浅析公司风险管理、内部控制和内部审计工作的关系（内部审计内部控制和风险管理三者关系）

浅析公司风险管理、内部控制和内部审计工作的关系

发布日期： 2023 – 01 – 06 信息来源：浙江省审计厅

摘要：在企业经营管理实务中，往往较难区分公司风险管理、内部控制和内部审计这三项工作的联系和区别，在资源配置和工作精力投入上或重复或缺位，难以统筹推进，从而限制了三者在公司经营管理过程中实际效能的发挥。本文以从事药械供应链业务的甲公司为样本，分析其以风险管理为导向，以审计发现为线索，以内控建设为抓手的工作案例，希为企业经营管理者和业内人士提供参考和帮助。

关键词：风险管理、内部控制、内部审计

在现代公司治理理论中对风险管理、内部控制和内部审计的论述卷帙浩繁，但在实务操作上，若对这些理论学不精、吃不透，往往很难分清楚个中联系，令具体工作者莫衷一是。在实践中，也有部分公司将内审、内控和风险管理的职能设置在同一部门，这更多是出于促进公司战略总目标实现的考虑。本文旨在结合工作实例，进一步厘清风险管理、内部控制、内部审计三者之间联系，找准切入点和落脚点，为提升实务工作效率提供一些方法论参考。

一、案例背景

现有一家从事医疗健康产业投资的甲公司，成立数年来进军省内药械供应链市场。甲公司原设有主要经营医疗器材业务的业务部门。自2020年开始，随着业务规模的不断扩大，部门化的运行机制已不能满足业务发展需求，故而新设子公司乙，通过业务分割、人员分流，逐步由部门化运作向独立公司经营模式过渡。2021年，为加速业务发展，甲公司又并购了专业从事药品流通业务的丙公司。自此，甲公司药械供应链板块的布局，初具雏形。

二、以风险评估结果为导向，进行合理的审计项目选择和设计

风险管理是对影响组织目标实现的各种不确定性事件进行识别与评估，并采取应对措施将其影响控制在可接受范围内的过程，是一种涉及多层级、多方面的现代企业管理职能。风险管理中的基本要素风险评估，是通过识别组织面临的各种风险 、风险概率和损失程度，为内部审计提供了审计的重点。

在上述案例中，甲公司伴随经营模式转变和业务延伸扩展，在风险管理方面，出现以下四个方面的新变化。一是在管理机制上，甲公司的供应链业务从部门化运营到公司化运作，业务部门、财务部门逐步设立，但运营、风险和综合部门尚未单设，管理水平需进一步提升。二是在管理规模上，甲公司于2021年收购丙公司获得该公司控制权，实施并表管理。当年营业收入突破新高，业务占供应链总量的近40%。三是在管理对象上，甲公司以前的供应链业务以体系内医院为主，到2021年体系外业务营收占比达到85%，市场风险、信用风险更易积聚，对公司风险管理提出更高要求。四是在管理目标上，甲公司供应链业务占用的四项资金当量与同行业平均水平相比略高，通过资金管理提升运营能力、降低信用风险是公司面临的重要任务。

当然，上述的风险分析相对是定性的，是粗线条的。细节的问题出现在哪里，就需要借助内部审计的手段进行查验。因此，甲公司通过分析，选择以“四项资金”专项审计为抓手，对上述问题进行进一步、深一度的剖析。

之所以选择“四项资金”作为审计的突破口，理由如下。从风险导向来看，甲公司供应链业务占用的四项资金当量偏高，以四项资金作为主要的审计项目，具有实际的必要性。从业务流程上看，四项资金涉及供应链业务进销存各个环节，贯穿业务始终，通过四项资金审计，能直接反映出业务中存在的风险和问题。从审计成本上看，四项资金与财务核算紧密挂钩，内涵丰富、取数便利，能有效节约工作资源，降低审计成本。从审计效益上，提升四项资金管理水平是提升企业经营效益的重要手段，对此开展审计和整改，对于发挥审计效能具有更大的价值提升空间。

三、以审计发现问题为目标，开展内控的建设和提升

内部审计具有多种分类方式，从审计对象上分包括财务审计、经济效益审计、经济责任审计和内部控制评价审计等。其中内控评价审计是针对内控系统的检查、评价，查找制度和流程的设计缺陷与执行缺陷，以审计发现问题为目标，强化审计整改成果运用，实现内控的建设和提升。当然，在财务审计等其他审计过程中发现的内控缺陷等问题，对内部控制系统的建设和提升也具有重要意义。以甲公司实施的“四项资金”审计为例来看：

（一）在管理基础方面，审计发现公司供应链业务存在业财衔接类制度不够健全和票据管理制度不完备的问题，可能引发岗位职责划分不清晰，关键环节的分析、识别、预警和应对出现管理缺位，业务流程不畅等风险。从内控要求上看，业务流程设计和岗位职责设定是内部控制的关键要素，业务流程规范业务程序，岗位职责规范岗位行为，两者间综合作用才能保证公司目标实现。因此公司应当结合业务特点和内部控制要求，梳理业务流程和岗位职责，并以制度的形式加以固定。

