基于风险导向的行政事业单位审计问题研究

王希 中国科学院沈阳自动化研究所

一、基于风险导向的行政事业单位审计的理论研究

（一）风险导向内部审计的特点分析

风险导向内部审计是现代企业与事业单位等机构内部审计的重要组成部分，可以帮助企业等完善组织的治理，增加其自身价值以及实现长远目标为目的，起点为组织的风险，导向为降低该组织的风险。风险导向内部审计作为一种新兴的审计技术和审计理念，相对于以前传统的内部审计来讲，具有许多优点：

现代的风险导向内部审计，首先会对影响目标实现的所有可能出现的风险进行识别和评估，并将其作为开展审计工作的前提和基础。它的核心为确立风险识别以及评估的重要性，并对后续的审计工作起指导作用。作为内部审计人员，确定审计工作的重点，并且分配审计资源等，都是建立在风险评估的基础之上的。为了有效的提高效率节约成本，在保证审计质量的前提下，需要以风险作为审计工作的风向标。风险的识别与评估都是持续的、需要不断进行更正的动态化过程，审计人员在进一步实施审计程序之后，对该企业组织可能面临的风险因素又有了更加深入的了解，并根据进一步审计程序的结果对之前所作出的评估进行相应的对比修正，由此修改后续工作内容。通过以上所有的审计工作后，才能最终实现内部审计的目标。传统内部审计的工作中，审计人员和被审计的对象的关系比较僵硬，被审计对象会产生比较多的抵触心理，这样通常会导致他们不太配合审计人员实施审计工作，从而不利于审计人员开展审计工作以及获取审计材料。

但是目前风险导向内部审计改变了这种状况，被审计人员可以参与风险的识别，审计过程中发现的问题也同样需要被审计人员进行解决和沟通。这种方式可以充分调动他们的积极性，也得到了理解与支持。

风险导向内部审计作为新技术和新理念的一种经济控制方法，由于与企业的风险管理密切相关，所以也成了一种新的风险控制办法。风险导向内部审计受托责任于企业的管理层，不同于传统内部审计的事后追责，变成了事前和事中的控制与提醒，这种方式能为组织创造更多的价值。传统的监督评价职能发展变化成为确认和咨询职能，更加体现出了增值的目标。

内部审计作为一种自我监测机构内部运行的监管机制，其主要的检查对象是日常的运营活动与控制活动，但监测这些活动的主要目的不仅在于规范运营程序、提高运营准确性，还在于防范潜在风险。风险导向的内部审计突出并强化了内部审计的这一功能，并在程序上不断规范并强化这一功能，使事业单位内部可能会对未来发展产生影响的事情进行识别与控制，程序化的风险识别是实现对于未来产生影响事件识别的必要手段，也是现行的企业风险评估的核心方法。与管理会计在企业中的作用类似，风险导向的内部审计对审计对象进行更为科学的运营安排与发展战略的提议。

（二）风险导向内部审计的目标与职能

风险导线内部审计是内部审计的扩充与发展，因此风险导线内部审计的主要目标仍然是内部审计的目标——权力机构的行为活动，对于企业而言是股东与股东大会，对于行政事业单位即管理层，这也是机构的最高利益群体，因此对于这一部分的审计主要倾向于对于财务报表真实性的审查。风险导向内部审查的架构与传统内部审查的“控制-风险-目标”截然相反，首先通过确定审计目标，在对审计目标的行为进行风险与控制，进而实现风险的识别与控制，风险导线内部审计的主要审计对象是项目，但审计的主要内容是项目执行者的行为与活动，通过对于行为量的分析分配审计资源并提出相关的风险规避与行为优化措施建议。由于管理层的决策信息来源不唯一，风险导向内部审计作为信息来源的一部分，其结果应充分反映行政事业单位运营风险而不需要进行其他方面的分析，通过以风险为导向的审计进行评价，是实现风险导线内部审计的唯一原则。

