風險評估與組織內部審計：模型架構及原理分析

彭 偉

一、“風險”概念的定位

所謂風險導向內部審計模式，簡而言之，就是以“風險”來引導內部審計工作的方向，包括確定審計計劃、重點、范圍和頻率，分配審計資源等等。目前，主要發達國家企業和組織都普遍實行風險導向審計模式。在國際注冊內部審計師協會發布的《內部審計專業實務框架》中，強調內部審計活動“應當制定以風險為基礎的計劃”，“應該在風險評估結果的基礎上開展審計項目”，“應協助組織識別和評價重大風險問題，幫助組織改進風險管理與控制系統”，是從不同層面提出了“風險評估”之于內部審計的重要性和作用。

運用風險評估需要理清“風險”的概念。對于風險導向內部審計中“風險”的概念，一種認識是理解為審計風險，即審計人員在審計過程中由于受某些不確定因素的影響而使審計結論與客觀事實在一定程度上相背離，從而受被審單位及有關負責人指控并遭受某種損失的可能性。以“審計風險”引導內部審計，審計人員應立足于對審計風險的分析和評價，并以此為出發點，制定審計計劃，實施審計行為。另一種觀點認為，“風險”不是單純意義的“審計風險”，而是指更廣意義上組織面臨的所有內外部風險。以“組織風險”引導內部審計，審計人員應通過對審計對象面臨的風險進行評估后確定審計計劃、審計重點、審計策略。從內部審計的目標和職能分析，后一種理解更符合內部審計的職能特征。內部審計應服務于組織目標的實現，因此組織面臨的風險也就是內部審計應該關注的；審計需要對組織所處的宏觀社會經濟環境、戰略目標和措施、影響組織目標實現的主要業務活動和關鍵環節進行深入了解，提高風險管理與組織整體目標的契合度。內部審計如果僅僅關注于審計風險，就不可能真正有效發揮內部審計職能，無法體現與組織目標的趨同。

二、風險量化評估模型

從內部審計的歷史發展來看，風險評估并不是一個新鮮事物。現代風險導向審計的開拓者—美國畢馬威會計師事務所審計與鑒證研究中心主任Timothy B.Bell博士和伊利諾伊大學香檳分校會計系主任IraSolomon教授認為，風險評估的定位在財務報表審計中至少已經存在了100年（吳俊峰，2009）。無論是賬項基礎審計模式還是制度基礎審計模式，審計人員在運用職業判斷時，都會有意識、無意識的、不同程度的對審計對象的風險進行評估。只是這種風險評估是不規范、不系統的，與審計的經驗、能力有重要關系，缺乏科學、合理的標準和規范的方法。現代風險導向內部審計所要解決的一個重要問題，就是通過建立風險量化評估模型，使風險評估過程更加規范和系統，評估方法、程序更加科學。

一般來說，運用風險評估技術需要理解幾個基本概念：

1.固有風險。是指管理當局沒有采取任何措施來改變風險的可能性和影響的情況下，一個主體所面臨的風險。如《企業內部控制基本規范》要求，“企業開展風險評估，應當準確識別與實現控制目標相關的內部風險和外部風險，確定相應的風險承受度”。不同企業或組織面臨的風險是不一樣的，比如對一國中央銀行而言，按照風險來源分析，面臨的風險主要包括市場風險、信用風險、流動性風險、操作風險、法律風險和聲譽風險等。

2.可能性和影響。這是評估風險程度的兩個組成要素。可能性表示一個給定事項將會發生的概率，影響代表了它的后果，這兩者都能夠根據大小、程序劃分為不同的級別，實務工作中常用“風險矩陣”來表示風險可能性和影響程度之間的關聯程度。如下表所示，矩陣中風險由低到高分為4個等級（IV級為最高風險），不同的風險等級用不同顏色表示。

3. 剩余風險。是指風險應對之后所殘余的風險；一旦風險應對已經就緒，接下來就要考慮剩余風險。風險管理目標之一就是使剩余風險水平處于組織能夠承擔的風險限度之內，包括整體風險承受能力和業務層面的可接受風險水平。

以上三個因素構成了風險量化與評估的基本框架，它們之間存在如下關系：

（1）固有風險=風險發生可能性×影響程度

（2）剩余風險=固有風險—風險應對有效性

上述關系不應理解為單純的算術關系，而只是表明了相互邏輯關系。如果對風險進行量化，則需要設定具體的公式或模型，現以中國人民銀行風險量化評估模型為例予以說明。下面的表格中對我國中央銀行“緊急貸款管理”的風險進行了分析，根據風險矩陣對風險事項從影響程度和可能性進行評估，每一類風險設置一定權重。通過固有風險評估、風險應對有效性評估后，根據剩余風險的量化公式，計算出剩余風險的級別為1.9。

風險評估表：緊急貸款管理

以上風險量化評估模型總體上遵循“固有風險識別、評估→風險應對有效性評估→剩余風險評估”的思路。在風險的分類上，按照風險來源將中國人民銀行面臨的固有風險劃分為市場風險、信用風險、流動性風險、操作風險、法律風險和聲譽風險共六類。風險量化采用風險因素權重加總法計算，也就是將各風險因素的風險級別乘以相應的權重，得出“積”；將所有風險因素各自的“積”相加，得出審計對象的風險值。從內部審計實務看，運用風險量化與評估的框架具有以下特點：一是對風險的分析、評價更加系統，改變了以往較為模糊的風險引導審計的狀況；二是審計流程、思路清晰，便于操作并提高審計工作效率；三是審計結論提供的信息更加關注組織風險，使審計報告的使用者能夠清晰了解和掌握審計對象的風險狀況，便于作出決策。

