风险导向内部审计实施策略

摘 要：风险导向内部审计是企业进行风险管理的一种有效工具。内部审计通过对企业管理的全过程进行审计评估，及时发现和避免各种风险，积极扩展到战略层面参与公司价值创造。我国企业实施风险导向内部审计策略主要是建立全流程风险管控机制、风险评估机制和风险预警机制，以风险为导向优化具体审计项目实施程序，运用信息系统提高风险审计技术和手段，加强内部审人员队伍建设，提升内部审计效率和效果，实现其价值增值功能。

关键词：企业；风险导向；内部审计

中图分类号：F239.45 文献标志码：A 文章编号：1673-291X（2014）02-0193-03

风险导向内部审计是企业进行风险管理的一种有效工具，其目标是在全面评估企业风险的基础上，通过对风险进行事前评估与控制，对风险处于何种状态做出准确判断，为控制风险提供依据。与传统的审计模式相比，现代风险导向内部审计更注重从宏观上把握审计风险，审计工作重心从实施阶段前移到计划阶段，关注的核心从内部控制转向风险，在审计的全过程自始至终都关注风险，依据风险选择项目，识别风险，测试管理者降低风险的方法，并以风险为中心出具审计报告，协助企业进行风险管理。审计方法从以审计测试为中心转移到以系统化的风险评估为中心，即计划阶段对风险进行评估，实施阶段对相关风险进行持续监控和报告，报告阶段提出风险管理建议。2007年新审计准则要求全面实施风险导向审计，故本文对我国企业如何实施风险导向内部审计提出几点建议，与大家探讨。

一、建立全流程风险管控机制

建立审计战略计划、审计项目计划和具体审计项目实施的全流程风险管控机制。

一是年度风险导向战略计划的制订。年度风险导向战略计划要与企业目标相契合，建立在对公司重要领域的认定、风险自我评估的基础上，以重大风险和重要风险为导向，明确审计重点，确定年度审计项目。在充分调研的基础上，组织相关部门进行风险自我评估，识别各自存在的风险，排列风险次序，出具风险自我评估结果，以此为依据，确定本年度审计关注点，编制年度审计计划。风险导向内部审计中，风险评估贯穿于年度审计计划、项目计划、执行审计、总结发现和报告的各个阶段，企业要根据风险评估结果和以前年度审计情况，合理分配审计资源，将审计资源重点放在高风险领域。

二是建立风险管控标准，有效识别风险。就是按统一的标准梳理各业务环节的流程，审计部门牵头，各业务单元的内控负责人统一对采购与应付、生产循环、销售与应收、存货与仓储、营销管理等业务循环的流程图和业务流程的风险点进行全面梳理，对应将风险点、控制措施嵌入到流程中，建立清晰的业务流程图、明确的岗位控制标准和风险防范控制措施。

三是业务流程测试和风险评估。风险评估通过实施不同的测试程序识别审计风险，包括企业整体层面控制评估、信息系统一般控制评估、流程层面控制评估、控制测试以及实质性测试等。建立业务循环各个节点的穿行测试标准，指导各单位业务人员开展业务流程的穿行测试，通过全流程的穿行测试验证各业务层面风险受控情况，运用自审、互审和复审相结合的方法，推进全员、全流程的风险自我审计。

四是出具风险评估报告及风险地图。审计部出具企业各业务单元的风险评估报告和完整的风险地图，建立企业审计风险资源库，为相关部门提供风险关注和控制优化的依据。

风险管控机制将风险管理流程与审计基本程序有机融合，更多地从全流程的角度对企业进行全面风险评估。企业要根据自身的具体情况设计风险管理流程、风险评估项目和评估标准，并根据风险环境的不断变化及时调整风险评价标准，以适应管理需要。而且，风险管控是一个持续、循环的管理过程，不能将风险管理审计作为一次性的专项审计项目，在风险管控执行过程中，要不断地关注风险，针对问题制定有效的控制措施。

二、以风险为导向，优化具体审计项目实施程序

以固定资产投资风险导向内部审计为例。固定资产投资项目投资额大、建设周期长，管理环节复杂，管理风险和审计风险都较高，采用风险导向固定资产投资审计，识别和评估重大管理风险和关键控制节点，全面审计，突出重点，可以有效提高审计效率，降低审计风险。其审计程序如下：

一是制订固定资产投资风险导向项目审计计划。风险导向项目审计计划是对具体审计项目实施全过程审计所作的综合安排，需要明确审计目的、审计范围、审计方法和审计程序、项目风险评估、关键风险点、项目组人员分工、时间安排以及其他事项等。固定资产投资审计目标要与企业固定资产投资目标相联系，审计范围包括选定经营单位、选定业务及流程、相关信息系统测试范围、测试时间范围等。

二是业务经营单位初步评估和关键风险识别。审计人员要掌握固定资产投资项目整体情况，注重从宏观层面了解固定资产投资项目的基本情况，获取背景信息，包括行业状况、监管环境、建设模式、建设目标等信息，对固定资产投资项目面临的风险进行分析，识别和评估固定资产投资项目系统风险和关键风险。

三是业务流程分析。在全面评估固定资产投资风险基础上，从投资项目风险入手，进一步了解流程，更新识别的风险，对高风险项目和资金重点监控，从整体上把握审计重点。

四是评估流程有效性和流程重大风险。在了解固定资产投资项目业务流程的基础上，运用分析性程序，分析关键流程，评估固定资产投资项目重大风险，分析对目标产生影响的风险以及风险控制，测试实际的控制能否切实管理这些风险，这是风险导向审计关注的重点。

