风险是对目标的实现产生影响的可能性。当今世界越来越复杂的经济环境与激烈竞争,使企业面临的风险比以往任何时期都大,企业发展与风险的如影随形、相生相伴,使风险管理在现代企业管理中发挥越来重要的作用。内部审计作为一种独立客观的咨询活动,是对风险管理的评价和改善。目前我国大多数企业采用的传统内部审计模式属于被动型风险控制,审计目标和范围缺乏针对性,无法准确反映企业的经营风险和问题,不能有效地为组织增加价值、减少损失。风险导向内部审计是一种主动的风险管理的审计模式,它要求内部审计人员在内部审计的全过程中自始至终都要关注风险,并根据风险度选择项目,以降低风险为导向,进行内部控制的符合性测试、实质性测试,并进行监督检查和评价,提出建设性意见和建议。这样得出的审计报告可以作为揭示企业风险、防范风险以及信息交流的预警信号,为企业风险管理提供可靠的信息,并作为企业进行风险判断的重要依据,我国现代企业管理需要引入风险导向内部审计模式。
1风险导向内部审计的意义
1.1参与风险管理
企业风险管理要求全面识别风险,同时熟悉本单位的经营战略、工作程序、组织结构等,内部审计人员的独特地位与专业知识满足了以上要求。具体实施审计时,风险导向内部审计可以直接针对企业实现目标过程中面临的主要问题和风险,并将事后评价反馈延伸到事前和事中,使内部审计成为企业价值链中的必要环节。因此,以风险为导向的内部审计捕捉风险信息的能力比企业内部其他部门和外部审计都强,对于企业风险管理能够做出其独有的贡献。
1.2完善内部控制
内部审计作为内部控制的一个重要环节,是对内部控制的再控制。风险导向内部审计强调从风险角度对内部控制的科学性进行评审,强调从风险角度对内部控制进行评价,不仅强调内部控制的严格执行,而且要求在成本与收益、风险与机会之间寻找平衡,保证企业在可接受风险程度下获得最大利益,为企业风险管理提供更客观、更科学的控制评价。有利于优化内部控制结构、简化内部控制流程、健全内部控制制度,进一步完善企业内部控制。同时,改进对内部控制的监控和完善方式。
1.3促进公司治理
公司治理的基本目标是在充分考虑利益相关者利益相对满足和大体均衡情况下,增加企业价值,从而使股东长远价值最大化。而风险导向内部审计的本质是确保受托责任有效履行的管理控制,它更注重与企业目标的直接关联。可见,公司治理与风险导向内部审计目标是一致的。内部审计既是公司治理的一部分,同时又参与到治理有效性的审计之中。内部审计在公司治理中的作用包括监督、评价和分析组织的风险和各项控制;复核并证实信息是否可靠并符合相关政策、程序与法律,协助管理者向董事会、审计委员会以及执行管理机构提供风险防范以及治理有效的保证。
1.4提升内部审计职业地位
风险导向内部审计对象为公司治理领域和包括内部控制环节风险在内的一切风险,提升了内部审计在公司治理中的作用包括监督、评价和分析组织的风险及控制,复核并证实信息可靠并符合相关政策、程序与法律,协助管理层向董事会和执行管理机构提供防范风险以及有效治理的保证。
1.5提高审计资源利用效率
风险导向内部审计不仅重视会计信息,而且重视经济信息,产业信息和财务信息等,其审计模式路线是“目标风险控制”,对于有证据表明风险较低的领域,应依赖内部控制或分析性复核;对于被认为风险较高的领域,分配更多的审计资源,可实施大量的实质性测试和余额细节测试。这样恰当、有效地分配内部审计资源,使得更多与风险管理相关的控制和活动得到关注,把审计手段与审计目标更好地结合在一起,可以提高审计的科学性、针对性和绩效性。所以风险导向内部审计提供了一种既能保持审计效果,又能提高审计效率的工作思路。
2风险导向内部审计的实施过程
2.1构建风险数据库
风险导向内部审计需要事先构建企业风险数据库,并依据风险数据库进行全面的识别和评估风险,根据风险评估结果确定审计项目、审计重点。首先,风险数据库应包含风险的类别、规模、可能性及其影响程度。其次,应确定风险的可控程序,对风险控制的恰当性进行评价。最后,通过企业应对风险及其发展变化情况所采取的措施进行检查,对应对措施充分得当和有效性进行评估。
