风险导向审计应用的重难点及其对策研究
发布时间:2015-07-07 10:59
摘 要:风险管理成为现代企业管理热点,风险导向审计如何在风险管理中发挥作用是个值得探讨的问题。在论述风险导向审计的重点和难点的基础上,探讨解决问题的对策,健全适应我国经济体制的风险管理框架。
关键词:风险导向审计;风险管理;预警机制
1 风险导向审计的重点
1.1 以战略系统观为指导思想
战略系统观认为随着生产力的发展和企业规模的扩大,企业活动必须要有正确的经营战略。
风险导向审计遵循“战略分析-经营环节分析-剩余风险分析”的基本思路,从战略管理活动分析入手,来决定实质性测试的性质、时间和范围,并建立企业风险与战略风险之间的联系,它是在传统审计方法基础上进一步发展。从方法上讲,风险导向审计从系统和战略的角度审视风险发生的可能性和损失,指导审计取证的重点、范围、目标和程序,在系统上改进了审计方法,它比传统审计对企业了解更透彻。
1.2 以风险为出发点
企业风险管理旨在识别影响组织的潜在事件,在组织的风险偏好范围内管理风险,为组织目标实现提供合理的保证。
风险导向审计的范围包括企业战略风险和业务风险,审计对象进一步扩展到风险管理、控制和公司治理。由于受托责任的扩大,内审范围也随着扩大:从最初的会计、财务事项到进一步涉及各种经营活动业务;在风险环境中,除了风险评估和帮助管理层把风险转变为本组织的一种收入外,内部审计应该扩展审计范围,它包括风险控制、风险理财和风险管理。
内部审计师着重把握两类业务,一是经营风险导向审计,以企业高风险领域为评价重点,将客户置于一个大的经济环境中,运用立体观察的理论来判定影响企业持续经营的因素,从企业所处的商业环境、经营条件到经营方式和管理机制等构成控制因素的内外部各个方面评估其风险水平,将其经营风险植入到审计风险评价中去。 二是管理层舞弊导向审计,这是风险导向审计的发展,该方法注重“管理层舞弊”所带来的风险,以重点识别和判断管理舞弊的风险为切入点,开展以查找管理层舞弊风险为导向的审计。
1.3 建立健全企业风险预警机制
企业风险预警机制是指企业在风险管理中所形成的各种相互依赖,相互制约的预警职能体系,是降低企业风险的关键。建立健全企业风险预警机制,目标是让企业、管理者、员工共同承担风险责任,使责权利三者真正成为一个有机整体。
我国企业风险预警机制主要有四个部分构成:
(1)预警的组织机制。预警组织机构的成员由企业经营者、企业内部熟悉管理业务、具有经营管理知识和技术的管理人员和审计人员组成,有条件的可聘请一定数量的外部管理咨询专家,独立开展工作,但不直接干涉企业经营,只对最高管理者负责。预警组织制度的实施使预警分析工作经常化、持续化,只有这样才能产生预期的效果。
(2)企业信息收集、传递机制。良好的企业风险预警分析系统,要能够有效预知企业可能发生的经营危机,预先防范经营风险的发生,必须建立在对大量资料分析的基础上,抓住每一个相关的风险征兆。主要资料包括内部、相关外部市场和行业等数据。
(3)企业风险分析机制。此分析系统一般有两个要素:即先行指标和扳机点。先行指标是用于早期评测运营不佳状况的变动指标,扳机点是指控制先行指标的临界点,也就是预先所准备的因应计划必须开始起动之点,一旦评测指标超过预定的界限点,因应计划随之而动。
(4)企业风险处理机制。风险分析清楚后,企业应立即制定相应的预防、转化措施,尽可能减少风险带来的损失。如应收账款周转率过慢,表示营销部门收账措施可能不力,产生的风险一是资金运转将吃紧,二是企业将承受更多的交易风险。风险处理机制促进营销部门主管深入探究缘由,并提出对策。
1.4 采用“自上而下”和“自下而上”相结合的审计思路
在制度导向审计阶段,审计理论与实务界就已认识到“自下而上、由点到面”这种审计思路的缺陷,开始强调审计人员的专业判断和了解企业经营环境的作用,如何系统地理解企业战略及其经营环境则进展缓慢。风险导向审计要求审计人员对风险预警系统数据做出合理的专业判断,先运用“自上而下”的思路,对企业战略进行分析,通过经营风险导向和严密的逻辑推理,分析出异动指标,明确审计的范围和重点,确定相关审计目标和程序。然后通过审计取证结果,并结合重要性判断,采用“自下而上”方法判断整个企业经营风险并最终形成审计意见。因此,风险导向审计的思路比制度导向审计更完善、更有效。
