● 黃建喜

一、引言

國有企業(yè)要做優(yōu)做大做強，提高抗風險能力，達到國有資產(chǎn)保值增值的目的，必須建立高效的風險管理系統(tǒng)，防患于未然。內(nèi)部審計監(jiān)督風險管理的有效性，從風險管理出發(fā)，關注風險，實現(xiàn)事前、事中和事后的管理、控制與反饋。

國際通用的《內(nèi)部審計實務標準》有明確說明：內(nèi)部審計應當保持獨立客觀的態(tài)度，對風險進行評估、分析與應對，加強風險管理，提升組織價值，促進實現(xiàn)組織目標。所以，風險導向內(nèi)部審計是順應企業(yè)發(fā)展需要而產(chǎn)生的，企業(yè)實施風險導向內(nèi)部審計能夠提高經(jīng)營效率。但是在實踐中，我國很多企業(yè)仍然把賬簿作為審計的主要對象，缺乏風險理念的培養(yǎng)，缺乏對于風險導向內(nèi)部審計的研究與探討。事實上，風險導向內(nèi)部審計側重評估與應對風險，將剩余風險降低至可以接受水平，幫助企業(yè)規(guī)避風險，更好地實現(xiàn)企業(yè)發(fā)展目標。

二、風險導向內(nèi)部審計的特征

風險導向內(nèi)部審計從風險出發(fā)，在風險識別、分析的基礎之上進行審計工作，通過風險導向內(nèi)部審計可以提升企業(yè)價值。風險導向內(nèi)部審計的審計重點，改變以前關注內(nèi)部控制的薄弱點，而從影響企業(yè)實現(xiàn)目標的風險出發(fā)；從單純的財務審查，擴展到調(diào)整戰(zhàn)略經(jīng)營目標，幫助管理者作決策；從簡單的發(fā)現(xiàn)內(nèi)部控制的缺陷與報表差錯，到評價企業(yè)的風險管理體系并提出改進建議，實現(xiàn)企業(yè)價值；從事后控制到動態(tài)評估企業(yè)風險，事前、事中的防范與控制。

內(nèi)部審計與外部審計的目的不同，因而兩者關注的風險點不同。外部審計人員如果發(fā)表了不當?shù)膶徲嬕庖?，可能會承擔法律風險。而內(nèi)部審計人員關注企業(yè)風險是因為企業(yè)風險一旦不可控，那么會嚴重影響企業(yè)戰(zhàn)略目標的實現(xiàn)。這些風險既有諸如政策導向、行業(yè)波動等外部因素，也有企業(yè)調(diào)整戰(zhàn)略定位、產(chǎn)業(yè)結構等內(nèi)部因素。總之，內(nèi)部審計是站在企業(yè)的角度關注風險，風險導向內(nèi)部審計是充分發(fā)揮其管理風險的作用，更好的實現(xiàn)企業(yè)的戰(zhàn)略目標。

風險導向內(nèi)部審計與傳統(tǒng)的內(nèi)部審計也有很大的不同：

（一）審計路線

傳統(tǒng)的經(jīng)營審計、財務審計等內(nèi)部審計，其審計路線是控制——風險——目標。隨著企業(yè)內(nèi)部控制程序的細化，那么傳統(tǒng)的內(nèi)部審計會產(chǎn)生效率低下的情況。風險導向內(nèi)部審計，首先通過溝通確定企業(yè)的經(jīng)營發(fā)展目標，然后尋找影響企業(yè)目標實現(xiàn)可能存在的風險，然后根據(jù)風險的影響程度、可控性等標準排序風險，確定審計重點和程序，進而獲取審計證據(jù)評價風險。所以說，風險導向內(nèi)部審計的審計路線將企業(yè)目標與審計目標有效結合，更有利于企業(yè)價值的提升。

（二）審計范圍

傳統(tǒng)的內(nèi)部審計主要針對企業(yè)的財務資料和內(nèi)部控制進行審計，隨著我國經(jīng)濟體制改革的深入，受國際主流審計模式的影響，以及適應企業(yè)發(fā)展的需要，內(nèi)部審計的重點轉向了風險管理，審計范圍擴展到了識別風險、評估風險和應對風險。擴展審計范圍，能夠將有限的審計資源放在影響企業(yè)目標實現(xiàn)的重大風險上，降低經(jīng)營風險，改善企業(yè)的治理結構。

（三）審計方法

傳統(tǒng)的內(nèi)部審計主要是詳細審查企業(yè)的財務資料，而風險導向內(nèi)部審計等現(xiàn)代審計則關注企業(yè)的生產(chǎn)、經(jīng)營、管理等各項經(jīng)濟活動。審計范圍的擴大帶來了審計方法的改變，所以風險導向內(nèi)部審計不僅采用函證、監(jiān)盤等審計方法，同時綜合運用觀察、檢查、分析程序等現(xiàn)代管理方法以及計算機分析等方法，全面進行風險的識別和分析。

三、風險導向內(nèi)部審計的實施程序和作用

總的來說，風險導向內(nèi)部審計首先是確認剩余風險，然后對風險進行排序，最后提出風險管理的改進建議。所謂剩余風險，指的是在實施了內(nèi)部控制和風險管理流程后，依然存在的未被識別的風險或者雖然已經(jīng)識別但是沒有有效控制的風險。風險導向內(nèi)部審計的主要目的就是要把剩余風險降低到企業(yè)可以接受的水平。具體的實施程序有以下幾個步驟：首先，了解企業(yè)的外部經(jīng)營環(huán)境和企業(yè)設定的戰(zhàn)略目標，據(jù)以確定可接受的剩余風險水平；其次，識別風險、定量評估，排序風險，不同程度的風險審計重點不同，審計方法也不同；再次，與企業(yè)的管理當局溝通，告知審計中發(fā)現(xiàn)的無效控制以及無控制的環(huán)節(jié)，并提出改進的建議；最后，通過實質性分析等審計程序獲得審計證據(jù)，出具風險審計報告，提出管理和控制剩余風險的有效建議。

