陈炜煜++张黎锦

【摘 要】 全球化与信息化使得企业的经营活动离不开外部供应商、分销商、合伙人等经济实体。面对复杂的经济网络，营运风险复杂多样，任何一方出现问题都会对企业造成第三方风险。内部审计如何面对风险管理的压力与挑战？面对第三方风险，内部审计应拓展职能，充分发挥其在企业组织战略发展中的作用，主动利用审计信息技术，设计动态、完备的风险评估体系，评估与防范企业第三方风险。

【关键词】 内部审计； 职能拓展； 第三方风险管理

【中图分类号】 F239 【文献标识码】 A 【文章编号】 1004-5937（2017）02-0116-03

国际内部审计师协会认为，内部审计是通过参与风险管理、内部控制和公司治理来实现企业增值的一项咨询活动。经济技术的全球化与信息化发展，使企业与商业伙伴形成密不可分的“命运共同体”——合作共赢、风险共担。与此同时，风险来源的多样化使得企业风险管理的需求愈加紧迫。特别是复杂的网络经济使企业经营管理中的任何一环出现第三方风险都有可能造成不可弥补的“出血点”。对企业的风险管理进行监督、评估以及战略协调是内部审计职能重点发展的方向。随着风险导向审计模式在内部审计的应用日渐成熟，内部审计必将成为风险管理的必要方式。

一、企业的第三方风险

所谓第三方风险是指由于商业伙伴的行为不当为企业带来的风险。供应商与顾客关系在全球化与信息化的大环境下，逐渐演化为代理人、承包商、联营伙伴、技术合作者、分销商或者转销商等一系列广泛而密切的合作关系，因此，第三方风险主要表现在以下几个方面：

（一）合规风险

合规风险是指因未能遵循法律法规、监管要求以及合同约定条款等而可能遭受重大财务损失或者名誉损失的风险。对于第三方风险，合规风险特指由于商业伙伴的行为未能合规而给企业自身带来的风险。全球化背景下，跨国合作拓展了新市场，为企业带来更多商業伙伴，也为企业监管商业合作伙伴的合规性增加了难度[ 1 ]。对于同一经济事项的法律政策，不同国家之间的法律规定存在差异，同一个国家也会不断颁布新的法律条款，导致同一经济事项的前后期处理存在差异。然而，传统模式下合规审计很少涉及对于商业伙伴所带来的合规风险的监管，内部审计针对第三方合规风险的管理亟需战略上的转变。

（二）道德风险

第三方风险的道德风险，一方面表现为商业伙伴在共担风险的情况下因最大限度增进自身利益而作出不利于他人的行动，如单方面违约、违规；另一方面表现为不顾企业形象，从事有违社会公德的种种行为，如过度广告、虚假宣传。命运共同体模式下合作双方共担风险，商业伙伴的不道德、利己行为都会为企业带来不可预估的风险。在信息高速传播的今天，公众对负面事件的反应极为迅速[ 2 ]。道德价值观在商业合作中的重要性显著提升，企业的形象与价值并不仅仅维系于企业自身，而与供应商、服务提供商等关联企业的公众形象密切相关。因此，企业在关注自身商业道德的同时，还应防范商业伙伴的道德风险。因为商业伙伴的不道德行为在经历多次发酵后，会给合作伙伴带来无妄之灾，直接导致企业形象、品牌大幅度贬值等隐性损失。

（三）信息风险

广义的信息风险是指企业信息资产的安全风险。对于第三方风险，信息风险是指商业伙伴所掌握的企业信息存在的安全风险，风险源头为第三方共享信息。互联网时代，商业伙伴共享信息成为常态。多方分享数据在提高生产效率的同时，信息安全问题随之伴生。依赖信息系统进行智能管理是大多数企业的常态，信息因此成为需要重点保护的资产，信息风险最终必然会影响到业务层面，从而构成业务风险[ 3 ]。如制造企业为更好地管理生产和库存，与供应商通过信息共享而交换生产计划、库存状况等信息，该信息平台的存在就有可能成为竞争对手窃取重要信息资源的有效途径。信息风险并不单指数据保护的技术问题，一些专有信息或知识产权往往成为竞争对手觊觎的对象，其安全事关企业生死存亡[ 4 ]。商业伙伴间信息共享与开放程度的提高，使得信息风险增大，信息风险成为第三方风险管理的重中之重。

