风险矩阵分级模型在国有企业经济责任审计中的实践探析

康鼎煦

[摘要]经济责任审计是对领导干部实施权力运行监督制约的重要一环，其检查内容多、涵盖范围广、事项管控细，审计结果更是直接体现了领导干部在所属任期内针对问题错误需要承担的对应责任，过程复杂但意义重大。本文通过运用风险矩阵分级模型，对经济责任审计内容涵盖的各组成部分进行细化分析，为如何优化审计资源配置，快速、高效、有针对性地找到审计重点提供支持。

[关键词]风险矩阵分级模型   经济责任审计   内部审计

近年来，经济责任审计作为规范领导干部权力运行的重要抓手，在维护财经安全、规范权力运行、推进企业高质量发展等方面发挥了积极作用。从过去几年疫情等突发性因素的影响，到如今数字化审计概念的应运而生，审计工作面临着“现场”与“非现场”相结合的转型。在不同阶段如何实现“聚焦风险、突出重点、科学分类”成为审计部门解决“高数量任务、高质量要求、高效率保障”这个难题的重中之重。因此，通过风险矩阵分级模型对经济责任审计实践过程进行探索，按照事项重要性、概率频次、类比因素等多重维度确定检查单位各类事项风险等级，在不同的审计阶段对各类风险事项开展有侧重的审计程序，对提升审计的效率性和精准性、指导被审计单位强化管理、防范风险等方面具有重要的现实意义和社会价值。

一、风险矩阵分级模型概况

（一）定义概念

风险矩阵分级模型是一种风险可视化工具。该模型通过运用风险识别、风险判定和风险估计的方法，对事件影响的严重程度、已发生同类事项判定情况、未来再次发生的可能性等多维因素进行综合评估，形成矩阵模型并找到对应的交点，并根据交点所对应的风险判定条件得出“高风险”“中风险”“低风险”等风险结论。

（二）作用意义

应用风险矩阵分级模型的方法确定风险因素的排序，综合考虑风险影响和风险概率，确定量化等级，采取有侧重的风险管理措施，集中精力和资源来防范和控制关键风险，并结合审计程序的具体应用，对重要性进行排序。对矩阵模型中的“高风险”采取重点管控措施，加大对重点单位、关键领域、关键环节内审力量的投入，有针对性地实现“远程分析+现场突破”的重点检验；对安全风险处于最末等级且发生概率较低的风险，可根据具体事件及其发生时间，采取个性化的应对措施，可适当采取“远程了解+现场复核”的简易模式，大幅度提升作用发挥的效率。另一方面，风险分级结果可以作为人员分工安排的依据。对于重大风险领域可以选择经验丰富的人员完成检查，集中力量进行全方位任务布置，对于风险较小的领域，可以安排项目组中较为年轻、经验尚不丰富的人员进行锻炼提升。借此手段降低风险管理成本，提高效率，实现审计资源优化配置，有助于审计队伍建设的良性循环发展。

二、风险矩阵分级模型在经济责任审计中的实践应用

国有企业领导干部经济责任审计工作要严格按照审计监督全覆盖要求，堅持企业主要领导人员经济责任履职情况必审、存在重大经营风险和投资损失单位必审的原则。在聚焦重要领域和关键环节的过程中，应用风险矩阵分级模型，可以更好地对各类事项的审计策略进行分析，围绕单位主责主业，有条不紊地安排实施过程，把控审计范围，明确审计人员责任分工，提升审计工作质量和效率，具体分为以下步骤。

（一）判断事项重要程度

在事项重要程度的判断中，我们基于审计实施方案计划设定层面出发，按照对应审计事项，设置“事项影响水平”和“以前年度检查此类问题是否出现及整改情况”两个因素的指标如表1所示。继而根据相关维度的交叉关系，得出事项重要程度的初步结论。

