
一、風險導向審計在內部審計中的定位
?。ㄒ唬╆P于風險導向審計定位的困惑。中國內部審計協(xié)會自2006年開始正式提出“內部審計轉型”這一倡議以后,全國不少企事業(yè)單位和政府機關的內部審計機構,都不同程度地開始實施內部審計的轉型工作。這帶來的問題是,原來一直開展的財務審計、經濟責任審計工作,是不是都要轉型,就成為一個令人困惑的事情。因為,可能存在以下三種不同的理解:第一,建立一個以風險評估為主要工作內容的內部審計模式;第二,在原來內部審計工作體系中,增加風險導向審計的門類,財務審計等原有的審計形式繼續(xù)保留;將原來的財務審計等審計形式進行改造,添加風險導向的額外的審計程序。在這三種理解中,事實上,只有第一種理解才是準確的。
?。ǘ斀ⅰ斑m度”轉型的觀念。在建立以風險評估為主要工作內容的內部審計模式以后,在內部審計運行中,風險導向審計與原來的有關審計形式仍然是并存的。從時間上看,風險導向審計所占的比例,隨著時間的推后,會越來越多。有一種可能,風險導向審計可能成為內部審計的唯一內容。在西方國家列入世界500強的企業(yè)中,風險導向審計已達到了空前絕后的繁榮程度。而這種繁榮帶來的一個顯著問題是,西方國家的許多企業(yè),在將財務審計外包之后,上市公司的各種財務舞弊事件層出不窮?!鞍踩皇录焙螅诿绹A爾街所發(fā)生的一系列財務造假事件,再一次告誡人們:外部審計并不能解決財務造假的全部問題,而實際上,內部控制更為重要。這就促成了美國國會在2002年頒布了《薩班斯・奧克斯利法案》,其中,最具有代表性的是,404條款為美國改革企業(yè)制度提出了更高的要求,即:企業(yè)要建立健全內部控制制度,并且由企業(yè)的管理層進行評估以及由注冊會計師進行審計。盡管在該法案中并沒有對內部審計應當審查財務報表提出要求,但是,強化審計委員會的財務控制職能,也體現(xiàn)了對財務審計的某種要求。這意味著,過度的風險導向審計可能會走“回頭路”。在近幾年,被媒體曝光的或者被追究責任的一些國外的造假公司,其財務總監(jiān)幾乎都在抱怨他們沒有對財務資料進行審計的權利。這種情況應當引人深思。即:在我國,實現(xiàn)完全轉型的風險導向審計,可能放棄財務審計或者經濟責任審計等傳統(tǒng)的審計形式,這是不考慮國情以及內部審計行業(yè)情況的做法,其后果是不堪設想的。顯然,在我國國家審計的審計覆蓋面還比較小的情況下,一味推行全面的轉型,是不切實際的,是違背客觀規(guī)律的。同樣,如果完全都不實施轉型,我國內部審計的整體水平將無法提高,也無法在國際化的背景下與國外同行進行交流,將產生發(fā)展嚴重滯后的局面。因此,至少在目前,我國企業(yè)在實現(xiàn)內部審計的轉型時,應當建立“適度轉型”的觀念。
?。ㄈ﹥炔繉徲嬣D型在個體上的差別化應當是一個趨勢。有一種認識是,所有企業(yè)都應當快速實現(xiàn)內部審計的轉型,實際上這是一種錯誤的認識。企業(yè)的規(guī)模、性質、業(yè)務特點以及管理基礎等方面千差萬別,實施“一刀切”式的內部審計轉型,是一種盲目的、不計后果的做法。正確的做法是,考慮企業(yè)的實際情況,適時分步驟實施風險導向審計。高風險企業(yè)(如:金融企業(yè),房地產企業(yè)等)應當盡快實現(xiàn)內部審計的轉型;大型企業(yè)應當在下屬企業(yè)試點獲得經驗后推行風險導向審計;對于中小型企業(yè),則應當結合企業(yè)的實際,在適當?shù)臅r點上,針對重要業(yè)務或者高風險業(yè)務,開展局部的風險導向審計。
二、風險導向審計下的內部控制的自我評價
在傳統(tǒng)的觀念中,內部審計是企業(yè)內部控制的一個重要環(huán)節(jié)。在美國COSO委員會1992年所發(fā)布的報告《內部控制――整體框架》中,也能夠比較清晰地反映這種關系。在COSO委員會2004年所發(fā)布的《企業(yè)風險管理――整體框架》中,內部審計又增加了多個風險評估的內容。那么,在風險導向審計的模式下,內部審計如何處理與內部控制、風險評估的關系呢?
