风险导向内部审计与内部控制结合初探
【摘要】作为风险管理的一个重要环节, 企业 内部审计在内部控制、公司治理及组织运营中的地位日趋突出,已成为关系企业兴衰成败的重要因素。内部审计经过长期的 发展 , 目前 已渐渐进入风险导向内部审计阶段,与公司治理和内部控制之间的关系也日趋紧密。
本文从国际内部审计师协会(the Institute of Internal Auditors,简称IIA)对内部审计的定义出发,阐释了风险导向内部审计的概念; 分析 其产生的现实背景以及与传统的内部审计相比较所具备的基本特点;进一步比较了传统内部审计和传统内部控制、风险导向内部审计与企业风险管理框架的联系;并且通过一个案例,指出风险导向内部审计理念对我国内部审计实践的现实启示。
关键词:风险导向内部审计,内部控制,风险管理,公司治理
Abstract
As a key link of Risk Management, the company internal audit has more and more importance in the internal control, corporate governance and organization operation. It has become a crucial factor in the rise and fall of the company. After a long development, the internal audit is walking into the stage of Risk-Oriented Internal Audit, and the connection between corporate governance as well as internal control is becoming close gradually.
This dissertation stats with the definition of Risk-Oriented Internal Audit by the Institute of Internal Audito۵rs , illuminates the idea of Risk-Oriented Internal Audit, analyzes the background of its generation then poin❥ts out the feature of the Risk-Oriented Internal Audit. Furthermore, this dissertation compares the relationship between the traditional internal audit and internal control, with the Risk-Oriented تInternal Audit and ERM. In addition to this, through a related case, it shows how the idea of Risk-Oriented Internal Audit brings revelation to the audit practice in China.
Key words:Risk-Oriented Internal Audit, Internal Control, Risk Management, Corporate Governance
目录
一、序言••••••••••••••••••••••••••••••••••••••••••••••••••4
二、 文献 回顾••••••••••••••••••••••••••••••••••••••••••••••4
三、风险导向内部审计的涵义阐述•••••••••••••••••••••••••••••5
四、风险导向内部审计与内部控制••••••••••••••••••••••••••••6
(一)传统内部审计与内部控制••••••••••••••••••••••••••••••6
(二)风险导向内部审计与 现代 内部控制••••••••••••••••••••••7
五、案例分析:武钢国际化运作的内部审计•••••••••••••••••••••8
六、结语••••••••••••••••••••••••••••••••••••••••••••••••••11
(一)风险导向内部审计与内部控制结合的优势••••••••••••••••11
(二)风险导向内部审计对我国内部审计发展启示••••••••••••••12
资料来源和 参考 文献•••••••••••••••••••••••••••••••••••••••12
一、 序言
现代内部审计之父——劳伦斯•索耶说过:“内部审计是管理层的耳目。”内部审计能够帮助管理层提高经营管理的效率和效益,防弊是内部审计持之以恒的传统职责。然而,现代内部审计在防弊之外,还应该承担着兴利的重要任务。进入21世纪,多样化和多变性的环境使企业的经营管理经历实质性的变革,由于技术的快速创新以及由此导致的制度创新以及 经济 全球化、管理信息化、经营多元化的发展趋势,现代企业所面临的商业环境和市场竞争不确定性越来越大,一方面变化周期缩短,商业环境和市场竞争的变化速度超过了以往任何 时代 ;另一方面商业环境和市场竞争变化越来越彻底,企业明天的生存与发展环境可能与今天的几乎没有任何必然的联系,现代企业处于高风险的经营环境之中。因此要求彻底重构业务流程,摈弃冗余部门,留下能够增加企业价值的部门。内部审计要成为企业价值链上的一个必要环节,必须为企业提供增值服务。
