风险管理审计模型构建及实例分析

      风险管理审计模型构建的思路及框架

      笔者结合中国石化内部审计工作的实际，提出构建“以风险导向审计为一个中心，以内部控制审计评价和风险管理审计为两个基本点，通过三者的有机结合对企业风险控制进行量化实施，最终实现为企业增加价值”的风险管理审计模型。

      （一）构建风险管理审计模型的前提条件

      构建这一审计模型的前提条件是风险管理审计、风险导向审计、内部控制审计评价在理论和实践中的有机结合。

      在理论上有机结合。风险管理审计与风险导向审计、内部控制审计评价之间既有联系又有区别，但是三者具有共同的审计主体——内部审计部门，共同的审计思路——自上而下，共同的审计目标——企业增值，共同的审计主题——风险管理。风险管理审计可以确定企业管理风险点和内部控制薄弱点，查找并确定内部控制流程设计缺陷；风险导向审计可以促进内部控制审计评价效果，确定风险管理审计工作重点：而内部控制审计评价可以提高风险导向审计效率，促进风险管理审计目标的实现。此外，《企业内部控制评价指引》明确规定：内部控制评价也应遵循“风险为导向”、“自上而下”原则进行，这为三者有机结合提供了理论基础和制度保证。

      在实践中有机结合。中国石化近年来按照外部监管机构规定要求，建立了内部控制制度体系和风险管控体系，同时构建了内部控制审计评价模型和风险管理审计模型，较好地实现了内部控制、风险管理、内部审计“三位一体”的有效结合。其中2011年修订《内部控制手册》时，在内部控制审计模板基础上构建风险控制模板，增加了453个三级风险清单，同时将每个风险清单一一对应其关联的内部控制关键点，通过潜在错报率计算潜在错报金额确定风险，并通过对风险的量化评价进行缺陷认定和内部控制优化等，产生了“1+1+1＞3”的内部协同效应。

      （二）构建风险管理审计模型的主体框架

      构建风险管理审计模型的主体思路是通过风险管理审计、风险导向审计、内部控制审计评价三者的有机结合，对企业风险控制进行量化实施。因此构建风险管理审计模型，其实质是构建企业风险控制量化实施框架模型（详见图1）。图1中间“一条主线”即是以风险导向审计为主线，按照风险导向审计的“目标→风险→控制”工作模式，首先确认企业目标，然后分析实现目标存在的潜在风险，最后评价对风险进行控制的成效，提出风险防范和控制建议：图1中“两条辅线”，即是以内部控制审计评价和风险管理审计为两个基本点，其中℃右边辅线是内部控制审计评价的“描述→衡量→管理”工作思想，前提是建立健全内部控制，关键是确定企业风险和内部控制缺失，目标是规避风险和强化内部管理：左边辅线是风险管理审计的“企业总体风险-已控制风险=剩余未控制风险”工作目标，在对企业充分评估、识别、分析的基础上，把剩余风险控制在企业可承受范围内。

      企业风险控制量化实施框架模型，为科学开展风险管理审计绘制了具有指导借鉴意义的“地形图”和“路线图”。第一，从描述企业风险控制战略路线入手，分析外部环境及描述内部控制：第二，围绕已设定企业目标，识别和评估影响目标实现的主要风险，制定审计计划与方案；第三，构建风险控制模板，通过对内部控制量化评价进行缺陷认定和内部控制优化，通过分析剩余风险，把风险控制在与企业总体目标相适应的范围内，为企业管理层正确决策提供依据：第四，通过向管理层提交审计报告及开展后续审计，确保风险缺陷得到有效管控，发挥内部审计在企业风险管理和内部控制中的作用。

      （三）结合安全环保风险管理审计（简称“安全环保审计”）实务案例，剖析风险管理审计模型的量化实施及应用

      项目立项阶段：从描述企业风险控制战略路线入手，分析外部环境及描述内部控制，确定审计项目立项。

      中国石化把安全生产视为企业的生命线，制定实施如“安全生产十大禁令”等多项规章制度和办法，多年组织开展“安全大检查”和“我要安全”主题活动，但鉴于石化行业属于高危行业的特殊性，部分企业还是会发生井喷原油泄漏、装置爆炸事故并造成环境污染，给企业带来较大经济损失，同时损害了企业的社会形象。基于此，内部审计部门根据各板块业务特点、以往安全环保事故发生频率、以往审计发现的企业风险管理和内部控制薄弱点等科学立项，合理确定被审计单位和部门。

      审前调查阶段：围绕已设定的企业目标，识别和评估影响目标实现的主要风险，制订审计实施方案。

      开展安全环保审计的目标任务是检查企业安全环保政策法规贯彻执行情况、环保项目建设及风险管控措施落实情况、突发事件应急预案演练效果等，并通过检查督促提高员工的安全生产意识，提高执行安全生产规章制度的自觉性。在明确上述目标任务后，根据审前调查初步结果确定企业主要风险，制订审计实施方案。

      现场实施阶段：通过剩余风险分析和对内部控制量化评价进行缺陷认定和内部控制优化，抓住审计工作重点。

      

      中国石化将风险控制模板“镶嵌”在内部控制审计评价模板中，实现了风险导向审计、风险管理审计和内部控制审计评价的有机结合。在现场审计过程中，根据风险导向审计判断的初步结果、内部控制符合性测试和实质性穿行测试检查结果，确定安全环保审计的重点内容：