(四川省烟草公司绵阳市公司 四川 绵阳 621000)

一、服务于风险策略制定

风险包括造成完全损失的纯粹风险，还有可能获利的机会风险。企业可采取避免风险、控制风险、分散与中和风险、承担风险和转移风险等策略。内部审计服务企业风险策略制定取决于经营管理的目标和风险偏好。

(一)纯粹风险的避免和控制

纯粹风险没有任何获利机会或风险收益极不对称，其风险策略首先应当是避免，当风险无法避免或避免但成本过大时，应当控制风险，力求此类风险损失最小。

1.舞弊风险。舞弊类风险是纯粹风险，如内控失效，内部人侵害企业利益或玩忽懈怠漠视企业利益等，应当坚决避免。对此类问题，内部审计服务首要考虑应是完善内控，在制定风险策略阶段就要优化制度设计，并使之持续有效运转。

2.错漏风险。错漏类风险多数是纯粹风险，如粗心大意、把关不严造成的质量差错和工作遗漏，但也无法完全避免，如产品质量，“零缺陷”企业控制在6σ(百万分之三点四)，再向上追求，其成本会直线上升，工作质量也同样如些。此类风险策略应是控制，即在允许范围内，设置必要且符合成本效益原则的质量检测，工作复核。质量管理和内部审计的服务体现在找出最优控制范围和控制点，实现企业价值最大化。

(二)机会风险应对策略

机会风险在经营中最为常见，是抉择过程。如应收账款，提供信用账期有利于扩大市场，但存在坏账风险；如大宗商品采购，把准趋势，将获得涨价收益，但也存在跌价损失风险，做套期保值，虽可锁定价格风险，但会产生额外费用，也放弃了机会收益。此时内部审计服务体现在：

1.按既定风险偏好，进行风险策略评估。对机会风险策略进行一致性评估，看是否过于激进或偏于保守，并提出建议。如初创期企业以扩张为主，应关注市场占有率，其次再关心利润率高低，成熟期再扩张已无必要或没有空间，应以规避风险，获取最大利益为主。

2.按既定风险偏好，找出风险策略最优值。如客户商业账期，可根据应收账款审计情况，将客户分类，视情况给予不同信用策略，促进企业利益最大化。如可根据企业效益审计和经济责任审计情况，找出制约企业效益提升的影响因素，当企业利润率走高，市场占有率下降时，就应当考虑经营策略是否过于保守，是否存在恐惧风险而放弃机会的情况，反之则应看是否过于激进。

3.按既定风险偏好，确定机会损失承担方式。机会风险造成或有损失，可采取无计划自留或有计划的保险策略，如坏账损失，可当期直接转销，也可提取坏账准备；又如企业财产保险，存在是否投保、范围多大和保额多少等决策，内部审计可结合资产管理和审计情况，分析或有的损失概率、范围和金额，对财产保险提出具体建议。

二、服务于风险识别应对

风险事项是变动和相对的，无风险事项可转为风险事项，低风险转为高风险，可控风险转为不可控风险等情形，反之亦然。企业资源总是有限的，风险管理就是通过风险识别和等级排序，将有限资源投入到中高风险中。内部审计的服务体现在：

(一)准确识别风险

审计过程中，发现新风险或风险层级跃升，要做好判断，看是偶发性的还是系统性的，是什么人为还制度原因造成的，影响有多大，进而准确定位。如烟草专营中，若零售商需求品类和数量突发较大变动，就存在资格冒用风险。又如应收账款，客户回款期延长，则客户可能出现财务问题，导致坏账风险。另外，当风险成因改变，已不存在风险时，应进行策略修订，不再关注，如当财务收支全部转账后，就不会出现出纳坐支现金风险。

(二)风险等级排序

风险识别后，应进行等级排序，确定优先级，确保等级高，影响大风险事项优先处理。如：存在制度漏洞，控制失效时，就应先补漏，再处理违规个案。又如，财务舞弊风险的危害远大于错漏风险。再如缺乏科学依据盲目投资风险远大于形式要件不齐风险。

