事业单位内部审计与风险管理分析

［提要］为了应对日益增大的经营风险，促进内部审计行业发展，国际内部审计协会（IIA）对内部审计的概念进行了修正，将内部审计的职能和范围扩展到风险管理领域。本文针对事业单位的特点，借鉴COSO的ERM框架，提出内部审计参与事业单位风险管理的路径，并指出内部审计在事业单位风险管理中应注意的问题。

关键词：事业单位；风险管理；内部审计；参与路径

随着国家对事业单位财政资金投入的加大，以及财政管理体制改革的深入，在原有管理体制下，事业单位对财政资金的风险管理水平较低，运行效率低下，已经不适合现在的发展需求。如何防范风险，加强风险管理，已成为事业单位面临的重要课题。与事业单位的其他部门相比，内部审计相对独立，它能从事业单位全局角度识别和评估风险。根据国际内部审计师协会（IIA）的要求，内部审计要积极参与组织的风险管理。因此，借鉴企业在风险管理方面的先进经验，根据COSO的ERM框架，使内部审计可以成为风险管理的“再管理者”，在事业单位风险管理中发挥重要的作用。

一、内部审计与风险管理概述

（一）内部审计概述。审计分为国家审计、民间审计和内部审计，其中国家审计和民间审计属于外部审计，而内部审计的机构设置和人员配备都在组织内部。内部审计经历了由财务审计、经营审计、管理审计和风险导向的综合审计四个阶段。从内部审计的发展过程来看，呈现职责范围不断扩大、静态向动态转变的特点。内部审计的发展过程完全是顺应当时现实社会经济环境的变化，也在现代事业单位治理的不断完善过程中发展演变。国际内部审计师协会（IIA）在《内部审计实务标准（2001年版）》修正了内部审计的定义，指出内部审计是一种独立、客观的确认和咨询活动，目的在增加组织价值和完善组织的运营。同时，内部审计有必要采用一种系统和规范的方法来参与组织的风险管理、控制及监督过程，并进行评价，从而提高过程效率，以帮助组织实现目标。根据这种观点，内部审计的职能和范围已经扩展到组织的风险管理、控制与治理程序。因此，现代内部审计既要关注财务数据，还要关注更广泛的经营领域，在指导和监督组织合规经营的同时，还要积极组织人力和资源，参与和改善组织的各项风险管理状况，以期实现组织的最终目标，为组织增加价值。

（二）风险管理概述。风险是指可能对目标的实现产生影响的事件发生的不确定性。对于事业单位来说，风险是由于某种不利因素导致事业单位发生损失，并致使其目标无法实现或降低实现目标的可能性。风险具有不确定性、客观性、普遍性、必然性、可识别性等特点，是能够通过有效的管理达到有效控制和规避的。风险管理是一种全过程管理，它贯穿于事业单位经营活动的始终，包括事前、事中和事后。风险管理的主要内容是采取一定的措施对风险进行检测和评价，并使风险降到可以接受的程度，以及将其控制在某一可以接受的水平上。美国COSO委员会在2004年9月的《企业风险管理（ERM）———整体框架》中，提出了“全面风险管理”的概念。“全面风险管理”强调全面和全过程的风险管理。这同样适用于事业单位。事业单位可以借鉴“全面风险管理”的理念，从事业单位目标制定一直贯穿到事业单位的各项活动中，用于识别那些可能影响事业单位的潜在事件和管理风险，使其在事业单位可以接受的风险偏好范围内，从而有效确保事业单位实现既定的目标。

（三）内部审计与风险管理的关系。国际内部审计师协会（IIA）在2002年的《ERM：TrendsandEmergingpracticesconclude》中指出：“在21世纪，风险管理将会变成组织管理的主要部分，这会影响公司如何被组织委派首席风险长向CEO和董事长报告，同时也会影响到内部审计的执行。”2005年，罗伯特•R•莫勒尔的《布林克现代内部审计学》也认为：“风险管理应该成为内部审计计划评估过程的组成部分，内部审计师要用一个正式的过程来帮助理解风险并尽力将工作集中在高风险领域。”在组织的风险管理过程中，内部审计师通过评估组织的内部环境、识别组织的风险事件、检查组织的风险应对措施和评价关键的风险报告，能够使得组织的风险得到有效的管理，从而保证组织有效的运行；另一方面内部审计师可以协助组织制定相关的风险管理战略、指导制定相关的风险应对措施、强化组织对风险的报告，达到更好地为组织风险管理提供咨询服务的目的。要注意的是，为了保证不损害内部审计的独立性和客观性，内部审计师不能设定风险偏好，不能对管理层做风险保证，也不能对风险反应进行决策，更不能代表管理层执行风险应对措施和承担风险管理的责任。