2.2制定审计计划
风险导向内部审计的审计计划与风险相联系,要求审计计划应该反映企业的风险战略、风险管理,并与内部审计程序协调一致。内审部门应在企业风险数据库中所识别和评估风险的基础上编制审计计划,根据风险来确定审计项目的先后次序,合理分配内部审计资源,目的是将内部审计有限的资源集中于高风险的领域,更好地服务于企业的总体目标,有助于内部审计效率和效果的提高。
2.3编制审计实施方案
风险导向内部审计需要审计人员在评估风险优先次序的基础上,编制审计实施方案,包括确定审计范围、审计重点及审计步骤等。编制审计实施方案:首先,应在考虑并反映企业战略性计划目标和方针的前提下确定审计范围;其次,通过对企业风险因素分析,确定审计的重点领域、重点业务流程、重点环节和内容;最后,针对评估确定的重大错报风险发生的可能性及相关业务特点和重要程度,设计个性化的审计具体程序。
2.4分析和测试方法的运用
风险导向内部审计应注重分析程序测试方法的运用,依靠内审人员根据掌握的各种资料和信息,运用专业判断能力和科学的分析方法,对被审计单位的风险进行识别和评估分析;根据风险的识别和评估结果,确定实施测试的方式和风险点,在实际工作中还可以借助剩余风险因素的评估结果,确定实质性测试的时间、性质和范围。
2.5广泛获取审计证据
风险导向内部审计模式下,支持审计结论所依据的审计证据在内涵上有了明显的扩展,既包括实施控制测试和实质性测试获取证据,也包括通过了解企业基本情况及其环境获取的证据,以风险评估决定审计证据的数量及质量,风险越高,所需证据的数量就越多、证明力要强。
2.6充分沟通与交流
沟通是贯穿内部审计工作全过程中不可或缺的重要工作,也是审计人员的重要技能之一。风险导向内部审计更加注重审计沟通,要与企业各层级(特别是决策层、重要管理层和关键业务操作层)的相关人员进行广泛沟通、交流、充分了解和掌握相关信息,并凭借良好的职业胜任能力,为企业决策者和各管理层提供服务。
2.7出具审计报告
风险导向内部审计模式下,审计人员以风险评估和检查为基础提出审计发现和审计建议,并出具内部审计报告,报告应给能保证对审计结果进行应有考虑的人员,这些人员可能是审计委员会的负责人以及内审部门负责人;董事会、管理层和被审计部门。此外,管理层对于有些风险,因为各方面原因,可能采取接受的态度,一般称为剩余风险。在内审部门负责人认为管理层所接受的剩余风险水平对于企业来说是无法接受的,内审部门负责人应与管理层进一步讨论,仍无法解决,应报告董事会加以解决。
2.8审计处理决定、整改反馈
为落实内部审计报告整改意见,内审部门应及时向被审单位或部门下达审计(检查)整改通知书,整改通知书应以公司董事长或总经理的名义进行签发,规定整改的时限和效果。被审计部门在规定的时间内进行整改反馈。
2.9抽查整改效果
审计(检查)整改通知书签发后,内部审计人员仍要对整改进程及效果情况进行抽查,监督企业是否已经采取了有效防范和控制措施,对未纠正的事项分析原因,协助企业制定整改措施,实现闭环管理。
3风险导向内部审计实践的主要问题
3.1内部审计工作机制不健全
部分单位对内部审计认识上不到位、定位不准,直接影响了内部审计的独立性,出现内部审计与纪检、监察部门甚至财务部门合署办公的现象,没有作为一个独立与企业管理系统的监控系统存在,造成了内部审计权威性不强,机制不健全,职责和作用不能充分发挥。内部审计工作受到其他工作的牵制,不能客观、真实、深入地开展,做出的审计报告也因管理体制上的制约而得不到有效地执行和落实。更为严重的是,还有很多大型企业没有设置内部审计机构。
3.2风险管理体系不完善
企业大多尚未建立起完善的风险管理体系,风险管理活动往往是按照法律法规的要求被动进行,并非出于企业自身需要主动进行,而且风险管理活动往往是瞬时或间断性的,多是在事件发生之后采取的“亡羊补牢”式风险应对措施;与大量运用数理统计模型、金融工具等先进方法相比,风险管理方法较为落后,从而导致企业不能恰当地预测风险、识别风险、评估风险,进而严重影响风险导向内部审计的“风险导向性”.
