建设工程项目风险管理审计策略
——内容、框架与路径

贵州电网有限责任公司遵义供电局 姚东

建设工程项目风险管理审计策略
——内容、框架与路径

贵州电网有限责任公司遵义供电局 姚东

论文从审计实践的需要出发，通过分析比较建设工程项目风险管理审计与它的一般性审计、风险管理与风险管理审计之间的异同，界定了项目风险管理的审计对象问题，突出了风险管理审计的专项审计特色，并对建设工程项目风险管理审计及其目标做出了严格的界定。论文构建了由目标维、项目维和风险管理维组成的三维审计框架，为风险管理审计提供了一个可供参照的审计路径，分析了风险预估对提高审计效率的重要作用，提出了“自上而下”和“自下而上”二种运用审计框架的实践方法，并将风险管理态度和能力作为审计评价的二条线索。最后，着重强调了风险处置审计在整个审计中的独特地位。

建设工程项目 风险管理 审计

开展建设工程项目风险管理审计既是落实国资委关于“中央企业开展全面风险管理指引”精神的需要，也是建设工程项目安全运行的内在要求，其意义无疑是十分重大的。但建设工程项目风险管理审计是一个全新的审计课题，涉及了多个学科领域的内容，在广泛意义上，风险无处不在，但如果把建设工程项目风险管理审计搞成一个包罗万象的工作，或者演变成其它的专项审计，就失去了它本来的意义。在目前状况下，开展该项审计的一个十分重要的工作就是要理顺审计头绪，明确审计的内容和程序，因为这个问题不搞清楚，建设工程项目风险管理审计难免会荒腔走板，或者主次颠倒。

一、建设工程项目风险管理审计的内容与对象

(一)关于审计内容

建设工程项目包括了从规划、立项、设计、招投标、合同、施工、物资采购，以及竣工验收等一系列重要过程，是否每一个过程的风险问题都纳入审计的内容，或者说都作为重点审计内容，这要对项目本身情况、工程项目各个阶段的风险特征，以及风险管理审计的内在要求等方面进行认真的分析。首先，就广泛意义而言，工程项目的规划、立项这二个阶段的风险无疑是工程项目最大的风险之一，但是，这些风险不但受更高层次的发展规划和投资战略决策的约束，而且受国家宏观经济政策的制约，项目规划和立项的风险是经济发展过程中所必须面临的风险，它不由项目本身的建设或施工过程来决定，因此规划和立项本身不构成建设工程项目风险管理内部审计的内容，而是构成审计过程中需要关注的影响因子。其次，项目设计阶段对工程项目产生的主要风险是项目的设计标准问题，它影响到项目的防灾抗灾能力和投资收益能力，而设计标准又主要受项目规划（地方经济发展有联系）和立项的约束，因此，项目设计标准也不构成项目风险管理审计的主要内容，但是否按标准进行设计是审计关心的主要问题。另外，项目设计在整个建设施工过程中具有较强的动态特征，所以涉及到项目设计变更和设计过程中的不确定性是审计的重要内容。

根据前面的分析，这里可以对建设工程项目风险作如下定义：它是指建设工程项目从设计、招投标、合同、物资采购、施工、竣工验收等这一系列过程中，由于未来的不确定性对项目的质量、工期、事故责任体系和防灾体系的安全目标的影响以及由此引起的法律责任。这个定义包含了下列几个要点：第一，有限时期；风险发生在项目从设计到竣工验收整个建设施工期间，它不包括项目规划、立项和交付使用这三个阶段。第二，包括了纯粹风险和机会风险；在大部份的文献中，把风险定义为损失的不确定性，排除了机会风险，这与国资委的关于风险的定义有很大出入。第三，强调的是不确定性；对于确定性的损失或收益，就不能再当成风险问题。第四，约束目标的有限性；一方面，每个工程项目从不同的视角出发会有不同的目标，另一方面，对于一个建设工程项目，风险无处不在，无时不在，上述定义将风险约束于建设工程项目的质量、工期、事故责任和防灾四个基本目标，尽管这四个目标之间会有一定的因果关系和交叉关系，但这样定义仍然是有意义的，它不仅反映了建设工程项目自身的特征，也使风险管理审计目标更趋明确。第五，重视法律责任所产生的风险问题；法律责任贯穿了整个工程项目的建设周期。

