肖婧　毛淑佳　王小君

现代企业集团公司具有经济休量大、利益关联主体多、管理环节复杂、管控难度大、涉及风险复杂等特点。集团公司内部审计风险战略是企业集团公司内部审计的方向和监管策略组合，是集团公司管理层对内部审计未来发展使命与路径等问题进行的全局性定位。本文在分析集团公司内部审计风险战略管理特征和现状的基础上，就集团公司内部审计风险战略管理模式构建路径进行了探讨。

一、内部审计风险战略管理的主要特征

1.内部审计风险战略管理兼具内外双重性。由于集团公司具有复杂的多层次组织机构，这就决定了集团公司内部审计既要对集团公司本身及其子公司或分支机构和关联企业进行审计。内部审计既要满足外部监管的要求，又要满足集团公司内部强化公司治理和风险管理的客观需要;既要对集团公司董事会、审计委员会等相关机构负责，又要满足有关主管部门的监管要求。此外，集团公司的内部审计还需要与监管部门、股东、债权人等内外部利益相关者建立良好的沟通协调关系，以帮助集团公司建立起良好的内外部关系。因此，集团公司内部审计风险战略管理具有内向控制和外向保证的双重管理特征，并且两者密不可分。

2.内部审计风险战略管理具有明显的多层性。不少集团公司往往存在经营范围复杂，企业层级结构多样，快速反应能力较差等状况，客观上要求集团公司内部审计建立一个与外部环境及其内部组织机构相适应的有效的内部审计体系，以发挥内部审计的作用。也就是说，既要满足在集团公司总部设立内部审计机构，配合审计，从战略高度对集团公司总部和各子公司的经营管理活动进行监控，又要在各子公司甚至孙公司设立内部审计机构，配备审计人员，从战术层面对集团公司本级及下级单位的经营管理活动进行监控，同时从股权控制的角度出发，上级审计部门对下级审计部门具有业务指导义务。这就要求下级审计部门既要对本单位负责人汇报，还要对上级审计部门具有报告义务。这种双重汇报机制的层级架构共同织成了集团公司的内部审计网络。

3.内部审计风险战略管理具有较强的综合性。实践证明，集团公司内部审计业务已经超越了单纯的财务审计、业务审计和管理审计的层面，内部审计的重点是风险评估，要求审计部门和审计人员及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险对应策略。由此可见，集团公司内部审计部门已经不再是单一的财务审计为主要目的的部门，而是一个综合风险管理的审计部门，它对集团公司的整个经营进程，对业务活动的各环节等各方面进行有效审计，以促进改善管理。因此，集团公司内部审计风险战略管理具有较强的综合性。

二、内部审计风险战略管理现状分析

1.内部审计机制的顶层设计不足。集团公司管理层对内部审计的认识還停留在以往国家审计在企业延伸的层次上，仍然将内部审计工作定位于财务收支及专项检查监督工作，甚至有部分集团公司对内部审计机构的设置停留在上级主管部门要求之上，而是没有根据当前集团公司风险管理的需要，对内部审计在企业日常经营、风险管理中的作用认识不足。

2.内部审计的广度和深度不够。在部分集团公司中对同级职能部门的审计往往阻力较大，审计效果不佳，缺乏对集团层面经营管理和战略决策的监督，导致未能有效地对集团公司的生产经营全局实施审计，内部审计存在在广度和深度上不够的现象。因此，无法从全局的高度提出解决问题的方案，也无法为集团公司管理层提供有价值的决策信息，从而也导致内部审计部门在集团公司内部的地位不高，也影响了内部审计的资源配置能力和审计的权威性。

3.内部审计风险管理效果不大。在内部审计过程中，脱离了内部审计与公司治理的关系，集团公司管理层要求内部审计去过多地关注内部审计的内容和问题的发现，同时将内部审计机构与其他职能机构放在平行的位置，不对集团层面其他职能机构进行内部审计，导致内部审计的权威性大打折扣。同时，内部审计尚处于查错防弊的初级阶段，管理评价和咨询服务等现代审计职能未能有效发挥，导致内部审计的价值未能得到充分的肯定和认可，内部审计风险管理的效果不明显。

