風險導向審計主張針對每項業務首先調查了解被審計企業所在行業、其經營和活動、企業的內部控制制度及運行情況,進行前期的研究和理解,評價企業的風險。其次通過對相關信息和數據的分析,了解企業的會計信息系統披露的信息與企業實際經營狀況的關系,進而判斷該企業對相關法律法規及會計準則的遵守情況和重大錯報風險的水平。最后根據對重大錯報風險水平的評估,執行具體的審計程序, 搜集審計證據,得出審計結論。風險導向審計強調從企業的戰略管理分析入手,通過戰略風險和經營風險的導向和嚴密的邏輯推理,一步一步地推導和落實審計的范圍和重點,確定相關的審計目標和審計程序。然后通過實施審計程序,取得審計證據,確定重要性水平,歸納和判斷整個財務報表的風險并形成最終的審計意見。整個審計過程就是審計人員由概括到具體,由表及里,逐步深入,不斷加深對被審計單位的認識過程。
現階段企業已將風險導向審計的理念運用到內部審計中,但在企業內部開展風險導向審計面臨許多難點,下面以一個煤炭國有企業W公司的情況為例,簡要分析一下企業內部開展風險導向審計面臨的難點及對策。
一、面臨的難點
(一)對風險導向審計的認識不足
風險導向審計作為審計發展的一個新階段,自身尚未形成嚴密、科學的體系,缺乏必要的理論支持和指導。我國也尚未出臺較為完備的法規政策,來規范、約束和保障風險導向審計的開展,這就使企業管理層、內審人員對風險導向審計的概念、特征、范圍、程序、方法等方面的內容,在理解上較為模糊,無法完全與制度導向審計模式區別,在開展審計過程中總覺得難以入手,如W公司的內審部門常年進行財務收支審計、經濟責任審計、工程項目審計等,都是以制度導向審計模式開展,隨著公司的發展壯大,傳統的審計方式已經越來越不能適應新形勢的需要,在開展的一些項目中穿插采用風險導向審計模式,但結果不盡如人意,究其原因,還是對于如何開展風險導向審計,沒有明確的理解和認識,執行起來有難度。對此,內審部門的內部人員一直在探討學習,希望提高認知程度,統一思想,盡早開始建立并實施風險導向審計模式。
(二) 企業管理層全面風險管理意識不強
企業管理層只重視安全生產的具體工作,缺乏足夠的全面風險管理意識,未積極、主動、系統地進行全面風險管理工作。企業對于涉及風險管理的活動總是頭痛醫頭、腳痛醫腳,管理實施過程缺乏連續性。對已經評估確認的風險點不進行定期復核,降低了企業適應環境變化的能力和控制或規避風險的能力。企業只顧及當前的狀況,缺乏對長期利益的分析和考慮,忽視某些決策對企業未來的影響,從而在未來的某個時段可能給企業帶來重大的損失,如W公司所屬的礦井采掘、煤化工生產等均屬于高危行業,企業對安全的防范意識較強,尤其是對井下作業制訂的安全管理措施非常詳盡,但對其他生產經營方面的風險管理重視程度不夠,這種只重安全方面忽視其他方面的風險管理的現象,并不能完全消除安全防患,煤礦各類安全事故仍時有發生。
(三)企業的內部控制建設不能適應風險導向審計的要求
內部控制是合理保證企業經營管理合法合規、資產安全、財務報告及相關信息真實完整,提高經營效率和效果,促進企業實現發展戰略,而由治理層、管理層和其他人員設計和執行的政策及程序。財政部制定的《企業內部控制基本規范》中許多內容原則性很強,但缺乏一個完整的執行標準體系,使得企業完全按其要求操作有一定難度。由于企業不能建立一個完整、有效的內部控制系統,內審人員在審計工作中就會遇到很大困難和阻力,無法通過了解企業的內部控制來識別和評估財務報表層次及認定層次的重大錯報風險,為了規避審計風險,節約審計成本,內審人員在審計時就會降低審計目標,從而影響審計效果,如W公司為合并組建的新公司,涉及采掘、洗選、煤化工、電廠等多個行業,內部控制建設處于初級階段,機構龐雜,人員眾多,部門職能交叉,內部管理制度不健全,沒有完全理順內控體系的組織關系,降低了工作效率,也影響員工的工作積極性。在這種狀況下開展風險導向審計增加了許多人為阻力和困難,導致審計質量不高,審計效果欠佳。
(四)風險管理的組織架構不完善
國資委出臺了《中央企業全面風險管理指引》,指導國企實施全面風險管理工作,但在實際中,企業的風險管理狀況與指引要求相距甚遠,其主要的一項就是存在較為嚴重的治理結構問題,即缺少風險管理部門,風險承擔主體不明確,業務部門各自為政,互相推卸責任,缺乏有效的約束機制。這導致企業的風險管理建設緩慢,無法將風險管理水平上升到企業發展戰略的高度,如W公司通過改制、重組、合并等方式轉變法人治理結構,逐步建立現代企業制度的過程中,未引入全面風險管理的理念,未建立風險管理的組織架構去統一組織開展風險管理工作,生產、安全、采購、銷售等部門自行組織實施相關內容的風險管理,使整個公司的風險管理工作相對分散,體系未形成閉環,影響著企業風險管理工作質量和效率。
