风险导向审计与风险管理审计在内部审计中的运用
风险导向审计和风险管理审计在名称上都涉及到了“风险”的概念,但两者存在诸多差异。风险导向审计是注册会计师为防范审计风险而发展起来的一种审计模式,风险管理审计是内部审计为防范企业经营风险而拓展的审计新领域。
一、风险导向审计与风险管理审计概述
(一)风险导向审计20 世纪60 年代,大量企业为提高经营业绩进行财务舞弊、操纵利润,而且愈演愈烈。由于传统的账表导向审计和系统导向审计存在局限性,不能及时揭露管理层通过集体舞弊逾越内部控制系统的行为,导致大量审计失败和法律诉讼事件。而到了70 年代末,随着审计成本的上升,审计收费停止增长甚至出现下降。为了降低审计风险、提高审计效率、寻求审计技术突破,1983 年美国注册会计师协会(AICPA) 发布了《审计准则公告第47号———审计风险和重要性》,推出了传统风险导向管理审计模型:审计风险= 固有风险╳控制风险╳检查风险,并于随后发布一系列准则,为实施风险导向审计提供指引。然而,传统风险导向审计模型在审计实务应用中并不理想,固有风险难以量化,多数审计人员将其简单地评估;控制风险与固有风险也难以明确区分。以控制风险为重点实施审计工作仍然难以实现查错防弊的审计目标。2001 年的安然事件、世通事件震惊全球,直接导致世界五大会计师事务所之一的安达信会计公司破产。此后,审计将研究重点转向将企业的战略经营风险所带来的重大错报风险作为审计风险的重要构成要素进行评估,实现对传统风险导向审计的继承和延伸。2003年,国际审计和鉴证准则委员会(IAASB) 将审计风险模型修订为:审计风险= 重大错报风险╳检查风险,即现代风险导向审计模型。它强调审计人员把重点集中在出现错报的高风险领域,将风险评估与审计程序紧密结合。2006 年,我国颁布了《中国注册会计师审计准则》,全面借鉴了国际现代风险导向审计理念,标志着现代风险导向审计在我国的正式推广应用。
(二)风险管理审计20 世纪70 年代,内部审计进入管理审计阶段。美国政府审计率先开展“3E”审查,即经济性、效率性和效益性,把管理当局的全部责任纳入审计范围。政府审计的发展,推动内部审计将审计关注点转向管理决策,从“为管理”进行审计转向“对管理”进行审计。1987 年,由美国反虚假财务报告委员会(Treadway) 发起成立COSO 委员会,致力于通过有效的内部控制和公司治理结构改善财务报告。1992 年COSO 发布《内部控制———整体框架》,提出了内部控制的五要素:控制环境、风险评估、信息与沟通、控制活动和监控。在风险评估中阐明了风险的含义、类别,如何识别、分析相关风险,从而形成风险管理的基础。2004 年COSO委员会发布了《企业风险管理框架》,增加了三个风险管理要素:目标制定、风险识别和风险应对,同时提出了风险偏好、风险容忍度等概念,使得对风险的定义更加具体明确。框架报告的发布将企业管理的重心由内部控制转向风险管理,同时审计实务界也开始探索以风险管理为核心的审计领域。2005 年,我国颁布了《内部审计具体准则第16号—风险管理审计》,将风险管理分为风险识别、风险评估、风险应对三个阶段,对风险管理审计进行规范和指导。虽然准则内容比较原则化,在实务操作上不够具体和详细,但对我国风险管理审计发展起到了一定的促进作用。
二、风险导向审计与风险管理审计的区别
(一)“风险”的含义不同。风险导向审计中的风险指的是“审计风险”,主体是审计机构和人员。2006 年公布的《中国注册会计师审计准则》认为:“审计风险是指财务报表存在重大错报而注册会计师发表不恰当审计意见的可能性。”审计风险包括重大错报风险和检查风险两个方面。风险管理审计中的风险指的是企业“经营风险”,主体是企业及管理人员。2005 年颁布的《内部审计具体准则第16 号—风险管理审计》认为“风险管理,是对影响组织目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的过程。”风险管理涉及到风险识别、风险评估、风险应对三个阶段。
