基于风险导向的人民银行内部控制审计

毕 翼

2006年人民银行总行制定了《人民银行分支机构内部控制指引》（以下简称“指引”），全面引入内部控制框架与体系。2008年起，人民银行各级内审部门逐步开展内部控制审计，经过几年的研究和探索，基本构建了内部控制审计的内容框架和方法体系。2011年，人民银行提出内部审计全面转型，审计关注逐步延伸至有关组织治理、风险管理和控制方面。在转型过程中，对内部控制审计进一步发展的研究略显不足。同时，审计人员在实践过程中，确实遇到了一些瓶颈。通过对当前内部控制审计一些现状的描述，借鉴内部控制及审计的主流理论，形成若干观点，结合风险导向的理念，对如何不断深化内部控制审计，提出建设性建议。

一、现状描述：内部控制审计中的一些问题

（一）审计理念。一是狭义风险观造成控制有效性的确认盲区。目前内部控制审计主要从狭义的视角关注风险，容易造成审计无法根据不同程度的风险和不同的风险应对措施确定适当的控制，过于追求充分、完整的控制，忽视了对控制过度的确认。二是对控制与风险管理的评价滞后。当前内部控制审计对控制测试所遵循的逻辑顺序是“控制-风险-评价控制目的是否实现”，这是一种事后的反馈，只能亡羊补牢，而不能未雨绸缪，造成审计提供的信息存在时滞。

（二）项目定位与安排。一是有的做成了各业务审计的简单加总。进点后直接对各业务的内部控制情况进行测试，很少有对内部控制机制整体情况开展必要的描述、识别、分析和评价，成了对各业务开展审计的汇总，提出的审计建议鲜有涉及被审计对象治理层的有关活动。二是将内部控制审计与履职审计等同视之。将内部控制审计与领导干部履职审计视为性质相同的大型综合审计项目，在排定审计计划时两者可以相互替代。

（三）审计内容。一是有的审计内容不够完整。比如，风险评估中没有对及时性提出审计要求，没有涉及风险应对措施制定后的剩余风险评估情况等；二是个别内容相对模糊或存争议，尚未有指导性意见。比如，在控制活动中提出，确认活动是指“对于需要确认的事项，是否按规定及时确认”，该定义比较模糊，对于人民银行何种业务活动属于确认控制并无指导性意见，实践中，很难界定一些审计发现。三是评价控制效率的内容不够明确。IIA在定义内部审计时，将关注管理效率作为主要目标之一。现有内部控制审计中，还没有明确的提出有关控制效率的审计要求。四是对于各要素的相互作用，没有明确的审计内容。内部控制五要素之间是彼此联系的，通过相互作用，实现整体控制有效。但是审计内容中，对于要素之间、要素与整体控制框架之间作用的情况，还没有很好的审计抓手，内容上不够明确。

（四）审计程序、技术手段。一是要求较为笼统。比如，流程测试是实施阶段控制测试的一个环节，但对如何运用流程测试却未明确，包括流程测试在控制测试中哪个节点进行、结果如何运用等，实务中审计人员运用流程测试时稍显盲目。二是在程序上没有明确专项和全面内部控制审计的区别。三是先进审计技术运用较少或有待完善。比如，很多审计人员只熟悉准确度较低的经验抽样技术，很少使用系统性抽样，更加鲜有人运用再抽样技术；再如，对于控制测试的审计风险，主要以主观判断为主，缺少定量控制。

二、理论借鉴：当前内部控制及审计的主流理论

了解和熟悉目前学界的主要研究成果，对就人民银行内部控制审计的现状进行深入思考、有所规划是很有启发的。主要包括管理科学方面的内部控制理论和有关内部控制审计类型的主流理论。

