第三章文献综述
在管理学科诞生以前,内部审计一直处于长期模糊、分散的萌芽状态。直到20世纪初弗雷德里克 泰勒(Frederick W.Taylor)提出了体系完整的科学管理理论,传统意义上的内部审计才开始逐渐被新型的内部审计制度所替代,从萌芽状态转变为以财务为导向的发展阶段。由于近代内部审计是基于管理的需要而产生的,因此随着管理理论与实践的逐步发展和跨越,内部审计的重心与框架也在不断前进和变化。
进入20世纪50年代后,在内部审计师协会(IIA)成立的基础之上,内部审计的职能和范围得以扩大,业界开始关注管理活动并将科学管理理论提出的效率至上以及一般管理理论提出的管理控制要素为核心,将内部审计重点从财务贱簿转向了业务活动和管理控制。1968年,IIA进行了一项调查,显示内部审计事务已经开始涉及采购、广告、生产、组织控制等业务领域,且有超过70%的受访公司表示其内部审计重点是财务与业务审计二者合一,即表明了以业务为导向的内部审计阶段已全面展开。也几乎是在这一阶段的同时,美国管理学家赫伯特 西蒙(H.A. Simon)建立了决策理论学派,决策也逐渐开始成为管理中的核心因素,由此导致内部审计的专注点从低层次的业务开始向高层次的决策而转变。20世纪70年代开始,内部审计进入了以管理为导向的新阶段。
20世纪90年代开始,人类社会开始进入信息时代和知识经济,管理理论和实践也随之发生了更为丰富的变化,全面质量管理理论、战略管理理论等都有了新的演进,公司治理和内部控制的研究也进入了比较成熟的阶段。在这种大环境因素的影响和作用下,内部审计理论与实践也同样孕育着新变革,从管理导向走向了以风险为导向的内部审计 。从IIA内部审计职责说明书(SRIA)以及内部审计准则中对内部审计对象的描述上,我们可以很清楚的看到这一完整的演变过程,见表3.1。
本章将对风险导向的内部审计研究进行文献综述,对国内外已有的相关理论研究成果进行综合回顾,并力争在此基础上对已有文献做出评价。
3.1国外内部审计研究述评
从90年代后半期开始,麦克宁(McNamee)和塞林(Selim)等学者开始致力于研究风险导向内部审计,并提出了许多新观点。如图2.1所示,与传动内部审计相比,风险导向的内部审计体现出了一种相反的思路。
麦克宁(1997)认为,传统内部审计的模式为从右到左,即首先测试内部控制的有效性,然后实现最终的防范舞弊等目标。风险管理在这一过程中只用来反应控制的力度,判断其是否健全或薄弱。这种传统模式会将内部审计的所有关注点置于细节之中,并且以建议管理层调整控制方法或控制力度为结果。而这就会使企业在长期中处于不断处理关于控制的麻烦之中,尤其是随着时间的推移,需要管理者关注的控制内容越来越多,越来越复杂,内部审计的业务就会越来越繁琐,甚至可能会出现内部审计程序严重干扰正常业务运营的状况。
而以风险为导向的内部审计模式路线是从左到右,即从企业的整体目标开始入手,继而分析这类目标会在何种方面产生何种风险,由此确定企业在审计活动中需要关注的重点,然后为管理层提供关于需要控制哪些关键环节来降低和减少风险的建议。在这一模式下,内部审计人员关注的并非企业是否遵循了各种关于控制的需求,而是为了实现最终目标所产生的风险能否得到有效控制盒管理。这就可以使企业直接面对在其生产经营过程中的主要风险,而不是纠缠于繁复的管理控制细节。这一逻辑对管理层而言是非常有价值的,从而也就使内部审计成为了企业价值链中的重要环节。
1999年6月,IIA经过几年的调研之后,通过了以风险控制为导向的内部审计新定义。如前文所述,IIA将风险定义为可能对目标的实现产生影响的事件发生的不确定性,并指出风险的衡量标准是后果与可能性。 之后,2002年,英国风险管理协会(IRM)、保险和风险管理师协会(AIRMIC)以及公共部门风险管理协会(ALARM)共同发布了风险管理标准,釆纳了国际标准化组织对风险做出的定义:风险是事件及其后果的可能性的组合,既关注积极面,也关注消极面。在确定了风险导向内部审计新定义的同时,IIA也明确了内部审计职业实务标准框架的内容并于2002年1月1日正式实施。这一实务标准框架如图2.2所示。
鉴于内部控制与内部审计关系密切,在风险导向阶段,内部审计对企业内部控制的作用也发生了新的变化,而这也成为了国外学者与实务人员关注研究的重点。首先是关于内部控制的演变过程,由五千年前的内部牵制阶段到20世纪初的内部控制制度阶段(19 年AICPA颁布《独立公共会计师对财务报表的审查》),再到20世纪中期的内部控制制度两分法阶段以及20世纪80年代的内部控制结构阶段(1988年AICPA发布55号审计准则公告),另外1992年美国的COSO委员会对内部控制提出了新定义而进入到内部控制整体架构的阶段,直到2004年COSO开始实施最新的企业风险管理框架(ERM)。
