论风险导向审计在风险管理框架中的应用

摘 要：从风险导向审计的前提和过程，探讨在风险管理框架中的应用。

关键词：内部审计；风险管理框架；应用

1 引言

2004年美国反虚假财务报告委员会（COSO）颁布了《 企业 风险管理——总体框架》中，企业风险管理的定义是，由董事会和管理层在制定战略及在整个企业中实施的、用于识别可能影响组织的潜在事件并根据风险偏好管理风险，为组织实现目标提供合理保证的过程。它强调企业风险管理和内部控制体系整合，使二者共同成为公司治理的强大工具。内部控制体系中核心环节之一的内部审计承担了监督、评价、检查、报告和改进等任务，是企业风险管理不可或缺的组成部分。

2004年国际内部审计师协会（IIA）内部审计的定义将风险管理和内部控制、公司治理列为内部审计的工作对象，明确要求内部审计参与风险管理和公司治理过程， IIA《标准》确定了风险审计的方向。

2 风险管理框架下风险导向审计的应用前提

在风险管理框架下，要发挥风险导向审计的作用，必须以风险管理为基础，改变审计思路，改进审计流程和方法。

2.1 以风险管理框架为理论框架

COSO提出的ERM框架首先增加了战略目标，将企业风险的关注点引向战略问题；其次，在内部控制五要素（内控环境、风险评估、内控活动、信息与沟通、监督）的基础上增加了目标设定、事件识别和风险评估三个要素，与原来的风险评估要素构成了一个完整的风险管理过程；最后，还强调风险管理覆盖所有层次，包括业务单元、子公司、分支机构和公司的整体层次等内部控制的全部领域。可见，ERM是一个整合公司治理和内部控制的框架，它关注包括公司治理领域和内部控制环节的一切风险。

IIA通过修改内部审计定义加速了它的 发展 并使其成为 现代 内部审计发展的趋势。它是传统审计的发展，赋予为企业的风险管理提供保证的重要任务，因此，应该让内部审计和风险管理框架直接联系，实现协同效应。IIA《标准》对风险审计的规范和指导，极力倡导内部审计在企业风险管理框架中发挥不可替代的重要作用，即内部审计要在风险环境分析、风险事件识别、风险评估、风险反应和控制、风险信息沟通和管理系统监控环节中发挥重要作用。

2.2 以风险管理目标为审计过程的行动指引

全球化、技术更新、资本重组、变化的市场、竞争和管制等因素使企业经营面临着很多不确定性，现代企业管理的战略目标是增加企业价值，同时承受相应的风险。不确定性是对价值的破坏或增进，风险与机会并存，管理层把机会反馈到战略或目标制订过程中，以便把握住适合的机会。

COSO对企业风险管理定下四大目标：战略目标——高层次目标，与使命相关联并支撑其使命；经营目标——有效和高效率地利用其资源；报告目标——报告的可靠性；合规目标——符合适用的 法律 和法规。在这些目标指引下，风险管理过程就是要合理保证管理层及时了解企业实现目标的程度。依据IIA对内部审计的定义，风险导向审计的总目标是对企业所面临的风险进行管理，对内部控制和治理过程进行评估，将评估的结果反馈给管理层，从而帮助企业实现目标。其目标基本一致。

COSO风险管理框架扩展了风险管理的广度和深度，提高了企业管理层控制风险的地位，也提高了风险评估在企业经营中的地位，企业目标分为经营效果和效率、财务报告可靠性和法律法规的遵守程度，内部控制目标提升到企业战略的层次。风险导向审计对企业风险的监控是指对风险管理要素的内容和运行及一段时期内执行质量的评估，要求在企业风险控制监督过程中取得实效，广泛收集有关经营决策和风险状况的信息，评估各个待审计项目的风险，进而确定审计风险控制策略。风险导向审计的焦点体现在分析、确认和解释关键性的经营风险，使审计和企业风险管理策略紧密联系。