1.5 偏重于事前控制的全过程监督
全过程开展风险导向审计,有利于加强和监督风险控制管理系统的运行,尽可能实现事前控制的愿望。与外部审计相比,内部审计能够以更大的责任心和更多的精力专注于本单位所处的环境和面临的各种风险因素,对风险评估非常有利。
1.6 确定风险的重要性水平
重要性水平是指审计误差对审计评价决策影响的大小。确定重要性水平是审计成败的关键,至少要考虑以下要素:一是审计目标;二是全面风险评估结果;三是不同的会计事项。 在确定审计结论误差或审计风险的重要性水平时,不仅要考虑总误差水平,而且要针对不同的会计事项确定不同的重要性水平。
1.7 设置个性化的审计程序
由于被审单位比较了解传统审计的标准化程序,可能提前做好应对准备,使审计人员无法突破其预先设置的障碍,难以提高审计效率。风险导向审计则针对不同审计对象实施个性化的审计程序,对不同的风险点实施不同的程序。风险导向审计的测试程序是建立在风险评估的基础上,对不同的单位、风险领域、行业、产业政策、风险状况、审计目的选择不同的审计重点,编制不同的审计程序,使审计工作能够更加有效地开展。
2 内部风险导向审计的难点
2.1 理论体系不成熟
尽管2004年国际内部审计协会《内部审计实务标准》和coso《企业风险管理-整合框架》都提出了风险管理的理论框架,但风险导向审计自身尚未形成严密、科学的体系,缺乏必要的理论支撑,无论是学术界还是职业界都对风险导向审计理论和技术褒贬不一,缺乏一致认识,很难形成统一的理论作指导。至今我国未出台较为完备的法规政策来规范约束和保障风险审计的开展,使审计人员在开展风险导向审计的过程中束手束脚。
2.2 管理层风险意识淡薄
部分企业缺乏风险意识,没有积极、主动、系统地进行风险管理工作。主要有:一是风险管理活动是瞬时或间断性的,事后将其抛掷脑后;二是企业缺乏对风险进行定期复核,降低了企业适应环境变化、管理和规避风险的能力。甚至有些企业只顾眼前利益,忽视某些决策对企业未来的影响,从而给企业带来巨大的损失。
2.3 企业风险管理的组织架构不完善
我国大多数企业存在较为严重的治理结构问题,如缺乏风险管理部门,风险承担主体不明确,各个部门或者岗位间互相推卸责任,缺乏有效的约束机制等,从而使我国企业不能将企业风险管理上升到企业发展战略高度。
2.4 审计人员未能充分利用分析性程序
我国理论界对分析性程序的研究重视不够,在审计实践中做分析性复核也只是“蜻蜓点水”,随意性大。审计人员基本上是根据审计程序表中的审前数与以前年度审定数作简单比较,以及计算几个综合性财务比率,对行业分析做得很少,更谈不上采用时间序列分析、回归分析和统计调查规则。国外在这方面有比较深入的探讨,值得我们去学习。
近年来的审计失败案例中发现,我国会计报表重大错报的主要因素是管理层舞弊。审计人员一般都能查出财务知识和技能的缺陷导致错报,但对管理层通过驾驭日常内部会计系统故意提供虚假财务报表,一般审计方法很难发现。同时我国尚存在会计法规不健全、公司治理结构不完善、管理层业绩评价体系不科学以及证券市场不规范等问题,都为管理层舞弊提供了机会。
2.6 风险导向审计人才严重匮乏
风险导向审计对审计人员的素质要求较高,不仅要求审计人员拥有管理、财务、营销和会计等多方面专业知识,还要有较高的风险分析能力、专业判断能力和丰富的执业经验。现有内审师的业务水平偏低,主要表现在计算机能力不够,知识结构单一,风险意识不强,工作创新能力差等方面。有的审计人员无法对被审单位的经营和舞弊风险做出正确评估,若在判断上出现方向性错误,极有可能会导致审计无效率或审计失败。
3 风险导向审计的对策
3.1 完善理论体系和法规制度,提升审计地位和独立性
与早期查错防弊为目标的内部审计不同的是,内部审计的重点已逐渐转向事前监督,以风险管理为中心,主动发现风险改善管理,直接为企业的战略目标服务。2008年的金融风暴促使风险审计理论体系的成熟和发展,风险管理的重要性也被管理当局普遍接受。内部审计通过风险导向审计模式转型,把内部审计工作纳入风险管理体系,使之成为企业管理核心体系的重要组成部分,提升在企业管理中的地位和独立性。
