基于风险管理的内部审计全过程管理

2017-12-23姚琦

审计与理财 2017年3期

姚琦

基于风险管理的内部审计全过程管理

姚琦

一、引言

随着社会经济的发展，企业在面临着机遇的同时也面临着许多风险。为了降低企业面临的风险所带来的损失，做好企业的风险管理，内部审计起着至关重要的作用。风险管理已成为了企业管理的核心，也是企业内部审计的重要内容和关键因素，基于风险管理的内部审计，有助于企业提高风险管理水平，促进企业实现发展目标。审计全过程管理是保证内部审计质量的重要前提，将风险管理融入审计全过程更有利于提高审计效率。本文基于风险管理视角下内部审计全过程管理的研究，将内部审计研究的发展推向一个新高度。

二、风险管理与内部审计有机结合

企业风险管理是指企业管理风险、抓住机遇、达到目标的方法和流程。通过风险管理，企业对与目标有关的风险及机遇事件进行管理，评估其发生可能性、规模，确定反应机制，监控流程，最终保护企业及股东价值。内部审计是指一种独立、客观的确认和咨询活动，其目的是在增加价值和改善组织的运营。内部审计通过运用系统和规范的方法，评价并改善企业的风险管理、内部控制和治理过程的效果，帮助企业实现发展目标。

从上述两者的定义可以看出，风险管理与内部审计存在着密切关系。

（一）风险管理与内部审计的目标具有一致性。

风险管理直接有助于企业实现目标。风险管理识别可能对企业造成潜在影响的事项，在风险偏好范围内管理风险，为企业实现目标提供合理的保证。内部审计的目的是为企业增加价值并提高机构的运营效率。尽管内部审计部门不直接从事企业的具体生产经营活动，审计人员在审计过程中通过收集资料、识别并评价风险，站在全局的角度客观地审视企业的经济活动，通过审计报告、管理建议书的形式向企业高层管理者汇报审计结果，帮助企业找出各种风险因素，还可以将这些有价值的信息应用于日常的经营管理活动，从而达到降低风险和增加企业价值的目的。

（二）风险管理与内部审计的内容存在相互交融。

2004年4月，美国COSO委员会结合《内部控制整体框架》和《萨班斯——奥克斯法案》,颁布的《企业风险管理框架》将风险管理的要素分为八个：内部环境、目标制定、事件识别、风险评估、风险反应、控制活动、信息与沟通、监督。其中，以内部审计为核心的监督是风险管理的重要组成，内部控制制度的实施是否有效需通过监督来检查督促。内部审计经历了账项导向、控制导向等发展阶段，逐步形成了风险导向的审计思想，在内部审计中大量地运用风险识别、风险评估、风险分析、风险分配等方法，对企业的风险充分关注和重视。从上述内容来看，内部审计与风险管理在内容上存在极大的相互交融性。

（三）风险管理与内部审计之间相互促进。

企业在财务管理、业务经营等方面都存在着潜在风险，要求企业必须谨慎地识别各种潜在风险并加强管理。内部审计发展至今，“评价和改善风险管理”已成为内部审计的重要工作领域，提供咨询服务、评估和改善风险管理成为内部审计的重要职能。因此，企业风险管理必然要将内部审计纳入自身体系，把内部审计作为风险管理的一道重要防线。风险管理重要性与日俱增，为内部审计提供了更广阔的天地；内部审计的发展和增值建设，为风险管理提供了更多思路和方法。

通过以上分析，不难看出，内部审计与风险管理存在相辅相成，互为促进的关系，将两者有机的结合，形成基于风险管理的审计全过程管理，将会极大提升内部审计的能力，从而更好地为企业提供增值服务，最终实现企业价值。

三、基于风险管理的内部审计全过程管理

（一）内部审计的全过程。

审计过程是指审计项目从开始到结束的过程中，审计人员所采取一系列的工作步骤。内部审计通常包括审计的启动阶段、准备阶段、实施阶段、报告阶段、后续阶段几个过程。启动阶段是指内部审计部门经企业监督层批准和授权后，确定具体的审计对象。准备阶段是指内部审计部门经过初步的审前调查制定总体审计策略以确定具体审计目标和审计范围，制定具体审计计划保证审计工作得以有效地执行，但审计计划工作贯穿整个审计过程，需要根据审计持续开展情况进行不断修正的。实施阶段是指审计部门根据收集的审计资料，实施必要的审计程序，获取充分、适当的审计证据，以覆盖审计范围、完成审计计划、实现审计目标的过程。报告阶段是指审计部门根据审计实施阶段执行审计程序所获取的各种审计证据，合理运用职业判断，形成恰当审计意见后通过书面形式审计报告来反映审计结果。对于审计发现，内部审计部门可以根据需要确定是否要形成管理建议书。后续阶段是审计部门为了进一步跟踪审计决定或者建议的整改落实情况进行跟踪以及对审计资料整理、归档和总结。

（二）风险管理的审计全过程管理具体运用。

审计管理是对审计实施的过程进行梳理和规范，通过审计全过程的流程管理，一定程度上规范、严格了审计程序，将风险管理的思路贯穿流程管理始终，从而达到管理审计风险的目的。具体应用如图所示。

1.启动阶段——风险评级，确定项目。

内部审计部门通过对企业内部单位的分析测评，确定风险等级，将分析结果提交决策层，根据风险高低，确定年度审计项目计划。在评价标准上，内部审计部门可以借鉴国际内部审计师协会的“内部审计实务标准”、巴塞尔银行监督委员会的“银行内审及监管当局与内外审的关系”、2002年Turnbull委员会颁布的公司行为准则等内容，并根据企业实际情况，设定量化评分表，对风险测试结果来排期审计项目。

2.准备阶段——风险预估，制定计划。

在审计准备阶段，内部审计部门搜集相关资料，了解被审单位及其环境，对治理结构、组织结构、经营活动、会计政策、行业现状等进行分析，从而进一步预估风险。审计部门按不同风险等级提供不同的审计方案，如预估应收账款存在较高风险，根据该风险等级，测算出审计抽样的样本量。

3.实施阶段——风险测试，计划修订。

进入审计实施阶段，内部审计部门通过风险测试，对被审对象的风险有了重新认识，如果与预估的审计风险存在较大差异，则需在调整审计计划。如对高风险领域，对审计人力资源统筹调配，追加审计力量，实施低风险的审计方案。在审计实施的过程中应充分运用各种工具，如数据工具、审计预警、审计查证、审计抽样、数据分析、数据汇总等。通过审计工具来规范审计工作过程，提高审计效率。在执行审计作业时，通过执行内部控制测试、实质性程序来识别风险、控制风险。

4.报告阶段——风险报告，管理建议。

提供审计报告是内部审计部门重要的价值所在。通过审计实施阶段获取的各类审计证据形成的审计底稿，审计底稿对审计过程中的相关风险进行记录，形成被审单位的风险报告，内部审计部门并据此提出管理建议，有的放矢，为企业提供更好的增值服务。

5.后续阶段——风险追踪，经验积累。

审计项目结束后，内部审计部门可能会根据企业需要，对被审单位实施跟踪审计。在跟踪审计中，内部审计部门通过调阅与风险相关的工作底稿，以风险为主线，能够事半功倍，提供审计效率和效果。此外根据审计项目的经验可以整理法律法规库、审计案例库、底稿库等资源。相关的法律、法规、制度是审计人员执业的依据，不断更新的专业知识是审计人员执业质量的重要保证。同时，审计过程中针对重大风险发现的问题、对发现问题的处理、问题存在的原因等可以作为审计经验充实到审计案例库中，作为长期的积累。