国有企业开展内部审计与全面风险管理的几点思考

汪珊

摘 要：内部审计和全面风险管理都是国有企业近年来提升管理、改革发展的重要管理手段，本文从内部审计和全面风险管理的概念出发，剖析了国有企业内部审计与全面风险管理的三点区别，提出了国有企业内部审计与全面风险管理的三点联系，对如何认识当前环境下国有企业内部审计与全面风险管理工作的开展进行了有益的探索。

关键词：国有企业  内部审计  全面风险管理

一、内部审计的概念

在国内外实务当中，广受业界认可的国际内部审计师协会（IIA）对内部审计的定义为：内部审计是一种独立、客观的确认和咨询活动，旨在增加价值和改善组织的运营。它通过应用系统的、规范的方法、评价并改善风险管理、控制及治理过程的效果，帮助组织实现其目标。国内官方最新的定义出自于2018年审计署《关于内部审计工作的规定》，在IIA定义的基础上明确了内审活动的具体对象，即“本单位及所属单位财政财务收支、经济活动、内部控制、风险管理”等方面，并保留了诸如“独立”、“客观”、“完善治理”、“实现目标”、“活动”等核心概念。

二、全面风险管理的概念

现代风险管理理论自美国起源，二战后迅速发展，其大致分为传统风险管理、内部控制和全面风险管理等三个阶段。我国国资委在《中央企业全面风险管理指引》中对全面风险管理的定义是：“全面风险管理，指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，从而为实现风险管理的總体目标提供合理保证的过程和方法。

三、国有企业内部审计与全面风险管理的区别

（一）“嵌入性”和“独立性”的区别

风险管理需要嵌入业务，最好的风险管理实践就是能与业务融合发展并在其过程中对各类风险的防范起到良好效果。而审计的根与魂则是其独立性和客观性，不参与业务活动，而是对业务进行确认和咨询、了解并评价。自《中央企业全面风险管理指引》提出风险管理三道防线的概念之后，两者关系首次得到了权威阐述，在实践当中也非常易于理解、易于实现。首先，各职能部门和业务单位由于其每天处在风险信息收集的第一线，且其具有对这些信息进行具体处理的业务职责，自然就成为了风险管理的第一道防线;而专门的风险管理职能部门和董事会下设的风险管理委员会是站在公司整体、战略的高度对风险进行决策和判断的，即为第二道防线;而在前两道防线都不能完全彻底规避风险的情况下，由内部审计部门这第三道防线对其进行事后的确认、评估和建议则又成为一个互相补充的环节。”这也非常符合IIA定义中关于内审“评价并改善风险管理、控制及治理过程的效果，帮助组织实现其目标”的价值定位。因此，风险管理和内部审计的根本立场不同，一个融于业务，一个独立于业务。

（二）一个在事中，一个在事后

同是监督，风险管理和内部审计的工作方法和方式虽然很相近，但是其具体目的和发挥作用的时点也并不相同。一个侧重于事前和事中，一个侧重于事后。

风险管理工作发挥作用的核心流程是风险评估和风险应对，通过评估出来的结果采取不同的管理策略，例如风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿等。各类风险管理策略的实施就是我们日常的战略和经营决策，例如，风险转移常常利用外包和保险工具，风险对冲工具在金融业广泛采用。而目前主流的内部审计工作仍然是事后审计，包括经济责任审计、专项审计、内部控制评价、工程建设项目审计、经营绩效审核、审计整改落实等多项内容。

内控工作是一项很好的例子，可用于深入剖析两者之间的关系。内控标准的建立和对标本身就是企业自我管理的手段，也是事前和事中管理手段，那么风险管理工作侧重于内控的建立和自我评价;但是，内控实施如何仅仅有自我评价是不够的，还需要独立第三方的审计，那么内控审计工作就是对内控自评价的监督检查;两者结合才是对整个企业内控体系的一项全面评估。

（三）“战略”与“实务”各有所长

COSO委员会于2017年9月正式发布的最新框架理论《企业风险管理——与战略绩效整合》把风险管理工作从“一个过程”提升到“一种文化、能力和实践”的层次。该框架拓展了战略与风险的关系，详细分析了企业风险管理的重要性。而内部审计更侧重于确认和咨询的“活动”，通过编制审计计划并依计划履行审计程序，完成审计工作。当然，在每个审计程序的执行过程中，对审计人员的战略意识、业务能力和职业素质都有非常高的要求，然而审计工作本身由于其独立性的特点，仍不能像风险管理一样能够与战略制度与执行结合的如此紧密。

