我国风险导向内部审计论文

摘要：风险导向内部审计是一种关注和控制组织风险，帮助组织增加价值的新的内部审计模式。本文对风险导向内部审计的研究现状、理论和社会基础进行了研究，对我国实行风险导向内部审计的必要性和难点进行了探讨，并就该审计模式在我国的应用提出了相关建议。今天小编为大家推荐《我国风险导向内部审计论文(精选3篇)》，供大家参考借鉴，希望可以帮助到有需要的朋友。

我国风险导向内部审计论文 篇1：

我国风险导向内部审计的研究

[摘要]随着经济全球化,竞争白热化及科技现代化,企业发展面临着更多的不确定因素,企业面临着高风险的外部环境。而内部审计作为企业的一个职能部门,必然将成为企业防范风险的有效组成部分,只有重视内部审计的重要性,才能帮助企业在复杂的竞争环境中生存下来。鉴于此,本文对推进我国风险导向内部审计进行了研究

[关键词]风险导向审计 内部审计 会计

一、前言

20世纪40年代以后,随着社会和经济的发展,企业规模不断扩大,所有权与经营权进一步分离,经济业务的性质日益复杂,数量急剧增加,会计账目越来越多。为了适应管理的需要,企业开始建立内部控制制度。内部审计自此在公司治理和揭露财务造假中开始扮演举足轻重的角色。中国内部审计协会副会长兼秘书长易仁萍介绍说,2008年内部审计规避的损失浪费达到60多个亿,增加效益2000多个亿。根据普华永道2007年10月12日发布的 “内部审计2012”及“内部审计2012-亚太地区补充篇”等研究报告显示,亚太地区的部分企业都正朝着全球化的目标努力,随之而来的是对内部控制和公司治理形成更高的要求。企业为了提升自己在国际资本市场的竞争力,审计负责人需要对其职能和价值进行重新审视与定位,并采纳以风险管理为中心的审计方式与理念。

二、完善企业风险导向内部审计的建议

1. 转变内部审计观念

当前,修订后的《审计法》将原《审计法》第二十九条修改为“依法属于审计机关审计监督对象的单位,应当按照国家有关规定建立健全内部审计制度;其内部审计工作应当接受审计机关的业务指导和监督”。这实际上扩大了内部审计部门建立的范围。然而我国的风险导向审计刚刚提上议事日程,还在导向和宣传的阶段,企业风险管理相当薄弱。国资委166家中央企业三分之一没有建立审计机构,全国范围内已建立该制度的大概有三分之一或者更多一些。内部审计的主要作用是帮助企业内部人员来控制风险。我们一般把内部审计说成是企业管理者延长的手臂,或者企业管理者的眼睛。实际上内部审计是能够为企业增加价值的,堵塞了漏洞,减少了损失浪费,帮助企业加强了管理,就是帮助企业增加了价值。国外先进的理念推崇风险导向审计,就是要在审计的过程中,关注企业的风险。企业容易发生风险的问题,内部控制薄弱的地方,内部审计都要进行监督,进行有效的识别和控制。现在我们有些企业也提出内部审计无禁区,企业的战略决策、经营决策都可以参与,搞事前、事中审计就可以规避很多风险。我国内部审计起步晚,市场经济还不成熟,所以现在还要关注一些违纪违规的事情。但是审计以后的发展方向是参与企业的风险管理,而且更多的要有风险导向审计。

2. 提高内部审计人员的素质

内部审计在我国发展仅二十多年,从起步到今天每一步都很艰难。外部不能强迫、命令企业建立内部审计机构,而且搞这项工作对人员素质的要求也很高。作为审计人员,不仅要精通财会、审计知识,还要具有管理、金融、统计、法律、和计算机等方面的专业知识。作为企业要不断通过后续教育,培养审计人员的专业胜任能力,提高审计人员敏锐的判断能力和预测观察能力等;要加强申部审计人员的职业道德教育,增加审计人员的责任感和纪律观,培养审计人员具有公正、廉洁的职业道德,要求内部审计人员要有对企业负责的态度和为企业管理服务的精神,认真履行职责,逐步建立起一支具有现代知识素养和职业道德水准的内部审计队伍。

3. 加强内部审计的信息化建设

从1991年开始,世界许多大公司开始了兼并、重组和公司治理的过程,企业面临的风险普遍增大。其主要原因是实施国际化发展战略使得企业的控制链大大延长;信息技术在经营管理中的广泛应用导致计算机犯罪增加。因此,作为企业要充分利用单位信息化资源,连接各被审计单位的网络系统,实现网络审计;利用单位网络平台,实现内部审计办公自动化和信息共享;开发推广应用经济实用的审计业务和审计管理软件、模块、模型,逐步使计算机成为审计工作的主要手段;基本建立健全适应内审业务和内审管理需要的信息数据资料库;积极探索信息系统审计,对信息系统的开发和维护、核心业务参数管理、信息安全进行审计监督;基本建立起一支既精通审计业务,又掌握计算机技术,适应信息化条件下开展审计工作的新型内审队伍。

