摘要:随着外部风险基础审计的发展,内部审计也应在适应环境的基础上加快发展。本文着重对管理审计与风险导向内部审计进行了比较,分析了两种审计模式的特点,阐述了管理审计模式和风险导向内部审计模式两者的利弊得失及其适用的审计环境,以期从理论和实务上对两种审计模式有较为全面的认识。 关键词:管理审计 风险导向审计
一、管理导向与风险导向审计模式分析
(一)管理导向内部审计(简称管理审计)随着审计实践的发展,管理审计已由具体的业务和控制等较低层面转向了管理目标、方针、决策等高层面。通过对组织内部的各种管理活动进行独立、客观、建设性、面向未来的检查和评价,目的在于协助组织的管理层(包括管理人员和董事会成员)有效履行其职责,把握企业经营管理的关键所在,帮助管理当局改进决策,提高企业未来的获利能力和经营能力,更好地完成受托管理责任。但它更关心的是企业整体利益和整体实力的提高,在协调局部利益和眼前利益的基础上,充分体现整体利益、长远利益和企业的可持续发展目标。其目标就是要确定企业资源使用的效率性、效果性和经济性(即3E)(劳伦斯,索耶,汤云为等译,1990),促使企业根据审计结论来调整企业不适当的管理机制,提高企业利润并达到企业的其他目标。尽管如此,管理审计还存在以下缺点:首先,管理审计以评价被审计单位责任中心的内部控制制度及其执行情况为重点,虽然对内部控制的风险也要评价,但主要是从总体上对内部控制进行评价,并对其实施对审计风险的管理。并没有以确认和评价企业内部管理人员等产生风险的各个环节与因素为重点,没能为有效降低审计风险提供指南和帮助,而且影响审计风险的因素远超出内部控制系统的作用范围。如管理人员的品行和能力、行业所处环境、业务性质、容易产生错报的会计报表项目、容易受到损失或被挪用的资产等导致的风险,又受到内部控制风险因素的影响。它主要关注企业内部的风险因素,而较少关注来自企业外部的风险因素。其次,企业内部审计师在审计后针对发现的问题提出的增加控制点或加强内部控制的其它建议,将使审计责任中心的控制点日益增多,各项工作日益繁琐,使管理系统的效能呈递减趋势。另外,对具体审计项目实施审计时,采用对内部控制制度及其执行情况诸方面的一般性评价来选择重点审计的领域,没有将被审计责任中心本身乃至与整个企业有关的管理风险,作为对内部控制评估下作为重点。
(二)风险导向内部审计20世纪90年代起,人类社会已从工业经济时代步入信息时代,从此人们的生活方式、交流方式、组织的经营方式、管理方式、国家的管理规则和市场的运作模式等发生了深刻的变化,管理环境也不仅变得日益复杂,而且愈来愈不稳定。首先,环境的多样性和多变性促使内部审计必须更加注重对风险的分析,必须从传统的对内部控制和其他管理活动的事后评价转向对可能影响企业目标和战略的风险的事前评估;其次,内部审计必须注重价值的创造,能够成为企业价值链环节之一的条件是该活动能够创造价值或为其提供支持,因而内部审计活动必须成为增值活动才不会被视为阻碍创造企业价值的多余活动;最后,内部审计还必须能提供满足不同顾客要求的服务,提供特定服务满足不同顾客的要求是内部审计增加生存能力的必然。因此,树立为组织创造价值的目标就成了内部审计自身发展的必然要求。正是20世纪90年代以来,经济的全球化、信息化技术的发展、组织受托责任的失败,冲击着内部审计的理论和实务,也对内部审计提出了新的要求:内部审计从最初以会计为导向发展为现在以风险为导向。而管理审计的重点是高层次的管理决策与活动,是事后的评价和反馈。而风险意味着对未来的预测,它可以使内部审计将审计对象和企业目标紧密连在一起,将事后评价反馈延伸到事前和事中。21世纪的计算机信息网络技术、全球化经营以及个性化定制为风险导向内部审计的产生创造了管理环境,公司治理、内部控制以及风险管理等领域相关法规的出台也为内部审计提供了新的平台,同时受托责任的内容和层次也得到了进一步的丰富,因此内部审计从管理导向内部审计转向帮助企业评估各种风险、利用各种机会或减轻对战略的威胁的风险导向内部审计是历史的发展必然。
二、管理审计与风险导向内部审计比较
