论风险导向审计中“风险”的定位--兼论与风险管理相关的内部审计准则的修订_企业内部控制评价指引论文

论风险导向审计中的“风险”定位——兼论风险管理相关内部审计准则的修订,本文主要内容关键词为:风险论文,风险管理论文,导向论文,内部审计论文,准则论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。

中图分类号:F239.2 文献标识码:A 文章编号:1001-6260(2012)04-0149-07

中国内部审计协会一直致力于建立一套以内部控制和风险管理为导向的内部审计准则体系。但是,由于内部控制与风险管理之间的关系还没有理顺,这直接导致风险导向审计中的风险定位问题存在较大争议。正因为如此,中国内部审计准则中与内部控制和风险管理相关的各审计准则之间的关系也有待进一步明确,譬如:第5号准则《内部控制审计》与第16号准则《风险管理审计》之间是何关系;第12号《遵循性审计》、第21号《内部审计的控制自我评估法》、第25号《经济性审计》、第26号《效果性审计》和第27号《效率性审计》等准则之间及其与第5号、第16号准则之间是何关系。在实务中,内部审计人员也产生了一些困惑:内部控制审计和风险管理审计究竟有何不同?风险导向审计与全面风险管理之间是何关系?因此,有必要在中国内部审计协会修订内部审计准则之际,对这些问题进行探讨①。

一、内部控制与风险管理之间的关系

在2003年6月实施的第5号准则《内部控制审计》中,中国内部审计协会提出,内部控制涵盖风险管理,风险管理是内部控制的五要素之一,并专门制订了《风险管理审计》准则。COSO(2004)认为风险管理涵盖内部控制,其表述是:“内部控制是企业风险管理不可分割的一部分。”谢志华(2007)认为风险管理与内部控制虽表述不同,但涵义相同。

那么,二者之间究竟是何关系?问题的关键在于认清内部控制的本质。COSO(1992)指出:“内部控制是一个由企业董事会、管理层和其他员工实施的,为经营的效率效果、财务报告的可靠性、相关法律法规的遵循性等目标的实现提供合理保证的过程。”这种将内部控制理解为“一个过程”的做法被2008年5月中国财政部、证监会、审计署、银监会、保监会等五部委(下称“五部委”)发布的《企业内部控制基本规范》(下称《基本规范》)所采用。但是,“一个过程”的提法只是说明了一个事实,即内部控制是与企业的经营管理活动交织在一起而发挥作用的过程,它并没有给内部控制定性。COSO(1992)对“一个过程”有如下解释:“组织中各单位或各职能部门内部或跨单位或职能部门所实施的经营过程,都是通过计划、执行和监控等基本的管理过程来加以管理的。内部控制是这些过程的一部分,并与它们整合在一起。内部控制能让这些管理过程发挥作用,并对其实施和持续的关联性进行监控。内部控制是一个管理工具,而不是管理的替代品。”从中可以看出,COSO是结合管理过程来论述内部控制过程的,它认为内部控制是管理过程的一部分,是其中履行监控职能的管理工具。

那么,如何理解作为管理工具的内部控制呢?我们需要从管理的职能谈起。法约尔(1982)认为,管理有计划、组织、指挥、协调和控制等五大职能,他指出:“在一个企业里,控制就是要证实一下是否各项工作都与已定计划相吻合,是否与下达的指示及已定原则相吻合。控制的目的在于指出工作中的缺点和错误,以便加以纠正并避免重犯。”美国著名管理学家Robbins(1994)在法约尔五职能说的基础上提出了管理四职能说,即:计划、组织、领导、控制等职能。他认为,控制职能是指监控计划执行、比较分析偏差、纠正错误,确保计划顺利实施。可以看出,COSO对内部控制的解释与管理学中对“控制”的解释并无不同,都指出要保证计划的实施,都提及要对偏差进行监控。这样看来,COSO所讲的内部控制就是管理学中的“控制”。

法约尔(1982)在论述“控制”职能时,就使用了“内部控制”的提法,他说:“这里,我只讨论管理问题,所以就不谈两个企业之间的控制问题了……我着重谈一下企业内部控制,这种控制的目的是专门为了有助于各部门的工作的顺利进行,而总的来讲也有助于企业运营的顺利进行”(法约尔,1982)。可见,法约尔认为在一个企业内部讨论管理中的控制问题,可以用“内部控制”的提法。

