风险导向审计在电网企业内部审计中的应用

在2020年度全国审计机关表彰先进集体和先进工作者大会上，习近平同志明确指出，审计是党和国家监督体系的关键环节。在2022年初的全国审计工作大会上，所有的审计部门以及所有的审计员必须立即将自己的思维与行为融入到中央的经济工作大纲之中，并且真正承担起维护整个宏观经济的重大职责。审计风险作为审计工作中的关键因素，其模型构建大多来自于社会审计中的财务报表审计范畴。通过构建审计风险模型，简明表述审计风险的概念，在确保控制审计质量的基础上指导和规范审计活动，进而提高审计效率。

一、内部审计风险理论分析

1.在经营风险引导下的审计风险模型和审计风险评估的含义。从审计的发展历程可以看出，审计经历了账项基础审计到控制基础审计，继而发展为风险导向审计的过程。审计风险模型在控制基础审计模式下：审计风险=固有风险×控制风险×检查风险。

但是随着审计失败案例和“审计诉讼”案件的急剧增加，审计风险逐渐受到审计职业界的高度重视。基于经营风险的审计时代始于二十世纪初，国际审计与鉴证准则理事会（IAASB）提出了一个改进版版的审计风险模型：审计风险=重大错报风险×检查风险。

审计风险的管理是基于对经营风险的全方位评估，这包括对与财务报告假设相关的证据进行系统性评价。同时，通过维护审计风险在可接受的水平，企业能够优化审计风险，进一步提升审计效率。在这种模式下，注册会计师在整个审计过程中以经营风险为核心指导思想，通过持续评估被审计单位的重大错报风险和持续经营能力，在可接受范围内主动接受或承担某些剩余风险，以提高审计效率。

2.内部审计风险特征。与社会审计不同的是，内部审计更倾向于通过审计对本单位及下属单位的业务活动、内部控制和风险管理进行监督、评价和建议，目的是促进单位长期的可持续发展，改善其治理，实现其战略目标。因此，内部审计的风险及其评估与社会审计的风险有很大不同。

首先，由于审计责任的不同导致内部审计风险评估存在差异。按照《注册会计师法》和《刑法》的相关规定，由于审计失败可能给注册会计师带来经济处罚，甚至刑事处罚；而且在审计收费既定的条件下，注册会计师为了规避或者减轻审计责任并且尽可能最大化自身收益，审计的成本与效益原则是基于现代风险导向审计的社会审计形成和发展的直接原因。内部审计失败导致的起诉、追责机制并不敏感，国有资金受托管理责任人的责任边界、建设法治环境会使内部审计面临的审计风险诉讼压力较低，审计责任较小，审计投入产出的考核机制也并不严格，这些都造成内部审计风险评估模型与社会审计存在不同。

其次，由于审计责任的不同，内部审计的风险评估也存在差异。社会审计职责是发现财务报表的所有的重大错报和漏报，以会计报表的整体公允性提供合理保证。而内部审计，审计师的责任是发现和揭露国家财政和资本基金的财务（业务）收支中的错误、舞弊和其他违规行为和低效行为，无论其重要性如何。因此，内部审计和社会审计的责任和风险形成机制是不同的。内部审计风险的产生，是由于违法违纪问题或违规经营而没有暴露出来，导致国有资产和社会公共利益的损失，削弱了内部审计的监督职能。社会审计考虑的是国有或财政资金运动记录的合规性，相对而言，判定规则较为清晰，对重要性和管理必要性的判断也比较简单。

再其次，审计职能的不同导致内部审计风险评估的不同。社会审计只通过分析风险因素的影响来评估重大错报的风险，但不需要确定影响错报的机制，只评估其影响的后果。内部审计的任务包括识别、评价、思考风险处理方法、解释其作用原理、明确其影响范围以及给出优化意见。社会审计的关键在于提供鉴证信息，需要考虑由于会计账簿中的重大错报而导致的审计未能提供合理保证或有限保证的风险。内部审计主要侧重于监督和咨询，并要求关注企业的运作、管理层的行为以及管理结构和系统的建立和运作。

