孙文刚,孙赛军
(山东财经大学会计学院,山东济南 250014)
风险管理视角下内部审计的作用及实现路径研究
孙文刚,孙赛军
(山东财经大学会计学院,山东济南 250014)
摘 要:在风险管理与内部审计发展的历程中,风险管理推动了内部审计的演进,内部审计促进了风险管理的不断完善,二者在互相推动中耦合在一起。因此内部审计应当从协调、确认、咨询和推广四个方面来促进风险管理在我国企业的发展应用,具体应通过评价组织风险管理结构、执行风险导向审计、实施后续审计、开展增值服务等路径,并从政府、协会、企业三个方面改善提升内部审计的作用,实现改善组织运营、增加组织价值的目标。
关键词:内部审计;风险管理;作用;实现路径
当前,随着经济增速减缓、调结构、转变增长方式以及市场竞争加剧,风险管理日益成为企业生存发展的核心课题之一。在此背景下,风险导向内部审计抑或风险管理审计是否足以满足董事会和管理层监督、评价和改进企业风险管理过程的信息需求,成为内部审计理论研究的前沿问题。本文基于风险管理视角,进一步探究内部审计在企业管理中的角色定位及其在我国企业中的实现路径,并提出相应政策建议。
一般认为,国际内部审计师协会(IIA)1999年6月修订的内部审计定义是内部审计介入风险管理理论研究的权威性标志[1 -3],即内部审计应当评价并改善风险管理、内部控制和治理过程的效果[4]。自此,国际内部审计师协会有关内部审计的思想和理念有了跨越式发展。同时,内部审计步入转型发展阶段,其职能逐渐由监督转向增值服务,工作重点也由以财务、效益为主的财务合规性审计向以内部控制、风险管理和治理为核心的管理审计转移[5]。内部审计与风险管理先天的一致性,促使两者在企业的运营中互相推动、共同发展,为企业创造价值。
1.1 内部审计与风险管理在实务中的协调发展
纵观内部审计与风险管理的实务发展历程,我们可以清晰地看到,二者在互相融合中共同发展。当企业面临的主要风险为会计信息失真、会计差错和舞弊风险时,内部审计的主要职责是财务审计,以期合理保证企业会计信息的真实准确、防止差错和舞弊;当企业面临衡量管理水平和企业效益的困境时,内部审计的主要职责是管理效益审计,以期提高管理水平、加强效益管理;当企业面临内部控制和风险管理是否有效的问题时,内部审计承担起评价内部控制和风险管理的过程和效果的职责[6]。目前企业面临的内外部风险越来越大,风险管理策略不当造成的损失和影响甚至能够决定企业的生存与发展,全面风险管理演变为企业管理的主旋律。因此,风险管理过程中企业需要集风险管理、内部控制、治理等各项专业技能为一体的综合性人才给予一定的指引和协助,内部审计职业特征满足这些需求,同时也堪此重任。
1.2 风险管理推动内部审计的演进
近年,逐渐向企业内部管理扩张的外部审计业务已经与内部审计活动产生交叉。考虑到外部审计专家特长和低成本的优势,企业似乎更趋于将内部审计实施外包。事实上,20世纪90年代内部审计职业“外包化”在西方已经成为一种普遍现象。与此同时处于劣势的内部审计被弃如敝屣[7 -8]。为此,内部审计必须重新定位其在企业舞台中的角色,探索独特的职业生存发展之道。当前企业对风险管理的重视程度空前高涨,内部审计绝处逢生。高级管理层需要复合型风险管理人才协助其评价并完善企业的风险管理流程。董事会则需要一个独立、权威的部门帮助其监督管理层的风险管理活动,实现组织目标。新形势下的内部审计应运而生。他们熟练掌握内部审计的标准、程序、技术及所必需的理论基础,精通先进的风险评估工具,对会计、管理、经济、法律等知识有广泛的理解。相比而言,独立性强、忠诚度高、对企业业务运作和风险管控了如指掌的内部审计比外部审计更适合介入企业的风险管理流程中担任这样的“双重”职责。
1.3 内部审计促进风险管理不断完善
