浅谈风险导向审计对内部审计的影响

　　【内容摘要】作为目前审计发展的新方向——风险导向审计的提出替代了传统的审计模式，同时也对内部审计产生了深远的影响。本文从风险导向审计的特点出发，讨论了风险导向审计与传统审计的不同，浅谈了其对内部审计的影响，并结合风险导向审计的主要程序，简单阐述了其在内部审计程序中的应用。

　　一、风险导向审计的含义、特点

　　国际内部审计师协会（IIA）在修定后的《内部审计实务标准》中（IIA，2002）提出，为满足组织的经营管理需要，组织的内部审计工作应该以风险为导向。

　　《内部审计实务标准》1220.A1 标准规定内部审计师应该考虑组织风险管理、控制与治理过程的充分性和有效性、以应有的职业审慎性开展工作。以风险为导向的内部审计是在组织已有的风险管理和内部控制的基础上，对剩余风险进行评估，并采取符合的应对措施，进而改善组织的风险管理和内部控制。

　　风险导向审计是一种以评价和分析组织风险为基础的审计方法，它在“合理的职业审慎性”的基础之上，把“一个导向，一个方式，一个目标”贯穿于整个审计过程中。“一个导向”是指：审计过程中坚持以风险评估为导向，运用科学的审计假设，合理制定审计计划，优化配置审计资源；“一个方式”是指：审计分析中以分析性复核程序为主，多种审计方法结合，多渠道获取审计证据，包括财务性的信息和非财务性的信息；“一个目标”是指：审计结论要始终以改善组织风险管理，提高组织抗击风险能力，促进组织经营管理效率和效果为目标。

　　传统的审计风险模型为：审计风险=固有风险×控制风险×检查风险，它要求审计人员在充分评估组织固有风险和控制风险的基础上确定检查风险，通过控制检查风险最终将审计风险控制在可接受的水平。该风险模型对风险的评估是在对各重要账户或交易类别控制风险测试的基础上进行的，可以解决交易类别、账户余额、披露和其他具体认定层次的重大错报，并不涉及对会计报表层次整体风险的评估，对于组织中潜在的高层串通舞弊、虚构交易等宏观层面的风险，无法起到识别、判断、评估、应对和防范的作用。

　　国际审计和鉴证准则委员会（IAASB）2003年发布了新的审计风险准则，将审计风险模型重新定义为：审计风险=重大错报风险×检查风险。其中重大错报风险包括两个层次的风险: 一是会计报表整体层次，二是交易类别、账户余额、披露和相关认定层次。并明确规定了审计工作以评估会计报表重大错报风险为起点和导向。

　　新的审计模型也称为风险导向审计模型，它继承并扩大了传统审计风险的内涵，将风险分析对象扩大到整个组织的风险管理范围。它将对组织的评价定位在风险评估的基础上，以对组织的重大错报风险的识别、评估和应对作为审计工作的重点，将会计报表层次的重大错报风险和经营风险联系起来，进而指明交易类别、账户余额、披露和其他具体认定层次的审计重点，设计相关审计程序。但这并不意味着审计人员不可以单独对固有风险或控制风险进行评估，相反审计人员既可以对两者单独评估，也可以对两者合并评估。

　　二、风险导向审计对内部审计的指导意义

　　内部审计是由组织内部机构或人员，对其内部控制的有效性、财务信息的真实性和完整性以及经营活动的效率、效果等开展的一种评价活动。它是以组织的财务收支真实性审计为基础，以组织的管理决策执行性审计为导向，以为组织经营管理活动提供合理化建议为目标的内部管理决策过程。

　　内部审计在组织的经营管理活动中有着“事前防范，事中控制，事后监督” 的作用，风险导向审计的提出为内部审计的“事前防范”框定了范围，“事中控制”指明了方向，“事后监督”提供了目标。

　　（1）审计计划着重化

　　在传统审计中，内部审计工作主要集中在审计测试中，在现场审计中安排了大量的时间和人员，相对而言审计计划的制定并未受到应有的重视。风险导向审计理论要求审计人员重视审计计划的制定，认为审计人员在制定审计计划前充分了解组织及其所处环境，熟悉组织的经营战略、组织结构、经营流程等基本情况，识别和评估会计报表层次和认定层次的重大错报风险，有利于制订出符合被审项目特点的审计计划，优化审计资源的配置，节约审计成本，提高审计效率，实现审计目标。

　　（2）审计方法多样化

　　传统审计模式下分析性复核程序的使用仅局限于财务信息的范围中，而且主要集中在对财务数据关系的简单比较上，如对绝对数额进行比较、对相关比率进行趋势分析等。与以往的审计方法相比，风险导向审计突出了分析性复核程序，并要求将其应用于审计工作的全过程，即“以分析性复核为主，多种审计方法广泛应用”。分析性复核的范围和分析程序的使用方法也呈现出多样化，财务信息、非财务信息的分析评价，统计分析、回归分析、概率模型等先进技术方法和模型的广泛运用以及计算机技术的广泛应用，使各种信息的分析更加简捷、有效，也使分析性程序得出的审计结论更加科学、合理，对组织风险评估结果的佐证更具有说服力。

