王梅茹

摘要：近年来，市场经济的快速发展对公司的经营管理能力提出了巨大挑战，企业所面临的风险日益加剧。本文以K公司为例，对其风险导向内部审计的运用情况进行分析，发现存在的缺陷并提出改进措施，进而对风险导向内部审计在企业的构建提出普遍性的建议。

关键词：内部审计；风险导向；风险管理

一、发展风险导向内部审计的必然性

作为公司的经济监督部门，内部审计部门需顺应发展，以风险管理为核心，不断调整自己的业务范围和审计目标。内部审计在评价公司的风险管理系统和内部控制系统的有效性、财务信息的真实完整性以及经营活动的效率效果等方面发挥了重要作用，审计目标从过去被动地查错纠弊，变为主动帮助企业增加价值。可见，风险导向型内部审计是现代企业对内部审计在风险管理、内部控制和公司治理方面提出的更高要求。

二、风险导向内部审计案例分析

K公司成立于1998年5月，是一家国有企业，以铜金属的地质勘探、采矿选矿、冶炼加工、进出口贸易为主业。公司自2006年开始构建全面风险管理体系，在此基础上，内部审计也借鉴了国外先进的审计理念与方法，开始从传统审计向风险导向审计的转型。

三、K公司风险导向内部审计流程

（一）风险评估阶段。这一阶段分为三个步骤：信息收集→风险识别→风险分析。内审人员首先了解K公司及其环境，确定信息收集的范围，然后通过会谈、发放调查问卷、组织研讨等方式对信息进行收集。在收集的信息基础上进行风险识别，确定重要性水平，对高于重要性水平的风险编制重大风险监控报告。对识别出的重大风险进行分级，识别出风险点，为审计计划的制定、审计程序的选择和实施奠定基础。

（二）风险应对阶段。这一阶段分两个步骤：计划审计工作→实施审计计划。首先由公司总部审计部向各分子公司下达编制审计计划的指令，分子公司根据具体的项目情况编制审计计划，包括制定审计实施方案，下达审计通知书等。接到审计计划后，项目组成员为达到审计目标确定拟实施审计程序的性质、时间安排和范围，以获取充分适当的审计证据，为下一阶段得出审计结论，出具审计意见奠定基础。

（三）内部审计报告阶段。在出具审计报告前，K公司内审人员就查出的问题与相关部门管理层及时沟通，听取其对问题的意见，是否有合理的原因解释问题的发生。提示责任人潜在的风险隐患，强化责任人的风险意识，落实整改责任。现场审计结束后，要依据审计实施阶段编制的审计工作底稿和相关资料出具审计报告，审计报告的内容包括审计过程，被审计单位的基本情况，实施审计的情况和审计发现的问题以及整改建议。

（四）后续审计阶段。K公司审计部根据被审计单位提供的《审计发现问题整改落实情况书面报告》核实整改情况，以评价被审计单位是否及时、有效的改进。进行剩余风险再评估，对于仍然存在的重大风险，内审人员需对责任人的整改措施实施持续督导，直至风险水平降至重要性水平之下。针对审计过程中识别出的共性风险，按照公司风险管理制度纳入风险数据库，保持风险数据库的实时更新。

四、K公司运用风险导向内部审计存在的主要问题

（一）内审人员对风险导向理念认识不足。K公司的内部审计目标是“发挥内审‘体检医生的作用”，主要是查错纠弊，而不是对企业的外部环境、经营状况和内控有效性等进行综合性的了解和评价，主动帮助企业增加价值，说明内审人员的风险意识仍然很薄弱。要想对公司的财务信息、风险管理、内部控制和公司治理进行全面审计，就需要复合型审计人才，既要掌握财务、审计、风险管理等专业知识，还要充分了解公司各方面业务活动，而现阶段审计人员的素质还达不到这一要求。

（二）风险评估应对机制不完善。在风险评估阶段，内审人员采取会谈、调查问卷及研讨会的方式评估风险，并且对风险进行分级也是运用职业判断将其分为高中低三个级别，这些方法是对风险的定性评估，对风险的定量评估不充分。由于风险评估过程不够详细，在风险应对阶段，内审人员按照审计计划实施进一步审计程序以应对重大错报风险时，无法持续关注风险的变化，因此也不能对审计计划进行及时的调整，致使这一阶段与风险导向的理念有所脱节。

