内部管理审计风险形成及对策
自我国1983年恢复审计制度以来,审计署先后四次对内部审计做出规定。前三次规定的内容基本相同,而第四次规定增加了新的内容,即内部审计不仅要对财务收支进行监督和评价,而且要对经济管理活动进行监督和评价。
一、开展内部管理审计的必然性
随着市场经济的发展,企业逐步实现规模扩大化、经营复杂化,由此而导致内部控制成本和风险呈上升趋势,这直接促使经营管理者增加了对内部控制体系进行监督和管理的需要,增强了经营管理工作对内部审计的依赖性。
管理审计是相对于财务审计而言的,财务审计审查的是企业的财务信息,而管理审计审查的是企业的管理信息。企业的管理信息包括企业的管理制度、管理方法、管理手段、管理能力、管理业绩、管理状况等。相对于财务审计而言,它是一种建设性更强的审计方式,其目的在于提高企业的效益以及达到企业的其他目标。因此笔者认为,管理审计是财务审计的一种延伸,是比财务审计更高级的形式。有资料表明,发达国家从20世纪80年代开始已将工作的重点放在管理审计上,而在财务审计方面投入的人力和时间只不过占15%左右。因此,内部审计要能立足于21世纪,就必须从传统的财务审计向管理审计发展。
二、内部管理审计风险的形成因素分析
内部管理审计风险,是企业内部审计组织或人员对具有重要影响的经营管理活动进行审计后发表不恰当审计结论的可能性。在企业内部管理不断市场化的今天,随着内部审计所面临的审计环境、审计内容、审计目标、审计方法的转变,很有必要重新评估内部管理审计风险。
(一)内部管理审计风险形成的客观因素
1.内部管理审计法规体系几乎是空白。政府审计和民间审计分别有《审计法》和《注册会计师法》作为法律依据,而内部管理审计的法律体系极不健全,关于内部管理审计的法规更是一片空白。内部审计人员在进行管理审计时,只能依据经验和知识进行分析判断,在一定程度上影响了内部审计结论的权威性,因而增大了内部管理审计风险。
2.内部管理审计机构的独立性可能受到威胁。从西方国家的企业内部审计机构的领导关系上看,内部审计机构可能有四种设置方式:一是设在董事会或董事会所设的审计委员会之下;二是设在最高行政长官之下;三是设在高级管理层之下;四是设在主计长之下。由于管理活动遍布了整个企业及其所有经营活动的各个方面、环节和领域,因此,内部管理审计的内容也涉及企业内部控制的各个方面、环节和领域。如果选择第二、三、四种组织形式,都会对内部管理审计机构的独立性构成不同程度的威胁,不能完全实现内部管理审计的目标。由于现代企业普遍实行管理责任层层负责制,当最低层管理人员出现管理不善的问题时,其上一级领导也必须负督导责任,依此类推,最终高级管理层往往也难辞其咎。所以,从实施内部管理审计的要求上看,第一种组织形式最佳。这是因为内部审计人员能够把检查、评价企业管理情况的信息直接传输给企业的主要决策者,以便其正确决策。
3.内部管理控制的局限性。现阶段,我国企业内部审计普遍实行制度基础审计模式,内部管理控制不但是内部管理审计程序的重要环节,而且是审计的重要内容。如果企业内部缺乏良好的管理分工控制,管理人员同时担任了不相容职务,这就增加了舞弊和掩盖差错的可能性,也使内部审计人员难以发现问题而形成审计风险。即使一个具有良好内部管理控制的企业,也很难保证在各个控制环节上的管理人员不会串通舞弊,这就是所谓的“管理层违规”,通常情况下内部审计人员很难发现这类问题。