3.2 更新观念,提高企业风险意识
开展企业风险导向审计,首先要求企业管理层要彻底转变观念、增强风险意识、把风险导向审计摆在重要位置,正确地处理风险与效益的关系,把企业长远利益作为企业的根本目标,进一步完善内部控制制度的建设,完善风险管理组织架构,明确风险承担主体,形成由最高管理层直接负责的、系统的、全面的风险管理系统。
3.3 加强内部控制,完善公司风险预警机制
公司治理的目标是在充分考虑利益相关者相对满足和大体均衡情况下,增加企业价值,使股东长远利益最大化。内部审计在公司治理中的作用包括监督、评价和分析组织的风险和各项控制,复核并证实信息是否可靠并符合相关法律政策和程序,协助管理者向董事会、审计委员会提供防范治理风险的保证,是公司治理结构中形成权力制衡机制并促使其有效运行的重要手段,是公司治理过程中不可缺少的组成部分。因此,审计部门应参与风险评估工作,协助管理层将企业风险管理上升到发展战略高度,改进监控方式,抓住重点,帮助完善公司风险预警机制。
3.4 关注管理舞弊
风险导向审计是为防范管理层舞弊而发展起来的,美国最新颁布的舞弊审计准则——《财务报表审计中对舞弊的关注》描述了舞弊普遍存在三方面的特征,即动力/压力、机会、态度/企图,要求审计师从这三方面关注管理舞弊风险因素,充分运用分析性检查方法,执行针对舞弊的审查程序。在计划阶段,审计人员从宏观上分析企业状况,采用适当方法降低风险。同时,审计师考虑对管理层舞弊实施相关的测试程序,对重要的管理层判断和假设进行追溯复核; 对大笔非正常交易的业务合理性进行评估。如果发现有管理层越过内部控制或存在大笔不合理交易的情况,且具备舞弊动机时,审计师应采用更严格的审计标准,以减少审计失败。
3.5 提高审计人员专业水平
要提高审计人员的业务水平,首先要转变审计观念。它使审计人员开始关心机构的战略目标和所面临的风险,依据风险导向的思路,将风险控制措施和策略与战略目标联系起来。其次要提高审计人员的职业判断能力。风险导向审计能否有效实施,关键要看审计师的专业判断、风险意识,它已成为能否提高审计质量和效率的重要保证,客观上要求从业人员必须具备较高的业务素质,有更高的分析解决问题的能力。
关键词:风险导向审计;风险管理;预警机制
1 风险导向审计的重点
1.1 以战略系统观为指导思想
战略系统观认为随着生产力的发展和企业规模的扩大,企业活动必须要有正确的经营战略。
风险导向审计遵循“战略分析-经营环节分析-剩余风险分析”的基本思路,从战略管理活动分析入手,来决定实质性测试的性质、时间和范围,并建立企业风险与战略风险之间的联系,它是在传统审计方法基础上进一步发展。从方法上讲,风险导向审计从系统和战略的角度审视风险发生的可能性和损失,指导审计取证的重点、范围、目标和程序,在系统上改进了审计方法,它比传统审计对企业了解更透彻。
1.2 以风险为出发点
企业风险管理旨在识别影响组织的潜在事件,在组织的风险偏好范围内管理风险,为组织目标实现提供合理的保证。
风险导向审计的范围包括企业战略风险和业务风险,审计对象进一步扩展到风险管理、控制和公司治理。由于受托责任的扩大,内审范围也随着扩大:从最初的会计、财务事项到进一步涉及各种经营活动业务;在风险环境中,除了风险评估和帮助管理层把风险转变为本组织的一种收入外,内部审计应该扩展审计范围,它包括风险控制、风险理财和风险管理。
内部审计师着重把握两类业务,一是经营风险导向审计,以企业高风险领域为评价重点,将客户置于一个大的经济环境中,运用立体观察的理论来判定影响企业持续经营的因素,从企业所处的商业环境、经营条件到经营方式和管理机制等构成控制因素的内外部各个方面评估其风险水平,将其经营风险植入到审计风险评价中去。 二是管理层舞弊导向审计,这是风险导向审计的发展,该方法注重“管理层舞弊”所带来的风险,以重点识别和判断管理舞弊的风险为切入点,开展以查找管理层舞弊风险为导向的审计。
1.3 建立健全企业风险预警机制
企业风险预警机制是指企业在风险管理中所形成的各种相互依赖,相互制约的预警职能体系,是降低企业风险的关键。建立健全企业风险预警机制,目标是让企业、管理者、员工共同承担风险责任,使责权利三者真正成为一个有机整体。