那么,内部审计要如何为企业提供增值服务呢?目前西方学者已经提出了以风险为核心的内部审计 理论 ,从而拓宽了内部审计 研究 的领域。1999年,国际内部审计协会(the Institute of Internal Auditors,简称IIA)颁布了内部审计职业实务标准框架,顺应了这种变革的需要。从该内部审计职业实务标准框架,我们可以看出,内部审计的发展进入了一个新的更高层次的阶段,即实现了两个转变,一个是内部审计正由管理审计向风险评估转变,一个是由被动查出 问题 向主动提出解决问题的建议转变,这两个转变使内部审计的作用更具有前瞻性、咨询性。由此看来,风险导向内部审计已逐步成为内部审计理论的新热点。
本文主要分为以下几个部分:上述引言部分是对本文研究的 内容 、目的、意义的介绍;其次是对有关文献的回顾;第三部分是对风险导向内部审计的介绍;第四部分是初步探讨风险导向内部审计与内部控制的结合,包括对传统内部审计的缺陷分析,风险导向内部审计与现代内部控制的关系,第五部分通过对武钢国际化运作的内部审计案例的分析,观察风险导向内部审计是否能为企业提供增值服务;第六部分是结语,阐述了风险导向内部审计与内部控制结合的可行性,并展望了风险导向内部审计对我国内部审计发展启示。
二、 文献回顾
1、通过强调内部审计的范围包括保证与咨询活动,新定义把内部审计设计成主动的以客户为中心的活动,其关注的关键问题是控制、风险管理与治理。
2、通过清晰地陈述内部审计旨在增值与改善组织运营,新定义强调了内部审计对组织的重要贡献。
3、新的定义假定控制仅在于帮助组织管理风险与改善有效的治理。这样一种观点大大地扩大了内部审计的范围,将它的工作目的延伸到包括风险管理、控制与治理程序。
在我国,关于风险导向内部审计的理论研究和 应用 也刚处于起步阶段。 中国 内部审计协会副会长、厦门大学教授、博士生导师王光远提出,内部审计是风险管理的函数,是对风险管理的再管理。内部审计在风险管理审计中所扮演的角色是:对风险要素的认定;提出控制措施;协调;对风险管理进行评估(特别是董事会领导下的内审);风险管理的 教育 。融合风险管理审计、内部控制审计和公司治理审计,变革传统的内部审计角色,审计计划要充分考虑高管层对风险的承受程度。严晖(2004)在其《风险导向内部审计整合框架研究》中,比较系统地阐述了风险导向内部审计与内部控制、风险管理和公司治理之间相辅相成的关系;董海军(2005)提出了风险管理是内部审计活动的主线,杨爱群(2007)设计了风险导向内部审计框架体系,并围绕该框架,探讨了风险导向内部审计在风险管理中的具体应用。中国内部审计准则与职业道德规范也充分借鉴了国际惯例,特别是最先进的风险导向内部审计基本理念,以风险和控制贯穿所有准则,以防弊、兴利、增值共存作为基本目标。这从一定程度上表明,我国的内部审计向风险导向内部审计方向发展也是大势所趋。
本文选择以风险导向内部审计为切入点,着重研究风险导向内部审计和内部控制的结合给公司治理带来的种种改观,其动因在于:第
一、风险导向内部审计是目前内部审计理论发展的新兴动向,许多发达国家的知名企业内部审计运作模式已经逐步向此方向变革。第
二、内部控制已发展为企业风险管理框架,作为内部审计的传统对象,其范围的变化必将引发内部审计范围和方法的变化,本文将浅层探讨风险导向内部审计在内部控制中的作用。第
三、内部控制和公司治理是紧密相联的,在统一的风险管理作用下,内部审计能够更好地将两者结合起来。第四,我国内部审计理论和实务同国际先进水平相比尚有较大差距,风险导向内部审计也将是我国内部审计发展的未来趋势,因此本文的研究具有一定的现实意义。
三、 风险导向内部审计涵义阐述
风险导向内部审计以风险为其关注的核心。因此,要理解风险导向内部审计的概念,首先要 分析 风险的含义。 风险导向内部审计即是以对整个组织的风险进行评估与改善为最终目的的一种审计理念。IIA(国际内部审计协会)于2001年在其发布的《内部审计实务标准》中对内部审计的定义,就是风险导向内部审计的体现。根据该定义,推行风险导向内部审计就是要求内部审计以内部控制作为生存与 发展 的基础,以公司治理作为参与风险管理的前提条件,以对组织风险的评估与改善作为基本目标。
内部审计的本质是确保受托责任履行的管理控制机制,从其起源开始,先后经历了财务导向内部审计、业务导向内部审计、管理导向内部审计几个重要阶段。而从20世纪90年代末开始,内部审计进入了风险导向内部审计阶段。在风险导向内部审计阶段,受托责任关系以及管理控制发生了一系列的变化,与风险结合起来。风险导向内部审计 理论 认为风险是公司活动的驱动力,内部审计应把关注的核心转向风险,注重现在和未来,而不再拘泥于过去的细节。由于风险是面向未来的,是直接与目标及战略相关联的,因此以风险为核心与出发点的内部审计,能将事后的反馈延伸到事前及事中,从而实现更高效率的控制。所以,传统的被动式内部审计应渐渐被主动是预期式的风险导向内部审计所取代。
风险导向内部审计的对象是内部控制、风险管理以及公司治理程序。这从IIA内部审计职责说明书(SRIA)可以看出来:
内部审计职责说明书( SRIA )
内部审计对象
内部审计目标
2001 年内部审计
实务标准框架
风险管理、
控制及治理程序
增加组织价值
并提高经营效率
资料来源:IIA2001年内部审计实务标准框架
