劉小書(shū) 沈璜

[摘要]本文通過(guò)對(duì)以風(fēng)險(xiǎn)為基礎(chǔ)制訂內(nèi)部審計(jì)計(jì)劃、基于風(fēng)險(xiǎn)的系統(tǒng)審計(jì)方法、內(nèi)部審計(jì)評(píng)估標(biāo)準(zhǔn)、控制有效性評(píng)估維度等方面進(jìn)行探討，提出相關(guān)建議，為更好地開(kāi)展以風(fēng)險(xiǎn)為基礎(chǔ)的內(nèi)部審計(jì)提供思路。

[關(guān)鍵詞]內(nèi)部審計(jì) ? ?風(fēng)險(xiǎn) ? ?基礎(chǔ) ? ?標(biāo)準(zhǔn)

在內(nèi)部審計(jì)職能不斷發(fā)展演變的過(guò)程中，內(nèi)部審計(jì)服務(wù)類(lèi)型也在不斷發(fā)展，如通過(guò)內(nèi)部檢查程序，實(shí)現(xiàn)對(duì)會(huì)計(jì)交易的雙重核查;通過(guò)連續(xù)的測(cè)試程序發(fā)現(xiàn)錯(cuò)誤或欺詐;通過(guò)統(tǒng)計(jì)抽樣，降低測(cè)試水平;通過(guò)抽查，以審計(jì)威懾（被審計(jì)的可能性）減少違規(guī)風(fēng)險(xiǎn);通過(guò)風(fēng)險(xiǎn)分析，重點(diǎn)審計(jì)高風(fēng)險(xiǎn)領(lǐng)域;通過(guò)基于系統(tǒng)的審計(jì)，針對(duì)控制進(jìn)行測(cè)試;通過(guò)經(jīng)營(yíng)審計(jì)，將經(jīng)濟(jì)、效率和效力的概念納入評(píng)估模型;通過(guò)管理審計(jì)，解決管理活動(dòng)產(chǎn)生的控制問(wèn)題;通過(guò)以風(fēng)險(xiǎn)為基礎(chǔ)的審計(jì)，促進(jìn)組織科學(xué)發(fā)展?？梢?jiàn)，以風(fēng)險(xiǎn)為基礎(chǔ)伴隨內(nèi)部審計(jì)職能定位而產(chǎn)生，賦予內(nèi)部審計(jì)新的使命——通過(guò)提供基于風(fēng)險(xiǎn)的客觀確認(rèn)、深刻見(jiàn)解及建議，不僅將內(nèi)部審計(jì)與組織防范風(fēng)險(xiǎn)和增加價(jià)值的目標(biāo)聯(lián)系得更為緊密，并且使內(nèi)部審計(jì)可以在公司治理方面發(fā)揮更大作用。

一、以風(fēng)險(xiǎn)為基礎(chǔ)開(kāi)展內(nèi)部審計(jì)業(yè)務(wù)的相關(guān)要素

（一）以風(fēng)險(xiǎn)為基礎(chǔ)制訂內(nèi)部審計(jì)計(jì)劃

1.審計(jì)計(jì)劃模型。風(fēng)險(xiǎn)評(píng)估是制訂計(jì)劃的前提，主要基于審計(jì)人員的判斷，而這種判斷來(lái)自對(duì)組織戰(zhàn)略、目標(biāo)、業(yè)務(wù)、風(fēng)險(xiǎn)、運(yùn)營(yíng)、程序、系統(tǒng)和控制的認(rèn)知、理解及熟悉程度。Philna Coetzee，Dave Lubbe（2014）通過(guò)實(shí)證研究提出以風(fēng)險(xiǎn)為基礎(chǔ)的審計(jì)計(jì)劃模型：具有較高固有風(fēng)險(xiǎn)、在實(shí)施控制后風(fēng)險(xiǎn)水平較低的領(lǐng)域，應(yīng)包括在內(nèi)部審計(jì)業(yè)務(wù)計(jì)劃中;具有較高固有風(fēng)險(xiǎn)、在實(shí)施控制后仍處于高風(fēng)險(xiǎn)水平的領(lǐng)域不應(yīng)列入內(nèi)部審計(jì)業(yè)務(wù)計(jì)劃，但應(yīng)向管理部門(mén)報(bào)告;具有較低固有風(fēng)險(xiǎn)領(lǐng)域的控制，不在內(nèi)部審計(jì)業(yè)務(wù)計(jì)劃中。

