風險導向內部審計

出自 MBA智库百科(https://wiki.mbalib.com/)

風險導向內部審計(Risk-Based Internal Audit)

　　風險導向內部審計也稱風險管理導向內部審計，是指內部審計人員在審計全過程中自始自終都要關註風險。在對企業的經營活動進行全面瞭解後，以企業風險分析評估為導向，分析企業整體經濟業務，綜合評價企業經營所處的內外環境、風險水平．根據風險度選擇項目．根據量化分析水平安排審計項目先後次序．根據風險確定審計範圍和重點，以降低風險為導向進行內部控制的符合性測試和實質性測試．並對企業的風險管理、內部控制和治理程式進行評價．進而提出建設性意見和建議。其審計報告可以作為提出風險、防範風險、應對風險和信息交流的預警信號。因此，風險導向內部審計是為降低審計風險和經營風險進行風險管理的一種有效工具．也是不同於財務審計、業務審計和管理審計的一種新的審計模式。

　　經歷了財務導向內部審計、業務導向內部審計、管理導向內部審計至風險導向內部審計。風險導向內部審計的產生有其必然性。一是企業風險已成為影響企業目標實現的關鍵因素，管理與控制風險變得越來越重要。內部審計實行的風險導向審計，是通過管理和控制風險來幫助企業在充滿風險和競爭的環境中生存和發展的；二是從審計技術與方法發展的角度來說，目前我國大部分企業的內部審計仍然採用賬項基礎審計模式和制度基礎審計模式。而這兩種審計模式由於其本身共有的局限性使得內部審計的審計效率低下，審計結論缺乏可操作性。

==風險導向內部審計的基本特點==^[3]

　　以內部控制測試為基礎實施抽樣審計, 很難將審計風險降至可接受的水平, 抽取樣本量的大小也很難說服政府監管部門和社會公眾。為了從理論和實踐上解決制度基礎審計存在的缺陷, 審計職業界開發出審計風險模型。傳統風險導向審計模型是“審計風險=固有風險×控制風險×檢查風險”, 固有風險和控制風險與被審計單位有關, 審計師可以通過瞭解企業及其環境以及評價內部控制對兩者做出評價, 在此基礎上確定檢查風險, 並設計和實施實質性程式, 將審計風險險控制在可接受的水平。經營風險導向審計模型是“審計風險=重大錯報風險×檢查風險”, 以審計風險模型為基礎進行的審計就是風險導向審計。

　　內部審計從萌芽狀態發展至今, 其審計本質、目標、對象、範圍、職能及方法發生了較大的變化, 分析風險導向內部審計的特點可以從四個方面著手。

　　(一) 本質

　　實現組織目標的過程也是內審部門協助本組織成員有效履行其責任的過程, 風險導向內部審計的本質就是確保受托責任履行的管理控制機制。

　　(二) 目標

　　現代內部審計的重點已逐漸轉向事先發掘問題、改善經營管理、促進經濟效率, 內部審計要提供與被審計活動有關的分析、評價、建議、咨詢和信息。風險導向內部審計不僅是在內部控制領域消極地查錯防弊, 而是以組織的整體風險評估作為自己的首要工作目的。

　　(三) 對象

　　風險導向內部審計是以風險管理、控制和公司治理為審計對象的。由於受托責任範圍的擴大, 內審對象的範圍也隨著內審的發展而逐漸擴大, 內審目標所包含的內容逐漸多樣化和全面, 綜合了企業運營所涉及的各類事項和領域。

　　(四) 範圍

　　風險是事件及其可能性的結合, 它包含著機會和威脅。

　　作為一種廣義的風險觀, 風險導向內部審計所涉及的範圍比以往的內審模式有了進一步的擴展。內部審計人員應對風險進行排序, 根據風險大小來確定審計範圍, 把主要審計資源分配給高風險項目。

　　風險導向內部審計的實質是內部審計人員在內部審計的全過程中自始至終都關註風險，並根據風險度選擇項目，以降低風險為導向，進行內部控制制度的符合性測試、實質性測試，併進行監督檢查和評價，提出建設性意見和建議。這樣得出的審計報告可以作為揭示企業風險、防範風險以及信息交流的預警信號，為企業風險管理提供可靠的信息，並作為企業進行風險判斷的重要依據。它客觀上要求內部審計在風險環境中觀察業務過程，提出控制風險的建議與對策，從而為企業獲取更大經濟效益。