以上分析足以证明内部控制就是控制。应该说,我们之所以称“控制”为“内部控制”是相对于外部监管而言的,强调的是企业自身应该重视对其经营管理活动的有效监控。以COSO为代表所开展的内部控制研究丰富和发展了“控制”理论,使我们更深入地了解“控制”在管理过程中发挥作用的方式和内在机理。但内部控制并不是一个独立于“控制”之外的,或与“控制”并列的一个新事物,它就是“控制”。因此,内部控制的本质就是管理职能中的控制职能。

既然内部控制只是一项管理职能,那么只要是管理活动,它就应该涵盖内部控制,因此,COSO(2004)认为风险管理涵盖内部控制是有道理的。自然,内部控制就不可能涵盖风险管理。在中国的《内部控制审计》准则中,将风险管理作为内部控制的一个要素值得商榷。COSO(1992)和中国《基本规范》认为内部控制由五要素构成,即控制环境(内部环境)、风险评估、控制活动、信息与沟通和监控。其中,都用到“风险评估”的提法。而COSO(2004)认为,内部控制由八要素构成,将风险评估要素细化为“目标设定”、“事项识别”、“风险评估”和“风险应对”等四个要素。但是,无论是五要素观还是八要素观,都没有使用“风险管理”的提法。COSO(2004)的标题就是《企业风险管理——整合框架》,其认为,在内部控制的要素中用“风险管理”的提法容易产生歧义,不如用“风险评估”好。

内部控制职能论也可以解释谢志华(2007)关于内部控制与风险管理涵义相同的观点。企业是一个风险组织,不冒风险的企业是不存在的。企业为达成自身目标,要采取有效措施防范和化解其所面临的各类风险。因此,可以认为,企业管理就是风险管理,或是“全面风险管理”。企业在“全面风险管理”之中,要综合运用计划、组织、领导和控制职能。如果侧重于强调控制职能在“全面风险管理”中的重要性,则可以将企业管理称之为“内部控制”。这样看来,内部控制和风险管理是同义语。用内部控制,是从管理职能上来讲的,侧重于强调控制职能的发挥;讲风险管理则是从控制的对象上来讲的,侧重于强调风险控制的重要性。通俗来讲,内部控制,控制的是风险,风险管理,管理的也是风险,二者涵义相同。

二、风险导向审计中的“风险”定位

在风险导向审计方法引入中国后,理论界围绕风险导向审计中的风险定位问题进行了讨论:陈毓圭(2004)认为是经营控制风险(含企业的经营战略及其业务流程);谢荣等(2004)认为是企业战略风险及相关经营环节风险(统称经营风险);王泽霞(2004)认为是管理舞弊风险;许莉(2005)认为是指被审计单位的“重大错报风险”;赵德武等(2006)认为是治理系统风险(含公司治理和内部控制)。评述这些观点的立场有三个:一是将企业管理等同于风险管理;二是将内部控制等同于风险管理;三是要区分风险评估的对象和结果。风险导向审计中“风险”定位之争的焦点是审计人员在评估审计风险时,所评估的对象究竟应该是什么。至于评估审计风险后,得出评估对象“重大错报风险”的情况如何则是评估的结果,不能将“对象”与“结果”混淆。基于上述立场,可以将理论界对风险的不同定位统一于“企业全面风险”之中。具体分析如下:

1.经营风险就是企业全面风险

陈毓圭(2004)和谢荣等(2004)所述的经营控制风险和经营风险,实质上就是企业全面风险。他们将风险评估的对象定位为“企业的经营战略及其业务流程”和“企业战略风险及相关经营环节”。从中可以看出,都涵盖了企业战略层面和经营层面的风险,这就是“企业全面风险”。但是,用“经营风险”的提法容易产生歧义,以为仅指企业经营层面的风险,而不包括战略层面的风险,不如用“企业全面风险”好。并且,用“企业全面风险”还可以与“企业全面风险管理”直接对接。这在国资委发布《中央企业全面风险管理指引》、国际标准化组织发布《ISO 31000风险管理——原则与指南》、中国标准化委员会发布国家标准《GB/T 24353-2009风险管理——原则与实施指南》的背景下,显得更为必要。企业要实施“全面风险管理”,相应地,审计人员风险评估的对象就应该是“企业全面风险”,从而使得审计部门和审计人员在“企业全面风险管理”中发挥应有的作用。

