内部审计在风险管理中发挥保障作用的研究

　　内部审计作为现代企业制度下的一项基础性设计，是公司治理的重要组成部分，是企业实施控制、提升管理和持续监督的重要手段，发挥着预防、揭示和抵御的免疫系统功能。协助企业有效识别、应对和管理风险，不断提高内部控制制度的科学性和执行力，进而实现转危为机、化险为夷，是内部审计义不容辞的责任和义务。思路决定出路，思维决定作为，要真正使内部审计在风险管理中做到有声有色、有所作为，必须厘清对四个方面问题的认识，即如何界定内部审计与风险管理的关系、内部审计为什么要积极参与风险管理、在风险管理中内部审计应该发挥什么样的建设性作用、如何提升以风险为导向的内审能力。

　　一、内部审计与风险管理的关系

　　（一）内部审计是风险管理的重要组成部分

　　内部审计的主要职能是防范与减少错弊、损失的发生，而风险发生错弊与损失的可能性较大，风险管理就是要把可能的错弊和损失控制在企业承受的范围之内。从这个意义上讲，内部审计是风险管理的有机组成部分。

　　（二）内部审计是对风险管理的再管理和再控制

　　《中央企业全面风险管理指引》规定内部审计部门和董事会下设的审计委员会是风险管理的“第三道防线”。由于内部审计具有相对独立的组织地位和系统规范的行为准则，在治理结构设计中被赋予监督管控职能，能够对企业风险管理的健全性、有效性和遵循性进行客观公正的评价并提出建议，协助董事会和高级管理层改进风险防范工作，促进内部控制建设。同时，审计活动自身发现的问题和漏洞，在客观上也促进了企业依法经营、规范运作。

　　（三）风险管理为内审工作提供了逻辑起点和努力方向

　　企业面临纷繁复杂的内外部经营环境，使得风险因素日渐成为影响审计计划制定、资源配置、技术水平和审计内容的重要因素。首先，企业在风险管理过程中，识别评估的重要风险和内控漏洞，理所当然地成为内部审计的工作重点。其次，由于风险管理主要是识别可能对企业造成潜在影响的事项，面对的是不确定因素，强调的是过程控制，因此内部审计也由事后监督，逐步前移，对风险的关注贯穿于审计全流程。第三，随着审计地位和重要性的提高，董事会和管理层的期望值也不断增大，为防止出现审计失效、错误确认、审计声誉受损等情况，审计部门也需要在工作中采取必要的应对措施管控审计风险。

　　（四）内部审计与风险管理相辅相成

　　没有良好的风险管理环境，内部审计无法顺利开展，缺乏良好的内部控制，不仅会加重审计工作量，而且会加大审计风险。同样，如果没有内部审计积极参与对风险管理过程的监督、评价，也不利于企业克服“当局者迷”的局限和不足，及时发现短板和不足，加大了风险管控的难度。

　　二、内部审计为什么要积极参与企业风险管理

　　（一）内审属性的本质要求

　　根据国际内部审计师协会IIA对内部审计的最新定义，内部审计是一种独立、客观的确认和咨询活动，旨在增加价值和改善组织的运营。它通过应用系统的、规范的方法，评价并改善风险管理、控制和治理过程的效果，帮助组织实现其目标。由于内部审计在企业中不从事具体的经营活动，不受业务职能的局限，同时拥有熟悉各业务领域的人才，能够从企业全局角度、遵循专业标准客观公正地开展监督评价活动，深入了解掌握企业组织环境、生产经营过程和管理控制活动方面的信息，并有效识别出企业存在的高风险领域。同时，治理结构的设计赋予内部审计负责人直接向董事会和高管层沟通报告的权利，具有相对独立的组织地位，不仅能够帮助管理层获得充分可靠的风险信息，而且能够以第三者的角度看待风险，提出科学合理的建议，从而加强企业的重视程度，也更容易被管理层接受。

　　（二）法律法规的明确规定

　　随着我国经济发展步入新常态，市场经济改革的深入和应对国际国内复杂经济环境及不确定性因素的需要，各项涉及风险管理和内部控制的法律法规及配套措施相继出台，对内部审计在风险管理中的职责作用也予以了明确规定。例如，《中央企业全面风险管理指引》第四十条：企业内部审计部门每年至少一次对包括风险管理职能部门在内的各有关部门和业务单位能否按照有关规定开展风险管理工作及其工作效果进行监督评价，监督评价报告应直接报送董事会或董事会下设的风险管理委员会和审计委员会。《审计署关于内部审计工作的规定》第九条：内部审计对本单位及所属单位内部控制制度的健全性和有效性以及风险管理进行评审。《中国内部审计基本准则》第十条：内部审计机构和内部审计人员应当全面关注组织风险，以风险为基础组织实施内部审计业务。

