■蒋中明

我国经济发展进入新常态以来，宏观经济发展面临速度换档、结构深度调整、新旧动能转换；微观经济企业经营环境恶化，各种问题和风险层出不穷，这在客观上要求企业加强风险管理。风险审计作为企业风险管理的一种重要手段，是企业主动适应经济新常态对内部审计机构提出的必然要求。

一、开展风险审计的意义

风险审计作为现代企业风险管理机制的一个重要组成部分，承担参与管理层识别、评估企业风险，对企业风险管理机制进行审核、评价、监督，并根据评价结果提出改进建议的职责。内部审计机构直接对董事会和总经理负责，不从事直接经营活动，能够客观真实地识别风险，能够站在全局的高度系统全面地评估风险，能够迅速果断地处理风险。开展风险审计是我国企业内部审计的发展方向，对加强企业管理，提高经济效益，具有十分重要的意义。

二、风险审计理论概述

企业风险审计是指企业内部审计机构采用一种系统化、规范化的方法来进行以测试风险管理信息系统、各业务循环以及相关部门的风险识别、分析、评价、管理及处理等为基础的一系列审核活动。对机构的风险管理、控制及监督过程进行评价进而提高它们的效率，帮助机构实现目标。

风险审计与审计风险的概念和内涵截然不同。审计风险是指审计行为本身带给审计人员及审计机构的职业风险，审计风险概念的提出主要是帮助审计机构及审计人员在审计项目选择、审计实施、发表审计意见识别风险、评估风险进而规避风险。风险审计是企业内部审计机构针对企业经营管理面临的风险而开展的审计活动，是一种审计类型。风险审计与经营业绩审计、经济责任审计一样，是根据审计的客体和对象不同而细分出来的一种审计类型。

风险审计与内部控制审计既有联系又有区别。联系是内部控制制度的建立和执行应该符合风险管理的要求，而风险管理也是内部控制的建立和执行的职能和范围。区别是两者审计重点和审计角度上有所不同。内部控制审计主要查找和评估业务流程内部控制的缺失和薄弱环节，目的是建议经营管理人员针对这些业务流程内部控制的缺失和薄弱环节进行完善和严格执行；风险审计主要查找和评估企业经营管理活动中的风险点，目的是建议经营管理人员针对风险点进行必要管理。

三、风险审计实践中的几点思考

目前，风险审计在我国还处在起步阶段，理论尚不完善，实践中风险审计项目开展比例较低，比较成熟的案例不多，风险审计的审计立项、审计内容、查证步骤和方法也尚在探索过程中。

1.审计立项。风险审计可以单独立项审计，也可以作为其他审计项目中的一项审计内容的形式审计。被审计对象可以是某个二级单位、某项经营活动或某个方案，也可以是一个独立的过程或活动。内部审计机构作为企业的内部管理机构，最好不要对公司高层及同级职能管理部门进行风险审计，对公司高层及同级职能管理部门进行风险审计，披露审计问题、发表审计意见，审计人员、审计机构或多或少会存在顾虑，难以保证审计的独立性和客观性。风险审计也尽量不要选择那些内部拨款或受到内外部政策保护的二级单位，因为对那些单位开展风险审计没有实际意义，浪费宝贵的审计资源。

审计机构在审计立项前应进行审前调查，初步评估被审计单位面临的各种经营管理风险，在风险评估的基础上根据风险大小和风险暴露优先次序，以及结合审计资源、审计限制条件、审计环境及其他要素安排审计项目。如果没有特别原因，审计顺序应该按照风险大小来排列，风险大的先审，风险小的后审或不审。

2.审计内容。企业风险根据其表现形式可以分为战略风险、财务风险、市场风险、运营风险和法律风险五个主要部分。笔者在审计实践中，根据风险管理的责任主体不同，又将企业风险分为战略风险和业务层风险，业务层风险包括财务风险、市场风险、运营风险和法律风险。由于风险审计实践尚处在初步探索阶段，审计人员普遍业务素质不高、人员构成单一，对生产过程、风险控制流程不熟悉，笔者建议审计机构重点对业务层风险进行审计，不宜对战略风险进行审计。对战略风险进行审计难以把握，容易引起争议，难以提出具有可操作性的改进措施。

