陳煒煜++張黎錦

【摘 要】 全球化與信息化使得企業(yè)的經(jīng)營活動離不開外部供應商、分銷商、合伙人等經(jīng)濟實體。面對復雜的經(jīng)濟網(wǎng)絡，營運風險復雜多樣，任何一方出現(xiàn)問題都會對企業(yè)造成第三方風險。內(nèi)部審計如何面對風險管理的壓力與挑戰(zhàn)？面對第三方風險，內(nèi)部審計應拓展職能，充分發(fā)揮其在企業(yè)組織戰(zhàn)略發(fā)展中的作用，主動利用審計信息技術，設計動態(tài)、完備的風險評估體系，評估與防范企業(yè)第三方風險。

【關鍵詞】 內(nèi)部審計； 職能拓展； 第三方風險管理

【中圖分類號】 F239 【文獻標識碼】 A 【文章編號】 1004-5937（2017）02-0116-03

國際內(nèi)部審計師協(xié)會認為，內(nèi)部審計是通過參與風險管理、內(nèi)部控制和公司治理來實現(xiàn)企業(yè)增值的一項咨詢活動。經(jīng)濟技術的全球化與信息化發(fā)展，使企業(yè)與商業(yè)伙伴形成密不可分的“命運共同體”——合作共贏、風險共擔。與此同時，風險來源的多樣化使得企業(yè)風險管理的需求愈加緊迫。特別是復雜的網(wǎng)絡經(jīng)濟使企業(yè)經(jīng)營管理中的任何一環(huán)出現(xiàn)第三方風險都有可能造成不可彌補的“出血點”。對企業(yè)的風險管理進行監(jiān)督、評估以及戰(zhàn)略協(xié)調是內(nèi)部審計職能重點發(fā)展的方向。隨著風險導向審計模式在內(nèi)部審計的應用日漸成熟，內(nèi)部審計必將成為風險管理的必要方式。

一、企業(yè)的第三方風險

所謂第三方風險是指由于商業(yè)伙伴的行為不當為企業(yè)帶來的風險。供應商與顧客關系在全球化與信息化的大環(huán)境下，逐漸演化為代理人、承包商、聯(lián)營伙伴、技術合作者、分銷商或者轉銷商等一系列廣泛而密切的合作關系，因此，第三方風險主要表現(xiàn)在以下幾個方面：

（一）合規(guī)風險

合規(guī)風險是指因未能遵循法律法規(guī)、監(jiān)管要求以及合同約定條款等而可能遭受重大財務損失或者名譽損失的風險。對于第三方風險，合規(guī)風險特指由于商業(yè)伙伴的行為未能合規(guī)而給企業(yè)自身帶來的風險。全球化背景下，跨國合作拓展了新市場，為企業(yè)帶來更多商業(yè)伙伴，也為企業(yè)監(jiān)管商業(yè)合作伙伴的合規(guī)性增加了難度[ 1 ]。對于同一經(jīng)濟事項的法律政策，不同國家之間的法律規(guī)定存在差異，同一個國家也會不斷頒布新的法律條款，導致同一經(jīng)濟事項的前后期處理存在差異。然而，傳統(tǒng)模式下合規(guī)審計很少涉及對于商業(yè)伙伴所帶來的合規(guī)風險的監(jiān)管，內(nèi)部審計針對第三方合規(guī)風險的管理亟需戰(zhàn)略上的轉變。

