[摘要] 作为风险管理的一个重要环节，企业内部审计在内部控制、公司治理以及组织运营中的地位日趋突出，已成为关系企业兴衰成败的重要因素。本文设计了风险导向内部审计框架体系，并围绕该框架，探讨了风险导向内部审计在风险管理中的具体应用。

　　[关键词] 风险管理风险导向内部审计框架体系应用

　　一、风险导向内部审计的产生

　　随着经济全球化、管理信息化、经营多元化,企业倾向于在更大程度上将决策权向中下层分散，以适应灵活多变的环境，这客观上为各级管理人员甚至一线操作人员提供了舞弊空间。美国忠诚与保证公司的调查显示：70%的公司破产是由于内控不力导致的。为了保证企业安全和持续发展，企业董事会和最高管理层普遍要求内部审计及时揭露显现与潜在的风险，提出防范和控制建议，并对审计风险承担一定责任，这样就促使内部审计部门必须面对企业整体或被审计单位的各种经营风险。风险导向内部审计这种多维和有效的审计模式便应运而生。

　　风险导向内部审计是企业内部审计师通过测试风险管理的有关方面（风险管理方针、策略和风险评价指标体系），对风险程度及管理情况作出专业判断，提出审计评价与建议，以实现企业运营目标。其根本目标是通过将风险与企业目标的实现直接联系起来，为公司治理层及管理层提供有价值的服务。

　　我国风险导向内部审计尚处于起步阶段,本文主要探讨风险导向内部审计在企业风险管理中的具体应用。

　　二、风险导向内部审计框架体系设计

　　下图1描述了风向导向内部审计框架体系：

　　图1 风险导向内部审计框架体系

　　三、风险导向内部审计的具体应用

　　根据风险导向内部审计框架体系及其在风险管理中所承担的角色，从以下几个方面探讨风险导向内部审计的具体应用。

　　1.围绕经营目标，全面鉴别风险

　　内部审计人员应花大量的时间和精力与各级管理层沟通，充分了解被审计单位经营目标实施过程中的审计域和相关风险因素。审计域是指被审计职能确定为可检查和评估的项目、部门或制度。一般包括：

　　(1)企业文化。

　　(2)政策、程序和惯例 内部控制体系。

　　(3)成本中心、润中心和投资中心。

　　(4)合同、项目、生产、服务部门或流水线。

　　(5)供应链上的上下游合作伙伴。

　　(6)管理职能部门、业务交易系统、财务报表及信息系统。

　　至于相关的风险因素，应综合世界有关组织或团体内部审计机构的观点，结合被审计单位的情况具体分析。为实现规范化，应将具有代表性的审计域及其风险因素整理归档，形成数据库。

　　2.确认现有控制，判断剩余风险

　　在充分鉴别风险的基础上，内部审计人员要测试被审计单位现有内部控制（或风险管理政策和程序）的健全性和有效性，以确定哪些风险在现有控制框架下无法地得到防范和控制，即确定剩余风险。

　　由于风险是绝对的，审计资源是有限的，而且风险也可能给企业创造新的机遇，所以需要对剩余风险进行判断。当某种风险不能避免或因敢冒风险可获厚利时，审计部门可以建议被审计单位选择风险保留，否则，应进一步确定剩余风险的程度。

　　确定风险程度时应注意：

　　（1）关注的指标应至少包括风险可能性、损失程度、损失频率。

　　（2）应从定性和定量两个角度进行。强调定性分析，是因为有些因素不能直接计量（如审计对象对职业道德与操守的恪守程度等），但对判断风险偏好十分重要。

　　对于定性分析的风险因素应尽量采用模糊矩阵测评法，进行量化和归一化处理，以便将剩余风险按照相同的口径由高到低排序，确定风险优先级。

　　3.设置报警准则，实现风险预警

　　为了使风险管理由被动转为主动，应该通过预警的方式，使决策者对未来风险有所察觉，在风险事件真正发生之前，即对风险的成因进行控制，阻止风险事件的发生或使发生以后的损失减到最低。预警本身也是企业思维方式的转变。