(五)內部審計的獨立性不強,審計監督機制不完善
內審部門在企業中所處的地位決定了企業內部審計機構的獨立性具有相對性和局限性。內審部門是企業眾多職能部門中的一個,既要通過審計對企業內部經營活動進行監督,又不能脫離企業實際利益以一個旁觀者的身份進行審計,所以審計的實施范圍受到限制,審計執行力度也大打折扣,如W公司的審計部最早是一個獨立部門,后機構改革與紀檢部門合并,成立了紀檢監察審計部,兩個監督部門合署辦公,又由紀檢領導審計,致使審計的職能弱化,影響審計的權威性。
(六)風險導向審計人才欠缺,現有內審人員專業勝任能力不強
風險導向審計對內審人員的業務素質要求較高,不僅要求內審人員擁有管理、營銷、財務和會計等多方面專業知識,而且要掌握戰略管理、經營分析、業績評價、信息系統技術等與公司運作相關的管理學知識,還要有較高的風險辨識、分析、評價能力和豐富的執業經驗。內審人員專業水平的高低和知識體系的完整性直接決定了職業判斷的水平,進而影響審計結果。企業現有內審人員的業務水平偏低,主要表現在計算機操作能力不夠,知識結構單一,風險意識不強,工作創新能力較差等方面。此外,風險導向審計模式下的實質性測試主要以分析性程序作為獲取審計證據的手段,內審人員需要根據企業的具體情況,運用分析性測試程序,尋求數據間的內在關系來構建模型,這也要求內審人員具有較高的業務能力。目前,企業內審人員大多不具備運用數理統計方法的能力,也影響到風險導向審計在更廣范圍內應用。在W公司中的內審人員多數為財務審計人員,工程審計人員數量較少,沒有生產、安全等其他方面的專業性人才,并且知識結構單一,知識層次更新緩慢,審計理念審計思路相對落后,專業能力不高,無法達到風險導向審計的業務要求,尤其在數據分析性程序測試、計算機應用等方面能力更為薄弱。所以按風險導向審計模式開展的項目,其審計實施效果無法達到審計目標的要求。
二、對策
(一)提高企業風險意識,完善風險管理組織構架
要開展企業風險導向審計,必須要求企業治理層、管理層要徹底轉變觀念、增強風險意識、把風險導向審計擺在重要位置,正確地處理風險與效益的關系,把企業長遠利益作為企業的根本目標,然后進一步完善內部控制制度的建設,完善風險管理組織架構,設立風險管理部門,明確風險承擔主體,形成由企業法定代表人直接負責的、系統的、全面的風險管理體系。W公司領導風險管理意識正逐步加強,已經成立由公司董事長任組長,總經理任副組長的內控與風險管理領導小組,對公司的風險管理工作開始進行規范化運作,這將為風險導向審計的開展奠定良好的環境基礎。
(二)進一步完善企業的內部控制體系建設
對于內部控制制度的健全,要從其設計、運行、評價、改進等環節加以完善,只有這樣才能不斷提高企業生產、經營、安全、會計等信息質量,降低審計檢查風險,推動風險導向審計的運用。完善內控體系建設還要建立權力制衡機制,明確股東會、董事會、監事會和經理的職責,使決策者、管理者和監督者各司其職、有效制衡,保證企業內部控制制度的有效實施。建立內部控制檢查考核和評價機制,使企業內部控制工作真正落到實處,收到實效。強化紀檢監察審計監督機制,充分發揮監督與服務功能,促使企業不斷完善內部控制建設。W公司合并成立后,以建設本質安全型企業為目標,以全面推進本質安全管理體系建設為主線,正在逐步完善和落實內控制度,提升公司整體管控水平。目前生產單位及生產部門已經制訂完成了《本安體系管理手冊》,它將作為內部控制的執行標準,為今后實施風險導向審計,評價內部控制的健全性和有效性提供依據。
(三)完善內部審計職能,做好風險評估工作
國際內部審計師協會對內部審計的定義為:內部審計是一種獨立、客觀的確認和咨詢活動,旨在增加價值和改善組織的運營,它通過應用系統的、規范的方法,評價并改善風險管理、控制和治理程序的效果,幫助組織實現其目標。所以內部審計的一個重要職責就是評價和改善企業風險管理,這就要求內部審計要將重點逐漸轉向事前監督,以風險管理為中心,主動發現并評估風險,改善企業管理,為企業的戰略目標服務。
