审计风险评估的目的范文

近期，笔者参加了江西省审计厅组织的审计培训团，赴澳大利亚进行为期20天的政府绩效审计培训。培训期间，听取了维多利亚大学教师的讲课，学习了澳大利亚政府绩效审计理论、程序、方法等内容，了解了澳大利亚联邦审计总署和维多利亚州审计署工作情况和绩效审计开展情况，还听取了墨尔本大学审计部审计人员的审计工作介绍。此次培训取得了良好效果，不但开阔了眼界、拓宽了思路，对澳大利亚以审计风险管理水平为核心的政府绩效审计及其他审计有了一定的了解和认识。纵观澳大利亚覆盖整个经济社会严密的审计监督网络，对比我国发展现状，在如何优化审计环境、改进审计工作等方面感触颇深，笔者认为内、外部审计紧密结合共同搭建完善的风险评估和风险管理体系是当前提高我国审计效率的首要任务，现介绍如下，以供参考。

一澳大利亚与我国开展绩效审计现状对比

由内、外部审计共同健全的风险评估和风险管理体系是澳大利亚绩效审计的出发点和目标。根据审计主体的不同，澳大利亚绩效审计由内、外部审计共同构成，两者紧密结合共同搭建和不断优化该体系，同时澳大利亚广泛将风险导向审计模式运用至包括绩效审计在内的全部审计类别中，取得了引人注目的成绩。

澳大利亚联邦审计总署的职责是从整体的角度不断改善国家机关各职能部门的效率和责任心及理财能力，增强其财务管理和业务管理的可评估性。其明确了以风险评估计划为主要内容的可评估性为首要职责任务。而完整的风险评估计划也正是澳大利亚绩效审计的关键和出发点。其内、外部审计紧密结合共同实现和推进风险评估计划的可评估性。被审计单位首先须具备以专业领域或管理范围风险管理为重点内容的详细风险分析和风险防范计划，及其详细的风险管理的内审报告，从而政府审计人员才能完成对被审单位风险管理水平进行预评估的首要审计工作环节。

澳大利亚政府机构、企业普遍建立和实行了以风险评估和风险管理体系为核心的内部审计制度。审计部门通过政府各部门的内审员，建立风险评估计划制度，并且其风险评估计划需经审计部门进行备案。澳大利亚《公司法》规定，上市公司要设立审计委员会，对公司进行风险管理和控制。其他企业内部审计师也是通过风险管理审计监督企业内部控制运行，从而改善企业管理和运营，由此审计部门实现风险评估数据积累的不断优化。澳大利亚是一个法制比较健全的国家，审计地位较高，信誉较强，方法科学，技术先进，在国民经济运行中发挥着重要的作用。

而目前我国政府和企业尚没有建立全面风险管理体系。对于建立企业全面风险管理机制以防范重大事件造成的损失，近几年国务院国资委已在逐步推进，2006年制定颁发了《中央企业全面风险管理指引》，在央企及所属上市公司内全面推进全面风险管理建设工作。2007年在几家大型国有中央企业进行试点操作后，2008年已将此项工作推进到全国国有中央企业和部分地方企业。但实际上，许多企业还没有建立完整的风险管理体系或开展全面风险管理工作。

二澳大利亚绩效审计的成功经验和主要做法

（一）广泛运用先进的理念和方法保障准确、高效的风险评估体系在实践中发挥实质作用。

从审计内容上看，澳大利亚风险导向性内部审计已较早走出单纯财务收支审计圈子，步入以内部控制和风险管理为主要内容的现代审计。风险评估是绩效审计的基础和出发点，绩效审计的审计人员与被审单位对风险评估结果达成共识成为审计成败的关键。其他审计分类中，风险评估体系也成为工作中的主导条件，如：风险评估是财务审计准备的要点，审计重点必须根据风险评估得出，结论应该包括财务风险评估报告和风险管理计划，从而不断对其进行优化；政府重大项目审计的重点是该项目风险管理计划的落实，审计所发现的问题将被列入新的风险管理范围等。

1.建立以风险评估和风险管理为核心的内部审计成为全体公务员和管理人员的共识。

在澳大利亚，审计部门通过政府各部门的内审员，建立风险评估计划制度。无论是政府部门还是公司都认为，在当前复杂的经济环境下是不能没有以风险评估和风险管理为核心的内部审计的。内审人员工作的角色越来越多元化，从监控向风险管理顾问方向发展。内部审计目前已从查错纠弊发展到更细致的工作，从着重财务审计扩展到人力资源、市场运作审计等，并将重点转移到上述审计领域。一些内审机构，如昆士兰州自然资源及矿产部非常注重“全部审计、突出重点”，在不断完善组织风险管理机制的基础上，尝试采用问卷方式向被审计对象了解情况，或让其进行自我审计，审计人员则重点关注风险较大的问题，从而在人力资源有限的条件下扩大了审计的范围，取得了明显的成效。

