时间:2022-10-30 17:06:53
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇审计风险防范论文,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
一、企业并购风险审计
风险基础审计作为现代审计方法,在发达国家的审计实践中得到日益普遍的应用,方法本身也随之不断地完善。在我国,中国注册会计师协会颁布的《中国注册会计师独立审计准则》也提出了运用风险基础审计方法的要求。风险基础审计是指审计人员以风险的分析、评价和控制为基础,综合运用各种审计技术、收集审计证据,形成审计意见的一种审计方法。风险基础审计的基本模型为:
审计风险:固有风险×内控风险X检查风险
企业并购审计是一个风险较高的审计领域,如何最大限度的降低审计风险,是审计人员都在认真思索的问题,充分重视并积极介入并购企业的并购过程,则是减少审计风险的有效途径中之一。
二、企业并购过程中的审计风险分析
审计人员的职责是协助企业管理人员认识和评估并购风险,并且运用会计、审计、税务等方面的专业知识,来判断并购过程为审计人员带来哪些审计风险,以努力消除和化解这些风险,努力将并购的审计风险控制在可以承受的范围之内。并购过程中的审计风险领域包括以下方面:
1、并购环境引发的审计风险。
企业并购行为与国际、国内的经济宏观运行状态密切相关,同时敢与经济发展周期、行业和产品的生命周期密不可分;从微观上去考察,企业的经验是否丰富、组织文化是否成熟、资本结构是否合理也对企业并购战略的确定产生重大影响。一般而言,在经济处于上升期开展并购活动,并选择那些与本企业产品关联度高的企业作为并购对象,可以减少并购风险。
2、并购双方的优劣分析。
要确定合理的并购策略,主并购企业必须首先正确衡量自身的优势和劣势,然后全面分析目标企业的优势和不足,认真评价并购双方经济资源的互补性、关联性以及互补、关联的程度,并要研究主并购企业的优势资源能否将目标企业具有盈利潜力的资源利用潜能充分发掘出来等。无论主并购企业拥有多少优势资源,也无论目标企业具有多大的盈利潜力,如果并购双方的资源缺乏互补性、关联性,就不可能通过并购产生协同效应。
一是对主并方的分析。分析内容与相应审计风险包括:①经济实力。审查的主要内容有奖金实力、业务水平、市场上本企业主导产品占有率、盈利能力、公众形象和信用级别、市盈率等。②发展战略。主并方未来发展战略是确定并购对象、选择并购类型基础,若目标企业与主并企业的战略方向吻合程度不高,甚至相反,则并购风险加大,相应的审计风险加大。
二是对目标企业的分析。分析内容与相应审计风险包括:①目标企业面临的行业环境、国内竞争状况;②目标企业的市场份额与实力强弱;③目标企业的利润水平与发展前景;④目标企业的所有制性质、隶属关系,以及政府对该企业或该企业所处的行业现状与所处行业与发展前景的态度;⑤目标企业的财务状况;⑥目标企业的经营管理水平以及管理人员整体素质水平;⑦目标企业产品市场状况。
三是企业并购的联合风险。①资源互补性。资源互补程度越强,双方并购后的效益增长就越明显,在流动资金、固定资产、利润分配各方面都能够取长补短。资源互补性差的企业进行并购有较高的审计风险。②产品关联性。产品关联度高的企业,经营上的紧密程度强,能够很快实现一体化。产品关联度低,则并购容易失败。③股权结构。股权结构决定了公司的控制权分配,直接影响到分司的高层对并购的态度和采取的措施。④员工状况。员工的素质、结构直接影响并购后的成本与效益。⑤无形资产状况。无形资产的递延效应能够覆盖并购后的新企业。⑥未决诉讼。未决诉讼对并购是很大的威胁。⑦抵押担保。抵押担保常常形成潜在或有负债或未决诉讼。
三、企业并购中的审计风险的防范
1、恰当的确定并购的换股比例。
为了节省现金,很多企业采用换股方式进行合并。在企业采用换股合并的情况下,正确确定换股比例是决定企业合并能否成功的关键一环。确定换股比例有多种方法:每股市场之比、每股收益之比、每股净资产之比等。这些方法各有优劣,适用范围也各不相同。正确确定换股比例应合理选择目标企业,综合考虑合并双方的账面价值、市场价值、发展机会、未来成长性、可能存在的风险以及合并双方的互补性、协同性等因素,全面评估双方企业的实际价值。
2、恰当的选择并购目标企业的价值评估方法。
价值评估方法包括:收益现值法、市盈率法、清算价格法、重置成本法。由于企业并购的并不是目标企业的现有资产价值,而是目标企业资产的使用价值以及所能带来的收益能力,也就是目标企业的未来价值。因此,并购方实际上是在选择与并购目标和动机相应的估价方法。当企业并购的目的是利用目标企业的资源进行长期经营,则适合使用收益现值法;当证券市场功能健全、上市公司的市价比较公允时,可以采用市盈率法;当企业并购的动机是为了将目标企业分拆出售,则适应使用清算价格法;如果企业作为单一资产的独立组合,则可以使用重置成本法。
审计人员在选择评估方法时期,要注意区分不同的方法的特征与适用性。一般而言,贴现价格法把企业未来收益或现金流量反映到当前的决策时点,能够反映目标企业现有的资源的未来盈利潜力,理论上的合理性易于为并购双方所接受,但是预测未来收益的主观性太强,有时难以保证公平。贴现价格法需要估计由并购引起的期望的增量现金流量和贴现率(或奖金成本),即企业进行新投资,市场所要求的最低的可接受的报酬率,程序包括预测自由现金流量、估计贴现率或加权平均资本成本以及计算现金流量现值、估计购买价格,主观判断的因素很强。市盈率法操作简便,但需要以发达、成熟和有效的证券市场为前提,而且涉及大量的职业判断和会计选择,比如应用市盈率法对目标企业估值时,需要选择、计算目标企业估价收益指标,重置成本没有对企业进行全盘统一考虑,不适用于企业无形资产规模较大或品牌资源丰富的情况。
3、适当选择并购会计处理方法。
吸收合并的会计处理有两种方法:购买合并通常用购买法,换股合并通常采用权益联营法。采用权益联营法编制的合并会计报表,被并公司的资产和负债均按原账面价值人账,股东权益总额不变,被并公司本年度实现的利润全部并入主并公司当年的合并利润表,而不论换股合并在年初还是年末完成。与购买法相比,权益联营法容易导致较高的净资产收益率,进而有可能对公司的配股申请产生有利影响。另外,主并公司还可以将被并公司再度出售,只要售价高于账面价值,就可获得一笔可观的投资收益或营业外收益。而购买法由于主并公司要按照评估后的公允价值而非账面价值纪录被并公司的资产与负债,评估价值又通常因通货膨胀等周素而高于账面价值,因此,购买法将产生较低的净资产收益率很难获得再出售收益因此,审计人员必须留心并购公司是否利用会计处理方法进行利润操纵。
