內(nèi)部審計與風險管理聯(lián)袂機制研究

陳都

[摘要]內(nèi)部審計作為組織風險防控常態(tài)化的一項重要制度設計，如何通過與風險管理的聯(lián)袂發(fā)展實現(xiàn)價值增值是新時代賦予內(nèi)部審計的新任務。本文基于國企深化改革的時代背景和當前面臨的不確定性挑戰(zhàn)，闡述內(nèi)部審計與風險管理的內(nèi)涵及聯(lián)系，并基于對兩者關系的分析，引入DSR模型構建內(nèi)部審計與風險管理聯(lián)袂機理，研究二者聯(lián)袂機制，提高組織風險防控能力。

[關鍵詞]內(nèi)部審計? ?風險管理? ?聯(lián)袂機制? ?DSR模型

一、引言

當今世界正經(jīng)歷百年未有之大變局，我國經(jīng)濟發(fā)展面臨的各種難以預見的風險因素明顯增多，防范化解重大風險被列入黨的十九大報告“三大攻堅戰(zhàn)”之首。《中共中央關于堅持和完善中國特色社會主義制度、推進國家治理體系和治理能力現(xiàn)代化若干重大問題的決定》強調(diào)增強國有經(jīng)濟競爭力、創(chuàng)新力、控制力、影響力、抗風險能力，做強做優(yōu)做大國有資本。國有企業(yè)作為國民經(jīng)濟的支柱，在深化改革中必須增強風險意識，注重防范化解重大風險，統(tǒng)籌發(fā)展和安全，助力新時代中國特色社會主義事業(yè)行穩(wěn)致遠。

防范化解重大風險重要論述的提出無疑使全面風險管理的發(fā)展邁向新臺階，但實務工作中卻面臨重重挑戰(zhàn)?，F(xiàn)階段風險管理人才數(shù)量短缺，人員配備與監(jiān)管要求存在一定差距，且缺乏相關風險知識經(jīng)驗的積累;企業(yè)對風險管理所帶來的收益認識不夠全面，風險管理還未滲透到企業(yè)內(nèi)部各組織職能部門。筆者在實踐中也常常遇到各類人員關于風險管理“是什么”“為什么”“怎么做”“怎么用”的諸多困惑，全面風險管理的發(fā)展任重道遠。

在審計監(jiān)督全覆蓋的大背景下，內(nèi)部審計工作不斷向縱深推進，在審計的廣度、深度、工作流程、成果運用等方面均取得了一定成績。對一個組織而言，內(nèi)部審計在防范風險和促進組織實現(xiàn)發(fā)展目標方面具有獨特而重要的作用，能為組織可持續(xù)發(fā)展提供有力保障。在新時代背景下，內(nèi)部審計如何在風險管理中發(fā)揮作用，增加組織價值，如何結合風險管理實現(xiàn)現(xiàn)代風險導向?qū)徲嫷奶豳|(zhì)增效是審計人應當進一步思考與探討的課題。

本文在充分分析內(nèi)部審計與風險管理耦合發(fā)展的基礎上，基于DSR模型的內(nèi)在邏輯構建二者聯(lián)袂機理，并根據(jù)實踐中存在的問題創(chuàng)建二者聯(lián)袂機制，促進提高組織風險防控能力。

二、文獻綜述

（一）內(nèi)部審計與風險管理的內(nèi)涵發(fā)展

內(nèi)部審計歷經(jīng)幾個世紀的發(fā)展，其概念也在不斷革新。上世紀末，IIA（國際內(nèi)部審計師協(xié)會）對內(nèi)部審計定義進行修訂，將內(nèi)部審計的范疇延伸至風險管理。審計署先后于2003年及2018年對內(nèi)部審計工作規(guī)定進行修訂，將風險管理的內(nèi)容納入內(nèi)部審計的定義中，這體現(xiàn)了內(nèi)部審計在促進組織內(nèi)部風險防控方面的重要作用。風險管理是內(nèi)部審計發(fā)揮增值作用的重要途徑之一（鄭石橋等，2017），風險管理充實了內(nèi)部審計的內(nèi)涵，內(nèi)部審計通過擴大審計范圍，拓展審計領域，積極適應新形勢新常態(tài)，不斷實現(xiàn)自身的進化與發(fā)展。

