風險導(dǎo)向內(nèi)部審計實施策略

摘 要：風險導(dǎo)向內(nèi)部審計是企業(yè)進行風險管理的一種有效工具。內(nèi)部審計通過對企業(yè)管理的全過程進行審計評估，及時發(fā)現(xiàn)和避免各種風險，積極擴展到戰(zhàn)略層面參與公司價值創(chuàng)造。我國企業(yè)實施風險導(dǎo)向內(nèi)部審計策略主要是建立全流程風險管控機制、風險評估機制和風險預(yù)警機制，以風險為導(dǎo)向優(yōu)化具體審計項目實施程序，運用信息系統(tǒng)提高風險審計技術(shù)和手段，加強內(nèi)部審人員隊伍建設(shè)，提升內(nèi)部審計效率和效果，實現(xiàn)其價值增值功能。

關(guān)鍵詞：企業(yè)；風險導(dǎo)向；內(nèi)部審計

中圖分類號：F239.45 文獻標志碼：A 文章編號：1673-291X（2014）02-0193-03

風險導(dǎo)向內(nèi)部審計是企業(yè)進行風險管理的一種有效工具，其目標是在全面評估企業(yè)風險的基礎(chǔ)上，通過對風險進行事前評估與控制，對風險處于何種狀態(tài)做出準確判斷，為控制風險提供依據(jù)。與傳統(tǒng)的審計模式相比，現(xiàn)代風險導(dǎo)向內(nèi)部審計更注重從宏觀上把握審計風險，審計工作重心從實施階段前移到計劃階段，關(guān)注的核心從內(nèi)部控制轉(zhuǎn)向風險，在審計的全過程自始至終都關(guān)注風險，依據(jù)風險選擇項目，識別風險，測試管理者降低風險的方法，并以風險為中心出具審計報告，協(xié)助企業(yè)進行風險管理。審計方法從以審計測試為中心轉(zhuǎn)移到以系統(tǒng)化的風險評估為中心，即計劃階段對風險進行評估，實施階段對相關(guān)風險進行持續(xù)監(jiān)控和報告，報告階段提出風險管理建議。2007年新審計準則要求全面實施風險導(dǎo)向?qū)徲嫞时疚膶ξ覈髽I(yè)如何實施風險導(dǎo)向內(nèi)部審計提出幾點建議，與大家探討。

一、建立全流程風險管控機制

建立審計戰(zhàn)略計劃、審計項目計劃和具體審計項目實施的全流程風險管控機制。

一是年度風險導(dǎo)向戰(zhàn)略計劃的制訂。年度風險導(dǎo)向戰(zhàn)略計劃要與企業(yè)目標相契合，建立在對公司重要領(lǐng)域的認定、風險自我評估的基礎(chǔ)上，以重大風險和重要風險為導(dǎo)向，明確審計重點，確定年度審計項目。在充分調(diào)研的基礎(chǔ)上，組織相關(guān)部門進行風險自我評估，識別各自存在的風險，排列風險次序，出具風險自我評估結(jié)果，以此為依據(jù)，確定本年度審計關(guān)注點，編制年度審計計劃。風險導(dǎo)向內(nèi)部審計中，風險評估貫穿于年度審計計劃、項目計劃、執(zhí)行審計、總結(jié)發(fā)現(xiàn)和報告的各個階段，企業(yè)要根據(jù)風險評估結(jié)果和以前年度審計情況，合理分配審計資源，將審計資源重點放在高風險領(lǐng)域。

二是建立風險管控標準，有效識別風險。就是按統(tǒng)一的標準梳理各業(yè)務(wù)環(huán)節(jié)的流程，審計部門牽頭，各業(yè)務(wù)單元的內(nèi)控負責人統(tǒng)一對采購與應(yīng)付、生產(chǎn)循環(huán)、銷售與應(yīng)收、存貨與倉儲、營銷管理等業(yè)務(wù)循環(huán)的流程圖和業(yè)務(wù)流程的風險點進行全面梳理，對應(yīng)將風險點、控制措施嵌入到流程中，建立清晰的業(yè)務(wù)流程圖、明確的崗位控制標準和風險防范控制措施。

