基于规则控制的风险导向审计模式探讨

基于规则控制的风险导向审计模式探讨

风险导向审计是世界上许多国家大中型企业目前广泛采用的内部审计模式，发展相对成熟。但在我国，风险导向内部审计还方兴未艾，一场巨大的行业变革正在进行之中。在风险导向审计模式的发展进程中，很多企业进行了体现各自特点的不尽相同的制度改革探索。这些积极的探索，积累了一些具有实际指导价值的经验，对企业内部审计工作的提升具有重要的现实意义。

一、 风险导向审计模式下的

规则控制的内涵

风险导向审计在现代企业制度下表现为许多不同的具体形式。因为处于私法范畴的人格化的企业个体，从事着各自的民事活动，所以，企业究竟建立什么样的内部审计制度，一般是难以通过外部强制力进行规范的。但是，这并不能否定规则本身在一个具体的组织中对内部审计所发挥的重要作用。

（一） 对风险导向审计模式下“规则控制”的界定

在正式讨论“规则控制”之前，有必要先对几个有关的重要概念进行一下回顾与区分。“风险导向审计”是近几年比较流行的一个词语，它一开始主要应用于民间审计领域，后来，扩展到了内部审计领域。不过，为了回避审计风险而评价企业的经营风险的民间审计，与为了控制企业的经营风险而评价企业的经营风险的内部审计，评价的目标并不相同，两者不可混淆。所以，在没有增加任何定语的前提下，对“风险导向审计”概念存在两种不同的理解。本文采用的是内部审计意义上的风险导向审计概念。

与此有关的另一个问题是“风险导向审计与风险审计是什么关系”。在许多人看来，这两个概念似乎没有区别，实际上，它们还是存在区别的。前者已经被作为一个独立的审计类型，得到了广泛的认可，而后者更多地被认为是针对风险所实施的审计。因此，本文认为，从一个审计类型角度来看（姑且不论其是否成熟），应当使用第一个概念，如果从实际操作而言，尤其是说明审计对象时，也可以使用第二个概念。

基于规则控制的风险导向审计模式，核心在于“规则控制”。本文将“规则控制”定义为：“所有参与风险控制的人员，都应当在风险控制手册的指引下，实施积极有效的风险管理，由内部审计机构完成对风险控制过程及其结果的评价”。规则控制是依据规则实施的控制，在公路建设项目的风险管理方面，也具有代表性。 本文将实施风险导向审计的切入点放在了“规则控制”上，认为通过各种有机联系的“规则”实现对风险控制的导向，同时，实现对内部审计评估风险的导向；规则是引导内部审计的标尺，是克服判断主观性的依据，以完善的规则支持的风险导向内部审计是实现内部审计转型的重要保障。在几乎千篇一律的风险导向审计研究中，以规则控制作为一个具有独立特征的风险导向审计模式的标志，无疑是本文的一个显著的特色。

基于规则控制的风险导向审计模式，解决了内部审计转型的切入点问题，为“风险导向审计”这一空洞而抽象的概念，充实了实质性的内容。另外，本文还提出了风险导向内部审计在应用中需要解决的关键问题，并且给出了一个具有一定参考价值的答案，这些方面，都无疑将风险导向审计引入了新的层面。IIA（国际内部审计师协会）在其发布的内部审计实务标准中，强调了“通过内部审计的章程赋予内部审计开展咨询服务的权力。”［7］这一表述的意义是，内部审计的行为是按照规则发生的，有什么规则，就有什么样的行为。显然，规则是可以控制风险导向下内部审计行为的。只有确立规则，才可以预先清晰地勾画出风险导向内部审计的模式。

（二） 风险导向审计模式下“规则”的结构

风险导向审计模式的制度构架表现为以组织构架和业务流程交叉形成的一系列“规则”的结点。这些“规则”包括两个大类内容。

1. 风险导向审计专门制度

以风险导向内部审计为基本内容的专门制度，应当是一个金字塔形状的结构，从制度的要素角度来看，由以下三部分构成。

（1） 风险导向审计基本制度。这种制度应当类似于我国内部审计基本准则的层次，它用来规范企业风险导向内部审计的主要层面——组织层面、流程层面和制度层面，它界定风险管理的范围、主体、客体、对象、行为状态和禁止事项等等，为企业风险导向内部审计提供了一个总纲。它打破了业务与部门的界限，规范了整个企业风险管理的活动。