不断加深的经济全球化和国际化,跨步到来的知识经济时代都加大了企业的经营风险,风险管理成为企业管理层关注的焦点。内部审计利用专业优势能够客观地评估企业风险管理的设计是否充分性、执行是否有效性,针对控制薄弱环节和改进措施提供可行的行动建议,评价风险管理与控制对实现组织目标的影响,对风险管理形成持续地监督、检查、评价、报告和修正过程。此外,内部审计部门大多呈现业务向治理层报告,行政上向管理层报告的模式。如此,内部审计的独立性便可使其不受管理层的干预而实现对企业风险管理的全局把握,并从治理层上实现对风险管理过程的完善。传统内部审计被形象地比喻为企业经营管理的“警察”,而风险管理视角下的内部审计使其成为受尊敬的业务顾问,有助于提升内部审计与被审计单位之间建立友好、和谐的氛围,从而进一步实现审计价值,提高风险管理效益,更好地实现企业目标。
不同环境下内部审计的角色相差很大,其角色定位也并非一成不变,而是随着企业风险管理的推进而变动不居。在充分考虑内部审计职业特性的基础上,我们认为,内部审计在风险管理中可以担任协调者、仲裁员、咨询师和宣传员四个角色以充分发挥其在风险管理过程中的作用。
2.1 协调者
在风险管理建设初期,内部审计应主动担任协调者的角色,加快企业全面风险管理完善的步伐。具体而言,内部审计可以协助企业制定通用的风险语言,营造良好的控制环境,制定恰当的风险管理策略。在全面评价各部门风险管理实践的基础上,发表专业意见,协助设计和实施企业内部控制和风险管理方案。特别指出的是,内部审计执行协调角色职能时,必须明确内部审计不承担任何管理职责,风险管理最终责任由企业管理层承担,其协调风险管理的业务计划应报经董事会、审计委员会批准,并应明确规定工作目标及责任转移时点,此外,内部审计应向董事会、审计委员会声明:由于协调业务损害其独立性,故内部审计无法对此相关事项提供合理保证。
2.2 仲裁员
在建立风险管理后,内部审计更多承担仲裁员的角色。内部审计的灵魂是独立性。它使内部审计独立于企业的管理活动,并兼备客观性。此外,内部审计处于企业内部比外部审计更加了解企业。因此,内部审计有能力承担起企业内部相对独立的第三方职责,为企业提供确认业务。需要强调的是,虽然外部审计亦能够从事企业管理审计,对企业的风险管理提供鉴证业务。但在风险管理中,内部审计强调的是“评价”而非“鉴证”职能,其重点着眼于评价风险管理过程[9]。通常,内部审计对以下三方面提供确认:第一,评价设计和运行的风险管理过程的效果;第二,评价企业对关键风险的控制效果及应对措施;第三,评价风险评估过程和结果的可靠性、充分性和适当性以及风险和控制状态的报告。
2.3 咨询师
当企业尚未构建风险管理体系时,内部审计应当提请管理层注意其在审计过程中识别的关键风险,并提出建设风险管理流程的具体行动计划。咨询活动使内部审计以企业业务顾问的角色改善企业的基础过程,丰富了内部审计的业务活动,增强了其工作的灵活性和针对性,弥补了传统确认业务的不足。现代内部审计之父劳伦斯·索耶在《管理导向审计理论》指出:“内部审计师是内部咨询师……要为改善业务活动提供指南……是鞭策人们励精图治的改革者;他不仅关心该做的事是否做了,而且关心事情是否做得恰当”[10]。在企业实施风险管理过程中,内部审计应利用自身风险管理和内部控制方面的专业技能,以全新的视角核查企业的业务环节和流程,协助管理层找到风险管理的最佳实务。同时,作为优良实务的传播者,内部审计能够客观解释并倡导新公布的准则、指南和标准,为推动优良行为、纠正偏差等活动提出建设性意见。具体而言,内部审计可以通过审计需求、建议、指引以及开发工作小组等多种形式介入整个风险管理循环,开展咨询业务,以完善企业风险管理过程。
2.4 宣传员
