随着知识经济时代的来临以及经济全球化步伐的加快,企业面临着更为多样化和多变性的环境。公司治理、战略管理、企业再造等现代管理理论给人们带来了全新的理念,要求内部审计突破传统审计模式,围绕企业目标,提供增值服务。风险管理导向内部审计理论认为,内部审计应把关注的核心转向风险,注重现在和未来,不再关注过去的细节。风险是一个与企业远景、使命、目标以及战略更为相关的概念,也是一个更积极面向未来的概念,正因为如此,风险管理导向内部审计旨在为企业增加价值。2001年,国际内部审计协会(the Institute of In-ternal Auditors,简称IIA)颁布了《内部审计实务标准》,顺应了这种变革的需要。本文意在用全面风险管理理念改造传统的内部审计模式,从审计目标、对象、方法、程序等角度探讨模式的构建。
一、传统内部审计模式的局限性
追溯内部审计的变迁历程,大致经历了财务审计、经营审计、管理审计等几个基本的演变与变化过程,然后再向风险管理审计推进。与之相对应,内部审计模式也从财务导向、制度导向迈向风险管理导向。
财务导向审计的目的是查错纠弊,审计对象主要是被审计单位的财务会计事项,所采用的审计方法是账项基础审计法。内部审计机构通过对会计记录的真实性、合规性进行认定和评价,借以认定、评价有关管理当局会计工作方面的受托管理责任的履行情况。这种内部审计模式不涉及或很少涉及企业的经营管理活动层面,并且是一种事后的审计方式,因此,它不注重“增值”目的。这种低层次的审计模式,不能满足高层管理当局加强控制的需要和各利益相关者要求企业“增值”的需要。显然,它只适用于早期的内部审计,尤其是传统的财务收支审计。
制度导向审计以经营活动(采购、生产、销售、财务)、管理活动(计划、组织、协调、控制)为审计对象,审计的目的是加强管理控制,提高经营管理水平,所采用的审计方法是制度基础审计法。这是一种以评价内部控制系统即内部控制制度及其执行情况为基础的内部审计方法。它通过确定企业内部控制制度可能存在的缺陷,进而判明财产保全和会计记录中可能存在的错弊,而后,再进行深入的分析与实质性的审计,以确定企业经营管理活动中存在的问题。制度导向审计是内部审计模式上的重大突破,主要表现在:一是通过了解并评价内部控制制度的完整、健全及是否得到有效实施,确定审计的重点,以提高审计效率;二是对内部控制制度的遵循情况进行测试,评价控制风险,对审计风险进行系统规划和控制;三是通过实施内部控制审计,针对内部控制的构成要件、构成机制及其效果进行认定和评价,肯定优点,指出缺点,提出和改善企业管理制度和业务处理程序的建议。制度导向审计满足了高层管理者和企业内部各层次管理者受托责任关系日益扩大化的需要,即管理者除了履行受托财务责任以外,还必须承担其他受托管理责任。制度导向审计固然有其先进性,但是从审计思路上还未从全面风险管理理念角度进行科学规范和运用。其局限性主要表现在:(1)制度导向审计模式着眼于对内部控制制度及其执行整体情况的了解和分析而对企业风险因素关注不够。(2)注重内部控制,忽视企业目标,导致过度控制日益严重。
二、风险管理导向内部审计模式的构建
(一)风险管理导向内部审计的目标
作为企业的一个职能,内部审计要成为企业价值链上一个必要的环节,其目标就应当与企业的目标保持一致。国际内部审计师协会理事会通过并于2002年1月1日实施的《内部审计职业实务准则》导言中关于内部审计定义是:“内部审计是一种独立、客观的确认和咨洵活动,旨在增加价值和改善组织的运营。它通过应用系统的、规范的方法,评价并改善风险管理、控制和治理过程的效果,帮助组织实现其目标。”从这一定义中可以得到内部审计是一项确认和咨询活动,是为增加价值和改进经营、实现组织的目标服务的。
