淺議風險導向內部審計

○陶燕

（武漢商業服務學院 湖北 武漢 430056）

2004年9月美國COSO正式出臺了《企業風險管理——整體框架》，該框架是企業進行風險管理活動的重要指導。面對經濟全球化的發展進程，企業面臨的各種風險亦日益增多，迫使企業必須不斷地創新風險管理技術，降低風險管理成本，提高風險管理收益。作為風險管理體系的重要組成部分，內部審計也必須積極做出相應創新，以適應這一變化趨勢，通過內部審計機構和人員對企業風險過程的了解，審查并評價其適當性和有效性，提出改進建議，更為主動地參與整體風險管理，促進企業目標的實現。

一、當前我國內部審計存在的問題

1、審計地位低下，多頭管理，導致審計缺乏獨立性

審計的獨立性在很大程度上取決于其隸屬關系，領導層次越高，獨立性越好。但實際上很多企業的內部審計部門沒有隸屬于企業的最高層，而是與其他部門處于平等的地位，這就導致內部審計無法有效地發揮作用。從某F集團審計部門7年間的發展歷程，不難發現內部審計在面對企業內部環境變化時所表現出來的不適應性，該集團的審計部門是于2003年成立的，成立之初，公司外聘職業經理人擔任財務總監負責管理督察法務部，作為一級部門直接對總經理負責，相對獨立于其他職能部門，但由于無法適應企業文化及公司高層變動，財務總監辭職、部門撤消，審計職能劃歸總裁辦公室，成為二級部門，之后又成立法規審計部再次成為一級部門，而現在審計作為二級部門隸屬于法規審計部（一級部門），與其他業務、職能部門平行甚至更低。審計部門復雜的演變經歷從另一側面反映了內部審計價值未得到實現與認可。另一方面，按該公司《組織規程》規定：審計由公司總裁直接管理，但由于各種因素，總裁委托總會計師對審計業務進行管理，行政則歸分管法律事務兼任法規審計部部長的副總經理，如此復雜的管理模式，使審計更缺乏獨立性。

2、內部審計模式缺乏總體思維和構想，審計目標不明確

審計模式是審計導向性的目標、范圍和方法等要素的組合，隨著社會經濟的發展，審計目標在不斷的變化，審計模式也在不斷的創新。內部審計模式是企業內部審計工作的總體思維與基本構想，是組織和部署審計工作的整體框架，決定著內部審計工作方向和基本方式的根本因素，對內部審計作用的發揮起著決定性的作用。但現在很多企業的審計思維仍一直局限于“監督和復核”甚至更低的“查錯糾弊”階段，未實現決定性審計角色向“確認和建議”的轉變。尤其是在公司整體內外部環境發生重大變化之后，未及時調整審計思路，明確審計目標，仍沿襲過去審計思維及工作方式，無法適應企業決策層的管理需要。

3、內部審計技術、內部審計人員素質均有待提高

現在企業開展內部審計工作主要還是以手工查賬為主，沒有開展計算機輔助審計；統計抽樣技術也沒有充分的應用到實踐中去，抽樣主要依據審計人員的主觀判斷；內部審計部門選擇的審計項目也主要是管理層的授意，沒有真正的實施全面風險管理內部審計，其審計效果大大折扣。

另外，我國內部審計人員理論水平和業務技能普遍不高，有些審計人員雖然從事審計工作多年，但往往僅憑借其經驗，不能適應現代內部審計發展的需要。另外，有些內部審計人員缺乏職業道德，在審計過程中常常存在違法亂紀的行為，影響了審計職能的發揮。

4、缺乏科學、有效的內部審計績效考核模式

目前企業的審計部門無論在部門績效還是員工績效，均缺乏有效的評價和激勵機制。審計部門參與公司平級考核，被審單位成為考核單位，無法客觀反映內部審計部門工作成績。員工考核也缺乏有效的評價和激勵機制，無論審計工作經歷、教育背景、專業技能，均使用同一標準，缺乏晉升機制。這樣就無法保證內部審計的目標與組織目標的一致性；無法使員工將個人職業規劃與企業發展戰略有機結合。

5、缺乏風險管理意識

目前企業未成立專門的風險管理部門，雖然公司管理者掌握了大量的企業風險管理的信息，但實務中缺乏統一的術語，缺乏一個概念性的、適當的風險管理框架的計劃，使管理者及全體員工能更好地理解企業風險管理，并達到在風險管理問題方面有效交流的目的。缺乏科學的管理風險的手段和能力，在此前提下，進行風險管理審計缺乏科學的管理手段和檢查方法，內部審計仍然處于檢查內部控制和業務流程管理缺陷的管理審計層面。

