第 3 章 中型企业风险导向内部审计的界定及应用
通过以上的讨论,因为风险导向内部审计要以公司治理、风险管理、内部控制为依托,所以对风险导向内部审计实施主体提出了要求,国内大中型风险导向内部审计的界定从这个角度出发,以下三个方面进行探讨,为全新的大中型企业的风险导向内部审计含义进行了界定。而后主要介绍了大中型企业风险导向内部审计的应用,分别总结归纳出大中型企业风险导向内部审计的应用动因、应用条件、应用目标及应用的程序。为大中型企业实施风险导向内部审计构建完整的应用,增强大中型企业的竞争力,保障大中型企业可持续地发展。
3.1 大中型企业风险导向内部审计的界定。
3.1.1 大中型企业的界定。
大中型企业的划分依据国家统计局的企业划分办法,根据不同行业的特点,分别从员工人数、销售额及资产总额三个角度进行划分。
从上表可以看出大中企业的企业职工人数、营业收入及资产总额需要达到某一标准才可以归为大中型企业的行列中,因此与小微企业相比,公司规模要大,经营的业务范围较大,面临的风险也将复杂多变。
3.1.2 大中型企业风险导向内部审计与小型企业内部审计比较。
小型企业的内部审计主要的工作是针对企业的资产和现金流方面的,保障它们的安全和完整,只是从财务的角度出发,预测和防范风险。在小企业中,因审计资源、企业管理等方面的限制因素,使内部审计并不能发挥很好的作用,而且企业的领导对内部审计的认识存在严重的不足,导致审计独立性的缺失,往往把内部审计认为仅仅是查账的工具,甚至会将内部审计列入在财务机构中,导致财务审计二合一的不利局面,这样做法的结果就是把内部审计当作摆设,无法监管财务部门,在公司的地位不高,权限受限使得在企业中处于被人忽视的地位。另外,内部审计人员的素质不高,这也是由于企业和管理者的重视程度不够导致的,内部审计人员一般都是企业财务部门出身,没有审计方面的专业知识和实操经验,不具备胜任能力,影响了内部审计的效果和权威。也由于部门处于不受重视的地位原因,审计人员的人际关系会出现困难,对工作严重缺乏信心,导致审计工作难以展开。因此,本文观点是风险导向内部审计应在大中型企业中提倡,审计资源匮乏的小型企业不具备很好的风险管理机制,内部控制也不够完善、公司治理结构也存在诸多部合理的地方,这样的企业是不应当运用风险导向内部审计的,如果大力推行这种审计,起不到很好的审计效果不说,也会劳民伤财浪费企业的时间和精力。
一般小型企业甚至有的大中型企业还在实施账项导向的内部审计,账项导向内部审计工作仅仅是审计被审计单位的账务,检查是否有财务舞弊,只是重视账户的正确性,而忽视企业的内部控制和风险管理情况。账项导向内部审计的不足之处存在以下几点。忽视审计目的与审计方法的联系,出现审计过度和审计过轻的情况;易造成重局部而轻大局的局面;对审计对象没有进行充分的分析。大中型企业风险导向内部审计会站在公司治理层面将审计方法与企业的目的紧紧相连,排序、甄选审计对象,合理有效的分配审计资源。这样就规避了账项导向内部审计的不足。
3.1.3 大中型企业风险导向内部审计与风险导向外部审计比较。
风险导向外部审计概念源于会计事务所对企业的财务报表进行审计,事务所对被审计的单位进行风险评价和综合分析影响经营活动的因素,然后量化风险的水平,最后确定审计对象,再进行实质性审查。这种审计的方式有助于实务所提高审计的效率,规避审计诉讼的产生。可见,外部审计的客体是审计风险,主体是事务所。而大中型企业风险导向内部审计的客体是企业风险,主体是企业的审计人员。与审计风险相比,企业风险更加宽泛,有可能影响公司经营目标、公司战略和环境。
因此通过上述三个角度的对比分析,大中型企业风险导向内部审计是指大中型企业在具备完善的风险管理机制,良好的内部控制体系及公司治理结构的情况下,内部审计人员关注企业风险和企业目标,通过风险评估编制审计计划,审计的内容应当包括各种风险因素,这些因素可能关系到企业的发展和企业的运营管理,最终为管理、防范风险而服务,帮助企业实现增值。
3.2 大中型企业应用风险导向内部审计的动因。
