问：我在一家大型企业集团主管内部审计工作。我们集团开展内部审计工作具有较长的历史，但近年来随企业规模的扩张和业务飞速发展，公司内部审计资源越来越紧张，如何应对这种情况？是否有其他公司的先进经验值得我们学习和借鉴？请专家给我们提一些建议。

  答：在公司规模扩张与业务发展过程中面临资源不足的问题，应该是目前许多集团内部审计面临的共同问题，我们可以从内部审计方法方面作一些检讨，希望对您有所裨益。

  从国际内审实践看，风险导向内部审计是一种发展趋势。风险导向内部审计的工作内容包括：确定机构的风险所在，并保证它们适用于内审计划的制定；根据风险评估的结果确定审计对象；以风险评估为基础制定年度内审计划并上报审计委员会审批；实施独立的审计项目并将审计结果定期上报审计委员会；持续进行风险评估和审计对象的更新。

  由于风险导向内部审计计划是以风险评估的结果为依据，并应用于明确的内审对象，以保证风险评估覆盖全部的业务条线和支持职能，确保内审对象的风险等级是相对较高的，因此以风险为导向的内部审计将内审人员进行最优配备，并评估由于资源的限制而没有覆盖到的剩余风险暴露的接受程度，因而审计工作也更加有效率。

  右图可以用来从风险评估方法、内审计划和内审部门预算三个方面评估企业风险导向内部审计工作的成熟程度。

  对于建立风险导向内部审计，相关建议如下：

  1 建立一套完整、统一的风险评估方法，有确定的检查对象、风险分类和评分方法，并在集团范围内实施。

  • 风险评估的对象通常是业务线，包含的两个要素是影响级别和可能性级别。风险评估的过程就是将每一个业务线所涉及的固有风险按照这两个要素进行评分，得到固有风险的风险级别结果。

   • 风险评估的流程结合了业务单元内控自我评估和内审发现的问题，而风险评估的结果则综合了固有风险和控制风险。在考虑业务流程或框架的固有风险的同时，还要考虑机构对于风险的控制情况，两者结合起来得到最终的风险评估结论。

   • 风险评估是持续进行的，并有一套完整、高度自动化的软件系统作为支持。该系统可以查询风险评估的各项标准，并支持风险评估结果的录入、查询和保存。

  2 根据风险评估的结果完成年度内审计划的制定，内容包括确定的审计对象、审计频率、审计重点、人员配备以及具体业务安排。

   • 内审年度计划是以风险评估的结果为依据的，内容有：需要进行哪些具体的内审项目、项目开展的时间、项目预计用时、内审项目涉及的风险和业务线以及内审项目的人员配置情况。

  • 风险评估的结果会将被评估的对象分成高低不同的风险级别，制定年度计划时应包括风险评估结果中风险等级高的所有业务流程或框架。对于风险评估等级低的业务流程或框架，则按照一定的标准制定覆盖的频率。人员安排充分考虑已制定的内审项目，并考虑人员的资历、专业水平、级别、参与内审项目的历史记录等要素，且对于人员缺口，要考虑利用外部资源 包括借助外部咨询机构的力量 。一个内审团队应包括各个级别、不同专业领域和资历的内审人员，按照一定的循环政策安排内审人员的内审项目。

   • 年度审计计划保持一定的机动性，以应对公司可能的突发情况 如舞弊调查 或管理层的特别要求。

  3 独立制定内审部门费用预算，并有确定的费用明细项及估算方法。

   • 内审预算是独立进行的，有独立的制定流程、方法和费用额度，同其他机构分开核算，有确定的预算明细项目，且充分反应内审在预算年度所耗费的各种资源。部分费用可以根据具体情况进行月度间调整、科目间调整和采取总量控制，但季度预算存在刚性，同科目预算不允许季度间进行预算调整。预算在实施的过程中需要定期分析差异原因，对经营活动进行及时的调整和控制，而预算的执行情况将会纳入绩效考核管理体系。

  • 内审预算以内审计划为基础，采用零基预算的思路，参照往年的数据对具体的明细项进行估算。

   回答问题的专家是德勤企业风险管理服务华北区合伙人翁国樟。