内部审计的主要风险(6篇)

时间：2025-11-30

内部审计的主要风险篇1

关键词：国有企业风险管理审计

1研究背景

上世纪五十年代以来，风险管理就在美国崛起了，现今已成为一项公认的新颖的管理学科。经济全球化和一体化速度的加快，随之而来的是竞争的全球化、经营的战略化，风险管理则比以前任何时候更显得重要了，对企业管理者和决策者而言，其地位也越发的举足轻重，企业风险管理审计上升到企业发展的战略高度，成为现代企业审计的首要使命，对企业的可持续发展发挥着至关重要的作用。

我国企业的风险管理及风险管理审计开始较晚，尚处于起步阶段。2006年，国资委针对中央企业的风险管理，了《中央企业全面风险管理指引》，但操作性不强。目前，有关地方国有企业风险管理的规定尚未出台，地方国资部门也未将风险管理作为重点监控内容，在风险管理制度建设和监督方面作为较少。目前，我国国有企业风险管理基本上处于前风险管理阶段、局部风险管理阶段，部分企业甚至处于无风险管理状态，风险管理水平较低，往往在危机发生后才被动地作出反应，致使近年来各地国有企业风险管理事故时有发生，产生巨大的经济损失和严重的社会影响。为此，国资监管部门和国企管理层必须具备战略眼光，管理好国有企业及其所面临的风险，政府审计部门要把风险管理审计作为国有企业审计的核心内容。

2风险管理及风险管理审计

2.1风险管理

风险管理是对影响企业目标实现的各种不确定性事件进行识别与评估，并采取应对措施将其影响控制在可接受范围内的过程。风险管理是组织内部控制的基本组成部分，既可以从企业的总体来认识，也可以从一个单独的部门角度认识，它为实现企业目标提供合理保证。

2.2风险管理审计内涵

企业风险管理审计是指审计部门采用一种系统化、规范化的方法来进行的，以测试风险管理信息系统、各业务循环以及相关部门的风险识别、分析、评价、管理及处理等为基础的一系列审核活动，对企业的风险管理、控制及监督过程进行评价。

企业风险管理审计是一种现代管理审计模式，与传统的企业审计活动相比较，有其自身的特点。

①审计内容和思路发生转变。

政府审计由账项基础审计发展到制度基础审计、风险管理审计，审计内容和思路发生重大转变。账项基础审计是对具体交易事项进行审查测试，制度基础审计是对内部控制进行评价和符合性测试，企业风险管理审计是对风险管理活动进行评价和测试。

②审计职能发生转变。

传统的审计职能主要是以后监督为主；风险管理审计职能是对企业所面临的内外部风险事前的评估和防范，强调确认风险并测试风险是否得到有效控制。

③企业风险管理审计的方法更加科学、先进。

企业风险管理审计是利用战略和目标分析的结论，确定关键风险点进行风险评估，采取必要的措施降低或消除风险。

④企业风险管理审计的目的更加明确。

企业风险管理审计主要目的在于揭示企业的各种风险因素，降低和防范各种风险，提高企业的经济效益，增加企业价值，协助企业决策者和管理层达到预期的经营目标。

2.3风险管理审计对国有企业的作用

2013年6月17日，总理在审计署调研时指出，审计要加强事前预防、事中监督。十八届三中全会提出了构建国家治理体系的目标。国有企业风险管理审计作为事前预防、事中监督和现代治理体系的重要一环，其作用主要体现在以下几个方面：

①风险揭示和预警。通过对内外部环境、行业发展、法规情况、监管政策、“三重一大”事项决策机制、内部控制、风险管理措施等，进行风险分析和风险应对有效性的评价，揭示存在的风险及风险管理中存在的问题，及早采取措施，起到风险预警的作用。

②风险应对。针对审计发现的风险管理问题，相应地提出应对措施和处理意见，以审计沟通、审计建议、审计整改、审计决定等方式有效传递给企业管理层，通过政府相关部门和企业采取应对措施，降低或者控制风险，减少风险损失或者发生的可能性。

③风险预防。通过对风险及风险管理的分析、评估等审计活动，指出潜在风险、风险管理制度和风险应对措施存在的问题，促使企业建立相关风险预防措施，预防风险的发生，切实发挥国家审计“免疫系统”作用。

2.4国有企业中风险管理审计的主要内容

①政府监管层面。一是风险治理环境，关注国有企业运营监督体系及其运作情况、风险制度建设及执行。二是战略风险，如国企改制、产业结构调整优化升级、开发园区开发运作情况；三是国有企业整体债务风险，不仅关注企业自身经营融资形成的债务风险，还关注企业为政府融资形成的债务风险；四是资源利用、环境保护等社会责任风险。

②国企个体层面。一是重大决策风险管理。“三重一大”制度制定及贯彻落实情况，包括决策内容、决策范围、决策程序等。二是内部控制风险管理，如资产采购、费用审批、工程管理、资产管理、财务管理、内部审计等制度建立及执行情况。三是资产风险管理。主要关注房地资产、车辆、经营性资产及其他重大资产的权属、质量、收益及处置等情况。四是财务风险管理，包括筹资风险、投资风险、经营风险等。

3国有企业风险管理审计面临的主要问题

目前，政府审计部门对国有企业的风险管理审计尚处在起步阶段，风险管理审计的理论研究和实践探索还比较少，风险管理审计的发展还面临一系列问题。

①风险管理审计意识不强。国家审计署尚未把风险管理审计列为一种常规类型审计，对风险管理审计未作出明确规定和指导意见，地方审计部门对风险管理审计意识普遍缺乏，审计人员对风险管理及风险管理审计的认识还不到位。

②风险管理审计的操作标准缺乏。目前我国关于风险管理审计的相关法律法规及政策尚不完善，缺少进行风险管理审计的指导性准则、条例，国资监管部门及国有企业也没有建立完善的风险管理制度及指标评价体系，审计人员无章可循。

③风险管理审计人才匮乏。风险管理审计是一种综合的审计类型，不仅要求审计人员具备一定的财务会计、审计知识，还要求审计人员熟悉企业各种业务活动流程，具备管理、法律、金融、工程、信息技术等多学科知识。此外，还要求审计人员掌握风险管理知识，并具备较好的风险管理审计技能和职业判断能力。当前，政府审计部门严重缺乏这类综合性的审计人才。

④风险管理审计成果难以体现。政府审计部门发挥审计成果的手段和能力有限，主要取决于被审计单位的审计整改，自身没有强力的手段和措施。许多审计发现的问题涉及多个政府职能部门，有些涉及宏观体制机制，单个企业很难落实，国有企业风险管理审计整改的协作机制还有待建立和完善。

⑤风险管理审计的外部环境亟待优化。主要是国有企业风险管理机制不健全、法人治理结构不完善、风险管理基础薄弱、政府职能部门之间联动监管不够等。

4加强国企风险管理审计的应对措施

目前，我国部分审计机关对国有企业风险管理审计进行了有益探索和尝试，取得了一些成绩，但总体上还处于起步阶段，与国有企业的经营规模及其日益增加的管理风险不相适应。对此，可以从以下几个方面出发，逐步推进国有企业风险管理审计，促国有企业的可持续发展。

①转变风险管理理念，完善风险管理制度。国资监管部门应转变国资监管理念，把风险管理上升为国资监管战略，统筹规划、系统制定风险管理制度，增强风险管理系统性、科学性，抓好重大事项、重要人员、重要领域的风险监控制度建设，健全风险管理制度，建立健全风险及风险管理评估标准体系。

②完善法人治理结构，健全风险管理机制。积极转变政府职能，构建现代企业治理体系，处理好政府与市场关系，切实做到政企分开，防范由于政府行为而造成的企业管理风险。由国资监管部门牵头成立国企风险管理委员会，负责推动行政区域范围内国有企业风险管理制度建设、指导和监督考核。各国有企业设立风险管理部门，由国资监管部门、国有企业监事会、国企内部审计机构负责监督风险管理。

③转变审计理念、完善企业风险管理审计制度。审计人员要转变观念，尽快实现从传统的账项基础审计、制度基础审计向风险管理审计转变，突出风险管理审计的重要性，把风险管理审计作为国有企业审计的核心内容。国家审计署和各级地方审计机关要尽快出台与企业风险管理审计相关的政策、法律、法规，指导和规范企业风险管理审计工作，使其有效开展。

④提高审计人员技能，加大风险管理审计力度。通过与院校、会计师事务所的合作，大力培养风险管理审计的人才，着力提高风险管理审计职业判断能力和审计技能。深化风险管理审计内容，编制系统、全面、具体细化的地区国有企业管理风险清单。在制定政府审计年度计划时，将风险管理列为重要考虑因素，避免高风险的审计不足和低风险的过度审计。在制定审计方案和审计实施时，对于常见风险管理问题列入必审内容，加大风险管理分析深度和层次。

⑤加大审计整改力度，促进审计成果应用。国资监管部门和国有企业要更加重视风险管理审计提出的整改意见，狠抓审计整改落实，建立健全风险管理制度，通过制度促进风险管理，确保风险管理审计取得实效。同时，积极发挥经济责任审计联席会议机制作用，加强部门协作力度，推动风险管理审计问题的整改，不断推进和完善国有企业的风险管理工作。

⑥构建审计监督协作系统，加强审计监督互动配合。以审计部门为主导，构建风险管理审计协作体系，提升监督合力。首先，国资监管部门将社会审计提交的风险管理审计报告和风险管理评级结果分享给审计部门。其次，各国有企业专职监事、内部审计将年度工作报告和发现的问题及时分享给政府审计部门。再次，作为国有企业专职经济监督部门，政府审计要加强对专职监事、内部审计的业务指导。最后，完善监督考核机制，政府审计在开展审计时，同时对专职监事、内部审计、社会审计的工作质量进行监督检查和评价，作为国资部门考核依据，提高监督质量。

参考文献：

[1]王晓霞.国有企业风险管理审计的责任与目标构建[J].审计研究，2010（3）.

