风险导向内部审计在我国集团企业的应用设计——基于ERM视角,本文主要内容关键词为:在我国论文,视角论文,导向论文,内部审计论文,风险论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
一、风险导向内部审计
(一)风险导向内部审计的概念
内部审计的发展按照技术程序和方法先后经历了财务导向内部审计、业务导向内部审计、管理导向内部审计和风险导向内部审计四个阶段。风险导向内部审计是内部审计动态发展的必然结果,但是理论界对风险导向内部审计目前尚无统一的定义。一种观点认为风险导向内部审计,就是把社会审计中的风险导向审计运用于内部审计,即内部审计人员立足于对审计风险的分析和评价,并以此为出发点,制定审计计划,实施审计行为的一种审计方法。另一种观点认为,风险导向内部审计是指内审人员在审计过程自始至终都关注企业风险,依据风险选择项目,识别风险,测试管理者降低风险的方法,并以企业风险为中心做审计报告,协助企业管理风险。IIA作为内部审计职业准则新框架的发布者,1999年的准则框架中强调内部审计的实质就是关注、评估、改善和参与风险管理、内部控制和公司治理,为组织增加价值;2001年明确指出内部审计是采用一种系统化、规范化的方法来对组织的风险管理、控制及监督过程进行评价进而提高它们的效率,帮助组织实现目标。可以看出,IIA框架中的“风险管理”拓宽了外部审计所采用的风险审计模式中狭义的审计风险,引入全面风险概念,使内部审计目标与企业目标紧密结合在一起。因此,结合内部审计的性质本文认为后一种观点比较恰当。
(二)风险导向内部审计的基本特征
风险导向内部审计与传统内部审计相比,不同点主要表现在审计目标、审计对象等五个方面(见下表)。由此我们可以抽象出其基本特征:
1.风险导向内部审计实现了公司治理、内部控制、风险管理的有机整合。它以内部控制为基础,以风险为导向,从战略、管理、效益的角度确定审计的范围和重点,保证审计目标与企业目标相契合。它以实现组织目标而定位自身发展目标,以组织的总体战略发展、风险管控,决定实质性审计程序的性质、时间、范围。
2.风险导向内部审计遵循“目标→风险→控制”逻辑顺序开展审计业务,与传统内部审计遵循的顺序正好相反,这样审计建议可以直接针对企业实现目标过程中面临的主要问题和风险,并将事后评价反馈延伸到事前和事中,使内部审计成为企业价值链中的必要环节。
(三)风险导向内部审计与企业风险管理的关系
2004年COSO委员会推出《企业风险管理——整体框架》(ERM),使企业内部控制扩展为企业风险管理框架,内部审计与风险管理趋于互融。ERM关注包括企业治理领域和内部控制环节在内的一切风险,强调将风险管理覆盖到企业的所有层次。风险导向内部审计则将风险作为一种核心理念贯穿于审计的每一个环节,帮助企业管理当局识别与评估风险,进行风险的管理与协调,最终实现企业的战略目标。可以看出:
1.二者在企业风险管理机制中的职能定位不同,但是最终目标一致。ERM强调从战略全局的角度管理企业风险,风险导向内部审计从全局的角度客观全面地进行风险审视、风险评估并提出风险应对建议,终极目标均是为了增加企业的价值。
2.ERM与风险导向内部审计具有互相促进的作用。随着企业所处的风险环境的不断变化,风险管理方法也随之不断更新,是ERM对内部审计工作要求的提高促使风险导向内部审计的不断发展;同时风险导向内部审计通过评估ERM过程的有效性和充分性,并提出合理的建议,协助建立企业范围的风险管理方法,促进风险管理战略和政策的实施,从而推动ERM的有效运行。
二、风险导向内部审计在我国集团企业实行的必要性和可行性
(一)风险导向内部审计在我国集团企业实行的必要性
集团企业通常具有资产、资本和生产经营规模较大,组织架构呈多层级,所处的风险环境较为复杂的特点,其正常的生产、经营、管理需要健全、完善的内部控制环境和良好的风险管控机制。内部审计作为公司治理的“四大基石”之一,又是内部控制的重要手段,理所当然地成为企业风险管理的有效组成部分。开展风险导向内部审计,可以帮助集团从全局的战略目标出发防范、控制经营风险,实现企业经营目标和可持续发展;能有效利用审计资源,提高审计效率,加大审计力度,充分发挥内部审计监督、确证、咨询的职能作用,增加企业价值。
(二)风险导向内部审计在我国集团企业实行的可行性
首先,集团企业由于其自身发展的需要,会逐步完善公司治理结构,选用的内部审计管理模式比较先进,内部审计的独立性较高,为内部审计向风险导向模式的发展提供了组织保障。