(二)关于审计对象

首先，要分清风险管理与风险管理审计的区别，也就是说审计的对象是风险还是风险的管理。由于审计本身就具有管理职能，如果不能准确区分风险管理与风险管理审计，难免会使工作重复低效乃至于赿俎代疱。按照国资委在“中央企业全面风险管理指引”的第十条要求，具备条件的企业可建立风险管理三道防线，即各有关职能部门和业务单位为第一道防线；风险管理职能部门和董事会下设的风险管理委员会为第二道防线；内部审计部门和董事会下设的审计委员会为第三道防线。由此可以看出，风险管理是内部审计部门自身承担的工作之一。内部审计部门从事风险管理，区别在于内部审计是对风险管理的职能部门和业务单位所从事的风险管理工作进行监督和评价，或者说内部审计更强调的是，对这些职能部门和业务单位的风险管理工作中的不确定性进行管理，从这个意义上说，风险管理审计是风险管理的风险管理。因此，风险管理与风险管理审计是同一管理过程在不同层次上的反映。

其次，要注意建设工程项目风险管理审计与建设工程项目审计的区别。建设工程项目审计是对工程项目管理全过程经济活动的真实性、合法性和效益性进行监督、评价和审核；它强调的是真实性、合法性和效益性问题，关注的对象是项目建设过程的中各项经济活动。而建设工程项目风险管理审计强调的是管理活动的充分性、存在性和有效性问题，关注对象是各项经济活动不确定性的管理，以及管理的不确定性问题，它要回答两个问题：一是对项目的不确定性问题是否进行了管理、管理是否充分；二是该项管理自身存在的不确定性是否会导致管理无效。

根据前面的分析，可以作出如下定义：建设工程项目风险管理审计是对建设工程项目从设计到竣工验收整个过程中，以保障项目的质量安全、工期安全、事故责任安全和防灾能力安全为目标，对各种经济活动的不确定性问题管理的存在性、充分性，以及由于该管理活动的不确定性而产生的管理的有效性问题进行监督、评价和审核。

二、建设工程项目安全风险控制与内部审计目标

建设工程项目具有投资大、建设周期长、专业性强、风险影响面广等特点，涉及土建、安装、信息化与通讯、调试等子项目，对这类项目进行风险管理是一个十分复杂的系统工程，因此，对内部审计而言，要想通过审计及时并准确地发现风险管理中存在的问题，提出有价值的建议和意见，而在审计过程中又要避免将风险管理审计脱变为一般意义上的审计，这将对内部审计人员提出十分严峻的挑战，从这个意义上说，必须要明确二个问题：第一是项目风险管理的审计目标；第二是项目风险管理的审计框架。

安全是建设工程项目风险管理的中心目标，从风险管理的角度看，安全目标约束于下列三个子目标：一是由质量和工期引起的建设项目投资安全风险；二是由施工过程中引起的事故责任安全风险；三是由自然灾害引起的防灾安全风险。这里，各种政治、经济和社会因素导致的风险、立项和设计导致的风险并没有被包括在安全目标的约束条件中，这是因为，政治、经济和社会风险必然会通过质量和工期等途径的传导，从而引起投资安全风险；又如前面所述，立项与设计风险它本身不由项目建设施工过程来决定，因此这些风险因素如果被纳入到风险管理的安全目约束条件中，有可能使风险管理审计演变成包罗一切的审计，进而造成了什么都审，但什么都没有审好的情形。

受投资安全风险、事故责任安全风险和防灾安全风险约束的工程项目安全风险是建设工程项目风险管理的内在要求，这也是风险管理审计区别于建设工程项目其它审计的最基本的逻辑关系。因而，围绕安全这个中心目标，紧紧抓做项目建设过程中的风险和风险管理不确定性这两个基本内容，建设工程项目内部审计目标必然是：内部审计人员要围绕工程项目的投资安全、事故责任安全和防灾安全这个中心，通过对职能部门和业务单位风险管理活动的存在性、充分性和有效性进行监督、评价和审核，及时、准确地向企业管理当局报告有关信息，适时地对从设计到竣工验收全过程各个环节的风险管理措施和控制缺陷提出建设性的意见和改进措施，协助管理人员更有效地管理和控制各种风险，并帮助企业相关部门和单位有效地担当起责任。

三、建设工程项目风险管理内部审计框架

目前，对于建设工程项目风险管理，审计什么，如何审计等等，这些问题往往与项目的常规审计和风险管理职能交织在一起，如果不能很好的设计其审计框架，难免将使建设工程项目审计失去其本来的价值。因此，在设计其审计框架时要遵循下面的指导思想：