[2]曹元坤，王光俊.国资委对权属企业风险管理的本质特征和模型构建[J].现代经济探讨，2011（11）.

[3]贾晋平，张磊.大型国有企业风险管理体系现存的问题及创新型设计[J].经济师，2008（6）.

[4]孙素清.企业风险管理审计的应用初探[J].山东教育学院学报，2006（5）.

内部审计的主要风险篇2

[摘要]内部审计是现代管理和管理控制的重要组成部分。内部审计与风险管理协调整合是其自身获得发展和增加价值的重要途径。本文根据COSO企业风险管理框架和IIA内部审计实务标准，分析了内部审计与风险管理的关系及两者相结合的意义，指出内部审计在企业风险管理过程中可以发挥建议、协调、咨询和监督四种作用，并探讨了在发挥内部审计四种职能作用前提下，其与风险管理整合的程序步骤，及其在中国的应用。

[关键词]内部审计；风险管理；IIA；COSO框架

内部审计是现代管理和管理控制的组成部分。IIA在《内部审计实务标准》中将其定义为是一种独立、客观的保证工作和咨询活动，其目的在于为组织增加价值并提高组织的运作效率，采用系统化、现代化的方法来对风险管理、控制和治理程序进行评价和改善，从而帮助组织实现目标。

企业风险管理是一个由企业的董事会、管理层和员工共同参与，应用于企业战略制定和企业内部各个层次和部门，用于识别可能对企业造成潜在影响的事项，并根据风险偏好管理风险，为企业目标的实现提供合理保证的过程。它参与到企业的各项活动之中，是一个过程，是实现结果的一种方式。与传统的项目风险管理相比，企业风险管理强调战略导向，覆盖了组织所有的管理层次和管理领域，方法也更为结构化和规范化。

内部审计承担了监督、分析、评价、检察、报告和改进等任务，是企业风险管理不可或缺的组成部分。就世界范围看，风险管理已成为内部审计的主要内容。IIA早就把评价和改善组织的风险作为内部审计的主要内容，其1999年制定的内部审计定义将风险管理和内部控制、公司治理并列作为内部审计的工作对象，2001年修改的《内部审计实务标准》明确要求内部审计参与风险管理和公司治理过程。我国内部审计准则中也充分考虑了风险评估作为内部审计中的一个核心概念。

内部审计为什么要与风险管理相整合，在COSO框架下两者如何结合是需要深入分析的问题。本文将对两者的关系，两者结合的意义及两者结合的方式作进一步探讨，并在此基础上研究中国企业如何将内部审计与风险管理相结合。

一、内部审计与风险管理的关系及两者结合的意义

IIA在对美国国会关于《萨班斯——奥克利斯法案》的意见陈述书中表述：内部审计、外部审计、董事会以及高层管理人员被称为有效的公司治理的四大基石。内部审计师的作用是监控、评估和分析组织的风险，审查信息及公司对法律法规的遵守情况，向董事会、审计委员会以及高层管理人员负责提供保证——风险已被分散、公司治理是有效的。内部审计以企业内部信息使用者为中心，聚焦于控制、风险管理等关键问题，通过帮助组织管理风险和提高管理效率，来增加组织的价值和改善公司的经营。

公司的治理过程是公司的利益相关主体让管理层发现风险并对其进行控制的过程，对公司风险的监控及适当地规避此类风险，对实现公司目标和保存公司价值都有直接的贡献。内部审计参与风险管理的实质就是协助公司的高层管理人员做如下工作：系统鉴别组织所面临的风险；评估这些风险对组织的潜在影响；制定控制风险的策略；评价风险管理的过程；就风险应对措施的合理性、风险监控的及时性、恰当性、有效性等信息进行有效的交流和沟通。风险管理是管理层的一项主要职责，而对组织的风险管理过程进行评估和报告通常是内部审计工作的一项主要内容。在适当情况下，内部审计师应与管理层审计委员会和董事会就与风险和风险管理实务中的薄弱环节进行讨论，当然在该过程中由管理层负责对重大风险采取针对性行动，内部审计机构负责人负责评价这些行动。风险管理作为管理层的一项主要职责，它应当确保组织中有良好的风险管理过程，并使其发挥作用。董事会和审计委员会负责监督、判断组织是否有适当的风险管理过程，以及是否充分、有效。内部审计师的职责是运用风险管理方法和控制措施，对风险管理过程的充分性和有效性进行检查、评价和报告，提出改进意见，为管理层和审计委员会提供帮助。

IIA多年来一直积极倡导内部审计参与风险管理，它认为内部审计为组织提供价值的两个非常重要的途径是对风险管理的充分性和对风险管理及内部控制框架的有效性提供保证服务。

内部审计与风险管理相结合是将风险作为内部审计的对象，打破了原来的内部审计只关心内部控制有效性的局面，在评价内部控制的基础上，对企业所面临的各种风险进行识别和分析。从另一个角度来讲，内部审计更加注重企业的未来，从影响企业目标实现的各种系统风险和非系统风险出发，就内部控制是否健全、关键的控制点是否有效控制薄弱的环节以及改进措施是否有效提出认定，来评价风险管理与控制对组织目标实现的影响程度。以风险为对象的审计在风险管理基础上又进了一步。风险审计就是在风险管理基础上审计主体通过对组织风险识别、风险评价等工作的审计，侧重对风险管理进行鉴证。

内部审计参与风险管理不仅为内部审计自身提供了发展契机，而且作为企业内的一种独立、客观的保证工作和咨询活动，内部审计是公司治理必要和有价值的组成部分，能够在风险管理中发挥独特的作用，无论是内部审计还是风险管理都能从双方的整合中提高效率，创造价值。

内部审计作为内部控制的重要组成部分，其在风险管理中发挥不可替代的独特作用。主要有以下几个方面：(1)内部审计能够从全局的角度管理风险。对风险的认识、防范和控制需要从全局考虑，但各业务部门很难做到这一点。内部审计人员从事具体的业务活动，独立于业务管理部门，这使得他们可以从全局出发，从客观的角度对风险进行识别，及时建议管理部门采取措施控制风险。(2)控制、指导企业的风险策略。由于内部审计部门处于企业的董事会、总经理与各职能部门之间，内部审计人员能够充当企业长期风险策略与各种决策的协调人。通过对长期计划与短期计划的调节，内部审计人员可以调控、指导企业的风险管理策略。(3)内部审计部门的建议更易引起重视。内部审计部门独立于企业高级管理层，其风险评估的意见可以直接上报给董事会，这会加强管理当局对内部审计部门意见的重视程度。从内部审计发挥的上述职能看，内部审计已经参与到公司治理与风险管理中，帮助组织发现并评价重要的风险因素，促进组织改进风险管理体系；评价并改进组织的治理程序，为组织的治理做出贡献；同时继续原有的对控制效率和效果的评价作用，帮助组织保持有效的控制。此时的内部审计人员是风险管理专家，通过对风险的把握来评价公司治理及

内部控制，并促进公司治理和内部控制的改善，从而实现对风险的控制。在风险管理这个统一核心下，公司治理与内部控制实现了一定程度整合，为组织增加了价值。

二、内部审计在风险管理中的角色和责任

COSO报告指出企业风险管理有四个目标(实现战略、高效运作、客观报告、遵守法则)、八个要素(内部环境、目标设定、事件识别、风险评估、风险反应、控制活动、信息沟通、监控活动)，并在企业的四个层次(企业级、部门级、事业单位级、分公司级)展开。内部审计在这一框架中作为监控活动存在，由内部机构对企业风险管理进行独立评估。IIA在2004年发表的《内部审计在企业风险管理中的角色》意见书中也认为内部审计关于企业风险管理的核心角色是就组织风险管理的有效性向董事会提供客观保证，以帮助确信关键企业风险被正确管理及内部控制系统有效运行。因此，内部审计在企业风险管理架中首要角色是监督者，包括对风险管理流程的评估和保证服务，对风险评估准确性的保证服务，对关键风险报告的评估和对关键风险管理的评估。

