隨著知識經(jīng)濟時代的來臨以及經(jīng)濟全球化步伐的加快,企業(yè)面臨著更為多樣化和多變性的環(huán)境。公司治理、戰(zhàn)略管理、企業(yè)再造等現(xiàn)代管理理論給人們帶來了全新的理念,要求內(nèi)部審計突破傳統(tǒng)審計模式,圍繞企業(yè)目標,提供增值服務。風險管理導向內(nèi)部審計理論認為,內(nèi)部審計應把關注的核心轉向風險,注重現(xiàn)在和未來,不再關注過去的細節(jié)。風險是一個與企業(yè)遠景、使命、目標以及戰(zhàn)略更為相關的概念,也是一個更積極面向未來的概念,正因為如此,風險管理導向內(nèi)部審計旨在為企業(yè)增加價值。2001年,國際內(nèi)部審計協(xié)會(the Institute of In-ternal Auditors,簡稱IIA)頒布了《內(nèi)部審計實務標準》,順應了這種變革的需要。本文意在用全面風險管理理念改造傳統(tǒng)的內(nèi)部審計模式,從審計目標、對象、方法、程序等角度探討模式的構建。
一、傳統(tǒng)內(nèi)部審計模式的局限性
追溯內(nèi)部審計的變遷歷程,大致經(jīng)歷了財務審計、經(jīng)營審計、管理審計等幾個基本的演變與變化過程,然后再向風險管理審計推進。與之相對應,內(nèi)部審計模式也從財務導向、制度導向邁向風險管理導向。
財務導向審計的目的是查錯糾弊,審計對象主要是被審計單位的財務會計事項,所采用的審計方法是賬項基礎審計法。內(nèi)部審計機構通過對會計記錄的真實性、合規(guī)性進行認定和評價,借以認定、評價有關管理當局會計工作方面的受托管理責任的履行情況。這種內(nèi)部審計模式不涉及或很少涉及企業(yè)的經(jīng)營管理活動層面,并且是一種事后的審計方式,因此,它不注重“增值”目的。這種低層次的審計模式,不能滿足高層管理當局加強控制的需要和各利益相關者要求企業(yè)“增值”的需要。顯然,它只適用于早期的內(nèi)部審計,尤其是傳統(tǒng)的財務收支審計。
制度導向審計以經(jīng)營活動(采購、生產(chǎn)、銷售、財務)、管理活動(計劃、組織、協(xié)調(diào)、控制)為審計對象,審計的目的是加強管理控制,提高經(jīng)營管理水平,所采用的審計方法是制度基礎審計法。這是一種以評價內(nèi)部控制系統(tǒng)即內(nèi)部控制制度及其執(zhí)行情況為基礎的內(nèi)部審計方法。它通過確定企業(yè)內(nèi)部控制制度可能存在的缺陷,進而判明財產(chǎn)保全和會計記錄中可能存在的錯弊,而后,再進行深入的分析與實質性的審計,以確定企業(yè)經(jīng)營管理活動中存在的問題。制度導向審計是內(nèi)部審計模式上的重大突破,主要表現(xiàn)在:一是通過了解并評價內(nèi)部控制制度的完整、健全及是否得到有效實施,確定審計的重點,以提高審計效率;二是對內(nèi)部控制制度的遵循情況進行測試,評價控制風險,對審計風險進行系統(tǒng)規(guī)劃和控制;三是通過實施內(nèi)部控制審計,針對內(nèi)部控制的構成要件、構成機制及其效果進行認定和評價,肯定優(yōu)點,指出缺點,提出和改善企業(yè)管理制度和業(yè)務處理程序的建議。制度導向審計滿足了高層管理者和企業(yè)內(nèi)部各層次管理者受托責任關系日益擴大化的需要,即管理者除了履行受托財務責任以外,還必須承擔其他受托管理責任。制度導向審計固然有其先進性,但是從審計思路上還未從全面風險管理理念角度進行科學規(guī)范和運用。其局限性主要表現(xiàn)在:(1)制度導向審計模式著眼于對內(nèi)部控制制度及其執(zhí)行整體情況的了解和分析而對企業(yè)風險因素關注不夠。(2)注重內(nèi)部控制,忽視企業(yè)目標,導致過度控制日益嚴重。