我国企业风险预警机制主要有四个部分构成:
(1)预警的组织机制。预警组织机构的成员由企业经营者、企业内部熟悉管理业务、具有经营管理知识和技术的管理人员和审计人员组成,有条件的可聘请一定数量的外部管理咨询专家,独立开展工作,但不直接干涉企业经营,只对最高管理者负责。预警组织制度的实施使预警分析工作经常化、持续化,只有这样才能产生预期的效果。
(2)企业信息收集、传递机制。良好的企业风险预警分析系统,要能够有效预知企业可能发生的经营危机,预先防范经营风险的发生,必须建立在对大量资料分析的基础上,抓住每一个相关的风险征兆。主要资料包括内部、相关外部市场和行业等数据。
(3)企业风险分析机制。此分析系统一般有两个要素:即先行指标和扳机点。先行指标是用于早期评测运营不佳状况的变动指标,扳机点是指控制先行指标的临界点,也就是预先所准备的因应计划必须开始起动之点,一旦评测指标超过预定的界限点,因应计划随之而动。
(4)企业风险处理机制。风险分析清楚后,企业应立即制定相应的预防、转化措施,尽可能减少风险带来的损失。如应收账款周转率过慢,表示营销部门收账措施可能不力,产生的风险一是资金运转将吃紧,二是企业将承受更多的交易风险。风险处理机制促进营销部门主管深入探究缘由,并提出对策。
1.4 采用“自上而下”和“自下而上”相结合的审计思路
在制度导向审计阶段,审计理论与实务界就已认识到“自下而上、由点到面”这种审计思路的缺陷,开始强调审计人员的专业判断和了解企业经营环境的作用,如何系统地理解企业战略及其经营环境则进展缓慢。风险导向审计要求审计人员对风险预警系统数据做出合理的专业判断,先运用“自上而下”的思路,对企业战略进行分析,通过经营风险导向和严密的逻辑推理,分析出异动指标,明确审计的范围和重点,确定相关审计目标和程序。然后通过审计取证结果,并结合重要性判断,采用“自下而上”方法判断整个企业经营风险并最终形成审计意见。因此,风险导向审计的思路比制度导向审计更完善、更有效。
1.5 偏重于事前控制的全过程监督
全过程开展风险导向审计,有利于加强和监督风险控制管理系统的运行,尽可能实现事前控制的愿望。与外部审计相比,内部审计能够以更大的责任心和更多的精力专注于本单位所处的环境和面临的各种风险因素,对风险评估非常有利。
1.6 确定风险的重要性水平
重要性水平是指审计误差对审计评价决策影响的大小。确定重要性水平是审计成败的关键,至少要考虑以下要素:一是审计目标;二是全面风险评估结果;三是不同的会计事项。 在确定审计结论误差或审计风险的重要性水平时,不仅要考虑总误差水平,而且要针对不同的会计事项确定不同的重要性水平。
1.7 设置个性化的审计程序
由于被审单位比较了解传统审计的标准化程序,可能提前做好应对准备,使审计人员无法突破其预先设置的障碍,难以提高审计效率。风险导向审计则针对不同审计对象实施个性化的审计程序,对不同的风险点实施不同的程序。风险导向审计的测试程序是建立在风险评估的基础上,对不同的单位、风险领域、行业、产业政策、风险状况、审计目的选择不同的审计重点,编制不同的审计程序,使审计工作能够更加有效地开展。
2 内部风险导向审计的难点
2.1 理论体系不成熟
尽管2004年国际内部审计协会《内部审计实务标准》和coso《企业风险管理-整合框架》都提出了风险管理的理论框架,但风险导向审计自身尚未形成严密、科学的体系,缺乏必要的理论支撑,无论是学术界还是职业界都对风险导向审计理论和技术褒贬不一,缺乏一致认识,很难形成统一的理论作指导。至今我国未出台较为完备的法规政策来规范约束和保障风险审计的开展,使审计人员在开展风险导向审计的过程中束手束脚。
2.2 管理层风险意识淡薄
部分企业缺乏风险意识,没有积极、主动、系统地进行风险管理工作。主要有:一是风险管理活动是瞬时或间断性的,事后将其抛掷脑后;二是企业缺乏对风险进行定期复核,降低了企业适应环境变化、管理和规避风险的能力。甚至有些企业只顾眼前利益,忽视某些决策对企业未来的影响,从而给企业带来巨大的损失。
2.3 企业风险管理的组织架构不完善
我国大多数企业存在较为严重的治理结构问题,如缺乏风险管理部门,风险承担主体不明确,各个部门或者岗位间互相推卸责任,缺乏有效的约束机制等,从而使我国企业不能将企业风险管理上升到企业发展战略高度。
