基于風險導向的企業(yè)內(nèi)部審計運作流程研究

北京工商大學商學院 莊飛鵬

一、國內(nèi)外關于風險導向內(nèi)部審計研究情況

風險導向內(nèi)部審計始于20世紀90年，在20世初由于國際資本市場財務造假案件頻出，使內(nèi)部審計得到了前所未有的關注，2001年IIA重新修改的《內(nèi)部審計實務標準》，將內(nèi)部審計全面轉(zhuǎn)向以風險為導向的審計模式。COSO于2004年頒布了《風險管理整合框架》，使風險導向內(nèi)部審計在實踐中的運作日趨成熟。在國內(nèi)，自2003年后，中國內(nèi)部審計師協(xié)會先后頒布了《內(nèi)部審計基本準則》、《內(nèi)部審計人員職業(yè)道德規(guī)范》，以及29個具體準則和2個實務公告，形成了比較完善的內(nèi)部審計準則體系，我國的內(nèi)部審計準則體系，充分借鑒國外的經(jīng)驗，將風險管理貫穿其中，體現(xiàn)了風險導向的思想。蔡春（1993）教授在國內(nèi)最早進行審計結構框架研究的學者，他提出“環(huán)境—本質(zhì)—假設—目標—規(guī)范與信息—控制—環(huán)境”的審計模式。郭群、吳惠吟（2002）提出風險導向?qū)徲嫅斉c企業(yè)的發(fā)展戰(zhàn)略、企業(yè)目標、風險管理相結合，認為風險導向內(nèi)部審計對審計人員提出了更高的要求，認為風險導向內(nèi)部審計是企業(yè)為了實現(xiàn)發(fā)展戰(zhàn)略、目標而進行風險管理的手段，最終達到為企業(yè)增效的目的。嚴輝（2004）認為風險導向內(nèi)部審計的理論框架應采用“本質(zhì)—假設—目標—職業(yè)規(guī)范”的結構模式。李玲、陳任武（2006）提出風險導向內(nèi)部審計應當以實現(xiàn)企業(yè)目標為出發(fā)點，關注那些對企業(yè)目標造成影響的風險，并對此進行風險評估，排序，確定高風險的領域，將其作為審計的重點，從而能夠更有效、更直接地達到企業(yè)管理當局的需求，因此風險導向內(nèi)部審計應當遵循“目標-風險-控制”的邏輯順序，即以企業(yè)的目標出發(fā)，圍繞著影響企業(yè)目標的風險，進行審計。郭群（2006）將內(nèi)部審計分為三個階段即計劃階段、實施階段、終結階段。黃海（2009）對內(nèi)部審計框架結構的建立提出了由戰(zhàn)略規(guī)劃、業(yè)務流程、組織結構、風險評估系統(tǒng)和抽樣技術模型五個子系統(tǒng)構成的審計框架。吳俊峰（2009）對風險導向內(nèi)部審計工作流程從審計前工作、審計實施、后續(xù)審計三個階段進行分析，認為審計前工作包括明確審計動因、確定業(yè)務關鍵目標及關健績效指標；審計實施工作包括制定審計方案、實施審計測試、編制審計報告；后續(xù)審計工作包括確定后續(xù)審計項目，開展后續(xù)審計工作，出具后續(xù)審計報告。