3.查证步骤和方法。在审计实务中，笔者将风险审计查证步骤主要分为风险识别、风险评估、风险分析和提出风险管理审计建议四个阶段。

（1）风险识别。风险识别是风险审计最主要的工作，也是风险审计的基础和前提。只有在正确识别风险的基础上，审计人员才能够选择适当有效的方法进行审计处理。在审计实务中风险识别主要采取以下几种方法。

①调查问卷法。根据审计项目特点，精心设计调查问卷，具体风险项目可以事前征询公司管理层的意见，了解公司管理层的关切，尽可能将公司业务层风险纳入调查表中，并设计自由栏目，以便被调查人可以自由填列。为保证调查质量，真实反映被调查者的意志，调查问卷还应特别声明，调查问卷仅用于本次审计，不用于其他目的，保证不提供给其他任何部门和个人，包括公司管理层。调查问卷最好采取会议集中填表方式，填表时间不能太长。调查问卷收集后要组织统计分析，根据分析结果初步确定风险点，并实施必要的审计程序最终确认风险点。

②访问座谈法。审计人员可以召开审计座谈会，也可以个别访问企业管理层、相关部门的重要人员，了解他们所认为的当前企业面临的重大风险。由于他们处在企业经营管理者第一线，对企业的重大风险更了解，往往对审计人员识别风险点起到事半功倍的效果。不过这种方式也存在明显的道德风险，由于被访者与风险管理失误有关联，往往会刻意掩饰风险。

③资料检查法。资料检查法是审计人员通过对被审计单位相关资料进行检查，进而发现企业面临的风险点的审计方法。资料检查法是传统的审计方法，能否发现风险点取决于审计人员的经验和职业判断。这种方法必须在审计过程中实施有效的审计质量内部控制措施，才能确保重大风险点不被遗漏。

④分析性复核法。分析性复核法是指审计人员通过分析被审计单位重要的比率或初势，包括调查这些比率或初势的异常变动及其与预期数额和相关信息的差异而获得初步审计线索的方法。这种方法主要用于查找财务风险点和市场风险点，适用于管理基础较好的单位。风险点能否识别依赖于被审计单位相关资料是否完备有效，审计质量取决于被审计单位相关资料是否精确可信。

以上四种方法通常组合使用，以便于识别的风险点相互印证，以提高风险识别的准确性。

（2）风险评估。识别风险的目的是为了有效管理风险，为节约管理资源，提高管理效益，企业需对所识别的风险进行风险评估，并根据风险评估结果对风险点实行差别化管理。笔者在审计实务中主要采取基于经验的调查问卷评估法和基于概率分布的风险评估法进行风险评估。

①调查问卷评估法。在企业风险管理实务中，一些行业、一些业务甚至每类企业风险事件发生的平均频率和平均损失有经验数据积累，审计人员完全可以利用这些经验数据来进行风险评估。调查问卷法实际上是一种基于人们经验的一种分析方法。审计实践中审计人员审计可以两张调查表，一张表调查风险事件发生的频率，按发生可能性分极高、很高、中等、很低、极低五档并赋值，极高0.9、很高0.7、中等0.5、很低 0.3、极低0.1。另一张表调查风险事件的平均损失，按发生可能性分极高、很高、中等、很低、极低五档并赋值，损失档别赋值额度可以根据企业规模及风险管理需要确定。审计人员根据收集表格进行分析统计，并计算风险事件的平均发生频率和平均损失，再用平均发生频率乘以平均损失评估出风险点损失额。

②概率分布评估法。概率分布风险评估法主要包括两个方面：一是风险发生的概率及造成的后果看成两个随机变量，根据历史数据和专家经验给出各自服从的概率分布，并利用专门的方法生成服从该概率分布的随机变量；二是将单项风险因素给系统目标的实现带来的风险大小分析结果以系统目标值累积实现概率的形式表现出来，系统目标值累积实现概率的对立面就是其由于受到风险因素的影响而实现不了的概率，利用这个系统目标值实现不了的概率即可表征风险因素对系统目标的影响程度。

企业风险管理一般将风险根据一定的标准分为可接受的风险和需管控的风险两大类。划分风险的指标也有两种，一种是金额标准指标，一种是比率标准指标。当风险评估损失大于标准指标时，该风险归类为需管控风险；当风险评估损失小于标准指标时，该风险归类为可接受的风险。风险审计只对需管控的风险进行风险分析并提出审计建议。

