内部审计工作的成效是反映公司治理机制运行效果的重要指标。从国内外企业的公司治理机制实际成效来看,内部审计往往能够及时有效地审计、察觉、发现出公司存在的重大经营活动中的合规性问题。然而现在企业经营环境越来越复杂化,战略问题现已成为决定企业生死存亡的关键因素。如何控制与规范企业战略风险,并通过建立一个风险规范机制来识别与控制这些重大风险,已成为现代内部审计及内审人员迫切需要解决的关键问题。而传统内部审计只关注企业经营方面的风险,难以识别和控制企业战略层面风险,因此有必要转换内部审计工作思路,从战略视角分析与考虑内部审计工作。鉴于此,本文拟从战略视角重新审视内部审计工作,探讨基于战略基础的内部审计模式下,如何在审计工作中全面规范与管理企业战略风险与经营风险,以期为完善内部审计工作抛砖引玉。 1 全面风险管理审计:定义与特征 风险,通常是指一种未来的不确定性,主要用于衡量偏离期望值波动的程度,并非专门指未来可能出现的坏结果的状态。按照这一原则,COSO将企业面临的风险定义为,“风险是一个事项将会发生并给目标实现带来负面影响的可能性”(COSO,2004),从而正式将企业风险纳入企业经营管理决策中。 1.1 风险管理审计的含义 风险管理审计属于改善企业经营效率,提高企业价值的一项重要工作,而现代企业经营管理的重要发展是传统制度导向审计向基于风险考量与控制的风险管理审计转换。卓继民(2005)认为,风险管理审计吸收了风险审计各种特点,并且将审计的关注点扩大到企业的主要战略目标、管理层对风险的容忍度、主要风险评价指标以及企业绩效评价分析等涉及现代企业整体风险管理领域的多方位角度。我国内部审计准则(2005)将风险管理审计界定为内部内部审计人员对企业风险进行审查和评价。而笔者认为:风险管理审计是在全面理解企业经营风险的前提下,识别出重大错报风险,并评价企业对这些风险的控制措施,而企业控制不足或无效的部分则形成剩余风险。针对剩余风险,内部审计人员应制定出相应的策略措施,对识别出的关键风险所存在的风险管理缺口提出管理建议,并将其降至可接受水平。 1.2 风险管理审计的特征 就性质而言,风险管理审计作为一种全新的审计模式,是以传统的审计方法为基础,并在此基础上将审计对象扩展到整个企业的风险管理范围。因此,风险管理审计作为内部审计模式的新发展,它具有与传统审计不同的特征:①将全面风险管理的理念融入各个步骤:②注重对被审计单位持续经营能力和经营计划进行分析,从宏观上把握审计面临的风险;③改进控制测试,以识别可能存在的重大错报风险;④扩大审计证据内涵,将了解企业及其环境获取的证据也作为形成审计结论的依据。 2 全面风险管理审计的风险要素整合 风险管理审计与传统风险导向审计在风险概念上的定义是完全不同的。由于现代企业的管理方法、组织架构、信息流程、全球化等因素直接影响到固有风险从而影响到检查风险的高低,因此风险管理审计中的风险,不但吸收了风险基础审计的各种特点,还将眼光扩大到企业的主要战略目标和主要风险评价指标等;不单评价企业的内部控制,还关注并且管理企业固有风险中的战略风险和经营决策风险。鉴于此,管理层就必须考虑在没有采用任何措施来改变风险的可能性或者影响的条件下所存在的固有风险,还必须关注采取风险应对措施后所残存的其他风险——剩余风险。 当前被国外企业所广泛推崇的COSO系列报告正是基于此目的而研究与颁布的。COSO建议企业控制经营风险的方式是建立良好的内部控制制度,以期控制及管理企业经营决策风险,至于企业战略层面的风险应对与控制,COSO于2004年颁布了《企业风险管理——整合框架》报告,其宗旨是帮助企业识别、评估及控制企业战略层面的风险,以期弥补92版COSO报告的不足。COSO系列报告成功地将企业的战略层面风险与经营层面的风险都纳入企业全面风险管理框架体系中,为内部审计人员有效地进行企业各层面的风险识别与控制奠定了基础。 风险管理审计的一大创新在于成功地将COSO报告中界定的风险层次与种类纳入到新的审计风险体系中,主要体现为审计风险模式发生重大转变,由原来的制度导向型审计风险体系向风险管理型审计风险体系进行扩展,改变了原有的审计风险要素体系,由三要素转变为两要素,使得新的审计风险要素体系为:审计风险=重大错报风险×检查风险。 2.1 重大错报风险 重大错报风险包含来自战略的重大错报风险和来自经营决策的重大错报风险。战略的重大错报风险按照《企业风险管理——整合框架》报告中的内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通和监控八个要素进行评估;而经营决策的重大错报风险,内部审计人员按照《内部控制整体框架》报告中的控制环境、风险评估、控制活动、信息与沟通和监控五个要素进行评价。 2.2 检查风险 检查风险是指某一认定存在错误,该错误单独或连同其他错误是重大的,但内部审计人员未能发现这种错报的可能性。在具体审计工作中,检查风险的实质是内部审计人员错误识别与评估剩余风险要素时所导致的实质性测试程序不当问题。Johens(2005)认为企业战略风险与经营风险的评估与控制效果直接影响到检查风险大小,因此,内部审计人员在对企业进行风险管理审计时,除了在制度层面与控制层面考虑企业的战略风险与经营风险,还必须将其思想用于指导具体的审计工作程序的设计和执行。