以風險為導向內部審計的實施策略

馬夏萍 上海建工集團股份有限公司

以風險為導向審計是建立在全面風險管理基礎上的一種審計技術方法，通過將企業發展中的經營目標、企業的風險承受力、風險管理能力、關鍵風險衡量指標等納入內部審計中，進一步提升企業風險管理和內部審計的實效性，促進企業在復雜多變的經營環境中更好的實現生存與發展，進一步促進企業的發展壯大[1]。

一、以風險為導向內部審計的實施必要性

(一)企業運行中存在的風險眾多

隨著經濟全球化的不斷推進，企業面臨的競爭形勢和經營環境越來越復雜，在經營過程中機遇與挑戰并存，對于企業來說良好的內部控制與風險防范能夠幫助企業有效的規避風險，促進企業的健康、持續的成長。企業在發展運行中，面臨的風險包括外部的政治風險、經濟環境風險、網絡風險，以及內部的資金風險、項目運營風險、供應鏈風險、業務應變能力等[2]，這些風險對于企業的運行和競爭力是潛在破壞因素，風險管理的目標是以最小的管理成本獲得最大的安全保障。

(二)內部審計自身發展的需要

內部審計作為企業的職能部門，負責企業內部的“公司警察”、“耳目眼線”的工作[3]，與風險防控有著天然的聯系，目前許多公司對于內部審計工作的重視不夠，內部審計沒有充分發揮出應有的作用。隨著市場環境的不斷發展，擴大審計的工作領域和工作職責已經成為發展的必然趨勢，以風險為導向的內部審計工作的改革勢在必行。并且就目前內部審計的方式而言，存在很大的不足之處，沒有使內部審計的作用和功效充分發揮出來，以風險為導向的內部審計的變革，能夠提升內部審計的工作成效，將風險防控進一步發揮，及時發現和處理企業管理中存在的問題，提升企業的競爭力和綜合實力。

(三)相關法規以及風險防控的需要

2010年4月有財政部、證監會、審計署、銀監會、保監會聯合發布的《企業內部控制基本規范》以及配套指引對我國企業的內部控制提出了更高的要求，為我國內部審計工作帶來了深刻的影響和挑戰[3]。在2017年的全國經濟工作會議中，中央更是屢屢提及風險防控，指出要打好防范化解重大風險攻堅戰。在企業的風險防控方面，風險管理、內部控制、企業治理是三個相互配合、有機協同的部分，以風險為導向內部審計的實施能夠有效的滿足風險防控的需要，提升企業運行的質量，更好地促進企業的發展，促進市場經濟下的良好運行。

二、以風險為導向內部審計在實施中的問題

(一)人才匱乏，發展后勁不強

在企業的內部審計環節，內部審計工作的質量和效果與審計人員的素質有著很大的關系，以風險為導向內部審計中，管理人員的效率往往不高，這主要是由于以下幾個方面的原因。首先，從整體構成上看，企業內部從事審計工作的往往是一些財務審計人員，他們缺乏關于企業風險管理的認識和能力，與以風險為導向內部審計工作的要求還有一定的差距[4]。其次，從工作人員的綜合素質上看，由于這些企業中從事以風險為導向內部審計的工作人員，大多是財務會計、審計方面的專業出身，對于管理、法律、金融等方面的知識比較欠缺，以風險為導向內部審計隊伍在數量和質量上都有待進一步的完善和發展。

(二)技術落后，發展動力不足

隨著信息技術、網絡技術的不斷發展，許多企業在自身的財務部門中都實現了電算化，但是內部審計部門對推進信息技術在審計工作中的運用進程緩慢，由于企業的不重視，雖然部分企業涉及到了審計電算化，但是大部分的企業依然采取以手工審計為主，并且大部分審計人員對于計算機的操作不夠精煉，導致內部審計工作的效率比較低[5]，在內部審計風險管理技術方面，缺乏先進的信息技術應用。使用最普通最基本的財務分析方法，使得信息技術、風險評估、管理評審這些行之有效的審計技術沒有充分發揮出優勢，進一步導致了內部審計工作在系統性和科學性方面稍顯乏力。

(三)定位不準，發展效力不佳

對于企業來說，內部審計的價值不僅體現在對企業的管理控制中，同時還應體現在評價的有效措施上，在實際的內部審計工作中，以風險為導向內部審計的實施缺乏對于功能的精準定位，將以風險為導向內部審計的工作重心錯置在了現有的控制監督體系上，沒有重視和突顯企業風險管理以及公司治理。這就導致以風險為導向內部審計在實施中的工作失效，沒有真正將以風險為導向內部審計參與到企業的風險管理中，還處于“新瓶裝舊酒”的階段，這是以風險為導向內部審計在實施中的一個重要問題。

