基于風險管理的內部審計全過程管理

姚琦

基于風險管理的內部審計全過程管理

姚琦

一、引言

隨著社會經濟的發展，企業在面臨著機遇的同時也面臨著許多風險。為了降低企業面臨的風險所帶來的損失，做好企業的風險管理，內部審計起著至關重要的作用。風險管理已成為了企業管理的核心，也是企業內部審計的重要內容和關鍵因素，基于風險管理的內部審計，有助于企業提高風險管理水平，促進企業實現發展目標。審計全過程管理是保證內部審計質量的重要前提，將風險管理融入審計全過程更有利于提高審計效率。本文基于風險管理視角下內部審計全過程管理的研究，將內部審計研究的發展推向一個新高度。

二、風險管理與內部審計有機結合

企業風險管理是指企業管理風險、抓住機遇、達到目標的方法和流程。通過風險管理，企業對與目標有關的風險及機遇事件進行管理，評估其發生可能性、規模，確定反應機制，監控流程，最終保護企業及股東價值。內部審計是指一種獨立、客觀的確認和咨詢活動，其目的是在增加價值和改善組織的運營。內部審計通過運用系統和規范的方法，評價并改善企業的風險管理、內部控制和治理過程的效果，幫助企業實現發展目標。

從上述兩者的定義可以看出，風險管理與內部審計存在著密切關系。

（一）風險管理與內部審計的目標具有一致性。

風險管理直接有助于企業實現目標。風險管理識別可能對企業造成潛在影響的事項，在風險偏好范圍內管理風險，為企業實現目標提供合理的保證。內部審計的目的是為企業增加價值并提高機構的運營效率。盡管內部審計部門不直接從事企業的具體生產經營活動，審計人員在審計過程中通過收集資料、識別并評價風險，站在全局的角度客觀地審視企業的經濟活動，通過審計報告、管理建議書的形式向企業高層管理者匯報審計結果，幫助企業找出各種風險因素，還可以將這些有價值的信息應用于日常的經營管理活動，從而達到降低風險和增加企業價值的目的。

（二）風險管理與內部審計的內容存在相互交融。

2004年4月，美國COSO委員會結合《內部控制整體框架》和《薩班斯——奧克斯法案》,頒布的《企業風險管理框架》將風險管理的要素分為八個：內部環境、目標制定、事件識別、風險評估、風險反應、控制活動、信息與溝通、監督。其中，以內部審計為核心的監督是風險管理的重要組成，內部控制制度的實施是否有效需通過監督來檢查督促。內部審計經歷了賬項導向、控制導向等發展階段，逐步形成了風險導向的審計思想，在內部審計中大量地運用風險識別、風險評估、風險分析、風險分配等方法，對企業的風險充分關注和重視。從上述內容來看，內部審計與風險管理在內容上存在極大的相互交融性。

（三）風險管理與內部審計之間相互促進。

企業在財務管理、業務經營等方面都存在著潛在風險，要求企業必須謹慎地識別各種潛在風險并加強管理。內部審計發展至今，“評價和改善風險管理”已成為內部審計的重要工作領域，提供咨詢服務、評估和改善風險管理成為內部審計的重要職能。因此，企業風險管理必然要將內部審計納入自身體系，把內部審計作為風險管理的一道重要防線。風險管理重要性與日俱增，為內部審計提供了更廣闊的天地；內部審計的發展和增值建設，為風險管理提供了更多思路和方法。

通過以上分析，不難看出，內部審計與風險管理存在相輔相成，互為促進的關系，將兩者有機的結合，形成基于風險管理的審計全過程管理，將會極大提升內部審計的能力，從而更好地為企業提供增值服務，最終實現企業價值。

