高玉潔

摘 要：伴隨企業(yè)在經營中面臨的內外部風險日趨多樣和復雜，在企業(yè)治理、風險管理、內部控制等領域，企業(yè)面臨諸多挑戰(zhàn)，從而產生了全面風險管理需求，并通過優(yōu)化內部審計，改善企業(yè)治理、加強內部控制以實現(xiàn)企業(yè)增值。本文以內部審計定義及價值鏈分析基礎，闡述風險管理對內部審計的重要意義和作用，探索基于風險管理的內部審計的實務操作。

關鍵詞：內部審計 風險管理 企業(yè)增值

近年來，隨著企業(yè)經營內外部風險日趨多樣和復雜，在企業(yè)治理、風險管理、內部控制等領域，企業(yè)面臨諸多挑戰(zhàn)，從而產生了全面風險管理需求，為改善企業(yè)治理、強化內部控制進而要求內部審計參與風險管理的評價和改進以實現(xiàn)企業(yè)增值。

一、內部審計再認識

從國際內部審計師協(xié)會（IIA）關于內部審計定義可得出內部審計的職能是企業(yè)價值增值，并主要關注企業(yè)風險管理。

依據(jù)邁克爾·波特的“價值鏈”理論，內部審計是企業(yè)創(chuàng)造價值動態(tài)過程的組成部分之一。在邁克爾·波特提出的"價值鏈分析法"中，基本活動和支持性活動構成了企業(yè)價值增加過程即企業(yè)價值鏈，其中：基本活動包括企業(yè)采購、生產、銷售、售后等；支持性活動包括行政、人事、財務等。內部審計定位于作為支持性活動的一部分，并通過評價及改善風險管理、控制和治理過程，服務于企業(yè)增值目標。

二、內部審計增值突破——風險管理

（一）風險管理

IIA2003年版的《內部審計實務標準》以及中國內部審計協(xié)會在《內部審計具體準則第16號》均認為風險管理，包括風險識別、風險評估及風險應對，是指根據(jù)組織目標、戰(zhàn)略等識別其所面臨的風險，評估風險發(fā)生的可能性及影響程度后，采取相應的應對措施，將風險降低到可以接受的程度，并將其控制在組織可接受的范圍內。

（二）基于風險管理的增值審計

建立在風險管理基礎上的內部審計是指企業(yè)內部審計全過程參與風險管理的監(jiān)督、評價過程，以及在審計過程中采用以風險導向的審計方法。為了評價各項風險政策合理性、應對措施適當性以及執(zhí)行有效性，采用系統(tǒng)化、規(guī)范化的方法審計組織風險識別、風險程度評價、風險應對等工作，進而提高過程效率，幫助實現(xiàn)機構目標。內部審計人員在審計過程中，首先通過測試組織的風險策略決定內部審計的范圍、性質和程度，確定實質性測試的程度，從而提高審計效率和質量，

三、基于風險管理的增值審計應用

（一）基于風險管理的增值審計開展前提

1、企業(yè)高層管理人員的高度重視

企業(yè)高層管理人員重視經營管理，將風險管控貫穿于企業(yè)文化建設中，對內部審計機構在企業(yè)風險管理中的作用給予充分肯定。

2、正確樹立內部審計部門在企業(yè)管理中的地位

根據(jù)COSO的風險管理框架，優(yōu)化了內部審計組織結構設置。在企業(yè)董事會下設立內部審計管理委員會（內部控制管理委員會兼），由其代表董事會對管理層進行監(jiān)督，并成立內部控制部，配備專職審計人員開展內部控制審計、管理審計等各項審計工作。董事長親自審簽審計報告，解決審計中面臨的困難和障礙，審計部門不參與業(yè)務部門的管理工作和業(yè)務決策執(zhí)行。此舉使得內部審計部門能夠保持較高的獨立性、權威性和組織地位，有利于內部審計的檢查、評價、監(jiān)證和咨詢功能的發(fā)揮。

3、完善風險管理體系建設

在戰(zhàn)略、財務、規(guī)劃、采購、合約等環(huán)節(jié)開展風險管理工作，將風險管理的各項要求融入企業(yè)管理和業(yè)務流程中。經內控管理體系優(yōu)化，構建起風險管理的三道防線：明確了各下屬單位、職能部門、業(yè)務部門作為風險管理的第一道防線；風險職能部門為第二道防線；內部審計部門和董事會下設的審計委員會是第三道防線。根據(jù)業(yè)務內涵和發(fā)展現(xiàn)狀，完成整體風險事件庫建設，涵蓋各業(yè)務領域。

