[摘要]风险导向内部审计是内部审计领域的最新 发展 。西方国家对其基本 理论 研究 要早于我国,但总体上看,关于风险导向内部审计的研究在国内外都是刚刚起步。本文从风险导向内部审计的涵义出发,指出了风险导向内部审计与传统内部审计的不同,论述了风险导向内部审计在不同的风险管理水平下的作用,然后 分析 了国内外风险导向内部审计发展现状并提出了推进我国风险导向内部审计运用的一些建议,希望能为风险导向内部审计在我国广泛 应用 起到抛砖引玉的作用。
[关键词]内部审计;风险导向;比较;现状;建议
一、风险导向内部审计的涵义
所谓风险导向内部审计是指内审人员在审计过程自始至终都以 企业 风险分析评估为导向,根据量化的分析水平排定审计项目优先次序,依据风险确定审计范围与重点,对企业的风险管理、内部控制和治理程序进行评价,进而提出建设性意见和建议,协助企业管理风险,实现企业价值增值的独立、客观的签证和咨询活动。这里的风险应该是我们通常说的广义的风险既包括正面的风险,即机会;也包括负面风险,即狭义风险。
二、风险导向内部审计与传统内部审计的比较
图为新旧内部审计范式路线图
麦克宁(McNamee)关于内部审计新旧范式路线图反映了风险导向内部审计目标与企业目标的契合,如图所示。传统内部审计通常采用从右到左的路线,即直接测试内部控制,考虑内部控制是否充分有效,而风险的大小仅用于表明控制的薄弱与健全环节,从而实现防弊或者兴利的目标。这种范式使内部审计被埋葬于反映过去的细节之中,结果是建议管理层增加控制点或加强控制,这样随着时间的推移,控制点越来越多,审计业务越来越繁琐缓慢,甚至出现多余控制阻碍各项程序正常运转的情况。尽管有着防弊与兴利的审计目标,但是无法与企业目标相关联导致内部审计无法证明其价值所在,从而引发内部审计的生存危机。
风险导向内部审计采取的路线是从左到右,首先确认企业目标或某项交易的目标,然后分析对这些目标产生影响的风险,确定审计风险水平和审计重点,提出风险防范和控制建议,最后通过后续审计,测定风险是否得到有效防范和控制。内部审计人员关注的并非控制的充分性和遵循性,而是风险是否得到适当管理和控制。这样审计建议可以直接针对企业实现目标过程中面临的主要 问题 和风险,并将事后评价反馈延伸到事前和事中。内部审计人员通过风险与企业目标的实现直接联系起来,其服务对公司治理层及管理层而言非常有价值,使内部审计成为企业价值链中的必要环节。
三、风险导向内部审计重要作用
英国与爱尔兰内部审计协会2003年8月颁布了关于“风险导向内部审计”的立场公告(Position Statement),对风险导向内部审计在风险管理中的作用做出了阐述。在立场公告中,风险导向内部审计的作用是根据企业风险管理的不同水平展开的,如下表表示:
风险导向内部审计的作用
风险管理的不同水平
重要特征 风险导向内部审计的作用
风险暴露
未采取任何正是的风险管理 方法 协助采用风险管理方法;内部审计建立在审计风险评估基础上
风险察觉 零星的风险管理方法 协助建立企业范围的风险管理方法;内部审计建立在审计风险评估基础上
风险确认 已制定风险管理的战略和政策,已确定风险偏好 促进风险管理战略和政策的实施;在适当地方,内部审计使用管理层的风险评估结果
风险管理 已建立企业范围的风险管理框架 对风险管理过程进行审计;内部审计建立在管理层的风险评估基础上
风险管理融合 风险管理及内部控制完全嵌入企业经营过程中 对风险管理过程进行审计;内部审计建立在管理层的风险评估基础上
资料来源: The Institute of Internal Auditors-UK and Ireland .Position Statement: Risk Based Internal Auditing[S]. London: IIA UK and Ireland, 2003.pp3.