　　（3）审计证据扩大化

　　随着审计测试的重点向风险评估转移，风险评估程序在整个审计过程中显得尤为突出，风险评估结果的准确性对审计效率、效果的影响更加重要，而审计证据的充分适当性则关系着风险评估结果的准确与否。在风险导向审计模式下，支持审计结论所需审计证据的范围明显扩大了，它不仅包括组织内部提供的各种证据、审计人员进行各种测试获取的审计证据，还包括审计人员对组织基本情况及经营环境等情况的了解、评价过程中获得的审计证据，取证的重点向组织的会计报表层次偏移；由于风险评估带有一定的主观性，客观、真实的审计证据是必不可少的，尤其是审计人员直接获取的外部证据，所以审计证据的获取也逐步向外部证据延伸。

　　（4）审计程序个性化

　　风险导向审计要求审计方法应与特定的审计环境相适应，针对不同的风险领域、不同的审计对象、不同的业务环节以及特定的审计目标，实施个性化的审计测试程序。内部审计为组织经营管理决策提供服务的特性决定其应在公共审计的基础上重点体现组织的特色。即在组织层面上内部审计应以公共审计策略为基础，选取适合本组织经营情况的审计方式，有重点、有目的的加以开发、延伸，最终形成带有组织自身特色的审计文化；在具体审计项目层面上立足于现有的内部审计策略，结合当前被审计项目的固有特点，制定能够合理应对该项目审计风险的审计方案，选取合适的审计方法，有针对性的开展审计工作。

　　三、风险导向审计流程

　　风险导向审计以风险分析为主线，以分析性复核程序为主要方法。首先，它自了解组织的经营环境、识别经营事项为起点，评估组织所面临的外部风险（如组织所处行业的竞争情况）和组织自身的内部风险（如组织中管理当局的决策），确定会计报表层次的整体风险。其次，在确定可以接受的会计报表层次重大错报风险的情况下，进一步了解组织流程控制，评估组织中的内部控制，确定认定层次的重大错报风险。第三，在综合考虑会计报表层次和认定层次可接受的重大错报风险的情况下，评估可接受的剩余风险，据此确定拟实施的实质性测试的性质、时间和范围，选择恰当的实质性测试程序，以获取充分适当的审计证据支持先前所形成的对两个层次风险的评估，并据以形成合理的审计结论。因此风险导向审计流程大致可以分为三个阶段：风险评估、控制测试（必要时）、实质性测试。

　　（1）实施风险评估程序

　　风险导向审计的核心是了解组织（包括内部控制）及其环境，执行风险评估程序，目的是评估会计报表整体层次和认定层次的重大错报风险，把风险控制在可接受的范围内。审计人员在接受审计项目时应了解该项目所处的经营环境，包括组织外在行业竞争情况和组织内部该项目所处的地位等。在具体审计过程中，审计人员可以通过询问、查询、分析等程序了解项目的经营目标，识别项目的经营类别，在不同的审计阶段实施风险评估程序，并将识别和评估的风险结果与拟实施的审计程序相结合，及时调整审计资源，把审计资源集中在组织的高风险领域，在提高审计效率的同时，保证审计质量。

　　（2）实施控制测试程序

　　控制测试并不是在每次审计中、每个审计项目中都要实施，只有审计人员认为控制设计合理、能够有效防止或发现并纠正认定层次的重大错报，且符合成本效益原则时，对控制运行的测试才是必要的。实施控制测试目的是测试内部控制在防止、发现、纠正认定层次重大错报上的有效性，并据此重新评估认定层次的重大错报风险。根据审计准则的要求，当存在下列情形之一时，审计人员应当实施控制测试：首先，在评估认定层次重大错报风险时，预期控制的运行是有效的；其次，仅实施实质性程序不足以提供认定层次充分、适当的审计证据。实施控制测试目的是测试内部控制在防止、发现、纠正认定层次重大错报上的有效性，并据此重新评估认定层次的重大错报风险。如果在评估认定层次重大错报风险时预期控制的运行是有效的，审计人员应当选择适当的审计程序实施控制测试，就内部控制在相关期间或时点的运行有效性获取充分、适当的审计证据。

　　（3）实施实质性测试程序

　　实质性测试是审计人员针对评估的重大错报风险实施的直接用以发现认定层次重大错报的审计程序，包括对各类交易、账户余额、列报的细节性测试和实质性分析程序。由于组织内部控制存在固有局限性，且审计人员对重大错报风险评估的存在一定的主观判断性，不能仅依据风险评估的结果和已执行的控制测试程序所获得的审计证据来评估会计报表整体的重大错报风险。无论评估的重大错报风险结果如何，审计人员都应对各类重要账户余额、交易类别等实施实质性测试程序以获取充分适当的审计证据。

　　四、风险导向审计在内部审计中的应用

　　内部审计主要以“经营环境分析（公司内部支持）——经营目标分析——经营事项识别——风险评估测试——流程控制分析（内部控制）——可接受风险分析——实质性测试（性质、时间，范围）——审计结论、建议”的流程，采取“自上而下，层层反馈，逐步完善”的思路展开工作。风险导向内部审计模型如图1所示。

