淺論現代風險導向審計在風險管理中的發展與應用

摘要：本文對風險導向審計的起源和基本原理進行簡要介紹，通過對現代風險導向審計和制度導向審計基本程序比較，分析風險導向審計與風險管理的基本關系，探索如何利用風險導向審計工具進行內部審計、促進風險管理的基本方法。

關鍵詞：風險導向審計； 內審流程； 風險管理

中圖分類號：F069.9 文獻標志碼：Ａ

一、風險導向審計的發展

風險導向審計萌生于20世紀60年代，根據對審計風險的理解和認識不同，劃分為傳統風險導向審計和現代風險導向審計兩個階段。

傳統風險導向審計是基于對審計風險進行管理的思想而產生的。一方面，由于制度導向型審計是以了解內控、測試內控和實質性測試為基本程序，審計圍繞評估企業控制風險為中心，而審計風險最大來源——舞弊案件通常都是繞過內控系統且難以測試，形成控制風險很低而審計風險很高。[1]另一方面，制度導向審計僅以內部控制測試為基礎，實施非抽樣測試很難將審計風險降低。外部審計師認識到，必須改進審計工作方法，對審計風險進行有效的管理。這個基本思路導致了風險導向審計的產生，使審計發生劃時代變革。

風險導向審計首先對會計報表涉及經濟活動的固有風險和控制風險進行定量評估，根據評估結果的高低，考慮應當實施的審計測試程序及審計抽樣技術，以此控制審計檢查風險，從而總體上實現對審計風險進行控制的目標。1983年，美國審計委員會發布了47號審計準則《審計風險與重要性》，準則提出了“審計風險=固有風險×控制風險×檢查風險”的審計風險模型，標志著對風險導向審計的正式確認。[2] 需要明確的是，審計模型并非是提供定量的計算方法，而是反映了影響審計風險的各項因素，以及因素之間的關系。風險導向審計的劃時代作用體現在兩個方面，一是風險導向審計解決了審計資源的分配問題，審計師根據風險評估結果，將審計資源分配到最容易導致會計報表出現重大錯報的領域；二是風險導向審計加強了審計抽樣技術的科學性，克服了制度導向審計所采取的抽樣技術的隨意性。[3]

近年來，安然事件等一系列舞弊案件的發生，給審計工作帶來了令人尷尬的負面影響。審計行業在反思中體會到傳統風險導向審計存在缺陷，修正風險導向審計理念和模型是客觀需要。傳統風險導向審計的審計理念是從關注審計本身風險角度出發，對企業的固有風險和控制風險處于非主動知覺的狀況，難以進行全面、客觀的判斷。其次，審計高風險帶來審計高收益機會，審計師在承擔審計風險和尋求非正當收益之間不斷平衡，使審計舞弊案件不斷發生。

審計師協會對風險管理模型進行了修訂，用“重大錯報風險”來取代固有風險和控制風險，用以描述會計報表錯表風險，這種方法稱為現代風險導向審計。現代風險導向審計的基本模型：

審計風險（AR）＝重大錯報風險（ROSM）×檢查風險(DR)；

重大錯報風險（ROSM）=固有風險（IR）×控制風險（CR）；

檢查風險（CR）＝分析性測試風險（SAP）×詳細測試風險（TOD），

檢查風險（CR）=非抽樣風險（SR）×抽樣風險（NSR）。

重大錯報風險實際就是企業面臨的真實風險，是否以及如何區分為固有風險和控制風險不再是至關重要的，重要的是控制住這部分風險，檢查風險和審計風險也隨之得到控制。

審計模型的變化反映了審計理念的變化。《戰略系統下的組織審計》（Bell、Marrs和Solomon）對現代風險管理審計作了精辟解釋。他們認為，“組織的戰略風險和經營風險與審計風險相生相伴，因此，有效的審計需要對企業所處的社會經濟環節和行業關鍵、戰略目標和措施、影響企業目標實現的主要業務活動和關鍵經營環節、以及剩余風險進行深入的了解”。因此，現代風險導向審計與傳統風險導向審計的最大區別，就是從審計風險角度出發轉變為從企業風險角度出發，從宏觀的視角關注企業風險，從微觀的層面參與企業風險管理，使審計最終成為風險管理的有效手段和有機組成。

