一、风险导向内部审计 (一)风险导向内部审计的概念 内部审计的发展按照技术程序和方法先后经历了财务导向内部审计、业务导向内部审计、管理导向内部审计和风险导向内部审计四个阶段。风险导向内部审计是内部审计动态发展的必然结果,但是理论界对风险导向内部审计目前尚无统一的定义。一种观点认为风险导向内部审计,就是把社会审计中的风险导向审计运用于内部审计,即内部审计人员立足于对审计风险的分析和评价,并以此为出发点,制定审计计划,实施审计行为的一种审计方法。另一种观点认为,风险导向内部审计是指内审人员在审计过程自始至终都关注企业风险,依据风险选择项目,识别风险,测试管理者降低风险的方法,并以企业风险为中心做审计报告,协助企业管理风险。IIA作为内部审计职业准则新框架的发布者,1999年的准则框架中强调内部审计的实质就是关注、评估、改善和参与风险管理、内部控制和公司治理,为组织增加价值;2001年明确指出内部审计是采用一种系统化、规范化的方法来对组织的风险管理、控制及监督过程进行评价进而提高它们的效率,帮助组织实现目标。可以看出,IIA框架中的“风险管理”拓宽了外部审计所采用的风险审计模式中狭义的审计风险,引入全面风险概念,使内部审计目标与企业目标紧密结合在一起。因此,结合内部审计的性质本文认为后一种观点比较恰当。 (二)风险导向内部审计的基本特征 风险导向内部审计与传统内部审计相比,不同点主要表现在审计目标、审计对象等五个方面(见下表)。由此我们可以抽象出其基本特征: 1.风险导向内部审计实现了公司治理、内部控制、风险管理的有机整合。它以内部控制为基础,以风险为导向,从战略、管理、效益的角度确定审计的范围和重点,保证审计目标与企业目标相契合。它以实现组织目标而定位自身发展目标,以组织的总体战略发展、风险管控,决定实质性审计程序的性质、时间、范围。 2.风险导向内部审计遵循“目标→风险→控制”逻辑顺序开展审计业务,与传统内部审计遵循的顺序正好相反,这样审计建议可以直接针对企业实现目标过程中面临的主要问题和风险,并将事后评价反馈延伸到事前和事中,使内部审计成为企业价值链中的必要环节。
(三)风险导向内部审计与企业风险管理的关系 2004年COSO委员会推出《企业风险管理——整体框架》(ERM),使企业内部控制扩展为企业风险管理框架,内部审计与风险管理趋于互融。ERM关注包括企业治理领域和内部控制环节在内的一切风险,强调将风险管理覆盖到企业的所有层次。风险导向内部审计则将风险作为一种核心理念贯穿于审计的每一个环节,帮助企业管理当局识别与评估风险,进行风险的管理与协调,最终实现企业的战略目标。可以看出: 1.二者在企业风险管理机制中的职能定位不同,但是最终目标一致。ERM强调从战略全局的角度管理企业风险,风险导向内部审计从全局的角度客观全面地进行风险审视、风险评估并提出风险应对建议,终极目标均是为了增加企业的价值。 2.ERM与风险导向内部审计具有互相促进的作用。随着企业所处的风险环境的不断变化,风险管理方法也随之不断更新,是ERM对内部审计工作要求的提高促使风险导向内部审计的不断发展;同时风险导向内部审计通过评估ERM过程的有效性和充分性,并提出合理的建议,协助建立企业范围的风险管理方法,促进风险管理战略和政策的实施,从而推动ERM的有效运行。 二、风险导向内部审计在我国集团企业实行的必要性和可行性 (一)风险导向内部审计在我国集团企业实行的必要性 集团企业通常具有资产、资本和生产经营规模较大,组织架构呈多层级,所处的风险环境较为复杂的特点,其正常的生产、经营、管理需要健全、完善的内部控制环境和良好的风险管控机制。内部审计作为公司治理的“四大基石”之一,又是内部控制的重要手段,理所当然地成为企业风险管理的有效组成部分。开展风险导向内部审计,可以帮助集团从全局的战略目标出发防范、控制经营风险,实现企业经营目标和可持续发展;能有效利用审计资源,提高审计效率,加大审计力度,充分发挥内部审计监督、确证、咨询的职能作用,增加企业价值。 (二)风险导向内部审计在我国集团企业实行的可行性 首先,集团企业由于其自身发展的需要,会逐步完善公司治理结构,选用的内部审计管理模式比较先进,内部审计的独立性较高,为内部审计向风险导向模式的发展提供了组织保障。 其次,集团企业基本上都已建立现代企业管理制度,相对中小企业而言,内部控制机制比较完善,决策层和管理层具有全面风险管理的企业管理理念和较成熟的风险管理经验,对管、控风险有积极的态度。 第三,集团企业由于具有多层的受托责任关系,为贯彻集团的战略发展目标,统筹管理,一般均拥有良好的计算机信息技术平台,为风险导向内部审计开展计算机审计,建立审计对象的信息数据库提供了技术保障。