新形势下“寓内部审计于风险管理之中”实务探索

严忠新 马琼 张燕 牟德志

[摘要]内部审计向组织董事会或最高管理层报告的特殊地位，使其在风险管理中能够发挥更大作用，成为组织风险管理中的一个重要变量。本文提出“寓内部审计于风险管理之中”理念，认为内部审计不应成为风险管理一个独立环节（ADD-ON），而应融合到风险管理的全过程和各领域（ADD-IN）。本文还通过“三圈七区图”新思路解读内部审计、风险管理和内部控制相互融合及相互促进的关系。根据中广核工程有限公司内部审计“以风险为导向、以质量为核心”两项并举实践，探索分析新形势下“寓内部审计于风险管理之中”为组织增加价值的具体体现，以期为业界参考。

[关键词]内部审计   风险管理   内部控制   新形势

一、引言

2021年中央经济工作会议指出，进入新发展阶段，我国发展内外环境发生深刻变化，面临许多新的重大理论和实践问题，需要正确认识和把握。内部审计应当深刻领会中央会议精神，结合所在组织具体实践，充分发挥在风险管理中的优势，创新审计思路和方式方法，帮助组织强化治理和管理，提升应对风险的能力和水平，促进组织实现高质量发展。组织发展越快，其运营所面临的挑战越大；内外部环境越复杂，所面临的不确定性就越大，越需要完善相应的风险防范管理体系。内部审计必须高度关注组织所面临的风险。

当前国际国内面对多重风险，内部审计通过评价和改善组织的风险控制帮助组织预防运营过程中影响其目标实现的各种风险，提升组织管理水平，这是内部审计适应组织发展的内生需求和原动力。在新形势下内部审计如何利用其在组织中向董事会或最高管理层报告的特殊地位，如何打通与风险管理的责任边界，不断用新方法防范化解重大风险，在风险管理中发挥更大作用，把自身“融进去”，更好融入组织战略部署和发展大局，服务于组织的安全与发展，推动组织高质量发展，是内部审计需要研究和探讨的课题。

本文以中广核工程有限公司内部审计为例，提出新形势下“寓内部审计于风险管理之中”管理理念，将内部审计嵌入风险管理之中。内部审计不仅是风险管理一个独立环节（ADD-ON），而应融合到风险管理的全过程和各领域（ADD-IN）。此外，本文还探讨分析了通过“寓内部审计于风险管理之中”为组织增加价值的具体体现。

二、“寓内部审计于风险管理之中”理论研究分析

（一）内部审计在风险管理中发挥作用的依据

《审计署关于内部审计工作的规定》要求“国有企业内部审计机构或者履行内部审计职责的内设机构应当在企业党组织、董事会（或者主要负责人）直接领导下开展内部审计工作”。内部审计能够与组织最高管理层保持密切联系，为组织重大决策提供风险评估方面的建议，这就决定了内部审计在风险管理中具有其自身特点：可以充当本组织最高领导层的助手和参谋，成为组织管理体系中不可缺少的特殊部分，服务于组织的总体业务目标。

中国内部审计准则《第1101号——内部审计基本准则》规定，内部审计机构应当接受组织董事会或者最高管理层的领导和监督；内部审计机构和内部审计人员应当全面关注组织风险，以风险为基础组织实施内部审计业务。

《国际内部审计专业实务框架》（IPPF）《标准》2060规定，首席审计执行官必须定期向高级管理层和董事会报告重大风险和控制事项。《标准》2120.C1要求“在开展咨询业务时，内部审计师必须关注与业务目标相关的风险，并警惕其他重大风险的存在”；2120.C2要求“内部审计师必须将开展咨询业务过程中了解到的风险情况，运用于评估组织的风险管理过程”等，也为内部审计利用其在组织中的特殊地位和作用为风险管理做出贡献提供了依据。

（二）内部审计在组织风险管理中的角色定位

不同控制环境下内部审计在风险管理中承担的角色定位不尽相同。随着组织的发展，只有內部审计角色定位准确，才能发挥更大作用。

1.协调者。内部审计部门协助组织的其他职能部门制定适当的内部控制及风险管理策略。

2.仲裁员。在组织全面风险管理方面，内部审计强调的是“评价”而不是“鉴证”，工作重点是评价组织管理过程。

3.咨询师。内部审计不仅要开展风险管理审计，还要充当咨询师，增强组织内部风险管理意识和能力。内部审计通过多种形式参与组织风险管理中，并提供咨询业务，从而完善组织风险管理过程的各个流程。

