内部审计风险论文
内部审计风险论文范文第1篇
内部控制审计的内容主要包括五方面的内容,一是控制环境审计,主要是指对被审计单位的内部控制环境情况进行评价,包括企业经营活动的复杂性、管理权的集中性、企业文化、法人治理结构、各层次人员知识水平、员工聘用程序、绩效考核和激励机制等。二是风险管理审计,主要是对被审计单位的风险管理机制及其运行情况的审查,包括可能引发风险的各种因素,风险发生的概率和可能的后果,企业对风险的识别、防范能力、应对策略等。三是控制活动审计,审计的对象是对各生产经营业务的控制活动,如控制活动中业绩评估系统的运行情况、授权审批控制执行的有效性、对可能发生的重大风险和突发事件的识别和防范情况等。四是信息与沟通审计,主要是对企业的信息系统进行审计,对企业获取、传递、处理内外部信息的及时性、便捷性、安全可靠性等进行审查和评价。五是内部控制监督审计,主要对内部控制监督机制、监督活动实施情况等进行审计。由于内部控制审计的内容复杂,范围涉及广泛,随着内部控制审计各项业务的开展,内部控制审计风险也相伴而来。
二、内部控制审计风险构成
为促进企业建立健全内部控制,规范审计人员对内部控制的审计业务,监管部门制定了《企业内部控制审计指引》。依据《企业内部控制审计指引》的界定,内部控制审计风险是指“内部控制存在重大缺陷而审计人员出具了不恰当的意见的风险”,即企业内部控制存在重大缺陷而未被审计人员有效识别,而发表不恰当的审计意见和结论,给使用者带来损失所需要承担的责任。所谓内部控制存在重大缺陷包括三个方面,一是内部控制设计的不充分或者不合理;二是设计合理的内部控制没有按照要求被充分执行;三是设计合理并且表面执行充分的内部控制由于缺乏必要的授权或资格而在实质上不符合规范,或是没有对内控的执行进行恰当的监督,导致内部控制无法真正有效的运行。在对内部控制进行审计时,需要充分考虑这三方面的因素,只有三方面内容均不存在时,审计人员才能发表无保留意见。内部控制审计风险主要包括三方面的风险:固有风险、内部控制设计和运行有效性风险、内部控制评价风险,具体来看:
(一)固有风险
内部控制审计的固有风险是由内部控制本身决定的,内部控制是一个过程,是实际目的的手段,它受人的影响,涉及企业各层次的人员,因此只能提供合理的保证,而非心绝对的保证。在固定风险比较低的前提下,即使内部控制设计不合理或者执行缺乏有效性,内部控制审计风险也可能是比较低的。一般而言,审计人员需要通过分析收集到的各种信息,来评价内部控制的固定风险。影响固定风险的因素主要发生于被审计单位内部,如其所处的外部环境、自身具备的竞争能力、企业文件、管理人员及员工的能力和素质等。此外,会计期末发生的复杂交易或者异常情况、在会计核算中容易被忽略的交易或者事项等都是产生固有风险的因素。注册会计师在对被审计单位的内部控制固有风险进行评价时,需要全面考虑这些因素,得出综合结论。
(二)内部控制设计和运行有效性风险
内部控制设计和运行有效性风险是指存在内部控制的前提下,内部控制本身设计的不合理或者设计合理的内部控制制度没有被有效执行,从而导致内部控制重大缺陷的可能性。如果拥有授权和专业能力的人员按照程序和要求执行,内部控制目标能够实现,则表明内控设计是有效的。如果内部控制正在按照设计运行,并能实现预期目标,则说明内控运行是有效的。注册会计师在判断内部控制是否存在内部控制设计风险时,需要考虑是否存在应有的内部控制,如果没有,可能会存在哪些差错。注册会计师在判断内部控制是否存在内部控制运行有效性风险时,需要考虑设计合理的内控是否得到执行以及结果是否有效。
(三)内部控制评价风险
内部控制评价风险是指被审计单位内部控制存在重大缺陷,但审计人员出具不恰当审计报告的可能性。它类似于财务报表审计中的检查风险。一般而言,内部控制评价风险是必然存在的。因为注册会计师在审计时,会受到审计期限、审计方法、审计资源、自身专业知识和经验判断等要素的制约,所以这种风险不能根除,并且与被审计单位不存在关系。审计人员需要科学合理的设计内部控制审计的程序、时间和审计范围并严格执行,才能尽可能的降低评价风险。
三、内部控制审计风险的防范
从构成因素上看,要做好企业的内部控制审计,审计人员应当准确识别和评估内部控制的固有风险、设计和执行有效性风险,防范评价风险,才能尽可能的降低内部控制审计风险。为确保将内部控制审计风险控制在较低水平上,需要采取各种措施,如全面掌握被审计单位的情况、严格按照审计程序进行审计、明确测试对象等,来防范和规避内部控制的审计风险。
(一)全面掌握被审计单位的情况,防范了解不全风险
在对企业内部控制进行审计之前,注册会计师需要全面了解被审计单位的基本情况和内部控制环境等,这是内部控制审计的重要前提和首要环节。为全面掌握被审计单位的情况,审计人员应该重点了解一下几个方面:一是被审计单位所处的行业发展前景、法制监管环境及产业政策、单位性质、组织架构、对会计政策的选择与运用、经营目标、战略及风险、业绩考评等基本情况;二是被审计单位的高层管理人员的理念和经营风格、经历与胜任能力等相关信息、高层管理者对控制制度的重视程度、以前年度对内部控制有效性的评价等总体控制环境;三是企业风险评估过程、内部信息传递流程、内部控制的自我监督和自我评价等企业层面的内部控制;四是各类业务特点、流程等具体业务层面的内部控制执行情况。
(二)严格按照审计程序进行审计,防范评价不当风险
内部控制审计的目标是对单位内部控制的有效性发表意见,为防范做出不当评价,发生评价风险,注册会计师首先应当在审计之前充分准备,根据对内部控制风险的评估,制定详细的审计方案,比如审计目标和审计的重点内容、审计具体方法、实施审计的程序、审计期限及时间分配、审计范围及审计人员任务安排等。其次,审计人员应广泛收集准确、真实的资料和证据,运用观察、查阅、询问等方法,对被审计单位的各种情况进行了解,对内部控制有效性做出初步判断。再次,在初步判断的基础上,运用审查、分析等方法,对内部控制的合理性、有效性进行测试,形成总体评价意见和整改建议等。由于审计人员的业务素质、专业知识、判断水平等直接关系到审计结论的有效性,因此要求注册会计师恪守职业道德水准、不忘风险意识,不断提高自身专业知识、阅读相关业务的专业书籍、提高判断分析和预测的能力,不断提高业务水准,按照确定的审计技术和方法圆满完成审计工作,将内部控制的评价风险降到最低。
(三)明确测试对象,防范测试失效风险
内部审计风险论文范文第2篇
关键词:风险管理;风险管理审计;内部审计;职能
1内部审计职能转变中风险管理审计的发展
风险管理指人们对风险的认识、控制和处理的主动作为。它要求人们研究风险发生和变化规律,估算风险对社会经济生活可能造成损害的程度,并选择有效的手段、用最小的成本代价,获得最大的安全保障。所谓风险管理审计是指组织内部采用一种系统化、规范化的方法来进行以测试管理信息系统、各业务循环以及相关部门的风险识别、分析、评价、管理及处理等为基础的一系列审核活动,对组织的风险管理、控制及监督过程进行评价而提高过程效率,帮助组织实现目标。它的总目标是:以风险管理为标准,审核被审计部门在风险识别、评价和管理等方面的合理性和有效性,于损失发生之前能作出最有效安排,使损失发生后所需要的资源与保持有效经营必要的资源能达到适度平衡,帮助组织实现目标,因此内部审计是对风险管理、控制过程的有效性进行评价和预警,它既是风险管理的最后一道防线,又是风险管理的倡导者,它通过风险管理为组织创造价值,成为内部审计的首要使命,对组织的可持续发展发挥着至关重要的作用。
