以风险为导向的内部审计应用解析
近年来,风险导向审计作为一种重要的审计理念和模式,逐渐广泛应用于各类审计业务实践。在内部审计业务中应用风险导向审计,对于内部审计部门合理、有效配置审计资源,进一步提高审计质量,控制审计风险具有重要作用。风险导向审计的引入,对于内部审计顺应企业发展规律,加强自身建设,更好地发挥“免疫系统”功能也具有深远影响。
一、风险导向审计是内部审计发展的必然趋势。
对于内部审计来说,所谓风险导向审计是指内部审计人员在对风险及其内部控制系统进行充分了解和评价的基础上,分析、判断风险发生的可能性及其影响程度,建立审计风险模型和风险评级标准,制定与之相适应的内部审计策略、审计计划和审计程序,将审计资源重点配置于高风险领域,将内部审计风险降低至可接受水平的一种审计模式。风险导向审计关注公司高风险领域对审计目标的影响,将对风险的辨识、分析和评价贯穿于审计工作始终;风险导向审计既应用于审计项目实践,也可以应用于审计业务规划,建立与企业全面风险管理体系相匹配的审计策略体系。因此,风险导向审计不仅仅是一种审计技术,它是因审计理念的转变而产生的审计模式、审计方法的革新。
经济社会的发展和现代企业管理技术的演变是风险导向审计产生的根本原因。一是企业经营环境的变化、经营规模的扩张、价值链的延伸、业务种类的增加,以及交易方式的多样化,都使企业经营风险日益复杂和多变,也使审计环境发生了巨大变化。内部审计在有限的审计资源条件下,继续实施详细审计变得不再现实。二是企业按照资本市场要求,或出于提升盈利能力和保持竞争优势的考虑,逐步发展演变出全面风险管理、战略管理等现代企业管理技术,为风险导向审计的产生奠定了理论基础。三是企业管理层对内部审计在风险内控管理中的作用逐渐重视、业务部门对内部审计的信赖程度不断提高,他们都希望内部审计能够与时俱进,及时发现经营管理中存在的控制漏洞和舞弊行为。在这种背景下,内部审计为了规避与日俱增的审计风险,基于对风险的理解和评估来制定审计策略和审计计划,将风险导向审计引入内部审计实践便成了必然选择。
二、风险导向审计将对企业整体风险的分析评价作为审计业务的基础。
与传统的审计方法相比较,风险导向审计带来的是审计理念和审计方法的重大转变。风险导向审计不仅仅依赖于对企业内部控制制度设计和执行情况的测试评价,更将审计视野扩展到对企业内外部环境、公司管治、战略管理等层面的全面风险评估,内部审计人员在审计时始终秉持合理的职业审慎,并将风险评估技术和分析性复核程序应用于审计项目全过程。
(一)强化了审计风险意识,扩展了审计范围,将审计重心从内部控制测试前移至公司层面的风险评估,将连续、动态的风险评估贯穿于整个审计过程。风险导向审计不再简单地直接实施内部控制测评,而是通过对企业经营环境、发展战略、公司治理、风险策略等方面的评估,发现潜在的经营管理风险,并将其逐级分解细化到具体的业务流程及其内部控制活动中,由此确定审计范围和重点。
(二)更加注重分析性程序的运用。在风险评估过程中,多层级、多线条、多维度的分析性复核程序将应用的更为频繁,对于任何审计对象,都将首先采用分析性复核措施发现风险环节。分析范围更加广泛,从对账务报表等事后数据的分析,延伸至对公司战略、风险管理体系、经营业绩、全面预算等风险管理起点的数据分析;分析工具更加科学,通过引入计算机审计技术,强化了对文本、数据的加工分析能力,也使审计抽样结果更加合理;分析对象更加多样,对所有财务和非财务数据都能运用分析性程序。通过分析性程序,可以多角度发现同一风险事件在不同经营领域、不同流程环节的各种表象,使风险评估结果更为可靠。
(三)增强了审计程序的针对性,提高了审计资源的使用效益。风险评估过程使内部审计人员对重要经营风险具有了更加直观和全面的认识,对风险的量化标准以及应予采取的控制措施在风险评估过程中也逐渐清晰,便于针对不同类别的风险制定、实施个性化的审计程序。将风险评估手段与审计程序进行有机结合,使审计资源有的放矢地集中到重要风险领域,促进其有效分配和利用,提高审计效率。
三、深入实践风险导向内部审计理念,为内部审计的发展营造了机遇。
(一)应用风险导向审计,对内部审计人员的整体素质提出了更高要求,将促使内部审计机构重视审计队伍建设。当前企业积极转变发展方式,更加注重发展质量和效率,也要求内部审计的职业水平能够不断适应公司经营发展变化;但与之相对应的是,内部审计人员普遍存在管理知识欠缺、经验不足、分析能力不强等问题,难以锻造敏锐的职业判断能力,无法适应风险导向审计要求。因此,内部审计机构应该以风险导向审计的应用为契机,加大职业培训,引进公司治理、法律、信息技术等专业人才,不断优化审计人员的专业结构。努力拓展审计人员关于宏观经济、战略管理、绩效管理、市场营销、信息技术、数理统计等复合性知识,培养对经济政策、法律法规的把握能力,以及对风险的理解和分析能力,在纷繁复杂的风险世界中保持应有的职业审慎和独立性,运用系统的、战略的观点充分评估企业所处的内外部环境及其所采取控制措施的适当性,降低审计风险。