4、对企业并购过程进行监控,全面降低审计风险。
企业并购审计的一个重要任务就是对并购过程进行严密的监控,这种监控应随并购活动的进行而随时展开,并在并购过程中的各个阶段工作结束之后进行分阶段的总结性审查。
关键词:现代风险导向审计;高校内部审计;风险防范
中图分类号:F239 文献标识码:A
收录日期:2017年3月22日
党的十以来,深化改革的步伐已迈入到社会各领域的各个层面。高校内部审计作为我国审计的重要组成部分,为适应新形势应作出及时调整和改进,其工作已进入攻坚阶段,要用现念来解决它。
一、审计模式演化历程
(一)账项导向审计模式。账项导向审计模式是审计发展最初期的一种传统模式,业内人士称之为“账项基础审计”,它是将审计业务建立在对被审计对象的具体账目上并进行细致检查之后才完成的。它的功能和最终目的在于对被审计单位的账目查找错误以防止舞弊,其后给出是否发表舞弊意见的报告。因此,在这种模式下,审计工作不会考虑被审单位的内部控制和风险情况,直接对其账户余额进行详细、全面的审查。伴随着企业经营规模的逐渐扩大,内部控制制度的建立以及分工管理制度的科学化、新型化,账项导向审计已无法满足审计的需要,审计工作者为了适应审计市场领域的需要,将审计的重点也转向了以内部控制制度为中心的制度导向模式。
(二)制度导向审计模式。制度导向审计首先从对被审计单位的内部控制入手进行研究,并以此为基础寻找内部控制制度的薄弱环节,之后有针对性地对发现的薄弱环节进行深入检查,也就是说制度导向审计模式摒弃传统账项导向审计模式的漫无目的的全面审查,将工作重点转移到对被审计单位内部控制制度的审查方面,由此为基础实施抽样侧重审查。但是制度导向审计模式在减轻工作量、提高效率的同时也存在着弊端,显而易见,这种模式的实施是需要前提条件的,那就是被审计单位的内部控制制度必须是真实的、有效的,只有这样才能将抽样审查的结果作为样本总体的代表。倘若被审计单位的内部控制制度不完善或者形同虚设,在执行过程中没有得到充分的落实,则会导致这种审计模式无法达到预期的理想效果,甚至是相反的审计结论,这会给审计带来巨大的风险,不利于审计的实施、防范和控制。
(三)风险导向审计模式。风险导向审计模式的最初阶段是传统型的,它是伴随着企业风险管理思想的萌芽而在美国审计准则委员会掀起的一种将审计风险模型纳入准则体系的模式,但后期随着审计环境的转变和技术的革新,它的弊端和不足逐渐显露,业内人士对其M行了重新改良和修订,最终形成了一种以战略观和系统观为理论支撑、以对重大错报风险评估为基础同时兼顾企业经营风险的现代风险导向审计模式。
二、现代风险导向审计的内涵
(一)现代风险导向审计的启蒙。现代经济社会的快速发展,市场竞争力的不断下降、经营业务出现滑坡等一系列问题导致经营者的利益严重受损;与此同时,在政府监管、投资人、债权人等利益相关者的各方压力下,企业的经营管理层很可能会产生想要粉饰财务报告的动机,至此,要求审计人员发挥职业判断素养,找寻产生舞弊根源的各种可能性,从被审单位的全局和整体出发,并对被审单位所处行业的环境、经营环节分析等入手,通过综合评价经营风险以确定实质性审计的范围、时间和程序,将财务报告的错报风险控制在可接受的范围内。
(二)现代风险导向审计的风险模式。审计风险的种类或要素及其关系是审计风险模式研究的内容,因此要研究现代风险导向审计模式,势必要从其审计风险模型的研究入手。新修订审计准则最大的亮点就在于提出了以一种全新的审计风险模型,即“审计风险=重大错报风险×检查风险”为核心的现代风险导向审计理论。该模型的出现对审计人员在实操中提出了相当高、相当严格的要求。“重大错报风险”是指财务报表在审计前存在重大错报的可能性,而其又包括财务报表整体和认定两个方面的风险,前者与会计报表项目没有直接关系,是指与企业所处宏观环境有关的战略风险和经营风险;后者恰恰与会计报表项目有关,如各种业务交易、账户类别及余额、信息披露。“检查风险”是指审计人员经过一定的审计程序后仍未能发现有重大错报的财务报告而造成的风险。在这个模型中,如果将“审计风险”固定不变,那么“检查风险”则与“重大错报风险”成反比关系,“重大错报风险”由被审计单位决定,审计人员只能对其水平进行评估,通过评估确定可接受的“检查风险”水平,然后着手下一步的审计程序。
(三)现代风险导向审计的特点。现代风险导向审计无论在审计理念、程序还是方法上,都要优于其他审计模式。其特点表现在:审计重心向前移动,从以审计测试为中心转移到以风险评估为中心;充分运用多种取证方法,将管理方法运用到分析性程序之中;针对不同审计对象,采用个性化审计测试程序;强调“从上往下”与“从下往上”相结合。
三、现代风险导向审计模式下高校内部审计风险防范
(一)深化高校内审人员业务能力和道德水平建设。在高等教育快速发展的今天,高校内审队伍的综合素质有待提升,无论是从业务水平、政策水平还是理论水平都要适应新形势下的需求,始终树立“从工作中摸索学习的方向,在学习中融入工作的需要”的理念,让高校内审人员的正能量始终发挥作用。
(二)实行高校内部审计公开制度,营造良好的内部审计环境。“内部审计公开制度”作为校务公开的重要组成部分之一,其推行势在必行。该制度向全校公开审计纪律、审计计划、审计程序、审计结果、审计处理决定和反馈意见等内容,目的是增强内部审计工作的透明度,扩大内部审计的威慑力。其中,“审计纪律公开”是把双刃剑,既要把应遵守的纪律向被审计部门交代清楚,同时也要接受被审计部门的监督;“审计计划公开”不仅是将此次审计的计划提前让被审计部门知晓,也是将教育主管部门和国家审计机关交办或者委托的事项进行落实;“审计程序公开”要求内审部门有义务告知被审部门,要求对方在充分了解程序的基础上积极配合开展工作,如提前将所需的材料等准备好,这也是提高工作效率的体现;“审计结论和处理决定公开”一方面是接受公众的监督,让公众有知情权,另一方面也是起到威慑的作用;“反馈意见公开”主要是针对被审计部门而言的,按照审计的结果和处理决定由被审计部门进行整改,这个环节可以反映出被审计部门的态度和决心。
(三)建立和完善审计质量量化考评体系。不言而喻,审计质量的高低可以直接反映出内审部门的工作业绩。它如同人的生命线,反映出不同时期的晴雨表。如果能对内审质量做出科学的、客观的、及时的评价,对其做出全面量化考核,并将考核结果与各类评优相结合,则会给内审人员带来巨大的驱动力,调动他们的积极性,从而让内审工作朝着良性方向发展。
主要参考文献:
[1]张新华.现代风险导向审计模式下的事业单位内部审计问题研究[J].中国内部审计,2015.9.
