王希 中國科學(xué)院沈陽自動化研究所

一、基于風險導(dǎo)向的行政事業(yè)單位審計的理論研究

（一）風險導(dǎo)向內(nèi)部審計的特點分析

風險導(dǎo)向內(nèi)部審計是現(xiàn)代企業(yè)與事業(yè)單位等機構(gòu)內(nèi)部審計的重要組成部分，可以幫助企業(yè)等完善組織的治理，增加其自身價值以及實現(xiàn)長遠目標為目的，起點為組織的風險，導(dǎo)向為降低該組織的風險。風險導(dǎo)向內(nèi)部審計作為一種新興的審計技術(shù)和審計理念，相對于以前傳統(tǒng)的內(nèi)部審計來講，具有許多優(yōu)點：

現(xiàn)代的風險導(dǎo)向內(nèi)部審計，首先會對影響目標實現(xiàn)的所有可能出現(xiàn)的風險進行識別和評估，并將其作為開展審計工作的前提和基礎(chǔ)。它的核心為確立風險識別以及評估的重要性，并對后續(xù)的審計工作起指導(dǎo)作用。作為內(nèi)部審計人員，確定審計工作的重點，并且分配審計資源等，都是建立在風險評估的基礎(chǔ)之上的。為了有效的提高效率節(jié)約成本，在保證審計質(zhì)量的前提下，需要以風險作為審計工作的風向標。風險的識別與評估都是持續(xù)的、需要不斷進行更正的動態(tài)化過程，審計人員在進一步實施審計程序之后，對該企業(yè)組織可能面臨的風險因素又有了更加深入的了解，并根據(jù)進一步審計程序的結(jié)果對之前所作出的評估進行相應(yīng)的對比修正，由此修改后續(xù)工作內(nèi)容。通過以上所有的審計工作后，才能最終實現(xiàn)內(nèi)部審計的目標。傳統(tǒng)內(nèi)部審計的工作中，審計人員和被審計的對象的關(guān)系比較僵硬，被審計對象會產(chǎn)生比較多的抵觸心理，這樣通常會導(dǎo)致他們不太配合審計人員實施審計工作，從而不利于審計人員開展審計工作以及獲取審計材料。

但是目前風險導(dǎo)向內(nèi)部審計改變了這種狀況，被審計人員可以參與風險的識別，審計過程中發(fā)現(xiàn)的問題也同樣需要被審計人員進行解決和溝通。這種方式可以充分調(diào)動他們的積極性，也得到了理解與支持。

風險導(dǎo)向內(nèi)部審計作為新技術(shù)和新理念的一種經(jīng)濟控制方法，由于與企業(yè)的風險管理密切相關(guān)，所以也成了一種新的風險控制辦法。風險導(dǎo)向內(nèi)部審計受托責任于企業(yè)的管理層，不同于傳統(tǒng)內(nèi)部審計的事后追責，變成了事前和事中的控制與提醒，這種方式能為組織創(chuàng)造更多的價值。傳統(tǒng)的監(jiān)督評價職能發(fā)展變化成為確認和咨詢職能，更加體現(xiàn)出了增值的目標。

內(nèi)部審計作為一種自我監(jiān)測機構(gòu)內(nèi)部運行的監(jiān)管機制，其主要的檢查對象是日常的運營活動與控制活動，但監(jiān)測這些活動的主要目的不僅在于規(guī)范運營程序、提高運營準確性，還在于防范潛在風險。風險導(dǎo)向的內(nèi)部審計突出并強化了內(nèi)部審計的這一功能，并在程序上不斷規(guī)范并強化這一功能，使事業(yè)單位內(nèi)部可能會對未來發(fā)展產(chǎn)生影響的事情進行識別與控制，程序化的風險識別是實現(xiàn)對于未來產(chǎn)生影響事件識別的必要手段，也是現(xiàn)行的企業(yè)風險評估的核心方法。與管理會計在企業(yè)中的作用類似，風險導(dǎo)向的內(nèi)部審計對審計對象進行更為科學(xué)的運營安排與發(fā)展戰(zhàn)略的提議。