4.预防者或补救者。内部审计代表对于已知或可能的问题直接承担预防或补救的角色。比如，在组织中制定并开展有关风险管理的培训课程，起草相关政策等。

5.整合者。王光远（2007）认为内部审计在组织中扮演的角色是“风险管理与公司治理的整合者”。

（三）内部审计在组织全面风险管理中的独特优势

风险管理是内部审计职业发展的重要推动力，促进内部审计更加关注组织的目标和重大风险，从而有效发挥其作用，增加组织价值。组织中内部审计与风险管理的工作流程通常如图1所示。

内部审计在风险管理中能够发现组织存在的问题和风险，预警和提示风险。由于不确定性的存在，组织和审计人员都面临各种风险。外部审计更加热衷于思考如何规避自身审计风险，而内部审计则聚焦于如何帮助所在组织避免风险。内部审计应用基于风险的方法，评估并协助改善组织的风险管理过程。内部审计通过确认和评价组织对风险管理的有效性，发挥其确认和评价作用。内部审计通过协助组织审核重大决策，预防和化解风险，发挥咨询服务作用。

内部审计能够全面独立客观地评价风险管理。组织架构的设置使得各部门各司其职，但无法独立运作，必须相互配合。如果某个部门发生风险，必然会牵涉其他部门。因此，组织对风险的控制和防范必须从全局考虑，而审计部门在日常工作中不执行具体的活动安排，与组织其他部门保持相对独立。内部审计的职能范围和组织的风险管理是辩证统一的，最终目标也趋于一致。

（四）内部审计、风险管理和内部控制的关系

内部审计、风险管理和内部控制三者相互作用，相互影响，相互促进、相互渗透，三者都是组织管理的组成部分，都是为了维护投资者利益、保全组织资产（包括数字资产），促进组织创造新的价值和发展。“三圈七区图”可以说明三者的关系（如图2所示）。

首先，内部控制为风险管理提供控制机制，为内部审计提供审计对象，内部控制的重点就是内部审计关注的重点。管理过程中风险的产生，也取决于内部控制机制有效与否。对于一个组织来说，内部控制与风险管理的直接载体都是组织的运营活动，两者存在必然联系。按照法国管理学家亨利·法约尔的组织管理理论“控制是管理的职能”可以推断得出，内部控制也是风险管理的一个职能。内部控制对于组织的治理作用在于规范管理、防范风险，防微杜渐。内部审计与内部控制的最终目的都是管理风险、提升治理，实现组织目标。内部控制的目标是为了让组织高质量发展，不应为了规避风险而限制和妨碍组织的发展，要统筹发展和安全的关系，通过内部控制筑牢安全屏障，防止和避免风险事件发生，如图3所示。

其次，风险管理是内部审计的依据，它为内部审计作业提供逻辑地点和发展方向，通过分析管理过程中存在的问题及各类风险，为内部审计目标提供依据，减少确定审计目标和审计重点的时间，直接指明整个审计项目的方向与审计重点。针对组织风险源分析、风险识别、风险评估、风险控制等方面可能存在的问题，内部审计可以通过适时、及时地传递、监督落实风险管控措施和主体责任，出具监督检查评价报告，使各类风险因素得到有效的控制和防范。内部审计对风险管理具有检查与评价、管理与协调、顾问与咨询、报告与防范等作用。

最后，内部审计通过确认和咨询来完善和优化风险管理和内部控制，对内部控制和风险管理提出更高的要求。内部审计是组织内部控制体系中的重要组成部分。在评估内部控制制度有效性方面，内部审计人员扮演着重要角色，并对内部控制的持续有效性做出贡献。审计与风险管理相互依存，董事会一般下设审计与风险管理委员会、审计与风险控制委员会等。内部审计通过融入风险管理，为董事会充分发挥“定战略、做决策、防风险”的职权提供服务。

