审计问题风险评价机制在企业风险管控中的应用探究

于涛 丁林林 刘铁 曹金明 秦红伟

本文结合实际工作，探讨在烟草商业企业风险管控中，内部审计组织如何通过建立和使用审计问题风险评价机制，理清了关键性的风险和风险的关键性环节，对隐藏风险进行预警、对发生风险进行控制、对管理风险进行化解，更好地发挥内部审计在企业风险管控中的作用。

《中共中央关于制定国民经济和社会发展第十四个五年规划和二〇三五年远景目标的建议》中要求“统筹发展和安全”，凸显了“安全”二字。安全是发展的前提，发展是安全的保障，当前和今后一个时期，我国发展转向高质量发展阶段，但仍然处于重要战略机遇期，也是各类矛盾和风险的易发期，社会主要矛盾变化带来新特征新要求，错综复杂的国际环境带来新矛盾新挑战，各种可以预见和难以预见的风险因素明显增多，我们必须增强机遇意识和风险意识，树立底线思维，坚持统筹发展和安全。

对国有企业而言，面临的风险挑战不断增多，作为经济主体，不可能不遇到经营风险，作为社会个体，不可能不暗藏管理风险，风险管控已成为企业高质量发展的“必修课”，风险管控是发展的前提，发展是风险管控的保障，风险管控水平的高低和效果的好坏关系到国有企业的优胜劣汰，更关系到国家经济的安全与否。

因此，国有企业内部审计的发展趋势应该更加“贴近”风险，发挥强监督、控风险、促管理的作用，职能升级做好企业经营管理风险管控是发挥审计增值作用不可回避的重要内容。本文结合实际工作，探讨在烟草商业企业风险管控中，内部审计组织如何通过建立和使用审计问题风险评价机制，对隐藏风险进行预警、对发生风险进行控制、对管理风险进行化解，以满足企业风险管控的要求[1]。

一、内部审计与风险管控的关系

（一）基本概念

1.风险

企业在进行生产经营过程中，由于不确定因素和经营失误的影响，而使企业遭受损失或损害的可能性。它有不确定性、客观性、普遍性、必然性、可识别性、可控性等特点。

2.内部审计

一种独立、客观的确认和咨询活动，它通过运用系统、规范的方法，审查和评价组织的业务活动、内部控制和风险管理的适当性和有效性，以促进组织完善治理、增加价值和实现目标。

3.风险管控

企业通过对潜在意外或损失的识别、衡量和分析，并进行有效的控制，用经济合理的方法处理风险，以实现最大的安全保障的科学管理方法。风险管控是一个识别、控制、规避风险的系统过程，具有贯穿整个组织的结构性、一致性和持续性。

4.风险评价

在风险识别和估计的基础上，综合考虑风险发生的概率、损失幅度以及其他因素，得出发生风险的可能性及其程度，确定企业的风险等级、评价风险可接受性，从而确定是否需要采取控制措施、控制到什么程度，以实现最佳安全保障的科学技术方法，其中风险识别和估计是进行风险分级与评价的前提，风险分级是风险评估技术的核心，只有在充分揭示企业所面临的各种风险和风险因素的前提下，才可能做出较为精确的评价。

（二）内部审计在风险管控中的定位

1.内部审计和风险管控的目的相同，都是为了提高企业的经济效益，以实现企业价值最大化

风险管控作为一项管理过程，由管理层对风险管理的措施和方法进行设计并负责执行;内部审计则负责对风险管理的设计与执行情况进行测试评价，并为管理层提供有关风险管理信息。

2.内部审计和风险管控相互依存、相互作用

内部审计工作中，随着内部审计范围的不断扩大，不仅要对内部审计对象进行有效控制，还要制约企业风险管理，通过检查、评价以及制定报告的方式，促进风险管理過程的充分发挥与实施有效性，为其提出有效的意见和建议，从而实现风险管控的优化，将风险的发生和影响控制在可以承受的范围内。在风险管控工作中，内部审计工作是其重要组成部分，可以根据内部审计工作重点尽可能准确地评估存在的风险，制定风险控制措施，维持内控制度的有效运转，促进内部审计与风险管控的协调发展、共同发展。