2.风险评估和风险管理体系控制严格且健全。在澳大利亚，每个企业都必须进行风险评估，尤其是安全生产方面的风险评估更占有举足轻重的地位，没有进行风险评估的生产就不可能获得批准。我国一些企业也在开展风险评估，但相比而言比较粗浅。

澳大利亚风险评估的构成要素主要为：

（1）风险等级：一般分为五个等级。造成的危害，需要调用的资源，产生的影响；

（2）风险概率：可能出现的时间频率，也分为五个等级；

（3）风险的预防性和可防范性、可控制性；

（4）防范风险需要的资金和资源配置；

（5）不断改进风险管理；

（6）风险评估和风险管理计划。风险评估计划应该包括：所有可能风险的名称、等级、概率、，防范措施、负责人员、资金资源配置、可防范等级。并在运用中严格落实风险管理的责任制原则。

3.广泛运用先进的风险评估及管理的方法和技术。澳大利亚的风险评估除了非常注重风险评估计划的细、量化及对风险评估的要素、步骤、计划、模式都有具体的统一规定外，还建立了合理的预警指标，有效评估企业的风险。评估后采取的措施也更具针对性。其风险评估的模式分为：静态模式/动态模式；封闭模式/开放模式；一般性评估模式/量化评估模式；不定因素对评估模式的影响；短期评估模式/长期评估模式。评估模式的多样化与适用性决定了审计部门需确定建立适合本地区、本行业的评估模式。

（二）高素质、综合性内部审计人才的参与进一步维护风险评估管理体系的科学、高效标准。

澳大利亚各级政府除加强对全体相关人员的风险管理教育培训外，更注重高素质、综合审计人才的培养。国际注册内部审计师（英文缩写CIA）资格在澳大利亚比较流行，越来越多有志于内审工作的人员报名参加CIA考试。它包括以下几个方面：一是聘请的内部审计师要具备与职业要求相符的专业资格，如CPA和CIA，具有CIA资格的审计师特别受到重视；二是审计中，审计师要严格执行国际内部审计师协会（英文缩写IIA）制定的内部审计标准，并接受审计主管的复核检查；三是建立了审计人员专业评估机制，定期对内审人员进行专业评估和培训；四是内审委员会要求审计人员定期提交工作报告并随时与审计人员进行谈话；五是审计委员会规定了完整的内审程序和措施。主要是：审计工作计划必须得到审计委员会的批准；审计主管不断审核并复查计划的执行；审计主管必须对审计报告进行全面审查和签署；审计工作结束后，抽查审计报告并进行详细的复查；与被审计单位保持经常、畅通的联系，以保证他们向审计主管提出改进工作的意见。

（三）内审协会发挥的积极推动效力促进风险评估管理体系功效的高水平发挥。

澳大利亚内审协会成立于1952年，有2000多名会员，分别来自澳大利亚的公有或私有机构。协会的董事会由7位从各州选举的主席构成，协会建立了与各内审机构负责人联系的网络，有自己的网站，方便与内审人员的沟通和交流。内审协会的主要工作是为内部审计执业者、执行管理者、董事会和内审委员会提供各种规范的标准、指导和信息服务，包括：内审政策的制定，及时更新审计实务标准，提供更新知识的服务，保证内审专业水准不断提高。协会的主要作用是制定、检查审计标准执行，组织开展交流，推广先进经验，培训审计人员，促进内审工作职能的发挥。

三对我国建立完善的风险评估和风险管理体系的启示及建议

（一）立法建立相关的法律、法规依据。首先，在认真借鉴先进国家成功实例的基础上，总结已推行过程中取得的经验，制定比较系统、操作性较强的风险评估和风险管理准则。鉴于绩效审计具体情况比较复杂，应分门别类制定出具有各个行业特点的准则。其次，建立一套科学可行的指标评价体系也是开展风险评估管理体系的必要措施之一，并对其进行科学的细化和量化。风险评估的过程主要是风险辨识、风险分析和风险评价。应根据各种风险的分类，进一步细化，得出可能存在的风险之后，运用特定的风险评估方法，根据各种风险发生的可能性及影响程度，决定控制程度和策略。

（二）加强内、外部审计的联系，转变外部审计的最终目标。外部审计与内部审计相互合作，互为补充，是当代审计的一大特点。澳大利亚的成功经验告诉我们：政府审计独立性强，层次高，权威性强，但人力有限；民间的事务所审计，用人机制灵活，可以根据工作需要随时聘请所需专业技术人员，但受费用和时间限制，二者共同的弱点是对被审计单位内部情况不够熟悉；而内部审计熟悉被审计单位情况，但业务力量和权威性较弱，为了建立完善的风险评估和风险管理体系、综合使用审计资源，三者之间应通力合作，优势互补，并将外部审计的最终目标统一到对风险评估结果达成共识这一共同点上来，以提高被审计单位的风险管理水平。