三是業(yè)務(wù)流程測試和風險評估。風險評估通過實施不同的測試程序識別審計風險，包括企業(yè)整體層面控制評估、信息系統(tǒng)一般控制評估、流程層面控制評估、控制測試以及實質(zhì)性測試等。建立業(yè)務(wù)循環(huán)各個節(jié)點的穿行測試標準，指導(dǎo)各單位業(yè)務(wù)人員開展業(yè)務(wù)流程的穿行測試，通過全流程的穿行測試驗證各業(yè)務(wù)層面風險受控情況，運用自審、互審和復(fù)審相結(jié)合的方法，推進全員、全流程的風險自我審計。

四是出具風險評估報告及風險地圖。審計部出具企業(yè)各業(yè)務(wù)單元的風險評估報告和完整的風險地圖，建立企業(yè)審計風險資源庫，為相關(guān)部門提供風險關(guān)注和控制優(yōu)化的依據(jù)。

風險管控機制將風險管理流程與審計基本程序有機融合，更多地從全流程的角度對企業(yè)進行全面風險評估。企業(yè)要根據(jù)自身的具體情況設(shè)計風險管理流程、風險評估項目和評估標準，并根據(jù)風險環(huán)境的不斷變化及時調(diào)整風險評價標準，以適應(yīng)管理需要。而且，風險管控是一個持續(xù)、循環(huán)的管理過程，不能將風險管理審計作為一次性的專項審計項目，在風險管控執(zhí)行過程中，要不斷地關(guān)注風險，針對問題制定有效的控制措施。

二、以風險為導(dǎo)向，優(yōu)化具體審計項目實施程序

以固定資產(chǎn)投資風險導(dǎo)向內(nèi)部審計為例。固定資產(chǎn)投資項目投資額大、建設(shè)周期長，管理環(huán)節(jié)復(fù)雜，管理風險和審計風險都較高，采用風險導(dǎo)向固定資產(chǎn)投資審計，識別和評估重大管理風險和關(guān)鍵控制節(jié)點，全面審計，突出重點，可以有效提高審計效率，降低審計風險。其審計程序如下：

一是制訂固定資產(chǎn)投資風險導(dǎo)向項目審計計劃。風險導(dǎo)向項目審計計劃是對具體審計項目實施全過程審計所作的綜合安排，需要明確審計目的、審計范圍、審計方法和審計程序、項目風險評估、關(guān)鍵風險點、項目組人員分工、時間安排以及其他事項等。固定資產(chǎn)投資審計目標要與企業(yè)固定資產(chǎn)投資目標相聯(lián)系，審計范圍包括選定經(jīng)營單位、選定業(yè)務(wù)及流程、相關(guān)信息系統(tǒng)測試范圍、測試時間范圍等。

二是業(yè)務(wù)經(jīng)營單位初步評估和關(guān)鍵風險識別。審計人員要掌握固定資產(chǎn)投資項目整體情況，注重從宏觀層面了解固定資產(chǎn)投資項目的基本情況，獲取背景信息，包括行業(yè)狀況、監(jiān)管環(huán)境、建設(shè)模式、建設(shè)目標等信息，對固定資產(chǎn)投資項目面臨的風險進行分析，識別和評估固定資產(chǎn)投資項目系統(tǒng)風險和關(guān)鍵風險。

三是業(yè)務(wù)流程分析。在全面評估固定資產(chǎn)投資風險基礎(chǔ)上，從投資項目風險入手，進一步了解流程，更新識別的風險，對高風險項目和資金重點監(jiān)控，從整體上把握審計重點。

四是評估流程有效性和流程重大風險。在了解固定資產(chǎn)投資項目業(yè)務(wù)流程的基礎(chǔ)上，運用分析性程序，分析關(guān)鍵流程，評估固定資產(chǎn)投資項目重大風險，分析對目標產(chǎn)生影響的風險以及風險控制，測試實際的控制能否切實管理這些風險，這是風險導(dǎo)向?qū)徲嬯P(guān)注的重點。

