[摘要] 作為風險管理的一個重要環(huán)節(jié)，企業(yè)內部審計在內部控制、公司治理以及組織運營中的地位日趨突出，已成為關系企業(yè)興衰成敗的重要因素。本文設計了風險導向內部審計框架體系，并圍繞該框架，探討了風險導向內部審計在風險管理中的具體應用。

　　[關鍵詞] 風險管理風險導向內部審計框架體系應用

　　一、風險導向內部審計的產生

　　隨著經(jīng)濟全球化、管理信息化、經(jīng)營多元化,企業(yè)傾向于在更大程度上將決策權向中下層分散，以適應靈活多變的環(huán)境，這客觀上為各級管理人員甚至一線操作人員提供了舞弊空間。美國忠誠與保證公司的調查顯示：70%的公司破產是由于內控不力導致的。為了保證企業(yè)安全和持續(xù)發(fā)展，企業(yè)董事會和最高管理層普遍要求內部審計及時揭露顯現(xiàn)與潛在的風險，提出防范和控制建議，并對審計風險承擔一定責任，這樣就促使內部審計部門必須面對企業(yè)整體或被審計單位的各種經(jīng)營風險。風險導向內部審計這種多維和有效的審計模式便應運而生。

　　風險導向內部審計是企業(yè)內部審計師通過測試風險管理的有關方面（風險管理方針、策略和風險評價指標體系），對風險程度及管理情況作出專業(yè)判斷，提出審計評價與建議，以實現(xiàn)企業(yè)運營目標。其根本目標是通過將風險與企業(yè)目標的實現(xiàn)直接聯(lián)系起來，為公司治理層及管理層提供有價值的服務。

　　我國風險導向內部審計尚處于起步階段,本文主要探討風險導向內部審計在企業(yè)風險管理中的具體應用。

　　二、風險導向內部審計框架體系設計

　　下圖1描述了風向導向內部審計框架體系：

　　圖1 風險導向內部審計框架體系

　　三、風險導向內部審計的具體應用

　　根據(jù)風險導向內部審計框架體系及其在風險管理中所承擔的角色，從以下幾個方面探討風險導向內部審計的具體應用。

　　1.圍繞經(jīng)營目標，全面鑒別風險

　　內部審計人員應花大量的時間和精力與各級管理層溝通，充分了解被審計單位經(jīng)營目標實施過程中的審計域和相關風險因素。審計域是指被審計職能確定為可檢查和評估的項目、部門或制度。一般包括：

　　(1)企業(yè)文化。

　　(2)政策、程序和慣例 內部控制體系。

　　(3)成本中心、潤中心和投資中心。

　　(4)合同、項目、生產、服務部門或流水線。

　　(5)供應鏈上的上下游合作伙伴。

　　(6)管理職能部門、業(yè)務交易系統(tǒng)、財務報表及信息系統(tǒng)。

　　至于相關的風險因素，應綜合世界有關組織或團體內部審計機構的觀點，結合被審計單位的情況具體分析。為實現(xiàn)規(guī)范化，應將具有代表性的審計域及其風險因素整理歸檔，形成數(shù)據(jù)庫。

　　2.確認現(xiàn)有控制，判斷剩余風險

　　在充分鑒別風險的基礎上，內部審計人員要測試被審計單位現(xiàn)有內部控制（或風險管理政策和程序）的健全性和有效性，以確定哪些風險在現(xiàn)有控制框架下無法地得到防范和控制，即確定剩余風險。

　　由于風險是絕對的，審計資源是有限的，而且風險也可能給企業(yè)創(chuàng)造新的機遇，所以需要對剩余風險進行判斷。當某種風險不能避免或因敢冒風險可獲厚利時，審計部門可以建議被審計單位選擇風險保留，否則，應進一步確定剩余風險的程度。

　　確定風險程度時應注意：

　?。?）關注的指標應至少包括風險可能性、損失程度、損失頻率。

　　（2）應從定性和定量兩個角度進行。強調定性分析，是因為有些因素不能直接計量（如審計對象對職業(yè)道德與操守的恪守程度等），但對判斷風險偏好十分重要。

　　對于定性分析的風險因素應盡量采用模糊矩陣測評法，進行量化和歸一化處理，以便將剩余風險按照相同的口徑由高到低排序，確定風險優(yōu)先級。

　　3.設置報警準則，實現(xiàn)風險預警

　　為了使風險管理由被動轉為主動，應該通過預警的方式，使決策者對未來風險有所察覺，在風險事件真正發(fā)生之前，即對風險的成因進行控制，阻止風險事件的發(fā)生或使發(fā)生以后的損失減到最低。預警本身也是企業(yè)思維方式的轉變。

