一、风险导向内部审计研究综述
(一)风险导向内部审计产生发展研究关于风险导向内部审计产生的原因或必要性,王光远在 1994 年发表《论管理审计的概念》和《管理审计鉴证的基本准则》首次把我国内部审计从过去财务审计向协助企业管理方向发展。2002 年王光远又在 《内向型管理审计:从控制导向到风险导向》一文中对内部审计对于企业风险预防和监控提出深入见解。严辉(2004)从管理学和法律规范的角度考察风险导向 内部审计的产生,指出:第一,信息技术的发展、全球化经营以及企业生产方式的变革,使企业所面临的管理环境发生重大变化,内部审计要适应这样的管理环境也 必须进行变革。环境的多样化和多变性促使内部审计必须更加注重对风险的分析,内部审计必须注重价值的创造,内部审计必须提供满足不同顾客要求的服务。第 二,管理理论( 战略管理理论和企业再造理论)的发展,使得传统的内部审计暴露出难以规避的问题,以致影响内部审计的发展。内部审计应该进行变革而风险是 变革中的重要因素。风险导向内部审计关注于企业风险,帮助企业识别、评估各种内、外部风险,为企业构筑利用机会或减轻威胁的战略,使内部审计成为创造企业 价值的链条中的必要环节。第三,公司治理、内部控制和风险管理方面相关的法规纷纷出台,并在具体内容中体现了三者的相互渗透和融合,这些法规要求内部审计 在公司治理、内部控制和风险管理中承担一定职责,由此推动了风险导向内部审计的产生。郑小荣(2005)提出,企业内部审计的外部化趋势侵蚀内部审计生存 的职业空间,也是导致风险导向内部审计产生的重要因素之一,内部审计外部化,是指企业
将内部审计的部分或全部职能交由外部的会计师 事务所等中介机构来完成,企业同时给这些机构支付相应费用的现象。内部审计的外部化趋势威胁内部审计职业的生存空间,使得内部审计积极推行风险导向内部审 计,为整个组织提供风险方面的咨询与保证服务,提高其在组织中的不可替代性,减弱外部化带来的不利影响,从而保持与扩展其职业生存空间。罗冬梅 (2007)认为传统内部审计方法的内在缺陷是风险导向内部审计产生的内在原因。我国企业内部审计大部分运用着账项基础审计模式和制度基础审计模式,这两 种审计模式由于本身固有的缺陷使得内部审计的审计效率低下、审计结论缺乏可操作性。在账项基础审计模式下,审计人员将精力主要放在被审计单位会计记录及其 有关凭证的审查上,着重去验算其会计金额,核对转账事项,以证实账簿和报表数字的正确性。这种审计方式只能适用于一些小规模企业的财务审计,但要运用它对 规模较大的企业进行内部审计,则存在着审计效率低下、审计结果不准确、审计内容狭窄的严重缺陷。在制度基础审计模式下,内部审计人员一直把精力集中在对内 部控制的审查上,通过制定计划进行符合性测试和实质性测试,由此对企业经营活动的内部控制做出评价,并向管理层提出加强内部控制的措施,然而这一审计模式 存在着审计结论脱离企业目标、控制系统日趋僵化、审计作用严重滞后等诸多缺陷,难以实现内部审计的初宗,无法满足管理者的需要。
(二) 风险导向内部审计基本理论研究(1)相关界定。2003年IIA对“内部审计实务标准”进行了修订,新标准将内部审计定义为:内部审计是一种独立、客观的 确认和咨询活动,旨在增加价值和改善组织的运营。通过应用系统的、规范的方法,评价并改善风险管理、控制和治理过程的效果,帮助组织实现其目标。这一新定 义,以风险为基础,对内部审计的对象、目标、职能进行了重新定位,推动风险导向内部审计进一步向前发展。中注协副秘书长李爽2001年就银广夏事件接受记 者采访时称,风险导向审计是“指注册会计师通过对被审计单位进行风险分析、评价被审计单位风险控制、确定剩余审计风险,执行追加审计程序将剩余审计风险降 低到可接受水平。”胡春元(2001)认为风险导向审计以量化的风险水平为重点,在确定的风险水平基础上,决定实质性测试的程度和范围。以上定义都强调了 对风险的分析评价,但没有明确评价的是什么风险,没有阐明被审计单位风险和审计风险的关系。在我国理论界,对于风险导向内部审计的含义有不同的解释。杨爱 群(2005)认为,风险导向内部审计是对审计风险的评估作为一切审计工作的起点,并始终贯穿于审计过程的现代审计模式。王晓霞(2005)认为,企业内 部审计部门采用一种系统化、规范化的方法来进行以测试企业风险管理信息系统、各业务循环及相关部门的风险识别、分析、评价、管理及处理等为基础的一系列审 核活动,对机构的风险管理、控制及监督过程进行评价进而提高过程效率,帮助机构实现目标。而更多的学者是持这样的观点:风险导向内部审计是指内部审计人员 在内部审计的全过程自始至终都要关注风险,依据风险选择项目,识别风险,测试管理者降低风险的方法,并以风险为中心出具审计报告,协助企业风险管理。