宋燕舞

[摘要]本文阐述了内部审计作为风险防控协同机制的有机组成部分，应从聚焦质量绩效、关注过程控制、构建管理闭环等方面更好发挥服务企业全面风险管理、提升公司治理能力的作用。

[关键词]内部审计   风险管理   闭环

一、聚焦质量绩效，前瞻预警风险

近年来，企业面临的风险挑战增多，全面风险管理已成为企业健康发展的“必修课”，内部审计组织实施的审计项目应与全面风险管理的要求相契合。从现代管理观点来看，风险不只是导致损失的纯粹风险，还有损失和盈利并存的机会风险。企业作为经济主体，在瞬息万变的市场浪潮中，不可能不遇到风险，更多时候只要因势而为，风险也会转化为高质量发展的新动能。在审计过程中，内审人员一定要形成理性客观的思维方式，以事实、数据为主要依据，“由点及面”归纳、分析、总结可能存在的战略、营销、运维、财务、法律、管理等风险因素，同时不妨“换位思考”，将自己置于高级管理层或一线业务部门角度想一想“是什么”“为什么”“怎么办”，实事求是、有针对性地提出解决措施，发挥风险前瞻预警的作用。

二、关注过程控制，精准研判风险

不少企业为了更好地发挥内部审计的建议、咨询功能，也赋予内审机构列席本单位有关贯彻落实国家重大政策措施、研究战略发展规划、重要业务计划执行、预算管理等方面的会议，通过日常管理渠道（包括信息系统）获取财务会计、业务和管理等方面信息和资料的权限。内部审计应尽快实现由事后审计向事前、事中相结合的全过程审计模式转变，将审计监督评价融入企业管理和业务流程的日常风险管理过程，抓早抓小，排查风险隐患。

一要关注决策事项的科学性。从风险管理角度看，内部审计机构在评价决策事项程序规范的同时，重心应放在决策事项的科学性评价上。企业决策事项是否有利于提高企业核心竞争力，实现高质量发展是企业防范风险的第一内核。此外，任何企业的发展都必须适应时代要求和政策导向。当前，内审机构要将推动党中央、国务院重大决策部署在本地区本部门本单位的有效落实作为首要职责，既要有符合国家宏观调控要求以及增强竞争力、创新力、控制力、影响力、抗风险能力的发展思路，又要有战略和生产经营管理措施及科学决策，才能实现全面风险管理的目标。对战略重组、重大投资及建设项目实施、高风险领域投资等事项还要注意可行性论证是否充分恰当、决策事项是否严格、管理是否真正落到实处、是否取得预期绩效、是否造成损失浪费等风险因素。

二要关注会计信息的真实性。相对于战略、市场等“隐形风险”，会计信息失真导致的财务风险对市场、投资者、企业的“杀伤力”更大。内部审计应通过财务和经营绩效审计等对企业商业模式的利弊、资金筹集、分配、营运的规范和绩效进行判断，保障会计信息的真实准确，可以从众多财务数据中选取最具财务质量和风险代表性的收入質量来考虑其真实性。同时，对与收入确认相关的订单、合同、收发货物单据、发票、内部流转过程中的记录痕迹以及成本计算、银行收付款记录等资料要收集齐全，必要时还应结合函证等外部信息确认是否存在虚增、隐瞒、提前或延后收入的情况。此外，内部审计还要重点关注坏账准备、折旧、资产减值损失、投资收益、商誉、关联交易、研发费用资本化、在建工程、有息负债、管理费用等容易导致利润变动科目的增减变化及恰当性。

