在2020年度全國審計機關表彰先進集體和先進工作者大會上，習近平同志明確指出，審計是黨和國家監(jiān)督體系的關鍵環(huán)節(jié)。在2022年初的全國審計工作大會上，所有的審計部門以及所有的審計員必須立即將自己的思維與行為融入到中央的經濟工作大綱之中，并且真正承擔起維護整個宏觀經濟的重大職責。審計風險作為審計工作中的關鍵因素，其模型構建大多來自于社會審計中的財務報表審計范疇。通過構建審計風險模型，簡明表述審計風險的概念，在確保控制審計質量的基礎上指導和規(guī)范審計活動，進而提高審計效率。

一、內部審計風險理論分析

1.在經營風險引導下的審計風險模型和審計風險評估的含義。從審計的發(fā)展歷程可以看出，審計經歷了賬項基礎審計到控制基礎審計，繼而發(fā)展為風險導向審計的過程。審計風險模型在控制基礎審計模式下：審計風險=固有風險×控制風險×檢查風險。

但是隨著審計失敗案例和“審計訴訟”案件的急劇增加，審計風險逐漸受到審計職業(yè)界的高度重視。基于經營風險的審計時代始于二十世紀初，國際審計與鑒證準則理事會（IAASB）提出了一個改進版版的審計風險模型：審計風險=重大錯報風險×檢查風險。

審計風險的管理是基于對經營風險的全方位評估，這包括對與財務報告假設相關的證據進行系統(tǒng)性評價。同時，通過維護審計風險在可接受的水平，企業(yè)能夠優(yōu)化審計風險，進一步提升審計效率。在這種模式下，注冊會計師在整個審計過程中以經營風險為核心指導思想，通過持續(xù)評估被審計單位的重大錯報風險和持續(xù)經營能力，在可接受范圍內主動接受或承擔某些剩余風險，以提高審計效率。

2.內部審計風險特征。與社會審計不同的是，內部審計更傾向于通過審計對本單位及下屬單位的業(yè)務活動、內部控制和風險管理進行監(jiān)督、評價和建議，目的是促進單位長期的可持續(xù)發(fā)展，改善其治理，實現其戰(zhàn)略目標。因此，內部審計的風險及其評估與社會審計的風險有很大不同。

首先，由于審計責任的不同導致內部審計風險評估存在差異。按照《注冊會計師法》和《刑法》的相關規(guī)定，由于審計失敗可能給注冊會計師帶來經濟處罰，甚至刑事處罰；而且在審計收費既定的條件下，注冊會計師為了規(guī)避或者減輕審計責任并且盡可能最大化自身收益，審計的成本與效益原則是基于現代風險導向審計的社會審計形成和發(fā)展的直接原因。內部審計失敗導致的起訴、追責機制并不敏感，國有資金受托管理責任人的責任邊界、建設法治環(huán)境會使內部審計面臨的審計風險訴訟壓力較低，審計責任較小，審計投入產出的考核機制也并不嚴格，這些都造成內部審計風險評估模型與社會審計存在不同。

其次，由于審計責任的不同，內部審計的風險評估也存在差異。社會審計職責是發(fā)現財務報表的所有的重大錯報和漏報，以會計報表的整體公允性提供合理保證。而內部審計，審計師的責任是發(fā)現和揭露國家財政和資本基金的財務（業(yè)務）收支中的錯誤、舞弊和其他違規(guī)行為和低效行為，無論其重要性如何。因此，內部審計和社會審計的責任和風險形成機制是不同的。內部審計風險的產生，是由于違法違紀問題或違規(guī)經營而沒有暴露出來，導致國有資產和社會公共利益的損失，削弱了內部審計的監(jiān)督職能。社會審計考慮的是國有或財政資金運動記錄的合規(guī)性，相對而言，判定規(guī)則較為清晰，對重要性和管理必要性的判斷也比較簡單。

再其次，審計職能的不同導致內部審計風險評估的不同。社會審計只通過分析風險因素的影響來評估重大錯報的風險，但不需要確定影響錯報的機制，只評估其影響的后果。內部審計的任務包括識別、評價、思考風險處理方法、解釋其作用原理、明確其影響范圍以及給出優(yōu)化意見。社會審計的關鍵在于提供鑒證信息，需要考慮由于會計賬簿中的重大錯報而導致的審計未能提供合理保證或有限保證的風險。內部審計主要側重于監(jiān)督和咨詢，并要求關注企業(yè)的運作、管理層的行為以及管理結構和系統(tǒng)的建立和運作。

