基于風險導向的企業內部審計研究

胡 彪

基于風險導向的企業內部審計研究

胡 彪

目前，雖然我國已引入風險導向內部審計，但是大部分企業的內部審計還處在傳統審計階段。本文對風險導向內部審計進行了深入的分析，明確了風險的實施過程以及注意事項，幫助企業更好地開展風險導向內部審計。

企業 風險導向 內部審計 風險管理

一、風險導向內部審計的特征

（一）保護企業利益，實現企業價值最大化目標

現代企業的目標是實現企業價值最大化，而風險導向內部審計在與其他部門的合作下能夠幫助企業實現這一目標，但是目前企業內部審計存在的財務、業務和管理方面的內部審計，沒有從全局進行考慮。內部審計在業務導向階段的目標是提高管理控制和業務活動的效率，為企業帶來更多的利潤；內部審計在管理階段的目標是增強決策的科學性、可行性和準確性，幫助企業提高獲利能力和經營能力；內部審計在財務階段的目標，是嚴格檢查財務工作中存在的問題和錯誤，并及時改正，有效保護企業的利益。這些內部審計目標與企業的目標存在差異，從而無法發揮出最大作用。

（二）幫助企業節約資源，提高審計質量

與之前企業以審計測試為中心的內部審計模式不同，風險導向審計模式以風險識別和評估為中心，該模式站在企業目標的角度上，對可能影響企業實現目標的風險進行識別和評估，然后再編制相應完善的控制措施，并明確需要投入的審計資源，最后測試所編制的控制措施能否控制風險，從而有效地幫助企業在節約資源的同時提高審計質量。

（三）幫助企業實現各項業務活動的目標，有效控制風險

企業的每一項業務活動都會產生一定的結果，而這個結果會指向一個具體目標。風險導向內部審計正是通過風險管理、內部控制和治理程序來保證各項業務的順利進行，從而實現業務活動的目標，而企業通過各業務活動目標的實現來實現企業的最終發展目標。所以，風險導向審計必須滲透到企業的每一項業務活動中，嚴格執行風險導向審計的風險管理、內部控制和治理程序，對各項業務活動中的風險進行準確識別和評價，有效地控制風險。

二、風險導向內部審計的實施過程

（一）以實現組織目標為中心開展各項業務活動的具體目標

企業通過實現各項業務活動的具體目標保證各項業務活動順利進行，從而實現企業的目標。所以，企業的內部審計人員必須熟讀企業規劃、年度計劃、組織章程、預算，并且與高級管理層保持緊密的聯系，深入了解組織的目標，從而對企業各項業務流程進行深入的分析和梳理，保證各項業務活動的目標能夠與企業內部控制要實現的四大業務活動具體目標保持一致，即經營效率和效果、資產安全、財務報告和相關信息真實完整以及經營管理合法合規，從而保障各項業務活動最大限度達到預期效果。

（二）規范化風險識別，有效識別風險，實現組織目標

對于風險導向審計來說，識別風險是其關鍵環節，而風險的識別需要與企業的內外部環境、組織目標和各項業務活動的具體目標緊密聯系，并與企業的上級部門和被審計單位相關業務人員保持緊密的溝通。企業識別風險可以采用專業的分析方法，如COSO列舉法、PEST分析、波特五種力量分析模型、SWOT分析和矩陣分析等，同樣企業也可以采用傳統的分析方法，即調查問卷法。企業在識別風險時可以從兩個層面進行，分析影響具體業務活動具體目標實現的具體因素，從而直接進行風險識別并評估；分析影響企業目標實現的因素，并將該因素落實到具體業務活動或具體的目標上，再進行風險評估，無論從哪個層面進行風險識別，最終都必須落實到實際的業務活動中。

