风险导向审计主张针对每项业务首先调查了解被审计企业所在行业、其经营和活动、企业的内部控制制度及运行情况，进行前期的研究和理解，评价企业的风险。其次通过对相关信息和数据的分析，了解企业的会计信息系统披露的信息与企业实际经营状况的关系，进而判断该企业对相关法律法规及会计准则的遵守情况和重大错报风险的水平。最后根据对重大错报风险水平的评估，执行具体的审计程序， 搜集审计证据，得出审计结论。风险导向审计强调从企业的战略管理分析入手，通过战略风险和经营风险的导向和严密的逻辑推理，一步一步地推导和落实审计的范围和重点，确定相关的审计目标和审计程序。然后通过实施审计程序，取得审计证据，确定重要性水平，归纳和判断整个财务报表的风险并形成最终的审计意见。整个审计过程就是审计人员由概括到具体，由表及里，逐步深入，不断加深对被审计单位的认识过程。

现阶段企业已将风险导向审计的理念运用到内部审计中，但在企业内部开展风险导向审计面临许多难点，下面以一个煤炭国有企业W公司的情况为例，简要分析一下企业内部开展风险导向审计面临的难点及对策。

一、面临的难点

（一）对风险导向审计的认识不足

风险导向审计作为审计发展的一个新阶段，自身尚未形成严密、科学的体系，缺乏必要的理论支持和指导。我国也尚未出台较为完备的法规政策，来规范、约束和保障风险导向审计的开展，这就使企业管理层、内审人员对风险导向审计的概念、特征、范围、程序、方法等方面的内容，在理解上较为模糊，无法完全与制度导向审计模式区别，在开展审计过程中总觉得难以入手，如W公司的内审部门常年进行财务收支审计、经济责任审计、工程项目审计等，都是以制度导向审计模式开展，随着公司的发展壮大，传统的审计方式已经越来越不能适应新形势的需要，在开展的一些项目中穿插采用风险导向审计模式，但结果不尽如人意，究其原因，还是对于如何开展风险导向审计，没有明确的理解和认识，执行起来有难度。对此，内审部门的内部人员一直在探讨学习，希望提高认知程度，统一思想，尽早开始建立并实施风险导向审计模式。

（二） 企业管理层全面风险管理意识不强

企业管理层只重视安全生产的具体工作，缺乏足够的全面风险管理意识，未积极、主动、系统地进行全面风险管理工作。企业对于涉及风险管理的活动总是头痛医头、脚痛医脚，管理实施过程缺乏连续性。对已经评估确认的风险点不进行定期复核，降低了企业适应环境变化的能力和控制或规避风险的能力。企业只顾及当前的状况，缺乏对长期利益的分析和考虑，忽视某些决策对企业未来的影响，从而在未来的某个时段可能给企业带来重大的损失，如W公司所属的矿井采掘、煤化工生产等均属于高危行业，企业对安全的防范意识较强，尤其是对井下作业制订的安全管理措施非常详尽，但对其他生产经营方面的风险管理重视程度不够，这种只重安全方面忽视其他方面的风险管理的现象，并不能完全消除安全防患，煤矿各类安全事故仍时有发生。

（三）企业的内部控制建设不能适应风险导向审计的要求

内部控制是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略，而由治理层、管理层和其他人员设计和执行的政策及程序。财政部制定的《企业内部控制基本规范》中许多内容原则性很强，但缺乏一个完整的执行标准体系，使得企业完全按其要求操作有一定难度。由于企业不能建立一个完整、有效的内部控制系统，内审人员在审计工作中就会遇到很大困难和阻力，无法通过了解企业的内部控制来识别和评估财务报表层次及认定层次的重大错报风险，为了规避审计风险，节约审计成本，内审人员在审计时就会降低审计目标，从而影响审计效果，如W公司为合并组建的新公司，涉及采掘、洗选、煤化工、电厂等多个行业，内部控制建设处于初级阶段，机构庞杂，人员众多，部门职能交叉，内部管理制度不健全，没有完全理顺内控体系的组织关系，降低了工作效率，也影响员工的工作积极性。在这种状况下开展风险导向审计增加了许多人为阻力和困难，导致审计质量不高，审计效果欠佳。

（四）风险管理的组织架构不完善

国资委出台了《中央企业全面风险管理指引》，指导国企实施全面风险管理工作，但在实际中，企业的风险管理状况与指引要求相距甚远，其主要的一项就是存在较为严重的治理结构问题，即缺少风险管理部门，风险承担主体不明确，业务部门各自为政，互相推卸责任，缺乏有效的约束机制。这导致企业的风险管理建设缓慢，无法将风险管理水平上升到企业发展战略的高度，如W公司通过改制、重组、合并等方式转变法人治理结构，逐步建立现代企业制度的过程中，未引入全面风险管理的理念，未建立风险管理的组织架构去统一组织开展风险管理工作，生产、安全、采购、销售等部门自行组织实施相关内容的风险管理，使整个公司的风险管理工作相对分散，体系未形成闭环，影响着企业风险管理工作质量和效率。

