构筑内部审计全方位风险防控防线，助力企业安全发展

构筑内部审计全方位风险防控防线，助力企业安全发展

徐敏

中国核工业华兴建设有限公司 江苏南京 210019

摘要：本文从企业全面风险识别出发，固化潜在风险事件的内部控制关键环节，通过审计手段验证内控有效性，确认企业生产经营各环节存在的风险事件并进行动态跟踪，建立企业潜在风险事件防控清单及风险事件跟踪清单，构筑全方位风险防控防线，充分发挥内部审计风险防控职能，助力企业安全发展。

关键词：风险识别 内控预防 审计验证 动态管理

一、前言

2020年10月29日，中国共产党第十九届中央委员会第五次全体会议通过中共中央关于制定国民经济和社会发展第十四个五年规划和二〇三五年远景目标的建议，规划建议统筹发展和安全，建设更高水平的平安中国，坚持总体国家安全观，确保国家经济安全，加强经济安全风险预警、防控机制和能力建设，实现重要产业、基础设施、战略资源、重大科技等关键领域安全可控。

2021年1月，全国审计工作会议在北京召开，会议指出要做好常态化“经济体检”工作，要高质量完成各项审计任务，牢牢把握经济监督这个定位，要把揭示风险隐患摆在更加突出的位置，把真正的风险隐患及时揭示出来，推动源头治理，促进防患于未然。

为落实十四五规划及2021年审计工作会议精神，充分发挥审计“经济体检”、保障国家经济安全作用，审计工作要进一步强化风险防控职能，内部审计作为企业经营风险防控的第三道防线，必须筑牢全方位的风险防控屏障，确保企业生产经营安全。

二、构筑全方位风险防控防线的必要性

构筑内部审计全方位风险防控防线，是企业生产经营坚实的防控屏障，重点是要全面识别企业生产经营各个环节存在的潜在风险事件，针对每一风险事件制定内部控制措施，当风险事件触发后，能第一时间启动风险防控行动，将企业损失降到最低。

构筑全方位风险防控防线主要工作包括潜在风险事件识别、制定内部控制措施进行预防、通过审计活动验证内控措施有效性，建立企业生产经营潜在风险事件防控清单及风险事件动态跟踪清单，结合企业生产经营实际，及时更新风险清单，对已存在的风险事件进行动态跟踪，实现风险防控“常态化”，把揭示风险隐患摆在更加突出的位置。

全方位风险防控防线图如下：

三、构筑全方位风险防控防线的前提条件

（一）组织领导机构保障

“十四五”时期经济社会发展必须遵循的首要原则是坚持党的全面领导，审计署11号令中提出建立党组织领导下的内部审计体制机制，内部审计机构在党组织直接领导下由董事会（或主要负责人）管理内部审计工作，切实提高党领导审计工作的能力和水平，确保把党的领导落实到审计工作全过程和各环节。

根据企业风险管理要求，企业各部门，各层级都具有风险管理及内部控制职能，内部审计是风险管理的最后一道防线，也是最为关键的环节，直接关系到企业的安全发展，同时，内部审计还具有独立的确认咨询职能，拥有内部控制再监督职责，对风险事件识别、评估，以及对风险事件的跟踪方面能发挥有效的作用。结合内部审计的特性，以企业内部审计部门作为全方位风险防控工作的牵头部门是最为合适的，当然，企业也可以设置独立的风险防控部门牵头此项工作。

从企业生产经营风险防控角度出发，风险防控部门对公司经理层负责，在公司经理层领导下履职，能满足一般企业风险防控需求，国有企业具有国有资产保值增值义务，风险管理部门在党党组织或董事长的领导下履职，更能体现党委意志，突显国有企业政治属性。

（二）制度建设保障

凡事有章可循，在领导组织、工作小组确定的前提下，下一步工作就是完善制度，为风险防控工作确定依据。建立全方位风险防控管理制度，将风险防控防线中每道环节，责任部门都进行明确，确保工作顺利开展。

除针对全方位风险防控防线建立制度外，内部审计部门在全方位风险防控工作中，应将企业现行的风险控制制度、内部控制制度与风险防控清单中的内部控制环节要求进行逐一对比，内部控制环节存在制度空缺的，及时完善，保障风险防控防线中内控控制要求与企业现行制度的统一性。

同时，在开展内部审计时，审计人员应对企业内部风险控制系统进行测试，分析控制点是否合理，当发现控制点无法满足企业当前风险控制管理要求时，应及时进行调整，内部审计在审计工作中，应持续性地提出完善风险控制管理的建议，进而完善潜在风险事件防控清单中的内部控制各环节。

四、构筑全方位风险防控防线的步骤

（一）全面识别企业生产经营潜在风险

风险识别可以从三个方面开展，以保障风险识别的全面。一是结合企业生产经营各版块，对历年发生的风险事件进行列示；二是对某领域可能发生的风险事件进行梳理，通过专业判断，法律法规常识等，企业生产经营新领域等，对可能存在的风险事件进行梳理分析，纳入风险防控清单，保证风险识别的全面性，扎实风险预防基础；三是参考其他同类型企业存在的生产经营问题，完善企业生产经营潜在风险事件清单。

以市场开发为例，根据以往审计发现的问题，在公司参与项目投标过程中，存在低于成本价中标问题，因合同执行期间未实现成本控制目标而导致项目亏损，形成不良后果，低于成本价中标即可纳入市场开发板块的潜在风险事件，从上文提到的三个方面来风险，市场开发板块还存在的潜在风险事件有大额履约保证金无法回收、串标等潜在风险事件。