二、風險管理導向內(nèi)部審計模式的構建
。ㄒ唬╋L險管理導向內(nèi)部審計的目標
作為企業(yè)的一個職能,內(nèi)部審計要成為企業(yè)價值鏈上一個必要的環(huán)節(jié),其目標就應當與企業(yè)的目標保持一致。國際內(nèi)部審計師協(xié)會理事會通過并于2002年1月1日實施的《內(nèi)部審計職業(yè)實務準則》導言中關于內(nèi)部審計定義是:“內(nèi)部審計是一種獨立、客觀的確認和咨洵活動,旨在增加價值和改善組織的運營。它通過應用系統(tǒng)的、規(guī)范的方法,評價并改善風險管理、控制和治理過程的效果,幫助組織實現(xiàn)其目標!睆倪@一定義中可以得到內(nèi)部審計是一項確認和咨詢活動,是為增加價值和改進經(jīng)營、實現(xiàn)組織的目標服務的。
與傳統(tǒng)的企業(yè)內(nèi)部審計目標不同,風險管理導向內(nèi)部審計目標更注重與企業(yè)目標的直接關聯(lián),在創(chuàng)造價值的企業(yè)目標作用下,內(nèi)部審計目標是降低風險,增加價值。這里的降低風險,不僅僅指審計風險降低,而是通過企業(yè)自身的風險管理活動及審計師的風險管理導向審計從而降低企業(yè)在創(chuàng)造財富中所面臨的風險,進而是審計的風險也相應地降低到可接受水平;與風險降低相對應的是價值的提升,即企業(yè)創(chuàng)造出更多的財富,而在這一財富創(chuàng)造過程的價值鏈中,風險管理導向審計作為其中的一個環(huán)節(jié),使審計價值得到提升。
(二)風險管理導向內(nèi)部審計的對象
傳統(tǒng)的內(nèi)部審計對象分別是財務事項、業(yè)務活動、管理活動,主要的審計類型分別是財務審計、業(yè)務審計、管理審計。風險管理導向內(nèi)部審計的對象是企業(yè)風險,主要審計類型是金融風險管理、公司治理和內(nèi)部控制審查于一體的綜合審計。這種綜合審計相比業(yè)務審計、管理審計階段而言,更強調(diào)關注公司治理框架中風險發(fā)現(xiàn)與風險管理,關注管理者及其經(jīng)營管理行為可能出現(xiàn)的風險,關注組織在整個治理過程中的決策風險與經(jīng)營風險。
根據(jù)2004年美國COSO委員會頒布的《企業(yè)風險管理框架》(ERM),企業(yè)風險管理被定義為:“是一個由企業(yè)的董事會、管理層和其他員工共同參與,應用于企業(yè)戰(zhàn)略制定和企業(yè)內(nèi)部各個層次和部門,旨在識別可能對企業(yè)造成潛在影響的事項并在有關人員風險偏好范圍內(nèi)管理風險,為企業(yè)目標的實現(xiàn)提供合理保證的過程”。企業(yè)風險管理分為內(nèi)部壞境、目標制定、事項識別、風險評估、風險反應、控制活動、信息和溝通、監(jiān)控等相互關聯(lián)的要素,各要素貫穿于企業(yè)的管理過程之中。這些要素的排列方式亦代表了企業(yè)風險管理的業(yè)務流程。由于資本價值為風險和報酬組合的函數(shù),而風險是可能給投資人帶來的預期損失,風險管理控制成功與否直接影響企業(yè)收益。因此,在新形勢下,風險管理日益成為企業(yè)管理的核心問題。風險對公司治理及內(nèi)部控制的理論與實務也產(chǎn)生了很大影響。就前者而言,公司治理理論認為,公司治理是企業(yè)對風險的戰(zhàn)略反映。廣義的公司治理已將關注點轉向了科學決策,因此風險是必須考慮的因素。就后者而言,ERM是在1992年頒布的《內(nèi)部控制整體框架》(IC-IF)基礎上發(fā)展的,IC-IF是包含在ERM中的一體化部分,ERM擴大了內(nèi)部控制的范圍,提高了內(nèi)部控制的層次,是一個更關注風險的強大的概念體系。因此,在風險理念的作用下,企業(yè)內(nèi)部控制已擴展為企業(yè)風險管理框架。