　　风险预警系统应该包含两个重要的内容：预警指标和临界点。预警指标是预先发现不测事态征兆的指标；临界点则是一触即发的时点。通常有以下几种预警模式：

　　(1)指标预警

　　指标预警是指根据预警指标数值的变动来发出不同程度警报。一般来说，对风险状况的预警界限可以用三个数值（称为检查值）来表述，以这三个检查值为界限，确定“双红旗”、“单红旗”、“黄旗”、“绿旗”四种信号，分别表示企业运行状态处于“危机状态”、“风险状态”、“亚风险状态”、“经营正常状态”。每当预警指标的变化超过检查值时，信号系统就会亮出相应的信号。如图2，设预警指标为X,则基本报警准则为：

　　图2 预警指标界限

　　当Xa≤X≤Xb时，绿旗（经营正常）；

　　当Xc≤X＜Xa或Xb＜X≤Xd时，黄旗（亚风险）；

　　当Xe≤X＜Xc或Xd＜X≤Xf时，单红旗（风险）

　　当X＜Xe或X＞Xf时，双红旗（危机）

　　三个检查值的确定需要分析企业的历史情况、行业水平以及企业目的，因此各个企业的检查值是不同的。

　　（2）因素预警

　　设某风险因素X为随机变量，且设P(x)为风险因素发生的概率，则：

　　当0≤P(x)＜Pa时，不发出警报；

　　当Pa≤P(x)＜Pb时，发出初等警报；

　　当P(x)≥Pb时，发出高等警报。

　　式中，Pa、Pb为风险分级标准，Pa＜Pb。

　　（3）综合预警

　　把诸多因素综合起来进行考虑，可以得出一种综合警报模式。以财务风险为例，综合预警的步骤为：

　　①选择具有代表性的财务指标

　　在选择指标时应注意以下几个问题：一是偿债能力指标、盈利能力指标、资产周转指标都应选到，不能集中在一类指标上。二是指标的选择应与最后的判断标准一致，即若考虑低值，则应选择以低值表示财务状况好的指标，反之，应选择以高值表示财务状况好的指标，三是应安排一些非财务指标，如新产品开发、职工技能水平，顾客满意度等。

　　②确定各项财务指标的标准值和标准评分值

　　标准值一般参照行业平均数或企业上年数确定，标准评分值应根据各指标的重要程度来确定。

　　③计算综合分值

　　综合分值计算公式为：

　　Ai:各指标标准评分值；ai:各指标标准值；

　　bi:各指标实际值。

　　④建立报警准则

　　当X≥100时，说明企业财务状况超过了行业平均水平或历史有关水平，企业财务状况比较好，不发出警报。

　　当X＜100时，说明企业财务状况比较差，需要发出警报。当然可以根据企业具体情况进行细分，如：当X0≤X＜100时，发出初级警报；当X＜X0时，发出高级警报。式中，100、X0为风险分级标准，X0＜100。

　　表1所显示的是某公司具有代表性的财务和非财务指标，根据上述步骤得出该公司的综合分值为108.18分，说明该企业的财务状况超过了行业平均水平或企业历史水平，情况较好，不发出警报。

　　表1 某公司财务状况综合分析

　　4.编制审计计划，优化资源配置

　　完善的风险审计计划，应该包括三个层次：年度审计计划、项目审计计划、审计方案。年度审计计划是配合长期和年度风险战略，对年度的风险审计任务所作的事先安排和规划，是企业年度工作计划的重要组成部分。年度审计计划应当具有一定的柔性（比如安排30%～40%的机动时间），以满足随时可能出现的战略需求。项目审计计划是对具体风险业务、项目或因素实施审计的全过程所做的综合安排。审计方案是指导现场审计达到审计目标的一套具体行动措施，一般包括从审计开始到结束的全部执行步骤。风险审计计划的上述三个层次应在可用审计资源上形成对接，以保证资源的最优配置。可用审计资源包括时间和人力资源两个方面。