全美反舞弊性財務報告委員會發(fā)起組織COSO委員會（Committee of Sponsoring Organizations of the Treadway Commission）在其發(fā)布的全面風險管理（ERM）框架中表示，全面風險管理以價值為導向，是組織目標確立過程中承擔增值使命的新型風險管理體系和手段。內(nèi)部審計可以從全局出發(fā)，通過自身專業(yè)優(yōu)勢對企業(yè)風險管理進行檢查、評價和報告，并提出建設性意見和建議，幫助管理層履行職責，更好地實現(xiàn)企業(yè)目標，從這個角度看，內(nèi)部審計是風險管理系統(tǒng)不可或缺的部分。

（二）內(nèi)部審計與風險管理的交融關系研究

眾多文獻對內(nèi)部審計與風險管理的關系進行了研究，二者關系十分密切。孫文剛和孫賽軍（2016）分析了內(nèi)部審計與風險管理二者發(fā)展的歷程，認為二者在互相推動中耦合，內(nèi)部審計促進了風險管理不斷完善，風險管理推動了內(nèi)部審計的演進。國際四大會計師事務所之一的普華永道曾在一項調(diào)查報告中表明，風險管理流程審計將成為內(nèi)部審計未來的三大職責之一。王兵等（2013）的研究表達了相似的觀點，認為內(nèi)部審計是風險管理必不可少的工具。侯麗茹（2014）指出內(nèi)部審計參與風險管理對改進公司治理意義重大，二者相融合對于組織價值提升大有裨益，亦是未來發(fā)展的必然趨勢。

（三）內(nèi)部審計與風險管理聯(lián)袂的必要性及可行性研究

劉力（2016）基于風險管理流程，指出內(nèi)部審計有助于風險管理識別、評估及控制應對等環(huán)節(jié)的不斷改進和完善。張艷和周永釗（2022）以大數(shù)據(jù)審計在Z公司內(nèi)部審計中的應用為例進行研究，認為隨著現(xiàn)代信息技術的發(fā)展，內(nèi)部審計工作內(nèi)涵和重心都發(fā)生了顯著變化，從第三方事后信息鑒證和內(nèi)部控制向全面風險管理轉變。王海兵等（2022）認為，防范風險與創(chuàng)造價值是新發(fā)展階段內(nèi)部審計的根本定位與使命。

綜上所述，眾多學者以內(nèi)部審計和風險管理進行大量的研究，并普遍認為風險管理是內(nèi)部審計的重點關注方向，內(nèi)部審計對風險管理起到良好作用。

三、內(nèi)部審計與風險管理的聯(lián)袂關系分析

（一）內(nèi)部審計與風險管理具有目標一致性

內(nèi)部審計的最終目的是通過專業(yè)的知識、系統(tǒng)的方法，結合組織目標，以咨詢建議、書面報告等形式產(chǎn)出，增加組織價值并提高運營效率，幫助機構實現(xiàn)組織目標。而風險管理是通過風險識別、分析、評估、應對等流程，為組織目標實現(xiàn)提供合理保證的過程?；谏衔膶Χ叩木唧w闡述，可以發(fā)現(xiàn)內(nèi)部審計與風險管理你中有我、我中有你、相互依存、聯(lián)動發(fā)展的緊密關系，他們的主要目的都是改善管理，強化治理，實現(xiàn)組織的最終目標。

（二）內(nèi)部審計在風險管理中的角色定位

1.建議者。當企業(yè)尚未構建風險管理體系時，內(nèi)部審計通常能在工作中發(fā)現(xiàn)并識別企業(yè)管理過程中潛藏的風險，通過向企業(yè)管理者提出專業(yè)意見，向相關人員倡導風險理念，提議建立風險管理過程，或是提醒企業(yè)所面臨的風險對于實現(xiàn)組織目標的影響以及采取相應控制措施的必要性，幫助企業(yè)管理層將日常經(jīng)營與風險管理更好地結合。

2.咨詢者。在風險管理建設初期，內(nèi)部審計可以發(fā)揮對組織了解熟悉的優(yōu)勢及往期的審計成果為風險管理體系搭建、風險管理流程建設等提供建議。通過咨詢的方式，協(xié)助組織初步建立風險管理過程，如協(xié)調(diào)風險管理活動、指導管理層應對風險、支持企業(yè)風險管理建設等，并發(fā)表專業(yè)意見，不斷完善公司風險管理體系。內(nèi)部審計以咨詢顧問的角色幫助企業(yè)改善風險管理過程，協(xié)助管理層找到風險管理的最佳實踐。

