2012.1048中 国 内 部 审 计Practice 实务 案例与分析Practice 实务 案例与分析风险导向审计实质就是利用风险管理方法、系统管理和战略管理理论，强化内部审计工作的规划和 分析， 通过系统、 持续的评价组织各项风险，对组织不同时期管理的重点和风险进行确认，并把审计资源 投入到各项经营管理重点和薄弱环节。风险导向审计在审计项目实施过程始终贯穿风险评估、 资源配置， 从而更为有效地为组织提供保证和咨询作用。 现以A 公司为例， 简要分析房地产公司实施风险导向内部审 计的方法。一、A 公司的基本情况A公司是一家在开曼群岛注册成立, 并在香港联合交易所有限公司（以下简称联交所）主板上市，具有 中华人民共和国房地产开发企业一级资质的房地产开发企业，同时也是一家专注住宅房地产开发的企业。 A 公司自上市以来， 对下属企业采取“管控式”管理，公司对投资、财务、 产品、 成本采取直接或垂直管 理， 对中层以上管理人员直接任免。总经理对董事会负责，依照董事会审批的三年或年度计划实施经营管 理。 公司的各项基本制度、 细则、 标房地产公司风险导向内部审计案例分析 马红亮准均由总部制定， 各子公司执行。 总部设八大业务管理中心，对各项业务进行直接处理或指导，各业务中 心向主管副总经理汇报。2 0 0 6 年以来，公司聘请国内专业咨询公司帮助设计公司流程、 梳理公司制度， 并 聘请专业咨询公司对公司内部控制进行评价。A 公司审计部成立于2 0 0 7 年1 月 1 6 日，隶属于A 公司财务管理中心，开展财务审计工作，主要包括财务基础审计、 税务审计、 预算管理审计 等内容。2 0 0 7 年1 1 月8 日，为强化独立性、 扩展审计范围， 并适应联交所的管治要求，审计部调整到董事会办公室，直接向执行董事兼董事会办公室主任汇报工作。审计范围扩展到成本、 工程、 销售、 人力等领域， 离任审计、 合规审计、 设计变更等专项审计均得到了拓展。 2 0 1 0 年1月，经营管理审计和风险管理评价首次开展。二、A公司实施风险导向内部 审计的步骤设计（一）实施背景及思路2 0 0 9 年以前， A 公司董事长兼任主要子公司总经理。 2 0 0 9 年以后， 董事长退出具体业务管理领域，专职从事董事会管理业务。董事长与总 经理的分离在一定程度上为内部审计的开展提供了更广阔的领域，内部审计专职向董事会汇报相对提高 了审计独立性。2 0 0 9 年之前，审计部依照公司各项管理制度、 细则， 梳理风险控制 领域 （二级） 及关键控制环节， 并据此对各子公司进行合规性审计，主要目的是强化合规意识、规避和管 理业务关键风险。在合规审计过程中，审计人员逐渐发现各业务领域的风险管理均不够系统性，公司风险管理缺乏系统性管理。内部控制是风险管理业务的延伸，相对内部控制，风险管理更为关键。在集团“管控式”模式下，公司管理的核心风险管理更多在集团总部，取决于总部的管理团队。公司年度审计计划的制订，主要依据以往的审计发现、审计团队对集团风险管理的认识、主管领导的判断综合确定，整体风险评估缺乏科学性。更为突出的问题是各层管理者均对内部审计存在期望，审计团队未对期望进行沟通和管理，492012.10中 国 内 部 审 计实务 Practice案例与分析 实务 Practice案例与分析内部审计缺乏整体规划。同时公司业务规模和管理区域在不断扩大， 审计资源面临紧缺。 为了解决审计资源与使命的冲突，推动公司风险管理的持续改善，内部审计迫切需要推动和参与风险管理，引入风险导向内部审计。审计部从2 0 0 9 年下半年开始着手准备风险导向内部审计的应用，总体思路是根据风险导向内部审计应用的难点， 主要围绕风险评估、 优化审计环境、 人才培养三个方面， 结合目标公司现状， 有步骤地实施。 首先完成审计战略的主动调整，并与 利益相关方达成一致，取得核心管理层的支持。