管理审计与风险导向审计比较分析
摘要:随着外部风险基础审计的发展,内部审计也应在适应环境的基础上加快发展。本文着重对管理审计与风险导向内部审计进行了比较,分析了两种审计模式的特点,阐述了管理审计模式和风险导向内部审计模式两者的利弊得失及其适用的审计环境,以期从理论和实务上对两种审计模式有较为全面的认识。
关键词:管理审计;风险导向审计
一、管理导向与风险导向审计模式分析
(一)管理导向内部审计(简称管理审计)
随着审计实践的发展,管理审计已由具体的业务和控制等较低层面转向了管理目标、方针、决策等高层面。通过对组织内部的各种管理活动进行独立、客观、建设性、面向未来的检查和评价,目的在于协助组织的管理层(包括管理人员和董事会成员)有效履行其职责,把握企业经营管理的关键所在,帮助管理当局改进决策,提高企业未来的获利能力和经营能力,更好地完成受托管理责任。但它更关心的是企业整体利益和整体实力的提高,在协调局部利益和眼前利益的基础上,充分体现整体利益、长远利益和企业的可持续发展目标。其目标就是要确定企业资源使用的效率性、效果性和经济性(即3E)(劳伦斯,索耶,汤云为等译,1990),促使企业根据审计结论来调整企业不适当的管理机制,提高企业利润并达到企业的其他目标。尽管如此,管理审计还存在以下缺点:首先,管理审计以评价被审计单位责任中心的内部控制制度及其执行情况为重点,虽然对内部控制的风险也要评价,但主要是从总体上对内部控制进行评价,并对其实施对审计风险的管理。并没有以确认和评价企业内部管理人员等产生风险的各个环节与因素为重点,没能为有效降低审计风险提供指南和帮助,而且影响审计风险的因素远超出内部控制系统的作用范围。如管理人员的品行和能力、行业所处环境、业务性质、容易产生错报的会计报表项目、容易受到损失或被挪用的资产等导致的风险,又受到内部控制风险因素的影响。它主要关注企业内部的风险因素,而较少关注来自企业外部的风险因素。其次,企业内部审计师在审计后针对发现的问题提出的增加控制点或加强内部控制的其它建议,将使审计责任中心的控制点日益增多,各项工作日益繁琐,使管理系统的效能呈递减趋势。另外,对具体审计项目实施审计时,采用对内部控制制度及其执行情况诸方面的一般性评价来选择重点审计的领域,没有将被审计责任中心本身乃至与整个企业有关的管理风险,作为对内部控制评估下作为重点。
(二)风险导向内部审计
20世纪90年代起,人类社会已从工业经济时代步入信息时代,从此人们的生活方式、交流方式、组织的经营方式、管理方式、国家的管理规则和市场的运作模式等发生了深刻的变化,管理环境也不仅变得日益复杂,而且愈来愈不稳定。首先,环境的多样性和多变性促使内部审计必须更加注重对风险的分析,必须从传统的对内部控制和其他管理活动的事后评价转向对可能影响企业目标和战略的风险的事前评估;其次,内部审计必须注重价值的创造,能够成为企业价值链环节之一的条件是该活动能够创造价值或为其提供支持,因而内部审计活动必须成为增值活动才不会被视为阻碍创造企业价值的多余活动;最后,内部审计还必须能提供满足不同顾客要求的服务,提供特定服务满足不同顾客的要求是内部审计增加生存能力的必然。因此,树立为组织创造价值的目标就成了内部审计自身发展的必然要求。正是20世纪90年代以来,经济的全球化、信息化技术的发展、组织受托责任的失败,冲击着内部审计的理论和实务,也对内部审计提出了新的要求:内部审计从最初以会计为导向发展为现在以风险为导向。而管理审计的重点是高层次的管理决策与活动,是事后的评价和反馈。而风险意味着对未来的预测,它可以使内部审计将审计对象和企业目标紧密连在一起,将事后评价反馈延伸到事前和事中。21世纪的计算机信息网络技术、全球化经营以及个性化定制为风险导向内部审计的产生创造了管理环境,公司治理、内部控制以及风险管理等领域相关法规的出台也为内部审计提供了新的平台,同时受托责任的内容和层次也得到了进一步的丰富,因此内部审计从管理导向内部审计转向帮助企业评估各种风险、利用各种机会或减轻对战略的威胁的风险导向内部审计是历史的发展必然。
