风险导向模式下的内部审计问题探讨:国内外文献综述侯俊志【摘要】本文对国内外风险导向模式下内部审计相关文献进行了梳理,发现国内外主要从风险导向内部审计的界定、目标、实质,风险导向内部审计与传统 内部审计的对比,风险导向内部审计下对内部审计人员能力要求,以及风险导 向内部审计与企业风险管理等方面对风险导向模式下内部审计进行了研究关键词】风险导向 内部审计 文献综述—、引言现代内部审计除了关注传统的内部控制之外,对有效的风险管理机制和健全的公司治理 结构日益关注止是存在这样的需求,一种以内部审计主体组织的内部控制为基础、同时考 虑公司治理在内的、以纽•织整体风险作为审计重点的审计 风险导向内部审计应势而生目前国内外关于风险导向内部审计的理论研究和实践探索述主要集中于如何在年度审计 计划编制过程中运用风险导向内部审计,关于如何在具体审计项日中贯彻风险导向内部审计 理念的实践性资料并不多见而要将这种新型审计模式贯彻到内部市计全过程,就必须在如 何以风险为导向实施具体审计项目方面有所突破二、国内外关于风险导向内部审计研究的文献综述(一)风险导向内部审计在国内外运用情况研究目前内部审计领域对风险导向审计方法的运用目前述主耍局限于宏观层面,即在编制年 度审计计划、选择审计项目时采用这一方法,而在微观层面,即具休审计项目实施过程中,对这 一方法的运用还非常有限,如Marco Allegrini,Giuseppe D0nza(2003)对在意大利上市的前100 家大型企业运用风险导向审计的状况进行了调查,结果表明:有25%的企业未采用风险导向审 计方法;有67%的企业只在年度审计计划编制过程中采用了风险导向审计方法;只有8%的企 业在年度审计计划编制过程和具体审计项目的实施过程中都采用了风险导向审计方法。
口见, 风险导向审计方法并未在具体审计项目实施过程中得到广泛的运用(二)风险导向内部审计的界定研究理论界对于风险导向内部审计的含义有不同的解释李曼(2010)认为:风险导向内部 审计是指内部审计人员在内部审计的全过程自始至终都要关注风险,依据风险选择项目,识 别风险,测试管理者降低风险的方法,并以风险为中心出具审计报告,协助企业风险管理 这里的“风险”不仅是指"审计风险”,还包括企业在生产经营过程中所面临的各种风险, 即那些可能対企业战略和目标的实现产生影响的事件、行为和环境,包括经营风险、市场风 险、信贷风险、技术风险、人事风险等’风险导向内部审计既是基于降低审计风险,乂是 为降低企业经营风险,进行风险管理的一•种有效工具,在企业风险管理中起到举足轻重的作 用三) 风险导向内部审计目的、实质研究唐振达(2009)认为风险导向内部审计冃标是企业管理信息系统风险导向内部 审计基于经济实体是一个结构复杂,各个组成部分Z间相互联系、相互影响的“信息系统”, 而企业则是这个信息系统中的结点和微观个体,它吋刻受着整个系统英他纽•成部分的影响 要想止确把握企业财务信息背后经营活动的真实面貌,就必须从战略和系统的高度全面审视 企业经营管理活动的各个方面,从企业经济管理的各个重耍环节认识企业经管各种风险对财 务报农的影响。
同时他指出,风险导向内部审计是针对“特别风险”要求实施的进一步的审计程序风 险导向内部审计实质上是一-种舞弊导向审计,主要是通过企业财务报表分析和企业环境分析 发现预警信号再山预警信号对金业的管理舞弊风险进行评估,并山舞弊风险评估得出企业被 审计的风险领域对企业高风险的业务和科目审计不能采用固有的审计程序,而是要根据具 体问题具体分析,以尽可能降低审计成本的方式収得最优的审计证据,而且这种审计证据主 要是外部证据企业舞弊事件的岀现并不是偶然的,而是特定条件下多种因索共同作用的结 果,是特定的舞弊行为生成机制使然的只要内部审计人员充分履行自C的专业分析能力, 从研究外部关联方入于-,透过衣象看本质,通过一•系列的资料搜集和风险分析识别风险点然 