三、基于風險管理的內部審計全過程管理

（一）內部審計的全過程。

審計過程是指審計項目從開始到結束的過程中，審計人員所采取一系列的工作步驟。內部審計通常包括審計的啟動階段、準備階段、實施階段、報告階段、后續階段幾個過程。啟動階段是指內部審計部門經企業監督層批準和授權后，確定具體的審計對象。準備階段是指內部審計部門經過初步的審前調查制定總體審計策略以確定具體審計目標和審計范圍，制定具體審計計劃保證審計工作得以有效地執行，但審計計劃工作貫穿整個審計過程，需要根據審計持續開展情況進行不斷修正的。實施階段是指審計部門根據收集的審計資料，實施必要的審計程序，獲取充分、適當的審計證據，以覆蓋審計范圍、完成審計計劃、實現審計目標的過程。報告階段是指審計部門根據審計實施階段執行審計程序所獲取的各種審計證據，合理運用職業判斷，形成恰當審計意見后通過書面形式審計報告來反映審計結果。對于審計發現，內部審計部門可以根據需要確定是否要形成管理建議書。后續階段是審計部門為了進一步跟蹤審計決定或者建議的整改落實情況進行跟蹤以及對審計資料整理、歸檔和總結。

（二）風險管理的審計全過程管理具體運用。

審計管理是對審計實施的過程進行梳理和規范，通過審計全過程的流程管理，一定程度上規范、嚴格了審計程序，將風險管理的思路貫穿流程管理始終，從而達到管理審計風險的目的。具體應用如圖所示。

1.啟動階段——風險評級，確定項目。

內部審計部門通過對企業內部單位的分析測評，確定風險等級，將分析結果提交決策層，根據風險高低，確定年度審計項目計劃。在評價標準上，內部審計部門可以借鑒國際內部審計師協會的“內部審計實務標準”、巴塞爾銀行監督委員會的“銀行內審及監管當局與內外審的關系”、2002年Turnbull委員會頒布的公司行為準則等內容，并根據企業實際情況，設定量化評分表，對風險測試結果來排期審計項目。

2.準備階段——風險預估，制定計劃。

在審計準備階段，內部審計部門搜集相關資料，了解被審單位及其環境，對治理結構、組織結構、經營活動、會計政策、行業現狀等進行分析，從而進一步預估風險。審計部門按不同風險等級提供不同的審計方案，如預估應收賬款存在較高風險，根據該風險等級，測算出審計抽樣的樣本量。

3.實施階段——風險測試，計劃修訂。

進入審計實施階段，內部審計部門通過風險測試，對被審對象的風險有了重新認識，如果與預估的審計風險存在較大差異，則需在調整審計計劃。如對高風險領域，對審計人力資源統籌調配，追加審計力量，實施低風險的審計方案。在審計實施的過程中應充分運用各種工具，如數據工具、審計預警、審計查證、審計抽樣、數據分析、數據匯總等。通過審計工具來規范審計工作過程，提高審計效率。在執行審計作業時，通過執行內部控制測試、實質性程序來識別風險、控制風險。

4.報告階段——風險報告，管理建議。

提供審計報告是內部審計部門重要的價值所在。通過審計實施階段獲取的各類審計證據形成的審計底稿，審計底稿對審計過程中的相關風險進行記錄，形成被審單位的風險報告，內部審計部門并據此提出管理建議，有的放矢，為企業提供更好的增值服務。

5.后續階段——風險追蹤，經驗積累。

審計項目結束后，內部審計部門可能會根據企業需要，對被審單位實施跟蹤審計。在跟蹤審計中，內部審計部門通過調閱與風險相關的工作底稿，以風險為主線，能夠事半功倍，提供審計效率和效果。此外根據審計項目的經驗可以整理法律法規庫、審計案例庫、底稿庫等資源。相關的法律、法規、制度是審計人員執業的依據，不斷更新的專業知識是審計人員執業質量的重要保證。同時，審計過程中針對重大風險發現的問題、對發現問題的處理、問題存在的原因等可以作為審計經驗充實到審計案例庫中，作為長期的積累。

四、總結

在內部審計的過程中，風險管理貫穿始末，對內部審計工作的全過程進行監督與控制，能全面有效地掌握內部審計工作動態，高效靈活地分配審計資源，提高審計工作的效率和業務質量，從而對企業風險進行有效管理。

［1］王曉霞，孫坤，張宜霞.論風險導向的內部審計理論與實務［J］.審計研究，2004，（2）.

［2］陳丹萍.我國內部審計管理現狀與對策［J］.審計研究，2007，（6）.

［3］曾靖.基于全面風險管理的內部審計探析［J］. Commercial Accounting，2011，（9）.

（作者單位：南京市審計局）