3.監(jiān)督者。根據(jù)COSO《企業(yè)風險管理框架》（2017版），內(nèi)部審計在風險管理監(jiān)控中具有重要地位，具體通過對風險管理過程的充分性和有效性進行監(jiān)控、檢查評估、報告和建議實現(xiàn)。IIA（國際內(nèi)部審計師協(xié)會）所發(fā)表的《內(nèi)部審計在企業(yè)全面風險管理中的角色》意見書中明確內(nèi)部審計通過確認風險管理過程的有效性確保關鍵運營風險得到恰當管理，其作為監(jiān)控活動存在于風險管理框架中。

4.宣傳者。在風險管理的全過程，內(nèi)部審計都應積極擔任風險管理的宣傳者。由于二者目標具有一致性，內(nèi)部審計通過將風險意識和底線思維推廣至組織各個層級，宣傳風險管理知識和技能，有助于實現(xiàn)風險的全員管理，也有助于開展風險導向型內(nèi)部審計工作，進一步提升工作效率和效果。

內(nèi)部審計在風險管理中的角色定位如圖1所示。

（三）內(nèi)部審計在企業(yè)風險管理流程中的作用

風險管理流程通常包含五個基本步驟：風險識別、風險評估、風險應對、實施與評估、溝通與反饋。內(nèi)部審計可根據(jù)企業(yè)風險管理偏好，明確企業(yè)的風險容量，關注超出風險容量的風險，并確認企業(yè)風險識別的完整性，就其中的疏漏環(huán)節(jié)提出建議，幫助企業(yè)發(fā)現(xiàn)未識別的潛在風險;風險評估是風險管理的重要環(huán)節(jié)，內(nèi)部審計應保證企業(yè)所采用的風險評估手段嚴格遵守了風險管理制度，遵循相應的操作流程并采取了適當?shù)募夹g及方法，以對識別出的風險進行準確評估并執(zhí)行恰當?shù)膽獙Υ胧?將風險控制融入日常的業(yè)務流程可有效應對大多數(shù)風險，通過合理的規(guī)劃和限制可有效降低風險發(fā)生的可能性，內(nèi)部審計人員在日常工作中可對這些控制活動的適當性進行評估，對于一些長期存在的風險，內(nèi)部審計可利用自身相對獨立的地位對企業(yè)長期規(guī)劃和風險策略提出建議，參與企業(yè)短期計劃的動態(tài)調(diào)節(jié)，有效指引和控制企業(yè)風險管理措施;企業(yè)內(nèi)外部環(huán)境的變化需要對風險策略進行相應調(diào)整，企業(yè)應當定期檢查和評估風險控制活動，內(nèi)部審計人員應積極發(fā)揮咨詢作用，協(xié)助企業(yè)找到科學有效的方法應對不斷變化的風險;內(nèi)部審計應確保與風險相關的信息溝通渠道暢通高效，確保企業(yè)領導者能及時充分地獲知風險信息并與之就其展開交流與溝通。

（四）風險管理對內(nèi)部審計的影響

從企業(yè)風險管理視角，內(nèi)部審計的工作方式、方法和重點也隨之變化，逐漸由傳統(tǒng)的制度型導向?qū)徲嬣D變?yōu)轱L險導向?qū)徲嫛５谝?，在企業(yè)審計計劃的編制工作階段，更關注有效的風險管理機制和健全的組織治理結構，著重考慮可能影響企業(yè)的重大風險，科學評估并將其納入內(nèi)部審計計劃。第二，在開展審計方案編制工作時，要基于風險因素，掌握企業(yè)審計業(yè)務重點，在具體審計工作中，使用檢查、訪談、再執(zhí)行、魚刺圖、德爾斐法等技術方法分析、確認、揭示關鍵性管理控制風險，找尋薄弱環(huán)節(jié)。第三，在開展審計報告編制工作時，針對實際漏洞，對企業(yè)的風險管理狀況進行評價，并提出審計意見和建議，強化管理效果。