4. 加强多部门之间的配合

内部审计作为企业内部控制效果的检测器,控制环境是内部控制能否生效的最基本要素。在所有影响控制的要素中,公司治理结构不完善,董事会、监事会、经理层之间没有形成相互制约的权力制衡机制,导致少数管理者权力过分集中;CFO和管理层缺乏诚信或带头逾越内部控制,或缺乏有效的激励机制等,都会导致内部控制失效。内部控制的发展经历了财务控制、财务控制与管理控制相结合、内部控制与风险管理相融合等几个阶段。内部控制与风险管理的关系是一枚钱币的正反两面:控制适当,风险减少;控制过度,效率降低;缺乏控制或控制无效到处都可能出现风险。内控的效率和有效性是决定审计效果的重要因素。在公司内控体系框架设计中,CFO、内控部和各职能部门应实行‘裁判员’和‘运动员’的职责分离。对此,内控的任务是监控业务和财务风险,特别是财务报告目标的可靠性,而内审的职能则是审计内控的有效性,无论是内审还是内控都有许多工作是要和CFO的职责紧密相关的,因此三方之间的携手合作非常重要。

5. 明确审计中的任务分工

首先应该明确在企业风险管理过程中管理层、董事会和内部审计人员各自的职责分工。管理层应对风险管理负责,其职责是制定本企业的风险管理政策和制度,负责实施并使之发挥作用;董事会和审计委员会的职责是判断本企业风险管理政策和制度的适当性,监督风险管理过程中的执行效果;内部审计人员的职责是定期进行检查和评价风险管理过程中的执行效果,发现和分析风险控制缺陷,向管理层和审计委员会提出改进风险管理的建议。从某种意义上说,这就是风险管理战略伙伴的关系。 内部审计部門需要建立良好的风险管理文化,共同处理和解决风险管理所要求的相应技术方法。内部审计人员应注重在财务报告的准确性、风险管理、评价内部控制的有效性、监控外部审计的质量和有效发挥内部审计作用的五个领域帮助审计委员会有效地履行其职责。传统的内部审计角色是企业内部的‘经济警察’;而在新形势下,要求内审部门除了继续扮演传统角色外,还要扮演内部咨询师、制度设计师和风险控制专家的多重角色。从而对内部审计师队伍的专业知识、业务技能、战略感知、行业了解等综合技能提出了更高的要求,由此也引发了企业内部审计部门功能的重新定位。

三、结语

总之,我国企业内部审计起步较晚,与西方现代内部审计相比存在着不小的差距,我国的内部审计还处于一个探索的过程,我国企业特别是国有企业的治理结构还没有到位,内部审计人员素质、审计环境等问题都有待改善。因此,借鉴西方内部审计先进理论、技术和方法将是我国内部审计未来的必然选择。

参考文献:

[1]中国内部审计协会.内部审计理论与实务,北京:中国石化出版社,2004

[2]蔡春 赵莎:现代风险导向审计论.中国时代经济出版社,2006

[3]卓继民:现代企业风险管理审计.北京:中国财政经济出版社,2005

[4]张红英 陈东等:中国内部审计准则—阐释与应用.上海:立信会计出版社,2007.1

作者：阎 凌

我国风险导向内部审计论文 篇2：

风险导向内部审计在我国的应用研究

摘要：风险导向内部审计是一种关注和控制组织风险，帮助组织增加价值的新的内部审计模式。本文对风险导向内部审计的研究现状、理论和社会基础进行了研究，对我国实行风险导向内部审计的必要性和难点进行了探讨，并就该审计模式在我国的应用提出了相关建议。

关键词：风险导向内部审计 推广 研究

风险导向内部审计是一种关注和控制组织风险，帮助组织增加价值的新的内部审计模式。20世纪90年代后半期，国外学者开始致力于风险导向内部审计的研究。2000年后，风险导向内部审计模式的理论引入我国，因为与传统被动式的审计模式有突出区别而引起我国学术和实务界的关注。如强调审计目的为组织增加价值；以实现组织目标为自身的目标；关注组织的战略决策，用管理层的方式进行思维；强调审计双方的协作关系；拓展审计范围，将风险作为审计焦点；注重与管理当局的伙伴关系；强调审计的“客观性和独立性”兼顾等。当前，风险导向内部审计在发达国家的内审实践中日益得到普遍应用和不断完善，但在我国的应用状况却不乐观。本文拟对此进行探讨。

一、风险导向内部审计研究现状及理论基础

（ 一 ）风险导向内部审计研究现状1996年，IIA研究基金会为了建立统一的内部审计全球性框架，发布了《内部审计的未来：特尔菲研究》的报告，提出要建立注重风险防范、提供增值服务、帮助组织实现目标的内部审计发展方向。1997年，IIA成立了一个负责研究内部审计准则新框架的核心工作小组。根据该小组提交的内部审计职业准则新框架，IIA在2001年底发布了著名的《内部审计实务标准》。《标准》认为内部审计应采用一种系统化、规范化的方法来对组织的风险管理、控制及监督过程进行评价，以提高组织效率，实现组织目标。风险导向内部审计改变了原先以检查历史记录和评价组织运营情况为主的审计方式，转变为更加关注组织面临的风险和如何增加组织价值。随着我国公司治理力度的加大以及相关法律法规的颁布实施，风险导向内部审计模式得到了我国学者的重视和研究。如王光远（2002年）对内部审计如何应对企业风险预防和监控提出自己的观点；严晖 （2004年）从系统论与控制论出发，探讨风险导向内部审计对公司治理及内部控制所发挥的整合和反馈作用；王晓霞（2004年）研究了风险导向内部审计的实施程序，包括编制审计计划、选择被审计者、审计目标与测试、审计发现与审计报告、后续审计等。郭群（2006年）提出内审师要首先系统地分析、识别、衡量企业面临的风险，按照风险的高低，制定年度审计计划，确定被审计对象的先后顺序。我国实务界也就各行业实施风险导向内部审计理论和模式进行了较多的探讨。但在我国企业中，风险导向内部审计实施的比例和程度都较小，企业常常是按照法规的要求被动进行，很少出于自身考虑主动实施。同时，内审人员缺乏风险管理知识和意识，也影响我国风险导向审计模式的作用发挥。

