基于風險導向的內部審計原理及其應用

摘 要：風險導向審計已成為審計基本方法發展的國際趨勢，這意味著傳統內部審計的角色也將發生根本性的改變。通過對風險導向審計產生的環境及基本原理的分析，指出了風險導向內部審計原理在座用中應注意的若干問題。

關鍵詞：內部審計；風險導向審計；風險管理

中圖分類號：F239．2 文獻標識碼：A 文章：1003—7217(2006)05—0076—04

一、引 言

20世紀90年代以來，隨著世界范圍內重大管理欺詐及審計失敗案例的頻繁發生，對風險導向審計理論及其應用的研究已成為國內外審計理論界與實務界廣為關注的前沿課題。一些國際著名會計師事務所在與學術界的合作研究中，已取得了令人鼓舞的成果，并正在將風險導向審計從基本概念的討論轉化為具體方法的應用。國際內部審計協會IIA在2004年1月對《內部審計實務標準》修訂后，在內容上也自始至終都貫穿著風險審計的主導思想。由此可見，風險導向審計已成為審計基本方法發展的國際趨勢。

風險導向審計從一開始就引起我國眾多專家學者的關注，十幾年來不斷有研究成果發表，但大多數研究是針對社會審計而言的，從內部審計的角度研究風險導向審計相對較少。本文試從風險導向審計的產生的環境、基本原理及其運用中應注意的問題等方面進行探討。

二、基于風險導向的內部審計社會經濟環境分析

(一)現代企業治理要求新的內部審計模式的出現

現代企業制度的有效運行需要有規范的公司治理為前提。公司治理的目標在于增加股東價值，實現利益相關者價值最大化。建立科學的企業激勵和約束機制，合理配置各種權利，監控運行風險，履行好各種受托責任是公司治理的重要內容。有效的公司治理需要有行之有效的內部控制制度以及風險評估和控制機制。內部審計部門不參加具體經營活動，使得它能以超然的態度，以企業全局的角度對風險進行監控與管理。并且由于內部審計在公司治理機制中所處的特殊地位，如內部審計直接向董事會報告，也能加強企業風險管理的有效性。

內部審計既是公司治理的一部分，同時又參與到治理有效性的審計之中。內部審計在公司治理中的作用包括監督、評價和分析組織的風險和各項控制；復核并證實信息是否可靠并符合相關政策、程序與法律，協助管理者向董事會、審計委員會以及執行管理機構提供風險防范以及治理有效的保證。國際內部審計師協會前主席捷奎琳·瓦格娜曾指出：“環境的變化給內部審計師帶來增加價值的機會最多的領域是風險管理和公司治理。在公司治理環境的要求下，內部審計目標與價值增值的治理目標相一致，并使得其職能、技術方法、內容與范圍等方面產生了新的導向與變革。

(二)不利的職業地位迫使內部審計人員努力為其職能提供增值成份

傳統的內部審計過多關注于過去。“通過看反光鏡來駕駛汽車”是眾多隱喻中的一種說法，當審計人員通過對歷史交易記錄及內部控制系統的歷史運行的檢查來提供建議，系統中增加的每一個控制將耗費更多的資源來操作。如果審計師不斷地增加而不減少內部控制，過多的控制將拖企業經營的后腿。此外，傳統內部審計的目標是幫助管理者完成其責任，這種被動的、事后察覺式的方法使得審計對組織所做的貢獻更像是資產評估，與價值增值沒有直接而明顯的聯系。另外，內部審計處于組織內部，由于得不到充分重視，它往往是企業里一個不起眼的部門，工作缺乏自主性，工作結果沒有明確的服務目標，外部公眾對它缺乏認同感，普遍的看法是，內部審計只是一份得罪人的工作，只是吹毛求疵的挑剔者，談不上“職業”的概念，最多是一種“半職業化”的身份。

在民間審計領域，風險基礎審計作為一種有別于賬項基礎審計和制度基礎審計的審計模式，引發了民間審計方法的革命。為顧客及組織創造更多的價值，內部審計必須將注意力從過去轉向未來。如果審計師把注意力放在風險上，審計更可能發現管理中的有問題的充足范圍，從而更好地為管理風險服務，它是內部審計通過一個古老的職能提供“增值”成份(即關注風險并采用風險導向審計)。只有這樣，內部審計才能夠在夾縫中求得生存和發展，并能獲得企業內利益相關者的普遍認可。

(三)戰略管理思想為內部審計方法的創新提供了基礎

20世紀80年代后，西方管理學者對在全球競爭條件下企業的生存和發展進行了深入的思考，形成了一些新的思想。在管理思想上發生的這些轉變，最主要的是從過程管理向戰略管理轉變。戰略管理思想在企業管理中的作用愈來愈重要，并開始滲透到企業管理的各個方面，企業一旦戰略決策失誤，對其發展的影響和所帶來的風險將是巨大的。

戰略管理最根本的著眼點就是企業所面臨的“風險”(risk)以及企業對待風險的對策。審計師必須首先理解企業發展所依存的內外部環境、基于這些環境而制定的發展戰略目標以及所包含的風險，戰略管理思想及其理論和實踐的發展，為新的審計方法的產生提供了重要的啟示和實踐基礎。