（2） 风险导向审计业务规程。这种规程是以具体业务为规范对象的、专业性很强的、解决操作层面问题的制度。它整合了各个有关部门和岗位的业务功能，将其业务工作通过动态的业务流程串联起来，使制度本身的执行更有操作性。在通常情况下，对主要业务都可以设置相应的专门制度，以便提高风险控制制度的可操作性。对于一个以高速公路建设为主要业务的企业而言，可以分别建立部门和项目两个类型的风险导向内部审计制度。按照部门建立的风险导向审计制度，主要是明确各部门在风险管理方面的职责，便于日后进行监督与考核；按照项目建立的风险导向审计制度，主要是明确一个特定项目应当经过哪些环节，这些环节应当如何协调以及控制，以便于项目目标的实现。它们的关系如图1所示。

在图1中，横线和纵线的交叉点是结点，这些结点表明在两个不同类型的制度中规则应当是统一的。之所以采用两种形式来表达，主要目的是可以为部门管理和项目管理提供直接参考的依据，提高制度的执行力。

考虑到按照部门制定风险管理的业务制度可能增加制度的数量，使制度更加繁复，在实际工作中，可以将这一内容合并到部门岗位职责的制度之中；如果说企业需要强化风险管理工作，各部门单独制定风险管理的业务制度仍然是必要的。

（3） 风险导向审计作业指引。在大多数情况下，没有风险控制经验的具体业务工作人员并不能完全清楚地了解到自己可能面临的各种风险，这时，就需要制定一个对基层工作人员有实际指导意义的分别对各业务工作岗位提出要求的作业指南。细化操作规则，明确风险控制点和操作要点，以保证风险控制在细节中获得成效。实践证明，细节决定成败。没有良好的基础工作，无论是企业整体层面还是业务层面的风险控制都不可能成功。

2. 风险导向审计辅助制度

这种制度是针对非风险审计的其他事项制定的制度，通常只是在某些相关内容的规定上涉及风险管理的审计事项。企业在风险管理的不同阶段，可能有不同的表现形式，如，在风险管理的初级阶段，一般没有专门的风险管理制度，而在一些业务管理的制度中，可能简单提一下风险管理问题；如果到了风险管理的后期，则出现了风险管理的专门制度。但是，由于制度制定成本的限制或者其他考虑，仍然会保留一些辅助性的制度。当然，这本身是一个企业需要通盘考虑的制度设计的技术问题，不在本文的研究范围之列。不过，单纯从风险管理角度看，制定专门的风险管理制度应当是最好的选择。

以上的分析表明，在企业风险导向内部审计制度框架中，风险控制作业指引具有特别重要的意义，因为它解决了风险管理的基础问题［8-9］。在企业风险管理中，规则控制是一个十分重要的管理手段，应当予以充分关注。

二、 基于规则控制的公路建设项目

风险导向审计模式的设计

公路建设项目的风险控制是基于业务环节进行的风险控制。以业务为控制对象的风险导向审计模式中，规则的作用是极其突出的。

（一） 公路建设项目风险导向审计模式的控制体系分析

以公路建设项目为基础的风险导向审计模式将企业的主要风险集中在了公路建设项目上，即企业的整体风险主要是基于项目风险而存在的。以控制项目风险为突破口，可以有效破解企业整体的经营风险。

在公路建设项目中，风险导向审计模式的控制体系应当包括五个要素。由五个要素形成的体系可以用图3来描述。

1. 控制目标

公路建设项目的风险管理目标是最大限度地预防、消除或者减少项目各个环节的风险，以保证项目按照最佳的效果完成并且在项目运行中不会出现因公路建设过程的缺陷所引发的人为的风险隐患。

2. 控制主体

公路建设项目是由公司的项目管理部门负责的，这个部门是理所当然的项目风险的控制主体，但是，项目产品是需要社会检验的，因此，法律意义上的以及行政意义上的项目风险的责任人是公司的负责人，从这个意义上讲，集团公司的负责人也应当成为风险控制的主体。换另外一个角度看，风险导向审计模式的控制体系中，应当以内部审计机构作为控制主体，整合公司的各个层次和各个部门的控制力量，完成对风险的控制。在这里，内部审计充当了风险控制的综合平台。