（ 二 ）风险导向内部审计理论基础（1）受托责任的履行对风险导向内部审计模式产生直接推动。20世纪初，股份公司制所有权和经营权的分离促使企业独立内审机构的出现，并使财务导向的内部审计得以开展。当时企业内部受托财务责任的履行情况是通过财务报表得以体现，因此当时内部审计的重点由财产、资金保管的安全性和账簿的验证转向了财务报表的审查。1947年，IIA出台了第一号《内部审计师责任说明书》（The statement of Responsibilities of Internal Auditor，简称SRIA NO.1）认为：内部审计目标是帮助管理者有效管理组织业务活动，保护及增加公司利益。1971年IIA颁发了SRIA NO.3认为，内部审计是组织审核内部经营的独立评价和管理控制活动，以衡量和评价控制控制的有效性。这标志着业务导向内部审计的开始。20世纪中后期，复杂的外部环境使得管理者出现决策失误和控制不当的概率增加，决策失误往往对企业有全局性影响，于是决策成为管理中的核心因素。内部审计在注重业务导向的同时，也进入了管理导向阶段。管理导向内部审计旨在帮助管理层明确决策方向，增强决策效果，提高组织竞争力。在技术上强调“人性化”，即要与公司的管理层以及被审计单位保持良好的人际关系，采用“参与式审计”的形式，又要以系统的、动态的眼光看待管理，充分考虑外部关联方的影响和组织的社会责任。特别是审计委员会制度的建立更强化了以管理为受托责任的内部审计的开展。20世纪90年代，科技的发展导致管理理论与实践发生了丰富的变化，如质量管理、战略管理、企业文化管理理论都有了新的演进，各国也出台各种涉及公司治理、内部控制以及风险管理的法规。IIA出台以风险为主导的内部审计实务标准正是适应了防范风险的受托责任观的转变。（2）管理理论的发展为风险导向内部审计提供了坚实的理论基础，主要有：一是委托代理理论。科斯（Coase）1937年提出“企业是生产要素的一组契约”的观点，引发了最早的委托代理理论。该理论认为，企业是由构成企业的各利益相关主体（包括外部的债权人、关联交易商、客户、内部股东、经营管理者和员工等）组成的共同组织，是他们之间缔结的一组契约的联结。为了防范委托人和代理人之间的信息不对称，确保代理人的行为不偏离或损害委托人的目的和利益，委托人必须采取相应措施对代理人行为进行控制。这是内部审计即发挥监督作用，也承担代理人角色的理论根源。二是“纳氏均衡”理论。1994年约翰·纳什提出了“纳氏均衡”理论，认为组织战略虽然是由单个人的最优战略组成，但并不意味着是一个总体最优的结果。在个人需求与集体需求冲突的情况下，追求自身的利己行为可能导致对所有人都不利的“均衡”结局。因此，合作才是最有利的“利己策略”。根据该理论，企业内部各机构只有目标一致，相互了解，才能使企业实现最终目标。因此，内部审计不应在组织内部扮演“警察”角色，而应与各部门相互合作。三是支持关系理论。伦西斯·利克特（Rensis Likert）提出在一个大的组织系统内建立起发挥“连接点功能”的组织来协调各子系统的活动。该理论强调每个组织成员的工作都是不可或缺，而内部审计就是这些成员间最重要的“连接点”之一。风险导向内部审计，由于其目标与组织相同，理应承担维持组织整体性的“连接点”作用，实现企业高效运作。四是权变学派理论。该理论强调在管理中要根据组织所处的内外部条件随机应变，寻求最合适的管理模式或方法。据此，风险导向内部审计必须思路广阔，审时度势，了解组织的活动与外部环境的适应性，并据此提出自己的建议。五是战略管理理论和风险管理理论。迈克尔·波特以及20世纪60年代初，安东尼、安索夫和安德鲁斯的“3安范式”为代表的战略管理理论，迈克尔·哈默及詹姆斯·钱皮的企业再造理论也对风险导向内部审计产生较深影响。他们强调要适应多变和多样化的环境，从战略层面和风险层面重新审视现有的管理实践，关注未来和价值增值。（3）相关法规的出台也为风险导向内部审计的推广垫定了基础。20世纪90年代，公司治理、内部控制及风险管理的研究进入了较为成熟的阶段，各国纷纷出台各种规范。在公司治理方面，先后颁发了Cadbury报告、Greenbury报告、Hampel报告、Turnbull报告等；在内部控制方面，1992年，COSO委员会发布了 “内部控制整体架构”；在风险管理方面，2001年加拿大颁布了整体化风险管理框架；2002年美国政府颁布了萨班斯一奥克斯利法案；几大国际会计师事务所如安永、普华永道都发布了风险管理指南；COSO委员会2004年发布了《企业风险管理框架》（Enterprise Risk Management Framework，ERM）。这些法规突出了风险管理和公司治理、内部控制的关系，充分反映了风险理念对公司治理和内部控制的影响，强调了管理层对风险的关注，一定程度上完善了风险导向内部审计的运作环境。