按IIA的标准，内部审计的服务种类可以分为保证服务和咨询服务，前者是一种独立评价的活动，后者是提供建议及咨询的活动。内部审计为整个组织成员以及组织以外的所有利益相关主体服务，其信息服务对象的需求依其所处的位置、环境及掌握信息的不同而不同。总体来讲，处于信息劣势的服务对象希望内部审计为其提供保证服务，处于信息优势的服务对象则更希望内部审计为其提供咨询服务。其中，保证服务是指为了对风险管理。内部控制或公司的治理过程提供一个独立的评价而对证物进行的客观的检验；咨询服务是咨询性的以及与委托人服务相关的活动，其性质和范围是与委托人达成一致意见，目的是增加价值和改进组织的经营。在企业风险管理中，内部审计的本质特征并不发生改变，因而它可以担任的角色也是基于这两种服务衍生的。除了作为监督者所提供的保证服务之外，内部审计还提供咨询服务，包括促进对风险的识别和评估、指导和协调风险管理活动，加强对风险的报告、保持和发展风险管理框架、支持建立风险管理、参与制定风险管理战略等。与此相适应，内部审计承担了咨询者、协调者、建议者角色。内部审计在企业风险管理中的角色不是一成不变的，而是一个逐步变化和延续发展过程。在组织缺乏风险管理程序的情况下，内部审计可以向管理层提出建立企业风险管理的建议；在组织实施风险管理的初期，内部审计能够发挥更大的协调作用，甚至直接担任项目经理；而当企业风险管理逐步成熟，运作稳定以后，内部审计就从建议者、协调者转化为监督者和咨询者。内部审计的报告关系也会影响其在企业风险管理中的角色，报告关系层次越高，独立性越强，内部审计就越能够从全局和战略角度参与企业风险管理；反之，则从局部和流程角度参与企业风险管理。

为保证其独立性，内部审计并不对建立企业风险管理体系承担主要责任，风险管理责任应由管理层承担。内部审计可以对企业风险管理提供建议、咨询和支持，但不能设定风险容忍度、强制实行风险管理流程、对风险提供管理保证、对风险问题进行决策和对风险实施管理职责的行动，内部审计对于企业风险管理的责任应当在审计章程中写明并经审计委员会批准。此外，在实践中，应注意处理保证服务和咨询服务的关系。只要内部审计执行的任务涉及履行管理职责，就应该认为与此相关领域的审计客观性受到了损害，内部审计不能就其直接协调和指导的风险管理事项提供保证服务。

三、内部审计与风险管理整合的程序步骤

(一)判明风险类别，分析风险的具体源由

企业风险多种多样，表现的形式与发生影响也是千差万别的，为了管理和控制风险，应对风险进行辨认并予以分类，从中分辨出风险的性质，以确定主要风险、次要风险、关键风险、派生风险。

国外审计界对经营风险提出了多种分类模式，大致可概括为以下九类：外部经营风险(经营风险)——业务风险(经营风险)——职权风险(经营风险)——信息处理与技术风险(经营风险)——诚信度风险(经营风险)。——财务风险(投资决策风险)——业务风险(投资决策风险)——财务风险(投资决策风险)——战略风险。

在内部审计工作中，一般先从企业整体的战略目标着手，分析战略目标与企业实践的差距，明确形成差距的风险，进而分析风险的产生部门、风险的类别及其性质。

(二)在组织机构上，内审工作要与企业的各级风险管理组织相配合，开展企业综合风险管理

根据COSO的风险管理框架，一些国际会计公司提出了企业综合风险管理概念。这种管理是要求内部审计工作超越企业内部各职能部门的隔离，实行全体的、综合的和全员的行动进行综合风险管理。

在现代企业的风险控制方面，不少大中型企业一般建立三级风险管理组织，即由企业高级管理层组成的风险控制委员会作为公司风险管理的最高决策机构；公司风险控制委员会领导下的内部审计；专职风险监管部门。内部审计部门通过常规审计及专项审计评估公司风险，对公司风险管理制度进行设计以及对各业务部门执行风险控制制度情况进行定期检查，及时提示和报告潜在风险，并提出防范风险及改进工作的建议。

(三)按风险管理的要求开展内部审计

与经营风险管理相结合的内部审计，其具体要求是在企业的“经营——风险——控制——监督”过程中，内部审计充分发挥其监控实效。亦即内部审计在开展时，先由企业各层次人员明确企业经营风险控制管理的目标，在此基础上广泛收集经营决策信息、情况及风险情况，据此对各个待审项目的风险做出评价，进而确定内部审计控制风险的策略(包括规避风险、接受风险、转移风险、运用风险、减少风险)，然后运用“计划——执行——检查——行动”方式，对企业主管层、业务管理层及业务执行层进行审计。

(四)对具体项目风险、内部审计要参与事先、事中和事后三个阶段的全过程风险审查

四、内部审计与风险管理结合在中国的应用和实践

内部审计的主要风险篇3

关键词：管理审计风险导向审计

一、管理导向与风险导向审计模式分析

(一)管理导向内部审计(简称管理审计)随着审计实践的发展，管理审计已由具体的业务和控制等较低层面转向了管理目标、方针、决策等高层面。通过对组织内部的各种管理活动进行独立、客观、建设性、面向未来的检查和评价，目的在于协助组织的管理层(包括管理人员和董事会成员)有效履行其职责，把握企业经营管理的关键所在，帮助管理当局改进决策，提高企业未来的获利能力和经营能力，更好地完成受托管理责任。但它更关心的是企业整体利益和整体实力的提高，在协调局部利益和眼前利益的基础上，充分体现整体利益、长远利益和企业的可持续发展目标。其目标就是要确定企业资源使用的效率性、效果性和经济性(即3E)(劳伦斯，索耶，汤云为等译，1990)，促使企业根据审计结论来调整企业不适当的管理机制，提高企业利润并达到企业的其他目标。尽管如此，管理审计还存在以下缺点：首先，管理审计以评价被审计单位责任中心的内部控制制度及其执行情况为重点，虽然对内部控制的风险也要评价，但主要是从总体上对内部控制进行评价，并对其实施对审计风险的管理。并没有以确认和评价企业内部管理人员等产生风险的各个环节与因素为重点，没能为有效降低审计风险提供指南和帮助，而且影响审计风险的因素远超出内部控制系统的作用范围。如管理人员的品行和能力、行业所处环境、业务性质、容易产生错报的会计报表项目、容易受到损失或被挪用的资产等导致的风险，又受到内部控制风险因素的影响。它主要关注企业内部的风险因素，而较少关注来自企业外部的风险因素。其次，企业内部审计师在审计后针对发现的问题提出的增加控制点或加强内部控制的其它建议，将使审计责任中心的控制点日益增多，各项工作日益繁琐，使管理系统的效能呈递减趋势。另外，对具体审计项目实施审计时，采用对内部控制制度及其执行情况诸方面的一般性评价来选择重点审计的领域，没有将被审计责任中心本身乃至与整个企业有关的管理风险，作为对内部控制评估下作为重点。

(二)风险导向内部审计20世纪90年代起，人类社会已从工业经济时代步入信息时代，从此人们的生活方式、交流方式、组织的经营方式、管理方式、国家的管理规则和市场的运作模式等发生了深刻的变化，管理环境也不仅变得日益复杂，而且愈来愈不稳定。首先，环境的多样性和多变性促使内部审计必须更加注重对风险的分析，必须从传统的对内部控制和其他管理活动的事后评价转向对可能影响企业目标和战略的风险的事前评估；其次，内部审计必须注重价值的创造，能够成为企业价值链环节之一的条件是该活动能够创造价值或为其提供支持，因而内部审计活动必须成为增值活动才不会被视为阻碍创造企业价值的多余活动；最后，内部审计还必须能提供满足不同顾客要求的服务，提供特定服务满足不同顾客的要求是内部审计增加生存能力的必然。因此，树立为组织创造价值的目标就成了内部审计自身发展的必然要求。正是20世纪90年代以来，经济的全球化、信息化技术的发展、组织受托责任的失败，冲击着内部审计的理论和实务，也对内部审计提出了新的要求：内部审计从最初以会计为导向发展为现在以风险为导向。而管理审计的重点是高层次的管理决策与活动，是事后的评价和反馈。而风险意味着对未来的预测，它可以使内部审计将审计对象和企业目标紧密连在一起，将事后评价反馈延伸到事前和事中。21世纪的计算机信息网络技术、全球化经营以及个性化定制为风险导向内部审计的产生创造了管理环境，公司治理、内部控制以及风险管理等领域相关法规的出台也为内部审计提供了新的平台，同时受托责任的内容和层次也得到了进一步的丰富，因此内部审计从管理导向内部审计转向帮助企业评估各种风险、利用各种机会或减轻对战略的威胁的风险导向内部审计是历史的发展必然。