二、現代風險導向審計和制度導向審計基本程序比較

現代風險導向審計采用系統論方法，根據組織經營模式自上而下進行分析。其基本流程如下：

現代風險導向審計的實施程序是，進行戰略分析，確定戰略風險和重大交易；確定關鍵經營環節，開展環節風險分析；確定環節風險和剩余風險，推導出具體審計目標；進行實質性測試，形成審計結論。

現代風險導向審計流程體現了客戶風險優先于審計風險考慮的基本理念，客戶風險得到控制，審計風險也必然隨之控制。同時，“自上而下”的流程使戰略風險管理的目標更加明確，具有把握全局的優越性。同時，對審計師承擔的檢查風險進行控制的思想也貫穿在審計過程中，不斷根據測試結果來修訂審計計劃。

制度導向審計過程采用的是“自下而上”的審計思路，它的基本程序是，制定審計計劃；了解內部控制制度；對內部控制進行符合性測試，評估控制風險；根據控制風險評估結果，選擇是否實質性測試；形成審計結論。

從風險導向審計流程圖和制度導向審計流程圖的比較還可以看出：現代風險導向審計認為實質性測試是必然過程，符合性測試是可選擇過程；制度導向審計認為符合性測試是必然過程，實質性測試是可選擇過程。審計實務也表明，實質性測試是降低檢查風險的主要手段。

三、風險導向審計與內部審計的關系

現代風險導向審計的控制論研究認為，風險導向審計的本質是一種特殊的經濟控制方法，由于與企業風險管理的密切關聯，風險導向審計又成為一種特殊的風險控制方法。換言之，現代風險導向審計是經濟控制在風險控制領域的延伸，通過這一控制機制，審計活動可以對管理當局的風險管理活動施加影響，從而現代風險導向審計不僅對審計單位的行為具有一般審計控制的作用，同時又有其特有的風險控制作用。現代風險導向審計控制論研究為審計在風險管理中的作用提供了理論依據。

風險導向審計由外部審計需要應運而生，但其將會因內部審計廣泛應用而發展。國內學者今天對“內部控制和風險管理是一枚銀幣的兩面”達成共識，無論提法如何，內部控制和風險管理在目的和手段上都難分難解。內部審計本身作為控制系統的組成，它的天然使命是在承擔風險管理的角色，有效地發揮風險控制的作用。《內部審計實務標準》將“內部審計”定義為“內部審計是一種獨立、客觀的保證與咨詢活動，它采取系統化、規范化的方法，來對風險管理、控制以及治理程序進行評估和改善，從而幫助組織實現它的目標”，確立了內部審計在風險管理和控制活動中的重要作用。

內部審計如何在風險管理發揮作用呢？內部審計師必然會面臨這樣的問題：是參與風險管理過程，還是以對風險管理進行審計評估？換言之，是對風險進行審計，還是對風險管理過程進行審計？參與風險管理過程是否會損害審計獨立性？對尚未建立或完善的風險管理體系，僅僅進行審計確認，是否完全履行了審計職責？《內部審計思想》認為，在傳統的確認業務中，內部審計以確認為導向，發揮監督評價作用，進行評價高層風險管理基調、評估控制環境、測試控制的有效性、評價管理層監控的有效性、報告內部控制結果等工作。在現代咨詢業務中，內部審計以過程為導向，發揮風險監控和管理的作用，進行系統地識別風險、推進風險評估過程、評價風險管理程序、衡量和監控業績、內部溝通采取行動等工作。這對于內部審計無論是進行保證活動的獨立評價，還是進行咨詢活動的風險監控管理，都是提供了行動的依據。

開展風險導向審計是這兩者很好的結合點。風險導向審計引入了風險評估的程序和方法，使審計過程與參與風險管理過程實現了統一，不僅為形成審計發現和規避審計風險提供了非常實用的工具，也為組織造就了推動風險管理的發動機。另一方面，風險導向審計也將審計風險管理納入風險管理總體思路之中。因此，開展風險導向審計是內部審計師實現咨詢和確認職能的良好途徑。

審計實務中，對風險導向審計的采納使外部審計捷足先登，他們很快享受到風險導向審計帶來的資源節約、審計效率提高的益處。風險導向審計也讓外部審計師的業務拓展到為企業提供風險管理咨詢服務的領域。內部審計師行動則顯得略微遲緩，仍然在是否開展風險導向審計之間猶豫徘徊。內部審計工作很長時間停留在根據風險排序對審計項目選擇，內部審計利用風險評估對審計項目排序取舍，但對于風險評估結果如何指導開展實質性測試，內部審計師往往一籌莫展。

