1、1风险导向内部审计实践探讨【摘要】 风险导向审计关注公司高风险领域对审计目标的影响,将对风险的辨识、分析和评价贯穿于审计工作始终;风险导向审计既可应用于审计项目实践,也可应用于审计业务规划,使之建立与企业全面风险管理体系相匹配的审计策略。因此,风险导向审计不仅是一种审计技术,它更是因审计理念的转变而产生的审计模式、审计方法的革新。 【关键词】 风险管理 风险导向 内部审计 一、风险导向审计是内部审计发展的必然趋势 1、企业外部环境日益复杂多样,促使内部审计发生变化 随着现代企业经营规模的扩张、价值链的延伸、业务种类的增加,交易方式日益多样化,而国际竞争的不断加剧,国际金融市场的阴晴不定,也使得
2、企业经营风险日益复杂和多变。如何正确地认识风险,有效地揭示风险,科学地规避风险,也成为现代内部审计面临的严峻课题。为使被审计单位有效应对风险,真正发挥审计的服务职能,内部审计正逐渐发生变化。 2、企业内外部监管要求,推动内部审计向风险导向审计发展 现代风险导向审计作为制度基础审计的完善和发展,是现代职业审计的必然发展趋势。2005 年 5 月 1 日实施的内部审计具体准则第 16 号风险管理审计 ,明确了风险管理审计的一般原则、风险评估方法有效性的遵循原则、风险应对措施的几个重要方面等内容;同时,企业按照2资本市场要求,或出于提升盈利能力和保持竞争优势的考虑,逐步发展演变出全面风险管理、战略管
3、理等现代企业管理技术,为风险导向审计的产生奠定了理论基础。 3、企业管理层逐渐认识到内部审计在风险管理中的重要作用 企业管理层对内部审计在风险内控管理中的作用逐渐重视,业务部门对内部审计的信赖程度不断提高,他们都希望内部审计能够与时俱进,及时发现经营管理中存在的控制漏洞和舞弊行为。在这种背景下,内部审计为了规避与日俱增的审计风险,将风险导向审计引入内部审计实践便成了必然选择。 二、如何实施风险导向内部审计 1、确认风险识别的充分性 在企业进行风险识别的过程中,内部审计人员应该对风险管理流程进行审查与评价,确定风险归类的正确性以及分析方法的适当性。内部审计可以采用多种风险分析方法对企业内部和外部
4、的风险要素进行识别分析,判断企业管理层是否对主要风险均已识别和分析,并充分考虑风险可能造成的影响,为进行风险评价奠定基础。 2、确定风险评估的恰当性 在企业进行风险评估的过程中,企业要对已识别的风险事件进行定量和定性的分析,分析风险产生的重要性及可能性。内部审计应首先对风险性质及程度的衡量与界定进行评价,这关系到进行风险处理的依据是否可靠。其次,应对管理层的风险评估过程的适当性、执行的有效性进行评价,找出需要修改完善的地方,为各级管理层提供专业审计意见。33、评估风险应对策略的有效性 内部审计在企业风险应对活动中发挥的作用,直接反映在审计成果中,是审计价值的重要体现。企业根据对风险的评估和判断
5、,应采取相应的措施和方法来进行风险处理,以降低和抑制风险损失,获取风险收益。在风险应对活动中,内部审计应分析风险回报的合理性、评价风险应对措施的有效性。 4、评价风险监控的合理性 对企业风险管理的监控是指评估风险管理要素的内容、运行以及执行质量的过程。在这个过程中,内部审计首先应当从评价企业各部门的内部控制制度入手,审查企业经营活动中重要环节相关控制制度设置的合理性以及执行的有效性,识别并防范风险。其次,应当密切关注可能引致风险的重要事项,了解企业的风险偏好,与相关管理层讨论生产目标、存在的风险,并评价管理层采取的风险监控活动的有效性。再次,应当以企业总体风险组合的观点看待风险,协调各部门共同
6、管理企业,从全局角度识别并评价风险,提出改进建议来协助企业管理层履行其职责,以保证企业目标的实现。 三、目前公司内部审计存在的问题 1、审计队伍力量薄弱与审计任务繁重的矛盾 审计力量不足与审计任务之间的矛盾随着公司的发展愈加突出。公司对审计工作的日趋重视所带来的对审计资源需求量的上升态势、审计外延的不断拓展、审计覆盖面的进一步扩大,形成了审计人力资源相对4紧缺、审计人员知识结构欠合理的格局。审计部门超负荷运转,审计人员疲于应付,潜在的审计风险在积聚,注重了审计数量,忽略了审计质量,其所带来的负面影响不仅仅是直接的经济损失,更多的是对公司和审计部门声誉的影响。 2、计算机辅助审计要求与审计手段落
7、后的矛盾 随着公司各种经济管理手段的信息化,如 ERP、用友、采办信息系统、设备管理平台等,要求审计人员在对被审计单位的会计系统的检查、原始数据的采集、计算机语言的选用以及对原始数据进行加工处理等方面应具有一定的能力。目前,大部分审计人员对计算机的认识还很肤浅,还处在初级阶段,对计算机的利用仅局限于文字处理、表格编制上,对于各种企业管理软件的应用或运用软件的特定功能无法理解,不能规范有序地开展审计,对高效能、规范化地进行审计分析的现代审计管理模式还知之甚少。 3、公司与内部审计人员对开展全面风险管理和内控管理体系建设的认识不一致 自 2010 年集团开展全面风险管理和内控管理体系建设工作以来,
