论内部控制审计在工程项目风险管理中的作用

在工程项目风险管理中如何有效应用内部控制审计，使其发挥最大价值，一直是学者、企业负责人关注的热点。究其原因主要有三方面：一是企业工程项目风险管理的需求不断上升，企业的生存发展决定它们必须直面风险管理活动并进行科学管理；二是有些企业内部审计工作还处于财务审计阶段，审计工作很难延伸到整个企业的风险管控体系，甚至出现了独立于企业风险管控体系的情况；三是内部控制与风险管理体系的建设始于部分央企上市公司在境外发行股票筹集资金，以满足境外资本市场的监管要求。

通过借鉴风控理论和技术，结合实际，财政部、证监会、审计署、银保监会联合发文出台了企业内部控制规范、应用指引、评价指引、审计指引等，目的是建立健全符合中国国情的内部控制与风险管理体系。而在工程项目管理中引入内部控制审计模式，不仅能促进内部控制与风险管理在经济社会发展、企业安全生产中发挥更大作用，更能促进工程项目全过程管理合法合规，提升工程建设项目投资质量，实现提高企业经济效益的目的。由此可见，研究如何在工程项目风险管理中实施内部控制审计具有现实指导意义。本文所称工程项目，指企业组织的各类新建、扩建、改建工程、小型基建、技术改造、大修项目等（不包括特殊项目）。

 工程项目风险管理概述 

企业通常在工程项目管理中实施工程项目跟踪、造价结算、竣工决算、工程管理审计或专项审计等，目的是通过审计监督，及时提出审计意见和建议，纠正被审计单位存在的问题，改进、完善建设工作，使项目建设实施得以规范、有序、有效运行，取得最佳效益。由于工程项目具有参建单位多、技术复杂、施工难度大、建设周期长等特点，项目实施过程中的项目业主、勘探设计研究院、施工单位、设备供应商、监理单位等参建各方不可避免地面临着大量风险，使内部控制审计在工程项目风险管理中显得尤为必要。

风险一旦发生，不仅会缩减工程项目的经济价值，还可能使工程项目面临超概算、工期延误、建设程序不规范，引发质量或安全事故，给社会和企业造成负面影响。部分企业工程项目管理对于抗击风险的能力不强，缺乏有效、规范、科学的管理程序，这使得工程项目风险管理成为建设领域的短板。因此，企业实施工程项目风险管理意义重大。

为有效控制工程项目造价、质量、工期、安全，必须进行工程项目风险管理。工程项目风险管理的难点主要体现在风险管理存在技术难题和风险管理方法落后两方面。一是风险管理存在技术难题。部分企业工程项目不具备全面识别工程项目风险的能力，自身工程项目风险管理信息不充分，使得这些企业工程项目在进行风险评估时存在偏差或错误，风险分析更侧重于定性而非定量，因此风险分析存在一定的主观性。二是风险管理方法落后。目前，部分工程项目经理倾向于采取风险控制和风险自留，这意味着企业可能要承担更 大的实际风险成本。另外，风险自留仅仅是可以通过风险评估表明风险发生概率很小，或者可以利用工程项目储备资源限制风险造成的损失，一旦失去控制，将产生极大危害。

 内部控制审计参与工程项目风险管理的优势分析 

通过内部控制审计可以客观独立地审查风险。一般而言，工程企业的建设活动与内部控制审计之间没有明确的联系，内部控制审计对项目管理中出现的问题不需要负直接责任。内部控制审计以相对独立性，贯穿工程项目管理的整个流程，通过执行内部控制审计相关程序形成审计底稿、专项报告等。这些底稿和报告等可以直接传达给工程项目管理各方，从这个角度看，内部控制审计是相对客观公正的。

内部控制审计可以从全局控制风险。工程企业面临的风险无处不在，且其影响的方面多而广。因此，全方位风险管理是企业工程项目的必然要求。工程项目需对风险的影响程度和轻重缓急进行综合评价，针对工程项目所面临的各种情况，从全局进行风险管理。从全局判断工程项目面临的风险是内部控制审计的独特优势，包括对企业风险管理进行系统、专业的监督、检查和评价，权衡执行风险防范和成本效益的利弊，并从风险与效益的对比出发，研究工程项目风险管理的定位。