[2]毛成银.加拿大高校财务管理、内部审计的特点及借鉴[J].南京工业职业技术学院学报,2012.12.
[关键词]内部审计风险 成因 对策
一、内部审计风险的特征
内部审计风险是指内部审计人员未能发现被审计单位经营活动及内部控制中存在的重大差异或缺陷而做出不恰当审计结论的可能性,包括审前调查风险、审计程序风险、审计取证风险、审计报告风险等。内部审计区别于政府审计、事务所审计,所以内部审计风险也具有其独特性。充分识别并准确把握内部审计风险的特征,是有效控制风险、保证审计质量的前提和关键。笔者认为,内部审计风险的特殊性具体表现在如下几方面:
1.客观存在性。目前,审计风险已成为审计人员在接受审计项目时需要考虑的关键因素。会计师事务所在接受审计委托时,会在审计成本和审计风险之间进行权衡,最终选择成本较小而风险较小的项目,甚至于会拒绝接受风险较大的审计项目。但内部审计部门作为单位管理的一部分,是单位内部管理的重要组成部分,当为满足管理的需要按照领导地授权必须进行某项审计时,审计项目不具备选择性,很可能会接受难度较大、风险较高的审计项目,只能通过不断提高审计人员胜任能力、增加审计样本量等方式提高审计质量来降低审计风险,但内部审计风险不会为零。
2.可控制性。内部审计风险是客观存在的,非零的,并不意味着审计人员对此无能为力。在审计工作中,通过严格遵循审计规定和程序、提高审计人员的专业胜任能力、增加样本量、保持足够的职业谨慎等方式,可以将审计风险降低至可接受的水平。但也应该看到,提高专业胜任能力、增加样本量等降低审计风险的渠道都是要增加一定成本的,随着审计成本的增加,审计风险的降低呈现逐渐递减的趋势,内部审计人员必须在降低审计风险和成本效益之间作出合理选择。
3.后果的间接性。内部审计部门是单位组织管理的重要组成部分,不直接参与单位的组织经营活动,但审计部门提供的审计结论和建议,会间接影响到组织发展的某个层面。比如经济责任审计中对领导干部的任期评价,会影响到领导干部的选拔与任用,进而影响其所在部门乃至整个组织的发展。现在越来越多的单位领导开始认识到内部审计工作的重要性,也越来越多地将内部审计的工作成果运用到组织的管理中。从此意义来说,内部审计风险的结果间接影响组织的经营发展。
二、内部审计风险的成因分析
1.客观原因
(1)内部审计法律环境不完善。目前,内部审计已经逐渐成为我国审计事业的重要组织部分,并发挥着越来越大的作用,但与之相关的法律法规建设却相对滞后,专门针对内部审计的法律法规较少,造成在内部审计工作中遇到的很多新情况新问题没有相应的法律依据,必须依赖审计人员的职业判断,不可避免地会产生审计风险。
(2)会计和审计的时滞性。会计作为一种经济手段,记录下来的信息仅仅是经济业务的一部分,并不能反映全貌,由于会计时滞性的影响,会计信息在时间上必然落后于经济业务实践。内部审计工作以财务会计信息为基础,抽取复杂经济业务的一部分,本身就具有不全面性,存在风险。会计的时滞性加之审计抽查方法的使用,使得内部审计工作也具有时滞性和偏差,导致审计风险。
(3)被审计单位内部控制的固有限制。内部审计往往根据被审计单位内部控制的强弱,来确定审计范围和审计重点,以及审计证据的抽查样本量。如果内部控制不健全或执行不力,被审计单位舞弊的可能性就会增加,此时过分依赖内部控制就会导致审计失败,引发审计风险。即使被审计单位内部控制制度健全,也很难保证在所有环节上都是健全有效、执行有力,审计风险难以避免。
2.主观原因
(1)内部审计的独立性欠缺。独立性是审计的灵魂。内部审计是实现组织经营目标的管理手段之一,服务于组织的发展目标,在组织结构、经费来源等方面独立性都比较差,有的情况下必须屈从于长官意志,拘泥于人事关系,导致内部审计工作不能较好地开展,很难在客观、公正的基础上发表审计结论和意见,引发审计风险。
(2)人员素质和技术方法存在差距。目前,我国政府审计、社会审计和内部审计发展还不均衡,内部审计作为单位内部管理的重要组成部分,力量还比较薄弱。总体来看,我国内部审计队伍比较年轻,业务能力、审计经验、职业判断能力、重点和难点的把握上等相对政府审计和外部审计来说都存在差距。内部审计本身发展也存在不平衡,有些单位内部审计工作做得较好,但也有部分单位的内部审计工作仍停留在报表审计和制度基础审计阶段,内部审计过多地依赖于会计账薄、会计报表,依赖于被审计单位的内部控制测试,先进的技术和方法掌握不多,产生审计风险。
(3)重审计实施,轻审计计划。目前在内部审计工作中,对审计计划没有引起足够重视,普遍存在重审计实施轻审计计划的情况,将绝大部分的时间和精力集中在审计实施阶段,审计计划简单、笼统甚至于没有审计计划直接审计,导致无法准确把握重点和难点,最终审计结论无法真实客观反映被审计单位的实际情况。
三、内部审计风险防范与控制的基本对策
1.不断增强内部审计机构和审计人员的独立性。独立性是审计的本质特征,是保证内部审计工作客观、公正的基础,也是避免审计风险的根本前提。内部审计人员应当注重自我完善和发展,将重点从单纯的发现问题解决问题转向利用内部审计创造价值当好管理者的高级参谋上来,使组织领导予以充分的重视,并得到其它部门和被审计单位的支持。从形式上的独立来说,要求内部审计机构在组织中具有较高的组织地位,能够独立实行监督检查的工作职能。从实质上的独立来说,要求内部审计人员遵守职业道德,不为各种利益所动,客观公正地提出审计结论。
2.逐步完善内部审计机构的内部管理。做好内部审计风险控制,要从审计机构内部管理抓起。内部审计机构要针对审计计划、审计方案、审计底稿、审计报告,每一环节都建立相应的内部控制制度,制定科学严密的审计计划和审计方案,充分分析并评估审计风险,对于风险较高的环节和内容分配较多的审计资源。严格执行审计计划和内部审计程序,及时发现和解决出现的问题。注重审计证据的质量,规范审计证据的获取及处理,考虑审计证据的充分性和可靠性。认真撰写审计报告,恰当表达审计意见和建议。建立全面质量控制制度,通过职业道德、专业胜任能力、业务操作规程等方面的控制,保证内部审计符合内部审计准则的要求。建立项目质量控制制度,内部审计机构负责人对审计全过程进行指导、监督和复核,确保审计质量。