?。ㄒ唬﹥炔繉徲媽儆趦炔靠刂贫指哂趦炔靠刂啤T凇秲炔靠刂屁D―整體框架》中,內部控制的“五要素”就包含了“監(jiān)控”這一要素,其中,也有內部審計的成分。從工作屬性角度看,內部審計也的確解決企業(yè)的“控制”問題,能夠實現(xiàn)內部控制的目標。在傳統(tǒng)的理解上,人們也通常將內部審計作為內部控制的一部分來看待。而另一方面是,內部審計擁有評價企業(yè)內部控制的授權,并將評價內部控制作為一項重要的工作。我國的內部審計準則中,也有多個具體準則涉及到這個內容。如,《第5號:內部控制審計》,《第21號:內部審計的控制自我評估法》。內部審計既屬于內部控制,又評價內部控制,實際上這并不矛盾。如,會計工作即包括會計核算,又包括會計監(jiān)督,由會計的一部分去監(jiān)督另外一部分,這并不奇怪。因為,它表明了內部控制通過內部審計實現(xiàn)了自我免疫。從這個意義上看,內部審計即屬于內部控制又高于內部控制,至少超越了控制系統(tǒng)中的其他部分。問題是,在內部審計處于這樣一個特殊地位的情況下,它對內部控制的評價有沒有“獨立性”?如果沒有獨立性,這可能意味著這個“評價”是沒有意義的?;趦炔繉徲嬙谄髽I(yè)中并沒有經濟資源支配權的情況,斷定內部審計具有相對的“獨立性”應當是沒有問題的。
(二)內部審計應當從風險管理走向對風險管理的審計。在傳統(tǒng)意義上,內部審計是以財務審計作為主要內容的。后來,股份公司大量出現(xiàn),產生了對信息公開的要求,這時,在內部審計對外缺乏應有公信力的情況下,才出現(xiàn)了聘請注冊會計師實施公司財務審計的現(xiàn)象。顯然,一旦審計外包,內部審計的財務審計功能將可能蛻化。問題是,如果沒有財務公開的要求,內部審計從事財務審計工作并沒有什么不妥。目前,由于相當一部分企業(yè)按照有關要求聘請注冊會計師實施了審計,因此,內部審計的轉型――實施風險導向審計,才成為需要解決的問題。在內部審計需要進行風險管理審計的情況下,如果企業(yè)沒有風險管理專門機構,或者沒有其他的機構進行企業(yè)風險管理的統(tǒng)一組織與協(xié)調,這時,內部審計機構將考慮承擔此項任務。這意味著,內部審計機構應當一肩兩任,既要從事風險管理的組織與領導工作,又要對風險管理進行評價。顯然,第一項工作并不應當屬于內部審計的工作。在《企業(yè)風險管理――整體框架》中,建議采用的組織構架是:企業(yè)由首席執(zhí)行官作為風險管理的第一責任人;設立獨立的風險管理部門;內部審計機構對風險管理進行評價。在企業(yè)風險管理的體系中,內部審計整體上處于從屬地位。
?。ㄈ﹥炔繉徲嫅攲崿F(xiàn)從內部控制審計到風險管理審計的跨越。在實施風險導向審計的條件下,對內部控制的審計,不能僅僅局限在傳統(tǒng)意義上。過去對內部控制評價,主要是為審計實施實質性測試提供手段,而這種評價本身只是一種手段,而不是目的。在實施風險導向審計以后,風險管理的體系已經融合了過去的內部控制的內容。在《企業(yè)風險管理――整體框架》中,核心內容仍然是內部控制的內容,而且其保留了《內部控制――整體框架》60%以上的內容。其中的“四大目標”有三個是內部控制目標,“八大要素”有五個是內部控制要素。從這個意義上講,無論怎樣理解風險管理,都不能脫離內部控制這條主線。同樣,內部審計的轉型,從傳統(tǒng)的財務審計為主,到風險導向審計,內部控制的概念可能弱化了,是以風險管理的視角來考慮過去的內部控制問題,由于將控制對象的所有不利后果理解為“風險”,將有利后果理解為“機會”,既要預防“風險”,又要把握“機會”,比以往的內部控制僅僅控制不利后果的“風險”,而不去考慮“機會”,無疑前進了一大步。