二、管理审计与风险导向内部审计比较

(一)产生背景的比较20世纪70年代，随社会政治经济的发展。委托人的受托责任观念日益增强，不再满足于对财务报告进行鉴证，进一步要求对受托人的经营管理行为的效率和效果进行认定、计量和报告。而公司治理的理论及实践促进了公司制企业发展，对公司治理问题的研究扩大了管理理论的视野，丰富了管理理论的内容。公司治理也成为连接企业内部和外部环境的桥梁，保证了管理的正当性和有效性。特别是审计委员会制度的建立提高了内部审计的地位和独立性，从而为管理导向内部审计的开展提供了客观条件。企业风险导向内部审计则是以审计风险的分析、评价为前提，根据审计风险的大小，选定审计的范围、重点和方法，并予以实施的一种审计模式。而审计风险不仅受到企业固有风险因素的影响，又受到内部控制风险因素的影响，管理审计虽然也对内部控制的风险进行评估，但主要是从总体上进行评价，没有把被审计人的各方面的管理(经营)风险纳入审计范围并作为重点来评价。因而，对审计风险问题，也没有予以足够的关注。风险导向内部审计产生的原因主要体现在以下方面：(1)管理审计的内在缺陷及应对措施是风险导向内部审计产生的技术因素。其实，内部审计职业界早就意识到了审计风险，但对如何将审计风险与具体审计程序结合起来却束手无策。一方面它只将审计风险因素作为要了解和分析的众多因素中的一个，注意力比较分散，因而对风险因素关注不够；另一方面，过分依赖对内部控制制度及其执行情况的一般评价(测试)结论，而忽视审计风险产生的其他环节。企业内部审计的证据需从企业内部甚至外部许多领域获得，但管理审计模式却缺乏一种可接受的能量化的方法将各种信息来源连接起来，因而做出的一些主观判断，可能发生较大偏差，可能使有些重大错舞和弊端不能被审计师发现。风险导向内部审计正是从企业面临风险的角度来评判内部控制系统的设计和执行，对企业治理方案进行测评，从影响企业目标实现的各种风险因素出发，就内部控制设计是否健全、关键的控制点执行是否有效、控制的薄弱环节、治理和改善措施的可行性等进行认定，评价风险管理和控制对企业实现目标的影响，并且站在风险的高度，在风险环境中观察经济业务的发展过程，从而采取适当的措施规避风险，促使企业健康顺利地发展壮大。(2)企业面临的高风险经营环境是风险导向内部审计产生的社会因素。在信息时代的社会中，企业所面临的外部环境和市场竞争不确定性越来越大。一方面变化周期缩短，外部环境和市场竞争的变化速度也超过以往任何时代；另一方面外部环境和市场竞争的变化越来越彻底，企业明天的生存和发展环境可能与今天的几乎没有任何必然的联系。因而企业生存与发展的关键，更取决于对未来环境变化的把握与适应，也必然促使企业在战略目标、重大投资决策、日常经营活动和绩效评估等各个方面高度关注风险因素，

并且要求企业的职能部门在进行各自的职能活动时高度重视风险，并将其纳入到企业的整体风险管理范围之内，因此风险管理成为高风险环境下企业活动的中心任务。内部审计作为企业内部的职能部门，必然应成为企业风险管理的有效组成部分，通过评估和提出改善风险的建议，为专业的风险管理部门或专职的风险管理人员提供咨询与保证服务，从而导致风险导向内部审计。(3)企业内部审计外部化趋势威胁着内部审计生存的职业空间。内部审计外部化，是指企业将内部审计的部分或全部职能交给外部的会计师事务所等中介机构完成，企业给这些机构支付相应费用的现象。在激烈的市场竞争中，企业可以根据自身的优势，集中资源做自己擅长的项目，而把自己不擅长的项目外包出去，从而可发挥核心竞争力优势。首先，内部审计作为一个企业的内部职能活动，在时间上具有重复性的特点，因而基本符合外包的条件；其次，外部审计在会计报表审计的过程中就非常重视对企业内部状况的审查与评价，从而对企业内部控制评价逐渐形成了专业上的相对优势，使得外部审计参与内部审计外部化成为可能；再次，近年来外部审计业务面临着日益严重的法律诉讼和同业低价竞争危机，而审计业务的收费却持续走低，非审计服务的收费甚至成为事务所收入的主要部分，因此外部审计被迫转向内部审计外包和管理咨询等非审计服务；最后，管理层要么出于成本效益的考虑，要么为了影响会计报表审计的意见类型，要么为了诱使外部审计降低审计收费，越来越倾向于内部审计外包。这就动摇着它在组织中的地位，威胁着它的职业生存。因此，内部审计为整个组织提供风险方面的咨询与保证服务，积极推行风险导向内部审计，将提高其在组织中的不可替代性，减弱外部化带来的不利影响，从而保持和拓展其职业生存空间。

(二)指导思想的比较管理审计和风险导向内部审计分别产生于不同的历史时期，这不仅反映了审计理论和实践的发展，也反映了它们所处的不同时代的理论环境。“二战”后，资本主义国家经济迅速发展，垄断企业的规模扩大，企业股份高度分散化。随着企业经营活动的范围扩大，外部环境对企业的影响是企业管理层不得不面对的问题。但是以往的古典管理理论都只侧重于管理的某个方面，一般把企业视为“封闭系统”，而很难回答这一问题。于是，促使了系统论、控制论、信息论等的出现并成为管理理论的方法论基础。正因为系统论、控制论是管理审计的指导思想，因此，内部审计首先是进行专门的内部控制系统评审，尤其是通过健全性评价和符合性测试来确认控制系统是否薄弱(缺少一些控制点)或失控(缺少关键控制点或较多的控制点)，进而查明问题原因及后果，并要求有关方面制定措施加以解决或消除隐患，以改进控制，减少损失，提高效益；其次是开展管理审计，即以评价管理(经营)责任为主要的业务内容，通过对经营管理活动进行审查与评价，并采用一定的标准来衡量其经济性、效率性及效果性，从而找出差距，挖掘潜力，提高效益，或证实效益优劣，评价管理绩效，提供咨询意见，增加公司价值。随着现代信息技术的进步，战略管理理论和企业再造理论的出现对内部审计产生了深远的影响。审计行为是一种有风险的行为，审计风险与内部审计师形影不离。由于审计风险急剧增加，为力求减少风险，内部审计师必须运用风险管理理论来指导审计工作，这就促使了风险导向内部审计产生。风险导向内部审计是以影响企业经营目标实现的经营风险为依据确定审计项目，以企业进行的所有降低风险的活动为测试重点，评价风险降低的充分性和有效性，并提出恰当的降低风险的方法。国外企业审计实践证明，在内部审计领域实施风险导向内部审计，改变了内部审计人员探讨风险和内部控制的方法，为内部审计参与风险管理提供了基础，并促进了内部审计与其它风险管理要素的结合。

(三)内部审计目标和范围的比较内部审计经历了四个阶段(表1)：财务导向内部审计(SRIANO．1、SRIANO．2)，业务导向内部审计(SRIANO．3、SRIANO．4)，管理导向内部审计(SRIANO．5、SRIANO．6)和风险导向内部审计(2001年内部审计实务标准框架)。其中每个阶段并不是孤立存在的，每一阶段都是对前一阶段的继承和发展。内部审计因受托责任而产生，其发展体现了受托责任发展变化的规律。管理导向内部审计模式以评价被审计责任中心的内部控制制度及其执行情况为重点，尽管对内部控制的风险(即薄弱环节)也要评价，但主要是泛泛地对内部控制进行评价，没有把被审计人的各方面的管理(经营)风险作为重点来评价。因而，对被审计人的风险即审计风险问题，也没有予以足够的关注。而企业内部风险导向审计模式，内部审计师不但要评价被审计人的内部控制的风险，而且要评价产生这些风险的各个环节和因素，即，风险导向内部审计模式很重视对管理(经营)风险产生原因和要素的分析，还要求内部审计师要将被审计责任中心放在大的经济甚至政治、文化环境中，从构成被审计责任中心内部控制系统的各个要素方面，对审计风险进行分析、评价。只有这样，审计师才能正确地识别风险因素，制定审计方针、策略，确定进一步审计范围、重点和方法，才能确定从何处收集和怎样收集审计证据、收集哪些性质和类型的审计证据、收集多少审计证据，进而提出正确的审计结论和有效防范管理风险的建议，帮助被审计责任中心管理当局有效履行其风险管理方面的受托管理责任。