（五）内部审计的独立性不强，审计监督机制不完善

内审部门在企业中所处的地位决定了企业内部审计机构的独立性具有相对性和局限性。内审部门是企业众多职能部门中的一个，既要通过审计对企业内部经营活动进行监督，又不能脱离企业实际利益以一个旁观者的身份进行审计，所以审计的实施范围受到限制，审计执行力度也大打折扣，如W公司的审计部最早是一个独立部门，后机构改革与纪检部门合并，成立了纪检监察审计部，两个监督部门合署办公，又由纪检领导审计，致使审计的职能弱化，影响审计的权威性。

（六）风险导向审计人才欠缺，现有内审人员专业胜任能力不强

风险导向审计对内审人员的业务素质要求较高，不仅要求内审人员拥有管理、营销、财务和会计等多方面专业知识，而且要掌握战略管理、经营分析、业绩评价、信息系统技术等与公司运作相关的管理学知识，还要有较高的风险辨识、分析、评价能力和丰富的执业经验。内审人员专业水平的高低和知识体系的完整性直接决定了职业判断的水平，进而影响审计结果。企业现有内审人员的业务水平偏低，主要表现在计算机操作能力不够，知识结构单一，风险意识不强，工作创新能力较差等方面。此外，风险导向审计模式下的实质性测试主要以分析性程序作为获取审计证据的手段，内审人员需要根据企业的具体情况，运用分析性测试程序，寻求数据间的内在关系来构建模型，这也要求内审人员具有较高的业务能力。目前，企业内审人员大多不具备运用数理统计方法的能力，也影响到风险导向审计在更广范围内应用。在W公司中的内审人员多数为财务审计人员，工程审计人员数量较少，没有生产、安全等其他方面的专业性人才，并且知识结构单一，知识层次更新缓慢，审计理念审计思路相对落后，专业能力不高，无法达到风险导向审计的业务要求，尤其在数据分析性程序测试、计算机应用等方面能力更为薄弱。所以按风险导向审计模式开展的项目，其审计实施效果无法达到审计目标的要求。

二、对策

（一）提高企业风险意识，完善风险管理组织构架

要开展企业风险导向审计，必须要求企业治理层、管理层要彻底转变观念、增强风险意识、把风险导向审计摆在重要位置，正确地处理风险与效益的关系，把企业长远利益作为企业的根本目标，然后进一步完善内部控制制度的建设，完善风险管理组织架构，设立风险管理部门，明确风险承担主体，形成由企业法定代表人直接负责的、系统的、全面的风险管理体系。W公司领导风险管理意识正逐步加强，已经成立由公司董事长任组长，总经理任副组长的内控与风险管理领导小组，对公司的风险管理工作开始进行规范化运作，这将为风险导向审计的开展奠定良好的环境基础。

（二）进一步完善企业的内部控制体系建设

对于内部控制制度的健全，要从其设计、运行、评价、改进等环节加以完善，只有这样才能不断提高企业生产、经营、安全、会计等信息质量，降低审计检查风险，推动风险导向审计的运用。完善内控体系建设还要建立权力制衡机制，明确股东会、董事会、监事会和经理的职责，使决策者、管理者和监督者各司其职、有效制衡，保证企业内部控制制度的有效实施。建立内部控制检查考核和评价机制，使企业内部控制工作真正落到实处，收到实效。强化纪检监察审计监督机制，充分发挥监督与服务功能，促使企业不断完善内部控制建设。W公司合并成立后，以建设本质安全型企业为目标，以全面推进本质安全管理体系建设为主线，正在逐步完善和落实内控制度，提升公司整体管控水平。目前生产单位及生产部门已经制订完成了《本安体系管理手册》，它将作为内部控制的执行标准，为今后实施风险导向审计，评价内部控制的健全性和有效性提供依据。

（三）完善内部审计职能，做好风险评估工作

国际内部审计师协会对内部审计的定义为：内部审计是一种独立、客观的确认和咨询活动，旨在增加价值和改善组织的运营，它通过应用系统的、规范的方法，评价并改善风险管理、控制和治理程序的效果，帮助组织实现其目标。所以内部审计的一个重要职责就是评价和改善企业风险管理，这就要求内部审计要将重点逐渐转向事前监督，以风险管理为中心，主动发现并评估风险，改善企业管理，为企业的战略目标服务。