3.风险管控是内部审计的工作职能

内部审计是企业风险管控的实施者，制定与企业目标、期望一致的审计计划，实施以风险管控为导向的审计项目，提供有价值的审计和顾问性质的支持，搭建增值型内部审计业务体系，通过其确认和咨询活动，对整个企业进行有效评价，设立合理、科学的风险识别、评估系统，利用各种方式协助企业全面风险管理的实现和战略目标的达成[2]。

（三）审计问题风险评价与风险管控的关系

风险管控必须先识别风险，确定何种风险可能会对企业产生影响，最重要的是量化不确定性的程度和每个风险可能造成损失的程度，通过降低其损失发生的概率，缩小其损失程度来达到控制、规避风险目的。

内部审计组织实施的审计项目与风险管控的要求相契合，审计发现问题对于风险的识别提供了明确的方向和路径，对审计发现问题进行风险评价分级，能进一步提高风险识别的准确性和风险防控措施的有效性，为管理层提供决策依据，从而提高审计结果的运用水平，全面促进审计结果质量的提升。

二、审计问题风险评价机制的建立和作用

开展审计问题风险评级、建立审计问题风险评价机制，通过建立审计问题和风险数据库，提升数据汇总分析、价值挖掘功能，打造风险管理的价值链条，发挥内部审计在企业风险管控中的作用。

（一）建立审计问题数据库

要对审计发现问题进行分析评估，首先要收集审计问题数据，进而梳理、评价，因此，我们研究开发了一套审计结果数据库查询系统，并导入了相关审计数据，数据涵盖了近5年来的审计项目档案和审计发现问题，可以按照审计项目、审计年度、被审计单位查询企业内部及行业上级审计发现的各类问题。审计结果数据库查询系统实现了审计结果共享，所属单位可以通过查询系统实时了解本单位审计发现问题，以及其他单位发现的问题，触类旁通、适时整改、有效规避同类问题再次发生，既起到了预防风险的作用，又为下一步审计问题风险评价提供了数据支撑。

（二）开展审计问题风险评级评价

1.风险评级方法

①按照风险类型将审计发现问题确定为资金、法律、安全、舆情、廉政、规范等6种类别风险，每个审计发现问题可能存在一种或者多种类型的风险。

资金风险主要是因制度、管理等各种原因造成的资金损失风险;法律风险主要是由于合约在法律范围内无效而无法履行，或者合约订立不当等原因引起的风险;安全风险主要是企业发生的各类安全事故（事件）造成的风险;舆情风险主要是企业单位在从事社会管理和经济活动的时候，可能面临的来自社会或者网络的负面信息、虚假信息、谣言等，这些负面信息通过发酵可能产生的舆情危机;廉洁风险主要是从廉政建设的角度，各个环节、部分可能存在隐患和问题;规范经营风险。主要是指违反行业内各类管理规则制度，但未形成资金损失的各类风险。

②参照风险管理工具“风险矩阵法”（Risk Matrix），设计了“审计发现问题评级风险矩阵图”，根据审计发现问题风险点对被审计单位的影响程度，将风险等级（风险发生后的损害程度）与风险发生概率（风险发生的可能性）各分为5个等级，通过矩阵关系确定为红、橙、黄、绿四种风险预警级别。

2.风险评级程序

内部审计部门负责对审计发现问题进行初步风险分类，确定各类审计发现问题的风险类别与审计问题牵头整改部门，然后召集审计问题风险评级专家进行风险评级，专家成员对审计发现问题的风险发生概率与风险等级进行评定，风险评级后由专家组组长审核，组长认定风险等级评定不准确，重新进行评定[3]。

风险评级专家组由财务科、法规科、计划科、办公室、烟叶生产科、安保科、审计派驻办公室等部门的专家人员组成，风险评级专家组组长由纪委书记担任。充分发挥各专业、各职能识别应对风险的优势特长，精准靶向发现、评估风险，让改进风险的措施建议更专业、更具针对性。