二、基于风险矩阵的内部审计风险模型构建

审计风险作为内部审计活动的中心环节，对审计风险的评估成为现代国有企业管理的重心。因此，在上述内部审计风险理论对比分析的基础上，针对当前公司所遭遇的“三重压力”可以从三个角度去理解：首先，需要明确的是，在中国的现代化进程中必须坚持“以经济建设为核心”的党的基本原则，全力以赴地把握发展的主导地位。其次，需要调整，面对已经感知到的“三重压力”，需要改善和优化我们的政策配置，以及协同配套。再其次，需要纠正，面对经济社会发展这个相互关联的复杂系统，需要做出适当的调整。需要避免并修正混淆的错误，不能让分工明确的做法变为只看重自身而忽视其他事项，防止在各个部门的合理政策累积后产生负面影响。最后，也需要避免并修正分解错误，不能将全局的任务简化为一次性完成，更不能逐级增加，这样会使得基层无法承担。因此，在国有企业内部审计风险可从以上三个方面定义，分别为定向风险、调整风险和纠偏风险，在此基础上，尝试构建基于风险矩阵的内部审计风险模型如下：审计风险 = 企业/业务综合风险 × 检查风险。其中，企业/业务综合风险=（定向风险+调整风险+纠偏风险）

大多数内部审计职能是以工程审计、营销审计、经济责任审计和其他日常经济活动的监督为重点，检查的重点大多是被审计的管理制度和制度执行情况，较少参与被审计部门的财务报告工作。即使是对财政（务）收支预算和决算的审计，未上市的电网公司，其预算和决算报告不向公众公布，不提供鉴证信息，委托人受托责任链也无法促进基于鉴证信息的决策发挥审计功能。内部审计应通过调查和揭示其他微观问题，发挥审计抵御系统的作用。社会审计风险模型假设被审计单位有一个有效的内部控制体系，战略风险因素和财务报告重大错报风险能够被控制到分析剩余风险，但国有企业内部审计的形式和对象种类较多，且各类审计其存在错误或者舞弊的风险又可能有所不同。因此，需要引入风险矩阵概念，针对不同被审计对象和审计类型，结合风险管理的现状，对企业/业务的综合风险进行评估，指导审计取证的程序，进而管控审计风险。

1.风险矩阵介绍。风险矩阵是一种结构化的方法，用于识别项目管理过程中项目风险的重要性，定性和定量评估项目风险的潜在影响。本文以风险矩阵方法对电网企业的内部审计项目审计风险进行评估。风险分布图是由各种元素构建的，包括风险分布图、风险对应的影响、可能出现的风险、风险的分级以及风险的管控等。风险矩阵是由各种元素构建的，包括风险栏、风险影响栏、风险发生概率栏、风险等级栏和风险管理栏等。

利用风险矩阵法，可以构建出一个二维表格，其中横轴表示风险发生的可能性，而纵轴则是表示风险对公司的影响程度。对应于四种不同的处置策略：风险容忍、风险控制、风险规避和风险处理。

通过风险矩阵法，能够综合考虑风险的影响力与其出现的几率，从而准确地预测出风险因素对项目的效果。在风险导向审计中，通过运用风险矩阵的策略，我们能够明确审计的风险因素的等级，从而有针对性地调整审计力量和资源，增加关键风险的取证范围，减少可能被忽视的风险的收集范围，将审计的风险限制在可接受程度内，从而增强审计的效益。

2.重要综合风险识别。结合电网企业作为中央企业的属性和新时代应对“三重压力”的政策目标，可以从网、省的年度战略目标出发，初步了解到影响电力企业实现目标的各种风险，包括来自外部国家的政策风险、电力系统的改革风险以及企业内部的清廉风险、人力资源管理风险、安全生产、财务管理、工程管理等。

3.重要综合风险评估。文章运用了风险矩阵的基本理论，考虑电网企业内部审计中综合风险的发生概率、风险等级和影响程度，并对发生概率、风险等级和影响程度进行阐述。

4.重要综合风险的风险矩阵和应对措施。电力企业为了能够使评估更加的全面客观，结合拟开展的f53428ed81ef491dcfd7829b99bd7ef97cb0554e516cc85e7cb55d67d024c935审计项目，可以通过在局领导和职能部门层面发放风险评估问卷和评分表，来反映企业在该审计领域所面临的各种风险问题。基于风险的发生条件和频率，可以采用定性和定量的评分方法，使得相关人员能够进行全面的评价衡量，并给出合理的分数研判，从而构建出风险矩阵图。