(二)动因和性质不同。风险导向审计产生的动因是企业外部审计,是为控制和减少注册会计师审计风险而发展起来的一种审计模式,是一种审计理念的创新。风险管理审计产生的动因是企业内部管理,是为控制和减少企业经营风险而发展起来的一种审计业务,董事会、管理层和审计委员会对风险管理均有明确的分工,是一种审计范围的拓展。(三) 思路不同。风险导向型审计以被审计单位的重大错报风险为导向,对被审计单位可能引起重大错报的内外部风险因素进行评估,以确定审计的重点和范围,将有限的审计资源集中在高风险领域,合理配置审计资源,以提高审计效率和效果。风险管理审计从企业战略目标、风险管理政策等出发,审查和评价企业风险识别是否充分、风险评估是否恰当、风险应对是否有效,健全企业全面风险管理体系,帮助企业实现目标。(四) 角度不同。风险导向审计从企业经营管理层面出发,关注的是被审计单位存在重大错报的风险,并不对企业战略等更高层面的内容进行评价,也不对企业发展前景负责。风险管理审计从企业战略层面出发,对各个层次的风险均要考虑,需要对企业战略管理是否恰当进行评价,对董事会、管理层提出改进建议,实现企业长远发展。
三、风险导向审计与风险管理审计在内部审计中的运用
(一)风险导向审计与内部审计的关系风险导向审计是从外部审计发展起来的一种审计模式,对内部审计同样有较大的借鉴意义和应用价值。内部审计是企业的内设部门,与企业同发展、共命运,对行业特性、管理个性等有较为清晰的认识,有内部信息优势。但内部审计部门与外行业接触少,更顾忌到企业间的商业秘密,相较于外部审计,独立性和外部信息处于劣势。风险导向审计给予内部审计人员一个新视角,更加独立客观地来审视企业内部的经营管理现状,提供了一种以风险识别、评估为导向的更为科学的审计模式。风险导向审计发展的一个重要动因是减支增效,内部审计同样面临成本效益的衡量,内部审计效率提升了,等同于企业运营效率的提升。因而,风险导向审计为内部审计提供了一种更为高效的审计模式,有助于内部审计在人员、资源有限的情况下实现优化配置。
(二) 风险管理审计与内部审计的关系风险管理是一项复杂的系统工程,内部审计是其重要组成部分。董事会、管理层、内部审计各司其职,董事会负责制定风险管理战略,管理层负责风险管理控制实施,内部审计部门对风险管理的适当性、充分性和有效性进行检查、评价和报告,提出改进建议。内部审计是企业的监督机构,风险管理是其重要审计内容。将评价和改善企业风险管理作为内部审计的重要工作领域,是内部审计的新发展,拓展了内部审计的广度和深度,将内部审计在企业中的作用推向一个新的水平。内部审计和风险管理相辅相成,都是企业增值、改善运作和防范风险的重要方面。风险管理是对内部控制的再控制,内部审计是对风险管理的再监督,风险管理渗透到企业管理的各个方面,内部审计无法脱离风险管理计。事后审计是一项较为传统和成熟的审计方式,风险导向审计和风险管理审计的引入,可促进事后审计实现新突破。一是审计方案个性化。以风险导向审计为指导,在分析企业风险管理现状的基础上,针对不同项目、经营业态和风险领域编制个性化的审计方案。通过评估风险优先次序,将重大潜在风险作为审计重点,合理安排审计分工和资源。与董事会、管理层、执行层沟通,考虑不同的风险管理需求,邀请业内人士和专业咨询人士合理建议,补充修正审计方案,确保审计方案对风险认定准确,减少误报、漏报重大错报的风险。二是审计策略动态化。审计实施过程中,采取动态的审计策略,将系统检查和专项检查相结合。从风险管理系统整体出发评价各风险组合,进一步排查是否存在风险遗漏的重大方面。对关注的潜在风险领域实施专项检查,倾斜人员和资源,提高审计效率,降低审计风险。一旦发现新的潜在风险领域,与企业战略经营目标相对照,通过风险度量,随时调整审计策略。三是审计结果长效化。虽然风险导向审计和风险管理审计关注的风险类别和层次不同,但理念都是实现良性循环,防范重大错报和经营风险,促进企业的持续发展。在事后审计中运用风险导向审计和风险管理审计,具有“事后”的先天不足,但也具备数据完整的分析优势,有助于系统整体地分析企业风险状况。因而,事后审计结果的利用显得尤为重要。审计结果不单要关注短期风险的规避和防范,更要从企业风险管理系统优化的角度,提出建设性建议,建立持续完善的长效机制。综上所述,将风险导向审计和风险管理审计有机结合,运用到内部审计工作中,更新了审计理念,防范了审计风险,系统地提升了企业的风险应对能力,使内部审计的作用发挥到一个新高度,更好地实现企业的战略目标。参考文献:[1] 翟平堂.风险管理审计与风险导向审计的比较[J] .中国内部审计,2008 (10):54-55.[2] 刘清利,邓平,王琼.风险导向审计与风险管理审计协同融合发展[J] .山东冶金,2011 (10):145-148.[3] 陈青.风险导向内部审计与风险管理审计的比较分析[J].财会研究,2012 (21):66-68.[4] 黄阳阳,吴屾屾.企业风险管理审计与风险导向审计比较研究[J] .商业会计,2013 (12):69-71.(作者单位:浙江省烟草专卖局(公司))