（三）风险数据整合不充分。K公司拥有众多分子公司，风险数据往往需要先由分子公司的内审部门汇总各个业务部门的重大风险，形成风险库，然后再将数据汇总至公司总部审计部。由于这一过程的复杂性，数据的整合不能覆盖所有业务风险，难以形成系统的风险数据。审计人员需要投入大量时间整合被审计单位的风险数据，这必然会导致其他审计程序时间的缩短，影响了风险导向审计的效率效果，审计质量也会受到一定程度的影响。

（四）内部审计利用信息化程度不足。K公司是一家大型企业，业务范围较广，财务数据繁多，内控制度复杂，要想利用风险导向内部审计的理念高效率、高质量的完成审计工作，就需要充分利用信息技术的支持。为了强化风险导向的理念，K公司必须懂得利用信息化进行风险定量分析和风险数据的整合。截至目前，K公司仍然没有建立一个涵盖风险收集模块、风险自评模块、风险汇总模块、风险应对模块、内部控制评价模块等方面的一体化信息系统。

五、运用风险导向内部审计的相关建议

（一）强化风险意识，重新设定内部审计目标。企业需要定期开展有针对性的培训，引入风险导向理念的最新知识，以强化内审人员的风险导向意识，使他们充分认识到内部审计的目标不仅是强化控制提高效率，已逐步向规避风险、转移风险和控制风险转变。此外，内审人员需要丰富自身的知识储备，进行自我提升与完善。此外，还需要加强与各业务部门的沟通和交流，充分识别潜在风险，为更好的参与风险管理奠定基础。

（二）建立完善的风险评估应对机制。内审人员在进行风险识别的时候，往往是将重大风险定性而非定量。因此，内审人员需在了解公司及其环境的基础上，确定各个风险点对财务状况、经营活动以及战略目标的影响，运用一定的风险量化模型，对各个风险点进行评分，这样内审人员就会对识别出的风险拥有更加全面系统的了解。内审人员在实施风险应对程序的时候，可能获取到新的证据表明已识别出的风险重大程度发生改变，此时，应及时将改变风险水平，对审计计划做出调整，必要时还需要改变拟实施的审计程序。

（三）加强风险数据整合，完备风险数据库。这一点对于拥有众多分子公司的大型企业至关重要。建立完备的风险数据库是实现风险数据资源共享中必不可少的一环。企业应当根据自身的行业环境、业务特点，以不同的业务部门为单位，对现有的风险数据库进行动态的更改和扩充。内审人员在了解行业状况，法律环境，战略目标、经营风险，内部控制、业绩评价等方面的时候，需要利用风险数据库的支持，以更充分，更有效的识别和评估风险。同时，结合风险事件的重要性、发生的可能性、影响的广泛性对风险进行打分，根据打分情况对风险进行排序，当风险超过风险预警值时提示管理层实施有效的风险管控措施。这种风险预警机制大大减少了内审人员的工作量，帮助企业及时发现和防范风险。

（四）有效利用信息化技术，提高审计效率。随着审计信息化进程的加快，信息化在审计过程中发挥的作用已经不言而喻，有效利用内部审计信息化系统实施审计必将成为内部审计技术发展的趋势。公司应当积极开发和引进信息化审计技术，对内审人员进行计算机知识的培训，培养既懂审计业务，又懂信息技术的复合型人才。也可以为审计部门配备信息技术方面的专家以及利用审计软件的工作。信息化审计技术突破了传统审计在时间、地域、工作上的限制，不仅加快了风险导向内部审计的发展，也大大提高了内审人员的工作效率。（作者单位：广东工业大学）

参考文献：

[1]王星.企业风险导向下内部审计理论分析及其应用[D].财政部财政科学研究所，2012

[2]李超.《风险导向型内部审计探究》.会计师[J]，2011年4月

[3]张庆龙：《中国内部审计发展中的几个现实问题思考》，《会计之友》，2014年第3期