4.内部管理审计内容的广泛性和审计对象的复杂性。企业发展战略和管理决策、投资效益、市场状况、物资采购、生产工艺、产品推销(包括广告促销效果)、研究与开发、人力资源管理、信息系统设计与运行、环境污染等都是内部管理审计的内容。凡是对企业商业利益和持续经营有影响的管理因素都是内部管理审计的重要内容。这对内部审计人员提出了更高的要求,内部审计人员做出正确结论的难度也就越大,内部管理审计风险也就不可避免地存在。另外,随着社会主义市场经济体制的建立和完善,内部管理审计对象逐步发展为企业集团、股份公司和连锁经营店。企业内部管理层次增加,所进行的交易日趋复杂,企业与外部某些企业的关系是母子公司关系或联营公司关系。同时,由于企业的资产重组必然涉及兼并和收购、改制和重组、联合和剥离等问题,为审计对象开拓了新领域。内部管理审计事项的复杂性和隐蔽性往往会增加内部审计难度,使内部审计人员难以做出正确判断。由于内部管理审计事项一般与企业生产经营活动联系密切,一些敏感事项涉及的人事关系复杂、舞弊手段隐蔽,内部审计人员取证难度较大,从而面临内部管理审计风险。
(二)内部管理审计风险形成的主观因素
1.内部审计人员的职业道德。国际内部审计师协会的《道德准则》要求内部审计师必须遵守高标准的诚实、客观、勤奋和忠诚的原则。可见,内部审计师承担了一种超出法律和条例规定的自我约束的义务。事实上,并不是所有的内部审计人员均能达到上述要求。我国对内部审计人员职业道德有一些零散的规定,但未形成系统规范,内部审计机构和人员普遍缺乏应有的职业道德的约束和指导,导致一些人故意放弃对重大问题的追查和揭露,徇私情或害怕打击报复,从而提供与事实不相符甚至完全相反的结论,存在道德风险。根据我国内部审计人员的现状分析,有极少数内部审计人员头脑中没有丝毫职业道德观念,直接代替管理层做出经营决策,这将严重阻碍内部管理审计工作的开展。
2.内部审计人员知识、能力和经验的不足。内部管理审计是一项专业性很强的工作,涉及会计、经济、管理、税收、信息系统等方面的相关原理,对内部审计人员的知识结构、业务水平及职业判断能力有很高的要求。现代管理日新月异,呈现“知识爆炸”的态势,由于内部审计人员的经验和能力是有限的。对于一个长期从事财务审计的人员来说,要转变为从事管理审计需要在实践中摸索一段时间。即便是管理审计经验十分丰富的人员也可能在审计过程中做出错误的判断而导致工作失误,因为管理审计的审计依据不如财务审计的审计依据客观,在更多情况下需要依赖内部审计人员自身的职业敏感度和判断力。凡此种种,都可能使内部审计意见出现差错,导致内部管理审计风险产生。
(三)内部管理审计方法本身的原因
1.制度基础审计模式的应用。目前,内部审计采用的审计方法是制度基础审计,但随着企业内部经营管理环境不断复杂化,这种审计模式的弊端日渐突出,尤其不适应开展内部管理审计的需要,因为它过分依赖于对企业内部管理控制的测试,本身就蕴藏巨大的风险。另外,管理审计是一个全新的内部审计领域,采用哪些审计程序和选用哪些审计方法并不容易确定。如果审计程序和方法选择不当,会造成审计时间延长、审计成本增加,也可能会遗漏一些重要的审计内容,未能发现重大的错弊行为,未能收集充分可靠的审计证据,使审计结论与实际情况不符,导致内部管理审计风险产生。
2.统计抽样方法和分析性审核方法的采用。传统的详细审核方法成本很高,不符合成本效益原则,因此这种方法逐渐被淘汰,只是在某些特殊的情况下才被采用。近年来则大量采用统计抽样方法。由于抽样审计本身是以样本的审查结果来推断总体的特征,因此,样本和总体之间必然会形成一定的误差,形成审计的抽样风险。虽然统计抽样是建立在坚实的数学理论基础之上,但其本身是允许存在一定的审计风险的。同样,大量的分析性审核也会产生相关风险,使审计风险的构成内容更为复杂。
三、内部管理审计风险的防范对策