其次,集团企业基本上都已建立现代企业管理制度,相对中小企业而言,内部控制机制比较完善,决策层和管理层具有全面风险管理的企业管理理念和较成熟的风险管理经验,对管、控风险有积极的态度。
第三,集团企业由于具有多层的受托责任关系,为贯彻集团的战略发展目标,统筹管理,一般均拥有良好的计算机信息技术平台,为风险导向内部审计开展计算机审计,建立审计对象的信息数据库提供了技术保障。
三、风险导向内部审计实施流程设计
麦克宁于1998年提出了建立在企业风险管理基础上的风险导向内部审计范式:“目标→风险→控制”,要求内部审计师在风险环境中观察业务过程,提出控制风险的建议,从而为企业增加更多的价值。本文试以该范式的逻辑顺序设计内部审计的实施流程。示意图如下:
(一)内部审计的计划环节
风险导向内部审计的计划环节分为内部审计战略规划、内部审计年度计划两个层次。在制定审计计划时要综合考虑集团企业的发展战略,其所处的内、外部环境,各成本中心、利润中心、业务单元的经营目标和风险管控目标与集团企业总体目标之间的相互关系,综合评估风险因素,使审计业务紧密结合企业风险管理目标,更加针对集团的高风险领域,为企业增加价值。
首先,围绕集团发展战略规划,运用SWORT方法初步识别集团面临的战略风险、经营风险等主要风险,区分影响集团目标实现的各种系统性风险和非系统性风险;评估集团内部控制的设计是否健全,风险的关键控制点是否有效,治理改进措施是否可行;考虑内部审计的战略设计是否符合企业风险管理中、长期目标;在评估风险关键区域的基础上建立内部审计战略规划。
其次,根据集团年度的经营目标,分析、确认、揭示关键的市场风险、营运风险、财务风险和法律风险;结合集团风险控制目标、现有的风险控制措施,评价集团总体的内部控制效果,确定其剩余风险容忍度;按风险大小及风险暴露的程度等进行排序,确定重点审计区域,预算审计所需资源;选择审计范围、被审计对象、业务种类,分配审计资源,根据风险确定审计项目的先后顺序,制定初步的审计计划。
最后,向集团审计委员会提交审计计划,通过与高级管理层沟通,在集团总体的风险管理和经营效率间找到平衡点,最终确定年度的审计项目。
(二)内部审计的实施环节
审计实施环节是指审计项目选定后,审计人员实施审计业务的阶段,包括审前调查、现场审计工作、审计报告出具三个部分。
1.审前调查。内部审计人员在进入审计现场前,应收集被审单位的风险管理初始信息,包括被审计单位的经营环境、内部控制的关键控制点、业务流程、重要的财务与经济指标,接受内、外部审计的情况等,对被审单位的风险环境进行初步分析,确定审计重点,制定审计实施方案,进行审计准备。
2.现场审计工作
(1)依据集团的风险管控目标、集团总体风险测评中已暴露的被审单位的风险状况,了解被审单位的风险控制目标,测试和评价该单位风险管理措施的有效性、内部控制机制的建立健全情况,识别可能对风险控制目标产生影响的风险因素,确定哪些风险因素是在现有的风险管理体系下无法预防和控制的,初步确认被审计单位的剩余风险。
(2)内部审计人员与被审单位积极沟通,确定其所接受的剩余风险水平。若被审单位所接受的剩余风险水平与集团的风险控制目标不一致,内部审计人员要对被审单位的关键风险点的风险因素进一步评估,将再评估结果反馈给被审单位,并从集团中长期利益为出发点,权衡风险收益、风险损失、风险管理成本三者的关系,提出剩余风险分析意见,供被审单位参考,以确定其恰当的剩余风险水平。
(3)内部审计人员利用数据模型分析、实地查看、面谈、调查问卷、合规性测试、评分记分卡等多种定性和定量的审计技术和方法,检测、证实风险点的性质、发生的可能性及频率。对风险点上已发生损失的风险事件,内部审计人员应评估其损失大小,对风险源进行判断和探究,提出减损建议;同时对该风险损失事件进行分析和归纳,更新被审单位的风险数据库,协助被审单位改善风险防范措施,堵塞经营管理漏洞。对经过风险识别,判断可能发生损失的风险事件,审计人员应采用穿行测试、控制测试等方法,客观评价风险的假设条件、统计分析数据的适当性,分析可能造成的损失,作为审计发现进行进一步的调查研究,揭示风险源,并以此为基础提出风险应对建议。
(4)根据审计日志、审计证据,审计人员整理出具审计底稿,项目负责人对审计底稿进行复核,确保审计发现和风险应对建议的客观性,并就审计成果与被审单位及时沟通,确保风险处置时效。在审计现场工作中若发现非控制的重大风险隐患,可出具期中审计报告,报经审计委员会批准后,及早实施风险应对措施。
