- 相關推薦
風險導向內部審計基本理論及程序構建
【摘要】 風險導向內部審計是審計領域發展的最前沿,已在發達國家企業的內部審計實踐中普遍應用。本文介紹了內部審計發展歷程、涵義特點,探討了風險導向內部審計的基本理論,提出了風險導向內部審計的實施程序。【關鍵詞】 風險導向;內部審計;風險管理
20世紀90年代起,人類社會邁向信息時代,社會環境也呈現出多樣化和多變性,企業生存的環境越來越復雜,相應地,其面臨的風險也越來越大。傳統的內部審計都只是片面地關注企業經營過程中的某一個方面,都沒有與企業目標發生直接的聯系,沒有關注企業經營過程中面臨的風險,以至于達不到企業提高經營管理水平、加強管理控制的要求。因此,為了彌補傳統內部審計的不足,風險導向內部審計應運而生。風險導向內部審計分析企業經營過程中遇到的所有問題并進行全面評價,不僅包括企業的內部控制制度,也包括企業所處環境、所處地域以及企業管理層的誠信度,通過對上述各方面內容的評價,進而對企業所面臨的各種風險進行有效的識別和評估,并以此制定措施加以控制。這樣一來,既能有效地監督管理層的經營活動,也能在監督的過程中發現企業內部存在的問題,并向管理層提出一些建設性意見,有助于提高企業效益,降低企業風險。
一、風險導向內部審計基本理論探討
(一)風險導向內部審計的本質
風險導向內部審計的定義為:內審人員在整個審計過程中,自始至終都關注企業風險(不是審計風險),依據風險確定審計范圍與重點,以降低風險為導向,對企業的風險管理、內部控制和公司治理程序進行評價,協助企業管理風險,實現企業價值增值的確證和咨詢活動。風險導向內部審計的本質是確保受托責任有效履行的能動的管理控制機制。
現階段,由于外部受托責任內容的多樣化和內部受托責任的多層性, 內部審計必須緊密結合增值目標,全面看待和分析風險,以確定所要重點控制的受托責任內容。反饋是控制系統的靈魂,而內部審計作為管理控制系統的組成部分,必須發揮反饋作用,而且要根據周圍環境的變化,自動調整自己的運動,從事后的反饋走向適時的反饋甚至是事前的前饋,只有這樣才能適應瞬息萬變的環境。風險是面向未來的,是直接與目標及戰略相關聯的,風險導向內部審計是以風險為核心及出發點的內部審計,能夠將事后的反饋延伸到事前以及事中,從而實現更高效率的控制。
(二)風險導向內部審計的對象
在財務導向、業務導向、管理導向內部審計階段,主要的審計類型分別是財務審計、業務審計和管理審計。而在風險導向內部審計階段,主要的審計類型是將風險管理、公司治理和內部控制融于一體的綜合審計。風險作為核心理念,在整個內部審計中的作用都是舉足輕重的, 這種綜合審計體現在十分關注公司治理過程中對風險的發現和管理,關注管理者及其經營管理行為可能出現的風險以及組織在整個治理過程中的決策風險和經營風險。
(三)風險導向內部審計的目標
內部審計目標是審計主體通過內部審計活動所期望達到的境地。內部審計的目標經歷了防弊、低層次興利、高層次興利的過程, 發展到風險導向階段,內部審計就更注重與企業目標的直接聯系,在企業創造價值目標的作用下,風險導向內部審計的目標由高層次興利轉向了增值。
傳統內部審計通常只局限于測試企業的內部控制執行的有效性,內部審計人員關注的是控制的充分性和遵循性,結果是不斷加強、補充、完善控制,在一層控制基礎上再疊加一層控制,雖然有著防弊與興利的審計目標,但是無法與企業目標相關聯。風險導向內部審計與傳統的內部審計不同的是,它先確定企業目標,再對可能影響這些目標實現的風險進行分析,并根據這些風險設計相應的內部控制制度,最后測試企業建立的內部控制制度是否對風險的管理控制切實有效。內部審計人員關注的是風險是否得到適當的管理和控制,將風險與企業目標直接聯系起來,這對公司管理層的管理決策是非常有價值的。
(四)風險導向內部審計的職能
傳統的內部審計職能僅限于監督管理公司的規章制度,而隨著社會經濟水平的不斷上升和企業管理水平的不斷提高,內部審計的職能有了很大的發展空間,已不再是簡單的監督,而是為企業提供“確證和咨詢服務”,這兩項職能都是緊密結合內部審計的增值目標發展而來的。內部審計協會ⅡA對內部審計的職能作了明確規定:“內部審計是一項獨立的、客觀的確證和咨詢活動,其目的在于為組織增加價值并提高組織的工作效率。它采取系統化和規范化的方法,對風險管理、內部控制和公司治理過程進行評估和改善,從而幫助組織實現其目標。”它強調重點關注公司經營管理過程中的發現風險與管理風險,關注管理者的管理行為可能存在的風險,關注企業在治理過程中的經營風險和決策風險,并對這些風險實施評價,根據評價結果向管理層提出建議。
二、 風險導向內部審計程序的構建
(一)審計計劃的編制