4、不斷提高內部審計人員的勝任能力

基于風險管理的增值審計對要求內部審計人員不斷提高其專業(yè)素質。它要求審計人員站在企業(yè)戰(zhàn)略的高度，運用系統(tǒng)的思維方式，結合企業(yè)內部控制、財務管理、績效評價的綜合審核結果，通過對風險識別、風險程度評價、風險應對的審計，對風險管理現(xiàn)狀做出專業(yè)判斷，得出評價與建議。為此，需配備了富有經驗的高素質專業(yè)審計人員，并對支持人員持續(xù)進行后續(xù)教育和培訓，不斷提高勝任能力。

（二）基于風險管理實施內部審計的步驟

1、建立內部審計信息平臺

以審計對象為單元，建立審計信息平臺，定期收集相關風險信息，信息平臺包括：企業(yè)基本信息、企業(yè)歷史審計成果、企業(yè)當前就業(yè)及財務信息、企業(yè)風險管理信息。

2、以風險為導向制定審計計劃

根據(jù)中國內部審計協(xié)會《內部審計具體準則第1號——審計計劃》要求，內部審計計劃“一般包括年度審計計劃、項目審計計劃和審計方案三個層次”。

在編排計劃階段，從內部審計信息平臺獲取相關風險信息，分析被審計對象面臨的各類風險因素的數(shù)量及其風險綜合評估的風險等級高低，從而對被審計對象風險重要性水平進行評估。根據(jù)風險評估結果，按從大到小的等級對風險按序進行排列，結合現(xiàn)有的審計資源確定審計項目的數(shù)量及開展的先后順序。結合企業(yè)經營業(yè)務情況，優(yōu)先安排風險大的項目，風險小的后審。同時，將被審計對象包含的風險因素風險綜合評估等級高或者低的內容，確定審計計劃的重點及要點。

3、基于流程圖的業(yè)務流分析

對被審計對象進行業(yè)務流分析。流程圖是流經一個系統(tǒng)的信息流、觀點流或部件流的圖形代表。借助流程圖可對被審計對象的各項業(yè)務流程形成清晰的認識，從而識別和記錄將風險控制在預期水平的關鍵控制點，并對于這些關鍵控制點的執(zhí)行有效性進行評估。

4、運用風險坐標圖實施風險評估

通過采用集體討論、專家咨詢、政策分析、行業(yè)企業(yè)比較等方法，重點關注企業(yè)面臨的主要風險是否已被識別，同時找出尚未識別出的各類風險，并分析其重要性水平；對已識別的風險，分析其發(fā)生的可能性，進而確定風險發(fā)生后對將對企業(yè)產生的影響程度。根據(jù)風險評估具體結果，繪制風險坐標圖，評價風險事件庫的完整性、適當性，并以此為基礎進一步明確審計實施階段的審計內容和審計重點。

5、設計和執(zhí)行審計測試

審計測試包括控制測試和實質性測試。通過采用證據(jù)檢查法、穿行試驗法和實地觀察法進而確定實質性測試的范圍。對于審計測試的結果，可評估流程設計的完整性、執(zhí)行有效性，并據(jù)此得出審計結論形成審計發(fā)現(xiàn)。

6、評價及改進

形成審計評價及審計報告。結合上述步驟中的審計發(fā)現(xiàn)，評價被審計項目風險管理的制度設計、措施執(zhí)行情況，并對于不足提出改進意見和建議，并及時反饋給相關管理層，落實整改，必要時進行后續(xù)審計，確保實現(xiàn)審計最終的增值功能。

四、結論與展望

企業(yè)要想在市場經濟大浪中持續(xù)生存、長足發(fā)展，需時刻對其面臨的各類風險進行系統(tǒng)識別和管理。借鑒風險管理理念，結合企業(yè)具體情況，通過開展基于風險管理的增值審計，采取應對措施塑造風險管理文化，完善風險組織管理體系，提升風險管理策略，不斷完善關鍵風險管理流程，幫助企業(yè)實現(xiàn)增值最終目標。

參考文獻：

[1]孟焰，潘秀麗.企業(yè)風險管理審計研究[J].審計研究，2006年第3期，61-63頁

[2]李曉慧.基于企業(yè)價值增值的風險管理[J].審計研究，2009年第2期，49-52頁

[3]錢光明，陳德艷.論我國企業(yè)的風險管理審計[J].審計，2011年11月33期，32-34頁

[4]李兆華，楊晨嵐.企業(yè)風險管理審計模式的構建[J].商業(yè)經濟，2011年11月，96-98頁