现代风险导向审计理论在企业内部审计中的应用.pdf

1现代风险导向审计理论在企业内部审计中的应用 现代风险导向审计理论在企业内部审计中的应用 甘肃省内部审计师协会 李卫中甘肃省内部审计师协会 李卫中 兰州大学 第 二 医 院 李 君 兰州大学 第 二 医 院 李 君 摘 要 随 着 市 场 竞 争 的 日 趋 激 烈，企 业 所 面 临 的 风 险 呈 现 出 多发 性、高 危 性 和 复 杂 性。企 业 要 想 在 错 综 复 杂 的 环 境 下 谋 求 生 存 与发 展，就 必 须 强 化 风 险 意 识，建 立 完 善 风 险 管 理 运 行 机 制 和 监 控 体系。内 部 审 计 作 为 企 业 监 控 链 条 中 的 关 键 环 节，在 企 业 风 险 管 理 中发 挥 着 不 可 替 代 的 重 要 作 用。本 文 简 要 介 绍 了 现 代 风 险 导 向 审 计 的基 本 理 论 和 企 业 内 部 审 计 在 风 险 管 理 中 的 作 用，重 点 阐 述 了 企 业 开展 现 代 风 险 导 向 审 计 应 做 好 十 个 方 面 的 工 作。关 键 词 企 业 现 代 风 险 导 向 审 计 内 部 审 计 应 用 导 言 导 言 随 着 世 界 经 济 一 体 化 趋 势 的 形成，市 场 竞 争 越 来 越 激烈，企业所面临的风险日益增多，使企业的生存和发展受到了严峻挑战。在这种背景下，企业应强化风险意识，对风险管理机制和运行过程进行有效的监控，从而有效防范风险，确保预期目标的实现。内部审计是企业风险管理的重要手段，开展风险导向审计是对企业风险管理机制整体运行状况的有效监督。在当前条件下，企业内部审计机构可以从风险导向审计入手，逐步将企业的整个风险管理框架纳入审计范围，在所面对的风险环境中观察其业务过程，正确识别和评估风险，按风险大小确定审计的重点，尽可能将有限的审计资源向高风险领域或环节倾斜，渗透到风险管理的全过程，并通过风险识别和风险评估的结果和建议，促使企业不断完善风险管理体系，从源头上加强企业 2风险管理。一、现代风险导向审计的基本理论 世界审计实务的发展大致可归纳为账项基础审计、制度基础审计、风险导向审计三类审计模式。国际内部审计师协会（IIA）在修订的国际内部审计实务标准中提出，为“满足机构经营管理的需要，机构的内部审计工作应该以风险为导向”。可见，风险导向审计是现代企业内部审计的必由之路。而风险导向审计的基本内涵和理念，又经历了传统风险导向审计和现代风险导向审计两个发展阶段。传统风险导向审计是建立在审计风险模型基础上的风险导向审计，它只是把对风险的分析、评估与控制融入传统的审计方法，在制度基础审计的构架下引入了审计风险模型（即：审计风险=固有风险控制风险检查风险），以此指导审计工作和进行审计风险控制。上个世纪 70 年代这个模型陆续在审计实务中被使用，并通过该模型将各种审计证据联系起来，形成审计结论。从本质上看，传统风险导向审计的基本程序和方法既没有脱离制度基础审计模式，也没有从根本上摆脱制度基础审计的局限性。从上个世纪末始，国际上审计实务界开始利用战略管理理论，探索全新的审计模式和方法，一些西方发达国家自九十年代后期开始，逐渐进入了现代风险导向阶段。在其影响和推动下，国际内部审计师协会于 2001 年发布、32002 年 1 月起实施的内部审计实务标准，从制度上将内部审计导向了现代风险审计的轨道。为适应新的审计方法需要，国际审计和保证准则委员会 2002 年底又对相关审计准则进行了修订，并于 2003 年 10 月发布了第 315 号国际审计准则，从而真正的确立了现代风险导向审计的核心思想及其地位和作用，并对传统审计风险模型进行了修改，即：审计风险=重大错报风险检查风险。