　　(一) 參與風險管理

　　隨著新經濟所帶來的全球化, 出現了電子商務、企業組織結構虛擬化、集約化、專業化及扁平化矩陣式等新的商業特征, 許多跨國公司開始實施全面風險管理方法, 一些國際咨詢公司和國際會計公司也開始運用這一概念並將其同咨詢或審計業務相結合。目前, 越來越多的發達國家大公司建成或即將建成全面風險管理體系。

　　風險管理首先要求全面識別風險, 同時熟悉本單位的經營戰略、工作程式、組織結構等, 而內部審計人員的獨特地位與專業知識可以滿足以上要求。因此, 以風險為導向的內部審計捕捉風險信息的能力比企業內部其他部門和外部審計都強, 對於企業風險管理能做出其獨有的貢獻。在具體實施時, 風險導向內部審計首先確認企業目標或某項交易的目標, 然後分析對這些目標產生影響的風險, 確定審計風險水平和審計重點, 提出風險防範和控制建議, 最後通過後續審計, 測定風險是否得到有效防範和控制。這樣, 審計建議可以直接針對企業實現目標過程中面臨的主要問題和風險, 並將事後評價反饋延伸到事前和事中, 使內部審計成為企業價值鏈中的必要環節。

　　(二) 促進內部控制

　　內部控制從某種程度上來說從屬於風險管理, 是風險管理的方式之一。企業風險管理是在內部控制的基礎上整合起來的框架, 是為了企業在風險管理領域中各項廣泛的議題給予多方面的關註和更穩健的管理。在風險理念的作用下,企業內部控制已擴展為企業風險管理框架, 內部控制與風險管理已趨於融合。因此, 對風險管理的促進作用是建立在企業的內部控制同時得到改善和促進的基礎之上的, 兩者是互相促進的。

　　傳統內部審計偏重於直接測試內部控制, 提出增加控制點或增加控制的建議, 而隨著時間的推移, 控制點越來越多,業務過程也將越來越繁瑣和緩慢, 因此, 傳統內部審計模式是在遞減地增加企業價值。風險導向內部審計以內部控制結構為內容, 關註風險發生的可能性, 使審計重點前移, 利用風險標準選擇審計項目, 每一項審計及其目標都與企業目標緊密相關。風險導向內部審計改進了對內部控制的監控方式, 能抓住重點, 簡化內部控制流程, 保證審計質量, 提高審計效率。

　　(三) 促進公司治理

　　公司治理的基本目標是在充分考慮利益相關者利益相對滿足和大體均衡情況下, 增加企業價值, 從而使股東長遠價值最大化。風險導向內部審計的本質是確保受托責任有效履行的管理控制, 它更註重與企業目標的直接關聯。可見, 公司治理與風險導向內部審計目標是一致的, 內部審計活動應評價併為改進機構的治理程式提出適當的建議。風險管理關註包括公司治理和內部控制環節的風險在內的一切風險, 這正是風險導向內部審計的對象。風險是兩面的,既可能對企業正常運營產生負面的影響, 也可以為企業帶來新的機遇, 所以, 內部審計部門應為支持組織的風險管理提供獨立的保證和咨詢服務, 幫助管理層將風險控制在可接受的水平之內, 以順利實現組織目標。

　　“內部審計既是公司治理的一部分, 同時又參與到治理有效性的審計之中。內部審計在公司治理中的作用包括監督、評價和分析組織的風險和各項控制; 覆核並證實信息是否可靠並符合相關政策、程式與法律, 協助管理者向董事會、審計委員會以及執行管理機構提供風險防範以及治理有效的保證。”有效的內部審計是公司治理結構中形成權力制衡機制並促使其有效運行的重要手段, 是公司治理過程中不可缺少的組成部分。但是, 值得註意的是, 內部審計師並不是以一個負責人身份出現在風險管理中, 而只是作為內部控制方面的專家。另外, 內部審計人員實質上的獨立性需要保證。企業所有權與經營權的分離導致了經營者實質上控制了企業, 而經營者本身就是內控的對象。如果由經營者負責內控的設計與執行, 並對內控的執行情況加以認定與評估,濫用職權的導致內控失靈現象就很容易產生。當風險被評估之後, 管理層可能會不採納內審人員的評估和建議, 或者管理層可能會為了個人利益而給予內部審計人員壓力, 使其做出不客觀的評估。