2020年7月，国际内部审计师协会（IIA）正式发布了全新的“三线模型”，将原三道防线模型升级为三线模型。新模型强调组织不应将风险管理仅局限于防范风险，而是要更加全面地为组织的战略和运营提供支持，不再局限于防御功能；强调各线职能之间的协调和统筹，使组织管理形成合力，明确内部审计的“独立性不意味着完全孤立”，进一步指出各项职能之间相互配合，并把利益相关者的利益放在首位，才能共同努力为组织创造价值并加以保护。这为组织内部审计提高效能提供了指引。

围绕内部审计如何在风险管理中发挥作用，国内外审计领域学者开展了一系列研究。鲍国明、刘力云（2021）在《现代内部审计（修订版）》说明了如何开展风险管理审计。王光远（2005）认为“内部审计是风险管理的函数，是对风险管理的再管理。风险管理审计要以价值链、价值网为主线，提高内外部顾客的满意度”。在严忠新、肖竞（2021）编译的《亚洲内部审计师协会联合会问卷调查报告——内部审计转型：未来的工作、新兴风险和趋势》中，相关受访者表示，当前内部审计职能需持续加强在新兴领域的专业能力、资源、工具和技术方法等。组织在提供重要风险洞见方面对内部审计的依赖性持续增加，受访者更加关注和强调内部审计对组织有意义的风险领域，如战略、信息技术和业务连续性风险。作为值得信赖的顾问，内部审计应当不断改进自身工作，更好地了解和应对组织可能面临不断变化的风险。内部审计还需要与第一线和第二线部门密切合作，通过跨部门的治理、风险与合规整合技术，适当地确定重点领域的优先级，从而在组织中有效发挥作用。2006年国资委发布的《中央企业全面风险管理指引》，将企业风险定义为“未来的不确定性对企业實现其经营目标的影响”，并明确要求中央企业要建立全面风险管理机制，报送风险管理年报。国资委将内部审计设为“企业风险管理的第三道防线”。2018年财政部发布《管理会计应用指引第700号——风险管理》认为，企业风险是指对企业战略与经营目标实现产生影响的不确定性。从上述理论可见，内部审计日常工作主动介入风险管理，对主要业务领域和关键控制点进行风险控制，为风险管理活动提供建议和引导等都是属于内部审计服务的范畴。内部审计既是监督者，又是服务者，寓审计于服务中，在服务中实现监督。内部审计监督与服务是辩证统一的关系，是同一职能的两个方面。服务是目的，监督是手段。监督就是为了实现服务。两者相互依存，相互协调。

三、内部审计在风险管理中面临的挑战和问题

大多数组织都将内部审计在风险管理中的职责定位于独立的监督者和评价者（ADD-ON）。如果内部审计人员长期只是作为旁观者观看和指出业务部门的问题，内部审计就会逐步被边缘化和弱化，在组织中的地位岌岌可危，甚至可有可无，因为组织中没有完全超脱的第三方。

当前，我国内部审计已经进入了一个新的历史时期，内部审计人员面临着种种挑战和问题。

（一）组织体系复杂化

随着组织的不断涌现和新兴业务的不断出现，组织机构设置和职责范围更加灵活多变，业务更加复杂化和多样化，使得内部审计的难度越来越大。内部审计机构在资源有限的情况下，对经营风险识别、评估和应对能力不足，可能导致组织经营失败，而内部审计的无效或失效，则可能损害组织和利益相关者对内部审计的整体评价。

（二）信息技术快速发展

内部审计常常会面对大量的财务数据、采购数据、合同数据等，而在这些数据嵌入组织信息系统的环境下，审计人员往往会处理庞大、繁杂的业务数据。如何在海量的数据中寻找有用的审计线索，如何将大数据分析技术整合为各种来源的审计信息、梳理其关联性、获得审计发现，如何协助组织将新兴技术带来的风险控制在可承受的范围内等，是审计面临的挑战和问题。

（三）风险管理常态化

在世界百年未有之大变局、市场竞争不断加剧等情况下，对于非垄断性行业而言，随时有倒闭破产的风险。人工智能（AI）、云计算等技术创新或革命，使得传统管理流程发生显著变化，有的新兴风险难以被察觉和识别，现有技术对新兴风险可能还做不到完全应对。2017年9月，美国反虚假财务报告委员会下属的发起人委员会（COSO）将2004年发布的《企业风险管理——整合框架》修改为《企业风险管理——通过策略与绩效调整风险》，进一步强调了策略调整与绩效调整对于防范风险的重要性，基于战略视角的风险管理意义重大，也表明过去注重细节式的风险管理体系存在较大缺陷和不足，风险既要从战略视角也要从战术角度进行系统化、常态化防范。