(四)企業環境變化產生的風險加快了新的審計方法的發展

現代內部審計提供的服務包括對全部公共部門和私立實體的控制、執行、風險、治理進行檢查和評價，對財務狀況的檢查只是內部審計的一部分，但這并不是他們的全部使命。多年來，內部審計對財務活動的管理控制已得到極大的加強，但是對企業其他領域進行控制并沒有被經常性地強調。糟糕的生產狀況、工程問題、營銷問題以及存貨管理問題所造成的損失遠遠大于侵吞財物所造成的損失。

組織總是盡力對風險保持更多的控制，當管理層和內部審計師認識到隨著業務實踐的改變，風險已經發生了顯著改變，原有的控制也許不再起作用。KPMG的一項針對高級主管及內部審計經理的調查顯示“傳統的內部審計方式——主要監測政策和控制是否得到有效執行已經過時，內部審計部門必須采取面向未來的、風險導向的思路來衡量企業成長并提高股東價值。”由此可見，“增加價值”的思想形式引發組織對內部審計基于風險導向的迫切需要，從而加快了企業風險導向審計的發展。

三、基于風險導向的內部審計程序

風險導向審計是一種新型的審計模式，它通過識別和評估影響組織目標實現的各種系統性風險和非系統性風險，對內部控制的設計是否健全，關鍵控制點和執行是否有效，控制薄弱的環節、治理改進措施的可行性等提出認定。以下從風險導向審計計劃的制定、審計測試及審計發現、結果的通報等方面來闡述基于風險導向的內部審計程序：

(一)審計計劃的制定

審計計劃是指審計人員完成各項審計業務，達到預期的審計目標，在具體執行審計程序之前編制的工作計劃。(內部審計實務標準)第2010款關于制定審計計劃中指出：首席執行官應該制定以風險為基礎的計劃，以確定內部審計活動的重點。企業風險導向審計計劃是對內部審計師的一種指引，也是一種便于審計監督的內部約定，其中說明了將要采取的審計步驟，這些審計步驟旨在收集審計證據和幫助內部審計師對被檢查業務中存在的風險、效率、經濟性和有效性表達意見。其內容通常包括如下方面：(1)審核以前的報告、審計方案、工作底稿及前任審計師提供的文檔，列出任何要求采取糾正行動的公開項目。其作用在于獲取背景資料及確定過去審核的結果，以更好地確定當前重大風險的審計范圍。(2)實施初步調查，以確定被審核的活動的目標、實際或潛在風險，以及現存的控制系統。(3)審核被審計職能的政策和程序，以及它的經營管理手冊、組織結構圖、權力結構圖、長短期目標。通過審核來確定可以衡量和評價風險的領域，以及該職能是否按管理層的意圖執行。(4)審核有關風險的審計領域的現行內部審計資料，針對被審計的業務活動，獲得最新的技術信息。(5)準備被審計職能的主要業務流程圖，獲得業務流程的可視分析，識別控制缺陷。(6)審核管理層已建立的績效標準，如果可能，把它和行業標準進行比較。(7)會晤客戶，討論審計范圍和內部審計師試圖達到的目標，避免有關審計目標和范圍被誤解。(8)編制完成審計業務所需耗費的詳細預算，以保證審計過程的效率。(9)通過風險評估并排序，列出必須考慮的重大風險。(10)為每個可識別風險確定什么控制有效，檢查現行的控制是否可以消除或充分地減少已識別的風險。(11)確定重大問題和機會的實質，識別困難的主要方面，確定其原因和可能的補救方法。

(二)審計測試與審計發現

審計測試意味著通過將選擇的項目變成證據，在風險導向內部審計中，內部審計師應獲得足夠的證據，確認企業主要風險管理目標是否實現。審計測試中通過運用抽樣、觀察、提問、分析、證實、調查與評估等方法獲取有關風險的審計證據，并且揭示出它們的內在品質或特征，目的是為內部審計師形成審計意見提供基礎。

在審計工作中內部審計師要確定哪些情況需要采取糾正行動，那些與規范或可接受的標準之間的偏離被稱為審計發現。它們可能是：應采取而未采取的行動、不適當的行為、令人不滿意的系統及應考慮的風險暴露等。審計發現通常包括特定要素：背景、標準、情況、原因、影響、結論和建議。包括這些因素的所有審計發現，都為采取糾正行動提供了強有力的依據，同時它會想方設法證明確實存在問題并提出解決方法。

(三)審計結果與業務通報

審計結果應該包括審計發現結果、審計結論(意見)、審計建議和行動計劃。審計發現結果是對事實(風險)的相關陳述，通過比較應該達到的目標與實際的做法，就可以得出審計發現結果和審計建議，審計發現和審計建議應該以標準、情況、原因、影響為依據，審計發現結果和審計建議還可以包括審計客戶的業績、相關問題和未在其他地方反映的輔助信息。審計結果資料是內部審計報告的主要基礎。《內部審計實務標準》第2400款指出內部審計師應及時通報業務結果，通報的內容包括業務標準、范圍及業務結論、建議和行動計劃。內部審計師在審計通報和工作底稿中包括與違法違規行為和其他法律問題有關的審計結果，并就此發表意見時應非常謹慎，在處理這些事項時與有關方面(法律顧問、稽核官員)建立緊密聯系。