在风险管理建设的整个过程中,内部审计都应积极担任风险管理的宣传员。知识经济时代使企业的未来越来越倚仗人力资本的数量和质量。企业员工的胜任能力和专业素质将会直接影响风险管理的效率和作用。因此,内部审计部门应当积极担任宣传员角色,在企业内部推广风险管理知识和相关技能。具体而言,内部审计可以举办反舞弊讲座、道德教育、内部控制培训等方式将风险意识贯穿企业各个层级,使企业每名员工具备识别风险并能够自主应对的技能,实现企业风险的全员管理,开创“人人成为风险管理者”的风险管理格局。
综上所述,伴随内部审计介入企业风险管理,内部审计工作方式做出相应转变,由传统监督、评价转变为对影响组织目标实现的潜在风险事项进行事前、事中和事后甚至覆盖整个企业的管理方式。内部审计成为一项全局性的内部管理活动。这一转变使内部审计从应管理层要求在限定范围内被动提供鉴证业务的方式,转为基于战略和风险评估主动提供确认业务和咨询业务的服务行为,充分发挥了内部审计的能动性[11]。需要强调的是,风险管理过程中内部审计不得逾越规定的确认和咨询的工作范围,防止损害独立性,进而影响审计结果的可信性,即内部审计在风险管理过程中的职责有别于“风险所有者”。
在厘清多元团队协作的风险管理框架下内部审计的角色后,内部审计部门和人员可以从以下七个方面开展业务,全方位履行服务于企业风险管理的职责。
3.1 评价企业风险管理组织结构的合理性
国际内部审计师协会(IIA)2013年1月发布《有效风险管理与控制的三道防线》的立场公告。该公告明确提出为有效进行风险管理和控制企业应当建立三道防线(见图1)[12]。
如图1所示,立场公告阐述的原则可以用于指导内部审计对各类风险管理的参与,三道防线实质囊括了企业的三层职能范围,即管理及承担风险的业务运营层、对风险管理承担主要责任的执行管理层以及具有监督、检查、评价、报告和修正作用的内部审计部门。依据企业风险管理框架(COSO -ERM)我们可以得出:基于有效协调多方关系的前提下,外部审计、政府及其他监管机构可视为实现企业风险管理目标的外部防线,为利益相关者提供合理保证[13 -15]。
基于此,内部审计首先需要确定企业是否存在一个为实现风险管理目标的组织机构,并向董事会、审计委员会、高级管理层明确内部审计在此结构中担任的角色。倘若内部审计担任管理角色,则需向董事会、审计委员会和高级管理层报告声明担任该管理职能对其独立性和客观性的影响,并向其明确应尽量避免让内部审计承担该项职责。其次,内部审计应检查企业当前的风险管理组织结构,评价其充分性、适当性和有效性。对于存在的缺陷和不足提出针对性改进措施,充分发挥内部审计的咨询职能,使风险管理组织结构更具有合理性。
图1 有效风险管理和控制中的三道防线
3.2 确定风险审计对象
(1)评价企业风险管理目标的合理性。企业风险管理的目的是运用最少的资源去尽可能化解最大的风险,进而为实现企业目标提供合理保证。如此,内部审计应当结合企业面临的各种潜在风险对管理层确定管理目标及风险容忍度的合理性进行评价,以使企业在应对这些可能存在的风险时有充分的准备。
(2)确认企业风险识别的完整性。企业能否完整鉴别企业的风险事件是能否充分、有效执行风险管理过程的重要基石。一般而言,我们可从风险识别是否全面和风险等级归类是否合理两个维度进行衡量。在充分熟悉和了解企业战略目标和经营业务的基础上,内部审计应当具体问题具体分析,全面评估不同项目相关风险的识别情况,提出针对性行动方案,并依据相关资料对当前风险管理流程的有效性进行分析、评价。在此过程中,内部审计可以采用流程图、鱼骨图、调查表等一些具体技术和方法来研究各种潜在风险。
(3)保证企业风险评估的准确性。内部审计应当合理保证企业全面风险评估的准确性。管理层需要对识别出的风险事件进行风险评估,获得风险排序。内部审计应当确认风险管理部门的风险评估,以保证企业评估结果的准确性。风险评估全面、系统地明确了企业面临的主要风险,并将企业可接受风险和需要进行管理的风险进行了区分,为风险管理中的内部审计的进一步活动指明了方向。