(一)产生背景的比较20世纪70年代,随社会政治经济的发展。委托人的受托责任观念日益增强,不再满足于对财务报告进行鉴证,进一步要求对受托人的经营管理行为的效率和效果进行认定、计量和报告。而公司治理的理论及实践促进了公司制企业发展,对公司治理问题的研究扩大了管理理论的视野,丰富了管理理论的内容。公司治理也成为连接企业内部和外部环境的桥梁,保证了管理的正当性和有效性。特别是审计委员会制度的建立提高了内部审计的地位和独立性,从而为管理导向内部审计的开展提供了客观条件。企业风险导向内部审计则是以审计风险的分析、评价为前提,根据审计风险的大小,选定审计的范围、重点和方法,并予以实施的一种审计模式。而审计风险不仅受到企业固有风险因素的影响,又受到内部控制风险因素的影响,管理审计虽然也对内部控制的风险进行评估,但主要是从总体上进行评价,没有把被审计人的各方面的管理(经营)风险纳入审计范围并作为重点来评价。因而,对审计风险问题,也没有予以足够的关注。风险导向内部审计产生的原因主要体现在以下方面:(1)管理审计的内在缺陷及应对措施是风险导向内部审计产生的技术因素。其实,内部审计职业界早就意识到了审计风险,但对如何将审计风险与具体审计程序结合起来却束手无策。一方面它只将审计风险因素作为要了解和分析的众多因素中的一个,注意力比较分散,因而对风险因素关注不够;另一方面,过分依赖对内部控制制度及其执行情况的一般评价(测试)结论,而忽视审计风险产生的其他环节。企业内部审计的证据需从企业内部甚至外部许多领域获得,但管理审计模式却缺乏一种可接受的能量化的方法将各种信息来源连接起来,因而做出的一些主观判断,可能发生较大偏差,可能使有些重大错舞和弊端不能被审计师发现。风险导向内部审计正是从企业面临风险的角度来评判内部控制系统的设计和执行,对企业治理方案进行测评,从影响企业目标实现的各种风险因素出发,就内部控制设计是否健全、关键的控制点执行是否有效、控制的薄弱环节、治理和改善措施的可行性等进行认定,评价风险管理和控制对企业实现目标的影响,并且站在风险的高度,在风险环境中观察经济业务的发展过程,从而采取适当的措施规避风险,促使企业健康顺利地发展壮大。(2)企业面临的高风险经营环境是风险导向内部审计产生的社会因素。在信息时代的社会中,企业所面临的外部环境和市场竞争不确定性越来越大。一方面变化周期缩短,外部环境和市场竞争的变化速度也超过以往任何时代;另一方面外部环境和市场竞争的变化越来越彻底,企业明天的生存和发展环境可能与今天的几乎没有任何必然的联系。因而企业生存与发展的关键,更取决于对未来环境变化的把握与适应,也必然促使企业在战略目标、重大投资决策、日常经营活动和绩效评估等各个方面高度关注风险因素,并且要求企业的职能部门在进行各自的职能活动时高度重视风险,并将其纳入到企业的整体风险管理范围之内,因此风险管理成为高风险环境下企业活动的中心任务。内部审计作为企业内部的职能部门,必然应成为企业风险管理的有效组成部分,通过评估和提出改善风险的建议,为专业的风险管理部门或专职的风险管理人员提供咨询与保证服务,从而导致风险导向内部审计。(3)企业内部审计外部化趋势威胁着内部审计生存的职业空间。内部审计外部化,是指企业将内部审计的部分或全部职能交给外部的会计师事务所等中介机构完成,企业给这些机构支付相应费用的现象。在激烈的市场竞争中,企业可以根据自身的优势,集中资源做自己擅长的项目,而把自己不擅长的项目外包出去,从而可发挥核心竞争力优势。首先,内部审计作为一个企业的内部职能活动,在时间上具有重复性的特点,因而基本符合外包的条件;其次,外部审计在会计报表审计的过程中就非常重视对企业内部状况的审查与评价,从而对企业内部控制评价逐渐形成了专业上的相对优势,使得外部审计参与内部审计外部化成为可能;再次,近年来外部审计业务面临着日益严重的法律诉讼和同业低价竞争危机,而审计业务的收费却持续走低,非审计服务的收费甚至成为事务所收入的主要部分,因此外部审计被迫转向内部审计外包和管理咨询等非审计服务;最后,管理层要么出于成本效益的考虑,要么为了影响会计报表审计的意见类型,要么为了诱使外部审计降低审计收费,越来越倾向于内部审计外包。这就动摇着它在组织中的地位,威胁着它的职业生存。因此,内部审计为整个组织提供风险方面的咨询与保证服务,积极推行风险导向内部审计,将提高其在组织中的不可替代性,减弱外部化带来的不利影响,从而保持和拓展其职业生存空间。