風險導向內部審計應用性框架構建探析

黃林泉

摘要：面對日益復雜的國內外經濟環境，企業能否有效應對來自內外部的各種風險甚至決定著一個企業的生死存亡。內部審計理應在企業風險管理中發揮更大作用。本文通過分析企業內部審計工作的現狀及不足、介紹風險導向內部審計的主要思想，結合我國企業實際，探索構建了風險導向內部審計的應用性框架，旨在為風險導向內部審計在我國企業的應用和落地提供可操作性的實施框架。

關鍵詞：風險導向;內部審計;應用性框架

中圖分類號：F239.5 文獻識別碼：A 文章編號：1001-828X（2019）018-0176-02

一、A集團內部審計工作現狀與不足

（一）企業對內部審計目標、職能及審計對象定位的認識過于狹隘，在審計實施階段也局限于主要對企業財務會計方面的審查。正如A集團年度審計計劃中提到的，A集團對內部審計的目標基本定位為查錯糾弊。而非具有風險管理意識的現代風險導向內部審計目標“改善企業風險管理、內部控制和公司治理過程的效果，從而改善企業的運營、增加企業價值，幫助企業實現其目標”。A集團對內部審計的審計對象的定位也局限于少量的內控檢查和主要的財務檢查，而非風險導向內部審計下的審計對象“對企業的風險管理、內部控制和公司治理過程進行審計”。這樣一種對內部審計工作的定位及認識的局限勢必會影響企業內部審計工作效果的發揮。A集團內部審計人員在審計實施階段對內部審計項目的審計仍然較多停留在賬務的審查上，很少接觸到經營管理的其他領域，尤其是對企業的風險管理、公司治理方面關注較少。

（二）獲取審計證據的審計程序過于單一，內部審計的技術、方法相對落后，內部審計工作底稿的編制隨意性大，難以保證審計質量。A集團內審人員在審計實施過程中主要實施的是細節測試，較少實施控制測試和分析性程序。A集團內審項目組成員的工作底稿無可供參考的格式或模板，完全由內審人員隨意編制，且這些工作底稿并不要求必須上交給A集團內審部門存檔。內審人員只需提交一份內審報告給公司領導就可以了。這樣導致內部審計工作的質量完全依賴于內審人員的個人素質以及工作的積極性、自覺性。

（三）內部審計報告描述性內容多，風險評價方面內容少，難以發揮幫助企業風險管理的作用。如對A集團某子公司的內部審計報告，其內容大部分為對該子公司企業基本情況介紹、企業的資產負債表、利潤表內容的復述，描述性的內容多;而關于被審單位企業整體層面內部控制方面、具體業務層面內部控制方面、企業風險管理方面存在的問題及風險管理的建議方面的評價性內容則很少。

二、風險導向內部審計方法概述

隨著經濟社會的不斷發展，產業分工越來越細，市場主體間的經濟聯系和協作關系越來越緊密。企業不僅會遇到來自內部的戰略、運營、投資、財務等內部風險，也會面臨來自外部的各種風險;不僅會受到國內宏觀經濟政策、行業競爭狀況的影響，也會受到國際經濟形勢、國家間競爭形勢、地區局勢的影響。能否有效應對各種風險，甚至決定著一個企業的生死存亡。內部審計在企業風險管理中理應發揮更大作用。隨著管理重心不斷前移，內部審計也從以往的局限于賬務審計、側重于事后評價的財務審計逐步發展到關注未來風險、側重于事前風險防范和事中控制的風險導向內部審計。

風險導向內部審計主要是指企業內審人員在內部審計的全過程都應關注企業風險，以識別、評估企業風險、提出風險管理建議為導向，根據風險高低水平排定項目的審計優先次序，依據風險確定審計范圍與重點，并以此為基礎制定符合被審計單位具體情況的審計計劃。對企業的風險管理、內部控制和公司治理進行評價，進而提出建設性意見和建議，協助企業管理風險、實現企業價值增值。風險導向內部審計是降低審計風險和經營風險，進行風險管理的一種有效工具。

然而，目前對于風險導向內部審計的應用無論從理論上還是實務中都尚未形成具有可操作性、可以落地的、符合我國企業實際的“標準”應用框架指引。

三、風險導向內部審計應用性框架構建

（一）風險導向審計方法在A集團年度審計計劃中的應用

風險導向審計方法下，A集團內部審計經理在編制年度審計計劃時，應該以企業整體風險為基礎，制定審計計劃，確定內部審計活動的優先次序。包括以下三個步驟：

1.識別企業戰略與目標。內部審計人員可以通過對企業外部環境、企業內部資源和能力的分析，對企業進行評估，確定企業的戰略目標，從而進一步判斷企業現行的企業目標是否科學、合理。其中的宏觀環境分析我們可以使用PEST分析方法;行業環境的分析，則可以通過行業生命周期的分析、波特的五力模型進行分析;SWOT分析方法也是對企業進行評估的一種簡單、實用的方法等。

