风险管理在审计项目实施方案中的应用研究

1、风险管理在审计项目实施方案中的应用研究摘要 本文通过对风险管理在审计项目实施方案中的应用实践进行总结，梳理探讨了在审计项目准备阶段和编制审计项目实施方案时应当如何控制审计工作自身的风险，提出了风险应对的措施，对审计工作中编制完整的审计项目实施方案提供了指引。关键词 风险管理 审计项目实施方案 应用研究一、研究目的和意义在日常审计工作中，编制审计项目实施方案是一项例行工作。审计项目实施方案是开展审计工作的任务指导书，是审计质量控制的关键环节，其重要性体现在以下方面：Ø 审计项目实施方案是开展内部审计工作的指引，完善的审计方案说明了审计重点、方法和具体步骤，具有较强的针对性，对审计组收集

2、审计证据和对被检查业务进行确认和评估提供指导，保证工作有条不紊地进行，减少审计工作中的疏漏和失误，降低审计质量控制风险；Ø 审计项目实施方案是一种对审计工作本身进行监督和督导的控制手段和依据。Ø 完善审计方案是审计最基础的工作，是练好审计基本功的具体表现。因此，一定程度上可以将审计项目实施方案比作审计项目工作的质量保证大纲，但有时候这项例行工作在执行时存在以下一些问题：Ø 以经验为导向，重审计实施过程，轻方案编制，应付了事；Ø 方案中审计重点不突出；Ø 方案不完整，操作性不强，导致方案与执行脱节，起不到指导作用等等。实践中，这些有缺陷的审计项目

3、实施方案由于在执行中起不到作用，影响到审计工作的正常开展，对审计工作质量不能提供合理保障。基于对审计项目实施方案的重要性认识，思考如何提高审计项目实施方案编制质量就是一项必不可少的工作。二、风险管理在审计项目实施方案中运用的理论依据目前，风险导向审计是审计理论研究的一个热点，也是目前审计思想和实务发展的趋势。在风险导向审计模式下，风险管理是一个持续的过程，贯穿于审计工作的整个过程，将审计工作的重心前移，在风险评价的基础上开展工作使审计工作更有针对性，将审计资源调配到企业经营管理风险较大的领域，有利于提高审计效率，有利于达成内部审计为企业价值增值的宗旨。将编制审计项目实施方案作为一项审计业务来看

4、，同样需要对该业务所面临的风险进行分析、评估和应对，王光远教授在现代内部审计十大理念中提到“在单项审计层面,风险影响审计计划、审计测试及审计结果的报告”,由此来看，风险管理也是完善审计项目实施方案中必不可少的关键内容。按照IIA内部审计实务标准的解释，风险是指对实现目标有影响的事件实际发生的可能性。风险通过影响程度和发生的可能性来衡量。风险管理是指识别、评估、管理和控制潜在事件或情况的过程，目的是为实现组织的既定目标提供合理保证。参考COSO发布的企业风险管理-整合框架和国资委发布的中央企业全面风险管理指引，风险管理包括八个相互关联的构成要素：内部环境、目标设定、事项识别、风险评估、风险应对、

5、控制活动、信息与沟通、监控，八要素联系起来成为衡量风险管理是否有效的标准。风险评估技术主要有定性评价和定量评价或两者结合。按照内部审计具体准则，审计方案包括以下要素：审计目的和审计范围、重要性和审计风险评估、审计方法和步骤、审计资源和时间、审计组人员分工、其他等。在每一个要素中都存在导致审计项目达不到预期效果的风险因素，在制定方案时需加以不同程度的考虑，提出应对措施。对审计方案的每个构成要素进行风险识别、评估和控制就构成了风险管理在审计项目实施方案中运用的结构框架。在实践中，就是要在审计项目准备工作阶段，编制审计项目实施方案时考虑影响审计目标达成的风险有哪些，如何评估，如何控制，以合理确保审计

6、目标实现。在内部审计具体准则中与编制审计项目实施方案风险控制有关的准则有第1号审计计划、第17号重要性与审计风险、第18号审计抽样、第19号内部审计质量控制和第20号人际关系。将其中涉及审计项目实施方案有关的要求整理见表1。表1. 内部审计具体准则相关要求序号具体准则要求与编制方案的相关性1审计计划相关规定：第四章项目审计计划与审计方案是编制方案的直接性要求。2重要性与审计风险相关规定：内部审计人员在编制项目审计计划时，应当对重要性作出初步判断，合理估计所需审计证据的数量。对重要性作出判断时，应当考虑：相关管理层的需要，被审计单位经营活动受法律、法规影响的程度，被审计单位在组织中的重要程度，被