依据风险矩阵的分析成果，为了减少审计的风险，可以对各种级别的错报风险实施以下的预防手段。①对于风级为“高”和“高（+）”的风险作为重点防控对象，在审计过程中，除了对凭证、报表、日常工作记录等进行审查外，还需要对相关人员的道德素质和法律知识等因素进行全面的分析和评估，以扩大必要的证据收集范围。②对于风险等级为“中”和“中（+）”的风险，这是电力企业的基本业务领域，我们需要重视管理。在执行审计过程中，我们需要增强对公司内部管理的程序性测试，然后进行充分且必须的实质性测试。③对于风险等级为“中（-）”的风险，可以依据标准的审计流程来布置审计任务，并在合理的区间内实施部分抽样的操作。在此背景下，公司的内部审计人员需要全面考虑公司当前的实际状况和公司自身的各种优势和条件，从避免风险、转移风险、降低风险发生的可能性和减少损失的角度来采取有效的策略来应对。

5.内部审计风险的修正。在实际的审计执行过程中，内部审计人员还必须不断调整风险评估的结果，使审计计划和资源配置适应实际的审计执行情况，提高审计效果，高效利用资源，降低审计风险。

在审计的执行阶段，当审计人员发现错误时，应首先确定错误的原因以及是否有必要对错误进行进一步调查和分析。如果审计师确定该错误是未识别的风险，审计师应再次收集相关证据来评估这个危险，明确它的可能性和严重性，明确新的风险对总体风险水平的影响，并决定是否需要调整审计方案或者重新分配资源。

三、基于风险矩阵的内部审计风险模型应用举例

本文以电网企业开展的工程项目全过程审计为例，按照“目标—风险—控制”内在逻辑，结合企业发展战略和电网企业工程建设的管理目标，识别业务风险和控制措施，深入探究内部及外部经营环境，进而合理安排审计计划。

1.风险识别。根据国家及上级单位的管理规定，电网企业的工程管理必须遵循国家所设立的所有基础建设流程，并执行“项目法人制”、“资本金制”、“招投标制”、“合同管理制”以及“工程监督制”。工程建设从可研、立项、施工、竣工验收、投产等需要形成工程管理的闭环管理机制，各项流程设计合理，制度执行情况良好。透过分析公司的发展策略和项目管理目标，我们可以认识到，对电网企业项目建设管理目标实现产生影响的风险包括来自外部的国家政策、电力系统改革的风险，以及公司内部的安全生产、财务管理和会计核算、项目建设管理、诚信廉洁的风险等。

2.审计风险评估。经过对电网企业的工程建设业务风险的辨认，在《中央企业全面风险管理指引》的引导下，审计组根据风险矩阵相关要素的评估准则，选用风险发生的可能性和风险的影响程度来评估风险和重大风险的发生概率。同时，结合公司实际情况，确定了相应的评价标准。审计组利用专家评分法，设计调查问卷，对局领导和职能部门负责人发出风险评估问卷和评分表，各位专家本着客观、负责的态度，对公司在工程建设领域面临的各种风险和损失进行了评估，并根据定量和定性的准则，评价合理分数。经由问卷研究，审计组能够深入理解该公司面临的多样化风险情况。

3.编制审计计划。在确定了工程建设业务的重点风险事项后，基于风险矩阵的风险评估，制定审计工作方案。核心的内部审计任务在于识别并评估这个业务领域的高危因素，然后根据这些因素的风险大小进行排名，并依据最佳的资源配置策略来分配审计资源，同时也需要设立相应的项目与流程。

四、结语

内部审计的免疫功能应有效降低审计风险，提高审计效果。本文分析了审计风险评估在审计风险模型和操作风险导向审计中的相关性，并提出从审计风险基准的角度来看，内部审计风险评估的特点是外部压力不足，表现为对业务活动进行微观调查的问责制。在此基础上，作者尝试构建基于风险矩阵检查的内部审计风险模型，结合电网企业营销审计的设置、流程和报告对该模型进行说明，旨在为内部审计实践提供理论指导。

（作者单位：广东电网有限责任公司中山供电局）