2.4 审计人员未能充分利用分析性程序
我国理论界对分析性程序的研究重视不够,在审计实践中做分析性复核也只是“蜻蜓点水”,随意性大。审计人员基本上是根据审计程序表中的审前数与以前年度审定数作简单比较,以及计算几个综合性财务比率,对行业分析做得很少,更谈不上采用时间序列分析、回归分析和统计调查规则。国外在这方面有比较深入的探讨,值得我们去学习。
2.5 管理层的蓄意舞弊为审计带来很大难度
近年来的审计失败案例中发现,我国会计报表重大错报的主要因素是管理层舞弊。审计人员一般都能查出财务知识和技能的缺陷导致错报,但对管理层通过驾驭日常内部会计系统故意提供虚假财务报表,一般审计方法很难发现。同时我国尚存在会计法规不健全、公司治理结构不完善、管理层业绩评价体系不科学以及证券市场不规范等问题,都为管理层舞弊提供了机会。
2.6 风险导向审计人才严重匮乏
风险导向审计对审计人员的素质要求较高,不仅要求审计人员拥有管理、财务、营销和会计等多方面专业知识,还要有较高的风险分析能力、专业判断能力和丰富的执业经验。现有内审师的业务水平偏低,主要表现在计算机能力不够,知识结构单一,风险意识不强,工作创新能力差等方面。有的审计人员无法对被审单位的经营和舞弊风险做出正确评估,若在判断上出现方向性错误,极有可能会导致审计无效率或审计失败。
3 风险导向审计的对策
3.1 完善理论体系和法规制度,提升审计地位和独立性
与早期查错防弊为目标的内部审计不同的是,内部审计的重点已逐渐转向事前监督,以风险管理为中心,主动发现风险改善管理,直接为企业的战略目标服务。2008年的金融风暴促使风险审计理论体系的成熟和发展,风险管理的重要性也被管理当局普遍接受。内部审计通过风险导向审计模式转型,把内部审计工作纳入风险管理体系,使之成为企业管理核心体系的重要组成部分,提升在企业管理中的地位和独立性。
3.2 更新观念,提高企业风险意识
开展企业风险导向审计,首先要求企业管理层要彻底转变观念、增强风险意识、把风险导向审计摆在重要位置,正确地处理风险与效益的关系,把企业长远利益作为企业的根本目标,进一步完善内部控制制度的建设,完善风险管理组织架构,明确风险承担主体,形成由最高管理层直接负责的、系统的、全面的风险管理系统。
3.3 加强内部控制,完善公司风险预警机制
公司治理的目标是在充分考虑利益相关者相对满足和大体均衡情况下,增加企业价值,使股东长远利益最大化。内部审计在公司治理中的作用包括监督、评价和分析组织的风险和各项控制,复核并证实信息是否可靠并符合相关法律政策和程序,协助管理者向董事会、审计委员会提供防范治理风险的保证,是公司治理结构中形成权力制衡机制并促使其有效运行的重要手段,是公司治理过程中不可缺少的组成部分。因此,审计部门应参与风险评估工作,协助管理层将企业风险管理上升到发展战略高度,改进监控方式,抓住重点,帮助完善公司风险预警机制。
3.4 关注管理舞弊
风险导向审计是为防范管理层舞弊而发展起来的,美国最新颁布的舞弊审计准则——《财务报表审计中对舞弊的关注》描述了舞弊普遍存在三方面的特征,即动力/压力、机会、态度/企图,要求审计师从这三方面关注管理舞弊风险因素,充分运用分析性检查方法,执行针对舞弊的审查程序。在计划阶段,审计人员从宏观上分析企业状况,采用适当方法降低风险。同时,审计师考虑对管理层舞弊实施相关的测试程序,对重要的管理层判断和假设进行追溯复核; 对大笔非正常交易的业务合理性进行评估。如果发现有管理层越过内部控制或存在大笔不合理交易的情况,且具备舞弊动机时,审计师应采用更严格的审计标准,以减少审计失败。
3.5 提高审计人员专业水平
要提高审计人员的业务水平,首先要转变审计观念。它使审计人员开始关心机构的战略目标和所面临的风险,依据风险导向的思路,将风险控制措施和策略与战略目标联系起来。其次要提高审计人员的职业判断能力。风险导向审计能否有效实施,关键要看审计师的专业判断、风险意识,它已成为能否提高审计质量和效率的重要保证,客观上要求从业人员必须具备较高的业务素质,有更高的分析解决问题的能力。
上一篇:现代审计面临的形势分析
下一篇:人民银行内部审计职能定位转型探讨