四、国有企业内部审计与全面风险管理的联系

（一）两个领域的核心目标指向一致

从国际内部审计师协会（IIA）的定义可以发现，内审就是通过发现问题-解决问题-再发现问题-再解决问题这样不断往复的循环，实现组织管理效能的不断提升，最终核心目标就是支持组织目标的实现。再看全面风险管理，它首先需要回答第一个问题是企业总体经营目标是什么，然后再考虑从企业经营管理各方面宣贯风险管理文化、贯彻风险管控流程，从而建立健全风险管理体系，以此实现风险管理的总体目标。

因此，两者的核心目标都是为企业或者组织的目标实现做保障，组织目标既包括战略层面，也包括组织和运营层面，无论审计、风险管理，还是日常业务经营，目标都是一致的。

（二）主要工作内容趋于一致

从国际和国内的管理实践历程上看，风险管理工作的做实与内部控制实践的运用发展是密不可分的。国际上，以1992年美国COSO委员会发布的《内部控制——整合框架》为标志，风险管理的方法和程序进一步规范化、标准化，风险管理的概念和理论开始在全球传播，风险管理理论体系进入内部控制阶段。之后，随着911和安然等事件的发生，使得各国政府和企业对风险的多元和复杂性的认识大大提高，2004年9月，COSO委员会发布了《企业风险管理——整合框架》，风险管理理论体系进入了全面风险管理阶段。我国自2006年《中央企业全面风险管理指引》发布以来，我国央企、国企、上市公司等纷纷以内控建设为重点，全面开始打造风险管理体系。2010年，财政部等五部委制定的《企业内部控制应用指引第1号——组织架构》等18项应用指引，标志着中国企业内部控制规范体系的成功搭建。自此，风险管理的内容和范围就融合了内部控制。

近20年来，我国内部审计的理论与实践进入到一个快速的新发展期。2010年两办正式印发《党政主要领导干部和国有企业领导人员经济责任审计规定》，明确规定，有关内部控制制度的建立和执行情况是国有企业领导人员经济责任审计的主要内容。

由此看出，不论风险管理还是内部审计，它们的主要内容随着各自理论与实践的发展，逐渐趋于一致，都落脚在内部控制体系。

（三）两个领域战略发展均需依托信息化、数据化

随着电子商务、互联网、云计算等一系列高速、高效的技术手段广泛应用于企业经营中，传统的审计作业手段和审计管理方式已经不能适应当代内审的需要，2018年5月中央审计委员会第一次会议就强调：“要始终坚持科技强审理念，采取有效措施，提升大数据审计能力，加强信息化建设”;中国内部审计协会在其发布的《中国内部审计信息化发展报告》中提出了内部审计信息化发展阶段的演进模型，当演进到战略应用阶段，信息化不再只是内部审计工作的工具，开始对内部审计“增加组织的价值和改善组织的运营”具有战略价值。

风险管理的全面性、復杂性和技术性，本身就要求需要通过现代化的技术手段——一项需要企业投入大量资源并且持之以恒的复杂系统来予以支持，这也是全面风险管理建设的必要一项——风险管理信息系统。这一要求在政策层面上，早在2006年《中央企业全面风险管理指引》就已指出：“企业应将信息技术应用于风险管理的各项工作，建立涵盖风险管理基本流程和内部控制系统各环节的风险管理信息系统。”

因此，内部审计和风险管理均需要加强信息化的建设，在基本阶段，信息化有助于支持两个领域的基础业务，但在战略阶段，信息化、数据化对其领域发展具有至关重要的战略价值。

综上，随着内部审计与全面风险管理这两项工作各自丰富内涵与实践的不断扩大和延伸，两项工作的融合点将会越来越多，也必将共同为国有企业改革发展和战略经营目标的实现与达成提供强大的助推力！

参考文献：

[1]中审网校.《国际内部审计专业实务框架》精要解读[M].北京：中国财政经济出版社，2014.

[2]王慧.COSO风险管理框架的新变化及启示[J].中国审计学会，2018（9）.

[3]严复海等.风险管理发展历程和趋势综述[J].管理现代化，2007（2）.

[4]中国内部审计协会.中国内部审计信息化发展报告[J].中国内部审计，2014（3）.