以风险为基础的内部审计探讨

刘小书 沈璜

[摘要]本文通过对以风险为基础制订内部审计计划、基于风险的系统审计方法、内部审计评估标准、控制有效性评估维度等方面进行探讨，提出相关建议，为更好地开展以风险为基础的内部审计提供思路。

[关键词]内部审计    风险    基础    标准

在内部审计职能不断发展演变的过程中，内部审计服务类型也在不断发展，如通过内部检查程序，实现对会计交易的双重核查;通过连续的测试程序发现错误或欺诈;通过统计抽样，降低测试水平;通过抽查，以审计威慑（被审计的可能性）减少违规风险;通过风险分析，重点审计高风险领域;通过基于系统的审计，针对控制进行测试;通过经营审计，将经济、效率和效力的概念纳入评估模型;通过管理审计，解决管理活动产生的控制问题;通过以风险为基础的审计，促进组织科学发展。可见，以风险为基础伴随内部审计职能定位而产生，赋予内部审计新的使命——通过提供基于风险的客观确认、深刻见解及建议，不仅将内部审计与组织防范风险和增加价值的目标联系得更为紧密，并且使内部审计可以在公司治理方面发挥更大作用。

一、以风险为基础开展内部审计业务的相关要素

（一）以风险为基础制订内部审计计划

1.审计计划模型。风险评估是制订计划的前提，主要基于审计人员的判断，而这种判断来自对组织战略、目标、业务、风险、运营、程序、系统和控制的认知、理解及熟悉程度。Philna Coetzee，Dave Lubbe（2014）通过实证研究提出以风险为基础的审计计划模型：具有较高固有风险、在实施控制后风险水平较低的领域，应包括在内部审计业务计划中;具有较高固有风险、在实施控制后仍处于高风险水平的领域不应列入内部审计业务计划，但应向管理部门报告;具有较低固有风险领域的控制，不在内部审计业务计划中。

2.风险研讨会。以风险为基础的内部审计计划中，风险是指影响组织目标实现的风险，而并非仅是审计人员认为的风险。因而，从某种程度上，还包括审计人员和董事会、高级管理层就共同的目标对风险进行的讨论。根据《国际内部审计专业实务标准》工作标准2010，为制订以风险为基础的计划，首席审计执行官需征询高级管理层和董事会的意见，了解组织的战略、关键经营目标、相关风险和风险管理程序。内部审计部门可以通过与管理层开展研讨会、小组座谈等方式，考虑高级管理层最为担忧的事项，从而讨论确定董事会的前十大风险和优先事项。

3.审计业务计划。业务计划旨在实现每项审计业务目标，包括业务目标、范围、时间安排以及资源分配等，这是建立在有记录的风险评估基础上的。根据《国际内部审计专业实务标准》工作標准2201，在制订业务计划时，内部审计人员必须考虑到以下方面：被检查活动的战略、目标及控制其实施的方式;被检查活动的目标、资源和运营等方面存在的重大风险以及将风险的潜在影响控制在可接受水平的方式;与相关框架或模式相比，被检查活动的治理、风险管理和控制过程的适当性和有效性;对被检查活动的治理、风险管理和控制过程做出重大改进的可能性。

（二）基于风险的系统审计方法

根据《国际内部审计专业实务标准》工作标准2100，内部审计活动必须应用系统、规范、基于风险的方法，评估并协助改善组织的治理、风险管理和控制过程。

在以风险为基础的系统审计流程中，一旦确定了作业计划，下一阶段就是确定阻碍目标实现的风险，并确保风险能被理解、分类和确定优先级。在确定关键风险之后，就应权衡和评估构成风险管理策略主要方面的具体控制并评估控制是否充分。如果判断控制设计是有效的，应进一步通过遵循性测试判断是否正确运行;即使控制已经到位并开始运行，也需要进行少量的实质性测试，以确保系统目标实现。如果控制薄弱，意味着存在不可接受的剩余风险并应直接报告;也可以通过测试这些薄弱点，找出实际的错误、滥用、失败和其他风险，证明控制不充分的影响。对于剩余风险的结果进行分析，如果剩余风险状态在风险容忍度以内，可得出有效的保证。同时，需提出改进以减轻剩余风险的建议。

