1、风险导向内部审计框架构建及实施研究一、风险导向内部审计框架构建 运用流程再造理论对企业构建风险导向内部审计模式,建立一个完整合理的内部审计系统框架,使风险导向审计能更好地顺利实施。 (一)框架内容 风险导向审计框架划分成五大子系统。即战略计划、业务程序、组织建构、风险评估体系和抽样模型。具体如下:(1)战略计划。战略计划指建立定位及目标。战略定位即制定风险导向审计实施的步骤、环节和措施。战略目标是确定风险为导向内部审计的范围、目标、职能、方式,重新规划与审视内部审计的业务范围。战略计划指明发展前景,风险导向内部审计实施的第一步是战略计划设立。 (2)业务程序。业务程序包括两部分即现有程序侦测和
2、程序变革。现有程序侦测即对先行审计业务程序与运行中的问题进行分析;流程变革是对审计业务程序中的变革内容、方法进行阐明。完成核心业务程序变革才能实现战略计划。业务程序的变革即诊断、分析与再设计内部审计流程,再重构高效率的新流程。 (3)组织建构。组织建构由组织建构侦测与组织建构变革组成。组织建构侦测即建构先行审计组织与分析问题;组织建构变革阐明变革内容、方法。所以,组织机构和业务程序是业务程序实现变革的保障,两者相辅相成。 (4)风险评估体系风险评估系统由风险评估框架及思路组成。风险评估框架思路指年度审计计划和具体审计项目运用。框架内容包括识别风险评估对象、企业目标、制定风险容忍度与风险偏好、设
3、置风险评估信息数据库、建立评估风险影响程度与发生可能性的选择风险评估模型、标准等;二是分析、识别、评估风险。风险评估系统是风险导向内部审计模式推行的手段与工具,风险评估程序引入于风险导向内部审计模式中,并在内部审计业务程序的各个环节得以运用。 (5)抽样模型。抽样模型包括审计抽样方法和审计风险模型与设定样本规模,审计抽样方法指常用的方法;审计风险模型与设定样本规模是明确样本规模和内部审计风险评估结果间联系,及以风险评估结果确定样本规模。抽样技术模型的建立是为了在审计抽样规模及风险评估结果间建立有机的联系。 (二)五个子系统相互关系 实施风险导向内部审计须注意五个子系统的变革因素,变革的最终目的
4、是实现战略目标。要实现战略目标,需其它四个子系统支撑,审计工作的成功变革,五个子系统不可或缺。图1 是用金字塔形表示框架子系统的相互关系。 变革管理的最终目标是战略计划。核心流程驱动战略计划的实现,是整个变革管理的关键与要素核心即业务程序变革。它要求并推动组织建构发生变化,而业务程序变革顺利实施的基本保障即组织建构。要实现业务程序变革,就得构建有效的抽样技术模型与风险评估系统,风险评估系统是实现变革的“使能器” ,扮演必不可少的角色。总之,框架 5 种子系统缺一不可,相辅相成,变革的实施过程, 五项因素和相互关系要综合考虑,使变革顺利进行。 二、风险导向内部审计实施流程分析 评价企业风险管理的
5、有效性是风险导向内部审计的目标,提供合理的保证以实现目标。详细研究风险导向内部审计的方法与实务,将风险管理的方法与技术和现代审计方法与技术结合起来,从一开始,实现目标的风险就要考虑,内部审计将风险意识贯穿于整个审计过程中。 (一)制定审计方案 (1)业务程序分析。控制业务风险是风险导向审计中要达到的结果。审计人员要理解活动内容、执行人、执行顺序、输入内容及结果,从头到尾完整的活动组成一项业务。第一,调查当前业务。应从查看现有的文件开始进行业务调查。与业务相关的资料如程序手册、政策、业务程序图、涉及人员的岗位描述,可以提供必要的信息,如有必要可与执行业务人员讨论,使审计人员能评估此业务设计是否能