（三）风险评级结果的作用

1.风险评级结果对于企业风险防控的作用

内部审计围绕企业战略发展、管控模式、内控现状，针对评价评级的风险分类提出改善建议。对存在制度空白或流程缺陷的，应建议企业补充和完善有效的风险管理和内控制度，优化各业务环节的管理规范和企业内部协同流程，形成制度管人、流程管事的风险防范机制;对制度和流程执行过程存在薄弱环节产生潜在风险的，督促企业及时采取有效应对措施，降低风险损失，防止发生重大风险事件[4]。

2.风险评级结果对于审计问题整改的作用

对风险预警级别为红色的审计发现问题，作为重点事项，既要加强对被审计单位的整改督导，制定切实可行的整改实施方案，又要建章立制、堵塞漏洞、规避风险、杜绝问题再次发生;对风险预警级别为橙色的审计发现问题，制定切实可行的整改实施方案，查找问题根源和发生原因，做到彻底整改;对风险预警级别为黄色的审计发现问题，按照审计整改台账登记进行整改，不能马上整改的可每季度向审计部门报送审计整改进展情况。

三、内部审计组织如何运用审计问题风险

评级机制

审计问题风险评价机制建立后需要与内部审计项目实施配合使用，发挥“1+1>2”的作用，风险评级结果在使用中不断完善和提高评价准确性，实现实时更新、动态管理，最大程度形成风险管控协同防范合力。

（一）运用审计问题风险评价机制，有针对性地实施审计项目

以发现风险为导向开展内控审计，检查、测试和评估企业管理重点内部控制环节制度的健全性、符合性、有效性，检查内部控制系统是否更新，是否能控制新的风险，进一步揭示企业经营风险并提出解决问题的对策，堵塞企业管理漏洞;以验证效果为目的开展后续审计，通过对审计问题整改效果及对意外事項处理情况的再检查、再审计，评价整改措施的合理性、有效性，评估企业风险隐患是否消除、管理漏洞是否堵塞、新的控制措施是否有效，以便改进风险管控措施[5]。

（二）运用审计问题风险评价机制，提升内审人员审计效率

从风险管理角度实施内部审计项目越来越多，内审人员需要具备准确识别、评估风险的能力，可以借助审计问题风险评价评级，在审计项目实施中以事实、数据为主要依据，“由点及面”归纳、分析、总结可能存在的战略、营销、运维、财务、法律、管理等风险因素，思考“是什么”“为什么”“怎么办”，实事求是、有针对性地提出解决措施，发挥风险前瞻预警的作用。

（三）运用审计问题风险评价机制，有效推进审计问题整改工作

结合审计问题整改评价评级，制定统一的审计整改认定标准，将审计整改合格率纳入企业对标与考核管理，以此严格把控审计问题整改质量。审计问题严格按照整改标准、规定、要求进行整改的，属于风险消除，需要制度流程运行的不断巩固;审计整改措施已落实、审计问题已部分调整或纠正的，属于风险未得到有效控制或排除，需要制度流程的严格执行;审计问题未进行根源性整改、问题大概率再次发生的，属于风险隐患，需要制度流程调整和完善。

四、结语

面对新形势、新任务，评价和改进企业风险管控过程必然成为内部审计的重要职责，需要内部审计进一步转变观念和思路，要站得高、看得远、看得细、看得深，对风险的估计要有整体把握，风险管控对企业的价值作用要有前瞻性，建立和使用审计问题风险评价机制是一种有效的方式，既审视了企业经营过程中每个节点的风险，又理清了关键性的风险和风险的关键性环节，更好地发挥了内部审计在企业风险管控中的作用。

参考文献：

[1]秦荣生.企业数字化转型中的风险管控新模式[J].中国内部审计，2021（1）：9-11.

[2]袁敏.对内部审计职能拓展的思考[J].中国内部审计，2021（1）：17-20.

[3]王宏巍.国有企业内部审计职能定位与升级路径研究[J].中国内部审计，2020（6）：15-21.

[4]汪珊.国有企业开展内部审计与全面风险管理的几点思考[J].财经界，2020（2）：187-188.

[5]周倩倩.对国有企业内部审计成果运用的探讨[J].审计与理财，2019（7）：11-13.