中联重科股份有限公司审计部 刘德祥 徐 力
内部审计逐渐由传统的账项和制度审计转变为以风险为导向的内部审计。以风险为导向的审计思想,意味着审计人员应当根据审计项目的风险程度和重要性来规划审计项目执行的先后顺序以及审计资源的配置,这也正是审计计划的重点所在。本文即将以某Z公司为对象,运用风险导向审计的思想来指导企业年度内部审计计划的编制。
内部审计的目标是通过系统评价企业的财务收支和经营活动状况,优化企业内部管理和控制制度,增加企业价值,促进组织目标的实现,因此其所涉及的范围和对象相对于财务审计而言更为广泛,内容也更加全面和深入。
(一)划分方法选择 关于内部审计业务领域的划分,《内部审计标准说明》(SIAS)中提出了十种划分标准,如按业务循环划分,按职能部门划分,按项目划分,按决策中心划分,按地理位置划分,以及按会计系统划分等等[1]。也有学者提出从审计风险的角度来划分审计对象。依据审计风险模型,从审计风险产生的结果出发,由果及因,列出影响企业经营的所有风险,然后逐项实施审计。还有,按照审计的目的和内容将内部审计分为财务审计、经济效益审计、内部控制审计以及专项审计等,或者按内部审计对象划分为财务审计、经营审计和管理审计等。将上述各类审计业务分类方法、内容及利弊归纳分析见表1。
就Z公司而言,公司现已形成了以工程机械、环卫机械等为主的多元产业模块,经营范围遍布国内外,是一个规模非常强大、业务非常广泛的多产品、宽领域的国际化工程机械制造企业。因此,对于Z公司的内部审计领域划分,不能单纯地使用某一种方法。为设计出适合企业整体的审计模型,本文将上述各种分类方法加以综合,各取其优点,补其不足。划分思路如下:
(1)一级分类:借鉴学者对内部审计对象的划分方法,本文将内部审计分为财务审计、经营审计和管理审计,同时补充增加了投融资审计和工程审计等方面的内容。
在一级分类方面,为综合考虑Z公司内部审计工作的思路和执行方式,以及公司的现实需要和项目的重要性,本文对上述财务审计、经营审计和管理审计的概念进行了重新定义,对其所包含的内容也进行了重新整合和划分:财务审计侧重于检验企业财务活动和数据的真实性、完整性和准确性;经营审计主要针对与企业生产经营直接相关的事项;管理审计则主要是对与企业生产不直接相关,为促进和优化企业内部管理而进行的一系列监督评价活动。
(2)二级分类:对于经营审计,本文选择依据企业的生产经营流程进行划分,同时考虑重要性原则,将重大模块单独成项;对于管理审计,难以依照流程,于是选择按职能划分;财务审计、投融资审计等,则直接按业务类型划分。
(3)三级分类:主要选择以业务为导向,以使划分结果能够与企业的审计工作实务相对应,增强业务指导性和操作便宜性。
(二)划分结果 按照上文所述分类方法,将内审业务领域进行逐级划分,结果见表2。
本文对风险要素的选择主要考虑从客户需求和业务风险两个方面进行。
(一)客户需求角度 客户需求主要包括公司的战略管理与发展需求,管理层的重点关注需求以及被审计对象的经营管理需求等。公司的内审工作必须与企业的发展方向和目标保持一致,因此将公司战略发展的重点引入到内审工作中是十分重要和必要的。另外,内部审计是为企业服务的,公司的高层管理者出于对公司业绩和经营某方面关注,也会要求内审人员实施某些特定项目的审计。被审计对象的需求则更不用说。对第一类需求,可以从公司的年度战略规划中识别,如中长期发展目标、战略规划等,第二类需求信息可以根据问卷调查的方式取得,第三类需求较灵活,一般是在企业经营过程中临时产生。
表1 业务领域划分方法
表2 内审业务领域划分
(二)业务风险角度 业务风险的影响因素包括内控制度的有效性、企业运营管理水平、业务本身的性质和影响金额,以及年度工作的重难点领域等。对业务风险的评价,很多学者都已有所研究。谢维佳(2011)在对银行进行风险评价时,认为应当从风险发生的可能性、风险发生后可能造成的损失程度以及损失频率等方面计算和衡量风险的大小,这也是大多数学者所认可和采用的方法。而刘颖斐在对企业的整体风险进行评价时,则考虑了风险评值、权重等因素。南方航空集团公司审计部课题组(2010)、乔林(2011)在研究风险导向审计时进一步引入了内控因素,如内控有效性、内控变化情况、上次审计时间等。任进军(2011)提出从性质和来源角度评价风险,引发了我们对业务性质的关注。在审计计划制定方面,甄士龙(2011)总结借鉴了前人的方法,还进一步将年度工作的重、难、热点以及管理层关注的项目等也作为企业内部审计工作的重点之一。
