| 執業道場 | 以風險為導向內部審計方法的緣由、特點及應用建議

以風險為導向內部審計方法的緣由、特點及應用建議

2023年04月11日

以風險為導向的內部審計工作思路和方法是近十幾年來國際一流大型集團企業內部審計在工作實踐中歸納總結的方法，也是國際內部審計協會在行業內力推的現代審計方法。以風險為導向的內部審計方法近幾年被介紹到中國，也有一些國內大型集團企業和金融機構嘗試運用此方法。但其工作效果與以前常規審計方法的效果沒有明顯差異或優勢，并未達到期望。
這里，我們試圖通過踐行以風險為導向內部審計方法的實操體會、與國際內部審計協會專業委員會專家研討交流以及對三家國內大型集團公司試行以風險為導向內部審計方法的總結等三方面為基礎支撐點，從以風險為導向內部審計方法產生的緣由，其方法特色和特質，以及對方法運用的建議三維度，分享我們的認識、見解和建議。
一、以風險為導向內部審計方法緣由
現代內部審計從起源到發展，有近百年的歷史。在前七十多年時間里，內部審計可以說是平穩漸進式發展，沒有經歷大起大落。但是，到了上世紀九十年代以后，企業，尤其是歐美大型金融企業集團的董事會及高級管理層對內部審計到底為企業貢獻了什么價值，尖銳地提出疑問、質詢和挑戰。他們的質詢非常簡單和直接：我們的內部審計部門每年都在實施各種審計活動，包括問題導向審計、監管導向審計、常規審計、周期審計、全面審計、全過程審計、專項審計等等，但是對于我們（董事會和高級管理層）最關心和關注的事項到底提供了什么直接的、可驗證、可衡量的價值？在這些機構內部審計專業人員還沒有來得及準備好回答這些質詢時，董事會和高級管理層已經開始行動了，他們將機構的內部審計工作外包給那些國際知名的會計師事務所或專業咨詢公司。他們認為，這樣做不僅為機構節省幾億、甚至幾十億歐元或美元的成本費用，而且又滿足了政府和行業監管的要求，在這種情況下，歐美這些大機構的內部審計管理層和廣大專業人員直接面臨了巨大的挑戰，甚至是生存的挑戰！
有壓力、有挑戰，同時也對應激發了巨大的潛能和動力。歐美這些大機構的內部審計管理層和專業人員開始緊盯董事會和高級管理層在關注什么，擔心什么。最后歸納、總結出他們最關注和擔心的兩條：
1、盈利、回報、股價，企業可持續發展；
2、風險管理，即：不出重大問題，不發生重大風險，不造成重大損失。
同時，這些機構的內部審計管理層也深入了解到董事會和高管層對他們的期望：
1、避免“吃驚”發生；即：內部審計通過重大風險提示，將風險管理前置；
2、助力更好、更快實現年度經營管理目標；即：內部審計站在獨立、專業的視角，對標同類企業在經營管理上的良好實踐經驗，提出本企業可以改進和提升的咨詢建議。
綜上，這些大機構的內部審計管理層和專業人員開始率先在工作思路和方法上，進行了巨大的調整和徹底的改變。他們直面，并滿足董事會和管理層的質詢和期望，創新性實踐、總結出“以風險為導向的內部審計方法”，從而達到為企業董事會和高管層提供一層獨立、專業的風險管理保障。
經過十幾年實踐經驗和教訓的不斷總結，他們還提煉出“以風險為導向內部審計方法”為企業和內部審計職能帶來其他方面的益處：
1、有效解決或緩解了機構內部審計人力資源不足的問題和矛盾；
2、為機構培養出一批既懂業務、管理，又擅長風險管理的高端管理人才。
二、以風險為導向內部審計方法特質
以風險為導向內部審計方法與常規內部審計方法，如：問題導向審計、監管導向審計、內控審計、周期審計、全面審計、全過程審計、專項審計等進行對比，有以下關鍵的不同點或特質體現：

常規內部審計方法	以風險為導向內部審計方法
按審計周期循環制定年度審計工作計劃	按公司風險評估結果，并整合專業判斷后自主制定年度工作計劃（需報董事會或黨委批準）；確保審計涵蓋重大風險領域。
按照常規審計方法和流程制定審計項目方案。	被審計單位風險評估，確定審計項目方案中重要風險領域（業務），審計工作資源和重心集中在這些領域上；體現風險導向。
從方案制定到現場工作，重點關注和檢查是否有違反國家法律法規、公司政策規定和制度流程的情況/事項。對標國家、公司法規、規章制度。	方案和現場工作重點關注和檢查、評價風險是否有效識別、評估、管理和報告，包括評價控制是否過度而影響了企業經營目標實現的效率和效益。對標公司戰略目標和年度經營指標的實現，以及國際、國內同類型企業風險管理良好實踐經驗和教訓。
內部審計資源平均分布在所有被審計單位或領域。	內部審計管理層在公司重大/重要風險領域（業務）上達成共識，并集中有效資源在這些領域上。
與被審計單位管理層在審計結論、問題與建議等方面爭執不休，最后相互妥協，審計真實情況和價值體現大打折扣。	與被審計單位管理層坦誠交流審計結論（意見）、問題和建議：對于達成共識部分，整改提升；不能達成共識部分，完整表述審計和被審計單位意見，并在附件中說明。
審計意見和改進建議等，在被審計單位整改落實困難或不到位。	建立內部審計獨立評級體系（高、中、低或1-5級）。對高風險單位、領域、業務或崗位，加大審計頻率（如一年三次以上）；低風險單位、業務和崗位，減少審計頻率（如3年一次），被評為高風險單位的管理層會主動找到內部審計匯報審計建議整改情況，并肯求及時調整風險級別。