　　　　　　　　　　　　　　　　　图1 风险导向审计模型

　　（1）识别经营事项，评估项目风险（不含内部控制）

　　内部审计人员在接受审计项目后应了解该项目所处的经营环境及经营目标，应重点关注对组织内部环境的了解，如：待审计项目的性质、该项目在组织中的地位、组织中高层管理人员对该项目的期待等。识别被列为待审计项目的经济事项，特别注意识别与待审计项目相关联项目的性质、关联程度以及其对待审计项目的影响。在了解组织内部环境及目标时，内部审计人员应当考虑将询问、检查和其他风险评估程序相结合以获取审计证据。

　　（2）分析控制流程，识别控制风险

　　根据识别的经营事项了解相关事项的流程控制情况。根据对经营事项风险初步评估的结果合理安排审计资源，对于重要的事项流程应安排较多的审计资源，对于非重点的事项流程可以适当减少了解的范围、程度。观察、询问和检查是了解相关事项流程控制的有效方法。内部审计人员应当获取有关经营事项控制流程的足够信息，使其能够识别控制，了解各种控制如何设计，如何执行，由谁执行，以及执行中所使用的数据、文件和其他资料等，判断控制中的关键点——“穿行测试”是识别主要控制流程，判断关键控制点最为有效的审计程序。

　　在现场审计中，内部审计人员可以通过先询问级别较高的人员，再询问级别较低的人员，以确定他们认为应该运行哪些控制，以及哪些控制是重要的。这种“从高到底”的询问方法可以迅速的辨别控制流程中的关键控制点。对于内部审计人员从低级别人员处获得的信息，应该向高级别人员核实其完整性，以确定他们是否与高级别人员所理解的预定控制相符。

　　内部审计人员应根据获得的审计证据初步评价控制风险：控制本身设计是否合理，是否得到执行，能否信赖该控制并可实施控制测试。

　　（3）评估控制风险，实施控制测试

　　内部审计人员认为待审计项目的内部控制在某一期间或某个时点上得到执行，且认为测试内部控制是“经济有效”时，应当实施控制测试。控制测试的目的是评估控制运行的有效性。如：组织对各营销公司应收账款业绩评价的控制如下：财务人员每月都审核各营销公司的应收账款发生数，并与年初计划数和上年同期数相比较，对于当月应收账款变动较大的营销公司进行分析并编制财务分析报告，财务经理审阅该报告并采取适当的跟进措施。内部审计人员可以选取适当数量的月份抽查分析报告，如果该报告有相关财务人员的签字确认，证明该控制得到了执行。内部审计人员还应了解报告中当期应收账款变动异常的营销公司，并就此情况向财务经理询问，确认其是否采取了跟进措施。如果发现财务经理对报告中明显异常的数据并不了解其原因，也无法做出合理解释，显然该控制并未有效运行。内部审计人员还可以选取当期应收账款异常的营销公司向该营销公司经理询问，以了解财务经理是否采取了相关措施，该措施是否执行到位，评价该项控制的有效性。

　　（4）评估可接受风险，实施实质性测试

　　评估可接受的剩余风险，并根据剩余风险的评估结果设计具有针对性的实质性测试程序。在应收账款余额审计工作中，由于风险评估和控制测试的结果都获得了较高程度的信赖，审计人员拟选取较小范围的实质性测试。内部审计人员在进行常规审计后，将应收账款分为不同层次：对于重要客户的应收账款采取与客户现场对账的审计方式；对于次要客户的应收账款则有侧重点的选取客户发函询证；对于其他客户则通过检查客户订货合同、客户订货记录、往来款项、公司发货记录等，复核其应收账款余额的准确性——该种层次的客户通常局限于往来业务较少、期间发生额较小的情况。内部审计人员应根据不同程序取得的审计证据判断是否采取进一步审计程序,如针对函证结果存在差异的客户，由于公司规定应收账款余额不允许出现差异，内部审计人员应采取追加审计程序，如检查差异客户的订货合同、客户订货记录、往来款项、公司发货记录等，并考虑是否要扩大细节性测试的范围，以获取更加充分的证据。

　　风险导向审计思想的提出给内部审计工作带来新思路的同时也对内部审计人员提出了新要求。在风险导向审计过程中需要运用大量的分析判断，并且由于内部审计工作的特殊性，对内部审计人员的知识范畴、专业判断等也提出了更高的要求。虽然新的风险审计准则为风险导向审计方法提供了指引，但在实际操作中如何运用风险导向审计方法合理的指引内部审计的日常工作，仍需要我们的不断探索完善。

　　参考文献

　　[1]陈志强，从审计风险模型的改进论风险导向审计的战略，审计研究，2005，2

　　[2]张力，风险导向审计中经营风险计量程序及实施困难，2008，2

　　[3]肖娜 孙文生，现代风险导向审计对我国审计实务的挑战及对策，2009，12