　　（三）管理提升的客观需要

　　强化全面风险管理是企业应对复杂形势，实现持续、健康、稳定发展的必然要求，也是企业提质增效、转型升级，打造核心竞争力的重要举措。由于风险管理是一项综合性较强、涉及专业领域交叉面较多的复杂系统工程，因此既要发挥风险管理体系的独立保障作用，又要与企业现有管理体系有机融合，难度和要求非常高。由于审计人员涉及企业主要专业领域，审计活动贯穿企业整个业务流程，因此审计成果广泛运用于企业各个阶层，客观上能够帮助和促进风险管理各项举措“可控在控、偏差预警、闭环管理、持续改进”。

　　（四）发展转型的有力推动

　　从国内外内部审计实践经验看，现代企业内部审计工作不仅要查错防弊、堵塞漏洞，更重要的是要通过独立、客观的确认与咨询活动，改进企业治理环境、运行模式和业务流程，帮助改善风险管理，增加企业价值，顺利实现战略目标。因此，内部审计仅仅停留在“看家”和“守护”层面是不够的，还必须发挥好“诊断”和“增值”功能，实现企业价值保护和价值创造的目标，成为企业改善管理水平、改进运行机制的重要力量。国际内部审计师协会原主席杰奎琳?瓦格娜指出：环境的变化给内部审计师带来增加价值机会最多的领域是风险管理和公司治理。服务企业战略，坚持风险导向，实现保值增值，成为内部审计顺应形势变化，谋求转型发展的必然要求。同时，通过开展风险导向审计，参与风险管理进程，使得内审活动更贴近企业的需求，更贴近单位经营活动的价值链，更适合提出被管理层采纳的建议，更容易实现内审活动的增值作用。 　　三、内部审计应在风险管理中发挥什么样的建设性作用

　　风险管理是董事会和高管层的重要职责，其中管理层负责建立健全风险管理过程并使其发挥作用，董事会对管理层的活动进行监督和判断，确保风险管理适当、充分、有效。内部审计在风险管理中的地位作用是由董事会和高管层根据企业实际状况和管理需求来确定的。由于集团公司建立了独立的风险管理部门，履行全面风险管理的职责，应准确把握内部审计在风险管理中的角色定位，清晰工作界面，避免职能重叠以及因承担不必要的管理职责影响内部审计工作的独立性。

　　（一）充分发挥“风险管理第三道防线”作用

　　按照《中央企业全面风险管理指引》的规定，“内部审计部门和董事会下设的审计委员会是风险管理第三道防线”，“内部审计部门在风险管理方面，主要负责研究提出全面风险管理监督评价体系，制定监督评价相关制度，开展监督与评价，出具监督评价审计报告”。这意味着内部审计是企业风险管理的最后堡垒并承担着监督风险管理的角色。一方面，要求审计活动中发现的漏洞和薄弱环节要及时反馈给被审单位、业务职能部门和风险管理部门，作为改善风险管理的重要信息来源和补充；另一方面，充分发挥“领导眼睛、企业良医和评价专家”的作用，对企业风险框架的运行效果和主要风险的识别管控情况进行确认评价，把好最后一道关。

　　（二）认真履行“千里眼”和“顺风耳”的监督职能

　　风险无时不在，风险无处不在。这需要审计触角的全方位覆盖，包括对风险管理制度的健全性、风险识别的有效性、风险评估的准确性、风险报告的充分性、风险措施的到位程度等方面。需要审计监督的全过程跟踪，就像嵌入式审计模块一样，集成应用于风险管理各个阶段，做到实时在线监督。需要审计工作的全面推进，以问题为导向，以控制为主线、以增值为目标，切实履行好再管理和再控制的职责。

　　（三）积极扮演风险管理运转流程中“润滑剂”的角色

　　内部审计熟悉企业经营管理流程，拥有灵活开放的沟通机制，具备向董事会和高管层直接汇报的组织地位，应发挥“润滑剂”角色，促进管理无缝对接、流程顺畅、运转高效。一方面，审计活动中，采取现场交流、征求意见、落实整改、跟踪检查等举措，这本身就体现在沟通协调过程。同时，利用董事会、审计委员会和高管层对审计结果的重视，采取签报、内审专报、总结报告的形式对重要审计信息进行上传下达。另一方面，充分与企业内部大监督体系深度融合，采取审计结果公告、审计约谈、联席会议制度等形式，与各职能部门进行有效互动，不但提请各部门关注自身内部风险，而且通过共同研究协商形成应对企业综合风险的共识，实现风险管理的联动协同效应。

　　（四）努力实现风险防范的“鲶鱼效应”

