风险管理审计研究_基于企业内部审计视角的分析_时现
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
内部审计发展研究中心
中国内部审计协会
[摘要] 从企业风险管理和内部审计理论与实践发展的现实需要出发,结合先进的内部审计理论,架构企业风险管理审计框架;从风险管理审计的背景分析入手,研究企业风险管理审计的内容、实现途径、现实困惑等相关问题;以审计客体为中心,以审计流程为导引,设计企业风险管理审计模型,厘清风险导向审计与风险管理审计的关系。
一、问题的提出
安然等舞弊事件爆光后,各大企业和行业监管组织都将视线转向舞弊及舞弊的防范,如美国反虚假财务报告委员会下设的资助性组织(COSO)、国际内部审计师协会(IIA)等。
推进全面风险管理,强化内部控制意识,优化公司治理结构成为防止舞弊的首要选择。
IIA2001年发布的《内部审计实务标准》中明确提出,内部审计“通过运用系统的、规范的方法,评价并改善风险管理、控制和治理过程的效果,帮助组织实现其目标”。
该要求在IIA2009年修订发布的《国际内部审计专业实务框架》(IPPF)中再次被确认并被强烈推荐,并要求审计人员使用风险评估的方法编制审计计划,同时积极开展风险管理审计。
IIA成立的内部审计研究的知识共
同体——Common Body of Knowledge(简称CBOK),致力于内部审计理论研究和实践状况调查。
2006年底,CBOK发布了第一份全球内部审计活动状况的调查报告。
报告指出,有79.5%的被调查者认为风险管理审计在未来三年将有增长的趋势(见表1)。
但是,受到多种因素影响,风险管理审计在我国尚未得到全面响应。
来自中国内部审计协会内部审计发展研究中心的研究报告表明,至2007年底,
我国国有企业内部审计活动主要包括财务审计、经济责任审计、投资项目审计、经济效益审计、物资采购审计、专项审计等,风险管理审计、内部控制审计、舞弊审计和IT审计虽然有所开展,但比例很低(见表2)。
实践标杆的缺失,使我国一些率先实践风险管理审计的企业十分迷惘。
不仅如此,内部审计新旧概念频繁更迭,专业术语诸多,如内部控制审计、制度基础审计、风险管理审计、风险导
资料来源:时现等翻译:《国际内部审计概览——来自于IIA知识共同体2006年内部审计调查报告》第30~35页,载《中国内部审计》,2008 (3)。
活动选项财务过程审核风险管理组织治理规章的执行运营审计
样本量67246728670466986715
增长43.5%79.5%63.2%46.9%46.2%
减少14.5%2.3%4.0%11.7%14.7%
保持不变41.9%18.2%32.8%41.4%39.1%
合计100%100%100%100%100%
表1 内部审计执行的审计类型的期望变化
资料来源:时现、毛勇:《08’中国国有企业内部审计发展研究报告》第29页,北京:中国时代经济出版社,2008。
风险管理审计研究
——基于企业内部审计视角的分析
向审计等;同时,内部审计内涵也发生了深刻变化。
如何在实践中清楚界定有关概念,实现现代内部审计帮助组织增加价值的目标,是内部审计人员必须要关注和研究的问题。
本文从审计内容的界定和审计流程两个维度设计风险管理审计框架,以期丰富风险管理审计内涵,推进企业风险管理审计实践发展。
二、审计客体和审计流程双轮驱动的风险管理审计
(一)风险来自不确定性
国资委在《中央企业全面风险管理指引》中将企业风险定义为未来的不确定性对企业实现其经营目标的影响(见图1)。
《国际内部审计专业实务框架》将风险定义为:“指对实现目标有影响的事件实际发生的可能性,风险通过影响程度和发生的可能性来衡量。
”风险是风险因素、风险事故和损失三个要素的结合体(见图2)。
风险在企业经营活动中有不同的表现形式,国资委将企业风险分为战略风险、财务风险、市场风险、运营风险和法律风险五个主要部分。
具体见表3。
(二)企业风险管理融入企业战略设计和所有经营活动之中
企业全面风险管理,指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提