二、管理审计与风险导向内部审计比较
(一)产生背景的比较
20世纪70年代,随社会政治经济的发展。委托人的受托责任观念日益增强,不再满足于对财务报告进行鉴证,进一步要求对受托人的经营管理行为的效率和效果进行认定、计量和报告。而公司治理的理论及实践促进了公司制企业发展,对公司治理问题的研究扩大了管理理论的视野,丰富了管理理论的内容。公司治理也成为连接企业内部和外部环境的桥梁,保证了管理的正当性和有效性。特别是审计委员会制度的建立提高了内部审计的地位和独立性,从而为管理导向内部审计的开展提供了客观条件。企业风险导向内部审计则是以审计风险的分析、评价为前提,根据审计风险的大小,选定审计的范围、重点和方法,并予以实施的一种审计模式。而审计风险不仅受到企业固有风险因素的影响,又受到内部控制风险因素的影响,管理审计虽然也对内部控制的风险进行评估,但主要是从总体上进行评价,没有把被审计人的各方面的管理(经营)风险纳入审计范围并作为重点来评价。因而,对审计风险问题,也没有予以足够的关注。
风险导向内部审计产生的原因主要体现在以下方面:
(1)管理审计的内在缺陷及应对措施是风险导向内部审计产生的技术因素。其实,内部审计职业界早就意识到了审计风险,但对如何将审计风险与具体审计程序结合起来却束手无策。一方面它只将审计风险因素作为要了解和分析的众多因素中的一个,注意力比较分散,因而对风险因素关注不够;另一方面,过分依赖对内部控制制度及其执行情况的一般评价(测试)结论,而忽视审计风险产生的其他环节。企业内部审计的证据需从企业内部甚至外部许多领域获得,但管理审计模式却缺乏一种可接受的能量化的方法将各种信息来源连接起来,因而做出的一些主观判断,可能发生较大偏差,可能使有些重大错舞和弊端不能被审计师发现。风险导向内部审计正是从企业面临风险的角度来评判内部控制系统的设计和执行,对企业治理方案进行测评,从影响企业目标实现的各种风险因素出发,就内部控制设计是否健全、关键的控制点执行是否有效、控制的薄弱环节、治理和改善措施的可行性等进行认定,评价风险管理和控制对企业实现目标的影响,并且站在风险的高度,在风险环境中观察经济业务的发展过程,从而采取适当的措施规避风险,促使企业健康顺利地发展壮大。
(2)企业面临的高风险经营环境是风险导向内部审计产生的社会因素。在信息时代的社会中,企业所面临的外部环境和市场竞争不确定性越来越大。一方面变化周期缩短,外部环境和市场竞争的变化速度也超过以往任何时代;另一方面外部环境和市场竞争的变化越来越彻底,企业明天的生存和发展环境可能与今天的几乎没有任何必然的联系。因而企业生存与发展的关键,更取决于对未来环境变化的把握与适应,也必然促使企业在战略目标、重大投资决策、日常经营活动和绩效评估等各个方面高度关注风险因素,并且要求企业的职能部门在进行各自的职能活动时高度重视风险,并将其纳入到企业的整体风险管理范围之内,因此风险管理成为高风险环境下企业活动的中心任务。内部审计作为企业内部的职能部门,必然应成为企业风险管理的有效组成部分,通过评估和提出改善风险的建议,为专业的风险管理部门或专职的风险管理人员提供咨询与保证服务,从而导致风险导向内部审计。