3.3内部审计在风险管理中未能充分发挥作用
审计人员对风险管理还不甚了解,未能在风险管理中发挥应有的作用;目前,内部审计部门主要开展的审计内容仍以财务收支审计、经济效益审计和经济责任审计为主,风险导向审计尚处于起步阶段,并非为主要审计内容。
3.4内审人员知识结构单一
目前,许多企业内部审计机构人员配备单薄、结构单一。从业人员大部分是从会计及其他相关职业专行过来的,审计人才少、经营管理人才少、经济和法律人才少、高层次的复合人才少。单一的专业知识结构很大程度制约了内部审计走出单纯的查错纠弊范畴,难以实现对企业风险管理、控制和治理过程的全面综合评价。
3.5缺乏强有力的质量控制机制
内部审计作为一种社会公认的职业,内部审计人员除了具备专业知识外,还应该遵循职业道德规范和内部审计准则;同时内部审计工作质量的高低也影响到为企业增加价值作用的发挥。因此,对内部审计质量的措施还不到位,同时缺乏一套机制对内部审计质量进行评估,严重影响和制约内部审计职业化建设。
4风险导向内部审计的对策
4.1构建内部审计组织体系
在现代公司治理结构中,较先进的内部审计组织模式是在董事会下设立专门负责行使或帮助董事会行使内部会计事务积极权力和外部会计事务消极权力的审计委员会,这种制度安排对风险导向内部审计作用发挥至关重要。改进和完善内部审计组织模式,重构内部审计体系当务之急。一是在董事会下设审计委员会,由审计委员会组织领导内部审计工作;二是建立具有独立性、权威性的内部审计部门,改变内部审计部门平等或低于各职能部门状况;三是严格内部审计人员的资格认证,提高内部审计人员的综合素质。
4.2正确定位内部审计目标和职能
明确风险管理、内部审计与内部控制三者的职能关系,风险管理是内部控制职能的拓展和延伸,而内部审计在风险管理中承担评估和建议职能。内部审计人员首先要从思想上转变对内部审计职能的认识,树立服务的理念,以风险为出发点。在及时识别并帮助企业防范和控制风险的同时,准确把握不可避免风险可能产生的商机,及时为企业决策者和管理层提供有价值的信息,努力寻求内部审计价值最大化。
4.3完善审计风险数据库
结合企业自身特点和需要建立风险数据库,从涉及的门类、领域、信息量等方面,对现有信息库进行大规模扩充,以满足内审人员了解法规制度、行业特点、经营环境以及经营和发展战略、业务流程、风险评估、业绩评价等方面的需要。还应建立企业信息系统的资源共享机制,使内审人员能够及时准确地获得相关信息,从而更方便地实施风险评估程序,进而为风险导向内部审计工作做铺垫。
4.4整合审计资源和审计能力
必须使有限的审计资源在一定范围上达到最优的组合和整合,最大限度发挥审计资源的效率,使得审计资源和审计能力与利益相关者和企业价值期望保持一致。审计能力主要体现为审计人员的专业胜任能力,要求内部审计人员熟悉企业战略、目标和计划,了解企业经营管理各项职能。可以通过以下渠道不断提升审计人员的专业胜任能力:一是挂职锻炼和轮岗锻炼;二是强化业务技能培训;三是优化人员结构;四是必要时可临时外聘专业技术人员;五是加强职业道德教育;六是鼓励和支持内部审计人员加强自学和磨炼。
4.5健全企业内部控制机制
风险导向内部审计是以内部控制为基础、同时考虑公司治理结构和治理机制在内的、以企业全部风险作为审计重点的审计模式。因此,企业应在优化公司治理结构过程中,从内部控制的设计、运行、评价和改进等环节,建立与完善企业内部控制机制,明确企业各层面的控制与管理责任。
4.6完善经营管理和风险评价体系
尽快建立能够体现本企业经营特点及至行业特色的经营管理体系和风险评价体系,为风险导向内部审计在企业内部成功开展奠定基础,并通过对整个企业及其经营活动进行分析评价,查找高风险领域与环节,从而有效地防范、转移、经营风险,力求风险损失最小化。同时,内部审计部门应尽可能地量化审计风险,减轻审计责任,提高审计效率和质量。
参考文献:
[1]王光远.内部审计思想[M].北京:中国时代经济出版社,2006.
[2]李三喜,徐荣才.3C框架---全面风险管理标准[M].北京:中国市场出版社,2007.
[3]王晓霞.企业风险审计[M].北京:中国时代经济出版社,2007.
[4]董大宏.现代风险导向审计及其应用[N].中国审计报,2008-01-09.
[5]刘晓辉.风险导向内部审计的应用分析[J].中国内部审计,2008(4):48-50.
[6]吴容.风险导向整合型内部审计模式探究[J].中国内部审计,2009(9)。
[7]陈震晗.基于COSO-ERM的企业风险导向审计模型[J].中国内部审计,2009(10)。
[8]王学龙,郝斯佳.论风险导向型内部审计在企业风险管理中的作用[J].中国内部审计,2010(2)。
[9]吕诚伦.浅析国有混合型企业集团的内部审计与风险管理[J].中国市场,2015(50)。