3.逐步提高内部审计人员的风险意识和专业素质。培养高素质的专业审计人才是推动内部审计事业发展的关键,也是防范审计风险的有效措施。内部审计工作要求具有敏锐的分析能力和准确的判断力,以及较强的沟通能力,要求具备经营管理知识,通晓财经政策。为提高内部审计人员的风险意识和专业素质,首先必须要选派业务知识和实践经验丰富、责任心强的人充实到内部审计队伍中来,对新聘用人员强化业务培训和职业道德培训,培养其风险意识和职业谨慎态度;其次要继续加大对内部审计人员的后续教育,让他们熟悉会计、计算机、基建管理等方面知识,努力提高协调沟通能力,以及良好的职业判断能力。
4.主动协调与被审计单位的关系。内部审计部门应积极更新观念,转换角色,将工作重点从“内部警察”角色转向组织的内部管理,为被审计单位提供科学的意见和建议,充分发挥内部审计“免疫系统”的功能作用。内部审计机构与被审计单位不能完全对立,更不能玩“猫抓老鼠”的游戏,应该保持与被审计单位的沟通交流,坚持用事实说话,既依法审计、坚持原则,又尊重被审计单位的现实情况和困难,注重用事实说话,以理服人,以良好的素质取得被审计单位的信任,帮助被审计单位完善内部管理提高经济效益。
5.充分利用外部审计的力量。内部审计人员由于本身知识结构和经验等的限制,有些时候会面临一些单靠自己力量难以完成的工作。为了保证审计质量和工作效率,这部分审计业务除了可以利用外部专家的服务之外,还可以采取内部审计外包的形式。此外,聘请外部审计专家定期对内部审计工作的成果加以评价,也可以不断提高内部审计工作质量,降低审计风险。此外,内部审计部门要注意联合其他管理部门,充分利用相关部门提供的审计证据,并注重审计责任的分解,最大程度地减少审计部门的风险。
在内部审计工作中,审计人员应该预先对风险进行分析、评估,并制定详细的审计计划和审计方案,合理分配审计重点和资源,恰当选择技术和方法,将风险控制在可接受的范围内。在条件成熟的情况下引入风险导向内部审计模式,使得内部审计更加注重组织的内部管理,更加注重组织的效益评估,更加注重改善组织的管理环境,化解经营风险,真正实现内部审计为组织内部管理服务的目的。
参考文献:
[1]尹维劼.现代企业内部审计精要.中信出版社,2007年6月
[2]曾寿喜,刘国常.国家审计的改革与发展.中国时代经济出版社,2007年7月
[3]苏强.浅议内部审计风险的成因及控制.财会研究,2006年第一期
[4]赵红莉.审计风险成因分析及控制策略.事业财会,2007年第二期
写会计审计毕业论文主要目的是培养学生综合运用所学知识和技能,理论联系实际,独立分析,解决实际问题的能力,使学生得到从事会计审计相关的基本训练,小编为大家推荐介绍会计审计专业毕业论文题目大全,希望可以帮助到大家。
1.会计越发展 政治越文明——论会计审计的政治环境及其在政治文明建设中的作用
2.信息环境下会计审计诚信问题之我见
3.当前企业会计审计诚信问题研究
4.论现代企业会计审计存在的问题及对策
5.现代企业会计审计存在的问题与对策
6.关于加强企业会计审计的思考
7.信息环境下会计审计的诚信问题之我见
8.世界银行充分肯定我国会计审计准则改革成就——解读世界银行《中国会计审计评估报告》
9.浅析会计审计中的会计核算方法
10.国际化会计审计人才培养策略研究
11.政府购买会计审计服务的绩效评价研究
12.公允价值会计审计研究动态:国际视野与无形资产视角
13.当前我国企业会计审计存在的问题及解决对策
14.会计审计独立性的影响要素及措施分析
15.现代企业会计审计存在的问题与对策研究
16.分析会计审计对财务管理的促进作用
17.公允价值计量:中国引入绿色GDP理念和环境会计审计的重要前提
18.会计审计风险因素与信息化审计策略研究
19.探析会计电算化下的企业内部控制审计策略
20.会计审计风险因素与信息化审计对策探究
21.关于信息环境下会计审计诚信问题的思考
22.云计算的发展及其对会计、审计的挑战
23.会计审计与会计财务核算的研究
24.中国企业境外上市、会计准则趋同与会计审计跨境监管——由中概股风波谈起
25.会计审计风险因素与信息化审计策略研究
26.关于现代会计审计技术的思考
27.国际会计公司成员所的审计质量——基于中国审计市场的初步研究
28.基于信息环境下会计审计诚信价值的研究
29.基于信息环境下会计审计诚信价值的研究
30.浅谈会计审计对企业经济效益的影响
31.电算化条件下会计审计监督和风险防范
32.对会计审计实验教学评价标准与环节设计探讨
33.谈提高会计审计质量与会计监督的措施
34.我国会计审计存在的问题及对策分析
35.提高会计审计质量和会计监督的策略探讨
36.会计审计以及会计财务核算浅析
37.探究企业会计审计诚信问题
38.试论会计审计风险因素与信息化审计策略
39.会计审计在企业经济效益探讨
40.分析现代企业会计审计存在的问题与对策
41.试论会计审计风险因素与信息化审计策略
42.会计审计对企业经济效益的影响分析
43.中国商业银行会计和审计的现状与未来
44.会计审计制度改革中审计稳健性的概念体系构建
45.对企业会计审计存在问题的分析
46.提高企业会计审计质量和会计监督的策略探讨
47.面向信息环境下会计审计诚信问题研究
48.论公允价值会计审计理论与实务中的若干重大问题
49.现代企业会计审计存在的问题与对策
50.信息环境下会计审计诚信问题分析
51.会计审计对工程财务管理的促进意义研究
52.会计审计的风险影响原因分析和信息化审计对策探微
53.基于信息环境下会计审计的诚信价值的研究
54.信息环境下会计审计中的诚信价值分析
55.对于会计审计独立性的影响要素及措施分析
56.解析会计审计与会计财务核算
57.探析提高会计审计质量和会计监督的对策的分析
58.浅谈会计审计对企业经济效益的影响
59.论企业内部会计审计
60.会计审计的诚信价值与信任机制重构