这个新的风险模型不是简单地将旧模型中的固有风险和控制风险合并为重大错报风险，而是做出了重大的实质性改进，体现了修订后的风险导向审计准则自始至终都贯穿着现代风险导向审计的主导思想，体现了真正意义上的风险导向审计理念。风 险 导 向 审 计 是 在 充 分 了 解、分 析 和 评 价 被 审 计 单 位所处内外环境的基础上，识别、评估存在的风险类别及其风险程度，并分别采取相应的审计策略，把主要的审计资源及注意力集中于高风险领域，加强对高风险点的实质性测试，将审计的剩余风险降低到最低水平。它以风险评估为起点，将组织的所有目标和风险作为确定审计项目、审计范围和审计重点的依据，将风险分析及控制方法贯穿于整个审计过程，帮助被审计对象克服、降低甚至利用风险。作为一种全新的审计理念和方法，随着国内外审计失败事件的频繁爆发，风险导向审计越来越受到有关方面的关注。在此，笔者就企业内部审计在风险管理中的作用以及现代 4风险导向审计理论在企业内部审计中的应用谈几点粗浅的看法。二、企业内部审计在风险管理中的作用 企业风险管理的有效性在一定程度上取决于企业对风险管理工作的监督和评价，而这种监督和评价需要由一个相对独立的专业部门来完成，内部审计是这一职能的最佳承担者。国际内部审计师协会（IIA）在最新发布的内部审计定义中，就特别突出了对内部审计参与风险管理的要求，强调内部审计应“通过系统化和规范化的方法，评价和改进风险管理、控制和治理过程的效果，帮助组织实现其目标。”我国内部审计具体准则风险管理审计中，进一步强调了内部审计人员对风险管理进行审查和评价的职责，规定“内部审计机构和人员应充分了解组织的风险管理过程，审查和评价其适当性和有效性，并提出改进建议。”这就为内部审计人员进行审查和评价企业风险管理的状况提供了依据。由此可见，企业内部审计参与企业风险管理是内部审计管理职能的要求，评价和改善企业风险管理和控制的有效性，又是企业内部审计的一项重要内容。因此，企业内部审计部门应通过采用系统化、规范化的方法，对企业的风险管理信息系统、各业务循环以及相关部门的风险识别、风险评价、风险应对等内容进行一系列的测试、评价和审 5核，对企业风险管理过程的充分性和有效性进行检查、评价和报告，从而提高企业的风险管理水平和正确应对风险的能力，帮助企业实现其战略目标。三、现代风险导向审计理论在企业内部审计中的应用 企业要想在错综复杂的环境下谋求生存与发展，就必须顺应世界审计理论与实务发展的潮流，企业内部审计应积极介入现代风险导向审计理论的研究，充分借鉴其先进的审计理念、技术和方法，并在审计的实践中加以应用。因此，企业内部审计开展风险导向审计，应将现代风险导向审计理论贯穿到审计的各个环节和重点领域，特别从以下十个方面关注并做好工作：（一）充分了解基本情况 充 分 了 解 情 况 是 企 业 内 部 审 计 做 好 工 作 的 前 提 与 基础。现代风险导向审计需要掌握更广泛、更丰富的信息，内部审计人员在实施审计前，首先要了解被审计单位的发展战略、经营目标、经营环境、业务流程和相关经营风险等内部情况，还要了解相关的宏观经济政策、行业状况、监管环境等外部环境；其次要通过实地观察、询问、分析和判断等恰当的方法，从宏观上把握企业面临的各种风险；最后通过向企业的决策层、管理层和高管人员、业务主管等关键部门的人员，了解、测试和确认企业对影响其战略目标、经营活动的风险敏感程度，以及为降低风险所采取 6的措施。（二）全面识别和评估风险 风 险 评 估 是 企 业 开 展 现 代 风 险 导 向 审 计 的 起 点。