国外审计机构风险评估工作做法及启示

卢独景

摘 要：本文通过对国外审计机构风险评估做法，包括：评估标准、评估流程、评估方法的梳理，总结国外各审计机构风险评估工作体现出的强调风险容忍度、动态评估、后续审查等特点，为进一步完善人民银行风险评估工作提供启示，以促进内部审计工作的开展。

关键词：风险评估；评估标准；动态管理；风险应对

中图分类号：F239.65 文献标识码：B 文章编号：1674-0017-2018（7）-0087-05

一、国外审计机构风险评估主要做法

（一）评估标准。国外审计机构所开展的风险评估工作均依据于明确的评估标准。由于多数组织将风险评估工作作为风险管理框架中的环节开展，因此国际或国内的风险管理框架标准成为了风险评估工作的主要依据。如：国际会计师联合会、澳大利亚审计署将AS/NZS ISO 31000（2009）风险管理标准作为组织的风险评估标准，国际内部审计师协会主要依据COSO（2002）制定的风险管理框架标准进行风险评估。此外，美国审计署则将联邦政府制定的《联邦政府内部控制准则绿皮书》作为开展风险评估的标准，欧洲审计院也针对绩效审计制定了专门的风险评估标准。明确的评估标准成为国外各审计组织开展风险评估工作的基础。

（二）评估流程。国外各审计机构的风险评估流程大体上相似，主要涵盖控制目标设定、分类定义风险、分析评估风险、决定应对策略等四个方面（详见图1）。

1.设定控制目标，确保目标可衡量。设定控制目标即通过收集高质量的相关数据对组织业务领域进行整体理解，结合风险因素和应有的控制措施，设定组织风险控制目标。国外审计机构在设定风险控制目标时，注重对目标进行明确的、可量化或可定性的描述，从而便于审计人员评估目标是否实现。例如，美国审计署强调用可衡量的专业术语来定义目标，内容包括：目标是什么，谁来实现，怎样实现及实现的时限。

2.分类定义风险，注重识别风险来源及影响。分类定义风险，即根据风险控制目标列出所有可能的风险，并按照一定标准对其进行分类或定义，从而识别出主要风险。国外审计机构在识别风险事件时，注重从风险来源及影响的角度对未考虑已存在控制措施的固有风险事件进行分类或定义，从而更加清晰地把握风险事件的本质。例如，多数组织根据风险来源及影响的不同，将风险事件分类为外部环境、财务、运营、人员、声誉等类型风险（见表1）。欧洲审计院则要求以“原因+问题+影响”的方式对风险事件进行描述。

3.分析评估风险，注重考虑风险影响的复杂性。多数机构从影响程度和发生可能性两个维度来分析和评估风险事件严重性，通过风险矩阵（见图2）来确定风险事件的等级，再通过各风险事件对应的控制措施形成剩余风险。国外审计机构在分析评估风险时，注重综合考虑风险影响的复杂性。例如，国际内部审计师协会在评估风险事件时提出要考虑到同一事件的风险影响可能带来不同量级的损失。而美国审计署则指明在评估风险影响程度时，除了规模及持续时间外，还要将风险影响的时效性作为评估的要素，即考虑到风险会立刻产生影响还是持续一段时间后产生影响，以及特定风险对组织产生的影响是立即发生的、中期的还是长期的。

4.决定应对策略，关注风险动态变化趋势。完成对风险事件的分析评估后，各机构按照各项风险事件的等级，以接受、降低、转移、控制作为风险应对原则拟定措施。例如，欧洲审计院提出了核心风险的理念，通过给定的核心风险确定标准（见表2）对风险事件进行判断，来考虑是否纳入审计范围或采取应对措施，并在风险评估结果中予以呈现（见表3）。国外审计机构在制定风险应对策略时，强调关注风险动态变化趋势。例如，澳洲审计署提出了动态风险应对措施，对于不断增加的风险采取监测和降低的措施；对于平稳的风险采取监测和接受；对于降低的风险采取接受的措施。

（三）评估方法。各机构采取了多样化的风险评估方法及工具开展评估工作。众多风险评估工作主要用于控制目标的确定、风险事件的识别和风险事件的分析三个过程。控制目标的确定和风险事件的识别这两个环节，所使用的评估方法具有一定的互通性。“程序逻辑模型图”“流程图和相关性分析”“情景构建法”“问卷和清单”“研讨会和头脑风暴”“检查和审计”“HAZOP分析法和FMEA分析法”“SWOT分析法和PESTLE分析法”均可以单独或组合运用，来确定风险事件。也可以考虑使用“神经网络法”，通过利用对不同数据模式的探索认识来识别可能存在的风险。

