淺析風險導向內部審計與內部控制評審的有機結合

李琰

摘要 內部審計經過長期發展，已逐漸從傳統的財務審計進入風險導向內部審計階段，與公司治理和內部控制之間的關系也日趨緊密。本文通過分析風險導向內部審計和內部控制評審的內涵、特征，闡述了風險導向內部審計與內部控制評審的關系、結合方式；并以案例闡述了風險導向內部審計和內部控制評審相結合的理念在公司內部審計實踐中的應用。

關鍵詞 風險導向 內部控制審計 內部控制評審

一、風險導向內部審計的內涵及其特點

（一）風險導向內部審計的內涵

風險導向內部審計是指內部審計人員在審計全過程中始終關注風險，并根據風險程度合理選擇項目，以降低風險為導向，進行內部控制制度的符合性測試和實質性測試，并進行監督和評價，提出建設性意見和建議，從而有效降低企業的風險，增加企業價值的一種方法。

現階段風險導向內部審計包含了兩層含義：一是將審計計劃與企業的風險相聯系。即內部審計計劃應該反映企業的風險戰略。在制定內部審計計劃時，應該在對可能影響企業風險進行評估的基礎上，確定審計計劃的范圍和項目，并根據情況的變化對審計范圍適時更新，以風險因素來確定審計業務工作重點。二是發揮內部審計在風險管理過程中的作用。國際內部審計師協會在《內部審計實務標準》中指出，內部審計人員應該通過檢查、評價、報告風險管理過程的充分性和有效性并提出改進建議來協助管理人員和審計委員會的工作。

（二）風險導向內部審計的特點

1.以內部控制評審為基礎

內部審計要對公司的風險管理加以評估與改善，首先必須通過內部控制評審，查找并發現內部控制中存在的風險點。內部控制評審是風險導向內部審計進入公司治理和風險管理、評估改善組織風險的基礎。

2.以對風險的評估與改善為首要目標

內部審計無論是對內部控制進行評估與改善，還是對公司治理程序進行評估與改善，都是以風險評估與改善作為首要目標，其一切活動都要以風險管控作為出發點和落腳點。風險導向內部審計不是在簡單的內部控制領域消極地查錯防弊，而必須以企業的整體風險評估作為自己的首要工作目的。

3.善于發現并重點關注企業的風險

風險導向內部審計更加注重企業內外部顯現與潛在的影響企業當前和未來發展的問題，從根本上改變了傳統制度導向審計模式主要根據對過去的業務與內部控制情況進行評價而做出審計結論、提出審計建議的做法。風險導向內部審計強調關注公司治理框架中的風險發現與風險管理，關注管理者及其經營風險。

二、內部控制評審的內涵及特征

（一）內部控制評審的內涵

內部控制是為實現公司經營管理目標而建立起來的既相互聯系、又相互制約的具有控制職能的一系列規范、程序和方法，內部控制是一個嚴密而完整的體系，是公司健康運行的保證。

（二）內部控制評審的特點

其主要特點表現在：一是為公司管理層提供了一個管理和控制風險的工具，使公司對內部控制有一個更全面真實的了解，保證內部審計人員和管理人員共同對風險進行控制。二是反映出當前管理控制中存在的問題，讓管理部門了解到各自對內部控制的責任，促使各管理部門更好地履行職責，促進企業內部管理行為的規范化。三是有利于提高內部控制制度的控制功能和控制效果，促進企業科學治理，促進企業整體效益的提升。

三、風險導向內部審計與內部控制評審相結合的實踐應用

（一）建立內部控制體系的風險架構，形成風險數據庫

以M省電網公司為例，將其內部控制體系從上至下分為領域風險、業務風險、環節風險以及事項風險四個層級。在橫向維度上全面覆蓋了公司戰略管理風險、運營業務風險及支持業務風險三大領域風險。根據內部控制體系管控的風險范圍和風險層次，共識別出一級領域風險3項、二級業務風險14項、三級環節風險89項、四級事項風險267項，并形成了公司整體風險架構。風險架構包括內部控制環節的全部風險，這些風險正是風險導向內部審計的對象。

（二）以內部控制體系風險框架為基礎，開展內部控制評審

結合M省電網公司內控專欄發布的“內控評價問題解答”，采取線上線下結合方式，組成聯合評價小組執行，在省、市、縣三級單位開展，涵蓋人力資源管理、財務管理、物資（服務）采購管理、工程管理、電力交易管理、合同管理等6大業務。依托內部控制體系風險框架和風險數據庫，有序開展內部控制評審工作，針對內控制度風險防范的符合性和有效性測試，評價內部控制是否有效，是否滿足了風險防范的要求，是否存在控制缺陷。通過內部控制評審，將揭示的風險點及時反饋公司管理層及各業務部門，強化業務風險的日常管控，促進業務管理的優化提升。

四、結語

目前，企業面臨的風險日益增多，因此內部審計必須轉變觀念，重點關注風險，逐步由傳統方式向風險導向內部審計轉變，并與內部控制評審緊密結合，通過內部控制評審管理和控制風險，由事后監督評價轉向事前的預警防范，真正做到審計關口前移，提高內部審計工作的時效性，為企業持續提供價值增值服務。endprint