供合理保证的过程和方法。
风险管
理应当围绕企业风险管理策略目标,
针对企业战略、规划、产品研发、投
融资、市场运营、财务、内部审计、
法律事务、人力资源、采购、加工制
造、销售、物流、质量、安全生产、
环境保护等各项业务管理及其重要
业务流程,通过执行风险管理基本
流程,制定并执行规章制度、程序和
措施。
其含义是识别、评估、管理和
控制潜在事件或情况的过程,目的
是为实现组织的既定目标提供合理
保证。
纵览企业风险管理发展路程,
对以下两要素应给予足够关注:
1、企业管理目标引导风险管理
(见图3)。
企业管理目标的变化引导企
业风险管理重点的转移。
2、企业管理环境影响风险管理
(见图4)。
企业管理环境的变化影响风
险管理模式的变化。
(三)
“双轮驱动”的含义
从内部审计视角看,风险管理审
计与风险导向审计的内涵截然不同。
风险管理审计的含义是“对组织的风险管理进行审计”。
对企业来说,
这里的“风险”
,是指企业风险,主要涉及“经营风险”
;
“风险管理”是指审计的
客体和对象。
风险导向审计是作为继
账项基础审计、制度基础审计之后一
种新的审计模式。
这里的“风险”指
的是“审计风险”
,
其含义更加倾向于
审计主体。
“
双轮驱动” 风险管理审计
是基于以上审计主体和审计客体的划
分,其内在含义主要体现在两个方
面:一方面,审计客体主导,审计重心转移。
《国际内部审计专业实务框
架》的工作标准2120明确了风险管理审计的内容和相关要求,即:“内部审计活动必须评估风险管理过程的有效性,并对其改善作出贡献。
”具体见表4。
另一方面,审计主体实施,审计流程牵引。
企业风险管理是风险管理审
计的实质性内容,但内部审计人员在履行审计职责时,必须要将风险导向审计模式融入审计流程之中。
即以风险评估为基础,确定审计计划,并以审计计划为起点,在审计流程中全面推行风险管理审计。
具体见图5。
综合而言,风险管理审计的确切含义是以风险为导向,对企业的风险管理进行审计。
三、企业风险管理审计实现途径研究
(一)以风险为导向制订内部审计计划
审计计划是指内部审计机构和人员为完成审计业务,达到预期审计目的,对一段时期审计工作任务或具体审计项目做出的事先规划。
按照中国内部审计协会《内部审计具体准则第1号——审计计划》要求,审计计划“一般包括年度审计计划、项目审计计划和审计方案三个层次”。
内部审计计划是组织开展内部审计活动的依据,是考核与评估内部审计质量的重要标准。
充分考虑中国内部审计协会和IIA的要求、准则和规定情况下,包含三个层次的审计计划主要内容见表5。
多年来,许多企业已经习惯按照企业的经营计划和经营重点、领导交办及企业内部审计制度要求编制审计计划,很少使用风险评估的方法确定审计内容、审计范围和制订审计计划。
IIA 2001年发布的《内部审计实务标准》,第一次提出在制定审计业务计划时,应确认并评价相关风险;在2009年发布的《国际内部审计专业实务框架》的工作标准2010进一步明确,首席审计执行官必须以风险为基础制订计划,以确定与组织目标相一致的内部审计活动重点。
在审计计划阶段,选择被审计对
内部审计部门必须评估下列与组织治理、运营及信息系统有关的风险:(1)财务和运营信息的可靠性和完整性;(2)运营的效果与效率;(3)资产的安全;(4)法律、法规及合同的遵循情况。
内部审计部门必须评估发生舞弊的可能性以及所在组织如何管理舞弊风险。
在开展咨询业务时,内部审计师必须关注与业务目标相关的风险,并警惕其他重大风险的存在。
内部审计师必须将开展咨询业务过程中了解到的风险情况,运用于评估组织的风险管理过程。
协助管理层建立或改善风险管理过程时,内部审计师必须避免在实际工作中对风险进行管理,从而承担任何管理层的责任。
表4 风险管理审计内容和要求
来源内容描述
工作标准2120.A1
工作标准2120.A2工作标准2120.C1工作标准2120.C2工作标准2120.C3
资料来源:根据IIA《国际内部审计专业实务框架》整理。
象为工作起点。