四、基于DSR模型的內(nèi)部審計與風險管理聯(lián)袂機理

（一）DSR模型及其運用思路

DSR模型，全稱Driving（驅(qū)動力）-State（狀態(tài)）-Response（響應）模型，由PSR模型，即Pressure（壓力）-State（狀態(tài)）-Response（響應）模型發(fā)展演變而來，將PSR中的壓力負面因素進一步改進為包含正面因素的驅(qū)動力。DSR模型是常用于研究人類與生態(tài)環(huán)境相互關系的框架體系，其應用機理在于能夠檢測驅(qū)動力、狀態(tài)和響應因子系統(tǒng)之間的連續(xù)回饋機制。受到人類經(jīng)濟社會活動驅(qū)動力（D）的影響，自然資源與生態(tài)環(huán)境呈現(xiàn)某種狀態(tài)（S），為修復或發(fā)展環(huán)境人類社會將采取哪些措施響應（R），其所蘊含的因果律幫助探索人類活動與環(huán)境影響之間的因果鏈，適用領域已不局限于自然生態(tài)范疇，逐漸為經(jīng)濟社會等學科使用。在DSR模型的構建思想下，弱化負面壓力或是強化正面驅(qū)動力（D）影響，同時加大響應（R）力度，則可有效改善現(xiàn)有狀態(tài)（S），促進持續(xù)健康發(fā)展。

（二）基于DSR模型的內(nèi)部審計與風險管理聯(lián)袂機理

全面風險管理是一個逐步推進的動態(tài)過程，受傳統(tǒng)經(jīng)濟社會活動、管理水平、意識觀念等驅(qū)動力影響，風險管理多呈現(xiàn)意識薄弱、知識儲備不足、技術手段落后、缺乏成果等狀態(tài)，企業(yè)的風險管理現(xiàn)狀不容樂觀。而企業(yè)風險事件頻發(fā)易對正常生產(chǎn)經(jīng)營活動產(chǎn)生影響，進而產(chǎn)生新的以深化改革和強化風險管理為驅(qū)動力的內(nèi)生要求，如何有效應對企業(yè)當前狀態(tài)與理想目標間存在的差距值得思考。

基于前述內(nèi)部審計與風險管理相互補充、聯(lián)動發(fā)展的關系，在DSR模型的因果分析思路下，尋求風險管理與內(nèi)部審計聯(lián)袂發(fā)展，從文化培育、組織體系搭建、流程機制等方面進行響應，從內(nèi)部審計視角探索建立健全風險管理體系不失為一條有效途徑。

內(nèi)部審計力量的加入有助于加速風險管理體系建設，改善風險管理現(xiàn)狀，風險管控體系的完善同時也推動內(nèi)部審計的發(fā)展，一系列積極的響應形成一個有機的動態(tài)循環(huán)，最終達到深化國有企業(yè)改革、強化風險防控、助力企業(yè)實現(xiàn)價值增值的目的。

內(nèi)部審計與風險管理聯(lián)袂的DSR模型如圖2所示。

五、內(nèi)部審計與風險管理聯(lián)袂機制構建

（一）文化認同機制

風險無處不在，企業(yè)應牢固樹立風險意識，將風險管理貫穿企業(yè)發(fā)展始終。內(nèi)部審計可通過報告、案例分享、結果通報等形式對風險標準、風險分類、風險控制行為、風險責任等風險管理要素向管理層和員工進行宣介，強調(diào)風險管理的重要性，充分利用自身優(yōu)勢加強全面風險管理理念傳導工作。企業(yè)各級管理層需深刻理解并準確把握總體安全觀，充分考慮企業(yè)經(jīng)營過程中所面臨的各種不確定性，把風險作為重要決策變量，持續(xù)推動組織風險管理體系的建立與完善。同時，也應積極引導全員對風險文化理念的認同，使風險意識不局限于審計和風控部門，而是突破部門間界限，實現(xiàn)自上而下的全方位風險文化氛圍。風險并不代表損失，而是蘊含著機會和更多的可能性，內(nèi)部審計所傳導的文化不是一味規(guī)避風險，而是如何獲知并應對風險。

（二）流程互助機制

內(nèi)部審計可通過對風險管理全過程的適當性、有效性進行檢查、評價、報告，提出優(yōu)化和改進意見，促進全面風險管理水平的不斷提升。內(nèi)部審計人員應當結合企業(yè)所處的內(nèi)外部環(huán)境和戰(zhàn)略目標，評價組織風險容忍度的合理性，以確保組織在偏好范圍內(nèi)開展經(jīng)營活動。通過利用各種支持性技術檢查和評價風險識別、評估過程的適當性，確認流程是否與內(nèi)外部不斷變化的諸多因素相匹配，幫助企業(yè)發(fā)現(xiàn)更多的潛在風險，提升評估結果的準確性。同時，內(nèi)部審計還應對風險應對策略的適用性和匹配性進行評估，保證風險控制措施能夠達到預期效果，內(nèi)部審計人員可積極發(fā)揮自身的咨詢作用，協(xié)助管理人員尋找應對風險的最佳途徑，協(xié)助組織創(chuàng)新應對風險的新方法。

