论文部分内容阅读
摘 要:本文通过对内部审计发展和风险管理中内部审计的重要性的论述,引出风险导向内部审计的应用依据并指出我国企业应用之后的存在问题,针对这些问题给出了一系列具体的应用对策以提高我国现代企业内部审计风险管理水平,促进企业成长,增加企业价值。
关键词:审计;内部审计;风险导向;风险管理
随着我国市场经济的进一步深入发展,企业面临经营环境的日趋复杂,不确定因素的增加,企业需要对可能存在的风险进行有效管理,而风险导向内部审计作为企业风险管理的重要手段,通常能在竞争激烈的环境中帮助企业有效地识别、估计、评价、控制和监控风险,从而提高整个企业的风险管理水平,增加企业价值,保证企业既定目标的实现,促进企业的可持续发展。
一、风险导向内部审计的重要性
风险导向内部审计已经成为结合内部审计和风险管理的一种有效工具,将审计计划与公司的风险战略管理连接在一起,内部审计人员通过对当前的风险进行分析,保证其审计计划与经营计划相一致,始终将风险管理原则贯穿于整个审计过程。而风险管理成为组织中的关键环节,内部审计重点不再只是测试控制,更重要的是确认风险及测试治理风险。换句话说,内部审计在对内部控制的效率和效果的评价、促进控制的改善和帮助组织加强控制的同时,更要参与风险治理,帮助企业识别、估计、评价、控制和监控重要的风险因素,促进企业改进风险治理体系。它既可以作为公司治理层的指南,也可用作发现和识别企业风险,进而满足企业控制、风险治理和监督等多方面的要求。
二、风险管理概述
近些年来,根据COSO的风险管理框架,一些国际会计公司提出了企业综合风险管理(Enterprise Wide Risk Management,EWRM)的概念,这种管理是要求内审工作超越企业内部各职能部门之间的隔离,实现全体的综合的和全员层次的行动进行综合的风险管理。它们通常都包括以下几个方面:
2.1企业风险管理的主体是组织或项目的管理层
国际内部审计师协会《实务公告2100-3:内部审计在风险管理中的作用》提出:“风险管理是管理人员的关键职责。要实现其业务目标,管理人员应该保证机构拥有健全的风险管理过程,而且这些程序正在有效地发生作用。董事会和审计委员会应该在确定机构是否建立欠当的风险管理过程中,以及这些程序是否充分有效运用等方面起监督作用”。
2.2企业风险管理过程一般有若干个环节组成,包括识别、估计、评价、控制(应对)和监控等。
2.3选择最佳的管理工具,体现成本效益原则。任何风险管理的工具(应对的策略)都需要发生一定的成本,应该将这种成本与它们的效果进行比较。风险管理的效果,体现在由于风险得到控制而减少的损失,或者提高了企业或组织目标实现的程度。
2.4风险管理的目标是将风险控制在可以接受的风险水平,保障组织目标的实现。由于风险是客观存在的,因此任何管理活动都离不可能将风险消除,只可能将风险控制在一定的水平。组织风险可以接受的水平,就是不影响组织目标实现所允许的风险水平。
三、风险导向内部审计的应用
3.1风险导向内部审计的应用依据
3.1.1 IIA内部审计实务标准中的风险管理框架
国际内部审计师协会(IIA)2004年修订的《内部审计实务标准》归纳了各国在风险管理审计中行之有效地实务,提出一系列与风险管理审计有关的实务公告。内部审计人员必须确认组织的风险管理过程是否着眼于以下5个目标。从总体上对该过程的充分性发表意见:
3.1.1.1识别组织风险,并进行排序
风险管理过程应该找出业务战略与活动领域的风险,并进行高低顺序的排列。
3.1.1.2确定组织可以接受的风险
组织管理层和审计委员会应该根据组织的战略目标和管理层对风险的偏好确定组织可以接受的风险水平、包括为实现组织的战略计划而接受的风险。
3.1.1.3将风险控制在可以接受的活动
风险活动应该设计、实施了降低风险的活动、将风险控制在管理层和董事会可以接受的水平上。
3.1.1.4持续的监督,定期对风险及控制的有效性进行再评估。
3.1.1.5定期报告,公司定期向利益关系人传达风险及控制情况。
