风险导向内部审计实务探索

风险导向内部审计实务探索

中国石化审计局北京分局课题组

课题组成员：王永波 连杰兴 康月东 周建华 戚家勇

胡肖丽 常 红 程启贤 王淑琴 王书炜

【内容摘要】本文从辨析风险导向审计与风险管理审计、内部控制、其他审计项目类型之间的关系入手，阐述了风险导向审计在审计实务中应用的一般思路和程序，指出现阶段开展风险导向审计存在全面风险管理体系、风险评估方法和技术等4个方面的难点，并提出5个方面的应对策略和具体措施。

【关键字】风险导向审计 实务 难点 对策

作为一种审计理念和方法论，风险导向审计已经在众多企业内部审计中开始探索和应用。如中国石化在2008年提出“以风险为导向，以内控为主线，以治理为目标、抓重点”的审计指导思想，并以此开展内部审计工作，取得了良好成效。但风险导向审计有其核心要素、机制和专有的方法和技术，与审计实务相结合，当前还存在诸多难点和问题。本课题报告首先在理论上作一个简单的讨论，澄清与审计实务有密切关系的几个问题，然后主要探讨风险导向审计在企业内部审计实务中的应用、遇到的问题和难点，并提出应对措施。

如无特别指明，本报告所称审计为企业内部审计，主要以中国石化为蓝本；风险管理指企业全面风险管理；风险导向审计指现代风险导向审计。

一、几点理论辨析

近年来，审计理论探讨如火如荼，新旧概念频繁更迭，专业术语层出不穷。如内部控制审计、制度基础审计、风险导向审计、风险管理审计等，让人目不暇接，甚至无所适从。在这些理论探讨中，还存在概念混淆不清、偏颇观念频出、与审计实务难以有机融合等问题。如有的把风险导向审计与风险管理审计混为一谈；有的唯“新”为大，新的就是好的，新的就是先进的，认为制度基础审计已不合时宜，风险导向审计需另起炉灶；等等。理论和认识不清，可能会影响风险导向审计的开展和深入应用。

（一）风险导向审计与风险管理审计的比较。

风险导向审计与风险管理审计的内涵截然不同。

风险导向审计是继账项基础审计、制度基础审计之后的一种新的审计模式。它通过综合分析、评审影响企业经济活动的外部的和内部的各种因素，识别、分析和评价企业风险，并根据量化的风险水平确定审计计划以及实施审计的范围、重点和程序，把审计资源主要投向高风险领域和环节，确保审计风险控制在可接受水平。这里的风险主要是指审计风险，以对企业风险的识别、分析与评价为起点，归结到对审计风险的管控。风险导向审计的服务对象主要是审计部门和审计人员。

风险管理审计的含义是“对企业的风险管理进行审计”，企业的风险管理包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统等，是审计的客体和对象。风险管理审计要对这些方面作出独立审核和评价，以提高企业全面风险管理的充分性、适当性和有效性。风险管理审计服务的对象是企业，是内部审计部门作为企业全面风险管理“第三道防线”发挥职能的一种重要方法和途径。

再直白一点讲：风险管理审计与经济责任审计、财务收支审计等一样，是一种具体的审计项目类型，有特指的审计客体；风险导向审计不是一种具体的审计项目类型，而是一种审计理念、一种审计模式、一种审计方法论，它需要与经济责任审计、财务收支审计等具体审计项目类型结合起来，以提高具体审计项目类型的审计质量、效率和效果。“风险管理审计也要以风险为导向”，这句话比较突出地体现了二之间的区别。

风险导向审计与风险管理审计又有诸多相似之处和密切的联系。首先，二者的起点相同，都是从了解企业经营环境和经营活动入手，以企业战略分析为逻辑出发点，界定企业风险范围、评估风险。其次，二者最终的目的相同，都是为企业实现既定目标服务，为企业增加价值服务。第三，二者采用的评估风险的具体方法和技术相同。

（二）内部控制审计与风险导向审计、风险管理审计的关系。

内部控制是制度基础审计的基础和核心，是企业风险管理的重要机制之一，在风险导向审计中仍然起着不可替代的重要作用。要弄清内部控制审计与风险导向审计、风险管理审计的关系，首先要弄清内部控制与风险管理的关系。

按照管理学理论，控制是管理的职能。企业全面风险管理是在企业管理中引入风险的概念和风险评估的技术方法形成的。因此，内部控制应是风险管理的一个职能，是风险管理的一个重要机制和子系统。国资委《中央企业全面风险管理指引》，明确指出全面风险管理体系包括内部控制系统。对比COSO发布的《企业内部控制—整体框架》和《全面风险管理—整合框架》两个研究报告，也可以看出，内部控制是风险管理的一部分。风险管理和内部控制都以企业的经营管理活动为载体，但风险管理的重心在战略管理和决策层面，主要关注企业目标实现过程中的不确定性；而内部控制的重心在管理和执行层面，主要关注不相容岗位是否分离。内部控制的设计和执行应满足风险管理的要求，而风险管理在很大程度上依赖于内部控制的设计和执行。当出现高管层舞弊和合谋舞弊的情况时，内部控制会失效，需要用风险管理的方法来弥补。二者在发展过程中不断趋于融合。

实务中，内部控制审计有两种方式：一是作为一种独立的审计项目类型，由企业内审部门负责组织和实施，对企业内部控制的健全性和有效性进行独立的监督检查和评价，一般称为内部控制独立审计评价。二是作为一种审计技术和方法应用于各类审计项目，用以选择审计重点、评估审计风险、确定实质性测试的方向、范围、时间和强度，可称为内部控制测试，包括健全性测试和符合性测试（穿行测试）。

通过以上分析，我们可以得出如下结论：内部控制独立审计评价是一种具体的审计项目类型，其计划和实施要以风险为导向，评价企业内部控制现状，揭示控制风险；风险管理审计是内部控制独立审计评价的发展和延伸；内部控制测试是其他审计项目类型应用的一种重要方法和技术，风险导向审计是对内部控制测试的升华。风险管理审计和风险导向审计保留了内部控制审计的全部合理内核，对内部控制的了解和评价的要求是加强了，而不是削弱了，但对内部控制的了解和评估服从于评估风险模型中的控制风险的需要。

（三）风险导向审计与其他审计项目类型的关系。

风险导向审计是一种理念，一种方法论。认同了这一点，则风险导向审计与财务收支审计、经济责任审计、管理和效益审计等其他审计项目类