61.探讨信息环境下会计审计诚信问题
62.国际化会计审计人才培养策略
63.中国会计审计准则建设的历史丰碑——中国会计审计准则体系会上的发言摘要
64.简析信息环境下会计审计的诚信问题及建议
65.探讨会计审计中的诚信价值的重要性
66.新会计准则下公路管理单位会计审计相关思考
67.对企业会计审计存在问题的分析
68.会计审计与会计财务核算的若干研究论述
69.会计审计对财务管理的促进意义研究
70.现代企业会计审计存在的问题与对策
71.浅析在国营企业会计审计工作当中的经验
72.海峡两岸会计审计高等教育资源共享机制研究——以福建省先行先试为平台
73.国际化会计审计人才培养的实践探索
74.会计审计中的诚信价值考量
75.我国会计审计发展史上新的里程碑
76.会计审计质量与会计监督的提高途径分析
77.企业会计审计中存在的问题及对策
78.美国会计审计准则的国际趋同及其启示
79.国际会计审计及其监管的最新发展与中国对策——欧盟国际会计审计发展大会综述
80.内部控制审计对会计盈余质量的影响——基于沪市A股上市公司的实证分析
81.对新会计准则下公路管理单位会计审计的若干思考
82.解析会计审计与会计财务核算
83.现代企业会计审计存在的问题分析及应对策略探讨
84.探究关于加强企业会计审计的思考
85.现代经营理念下企业的会计审计问题及对策
86.提高会计审计质量和会计监督的策略探讨
87.浅谈会计审计对企业经济效益的影响
88.会计审计准则体系:中国会计审计发展史上新的里程碑
89.会计审计中的诚信价值与博弈分析
90.探析会计审计对企业经济效益的影响
91.探讨企业会计审计对企业经济效益的重要影响
92.新会计审计准则对遏制会计信息失真的作用
93.对企业会计审计存在的问题分析
94.新会计准则下的衍生金融工具及其审计风险
95.加强企业会计审计的有效策略分析
96.会计审计工作对优化企业财务管理的路径构建
97.会计独董、治理环境与审计委员会勤勉度
98.会计信息化审计方法初探
企业内部控制制度的建立和完善是改善企业内部管理、提高企业竞争能力的重要内容。本论文在总结内部控制理论的基础上,对内部控制的存在的问题、原因等方面作了一些探讨,找出企业面临的各种风险,结合COSO关于内部控制五要素,针对各种风险提出了具有针对性和可操作性的防范对策,为企业完善内部控制提供了一定的理论指导。
【关键词】内部控制风险管理
一、我国内部控制现状
我国企业内部控制制度理论起源于20世纪80年代,但到目前为止,尚未正式提出权威性的内部控制标准体系,对内部控制的完整性、合理性及有效性缺乏一个公认的标准体系。我国有关内部控制制度的指导原则、指引、规范则出自不同的政府部门,这是由于企业的管理体制造成的。国资委管国有大中型企业;证监会管上市公司的信息披露;财政部管全国所有企业的财务与会计工作,并负责会计准则与制度的制定。然而,内控指导原则、指引或规范由各政府部门分别制定,有许多弊病:
其一,各部门各自研究与颁布内部控制的相关指导原则或指引,不利于内控制度的统一与协调。财政部正在陆续制定并的是内部会计控制规范,截至目前已经了十多个。而其他政府部门则仅制定了内部控制的指导原则、指引或对企业各项业务内部控制流程的设计与制定缺乏具体的指导。其二,关于内部控制的定义、范围、目标等不相一致,内控要素、内控内容,以及内控方法的解释也不一致。其三,缺乏统一的推进机构,不利于企业内部控制制度的贯彻与实施。各部门颁布的内控指导原则、指导意见或指引在实务中并未得到有效的贯彻执行。上市公司、银行、证券公司、未上市国有企业的频繁出事便是佐证。
客观地讲,我国近几年对内部控制的研究主要是以会计控制和审计评价为主线的,我们可将之简称为“会计导向”和“审计导向”。会计导向的典型代表是我国目前已的内部控制法律法规,它们是以内部会计控制为核心的,基本上没有涉及管理控制等非会计控制领域,甚至没有包括审计方面的内容。审计导向下的内部控制研究则主要集中于审计程序与方法的应用、审计成本的节约、审计效率的提高和审计风险的控制等。
二、我国企业内部控制与风险管理存在的问题
(一)内部审计不具备真正意义上的独立性
内部审计是企业自我独立评价的一种活动,内部审计可通过协助管理当局监督其他控制政策和程序的有效性,来促成好的控制环境的建立。内部审计的有效性与其权限、人员的资格以及可使用的资源紧密相关。内部审计人员必须相对独立并且直接向董事会或审计委员会报告。我国一些上市公司内部审计即使存在,但却不具备真正的独立性,有的也流于形式。
(二)缺少风险评估和风险防范意识
各企业缺少对自身固有风险的评估以及制定相应有效的管理措施。此外,管理者还应在对固有风险采取有效管理措施的基础上,对企业的残存风险进行评估和预防。
(三)人力资源管理发展滞后
近年来,我国企业改革力度大,与之配套的人力资源管理却跟不上业务的需要。许多企业在员工的岗位培训方面,没有形成完善的制度,不利于员工的素质提高。
(四)有效的价格风险评价机制尚未建立
由于当前市场不完善,竞争激烈、恶意竞争以及“低价中标”的招投标游戏规则,都不能使企业按企业定额客观报价,为了争取中标,不惜压低报价,承担更大的价格风险。
三、完善我国企业内部控制与风险管理的途径
(一)完险管理体系
全面风险管理是对整个机构内各个层次,各个种类风险的通盘管理。全面风险管理可使组织中各业务单位分散的决策者之间协调合作,使数据的收集、测量与处理更加一致,有利于审计和监督。企业要从全局、总体层面权衡利弊,使部门安排有关的业务流程都有所遵循。同时要制定严密的业务操作规程及信息传输报告制度,建立一个有效的全面风险管理框架,全面控制各方面的风险。
在机构内部广泛开展“深化内控理念,落实内控措施”的创建活动,结合自身情况及上级单位的要求,通过确定风险控制环节,分解、落实机构内各部门、各岗位管理职责,并对控制状况进行检查、评价和考核,强化风险管理责任,提高全员风险防范的意识和能力,从而全面有效地控制经营风险。
(二)健全内部审计控制
