摘要:風險導向內部審計是適應企業風險複雜化趨勢而產生的內部審計形式,文章從梳理風險導向審計理論入手,結合當前內部審計實踐存在的突出問題,分析了在內部審計中應用風險導向的實踐意義和必要性,並從轉變審計職能、審計方法和企業風險管理體系方面對風險導向內部審計的實現路徑進行了探討。
關鍵詞:內部審計;風險導向內部審計;風險管理
內部審計作爲重要的管理工具,一直是企業內部監督的重要組成部分。隨着經濟全球化和市場競爭多元化的不斷深入,企業所面臨的風險日趨複雜。尤其是對於大型企業集團而言,風險規模已經遠遠超出管理層能夠直接管控的範圍。爲此,企業開始日益重視風險管理工作,積極建立內部控制體系,提高企業風險管控能力。在此趨勢下,風險導向內部審計應運而生,並較好的適應了管理層的風險管理需要。
一、風險導向內部審計的概念與基本特點
按照國際內部審計師協會(IIA)對內部審計的定義,內部審計是“一種獨立、客觀的保證和諮詢活動,其目的是在於爲組織增加價值並提高組織的運作效率。它採取系統化和規範化的方法來對風險管理、控制和治理程序進行評估和改善,從而幫助組織實現目標”。根據這一定義,推行風險導向內部審計就是要以對組織風險的評估與改善作爲基本目標,以內部控制爲審計基礎,以公司治理爲參與風險管理的前提。風險導向內部審計作爲內部審計發展的一個階段,其本身具有區別於傳統內部審計和註冊會計師外部審計的特點。筆者認爲這些特點主要體現在如下方面:首先,風險導向內部審計將風險評估和改善作爲首要目標,並據此延伸其職能。具體來說,其職能主要有三個方面,一是利用其在內部管理方面的專家地位和信息優勢,根據企業目標評估、分析和管理風險,並將審計結果和管理建議向管理層報告。二是幫助管理層在制定重大決策事項時進行風險評估。三是爲市場、採購、技術等其他專業領域的風險管理部門提供諮詢。總之,風險導向內部審計不再是消極的查錯防弊,而應以組織的整體風險評估作爲首要工作。其次,風險導向內部審計在方法上更加註重風險評估、缺陷評估和管理建議。區別於傳統內部審計,風險導向內部審計始終把風險管理作爲審計工作的出發點和落腳點,強化審計工作的事前風險評估和事後缺陷評估環節,並基於這些評估得到審計結論和給出風險管理建議。第三,風險導向內部審計以內部控制爲基礎。從理論上說,內部審計是內部控制的監督環節,是對其他內部控制環節的再控制。內部審計無論從事是對風險的評估和改善,還是參與風險管理和治理程序,都需要依託對企業內部控制狀況的瞭解。第四,採用風險導向使內部審計工作融入企業全面風險管理體系。不同於外部審計師所實施的內部控制審計,內部審計是爲了保證企業經營目標的實現、保護資產安全、防止舞弊的發生而進行的全方位的內部控制評價。也就是說,內部審計、內部控制以及管理層的風險治理活動都是以企業風險管理爲目標。內部審計通過採用風險導向而參與到企業全面風險管理中,成爲整個風險管理體系的有機組成部分。
二、在內部審計中採用風險導向的必要性與實踐意義
當前,內部審計需要應對的風險越來越複雜,對審計的要求也不斷提高。內部審計需要更爲全面、及時、準確的反映企業存在的風險,並提出有針對性的管理建議。傳統內部審計雖然也針對企業風險進行監督,但從根本上說仍然缺乏完整有效的風險識別和評估體系,審計工作高度依賴審計人員水平,其風險覆蓋的全面性、重要環節的審計充分性、以及審計質量的穩定性均難以保證。這不但無法滿足企業風險管理需求,而且難以體現內部審計的管理價值,不利於內部審計的長期發展。因此,在審計實踐中採用風險導向是內部審計發展的必然選擇。
1、風險導向內部審計以風險評估和改善爲目標,可以更爲系統的覆蓋企業重要風險,保證內部審計的完整性傳統內部審計對於內部控制的關注一般集中在已有流程和已識別的運營風險,而缺乏對風險識別全面性和風險變動的評估。但對個體企業而言,無論是外部環境、業務特點,還是內部管理和治理結構都十分複雜,且始終處在不斷變化的過程中。COSO委員會在2004年頒佈的《企業風險管理——整體框架》(ERM)中將企業全面風險要素概括爲八個大類,而阿瑟.安德森公司的商務風險模型(BRM)則將企業風險概括爲三大類75種,足見其範圍之廣。在此情況下,傳統內部審計很難保證審計結果和管理建議不存在重大遺漏、誤判或者與企業實際狀況脫節的風險。而風險導向內部審計通過有效的風險識別和風險評估,可以及時、全面的掌握這些情況,幫助內部審計部門形成對被審企業的完整認識。