。ㄈ╋L險管理導向內(nèi)部審計的方法
制度基礎內(nèi)部審計方法是審計人員首先決定應設計的控制,再進行評估風險,然后對照組織目標,通過對內(nèi)部控制制度的健全性和有效性評價,發(fā)現(xiàn)內(nèi)部控制的薄弱環(huán)節(jié),而后,針對這些環(huán)節(jié)展開重點審查。審計重點置于單位作業(yè)系統(tǒng)內(nèi)部控制的規(guī)劃、測試與報告,即:決定應設計的控制→評估控制風險→確定組織目標→發(fā)現(xiàn)內(nèi)部控制中存在的問題并提出糾正建議。而風險管理導向內(nèi)部審計的方法是:確定組織目標→評估企業(yè)風險→決定應設計的控制→發(fā)現(xiàn)企業(yè)管理中存在的問題或可能發(fā)生的問題并提出建設性的建議。它從確定目標開始,到幫助組織提出合理化建議結束,即審計人員首先確認企業(yè)目標或某項交易的目標,然后分析對這些目標產(chǎn)生影響的風險以及能夠管理這些風險的控制,最后測試實際的控制,考慮其能否切實管理這些風險。
需要指出的是,兩者區(qū)別不僅表現(xiàn)在審計路徑上的不同,還表現(xiàn)在對風險的理解和運用不同。前者的風險是狹義的風險,即風險的大小僅用來表示內(nèi)部控制的健全性和有效性,后者的風險是廣義的風險即企業(yè)風險。風險管理導向內(nèi)部審計關注的并非控制的充分性和遵循性,而是企業(yè)風險是否得到適當管理和控制,因此,審計判斷不僅僅基于審計師對審計風險的容忍度,而更多地依賴于管理層對該領域的企業(yè)風險容忍度,更加關注管理層如何計量和監(jiān)控與他們的目標和風險容忍度相關的業(yè)績執(zhí)行情況。
。ㄋ模╋L險管理導向內(nèi)部審計的程序
與審計目的、對象、方法相對應,風險管理導向內(nèi)部審計的程序應自始至終貫穿著風險管理的主導思想。風險管理審計過程包括:了解企業(yè)經(jīng)營風險和識別風險、評價企業(yè)風險控制、確定剩余風險,剩余風險管理等幾個環(huán)節(jié)。內(nèi)部審計活動應幫助企業(yè)發(fā)現(xiàn)并評價重要的風險因素,幫助改善風險管理與控制體系。內(nèi)部審計部門應監(jiān)督、評價企業(yè)風險管理體系的有效性以及機構的治理、經(jīng)營及信息系統(tǒng)方面的風險因素。風險管理是管理人員的主要責任,董事會和審計委員會應該在確定機構是否建立恰當?shù)娘L險管理過程以及這些程序是否充分有效運作方面起監(jiān)督作用。內(nèi)部審計人員應通過檢查、評價、報告風險管理過程的充分性和有效性,并提出改進建議來協(xié)助管理人員和審計委員會的工作。以咨詢顧問身份開展的內(nèi)部審計人員可以協(xié)助機構確定、評價并實施針對風險的管理方法和控制措施。
