易被混淆的两个内部审计概念
2009-05-14陈迎春
陈迎春
随着内部审计事业的发展,“风险”这个名词越来越受到内审人员的关注,但无论是风险导向审计还是风险管理审计,对于内审人员来说都是比较新的理念和方法,所以正确的区分理解这两个概念对于内审人员较好地利用风险导向审计方法以及履行风险管理审计职能是十分有利的,本文就主要针对这两个概念的内涵与应用进行简要的辨析。
一风险导向审计是一种审计方法
风险导向审计是在实施内部审计活动时,审计人员将对审计风险的识别、分析和评估作为确定审计重点和范围着手点的一种审计方法。它主要是相对“账项导向”审计与“制度导向”审计而言的,他的出现反映了审计方法的进步。
(一)审计方法的演变过程
20世纪30年代以前,经济业务比较简单,账项导向审计盛行,20世纪30年代中期,随着企业规模的扩大、经济业务量的不断上升,制度导向审计取而代之;进入20世纪90年代,社会公众对信息的需求不断扩大,风险导向审计就应运而生。
(二)风险导向审计的基本思想与核心技术
风险导向审计的基本思想是内部审计人员通过综合分析各风险因素之后订立所能接受的风险水平,然后以此确定内部审计测试的性质、时间和范围。他的核心技术方法是内部审计风险模型的建立与运用。
内部审计准则指出内部审计风险模型的构成方式为:
内部审计风险=重大差异或缺陷风险×检查风险
(三)风险导向审计模型的应用
1确定内部审计人员对既定被审计对象可以接受的审计风险水平
可接受审计风险的典型评价可以是高、中或低,而将可接受的审计风险评价为较低就意味着被审计对象的风险很高,需要更加广泛的证据,委派更加有经验的人员以及对工作底稿更加广泛的复核。同时在内部审计进行的过程中,随着获取有关被审计对象的信息越多,内部审计人员对可接受审计风险的评价也要随之进行修订。
2评估重大差异或缺陷风险
内部审计人员通过考虑对重大差异或缺陷风险产生影响的各方面事项实现对该风险的评估,为此实施的具体审计程序包括:询问被审计单位的相关人员及组织的相关管理层,查阅被审计单位的经营业务手册、内部控制手册等资料,查阅被审计单位经营活动及内部控制的执行情况。
3根据内部审计风险模型计算检查风险并据以确定进一步的审计测试程序
内部审计人员适当地确定了其可接受的审计风险,并对客观存在的重大差异或缺陷风险进行了评估,至此在内部审计风险模型中,审计风险和重大差异或缺陷风险都成为已知的风险,据此内部审计风险模型就可以变为以下形式:
检查风险=审计风险/重大差异或缺陷风险
内部审计人员的检查风险与以下因素有关:抽样审计方法的应用;内部审计人员的专业胜任能力及职业道德水准,内部审计人员所用审计方法的适当性及有效性。
由此可见,检查风险是直接与内部审计人员的检查相关的风险,包括检查的方法,时间和范围等,所以据此确定适当的内部审计程序,以及实施的时间和范围。
二风险管理审计是一种审计职能
风险管理审计是内部审计部门对组织内各级管理部门在企业风险管理过程中职责的履行情况进行的审查和评价,目的在于揭示企业的各种风险因素,降低和防范各种风险,协助企业决策者和管理层达到预期的经营目标。它主要是相对监督、评价职能而言。
(一)审计职能的演变过程
在内部审计产生和发展早期,以查错防弊为主的监督职能是其主要职能,随着市场竞争的日益激烈,加强内部控制、改善经营管理、提高经济效益成为企业生存发展的必需,内部审计的评价职能就变得突出起来一21世纪以来,风险成为企业经营活动中不可忽视的因素,风险管理审计成为企业全面风险管理工作中关键的一道防线。
(二)中央企业全面风险管理简要介绍
2006年6月6日国资委正式印发《中央企业全面风险管理指引》,其中明确要求中央企业要重视和开展全面风险管理、明确什么是全面风险管理和企业如何开展全面风险管理工作。
《指引》指出内部审计部门、风险管理专职部门与企业其他职能部门构成企业全面风险管理的三道防线,而内部审计部门职责是负责研究提出全面风险管理监督评价体系,制定监督评价相关制度,开展监督与评价,出具监督评价审计报告。
(三)风险管理审计的程序和方法
1对风险识别过程的审查与评价
内部审计人员应当实施必要的审计程序,对风险识别过程进行审查与评价。例如可以向管理层及相关人员询问该管理层所面临的风险状况,审查管理层在识别和评价风险时所形成的书面文件,评价管理层针对风险所采取的管理措施是否有效等。
2对风险评估过程的审查与评价
内部审计人员应当实施必要的审计程序,对风险评估过程进行审查与评价,在采用定性与定量的方法评价风险评估方法的适当性和有效性时,应当遵循以下原则:定性方法的采用需要充分考虑相关部门或人员的意见,以提高评估的客观性;在风险难以量化、定量评价所需数据难以获取时,一般应采用定性方法。
3对风险应对措施的审查与评价
内部审计人员应当实施适当的审计程序,对风险应对措施进行审查。在评价风险应对措施的适当性和有效性时,应当考虑以下因素:采取风险应对措施之后的剩余风险水平是否在组织可以接受的范围之内;采取的风险应对措施是否适合本组织的经营、管理特点,③效益的考核与衡量,风险应对措施达到最佳效果并不是最好的措施,能够达到满意效果且成本又最低的措施才是最好的措施。
4风险管理审计报告
在对管理部门采用的风险识别、评估过程和应对措施进行审查和评价之后,内部审计人员应该向组织的适当管理层报告审查和评价风险管理过程的结果,并提出改进建议。
综上可见,风险导向审计与风险管理审计的性质不同。前者是一种审计方法,后者是一种审计职能,两者的共同之处在于对风险的识别、分析和评价都是重要的工作内容,但两者对风险的关注目的和重点是完全不同的。在风险导向审计中,对风险的考虑是为了借此确定进一步审计的重点、范围和方法,而在风险管理审计中,对风险的考虑是为了评价管理部门风险管理责任的履行情况。