浙江省电力公司 于晓彦
现代企业的机构日益复杂化,直接导致企业经营及内部审计部门的系统风险在不断扩大,但是在一个企业里潜在的被审者很多,审计资源却很有限,在计划期内审哪些单位,谁先审谁后审,取决于它们的相关风险,因此如何根据风险确定年度项目审计计划,加强内部审计年度计划管理,是目前亟待解决的实际问题。本文拟通过对风险因素的分析、评估、管理方面的探讨,就加强内部审计年度项目计划管理提出一些想法。
一、经营风险、审计风险、经营风险评估
1、经营风险:是指企业在经营过程中,由于各种内外因素随机变化的影响,使企业经营的结果背离企业经营目标的不确定性,及其资产蒙受损失的可能性。这种风险有(1)自然风险:如水灾、火灾、风灾、雷电、地震等自然灾害,可能使企业蒙受经济损失。(2)社会风险:如抢劫、盗窃、故意破坏等事故,可能给企业造成经济损失。(3)经济风险:如经营管理不善、资金需求变化、利率与汇率变动。(4)技术风险:例如计算机系统出现故障和运行差错等。
2、审计风险:是指被审事项存在重大错误或漏报,而内部审计师审计后发表不恰当审计意见的可能性。
3、经营风险评估是指在确定风险因素的基础上,通过对企业所面临风险的可能性以及发生概率进行专业判断的整个系统过程。
二、风险评估在内部审计年度项目计划中的运用
内部审计的最终目的是向管理层提供信息,以减少在实现企业目标的过程中可能带来的风险,并且提供增值服务。所以,内部审计的各项工作应该反映企业的风险战略,内部审计年度项目计划尤其应体现出对企业风险的控制。
风险评估确定内部审计年度项目计划的主要步骤有:第一、确定可供审计的事项;第二、确定相关风险因素。第三、评估风险因素并确定审计周期;第四、根据审计资源确定审计年度计划。
(一) 确定可供审计的事项
风险评估的基础就是建立内部审计台帐管理平台系统,通过该系统的使用,达到对所需审计的单位有一个比较全面、系统的认识,并在此基础上建立资料库分析系统,以及单位生产、经营等方面的情况。
1、 通过内部审计台帐管理平台系统的运用,确定所需审计的事项
所需审计的事项分为三类:即合规性审计事项,例如:有关法律、法规、各项规章制度的执行情况,合同执行情况等;待审单位,例如所属多经企业、各部门等;待审资料,例如:财务资料、供、产、销等业务活动系统等。所需审计的事项含财务领域的经济事项和非财务领域的经营管理事项,一般包括:单位的状况,按不同的审计管辖权限进行划分,具体包括直属单位(部门)、参股公司、控股公司、多种经营企业等;相关的经济政策和管理程序;经营信息系统;主要经济合同;计划和预算等;经济业务活动系统,包括电子数据处理、采购、市场营销、生产、工程管理、人力资源、财务管理和会计核算内容。
2、 确定相关风险因素 评估风险高低
确定哪些事项会给企业带来风险。在制定年度审计项目计划时,风险因素不宜列得太多,以免失去重点,也不宜列得太少,以保证风险评估得全面性。如:企业资产规模、上次审计时间与结果、组织机构及人员变动、内部控制建立与执行情况、内部控制制度变化情况、管理人员的综合表现与正直程度、经营决策变化情况、投资方向变化情况、业务金额的大小和对比、管理人员工作量的增减、会计政策的变化、单位的电脑化程度、被审单位的要求等。风险程度的高低,是由审计人员在通过审前调查、参阅有关文件资料、进行审计职业判断的基础上逐项进行风险评价描述、确定项目的风险率、审计重点。一般情况下,高风险是指通过风险评价,企业存在大的经营管理缺陷、经济诉讼、各种经济检查发现严重违纪问题、企业经营发生重大变革等事项;中等风险是指通过风险评价企业存在较大的经营管理不足、容易造成经营损失、出现一般性违纪行为的事项;低风险是指通过风险评价企业管理比较规范、内控比较健全有效、历次检查没有发现大的问题、企业经营中没有发生大的变革等事项。可以进行打分确定:高风险率为3,中等风险率为2,低风险率为1。
3、 确定审计周期。
根据前面所确定的风险程度,审计周期一般可以确定为:高风险每年审计一次、中等风险每两年审计一次、低风险每三年审计一次。在确定对单位的审计工作周期时,按照经营风险与项目风险评估所列的内容、格式逐项进行评估打分,根据风险评估的得分结果按区间划分风险的程度根据评估结果确定审计重点内容。
4、 根据审计资源确定年度审计项目计划
通过上述的风险评估,根据目前审计资源,制定出年度审计项目计划。它应当包括以下基本内容:内部审计年度工作目标;需要执行的具体审计项目及其先后顺序;各审计项目所分配的审计资源;后续审计的必要安排。当然,这其中应该正确处理好财务工作、经济效益、经济责任、专项审计、审计调查的关系及各项审计的比重并能完成董事会或管理层临时交办任务等等。
三、实施风险管理在年度审计项目计划管理上的几个难点
综上所述,风险管理涉及的因素较多,范围较广,运用恰当,能为科学安排审计工作创造条件。但在目前状况下,全面实施尚有一定的难度,具体表现在:
1、审计计划的独立性不强。审计风险是与审计质量密切相关的,而审计质量是需要人力、物力和时间保障的。在审计的人力、物力既定的情况下,审计的计划安排要满足审计质量的要求,才能降低审计风险。目前,审计计划往往无法由审计部门自主掌握。企业在审计计划以外的工作,各部门都可以要求审计配合进行工作,而且通常任务急、时间紧,加之期望又高,审计风险徒增。这种任务的增加,大大挤占了正常项目的人力、物力和时间。审计在进度计划、检查评比和年终考核等的制约下,往往会以牺牲审计质量为代价。内部审计要确保审计质量,控制审计风险,企业保持审计计划的独立性非常重要。
2、审计信息严重不对称。审计部门往往被认为是企业经营行为的“再监督部门”,因此企业在构建整个信息系统时,审计系统经常缺失,造成部分企业经营信息无法准确及时传递到审计部门,从而导致整个审计项目计划决策的失败。
3、确定风险因素,人为干扰因素过多。从本文上述可知,风险因素的确定很大程度上决定于审计人员的经验与职业判断,并没有形成系统性的、科学性的风险因素管理。因而,存在年度审计项目计划的局限性与科学性问题。企业必需在内部审计年度项目计划中强化风险管理,提高审的质量和效果,以发挥审计应有的作用,促使企业经济效益提高。