二、基于風險導向的內(nèi)部審計運作流程構建

綜上所述，無論是理論界還是實務界，關于風險導向內(nèi)部審計運作方面，在充分汲收企業(yè)風險管理的基礎上基本形成了“目標－風險－控制－審計”由左至右的運作路線，但還沒有形成權威且統(tǒng)一的實施運作框架。本文在綜合前人的理論基礎上，將風險導向內(nèi)部審計的運作思路表述為：以企業(yè)目標為出發(fā)點，識別并評估影響實現(xiàn)企業(yè)目標的各項風險，圍繞著風險，分析與評價企業(yè)針對這些風險所要采取的控制措施，通過對各項控措施的合理性與有效性的測試，確認控制措施是否有效地實現(xiàn)對這些風險的管理，并向相關人員報告及有針對性地提出改進建議。本文借鑒傳統(tǒng)內(nèi)部審計的實施程序，并結合風險導向內(nèi)部審計的運作思路將風險導向內(nèi)部審計的運作流程主要分為四個階段:（l）內(nèi)部審計準備階段；（2）內(nèi)部審計測試階段；（3）內(nèi)部審計報告與溝通階段；（4）內(nèi)部審計反饋與后續(xù)審計階段。以圖1來列示整個風險導向內(nèi)部審計的運作流程。

（一）內(nèi)部審計準備階段 在風險導向內(nèi)部審計模式下，審計現(xiàn)場測試前的風險識別與評估工作變得尤為重要，并成為風險導向內(nèi)部審計的重心。在準備階段首先應對企業(yè)的各項業(yè)務流程進行分析與梳理，在此基礎上通過明確業(yè)務目標、識別業(yè)務風險、評估業(yè)務風險、確定關鍵控制點等四個步驟形成風險控制底稿，為制定審計計劃提供依據(jù)，為實施審計現(xiàn)場測試指明了測試方向。

（1）從企業(yè)目標出發(fā)，明確各項業(yè)務目標。企業(yè)目標在企業(yè)內(nèi)往往是通過各項業(yè)務共同努力來實現(xiàn)的，每項業(yè)務都完成特定的目標，最終通向企業(yè)目標。因此，企業(yè)目標落實到企業(yè)內(nèi)部就轉(zhuǎn)化成企業(yè)內(nèi)部各項業(yè)務活動所要完成的目標。通常可以將企業(yè)內(nèi)部各項業(yè)務活動的目標分為以下三類：一是經(jīng)營性目標：這些目標與主體經(jīng)營的有效性和效率有關，包括業(yè)績和贏利目標和保護資源不受損失等；二是報告性目標：這些目標與報告的可靠性有關。它們包括內(nèi)部和外部報告，涉及到財務和非財務信息；三是合規(guī)性目標：這些目標與符合相關法律和法規(guī)有關。

明確業(yè)務目標本身也是企業(yè)開展全面風險管理的前提，這個過程有賴于企業(yè)風險管理的實施情況，在風險管理做得較好的企業(yè)，可以通過與風險管理部門溝通與協(xié)調(diào)即可確定。在沒有開展全面風險管理或者風險管理工作基礎薄弱的企業(yè)內(nèi)，內(nèi)部審計人員可以通過在對企業(yè)內(nèi)部各項業(yè)務流程分析與梳理的基礎上，結合企業(yè)目標加以確定。

（2）識別風險。各項業(yè)務目標明確后，內(nèi)部審計人員應識別對各項業(yè)務目標造成負面影響的各項因素即風險。識別風險是風險導向內(nèi)部審計的重要環(huán)節(jié)。內(nèi)部審計人員可以通過對企業(yè)外部因素與內(nèi)部因素的分析，并結合各項業(yè)務目標予以判斷和識別影響各項業(yè)務目標的風險包括經(jīng)營性風險、報告性風險、合規(guī)性風險。

（3）評估風險。風險評估是風險導向內(nèi)部審計的難點。風險水平評估通常可以通過風險發(fā)生的可能性與影響目標的重要性程度來確定，主要采取定量與定性的方法，如蒙特卡羅法、壓力測試法、關鍵風險指標管理法、風險坐標法等。內(nèi)部審計人員可以根據(jù)各個企業(yè)自身情況進行選擇。風險水平評估為內(nèi)部審計人員確定各項業(yè)務的關鍵控點與審計計劃提供了依據(jù)。

