付淑威

[摘要]百年未有之大變局時代，企業(yè)面臨的風險正在以光速出現，企業(yè)運營的不確定性與日俱增。作為企業(yè)四大治理基石之一的內部審計也應與時俱進，積極參與企業(yè)風險管理。本文結合審計實踐，從內部審計年度工作計劃，到內部審計項目開展，再到內部審計結果運用，力求深入淺出地總結探討以風險為導向的內部審計，以期對內部審計工作者有所借鑒。

[關鍵詞]風險導向? ?內部審計? ?高風險? ?增值

中國內部審計協會發(fā)布的《第1101號——內部審計基本準則》將內部審計定義為一種獨立、客觀的確認和咨詢活動，通過運用系統(tǒng)、規(guī)范的方法，審查和評價組織的業(yè)務活動、內部控制和風險管理的適當性和有效性，以促進組織完善治理、增加價值和實現目標。該定義明確提出了內部審計在組織風險管理中肩負的責任。國際內部審計師協會前秘書長兼首席執(zhí)行官理查德·錢伯斯曾指出，一個組織最大的風險是內部審計忽視的風險。故時代呼喚以風險為導向的內部審計。

一、以風險為導向的內部審計特點

在思維模式方面，與傳統(tǒng)的內部審計思維模式相比，以風險為導向的內部審計首先關注的是組織目標，而不是內部控制。以風險為導向的內部審計更加注重組織系統(tǒng)性、苗頭性問題，審計應關口前移而非事后諸葛，其基本工作思路是以客戶為導向，緊緊圍繞客戶的組織目標進行風險識別評估，將有限的審計資源投入高風險領域。找出影響組織目標達成的剩余風險，挖掘風險形成的動因所在，針對問題提出審計意見和建議，從而改善組織管理，實現組織目標。

風險導向的內部審計應首先確認組織目標或某項業(yè)務的目標，然后分析對這些目標產生影響的風險以及管理這些風險的控制措施，最后測試實際的控制措施。

從審計方式來看，與外部審計相比，以風險為導向的內部審計更加注重組織的風險識別和評估，以促進組織風險管理水平的提升，從而降低審計風險。審計手段方面比較注重分析性復核程序，利用信息技術等現代化工具進行大數據分析。

在審計價值利用方面，以風險為導向的內部審計不僅關注組織的過去，更關注組織的現在和未來，關注對組織現在和未來產生影響的事件，倒逼組織機制完善，從而促進組織抗風險能力的提升。

二、以風險為導向的內部審計策略

（一）以風險為導向制訂審計計劃

一是審計如何立項，即“審什么”。在制訂年度審計工作計劃時，要緊緊圍繞集團年度戰(zhàn)略目標，帶領全集團各成員單位開展風險識別、風險評估工作。二是審計項目的確定要與集團高管團隊充分溝通，在達成共識的基礎上確定全年審計項目。三是與時俱進，根據內外部環(huán)境變化對年度審計工作計劃進行動態(tài)調整，切實將審計資源投入集團高風險領域。

（二）以風險為導向開展審計

審前調查階段，圍繞被審計單位的戰(zhàn)略目標，識別該單位影響核心業(yè)務開展的因素或障礙，挖掘剩余風險，按風險的大小確定審計方案工作重點。審計實施階段，根據審計工作的不斷深入，發(fā)現新的更大風險點，調整原定審計方案。以組織目標為起點，在評價內部控制的基礎上識別風險。對審計發(fā)現問題的界定，堅決摒棄“秋后算賬”，分析審計發(fā)現的標準、現狀、影響、原因四要素，不僅關注組織的現在，更關注未來。對于尚未造成影響而對組織未來產生不良影響的苗頭性問題，作為風險提示，在審計報告中專題描述，并針對該風險提出審計建議，防患于未然。