　　風險預警系統(tǒng)應該包含兩個重要的內容：預警指標和臨界點。預警指標是預先發(fā)現(xiàn)不測事態(tài)征兆的指標；臨界點則是一觸即發(fā)的時點。通常有以下幾種預警模式：

　　(1)指標預警

　　指標預警是指根據(jù)預警指標數(shù)值的變動來發(fā)出不同程度警報。一般來說，對風險狀況的預警界限可以用三個數(shù)值（稱為檢查值）來表述，以這三個檢查值為界限，確定“雙紅旗”、“單紅旗”、“黃旗”、“綠旗”四種信號，分別表示企業(yè)運行狀態(tài)處于“危機狀態(tài)”、“風險狀態(tài)”、“亞風險狀態(tài)”、“經(jīng)營正常狀態(tài)”。每當預警指標的變化超過檢查值時，信號系統(tǒng)就會亮出相應的信號。如圖2，設預警指標為X,則基本報警準則為：

　　圖2 預警指標界限

　　當Xa≤X≤Xb時，綠旗（經(jīng)營正常）；

　　當Xc≤X＜Xa或Xb＜X≤Xd時，黃旗（亞風險）；

　　當Xe≤X＜Xc或Xd＜X≤Xf時，單紅旗（風險）

　　當X＜Xe或X＞Xf時，雙紅旗（危機）

　　三個檢查值的確定需要分析企業(yè)的歷史情況、行業(yè)水平以及企業(yè)目的，因此各個企業(yè)的檢查值是不同的。

　?。?）因素預警

　　設某風險因素X為隨機變量，且設P(x)為風險因素發(fā)生的概率，則：

　　當0≤P(x)＜Pa時，不發(fā)出警報；

　　當Pa≤P(x)＜Pb時，發(fā)出初等警報；

　　當P(x)≥Pb時，發(fā)出高等警報。

　　式中，Pa、Pb為風險分級標準，Pa＜Pb。

　?。?）綜合預警

　　把諸多因素綜合起來進行考慮，可以得出一種綜合警報模式。以財務風險為例，綜合預警的步驟為：

　　①選擇具有代表性的財務指標

　　在選擇指標時應注意以下幾個問題：一是償債能力指標、盈利能力指標、資產周轉指標都應選到，不能集中在一類指標上。二是指標的選擇應與最后的判斷標準一致，即若考慮低值，則應選擇以低值表示財務狀況好的指標，反之，應選擇以高值表示財務狀況好的指標，三是應安排一些非財務指標，如新產品開發(fā)、職工技能水平，顧客滿意度等。

　　②確定各項財務指標的標準值和標準評分值

　　標準值一般參照行業(yè)平均數(shù)或企業(yè)上年數(shù)確定，標準評分值應根據(jù)各指標的重要程度來確定。

　?、塾嬎憔C合分值

　　綜合分值計算公式為：

　　Ai:各指標標準評分值；ai:各指標標準值；

　　bi:各指標實際值。

　　④建立報警準則

　　當X≥100時，說明企業(yè)財務狀況超過了行業(yè)平均水平或歷史有關水平，企業(yè)財務狀況比較好，不發(fā)出警報。

　　當X＜100時，說明企業(yè)財務狀況比較差，需要發(fā)出警報。當然可以根據(jù)企業(yè)具體情況進行細分，如：當X0≤X＜100時，發(fā)出初級警報；當X＜X0時，發(fā)出高級警報。式中，100、X0為風險分級標準，X0＜100。

　　表1所顯示的是某公司具有代表性的財務和非財務指標，根據(jù)上述步驟得出該公司的綜合分值為108.18分，說明該企業(yè)的財務狀況超過了行業(yè)平均水平或企業(yè)歷史水平，情況較好，不發(fā)出警報。

　　表1 某公司財務狀況綜合分析

　　4.編制審計計劃，優(yōu)化資源配置

　　完善的風險審計計劃，應該包括三個層次：年度審計計劃、項目審計計劃、審計方案。年度審計計劃是配合長期和年度風險戰(zhàn)略，對年度的風險審計任務所作的事先安排和規(guī)劃，是企業(yè)年度工作計劃的重要組成部分。年度審計計劃應當具有一定的柔性（比如安排30%～40%的機動時間），以滿足隨時可能出現(xiàn)的戰(zhàn)略需求。項目審計計劃是對具體風險業(yè)務、項目或因素實施審計的全過程所做的綜合安排。審計方案是指導現(xiàn)場審計達到審計目標的一套具體行動措施，一般包括從審計開始到結束的全部執(zhí)行步驟。風險審計計劃的上述三個層次應在可用審計資源上形成對接，以保證資源的最優(yōu)配置?？捎脤徲嬞Y源包括時間和人力資源兩個方面。