风险导向的企业内部审计实践
2021-08-09付淑威
付淑威
[摘要]百年未有之大变局时代,企业面临的风险正在以光速出现,企业运营的不确定性与日俱增。作为企业四大治理基石之一的内部审计也应与时俱进,积极参与企业风险管理。本文结合审计实践,从内部审计年度工作计划,到内部审计项目开展,再到内部审计结果运用,力求深入浅出地总结探讨以风险为导向的内部审计,以期对内部审计工作者有所借鉴。
[关键词]风险导向 内部审计 高风险 增值
中国内部审计协会发布的《第1101号——内部审计基本准则》将内部审计定义为一种独立、客观的确认和咨询活动,通过运用系统、规范的方法,审查和评价组织的业务活动、内部控制和风险管理的适当性和有效性,以促进组织完善治理、增加价值和实现目标。该定义明确提出了内部审计在组织风险管理中肩负的责任。国际内部审计师协会前秘书长兼首席执行官理查德·钱伯斯曾指出,一个组织最大的风险是内部审计忽视的风险。故时代呼唤以风险为导向的内部审计。
一、以风险为导向的内部审计特点
在思维模式方面,与传统的内部审计思维模式相比,以风险为导向的内部审计首先关注的是组织目标,而不是内部控制。以风险为导向的内部审计更加注重组织系统性、苗头性问题,审计应关口前移而非事后诸葛,其基本工作思路是以客户为导向,紧紧围绕客户的组织目标进行风险识别评估,将有限的审计资源投入高风险领域。找出影响组织目标达成的剩余风险,挖掘风险形成的动因所在,针对问题提出审计意见和建议,从而改善组织管理,实现组织目标。
风险导向的内部审计应首先确认组织目标或某项业务的目标,然后分析对这些目标产生影响的风险以及管理这些风险的控制措施,最后测试实际的控制措施。
从审计方式来看,与外部审计相比,以风险为导向的内部审计更加注重组织的风险识别和评估,以促进组织风险管理水平的提升,从而降低审计风险。审计手段方面比较注重分析性复核程序,利用信息技术等现代化工具进行大数据分析。
在审计价值利用方面,以风险为导向的内部审计不仅关注组织的过去,更关注组织的现在和未来,关注对组织现在和未来产生影响的事件,倒逼组织机制完善,从而促进组织抗风险能力的提升。
二、以风险为导向的内部审计策略
(一)以风险为导向制订审计计划
一是审计如何立项,即“审什么”。在制订年度审计工作计划时,要紧紧围绕集团年度战略目标,带领全集团各成员单位开展风险识别、风险评估工作。二是审计项目的确定要与集团高管团队充分沟通,在达成共识的基础上确定全年审计项目。三是与时俱进,根据内外部环境变化对年度审计工作计划进行动态调整,切实将审计资源投入集团高风险领域。
(二)以风险为导向开展审计
审前调查阶段,围绕被审计单位的战略目标,识别该单位影响核心业务开展的因素或障碍,挖掘剩余风险,按风险的大小确定审计方案工作重点。审计实施阶段,根据审计工作的不断深入,发现新的更大风险点,调整原定审计方案。以组织目标为起点,在评价内部控制的基础上识别风险。对审计发现问题的界定,坚决摒弃“秋后算账”,分析审计发现的标准、现状、影响、原因四要素,不仅关注组织的现在,更关注未来。对于尚未造成影响而对组织未来产生不良影响的苗头性问题,作为风险提示,在审计报告中专题描述,并针对该风险提出审计建议,防患于未然。
(三)审计管控下沉,建立问责机制
将审计重心从事后审计前移至事前审计和事中审计。内部审计部门要提前介入事前风险评估,包括对组织内各类文件及管理制度的效用、可操作性、完整性、兼容协调性等进行评估,发现问题或漏洞,向发文部门指出,或进行征询事前审计,目的是促进企业加强预算、计划、预测和决策的准确性、合理性和可行性。事中审计则要加强对经济活动的跟踪审计,发现问题及时预警,及时提出处置方案,将各类风险消灭在萌芽状态,避免风险事项给公司造成重大经济损失。审计管控“下沉”是指内部审计工作作风要深入细致,深入组织经营业务的关键流程和关键环节中去,沉下心来认真思考问题,分析问题的本质,有针对性地提出审计意见,并扎实抓审计问题的整改落实。建立问责机制的目的一方面是促进被审计单位和被审计人员恪尽职守,提升公司决策和经营管理水平,确保经营的安全性、盈利性、持续性;另一方面,对内部审计人员也要加强内部监督,建立審计项目责任制,防止内部审计人员玩忽职守。
(四)建立风险预警机制,前移风险关口
风险预警机制的建立并正常运转是组织风险管理有效的重要标志。风险管理部门要协同经管、财务、物流、客户管理等部门,在企业管理方面,特别是在对应收、预付、库存等三项资金的管控层面,通过对逾期天数、市场变动、合同履约和对方经营状况变化、行业环境变化等的分析了解,探索建立适用、可操作的评估方法,逐步量化经验评估值,搭建三项资金风险预警体系,建立风险处置预案,优化业务流程。加强事前合规性审核,有效防范风险发生。协同各职能部门,梳理、跟踪在手合同,优化各部门现有业务运作流程,积极推动建立新模式业务的准入条件、额度控制、操作规则、止损机制和风险控制办法。执行有力是保证顺利实现组织战略的根本,需要通过职能部门的督查督办及内部审计部门的审计监督协同完成。制度执行力度不够,审计风险必然更大。处置高效既包括风险事项发生后的及时处置,也包括审计查出问题的自查自纠。组织要建立整改纠偏制度和流程,明确与被审计单位沟通,包括反馈时限、反馈方式、整改方式、具体措施及决心、整改落实的后续检查等各项程序。