三、内部审计风险战略管理构建路径探讨

1.转变审计理念，确立内部审计风险管理战略思维。战略思维需要集团公司内部审计人的目光更全面、更长远，内部审计风险管理如果“只见树木不见森林”，局限于过程控制、程序设置的微观层面，那么基于此视角的内部审计风险战略管理的增值效用十分有限。为此，必须确立内部审计风险管理战略思维。一是审计工作思路应当基于公司战略规划。在实际工作中，有不少集团公司的内部审计重点集中在财务收支、综合性、经济责任、舞弊等常规审计项目，因为上述审计结束后即可体现工作成效，但审计发现的问题或风险往往能够与公司战略相联系的不多，无法为集团公司提供基于战略管理高度、从长远角度出发的增值服务。为此，集团公司内部审计应在开展常规审计确保公司运营风险得以关注的同时，应重点考虑增加与公司战略规划相关的非常规性审计业务的比重。二是审计方法应当服务于风险导向审计。集团公司的内部审计不能因循守旧，局限于传统审计方法的应用上，而是要创新审计技术和方法，在内部审计工作中，审计人员对内应了解所在组织的重大经营事项、战略调整和执行情况、业绩状况等，对外应关注所在行业的市场环境的变化、相关法规政策的更新情况等。只有掌握所在组织和产业的核心风险、关键环节等信息，才能更为全面、客观地作出审计评价，才能真正为公司经营层提供管理建议。三是审计风险评估应当透过现象看本质。目前绝大多数集团公司的内审部门在开展工作时对问题的判断往往局限于财务数据方面的监督，而忽略了对管理风险的关注。审计人员在评估风险时，往往发现了问题直接关联的内部控制风险，而未能从全局通盘考虑、从业务全链条出发分析问题造成的连锁反应。内审人对风险的关注应当更广泛、不局限，审计评价时不可仅仅聚焦问题表面。这要求内审人员善于从项目实践中总结、归纳经验，善于举一反三，通过长期有意识地培养，形成带着战略思维开展工作的习惯。

2.加强顶层设计，建立内部审计风险战略管理机制。集团公司内部审计的职责应当包括参与制定集团公司的发展战略，预测和控制集团公司风险，保证集团公司有效地利用现有的经济资源，确保公司遵守法律、法规及政策等要求。促进审计理念的转变，为集团公司内部管理提供服务并创造价值将有助于内部审计部门在集团企业中地位的提升。因此，在集团公司的顶层设计上，在内部审计职能的规划上，应当改革内部审计机构的设置，使内部审计部门对集团公司最高管理层负责，并独立于其他各管理层级，同时赋予内部审计对所有职能部门进行审计的权限，以确保内部审计应有的权威性。

3.重视人才培养，打造内部审计风险战略管理高效团队。从集团公司战略管理的角度考虑，视内部审计人员的知识管理，加强知识储备，通过各种形式和途径，每年至少安排两周的时间，组织内部审计人员进行专业知识的培训，培训内容可包括企业战略、行业与业务信息、新兴审计热点、审计技术培训，沟通技巧、法规更新、集团公司的新政策和程序、新实施的软件和系统概述、数据分析等等。通过培训，使集团公司内部审计人员熟悉和掌握战略、财务、运营、合规和信息技术等方面的技能，从而建设一支既拥有扎实审计技能又同时具备深厚专业知识和沟通能力，并能够应内部审计风险战略管理的高效审计团队。

4.强化组织建设，提供内部审计风险战略管理组织保障。为了有效加强集团公司本级对下属子公司内部控制管理及风险防范，必须建立多层次的内部审计组织网络，可针对下属子公司控制模式的不同，采取不同的组织管理形式。如在集团公司董事会下设立审计委员会，其负责人由股东大会提名和任免，内部审计机构的负责人由审计委员会进行选聘任命，集团公司下属不具备法人资格且属于集团重要的分公司，应派专职审计人员或设立审计派出机构;具有法人资格的子公司根据自己的经营规模单独设立内部审计机构，并设在子公司监事会的名下，向子公司的最高管理层负责，同时执行双重报告制度。

（作者单位：浙江华云电力实业集团有限公司）