风险导向审计在风险管理中的作用

风险导向审计在风险管理中的作用

吉林省长春兴业监狱  周建伟  

内容摘要：审计风险管理具有强化审计风险理念，提升审计质量和责任，保证各项审计活动达到预期效果的重要职能。风险导向审计作为一种现代审计模式 ,已在发达国家的审计实践中得到日益普遍的应用。本文从风险导向审计产生的原因出发 ,评述了风险导向内部审计的作用、风险导向审计在管理中的具体应用。

关键词：风险管理    风险导向内部审计   应用

一、 风险导向内部审计的产生

由于全球化以及顾客需求的多样性，使原有的企业管理理念已不再满足市场的变化趋势，价值理念在管理中成为主流思想。20世纪90年代起，公司治理、内部控制以及风险管理的研究进入了比较成熟的阶段，世界各国相关法规纷纷出台，对内部审计提出了新的要求。这一切都给内部审计带来了压力，风险导向内部审计就是应对这些压力而产生的。

随着经济全球化，竞争白热化及科技现代化，企业经营一方面被赋予充满无限想象空间的市场机遇，另一方面又时刻面临着变幻莫测的风险。所以就经营与管理团队而言，其永恒的使命便在于把握商机和管理风险。而长期以来人们把注意力主要放在琢磨“把握商机”上，很少顾及“风险管理”，导致企业无法顺利实施经营战略、无法达到经营目标甚至导致经营失败。“安然多米诺”现象、巴林银行倒闭、我国近年来银广夏、亿安科技、郑百文等一系列证券市场特大丑闻足以使警钟响起——没有“风险管理”的管理无法保证企业根本目标的实现。由于风险无处不在而且很难预测，风险管理需要整合特定的专业技术，这就要求内部审计组织不但要提供实时、持续的监控，还要与企业其他部门共同合作，参与战略规划，帮助企业对风险做出战略反映。

近几年来，由于民间审计扩展服务领域，向企业提供内部审计服务，企业为节省成本和开支，削减内部审计机构或部门，不断将内部审计部分或全部地对外承包给民间审计公司，使内部审计发展壮大变得愈发艰难。其次，由于内部审计部门仍采用过时的审计技术和方法，审计目标和范围不能很好地针对企业经营风险和问题，不能有效地为组织增加价值，其本身在企业内部不被重视，其生存和发展面临的问题日益严重。可以说，内部审计生存危机问题是当前内部审计职业界面临的最大风险。

无论是从推动内部审计的自身发展的需要，还是从帮助企业在复杂的竞争环境中生存下来的角度而言，都需要内部审计组织考虑风险导向审计模式应用于自己的领域。它采用系统化、规范化的方法来对风险管理、控制及治理程序进行评价，提高他们的效率，从而帮助实现组织的目标。这个富于变革意义的新定义为内部审计进行风险导向审计提供了动力，为了实现新的目标、新的职能，我国内部审计应变革已过时的审计模式，逐步开展风险导向审计。然而如何在风险导向审计模式下进行内部审计，如何将风险导向审计模式贯穿于内部审计的全过程，如何在风险导向审计模式下对内部审计风险进行合理地分析、评价和控制，这是我国内部审计组织需要关注的问题。

二、 风险导向内部审计的作用

（表）风险导向内部审计的作用

三、风险导向审计与外部审计的比较

风险导向内部审计是指内部审计人员在内部审计的全过程自始至终都要关注风险，根据风险度选择项目，以降低风险为导向，进行内部控制制度的符合性测试、实质性测试，并进行监督检查和评价，提出建设性意见和建议。

风险导向外部审计是指外部审计为了适应审计业务量巨大的增长，降低审计成本，高效利用审计资源的同时有效降低审计风险而开发的一种现代审计风险模式，它是对制度基础审计的高度深化与全面发展，正日益受到审计理论界的推崇和实务界的青睐。因此，探讨风险导向内部审计与风险导向外部审计两者的差异就成为风险导向内部审计的又一个基本的问题。

(1)   两者的内涵不同。风险导向内部审计是以内部审计主体组织的内部控制为基础、同时考虑公司治理在内的、以组织整体风险作为审计重点的一种审计。

(2)   两者的目标不同。风险导向内部审计的目标在于通过对风险评估来提出风险从而增加企业的价值，充分发挥内部审计作用。

(3)   风险范围不同。作为审计的内容，风险导向内部审计中的风险是针对组织所有目标、所有管理层次的各种性质的全部风险，它可以理解为ERM中的关注全部风险，其中包括战略风险、报告风险、遵循风险和经营风险。

