风险导向内部审计的探讨(2)

三、 风险导向内部审计的理论探讨

（一）风险导向内部审计的基本特点
内部审计从萌芽状态发展至今，其审计本质、目标、对象、范围、职能及方法都发生了较大的变化，分析风险导向内部审计的特点可以从以下几方面着手。
1.本质
实现组织目标的过程其实也是内审部门协助本组织成员有效的履行他们的责任的过程， 从而看出风险导向内部审计的本质是确保受托责任履行的管理控制机制。委托人的广泛性使得外部受托责任向着多样化的方向发展：不仅关注股东利益也关注各种利益相关者的权益，包括客户、员工和社会。受托责任关系以及管理控制因此发生了诸多变化，与风险结合起来使得风险导向内部审计成为确保受托责任有效旅行的监控机制。企业要有效履行多样化的受托责任，首先就必须要制定详细计划，然后将任务分派给各个层次的，同时需要一个监管机制来保证每个人的责任的有效履行。这时候，内审部门就起到了监督和及时反馈的作用。
2.目标
风险导向内部审计更加注重其价值增值功能。早期的内部审计的目标主要是查错防弊，保护资产安全。而现代的内部审计的重点已逐渐转向事先发掘问题、改善经营管理、促进经济效率。为此，内部审计向他们提供与被审计活动有关的分析、评价、建议、咨询和信息。不论内部审计对内部控制进行评估与改善，还是对公司治理程序进行评估与改善都应该是以风险评估与改善作为首要目标。内部审计就是对组织全部风险的一般反应，所有活动都要以风险作为出发点和落脚点。内部审计充分利用在内部控制领域的专家地位，联系组织的目标评估与分析内部控制中的风险，直接报告给管理者。风险导向内部审计不再是简单的内部控制领域消极地查错防弊，而是以组织的整体风险评估作为自己的首要工作目的。
3.对象
风险导向内部审计是以风险管理、控制和公司治理为审计对象的。由于受托责任范围的扩大，内审对象的范围也随着内审的发展而逐渐扩大：从最初的会计、财务事项到进一步涉及各种经营活动业务；80年代提出以组织活动，包括经济性、效率性和项目结果为审计对象；90年代提出以组织内部控制系统的适当性、有效性和工作效果；可以看出，内审目标所包含的内容逐渐多样化和全面，综合了企业运营所涉及的各类事项和领域。
4.范围
根据 IIA’s Austin Chapter的一项调查显示，至少1/3审计团体在使用风险导向审计上失败，其中的一个重要原因是风险概念没有被理解清楚(David McName 1997,8)。风险是业务及经营的本质，在风险环境中，除了风险评估和帮助管理层把风险转变为本组织的一种收人外，内部审计应该扩展审计范围，它包括风险控制、风险理财和风险管理。［《索耶内部审计（上）》，2005版］
风险导向内部审计的范围包括企业战略风险和业务风险。根据2002年英国风险管理协会、保险和风险管理师协会以及公共部门风险管理协会共同发布的风险管理标准对风险的定义来看，风险是事件及其可能性结合。风险既关注积极面也关注消极面。所以说风险包括着机会和威胁，作为一种广义的风险观，风险导向内部审计所涉及的范围相比于以往的内审模式而言，有了进一步的扩展。在对企业所有风险进行彻底了解后,内部审计人员对风险进行排序,根据风险大小来确定审计范围,把主要审计资源分配给高风险项目。恰当、有效地分配内部审计资源,使得更多与风险管理相关的控制和活动得到关注,有助于合理确保企业目标的实现。
5.审计方法
风险导向内部审计广泛运用分析性程序检测被审计对象,其基本方法包括审计风险评估、分析性测试、控制测试、业务实质性测试、余额细节测试等。这也是内部审计人员风险导向的观念所在：不仅重视会计信息，而且重视经济信息，产业信息和财务信息。风险导向内部审计提供了一种既能保持审计效果，又能提高审计效率的全新思路。对于有证据表明风险较低的领域,应依赖内部控制或分析性复核;对被认为风险较高的领域, 实施大量的实质性测试和余额细节测试,使审计手段与审计目标更好地结合在一起,提高审计的科学性、针对性和绩效性。
总的来说，风险导向内部审计是以组织内部控制为基础、同时考虑公司治理在内的、以组织整体风险作为审计重点的一种审计。这里突出的是对风险评估来提出风险管理的对策，有效降低所在组织的风险，从而增加企业的价值，充分发挥内部审计的作用。
（二）风险导向内部审计在现代企业中所起的作用
随着全球一体化的趋势日益明显，企业经营环境的也显得更为复杂，所以现代内部审计除了关注传统的内部控制之外，对有效的风险管理机制和健全的公司治理结构日益关注。《内部审计实务标准》1220.A1 标准规定内部审计师应考虑风险管理、控制与治理过程的充分性和有效性、以应有的职业审慎性开展工作。风险导向内部审计是在组织已有的风险管理和内部控制的基础上，对剩余风险进行评估，进而改善风险管理和内部控制，提升组织整体抗风险能力。风险导向内部审计在现代企业的中所起到的功效有：
1.参与风险管理
随着对风险管理的日益关注，探讨风险导向内部审计与企业风险管理框架之间的联系，就成为探讨风险导向内部审计无法回避的理论问题之一。风险管理首先要求全面识别风险，同时熟悉本单位的经营战略、工作程序、组织结构等；内部审计人员的独特地位与专业知识满足了以上要求。因此，以风险为导向的内部审计捕捉风险信息的能力比企业内部其他部门和外部审计都强（杨爱群:《风险管理与风险导向内部审计》《经济师》2005年第7期），对于企业风险管理能够做出其独有的贡献。
具体实施时，风险导向内部审计首先确认企业目标或某项交易的目标，然后分析对这些目标产生影响的风险，确定审计风险水平和审计重点，提出风险防范和控制建议，最后通过后续审计，测定风险是否得到有效防范和控制。这样审计建议可以直接针对企业实现目标过程中面临的主要问题和风险，并将事后评价反馈延伸到事前和事中，使内部审计成为企业价值链中的必要环节。