7、审计单位的经营规模、经营风险及各项业务的性质，审计组对被审单位内部控制适当性、合法性及有效性的预估。重大差异或缺陷风险水平越高，内部审计人员就应实施更为详细的检查程序。检查风险与抽样审计方法的应用、内部审计人员的专业胜任能力及职业道德水准和所用的审计方法的适当性及有效性有关。内部审计人员应在评估审计风险的基础上制定项目审计计划和审计方案。是编制方案的直接性要求。3审计抽样相关规定：确定抽样总体、选择抽样方法时应当以审计目标为依据并考虑被审计单位与审计项目的具体情况。内部审计人员在选取样本时，应当对经营活动中存在的重大差异或缺陷风险以及审计过程中的检查风险进行评估，并充分考虑抽样引起的抽样风险及

8、其他因素引起的非抽样风险。在确定抽样方法时需要考虑的风险。4内部审计质量控制相关规定：内部审计项目质量控制主要包括：指导内部审计人员执行审计计划；监督内部审计过程。审计项目实施方案是指导和监督的依据之一。5人际关系相关规定：内部审计人员应当与组织内外相关机构和人员进行必要沟通，以实现以下目的：在内部审计工作中尽量取得相关机构和人员的理解和配合，及时获得相关、可靠的信息，提高内部审计效率；确保内部审计意见得到有效贯彻，实现内部审计目标。在了解被审计单位基本情况时，应当进行及时、有效的沟通和协调。在编制方案时应征求管理层和相关方的意见和建议。上述定义、框架和准则要求为我们在编制审计项目实施方案时进

9、行风险管理提供了指引。三、风险管理在审计项目实施方案中的应用方式分析（一）审计项目实施方案中的风险管理要素风险管理的八个要素在审计项目实施方案中的运用并非需要面面俱到，主要关注风险评估、风险应对、控制活动和监督四个方面，其他如内部环境和目标设定可以理解为审计工作制度和程序、审计组织机构等，对讨论具体审计项目实施方案影响不大；事项识别是风险分析的前提，可以包含在风险评估之中；信息与沟通贯穿于各项工作之中，不需要分离出来讨论。风险评估从可能性和影响两个角度对风险事项进行评估，评估方法包括定性和定量技术的结合，在定量分析所需的充分的可靠的数据无法取得或不适用时，应当选择定性分析。定性分析可以采用专家

10、评审、研讨会、对标、情景模拟和压力测试等方法。依据审计项目实施方案中各要素的性质特点，主要是运用定性方式进行风险分析。例如分配审计资源，可以设置边界条件进行压力测试，当审计资源不能保证审计任务按计划完成时，就构成限制条件，需要调整资源或调整审计任务。风险应对是在风险评估结果完成后针对性的所采取的控制活动，控制活动与风险结果相对应。采取控制活动后应当对剩余风险进行评价，以确定风险是否在受控状态中。监督是对上述工作成果的检查和确认，验证了上述工作的效果，本身也可以算作是另一种形式的控制活动。通过对审计项目实施方案的每一步进行风险管理，基本上全面解剖了审计方案所面临的风险，为制定科学的、合理的审计方

11、案奠定了基础。（二）审计项目实施方案中风险管理的内容制定一个完整的审计实施方案的大致步骤是：了解被审计项目背景情况，拟定审计目标，对被审业务进行风险分析，确定审计范围和内容，确定审计重点，确定审计方法和步骤，分配审计资源，审计方案通过后开展正式审计工作。依据工作流程对每一步需要关注的风险进行讨论符合正常的逻辑和工作习惯。1、项目背景审计组对审计项目背景进行调查是为了增加审计组对被审业务的认识和理解，初步确认业务的风险点和已开展的控制活动，初步判断审计需要关注的重点领域，因此要了解熟悉有关业务活动情况。了解审计项目背景可以访谈被审计部门的相关人员，听取他们的建议，获取可用于开展审计工作的信息；可

12、以与高级管理层沟通，了解他们的关注点；可以通过公司正式的制度文件等，绘制业务流程图、风险评价表等；可以借鉴以往的审计评价结果，或其他内外部评价等等。2、被审业务风险分析被审业务风险分析是风险导向的核心，审计工作要围绕分析结果来开展。就风险分析本身而言，其风险是采用的风险评估技术不适当，风险因素识别有误，风险分析不充分，未能识别重大风险等。例如在分析合同管理存在的风险时，没有将合同（或变更）金额百分比纳入考量，而是将合同（变更）数量百分比作为衡量风险的指标之一，就有可能得出完全不同的评价结果，导致不能抓住真正的审计重点，使审计工作面临较大的质量风险。在对被审计业务进行风险分析时，一方面要对照国家