（四）重大风险预警未标准化

风险管理方面，有的组织没有针对未实现的年度控制目标进行原因分析，未建立重大风险预警状态标准；有的组织未建立全面风险管理制度和重大风险管理标准，缺少对风险管控效果评价标准等。

（五）内部审计未实现转型

内部审计管理工作中，未顺应或契合组织的变革实现审计数字化转型，未采用敏捷审计、云计算、机器人流程自动化（RPA）等审计方式提高审计效率和质量。审计未建立或使用风险预警系统等，对组织的风险提示和告知不足。

四、“寓内部审计于风险管理之中”解决方案

不同组织拥有不同的目标、战略、结构、文化、风险偏好和控制手段，没有任何组织的内部审计对风险管理的解决方法是相同的。适者生存是组织对其所设置部门自然的选择结果。在复杂多变的环境中，内部审计要想在组织中生存、发展、壮大，在目前大多数组织将内部审计当做是“成本中心”的价值体系现状下，内部审计必须利用其在组织中的特殊地位为组织提供更多的价值贡献，“寓内部审计于风险管理之中”，才能求生存、求发展。

（一）“寓内部审计于风险管理之中”理念

内部审计在风险管理中，应进行换位思考，躬身入局，把自身摆进去，把问题摆进去，积极融入到风险管理中（ADD-IN），把自身作为风险管理的重要变量，以董事会、高级管理层或一线业务部门的视角看待风险，常思“有什么风险”“如果发生风险事件后果是什么”“为什么会产生这些风险”和“如何化解这些风险”等，对风险产生的根本原因进行分析，有针对性地提出防范措施，充分发挥风险预警作用。内部审计在风险管理中的主要职责除了检查、监督和评价外，还要承担咨询服务责任，即在风险识别、评价中发挥预警作用，在风险防范化解中发挥参谋、顾问作用，融入风险管理全过程和各领域，“寓内部审计于风险管理之中”。

（二）建立“以风险为导向、以质量为核心”两项并举新理念

新形势下内部审计必须积极思考、勇于探索、主动变革，多维度为组织贡献价值。比如，搭建以“以风险为导向、以质量为核心”并举的内部审计管理体系，表1为其平衡计分卡范例，风险管理和质量控制分别占比25%，此外还包括业审融合、合法合规、审计项目管理等。

（三）识别未来的风险

增加风险识别频率，将每年一次的评估改为每半年一次；进行实时风险评估；关注变化和经营策略；制订具有灵活性的审计计划，以应对出现的新兴风险。

（四）为风险提供更好的评价服务

内部审计为组织提供产品/服务清单，包括以风险为导向的过程审计，进行事前检查和评价，开展内部控制自我评估（CSA）。比如，广州地铁集团有限公司通过CSA会议方式推动两个审计项目成果的运用，取得了良好成效。CSA更强调风险管理的思想，是一种对风险状况反应更加灵敏和迅速的评价机制。

（五）积极探索增值审计的新方法

确保审计以风险为导向：一是针对整个业务流程进行审计，而不是组织的某个业务单元；二是重点关注流程改进，而不是控制；三是内部审计人员紧跟时代步伐，适应数字化转型，使用云计算、区块链、RPA等新兴技术开展审计，使内部审计职能变得更加敏捷、灵活，同时洞察和注意应对新兴技术带来的风险；四是具有动态性和前瞻性思维，以更新、更高的视野提升与一线和二线部门的关系，包括协调和沟通审计项目风险评估的方法等。

五、新形势下“寓内部审计于风险管理之中”案例分析

中广核工程有限公司（以下简称公司），是中国广核集团主要成员单位之一，拥有员工5000余人，是中国第一家专业化核电工程管理公司，公司内部审计业务向董事会负责并报告工作。审计部作为董事会和高级管理层推动公司经营管理的重要抓手，逐步发展壮大，创新内审理念，推进内审转型，不断探索新的审计方法，利用内部审计在公司的特殊地位，与风险管理全方位、全过程、全流程相结合，帮助公司有效防范和化解重大风险。