内部审计通过监督、评价和分析管理风险和各项内部控制，复核并证实经济信息的可靠性，经营活动的合规性，向董事会（或审计委员会）提出防范风险的管理策略。所以内部审计是公司治理结构中形成权力制衡机制并促使企业管控措施有效运行的重要手段，是公司治理过程中不可缺少的组成部分。因此，内审部门应当参与企业风险评估工作，协助管理层将企业风险管理上升到战略发展高度，改进监控方式，抓住关键风险控制点，帮助公司建立健全风险预警机制。

（四）提升审计独立性和审计地位

内部审计是风险管理体系中监控环节的重要组成部分，提升独立性以加强监督职能势在必行。审计的独立性是指内审部门和人员不代替业务管理部门制定具体管理制度、操作流程，不直接参与各类业务项目的运营活动；内审部门不对各项营运活动和管理所产生的问题承担直接责任，内审人员应当与被审计单位及主要负责人在经济上没有利害关系，内审人员与被审计单位主要负责人之间应当没有伦理上的亲密关系等。在组织机构的设置中，内审部门在隶属关系上也相对独立于其他职能部门，直接向董事会（或董事会下设的审计委员会）负责并报告工作。内部审计提升独立性，在企业中处于相对超脱的地位参与企业风险管理，更能使内审部门从独立、客观、全局的角度来辨识、分析、评价企业风险，提出防范控制风险的建议。内审部门将风险管理评估的结果直接向董事会报告，也能够强化企业对风险管理的重视程度。W公司为了提升内审的地位，加强内审的独立性，进行了机构调整，将内审部门与纪检部门分开。内审部门由董事长直接领导，向董事会负责并报告工作，负责人由原来的部门经理担任改为公司副总师担任，规格上升为公司副总师级，以适应现行工作的要求。

（五）加强信息技术在风险导向审计中的应用

要实施风险导向审计，企业内审部门必须充分利用企业中的各类信息库，在平时就注意收集企业的相关资料，为日常监督和专门审计做好信息基础。还可以通过监督企业组织的各项业务活动，充分了解企业市场供求与竞争状况、生产经营变化状况，生产经营关键指标与统计数据、企业开展重大经营活动事项的过程等，形成审计基础数据，记录于专门的审计数据资料库中。此外，还应进一步强化网络信息系统建设，在生产单位、业务部门、审计机构等单位之间联网，实现资源共享，开发审计软件，建立审计模型，来支持风险导向审计的开展。到2010年W公司已经建立并运行了《OA办公自动化系统》《安全生产信息管理系统》《经营管理系统》《费用控制系统》等8个信息管理系统，初步实现无纸化办公和信息资料共享，有利于审计工作的信息采集。

（六）加强培训，提高审计人员专业水平

风险导向审计的目标就是集中评价和改善被审计单位的风险管理，同时降低自身的审计风险，这就要求内审人员提高专业水平，增强综合业务素质，具备较强的发现风险、识别风险的能力。所以要对内审人员进行定期职业培训和后续教育，把企业的生产经营特点、经营战略、经营环境相关的背景知识作为培训的主要内容之一，强化内审人员的风险意识。并在培训中开设管理咨询、营销、统计、计算机技术等课程，注重学习在风险评估与分析性复核程序中分析方法的运用，提高内审人员统计分析能力，增强内审人员在审计风险评估和控制评价方面的职业判断能力，使其保持应有的职业谨慎态度，独立客观公正执行审计业务，降低审计风险。

总之，风险导向审计作为内部审计新的发展形态，是要建立“以风险为导向，以控制为主线，以治理为目标”的审计新模式，要实现这一模式，企业必须从认识上、组织上、人员上、技术上一一解决相应的难点，内部审计才能做到对企业环境和经营活动进行全面分析，开展风险评估，量化风险水平，制定审计策略，运用审计风险模型，采取分析性程序，评价并改善企业风险管理和内部控制，达到有效管控的目的。

参考文献：

[1] 秦荣生.内部控制与审计[M].中信出版社，2008.

[2] 张立萍.浅析现代风险管理环境下的风险导向审计[J].中国内部审计，2009（4）：36-39.

[3] 张力.风险导向审计中经营风险计量程序及实施困难[J].会计师，2009（4）：59-60.

[4] 张爱红.试论企业风险管理与风险导向审计[J].中国内部审计，2009（12）：38-41.

[5] 李国有.审计测试[M].中国时代经济出版社，2006.

[6] 廖文凯.风险导向审计在实际应用中存在的问题[DB/OL]. http：//www.chinaacc.com/new/287_289_/2009_12_29_ch35693752329221900222857.shtml.

[7] 胡春元.风险导向审计[M].东北财经大学出版社，2009.

作者：韩海青