谈谈风险管理审计实践常见的几个问题------吴江涛博士

一、审计导向问题

伴随近年企业内审工作的深入，许多企业内审工作开始调整审计模式，即从“合规导向内部审计”逐渐转变为“风险导向内部审计”。合规导向审计以监管法规、企业制度为审计判断依据，以揭示和防范合规问题为立足点和审计目的。国内大多数企业的内部审计基本上采用的是这种模式。风险导向内部审计以企业风险水平为判断依据，以揭示和防范企业风险为立足点和审计目的。由于风险导向内部审计是一种新的审计模式，相关内审理论研究比较缺乏，内审实践也缺乏成熟的经验，企业内审人员开始大量借鉴和引入社会审计的风险导向审计理论和模型。这种借鉴是很有必要的，但审计实践中常见一些企业内审人员简单照搬和移植社会审计的风险导向审计理论。

在社会审计领域，所谓风险导向是指通过评估社会审计机构自身的审计风险大小，来确定审计思路、重点、程序和分配审计资源。其中的“风险”通常是指社会审计机构自身的审计风险。其风险评估模型是：审计风险=重大错报风险ⅹ检查风险。其中：重大错报风险与被审计企业的控制环境和内部控制相关，包括报表、交易及会计记录两个层次的错报风险；检查风险与社会审计机构及人员自身的审计水平与能力相关。一些内审机构及人员在谈及风险导向内部审计时，常常简单引用这些概念与模型。由于这种引用没有考虑内审的自身特性，常常流于空泛，很难付诸实践。一方面，社会审计是通过提供审计服务获取盈利的独立机构，其经营导向可以而且需要立足于自身的“审计风险”。每一个审计项目通常也都是以其审计风险为出发点来安排其审计投入。而内部审计机构则不同，其只是企业内部的一个职能机构，其活动的立足点和出发点在于企业活动利益，而不可能局限于部门利益。因此，风险导向内部审计是以企业经营管理风险为导向，而不是以审计部门的审计风险为导向。另一方面，社会审计的对象是企业财务报表，其鉴证的是财务报表的真实性与公允性，主要关注与揭示的是财务报表风险。社会审计机构管理企业财务报表风险揭示活动的基本路径：一是测试评估企业内部控制及风险管理状况；二是检查测试企业财务会计活动；三是评估并管理自身专业管理水平（检查能力与水平）。因此，体现在审计模型方面是：审计风险=重大错报风险ⅹ检查风险。而风险管理内部审计的对象是企业风险管理活动（内部控制内部审计的对象是内部控制），其鉴证的是企业风险管理活动与企业经营风险水平的适宜性，主要关注与揭示企业风险管理活动存在的问题（风险）。内部审计机构揭示企业风险管理适宜性的基本路径：一是测试评估企业经营活动风险水平；二是测试评估企业风险管理活动。因此，风险导向内部审计不可能照搬社会审计风险模型。如果要建立一个模型，其审计模型可以是：企业经营管理风险=企业经营活动风险ⅹ企业风险管理活动风险（即风险管理活动不适宜的风险）。

二、审计思路问题

由于风险管理审计的对象是企业风险管理活动，一些内审机构及人员往往直接把“风险管理活动”作为审计出发点。其基本审计思路是：检查企业风险管理活动——对照企业制度要求——揭示风险管理活动与企业制度要求之间的差异（问题）。这种审计思路是典型的合规导向型审计思路，最大缺陷是只关注“管理活动”，却忽略了“企业风险”。在这种思路下，内审人员首先并主要关注的是企业风险管理的组织机构、政策、程序和管理行为，其揭示的问题也主要是组织机构、政策、程序和管理行为相对于制度要求的偏离，比如：“风险管理部的人员配置不够”；“某事项按制度要求应报法律事务部门审核而实际未见法律部门审核意见”等。其审计过程及结果很少涉及与企业实际风险状况相关的核心问题，包括：企业的战略和经营目标是什么（企业目标设定）？哪些交易或事项会导致风险（达成目标的交易、事项或可能产生风险的交易或事项）、有哪些风险且风险水平怎样（风险识别）、风险管理是否已注意到这些风险并采取了适宜举措（风险应对）等。

风险管理审计的对象是企业风险管理活动，企业风险管理的对象是企业经营风险，企业经营风险源自交易或事项（经营及管理活动），而交易或事项是企业战略目标和经营目标驱动的。因此，风险管理审计的基本思路应是：识别与评估企业经营环境——测试与评估企业战略及经营目标——识别企业交易或事项——识别交易或事项相关风险（交易类型、风险源及风险类别）——测试与评估经营风险——测试与评估风险管理活动——评估并揭示风险管理活动的适宜性。在这种思路下，内部审计部门重点关注以下风险：