6、可控制关键风险。评价业务设计的有效性需详细并足够地了解业务。第二,建立业务程序审计文件。首先,高级业务程序图。高级业务程序图描述业务与子业务的工作流程,使审计人员熟悉业务的系统、活动、子业务和报告间接口,程序图中方框表任务;文件符号表输入输出;圆柱体符号表计算机应用与系统;箭头表工作流方向。简单的高级业务程序图,使审计人员了解必需的业务信息,并能作为详细业务图的总结图。其次,详细业务程序图。高级业务图提供不了更详细的信息。详细业务程序图描述更多具体的输入、任务、行动、系统、决定和输出。还要记录相应的信息,以增进对业务的全面了解。详细业务图提供了大量的业务信息,足以支持审计人员对整体业务设计的充
7、分性、主要控制、及期望的判断。再次,叙述法。叙述文件一是对业务的总体描述;二是主要输入;三是业务的主要步骤;四是主要输出;五是关键控制;六是管理的风险。业务叙述文件格式可以不同,但须注意确保文件是可理解的。叙述文件或业务图也可两者组合,有助于后面对业务设计的理解。保证评估设计的有效性。 (2)分析主要控制。业务由许多行动组成。结果的实现全部行动都发挥了作用,但对结果至关重要的只有很少的行动;关键的行动为主要控制。主要控制的性质和类型可能不同。控制是可防可测的。COBIT ,COSO,COCO 等是当前已有的控制模型。主要关注控制起的作用,没有公式或基准表来判定主要控制。审计人员要思考,一是清楚
8、了解期望结果后,必须思考、评估每一个行动不充分执行可能产生的后果及造成损害的严重程度,程度轻可能不是主要控制;可与其它行动同时运行,二者一起构成主要控制(如,自己批准的一项交易,可能非主要控制,但和每月预算执行差额检查共同开展时,两者可构成一个主要控制) 。二是思考还有其它补充行动吗?如能防止发生潜在结果的可能性极小。那主要控制可能是补充的行动。三是主要控制的确认要多年经验,但如果按以上做法,大部分主要控制可能辨识出来。 (3)分析业务风险。一是评估业务风险。业务风险的可能与影响可通过审计来验证,评估要有侧重点且保持一致性,关注可能的最坏情况,以及特定业务还须关注风险的声誉、战略或其他影响。评
9、估风险级别低、中、高。二是记录风险评估。审计底稿应记录每个风险的影响和判断的可能性。整个审计程序的判断基础都贯穿这些判断(如,关键控制、审计测试的确定) 。确定风险水平的必要信息要包含底稿每一栏。如风险的名称、定义、重要性、评级和可能性。 (4)理解管理层风险承受水平。管理层要设定风险承受水平,审计小组对内容要合理的理解,其理解不会左右审计人员的判断,能使审计方法和评价会考虑管理层能承受的风险水平。使审计人员平衡管理层与治理层对风险承受水平的了解。很详细是不实际的。管理层须说明风险承受水平及多种可能性。与管理层讨论要关注:一是对管理者目标实现的变化高层管理人员容忍度有多大?二是管理层对 KPI
10、 执行与监控有多严格?三是管理层认为重大影响是什么,什么是管理层不想处理和承受的潜在风险与情况?以上信息能使审计人员评价程序设计的差距,确定审计测试需要执行与提交哪些。 (5)业务风险管理差距分析。审计方案设计最后一步为要确认设计中没能把关键风险有效控制在期望水平的差异,专业判断与评估业务总体的有效性。先确认差距,评估主要控制,控制每项关键风险在可承受的范围内。审计人员对设计中的存在的差距必须确认。设计有哪些缺陷、缺陷的原因与影响、弥补措施,记录底稿中,差距判断结果要说明设计有无有效性,有没差距,是否重大。最后评估业务的整体有效性,要考虑:关键风险如不能控制在期望水平,是否有缓解因素(如,监督