内部管理审计风险的防范可以从以下几个方面着手:
1.尽快建立健全的内部管理审计法规体系,开发管理审计标准。审计标准是指审计人员对被审计事项进行评价的依据。离开了审计标准,审计人员就无法对被审计事项的真实性、合法性、效益性进行客观的评价和监督。由于企业的情况千差万别,内部管理审计机构可以自行开发适合本企业情况的管理审计标准。内部审计人员只有在建立了一整套适合本企业的管理评价体系之后,才可对被审计事项进行评价,使内部管理审计工作有法可依、有章可循,从而降低审计风险。
2.充分保障内部管理审计机构组织上的独立性。内部管理审计机构的独立性和权威性与其在组织中的地位有着密切的关系。内部管理审计机构的地位越高,越能保证内部审计的独立性,越有利于开展审计工作。从实施管理审计的要求上看,内部管理审计机构由董事会或其下设的审计委员会领导为最佳选择。当然,这只是形式上的客观要求,最关键的一点是,不论内部审计人员在组织系统中处于什么地位,他们应具有声誉、地位和得到最高权力当局的支持,使他们能够在企业中随时取得审计报告所需的信息。
3.对内部管理控制保持清醒的认识。内部审计人员在确定内部管理控制的可信赖程度时,应当保持高度的职业谨慎,充分关注其在实践中所固有的局限性。如:①内部管理控制的设计和运行受成本效益原则的制约。②内部管理控制可能因有关人员相互勾结或滥用职权而失效。③发生未预料事项或非常规事项,使现有的控制程序不适用。④内部管理控制可能会因管理环境或业务性质的改变而发生削弱或失效。⑤执行人员的粗心大意、判断失误以及对指令的误解而失效。
4.深入了解本企业的管理状况,保持敏锐的职业质疑。内部审计人员在运用应有的职业审慎时,应对出现故意做错、疏忽出错、效率低、浪费、无效的和利益冲突的可能性有所警惕。此外,应识别不恰当的控制系统,提出改进建议,以促进遵守适当的程序和惯例。一个称职的内部审计人员必须具备强烈的好奇心和敏锐的观察力,能够在看似无关的现象中发现舞弊的线索。深入了解本企业的管理状况能够使内部审计人员站在更高的角度上看问题,从而更有效地发现舞弊。管理当局舞弊必然有其动机,因此,只有对企业整体管理状况进行深入的了解之后,才有可能发现管理者潜在的舞弊动机。
5.强化内部审计人员的风险意识。内部审计人员是管理工作的具体执行者和操作者。强化他们的风险意识,对控制和防范内部管理审计风险有至关重要的作用。在管理审计的计划阶段,要认真评估管理控制的控制风险;在管理审计的实施阶段,要依法收集和认定审计证据,尽最大努力保证审计证据的客观性、合法性和充分性;在管理审计的报告阶段,对审计意见的表达应适当留有余地,避免使用绝对化语言等。可以建立审计责任追究制度,要求内部审计人员严格执行管理审计规范,将审计责任具体落实,促使管理审计各阶段和各级审计人员各负其责,各担风险。
6.改进内部管理审计的方法,尝试采用风险导向审计模式。制度基础审计虽然是审计实务的一大进步,但是制度基础审计本身存在着一个很大的缺陷:它对审计风险模式的运用是不全面的,使审计人员的注意力过于集中在被审计单位的内部控制上而忽视了审计风险产生的其他环节。风险导向审计全面贯彻和应用了审计风险模式,适用开展内部管理审计。风险导向审计通过对内部管理审计风险进行系统的分析和评价,来确定其能否控制在可以容忍的范围内。近几年来,风险导向审计在世界各国方兴未艾,其原因就在于,它在审计准备阶段就开始考虑审计风险,并把它控制在可以容忍的范围内,使审计过程成为一个不断克服和降低审计风险的过程,从而减轻审计人员的法律责任。内部管理审计应尽快实现向这种审计模式的转变,以提高内部审计质量和效果。