（三）建立功能强大的信息库，存储与被审计单位相关的众多信息。建立完善的风险评估和风险管理体系所需的信息将面临着严重不足。其体系的建立使得审计重心前移，在实际的审计工作中需要先执行风险评估程序，对审计对象整体的经营管理环境进行充分的了解，再针对风险不同的审计对象以及同一对象不同的风险领域，制定出个性化的审计程序。必须获取足够多的信息，才能在风险评估时真正了解审计对象的战略、流程、风险管理、业绩等基本情况，最终做出恰当的职业判断。由此可见，为了实现审计目标，保证审计活动的顺利进行，审计部门必须建立功能强大的信息库，存储与被审计单位相关的众多信息。

（四）必须建立和提高全社会对风险评估和风险管理体系重要性的认识，使风险评估和风险管理成为全体公务员和管理人员的共识，同时要提高相关的业务水平与技能。不仅可以利用多种渠道广泛宣传，比如专业刊物、研讨会和论坛、业务会议等，还要积极广泛地组织风险管理的教育和培训，提高风险防范意识，建立健全风险评估和风险管理计划，整体提高管理水平。

（五）加强培训，建立一支高水平、高素质、综合型审计人员队伍。开展风险评估和风险管理要求审计人员在通晓会计审计税收以及相关法律知识的同时，也要具备管理学、统计学、人力资源管理等学科的知识，对审计人员的学识经验思维能力都提出了更高的要求。加强审计队伍建设，一方面要对现有审计人员进行培训，全面提高综合素质；另一方面也要相应引进管理、统计工程等方面专业人才充实审计队伍，优化审计人员结构。同时，应大力加强计算机应用水平。澳大利亚各行业计算机应用水平较高，因此审计的技术手段主要是运用审计软件，实行计算机审计。审计人员凭借审计软件，通过网络进行数据采集、原始资料分析处理、风险评估等工作，使审计效率得到大幅提高。

审计风险评估的目的范文

风险导向审计就是组织的内部审计机构和内部审计人员，根据企业风险管理方针和政策，采用系统化、规范化的方法，测试组织风险管理系统、各业务循环及相关部门在风险识别、分析、评价、管理及处理等方面的活动内容，对组织的风险管理、控制及监督过程进行审查、评价和预警，进而提高过程的效率，帮助组织目标实现。

风险是指对目标实现产生影响的可能性，是将后果与可能性进行评判、衡量的。把风险控制在组织可以接受的水平之下是组织目标实现的一个必备条件。为了减少、规避、控制风险，组织管理层必须采用一系列健全、有效的风险管理程序。内部审计机构和内部审计人员通过检查、评价、报告风险管理过程的充分性和有效性并提出改进建议来协助组织管理层的工作。也就是说，风险导向审计的目标是内部审计机构和内部审计人员按照组织风险管理方针和策略的部署，以风险管理目标为标准，审查和评价被审计部门、单位在风险识别、评价、管理等方面的合理性、适当性和有效性，并提出改进建议。很明显，风险导向审计的承担者是内部审计机构和内部审计人员，开展风险导向审计必然对内部审计机构和内部审计人员提出要求，内部审计组织方式、人员能力和素质达到要求，是开展风险导向审计主要条件，也只有内部审计组织方式、人员能力和素质达到要求，开展风险导向审计才有了保证。

二、风险导向审计的特点

风险导向审计是一种新型的、多维的审计模式，它以审计风险理论作为理论基础，在审计全过程的各个阶段都利用审计风险模型，对各种审计风险进行全面的、动态的分析与控制，并以此为基础恰当地计划和指导审计工作，从而高效率、低风险地完成全部审计任务，达到设定的审计目标。

（一）审计重心前移，从以审计测试为中心到以风险评估为中心。传统审计的风险评估不到位，未能有效发现高风险审计领域；由于加强了风险评估程序，真正体现了风险导向审计的理念。

（二）风险评估重心由控制风险向综合风险转移。控制风险的高低主要与重大错报和员工舞弊有关；而管理层舞弊主要与重大错报的管理层舞弊有关。审计人员重点是发现管理层舞弊，评估重点是包括固有风险和初步控制风险的综合风险。

（三）风险评估由直接评估变为间接评估。传统风险评估是直接评估重大错报的概率。现代风险评估是从经营风险评估入手，基于如下考虑：一是持续经营，二是经营风险对审计风险的影响，三是从经营风险中能更有效发现财务报表潜在的重大错报，四是会计政策、会计估计合理性评估只有从经营风险入手，才能进行正确的评估。经营分析过程实际上是发现问题的过程，从经营风险入手进行经营分析，容易将审计拓展为咨询。

（四）风险评估零散走向结构化风险分析结构化最大的好处是考虑了多方面的风险因素，这些因素有机联系在一起，便于作综合风险评估。

（五）风险评估以分析性复核为中心，尽管风险评估包括检查、调查、询问等多种审计取证手法，但核心是分析性复核的运用。传统风险导向审计对于信息的再加工重视程度不够。分析性复核主要适用在报表分析上。现代风险评估以分析为中心，分析性复核成为最重要的程序。为了适应分析性复核功能扩大的要求，分析性复核开始走向多样化，不再是仅对财务数据进行分析，对非财务数据也进行分析。分析工具充分借鉴现代管理方法，将管理方法运用到分析性程序中去。

