风险导向审计在企业风险管理中的应用 作者：伊利集团奶粉事业部审计室肖春虎 【摘要】本文从风险实业导向审计及企业风险管理的定义出 发，分析风险导向审计与企业风险管理的关系；通过介绍风险导 向审计对风险评估的程序及方法，进一步分析其在企业风险管理 中的应用及作用，与企业风险管理框架的联系；指出现代企业实 施风险导向内部审计的必然性。 【关键词】风险导向内部审计；风险管理；内部控制 风险导向内部审计是指在内部审计的全过程中自始至 终都要关注风险，并根据风险度选择项目，以降低风险为 导向，进行内部控制制度的符合性测试、实质性测试，并 进行监督和评价，提出建设性意见和建议，并通过后续审 计来测试风险是否得到有效的防范和控制。 风险导向审计优于传统的审计模式主要表现在，其改 变了原来被动的风险控制为主动的风险管理；有效的控制 了传统审计易使组织结构不断细化和规章制度复杂化的弊 端。其精髓是：以风险为导向，确定审计重点，降低审计 风险，提高审计工作效率。注重企业生产经营过程中的重 大风险，淡化了交易类别和余额测试，“抓大放小”降低审 计成本，提高审计效率和质量。 美国COSO企业风险管理整体框架定义企业风险管理是 一个过程，企业由董事会、管理当局和其他人员实施，应 用于战略制定并贯穿于企业管理之中，旨在识别可能会影 响企业的潜在事项，管理风险以使其在企业风险容量之内， 1 并为企业目标的实现提供合理保证。IIA定义风险管理是 采取一定的措施对风险进行检测，评估和控制，使风险降 低到可接受程度和控制在可接受水平上，保证组织目标实 现。两者对企业风险管理定义基本一致：一是进行风险识 别和评估；二是采取管理措施将风险控制在承受度之内； 三是为组织目标实现提供保证。 一、风险导向内部审计与企业风险管理的关系 企业风险管理以风险识别和评估为起点，以风险控制 为过程，以确保组织目标实现为目标。风险导向审计是以 风险识别和评估为起点，以确认风险控制和风险管理改善 为过程，以保障组织目标实现为目标。可见两者的起点和 目标是完全一致的，只是过程侧重点有所区别，风险导向 审计为企业风险管理改善提供了较为可靠的依据，具体见 下列图示（图1）： 风险识别与评估 图例 制定审计计划 实施审计测式 出具审计报告企业风险管理路径 风险控制实施后续审计 风险导向审计路径 风险揭示 实现组织目标 2 二、实施风险导向内部审计的必然性 1.适应当今社会经济环境的需要。市场经济和全球化趋 势下，企业经营环境越来越难以预测，面临的不确定性与 多变性大大增加，经营风险相应增大；企业产权关系多元 化，经营方式和手段日益复杂，会计准则要求的判断和估 计日益增加，企业管理层进行财务舞弊的动机和压力日益 增大，仅仅依靠传统审计方法已难以从整体上有效把握企 业实际的财务状况、经营成果。而风险导向审计不仅了解 企业内部业务的经营风险，而且评估与企业经营密切相关 的外部风险因素，包括企业环境、发展战略、经营业务及 流程、内部控制等，一是从各个角度深入认识客户经营情 况；二是更全面评估风险因素；三是形成环境与报表的互 动，从环境和报表两头入手查找错弊。 2.适应现代审计目标多样化的要求。风险导向审计不仅 能确定公允性，还可证实可信性，即财务报表是否存在重 大错弊，特别是管理层舞弊。因为分析企业内外经营环境 本身就包含了对管理层舞弊的动机因素的分析，契合了舞 弊成因理论，能够满足现代查错防弊的审计目标。同时， 由于对被审计单位的深入了解，现代风险导向审计也可支 持对非财务信息披露的适当性发表意见。 3.主动控制审计风险，有效分配审计资源。风险导向审 计转变了传统审计思维定式，主动控制审计风险。通过运 3 用新审计风险模型，对审计风险进行系统的分析评价，以 做出相应的审计策略，将风险评估与审计程序紧密的联系 起来，同时能据此将审计资源恰当地分配到高风险领域， 提高审计质量与效率。 三、风险导内部向审计在企业风险管理中的应用 基于COSO-ERM的风险导向审计模型，如图2所示。审 计过程中始终以公司面临风险的重要性为导向，确定审计 范围，拟定审计计划，通过实施审计测试对风险进一步识 别与评估，将评估结果与企业风险管理部门的结论相比较， 发现差异（剩余风险），提出风险应对措施，帮助风险管 理部门进行风险管理，并通过后续审计对剩余风险管理情 况进行关注。 图2：企业风险导向审计模型 内部环境分析 1、编制审计计划通过风险评估确定审计计划及范围 目标设定分析 事件流程分析 2、实施审计测试 风险识别测试 风险评估结论 3、出具审计报告