2.管理舞弊风险是企业全面风险的一部分

王泽霞(2004)将风险评估的对象定位为管理舞弊风险。这一观点主要针对管理层财务报表舞弊提出,试图通过重点评估管理舞弊风险来降低审计风险,这一做法只能算是权宜之计。试想,如果迫于法律和监管的压力,管理层不敢进行财务报表舞弊了,那么,管理舞弊导向审计也就没有存在的理由了。从内部审计的角度看,审计的目标不仅仅是“防弊”的问题,而是“防弊、兴利、增值”三大目标。显然,王泽霞(2004)对风险评估的对象界定过窄。按照五部委(2008)《基本规范》中的规定,企业全面风险应该包括:战略风险、合规风险、资产安全风险、财务报告风险、经营风险等。按大类就是两类,即战略层面的风险和经营层面的风险。管理舞弊风险只是合规风险中的一个方面。将风险评估的对象定位为管理舞弊风险只能算是一种审计策略,只是注册会计师在管理层舞弊比较严重的情况下,在审计实务中运用的一种审计方法,不宜将其作为风险导向审计中的“风险”定位。

3.重大错报风险的提法混淆了风险评估的对象和结果

许莉(2005)认为,风险导向审计中的风险,无论是所谓传统的还是现代的,都是指被审计单位可能带来审计风险的风险,在现代风险导向审计中就是指被审计单位的“重大错报风险”。这一提法混淆了风险评估的对象和结果。是否存在重大错报风险是审计人员通过风险评估后进行职业判断的结果。将一个职业判断的结果作为风险导向审计“风险”的定位显然不妥。现代风险导向审计与传统风险导向审计的区分并不在于审计风险模型用“审计风险=重大错报风险×检查风险”取代了“审计风险=固有风险×控制风险×检查风险”,而是强调了“自上而下”和“风险导向”的原则,强调既要有“森林”也要有“树木”。不能就报表而审计报表,要站在企业全面风险管理的视角来看报表。作为风险评估的结果,“重大错报风险”的提法可以运用于注册会计师财务报表审计中。但是站在内部审计的视角,就不仅仅是错报的风险问题,而是企业全面风险的问题。在第17号准则《重要性与审计风险》第十七条中就有规定:“审计风险包括两方面内容:一是重大差异或缺陷风险。是指被审计单位经营活动及内部控制中存在重大差异或缺陷的可能性;二是检查风险。是指审计人员未能通过审计测试发现重大差异或缺陷的可能性。”这里的“重大差异和缺陷风险”可以对应于注册会计师审计风险中的“重大错报风险”,它也是内部审计人员风险评估后的结果。虽然内、外部审计在风险评估的结果上用词不同,但是风险评估的对象都是“企业全面风险”。基于此,建议将第17号准则中的“重大差异或缺陷风险,是指被审计单位经营活动及内部控制中存在重大差异或缺陷的可能性”表述改为“重大差异或缺陷风险,是指被审计单位全面风险管理中存在重大差异或缺陷的可能性”。

4.治理系统风险就是企业全面风险

赵德武等(2006)认为是治理系统风险(含公司治理和内部控制),并指出公司治理是针对企业高层管理人员,而内部控制针对的是企业中低层人员。根据内部控制职能论,公司治理也需要运用控制职能,不可能只是对企业中低层人员的管理才需要内部控制,只要是管理就需要控制。撇开此点不论,赵德武等(2006)的治理系统风险也涵盖了企业全面风险,企业全员参与并受控。一般而言,公司治理主要涉及公司高层管理,那么,可以认为企业管理涵盖公司治理。但事实上,企业管理与公司治理的边界并不清晰,在早期企业中,或者在现代小企业中,一般就叫企业管理,而很少称之为公司治理。只是自1932年伯利和米恩斯发表《现代公司与私有财产》提出“所有权和控制权分离”的命题以来,理论界才逐渐有了公司治理之说,公司治理才逐渐从企业管理中分离出来。但是公司治理从本质上讲仍是企业管理,管理的职能仍然适用于公司治理之中。如果把公司治理泛化,使其包括中低层人员参与的日常管理,则公司治理可以等同于企业管理。赵德武等(2006)采取的正是这一做法,而企业管理就是风险管理。因此,治理系统风险就是企业全面风险。

