黃林泉

摘要：面對日益復雜的國內(nèi)外經(jīng)濟環(huán)境，企業(yè)能否有效應(yīng)對來自內(nèi)外部的各種風險甚至決定著一個企業(yè)的生死存亡。內(nèi)部審計理應(yīng)在企業(yè)風險管理中發(fā)揮更大作用。本文通過分析企業(yè)內(nèi)部審計工作的現(xiàn)狀及不足、介紹風險導向內(nèi)部審計的主要思想，結(jié)合我國企業(yè)實際，探索構(gòu)建了風險導向內(nèi)部審計的應(yīng)用性框架，旨在為風險導向內(nèi)部審計在我國企業(yè)的應(yīng)用和落地提供可操作性的實施框架。

關(guān)鍵詞：風險導向;內(nèi)部審計;應(yīng)用性框架

中圖分類號：F239.5 文獻識別碼：A 文章編號：1001-828X（2019）018-0176-02

一、A集團內(nèi)部審計工作現(xiàn)狀與不足

（一）企業(yè)對內(nèi)部審計目標、職能及審計對象定位的認識過于狹隘，在審計實施階段也局限于主要對企業(yè)財務(wù)會計方面的審查。正如A集團年度審計計劃中提到的，A集團對內(nèi)部審計的目標基本定位為查錯糾弊。而非具有風險管理意識的現(xiàn)代風險導向內(nèi)部審計目標“改善企業(yè)風險管理、內(nèi)部控制和公司治理過程的效果，從而改善企業(yè)的運營、增加企業(yè)價值，幫助企業(yè)實現(xiàn)其目標”。A集團對內(nèi)部審計的審計對象的定位也局限于少量的內(nèi)控檢查和主要的財務(wù)檢查，而非風險導向內(nèi)部審計下的審計對象“對企業(yè)的風險管理、內(nèi)部控制和公司治理過程進行審計”。這樣一種對內(nèi)部審計工作的定位及認識的局限勢必會影響企業(yè)內(nèi)部審計工作效果的發(fā)揮。A集團內(nèi)部審計人員在審計實施階段對內(nèi)部審計項目的審計仍然較多停留在賬務(wù)的審查上，很少接觸到經(jīng)營管理的其他領(lǐng)域，尤其是對企業(yè)的風險管理、公司治理方面關(guān)注較少。

（二）獲取審計證據(jù)的審計程序過于單一，內(nèi)部審計的技術(shù)、方法相對落后，內(nèi)部審計工作底稿的編制隨意性大，難以保證審計質(zhì)量。A集團內(nèi)審人員在審計實施過程中主要實施的是細節(jié)測試，較少實施控制測試和分析性程序。A集團內(nèi)審項目組成員的工作底稿無可供參考的格式或模板，完全由內(nèi)審人員隨意編制，且這些工作底稿并不要求必須上交給A集團內(nèi)審部門存檔。內(nèi)審人員只需提交一份內(nèi)審報告給公司領(lǐng)導就可以了。這樣導致內(nèi)部審計工作的質(zhì)量完全依賴于內(nèi)審人員的個人素質(zhì)以及工作的積極性、自覺性。

（三）內(nèi)部審計報告描述性內(nèi)容多，風險評價方面內(nèi)容少，難以發(fā)揮幫助企業(yè)風險管理的作用。如對A集團某子公司的內(nèi)部審計報告，其內(nèi)容大部分為對該子公司企業(yè)基本情況介紹、企業(yè)的資產(chǎn)負債表、利潤表內(nèi)容的復述，描述性的內(nèi)容多;而關(guān)于被審單位企業(yè)整體層面內(nèi)部控制方面、具體業(yè)務(wù)層面內(nèi)部控制方面、企業(yè)風險管理方面存在的問題及風險管理的建議方面的評價性內(nèi)容則很少。

二、風險導向內(nèi)部審計方法概述

隨著經(jīng)濟社會的不斷發(fā)展，產(chǎn)業(yè)分工越來越細，市場主體間的經(jīng)濟聯(lián)系和協(xié)作關(guān)系越來越緊密。企業(yè)不僅會遇到來自內(nèi)部的戰(zhàn)略、運營、投資、財務(wù)等內(nèi)部風險，也會面臨來自外部的各種風險;不僅會受到國內(nèi)宏觀經(jīng)濟政策、行業(yè)競爭狀況的影響，也會受到國際經(jīng)濟形勢、國家間競爭形勢、地區(qū)局勢的影響。能否有效應(yīng)對各種風險，甚至決定著一個企業(yè)的生死存亡。內(nèi)部審計在企業(yè)風險管理中理應(yīng)發(fā)揮更大作用。隨著管理重心不斷前移，內(nèi)部審計也從以往的局限于賬務(wù)審計、側(cè)重于事后評價的財務(wù)審計逐步發(fā)展到關(guān)注未來風險、側(cè)重于事前風險防范和事中控制的風險導向內(nèi)部審計。

