基于風(fēng)險管理的內(nèi)部審計業(yè)務(wù)探討

周怡 重慶三峽水利電力（集團）股份有限公司

近年來，隨著社會經(jīng)濟的飛速發(fā)展，全球經(jīng)濟一體化、信息化和數(shù)字化的步伐加快，公司所面臨的內(nèi)外部環(huán)境日益復(fù)雜，對經(jīng)營決策的把握提出了更高要求，公司董事會、經(jīng)理層愈發(fā)重視風(fēng)險管理工作。作為服務(wù)于公司治理的內(nèi)部審計，如何從自身角度介入風(fēng)險管理，明確相關(guān)職能定位，并在具體審計業(yè)務(wù)流程中全線貫穿風(fēng)險管理，進行價值保護和創(chuàng)造以實現(xiàn)組織目標，將在下面做出闡述和探討。

一、對風(fēng)險管理的兩面認知

ISO31000國際風(fēng)險管理標準將風(fēng)險定義為“不確定性對目標的影響”，所以管理風(fēng)險就是管理不確定性及其對組織目標產(chǎn)生影響。但傳統(tǒng)的風(fēng)險管理側(cè)重價值保護，風(fēng)險管理總是與防范和控制損失有關(guān)。而我們今天談到的風(fēng)險管理，是在不確定性中尋找和把握趨利避害的方式，這既包含了上面提到的傳統(tǒng)價值保護，又包含如何更好的價值創(chuàng)造，趨利避害是同時進行、不可割裂的。所以，就組織目標而言，不是要消除不確定性，而是要利用不確定性。

《中央企業(yè)全面風(fēng)險管理指引》也提及，企業(yè)把風(fēng)險管理的各項要求融入企業(yè)管理和業(yè)務(wù)流程中，應(yīng)注重防范和控制風(fēng)險可能給企業(yè)造成的損失和危害，也應(yīng)把機會風(fēng)險視為企業(yè)的特殊資源，通過對其管理，為企業(yè)創(chuàng)造價值，促進經(jīng)營目標實現(xiàn)。所以對風(fēng)險的深刻認識和把握，可以為企業(yè)更好更快發(fā)展提供方向。

二、內(nèi)部審計對于風(fēng)險管理職能的定位

國際內(nèi)部審計師協(xié)會（IIA）2001年在《內(nèi)部審計實務(wù)標準》中對內(nèi)部審計做出的新定義，以風(fēng)險管理為基礎(chǔ)和核心，是公司增加價值必不可少的環(huán)節(jié)。事實上，現(xiàn)代內(nèi)部審計以風(fēng)險管理過程為審計對象，將審計業(yè)務(wù)融入到公司風(fēng)險管理框架下，是公司風(fēng)險管理的第三道防線，對公司的風(fēng)險管理全過程進行鑒定、評價，促進公司目標實現(xiàn)。

因內(nèi)部審計在風(fēng)險管理處于第三道防線的獨特地位，準確定位其在風(fēng)險管理工作中的職責(zé)和界限顯得極為重要。結(jié)合國內(nèi)外的實踐，我們對內(nèi)部審計職能在企業(yè)風(fēng)險管理工作中的核心職能和合理職能進行分類探討：

1.核心職能具體包括：對風(fēng)險管理流程進行確認；對風(fēng)險是否已經(jīng)被恰當評估進行確認；評估風(fēng)險管理的流程；評估對于關(guān)鍵風(fēng)險的報告；審查對關(guān)鍵風(fēng)險管理的情況。

2.合理職能具體包括：推動風(fēng)險的識別和評估；指導(dǎo)和協(xié)助管理層如何應(yīng)對風(fēng)險；協(xié)作進行企業(yè)風(fēng)險管理活動；匯總各類風(fēng)險的報告；支持建立企業(yè)風(fēng)險管理框架；保持和發(fā)展企業(yè)風(fēng)險管理框架；協(xié)助董事會建立風(fēng)險管理戰(zhàn)略。

三、以風(fēng)險管理為基礎(chǔ)開展內(nèi)部審計業(yè)務(wù)

（一）內(nèi)部審計組織推動企業(yè)建立系統(tǒng)性的風(fēng)險數(shù)據(jù)庫，并參與重大項目的風(fēng)險研判，為實現(xiàn)風(fēng)險管理目標打下基礎(chǔ)