（4）確定關鍵控制點。為了實現(xiàn)企業(yè)內(nèi)每項業(yè)務所產(chǎn)生的結果最終有利于企業(yè)目標的實現(xiàn)，企業(yè)管理層都會采取一些必要控制措施。企業(yè)內(nèi)每一項業(yè)務活動都由不同的環(huán)節(jié)構成，其中某一項或某幾項環(huán)節(jié)控制得當將對整個業(yè)務活動的結果產(chǎn)生關鍵的影響，即稱它為關鍵控制點。如果缺少了這些關鍵控制點，該業(yè)務就很難實現(xiàn)其業(yè)務目標。關鍵控制點是由控制環(huán)節(jié)與控制措施構成。內(nèi)部審計人員應在風險評估后確定企業(yè)內(nèi)各項業(yè)務的關鍵控制點。當企業(yè)對某項業(yè)務所采取的控制措施覆蓋了該業(yè)務的所有關鍵控制點，才能認為針對該項業(yè)務的控制措施設計得合理、充分。

以上四個步驟是風險導向內(nèi)部審計準備階段的主要工作。在此過程中，都離不開對各項業(yè)務流程的分析與梳理以及內(nèi)部審計人員的職業(yè)判斷，內(nèi)部審計人員通過對企業(yè)內(nèi)部各業(yè)務流程的描述與所確定的關鍵控制點形成風險控制底稿。

（二）內(nèi)部審計測試階段 風險導向內(nèi)部審計由于將審計工作的重心前移，在準備階段完成了目標－風險－控制的分析。在測試階段主要工作包括：

（1）測試內(nèi)部控制設計的合理性、充分性。雖然在準備階段可以基本判斷出企業(yè)控制措施設計得是否有效，但仍需要在測試中得到進一步驗證。在測試的現(xiàn)場，可能會發(fā)現(xiàn)準備階段所沒有考慮的情況或發(fā)現(xiàn)新的風險，也會可能出現(xiàn)測試結果證明該控制措施并非準備階段所設想的那樣能夠有效地防范了風險，還有可能在測試時企業(yè)的業(yè)務已發(fā)生了變化等。

（2）測試內(nèi)部控制是否得到有效地、一貫地執(zhí)行。評價控制措施運行有效性，其前提中針對設計有效的控制措施，如果測試已經(jīng)證明該控制措施在設計上就存在缺陷，那么即使該控制措施得到有效、一貫地執(zhí)行，也不能認為其運行是有效。

（3）確定剩余風險。經(jīng)過以上兩個方面測試后，內(nèi)部審計人員應判斷出企業(yè)目前已采用控制措施后的剩余風險，即還有哪些風險沒有得到控制。剩余風險是確定審計報告與審計溝通的重要依據(jù)，也是制定后續(xù)審計計劃的主要參考。被審計單位對風險的控制和管理越充分、有效，剩余風險就越少；反之則剩余風險就越大。

（三）內(nèi)部審計報告與溝通階段 審計報告是內(nèi)部審計師根據(jù)審計計劃對被審計單位實施必要審計程序后，就被審計單位風險管理、控制及治理程序的適當性、合法性和有效性作出評價與提出建議，并就測試階段所確定的剩余風險在與被審計單位充分溝通的基礎上對被審計單位做出評價，并提出自已的建議；這一階段是對審計準備階段、測試階段的工作進行的歸納與總結。此階段重點要做好以下幾個方面工作：

（1）審計復核：內(nèi)部審計機構內(nèi)部應建立分級復核制度，在審計機構人員較少的情況下，至少要做到一個人工作的內(nèi)容應由另一個人來復核。審計復核重點應關注審計證據(jù)與審計結論之間的關系。

（2）審計溝通：事實上審計溝通貫穿整個審計過程。在形成審計正式結論及報告之前的審計溝通尤為重要，這一階段應就審計發(fā)現(xiàn)（包括剩余風險）與有權力采取或改進措施的人員或部門主管進行溝通。溝通前應做好充分準備，就發(fā)現(xiàn)問題在充分聽取對方意見的基礎，提出自己的看法及建議。