（3）风险分析。审计人员应根据风险评估结果对需管控的风险进行审计分析。风险分析要深刻揭示风险产生的原因、影响因子及可能产生损失程度。审计分析主要内容是企业风险管理制度建立及执行情况，风险管理体系运作情况，主要的风险点及形成的原因，风险与国家政策、市场环境的关联关系，风险与企业经营策略、企业内部控制制度的关系，风险事件发生的条件、产生的后果及造成的损失，避免风险事故发生的有效途径和措施。风险分析的深度是风险审计的关键，决定风险审计项目的审计质量，影响审计建议的针对性和有效性。

（4）提出审计建议。风险审计提出审计建议要强调对风险的管理和控制，凸显审计建议的前瞻性和可用性。常规业务审计建议侧重“就事论事”的微观层面，一般审计发现与审计建议一一对应。风险审计建议以提原则性建议为主，要侧重宏观层面，不宜提具体的措施和方法。提具体措施和方法可能给审计人员带来职业风险，损害审计人员形象，不利于创造和谐审计新局面，不利于被审计单位管理创新、制度创新。此外，审计建议最好以审计意见书形式提出，不要像常规审计项目一样下达审计决定，这样有利于实现审计机构、审计人员从权威的评判者到平等的咨询者的职能和角色转换。

从以上论述中可以看出，风险审计在审计立项、审计内容、查证程序和方法与常规业务审计相比具有明显的不同，这些不同的做法主要是为适应风险审计的审计客体不同特点。相较常规业务审计，风险审计的审计方法侧重分析，审计目的侧重咨询；而常规业务审计的审计方法侧重查证，审计目的侧重确认。

四、基于房地产企业风险审计的实证研究

背景资料：A公司为解决职工住房问题成立了 B房地产公司，负责开发职工保障性住房。A公司内部审计机构于 2015年度立项对 B公司进行了一次风险审计。由于受审计人员业务素质限制，本次审计重点审计公司业务层的具体风险，不审计战略风险及宏观政策环境的变化风险。审计过程中发现三个风险管理问题，其中问题 1通过调查问卷法分析得出，问题 2通过访问座谈法获得，问题3通过资料检查法发现。

该公司风险管理规定单笔损失 100万元以下的风险公司可以承受，实施一般管理；单笔损失 100万元以上500万元以下的风险实施重点控制；单笔损失 500万元以上的风险实施高度管控。

问题1描述：×项目计划2013年上半年开工，B公司2013年1月启动了招标工作，并于2013年3月通过公开招标确定了施工单位，中标单位为C公司。2013年3月29日B公司与中标单位C公司签订《建设工程施工合同》，合同总价为18 674.21万元。施工合同签订后，承包人C公司按合同向 B公司缴纳履约担保金 1 887万元。2015年5月《新消防法》正式实施，消防标准大幅提高，工程量需增加。此后由于地方政府征迁工作的迟缓项目不能动工建设，施工合同继续履行存在风险。

1.风险识别：×项目《建设工程施工合同》无限期拖延开工施工合同履行主要风险损失：一是量价差异风险，即工程量增加和定额单价根据物价水平上调。二是法律风险。即工期延误承包人向发包人索赔违约金及履约保证金利息费用。

2.风险评估：审计人员按调查问卷法设计了两张调查表。一张《风险事件发生频率调查表》，调查表调查事项为两项，一项为量价风险发生的频率，一项为法律风险发生的频率。频率按发生可能性分极高、很高、中等、很低、极低五档并赋值，极高 0.9、很高 0.7、中等 0.5、很低0.3、极低0.1。另一张《风险事件发生损失调查表》，调查事项也为两项，一项为量价风险事件可能损失额，一项为法律风险事件可能损失额。按损失额度的可能性分极高、很高、中等、很低、极低五档并赋值，档别赋值极微 100万元以下、轻微 300万元、中等 600万元、重大900万元、灾难1 200万元以上。审计人员对收集表格分析统计，量价风险平均频率为0.75，平均损失额度为 1 160万元，评估风险损失为 870万元；法律风险平均频率为 0.34，平均损失额度为 350万元，评估风险损失为119万元，二者合计 989万元。