五是根據(jù)風險評估結(jié)果，確定項目審計范圍和審計重點，制定相應(yīng)的審計策略。具體是設(shè)計審計步驟，根據(jù)審計步驟進行審計抽樣并對樣本進行監(jiān)督，實施實質(zhì)性測試等審計程序。在審計實施過程中，要根據(jù)審計實施情況對項目方案進行重新評估，擴大審計范圍或增加審計程序，實施進一步測試以修訂審計方案，保證審計質(zhì)量。

杜邦“沸騰壺”審計抽樣模型就是一種常用的審計抽樣方法。它以審計項目風險為對象，建立風險識別模型，對每一類風險進行排序，將其劃分為不同的級別，即高風險、敏感風險、適中風險、低風險，直觀地反映風險與審計面的關(guān)系。杜邦“沸騰壺”模型說明，在風險因素中，風險結(jié)構(gòu)一般是高風險占10%，敏感風險占30%，適中風險占40%，低風險占20%。風險審計規(guī)劃在審計資源配置時，要依據(jù)風險水平高低配置審計資源，對不同級別的風險因素需實行差異化審計。高風險因素要進行詳細審計，對于處于敏感風險性質(zhì)的風險因素一般抽樣50%進行重點審計，對于適中風險因素一般抽樣 25%，而對于低風險的風險因素只需要抽樣10%進行一般審計。風險級別越高，配置的審計資源越多，根據(jù)風險評估結(jié)果，將主要的審計資源分配在高風險領(lǐng)域，有的放矢，提高審計效率。

六是根據(jù)對流程設(shè)計有效性測試結(jié)果得出審計結(jié)論，出具審計報告，提出管理建議。

三、建立以審計調(diào)查法為基礎(chǔ)的風險評估機制

風險評估機制包括風險識別、風險評估、風險模型的建立及風險評估結(jié)果分析等。對確定的審計項目進行風險評估，主要是通過對業(yè)務(wù)流程的梳理，找出流程關(guān)鍵控制點，并選擇科學的風險評估方法對控制點進行風險分析，以準確識別和正確評價風險。以審計調(diào)查法為基礎(chǔ)的風險評估方法，能清晰揭示風險的高發(fā)區(qū)域和風險變化趨勢，操作性強，評估結(jié)果具有很強的說服力。即選取一定比例的被審單位實施風險典型調(diào)查，采用審計調(diào)查法對風險發(fā)生頻率和嚴重程度進行分析和預(yù)測，對風險進行分級分類管理，根據(jù)風險水平確定審計重點。步驟如下：一是確定評估范圍。評估范圍與審計范圍相關(guān)，對風險評估結(jié)果的運用有直接影響。二是風險評估數(shù)據(jù)的采集。采集近幾年的相關(guān)風險數(shù)據(jù)，這些數(shù)據(jù)可以是以往風險管理審計、綜合性審計及專項審計的相關(guān)資料和數(shù)據(jù)等。三是對風險評估基礎(chǔ)數(shù)據(jù)進行整理和加工。內(nèi)部審計人員依據(jù)原始資料和專業(yè)判斷對一些定性資料進行量化處理，確定各組風險數(shù)據(jù)的影響程度級別，據(jù)此對項目風險進行評估。四是進行風險評估和預(yù)測。根據(jù)事先界定的評估范圍，分別對審計項目各類風險、各類子風險的概率和影響程度進行評估，對所采集的一定期間的風險數(shù)據(jù)，采用審計調(diào)查法分析歷史數(shù)據(jù)，尋找各風險的變化趨勢和集中趨勢，建立能描述各風險變量未來變化態(tài)勢的模型，運用數(shù)學方法對各類風險的主要變量——風險概率和影響程度進行風險變動趨勢分析及預(yù)測，求出風險預(yù)估值，并運用政策分析法，整理和分析可能影響各類風險變量的政策因素，對固定資產(chǎn)投資風險預(yù)測值進行修正和完善，確定風險估測值浮動區(qū)間。五是風險評估結(jié)果的分析和利用。根據(jù)風險分布情況，布局安排審計資源，對風險多發(fā)區(qū)域進行重點審計。風險評估結(jié)果可以應(yīng)用于企業(yè)的風險管理，包括：將風險評估結(jié)果與企業(yè)事先確定的風險管理策略（如各類風險的承受度等）進行對比，并分別采取不同的風險應(yīng)對措施；協(xié)助企業(yè)建立風險預(yù)警機制，對達到風險預(yù)警線的風險發(fā)出預(yù)警信號，采取相應(yīng)的風險控制措施；對風險發(fā)展趨勢進行預(yù)測，幫助企業(yè)規(guī)避和防范風險。

