浅谈风险导向内部审计理论研究
风险导向内部审计作为新的审计模式,是现代审计技术和方法拓展的新领域,必然要符合审计基本理论结构框架,本文将从风险导向内部审计的内涵和特征开始讨论风险导向内部审计的基本理论问题,并尝试构建风险导向内部审计的理论框架。
一、风险导向内部审计的内涵
风险导向审计的定义为“企业内部审计部门采用一种系统化、规范化的方法来进行,以企业风险管理信息系统、各业务循环及相关部门的风险识别、分析、评价、管理及处理等为基础的一系列审计活动,对机构的风险管理、控制及监督业务进行评价进而提高业务效率,帮助机构实现目标。”靳建堂(2005)在《风险导向审计初探》一文中指出,风险管理审计是建立在全面风险管理基础上的一种内部审计技术方法,这种方法作为成功的全面风险管理规划的一个重要组成部分,更加关注企业的经营目标、管理层的风险承受度、关键风险衡量指标以及风险管理能力。高岩芳、魏哲妍(2005)等在《新COSO报告影响下的内部审计的新发展—风险导向审计内容与方法的构建》中指出风险导向审计的主体可以是国家审计机关,也可以是社会审计组织,还可以是内部审计机构,相比较而言,内部审计机构实施风险管理审计有着得天独厚的优势。
纵观上述学者对风险导向审计定义的研究,比较一致的认为风险导向审计是审计技术的革新,是一种新的审计模式,但更多的是从审计技术、流程和内容来阐述风险导向审计的定义。李璇(2007)指出基于全面风险管理的整合型内部审计模式是指在公司治理结构的框架内,企业各层级审计主体在优化配置基于全面风险管理内部审计的责、权、利,高效地实现审计目标的视角下,以全面风险管理为导向,以企业内部审计资源、能力合理配置为基础,以公司各职能机构的有机协调为路径,以内部审计的管理机制创新为手段,以促进全面风险管理企业文化在公司内的传播为核心,以实现企业可持续价值创造能力最大化为终极目标的一种内部审计模式,它是企业内部审计系统的资源、能力、战略、环境、公司治理结构相互作用、结构优化、目标协调的集成系统化的结果。简言之,基于全面风险管理的整合型内部审计模式是对企业全面风险的一种管理监控模式。它既是公司治理结构的重要组成要素和核心内容,也是其在当代时代背景下企业内部审计系统发展方向的集成表征,更是企业公司治理效率的结果。它不仅具有内在的逻辑结构,生成和运行机理,而且特征显著。笔者认为,风险导向审计是企业整体风险管理系统中的重要组织部分,它以管理层的风险承受水平为出发点,以优化企业关键风险管理、确保风险控制在企业风险承受水平之内为目标,通过一套系统的、规范的方法,来确保经营者履行受托风险责任。风险导向审计的本质是确保受托风险责任全面有效履行的控制机制。
二、风险导向内部审计的特征
风险导向审计方法吸收了其他几种审计方法的优点,同时也考虑了关键经营目标、管理层风险承受水平以及关键风险计量和绩效指标。
1.系统性风险导向。内部审计是一个相对独立的系统,同时也是企业管理系统中的一个重要组成部分,是优化企业风险管理的关键部分,在企业核心能力的生成和运行中具有重要的不可替代的作用。它的生成是企业内部审计资源、能力和环境有效整合的连续一体化过程。风险导向内部审计本身有其组成要素、结构及目标,具有复杂系统的显著特征。跨职能合作的需要以及内部审计能力各要素相互作用机制的复杂性,导致风险导向内部审计生成和运行就更加复杂,因此,在其系统运行业务中,不仅要借助复杂系统理论和方法进行指导,而且要重视其复杂性,注重内部审计资源、能力有效配置,结构优化,目标可协调,及时发现问题、分解问题和解决问题,以确保系统目标的实现。
2.增值性风险导向。内部审计作为一种新的内部审计模式,它能充分调动全体员工的积极性来发现风险事件或潜在机会,将风险转移或控制在企业风险承受水平内或对潜在的机会加以利用,这种从下至上的合作能为企业减少损失甚至带来收益,直接带来企业价值增值。风险导向内部审计整合了全面风险管理和内部审计职能,从上至下,从企业董事会到各子公司或各分部风险管理小组,明确责权利配置,可以监管、激励和约束内部审计行为,协调内部审计关系,优化审计资源的配置,提高内部审计效率,最终保证企业内部审计战略的实现,实现内部审计的价值增值作用,提升企业价值。
3.依存性风险导向。内部审计依赖审计主体所依存的审计环境、资源、能力的状态水平,且随时空变化而变化,实现路径的不同而不同。风险导向内部审计必须保持与内部审计战略和风险管理战略一致的动态调整,尤其要关注企业内外审计资源、内部审计能力的变动和调整。风险导向内部审计的运行是一个适应性的业务,企业必须采取与时俱进的观念和不断修正的方式来制定战略,并力求与企业环境和谐一致,以确保内部审计战略的实现。风险导向内部审计要体现企业战略对审计行动的指导性,并充分发挥其长期效能;当内部审计环境出现较大变化并影响全局时,必须利用机会,甚至创造机会,内部审计战略也应随之调整。
