基于风险导向的企业内部审计研究

胡彪

摘 要 目前，虽然我国已引入风险导向内部审计，但是大部分企业的内部审计还处在传统审计阶段。本文对风险导向内部审计进行了深入的分析，明确了风险的实施过程以及注意事项，帮助企业更好地开展风险导向内部审计。

关键词 企业 风险导向 内部审计 风险管理

一、风险导向内部审计的特征

（一）保护企业利益，实现企业价值最大化目标

现代企业的目标是实现企业价值最大化，而风险导向内部审计在与其他部门的合作下能够帮助企业实现这一目标，但是目前企业内部审计存在的财务、业务和管理方面的内部审计，没有从全局进行考虑。内部审计在业务导向阶段的目标是提高管理控制和业务活动的效率，为企业带来更多的利润；内部审计在管理阶段的目标是增强决策的科学性、可行性和准确性，帮助企业提高获利能力和经营能力；内部审计在财务阶段的目标，是严格检查财务工作中存在的问题和错误，并及时改正，有效保护企业的利益。这些内部审计目标与企业的目标存在差异，从而无法发挥出最大作用。

（二）帮助企业节约资源，提高审计质量

与之前企业以审计测试为中心的内部审计模式不同，风险导向审计模式以风险识别和评估为中心，该模式站在企业目标的角度上，对可能影响企业实现目标的风险进行识别和评估，然后再编制相应完善的控制措施，并明确需要投入的审计资源，最后测试所编制的控制措施能否控制风险，从而有效地帮助企业在节约资源的同时提高审计质量。

（三）帮助企业实现各项业务活动的目标，有效控制风险

企业的每一项业务活动都会产生一定的结果，而这个结果会指向一个具体目标。风险导向内部审计正是通过风险管理、内部控制和治理程序来保证各项业务的顺利进行，从而实现业务活动的目标，而企业通过各业务活动目标的实现来实现企业的最终发展目标。所以，风险导向审计必须渗透到企业的每一项业务活动中，严格执行风险导向审计的风险管理、内部控制和治理程序，对各项业务活动中的风险进行准确识别和评价，有效地控制风险。

二、风险导向内部审计的实施过程

（一）以实现组织目标为中心开展各项业务活动的具体目标

企业通过实现各项业务活动的具体目标保证各项业务活动顺利进行，从而实现企业的目标。所以，企业的内部审计人员必须熟读企业规划、年度计划、组织章程、预算，并且与高级管理层保持紧密的联系，深入了解组织的目标，从而对企业各项业务流程进行深入的分析和梳理，保证各项业务活动的目标能够与企业内部控制要实现的四大业务活动具体目标保持一致，即经营效率和效果、资产安全、财务报告和相关信息真实完整以及经营管理合法合规，从而保障各项业务活动最大限度达到预期效果。

（二）规范化风险识别，有效识别风险，实现组织目标

对于风险导向审计来说，识别风险是其关键环节，而风险的识别需要与企业的内外部环境、组织目标和各项业务活动的具体目标紧密联系，并与企业的上级部门和被审计单位相关业务人员保持紧密的沟通。企业识别风险可以采用专业的分析方法，如COSO列举法、PEST分析、波特五种力量分析模型、SWOT分析和矩阵分析等，同样企业也可以采用传统的分析方法，即调查问卷法。企业在识别风险时可以从两个层面进行，分析影响具体业务活动具体目标实现的具体因素，从而直接进行风险识别并评估；分析影响企业目标实现的因素，并将该因素落实到具体业务活动或具体的目标上，再进行风险评估，无论从哪个层面进行风险识别，最终都必须落实到实际的业务活动中。