3. 控制客体

公路建设项目的风险控制客体应当是公路建设项目中的属于项目管理工作的全部事项。如果从行为客体角度看，可以将企业几乎全部的业务人员，都作为控制客体，接受其他有关人员的控制，即任何人都应当接受监督，在一个无缝的控制链接系统中发挥控制风险的预定功能。

4. 控制规范

这应当包括两个部分，一是作为公路建设项目各个环节应当遵守的控制标准（如法律法规和技术规则），二是作为公路建设项目各个环节实施风险控制应当遵守的控制规则。本文主要讨论后者。

5. 控制手段

这应当包括实施何种控制以及采用什么方法进行控制等等，也应当考虑有关的信息流问题。

需要说明的是，在风险导向内部审计模式的体系中，风险控制规范是一项十分重要的要素，因为，当风险控制主体与客体、手段都能够体现科学、可行的风险控制规范的要求时，风险控制目标的实现就变成一件比较容易的事情。作为风险控制规范一项重要内容的风险管理标准，即风险控制规则，是绝对不能忽视的要素。一个好的标准，能够使控制目标得到实现，控制主体得到优化，控制对象得到规范，控制手段更加有效，因此，从风险导向内部审计模式的体系构造角度看，风险控制规范是一项重要内容。

（二） 公路建设项目风险导向审计的规则体系设计

公路建设项目的业务具有一定特殊性，在某些情况下，可能需要针对特定项目运行的具体要求，制定专门的风险控制规范，但是，在大多数情况下，仍然可以按照一个标准化的模板来运行。本文认为，以公路建设项目为基础实施风险导向审计应当考虑以规则为导向，通过完善规则、实施规则和监控规则，实现交通建设集团内部审计方面的转型。

以公路建设项目作为基础的风险导向内部审计规则体系应当包括两个层次，一是针对项目本身制定的规则，二是针对具体作业制定的规则。前者应当对后者发生指导作用。

1. 公路建设项目风险导向审计规程

这是一个与前面所述的业务风险导向审计制度对应的规范形式。以项目为主体的风险导向审计规程，实际上是按照业务进行划分的，即建设项目的管理业务是风险控制的直接对象。与企业风险导向内部审计基本制度的差异主要在，这个规程突出了以特定业务的个性为核心的风险控制流程，而不再仅仅以风险导向内部审计的主要方面（如，机构与人员，基本职责，业务范围，工作程序，审计报告，审计处理等等）为基本内容。公路建设项目风险导向审计规程主要应当涉及八个方面内容。

（1） 公路建设项目风险导向审计的目标。主要是明确在项目管理的各个环节，将所有参与人都加入到风险控制中来，预防、减少或者消除风险隐患，保证项目按照预定标准完成。

（2） 公路建设项目风险导向审计的范围。主要是界定这项审计工作以公路建设项目的管理风险为重点，公路施工企业的施工过程所存在的风险不在考虑范围。

（3） 公路建设项目风险导向审计的机构与人员。在制度设计时，应当明确界定项目作为审计对象情况下的内部审计机构和内部审计人员的职责范围和权限。同时，考虑到全员风险管理的要求，在将内部审计机构及人员作为审计主体的基础上，应当由项目管理人员共同参与进行项目风险导向审计，即以项目管理人员风险管理作为基础，完成对日常管理风险的监测和自我评价，由内部审计人员进行再监督，形成风险控制的第二道防线。

（4） 公路建设项目立项阶段风险控制的审计程序。重点提出在项目的立项阶段中内部审计机构应当如何指导项目管理人员控制风险（风险的识别、评估和应对等），以及内部审计机构和人员应当从事什么样的具体工作，这些工作的先后次序和应当重点关注的事项。