与传统的企业内部审计目标不同,风险管理导向内部审计目标更注重与企业目标的直接关联,在创造价值的企业目标作用下,内部审计目标是降低风险,增加价值。这里的降低风险,不仅仅指审计风险降低,而是通过企业自身的风险管理活动及审计师的风险管理导向审计从而降低企业在创造财富中所面临的风险,进而是审计的风险也相应地降低到可接受水平;与风险降低相对应的是价值的提升,即企业创造出更多的财富,而在这一财富创造过程的价值链中,风险管理导向审计作为其中的一个环节,使审计价值得到提升。
(二)风险管理导向内部审计的对象
传统的内部审计对象分别是财务事项、业务活动、管理活动,主要的审计类型分别是财务审计、业务审计、管理审计。风险管理导向内部审计的对象是企业风险,主要审计类型是金融风险管理、公司治理和内部控制审查于一体的综合审计。这种综合审计相比业务审计、管理审计阶段而言,更强调关注公司治理框架中风险发现与风险管理,关注管理者及其经营管理行为可能出现的风险,关注组织在整个治理过程中的决策风险与经营风险。
根据2004年美国COSO委员会颁布的《企业风险管理框架》(ERM),企业风险管理被定义为:“是一个由企业的董事会、管理层和其他员工共同参与,应用于企业战略制定和企业内部各个层次和部门,旨在识别可能对企业造成潜在影响的事项并在有关人员风险偏好范围内管理风险,为企业目标的实现提供合理保证的过程”。企业风险管理分为内部坏境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控等相互关联的要素,各要素贯穿于企业的管理过程之中。这些要素的排列方式亦代表了企业风险管理的业务流程。由于资本价值为风险和报酬组合的函数,而风险是可能给投资人带来的预期损失,风险管理控制成功与否直接影响企业收益。因此,在新形势下,风险管理日益成为企业管理的核心问题。风险对公司治理及内部控制的理论与实务也产生了很大影响。就前者而言,公司治理理论认为,公司治理是企业对风险的战略反映。广义的公司治理已将关注点转向了科学决策,因此风险是必须考虑的因素。就后者而言,ERM是在1992年颁布的《内部控制整体框架》(IC-IF)基础上发展的,IC-IF是包含在ERM中的一体化部分,ERM扩大了内部控制的范围,提高了内部控制的层次,是一个更关注风险的强大的概念体系。因此,在风险理念的作用下,企业内部控制已扩展为企业风险管理框架。
(三)风险管理导向内部审计的方法
制度基础内部审计方法是审计人员首先决定应设计的控制,再进行评估风险,然后对照组织目标,通过对内部控制制度的健全性和有效性评价,发现内部控制的薄弱环节,而后,针对这些环节展开重点审查。审计重点置于单位作业系统内部控制的规划、测试与报告,即:决定应设计的控制→评估控制风险→确定组织目标→发现内部控制中存在的问题并提出纠正建议。而风险管理导向内部审计的方法是:确定组织目标→评估企业风险→决定应设计的控制→发现企业管理中存在的问题或可能发生的问题并提出建设性的建议。它从确定目标开始,到帮助组织提出合理化建议结束,即审计人员首先确认企业目标或某项交易的目标,然后分析对这些目标产生影响的风险以及能够管理这些风险的控制,最后测试实际的控制,考虑其能否切实管理这些风险。
需要指出的是,两者区别不仅表现在审计路径上的不同,还表现在对风险的理解和运用不同。前者的风险是狭义的风险,即风险的大小仅用来表示内部控制的健全性和有效性,后者的风险是广义的风险即企业风险。风险管理导向内部审计关注的并非控制的充分性和遵循性,而是企业风险是否得到适当管理和控制,因此,审计判断不仅仅基于审计师对审计风险的容忍度,而更多地依赖于管理层对该领域的企业风险容忍度,更加关注管理层如何计量和监控与他们的目标和风险容忍度相关的业绩执行情况。
(四)风险管理导向内部审计的程序