董事会和管理应该定期收到风险管理的结果报告:同时,组织的治理结构也应该定期向利害关系人传达风险、风险战略和控制情况。
不同组织的风险管理过程有很大区别,审计应该确定所选择的过程对组织活动性质是适当的,并且应取得充分的证据,保证上述5个目标的实现。
3.1.2中国内部审计准则第16号—风险管理审计
中国内部审计协会于2005年颁布(第16号准则——风险管理审计),主要内容如下:
3.1.2.1风险管理理念
风险管理,是对影响组织目标实现的各国不同确定事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的过程。风险管理旨在为组织目标的实现提供合理保证。从上述概念中我们可以看到:1、风险是指“影响组织目标实现的各种不同确定性事件”;2、风险管理过程包括三个环节”识别与评估、并采取应对措施”;3、风险管理的目的是“为组织目标的实现提供合理保证”。
3.1.2.2对风险识别的审查
内部审计人员应当实施必要的审计程序,对风险识别过程进行审查与评价,重点关注组织面临的内、外部风险是否已得到充分、适当的确认。
审计结束后,内部审计人员应向组织适当管理层报告审查和评价风险管理过程的结果,并提出改进建议。
3.2目前我国企业风险导向内部审计存在的问题
3.2.1审计所依赖的会计资料。国际审计准则第六号风险评估和内部控制认为:审计风险是指审计师对含有重要的财务报表表示不恰当的审计意见的风险。我国独立审计准则第九号对其定义为:审计风险是指会计报表存在重大的错报或漏报,而会计师事务所审计后发表不恰当的审计意见的可能性。前者是通用的审计风险定义,后者是社会审计所面对的审计风险的定义,但可从中悟出审计所依赖的会计资料纰漏是审计的主要风险源。同样,现代企业内部审计在进行下级或同级财务审计时,当反映被审计单位及其经济活动事项的财务报告存在重大纰漏时,往往也会面临这一主要风险源。 3.2.2法人治理结构不当。法人治理结构不当,导致内部控制制度的设计不当或者说内部控制设计恰当但执行不当。现代企业法人治理结构中,内部审计部门置于何权力主体是决定内部审计独立性强弱的关键所在。在董事会、监事会、股东(大)会和总经理等结构主体中,内部审计对其中任何一个主体负责均有可能,而且此情况下的内部审计被认为相对地位较高,但不同结构主体对审计目标的设定必然有差别,这会导致现代企业审计监督采取不同的审计风险态度。如果法人治理结构不完善,很可能导致内部控制的无法执行,久之,做为内部控制的内部审计也难以作为。具体表现是:一是内部审计没有纳入法人治理结构中,各结构主体可管可不管,使内部审计部门可能陷入被边缘化角色,而内部审计人员是企业中的成员,没有超然的独立地位,可能会与被审单位产生密切的利益关系,从而导致内部审计的失效。二是内部审计即使纳入了法人治理结构中,但结构主体均不注重内部审计成果的利用,只是把内部审计做为一个普通的部门对待,加上内部审计业务的监督性与行政待遇的就地性,内部审计人员很难实行真正有效的监督与服务。
3.2.3内部审计对象的复杂化和审计业务范围的扩展。国际化速度加快,现代企业将融入国际市场,直接应对国际市场环境,在对内对外营销战略上,对政策风险、合同签订风险、合同履行风险和资本汇率风险的掌握和控制已更彰显其重要性,在不断完善法人治理结构的情况下,各结构主体往往授予内部审计对政策予以咨询、对重大经济合同予以审签等,这给内部审计带来了更多的困难。同时,随着信息化程度的提高,虚拟经济的不断发展,电子商务和网络经济使被审计单位会计信息资料越来越多,对掺杂其中的差错和虚假会计资料难以取证,使得审计人员的专业判断能力无以适从,导致在内部审计程序和方法的拟定中“要摸着石头过河”,所拟定的审计程序和方法本身具有“摸索性”,是否科学、适用,还需要审计实施过程的验证。
