封锐

【摘要】近年来，随着我国企业海外市场经营规模的不断扩大，海外业务面临的风险、风险发生机率也在不断增大，实施风险管理审计不仅有助于提高境外项目的风险防范能力，更有利于进一步发挥内部审计“管理”与“服务”的职能。本文从风险管理审计概念入手，分析了风险管理审计与内控审计的区别与联系，阐述了开展境外风险管理审计的必要性，指出了现阶段境外项目风险管理审计中存在的主要问题;分析了内部控制与风险管理审计之间相互借鉴、相辅相成的关系;最后通过列举实例，详细阐述了在内控体系建设的环境下如何对境外项目开展风险管理审计。

【关键词】境外项目;内部控制;风险管理审计

一、风险管理审计概述

（一）风险管理审计的涵义

企业风险管理审计是指企业内部审计机构采用一种系统化、规范化的方法来进行以测试风险管理系统、各业务循环以及相关部门的风险识别、分析、评价、管理及处理等为基础的一系列审核活动，对企业的风险管理、控制过程进行监督、评价和咨询，并提出改进和加强风险管理的意见或建议。

（二）与传统内部控制审计的区别

近年来，内部审计正在从传统的财务报表审计向管理审计转变，而内部控制审计和风险管理审计是其中的重要组成部分。内部控制审计和风险管理审计不管是在目标定位上还是在职能上，乃至内容方法上都有共性和交叉的部分，但区别是主要的，主要表现在：

1.内部控制审计局限于会计控制，风险管理审计覆盖经营管理全过程

内部控制审计更多得服从于会计、审计工作的需要。内部控制强调不相容职务分离，强调授权控制，强调检查监督，强调风险与控制，其最终目的还是离不开保证企业财务报告的真实公允和法律法规的严格遵守。而风险管理审计更多的是对经营管理活动中突出的风险点的识别与评估，目的是建议对这些风险点实施必要的控制。

2.风险管理审计的内容较内部控制审计的内容范围更广

内部控制的主要目标有经营目标、财务报告目标、合规目标三类;风险管理的目标包括战略目标、经营目标、报告目标及合规目标四类。可以看出风险管理比内部控制多了一个战略目标。战略目标属高层次目标，它与企业的使命息息相关。这就意味着风险管理审计要格外关注影响企业的战略的风险，要站在高管层的角度识别、评估风险，并提出合理化建议。

（三）开展境外风险管理审计的必要性

1.境外机构所面临的风险日益复杂，要求内部审计向风险管理审计转型

当前国际金融危机并未结束，贸易保护主义继续升温，国际油价大幅波动的可能性依然存在，人民币升值压力进一步加大，国际市场竞争日趋激烈，境外项目在經营业务管理、资金、资产管理、汇率管理、预算管理、税收筹划等方面面临着较大风险，这就对内部审计工作提出了更高的要求，内部审计不能再局限于传统的单纯审查财务、查错防弊等内容，而是应在“管理”的基础上进一步发挥“服务”的职能，做到审计监督与审计服务并重，就防范风险、加强管理和控制提出意见和建议，为加强境外机构风险管控能力与提高内部管理水平起到更大的作用。

2.风险管理审计在满足覆盖面的前提下突出重点，平衡审计成本与效益

境外审计往往时间紧、任务重，境外机构分布点多、面广，地区间、国家间在地缘政治、经济、法律环境和文化宗教等方面有很大差异，在传统的审计模式下，全面审计和保证重点很难结合，往往被割裂开来，或顾此失彼。因为在审计资源有限的条件下，若要侧重覆盖面，将时间与精力在法律法规健全、管理体系执行有效等一般风险领域投入过多，势必造成审计深度不够，重要风险领域未识别或无法深入，会使有限的审计资源无法充分发挥其效果。

风险管理审计既要境外机构内部经营和管理，又要关注其外部环境和关系;既要审计管理层的决策和战略，又要审计基层的运行和操作，关注业务运转的各个环节，把握组织之间、部门之间、业务流程之间接口上的风险。可以说，风险管理审计把审计覆盖面与审计重点结合了起来。只有全面进行审计，才能准确地预测风险;在全面审计的基础上，风险管理审计又根据重要性原则，从风险的严重程度及其对境外机构目标的影响程度，进行重点审计。