內部審計通過監督、評價和分析管理風險和各項內部控制,復核并證實經濟信息的可靠性,經營活動的合規性,向董事會(或審計委員會)提出防范風險的管理策略。所以內部審計是公司治理結構中形成權力制衡機制并促使企業管控措施有效運行的重要手段,是公司治理過程中不可缺少的組成部分。因此,內審部門應當參與企業風險評估工作,協助管理層將企業風險管理上升到戰略發展高度,改進監控方式,抓住關鍵風險控制點,幫助公司建立健全風險預警機制。
(四)提升審計獨立性和審計地位
內部審計是風險管理體系中監控環節的重要組成部分,提升獨立性以加強監督職能勢在必行。審計的獨立性是指內審部門和人員不代替業務管理部門制定具體管理制度、操作流程,不直接參與各類業務項目的運營活動;內審部門不對各項營運活動和管理所產生的問題承擔直接責任,內審人員應當與被審計單位及主要負責人在經濟上沒有利害關系,內審人員與被審計單位主要負責人之間應當沒有倫理上的親密關系等。在組織機構的設置中,內審部門在隸屬關系上也相對獨立于其他職能部門,直接向董事會(或董事會下設的審計委員會)負責并報告工作。內部審計提升獨立性,在企業中處于相對超脫的地位參與企業風險管理,更能使內審部門從獨立、客觀、全局的角度來辨識、分析、評價企業風險,提出防范控制風險的建議。內審部門將風險管理評估的結果直接向董事會報告,也能夠強化企業對風險管理的重視程度。W公司為了提升內審的地位,加強內審的獨立性,進行了機構調整,將內審部門與紀檢部門分開。內審部門由董事長直接領導,向董事會負責并報告工作,負責人由原來的部門經理擔任改為公司副總師擔任,規格上升為公司副總師級,以適應現行工作的要求。
(五)加強信息技術在風險導向審計中的應用
要實施風險導向審計,企業內審部門必須充分利用企業中的各類信息庫,在平時就注意收集企業的相關資料,為日常監督和專門審計做好信息基礎。還可以通過監督企業組織的各項業務活動,充分了解企業市場供求與競爭狀況、生產經營變化狀況,生產經營關鍵指標與統計數據、企業開展重大經營活動事項的過程等,形成審計基礎數據,記錄于專門的審計數據資料庫中。此外,還應進一步強化網絡信息系統建設,在生產單位、業務部門、審計機構等單位之間聯網,實現資源共享,開發審計軟件,建立審計模型,來支持風險導向審計的開展。到2010年W公司已經建立并運行了《OA辦公自動化系統》《安全生產信息管理系統》《經營管理系統》《費用控制系統》等8個信息管理系統,初步實現無紙化辦公和信息資料共享,有利于審計工作的信息采集。
(六)加強培訓,提高審計人員專業水平
風險導向審計的目標就是集中評價和改善被審計單位的風險管理,同時降低自身的審計風險,這就要求內審人員提高專業水平,增強綜合業務素質,具備較強的發現風險、識別風險的能力。所以要對內審人員進行定期職業培訓和后續教育,把企業的生產經營特點、經營戰略、經營環境相關的背景知識作為培訓的主要內容之一,強化內審人員的風險意識。并在培訓中開設管理咨詢、營銷、統計、計算機技術等課程,注重學習在風險評估與分析性復核程序中分析方法的運用,提高內審人員統計分析能力,增強內審人員在審計風險評估和控制評價方面的職業判斷能力,使其保持應有的職業謹慎態度,獨立客觀公正執行審計業務,降低審計風險。
總之,風險導向審計作為內部審計新的發展形態,是要建立“以風險為導向,以控制為主線,以治理為目標”的審計新模式,要實現這一模式,企業必須從認識上、組織上、人員上、技術上一一解決相應的難點,內部審計才能做到對企業環境和經營活動進行全面分析,開展風險評估,量化風險水平,制定審計策略,運用審計風險模型,采取分析性程序,評價并改善企業風險管理和內部控制,達到有效管控的目的。
參考文獻:
[1] 秦榮生.內部控制與審計[M].中信出版社,2008.
[2] 張立萍.淺析現代風險管理環境下的風險導向審計[J].中國內部審計,2009(4):36-39.
[3] 張力.風險導向審計中經營風險計量程序及實施困難[J].會計師,2009(4):59-60.
[4] 張愛紅.試論企業風險管理與風險導向審計[J].中國內部審計,2009(12):38-41.
[5] 李國有.審計測試[M].中國時代經濟出版社,2006.
[6] 廖文凱.風險導向審計在實際應用中存在的問題[DB/OL]. http://www.chinaacc.com/new/287_289_/2009_12_29_ch35693752329221900222857.shtml.
[7] 胡春元.風險導向審計[M].東北財經大學出版社,2009.
作者:韓海青
