浅析风险评估在内部审计中的运用

浅析风险评估在内部审计中的运用内容摘要：内部审计与风险评估随着企业全面风险管理体系建立，二者联系更加紧密，风险评估对内部审计工作十分关键，作为经济卫士的内部审计应当做风险管理的先行者，将风险评估结果转化成审计计划、审计重点，实现传统审计向风险导向审计转型，防范企业风险。关键词：风险评估内部审计实务探索二○○六年六月国有资产监督管理委员会颁布《中央企业全面风险管理指引》，要求企业围绕总体经营目标，通过企业管理环节和经营过程中风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，为实现风险管理的总体目标提供合理保证。风险管理不仅对组织运作效率和效果的提高有着直接的作用，对内部审计的计划制定、工作重点、审计责任、审计方法也产生了深刻影响。作为风险管理的重要内容，风险评估已成为审计工作的关键环节，关系着审计工作的方向和质量，内审机构作为企业卫士更应该在风险管理方面做出贡献。本文尝试探索如何通过风险评估在内部审计计划、执行等环节的运用，不断提升内部审计在企业风险管理中的作用。一、内部审计与风险评估中国内部审计协会会长王道成2011年2月在珠海“全国内部审计协会会长和秘书长会议”上讲话指出，内部审计的本质是控制、是“免疫”，不是单纯查错纠弊；宗旨是评价和改善组织治理、风险管理与控制过程效果；使命是增加价值并改善组织运营，进一步提出了以风险管理理念开展内部审计工作的思路。风险评估是企业及时识别、科学分析经营活动中与实现控制目标相关的风险，合理确定风险应对策略，保证实现企业总体目标，成为决定如何进行风险管理的基础；风险评估主要包括目标设定、风险识别、风险分析和风险应对。二、风险评估在企业风险管理中的主要内容通过风险识别和风险分析影响目标实现的风险，对风险发生的可能性和影响程度，以及风险控制设计的完整性和执行的有效性进行评估，对存在的缺失和缺陷进行分析，对各种风险进行有效防范和控制。研究控制措施缺失和执行不到位产生问题的原因，并结合生产经营实际情况，提出改进完善控制措施，确保有效控制风险。将风险控制的责任落实到具体的部门、工作岗位和人员。因经济、产业、法规和经营环境不断变化，风险因素也在不断变化，新风险也会骤然产生。因此，风险评估是管理过程中一项不断进行的工作，风险评估主要防范以下五个方面的风险：影响程度建立风险矩阵。评估为极高、高、中等、低和极低五个档次风险，从而确定重大风险、重要风险和一般风险，以及不同类业务所处的风险区域，最终确定审计重点。评估过程中，内审人员对各类风险进行综合排序（涉及战略、财务、市场、运营、合规等方面），对偏离计划预算较大的业务、资产的潜在损失、管理与会计信息的错报等都应列为审计重点排序,根据排序结果挑选最关键的业务和项目实施审计。

