浅析风险导向内部审计及其应用

赵雪玉

摘要：文章从风险导向内部审计的特点及意义分析入手，结合实际工作中的案例分析，认为内部审计运用风险导向审计理念更有助于提高内部审计的效率和效果，因此内部审计人员应正确理解和有效运用风险评估审计理念，积极推进风险评估审计在我国的运用。

关键词：风险导向；内部审计；案例分析；风险评估审计；审计风险

中图分类号：F239 文献标识码：A 文章编号：1009-2374（2014）29-0154-02

1 风险导向内部审计的特点及意义

风险导向审计是以审计风险模型为基础开展审计工作。审计风险主要来源于企业的财务报告的错报风险，而错报风险源于整个企业的经营风险。因此，审计人员应对企业所处社会和行业的宏观环境、战略目标和关键经营环节进行充分分析、评估，以确定相应的应对方案。与传统内部审计不同，风险导向审计更关注风险发生的可能性，通过分析与评价企业面临的经营环境与风险，实现审计重点前移，利用风险标准选择审计项目，每一项审计及其目标都与企业目标紧密相关。风险导向内部审计改进了对内部控制的监控方式，使审计工作更有效。

1.1 审计资源安排更合理、有效

在审计资源的调配上，要遵循重要性原则、成本效益型原则，高风险区域需要内部审计机构投入更多的人力、物力或其他审计资源，而低风险区域则会相对节约审计资源，风险因素成为评价成本效益原则实施效果的关键因素。

1.2 更容易发现内部控制的薄弱环节，管理建议效果更突出

评价企业内部控制制度的逻辑终点时风险，企业内部控制的有效性反映出一个企业的管理水平，内部控制的薄弱环节正是风险高发地，也是企业亟需改进的地方。内部审计人员通过风险的识别去发现内部控制中的薄弱环节，其审计结果对企业的管理水平的提高更有建设意义。

1.3 更能有效地控制审计风险，将审计风险降低到可接受的低水平

风险导向审计不仅检查与会计系统有关的，还检查企业内外部的各种风险；不仅对于会计事项有关的个别风险分析，还对涉及各种环境因素进行综合分析。风险导向审计将被审计单位置于一个大的经济环境中，运用立体观察的理論来判断影响企业经营风险的各种因素，从企业所处的行业状况、监管环境、经营目标、战略规划到经营方式、业务流程等内外部各个方面来分析评估审计的风险水平，把被审计单位的经营风险植入到本身的风险评价中去，并贯穿于审计的全过程，从而在审计过程中把重点放在审计风险的评估上，并通过审计程序把审计风险降低到审计人员可以接受的水平。

2 基层内部审计工作应用风险导向审计理念案例分析

2.1 风险导向审计理念在通信工程结算审计中的应用

在通信设备工程的审计中，由于主要材料及设备都是由省公司的采购与物流中心统一采购，因此主材及设备的价格不实的风险很低，但建筑安装工程费及设计费的风险却很高，主要原因是：通信工程定额更新不及时导致一些新设备无定额子目可套用，设计及结算中主要以估列的方式进行，而设计单位和施工单位在此环节是一个利益共同体的关系，一荣俱荣，一损俱损，导致设计文件中经常高估定额，施工单位在编制结算时使用设计文件中的高估定额，使得工程费高估冒算。

审计人员在充分了解设备工程的重点风险领域后，即可有的放矢，深入施工现场，掌握新设备的实际安装过程，将高估冒算的高估定额审减下来，为公司节约大量的建设资金。

2.2 风险导向审计理念在装饰工程结算审计中的应用

通过对营业厅及客户接待室等装饰工程的审计实践，总结出其存在高风险领域主要是：

2.2.1 新工艺及型材无定额标准可遵循。由于人们的生活水平、审美观念日新月异，装饰工程也不断涌现出新的主导潮流和领先时尚，这些都需要新的工艺来实现，而在定额标准中往往没有可以参照的标准，导致某些施工企业编制预决算时妄自估价或重复套用定额以抬高造价。