三、企業(yè)風險導向審計模式的構架設計
一旦實施風險導向審計,這將意味著內部審計工作內容的拓展。傳統(tǒng)的內部審計流程,在實施風險導向審計后有許多方面顯得不太適應。以會計流程為依托的財務審計流程,它的資料獲取比較簡單,而風險導向審計則面臨業(yè)務范圍不清、部門分工不明、流程規(guī)范缺失以及組織體系零散等問題。設計風險導向審計模式的構架應當做好以下工作:
?。ㄒ唬┮灾贫葹橄葘АT谄髽I(yè)實施風險導向審計模式是一場革命,這場革命可能引起原有組織結構、權利格局和人員崗位及其職責的改變,如果沒有必要的制度進行規(guī)范,將可能使風險導向審計處于無序狀態(tài)。這里的制度應當是一個體系,最高層次是以單位名義制定的風險管理制度,其次是以部門(如內部審計機構)制定的專業(yè)性的規(guī)章,再次是依據(jù)前述規(guī)章制定的有關作業(yè)規(guī)程。在這個制度體系中,應當明確內部審計機構的組織地位,特別是授權在尚未設立風險管理部門的條件下,由內部審計機構負責進行有關事項的組織與協(xié)調。
?。ǘ┮詸C構為依托。在可能的情況下,應當建立風險管理機構,這是一個比較規(guī)范的組織形態(tài)。我國和大多數(shù)國家的金融機構,基本上都設立了風險管理專門機構,這對于加強風險管理無疑具有積極的意義。在這種狀態(tài)下,內部審計機構可以以評估風險管理作為重要工作,而不必考慮更多的風險管理的組織與協(xié)調問題。在設立專門機構以后,對各個部門的風險管理崗位設置也應當提出要求,配備風險管理專員是一個可行的辦法。從機構到人員,將形成一個網絡狀的風險管理組織體系。
?。ㄈ┮粤鞒虨橹改?。對于內部審計機構而言,在風險管理評估方面,應當設計具有一定可行性的流程,這個流程應當嵌入到風險管理的相關業(yè)務之中。該流程應當依據(jù)業(yè)務的類型設計,應當是一個立體的三維結構:第一維是風險管理的“四大目標”,第二維應當是風險管理的“八大要素”,第三維應當是三級組織構架(企業(yè)整體層級,部門層級和崗位層級)。在三維的立體結構下,風險導向審計所嵌入的各個具體業(yè)務,都應當分階段分業(yè)務環(huán)節(jié)進入這個系統(tǒng),并且實現(xiàn)對風險管理過程的評價。其中,最重要的是,對業(yè)務各個環(huán)節(jié)的風險進行識別、評估和提出應對措施。
(四)以人員為主體。在風險導向審計實施的過程中,內部審計人員是主體。風險導向審計實施的效果,在很大程度上取決于內部審計人員的勝任能力。而這里的“勝任能力”,主要可以通過以下方面體現(xiàn):具有實施風險導向審計的基本知識與技能;具有對相關業(yè)務的清晰認識和理解;具有對風險事件敏銳的洞察能力和分析能力;具有對企業(yè)內部各個有關方面的協(xié)調能力等等。為了獲得相關能力,內部審計人員可以參加行業(yè)內的交流、業(yè)務培訓和參與相關業(yè)務活動,這些都不失是一個好辦法。