2.風(fēng)險(xiǎn)研討會(huì)。以風(fēng)險(xiǎn)為基礎(chǔ)的內(nèi)部審計(jì)計(jì)劃中，風(fēng)險(xiǎn)是指影響組織目標(biāo)實(shí)現(xiàn)的風(fēng)險(xiǎn)，而并非僅是審計(jì)人員認(rèn)為的風(fēng)險(xiǎn)。因而，從某種程度上，還包括審計(jì)人員和董事會(huì)、高級(jí)管理層就共同的目標(biāo)對(duì)風(fēng)險(xiǎn)進(jìn)行的討論。根據(jù)《國(guó)際內(nèi)部審計(jì)專(zhuān)業(yè)實(shí)務(wù)標(biāo)準(zhǔn)》工作標(biāo)準(zhǔn)2010，為制訂以風(fēng)險(xiǎn)為基礎(chǔ)的計(jì)劃，首席審計(jì)執(zhí)行官需征詢(xún)高級(jí)管理層和董事會(huì)的意見(jiàn)，了解組織的戰(zhàn)略、關(guān)鍵經(jīng)營(yíng)目標(biāo)、相關(guān)風(fēng)險(xiǎn)和風(fēng)險(xiǎn)管理程序。內(nèi)部審計(jì)部門(mén)可以通過(guò)與管理層開(kāi)展研討會(huì)、小組座談等方式，考慮高級(jí)管理層最為擔(dān)憂(yōu)的事項(xiàng)，從而討論確定董事會(huì)的前十大風(fēng)險(xiǎn)和優(yōu)先事項(xiàng)。

3.審計(jì)業(yè)務(wù)計(jì)劃。業(yè)務(wù)計(jì)劃旨在實(shí)現(xiàn)每項(xiàng)審計(jì)業(yè)務(wù)目標(biāo)，包括業(yè)務(wù)目標(biāo)、范圍、時(shí)間安排以及資源分配等，這是建立在有記錄的風(fēng)險(xiǎn)評(píng)估基礎(chǔ)上的。根據(jù)《國(guó)際內(nèi)部審計(jì)專(zhuān)業(yè)實(shí)務(wù)標(biāo)準(zhǔn)》工作標(biāo)準(zhǔn)2201，在制訂業(yè)務(wù)計(jì)劃時(shí)，內(nèi)部審計(jì)人員必須考慮到以下方面：被檢查活動(dòng)的戰(zhàn)略、目標(biāo)及控制其實(shí)施的方式;被檢查活動(dòng)的目標(biāo)、資源和運(yùn)營(yíng)等方面存在的重大風(fēng)險(xiǎn)以及將風(fēng)險(xiǎn)的潛在影響控制在可接受水平的方式;與相關(guān)框架或模式相比，被檢查活動(dòng)的治理、風(fēng)險(xiǎn)管理和控制過(guò)程的適當(dāng)性和有效性;對(duì)被檢查活動(dòng)的治理、風(fēng)險(xiǎn)管理和控制過(guò)程做出重大改進(jìn)的可能性。

（二）基于風(fēng)險(xiǎn)的系統(tǒng)審計(jì)方法

根據(jù)《國(guó)際內(nèi)部審計(jì)專(zhuān)業(yè)實(shí)務(wù)標(biāo)準(zhǔn)》工作標(biāo)準(zhǔn)2100，內(nèi)部審計(jì)活動(dòng)必須應(yīng)用系統(tǒng)、規(guī)范、基于風(fēng)險(xiǎn)的方法，評(píng)估并協(xié)助改善組織的治理、風(fēng)險(xiǎn)管理和控制過(guò)程。

