风险导向内部审计(Risk-Based Internal Audit)
目录 |
风险导向内部审计也称风险管理导向内部审计,是指内部审计人员在审计全过程中自始自终都要关注风险。在对企业的经营活动进行全面了解后,以企业风险分析评估为导向,分析企业整体经济业务,综合评价企业经营所处的内外环境、风险水平.根据风险度选择项目.根据量化分析水平安排审计项目先后次序.根据风险确定审计范围和重点,以降低风险为导向进行内部控制的符合性测试和实质性测试.并对企业的风险管理、内部控制和治理程序进行评价.进而提出建设性意见和建议。其审计报告可以作为提出风险、防范风险、应对风险和信息交流的预警信号。因此,风险导向内部审计是为降低审计风险和经营风险进行风险管理的一种有效工具.也是不同于财务审计、业务审计和管理审计的一种新的审计模式。
经历了财务导向内部审计、业务导向内部审计、管理导向内部审计至风险导向内部审计。风险导向内部审计的产生有其必然性。一是企业风险已成为影响企业目标实现的关键因素,管理与控制风险变得越来越重要。内部审计实行的风险导向审计,是通过管理和控制风险来帮助企业在充满风险和竞争的环境中生存和发展的;二是从审计技术与方法发展的角度来说,目前我国大部分企业的内部审计仍然采用账项基础审计模式和制度基础审计模式。而这两种审计模式由于其本身共有的局限性使得内部审计的审计效率低下,审计结论缺乏可操作性。
==风险导向内部审计的基本特点==[3]
以内部控制测试为基础实施抽样审计, 很难将审计风险降至可接受的水平, 抽取样本量的大小也很难说服政府监管部门和社会公众。为了从理论和实践上解决制度基础审计存在的缺陷, 审计职业界开发出审计风险模型。传统风险导向审计模型是“审计风险=固有风险×控制风险×检查风险”, 固有风险和控制风险与被审计单位有关, 审计师可以通过了解企业及其环境以及评价内部控制对两者做出评价, 在此基础上确定检查风险, 并设计和实施实质性程序, 将审计风险险控制在可接受的水平。经营风险导向审计模型是“审计风险=重大错报风险×检查风险”, 以审计风险模型为基础进行的审计就是风险导向审计。
内部审计从萌芽状态发展至今, 其审计本质、目标、对象、范围、职能及方法发生了较大的变化, 分析风险导向内部审计的特点可以从四个方面着手。
实现组织目标的过程也是内审部门协助本组织成员有效履行其责任的过程, 风险导向内部审计的本质就是确保受托责任履行的管理控制机制。
现代内部审计的重点已逐渐转向事先发掘问题、改善经营管理、促进经济效率, 内部审计要提供与被审计活动有关的分析、评价、建议、咨询和信息。风险导向内部审计不仅是在内部控制领域消极地查错防弊, 而是以组织的整体风险评估作为自己的首要工作目的。
风险导向内部审计是以风险管理、控制和公司治理为审计对象的。由于受托责任范围的扩大, 内审对象的范围也随着内审的发展而逐渐扩大, 内审目标所包含的内容逐渐多样化和全面, 综合了企业运营所涉及的各类事项和领域。
风险是事件及其可能性的结合, 它包含着机会和威胁。
作为一种广义的风险观, 风险导向内部审计所涉及的范围比以往的内审模式有了进一步的扩展。内部审计人员应对风险进行排序, 根据风险大小来确定审计范围, 把主要审计资源分配给高风险项目。
风险导向内部审计的实质是内部审计人员在内部审计的全过程中自始至终都关注风险,并根据风险度选择项目,以降低风险为导向,进行内部控制制度的符合性测试、实质性测试,并进行监督检查和评价,提出建设性意见和建议。这样得出的审计报告可以作为揭示企业风险、防范风险以及信息交流的预警信号,为企业风险管理提供可靠的信息,并作为企业进行风险判断的重要依据。它客观上要求内部审计在风险环境中观察业务过程,提出控制风险的建议与对策,从而为企业获取更大经济效益。