(四)内部控制理解的比较在内部控制发展的进程中，有两大重要因素：一是企业管理理论与实践。在法约尔提出控制是管理的职能之后，随着管理实践的复杂，内部控制的理论与实务也快速发展。二是审计理论与实务。20世纪40年代至70年代，内部控制的发展进入内部控制制度阶段。这一阶段内部控制开始有了内部会计控制和内部管理控制的划分，主要通过形成和推行一整套内部控制制度(方法和程序)来实施控制。内部控制的目标除了保护组织财产的安全之外，还包括提高会计信息的可靠性、提高经营效率和遵循既定的管理方针。1936年，美国注册会计师协会首次提出内部控制的概念。1949年，美国注册会计师协会(AICAP)修改了内部控制的定义：内部控制制度包括企业内部采用的机构计划和所有有关的调整方法和措施，其目的在于保护企业的财产，检查其会计资料是否正确可靠，以及提高业务效率，促进经营方针、组织计划的贯彻和企业内部所有调查方法的实施。该定义已经超越了与财务和会计职能有直接关系的内容，而涉及经营管理等多方面。目前人们开始逐渐将风险概念引入到审计领域之中。融入了风险理论以后，管理审计开始向风险导向审计阶段过渡，内部控制的概念也发生了重大变化。1988年AICAP了第55号审计准则公告《财务报表审计中内部控制结构的考虑》，提出研究和评价“内部控制结构”问题，从“制度二分法”到“结构分析法”这是内部控制发展史上一次重大的转变。20世纪80年代至90年代初，内部控制的发展进人内部控制结构阶段(严晖，2004)。开始把控制环境作为一项重要内容与会计制度、控制程序一起纳入内部控制结构之中，并且不再区分会计控制和管理控制。控制环境反映企业的各个利益关系主体(管理当局、所有者和其他利益关系主体)对

内部控制的态度、看法和行为。内部控制经发展到内部控制整体框架阶段，内部控制包括五大要素。与此同时，审计模式也向风险导向内部审计转型。到2004年企业风险管理框架(ERM)的实施，内部控制与风险管理之间的融合已是一种必然的趋势。随着社会政治经济环境的变化，企业内部控制日益庞大，不同阶段的审计模式对内部控制有相应的理解。从审计模式的历史演进看，管理审计理解的内部控制是内部控制制度并逐渐转向内部控制结构。风险导向内部审计理解的内部控制是内部控制整合框架。

(五)内部审计资源分配的比较管理审计虽然也涉及审计风险问题，但主要关注被审计单位的内部控制制度，而忽视审计风险产生的其他环节。由于没有进行系统的审计风险分析，容易导致审计资源在审计领域的不恰当分配，进而影响审计工作的效率和效果。而风险导向内部审计以审计风险为线索，运用审计风险模型指导整个审计工作，能够把主要精力放在企业实现目标过程中面临的主要问题和风险，并将事后评价反馈延伸到事前和事中，使内部审计成为企业价值链中的必要环节。在此内部审计人员关注的并非控制的充分性和遵循性，而是风险是否得到适当的管理和控制，从而内部审计人员通过风险与组织目标的实现直接联系起来，并在保证了审计效果的情况下提高了审计效率。

内部审计的主要风险篇4

关键词企业风险管理内部审计整合

中图分类号：F239.45文献标识码：A

1内部审计在企业风险管理中的角色定位

1.1主要性的“监控评价者”

根据国际国内各内部审计协会、组织、学会等对内部审计所做的各种规定和标准来看，内部审计在企业风险管理中所承担的角色应该是一个“监控评价者”。此结论的主要依据是，以风险管理为重要内容的企业管理系统本身就是企业内部审计所要监控和评价的主要对象。

根据国际内部审计师协会对内部审计的概念的最新定义，内部审计的主要目的是评价组织内部控制以确保揭露组织潜在的风险和高效经济地达到组织的目标和目的。如《内部审计实务标准》就指出：“内部审计的重点是对风险管理活动进行评价和报告”；《企业风险管理框架》也建议：内部审计人员在企业风险管理的监控中占有重要的地位，他们通过对管理层进行风险管理活动的充分性和有效性进行检查、评估、报告以及提出改进建议，来帮助管理层和董事会或审计委员会履行其职责；而英国内部审计协会在其2002年所颁布的《内部审计在企业风险管理中的作用》的说明书中也对其进行了重点讨论并认为，风险管理的首要责任在于董事，内部审计在风险管理中的作用主要是监控风险管理系统，即通过检查和测试风险管理系统，发现持久存在的风险，评价风险管理活动的效果。

尽管各国对内部审计在企业风险管理中的作用都各自提出了建议，但核心都是相同的，即内部审计在企业风险管理中的主要作用是监控和评价企业风险管理系统的运行，包括评估风险识别的充分性、评价已有风险衡量的恰当性、评估风险防范措施的可靠性等；在我国，内部审计协会的规定也具有类似性。早在1987年，我国内部审计学会颁布的《内部审计基本准则》的第二条中就指出：“本准则所称内部审计，是指组织内部的一种独立客观的监督和评价活动，它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现。”在最新的《内部审计具体准则第16号――风险管理审计》中指出：“内部审计人员应向组织适当管理层报告审查和评价风险管理过程的结果，并提出改进建议。”这就决定了，企业风险管理应坚持这一原则，充分发挥内部审计在自身运行监控和评价中的重要作用。

1.2辅的“咨询服务者”

（1）这样一种咨询服务角色要求我国的内审工作，在执行方向上必须从传统的“查错防弊”向内部咨询和服务的方向发展。目前，我国企业的内部审计工作主要是把精力投入到财务的真实性、合法性的查证和监督上，内审的主要职能是查错防弊而不是对企业财务进行信息咨询与评价服务，在对会计报表、账本、凭证及相关财务资料的内审上采取的是一种事后补救原则，而不是一种事前预防性的疏漏查询与事中以风险为导向的风险基础审计服务。为此，在企业的风险管理中，我国必须努力发挥其咨询服务职能，坚持在信息咨询与评价服务的基础上对企业业务进行预防性的疏漏查询与风险预审服务，通过有效的风险咨询与服务对企业风险管理系统进行持续的监控，以指导企业及其成员进行风险和监控的自我评价，保证风险管理系统的持续有效运行。

（2）要求我国的内审咨询服务在其角色发挥主动性。当前条件下，要保证内审之“监控评价角色”的有效发挥，我国就必须把内审从简单的“我们实施审计”向我们帮助创建一些程序，以达到组织成功所需要的内部控制水平的角色发展，强调内部审计在企业风险管理中的主动性。在此角色下，内部审计人员更为积极的作用是提供改善企业基本风险管理程序的咨询服务，对传统风险管理保证服务进行协助与补充。

1.3开放性的“协调参谋者”

这是一种基于内部审计自身外部职能的角色定位。尽管内部审计是指在“某一单位内部审计机构受本单位权力机构或个人指派，对本单位包括内部各部门、各分支机构、下属机构和相关单位的财务收支、经营活动及其他经济活动进行的审计”，但是，作为一个职能部门，企业内部审计在其企业具体风险管理过程中不可避免的要与外部审计等职能部门进行沟通与合作，承担着开放性的“协调参谋者”的角色。

在现实的内部审计过程中，要实现对企业风险的预防性排除，我国的“内审”人员必须与“外审”机构紧密联合。这一个过程首先是一个双方互相协调的过程，在协调下提高审计效率、减低审计成本、共享审计成果，因而是一个双赢的过程。由于对外是代表着企业利益，因而我国的企业内部审计可以说是以协调者的角色出现在与外部审计部门的合作与运作中的。同时，由于内部审计部门往往是处于企业的董事会、总经理和各职能部门的位置之间，因而内部审计人员也就能够充当企业长期风险决策和策略的协调人。通过对这样一种目标与实际操作的协调，内部审计人员是完全可以实现其协调与参谋职能的。

2内部审计参与企业风险管理的作用

2.1有利于企业加强经营管理

内部审计处在企业内部控制环境中，对企业管理风格、企业文化、会计核算、控制程序等各方面因素非常熟悉，清楚各项业务的工作流程及关键控制点，其相对独立并且在内部有较高的地位。内部审计人员一般不参与决策或者具体的管理事务，而以“局外人”的身份客观评价企业的经营活动，比较充分地获取企业经营方方面面的信息，所以更有可能站在全局的高度，而非财务、业务或营销的某一角度，全方位的评价企业经营的“是非功过”，更能明晰地洞察到企业经营的薄弱点，合理保证企业经营活动的有效运行。内部审计部门将对企业内部组织或个人违反政策、程序的事件及时做出纠正或处理，以相对独立的身份向高层管理层提交报告，以保证会计信息的真实、保护资产的安全、实现守法经营等；考察包括管理理念、企业文化在内的控制环境、会计制度、以及交易授权、机构设置等在内的控制程序方面的内容；审查在具体管理中各项控制制度的健全性和有效性，以提出切实可行的建议，促进企业依法经营，增强自我约束机制，有效防范经营风险，改善管理，提高效益。