从业务经验来看,在具体审计工作中,审计人员对业务风险的评估和判断,很大程度上还依赖于对某些重要运营指标的测试和评价,这也是业务风险评价中非常重要的考察因素之一。
(三)综合结果 通过归纳、整理各种不同观点,同时考虑业务经验以及客户需求,本文最终形成了以内部控制、运营管理、业务重点和风险评估为主的风险评价要素体系。其中内部控制包括内控制度完整性、最近一次内控测试结果、内控稳定性以及抽样测试结果等。运营管理指标针对具体业务而定,不同审计业务,运营指标也各不相同。业务重点主要从战略规划重点、管理层需求、业务性质以及业务金额变动等方面评定。风险评估则主要从包括累计审计次数、上次审计时间、上次审计结果以及经验估计等因素。
在风险评估的评价与度量方面,本文借鉴Z公司内部控制培训中风险评估的方法,并结合具体工作需要,针对每一项风险要素确定了如下风险评级及对应的风险赋值,详见表3:
表3 风险要素及评价
说明:风险赋值范围为1-10分,本文对风险评语的赋值主要采用均等分的思想,将赋值范围(0-10)按评语级数(一般为5)均等分配,然后各取其中间值,得到每一评语的赋值,当级数为3时,每一级次的赋值范围较大,此时采用范围赋值的方法(按3、4、3的比例划分),具体评分时再根据实际情况在范围中确定
关于定性评价结果的综合分析与排序方法,理论上有层次分析法、模糊评价法等。其中层次分析法多用于对多个定性评价要素权重的确定和分配,通过对各风险要素的两两比较,构造两两比较判断矩阵,然后运用一定的计算方法,得到各风险要素在所有要素中的重要性排序及权重值。本文将首先运用层次分析法确定各风险要素的权重值,然后根据各要素的风险评值,综合加权得出上一级要素的风险值,以此类推,最终得出针对项目的综合风险评值。
(一)构造两两比较矩阵 构造两两比较矩阵需要邀请审计专家运用其丰富的审计知识和经验,来对各个模块、各个层次的风险要素重要性进行两两评价,常用的依据是“1-9标度尺”,详见表4:
表4 “1-9 标度尺”
首先,将审计业务风险的一级要素权重矩阵定义为A=(a1,a2,a3,a4),其中a1,a2,a3,a4分别代表内部控制、运营管理、业务重点以及风险评估等四个要素的权重值,同理,将风险的二级要其中bij为第i个一级要素下第j个二级要素的权重值。由于运营管理指标随具体业务不同而不同,本文将根据算术平均法确定。
根据“1-9标度尺”对一级要素进行两两比较:(如表5所示)
表5 一级风险要素的两两比较
整理可得如下关系矩阵:(如表6所示)
表6 一级要素关系矩阵
(二)关系矩阵正规化
(三)权重计算
采用求和法,确定各要素的权重:
(四)一致性检验
对上述关系矩阵进行一致性检验
同理,λ2=4.400,λ3=4.152,λ4=3.955
根据RI值表(如表7所示):
表7 RI 值表
当n=4时,RI=0.9,CR=CI/RI=0.06<0.10,因此上述关系矩阵具有满意的一致性,要素权重矩阵A=(0.075,0.630,0.224,0.071)
同理,得到二级要素矩阵如下:(B2根据算术平均法确定)
B1=(0.417,0.083,0.083,0.417)
B3=(0.250,0.250,0.250,0.250)
B4=(0.052,0.182,0.202,0.564)
针对已细分的审计业务领域,逐项对每一项业务的每一种风险要素,按既定的标准进行评价和赋值,然后将各级要素的风险评分与对应的权重值进行加权平均计算,得出每一项审计业务的综合风险值,最后以此作为审计工作重点确定的依据。
综上所述,本文通过理论与实践相结合以及层次分析的方法,从业务领域划分和风险要素评价两个方面,完成了对Z公司内部审计计划模型的构建,并为模型的运用提供了思路,旨在合理规划内审工作,科学制定审计计划,促进审计资源的充分利用,提高审计效益。
[1] 刘颖斐:《风险排序法:确定内审对象的程序性方法》,《中国内部审计》2002年第10期。
[2] 谢维佳:《风险导向审计模式在商业银行内部审计中的运用》,《金融经济》2011年第7期。
[3] 南方航空集团公司审计部课题组:《南航集团风险导向审计》,《全国内部审计理论研讨优秀论文集》2010年版。