二、内部审计参与事业单位风险管理的路径

在COSO的《企业风险管理（ERM）———整体框架》中，风险管理包含内部环境、目标设定、事件识别、风险评估、风险反应、控制活动、信息与沟通、监控等八个要素，这些要素贯穿于企业风险管理的全过程。在ERM框架中，内部审计的职能是“通过检查、评估、报告和建议，来帮助管理层和董事长或审计委员会进行有效的企业风险管理。”对于事业单位，内部审计也可以作为风险管理的“再管理者”，首先从事业单位的风险环境进行评估，然后对事业单位风险管理部门的工作进行监督和控制，最后是做好信息的传递和沟通工作。

（一）事业单位风险环境分析。环境会对组织目标实现产生不确定性影响。根据风险管理框架，风险环境分为外部环境与内部环境。对于事业单位来说，外部环境风险主要是国家法律法规及政策的变化、经济环境的变化、科技的快速发展、自然灾害及意外损失等。内部环境风险主要来源于事业单位经营活动的特点、资产的性质以及资产管理的局限性、人员的道德品质等。为了有效地参与风险管理工作，内部审计部门必须结合事业单位运行目标进行风险环境分析，将事业单位运行目标和阻碍运行目标实现的风险系统地加以联系。内部审计首先要列出与组织目标相关的关键性成功因素和可能阻碍成功的风险因素，可以运用SWOT模型、KSF模型将识别的风险因素逐一列出，并从事业单位组织目标的角度分析判断风险因素对组织目标实现的影响程度。同时，建立风险分析矩阵，将事业单位的运行目标与潜在的风险联系起来。

（二）对事业单位风险管理部门的工作进行监督和控制

1、评估风险识别的充分性。事业单位风险管理工作的基础是风险识别工作。风险识别就是指对事业单位所面临的以及潜在的风险加以判断、归类和鉴定风险性质的过程。也就是说，要确定事业单位正在或将要面临哪些风险。内部审计人员必须保证风险识别的充分性，保证所有重要的风险都被识别出来。内部审计人员应该结合事业单位的组织目标，检查和评估有关单位和职能部门对风险的识别、检查，并提出建议，通过取得的证据来评价事业单位风险管理部门是否全部识别出事业单位所面临的主要风险。内部审计部门和人员可以采用的方法包括决策分析、可行性分析、统计预测分析、流程图分析、资产负债表分析、因果关系分析、损失清单分析、保险调查法和专家调查法等。

2、评估风险级别的适当性。事业单位风险管理部门识别所有潜在的重要的风险后，会对这些风险的等级进行测量，也就是对这些风险级别进行评估。内部审计人员要对事业单位风险管理部门做出的风险评估结果进行再次确认，以确定其是否恰当，并修正不恰当的风险评估结果。在风险评估的再次确认活动中，内部审计部门要运用管理工具和技术分析风险。首先，要建立风险评价指标体系，收集并整理相关资料，对风险因素进行分析；其次，根据预先确定的风险评价指标体系，对已识别的风险事件进行定性分析和定量分析，从而实现对风险有效的计量。评估要注意与事件相关的不利事件；最后，进行综合评价，对比和分析内部审计部门与事业单位风险管理部门的结论，对风险评估进行再检验，确定其是否恰当。

3、评估风险应对措施的合理性。在风险被识别和评级以后，就应该采取措施减轻风险，将风险降低到可接受的水平，以及增加所期望的结果发生的可能性。事业单位可以根据组织预先设定的风险偏好，来采纳风险应对的方法。风险应对的方法，有风险处理、风险规避、风险转移和风险接受四种。内部审计部门要对风险管理部门采取的风险防范措施进行检查，并评估其是否充分、得当。内部审计师在评估风险应对措施时应考虑以下三方面：（1）采用此种方法的成本与承担风险所付出的代价的比较；（2）此风险所致损失的概率和程度的大小；（3）是否具有处理风险的技术。如果缺乏充分的风险控制措施，在这种情况下，内部审计部门应当提出改进措施和建议，以加强事业单位的风险管理，从而降低风险损失。可以采用的方法有：避免风险、损失控制、分离风险单位、非保险方式的转移风险（包括转移风险源、签订免除责任协议、利用合同中的转移责任条款）、保险等。

4、跟踪与评价风险控制活动。在选择与实施风险应对措施以后，管理者就需要实施控制或其他可减轻风险的活动，将风险控制在一定的水平。事业单位风险控制是对事业单位整个风险进行控制的活动，控制活动贯穿于整个组织，包括：批准与授权、证实、观察、鉴定、协调、经营成果复核和资产实物保全等。内部审计部门要跟踪风险控制活动，并及时评价风险控制效果。内部审计部门要测试这些控制活动的有效性。内部审计部门可以采用流程图法和调查表法，将测量结果与高层管理者设定的目标进行对比，如果超出了限度，内部审计部门就应该及时将背离结果向高层管理者汇报，以便于高层管理者决策。