针对风险分析环节，当下衡量风险的主流做法是通过对风险事件的影响程度和发生可能性进行二维的判断，结合风险矩阵确定风险高低，这种在单一维度内假定事件发生可能性为固定值的做法，对于离散的风险事件较为有效，但不适用于连续的风险事件。因此，風险的“概率密度函数”、“损失的预期值”也适用于不同情况下的风险度量。还可以通过“建立在风险控制自我评估之上的记分卡”“比较分析”等方法来对风险事件进行分析和衡量（见表4）。

二、国外审计机构风险评估主要特点

（一）考虑组织的风险偏好和容忍度。各审计机构在其风险评估框架中均强调了机构对风险偏好和容忍度，通过将组织风险偏好及容忍度的体现嵌合到风险评估流程中来优化风险应对策略。美国审计署、澳洲审计署在评估前期反映机构的风险偏好和容忍度，澳大利亚审计署还特别列出了5大类18项风险类别的风险容忍水平（见表5）。通过与确定控制目标这一评估流程相结合，可以有效避免风险等级较小的风险事件对风险评估及审计的干扰，将有限的审计资源更为合理分配到控制组织重要风险上，但也存在着由于主观判断错误，对重要风险容忍度过高导致风险控制不到位的情况。国际内部审计师协会、国际会计师联合会及欧洲审计院则在评估后期体现对具体风险的容忍度，通过将组织的风险偏好和容忍度与风险应对流程相结合，既可以全面考虑组织各类风险，也可以在应对风险时快速定位，但在评估过程中需要投入更多的资源。

（二）强调对风险的动态评估管理。多数审计机构在风险评估过程中采取了动态应对风险的做法，通过对内外部环境的持续关注和监测来确认风险未来的变化情况，由此对风险事件及风险控制措施进行调整。美国审计署以审计报告、研究报告、战略规划、财务报告、绩效报告、国会报告等为支撑对联邦政府高风险领域进行动态评估，每两年调整一次高风险领域清单，并对高风险领域进行持续密切跟踪，对于一些取消高风险认定的领域也仍然保持关注。澳洲审计署指出需要评估与风险相关的条件是否发生了变化，以及这些变化是否已经影响了风险发生可能性和后果，同时，通过业务变化趋势、运营是否成功来确定新产生的风险。国际内部审计师协会指出，应对内部控制风险进行周期性的监测，以固定的频率验证控制的有效性。

（三）充分体现固有风险与控制有效性的差异。多数国外审计机构在风险定义阶段主要是针对未采取控制措施的风险进行识别和归类，而在分析评估剩余风险时才考虑已有控制措施有效性和遵循性对风险的影响，并不将控制措施遵循不到位的情况列示为风险事件。例如：在根据风险分类和风险源头确定固有风险事件后，欧洲审计院在风险分析阶段，根据已有的核心风险标准和控制措施对固有风险事件的等级进行调整。而国际内部审计师协会则在确定风险应对策略阶段，通过分析程序和测试细节来测试已存在或拟采取的控制活动有效性，从而得到考虑风险应对后的剩余风险。

（四）良好的风险信息交流机制。各审计机构均要求将风险评估情况在组织各层级进行传达，同时各利益相关方也要对风险评估情况进行及时的信息反馈，以建立动态管理风险的基础。国际内部审计师协会建议风险信息必须像财务和其他信息，以特定的频率和形式进行沟通，以使工作人员、管理人员、董事履行各自的职责。可以使用风险评估的信息系统定期产生实时的风险状况信息，针对不同群体出具风险评估和风险管理报告，以便于日常和长期决策。国际会计师联合会构建了从业务部门到风险管理委员会/披露委员会，再到审计委员会/董事会的自下而上的报告机制（见图3），以及反向运行的风险监测机制，来体现对风险信息的交流。澳洲审计署则要求任何评估为“高”及以上的审计，都要在每个季度的报告中向审计委员会和执行董事会报告风险状态的更新情况。

