风险导向内部审计基本理论及程序构建.doc

DOC格式论文，方便您的复制修改删减风险导向内部审计基本理论及程序构建（作者:_单位: _邮编: _） 【摘要】 风险导向内部审计是审计领域发展的最前沿，已在发达国家企业的内部审计实践中普遍应用。本文介绍了内部审计发展历程、涵义特点，探讨了风险导向内部审计的基本理论，提出了风险导向内部审计的实施程序。 【关键词】 风险导向；内部审计；风险管理 20世纪90年代起，人类社会迈向信息时代，社会环境也呈现出多样化和多变性，企业生存的环境越来越复杂，相应地，其面临的风险也越来越大。传统的内部审计都只是片面地关注企业经营过程中的某一个方面，都没有与企业目标发生直接的联系，没有关注企业经营过程中面临的风险，以至于达不到企业提高经营管理水平、加强管理控制的要求。因此，为了弥补传统内部审计的不足，风险导向内部审计应运而生。风险导向内部审计分析企业经营过程中遇到的所有问题并进行全面评价，不仅包括企业的内部控制制度，也包括企业所处环境、所处地域以及企业管理层的诚信度，通过对上述各方面内容的评价，进而对企业所面临的各种风险进行有效的识别和评估，并以此制定措施加以控制。这样一来，既能有效地监督管理层的经营活动，也能在监督的过程中发现企业内部存在的问题，并向管理层提出一些建设性意见，有助于提高企业效益，降低企业风险。 一、风险导向内部审计基本理论探讨 （一）风险导向内部审计的本质 风险导向内部审计的定义为：内审人员在整个审计过程中，自始至终都关注企业风险（不是审计风险），依据风险确定审计范围与重点，以降低风险为导向，对企业的风险管理、内部控制和公司治理程序进行评价，协助企业管理风险，实现企业价值增值的确证和咨询活动。风险导向内部审计的本质是确保受托责任有效履行的能动的管理控制机制。 现阶段，由于外部受托责任内容的多样化和内部受托责任的多层性， 内部审计必须紧密结合增值目标，全面看待和分析风险，以确定所要重点控制的受托责任内容。反馈是控制系统的灵魂，而内部审计作为管理控制系统的组成部分，必须发挥反馈作用，而且要根据周围环境的变化，自动调整自己的运动，从事后的反馈走向适时的反馈甚至是事前的前馈，只有这样才能适应瞬息万变的环境。风险是面向未来的，是直接与目标及战略相关联的，风险导向内部审计是以风险为核心及出发点的内部审计，能够将事后的反馈延伸到事前以及事中，从而实现更高效率的控制。 （二）风险导向内部审计的对象 在财务导向、业务导向、管理导向内部审计阶段，主要的审计类型分别是财务审计、业务审计和管理审计。而在风险导向内部审计阶段，主要的审计类型是将风险管理、公司治理和内部控制融于一体的综合审计。风险作为核心理念，在整个内部审计中的作用都是举足轻重的， 这种综合审计体现在十分关注公司治理过程中对风险的发现和管理，关注管理者及其经营管理行为可能出现的风险以及组织在整个治理过程中的决策风险和经营风险。 （三）风险导向内部审计的目标 内部审计目标是审计主体通过内部审计活动所期望达到的境地。内部审计的目标经历了防弊、低层次兴利、高层次兴利的过程， 发展到风险导向阶段，内部审计就更注重与企业目标的直接联系，在企业创造价值目标的作用下，风险导向内部审计的目标由高层次兴利转向了增值。 传统内部审计通常只局限于测试企业的内部控制执行的有效性，内部审计人员关注的是控制的充分性和遵循性，结果是不断加强、补充、完善控制，在一层控制基础上再叠加一层控制，虽然有着防弊与兴利的审计目标，但是无法与企业目标相关联。风险导向内部审计与传统的内部审计不同的是，它先确定企业目标，再对可能影响这些目标实现的风险进行分析，并根据这些风险设计相应的内部控制制度，最后测试企业建立的内部控制制度是否对风险的管理控制切实有效。内部审计人员关注的是风险是否得到适当的管理和控制，将风险与企业目标直接联系起来，这对公司管理层的管理决策是非常有价值的。 （四）风险导向内部审计的职能 传统的内部审计职能仅限于监督管理公司的规章制度，而随着社会经济水平的不断上升和企业管理水平的不断提高，内部审计的职能有了很大的发展空间，已不再是简单的监督，而是为企业提供“确证和咨询服务”，这两项职能都是紧密结合内部审计的增值目标发展而来的。内部审计协会A对内部审计的职能作了明确规定：“内部审计是一项独立的、客观的确证和咨询活动，其目的在于为组织增加价值并提高组织的工作效率。