摘要:近年来,审计理论界对风险导向审计与内部控制评审相结合的争议不断。本文从风险导向审计的基本概念、二者的区别和相互结合的必要性及采取的措施做了一个比较深入地分析。
随着2008年美国次贷危机的爆发和法国兴业银行丑闻的曝光,世界各国的专业管理机构和企业的管理层纷纷将内部风险管控和外部市场监管作为最重要的课题进行研究。同时,各类审计机构也将风险管理作为审计的首要目标,实施风险导向审计,确保企业有效防范各类经营风险,实现企业目标。然而在审计实践中,许多审计人员存在风险导向审计与内部控制评审概念混淆、程序错乱和结论偏颇等问题。笔者结合实际工作,对二者的区别及相互结合的必要性做一个粗浅的分析。
一、基本概念
内部控制评审是指对内部控制系统设计的合理性、执行的有效性进行动态分析,以促进内部控制有效实施和持续改进。审计人员在实施审计时,对内部控制评审的结果分别采取不同的审计方式。其中,对内部控制存在缺陷的环节,通常是将其涉及的交易和账户余额作为审计的重点;对于可以信赖的内部控制环节,通常将其涉及的交易和账户余额进行抽样审计,以提高审计效率和降低审计费用。从方法论的角度看,内部控制评审实际上是制度基础审计方法的基础。
风险导向审计是指审计人员在审计过程自始至终都以企业经营风险分析评估为导向,根据量化的风险水平排定审计项目优先次序,依据风险确定审计范围与重点,对企业的风险管理、内部控制和治理程序进行评价,进而提出建设性的意见和建议,协助企业管理风险。从方法论的角度看,它是以风险基础为模型的审计方法。风险导向审计自产生以来,经历了两个阶段,理论界把以“审计风险=固有风险×控制风险×检查风险”为基础进行的审计称为传统风险导向审计模式;把以“审计风险=重大错报风险×检查风险”的模型为基础,以被审计单位的经营风险为导向的审计方法称作现代风险导向审计模式。本文所要讨论的风险导向审计是指后一种——现代风险导向审计。
二、主要区别
(一)工作视野与工作范围不同
内部控制评审的视野通常情况下仅仅局限于被审计单位内部控制系统的健全性和有效性,局限在企业内部管控方面,而风险导向审计却是将被审计单位置放在一个大的对外开放的市场经济环境中,将企业所处的行业状况、政策环境、监管环境、战略规划、经营目标和业务流程等各方面因素全部予以综合考虑。它运用立体的、全方位的思维和方法来评估企业所面临的风险,进而确定企业的风险因素,采取有效措施,加以防范。显然,风险导向审计的视野与工作范围要远远大于内部控制评审,其工作面十分地宽泛。
(二)工作目标不同
内部控制评审的工作目标通常是通过对被审计单位已经存在的内部控制体系进行测试、评价,进而查错纠弊,保护企业资产的安全、完整。而风险导向审计却是通过风险评估,发现风险点,改善风险管理,变被动的事后评价为事前、事中和事后相结合的动态审计,目标是促进企业有效地增加价值,提高运作效率。
(三)工作思路不同
内部控制评审的工作思路通常是一种“自下而上”的思路,具体表现为:首先以企业的内部控制框架或标准作为参照物,检查企业是否设计了应有的内部控制制度,评价内部控制制度是否健全;然后,对已有的内部控制制度进行符合性测试,评价内部控制制度的遵循性;最后,综合评价被审计单位内部控制制度的健全性和有效性,从而确定企业的风险因素,并提出防范风险的建议。
风险导向审计却是一种“自上而下”的工作思路,具体表现为:首先,了解和确定被审计单位的战略目标和经营目标;其次,通过“合理的职业怀疑假设”来识别和评估企业实现目标可能存在或面临的风险;再次,通过查证和职业判断确定企业内部控制制度是否健全,设计是否合理,是否足以防范风险,制度是否得到有效执行;最后,对控制的空白或缺陷进行综合分析,进而提出改进内部控制的建议。
显然,内部控制评价的工作思路是控制→风险,而风险导向审计却是风险→控制,二者的思路正好相反。同时,内部控制评审通常是采取固定化的、标准化的审计程序进行工作,而风险导向审计则是根据风险评估结果,针对不同的审计对象和审计领域设计审计程序,其审计程序表现出“个性化”的特点。