二、風險導向內部審計策略

風險導向內部審計是指內部審計人員在審計的全過程自始至終都要關注風險，并根據風險度選擇項目，以降低風險為導向，進行內部控制制度的符合陸測試、實質性測試，并進行監督檢查和評價，提出建設性意見和建議，由此得出的審計報告以作為揭示風險、防范風險以及信息交流的預警信號，為企業風險管理提供可靠的信息，并作為企業進行風險判斷的重要依據。開展風險導向內部審計其具體策略有以下幾個方面。

1、完善公司治理結構，體現監督職能

公司治理框架完善是公司治理的前提，如何充分發揮監事會與審計委員會的職能，并在企業中發揮協同作用，是需要關注和完善的重點。中國證監會2002年頒布的《上市公司治理準則》明確規定：監督公司的內部審計制度及其實施；監督企業內部控制制度是公司董事會下設審計委員會的主要職責。監事會和審計委員會能否發揮作用以及在企業經營中的影響力，相當程度取決于：是否具有獨立性；內部控制及內部審計受到公司董事、監事、委員會成員及公司高管的重視程度。

2、強化風險管理理念，建立并完善風險管理流程和評價體系

企業風險管理的主要思路是：監控企業所處內外部環境的變化、識別企業面臨的風險、衡量企業面臨風險的重要程度、判斷風險是否得到有效控制、采用何種手段進行風險控制。建立并完善風險管理業務流程和評價體系是做好風險管理和內部審計的重要前提和手段。這不僅需要管理層重視風險管理，企業的其他員工也應該樹立風險意識，并加強對風險管理技能的培訓，使其內部審計人員成為風險管理的專家，能夠隨著市場環境的變化不斷改變其思維模式。

3、實施內部審計戰略環境分析

企業內部審計機構必須能夠以全局視角及時發現企業內外部環境的重大變化、有效識別影響企業目標實現的重大風險、及時發現企業經營異常變動并提出有效防范和控制風險的改進措施。內部審計系統如何在動態的環境中發揮作用？實施內部審計戰略環境分析，建立并完善公司內部審計環境監測體系，確定企業內部審計工作戰略思路，根據企業自身特點、發展戰略和所處內外部環境特征，明確內部審計戰略環境要素，建立內部審計環境監測長效機制，及時監測、評估和反饋系統所處環境的不確定事項，及時調整審計策略，提高內部審計的主觀能動性。

4、建立和完善內部審計質量控制體系，強化內部審計評價機制

在明確審計策略之后，規范內部審計程序、提高內部審計質量是有效保證內部審計效果的重要手段。提高內部審計質量最有效的控制手段就是建立內部審計質量控制體系。內部審計質量控制體系包括：審計人員素質、審計質量標準體系、監控與激勵機制三部分。

（1）審計人員素質。主要指內部審計人員的勝任能力，包括技術水平和道德要求。

（2）審計質量標準體系。公司內部審計機構必須建立和完善內部審計具體質量標準、責任制度、質量檢查和考評等制度體系。

（3）監控和激勵機制。通過建立內部審計績效考核機制，拓寬審計人員晉升通道，引導審計人員個人職業生涯規劃，提高審計人員工作積極性，實現企業目標和個人目標的有效結合。

三、基于風險管理的內部審計模型

隨著企業面臨的諸多不確定性呈現多樣化和復雜化趨勢，風險導向內部審計模式作為目前最先進的內部審計模型，其科學性與先進性已得到內部審計業界的普遍認可。企業應通過對其自身內外部環境分析，并通過審計預警管理，構建適合于本企業的內部審計模式。以下是針對F集團構建的基于風險管理的內部審計模型：

目標——可持續價值創造能力最大化。

核心觀念——全面風險管理理念。由于在全面風險管理框架中，企業里的每個人對全面風險管理都有責任，領導人負最終的責任，其他管理人員支持全面風險管理的理念，促使企業在風險偏好內經營，并在各自負責的領域負責把風險降低到相應的風險容忍度內。因而，強化全員風險意識是企業構建全面風險管理體系的基礎和前提條件。