内部控制理论。内部控制概念在控制内容、范围等方面逐步演变，目前最主要的两个阶段分别是：（1）内部控制整体框架阶段。1992年，美国COSO委员会发布了著名的《内部控制整合框架》（以下简称“IC-CF框架”）,提出内部控制是一个为下列各类目标之达成提供合理保证的过程：营运之效果及效率；财务报告之可靠性；相关法令之遵循。内部控制整体架构包括控制环境、风险评估、控制活动、监督、信息与沟通等5个要素；（2）企业风险管理框架阶段。90年代后期，国际上关于风险管理的研究日渐成熟，COSO委员会在2003年发布了《企业风险管理框架》（以下简称“ERM框架”），该框架在战略决策以及整个组织中贯穿实施，用于识别组织的潜在风险，将风险控制在组织风险偏好的范围内，并为组织目标的实现提供合理保证。主要包括内部环境、目标设定、事件识别、风险评估、风险回应、控制活动、监督及信息与沟通等8个基本要素。

内部控制审计。目前主流的两个内部控制审计阶段包括：（1）传统内部控制审计。随着IC-CF框架的发布，内部控制审计逐步以此框架为基础开展，也称之为传统内部控制审计。其最主要特点，是紧密围绕组织的内部控制情况，通过对渗透到管理活动中的内部控制的测试和评价（包括描述、分析、评价内部控制及扩大性测试等），把握各种管理的效率和效果，作出评价；（2）风险导向内部审计。伴随ERM框架发布，基于该框架的审计不断完善，内部控制的概念已经逐步被风险管理所取代，因此称谓上也冠之风险导向内部审计，其实质是内部控制审计发展的高级阶段，也有学者称之为现代内部控制审计。从本质上看，风险导向内部审计基于广义的风险观，遵循“目标-风险-控制”的逻辑顺序，即首先确认组织目标，然后分析对这些目标产生影响的风险以及能够管理这些风险的控制，最后测试实际的控制考虑其能否切实管理这些风险。核心是依托ERM框架，关注组织风险管理的各方面，范围逐步扩展到组织的战略管理领域，不仅发挥确认的作用，即评估风险管理的有效性，同时还充分发挥咨询作用，帮助组织建立、实施并完善ERM框架。

三、深度审视：内部控制审计的几个基本观点

在总结了内部控制审计所处现状，并了解学界主流研究成果之后，本文对当前人民银行内部控制审计的定位、性质、导向和特点等方面，进行分析与思考，形成了一些观点，有利于明晰有关概念、解决部分困难。

定位——内部控制审计是基于内控整体框架的审计项目。“基于内控整体框架”是内部控制审计定位的核心要义，指从组织治理的宏观视角出发，采取普遍联系的方法，关注和考虑组织整体的控制情况，对内控五要素进行全面审查。这体现了内部控制审计与其他审计的本质区别。以业务专项审计为例，专项审计关注的是业务自身管理情况，包括控制、绩效等，但是在内部控制审计中，不管是全面还是专项内部控制审计，都需要联系组织的整体内控框架，分析宏观层面的控制环境、风险管理、信息与沟通等的影响，有利于发现具体控制缺陷下的深层次诱因。

性质——行政事业单位传统内部控制审计下的改良型审计。主要体现了三层意思：一是行政事业单位。人民银行各分支机构作为行政事业单位，其面临的一些强约束和管理特点，比如职责法定、预算管理、低风险忍受度和社会效益等，对于组织在控制和风险管理方面的影响。二是传统内部控制审计。由于《指引》基于IC-CF框架设计，内部控制审计以内部控制五要素为审计主线，所以，目前内部控制审计主体上属于传统内部控制审计。三是改良型审计。人民银行内审转型过程中，积极倡导在内部控制审计中树立风险导向理念，鼓励审计人员借鉴和探索科学、有效的审计流程，实践先进的审计技术，主动在传统内部控制审计基础上进行改良，向更加先进的审计阶段迈进。

导向——由管理导向向风险导向的逐步转型。应该说目前人民银行内部控制审计主要基于管理导向，但有些问题已经突现，束缚了审计的发展。比如，对于一些风险管理较为先进的单位，审计导向已经滞后，审计与其风险管理体系不够契合，导致审计结论与被审计对象风险管理的目标不一致甚至相悖，降低了审计的质量。因此，现阶段在以管理导向为主的同时，应针对已经暴露出的突出问题，以风险导向的理念和方式方法来解决，并有意识的逐步扩大风险导向的影响。