3.2.4现代企业主体多变。现代企业内部审计是内部控制的一个方面,在全球经济一体化过程中,市场竞争日趋激烈,产业周期大大缩短,企业主体稳定性变差,已显趋向于多变性。企业破产、重组、兼并和关联以及金融创新,使内部控制体系需要不断进行调整,同时也要不断变革传统的内部控制技术和方法,这样其有效运行很可能在某个环节或关键控制点的差错而失效,从而导致现代企业内部审计技术方法的不确定性。
3.2.5计算机数据处理技术的广泛运用。在现代企业中,会计帐目的处理已普遍运用计算机数据处理技术,这一技术的运用,本身就固有风险,一是电子化会计数据存在被滥用、篡改和丢失的可能性,贮存介质的非纸化,一旦数据被非法破坏和修改则难以查证,更何况还有计算机病毒、忽然断电、操作不当、网络传输故障等也会造成差错;二是电子数据存在易于减少或消失审计线索的可能性,一旦发生,利用传统的审计技术和方法几乎难以查获线索;三是原始数据的录入存在错漏的可能性。这些风险源的潜在性,也必然引起内部审计监督、检查的不确定性增加。
四、风险导向内部审计的具体应用对策
现代企业处在全球经济一体化、知识经济和信息化等大环境中,企业内部审计风险与日俱增。但我们只要从思想上警惕,在技术上采取相应的措施,在理论上予以突破,在制度上加以规范,就可以防患于末然,使审计风险降到最低程度。
4.1完善现代企业法人治理结构。构建完整独立的内部控制体系,是提高现代企业内部审计风险管理水平的关键。根据前述COSO的风险管理框架,现代企业要进行综合风险管理。在当今现代企业中,法人治理结构症结在于治理“失灵”,体现在大股东操作、管理层控制和外部干预等三方面。对此,首先要做的是加强法制,在企业内部控制体系中,要用立法规定把内部审计部门纳入法人治理结构中,由董事会、监事会、股东(大)会和总经理等结构主体之一归口直属主管内部审计工作,最好在董事会下设审计和风险管理委员会,使内部审计工作超越企业各职能部门之间的隔离,实现全体的和全员层次的行动进行综合的风险管理,予以提高内部审计在内部控制体系中的作用,树立内部审计人员的权威,可适当考虑优秀内部审计人员出任监事等“,通过系统化、规范化的方法,评价和改进风险管理、控制和管理过程的效果,帮助组织实现其目标”。其次,建立健全独立的内部审计机构,现代企业必须从机构设置、人员、经费及业务等方面保证审计的独立性。
4.2加强企业风险管理文化建设。一是现代企业要注重培育内部审计人员的全员的风险管理意识,让树立内部审计人员的权威深入人心,使内部审计部门成为独立而权威的有风险管理能力的参谋机构;二是内审机构应采用科学的风险管理模式,重视与各职能部门的信息交流,适时公布风险评估结果,让各职能部门管理人员经过调研核实,通过各业务部门横向和纵向的协调联动管理,确定各环节的风险源,通过风险识别、衡量、监测、控制和转移实现全面管理和全过程管理。三是完善内部控制机制,制定完善的内部审计标准和审计人员准则,保障现代企业治理机制的运行中,内部审计机构能有效工作。四是建立激励机制,提高职工责任心、道德素质,最大限度地控制住内部审计的风险源。
4.3加强内部控制的评审,建立内部审计风险清单。内部控制是防范风险最主要、最基本的保障线,识别和防范风险必须首先从内部控制的评审着手。
4.3.1评估。内部控制评估主要从如下几方面进行:(1)组织机构。设置是否合理科学,各职能机构横向、纵向关系是否明确,是否注重了相互牵制又能高效运转;(2)人事制度。岗位职权划分明确,不相容的职务要予以分离,同时要考虑控制风险的人力资源成本;(3)关键点控制。对重大投(引)资、资产处置、电子货币的划转、资金调度、信息化系统和主要经济业务事项的决策、执行以及信息反馈的相互监督、相互制约,评估其明确性和合理性;(4)防范措施。计算机会计信息系统的安全措施是否得当,对会计资料的保管程序是否明确,财产清查的范围、期限和组织程序是否明确得当,人力资源、信息资源、研发成果转化、高科技投资项目是否有一套完整的风险控制制度;(5)内部控制制度的时效性。