内部控制具有的限制因素具体如下:其一内部控制受企业的成本效益原则的限制;其二内部控制仅针对管理中的常规业务来设计;其三内部控制可能会因执行人员的差池而失败;其四内部控制可能会因不同政治气候、地方差异等环境影响而失去作用。这些内部控制的限制因素,可以通过建立独立的内部审计机构来加以克服。内部审计人员定期检查项目的建设情况和建设成果,及时纠正各种错误和弊端,能促进内部控制的有效实施。
(三)营造企业风险管理的文化氛围
企业风险管理框架是建立在内部环境的基础之上,内部环境直接影响和制约企业风险管理的成败。内部环境的要素包括员工的诚信,职业道德和工作胜任能力,管理层的经营理念和经营风格,董事会或审计委员会的监管和指导力度,企业的权责力分配方法和人力资源政策。要不断提高企业风险管理能力,需要一套企业层面的方法。这种企业层面的方法是由企业的组织结构,文化理念和经营管理哲学共同决定的。随着企业文化中风险敏感程度的提高,企业管理者会进一步掌握有效的风险管理能力。通过他们的推进、提供报告、贯彻相应的方法、构建适当的体系,以实施既定的风险战略和政策,企业风险管理水平将不断提高。
(四)设计一套科学的内部控制行动指南
设立一套科学的内部控制行动指南,为管理者进行内部控制有效性评价提供指引也是当前急切需要解决的问题。国家相关部门可统一制定各行业通用的行动指南,也可由公司聘请会计师事务所设计适合各公司实际情况的行动指南。在内部控制评价方面,被评价单位可以聘请年报评价的注册会计师以外的中介机构或有关专业人员协助对该单位的内部控制的建立健全及有效性进行评价,并对评价过程中发现的重大控制缺陷或重要控制弱点进行必要的改进,保证财务报告的编报质量,降低财务风险。国内的会计师事务所也应当借鉴一些国际会计师事务所报告中的做法,在事务所内部组建由高级和资深的评价人员组成的专门小组,专门从事内部控制评价和咨询业务。
【参考文献】
[1]王东叶,我国建筑施工企业生存环境分析[D],天津大学管理学院硕士学位论文,2007年5月。
[2]林光华,内部控制在实践中的应用研究[D],对外经济贸易大学硕士学位论文,2006年4月。
[3]王振英马丽萍王泽,我国企业内部控制与风险管理商业经济[J],2006年5期。
关键词:商业银行 风险管理 内部审计
中图分类号:F830 文献标识码:A
文章编号:1004-4914(2014)02-104-03
在金融国际化的大环境下,商业银行面临着复杂多变的经营环境,因此,如何有效地防范与控制风险、把握发展机遇,实现收入最大化,成为现代商业银行经营管理的重中之重。内部审计作为一项监督、评价的约束机制,在商业银行的风险管理中越来越显现出它的独特地位和重要性。
一、我国商业银行的现行风险管理体系
(一)商业银行风险成因分析
根据巴塞尔银行委员会的分类,商业银行主要面临八个方面的风险因素:信用风险、国家风险、市场风险、战略风险、流动性风险、操作风险、法律风险及声誉风险等。
考虑到我国的实情,商业银行面临的风险主要来自以下五个方面:
一是我国商业银行相关法律制度不完善所带来的风险;二是我国商业银行内部控制制度还不严谨,自我约束机制还不完善;三是由于商业银行无法获得准确可靠的企业财务信息而产生的信贷风险;四是我国商业银行的经营过分强调经营效益而增加了金融风险;五是国家的审计部门未能明确其预防金融风险的职责。
(二)我国商业银行的风险管理体系
我国商业银行风险管理体系是通过在运营过程的各环节中具体地发挥作用的,针对各种风险因素制定计划、在实施过程中有效地对风险进行识别,依据风险管理体系的制度与规范,最后客观地评价其效果。其特点主要表现在三个方面:
一是集中在单一层面上的管理。在部门设置层面上的单一性,因而忽略了每个层面对于内部审计的重要作用,是我国商业银行风险管理体系的特点之一。从而,使得商业银行无法充分地获取经营过程中的各种风险要素,最终导致未能对经营风险做出及时、准确的判断。
二是主要集中在事后的风险管理与风险控制。在我国的商业银行风险管理中,一般是先审查以前期间的业务并且加以分析,得出在以往的经营过程中发生的经营风险,并将各风险分类别地进行评价。对风险的管理和控制上的滞后性,导致不能及时地管控正在发生的经营业务,对风险的预测能力也很差。而且,仅仅是在事后对风险作出评价,降低了银行管控经营风险的能力和水平。
三是对风险进行跟踪处理的能力较差。在我国的商业银行中,内部审计部门对相关风险责任部门的处罚较轻,通常只采取通报批评和罚款两种方式,对风险的持续追踪和测试的能力较差,在一定意义上,降低了我国商业银行的发展速度。
二、内部审计与风险管理
(一)内部审计的含义
根据中国内审协会的定义,“内部审计是指组织内部的一种独立客观的监督和评价活动,它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现”,而“风险管理是组织内部控制的基本组成部分,内部审计人员对风险管理的审查和评价是内部控制审计的基本内容之一”,由此可以看出,风险管理相对于内部审计是不可缺少的。
根据国际注册内审师协会的描述,“内部审计是一种独立、客观的保证工作与咨询活动,它的目的是为机构增加价值并提高机构的运作效率。它采取系统化、规范化的方法来对风险管理、控制及治理程序进行评价,提高它们的效率,从而帮助实现机构目标。”并且,进一步指出“内部审计应该就管理层的风险管理过程的充分性和有效性进行检查、评估、报告,并提出改进意见”。可见,国际先进内审理念认为风险管理是内部审计的重要内容,并且,内部审计的范围已从传统的财务审计发展到风险管理和公司治理的层面上。
(二)内部审计在商业银行风险管理中的重要性
在《内部审计实务标准》中,国际内部审计师协会归纳地描述了内部审计在组织风险管理时的重要性:“内部审计部门应监督、评价组织风险管理体系的有效性;内部审计活动应协助组织识别和评估重大风险问题,并帮助组织改进风险管理与控制系统;内部审计部门应当对组织的风险管理、控制、治理各个方面进行评价”。