風險導向內(nèi)部審計的作用有以下幾點：

其一，內(nèi)部審計對企業(yè)的風險管理活動進行客觀的評價和監(jiān)督，全面識別可能發(fā)生的、阻礙企業(yè)目標實現(xiàn)的情況。所以說，內(nèi)部審計不僅僅是分析企業(yè)的風險管理活動已經(jīng)識別出來的風險，而是在對企業(yè)的風險環(huán)境進行全面了解的基礎上，全面識別企業(yè)的固有風險，幫助管理層重點關注影響企業(yè)經(jīng)營目標實現(xiàn)的那些風險。

其二，盡可能客觀準確的量化企業(yè)的風險。企業(yè)的內(nèi)部審計人員在風險假設條件、測試結果、數(shù)據(jù)來源的基礎上建立風險量化模型，從而能夠準確的量化評估企業(yè)的風險，便于根據(jù)量化的結果對風險進行排序。當然，不是所有風險都能量化，如果有一些風險因缺少歷史數(shù)據(jù)而難以量化時，可以結合企業(yè)目標、風險管理知識、內(nèi)部審計人員的職業(yè)判斷定性評估風險。

其三，評估控制活動的有效性，將風險降低至可接受的范圍內(nèi)。市場環(huán)境瞬息萬變，風險無處不在，但是企業(yè)可以通過內(nèi)部審計，評價控制活動的有效性，確保控制活動能夠使企業(yè)達到既定的目標。由于控制活動涵蓋企業(yè)的方方面面，內(nèi)部審計人員可以采取多種多樣的審計方法評估控制活動的有效性，從而將企業(yè)承受的風險降低在一個可以接受的合理范圍內(nèi)。

其四，內(nèi)部審計有利于風險信息的傳遞?，F(xiàn)代企業(yè)管理層級多，基層的管理人員開展基礎的風險管理工作，高級管理人員難以全面把握和控制企業(yè)的風險管理活動。出于完善治理結構的考慮，一般大型國有企業(yè)的內(nèi)部審計機構是隸屬于企業(yè)的董事會或審計委員會的，這就使得內(nèi)部審計人員以獨立的第三方身份評價企業(yè)的風險管理，提出改進建議，出具審計報告，從而將相關的風險信息傳遞給管理當局，有利于管理當局改進決策，實現(xiàn)企業(yè)發(fā)展的目標。

四、改善國有企業(yè)風險導向內(nèi)部審計的建議

（一）強化風險導向內(nèi)部審計的意識

隨著國企改制的推進以及跨業(yè)經(jīng)營的開展，國有企業(yè)面臨多樣化與復雜化的風險。國有企業(yè)應該擺脫過去賬目基礎審計和制度審計的理念，轉變觀念，將風險意識貫穿內(nèi)部審計的全過程。內(nèi)部審計人員在充分了解被審計單位經(jīng)營環(huán)境的基礎上，站在企業(yè)戰(zhàn)略的高度，全面識別各種經(jīng)營風險、戰(zhàn)略風險、內(nèi)部風險、外部風險，并根據(jù)風險的重大程度進行排序，合理配置審計資源。針對可能嚴重影響企業(yè)戰(zhàn)略目標實現(xiàn)的重大風險事件，查找源頭，提出有針對性的風險防范措施，將事后審計擴展到事前審計、事中審計，確保企業(yè)的風險管理系統(tǒng)和內(nèi)部控制系統(tǒng)有效運行。

（二）提高內(nèi)部審計人員的綜合素質

高素質的內(nèi)部審計團隊是保證風險導向內(nèi)部審計效率和效果的重要因素。首先，要通過有效的激勵機制吸引審計經(jīng)驗豐富的審計人才。高素質的審計人才不僅需要具有財會、審計、企業(yè)管理方面的知識和技能，還要能夠熟練使用計算機技術和管理技術。新的審計人才的引入，能夠擴充審計的力量，同時給組織帶來新的思想和活力；其次，組織系統(tǒng)培訓。企業(yè)要強化內(nèi)部審計人員的風險理論學習，不斷更新內(nèi)部審計人員的知識體系，提升內(nèi)部審計人員的綜合素質。從內(nèi)審人員自身的角度，也要不斷加強自我學習，不斷充實自己，努力成為復合型的優(yōu)秀人才。最后，內(nèi)部審計人員應該深入了解企業(yè)的各類業(yè)務，在集團總部和分公司審計部門之間定期輪崗，以便能夠站在戰(zhàn)略的高度整體把控企業(yè)的風險。

（三）提升內(nèi)部審計的信息化水平

審計信息化是解決審計效率和保證審計效果的有效方法。內(nèi)部審計的信息化系統(tǒng)建設，可以有效開展風險的識別、防范、應對、控制與反饋，推動企業(yè)由傳統(tǒng)的內(nèi)部審計向風險導向內(nèi)部審計的轉型。內(nèi)部審計人員應當開發(fā)審計信息系統(tǒng)，充分發(fā)揮計算機技術在審計信息管理和使用上的作用，保證審計信息的完整性，為審計意見提供強有力的支持。

五、結語

與西方現(xiàn)代內(nèi)部審計相比，我國的風險導向內(nèi)部審計起步晚，國有企業(yè)掌控著國民經(jīng)濟發(fā)展的命脈，推進內(nèi)部審計模式的轉型勢在必行。國有企業(yè)必須將風險理念融入內(nèi)部審計的全過程，從而保證內(nèi)部審計職能的有效發(fā)揮。