3.审计报告出具。内部审计人员根据审计工作底稿,对审计发现的主要风险管理问题进行评估和最终评价,并选择恰当的审计意见的披露方式,出具审计报告。为了让管理层充分理解风险的程度,在报告中需特别提出风险活动对于实现企业目标的关键性与后果,各项风险因素应充分披露。审计报告的审计建议要具有可操作性,审计结论应简洁明了。在审计报告初稿完成后审计部门应积极向被审单位和相关部门征求意见,以提高风险应对建议的质量。审计报告的征求意见反馈稿要提交审计委员会,经审计委员的讨论、审议后批复下发,作为被审单位或相关单位风险隐患整改的依据。
(三)内部审计的后续审计环节
后续审计是指内部审计机构为检查被审计单位对审计发现的问题所采取的纠正措施及其效果而实施的审计。风险导向模式下的后续审计,风险是决定其方法和范围的重要因素。审计报告出具后,内部审计部门应督促被审单位和集团管理层、操作层采取有力措施对风险隐患积极整改、有效执行审计意见,同时为测定风险是否得到有效防范和控制,结合审计报告中风险纠正难易度和风险的重要度等因素确定恰当的后续审计时间和审计方式。后续审计方式可以是跟踪风险发展状况,也可以是对风险的再评估。经后续审计若发现风险因素不变,并已得到解除,审计项目结束;若出现风险影响因素发生改变或者纠正措施失效、风险仍未消除的情况,则将其重新纳入制订审计业务计划时应考虑的风险因素之中,作为新的审计项目,重新评估和监控。后续审计结束后也要以审计报告的形式向审计委员会提交审计结论,报告风险管控目标的现实状况,明确剩余风险水平是否在集团可接受的范围之内。
在上述流程中,信息交流与审计沟通应贯穿于整个审计环节。由于风险导向模式下的内部审计的审计目标与集团经营目标一致,因此与决策层的沟通交流,可以充分了解和把握组织的目标,有利于制定符合集团战略发展的审计规划和审计目标;与组织的管理层和被审单位的沟通,有利于形成互动的审计环境,有效发挥审计对风险管理的确证和咨询职能,使风险管理信息的评估更具有针对性,为被审单位风险管理改善提供更有价值的意见和建议,提高审计绩效。
四、风险导向内部审计在集团企业有效运行的保障措施
(一)选择先进的内部审计管理模式
集团企业的内部审计管理模式受组织结构模式的影响,可以选择多种方式,但是ERM强调风险管理的整体性和全局性,决定了以风险为导向的内部审计部门在企业中需保持一定的超然性和权威性。IIA认为内部审计在职能上向董事会下设的审计委员会报告,在行政上向CEO报告是一种理想的结构。这种报告关系既可保证内部审计参与风险管理的权威性,也有利于整个企业内部风险管理措施的互补。因此,在集团企业的公司治理结构设计中,内部审计的管理模式应尽可能选择先进的内部审计管控模式(IIA推荐模式),在内部审计机构的设置上,要最大限度地发挥内部审计的独立性,二级审计机构的负责人应实行集团委派制。
(二)培育全面风险管理为理念的企业文化
企业文化虽然无形却影响着企业的一切经营活动,是构成控制环境的基本要素,并且影响其他内部控制组成要素的设计和执行。全面风险管理的企业文化可以为风险导向内部审计的有效运行提供软环境。集团企业首先要培育全员风险意识,企业决策层作为风险管理的倡导者和推行者,应主动把风险管理审计摆在重要位置上,正确、合理地处理风险与效益的关系,把企业长远利益作为企业的根本目标;其次应加大风险知识培训,提高企业员工对风险的敏感性,使其认识到企业所面临各种风险的利弊,并自觉地参与风险管理。
(三)加强内部审计信息化建设
集团应建立覆盖各分公司、子公司、业务单元的集成的信息化管理平台,逐步加强内部审计的信息化建设。完善的审计信息化系统和操作平台,首先可以帮助内部审计人员开展计算机审计,积极运用数据模型进行风险识别、评估。其次能为风险管理系统收集风险数据,通过分析、归纳建立风险数据库或模型,把企业面临的风险进行量化。第三还能对集团的风险管理、内部控制、生产运营等情况实施持续的监控和全面系统分析,提供适时的监督评价。
(四)优化内部审计资源配置
以风险为导向的内部审计,对审计人员综合素质、审计时效、审计质量等均有较高的要求。审计部门必须使集团企业有限的审计资源在一定的时间、空间范围上达到最优的组合和配置,提高内部审计子系统的工作效率,促进审计部门与风险管理部门、相关职能部门的联合协作,建立审计(检查)结论信息共享机制,最大限度发挥内部审计资源的效率。同时内部审计部门还要适时升级内部审计资源,改善内部审计人员的知识结构,提高其专业胜任能力,从而提高内部审计能力,使内部审计工作成果和企业管理层的价值期望保持一致,更有效地促进风险导向内部审计模式的良好运行。
标签:内部审计论文; 风险管理论文; 内部控制论文; 企业内部控制与风险管理论文; 审计报告论文; 审计计划论文; 审计质量论文; 审计目标论文; 审计方法论文; 审计职业论文; 审计流程论文; 审计准则论文;