财务丑闻的频发致使2002年美国国会通过《萨班斯一奥克斯利法案》(以下简称“SOX法案”)。SOX法案对美国上市公司的内部审计人员产生了重要影响,鉴于美国商业对全球的深刻影响,SOX法案事实上已影响到全球的内部审计人员。SOX法案特别强调了内部审计在企业风险控制和管理、公司治理中的不可替代作用,使得内部审计在参与到企业价值增值活动方面获得了前所未有的良机。2004年,美国COSO委员会在原有“内部控制整体框架”的基础上,颁布了“企业风险管理框架(ERM)”,为内部审计参与企业风险管理提供了指南,这也必将促进内部审计由以内部控制评估为基础向以风险管理评估为基础转变。
内部审计的职能从最初的监督职能,经历了以消极防弊为主、以积极兴利为主以及为组织增加价值三个阶段,发展到今天已经是集经济监督、经济评价和管理咨询职能于一身。准确的职能定位是充分发挥内部审计作用的前提。国际内部审计师协会(IIA)2001年在其的《内部审计实务标准》中对内部审计的定义是:“内部审计是一种独立、客观的保证工作和咨询活动,其目的在于为组织增加价值并提高组织的运作效率。它采用系统化、规范化的方法,来对风险管理、控制和治理程序进行评价和改善,从而帮助组织实现它的目标。”由此可见,现代内部审计是建立在两项基本职能基础上的:一是内部审计要识别企业所面对的战略风险、经营风险和财务风险,这些风险包括关联交易、合资以及合伙风险,企业重组、包括合并和购置风险,新业务、产品和系统的风险,适应汇率变化或现金流量变化的能力、信息系统风险以及声誉风险等等。二是内部审计要评价管理部门为减少风险而设置的控制是否适当、有效,最终目的是帮助组织实现它的目标。
所以,以上定义通过强调内部审计范围包括独立性和咨询活动,突出了内部审计要积极主动关注内部控制、风险管理和治理程序的关键问题。内部审计的范围延伸到风险管理、内部控制和公司治理,内部审计的重心由事后评价控制转向事前风险管理和过程控制。其中,风险管理又是公司治理和内部审计的焦点与核心问题。
2内部审计职能转变中进行风险管理审计的现状及原因
2.1职能转变中风险管理审计现状
目前,从世界范围看,企业的风险管理审计尚处在发展阶段,还有相当一部分的企业还没有实行,风险管理审计的理论研究方面的工作及成果还比较少,风险管理审计的发展还存在着若干问题。
(1)法律法规及相关政策有待改善。
在西方发达国家,由于安然事件、世通事件及安达信危机发生后,美国审计行业才注重风险管理审计的内容。我国风险管理审计刚起步,相关法律法规政策相当缺乏,不能很好的规范保障风险管理审计的开展,使审计人员在开展工作时束手束脚,不利于开展风险管理审计。
(2)企业组织机构及各项制度不健全。
我国的大多数企业存在较为严重的企业治理结构问题,使得我国企业的风险管理始终停留在以眼前利益为目的的决策层次上,而不能像西方一些企业将风险管理上升到企业发展的战略高度。企业的组织架构还不完善,缺乏独立的风险管理部门,风险承担的主体不明确,当风险发生时,各职能部门间互相推卸都在想方设法逃避风险的责任。
(3)企业领导班子还没有意识到开展风险管理审计的重要性。
企业领导层他们大多认为只要把企业的风险防范工作管理好,就可能达到风险管理的目的,并没有意识到内审机构开展风险管理审计的重大意义。但是内审机构开展风险管理审计更能促进风险管理的进行,更系统全面的对风险进行分析与评价,提出更合理的风险防范建议,以达到降低风险损失。
(4)经验不足,创新能力不足阻碍内部审计开展风险管理审计。
风险管理是内部审计的一项新的内容,一个新的领域。风险管理审计工作刚刚起步,缺乏相应的规章制度,更缺乏相关的审计工作经验,这就是内审人员开展风险管理审计的最大弱点和挑战,在现阶段,就要求内审人员在工作中不断的创新,在实际工作中不断积累和丰富工作经验,开拓风险管理审计的新工作局面。
(5)企业风险管理审计人才严重匮乏。
目前,由于企业缺乏独立的风险管理机构,导致风险管理人才严重匮乏,再延伸的风险管理审计人才更加严重匮乏。由于目前内部审计人员综合素质不高,主要表现在计算机操作能力不够,知识结构单一,风险意识不强,工作创新能力差等,将严重影响风险管理审计的有效开展和质量控制。
2.2内部审计职能转变中进行风险管理审计的原因
风险管理审计之所以逐步成为一种重要的、全新的审计模式,其主要原因是:
(1)受托责任多极化的需要。
利特尔顿教授在他的《会计理论结构》中说“审计职能就在于研究、审计和评价受托人对委托人所赋予之受托的履行情况;审计应对受托责任报告加以测试;应审核包括现金要素在内的许多要素的综合受托责任;由股东投资形成的公司资产的受托责任,向来就是重要的审计问题”。历史地看,受托责任从最初的仅仅要求报告已取得和处理资源的种类和数量保管责任演进到含义颇宽的管理业绩概念,充分显示了受托责任从简单到复杂,从低级到高级的发展过程。随着受托责任的要求越来越多,企业风险的大小自然成为委托人所关注的重要信息,相应的内部审计的内容也要进行拓展和延伸,风险管理审计则是必不可少的。
(2)市场经济环境下强化企业管理控制的需要。
随着全球经济的一体化,企业之间的竞争日益剧烈。在激烈的竞争中,如何尽可能多地占有市场份额,使企业保持竞争优势,是每个企业所面临的不可回避的问题。为了解决这个问题,企业必须不断地改善管理工作,而管理控制的一种方法就是企业进行内部审计。因此,减少企业面临的风险是组织实现目标的关键,风险管理审计的目的在于增加组织的价值和改善组织的经营,更好地对企业进行管理控制。
3内部审计职能转变中进行风险管理审计需采取对策
3.1转变传统观念,重视风险管理审计
随着市场经济的发展,市场竞争异常激烈,企业面临的风险范围大幅扩大,风险随时随地都可能发生,并且影响着企业的生死存亡。要求企业管理层要彻底转变观念、增强风险意识,把风险管理审计作为企业管理的重要工作,与此同时审计人员也要转变观念,尽快实现从传统的账账基础审计、绩效审计、制度基础审计向风险管理审计转变,突出风险管理审计的重要性。
3.2培养一批高素质的审计人才
内审人员要想成为风险管理专家,不仅懂得财务会计及相关法律法规,具有扎实专业技能,还要精通现代管理信息技术和先进的管理技术手段,具备相应的风险管理素质,熟练地运用内部审计标准、程序和技术开展风险管理审计。企业应该花大力气培养一批高素质的审计人员,为开展风险管理审计奠定基础,主要做法:一是对现有的审计人员进行定期的培训,提高他们的专业素质水平;二是选拔优秀审计人才出国学习现代风险管理审计技术。
3.3创新工作能力,发挥内部审计人员的能动性和积极性
任何工作中,人的因素是最具有影响、最具有决定性作用的因素,只要能够发挥人的积极性和能动性,任何难事都会迎刃而解。中国及世界企业界当中,目前由于风险管理审计刚刚起步,相关的政策法律法规并没有完善,工作也还是探索摸索当中,还没有什么经验及范本供大家遵循和参照,在这种情况之下,这就要求内审人员不断创新工作能力,发挥人的积极性和能动性,开拓企业风险管理审计的新局面。
3.4企业风险管理审计要做到经常化
由于风险随时随地都会发生的,而且是不断变化的,幻想一次、两次风险管理审计就能解决根本问题是荒谬的、不现实的,因此风险管理审计必须做到经常化、制度化,要定期地或不定期地开展风险管理审计审查评估。经常性地开展风险管理审计,不断的总结和积累工作经验,提高审计的质量,最终能够把握风险管理的精髓,把自己变成风险管理的权威性专家,提高内审机构的地位。
参考文献
[1]孙素清.企业风险管理审计的应用初探[J].山东教育学院学报,2006,(5):25-29.