（二）道德風險

第三方風險的道德風險，一方面表現(xiàn)為商業(yè)伙伴在共擔風險的情況下因最大限度增進自身利益而作出不利于他人的行動，如單方面違約、違規(guī)；另一方面表現(xiàn)為不顧企業(yè)形象，從事有違社會公德的種種行為，如過度廣告、虛假宣傳。命運共同體模式下合作雙方共擔風險，商業(yè)伙伴的不道德、利己行為都會為企業(yè)帶來不可預估的風險。在信息高速傳播的今天，公眾對負面事件的反應極為迅速[ 2 ]。道德價值觀在商業(yè)合作中的重要性顯著提升，企業(yè)的形象與價值并不僅僅維系于企業(yè)自身，而與供應商、服務提供商等關聯(lián)企業(yè)的公眾形象密切相關。因此，企業(yè)在關注自身商業(yè)道德的同時，還應防范商業(yè)伙伴的道德風險。因為商業(yè)伙伴的不道德行為在經(jīng)歷多次發(fā)酵后，會給合作伙伴帶來無妄之災，直接導致企業(yè)形象、品牌大幅度貶值等隱性損失。

（三）信息風險

廣義的信息風險是指企業(yè)信息資產(chǎn)的安全風險。對于第三方風險，信息風險是指商業(yè)伙伴所掌握的企業(yè)信息存在的安全風險，風險源頭為第三方共享信息?；ヂ?lián)網(wǎng)時代，商業(yè)伙伴共享信息成為常態(tài)。多方分享數(shù)據(jù)在提高生產(chǎn)效率的同時，信息安全問題隨之伴生。依賴信息系統(tǒng)進行智能管理是大多數(shù)企業(yè)的常態(tài)，信息因此成為需要重點保護的資產(chǎn)，信息風險最終必然會影響到業(yè)務層面，從而構成業(yè)務風險[ 3 ]。如制造企業(yè)為更好地管理生產(chǎn)和庫存，與供應商通過信息共享而交換生產(chǎn)計劃、庫存狀況等信息，該信息平臺的存在就有可能成為競爭對手竊取重要信息資源的有效途徑。信息風險并不單指數(shù)據(jù)保護的技術問題，一些專有信息或知識產(chǎn)權往往成為競爭對手覬覦的對象，其安全事關企業(yè)生死存亡[ 4 ]。商業(yè)伙伴間信息共享與開放程度的提高，使得信息風險增大，信息風險成為第三方風險管理的重中之重。

二、第三方風險應對與內(nèi)部審計職能拓展

風險理念的引入使內(nèi)部審計由合規(guī)導向、管理導向逐步過渡到風險導向，內(nèi)部審計職能也從單一監(jiān)督職能轉變到多職能。對于一般的風險管理，內(nèi)部審計職能主要表現(xiàn)為確認職能和咨詢職能，確認職能對風險管理的有效性進行評價，咨詢職能對風險管理提供改進建議。而對于第三方風險管理，內(nèi)部審計的職能拓展被賦予了新的涵義。第三方風險與內(nèi)部審計職能拓展的關系如圖1所示。

（一）實現(xiàn)第三方風險管理的確認職能：商業(yè)伙伴盡職調查

企業(yè)管理層對商業(yè)伙伴盡職調查承擔主要責任。商業(yè)伙伴盡職調查是指通過信息收集、分析與評價，對商業(yè)伙伴可能帶來的風險進行系統(tǒng)評估的過程，是企業(yè)防范第三方風險的有效途徑。對風險的確認職能包括評價風險識別是否充分、已有風險衡量是否適當、風險防范措施是否有效等。通過內(nèi)部審計發(fā)揮風險確認職能，能夠幫助管理層盡早識別關鍵風險因素、確認風險評估標準的合理性、評價商業(yè)合作執(zhí)行的有效性。對于合規(guī)風險和道德風險的防范，商業(yè)伙伴盡職調查尤其見效：通過對合同條款的檢查以及對合同履行程度的分析，商業(yè)伙伴的經(jīng)營行為能適時得到監(jiān)督，合規(guī)風險能夠得到及時防范與控制；通過對合作企業(yè)道德情況、使命和價值觀聲明以及社會責任履行等信息的預判，企業(yè)能夠對第三方道德風險做到“心中有數(shù)”?？梢?，內(nèi)部審計在商業(yè)伙伴盡職調查程序的設計、執(zhí)行和評價等方面發(fā)揮著至關重要的支持作用[ 5 ]。

