論開展以風險管理為導向的價值型內(nèi)部控制審計的意義

任娟

摘要：國家五部委及其他監(jiān)管機構對內(nèi)部控制工作的重視程度在不斷提升和強化，各企業(yè)特別是上市企業(yè)對內(nèi)控控制的需求也越來越強烈，因此內(nèi)部控制審計的重要性日益凸顯。但因受企業(yè)內(nèi)部控制體系建設時間短、專業(yè)人才缺乏、管理層重視程度相對偏低等諸多因素的影響，我國的內(nèi)部控制審計發(fā)展尚不成熟，開展的形式各異，質(zhì)量水平也參差不齊，總體來說仍處于初級階段，未能有效發(fā)揮作用。本文通過分析目前內(nèi)部控制審計所處的背景、現(xiàn)狀及問題，提出現(xiàn)階段開展以風險管理為導向的價值型內(nèi)部控制審計的意義，并就具體開展方法及內(nèi)容進行了闡述。

關鍵詞：內(nèi)部控制;內(nèi)控審計;價值鏈;風險導向

為了更好的推動《企業(yè)內(nèi)部控制基本規(guī)范》的落地與執(zhí)行，財政部、審計署、證監(jiān)會、保監(jiān)會和銀監(jiān)會在2010年下發(fā)了《企業(yè)內(nèi)部控制配套指引》，其中包括18項內(nèi)控應用指引、1項審計指引和1項內(nèi)控評價指引。同時要求于2012年起，滬交所、深交所主板上市的公司必須執(zhí)行。從此開展內(nèi)部控制審計工作成為企業(yè)的一項強制監(jiān)管要求。對于企業(yè)自身發(fā)展及管理需求，內(nèi)控控制審計可以通過評估企業(yè)內(nèi)部控制體系的設計和執(zhí)行有效性，來識別內(nèi)控風險和審計問題

并提出相應的整改意見和建議，督促企業(yè)認真實施內(nèi)部控制、加強管理，規(guī)避和控制經(jīng)營風險，保證資產(chǎn)的安全完整，提高企業(yè)的經(jīng)營效率和效果。

一、對內(nèi)部控制審計的客觀認識

內(nèi)部控制審計主要是確認及評價企業(yè)內(nèi)部控制是否有效和有效性程度的一種方法。它不僅是一種確認和評價企業(yè)內(nèi)部控制設計和內(nèi)部控制執(zhí)行缺陷等級的方法，也可以通過內(nèi)部控制審計來分析缺陷的形成原因，并提出相應的改進建議。與一般的審計方法相比，內(nèi)部控制審計更加現(xiàn)代化和科學化，它是在對被審計單位內(nèi)控體系的測試和分析評估的基礎上進行客觀評價，確定其可信程度，從而做出內(nèi)部控制是否有效的結論。

二、企業(yè)內(nèi)部控制審計的普遍現(xiàn)狀及問題

內(nèi)部控制審計作為一種新型審計模式，是伴隨著企業(yè)內(nèi)部控制體系的建立而不斷開展起來的，是對內(nèi)部控制的再控制。但由于執(zhí)行時間較短，同時受各種因素的限制，其發(fā)展尚不成熟，在實際執(zhí)行中突出存在以下三方面問題。

（一）內(nèi)部控制審計與內(nèi)部控制未能有效銜接

作為評價內(nèi)部控制設計和運行有效性的一種審計模式，內(nèi)部控制審計的切入點應該是企業(yè)內(nèi)部控制框架，出具的評價結果應該是在適量樣本和一定標準上對某類或某項業(yè)務的有效性及潛在風險予以客觀的認定和識別，體現(xiàn)事前的預防和控制理念。而目前大部分企業(yè)開展的內(nèi)部控制審計與以往的常規(guī)性內(nèi)部審計并無本質(zhì)上的區(qū)別，更多的是對某類或某項業(yè)務單個事件的核查，選取的樣本不具有普遍代表性，缺陷認定程度主觀性較強，出具的結果并不能代表整體，具有一定的片面性。提出的審計建議也僅僅是針對單個事件的處理意見，并不能從內(nèi)部控制的角度出發(fā)提出系統(tǒng)性的整改建議，使問題得到根本性解決。以上問題整體說明現(xiàn)有內(nèi)部控制審計和內(nèi)部控制未能有效銜接。