内部审计风险论文范文第3篇
关键词:内部审计、风险管理、职责、作用
一、目前我国企业存在的风险因素及表现形式
企业的风险是指未来的不确定因素,并可能给企业造成损失。现代企业风险因素很多,包括外部风险和内部风险。外部风险是指外部环境对企业目标产生影响的不确定性,主要表现在国家的法律法规及政策的变化、经济环境的变化、科技快速发展、行业竞争、资源及市场变化、自然灾害及意外损失等;内部风险是指内部环境对企业目标产生影响的不确定性,主要表现在组织治理结构的缺陷、组织经营活动的特点、组织资产结构的性质及资产管理的局限性、组织信息系统的故障或中断、组织缺乏保密意识、泄密事件频发、组织人员的道德品质和业务素质未达到要求等。
二、目前我国企业在风险管理方面存在的问题
目前我国企业在风险管理方面存在的问题主要表现在企业内部缺乏包括决策层、管理层、执行层在内的完整的风险管理组织,降低了企业应对风险的能力;缺乏正确的业务流程,影响管理层识别和评估风险;缺乏风险意识,没有积极、主动、系统地进行风险管理工作,无法进行风险预警,在企业迅速扩张的过程中管理失控;缺乏规范的法人治理结构,使企业的目标发生偏移;缺乏岗位责任考核制度,工作效率低下;缺乏业务操作规程,存在事故隐患;缺乏对企业内控制度执行情况的检查和监督,内部控制失效。
三、内部审计在企业风险管理中的职责
在风险导向内部审计中,风险管理审计成为内部审计的关键程序,分析、确认、揭示风险已成为内部审计的主要职责。
(一)实现企业目标,内部审计有责任参与企业的风险管理
现代企业的经营环境日趋复杂,风险日益增大,降低风险是实现企业目标的关键因素。内部审计站在独立、客观、公正的立场,采取系统化、规范化的方法,促进企业建立规范的法人治理结构,建立风险管理过程,形成良好的法人治理环境。向管理层提供创造性思维,提出科学合理的建议。通过内控制度的评价,对企业经营活动进行风险识别、评估和防范,改进风险管理与控制体系,从而完善企业管理,降低、转移或化解风险,提高企业整体抗风险能力,最终实现企业目标。
(二)内部审计是构成企业风险管理的重要机制
目前,国有企业建立的各级风险管理组织都隶属于管理部门,不具有独立性,其意见有时会屈从于管理部门的压力,使风险管理部门的作用受到限制。在现代企业中,内部审计独立于管理当局,其意见可以直接报送董事会,具有独立性和权威性。
从企业外部看,外部审计站在独立、客观的角度,关注企业财务报表的合法性、公允性、一贯性,对企业的内部控制进行复核、测试,提供一些有用的信息影响企业的风险管理。但他们对企业的经营环境和运作过程不十分熟悉,提供的风险信息不能贴近内部管理,不能对企业风险管理的有效性承担责任。而内部审计对企业的经营环境和运作过程更了解,在风险管理方面比外部审计更具优势。
(三)内部审计是风险控制程序的重要补充
内部审计人员应用现代风险导向审计模式,分析企业存在的风险因素,警惕影响企业目标的重大风险。在审计计划阶段,内部审计应考虑企业活动存在的各种风险,在评估风险优先次序的基础上,按照风险的大小分配审计资源;在审计实施阶段,通过检查、评价风险管理过程的充分性和有效性,发现风险管理的漏洞和薄弱环节;在审计报告阶段,对风险管理状况进行评价,对风险管理中存在的漏洞和薄弱环节提出改进的建议。
四、内部审计在企业风险管理中的作用
内部审计从风险识别、风险评估、风险应对、风险防范和监控等方面参与风险管理,报告企业潜在的重大风险,提出应对措施。通过落实审计建议,督促企业采取有效风险控制措施。
(一)识别风险
识别风险实质上是对风险进行定性研究,收集、整理可能发生的风险,形成风险列表。从评价企业的内部控制制度入手,在信息管理、采购、生产、销售、财务、人力资源管理等各个领域查找管理漏洞。通常要关注的主要风险有:信息量不足或不真实导致决策错误;信息系统故障或中断;自动付款系统设计存在缺陷,未设计供应商的身份验证控制,不能识别虚假供应商;随意对外担保,存在或有负债;资产流失、资源浪费和无效使用;客户投诉率增高,企业信誉受损;年终未对所有的应收款项进行询证;大宗采购业务未按程序招标,合同签定、付款审批、验收保管未做到职责分离等。
(二)评估风险
评估风险是对企业经营管理过程可能遇到的各种风险进行确认和分析。采用定量或定性的方法,分析判断风险发生的可能性,评估风险对实现企业目标产生影响的严重程度。定量分析方法是对已被识别的风险进行量化估计,通过公式:风险值=风险影响×风险概率,计算出风险值。例如,内部审计人员调查了某施工企业四项业务:(1)对外投资350万元,失败的可能性为80%;(2)对外借款1000万元,不能收回的可能性为60%;(3)应收的工程款3000万元,出现坏账的可能性为40%;(4)对外担保金额2000万元,承担连带清偿责任的风险50%。根据前述公式计算的风险损失排序为:(3)1200;(4)1000;(2)600;(1)280。由此可见,第(3)项业务可能造成损失的金额最大,应优先列入审计日程。在风险难以量化、定量评价所需的数据难以获得时,应采用定性方法。定性分析方法的复杂性和困难在于主观判断结果发生的不准确性,不同背景、不同经验、不同职位的人对同一风险的判断可能不同。比如,上级主管出于整体考虑,认为某部门经营风险很高,而该部门负责人则认为风险已在控制范围之内。采用定性方法需要充分考虑相关部门或人员的意见,以提高评估结果的客观性。内部审计人员处于特殊的独立地位,可以从客观的角度分析风险的假设条件,对风险进行评价,提出专业意见。
(三)应对风险
内部审计在识别风险并进行相应的评估以后,根据风险的影响程度采取应对措施。风险应对措施主要包括以下四个方面:
1、回避风险,即采取措施回避可能发生的风险。例如,在工程承包合同签订前,审计人员进行程序评审和合同文本评审,保证合同的合法性与合规性;对合同条款评审,尤其是合同价款、工程材料、工程期限、工程质量、工程进度、安全保证、工程款拨付、质保金等敏感条款,要经过仔细商榷,杜绝合同管理失误的经济责任。
2、降低风险,即采取措施将风险降低到企业可接受的范围。例如,在签订对外担保合同时,审计人员根据担保法的有关规定,检查企业是否对被担保人经过详细的资信调查,对被担保的项目是否经过仔细的研究,是否经过民主决策,有无因程序不当造成的连带责任。
3、转移风险,即通过转嫁或与他人共担将风险转移。例如,承包工程垫资和工程款回收。对工程分包商和材料供应商落实招投标,在签订分包和采购合同时在条款中写明,业主付款后,再按业主付款的比例支付分包工程款和材料款,合理转移风险。