風險管理也是內(nèi)部審計計劃評估過程的組成部分，通過對風險進行有效評估，內(nèi)部審計確定工作重點，將審計工作重心集中在可能影響組織目標實現(xiàn)的高風險領域。在制訂年度審計計劃階段，可根據(jù)風險評估結果確定項目的優(yōu)先次序;在審計實施階段，進一步查找分析對組織目標產(chǎn)生影響的風險;在審計報告階段，以風險評估為基礎提出審計發(fā)現(xiàn)和建議。

（三）信息系統(tǒng)保障機制

信息系統(tǒng)建設和應用是當前信息數(shù)據(jù)爆炸時代支撐管理的重要手段，建立風險信息系統(tǒng)，從海量的內(nèi)外部交易交互數(shù)據(jù)中，通過業(yè)財數(shù)據(jù)聯(lián)動、行業(yè)對比、設置模型等采集處理分析數(shù)據(jù)，提取數(shù)據(jù)價值，實現(xiàn)風險的識別、評估、預警，形成全面風險事件庫，提高風險信息采集和利用效率。內(nèi)部審計在風險信息系統(tǒng)基礎上進行工作，一方面可對企業(yè)風險情況進行監(jiān)控預警，對企業(yè)風險管理的整個流程進行評估，提出審計建議;另一方面可通過運用系統(tǒng)擴大審計邊界，優(yōu)化審計方法，聚焦重點難點。一是基于風險信息，全面科學地統(tǒng)籌管理、合理安排審計計劃，集中審計力量于高風險區(qū)域，優(yōu)化資源配置。二是優(yōu)化審計方式，由傳統(tǒng)的翻賬簿、手動計算、駐扎一線等模式轉向信息系統(tǒng)自動化生成計算、鏈接關聯(lián)數(shù)據(jù)，通過線上梳理和分析，借助網(wǎng)絡環(huán)境加強信息探討和傳遞，通過遠程審計輔助現(xiàn)場工作，提升內(nèi)部審計效率。三是樹立大數(shù)據(jù)風控意識，提升審計人員執(zhí)業(yè)能力。風險意識是新時代增值型內(nèi)部審計人員所必須具備的基本意識，對大數(shù)據(jù)的風險管控職能將超越財務管理，要求審計人員具備計算機、金融、法律等方面知識，優(yōu)化整體知識結構，拓展專業(yè)邊界，打造多元化審計隊伍，提升內(nèi)部審計主體能力，促進內(nèi)部審計的增值作用。

（四）責任追究聯(lián)動機制

近年來，企業(yè)各類違規(guī)風險事件頻發(fā)，需要進一步推動風險責任追究與審計問責機制聯(lián)合，強化監(jiān)督管控，加大對責任人員的查處力度。內(nèi)部審計通過推動相關部門補充完善相關制度，對問責程序進行調(diào)整完善，明確應貫徹的原則、責任認定部門、問責具體程序、與其他條線的對接等，加大對未能及時應對和處置風險造成直接損失的各級領導人員責任追究力度，與薪酬制度和人事制度相結合，防止盲目擴張、片面追求業(yè)績、忽視風險等行為的發(fā)生。通過追責對風險責任人員形成震懾，強化行為約束，補齊風險管控的短板，嚴守風險底線。

（作者單位：廣西鹽業(yè)集團有限公司，郵政編碼：530022，電子郵箱：chendugx@163.com）

主要參考文獻

[1] 劉力.內(nèi)部審計在企業(yè)風險管理中的作用[J].中國內(nèi)部審計， 2016（8）：38-39

[2] 孫文剛，孫賽軍.風險管理視角下內(nèi)部審計的作用及實現(xiàn)路徑研究[J].山東財經(jīng)大學學報， 2016（2）：65-71

[3] 王兵，劉力云，張立民.中國內(nèi)部審計近 30 年發(fā)展：歷程回顧與啟示[J].會計研究， 2013（10）：83-88+97

[4] 王海兵，周，賀妮馨，等.基于平衡計分卡的上市公司內(nèi)部審計指數(shù)構建研究[J].重慶理工大學學報（社會科學）， 2022（3）：142-150

[5] 張艷，周永釗.大數(shù)據(jù)審計在Z公司內(nèi)部審計中的應用與探討[J].中國內(nèi)部審計， 2022（3）：35-40

[6] 鄭石橋，李嫻嫻.增值型內(nèi)部審計：理論框架和例證分析[J].會計之友， 2017（5）：131-137