(3)企业内部审计外部化趋势威胁着内部审计生存的职业空间。内部审计外部化,是指企业将内部审计的部分或全部职能交给外部的会计师事务所等中介机构完成,企业给这些机构支付相应费用的现象。在激烈的市场竞争中,企业可以根据自身的优势,集中资源做自己擅长的项目,而把自己不擅长的项目外包出去,从而可发挥核心竞争力优势。首先,内部审计作为一个企业的内部职能活动,在时间上具有重复性的特点,因而基本符合外包的条件;其次,外部审计在会计报表审计的过程中就非常重视对企业内部状况的审查与评价,从而对企业内部控制评价逐渐形成了专业上的相对优势,使得外部审计参与内部审计外部化成为可能;再次,近年来外部审计业务面临着日益严重的法律诉讼和同业低价竞争危机,而审计业务的收费却持续走低,非审计服务的收费甚至成为事务所收入的主要部分,因此外部审计被迫转向内部审计外包和管理咨询等非审计服务;最后,管理层要么出于成本效益的考虑,要么为了影响会计报表审计的意见类型,要么为了诱使外部审计降低审计收费,越来越倾向于内部审计外包。这就动摇着它在组织中的地位,威胁着它的职业生存。因此,内部审计为整个组织提供风险方面的咨询与保证服务,积极推行风险导向内部审计,将提高其在组织中的不可替代性,减弱外部化带来的不利影响,从而保持和拓展其职业生存空间。
(二)指导思想的比较
管理审计和风险导向内部审计分别产生于不同的历史时期,这不仅反映了审计理论和实践的发展,也反映了它们所处的不同时代的理论环境。“二战”后,资本主义国家经济迅速发展,垄断企业的规模扩大,企业股份高度分散化。随着企业经营活动的范围扩大,外部环境对企业的影响是企业管理层不得不面对的问题。但是以往的古典管理理论都只侧重于管理的某个方面,一般把企业视为“封闭系统”,而很难回答这一问题。于是,促使了系统论、控制论、信息论等的出现并成为管理理论的方法论基础。正因为系统论、控制论是管理审计的指导思想,因此,内部审计首先是进行专门的内部控制系统评审,尤其是通过健全性评价和符合性测试来确认控制系统是否薄弱(缺少一些控制点)或失控(缺少关键控制点或较多的控制点),进而查明问题原因及后果,并要求有关方面制定措施加以解决或消除隐患,以改进控制,减少损失,提高效益;其次是开展管理审计,即以评价管理(经营)责任为主要的业务内容,通过对经营管理活动进行审查与评价,并采用一定的标准来衡量其经济性、效率性及效果性,从而找出差距,挖掘潜力,提高效益,或证实效益优劣,评价管理绩效,提供咨询意见,增加公司价值。随着现代信息技术的进步,战略管理理论和企业再造理论的出现对内部审计产生了深远的影响。审计行为是一种有风险的行为,审计风险与内部审计师形影不离。由于审计风险急剧增加,为力求减少风险,内部审计师必须运用风险管理理论来指导审计工作,这就促使了风险导向内部审计产生。风险导向内部审计是以影响企业经营目标实现的经营风险为依据确定审计项目,以企业进行的所有降低风险的活动为测试重点,评价风险降低的充分性和有效性,并提出恰当的降低风险的方法。国外企业审计实践证明,在内部审计领域实施风险导向内部审计,改变了内部审计人员探讨风险和内部控制的方法,为内部审计参与风险管理提供了基础,并促进了内部审计与其它风险管理要素的结合。
(三)内部审计目标和范围的比较