(四)后續審計

內部審計師所進行的后續審計是指他們用以確認管理層針對報告中的審計發現和建議所采取的行動是否充分、有效和及時的工作過程。后續審計工作安排應以所涉及的風險及實施糾正措施的困難程度和時間安排的重要性為依據。

在后續審計計劃中，以下三個方面必須被考慮：(1)帶有不可接受的高剩余風險的事件，是后續審計重點關注的對象。《內部審計實務標準)第2600款規定：當首席審計執行官認為高級管理層接受了組織可能無法接受的剩余風險水平時，應當與高級管理層就此進行討論。如果仍無法決定剩余風險問題，首席審計執行官和高級管理層將此事報告給董事會解決。(2)由于控制系統的運行使得高固有風險事件的剩余風險變得可被接受，后續審計必須證實關鍵的控制系統。(3)在大量或昂貴控制下的帶有較低或適中的固有風險的事件可僅限于詢問和簡短的討論。

四、基于風險導向內部審計在應用中應注意的問題

(一)正確理解風險并運用適當的風險評估方法

根據IIA’sAustinChapter的一項調查顯示，至少1／3審計團體在使用風險導向審計上失敗，其中的一個重要原因是風險概念沒有被理解清楚。澳大利亞和新西蘭的標準(AS／NZS 4360：2004風險管理)把風險描述為對組織目標有影響的某種事情發生的機會。風險是業務及經營的本質，在風險環境中，除了風險評估和幫助管理層把風險轉變為本組織的一種收入外，內部審計應該擴展審計范圍，它包括風險控制、風險理財和風險管理。

審計人員在評估風險時需考慮如下因素：金額的重要性、資產的流動性、管理能力、內部控制的質量、變化或穩定程度、上次審計業務發展的時間、復雜性、與雇員及政府的關系等。在開展審計業務時，用于檢測、證實風險暴露的技術與方法應該能夠反映出風險暴露的重大性與發生的可能性，常用的風險評估方法包括SWOT分析法、風險清單法、流程圖法、矩陣分析、COSO列舉法等。在對風險進行優先排序之后，才能根據風險暴露的重要性分配相關的資源，從而使內部審計聚焦于重大風險領域。

(二)注意現代風險導向審計與傳統風險導向審計的區別

風險導向審計的概念傳統上是從對控制的觀察和分析開始的，接著對與經營相關的風險進行確認，最后，確認審計活動是否與組織的目標一致。Mc—Namee和Selim認為這種方法是錯誤的。因為內部審計首先需要為組織目標服務，目標是經營的基礎，并且不是一成不變的，必須靈活并且是或應當著眼于未來的。他們提出應首先考慮建立組織目標的方法，接著通過識別、衡量和優先排序等方法評估風險，并幫助組織改進風險管理與控制系統。

(三)內部控制并不是風險管理成功的唯一策略

內部審計師在一種風險環境中察看經營過程，而不是從內部控制系統中察看經營過程。它是一個直觀的樣式：聚焦在風險上的審計比聚焦在控制上的風險能為公司創造更多的價值。此外，內部審計人員應促進管理當局努力在一定時間內保持經營過程簡化并易受控制，即在針對重大風險增加內部控制的同時應刪除一些不必要的內部控制。內部審計人員更可能注意并推薦適當的控制和其他的減輕風險的方式標準。即除控制外還可通過下列方法進行風險管理：接受風險、規避或分散風險、向其他部門分配和轉移部分風險。

(四)合理設計風險導向審計的抽樣計劃

風險導向審計的抽樣計劃設置較靈活，他們集中于十分重要的地區，常常依靠“停一走”抽樣技巧，允許抽樣根據誤差率來被擴大或縮小。它應用于相當“清晰”的總體，即那些內部審計師希望盡可能在其中少使用抽樣技術的項目。依據他們對系統的了解，內部審計師通過抽樣可以得出總體相當準確的結論，但是他們希望不用擴大測試范圍就可獲得統計性支持。當內部審計師在檢查懷疑存在較大風險的總體時，就會采用發現抽樣技術。這樣的總體可能包括工薪表中的假冒員工、重復付款、未經批準運送貨物或不存在的貸款抵押物。通過發現抽樣，直到發現一個具有特殊屬性的項目為止。

(五)審計服務不應超出正常的保證和咨詢業務的范圍

《實務公告》第2110款針對“評估風險管理過程的適當性”介紹了向審計客戶提供咨詢服務的實務方法。該公告建議內部審計活動應協助組織識別和評價重大風險問題，并幫助組織改進風險管理與控制系統，但首席審計執行宮必須牢記；這種幫助不應超出正常的保證和咨詢業務的范圍。

注：本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文。