（二）內(nèi)部控制審計目標方向及內(nèi)容不清晰

由于企業(yè)內(nèi)部控制范圍極其廣泛，涉及經(jīng)營管理的方方面面，內(nèi)部控制流程數(shù)量也有上百項之多，在執(zhí)行企業(yè)日常及專項內(nèi)部控制審計時，因人力成本和時間原因，不可能覆蓋全部內(nèi)容，只能選擇部分業(yè)務進行測試。但由于缺乏指導性原則，人為主觀性大，導致審計內(nèi)容范圍、目標方向等不明確，不清晰，不能有效涵蓋企業(yè)經(jīng)營業(yè)務的重點方面及重大風險領域，在一定程度上與企業(yè)的經(jīng)營目標相偏離，出具的審計成果對業(yè)務的指導意義不大，無法達到管理層的預期目標。

（三）內(nèi)部控制審計經(jīng)濟效益不突出

內(nèi)部控制審計的目標一方面是促進企業(yè)建立健全內(nèi)部控制制度和經(jīng)營管理制度，改善企業(yè)的內(nèi)部管理。另一方面通過對缺陷的認定，識別潛在風險及現(xiàn)有的控制缺陷，并進一步提出預警及控制措施做到事前預防。可以說內(nèi)部控制審計是一個提前預防的免疫系統(tǒng)，間接為企業(yè)創(chuàng)造經(jīng)濟效益，無法直接體現(xiàn)出價值效益。其發(fā)揮的效用是一個循序漸進的過程，無法進行直觀的體現(xiàn)。這就使得部分業(yè)務單位甚至企業(yè)管理層對內(nèi)部控制審計的重視度和認可度偏低，不利于長遠發(fā)展。

三、開展以風險管理為導向的價值型內(nèi)部控制審計的必要性

以風險管理為導向的價值型內(nèi)部控制審計是基于目前內(nèi)部控制審計的現(xiàn)狀和存在的問題而逐步形成的一種審計模式。開展以風險管理為導向的價值型內(nèi)部控制審計，明確鑒定了內(nèi)部控制審計的目標方向，緊緊圍繞以風險管理為導向開展審計作業(yè)。即內(nèi)部控制審計在有限的人員、時間、費用等資源情況下重點關注的范圍應該是企業(yè)重大風險領域的經(jīng)營業(yè)務和可能存在重大風險的業(yè)務環(huán)節(jié)。

同時開展以風險管理為導向的價值型內(nèi)部控制審計是以內(nèi)部控制框架為基礎和切入點，評價現(xiàn)有內(nèi)部控制措施的有效性及在現(xiàn)有控制措施下剩余風險是否處于企業(yè)可接受的范圍，判定是控制冗余還是控制不足，認定的問題是個性的執(zhí)行缺陷還是系統(tǒng)性的設計缺陷。這就使內(nèi)部控制審計與內(nèi)部控制進行了有效的銜接，達到以評促建的作用。

此外，以風險管理為導向的價值型內(nèi)部控制審計在確定業(yè)務范圍時重點覆蓋企業(yè)內(nèi)控框架中屬于價值鏈層級的業(yè)務模塊及與價值鏈層級緊密相關的業(yè)務模塊，便于內(nèi)部控制審計涵蓋企業(yè)的核心業(yè)務，突出其價值效益。

綜上通過開展以風險管理為導向的價值型內(nèi)部控制審計可以更有效地解決內(nèi)部控制審計存在的突出性問題，與企業(yè)經(jīng)營管理緊密結合，更好的服務于企業(yè)管理，規(guī)避潛在的經(jīng)營風險，從而為企業(yè)創(chuàng)造價值。

四、如何開展以風險管理為導向的價值型內(nèi)部控制審計

（一）通過價值鏈分層和風險評估結果制定年度審計計劃

以風險管理為導向的價值型內(nèi)部控制審計可以將內(nèi)部控制流程框架以風險管理為導向和端到端的價值鏈分析為基礎劃分為公司決策層、價值鏈層和管理支持層三個層級，并根據(jù)分層情況和年度風險評估結果制定全年的內(nèi)部控制審計計劃。劃入價值鏈層面的業(yè)務和事項是以風險管理為導向的價值型內(nèi)部控制審計需重點審計的范圍，同時根據(jù)企業(yè)年度風險評估結果確定重點中的重點，以及雖非價值鏈層面業(yè)務但風險值相對偏高，一旦發(fā)生將給企業(yè)造成重大影響的領域。價值鏈分層模型見下圖：

以風險管理為導向的價值型內(nèi)部控制審計年度計劃制定完成后，既可以根據(jù)具體業(yè)務事項安排內(nèi)部控制專項審計，專項業(yè)務審計的內(nèi)容可按照所屬業(yè)務的具體事項開展，但在開展前需進行具體業(yè)務事項的內(nèi)部風險評估，以便確定審計重點。