二、基于風險矩陣的內部審計風險模型構建

審計風險作為內部審計活動的中心環(huán)節(jié)，對審計風險的評估成為現代國有企業(yè)管理的重心。因此，在上述內部審計風險理論對比分析的基礎上，針對當前公司所遭遇的“三重壓力”可以從三個角度去理解：首先，需要明確的是，在中國的現代化進程中必須堅持“以經濟建設為核心”的黨的基本原則，全力以赴地把握發(fā)展的主導地位。其次，需要調整，面對已經感知到的“三重壓力”，需要改善和優(yōu)化我們的政策配置，以及協(xié)同配套。再其次，需要糾正，面對經濟社會發(fā)展這個相互關聯的復雜系統(tǒng)，需要做出適當的調整。需要避免并修正混淆的錯誤，不能讓分工明確的做法變?yōu)橹豢粗刈陨矶鲆暺渌马?，防止在各個部門的合理政策累積后產生負面影響。最后，也需要避免并修正分解錯誤，不能將全局的任務簡化為一次性完成，更不能逐級增加，這樣會使得基層無法承擔。因此，在國有企業(yè)內部審計風險可從以上三個方面定義，分別為定向風險、調整風險和糾偏風險，在此基礎上，嘗試構建基于風險矩陣的內部審計風險模型如下：審計風險 = 企業(yè)/業(yè)務綜合風險 × 檢查風險。其中，企業(yè)/業(yè)務綜合風險=（定向風險+調整風險+糾偏風險）

大多數內部審計職能是以工程審計、營銷審計、經濟責任審計和其他日常經濟活動的監(jiān)督為重點，檢查的重點大多是被審計的管理制度和制度執(zhí)行情況，較少參與被審計部門的財務報告工作。即使是對財政（務）收支預算和決算的審計，未上市的電網公司，其預算和決算報告不向公眾公布，不提供鑒證信息，委托人受托責任鏈也無法促進基于鑒證信息的決策發(fā)揮審計功能。內部審計應通過調查和揭示其他微觀問題，發(fā)揮審計抵御系統(tǒng)的作用。社會審計風險模型假設被審計單位有一個有效的內部控制體系，戰(zhàn)略風險因素和財務報告重大錯報風險能夠被控制到分析剩余風險，但國有企業(yè)內部審計的形式和對象種類較多，且各類審計其存在錯誤或者舞弊的風險又可能有所不同。因此，需要引入風險矩陣概念，針對不同被審計對象和審計類型，結合風險管理的現狀，對企業(yè)/業(yè)務的綜合風險進行評估，指導審計取證的程序，進而管控審計風險。

1.風險矩陣介紹。風險矩陣是一種結構化的方法，用于識別項目管理過程中項目風險的重要性，定性和定量評估項目風險的潛在影響。本文以風險矩陣方法對電網企業(yè)的內部審計項目審計風險進行評估。風險分布圖是由各種元素構建的，包括風險分布圖、風險對應的影響、可能出現的風險、風險的分級以及風險的管控等。風險矩陣是由各種元素構建的，包括風險欄、風險影響欄、風險發(fā)生概率欄、風險等級欄和風險管理欄等。

利用風險矩陣法，可以構建出一個二維表格，其中橫軸表示風險發(fā)生的可能性，而縱軸則是表示風險對公司的影響程度。對應于四種不同的處置策略：風險容忍、風險控制、風險規(guī)避和風險處理。

通過風險矩陣法，能夠綜合考慮風險的影響力與其出現的幾率，從而準確地預測出風險因素對項目的效果。在風險導向審計中，通過運用風險矩陣的策略，我們能夠明確審計的風險因素的等級，從而有針對性地調整審計力量和資源，增加關鍵風險的取證范圍，減少可能被忽視的風險的收集范圍，將審計的風險限制在可接受程度內，從而增強審計的效益。

2.重要綜合風險識別。結合電網企業(yè)作為中央企業(yè)的屬性和新時代應對“三重壓力”的政策目標，可以從網、省的年度戰(zhàn)略目標出發(fā)，初步了解到影響電力企業(yè)實現目標的各種風險，包括來自外部國家的政策風險、電力系統(tǒng)的改革風險以及企業(yè)內部的清廉風險、人力資源管理風險、安全生產、財務管理、工程管理等。

3.重要綜合風險評估。文章運用了風險矩陣的基本理論，考慮電網企業(yè)內部審計中綜合風險的發(fā)生概率、風險等級和影響程度，并對發(fā)生概率、風險等級和影響程度進行闡述。

4.重要綜合風險的風險矩陣和應對措施。電力企業(yè)為了能夠使評估更加的全面客觀，結合擬開展的f53428ed81ef491dcfd7829b99bd7ef97cb0554e516cc85e7cb55d67d024c935審計項目，可以通過在局領導和職能部門層面發(fā)放風險評估問卷和評分表，來反映企業(yè)在該審計領域所面臨的各種風險問題。基于風險的發(fā)生條件和頻率，可以采用定性和定量的評分方法，使得相關人員能夠進行全面的評價衡量，并給出合理的分數研判，從而構建出風險矩陣圖。