（六）审计人员专业知识重心转移现代风险导向审计对审计人员素质提出更高的要求，必须接受专业知识培训，不断提高专业技术水平和业务素质。

三、风险导向审计在我国企业应用中存在的问题

风险导向审计以审计风险的分析评估作为制订审计计划、执行审计程序、发表审计意见的基础，从而全面地把握审计重点，提高审计效率与质量。

目前，风险导向审计已在国外的独立审计工作中得到应用，同时也引起了我国理论界的广泛探讨。许多人认为在我国开展风险导向审计，可以达到降低审计风险和提高审计效率的目的。但我认为，风险导向审计本身还存在许多缺陷，另外，我国目前的经济法律环境也使风险导向审计模式在我国的应用出现新的问题。下面将从几方面分析风险导向审计的内部缺陷及其在我国企业应用中存在的问题。

（一）我国企业内部控制比较薄弱。

如果一个企业的内部控制薄弱，在这种条件下要求注册会计师出具内部控制审计报告，就会存在很大的困难，进行操作时也遇到重重阻力。同时，我国对于内部控制的完整性、合理性及有效性缺乏一个公认的标准体系，财政部的《内部会计控制基本规范》的诸多内容是非常原则性的，相当于财务会计概念框架的层次。

（二）缺乏专门的审计理论和比较标准。

风险导向审计的应用，要求内审人员通过了解测试，形成对被审计单位经营风险、财务风险整体评价。在此基础上，确认发生重大错报可能的领域与方向，评估预期的审计风险水平。然而，我国目前还没有专门的理论框架或指南为确定期望的审计风险提供科学的依据，因此，内审人员很难对审计风险进行合理恰当的估测；另一方面，风险导向审计还没有一套比较标准、规范的审计方法，内审人员因而没有统一的评价标准和审计线索实施审计。所以风险导向审计的正常实施效果会大打折扣。

（三）缺乏综合素质高的内审人员。

风险导向审计要求审计人员对企业的业务、市场状况管理层，甚至企业所处行业整体的经营状况和市场状况等因素都要有比较清楚的了解。因此，审计人员不仅要有丰富的执业经验，还要有广博的行业知识，对所处行业的总体情况了如指掌，才能对被审计单位的行业风险和经营风险情况做出正确的评价。

四、针对风险导向审计在我国企业应用中存在的问题应采取的应对对策

如前所述，风险导向审计在我国企业应用中大体有三个方面的难点：内部控制、审计准则、审计人员的职业能力。因此在运用好新准则的基础上大力推广风险导向审计，应从以下几个方面入手：

（一）建立健全企业内控机制。

一个企业内部控制的好坏，与注册会计师审计风险的高低直接相关。从经济学角度讲，会计舞弊的实际实施者是企业的实际控制者――经理人。当前公司治理结构及内部控制制度的不完善和经理人信息控制权的存在，客观上妨碍了现代风险导向审计的运用。为适应充满风险的审计环境，现代风险导向审计特别强调审计战略，要求制定适合于每个被审计单位具体情况的审计计划。能否正常实施现代风险导向审计特别强调审计战略，要求制定适合于每个被审计单位具体情况的审计计划。能否正常实施现代风险导向审计并收到预期效果，通常取决于被审计单位的管理制度是否健全，内控是否有效等。从我国目前的状况来看，现代风险导向审计模型只有理论知识而缺乏实践经验，因此在审计技术方面还不够成熟，在某种程度上仍依赖于被审计单位的内部控制制度。

因此，应从建立健全企业内部控制机制的设计、运行、评价、改进四个环节建立与完善企业内部控制机制，强调高级领导层的控制责任，关注对全部风险的评估，重视日常控制活动，抓住内部审计监督评价环节，才能不断提高企业会计信息质量，推动风险导向审计的运用。

（二）建立完善的审计法律法规。

现代风险导向审计作为一门经济技术要想发挥其应有的经济功效，必须依赖一个良好的外部环境和相应的制度安排。研究表明通过一定的制度安排来加大审计人员的法律责任对于抑制会计信息失真的现象而言，其长期性政策效应优于加重对提供虚假会计信息的企业的处罚，因此完善法制环境有利于审计人员做出正确选择，是在我国推行现代风险导向审计必不可少的措施。

（三）提高审计人员的综合能力。

第一，树立全面、系统的风险导向审计意识。风险导向内部审计要求审计人员不仅对控制风险进行评价，而且要对产生审计风险的各个环节进行评价。但是，风险导向审计的运用不是孤立的，在审计实务中，内部审计人员要树立风险导向意识，将风险导向审计与制度基础审计、账项基础审计结合起来运用。即在风险导向审计观念下，客观评价被审计单位外部环境、内部控制制度，发现会计报表发生重大错报风险，对评价出的高风险领域，实施详细的账项审计，可有效地控制风险，节约审计成本。

