淺談企業風險導向內部審計的實踐模式

【摘要】本文簡單闡述內部審計與風險管理的關系，介紹了風險導向審計發展及內涵，重點闡述了企業風險導向審計的實務操作模式，并就我國現階段風險導向審計應用前提提出一點看法。

【關鍵詞】風險管理 內部審計

隨著全球經濟一體化進程的推進，企業面臨的宏觀環境復雜多變。國內“十二五”期間致力于經濟結構調整和發展方式轉變，對企業經營管理影響的各種因素越來越多，企業在發展過程中面臨的不確定性加大，伴隨著各種機遇與挑戰。因此，在企業風險管理履行重要職能的內部審計，將為有效實施風險管理，保障企業健康穩定發展發揮應有的作用。

一、企業風險和風險管理

（一）風險和風險的特性

企業風險是指企業經營過程中出現的各種不確定性。企業的風險具有以下特性：

1.客觀性：風險的存在取決于決定風險的各種因素的存在，完全消除風險或控制風險是不可能的，只有認識風險、承認風險、采取相應的管理措施，以盡可能降低或化解風險。

2.突發性：風險的產生往往給人突如其來的感覺，因而也加劇了風險的破壞性。

3.多變性：風險的多變性是指風險會受到各種因素的影響，在風險性質、破壞程度等方面呈現動態變化的特征。

4.相對性：人們對風險的承受能力隨著擁有的財富、資源和經驗的不同而有許多不同，造成相對損失也不盡一樣。

5.無形性：風險不像一般的物質實體，能夠非常確切的被描繪和刻畫出來，需要運用系統論、概率、彈性、模糊等概念和方法進行界定和估計，從定性和定量兩個方面進行綜合分析。

（二）風險管理

對于“風險管理”，COSO是這樣定義的，即：“企業風險管理是一個過程，受企業的董事會、管理層和其他人員的影響，應用于企業的戰略制定及各個方面，旨在確定影響企業的潛在重大事件，將企業的風險控制在可接受的程度內，從而為實現企業的目標提供合理保證。”按照COSO風險管理框架，包括八要素包括：內部環境、目標設定、事項識別、風險評估、風險反應、控制活動、信息溝通和監督。2006年我國國資委發布了《中央企業全面風險管理指引》，也指出了風險管理的原則性要求。要求中央企業圍繞總體經營目標及公司戰略，進行風險評估，制定風險管理策略，并提出和實施風險管理解決方案，進而風險管理的監督與改進。風險管理目前已經成為企業科學管理非常重要的手段，需要與經營管理活動有機地融合，通過全員過程參與和實施來促進組織目標的達成和整體利益的實現。風險管理緊緊圍繞企業目標和戰略，通過評估和管理重大事件，進而幫助企業實現目標。

二、風險導向審計的發展及內涵

內部審計從賬項基礎審計和制度基礎審計發展起來，隨著企業風險管理理念的發展和內部審計實踐的客觀需求，風險導向內部審計已經成為內部審計領域的最新發展方向之一。1999年國際內部審計協會（IIA）經過幾年的調研之后，通過了基于風險導向的內部審計新定義和內部審計職業實務標準框架的內容。2001年IIA給出了這樣的定義：“內部審計是一種獨立、客觀的確認和咨詢活動，旨在增加組織的價值和改善組織的運營。它通過應用系統化、規范化的方法，評價并改善風險管理、控制和治理過程的效果，幫助組織實現其目的。”根據內部審計定義，可以看出，現代內部審計要求更加關注風險管理、內部控制和公司治理，緊緊圍繞組織實現目標、增加價值。而風險管理也是面向未來，緊緊圍繞企業目標及公司戰略。因此風險管理和內部審計目標是相同的，風險管理技術在內部審計方面的運用能夠幫助內部審計更加科學、更加合理地達到組織目標。

風險導向內部審計目的是服務于企業董事會和管理層的，幫助企業控制風險。內審人員要根據企業的目標及戰略，識別和評估企業的固有風險及控制的有效性，全面準確地描述公司風險狀況，進而確定剩余風險環節的嚴重程度，進而將重要的剩余風險作為內部審計的切入點，進行風險測評及風險影響分析，提出具體的風險應對措施，幫助公司進行風險管控，真正體現了風險導向的審計理念。

