风险导向内部审计实务探索 中国石化审计局北京分局课题组 课题组成员：王永波连杰兴康月东周建华戚家勇 胡肖丽常红程启贤王淑琴王书炜 【内容摘要】本文从辨析风险导向审计与风险管理审计、内部控制、其他审计项目 类型之间的关系入手，阐述了风险导向审计在审计实务中应用的一般思路和程序，指出 现阶段开展风险导向审计存在全面风险管理体系、风险评估方法和技术等4个方面的难 点，并提出5个方面的应对策略和具体措施。 【关键字】风险导向审计实务难点对策 作为一种审计理念和方法论，风险导向审计已经在众多企业内部审计 中开始探索和应用。如中国石化在2008年提出“以风险为导向，以内控为 主线，以治理为目标、抓重点”的审计指导思想，并以此开展内部审计工 作，取得了良好成效。但风险导向审计有其核心要素、机制和专有的方法 和技术，与审计实务相结合，当前还存在诸多难点和问题。本课题报告首 先在理论上作一个简单的讨论，澄清与审计实务有密切关系的几个问题， 然后主要探讨风险导向审计在企业内部审计实务中的应用、遇到的问题和 难点，并提出应对措施。 如无特别指明，本报告所称审计为企业内部审计，主要以中国石化为 蓝本；风险管理指企业全面风险管理；风险导向审计指现代风险导向审计。 一、几点理论辨析 近年来，审计理论探讨如火如荼，新旧概念频繁更迭，专业术语层出 不穷。如内部控制审计、制度基础审计、风险导向审计、风险管理审计等， 让人目不暇接，甚至无所适从。在这些理论探讨中，还存在概念混淆不清、 偏颇观念频出、与审计实务难以有机融合等问题。如有的把风险导向审计 与风险管理审计混为一谈；有的唯“新”为大，新的就是好的，新的就是 先进的，认为制度基础审计已不合时宜，风险导向审计需另起炉灶；等等。 理论和认识不清，可能会影响风险导向审计的开展和深入应用。 （一）风险导向审计与风险管理审计的比较。 风险导向审计与风险管理审计的内涵截然不同。 1 风险导向审计是继账项基础审计、制度基础审计之后的一种新的审计 模式。它通过综合分析、评审影响企业经济活动的外部的和内部的各种因 素，识别、分析和评价企业风险，并根据量化的风险水平确定审计计划以 及实施审计的范围、重点和程序，把审计资源主要投向高风险领域和环节， 确保审计风险控制在可接受水平。这里的风险主要是指审计风险，以对企 业风险的识别、分析与评价为起点，归结到对审计风险的管控。风险导向 审计的服务对象主要是审计部门和审计人员。 风险管理审计的含义是“对企业的风险管理进行审计”，企业的风险 管理包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险 管理信息系统和内部控制系统等，是审计的客体和对象。风险管理审计要 对这些方面作出独立审核和评价，以提高企业全面风险管理的充分性、适 当性和有效性。风险管理审计服务的对象是企业，是内部审计部门作为企 业全面风险管理“第三道防线”发挥职能的一种重要方法和途径。 再直白一点讲：风险管理审计与经济责任审计、财务收支审计等一样， 是一种具体的审计项目类型，有特指的审计客体；风险导向审计不是一种 具体的审计项目类型，而是一种审计理念、一种审计模式、一种审计方法 论，它需要与经济责任审计、财务收支审计等具体审计项目类型结合起来， 以提高具体审计项目类型的审计质量、效率和效果。“风险管理审计也要 以风险为导向”，这句话比较突出地体现了二之间的区别。 风险导向审计与风险管理审计又有诸多相似之处和密切的联系。首先， 二者的起点相同，都是从了解企业经营环境和经营活动入手，以企业战略 分析为逻辑出发点，界定企业风险范围、评估风险。其次，二者最终的目 的相同，都是为企业实现既定目标服务，为企业增加价值服务。第三，二 者采用的评估风险的具体方法和技术相同。 （二）内部控制审计与风险导向审计、风险管理审计的关系。 内部控制是制度基础审计的基础和核心，是企业风险管理的重要机制 之一，在风险导向审计中仍然起着不可替代的重要作用。要弄清内部控制 审计与风险导向审计、风险管理审计的关系，首先要弄清内部控制与风险 管理的关系。 2 按照管理学理论，控制是管理的职能。企业全面风险管理是在企业管 理中引入风险的概念和风险评估的技术方法形成的。因此，内部控制应是 风险管理的一个职能，是风险管理的一个重要机制和子系统。国资委《中 央企业全面风险管理指引》，明确指出全面风险管理体系包括内部控制系 统。对比COSO发布的《企业内部控制—整体框架》和《全面风险管理—整 合框架》两个研究报告，也可以看出，内部控制是风险管理的一部分。风 险管理和内部控制都以企业的经营管理活动为载体，但风险管理的重心在 战略管理和决策层面，主要关注企业目标实现过程中的不确定性；而内部 控制的重心在管理和执行层面，主要关注不相容岗位是否分离。内部控制