1.內(nèi)部審計推動企業(yè)風(fēng)險數(shù)據(jù)庫的建立與動態(tài)調(diào)整

在企業(yè)沒有設(shè)置風(fēng)險管理委員會和專門風(fēng)控部門的前提下，內(nèi)部審計結(jié)合建立健全內(nèi)控體系和加強風(fēng)險防控等要求，組織推動企業(yè)各層級進行外部環(huán)境，業(yè)務(wù)及管理各版塊的風(fēng)險識別、分析與評估，支持建立風(fēng)險管理框架，并最終形成相對系統(tǒng)完善的風(fēng)險數(shù)據(jù)庫，有利于企業(yè)日常管理、防控及應(yīng)對各類風(fēng)險。同時，內(nèi)部審計將重點評價相關(guān)重大風(fēng)險的識別、評估和應(yīng)對措施是否充分、合理及有效，從風(fēng)險管理的第三道防線角度提出獨立意見。年底，內(nèi)部審計還將監(jiān)督各層級對風(fēng)險數(shù)據(jù)庫實施動態(tài)更新與調(diào)整，確保對各類風(fēng)險的認知始終與企業(yè)外部環(huán)境變化和自身經(jīng)營管理實際相適應(yīng)匹配。

2.參與企業(yè)組織的專題項目風(fēng)險研判工作，將風(fēng)險監(jiān)督端口前移

在企業(yè)面臨較大發(fā)展壓力時，往往采取相對激進的發(fā)展戰(zhàn)略和投融資策略，對項目潛在風(fēng)險與潛在收益需要做出權(quán)衡與取舍。內(nèi)部審計主動參與企業(yè)組織的項目前期論證和風(fēng)險研判工作，結(jié)合自身專業(yè)知識和經(jīng)驗背景，運用風(fēng)險管理工具（如風(fēng)險評估框架、風(fēng)險數(shù)據(jù)庫等），既要充分揭示潛在風(fēng)險，也要識別和把握潛在機會，在事前發(fā)表獨立的咨詢意見，幫助企業(yè)更好地實現(xiàn)價值保護和價值創(chuàng)造。

（二）內(nèi)部審計業(yè)務(wù)流程的具體開展

以風(fēng)險管理為基礎(chǔ)的內(nèi)部審計業(yè)務(wù)流程，源頭從年度審計計劃開始，這一階段主要是圍繞公司年度目標、經(jīng)營重心和管控風(fēng)險，確定本年度擬實施的各項審計任務(wù)。每項審計任務(wù)在具體執(zhí)行時，通常包括業(yè)務(wù)計劃、業(yè)務(wù)分析、評估風(fēng)險和控制、測試有效性、報告五個階段。

1.在業(yè)務(wù)計劃階段，根據(jù)進一步的研究結(jié)果和相關(guān)信息，對年度計劃期間識別的風(fēng)險進行分解，將風(fēng)險類別轉(zhuǎn)換為實際風(fēng)險事件。

2.開展業(yè)務(wù)分析，主要是對業(yè)務(wù)流程、子流程和系統(tǒng)進行足夠了解，以便能夠識別風(fēng)險以及減輕這些風(fēng)險的相應(yīng)控制措施。

3.評估風(fēng)險和控制，是整個以風(fēng)險管理為基礎(chǔ)的內(nèi)部審計業(yè)務(wù)流程的關(guān)鍵點，主要是運用風(fēng)險控制矩陣這一工具，具體步驟為：（1）將關(guān)鍵風(fēng)險與當前控制相匹配，作為風(fēng)險評估框架設(shè)計的基礎(chǔ)。（2）風(fēng)險控制矩陣從關(guān)鍵風(fēng)險出發(fā)，通過風(fēng)險識別、固有風(fēng)險評估和風(fēng)險應(yīng)對等，從風(fēng)險發(fā)生的可能性和影響性兩個方面進行評估（高、中、低），識別出那些被評估為具有高或中等固有風(fēng)險的風(fēng)險嵌入到風(fēng)險控制矩陣的“關(guān)鍵風(fēng)險”中。（3）對控制設(shè)計的三個方面進行評價，即是否符合目標、控制強度是否達到、控制措施是否充分。

4.在對控制設(shè)計評估后，進行控制執(zhí)行的有效性測試，制定測試方案并進行抽樣檢查，根據(jù)控制有效性評估風(fēng)險暴露水平，得出控制是否有效的結(jié)論。

5.報告階段使用內(nèi)部審計自己的重要性準則，以及可獲得的管理層風(fēng)險偏好，對發(fā)現(xiàn)的問題進行評級和報告。

四、結(jié)語

綜上所述，風(fēng)險管理貫穿于整個內(nèi)部審計業(yè)務(wù)流程的始終。在當前時代背景下，內(nèi)部審計應(yīng)該充分認識風(fēng)險的兩面性，既要做好價值保護，更要實現(xiàn)價值創(chuàng)造。同時，準確界定內(nèi)部審計在風(fēng)險管理中的職能定位，積極發(fā)揮風(fēng)險管理的第三道防線作用，做到“不越位不缺位不錯位”；并不斷強化審計業(yè)務(wù)流程全線貫穿風(fēng)險管理理念和運用風(fēng)險分析工具，全面提高審計工作成效。