风险导向内部审计应用性框架构建探析
来源:用户上传
作者:
摘要:面对日益复杂的国内外经济环境,企业能否有效应对来自内外部的各种风险甚至决定着一个企业的生死存亡。内部审计理应在企业风险管理中发挥更大作用。本文通过分析企业内部审计工作的现状及不足、介绍风险导向内部审计的主要思想,结合我国企业实际,探索构建了风险导向内部审计的应用性框架,旨在为风险导向内部审计在我国企业的应用和落地提供可操作性的实施框架。
关键词:风险导向;内部审计;应用性框架
中圖分类号:F239.5 文献识别码:A 文章编号:1001-828X(2019)018-0176-02
一、A集团内部审计工作现状与不足
(一)企业对内部审计目标、职能及审计对象定位的认识过于狭隘,在审计实施阶段也局限于主要对企业财务会计方面的审查。正如A集团年度审计计划中提到的,A集团对内部审计的目标基本定位为查错纠弊。而非具有风险管理意识的现代风险导向内部审计目标“改善企业风险管理、内部控制和公司治理过程的效果,从而改善企业的运营、增加企业价值,帮助企业实现其目标”。A集团对内部审计的审计对象的定位也局限于少量的内控检查和主要的财务检查,而非风险导向内部审计下的审计对象“对企业的风险管理、内部控制和公司治理过程进行审计”。这样一种对内部审计工作的定位及认识的局限势必会影响企业内部审计工作效果的发挥。A集团内部审计人员在审计实施阶段对内部审计项目的审计仍然较多停留在账务的审查上,很少接触到经营管理的其他领域,尤其是对企业的风险管理、公司治理方面关注较少。
(二)获取审计证据的审计程序过于单一,内部审计的技术、方法相对落后,内部审计工作底稿的编制随意性大,难以保证审计质量。A集团内审人员在审计实施过程中主要实施的是细节测试,较少实施控制测试和分析性程序。A集团内审项目组成员的工作底稿无可供参考的格式或模板,完全由内审人员随意编制,且这些工作底稿并不要求必须上交给A集团内审部门存档。内审人员只需提交一份内审报告给公司领导就可以了。这样导致内部审计工作的质量完全依赖于内审人员的个人素质以及工作的积极性、自觉性。
(三)内部审计报告描述性内容多,风险评价方面内容少,难以发挥帮助企业风险管理的作用。如对A集团某子公司的内部审计报告,其内容大部分为对该子公司企业基本情况介绍、企业的资产负债表、利润表内容的复述,描述性的内容多;而关于被审单位企业整体层面内部控制方面、具体业务层面内部控制方面、企业风险管理方面存在的问题及风险管理的建议方面的评价性内容则很少。
二、风险导向内部审计方法概述
随着经济社会的不断发展,产业分工越来越细,市场主体间的经济联系和协作关系越来越紧密。企业不仅会遇到来自内部的战略、运营、投资、财务等内部风险,也会面临来自外部的各种风险;不仅会受到国内宏观经济政策、行业竞争状况的影响,也会受到国际经济形势、国家间竞争形势、地区局势的影响。能否有效应对各种风险,甚至决定着一个企业的生死存亡。内部审计在企业风险管理中理应发挥更大作用。随着管理重心不断前移,内部审计也从以往的局限于账务审计、侧重于事后评价的财务审计逐步发展到关注未来风险、侧重于事前风险防范和事中控制的风险导向内部审计。
风险导向内部审计主要是指企业内审人员在内部审计的全过程都应关注企业风险,以识别、评估企业风险、提出风险管理建议为导向,根据风险高低水平排定项目的审计优先次序,依据风险确定审计范围与重点,并以此为基础制定符合被审计单位具体情况的审计计划。对企业的风险管理、内部控制和公司治理进行评价,进而提出建设性意见和建议,协助企业管理风险、实现企业价值增值。风险导向内部审计是降低审计风险和经营风险,进行风险管理的一种有效工具。
然而,目前对于风险导向内部审计的应用无论从理论上还是实务中都尚未形成具有可操作性、可以落地的、符合我国企业实际的“标准”应用框架指引。
三、风险导向内部审计应用性框架构建
(一)风险导向审计方法在A集团年度审计计划中的应用
风险导向审计方法下,A集团内部审计经理在编制年度审计计划时,应该以企业整体风险为基础,制定审计计划,确定内部审计活动的优先次序。包括以下三个步骤:
1.识别企业战略与目标。内部审计人员可以通过对企业外部环境、企业内部资源和能力的分析,对企业进行评估,确定企业的战略目标,从而进一步判断企业现行的企业目标是否科学、合理。其中的宏观环境分析我们可以使用PEST分析方法;行业环境的分析,则可以通过行业生命周期的分析、波特的五力模型进行分析;SWOT分析方法也是对企业进行评估的一种简单、实用的方法等。