（二）風險導(dǎo)向內(nèi)部審計的目標與職能

風險導(dǎo)線內(nèi)部審計是內(nèi)部審計的擴充與發(fā)展，因此風險導(dǎo)線內(nèi)部審計的主要目標仍然是內(nèi)部審計的目標——權(quán)力機構(gòu)的行為活動，對于企業(yè)而言是股東與股東大會，對于行政事業(yè)單位即管理層，這也是機構(gòu)的最高利益群體，因此對于這一部分的審計主要傾向于對于財務(wù)報表真實性的審查。風險導(dǎo)向內(nèi)部審查的架構(gòu)與傳統(tǒng)內(nèi)部審查的“控制-風險-目標”截然相反，首先通過確定審計目標，在對審計目標的行為進行風險與控制，進而實現(xiàn)風險的識別與控制，風險導(dǎo)線內(nèi)部審計的主要審計對象是項目，但審計的主要內(nèi)容是項目執(zhí)行者的行為與活動，通過對于行為量的分析分配審計資源并提出相關(guān)的風險規(guī)避與行為優(yōu)化措施建議。由于管理層的決策信息來源不唯一，風險導(dǎo)向內(nèi)部審計作為信息來源的一部分，其結(jié)果應(yīng)充分反映行政事業(yè)單位運營風險而不需要進行其他方面的分析，通過以風險為導(dǎo)向的審計進行評價，是實現(xiàn)風險導(dǎo)線內(nèi)部審計的唯一原則。

風險導(dǎo)向內(nèi)部審計從內(nèi)部審計中延伸擴展直至獨立提出，豐富了內(nèi)部審計的內(nèi)涵與職能，將內(nèi)部審計的監(jiān)督擴展至了咨詢、控制與治理三方面，根據(jù)國際內(nèi)部審計師協(xié)會（IIA）對于風險導(dǎo)向內(nèi)部審計職能的界定，其兩大主要審計職能為確證與咨詢，所謂確證職能又稱確認職能，主要指通過風險導(dǎo)向的全新視角對企業(yè)或機構(gòu)等組織的運行做出評價，具體評價內(nèi)容包含組織的內(nèi)部控制情況、經(jīng)濟安全與制度安全等，對于不同類型的行政事業(yè)單位應(yīng)預(yù)先制定針對該機構(gòu)的評價標準與評價尺度，并在審計過程中嚴格執(zhí)行，確認即對于組織或機構(gòu)的行為做出確定性評價，同時使得管理層對于該組織或機構(gòu)的運營情況有著確定性的了解。對于咨詢職能而言，轉(zhuǎn)變了傳統(tǒng)的管理層通過內(nèi)部審計結(jié)果進行分析并作出決策的模式，使具體決策從管理層分析判斷轉(zhuǎn)變?yōu)閷徲嫴块T分析判斷，提高了審計與控制活動的連貫性，也從制度層面制約了管理層出于自身利益做出的風險決策，在審計部門向行政事業(yè)單位高層進行咨詢業(yè)務(wù)的同時，也可以向監(jiān)管部門提供咨詢業(yè)務(wù)，幫助管理者更好地進行對于行政事業(yè)單位經(jīng)營控制的同時，也逐步提高監(jiān)管部門外部監(jiān)管活動的科學(xué)性與有效性，風險導(dǎo)向內(nèi)部審計的確認功能與咨詢功能具有同等重要的地位，行政事業(yè)單位應(yīng)充分發(fā)揮這兩點。