1.“事项影响水平”指标主要基于国家法律法规或上级主管部门规章制度对问题事项本身的明确要求，考虑该事项是否作为国家重点监督检查和反腐败重点领域，是否存在核心热点问题、难点问题以及损害群众利益的问题，从环节本身是否会对事项范围内产生重要影响分成“大”“中”“小”三个维度。

2.“以前年度检查此类问题是否出现及整改情况”指标主要基于审计成果运用的效力反馈程度，结合历次审计检查中出现问题的重点领域和改进情况，考虑被审计单位历年上报整改情况报告所列明事项的处理状态，结合是否对有关违规事项及时进行追责处理，及时调整体制机制或出台相应制度办法等，从此类事项改进状态分成“出现且未整改”“出现且整改不到位”“无类似问题”三个维度。

3.根据上述两项指标所对应不同维度间的交叉关系，可以得出事项重要程度的初步结论，分成“非常重要”“重要”“一般”三种情况。作为影响水平大、历次检查出现且未整改事项，为“非常重要事项”，需要提高此类事项的重视程度和检查优先级；作为影响水平小、历次检查均未发现类似问题的事项，为审计风险可接受范围内的“一般事项”，基于常规审计程序进行梳理和检查。

4.应用举例。基本建设项目具有规模大、资金多、链条长、范围广的特点，高资金投入意味着需要更高级别的风险防范举措，涉及规划设计、建设施工、招投标管理等多个环节关键风险点，对各单位高质量完成繁重的基本建设任务提出挑战。因此，以经济责任审计中关于基本建设项目的检查为例，按照审计实施方案中对于基本建设项目立项申报、建设管理、财务核算、档案管理等各阶段的审计检查计划，结合风险矩阵分级模型对部分事项具体的风险划分如表2所示。

（二）判断事项风险级别

在事项风险级别划分的判断中，基于审计实施方案检查执行层面出发，按照归属审计范围，对上述事项重要程度的判断进行横向延伸，设置“事项重要程度”和“发生问题可能性预判”两个因素的指标，继而根据相关维度的交叉关系，得出事项风险级别划分的对应结论，事项风险分级情况如表3所示。

1.“事项重要程度”按照上文中操作步骤，对应审计事项相关维度的交叉关系，得出事项重要程度的初步结论，分成“非常重要”“重要”“一般”三个维度。

2.“发生问题可能性预判”指标主要基于以下两个方面。一是基于被审计单位内部控制与风险评估有关检查结果，排查内控缺陷和风险隐患，分析被审计单位是否制定了内控制度或内控流程，是否落实了业务决策风险评估的要求，是否建立了业务监测预警指标，业务关键控制环节如进销存、合同、资金等内部控制是否到位，是否落实了不相容岗位分离，是否建立了有效的信息系统控制，是否存在潜在风险损失等，借此作为对审计具体事项发生问题可能性的预判依据。二是结合被审计单位提供的资料进行初核，熟悉并掌握被审计单位制度规定和审批流程，通过远程登录相关业务系统、财务系统、资产管理系统等，评估审计风险，对审计内容进一步划分，形成初步的审计判断，找到审计疑点，若发现违规事件、处理处罚、上级整改要求等均需作为评判的考虑因素。将该项指标由上至下设置为“很可能”“可能”“偶尔”三个等级。

3.根據上述两项指标所对应不同维度间的交叉关系，可以得出事项风险级别划分的对应结论，分成“高风险”“中风险”“低风险”三种情况。事项重要程度高、发生问题可能性强的事项，作为高风险事项需要重点关注，确保应查尽查，在审计资源的配置方面也要明确对应的优先级；事项重要程度相对不高、发生问题可能性相对较弱的中风险和低风险事项，要有侧重地开展审计程序，绝不能忽视或降低要求，结合常规审计程序不断挖掘信息，在项目进行过程中逐步进行调整。