三、企業風險導向審計的實踐模式

企業風險導向內部審計實踐模式的建立是依托企業開展的內部控制和風險管理工作。在審計實踐中，圍繞審計重點，開展測試和評價工作，對于高、中、低風險領域采取不同的審計策略，分析風險影響程度和發生可能性，提出風險應對措施和建議，通過風險導向審計協助企業管理風險，實現企業價值增值。同時風險導向內部審計可以有效地分配審計資源，控制審計風險，節約審計成本，并使企業的風險管理與內部審計程序之間有機融合，產生協同效應。一般企業風險導向審計實踐模式如下：

（一）在風險識別和評估的基礎上，確定年度審計計劃

首先，應在風險識別和評估的基礎上，確定年度審計計劃。

1.圍繞戰略及目標，開展總體風險分析。審計部門應組織進行風險識別和評估工作，過程中要與公司董事會、經營層、風險合規部門以及相關職能部門密切協作，溝通了解公司的戰略、年度經營目標及風險策略。通過評估總體風險，找出重點關注的業務、機構和流程，針對高風險的領域給予重點關注和分析。

2.結合總體風險分析，評估固有風險狀況。在總體風險分析基礎上，根據審計風險模型“審計風險=固有風險控制風險檢查風險”，對影響公司的固有風險進行評估。評估時按照風險影響程度和發生的可能性兩個緯度，結合《中央企業全面風險管理指引》分類劃分為戰略風險、財務風險、運營風險、法律風險、市場風險五類，并列出主要風險清單和風險地圖。下面以某公司某業務固有風險識別和評估為例，審計部組織固有風險評估，將五大類風險作為一級風險，然后進行層層分解到二級業務環節風險、三級流程風險。如圖1所示。

（1）銷售風險（影響程度★★★★★，發生可能性★★★★★）。

影響程度：宏觀經濟環境變化較大，房地產市場波動較大，影響公司的業績達成。

發生可能性：房地產調控政策頻出，各地出臺的限購、信貸政策緊縮及稅收杠桿的調控，市場發生變化的可能性90%以上。

（2）資金風險（影響程度★★★★★，發生可能性★★★★）。

影響程度：目前由于銷售不暢導致資金流緊張，加上宏觀調控導致貨幣政策緊縮，如果政策持續，可能資金鏈緊張，直接影響公司的生存。發生可能性：銷售壓力大及貨幣政策預計持續可能性非常大，但有的項目銷售預計存在突破，預計發生可能性70%～90%。

（3）人力資源風險（影響程度★★★★，發生可能性★★★★）。

影響程度：目前各公司不同程度存在核心及骨干人才儲備不足，人力資源效率不高，有待挖掘，可能導致企業管理能力不高，效益不高，有的項目存在無人可派的情況。

發生可能性：按照目前的項目數量來看，現有人力尚能滿足需求，如果考慮到后續項目拓展以及未來人才爭奪激烈可能導致的流失，那么人力資源風險發生的可能性70%～90%。

圖1 運營風險和財務風險二級環節風險清單

風險影響程度分為五檔，分為一星、二星、三星、四星和五星，影響程度分別為極低、低、中等、高、極高。主要分類標準采用定量和定性分析結合。定量主要考慮對公司的損失占到凈利潤的比例，分為0.5%以下、0.5%～1%、1%～3%、3%～10%和10%以上；定性分析主要考慮到對公司戰略達成的影響程度、造成公司聲譽和品牌的影響程度以及違反違規受到各種處罰的程度等。

風險發生可能性分為五檔，分為一星、二星、三星、四星和五星發生可能分別為極低、低、中等、高、極高，采用的分類標準為定量分析，發生可能性分別為10%以下、10%～30%、30%～70%、70%～90%、90%以上。