3.审计分析：该风险产生主要原因：一是地方政府不能按土地出让合同规定整体交付项目建设用地，导致项目迟迟不能动工；二是B公司对地方政府交地承诺估计过于乐观，对征地困难估计不足，在项目用地不具备开工条件的情况下组织招标、签订施工合同。

4.审计建议：B公司要认真总结×项目建设管理经验，一是要积极协助地方政府做好征地拆迁工作，争取地方政府早日交地；二是要把握好项目招标时间节点，不具备招标条件的不能盲目提前招标，已招标的项目，要缩短报建时间，争取早日动工；三是已经招标签订施工合同不能按期开工的项目，要积极与中标单位沟通，尽可能避免发生经济诉讼案件。

问题 2描述：D市政府同意将 M地块出让给 B公司建设A公司职工保障性住房。因D市政府因财力紧张，要求B公司先行垫付征地拆迁费用，B公司为D市政府先后垫付了征地拆迁款 4 442万元。此外，为加快项目进度，B公司在未正式取得用地权的情况下支付前期费用支出共计 360.70万元。2014年 7月 22日，D市政府上级省国土厅新调整了 D市基准地价，B公司不能再以原地价拿到该地块。调整后的地价相较原地价共计增加土地成本 2 553万元。该公司拟放弃该项目，将导致代垫款和前期投入损失风险。

1.风险评估：经审计风险评估，公司放弃该项目可能导致损失780万元；如继续该项目，增加土地成本2 553万元。

2.风险分析：以上风险产生的根本原因：一是地方政府财政紧张，无资金进行土地收储，要求受让人垫资完成征地拆迁工作，B公司在未取得土地使用权的情况下支付征地拆迁款；二是受让人B公司为加快推进项目进度，在没有正式取得国有土地使用权的情况下，违规提前开展了勘探设计、修筑围墙道路等前期工作。

3.风险审计建议：B公司如放弃该项目应做好善后工作，争取地方政府早日完整返还公司垫付的征地拆迁款 4 442万元，同时通过协商途径追偿前期费用360.70万元，尽可能减少公司损失。B公司要完善项目风险管控机制，在未取得土地使用权的情况下，最好不要代垫征地拆迁款、开展前期工作。

问题3描述：B公司Y项目竣工后，施工单位E公司未完工配套工程款 265.23万元，工程质量保证金625.60万元，B公司在应付账款一个科目核算，未分开核算管理。2014年12月，E公司向B公司提请支付Y项目工程质保金。B公司于 2014年 1月 27日付款890.83万元。2015年8月，审计组核对应付E公司工程款时发现付款890.83万元包含未完工工程款265.23万元。问题暴露后，E公司于2015年10月28日退回了超付的工程款。以上问题反映出B公司应付账款管理内部控制制度存在风险。

1.风险评估：审计人员根据该公司的应付账款规模及管理情况进行了风险评估，评估结果是可能导致损失186万元。

2.风险分析：B内部控制制度失效的原因主要是：（1）B公司未完工程款、已完工程款及工程质量保证金不应笼统列入应付工程款中核算；（2）办理工程款支付内部审批控制流程设置不完善，缺失工程管理、验工计价等业务部门签字确认，控制环节存在缺失。

3.审计建议：（1）B公司应进一步完善内部控制制度，未完工程不得办理末次验工计价；（2）工程质保金、未完工程应付款与已完工程应付款应分开核算；（3）进一步完善工程款支付内部审批控制流程设置，加强内部控制制度风险管理。

A公司内部审计机构立项对 B房地产公司开展风险审计取得了较好的效果。审计报告反映的问题得到了公司管理层的认可并作出了重要批示，B房地产公司针对问题进行了整改，完善了风险管理制度，有效的防范了风险。现审计已过去一年多，上述风险点均未产生实际损失。

［1］郭伟昌，刘金凤.企业风险审计模型研究与应用［J］.审计研究，2008，（6）.

［2］时现，填选章，于伯新.风险管理审计研究——基于企业内部审计视角的分析［J］.中国内部审计，2010（6）.

［3］奚淑琴.风险审计理论研究［J］.中央财经大学学报，2002，（2）.