二、我国风险导向内部审计的现状及应用必要性

（ 一 ）我国风险导向内部审计的现状 （1）我国内审机构的建立行政色彩鲜明。内部审计是国家审计在企事业的延续和补充，并在国家审计的业务指导和监督下开展工作，行政色彩浓厚。内审机构既要接受国家审计机关的业务管理，维护国家利益，又要在本单位领导下开展工作，造成既非政府审计、也非社会审计的模糊身份。单位决策层普遍认为内部审计是因行政命令而设，并非自身管理所必需，很少重视完善风险导向内部审计的工作环境。（2）内审人员素质难以满足风险导向审计要求。风险导向内部审计是识别、评价和控制风险，增加企业价值的综合性经济分析活动，对内审人员知识和技能要求很高，要具备财务、审计、管理、法律、金融、工程、信息等多科知识，熟悉企业生产经营环节，掌握定量分析方法和计算机审计技能。而目前我国内审人员还不具备开展风险导向内部审计所要求综合素质，在知识面、学科结构上欠缺；审计方法简单，理论和实践技能不强；并且具有CIA资格的内审师匮乏。如我国内审人员大多所学审计和会计专业，适合开展账项和制度基础审计，在改善单位经营管理、加强风险的应对、增加企业价值等方面还存在很大不足。但在西方，内部审计人员的专业构成是1/3经济管理专业，1/3工程技术专业，1/3其他专业。并且内部审计以管理审计为主，财务审计和遵循性审计为辅。1989年美国公用事业行业企业内部审计只有19%的时间用于财务审计，其余时间都转向经营审计。（3）内部审计管理方法落后、风险管理体系不完善。与国际先进企业大量运用数理统计模型、金融工程等先进方法进行风险管理相比，我国风险管理方法较为落后，大多采用定性分析法。不能恰当地预测、识别、评估和应对风险，进而影响企业目标的顺利实现。我国企业尚未建立起完善的风险管理体系，风险管理活动往往是按照法律法规的要求被动进行，并非出于企业自身考虑主动进行。据调查，80%的被调查单位不存在专门的风险管理机构；35%的被调查单位由总裁来监督风险管理活动；68%的被调查单位不存在正式的风险管理活动；60%的被调查单位对风险的管理仅限于按照法律法规的要求购买一些强制性保险，而很少系统地考虑防范风险的措施。这显然不能满足企业在激烈竞争和多风险环境中求发展的要求。（4）内部审计缺乏相对独立性。我国内审机构因国家干预和推动而建，组建欠规范，审计机构和人员缺少相对独立性的状况突出。内审机构的工作经费和人员的工资、福利都受本单位负责人支配，以致当领导的经营行为违法违规或不合理时，内审人员顾虑重重，难以履行监督和评价职能；在制定审计计划、实施审计程序、出具审计报告时常受到各方面牵制，难以开展独立的审计活动。在审计项目的选择上，西方内部审计采用系统选择法、示警事项法以及应被审计者的要求选择。系统选择法是基于对企业风险的评估和排序的选择，是西方最主要的选择审计项目方式。而我国组织选择内审项目时，被动接受管理层的指示和安排占了很大比重。

（ 二 ）我国应用风险导向内部审计的必要性目前我国大部分企业的内部审计仍然采用帐项基础审计和制度基础审计模式。而这两种审计模式由于本身固有的缺陷使得内部审计的审计效率低下、审计结论缺乏可操作性。在帐项基础审计模式下，审计人员将精力放在被审计单位会计记录及其有关凭证的审查上，而较少分析产生财务报表结果的过程、原因和对策。该模式只能适用于一些小规模企业的财务审计，难以用于较大规模的企业。在制度基础审计模式下，内审人员注重对内部控制的审查，通过制定计划进行符合性测试和实质性测试，对企业内部控制做出评价，并向管理层提出改进措施。然而该模式以被审单位内控制度的执行为审计重点，而不是根据内控制度要实现的企业目标为审计依据，可能会导致审计结论脱离企业目标；其次，该模式主要关注如何加强内控系统，会导致内控系统越来越严密而僵化；此外，该模式着眼于对过去和当前的经济活动进行审查和评价，导致审计效果滞后。风险导向内部审计依据风险立项，关注风险，测试风险，控制风险。将风险分析评价、建议结论紧紧围绕如何控制风险、增加价值开展，使内审宗旨简单直接。传统的内部审计无法有效地为组织增加价值，影响内审本身在组织中的地位。与此同时，外部审计扩展服务领域，将风险评估、会计咨询、投资及管理咨询等业务纳入自己的工作范围，向企业提供咨询服务。企业为了节省成本和开支，也不断地削减内审机构或部门，将内审业务外包。内部审计外部化客观上动摇了内部审计在组织中的地位，威胁内部审计的职业生存。在这种危机面前，内部审计积极为整个组织提供风险咨询服务，推行风险导向审计模式，重新树立了内部审计高于外部审计的指导优势，巩固了职业生存空间。