四、 风险导向内部审计在管理中的具体应用

根据风险导向内部审计框架体系及其在风险管理中所承担的角色从以下几个方面探讨风险导向内部审计在风险管理中的具体应用。

1.围绕经营目标，全面鉴别风险

内部审计人员应花大量的时间和精力与各级管理层沟通，充分了解被审计单位经营目标实施过程中的审计域和相关风险因素。审计域是指被审计职能确定为可检查和评估的项目、部门或制度。一般包括:

（1）企业文化。

（2）政策、程序和惯例内部控制体系。

（3）成本中心、利润中心和投资中心。

（4）合同、项目、生产、服务部门或流水线。

（5）供应链上的上下游合作伙伴。

（6）管理职能部门、业务交易系统、财务报表及信息系统。

至于相关的风险因素，应综合世界有关组织或团体内部审计机构的观点，结合被审计单位的情况具体分析。为实现规范化，应将具有代表性的审计域及其风险因素整理归档，形成数据库。

2.确认现有控制，判断剩余风险

在充分鉴别风险的基础上，内部审计人员要测试被审计单位现有内部控制(或风险管理政策和程序)的健全性和有效性，以确定哪些风险在现有控制框架下无法得到防范和控制，即确定剩余风险。

由于风险是绝对的，审计资源是有限的，而且风险也可能给企业创造新的机遇，所以需要对剩余风险进行判断。当某种风险不能避免或因敢冒风险可获厚利时，审计部门可以建议被审计单位选择风险保留，否则，应进一步确定剩余风险的程度。

确定风险程度时应注意：

(1)关注的指标应至少包括风险可能性、损失程度、损失频率。

(2)应从定性和定量两个角度进行。强调定性分析，是因为有些因素不能直接计量(如审计对象对职业道德与操守的恪守程度等)，但对判断风险偏好十分重要。

对于定性分析的风险因素应尽量采用模糊矩阵测评法，进行量化和归一化处理，以便将剩余风险按照相同的口径由高到低排序，确定风险优先级。

3.设置报警准则，实现风险预警

为了使风险管理由被动转为主动，应该通过预警的方式，使决策者对未来风险有所察觉，在风险事件真正发生之前，即对风险的成因进行控制，阻止风险事件的发生或使发生以后的损失减到最低。预警本身也是企业思维方式的转变。

风险预警系统应该包含两个重要的内容:预警指标和临界点。

预警指标是预先发现不测事态征兆的指标;临界点则是一触即发的时点。通常有以下几种预警模式：

（1）指标预警

指标顶警是指根据预警指标数值的变动来发出不同程度警报。一般来说，对风险状况的预警界限可以用三个数值(称为检查值)来表述，以这二个检查值为界限，确定“双红旗”、“单红旗”、“黄旗”、“绿旗”四种信号，分别表示企业运行状态处于“危机状态”、“风险状态”、“亚风险状态”、“经营正常状态”。每当预警指标的变化超过检查值时，信号系统就会亮出相应的信号。如图2，设顶警指标为X，则基木报警准则为:

当Xa≤X＜Xb时，绿旗(经营正常)；

当Xc≤X＜Xa或Xb≤X＜Xd时，黄旗(亚风险)；

当Xe≤X＜Xc或Xd≤X＜Xf时，单红旗(风险)；

当X＜Xe或X＞Xf时，双红旗，（危机)

三个检查值的确定需要分析企业的历史情况、行业水平以及企业目的，因此各个企业的检查值是不同的。

（2）因素预警

设某风险因素X为随机变量，且设P（x）为风险因素发生的概率，则：

当0≤P（x）≤Pa时，不发出警报；

当Pa≤P（x）≤Pb时，时，发出初等警报；

当Pb≤P（x）时，发出高等警报。

式中，PaPb为风险分级标准，Pa＜Pb。

（3）综合预警

把诸多因素综合起来进行考虑，可以得出一种综合警报模式。以财务风险为例，综合预警的步骤为：

①选择具有代表性的财务指标

在选择指标时应注意以下几个问题:一是偿债能力指标、盈利能力指标、资产周转指标都应选到，不能集中在一类指标上。二是指标的选择应与最后的判断标准一致，即若考虑低值，则应选择以低值表示财务状况好的指标，反之，应选择以高值表示财务状况好的指标，三是应安排一些非财务指标，如新产品开发、职工技能水平，顾客满意度等。

