现代内部审计的新态势:风险导向,本文主要内容关键词为:态势论文,导向论文,内部审计论文,风险论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
内部审计是一种独立、客观的确认和咨询活动,旨在增加价值和改善组织的运营。通过应用系统的、规范的方法,评价并改善风险管理、控制和治理过程的效果,帮助组织实现其目标。从20世纪90年代起,人类社会迈向了信息时代,环境的多样化和多变性,高风险的经营环境,更严格的治理规范推动内部审计迈向帮助企业评估各种风险、构筑利用机会或减轻威胁战略的风险导向阶段。
一、风险导向内部审计产生的背景
1.现代企业面临的高风险经营环境引起企业对内部审计需求的变化
由于技术的快速创新及由此导致的制度创新,现代企业所面临的商业环境和市场竞争不确定性越来越大,一方面变化速度快,商业环境和市场竞争的变化速度超过了以往任何时代;另一方面商业环境和市场竞争变化越来越彻底,企业明天的生存与发展环境很难预测,现代企业处于高风险的经营环境之中。
在这样的环境中,企业生存与发展的关键,更多地取决于对未来环境变化的适应和把握。企业必须在战略目标、重大投资决策、日常经营活动和绩效评估等各个方面高度关注风险因素。组织总是尽力对风险保持更多的控制,管理层和内部审计师认识到随着业务实践的改变,风险已经发生了显著改变,原有的控制也许不再起作用。KPMG的一项针对高级主管及内部审计经理的调查显示:“传统的内部审计方式——主要监测政策和控制是否得到有效执行已经过时,内部审计部门必须采取面向未来的、风险导向的思路来衡量企业成长并提高股东价值。”内部审计作为企业内置的一个职能部门,必然应当成为企业风险管理的有效组成部分,从组织目标的角度来评估与改善风险,为专业的风险管理部门或专职的风险管理人员提供咨询与保证服务,从而推行风险导向内部审计。
2.现代公司治理要求新的内部审计模式的出现
现代企业制度的有效运行需要以规范的公司治理为前提。有效的公司治理需要有行之有效的内部控制制度以及风险评估和控制机制作保障。内部审计既是公司治理的一部分,同时又参与到治理有效性的审计之中。内部审计在公司治理中的作用包括监督、评价和分析组织的风险和各项控制;复核并证实信息是否可靠并符合相关政策、程序与法律,协助管理者向董事会、审计委员会以及执行管理机构提供风险防范以及治理有效的保证。国际内部审计师协会前主席瓦格娜指出:“环境的变化给内部审计师带来增加价值的机会最多的领域是风险管理和公司治理”。在公司治理环境的要求下,内部审计目标与价值增值的治理目标相一致,并使其职能、技术方法、内容与范围等产生了新的导向与变革。
内部审计的风险导向审计是在外部审计倡导风险基础审计并向内部审计业务转移的背景下得以确立。20世纪90年代,国际五大会计师公司(毕马威、德勤、安永、普华永道和安达信)比以往更加热衷于提供管理咨询服务,在他们的游说下,许多公司将内部审计业务外包,如2001年美国安然公司将其大量的内部审计工作被安达信会计公司所承包,内部审计行业遭遇巨大生存压力。在这种危机面前,内部审计为整个组织提供风险方面的咨询与确证服务,积极推行风险导向审计,将提高其在组织中的不可替代性,从而保持与扩展其职业生存空间。
二、审计目标和职能的变革
风险推动下的内部审计的目标、职能发生了深刻的变革,展现出全新的审计面貌。
(一)审计目标与组织目标契合:为组织增加价值
目标是一项活动希望达到的境地,是其出发点和归宿,它是人们行动的指南,是对特定行为所提出的特定要求或任务。刘明辉于2001年指出:“需求是影响审计目标的根本因素”。内部审计目标是审计主体通过内部审计活动所期望达到的境地,体现的是主观的要求。风险导向内部审计以为组织增加价值为目标,并最终实现组织目标为自身的根本目标,从而实现审计目标与组织目标的统一。
麦克宁关于内部审计新旧范式路线图反映了风险导向内部审计目标与企业目标的契合,如图1所示。传统内部审计通常采用从右到左的路线,即直接测试内部控制,考虑内部控制是否充分有效,而风险的大小仅用于表明控制的薄弱与健全环节,从而实现防弊或兴利的目标。这种范式使内部审计被埋葬于反映过去的细节之中,结果是不断加强、补充、完善控制,在一层控制基础上再叠上一层控制,长此以往便会拖累企业前进的步伐。尽管有着防弊与兴利的审计目标,但无法与企业目标相关联,导致内部审计无法证明其价值所在。
风险导向内部审计采取的路线是从左到右,首先确认企业目标或某项交易的目标,然后分析对这些目标产生影响的风险以及能够管理这些风险的控制,最后测试实际的控制能否切实管理这些风险。内部审计人员关注的并非控制的充分性和遵循性,而是风险是否得到适当管理和控制。这样,内部审计人员通过风险与企业目标的实现直接联系起来,其服务对公司治理层及管理层都非常有价值。