3.3 制定并执行风险导向型的内部审计计划
内部审计部门在制订具体审计业务计划时应当采用风险导向审计模式,利用管理层风险评估、内部控制自我评价的报告结果及现代风险识别技术、风险综合评价技术获取企业风险排序并确定审计目标,把握与组织目标匹配的业务重点,获得高级管理层和董事会的批准。通过与企业风险评估一致、运用企业风险评估信息、关注风险和风险矩阵四个方面进一步完善组织风险管理。内部审计师应当获取充分、适当的审计证据,评价企业风险管理的主要目标是否实现,以此形成有关风险管理过程是否充分、有效的审计意见。在计划阶段,确定审计目标之后,内部审计师需要考虑运用自上而下、以风险为导向的方法确认内部审计业务评价的关键风险和控制环节,为确定企业内部审计业务范围奠定基础。
3.4 评价并改善风险应对措施
内部审计师应当通过审前调查掌握企业经营发展及风险管理战略目标,在审计风险可以控制在内部审计可接受范围内,对关键风险的控制效果和应对措施提供确认业务。内部审计部门可以采用检查、访谈、再执行、分析性复核、德尔斐法等检查技术和方法,使用风险成熟度模型、IIA风险有效管控三道防线模型、因果关系鱼刺图等技术工具,对风险管理策略及应对措施实施符合性测试、检查相关风险是否设置对应的业务流程予以管控,同时实施跟单测试和关键控制测试并根据审计发现的问题形成审计工作底稿,完成审计信息管理系统的录入。
3.5 跟踪风险控制活动
风险控制活动属于企业风险管理具体的控制措施,是全面风险管理八要素之一。经营环境的变化预示着企业需要面对的风险也在不断地变化,因此企业应当定期检查和评估企业的风险控制活动,保证风险对策的实时性,降低风险与风险应对错配给企业带来的损失。作为经验丰富、前瞻性强的专业内部审计团队,应极力发挥自身咨询作用,协助企业及时确定应对新风险的科学方法。
3.6 保证风险信息的及时传递
风险管理信息在企业中高效地传递和沟通是风险管理有效实施的前提。内部审计应当确保与风险相关的信息能够全面、及时、准确地传递给高级管理层及治理层,并能够与其就风险的相关信息展开交流、沟通,以保证企业各有关部门可以高效地履行风险管理职责。具体而言,内部审计可以建议企业构建一个风险管理信息共享平台,用以传递企业内部、外部与风险管理相关的信息,使各层级相关人员能够更好地了解企业的风险信息,从而降低控制风险所需要的成本。
3.7 开展咨询业务
内部审计针对企业风险管理开展咨询业务的深入程度取决于企业风险管理的成熟度、董事会所能够获得的内外部资源,并可能随着时间的推移发生改变。在企业尚未建立风险管理过程时,内部审计有能力、有义务作为企业风险管理的倡导者、推动者、协调者,以引入、推广企业风险管理的概念。而随着企业风险管理成熟度的加深,内部审计可能通过提供确认业务来增加组织价值,而非过多得开展咨询业务。内部审计可以承担的咨询作用包括:内部控制培训、业务流程检查、标杆比较、信息技术和系统开发以及绩效测评系统的设计等。当前企业广泛应用的形式是培训。培训之前,内部审计人员应充分征求治理层、管理层和员工对课程设置、师资配备方面的意见,使内部审计的培训做到量体裁衣。同时,内部审计部门和人员应尽力搭建宽广的交流平台,让企业各层人员能充分地与内部审计人员交流沟通,使企业每个成员都可以掌握先进的风险管理知识、技能和实务操作,充分发挥内部审计最优实务传播者的角色。
伴随着我国企业内部控制和风险管理理论与实务的推进,以及内部审计逐步由内部财务审计向管理审计及战略审计的转型发展,风险管理与内部审计的关系日益密切。一方面,风险管理审计是完善企业风险管理框架必不可少的组成部分;另一方面,企业风险管理系统为内部审计的发展指明了方向与目标。因此,加强内部审计与风险管理的协调是我国目前内部审计及风险管理工作的重点与关键,我国内部审计面临着难得的发展机遇。