　　内部审计在履行自身职能过程中可以为企业风险管理注入活力。首先通过开展审计活动发现风险漏洞和控制的薄弱环节，为高管层和风险管理等职能部门带来持续改进的动力和自我完善的压力。其次，风险管理部门可以充分参考利用审计结果，准确识别风险和研判风险未来发展趋势，并在此基础上修订和完善计划，减少重复性工作，集中有限资源于高风险领域，以较小的成本取得较佳的管理效果。第三，相较于外部审计人员，内部审计更熟悉企业情况和业务流程，能实时地掌握风险动态，将管理指令渗透到风险管理的各个层面。

　　四、如何提升以风险为导向的内审能力

　　（一）风物常宜放眼量――提高自身主观能动性

　　（1）统观全局。内部审计在风险管理过程中，要站在服务企业发展全局和中心任务的高度，有所作为，有的放矢。审计视角要跳出局限于经营活动具体过程的传统模式，注重从战略角度和企业目标层面上防范和控制风险。要理清关键性的风险和风险的关键性环节，对风险的估计要有整体的把握。既要关注单个企业、部门、业务流程的风险，更要把握集团、部门之间、业务流程之间接口的风险。既要分析外在显现的风险因素，更要挖掘隐含潜在的风险因子。要努力协助董事会和高管层及时获取富有前瞻性的风险信息，为企业增值和提高管理效率，做出积极的努力和应有的贡献。

　　（2）置身其中。风险管理是一个全员参与的管理过程。内部审计要充分发挥风险管理过程的参与者和倡导者作用，真正置身于公司的治理和风险管理过程之中，积极参与和了解企业各阶层的各项业务和流程，积极从经营活动的事前、事中获取有效信息，及时发现问题，提出解决措施，不搞秋后算账，不当事后诸葛。同时，要利用自身的优势积极倡导风险文化的建设，积极协助企业搭建有效的管控体系和大监督机制。

　　（3）沟通协调。风险的不确定性，要求内部审计在风险管理过程中，加强沟通的力度，丰富沟通的渠道，更新沟通的手段。一方面，通过加强与高层沟通，明确高层对内部审计工作的需求，获取领导的支持；加强与被审计单位和业务部门的沟通，争取理解和有效配合；加强与外部监管机构的沟通，以获取更多的信息。沟通过程应准确、客观、清晰、完整、富有建设性。避免由于信息传递不畅、沟通不利，导致决策失误和决策缓慢，进而造成的机会丧失、士气低落以及利益冲突等不利因素的发生。

　　（4）改进方法。风险导向型审计相对于传统审计在审计方式方法上存在加大差异，审计人员应该主动研究，结合实际，改进方法。提高效力。在工作方式方面，以对企业风险的高度关注为前提，注重对经营活动过程的检查和评价，将有限的审计资源投入到对企业目标影响较大的项目中去。在审计范围方面，审计重点不再局限于合规性审计、绩效审计和经济责任审计，涉及的内容更广、审计面更宽，包括内部控制审计、管理流程审计、信息系统审计等应逐步纳入日常审计项目中。在审计内容方面，既要关注“硬性控制”，即公司经营活动是否在严格授权之下，是否严格执行既定的各项规章制度，也要关注企业文化、经营理念、行为规范等软性因素的作用和风险，确保审计更加全面。在报告建议方面，审计报告从发现风险、揭示风险向分析风险成因、加强控制、规避、转移风险转变，审计建议应更具前瞻性。

　　（二）欲善其事先利其器――依托组织保障支持力度

　　（1）组织地位。地位决定作用。内部审计在企业中的地位越高，其作用的范围越广，审计成效也越大。必须切实保障和提高内部审计在企业中的组织地位，充分发挥内部审计在风险管理中独立客观的作用。要充分利用企业建设规范董事会、完善法人治理结构和开展内部管理提升工作的契机，进一步理顺董事会、管理层对内部审计的管理界面、沟通渠道和报告机制，明确内部审计在风险管理中的任务目标和职责权限。同时，建立完善审计责任追究制度和审计联席会议制度，并根据实际，建立总审计师制度，加大审计在外部沟通和内部协调的力度，促进审计成果运用的权威性。

　　（2）机构设置。根据相关法律法规规定和风险管理要求，在公司重要子企业和分支机构建立独立的内部审计机构，总部逐步推行审计派出制或设立审计中心，切实提高“上审下”的工作力度，确保审计监督在风险管理过程中的全面覆盖和实时监控。

　　（3）队伍建设。要不断提高审计人员的数量和素质，建设满足企业风险防控需要的复合型审计队伍，优化专业结构，拓宽专业领域，确保审计队伍正规化、专业化、多元化。

　　（4）信息化。加大审计信息化建设资金投入和智力支持，充分利用“互联网+”和大数据技术，提高信息收集和分析运用水平，增强在线监控和远程联网审计能力。

　　（作者单位为中国大唐集团公司）

本文链接：http://www.qk112.com/lwfw/huijilunwen/shenjihuiji/147341.html