在企业全面风险管理机制中,内部审计部门除了至少每年一次对包括风险管理职能部门在内的各有关部门和业务单位能否按照有关规定开展风险管理工作及其工作效果进行监督评价之外,内部审计部门还应在风险控制的思想和风险导向审计的理念指导下开展其他的内部审计活动。比如,在开展工程项目审计、经济责任审计、效益审计等其他审计项目时,就需要运用风险导向审计的理念,在审计计划的制订、审计对象的选择、审计范围的确定、审计方案的编制、审计方法的使用、审计报告和后续审计等环节都要体现风险管理的意识,从而使组织的风险管理与内部审计活动之间协调一致,产生协同增效的作用,体现内部审计在风险管理中的价值。在具体实践中,风险导向的内部审计可从以下几个方面进行: 1.编制审计计划阶段。内部审计部门的计划应反映机构的风险战略和战略目标,并每年对审计范围进行一次评估,以反映机构的最新战略和方针。内部审计部门的审计计划应在对可能影响机构的风险进行评估的基础上制定。具体可通过建立风险评估模型,通过多纬度多因素的定性和定量相结合的评估方法,对组织各业务循环及各级组织机构进行全面的风险评估。风险评估模型考虑的因素有:金额的重大性、资产的折现力、管理能力、内部控制的质量、变化或稳定程度、上次审计业务开展的时间、复杂性、与雇员及政府的关系等等。在评估风险优先次序的基础上,结合单位实际,本着成本效益原则,确定审计项目和审计对象,制定出符合组织发展战略的切实可行的审计计划,使得审计计划与组织最高层的风险战略紧密地联系起来。在更新审计范围和与相关审计计划中的内容时,应该反映出管理层的方针、目标、工作重心出现的变化。 2.审计准备阶段。内部审计活动总的目标是“评价并帮助改进机构的风险管理、控制和治理系统”(11A《标准》2100——工作性质),具体审计活动要围绕更为具体的风险管理目标进行。在审计准备阶段,对审计资料和审计对象的基本情况进行深入分析,识别风险因素,明确审计重点。在编制审计方案时,进行分层次讨论,同时征求风险管理等职能部门意见,以准确把握各类审计项目的风险控制点。 3.审计实施阶段。在审计实施过程中,通过评价风险管理的内部控制制度,实施穿行测试和实质性测试,根据测试结果进行风险评估,找出风险相对较大的关键业务和关键点,以风险识别为基础,细化审计程序,力求做到风险在哪里,审计重点就在哪里。在选取审计技术和方法时,用于检测、证实风险的技术与方法要能够反映出风险的重大性、发生的可能性及频率。常用的风险评估方法包括SWOT分析法、风险清单法、流程图法、矩阵分析、COSO列举法等。在对风险进行优先排序之后,才能根据风险暴露的重要性分配相关的资源,从而使内部审计聚焦于重大风险领域。 4.审计报告阶段。审计报告应对风险管理状况进行评价,指出风险管理中存在的漏洞和不足之处,提出加强管理的建议。为了让管理层充分理解风险的程度,在报告中应特别提出风险活动对于实现目标的关键性与后果。 5.后续审计阶段。风险是决定后续审计本质和范围的重要因素。风险越大,后续审计的范围就越广。后续审计应该将注意力集中于最严重的或潜在的问题上,对一般事项的后续审计可仅限于询问和简短的讨论。后续审计应该跟踪到:对于重大的审计发现,相关部门和环节是否予以纠正;若不予纠正,责任和原因到底在那儿。《标准》要求,若审计执行官认为高级管理层接受的剩余风险对于机构无法接受,应该上报董事局加以解决。 6.发挥咨询作用。除了保证活动,内部审计在风险管理中的作用和价值还可体现在咨询活动中。 (1)进行控制和风险评估培训。使风险意识贯穿于整个企业的各个层面,并且使每名员工能够有效识别风险并提出有效控制措施,实施企业全员、全过程、全方位、全天候的风险管理。 (2)应协助组织识别和评价重大风险问题,并帮助组织改进风险管理与控制系统。针对重大风险隐患,召开控制和风险评估专题讨论会,集合企业内外部的专家进行专题研讨。审计人员既是组织者,又是参与者,同时也是学习者。 (3)协助开发自我评估工具。对风险管理进行深入研究,利用现代技术开发适合本企业的评估工具。