王冬梅 杨芳
【摘 要】 文章从目前审计管理与实践过程的难点出发,应用霍尔三维结构模型系统工程分析方法,构建现代企业协同审计模式,将风险管理、内部控制和内部审计三者有效联动,分析三者之间相互协同的多种应用方法,并通过对采购管理业务的实践,发挥风险管理、内部控制和内部审计的协同作用,提升审计认识问题的高度和深度,提高审计质量和效果。
【关键词】 霍尔三维结构; 三维一体; 协同审计模式; 采购管理实践
【中图分类号】 F239.1 【文献标识码】 A 【文章编号】 1004-5937(2017)01-0114-02
一、引言
近年来在外部审计环境变化、内部发展对审计需求提高的牵动下,企业内部审计围绕着如何充分发挥作用、体现审计价值、创造良好的审计机制等方面在不断研究和探索。内部审计以“为企业增值”为目标,发挥着服务的职能,而风险管理和内部控制也同样是以“为企业增值”为目标,发挥着为企业防范内外风险的职能,三者的作用目标相同,如何将三者联动起来形成合力并在企业管理过程中发挥协同效应,是当前企业内部审计实践研究的课题。企业发展、管理的升级,不断赋予内部审计新的目标和任务,审计的领域有了很大的扩展,审计的职能在逐步趋于多元化。内部审计模式在实践中经过不断改进、规范、完善、优化,逐步形成自己的管理模式。归纳起来,现代企业内部审计从建立以风险为导向的内部审计模式到开展内部控制、风险管理审计,再到探索风险、内控、审计的大协同,将三者融合开展内部审计项目[1]。通过审计模式的探索与实践,提高审计质量,提升审计发现问题的高度和深度,为维护企业健康运行、制度有效执行和防范风险提供增值服务,使内部审计的价值和作用得以充分体现。
风险管理是面对未来的不确定性,内控审核主要针对的是企业正在开展的业务活动过程,内部审计主要是针对已形成的结果进行评价。那么如何实现过程与结果、未来与过去和現在的动态判断?如何实现风险、内控和内审三者的联动?如何发挥风险、内控和内审三者的协同效应?基于上述疑问,以霍尔三维结构模型为分析方法,结合风险管理、内控审核以及审计实践过程中的特点,构建风险、内控和审计的三维框架结构,提出三维一体的内部审计工作“三协同”机制,并通过实践应用研究基于霍尔三维结构的风险、内控和审计三者的协同效应。
二、基于霍尔三维结构协同审计模式建立与研究
(一)霍尔三维结构的协同审计模式建立思路与构架
依据霍尔三维结构理论方法,其时间、逻辑和方法三个维度形成“四元主体模型”[2],在此将协同审计模式的三个维度定义为:现代内部审计强调全过程管理,是一个程序性工作,将它定义为时间维,包括审计计划阶段、审计实施阶段、审计报告阶段和后续审计阶段;风险管理是对未来不确定性的分析,需要大量数据分析、历史经验判断以及对未来情形的研判,将它定义为逻辑维,包括目标设定、风险辨识与评价、风险应对、风险监控与改进;内部控制针对的是企业开展的业务活动,涉及多个业务领域,引入多种方法的综合应用,将它定义为方法维,涵盖财政部发布的《企业内部控制应用指引》中的18项内容及行业的内部控制应用指引等。因此霍尔三维结构的协同审计模式三个维度分别为风险维、内控维和审计维,如图1所示。
(二)霍尔三维结构的协同审计模式研究
以霍尔三维结构模型为研究方法,结合实施风险管理、内部审计和内部控制过程中的特点,研究基于霍尔三维结构的风险管理、审计和内控三者关系之间的应用。
1.风险维+审计维,形成以风险为导向的内部审计
(1)风险作为审计的切入点
审计准备阶段通过收集风险信息和风险评估结果,了解企业面临的风险和重大风险管理现状,包括风险应对措施及措施是否充分有效等内容,这为内部审计调查明确了重点和方向,也是审计实施阶段关注的重要内容[3]。
(2)审计提升风险管理水平
一方面审计实施中发现业务问题,通过深入流程分析论证原因,揭示深层次的潜在风险,进行风险预警,促进风险管理工作提升;另一方面,审计作为风险管理的第三道防线,通过实施审计,对风险管理工作效率、质量实施检查评价,促进管理提升。
2.内控维+审计维,形成以内控为方法论的过程审计
内部审计过程引入内部控制理念,使内部审计和内部控制工作互相交融、互为借鉴、相互印证,内部审计参考内部控制评价结果,纠正被审计单位执行偏差,督促内部控制缺陷整改;内部控制评价借鉴内部审计结果,关注审计发现的重点区域的内控状况,提高管控效果。内部审计与内部控制工作的紧密结合,使内部控制丰富审计依据、充实审计内容、完善审计手段、提高发现审计问题的层次,能有力推动企业内部审计转型[4]。
3.风险维+内控维,形成以风险为导向的内部控制
围绕企业战略目标、效率目标、合规目标、报告目标和资产安全目标等,梳理和识别企业面临的需重点关注的风险,针对重点关注风险,依据发布的《企业内部控制应用指引》对业务活动内部控制状况进行全面诊断,查找内部控制要素和关键控制点,分析内部控制措施设计、执行上的不足和缺陷点,针对内部控制缺陷,提出管理建议,及时整改,以规范企业内部控制管理,降低企业面临的风险[5]。
三、基于霍尔三维结构的协同审计模式应用与实践