内 部审计人员应在风险环境中观察其业务过程，全面识别和评估风险，用风险标准来确定审计项目，并根据风险评估结果确定审计重点。识别和评估风险时，首先要评价风险识别的充分性，通过审核企业自身具有的优势、面临的机遇和挑战，对企业正面临的和潜在的各种风险进行判断、归类和评估，分析各种风险的类别、规模、可能性及其影响程度，并对原有已识别的风险是否充分进行评价，努力寻找未被识别的风险；其次要评价风险评估的恰当性，对已有的风险衡量结果进行再检验，估计风险的大小，找出主要的风险源，根据现有的管理水平、掌控能力和技术手段等，确定风险的可控程度，并提出恰当的应对措施；最后要评价风险控制的有效性，对企业针对风险及其发展变化情况所采取的措施进行检查，评估这些措施是否充分得当。（三）制定审计项目计划 审 计 计 划 与 企 业 的 风 险 战 略 结 合 在 一 起 是 现 代 风 险 导向审计的基本要求。内部审计部门应在识别和评估各种风险的基础上，编制符合企业发展战略需要、能够体现风险管理状况的经营特点、并与经营计划相匹配的审计计划，同时依据风险程度选择审计项目和审计对象，将风险管理 7原则贯穿于审计的全过程，对于具体的风险业务项目或因素实施审计的全过程做出原则性的综合安排。审计项目的选择还应与审计资源相结合，既要充分有效地利用审计资源，又要视具体情况量力而行。（四）编制具体实施方案 审 计 方 案 是 审 计 计 划 的 重 要 组 成 部 分。内 部 审 计 人 员应在评估风险优先次序的基础上，对现场审计工作做出全面具体的安排，编制一套能够指导现场审计达到审计目标的具体审计实施方案，包括确定审计范围、审计内容及重点、审计方式、人员构成及分工和贯穿于审计项目始终的时间、过程及步骤。一是在考虑并反映企业战略性计划目标和方针的前提下确定审计范围；二是通过对企业风险因素分析，确定审计的重点领域、重点业务流程、重点环节和重点内容；三是针对评估确定重大错报风险发生的可能性及相关业务特点和重要性水平，来设计个性化审计程序。（五）分别进行分析和测试 现 代 风 险 导 向 审 计 要 求 注 重 运 用 分 析 程 序 和 方 法，这就需要依靠内部审计人员的专业分析，从研究被审计单位入手，根据掌握的各种资料和信息，进行风险分析，然后再根据识别的风险点实施个性化测试方案。在实际工作中，可以借助于剩余风险因素的评估结果，分项目确定具体审计目标以及实质性测试的时间、性质和范围。如果分析发 8现风险和控制环境能够得到足够的认定和评估，则可以开展一些分析性测试；如果分析发现所收集的资料和各种信息不能满足审计的需要，则必须扩大实质性测试的范围。（六）广泛获取审计证据 现 代 风 险 导 向 审 计 模 式 下，支 持 审 计 结 论 所 依 据 的 审计证据在内涵上有了明显的扩展，既包括实施控制测试和实质性获取的证据，也包括通过了解企业及其环境获取的证据。并且整个审计过程中都要关注企业风险，以风险评估决定审计证据的质量及数量，围绕风险找证据，风险评估越高，所需证据的数量也就越多、证明力必须越强。如果发现某个领域、某个环节、某项业务等存在较大风险，而现有证据的证明力不足时，内部审计人员必须扩大取证范围，以获取足够的更有力的证据。（七）对冲剩余风险 所 谓 剩 余 风 险，是 指 在 现 有 控 制 条 件 和 框 架 下 无 法 得到防范和控制的风险。企业面对的风险一般具有两面性，一方面风险会给企业经营活动造成不利影响；另一方面风险有时也会给企业带来商机。因此，内部审计人员应对企业面临的经营风险进行认真分析和判断，如果认为某项风险有可能使企业获得经济利益或发展机遇时，就应当建议企业选择风险保留。