四、建立風險自我評估和預(yù)警機制

建立風險預(yù)警機制，對風險進行實時監(jiān)控，可以有效管理和預(yù)防重大風險。風險預(yù)警機制前移風險管理關(guān)口，使風險管理重點由事后監(jiān)督向事前預(yù)防、事中控制轉(zhuǎn)移，防患于未然。企業(yè)可以根據(jù)風險評估結(jié)果，針對風險高發(fā)區(qū)域建立預(yù)警機制，完善風險預(yù)警指標體系，如利用DCCS法、盈虧臨界點法及財務(wù)比率法等有效捕捉企業(yè)風險征兆，對異常情況提前發(fā)出預(yù)警，幫助管理層完善風險管理程序，控制風險。在風險導(dǎo)向內(nèi)部審計中，使用風險自我評估（RSA）法，可以有效提升風險預(yù)警效率。風險自我評估是指內(nèi)部審計要監(jiān)督：（1）風險環(huán)境分析的恰當性。主要是對企業(yè)固有風險和控制風險進行評估，分析風險性質(zhì)和影響程度的變化以及控制措施是否能與環(huán)境變化相符，并在審計報告中反映分析結(jié)果。（2）風險事件識別的充分性。（3）風險評估的恰當性。風險評估要從風險發(fā)生的可能性和影響性兩方面對已識別的風險事件進行定量分析和定性分析。（4）風險度以及風險預(yù)報合理性。主要是審核風險度的計算方法是否科學合理，是否反映企業(yè)實際風險水平。綜合分析企業(yè)的內(nèi)外部環(huán)境，審核風險預(yù)報的根據(jù)及預(yù)報的級別是否合理。（5）風險控制措施的有效性。主要是對業(yè)務(wù)控制程序進行測試，檢查是否有效，是否能夠控制風險，并對檢查發(fā)現(xiàn)的問題提出改進措施和建議，幫助企業(yè)管理風險，降低風險損失。（6）風險信息溝通的有效性。內(nèi)部審計人員要從風險識別、評估信息的獲得，風險警報的及時發(fā)出等方面評估風險信息是否被準確及時地傳達給所有相關(guān)人員，讓管理層了解風險是否被有效管理。風險信息溝通評估也可以提高外界對企業(yè)風險管理的信任度。

此外，企業(yè)應(yīng)建立風險審計信息系統(tǒng)，完善審計資源數(shù)據(jù)庫，積極推進審計手段創(chuàng)新，加強內(nèi)部審計隊伍建設(shè)，合理配備審計項目組成員，有效提高內(nèi)部審計效率和質(zhì)量，提升風險導(dǎo)向?qū)徲嫷膬r值增值功能。

參考文獻：

[1] 李曼，劉繼明，陸貴龍.風險導(dǎo)向內(nèi)部審計的價值實現(xiàn)[J].財會通訊.綜合，2010，（6 下）.

[2] 李有華，鄭厚清，張愛紅，王洪英.風險導(dǎo)向固定資產(chǎn)投資審計實務(wù)研究[J].中國內(nèi)部審計，2012，（7）.

[責任編輯 李 可]