对企业而言,被审计对象可以是某个子公司、某项经营活动或某个方案,也可以是一个独立的过程或活动。
虽然风险发生的概率及造成的损失难以确定,但选择被审计者时考虑风险却是毋庸置疑的,这也是风险导向审计的第一步。
审计人员应该在评估风险和风险暴露优先次序的基础上安排审计工作。
根据风险评估的结果,对风险从大到小进行排序,再充分结合审计资源、审计限制条件、审计环境及其他要素确定审计业务数量和审计的先后顺序。
如果没有特别原因(如舞弊事项),审计顺序应该按照风险大小来排列,风险大的先审,风险小的后审或不审。
以风险评估为基础编制审计计划,要求审计人员具备风险识别、风险分
对企业决策过程、经营活动流程等相关内容十分熟悉,并对主要经营活动的风险点有一定的认识和了解。
国资委2004年对我国国有企业经理进行了调查。
调查发现,经理最关心的十大风险是:市场竞争加剧、国家政策导向、战略决策失误、关键人才流失、经济全球化、环境保护、成本上升、客户需求发生转变、利率及利率波动、坏账风险。
充分运用风险评估技术,估计风险严重程度和发生的可能性,能够形成风险矩阵图(见图6)。
如果说以风险评估为基础的审计计划更多地体现了企业整体层面的风险,那么,风险矩阵图的绘制更突出具体经营过程中的风险,是微观层面风险的显示。
其目的是
进一步确认审计业务本身面临的风险和风险的严重程度,以此为基础进一步明确审计实施阶段的审计内容和审计重点。
如果必要的话,需要按照程序调整审计计划。
析和风险评价的基本能力。
风险识别是识别企业面临的风险,并将风险归类;风险分析是将辨识出的风险放入统一的模型中进行分析处理,进一步做出定性和定量的分析,包括风险对企业目标实现的可能影响、风险物化的多重情境分析和统计特性、可能的影响因素和方式;风险评价是评价风险对企业目标的影响,影响最大的风险将成为企业风险管理的重点。
(二)基于风险矩阵图的审计实施
内部控制审计一般通过调查问卷、座谈会和个别走访三种方式开展。
这三种方式在风险管理审计中同样适用,但问卷的重点和内容与内部控制审计有所不同。
为了保证对风险管理情况的描述到位,审计人员必须
图6 风险矩阵图
1、内部审计年度工作目标;2、需要执行的具体审计项目及其先后顺序;3、各审计项目所分配的审计资源;4、后续审计的必要安排。
1、审计目的和审计范围;2、重要性和审计风险的评估;3、审计小
组构成和审计时间的分配;4、对专家和外部审计工作结果的利用;5、其他有关内容。
1、具体审计目的;2、具体审计方法和程序;3、预定的执行人及执行日期;4、其他有关内容。
表5 内部审计计划的主要内容
内部审计计划构成
主要内容
年度审计计划
项目审计计划
审计方案
资料来源:根据相关资料整理。
(三)
数字化的风险测试与风险评价
审计测试是审计实施阶段的主要
内容,意味着将选择的项目变成证据。
在风险管理审计中,审计人员应获得足够的证据来确认企业风险管理目标是
否实现,一般运用抽样、观察、提问、
分析、
证实、
调查与评估等方法获取审
计证据,并揭示其内在品质或特征,为审
计意见的形成提供基础。
对内部控制测试需要经过穿行测试和小样本测试两个主要阶段。
其中,穿行测试可以通过两种途径实现:一是凭证穿行测试,即根据组织的记录来追踪整个活动过程;二是程序穿行测试,即由审计人员
对活动的每一步进行一到两次的测试。
穿行测试从控制点分析开始,对经济活动分层进行测试。
小样本测试是选择少量的经济活动进行测试,其目的是检查内部控制制度实施的有效性程度,即实际活动效果是否达到了预期的目标。
这两种测试方式依然适用于风险管理审计。
通过对风险的实质性测试,得出风险情况的真实结论并形成审计发现,为审计报告的编写提供数据和支撑。
(四)前瞻性的风险管理审计报告
与常规业务审计报告不同,因不确定性的存在,风险管理审计报告也存在“风险”。
在风险管理审计报告中强调对“风险”管理、控制,更能突出风险管理审计报告的前瞻性和可用性。
1、披露风险表现和风险排序。
常规业务审计报告主要表达业务执行过程中真实性、合规性和效益性方面存在的问题及原因分析等内容,而风险管理审计报告应该披露被审计事项的风险点,并按照风险重要程度进行排序,明确重要风险和关键风险控制点。