（二）固化潜在风险事件内控环节

风险识别完成后，即针对每一项风险对应的内部控制关键环节进行明确，并落实到相关责任部门。为提高风险防控能力，至少应有三道控制环节。以企业在市场开发过程中低于成本价中标带来的项目潜亏风险为例，内控关键环节如下：

第一道环节：投标小组标前测算及决策

第二道环节：二级单位“三重一大”决策

第三道环节：公司重大项目评审委员会评审

上述每一道环节都明确责任部门，确保该风险可控，同时能将该风险及时上报至审计部门，触发审计处理行为，最终形成潜在风险事件防控清单。

（三）建立风险事件获取渠道

为了保障公司生产经营中的风险事件被发现的全面性，应多方获取风险信息，建立多通道的路径：

1.建立风险事件逐级上报机制

建立风险事件组织上报机制，根据潜在风险事件防控清单，对于风险防控清单中可能在发生的风险事件结合生产经营实际进行排查，风险事件成立的，由将一线生产经营部门、管理部门将已存在的风险事件通过逐级上报的形式汇总至公司审计部门，是所有风险事件获取渠道中最全面的一种形式，但也会存在下级单位瞒报、漏报的问题。

建立风险事件逐级上报机制，需明确各类风险事件的上报责任单位，将上报责任落实到岗，并在公司范围内发布风险事件上报相关制度或程序，使该行为有据可依，保障执行力度。

2.审计部门主动获取风险事件信息

主动获取风险事件信息，可以通过内外部巡视巡察、审计、各类检查等反馈的问题，针对符合风险事件条件的，纳入潜在风险事件防控清单，这要求内部审计部门加大与纪检、各相关职能部门的沟通协调力度，共享工作成果。

3.借鉴政府机关风险监管成果

通过网络、媒体等渠道，获取政府监管机构（纪委、审计署、国资委等）同行业、同类型企业同在的风险事件，对企业进行同类型问题自查，举一反三，是否存在同类型风险事件或风险隐患，存在同类风险隐患的，纳入潜在风险事件防控清单进行防控，风险事件成立的，纳入风险事件清单进行跟踪。

借鉴政府机构的监管成果，一定程度上弥补企业自身风险管理不足之处，与政府监管接轨，政治站位高，格局远，更加能保障企业生产经营合法合规，落实党中央相关国有企业经营相关政策要求。

（四）审计验证风险事件

潜在风险事件识别完成，根据已建立的风险防控工作机制，内部审计部门会收到各个渠道汇总而来的风险事件，对风险事件进行验证，是否纳入风险事件动态跟踪清单是内部审计部门在确认、验证环节的重点工作。

以市场开发板块的低于成本价中标为例，内部审计部门收到某单位投标小组关于某项目低于成本价中标的风险事件后，内部审计部门应联合市场开发、重大项目评审、商务成本等相关部门，就投标流程合规性，项目成本测算准确性，项目承接后减损措施、公司潜亏承受能力等方面进行审计验证，提出审计整改及审计建议，确存在风险的，纳入风险事件清单定期跟踪。

（五）建立风险事件动态跟踪清单

风险事件动态跟踪清单包含风险事件、风险等级、事件来源、责任单位、事件状态等内容：

风险事件：是企业生产经营中已经存在的问题。

风险等级：由企业各相关单位对风险事件会造成的不良影响进行评估后确定，可分为重大、一般或轻度，也可以按照一、二、三等级来确定风险事件的严重程度。

事件来源：主要是明确风险事件来源的渠道，可以是由各单位自行上报，也可以是内部审计在审计过程中发现的问题，同时也来源于外部单位对企业的审计或巡视巡查，专项检查等活动中发现的问题，通过对事件来源进行列示，可以多方面了解风险事件的来源渠道，在潜在风险事件防控清单中进行增加，进一步保障对潜在风险事件识别的全面性。

责任单位：责任单位包括对风险事件付主要责任及监督责任的相关单位及部门。

事件状态：风险事件的实时状态，包括风险事件的主要成因、已形成的不良后果，消除不良影响的主要困难等，内部审计部门实时跟踪事件进展，对于已经消除不良影响的事件，经内部审计部门确认后，在实现事件动态跟前清单中移除。

对风险事件的定期跟踪是风险事件动态跟踪的重点工作，对企业已存在的风险事件，以定期跟踪及不定期跟踪相结合的方式进行。

定期跟踪方面，根据公司各相关部门对风险事件的评估等级确立跟踪频次，比如，风险等级被评估为重大的风险事件，按月跟踪事件进展，风险等级被评估一般的风险事件，按季度跟踪事件进展。

不定期跟踪方面，主要针对事件进展较快，不变因素较多的风险事件，此类风险事件不适用定期跟踪，只要事件状态有变化，就及时进行跟踪并对清单进行更新。

（六）建立定期汇报机制

建立健全风险事件的定期汇报机制，内部审计部门对影响企业安全生产的风险事件，定期向本单位党组织、董事会进行汇报，一是为企业生产经营提供决策依据，二是提高党组织、董事会对风险事件的重视程度，从而推动相关单位及部门着力开展各项工作，消除风险事件。

参考文献

1、张瑜，2021（3）：内部审计在企业风险管理中的“三个促进”【J】，中国内部审计，P58-59。

1