結合公司風險的影響程度和可能性兩個緯度，我們對評估的固有風險繪制成風險地圖，如圖表2所示。

圖表2 公司某業務風險地圖

在風險地圖中，紅色區域代表固有風險的高風險領域，影響程度極高，發生可能性極大；黃色區域代表固有風險的低風險領域，影響程度低，發生可能性小。

3.結合審計對公司控制有效性的了解。初步評價控制風險狀況。根據審計風險模型，“審計風險=固有風險控制風險檢查風險”對企業的固有風險評估后，后續對評估出來的固有風險環節進行控制風險評估。只有固有風險大，且評估的控制風險大，那么該環節的總體風險等級高，如果固有風險大，而評估的控制風險小，代表盡管固有風險大，但企業對該環節已經有所控制和關注，那么該環節的總體風險等級相對較低。

對評估出來的固有風險環節進行控制風險評估，要結合內部審計以前年度獲取的信息、公司最近的重要組織架構、業務流程、管理制度及重要崗位人員的變動等，初步評估控制風險狀況。控制風險等級分為五級，分別為健全、較為健全、一般、薄弱、失控。

4.針對固有風險狀況和控制有效性評價，確定各環節的風險等級。總體風險等級確定按照固有風險和控制風險兩個緯度進行，固有風險評估高和較高的，且控制風險為一般、薄弱和失控的，代表總體風險等級較高，在制定年度審計計劃時應該重點關注。

在確定年度審計計劃時，根據風險評估結果，同時還要結合董事會和管理層要求、外部監管重點、外部審計管理建議書和以前年度審計結果，確定審計項目和本年度審計重點。

例如上述公司某年度固有風險較高的包括：銷售管理、資金和人力資源管理，通過控制有效性評估，上述環節的控制有效性不高，那么應該作為該年內部審計的工作重點。該公司制定審計計劃時，要圍繞公司的戰略，結合宏觀經濟環境變化，借鑒風險管理的評估情況，考慮董事會和管理層內部管理需要，確定該年度審計重點為：銷售指標達成情況及銷售管理、資金管理和資金風險、人力資源內控管理和效益分析。

（二）編寫項目審計方案，確定重要審計程序和重要性水平

在開始項目審計前，制定項目審計方案。在制定審計方案時，內部審計要進行審前調查，審前調查的內容包括但不限于：公司最近的業務發展策略、業務指標情況、管理情況等，評估各公司的內部控制情況、審計項目的重要程度、復雜性和項目風險水平以及以前年度審計結果，結合被審計單位的基本情況，確定重要審計程序和重要性水平，將審計程序按照重要性分出高、中、低的層次，針對不同層級采取不同的審計方法。對風險低的可相應簡化審計程序，可采取的方法有：利用管理層自查的結果并抽取一定比例驗證自查的準確性、借鑒其他職能部門檢查的結果、減少樣本量、采用詢問、觀察等簡化的審計程序。對風險高的則采取擴大樣本量、進行穿行測試、增加分析性復核程序等審計方法。

在編寫項目審計方案時，首先對評估出的風險等級較高的風險環節進行影響因素的細化分解，確定關鍵審計點，在審計實施階段對關鍵審計點的影響因素及控制流程進行審計。例如將資金管理環節的關鍵審計點確定為：資金管理制度建設情況；銀行存款的真實性；資金支出控制流程；資金支出發票的合理性、合規性；資金預算的管理；現金流的平衡情況等6個關鍵審計點。

然后充分考慮各公司的項目進展情況、以前年度審計結果和內部審計資源等，并結合關鍵審計點的影響因素及控制流程的重要程度，確定該審計項目的重要性水平。例如資金管理環節的資金支出審批流程：參考審計期間事前審計調查獲取的資金支出數量，并考慮資金支出金額的影響，來確定資金支出的重要性水平。

（三）實施審計程序，識別和評估風險

實施審計過程中，以初步評估的風險等級較高的環節作為審計的切入點，通過內部測評、分析性復核、具體審查等，以有效識別風險和發現問題。

審計中要對識別的風險進行深入分析，了解風險形成的主客觀原因，注重采用定量和定性相結合的方式進行風險影響程度的評估。例如對公司收入、利潤、資產的影響，對公司生產周期、資產周轉率的影響。

