我国风险导向审计的困惑与出路
一、风险导向审计在内部审计中的定位
(一)关于风险导向审计定位的困惑。中国内部审计协会自2006年开始正式提出“内部审计转型”这一倡议以后,全国不少企事业单位和政府机关的内部审计机构,都不同程度地开始实施内部审计的转型工作。这带来的问题是,原来一直开展的财务审计、经济责任审计工作,是不是都要转型,就成为一个令人困惑的事情。因为,可能存在以下三种不同的理解:第一,建立一个以风险评估为主要工作内容的内部审计模式;第二,在原来内部审计工作体系中,增加风险导向审计的门类,财务审计等原有的审计形式继续保留;将原来的财务审计等审计形式进行改造,添加风险导向的额外的审计程序。在这三种理解中,事实上,只有第一种理解才是准确的。
(二)应当建立“适度”转型的观念。在建立以风险评估为主要工作内容的内部审计模式以后,在内部审计运行中,风险导向审计与原来的有关审计形式仍然是并存的。从时间上看,风险导向审计所占的比例,随着时间的推后,会越来越多。有一种可能,风险导向审计可能成为内部审计的唯一内容。在西方国家列入世界500强的企业中,风险导向审计已达到了空前绝后的繁荣程度。而这种繁荣带来的一个显著问题是,西方国家的许多企业,在将财务审计外包之后,上市公司的各种财务舞弊事件层出不穷。“安然事件”后,在美国华尔街所发生的一系列财务造假事件,再一次告诫人们:外部审计并不能解决财务造假的全部问题,而实际上,内部控制更为重要。这就促成了美国国会在2002年颁布了《萨班斯・奥克斯利法案》,其中,最具有代表性的是,404条款为美国改革企业制度提出了更高的要求,即:企业要建立健全内部控制制度,并且由企业的管理层进行评估以及由注册会计师进行审计。尽管在该法案中并没有对内部审计应当审查财务报表提出要求,但是,强化审计委员会的财务控制职能,也体现了对财务审计的某种要求。这意味着,过度的风险导向审计可能会走“回头路”。在近几年,被媒体曝光的或者被追究责任的一些国外的造假公司,其财务总监几乎都在抱怨他们没有对财务资料进行审计的权利。这种情况应当引人深思。即:在我国,实现完全转型的风险导向审计,可能放弃财务审计或者经济责任审计等传统的审计形式,这是不考虑国情以及内部审计行业情况的做法,其后果是不堪设想的。显然,在我国国家审计的审计覆盖面还比较小的情况下,一味推行全面的转型,是不切实际的,是违背客观规律的。同样,如果完全都不实施转型,我国内部审计的整体水平将无法提高,也无法在国际化的背景下与国外同行进行交流,将产生发展严重滞后的局面。因此,至少在目前,我国企业在实现内部审计的转型时,应当建立“适度转型”的观念。
(三)内部审计转型在个体上的差别化应当是一个趋势。有一种认识是,所有企业都应当快速实现内部审计的转型,实际上这是一种错误的认识。企业的规模、性质、业务特点以及管理基础等方面千差万别,实施“一刀切”式的内部审计转型,是一种盲目的、不计后果的做法。正确的做法是,考虑企业的实际情况,适时分步骤实施风险导向审计。高风险企业(如:金融企业,房地产企业等)应当尽快实现内部审计的转型;大型企业应当在下属企业试点获得经验后推行风险导向审计;对于中小型企业,则应当结合企业的实际,在适当的时点上,针对重要业务或者高风险业务,开展局部的风险导向审计。
二、风险导向审计下的内部控制的自我评价
在传统的观念中,内部审计是企业内部控制的一个重要环节。在美国COSO委员会1992年所发布的报告《内部控制――整体框架》中,也能够比较清晰地反映这种关系。在COSO委员会2004年所发布的《企业风险管理――整体框架》中,内部审计又增加了多个风险评估的内容。那么,在风险导向审计的模式下,内部审计如何处理与内部控制、风险评估的关系呢?