（三）審計管控下沉，建立問責機制

將審計重心從事后審計前移至事前審計和事中審計。內部審計部門要提前介入事前風險評估，包括對組織內各類文件及管理制度的效用、可操作性、完整性、兼容協調性等進行評估，發(fā)現問題或漏洞，向發(fā)文部門指出，或進行征詢事前審計，目的是促進企業(yè)加強預算、計劃、預測和決策的準確性、合理性和可行性。事中審計則要加強對經濟活動的跟蹤審計，發(fā)現問題及時預警，及時提出處置方案，將各類風險消滅在萌芽狀態(tài)，避免風險事項給公司造成重大經濟損失。審計管控“下沉”是指內部審計工作作風要深入細致，深入組織經營業(yè)務的關鍵流程和關鍵環(huán)節(jié)中去，沉下心來認真思考問題，分析問題的本質，有針對性地提出審計意見，并扎實抓審計問題的整改落實。建立問責機制的目的一方面是促進被審計單位和被審計人員恪盡職守，提升公司決策和經營管理水平，確保經營的安全性、盈利性、持續(xù)性;另一方面，對內部審計人員也要加強內部監(jiān)督，建立審計項目責任制，防止內部審計人員玩忽職守。

（四）建立風險預警機制，前移風險關口

風險預警機制的建立并正常運轉是組織風險管理有效的重要標志。風險管理部門要協同經管、財務、物流、客戶管理等部門，在企業(yè)管理方面，特別是在對應收、預付、庫存等三項資金的管控層面，通過對逾期天數、市場變動、合同履約和對方經營狀況變化、行業(yè)環(huán)境變化等的分析了解，探索建立適用、可操作的評估方法，逐步量化經驗評估值，搭建三項資金風險預警體系，建立風險處置預案，優(yōu)化業(yè)務流程。加強事前合規(guī)性審核，有效防范風險發(fā)生。協同各職能部門，梳理、跟蹤在手合同，優(yōu)化各部門現有業(yè)務運作流程，積極推動建立新模式業(yè)務的準入條件、額度控制、操作規(guī)則、止損機制和風險控制辦法。執(zhí)行有力是保證順利實現組織戰(zhàn)略的根本，需要通過職能部門的督查督辦及內部審計部門的審計監(jiān)督協同完成。制度執(zhí)行力度不夠，審計風險必然更大。處置高效既包括風險事項發(fā)生后的及時處置，也包括審計查出問題的自查自糾。組織要建立整改糾偏制度和流程，明確與被審計單位溝通，包括反饋時限、反饋方式、整改方式、具體措施及決心、整改落實的后續(xù)檢查等各項程序。

三、以風險為導向的內部審計案例

某集團注冊資本10億元，員工1000余人，總資產規(guī)模近80億元。10年來，集團堅持以影視、旅游、商業(yè)、文創(chuàng)四大產業(yè)為核心，堅守“給城市更多可能，讓生命無限精彩”這一企業(yè)使命，致力成為優(yōu)秀的文旅產業(yè)綜合運營商。集團于2014年初在董事會的推動下成立了審計專職機構，直接向董事會報告工作。在董事會的指導與支持下，審計發(fā)揮著監(jiān)督、咨詢兩項基本職能。

（一）以集團風控體系建設為切入點

2020年，為更好地開展集團風控體系建設工作，樹立風險意識，營造風險文化，疫情期間通過線上方式對集團副經理以上管理人員進行了風控體系建設相關知識宣貫，詳細介紹了風控建設的具體實施步驟及要點要求。

在審計部門的推動下，首先統(tǒng)一集團風險語言，確認集團管理團隊的風險偏好和風險承受能力;其次經過多層次、多頻次的內控和風控培訓，營銷風險文化，樹立風險意識;再次，從集團和業(yè)務兩個層面進行風險識別、評估、應對及風險管理水平評價，集團所屬各單位以重大風險管理為抓手，不斷提升全面風險管理工作的實效性。一是緊密圍繞組織戰(zhàn)略目標和當期經營目標開展風險評估，建立常態(tài)化風險評估機制，不斷完善風險評估方法和流程，切合實際地制定重大風險評判標準;二是進一步完善重大風險管理策略，明確風險偏好和風險承受度，據此制訂重大風險解決方案，明確重大風險的責任主體和應對措施，并合理配置資源，確保重大風險管理措施落到實處;三是建立重大風險監(jiān)控預警機制，科學設置監(jiān)控指標，及時掌握、分析重大風險的變化趨勢，動態(tài)調整管理策略，實現對重大風險的動態(tài)管理和有效管控。最后，審計不僅跟蹤風控措施的落實情況，還對年度各單位開展的風控工作進行綜合績效評價，納入各單位績效考核，大大促進了集團風控體系建設能力的提升。如2020年，在審計主導下，對23家子公司單位進行風險識別與評估，識別出108個重要風險點，并逐一落實風險管理責任人。經過歷時一年的風控體系建設，23家單位均已按原定方案采取相應的風險管理措施并積極落實，落實率達96.30%。年中和年末出具集團風控體系建設簡報和2020年度集團風控報告并呈報董事會。