内部控制要与现代企业法人治理结构始终相适宜,要以保障企业利益或股东权益最大化为目标,不断修改和完善内部控制程序和方法,在当今经济全球一体化中,随着现代企业管理模式和经营模式的多样化的建立,内部控制的时效性评估更加重要。通过评估,要建立内部审计初始风险清单。 4.3.2测试评价和处置。首先对照内部审计初始风险清单检查执行内部控制制度的经济业务和管理工作,通过符合性测试和实质性测试检查出错误和弊端,然后研究测试抽样样本中所发现的错误和弊端的性质和原因,并结合验证内部控制制度本身的风险,对内部控制制度以及执行其业务的可信度进行判断,确定内部审计风险清单,评价风险清单中各风险源的风险量。最后根据风险量的大小,通过计划、组织、领导、控制来确定内部审计控制风险的策略,达到规避、控制和转移内部审计风险。
4.4建立规范的、严格的信息披露制度,自觉接受市场监督。市场约束要求现代企业建立信息披露制度,在此过程中,风险信息居于关键性地位。董事会、高级管理层、经营管理部门等多个层次的分工合作,要满足股东的信息披露要求,把市场监督与现代企业自身的风险管理体系紧密结合。在企业破产、重组、兼并和关联以及金融创新等市场行为出现时,内部控制体系需要不断进行调整,但必须保持完善的法人治理结构,保障以内部审计为核心的内部控制体系的相对稳定性,避免因企业主体的改变而使内控的某个关键控制点出差错,从而减少内部审计风险;同时,内部审计要从解决企业管理层与股东信息不对称方面要有所作为,真正稳固自己在法人治理结构中的地位。
4.5内部审计机构本身要能打硬仗。现代企业在完善法人治理结构的过程中,把内部审计纳入治理结构中,有利于得到权力机构的保障,但“打铁还得本身硬”。首先,加强内部审计人员全面素质培养,是规避审计风险的内在因素。1、审计人员需要系统学习现代企业新的管理模式和加强对现代企业内部审计风险的理论研究,充分认识内部审计也是一项带有风险和重大责任的工作,在对待风险的态度上应保持高度的警惕,在制定审计方案时应注重从有形资产转移到无形资产,重智力资源、知识产权、人力资本和科技研发的审计。2、注重我国会计准则和国际会计准则的差异性,加强对参与国际间企业兼并、重组的企业会计理论的学习,便于正确判断两者差异性对审计结果的影响程度,从而有效地控制住现代企业的会计问题所转嫁的审计风险。3、全面提高内部审计人员的“一专多能”和“综合知识水平”。每个内部审计人员要有能独立从事财务、工程方面的审计能力,要能在英语、信息网络、财务(工程造价)软件的运用和电子商务方面有足够的实务操作能力。4、规范职业行为,实现规范化操作。按我国内部审计质量控制基本准则和实务具体准则进行审计的规范化操作,把握好审计的范围、对象、取证、抽样、测试等环节,提高内部审计质量。5、加强对现代企业内部控制评审的环境条件下,要积极探索和发展风险基础审计和环境审计。总之,现代企业内部审计风险随着经济发展模式的变革、会计资料的信息化和国际会计准则对我国会计行业的影响日益加大以及现代企业已直面世界重组并购风暴,使得企业主体多变而出现了新的变化,因此,现代企业内部审计风险管理也要“与时俱进”。“约定约束为基础,道德规劝为引导”应是现代企业审计风险管理的指导思想,是防范和控制内部审计风险的方针。把内部审计机构纳入法人治理结构,并始终注重内部审计风险评估,予以提高内部审计风险的辩识、估计、评价和处置水平,则现代企业内部审计风险管理就可掌控风险、化解风险,可全面提高现代企业内部审计风险管理水平。
参考文献
[1] 陈思维等:《经济效益审计》[M],中国时代经济出版社.2008,北京
[2] 王会金:《风险导向审计》[M],中国审计出版社.2000,北京
[3]徐德:《论现代内部审计的风险管理控制方法》[J],审计研究,2005(2)
[4] 王瑞杰、孙红梅:《加强内部审计风险管理之我见》[J],审计与理财,2005(2)
[5] 边华日、魏黑妹:《现代企业内部审计风险管理》[J],湘潭师范学院学报,2006(5)