（5） 公路建设项目实施阶段风险控制的审计程序。此处所涉及的事项与立项阶段的审计程序在形式上基本相同。

（6） 公路建设项目验收阶段风险控制的审计程序。此处所涉及的事项与立项阶段的审计程序在形式上基本相同。

（7） 公路建设项目的风险审计报告。主要是对公路建设项目风险导向审计的结果进行说明，指明潜在风险因素，提出风险应对的措施，以及改进风险管理的建议。

（8） 公路建设项目风险导向后续审计程序。主要是跟踪审计建议和改进措施的落实情况，进一步改进风险管理工作。

当然，以上规程的设计，只是提供了一个构架，而更进一步的内容，只有在具体的制度设计实践中予以解决。

2. 公路建设项目风险导向审计作业指引

上述公路建设项目风险导向审计规程是一个在企业具有行政规范意义的制度，它可以从整体上对项目风险导向审计工作提出强制性的要求，但是，无法针对具体操作层面的可能无法预知的多种多样的事项进行富有弹性的规范，无法提出一些具有参考价值的意见，这时，制定基于项目风险导向审计作业指引就非常必要。这个问题是我们重点考虑的问题。

可见，基于公路建设项目的风险导向审计制度或者规则主要包括两个层次，即公路建设项目风险导向审计规程和公路建设项目风险导向审计作业指引。

（三） 公路建设项目风险导向审计作业指引的设计思路

在风险导向审计的制度体系中，公路建设项目风险导向审计作业指引是最为基础的制度，在某种程度上甚至是最为重要的制度。如果企业在整体上推行风险导向审计存在一定的困难，那么它可以通过风险导向审计作业指引的应用，借助示范效应，让管理层能够接受在更大范围或者更高层次上推行风险导向审计的要求。因此，企业推行风险导向审计模式时，应当充分重视风险导向审计作业指引的制定。

制定风险导向审计作业指引时应当重点关注四个方面问题。

1. 确定控制点

在项目开展的不同阶段，要分别找出项目流程中的各个业务控制点，尤其是关键控制点。

在项目的立项阶段，主要的控制点在于项目意向的提出、项目的调研、项目的论证、项目实施的预案、项目的申请、项目的游说等等；在项目实施阶段，主要的控制点在于项目融资方案的设计、项目实施方案的设计、项目实施方案的论证与修改、项目实施方案的审批、项目的招标、项目合同的签订与审批、项目变更的监控等等；在项目验收阶段，主要的控制点在于验收文件的准备、验收组织工作方案的确定、验收机构的设立、验收手续的实施、验收报告的形成、财务决算的编制、尾留工程的处理等等。

2. 提出具体要求

针对各个重要的关键控制点，内部审计机构应当提出风险管理的具体要求。

这些要求可以分为一般要求和针对风险管理环节分别提出的具体要求。后者主要包括三方面要求。

（1） 风险迹象的识别。应当提出一些可以参考的判断风险是否存在的详细的具有较强操作性的界定标准，以便项目管理人员在控制风险过程中使用。

（2） 风险级别的判定。应当针对风险识别的情况，根据企业经营者的风险容量的状况，拟定判断风险等级的具体标准；可以根据事项的风险特征，考虑符合风险定量的一个或者几个条件的情况，确定风险的级别。从管理工作的实际看，将风险划分为“重大”、“重要”、“一般”和“较小”四个层次是比较适当的。

（3） 风险事件的应对。在审计作业指引中，对重大风险，应当要求管理人员及时采取措施，如，停止项目的有关活动，建议经营者采取必要的后续措施，建议经营者如何回避、转移和减少风险，告知有关人员风险和责任情况等等；在审计作业指引中，对重要风险，应当要求管理人员适时采取措施，这些措施与在遇到重大风险时采取的措施相近，不过，不必那么急切和富有力度；在审计作业指引中，对一般风险，只要给予一定的关注就可以了，如果是处在成本比较低的情况下，也可以采取适当的措施，以控制风险；在审计作业指引中，对较小风险，也可以不予关注。当然，在企业经营中，绝对没有风险的业务是很少有的，它不在我们的讨论之列。

3. 采用表格反映

采用表格形式，提出各个作业环节的风险审计作业指引框架。

这一框架包括各作业环节名称、风险迹象特征、风险可能结果、风险等级评定、应当采取措施、备选措施和应急方案设计等内容，以便于有关人员比较直观地掌握风险管理的流程和作业要点。

4. 确认监控职责

在这里，需要明确内部审计人员对风险管理过程的各种监控职责。

这个职责应当在上述风险应对环节中有所体现。表面上看，这项作业指引主要是提供给项目管理人员的，仅仅在风险应对方面涉及与内部审计机构的关系，但是，它通过规范项目管理人员的风险管理工作，为内部审计人员进行风险管理的监控提供了基础，因而，它对于内部审计机构也是十分重要的。对一个设置专门从事风险管理工作机构的企业而言，似乎制定一个风险审计作业指引是超越了内部审计部门的功能，将风险管理的职责由内部审计机构进行了大包大揽，实际上，这种认识是片面的，由谁提供这样的规范性文献并不重要，重要的是它是否发挥了实际的作用。