3.风险管理审计着眼于防范于未然，切实提高境外机构风险防范能力

以往内部控制审计的重点放在制度中各控制环节的审查上，目的在于发现制度中控制的薄弱环节，找出问题发生的根源，然后在这些环节上扩大检查范围，看其是否造成了重大的错误或舞弊。风险管理审计是以防范风险为目的，按照企业风险管理流程设计展开，从企业目标的角度来评估与改善风险，并对企业风险管理体系的准确、可靠、充分和有效发表审计意见，属于事前审计范围，着眼在防范于未然，通过评估风险、给出风险解决建议的方式切实提升境外机构的风险防范能力。

（四）现阶段境外项目风险管理审计存在的主要问题

1.境外风险管理审计方面尚未出台较为完备的法律法规政策，不能很好地规范、约束和保障风险管理审计的开展，使审计人员在开展风险管理审计的过程中缺少指导规范，风险管理审计工作开展无依据。

2.境外机构风险管理的组织架构还不完善，缺乏风险管理部门。

3.在境外风险管理审计的范围上，审计人员侧重于对境外机构经营管理风险的识别、评估和控制方面的审计，而对企业制度风险、法律风险等其他风险的评估、测试等方面的审查重视程度不够。

二、建立内控体系，开展风险管理审计工作

随着海外市场开发工作的不断深入，海外市场经营规模的不断扩大，海外业务面临的风险、风险发生机率也在不断增大，为规避海外业务风险，规范境外机构的日常管理，促进其经营活动有序运行，增强其风险防范能力，建立一套国际标准与公司境外项目实际情况相结合，简洁、适用、运行有效的境外机构内控体系显得尤为重要，而内控体系的建立则有助于风险管理审计工作的开展，有助于提高审计效率，降低审计风险，提高审计质量，具体体现在以下几方面：

（一）风险管理审计可充分借鉴内控体系中风险评估成果

内部控制框架中的一项关键构成要素即风险评估，风险评估是公司及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略的过程，是风险管理的基础。在境外内控体系建设时期，按照风险评估目标设定、资料收集、风险识别、风险分析、风险评价的评估思路，运用科学的风险评估工具，对境外核心业务潜在的风险进行重点识别与系统地评估，对海外风险表现形式、影响程度进行全面梳理，风险评估范围覆盖地缘政治、法律、金融、税收等外部环境，也包括合同管理、汇率管理、供应商与客户管理、保函与信用证管理等业务领域。开展风险管理审计时可充分利用内控风险评估结果，一方面在审计期间一定的条件下，扩大了审计覆盖面，并在确定风险管理审计重点、分配审计资源时可作为参考。

（二）内控体系建设成果弥补了风险管理审计力量上的不足

风险管理审计需结合所在国实际情况对境外机构在组织架构、权力与责任、内部控制环境、经营业务、投资、融资等各方面风险进行评价，但现有内部审计人员多长期从事财务审计，不具备海外工作经验，不了解境外机构所在国的具体情况，开展风险管理审计力量相对薄弱。而内控体系建设是一项覆盖公司全部经营管理业务的工作，参与体系建设的人员多具备国际贸易、财务、金融、人力资源、资本运营、法律等各方面知识与工作经验，部分具备海外工作经验的人员更了解境外机构所在国具体情况，能够从专业角度开展风险识别与分析，保证了内控体系的专业性与质量。所以，内控体系成果一定程度上可以弥补风险管理审计力量的不足。

（三）风险管理审计是补充、完善内控体系的一种手段

风险评估是一个持续、反复的过程，风险评估一次不能一劳永逸。通过境外项目风险管理审计，评估风险识别的充分性，企业可以持续收集与风险变化相关的信息，对于审计中发现的各类问题，可纳入企业的《风险事件库》，完整记录事件原因、造成的影响、采取的解决措施等信息，并制定防止此类问题再次发生的对策，以便对日后的工作起到警示作用;在风险事件收集的基础上，开展风险识别和风险分析，确定企业正在或将要面临哪些风险，对现有风险数据库进行补充、完善。

（四）风险管理审计可推动内控体系的有效执行

风险管理审计本身就是内部控制的重要组成部分，作为监督要素的内容，是公司自我评价的一种方式，对内控体系设计与执行的有效性进行评价，促进良好控制环境的建立，通过分析问题产生的原因和影响，为改进内部控制提供建设性意见，不断完善内部控制，促进内部控制的健全。