图1 新旧内部审计范式路线图
风险导向内部审计在为企业增加价值方面层次性更高,传统内部审计对增值的目标囿于服务于管理层,而在风险导向下内部审计的增值目标上升到治理层面,定位在服务于股东及利益相关者。将内部审计的增值界定在提高公司治理效率的范畴中,不仅避免了传统方法带来的种种弊端,而且在实务操作中也具有一定的可行性。风险导向内部审计定位于解决最高层次的委托代理关系,涵盖了所有下级的委托代理责任,使内部审计为公司治理服务。风险导向内部审计的目标由微观转向宏观,将其目标与组织的目标联系在一起,开始关注组织的战略方向,评估和改善组织的风险控制,帮助组织减少风险,将会有助于组织保存和增加价值。
(二)审计职能的飞跃:由监督到监督与服务并举
监督职能是内部审计的一个基本职能,传统内部审计主要侧重自上而下的监督,单纯的监督必然引起被监督者的反感,导致工作开展的低效。在风险导向内部审计下,内部审计人员被赋予了更新的职责和使命,基于价值增值的目标,内部审计更强调服务职能,将服务与监督放在同等重要的位置。风险导向内部审计的职能是以确认与咨询为主要内容的监督职能与服务职能的融合,这两项职能都是紧密结合内部审计的增值目标发展而来的。内部审计的作用不仅在于监督企业的各职能部门履行职责,评价其工作好坏,还应帮助组织进行控制环境的营造,成为企业内部控制过程设计的顾问、风险评估师和咨询、管理专家。
著名的美国内部控制专家海默教授曾说过:“内部审计应将自己视为公司的一种资源。在帮助管理当局更有效地达到其控制目标的过程中发挥作用。内部审计师的使用将从简单的‘我们实施审计’向‘我们帮助创建一些程序,以期达到组织成功所需要的内部控制水平’的方向发展。”
三、审计领域的拓展:内部控制、风险管理与公司治理
内部审计发展到风险导向阶段,审计的对象扩展到风险管理、控制和治理程序。而风险作为一种核心理念,贯穿在整个内部审计过程中。
著名内部审计学家Andrew Chambers于1995年提出内部审计的理论构建应以内部控制概念为中心。现代内部审计之父Lawrence Sawye指出:评价内部控制的技能是内部审计人员的“魔杖”,是内部审计渗透到其他领域的“敲门砖”。ⅡA于1983年发布了第1号内部审计准则说明书(SIAS No.1)——“控制的概念与责任”,SIAS No.1将控制界定为:“管理层为达成既定目的及目标所采取的各种行动”,它特别声明:“本说明书所称‘管理层’包括组织内负责制定及(或)达成目的任何人”,而且“管理层和内部审计人员所关心的是广义控制,外部审计人员所关心的是狭义控制”,它强调“所有的制度、程序、营运、职能及活动均为内部审计评估的对象”。ⅡA于2004年在新的《内部审计职业实务准则》中将控制界定为:“管理层、委员会及其他各方进行的、旨在加强风险管理、增大实现既定目标可能性的行为”。其内涵与SIAS No.1一脉相承,只是更强调了“风险管理”,用词上稍有变化。ⅡA将“治理程序”定义为:“组织利益相关者(如股东)的代理人所使用的各种程序,旨在对管理层所管理的风险和控制过程进行监督”。
风险对公司治理及内部控制的理论与实务产生了很大影响。就前者而言,麦克宁认为,公司治理是企业对风险的战略反应。广义的公司治理已将关注点转向了科学决策,因此风险是必须考虑的因素。就后者而言,COSO委员会的ERM框架报告认为,ERM扩大了内部控制的范围,提高了内部控制的层次,是一个更关注风险的强大的概念体系。
因此,在风险理念的作用下,风险导向内部审计的领域拓展到风险管理、内部控制以及治理程序,ⅡA在《内部审计职业实务准则》中指出,关于风险管理,“内部审计活动应帮助组织发现并评价重要的风险因素、帮助改进风险管理与控制体系”;关于内部控制,“内部审计活动应该评价控制的效率与效果、促进控制的不断改善,以此来帮助组织保持有效的控制”;关于公司治理,“内部审计活动应该评价并改进组织的治理程序,为组织的治理作贡献。”
风险导向内部审计融风险管理、公司治理和内部控制审查于一体,更强调关注公司治理框架中风险发现与风险管理,关注管理者及其经营管理行为可能出现的风险,关注组织在整个治理过程中的决策风险与经营风险。风险导向内部审计以控制为主线、风险管理为核心,与公司治理和管理相互融合渗透,为实现组织目标服务。
标签:内部审计论文; 风险管理论文; 内部控制论文; 企业内部控制与风险管理论文; 控制环境论文; 风险价值论文; 公司治理理论论文; 审计目标论文; 会计与审计论文; 治理理论论文; 审计职能论文; 审计职业论文; 组织环境论文; 审计方法论文; 审计准则论文; 组织职能论文; 财会论文;