[关键词]内部审计;风险导向;比较;现状;建议
正如“内部审计之父”——劳伦斯•索耶(Lawrence Sawyer) 所言:“内部审计在古代就有其起源。但是,只有到近代这棵大树才开始根深叶茂。内部审计的历史从古到今,经历了一个缓慢而艰苦的过程。” 内部审计的发展萌芽可以追溯到奴隶社会,但直到1 9世纪末20世纪初,内部审计的作用才越来越受到重视,于是内部审计领域真正发生了一场深刻变革,传统意义上的内部审计逐渐为一种新型的内部审计制度所取代,内部审计从萌芽状态的内部审计转变为财务导向的内部审计。至今,经历了一百多年的历史,内部审计已经经历了财务导向内部审计——业务导向内部审计——管理导向内部审计——风险导向内部审计。
一、风险导向内部审计的涵义
所谓风险导向内部审计是指内审人员在审计过程自始至终都以企业风险分析评估为导向,根据量化的分析水平排定审计项目优先次序,依据风险确定审计范围与重点,对企业的风险管理、内部控制和治理程序进行评价,进而提出建设性意见和建议,协助企业管理风险,实现企业价值增值的独立、客观的签证和咨询活动。这里的风险应该是我们通常说的广义的风险既包括正面的风险,即机会;也包括负面风险,即狭义风险。
国际内部审计协会(IIA) 2001年对风险定义为可能对目标的实现产生影响的事件发生的不确定性,并指出风险的衡量标准是后果与可能性。2002年,英国风险管理协会(IRM )、保险和风险管理师协会(AIRMIC)以及公共部门风险管理协会(ALARM)共同发布了风险管理标准,采纳了国际标准化组织对风险所做出的定义:风险是事件及其后果的可能性的结合。2007年召开的国际标准化组织(ISO)技术管理局风险管理工作组第四次工作组会议,采纳了我国代表提出的“风险”定义:不确定性对目标的影响(effect of uncertainty on objectives)。可见,风险既关注积极面,也关注消极面。
二、风险导向内部审计与传统内部审计的比较
图为新旧内部审计范式路线图
资料来源:David McNamee. Risk-based auditing[J].The Internal Auditor. 1997, (8): 22-27.
麦克宁(McNamee)关于内部审计新旧范式路线图反映了风险导向内部审计目标与企业目标的契合,如图所示。传统内部审计通常采用从右到左的路线,即直接测试内部控制,考虑内部控制是否充分有效,而风险的大小仅用于表明控制的薄弱与健全环节,从而实现防弊或者兴利的目标。这种范式使内部审计被埋葬于反映过去的细节之中,结果是建议管理层增加控制点或加强控制,这样随着时间的推移,控制点越来越多,审计业务越来越繁琐缓慢,甚至出现多余控制阻碍各项程序正常运转的情况。尽管有着防弊与兴利的审计目标,但是无法与企业目标相关联导致内部审计无法证明其价值所在,从而引发内部审计的生存危机。
风险导向内部审计采取的路线是从左到右,首先确认企业目标或某项交易的目标,然后分析对这些目标产生影响的风险,确定审计风险水平和审计重点,提出风险防范和控制建议,最后通过后续审计,测定风险是否得到有效防范和控制。内部审计人员关注的并非控制的充分性和遵循性,而是风险是否得到适当管理和控制。这样审计建议可以直接针对企业实现目标过程中面临的主要问题和风险,并将事后评价反馈延伸到事前和事中。内部审计人员通过风险与企业目标的实现直接联系起来,其服务对公司治理层及管理层而言非常有价值,使内部审计成为企业价值链中的必要环节。
三、风险导向内部审计重要作用
英国与爱尔兰内部审计协会2003年8月颁布了关于“风险导向内部审计”的立场公告(Position Statement),对风险导向内部审计在风险管理中的作用做出了阐述。在立场公告中,风险导向内部审计的作用是根据企业风险管理的不同水平展开的,如下表表示:
风险导向内部审计的作用
风险管理的不同水平
重要特征 风险导向内部审计的作用
风险暴露
未采取任何正是的风险管理方法 协助采用风险管理方法;内部审计建立在审计风险评估基础上
风险察觉 零星的风险管理方法 协助建立企业范围的风险管理方法;内部审计建立在审计风险评估基础上
风险确认 已制定风险管理的战略和政策,已确定风险偏好 促进风险管理战略和政策的实施;在适当地方,内部审计使用管理层的风险评估结果
风险管理 已建立企业范围的风险管理框架 对风险管理过程进行审计;内部审计建立在管理层的风险评估基础上
风险管理融合 风险管理及内部控制完全嵌入企业经营过程中 对风险管理过程进行审计;内部审计建立在管理层的风险评估基础上
资料来源: The Institute of Internal Auditors-UK and Ireland .Position Statement: Risk Based Internal Auditing[S]. London: IIA UK and Ireland, 2003.pp3.