与审计目的、对象、方法相对应,风险管理导向内部审计的程序应自始至终贯穿着风险管理的主导思想。风险管理审计过程包括:了解企业经营风险和识别风险、评价企业风险控制、确定剩余风险,剩余风险管理等几个环节。内部审计活动应帮助企业发现并评价重要的风险因素,帮助改善风险管理与控制体系。内部审计部门应监督、评价企业风险管理体系的有效性以及机构的治理、经营及信息系统方面的风险因素。风险管理是管理人员的主要责任,董事会和审计委员会应该在确定机构是否建立恰当的风险管理过程以及这些程序是否充分有效运作方面起监督作用。内部审计人员应通过检查、评价、报告风险管理过程的充分性和有效性,并提出改进建议来协助管理人员和审计委员会的工作。以咨询顾问身份开展的内部审计人员可以协助机构确定、评价并实施针对风险的管理方法和控制措施。
因此,在编制审计计划时,内部审计师应该在对可能影响机构的风险进行了解、识别、评估的基础上,制定内部审计部门的审计计划。在选择被审项目时,应该在评估风险优先次序的基础上安排审计工作。在开展审计业务时,用于检测、证实风险的技术与方法应该能够反映出风险的重大性、发生的可能性及频率。在审计报告时,应该传达对风险管理的结论和建议,以降低风险。为了让管理层充分理解风险的程度,在报告中应特别提出风险活动对于实现目标的关键性与后果。在后续审计时,内部审计师应该将注意力集中于最严重的或潜在的问题上,对一般事项的后续审计可仅限于询问和简短的讨论。后续审计应该跟踪到:对于重大的审计发现,相关部门和环节是否予以纠正:若不予纠正,责任和原因到底在哪儿。IIA《内部审计实务标准》要求,若审计执行主管认为高级管理层接受的剩余风险对于机构无法接受,应该上报董事局加以解决。
三、风险管理导向内部审计模式的意义
第一,风险管理导向内部审计模式所持的是一种广义的风险观,它拓宽了外部审计所采用的风险基础审计模式中狭义的风险概念,使内部审计目标与企业目标紧密结合在一起,从而为企业捉供“增值”服务。风险基础审计模式(也称风险导向审计模式)审计的出发点是审计风险,它通过对固有风险和控制风险进行评估,以审计风险模型确定审计的时间、范围和性质。因此,风险基础审计模式关注风险的目的是提高审计效率和效果,局限于审计本身的目标,其中的风险是狭义的审计风险的概念。风险管理导向内部审计把个企业在经营过程中面临的各种重要风险作为审计对象,并把其作为确定审计项目及其审计重点的依据,以企业进行的所有降低风险的活动为测试重点,评价风险降低的充分性和有效性,并提出恰当的降低风险的建议。
第二,在风险管理导向内部审计观念下,年度审计计划与公司最高层的风险战略连接在一起,内部审计人员通过对当前的风险分析确保其审计计划与经营计划相一致,使用风险管理原则改变审核过程,使内部审计程序更富有成效。风险管理成为组织中关键流程,促使内部审计的工作重点不再是测试控制,而是确认风险及测试管理风险的方法,在风险管理导向内部审计中,控制仍然重要,但分析、确认、揭示关键性的经营风险,才是内部审计的焦点。
第三,风险管理导向内部审计实现了公司治理、内部控制、风险管理的有机整合,提升了内部审计的层次,增加了内部审计“增值”的机会。内部审计是现代公司治理的一部分(王光远,2003),而且内部审计、内部控制与公司治理之间存在着互动关系(程新生,2004)。公司治理旨在降低所有者和管理者之间的委托代理风险,风险是公司治理的核心要素。在风险管理导向内部审计模式下,内部审计从企业战略目标、战略管理的高度出发,参与到公司治理与风险管理中,帮助组织发现并评价重要的风险因素,促进组织改进风险管理体系;评价并改进组织的治理程序,为组织的治理做贡献;同时继续原有的对控制的效率和效果的评价作用,促进控制的改善,帮助组织保持有效的控制。此时的内部审计人员通过对风险的把握,来评价公司治理及内部控制,并促进公司治理、内部控制的改善,从而实现对风险的掌握与驾驭。在风险管理这个统一的核心下,公司治理、内部审计及内部控制实现了一定程度的整合,为组织增加了价值。
作者单位:浙江万里学院商学院(责任编辑:禾 言)