13、相关法律法规要求、企业内部控制规范、企业会计准则等，一方面要结合背景调查取得的有用信息，重视管理层的需求，因为管理层尤其是高层与审计师所站位的高度不同，对信息的掌握程度也不同，看问题的视角也不同，对风险理解也不同。审计师辨识的风险有可能管理层认为不是风险的情况普遍存在。附件审计分项风险评价表是采用打分法进行定量分析的一种方式，供参考。3、审计目标审计目标可以是真实性、合法合规性、有效性、效果、效率、经济性中的任意组合。目标选取要明确、清晰，防止模糊、泛滥。确定审计目标时可以先分析被审计业务工作流程，然后将业务控制活动按照内控五要素进行分类，再从控制环节上确定要评价的目标，形成一个三维矩阵，如下

14、图所示，可以帮助确定审计目标。控制活动采购业务有效性选取审计项目目标既可以从业务入手，也可以从要素入手。从要素角度入手例如评价公司的程序制度体系（属于内控环境要素），可以评价体系的完整性（有无管理漏洞），也可以评价合法合规性（与国家法律法规和上级规章制度是否有冲突）；还可以评价有效性（程序规定和流程是否适应工作需要）。要素还可以再分解的具体一些，例如评价公司人力资源管理政策的合法合规性。从业务角度入手确定审计目标例如上图所示评价公司采购业务控制活动的有效性。通过三维矩阵工具，可以帮助分解公司全部业务和确定清晰的审计目标。如果结合公司审计业务循环清单对风险的分析结果，还可以在三维矩阵上增加标示出

15、每个业务块风险大小（如上图所示用颜色深浅表示风险的大小），更加有助于确定合适的审计目标。4、审计范围和内容确定审计范围和内容的主要风险体现在审计范围和内容要支持审计目标的实现，范围和内容能从充分性和必要性两方面验证审计目标。例如开展采购业务控制活动的有效性审计，那么审计范围应当包括公司发生的各种类型的采购活动才能够说明公司采购业务控制活动的实施情况；如果范围缩小为公司商务部门负责的竞争性采购活动的控制有效性审计，那么审计范围就不必包括非竞争性采购和其他部门发生的采购活动。常见的问题是确定的审计目标范围过大，而实施审计时不能覆盖到目标所包括的全部业务，不能充分支持审计目标的实现。例如开展现场施工

16、管理审计，但施工管理包括的具体业务很多，例如现场施工进度计划控制、施工方案控制、人材机等资源控制、工序工艺质量控制、施工工艺变更控制、完工验收控制、不同专业间接口管理等等复杂的系统工作。如果确实要评价现场施工管理的有效性，就需要对上述各项工作分别进行细致的审查。但从实际工作经验来看，受审计资源的限制，单次审计无法对施工管理的各项系统工作完成全面审计，除非对审计资源不做限制，部分项目只做了蜻蜓点水式的检查，对审计目标的支撑作用有限。因此，在考虑审计范围时，也要根据审计资源的情况，确定合理的审计范围和内容，匹配审计目标的需要即可，以便高效使用审计资源。5、审计重点和审计方法审计重点和审计方法直接关

17、系到能否实现审计目标，以及审计自身的风险大小。审计重点要体现出风险导向，在确定审计重点的过程中需要控制的主要风险有：、对被审计业务的风险分析不全面，例如风险分析较粗略没有，或者对被审计业务不熟悉而又没有寻求专家支持造成风险分析有失偏颇，或者参考其他部门的风险分析成果但没有进行复核是否适用，等等；、风险分析的结果与所确定的审计重点不完全匹配，例如分析得出招标过程中编制工程量清单环节风险较大，主要风险是工程范围不确定影响工程量的准确性，进而影响后期的造价控制，对此可以将技术部门的技术审核控制作为审计重点，验证技术部门对此环节的控制流程和控制效果；、确定的重点不突出或比较宽泛，都是重点等于没有重点，