基于以上认识,风险导向审计中的风险应该定位为“企业全面风险”。相应地,就内部审计而言,风险导向审计是指内部审计部门和人员为有效履行其在风险管理中的职责,基于对企业全面风险的评估,针对重大差异或缺陷风险,制订和实施的一整套审计方法。

三、风险导向审计与全面风险管理的关系

1999年6月,国际内部审计师协会理事会批准了关于内部审计的新定义:“内部审计是一种独立、客观的保证与咨询活动,旨在增加价值和改善组织的运营。它通过应用系统的、规范的方法,来评价和改善风险管理、控制及治理过程的效果,帮助组织实现其目标。”与此同时,《国际内部审计专业实务框架》(IPPF)发布,并于2001年正式实施。新的框架在内容上全面体现了风险导向审计的思想,内部审计进入风险导向审计阶段。2004年9月,COSO发布《企业风险管理——整合框架》,将其1992年发布、1994年修订的内部控制框架发展为企业风险管理框架,强调了全面风险管理的重要性。国际内部审计师协会立即做出反应,于当月29日,以立场公告(Position Statement)的形式发布《内部审计在全面风险管理中的作用》报告,明确指出:内部审计在企业风险管理中的核心作用在于,客观地保证董事会在企业风险管理活动的作用得以有效发挥,恰当地为管理提供帮助,并保证内部控制系统有效运行。具体包括:为企业风险管理过程提供保证;为正确识别风险提供保证;评估风险管理过程;评估关键风险报告和评价关键风险的管理。

中国内部审计协会从2005年底以来,力推内部审计从“以真实性、合规性为导向的财务审计为主”向“以财务审计与内部控制和风险管理为导向的管理审计并重”的方向全面转型。内部审计应在企业风险管理中发挥作用,为企业提供增值服务,这已日益成为中国内部审计理论界和实务界的共识。

那么,内部审计该如何有效发挥其在企业全面风险管理中的作用呢?如前所述,风险导向审计中的风险应该被定位为“企业全面风险”,这就为内部审计发挥其应有作用找到了切入点,也为风险导向审计与全面风险管理之间的联系建立了内在基础。风险导向审计与全面风险管理存在的联系和区别表现为:

1.二者之间的联系

企业全面风险管理的对象是企业全面风险,而风险导向审计中所评估的风险就是企业全面风险。企业推行全面风险管理是基础,而风险导向审计是保障。风险导向审计通过对企业全面风险的评估,提出进一步改进措施,为全面风险管理的有效实施出谋划策。同时,内部审计部门也可以通过对企业全面风险的评估合理分配审计资源,将审计的重点放在风险较大的领域,从而更好地提供增值服务。

2.二者之间的区别

(1)实施主体不同。全面风险管理是在企业董事会的战略决策和领导下,为实现企业战略和经营目标,由企业管理层组织实施、全员参与的经营管理工作。风险导向审计是在企业董事会的领导下,由内部审计部门组织实施的对企业全面风险管理工作的有效性进行监控的工作。