（五）健全的风险评估后续审查。在这方面，美国审计署所开展的工作较为领先和完备，其披露了大量对联邦政府各部门及各项目开展风险评估情况的后续审查实务。依照联邦政府各部门采用的风险评估标准，对各部门及各项目是否如实、有效开展风险评估工作进行评判。2014年其披露了对9家联邦机构（机构间安全委员会成员）设施风险评估的审查情况，发现“6家机构开展评估的方法与标准不一致，使得机构不完全了解面临的风险而带来安全资源配置的无效”。2017年披露由美国卫生与公共服务部（HHS）和美国农业部（USDA）联合管理的“联邦管制药剂项目”审查结果，得出了“未评估当前组织结构所带来的风险，也未评估减少机构利益冲突机制的有效性。如果不对风险进行评估并采取必要的行动，可能无法有效地减轻对该项目独立性的损害”的审计结论。类似的披露还包括：2014年对能源部不当付款风险评估的审查；2017年对国土安全部风险三要素——威胁、漏洞、后果进行评估的审查等。

三、对人民银行风险评估工作的启示

（一）考虑组织风险偏好，适当削弱对低风险的关注。为更好地反映组织对风险的偏好和容忍度，风险评估系统可以借鉴欧洲审计院的做法，在全面评估各业务领域的风险事件的基础上，在评估结果中添加是否纳入审计范围的选项。根据审计项目侧重点不同调整审计涉及的风险事件内容，系统输出的评估结果可以直接作为检查对照表使用，避免了不同审计项目输出相同的风险事件列表，体现审计项目的特点，更有效地分配审计资源。

（二）动态披露审计监督情况，提供管理决策参考。美国审计署对高风险领域持续跟踪，甚至对从清单中删除的领域仍然保持关注，两年一次的的定期披露促进了政府以更有效率和更有效果的方式运行。人民银行也可借鉴美国审计署做法，对高风险领域进行持续跟踪，定期公布风险管理报告，以特定评断标准分析高风险领域的管理情况，针对央行的业务变化情况动态调整高风险领域清单内容，为党委和各级风险管理部门提供参考建议。

（三）强化对中、长期产生影响的风险的评估。在各业务领域的风险事件中不仅仅考虑即刻产生影响的风险，也应进一步考虑中、长期产生影响的风险事件，充分考虑某项业务的办理流程是否会在未来产生某种不良的影响。一是可以使得风险评估更具有前瞻性，更为有效地防范新业务、新要求带来的可能产生影响的风险。二是可以与组织的风险容忍度相结合，在拟定审计计划时对产生影响时效性不同的风险区别对待，可以有效制定中、长期的审计计划，以覆盖不同影响时效的风险。

（四）精简固有风险事件，关注控制措施有效性。適当区分业务领域的固有风险事件和遵循已有控制措施后的剩余风险事件，固化同一层级固有风险事件，使得评估工作可以聚焦于对已有控制措施有效性的评价。这样在关注了控制措施的执行是否到位这种操作层面的风险，也更多的思考针对业务构建的控制机制是否合理。一是可以更好的从体制、机制的角度提出审计发现，促使组织构建更完备的控制框架。二是审计开展的角度更为深入，能够更好地发挥咨询作用，提高内部审计的认可度。

（五）构建后续审查机制，提升风险评估效果。美国审计署通过对政府部门开展风险评估情况的后续审查，来确定各部门风险评估工作是否得到执行并行之有效。目前，人民银行可考虑建立对下级分支机构风险评估情况抽查的后续审查机制，通过对评估的验证来评价被审查机构风险评估的真实性、准确性，以促进分支机构风险评估工作持续有效的开展。

参考文献

[1]戴小凤，朱卫东.基于网络分析法的审计风险评估模型[J].会计之友，2012，（1）：105-112。

[2]顾加宽，基层央行风险评估现状分析和框架构建——人行盐城市中心支行风险评估现状调查与思考[J]，金融纵横，2010，

（6）：66-69。

[3]顾晓安.基于业务循环的审计风险评估专家系统研究[J].会计研究，2006，（4）：23-29。

[4]顾晓安，李毅.灰色关联分析法在重大错报风险评估中的应用研究[J].南京审计学院学报，2014，（9）：105-112。

[5]张萍，王莹.基于模糊綜合评判的虚拟企业审计风险评估[J].审计与经济研究，2010，（7）：44-50。

The Risk Assessment Practice of Foreign Audit Institutions and Enlightenment

LU Dujing

（Zhenjiang Municipal Sub-branch PBC， Zhenjiang Jiangsu 212000）

Abstract：By reviewing the practices of risk assessment of foreign audit institutions including assessment criteria， assessment processes， and assessment methods and so on， the paper summarizes characteristics reflected from risk assessment of foreign audit institutions such as emphasizing risk tolerance， dynamic assessment and follow-up review etc. And then， the paper provides the enlightenment for PBC to further improve the risk assessment in order to promote the development of the internal audit of PBC.

Keywords： risk assessment； assessment criteria； dynamic management； risk response

责任编辑、校对：谢华军