18、例如评价公司的程序制度体系的完整性，公司程序体系包含不同层次、不同业务类别的各项制度，此时验证完整性就需要确定审计重点，可以按照经营合法合规性要求或者参照企业内部控制规范的内部控制框架来确定重点检查领域，对公司正常运营影响不大的则可以减少审计资源分配。在确定审计重点时的风险分析对审计质量来讲至关重要，审计项目组长和督导组都要重视对风险分析的复核和督导，要关注管理层的风险关注点，风险分析评估的过程是否适当，结果是否可靠，以控制审计工作方向不偏离目标。审计方法选取不适当直接影响审计发现的深度，或者发现不了问题，是低效能工作的一种表现。例如对招标过程中编制工程量清单环节内控进行审计，如果对样本只检查

19、了工程量清单编审批是否完整，只能说明形式上的流程是否完整；要证明清单编制控制是否有效，可以采用分析性复核，抽取一部分清单工程量进行复核，还可以检查设计合同中对清单编制的约束性条款；这样对清单编制的审计就比较全面，才能够支持评价清单编制控制是否有效这一审计目标。在考虑审计方法时可以从被审计业务对象本身是否可以定性或定量描述，被审计业务对象考核指标、业务性质等等入手，选取能客观反映被审计业务真实状况的手段和方法。例如审计行政后勤服务质量，可以考虑采用问卷调查法或访谈法测试满意度和存在问题；审计工程造价则需要进行分析性复核。6、审计资源分配的风险控制考虑审计资源分配时要依据审计项目的复杂性和专业类别

20、，以及项目时间、项目组人员数量、人员资质和经验（知识、技能等）的限制等等因素，如果人力资源不满足可以考虑利用外部资源，或者暂时不开展与能力不匹配的审计项目。（三）、风险的分类控制通过梳理制定审计项目实施方案的流程活动，识别分析出需要控制的风险，提出相应的控制方法，然后按照内控五要素进行归纳整理，结果如下表2、表3。表2. 风险分类表序号控制要素风险因素可能性对审计结果的影响权重1内部环境没有清楚了解被审业务内控制度（控制流程等）2没有清楚了解被审业务开展概况（组织机构、职责范围等），初步判断潜在风险3风险评估对被审对象风险测试不足,未能识别重大风险4控制活动审计目的不清晰或过于宽泛，审计价值不

21、明显5审计范围和内容不清晰，与审计目的相关性不强6审计重点不突出，不能达成预期审计目的7人员安排不合理，不能胜任或需要回避8审计步骤不具体，不能指导审计工作实施9时间安排不合理，不能保证审计工作充分性10审计方法选取不当，不能有效发现问题11缺少应对变化策略，影响既定目标实现12属于计划外项目，缺乏充分准备13信息与沟通没有征求管理层建议，影响审计效力14没有关注上次同类审计结论和意见，重复工作15监督方案未经督导、审批，即实施审计注1：将了解被审计项目的背景归入内部环境因素，主要是因为被审计项目背景主要包括：被审业务相关法律法规、制度与程序、组织机构、职责范围、业务活动记录等等，而这些都属于

22、内部环境要素。而背景调查的主要方式有查阅相关制度、文件记录和与相关人员进行访谈了解。注2：风险发生的可能性和对审计项目质量影响的权重可以采用专家评分法确定，由于各审计团队情况不一，可能性和权重分配不一而同，表中数据仅是笔者所在单位的评分结果，仅供参考。表3. 风险控制表序号控制要素风险因素控制方法1内部环境是否了解被审业务内控制度（控制流程等）通过访谈和程序制度了解被审计业务，绘制业务流程图2是否了解被审业务概况（组织机构、职责范围等）通过访谈和程序制度了解被审计业务组织和人员情况3风险评估对被审对象风险测试不足,未能识别重大风险按照风险测试标准流程开展测试，参见附件。4控制活动审计目的不清晰

23、或过于宽泛根据业务类别和控制要素确定5审计范围和内容不清晰根据审计目的确定范围和内容，保证代表性和充分性6审计重点不突出根据风险测试结果确定审计重点7人员分工安排不合理根据人员专业背景、经验、工作冲突等协调安排项目组成员及其负责人，可以考虑引入外部支持8审计步骤不具体根据审计重点和人员分工确定审计实施先后顺序，先复核，再从发现的问题线索深入分析，归纳总结问题分类，分析原因，提出建议。9时间安排不合理根据审计重点分配时间资源，10审计方法选取不当导致遗漏发现根据风险和业务特点确定审计策略，需明确哪些证据可以反映真实情况，如何获取这些证据。11应对变化策略不具体对审计过程中可能出现的问题进行预测和