[6]尹钧惠:《基于内部审计的风险管理研究》[J],经济研究参考,2005(52)
[7] 李歆:《风险导向内部审计含义解析》[J], 商业时代,2006(27)
关键词:审计;内部审计;风险导向;风险管理
随着我国市场经济的进一步深入发展,企业面临经营环境的日趋复杂,不确定因素的增加,企业需要对可能存在的风险进行有效管理,而风险导向内部审计作为企业风险管理的重要手段,通常能在竞争激烈的环境中帮助企业有效地识别、估计、评价、控制和监控风险,从而提高整个企业的风险管理水平,增加企业价值,保证企业既定目标的实现,促进企业的可持续发展。
一、风险导向内部审计的重要性
风险导向内部审计已经成为结合内部审计和风险管理的一种有效工具,将审计计划与公司的风险战略管理连接在一起,内部审计人员通过对当前的风险进行分析,保证其审计计划与经营计划相一致,始终将风险管理原则贯穿于整个审计过程。而风险管理成为组织中的关键环节,内部审计重点不再只是测试控制,更重要的是确认风险及测试治理风险。换句话说,内部审计在对内部控制的效率和效果的评价、促进控制的改善和帮助组织加强控制的同时,更要参与风险治理,帮助企业识别、估计、评价、控制和监控重要的风险因素,促进企业改进风险治理体系。它既可以作为公司治理层的指南,也可用作发现和识别企业风险,进而满足企业控制、风险治理和监督等多方面的要求。
二、风险管理概述
近些年来,根据COSO的风险管理框架,一些国际会计公司提出了企业综合风险管理(Enterprise Wide Risk Management,EWRM)的概念,这种管理是要求内审工作超越企业内部各职能部门之间的隔离,实现全体的综合的和全员层次的行动进行综合的风险管理。它们通常都包括以下几个方面:
2.1企业风险管理的主体是组织或项目的管理层
国际内部审计师协会《实务公告2100-3:内部审计在风险管理中的作用》提出:“风险管理是管理人员的关键职责。要实现其业务目标,管理人员应该保证机构拥有健全的风险管理过程,而且这些程序正在有效地发生作用。董事会和审计委员会应该在确定机构是否建立欠当的风险管理过程中,以及这些程序是否充分有效运用等方面起监督作用”。
2.2企业风险管理过程一般有若干个环节组成,包括识别、估计、评价、控制(应对)和监控等。
2.3选择最佳的管理工具,体现成本效益原则。任何风险管理的工具(应对的策略)都需要发生一定的成本,应该将这种成本与它们的效果进行比较。风险管理的效果,体现在由于风险得到控制而减少的损失,或者提高了企业或组织目标实现的程度。
2.4风险管理的目标是将风险控制在可以接受的风险水平,保障组织目标的实现。由于风险是客观存在的,因此任何管理活动都离不可能将风险消除,只可能将风险控制在一定的水平。组织风险可以接受的水平,就是不影响组织目标实现所允许的风险水平。
三、风险导向内部审计的应用
3.1风险导向内部审计的应用依据
3.1.1 IIA内部审计实务标准中的风险管理框架
国际内部审计师协会(IIA)2004年修订的《内部审计实务标准》归纳了各国在风险管理审计中行之有效地实务,提出一系列与风险管理审计有关的实务公告。内部审计人员必须确认组织的风险管理过程是否着眼于以下5个目标。从总体上对该过程的充分性发表意见:
3.1.1.1识别组织风险,并进行排序
风险管理过程应该找出业务战略与活动领域的风险,并进行高低顺序的排列。
3.1.1.2确定组织可以接受的风险
组织管理层和审计委员会应该根据组织的战略目标和管理层对风险的偏好确定组织可以接受的风险水平、包括为实现组织的战略计划而接受的风险。
3.1.1.3将风险控制在可以接受的活动
风险活动应该设计、实施了降低风险的活动、将风险控制在管理层和董事会可以接受的水平上。
3.1.1.4持续的监督,定期对风险及控制的有效性进行再评估。
3.1.1.5定期报告,公司定期向利益关系人传达风险及控制情况。
董事会和管理应该定期收到风险管理的结果报告:同时,组织的治理结构也应该定期向利害关系人传达风险、风险战略和控制情况。