2.2有利于对风险事件的识别

内部审计人员可以采用通用风险分析模板及方法，识别单位本身的风险和重要合作者的风险。一般而言，企业外包部分工作往往是因为不想在这方面投入更多的资金。比如企业外包供应链的管理工作，是为了避免对这个系统工程的资本投入，但是企业也会因此而缺乏熟悉供应链管理公司运作的人员，不了解这种公司所面临的风险，无法预测影响该承包商的风险事件和对企业的关联影响。因此，内部审计人员需要运用某些分析方法，比如“头脑风暴”和“情景模拟”等，创造性地进行分析，判断管理层是否完全识别该企业的所有风险，若有遗漏的风险，要提醒管理层加以考虑。

2.3有利于对企业风险的评估

在风险评估活动中，企业要对已识别的风险事件进行定量分析和定性分析，分析事件发生的可能性和影响。风险分析的复杂性和困难在于在很多情况下要主观判断不同结果发生的可能性。比如，诉讼损失可能会有几种不同的结果，而每种结果发生的可能性不同，不同背景、经验、职位的人对同一风险的判断也可能不同，带有各自的偏见。比如，上级主管以出于整体考虑，认为某部门经营风险很高，而该部门负责人则认为风险已在控制范围之内。内部审计人员则可以从比较客观的角度分析风险的假设条件、计算方法来评价风险，提供专业意见。

2.4有利于对风险的反应和控制

在风险反应活动中，企业要根据不同的风险决定要采取的策略和方法，决定是避免风险，接受风险，还是降低风险。如对有相应回报的风险，企业可以考虑接受，但要采取控制措施，才能将风险降到可以接受的水平，获得希望的回报。对于无相应回报的风险，企业会采取减少风险、转移风险或分担风险的办法以降低企业承受的风险。内部审计人员的主要工作在于分析、评价风险回报的合理性、减少风险的措施的有效性，以及接受风险转移和风险分担的那一方的风险。如果对方不能承受该风险，则这种风险控制的措施将是无效的。

2.5有利于对风险信息的沟通和风险管理系统的监控

在风险信息沟通活动中，企业的风险管理要将风险信息及时有效地传递给内部相关人员，以便及时采取相应的控制措施。风险管理的某些信息还要传递给其他有关方面，比如董事会和审计委员会等监督者，供应商、债权人等也需要对企业的风险管理有一定的信任，内部审计人员可以通过评价报告系统证明风险信息被准确、及时地传达给相关人员，内部审计报告可以向董事会和审计委员会传递风险是否得到有效管理的信息，而内部审计职能的设立对债权人和其他外部利益相关者来说也是企业具备有效的风险管理的一个证明。

在监控活动中，企业要对风险管理进行持续监控，通过对内部控制系统的运行的监控和对定期检查结果及意外事项的处理结果的评价，保证企业对风险的管理是一直有效的。内部审计人员可以通过分析环境和风险变化，检查内部控制系统是否已更新，是否能控制新的风险。内部审计人员还可以通过后续审计管理层对审计中发现的问题及对意外事项的处理情况，检查新的控制措施是否有效，将分析结果和建议提供给管理层以便改进控制措施。

2.6有利于对风险管理过程的充分性和有效性进行评价

内部审计主要从以下几个方面进行评价：（1）评价企业战略目标的制定是否是在分析组织和行业的发展情况和趋势、企业的优势和劣势、外部的机会和威胁的基础上结合企业风险偏好来制订；（2）与相关管理层讨论部门的目标，看分解到各部门的目标是否对战略目标提供足够的支持；（3）评价管理层对风险的识别和评估是否准确；（4）分析控制措施是否完善，是否可以使企业风险发生的可能性和影响都落在风险容忍度之内；（5）风险监控是否持续得到执行，监控报告制度是否恰当，风险管理报告是否充分、及时。

2.7有利于评价并实施针对风险管理的方法和控制措施

内部审计在该方面的作用包括：（1）进行控制和风险评估培训。使风险意识贯穿于整个企业的各个层面，并且使每名员工能够有效识别风险并提出有效控制措施，实施企业全员、全过程、全方位、全天候的风险管理；（2）召开控制和风险评估专题讨论会。针对重大风险隐患，要集合企业内外部的专家进行专题研讨。审计人员既是组织者，又是参与者，同时也是学习者；（3）开发自我评估工具。对风险管理进行深入研究，利用现代技术开发适合本企业的评估工具。

参考文献

[1]孟英姿.内部审计在企业会计风险管理中的角色定位[J].集团经济研究，2006（9）.

内部审计的主要风险篇5

关键词:风险导向型审计;风险防范;内部控制

中图分类号:F239.4文献标识码:A文章编号:1003-9031(2009)07-0077-03

商业银行是经营风险的特殊企业,面临信用风险､流动性风险､市场风险､操作风险､法律风险等诸多金融风险,使得各经营环节都蕴含着风险｡从商业银行的现状来看,薄弱环节引发的重大违法违规问题和经济案件是最大的金融风险,这些重大问题和经济案件对金融体系危害严重､影响广泛,受损的不仅是有形的资产,而且使商业银行在社会公众和投资人心中的形象､声誉受到贬损,近年来发生的典型金融风险案例都证实了这一点｡因此,在商业银行内部审计中,首要的任务是防范风险,尤其是基层经营行的操作风险｡审计部门必须充分借鉴国际商业银行的经验,探索建立新的内部审计模式,树立风险导向型审计理念,进一步发挥审计监督在防范和控制风险中的积极作用｡

一､风险导向型审计的基本概述

1.风险导向型审计的概念｡风险导向型审计是在账项基础审计和制度基础审计上发展起来的新型的审计模式｡审计人员在对被审计单位的内部控制充分了解和评价的基础上,判断､分析被审单位的风险所在及其风险程度,通过审计风险模型对风险进行量化,把审计资源集中于高风险的审计领域｡针对不同风险因素状况､程度采取相应的审计策略,审计人员加强对高风险点的实质性测试,将审计的剩余风险降低到可接受水平,达到降低检查风险､节约审计成本､提高审计质量和效率的目的｡同时,在此基础上提出建设性的意见和建议,协助企业管理风险,实现企业价值增值的独立､客观的鉴证与咨询活动｡

2.风险导向型审计的特点｡风险导向型审计的主要特点是合理地扬弃了制度基础审计模式下“无利害关系假设”,把指导思想建立在“合理的职业怀疑判断假设”的基础上,不只依赖对被审计单位内部控制制度的检查与评价,而是实事求是地对被审计单位管理层和操作层是否诚信､是否存有舞弊造假的驱动保持一种合理的职业警觉,将审计的视野扩大到被审计单位所处的经营环境(微观､中观乃至宏观),将风险评估贯穿于审计工作的整个过程｡

3.风险导向型审计与制度基础审计的区别｡一是制度基础审计模式以内部控制为核心,对风险的评估主要依赖内部控制的检查与评价,而对固有风险的评估常常流于形式;而风险导向型审计不仅通过内部控制评估控制风险,还结合固有风险等其他因素综合考虑,通过对企业环境､发展战略､公司治理结构等方面的评估,发现潜在的风险点､风险源､风险域｡二是制度基础审计以内部控制制度为基础,根据被审计单位内部控制制度的健全性及符合性评估结果,确定实质性测试的范围和重点;风险导向型审计则以风险评估为基础,对影响被审计单位经济活动的多种内､外风险因素进行评估,确定审计范围､重点和方法,不仅重视与内部控制系统直接相关因素,而且重视各种环境因素｡[1]

二､商业银行应用风险导向型审计的必要性

1.巨大的业务量需要风险导向审计｡目前,商业银行的财务报表具有业务量大､金额大､资金往来频繁等特点,而审计资源的供需矛盾比较突出,在信息系统条件下,详查法虽然可行,但显然不具有经济性､科学性｡运用现代风险导向审计,能够科学地解决业务数据海量的的问题,以全面评估风险为基础,对风险高的业务与内容加大审计力度,将审计资源按风险控制更合理地进行分配与使用,加大对风险高的业务与内容的审计力度,提高审计效率,保证审计质量｡

2.操作风险的特性需要运用风险导向审计｡根据《巴塞尔薪资本协议》,操作风险是指内部不完善或有问题的内部程序､人员及系统或外部事件所造成损失的风险｡与信用风险和市场风险等相比,操作风险具有四个明显的特征:一是风险的内生性;二是复杂性和隐蔽性;三是风险与收益不对称性;四是关联性｡这些特性与风险导向型审计的审计特长决定了防范操作风险需要风险导向型审计｡[2]

3.操作风险防范的及时性需要运用风险导向审计｡风险导向审计是以“风险”为核心的理念与方法利用电子信息技术,从其账户管理系统､信贷管理系统等采集大量电子审计数据,充分了解被审银行的资产质量､负债状况､结算业务操作及其内部控制等方面情况,进行有效分析､风险评估,及时找出当前业务管理､操作突出的风险点与风险域,按风险高低程度､紧急性等因素排出次序,确定审计重点,做到“有的放失”,合理配置审计资源实施审计的｡