通過以下表比較可以看出，風險導向審計不僅同樣適用于內部審計，而且也是一種非常有用的風險管理工具，內審可以提供增值服務。

四、內部審計進行現代風險導向審計的基本程序

從風險導向審計的基本框架可以看出，無論是風險導向審計思想形成的初衷，還是風險模型的建立基礎，都是從對會計報表的認定作為根本目的，以避免對存在重大錯報的會計報表發布不恰當的審計意見。內部審計與外部審計的目標不同，內部審計為組織治理、風險管理和內部控制提供保證和咨詢服務。因此，內部審計采用風險導向審計，必須在風險管理的基本模型上形成自己的理論基礎和實務框架。

內部審計師可以借鑒風險導向基本流程，從評估組織的戰略風險出發，使審計始終圍繞戰略風險。因為內部審計師比外部審計師更具有獲取企業戰略風險和重大環節風險的信息優勢，可以使用“自上而下”與“自下而上”相結合的方式，對組織的經營風險以及與審計風險的進行充分的分析，取得了較為充分的了解。所以，對大部分的審計目標來說，只需要做有效的“自下而上”的實質性測試工作，結合“自上而下”的充分理解，就可以順利完成審計目標。

對內部審計來說，并非開展每個審計項目都重新進行戰略風險分析，而是需要通過戰略風險分析，識別重要戰略風險對系統的影響，以及對審計目標的影響，并確定關鍵經營環節，開展環節風險分析。“環節”是與戰略和經營目標密切聯系的、對組織成功至關重要的節點，是競爭優勢和核心能力的業務活動。識別關鍵環節后，審計師需要收集關鍵環節的信息。每個環節應當收集的信息有“目標、關鍵成功要素及業績指標、業務活動、信息流入和流出、對會計等信息系統的影響”。[2] 環節分析可以采用KPMG的BMP模式，即環節的目標、需要投入的資源和信息、執行的業務活動、環節的產出成果、交易類別、威脅目標的風險、與風險相關的控制進行全面的分析。環節分析也可以采用內部威脅分析技術，直接對影響環節的經營風險進行分析。環節分析的結果，是審計師做出判斷，認為風險已經降到可以接受的范圍之內，或者存在剩余風險。

至此，我們可以看出，從戰略風險到對剩余風險的評估實際上執行的是風險管理的流程，內部審計師通過開展風險導向審計參與了風險管理。內部審計師可以暫停審計過程，就風險識別和評估的結果與管理層交換意見，要求其對存在的剩余風險進行管理，或協助管理層提出風險應對策略。

如管理層未采納審計師的意見，審計師可進行分析性測試及實質性測試，向董事會報告審計結論，也即剩余風險測試的結果。如果管理層考慮審計意見并對剩余風險制定管理措施，審計師可以對采取的措施實施實質性測試，判斷剩余風險是否降低至可以接受水平，并督促其采取進一步的措施。

剩余風險評估后，一般意義上的審計才真正開始。內部審計師首先評估剩余風險對審計風險的影響，確定審計目標，再制定分析性測試和實質性測試計劃。審計目標通常證明或排除某環節是否存在重大差錯或風險。實質性測試決定是采用全面檢查還是抽樣測試，實質性測試的方法主要有交易實質性測試、分析性程序和余額細節性測試。

參考文獻：

[1]蔡春，趙莎.現代風險導向審計論[M].中國時代經濟出版社:2006.

[2]吳建友.現代風險導向審計研究[D].上海財經大學博士畢業論文:2004（4）.

[3]陳毓圭.對風險導向審計方法的由來及其發展的認識[J].會計研究，2004（2）.

[4]Andrew D Bailey JR， Audrey A Gramling， Sridhar Ramamoorti.王光遠等，譯.內部審計思想[M].中國時代經濟出版社，2005.

[5]中國注冊會計師協會.獨立審計準則第9號-內部控制與審計風險[S].1996.

[6]國際內部審計師協會.內部審計實務標準[S].2003.

[7]Rucgard L.Ratliff，Wanda A. Wallace，Jame K.Loebbecks，William G. Macfarland.內部審計原理與技術[M]，1999.

（責任編輯 顧 錦）