应当注意，在对公路建设项目实施风险导向审计时，不仅需要关注作业层面的风险，而且需要关注项目层面的风险，甚至在某些时候，还应当关注这种风险是否扩展到了企业整体层面。

三、 基于规则控制的公路建设项目

风险导向审计模式的实施

通过上文的讨论，可以认识到规则的重要性，可以明确规则体系的构成，尤其是了解以作业指引为基础的规则体系设计，这些对于实施规则控制的公路建设项目风险导向审计模式具有重要的意义。

（一） 以公路建设项目作为控制平台

从公路建设项目的实际情况看，虽然企业层面、项目层面和作业层面都存在着不同类型和不同程度的风险，但是，全部风险控制的焦点，仍然主要集中在项目层面上。由于项目是一个相对独立的业务单元，涉及的管理责任比较明确，加上大量的风险因素都集中在项目上，因此，按照项目实施基于规则控制的风险导向审计模式具有很大的可行性。在以公路建设项目作为控制平台的情况下，内部审计人员主要的关注点可以放在建设项目上，达到承上启下、全盘控制的作用；对作业层面和企业层面风险的关注相对少一点，可以突出审计重点，收到事半功倍的效果。

（二） 以风险导向审计作业指引作为基础性控制规范

在现实中，由于企业管理层对风险管理的重要性认识不统一，因此，在企业整体层面上推行风险导向审计存在一定困难。加上内部审计机构的独立性存在一定的不足，自上而下推行风险导向审计模式需要体制上更多的前期准备。但是，由作业层面推行这一模式的成本很低，体制上也比较顺畅，这就是本文为什么将风险导向审计作业指引作为基础性控制规范的重要原因。如果基础环节的试验能够获得成功，这意味着增加了内部审计机构推行这一模式的说服力，可能在更高层面上实施风险导向审计模式。这种倒推逼进式的改革路径，可能对许多企业具有借鉴价值。

（三） 将建设项目全部管理人员作为控制主体

风险导向审计是一种内部审计的工作模式，理论上讲，它应当以内部审计人员作为行为主体，但是，由于真正的风险是包含在各种项目管理业务之中的，即对风险的直接控制是项目管理人员需要做的工作。如果没有调动他们的积极性，风险控制将无从谈起。这意味着，风险导向审计应当将建设项目全部管理人员作为风险控制的主体，而内部审计人员，则成为一个起保障支撑作用的辅助主体，这两者共同形成一个有机体，负责实现风险导向审计的目标。COSO在《企业风险管理——整合框架》中也强调“由组织中各个层级的人员实施”的要求［10］，因此，上述提法在一定程度上可以得到证明。

（四） 以内部审计部门作为控制中心

在没有专门风险管理机构的情况下，内部审计机构在事实上就充当了风险控制中心的角色。世界上许多国家，都经历过这样的发展过程。一旦企业真正需要建立风险管理机构时，内部审计机构的退出才有现实可能。在我国，如果从实际出发加以考虑，许多企业并不具备设立专门风险管理机构的条件，因此，可能必须考虑以内部审计部门作为风险控制中心的管理方式。事实上，内部审计机构是否能够作为风险控制中心，主要是取决于内部审计部门的自身努力，而不是管理层的额外授权。内部审计部门应当解放思想，拓宽工作范围。

（五） 以企业局域网络作为控制桥梁

如果项目管理人员能够对日常发现的风险迹象进行实时监控，而这些信息能够通过网络实时传送给内部审计机构，由内部审计人员进行二次监督和信息过滤，对风险管理的不当事项进行及时纠正，这样就提高了风险管理的效率和质量。实践证明，这样做并不需要多少成本，但是却可以避免可能的损失，获得更大的收益。

基于规则控制的风险导向审计模式，是一种内部审计转型的尝试，它对其他企业可能有一定的借鉴价值。我们希望，本文所提出的实施风险导向审计模式的思路，能够成为部分企业内部审计转型的范本，发挥更大的实际作用。