②确定各项财务指标的标准值和标准评分值

标准值一般参照行业平均数或企业上年数确定，标准评分值应根据各指标的重要程度来确定。

③计算综合分值

综合分值计算公式为：

：各指标标准评分值； ：各指标标准值； ：各指标实际值。

④建立报警准则

当X≥100时，说明企业财务状况超过了行业平均水平或历史有关水平，企业财务状况比较好，不发出警报。

当X＜100时，说明企业财务状况比较差，需要发出警报。当然可以根据企业具体情况进行细分，如:当X0＜X＜100时，发出初级警报；比当X＜X0时，发出高级警报。式中100和X0为风险分级标准，X0＜100。

（4）完善的风险审计计划，应该包括二个层次:年度审计计划、项目审计计划、审计方案。年度审计计划是配合长期和年度风险战略，对年度的风险审计任务所作的事先安排和规划，是企业年度工作计划的重要组成部分。年度审计计划应当具有一定的柔性(比如安排30%-40%的机动时间)，以满足随时可能出现的战略需求。项目审计计划是对具体风险业务、项目或因素实施审计的全过程所做的综合安排。审计方案是指导现场审计达到审计目标的一套具体行动措施，一般包括从审计开始到结束的全部执行步骤。风险审计计划的上述三个层次应在可用审计资源上形成对接，以保证资源的最优配置。可用审计资源包括时间和人力资源两个方面。

时间资源一般用小时数来反映，按照最低成本估计。可用的审计总小时数一般要减去:（1)休假和公共假日、病假、职业发展培训、特殊项目的审计所需小时数；(2)强制性审计所需小时数；(3)为了满足管理层和董事会特殊要求而减少的小时数(一般为可用审计小时数的10%-15℅)；(4)用来帮助外部审计的小时数。

配置审计团队没有固定模式和标准，但必须保证团队的综合素质和能力能够最大限度地完成审计任务，满足审计质量管理的要求。可以由审计组牵头，邀请不同经营业务领域的“客座审计师”加盟，工作结束后，团队便解散。

4.及时沟通信息，确保风险处置时效

沟通应该贯穿整个审计过程。在审计实施前，内审人员应就审计报告的提交日期、各审计阶段的进度安排、应提供的资料、人力和物力协助、各重要审计程序的执行日期等方面与被审计单位充分协调、沟通，避免可能产生的一些矛盾。在审计实施过程中，对审计发现的问题及所提出的建议，审计人员要与被审单位或个人进行商谈。讨论审计结果有两种方式，一是面对面的口头交换意见；二是通过编制和答复书面的“审计备忘录”进行。通常，“审计备忘录”应包括现状、标准或期望、原因、影响、评价、建议等部分，并要求指定的人员在规定时间内给予正式的书面答复，以免事后产生不必要的争议。在审计报告发出前，不仅要征求被审计单位的意见，还应考虑相关部门的意见。关于发布审计结果，IIA《标准》第2440款指明“为使公认风险范围以外的‘例外’情况受到重视，风险得到管理和控制，审计执行主管应负责将发现的风险管理、控制及治理方面的问题，报告给那些能保证对审计结果进行应有考虑的人员”。

5.重视后续审计，形成风险管理回路

由于种种原因，被审计单位有可能表面上认可审计结果，却没有采取任何实质性的改进措施，这不仅无法进行有效的风险管理，也会动摇内部审计在企业中的威信和存在价值。所以，后续审计就成了内部审计工作中的关键程序。

后续审计是指在审计报告发出后，内审人员仍然要为报告中所涉及的审计结果和审计建议进行跟踪，以审查和监督被审计单位是否采取了风险防范和控制措施。后续审计应该跟踪到：对于重大的审计发现，相关部门和环节是否予以纠正，若不予纠正，责任和原因到底在哪儿。为了便于企业高层理解审计部门的工作，保证审计建议有效落实，后续审计也必须有具体、详细的跟踪记录。跟踪记录应反映：审计结果和建议、责任人、截至到目前采取的纠正措施、未纠正的原因、计划采取的措施等。

后续审计仍然必须坚持风险导向和成本效益原则。如果风险较大或是潜在性的，不仅高层管理层要重视后续审计，内部审计人员也要投入时间、精力，拓展后续审计项目的深度和广度。反之，后续审计仅限于询问和简短的讨论，以节约审计成本。