特别是对于无法避免的剩余风险，应当进行必要的风险组合，努力寻求使相关风险能够互相抵 9消或转换的可行性措施，充分挖掘其利用价值，实现风险对冲，在尽可能获取风险收益的同时将风险损失控制在最低程度。（八）充分沟通交流 现 代 风 险 导 向 审 计 更 加 注 重 审 计 过 程 的 沟 通。企 业 的内部审计与被审计对象在应对、防范和控制风险等方面的工作目标是一致的，内部审计人员应当把握好这个有利条件，将沟通贯穿于审计的全过程，投入足够的时间、精力，与企业各层次（特别是决策层、重要管理层和关键业务操作层）的相关人员进行广泛沟通、交流，充分了解他们的思路、决策所依据的信息以及经营目标实施过程中的相关风险因素等，并凭借自身掌握的相关知识和业务技能，为企业决策者和各管理层提供所需要的服务。（九）出具审计报告 现 代 风 险 导 向 审 计 模 式 下，内 部 审 计 人 员 应 采 用 动 态的评价方式，把主要立足点放在企业发展战略和识别业务流程的风险上，在履行好全部审计程序、充分判断和分析风险并与有关方面沟通的基础上，以风险为中心撰写审计报告，全面揭示已识别的风险及发现的问题，并特别提出具体风险和问题对于实现企业目标的关键性与后果，以及关于应对、避免、降低、保留并转换、对冲风险的审计意见和建议，必要时可专门出具审计意见书或审计建议书，10意见和建议要具有一定的高度和深度，既要具有建设性，又要切实可行。主要通过审计报告或意见书、建议书这种载体，向企业决策者和管理层提供可靠信息甚至预警信号，协助企业防范、控制和化解风险，进而有效利用风险因素可能给企业带来的机遇。（十）开展后续审计 现 代 风 险 导 向 审 计 过 程 中 识 别 风 险 的 类 别、影 响 程 度和可控性，是决定后续审计的形式、时间、规模和范围的重要因素。风险因素越多、风险越大，后续审计的必要性和规模就越大，审计范围就应越广。在实施后续审计的过程中，对于上次审计已识别的一般风险及事项，可以进行一般性的调查了解。内部审计人员应把后续审计的主要注意力集中在重大的或潜在的风险及问题上。关注的重点包括：一是重大的审计发现及风险是否采取了有效措施并得到了纠正和有效控制。若没有得到有效纠正和控制，应查明原因，落实责任；二是判断有无产生新的风险因素和重大问题。若有就必须加大后续审计的范围和力度。在后续审计报告中，应针对以前遗留剩余风险的变化情况和新识别的风险因素以及新发现的问题，提出采取新的应对措施的意见和建议。结束语 企 业 生 存 与 发 展 的 关 键，主 要 取 决 于 对 未 来 环 境 变 化 11的适应和把握。而企业所面临的环境正呈现出高风险的趋势，使风险管理成为企业在高风险环境下管理活动的中心工作之一，作为企业的内部审计应服从和服务于这个中心，积极探索现代风险导向审计在企业内部审计中实施的具体形式和方法，将企业风险管理框架纳入审计对象，以风险作为内部审计业务的出发点和落脚点，充分发挥内部审计“免疫系统”功能和专业优势，帮助企业及时有效地规避、化解或利用风险，促进企业经营目标的实现，增强抵御风险的能力，努力寻求更大的生存和发展空间。参考文献：1刘 晓 辉.风 险 导 向 内 部 审 计 的 应 用 分 析.中 国 内 部审计，2008（4）2赵爽，潘爱玲.现代风险导向审计探析.中国内部审计，2006（12）3黄 硕，李 勇 伟.风 险 导 向 审 计 模 式 新 趋 向.中 国 审计，2005（6）4林刚，李相志.现代风险导向审计的应用展望.财会月刊，2006（9）5 董 大 宏.现 代 风 险 导 向 审 计 及 其 应 用.审 计 报，2008.1.9 6中国内部审计具体准则（16 号）风险管理审计