第二，持续提升学习能力。内部审计人员要熟悉企业的目标、战略和计划，了解经营管理的各项职能，具有评估风险的能力，只有这样才能为企业的董事会和高级管理层提供他们所需的服务。内部审计人员必须具有广博的知识和多元化的技能。内部审计人员要实现专业知识重心转移，即以会计、审计知识为中心转向管理知识、行业知识为中心，包括行业生产经营特点、经济技术指标及行业政策，企业的经营战略、经营环境、经营风险等等。

第三，加强沟通，系统整合，形成全力。内部审计机构中增加非会计专业的人员，以组成有各方面综合能力的内部审计项目组；同时要注意对现有的内部审计人员进行培训，使其增加管理、法律、金融、工程、技术和信息等多方面的知识，可行的方法是让内部审计人员在企业内部各个不同的职能部门轮岗实习，熟悉各项具体业务流程。此外，内部审计机构也要实行知识价值链管理，融合审计资源，成立内部审计机构的专业顾问团队或者与相关部门结成虚拟团队，为企业提供咨询服务。

审计风险评估的目的范文篇3

（深圳供电局有限公司广东深圳518000）

摘要：由于体制层面的阻碍和技术层面的复杂性，造成内部审计工作中立项环节决策科学性不足。本文剖析当前国有企业内部审计立项的现状和困难，并以电网企业内部审计工作为例，从内审的目标定位从发，以风险管控为导向，探讨如何构建一套基于多个维度分析的立项评估模型。

关键词：立项决策、风险资金量、内控信用等级、二维度评估矩阵、选项风险

中图分类号：TM73文献标志码：A文章编号：1000-8772（2014）31-0144-04

收稿日期：2014-10-22

作者简介：梁学良（1956-）男，广东电白人、硕士、工程师。研究方向：企业管理。

一、研究背景

在内部审计工作中，对于审计对象的确立，许多企业并没有遵循一套严格的决策程序。以国有企业为例，审计部门根据领导人员任免情况开展经济责任审计，或者按照上级相关部门专项治理的要求开展审计，在完成了这些规定动作之后，真正基于本企业实际情况和审计原则进行分析，作出审计决策的空间很小，这种非审计部门主导的外源型的立项方式，往往造成了审计部门选择审计对象的科学性欠佳，审计监督缺乏一个统筹和规划，也导致了现实工作中审计重复和审计遗漏并存，甚至存在盲目性，无法实现对企业经营风险的全面有效覆盖。而在这一种外源型立项占主导的机制下，内审部门对于审计立项环节的重视程度、决策主动性也被削弱，审计立项渐渐成为审计技术层面的一个软肋，审计决策多为“拍脑袋式”。这与审计工作科学性、严谨性的本质不相符。对于企业内审部门，科学地立项是迈向审计工作成功的第一步，也是非常关键的一步，随着内审在企业中服务型的职能定位日益明确，如何运用有一种科学合理的立项方式，替代当前的外源型和粗放型的立项模式，确保审计对企业经济风险的全面有效覆盖，是内审发展中亟须解决的问题。

二、评估立项中遇到的问题与难点

事实上，许多企业都在作科学立项的探索，但除了上述所讲的体制上的掣肘之外，在技术层面也同样都遇到了一些阻碍。审计立项决策中通常都会面临着以下几方面的困难：

（一）以经验判断代替客观的风险分析

有经验的审计人员习惯于按照以往的审计经验，以问题为导向，判断一个企业内部的风险高发地，以此作为立项的依据。例如，企业中与资金打交道多的部门：工程部门、采购部门、营销部门、财务部门往往被视作重点检查对象，其他的部门则容易被忽略。以经验代替客观的分析，带来的结果是：经常被审计的部门，难免经常被查出问题，假如审计人员在以后的立项决策中借鉴了这种经验结论，依然是重点检查这些部门，越查越发觉问题越多，越发觉问题多越查；而相反，对于那些以往就不被关注的部门，则是越少查问题越少，而后更加被忽略，如此不良地循环。事实上，经营风险的无所不在的，作为内审机构，尤其是国有企业的内审部门，担当保障国有资产安全的重要职责，企业中的任何一个主体，只有赋予了资金管理和资产运营的授权，无论多与少，都应该纳入审计范围，适当地进行审计。

（二）被审对象的多样性造成标准难以统一

企业内部的机构中，有职能管理类的部门、生产管理类部门、基层业务类部门。以电网企业为例，就包括了行政管理类部门、业务管理类部门、基层生产部门、下级基层单位。各部门的业务、职责各不相同，而选项时选择什么样的指标进行评估，能够引导正确的方向并具有广泛的代表性，是选项决策中首先面临的问题。

（三）缺乏量化的指标

选择评估指标时会面临的另外一个问题就是标准的量化。随着内控理念和方法的深入运用，在评估中大多都会以一个单位内部控制的完善性作为参考标准。内控水平是一个具有代表性的指标，与内审防控风险的目标高度一致，但内部控制内涵甚广，几乎涉及企业经营管理的方方面面，要评估内控有效性并不简单。而事实上，内部控制有效性本身也缺乏相应的量化评价标准，国家五部委联合颁布的《企业内控基本规范》大多以定性的描述为主，企业在承接落地中进行量化并取得成功的经验也不多。通过评估内控风险高低来作为审计决策的支撑，必须先找到可以量化风险的指标，这始终是一个难点。