风险导向内部审计从内部审计中延伸扩展直至独立提出，丰富了内部审计的内涵与职能，将内部审计的监督扩展至了咨询、控制与治理三方面，根据国际内部审计师协会（IIA）对于风险导向内部审计职能的界定，其两大主要审计职能为确证与咨询，所谓确证职能又称确认职能，主要指通过风险导向的全新视角对企业或机构等组织的运行做出评价，具体评价内容包含组织的内部控制情况、经济安全与制度安全等，对于不同类型的行政事业单位应预先制定针对该机构的评价标准与评价尺度，并在审计过程中严格执行，确认即对于组织或机构的行为做出确定性评价，同时使得管理层对于该组织或机构的运营情况有着确定性的了解。对于咨询职能而言，转变了传统的管理层通过内部审计结果进行分析并作出决策的模式，使具体决策从管理层分析判断转变为审计部门分析判断，提高了审计与控制活动的连贯性，也从制度层面制约了管理层出于自身利益做出的风险决策，在审计部门向行政事业单位高层进行咨询业务的同时，也可以向监管部门提供咨询业务，帮助管理者更好地进行对于行政事业单位经营控制的同时，也逐步提高监管部门外部监管活动的科学性与有效性，风险导向内部审计的确认功能与咨询功能具有同等重要的地位，行政事业单位应充分发挥这两点。

（三）风险导向内部审计与内部控制及风险管理的关系

现代企业或事业单位的内部架构中同时还设立了内部控制部门与风险管理部门，这使得风险导向内部审计看似与上述两者存在权责上的冲突与内容上的重复，但实际上这三者背后均有不同的理论支撑与不同架构中的位置，三者分属三套不同的治理体系与评价体系，但在实际工作中存在一定的合作与制约，有利于行政事业单位的发展。

风险导向内部审计与内部控制具有紧密联系，内部控制中同样也有风险管控这一要素，但风险导向内部审计更偏向于对于内部风险的识别管控与防范。根据传统内部控制五要素理论，通过对于风险活动的处理与善后不断积累风险处理经验，以实现风险管控，而包含风险导向内部审计的企业风险管理框架丰富了内部控制要素，并增加了行政事业单位的战略目标设定。在二者的关系上，内部控制属于风险导向内部审计的审计对象，由于内部控制是切实对于行政事业单位的运行情况作出干预与控制，其本质上也属于组织或机构的运营活动，内部控制的质量会影响行政事业单位产生风险与否，需要受到一定的监督与审计。在实际工作中，风险导向内部审计有助于内部控制功能的有效实现，由于内控管理更多的是执行层面的影响，一般内部控制系统抽象化分析时被认为是一个开环系统，而风险导向内部审计的加入对于内部控制系统来说是引入了负反馈环节，提高系统的抗外界干扰能力的同时还限制了系统的波动性发展。

风险导向内部审计与风险管理是行政事业单位应对风险的两种处理模式，在结构上风险管理的涉及范围最广，太过宽泛的定义与职能设定严重影响风险管理的成效，因此引入风险导向内部审计，使得行政事业单位的风险管理仅注重于对于前期一般性风险的分析识别，加强行政事业单位防范风险的能力与运营稳定性。行政事业单位的风险大致分为可控制的一般性风险与不可控的复杂性风险，现代社会快速发展，不可控的复杂性风险愈发频繁，风险导向内部审计的引入防止了原有风险管理部门的大范围改革与“换血”造成的部分问题，解决了行政事业单位架构变化所带来的风险，审计署于2014年发布的《内部审计工作规定（征求意见稿）》一文以“免疫系统”这一生动比喻指出了风险导向内部审计的作用与重要性。

二、基于风险导向的行政事业单位审计的现存问题

（一）内部审计制度不完善不合理

不同的行政事业单位有着不同的组织架构，其运营内容与项目内容也不尽相同，同时即使是同类型的行政事业单位，由于其所在地区不同，其具体情况也存在很大差异，客观制约了内部审计制度的完善，针对这一问题，不仅要从内部审计的制度进行改革，更要加强行政事业单位内部环境的建设与内部控制的力度。造成我国行政事业单位内部审计制度不完善的另一重要因素是相关法律法规的欠缺与落后，行政事业单位无法可依、无规可依的情况已经持续多年，当行政事业单位需要进行整治时，往往借助外部审计机构进行审计，外源性因素的介入进一步导致行政事业单位自身的内部审计能力低下，制度健全缓慢。内部审计制度不完善还由于行政事业单位对于内部审计的认识程度与重视程度不足，管理层对于内部审计的不重视导致了审计质量的低下，进一步弱化了内部审计的作用，造成内部审计失效的最终结果，还造成了对于行政事业单位审计资源的浪费。

（二）审计的独立性与权威性不足

通过上述分析，内部审计不被重视的情况普遍出现于行政事业单位及其生态环境，这也客观导致了内部审计部门在行政事业单位中的缺乏或架空，内部审计部门的部门领导行政职位不高或完全脱离于管理层，使得内部审计缺乏权威性，内部审计的负责人受到财务部门或行政部门领导的管辖，使得内部审计缺乏独立性。内部审计时往往需要涉及单位运营的会计资产账目、收支合法性证明等重要文件或机密文件，缺乏权威性的内部审计往往无法取得第一手材料，这将会造成内部审计的偏差甚至完全失效。