三、以风险为导向的内部审计案例
某集团注册资本10亿元,员工1000余人,总资产规模近80亿元。10年来,集团坚持以影视、旅游、商业、文创四大产业为核心,坚守“给城市更多可能,让生命无限精彩”这一企业使命,致力成为优秀的文旅产业综合运营商。集团于2014年初在董事会的推动下成立了审计专职机构,直接向董事会报告工作。在董事会的指导与支持下,审计发挥着监督、咨询两项基本职能。
(一)以集团风控体系建设为切入点
2020年,为更好地开展集团风控体系建设工作,树立风险意识,营造风险文化,疫情期间通过线上方式对集团副经理以上管理人员进行了风控体系建设相关知识宣贯,详细介绍了风控建设的具体实施步骤及要点要求。
在审计部门的推动下,首先统一集团风险语言,确认集团管理团队的风险偏好和风险承受能力;其次经过多层次、多频次的内控和风控培训,营销风险文化,树立风险意识;再次,从集团和业务两个层面进行风险识别、评估、应对及风险管理水平评价,集团所属各单位以重大风险管理为抓手,不断提升全面风险管理工作的实效性。一是紧密围绕组织战略目标和当期经营目标开展风险评估,建立常态化风险评估机制,不断完善风险评估方法和流程,切合实际地制定重大风险评判标准;二是进一步完善重大风险管理策略,明确风险偏好和风险承受度,据此制订重大风险解决方案,明确重大风险的责任主体和应对措施,并合理配置资源,确保重大风险管理措施落到实处;三是建立重大风险监控预警机制,科学设置监控指标,及时掌握、分析重大风险的变化趋势,动态调整管理策略,实现对重大风险的动态管理和有效管控。最后,审计不仅跟踪风控措施的落实情况,还对年度各单位开展的风控工作进行综合绩效评价,纳入各单位绩效考核,大大促进了集团风控体系建设能力的提升。如2020年,在审计主导下,对23家子公司单位进行风险识别与评估,识别出108个重要风险点,并逐一落实风险管理责任人。经过历时一年的风控体系建设,23家单位均已按原定方案采取相应的风险管理措施并积极落实,落实率达96.30%。年中和年末出具集团风控体系建设简报和2020年度集团风控报告并呈报董事会。
(二)将审计资源有效投入高风险领域
首先,紧紧围绕组织战略目标开展了近100个经营管理审计和经济责任审计项目,发现问题近1000个,提出审计建议600多条,审计整改率90%以上;进行风险提示200余项;对集团十大房地产项目实施全过程跟踪审计,工程成本审减率9%左右。其次,在审计主导下,集团各部门风险意识逐步增强,风控文化初步形成,风控体系建设工作取得了长足进步。再次,以风险清单督导制为切入点,实施风险导向的经营管理审计。为提升集团全面风险管理水平,增强审计监督,减少共性问题的发生,梳理了近年来审计发现的问题,包括企业文化管理、公司治理、制度管理、财务预算管理、财务资金管理、财务核算管理、财务监督管理、采购管理、营销管理、投资管理、信息化管理、人事管理、合同管理、品质管理、资产管理等17个领域的共性问题清单,提炼共性问题46項,列举了88项常见问题的表现形式,注明了主要定性依据,并提出建议措施,供各单位在工作中自查自纠。
为提升集团固定资产投资及工程建设项目风险管理水平,杜绝共性问题的重复发生,梳理了《集团固定资产投资及工程建设项目重大风险清单》,汇总了10个关键环节66个风险清单,列举了常见问题的表现形式或案例描述,并提出相应的建议措施,供相关单位在工作中借鉴,防范屡审屡犯情况发生。
(三)以内部控制自评与审计评价为抓手
近年来,在审计部门的推动下,集团制定了内部控制手册,将核心业务的内部控制重点环节梳理为内部控制自查自纠的管理工具。每个审计项目进点前下发至被审计单位,将自查自纠工作质量作为评价被审计单位配合审计工作的重要依据。此外。自查自纠改善的问题不再在报告中体现,对于特别出色的单位予以正激励,在集团范围内进行公告,不仅充分调动了被审计单位的配合力度,还大大提升了审计工作效率。
2020年,在对下属某子公司进行工程管理内控测试时发现,部分工程签证单未及时提交,部分签证未附工程实施记录和验收记录。针对内测发现的问题,公司修订了《建设工程现场签证及设计变更管理的指导性意见》,要求每份签证单完善工程联系单(任务指令单)、工程过程记录、工程验收记录。工程实施前签证单应对工程范围进行明确,工程实施中对增(减)工程内容、数量、质量等进行详细记录,工程完成后对签证工程进行验收。特殊情况通过口头沟通紧急施工的,事后应及时补充书面工程联系单(任务指令单),隐蔽性工程应同步记录,及时完成签证单审批流程。
在百年未有之大变局的当代,传统以财务收支为主要审计对象或以测试内部控制为起点的内部审计已经不能适应企业的发展,势必影响审计增值作用的发挥。内部审计要顺应时代发展变化,以风险为导向开展审计工作,这不仅是一场变革,更是一场革命。
(作者单位:博地控股集团,邮政编码:311215,电子邮箱:719079733@qq.com)