□ 文/張健一　司戰(zhàn)鋒　李煒　楊濱影

風險導向內部審計改進建議

□ 文/張健一司戰(zhàn)鋒李煒楊濱影

風險導向內部審計是當前較為先進并廣泛應用于國際大型企業(yè)的審計理念。中國石油集團公司在國際化探索的道路上，也把內部審計和風險控制作為管理提升的重要組成。

中國石油集團業(yè)務涉及上中下游，各子公司，分公司分管的領域和所盡職能各異，因此所面對的主要風險各不相同。對每一個審計對象制定相應的審計策略和計劃，也就是針對不同的風險量體裁衣，這正是審計工作最核心的內容。

（一）

根據(jù)對風險的解析，可以認為所謂風險導向就是基于風險計量和評估結果開展經營和管理活動；風險導向內部審計就是基于風險計量和評估結果開展內部審計活動。

在傳統(tǒng)的內部審計中， 內部審計人員比較重視審計實施階段的工作，在現(xiàn)場花費大量的時間和成本，忽視了審計計劃階段的工作在整個審計過程中統(tǒng)馭全局的作用。而在風險導向內部審計模式下， 以風險為核心的審計理念要求內部審計人員應將更多的時間放在計劃階段，及早確認風險，而不是當損失形成后才去報告，使審計工作的重心由實施階段前移到計劃階段。

（二）

實施風險導向審計是國際內部審計實務標準和國內內部審計準則的要求。2011 年國際內部審計協(xié)會對已發(fā)布的《內部審計實務標準》修改后，在內容上，包括內部審計的定義、目標、工作重點、標準、剩余風險等，自始至終都貫穿著風險導向審計的主導思想；在《中國內部審計具體準則》中，也強調了內部審計工作流程要以風險為導向，在整個審計過程中貫穿對風險的關注。

實施風險導向審計是完善內部控制、加強風險管理的需要。風險管理是內部控制的延伸，內部審計是風險管理的確認者，是對風險管理的再管理。風險導向內部審計，實質上就是對內部控制進行更為徹底的檢查而已。

公司決策層建立健全風險管理機制并使之有效運行，內部審計部門則扮演重要的“合作伙伴”角色，它通過客觀地評價風險防范措施的適當性，考量公司對于風險的接受、補償、轉移和分散措施的合理性和有效性，來改善風險管理機制及運行中不完善部分，力求從源頭上加強銀行的風險管理，使公司真正做到“風險先行”。

實施風險導向審計是提高公司內部審計工作效果的需要。目前國內大多數(shù)公司內部審計以查錯糾弊的真實性審計和對照制度檢查的合規(guī)性審計為主，而風險評價和建議咨詢功能欠缺，增值效果有限。

內部審計部門如何將審計理念和方法由傳統(tǒng)的合規(guī)性審計向以加強和改善組織風險管理為目標的風險導向審計轉變，已成為一個亟待解決的問題。隨著市場經濟的發(fā)展和金融創(chuàng)新的推進，新的風險點不斷出現(xiàn)，以風險引導審計方向，對重點崗位、要害部位和關鍵環(huán)節(jié)的風險進行排查，確定風險點，并就其潛在風險、防范措施、責任主體及責任追究進行系統(tǒng)分析，這正是風險導向審計的核心內容。

（三）

風險導向內部審計在具體操作時可分為三個流程：第一階段，評估機構的風險管理成熟度；第二階段，將要檢查的風險分配到審計內容，建立風險和審計范圍表，擬定審計計劃；第三階段，實施審計并根據(jù)審計結論更新風險和審計范圍表。

不同風險成熟等級下的審計方法可參見下表：

風險管理成熟度　　控制措施　審計方法完成級　　所有風險被識別和評估；定期對風險監(jiān)控；采取了應對措施管理　　　　　　　　確認管理級界定級大多數(shù)風險被識別和評估；定期復核風險；應對措施管理了大部分風險咨詢察覺級　　制定了控制措施但沒有與風險對應起來　　不能應用風險導向內部審計，通過發(fā)揮顧問職能促進風險管理起步級　　制定了控制措施，但有些控制欠缺或不完善