然后推动公司风险管理意识的提高，引入科学风险管理 方法，帮助管理层建立一套风险管理工具，改善公司风险评估及重要领域的管理状况。最后优化审计团 队自身建设， 借助风险管理成果， 快速推进风险导向内部审计的应用。具体包括：一是依据公司战略目标 和管理现状，制定审计战略和三年规划。二是组织各业务管理中心建立系统的全面风险管理体系，推动 开展风险管理评价工作。三是推动和开展核心业务领域的三年规划及量化指标制定工作，改善业务绩效 评价体系。四是应用科学的风险评估理念和方法，促进企业系统识别重大风险领域和风险环节。五是优 化审计团队，建立审计人员发展的平台和交流机制， 提高审计效率。 六是推动公司环境风险分析机制的建 立， 改善公司目标的制定。 七是对风险导向内部审计实施的具体业务标准和质量进行控制。（二）内部环境的优化A公司审计部是基于上市需要成立的，成立后较长时间未得到足够的重视，很多高层对内部审计作用存在不同的看法，甚至董事会成员也不了解审计部的运作。为此，A公司审计部首先完善与董事会的沟通， 将审计定位、 规划、 制度均上报董事会， 由其审批。 同时， 加强年度计划和审计报告的当面沟通，争取董事会的理解与支持。为了更好地实施风险导向内部审计， A 公司审计部积极开拓与管理层的沟通渠道， 拓展风险管理信息、资源、 方法， 与经营管理团队保持良好的协作关系。 主要措施如下： 一是 通过多层次的联合审计、常规审计以及咨询业务，改善与经营团队的协作关系。二是通过组织各业务单 位参与风险管理、 内部审计， 与经营团队共同改善经营管理，协作关系进一步加强。三是制定内部沟通管 理制度，使常规沟通（包括书面沟通、口头沟通等）规范化、标准化，并对审计人员礼仪进行培训，塑造 专业、 严谨、 务实、 谦逊的职业形象。四是重点强化了与董事长的沟通频率，取得了有力支持。（三）开展系统的风险评估A公司的风险评估措施主要包括风险评价量化体系、风险调查问卷、 量化指标三项， 同时构建了风险信息搜集系统的建设。1 风险评价量化体系。 （1 ）目的。组织各职能中心建立风险管理体系，识别出实现企业战略目标和相关目标的风险，提高目标管理和风险管理意识。审计部在该项工作中的作用是组织和咨询。对风险管理现状进行评价。建立一套量化的评价体系，包括集团和城市公司两 个层面； 进行全面的风险评估， 促进公司系统性的风险管理，改进风险管理薄弱的环节；促进企业战略目 标的达成。审计部在该项工作中的作用是组织、 评价和监督， 建立系统的风险导向型审计。审计工作紧紧 围绕公司战略目标，将有限的审计资源运用到高风险领域，对公司内部控制和风险管理的持续改善提供 系统评价和保障。 （2 ）风险管理框架。风险管理框架（见图1 ）是在借鉴德勤、 毕马威、 甫瀚等咨询公司风 险模型基础上，结合房地产公司特图1 风险管理框架战略投资品牌公司治理产品研发客户财务人力计划信息行政管理设计成本营销工程材料采购合规战略规划基础管理运营管理合规风险模型2012.1050中 国 内 部 审 计Practice 实务 案例与分析Practice 实务 案例与分析点，并征询各职能管理中心意见设立的，用以指导公司风险管理工作的开展。 （3 ）风险管理体系的建立。审计部在风险管理框架基础上，结合公司的战略目标及三年经营规划，提炼各业务领域的战略目标，由各职能管理中心讨论后确定。依据风险管理框架和战略目标，审计部对各业务领域的核心目标、关键风险管理领域进行讨论和总结。上述两项工作基本上都是由审计部首先提出初步想法，组织各职能管理中心讨论确定。 一、 二级风险管理领域确 定后，公司各业务领域的风险清单也就确定了。根据公司各业务领域的管理状况和战略目标，运用风险 象限图， 对风险清单中的风险 （包括重要性和发生频率） 进行评价， 评价人员包括各业务管理中心主要业务 人员及部门经理以上人员。 表1 为人力资源管理风险清单示例，风险领域识别和评估均是以风险管理框架 为基础， 以A 公司战略及三年规划目标为导向进行识别、 评价， 综合风险领域重要性和可能性形成风险管理象限图 （九象限图） 。 