大中型企业在构建内部审计发展时,风险导向内部审计是达成企业战略目标的很重要手段。内部审计的发展要适应企业的经营发展,企业风险越多,在企业中风险管理的作用也越来越大,风险管理作为实施内部审计的基础,摒弃传统被动的审计模式,主动地进行风险导向内部审计,并利用风险管理的结果,来合理地分配内部审计资源,实施有效的评价,最终提出合理化的审计建议,得出有质量有内容的审计报告,同时大中型企业风险导向内部审计也是公司治理的重要内容,有助于企业规范化管理。
3.3 大中型企业应用风险导向内部审计的条件。
首先要分析风险导向内部审计与公司治理、风险管理、内部控制的关系。风险管理离不开风险导向的内部审计。内部审计需要做到监督风险、控制风险、检验风险、评价程序、报告实施情况等内容,为风险管理的实施提供帮助。企业面临的风险越是复杂就会产生可怕的连锁反映,一个部门的过失就会连累到另一个部门的运作,甚至导致企业陷入经营的困境,导致经营失败,而内部审计则可以发挥自己的作用解决这样的问题,内部审计人员可以及时地从业务活动中甄别出风险,并且能够做出防控风险的措施,提出解决问题的方案。风险导向内部审计是以企业的风险管理为中心,检测、发现、控制企业在经营中可能遇见的风险,并在事后评价风险管理是否有效,评价已经实施的策略是否符合企业的发展方向。
风险导向内部审计能满足风险管理,还能在风险管理机制的完善和风险管理机制的改进方面提供有效的帮助,这样内外部环境的变化在企业的掌控之下,对企业的发展很有好处。
内部审计离不开风险管理。传统的内部审计是通过直接检测的方法评估内部控制是否合理,是否有效,发现内部控制的欠缺之处,传统的内部审计往往会设置很多的控制点和环节,认为这样就能够弥补内部控制的欠缺之处,加强管理薄弱的环节,达到查错防弊的作用,可是内部控制点的增多势必会使公司面临众多的业务流程,拖慢程序的运行速度,工作效率会大大降低甚至导致无用功情况的出现。而全新的审计理念--风险导向内部审计则会提供工作效率达到企业目标的实现,因为风险导向内部审计在设置关注点时是在公司治理的结构框架下进行的,关注到的是企业在经营过程中可能将面临的风险,首先预设风险的评估标准,甄选每一个审计对象,确保审计内容是重要的,对企业发展有重要的影响,风险导向内部审计重心就是事前和事中,为企业管理者提供新的企业管理思路。
风险导向内部审计将公司治理、风险管理、内部控制三者有机融地结合在一起。在风险导向的内部审计下,内部控制可以完善风险管理。随着外部市场环境的变化和企业自身发展的需要,内部控制也在进行着自身的进化,内审在内部控制有效的前提下进行审计的,因此针对内部控制存在不足,指出内部审计可以起到二次控制的作用。综上所述,将三者糅合在一起的风险导向内部审计不仅仅提高了自身的审计效率,而且也为公司的有效运行建立了良好的机制。
大中型企业风险导向内部审计的应用需要完善的风险管理机制和健全的内部控制机制,内部审计资源也得非常丰富。而且大中型企业或者上市公司需要重视风险管理,保障利益相关者的权益,开展风险导向内部审计是有必要性的也是有可行性的。反观之,很多小型企业并不具备完善的内部控制体系,审计资源和条件都不充足,而且由于公司规模小,层级简单,所以管理问题相对简单,小型企业应放弃建设风险导向内部审计,要循序渐进,先构建合理的内部审计,再逐步迈向风险导向内部审计阶段。
3.4 大中型企业应用风险导向内部审计的目标。
3.4.1 提高公司治理水平。
大中型企业以风险为导向审计时突出的重点就是站在公司治理的视角,改进公司治理的结构,提高公司治理水平。现代企业的经营风险越来越复杂,公司治理的结构也多种多样并在不断地改变中,这就会增加管理者对公司风险分析的难度,大中型企业风险导向内部审计将内部审计与风险管理相结合,以内部控制评价为主,确定内部控制体系的有效性,防止企业未能及时防控风险而遭受损失,同时也有利于内部审计会得到高层管理者的关注,内审在公司中的地位得到大大的提升,内部审计的意见也更加具有权威性,其监督评价的职能得到了更好的发挥,内部审计的良好运用则会优化公司治理的结构。
3.4.2 完善风险管理体制。
风险导向内部审计能够完善内部控制体制,通过评价内控可以发现重大和潜在的风险,提供可实施的对策,进而达到了防控风险、管理风险的目标。内部审计人员确保评估每一项经济业务运行中可能遇见的风险,并为每一项风险制定可行的控制措施,加强风险的研究,完善风险监控机制,防御风险,将风险消灭,帮助企业实现经营目标。风险导向内部审计需要指定完善的监督评价风险的体系和完整的风险管理对策,总结风险防控措施的有效性,整改管理的缺陷。