4.创新性风险导向。内部审计是对审计技术和方法的创新。首先是将审计重心前移,从以审计测试为中心转移到以风险评估为中心,审计程序上包括风险评估程序、审计测试程序(包括符合性测试和实质性测试),重点是风险评估。其次,风险导向内部审计在以往内部审计的基础上大大加强了风险评估程序,真正体现了以风险管理为基础的审计理念。风险评估重心由内部控制向风险管理转移。风险导向审计对风险评估结构也进行了优化,使风险分析从零散走向结构化。风险分析结构化的最大好处是考虑了多方面的风险因素,便于做综合风险评估。此外,分析性程序成为了风险评估的中心。审计师将现代管理中的分析工具充分运用到风险评估中去,不仅包括财务数据的分析,还包括非财务数据的分析。这就要求审计师的专业知识结构要发生相应的改变。也就是说,审计师不仅要精通审计知识,还要掌握常用的现代管理学分析工具。此外,在流程上体现了“自上而下”与“自下而上”相结合。自上而下与自下而上,相互印制,有利于提高审计效率。
三、风险导向内部审计的目标
蔡春教授在其专著《审计理论结构研究》中指出:“审计的本质目标就是确保受托经济责任(Accountability)的全面有效履行。按照各种审计类别所列示的审计目标都是这一本质目标的具体化。因此,笔者认为,风险管理导向内部审计的本质目标更加强调确保风险管理责任的全面有效履行。第一,受托经济责任关系是审计的历史起点与逻辑起点。风险管理责任是受托经济责任的重要内容,受托风险管理责任的履行是受托经济责任能够得到全面有效的履行重要保证。第二,由于受托经济责任的履行业务,特别是风险管理责任的履行业务有可值得怀疑之处,所以必须对其进行严格的控制。风险管理导向内部审计正是执行这种控制功能的一种特殊机制,它的存在就是为了保证受托经济责任,以及其中的风险控制责任的全面有效履行。第三,受托经济责任的履行状况是可以确认的,因而风险管理导向审计作为保证受托经济责任,以及其所包含的风险管理责任全面有效履行的控制机制是完全行之有效的。第四,审计师在对受托经济责任及其所包含的风险管理责任履行情况实施检查时,其自身必须具备一种超然态度,即不参与被审单位的经济业务活动;与被审单位不存在足以影响其独立行使权力的经济利益关系以及其主观意识必须客观公正、不偏不倚。审计师所具备的这种超然态度是使其行为活动区别于其他检查活动的重要的、根本性的特征。第五,为了确保受托经济责任及其所包含的风险管理责任的全面有效履行,审计机构和人员所实施的独立检查是充分有效的。因为审计机构和人员与被审单位之间不存在必然的利害冲突,即便偶有冲突,也是可以排除或避免的,不致妨碍独立审计的有效实施。因而,风险导向内部审计能够有效地保证受托经济责任及其所包含的风险控制责任的履行。综上所述,我们可以得出这样的结论,受托经济责任,特别是其所包含的风险管理责任的存在是风险导向内部审计存在的前提,而风险导向内部审计正是保证风险管理责任全面有效履行的一种特殊的风险控制手段和机制。因此,风险导向内部审计的本质目标是确保风险控制责任的全面有效履行。
四、风险导向内部审计的功能
前文已经论述了风险导向内部审计的目标是确保经营者受托风险管理责任的履行,其服务的对象主要是公司董事会和高层经营者,是以企业目标为出发点,对企业的风险管理进行评价和分析,以确保企业的关键风险控制在可接受水平之内。因此,风险导向审计功能是随着受托经济责任拓展到受托风险管理责任而拓展的具体功能。这一具体功能除了传统的审计功能之处,更加强调审计的保证和咨询功能。风险导向内部审计功能主要体现两方面的作用。
(一)风险管理效应风险导向。内部审计功能的风险管理效应是指内部审计对审计发现的关键风险,不是简单的被动确认,而是积极主动整合审计资源、发挥作用来调控、驾驭关键风险,实现审计目的。风险管理效应是基于VBM(Value based on management)管理模式而产生的,风险导向内部审计要帮助企业实现风险管理目标,必须进行有效的路径选择。一要进行科学选择审计战略路径,这是进行风险导向审计的基础和战略手段;二要健全内部审计系统的风险管理组织体系,因为公司治理、组织结构是为风险价值目标服务的,是风险价值目标和战略实施的支持和保障;三要有效运用内部审计技术,进行审计资源平衡管理;四要建立内部审计风险预警与风险报告体系,以便为风险管理提供信息资源;五要完善绩效考评,落实风险价值贡献与风险损失责任制,为风险价值管理提供激励约束的制度保障。
(二)价值创造效应风险导向。内部审计的价值创造效应是指其充分发挥作用而创造审计主体价值、审计客体价值及相关利益者价值最大化的业务及结果。从风险导向内部审计的本质看,首先,内部审计系统利益相关者整体价值最大化,是其价值创造的逻辑起点;其次,该内部审计主导的审计行为活动中各种审计资源的有效整合,这是其价值创造的现实物质基础;在这一业务中,审计资源的有效利用形成各种审计能力,这种能力有利于实现审计目标,提升企业价值;再次,内部审计系统的审计决策要适应于特定审计环境、驾驭相关审计风险、实现特定审计目标的内部审计资源、能力,完成相关审计任务,这是价值创造的实现过程。
作者:马冬梅