4、接受风险,即风险已经在企业可接受的范围之内,不必采取任何措施。例如,在汇率波动较大的时期,大额进出口贸易会导致较大的汇率风险,企业一般会采用外汇期货来保证将汇率损失控制在可接受的范围之内;企业在可承受的范围之内向银行贷款等。
(四)防范和监控风险
风险管理部门根据风险性质和企业的承受能力制定相应的防范措施,内部审计对制定的风险防范措施进行评价和检查。评价风险防范措施主要考虑风险的可回避性、可降低性、可转移性、可接受性,检查风险防范措施是否充分、得当。例如,审计人员通过询问控制计算机资料室的人员,确定是否有未经授权的人员接触系统文件;企业的内部控制执行情况,总要在会计资料文件中表现出来,审计人员抽取一定样本量的原始凭证、账簿、报表等书面文档,检查内部控制是否得到有效的贯彻执行;向客户询证应收账款余额、对存货进行实地盘点、审查银行存款对账单以核实银行存款期末余额等,对账户余额进行实质性测试,以检查企业对外提供的财务报表的真实性和公允性等。对于存在的风险缺乏充分的控制措施的情况,内部审计人员应提出改进措施的建议,协助企业完善风险反映方案,强化企业的风险防范管理。企业的经营风险并非一成不变,随着时间的推移,风险有可能增大或减小,因此,内部审计要时刻监控风险的发展变化情况,并确定随着某些因素的消失或出现而带来新的风险。
内部审计机构促进企业建立健全风险管理过程,完善风险管理体系,提供风险管理的组织保证。规范企业的经营行为,降低经营风险,为企业的科学快速发展扫除障碍,增强企业的竞争能力,为企业增加价值,是内部审计在企业风险管理方面的价值所在。
参考文献:
1、《审计探索与创新》中国财政经济出版社
内部审计风险论文范文第4篇
一、前言
2003年9月,国际内部审计师协会(简称IIA)总部前执行副主席理查德·钱伯斯先生(RichardF.Chambers)访华,他在北京举办的国际内部审计高级研讨班演讲的专题之一《国际内部审计的发展趋势》中提到的三大发展趋势:一是重新介入内部控制;二是推动更有效的公司治理;三是对内部审计师的期望在改变。2004年6月,时任IIA理事会主席的鲍伯麦克唐纳先生(BobMcDonald)访华,他为中国内部审计师演讲的内容中再次提到了国际内部审计发展的上述三大趋势。
这引发了两个问题:第一,这两位IIA的高级官员都提到这三大发展趋势,证明这种提法不是某个人的研究成果,而是IIA认可的对外宣传的统一提法;第二,为什么国际内部审计发展趋势中未列入当前最时髦的风险管理、风险评价或风险评审的内容?
2004年12月,IIA了美国反欺诈性财务报告委员会的主办机构委员会(简称COSO)的《企业风险管理-一体化框架》。该框架规定了必不可少的企业风险管理的八个相关组成部分,讨论了关键的企业风险管理原则、概念、效果和局限性等内容,建议用一种企业风险管理的共同语言,为企业风险管理提供方向和指南。《企业风险管理-一体化框架》重要意义在于:它改变了人们对“风险是指可能对实现组织目标产生负面影响的事情或活动”的片面认识。风险既是挑战,也是机遇,“管理层所面临的最严峻挑战是决定本企业准备接受多大的风险,因为风险可以经过奋斗而创造价值。”“当管理层制定的战略目标能达到增长和利润目标与相关风险之间的最佳平衡,并在追求本企业目标的过程中有效地调度资源时,能实现企业价值的最大化。”
综上所述,可以看出,国际内部审计三大发展趋势中,前两大趋势-重新介入内部控制和推动更有效的公司治理,重视的是加强企业的制度建设;后一趋势:对内部审计师的期望在改变,强调的是提高内部审计人员的整体素质。制度建设加强了,管理漏洞堵塞了,人的素质又相应提高了,自然企业所面临的风险会大大减少,即使出现风险也会采取措施加以防范或控制,使之转化为新的发展机遇。这就是IIA提出的国际内部审计三大发展趋势的高明之处。
二、背景
2001年11月,安然公司财务丑闻曝光,6个月后,世界通讯公司再度爆发丑闻,由此引发的多米诺骨牌效应,造成了这一期间美国有338家上市公司,总计4093亿美元的资产申请破产保护。2002年7月30日,美国紧急出台了公司改革法案《萨班尼斯-奥克斯莱法案》(Sarbanes-OxleyAct),又成立了一个新的监管机构来监管会计职业界和公司董事会。该法案是1930年以来美国证券立法中最具影响的法案,它加重了公司主要管理者的法律责任;加强了对公司高级管理层的收入监管;对公司内部的审计委员会作出法律规范;强化了对公司外部审计的监管;加强了信息披露制度和其他有关公司监管的规定。
随着安然、世通申请破产保护、安达信退出审计业,美国朝野人士分别从四条战线同时出击:个体股民的诉讼、证券交易委员会的稽查、司法部的刑事和国会的调查。痛定思痛,美国各界人士的舆论渐渐聚集在探讨产生这些财务丑闻和欺诈行为的根源-一些企业的商业道德沦丧,良心泯灭上。在营造企业树立诚信的商业道德和维护“企业良心”的外部环境上,美国的法律不可谓不多;美国对企业的监管体制不可谓不严;美国拥有“五大”在内的众多超巨型国际会计师事务所,其审计技术和手段不可谓不先进,在此情况下,仍出现那么多财务丑闻和欺诈行为,人们不得不把关注的焦点从企业的外部环境转向企业内部控制机制上。由于内部审计在企业经营管理中处于极其重要的地位,它既是企业内部控制机制的重要组成部分,又是监督与评价内部控制的主要手段,因此,人们把内部审计当作“企业良心”,当作维护企业道德文化的最后一道防线。
安然和世通财务丑闻发生后,国际内部审计师协会(IIA)提出公司治理的方向是:加强对管理层职业道德的劝说,落实会计制度改革对财务报表透明化的要求,设立外部独立董事职位,强化内部控制机制,要求内部和外部审计人员自律。下面分别介绍国际内部审计的三大发展趋势。
三、发展趋势之一:再次介入内部控制
在20世纪80年代,内部控制是企业管理的重要内容,检查和评价内部控制制度是否充分、有效和具有可操作性是内部审计的重要工作。从1991年开始,世界许多大公司开始了兼并、重组和公司治理的过程,企业面临的风险普遍增大。主要原因是:企业实行多样化经营,进入了众多以前未涉及的领域;实施国际化发展战略,控制链大大延长;信息技术在经营管理中广泛应用导致计算机犯罪增加。在这种情况下,企业开始注重风险管理,内部审计的重点也从以制度为基础审计(英国、澳大利亚等国的提法)或称内部控制评审(美国和加拿大的提法)转向以风险为基础审计,或称风险导向审计。到2001年(企业兼并重组改革10年后),许多公司财务丑闻的出现,如美国的安然、世通和意大利的帕玛拉特等公司财务丑闻,使各公司面临了一些灾难性问题。同时,也影响了注册会计师事务所的信誉和形象,各大会计师事务所都修改了审计制度方面的要求。例如,会计师事务所不能同时做审计和咨询业务。