2.促进内部控制
内部控制从某种程度上来说从属于风险管理，是风险管理的方式之一。企业风险管理是在内部控制的基础上整合起来的框架，是为了企业在风险管理领域中各项广泛的议题给予多方面的关注和更稳健的管理。从2004年COSO委员会颁布的ERM中我们可以清楚地看到，风险管理是对内控框架的包含与深化。在风险理念的作用下，企业内部控制已扩展为企业风险管理框架，内部控制与风险管理已趋于融合。因此，可以说对风险管理的促进作用，是建立在企业的内部控制同时得到改善和促进的基础之上的，两者是互相促进的。
作为内部控制的一个重要环节，内部审计是对内部控制的再控制。建立内部控制制度的根本目的，正如COSO对内控的定义所描述的：“为达到财务报告的可靠性，经营活动的效率和效果、相关法律法规的遵循三个目标而提供合理保证的过程”。这些目标也就是对内部审计的要求和标准。可见，内部控制是内部审计的基础，也是风险导向内部审计进入公司治理、风险管理的基础。
传统内部审计偏重于直接测试内部控制,提出增加控制点或增加控制的建议，而随着时间的推移,控制点越来越多,业务过程也将越来越繁琐和缓慢,因此,传统内部审计模式是在递减地增加企业价值。而风险导向内部审计以内部控制结构为内容,关注风险发生的可能性,使审计重点前移,利用风险标准选择审计项目, 每一项审计及其目标都与企业目标紧密相关。风险导向内部审计改进了对内部控制的监控方式，抓住重点，同时简化内部控制流程，即保证了审计质量也提高了审计效率。COSO在2004年对内部控制的重新定义，着重突出了对企业风险的高度关注，这与IIA以整个组织风险的评估与改善为中心任务的风险导向审计理念不谋而合。
3.促进公司治理
公司治理的基本目标是在充分考虑利益相关者利益相对满足和大体均衡情况下，增加企业价值，从而使股东长远价值最大化。而风险导向内部审计的本质是确保受托责任有效履行的管理控制，它更注重与企业目标的直接关联。可见，公司治理与风险导向内部审计目标是一致的。(蔡喜忠 范长缨：《工业技术经济》，2006年10月总第156期)。2004年的《企业风险管理框架》体现了管理者以企业风险管理为己任的理念。根据《内部审计实务标准》2130—治理：内部审计活动应该评价并为改进机构的治理程序提出适当的建议。在目标方面增加了战略目标，将对企业的风险关注重点引向了重大的、根本性的战略问题；可见，风险管理关注包括公司治理和内部控制环节的风险在内的一切风险，而这所有风险的风险正是风险导向内部审计的对象。风险是两面的，既可能对企业正常运营产生负面的影响，也可以为企业带来新的机遇。所以内部审计部门应当为支持组织的风险管理提供独立的保证和咨询服务，帮助管理层将风险控制在可接受的水平之内，以顺利实现组织目标。
“内部审计既是公司治理的一部分，同时又参与到治理有效性的审计之中。内部审计在公司治理中的作用包括监督、评价和分析组织的风险和各项控制;复核并证实信息是否可靠并符合相关政策、程序与法律，协助管理者向董事会、审计委员会以及执行管理机构提供风险防范以及治理有效的保证。” (王敏 黄瑛：《财经理论与实践(双月刊)》2006年9月) 里查德•钱伯斯(2003年9月)指出,国际内部审计的一大发展趋势就是“推动更有效的公司治理”，有效的内部审计是公司治理结构中形成权力制衡机制并促使其有效运行的重要手段，是公司治理过程中不可缺少的组成部分。
但是值得注意的是，首先，内部审计师并不是以一个负责人身份出现在风险管理中，而只是作为内部控制方面的专家。从评估内部控制领域中的风险，再对公司的风险管理加以评估和改善。其次，内部审计人员实质上的独立性如何被保证。中航油事件致命原因，是个人权力过大，缺乏对个人权力有效制约和监管，导致内控失灵。决策者风险意识淡薄，制度得不到执行，内控未能起到应有的约束力。在现代企业制度下，所有权与经营权的分离，导致了经营者实质上控制企业，而经营者本身就是内控的对象。如果由经营者负责内控的设计与执行，并对内控的执行情况加以认定与评估，滥用职权的导致内控失灵现象就会很容易产生。当风险被评估之后，管理层是否会采纳内审人员的评估和建议，或者管理层是否会为了个人利益而给予内部审计人员压力做出不客观的评估。

共3页: 上一页 [1] 2 [3] 下一页