后实施个性化的测试方案,运用合理的职业怀疑和执业能力,就能发觉有价值的“预警信号”关于风险导向内部审计的实质,進小红(2009)认为,内部审计的本质是确保受托责 任履行的管理控制机制在风险导向阶段,受托责任关系以及管理控制发生了一些变化,与 风险结合起來,使风险导向内部审计成为确保受托责任有效履行的能动的管理控制机制因 此,风险导向内部审计的本质是内审人员在审计过程自始至终都以企业风险分析评估为导 向,根据量化的分析水平排定审计项目优先次序,依据风险确定审计范围与重点,对企业的 风险管理、内部控制和治理程序进行评价,进血提出建设性意见和建议,协助企业管理风险, 实现企业价值增值,是独立、客观的鉴证和咨询活动。
四) 风险导向内部审计的必要性研究李俊林(2010)认为当代内部审计应以风险为导向,其必要性主要有两方而:(一)企 业加强风险管理的需要从行业组织和政府看,2004年COSO止式发布了《企业风险管理 整合框架》,而我国也于2006年山国务院国有资产管理委员会发布了《中央企业全而 风险管理指引》全而风险管理的理念对礫个企业、企业内部的各个职能部门都提出了新的 要求内部审计作为企业的一个职能部门,理所当然地成为企业风险管理的有效纽成部分, 内部审计部门实施风险导向内部审计,从专业的角度来识别、评估和应对风险,从而为管理 部门与风险管理人员提供服务,是企业加强风险管理的需要二)内部审计自身生存和发 展的需要传统内部审计的固有缺陷导致其在企业内部渐渐地不被重视,企业为了肖省成本 和开支,不断地削减内部审计机构或部门,或将内部审计的业务部分或全部地对外承包给外 部审计公司,这使得内部审计的发展变得更加艰难,要想使内部审计摆脱困境,就必须实施 风险导向内部审计,为企业控制风险和増加价值服务内部审计自诞生以来,其审计的内容 和目的是不断发展和变化的,每一次的发展变化都是在一定的经济背景下为了适应当时企业 管理的实际需耍血进行的。
现阶段,企业己开始注重全面风险管理,这又是一次企业管理的 重大发展变化,内部审计理应适应这一潮流,进一步发展,山传统的内部审计发展到现阶段 的风险导向内部审计,从而克服传统内部审计只注重历史账簿记录和内部控制系统的运行情 况,而忽略对风险的管理和控制的缺点,从而脱离内部审计目标对•企业价值的增加无所助益 的缺点事实上,内部审计如果不能随着企业管理的变化而进一•步发展,提升为企业增加价 值的能力,只能被历史所淘汰五) 风险导向内部审计与传统内部审计对比分析i甚小红(2009)对此问题做出了对比,她认为传统上,内部审计发现了问题将之汇报给 相应的部门,审计工作便结束了风险导向内部审计不同,更加注重被审计责任中心以及有 关责任中心显现与潜在的影响未來发展的问题在实施市计吋对这些问题投入较多的审计资 源,在证实、评价有关信息的基础上,做出恰当的审计结论与切实可行的对策性建议,以促 进和帮助被审计责任中心管理当局有效履行其面向未來尤其是制定科学的未來发展战略方 面的受托管理责任这就从根本上改变了制度导向审计模式主耍根据对过去的业务与内部控 制情况进行评价而做出审计结论、提出审计建议的做法同时,她特别提出风险导向内部审计对内部审计人员胜任能力的耍求。
风险导向内部审 计与以往各阶段相比,对内部审计人员胜任能力的要求不同HA于1999年发布了一系列报 告,总称《内部审计专业胜任能力框架(CFIA)》其描述了作为一个胜任的内部审计部门应 具备的属性,即在一•个胜任的内部审计部门中扮演关键角色所需要的能力一是认知技能 有技术能力,分析、设计技能和鉴别技能技术能力是指根据既定规则熟练的工作;分析、 设计技能是指识别问题或界定任务并构建典型的解决或执行方案;鉴别技能是指在不确定条 件下做出复杂的、有创意的判断二是行为技能有个人技能、人际技能和纽•织技能个人 