薛 珊
(1.蚌埠市国家税务局,安徽 蚌埠 233000;2.安徽财经大学,安徽 蚌埠 233000)
论风险导向内部审计与企业风险管理
薛 珊1,2
(1.蚌埠市国家税务局,安徽 蚌埠 233000;2.安徽财经大学,安徽 蚌埠 233000)
文章以内部审计定义的变迁为出发点,指出风险导向内部审计是当代企业的必然选择,剖析了风险导向内部审计与企业风险管理之间的联系,认为风险导向内部审计与企业风险管理的结合主要体现在治理层面与具体业务层面,并从内部审计部门模式、控制自我评估(CAS)、风险导向的胜任力、内部审计流程等四个方面来探究如何完善风险导向内部审计。
风险导向;内部审计;风险管理
国际内部审计师协会(IIA)自1941年成立至今共发表了7个内部审计定义,这些定义的修改和发展,反映了内部审计为了适应社会经济环境的变化而不断发展的过程。从不断变化的内部审计概念,我们发现,人们对内部审计的作用和地位的认识和期望,已经发生了深刻的变化,内部审计的职能己大大拓展。内部审计已经由原来的审查会计工作转变为一个独立的职业、一个改进风险管理、控制和治理的过程、一个为组织实现目标的增值活动。内部审计具体概念变化如下表所示:
表一:内部审计概念演变表
阶段 时间 定义 具体说明1990、《内部审计职责说明书》内部审计工作是在一个组织内部建立的一种独立评价职能,目的是作为对该组织的一种服务工作,对其活动进行审查和评价。把内部审计定义为“建立在一个组织内部的”服务工作,以此与外部审计相区别。1993、《内部审计职责说明书》内部审计工作是在一个组织内部建立的一种独立评价职能,其目的是协助该组织的管理成员有效地履行他们的职责首次解决了为组织服务的具体含义。风险导向审计阶段1999、 专业实务框架(PPF)内部审计是一种独立、客观的确认和咨询活动,旨在增加价值和改善组织的运营。内部审计的发展进入了一个新的更高层次和阶段,使内部审计的作用更具有前瞻性、咨询性。
自二十世纪四十年代以来,现代内部审计的目标不断随着时代的变迁而变化。根据国际内部审计师协会(IIA)关于内部审计职责说明书和内部审计职业标准的要求,内部审计目标从为管理者服务(IIA,1947)、为管理当局服务(IIA,1957)、协助组织成员有效履行其职责(IIA,1978)、协助本组织成员有效地履行其职责并以合理的费用促进有效的控制系统(IIA,1990)、到增加组织价值以及改善组织经营(IIA,1999),其中“价值增值(value-added)”目标是 IIA 在1999年修订内部审计定义时首次提出的。随着这一目标的确立,内部审计的职能、业务内容及范围、审计技术与方法也随之突破了传统的范畴,出现了新的变化和发展。
从契约的角度看,企业是一系列契约的结合体(张五常,1983)。受托经济责任关系因契约的确立而存在,并随着企业内、外环境的变化使得契约关系越来越复杂。公司治理就是现代企业制度下企业及其利益相关者之间在契约关系基础上的一种制度安排。在过去的10年,始于上市公司进而扩大到所有企业,希望提高其治理效果的要求越来越高(IIA,2003)。完善公司治理的原因一方面是企业利益相关者希望企业通过提高治理水平来降低风险、降低资本成本来实现价值增值;另一方面来自于法律监管方面的压力,如著名的美国萨班斯法案、英国的公司治理联合法案 (the Combined Code on Corporate Governance)等。很多国内学者探讨了公司治理背景下如何发挥内部审计独特的作用王光远(2003)[1]、宋常(2003)[2]等学者认为,内部审计是现代公司治理的一部分;杨有红(2004)[3]、程新生(2004)[4]认为内部审计、内部控制与公司治理存在互动关系。
COSO委员会2004年颁布了《企业风险管理综合框架》(Enterprise Risk Management-Integrated Framework),该框架指出,风险管理必须与内部控制框架相协调,把控制目标的建立嵌入到某种形式的风险管理当中去。风险管理作为这统一的核心内容有效的整合和公司治理与内部审计。它们之间的关系如下图1所示:(其中,CG:公司治理;IC:内部控制;RM:风险管理;IA:内部审计)
图1 内部审计、风险管理、公司治理关系图
由上图可知,企业风险管理框架是对于内部控制概念的扩展,为审计人员评价战略风险和经营风险提供了良好的框架。在这样的背景下,内部审计部门为了更好地给组织增加价值,风险导向审计是其必然选择。