随着新经济所带来的全球化, 出现了电子商务、企业组织结构虚拟化、集约化、专业化及扁平化矩阵式等新的商业特征, 许多跨国公司开始实施全面风险管理方法, 一些国际咨询公司和国际会计公司也开始运用这一概念并将其同咨询或审计业务相结合。目前, 越来越多的发达国家大公司建成或即将建成全面风险管理体系。
风险管理首先要求全面识别风险, 同时熟悉本单位的经营战略、工作程序、组织结构等, 而内部审计人员的独特地位与专业知识可以满足以上要求。因此, 以风险为导向的内部审计捕捉风险信息的能力比企业内部其他部门和外部审计都强, 对于企业风险管理能做出其独有的贡献。在具体实施时, 风险导向内部审计首先确认企业目标或某项交易的目标, 然后分析对这些目标产生影响的风险, 确定审计风险水平和审计重点, 提出风险防范和控制建议, 最后通过后续审计, 测定风险是否得到有效防范和控制。这样, 审计建议可以直接针对企业实现目标过程中面临的主要问题和风险, 并将事后评价反馈延伸到事前和事中, 使内部审计成为企业价值链中的必要环节。
内部控制从某种程度上来说从属于风险管理, 是风险管理的方式之一。企业风险管理是在内部控制的基础上整合起来的框架, 是为了企业在风险管理领域中各项广泛的议题给予多方面的关注和更稳健的管理。在风险理念的作用下,企业内部控制已扩展为企业风险管理框架, 内部控制与风险管理已趋于融合。因此, 对风险管理的促进作用是建立在企业的内部控制同时得到改善和促进的基础之上的, 两者是互相促进的。
传统内部审计偏重于直接测试内部控制, 提出增加控制点或增加控制的建议, 而随着时间的推移, 控制点越来越多,业务过程也将越来越繁琐和缓慢, 因此, 传统内部审计模式是在递减地增加企业价值。风险导向内部审计以内部控制结构为内容, 关注风险发生的可能性, 使审计重点前移, 利用风险标准选择审计项目, 每一项审计及其目标都与企业目标紧密相关。风险导向内部审计改进了对内部控制的监控方式, 能抓住重点, 简化内部控制流程, 保证审计质量, 提高审计效率。
公司治理的基本目标是在充分考虑利益相关者利益相对满足和大体均衡情况下, 增加企业价值, 从而使股东长远价值最大化。风险导向内部审计的本质是确保受托责任有效履行的管理控制, 它更注重与企业目标的直接关联。可见, 公司治理与风险导向内部审计目标是一致的, 内部审计活动应评价并为改进机构的治理程序提出适当的建议。风险管理关注包括公司治理和内部控制环节的风险在内的一切风险, 这正是风险导向内部审计的对象。风险是两面的,既可能对企业正常运营产生负面的影响, 也可以为企业带来新的机遇, 所以, 内部审计部门应为支持组织的风险管理提供独立的保证和咨询服务, 帮助管理层将风险控制在可接受的水平之内, 以顺利实现组织目标。
“内部审计既是公司治理的一部分, 同时又参与到治理有效性的审计之中。内部审计在公司治理中的作用包括监督、评价和分析组织的风险和各项控制; 复核并证实信息是否可靠并符合相关政策、程序与法律, 协助管理者向董事会、审计委员会以及执行管理机构提供风险防范以及治理有效的保证。”有效的内部审计是公司治理结构中形成权力制衡机制并促使其有效运行的重要手段, 是公司治理过程中不可缺少的组成部分。但是, 值得注意的是, 内部审计师并不是以一个负责人身份出现在风险管理中, 而只是作为内部控制方面的专家。另外, 内部审计人员实质上的独立性需要保证。企业所有权与经营权的分离导致了经营者实质上控制了企业, 而经营者本身就是内控的对象。如果由经营者负责内控的设计与执行, 并对内控的执行情况加以认定与评估,滥用职权的导致内控失灵现象就很容易产生。当风险被评估之后, 管理层可能会不采纳内审人员的评估和建议, 或者管理层可能会为了个人利益而给予内部审计人员压力, 使其做出不客观的评估。