对此，甲公司在内控方面的改进措施有：（1）进一步梳理供应链业务所涉及的资金管理、采购与付款、销售与收款、仓储与运输等4个重要流程，查漏补缺，删繁就简。例如：将原来分散在《采购及库存管理办法》制度涉及商品入库及库存管理，统一归入《仓储与运输管理办法》。针对退换货处理的流程缺陷，在《采购管理办法》中强化了质管部门的审核。（2）进一步规范资金管理制度，对现有现金、银行存款、票据等结算方式进行严格规范，提升不相容职务分离控制的控制力度，包括各部门间与部门内部间的岗位职务，资金申请提出部门与审批部门相分离，更好保护资产的安全完整。

（二）在业务前期阶段，审计发现公司供应链业务存在资信审批资料不够健全、授信审批程序偶尔出现倒置、上下游资信调查存在部分缺项的问题，可能会导致一定程度的合规性风险、廉政风险和合同违约风险等。从内控要求上看，为控制信用风险，公司应建立和执行严格的客户和供应商信用评估、授信机制，合理管控信用额度，分级设置信用审批权限，抓牢前置审批这一内部控制的关键。

对此，甲公司在内控方面的改进措施有：（1）利用数字化技术，升级业财一体化系统，将授信额度和期限等具体控制参数嵌入系统，逐步完善往来款逾期、存货近效期、合同执行进度等预警提示功能模块。从人工控制到自动化控制的升级，进一步提升内控的可靠性。（2）重视对供应商和客户历史合作信息数据的利用，利用系统功能逐笔记录供应商和客户在单笔合同项下的履约情况并予以评分。在下一周期的授信过程中，系统会根据记录调整授信建议额度，实现授信的科学和动态管理。（3）通过系统强化客户分类管理，根据客户资信情况，实行不同审批流程，分级设置不同信用审批权限，减低审批成本，提高审批效率。

（三）在业务中期阶段，审计发现供应链业务的合同履约偶尔会出现跟踪不够到位，存货仓储保管不够规范的问题，可能导致出险后实际损失扩大，公司资产受损的风险。从内控要求上看，为降低此类风险发生应当在制度中进一步落实履行监管机制，及时识别风险，采取应对措施，降低损失。时刻关注仓储保管条件，通过技术手段加强存货盘查，确保存货安全、提高资产效能。

对此，甲公司在内控方面的改进措施有：（1）重新修订《合同管理办法》，具体细化了合同承办部门对合同履行进行跟踪的节点要求、程度要求和报告要求，提升工作的及时性、规范性和全面性，对于合同履行进度滞后的情况制定专门的《应急预案》。并将合同执行中反映的潜在风险，纳入前期尽调的范围。（2）进一步加强存货管理，综合加强存货物理风险和价格风险的管理，利用数字化手段实现增加存货盘点的频次；联合业务、财务和审计部门力量，加强存货的监盘管理；制定和实施存货的定期风险评估制度。

（四）在业务后期阶段，审计发现公司供应链业务涉及对账及催收偶尔出现漏项和延迟，催收工作留痕归档资料不够全面扎实，可能导致应收账款发生坏账的概率增加，纠纷处置效率不高的风险。从内控要求上看，公司应当全面严格执行相关催收、对账制度，综合应用协商、仲裁或诉讼方式，多渠道、及时、精准、高效地处理纠纷事项。

对此，甲公司在内控方面的改进措施有：（1）重新优化应收账款管理流程，细化对账和催款工作的流程要求、应收款项发函的标准要求、催收工作的资料归档要求。按分类管理原则，重点规范账龄超过6个月和金额占比较大的应收账款催收管理。（2）修订和完善法律纠纷处置的相关制度，做好与诉讼与仲裁管理办法的衔接工作，进一步明确风险事项认定标准、分类标准、起诉标准，提升涉诉事项处置制度化、规范化、标准化水平，有利于及时化解风险，减少国有资产损失。

甲公司十分重视内部审计成果对内控制度建设的应用指导，统筹对供应链业务相关制度进行了补充和修订，先后梳理相关制度23项，不断加大数字化建设投入，运用大数据优势，不断推动内控管理从人工控制向自动化控制的提档升级。

四、以内控建设为基础，强化风险管理的体系和执行

公司的风险管理工作包括搭建风险管理体系，完善风险管理基本流程，通过各种风险管理技术与方法实现风险管理的目标。本文甲公司采用内部审计和内部控制手段相结合，使得风险管理的相关工作得到有效落实和真正体现。

