基于风险管理的增值审计

高玉洁

摘 要：伴随企业在经营中面临的内外部风险日趋多样和复杂，在企业治理、风险管理、内部控制等领域，企业面临诸多挑战，从而产生了全面風险管理需求，并通过优化内部审计，改善企业治理、加强内部控制以实现企业增值。本文以内部审计定义及价值链分析基础，阐述风险管理对内部审计的重要意义和作用，探索基于风险管理的内部审计的实务操作。

关键词：内部审计 风险管理 企业增值

近年来，随着企业经营内外部风险日趋多样和复杂，在企业治理、风险管理、内部控制等领域，企业面临诸多挑战，从而产生了全面风险管理需求，为改善企业治理、强化内部控制进而要求内部审计参与风险管理的评价和改进以实现企业增值。

一、内部审计再认识

从国际内部审计师协会（IIA）关于内部审计定义可得出内部审计的职能是企业价值增值，并主要关注企业风险管理。

依据迈克尔·波特的“价值链”理论，内部审计是企业创造价值动态过程的组成部分之一。在迈克尔·波特提出的"价值链分析法"中，基本活动和支持性活动构成了企业价值增加过程即企业价值链，其中：基本活动包括企业采购、生产、销售、售后等；支持性活动包括行政、人事、财务等。内部审计定位于作为支持性活动的一部分，并通过评价及改善风险管理、控制和治理过程，服务于企业增值目标。

二、内部审计增值突破——风险管理

（一）风险管理

IIA2003年版的《内部审计实务标准》以及中国内部审计协会在《内部审计具体准则第16号》均认为风险管理，包括风险识别、风险评估及风险应对，是指根据组织目标、战略等识别其所面临的风险，评估风险发生的可能性及影响程度后，采取相应的应对措施，将风险降低到可以接受的程度，并将其控制在组织可接受的范围内。

（二）基于风险管理的增值审计

建立在风险管理基础上的内部审计是指企业内部审计全过程参与风险管理的监督、评价过程，以及在审计过程中采用以风险导向的审计方法。为了评价各项风险政策合理性、应对措施适当性以及执行有效性，采用系统化、规范化的方法审计组织风险识别、风险程度评价、风险应对等工作，进而提高过程效率，帮助实现机构目标。内部审计人员在审计过程中，首先通过测试组织的风险策略决定内部审计的范围、性质和程度，确定实质性测试的程度，从而提高审计效率和质量，

三、基于风险管理的增值审计应用

（一）基于风险管理的增值审计开展前提

1、企业高层管理人员的高度重视

企业高层管理人员重视经营管理，将风险管控贯穿于企业文化建设中，对内部审计机构在企业风险管理中的作用给予充分肯定。

2、正确树立内部审计部门在企业管理中的地位

根据COSO的风险管理框架，优化了内部审计组织结构设置。在企业董事会下设立内部审计管理委员会（内部控制管理委员会兼），由其代表董事会对管理层进行监督，并成立内部控制部，配备专职审计人员开展内部控制审计、管理审计等各项审计工作。董事长亲自审签审计报告，解决审计中面临的困难和障碍，审计部门不参与业务部门的管理工作和业务决策执行。此举使得内部审计部门能够保持较高的独立性、权威性和组织地位，有利于内部审计的检查、评价、监证和咨询功能的发挥。

3、完善风险管理体系建设

在战略、财务、规划、采购、合约等环节开展风险管理工作，将风险管理的各项要求融入企业管理和业务流程中。经内控管理体系优化，构建起风险管理的三道防线：明确了各下属单位、职能部门、业务部门作为风险管理的第一道防线；风险职能部门为第二道防线；内部审计部门和董事会下设的审计委员会是第三道防线。根据业务内涵和发展现状，完成整体风险事件库建设，涵盖各业务领域。

4、不断提高内部审计人员的胜任能力

基于风险管理的增值审计对要求内部审计人员不断提高其专业素质。它要求审计人员站在企业战略的高度，运用系统的思维方式，结合企业内部控制、财务管理、绩效评价的综合审核结果，通过对风险识别、风险程度评价、风险应对的审计，对风险管理现状做出专业判断，得出评价与建议。为此，需配备了富有经验的高素质专业审计人员，并对支持人员持续进行后续教育和培训，不断提高胜任能力。

（二）基于风险管理实施内部审计的步骤

1、建立内部审计信息平台

以审计对象为单元，建立审计信息平台，定期收集相关风险信息，信息平台包括：企业基本信息、企业历史审计成果、企业当前就业及财务信息、企业风险管理信息。

2、以风险为导向制定审计计划

根据中国内部审计协会《内部审计具体准则第1号——审计计划》要求，内部审计计划“一般包括年度审计计划、项目审计计划和审计方案三个层次”。

在编排计划阶段，从内部审计信息平台获取相关风险信息，分析被审计对象面临的各类风险因素的数量及其风险综合评估的风险等级高低，从而对被审计对象风险重要性水平进行评估。根据风险评估结果，按从大到小的等级对风险按序进行排列，结合现有的审计资源确定审计项目的数量及开展的先后顺序。结合企业经营业务情况，优先安排风险大的项目，风险小的后审。同时，将被审计对象包含的风险因素风险综合评估等级高或者低的内容，确定审计计划的重点及要点。

3、基于流程图的业务流分析

对被审计对象进行业务流分析。流程图是流经一个系统的信息流、观点流或部件流的图形代表。借助流程图可对被审计对象的各项业务流程形成清晰的认识，从而识别和记录将风险控制在预期水平的关键控制点，并对于这些关键控制点的执行有效性进行评估。

4、运用风险坐标图实施风险评估

通过采用集体讨论、专家咨询、政策分析、行业企业比较等方法，重点关注企业面临的主要风险是否已被识别，同时找出尚未识别出的各类风险，并分析其重要性水平；对已识别的风险，分析其发生的可能性，进而确定风险发生后对将对企业产生的影响程度。根据风险评估具体结果，绘制风险坐标图，评价风险事件库的完整性、适当性，并以此为基础进一步明确审计实施阶段的审计内容和审计重点。

5、设计和执行审计测试

审计测试包括控制测试和实质性测试。通过采用证据检查法、穿行试验法和实地观察法进而确定实质性测试的范围。对于审计测试的结果，可评估流程设计的完整性、执行有效性，并据此得出审计结论形成审计发现。

6、评价及改进

形成审计评价及审计报告。结合上述步骤中的审计发现，评价被审计项目风险管理的制度设计、措施执行情况，并对于不足提出改进意见和建议，并及时反馈给相关管理层，落实整改，必要时进行后续审计，确保实现审计最终的增值功能。

四、结论与展望

企业要想在市场经济大浪中持续生存、长足发展，需时刻对其面临的各类风险进行系统识别和管理。借鉴风险管理理念，结合企业具体情况，通过开展基于风险管理的增值审计，采取应对措施塑造风险管理文化，完善风险组织管理体系，提升风险管理策略，不断完善关键风险管理流程，帮助企业实现增值最终目标。

参考文献：

[1]孟焰，潘秀丽.企业风险管理审计研究[J].审计研究，2006年第3期，61-63页

[2]李晓慧.基于企业价值增值的风险管理[J].审计研究，2009年第2期，49-52页

[3]钱光明，陈德艳.论我国企业的风险管理审计[J].审计，2011年11月33期，32-34页

[4]李兆华，杨晨岚.企业风险管理审计模式的构建[J].商业经济，2011年11月，96-98页