（三）風險導(dǎo)向內(nèi)部審計與內(nèi)部控制及風險管理的關(guān)系

現(xiàn)代企業(yè)或事業(yè)單位的內(nèi)部架構(gòu)中同時還設(shè)立了內(nèi)部控制部門與風險管理部門，這使得風險導(dǎo)向內(nèi)部審計看似與上述兩者存在權(quán)責上的沖突與內(nèi)容上的重復(fù)，但實際上這三者背后均有不同的理論支撐與不同架構(gòu)中的位置，三者分屬三套不同的治理體系與評價體系，但在實際工作中存在一定的合作與制約，有利于行政事業(yè)單位的發(fā)展。

風險導(dǎo)向內(nèi)部審計與內(nèi)部控制具有緊密聯(lián)系，內(nèi)部控制中同樣也有風險管控這一要素，但風險導(dǎo)向內(nèi)部審計更偏向于對于內(nèi)部風險的識別管控與防范。根據(jù)傳統(tǒng)內(nèi)部控制五要素理論，通過對于風險活動的處理與善后不斷積累風險處理經(jīng)驗，以實現(xiàn)風險管控，而包含風險導(dǎo)向內(nèi)部審計的企業(yè)風險管理框架豐富了內(nèi)部控制要素，并增加了行政事業(yè)單位的戰(zhàn)略目標設(shè)定。在二者的關(guān)系上，內(nèi)部控制屬于風險導(dǎo)向內(nèi)部審計的審計對象，由于內(nèi)部控制是切實對于行政事業(yè)單位的運行情況作出干預(yù)與控制，其本質(zhì)上也屬于組織或機構(gòu)的運營活動，內(nèi)部控制的質(zhì)量會影響行政事業(yè)單位產(chǎn)生風險與否，需要受到一定的監(jiān)督與審計。在實際工作中，風險導(dǎo)向內(nèi)部審計有助于內(nèi)部控制功能的有效實現(xiàn)，由于內(nèi)控管理更多的是執(zhí)行層面的影響，一般內(nèi)部控制系統(tǒng)抽象化分析時被認為是一個開環(huán)系統(tǒng)，而風險導(dǎo)向內(nèi)部審計的加入對于內(nèi)部控制系統(tǒng)來說是引入了負反饋環(huán)節(jié)，提高系統(tǒng)的抗外界干擾能力的同時還限制了系統(tǒng)的波動性發(fā)展。

風險導(dǎo)向內(nèi)部審計與風險管理是行政事業(yè)單位應(yīng)對風險的兩種處理模式，在結(jié)構(gòu)上風險管理的涉及范圍最廣，太過寬泛的定義與職能設(shè)定嚴重影響風險管理的成效，因此引入風險導(dǎo)向內(nèi)部審計，使得行政事業(yè)單位的風險管理僅注重于對于前期一般性風險的分析識別，加強行政事業(yè)單位防范風險的能力與運營穩(wěn)定性。行政事業(yè)單位的風險大致分為可控制的一般性風險與不可控的復(fù)雜性風險，現(xiàn)代社會快速發(fā)展，不可控的復(fù)雜性風險愈發(fā)頻繁，風險導(dǎo)向內(nèi)部審計的引入防止了原有風險管理部門的大范圍改革與“換血”造成的部分問題，解決了行政事業(yè)單位架構(gòu)變化所帶來的風險，審計署于2014年發(fā)布的《內(nèi)部審計工作規(guī)定（征求意見稿）》一文以“免疫系統(tǒng)”這一生動比喻指出了風險導(dǎo)向內(nèi)部審計的作用與重要性。