其中6 、 8 、 9 象限为高风险领域，3 、5 、7 象限为中风险领域，1 、2 、4 象限为低风险领 域。风险评估以三年为评估期限（2 0 1 0 2 0 1 2 年） ，和三年规划时间一致；风险清单及风险评估拟定每 年定期进行检讨，以确定是否需要修正。 （4 ） 风险评价体系。 包括：关键控制环节及分值、 评分系统 （适用 范围、 主责中心、 健全性和有效性测试、缺陷汇总、总分值） 。各业务领域的风险清单和风险评估完成后， 由审计部对二级风险领域涉及的风险提出应对措施及关键控制环节（点） ，提交与各业务管理人员讨论确定。关键控制环节及分值包括各风险领域的关键控制点及描述、分值， 针对二级风险领域的关键控制，由审计部与各职能管理中心进行沟通， 并兼顾整个风险体系进行设置，对权重、分值进行了确认，共分战略、 品牌、 投资、 计划、 产品、 营销、工程、成本、财务、客服、信息、人力、 合规、 行政管理1 4 个风险领域，每个均按百分制设置。关键控制点描述是对控制环节的关键控制点和控制措施。 评分系统包括适用范围、 主责中心、 实质测试、 缺陷汇总、 总分值，适用范围是指该风险领域的控制是在集团总部、集团或城市公 司；主责中心是指风险领域在集团控制时的主要责任中心；实质测试包括健全性测试和有效性测试，是对风险控制的管理健全性、执行有效性进行的全面评价；缺陷汇总是对重大缺陷进行提示或引入测试结果索引；总分值是对该项风险领域控制的分值。 鉴于A 公司战略阶段和管理权责体系，实际评价时分职能中心、 城市公司两个层次进行。 评分结果分四级，4 0 分以下为风险管理弱，4 1 6 0 分为风险管理需加强，6 1 8 0 分为风险管理适当，8 0 分以上为风险管理优良。对每个职能中心评价时，根据风险评价体系分风险模块进行评价，每个模块按百分 制， 并分别列示。 对城市公司进行评价时，分为工程、 成本、 财务、 销售四个模块进行评价，每个模块按百 分制，四个模块的最低得分为城市公司的最终得分。得分具体解释请参考表2 所示。 鉴于A 公司的集团管 理是“管控式” ，城市公司各个模块的平均得分将引入各管理中心的分数中， 设定权重为3 0 % ， 主要是出于 评价执行有效性方面的考虑。（5 ） 评价的实施。风险评价报告主要内容如表3 、表4 所示，主要包括风险评 价得分总表、 审计发现风险示意表，介绍各业务风险评价得分、审计发现中风险种类及数量。另外还包括 内部审计通常运用重大审计发现详表， 介绍重大发现的领域、 具体风险描述、 审计建议、 管理层意见及改进 措施。2 风险调查及评估。 2 0 1 0 年和2 0 1 1 年末， 审计部分别利用风险管 理评价手册对各业务领域进行管理审计，对各业务领域的风险管理改善情况进行了回顾和评价。但该项 评价不涉及主要经营指标的制定及完成情况，也不涉及环境风险变化人力资源规划定岗定编标准招聘标准中长期激励机制薪资福利政策绩效管理员工奖惩政策员工职业发展员工培训员工异动管理员工关系管理人事基础信息管理工资核算表1 人力资源管理风险清单一级风险领域二级风险领域人员配置激励约束机制发展培训人员管理512012.10中 国 内 部 审 计实务 Practice案例与分析 实务 Practice案例与分析及应对问题。为了更加广泛、系统的认知公司运营及发展过程中的重要风险内容，准确把握公司风险变化趋势，提高管理工作有效性，审计部于2 0 1 2 年初组织各职能中心、城市公司总经理开展了年度风险问卷调查，对集团面临的重大风险进行识别和系统评估。 风险调查之前，审计部利用科学评估方法，对公司所在行业、 企业进行了风险分析， 提炼出影响公司发展的核心风险及要 素。该风险调查分两部分：第一部分，结合公司三年规划，由公司高管对公司面临的六大类风险 （4 4 项 风险） ， 结合公