（一）战略及经营目标的适宜性，即战略及经营目标是否与企业实际情况相适宜。通过两种方式实现：一是通过识别与评估经营环境，并与企业战略及经营目标进行比较，判断战略及经营目标是否适宜外部环境；二是通过对企业经营管理活动的测试与评估，反过来判断企业战略及经营目标是否符合企业当下的实际内部运营水平。

（二）经营及管理活动的有效性，即企业交易或事项是否与企业战略及经营目标相匹配。企业经营及管理活动必须是战略及经营目标所驱动的——是“合目的性”活动，才属于有效活动。偏离战略及经营目标的经营及管理活动，是冗余的、无效的。

（三）企业风险管理活动的有效性，即企业风险管理活动与企业经营风险水平是否相适宜。体现在审计思路上，包括三大步骤：一是识别与评估经营风险。具体行为包括：测试交易或事项的风险表现；划分交易或事项的风险类别、性质；评估单项交易、事项或整体经营活动的风险水平。二是识别与评估企业风险管理活动，既包括普适性的风险管理活动、举措，又包括针对特定交易、事项采取的应对举措。如：风险管理组织架构；风险管理策略与政策；风险管理程序；风险识别、评估、提示与报告活动；风险应对举措等。三是比较风险管理活动与经营风险的适宜性。一方面，审计人员要比较自身所识别与评估的企业经营风险，与企业风险管理部门所识别、评估的企业经营风险是否一致，找出差异，评估风险管理部门对经营风险的识别与评估是否存在偏差；另一方面，审计人员要比较企业风险管理部门采取的风险管理举措，是否与企业风险管理部门所识别、评估的企业经营风险相匹配，以及是否与审计人员自身所识别、评估的企业风险相匹配。在该环节可能发现的重大偏差包括：企业风险管理部门未能识别交易或事项产生的某项风险；企业风险管理部门对某项风险水平的评估严重偏离其实际状况；企业风险管理部门未对已识别风险采取应对措施或应对措施不适宜等。

从这种审计思路可以发现，审计部门审计企业风险管理活动的思路，与企业风险管理部门管理企业经营风险的思路是基本一致的。主要差别在于，审计部门是一个“后台”风险管理部门，其还要将企业风险管理部门的风险管理活动也要纳入监督范围。

三、审计程序问题

由于一些企业内审部门的风险管理审计遵循的是“合规导向型审计”思路，其审计程序通常以制度为出发点，采用“疑问式”表述方式进行设计。比如，制度规定“企业应设立风险管理部门”，相应审计程序设计为“检查企业是否设立风险管理部门”；制度规定“企业应识别企业经营风险”，相应审计程序设计为“检查企业是否识别企业经营风险”等。以制度为出发点设计程序存在一个基本缺陷：审计活动局限于制度规定的“管理活动”范围内，审计活动关注的领域常常不完整，也很难克服制度本身的局限性。“疑问式”表述方式存在的缺陷则是：审计程序未能突出审计行为，或审计行为比较空泛，导致审计程序的指向作用和可操作性受到影响。受这种程序设计局限的影响，审计部门很难揭示出企业潜藏的真正风险隐患。

审计部门应致力于从两个方面改造审计程序的设计：一是以重大风险性问题的常规表现作为程序设计的出发点。比如：“企业没有制订战略目标或战略目标不适宜”、“企业发生的交易或事项严重偏离企业经营目标”等。这样可以把突出风险点提示出来，有利于将工作重心集中于发现风险性问题。二是采用陈述句的表述方式细化发现风险性问题所采取的审计行为（行为陈述式审计程序）。比如，要发现“企业没有制订战略目标”这类风险点，“疑问式”审计程序是“检查企业是否制订了战略目标”，而采用“行为陈述式”审计程序则可以是：“取得企业战略规划文本，审阅企业战略目标”；“拟订企业战略目标访谈提纲，访谈企业高级管理人员”等。

四、审计实施问题

在风险管理审计实施方面，内部审计部门通常面临以下一些困惑：

一是非现场审计与现场审计的关系问题。非现场审计与现场审计可以理解为两种审计模式（在确立审计项目时），也可以理解为两种审计方法（实施某审计项目时）。传统上，一些内审部门习惯于将非现场审计与现场审计作为两种审计模式，分别确立审计项目，独立发挥审计作用；一些内审部门在实施现场审计项目时，很少采用非现场审计；在实施非现场审计项目时，则几乎不到被审计单位现场。这导致很多现场审计项目“现场”检查周期长，非现场审计项目“非现场”审核不深。实施风险管理审计，则需要十分重视现场审计与非现场审计两种方法的结合运用，尤其应重视非现场审计方法的应用。在实施现场审计之前，应采用非现场审计方法，大量收集资料，进行研究、分析和评估，发现问题。比如，“取得企业战略规划文本，审阅企业战略目标”这类审计程序，即可采用非现场审计方法以缩短现场审计周期。