基于風險管理的內部審計路線——風險導向內部審計采取的路線首先確認企業目標或某項交易的目標，然后分析對這些目標產生影響的風險，確定審計風險水平和審計重點，提出風險防范和控制建議，最后通過后續審計，測定風險是否得到有效防范和控制。內部審計人員關注的并非控制的充分性和遵循性，而是風險是否得到適當管理和控制。這樣審計建議可以直接針對企業實現目標過程中面臨的主要問題和風險，并將事后評價反饋延伸到事前和事中。內部審計人員通過風險與企業目標的實現直接聯系起來，其服務對公司治理層及管理層而言非常有價值，使內部審計成為企業價值鏈中的必要環節。

風險管理內部審計的組織網絡構架——按照現代企業制度的觀點，企業組織中的決策、經營和監督“三權”分別由股東大會、董事會和監事會負責。作為企業集團監督體系的一部分，內部審計總協調機構應隸屬于企業集團總部的監事會。在集團內部單獨設立審計部門，直接隸屬于總經理，同時接受監事會的管理和委托，作為特殊的職能管理部門獨立于其他一級部門和分子公司。這種隸屬于總經理的審計部門設置使內部審計接近經營管理層，不僅有利于為經營決策、提高經營管理水平和經濟利益服務，還有利于實現審計目的，保持審計的獨立性和較高層次的地位。缺點是對本級公司的財務和總經理的經濟責任難以進行獨立的監督與評價。

風險管理內部審計的基礎和前提——在集團內部設立專門的風險管理部門，實施系統、全面、科學的風險管理過程，這是實施風險管理審計的基礎和前提。內部審計機構通過對風險進行科學、系統的識別和預警管理，確保風險得到有效的防范和控制。

內部審計人員的配備——企業集團的內部審計部門人員結構設計應當注意以下三個方面：一是人員的業務水平結構。部門內部審計機構應注重高級、中級和初級審計人員的配套和合理的比例。二是人員的專業技術結構。集團總部的審計總協調機構要盡可能做到“四師”配套，即由會計師（審計師）、經濟師、工程師和律師四方面人員組成。企業向其他鉆采行業拓展，尤其需要擁有技術背景和法律知識的復合型專業人才，能夠在企業并購過程中控制技術風險。也可根據工作需要，聘請工程技術人員和律師兼職人員或臨時聘請他們參加審計。內部審計部門要大力鼓勵內部審計人員學習經營管理、技術和法律知識。三是人員的年齡結構。要有經驗豐富的中老年人員和富有革新精神的青年審計人員合理結合，取長補短，以充分發揮內部審計的職能。

風險管理內部審計方法——內部審計的范圍：在企業集團內部，除了有核心企業，還會有眾多的緊密層、半緊密層和協作層企業，點多面廣，特別需要內部審計來加強控制和評價業績，因此內部審計的范圍必須有一定的深度和廣度。內部審計形式：包括財務審計、經營審計、內部控制系統的評價、經濟合同審計、建設投資審計、經營決策審計以及經濟責任審計等七種形式。基于全面風險管理的內部審計，應對風險評估管理過程中出現的預警信號做出及時反應，對風險管理部門收集、分析的風險因素進行識別和評估，并采取相應措施進行風險防范，具體如下：一級預警：若預警指標表示無風險或風險較小，繼續實施靜態監控即可。二級預警：若為預警指標表示企業已經面臨一定的風險，進入內部審計程序，調查風險來源，分析風險原因，并提出防范風險措施，防止向更高等級風險演變；企業同時提高監控力度，采取動態監控，及時反饋信息。三級預警：若預警指標表示風險已經很大，建議內審部門應立即上報集團公司管理層，啟動應急預案，并制定內部審計計劃和具體項目實施方案，調查風險來源，分析風險原因，并提出防范風險措施，力爭轉移或規避風險，嚴防企業進入危機狀態。四級預警：若預警指標表示企業面臨嚴重危機，企業應立即啟動危機管理響應機制，努力把損失降到最低。當預警指標處于第二、三、四級預警階段即顯示企業已經面臨一定風險時，建議進入內部審計程序，進行事前控制或事中控制，防范風險升級。針對不同等級的預警信號，審計響應措施也有所不同。

[1]蓋建飛：淺析風險導向內部審計[J].會計之友，2010（17）.

[2]徐國忠：我國企業內部審計問題與對策[J].合作經濟與科技，2009（11）.

[3]鄭德亮、衷建華：淺析內部審計新模式——風險導向內部審計[J].江蘇商業會計，2007（5）.

[4]劉遠：淺析風險導向模式在內部審計中的應用[J].審計月刊，2009（9）.