在以風(fēng)險(xiǎn)為基礎(chǔ)的系統(tǒng)審計(jì)流程中，一旦確定了作業(yè)計(jì)劃，下一階段就是確定阻礙目標(biāo)實(shí)現(xiàn)的風(fēng)險(xiǎn)，并確保風(fēng)險(xiǎn)能被理解、分類(lèi)和確定優(yōu)先級(jí)。在確定關(guān)鍵風(fēng)險(xiǎn)之后，就應(yīng)權(quán)衡和評(píng)估構(gòu)成風(fēng)險(xiǎn)管理策略主要方面的具體控制并評(píng)估控制是否充分。如果判斷控制設(shè)計(jì)是有效的，應(yīng)進(jìn)一步通過(guò)遵循性測(cè)試判斷是否正確運(yùn)行;即使控制已經(jīng)到位并開(kāi)始運(yùn)行，也需要進(jìn)行少量的實(shí)質(zhì)性測(cè)試，以確保系統(tǒng)目標(biāo)實(shí)現(xiàn)。如果控制薄弱，意味著存在不可接受的剩余風(fēng)險(xiǎn)并應(yīng)直接報(bào)告;也可以通過(guò)測(cè)試這些薄弱點(diǎn)，找出實(shí)際的錯(cuò)誤、濫用、失敗和其他風(fēng)險(xiǎn)，證明控制不充分的影響。對(duì)于剩余風(fēng)險(xiǎn)的結(jié)果進(jìn)行分析，如果剩余風(fēng)險(xiǎn)狀態(tài)在風(fēng)險(xiǎn)容忍度以?xún)?nèi)，可得出有效的保證。同時(shí)，需提出改進(jìn)以減輕剩余風(fēng)險(xiǎn)的建議。

（三）內(nèi)部審計(jì)評(píng)估標(biāo)準(zhǔn)

根據(jù)《國(guó)際內(nèi)部審計(jì)專(zhuān)業(yè)實(shí)務(wù)標(biāo)準(zhǔn)》工作標(biāo)準(zhǔn)2210，評(píng)估治理、風(fēng)險(xiǎn)管理和控制需要依據(jù)適當(dāng)?shù)臉?biāo)準(zhǔn)。內(nèi)部審計(jì)必須確認(rèn)管理層和/或董事會(huì)制訂適當(dāng)標(biāo)準(zhǔn)的程度，以確定目標(biāo)或目的是否實(shí)現(xiàn)。如果標(biāo)準(zhǔn)適當(dāng)，內(nèi)部審計(jì)必須使用該標(biāo)準(zhǔn)進(jìn)行評(píng)估。如果不適當(dāng)，則必須與管理層和/或董事會(huì)進(jìn)行討論，并確認(rèn)適當(dāng)?shù)脑u(píng)估標(biāo)準(zhǔn)。大多數(shù)合規(guī)性審計(jì)引入的是外部標(biāo)準(zhǔn)和內(nèi)部標(biāo)準(zhǔn)，重點(diǎn)關(guān)注控制活動(dòng)中對(duì)規(guī)定和要求的遵循性，標(biāo)準(zhǔn)清晰、簡(jiǎn)單并且容易獲取。相比之下，基于風(fēng)險(xiǎn)的系統(tǒng)審計(jì)方法所使用的標(biāo)準(zhǔn)遠(yuǎn)遠(yuǎn)超過(guò)了合規(guī)性審計(jì)。運(yùn)用內(nèi)部審計(jì)評(píng)估標(biāo)準(zhǔn)時(shí)需要注意以下幾個(gè)方面：一是遵循外部監(jiān)管要求，這是每一個(gè)組織能夠有效運(yùn)行的最低要求。二是內(nèi)部標(biāo)準(zhǔn)建立在滿(mǎn)足外部監(jiān)管要求的基礎(chǔ)上，以更為經(jīng)濟(jì)和有效的方式實(shí)現(xiàn)組織目標(biāo)。三是內(nèi)部標(biāo)準(zhǔn)并不完全等同于內(nèi)部制度，制度文件、系統(tǒng)程序、流程圖是內(nèi)部控制活動(dòng)不同方式的書(shū)面表現(xiàn)，如制度采用文字?jǐn)⑹龇绞?、流程圖采用圖表方式。四是關(guān)于領(lǐng)先的實(shí)務(wù)標(biāo)準(zhǔn)，由于內(nèi)部審計(jì)在宗旨、規(guī)模、復(fù)雜程度和組織架構(gòu)各異的組織內(nèi)部開(kāi)展，其涉及的法律和文化環(huán)境豐富多樣，有將COSO內(nèi)部控制整合框架、COSO企業(yè)風(fēng)險(xiǎn)管理框架、ISO90001質(zhì)量管理體系等列入行業(yè)和職業(yè)指引，也有將以客戶(hù)為中心、全面質(zhì)量管理、可持續(xù)發(fā)展等作為業(yè)務(wù)成功的標(biāo)準(zhǔn)，還有一些行業(yè)所認(rèn)可的最佳實(shí)踐。但是以行業(yè)最佳實(shí)踐作為評(píng)估標(biāo)準(zhǔn)時(shí)，首先要判斷該實(shí)踐是否符合本組織的整體發(fā)展戰(zhàn)略方向以及本組織的運(yùn)營(yíng)模式和方向是否具備經(jīng)濟(jì)、有效實(shí)現(xiàn)該最佳實(shí)踐的基礎(chǔ)。五是在基于風(fēng)險(xiǎn)的系統(tǒng)審計(jì)方法中，更多來(lái)自主觀性的職業(yè)判斷。在整個(gè)審計(jì)過(guò)程中，內(nèi)部審計(jì)必須以公正、不偏不倚的態(tài)度，避免任何利益沖突，確保客觀性。因而，必須遵守組織的內(nèi)部審計(jì)章程及職業(yè)指引，并將其作為自身質(zhì)量管理的評(píng)價(jià)準(zhǔn)則。

