试述风险导向内部审计在业务工作中的应用

试述风险导向内部审计在业务工作中的应用

吴胜军

吴胜军（湖北全洲房地产集团审计部）

摘要：风险导向内部审计是指内审人员在审计过程以企业风险分析评估为导向，根据量化的分析水平的结果，排定审计项目优先次序，并且依据风险的量化水平和重要程度确定审计的重点领域，经过实施专业的审计程序后对企业的风险管理、内部控制和治理程序进行评价，进而提出建设性意见和建议，协助企业管理风险，实现企业价值增值的独立、客观的签证和咨询活动。

关键词：奉献导向内部审计应用

0引言

风险导向在内部审计业务层面中也具有较强的应用意义，论述如下：

1明确业务目标

如同每一个企业都有自己的经营目标一样，每一个业务领域也同样有自己的目标。经营目标是运营管理人员和他们的员工要实现的目的。例如，在对采购系统进行审计时，企业通常设定采购系统的目标为“在规定的时间内，用适当的价格为企业采购来经营所需数量的货物和服务，运送到指定的地点，并且符合企业指定的质量标准”。这些目标都要通过经营程序或技巧来实现，内部审计人员可以根据不同的业务目标，来识别和评价影响其目标实现的风险。

2设定业务层面风险可接受水平

在对企业业务层面进行风险管理评价时，同样要设定风险可接受水平。通常情况下，业务层面风险可接受水平要比企业层面风险可接受水平低。同时，根据重要性的不同，不同的业务领域也有不同的风险可接受水平。例如，在会计系统中，现金管理的风险可接受水平通常比应收账款管理的风险可接受水平低。

3识别风险

内部审计人员在列示和识别业务层面的风险时，常用的方法也采取编制风险清单，但业务层面的风险清单要比战略层面的风险清单复杂。在风险清单上，每一个被审计的业务程序被分为单独的子程序、功能或活动，尤其单独的目标和风险，审计人员根据风险的两要素分别对每个风险进行打分和排序，以选定审计范围。

4选择审计领域

审计人员可以通过打分的方式来识别影响业务目标实现的高风险领域，将审计重点集中在固有风险高的领域上。审计人员应制定审计计划，合理分配审计资源，优先审计那些高风险领域，同时确保审计范围涵盖业务的所有固有风险超过可接受风险水平的业务领域。

5评价风险控制

在充分鉴别风险的基础上，内部审计人员要测试被审计单位现有内部控制（或风险管理政策和程序）的健全性和有效性，以确定影响业务目标实现的重要风险是否被控制在可接受水平下。目前企业使用的风险管理评价的方法有很多，如问卷调查、座谈会、流程图法、矩阵分析、COSO列举法等。以下介绍比较常用的三种：

5.1风险管理自评风险管理自评的方法就是要求审计人员与被审计部门管理人员组成一个小组，管理人员在内部审计人员的帮助下，对本部门风险管理的恰当性和有效性进行评估，然后根据评估提出审计建议，由管理者实施。

风险管理自评具有如下优点：对企业而言，风险管理自评提供了一个管理控制风险的工具，保证内部审计人员和管理人员共同对风险进行控制。这是综合地控制企业的各方面，包括相关的社会效益，使企业对风险管理有一个更全面的了解。不仅要考虑发现的问题，如何改进，促进各部门更有效的履行责任，管理人员参与风险管理评价使其对控制措施有更深理解，便于改进措施的落实，提供对控制及风险的持续评估与改进。

对管理部门而言，风险管理自评可以反映当前管理控制中存在的问题，也向高层管理部门表明他们对现存风险管理的态度，明确了管理责任，保证企业内部有良好的人员分工，使其更好的履行职责。

对内部审计而言，风险管理自评最重要的一点是让管理部门了解到对风险管理的责任，同时还可以提高审计的效率和效果，减少审计人员的工作量，节省了审计时间，降低了审计成本。