（四）理念与实际脱节，评估立项的实操性不强。

评估选项面临的最后一个问题是，即便设置了一套具有代表性，又能量化的标准，但如果这些标准只是从评估的理论层面出发，没有充分结合企业实际的话，到头来会发现这套评估的方法难以实操运用，因为许多原先设定的理想数据在现实中都无法取得。

三、基于审计目标的多维度评估立项模型构建

实际工作中的困难激发我们对该领域的探索，要做到科学合理的立项，规避审计风险，必须有一套完善的立项模型作为支撑。接下来我们以电网企业内部审计为研究基础，探索该模型的建设。通过模型的构建，要着重解决立项的科学性问题，同时还须有效应对上述立项中的四方面困难。本课题研究的立项评估模型，是指通过一系列的较为客观的风险评估，确定被审对象的风险等级，再结合选项的一些基本原则，为审计项目的确立提供依据和参考。立项评估模型也是审计项目规划的基础。

（一）审计目标

风险导向是引领审计的一个主要方向，内部审计必须关注企业的风险，哪里有风险，哪里就要检查覆盖。而国有企业内部的风险存在于不同领域，例如：经济效益风险、安全生产风险、廉洁风险、舆论风险、法律风险、管理效能风险等等。全面风险管理强调面面俱到，而审计并不是全能的，内审部门需要紧紧抓住自身的职能定位，有重点，才能不超越职权，称职地履行好义务。因此，关注怎样的风险，选择怎样的审计对象，需要回到内部审计的基本职责这个话题。

《国际内部审计实务标准》关于内部审计的宗旨、权力和职责的说明中提到：“对公司的工作进行全面审计是有困难的，内部审计机构在制定审计计划时，应征求总裁、审计委员会和其他管理部门的意见后，根据风险大小确定审计的重点和先后次序。考虑的风险包括：不良的财务或业务形式；违背公司政策、计划、程序或法律要求的行为；财产损毁；浪费或低效；未实现事先确立的目标”。从以上关注点可以看出，内审所关注的风险应当以经济领域的合规、安全和效益风险为主。而作为央企的内审部门，重中之重，是要定位在保障企业受托的国有资产的安全和效益上，以及国有资金使用的合规性上。因此，国有资金运作、国有资产管理中的风险是审计的首要关注，审计选项，最先就要考虑在哪些领域，这类风险突出，也就是经济活动的活跃程度。因此，审计选项的评估，最重要是评估被审对象经济活动的风险。

（二）风险评估的理论依据

企业内部控制体系中，关于“固有风险”和“剩余风险”的理论认为，一个企业（或主体）由于自身参与的经营活动，必然存在各类风险，这些风险是与经营活动并存的，是不可避免的，这就是固有风险。而企业可以通过采取一系列措施，通过规避、转移、降低的方式去降低风险发生的概率和风险发生带来的影响，将风险控制在可承受的范围，这就是内部控制活动。通过有效的控制活动，一些风险得到了局部控制，但并非绝对控制，除此之外，采取控制措施后仍然存在的风险，就是“剩余风险”。作为内审部门，对于已经在制度流程体系中严格受控的风险，可不必过份关注，需要优先关注的是那些仍然未能有效控制的“剩余风险”。也就是实际存在的隐患点。

这一理论运用到选项决策中，就是说，选择被审对象时，除了要考虑其各项业务活动的风险高低，也就是“固有风险”；同时还要考虑这个活动主体的内部控制水平，也就是有效控制的程度。因为只有剔除了有效控制的“固有风险”，才是容易使风险演变成问题或损失的“剩余风险”。评估中只有均衡考虑“固有风险”和“控制能力”两个要素，才能推导出审计最需要关注的“剩余风险”，审计如何选项取决于被审单位“剩余风险”的高低。

举个例子，电网企业中，若要说经济活动的风险，那么，电费收费业务涉及资金量最大，收费部门固有的风险最高，但实际上，由于收费流程的管控严密，电子化控制程度高，出现人工出错和人为舞弊的可能性很小。因此，审计在选择检查对象时，这类型的部门“剩余风险”较低，并非检查的重点。

（三）多维度评价

通过上述分析，可以得出以下结论：对被审单位风险的评估主要考虑两个方面：一是各项业务活动的风险高低；二是活动主体的内部控制水平。关于业务风险高低的评估，在前面的分析中已明确了，从审计的目标出发，在企业内部全面风险体系的众多的风险中，按照国有企业审计的职能定位，以经济业务为关注对象，围绕企业资金流向作为审计监督主线，评估业务活动风险高低最为合适的指标，就是“经济活动的资金量”。关于内控水平的评估依据：通过考虑各活动主体（以各部门为单位）业务的固有风险点的情况（内部控制的难易程度），以及内部控制的实际效果（历史出现问题的记录）两个方面，综合评估其对风险的主观控制能力。以上两方面评估依据转化为相应的评估维度，也就确立了审计对各部门（单位）经济活动的风险评估包括两个维度，分别是：①风险资金量；②内控水平等级。