五是根据风险评估结果，确定项目审计范围和审计重点，制定相应的审计策略。具体是设计审计步骤，根据审计步骤进行审计抽样并对样本进行监督，实施实质性测试等审计程序。在审计实施过程中，要根据审计实施情况对项目方案进行重新评估，扩大审计范围或增加审计程序，实施进一步测试以修订审计方案，保证审计质量。

杜邦“沸腾壶”审计抽样模型就是一种常用的审计抽样方法。它以审计项目风险为对象，建立风险识别模型，对每一类风险进行排序，将其划分为不同的级别，即高风险、敏感风险、适中风险、低风险，直观地反映风险与审计面的关系。杜邦“沸腾壶”模型说明，在风险因素中，风险结构一般是高风险占10%，敏感风险占30%，适中风险占40%，低风险占20%。风险审计规划在审计资源配置时，要依据风险水平高低配置审计资源，对不同级别的风险因素需实行差异化审计。高风险因素要进行详细审计，对于处于敏感风险性质的风险因素一般抽样50%进行重点审计，对于适中风险因素一般抽样 25%，而对于低风险的风险因素只需要抽样10%进行一般审计。风险级别越高，配置的审计资源越多，根据风险评估结果，将主要的审计资源分配在高风险领域，有的放矢，提高审计效率。

六是根据对流程设计有效性测试结果得出审计结论，出具审计报告，提出管理建议。

三、建立以审计调查法为基础的风险评估机制

风险评估机制包括风险识别、风险评估、风险模型的建立及风险评估结果分析等。对确定的审计项目进行风险评估，主要是通过对业务流程的梳理，找出流程关键控制点，并选择科学的风险评估方法对控制点进行风险分析，以准确识别和正确评价风险。以审计调查法为基础的风险评估方法，能清晰揭示风险的高发区域和风险变化趋势，操作性强，评估结果具有很强的说服力。即选取一定比例的被审单位实施风险典型调查，采用审计调查法对风险发生频率和严重程度进行分析和预测，对风险进行分级分类管理，根据风险水平确定审计重点。步骤如下：一是确定评估范围。评估范围与审计范围相关，对风险评估结果的运用有直接影响。二是风险评估数据的采集。采集近几年的相关风险数据，这些数据可以是以往风险管理审计、综合性审计及专项审计的相关资料和数据等。三是对风险评估基础数据进行整理和加工。内部审计人员依据原始资料和专业判断对一些定性资料进行量化处理，确定各组风险数据的影响程度级别，据此对项目风险进行评估。四是进行风险评估和预测。根据事先界定的评估范围，分别对审计项目各类风险、各类子风险的概率和影响程度进行评估，对所采集的一定期间的风险数据，采用审计调查法分析历史数据，寻找各风险的变化趋势和集中趋势，建立能描述各风险变量未来变化态势的模型，运用数学方法对各类风险的主要变量——风险概率和影响程度进行风险变动趋势分析及预测，求出风险预估值，并运用政策分析法，整理和分析可能影响各类风险变量的政策因素，对固定资产投资风险预测值进行修正和完善，确定风险估测值浮动区间。五是风险评估结果的分析和利用。根据风险分布情况，布局安排审计资源，对风险多发区域进行重点审计。风险评估结果可以应用于企业的风险管理，包括：将风险评估结果与企业事先确定的风险管理策略（如各类风险的承受度等）进行对比，并分别采取不同的风险应对措施；协助企业建立风险预警机制，对达到风险预警线的风险发出预警信号，采取相应的风险控制措施；对风险发展趋势进行预测，帮助企业规避和防范风险。

四、建立风险自我评估和预警机制

建立风险预警机制，对风险进行实时监控，可以有效管理和预防重大风险。风险预警机制前移风险管理关口，使风险管理重点由事后监督向事前预防、事中控制转移，防患于未然。企业可以根据风险评估结果，针对风险高发区域建立预警机制，完善风险预警指标体系，如利用DCCS法、盈亏临界点法及财务比率法等有效捕捉企业风险征兆，对异常情况提前发出预警，帮助管理层完善风险管理程序，控制风险。在风险导向内部审计中，使用风险自我评估（RSA）法，可以有效提升风险预警效率。风险自我评估是指内部审计要监督：（1）风险环境分析的恰当性。主要是对企业固有风险和控制风险进行评估，分析风险性质和影响程度的变化以及控制措施是否能与环境变化相符，并在审计报告中反映分析结果。（2）风险事件识别的充分性。（3）风险评估的恰当性。风险评估要从风险发生的可能性和影响性两方面对已识别的风险事件进行定量分析和定性分析。（4）风险度以及风险预报合理性。主要是审核风险度的计算方法是否科学合理，是否反映企业实际风险水平。综合分析企业的内外部环境，审核风险预报的根据及预报的级别是否合理。（5）风险控制措施的有效性。主要是对业务控制程序进行测试，检查是否有效，是否能够控制风险，并对检查发现的问题提出改进措施和建议，帮助企业管理风险，降低风险损失。（6）风险信息沟通的有效性。内部审计人员要从风险识别、评估信息的获得，风险警报的及时发出等方面评估风险信息是否被准确及时地传达给所有相关人员，让管理层了解风险是否被有效管理。风险信息沟通评估也可以提高外界对企业风险管理的信任度。

此外，企业应建立风险审计信息系统，完善审计资源数据库，积极推进审计手段创新，加强内部审计队伍建设，合理配备审计项目组成员，有效提高内部审计效率和质量，提升风险导向审计的价值增值功能。

参考文献：

[1] 李曼，刘继明，陆贵龙.风险导向内部审计的价值实现[J].财会通讯.综合，2010，（6 下）.

[2] 李有华，郑厚清，张爱红，王洪英.风险导向固定资产投资审计实务研究[J].中国内部审计，2012，（7）.