风险导向理念在审计计划中的应用研究.doc

风险导向理念在审计计划中的应用研究（中国移动甘肃公司 马驰 兰州 730000）内容摘要：科学合理的审计计划是建立以风险为导向型审计的基础和出发点。但建立审计计划中应如何利用风险因素进行选题，具体的选题方法和过程怎样才确保合理，成为制定审计计划中急需解决的问题。本文笔者结合工作实践，阐述了如何应用风险导向理念采用量化的方式进行选题，进而制定科学合理的年度审计计划。希望能为风险导向型内部审计的广泛应用起到积极的借鉴作用。关键字： 可审计对象 审计风险诱因及数据分析 审计范围框架体系的搭建模式 年度审计计划素有企业“内部警察”之称的内部审计已随着企业集团化、业务流程复杂化的发展趋势，从传统的内部审计发展到风险导向审计阶段，在实践中笔者也深深体会到以风险评估为基础制定的年度审计计划在风险导向型审计中所起的作用越来越大，但是如何进行审计计划的风险评估目前无论在国内还是国外都没有广为认可的模型可供参考。笔者结合实践尝试，提出风险诱因评估和审计范围框架体系的搭建模式两种可供应用的方法向读者推荐。一、风险导向审计的内涵风险导向审计是指内审人员在审计过程中自始至终都以企业风险分析评估为导向，根据量化的风险估值水平排定审计项目优先次序，依据风险确定审计范围与重点，对企业的风险管理、内部控制和治理程序进行评价，进而提出建设性意见和建议，协助企业管理风险，实现企业价值增值的独立、客观的鉴证和咨询活动。与传统审计相比，风险导向审计在确定审计范围、审计内容以及审计时间安排上更能接近企业的组织目标，站的更高，看的更远，企业的战略目标、企业的内外部环境均纳入风险导向审计视野。二、为什么要应用风险导向理念制定年度审计计划所谓审计计划风险诱因评估是指在制定审计计划之前，对影响审计计划编制的风险因素进行辨识、分析和评价，以利用审计人员依据评估结果制定科学合理的审计计划。礼记中庸曰：凡事预则立，不预则废。内部审计工作同样如此。科学合理的年度审计计划是开展全年内部审计工作的基础，也是充分发挥有限的审计资源，提高审计效率和效益的重要方法。但当前审计领域不断扩大，任务空前饱满，企业内部审计人员明显不足。这就需要内部审计在制定审计计划时，要优先考虑风险较严重的领域，将有限的审计资源(包括审计人员及审计时间)用于最需要的审计项目，才能实现审计资源效用的最大化，最大程度促进组织目标的实现。中国内部审计协会内部审计具体准则第1号审计计划第八条中“内部审计机构负责人负责年度审计计划的制定工作。由于年度审计计划是对内部审计机构未来年度审计任务的整体规划，因此需要内部审计机构负责人在全盘考虑组织风险、管理需要及内部审计资源的基础上进行规划。”此外，国内外监管机构都对审计计划的风险评估都提出了明确的要求。从国际看，国际内部审计师协会工作标准第2010条明确提出：“首席审计执行官应根据风险制定审计计划”；从国内看，中国内部审计准则基本准则第十一条明确要求：内部审计人员应在考虑组织风险、管理需要及审计资源的基础上，制定审计计划，对审计工作做出合理安排。”三、如何在年度审计计划中应用风险导向理念应用风险导向理念，科学合理的制定年度审计计划，笔者认为主要可遵循如下步骤：（一）划分业务流程要想制定科学合理的年度审计计划，首先要依据企业特点，正确划分管理机制及业务流程。以通信企业为例，结合生产经营特点，可以将所有业务划分为三大方面七项流程十项管理机制：策略与监察管理机制：包括企业策略管理机制、企业管治（含审计与监察）机制、企业文化管理机制、品牌策略管理机制、研发管理机制、投资（并购与剥离）管理机制、法律与合规管理机制。核心业务流程：包括市场推广及销售流程、客户服务流程、收入保障流程、新产品开发流程、网络规划和建设流程、采购及物流管理流程、网络管理及操作流程。资源管理机制：包括人力资源管理机制、财务管理机制、信息技术管理机制。根据企业实际情况各流程下可细分子流程：比如，市场推广及销售流程可细分为市场资费制定、渠道费用管理、计费管理等子流程。（二）确定可审计对象，进行多维度、多角度分析，搭建审计范围框架体系可审计对象是指值得审计事项与关注点，涉及内部审计人员对企业业务流程的职业判断，并基于一定风险考量基础。内部审计标准说明(S1AS)建议了10种可选择标准，主要有以下几类：1按业务循环划分审计对象。企业内的各类组织通常被看作是由营销和销售、存货管理、资本性采购、人事薪金、采购和付款五种业务循环高度结合的系统。将组织简化为这五种业务循环，审计师就可以对范围较大的关联活动进行系统的检查。2按职能部门划分审计对象。职能活动具有综合性，与内部控制有明显的重要联系。按职能部门划分审计对象，其结果与传统组织的组织结构相符合，便于操作和理解。一般服务业的职能部门包括营销、财务、管理、会计、人事、设备管理以及从事特定服务的部门。