一、国内外关于风险导向内部审计研究情况 风险导向内部审计始于20世纪90年,在20世初由于国际资本市场财务造假案件频出,使内部审计得到了前所未有的关注,2001年IIA重新修改的《内部审计实务标准》,将内部审计全面转向以风险为导向的审计模式。COSO于2004年颁布了《风险管理整合框架》,使风险导向内部审计在实践中的运作日趋成熟。在国内,自2003年后,中国内部审计师协会先后颁布了《内部审计基本准则》、《内部审计人员职业道德规范》,以及29个具体准则和2个实务公告,形成了比较完善的内部审计准则体系,我国的内部审计准则体系,充分借鉴国外的经验,将风险管理贯穿其中,体现了风险导向的思想。蔡春(1993)教授在国内最早进行审计结构框架研究的学者,他提出“环境—本质—假设—目标—规范与信息—控制—环境”的审计模式。郭群、吴惠吟(2002)提出风险导向审计应当与企业的发展战略、企业目标、风险管理相结合,认为风险导向内部审计对审计人员提出了更高的要求,认为风险导向内部审计是企业为了实现发展战略、目标而进行风险管理的手段,最终达到为企业增效的目的。严辉(2004)认为风险导向内部审计的理论框架应采用“本质—假设—目标—职业规范”的结构模式。李玲、陈任武(2006)提出风险导向内部审计应当以实现企业目标为出发点,关注那些对企业目标造成影响的风险,并对此进行风险评估,排序,确定高风险的领域,将其作为审计的重点,从而能够更有效、更直接地达到企业管理当局的需求,因此风险导向内部审计应当遵循“目标-风险-控制”的逻辑顺序,即以企业的目标出发,围绕着影响企业目标的风险,进行审计。郭群(2006)将内部审计分为三个阶段即计划阶段、实施阶段、终结阶段。黄海(2009)对内部审计框架结构的建立提出了由战略规划、业务流程、组织结构、风险评估系统和抽样技术模型五个子系统构成的审计框架。吴俊峰(2009)对风险导向内部审计工作流程从审计前工作、审计实施、后续审计三个阶段进行分析,认为审计前工作包括明确审计动因、确定业务关键目标及关键绩效指标:审计实施工作包括制定审计方案、实施审计测试、编制审计报告;后续审计工作包括确定后续审计项目,开展后续审计工作,出具后续审计报告。 二、基于风险导向的内部审计运作流程构建 综上所述,无论是理论界还是实务界,关于风险导向内部审计运作方面,在充分汲收企业风险管理的基础上基本形成了“目标-风险-控制-审计”由左至右的运作路线,但还没有形成权威且统一的实施运作框架。本文在综合前人的理论基础上,将风险导向内部审计的运作思路表述为:以企业目标为出发点,识别并评估影响实现企业目标的各项风险,围绕着风险,分析与评价企业针对这些风险所要采取的控制措施,通过对各项控措施的合理性与有效性的测试,确认控制措施是否有效地实现对这些风险的管理,并向相关人员报告及有针对性地提出改进建议。本文借鉴传统内部审计的实施程序,并结合风险导向内部审计的运作思路将风险导向内部审计的运作流程主要分为四个阶段:(1)内部审计准备阶段;(2)内部审计测试阶段;(3)内部审计报告与沟通阶段;(4)内部审计反馈与后续审计阶段。以图1来列示整个风险导向内部审计的运作流程。
(一)内部审计准备阶段在风险导向内部审计模式下,审计现场测试前的风险识别与评估工作变得尤为重要,并成为风险导向内部审计的重心。在准备阶段首先应对企业的各项业务流程进行分析与梳理,在此基础上通过明确业务目标、识别业务风险、评估业务风险、确定关键控制点等四个步骤形成风险控制底稿,为制定审计计划提供依据,为实施审计现场测试指明了测试方向。 (1)从企业目标出发,明确各项业务目标。企业目标在企业内往往是通过各项业务共同努力来实现的,每项业务都完成特定的目标,最终通向企业目标。因此,企业目标落实到企业内部就转化成企业内部各项业务活动所要完成的目标。通常可以将企业内部各项业务活动的目标分为以下三类:一是经营性目标:这些目标与主体经营的有效性和效率有关,包括业绩和赢利目标和保护资源不受损失等;二是报告性目标:这些目标与报告的可靠性有关。它们包括内部和外部报告,涉及到财务和非财务信息:三是合规性目标:这些目标与符合相关法律和法规有关。 明确业务目标本身也是企业开展全面风险管理的前提,这个过程有赖于企业风险管理的实施情况,在风险管理做得较好的企业,可以通过与风险管理部门沟通与协调即可确定。在没有开展全面风险管理或者风险管理工作基础薄弱的企业内,内部审计人员可以通过在对企业内部各项业务流程分析与梳理的基础上,结合企业目标加以确定。 (2)识别风险。各项业务目标明确后,内部审计人员应识别对各项业务目标造成负面影响的各项因素即风险。识别风险是风险导向内部审计的重要环节。内部审计人员可以通过对企业外部因素与内部因素的分析,并结合各项业务目标予以判断和识别影响各项业务目标的风险包括经营性风险、报告性风险、合规性风险。 (3)评估风险。风险评估是风险导向内部审计的难点。风险水平评估通常可以通过风险发生的可能性与影响目标的重要性程度来确定,主要采取定量与定性的方法,如蒙特卡罗法、压力测试法、关键风险指标管理法、风险坐标法等。内部审计人员可以根据各个企业自身情况进行选择。风险水平评估为内部审计人员确定各项业务的关键控点与审计计划提供了依据。 ⑷确定关键控制点。为了实现企业内每项业务所产生的结果最终有利于企业目标的实现,企业管理层都会采取一些必要控制措施。企业内每一项业务活动都由不同的环节构成,其中某一项或某几项环节控制得当将对整个业务活动的结果产生关键的影响,即称它为关键控制点。如果缺少了这些关键控制点,该业务就很难实现其业务目标。关键控制点是由控制环节与控制措施构成。内部审计人员应在风险评估后确定企业内各项业务的关键控制点。当企业对某项业务所采取的控制措施覆盖了该业务的所有关键控制点,才能认为针对该项业务的控制措施设计得合理、充分。