一、风险导向内部审计的内涵与特点 风险导向内部审计是指内部审计人员在审计过程中始终保持合理的职业警觉,科学运用审计假设,自始至终以组织风险评估为导向,并积极捕捉潜在风险,合理配置审计资源,根据风险确定审计范围和重点,并对组织风险管理、内部控制及公司治理进行评价,进而提出建设性意见,以改善风险和增加价值为目标的一种审计模式。风险导向内部审计有着全新的内涵及特点。 1、风险改善和价值增值是风险导向内部审计的首要目标。首先,内部审计应充分利用其在内部控制领域的专家地位,结合组织目标,评估与分析内部控制风险,并将结果直接报告给董事会和管理层,充分发挥其在客观评价经营管理状况、防范经营风险、促进规范经营和执行力的提升、准确审定考核结果等方面的作用。其次,内部审计帮助董事会在战略决策、重大人事任免、重大投资和财务计划制订等方面,督促风险管理部门按照既定程序和方法科学识别和评估风险,为组织重大决策的正确制定和实施提供保障。第三,内部审计可以利用自身对组织现状和风险认知全面的优势,为风险管理部门提供确认与咨询活动;同时,通过对组织风险管理行为和风险管理机制的监督和测试检查,揭示可能存在的风险和企业对风险的可承受能力,并通过与风险管理部门的良好沟通与合作,对各种风险采取应对措施,达到虽不直接参与风险管理和控制,但能帮助决策者和管理层防范、降低、规避和控制风险的目的。 2、风险管理框架是风险导向内部审计的主要对象。风险管理框架如图1所示,包含了内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控八要素,并且八要素与企业经营目标以及各经营层之间是一个三维交错、彼此作用的关系,并整合了公司治理与内部控制。风险管理框架关注公司治理领域和包括内部控制环节风险在内的一切风险,这正是IIA所定义的风险导向内部审计的对象。 3、对风险的全过程监控是风险导向内部审计的主要方式。风险导向内部审计作为一种现代审计模式,要求内部审计人员具备全局性的战略眼光,将风险管理框架和风险管理部门作为审计对象,将审计重点向事前预测、事中监督转移,将防范风险理念贯穿审计始终,并通过对风险控制有效性评价、协同风险管理部门,实现对生产、技改、经营、销售等所有经营环节的全过程监控。首先,从参与设计和评价企业风险管理系统入手,审查风险管理方式选择的适当性;查找风险管理的漏洞并识别风险;做出事前防范风险的统筹管理安排。其次,对企业风险管理和风险管理执行部门的内部控制、预先计划和安排的执行情况进行全方位的监控,并查找管理层面和操作环节存在的问题,并及时分析原因。最后,对企业风险管理的执行结果进行评价,并提出改进建议,进一步完善企业风险管理。 二、风险导向内部审计应用的成效 1、审计重心前移,提高企业风险管理水平。风险为导向内部审计要求内部审计人员要在熟悉组织经营战略、工作程序、组织结构等基本情况的基础上,全面识别风险、对风险水平进行量化,并提出应对风险的措施。这一审计重心的前移,必将督促风险管理部门提升识别风险、评估风险、应对风险的能力,促进企业风险管理水平的提高。 2、监控方式改进,完善企业内部控制。风险导向内部审计通过对企业风险内部控制的评审,优化内部控制结构、简化内部控制流程、健全内部控制制度,进一步完善企业内部控制。同时,改进对内部控制的监控和完善方式。 3、经营风险的科学预测,确保企业增值目标的实现。风险导向内部审计在对企业风险管理的评价中,能通过对经营风险的预期评估,为企业制定发展战略、调整经营方向和计划、有效控制风险,为确保企业实现增值目标提供科学预测和事前控制,以致最终实现企业发展目标。 图1 风险管理框架三维结构图
4、公司治理为审计对象的确立,提升内部审计的职业地位。IIA将风险导向内部审计对象确定为公司治理领域和包括内部控制环节风险在内的一切风险,大大提升了内部审计的职业地位。风险导向内部审计在公司治理中的作用包括监督、评价和分析组织的风险以及控制,复核并证实信息可靠并符合相关政策、程序与法律,协助管理层向董事会和执行管理机构提供防范风险以及有效治理的保证。 三、完善风险导向内部审计的对策 1、更新审计理念,促进风险导向内部审计的创新发展。风险导向内部审计是一种以企业风险评估为突破口,以加强企业风险管理、减少审计风险为目的,并最终帮助企业实现增值目标的全新审计模式。风险导向内部审计不仅仅是一种新的审计模式,并且内含价值增值等新的审计理念,能促进内部审计实现增加价值、帮助企业实现目标的目的。所以,内部审计人员应当尽快更新理念,并用新的理念开展风险导向内部审计工作,促进风险导向内部审计的创新发展。 2、正确运用审计理论和方法,促进风险导向内部审计的科学发展。第一,加强风险管理不仅仅是企业经营管理的目标,也是风险导向内部审计的目标。风险导向内部审计的重要职责是防范和控制企业风险,并存在于企业战略决策、经营管理和经营活动中。因此,风险导向内部审计是一个动态的发展过程,对风险导向内部审计的理论研究,应根据不同时期的环境条件和目标,不断修正和提出新的、更科学的审计假设。第二,要掌握识别风险和量化风险的方法。内部审计人员在熟悉企业经营管理过程等基本情况的基础上,通过分类、测试、判断和分析等手段识别风险,尤其要注意识别风险的完整性、重要性等,这是实施风险导向内部审计的关键。内部审计人员采用各种定性分析与定量测量的技术手段,综合评价风险事件发生的可能性和频率、风险事件潜在的影响及其成本的高低等因素,对已识别风险进行量化估计。第三,科学确定企业风险的可容忍度。企业在实现其经营目标的过程中,对偏离目标的各种可能性应有的大致范围,是在风险偏好的基础上设定的对相关目标实现过程中所出现差异的可容忍限度。内部审计人员可以根据本企业的经营环境、经营规范、资本结构等确定可以接受的风险范围风险容忍度,再对关键风险进行量化分析,确定风险容忍度。第四,制定积极的风险应对措施。内部审计人员可以根据企业风险容忍度是可接受、可规避、可转移、可缓解还是不可接受的不同程度,提出和制定接受风险、转移风险、对冲风险、避免风险等降低风险和应对风险的策略,并对有关部门针对风险所采取的措施进行检查,检查其是否落实、得当,强化企业风险防范。