4.应用举例。以经济责任审计中关于基本建设事项的检查为例，将相关判断信息填入风险矩阵分级模型，结合前一步骤对部分事项具体的风险划分如表4所示。

（三）审计实践策略应用

根据风险矩阵分级模型所得出的风险推论，明确“高风险”“中风险”和“低风险”事项后，结合审计实施方案，从审前、审中、审后三个阶段分别采取对应的具体策略，如表5所示。在审前阶段，充分考虑计划安排和资源配置，优先且集中力量解决重点领域中的高风险问题；在审中阶段，聚焦组织实施和质量管控，分别明确组长、主审和子版块小组长在不同风险事项中的具体职责，针对不同级别的风险事项分别对应采用“组内推进—组间交互—逐级复核”的思路，明确目标、分清主次；在审后阶段，跟踪被审计单位整改落实和责任追究，及时督导问题事项的解决处理思路，对于重要的问题线索移交处理，并明确责任追究，对于立行立改的事项则严格把关被审计单位内控建设，及时进行规范化调整。

三、应用风险矩阵分级模型存在的问题

（一）风险等级划分缺乏相应标准

从风险矩阵指标的评定标准来看，“事项影响水平”指标主要基于监督检查大背景下的剖析，其依赖于社会聚焦的重大风险领域和核心热点问题、难点问题以及损害群众利益的问题分析，涉及大量人为因素的考量，对指标的判断缺乏相应标准。一是主观性过强。由于影响水平的判断需要紧密结合宏观政策和经济发展趋势的有关要求，无法客观准确的衡量不同审计事项在不同审计环境下产生的对应结论，容易导致不同项目组、不同审计人员从个人自身理解出发，对同一事项的判断极易发生出入，进而对下一步判断风险水平以及如何更好地执行审计计划和任务安排造成一定程度的影响。二是缺少制度保障机制。具体检查事项的审计流程尚未匹配规范化审计操作指南，不同审计人员执行同一审计业务尚未建立相同的审核标准，不同类型的确认业务还缺少更加详细的示例，如需要获取哪些具体资料、采用何种审计方法、如何利用资料进行判断、异常情况如何处理等，在一定程度上造成审计人员主观判断的不准确性。

（二）审计成果运用尚显不足

从风险矩阵指标的颗粒度效果来看，“以前年度此类问题是否出现及整改情况”指标主要基于审计成果运用效果下的剖析。根据所反映出的经营管理情况和运行管控情况，认真总结和归纳分析出具有普遍性、规律性的问题成因，但目前看来，审计成果运用明显不足。一是对以往审计情况的梳理不够深入。内部审计部门更多的是基于年度审计计划完成检查过程，对审计发现问题的研判浮于表面，推进研究型审计力度不足，重纠偏矫正而轻根因分析，造成同行业、同类型、同区域等单位没有针对性地形成分类的审计切入策略，导致风险矩阵模型中“以前年度此类问题”的分析力度不足。二是对事项整改是否从根源上实现预期效果跟进力度不足。针对审计发现问题的改进情况，内审部门主要依托有关问题事项的督导分工表、整改进度表和整改销号表等机械式地进行清理，以整改完成时点为临界，未进行整改跟踪处理，在力度上会引起被审计单位重视程度不足，导致被审计单位对苗头性、倾向性的问题未做到层层分解，缺乏更深层次的剖析和警示。

（三）审计人员专业能力有待提升

从风险矩阵指标的识别判断来看，“发生问题可能性预判”指标主要基于审计人员专业能力素质的体现，既表现在通过被审计单位内部控制与风险评估有关检查结果，分析排查内控缺陷和风险隐患，又表现在通过被审计单位提供资料进行初核找到疑点，但总体看来审计人员专业能力依然存在提升空间。一是风险识别的敏锐度不足。内部审计人员对于风险矩阵模型中发生问题可能性的风险预判与被审计单位内控和风险评估的结合度不够紧密，难以发现新业态、新模式、新业务以及高风险业务的短板弱项，对企业的经营环境、决策环境、战略规划等重点领域和关键环节内控执行中的风险点尚未形成敏锐嗅觉，只能从简单的合规性上进行表面的审核，不具备内部审计在风险识别分析方面所需的胜任能力。二是信息化审计人才培养不足。风险矩阵模型在应用过程中需要对不同类别的问题进行详细的信息化分析，既要求对有关数据进行采集、挖掘和分析，同时也要求对矩阵中的交叉关系和应用逻辑进行一定程度的构建，却因信息化审计专业人才匮乏导致无法满足数字化审计加速升级的需要，因此，专业结构需要进一步筑牢。