三、境外项目风险管理审计内容及程序

（一）风险管理审计的内容

风险管理审计内容主要包括：风险管理组织机构的健全性、风险管理程序的合理性、风险预警系统的存在与有效性;风险识别原则的合理性;风险评估方法是否适当和有效。风险审计范围主要包括组织风险、财务风险、内控系统风险与经营风险等。

（二）风险管理審计的程序

1.了解被审计企业内外部环境

外部环境包括所在国的地缘政治、法律环境、市场环境、税收环境、金融政策、社会环境等方面，内部环境则包括被审计单位开展的经营业务特点、内部规章制度建立健全情况、内部控制体系建立与执行情况、风险管理机构的健全性。对内外部环境进行初步调研有助于了解被审计单位面临的外部风险程度，对其内部控制体系的适用性与设计有效性作出合理评价，是下一步结合其自身经营业务情况开展风险评估、确定审计重点、制定风险管理策略的基础。

通过对上述外部环境的初步调研，我们大致明确了境外项目在招投标管理、纳税筹划管理、汇率风险管理以及法律纠纷管理等业务领域存在不同程度的风险影响，在审计过程中应给予重点关注。

2.开展风险识别

风险识别是风险管理审计的第二阶段，是根据被审单位目标、战略规划等对其所面临的以及潜在的风险进行判断。内部审计人员应当采取决策分析、可行性分析、流程图分析、投入产出分析、资产负债分析、因果分析、风险专家调查等适当方法，实施必要的审计程序，对被审单位面临的风险是否已得到全面、充分的识别与评估进行审查与评价，找出未被识别的风险。并在此基础上重点关注前期调研发现的重要风险业务领域在以往年度是否发生了风险事件、是否存在的重大隐患，被审单位是否全面、充分识别了相关业务层面风险。

3.开展风险评估

风险评估是风险管理审计的第三阶段，是对已识别的风险评估其发生的可能性及影响程度，从而确定境外项目风险评估方法的适当性和有效性。审计人员应从主客观原因、企业内外部环境等角度出发，对产生风险的因素进行逐级逐层的梳理，进一步确定这些风险将会对被审计单位产生多大的影响，为下一步制定风险策略和解决方案提供控制依据。风险评估是整个风险管理审计过程中关键的一环。

内部审计人员审查与评价风险评估过程时重点关注两个要素：风险发生的可能性及影响程度。审计人员对风险的评估一般采用定性或定量的方法。审计人员应结合审计发现，对风险事件发生成因进行深入分析，判断损失的发生是由于结算币种选择不恰当、收汇不及时，还是未及时获取汇率波动信息等原因。

4.评估风险防范措施的适当性与有效性，并提出改进措施

在识别和评估风险之后，审计人员应评估风险防范措施的充分性，并提出改进措施。一般而言，应检查被审单位制定了哪些对应的控制措施，分析和评价风险控制措施是否适用，对能否有效规避业务风险作出合理判断;并实施适当的审计程序，对被审单位制定的控制程序是否得以有效执行进行测试，对于不合理的措施提出改进建议。

在评价风险防范措施时，审计人员应当考虑是否在成本与效益之间进行了衡量;所采取的措施是否适合被审单位的经营、管理特点;采取风险防范措施后的剩余风险水平是否在可接受范围内。

例如，为了防范及控制汇率波动风险，境外机构制定了汇率管理制度，明确在项目签约时，应合理选择计价结算货币，收入争取采用汇率稳定或趋于升值的货币，支出争取采用趋于贬值的货币;在合同中争取签订保值条款，约定计价货币汇率波动超过一定范围时，改用参照货币计价结算或要求补偿一定程度的汇率损失。

四、结束语

2021年是“十四五”的开局之年，企业海外业务发展面临的环境仍然十分严峻复杂，为进一步提升海外业务风险管理水平，保障海外业务规模有效可持续发展，在全面推进海外内控体系建设的大环境下，需要进一步加强对风险识别与评估方法的学习，全面掌握风险管理审计方法，不断探索、全面提升内部审计水平与质量，不断增强境外项目风险防范能力，促进境外机构各项经营目标的实现。