风险导向内部审计在企业风险管理中的应用探讨

[摘要] 作为风险管理的一个重要环节，企业内部审计在内部控制、公司治理以及组织运营中的地位日趋突出，已成为关系企业兴衰成败的重要因素。本文设计了风险导向内部审计框架体系，并围绕该框架，探讨了风险导向内部审计在风险管理中的具体应用。

[关键词] 风险管理风险导向内部审计框架体系应用

一、风险导向内部审计的产生

随着经济全球化、管理信息化、经营多元化,企业倾向于在更大程度上将决策权向中下层分散，以适应灵活多变的环境，这客观上为各级管理人员甚至一线操作人员提供了舞弊空间。美国忠诚与保证公司的调查显示：70%的公司破产是由于内控不力导致的。为了保证企业安全和持续发展，企业董事会和最高管理层普遍要求内部审计及时揭露显现与潜在的风险，提出防范和控制建议，并对审计风险承担一定责任，这样就促使内部审计部门必须面对企业整体或被审计单位的各种经营风险。风险导向内部审计这种多维和有效的审计模式便应运而生。

风险导向内部审计是企业内部审计师通过测试风险管理的有关方面（风险管理方针、策略和风险评价指标体系），对风险程度及管理情况作出专业判断，提出审计评价与建议，以实现企业运营目标。其根本目标是通过将风险与企业目标的实现直接联系起来，为公司治理层及管理层提供有价值的服务。

我国风险导向内部审计尚处于起步阶段,本文主要探讨风险导向内部审计在企业风险管理中的具体应用。

二、风险导向内部审计框架体系设计

下图1描述了风向导向内部审计框架体系：

图1 风险导向内部审计框架体系

三、风险导向内部审计的具体应用

根据风险导向内部审计框架体系及其在风险管理中所承担的角色，从以下几个方面探讨风险导向内部审计的具体应用。

1.围绕经营目标，全面鉴别风险

内部审计人员应花大量的时间和精力与各级管理层沟通，充分了解被审计单位经营目标实施过程中的审计域和相关风险因素。审计域是指被审计职能确定为可检查和评估的项目、部门或制度。一般包括：

(1)企业文化。

(2)政策、程序和惯例 内部控制体系。

(3)成本中心、润中心和投资中心。

(4)合同、项目、生产、服务部门或流水线。

(5)供应链上的上下游合作伙伴。

(6)管理职能部门、业务交易系统、财务报表及信息系统。

至于相关的风险因素，应综合世界有关组织或团体内部审计机构的观点，结合被审计单位的情况具体分析。为实现规范化，应将具有代表性的审计域及其风险因素整理归档，形成数据库。

2.确认现有控制，判断剩余风险

在充分鉴别风险的基础上，内部审计人员要测试被审计单位现有内部控制（或风险管理政策和程序）的健全性和有效性，以确定哪些风险在现有控制框架下无法地得到防范和控制，即确定剩余风险。

由于风险是绝对的，审计资源是有限的，而且风险也可能给企业创造新的机遇，所以需要对剩余风险进行判断。当某种风险不能避免或因敢冒风险可获厚利时，审计部门可以建议被审计单位选择风险保留，否则，应进一步确定剩余风险的程度。

确定风险程度时应注意：

（1）关注的指标应至少包括风险可能性、损失程度、损失频率。

（2）应从定性和定量两个角度进行。强调定性分析，是因为有些因素不能直接计量（如审计对象对职业道德与操守的恪守程度等），但对判断风险偏好十分重要。

对于定性分析的风险因素应尽量采用模糊矩阵测评法，进行量化和归一化处理，以便将剩余风险按照相同的口径由高到低排序，确定风险优先级。

3.设置报警准则，实现风险预警

为了使风险管理由被动转为主动，应该通过预警的方式，使决策者对未来风险有所察觉，在风险事件真正发生之前，即对风险的成因进行控制，阻止风险事件的发生或使发生以后的损失减到最低。预警本身也是企业思维方式的转变。

风险预警系统应该包含两个重要的内容：预警指标和临界点。预警指标是预先发现不测事态征兆的指标；临界点则是一触即发的时点。通常有以下几种预警模式：

(1)指标预警

指标预警是指根据预警指标数值的变动来发出不同程度警报。一般来说，对风险状况的预警界限可以用三个数值（称为检查值）来表述，以这三个检查值为界限，确定“双红旗”、“单红旗”、“黄旗”、“绿旗”四种信号，分别表示企业运行状态处于“危机状态”、“风险状态”、“亚风险状态”、“经营正常状态”。每当预警指标的变化超过检查值时，信号系统就会亮出相应的信号。如图2，设预警指标为X,则基本报警准则为：

图2 预警指标界限

当Xa≤X≤Xb时，绿旗（经营正常）；

当Xc≤X＜Xa或Xb＜X≤Xd时，黄旗（亚风险）；

当Xe≤X＜Xc或Xd＜X≤Xf时，单红旗（风险）

当X＜Xe或X＞Xf时，双红旗（危机）

三个检查值的确定需要分析企业的历史情况、行业水平以及企业目的，因此各个企业的检查值是不同的。

（2）因素预警

设某风险因素X为随机变量，且设P(x)为风险因素发生的概率，则：

当0≤P(x)＜Pa时，不发出警报；

当Pa≤P(x)＜Pb时，发出初等警报；

当P(x)≥Pb时，发出高等警报。

式中，Pa、Pb为风险分级标准，Pa＜Pb。

（3）综合预警

把诸多因素综合起来进行考虑，可以得出一种综合警报模式。以财务风险为例，综合预警的步骤为：

①选择具有代表性的财务指标

在选择指标时应注意以下几个问题：一是偿债能力指标、盈利能力指标、资产周转指标都应选到，不能集中在一类指标上。二是指标的选择应与最后的判断标准一致，即若考虑低值，则应选择以低值表示财务状况好的指标，反之，应选择以高值表示财务状况好的指标，三是应安排一些非财务指标，如新产品开发、职工技能水平，顾客满意度等。

