浅议风险导向内部审计
来源:用户上传
作者: 陶燕
【摘要】 风险导向内部审计是目前世界上最先进的内部审计方式,也是我国内部审计未来的发展方向,随着中国经济全球化趋势日趋突显,中国内部审计应充分借鉴风险导向内部审计的先进理论、方法和技术。本文针对我国内部审计目前存在的一些问题,提出了风险导向内部审计策略以及基于风险管理的内部审计模型。
【关键词】 风险导向 内部审计 策略 模型
2004年9月美国COSO正式出台了《企业风险管理――整体框架》,该框架是企业进行风险管理活动的重要指导。面对经济全球化的发展进程,企业面临的各种风险亦日益增多,迫使企业必须不断地创新风险管理技术,降低风险管理成本,提高风险管理收益。作为风险管理体系的重要组成部分,内部审计也必须积极做出相应创新,以适应这一变化趋势,通过内部审计机构和人员对企业风险过程的了解,审查并评价其适当性和有效性,提出改进建议,更为主动地参与整体风险管理,促进企业目标的实现。
一、当前我国内部审计存在的问题
1、审计地位低下,多头管理,导致审计缺乏独立性
审计的独立性在很大程度上取决于其隶属关系,领导层次越高,独立性越好。但实际上很多企业的内部审计部门没有隶属于企业的最高层,而是与其他部门处于平等的地位,这就导致内部审计无法有效地发挥作用。从某F集团审计部门7年间的发展历程,不难发现内部审计在面对企业内部环境变化时所表现出来的不适应性,该集团的审计部门是于2003年成立的,成立之初,公司外聘职业经理人担任财务总监负责管理督察法务部,作为一级部门直接对总经理负责,相对独立于其他职能部门,但由于无法适应企业文化及公司高层变动,财务总监辞职、部门撤消,审计职能划归总裁办公室,成为二级部门,之后又成立法规审计部再次成为一级部门,而现在审计作为二级部门隶属于法规审计部(一级部门),与其他业务、职能部门平行甚至更低。审计部门复杂的演变经历从另一侧面反映了内部审计价值未得到实现与认可。另一方面,按该公司《组织规程》规定:审计由公司总裁直接管理,但由于各种因素,总裁委托总会计师对审计业务进行管理,行政则归分管法律事务兼任法规审计部部长的副总经理,如此复杂的管理模式,使审计更缺乏独立性。
2、内部审计模式缺乏总体思维和构想,审计目标不明确
审计模式是审计导向性的目标、范围和方法等要素的组合,随着社会经济的发展,审计目标在不断的变化,审计模式也在不断的创新。内部审计模式是企业内部审计工作的总体思维与基本构想,是组织和部署审计工作的整体框架,决定着内部审计工作方向和基本方式的根本因素,对内部审计作用的发挥起着决定性的作用。但现在很多企业的审计思维仍一直局限于“监督和复核”甚至更低的“查错纠弊”阶段,未实现决定性审计角色向“确认和建议”的转变。尤其是在公司整体内外部环境发生重大变化之后,未及时调整审计思路,明确审计目标,仍沿袭过去审计思维及工作方式,无法适应企业决策层的管理需要。
3、内部审计技术、内部审计人员素质均有待提高
现在企业开展内部审计工作主要还是以手工查账为主,没有开展计算机辅助审计;统计抽样技术也没有充分的应用到实践中去,抽样主要依据审计人员的主观判断;内部审计部门选择的审计项目也主要是管理层的授意,没有真正的实施全面风险管理内部审计,其审计效果大大折扣。
另外,我国内部审计人员理论水平和业务技能普遍不高,有些审计人员虽然从事审计工作多年,但往往仅凭借其经验,不能适应现代内部审计发展的需要。另外,有些内部审计人员缺乏职业道德,在审计过程中常常存在违法乱纪的行为,影响了审计职能的发挥。
4、缺乏科学、有效的内部审计绩效考核模式
目前企业的审计部门无论在部门绩效还是员工绩效,均缺乏有效的评价和激励机制。审计部门参与公司平级考核,被审单位成为考核单位,无法客观反映内部审计部门工作成绩。员工考核也缺乏有效的评价和激励机制,无论审计工作经历、教育背景、专业技能,均使用同一标准,缺乏晋升机制。这样就无法保证内部审计的目标与组织目标的一致性;无法使员工将个人职业规划与企业发展战略有机结合。
5、缺乏风险管理意识