英格兰-威尔士特许 会计 师协会颁布的《实施Turnbull》的指导意见以及国际内部审计协会(IIA)发布的《内部审计实务标准》的事务公告中,都对内部审计在风险管理过程中的作用做了阐述。我们不难发现:风险导向内部审计对 现代 企业管理特别是风险管理(风险预测、风险识别、风险评估、风险应对等)过程中的作用越来越重要。
四、国外风险导向内部审计的发展
国际内部审计协会(IIA)在2004年和2005年又对《内部审计实务标准》修订后,在内容上也自始至终都贯穿着风险审计的主导思想。由此可见,风险导向审计已成为审计基本方法发展的国际趋势。
五、风险导向内部审计在我国的应用现状
2005年,我国内部审计协会发布第三批内部审计具体准则,将风险管理审计纳入内部审计准则体系中,并要求于2005年5月1日起予以施行。该批准则的发布和实施,足见我国的内部审计已发展到了风险导向阶段。然而,风险导向内部审计在我国仍处于起步阶段,风险管理又迫切需要内部审计的参与,因此完善我国内部审计、积极推进内部审计在风险管理中的应用,已成为我国内部审计发展的重要课题。
由于我国风险导向内部审计尚处于起步阶段,无论是理论界还是实务界,均对其开始关注和探索,但尚未成熟;企业往往是按照 法律 法规的要求被动进行,并非出于企业自身考虑主动进行,而且企业的这种风险管理活动往往只是才采取“亡羊补牢”式的风险应对措施,可见,我国风险管理体系不完善;单一的内部审计人员导致内部审计范围过窄,审计效率低下,且难以实现对企业风险的管理、控制和治理过程而进行全面综合的评价;风险管理缺乏成熟的理论指导,而落后的风险管理方法直接导致企业不能恰当地预测风险、识别风险、评估风险和应对风险,进而影响企业目标的顺利实现;内部审计人员对风险管理还不甚了解,缺乏风险管理意识,尚未认识到风险管理的重要性,从而内部审计在风险管理中未能充分发挥作用。
六、推进我国风险导向内部审计运用的建议
目前 ,我国的内部审计制度目前还很薄弱,但这并不表示不能实施风险导向内部审计,因为哪里有风险,哪里就可以有风险导向内部审计。风险导向内部审计在我国的运用,笔者认为要从以下几方面努力:
1、转变内部审计观念,充分发挥内部审计在风险管理中的作用
只要我们能及时把握机遇,善于迎接挑战,我们就能更快、更好地实现会议确定的奋斗目标,有效地促进内部审计事业地 发展 。但是,能否把握机遇,克服困难,战胜挑战,最重要的是人的思想观念要转变,要跟上 时代 发展的潮流。一切事物都处在不断的发展、变化中,我们必须用发展的观点来观察处理一切事物。随着 现代 公司制 企业 的迅速兴起,内部审计不再仅是强化控制、提高控制效率和效果,应该转向规避风险、转移风险和控制风险,通过风险管理的有效化,提高企业整体管理效率和效果。美国通用汽车公司已修改了内部审计章程,以“参与风险管理,提供独立评价和建议”作为内部审计的重新定位。我国内部审计也应当尽快更新观念,转换角色,加强与企业各部门的配合和沟通,为内部审计积极参与风险管理奠定基础。
2、兼顾内部审计的独立性和客观性
独立性和客观性是实施风险导向审计的必要条件之一。独立性通常被认为是内部审计最为重要的属性,但是长期以来,对“独立”属性的强调会导致内部审计人员与企业管理层之间的敌对关系,双方无法心平气和地沟通,内部审计“咨询顾问”、“业务伙伴”的角色也就无法体现,所以要在强调内部审计独立的同时兼顾其客观性。国际内部审计协会(IIA)2001年颁发的内部审计定义中用“独立、客观”取代了此前六十年所有定义中都没有改变的“独立”对独立性与客观性进行了区分:要求独立的是内部审计的活动,而内部审计人员个人的首要目标是客观性,前者指内部审计机构的独立性,后者指内部审计人员的客观性机构的独立性要求内部审计机构在报告结果时必须独立,在确定审计范围、实施审计程序、报告审计结果时不受干扰。