4.有效防范管理层舞弊需要风险导向审计｡近年来发生的比较典型的金融风险案例证实商业银行光有内部控制是不够的,尤其是当管理层､操作层共同参与舞弊时内部控制制度就流于形式了,若不把审计视角扩展到内部控制以外,就很容易受到蒙蔽和欺骗,不能发现由其它因素而导致的舞弊行为｡而风险导向型审计从内外环境及内部控制等更广泛的审计范围把握被审计银行的风险,便于发现管理层､操作层舞弊以及两者串通舞弊等行为｡[3]

三､风险导向型审计在防范操作风险中的组织实施

以合规性审计和风险排查为基础,以严重违规行为和案件的防范为重点,以风险的内部控制为核心,根据被审计对象的风险程度排序结果,配置审计资源,制订审计项目计划｡审计的主要内容围绕着控制环境､风险识别评估､控制措施､信息交流反馈､监督评价纠正等内部控制“五要素”展开｡我国的商业银行存在规模大､地域分布广､分支机构众多､内部控制基础不牢固､潜在操作风险较高的情况｡为此,对基层行风险导向型审计步骤应如下进行｡

1.内部控制环境的调查｡应以评价内部控制和风险管理环境框架作为审计的切入点,通过对内部控制环境的调查和各项业务流程的审查,测评内部控制制度的健全性和风险管理的有效性,揭露问题､堵塞漏洞,建立健全内部控制体系,加强制度执行力建设,防范经营风险｡

2.评价对信贷风险控制的状况｡在信贷资产质量方面,从对客户的准入控制､贷前调查､贷时审查､贷后管理四环节入手,评价对信贷风险控制的状况,主要审计贷款企业资料的真实性,内部操作流程和审贷行为的合规性;审查贷款担保手续即第二还款来源的真实合法､足值､有效性;审查贷后管理措施､效率和效果,着重检查对隐患､风险的揭示和提出防范､化解资产风险的建议情况｡

3.进行会计精力的审计｡在会计业务审计方面,要重点对会计业务的政策､制度､流程和金库管理､银企对帐､柜员卡管理､印押机证管理､内部帐务管理､重要岗位人员管理等方面情况进行审计,确保会计内部控制制度覆盖所有风险点和实现帐帐､账据､账款､账实､账表､内外账“六相符”｡

4.审计对信息系统和金融创新情况进行实时监控｡从目前目前现状来看,信息系统和金融创新业务的内部控制相对较弱,相应的法规和制度建设滞后,容易成为新的风险点,应重点审查是否建立了制度制约与机器制约的控制体系,即提高了通过技术手段防范操作风险的能力,计算机操作系统能够支持各类管理信息的适时､准确生成,做到系统的可验证性｡业务操作的每一个步骤都要在计算机系统中“留痕”,为业务操作复核和稽查提供基础,可实现实时监控和集中远程监控,使得能够通过数据链接,运用预警软件及分析性复核,及时发现潜在的风险,并能够迅速采取有效的措施予以清除｡

5.要加强对“关注类”人员排查工作情况的审查｡内部控制制度的建设和执行要依靠人,案件的发生也是人所为的,因此要审查基层行在人力资源管理上开展关注类人员排查工作的情况｡主要检查内容包括基层行有无建立相应的各级管理者､员工行为失范监察制度,严格记录了重要岗位和敏感环节工作人员八小时内外的行为,就这些工作人员的有无经商､买卖股票､等行为建立内部报告制度,分析其工作表现､生活习性､经济往来､家庭情况以及社会往来情况｡审查对排查出来的行为失范员工进行教育记录,对发现有涉黄､涉赌､涉毒以及未报告的股票买卖和经商办企业等行为的人员采取的检查､调整措施｡审查对排查工作责任追究情况,对确有问题而排查工作马虎酿成案件的,要追究有关当事人的责任｡

四､风险导向型审计在防范操作风险运用中应注意的事项

1.强化风险导向审计的理念｡从商业银行内部审计的职能看,主要体现在监督职能上｡如以查错纠弊､堵塞漏洞为目的,则难以从全局的角度来分析和解决问题,难以从制度上纠正审计发现的问题｡为使风险导向审计顺利开展,首先,内部审计的职能应从监督职能为主转为以评价服务职能为主,不能仅局限于查错防弊和保护资产,更重要的是要针对存在的各种风险提出有效的控制措施,明确内部审计职能重点,无疑会推动风险导向审计这一先进模式在商业银行内部审计领域的运作与实施｡其次,建立积极的､正确的风险导向审计理念｡风险导向审计理念主要是指在全面理解被审计部门风险的前提下,识别出固有审计风险,并进一步评价被审计对象对这些固有风险的控制措施,而被审计部门控制不足或无效部分则会形成剩余风险,针对剩余风险,审计师需要制定相应的策略和措施,从而将其降至可接受水平｡第三,审计实务中风险导向审计要求内审人员不仅对控制风险进行评价,而且要对产生审计风险的各个环节进行评价,还需要将风险导向审计与制度基础审计结合起来运用｡风险导向审计不能取代制度导向审计,风险导向虽然代表内部审计的发展方向,应用价值较大,但它有一定的适用范围,必须正确认识和运用;同时,操作风险的产生与银行内部控制制度不健全､不完善时分不开的,有效防范操作风险,内部控制仍然是基础,即制度导向审计仍是根本,也是风险导向审计的基础｡[4]

2.编制审计方案的审计内容时要以风险导向为重点｡内部审计活动总的目标是“评价并帮助改进机构的风险管理､控制和治理系统”,具体审计活动要围绕更为具体的风险管理目标进行｡由此,在研究制定方案之前,关键是要确定审计监督的目标｡风险导向审计不像其他审计模式过早地侧重于控制活动的环节,而是以审计部门的目标为起点,通过确认､衡量风险,确定其重要性,以确定如何控制管理风险｡因此,在编制审计方案时,内审人员应着重以审计目标为起点,注意评估被审计对象的风险点,从分析被审计对象业务易产生的问题入手,通过风险的导向和严密的逻辑推理,一步一步的推导和落实审计的范围和重点,最终确定相关审计程序｡

3.注意审计方法的综合运用及其相互配合｡风险导向型审计要求审计人员应有系统､综合运用审计方法的能力｡在审计的期初,应侧重分析法,分析可能产生风险的各种因素;在实质性测试阶段,则主要运用查账的方法;在审计终结阶段,更多运用的是比较法､归纳法等｡风险导向审计并未完全抛弃传统审计的方法,仍需要大量运用分析性复核､抽样审计等传统审计手段｡

4.大力推进计算机辅助审计｡随着计算机及网络技术的发展,计算机通信技术､管理信息系统､应用系统软件等在商业银行得到广泛应用,需要大力推行计算机信息技术审计｡通过开发专门针对操作风险防范的审计软件,建立以计算机技术为核心的非现场内部审计监督体系,以更有效地开展现代风险导向审计｡

5.不断提高内部审计人员综合素质｡由于金融业务的不断创新,各种金融衍生工具层出不穷以及金融工具､管理方法不断更新,这一方面要求审计人员要对各类业务的风险进行识别､检测､度量,必须掌握更多与之相关的金融､数理统计､数据分析等方面的知识和能力,不断提高自身综合素质和业务技能,强化控制风险和指导管理的意识,准确掌握风险导向审计工作的内涵,才能有效开展现代风险导向审计｡同时,按照全面的内控理论,内审人员不再是内部控制的唯一责任主体,被审计对象所有成员都对内部控制负有相应的责任,必须同步提高被审计单位人员的风险意识,以便能够主动与内审人员共同查找主要风险点和控制薄弱环节等方面,制定有效的业务风险点控制措施｡[5]

参考文献:

[1]蔡春,赵莎.现代风险导向审计论[M].北京:中国时代经济出版社,2006.

[2]中国银行业监管管理委员会.商业银行操作风险管理指引[Z].2007年5月.

[3]李爽.21世纪审计理念的发展主题―现代企业风险管理审计[M].北京:中国财政经济出版社,2005.