内部审计的重要地位,占据了商业银行风险管理体系中主要的组成部分。内部审计是内部控制的手段,目标则为价值增值和防范风险。内部控制作为内审中不可缺失的一部分,也就成为风险管理体系中不可或缺的一部分。内部审计的重要性可以归纳为:
1.面对复杂多变的经营环境,内部审计对环境诸因素的确认和评价成为商业银行风险管理体系构建的基石。从宏观经济环境和金融环境的角度考虑,内审部门致力于对经营环境发展及变化趋势的把握,以构建、完善其风险应对机制。从微观的银行经营理念和风险文化的角度来看,内审部门致力于对内部环境蕴含的各要素的分析和评价,并加以科学、合理地量化考核,以保障组织运营的安全性。
2.内审部门对商业银行运营管理活动的全过程进行干预和监控,包括从银行的目标设定开始到监控操作的诸多环节,而这正是风险管理体系的核心之所在。
3.内审部门对风险因素作出的判断及其应对策略,是风险管理体系的最终落脚点。根据组织经营管理的特点,内审部门通过科学、合理的风险决策,从而在企业的可执行的范围内实现剩余风险最小化、成本效益最大化,而这也正是风险管理的真正意义之所在。
三、我国商业银行风险管理中的内部审计现状分析
(一)内部审计现状
1.监管体系没有权威且不完全独立。保证监管体系的完全独立和权威,是商业银行内部审计中最重要的两项原则。保持独立的目的在于保证商业银行在内部审计过程中及审计结果均不受外界环境变换的影响,应保持应有的独立性、客观性、不偏不倚。只有在内部审计部门被赋予较高的行业地位,拥有相对的独立职权时,才能更好地将独立性与权威性结合起来,发挥最佳的监管作用,对商业银行的经营活动作出真实和合理的评价。然而,在我国的商业银行运营管理中,内部审计的地位仍仅仅停留在“形式上的至高地位”阶段。在大多数商业银行中,内部审计部门并不是直接向董事会汇报,相对混乱的组织关系导致内部审计机构出现“多头领导”的现象,致使内部审计机构的权限受到诸多的限制,因而难以从客观的角度对被审计对象进行监督和评价,使得内审工作没有实质作用。
2.未能充分重视金融风险,风险防范区域十分有限。在风险管理方面,我国部分商业银行欠缺相关的经验,具体的表现有三点:其一,部分商业银行的高管人员对于内部审计的重要性缺乏深刻的认识与理解,对风险管理的理解和认识也十分有限,致使内部审计工作效率整体性不高。其二,部分商业银行将内部审计工作关注的重点集中在凭证、财务报表的真实性、完整性以及信贷业务操作和管理的合法性及合规性上。内部审计工作的范围比较小,使得内审监督机制难以发挥防范风险的作用。其三,近年来随着我国商业银行经营业务的延伸和拓展,商业银行的创新能力显著增强,然而相对应的内部审计工作却严重地滞后,无法及时地适应业务增加的需求,未能为商业银行业务的运营管理提供机制保障。
3.内部审计的实施方法与技术比较落后。目前,我国部分商业银行将内部审计工作的重点仍集中在对原始凭证的审查上,且大部分采取事后审查和重点业务审计的方法,这与国外商业银行致力于降低风险的内部审计效果相差较大。单一的内部审计方法和落后的内部审计技术,使得商业银行内部审计工作耗时较长、成本较高、效率低下,致使内部审计的风险累计性地增加。同时,内部审计工作的主观性判断相对较多,而科学性较差。此外,随着商业银行操作系统的电子化和网络化建设的深入发展,内部审计工作趋于复杂化,而综合操作系统的上线使得审计对象趋于虚拟化。由于部分商业银行的内部审计人员仍然较多地依赖传统的操作方法,使得综合操作系统操作中存在的虚拟化问题无法从根本上得到解决,因此内部审计部门的审计职能没能得到发挥。
4.对银行中间业务的监督缺位。商业银行经营业务在不断地向多元化发展,试图寻找各种利润点,中间业务则为其带来了巨大的利润。经济学理论指出,高收益必然引起高风险。目前,对于中间业务的经营管理尚处于探索性的阶段,商业银行还缺乏必要的经验,对潜在的风险因素的认识和理解还远远不够。纵观商业银行的历史发展经验,考虑中间业务自身的特点,快速发展的金融衍生产品是商业银行运营中的一个风险点。因此,在对中间业务进行审计的过程中,对中间业务的风险因素和薄弱环节要给予足够的重视。
(二)我国商业银行风险管理内部审计现状的原因分析
1.对风险管理的内部审计理念相对落后。我国商业银行的内部审计尚处于初级阶段,即以控制为基础的审计阶段及以风险为导向的审计阶段,审计工作以合规性审计为主,涉及到风险管理的内容较少,对内部审计的模式及参与风险管理的重要性缺乏全面、准确的认识和理解,进而影响到对在商业银行中实施风险管理内部审计的接受程度和开展程度。这也是风险管理内部审计在商业银行中不能有效地深入发展的根本原因。
2.内部审计目标不明确。就我国商业银行的内部审计还没有发展到成熟的风险导向审计和风险管理审计阶段,从而难以评价银行经营活动的风险因素和测定风险管理实施的有效性;内部审计的其他职能如评价、咨询、鉴证等尚未得到合理的应用,内审还没有一个清晰的目标作为向导。
3.内部审计人员素质难以胜任。风险管理内部审计在操作上要求很高,因此对审计人员的能力也就提出了更高的要求:其一是审计人员必须能准确、全面地把握银行的经营风险,其二是审计人员必须掌握先进的审计方法以进行风险的识别、评估、分析和控制。比较风险管理内部审计的发展要求,我国商业银行中一部分内部审计人员的综合能力还不高。主要表现在两个方面:一方面,内部审计人员的学历水平较低。以我国商业银行内部审计人员现状来看,高学历人才较少,对银行经营活动中存在的专业问题缺乏识别能力和解决能力。另一方面,内部审计人员结构相对单一。会计、审计专业人员占绝大多数,管理、法律、金融等其他专业人员的比例很小,人员比例的失调,必然导致商业银行内审环节无法有效地对多样化风险进行识别,影响到内部审计工作的效率和效果,造成风险隐患。
四、构建完善的内部审计参与风险管理的体系
商业银行经营管理中的关键点是加强对风险的防范和控制,对风险的规避和应对是银行实现其经营目标的基本前提,构建完善的内部审计参与商业银行风险管理的体系,成为商业银行经营管理中的必然趋势和紧迫任务。
(一)健全法律法规,完善审计准则
