內部審計與風險管理

葉華

（臨亞集團有限公司，浙江 臺州 317000）

在我國，最早應用風險管理理論的往往是國有企業或者行業巨頭。改革開放以來，隨著社會主義市場體系的建立，我國民營經濟迅速發展，民營企業家們意識到風險管理的重要性，但是由于民營企業發展良莠不齊，并且內部審計在實務中缺乏法律規范的指導。因此導致風險管理體系發展不完善，未能實現其應有的理論價值。研究該問題對于豐富并完善我國民營企業內部審計與風險管理理論有一定的促進作用。

一、文獻研究

國外對于內部審計與風險管理的研究較早，并且較早地完成了內部審計與風險管理的理論框架。目前國外對于內部審計與風險管理的研究主要是趨向于實證研究，用國內某些公司作為數據來源說明內部審計在企業風險管理中的重要作用。

Mihret·DessalegnGetie和Grant·Bligh（2017）認為福柯的政府性概念為研究內部審計作為當代組織公司治理環境中的一種紀律機制提供了概念工具，并且提出了內部審計的初步概念以及其所討論的命題和研究議程可用于解決具有解釋性的研究問題，從而豐富當前對內部審計的理解。CassandraS.L.Yee、AhmadSujan和KieranJames等（2017）的研究結果表明：新加坡的高級和初級管理人員都贊賞擔任業務合作伙伴角色的內部審計師。相比之下，中層管理者往往對內部審計活動持否定態度，并將其視為“監督”活動。

FábioLottiOliva（2016）通過研究提出了一個企業風險分析模型的建議，以及一個大型巴西公司供應鏈企業風險管理成熟度分析模型的建議。JohannesBrustbauer（2016）通過建立基于調查問卷的結構模型，分析了中小企業（SMEs）的企業風險管理（ERM），提出了企業風險管理實施的先決條件，應用的企業風險管理方法及其對戰略方向的影響。

跟西方國家相比，我國內部審計開展的相對緩慢。1983年，審計署成立，并于八五年頒布《內部審計暫行規定》。83年的規定為內部審計工作的開展提供了法律依據。1989年，第一部關于內部審計的部門規章發布。1995年，《審計署關于內部審計工作的規定》取代了八九年的規定。2003年5月1日起實施的《審計署關于內部審計工作的規定》有力推動了我國內部審計工作的開展。2018年3月1日起，我國將正式執行新修訂的《審計署關于內部審計工作的規定》。從這些規定文件的更新換代中，我們可以看到我國的內部審計工作隨市場的實際需求而變化的。

張曉陽和王聰（2016）以價值鏈為切入點，簡單闡述內部審計在企業價值鏈中的體現，進一步分析了傳統和新興內部審計職能在企業價值增值起到的作用。王秀梅（2017）認為通過充分發揮內部審計各職能，能夠有效幫助現代企業優化發展環境，避免財務舞弊現象的出現，幫助企業實現在新時期下的長久穩定發展。王維（2018）認為內部審計是當前我國監督審計體系中的重要組成部分之一，是國有企業管理中的重要監督機制。時現（2018）從五個角度，總結了新《規定》的突出特點，并指出新《規定》對內部審計的不斷發展提供了強有力的制度保障。

二、內部審計在企業風險管理中發揮的作用研究

（一）內部審計發揮領導、紐帶、建議作用

對于很多中小企業來說，如果其風險管理水平低下，內部審計部門則形同虛設，無法很好地發揮內部審計在防范企業風險管理中的作用。內審工作者應該是全面了解公司內外部環境、業務、運營等總體概況。相比較于公司其他員工，從職位定義上就決定了其對風險管理的領導。內部審計部門在公司的地位應是獨立客觀、不受人挾制的，在發揮其職能時能夠向管理層客觀傳達，并且幫助管理層建立完善的風險管理體系，同時為各個部門之間的合作提供平臺。一個公司就是一個大型的風險管理系統：董事會把控公司戰略風險，重視企業的長遠發展；管理層則負責企業經營風險；財務控制財務風險；其他部門都要負責各自的業務風險。內部審計人員在這里起到紐帶作用，需要將整個企業的風險綜合考量、完善風險管理體系。內部審計人員有義務向各級別員工傳達風險管理相關知識，使全部員工有風險管理意識。對于企業風險管理薄弱、風險管理流程不足的地方，內部審計也有責任提出相應的建議，完善風險管理體系，提高企業風險管理水平。

（二）內部審計發揮監督與評價作用

企業的風險管理三個階段是風險識別、風險評估和風險應對。

1、風險識別

風險管理的第一階段是風險識別。風險識別是指在風險發生之前，風險管理人員對企業內外部環境進行分析，運用某些方法識別所面臨的各種風險以及關鍵潛在因素。內部審計人員應判斷相關人員是否全面識別企業風險，以及企業的風險分類以及分析方法是否恰當，企業管理層是否識別主要風險及關鍵潛在因素。

2、風險評估

風險評估是指，在風險發生之前或之后，該風險給企業造成的影響和損失的可能性進行量化評估的工作。內審人員應對風險做定性和定量分析，從兩個維度來評估風險。一是風險發生的概率，二是風險帶來的影響。內部審計人員同時要對風險的性質、影響的程度進行評估分析，對管理層評估的不足進行補充完善。