在此情况下,公司的内部审计职能得到了加强,内部审计人员正面临着前所未有的挑战。由于安然公司内部审计人员对账外负债业务的揭示以及世通公司内部审计人员对38.5亿美元费用违规列入资本支出项目的揭示,使内部审计的作用得到了公众和监管部门的肯定。辛西亚。库珀(内部审计主任)在世通案件中的突出表现不仅使全世界的内部审计工作者认识到内部审计工作责任的重大,也使决策层、管理层对内部审计的必要性和重要性有了新的认识。
(一)再次介入内部控制的原因
《萨班尼斯-奥克斯莱法案》明确要求上市公司的年报应包括内部控制的评价部分。国际内部审计再次介入内部控制这一领域是与该法案的明确要求密切相关的。这是因为人们已经认识到内部控制在组织目标实现过程中所起的关键作用,因此,企业内部控制的运行状况已不在是企业内部关心的对象,而越来越受到外部相关人士的关注。
2002年《萨班尼斯-奥克斯莱法案》中关于加强内部控制的条款如下:
第103条款-审计、质量控制和独立性准则及规定,要求外部审计师在每份审计报告中说明审计师对上市公司内部控制构成及程序的测试范围,并在该审计报告或单独的报告中注明。
第302条款-公司对财务报告的责任,要求建立、评价和报告关于财务报告披露的内部控制;
第404条款-管理层对内部控制的评价
(1)内部控制方面的要求-证券交易委员会(SEC)应当制定规定,要求按《1934年证券交易法》第13条(a)或第15条(d)编制年度报告包括内部控制报告,其内容包括:
强调公司管理层建立和维护内部控制制度及相应控制程序充分有效的责任;
上市公司管理层最近财政年度末对内部控制制度及控制程序有效性的评价。
(2)内部控制评价报告
对于本条款(1)中要求的管理层对内部控制的评价,担任年度财务报告审计的会计公司应当对其进行测试和评价,并出具评价报告。上述评价和报告应当遵循委员会或认可的准则。上述评价过程不应当作为一项单独的业务。
(二)内部控制
内部控制是指为了合理保证公司各项经营活动正常运行,实现特定目标而建立的一系列政策和程序构成的有关总体。
美国反欺诈性财务报告委员会(简称COSO)对内部控制提出的新概念是:“内部控制是受企业董事会、管理部门和其他职员的影响,旨在取得(1)经营效果和效率;(2)财务报告的可靠性;(3)遵循适当的法规等目标而提供合理保证的一种过程。”
COSO内控五要素是:控制环境,风险评估,控制活动,信息沟通、监控。
(三)内部控制自我评估
内部控制自我评估(ControlSelf-assessment)是近年来西方国家内部控制制度评审的一种方法,是企业监督和评估内部控制的主要工具,它将运行和维持内部控制的主要责任赋予企业管理层,同时,使企业员工和内部审计师与管理人员合作评估控制程序有效性,共同承担对内部控制评估的责任。这使以往由内部审计部门对控制的适当性及有效性进行独立验证,发展到全新的阶段,即通过设计、规划和运行内部控制自我评估程序,由企业整体对管理控制和治理负责。它要求从整个业务流程中发现问题,由计算机汇总并反馈问题;审计人员转变成外向型人才,广泛接触各部门人员,采用多种技术方法,促进经营管理目标的实现。简言之,这种方法不再以内审部门实施内部控制评价为主,而是以管理部门的自我评估为主。
通过内部控制自我评估,使内部审计人员不再仅仅是“独立的问题发现者,而成为推动公司改革的使者”,将以前消极的以“发现和评价”为主要内容的内部审计活动向积极“防范和解决方案”的内部审计活动转变,从事后发现内部控制薄弱环节转向事前防范;从单纯强调内部控制转向积极关注利用各种方法来改善公司的经营业绩。另外,通过内部控制自我评估,可以发挥管理人员的积极性,他们可以学到风险管理、控制的知识,熟悉本部门的控制过程,使风险更易于发现和监控,纠正措施更易于落实,业务目标的实现更有保证。内部审计人员广泛接触各部门人员,和各管理部门建立经营伙伴关系,有利于共同采取措施防止内部控制薄弱环节的产生。
四、发展趋势之二:推动更有效的公司治理
从历史的角度看,公司治理受到关注首先是在1929-1933年美国空前的经济危机时期。这次经济危机导致了美国股票市场的崩盘,因而也导致了完全放任的自由资本主义的结束,大量有关证券交易和监管证券市场的法规在美国相继出台。1933年,负责监管公司向股东报告信息的美国证劵交易委员会(SEC)成立,开辟了市场经济与政府管制相结合的“混合经济”新时代。
公司(或法人)治理(CorporateGovernance)是现代公司制企业在决策、执行、激励和监督约束方面的一种制度或机制,其实质是确保经营者的行为符合股东和利益相关者的利益。在现代市场经济条件下,公司治理结构完善与否决定了公司能否有序运转,公司效益和持续发展能力能否不断提高,进而关系到整个资本市场能否规范有效运行,甚至关系到整个资本市场的成败。这也是这几年公司治理越来越受到政府监管部门和社会各界广泛关注的原因。
(一)公司治理四大“基石”
公司治理是被管理人员、投资者、会计、董事会广泛使用的一个概念。美国证券交易委员会的前任主席亚瑟、列威特(ArthurLevitt)指明了有效的公司治理的重要性,他指出:公司治理是“有效的市场规则必不可少”过程,是公司的管理层、董事及其财务报告制度之间的联结纽带“(1999年)。他是从监管当局的立场关注财务报告制度。
狭义的公司治理是指,公司股东直接或间接(通过董事会)对公司管理层进行监督和评价其表现行为;广义的公司治理则包括了公司的整个内部控制系统,它通过自上而下地分配和行使责权、监督、评价和激励董事会、管理层以及员工实现公司目标,以保障包括股东在内的利益关系人的权益。公司治理的实质是确保经营者的行为符合利益相关者的利益。
世界经济合作发展组织(OECD)制定的《公司治理结构原则》指出:一个良好的公司治理结构应当:实现组织既定的目标,维护股东的权益;确保利益相关者的合法权益,并且鼓励公司和利益相关者积极进行合作,保证及时准确地披露与公司有关的任何重大问题,包括财务状况、经营状况、所有权状况和公司治理状况的信息;确保董事会对公司的战略性指导和对管理人的有效监督,并确保董事会对公司和股东负责。因此,完善的公司治理应该:保持良好的内部控制系统;不断检查内部控制的有效性;对外如实披露内部控制现状;保持强有力的内部审计。