2.識別與評估影響企業目標實現的企業整體風險。風險識別的方法有很多，如“頭腦風暴”法、情景分析法、專家調查法、分解法等;目前，學術界對于風險的評估方法主要有蒙特卡羅模擬算法、專家打分法、決策樹法、機網絡圖法和影響圖法等，其中專家打分法在實務操作中更勝一籌。

3.根據風險高低確定重點審計單位，安排被審計單位優先次序，分配審計資源，制定年度審計計劃。

（二）風險導向審計方法在A集團內部審計項目中的應用

1.項目審計計劃階段的應用

風險導向審計方法下，具體審計項目的審計計劃應該以項目具體風險和總體審計計劃為基礎編制，確定審計范圍、審計重點。包括如下幾個步驟：

（1）了解被審計單位基本情況及其外部環境;

（2）列出影響被審計單位企業目標實現的備選風險要素;

（3）評估項目具體風險備選要素，確定關鍵風險要素;

（4）以項目具體風險和總體審計計劃為基礎制定項目審計計劃，確定審計范圍、審計重點。

2.審計實施階段的應用

由于學術界關于公司治理、風險管理、內部控制三者之間的關系仍存在爭議，但大部分學者是認為三者雖各有所側重，但三者間是密不可分，甚至可以視為完全相同的。本文作者贊同三者基本一致的觀點。風險導向內部審計下對風險管理、內部控制和公司治理三個對象的審計不用分別進行審計，只需完整地對其中一個進行審計即可，只是審計過程中要體現風險導向的思想及方法。

通常，一個完整的內部控制框架（風險管理框架）應當包括企業整體層面的內部控制和具體業務層面的內部控制。因此，內部控制審計的內容可以分為企業整體層面的內部控制制度設計的合理健全性及運行的有效性，以及具體業務層面的內部控制制度設計的合理健全性及運行的有效性。

在cosO發布的內部控制整合框架與風險管理框架的基礎上，基本可以將內部控制的五要素中的控制環境、風險評估、信息與溝通、監控等四個要素作為整體層面內部控制測試和評價的主要內容，而將與具體業務層面控制聯系比較緊密的控制活動要素劃歸到具體業務層面內部控制測試和評價中。雖然，嚴格說來，五個要素之間是相互滲透、相互作用，共同對企業產生影響的。但是考慮到內部審計人員在實際審計工作中的可操作性，我們做出以上劃分。

所以，風險導向內部審計方法下，審計實施階段進行如下兩個步驟：

（1）審計企業整體層面內部控制

在coso發布的《內部控制——整體框架》的基礎上，對企業整體層面內部控制的審計主要包括對以下四個方面的測試和評價：對控制環境的測試和評價、對風險評估的測試和評價、對信息與溝通的測試和評價及對監控的測試和評價。

（2）審計具體業務層面內部控制

風險導向審計方法下，對業務活動層面的內部控制的測試和評價，主要是按業務循環組織實施審計的，主要包括：對采購與付款循環內部控制的測試和評價、對生產與倉儲循環內部控制的測試和評價、對銷售與收款循環內部控制的測試和評價等。

具體業務層面內部控制測試和評價大致分為如下七個步驟：①調查業務循環內部控制的基本情況;②繪制業務循環的流程圖;③執行穿行測試;④繪制風險控制矩陣;⑤執行控制測試;⑥執行實質性測試;⑦對審計發現進行風險分析，提出風險管理的初步建議。

3.審計報告階段與后續審計工作

（1）審計報告階段的應用

風險導向審計方法下，內部審計人員要以對企業風險進行識別、評估為基礎提出相應審計意見，提出風險管理的建議，出具審計報告，下達審計決定并通知被審計單位貫徹執行。可分為下列幾個步驟：

①以風險評估為基礎提出審計意見和風險管理建議，出具審計報告;

②征求被審計單位意見;

③下達審計決定并要求被審計單位貫徹執行。

（2）后續審計工作

后續審計是督促和保證被審計單位真正落實審計決定的重要環節，是切實發揮內部審計幫助防范和降低企業風險的“最后一公里”。后續審計工作主要包括下列幾個過程：

①要求被審計單位定期上報審計整改報告，并核實風險管理建議落實情況;

②剩余風險再評估;

③分析未整改的原因;

④撰寫并提交后續審計報告;

⑤內部審計文件歸檔;

⑥對內審人員工作進行考核。

通過構建風險導向內部審計應用性框架，使得現代風險導向內部審計方法真正運用于企業，有利于改善A集團目前的內審工作，切實發揮內部審計防范和管控風險、助力實現企業目標的作用，也給我國其他企業具體實施風險導向內部審計提供參考和借鑒。