当前,内部审计亟须加速转型,在企业管理中发挥更大的作用。这一方面需要审计署和中国内部审计协会加强引导,还要求内部审计人员应当自觉不断强化风险管理知识的培训和学习。同时,作为内部审计主体的企业应该加强对内部审计工作的重视和利用,充分发挥内部审计在风险管理中的作用和价值。他山之石,可以攻玉。结合当前国际内部审计的发展趋势和愿景,在我国内部审计与风险管理发展现状分析的基础上,我们可以从政府、协会、企业三个层面采取措施以促进内部审计的转型发展,具体从政府、协会、企业三个层面的政策建议如下。最后,还应明确,我国的内部审计与风险管理都处于发展初期,对二者之间的理论协调与实务协调的研究都将任重而道远。
4.1 政府层面
首先,审计署等各级审计机关应大力倡导企业设立内部审计部门,加强理论与实务研究,明确内部审计部门在企业风险管理框架中的地位、职责、功能。同时,强化对辖属范围内内部审计部门的设立、运行及转型发展情况的监督和指导。其次,审计署牵头、联合中国内部审计协会及各大高校开展内部审计领军(后备)人才培养工程,使其成为国内内部审计发展的探路者和引领者。与此同时,展开相应学历教育。当前国内许多高校虽已设立审计学专业,但大多数专业知识体系单一,仅重视会计、注册会计师审计知识的学习,而轻视对风险管理、法律知识、信息技术等知识的教学。由此可遴选几所重点院校设立内部审计专业硕士,提高学历水平,跳出单一的培养模式,强化学科知识的交叉汲取。再者,倡导内部审计理论研究。审计署及中国审计学会可通过设立内部审计与风险管理协调、整合的相关课题,掀起理论研究的热潮。
4.2 协会层面
首先,中国内部审计协会应进一步强化与风险管理相关的《内部审计基本准则》、《内部审计人员职业道德规范》和内部审计具体准则、实务指南的制定和发布,使内部审计各项业务的政策、制度和程序到位,促进我国内部审计职业的科学发展。其次,开展持续的内部审计人员后续教育。中国内部审计协会已正式获得IIA2016年认证职业后续教育培训机构称号,内部审计主管领导应积极倡导、组织内部审计人员参加协会举办的各项风险管理培训、研讨会和座谈会,并鼓励其进修和学术研究。最后,优化内部审计人员资质结构。目前,国际注册内部审计师(CIA)考试、国际注册内部控制自我评估专业资格(CCSA)考试以及注册信息系统审计师(CISA)考试已经引入,这些资格证书考核点涵盖内部审计、信息技术、内部控制、风险管理、公司治理等综合知识,企业人资部可以通过组织并承担专业培训费用、定岗评级指标加分等方式鼓励内部审计人员参加此类考试,以提高自身专业水平和职业素养。
4.3 企业层面
首先,董事会、管理层应深化管理层对风险管理和内部审计认知的程度,建立完善、合理的内部审计制度,提升内部审计的独立性和权威性。其次,企业员工以及从事内部审计工作的人员应加强对内部审计在监督、服务企业风险管理方面重要性的认同,使配合内部审计工作开展的资源到位,不断拓宽其工作领域,切实发挥内部审计“确认和咨询”的职能。最后,企业管理层应当重视内部审计结果,建立健全、合理的审计问责制度,彻查审计发现中出现的问题,及时解决企业中存在的风险隐患。其他未审计部门应该吸取经验教训,自省自查,举一反三,充分调动内部审计与风险管理的协调、整合功效,起到“鲶鱼效应”。
参考文献:
[1]GRAMLING A A,MALETTA K J,SCHNEIDER A,et al.The Role of the Internal Audit Function in Corporate Governance:A Synthesis of the Extant Internal Auditing Literature and Directions for Future Research[J].Journal of Accounting Literature,2004,23(1):194 -244.