《內部審計實務標準》要求內部審計部門的計劃應該反應機構的風險戰略,并指出首席執行官應該制定以風險為基礎的計劃,以確定內部審計活動的重點。內部審計計劃的制定應緊密結合企業風險管理目標。在編制審計計劃之前首先結合企業風險管理目標進行年度風險識別和評估,確定關鍵風險領域, 風險高的領域作為年度審計計劃優先安排的項目。由于內部審計資源有限,應根據金額的重大性、資產變現力、管理能力、內部控制的質量、變化或穩定程度等風險因素確定業務工作重點。如美國Oraele公司,在建立內部審計計劃時先對風險進行優先排序,再根據風險暴露的重要性按一定比例分配審計資源:全球業務的程序性檢查(29%);對子公司的審計(22%);SOX測試及支持(9%);案件調查(19%);審計管理及其他(14%);審計業務創新工作(7%)。
內部審計計劃的內容通常包括如下方面:一是審核以前的報告、審計方案、工作底稿及前任審計師提供的文檔,列出任何要求采取糾正行動的公開項目。其作用在于獲取背景資料及確定過去審核的結果,以更好地確定當前重大風險的審計范圍。二是實施初步調查,以確定被審核的活動的目標、實際或潛在風險,以及現存的控制系統。三是審核被審計職能的政策和程序,以及它的經營管理手冊、組織結構圖、權力結構圖、長短期目標。通過審核來確定可以衡量和評價風險的領域,以及該職能是否按管理層的意圖執行。四是審核有關風險的審計領域的現行內部審計資料,針對被審計的業務活動,獲得最新的技術信息。五是準備被審計職能的主要業務流程圖,獲得業務流程的可視分析,識別控制缺陷。六是審核管理層已建立的績效標準,如果可能,把它和行業標準進行比較。七是會晤客戶,討論審計范圍和內部審計師試圖達到的目標,避免有關審計目標和范圍被誤解。八是編制完成審計業務所需耗費的詳細預算,以保證審計過程的效率。九是通過風險評估并排序,列出必須考慮的重大風險。十是為每個可識別風險確定什么控制有效,檢查現行的控制是否可以消除或充分地減少已識別的風險。十一是確定重大問題和機會的實質,識別困難的主要方面,確定其原因和可能的補救方法。
(二)審計目標和審計測試
《內部審計實務標準》規定內部審計總的目標是“評價并幫助改進機構的風險管理、控制和治理系統”,具體審計活動應圍繞更為具體的風險管理目標進行,內部審計師應獲得足夠的證據,確認企業主要風險管理目標是否實現。審計測試中通過運用抽樣、觀察、提問、分析、證實、調查與評估等方法獲取有關風險的審計證據,并且揭示出它們的內在品質或特征,目的是為內部審計師形成審計意見提供基礎。
(三)審計發現與審計結果
在審計工作中內部審計師要確定哪些情況需要采取糾正行動。那些與規范或可接受的標準之間的偏離被稱為審計發現。它們可能是:應采取而未采取的行動、不適當的行為、令人不滿意的系統及應考慮的風險暴露等。審計業務工作的成果就是“發現”。審計師一般將“發現”分為背景、標準、情況、原因、影響、結論和建議等因素,這些因素為采取糾正行動提供了強有力的依據。
審計結果包括審計發現結果、審計結論、審計建議和行動計劃。審計發現結果是對風險的相關陳述,通過比較應該達到的目標與實際的做法,可以得出審計發現結果和審計建議,審計發現和審計建議應該以背景、標準、情況、原因、影響為依據,還可以包括審計客戶的業績、相關問題和未在其他地方反映的輔助信息。審計結果資料是內部審計報告的主要基礎。
(四)后續審計
后續審計是指出具了審計報告后,內部審計師仍然要為報告中所涉及的審計發現和建議進行跟蹤,以確認管理層是否采取了風險防范和控制措施。后續審計應跟蹤,對于重大的審計發現,相關部門和環節是否予以糾正;若未糾正,責任和原因在哪兒。后續審計工作安排要堅持風險導向和成本效益原則,以所涉及的風險及實施糾正措施的困難程度和時間安排的重要性為依據。風險越大,后續審計的范圍就可能越廣,內審人員要投入更多的時間和精力;反之,后續審計可僅限于詢問和簡短的討論,以節約審計成本。
【參考文獻】
[1] 國際內部審計師協會(2001年)修訂本.202. 《內部審計實務標準》第一版.中國內部審計師學會.中國時代經濟出版社.
[2] 嚴暉. 風險導向內部審計:背景分析與框架建構 [J]. 財會通訊(學術版),2004.
[3] 鄭小榮.風險導向內部審計若干理論問題探討. 審計與經濟研究,2006.
[4] 王小霞,孫坤,張宜霞. 論風險導向的內部審計理論與實務.審計研究, 2004,(2).
【風險導向內部審計基本理論及程序構建】相關文章:
淺析內部審計新模式-風險導向內部審計01-13
以風險為導向的內部審計應用解析03-07
對我國構建風險導向審計模式的理性思考03-24
風險導向企業內部審計研究03-28
風險導向內部審計與內部控制結合初探(下)03-22
談風險導向審計中分析程序的實施03-20
風險導向審計在高職院校內部審計中的應用03-23
基于風險導向審計的高校內部審計流程優化03-16
新環境下的企業風險管理與風險導向內部審計03-22