内部审计的主要风险篇6

关键词:风险管理;内部审计;风险导向

中图分类号:F832.1文献标识码:B文章编号:100-4392（2008）08-0062-03

一､风险导向审计概述

（一）风险导向审计的定义

风险导向内部审计是指内部审计人员在内部审计的全过程中自始至终都要关注风险，并根据风险度选择项目，以降低风险为导向，进行内部控制制度的符合性测试､实质性测试，并进行监督检查和评价，提出建设性意见和建议。这样得出的审计报告可以作为揭示企业风险､防范风险以及信息交流的预警信号，为企业风险管理提供可靠的信息，并作为企业进行风险判断的重要依据。风险导向内部审计中的“风险”不仅局限于传统意义上的审计风险，而是包括经营风险､市场风险､信贷风险､技术风险在内的影响企业目标实现的各种风险，在风险导向内部审计模式下，这些因素都成为确定审计项目及审计重点的依据。风险导向审计要求内部审计在风险环境中观察业务过程，提出控制风险的建议，从而为企业获取更大价值。

（二）风险导向内部审计的特征

与传统的内部审计相比，风险导向审计具有以下几个显著的特征。首先，风险导向内部审计不再根据检查业务历史记录和内部控制系统历史运营情况提出意见和建议，而是根据目前市场状况对潜在风险进行分析，并对企业未来发展进行预期和规划。其次，风险评估不仅用于确认单个审计项目中的审计重点，而且用风险标准来确定审计项目。内部审计不是在内部控制系统中看待业务活动，而是在风险环境中观察业务过程，防范潜在的各种风险。再次，内部审计在审计项目中不是确认和测试控制，而是确认和测试管理部门为降低企业风险所采取的方法和方式。它反映了一种与国际内部审计师协会的《内部审计实务标准》及相关文件相符合的风险管理哲学，包含更广泛､更丰富的信息，更具有科学性和权威性。此外，风险导向内部审计使用风险术语针对主要风险领域的审计结果进行讨论和提出建议，审计结论特别致力于提出风险以及管理风险的对策，更具时效性。

二､运用风险导向审计应当注意的几个问题

（一）目标定位问题

风险导向审计目标定位不仅是要强化控制､提高效率，而是规避风险､转移风险和控制风险，不断完善风险管理系统，消除风险隐患，为管理者提出改进管理的措施和建议。内部审计的职能在监督评价的基础上，更侧重于为管理者提供咨询服务。由此，内部审计人员应尽快更新观念，转换角色，积极参与风险管理。

（二）技术创新问题

目前，各级央行工作都普遍实现了电子化､网络化，无论在审计效率还是审计成本上，传统的审计技术都难以适应，审计技术创新显得十分重要。内部审计部门应积极开发和引进信息化手段，逐步建立和完善内部审计信息化体系，充分利用网络信息技术，更加迅速有效地完成各项信息的审阅､核对､分析､比较，对各项工作实施有效监控与评价。

（三）法规建设问题

审计规范是开展风险导向审计关键的一环。为推动风险导向审计的有效发展，必须尽快制定与完善央行风险导向审计实施办法､质量控制办法､结果反馈办法等规范。应根据我国央行实际情况，应充分借鉴国外内部审计的相关经验，结合未来发展变化情况，制定出一系列切实可行､具有中国特色的风险导向内部审计法规和准则。另外，应大力宣传风险导向内部审计在央行风险管理中的重要作用，促使各级领导认识并理解风险导向内部审计，切实达到风险管理的目的。

（四）审计人员专业化问题

从目前央行审计部门现状来看，审计人员大多是从财务会计岗位转岗过来，对财务和会计等专业知识比较熟悉，而审计专业知识还有所欠缺，难以适应不断更新发展的审计任务。风险导向审计要求审计人员必须重视知识的更新和知识面的扩展，内部审计人员不仅要精通财会､审计知识，还要具有经济管理､金融､统计､工程技术､法律､信息和计算机等方面的专业知识。在实际工作中，要通过后续教育，不断提高审计人员的专业胜任能力;要通过审计实践，提高审计人员敏锐的洞察力､判断力和组织协调能力。

三､风险导向内部审计在央行风险管理中的应用

（一）全面评估风险

首先，在风险导向内部审计模式下，内部审计人员应该充分了解被审计单位或部门在具体业务开展过程中存在的风险因素，如央行文化､内部控制体系､业务交易系统､财务报表及信息系统等，明确审计目标，确定审计重点。其次，进行风险识别和确认。主要是由职能部门对自身业务存在的风险点进行定性识别。可以按风险度分为高､中､低三个风险等级，也可以依据对社会的影响程度分为法律风险､声誉风险､操作风险､信息技术风险等。然后，设立违规假设，将本部门业务内容按风险类别进行归纳。最后，由审计部门对所识别的风险点､风险类别进行评审､确认，明确各个风险点的评定结果。在风险点评定的基础上，根据该业务风险损失事件的历史数据､审计报告等资料，判断风险事件发生的可能性，并对不同程度的可能性以不同分值予以量化，按照量化值范围进行等级评定。

在征信管理中，存在个人信用报告查询业务。可以将未经本人同意，泄露他人个人资信情况列为风险点。根据历史资料判断，这种风险很可能发生，设分值为3，而影响程度较大，属高风险，设分值为3，此风险点风险值为二者乘积，即等于9。再将这个值归入风险等级即可。当然，这种可能性､影响程度和风险等级没有固定的模式和标准，但必须能够合理地反映出风险等级，以便进行正确评估。

（二）实施程序

在具体审计实践中，可以将风险导向审计分为四个步骤。一是计划阶段。主要是制定风险导向审计规划，明确审计目标，确定审计实施方案和审计重点。在此阶段，要求被审计单位､部门认真对照各项规章制度､操作程序进行自查，对本单位､部门风险管理的重点环节进行自我识别､辨析､评估，并将结果形成文字材料报内审部门。二是实施阶段。主要是进行系统风险检查，控制检查风险，使审计风险降低到可接受水平。在此阶段，汇总各单位､部门风险评估与确认的内容，综合分析风险管理的重点内容，判断资料的正确性，形成初步审计意见和建议，提交审计部门领导小组讨论。三是报告阶段。根据领导小组讨论结果，形成审计报告初稿，并以适当的方式进行反馈，征求被审计单位或部门意见，意见一致后或事实能够确认后，出具正式审计报告，并提出风险管理方面的合理化建议。四是后续审计阶段。主要是跟踪审计建议和改进措施的落实情况。要求被审计单位或部门对查出的风险或隐患进行整改，必要时进行后续跟踪审计。

（三）事实确认

在风险导向审计实施前，内部审计人员应就审计报告的提交日期､各审计阶段的进度安排､应提供的资料､人才和物力协助､各重要审计程序的执行日期等方面与被审计单位进行充分沟通､协调。在审计实施过程中，相关人员要就审计中发现的问题与被审计部门进行商谈，并提出相应的建议。对审计结果的讨论通常采用口头交换意见､编制和答复审计备忘录。审计备忘录一般包括现状､标准或期望､原因､影响､评价､建议等部门，并要求指定的人员在规定时间内给予正式的书面答复，以免事后产生争议。此外，在审计报告发出前，不仅要征求被审计单位的意见，还应考虑相关部门的意见。

（四）风险的控制与管理

央行内部审计部门在进行风险控制与管理时，可按“高风险”､“中风险”､“低风险”三种部门进行分类，确定不同的内部审计关注度，为年度内部审计工作计划安排作参考。在综合评价部门风险时，可按职能部门风险点风险等级占比多少分为“高风险”部门，“中风险”部门，“低风险”部门。应加强对“高风险”部门的内部审计现场检查频率，可以实施按月审计或不定期突击审计，对“中风险”部门保持适中的现场检查频率，可以按季度进行审计，对“低风险”部门则可考虑采取非现场监控的方式予以关注。

四､推进风险导向审计应用的几点思考

（一）发挥网络资源优势，建立和完善审计信息库

内部审计部门应通过网络建立被审计单位的信息库，供审计时查阅和运用，以减少工作时间，提高工作效率。对历次审计的原始数据应及时录入，并与收集结果作对比分析。对有差异的数据进行详细审查，确定差异数据产生的原因，通过网络进行预警提示，以降低审计风险。

（二）完善风险管理机制

各被审计单位和部门应根据风险导向审计要求，建立和完善风险管理机制。风险管理机制主要包括风险的识别､评估，应对措施是否适应和有效，实际运行效果如何。还应包括是否有未被识别的主要风险，对风险评估是否恰当，对已评估风险所采取的对应措施是否充分､得当，并提出改进措施建议。

（三）充分利用计算机技术，提高风险导向审计科技含量

在实施风险导向审计实践中，风险量化是比较关键的一环。审计人员应当将风险导向审计的具体方法与计算机技术紧密结合起来，改进风险计量技术､方法和手段，寻找审计疑点，发现审计线索，有效提高风险管理的工作质量。

（四）完善内部审计人才库建设，提高审计队伍专业化程度

建议根据央行业务特点和工作实际，建立科学､高效的培训体系。在期限上，可采取中短期相结合的方法。在内容上，除继续进行财务方面知识学习外，还应适应进行经济管理､计算机､法律法规､信息工程及职业道德教育等方面的学习，全面提高综合素质。在方式上，可实行内部审计人员工作轮换制。每个年度每个审计人员定期到其他的部门工作3-6个月，熟悉职能部门具体业务流程，增强职业敏锐性。职能部门的工作人员也可到内部审计部门工作一定期限，然后再转到其他部门工作，以提高管理能力，更好地适应不断变化的内部审计要求。