COSO委员会对ERM的定义是“一个在战略决策和整个企业中贯穿实施的过程,用于识别影响企业的潜在事件,将风险控制在企业风险偏好的范围内,并为企业目标的实现提供合理的保证。这些过程受到企业的董事会、管理层和其他人员的影响。” ERM包括八个要素:内部环境、目标设定、事件识别、风险评估、风险回应、控制活动、监督及信息与沟通,其中内部审计便是重要的监督内容。
3.2国内内部审计研究述评
我国内部审计职业化起步较晚,理论及实务研究水平较国际相比还有一定差距。但目前也已有不少学者与实业人士开始有意识、有重点地对这一课题进行研究,并结合我国理论与实践发展的实际得到了自己的研究成果。
关于风险导向内部审计的概念界定,李曼(2010)等人认为,这是指内部审计人员在内部审计的过程中,自始至终都要关注风险,其选择审计项目的依据便是风险,并对风险进行识别和管理。需要明确的是,这里所说的风险并不仅仅是审计风险,而应当是包括企业或组织在运营中所可能产生的方方面面的风险。 这一界定理解与IIA关于风险的定义是基本趋同的。
而关于实施风险导向内部审计的必要性方面,李俊林(2010)认为主要有两方面因素。一是随2004年COSO正式发布了 ERM框架之后,我国也于2006年由国务院国有资产管理委员会发布了《中央企业全面风险指引》。因此,全面风险管理的理念对整个企业及其内部的职能部门都提出了更高的要求。第二个因素是,由于传统内部审计的固有缺陷,国内的企业已开始不再持续重视其在企业运营中发挥的作用,而逐渐削减内部审计相关的机构和部门。若要使内部审计摆脱这一困境,就必须实施风险导向的内部审计。②谌小红与刘正军(2009)就传统内部审计与风险导向内部审计进行了对比分析。他们认为在传统模式下,内审部门在结束审计工作后,将问题与改进意见报告给相应的部门便是审计工作的结束,而风险导向的内部审计不同,这一新模式更注重的是产生问题的责任中心,以及这一责任中心所彰显出的影响昧来发展的问题。因此,在实际内部审计过程中,以风险为导向的内审主体便会对这类问题投入较多的审计资源,在部门独立的前提下,在证实并评价有关信息的基础上能够做出恰当的结论,并提出切实可行的建议。另外,由于风险导向内部审计与以往各阶段的内部审计相比,对审计人员的胜任素质要求都不同,他们也特别提出了风险导向内部审计对内审人员胜任素质的要求。③在风险导向内部审计的目的与实质研究方面,唐振达(2009)认为这一模式下的内部审计目标在于企业管理信息系统。由于这种内部审计的基石在于,经济体系是一个结构复杂的信息系统,而企业则是这个信息系统中的微观组成部分,也在时刻受其他部分的影响,那么为了把握企业在财务活动背后的真实目的,就必须从战略和系统的高度全面审视企业活动的各个方面。同时他还认为,风险导向的审计实质其实是一种舞弊审计,即主要通过企业财务报表和环境分析,来发现舞弾的预警信号,再由这一预警信号对企业的管理舞弊风险进行评估和管理。
他认为,企业舞弊事件的出现并非偶然,而是特定条件下多种因素共同作用的结果,是特定的舞弊行为生成机制所引发的。因此需要内部审计人员充分履行自己的专业分析能力,透过表象看本质,通过一系列的资料搜集和风险分析识别风险点然后实施个性化的测试方案,运用合理的职业怀疑和执业能力,由此才能发觉能够起到有效作用的“预警信号”。
中国内部审计协会在2004年提出了企事业审位中风险管理、管理决策与内部审计职能的关系,将国际内部审计师协会内部审计职能的定义落实转化为符合我国国情的理论阐述,如图2.3所示。
此外,在风险导向内部审计的实证研究方面,国内理论界普遍认为为了推行这一模式下的内部审计工作,就应该用理论理念来指导企业从计划内部审计的编制到内部审计的流程报告撰写等完整工作流程。为此,黄德华通过具体研究中国电信集团,剖析企业所面临的各类风险,说明要对风险进行完整的识别之后应当如何充分意识到内部审计在风险控制中可以发挥的作用,并根据企业实际状态提出了为适应企业战略转型的需要,相关职能部门有必要抓住风险管理内部审计的发展机遇,并改进审计方法与手段。他还认为,内部审计人员需要建立科学的风险评价指标与指标体系,包括评价指标、评价方法、评价内容等方面。从风险管理活动设计、执行的有效性、风险责任人报告的有效性、报告信息的完整性、信息传递的及时性和风险控制领域的完整性等几个方面对企业的风险管理进行审计。
3.3小结
从以上国内外研究评述中可以看出,我国内部审计的国际化进程越来越快,而且许多大规模的企业也逐渐脱离了原有的监督角色,转向助力企业完善治理程序、识别并预防风险,正式转向风险导向的内部审计模式,但就目前实际情况来讲,由于我国内部审计起步较晚,实行了内部审计模式转型的多数企业仍会感到无所适从。从理论研究来看,我国目前对这方面的研究较少,内容也与实践较为脱节,致使内部审计人员不知如何才能真正帮助企业控制风险,实现增加价值。
但随着对内部控制以及内部审计研究的深入,风险导向模式下内部审计必将发挥更大的作用,其理论也会得到越发的完善。