这里 的“风险”不仅是指“审计风险”,还包括企业在生产经营过程中所面临的各种风险,即那些可能对企业战略和目标的实现产生影响的事件、行为和环境,包括经营 风险、市场风险、信贷风险、技术风险、人事风险等。风险导向内部审计既是基于降低审计风险,又是为降低企业经营风险,进行风险管理的一种有效工具。(2) 审计模式研究。内部审计与外部审计在审计理论结构方面有很多共同之处,对内部审计理论结构的研究,大都借鉴了外部审计理论结构的研究成果。蔡春 (1993)提出了“环境—本质—假设—目标—规范与信息—控制—环境”的审计理论结构模式。有关风险导向内部审计理论结构的研究,也是按照审计理论结构 的一般模式来进行的,只是不同的学者具体所采用的模式不同而已。严辉(2004 )采用“本质—假设—目标—职业规范”的结构模式,构筑了比较完整的风险 导向内部审计理论结构框架,见(图1)所示。
陈 宏(2005 )按照“目标—对象—职责”的模式,研究风险导向内部审计的基本理论框架,李玲、陈任武(2006)认为风险导向内部审计遵循“目标——— 风险———控制”的逻辑顺序,即审计人员首先确认企业目标或某项交易的目标,然后分析对这些目标产生影响的风险以及能够管理这些风险的控制,最后测试实际 的控制,考虑其能否切实管理这些风险。这里的“风险”包括企业或组织在经营过程中面临的可能对其目标实现产生影响的各种不确定性。这种范式的内部审计,重 视与企业目标直接关联的风险分析,紧密关注高风险领域,并根据风险评估结果调整审计战略与确定审计重点,从而能提供更相关、更符合管理当局和董事会需求的 确证信息,能帮助组织增加价值并提高经营效率。(3)风险管理研究。王晓霞、孙坤和张宜霞(2004)在结合企业管理目标的基础上提出风险管理的主要目标 在于损失发生之前能做出最有效安排,使损失发生后所需要的资源,与保持有效经营必要的资源,能达成适度平衡。风险包括经营风险和行为风险,风险管理的原则 是权衡轻重、考虑周详,避免超额负载和成本效益原则。风险管理的七个步骤是确定范围、识别风险、分析风险、评价风险、处理风险、沟通与协商、监测和审核, 并提出五个风险管理策略与方法。郑小荣(2006)分析了企业风险管理框架(ERM)与风险导向内部审计的联系。ERM是一个整合公司治理和内部控制的企 业风险管理框架,它包含了四个目标、八个要素和四个层次,它关注包括公司治理和内部控制环节的风险在内的一切风险,而公司治理领域和包括内部控制环节的风 险在内的所有风险正是风险导向内部审计的对象,所以企业风险管理框架就可以被视为风险导向内部审计的对象。ERM的出台为风险导向内部审计提供了权威的工 作依据。根据ERM,风险导向内部审计的工作就可以有条不紊地分解为:针对组织特定目标(战略目标、报告目标、经营目标与合法性目标)、特定的管理层次 (组织整体层面、分部、经营单元、子公司)实施各自的风险审计程序(内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通),内部审 计无须在目标制定环节之外另外寻求其它的目标分类标准,无须为确定审计范围进行太多的思考,更无须为风险导向审计程序本身的设计投入更多的资源。企业风险 管理框架为实践风险导向内部审计提供了现实指导。罗冬梅(2006)认为风险管理框架下的内部审计也是一种综合审计类型。不同于单纯的财务审计、业务审计 及管理审计,是融风险管理、公司治理和内部控制审查于一体,更关注企业在整个治理过程中的决策风险和经营风险。内部审计的职能从监督和评价转变为确证和咨 询。确证是根据客户的标准、要求对特定领域进行评价并提供其需要的信息,能够改善决策与提高决策的科学性。咨询则是直接作为专家顾问参与经营活动,改善客 户的经营和财务状况。通过内部审计可以促进公司治理和内部控制的整合。风险管理框架下的内部审计除了对公司治理和现代内部控制发挥各自的作用外,还能成为 沟通二者的渠道,促进公司治理与现代内部控制的协同与整合,有利于各类企业外部受托责任与内部受托责任的统一。