在第一階段，應判斷被審計單位的風險管理成熟度。被審計單位，應大力配合內審部門的工作，客觀真實地反映實際情況。

在第二階段，審計部門通過獲取的風險清單，選擇需要審計的風險并列入審計計劃。

在第三階段，審計部門實施現(xiàn)場審計并形成審計報告，將公司風險管理狀況向管理層及董事會報告。

（四）

目前國內大部分企業(yè)的內部審計模式為“經營管理全面審計”，區(qū)別于風險導向審計，是基于全面業(yè)務流程和公司管理模式的審計方法，缺乏對于公司經營風險評估的內容和環(huán)節(jié)。在實務操作中，審計人員憑經驗判斷公司風險管理狀況，并以此為依據(jù)安排現(xiàn)場檢查重點，缺少操作性規(guī)范及量化標準。造成的后果是審計資源浪費，審計工作量增加，且不能得出針對性的結論。

隨著企業(yè)管理層對于內部審計重要性認識的增加，以風險為導向的內部審計將逐步引入國內審計實踐中。首先，國內企業(yè)將引進風險評估體系，主要應從以下幾方面開展風險評估：

1.利用外部處罰及審計發(fā)現(xiàn)問題，建立公司風險事件庫。公司總部組織專門團隊對各個被審計單位的風險事件庫進行定期分析，把分析結論形成意見正式下達給被審計單位，同時設立一個風險預警機制。通過風險矩陣圖，分析公司的風險管理情況，確立重點審計領域。

2.利用被審計單位的月報，季報，年報等生產經營報表和財務報表，掌握公司的總體經驗狀況，以及分析公司經營過程中的薄弱環(huán)節(jié)和風險點。任何風險，早晚都會以數(shù)字形式放映到企業(yè)的財務報表中。審計師要做的，就是防范于未然，提前識別和排除風險。

3.借鑒公司相關風險管理部門關鍵風險指標內容，并在其基礎上加以優(yōu)化，搭建公司風險管理評價指標體系，開展公司風險評價，從而為審計重點的確定奠定基礎。

4.利用先進IT審計系統(tǒng)中的風險評估模塊，在每次現(xiàn)場審計前開展對被審計部門的風險評估，并以此為基礎，制定審計方案，確定審計重點。需要強調的是目前國際上特別是西方市場上，會計審計和風險評估系統(tǒng)，軟件有很多。需要認真甄別篩選適合企業(yè)具體管理軟件，避免花費重金購買了復雜的審計軟件但不適用于企業(yè)具體情況。

5.企業(yè)總部要著力打造一個信息平臺，及時反饋國內外政治經濟環(huán)境，市場信息，利用外聘律師，稅務師，保險分析師，咨詢師提供專業(yè)分析。并把分析結論結合到企業(yè)實際經營過程中。例如對于海外政治高危地區(qū)，金融體系薄弱，貨幣貶值風險大和稅務風險大的國家，建立常規(guī)監(jiān)督機制。內部審計師應能在任何時候從這個平臺的數(shù)據(jù)庫中共享信息。

隨著市場競爭的加劇，管理層將逐漸認識到良好的公司治理與內部審計將加大企業(yè)在市場中勝出的砝碼，對于內部審計的投入將逐步加強。未來數(shù)年內，可預期像中國石油這樣的跨國綜合性企業(yè)將引入審計先進理念、借鑒國際大型企業(yè)成功經驗，完善公司內部審計工作，提高公司風險控制水平，并在相關數(shù)據(jù)積累和整理的基礎上，對公司的風險管理成熟度、管理者的風險偏好進行量化評估，最終完成對各機構的風險管理成熟度的動態(tài)分級，對各個子公司和分公司形成審計方案的個性化定制，形成風險清單與風險熱圖，實現(xiàn)以風險為導向的內部審計。

作者單位：中國石油哈薩克斯坦公司