三要关注发展措施的合规性。企业生产经营管理的一切准则都需要法律来检验。合规风险属于纯粹风险，不仅给企业带来经济损失，也对企业声誉、社会形象造成负面影响。当前，大部分企业都设有法律合规部，内部审计对合规风险的关注度并不高。但作为部门、单位的内部约束机制，内部审计越有效，出现违法违规问题的可能性就越小。内部审计在制度执行、经济责任履行、经营绩效审计项目中要聚焦制度制定环节，关注规章制度、改革方案等重要文件的合规审查程序是否到位;要聚焦经营决策环节，关注是否严格落实“三重一大”决策制度，是否从完善公司治理结构角度强化授权管理、细化各层级决策事项和权限，是否对决策事项的合规性进行论证审核;要聚焦管理运营，关注公司管理层和职能部门是否严格执行合规制度、是否对重点管理运营流程进行监督检查、管理运营过程是否依法合规;要特别关注包含董事、监事、高级管理人员在内的全部人员的合规自律行为，对可能存在行贿、造假、关联交易、操纵股价、欺诈投资人和监管部门的违纪违法违规行为要及时亮红牌，及时移交处理，坚决果断遏制合规风险。

四要关注方法技术的创新性。党的十八大以来，随着统一高效审计监督体系的构建和内部审计功能的日臻完善，以风险导向为主的内部审计项目越来越多，需要审计人员具备准确识别、评估风险的能力。同时，企业风险管理涉及诸多职能部门，相关职能部门对各领域的业务规程、风险应对流程相较审计人员来说更专业。在此基础上通过人员整合，将内审部门的“单兵团”作战转变为与其他生产经营管理人员共同组成审计组的“大兵团”联合实施，发挥各专业、各职能识别应对风险的优势特长，精准靶向发现、评估风险，让改进风险的措施建议更专业、更具针对性。有条件的企业还可将业务数据与审计数据相融合，建立风险数据库，提升数据汇总分析、价值挖掘功能，打造风险管理的价值链条。

三、构建管理闭环，防范化解风险

内部审计通过与风险管理、内部控制的密切结合，实现对企业全面风险管理目标的“自检”。企业要善于运用内部审计的评价监督成果，检视内部控制缺陷，不定期总结和分析现有风险管理策略的有效性和合理性，形成风险防范的共建共享机制，确保“制定—评估—整改—提高”的效果，提升企业管理效率和经济效益，增强抗风险能力。

一是建立分类处置防范闭环。内部审计应围绕企业战略发展、管控模式、内控现状，针对发现的风险隐患分类提出改善建议。对存在制度空白或流程缺陷的，应建议企业补充和完善有效的风险管理和内控制度，优化各业务环节的管理规范和企业内部协同流程，形成制度管人、流程管事的风险防范机制。关键控制点的薄弱环节产生潜在风险的，应向风险管理委员会、审计委员会发出预警，督促企业及时采取有效应对措施，降低风险损失，防止发生重大风险事件。

二是完善信息共享反馈闭环。根据《中央企业全面风险管理指引》要求，企业内部审计部门的风险监督评价报告应直接报送董事会或董事会下设的风险管理委员会和审计委员会。内部审计参与全面风险管理协同机制，内审机构的职责应为发现风险隐患、提出建议并向审计委员会报告。审计委员会应承担起向董事会发出风险预警并督促管理层制定、落实风险应对措施，实现风险管理目标的责任。任何风险事件的防范都离不开信息共享反馈机制的保障，当然涉及风险事项的信息共享机制不应仅限于内部审计机构、内部审计委员会、董事会层面，还应将风险管理委员会、风险合规管理机构以及相关部门等多业务职能单位纳入，从而在具体企业、具体业务领域最大程度地形成风险管理协同防范合力。

三是推进通报整改评估闭环。内部审计在全面风险管理中真正发挥增值作用离不开建议咨询意见的落地。作为“经济体检”的“健康卫士”，内部审计对发现的共性问题要加强汇总分析，对系统性、趋势性、苗头性问题要及时提出有利于标本兼治的对策建议，为企业治理提供高质量的决策依据，守住风险防控“红线”。在风险管理评价监督过程中，还可以进一步对风险组织体系、风险管理解决方案进行优化，对潜在风险进行预警，促进企业优化应急预案，更加有效抵御风险。不论是治理层、管理层还是风险管控的业务部门，都要采用宣传培训、制度完善、措施纠偏、评估反馈等方式，更充分、更广泛地运用好审计结果，切实抓好风险问题（隐患）的整改。

（作者单位：中信工程设计建设有限公司，邮政编码：430014，电子邮箱：songyw1@citic.com）