( 三)风险导向内 部审计实施与应用研究(1)审计方法和程序研究。胡春元(2001)提出了风险因素分析、风险基础审计的基本程序、风险基础审计的基本方法方面,在风险基 础审计的基本程序中,将程序分成五个阶段,分别为:第一阶段(通过调查、了解、分析、评估等方法执行一般规划并确认重要的审计领域,识别重要的风险领 域);第二阶段(了解和评估重要的资料来源);第三阶段(执行初步风险评估,即固有风险和控制风险的联合);第四阶段(拟定和执行审计计划,通过实施审计 获取审计证据);第五阶段(做出审计报告。这五个阶段体现了审计重心前移的理念,但仍拘泥于传统的审计模式。在风险基础审计的基本方法中,介绍了审计风险 评估、分析性测试、控制测试、交易业务实质性测试、余额细节测试)。刘三昌(2003)提出以风险分析为基础,确定内部审计年度计划。严晖(2004)认 为在风险导向内部审计中,企业风险首先成为选择审计项目及确定特定项目中重点关注领域的依据,高风险的领域优先列入年度审计计划。但他们并没有论述具体怎 样进行项目风险评估,同时也未把风险管理纳入内部审计的过程。郭群、吴惠吟(2002)提到风险导向审计要求内部审计结合企业目标,检查、评价企业现有控 制措施能否将其存在的风险降低到可接受的水平,并提出管理、控制风险的建议,为企业提供增加价值的服务。这就要求内部审计人员改变传统的内部控制评价模 式,把审计的起点放在关注企业的发展战略和业务流程的风险上,利用控制自我评估、内部控制矩阵和网络信息表现,对内部控制的适当性、有效性及效率开展动态 评估。郭胜利(2003)强调内部审计应关注公司治理框架中风险发现与风险管理,关注管理者及其经营管理认为可能出现的风险,关注组织在整个过程中的决策 风险和经营风险。但在内部审计中具体如何关注风险并没有涉及。郭群( 2006 )按照内部审计的“计划阶段—实施阶段—终结阶段”研究风险导向内部审计 的实施程序。在审计计划阶段,内部审计师首先应系统地分析、识别、衡量企业面临的风险,按照风险的高低,制定年度审计计划,确定被审计对象的先后顺序;风 险导向内部审计的实施阶段,首先确认企业目标或某项交易的目标,然后分析对这些目标产生影响的风险,确定审计风险水平和审计重点,提出风险防范和控制建 议,最后通过后续审计,测定风险是否得到有效防范和控制;在审计终结阶段,审计人员以风险评估为基础提出审计发现和审计建议后,出具审计报告。这并不意味 着审计过程的结束,还要进行后续审计。
风险是决定后续审计本质和范围的重要因素,风险越大,后续审计的范围就可能越广。王晓霞、孙 坤和张宜霞( 2004 )从一般的审计程序__模式衍生出风险导向内部审计的实施程序,即编制审计计划—选择被审计者—审计目标与测试—审计发现与审计 报告—后续审计。(2)我国应用的现状和推进风险导向内部审计建议与措施研究。许多学者对于这一新的内部审计模式如何在我国应用进行了研究。严晖 (2004 )从我国内部审计的历史发展与现状出发,系统分析了我国当前内部审计存在的问题,指出风险导向内部审计的实施,会给我国的内部审计带来深刻变 化:内部审计出发点以及关注核心的变化;内部审计职能的扩展;通过内部审计促进公司治理和内部控制的整合;内部审计人员胜任能力的提高。马正吉 (2005)从实施风险导向内部审计的必要性出发,提出我国实施风险导向内部审计的具体建议与措施:提高内部审计人员的素质;加强风险意识和风险管理技 能;加强内部审计工作的时效性;建立内部控制评价的新模式。还有学者提出了应用的具体措施:重新定位内部审计目标,拓展审计范围,实现涵盖企业经营管理各 个方面和环节的全面审计,包括财务审计、效益审计、内部控制的监督评价、人力资源审计、项目风险管理审计、环保安全和信息处理系统的审计;修订内部审计准 则,注意吸收国际内部审计准则的现有成果,保持和国际准则一致,并且在准则中明确专业胜任能力。(3)实施条件的研究。我国学者关于风险导向内部审计实施 条件的研究较少,具有代表性的是桑桂丽(2005 )在其论文《风险基础内部审计程序的构建》中,从适用范围和技术要求方面,论述了风险导向内部审计的实 施条件:风险导向内部审计主要适用于大中型企业,对内部审计人员的素质要求很高,并且还要求有较高的计算机应用水平。此外,还有一些学者着重关注风险导向 内部审计在银行领域的应用研究。因为银行的风险较其他行业更集中更突出,风险导向内部审计的应用首先应从银行开始。学者与银行的实践工作人员,在这方面都 有研究成果,主要对于风险导向内部审计在银行应用的必要性、可行性,以及如何实施方面进行研究。
二、总结
纵 观上述研究,可以看出风险导向内部审计拓宽了外部审计所采用的风险基础审计模式中狭义的风险概念,引入全面风险管理概念,使内部审计目标与企业目标紧密结 合在一起,从而为企业提供“增值”服务。但笔者认为还存在一些问题,表现在:一是风险导向内部审计研究缺乏系统性和整体性;二是审计程序和方法方面大都借 鉴外部风险导向审计程序;三是结合本国实际情况的深入研究还很缺乏。如何在风险导向审计模式下进行内部审计,如何将风险导向审计模式贯穿于内部审计的全过 程,如何对企业风险进行合理的分析、评价和控制,这是我国内部审计组织需要关注的问题,学术界要以解决风险导向内部审计的基本理论问题为切入点,对风险导 向内部审计在实践中的应用,进行系统、深入的研究。(杨惠贤 付蓉)
文章来源:财会通讯 2009.07