李琰

摘要 內(nèi)部審計經(jīng)過長期發(fā)展，已逐漸從傳統(tǒng)的財務審計進入風險導向內(nèi)部審計階段，與公司治理和內(nèi)部控制之間的關系也日趨緊密。本文通過分析風險導向內(nèi)部審計和內(nèi)部控制評審的內(nèi)涵、特征，闡述了風險導向內(nèi)部審計與內(nèi)部控制評審的關系、結(jié)合方式；并以案例闡述了風險導向內(nèi)部審計和內(nèi)部控制評審相結(jié)合的理念在公司內(nèi)部審計實踐中的應用。

關鍵詞 風險導向 內(nèi)部控制審計 內(nèi)部控制評審

一、風險導向內(nèi)部審計的內(nèi)涵及其特點

（一）風險導向內(nèi)部審計的內(nèi)涵

風險導向內(nèi)部審計是指內(nèi)部審計人員在審計全過程中始終關注風險，并根據(jù)風險程度合理選擇項目，以降低風險為導向，進行內(nèi)部控制制度的符合性測試和實質(zhì)性測試，并進行監(jiān)督和評價，提出建設性意見和建議，從而有效降低企業(yè)的風險，增加企業(yè)價值的一種方法。

現(xiàn)階段風險導向內(nèi)部審計包含了兩層含義：一是將審計計劃與企業(yè)的風險相聯(lián)系。即內(nèi)部審計計劃應該反映企業(yè)的風險戰(zhàn)略。在制定內(nèi)部審計計劃時，應該在對可能影響企業(yè)風險進行評估的基礎上，確定審計計劃的范圍和項目，并根據(jù)情況的變化對審計范圍適時更新，以風險因素來確定審計業(yè)務工作重點。二是發(fā)揮內(nèi)部審計在風險管理過程中的作用。國際內(nèi)部審計師協(xié)會在《內(nèi)部審計實務標準》中指出，內(nèi)部審計人員應該通過檢查、評價、報告風險管理過程的充分性和有效性并提出改進建議來協(xié)助管理人員和審計委員會的工作。

（二）風險導向內(nèi)部審計的特點

1.以內(nèi)部控制評審為基礎

內(nèi)部審計要對公司的風險管理加以評估與改善，首先必須通過內(nèi)部控制評審，查找并發(fā)現(xiàn)內(nèi)部控制中存在的風險點。內(nèi)部控制評審是風險導向內(nèi)部審計進入公司治理和風險管理、評估改善組織風險的基礎。

2.以對風險的評估與改善為首要目標

內(nèi)部審計無論是對內(nèi)部控制進行評估與改善，還是對公司治理程序進行評估與改善，都是以風險評估與改善作為首要目標，其一切活動都要以風險管控作為出發(fā)點和落腳點。風險導向內(nèi)部審計不是在簡單的內(nèi)部控制領域消極地查錯防弊，而必須以企業(yè)的整體風險評估作為自己的首要工作目的。

3.善于發(fā)現(xiàn)并重點關注企業(yè)的風險

風險導向內(nèi)部審計更加注重企業(yè)內(nèi)外部顯現(xiàn)與潛在的影響企業(yè)當前和未來發(fā)展的問題，從根本上改變了傳統(tǒng)制度導向?qū)徲嬆Ｊ街饕鶕?jù)對過去的業(yè)務與內(nèi)部控制情況進行評價而做出審計結(jié)論、提出審計建議的做法。風險導向內(nèi)部審計強調(diào)關注公司治理框架中的風險發(fā)現(xiàn)與風險管理，關注管理者及其經(jīng)營風險。

二、內(nèi)部控制評審的內(nèi)涵及特征

（一）內(nèi)部控制評審的內(nèi)涵

內(nèi)部控制是為實現(xiàn)公司經(jīng)營管理目標而建立起來的既相互聯(lián)系、又相互制約的具有控制職能的一系列規(guī)范、程序和方法，內(nèi)部控制是一個嚴密而完整的體系，是公司健康運行的保證。

（二）內(nèi)部控制評審的特點

其主要特點表現(xiàn)在：一是為公司管理層提供了一個管理和控制風險的工具，使公司對內(nèi)部控制有一個更全面真實的了解，保證內(nèi)部審計人員和管理人員共同對風險進行控制。二是反映出當前管理控制中存在的問題，讓管理部門了解到各自對內(nèi)部控制的責任，促使各管理部門更好地履行職責，促進企業(yè)內(nèi)部管理行為的規(guī)范化。三是有利于提高內(nèi)部控制制度的控制功能和控制效果，促進企業(yè)科學治理，促進企業(yè)整體效益的提升。

三、風險導向內(nèi)部審計與內(nèi)部控制評審相結(jié)合的實踐應用

（一）建立內(nèi)部控制體系的風險架構，形成風險數(shù)據(jù)庫

以M省電網(wǎng)公司為例，將其內(nèi)部控制體系從上至下分為領域風險、業(yè)務風險、環(huán)節(jié)風險以及事項風險四個層級。在橫向維度上全面覆蓋了公司戰(zhàn)略管理風險、運營業(yè)務風險及支持業(yè)務風險三大領域風險。根據(jù)內(nèi)部控制體系管控的風險范圍和風險層次，共識別出一級領域風險3項、二級業(yè)務風險14項、三級環(huán)節(jié)風險89項、四級事項風險267項，并形成了公司整體風險架構。風險架構包括內(nèi)部控制環(huán)節(jié)的全部風險，這些風險正是風險導向內(nèi)部審計的對象。

（二）以內(nèi)部控制體系風險框架為基礎，開展內(nèi)部控制評審

結(jié)合M省電網(wǎng)公司內(nèi)控專欄發(fā)布的“內(nèi)控評價問題解答”，采取線上線下結(jié)合方式，組成聯(lián)合評價小組執(zhí)行，在省、市、縣三級單位開展，涵蓋人力資源管理、財務管理、物資（服務）采購管理、工程管理、電力交易管理、合同管理等6大業(yè)務。依托內(nèi)部控制體系風險框架和風險數(shù)據(jù)庫，有序開展內(nèi)部控制評審工作，針對內(nèi)控制度風險防范的符合性和有效性測試，評價內(nèi)部控制是否有效，是否滿足了風險防范的要求，是否存在控制缺陷。通過內(nèi)部控制評審，將揭示的風險點及時反饋公司管理層及各業(yè)務部門，強化業(yè)務風險的日常管控，促進業(yè)務管理的優(yōu)化提升。

四、結(jié)語

目前，企業(yè)面臨的風險日益增多，因此內(nèi)部審計必須轉(zhuǎn)變觀念，重點關注風險，逐步由傳統(tǒng)方式向風險導向內(nèi)部審計轉(zhuǎn)變，并與內(nèi)部控制評審緊密結(jié)合，通過內(nèi)部控制評審管理和控制風險，由事后監(jiān)督評價轉(zhuǎn)向事前的預警防范，真正做到審計關口前移，提高內(nèi)部審計工作的時效性，為企業(yè)持續(xù)提供價值增值服務。endprint