边干边研|风险导向的企业内部审计的实践与思考/以***控股集团为例

写在论文发表前

风险导向的企业内部审计的实践与思考

【作者】付淑威

[摘要] 百年未有之大变局时代企业面临的风险正在以光速出现，企业运营的不确定性与日俱增。作为企业四大治理基石之一的内部审计也应与时俱进，积极参与企业风险管理之中，本文结合审计实践从内部审计年度工作计划，到内部审计项目的开展，到内部审计结果运用等方面深入浅出，总结探讨了以风险为导向的内部审计，对审计工作者有较好的借鉴作用。

[关键词] 风险导向 内部审计 高风险领域 增值

百年未有之大变局时代企业面临的风险正在以光速出现，企业运营的不确定性与日俱增。作为企业四大治理基石之一的内部审计也应与时俱进。中内审协会发布的《第1101号——内部审计基本准则》中这样定义“内部审计是一种独立、客观的确认和咨询活动，它通过运用系统、规范的方法，审查和评价组织的业务活动、内部控制和风险管理的适当性和有效性，以促进组织完善治理、增加价值和实现目标。”该定义非常明确提出内部审计在企业风险管理中所肩负的责任。国际注册内部审计协会秘书兼总裁理查德·钱伯斯先生曾说“一个组织最大的风险是企业内部审计忽视的风险”，故时代呼唤以风险为导向的内部审计。

一、以风险为导向的内部审计特点

从思维模式方面，与传统的内部审计思维模式相比，以风险为导向的内部审计首先关注的是组织目标，而不是内部控制。以风险为导向的内部审计更加注重组织系统性、苗头性问题，审计的关口前移而非事后诸葛，其基本工作思路是以客户为导向，紧紧围绕客户的组织目标进行风险识别评估，将有限的审计资源投放在组织高风险领域。找出影响组织目标达成的剩余风险，挖掘风险形成的动因所在，针对问题提出审计意见和建议，从而改善组织管理，增加组织目标，实现组织目标。

从上图，风险导向内部审计采取的是从左到右的路线，首先确认企业目标或某项业务的目标，然后再分析对这些目标产生的影响的风险以及能够管理类这些风险的控制，最后测试实际的控制并考虑其能否切实管理这些风险。

从审计方式来看，与外部审计相比，以风险为导向的内部审计更加注重组织的风险识别和评估，而非审计组织自身的风险。以促进组织风险管理水平的提升从而降低审计风险。审计手段方面比较注重分析性复核程序，利用信息技术等现代化工具进行大数据分析，从而识别风险所在。

从审计价值利用方面，以风险为导向的内部审计不仅关注组织的过去，更加关注组织的现在和未来，关注对组织现在和未来产生影响的事件，倒逼组织机制完善，从而促进提升组织的抗风险能力。

二、以风险为导向的内部审计策略

（一）以风险为导向制订年度审计工作计划。

一是审计如何立项？也就是说审什么。我们在年初制定年度审计工作计划时，紧紧围绕集团年度战略目标带领全集团各成员单位展开风险识别、风险评估工作。二是审计项目的确定与集团高管团队充分沟通，达成共识的基础上确定全年的审计项目。三是与时俱进，定期不定期根据内外部环境变化对年度审计工作计划进行动态调整，切实将审计资源投放在集团高风险领域。

（二）审计项目开展过程中，时刻牢记以风险为导向。

审前调查阶段，围绕被审计单位的战略目标，识别该单位影响核心业务开展的影响因素或障碍，挖掘剩余风险，按风险的大小确定审计方案工作重点。审计实施阶段，根据审计工作的不断深入发现的新的更大的风险点，调整原定审计方案。以组织目标为起点，评价内部控制的基础上识别风险。而非传统审计模式以评价内部控制为起点，发现内控薄弱环节作为审计工作的重点。对审计发现的问题界定，坚决摒弃秋后算账，根据审计发现的标准、现状、影响、原因四要素中影响因素，我们不仅关注组织的现在更关注未来。对于尚未造成影响而对组织未来产生不良影响的苗头性问题，作为企业风险提示，在审计报告中专题描述，并针对该风险提出审计建议，防患于未然。