(一)内部审计属于内部控制而又高于内部控制。在《内部控制――整体框架》中,内部控制的“五要素”就包含了“监控”这一要素,其中,也有内部审计的成分。从工作属性角度看,内部审计也的确解决企业的“控制”问题,能够实现内部控制的目标。在传统的理解上,人们也通常将内部审计作为内部控制的一部分来看待。而另一方面是,内部审计拥有评价企业内部控制的授权,并将评价内部控制作为一项重要的工作。我国的内部审计准则中,也有多个具体准则涉及到这个内容。如,《第5号:内部控制审计》,《第21号:内部审计的控制自我评估法》。内部审计既属于内部控制,又评价内部控制,实际上这并不矛盾。如,会计工作即包括会计核算,又包括会计监督,由会计的一部分去监督另外一部分,这并不奇怪。因为,它表明了内部控制通过内部审计实现了自我免疫。从这个意义上看,内部审计即属于内部控制又高于内部控制,至少超越了控制系统中的其他部分。问题是,在内部审计处于这样一个特殊地位的情况下,它对内部控制的评价有没有“独立性”?如果没有独立性,这可能意味着这个“评价”是没有意义的。基于内部审计在企业中并没有经济资源支配权的情况,断定内部审计具有相对的“独立性”应当是没有问题的。
(二)内部审计应当从风险管理走向对风险管理的审计。在传统意义上,内部审计是以财务审计作为主要内容的。后来,股份公司大量出现,产生了对信息公开的要求,这时,在内部审计对外缺乏应有公信力的情况下,才出现了聘请注册会计师实施公司财务审计的现象。显然,一旦审计外包,内部审计的财务审计功能将可能蜕化。问题是,如果没有财务公开的要求,内部审计从事财务审计工作并没有什么不妥。目前,由于相当一部分企业按照有关要求聘请注册会计师实施了审计,因此,内部审计的转型――实施风险导向审计,才成为需要解决的问题。在内部审计需要进行风险管理审计的情况下,如果企业没有风险管理专门机构,或者没有其他的机构进行企业风险管理的统一组织与协调,这时,内部审计机构将考虑承担此项任务。这意味着,内部审计机构应当一肩两任,既要从事风险管理的组织与领导工作,又要对风险管理进行评价。显然,第一项工作并不应当属于内部审计的工作。在《企业风险管理――整体框架》中,建议采用的组织构架是:企业由首席执行官作为风险管理的第一责任人;设立独立的风险管理部门;内部审计机构对风险管理进行评价。在企业风险管理的体系中,内部审计整体上处于从属地位。
(三)内部审计应当实现从内部控制审计到风险管理审计的跨越。在实施风险导向审计的条件下,对内部控制的审计,不能仅仅局限在传统意义上。过去对内部控制评价,主要是为审计实施实质性测试提供手段,而这种评价本身只是一种手段,而不是目的。在实施风险导向审计以后,风险管理的体系已经融合了过去的内部控制的内容。在《企业风险管理――整体框架》中,核心内容仍然是内部控制的内容,而且其保留了《内部控制――整体框架》60%以上的内容。其中的“四大目标”有三个是内部控制目标,“八大要素”有五个是内部控制要素。从这个意义上讲,无论怎样理解风险管理,都不能脱离内部控制这条主线。同样,内部审计的转型,从传统的财务审计为主,到风险导向审计,内部控制的概念可能弱化了,是以风险管理的视角来考虑过去的内部控制问题,由于将控制对象的所有不利后果理解为“风险”,将有利后果理解为“机会”,既要预防“风险”,又要把握“机会”,比以往的内部控制仅仅控制不利后果的“风险”,而不去考虑“机会”,无疑前进了一大步。
三、企业风险导向审计模式的构架设计
一旦实施风险导向审计,这将意味着内部审计工作内容的拓展。传统的内部审计流程,在实施风险导向审计后有许多方面显得不太适应。以会计流程为依托的财务审计流程,它的资料获取比较简单,而风险导向审计则面临业务范围不清、部门分工不明、流程规范缺失以及组织体系零散等问题。设计风险导向审计模式的构架应当做好以下工作:
(一)以制度为先导。在企业实施风险导向审计模式是一场革命,这场革命可能引起原有组织结构、权利格局和人员岗位及其职责的改变,如果没有必要的制度进行规范,将可能使风险导向审计处于无序状态。这里的制度应当是一个体系,最高层次是以单位名义制定的风险管理制度,其次是以部门(如内部审计机构)制定的专业性的规章,再次是依据前述规章制定的有关作业规程。在这个制度体系中,应当明确内部审计机构的组织地位,特别是授权在尚未设立风险管理部门的条件下,由内部审计机构负责进行有关事项的组织与协调。
(二)以机构为依托。在可能的情况下,应当建立风险管理机构,这是一个比较规范的组织形态。我国和大多数国家的金融机构,基本上都设立了风险管理专门机构,这对于加强风险管理无疑具有积极的意义。在这种状态下,内部审计机构可以以评估风险管理作为重要工作,而不必考虑更多的风险管理的组织与协调问题。在设立专门机构以后,对各个部门的风险管理岗位设置也应当提出要求,配备风险管理专员是一个可行的办法。从机构到人员,将形成一个网络状的风险管理组织体系。
(三)以流程为指南。对于内部审计机构而言,在风险管理评估方面,应当设计具有一定可行性的流程,这个流程应当嵌入到风险管理的相关业务之中。该流程应当依据业务的类型设计,应当是一个立体的三维结构:第一维是风险管理的“四大目标”,第二维应当是风险管理的“八大要素”,第三维应当是三级组织构架(企业整体层级,部门层级和岗位层级)。在三维的立体结构下,风险导向审计所嵌入的各个具体业务,都应当分阶段分业务环节进入这个系统,并且实现对风险管理过程的评价。其中,最重要的是,对业务各个环节的风险进行识别、评估和提出应对措施。
(四)以人员为主体。在风险导向审计实施的过程中,内部审计人员是主体。风险导向审计实施的效果,在很大程度上取决于内部审计人员的胜任能力。而这里的“胜任能力”,主要可以通过以下方面体现:具有实施风险导向审计的基本知识与技能;具有对相关业务的清晰认识和理解;具有对风险事件敏锐的洞察能力和分析能力;具有对企业内部各个有关方面的协调能力等等。为了获得相关能力,内部审计人员可以参加行业内的交流、业务培训和参与相关业务活动,这些都不失是一个好办法。