内部控制部门的提议能够立足企业实际，从而引起更多关注。内部控制部门所掌握的风险管理信息和经验均来源于实践与业务流程，实施内部控制的目的是不断深化企业的风险管理和成本控制。如果内部控制审计更多地关注风险，其审计报告将更容易被接受，内部控制审计的价值也更容易被理解。

 内部控制审计在工程项目风险管理中的具体应用 

内部控制审计从分析风险环境、全面识别风险、妥善处理风险、科学控制风险、及时传达风险信息、全面监控风险等方面，判断一个组织的风险管理是否有效，是在评估风险管理要素是否正确设计和执行的基础上作出的主观判断。企业风险管理的设计是否涵盖了所有因素，是否得到执行，决定了企业风险管理是否有效。

分析风险环境。内部环境是风险管理其他因素的基础，为其他因素提供了框架和约束。在内部控制环境中，内部控制审计人员对业务流程和关键控制点比较了解，且地位相对独立，更偏重于高度评价业务，更清晰洞察业务运营的薄弱环节，有利于监督建设活动有效运行。在考虑工程项目风险管理方法时，管理层应考虑所有与内部和外部环境相关的信息，内部控制审计人员通过信息整合，勾勒出组织的整体风险概况或轮廓。因此，在评估内部环境时，应与外部工程项目环境相结合。

全面识别风险。工程项目实践中，各种风险往往相互交织，风险成因复杂，给准确识别风险带来一定的困难。因此，内部控制审计人员需要借助风险分析问卷或项目观察等不同的风险分析技术，以判断管理层是否完全识别了企业的所有风险，并提醒管理层考虑潜在风险。毫无疑问，仅仅依靠一种或两种方法是无法识别企业面临的所有风险的。因此，内部控制审计人员必须善于运用各种风险识别技术来甄别企业的风险是否得到最大限度的识别，并要求内部控制审计部门对已识别风险的充分性进行评价，找出未识别的风险。评估可重点关注以下几方面：一是根据审计确认的风险范围来验证风险区分是否全面；二是各级风险分类是否合理；三是可控风险和不可控风险是否得到科学识别。工程项目风险识别的常用方法有德尔菲法与财务报表分析、图形、情景分析、项目结构分解等方法。

合理评估风险。风险识别后，内部控制审计人员需要 针对审计 结果和被审计单位，按不同风险分析其发生概率。只有解决了这个问题，才能选择正确的方法，根据不同的情况来处置风险。在风险评估活动中，审计人员可凭借其独立性地位，通过分析风险假设和计算方法，客观地评估风险，进而提供专业意见。内部控制审计人员应测量风险结果，以确定是否适当并纠正不适当的结果，并为对冲风险打下基础。但随着时间的推移，企业外部和内部环境会发生变化，新的风险因素也将进一步出现。因此，内部控制审计人员必须定期评估和改进风险管理政策、程序的适当性以及运营中实施的有效性，以恰当应对风险。

恰当应对风险。针对风险评估过程中识别的重大、重要风险，企业应当根据风险分析结果，结合风险承受度，权衡风险与收益，综合运用风险规避、风险降低、风险分担和风险承受等应对策略，实现对风险的有效控制。风险评估后，管理层应决定如何应对风险，主要策略是终止、约束、容忍和转移风险。终止风险实际上是不作为，内部控制审计人员是否采用这种策略应该考虑 ：首先，可能无法避免风险；其次，这是最经济的方法；再次，可能会出现另一个新的风险，甚至终止一个风险。关于抑制风险，内部控制审计人员需要衡量内部控制设计的完整性和实施的有效性，以决定是否采用。评估风险转移应明确其各种形式的优缺点。

科学控制风险。在风险控制活动中，企业工程项目通过设计控制程序来限制和降低风险，许多内部控制程序都是为此目的而设计的。内部控制审计可以参与风险检查的全过程，找出风险管理的薄弱环节和关键控制点，对存在的风险进行全过程控制和管理，从而为工程项目管理规避潜在风险，实现科学控制风险的目的。

及时反馈风险信息。风险管理要求风险信息在沟通环节及时有效地传递给内部利益相关者，以便及时采取相关控制措施。风险沟通是双向的，根据评估报告制度，内部控制审计人员必须正确传递信息，管理层可根据内部控制审计提供的报告判断企业或工程项目面临的风险是否得到有效管理，从而及早发现和控制风险。