風險導向內(nèi)部審計主要是指企業(yè)內(nèi)審人員在內(nèi)部審計的全過程都應(yīng)關(guān)注企業(yè)風險，以識別、評估企業(yè)風險、提出風險管理建議為導向，根據(jù)風險高低水平排定項目的審計優(yōu)先次序，依據(jù)風險確定審計范圍與重點，并以此為基礎(chǔ)制定符合被審計單位具體情況的審計計劃。對企業(yè)的風險管理、內(nèi)部控制和公司治理進行評價，進而提出建設(shè)性意見和建議，協(xié)助企業(yè)管理風險、實現(xiàn)企業(yè)價值增值。風險導向內(nèi)部審計是降低審計風險和經(jīng)營風險，進行風險管理的一種有效工具。

然而，目前對于風險導向內(nèi)部審計的應(yīng)用無論從理論上還是實務(wù)中都尚未形成具有可操作性、可以落地的、符合我國企業(yè)實際的“標準”應(yīng)用框架指引。

三、風險導向內(nèi)部審計應(yīng)用性框架構(gòu)建

（一）風險導向?qū)徲嫹椒ㄔ贏集團年度審計計劃中的應(yīng)用

風險導向?qū)徲嫹椒ㄏ?，A集團內(nèi)部審計經(jīng)理在編制年度審計計劃時，應(yīng)該以企業(yè)整體風險為基礎(chǔ)，制定審計計劃，確定內(nèi)部審計活動的優(yōu)先次序。包括以下三個步驟：

1.識別企業(yè)戰(zhàn)略與目標。內(nèi)部審計人員可以通過對企業(yè)外部環(huán)境、企業(yè)內(nèi)部資源和能力的分析，對企業(yè)進行評估，確定企業(yè)的戰(zhàn)略目標，從而進一步判斷企業(yè)現(xiàn)行的企業(yè)目標是否科學、合理。其中的宏觀環(huán)境分析我們可以使用PEST分析方法;行業(yè)環(huán)境的分析，則可以通過行業(yè)生命周期的分析、波特的五力模型進行分析;SWOT分析方法也是對企業(yè)進行評估的一種簡單、實用的方法等。

2.識別與評估影響企業(yè)目標實現(xiàn)的企業(yè)整體風險。風險識別的方法有很多，如“頭腦風暴”法、情景分析法、專家調(diào)查法、分解法等;目前，學術(shù)界對于風險的評估方法主要有蒙特卡羅模擬算法、專家打分法、決策樹法、機網(wǎng)絡(luò)圖法和影響圖法等，其中專家打分法在實務(wù)操作中更勝一籌。

3.根據(jù)風險高低確定重點審計單位，安排被審計單位優(yōu)先次序，分配審計資源，制定年度審計計劃。

（二）風險導向?qū)徲嫹椒ㄔ贏集團內(nèi)部審計項目中的應(yīng)用

1.項目審計計劃階段的應(yīng)用

風險導向?qū)徲嫹椒ㄏ?，具體審計項目的審計計劃應(yīng)該以項目具體風險和總體審計計劃為基礎(chǔ)編制，確定審計范圍、審計重點。包括如下幾個步驟：

（1）了解被審計單位基本情況及其外部環(huán)境;

（2）列出影響被審計單位企業(yè)目標實現(xiàn)的備選風險要素;

（3）評估項目具體風險備選要素，確定關(guān)鍵風險要素;

（4）以項目具體風險和總體審計計劃為基礎(chǔ)制定項目審計計劃，確定審計范圍、審計重點。

2.審計實施階段的應(yīng)用

由于學術(shù)界關(guān)于公司治理、風險管理、內(nèi)部控制三者之間的關(guān)系仍存在爭議，但大部分學者是認為三者雖各有所側(cè)重，但三者間是密不可分，甚至可以視為完全相同的。本文作者贊同三者基本一致的觀點。風險導向內(nèi)部審計下對風險管理、內(nèi)部控制和公司治理三個對象的審計不用分別進行審計，只需完整地對其中一個進行審計即可，只是審計過程中要體現(xiàn)風險導向的思想及方法。