（三）审计人员对于项目的参与度与认识度不足

以工程项目为例，项目风险存在主要集中于资金风险等项目前期风险，而内部审计人员对于项目前期的参与程度与认识程度均不足。一方面，内部审计人员的教育背景大多数为会计专业，缺乏系统性的工程知识，对于财务审计以外的法律法规与工程安全标准等问题了解不足，再加上综合性的专业审计人才较为稀缺，无法直接通过招募有效弥补缺口，而不同专业背景的人员在交流上存在一定的障碍，短时间内无法完成有效的内部审计队伍建设。此外，内部审计的审计范围还有很大的局限性，对于单位内部管理的领导干部履行经济情况进行审计等方面存在欠缺，只重视项目中期与末期的审计进程，制约了内部审计的实现效果。

（四）风险管理的系统性方案把握不足

风险管理是一门跨学科的综合管理，其背后理论涉及复杂科学，同时我国对于风险管理以及风险导向的内部审计理论与实践研究均落后于欧美发达国家，使得风险导向内部审计始终缺乏系统性的工作流程、审计方法与评价标准，对于风险识别的能力也较为不足，风险评估与风险来源的对应性较差，对于新风险的应对措施建立缺乏有效机制。

（五）部分行政事业单位没有风险清单与风险分类

对于现行风险管理中较为有效的清单管理办法，部分行政事业也不能很好的实现与落实。风险清单是项目风险识别成果经验的有效积累，同时风险清单还具有很强的一般性与普及性，但我国行政事业单位的风险清单复现性较差，同时风险清单缺乏系统性的分类与分级，风险清单并不能有效提高项目的风险控制能力与成本控制能力。同时对于技术的风险识别与风险评价难度较高，需要较高水平的专业性人才与较高的成本投入，行政事业单位对于重点领域的重点风险控制是目前需要解决的首要问题。

三、基于风险导向的行政事业单位审计的对策分析

根据对于上述问题的分析，优化风险导向的行政事业单位内部审计，应从制度、人员、架构三方面入手，构建系统性的风险导向内部审计流程分为以下三个阶段：

第一阶段：首先需要建立风险记录表，识别风险后确定目标以及识别风险事项，确定重大风险；再通过识别风险得出的结果了解和分析风险，以便充分利用风险开发机会；最后进行评估风险，并进一步完善和改进风险记录表。第二阶段：将风险和审计相结合联系，制定相应的审计计划，确定合适风险和审计范围，将审计计划向审计委员会进行报告。第三阶段：将审计计划分开进行单项的审计工作，汇报撰写审计报告，反馈结果并将结果反映在第二阶段的风险和审计范围中，最终再次向审计委员会进行报告。

在风险导向下为了完善行政事业单位的内部审计，需要转变内部审计的理念，并适当的增强内部审计的独立性，管理层人员需要清晰的认知到内部审计对组织的重要性，由此才能在转换内部审计观念、优化审计环境的工作中起到带头作用。对于企业来说，增加审计工作的独立性能够让大部分工作人员意识到现存制度管理中可能存在的风险隐患，有利于从整体层面对风险进行把控治理，时刻提升自身对于风险的防范能力，稳固根基。

对于风险识别和风险评估体系的建立与完善，在内部审计中也是十分重要的。风险的评估就是全面应对管控风险的根基，根基的动摇会导致企业面临巨大的风险，所以组织应该积极开展高效的评估风险工作，使用多种方法进行全面的检查，并在发现潜在风险时立刻准备相应对策，制定相应的解决办法。

想要提高审计工作的质量，就应该全面的提升审计工作人员的综合水平素质。为了达到这个目标，首先，需要进行合理的选拔机制，筛选强有力的工作人员，将不达标的审计人员淘汰；其次，应该主动建立公平的竞争平台，从而激发工作人员的效率以及能力；最后，应该定期对审计人员进行岗位培训，为风险导向的内部审计工作奠定更为良好的基础。

在如今的信息化时代，利用好高新技术，加快推进各类行政事业单位的内部审计进行信息化科技化建设进程。充分信息化改革，可以大大提升审计工作的效率，减轻审计人员不必要的工作负担。同时，信息化改革使得审计工作出现错误的可能性大大减少，能够确保组织内部审计价值的最大化，得到更为准确可信的结果。