上述风险评估的主要步骤包括：了解企业的生产经营业务类型，生产工艺，确定可能成为审计对象的领域；根据企业经营，设计访谈内容，分别与企业管理层高中级管理人员，以及部分基层员工进行访谈，对访谈结果进行分析归纳，对各类业务的风险可能性和影响程度作出初步判断；查阅企业经营战略和预算及执行考核情况及其他相关资料，修正调查反馈结果；综合分析影响企业目标实现的各类风险，根据风险矩阵完成风险排序；同时，当年的评估结果要参考上年度评估结论，并要根据近期审计结果进行调整；审计部门针对财务状况不佳，或业绩与预算差距较大、资产或投资额大、审计间隔较长、高层管理人事调整、变更经营预算或业务流程等情况修正风险评估结果，编写风险评估报告，确定本年关注重点，形成年度审计计划。（二）风险评估确定审计项目重点的运用在实际审计项目上,审计组应从风险评估入手组织审前调查，通过风险评估结果,确定审计重点和线索,并结合审计资源合理分工,制定审计实施方案，做到的有放失,确保审计效率和质量。在具体审计项目上风险评估的主要步骤如下：1、了解被审计单位管理层想法。审计人员应重点关注内容：管理层对风险的认识和偏好；管理层对风险状况的监控和报告情况；对所报告的风险管理层所采取的态度和应对方法；管理层对风险控制措施的自我评估情况。2、收集被审计单位资料。可以适当设计各种表格，对被审计单位情况进行分类汇集，具体包括：被审计单位生产经营类型及经营目标；拟开展的审计项目涉及的政策、法规等；被审计单位机构设置、员工数量、关键岗位及姓名、工作说明以及近期机构发生的主要变化；被审计单位年度总结、会议纪录等材料；被审计单位预算资料、经营成果、财务数据；前一次内部审计及其他类检查结果。3、开展对被审计项目调查。在前面工作的基础上，选取关键业务流程，有针对性设计访谈内容。开展审前调查：首先审计组讨论，充分结合每一位参审人员意见，让参审人员提前介入项目；与该审计项目有关的人员进行访谈，不同层次的人员设计不同访谈内容，各有侧重点，同时对关键控制点可以就同一问题对多人访谈，看彼此答案差异；实地勘察具体审计项目，如工程项目、生产车间、库房管理等；针对审计项目的特征，确定全面或选取相关联内部控制业务流程进行“穿行测试”，记录关键控制点；通过企业财务报表，对企业盈利能力、资产质量、债务风险、经营增长等财务绩效指标进行定量评价分析；对已了解情况进行汇总分析。通过调查，全面深入地了解拟审计项目情况，重点关注的领域。调查为审计工作的正式开展提供依据，一方面锁定风险，另一方面合理安排审计资源。4、根据调查结果形成审计项目的风险评估表，内容包括：主要风险点；对其风险程度和可能性的判断；已采取的控制措施；存在问题或剩余风险。在此基础上审计人员可正式编织审计工作实施方案，有目标、有线索、有重点；针对撑握的线索或问题深入分析原因，帮助企业完善管理，达到审计的目的。四、几点体会和建议1、建立油田问题风险清单，为风险评估打好基础中石化集团公司2011版内部控制系统将现有风险分类、评级和应对的工作成果导入风险库模版，初步形成中石化三级风险库，各企业单位还修订了四、五级风险。审计部门要充分利用风险清单，对内部控制审计评审及其他审计项目查出的问题按单位、按业务类型进行归类汇总，建立审计问题风险库，历年积累，逐年更新完善，全面把握油田风险，以便及时改正防范风险，为全面风险评估奠定基础。

2、风险评估有利于防范审计风险审计风险由重大错报风险和检查风险构成，关系用模型表示为：审计风险=重大错报风险×检查风险。明确了审计工作的起点为风险评估程序，其次才是针对重大错报风险实施进一步审计程序（即控制测试和实质性测试）。在这一模型下，审计人员在审计的所有阶段都要实施风险评估程序，并将识别的风险与认定层次可能发生错报的领域相联系，实施更为严格的风险评估程序，结合内部控制风险清单，评估企业固有风险水平，从而有利于防范审计风险。3、建立油田企业风险预警管理体系根据企业经营发展目标，围绕企业影响效益的主要风险以及以前年度内外部审计发现问题，审计部门在企业内全面组织风险识别、风险分析和风险应对，确定风险管理工作的目标和重点。审计部门要结合油田经营和财务情况，针对油田施工企业在海外、域外经营活动中存在的风险，在企业已有的量化预警指标的基础上，进一步完善风险识别手段，特别是对海外施工不确定性、不能量化的风险，通过调查、分析、评审等方法，探索建立包括人员、资产、税收等方面更加规范、完善的风险预警体系，实现风险的事前事中控制。

参考文献：[1]IIA.内部审计实务标准专业实务框架[S].中国内部审计协会编译，中国时代经济出版社，2005.[2]IIA.国际内部审计专业实务框架[S].中国内部审计协会编译，中国财政经济出版社，2009.[3]汪寿成，现代风险导向审计[M]，大连出版社，2009.（3）王道成，《努力超越加快转型为建成“国际一流”内部审计而奋斗》，《中国内部审计》，2011年第3期.[