在制度基础审计阶段,内部控制模型已经成为提高内部审计绩效、管理组织风险的有力工具。经培训的内部审计人员对内部控制系统进行详细的检查,提出改善内部控制的符合成本效益原则的建议。他们的审计计划、审计测试和审计报告全部都围绕内部控制而展开。因此,大多数内部审计人员自然倾向于从被审计单位的内部控制而不是从内部审计目标开始审计业务。
基于内控的审计模式也存在不少问题。首先,对内部控制进行评价而不是对企业的目的及其风险进行测试将无法得出相应的结果;其次,内部审计人员如何知道内部控制系统中哪些最重要呢?哪些与风险不相称呢?还缺少什么呢?正是在这样的背景下,COSO,COCO等认为必须对制度基础审计模式进行改进,同时他们还认为风险导向审计能解决控制基础审计未能解决的一些重要难题。已转而运用风险导向审计的内部审计人员发现他们的审计结果能够更容易被管理层接受,而且他们能集中力量对风险管理中的其他治理要素展开工作。因此,风险导向内部审计更能够“增加组织价值”,是内部审计发展的方向[5]。
近年来的舞弊案件和审计失败,使人们清楚地意识到仅仅从财务会计角度出发来实施内部控制已无法适应现代企业风险管理的需要。因此,从内部控制走向整体风险管理是必然趋势。这种整体风险管理理念与现代风险导向审计的基本精神正不谋而合。现代风险导向审计一个基本精神就是将审计重心前移,审计范围拓宽。
企业风险管理框架对于内部控制概念的扩展,为审计人员评价战略风险和经营风险提供了良好的框架。风险导向内部审计不仅关注企业战略层面的风险管理,而且为企业的全面风险管理提供了条件。本文认为,风险导向内部审计与企业风险管理的结合主要体现在两个层面,一是治理层面,二是具体业务层面。
国际内部审计师协会(IIA,1999)内部审计定义为一种价值创造活动,它的最终目的就是帮助实现组织目标——为股东和其他利益相关者创造价值。而实现这个目标的方式是对组织的风险管理、内部控制、治理过程的有效性进行绩效评估,以便为组织提出好的建议帮助组织实现目标,从而实现价值创造过程。这样,就把内部审计提升到风险管理与公司治理的高度。在这个层次上,风险导向的内部审计有两个方面的工作,一是评价组织的风险管理与公司治理;二是把评价的结果向股东汇报。因此,内部审计工作最终体现为一种价值创造活动。所以,现在内部审计师的主要作用是“保证和建议(咨询)”,而不再是以往的“监督和复核”。[6]
在具体层面下,风险导向内部审计的价值创造过程表现在对具体业务的内部控制有效性的评价工作,并且向企业管理者汇报。在现代企业制度下,内部控制与风险管理的融合日趋紧密。内部控制的好坏不仅反映了企业的经营管理水平,还反映了企业的风险管理水平。企业的业务层面的风险管理主要是短期的、局部的风险管理,主要包括市场营销、财务管理、人力资源、企业文化、生产制造等。
对于内部审计的模式一直是理论讨论的热点问题,具体模式主要包括隶属于经理班子、在董事会或者董事会下设的审计委员会领导下、在CEO和董事会的双重领导下等模式。本文认为,基于风险导向审计的基本要求和“价值创造”过程的保证要求,内部审计部门设在公司审计委员会下是一个最优的选择。安然事件后,学界对审计委员会的重视达到了前所未有的程度,根据2002年《萨班斯-奥克斯利法案》,审计委员会的职能从关注外部审计的独立性拓展到对公司整体财务呈报体系(包括财务、会计、内部审计)的全面治理,并涉及公司经营风险、管理当局对法律法规的遵循情况、道德问题、利益冲突问题及对违法舞弊行为的调查等多个方面。由此可见,在风险管理框架下,要实现真正的风险导向内部审计,审计委员会领导下的内部审计模式应该是必然选择,同时IIA也极力倡导这种模式。基于审计委员会领导下的内部审计模式见图2:
图2 审计委员会领导下的内部审计模式
在上图的模式下,内部审计所施行的风险导向审计方法才能更好的实现“价值增值”。一方面,内部审计部门把治理层次的风险管理有效性的评价结果直接向审计委员会汇报,解决了经理领导下内部审计的尴尬局面。另一方面,内部审计部门把业务经营层面的风险管理有效性评价结果向公司经理层报告,便于经理层开展日常经营工作。
内部控制自我评估(Control self-assessment,CSA)是被用来评价企业关键经营目标、围绕该目标实现的风险和为管理该风险而设计的内部控制等的一套新兴的审计技术方法体系。它是企业监督和评估内部控制系统的主要工具,它将运行和维持内部控制的主要责任赋予企业的管理层,同时使员工和内部审计与管理层一道承担对内部控制评估的责任。