2002年7月23日,IIA在对美国国会的建议中指出:一个健全的治理结构是建立在有效治理体系的四个主要条件的协同之上的,这主要四个条件是:董事会、执行管理层、外部审计和内部审计。在司法机构和管理机构的监管下,这四个部分是有效治理赖以存在的基石。
公司治理的四大基石(关键要素)是:
董事会-确保有效的内部控制系统,确定并监控经营风险和绩效指标;
高级管理层-实施风险管理和内部控制,日常计划、组织安排;
外部审计师-应保持独立性,审计与咨询业务分开;
审计委员会(内部审计师)-增强报告关系上的独立性。
由此可见,有效的内部审计是公司治理结构中形成权力制衡机制并促使其有效运行的重要手段,是公司治理过程中不可缺少的组成部分。
(二)公司治理过程
IIA对“治理过程”的定义是:“组织的投资人代表,如股东等所遵循的程序,旨在对管理层执行的风险和控制过程加以监督。”
IIA《标准》2130规定:“内部审计活动应该评价并改进组织的治理过程,为组织的治理作贡献。公司治理有助于:(1)制定、传达目标和价值;(2)监控目标的实现情况;(3)确保责任制的落实;(4)维护价值。内部审计师应对经营和管理项目进行评价,以确保经营管理活动与组织的价值保持一致,应该为改进公司的治理过程提出建议,为公司治理做出应有的贡献。”
IIA《实务公告》2130-1《内部审计部门和内部审计师在组织道德文化中的作用》指出:治理过程是指组织履行下述四种责任的行为方式:
遵守法律和规章;
遵守公认的业务规范、道德观念,并满足社会期望;
为社会提供总体福利,并增强利益关系方的长期和短期利益;
全面地向业主、执法人员、其他利害关系方和一般公众报告,保证对其决定、行为、行动和业绩负责。
近几年来,在公司治理方面,全球有27个国家颁布了有关的法令、准则、最佳实务或成立相关的委员会来推动更有效的公司治理。例如,英国颁布了《合并条例》要求董事会对内部控制系统负责;德国在1998年出台了《控制和信息透明法》;加拿大2001年成立了公司治理联合委员会;新加坡2002年8月成立了公司披露与治理委员会;日本修改了《商务法》,允许独立审计和赔偿委员会这类的实务;菲律宾2002年出台了公司治理的政券交易委员会公告;法国2003年8月颁布了《财务安全法》;澳大利亚出台了治理准则;泰国出台了公司治理最佳实务;比利时也了公司治理委员会报告;欧盟15个成员国的13个国家颁布了35项法规,其中有25项法规是在1997年以后颁布的。内部审计师必须遵守或对这些法律法规作出解释。
在强化公司治理方面,国际内部审计已逐渐形成三种职能趋势:强化报告关系、协助董事会完成其职责、评价整个组织的道德环境。
(三)强化公司治理的重要举措
在推动更有效的公司治理方面,最重要的举措是加强审计委员会的职责。
在安然公司财务丑闻曝光之前,美国的公司治理结构大多为三位一体,即董事会、高级管理层和外部审计(会计事务所)。但是,安然公司、世界通讯等公司的财务丑闻充分证明了三位一体公司治理结构的主要缺陷在于:
1、由高级管理层聘请中介机构的外部审计,使会计事务所自身的利益与公司高级管理层密切相关。例如,原国际五大之一的安达信会计公司在安然公司精心策划的财务丑闻中,既是受害者又是作恶者,当财务丑闻曝光后,他们还销毁了1000多份审计文件,因而也就直接导致了这家“百年老店”会计公司的破产。
2、内部监督机制不健全,内部审计缺乏相对的独立性。在安然和世界通讯公司财务丑闻爆发之前,美国的相关法律并没有明确规定审计委员会和内部审计的职能。许多公司的内部审计机构向公司高级管理层报告工作,审计的内容、范围和结果报告受到管理部门的限制,致使董事会无法全面了解公司经营管理和财务的真实状况。
《萨班尼斯-奥克斯莱法案》的颁布弥补了美国上述公司治理结构的缺陷。该法案要求公司的审计委员会发挥更加积极的作用,要求所有的上市公司对其内部审计职能是否得到充分发挥出具有关的证明。显然,该法案的规定有助于完善四位一体的公司治理结构。
实践证明,审计委员会在完善公司治理结构方面具有以下不可替代的作用:
第一,审计委员会的作用弥补公司三位一体治理结构的缺陷,强化了公司治理机制。《萨班尼斯-奥克斯莱法案》对审计委员会做出的具体规定是:(1)审计委员是独立的成员;(2)监管会计、财务报告程序,进行审计;(3)至少要有一位财务专家;(4)建立通畅的能够让员工反馈问题的沟通渠道-“热线电话”;(5)拥有聘用独立顾问的权利;(6)事前批准将由外部审计师提供的服务。
第二,采用审计委员会这种内部监督机制,可以避免由高级管理层直接聘请会计师事务所和决定审计费用的现象,从而强化对公司管理层的监督功能。
第三,在审计委员会领导下的内部审计机构,受公司董事长的直接领导,地位比较超脱,有较强的独立性和权威性,其工作范围不受管理部门的限制,能够确保审计结果受到足够的重视,进而提高内部审计的效率。
第四,审计委员会可以充分利用内部审计机构的资源优势,更好地履行其应有的职责。
(四)企业文化
文化是一个国家的综合国力和国际竞争力的深层支持,文化交流侵蚀主流意识形态。20世纪80年代以前,企业文化的概念不被重视。20世纪80年代以后,企业文化及人员的管理成为西方管理理论和实践中一个非常重要的课题。特别是在20世纪90年代以后,全球许多公司的股票价值与该公司是否有好的商誉有关,企业开始重视商誉,逐渐关注企业文化建设。
公司治理实务是一个公司独特文化的反映,因此,治理过程的有效性在很大程度上取决于企业文化。公司的行为模式、目标和战略的制定,业绩的衡量和报告,对履行社会责任的态度,都受“企业文化”的影响。
什么是企业文化?比较通行的说法是:企业文化是企业职工在长期生产经营实践中所形成的价值观和行为准则。具体地说,它是指企业里人们的思想、行为以及道德观念,包括概念、习俗、习惯、经验、惯例以及团队精神。搞好企业文化就是要注重建立企业的精神气质,价值体系和管理理念。
近几年,随着全球一些大公司破产,财务处于崩溃状态,内部审计师也面临困境。公司倒闭大多与公司内部控制失效,无法提供必要的和可靠的财务信息有关。要解决公司财务信息不真实,财务报告误报的灾难性问题,关键在于建立有效的公司治理结构、内部控制机制和发挥作用的内部审计。这也是这几年公司治理、风险管理和内部控制等问题成为大家关注的焦点的原因,但这些问题的最终解决都与企业文化有关,要使公司能够有效治理必须有好的企业文化。各国的法律已经提供了可做事情的框架,自律的企业文化则保证企业自觉地去做可做之事。
IIA要求内部审计在加强组织道德文化方面的作用是:
在支持道德文化方面发挥积极作用;内部审计师应具备:高水准的信任度和诚实度;
具有倡导道德行为的技能;
有能力呼吁领导者、管理者和员工遵守法律、道德和社会责任。
2004年6月,IIA悉尼国际大会的亮点之一就是全球内部审计师在建立企业文化方面取得了共识:即遵守法律的企业文化是促进企业成功,防止企业失败的重要基石。内部审计要帮助企业建立遵守法律的合规性文化,要教育企业高管人员懂得守法的重要性,做法律允许的事;出现问题时,要“吹哨”警告,内审人员就是吹哨者。
法律与企业道德文化的关系是:法律是硬性的,而道德文化是柔性的。企业的规章制度要真正让员工遵守,光靠硬性规定还不够,还应有柔性管理。需要保持一种灵活的方式,制定的规章制度要能够适时对变化的环境做出反应和进行调整。
与企业文化密切相关的是企业如何衡量自己的业绩。过去,企业好的业绩都与利润指标有关,现在衡量的指标不仅仅是利润。一些上市公司制定的管理与会计制度目标是,为股东提供令人满意的回报;一些公司制定的财务目标是,保持良好的财务会计记录和报告制度,最终目标是保持企业良好的商誉。企业不可能无限扩张,资源也是有限的,因此,要制定合乎逻辑的增长趋势,对业绩成果应考虑其合理性。
五、发展趋势之三:对内部审计师的期望在改变
从传统意义上说,内部审计师在绝大多数的公司里都保持一种“低姿态”或“低调”,处在幕后的位置;公司治理的丑闻并没有伤害到内部审计师的声誉。《萨班尼斯-奥克斯莱法案》的出台,使内部审计人员从后台走到“前台”。
(一)内部审计师从“幕后”逐渐走向“前台”
《萨班尼斯-奥克斯莱法案》要求:“内部审计师凭借他们在组织机构中的独立性和风险控制方面的专业知识,在帮助组织符合这一具有挑战性的(404)条款和萨班尼斯-奥克斯莱法案严格的最终期限方面起重要作用。”
对于第404条款-管理层对内部控制的评价,要求管理层对本组织内部控制状况进行评价,担任年度财务报告审计的会计师事务所应当对其进行测试和评价,并出具内部控制评价报告。因为内部控制制度及其程序是管理部门建立的,其执行状况和有效性由管理部门自己评价有失公允,所以,在会计师事务所审计之前,内部审计人员要对本公司的内部控制状况进行评价,向高级管理层提交内部控制评价报告,高级管理层认可后才能向会计师事务所提交报告。这样一来,就把内部审计人员从后台推向了“前台”,本组织的内控状况不佳,内部审计人员也有不可推卸的责任。
(二)安然和世通公司审计失败的教训与启示
1、外部审计的教训
20世纪末,美国已有了各种监管证券市场的法规,建立了监管机构-证券交易委员会,并且既有外部审计,也有内部审计。就在这样似乎相当严格的监管条件下,监督者和被监督者竟串通一气作假。在安然事件中,安达信会计公司涉及的是审计缺乏独立性,如既提供审计服务又提供非审计咨询服务,许多前雇员成为安然公司的主管,以及在觉察安然的会计问题后,不仅未采取必要的纠正措施,甚至销毁审计工作底稿。这些都背离了注册会计师应有的职业道德。美国《会计瞭望》杂志在“安然事件的教训”一文中指出:“公共会计师不应当为他们的委托人做管理决策。相反,他们应当忠告有关会计问题,并反对管理部门的财务报告缺乏透明性,要提醒资本市场去注意公司活动的内幕”。
2、内部审计的教训
在世通公司破产审查报告中,审查人员描述该公司的内部审计极为糟糕。该公司的内部审计成立于1993年,随着公司的发展,其职责、规模和范围得到扩张,公司聘用了专职的内部审计人员。在取得的成功经验之外,破产审查者发现的问题是:
内部审计机构缺乏独立性。内部审计对董事会和首席财务官有双重报告责任,但“从来不是真正意义上的独立部门”,内部审计机构与首席财务官的报告关系损害了审计的独立性。直到2002年内部审计政策和程序都是有局限性的。
管理层对内部审计的实施、范围和结果报告施加了太多的影响。高级管理人员对内部审计的接受程度是有限的,对内部审计的支持也是不一致的。“必须有人说服,才能认识到内部审计的价值”。首席执行官与首席财务官给内部审计机构分派一些毫无审计价值的“特定项目”。在某一时期有6个月的时间,内部审计机构专职负责企业资源规划(ERP)的执行项目,直到晚上才做审计工作。
局限于增值服务而将财务控制排除在外。内部审计得到管理层批准的工作事项:重点放在收入最大化,减少成本和提高效率;专门关注经营审计;极少甚至从未进行与财务相关的审计。这是导致其无法在早期发现会计处理不当的主要原因。对于世通这样庞大复杂的公司,把内部审计工作只局限在经营审计方面显然是不恰当的。“
与外部审计师缺乏沟通。内部审计师与外部审计师(安达信会计公司)极少沟通,二者就象黑夜里驶过的两艘轮船。内部审计师未与外部审计师就潜在的审计范围不全的差异进行沟通。
内部审计资源不足,缺乏预算资金。世通的内部审计规模只是同类公司的一半。在此情况下,审计委员会批准计划流于形式,对内部审计从事非审计项目一无所知,在被告知审计师的平均工资只是同类公司内部审计师的一半时,也没有采取任何措施。
内部审计计划的制定有缺陷。由于多种的原因,内部审计年度计划过程是低效不足的,没有采用风险评估的定量分析系数来衡量风险,内部审计师对会计电算化系统的接触也是有限的。
世通公司申报破产以来发生的显著变化如下:
1、内部审计机构增加了12-15名审计师;
2、除继续从事经营审计外,还从事财务审计,强调财务专业知识的重要性;
3、内部审计师与外部审计师(毕马威会计公司)密切协作;
4、内部审计改善了风险评价方法,并加强与外部审计师、公司管理层、审计委员会和董事会的沟通,听取他们的意见。
此外,世通公司的内部审计机构充分认识到来自咨询和非审计服务的风险;将先进的审计技术结合到内部审计的范围和过程中;首席审计执行官具有多种职能,如首席风险官、首席道德官等;内部审计外包业务继续存在,但增加了“纯”内部审计服务内容,如财务审计、内部控制评价等。
(三)未来的内部审计师―――――VITAL(极其重要)
2003年IIA全球审计信息网络调查结果表明,认为内部审计人员的职责应该是:调查人员(44.6%);指导顾问(57.%);咨询专家(45.6%);管理层的有益助手(34.7%);其他人士(32.1%)。未来的内部审计师必须具备以下素质:
1、多面手(Versatile):拥有大局观,对整个组织的价值具有前瞻性考虑。
2、置身其中(Involvement):要参与和了解公司各项业务,发现问题及时提出解决措施,不搞秋后算帐。
3、精通技术(Technology):应用专业技术知识来预防和减少公司的风险,改进治理过程和提高效率。