24、提前干预12是否属于计划项目计划外项目必须得到相关方同意。13信息与沟通是否征求管理层建议制定方案前和进行风险测试时征求管理层的意见，了解管理层的关注点14是否关注上次审计结论和意见了解项目背景时查阅以往审计是否有类似项目15监督方案未经督导、审批须经督导审批才能获准开展项目四、风险管理在审计项目实施方案中的实践效果下面以笔者参加的施工管理专项审计为例简要介绍一下风险管理在方案编制过程中的实践效果。本次施工管理审计目标是验证工程部对现场施工质量、进度和技术控制的有效性，由于受专业能力限制，邀请公司质保处提供人力支持，组成审计项目小组。在审计工作准备阶段，审计组对审计方案编制进行了大量的工作准备

25、，调查比较充分，对影响审计工作质量的各方面因素进行了风险分析并制定了措施。从审计结果来看，审计方案起到了较好的指导作用，审计过程受控，较好的完成了预定审计目标。具体情况见下表4。表4. 控制结果评价表序号控制要素风险因素控制结果自我评价1内部环境是否了解被审业务内控制度（控制流程等）收集查阅了公司有关施工管理质量、进度和技术控制方面程序共计10份。2是否了解被审业务概况（组织机构、职责范围等）通过访谈和程序制度了解了工程部施工管理组织和人员配置情况。3风险评估对被审对象风险测试不足,未能识别重大风险按照风险测试标准流程开展测试，并结合访谈的结果，识别出主要控制风险。4控制活动审计目的不清晰或过

26、于宽泛审计目标清晰，但从实施效果来看，对技术控制的审计有些薄弱，主要停留在流程上，对技术变更控制的合理性没有进行深入审计。5审计范围和内容不清晰审计范围清晰，抽取两项重点施工合同作为样本。6审计重点不突出审计重点较为明确，对可能出现的问题进行了预设。7人员分工安排不合理质保工程师主要负责现场质量控制审计，工程审计师负责进度和技术控制审计，人员分工比较合理。8审计步骤不具体计划的审计步骤比较明确，先检查相关控制程序，再抽样复核控制流程和效果，实际操作时是将每一个检查对象中存在的问题罗列，然后再分别归类汇总。9时间安排不合理实际与计划时间存在一定偏差，除去客观原因外主要是时间分配上还是存在前重后轻

27、的问题。10审计方法选取不当导致遗漏发现根据业务特点确定的审计方法有抽样复核，穿行测试，现场检查等，例如对进度和技术变更流程进行了抽样穿行测试以验证控制是否有效，对现场质量不符合项管理进行了全面复核检查和现场检查等。11应对变化策略不具体未发现预设问题之外的问题。12是否属于计划项目本项目为年度审计计划中的项目，由公司总经理部提出。13信息与沟通是否征求管理层建议制定方案前审计小组与工程部相关处长和责任工程师进行了详细访谈，了解了他们的关注点。14是否关注上次审计结论和意见查阅了2010年所做的施工合同管理调研，对其中与进度、技术相关的问题作为本次审计验证的对象。15监督方案未经督导、审批方案

28、经过双方讨论，交叉复核并经双方领导审核后通过。实际运用中可以将表1、表2、表3整合起来，完整的反映分析、评估和控制的成果，借此可以对照自我检查审计方案编制的质量。五、结语风险管理在审计项目实施方案中的应用研究是笔者对提高审计工作质量，以及风险管理在审计工作实践中的运用所做的一部分总结和探讨，目的是为后续工作中制定审计方案时提供有借鉴意义的风险应用指引，避免犯经验错误或其他人因失误，以持续保证和提高审计工作质量。从实际工作经验来看，通过这种方式比较好的控制了审计项目实施方案中的风险因素，保证了审计项目实施方案的编制质量。实际工作中，审计方案没有发生大的调整，审计工作基本能按照预定的方案顺利实施，也说明方案编制的比较完善，质量较好。当然管理工作千变万化，讨论的目的并不是编制风险管理在审计方案中运用的格式模板，每一次编制审计方案都要从实际出发，根据项目不同特点灵活应变，制定出合适的方案。合适的方案难点在于掌握方案的详细程度，也因此关联到风险分析的繁简程度，风险分析并不是越详细越好，审计方案本身也不是越详细越好。值得继续探讨或改进的问题是如何评价应用风险管理对审计工作所带来的实际效果，因为管理上的改进有时候过程比较缓慢，或是隐含的价值较大，显现的价值较小，效果不易捕捉。因此笔者认为有必要寻找合适的方法来评价审计效果，增强