比如,采购业务的重要风险是舞弊风险,其后果是“质低价高拿回扣”;关键风险控制点是“供应商的选择(如招标投标环节等)”。
2、披露被审计单位利用风险、防范风险的制度、措施及执行情况。
常规业务审计报告一般不涉及这方面内容,而风险管理审计报告要披露公司治理、内部控制和全面风险管理等层面的整体的利用风险、防范风险等方面的有关规定以及规定的执行情况。
同时,披露利用风险、防范风险的效果,重点表达风险转化、风险防范的成本、效率和效果,突出风险管理的绩效。
3、披露风险管理审计的方法、风险评价的条件和标准。
为提高审计信息的对称性,风险管理审计报告应该对这样的内容有所披露,这也有助于降低审计报告的风险。
4、谨慎披露舞弊事项。
舞弊是企
业面临的主要风险之一。
审计人员在
舞弊审计中的责任是:保持职业警惕
性和审慎性,在常规审计过程中注意
发现舞弊线索,一旦迹象明朗,则要
向组织内合适的部门(一般是纪检监
察部门)和高管层、董事会报告。
因
为舞弊更多地涉及“人”的问题,所
以,审计人员在对这部分事项报告
时,要注意合法性,最好在咨询法律
专家后再做适当披露,以降低越权或
违法的风险。
5、凸显风险管理审计建议的前瞻
性。
常规业务审计报告的“审计建议”
侧重“就事论事”的微观层面,一般审
计发现与审计建议一一对应。
风险管
理审计报告应该在微观建议的基础上,
更加关注战略管理、方案选择等方面
的建议,以促使高管层更加重视企业
风险管理,从根本上提高风险管理审
计的增值功能。
四、风险管理审计与内部控制审计的
比较研究
1992年,COSO发布了《企业内
部控制——整体框架》的研究报告,
形成了以控制环境、风险评估、控制
活动、信息沟通与监督五大要素为主
体的内部控制体系,并在全球范围内
得到普遍认可和应用。
2004年,COSO
发布了《企业风险管理框架》(以下简
称ERM)的研究报告,明确内部环境、
目标设定、事项识别、风险评估、风
险反应、控制活动、信息与沟通、监
控八大要素是风险管理的主要内容。
自ERM出台,审计的学术界和实务界
就风险管理审计与内部控制审计的关
系展开了讨论与争论,至今没有形成
统一意见。
代表性观点主要有:内部
控制和风险管理是截然不同的两回
事;内部控制包含风险管理;风险管
理包含内部控制。
不同的认识在实践
中也有体现。
一些企业在21世纪初全
面更新了内部控制体系,而近期则全
面推进风险管理,从组织结构改良开
始,设立独立的风险管理机构,建立
风险管理体系,使刚刚开始尝试执行
的内部控制制度戛然而止。
与之对
应,企业的内部审计机构也抛弃刚刚
开始的内部控制审计,要么直接进入
风险管理审计,要么内部控制审计与
风险管理审计并行。
为了避免交叉、
重复,提高审计的效率和效果,有必
要对内部控制审计和风险管理审计进
行比较研究。
不应简单地从COSO的“五要素”
或“八要素”的角度确定二者的关系。
对于同一个企业来说,内部控制与风
险管理的直接载体都是经营活动,都
以企业法人为边界。
从这一点来说,
不应将二者截然割裂开来。
按照法国
著名管理学家亨利・法约尔的管理理
论,控制是管理的职能。
以此推断,内
部控制应是风险管理的一个职能,是
风险管理的主要机制,但不是全部。
例如,合谋舞弊时,内部控制无效,需
要风险管理辅助。
内部控制重心在高资料来源:根据COSO《企业内部控制——整体架构》(1992)和《ERM框架》(2004)整理。
管层之下(经营活动),风险管理的重心在高管层之上(战略设计、决策);内部控制主要关注不相容职务是否分离,风险管理主要关注经营目标实现过程中的不确定性。
在这样的基础上甄别内部控制审计和风险管理审计,可以得到以下结论(见表6)。
比较而言,风险管理审计与内部控制审计在整个审计系统框架中具有诸多相似之处,只是重点和审计角度在一定程度上有所不同,可以说,企业风险管理审计是内部控制审计的发展和延伸。
五、内部审计在企业风险管理中的角色和责任
现代内部审计理论认为,内部审计的主要功能是确认与咨询,而受传统审计观念的影响,实践中内部审计功能的选择基本倾向于确认。