4、顾问(Advisor):提供保证、培训和咨询服务。
5、领导人(Leader):在风险控制和改进组织的效果方面发挥领导作用。
(四)内部审计在风险管理过程中的作用
风险管理是企业管理层的一项主要职责,管理层应当确保本企业有良好的风险管理过程,并使其发挥作用。
董事会和审计委员会负责监督、判断本企业是否有适当的风险管理过程以及是否充分、是否有效执行。
内部审计风险论文范文第5篇
(一)风险导向内部审计模式的定义
风险导向制度的突出特点在于,将审计目光转移到了企事业单位经济业务的种种风险,内部审计工作与企事业单位的发展方向和战略前景有机结合,使内部审计工作的风险性降低,专业性得到了提升。通过风险评估结果来确定内部审计的工作重点和工作方法,打破了传统的制度基础导向审计的单一性,重点更突出、目标更具体、思路更清晰,提高了审计工作的实际效率,提升了企事业单位进步和发展的潜在价值。
(二)风险导向审计模式与制度基础审计模式的对比
风险导向内部审计模式的形成和发展以制度基础导向审计模式为基础,在其过渡和发展过程中保留了一些制度导向审计制度的工作方法和经营。从本质上看,风险导向下的内部审计模式是制度基础审计模式和现代风险评估制度的有机结合,充分考虑内部审计中存在的种种风险。虽然风险导向审计模式和制度基础审计模式都强调内部控制和审计风险的评估,但在理论概念和操作方法上存在着明显的区别。制度基础审计模式的工作重点在被审计单位责任中心内部控制制度及其执行情况,对内部审计控制风险的评价相对薄弱。总体来说,制度基础内部审计模式的工作方式是对被审计单位的内部控制工作做出一个粗略的评价,评价的深度和广度都有待提高。同时,制度基础内部审计模式没有把被审计单位的经营管理风险作为重点评价内容,从而导致审计单位和个人对审计中的风险评估工作关注不够。与制度基础内部审计制度相比,风险导向内部审计模式的工作重点是认识和评估被审计单位内部审计风险。内部审计人员在实际工作中不断要掌握和评估被审计单位内部控制的风险,而且要重点分析这些风险存在和产生的原因和环节。内部审计工作人员在开展工作时,需要全面了解被审计单位相关内控制度的基础上,掌握被审计单位的运营和发展状况,把审计的责任中心放大到整个社会的政治经济大环境中,广泛收集内部审计的相关材料,综合分析被审计单位运行和发展中所存在的内部审计风险。只有这样,才能提出科学有效的内部审计结论和风险管理方案,进而提高被审计单位的内部管理水平和效率,提升被审计单位营运、发展的潜在价值。
二、高等院校内部审计风险特性分析
(一)高校内部审计风险客观性
高校内部审计风险是普遍而客观存在的,只有开展内部审计工作,就会具备产生审计风险的客观条件,不管审计方案多完善、审计方法多先进,都会因审计对象与活动的复杂性,而导致审计结果与客观事实不一致的情况,并存在高等院校的利益遭受损失的可能性。因此,高校内部审计风险的存在和发生带有明显的客观性,且此风险无处不在,无时不在,旧的风险在发展与消失的同时新的风险又在不断滋生和扩大。高校的内审机构与人员,只能通过各种有效手段在内部审计活动中尽可能提出规避和降低损失的相关方案,降低、减少或规避审计风险及其引发的或有损失,而很难完全消除审计风险,当然也应允许某些风险存在的合理系数。
(二)高校内部审计风险的可控性
从风险本身来看,风险的存在和发展是多种不确定因素共同作用的结果,各种因素在风险发生时所起的作用和影响也是不近相同的。虽然审计风险客观而普遍存在,但审计风险并非无法控制,审计人员可以在内部审计工作中,可以正视风险、重视风险的同时,采取相应的、有效的方法和措施,把影响风险发展的相关因素控制在一定的范围内,实现风险的有效管理与控制。当然,审计风险的降低与审计资源的投入是相关的,要评估风险引发损失的大小,也要符合成本效益原则。
(三)高校内部审计风险的潜隐性
前面说到,审计风险普遍而客观存在,但此风险仅是一种可能的风险,及时引发某种损失,也要有一个显化的过程。搜神记风险形成的原因是复杂而多因素的,但引发风险构成损失,必须有相应的条件。例如:疏忽的制度潜隐腐败风险,这只是一种潜在的可能的风险,必须有心术不正者钻制度的漏洞才会发生腐败,引发国际或集团损失。因此,内部审计风险具有潜隐性,风险转变为现实需要引发条件与过程。
三、在高校研究推广风险导向内部审计模式的必要性及几点建议
1.努力营造内部审计的实施环境在高等院校内推行以风险导向模式为基础的高校内部审计工作,首先要取得学校高层领导的同意和认可。学校内部的审计部门应该提出一套以风险导向模式为基础的、科学有力的内部审计工作方案。首先将方案呈给学校领导过目,在取得学校领导的认同下,召开全校代表大会,充分讨论实施方案的内容和细节。
2.提高内部审计部门的工作效率。审计方案确定之后,由学校管理部门组织独立的内部审计机构、培训管理审计工作人员;制定具体的实施方案。以风险导向模式为主体的高校内部审计工作要严格遵守国家法律法规,接受有关单位的监督。同时,高校内部各个管理部门应加强沟通与合作,简化内部办公手续,提高工作效率,积极营造高校内部审计工作的有利环境。
3.建立规范化的内部审计程序。风险导向审计模式的工作重点在于事先审计和风险评估,将风险控制在摇篮阶段,减少因风险带来的利益损失。在推行风险导向模式后,高校内部审计工作的重点要从内部控制转移到风险评估;在审计过程中实现风险管理、内部控制和程序治理,并为高层领导提供切实可行的风险管理意见。在审计程序上,全面推行信息化审计系统,要尽量简化办公程序,提高内部审计工作的工作效率和审计结果的准确性。
4.提高内部审计工作人员的综合素质。风险导向模式的推行对高校内部审计人员提出了更高的要求,审计人员需要掌握审计、财务、管理、法律等多方面的专业知识。因此,高等院校要加强内部审计人员的培训工作,定期组织人员培训和考核,全面提高工作人员的综合素质,进而提高高校管理工作的整理水平。
5.建立完善的内部审计监督制度。高等院校应该设立专门的内部审计监督部门,定期对审计工作进行检查,及时调整工作中不合理的地方。监督制度的重点是工作底稿的分级复审制度,这可以有效减少人为因素对审计结果带来的影响,及时解决审计工作中存在的种种问题,提高审计工作的实际水平,进行有效的风险管理。
6.借助外部审计资源。在审计工作难度较大、仅依靠内部审计人员无法顺利完成时,高等院校可以请专业的审计服务单位协助工作。在条件允许的前提下,高等院校可以将部分审计工作外包给社会上的专业设计服务机构,提高审计工作的专业性和科学性。
四、结语