綜上，可以看出，機構內部審計從年度計劃、審計方案、現場工作、審計報告、審后跟進等全周期、全過程中，無處不體現聚焦風險，緊緊圍繞高風險機構、高風險業務領域、高風險崗位（簡稱“三高”）開展工作，真正做到“精準風險審計”。
三、踐行以風險為導向內部審計工作亮點
我們曾協助三家國內大型集團企業內部審計試行以風險為導向內部審計方法，發現和總結出這三家企業共有的工作亮點：
工作亮點一，踐行以風險為導向內部審計方法形成的工作成果之一是，建立了集團內部審計獨立、自主的“機構風險評級體系”，即：根據審計風險評價和審計結論，將下屬機構或分公司等分為高、中、低三個風險等級（或1-5級）。內部審計對于高風險機構或分公司，將實施每年不少于2次現場審計；對于低風險的機構或分公司，則每三年審計一次。請注意，這是內部審計通過應用以風險為導向審計方法后，自主、獨立、專業做出的機構風險評級。該評級的理念、方法和結果，需要董事會審計委員會，或黨委批準，但不需要被審計單位管理層同意或認可。這樣做法帶來的“速贏”成果是：這三家國內大型集團內部審計以前從沒有經歷過的情況不約而同的都出現了，即：被評級為高風險的下屬機構或分公司老總，多次主動找到內部審計管理層，要求內部審計及時實施審后跟進，檢查建議整改、落實情況，以便盡快摘掉“高風險機構或分公司”帽子。
工作亮點二，踐行以風險為導向內部審計方法，對機構內部審計專業人員的基本素質，特別是風險管理專業能力和經驗的要求非常高；同時，隨著實踐經驗和教訓不斷積累、總結，也為集團培養了既精通業務管理，又具備風險管理實戰經驗的高端企業管理人才。這三家國內大型集團公司的內部審計管理層和高級經理，先后有多人被調任集團核心重要管理崗位。
四、以風險為導向內部審計方法應用建議
上面總結歸納了踐行以風險為導向內部審計方法帶來的益處和改變，那么這種方法是不是適合所有企業的內部審計呢？我們的回答是：不一定適合，除非你認識到，并準備好做出以下艱難甚至是痛苦的觀念轉變和做法的改變。
第一，你必須明確，每家機構（公司）治理、組織、人員、流程、風險、工具方法、文化及系統等都不盡相同，所以，你沒有可以簡單拷貝的模式、模板、樣例……，而是需要你和審計團隊摸索出方法論，并不斷創新、總結經驗和教訓。
第二，踐行此方法面臨的最大挑戰是內部審計管理層的認識和決心，及內審人員的專業勝任能力。這一挑戰主要表現在內部審計人員的基本素質和風險管理的能力、經驗，對方法論的總結與運用、綜合判斷力、溝通和關系處理能力以及內審工作考核內容和指標等方面。這些素質能力、經驗要求與以前傳統審計方法的要求相比，無論是從廣度，還是深度上都有明顯差異。
第三，最后一條，也是最重要一條，即：內部審計管理層需要向本機構最高決策層，包括董事會、黨委或班子，講解、說明試行以風險為導向內部審計的思路、方法，以及帶來的可能改變、益處，面臨的挑戰等；爭取到最高層的理解支持。這里特別提示機構內部審計管理層，試行以風險為導向內部審計，需要你們有更大的責任和擔當！因為你實施了風險導向審計，又為管理層提供了一層獨立、專業的風險管理保障，而一旦公司還是發生了重大風險，并造成了重大損失，包括聲譽損失，那么內部審計要擔當什么樣的專業責任？你們要事先想好如何擔當責任。
綜合上述，我們提出以下建議：
1、機構內部審計在初期，可以繼續以傳統常規的內部審計工作方法為主，同時有意識的在審計團隊里抽調幾名骨干試行以風險為導向內部審計方法，逐漸形成團隊，并不斷總結經驗和教訓；
2、鼓勵審計團隊將常規審計方法和風險導向方法進行融合、創新；
3、建立“內部審計年度工作回歸檢視庫”和“企業風險管理良好實踐經驗和教訓知識案例庫”；
4、建立“內部審計高端人才培養與輸送庫”。
五、結束語
最后我們想總結強調一點，踐行以風險為導向內部審計方法，首先受益的是我們這些勇于實踐的內部審計專業人員；其次，通過我們風險聚焦且有價值的專業工作，讓機構決策管理層和被審計管理層受益；最終，綜合體現了內部審計的價值，成就了內部審計專業的提升和發展。
以上內容，大家如有任何意見、或有其他相關問題和困惑提出，請按下面郵箱地址聯系，我們會非常高興與大家就相關事項進行討論。
本文作者：

張力
張力現任信永中和審計合伙人，專司審計增值服務。張力先后在中國金融機構和事務所從業27年，專注領域在風險管理和內部審計。
郵箱：zhang_li@shinewing.com

相關推薦

19岁RAPPER潮水,亚洲日本无码AV一区二区三区,亚洲色无码专区在线观看金品,CHINESE高中生自慰VIDEO