（二）實現(xiàn)第三方風險管理的建議職能：專業(yè)咨詢服務

在參與第三方風險管理的過程中，內(nèi)部審計的專業(yè)咨詢建議職能主要表現(xiàn)為：風險管理培訓、風險咨詢以及協(xié)調防范等。對于內(nèi)部審計的主體，相對獨立性使其能夠發(fā)揮帶領者與協(xié)調者的作用，超越職能部門的局限對風險進行全面客觀的評估，特別是對于一些體制、機制性問題，內(nèi)控審計部門可以跨越部門界限，針對發(fā)現(xiàn)的問題，與業(yè)務領域的專家溝通、探討，基于自身專業(yè)素養(yǎng)的角度為利益相關部門提出問題并且賦予解決問題的方案，最終形成管理建議提交更高層次的管理層，從而使得問題得到根本性的解決；對于內(nèi)部審計的客體，利益相關部門參與內(nèi)部審計不再是單方的配合性參與，也不是作為被審計對象站在一種弱勢的地位配合性地提供資料，而是內(nèi)部審計團隊的有機組成部分。事實上，由于利益相關部門共同參與決策，使得決策執(zhí)行過程中的理解程度及執(zhí)行程度都會明顯提高。因此，內(nèi)部審計的專業(yè)建議職能可以協(xié)調企業(yè)長期風險戰(zhàn)略與短期決策之間的關系，將分散在多元利益相關部門的第三方風險進行系統(tǒng)整合、統(tǒng)一管理，使風險控制由被動轉為主動。

（三）實現(xiàn)第三方風險管理的監(jiān)督職能：參與式審計

審計計劃是執(zhí)行參與式審計的起點。參與式內(nèi)部審計在制定審計計劃時積極鼓勵利益相關部門提出難點與熱點問題，其中的好處除了對內(nèi)部審計從心底深處產(chǎn)生默認感與價值認同外，在后期的審計實施階段，利益相關部門的參與度和貢獻度將明顯提升。在審計實施階段，參與式審計邀請利益相關部門參與審計項目的開展，這種溝通和參與本身就是內(nèi)部審計的價值定位和內(nèi)部審計理念的傳達過程。參與式審計站在不同業(yè)務角度的視野，易于發(fā)現(xiàn)潛在的第三方風險，發(fā)現(xiàn)更深層次的原因；在審計報告階段，參與式審計能夠為第三方風險的合理解決提供戰(zhàn)略性思維，找準風險管理需要監(jiān)督改進的薄弱環(huán)節(jié)，提出具有建設性的改進建議。對于業(yè)務部門，自己參與了內(nèi)部審計，能夠提前注意到內(nèi)部審計所關注的問題，并且提前考慮解決第三方風險的方案，從而將第三方風險的監(jiān)督職能予以提前。

當然，內(nèi)部審計的確認職能、建議職能以及監(jiān)督職能因第三方風險管理的需求而相輔相成。出于規(guī)避第三方風險的需要，內(nèi)部審計對商業(yè)伙伴展開盡職調查，向咨詢顧問角色轉變的需求越迫切，越會促使內(nèi)部審計向參與式審計模式轉變，這種促進作用必然會推進內(nèi)部審計的職能進一步完善與拓展。

三、內(nèi)部審計應對第三方風險管理的實現(xiàn)路徑

內(nèi)部審計通過管理和防范第三方風險以減少企業(yè)不必要損失的過程，實質上就是增加企業(yè)價值的過程，內(nèi)部審計應著力完善第三方風險管理的實現(xiàn)路徑。