第一，建设工程项目风险管理审计要体现综合性管理审计的性质，既要反映风险管理的本质要求，还要突出建设工程项目的内在特征，同时还要突出重点，有所为，有所不为。

第二，要以便于审计人员实际操作为基本设计目标。

第三，要为企业建立全面风险管理体系提供导向服务。

从前面的定义分析中可以看出，建设工程项目风险管理审计包括二个最基本的要求，一是对职能部门和各业务单位的风险管理活动的存在性、充分性进行监督、评价和审核，它主要考察这些部门和单位对待风险的态度；二是职能部门和业务单位的管理活动本身也具有不确定性，这种不确定性可能会导致一个构建良好的风险管理体系失效，必须对风险管理活动自身的风险进行监督、评价和审核，它主要考察这些部门和单位管理风险的能力。

通过对相关文献的研究和前面提出的三个指导思想，本文将审计框架设计成由目标、项目流程和风险管理构成的一个三维结构模型，每一个维度由若干个审计元素构成：

目标维（Z轴）是一组由四个审计元素构成的集合：

｛质量安全，工期安全，事故责任安全，防灾安全｝；

项目维（Y轴）是由建设施工流程的六个审计元素构成的集合：

｛设计，招投标，合同，施工，物资采购，竣工验收｝；

风险管理维（X轴）是由风险管理的七个审计元素构成的集合：

｛环境，风险识别，风险评估，风险处置，信息沟通，内部控制，监督改进｝；

从上面的结构模型可以看出，各个审计元素在空间坐标系中构成了一个复杂的审计网络，网络中的每一个结点都构成了一个审计对象，为了便于实际运用，将三维结构模型划分为审计模块、审计单元和审计点三个层次：

审计模块。目标维中的四个审计元素（安全子目标）构成了四个审计模块：质量安全模块，工期安全模块，事故责任安全模块，防灾安全模块。

审计单元。审计单元是审计模块的基本构成单位，它是项目维和风险管理维中两两元素构成的一个集合。这样，每一审计模块下面都有6×7=42个审计单元，全部四个审计模块共包括了4×42=168个审计单元。如｛招投标，风险评估｝、｛物资采购，风险评估｝就是各个审计模块其中的二个审计单元。

审计点。项目维和风险管理维中的各个审计元素，都可以再分解为若干个作业点和控制点，它们的两两组合就是审计点，如在｛招投标，风险评估｝这个单元中，招投标又是由标底、开标、评标、定标等一系列作业点组成；而风险评估也是可能是由形成多个控制点，如专家评估、业务部门评估及审计评估等，作业点与控制点两两对应就构成了一系列审计点。审计点是审计框架的最小单位和审计模块（单元）的基本单位。

项目风险管理审计框架的价值在于，首先，它从项目安全的角度明晰了审计目标；其次，它通过对建设周期和风险约束状态的分析，为项目风险管理审计界定了明确的审计范围；第三，它从建设项目的三个维度出发，把项目风险管理审计划分为三个清晰的层次，为审计人员厘清审计思路、找准审计要点提供了可供依据的审计路径；最后，这一框架为风险管理职能部门和业务单位绘制了一张全面的风险控制图，使风险管理人员在最大程度上避免不必要的重大疏忽和遗漏。

四、工程项目风险管理审计的思路与路径

前面构建的项目风险管理审计框架由4大审计模块、168个审计单元、以及成千上万个审计点构成，要对每个审计单元和每个审计点都进行审计既无可能，也无必要，特别是像大型基础设施如电网建设这种类型的工程项目通常集成了多个不同专业的子项目，通常会包括土建工程、安装工程、信息工程、调试等子项目，使电网建设工程项目风险管理审计工作更趋复杂。同时必须看到，项目风险管理审计具有综合性审计的性质，但它不是全能审计，项目风险管理审计应当遵循它内在的要求和逻辑关系。因此，如何运用审计框架，提高审计效率是个必须要解决好的问题，这需要在框架的基础上设计审计的思路和路径：

首先，根据审计的时间点来决定项目风险审计框架的运用，并编制审计方案。由于建设工程项目的建设周期长，在不同时间段上的风险形式与特点具有较大的差异。事前审计、事中审计和事后审计要根据不同阶段的风险状况，对框架中的审计模块、单元及审计点进行筛选，抓做主要矛盾并在审计方案上要区别开来。