三、我国实施风险导向内部审计对策

（一）建立相关完备、健全的法律规范体系根据2003年5月1日起施行的《审计署关于内部审计工作的规定》，中内协制定了《内部审计基本准则》、《内部审计人员职业道德规范》和10个具体准则。至今，中国内部审计协会己经颁布了27个内部审计具体准则。这些规章发挥了一定作用，但与内部审计的发展要求还相差甚远。与最新的IIA准则和国际内审惯例相比，中内协对内审规章引入风险导向观念的程度和范围仍不充分。IIA的“风险管理”、“增加价值”、“咨询”、“控制自我评估”、“审计委员会”等概念，在中内协的准则中，未予引入。因此，当前急需建立起一套完备、健全的法律规范，从制度层面保障风险导向内部审计在我国的顺利开展。

（二）推广以风险导向内部审计为辅助的混合审计模式风险导向审计模式的产生，并不意味着原有审计模式的淘汰。在当前审计中，既不能缺乏风险导向的审计意识，也不能单独推崇风险导向审计而排斥账项基础审计和制度基础审计，而应根据实际情况，使用混合内部审计模式。例如将账项基础审计为主，风险导向内部审计为辅的混合模式应用于高风险企业或家族企业。将制度基础审计为主，风险导向内部审计为辅的混合内审模式应用于生产规模大、经营广泛的大中型企业和跨国公司等。因为设计良好，执行有效的制度、账项基础内部审计也能很好的满足审计目标，所以为了适合我国经济发展状况和企业治理结构所需，我国审计实务界当务之急是汲取国外内审经验，逐步引入和应用风险导向内部审计的理念，开发出适合我国企业现状、以风险评估为中心的混合审计程序和模式，以促进我国内审事业发展。

（三）采用多样化的风险评价方法审计人员需要将所关注的风险控制目标、程度、有效性和影响等与管理层进行有效的沟通。如何将风险情况准确反馈给管理层需要一个较好的风险评价方法。一是内部控制自评。即内部审计帮助管理层对本单位内控的合理性、有效性进行评估，反映当前管理控制中存在的问题，明确管理责任，更好的促进企业发展。该方法可减少工作量、节省审计工作时间。二是利用网络收集风险数据，设立风险指标。内审人员收集企业内外部信息资料，建立数据库，利用一定的指标把企业面临的风险量化，以评价风险，达到控制和预防的目的。

（四）转变内部审计观念 随着现代公司制企业的迅速兴起，内部审计不再仅是强化控制、提高控制效率和效果，而是转向规避风险、转移风险和控制风险，通过风险管理的有效化，提高企业整体管理效率和效果。我国内部审计应当尽快更新观念，转换角色，加强与组织各部门的配合和沟通，为内部审计积极参与风险管理奠定基础。

（五）兼顾内部审计的客观性和独立性独立性通常被认为是内部审计最为重要的属性，但是内部审计的独立性存在固有局限，无法从根本上实现“超然独立”。对“独立”属性的过于强调会导致内部审计人员与组织其他部门之间的敌对关系，内部审计“咨询顾问”、“业务伙伴”的角色也就无法体现，所以要在强调内部审计独立的同时，更加注重客观性。IIA2001年颁发的内部审计定义中用“独立、客观”取代了此前六十年所有定义中都没有改变的“独立”。“独立”指内部审计机构的独立性，“客观”指内部审计人员的客观性。机构的独立性要求内部审计机构在报告结果时必须独立，在确定审计范围、实施审计程序、报告审计结果时不受干扰。客观性要求内部审计人员必须有公正的态度，不偏不倚，避免利益冲突。

（六）提高内部审计人员的胜任能力 IIA 1999年发布“内部审计人员胜任能力框架”的研究报告CFIA （The Competency Framework for Internal Auditing）认为，风险导向内部审计的关注点的变化，带动内审人员知识技能和行为技能的提高。当前要积极提升我国内审人员胜任能力，一要具备广博的知识和多元化技能，熟悉行业、市场、产品竞争等外部环境和单位内部各职能、流程的全貌，具备战略管理和风险管理的基本知识，具有分析和应用能力的综合素质；二要有面向未来的积极态度及风险防范意识，具有洞察评估风险（自身审计风险和单位整体风险），主动收集信息评估战略、政策、财务、领导等各类风险，运用分析程序，设计审计测试方案，寻找促进组织增值的途径；三要具有全局意识，能够提交具有建设性意见的内审报告，促进单位由过程管理、行为管理向文化管理、战略管理转变；四要具备处理人际关系的能力和技巧，与组织内各层级管理者建立良好的正式关系，注重培养内审人员良好的职业心态及行为能力；五要加强后继教育和理论研究。对内审人员进行定期培训，特别是风险导向内部审计对单位的效益和投资决策的影响要重点学习和研究，注重把实践经验总结提炼、交流推广。