内部审计经历了四个阶段(表1):财务导向内部审计(SRIANO.1、SRIANO.2),业务导向内部审计(SRIANO.3、SRIANO.4),管理导向内部审计(SRIANO.5、SRIANO.6)和风险导向内部审计(2001年内部审计实务标准框架)。其中每个阶段并不是孤立存在的,每一阶段都是对前一阶段的继承和发展。内部审计因受托责任而产生,其发展体现了受托责任发展变化的规律。管理导向内部审计模式以评价被审计责任中心的内部控制制度及其执行情况为重点,尽管对内部控制的风险(即薄弱环节)也要评价,但主要是泛泛地对内部控制进行评价,没有把被审计人的各方面的管理(经营)风险作为重点来评价。因而,对被审计人的风险即审计风险问题,也没有予以足够的关注。而企业内部风险导向审计模式,内部审计师不但要评价被审计人的内部控制的风险,而且要评价产生这些风险的各个环节和因素,即,风险导向内部审计模式很重视对管理(经营)风险产生原因和要素的分析,还要求内部审计师要将被审计责任中心放在大的经济甚至政治、文化环境中,从构成被审计责任中心内部控制系统的各个要素方面,对审计风险进行分析、评价。只有这样,审计师才能正确地识别风险因素,制定审计方针、策略,确定进一步审计范围、重点和方法,才能确定从何处收集和怎样收集审计证据、收集哪些性质和类型的审计证据、收集多少审计证据,进而提出正确的审计结论和有效防范管理风险的建议,帮助被审计责任中心管理当局有效履行其风险管理方面的受托管理责任。
(四)内部控制理解的比较
在内部控制发展的进程中,有两大重要因素:一是企业管理理论与实践。在法约尔提出控制是管理的职能之后,随着管理实践的复杂,内部控制的理论与实务也快速发展。二是审计理论与实务。20世纪40年代至70年代,内部控制的发展进入内部控制制度阶段。这一阶段内部控制开始有了内部会计控制和内部管理控制的划分,主要通过形成和推行一整套内部控制制度(方法和程序)来实施控制。内部控制的目标除了保护组织财产的安全之外,还包括提高会计信息的可靠性、提高经营效率和遵循既定的管理方针。1936年,美国注册会计师协会首次提出内部控制的概念。1949年,美国注册会计师协会(AICAP)修改了内部控制的定义:内部控制制度包括企业内部采用的机构计划和所有有关的调整方法和措施,其目的在于保护企业的财产,检查其会计资料是否正确可靠,以及提高业务效率,促进经营方针、组织计划的贯彻和企业内部所有调查方法的实施。该定义已经超越了与财务和会计职能有直接关系的内容,而涉及经营管理等多方面。目前人们开始逐渐将风险概念引入到审计领域之中。融入了风险理论以后,管理审计开始向风险导向审计阶段过渡,内部控制的概念也发生了重大变化。1988年AICAP发布了第55号审计准则公告《财务报表审计中内部控制结构的考虑》,提出研究和评价“内部控制结构”问题,从“制度二分法”到“结构分析法”这是内部控制发展史上一次重大的转变。20世纪80年代至90年代初,内部控制的发展进人内部控制结构阶段(严晖,2004)。开始把控制环境作为一项重要内容与会计制度、控制程序一起纳入内部控制结构之中,并且不再区分会计控制和管理控制。控制环境反映企业的各个利益关系主体(管理当局、所有者和其他利益关系主体)对内部控制的态度、看法和行为。内部控制经发展到内部控制整体框架阶段,内部控制包括五大要素。与此同时,审计模式也向风险导向内部审计转型。到2004年企业风险管理框架(ERM)的实施,内部控制与风险管理之间的融合已是一种必然的趋势。随着社会政治经济环境的变化,企业内部控制日益庞大,不同阶段的审计模式对内部控制有相应的理解。从审计模式的历史演进看,管理审计理解的内部控制是内部控制制度并逐渐转向内部控制结构。风险导向内部审计理解的内部控制是内部控制整合框架。
(五)内部审计资源分配的比较
管理审计虽然也涉及审计风险问题,但主要关注被审计单位的内部控制制度,而忽视审计风险产生的其他环节。由于没有进行系统的审计风险分析,容易导致审计资源在审计领域的不恰当分配,进而影响审计工作的效率和效果。而风险导向内部审计以审计风险为线索,运用审计风险模型指导整个审计工作,能够把主要精力放在企业实现目标过程中面临的主要问题和风险,并将事后评价反馈延伸到事前和事中,使内部审计成为企业价值链中的必要环节。在此内部审计人员关注的并非控制的充分性和遵循性,而是风险是否得到适当的管理和控制,从而内部审计人员通过风险与组织目标的实现直接联系起来,并在保证了审计效果的情况下提高了审计效率。