这使以往由内部审计对控制的适当性及有效性进行独立验证发展到全新的阶段,即通过设计、规划和运行内部控制自我评估程序,由企业整体对管理控制和治理负责,这有利于培养整个企业的控制意识,激发企业上下执行控制的热情。同时,CSA又是一个不断学习、自我改进的循环过程,能够实现企业对风险的积极适应和充分利用。通过实施控制自我评估所得到的审计结果由于吸收了大量内控实施人员的知识、经验和想法,获取了丰富的关于控制状况和有效性方面的证据和数据,因此与传统审计方法相比,其审计结果更能真实反映内部控制系统的现状及产生问题的本质原因,所提出的改进建议也更具创新性和可行性,而这正是内部审计的核心价值所在。
风险管理的引入对于内部审计人员的素质提出了更高的要求,因此,提升内部审计人员风险导向的胜任力是实现内部审计“价值增值”目标的基本保证。首先,制订内部审计人员任职资格标准。对内部审计人员实行统一注册考试制度,做到持证上岗,严格准入制度,优化内部审计机构的专业人员配置;其次,重视和加强内审人员知识的培训与更新,促使其在业务水平和技能上满足现代企业对内部审计的要求,加强职业道德教育,提高内部审计人员职业道德水平;最后,内部审计应充分利用计算机技术,推行审计信息化。在企业内部建立一个与企业管理控制系统集成的、高效的审计信息化系统和审计操作平台以实现对企业财务的实时监控。改变定期审计、事后审计为实时审计,提高审计时效和效率,为股东等利益相关者、董事会、监事会、经理及时提供信息。
风险导向审计是一种新型的审计模式,它通过识别和评估影响组织目标实现的各种系统性风险和非系统性风险,对内部控制的设计是否健全,关键控制点和执行是否有效,控制薄弱的环节、治理改进措施的可行性等提出认定[7]。根据IIA《内部审计实务标准》要求,主要流程包括:
1.制定科学的审计计划
企业风险导向审计计划是对内部审计师的一种指引,也是一种便于审计监督的内部约定,其中说明了将要采取的审计步骤,这些审计步骤旨在收集审计证据和帮助内部审计师对被检查业务中存在的风险、效率、经济性和有效性表达意见。按照《内部审计实务标准》要求,内部审计部门的计划应该反映机构的风险战略。
2.审计测试与审计发现
在风险导向内部审计中,审计测试中通过运用抽样、观察、提问、分析、证实、调查与评估等方法获取有关风险的审计证据,并且揭示出它们的内在品质或特征,目的是确认企业主要风险管理目标是否实现,进而为内部审计师形成审计意见提供基础。
审计发现是指,在审计工作中内部审计师要确定哪些情况需要采取纠正行动,那些与规范或可接受的标准之间的偏离。审计发现通常包括特定要素:背景、标准、情况、原因、影响、结论和建议。
3.审计结果与业务通报
审计结果资料是内部审计报告的主要基础。《内部审计实务标准》第2400款指出内部审计师应及时通报业务结果,通报的内容包括业务标准、范围及业务结论、建议和行动计划。内部审计师在审计通报和工作底稿中包括与违法违规行为和其他法律问题有关的审计结果,并就此发表意见时应非常谨慎,在处理这些事项时与有关方面(法律顾问、稽核官员)建立紧密联系。
4.后续审计
风险是决定后续审计本质和范围的重要因素。风险越大,后续审计的范围就可能越广。后续审计应该将注意力集中于最严重的或潜在的问题上,对一般事项的后续审计可仅限于询问和简短的讨论。后续审计应该跟踪到:对于重大的审计发现,相关部门和环节是否予以纠正;若不予纠正,责任和原因到底在那儿。
[1]王光远.消极防弊积极兴利价值增值(一)——20世纪内部审计的回顾与思考:1900~1960 年[J].财会月刊,2003,(3):3-5.
[2]宋 常.完善与发展我国企业内部审计的思索[J].审计研究,2003,(6): 25-30.
[3]杨有红,胡 燕.试论公司治理与内部控制的对接[J].会计研究,2004,(10):14-18.
[4]程新生.公司治理、内部控制、组织结构互动关系研究[J].会计研究,2004,(4):15-19.
[5]黎 瑛.现代企业内部审计的新态势[J].财经科学,2005,(4):59-65.
[6]王光远.现代内部审计十大理念[J].审计研究,2007,(2):24-30.
[7]王晓霞,孙坤,张宜霞.论风险导向的内部审计理论与实务[J].审计研究,2004,(2):86-88.
F239.45
A
1672-0547(2010)05-0047-03
2010-08-23
薛 珊(1980-),女,安徽蚌埠人,安徽财经大学财政学硕士研究生,蚌埠市国家税务局国际税务管理科科员,研究方向:财政学。