二是审计事实确认书与审计底稿的关系问题。审计底稿是审计人员对审计行为及所搜集事实、证据的记录或记载，主要用于内部备查。审计事实确认书是审计小组对审计项目发现事实的汇总记录，主要用于与被审计单位交流确认审计发现。在风险管理审计实践中，一些审计部门要求被审计单位对审计底稿与审计事实确认书均进行签字确认（即双重确认）。通常，审计底稿提交业务经办人员或单位确认，而事实确认书提交业务经办单位的上级管理单位确认。对审计底稿进行确认的好处是可以在检查过程中即将审计发现进行“定格”。但其弊端也是很明显的。一方面，审计底稿阶段确认的审计事实，在审计事实确认书的确认阶段被推翻，审计小组需要去消除被审计单位内部认定意见的“分歧”，徒增工作量（内部分歧通常可以由被审计单位自己去完成）。另一方面，事实确认存在“等待期”，“双重确认”的等待期较长，影响审计效率。因此，最好的方式是恢复审计事实确认书与审计底稿的属性，审计底稿只记录或记载而不必确认，重要审计发现通过“审计事实确认书”汇总并提交具有管辖权的管理单元确认。

三是审计事实确认意见的“同意”与“不同意”问题。一些审计人员比较“在意”被审计单位对审计事实的确认意见，总是希望被审计单位签署“同意”意见，常常因为被审计单位签署“不同意”意见而与之纠缠不休。其实，审计事实确认在本质上是审计人员进一步取证的过程或手段，其目的不在于取得被审计单位对审计事实的认可，而在于确认被审计单位是否还有否定审计事实的反证。因此，被审计单位确认意见主要发挥“提供补充证据”的作用，对审计事实能否成立不起决定性作用。被审计单位签署“不同意”意见，不表明事实不成立，其签署“同意”意见，也不表明事实就成立。审计事实是否成立决定于审计人员在进一步考虑“补充证据”后的独立判断。

五、审计报告问题

一些内部审计部门比较注重发现问题，却忽视报告问题。常见问题表现在两个方面：一是对审计发现缺乏差异化处理，所有问题按“同等重要性”进行报告。这样的审计报告篇幅较长，重点却不突出。风险管理审计揭示的风险问题在“风险程度”上是不一致的，在报告时最好区分风险类型和风险等级，进行分类报告，以突出重点。二是在报告对象上有“向上级报告”的惯性思维。实际上，在风险管理审计中，审计利益相关方是多元化的，审计发现问题的确定性程度、重要性程度也存在分别，审计报告的对象也可以是多元化的。比如，对于那些审计人员不能确证却影响比较大的风险性问题，审计人员因顾虑事实的准确性可以不向高级管理人员报告，却有必要提示业务经办单位的上级管理单元在日常管理中持续关注。一些风险不大的规范性问题，则可直接提示经办单位，而不必报告其上级管理单元或企业高级管理人员。

六、审计督改问题

对于审计发现的问题，审计部门需要督促被审计单位尽快整改。在风险性问题的整改和督促整改方面，常见的问题是“整改机械化”，即将整改理解为“缺什么补什么”。比如，“贷款前未对借款人进行实地调查”问题，一些被审计单位和审计人员常常声称其属于“无法整改的问题”，理由是贷前调查事件已经成为过去，贷款已发放，无法再补充贷前调查。又比如“对借款人贷前调查的财务分析不全面”问题，被审计单位的整改则是对借款人贷前提供的财务数据进行更完整的补充分析。这种机械化的整改显然没有抓住整改的本质。风险性问题之所以是一个问题，在于其存在“未控制”或“控制不当”的风险。因此，这类问题整改的核心是“化解风险”以将风险降低至可接受水平或者调整不适宜的风险控制措施以保持风险控制适度。问题能否整改、是否整改均应以此为标准。比如，“贷款前未对借款人进行实地调查”问题，其本质在于“未实地调查”可能导致未能准确评估借款人风险即发放贷款。这类问题的整改不是补充贷前调查报告，而是立足现状分析借款人风险状况，对其贷款风险进行重新评估，并采取相应风险防范措施。相应地，审计部门在督促被审计单位整改时，也应以“风险性问题”的风险是否化解或适度控制为基本立足点，否则问题整改就会流于形式，问题得不到根治。