(六)审计方法的比较
首先,管理审计从了解内部控制着手,利用问卷调查法、流程图法将了解的内部控制结构描述出来,然后运用穿行测试对其健全性、有效性进行测试并做出评价。而根据控制范围的差别,内部控制可分为内部会计控制和内部管理控制。实施管理审计在关注内部会计控制之外,主要的是评价内部管理控制。审计取证的技术方法有查阅法、调查表法、核对法、观察法、询证法、分析性复核法、抽查法。风险导向内部审计的基本方法有风险评估、内部控制自评(CSA)、实施控制测试等。风险评估是风险导向内部审计的重点,在评估风险时融合了企业风险与审计战略,使内部审计所选择的对象更加针对企业高风险的领域,从而提供更相关的、有价值的服务。风险识别是指借助于各种分析方法,完整地辨识出风险的来源和所在。这些方法主要有政策分析法、制式表格法、财务分析法、流程图分析法、实地检视法等。显然,仅运用一种或两种方法是没有办法全面识别企业所面临风险的。因此,内审人员在评估时要充分、合理地利用各种风险识别技术,来确认企业所面临的风险是否得到了最大程度的暴露。内部控制自评(CSA)(严晖,2004)要求内部审计人员与被审计部门管理人员组成一个小组,在内部审计人员的帮助下,管理人员对本部门内部控制的恰当性和有效性进行评估,然后审计人员根据评估结果指出因内部控制中存在的缺陷而给企业生产经营所带来的风险,并提出审计建议,最后由管理者实施。对于企业而言,内部控制自评提供了一个风险识别的有效工具,保证内部审计人员和管理人员共同发现内部控制中存在的风险,并使企业能够对内部控制有更全面的了解;对管理部门而言,内部控制自评可以反映当前管理控制中存在的问题,也向高层管理部门表明他们对现在内部控制的态度,明确管理责任,有利更好的履行职责;对内部审计组织而言,内部控制自评最重要一点是让管理部门了解到对内部控制的责任,使管理人员更清楚内部控制的缺陷,更愿意主动接受审计人员的建议对其进行改善。控制测试是对内部控制结构了解的基础上,为了确定内部控制结构政策和程序是否有效执行而实施的审计程序,目的是通过对内部控制测试,取得适当的审计证据以支持较低控制风险估计水平。然而,现代审计对内部控制的研究和评价范围,已不再像以前只局限于内部会计控制,它已发展到了对相关控制环境的审查。根据在计划阶段对内部控制结构以及对控制风险的初步评价,审计人员首先要判断是采用较低的控制风险估计水平法还是采用主要证实法。如果采用较低控制风险估计水平法,审计人员还应进行控制测试,目的是搜集更多的证据来支持较低控制风险的判断。如果采用主要证实法,可以直接进入实质性测试。
由于企业内部审计资源有限,各种管理决策、业务活动、内部控制等都属于内部审计的范围,内部审计活动不可能涵盖所有的范围。而管理审计仅以内部控制测试为基础实施审计很难将审计风险降至可接受的水平。因此在评估现代内部控制过程的充分性和有效性时,风险导向内部审计采用了与传统内部审计不同的逻辑顺序:目标——风险——控制,通过风险自我评估、控制自我评估等方法,在评估风险时还融合企业风险与审计战略,确定企业的高风险领域,并结合企业内部控制的实际情况,促使内部审计所选择的对象主要针对企业的高风险领域,以提供更相关、更符合管理层和董事会需求的确证信息,并促使把风险降低到可以接受的水平。从而帮助企业建立、实施并完善ERM,同时提供咨询服务,还促使组织所有成员参与ERM。