甘肃省内部审计师协会 李卫中
企业要想在错综复杂的环境下谋求生存与发展,就必须顺应国际审计理论与实务发展的潮流,企业内部审计应积极介入现代风险导向审计理论的研究,充分借鉴其先进的审计理念、技术和方法,并在审计的实践中加以应用。因此,企业内部审计机构开展风险导向审计,应将现代风险导向审计理论贯穿到审计的各个环节和重点领域,特别要从以下十个方面关注并做好工作:
一、充分了解基本情况
充分了解情况是企业内部审计做好工作的前提与基础。现代风险导向审计需要掌握更广泛、更丰富的信息,内部审计人员在实施审计前,首先要了解被审计单位的发展战略、经营目标、经营环境、业务流程和相关经营风险等内部情况,还要了解相关的宏观经济政策、行业状况、监管环境等外部环境;其次要通过实地观察、询问、分析和判断等恰当的方法,从宏观上把握企业面临的各种风险;最后通过向企业的决策层、管理层和高管人员、业务主管等关键部门的人员了解、测试和确认企业对影响其战略目标、经营活动的风险敏感程度,以及为降低风险所采取的措施。
二、全面识别和评估风险
风险评估是企业开展现代风险导向审计的起点。内部审计人员应在风险环境中观察其业务过程,全面识别和评估风险,用风险标准来确定审计项目,并根据风险评估结果确定审计重点。识别和评估风险时,首先要评价风险识别的充分性,通过审核企业自身具有的优势、面临的机遇和挑战,对企业正面临的和潜在的各种风险进行判断、归类和评估,分析各种风险的类别、规模、可能性及其影响程度,并对原有已识别的风险是否充分进行评价,努力寻找未被识别的风险;其次要评价风险评估的恰当性,对已有的风险衡量结果进行再检验,估计风险的大小,找出主要的风险源,根据现有的管理水平、掌控能力和技术手段等,确定风险的可控程度,并提出恰当的应对措施;最后要评价风险控制的有效性,对企业针对风险及其发展变化情况所采取的措施进行检查,评估这些措施是否充分得当。
三、制定审计项目计划
审计计划与企业的风险战略结合在一起是现代风险导向审计的基本要求。内部审计机构应在识别和评估各种风险的基础上,编制符合企业发展战略需要、能够体现风险管理状况的经营特点、并与经营计划相匹配的审计计划,同时依据风险程度选择审计项目和审计对象,将风险管理原则贯穿于审计的全过程,对于具体的风险业务项目或因素实施审计的全过程做出原则性的综合安排。审计项目的选择还应与审计资源相结合,既要充分有效地利用审计资源,又要视具体情况量力而行。
四、编制具体实施方案
审计方案是审计计划的重要组成部分。内部审计人员应在评估风险优先次序的基础上,对现场审计工作做出全面具体的安排,编制一套能够指导现场审计达到审计目标的具体审计实施方案,包括确定审计范围、审计内容及重点、审计方式、人员构成及分工和贯穿于审计项目始终的时间、过程及步骤。一是在考虑并反映企业战略性计划目标和方针的前提下确定审计范围;二是通过对企业风险因素分析,确定审计的重点领域、重点业务流程、重点环节和重点内容;三是针对评估确定重大错报风险发生的可能性及相关业务特点和重要性水平,来设计个性化审计程序。
五、分别进行分析和测试
现代风险导向审计要求注重运用分析程序和方法,这就需要依靠内部审计人员的专业分析,从研究被审计单位入手,根据掌握的各种资料和信息,进行风险分析,然后再根据识别的风险点实施个性化测试方案。在实际工作中,可以借助于剩余风险因素的评估结果,分项目确定具体审计目标以及实质性测试的时间、性质和范围。如果分析发现风险和控制环境能够得到足够的认定和评估,则可以开展一些分析性测试;如果分析发现所收集的资料和各种信息不能满足审计的需要,则必须扩大实质性测试的范围。
六、广泛获取审计证据