通常，一個完整的內(nèi)部控制框架（風險管理框架）應(yīng)當包括企業(yè)整體層面的內(nèi)部控制和具體業(yè)務(wù)層面的內(nèi)部控制。因此，內(nèi)部控制審計的內(nèi)容可以分為企業(yè)整體層面的內(nèi)部控制制度設(shè)計的合理健全性及運行的有效性，以及具體業(yè)務(wù)層面的內(nèi)部控制制度設(shè)計的合理健全性及運行的有效性。

在cosO發(fā)布的內(nèi)部控制整合框架與風險管理框架的基礎(chǔ)上，基本可以將內(nèi)部控制的五要素中的控制環(huán)境、風險評估、信息與溝通、監(jiān)控等四個要素作為整體層面內(nèi)部控制測試和評價的主要內(nèi)容，而將與具體業(yè)務(wù)層面控制聯(lián)系比較緊密的控制活動要素劃歸到具體業(yè)務(wù)層面內(nèi)部控制測試和評價中。雖然，嚴格說來，五個要素之間是相互滲透、相互作用，共同對企業(yè)產(chǎn)生影響的。但是考慮到內(nèi)部審計人員在實際審計工作中的可操作性，我們做出以上劃分。

所以，風險導向內(nèi)部審計方法下，審計實施階段進行如下兩個步驟：

（1）審計企業(yè)整體層面內(nèi)部控制

在coso發(fā)布的《內(nèi)部控制——整體框架》的基礎(chǔ)上，對企業(yè)整體層面內(nèi)部控制的審計主要包括對以下四個方面的測試和評價：對控制環(huán)境的測試和評價、對風險評估的測試和評價、對信息與溝通的測試和評價及對監(jiān)控的測試和評價。

（2）審計具體業(yè)務(wù)層面內(nèi)部控制

風險導向?qū)徲嫹椒ㄏ?，對業(yè)務(wù)活動層面的內(nèi)部控制的測試和評價，主要是按業(yè)務(wù)循環(huán)組織實施審計的，主要包括：對采購與付款循環(huán)內(nèi)部控制的測試和評價、對生產(chǎn)與倉儲循環(huán)內(nèi)部控制的測試和評價、對銷售與收款循環(huán)內(nèi)部控制的測試和評價等。

具體業(yè)務(wù)層面內(nèi)部控制測試和評價大致分為如下七個步驟：①調(diào)查業(yè)務(wù)循環(huán)內(nèi)部控制的基本情況;②繪制業(yè)務(wù)循環(huán)的流程圖;③執(zhí)行穿行測試;④繪制風險控制矩陣;⑤執(zhí)行控制測試;⑥執(zhí)行實質(zhì)性測試;⑦對審計發(fā)現(xiàn)進行風險分析，提出風險管理的初步建議。

3.審計報告階段與后續(xù)審計工作

（1）審計報告階段的應(yīng)用

風險導向?qū)徲嫹椒ㄏ?，?nèi)部審計人員要以對企業(yè)風險進行識別、評估為基礎(chǔ)提出相應(yīng)審計意見，提出風險管理的建議，出具審計報告，下達審計決定并通知被審計單位貫徹執(zhí)行?？煞譃橄铝袔讉€步驟：

①以風險評估為基礎(chǔ)提出審計意見和風險管理建議，出具審計報告;

②征求被審計單位意見;

③下達審計決定并要求被審計單位貫徹執(zhí)行。

（2）后續(xù)審計工作

后續(xù)審計是督促和保證被審計單位真正落實審計決定的重要環(huán)節(jié)，是切實發(fā)揮內(nèi)部審計幫助防范和降低企業(yè)風險的“最后一公里”。后續(xù)審計工作主要包括下列幾個過程：

①要求被審計單位定期上報審計整改報告，并核實風險管理建議落實情況;

②剩余風險再評估;

③分析未整改的原因;

④撰寫并提交后續(xù)審計報告;

⑤內(nèi)部審計文件歸檔;

⑥對內(nèi)審人員工作進行考核。

通過構(gòu)建風險導向內(nèi)部審計應(yīng)用性框架，使得現(xiàn)代風險導向內(nèi)部審計方法真正運用于企業(yè)，有利于改善A集團目前的內(nèi)審工作，切實發(fā)揮內(nèi)部審計防范和管控風險、助力實現(xiàn)企業(yè)目標的作用，也給我國其他企業(yè)具體實施風險導向內(nèi)部審計提供參考和借鑒。