个人的客观性要求内部审计人员必须有公正的态度,不偏不倚,避免利益冲突。在两权分离的企业中,应使内部审计组织直接受单位内部最最高管理层(董事会)的领导,为内部审计机构实施审计程序提供权利上的保证的同时还要创造出和内部审计服务发生有关的良好环境(个人环境和总体环境)以保证内部审计人员评估、判断以及决策的质晕。
3、必须建立起一套完备、健全的 法律 规范体系
4、改进内部审计人员的专业结构
根据郭化林等(2002)对我国一定范围企业的调查显示,内部审计人员中71%以上是财务 会计 和审计专业,法律、统计、 金融 以及企业管理专业的占14%,机械制造和建筑专业的各占4%。可见,现有内部审计人员专业结构不合理,基本上都是财会专业,在经营管理方面有所欠缺。无法适应现代内部审计发展要求的实际,应结合企业生产技术的特点,增加具备 经济 学和企业管 理学 知识的专家以及其他专业人员,包括内部控制专家、风险管理专家、公司治理专家和信息系统专家,以组成有各方面综合能力的内部审计项目组,逐步改善内部审计队伍的专业结构,使内部审计人员的专业结构趋向合理,以适应现代内部审计发展的要求。
5、提高内部审计人员的素质
6、推广计算机审计,提高内部审计效率
随着会计电算化的日益普及,审计技术日新月异,尤其是近年来随着审计信息化进程的加快,计算机审计成为主流。正如李金华审计长指出的“计算机审计是一场革命”,“审计人员不掌握计算机,将失去审计资格”。利用计算机比手工更迅速、更有效地完成审阅、核对、分析、比较等各项企业的各种信息,对内部财务信息系统及会计工作实施有效监控与评价,对企业资金、各种资产进行密切跟踪,从而有利于评估风险以及实现事前、事中、事后审计。然而, 目前 我国采用计算机审计才刚刚起步,企业机器内部审计部门和有关审计人员对计算机审计的重要性和紧迫性的认识还不够统
一、不够到位、不够深刻。因此,我国企业内部审计机构应积极开发和引进计算机审计,争取早日实现审计工作的信息化;同时内部审计部门可以专门配备或外聘信息技术方面的人员或机构,积极开发和使用电算化审计软件,设计开发计算机辅助审计系统,建立审计数据库,并保证数据的完整和准确。另外,有关部门要加大对内部审计人员的计算机基本技能普及培训力度,在此基础上进行中级、高级培训,将培训的 内容 不断深化并拓宽,将计算机知识和审计知识融会贯通。建立各类培训的跟踪反馈机制,通过合理的评估体系,分析学员通过培训后在实际业务中发挥的效用,及时检验培训的效果。(作者:山东农业大学经管学院会计系 郑德亮 袁建华)
参考 文献
[3]The Institute of Internal Auditors-UK and Ireland .Position Statement: Risk Based Internal Auditing[S]. London: IIA UK and Ireland, 2003.pp3.
[4]郭化林,候日敬,金惠新.企业内部审计现状的调查与分析[J].河北职业技术师范学院学报.2002
(1):44-48.
[5]中国内部审计协会.内部审计 理论 与实务[M].北京:中国石化出版社,2004.
[6]严晖.风险导向内部审计:背景分析与框架建构[J].财会通讯(学术版),2004
(6):3-8.
[7]罗伯特•莫勒尔.布林克.现代内部审计学[M].北京:中国时代出版社,2006.
[8]陈锦烽,苏淑美.内部审计新纪元[M].大连:大连出版社,2006.