国有企业风险导向内部审计的应用探讨

● 黄建喜

一、引言

国有企业要做优做大做强，提高抗风险能力，达到国有资产保值增值的目的，必须建立高效的风险管理系统，防患于未然。内部审计监督风险管理的有效性，从风险管理出发，关注风险，实现事前、事中和事后的管理、控制与反馈。

国际通用的《内部审计实务标准》有明确说明：内部审计应当保持独立客观的态度，对风险进行评估、分析与应对，加强风险管理，提升组织价值，促进实现组织目标。所以，风险导向内部审计是顺应企业发展需要而产生的，企业实施风险导向内部审计能够提高经营效率。但是在实践中，我国很多企业仍然把账簿作为审计的主要对象，缺乏风险理念的培养，缺乏对于风险导向内部审计的研究与探讨。事实上，风险导向内部审计侧重评估与应对风险，将剩余风险降低至可以接受水平，帮助企业规避风险，更好地实现企业发展目标。

二、风险导向内部审计的特征

风险导向内部审计从风险出发，在风险识别、分析的基础之上进行审计工作，通过风险导向内部审计可以提升企业价值。风险导向内部审计的审计重点，改变以前关注内部控制的薄弱点，而从影响企业实现目标的风险出发；从单纯的财务审查，扩展到调整战略经营目标，帮助管理者作决策；从简单的发现内部控制的缺陷与报表差错，到评价企业的风险管理体系并提出改进建议，实现企业价值；从事后控制到动态评估企业风险，事前、事中的防范与控制。

内部审计与外部审计的目的不同，因而两者关注的风险点不同。外部审计人员如果发表了不当的审计意见，可能会承担法律风险。而内部审计人员关注企业风险是因为企业风险一旦不可控，那么会严重影响企业战略目标的实现。这些风险既有诸如政策导向、行业波动等外部因素，也有企业调整战略定位、产业结构等内部因素。总之，内部审计是站在企业的角度关注风险，风险导向内部审计是充分发挥其管理风险的作用，更好的实现企业的战略目标。

风险导向内部审计与传统的内部审计也有很大的不同：

（一）审计路线

传统的经营审计、财务审计等内部审计，其审计路线是控制——风险——目标。随着企业内部控制程序的细化，那么传统的内部审计会产生效率低下的情况。风险导向内部审计，首先通过沟通确定企业的经营发展目标，然后寻找影响企业目标实现可能存在的风险，然后根据风险的影响程度、可控性等标准排序风险，确定审计重点和程序，进而获取审计证据评价风险。所以说，风险导向内部审计的审计路线将企业目标与审计目标有效结合，更有利于企业价值的提升。

（二）审计范围

传统的内部审计主要针对企业的财务资料和内部控制进行审计，随着我国经济体制改革的深入，受国际主流审计模式的影响，以及适应企业发展的需要，内部审计的重点转向了风险管理，审计范围扩展到了识别风险、评估风险和应对风险。扩展审计范围，能够将有限的审计资源放在影响企业目标实现的重大风险上，降低经营风险，改善企业的治理结构。

（三）审计方法

传统的内部审计主要是详细审查企业的财务资料，而风险导向内部审计等现代审计则关注企业的生产、经营、管理等各项经济活动。审计范围的扩大带来了审计方法的改变，所以风险导向内部审计不仅采用函证、监盘等审计方法，同时综合运用观察、检查、分析程序等现代管理方法以及计算机分析等方法，全面进行风险的识别和分析。

三、风险导向内部审计的实施程序和作用

总的来说，风险导向内部审计首先是确认剩余风险，然后对风险进行排序，最后提出风险管理的改进建议。所谓剩余风险，指的是在实施了内部控制和风险管理流程后，依然存在的未被识别的风险或者虽然已经识别但是没有有效控制的风险。风险导向内部审计的主要目的就是要把剩余风险降低到企业可以接受的水平。具体的实施程序有以下几个步骤：首先，了解企业的外部经营环境和企业设定的战略目标，据以确定可接受的剩余风险水平；其次，识别风险、定量评估，排序风险，不同程度的风险审计重点不同，审计方法也不同；再次，与企业的管理当局沟通，告知审计中发现的无效控制以及无控制的环节，并提出改进的建议；最后，通过实质性分析等审计程序获得审计证据，出具风险审计报告，提出管理和控制剩余风险的有效建议。

