风险导向内部审计,顾名思义,要求内部审计工作中以风险为中心制订审计计划,实施审计以及后续审计等程序。这就产生了一个问题,这里所说的风险还是我们所说的一般审计风险吗?笔者认为,这个风险除了审计自身风险外,更多地应该指向组织面临的风险。就高校而言,随着扩招和扩建,风险管理所处的环境复杂多变,面临战略风险、管理风险、财务风险和法律风险等众多不确定因素,尤其科研经费管理风险和工程管理风险,致使高校面临的前所未有的风险压力。因此,风险导向内部审计模式创新,既是组织风险管理的内在要求,又是审计规避自身风险的需要。 一、风险导向内部审计模式特征 随着我国内部审计转型的推进,在账项导向审计和制度基础审计的基础上,内部审计已步入风险导向审计阶段。风险导向内部审计又经历了两个阶段,即传统风险导向内部审计阶段和现代风险导向内部审计阶段,两个阶段以20世纪90年代为分水岭,每个阶段都有标志性的风险模型。虽然形式上有所不同,但实质上都是通过对审计风险进行量化,从风险分担的角度来考虑怎样降低审计风险。 对于风险导向内部审计,麦克宁(McNamee)1997提出的新范式反映了风险导向内部审计目标与组织目标的契合,精炼地概括了风险导向内部审计的内涵: 如图一所示,传统内部审计流程一般从右到左进行,首先测试内部控制,找出控制的薄弱环节,然后确定风险的大小,继而找出应对措施,最终实现组织增值的目标。风险导向内部审计则相反,它是从左到右进行,首先确定组织目标,然后分析影响这些目标实现的风险,在此基础上考察对这些风险进行管理的内部控制制度和内部控制环节,最后测试实际控制是否能够有效地管理这些风险。
在上述风险导向内部审计模式下,内部审计要积极适应组织管理的需要和内部审计发展的需要,重点从以下三个方面进行创新:一是创新审计理念。风险导向内部审计是审计发展的需要,也是组织内部管理的需求,不同行业的模式和关注点虽各有不同,但其理念应该是相同的,就是主张把审计置身于管理之中,增加融入性,把审计的影响渗入到组织的方方面面和各个环节。二是拓宽审计领域。把审计资源分配到管理风险领域,重点是深入管理、参与管理,才能了解管理,既要关注财务资料内的风险,又要关注财务资料外的风险。三是改良审计方法。风险导向内部审计就是要降低查账方法,增加评估方法、管理方法、咨询方法。既关注抽样方法产生的抽样风险,又要关注非抽样及其风险,就是因样本之外的其他因素,诸如固定风险、控制风险以及分析性程序风险,由于主观判断导致错误结论的可能性。在操作程序上将审计重心前移,以风险识别为前提,以风险评估为中心,以风险应对为目标。具体程序包括风险识别过程,就组织目标、管理情况充分了解风险,以确定管理和控制中存在的差异和缺陷。在此基础上进入风险评估程序、符合性测试和实质性测试,其中风险评估是关键。风险评估重点关注两个因素,即风险发生的可能性和产生影响的严重程度。风险应对是根据风险评估结果采取有针对性的措施。内部审计在采取应对措施时,既要考虑组织的管理特点,又要考虑风险控制在组织可接受的范围。只有降低组织的管理风险,才能规避审计的自身风险。 二、风险导向模式对内部审计的影响辨析 1.内部审计风险影响分析。风险导向内部审计并不是对传统审计模式的全盘否定,而是在传统审计模式基础上的一种创新,它以风险导向为中心,立足于内部控制和组织治理。因而,审计面临的风险既有制度基础审计模式和账项导向审计模式下的检查风险,也有风险导向审计模式下的防范风险。尤其是在现代风险导向的模式下,审计工作的全过程,从立项、计划、方案、测试、报告一直到后续审计等阶段都要充分考虑风险因素,这也大大增加了内部审计自身的风险。 组织的管理风险导致了审计风险,可以说,内部审计风险是和被审计单位的管理风险紧密联系在一起的。组织的管理风险和内部审计风险是一个辩证的关系,彼此间具有一定的关联度,相辅相成,相互制约。因此,内部审计不考虑风险就不能发展,辩证地看,风险包括两个方面,即风险损失和风险收益。多数的研究都指向风险损失,即怎样去做能够使风险控制在可以接受的范围内,使内部审计本身的风险最小化。另一个方面是容易被忽视的,也恰恰是需要不断重视的,就是怎样抓住机遇,将风险因素化为增值的条件,通过为组织创造价值来提升内部审计在组织中的地位。比如,在新校区跟踪审计中,天津师范大学摒弃传统束缚,把审计触角深入到工程管理之中,触及到所有的程序和环节,参与设计了风险控制环节模型,即招投标风险、工程拨付款风险、工程变更风险和工程结算风险四个环节,收到了显著成效。事实证明,只有主动融入管理,将内部审计变为组织实现目标的手段之一,才能够真正地了解风险,并提出应对风险的措施,把管理风险降至可接受的水平,内部审计就会减少实质性测试的工作量,也能在一定程度上规避内部审计风险。 2.内部审计独立性影响分析。独立性是内部审计赖以生存和发展的基石,但长期以来,内部审计将其主要职能范围限定在监督和评价,最新的理念也只是将其延伸到咨询领域。一般认为,一旦内部审计参与了管理,便失去了独立性,从而也失去了客观公正性。这种观念本无可厚非,独立性和客观性是审计工作必须坚持的,但另一方面内部审计如果不充分融入管理之中就不能达到组织管理整合一体的效果。如何建立一座桥梁,将审计与管理融合起来,是内部审计工作需要探讨的问题。 内部审计融入管理之中并不代表内部审计的角色变为了管理者,内部审计可以参与风险计划的制定而不强制风险的容忍度,参与内部控制的设计而不主导实施,参与组织治理的绩效评价体系设计而不涉及管理流程。虽然组织管理风险在大多数情况下会导致审计风险,但是管理风险与审计风险是一个交集的关系,并不完全重叠。目前,高校的科研经费管理风险和工程管理风险的原因非常复杂,加上审计抽样和非审计抽样的局限性,即使内部审计不参与管理,审计风险也会存在。反之,如果以管理风险作为审计工作导向,敢于参与管理、融入管理,在管理中识别风险、评估风险、应对风险,将风险降至可接受的范围,审计风险反而会减少,并能起到增值作用。风险导向内部审计是一种新模式,是一个相对独立的系统,同时也是管理系统中一个元素,又是组织中的重要组成部分,应当在组织运行中发挥不可替代的重要作用,组织各部门中都要体现出内部审计的影响。内部审计如果还固守原来的理念和模式,不围绕着组织的增值目标为组织管理提供有特色的服务,很可能就会被作为无法增值的职能部门而被逐渐抛弃。因此,在风险导向内部审计阶段,必须开阔视野,重新审视内部审计的独立性问题。