（二）運用業(yè)務風險測試系統(tǒng)開展相應的內(nèi)部控制專項審計

在實際開展以風險管理為導向的價值型內(nèi)部控制專項審計時，主要的目的就是測評經(jīng)營業(yè)務在目前的內(nèi)部控制狀態(tài)下是否運行有效，潛在風險是否控制在合理范圍，現(xiàn)有的控制措施是不足還是控制過度，進而查找出該項業(yè)務存在哪些控制缺陷，審計人員可針對控制缺陷給出具體的整改建議或解決措施。以上測試過程可通過使用業(yè)務風險測試系統(tǒng)進行開展，具體設計模型見下圖：

（三）利用風險控制矩陣工具對內(nèi)部控制進行過程測試

在開展以風險管理為導向的價值型內(nèi)部控制審計時，內(nèi)控業(yè)務流程測試仍然是一個必不可少的測試環(huán)節(jié)，主要目的是識別出業(yè)務流程中存在的內(nèi)控缺陷。測試的工具可運用風險控制矩陣，將內(nèi)控流程中業(yè)務關鍵控制點作為切入點，列示出業(yè)務流程各執(zhí)行環(huán)節(jié)中的主要控制目標，對應查找出在實現(xiàn)主要目標時存在的潛在風險，填列出目前已有的控制措施，然后根據(jù)樣本的測試結果輸出存在的內(nèi)控缺陷。

（四）量化內(nèi)控缺陷整改成果，彰顯內(nèi)部控制審計價值效益

開展以風險管理為導向的價值型內(nèi)部控制審計還需建立缺陷的整改追蹤機制，確保查找出的缺陷能夠及時予以整改。同時盡可能量化內(nèi)控缺陷整改的成果，以便彰顯內(nèi)部控制審計的價值效益。量化的途徑可以是為企業(yè)挽回損失的現(xiàn)金增值額核算，也可以是一定期限內(nèi)節(jié)約額度的測算。

（五）開展以風險管理為導向的價值型內(nèi)部控制審計的提示

開展以風險管理為導向的價值型內(nèi)部控制審計是一個全面監(jiān)控的系統(tǒng)性工作，做好該項工作還應落實如下事宜：第一，參與企業(yè)年度風險評估工作，了解掌握企業(yè)風險動向及高風險領域，為風險導向提供決策依據(jù);第二，將內(nèi)部審計業(yè)務與內(nèi)控評價業(yè)務進行結合，對日常審計的監(jiān)督結果與內(nèi)控審計結果進行整合，以便有足夠的樣本證據(jù)對整個業(yè)務的運行情況進行準確的評價，從根本上對問題存在的原因進行挖掘;第三，依據(jù)企業(yè)自身情況，建立一套適合本企業(yè)的內(nèi)控缺陷分類標準及和內(nèi)控缺陷程度認定標準。

五、以風險管理為導向的價值型內(nèi)部控制審計未來的發(fā)展方向

目前部分企業(yè)開展的以風險管理為導向的價值型內(nèi)部控制審計工作中，把風險導向中的“風險”主要定義為影響企業(yè)經(jīng)營目標實現(xiàn)的各種不確定性因素。其實隨著各類技術的發(fā)展和大數(shù)據(jù)的應用，可以把企業(yè)內(nèi)部控制審計的重點從關注現(xiàn)有風險轉移到關注未來風險，即關注影響企業(yè)長期發(fā)展和目標實現(xiàn)的經(jīng)營風險和管理風險。基于企業(yè)目標，內(nèi)部控制審計可以通過評價現(xiàn)有的控制措施和管理活動是否可以有效降低風險至可接受水平，進而將風險評估的結果運用到內(nèi)部控制評價中，依據(jù)風險發(fā)生的概率、影響程度、性質(zhì)及可接受水平來評價內(nèi)部控制的有效性。最終根據(jù)企業(yè)風險管理的需要確定需采取的控制措施或制定可降低風險的方法，并在內(nèi)部管理和風險控制的基礎上提出相應的建議，將內(nèi)控控制審計結果和企業(yè)的風險管理及經(jīng)營目標的實現(xiàn)有機結合在一起，為企業(yè)增加更多的價值。

參考文獻：

[1] 趙立新，程緒蘭.上市公司內(nèi)部控制評價事務[M].電子工業(yè)出版社， 2012;

[2] 雷英，吳建友.內(nèi)部控制審計風險模型研究[J].審計研究， 2011.

[3] 劉玉廷.全面提升企業(yè)經(jīng)營管理水平的重要舉措——《企業(yè)內(nèi)部控制配套指引》解讀[J].會計研究， 2010;