不同组织的风险管理过程有很大区别,审计应该确定所选择的过程对组织活动性质是适当的,并且应取得充分的证据,保证上述5个目标的实现。
3.1.2中国内部审计准则第16号—风险管理审计
中国内部审计协会于2005年颁布(第16号准则——风险管理审计),主要内容如下:
3.1.2.1风险管理理念
风险管理,是对影响组织目标实现的各国不同确定事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的过程。风险管理旨在为组织目标的实现提供合理保证。从上述概念中我们可以看到:1、风险是指“影响组织目标实现的各种不同确定性事件”;2、风险管理过程包括三个环节”识别与评估、并采取应对措施”;3、风险管理的目的是“为组织目标的实现提供合理保证”。
3.1.2.2对风险识别的审查
内部审计人员应当实施必要的审计程序,对风险识别过程进行审查与评价,重点关注组织面临的内、外部风险是否已得到充分、适当的确认。
审计结束后,内部审计人员应向组织适当管理层报告审查和评价风险管理过程的结果,并提出改进建议。
3.2目前我国企业风险导向内部审计存在的问题
3.2.1审计所依赖的会计资料。国际审计准则第六号风险评估和内部控制认为:审计风险是指审计师对含有重要的财务报表表示不恰当的审计意见的风险。我国独立审计准则第九号对其定义为:审计风险是指会计报表存在重大的错报或漏报,而会计师事务所审计后发表不恰当的审计意见的可能性。前者是通用的审计风险定义,后者是社会审计所面对的审计风险的定义,但可从中悟出审计所依赖的会计资料纰漏是审计的主要风险源。同样,现代企业内部审计在进行下级或同级财务审计时,当反映被审计单位及其经济活动事项的财务报告存在重大纰漏时,往往也会面临这一主要风险源。 3.2.2法人治理结构不当。法人治理结构不当,导致内部控制制度的设计不当或者说内部控制设计恰当但执行不当。现代企业法人治理结构中,内部审计部门置于何权力主体是决定内部审计独立性强弱的关键所在。在董事会、监事会、股东(大)会和总经理等结构主体中,内部审计对其中任何一个主体负责均有可能,而且此情况下的内部审计被认为相对地位较高,但不同结构主体对审计目标的设定必然有差别,这会导致现代企业审计监督采取不同的审计风险态度。如果法人治理结构不完善,很可能导致内部控制的无法执行,久之,做为内部控制的内部审计也难以作为。具体表现是:一是内部审计没有纳入法人治理结构中,各结构主体可管可不管,使内部审计部门可能陷入被边缘化角色,而内部审计人员是企业中的成员,没有超然的独立地位,可能会与被审单位产生密切的利益关系,从而导致内部审计的失效。二是内部审计即使纳入了法人治理结构中,但结构主体均不注重内部审计成果的利用,只是把内部审计做为一个普通的部门对待,加上内部审计业务的监督性与行政待遇的就地性,内部审计人员很难实行真正有效的监督与服务。
3.2.3内部审计对象的复杂化和审计业务范围的扩展。国际化速度加快,现代企业将融入国际市场,直接应对国际市场环境,在对内对外营销战略上,对政策风险、合同签订风险、合同履行风险和资本汇率风险的掌握和控制已更彰显其重要性,在不断完善法人治理结构的情况下,各结构主体往往授予内部审计对政策予以咨询、对重大经济合同予以审签等,这给内部审计带来了更多的困难。同时,随着信息化程度的提高,虚拟经济的不断发展,电子商务和网络经济使被审计单位会计信息资料越来越多,对掺杂其中的差错和虚假会计资料难以取证,使得审计人员的专业判断能力无以适从,导致在内部审计程序和方法的拟定中“要摸着石头过河”,所拟定的审计程序和方法本身具有“摸索性”,是否科学、适用,还需要审计实施过程的验证。
3.2.4现代企业主体多变。现代企业内部审计是内部控制的一个方面,在全球经济一体化过程中,市场竞争日趋激烈,产业周期大大缩短,企业主体稳定性变差,已显趋向于多变性。企业破产、重组、兼并和关联以及金融创新,使内部控制体系需要不断进行调整,同时也要不断变革传统的内部控制技术和方法,这样其有效运行很可能在某个环节或关键控制点的差错而失效,从而导致现代企业内部审计技术方法的不确定性。