內審人員應該收集相關的資料、制定有效的審計程序對風險評估方法和結果進行監督和評價。

3、風險應對

風險應對是指在風險識別和評估的基礎上，根據風險性質和企業對風險的承受能力而制定的規避、降低、分擔風險等風險應對方法。在將風險規避、轉移和緩解后，內部審計應考慮剩余風險的可接受性。在應對風險時，企業所實施的風險管理應對方法必將損耗一定的人力、財力和物力，內審部門需要評價相關部門是否遵循成本效益最大化原則選取最恰當的風險管理應對方案。

（三）內部審計發揮協調、整合、溝通作用

企業面臨的風險多種多樣，并且在各個環節都有發生風險的可能。同時風險具有傳遞性，一個部門面臨的風險很可能會傳遞給其他部門。這種傳遞是雙向的，風險也會隨著流轉部門的增加而增加，最終使整個企業陷入困境。企業各部門在面對風險時可能僅僅考慮自己部門的利益而忽視其他部門的利益。如公司市場部為了自身業績指標的提高，在商品銷售過程中，對客戶的信用不做調查，不論信用高低，都將商品賒銷給客戶。雖然從表面上看起來該公司銷售業績領先同行，但壞賬的可能性也大大增加。這種隱藏的風險，財務部門不能全部有效管控，可能最終給企業造成巨大損失。這時，相對獨立的內部審計部門可以發揮協調整合作用，將兩個或多個部門聯合，將風險合理分配在各個部門，從企業整體上把握好合理的度，從而降低整體風險，協調好短期利益與長期利益，最終達到企業增值的目標。

（四）內部審計發揮持續評價作用

內部審計對企業的反饋作用并不是間歇的，而是根據企業的發展以及環境的變化持續地對企業的經營過程進行反映。這時就需要內部審計在風險管理活動后期進行事后跟蹤審計。在先前內部審計在識別、分析與應對風險后，要對各部門的執行結果進行追蹤調查，對其進行持續評價。加強內部審計工作可以對企業發展過程中已發生的風險進行及時反饋，進而促進企業風險管理工作的開展。

三、民營企業內部審計癥結分析

雖然民營企業為了組織結構的完整性，在形式上設立了內部審計部門，但內部審計部門在防范企業風險管理中并沒有很好地發揮自己的職能。我們不能否認內審在風險管理中的重要性，但還是有很多民營企業很少進行內部審計。甚至，即使有的民營企業設立了內部審計部門，但更多地只是發揮確認、監督職能，沒有很好地發揮咨詢建議職能，不能提供自己的評價意見。截至目前，我國民營企業內部審計還沒有適用的法律法規。從法律上說，對于民營企業，國家并沒有強制要求設立內部審計部門，即使有規定，也都是一些非強制性的。所以目前民營企業的內部審計部門都是其自愿設立的。民營企業內部審計沒有法律法規的引導。

在民營企業中，大部分是家族式企業，其管理模式也呈現家族式的特點，講究親緣關系。企業的經營活動和財務活動都依靠家族內部成員完成。尤其是會計崗位很多時候都是內部人擔任。此時內部審計部門就處于一種很尷尬的地位，獨立性也就無法做到。

在民營企業中，很多內部審計人員專業素質不達標，不具備一定的識別風險的能力。隨著民營企業經營規模的擴大、全球化、各種金融工具的創新，這些發展對內部審計人員提出了新的要求。民營企業內部審計的機構設置不合理，內部審計工作分配存在問題。個位數的內審人員無法負擔內部審計如此龐雜的工作，對工作存在偏重問題，對于相對復雜的風險管理投入較少。與其他業務部門在日常工作中經常存在交流、溝通相比，內審部門相對獨立的地位令人覺得內部審計工作就是故意“找茬”。內部審計在開展審計活動時，其他部門不配合、不重視、不接受，使得審計工作效率低下。

四、加強內部審計在風險管理中的作用的對策建議

（一）提升內部審計人員專業勝任能力

內部審計人員專業素質不達標，難以勝任風險管理的重任。因此，企業應建立嚴苛的準入原則及培訓制度，通過外部招聘或內部培養的方式，聘用或培養高素質人才。同時內審人員還需具備靈活運用知識的能力，能隨著外部環境的變化和業務的拓展能勝任不同業務類型或處理復雜問題，從而為管理決策提供可靠建議。內部審計團隊中，除了財會專業人員以外，應視其公司業務需要配備法律、金融、工程等人才。

（二）建立風險管理信息平臺、做到信息的有效溝通

風險管理信息平臺可以做到風險信息的橫縱向傳遞。信息的及時性和溝通的充分性是聯系雙方的紐帶。風險管理部門可以及時將發現的風險上傳平臺，使內審人員及時調整審計計劃，合理分配審計資源；內審人員則應該將其發現的問題上傳平臺，讓各部門及時了解潛在風險因素，從而提高風險管理水平。此外，可以通過信息共享，減少不必要的工作重復，提高企業資源配置，達到為企業增值的目的。因此，建立風險管理信息平臺這樣有效的溝通機制是內部審計參與風險管理的必要的條件。