内部审计如何开展风险导向审计

试论如何开展风险导向审计保证企业健康有序发展——风险导向审计与传统审计相结合的实践与体会

中国一拖集团有限公司审计部韩旭东

内容摘要：随着现代企业制度的建立和完善, 企业经济活动将逐步走向正轨并呈现有序状态，经济违规现象逐步减少，在现代企业制度下，企业生存、发展的竞争核心是经济效益，只有加强管理、控制风险，使经营在竞争中不断得到改善和加强，才能健康有序地发展。这就要求内部审计利用其职能开展风险导向审计来满足企业在激烈的市场竞争中的需求,满足企业通过规避风险，提高经济效益。因此，风险导向审计越来越成为内部审计的重要内容，同时也是内部审计的发展方向和趋势。

关键词：管理控制风险审计

在市场经济条件下，要使企业在激烈的市场经济中具有抗风险能力，企业必须更加注重经营过程的风险防范意识。根据美国COSO委员会《企业风险管理框架》的要求，建立风险管理体系包括相互关联的八个风险管理要素，既：信息和沟通、监控、控制活动、风险反应、风险评估、事项识别、目标制定、内控环境，各要素贯穿在企业管理过程中，为实现企业目标提供保证。内部审计作为一种自我诊断，自我约束制度，是风险控制的重要组成部分，而风险导向审计是以开展内部控制制度评审为主线，通过审核和评价被审计业务单元经济业务和管理活动存在的或潜在的薄弱环节，经济资源的利用状况，以确认企业的战略思想、经营目标、经营决策是否得到贯彻，管理制

度、标准是否得到遵循，资源利用是否经济、有效，并以此对企业的经营管理工作提出审计评价和改善内部管理的要求、建议，来达到降低经营风险，促进提高经济效益的目的。以下本人就结合本企业实际，谈几点风险导向审计与传统审计相结合的实践与体会。

一、开展风险导向审计是企业改革和发展的内在需要，也是内部审计自我发展的需要，是内部审计发展的必然趋势开展风险导向审计是企业改革和发展的内在需要。在现代企业制度下，企业生存、发展的竞争核心是经济效益，要想获得高效益，其产品必须在相应的领域中具有竞争优势，而改善和加强内部管理，是使企业提升竞争优势、获得高效益的重要手段。风险导向审计正是为适应企业在市场竞争中的新需求而产生的，是企业改革和发展的内在需要，风险导向审计已经在理论与实践方面正得到理解和认同，逐渐成为企业内部管理和经济发展的客观需要，管理者需要借助风险导向审计的职能作用来满足企业在现代市场竞争中的新需求，因此，开展风险导向审计已经成为企业为适应新的体制、调整组织结构、加强管理、完善控制、建立现代企业制度的必然选择。

开展风险导向审计是内部审计自我发展的需要。传统的企业内部审计主要是通过查错纠弊为主的财务审计来发挥作用的，其立足点着重放在监督而并未放在服务上，视点着重放在财务领域而未顾及管理及经营领域，这必然限制了内部审计作

用的发挥，如果单纯从财务角度以账面财务信息为审计对象，揭露违规违纪问题，片面强调监督职能，就很难适应现代企业制度下资产所有者及企业管理者对审计职能的需求，因为，管理中的决策失误、管理中的漏洞和潜在的隐患、经济运行质量低下所造成的损失或风险远比违纪违规问题要严重得多，资产所有者及企业管理者更关注因管理缺失带来的严重后果，更需要通过审计来改善管理，规避因管理缺失造成损失浪费的风险。而传统审计的职能是难以满足这一需求的，如果内部审计仅满足于传统审计的监督职能，就无法适应现代企业的发展对审计职能的监督、咨询、服务的多重需求，企业则可能选择委托社会审计从而危及到内审机构的生存。因此，内部审计要寻求自身的生存空间和长远的发展目标，就必须以立足于服务企业为目的,从传统的财务审计向风险导向审计延伸。

内部审计部门作为企业的一个内部组织机构，更具有开展风险导向审计的“天然”优势。首先，非常了解企业的经营环境、熟知企业的经营活动，可以随时掌握企业内部经营活动及其变化的第一手资料，因此，内部审计提出的改进意见和改进措施针对性强，更具体可行性；其次，内部审计与企业有着共同的目标，两者之间更便于沟通和理解，企业经营层也能够态度积极、主动配合，使审计工作顺利开展；其三，内部审计机构在风现导向审计时，在帮助企业分析问题产生原因的同时，能够提出具体可行的建设性意见，并督促企业进行整改，帮助

其建立和完善内部控制制度、设置严谨科学的各项业务流程，使企业能充分挖掘内部潜力，改善经济运行的质量，促进企业提高经济效益。

二、开展风险导向审计的思路与方法

企业管理活动的基本职能一般可归纳为：决策、组织、领导、控制、创新等五种，这些基本职能是通过管理者的管理活动贯穿企业经营过程始终。因此，企业管理是生产经营的全过程管理，企业经营活动的业绩好坏，重大决策的成败、经营目标能否实现、经营方针和政策是否得到贯彻执行等，其根本取决于管理方法的科学性、合理性及管理水平的高低，取决于企业内部自我约束能力的强弱。风险导向审计就是要通过审查企业在决策、组织、领导、控制等全方位的、涉及到各个层面的管理职能,对企业的管理状况做出评价。鉴于我们集团公司内部审计人员主要擅长财务方面专业技术的特点，要拓展风险导向审计，就必须在力所能及的前提下找准切入点，以传统审计为依托尝试向管理的深层延伸。因此，我们把开展风险导向审计的近期目标及工作的切入点设定为：以财务审计为基础，用不同于财务审计的审计视角，开展以内部控制制度评价为主线，按照企业经营业务循环的脉络，从某一业务循环或某一个专项入手，沿着其涉及的内部控制、岗位设置、业务流程、信息传递、工作效率等多方面进行测试、评价，确定其业务循环及内控制度的健全、适用、有效性。

根据《内部审计实务标准》对内部审计的定义：内部审计是一种独立、客观的保证与咨询活动，目的是为机构增加价值并提高机构的运作效率。它采用系统化规范化的方法来对风险管理、控制及治理程序进行评估和改善，从而帮助机构实现其目标。由于风险导向审计涉及内容较广，开展风险导向审计的方法也各有侧重。目前，我们企业内部审计将风险导向审计定位在内部控制制度评审方面，因此，本人就简要阐述一下内部控制制度评审的基本方法。

对内部控制制度的评审可按业务循环，采取抽样方法进行。主要程序和方法包括：

（1）调查内控环节，评价其健全性，初步判断控制风险

对被审计单位进行审前调查，了解被审计单位的内部控制系统，初步评价它的功能和效力。方法主要有：通过收集、查阅组织机构、职责分工、工作流程、内部控制制度等相关书面资料；与有关人员座谈、询问、实地观察等方法，初步判断被审计单位内部控制风险如何，有哪些关键环节控制措施是比较薄弱的，从而确定审计目标和重点，初步拟定审计方案（2）测试内部控制的执行，评价其有效性，据控制风险水平及内部控制的缺陷确定进行实质性测试的重点和范围对被审计单位的内部控制系统进行审查和测试，主要应对不相容职务相互分离控制；授权批准控制；审核审批控制；业务流程控制；预算控制；实物管理控制；会计系统控制等内部