（二）將審計資源有效投入高風險領域

首先，緊緊圍繞組織戰(zhàn)略目標開展了近100個經營管理審計和經濟責任審計項目，發(fā)現問題近1000個，提出審計建議600多條，審計整改率90%以上;進行風險提示200余項;對集團十大房地產項目實施全過程跟蹤審計，工程成本審減率9%左右。其次，在審計主導下，集團各部門風險意識逐步增強，風控文化初步形成，風控體系建設工作取得了長足進步。再次，以風險清單督導制為切入點，實施風險導向的經營管理審計。為提升集團全面風險管理水平，增強審計監(jiān)督，減少共性問題的發(fā)生，梳理了近年來審計發(fā)現的問題，包括企業(yè)文化管理、公司治理、制度管理、財務預算管理、財務資金管理、財務核算管理、財務監(jiān)督管理、采購管理、營銷管理、投資管理、信息化管理、人事管理、合同管理、品質管理、資產管理等17個領域的共性問題清單，提煉共性問題46項，列舉了88項常見問題的表現形式，注明了主要定性依據，并提出建議措施，供各單位在工作中自查自糾。

為提升集團固定資產投資及工程建設項目風險管理水平，杜絕共性問題的重復發(fā)生，梳理了《集團固定資產投資及工程建設項目重大風險清單》，匯總了10個關鍵環(huán)節(jié)66個風險清單，列舉了常見問題的表現形式或案例描述，并提出相應的建議措施，供相關單位在工作中借鑒，防范屢審屢犯情況發(fā)生。

（三）以內部控制自評與審計評價為抓手

近年來，在審計部門的推動下，集團制定了內部控制手冊，將核心業(yè)務的內部控制重點環(huán)節(jié)梳理為內部控制自查自糾的管理工具。每個審計項目進點前下發(fā)至被審計單位，將自查自糾工作質量作為評價被審計單位配合審計工作的重要依據。此外。自查自糾改善的問題不再在報告中體現，對于特別出色的單位予以正激勵，在集團范圍內進行公告，不僅充分調動了被審計單位的配合力度，還大大提升了審計工作效率。

2020年，在對下屬某子公司進行工程管理內控測試時發(fā)現，部分工程簽證單未及時提交，部分簽證未附工程實施記錄和驗收記錄。針對內測發(fā)現的問題，公司修訂了《建設工程現場簽證及設計變更管理的指導性意見》，要求每份簽證單完善工程聯系單（任務指令單）、工程過程記錄、工程驗收記錄。工程實施前簽證單應對工程范圍進行明確，工程實施中對增（減）工程內容、數量、質量等進行詳細記錄，工程完成后對簽證工程進行驗收。特殊情況通過口頭溝通緊急施工的，事后應及時補充書面工程聯系單（任務指令單），隱蔽性工程應同步記錄，及時完成簽證單審批流程。

在百年未有之大變局的當代，傳統(tǒng)以財務收支為主要審計對象或以測試內部控制為起點的內部審計已經不能適應企業(yè)的發(fā)展，勢必影響審計增值作用的發(fā)揮。內部審計要順應時代發(fā)展變化，以風險為導向開展審計工作，這不僅是一場變革，更是一場革命。

（作者單位：博地控股集團，郵政編碼：311215，電子郵箱：719079733@qq.com）