特点——系统论在审计中的合理应用。系统论强调整体与局部、局部与局部、整体与外部环境之间的有机联系，核心思想是系统的整体观念，强调系统的整体功能是各要素在孤立状态下所没有的性质。内部控制五要素与内部控制整体框架、五要素之间的关系以及外部环境对整体的影响等，无处不体现了系统观。基于内部控制整体框架开展的内部控制审计，必然要以系统的视角看待五要素的审计内容。不能将每个要素孤立，人为将五要素分离，容易走入只关注表象控制活动的误区，忽视了控制环境、风险评估等要素的影响，也很容易同化为业务专项审计。审计应更加关注五要素之间的相互作用，以及反馈至内部控制整体框架的影响，这一特点要体现在审计内容、流程和报告的设计中。

四、深化方向：基于风险导向的内部控制审计

人民银行内部控制审计要想更加充分的体现其核心要义、突显其存在的必要性和有效性、实现增值目的的途径，逐步向风险导向内部审计转变并最终实现，是一种趋势，也是合理的选择。人民银行各级内审部门在这方面做了很多的探索，以下是几点建议：

（1）以内部控制五要素为基础，逐步拓展风险评估要素的审计内容。风险评估作为内部控制五要素之一，是内部控制审计的一部分，但审计内容设置相对比较简单。从控制体系的发展看，IC-CF框架到ERM框架，最主要的变化就是ERM框架更加突显了风险管理的重要性，将风险评估要素上升到更高的层次，在内容上表现的更加具体和细化，分化成了目标设定、事件识别、风险评估和风险回应等要素，风险导向内部审计也同样强调对组织风险管理情况的关注。因此，拓展风险评估要素的审计内容是很必要的。一是要准确理解ERM框架中所指目标、识别、评估与回应的具体含义；二是要结合人民银行特点，根据现行内部控制的定位、性质、导向和特点等实际情况，设定合理的审计内容。比如，由于国家行政机关的性质，权责法定，在目标设定方面治理层很难有自主权，应主要从管理目标入手；再如，风险的识别、评估与回应，可以设定比较具体和体现一定要求的内容，以风险识别工作来说，审计内容上要关注是否识别了能够影响目标实现的风险事件，是否对风险事件的发生可能性和可能产生的影响进行分析，还应要求审计人员对评估的合理性进行评价。通过逐步拓展审计内容，可以有力促进被审计对象重视和不断完善风险管理工作，同时也有助于内部审计在组织风险管理中发挥更大作用。

（2）借鉴《行政事业单位内部控制规范》，重新整理审计内容。2012年底，财政部发布了《行政事业单位内部控制规范》，在内容设置方面体现了以下特点：一是调理比较清晰。从总则、风险评估和控制办法，到单位和业务层面内部控制，逻辑递推关系比较合理；二是符合实际。在内容设计上，总体是基于IC-CF框架的内部控制五要素，但又重点突出了风险评估的内容，符合目前行政事业单位内部控制体系向ERM框架逐步转变的情况；三是有独特的设计思路。该规范没有照搬IC-CF或者ERM框架，有所借鉴，又有自身特点。并没有按照五要素分类的方法归集内容，而是从组织治理的角度，从一般方法到两个具体层面的有关控制内容进行了阐述，言简意赅又不失全面。应该说，该规范对重新调整内部控制审计很有借鉴意义。笔者认为，可以从两个方面入手：一是有关控制活动的审计内容，先从一般方法归纳，然后分单位和业务层面进行细化，解决内容模糊的问题；二是区分管理活动，可从治理活动、经济活动和业务活动进行分类，有关经济活动的控制内容可参考规范中的要求。