它采取系统化和规范化的方法，对风险管理、内部控制和公司治理过程进行评估和改善，从而帮助组织实现其目标。”它强调重点关注公司经营管理过程中的发现风险与管理风险，关注管理者的管理行为可能存在的风险，关注企业在治理过程中的经营风险和决策风险，并对这些风险实施评价，根据评价结果向管理层提出建议。 二、 风险导向内部审计程序的构建 （一）审计计划的编制 内部审计实务标准要求内部审计部门的计划应该反应机构的风险战略，并指出首席执行官应该制定以风险为基础的计划，以确定内部审计活动的重点。内部审计计划的制定应紧密结合企业风险管理目标。在编制审计计划之前首先结合企业风险管理目标进行年度风险识别和评估，确定关键风险领域， 风险高的领域作为年度审计计划优先安排的项目。由于内部审计资源有限，应根据金额的重大性、资产变现力、管理能力、内部控制的质量、变化或稳定程度等风险因素确定业务工作重点。如美国Oraele公司，在建立内部审计计划时先对风险进行优先排序，再根据风险暴露的重要性按一定比例分配审计资源:全球业务的程序性检查(29%)；对子公司的审计(22%)；SOX测试及支持(9%)；案件调查(19%)；审计管理及其他(14%)；审计业务创新工作(7%)。 内部审计计划的内容通常包括如下方面：一是审核以前的报告、审计方案、工作底稿及前任审计师提供的文档，列出任何要求采取纠正行动的公开项目。其作用在于获取背景资料及确定过去审核的结果，以更好地确定当前重大风险的审计范围。二是实施初步调查，以确定被审核的活动的目标、实际或潜在风险，以及现存的控制系统。三是审核被审计职能的政策和程序，以及它的经营管理手册、组织结构图、权力结构图、长短期目标。通过审核来确定可以衡量和评价风险的领域，以及该职能是否按管理层的意图执行。四是审核有关风险的审计领域的现行内部审计资料，针对被审计的业务活动，获得最新的技术信息。五是准备被审计职能的主要业务流程图，获得业务流程的可视分析，识别控制缺陷。六是审核管理层已建立的绩效标准，如果可能，把它和行业标准进行比较。七是会晤客户，讨论审计范围和内部审计师试图达到的目标，避免有关审计目标和范围被误解。八是编制完成审计业务所需耗费的详细预算，以保证审计过程的效率。九是通过风险评估并排序，列出必须考虑的重大风险。十是为每个可识别风险确定什么控制有效，检查现行的控制是否可以消除或充分地减少已识别的风险。十一是确定重大问题和机会的实质，识别困难的主要方面，确定其原因和可能的补救方法。 （二）审计目标和审计测试 内部审计实务标准规定内部审计总的目标是“评价并帮助改进机构的风险管理、控制和治理系统”，具体审计活动应围绕更为具体的风险管理目标进行，内部审计师应获得足够的证据，确认企业主要风险管理目标是否实现。审计测试中通过运用抽样、观察、提问、分析、证实、调查与评估等方法获取有关风险的审计证据，并且揭示出它们的内在品质或特征，目的是为内部审计师形成审计意见提供基础。 （三）审计发现与审计结果 在审计工作中内部审计师要确定哪些情况需要采取纠正行动。那些与规范或可接受的标准之间的偏离被称为审计发现。它们可能是：应采取而未采取的行动、不适当的行为、令人不满意的系统及应考虑的风险暴露等。审计业务工作的成果就是“发现”。审计师一般将“发现”分为背景、标准、情况、原因、影响、结论和建议等因素，这些因素为采取纠正行动提供了强有力的依据。 审计结果包括审计发现结果、审计结论、审计建议和行动计划。审计发现结果是对风险的相关陈述，通过比较应该达到的目标与实际的做法，可以得出审计发现结果和审计建议，审计发现和审计建议应该以背景、标准、情况、原因、影响为依据，还可以包括审计客户的业绩、相关问题和未在其他地方反映的辅助信息。审计结果资料是内部审计报告的主要基础。 （四）后续审计 后续审计是指出具了审计报告后，内部审计师仍然要为报告中所涉及的审计发现和建议进行跟踪，以确认管理层是否采取了风险防范和控制措施。后续审计应跟踪，对于重大的审计发现，相关部门和环节是否予以纠正；若未纠正，责任和原因在哪儿。后续审计工作安排要坚持风险导向和成本效益原则，以所涉及的风险及实施纠正措施的困难程度和时间安排的重要性为依据。风险越大，后续审计的范围就可能越广，内审人员要投入更多的时间和精力；反之，后续审计可仅限于询问和简短的讨论，以节约审计成本。 【参考