1.风险资金量维度的评估

“风险资金量”是指考虑了资金风险的资金量，他既反映了资金量的大小，同时也反映了资金运作的风险高低。是经过风险修正后的资金量。

对风险资金量的评估，首先需要分析公司的经济活动链条。以电网企业为例，经济活动大体上划分为以下环节：一是收入环节。主要是公司内部的业务收入，该环节影响资金流入，收入环节的风险有跑冒滴漏、收款资金管理、截留、少计收入等方面。二是流转环节，包括公司资金管理、投资活动、融资筹资，流转环节的风险主要是资金风险。三是开支环节。指公司内部的维持正常运转的各项费用开支、保障发展需要的资本性投入。开支环节的风险有虚列不实开支、程序违法违规、资金挪用、无效益的投入、外部违约、权利滥用等，开支环节是对国有资金的支配使用，是风险的集中领域。

其次是活动主体分析，对象是实施各环节经济业务的各个部门（单位），企业经济活动的各环节分别对应于不同的主体。例如收入环节涉及各个收费部门，流转环节主要涉及财务部门，开支环节则涉及所有的部门（单位）。每个部门（单位）的资金活动由该部门所涉及的收入环节活动、流转环节活动、开支环节活动共同构成。

再次，还要考虑各种环节资金量的性质差异。由于收入、流转、开支是三种不同性质的资金活动，风险的高低水平不同，在量化为同一标准进行评估时，须配以相应的权重反映各环节的资金活动的风险差异。评估中，可以按照经济业务控制环节越严格，出错概率越低，风险权重相应越低为原则。根据公司历年审计发现的三个环节出现问题的占比，评定三个环节的权重，出现问题高的环节，评定的权重相应就高，代表该环节的风险高。

比如：如果历史数据表明，收入环节权重是5%，开支环节权重是85%，说明1亿元的营业收入流程，和1亿元的项目开支流程，同样资金的绝对值，相对风险评估中的意义是不同，在评估中，这1个亿的项目开支的权重要大得多。

以上三个步骤确立了风险资金量维度的评估公式：一个部门的风险资金量=收入环节风险资金量×权重+流转环节风险资金量×权重+开支环节风险资金量×权重。

三个环节权重确定之后，需要分别评估各部门在每个环节的风险资金量。在这里以开支环节为例，研究开支风险资金量的测算。开支环节反映了各部门对经济资源的支配权。那么由于不同类型开支的管理流程差异较大，因此除了考虑资金量大小，还需考虑开支流程的规范程度，不同的开支类型的资金使用风险不一，需要确定不同的风险系数。例如：项目开支金额动辄上千万，但流程长，审批环节多，因而风险系数低；费用性开支虽然金额小，但流程相对简单，审批环节少，因而风险系数高。

风险系数通过以下程序测定。任何一类开支，流程越长，风险控制越严格，假定完整的流程包含以下环节：1.对开支进行了可行性研究；2.有透明的取费标准；3.经过招标采购（招标）4.签订有效的合同（合同）5.实施履约过程的监控（监控）6.经过结算环节（结算）7.经过交付验收环节（验收）8.提交了可评估测量的交付品（交付物）9.经过决算审核环节（决算）10.采用最小风险的付款方式（付款）11.对开支效果进行了后评价（后评价）。根据不同类型开支是否具备以上环节，以及严密程度，为对各环节进行评分。评分可以采用专家组打分法，也可以采用历史数据分析法等等。各环节评分越高，代表风险系数越高。例如，某一类开支，它的取费是有定额标准的，评1分，有类似行业标准的，评2分，若无标准，则评4分；某一类开支，有公开招标，评1分。实施了非招标采购，评2分，零星采购的，评4分，等等。

2.内控能力维度的评估

有的被审单位会提出，他们部门的经济业务多，风险点多，即便采取了大量控制措施，出现问题的数量还远远比一些业务简单的部门多。要评估企业各主体的内控能力，需要考虑这一点，为了确保实际评估中的客观公平，风险控制能力维度的评估，一是要考虑一个部门风险点的多寡（控制难度的高低），二是要考虑一个部门过往内控情况（出现问题的情况）。评估的结果用以反映一个部门对风险的主观控制能力。

部门业务的固有风险低，说明控制难度小，假如发生问题多，说明其控制能力弱，对其风险管控能力不可以信任。反之，部门业务的固有风险高，说明控制难度大；假如历史发生问题少，说明其控制能力强，对其风险管控能力可以信任。将控制能力的评估结果以控制水平“信用等级”来表示，比如，可以根据企业内部各单位的内控水平的差距大小，由高到低授予AAA级、AA级、A级、BBB级、BB级……。