二、第三方风险应对与内部审计职能拓展

风险理念的引入使内部审计由合规导向、管理导向逐步过渡到风险导向，内部审计职能也从单一监督职能转变到多职能。对于一般的风险管理，内部审计职能主要表现为确认职能和咨询职能，确认职能对风险管理的有效性进行评价，咨询职能对风险管理提供改进建议。而对于第三方风险管理，内部审计的职能拓展被赋予了新的涵义。第三方风险与内部审计职能拓展的关系如图1所示。

（一）实现第三方风险管理的确认职能：商业伙伴尽职调查

企业管理层对商业伙伴尽职调查承担主要责任。商业伙伴尽职调查是指通过信息收集、分析与评价，对商业伙伴可能带来的风险进行系统评估的过程，是企业防范第三方风险的有效途径。对风险的确认职能包括评价风险识别是否充分、已有风险衡量是否适当、风险防范措施是否有效等。通过内部审计发挥风险确认职能，能够帮助管理层尽早识别关键风险因素、确认风险评估标准的合理性、评价商业合作执行的有效性。对于合规风险和道德风险的防范，商业伙伴尽职调查尤其见效：通过对合同条款的检查以及对合同履行程度的分析，商业伙伴的经营行为能适时得到监督，合规风险能够得到及时防范与控制；通过对合作企业道德情况、使命和价值观声明以及社会责任履行等信息的预判，企业能够对第三方道德风险做到“心中有数”。可见，内部审计在商业伙伴尽职调查程序的设计、执行和评价等方面发挥着至关重要的支持作用[ 5 ]。

（二）实现第三方风险管理的建议职能：专业咨询服务

在参与第三方风险管理的过程中，内部审计的专业咨询建议职能主要表现为：风险管理培训、风险咨询以及协调防范等。对于内部审计的主体，相对独立性使其能够发挥带领者与协调者的作用，超越职能部门的局限对风险进行全面客观的评估，特别是对于一些体制、机制性问题，内控审计部门可以跨越部门界限，针对发现的问题，与业务领域的专家沟通、探讨，基于自身专业素养的角度为利益相关部门提出问题并且赋予解决问题的方案，最终形成管理建议提交更高层次的管理层，从而使得问题得到根本性的解决；对于内部审计的客体，利益相关部门参与内部审计不再是单方的配合性参与，也不是作为被审计对象站在一种弱势的地位配合性地提供资料，而是内部审计团队的有机组成部分。事实上，由于利益相关部门共同参与决策，使得决策执行过程中的理解程度及执行程度都会明显提高。因此，内部审计的专业建议职能可以协调企业长期风险战略与短期决策之间的关系，将分散在多元利益相关部门的第三方风险进行系统整合、统一管理，使风险控制由被动转为主动。

（三）实现第三方风险管理的监督职能：参与式审计

审计计划是执行参与式审计的起点。参与式内部审计在制定审计计划时积极鼓励利益相关部门提出难点与热点问题，其中的好处除了对内部审计从心底深处产生默认感与价值认同外，在后期的审计实施阶段，利益相关部门的参与度和贡献度将明显提升。在审计实施阶段，参与式审计邀请利益相关部门参与审计项目的开展，这种沟通和参与本身就是内部审计的价值定位和内部审计理念的传达过程。参与式审计站在不同业务角度的视野，易于发现潜在的第三方风险，发现更深层次的原因；在审计报告阶段，参与式审计能够为第三方风险的合理解决提供战略性思维，找准风险管理需要监督改进的薄弱环节，提出具有建设性的改进建议。对于业务部门，自己参与了内部审计，能够提前注意到内部审计所关注的问题，并且提前考虑解决第三方风险的方案，从而将第三方风险的监督职能予以提前。