3.4.3 降低审计风险。
大中型企业风险导向内部审计是重在确定内部审计的战略,结合被审计单位内外部的因素,为审计对象量身定做审计计划。确定高风险领域和审计重点,分配审计资源,提高审计效率,降低审计风险,提升审计质量。大中型企业运用风险导向内部审计的方法和程序有效的改进内部控制体系,提高经营管理水平,减少企业经营风险3.4.4 提高内部审计人员素质。
一方面实施风险导向内部审计可以提升内部审计人员的风险意识,从观念上加强了防控风险的必要性,减少内部审计人员失职的可能性;另一方面,大中型企业开展风险导向内部审计就会加强审计人员的学习和经验的积累,内部审计人员不仅仅需要拥有财务知识,也需要金融、市场、管理、经营、投资等方面的知识,同时还应该具备更高的职业操守。只有这样的审计人员组成的审计精锐力量才能有效地开展风险导向内部审计。
3.5 大中型企业应用风险导向内部审计的程序。
3.5.1 建立全面的风险数据库。
预测并识别风险是大中型企业实施风险导向内部审计的首要工作,也是难度较大的工作,可以凭借着以往审计工作的资料、风险管理及内部控制的成果来构建数据库,数据库应该是多层次的,是风险存储的中心,也是开展风险分析、找出应对措施和实时监控风险的数据库中心,它应该包含风险的界定,风险的类别,评估的指标、事件发生的概率、发生频率和事件影响力的大小等内容,辅助审计人员了解企业情况。
3.5.2 编制内部审计计划。
风险导向内部审计在大中型企业实施中以风险控制为核心,提高企业管理和防控风险,在审计计划中一定要反映风险管理的需要,充分使用风险管理的结果,编制年度审计计划,将有限的审计资源使用在高风险领域。与此同时,审计计划需得到管理者的批准,如果实施过程中有变化的地方,也需要上报批阅。
3.5.3 编制审计实施方案。
大中型企业制定风险导向内部审计实施方案时,首先,要确定审计目标,审计的目标应该结合公司经营目标;其次,要明确审计内容,结合风险管理的情况和内部控制的评估情况确定内部审计的工作内容;再次,确定审计的重点,通过风险评估的结果确定审计的重要内容;最后,指定审计程序,根据风险评估的结果和业务的重要程度设计审计程序。许多大型企业的审计业务领域集中在生产、采购、销售、境外业务、财务管理等领域,应扩展到企业面临的各种风险,并且提高内部审计的重视程度,加强风险管理效果。
3.5.4 具体审计实施。
审计方案得到管理层的批准后,内审人员就可以根据审计方案进行审计了,以审计目标为中心,利用多样的审计方法,如通过函证,抽样,观察,分析等方式得到审计证据,而后进行控制测试及实质性测试。具体实施过程应利用内部审计是公司内部成员部门的特有优势,掌握更多的审计信息和资料,再对被审计对象进行科学合理地分析,分析辨别企业的风险,运用专业能力及个人能力做出准确地判断,确定实质性测试的内容,并对关键点的内控情况做出评价。内部审计人员也需要对剩余风险评估,利用定性和定量方法确定剩余风险是否在可接受范围内。
3.5.5 审计报告阶段。
审计报告应该围绕着审计中发现的不合规的项目及潜在的风险进行陈述,对某些业务和某一控制点的内部控制提出合理化的对策,以报告的形式呈现给管理者,同时也需要向风险管理部门反馈审计结果,加强风险管理部门对风险的管控,完善风险管理机制的建设。在情况紧急的时候,可以提交中期报告,防范风险带来的损失。
3.5.6 后续审计阶段。
后续审计是审计中重要的一个部分,后续审计阶段在大中型企业的审计中起到的是监督的作用,检查被审计单位是否做好防控风险,是否将审计意见实施并落到实处。内部审计人员发出审计报告不是最终目的,还要检查审计报告中的审计建议是否得到充分地执行,对于重大风险是否已经得到了有效地防控及防控效果如何。同时,风险是瞬息万变,变化多端的,因此内部审计人员也应该紧密关注审计方案是否适应当前的风险,一旦风险发生改变,那么审计方案就需要整改,或者可能需要扩大审计范围。后续审计结束后也需要内部审计人员向管理层递交审计报告。