（七）创新内部审计的技术和方法 依托信息网络技术，构建内部审计信息化的网络平台，在平台上通过计算机网络信息交换提高审计效率和质量，降低审计风险；改变传统审计方法，充分利用风险评估、内控测试等先进的审计方法；改善内部审计人员的构成，不仅要有精通财务和审计的人才，还应配备熟悉企业各项相关业务的专门人才；加强对内审人员的后续教育，使其及时地更新知识，掌握新的技术和方法，不断提高自身的专业水平和职业判断能力。会计电算化的普及，加快了审计信息化进程，计算机审计成为未来审计的重要方向。计算机审计能比手工更迅速有效的完成审阅核对、分析比较等各项工作，能对内部财务系统及会计工作实施有效的监控与评价，对各种资金、资产进行密切跟踪，从而得以评估和控制风险。然而，目前我国采用计算机审计才刚刚起步，认识不到位，计算机内部审计还没有推广。我国要积极开发使用电算化审计软件，完善计算机辅助审计系统和数据库；内审部门要配备或外聘专门信息技术人员，加大对内审人员的计算机技能培训，不断深化并拓宽培训内容。

参考文献：

［1］罗冬梅：《风险导向内部审计在我国的应用研究》，《湖南大学硕士学位论文》2007年。

［2］王宁等：《行政事业单位内审计研究》，《中国内部审计》2009年第11期。

［3］田蕾：《推进我国风险导向内部审计的研究》，《首都经济贸易大学硕士学位论文》2008年。

（编辑 聂慧丽）

作者：李晓春 高维红 李艳萍

我国风险导向内部审计论文 篇3：

对信息条件下我国商业银行风险导向内部审计立项问题研究

［摘 要］ 随着计算机技术的广泛应用，信息化处理渗透于商业银行的日常经营、重大决策、控制监督等方方面面。面对经营和账务处理产生的大量信息，如何进行加工整理，发现和选择商业银行经营风险大的业务并进行年度审计立项，是商业银行内部审计部门价值的集中体现，是其必须重视的问题。基于此，本文以风险为导向对商业银行内部审计立项的方法进行了研究。

［关键词］ 信息；商业银行；风险导向；审计立项

doi:10.3969/j.issn.1673-0194.2009.10.0２1

［

一、引言

我国于2006年12月已全面放开金融市场，这使国内商业银行面临的经营风险进一步加大。而其作为国家经济命脉，是否能够持续健康地发展对宏观经济和社会稳定起着至关重要的作用。如何防范经营风险是我国商业银行理论界和实务界必须研究的一个重要课题。从国外先进银行的成功管理经验来看，商业银行内部审计部门作为风险管理平台的重要组成部分，关注的重点就是商业银行的经营风险，找出经营风险大的审计对象进行审计。而从目前国内商业银行内部审计的现实情况来看，大多数商业银行仍采用“拍脑袋”的方式进行内审立项，即以决策者的要求或是下级行提出的审计需求为主要依据。这种“拍脑袋”式的审计立项，实质是一种主观判断，不能量化审计对象的经营风险，难以突出商业银行风险导向内审的特点，有可能将经营风险较大的审计对象漏掉。所以进行商业银行内部审计的科学立项，充分利用信息处理平台和数据接口，建立一种以评价审计对象经营风险为目的的审计项目选择体系，对于提高内审工作效率、突显其价值和降低经营风险有着重要意义。

二、商业银行内部审计立项方法的思路

首先需要说明的是本文中所谈的商业银行内审立项的风险导向原则，并不是审计学中一般意义上的风险导向审计。因为大多数审计学教材中所指的风险导向审计是立足于民间审计，针对注册会计师在财务报表审计中，通过使用审计风险模型并积极采用分析程序，规避审计风险，实质是一种强调自我保护的审计策略。而本文中提及的商业银行内部审计立项的风险导向，是指以商业银行所经营的业务或所属分行的经营风险大小为依据来确立审计项目，其核心思想就是参照新巴塞尔资本协议{1}，对商业银行审计对象进行分类，按照新协议中有关经营风险的计量方法将风险量化并分配到重新划分的审计对象中，使每个审计对象之间可以比较，为商业银行的内部审计年度立项提供依据。

(一)商业银行审计对象的分类——确立审计单元

按照新巴塞尔资本协议，商业银行面临的风险主要包括信用风险（α1风险）、市场风险（α2风险）和操作风险（α3风险）。其中信用风险是指由于借款人或市场交易对手违约而导致的损失的可能性，包括交易对手的违约风险和其信用状况和履约能力上的变化，可能导致债权人资产价值发生损失的风险。市场风险是指因市场价格变动而使商业银行表内外业务发生损失的风险，根据基准市场价格的不同，市场风险可分为利率风险、股票价格风险、汇率风险和商品风险。操作风险是指由于人员和系统的不完备或失效，或由于外部事件，造成损失的风险。而由审计对象内部控制（内部控制是指企业为了保证业务活动的有效进行，保护资产的安全和完整，防止、发现、纠正错误与舞弊，保证会计资料的真实、合法、完整而制定的政策与程序）不健全而引发的风险，称为β风险，其大小可以按照内部控制的评价结果来代替。审计对象的分类是商业银行内部审计立项的基础。首先将商业银行的产品按照涉及的经营风险因素不同分成两大类集，其中：甲类产品主要涉及商业银行的资产与负债业务，涉及了α1风险、α2风险、α3风险和β风险。乙类产品是提供后台支持或管理服务的，主要涉及β风险，本文假设商业银行已建立了内部控制评价体系，可以定期进行内部控制状况的评价，得出量化的评价结果，对其进行风险测试可以直接利用内部控制的评价结果。其次将以上两类集列入二维坐标轴的横向，而坐标轴的纵向是按照商业银行授权设立的不同级别的营业机构，如第一层为总行本级、第二层为分行本级及其经营网点等。最后横向与纵向的交点即是审计单元，审计单元的划分情况参照如下二维矩阵表（见表1）。