2.3 采用新型的审计思路

传统的内部审计沿袭“自下而上”、“由点到面”的审计思路，风险导向审计则要求审计人员对企业的战略管理进行分析，对企业风险做出合理的专业判断，运用“自上而下”的思路，确定审计的范围、重点、审计目标和相关审计程序，通过实质性测试的结果，结合重要性判断来判断整个企业的风险并最终形成审计意见。

2.4 以企业战略为审计起点

企业经营战略指导企业未来的发展方向，内部审计要把握好企业战略和长远规划，才能充分发挥其服务职能，从战略分析入手，按照“战略分析——经营环节分析——剩余风险分析”的思路展开风险分析， 确定实质性审计程序的性质、时间和范围。它使得审计人员从战略系统观角度对企业保持和加强风险管理体系的竞争优势进行分析评价，指导审计重点、范围、目标和程序，从系统上改进了审计方法，以适应新 经济 环境的要求。

2.5 以风险识别为审计主线

风险导向审计以风险识别为起点，通过事前分析评估，提出应对风险的方案并辅之事后 总结 ，完善风险管理制度，并检查风险控制的有效性，及时揭示和报告潜在风险，提出防范措施和改进建议。

所谓风险识别是指在风险发生前，运用各种方法系统地、连续地发现风险的过程，了解企业存在的各种风险因素及其可能带来的后果，将风险识别运用到审计中，审计人员可以针对不同的风险程度采取不同的实质性测试程序和相应的风险控制措施。风险识别方法有很多，如环境分析法、财务报表法、流程图法、情景分析法、决策分析法、动态分析法、头脑风暴法等，多种方法可在风险识别过程中结合运用。

2.6 以风险评估为控制手段

在风险管理框架下，内部审计的一个重要职能是协助建立和完善企业风险管理制度，对执行情况的有效性进行检查，及时揭示和报告潜在风险，提出防范措施和改进意见，因此风险评估是风险导向审计的重要手段。它有利于帮我们确定合理的审计程序，揭示被审计单位财务、经营等方面风险，并重点考虑形成这些财务数据的业务经营及其他影响因素等方面，搜集充分、适当的审计证据。非财务因素如企业的战略优势在哪里，未来发展前景如何，管理方式与经营理念是否合理，主要竞争对手是谁，重要客户是谁，人力资源素质怎么样，面临的法律监管环境如何及内部控制制度等。

风险评估的核心是分析性复核的运用。所谓分析性复核，就是以财务资料与非财务资料之间的表面关系或可预测的关系，评估财务信息的合理性，分析被审计单位的重要比率，包括这些比率异动及与预期数的差异，目的是评价业务的总体合理性。在多元因素评估过程中，还要将现代管理方法运用到分析性程序中去，使风险因素不再独立，常用的分析方法有：战略分析、绩效分析、财务分析、 会计 分析及前景分析等。

3 风险管理框架下内部风险导向审计的应用过程

风险管理是一个动态过程，风险管理框架下的内部审计也是一个动态过程，且贯穿于企业管理全过程。

3.1 理解风险管理是一个动态过程

COSO对风险管理的定义是“风险管理是一个过程，它由一个主体的董事会、管理当局和其他人员实施，应用于战略制订并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证” 。从定义可以看出，风险管理渗透于企业经营活动全过程且反复相互影响，风险管理机制的运作是一个动态管理的过程，与经营管理活动交互存在。我们看到，风险和机会有时会互换，也是动态过程，如果把握不好，机会将变为风险，如果控制及时，风险也会转化为机会。风险管理就是帮助管理层有效处理不确定性，规避风险、把握机会，提高企业创造价值的能力，这也决定了风险管理是个动态过程。 风险管理要素由内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通以及监控等八个相互关联的要素构成。这些要素来源于 企业 经营方式，各个要素之间相互影响、互相作用。例如，风险评估促进风险应对，并影响控制活动，突出信息和沟通的重要性。因此，风险管理是多方向且反复的过程，不同要素之间相互影响。