（三）确保信息正确及时地传递与沟通。实现风险管理信息的传递与沟通是有效实施事业单位风险管理的必要条件之一，其功能是将事业单位内外部的相关风险管理信息进行确认和传递，以监督事业单位各部门及其成员有效履行各自的职责。内部审计部门可以通过信息技术和定期的内部报告，将与风险有关的信息在事业单位内展示。内部审计部门要保证这些信息能够正确及时地传递给管理部门、供应商、消费者等利益相关者，并且就风险管理方面的信息进行沟通。

三、内部审计参与事业单位风险管理应注意的问题

（一）将内部审计全面融入风险管理。从国际内部审计师协会对内部审计的新定义就可以看出，内部审计的职能和范围已经不限于监督和评价，而是扩展到了确认和咨询，其最终目的是为了满足客户的需求。如果不能够满足客户的需求，企业将会在竞争中淘汰。现在，事业单位运行环境日益复杂，风险管理在组织管理中非常重要。因此，内部审计人员要扩展内部审计的职能和范围，积极参与风险管理，树立为客户服务的理念。在实践中，内部审计部门应该是在审计委员会的领导下，将风险管理融入到内部审计的体系中，使得内部审计成为风险管理的重要组成部分，从而充分发挥其作用，能够更好地为风险管理提供建议与咨询。但是，要严格区分内部审计与风险管理的权利与责任。

（二）兼顾内部审计的独立性和客观性。独立性是内部审计的灵魂，这要求内部审计部门独立于管理部门。而组织的风险管理又强调内部审计人员要与事业单位管理层之间进行沟通。而国际内部审计师协会（IIA）实施建议的“双报告”模式可以比较有效地解决这个问题，使得内部审计能够兼顾独立性和客观性。具体而言，就是内部审计部门在职能上向审计委员会报告，在行政上向事业单位负责人报告。职能性报告关系可以使其不受管理层的影响，而行政上的报告关系则能够取得最高管理层的支持，进而获得被审计部门的合作，还能够避免有关职能部门的干扰。“双报告”模式能够较好地处理内部审计与组织的治理机构和管理层之间的关系，也能够保证内部审计的独立性。

（三）优化内部审计部门的人力资源管理。为有效参与事业单位的风险管理过程，评估和应对事业单位所面临的风险，内部审计人员不应局限于会计专业和审计专业，应该适当吸收市场专家、计算机专家、管理顾问、工程师、舞弊检查专家等多种专业人才，优化内部审计队伍，满足事业单位风险管理的需要。同时，在事业单位内部可以建立人才流动机制，实现内部审计人员的内部流动。这样能够使事业单位成员对事业单位范围内风险和控制有关的知识有一个全面的了解，还可以使得内部审计人员与事业单位其他职能部门的人员保证良好人际关系，从而有利于事业单位的风险管理工作，提供风险管理的效果。

（四）提高内部审计人员自身素质。内部审计工作本身就是一项复杂的工作。而在新形势下，内部审计人员还要参与事业单位的风险管理，应用专业技术知识来预防和减少事业单位的风险，在风险控制和改进组织治理的效果方面发挥咨询和服务作用。这样就要求内部审计人员从以下三方面提高自身素质，才能胜任风险管理工作。首先，内部审计人员要掌握一定的信息技术。面对事业单位普遍使用的信息技术和日趋复杂的运行环境，要想有效行使风险管理职能，必须要掌握计算机辅助审计技术和其他数据分析技术；其次，内部审计人员要具备良好的沟通技能。为了有效地参与风险管理，提供建设性的意见，内部审计人员需要深入调查内部控制和经营管理的现状，取得被审计部门的理解、参与和合作。在这过程中，良好的沟通技能是必不可少的；最后，内部审计人员还应具备创造性的思维模式。事业单位经营风险存在的原因是由于其内外部环境中充满了不确定的因素，内部审计人员有创造性的思维模式，才能适应不断变化的环境，进行有效的风险管理。

主要参考文献：

［1］张玉.IIA“内部审计”定义中文翻译修改说明［J］.中国内部审计，2005.9.

［2］王华庆.风险监管原理与实务［M］.北京：中国金融出版社，2003.

［3］张巧良，房亮.内部审计在ERM中的作用机制探讨［J］.商业时代（理论版），2007.3.

［4］宁静芬.审计参与风险管理研究［D］.山西：山西财经大学硕士论文.

［5］李明辉.内部审计的独立性：基于内审机构报告关系的探讨［J］.审计研究，2009.1.

［6］张玉.后安然时代国际内部审计发展趋势综述［J］.审计研究，2005.5.

［7］贺颖奇，陈佳俊.当代国际内部审计的变化与中国内部审计的发展机会［J］.审计研究，2006.4.

作者：李梁 单位：安徽理工大学