内控信用等级的评价可以设置两类指标，包括“关键评价指标”和“辅助评价指标”，其中“关键评价指标”是基础指标，“辅助评价指标”主要起到高压线指标的作用，只有在特定情况下发生作用。两类指标最终按照孰低为原则，套用信用等级低的一项。评估中可以将“内控失效率”作为关键评价指标。“内控失效率”相对于“内控实现率”而言，计算方法是：“历次审计发现问题数量级”与“部门业务风险点数量级”之比。他能够满足对不同控制难度部门进行比较的要求，整体反映一个部门对风险的主观控制能力。

有些单位的问题由于与资金关系密切，特别是对于出现违规资金、损失浪费的情况，需要引起特别重视，因此，可以考虑设置辅助指标反映这一特点，比如设置“问题资金率”作为辅助评价指标，“问题资金率”反映一个部门运作资金中出现问题的比例。计算公式为：“历史问题涉及资金量”与“部门风险资金量”之比。设置“问题资金率”作为辅助评价指标，主要因为并非所有单位的问题都涉及资金，对出现问题资金的单位，这个指标能够起到高压线的作用。

当然，在实际评估中，还需要考虑具体情况设置一些调节变量，比如：为区别不同性质问题的严重程度，可根据问题性质对基数进行调节；为平衡各被审单位历年审计频率不一造成的问题数量不均衡的情况，可以按各部门历年审计的频率（与问题相匹配）对问题数量进行平均，并可对历年审计少涉及和未涉及的部门直接套用一个保留意见等级；对于统计期间内存在严重内控问题的部门，可以采用在最终结果上降级的方式。

3.构建评估矩阵

在两个维度分别评估完成后。紧接着就是要构建由“风险资金量级”、“内控信用等级”构成的二维度评估矩阵。

矩阵按风险与内控比对原则构建：部门风险资金量级越高、内控授信等级越低，代表其风险等级越高。反之，部门风险资金量级越低、内控授信等级越高，代表其风险等级越低。

评估矩阵的纵坐标代表“风险资金量级”。风险资金量级按照评估得出的各部门风险资金量高低排序，并按集中程度划分区间，同一区间对应相同量级，风险资金量提升到一定程度，对应量级相应提升，体现从量变到质变的过程。评估矩阵的横坐标代表AAA级、AA级等由高到低的多个信用等级。

（四）审计选项

通过上述风险评估得出的部门风险等级代表了各部门风险的高低，而对于审计选项而言，还需结合审计的实际需要选项，规避审计选项中的其他风险，统称为“选项风险”。选项中需要考虑的“选项风险”主要有以下三个方面。

一是遗漏或过度审计风险。指若直接运用风险评估结果进行选项，将导致对高风险部门重复审计，造成过度审计，低风险部门长期被忽略，造成审计遗漏和盲区，最终未能有效利用审计资源，无法全面覆盖风险点。二是审计频率风险。指审计的时间间隔过长，可能导致问题长久积累未被及时发现，风险隐患大；时间间隔过短，则可能导致频率过高，审计数量过多，审计质量和深度无法得到保障。在运用风险评估结果进行选项时，需综合考虑时间间隔和审计部门的审计能力，确定合理的审计频率，防止审计风险。三是环境变化风险。指审计在基于部门风险评估的同时，审计关注点还需结合企业内、外部环境变化而及时做出调整，才能更好地为组织服务。

（五）模型的延伸运用

模型在评估选项的同时，对入选年度被审计的部门，可进行相应的分析，指导具体审计工作的开展。比如通过敏感性分析来确定审计重点。运用选项模型作敏感性分析，指的是在评估过程所引用的众多参数变量中，查找构成一个部门入选项目的关键参数，以指导审计检查的重点。关键参数反映了一个部门的风险所在，不同的关键参数，对应于不同的审计关注点。

四、研究结论

审计的科学决策基于科学合理的评估立项，企业内部有着不同的风险评估，审计部门要做立项评估，不应该直接采用其他专业评估的结论，需要基于审计的根本目标，构建一套符合审计需要、能够正确指引审计方向的评估方法。构建审计立项评估模型，可以从审计的角度评估各部门（单位）的（下转151页）（上接146页）风险等级；可以指导年度的被审对象的选择，确立全年审计项目的安排；可以系统地规划未来几年审计工作计划，规避跨年间的审计项目规划性不足的风险；可以揭示风险所在，引导审计检查的重点。

同时，评估模型不是一蹴而就，在运用中，评估模型的标准需要不断修正；评估的维度和指标还可以不断细化，评估的取数还会随着基础数据的完善，趋向更为科学和合理，评估模型的质量需要在实际审计工作中加以检验。评估过程是一个从模糊到精确再到模糊的过程，最终揭示的是各部门大体的风险级别和特征，为审计计划的确立提供科学的依据，使审计监督更具有说服力。

参考文献：

[1]《国际内部审计专业实务框架》.国际内部审计师协会

[2]《企业内部控制基本规范讲解》.财政部会计司.中国市场出版社.2008.

[3]陈关亭、黄小琳、章甜.《基于风险管理框架的内部控制评价模型及应用》.中国审计.2013（14）

[4]孙坤《内部审计与内部控制体系建设理论研讨综述》.中国内部审计2010（10）