审计部根据公司不同历史时期和现实工作情况，顺应内部审计发展趋势，积极转型，建立了新型的“以风险为导向、以质量为核心”内部审计理念，并将该理念贯穿于审计全过程，努力与业务部门同频共振，为实现公司发展目标同向发力。

审计业务以风险为导向：一是审计工作计划与风险强关联，需評价风险的重要性和影响程度，将公司的风险评估结果作为下一年度制订审计计划重要参考，根据已识别风险的可能性和后果进行分配资源，重点关注“双十风险”中影响公司经营目标实现亟待防范的重大风险，尽量减少甚至取消与风险几乎无关的循环审计，以确定与组织目标相一致的内部审计活动重点，见表2范例。“双十风险”是指，按照风险评价方法，识别出当期不行动就会对公司经营发展造成重大影响的排名前二十位的风险进行重点管控，排名前十位的风险简称“控十”风险，排名十一至二十的风险简称“看十”风险。二是在制订审计计划时留有一定的灵活性，以应对年度中出现的突发事件和风险。三是制订审计方案时考虑每个审计分项的风险，确定审计项目重点，见表3范例。四是在审计报告中，对于审计发现问题，根据风险程度的高低进行排序；审计报告整体结论评定意见，以风险级别为关键要素，见表4范例；审计报告附件列示审计发现所属风险要素，见表5范例。五是开展采购定期内部控制测试时，首先考虑存在的舞弊风险。审计部建立了采购舞弊风险信号库，审计人员根据风险评估值对高风险点进行重点抽查，采购评标阶段的舞弊风险信号库，见表6范例。

中广核前身是广东核电合营有限公司，公司成立时由合营港方香港中华电力公司推荐担任公司第一副总经理的是曾任香港第一廉政公署署长的姬达爵士，他十分重视内部审计工作。中广核内部审计部门自成立以来一直秉持香港中华电力公司的优良做法，坚持风险导向的理念，无论内部审计机构还是内部审计人员，都将风险管理视为核心能力的重要内容。公司在“寓内部审计于风险管理之中”的实务主要包括如下内容。

1.以风险控制矩阵为抓手，持续提升内部控制评价和风险管理评价效果。要求各部门充分认识内部控制在强基固本、防范风险方面的重要作用，营造“尊重内控、支持内控、自觉接受内控约束”的良好内部控制环境，将业务流程风险与流程控制点相匹配，形成风险控制矩阵以有效控制和应对业务流程风险，并以风险控制矩阵为抓手，抓好年度内部控制评价与风险管理评价工作，不断完善和改进内部控制体系，筑牢国有资产安全防线，保障公司高质量发展。针对评价中发现的问题，实施台账管理，逐项落实整改，做好后半篇文章，并将整改情况纳入下一年度内部控制与风险管理评价中，向董事会报告整改成效。

2.加强内部控制归口管理。内部审计职能不是单纯的监督和评价，而是致力于建立和健全公司的内部控制系统。日常审计工作中，审计首先监督是否“有章可循”，如果没有，则监督并协助被审计部门建立相应的制度程序；如果有，则监督是否“有章必循”。如果被审计部门做不到，审计不是简单地“执法”，而是研究分析是内部控制的设计缺陷还是执行缺陷。如果是前者，则与被审计部门研究制度程序修订升版；如果是后者，则强调“违者必纠”。根据公司安排和需要，审计部为内部控制归口管理部门，负责编写和维护公司《内部控制手册》。在公司制度流程中，须明确内部控制风险和控制措施，并将《内部控制手册》作为制度编修的上游输入。公司由审计部牵头，跟踪落实完成出版或修订升版计划等相关工作，实现内部控制100%进制度、进流程。2022年，审计部跟踪落实190余份程序、制度升版。通过持续不断的审计日常监督，公司的内部控制系统日臻完善。