（三）内部审计评估标准

根据《国际内部审计专业实务标准》工作标准2210，评估治理、风险管理和控制需要依据适当的标准。内部审计必须确认管理层和/或董事会制订适当标准的程度，以确定目标或目的是否实现。如果标准适当，内部审计必须使用该标准进行评估。如果不适当，则必须与管理层和/或董事会进行讨论，并确认适当的评估标准。大多数合规性审计引入的是外部标准和内部标准，重点关注控制活动中对规定和要求的遵循性，标准清晰、简单并且容易获取。相比之下，基于风险的系统审计方法所使用的标准远远超过了合规性审计。运用内部审计评估标准时需要注意以下几个方面：一是遵循外部监管要求，这是每一个组织能够有效运行的最低要求。二是内部标准建立在满足外部监管要求的基础上，以更为经济和有效的方式实现组织目标。三是内部标准并不完全等同于内部制度，制度文件、系统程序、流程图是内部控制活动不同方式的书面表现，如制度采用文字叙述方式、流程图采用图表方式。四是关于领先的实务标准，由于内部审计在宗旨、规模、复杂程度和组织架构各异的组织内部开展，其涉及的法律和文化环境丰富多样，有将COSO内部控制整合框架、COSO企业风险管理框架、ISO90001质量管理体系等列入行业和职业指引，也有将以客户为中心、全面质量管理、可持续发展等作为业务成功的标准，还有一些行业所认可的最佳实践。但是以行业最佳实践作为评估标准时，首先要判断该实践是否符合本组织的整体发展战略方向以及本组织的运营模式和方向是否具备经济、有效实现该最佳实践的基础。五是在基于风险的系统审计方法中，更多来自主观性的职业判断。在整个审计过程中，内部审计必须以公正、不偏不倚的态度，避免任何利益冲突，确保客观性。因而，必须遵守组织的内部审计章程及职业指引，并将其作为自身质量管理的评价准则。

（四）控制有效性评估维度

控制有效性分为控制设计的有效性和控制执行的有效性。对控制设计的有效性进行评估，更多是主观性的职业判断，需要内部审计人员具备并熟练掌握COSO内部控制整合框架、COSO企业风险管理框架等专业知识，具有较强宏观环境分析能力和横向思维能力，熟悉全面业务并具有丰富的经验，以前瞻性角度对控制设计本身的有效性进行评估。评估时需要注意以下几个方面：一是不论是控制活动还是内部审计活动，都在企业特有的文化中进行，所有的活动都必须与企业文化保持一致，因而不同企业文化背景下同类型的控制可能会选择不同的实施方式，最终在各个子目标间取得最佳平衡。内部审计和经营管理层在控制目标和策略理解上的一致性，对于控制评估尤为关键。二是在评估过程中，需要理解和掌握控制预期实现的目标，设计的逻辑、前提假设以及相关原则，以及哪些是当前环境下不能解决的风险。三是只有在控制设计有效的情况下，才会对控制执行的有效性进行评估，这一过程是遵循性测试和有限的实质性检查，如通过穿行测试、抽样复核等方法进行评估。四是控制重点为硬控制、软控制、新控制、应急计划等，COSO内部控制五要素为内部审计活动评估提供了一个整体框架，如控制环境——对企业在传递道德价值，对是非对错提供明确指引等方面的效果进行评估;风险评估——在外部环境变化、管理层变化（管理哲学和经营风格）等情况下，控制策略是否仍适用等;信息和沟通——信息化管理下系统所支持的信息是否能及时、有效地为监测提供支持。五是由于整个控制体系的建立需要考虑成本效益原则，因此组织寻求建立适当的控制，以经济高效的方式实现组织的目标，所以在控制设计时，要在五项要素中取得平衡，尤其要关注那些对控制目标实现有重要影响的要素。六是在控制有效性测试时，若发现存在重大差错、舞弊、违规和其他风险，也可以参考COSO内部控制五要素的相关因素，作为问题产生原因的思考指引，提出更有建设性和针对性的建议。

二、以风险为基础开展内部审计的相关建议

一是转变思维。在以风险为基础的内部审计理念中，检查只是手段，而非目的。要从对过去的审查，转为关注现在和未来将会面临的风险，从“监督型审计”向“服务型审计”转变。与传统的“监督型审计”相比，“服务型审计”在立场、思维逻辑、沟通方式等都有所不同，所以这个转变将是一个持续、漫长的过程。因此，对于内部审计部门和内部审计人员来说，开放的心态、打破常规和固有的思维局限至关重要。

二是优化配置。传统“监督型审计”资源主要投入到对于机构和人员行为的监督检查中，审计项目主要集中于分支机构层面，通常为“自下而上”审计业务模式的实施。以風险为基础的内部审计业务，更倾向于“自上而下”审计业务模式的实施，因而需要相适应的组织架构、人员结构与之匹配。

三是完善标准。需要对标准的适当性进行确认，这与传统“监督型审计”既定的标准是不同的。因而，需要建立对于标准适当性进行确认的一般原则、规则和方法，为内部审计人员在内部审计业务实施时提供指引。

四是规范流程。遵循性审计强调基于事务的测试，审计方案（测试指南）在初步调查阶段制订;通常在内外部制度更新后，才对审计方案进行修正，审计方案较为固定。而对于系统审计来说，详细的测试计划只有在系统评估后才能确定，因而系统审计的工作方案更倾向于确保审计业务目标的完成，推动以风险为基础的内部审计业务的开展。

五是致力创新。内部审计人员除了掌握对标分析、流程图、调查问卷、检查清单等基本方法外，还需具有创造力，在内部审计实践方面不断提出改进建议，持续提升自我，放眼未来。索耶曾指出，内部审计的创造力是“拒绝接受现有的实践是最终的，总是在寻找更好的东西”“结合信息将不同的概念转换成新的更好的概念”。内部审计人员要创新关键业务流程，抓住关键因素，从而有效发挥作用，增加组织价值。

（作者单位：泰康保险集团稽核中心成都特派办 太平保险集团稽核中心，邮政编码：610000，电子邮箱：151688210@qq.com）