11、,复查,补偿控制,其他控制措施等)能降低影响,整体而言,可以统一的术语(强、适度、弱设计)交流评估结果。 (二)实施审计测试 业务设计除有效性是不够的,审计测试主要工作还须严格保证按设计运行。 (1)测试业务运行。验证是否按设计运行要实施审计测试,审计测试包括符合性测试和实质性测试,符合性测试是确认活动是否符合已制定的规定及指南。实质性测试是为了估计总体值或推断实质值和期望值之间的差异。一是设计良好的业务。审计人员须对属性测试能否增加价值审慎思考。并非所有属性都能对业务运行的有效性评价提供帮助。无需考虑所有属性和风险,应保证风险导向审计的有效。二是设计不充分的业务。某业务可能控制关键风险不能到
12、预期水平,或某些部分没能按设计运行。审计人员应发现可改进的地方。就要量化测试确定设计缺陷和没能按设计运行的影响。此时审计人员应明确量化测试的性质和范围。有时可采用多重测试能达到最高效率和最好效果。能同时提供运行的审计和业务设计证据。 (2)记录测试方法和结果。要记录和归纳审计测试的依据和方法,内容有:风险名称、测试方法、测试结果。把关键风险和测试方法与结果联系起来有助于评估业务的有效性。 (3)业务运行差距分析。不能把关键风险控制在期望水平的差距确认是测试阶段的最后一步。要用技巧作出专业判断。对运行中的存在的差距必须确认。运行有哪些不足和缺陷,缺陷的原因与影响,弥补措施,记录底稿中,差距判断结
13、果要说明运行有无有效性,有没差距,是否重大。关键风险如不能控制在期望水平,是否有缓解因素(如,监管、审计、补充控制等)能降低影响,整体而言,可以统一的术语(强、适度、弱运行)判断结果。一直以来审计实施阶段,内部审计人员都集中精力于内部控制系统的审查,企业活动的内部控制通过符合性与实质性测试,做出评价。向管理层提出加强内部控制的措施。 (三)编制审计报告 审计报告主要包括以下内容:(1)审计发现。审计发现是认定特定事件、问题、确认的机会或差距。说明审计发现的相关性。审计发现不要不必要的信息。 (2)潜在影响。要侧重说明可能的最坏影响,这样最能促发行动。可能的实际最坏影响要主要关注,但需要采取不同
14、行动的其他可能影响也要说明。如可行,要关联业务目标、关键风险或影响,能强化审计发现的相关性。 (3)根本原因。理解驱动因素或潜在的原因很重要,可减少或防止问题的重复发生。要避免审计者假设根本原因是复杂或精细的。一般审计师与业务管理人员有必要沟通原因。 (4)审计建议。审计发现后有价值的是提出审计建议,内部审计这一阶段要对审计证据评价与整理,撰写审计报告,对被审计单位意见进行征求并对底稿复核、下审计建议和决定。制定可行且有意义的建议最重要。审计建议要着眼于解决而不仅是提出。结果要可测,投入和执行成本应与行动所得的补偿价值相当。审计人员与业务管理人员可对过程监控以确保实施。与业务管理人员一起制定方
15、案更可能成功,因为,管理人员对行动计划的帮助制定,能缓解对抗气氛,有利于实施行动。(5)管理层声明。审计师要保证管理人员能理解审计发现、建议和原因、影响。要与具体责任人及业务管理人员适当讨论审计发现。可能管理人员有不同的想法,审计师应持开放的心态对待这些想法,可能管理人员方案更有效。若审计师的建议,管理人员不同意,可能管理层的风险承受水平审计师没有完全理解。应对管理层的风险承受水平更深入理解,从而与管理人员达成一致。 (6)审计处理。下一步审计师要进行审计处理,包括审计报告要包含审计发现内容;修改或合并审计发现,提供更可行方案;与管理人员探讨风险较低、最终审计报告中不包括的审计发现,且对改进机会的信息非正式传递;从审计报告中,以管理层的考虑与后续事实删除些审计发现。最终责任的人对每一项审计发现建议要落实。执行者要确定唯一的一个 参考文献: 1黄海:风险导向内部审计框架构建及应用研究 ,西南财经大学 2009 年博士学位论文。 2吴俊峰:风险导向内部审计基本问题研究 ,西南财经大学2009 年博士学位论文。 (编辑 园 健)