（二）建立甲类产品经营风险测算模型

如果简单使用新巴塞尔资本协议的风险计量技术，存在甲类产品的经营风险测算结果对最新内部控制的变化不敏感的情况，所以需要建立相关数学模型对甲类产品的经营风险测算结果进行修正。具体做法是：在得出甲类产品的α风险测算结果后，先将上期的β风险（数据用上期的内控评价结果代替）进行剥离，然后再将当期的内控评价数据添加进去，这样可以更好地反映出甲类产品的经营风险状况。

在测算甲类产品的经营风险时，为了将当期的内控评价数据置换进来，经过数学推导（过程略），建立如下用来测算经营风险测算当期值的计算公式:

R甲=（α1+α2++α3）×β1×{7/［（α1 +α2+α3） + β0-1］}/3。

式中，R甲为甲类产品经营风险测算当期值，β1为当期内部控制测试值，β0为上期内部控制测试值。

三、审计单元经营风险测算过程

（一）审计单元风险评估的数据准备

在评估期内，有关各种业务信息可以通过数据仓库的数据接口取得，一般应包括如下主要数据：

（1）审计对象评估期间的试算平衡表或总账二级科目余额明细；

（2）审计对象评估期间的５级分类口径信贷资产归属二级科目的余额数据；

（3）审计对象评估期间的非信贷不良资产归属二级科目的余额数据；

（4）审计对象评估期间的甲类产品的市场占比情况；

（5）基于COSO{2}的内控评价模型对机构内部控制情况进行测试的评分结果（当期的和上期的）；

（6）被评估审计对象审计单元的资产规模∑A，其中∑A为全部审计单元涉及资产科目当年１０日均余额之和。

（二）对审计单元经营风险的测算

由于审计单元性质不同，涉及的经营风险分项也不相同。例如：在甲类产品中，资产类产品的经营风险主要包括α1风险、α2风险和α3风险；负债类产品的经营风险主要包括α2风险和α3风险两部分。而在乙类产品中仅涉及β风险。

1. 对甲类产品经营风险的测算

测算的过程主要包括：对审计单元的信用风险进行测算、对审计单元的操作风险进行测算、对审计单元的市场风险进行测算、合成及对甲类产品内控评价数据的置换。

（1）对审计单元的α1风险进行的测算。

α1风险主要针对各项业务（资金业务除外）涉及的资产而言。

α1风险=（各资产科目正常类资产年末余额×正常类资产预计损失系数+各资产科目关注类资产年末余额×关注类资产预计损失系数+各资产科目次级类资产年末余额×次级类资产预计损失系数+各资产科目可疑类资产年末余额×可疑类资产预计损失系数+各资产科目损失类资产年末余额(损失类资产预计损失系数）/∑A。

其中正常类、关注类、次级类、可疑类和损失类的分类标准可以借鉴人民银行关于商业银行贷款５级分类的标准，具体标准见表2。

其中各系数标准可以参照我国有关金融监管部门的有关规定，也可以根据上期经营风险测算的结果并结合专家判断，对各系数标准进行调整。

（2）对审计单元的α2风险进行的测算。

由于我国的利率市场化程度不高，在本文中商业银行审计单元α2风险暂不按照巴塞尔协议中的要求进行计算，而是采用较为简单的缺口分析（Gap Analysis）法进行评估。审计单元α2风险计算公式：α2风险=|利率敏感性资产-利率敏感性负债|=|短期贷款-公司类活期存款| /∑A。

（3）对审计单元的α3风险进行的测算。

审计单元的α3风险是按照当期所实现收入的可能损失的金额的一定比例计算。资产类产品α3风险计算公式为：α3风险=|年内各审计单元对应收入额－各审计单元对应资产当年５日均余额×上存资金利率|×18%{3}/∑A；负债类产品的α3风险计算公式为：α3风险=|（审计单元对应负债日均或５日均余额×上存资金利率－审计单元对应负债业务支出额|×18%/∑A。

（4）审计单元经营风险测算结果的合成。

第一步，合成α风险。根据上文中的计算结果，将α风险进行汇总，其中α风险=α1风险+α2风险+α3风险；

第二步，置换β值。依据上期和当期的COSO内部控制审计评价结果，分别取得各审计单元的内部控制的上期和当期百分制评分S（i，j），审计单元的β值（i，j）=[100-S（i，j）]/100。利用公式: R甲=（α1+α2++α3）×β1×{7/［（α1+α2+α３） + β０-1］}/3，计算出甲类审计单元的经营风险当期测算值。