2.2.2 装饰材料品种繁多、价格差异大，导致主材价格存在高估风险。装饰工程的主要材料常因产地、品牌、质地、规格、花色、样式及购买时间等不同在价格上存在很大的差异。如工程中常用来做夹板层的三合板，市场上有国产、中外合资及国外进口三个来源，价钱各不相同；又如地面砖，型号、质量及名称虽然相同，但因产地与购买时间不同，价钱可产生较大的差异等。施工企业往往以次充好或强调特殊要求采用高价试图蒙混过关。

2.2.3 审计人员经验不足，施工企业容易钻空子，错误或重复套取定额，以提高工程造价。在装饰工程的预决算中常常还要用到其他工程的定额，如二次装修前的铲除、拆除，原有建筑物其他设施的修补与拆换等，这需要用到修缮定额、安装定额。因此审计人员需要熟悉多种工程定额，避免施工企业随意提高工程造价。

由于装饰工程中存在的上述高风险领域，审计人员在审计时就要重点关注这些高风险环节，一方面加强自身的业务培训，另一方面向装饰工程管理部门提出管理建议，完善相关内控制度，通过加强施工过程的管控，降低工程造价高估的风险。

2.3 风险导向审计理念在信息系统专项审计中的应用

通信企业无刻不在使用着、依赖着信息系统，如计费系统，它们对企业的正常生产经营、为客户提供优质的、不间断服务是至关重要的。2003年，国内某电信运营商的计费存储系统发生了故障，虽然时间只有2小时，但却给公司造成了400多万元的损失，这其中还不包括对公司声誉的影响所导致的无形资产的损失。因此信息系统是否有效做到保护资产、维护数据完整可靠、是否有充分可行数据备份及灾难恢复计划等是内部审计不得不关注的重点。在信息系统安全审计方案中的高风险流程主要有：

2.3.1 数据库备份流程：数据库管理员应根据业务需求制定数据备份策略和方案，按照策略定期进行数据库备份，并检查备份介质的有效性，确保备份有效；数据备份和数据恢复过程有详细、完整的记录；所有备份介质及文档应按规则进行标识，以方便辨识，并由专人妥善存放在安全的地方，备份介质的使用应按要求进行登记。

2.3.2 限制数据直接访问流程：直接数据访问必须被严格限制并受到监控，数据库中的数据原则上不允许直接访问数据，如确有需要，应严格申请、审批流程，并且需有人监督访问过程；主管领导应定期（至少每季一次）检查直接访问数据的日志记录。当组织内全部或部分的信息系统、网络及/或桌面计算机环境可以被乙方或第三方访问和控制时，应在合同中约定安全和保密的要求，并对外部人员有相应管理。

2.3.3 账号和权限的管理流程：组织应制定账号和权限的管理流程，规范账号申请、权限变更、账号变更流程；组织应设置密码管理策略，对密码的复杂度、长度、修改周期、重试次数等参数、账号闲置期限做出规定；系统管理员应使用专门的维护账号进行日常维护，系统管理员账号密码应有备份和保密措施，以应对紧急情况；系统管理员应定期对系统的账号及权限进行复核，及时清理可疑账号，不再需要的账号，及时回收不再需要的权限；定期抽查账号密码强度，如发现脆弱口令及时通知用户进行修改。在了解上述高风险流程后，审计人员可以采取询问、观察、检查、重新执行等程序，对关键流程的执行情况、相关审批文档进行抽查，找出管理中存在的薄弱环节，提出相关的管理建议，从而达到降低企业损失的风险。

参考文献

[1] 石贵泉，王凡林.现代内部审计理论与实务[M].济南：山东人民出版社，2005.

[2] 赵欣.内部审计原理[M].长春：吉林人民出版社，2005.