（3）審計報告書寫及發(fā)送：審計報告應當客觀、完整、清晰、及時、具有建設性，并體現(xiàn)重要性原則，對于一些可以在發(fā)現(xiàn)現(xiàn)場直接改正的非實質(zhì)性的缺陷，如審批單上遺漏非關鍵性的授權簽字，可以通過審計現(xiàn)場溝通或形成報告前的溝通即可。內(nèi)部審計報告應至少發(fā)送給有權對內(nèi)部控制采取或改進措施的人員及其以上級別的管理層。針對不同的部門主管，出于保密原因，可僅就與該部門有關的報告部分內(nèi)容截選形成非正式的報告予以發(fā)送。

（四）內(nèi)部審計反饋與后續(xù)審計階段 出具了審計報告并不完全意味著內(nèi)部審計工作就此結束，此后還要跟蹤管理層對審計發(fā)現(xiàn)問題的反饋。被審計單位對于審計反饋的情況有以下三種：

（1）被審計單位就審計報告中提到的所有重大的、實質(zhì)性風險均采取的進一步的控制措施。對這種情況，內(nèi)部審計機構應綜合考慮報告中的審計發(fā)現(xiàn)、建議及所涉及的風險與被審計單位所采取的控制措施，分析其是合理、充分，并在下次制訂審計計劃時將其納入應考慮的風險因素之中，作為下次審計的重要內(nèi)容之一。

（2）被審計單位僅對審計報告中的部分重大的、實質(zhì)性的風險采取進一步控制措施。對這種情況，如果沒有被采購進一步控制措施的剩余風險屬于重大的，內(nèi)部審計機構應及時與被審計單位進行溝通，以明確沒采取進一步措施的原因，必要時將其告知被審計上一級的單位。同時也應納入下一次制定審計計劃的考慮范圍。如果問題性質(zhì)十分嚴重，內(nèi)部審計機構應就此與公司的最高決策層，如董事會進行匯報，以確認公司是否就審計報告中所提的問題知情或已采取了風險承擔方式予以承擔可能出現(xiàn)的風險。

（3）被審計單位對于審計報告沒有采取任何行動。對這種情況，如果被審計單位對審計報告中的審計發(fā)現(xiàn)、建議及所涉及的風險沒有采取任何反應，應及時與被審計單位的上一級管理者進行溝通，如果仍未收到任何反饋信息，內(nèi)部審計機構應就此與公司的最高決策層，如董事會進行匯報，以確認公司是否就審計報告中所提的問題知情或已采取了風險承擔方式予以承擔可能出現(xiàn)的風險。

審計反饋是內(nèi)部審計運作流程的一個重環(huán)節(jié)，如果公司對審計報告不做任何反饋，那么再好的內(nèi)部審計模式都無濟于事。因此，公司的最高決策層應在公司的管理制度中對內(nèi)部審計報告做出反饋是被審計單位的職責予以規(guī)定，同時被審計單位應就內(nèi)部審計人員在審計報告中所發(fā)現(xiàn)的問題及建議及時做出反饋。在確定后續(xù)審計時，內(nèi)部審計機構可以根據(jù)審計過程中發(fā)現(xiàn)事項的性質(zhì)和重要性，風險水平，決定是否單獨就上次審計的情況進行單獨的后續(xù)審計，或與其他項目審計時一并執(zhí)行。

［1］王曉霞、孫坤、張宜霞：《論風險導向的內(nèi)部審計理論與實務》，《審計研究》2004年第2期。

［2］李玲、陳任武：《風險導向內(nèi)部審計在現(xiàn)代企業(yè)中的作用分析——兼論風險導向內(nèi)部審計的特點》，《財會通訊》（學術版）2006年第12期。

［3］張紅英、陳東等：《中國內(nèi)部審準則闡釋與應用》，立信會計出版2007年版。