目前企业未成立专门的风险管理部门,虽然公司管理者掌握了大量的企业风险管理的信息,但实务中缺乏统一的术语,缺乏一个概念性的、适当的风险管理框架的计划,使管理者及全体员工能更好地理解企业风险管理,并达到在风险管理问题方面有效交流的目的。缺乏科学的管理风险的手段和能力,在此前提下,进行风险管理审计缺乏科学的管理手段和检查方法,内部审计仍然处于检查内部控制和业务流程管理缺陷的管理审计层面。
二、风险导向内部审计策略
风险导向内部审计是指内部审计人员在审计的全过程自始至终都要关注风险,并根据风险度选择项目,以降低风险为导向,进行内部控制制度的符合陆测试、实质性测试,并进行监督检查和评价,提出建设性意见和建议,由此得出的审计报告以作为揭示风险、防范风险以及信息交流的预警信号,为企业风险管理提供可靠的信息,并作为企业进行风险判断的重要依据。开展风险导向内部审计其具体策略有以下几个方面。
1、完善公司治理结构,体现监督职能
公司治理框架完善是公司治理的前提,如何充分发挥监事会与审计委员会的职能,并在企业中发挥协同作用,是需要关注和完善的重点。中国证监会2002年颁布的《上市公司治理准则》明确规定:监督公司的内部审计制度及其实施;监督企业内部控制制度是公司董事会下设审计委员会的主要职责。监事会和审计委员会能否发挥作用以及在企业经营中的影响力,相当程度取决于:是否具有独立性;内部控制及内部审计受到公司董事、监事、委员会成员及公司高管的重视程度。
2、强化风险管理理念,建立并完善风险管理流程和评价体系
企业风险管理的主要思路是:监控企业所处内外部环境的变化、识别企业面临的风险、衡量企业面临风险的重要程度、判断风险是否得到有效控制、采用何种手段进行风险控制。建立并完善风险管理业务流程和评价体系是做好风险管理和内部审计的重要前提和手段。这不仅需要管理层重视风险管理,企业的其他员工也应该树立风险意识,并加强对风险管理技能的培训,使其内部审计人员成为风险管理的专家,能够随着市场环境的变化不断改变其思维模式。
3、实施内部审计战略环境分析
企业内部审计机构必须能够以全局视角及时发现企业内外部环境的重大变化、有效识别影响企业目标实现的重大风险、及时发现企业经营异常变动并提出有效防范和控制风险的改进措施。内部审计系统如何在动态的环境中发挥作用?实施内部审计战略环境分析,建立并完善公司内部审计环境监测体系,确定企业内部审计工作战略思路,根据企业自身特点、发展战略和所处内外部环境特征,明确内部审计战略环境要素,建立内部审计环境监测长效机制,及时监测、评估和反馈系统所处环境的不确定事项,及时调整审计策略,提高内部审计的主观能动性。
4、建立和完善内部审计质量控制体系,强化内部审计评价机制
在明确审计策略之后,规范内部审计程序、提高内部审计质量是有效保证内部审计效果的重要手段。提高内部审计质量最有效的控制手段就是建立内部审计质量控制体系。内部审计质量控制体系包括:审计人员素质、审计质量标准体系、监控与激励机制三部分。
(1)审计人员素质。主要指内部审计人员的胜任能力,包括技术水平和道德要求。
(2)审计质量标准体系。公司内部审计机构必须建立和完善内部审计具体质量标准、责任制度、质量检查和考评等制度体系。
(3)监控和激励机制。通过建立内部审计绩效考核机制,拓宽审计人员晋升通道,引导审计人员个人职业生涯规划,提高审计人员工作积极性,实现企业目标和个人目标的有效结合。
三、基于风险管理的内部审计模型
随着企业面临的诸多不确定性呈现多样化和复杂化趋势,风险导向内部审计模式作为目前最先进的内部审计模型,其科学性与先进性已得到内部审计业界的普遍认可。企业应通过对其自身内外部环境分析,并通过审计预警管理,构建适合于本企业的内部审计模式。以下是针对F集团构建的基于风险管理的内部审计模型:
目标――可持续价值创造能力最大化。
核心观念――全面风险管理理念。由于在全面风险管理框架中,企业里的每个人对全面风险管理都有责任,领导人负最终的责任,其他管理人员支持全面风险管理的理念,促使企业在风险偏好内经营,并在各自负责的领域负责把风险降低到相应的风险容忍度内。因而,强化全员风险意识是企业构建全面风险管理体系的基础和前提条件。
