随着经济全球化和科学技术的迅猛发展,日益复杂的组织内部关系和竞争日趋激烈的外部市场,使经济社会中不确定因素越来越多,企业承担的风险也随之加大。内部审计作为企业内部控制和风险管理的一种制度安排,需要顺势而为,不断调整自己的业务范围和审计目标。内部审计不仅关注内部控制,也积极参与到企业的风险管理;审计目标从过去被动地差错纠弊,变为主动地帮助企业增加价值。因此,风险导向型内部审计的提出满足了现代企业对内部审计在风险管理、内部控制和公司治理方面的更高要求。
一、风险导向型内部审计的含义及特点
(一)风险导向型内部审计的含义
狭义的企业风险指有碍于组织目标实现的威胁因素,通常分为三大类:外部环境风险、经营过程和资产损失风险、以及信息风险。由于事后补偿的保险难以发挥对组织风险结果予以弥补的作用,因此,风险管理既是必要的,又是可行的。基于此,COSO委员会于2004年正式提出《企业风险管理框架》(简称ERM),将企业风险管理定义为:是一个受机构的董事会、管理层以及其他人员影响的过程,它可以运用在战略设定并贯穿于企业当中,设计企业风险管理旨在确认影响机构的潜在事件,并在风险偏好内管理风险,为机构目标的实现提供合理的保证。企业风险管理(ERM)由以下八个要素构成:内部环境、目标设定、事件确认、风险评估、风险回应、控制活动、信息和沟通、监控。这八个方面组成要素是一个有机的整体,体现的是一个动态的过程。一种观点认为,风险导向型内部审计的风险就是审计风险;而另一种观点则认为,所谓的“风险”不是单纯意义的“审计风险”,更大意义上是指企业风险。在《布林克现代内部审计学》第六版中提到“现在的内部审计人员要运用前后一致的方法来理解和评估审计风险,包括与单个被审计机构有关联的风险以及整个组织所面临的整体风险”,可见,风险导向型内部审计是以审计风险模型为审计方法,以对整个组织的风险进行评估与改善为最终目的的一种审计理念。
(二)风险导向型内部审计的特点
与制度导向型内部审计相比,风险导向型内部审计具有以下特点:一是风险导向型内部审计的基础是内部控制。COSO将内部控制定义为:内部控制是一个过程,受机构的董事会、管理层以及其他人员的影响,设计内部控制是为以下类别的目标的实现提供合理的保证:运营的效果和效率、财务报告的可靠性、以及遵守适用的法律和法规。对内部控制评价的过程就是内部审计的过程,一个企业内部控制的好坏,与审计风险的高低直接相关,所以内部控制始终都是内部审计关注的重点;同时,内部审计也是内部控制的一个重要环节,是对其它内部控制环节的再控制。重视日常控制活动,抓住内部审计监督评价环节,为企业目标实现提供合理保证。此外,构成内部控制的五个要素是:控制环境、风险评估、控制活动、信息和沟通、以及监控。内部审计要对公司的风险管理加以评估与改善,首先要从内部控制领域中的风险做起。可见,风险导向内部审计是以内部控制结构为内容,关注风险发生的可能性。所以,内部控制是风险导向内部审计进入公司治理、评估改善组织风险的基础。
二是风险导向型内部审计的内容是风险管理。内部审计介入风险管理是内部审计职业发展的要求,也是企业发展的需求。从ERM框架可知,它关注包括公司治理领域和内部控制环节的风险在内的一切风险,因此,风险管理不仅要求全面识别风险,而且要熟悉本单位的经营战略、工作程序、组织结构等,而内部审计人员的独特地位与专业知识满足了以上要求,风险管理必然成为内部审计的主要业务之一。风险导向内部审计要求内审人员在审计过程中自始至终都关注企业风险、识别风险,依据风险选择项目,以降低风险为导向,进行内部控制制度的符合性测试、实质性测试,并进行监督检查和评价,提出建设性意见和建议,其审计报告可以作为揭示企业风险、防范风险以及信息交流的信号,协助企业管理风险。风险导向内部审计以风险为出发点,不仅能够使其服务范围与企业发展战略与经营目标直接联系,而且以其在企业中的独特地位和专业知识能够从根本上解释和评估风险管理措施,从而提高风险管理的有效性。
三是风险导向型内部审计是提高审计资源利用效率的途径。风险导向内部审计不仅重视会计信息,而且重视经济信息、产业信息和财务信息等,其审计模式是:在对企业所有风险进行彻底了解后,内部审计人员对风险进行排序,根据风险大小来确定审计范围,对于有证据表明风险较低的领域,应依赖内部控制或分析性复核;对于被认为风险较高的领域,分配更多的审计资源,可实施大量的实质性测试和余额细节测试。这样恰当、有效地分配内部审计资源,使得更多与风险管理相关的控制和活动得到关注,将审计手段与审计目标更好地结合在一起,可以提高审计的科学性、针对性和绩效性。所以,风险导向内部审计提供了一种既能保持审计效果,又能提高审计效率的工作思路。
二、风险导向型内部审计在企业风险管理中的作用及其途径
(一)风险导向型内部审计在企业风险管理中的作用
一是在风险环境分析中的作用。风险环境是指影响组织经营目标不能实现的经营环境,包括内部风险环境和外部风险环境。外部环境因素主要包括法律、政治和经济等环境因素;内部环境因素主要有:企业的风险偏好与风险文化、诚信与道德价值、管理理念与经营风格、组织结构与权责划分等,其是企业设定经营目标和战略计划的基础。由于经营环境是风险的根源,因此内部审计应从着眼于风险转到着眼于经营环境,通过对经营环境(包括一般环境和社会环境、创业环境、内部审计应用环境和组织环境等)的分析,以进一步评估组织的“固有风险”和“剩余风险”,并通过对企业各项环境因素变化的分析,将分析结果以审计报告的形式反映给管理层,以便管理层更加有效地管理风险。正是由于内部审计熟悉企业的内部环境、并具有相对独立的职能地位,可以全面客观的判断企业的固有风险、评价企业目标的有效性和可行性。