(2)内涵不同。全面风险管理是一个管理过程,而风险导向审计是一套审计方法。

(3)风险导向审计既以全面风险管理为基础,又具有相对独立性。风险导向审计中的风险评估对象是企业的全面风险。企业管理越规范,开展全面风险管理的水平越高,相应地,内部审计部门开展风险导向审计的基础也越好,对风险的评估会更为准确,审计工作更为有效。但是这并不意味着企业不开展全面风险管理,内部审计部门就无法开展风险导向审计工作。企业管理就是风险管理。因此,无论企业是否推行命名为“全面风险管理”的管理举措,事实上都是在进行风险管理,只不过推行“全面风险管理”会使得企业管理工作更加规范,更能全面识别和防范企业面临的各类风险。风险导向审计作为一种审计方法,不依赖企业是否推行全面风险管理制度而独立存在,这一方法的优点主要有:一是有利于合理配置审计资源;二是能为企业提供增值服务。当然,归根结底是第二点,因为只有通过风险评估找到“重大差异或缺陷风险”,才能合理配置审计资源,才能指出企业风险管理中存在的问题,并提出改进建议,从而为企业提供增值服务。内部审计提供增值服务的对象是企业的管理层,提供增值服务的水平如何体现的是内部审计人员的专业胜任能力。如果企业风险管理水平较差,内部审计人员将会很容易指出企业管理中存在的问题,从而实现自身价值;反之,则对内部审计人员提出了挑战,很有可能难以提出有建设性的意见。这就说明,风险导向审计方法运用的关键在于内部审计人员对企业全面风险管理的认识,而不在于企业推行全面风险管理的实际情况如何。每一个内部审计人员都应该形成一个对所在企业规范的全面风险管理的总体把握,这是开展风险评估的基准线。在此线之下的,就存在差异和缺陷,需要改进。当然,这条线如何定,体现了内部审计人员的专业胜任能力,因此,风险导向审计方法的实施给内部审计人员带来了挑战,其必须具有全面评估企业风险管理状况的水平。这样看来,风险导向审计方法中,内部审计人员对企业风险进行评估时,企业风险管理的标准自存在于内部审计人员心中,并随着企业规模的扩大和业务范围的拓展而改变;其标准只能比企业现行的全面风险管理水平更高,至少不能低,这样才能提供增值服务。因此,风险导向审计具有相对独立性。

(4)二者对风险的评估结果不完全相同。如表1所示,二者对风险的评估结果有四种组合。二者都评价为高,说明这是一个高风险的领域,管理部门和审计部门均认为需要投入更多的资源进行管理和审计。二者都评价为低,说明这是一个低风险的领域,管理部门和审计部门均认为不需要投入更多的资源进行管理和审计。在呈现高低组合的情况下,若风险导向审计评价为高,全面风险管理评价为低,有两种可能:一种是管理人员水平低,应该识别的重大风险没有识别出来;另一种是审计人员水平低,本无风险却认为有重大风险。若风险导向审计评价为低,全面风险管理评价为高,则一种解释与前同;另一种解释是,确实是高风险的领域,但通过管理部门的风险管理,风险降低了,审计人员认为风险管理有效,将其评价为低风险的领域。

风险导向审计与全面风险管理之间错综复杂的关系,使得人们产生了理解上的歧义,有必要对此加以分析。上述研究结论为进一步提出风险管理相关内部审计准则的修订建议打下了坚实的基础。

四、风险管理相关内部审计准则的修订建议

由于现行内部审计准则是以内部控制和风险管理为导向的,所以整个准则体系,从《内部审计基本准则》到《内部审计具体准则》和《内部审计实务公告》,都与风险管理相关。但是,限于篇幅,本文仅探讨其中与风险管理直接相关的几个具体准则,包括:第5号《内部控制审计》、第12号《遵循性审计》、第16号《风险管理审计》、第21号《内部审计的控制自我评估法》、第25号《经济性审计》、第26号《效果性审计》和第27号《效率性审计》等准则。

这些准则可以分为两个层次:一是总体层,包括第5号《内部控制审计》、第16号《风险管理审计》和第21号《内部审计的控制自我评估法》;二是具体层,包括第12号《遵循性审计》、第25号《经济性审计》、第26号《效果性审计》和第27号《效率性审计》。

1.总体层次风险管理内部审计准则修订的建议

首先,第5号《内部控制审计》和第16号《风险管理审计》这两个准则可以合二为一,因为内部控制与风险管理涵义相同,所以不需要分别制订两个准则,可以用一个准则来涵盖这两个准则所包括的内容。也可以考虑为新修订的《内部控制审计》准则制订一个《风险评估》实务公告,将现行《风险管理审计》准则中的内容涵盖在内。