②确定各项财务指标的标准值和标准评分值

标准值一般参照行业平均数或企业上年数确定，标准评分值应根据各指标的重要程度来确定。

③计算综合分值

综合分值计算公式为：

Ai:各指标标准评分值；ai:各指标标准值；

bi:各指标实际值。

④建立报警准则

当X≥100时，说明企业财务状况超过了行业平均水平或历史有关水平，企业财务状况比较好，不发出警报。

当X＜100时，说明企业财务状况比较差，需要发出警报。当然可以根据企业具体情况进行细分，如：当X0≤X＜100时，发出初级警报；当X＜X0时，发出高级警报。式中，100、X0为风险分级标准，X0＜100。

表1所显示的是某公司具有代表性的财务和非财务指标，根据上述步骤得出该公司的综合分值为108.18分，说明该企业的财务状况超过了行业平均水平或企业历史水平，情况较好，不发出警报。

表1 某公司财务状况综合分析

4.编制审计计划，优化资源配置

完善的风险审计计划，应该包括三个层次：年度审计计划、项目审计计划、审计方案。年度审计计划是配合长期和年度风险战略，对年度的风险审计任务所作的事先安排和规划，是企业年度工作计划的重要组成部分。年度审计计划应当具有一定的柔性（比如安排30%～40%的机动时间），以满足随时可能出现的战略需求。项目审计计划是对具体风险业务、项目或因素实施审计的全过程所做的综合安排。审计方案是指导现场审计达到审计目标的一套具体行动措施，一般包括从审计开始到结束的全部执行步骤。风险审计计划的上述三个层次应在可用审计资源上形成对接，以保证资源的最优配置。可用审计资源包括时间和人力资源两个方面。

时间资源一般用小时数来反映，按照最低成本估计，可用的审计总小时数一般要减去:(1)休假和公共假日、病假、职业发展培训、特殊项目的审计所需小时数;(2)强制性审计所需小时数;(3)为了满足管理层和董事会特殊要求而减少的小时数（一般为可用审计小时数的10%～15%）;(4)用来帮助外部审计的小时数。以下是某酒店预算期内的审计资源配置决策：

表2 审计域风险分析

根据上述结果，按照从高到底的顺序将审计域排序，估计审计时间。

本案例中每位审计师有1805个审计工时，共3个审计人员，合计5415小时。可采用的方案有两个：一是对每一审计域都实行完全审计，那么最后一个可完成的审计域是商务部，剩下的时间可对销售部进行复核。二是先对所有审计域进行复核，然后用剩下的时间对采购部进行全面审查。

配置审计团队没有固定模式和标准，但必须保证团队的综合素质和能力能够最大限度地完成审计任务，满足审计质量管理的要求。可以由审计组牵头，邀请不同经营业务领域的“客座审计师”加盟，工作结束后，团队便解散。

5.及时沟通信息，确保风险处置时效

沟通应该贯穿整个审计过程。在审计实施前，内审人员应就审计报告的提交日期、各审计阶段的进度安排、应提供的资料、人力和物力协助、各重要审计程序的执行日期等方面与被审计单位充分协调、沟通，避免可能产生的一些矛盾。在审计实施过程中，对审计发现的问题及所提出的建议，审计人员要与被审单位或个人进行商谈。讨论审计结果有两种方式，一是面对面的口头交换意见；二是通过编制和答复书面的“审计备忘录”进行。通常，“审计备忘录”应包括现状、标准或期望、原因、影响、评价、建议等部分，并要求指定的人员在规定时间内给予正式的书面答复，以免事后产生不必要的争议。在审计报告发出前，不仅要征求被审计单位的意见，还应考虑相关部门的意见。关于审计结果，IIA2001《标准》第2440款指明“为使公认风险范围以外的‘例外’情况受到重视，风险得到管理和控制，审计执行主管应负责将发现的风险管理、控制及治理方面的问题，报告给那些能保证对审计结果进行应有考虑的人员”。

6.重视后续审计，形成风险管理回路

由于种种原因，被审计单位有可能表面上认可审计结果，却没有采取任何实质性的改进措施，这不仅无法进行有效的风险管理，也会动摇内部审计在企业中的威信和存在价值。所以，后续审计就成了内部审计工作中的关键程序。

后续审计是指在审计报告发出后，内审人员仍然要为报告中所涉及的审计结果和审计建议进行跟踪，以审查和监督被审计单位是否采取了风险防范和控制措施。后续审计应该跟踪到：对于重大的审计发现，相关部门和环节是否予以纠正；若不予纠正，责任和原因到底在哪儿。为了便于企业高层理解审计部门的工作，保证审计建议有效落实，后续审计也必须有具体、详细的跟踪记录。跟踪记录应反映：审计结果和建议、责任人、截至到目前采取的纠正措施、未纠正的原因、计划采取的措施等。

后续审计仍然必须坚持风险导向和成本效益原则。如果风险较大或是潜在性的，不仅高层管理层要重视后续审计，内部审计人员也要投入时间、精力，拓展后续审计项目的深度和广度。反之，后续审计可仅限于询问和简短的讨论，以节约审计成本。

本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。