8、各所属单位抽调各业务人员参与此项工作,但内审人员忙于完成年度审计计划,无暇关注该项工作,同时集团和公司审计部门自身对内部审计人员开展的针对此项工作进展的宣贯和相关知识的培训力度、密度不大,造成内部审计人员对公司这两项工作了解程度不深,在审计工作中,一方面难以转变传统审计观念,另一方面不利于开展风险导向审计。 四、建议 51、合理配置人力资源 量力而行,审计人力资源与审计任务的矛盾直接影响到审计项目的数量和质量,在制定审计项目计划、接受审计委托时要考虑审计队伍人力的承受力,合理配置现有审计人员,对实施的审计项目要综合考虑,在组织审计组时,注重审计人员的合理匹配。 2、以风险为导向制定审计计划 在
9、制定审计计划时,要综合考虑公司风险管理框架、管理层风险偏好以及公司管理层的关注重点,合理安排审计项目计划,建议公司年度例行审计项目与内控测试工作相结合,避免重复审计,应重点关注以下几个方面:高风险、控制薄弱领域;公司依赖程度最高的控制系统;固有风险非常高的领域;固有风险和剩余风险间差别很大的领域。 3、做好审前调查,确定审计重点,进一步细化审计实施方案 在按照总公司内部审计规范要求的基础上,继续加强审前调查力度,提前熟悉被审计单位业务,如被审计单位财务处理及主要内部控制流程,通过梳理主要流程控制环节找出审计主攻方向或切入点。进一步细化审计实施方案,做到审计人员能看懂、针对性强、能够指导审计人员
10、独立操作。 4、加强学习,时刻注重知识更新 审计队伍现状要求我们尽快优化审计队伍的专业结构和知识结构,逐步形成一个知识合理、优势互补、数量和质量相统一的复合型专业队伍。而要实现这一目标,首先要抓思想作风建设,增强职业道德观念,乐于学习,进取奉献;其次要加强政策研究,提高归纳提炼和分析评价6能力,重点学习计算机技能和计算机辅助审计内容,以充实和吸收新知识,拓宽知识面,改善知识结构,全面提高审计人员的宏观经济理论和政策法律水平,使审计机关和现有审计人员的整体素质上升到一个新的高度。 5、利用计算机审计手段,提高审计工作水平 由于计算机在企业内部的广泛应用,尤其是企业财务软件的应用,企业开展计算机审
11、计已不能仅仅局限于简单的计算,而是应该形成一个系统的审计规范且将其融入一套软件程序,以适应审计工作需要。计算机审计工作的开展可从易到难,具备基本功能的审计软件可以外购。 6、适当利用外部审计和公司各专业人员力量,弥补审计组知识结构,提高工作效率 外部审计在组织上、工作上都具有较强的独立性,容易跳出公司的局限,能够更深一步地看问题;公司其他部门各专业人员弥补了内部审计人员的知识结构,补充他们进入审计组,一定程度上弥补了内部审计的不足,内部审计人员可以在审查的基础上接受审计事实,充分利用他们的业务特长提出更加具有建设性的意见,及时报告公司管理层尽快解决,提高公司应对风险的能力。 7、确保内部审计独
12、立性 内部审计独立性的增强,重在自身的有所作为,常言道:“有为”才能“有位” 。内部审计的独立性必须依靠内审部门和内审人员自身良好的工作成效来争取、来确立。要“以为争位” ,就应当做到:一是审计的务实性要强。内部审计要抓住公司经济活动、经营发展中的关键环节,7突出审计重点,使内部审计能够在公司经济活动中起到保驾护航、铺路搭桥的作用。二是审计过程要规范。要建立规范的内部审计程序,切实做到依法审计,按照国家的法规、公司的制度要求,按照企业经营管理及领导者的要求开展审计业务。三是审计结果实效性要突出。内部审计在很大程度上是一种效益审计,能否通过审计规避经营风险、促进经营发展,是衡量内部审计有效性的关
13、键,只有做到这一点,内部审计才能在监督和服务中做到“眼睛明” 、 “监控灵” 。 未来内部审计不仅应在风险管理领域发挥作用,而且要涉足一些过去和目前未涉及的领域,包括公司的长期规划、信息技术战略规划、市场营销等。要打破不同部门在业务和信息方面的阻碍,从战略高度通观整个企业,为企业增加价值,达到企业的利益最大化,实现我国内部审计的健康发展,使内部审计真正成为“免疫系统” 。 【参考文献】 1 徐宏峰、李洪天:内部审计与公司治理的改善J.财会月刊(会计版) ,2007(9). 2 赵金芳、黄元喜:对企业风险管理实施内部审计的思考J.商业会计(上半月) ,2007(1). 3 卜淑珍:内部审计与企业风险管理D.厦门大学,2006. 4 谭劲松、黎文靖:民营企业内部审计:理论框架与发展对策J.审计研究,2003(1).
