

2.对标“4确保”标准，保证审计报告质量。为使风险管理审计成果达到特定目标，符合企业现状和需求，内审部门在报告阶段提出“4确保”标准：确保固定审计报告的内容框架，避免出现缺漏项;确保内容描述有别于其他类型的审计，能符合风险管理的相关要求，体现专业的用词表达;确保能通过风险管理评估模型的结果结合具体问题作出正确评价;确保能深入分析、对症下药，提出高质量的审计建议。

四、BT集团企业风险管理审计在助推安全发展中的成效

（一）风险预警守住企业安全底线

在风险管理审计下，内审部门将发现的问题进行风险归类，实现事件预警提示风险，并以报告形式予以披露，为决策层实现有效的风险管控提供科学依据。BT集团自实施风险管理审计后，出具的审计报告均严格按照风险分类进行风险披露，以风险管理视角对问题及产生原因进行梳理和分析，改变以往仅针对现状谈问题、提建议的报告模式，为企业守住安全底线提供保障。在对下属N集团进行风险管理审计时，审计组把发现的35个具体问题分类汇总，按照监管风险、环保风险等21个方面进行风险预警，并从多维角度进行成因分析，主动服务企业战略层面的决策需求，提升管理层对风险的把控力度，助力企业守住安全底线。

（二）重塑风险管理策略，护航企业高质量发展

通过风险管理审计，重塑企业风险管理策略，使企业在风险发生前能有效识别风险因素，促使风险防控能力有突破性转变，明显提高降本增效能力。在改善经营方面，下属M集团提高了项目经营的风险应对措施，近2年来未出现重大亏损项目;在降低成本方面，根据所识别的风险因素，下属W集团对业务核算规则进行有效调整，重新发布材料核算规则，为企业避免将近2000万元/年的经济损失;在增加效益方面，通过风险管理审计，下属W集团找准盈利点，利润获取渠道由运营环节转为项目建设环节，营业收入和利润额度实现大幅上升，2020年度结束连续3年亏损状况，顺利实现扭亏为盈;在优化战略布局方面，促进下属W集团结合西部地区东融、西扩合作战略部署，主动融入并积极促成全区各市县的污水处理以及供水项目落地实施，增强市场竞争优势，使其在正向发展上跑出“加速度”。

（三）风险管理审计助推企业安全发展

开展风险管理审计旨在全面诊断企业风险管理活动，通过揭示预警风险，完善对策、加强监管，防范化解重大风险、提高企业风险防控能力、保障企业更好创造价值。通过风险管理审计，透过风险表象把握风险实质，加强企业决策层风险识别、评估和风险应对能力，发挥风险前瞻预警作用，坚决守住企业风险底线。从BT集团实施结果来看，风险管理审计有效增强了被审计单位全员风险防范意识，加强了内控管理，提高了决策层及管理层的风险管理能力。在新发展阶段，实施风险管理审计可以树立全局安全观，识别重大风险隐患，提高风险研判能力，及时洞悉风险动态，在风险中抓住机遇，将风险转化为高质量发展的新动能，守住企业风险底线，取得企业安全发展新成效。

五、BT集团以风险管理审计助推安全发展成功实践的启示

新发展阶段背景下，只有不断增强企业驾驭风险的能力，健全风险防控机制，并持续实行动态管理，才能更好地助推企业安全发展，为企业保驾护航。BT集团的风险管理审计实践，是在安全发展指导思想的引领下，以服务企业战略管理为目标，立足企业风险管理需求，优化风险管理审计实施路径，科学构建以企业风险管理成熟度模型为基础的风险管理审计体系，并据此系统提出“534”风险管理审计标准，分析风险时创新运用問题“AB”库等方法，在实践中不断地总结、进步，确保风险管理审计工作得以高效、高质开展。BT集团对风险管理审计的实践探讨，在一定程度上具有理论创新意义，其实践经验可以为同类企业开展风险管理审计提供有效借鉴，助推国有企业安全发展。

（作者单位：广西北部湾投资集团有限公司，邮政编码：530200，电子邮箱：363811669@qq.com）

主要参考文献

[1]胡静波，李卜.论企业内部风险管理审计[J].税务与经济， 2012（3）：56-61

[2]李竹青，汪子林，曹培祥，鲍卿.基于价值增值的电网企业风险管理审计实践[J].中国内部审计， 2021（5）：54-57

[3]孟焰，潘秀丽.企业风险管理审计研究[J].审计研究， 2006（3）：61-63

[4]魏世豪.风险管理审计在公司发展中的作用[J].广西质量监督导报， 2020（10）：176-177