三、以風險為導向內部審計的實施策略

(一)優化內部審計隊伍的人員結構

針對當前以風險為導向內部審計的工作現狀，想要提升工作的質量和效果，要對內部的人員進行調整，首先，要對以風險為導向內部審計人員的工作要求制定相關的標準，將對學歷、專業技能以及從業經驗等方面的要求進行細化，積極引入新鮮的血液與人才，提升企業管理層對內部審計工作的重視和投入，引入一些有經濟學、管理學、市場學等方面背景的復合型人才；其次，要對內部審計人員隊伍進行培訓，一方面使內部審計人員對自身的工作職責和流程有全面的、清晰的認識，也能夠提升內部審計人員的綜合素質，如職業素養和專業技能等。對于內部審計人員來說，也要積極的轉變觀念、引起重視，并提升風險防控的意識。如：1.企業要做好有關風險防控的宣傳，提升企業上下對于風險防控的重視，同時也要向內部員工普及內部審計工作的相關知識，提升員工的風控意識，從而使各個部門積極有效的配合好內部審計對以風險為導向進行的審計；2.要根據企業所處行業、企業發展規劃、企業內部各個部門的職責，針對性的進行以風險為導向內部審計的方案制定；3.在實施以風險為導向內部審計的過程中，要不斷的加以完善和推進，提升實施的有效性和針對性，促進企業的進一步發展。

(二)準確定位內部審計的功能任務

第一，對于內部審計人員來說，要明確了解單位的經營目標，基于這個目標將內審功能的要求和期望做相應的規劃，然后根據要求和期望制定內部審計的標準和范圍，這是以風險為導向內部審計的實施基礎；第二，要根據企業的戰略目標對審計工作中的關注點進行設定，從而做好風險的識別與評估，如設計完整的審計覆蓋范圍，將成本效益原則與管理層的實際要求作為出發點，具體分析企業經營中的內部和外部環境，采用定量和定性相結合的分析方法，對其中可能存在的風險進行識別，在風險識別中要從可能性和影響力兩個方面進行評估，需要注意的是，由于環境處于實時變化的狀態，因此，對于風險的識別與評估也應該是動態的、實時調整的；第三，根據風險評估的結果，對完整的審計覆蓋范圍進行分割，使之獨立成不同的被審項目，再用細分的方式使后續工作更易操作，然后根據風險因素的影響，制定不同年限的內部審計工作規劃，具體包括中長期內審工作滾動規劃和內審年度工作計劃兩種，如目前國資委要求實施的企業經濟責任審計輪審制度及企業自行設定的專項審計等。

(三)提升信息技術的輔助應用空間

信息化的管理在內部審計中的應用能夠有效的提升工作的效率，如，加強財務管理中信息化的運用，可以對資金的使用進行實時的監控，防止資金缺口的產生，從而造成金融機構對企業信用評級降低，影響企業信貸業務的開展。提升信息技術的輔助應用空間，需要加強對于內部審計人員的計算機操作、軟件操作等方面的培訓力度，進一步促進企業審計工作的信息化、電算化的實現。企業可以通過外聘專家或與相關機構合作開發的形式來促進內部審計信息技術的升級。但是在提高信息技術的應用范圍的同時，也要提高信息安全意識，提前做好相應的防護措施，應對復雜多變的審計環境、市場環境、網絡環境，做好風險防控工作。在執行以風險為導向內部審計的過程中，審計人員要根據事前制定的審計方案，對風險軌跡、控制軌跡進行檢查、評估，通過全方位的信息收集和證據羅列，來對被審計項目進行全方位的審查，然后根據審計的結果出具審計報告。在審計報告中，要突出潛在的風險，指出風險存在的原因，并有效的進行分析，提出解決的措施。

(四)做好風險評估與后續審計工作

在企業內部審計中，審計建議的科學性、有效性、可執行性決定了審計的質量，但是這不是一蹴而就的，審計結果的運用需要進行后續的跟進，并監督與落實審計整改工作。因此，在企業內部審計的實施中，需要審計人員根據已檢查出的問題做合理化的整改建議，并在后續要對整改過程進行監控，并提醒被審計單位按期做好審計建議的落實工作，明確未按期整改會面臨的結果，只有這樣才能做好審計工作的有效閉環，起到風險的規避作用，促進企業的健康發展。

四、結語

以風險為導向的內部審計能夠幫助企業更好的規避風險，促進企業的健康、持續發展，也是基于企業運行中存在的眾多風險的客觀要求，以及內部審計自身發展的需要，就內部審計工作的現狀而言，存在著人才匱乏、技術落后、定位不準等方面的問題，制約了以風險為導向的內部審計的效力和質量。在未來的發展中，可以通過優化內部審計隊伍的人員結構、準確定位內部審計的功能任務、提升信息技術的輔助應用空間、做好風險評估與后續審計整改工作等，進一步提升企業內部審計工作的質量和效率，使之更好地發揮出風險防范的作用。