[2]BAILEY A D,AUDREY A Jr.内部审计思想[M].王光远,等,译.北京:中国时代经济出版社,2006.
[3]PRAWITT D F,SMITH J L,WOOD D A.Internal Audit Quality and Earnings Management[J].The Accounting Review,2009,84 (4):1255 -1280.
[4]国际内部审计师协会.国际内部审计专业实务框架[S].中国内部审计协会,译.北京:中国财政经济出版社,2013.
[5]张丽英,杨俊峰.我国内部审计模式导向转变及路径分析[J].河北经贸大学学报,2015,36(2):103 -107.
[6]张先治,孙文刚.论内部审计与管理控制的协调[J].审计研究,2003(3):50 -54.
[7]冯钧科.内部审计发展:边缘化还是回归?[J].审计研究,2013(2):52 -57.
[8]王兵,刘力云,张立民.中国内部审计近30年发展:历程回顾与启示[J].会计研究,2013(10):83 -88,97.
[9]罗艳梅.企业治理与风险管理角色冲突中的内部审计研究[J].审计与经济研究,2013(3):35 -42.
[10]劳伦斯·索耶.现代内部审计实务(上)[M].汤云为,等,译.北京:中国商业出版社,1990.
[11]王兵.中国内部审计需求调查与发展方略[J].会计研究,2015(2):73 -78,94.
[12]陈锦烽.IIA立场公告:有效风险管理与控制的三道防线简介[J].中国内部审计,2013(8):44 -45.
[13]刘世谨,张继勋.内部审计与风险管理[J].审计与经济研究,2001,16(6):10 -12.
[14]靳建堂.风险管理审计初探[J].中国内部审计,2006(12):37 -38.
(责任编辑 刘小平)
[15]COSO.Enterprise Risk Management - integrated Framework:Executive Summary[EB/ R].[2006 -9].http:/ / www.docin.con/ p -12408125.html.
Roles and Realization Routes of Internal Audit from Perspective of Risk Management
SUN Wengang,SUN Saijun
(School of Accounting,Shandong University of Finance and Economics,Jinan 250014,China)
Abstract:In their development process,risk management has promoted the evolution of internal audit while internal audit has helped to improve risk management,and as a result they are coupled together.Based on such a correlationship,this paper points out that internal audit should promote the application and development of risk management in China enterprises in terms of coordination,confirmation,consultation and popularization.Concretely speaking,the goals of impoving organization operation and increasing organization values should be realized through such routes as evaluating the organizational risk management structure,implementing risk - oriented audit,carrying out successive audit and developing value - added services.
Keywords:internal audit;risk management;role;realization route
作者简介:孙文刚,男,辽宁沈阳人,管理学博士,山东财经大学会计学院副教授,研究方向:审计、财务管理;孙赛军,女,河北邢台人,山东财经大学会计学院硕士研究生,研究方向:审计、财务管理,Email:saijunhappy99@163.com。
基金项目:国家社会科学基金项目“我国内部审计人员职业资格认证管理体系构建研究”(15BJY013)。
中图分类号:F239.45
文献标识码:A
文章编号:2095 -929X(2016)02 -0065 -07
修回日期:2016 -01 -16