其次,第21号《内部审计的控制自我评估法》与新修订的《内部控制审计》准则之间的关系要理顺。《萨班斯法案》颁布以后,美国上市公司管理层内部控制自我评估和会计师事务所的内部控制审计成为法定要求。依《萨班斯法案》成立的美国上市公司会计监管委员会(PCAOB)先后制订了第2号和第5号审计准则来规范会计师事务所对内部控制的审计。2007年6月发布的取代第2号审计准则的第5号审计准则命名为《与财务报表审计相结合的财务报告内部控制审计》。同年,美国证交会(SEC)发布《管理层财务报告内部控制指引》,对上市公司管理层内部控制自我评估进行规范。中国财政部等五部委为加强内部控制监管,也于2010年4月发布了《企业内部控制配套指引》(含《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》)。

PCAOB第5号审计准则和中国五部委《企业内部控制审计指引》,都是内部控制审计准则,是站在注册会计师审计的立场做出的规范。而SEC《管理层财务报告内部控制指引》则是对管理层内部控制自我评估的规范。与之对应的是中国五部委的《企业内部控制评价指引》,这一指引的发布正是为了规范审计部门开展内部控制自我评估工作。那么,在中国监管当局已经发布内部控制相关规范的背景下,第5号准则《内部控制审计》该如何修订?第21号准则《内部审计的控制自我评估法》该如何定位?

在中国五部委《企业内部控制配套指引》发布后,按要求必须执行的公司,其审计部门每年都要对内部控制进行自我评估,其董事会要据此出具内部控制自我评估报告。内部审计部门进行自我评估的标准就是《企业内部控制评价指引》。因此,中国内部审计协会对第5号准则《内部控制审计》修订时,有必要吸收和借鉴《企业内部控制评价指引》的规定,以便于内部审计人员同时遵循这两个规范的要求。而第21号准则《内部审计的控制自我评估法》则是规范企业内部管理人员进行内部控制自我评估的准则。评估的主体是企业内部管理人员,内部审计部门主要扮演组织者和咨询专家的角色,所以在标题中不宜突出内部审计的作用。建议将题目改为《内部控制的自我评估》,以示与《内部控制审计》准则相区别。同时,在行文中,要避免出现内部控制审计的说法。若有,相关条文也应该直接与《内部控制审计》准则衔接,不宜再行做出规定。

2.具体层次风险管理内部审计准则修订的建议

具体层次风险管理内部审计准则修订主要是要理顺它们与新修订的《内部控制审计》准则之间的层次关系。从层次关系来看,它们与新修订的《内部控制审计》准则之间是主从关系,《内部控制审计》准则居于主导地位,具体层次风险管理审计准则居于从属地位,其相关规定不能逾越《内部控制审计》准则。同时要明确,第12号《遵循性审计》准则是为了防范企业全面风险管理中的合规风险;第25号《经济性审计》、第26号《效果性审计》和第27号《效率性审计》准则是为了防范企业全面风险管理中的经营风险。也就是说,“3E”审计并非游离于《内部控制审计》准则之外,它是《内部控制审计》准则的延伸,是对《内部控制审计》准则中为防范经营的效率与效果风险和合规风险而开展的相关审计工作的具体规范。审计人员在年度内部控制自我评估时,应该运用具体层次风险管理审计准则的要求,全面评估企业风险管理中存在的问题。而在日常审计工作中,则可以就某一部门、某一业务、某一流程、某一项目分别运用《遵循性审计》、《经济性审计》、《效果性审计》和《效率性审计》等准则进行专项审计。

这样看来,新修订的总体层次的风险管理内部审计准则有两个,即《内部控制审计》和《内部控制的自我评估》;具体层次的准则有四个,分别是《经济性审计》、《效率性审计》、《效果性审计》和《遵循性审计》。同时,建议从总体层次到具体层次连续编号,或借鉴中国注册会计师审计准则的编号方式进行分类分层编号。此外,还可以制订几个相关的实务公告,如《风险评估》、《内部控制的自我评估》等。

①虽然本文侧重探讨内部审计问题,但审计中的“风险”定位问题是内部审计、注册会计师审计和政府审计共同的话题,因此,本文所得出的研究结论同样适用于注册会计师审计和政府审计。

标签:;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  

论风险导向审计中“风险”的定位--兼论与风险管理相关的内部审计准则的修订_企业内部控制评价指引论文
下载Doc文档

猜你喜欢