(二)促使内部审计机构推进审计信息化建设,积极运用信息技术审计工具,提高审计效率。风险导向审计要求内部审计人员在审计过程中,收集足够多的环境、战略、经营、预算、报表、统计等财务和非财务数据,以便于充分评估公司层面的风险;内部审计人员也需要对收集到的数据进行分析、加工、提炼,但数据的收集及其分析,仅凭审计人员的手工操作是难以实现的。内部审计机构应当在企业集团范围内建立功能强大的信息系统,并且在公司管理信息系统及核心业务系统中嵌入审计模块、或与内部审计信息系统建立数据接口,一是更高效的实现对各类数据的获取、归集、审阅、核对、分析,二是使审计抽样更具有代表性,减少主观判断,三是实现对企业生产经营数据的实时监控,有利于实现事中的风险分析、预警和事后的风险评价、提示,满足内部审计人员开展风险评价的需要。
(三)积极推动内部控制体系的建立健全,完善以风险为导向的内部审计制度。应用风险导向的审计方法,要求内部审计人员首先从了解公司风险管理和内部控制入手,因此公司内部控制体系的健全程度,与内部审计风险和成本都直接相关。为了尽可能地降低审计风险,内部审计机构应充分履行监督、评价和咨询职能,积极发挥内部审计在全面风险管理的作用,推动公司建立健全内部控制制度,夯实风险管理的制度基础。同时,结合国家审计法规、准则规定及全面风险管理的需要,对公司现有审计规章制度进行全面梳理和优化,完善风险导向审计的具体程序和方法,使风险导向审计有章可循。
虽然应用风险导向审计的初衷是提高审计资源利用效率,但由于风险评估测试深度、广度的增加,以及人力资源、信息化系统的投入,都将在短时间内带来审计成本的大幅增加,这也是内部审计适应公司发展需要而主动转型的必经阶段。固定审计成本的增加,也会同步带来审计资源的结构优化和整合,使内部审计机构实施审计业务管理、项目管理及其质量控制更加高效。因此,从长远来看,应用风险导向审计更有利于审计目标的实现。
四、提高风险导向方法在内部审计实践中的应用效果。
(一)内部审计部门应当进一步增强对企业所面临的内外部风险的理解,提高对风险的理解和把握能力。既要以经营者的视野来衡量国家法规、宏观经济、行业监管政策、竞争格局等多方面环境因素对企业生产经营形成的外部风险,又要以管理者的视野来审视企业治理架构、战略规划、资源配置、内部控制等要素能否组成良性循环的风险管理体系。内部审计部门只有充分了解企业的风险,才能更好的对风险进行完整的识别、分解和量化,从而准确把握审计方向和重点。
(二)内部审计部门应建立动态的全面风险评估机制。经过对企业内外部风险的调查了解,并结合本企业生产经营特点,按照从上到下的方法,梳理企业核心的管理机制和业务流程,标识每个核心机制和流程中的关键风险点及其标准化的内部控制措施,明确每个部门、每位员工在风险控制活动中的职责;同时建立常态化的风险报告、收集、分析和评价制度,确保内部审计风险库不断得到充实和完善。
(三)在内部审计业务实践中,要注意平衡审计成本控制和审计风险控制,合理有效配置审计资源。风险导向审计的精髓就是准确识别高风险领域,并将审计资源重点配置于高风险审计领域。应用风险导向方法,并不意味着审计内容和审计程序的简单增加,而是在控制总体审计风险的基础上、根据现有的审计资源状况,对审计内容和审计程序有抓有放,对不同风险采取有针对性的审计方法。对于经过评估认为不存在重要风险的领域,可以采取降低样本量或穿行测试等方法适当简化审计程序。
(四)内部审计部门应循序渐进的引入风险导向审计方法,逐步探索和完善适合本企业实际的风险导向内部审计模式。如果忽视本公司经营管理基础、不切实际的盲目照搬风险导向审计模式,将为内部审计带来更大的审计风险。内部审计转型过程中,在传统审计项目中辩证地引入风险导向审计手段,弥补传统审计对风险辨识、分析和评价中的不足,能够实现控制审计风险和审计成本的阶段性目标。当公司管理基础和审计资源能够满足风险导向审计的实施条件时,内部审计部门可以在更多的审计项目甚至在审计业务规划、管理中使用风险导向审计模式。
学习现代风险导向审计方法,并将其应用于公司内部审计业务管理和项目实施中,对于实现审计目标、保证审计质量、节约审计资源、提高工作效率具有重要意义,对于提升内部审计价值、焕发内部审计生机与活力也具有深远影响。因此,内部审计应在审计工作实践中,积极探索现代风险导向审计方法,不断总结审计经验,使之在审计工作中发挥更大的效能。