现代风险导向审计模式下,支持审计结论所依据的审计证据在内涵上有了明显的扩展,既包括实施控制测试和实质性获取的证据,也包括通过了解企业及其环境获取的证据。并且整个审计过程中都要关注企业风险,以风险评估决定审计证据的质量及数量,围绕风险找证据,风险评估越高,所需证据的数量也就越多、证明力必须越强。如果发现某个领域、某个环节、某项业务等存在较大风险,而现有证据的证明力不足时,内部审计人员必须扩大取证范围,以获取足够的更有力的证据。
七、对冲剩余风险
所谓剩余风险,是指在现有控制条件和框架下无法得到防范和控制的风险。企业面对的风险一般具有两面性,一方面风险会给企业经营活动造成不利影响;另一方面风险有时也会给企业带来商机。因此,内部审计人员应对企业面临的经营风险进行认真分析和判断,如果认为某项风险有可能使企业获得经济利益或发展机遇时,就应当建议企业选择风险保留。特别是对于无法避免的剩余风险,应当进行必要的风险组合,努力寻求使相关风险能够互相抵消或转换的可行性措施,充分挖掘其利用价值,实现风险对冲,在尽可能获取风险收益的同时将风险损失控制在最低程度。
八、充分沟通交流
现代风险导向审计更加注重审计过程的沟通。企业的内部审计与被审计对象在应对、防范和控制风险等方面的工作目标是一致的,内部审计人员应当把握好这个有利条件,将沟通贯穿于审计的全过程,投入足够的时间、精力,与企业各层次(特别是决策层、重要管理层和关键业务操作层)的相关人员进行广泛沟通、交流,充分了解他们的思路、决策所依据的信息以及经营目标实施过程中的相关风险因素等,并凭借自身掌握的相关知识和业务技能,为企业决策者和各管理层提供所需要的服务。
九、出具审计报告
现代风险导向审计模式下,内部审计人员应采用动态的评价方式,把主要立足点放在企业发展战略和识别业务流程的风险上,在履行好全部审计程序、充分判断和分析风险并与有关方面沟通的基础上,以风险为中心撰写审计报告,全面揭示已识别的风险及发现的问题,并特别提出具体风险和问题对于实现企业目标的关键性与后果,以及关于应对、避免、降低、保留并转换、对冲风险的审计意见和建议,必要时可专门出具审计意见书或审计建议书,意见和建议要具有一定的高度和深度,既要具有建设性,又要切实可行。主要通过审计报告或意见书、建议书这种载体,向企业决策者和管理层提供可靠信息甚至预警信号,协助企业防范、控制和化解风险,进而有效利用风险因素可能给企业带来的机遇。
十、开展后续审计
现代风险导向审计过程中识别风险的类别、影响程度和可控性,是决定后续审计的形式、时间、规模和范围的重要因素。风险因素越多、风险越大,后续审计的必要性和规模就越大,审计范围就越广。在实施后续审计的过程中,对于上次审计已识别的一般风险及事项,可以进行一般性的调查了解。内部审计人员应把后续审计的主要注意力集中在重大的或潜在的风险及问题上。关注的重点包括:一是重大的审计发现及风险是否采取了有效措施并得到了纠正和有效控制。若没有得到有效纠正和控制,应查明原因,落实责任;二是判断有无产生新的风险因素和重大问题。若有就必须加大后续审计的范围和力度。在后续审计报告中,应针对以前遗留剩余风险的变化情况和新识别的风险因素以及新发现的问题,提出采取新的应对措施的意见和建议。
企业生存与发展的关键,主要取决于对未来环境变化的适应和把握。而企业所面临的环境正呈现出高风险的趋势,使风险管理成为企业在高风险环境下管理活动的中心工作之一,作为企业的内部审计应服从和服务于这个中心,积极探索现代风险导向审计在企业内部审计中实施的具体形式和方法,将企业风险管理框架纳入审计对象,以风险管理作为内部审计业务的出发点和落脚点,充分发挥内部审计“免疫系统”功能和专业优势,帮助企业及时有效地规避、化解或利用风险,促进企业经营目标的实现,增强抵御风险的能力,努力寻求更大的生存和发展空间。(摘自甘肃审计网)