依據風險矩陣的分析成果，為了減少審計的風險，可以對各種級別的錯報風險實施以下的預防手段。①對于風級為“高”和“高（+）”的風險作為重點防控對象，在審計過程中，除了對憑證、報表、日常工作記錄等進行審查外，還需要對相關人員的道德素質和法律知識等因素進行全面的分析和評估，以擴大必要的證據收集范圍。②對于風險等級為“中”和“中（+）”的風險，這是電力企業(yè)的基本業(yè)務領域，我們需要重視管理。在執(zhí)行審計過程中，我們需要增強對公司內部管理的程序性測試，然后進行充分且必須的實質性測試。③對于風險等級為“中（-）”的風險，可以依據標準的審計流程來布置審計任務，并在合理的區(qū)間內實施部分抽樣的操作。在此背景下，公司的內部審計人員需要全面考慮公司當前的實際狀況和公司自身的各種優(yōu)勢和條件，從避免風險、轉移風險、降低風險發(fā)生的可能性和減少損失的角度來采取有效的策略來應對。

5.內部審計風險的修正。在實際的審計執(zhí)行過程中，內部審計人員還必須不斷調整風險評估的結果，使審計計劃和資源配置適應實際的審計執(zhí)行情況，提高審計效果，高效利用資源，降低審計風險。

在審計的執(zhí)行階段，當審計人員發(fā)現錯誤時，應首先確定錯誤的原因以及是否有必要對錯誤進行進一步調查和分析。如果審計師確定該錯誤是未識別的風險，審計師應再次收集相關證據來評估這個危險，明確它的可能性和嚴重性，明確新的風險對總體風險水平的影響，并決定是否需要調整審計方案或者重新分配資源。

三、基于風險矩陣的內部審計風險模型應用舉例

本文以電網企業(yè)開展的工程項目全過程審計為例，按照“目標—風險—控制”內在邏輯，結合企業(yè)發(fā)展戰(zhàn)略和電網企業(yè)工程建設的管理目標，識別業(yè)務風險和控制措施，深入探究內部及外部經營環(huán)境，進而合理安排審計計劃。

1.風險識別。根據國家及上級單位的管理規(guī)定，電網企業(yè)的工程管理必須遵循國家所設立的所有基礎建設流程，并執(zhí)行“項目法人制”、“資本金制”、“招投標制”、“合同管理制”以及“工程監(jiān)督制”。工程建設從可研、立項、施工、竣工驗收、投產等需要形成工程管理的閉環(huán)管理機制，各項流程設計合理，制度執(zhí)行情況良好。透過分析公司的發(fā)展策略和項目管理目標，我們可以認識到，對電網企業(yè)項目建設管理目標實現產生影響的風險包括來自外部的國家政策、電力系統(tǒng)改革的風險，以及公司內部的安全生產、財務管理和會計核算、項目建設管理、誠信廉潔的風險等。

2.審計風險評估。經過對電網企業(yè)的工程建設業(yè)務風險的辨認，在《中央企業(yè)全面風險管理指引》的引導下，審計組根據風險矩陣相關要素的評估準則，選用風險發(fā)生的可能性和風險的影響程度來評估風險和重大風險的發(fā)生概率。同時，結合公司實際情況，確定了相應的評價標準。審計組利用專家評分法，設計調查問卷，對局領導和職能部門負責人發(fā)出風險評估問卷和評分表，各位專家本著客觀、負責的態(tài)度，對公司在工程建設領域面臨的各種風險和損失進行了評估，并根據定量和定性的準則，評價合理分數。經由問卷研究，審計組能夠深入理解該公司面臨的多樣化風險情況。

3.編制審計計劃。在確定了工程建設業(yè)務的重點風險事項后，基于風險矩陣的風險評估，制定審計工作方案。核心的內部審計任務在于識別并評估這個業(yè)務領域的高危因素，然后根據這些因素的風險大小進行排名，并依據最佳的資源配置策略來分配審計資源，同時也需要設立相應的項目與流程。

四、結語

內部審計的免疫功能應有效降低審計風險，提高審計效果。本文分析了審計風險評估在審計風險模型和操作風險導向審計中的相關性，并提出從審計風險基準的角度來看，內部審計風險評估的特點是外部壓力不足，表現為對業(yè)務活動進行微觀調查的問責制。在此基礎上，作者嘗試構建基于風險矩陣檢查的內部審計風險模型，結合電網企業(yè)營銷審計的設置、流程和報告對該模型進行說明，旨在為內部審計實踐提供理論指導。

（作者單位：廣東電網有限責任公司中山供電局）