因此,在編制審計計劃時,內(nèi)部審計師應該在對可能影響機構的風險進行了解、識別、評估的基礎上,制定內(nèi)部審計部門的審計計劃。在選擇被審項目時,應該在評估風險優(yōu)先次序的基礎上安排審計工作。在開展審計業(yè)務時,用于檢測、證實風險的技術與方法應該能夠反映出風險的重大性、發(fā)生的可能性及頻率。在審計報告時,應該傳達對風險管理的結論和建議,以降低風險。為了讓管理層充分理解風險的程度,在報告中應特別提出風險活動對于實現(xiàn)目標的關鍵性與后果。在后續(xù)審計時,內(nèi)部審計師應該將注意力集中于最嚴重的或潛在的問題上,對一般事項的后續(xù)審計可僅限于詢問和簡短的討論。后續(xù)審計應該跟蹤到:對于重大的審計發(fā)現(xiàn),相關部門和環(huán)節(jié)是否予以糾正:若不予糾正,責任和原因到底在哪兒。IIA《內(nèi)部審計實務標準》要求,若審計執(zhí)行主管認為高級管理層接受的剩余風險對于機構無法接受,應該上報董事局加以解決。
三、風險管理導向內(nèi)部審計模式的意義
第一,風險管理導向內(nèi)部審計模式所持的是一種廣義的風險觀,它拓寬了外部審計所采用的風險基礎審計模式中狹義的風險概念,使內(nèi)部審計目標與企業(yè)目標緊密結合在一起,從而為企業(yè)捉供“增值”服務。風險基礎審計模式(也稱風險導向審計模式)審計的出發(fā)點是審計風險,它通過對固有風險和控制風險進行評估,以審計風險模型確定審計的時間、范圍和性質。因此,風險基礎審計模式關注風險的目的是提高審計效率和效果,局限于審計本身的目標,其中的風險是狹義的審計風險的概念。風險管理導向內(nèi)部審計把個企業(yè)在經(jīng)營過程中面臨的各種重要風險作為審計對象,并把其作為確定審計項目及其審計重點的依據(jù),以企業(yè)進行的所有降低風險的活動為測試重點,評價風險降低的充分性和有效性,并提出恰當?shù)慕档惋L險的建議。
第二,在風險管理導向內(nèi)部審計觀念下,年度審計計劃與公司最高層的風險戰(zhàn)略連接在一起,內(nèi)部審計人員通過對當前的風險分析確保其審計計劃與經(jīng)營計劃相一致,使用風險管理原則改變審核過程,使內(nèi)部審計程序更富有成效。風險管理成為組織中關鍵流程,促使內(nèi)部審計的工作重點不再是測試控制,而是確認風險及測試管理風險的方法,在風險管理導向內(nèi)部審計中,控制仍然重要,但分析、確認、揭示關鍵性的經(jīng)營風險,才是內(nèi)部審計的焦點。
第三,風險管理導向內(nèi)部審計實現(xiàn)了公司治理、內(nèi)部控制、風險管理的有機整合,提升了內(nèi)部審計的層次,增加了內(nèi)部審計“增值”的機會。內(nèi)部審計是現(xiàn)代公司治理的一部分(王光遠,2003),而且內(nèi)部審計、內(nèi)部控制與公司治理之間存在著互動關系(程新生,2004)。公司治理旨在降低所有者和管理者之間的委托代理風險,風險是公司治理的核心要素。在風險管理導向內(nèi)部審計模式下,內(nèi)部審計從企業(yè)戰(zhàn)略目標、戰(zhàn)略管理的高度出發(fā),參與到公司治理與風險管理中,幫助組織發(fā)現(xiàn)并評價重要的風險因素,促進組織改進風險管理體系;評價并改進組織的治理程序,為組織的治理做貢獻;同時繼續(xù)原有的對控制的效率和效果的評價作用,促進控制的改善,幫助組織保持有效的控制。此時的內(nèi)部審計人員通過對風險的把握,來評價公司治理及內(nèi)部控制,并促進公司治理、內(nèi)部控制的改善,從而實現(xiàn)對風險的掌握與駕馭。在風險管理這個統(tǒng)一的核心下,公司治理、內(nèi)部審計及內(nèi)部控制實現(xiàn)了一定程度的整合,為組織增加了價值。
作者單位:浙江萬里學院商學院(責任編輯:禾 言)