全面监控风险。内部控制审计对工程项目内部管理实行系统监控，通过分析风险的变化来控制新的风险。根据内部控制审计人员在后续审计中发现的问题和事故处理情况，内部控制审计人员可以评估新的控制措施是否有用，分析结果和建议为管理层改进控制提供依据。

总之，内部控制审计在工程项目风险管理中发挥着重要作用。内部控制审计人员可以从独立、客观的角度，利用其在风险管理方面的专业知识，提供有价值的鉴证和咨询服务，从而提高工程企业风险管理水平。针对内部控制评价过程中发现的内控缺陷，内部控制与风险管理归口部门需及时与相关业务部门和工程项目参建单位沟通，明确主要问题、改进建议、责任部门和完成时限，并负责对整改情况进行督促、跟踪、检查和后评估。督促责任部门制定整改方案，包括整改目标、内容、步骤、措施、方法和期限，实施整改，报告整改结果。

 促进内部控制审计在工程项目风险管理中发挥更好作用 

将风险导向的内部控制审计，应用于工程项目风险管理。内部控制审计的初衷是为风险管理提供独立的鉴证和内部控制指引，必要时进行指导和改进。由企业项目管理面临的风险确定内部控制审计范围和重点，同时充分考虑企业自身的风险认知。风险导向的内部控制审计与传统内部审计相比，其优势在于：

一是内部控制审计工作植根于实际存在的、面向未来可能发生的风险分析，更加关注未来的风险和业务。内部审计是对事前和事后行为进行审计监督与评价，督促其限期整改。内部控制审计在工程管理的业务范围是严格控制工程设计管理、招标管理、合作方管理、合同管理、组织实施管理、项目验收、监督与考核等关键环节，有效防范工程相关风险。通过内部控制评价发现是否存在设计深度不足、施工过程缺乏有效管理、提前确认工程成本、竣工决算不及时等问题。二是内部控制审计是基于风险与内部控制体系运行控制情况的评价。重点关注内部控制制度是否有效得到执行、评价内部控制制度适应性，审查实际工作中内部控制管理有无缺陷风险和薄弱环节等内容。内部控制审计注重于发现制度框架与流程运行中的缺陷与风险，通过有效措施，尽可能规避风险，使其造成的损失尽可能降低。内部审计是对已经发生的经济行为进行监督和评价，促进组织目标的实现。三是风险导向的内部控制审计作为内部审计与风险管理相结合的有效工具。将促进内部审计发挥更大的效能。内部审计是向本单位负责人报告，具有显著的建设性和内向服务性，其目的是帮助本单位健全内部控制，改善经营管理，提高管理效能。

提高内部控制审计人员素质，科学借力第三方专业机构。以风险为导向的内部控制审计，要求内部控制审计人员不仅要熟悉会计或审计，还要熟悉工程项目建设活动的全过程和企业生产流程。因此，内部控制审计人员应定期进行信息、风险管理和项目管理、企业运营等培训，加快知识更新，提升专业履职能力。同时，在专项风险评估项目中，内部控制审计部门可以聘用社会中介机构内部控制审计专业人员，共同组成工作组，促进内部审计专业化建设。另外，可以有效应用鉴定法，邀请有关专业人员运用专门技术对书面资料、实物和经济活动进行确定和识别，如聘请一定数量的工程技术人员、律师等，提供第三方独立、专业鉴定结论，并取得独立的审计证据。

正确定位内部控制审计目标，强化风险意识。IIA认为内部审计的功能不仅仅是确认服务，还要通过提供内部咨询服务来实现目标。这一定位标志着内部审计逐渐从以监督为主向以咨询为主转变。因此，要不断完善企业内部审计和内部控制审计，使其在风险管理全过程中发挥作用。首先，内部控制审计需要在制度体系建设上结合企业行业特点和工程项目特点，确保工程项目在执行概算内如期完工，早日投入商业化运营；其次，内部控制审计要超越内部审计的监督和评价作用，深入挖掘其内在潜力，通过各种活动，如咨询等，为企业工程项目管理提供帮助；再次，内部控制审计要借鉴内部审计实践，规避风险并提升管理效能，为企业工程项目增值。（作者王玉单位系大唐国际发电股份有限公司）                     

来源：《审计观察》杂志2022年第7期