（3）设计科学、合理的内部控制审计实施流程。审计流程是内部控制审计向风险导向深化的必要保证。审计技术的运用是循序渐进的过程，但审计流程则需要提出规范性的要求，应先从流程做起，要求审计人员完成必要的评估、测试过程，以确保风险导向的落实。现行内部控制审计的实施流程包括：①计划阶段，制定审计计划，确定被审计对象；②开展审前调查，编制审计方案；③审计实施阶段，包括：描述和分析内部控制、开展内部控制测试、认定内部控制缺陷；④形成审计报告阶段；⑤后续跟踪调查或者审计。以风险为导向，需要更加重视审计计划和审前调查，实现审计的前馈效果。比如，在审计计划阶段，如果是专项内部控制审计，首先应关注被审计对象的管理目标，然后增加分析环节，一方面分析目标变化情况和对组织的重要性，确定不同层次目标的主要关注内容；另一方面识别内容中可能会发生的事件或影响目标实现的关键绩效指标（KPI）。再后，利用风险评估模型，对事项发生的影响和可能性进行评估，确定高风险的业务领域，据此确定审计对象。如果是全面内部控制审计，则需要首先征求治理层意见、收集外部证据，然后对被审计对象控制自我评估的结果进行再评估，若被审计对象没有进行过控制自我评估，则应由审计人员实施风险评估。再后，根据评估或再评估的结果确定被审计对象。在审计调查阶段，首先对被审计对象的业务流程进行分析，了解被审计对象业务的内容、特点和操作程序；然后，对业务的控制情况进行调查，了解控制的类型、设置情况，准确理解组织现行的主要控制设计；接着对控制设计的有效性和可能存在的风险进行分析；同时，审计人员还需要通过头脑风暴、调查问卷、谈话等形式，了解管理层对不同业务的风险管理策略和风险容忍程度。最后做出业务风险管理偏差评估，包括评估细节业务风险实际水平与管理层风险容忍偏差，以及对组织整体风险的有效性做出的评估，据此得出重点审计的业务领域。

（4）进一步探索具有一定先进性和操作性的审计技术。审计技术的合理运用确保风险导向理念有效作用于内部控制审计。在内控审计中运用的审计技术可以归为两类，一类是实现确认职能的有关审计评估、测试技术，另一类是有利于发挥咨询职能的审计技术。在审计评估、测试技术方面，包括在风险识别与分析方面的专家意见法、头脑风暴法、SWOT分析、失效模式和影响分析法、工作任务分析法等；在风险评估方面的风险因素分析法、层次分析法、模糊综合评价法、概率风险评价法、定性风险评价法等；在获取审计证据中的分析性复核、预警分析法、综专业判断方法等。发挥咨询职能的审计技术，主要指控制自我评估，其在对沟通的有效性、管理理念、信息质量、管理层的道德与诚信等“软”因素方面通常具有优势。审计人员可以通过复核CSA结果确定高风险和异常项目。在实际操作中，如果被审计对象没有实施CSA，审计人员可积极协助组织完成CSA，有利于改进型内部审计的开展，也为组织完善风险管理方面打下良好基础。这些先进的审计技术，是需要鼓励审计人员进一步研究与实践的，只有在使用中才能检验哪些技术方法是适合的，哪些是需要不断改进以适应人民银行实际的，才能了解、熟悉和真正掌握这些技术，真正推动内部控制审计的深化。

五、结 语

现状下暴露出的一些问题是人民银行内部控制审计必须经历和解决的，只有通过不断试错，才能探索出一条适合人民银行开展的内部控制审计。总部在实践的基础上，对内部控制审计的基础性理论和概念进行了一些思考，提出了深化的方向和方法论，有些观点可能还值得商榷，方法论方面的意见尚停留在研究和思考的层面，下一步，作者将从审计中汲取更多的实务经验，不断修正和完善对内部控制审计的研究。

［1］王光远.消极防弊积极兴利价值增值（二）-20世纪内部审计的回顾与思考：1960-1970年 [J].财会月刊[J].2003,(3).

［2］郑小荣.风险导向内部审计若干理论问题探讨.审计与经济研究[J].2006,(11).

［3］严晖.风险导向内部审计:背景分析与框架构建.财会通讯[J].2005,(4).

［4］中国内部审计协会.中国内部审计准则汇编[S].北京:中国内部审计协会,2013

［5］IIA.the Professional Practice Framework[S].Altamonte Spring,FL:IIA,2001