風險導向內部審計是指以被審計單位的風險評估為基礎,綜合分析評審影響被審計單位經濟活動的各因素,并根據量化風險水平確定實施審計的范圍和重點,進而進行實質性審查的一種審計方法。國際上對風險導向內部審計領域研究起步較早,2003年,我國內部審計協會發布了第一批內部審計準則,邁出了我國內部審計職業化的步伐。近年來風險導向審計在我國得到了快速發展。結合實務中積累的經驗和國際優秀企業做法,筆者認為內部審計工作流程應以風險因素為中心點向外輻射,將風險導向滲透到內部審計準備、實施、終結和后續審計四個環節(如圖1所示)。
一、 內部審計準備環節
圖1以規劃審計計劃為起點,先考慮審計范圍是否符合企業風險管理目標。企業風險管理受運營環境等各種風險因素的影響,而這些風險因素會相互疊加放大或抵銷減少,因此,內部審計不能僅從某項業務、某個部門的角度考慮風險,應在審計范圍中考慮吸收企業風險管理目標的成分,確定范圍后進行年度風險識別,在確定關鍵風險領域的基礎上建立審計計劃,使內部審計計劃的制定緊密結合企業風險管理目標。由于內部審計資源有限,一定時間內,內部審計活動應突出重點。根據企業管理需要選擇被審計對象、業務種類,在關注和評估風險及風險暴露優先次序的基礎上利用金額的重要性、資產流動性、管理能力、內部控制的質量、變化或穩定程度等風險因素確定業務工作重點、安排審計工作,制定計劃以確定審計日程表及審計所需資源。
二、 內部審計實施環節
風險導向內部審計在實施環節必須選擇適當的審計方法。傳統內部審計在開展審計業務時往往從直接測試內部控制入手,而風險導向內部審計應關注各項風險因素是否得到適當管理,同時在實施審計時,通過舞弊評估、有針對性的調查、運用適當的檢測和證實風險的技術與方法來降低企業風險,如Oracle公司,其內部審計人員將風險與企業目標直接掛鉤,審計實施環節充分利用Excel和ACL數據分析軟件、公司全球最佳實務數據庫等審計工具和資源,運用面談和調查問卷、交易合規性測試、數據分析及趨勢、溝通審計發現等多種審計方法,實現內部審計專項調查和日常檢查,為公司治理層及管理層提供服務。我國江鈴汽車股份有限公司按照風險大小確定審計重點,對于高風險環節,非常注重在內部控制與經營效率間找到平衡點,采用更嚴密的程序和更嚴格的手段,將人力物力資源盡可能分配到風險大的事件或環節上。
三、 終結審計和后續審計
風險導向內部審計不僅意味著在企業計劃中體現對未來的預先考慮,還體現在終結審計和后續審計中。在這兩個環節,企業將完成現場審計并出具審計報告。審計報告應簡潔明了,并關注各項風險因素的披露和審計建議執行力度。對此,國際通用做法有兩點:1.跟蹤管理層對審計發現問題的整改情況。現場審計結束后,一般會有客戶滿意度調查,征求被審計方的意見,主要目的是推動內部審計結果的執行,以及為企業增加價值。2.后續審計在確定合適的后續程序時,首席審計執行官應充分考慮報告中的審計發現和建議所涉及的風險,考慮實施糾正措施的困難程度和時間安排等,并以此為依據安排后續工作,對于糾正措施失敗后仍未消除的風險因素則將其納入重新制訂審計業務計劃時應考慮的風險因素之中。
總之,鑒于風險的客觀性,在實現增值目標、進行戰略規劃及經營計劃等決策過程中,以企業目標及風險為出發點判斷審計重點的理念顯然更加符合企業需要,風險導向內部審計能夠改變內部審計人員對于控制與風險的思考,促使其根據企業風險調整審計計劃,確定審計重點,使內部審計人員對于企業所面臨的風險予以關注,以提供更相關、更符合管理需要的信息。