基于风险管理的内部审计路线――风险导向内部审计采取的路线首先确认企业目标或某项交易的目标,然后分析对这些目标产生影响的风险,确定审计风险水平和审计重点,提出风险防范和控制建议,最后通过后续审计,测定风险是否得到有效防范和控制。内部审计人员关注的并非控制的充分性和遵循性,而是风险是否得到适当管理和控制。这样审计建议可以直接针对企业实现目标过程中面临的主要问题和风险,并将事后评价反馈延伸到事前和事中。内部审计人员通过风险与企业目标的实现直接联系起来,其服务对公司治理层及管理层而言非常有价值,使内部审计成为企业价值链中的必要环节。
风险管理内部审计的组织网络构架――按照现代企业制度的观点,企业组织中的决策、经营和监督“三权”分别由股东大会、董事会和监事会负责。作为企业集团监督体系的一部分,内部审计总协调机构应隶属于企业集团总部的监事会。在集团内部单独设立审计部门,直接隶属于总经理,同时接受监事会的管理和委托,作为特殊的职能管理部门独立于其他一级部门和分子公司。这种隶属于总经理的审计部门设置使内部审计接近经营管理层,不仅有利于为经营决策、提高经营管理水平和经济利益服务,还有利于实现审计目的,保持审计的独立性和较高层次的地位。缺点是对本级公司的财务和总经理的经济责任难以进行独立的监督与评价。
风险管理内部审计的基础和前提――在集团内部设立专门的风险管理部门,实施系统、全面、科学的风险管理过程,这是实施风险管理审计的基础和前提。内部审计机构通过对风险进行科学、系统的识别和预警管理,确保风险得到有效的防范和控制。
内部审计人员的配备――企业集团的内部审计部门人员结构设计应当注意以下三个方面:一是人员的业务水平结构。部门内部审计机构应注重高级、中级和初级审计人员的配套和合理的比例。二是人员的专业技术结构。集团总部的审计总协调机构要尽可能做到“四师”配套,即由会计师(审计师)、经济师、工程师和律师四方面人员组成。企业向其他钻采行业拓展,尤其需要拥有技术背景和法律知识的复合型专业人才,能够在企业并购过程中控制技术风险。也可根据工作需要,聘请工程技术人员和律师兼职人员或临时聘请他们参加审计。内部审计部门要大力鼓励内部审计人员学习经营管理、技术和法律知识。三是人员的年龄结构。要有经验丰富的中老年人员和富有革新精神的青年审计人员合理结合,取长补短,以充分发挥内部审计的职能。
风险管理内部审计方法――内部审计的范围:在企业集团内部,除了有核心企业,还会有众多的紧密层、半紧密层和协作层企业,点多面广,特别需要内部审计来加强控制和评价业绩,因此内部审计的范围必须有一定的深度和广度。内部审计形式:包括财务审计、经营审计、内部控制系统的评价、经济合同审计、建设投资审计、经营决策审计以及经济责任审计等七种形式。基于全面风险管理的内部审计,应对风险评估管理过程中出现的预警信号做出及时反应,对风险管理部门收集、分析的风险因素进行识别和评估,并采取相应措施进行风险防范,具体如下:一级预警:若预警指标表示无风险或风险较小,继续实施静态监控即可。二级预警:若为预警指标表示企业已经面临一定的风险,进入内部审计程序,调查风险来源,分析风险原因,并提出防范风险措施,防止向更高等级风险演变;企业同时提高监控力度,采取动态监控,及时反馈信息。三级预警:若预警指标表示风险已经很大,建议内审部门应立即上报集团公司管理层,启动应急预案,并制定内部审计计划和具体项目实施方案,调查风险来源,分析风险原因,并提出防范风险措施,力争转移或规避风险,严防企业进入危机状态。四级预警:若预警指标表示企业面临严重危机,企业应立即启动危机管理响应机制,努力把损失降到最低。当预警指标处于第二、三、四级预警阶段即显示企业已经面临一定风险时,建议进入内部审计程序,进行事前控制或事中控制,防范风险升级。针对不同等级的预警信号,审计响应措施也有所不同。
【参考文献】
[1] 盖建飞:浅析风险导向内部审计[J].会计之友,2010(17).
[2] 徐国忠:我国企业内部审计问题与对策[J].合作经济与科技,2009(11).
[3] 郑德亮、衷建华:浅析内部审计新模式――风险导向内部审计[J].江苏商业会计,2007(5).
[4] 刘远:浅析风险导向模式在内部审计中的应用[J].审计月刊,2009(9).
转载注明来源:https://www.xzbu.com/2/view-446666.htm