（三）規范化風險評估，明確風險關鍵控制點

企業目標通過完成每一項業務活動來實現，而每一項業務活動由一個或多個環節組成，在所有的環節中存在著一個或幾個關鍵環節，而這些關鍵環節就是企業風險導向內部審計的關鍵控制點。企業在進行風險導向內部審計時可以采用定性與定量結合的評估方法，如風險坐標法、關鍵風險指標管理法、蒙特卡羅法和壓力測試法，從風險對目標可能直接造成的負面影響或風險發生時產生的負面結果對目標造成的影響進行科學評估，并對每項業務活動的風險評估結果進行排列，明確每項業務活動風險控制的關鍵控制點，從而使內部審計人員合理配置審計資源，保障企業的業務活動順利進行。

（四）測試控制措施的有效性，確保控制措施的有效執行

在進行了科學的風險評估后，企業需要根據成本效益原則來設計相應的控制措施，并對控制措施的合理性和完整性進行現場測試。企業要想有效地控制風險，控制措施則必須涵蓋各項業務活動中所有的關鍵控制點，如果關鍵控制點沒有得到有效控制，該控制措施就存在缺陷，無法發揮作用。在進行控制措施有效性測試后，企業需要測試控制措施是否有效執行，而這一環節需要建立在合理設計的控制措施之上，內部審計人員了解控制措施是否有效的途徑有詢問、檢查、監盤、函證和分析性復核，從而在獲得控制措施有效的審計證據后有效地執行控制措施，有效控制風險。在執行控制措施后，企業需要明確沒有得到控制的剩余風險，如果企業實現了有效的風險管控，則剩余風險就會很少，如果風險控制和管理沒有得到有效執行，那么剩余風險就會變多，最后，企業需要對剩余風險造成的損失進行計算。

（五）保持緊密溝通，提出合理意見和建議

企業需要與被審計單位保持緊密的交流，在進行現場測試后對剩余風險造成的影響進行評價，并整理審計證據，對審計工作底稿進行再一次復核，在充分征求被審計單位的意見的情況下，提出相應的審計意見和建議，并制成審計報告，將報告發送給相關人員，并進行詳細記錄。

（六）規范化審計反饋，實現高效的內部審計

風險導向內部審計中的審計反饋是重要環節，企業需要對審計中存在問題的性質以及重要性、糾正措施的復雜性、落實糾正措施要花費的成本和期限以及糾正措施失敗造成的影響進行深入分析，從而在充分考慮被審計單位的時間要求和業務安排的基礎上，決定是否一并執行單獨后續審計或進行其他項目審計。

三、風險導向內部審計在實施過程中需要注意的事項

（一）優化企業內部審計機構，保證內部審計的獨立性

內部審計機構包括受企業總裁或總經理、董事會、監事會、會計師或財務總監領導的四種類型，而不同領導形式下的內部審計機構所處的地位不同。我國的內部審計機構基本是在董事會下設立審計委員會，通過審計委員會管理企業內部審計各項事務。在此模式下，企業內部審計機構主管需要向組織首席執行官和董事會、審計委員會或相關治理機構分別報告行政工作和職能工作，從而保證了企業內部審計的獨立性。

（二）合理安排審計人員，保證審計的全面性

風險導向下的內部審計，要求審計人員必須熟練掌握相應的會計和審計知識、法律知識、風險管理技術、數理統計知識、概率理論知識、現代信息技術知識等，所以，企業在審計人員的安排上必須涵蓋以上所有必備知識，其理想構成為經濟管理專業、工程技術專業、其他專業，三者的比例為1∶1∶1。

（三）構建完善內部審計制度體系，并結合風險管理

企業必須建立完善的內部審計制度體系，主要體現在企業內部審計制度和章程、內部審計機構內部管理規定和內部審計部門與其他部門的溝通管理制度三個方面。同時，企業需要將內部審計與風險管理進行有機結合，有效推動兩者工作，實現高效風險導向內部審計。

（作者單位為中國郵政集團公司安徽省分公司）

［1］ 李琴.現代風險導向審計模式下的企業內部審計研究［D］.山西財經大學，2014.

［2］ 馮勇.基于風險導向下金地集團內部審計問題研究［D］.遼寧大學，2015.

［3］ 劉蔚.風險導向內部審計模式在W公司的應用研究［D］.云南大學，2015.