在风险导向内部审计中,企业风险首先成为选择审计项目及确定特定项目中重点关注领域的依据,高风险的领域优先列入年度审计计划,因此审计项目的选择与企业目标紧紧相连。
四、风险导向内部审计与内部控制
内部审计和内部控制的密切关系由来已久。在公司治理中,内部审计对内部控制的检查和评价显得相当重要。“反对虚假财务报告委员会”所属的发起机构委员会(简称COSO)强调,之所以要设置内部控制,就是促使企业在迈向获利目标的路上,达成管理理念,并把路上的意外惊吓减到最少。巴塞尔银行监管委员会(Basle Committee on Banking Supervision)在对20世纪90年代以来的系列银行破产案例作了深入调查之后,得出结论认为:著名商业银行失败事件的原因,除了内部控制失效外,很难再找到其他因素,这进一步印证了内部控制对企业的意义。所以,要更好地实现内部控制,就要找到一种有效的审计 方法 ,使内部控制更具有动态性和灵活性,更关注环境变化和风险的影响。
(一) 传统内部审计与内部控制
传统内部审计对内部控制的测试所遵循的逻辑顺序是“控制→风险→评价控制目的是否实现”,即直接测试内部控制,考虑内部控制是否充分有效,而风险的大小仅用于表明控制的薄弱与健全环节,从而实现防弊兴利的目标。(见下图)
由上图可以看出,传统内部审计首先着眼于实际的内部控制,其次评估其风险,考虑控制目标是否实现,然后再针对控制薄弱环节提出加强控制的建议,并在后续的审计中考察 问题 是否得到纠正,属于一种事后的反馈机制。
这种模式使内部审计被埋葬于反映过去细节的怪圈之中,为了达到防弊与兴利的审计目标,只有不断地加强、补充、完善控制,导致控制层层叠加。依据成本——效益原则,控制环节越多,控制措施越复杂,相应的控制成本也就越高。同时,若是在内部控制过程中存在管理人员的管理越权及串通舞弊,也难以归咎于直接责任人。这样长期下来,会拖累企业前进的步伐。
除了以上的缺陷,传统内部审计还有一个比较致命的弱点。内部控制一般是针对经常而重复发生的业务设置的,而且一旦设置就具有相对的稳定性,因此如果出现不经常发生的或未预计到的 经济 业务,从比较大的范围来说,就是广义上的风险,原有的控制就可能不适用。根据传统内部审计对内部控制的测试所遵循的逻辑顺序,内部控制的变化不能及时向内部审计反馈,从而造成内部审计提供的信息存在时滞,失去对内部控制的作用。
(二) 风险导向内部审计与 现代 内部控制
20世纪末,现代公司治理中的管理控制系统有了新的发展,要求管理人员“向前看”,把控制系统建立在前馈而不是简单的反馈基础上。在此影响下,公司的内部控制也逐渐由强调事后的反馈控制变为更贴合内部控制目标的前馈以及同期控制,由整体架构阶段发展到包含更大范围而目的性却更为明确的现代内部控制(又称企业风险管理框架ERM),更关注环境变化的影响,更体现了系统的动态性和灵活性。
首先,ERM在目标方面增加了战略目标,将对企业的风险关注重点引向了重大的、根本性的战略问题;其次,在内部控制五要素(内控环境、风险评估、内控活动、信息与沟通、监督)的基础上增加了目标设定、事件识别和风险评估三个要素,与原来的风险评估要素一起构成了一个完整的风险管理的基本过程;最后,ERM强调将企业风险管理覆盖所有层次,包括业务单元、子公司、分支机构和公司的整体层次,而业务单元、子公司、分支机构和公司的整体层次正是公司治理和内部控制涉及的全部领域。可见,ERM是一个整合公司治理和内部控制的企业风险管理框架,它关注包括公司治理领域和内部控制环节的风险在内的一切风险。
因此,内部审计在现代内部控制中发挥的作用也有了相应的发展和变化。
一、内部审计工作的重点应放在重要的风险上,审查贯穿组织范围的风险管理;
二、为风险管理提供确证服务;
三、积极支持并参与风险管理程序;
四、促进风险识别与评估,在内部控制领域 教育 所有的人员;
五、帮助向董事会、审计委员会等提供风险报告。[IRM AIRMIC ALARM.A Risk Management Standard[S].2002]
公司治理领域和包括内部控制环节的风险在内的所有风险正是风险导向内部审计的对象。所以,企业风险管理框架就可以被视为风险导向内部审计的对象。
风险导向内部审计的作用
风险管理的不同水平
重要特征
风险导向内部审计的作用
风险暴露
未采取任何正式的风险管理方法
协助采用风险管理方法;内部审计建立在➳审计风险评估基础上
风险察觉
零星的风险管理方法
协助建立企业范围的风险管理方法;内部审计建立在审计风险评估基础上
风险确认
已制定风险管理的战略和政策
已确定风险偏好
促进风险管理的战略和政策的实施;内部审计使用管理层的风险评估结果
风险管理
已建立企业范围的风险管理框架
对风险管理过程进行审计;内部审计建立在管理层的风险评估基础上
风险管理融合
风险管理及内部控制完全潜入企业经营过程中
对风险管理过程♥进行审计;内部审计建立在管理层的风险评估基础上
资料来源: The Institute of Internal Auditors—UK and Ireland.Position Statement
在评估现代内部审计过程中的充分性和有效性时,风险导向内部审计与传统内部审计的区别在于其遵循的逻辑顺序是“目标→风险→控制”,同时根据企业风险评估调整审计战略,确定审计重点,紧密关注高风险的领域,以提供更相关、更符合管理层和董事会需求的确证信息。
同时,在帮助企业建立、实施并完善ERM时,风险导向内部审计应提供咨询服务,包括控制自我评估、风险自我评估、内部控制教育等方法帮助组织所有成参与ERM。