其次，要对项目风险进行预估。风险预估考验审计人员的专业判断能力，风险管理审计的专业判断需要根据风险管理审计的重要性问题，依照风险管理原则、方法，按风险管理目标的要求，运用专业方法对机构风险的范围、识别、评析、管理和处理方法等方面进行查证与鉴别，对风险管理及处理方法的合理性和有效性作出评价，捕捉风险征兆。缺乏风险预估的情况下筛选审计框架中的内容可能会导致重大审计风险的出现。在风险预估之前，审计人员要做好知识和信息二个准备，知识准备包括审计专业知识和工程专业知识，信息准备包括各种历史档案和前期审计调查内容等。

第三，要对风险进行分级分类处理。在风险预估后紧接着要根据风险管理的目标和要求对风险进行分级分类，风险分级可用风险发生的频率和危害程度为主要指标，将风险分为若干个等级；风险分类比较复杂一些，选取的指标不同，分类的差异很大，一般可按风险处置方式分类，如分为自留风险，规避风险、转移风险等；也可以项目的分部工程或单位工程把风险分为土建工程风险、安装工程风险、信息工程风险等。风险分类指标的选取无一定之规，但要紧扣目标。

风险进行分级分类的重要作用之一是在控制审计风险的同时，能够将审计框架中的审计数目最大程度地缩减下来。

第四，在运用项目风险管理审计框架时，可采取“自上而下”或“自下而上”的审计路径进行，所谓“自上而下”的审计路径，是指根据风险预估和分级分类后，先确定主要的审计模块，然后向下进一步确定审计单元和审计点；反之就是“自下而上”的审计路径。两种不同的审计路径反映了两种不同的审计思想，前者重视不同风险的相互作用，审计思想重在“面”上的控制，后者则关注重大的和关键的风险点，审计思想重在“点”上的控制。

最后，撰写审计报告要围绕项目安全这个中心，从风险管理职能部门和业务单位对待风险的态度和管理风险的能力这两个方面开展监督和评价，实际上，风险管理的存在性和充分性反映的是一个态度问题，而有效性反映了能力问题。

五、风险处置的审计

风险处置是风险管理流程其中的一个重要环节，由于我国开展风险管理的时间不长，企业在开展风险管理时更多的注意内部控制问题，或者把风险管理等同于内部控制，因此内部审计的重心往往也在内部控制方面，虽然出现这种情况可以追溯到相当多的合理成份，但如果不重视风险处置环节的审计，则风险管理审计与其它的常规审计就会出现趋同现象，浪费了审计资源，从这个意义上说，风险处置的审计是风险管理审计的主要内容。国资委发布的《中央企业全面风险管理指引》第二十六条，具体提出了风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等七个措施。这里将建设工程项目风险处置措施归为风险规避、风险自留和工程保险三个类型，内部审计人员要对这三种类型要作出如下评价：

第一，对采取某类风险处置措施的依据作出评价；

第二，对采用某类风险处置措施的具体方式作出评价；

第三、对采用某类风险处置措施的影响作出评价。

由于信息不对称，保险公司在承保工程项目风险的意愿受到很大的制约，可能会造成保险合同不公平现象，在可能的情况下，由保险经纪公司承揽工程保险中介服务的情况会成为常态，因此，将保险经纪服务也要纳入审计的范围。另一方面，风险管理的内部审计报告能很好地起到信息沟通作用，也为保险人和被保险对象之间搭建相对公平的平台。

上面关于建设工程项目风险管理审计是从它的一般属性上展开论述的，具体到不同的项目，其风险点的重要性排列会有差别，风险管理的目标也不尽相同，因此在审计的程序和方法上要有所区别，但其基本的审计框架是可以相互套用的，有一点需要注意的是，对某些工程项目，如电力工程项目、水利工程项目等，一旦出现风险事件发生，则有可能就是社会风险事件，理所当然地要提高风险管理目标的约束条件，在项目风险管理审计框架中的目标模块就要有相应的调整。

在审计实践中，往往遇到的情况是十分复杂的，在一个项目的风险管理审计前，对各种可能的情况事先作出估计，同时制订周密完整的审计方案和计划是审计工作成功的重要保证。

[1]国资委“中央企业全面风险管理指引”，2006年发佈

[2]美国coso制定发布.企业风险管理——整合框架[M].东北财经大学出版社,2005

[3]卓继民.现代企业风险管理审计[M].中国时代经济出版社,2005

[4]谭丽丽.固定资产投资控制与内部审计[M].中国计划出版社,2002

[5]蔡春,赵莎.现代风险导向审计论[M]中国时代经济出版社,2006

[6]薛晔,黄崇福,周健,杨富平.“城市灾害综合风险管理的三维模式--阶段矩阵模式”[N].自然灾害学报,2005

[7]陈伟珂.工程项目风险管理[M].人民交通出版社,2007