（四）撰寫審計報告，提出風險應對措施和管理建議

在編制審計報告時，將審計中測評的關鍵風險點情況進行評價，指出內部控制中存在的漏洞和薄弱環節，提出風險應對策略和管理建議。

風險應對策略包括：風險規避、風險降低、風險分擔和風險承受。不同的應對策略，適用不同的范圍的風險事件。

（五）進行后續審計，評估風險應對策略落實情況

后續審計是指出具審計報告后，審計人員仍要為報告中所涉及的審計發現和建議進行跟蹤，以確認公司是否采取了風險防范和控制措施。對于重大的審計發現，在后續審計應跟蹤中關注相關部門和環節是否予以糾正。若未糾正，要查找相應的責任和原因。

后續審計工作要堅持風險導向和成本效益原則，以所涉及的風險程度、實施糾正措施的困難程度、實施糾正措施的時間安排為依據。風險越大，后續審計的范圍就可能越廣，內審人員要投入更多的時間和精力；反之，后續審計可僅限于詢問和簡短的討論，以節約審計成本。

四、風險導向審計在實務的應用對策

（一）借助專業職能部室的力量進行風險評估

開展風險導向審計的前提是審計人員既要有會計、法律、管理等多方面的知識，又要有較強的專業判斷能力、較高的風險分析能力和豐富的從業經驗。這就必然要求審計人員具有較高的綜合素質，而我國目前正缺少這樣高水平的審計人員。若僅憑企業目前的審計人員可能無法對被審單位的經營風險和舞弊風險做出全面、準確地評估。

針對現狀，建議企業組織各專業職能部室對各自所管轄范圍內的風險進行識別和評估，也可以聘請外部專家、行業經營管理專家等共同進行風險識別和評估，研究提出公司風險清單。審計部門可在此基礎上，結合自身判斷確定公司的風險評估結果。

（二）建立比較完善的資料庫，并充分利用專家的工作

在風險導向管理審計中，審計人員需要獲取大量的信息來充分了解被審單位的情況。因此只有建立信息全面的、共享的行業信息資料庫，或者在審計人員某方面專業能力欠缺的情況下，充分地利用專家的工作，才能滿足審計人員了解被審單位戰略規劃、評估經營風險和進行個性化審計程序設計的需要。目前，企業對數據的積累還非常有限，雖然審計準則中規定了可以借助專家的工作，但審計實務中各企業應用程度也有所不同。因此，各企業應盡快建立相對完善的資料庫，并在可能的情況下充分利用專家的工作。

（三）健全企業內部控制，為現代風險導向審計打下良好的制度基礎

一個企業的內部控制是否完善，直接關系到實施風險導向審計能否得到預期效果。從目前情況來看，我國企業內部控制的不完善已經成為現代風險導向審計運用的絆腳石。因此，國家應該引導各企業從內部控制的設計、運行、評價、改進四個環節上建立與完善企業內部控制，強化企業高管層的控制責任，關注企業風險的評估，強化內部審計監督職能，使風險導向審計實施具有良好的制度基礎和文化基礎。

（四）對企業經營目標、戰略措施和經營活動進行深層分析

實務操作中，內審人員應重點放在企業經營目標、戰略措施和經營活動的分析上，而不是追查所有經營風險，相應記錄做到簡而有理、繁而有用，既不遺漏重要信息，也不做表面文章，做到思路清晰，內容有用，使審計人員能獲得全面、客觀、充分的有關客戶經營環境和經營活動的信息，為后續風險評估打下基礎。同時，通過將識別的重大錯報風險和實施的審計程序相聯系，將進一步的審計程序放在高風險領域。這些策略都可能有效抵減實施風險評估程序本身帶來的審計工作量和成本的上升。

綜上所述，通過風險導向管理審計可以評估出企業可能存在的高風險領域，并針對評估的重大風險實施審計，發現內部控制的薄弱環節，并提出相應的改進建議，提高審計工作的有效性。但是如何讓風險導向審計在公司治理中發揮更好的作用，仍需我們在實踐中不斷探索！

參考文獻

[1]雒文彥《現代風險導向審計下企業審計實施框架》經濟師2009年第三期

[2]王秀麗《風險導向審計模式的發展及在我國的應用》新疆財經2006年第2期

[3]劉慧霞《風險導向審計在實務應用中的問題研究》中國內部審計2009年第26期

[4]朱薇《企業風險導向審計實務淺析》北京內部審計協會

[5]中國建設銀行廣州審計分部課題組《風險導向審計在商業銀行內部控制評審中的作用》中國內部審計2011年第4期