（一）建立專業(yè)團隊，大力提升綜合素質

內(nèi)部審計團隊的素質是風險管理的關鍵。內(nèi)部審計職能的拓展對審計人員的素質要求越來越高，能否識別風險與內(nèi)部審計人員的工作經(jīng)驗、技能直接相關；推進商業(yè)伙伴盡職調查工作以及參與式審計的完成，必須基于審計人員知識結構的多元化。因此，如何使內(nèi)部審計人員的專業(yè)技能與風險管理相匹配是內(nèi)部審計目前所必須解決的問題[ 6 ]。首先要優(yōu)化內(nèi)部審計人員的構成。在進行內(nèi)部審計人員選拔時，除關注審計專業(yè)能力外，還應從多元化的知識結構考慮，充分重視計算機、企業(yè)戰(zhàn)略管理、法律法規(guī)等非財務專業(yè)人員的招聘。其次要提升內(nèi)部審計人員的綜合素質。內(nèi)部審計職能多元化，內(nèi)部審計對象復雜化，思維方式發(fā)散化，對審計人員綜合素質的提高提出了客觀要求。為此，應當制定有效的激勵機制與獎懲機制，推動自主學習，實現(xiàn)審計團隊綜合能力的提升。

（二）規(guī)制工作流程，有效應對風險管理

第三方風險日益凸顯，要求內(nèi)部審計必須要更多地應對第三方風險。而傳統(tǒng)內(nèi)部審計被動化、片面化的工作格局，使得第三方風險管理很難制度化、流程化。顯然，對第三方風險持續(xù)有序的監(jiān)督、評價及防范，需要規(guī)制合理的風險管理流程。應對風險管理的內(nèi)部審計工作流程一般包括：商業(yè)伙伴合作清單的制定，合同與協(xié)議的合規(guī)性及雙方執(zhí)行合同程度的定期調查，不同類別第三方風險評估人員的確定等一系列方案。按流程規(guī)制的風險管理方案，使得第三方風險能夠得到持續(xù)的追蹤、評估與防范。

（三）完善審計信息，大幅提高審計效率

內(nèi)部審計的信息化能夠提高第三方風險管理的效率，信息系統(tǒng)強大的聯(lián)動效應在拓寬審計范圍、開闊審計視野的同時，更為內(nèi)部審計在第三方風險管理職能的發(fā)揮方面提供了支持與保障。內(nèi)部審計的信息化建設需要從兩個層面來完成：一是物理層面。內(nèi)部審計要著力于硬件配置和審計軟件設計，提升內(nèi)部審計信息系統(tǒng)的工作效率。二是應用層面。要加強內(nèi)部審計與利益相關部門的業(yè)務分工和職責劃分，實現(xiàn)審計系統(tǒng)與其他信息平臺的全方位對接與職責歸屬劃分，實現(xiàn)內(nèi)部審計對第三方風險全方位、全過程的系統(tǒng)防范。

四、小結

就當前發(fā)展來看，內(nèi)部審計工作的重點領域將發(fā)展為對企業(yè)整體的管理控制。由于經(jīng)濟的全球化發(fā)展和日益復雜的業(yè)務合作關系，第三方風險成為高層管理者關注的重點。內(nèi)部審計作為風險管理的重要參與者，必須應對挑戰(zhàn)、與時俱進、拓展職能。實踐必將證明，在識別和幫助管理層管理第三方風險的過程中，內(nèi)部審計對風險管理支持和鑒證的作用將推動其職能的延伸與拓展。

【參考文獻】

[1] 羅素·A·杰克遜.傾瀉而至的監(jiān)管規(guī)定[J].中國內(nèi)部審計，2012（7）：26-29.

[2] 帕特里克D·沃倫.消除第三方風險管理中的差異和缺口[J].中國內(nèi)部審計，2014（6）：44-46.

[3] 宗菊.化解第三方風險[J].新理財，2010（5）：90-91.

[4] 王兵，劉力云，鮑國明.內(nèi)部審計未來展望[J].審計研究，2013（5）：106-112.

[5] 詹姆斯·波洛克，大衛(wèi)·薩姆納.密切關注你的商業(yè)伙伴[J].中國內(nèi)部審計，2013（1）：38-40.

[6] 李越冬.內(nèi)部審計職能研究：國內(nèi)外文獻綜述[J].審計研究，2010（3）：42-46.