（四）控制有效性評(píng)估維度

控制有效性分為控制設(shè)計(jì)的有效性和控制執(zhí)行的有效性。對(duì)控制設(shè)計(jì)的有效性進(jìn)行評(píng)估，更多是主觀性的職業(yè)判斷，需要內(nèi)部審計(jì)人員具備并熟練掌握COSO內(nèi)部控制整合框架、COSO企業(yè)風(fēng)險(xiǎn)管理框架等專(zhuān)業(yè)知識(shí)，具有較強(qiáng)宏觀環(huán)境分析能力和橫向思維能力，熟悉全面業(yè)務(wù)并具有豐富的經(jīng)驗(yàn)，以前瞻性角度對(duì)控制設(shè)計(jì)本身的有效性進(jìn)行評(píng)估。評(píng)估時(shí)需要注意以下幾個(gè)方面：一是不論是控制活動(dòng)還是內(nèi)部審計(jì)活動(dòng)，都在企業(yè)特有的文化中進(jìn)行，所有的活動(dòng)都必須與企業(yè)文化保持一致，因而不同企業(yè)文化背景下同類(lèi)型的控制可能會(huì)選擇不同的實(shí)施方式，最終在各個(gè)子目標(biāo)間取得最佳平衡。內(nèi)部審計(jì)和經(jīng)營(yíng)管理層在控制目標(biāo)和策略理解上的一致性，對(duì)于控制評(píng)估尤為關(guān)鍵。二是在評(píng)估過(guò)程中，需要理解和掌握控制預(yù)期實(shí)現(xiàn)的目標(biāo)，設(shè)計(jì)的邏輯、前提假設(shè)以及相關(guān)原則，以及哪些是當(dāng)前環(huán)境下不能解決的風(fēng)險(xiǎn)。三是只有在控制設(shè)計(jì)有效的情況下，才會(huì)對(duì)控制執(zhí)行的有效性進(jìn)行評(píng)估，這一過(guò)程是遵循性測(cè)試和有限的實(shí)質(zhì)性檢查，如通過(guò)穿行測(cè)試、抽樣復(fù)核等方法進(jìn)行評(píng)估。四是控制重點(diǎn)為硬控制、軟控制、新控制、應(yīng)急計(jì)劃等，COSO內(nèi)部控制五要素為內(nèi)部審計(jì)活動(dòng)評(píng)估提供了一個(gè)整體框架，如控制環(huán)境——對(duì)企業(yè)在傳遞道德價(jià)值，對(duì)是非對(duì)錯(cuò)提供明確指引等方面的效果進(jìn)行評(píng)估;風(fēng)險(xiǎn)評(píng)估——在外部環(huán)境變化、管理層變化（管理哲學(xué)和經(jīng)營(yíng)風(fēng)格）等情況下，控制策略是否仍適用等;信息和溝通——信息化管理下系統(tǒng)所支持的信息是否能及時(shí)、有效地為監(jiān)測(cè)提供支持。五是由于整個(gè)控制體系的建立需要考慮成本效益原則，因此組織尋求建立適當(dāng)?shù)目刂疲越?jīng)濟(jì)高效的方式實(shí)現(xiàn)組織的目標(biāo)，所以在控制設(shè)計(jì)時(shí)，要在五項(xiàng)要素中取得平衡，尤其要關(guān)注那些對(duì)控制目標(biāo)實(shí)現(xiàn)有重要影響的要素。六是在控制有效性測(cè)試時(shí)，若發(fā)現(xiàn)存在重大差錯(cuò)、舞弊、違規(guī)和其他風(fēng)險(xiǎn)，也可以參考COSO內(nèi)部控制五要素的相關(guān)因素，作為問(wèn)題產(chǎn)生原因的思考指引，提出更有建設(shè)性和針對(duì)性的建議。