技能是指能很好地应对挑战、压力、冲突、时间紧迫和变化的环境;人际技能是指通过人际 互动収得收获;组织技能是指利用组织网络来取得收获在此基础上,莫勒和维特列示了十 四项内部审计人员所需要的行为技能:基本的公平和诚实;对纽织利益的贡献;合理的谦逊; 职业性的稳重;热情;角色的一-贯性;好奇心;决定性的态度;警觉;坚持;活力;白信; 勇气以及做出明智判断的能力除此Z外,风险导向内部审计还强调内部审计人员心理方面 的能力及特征六) 风险导向内部审计与企业风险管理研究李学梅(2010)认为实务中风险导向内部审计与企业风险管理的联系有:风险导向内部 审计既是基于降低内部审计人员的审计风险,同时又是为了降低企业经营风险、进行风险管 理的一种有效工具。
而企业开展风险管理目的也是全面识别企业风险并及时采取有效控制手 段两者有着十分紧密的联系一)帮助企业克接有效地防范与规避风险(二)促进企 业不断完善风险管理制度(三)为企业强化和规范风险管理运行机制提供重要支持企业的风 险管理职能部门所开展的风险管理实践可简要概括为四个步骤:第一步是风险识别;第二步 是风险评估;第三步是风险应对;第四步是风险监察而内部审计部门在开展风险导向审计 业务时,相应的也要经过风险识别、评估、应对和监察阶段七) 风险导向内部审计的实证研究为了要推行风险导向内部审计,就应该用风险导向内部审计的理念去指导从计划编制到 报告撰写,克至后续审计的整个审计过程対此,黄海、张晨(2008)通过具体研究某钢铁 金业,得出,要将风险导向内部市计的理念落实到具体审计项目的实施过程中,就必须重视 项目的审前调查和审计方案的编制工作在识别金业目标和风险后,可针对与风险点相对应 的控制进行内控测试,根据测试结果判断风险大小审计实施方案的编制应以审前调杏结果 为依据,方案中应详细列示每一个审计耍点对应的企业目标、风险、控制措施,同时应象编制 内控测试模板那样细化审计步骤,详细列示需要访谈哪些人员、需耍抽収哪些样本等;对抽取 样本的比例应以审前调杏的风险评估结果为依据,明确规定高风险领域对应高的抽样比例,低 风险领域対应低的抽样比例。
这样就可避免山于审计人员经验不足或懈怠等原因而影响审计 质量此外,在审计项目实施过程中,应根据新增信息调整风险评估结果,优化审计步骤,以修止 审前调杏中山于信息昴不足而作出的错误估计和判断通过以上方式获得的五个方面的信息 进行了汇总,填制了风险分析表,根据这些信息,结合审计人员的职业判断,对每一个风险点进 行了风险高、中、低的定性评估,在此基础上形成了风险评估李学梅(2010)则认为,通过分析实务中内部审计部门在开展风险导向内部审计业务时 与企业风险管理职能部门的联系,可知,尤论是风险导向内部审计业务,还是风险管 理部门进行风险管理实践,其根本目标都是为降低企业风险,维护企业利益,为企业的总体 战略目标而服务因此,内部市计部门在开展风险导向市计业务时需注意与风险管理职能部 门及吋协调、相互配合,最终形成合力,共同为企业服务加强部门间合作,有效减少工作 冗余风险导向内部审计Z所以要将审计资源集中于高风险的审计领域,对高风险点进行详细 的实质性测试,原因在于审计资源是有限的,必须要将其优先使用在高风险领域,这也是它 的本质耍求血企业风险管理职能部门的主耍职责就是识别企业所而临的各种风险,并运用 不同的风险管理策略开展风险控制活动,故内部审计部门在开展风险导向审计业务时,应充 分考虑与风险管理部门的合作,积极应用风险管理部门的工作成果和专业意见,注意与英协 调,以提高审计业务工作效率、完善审计工作成果。
例如,风险管理部门每年纽织开展的风 险识别和评估可以帮助管理层识别想要实现组织目标所应关注的领域,在开展风险导向审计 时,可以对此类信息有选择地加以利用,从而确认高风险领域,进而确定审计重点此外, 风险导向内部审计和企业风险管理根木目标都是要将企业所而临。