本文以风险导向审计在企业内部审计的应用问题为研究视角,力争为今后企业界更扎实有效地将“风险导向审计”贯彻到内部审计实务中做出积极的促进作用。 一、风险导向审计的理论综述 审计在其产生和发展中主要历经三种技术模式,分别是账项基础审计、制度基础审计和风险导向审计。 1.账项基础审计。账项基础审计是指顺着或逆着会计报表的生成过程,通过对会计账簿和凭证进行详细审阅,对会计账表之间的勾稽关系进行逐一核实,来检查是否存在会计舞弊行为或技术性措施。该模式适合专门的舞弊审计采用。 2.制度基础审计。制度基础审计是从对被审计单位内部控制系统的测试和评价出发,当评价结果表明被审计单位的内部控制系统健全且运行有效、值得信赖时,可以在随后对报表项目的实质性测试工作中仅抽取小部分样本进行审查;相反,则需扩大实质性测试的范围。该审计模式使用范围较广,尤其适合被审计对象内控健全的情况,该模式有利于提高审计的效率,并保证抽样审计的质量。 3.风险导向审计。风险导向审计,以被审计单位的重大错报风险为导向,对被审计单位可能引起重大错报的内外部风险因素进行评估,以确定审计的重点和范围。将有限的审计资源集中在高风险领域,合理配置审计资源,以提高审计效率和效果。风险导向审计适应了现代社会高风险的特性。 审计风险是指财务报表存在重大错报而审计人员发表不恰当审计意见的可能性。由于审计人员的意见或结论是建立在一种职业审查和专业判断上,因而总存在偏离客观事实、甚至与客观事实完全相反的可能性,也就是说审计结论在一定程度上具有不确定性。这种不确定性有时给利用审计服务的各方带来损失,导致审计人员需要对后果承担责任,这种可能性就构成了审计风险。审计风险取决于重大错报风险和检查风险。重大错报风险是指财务报表在审计前存在重大错报的可能性;检查风险是指某一认定存在错报,该错报单独或连同其他错报是重大的,但审计人员未能发现这种错报的可能性。审计风险、重大错报风险与检查风险之间的关系可以用下列公式来表示:审计风险=重大错报风险×检查风险 风险导向审计理论起源并发展于注册会计师会计报表审计领域,其先进性和适用性也得到政府审计、内部审计界的重视,如在审计技术和方法上大量和广泛运用分析性程序检测被审计对象,其基本方法包括审计风险评估、分析性测试、控制测试、业务实质性测试、余额细节测试等,审计证据不仅表现为会计信息形式,而且还有经济信息、产业信息和财务信息形式。 二、制定各行业基于“风险导向”内部审计发展规划的建议 制定各行业的基于“风险导向审计”的内部审计发展规划(以下简称《规划》)是十分必要的,在此笔者提出对于该发展规划的几点建议。 1.《规划》应当由行业主管部门牵头,行业内龙头企业参与,联合政府审计、社会审计力量共同制定。理由是行业主管部门对行业内部审计执业的总体水平负有责任,行业内龙头企业具有相对丰富的内部审计资源和工作经验,政府审计具有对内部审计的指导、监督责任,社会审计力量在为各类企业提供鉴证业务中需要较高保证程度的具有风险导向的内部审计成果。 2.《规划》应将促进企业内部控制设计和执行有效性作为重要目标。至2010年4月份,我国已经建成企业内部控制规范体系,包括《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部控制评价指引》和《内部控制审计指引》,企业内部控制好坏直接关乎企业评估风险及应对风险的能力,因此内部审计必须要在企业董事会或类似权力机构的委托下,坚定地做好内部控制的“守卫者”。 3.《规划》应明确企业内部审计部门视角范围内所应关注并且能够关注的风险点。风险点的确定要适当,兼顾审计成本和效益的考虑。笔者发现有的单位内部审计部门非常忙,有的相对轻松,其实繁忙与轻松与否本身并不重要,重要的是在应对突发风险和重大问题面前审计人员要忙在点子上,要善于把握审计重点和关键技术。 4.《规划》应明确要求对现行内部审计绩效进行全面梳理。找出“风险导同”实现的方式、内容的关键方面和主要障碍,在人员、技术、流程等方面做出重要界定,切实促进内部审计不断提升工作水平。当前各行业及行业内各企业间在内部审计工作能力上是不平衡的,同时企业内部审计部门对风险导向审计是怀有很高热情的,他们普遍建议加强培训和工作交流。因此,笔者认为一部立足长远、科学细致的《规划》必将带给企业内部审计工作局面的巨大改变。 5.《规划》应突出解决风险分析的技术路线问题。风险分析技术是审计的“风险导向”的牛鼻子工程,我们认为将战略分析引进内部审计,风险分析走向结构化可以作为今后一段时期努力的方向。风险分析结构化最大的好处是一方面考虑了多方面的风险因素;另一方面这些因素有机联系在一起便于做综合风险评估。要走出标准化审计程序框框,针对风险不同的客户、客户不同的风险领域,采用个性化的审计程序。要多利用辅助审计软件改进分析程序的使用效率和效果。