3.发挥内部审计的风险提示作用，创造隐性价值。内部审计通过从事后走向事中、事前，端口前移，充分发挥内部审计建设性和预防性作用，“预防先于纠正”，通过靠前服务给予业务部门合法合规、合理化建议。审计部通过参加“三重一大”（重大事项决策、重要干部任免、重大项目投资决策、大额资金使用）上会材料前置审查进行风险预警，开展日常咨询化解风险，及早提醒经营管理层和业务部门采取措施防范风险，起到防患于未然的作用。审计部提前充分揭示风险助力决策，及时堵塞管理漏洞，避免了不采取措施可能造成的损失或严重后果，内部审计创造了隐性价值。公司董事会和高级管理层借助审计部加强风险管理，为公司增加价值做贡献。内部审计对风险管理的咨询服务，也有助于拓展内部审计工作范围、提升内部审计工作价值和防范内部审计工作风险。

4.健全外部董事会考核机制，将风险管理成效纳入外部董事考核评价的范畴。与外部董事签订的协议书中，将防范风险作为外部董事履职评价的维度之一，对外部董事的履职情况进行量化考核。

5.建立公司“控十看十”的“双十”风险滚动跟踪机制。针对公司年度“双十”风险，每月由监控责任部门进行跟踪，抄送审计部门，及时发现风险变化情况。

6.基于公司治理体系职能监督成果，主导公司顶层制度建设。审计部充分发挥在公司治理中的作用，防范风险。随着公司治理水平的逐步完善提高，公司对内部审计提出了更高的要求，特别是审计内容、手段、职能的扩张，使内部审计向更高层次发展，向公司治理层面渗透，从顶层制度层面防范风险。内部审计成为完善公司治理结构的重要组成部分，成为公司治理的有效工具之一。审计部负责编制公司顶层制度文件，牵头完成公司治理优化改革项目，编制《“三重一大”决策制度实施办法》《董事会授权管理办法》和《总经理授权管理办法》等公司顶层程序和公司治理框架图（如图4所示），该项目获得2021年公司管理创新三等奖。

审计部编制公司顶层制度文件，评估经营风险，以企业顾问的形象服务于被审计部门，把审计对象看作服务对象，为实现组织经营目标服务。

7.协助审计与风险管理委员会充分发挥其职权。公司董事会下设审计与风险管理委员会，负责审核公司全面风险管理总体目标、公司风险管理策略及重大风险管理解决方案；指导公司风险管理体系建设与维护，审核公司风险管理报告；对风险管理制度执行情况进行定期检查和评估，并向董事会报告结果；审议公司风险管理评价报告并向董事会提出建议。审计部作为审计与风险管理委员会的日常办事机构，负责牵头承办审计与风险管理委员会的有关具体事务，为内部审计融入公司全面风险管理全过程、各领域提供了信息资源的保障。

8.促进业审融合。审计部门在审前与被审计部门共同确认风险点，使得业务部门从关注表面现象转向思考背后的本质和原因。日常工作中，审计部将历史经验反馈给业务部门，通过立行立改和举一反三等举措，协助业务部门多角度分析业务风险，进而促进业务提升。

六、结论与启示

从本质上说，审计的根本目的在于预防和化解风险，即为组织的发展起到“纠偏”和“控制”作用。因而，在定位上，内部审计绝不仅仅是监督或者约束，更应着眼于服务、指导、互动，即能够站在不同的角度、站在协调各不同部门关系、理顺并整合业务流程的高度与审计对象一起发现问题和风险，找出问題根源和风险来源，解决问题和防范风险，做到防微杜渐。“寓内部审计于风险管理之中”，内部审计部门应与其他部门共同应对组织运营中的各种不确定性，同频共振、同向发力，共同为组织防范和化解重大风险做贡献，确保组织运营安全、资金安全和员工安全等，最终实现组织目标，保证组织稳中求进、高质量发展。

（作者单位：中广核工程有限公司，邮政编码：518000，电子邮箱：yanzhongxin168@qq.com）

主要参考文献

[1]鲍国明，刘力云.现代内部审计（修订版）[M].北京：中国时代经济出版社， 2021

[2]严忠新，肖竞.亚洲内部审计师协会联合会问卷调查报告：内部审计转型：未来的工作、新兴风险和趋势[J].中国内部审计， 2021（9）：6

[3]袁亮亮等，勇气求实：探索内部审计发展之路[M].上海：立信会计出版社， 2020

[4]中国内部审计协会.国际内部审计专业实务框架[M].北京：中国财政经济出版社， 2017

[5]中国内部审计协会.实施国际内部审计专业实务框架[M].北京：西苑出版社， 2010