五、风险导向内部审计的评价

1．从审计目标看风险导向内部审计。

内部审计目标是审计主体通过内部审计活动所期望达到的境地，体现的是主观的要求。关于内部审计新旧范式路线图反映了风险导向内部审计目标与企业目标的契合，如图5.1所示。风险导向内部审计采取的路线是从左到右，首先确认企业目标或某项交易的目标，然后分析对这些目标产生影响的风险以及能够管理这些风险的控制，最后测试实际的控制考虑其能否切实管理这些风险。内部审计人员关注的并非控制的充分性和遵循性，而是风险是否得到适当管理和控制。这样，内部审计人员通过风险与企业目标的实现直接联系起来，其服务对公司治理层及管理层而言非常有价值。

新旧内部审计范式路线图

 2．从内部控制看风险导向内部审计

和制度基础内部审计相比，风险导向内部审计使用的审计风险模型中控制风险的范围被大大的拓宽了。制度基础内部审计模式下，了解和评价内部控制所使用的概念是内部控制制度，包括内部会计控制和内部管理控制两方面，并以内部会计控制为核心。很显然，制度基础内部审计中，审计人员没有给控制环境以过多的关注，这样一旦被审计单位高级管理人员串通舞弊，则内部控制制度的评价也就失去了意义。相对而言，风险导向内部审计模式中的控制测试所使用的内部控制结构，要比内部控制制度更广泛，它是由内部环境、目标设定、事件识别、风险评估、风险反应、控制活动、信息与沟通、监督八个方面的内容，从而将传统的内部控制逐步扩展到整个企业的风险管理中。由此可见，风险导向内部审计模式强调了对控制环境和风险控制活动的评价，从而能通过妥善的制定计划去进行具体的审计项目。

3．从审计程序看风险导向内部审计

风险导向内部审计将传统的由下而上的方式与现代的由上而下的方式相结合，整合成新的审计计划方式。风险导向内部审计通过对审计项目进行风险评估，以风险大小作为选择审计项目的基础，以此来制定年度审计计划，这样为企业及时发现其所面临的风险并控制风险带来的损失奠定了良好的基础。

4．从审计方法看风险导向内部审计

风险导向内部审计和制度基础内部审计的基本方法都包括三种，分析性复核，控制测试和实质性测试。不同之处在于两个方面：第一，风险导向内部审计更加注重分析性复核技术；第二，风险评估的方法更加科学化、多样化，使专业判断建立在更为客观的基础上。由此可见，风险导向内部审计是对以往审计方法的继承和发展，更好的满足企业战略目标。从理论和国外的实践看，其先进性毋庸置疑。但是，风险导向内部审计并非完美无缺，依然需要完善和改进。总之，风险

导向内部审计是以企业的经营风险为核心，控制风险并重；风险的识别和评估不再局限于会计系统和传统的内部控制系统；强调分析性复核及其它分析工具的应用；能够有效降低企业风险，并合理分配审计资源，节约审计成本，从而在合理保证审计效果的同时提高审计效率。然而风险导向内部审计并非十全十美，仍然会给内部审计人员和企业带来一定的审计风险，风险导向内部审计仍处于发展和完善的过程中。其中，内部审计人员职业判断能力的高低很大程度上决定是否能

够真正降低审计风险，这是风险导向内部审计最大的优点，却又是其最大的隐患。

参考文献：

[1]王晓霞著：企业风险审计[M].中国时代经济出版社，2005年

[2]谢科范等编著：企业风险管理[M].武汉理工大学出版社，2004年[3]国务院学位委员会办公室：工商管理学科综合水平全国统一考试大纲及指南[M].高等教育出版社，2003年

[4]王晓霞、孙坤、张宜霞等：论风险导向的内部审计理论与实务–通过解读IIA2001版《内部审计实务标准》看内部审计的风险导向[J].审计研究，2004年第2期

[5]国内部审计协会：内部审计理论与实务[M].中国石化出版社，2004

[6]王立勇：杜绝内患，企业内部控制系统分析[M].中国经济出版社，2004

[7]刘三昌等：企业内部审计技术[M].中国经济出版社，2003

[8]宋明哲.现代风险肯理[M].中国纺织出版社，2003

[9]李爽.论风险导向审计的实际应用[J].中国审计,2002,46(1):73-74.

[10]胡春元.风险基础审计(第一版)[M].大连:东北财经大学出版社,2001:69.

[11]潘敏.资本结构·金融契约与公司治理[M].北京:中国金融出版社,2002:216.

[12]罗锐韧,曾繁正.哈佛商学院MBA教程系列——组织行为学[M].北京:红旗出版社,1997:135.

[13]孙耀君.西方管理学名著提要[M].江西:江西人民出版社,1995:219.