(四)审计给企业带来的成本和效率不同
大多数审计机构在对被审计单位实施内部控制评审时,通常偏重于对各项内部控制制度进行直接测试,提出增加控制环节的建议。随着持续性的内部控制测试工作的进行和时间的推移,企业的内部控制环节越来越多,业务流程越来越长,控制成本越来越大,企业的运作效率越来越低。而风险导向审计在工作过程中,由于把企业的风险作为着眼点,重点关注有风险的领域、环节是否有控制,对是否增加控制环节要求与风险因素紧密结合。同时,由于风险导向审计还关注由于机构的运作效率低下影响企业价值增加的风险,进而可提出减少控制环节,删除重复控制或交叉控制或不必要的控制的审计建议,从而可大大减少控制成本,提高机构运作效率,增加企业价值。
三、二者相结合的必要性
(一)企业风险导向审计基础不完备
我国国有企业建立现代企业制度至今不到30年,目前,除少数海外上市公司外,大多数国内企业还没有建立风险管理委员会,企业还没有形成风险管理理念。即使是一些建立了风险管理委员会的上市公司,由于受根深蒂固的传统观念影响,在实际管理过程中,风险管理理念的意识仍然比较淡薄,风险管理工作流于形式。到目前为止,我国还没有强制要求上市公司编制年度风险评估报告,年度会计报告还没有经注册风险评估师予以签认。2008年,我国《企业内部控制基本规范》才颁布实施,这表明我国绝大多数上市公司和国有大中型企业还处于内部控制体系建设时期,因此,各类审计机构审计还只能处于以内部控制评审为基础的制度基础审计阶段,甚至对还未建立内部控制体系的企业只能停留在传统的账目基础审计阶段。
(二)信息化建设还不能满足需求
现代风险导向审计的重要特征是审计重心前移,审计人员首先执行风险评估程序,充分了解被审计单位的整体经营环境和所处行业及区域的战略规划,并根据风险评估结果设计个性化的审计程序。由于市场经济环境的双向开放性,各种信息的变化越来越快,越来越复杂,如果审计机构不能及时掌握信息的变化,做出的风险评估报告将无法做到客观,所设计的审计程序无法满足审计目标的实现。从目前来看,绝大多数审计机构都未能建立起开展风险导向审计工作所必需的强大的信息系统,审计信息化建设还达不到现代风险导向审计的客观需求。
(三)审计人员的业务素质还达不到要求
由于现代风险导向审计是一种全新的审计理念和审计方法,它对审计人员的业务素质提出了很高的要求。它不仅要求审计人员必须具备丰富的审计理论和实践经验,还要具备必需的管理学知识、经济学知识,甚至与被审计对象相关的专业知识。它还要求审计人员能够运用系统的、战略的观点充分了解、分析企业所处的宏观经济环境和行业发展状况,对有可能导致企业会计报表错报风险的内外部因素进行客观、系统的分析与评价,并将审计视角扩展到内部控制以外,从较高层面上评估风险。目前,各类审计机构的绝大多数审计人员都尚未达到这样的素质,还无法满足风险导向审计的主观要求。
笔者认为,各类审计机构在实施审计任务时,应将风险导向审计与内部控制评审进行有机结合,促进企业有效地防范风险,实现经营目标,具体实施审计任务时,可采取以下几项措施:
一是开展内部控制评审时,将风险导向审计中的控制风险理念和方法融入进去,改善内部控制评审的方法和结果,减少审计风险,同时也为各类审计机构从以内部控制评为基础的制度基础审计过渡到风险导向审计积累一些有益的经验。
二是审计机构自身要加快信息化建设步伐,并自行开发或委托开发相关的辅助审计软件,充分满足风险导向审计的客观需求。
三是大力提高审计人员的业务素质,通过加强培训,培养复合型的审计人才,同时也可吸收相关的风险评估师等专业人才到审计机构中,充实审计力量,充分满足风险导向审计的主观要求。
参考文献:
①企业内部控制基本规范.财会,〔2008〕7号
②萨班斯-奥克斯利法案404条款实施最新指引.普华永道会计师事务所
③李雨生. 企业风险管理框架.理财杂志[J].2005(6)
(万金,中石油昆仑燃气有限公司湖南分公司)