四、应用风险矩阵分级模型的对策建议

（一）建立健全风险分级评估体系

一是要采用因地制宜的方式建立健全风险分级评估体系。针对不同类型单位和不同类别的检查方向，设置更具层次性的矩阵构建条件，采用审计团队分层级综合评定方式，尽可能地减少个人主观因素的影响，降低个人决策的信息误差，将划分因素客观化、可量化，科学合理设置评定因素权重。二是完善相应制度体系建设。健全审计规范化操作指南，建立可供实务操作的审核标准，按照不同审计对象的类型特点，深化应用风险矩阵分级模型策略，在审计实施过程中持续完善审计事项风险评级方式方法，科学调整风险分级维度，坚持审计事项的全过程风险动态评估反馈，研究审前事项风险等级预估、审中事项风险等级调整、审后事项风险等级反馈等协同保障制度体系。

（二）拓展审计成果运用的深度和广度

一是加强研究型审计思路向纵深发展。着力发展研究型审计，探索提升审计成果效益，转变“重审计过程、轻结果运用”的观念，对审计事实确认书中的有关数据资料进行整理分析，及时深入挖掘问题形成的原因和潜在价值，提升审计成果运用的层次和水平，总结提炼出可供风险矩陣模型中结构化分析操作的相关要素。二是强化审计整改的跟踪检查力度。审计整改是确保审计监督到位的关键，也是风险矩阵模型中的重要分析要素，必须建立健全整改跟踪检查机制，既要把审计查出问题的整改情况作为企业相关督导部门的日常督办管理事项，同时要定期对被审计单位整改情况进行“回头看”工作，检查是否存在表面应付而未实质性整改的现象，进而扩大审计成果的覆盖面。

（三）多维度促进审计人员能力素质提升

一是提升审计人员的逻辑思维判断能力。审计人员不仅要能查出问题，更要剔除与审计事项无关、无效、重复、冗余的要素，从分析研判中寻找出带有趋势性、普遍性和规律性的内涵线索，要充分利用各种业务培训、交流学习来更新知识储备，将学到的新理论、新方法、新技能在实践中加以应用，从而更直接、更有针对性地识别风险漏洞。二是强化复合型人才队伍建设。针对风险矩阵模型中对信息化能力提出的专业性要求，要考虑项目组成员中专业背景的搭配，补充信息系统审计、数据分析与挖掘技术等方面专业背景的内部审计人员。与此同时，审计人员也应探索并掌握信息化数据分析处理方法，积极参与信息系统审计培训课程，满足风险矩阵模型应用的审计全过程需求。

五、结语

综上所述，在国有企业经济责任审计中应用风险矩阵分级模型，可以更好地串联审前阶段计划安排、审中阶段组织实施、审后阶段整改落实的全流程，对实现审计资源的优化配置、保障审计质量和提高审计效率等方面具有极为重要的现实意义。

（作者单位：通用环球医疗集团有限公司，邮政编码：100062，电子邮箱：kangdingxu@um.gt.cn）

主要参考文献

[1]陈泓宇.基于风险矩阵的风险修正活动：以A公司为例[J].江苏商论， 2019（2）：128-130+133

[2]李海燕.国有企业内部审计风险分析及防控策略探讨[J].企业改革与管理， 2021（24）：162-163

[3]欧阳湘萍.新形势下国有企业经济责任审计改进研究[J].交通财会， 2022（2）：75-77

[4]郑子超.从财务管控视角看上市公司经济责任审计中的风险点及防范对策研究[J].商业观察， 2021（35）：50-52