三、風險評估結果的應用

現代風險導向內部審計的基本特征，是審計人員在審計過程中自始至終都以組織風險分析為導向，根據量化的分析水平排定審計項目優先次序，依據風險確定審計范圍與重點，對組織風險管理、內部控制和治理程序進行評價，進而提出建設性意見和建議，協助組織管理風險。在風險評估中，職業判斷是靈魂，從風險評估所要達到的目的看，不過于強調評估個體風險估值的準確性、精準性，而應注重評估對象整體風險排序的合理性。也就是說，對一個特定風險事項而言，由于評估人員經驗、能力、風險偏好的差異，具體的風險賦值可能是不一樣的，但對評估對象整體而言，只要所有風險事項最終的風險排序是準確的，風險評估就可以認為是有效的，這樣就科學解決了風險評估由于大量運用主觀判斷而導致評估結果的不確定性所引發的缺陷。

在審計計劃階段，內審部門應對影響組織目標實現的風險因素進行評估，根據風險的重要性、風險優先次序擬定中長期審計規劃，安排年度審計工作，包括選擇審計對象、確定審計范圍、分配審計資源等。審計計劃的制定應緊密結合組織風險管理目標，確定關鍵風險、高風險領域作為年度審計計劃優先安排的項目。基本思路是，風險小的業務減少審計頻率，風險大的業務增加審計頻率，追加審計資源，優先把高風險業務作為審計項目規劃的重點；確保審計頻率和程度與審計對象的業務性質、復雜程度、風險狀況和管理水平相一致，克服傳統審計較為模糊的風險引導審計概念，導致審計不足或審計過度的問題。比如，實務中有的組織根據剩余風險水平設置如下審計頻率標準：

在審計業務的實施過程中，審計人員要根據風險評估的情況確認需要強調的領域，決定是否需要開展進一步的審計。審計人員用于檢測、證實風險的技術與方法，應能夠反映出風險的重大性與發生的可能性；應根據審計證據和形成的審計結論，對固有風險和風險應對有效性進行適當調整和修正。在審計報告階段，為了讓管理層充分理解風險的程度，應該對審計情況進行分類匯總，披露剩余風險狀況，根據組織風險偏好和可容忍水平，提出對風險管理的建議，以降低風險。在跟蹤改善階段，要根據風險狀況制定跟蹤審計計劃，并在后續審計時重新評估剩余風險。在審計報告階段和后續審計階段（如果需要）所評估的剩余風險結果，都將作為下一輪風險評估的參考依據。

四、審計的風險評估與管理當局風險評估的關系

風險導向型內部審計所指的風險評估，是基于審計所必須掌握的、了解審計對象面臨風險的類別和重點，用以擬定審計計劃、部署審計策略、提高審計效率所應用的方法，是審計本身的需要，側重于分析結果，確認風險的排序。管理當局在風險管理框架（和內部控制框架）內所實施的風險評估，是基于組織目標而實施的，包括目標設定、事項識別、風險評估、風險應對在內的一系列風險管理組成要素，側重于識別風險并制定有效風險應對措施。

從內部審計在風險管理中的地位和作用來看，作為內部控制和風險管理的確認者，管理當局往往需要內部審計的專業技術和方法，也可能直接將風險評估的部分任務安排給內審部門。此時，審計人員的風險評估也就不是單純審計本身的需要，而是為推動組織風險管理發揮咨詢、服務作用。在這一過程中內審部門可能扮演參與者、組織者、協調者等多重角色，此時審計人員的風險評估既能夠為風險導向審計服務，也是組織風險管理的工具。但即使是這樣，審計人員參與風險評估，仍然與其在風險管理中角色有緊密聯系，須“有所為而有所不為”。審計人員可以對風險事項進行分類，可以利用專業能力評估風險管理流程的設計和運行效果，提出改善建議等；但不便設定組織的風險偏好水平，也不能強加風險管理程序，決定風險響應策略，更不能為風險管理的績效負責。

［1］中央銀行內審部門風險導向審計模式.中國人民銀行內審司“確立風險導向審計模式”課題組.中國金融.2012年第9期

［2］風險導向內部審計基本理論及程序構建.徐元玲.會計之友.2008.12

［3］我國風險導向內部審計的應用研究.石麗娟、楊靜靜.中國證券期貨.2010.10

［4］企業內部控制基本規范.財政部等五部委.2008年頒布

［5］風險導向內部審計基本問題研究.吳俊峰.西南財經大學博士論文.2009

［6］從審計模式及其思想的演進辨析風險導向審計應有的內涵.陳志強.審計研究.2006.3

［7］公共部門內部控制—最高審計機關國際組織內部控制概念的更新.王戍/譯.中國內部審計.2005.12

［8］基于風險導向的內部審計原理及其應用.王敏、黃瑛.財經理論與實踐.2006.5

［9］風險導向內部審計若干理論問題探討.鄭小榮.審計與經濟研究.2006.（1）

［10］論風險導向的內部審計理論與實務——通過解讀IIA20 01版.內部審計實務標準.看內部審計的風險導向.王曉霞、孫坤、張宜霞.審計研究.2004（2）

［11］獨立審計質量衡量標準體系的研究.萬佳、陳穎、財務與金融.2010.5