风险导向内部审计的作用有以下几点：

其一，内部审计对企业的风险管理活动进行客观的评价和监督，全面识别可能发生的、阻碍企业目标实现的情况。所以说，内部审计不仅仅是分析企业的风险管理活动已经识别出来的风险，而是在对企业的风险环境进行全面了解的基础上，全面识别企业的固有风险，帮助管理层重点关注影响企业经营目标实现的那些风险。

其二，尽可能客观准确的量化企业的风险。企业的内部审计人员在风险假设条件、测试结果、数据来源的基础上建立风险量化模型，从而能够准确的量化评估企业的风险，便于根据量化的结果对风险进行排序。当然，不是所有风险都能量化，如果有一些风险因缺少历史数据而难以量化时，可以结合企业目标、风险管理知识、内部审计人员的职业判断定性评估风险。

其三，评估控制活动的有效性，将风险降低至可接受的范围内。市场环境瞬息万变，风险无处不在，但是企业可以通过内部审计，评价控制活动的有效性，确保控制活动能够使企业达到既定的目标。由于控制活动涵盖企业的方方面面，内部审计人员可以采取多种多样的审计方法评估控制活动的有效性，从而将企业承受的风险降低在一个可以接受的合理范围内。

其四，内部审计有利于风险信息的传递。现代企业管理层级多，基层的管理人员开展基础的风险管理工作，高级管理人员难以全面把握和控制企业的风险管理活动。出于完善治理结构的考虑，一般大型国有企业的内部审计机构是隶属于企业的董事会或审计委员会的，这就使得内部审计人员以独立的第三方身份评价企业的风险管理，提出改进建议，出具审计报告，从而将相关的风险信息传递给管理当局，有利于管理当局改进决策，实现企业发展的目标。

四、改善国有企业风险导向内部审计的建议

（一）强化风险导向内部审计的意识

随着国企改制的推进以及跨业经营的开展，国有企业面临多样化与复杂化的风险。国有企业应该摆脱过去账目基础审计和制度审计的理念，转变观念，将风险意识贯穿内部审计的全过程。内部审计人员在充分了解被审计单位经营环境的基础上，站在企业战略的高度，全面识别各种经营风险、战略风险、内部风险、外部风险，并根据风险的重大程度进行排序，合理配置审计资源。针对可能严重影响企业战略目标实现的重大风险事件，查找源头，提出有针对性的风险防范措施，将事后审计扩展到事前审计、事中审计，确保企业的风险管理系统和内部控制系统有效运行。

（二）提高内部审计人员的综合素质

高素质的内部审计团队是保证风险导向内部审计效率和效果的重要因素。首先，要通过有效的激励机制吸引审计经验丰富的审计人才。高素质的审计人才不仅需要具有财会、审计、企业管理方面的知识和技能，还要能够熟练使用计算机技术和管理技术。新的审计人才的引入，能够扩充审计的力量，同时给组织带来新的思想和活力；其次，组织系统培训。企业要强化内部审计人员的风险理论学习，不断更新内部审计人员的知识体系，提升内部审计人员的综合素质。从内审人员自身的角度，也要不断加强自我学习，不断充实自己，努力成为复合型的优秀人才。最后，内部审计人员应该深入了解企业的各类业务，在集团总部和分公司审计部门之间定期轮岗，以便能够站在战略的高度整体把控企业的风险。

（三）提升内部审计的信息化水平

审计信息化是解决审计效率和保证审计效果的有效方法。内部审计的信息化系统建设，可以有效开展风险的识别、防范、应对、控制与反馈，推动企业由传统的内部审计向风险导向内部审计的转型。内部审计人员应当开发审计信息系统，充分发挥计算机技术在审计信息管理和使用上的作用，保证审计信息的完整性，为审计意见提供强有力的支持。

五、结语

与西方现代内部审计相比，我国的风险导向内部审计起步晚，国有企业掌控着国民经济发展的命脉，推进内部审计模式的转型势在必行。国有企业必须将风险理念融入内部审计的全过程，从而保证内部审计职能的有效发挥。