二、基于風險導(dǎo)向的行政事業(yè)單位審計的現(xiàn)存問題

（一）內(nèi)部審計制度不完善不合理

不同的行政事業(yè)單位有著不同的組織架構(gòu)，其運營內(nèi)容與項目內(nèi)容也不盡相同，同時即使是同類型的行政事業(yè)單位，由于其所在地區(qū)不同，其具體情況也存在很大差異，客觀制約了內(nèi)部審計制度的完善，針對這一問題，不僅要從內(nèi)部審計的制度進行改革，更要加強行政事業(yè)單位內(nèi)部環(huán)境的建設(shè)與內(nèi)部控制的力度。造成我國行政事業(yè)單位內(nèi)部審計制度不完善的另一重要因素是相關(guān)法律法規(guī)的欠缺與落后，行政事業(yè)單位無法可依、無規(guī)可依的情況已經(jīng)持續(xù)多年，當行政事業(yè)單位需要進行整治時，往往借助外部審計機構(gòu)進行審計，外源性因素的介入進一步導(dǎo)致行政事業(yè)單位自身的內(nèi)部審計能力低下，制度健全緩慢。內(nèi)部審計制度不完善還由于行政事業(yè)單位對于內(nèi)部審計的認識程度與重視程度不足，管理層對于內(nèi)部審計的不重視導(dǎo)致了審計質(zhì)量的低下，進一步弱化了內(nèi)部審計的作用，造成內(nèi)部審計失效的最終結(jié)果，還造成了對于行政事業(yè)單位審計資源的浪費。

（二）審計的獨立性與權(quán)威性不足

通過上述分析，內(nèi)部審計不被重視的情況普遍出現(xiàn)于行政事業(yè)單位及其生態(tài)環(huán)境，這也客觀導(dǎo)致了內(nèi)部審計部門在行政事業(yè)單位中的缺乏或架空，內(nèi)部審計部門的部門領(lǐng)導(dǎo)行政職位不高或完全脫離于管理層，使得內(nèi)部審計缺乏權(quán)威性，內(nèi)部審計的負責人受到財務(wù)部門或行政部門領(lǐng)導(dǎo)的管轄，使得內(nèi)部審計缺乏獨立性。內(nèi)部審計時往往需要涉及單位運營的會計資產(chǎn)賬目、收支合法性證明等重要文件或機密文件，缺乏權(quán)威性的內(nèi)部審計往往無法取得第一手材料，這將會造成內(nèi)部審計的偏差甚至完全失效。

（三）審計人員對于項目的參與度與認識度不足

以工程項目為例，項目風險存在主要集中于資金風險等項目前期風險，而內(nèi)部審計人員對于項目前期的參與程度與認識程度均不足。一方面，內(nèi)部審計人員的教育背景大多數(shù)為會計專業(yè)，缺乏系統(tǒng)性的工程知識，對于財務(wù)審計以外的法律法規(guī)與工程安全標準等問題了解不足，再加上綜合性的專業(yè)審計人才較為稀缺，無法直接通過招募有效彌補缺口，而不同專業(yè)背景的人員在交流上存在一定的障礙，短時間內(nèi)無法完成有效的內(nèi)部審計隊伍建設(shè)。此外，內(nèi)部審計的審計范圍還有很大的局限性，對于單位內(nèi)部管理的領(lǐng)導(dǎo)干部履行經(jīng)濟情況進行審計等方面存在欠缺，只重視項目中期與末期的審計進程，制約了內(nèi)部審計的實現(xiàn)效果。

（四）風險管理的系統(tǒng)性方案把握不足

風險管理是一門跨學(xué)科的綜合管理，其背后理論涉及復(fù)雜科學(xué)，同時我國對于風險管理以及風險導(dǎo)向的內(nèi)部審計理論與實踐研究均落后于歐美發(fā)達國家，使得風險導(dǎo)向內(nèi)部審計始終缺乏系統(tǒng)性的工作流程、審計方法與評價標準，對于風險識別的能力也較為不足，風險評估與風險來源的對應(yīng)性較差，對于新風險的應(yīng)對措施建立缺乏有效機制。