风险管理自评方法的缺点是得到管理层支持，主动识别并进行风险评价。同时双方对于风险理解上的不同也往往难以统一。

5.2风险管理矩阵风险管理矩阵法是审计人员根据企业经营目标、风险与控制之间的联系，为确保审计建议能针对重要的风险而建立的一张工作表。该表通常包括以下内容：明确企业的经营目标，审计人员对被审计事项的初步了解，根据初步了解的情况识别风险因素，该业务的固有风险，适当的控制措施，控制措施是否会影响其它目标的实现，业务的剩余风险，审计人员的评价和结论。

风险管理矩阵是把控制风险结合起来的一种工具，它确保每种风险都有相应的控制。内部审计人员通常在测试的最后阶段来做这个矩阵，其优点是可以全面直观地反映出该业务每一个目标的测试和评价，有助于识别和关注重要风险。

5.3数据库法收集风险数据是企业常用的风险评估法。内部审计人员通过收集业务相关数据，建立数据库，利用一定的指标来评估风险。数据库应包括企业的外部信息和内部信息，对于外部信息，内部审计人员可以利用社会上公开的信息资源，如利用有关行业协会的统计资料，了解和掌握本行业的发展情况，或通过信息网络了解国家政策、本行业或相关行业市场变化情况。对于内部信息的收集可以通过调查问卷、阅读企业的文件及合同、计划、财务报告、投资可行性分析报告等有关资料获得。内部审计人员通过设定相应的预警指标和临界点，对于收集来的信息进行监控，对于出现异常的业务领域及时作出反应，在风险事件真正发生之前，即对风险的成因进行控制，阻止风险事件的发生或使发生后的损失降到最低。

数据库法的优点是把企业面临的风险进行量化，发挥预警的作用，以便及早发现企业存在的问题，及时进行处理。内部审计人员通过访问数据库，了解哪里存在风险，风险的严重程度，并将风险按照重要程度进行排序。例如，审计人员以应收账款的回收期作为一个风险因素，通过访问数据库就可以查出所有存在应收账款超期的部门，并按照超过的期限和金额的大小进行排序。数据库法使得审计人员能够及早发现经营中存在的问题，并采取有效的控制措施。

6报告审计评价

在对一个业务模块的风险管理评价结束后，内部审计部门应出具专项评价报告，报告应当包括审计范围，设定的风险可接受水平，业务的固有风险水平，对该业务模块风险管理政策和程序有效性的评价，发现的问题、可能产生的影响、解决的过程、解决的结果、剩余风险，审计建议等。在审计报告中，审计人员应当对剩余风险超过设定的可接受风险水平的领域提出改进措施的建议，采用的方法有：避免风险、损失控制、分离风险单位、非保险方式的转移风险（包括转移风险源、签订免除责任协议、利用合同中的转移责任条款）、保险等。

在出具审计报告之前，审计人员应当就报告所包含的内容充分与被审计单位沟通，以提高审计工作的效果。审计报告应送达该业务模块所涉及的部门和风险管理部门并在审计部门留底备案，报告的周期根据业务模块评价时间确定。

7后续审计

由于种种原因，被审计单位有可能表面上认可审计结果，却没有采取任何实质性的改进措施，这不仅无法进行有效的风险管理，也会动摇内部审计在企业中的威信和存在价值。所以，后续审计就成了内部审计工作中的关键程序。

后续审计是指在审计报告发出后，内审人员仍然要为报告中所涉及的审计结果和审计建议进行跟踪，以审查和监督被审计单位是否采取了风险防范和控制措施。后续审计应该跟踪到：对于重大的审计发现，相关部门和环节是否予以纠正；若不予纠正，责任和原因到底在哪儿。为了便于企业高层理解审计部门的工作，保证审计建议有效落实，后续审计也必须有具体、详细的跟踪记录。跟踪记录应反映：审计结果和建议、责任人、截至到目前采取的纠正措施、未纠正的原因、计划采取的措施等。

后续审计仍然必须坚持风险导向和成本效益原则。如果风险较大或是潜在性的，不仅高层管理层要重视后续审计，内部审计人员也要投入时间、精力，拓展后续审计项目的深度和广度。反之，后续审计可仅限于询问和简短的讨论，以节约审计成本。