(三)风险应对策略

等级排序后，内部审计应着力于中高风险的有效应对，首要任务是内控测试和完善，确保制度篱笆越扎越紧，其次是查错纠弊和风险处理，包括责任追究和风险承担、分散和转移等，前者适用于纯粹风险，后者适用于机会风险，如涉及临时用工劳务纠纷风险，就可通过劳务派遣形式进行规避。

三、监督检查和偏差控制

监督检查和偏差控制是内部审计监督职能具体体现，但这并不是内部审计特有职能，所有部门对自己工作都要监督检查和控制偏差，只是审计监督更加独立。

(一)审计监督程序

一是形成风险自评报告。依据企业风险防控重点，提醒、安排、督促责任单自我审查，内部审计部门汇总自查情况后形成风险自评报告，报送管理层。二是确定年度审计计划。参考风险自评结果，按重要性、紧迫性，确定年度审计重点工作内容，编写年度审计计划初步方案，在充分沟通交流后，修改完善，最后经审批形成正式年度审计计划。三是审计方案实施。实施是审计的核心环节，实行项目制，依据年度计划或临时安排，确定审计项目实施时间、人员和方式，实地查验各部门风险控制情况。四是项目质量复核。复核是对审计质量把关，由复核人员对审计项目组发现的问题、收集的证据，进行相关性、真实性审查。五是出具审计报告。项目组整理审计和复核过程中发现的问题，征求被审部门和相关部门意见建议，并根据具体情况做出相应调整，出具内部审计报告。六是审计整改。责任部门依据审计报告和审计决定，确定整改方案，严格实施整改，内部审计部门依据整改情况确定后续审计内容。

(二)监督重点内容

监督重点是内控有效性监督，包括：1.合法性监督，重点关注企业购销、生产、用工等行为，以及纳税义务履行是否符合法律要求。2.合规性监督，看经济业务行为是否在企业已有制度范围内运行，如已设置审批的事项手续是否完备，是否有超范围、超限额现象，又如重要事项是否经过必要程序，集体决策等。3.合理性监督，重点审查经济业务活动是否超出合理范围，是否与预期值有较大偏差。4.效益性监督。效益是企业目标，要对企业投入产出、成本效益情况进行监督，同样审计活动本身也要讲成本效益，一般实行基于内控穿行测试的抽样审计。5.动态跟踪监督。作为独立监督，审计要发挥事中监督作用，指导、督促各部门主动防控风险。要对前期审计问题整改情况进行复查，看是否采取措施予以避免，必要时可进行通报。

四、问题整改和内控完善

风险管理落脚点在问题整改和和内控完善提高，即行动(Act)，这也是内部审计监督职能得以发挥的最终体现。

(一)问题整改

审计发现问题要及时准确处理，违反国家规定和企业制度的必须立即纠正，减轻后果，降低影响，涉及内部人故意或重大过失的，要建议管理层追究其行政责任、经济责任，确保制度落实。如物资采购中若有“质次价高”“鱼目混珠”“内外勾结”等现象，就应按责任划分，追究采购、验收等岗位人员直接责任和分管、主管领导的领导责任。

(二)标准化操作

标准化是维持治理现状不下滑，积累沉淀经验的最好方法，对有成效的措施，要制定成工作标准，全面执行和推广。如某企业收购农产品时，收购班组间存在较大质量差异，表现最好小组仅在收购凭证上增加供应者签名和填写实名手机号(非企业强制要求)，经验推广后，整个供应质量得到提升，也给监督溯源提供了条件。

(三)内控完善

可采取量化计分方法，对重点风险按照危害性、紧迫性进行区分，列出防控清单，对责任部门防控质量进行量化评价，并评价结果与目标考核挂钩，成效显著的，要予以宣传推广和标准化，不符合防控(整改)质量要求的，引进工作督办制和责任追究制。对没能有效化解的重点风险，纳入新一轮PDCA循环，实施闭环管理，确保风险彻底解决。

结束语

企业风险防控是全员、全域、全流程的管理活动，内部审计的核心是服务，要树立监督是更高层次、更专业的服务理念，从策略制定、制度执行、监督检查到内控完善，形成风险管理PDCA闭环，提高企业风险控制一体化程度，实现又好又快发展。