（五）部分行政事業(yè)單位沒有風險清單與風險分類

對于現(xiàn)行風險管理中較為有效的清單管理辦法，部分行政事業(yè)也不能很好的實現(xiàn)與落實。風險清單是項目風險識別成果經(jīng)驗的有效積累，同時風險清單還具有很強的一般性與普及性，但我國行政事業(yè)單位的風險清單復(fù)現(xiàn)性較差，同時風險清單缺乏系統(tǒng)性的分類與分級，風險清單并不能有效提高項目的風險控制能力與成本控制能力。同時對于技術(shù)的風險識別與風險評價難度較高，需要較高水平的專業(yè)性人才與較高的成本投入，行政事業(yè)單位對于重點領(lǐng)域的重點風險控制是目前需要解決的首要問題。

三、基于風險導(dǎo)向的行政事業(yè)單位審計的對策分析

根據(jù)對于上述問題的分析，優(yōu)化風險導(dǎo)向的行政事業(yè)單位內(nèi)部審計，應(yīng)從制度、人員、架構(gòu)三方面入手，構(gòu)建系統(tǒng)性的風險導(dǎo)向內(nèi)部審計流程分為以下三個階段：

第一階段：首先需要建立風險記錄表，識別風險后確定目標以及識別風險事項，確定重大風險；再通過識別風險得出的結(jié)果了解和分析風險，以便充分利用風險開發(fā)機會；最后進行評估風險，并進一步完善和改進風險記錄表。第二階段：將風險和審計相結(jié)合聯(lián)系，制定相應(yīng)的審計計劃，確定合適風險和審計范圍，將審計計劃向?qū)徲嬑瘑T會進行報告。第三階段：將審計計劃分開進行單項的審計工作，匯報撰寫審計報告，反饋結(jié)果并將結(jié)果反映在第二階段的風險和審計范圍中，最終再次向?qū)徲嬑瘑T會進行報告。

在風險導(dǎo)向下為了完善行政事業(yè)單位的內(nèi)部審計，需要轉(zhuǎn)變內(nèi)部審計的理念，并適當?shù)脑鰪妰?nèi)部審計的獨立性，管理層人員需要清晰的認知到內(nèi)部審計對組織的重要性，由此才能在轉(zhuǎn)換內(nèi)部審計觀念、優(yōu)化審計環(huán)境的工作中起到帶頭作用。對于企業(yè)來說，增加審計工作的獨立性能夠讓大部分工作人員意識到現(xiàn)存制度管理中可能存在的風險隱患，有利于從整體層面對風險進行把控治理，時刻提升自身對于風險的防范能力，穩(wěn)固根基。

對于風險識別和風險評估體系的建立與完善，在內(nèi)部審計中也是十分重要的。風險的評估就是全面應(yīng)對管控風險的根基，根基的動搖會導(dǎo)致企業(yè)面臨巨大的風險，所以組織應(yīng)該積極開展高效的評估風險工作，使用多種方法進行全面的檢查，并在發(fā)現(xiàn)潛在風險時立刻準備相應(yīng)對策，制定相應(yīng)的解決辦法。

想要提高審計工作的質(zhì)量，就應(yīng)該全面的提升審計工作人員的綜合水平素質(zhì)。為了達到這個目標，首先，需要進行合理的選拔機制，篩選強有力的工作人員，將不達標的審計人員淘汰；其次，應(yīng)該主動建立公平的競爭平臺，從而激發(fā)工作人員的效率以及能力；最后，應(yīng)該定期對審計人員進行崗位培訓(xùn)，為風險導(dǎo)向的內(nèi)部審計工作奠定更為良好的基礎(chǔ)。

在如今的信息化時代，利用好高新技術(shù)，加快推進各類行政事業(yè)單位的內(nèi)部審計進行信息化科技化建設(shè)進程。充分信息化改革，可以大大提升審計工作的效率，減輕審計人員不必要的工作負擔。同時，信息化改革使得審計工作出現(xiàn)錯誤的可能性大大減少，能夠確保組織內(nèi)部審計價值的最大化，得到更為準確可信的結(jié)果。