（三）审计管控下沉，建立问责机制，促进企业管控风险

审计重心“前移”即将审计重心从事后审计前移到事前审计和事中审计。内审部门要提前介入进行事前的风险评估，包括对企业各类文件、管理制度的效用、可操作性、完整性、兼容协调性进行评估等，发现问题或漏洞，应向发文部门指出或进行征询事前审计，目的是促进企业加强预算、计划、预测和决策的准确性、合理性和可行性；事中审计则要加强对经济活动的跟踪审计，发现问题及时预警，及时提出处置方案，把各类风险消灭在萌芽状态，避免风险事项给公司造成重大经济损失。审计管控“下沉”是指内审工作作风要做到深入细致，要深入到企业经营业务的关键流程和关键环节中去，沉下心来认真思考问题，分析问题的本质，有针对性的提出审计意见，并扎实抓审计问题的整改落实。建立问责机制的目的一方面是为了促进被审计单位和被审人员恪尽职守，提升公司决策和经营管理水平，确保经营的安全性、盈利性、持续性，另一方面，对内审人员也要加强内部监督，建立审计项目责任制，防止内审人员玩忽职守。

（四） 建立风险预警机制，将风险关口前移

风险预警机制的建立并正常运转是企业风险管理是否有效的重要标志。企业风险管理部门要协同经管、财务、物流、客户管理等部门，在企业管理方面，特别是在对应收、预付、库存等三项资金的管控层面，通过对逾期天数、市场变动、合同履约和对方经营状况变化、行业环境变化等的分析了解，探索建立适用的、可操作的评估方法，逐步量化经验评估值，搭建三项资金风险预警体系，建立风险处置预案，优化业务流程。加强事前合规性审核，有效防范风险发生。协同各职能部门，梳理、跟踪，优化各部门现有业务的运作流程，积极推动建立新模式业务的准入条件、额度控制、操作规则、止损机制和风险控制办法。执行有力是保证顺利实现企业战略的根本，这需要通过职能部门的督查督办及内审部门的审计监督来协同完成。制度执行力度不够的企业，审计风险必然更大。处置高效既包括风险事项发生后的及时处置，也包括审计查出问题的自查自纠，即审计成果运用，企业要建立整改纠偏制度和流程，明确与被审单位的沟通、反馈时限、反馈方式、整改方式与具体措施及决心、整改落实的后续检查等各项程序。

三、***控股集团以风险为导向的内部审计案例介绍

***控股集团起始于2008年，大股东为中国最有价值品牌500强企业--方太。注册资本10亿元，员工1000余人，总资产规模近80亿元。10年来，集团坚持以影视、旅游、商业、文创四大产业为核心，致力于影秀城及影秀公园两大产品的开发与运营。以产品为基石、以顾客为中心、以员工为根本的经营理念，形成以产业赋能的运营优势和价值体系。坚守“给城市更多可能，让生命无限精彩”这一企业使命，努力成为优秀的文旅产业综合运营商。集团于2014年初在董事会的推动下成立审计专职机构，审计直接向董事会报告工作。在董事会的指导和支持下，审计发挥着监督、咨询两项基本职能。

（一）以集团风控体系建设为切入点。

2020年为更好地开展集团风控体系建设工作，树立风险意识，营造风险文化，在疫情期间我们通过线上对集团副经理以上管理人员进行了风控体系建设相关知识宣贯，详细介绍了风控建设具体实施步骤及要点和要求。