2、風險導向內部審計對風險和缺陷的評估,能夠更爲科學的確定審計事項的重要性水平,有助於合理調配審計資源,深入進行研究分析,保證內部審計的充分性在目前的內部審計實踐中,一個較爲突出的問題是在標準化的審計程序上耗費大量審計資源,而缺乏對重要問題的深入研究和系統性分析。具體來說,一方面,審計過於追求程序的標準化,審計意見包含大量詳細的操作細節問題,但沒有區分重要性水平。特別是對於風險較小的環節給予過多關注,造成控制冗餘,不但影響審計效率,也可能對後續審計產生誤導。另一方面,對於重要缺陷不能給出系統評估和全面的解決方案,例如評估缺陷在多大程度上增加了企業運營風險,缺陷產生的系統性原因和個體原因,以及如何進行整改和需要投入的管理資源是否符合成本效益原則。而風險導向內部審計重視事前的風險評估,可以有效解決審計側重點問題,合理調配審計資源。可以結合企業目標,有針對性的深入研究重要風險,評估缺陷程度。同時,還可以減少在次要風險上的審計資源投入,在總體資源有限的情況下發揮最大的審計效果。
三、實施風險導向內部審計的實現途徑與展望
風險導向內部審計從根本上改變了傳統審計的指導思想和工作模式,對內審部門提出了很大的`挑戰,其在實踐中的應用還存在很大障礙。筆者認爲,要想實施風險導向內部審計,至少需要在如下幾個實現轉變。
1、內部審計部門職能的轉變:由消極的查錯防弊向主動的風險管理轉變在所有阻礙風險導向審計實施的問題中,最根本的是內審部門自身定位的轉變。風險導向內部審計要求內審部門的定位要從消極的查錯防弊變爲主動的風險管理,在風險評估、內部控制乃至公司治理中發揮專業作用。這使內審工作從監督指導職能延伸到風險評估、缺陷分析和管理諮詢,幾乎顛覆了內審部門的舊有工作範圍,無疑是對內審部門從軟件到硬件的全面挑戰。儘管如此,這些轉變又是不可迴避的,因爲能否轉變思路並主動適應新的角色,是內部審計能否提升自身價值的關鍵所在,也是企業風險管理提升不可或缺的重要途徑。
2、審計方法的轉變:建立完善風險評估機制風險評估和改善作爲內部審計的首要目標,在實踐中也是能否真正實施風險導向內部審計的關鍵問題。因爲企業的風險千差萬別,風險評估也非常複雜繁瑣,但作爲整個審計體系的基石,所有後續審計工作均需要以風險評估爲基礎。筆者認爲,企業應通過建立成熟的風險識別模型和風險評估程序,通過流程化、標準化以節約審計資源。具體來說,一方面內審部門應結合COSO企業風險管理框架(ERM)、企業風險模型(BRM)以及其他風險分析工具,建立一套適合本企業特點的風險識別模型。然後根據企業目標,在模型框架內識別具有重大影響的風險項目,建立企業風險數據庫。另一方面,在內部審計中應建立風險評估報告制度,強制要求內審人員全面瞭解被審單位的風險狀況,以保證所有後續審計工作按風險導向執行,最終幫助評價審計結果對企業整體風險的影響。
3、風險管理架構的轉變:整合內部控制資源,實施風險的全過程管理無論是內部審計還是內部控制和企業風險管理部門,乃至於各專業部門的風險管理人員,其根本任務歸根結底就是對風險進行管理。而受制於管理範圍和資源限制,內部審計部門必須與其他風險管理部門共同開展風險管理工作。具體來說,一是需要加強部門協調,與相關部門共享風險數據庫,並在共同的風險識別框架下對風險形成共同認識,對控制措施和審計缺陷評估實施共同標準。二是對風險進行全過程管理。根據風險管理過程理論,風險管理是風險識別、風險度量和風險監控三個環節構成的循環,內部審計對於風險的管理也必然是一個動態的過程,需要整合相關資源對風險全流程進行管理,及時進行重新評估和應對。目前,外部審計機構正在大力開展管理諮詢業務,憑藉其專業優勢和成本優勢,越來越多的重複性內部審計工作已呈現外包化趨勢。內部審計如果仍在“查錯防弊”階段止步不前,將越來越難以爲企業創造價值。因此,只有積極參與企業內部風險管理,並在此基礎上與其他風險管理部門密切配合,形成強有力的風險管理體系,纔能有效爲企業保駕護航,這或許是內部審計的長遠發展方向。
參考文獻:
[1]曹偉,桂友泉.2002:內部審計與內部控制[J].審計研究(1),P27-30.
[2]費朵,鄒家繼.2008:項目風險識別方法探討[J].物流科技(8),P139-141.
[3]劉潔.2006:內部審計新模式——風險導向審計[J].財會月刊(3),P77-79.
[4]路媛媛,袁洋.2008:風險導向內部審計——ERM框架分析[J].財會通訊(2),P123-125