（一）从风险管理基本流程层次来看，甲公司将风险管理的具体流程，分解并与内部审计与整改、内控建设与完善充分结合起来，为风险管理目标提供了坚实理论基础和方法论保障。众所周知，公司风险管理基本流程包括初始信息收集、风险评估、制定风险管理策略、实施风险管理方案和监督与改进等五个环节。甲公司以“四项资金”为对象，开展审计整改与内控建设的整体流程，正是依照这五个环节次第推进：（1）通过对公司经营管理模式的观察分析，是风险初始信息的收集过程；（2）以四项资金审计为切入点，在某种程度上是对供应链业务风险进行定量的评估；（3）对照审计发现问题，进行内控缺陷的分析，是风险管理决策的讨论研究过程；（4）进行内控制度的搭建完善并强化制度实行，是最具执行力的风险管理方案的实施；（5）甲公司对审计检查发现问题进行清单式的“挂销号”制度管理，正是监督与改进的生动体现。

（二）从风险管理体系层次来看，笔者分析甲公司的能够综合审计和内部控制的有效手段进行风险管理，主要得益于其自身在风险管理体系方面探索与实践成果。（1）独立性的组织保障，甲公司的内部审计由公司党委书记直接分管，监事长协助分管，审计负责人任命，审计计划与审计报告经公司党委会决议，大大提升了审计工作独立性，为审计发现问题的整改落实提供了坚实的组织保障。（2）系统性的机制保障，甲公司的监事会在公司治理中发挥出重要作用，监事长一并分管综合监督、风险管理、内部审计、内控建设、法律事务，通过风险联席会议、财务工作会议、成员公司监事等途径了解板块内风险经营状况，组建了纵向到底、横向到边的网格化风险管理系统。（3）专业性的人才保障。甲公司风险管理部门与审计、内控、法务、监督部门合署办公，现有专职工作人员6名，配置精简高效，其中3名人员具有研究生学历，持有注册会计师、法律从业资格、国际注册内部审计师、资产评估师、税务师等一项或多项执业或从业资格，人员整体素质高，专业能力强。

（三）从风险管理技术层次来看，甲公司能充分应用数字化的手段，不断进行系统的建设、改造和升级，实现风险管理的手段不断从人工控制向自动化控制提档升级。具体来看：（1）甲公司所在集团是世界500强企业，“十四五”期间大力推进数字化改革，在审计和内控工作层面，集团牵头成员单位统一搭建数字化平台，统筹推进线上测试运行，对风险管理的工作提供了数字化、标准化、动态化、可视化的平台，建立了上下、内外、平行联动的数字化端口，为甲公司及其他成员单位的数字化建设提供了坚实基础和参照标准。（2）甲公司依托集团平台的强大支持，结合自身供应链业务的风险特征，自主开发业财一体化系统，将风险管理的流程节点嵌入系统之中，取得了良好的管理成效。例如，在业务合同履行方面，通过系统监管合同履行进度和时间进度的匹配关系，将其设为预警出发指标。在存货管理方面，通过数字化提醒，存货的实物管理和价值管理，综合市场数据信息全面动态地评估存货价值，建立存货跌价自动预警。

五、小结

结合上述案例分析，我们不难发现风险管理、内部控制和内部审计既有联系又有区别，仅从理论层面讨论此三者的异同，其意义不若于研究如何统筹此三方面工作，合理配置资源精力，进一步提升工作效率、发挥工作效能。

（一）三者在战略层级上存在差异性。通过案例，可以分析发现全面风险管理涉及公司治理、管理体系的设计，处于战略层级，是公司治理层在体制机制上需要思考的问题。内部控制涉及公司流程的设计与执行，处于经营层级，是公司管理层在经营管理层面上需要实现的目标。内部审计在一些方面，服务于风险管理和内部控制的需要，处于职能层级，是公司需要常态化开展的一项重要工作。

（二）三者在作用发挥上存在联动性。通过案例，可以清楚看到全面风险管理以公司战略角度出发，收集、分析、识别、评估风险信息，为内部审计和内部控制指明了重点和方向。内部审计将获得的审计线索、审计证据综合分析，为内部控制建设和风险管理手段提供客观的依据。内部控制通过自评整改制度缺陷和执行缺陷，是对审计发现问题的整改，确保风险管理的目标得到实现。

（三）问题整改贯穿风险管理工作始终。通过案例，可以深刻认识对风险评估问题、审计发现问题、内控自评问题，在规定时间内完成整改，是所有工作共同指向的目标，是“后半篇”文章的要义。问题整改直接关系审计工作的完整性，内控工作的有效性和风险管理工作的系统性。文中，甲公司正是从发现的问题为出发点，通过应用各种手段对问题进行系统彻底的整改，方能将各项工作有效统筹起来，提高了风险管理、内控建设、内部审计的效率和效能。

作者：金百焕 洪禹旻 吴燕芝（物产中大集团物产中大医疗健康投资有限公司）