二、以風(fēng)險(xiǎn)為基礎(chǔ)開(kāi)展內(nèi)部審計(jì)的相關(guān)建議

一是轉(zhuǎn)變思維。在以風(fēng)險(xiǎn)為基礎(chǔ)的內(nèi)部審計(jì)理念中，檢查只是手段，而非目的。要從對(duì)過(guò)去的審查，轉(zhuǎn)為關(guān)注現(xiàn)在和未來(lái)將會(huì)面臨的風(fēng)險(xiǎn)，從“監(jiān)督型審計(jì)”向“服務(wù)型審計(jì)”轉(zhuǎn)變。與傳統(tǒng)的“監(jiān)督型審計(jì)”相比，“服務(wù)型審計(jì)”在立場(chǎng)、思維邏輯、溝通方式等都有所不同，所以這個(gè)轉(zhuǎn)變將是一個(gè)持續(xù)、漫長(zhǎng)的過(guò)程。因此，對(duì)于內(nèi)部審計(jì)部門(mén)和內(nèi)部審計(jì)人員來(lái)說(shuō)，開(kāi)放的心態(tài)、打破常規(guī)和固有的思維局限至關(guān)重要。

二是優(yōu)化配置。傳統(tǒng)“監(jiān)督型審計(jì)”資源主要投入到對(duì)于機(jī)構(gòu)和人員行為的監(jiān)督檢查中，審計(jì)項(xiàng)目主要集中于分支機(jī)構(gòu)層面，通常為“自下而上”審計(jì)業(yè)務(wù)模式的實(shí)施。以風(fēng)險(xiǎn)為基礎(chǔ)的內(nèi)部審計(jì)業(yè)務(wù)，更傾向于“自上而下”審計(jì)業(yè)務(wù)模式的實(shí)施，因而需要相適應(yīng)的組織架構(gòu)、人員結(jié)構(gòu)與之匹配。

三是完善標(biāo)準(zhǔn)。需要對(duì)標(biāo)準(zhǔn)的適當(dāng)性進(jìn)行確認(rèn)，這與傳統(tǒng)“監(jiān)督型審計(jì)”既定的標(biāo)準(zhǔn)是不同的。因而，需要建立對(duì)于標(biāo)準(zhǔn)適當(dāng)性進(jìn)行確認(rèn)的一般原則、規(guī)則和方法，為內(nèi)部審計(jì)人員在內(nèi)部審計(jì)業(yè)務(wù)實(shí)施時(shí)提供指引。

四是規(guī)范流程。遵循性審計(jì)強(qiáng)調(diào)基于事務(wù)的測(cè)試，審計(jì)方案（測(cè)試指南）在初步調(diào)查階段制訂;通常在內(nèi)外部制度更新后，才對(duì)審計(jì)方案進(jìn)行修正，審計(jì)方案較為固定。而對(duì)于系統(tǒng)審計(jì)來(lái)說(shuō)，詳細(xì)的測(cè)試計(jì)劃只有在系統(tǒng)評(píng)估后才能確定，因而系統(tǒng)審計(jì)的工作方案更傾向于確保審計(jì)業(yè)務(wù)目標(biāo)的完成，推動(dòng)以風(fēng)險(xiǎn)為基礎(chǔ)的內(nèi)部審計(jì)業(yè)務(wù)的開(kāi)展。

五是致力創(chuàng)新。內(nèi)部審計(jì)人員除了掌握對(duì)標(biāo)分析、流程圖、調(diào)查問(wèn)卷、檢查清單等基本方法外，還需具有創(chuàng)造力，在內(nèi)部審計(jì)實(shí)踐方面不斷提出改進(jìn)建議，持續(xù)提升自我，放眼未來(lái)。索耶曾指出，內(nèi)部審計(jì)的創(chuàng)造力是“拒絕接受現(xiàn)有的實(shí)踐是最終的，總是在尋找更好的東西”“結(jié)合信息將不同的概念轉(zhuǎn)換成新的更好的概念”。內(nèi)部審計(jì)人員要?jiǎng)?chuàng)新關(guān)鍵業(yè)務(wù)流程，抓住關(guān)鍵因素，從而有效發(fā)揮作用，增加組織價(jià)值。

（作者單位：泰康保險(xiǎn)集團(tuán)稽核中心成都特派辦 太平保險(xiǎn)集團(tuán)稽核中心，郵政編碼：610000，電子郵箱：151688210@qq.com）