英格兰-威尔士特许会计师协会颁布的《实施Turnbull》的指导意见以及国际内部审计协会(IIA)发布的《内部审计实务标准》的事务公告中,都对内部审计在风险管理过程中的作用做了阐述。我们不难发现:风险导向内部审计对现代企业管理特别是风险管理(风险预测、风险识别、风险评估、风险应对等)过程中的作用越来越重要。
四、国外风险导向内部审计的发展
从90年代后半期开始,麦克宁(McNamee)和塞林(Selim)等学者开始致力于研究风险导向内部审计的新范式并提出了许多新的观点。1999年6月,IIA经过几年的调研之后,通过了基于风险导向的内部审计新定义和内部审计职业实务标准框架的内容,并于2001年正式实施。因此,从20世纪90年代末开始,内部审计进入了风险导向阶段。
2001年国际内部审计协会(IIA)在其发布的《内部审计实务标准》(2002 年1月开始实施)中对内部审计的定义,就是风险导向内部审计的体现。根据该定义,推行风险导向内部审计就是要求内部审计以内部控制作为生存与发展的基础,以公司治理作为参与风险管理的前提条件,以对组织风险的评估与改善作为基本目标。这一标准将内部审计工作引向了风险导向内部审计。比照1993年版本,一个最为显著的变化是风险贯穿始终。根据这一版本,内部审计重点关注风险管理。
2003年国际内部审计协会(IIA)对2001年新发布的《内部审计实务标准》修改后,新标准于2004年1月l日开始生效,在内容上也自始至终都贯穿着风险审计的主导思想。新标准将内部审计定义为:内部审计是一种独立、客观的确认和咨询活动,旨在增加价值和改善组织的运营。它通过应用系统的、规范的方法,评价并改善风险管理、控制和治理过程的效果,帮助组织实现其目标。这一新定义,以风险为基础,对内部审计的对象、日标、职能进行了重新定位,推动风险导向内部审计进一步向前发展。
国际内部审计协会(IIA)在2004年和2005年又对《内部审计实务标准》修订后,在内容上也自始至终都贯穿着风险审计的主导思想。由此可见,风险导向审计已成为审计基本方法发展的国际趋势。
五、风险导向内部审计在我国的应用现状
按照国际内部审计师协会(II2)的建议,2002年1月1日开始实施的《内部审计实务标准》将企业的内部审计工作推向了风险审计的轨道,这一系统性的改变,必将使内部审计更好地发挥作用,以满足企业经营管理的需要。我国内部审计准则的基本准则和具体准则也充分考虑了这一新动向。2004年,我国内部审计协会发布了《内部审计具体准则第16号——风险管理审计》的征求意见稿,对内部审计在风险管理中的应用进行了探讨。
2005年,我国内部审计协会发布第三批内部审计具体准则,将风险管理审计纳入内部审计准则体系中,并要求于2005年5月1日起予以施行。该批准则的发布和实施,足见我国的内部审计已发展到了风险导向阶段。然而,风险导向内部审计在我国仍处于起步阶段,风险管理又迫切需要内部审计的参与,因此完善我国内部审计、积极推进内部审计在风险管理中的应用,已成为我国内部审计发展的重要课题。
由于我国风险导向内部审计尚处于起步阶段,无论是理论界还是实务界,均对其开始关注和探索,但尚未成熟;企业往往是按照法律法规的要求被动进行,并非出于企业自身考虑主动进行,而且企业的这种风险管理活动往往只是才采取“亡羊补牢”式的风险应对措施,可见,我国风险管理体系不完善;单一的内部审计人员导致内部审计范围过窄,审计效率低下,且难以实现对企业风险的管理、控制和治理过程而进行全面综合的评价;风险管理缺乏成熟的理论指导,而落后的风险管理方法直接导致企业不能恰当地预测风险、识别风险、评估风险和应对风险,进而影响企业目标的顺利实现;内部审计人员对风险管理还不甚了解,缺乏风险管理意识,尚未认识到风险管理的重要性,从而内部审计在风险管理中未能充分发挥作用。
六、推进我国风险导向内部审计运用的建议
目前,我国的内部审计制度目前还很薄弱,但这并不表示不能实施风险导向内部审计,因为哪里有风险,哪里就可以有风险导向内部审计。风险导向内部审计在我国的运用,笔者认为要从以下几方面努力:
经济责任审计与财政、财务收支审计的关系
西方内部审计十大发展趋势