零售业存在采购和存货管理部门。制造业还包括制造职能。3按项目划分审计对象。企业进行的各类经济活动，有时是按项目进行的，如基建项目、基础研究项目、产品开发项目等。按项目划分审计对象可能难以覆盖整个企业的经营活动，但按这种划分方式对重大项目进行绩效审计，常常能明显的为企业增添价值。4按决策中心划分审计对象。这种划分方式与责任会计体现的思想一致，按权责利相互对应的原则将企业划分为成本中心、利润中心、投资中心，分别确认审计对象。想以组织中较大规模的部分作为审计对象，可以按决策中心划分。5按地理位置划分审计对象。跨地区的大型企业，其内部组织分布的地域广。将地理位置临近的组织归集到一起作为审计对象，能方便审计工作，节省工作中的差旅费。按地理位置划分审计对象的方法也可以适用于地域跨度小的企业，譬如将各办公楼和各大楼中的不同分部、部门，按其楼层进行划分。这种标准过于简单，往往要与其它因素结合考虑。6按会计系统划分审计对象。开展资产负债表审计、损益表审计时，是按财务报表的种类划分审计对象。内部审计可以针对总账、应收账款、应付账款、工资账等进行专项审计。因此，按会计系统划分审计对象也不失为一种思路。从不同层面、多个角度进行分析，识别可审计对象，搭建审计范围框架体系。主要的分析方法，包括：1）流程框架及管理机制的分析；2）对各部门审计需求的分析；3）对财务及经营数据的分析等。1）流程框架及管理机制分析：通过对企业管理机制的分析与细化，识别出每个管理机制中所包含的子流程，同时考虑子流程所涉及的具体经营活动内容及环节，综合考量其作为审计对象的适应程度，并由此定义出值得审计的项目。进而针对每一个值得审计项目，按照其所涉及的关键风险领域、客户类别、业务类型以及审计项目关注的属性等，深入分析其具体的关注点。2）对企业各部门审计需求的分析：与企业各业务部门及分公司负责人的进行访谈，征询其需要内审部门协助开展的项目需求，并进行汇总分析。3）财务及经营数据分析：项目组通过对财务报表、预算执行情况等财务及经营数据的分析，关注其变动趋势，将数据分析中识别的异常情况作为专项检查内容。将所有需审计的项目纳入审计范围，建立审计范围框架体系，即审计范围框架体系是指根据企业自身特点确定的内部审计可审计对象的范围框架，即可审计对象的集合。(三)开展审计风险诱因评估及数据分析、制定年度审计计划审计风险诱因，是直接影响风险程度的因素，通常是由于公司架构、人员、经营活动、技术或财务结果的变化而导致的。包括：基础架构稳定性/变化频率、地理因素、经营规模（收入水平、交易量、业务量）、业务及系统的复杂程度、合规要求、资产安全因素、对外部客户满意度、企业运营目标或公司业务模式的影响、外部合作/外包业务等以及一些重要/加权因素，例如前期审计结果、管理层需求及增长率等。针对这些风险诱因，结合企业实际情况，制定具体的评估标准。在开展审计风险诱因评估中，可采取三种管理方法，包括1）以问卷方式收集各可审计对象所对应的风险诱因分析评估数据，包括企业各分支机构的评估数据；2）与企业相关业务部门负责人进行研讨；3）参阅以往的内部审计工作记录等。在数据分析环节，应充分考虑将定量与定性数据、财务与非财务数据、系统及非系统数据分析的结合，在一定程度上确保评估结果的客观性。1）以问卷形式收集各可审计对象所对应的风险诱因分析评估数据：针对各可审计对象可以采取定性及定量数据分析相结合的方式，细化数据指标，编制信息收集问卷，通过数据分析，对可审计对象的风险诱因进行评价排序，并将初步评价结果与各业务部门沟通。2）与业务部门负责人进行研讨：审计工作范围框架中的可审计对象在日常经营中都由适当的业务部门负责。作为风险评估程序之一，内审部门与业务部门就可审计对象在日常经营中的风险概况进行讨论分析，获取充分的风险诱因评估信息，对项目组依据定性定量数据分析判定的风险排序进行适当的调整。3）参阅以往的内部审计工作记录：通过参阅以往的内部审计工作记录，对风险诱因有进一步的认识。在与业务部门负责人通过研讨方式评估这些风险诱因的过程中，充分结合前期的审计发现，与其进行更深入的探讨。依据每年度的风险诱因评估及数据分析，根据风险程度不同将可审计对象逐一排序，排序后，可以按照ABC方法，选取风险估值高的流程安排年度审计计划。如果有下属分公司，参照上述风险评估方法选取风险估值高的分公司安排年度审计计划。围绕风险评估结果进行审计资源分配、审计时间安排、审计方案制定。通过这一系列的工作的开展，可确定基本建立审计计划的编制流程及操作模式。 （四）持续评估，调整年度审计计划。年度工作中，随着市场竞争形势的变化，行业政策的变化，公司工作重心可能出现变化，流程中控制风险可能增强或减弱，这些风险因素的变化必将引起风险诱因估值的改变，原来风险评分低的可能因此会变得较高，年度