3.2 风险导向审计贯穿于企业管理全过程

风险导向审计最终目的是为了完善公司治理，协助管理层应对风险、把握机遇，提升企业价值。它以风险为出发点，由传统的事后评价变为全过程的动态反应，为管理层提供及时有用的信息，为公司治理相关措施的有用性给予反馈，并提出建议。所以，风险导向审计是将各项管理经营活动整合成一个完整、相互约束和自我改善的体系。它运用立体观察的理论来判断影响企业经营风险的各种因素，从企业所处的行业状况、监管环境、经营目标、战略规划到经营方式、业务流程等内外部各个方面来评估企业的风险水平，把经营风险植入到本身的风险评价中去，并贯穿于内部审计的全过程。

我国学者黄园园提出，企业管理活动可以划分为战略管理、管理控制和作业活动三个层面，风险导向审计贯穿于企业管理的全过程，内部审计通过作业活动层面的风险导向审计和自我控制评价了解企业风险状况和管理薄弱环节，进而向战略管理层或管理控制层提出管理建议，在战略层做出决策后向管理控制层或作业活动层提供管理咨询，并在获得授权的情况下协调作业活动层的改进工作。

3.3 风险导向审计在不同风险管理水平的作用过程

风险导向内部审计与传统内部审计的区别在于其遵循的逻辑顺序是“目标→风险→控制”，同时根据企业风险评估调整审计战略，确定审计重点，紧密关注高风险的领域，以提供更相关、更符合管理层和董事会需求的确证信息。

在不同风险管理水平下，风险导向审计所发挥的作用不同（如表1）。在风险暴露阶段，内部审计建立在审计风险评估的基础上，采用风险管理方法；在风险察觉阶段，内部审计建立在审计风险评估基础上，协助建立企业范围的风险管理方法；在风险确认阶段，内部审计使用管理层的风险评估结果，促进风险管理的战略和政策的实施；在风险管理阶段，内部审计建立在管理层的风险评估基础上，对风险管理过程进行审计；在风险管理融合阶段，内部审计建立在管理层的风险评估基础上，对风险管理过程进行审计。

当然，在不同风险阶段，企业风险管理水平是不断 发展 和变化的，在这种逻辑思路下，风险导向审计模式应根据不同的风险水平不断调整审计目标和重点，发挥不同的职能作用。

4 结论与建议

4.1 结论

在风险管理框架下风险导向审计的功能得到有效拓展，在促进风险管理、内部控制和公司治理方面都发挥了重要作用，成为企业风险管理体系的重要组成部分。因此，风险导向审计贯穿于企业管理全过程，必须突破传统观念，以企业风险管理框架为理论依据，改进审计流程和方法，与风险管理机制相融合，其审计模式在不同风险管理水平下应随之相应调整。

4.2 建议

我国内部审计起步较晚，无论在理论研究还是实际应用，与西方内部审计存在较大差距。随着我国市场 经济 体制逐步完善和世界经济一体化，我国企业与西方企业面临着同样经营环境和风险，内部审计作为企业风险管理体系的重要环节，必将面临严峻的挑战。我们可以从以下三方面着手准备，为全面推广风险导向审计提供基础。

首先，努力改善内部审计的环境，兼顾内部审计的独立性和客观性。其次，强化对内部审计人员的职业素质训练。风险导向审计的范围不断扩展，审计人员关注的范围不断延伸，对专业水平和职业道德的要求也不断提升。从长远看，内部审计职业化、社会化是发展趋势，所以现阶段企业应加强对内审人员的培训，使其具有国际执业水平。 第三，加强公司治理结构。 现代 风险导向审计的起点是企业经营风险，重点关注重大错报风险，因此公司治理的优劣与否直接决定重大错报风险的程度，从而影响到审计效果。如果公司治理存在缺陷，管理层就可能损害内部审计的独立性，影响审计人员所出具报告的客观性，也可能造成监督和控制这两个环节失效。所以，合理 科学 的公司治理结构对内部审计的有效性至关重要。

总之，我们应该行动起来，积极探讨风险导向审计的基本原理、方法及适合我国实情的操作实务，以提高审计人员执业水平。