3.2.5计算机数据处理技术的广泛运用。在现代企业中,会计帐目的处理已普遍运用计算机数据处理技术,这一技术的运用,本身就固有风险,一是电子化会计数据存在被滥用、篡改和丢失的可能性,贮存介质的非纸化,一旦数据被非法破坏和修改则难以查证,更何况还有计算机病毒、忽然断电、操作不当、网络传输故障等也会造成差错;二是电子数据存在易于减少或消失审计线索的可能性,一旦发生,利用传统的审计技术和方法几乎难以查获线索;三是原始数据的录入存在错漏的可能性。这些风险源的潜在性,也必然引起内部审计监督、检查的不确定性增加。
四、风险导向内部审计的具体应用对策
现代企业处在全球经济一体化、知识经济和信息化等大环境中,企业内部审计风险与日俱增。但我们只要从思想上警惕,在技术上采取相应的措施,在理论上予以突破,在制度上加以规范,就可以防患于末然,使审计风险降到最低程度。
4.1完善现代企业法人治理结构。构建完整独立的内部控制体系,是提高现代企业内部审计风险管理水平的关键。根据前述COSO的风险管理框架,现代企业要进行综合风险管理。在当今现代企业中,法人治理结构症结在于治理“失灵”,体现在大股东操作、管理层控制和外部干预等三方面。对此,首先要做的是加强法制,在企业内部控制体系中,要用立法规定把内部审计部门纳入法人治理结构中,由董事会、监事会、股东(大)会和总经理等结构主体之一归口直属主管内部审计工作,最好在董事会下设审计和风险管理委员会,使内部审计工作超越企业各职能部门之间的隔离,实现全体的和全员层次的行动进行综合的风险管理,予以提高内部审计在内部控制体系中的作用,树立内部审计人员的权威,可适当考虑优秀内部审计人员出任监事等“,通过系统化、规范化的方法,评价和改进风险管理、控制和管理过程的效果,帮助组织实现其目标”。其次,建立健全独立的内部审计机构,现代企业必须从机构设置、人员、经费及业务等方面保证审计的独立性。
4.2加强企业风险管理文化建设。一是现代企业要注重培育内部审计人员的全员的风险管理意识,让树立内部审计人员的权威深入人心,使内部审计部门成为独立而权威的有风险管理能力的参谋机构;二是内审机构应采用科学的风险管理模式,重视与各职能部门的信息交流,适时公布风险评估结果,让各职能部门管理人员经过调研核实,通过各业务部门横向和纵向的协调联动管理,确定各环节的风险源,通过风险识别、衡量、监测、控制和转移实现全面管理和全过程管理。三是完善内部控制机制,制定完善的内部审计标准和审计人员准则,保障现代企业治理机制的运行中,内部审计机构能有效工作。四是建立激励机制,提高职工责任心、道德素质,最大限度地控制住内部审计的风险源。
4.3加强内部控制的评审,建立内部审计风险清单。内部控制是防范风险最主要、最基本的保障线,识别和防范风险必须首先从内部控制的评审着手。
4.3.1评估。内部控制评估主要从如下几方面进行:(1)组织机构。设置是否合理科学,各职能机构横向、纵向关系是否明确,是否注重了相互牵制又能高效运转;(2)人事制度。岗位职权划分明确,不相容的职务要予以分离,同时要考虑控制风险的人力资源成本;(3)关键点控制。对重大投(引)资、资产处置、电子货币的划转、资金调度、信息化系统和主要经济业务事项的决策、执行以及信息反馈的相互监督、相互制约,评估其明确性和合理性;(4)防范措施。计算机会计信息系统的安全措施是否得当,对会计资料的保管程序是否明确,财产清查的范围、期限和组织程序是否明确得当,人力资源、信息资源、研发成果转化、高科技投资项目是否有一套完整的风险控制制度;(5)内部控制制度的时效性。内部控制要与现代企业法人治理结构始终相适宜,要以保障企业利益或股东权益最大化为目标,不断修改和完善内部控制程序和方法,在当今经济全球一体化中,随着现代企业管理模式和经营模式的多样化的建立,内部控制的时效性评估更加重要。