（三）规范化风险评估，明确风险关键控制点

企业目标通过完成每一项业务活动来实现，而每一项业务活动由一个或多个环节组成，在所有的环节中存在着一个或几个关键环节，而这些关键环节就是企业风险导向内部审计的关键控制点。企业在进行风险导向内部审计时可以采用定性与定量结合的评估方法，如风险坐标法、关键风险指标管理法、蒙特卡罗法和压力测试法，从风险对目标可能直接造成的负面影响或风险发生时产生的负面结果对目标造成的影响进行科学评估，并对每项业务活动的风险评估结果进行排列，明确每项业务活动风险控制的关键控制点，从而使内部审计人员合理配置审计资源，保障企业的业务活动顺利进行。

（四）测试控制措施的有效性，确保控制措施的有效执行

在进行了科学的风险评估后，企业需要根据成本效益原则来设计相应的控制措施，并对控制措施的合理性和完整性进行现场测试。企业要想有效地控制风险，控制措施则必须涵盖各项业务活动中所有的关键控制点，如果关键控制点没有得到有效控制，该控制措施就存在缺陷，无法发挥作用。在进行控制措施有效性测试后，企业需要测试控制措施是否有效执行，而这一环节需要建立在合理设计的控制措施之上，内部审计人员了解控制措施是否有效的途径有询问、检查、监盘、函证和分析性复核，从而在获得控制措施有效的审计证据后有效地执行控制措施，有效控制风险。在执行控制措施后，企业需要明确没有得到控制的剩余风险，如果企业实现了有效的风险管控，则剩余风险就会很少，如果风险控制和管理没有得到有效执行，那么剩余风险就会变多，最后，企业需要对剩余风险造成的损失进行计算。

（五）保持紧密沟通，提出合理意见和建议

企业需要与被审計单位保持紧密的交流，在进行现场测试后对剩余风险造成的影响进行评价，并整理审计证据，对审计工作底稿进行再一次复核，在充分征求被审计单位的意见的情况下，提出相应的审计意见和建议，并制成审计报告，将报告发送给相关人员，并进行详细记录。

（六）规范化审计反馈，实现高效的内部审计

风险导向内部审计中的审计反馈是重要环节，企业需要对审计中存在问题的性质以及重要性、纠正措施的复杂性、落实纠正措施要花费的成本和期限以及纠正措施失败造成的影响进行深入分析，从而在充分考虑被审计单位的时间要求和业务安排的基础上，决定是否一并执行单独后续审计或进行其他项目审计。

三、风险导向内部审计在实施过程中需要注意的事项

（一）优化企业内部审计机构，保证内部审计的独立性

内部审计机构包括受企业总裁或总经理、董事会、监事会、会计师或财务总监领导的四种类型，而不同领导形式下的内部审计机构所处的地位不同。我国的内部审计机构基本是在董事会下设立审计委员会，通过审计委员会管理企业内部审计各项事务。在此模式下，企业内部审计机构主管需要向组织首席执行官和董事会、审计委员会或相关治理机构分别报告行政工作和职能工作，从而保证了企业内部审计的独立性。

（二）合理安排审计人员，保证审计的全面性

风险导向下的内部审计，要求审计人员必须熟练掌握相应的会计和审计知识、法律知识、风险管理技术、数理统计知识、概率理论知识、现代信息技术知识等，所以，企业在审计人员的安排上必须涵盖以上所有必备知识，其理想构成为经济管理专业、工程技术专业、其他专业，三者的比例为1∶1∶1。

（三）构建完善内部审计制度体系，并结合风险管理

企业必须建立完善的内部审计制度体系，主要体现在企业内部审计制度和章程、内部审计机构内部管理规定和内部审计部门与其他部门的沟通管理制度三个方面。同时，企业需要将内部审计与风险管理进行有机结合，有效推动两者工作，实现高效风险导向内部审计。

（作者单位为中国邮政集团公司安徽省分公司）

参考文献

[1] 李琴.现代风险导向审计模式下的企业内部审计研究[D].山西财经大学，2014.

[2] 冯勇.基于风险导向下金地集团内部审计问题研究[D].辽宁大学，2015.

[3] 刘蔚.风险导向内部审计模式在W公司的应用研究[D].云南大学，2015.