但风险管理审计的兴起,推动了咨询功能的发展,“事前审计”、“决策咨询”、“全过程跟踪审计”等多种审计模式在企业风险管理审计实践中应运而生,企业高管层或董事会对内部审计也有很高的期望,特别要求内部审计承担“风险管理”的角色,这有悖于内部审计的独立性和客观性原则。
IIA2004年发布的《内部审计在企业全面风险管理中的作用意见书》。
2005年IIA研究基金会通过其全球信息网就“内部审计在多大程度上发挥了风险管理作用”对7200名会员进行了调查。
调查结果表明,多数被调查者认为风险管理是内部审计应该履行的职责。
同时,调查反馈信息表明,内部审计在风险管理活动方面承担了相比IIA意见书中更大的责任,尤其是在“为管理层提供风险保证”中承担责任最大,而在“设置风险偏好”中承担的责任较小;内部审计在风险管理初级阶段发挥了主要作用。
IIA认为,为保证独立性与客观性,在构建风险管理过程时,内部审
计不应承担管理层所承担的风险管理
责任。
六、结论
因为战略管理责任在高管层和董
事会,所以战略管理应该是风险管理
审计的主要内容,保证战略管理审计
质量能够更好地提高内部审计在组织
中的地位,即提升内部审计的独立
性。
从独立性角度看,内部审计机构
隶属董事会的垂直管理的模式最好。
目前,我国企业内部审计机构设置主
要有七种模式:一是隶属于高管层;
二是隶属于财会部门;三是与纪检监
察合署办公,隶属于党委;四是高管
层与监事会双重领导;五是垂直管
理,隶属于董事会;六是高管层与董
事会双重领导;七是外包。
从审计工
作开展角度看,风险管理审计应结合
企业的战略,并着眼于未来的可持续
发展能力,并且在审计过程中运用大
量定性与定量的方法评价风险管理体
系的合理性、有效性。
因此,对审计
参考文献
[1]IIA.内部审计实务标准——专业实务框架[S].中国内部审计协会编译,北京:中国时代经济出版社,2005.
[2]IIA.国际内部审计专业实务框架[S].中国内部审计协会编译,北京:中国财
政经济出版社,2009.
[3]Andrew D.Bailey, Audrey A.Gramling,Sridhar Ramamoorti.Research Opportu-
nities in Internal Auditing(内部审计思想)[M].王光远等译,北京:中国时代经
济出版社,2006.
[4]五部委.企业内部控制基本规范[S].财政部网站,2008.10.
[5]美国反虚假财务报告委员会的发起组织委员会(COSO)研究报告.企业风险
管理框架[S].财政部网站,2004.10.
[6]IIA.知识共同体内部审计调查报告[R].2006.
[7]统计上大中小型企业划分办法(暂行)[S].国统字[2003]17号.
[8]中国内部审计协会.内部审计理论与实务[M].北京:中国石化出版社,2004.[9]时现,毛勇.08'中国国有企业内部审计发展研究报告[R].北京:中国时代经济
出版社,2008.
[10]《中国内部审计》杂志2007年第1~12期及2008年第1~12期.
人员提出了更高的要求,需要具备更
高的素质,接受更多的战略管理培训
并具有丰富的管理经验。
优化内部审
计机构的人员结构,吸引更多的非财
务专业人员加入内部审计队伍;充分
利用 “外脑”,通过与外部咨询机构
合作,都是解决内部审计技能不足的
有效途径。
从审计内容角度看,风险
管理审计应致力于为企业增加价值,
特别是增加预防错弊、优化决策等带
来的间接价值。
为此,审计人员要转
换角色,从“片儿警”到“风险顾问”,
在监督的同时更加关注咨询,更加重
视后续审计。
然而,在风险管理审计
实务中,客观性与审计质量经常发生
冲突。
如何既维护客观性又保证审计
质量的提升是未来风险管理审计实践
中要重点关注的问题之一。
总之,风险管理审计是未来内部
审计的主导趋势,但并不是对传统审
计的简单摒弃,是重点的转移,要求在
审计思维、审计流程、审计技术和审计
方法等诸多方面随之变化,这是必然
的趋势。
(时现 田选章 于伯新)。