通过评估,要建立内部审计初始风险清单。 4.3.2测试评价和处置。首先对照内部审计初始风险清单检查执行内部控制制度的经济业务和管理工作,通过符合性测试和实质性测试检查出错误和弊端,然后研究测试抽样样本中所发现的错误和弊端的性质和原因,并结合验证内部控制制度本身的风险,对内部控制制度以及执行其业务的可信度进行判断,确定内部审计风险清单,评价风险清单中各风险源的风险量。最后根据风险量的大小,通过计划、组织、领导、控制来确定内部审计控制风险的策略,达到规避、控制和转移内部审计风险。
4.4建立规范的、严格的信息披露制度,自觉接受市场监督。市场约束要求现代企业建立信息披露制度,在此过程中,风险信息居于关键性地位。董事会、高级管理层、经营管理部门等多个层次的分工合作,要满足股东的信息披露要求,把市场监督与现代企业自身的风险管理体系紧密结合。在企业破产、重组、兼并和关联以及金融创新等市场行为出现时,内部控制体系需要不断进行调整,但必须保持完善的法人治理结构,保障以内部审计为核心的内部控制体系的相对稳定性,避免因企业主体的改变而使内控的某个关键控制点出差错,从而减少内部审计风险;同时,内部审计要从解决企业管理层与股东信息不对称方面要有所作为,真正稳固自己在法人治理结构中的地位。
4.5内部审计机构本身要能打硬仗。现代企业在完善法人治理结构的过程中,把内部审计纳入治理结构中,有利于得到权力机构的保障,但“打铁还得本身硬”。首先,加强内部审计人员全面素质培养,是规避审计风险的内在因素。1、审计人员需要系统学习现代企业新的管理模式和加强对现代企业内部审计风险的理论研究,充分认识内部审计也是一项带有风险和重大责任的工作,在对待风险的态度上应保持高度的警惕,在制定审计方案时应注重从有形资产转移到无形资产,重智力资源、知识产权、人力资本和科技研发的审计。2、注重我国会计准则和国际会计准则的差异性,加强对参与国际间企业兼并、重组的企业会计理论的学习,便于正确判断两者差异性对审计结果的影响程度,从而有效地控制住现代企业的会计问题所转嫁的审计风险。3、全面提高内部审计人员的“一专多能”和“综合知识水平”。每个内部审计人员要有能独立从事财务、工程方面的审计能力,要能在英语、信息网络、财务(工程造价)软件的运用和电子商务方面有足够的实务操作能力。4、规范职业行为,实现规范化操作。按我国内部审计质量控制基本准则和实务具体准则进行审计的规范化操作,把握好审计的范围、对象、取证、抽样、测试等环节,提高内部审计质量。5、加强对现代企业内部控制评审的环境条件下,要积极探索和发展风险基础审计和环境审计。总之,现代企业内部审计风险随着经济发展模式的变革、会计资料的信息化和国际会计准则对我国会计行业的影响日益加大以及现代企业已直面世界重组并购风暴,使得企业主体多变而出现了新的变化,因此,现代企业内部审计风险管理也要“与时俱进”。“约定约束为基础,道德规劝为引导”应是现代企业审计风险管理的指导思想,是防范和控制内部审计风险的方针。把内部审计机构纳入法人治理结构,并始终注重内部审计风险评估,予以提高内部审计风险的辩识、估计、评价和处置水平,则现代企业内部审计风险管理就可掌控风险、化解风险,可全面提高现代企业内部审计风险管理水平。
参考文献
[1] 陈思维等:《经济效益审计》[M],中国时代经济出版社.2008,北京
[2] 王会金:《风险导向审计》[M],中国审计出版社.2000,北京
[3]徐德:《论现代内部审计的风险管理控制方法》[J],审计研究,2005(2)
[4] 王瑞杰、孙红梅:《加强内部审计风险管理之我见》[J],审计与理财,2005(2)
[5] 边华日、魏黑妹:《现代企业内部审计风险管理》[J],湘潭师范学院学报,2006(5)
[6]尹钧惠:《基于内部审计的风险管理研究》[J],经济研究参考,2005(52)
[7] 李歆:《风险导向内部审计含义解析》[J], 商业时代,2006(27)