2. 对乙类审计单元经营风险的测算

根据前文所述，由于乙类审计单元仅涉及控制风险，所以根据COSO内控评价的结果直接测算乙类单元的经营风险，公式为R乙＝| β1 -β0 |×100％。其中，R乙为乙类审计单元的控制风险；β1为当期内部控制测试值；β0为上期内部控制测试值。

（三）充分利用商业银行的数据仓库

经营风险测算过程可用函数关系式来表示：Ｙ= f{A， f1(O，A，X)， f2 (O，A，X)}。其中，Y为风险测算结果数据集；O为来源于经营部门的业务数据集，主要包括会计账务数据、信贷资产质量数据、非信贷资产质量数据等；A为来源于内审部门的数据集，包括依据COSO内控评价体系得到的审计单元内控评分、风险评估参数等；X为内审人员根据有关信息确定的重大调整事项对应的数据集。

以上对商业银行审计单元划分、数学处理模型以及审计单元经营风险测算等过程可以编写计算机程序，形成处理操作友好界面，通过建立与业务系统的数据接口，进行信息的自动化处理，提高工作效率，下文对商业银行的数据仓库及数据测算的过程作简单介绍。

1.数据仓库的结构

数据仓库是指在银行经营管理中面向主题的、集成的、与时间相关的、不可修改的数据集合。对商业银行来讲，一般的数据仓库由如下构成：

（1）数据源。通常包括银行内部信息和外部信息。内部信息包括存放于RDBMS中的各种业务处理数据和各类文档数据。外部信息包括各类法律法规、市场信息和同业的信息等。

（2）数据的存储与管理。它是整个数据仓库系统的核心。按照数据的覆盖范围可以分为总行级数据仓库和部门级数据仓库，即为了特定的应用目的或应用范围，而从数据仓库中独立出来的一部分数据，在数据仓库的实施过程中往往可以从一个部门的数据集市着手，再用几个数据集市组成一个完整的数据仓库。

（3）OLAP服务器。对分析需要的数据进行有效集成，按多维模型予以组织，以便进行多角度、多层次的分析。

（4）前端工具。主要包括各种报表工具、查询工具、数据分析工具、数据挖掘工具等各种基于数据仓库或数据集市的应用开发工具。其中数据分析工具主要针对OLAP服务器，报表工具、数据挖掘工具主要针对数据仓库。数据仓库的结构关系如图1所示。

2.利用数据仓库进行测算的过程

利用数据仓库进行测算的过程如图2所示。

首先是设定相关任务数据，其次通过数据仓库进行数据挖掘，再次是将挖掘结果输入经营风险评估模型中进行计算，通过对计算结果进行复核性分析，最后将差异较大的结果与数据系统进行再交换处理，实现数据的二次计算，得出修正后的结果。

（四）后续处理

1. 确定内部审计计划

商业银行首席审计官在综合年度工作目标、风险评估报告、备选审计项目、审计资源情况的基础上，确定年度审计计划。

2. 确定审计单元下次检查时间

（1）通过制作“审计单元审计时间表”，在表中标注每个业务单元的上次审计时间。

（2）按立项年度审计单元经营风险测算值重新确定每个审计单元的审计周期并依此调整“审计单元审计时间表”中审计单元的下次应审时间。

（3）在“审计单元审计时间表”中，把下次审计时间与立项年份数相同的审计单元选出来，同时还要识别监管当局和决策层关注的重点业务，得出“审计单元当期审计时间表”，作为立项选择的依据。

3. 对审计单元风险测算结果进行披露

按照全面风险管理框架（Enterprise Risk Management）的有关原则，商业银行内部审计部门应该把风险测算结果以及据此形成的风险评估报告进行内部披露，实现风险状况信息的共享，并可以督促评估结果较低的审计对象改善风险管理情况。

四、结语

商业银行是专门经营货币的特殊企业，具有高负债性和高外部性的特点，其不仅追逐效益性，也更加关注安全性和流动性。我国的商业银行法中特别明确商业银行要以安全性、流动性、效益性为经营原则，将安全性放于“三性原则”的首位，可见其应是经营管理中首要关注的问题。作为以风险评估为核心，充分发挥商业银行数据仓库作用的内部审计项目选择方法，在功能上很好地实现了商业银行这种安全性的要求，使商业银行内部审计项目选择更理性、可度量，并使内审的事后监督职能前移，进一步体现内审的价值，同时也是对商业银行内部审计理论和实务的进一步完善。

主要参考文献

［1］ 章彰.商业银行信用风险管理——兼论巴塞尔新资本协议［Ｍ］.北京：中国人民大学出版社，200２.

［2］ 屈延文，等.银行行为控制——银行信息化与安全［Ｍ］.北京：电子工业出版社，2006.

［3］ 管劲松，等.审计风险管理［Ｍ］.北京：对外经济贸易大学出版社，2005.

［4］ 胡春元，风险基础审计［M］.大连：东北财经大学出版社，2006.

［5］ 邱银河，等.计算机审计实务操作［Ｍ］.北京：人民邮电出版社，2006.

注：本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文

作者：王　李　温阳莉