在审计部门的主导下，首先统一集团风险语言，确认集团管理团队的风险偏好和风险承受能力；其次经过多层次多频次的内控和风控培训，营销风险文化，树立风险意识；再次，从集团层面和业务两个层面进行风险识别、评估、风险应对及风险管理水平评价，集团所属各单位以重大风险管理为抓手，不断提升全面风险管理工作的实效性。一是紧密围绕企业战略目标和当期经营目标开展风险评估，建立常态化风险评估机制，不断完善风险评估 方法和流程，切合实际地制定重大风险评判标准;二是进一步完善重大风险的管理策略，明确风险偏好和风险承受度，据此制定重大风险的解决方案，明确重大风险的责任主体和应对 措施，并合理配置资源，确保重大风险管理措施落到实处;三是建立重大风险的监控预警机制，科学设置监控指标，及时掌握、分析重大风险的变化趋势，动态调整管理策略，实现对重大风险的动态管理和有效管控。最后，审计不仅跟踪风控措施落实情况，还对年度内各单位开展的风控工作进行综合绩效评价，纳入各单位绩效考核，也就是说，各单位的绩效奖金的高低审计也有发言权，大大促进了集团风控体系建设能力的提升。如2020年在审计主导下，对23家子公司单位进行风险识别、评估，共识别出108个重要风险点并逐一落实风险管理责任人。经过历时一年的风控体系建设， 23家单位均已按原定方案采取相应的风险管理措施并积极落实，落实率为96.30%，年中和年尾我们出具集团风控体系建设简报和2020年度集团风控报告呈报给董事会。

（二）内部审计始终以风险为导向，将审计资源有效投入到集团高风险领域。

首先，我们紧紧围绕组织战略目标开展近100个经营管理审计和经济责任审计项目，发现问题近1000个，提出审计建议600多条，审计整改率90%以上；提出企业风险提示200余项；对集团十大房地产项目实施全过程跟踪审计，工程成本审减率9%左右。此外在审计主导下，集团上上下下风险意识逐步增强，风控文化已初步形成，风控体系建设工作已取得长足的进步。

再次，我们以风险清单督导制为切入点实施风险导向的经营管理审计。以清单督导制将风险管理工作关口前移。为提升集团全面风险管理水平，增强审计监督，减少共性问题的发生，我们梳理了近年来审计发现的问题，从企业文化管理、公司治理、制度管理、财务预算管理、财务资金管理、财务核算管理、财务监督管理、采购管理、营销管理、投资管理、信息化管理、人事管理、合同管理、品质管理、资产管理等17个领域的共性问题清单，提炼共性问题46项，列举了88项常见问题表现形式，注明了主要定性依据，并提出了建议措施，供各单位在工作开展中自查自纠。

为提升集团固定资产投资及工程建设项目风险管理水平，杜绝共性问题的重复发生，我们梳理了《集团固定资产投资及工程建设项目重大风险清单》，汇总了十个关键环节共66个风险清单，列举了常见问题表现形式或案例描述，并提出了相应的建议措施，供相关单位在工作中借鉴，防范屡审屡犯，东方不亮西方亮的情况发生。

（三）以内部控制自评与审计评价为抓手，促进集团内部控制建设，提高企业抗风险能力。

近几年来，我们主导编撰了集团《内部控制手册》，将核心业务的内部控制重点环节梳理为内部控制自查自纠的管理工具。每个审计项目进点前下发至被审计单位，根据自查自纠的工作质量作为评价被审计单位配合审计工作的重要依据，不仅如此我们还将自查自纠改善的问题不在报告中体现，有些特别出色的单位我们予以正激励，不好的单位予以负激励，在集团范围内定期不定期公告。不仅充分调动了被审计单位的配合力度，还大大提升了审计工作效率。

2020年，我司在对下属某子公司进行工程管理内控测试时发现，部分工程签证单未及时提交，部分签证未附工程实施记录和验收记录。针对内测发现的问题，公司修订了《建设工程现场签证及设计变更管理的指导性意见》，要求每份签证单要完善工程联系单（任务指令单）、工程过程记录、工程验收记录，在工程实施前签证单应对工程范围进行明确；在工程实施中对增（减）工程内容、数量、质量等进行详细记录；在工程完成以后对签证工程进行验收。特殊情况通过口头沟通紧急施工的，事后应及时补充书面工程联系单（任务指令单），隐蔽性工程应同步记录，及时完成签证单审批流程。

在百年未有之大变局的当代，传统以财务收支为主要审计对象，或者以测试内部控制为起点的内部审计已经不能适应企业的发展，势必影响到审计增值作用的充分发挥。内部审计要顺应时代发展变化，以风险为导向开展审计工作，不仅是一场变革，更是一场革命。

【参考文献】

（1）陈丽娟 基于风险导向的企业内部审计研究

（2）何刚 风险导向型内部审计用于烟草工业企业的探索

（3）胡琳卿 基于企业风险管理为导向的内部审计质量改进