(一)三维一体协同审计模式的应用
三维一体协同审计模式是指审计人员评估并根据已确定的主要风险,运用系统的、规范的方法,通过测试内部控制的有效性,审查和评价企业业务活动的适当性和有效性,发挥内部审计、内部控制和风险管理三维一体的协同作用,以实现促进企业完善治理、降低风险和增加价值的目标。
审前阶段,风险作为导向,内控作为内容,为审计确定重点和方向;审中阶段,内控作为方法,审计作为手段,保证风险应对措施有效执行;审后阶段,审计作为结果,风险作为预警,关注内控缺陷整改。风险、内控和审计三者的有效结合,实现了过程与结果、未来与过去和现在的动态判断,达到了全过程审计的风险、内控和审计有效联动。
1.了解管控状况,确定审计重点
审计计划阶段,借助每年被审计单位风险管理中已梳理出的风险事项,了解被审计单位存在的风险事项和内部控制管理概况,确定人员需求、时间安排,配置审计资源,并对审计项目进行系统思考和统筹安排,梳理工作环节,确定实施思路,制定审计方案,明确具体工作目标、人员分工、审计重点、时间节点和审计要求等。
2.多角度论证,实施审计活动
多角度论证就是要从多个角度,应用多种方法,审计人员联合开展审计,从而达到相互印证,相互补充,对问题进行全面分析、准确定性。在审计实施中,特别是管理审计实施中,借助内部控制的思路和方法,以颁布的《企业内部控制应用指引》18项内容作为标准,诊断企业管理问题,同时结合风险管理管控情况,综合各方信息,全面、准确认识问题。
3.借助审计报告,进行风险预警
审计报告阶段参考内部控制评价结果及风险监控情况,纠正审计问题定位偏差,降低审计风险。同时,通过内部审计发现企业管理的薄弱环节,预警可能出现的风险,作为风险管理环节重点关注内容,为企业降低风险。
4.动态过程跟踪,督促问题整改
后续审计阶段一方面通过建立审计问题数据库,将发现的审计问题拉条挂账,促进审计成果应用与转化;另一方面,动态跟踪整改情况,并将整改落实情况作为风险管理关注的重点和内部控制缺陷整改的一个环节。
(二)三维一体协同审计模式实践案例
本文选取采购业务部分管理链条作为实践案例。通过上述思维方法,发挥内部审计、内部控制和风险管理三维一体的协同作用。
1.以采购风险为导向,确定采购业务审计重点
审计计划阶段,借助每年风险管理中已梳理出的风险事项以及目前企业面临的需重点关注的风险,采购管理风险列为企业优先管理的风险之一,结合采购业务管理现状和关键业务流程的分析,确定审计重点。针对价值小、频率高的采购物资,将采购申请提出、比价资料完整性等作为审查重点。
2.借助ERP系统审计,审查采购管理控制状况
现代物资采购业务流程基本通过ERP系统实现,因此采购管理风险与ERP系统本身的安全性和可靠性关系紧密。借助审计手段,结合内部控制方法,针对价值小、频率高的采购物资提出的采购申请权限和要求,在查阅请购单及审批流程等基础上,对采购业务管理审计时增加了对ERP信息系统的审计,围绕系统账号安全和权限设置以及信息安全等方面展开,目的在于通过信息系统审计,确定管理控制缺失和采购业务控制薄弱环节。
同时通过对信息系统的审计,发现管理系统存在的薄弱环节,对后期信息系统的改进和维护提供了方向,也降低了信息系统风险。
3.完善采购管理内控,提高风险管控水平
第一,通过对采购管理业务的审计,审计部门需要与采购部门、仓储部门、财务部门和信息管理部门等进行沟通,对企业内部控制管理状况有了更深入的了解,为最终审计问题定位有了全面掌握,降低了审计风险。
第二,通过对采购管理业务的审计,在采购业务管理过程发现的职责分工不明确、未定期盘点物资以及临时性物资采购存在控制缺陷等管理不足,通過审计建议的方式,得到被审计单位的重视,督促完善物资采购管理制度,规范物资采购业务活动,降低采购管理风险。
第三,通过审计问题整改和持续跟进,规范采购管理,降低采购风险,实现审计成果转化和应用的最大效能。
四、结论
内部审计本身需要审计部门、审计人员、被审计单位、审计平台等各个组成部分共同协作,也需要与风险管理和内部控制协同运作,从而发挥审计系统的整体功能,共享审计信息与资源,达到高效率、低成本、风险可控的审计效果和实现审计价值。将风险管理、内部控制和内部审计有效联动、共享信息,构建现代内部审计协同模式,发挥三者在开展审计活动中的协同作用,提升审计认识问题的高度和深度,提高审计的质量。
【参考文献】
[1] 王海兵.知识经济环境下企业内部审计的发展趋势[J].中国内部审计,2015(2):16.
[2] 文宗川,张璐.基于“四元主体模型”的城市技术创新体系研究[J].科技进步与对策,2012(11):37-39.
[3] 王晓霞,孙坤,张宜霞.论风险导向的内部审计理论与实务[J].审计研究,2004(2):86-88.
[4] 赵丽芳.现代内部审计功能拓展与内部控制评价[J].会计之友,2011(7):4-7.
[5] 李维安,戴文涛.公司治理、内部控制、风险管理的关系框架——基于战略管理视角[J].审计与经济研究,2013(14):8-11.