当然，内部审计的确认职能、建议职能以及监督职能因第三方风险管理的需求而相辅相成。出于规避第三方风险的需要，内部审计对商业伙伴展开尽职调查，向咨询顾问角色转变的需求越迫切，越会促使内部审计向参与式审计模式转变，这种促进作用必然会推进内部审计的职能进一步完善与拓展。

三、内部审计应对第三方风险管理的实现路径

内部审计通过管理和防范第三方风险以减少企业不必要损失的过程，实质上就是增加企业价值的过程，內部审计应着力完善第三方风险管理的实现路径。

（一）建立专业团队，大力提升综合素质

内部审计团队的素质是风险管理的关键。内部审计职能的拓展对审计人员的素质要求越来越高，能否识别风险与内部审计人员的工作经验、技能直接相关；推进商业伙伴尽职调查工作以及参与式审计的完成，必须基于审计人员知识结构的多元化。因此，如何使内部审计人员的专业技能与风险管理相匹配是内部审计目前所必须解决的问题[ 6 ]。首先要优化内部审计人员的构成。在进行内部审计人员选拔时，除关注审计专业能力外，还应从多元化的知识结构考虑，充分重视计算机、企业战略管理、法律法规等非财务专业人员的招聘。其次要提升内部审计人员的综合素质。内部审计职能多元化，内部审计对象复杂化，思维方式发散化，对审计人员综合素质的提高提出了客观要求。为此，应当制定有效的激励机制与奖惩机制，推动自主学习，实现审计团队综合能力的提升。

（二）规制工作流程，有效应对风险管理

第三方风险日益凸显，要求内部审计必须要更多地应对第三方风险。而传统内部审计被动化、片面化的工作格局，使得第三方风险管理很难制度化、流程化。显然，对第三方风险持续有序的监督、评价及防范，需要规制合理的风险管理流程。应对风险管理的内部审计工作流程一般包括：商业伙伴合作清单的制定，合同与协议的合规性及双方执行合同程度的定期调查，不同类别第三方风险评估人员的确定等一系列方案。按流程规制的风险管理方案，使得第三方风险能够得到持续的追踪、评估与防范。

（三）完善审计信息，大幅提高审计效率

内部审计的信息化能够提高第三方风险管理的效率，信息系统强大的联动效应在拓宽审计范围、开阔审计视野的同时，更为内部审计在第三方风险管理职能的发挥方面提供了支持与保障。内部审计的信息化建设需要从两个层面来完成：一是物理层面。内部审计要着力于硬件配置和审计软件设计，提升内部审计信息系统的工作效率。二是应用层面。要加强内部审计与利益相关部门的业务分工和职责划分，实现审计系统与其他信息平台的全方位对接与职责归属划分，实现内部审计对第三方风险全方位、全过程的系统防范。

四、小结

就当前发展来看，内部审计工作的重点领域将发展为对企业整体的管理控制。由于经济的全球化发展和日益复杂的业务合作关系，第三方风险成为高层管理者关注的重点。内部审计作为风险管理的重要参与者，必须应对挑战、与时俱进、拓展职能。实践必将证明，在识别和帮助管理层管理第三方风险的过程中，内部审计对风险管理支持和鉴证的作用将推动其职能的延伸与拓展。

【参考文献】

[1] 罗素·A·杰克逊.倾泻而至的监管规定[J].中国内部审计，2012（7）：26-29.

[2] 帕特里克D·沃伦.消除第三方风险管理中的差异和缺口[J].中国内部审计，2014（6）：44-46.

[3] 宗菊.化解第三方风险[J].新理财，2010（5）：90-91.

[4] 王兵，刘力云，鲍国明.内部审计未来展望[J].审计研究，2013（5）：106-112.

[5] 詹姆斯·波洛克，大卫·萨姆纳.密切关注你的商业伙伴[J].中国内部审计，2013（1）：38-40.

[6] 李越冬.内部审计职能研究：国内外文献综述[J].审计研究，2010（3）：42-46.