2.识别与评估影响企业目标实现的企业整体风险。风险识别的方法有很多,如“头脑风暴”法、情景分析法、专家调查法、分解法等;目前,学术界对于风险的评估方法主要有蒙特卡罗模拟算法、专家打分法、决策树法、机网络图法和影响图法等,其中专家打分法在实务操作中更胜一筹。
3.根据风险高低确定重点审计单位,安排被审计单位优先次序,分配审计资源,制定年度审计计划。
(二)风险导向审计方法在A集团内部审计项目中的应用
1.项目审计计划阶段的应用
风险导向审计方法下,具体审计项目的审计计划应该以项目具体风险和总体审计计划为基础编制,确定审计范围、审计重点。包括如下几个步骤:
(1)了解被审计单位基本情况及其外部环境;
(2)列出影响被审计单位企业目标实现的备选风险要素;
(3)评估项目具体风险备选要素,确定关键风险要素;
(4)以项目具体风险和总体审计计划为基础制定项目审计计划,确定审计范围、审计重点。
2.审计实施阶段的应用
由于学术界关于公司治理、风险管理、内部控制三者之间的关系仍存在争议,但大部分学者是认为三者虽各有所侧重,但三者间是密不可分,甚至可以视为完全相同的。本文作者赞同三者基本一致的观点。风险导向内部审计下对风险管理、内部控制和公司治理三个对象的审计不用分别进行审计,只需完整地对其中一个进行审计即可,只是审计过程中要体现风险导向的思想及方法。 通常,一个完整的内部控制框架(风险管理框架)应当包括企业整体层面的内部控制和具体业务层面的内部控制。因此,内部控制审计的内容可以分为企业整体层面的内部控制制度设计的合理健全性及运行的有效性,以及具体业务层面的内部控制制度設计的合理健全性及运行的有效性。
在cosO发布的内部控制整合框架与风险管理框架的基础上,基本可以将内部控制的五要素中的控制环境、风险评估、信息与沟通、监控等四个要素作为整体层面内部控制测试和评价的主要内容,而将与具体业务层面控制联系比较紧密的控制活动要素划归到具体业务层面内部控制测试和评价中。虽然,严格说来,五个要素之间是相互渗透、相互作用,共同对企业产生影响的。但是考虑到内部审计人员在实际审计工作中的可操作性,我们做出以上划分。
所以,风险导向内部审计方法下,审计实施阶段进行如下两个步骤:
(1)审计企业整体层面内部控制
在coso发布的《内部控制——整体框架》的基础上,对企业整体层面内部控制的审计主要包括对以下四个方面的测试和评价:对控制环境的测试和评价、对风险评估的测试和评价、对信息与沟通的测试和评价及对监控的测试和评价。
(2)审计具体业务层面内部控制
风险导向审计方法下,对业务活动层面的内部控制的测试和评价,主要是按业务循环组织实施审计的,主要包括:对采购与付款循环内部控制的测试和评价、对生产与仓储循环内部控制的测试和评价、对销售与收款循环内部控制的测试和评价等。
具体业务层面内部控制测试和评价大致分为如下七个步骤:①调查业务循环内部控制的基本情况;②绘制业务循环的流程图;③执行穿行测试;④绘制风险控制矩阵;⑤执行控制测试;⑥执行实质性测试;⑦对审计发现进行风险分析,提出风险管理的初步建议。
3.审计报告阶段与后续审计工作
(1)审计报告阶段的应用
风险导向审计方法下,内部审计人员要以对企业风险进行识别、评估为基础提出相应审计意见,提出风险管理的建议,出具审计报告,下达审计决定并通知被审计单位贯彻执行。可分为下列几个步骤:
①以风险评估为基础提出审计意见和风险管理建议,出具审计报告;
②征求被审计单位意见;
③下达审计决定并要求被审计单位贯彻执行。
(2)后续审计工作
后续审计是督促和保证被审计单位真正落实审计决定的重要环节,是切实发挥内部审计帮助防范和降低企业风险的“最后一公里”。后续审计工作主要包括下列几个过程:
①要求被审计单位定期上报审计整改报告,并核实风险管理建议落实情况;
②剩余风险再评估;
③分析未整改的原因;
④撰写并提交后续审计报告;
⑤内部审计文件归档;
⑥对内审人员工作进行考核。
通过构建风险导向内部审计应用性框架,使得现代风险导向内部审计方法真正运用于企业,有利于改善A集团目前的内审工作,切实发挥内部审计防范和管控风险、助力实现企业目标的作用,也给我国其他企业具体实施风险导向内部审计提供参考和借鉴。
转载注明来源:https://www.xzbu.com/3/view-14946893.htm