审计思维：风险导向——过程模型的应用

风险导向审计就是有的放矢，提高发现风险的命中率。审计师以重大错报风险的识别、评估和应对为审计过程中的主线，并以风险引导审计资源的配置。本课题通过建立并应用风险导向过程模型的研究，以提高审计效率和执业水准。

风险导向过程方法的两大机制：一是“计划→执行→评价→改进”机制，审计过程在此不断循环中得到持续完善。二是“识别→评估→应对→措施”机制，这是实现审计目标过程中的一种识别和控制风险的方法。没有被识别的风险才是审计师的最大风险。

审计思维6：企业内部控制过程

按照内部控制是一个“旨在实现控制目标的过程”[1]的定义，以及“基本规范”和“配套指引”中的相关内容，本课题组建立了一个“内部控制过程分析模型”（见下图）。这个模型包含着“五个要素”、“二个层面”[2]、“八个节点”[3]和“二个机制”[4]。

这个分析模型对内部控制审计较为实用，至少可以为审计师内控审计实战提供以下支持：内控五要素在企业实现目标过程中所处的位置和作用；五要素之间的内在联系；内控审计的整体思路和切入点；内控各组节点及其内在的逻辑关系；为对内控做出有效或无效判断提供证据；寻找内控无效的原因；缺陷发生的节点及产生缺陷的原因；更好地为企业提供内控审计增值服务；合理利用审计资源提高审计效率。

审计思维7：企业内控的有效性

根据上述“内部控制过程分析模型”及“内控整体有效”的观点，本课题组认为，内控系统有效应当是过程+要素+机制的有效。

一是过程有效。有效的企业内控系统不仅仅是“设计和运行有效”，而应当是“全过程”的有效。所谓全过程有效包括识别、评估、应对、措施、设计、运行、评价和改进等八个节点全部有效，内控的“设计和运行”只是其中的两个节点。在“设计”的前面有“风险识别”、“风险评估”和“应对策略”等节点，有效的内控措施设计是建立在风险评估基础上的。在“运行”的后面有“评价”、“改进”环节。所有这些环节组成内控系统的一个自然逻辑过程，表现于企业的管理流程和业务流程之中，其中的任何一个节点无效都会影响到内控系统的有效性。也就是说，如果内控系统无效，那一定是在某个或多个节点上存在着重大缺陷。

二是要素有效。要素是过程中的要素，过程是要素作用的过程。企业内部控制包括内部环境、风险评估、控制活动、信息与沟通、内部监督等五个要素。内控有效应当是指这五个要素在同一时空中全部有效。反之，如果一个内控系统无效，那一定是某个或多个要素存在着重大缺陷。系统是一定环境中的系统，系统实现目标的过程总在一定环境中进行。系统实现目标的过程就是与环境相适应的过程。企业内部环境对内部控制建设起到至关重要的作用。内控环境包括法人治理结构、用人和绩效政策、合规和执行文化等。在法人治理不健全的企业，核心人物的内控理念决定着内控系统的有效性。

三是机制有效。系统中各要素和节点不是孤立地存在着，每个要素和节点在系统中都处于一定的位置上，起着特定的作用。企业内部控制系统是一种机制，内控的五大要素、各个节点是一个有机的整体。企业内控机制有：“识别→评估→应对→措施”的风险控制机制；“设计→运行→评价→改进”的自我完善机制。有效的内控系统应当是指这两个机制全部有效。

“设计→运行→评价→改进”实际上是有效进行任何一项工作的合乎逻辑的自然程序。系统需要在“设计→运行→评价→改进”不断循环中得到持续改进和自我完善，以确保系统目标的实现。自我完善机制实质上属于负反馈系统。系统的自我完善机制比完善的系统更重要。有关企业内部控制的自我完善机制在“基本规范”中也有明确的要求[5]。

“识别→评估→应对→措施”运用于对未来的不确定性事件的控制，目的是为了发现机会，识别风险，控制风险。“识别→评估→反应→措施”是系统实现目标过程中的一种控制风险的方法和机制。企业最大的风险是不知道会遇到什么风险，不能识别风险才是最大的风险。企业风险控制机制是一个过程，“基本规范”对风险控制机制进行了详细的描述[6]。

审计思维8：企业整体风险分析

任何公司在行业中的位置都是市场竞争的结果，在行业内能成为一流和二流的只能是少数公司，多数公司往往处于三流（质量）到四流（欺诈）之间挣扎。公司五级分类中保质量的三流公司，如能长期保证质量就成为品牌，保不了质量就可能会沦落为蒙人公司。由于企业所有权和经营权相分离，经营者为自身利益最大化，舞弊是一种客观存在。本分析模型通过企业的行业地位、对法规的遵守程度、市场竞争力等因素，将企业分成五个等级，从而整体判断内控审计风险。

如图所示，从市场规则（纵向）的角度看，不同的利益群体可分为“制定→执行→遵守→违背”四个层次，并与市场地位的“核心→接近→远离→边缘”四个层次相对应：一是制定规则的企业——主流群体——某个市场之核心；二是执行规则的企业——接近市场场核心层；三是遵守规则的企业——非主流企业；四是不遵守规则企业——处在市场边缘层。

从“企业五级分类和风险分析模型”的风险曲线上可以看出，企业风险与企业级次成正相关。作为一个审计师，跟制定规则的一级企业打交道风险最小，做品牌和保持质量的风险相对可控，跟蒙人的四级企业打交道风险最大，跟破产清算的五级企业打交道风险又最小。人们之所以被蒙是因为信息不对称，企业到了破产清算时再也别想蒙人了。

通过这个分析模型对企业整体风险的评估，以分析内部控制审计风险。对内部控制审计而言，一级和二级企业应当存在庞大的内部控制系统，具有建立有效内控系统的内生需求，审计风险相对较小，属于审计师内控审计的主要群体。三级企业虽建有内控系统，但由于市场竞争和成本压力，内控系统的运行不稳定，审计风险较大。四级企业违反法规，靠蒙人赚钱，即使有内控也是摆设，审计师压根就不应该接受这类企业的委托。

[1] 《企业内部控制基本规范》第三条 本规范所称内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。

[2] 内部控制自上而下有企业层面和业务层面，对应的流程是管理流程和业务流程。

[3] 内部控制运行过程中的八个节点包括：识别、评估、应对、措施、设计、执行、评价和改进。

[4] 内控两大机制包括：“识别→评估→应对→措施”的风险控制机制；“设计→执行→评价→改进”的自我完善机制。

[5] 《企业内部控制基本规范》第四十五条 企业应当制定内部控制缺陷认定标准，对监督过程中发现的内部控制缺陷，应当分析缺陷的性质和产生的原因，提出整改方案，采取适当的形式及时向董事会、监事会或者经理层报告。内部控制缺陷包括设计缺陷和运行缺陷。企业应当跟踪内部控制缺陷整改情况，并就内部监督中发现的重大缺陷，追究相关责任单位或者责任人的责任。

第四十六条 企业应当结合内部监督情况，定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告。内部控制自我评价的方式、范围、程序和频率，由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。

[6] 参见《企业内部控制基本规范》第二十条至第二十七条相关内容。