《中华人民共和国审计法》主要针对的是国家审计,对内部审计方面的规定十分有限,因此应健全、完善相关的法律,以使内部审计工作能够有法可依、有章可循。《审计署关于内部审计工作的规定》对内部审计做出了详细的规定,但法规层次的界定,还不足以解决实现经营活动中内部审计参与风险管理遇到的各种新问题。因此,商业银行应该拥有长远的战略目标,构建并完善风险管理体系,为内部审计参与风险管理打好坚实的基础。实际实施过程中,应以所处的具体经营环境为依据,吸取国际内部审计准则的精华,总结我国内部审计的经验和实际情况,完善适合我国发展要求的准则体系。
(二)增强风险管理意识,明确内部审计目标
COSO的ERM框架中新的“风险组合观”中要求对于企业经营中所面临的各种风险因素,企业的经营管理者需要用风险组合的理念去识别和管理。商业银行不同部门的员工都应具备较强的风险意识和正确的风险管理理念,而且需要在商业银行金融活动的不同环节中将风险管理的理念贯彻其中,因为商业银行的风险管理理念是商业银行经营信念和态度的重要体现,是商业银行核心价值观的具体表现,决定着商业银行的发展前景。内部审计作为一项独立、客观的确认和咨询活动,通过系统、规范的方法,分析、评价和完善风险管理、控制和治理的过程,旨在降低商业银行的风险,增加银行的价值和改善银行的运营效益。因此内部审计的根本目的是为了增加商业银行的价值,而这一目标是与风险管理的目标相一致的。
(三)拓展内部审计职能,全面参与风险管理
由于风险管理是内部审计的出发点,因而拓展内部审计的职能,树立服务理念,才能更好地为商业银行创造更大的价值。内部审计作为风险管理的重要组成部分,理所当然成为企业的重要组成部分,并在董事会或者设置有审计委员会等职能部门的领导下发挥其重要的作用。在风险管理体系中全面加入内部审计,能够更全面地对风险进行管理。在内部审计全面融入风险管理中必须明确内部审计与风险管理各自的权责,只有这样才能更好地实现商业银行的经营目标。
(四)提升内部审计人员综合素质及专业胜任能力
商业银行内部审计职能要想得到充分发挥,必须提高内部审计从业人员的综合素质,提升商业银行本身的内部审计能力。提升内部审计队伍可以通过以下方式:第一,结(下转第107页)(上接第105页)合商业银行的实际情况,制定系统的审计管理办法;第二,通过提供内部审计人员高薪酬及较为完善的福利,激励调动内审人员的工作积极性;第三,通过不定期的培训提高内部审计人员的专业理论和实务操作技能,增强胜任能力;第四,建立完善的内部审计业务业绩考核制度,建立科学、有效的激励和约束机制,营造良好的执业环境,培养一批具有良好的敬业精神及职业操守的内部审计队伍。
五、结束语
在复杂的经营环境和激烈的竞争中,风险管理已成为商业银行参与竞争的关键性因素。因此,内部审计将成为商业银行防范风险、控制风险的重要管理环节。在健全、完善内部审计制度的基础上,内部审计要充分发挥其再监督的职能,以增强银行各级管理层的风险管理意识,并全面地参与到银行风险管理策略的制订过程中,构建完善的内部审计参与风险管理体系,这样内部审计在风险管理中的效用才能够发挥的最大,商业银行的战略经营目标才能得以实现。
参考文献:
[1] COSO著.方红星,王宏译.企业风险管理——整合框架.大连:东北财经大学出版社,2005
[2] 高香.商业银行内部审计风险问题研究.天津财经大学硕士学位论文,2009.5
[3] 胡春元著.风险基础审计[M].东北财经大学出版社,2001
[4] 何文.我国国有商业银行内部审计研究[J].山东大学硕士论文,2006
[5] 李立红.内部审计参与风险管理相关问题研究.东北财经大学硕士学位论文,2006.12
[6] 李相志.基于内部审计的企业全面风险管理研究[J].财会通讯,2008(11)
[7] 刘源.从审计理论与实践评风险导向审计.审计理论与实践,2003(12)
[8] 马贤明,郑朝辉.现代风险导向审计探讨.审计与经济研究,2005(1)
[9] 马亚红.内部审计参与风险管理相关问题研究.兰州大学硕士学位论文,2009.5
[10] 聂明.商业银行合规风险管理.中国金融出版社,2007
[11] 彭兰香.谈完善我国商业银行内部审计风险管理机制[J].财会月刊,2008(12)
[12] 王光远,林朝颖.新巴塞尔资本协议下银行风险管理审计[J].财会通讯,2008(1)
[13] 王会金著.风险导向审计[M].中国审计出版社,2000
[14] 王允平,李晓梅.商业银行会计(第二版).立信会计出版社,2007
[15] 杨书怀.全面风险管理框架与内部控制整体框架的比较分析[J].财会通讯,2005(11)
[16] 尹文倩.商业银行风险导向内部审计的架构思索[J].中国金融家.2009(1)
[17] 卓继民.现代企业风险管理审计[M].北京:中国财政经济出版社,2005
[18] IIA. The Role of Internal Audit in Enterprise—wide Risk Management Engagement [EB/OL].the , 2004
[19] The Committee of Sponsoring Organizations of the Treadway Commission. Enterprise Risk Management Framework. Draft,July 2003
一、引言
随着央行业务信息化的发展,数据信息系统成为内审部门新的必须开展的审计内容。国外许多中央银行的内审部门非常重视利用信息技术开展内部审计,并且取得了较大进展。他们拥有一批熟悉COBIT、SAC等国际上通行的信息技术管理和控制标准、具有丰富专业经验的信息技术审计人员,对信息系统审计已有十余年历史。我国审计机关利用计算机进行审计探索始于20世纪90年代初,探索开发了一系列审计软件。2001年,国家审计署提出了《信息化建设总体目标和构想》,即“金审工程”,极大地推动了审计技术的发展。我国中央银行利用信息技术对业务系统进行审计起步较晚,与业务系统电子化发展相比,审计信息技术的发展很不匹配,存在明显滞后。尽管人行总行为推动审计技术信息化制订了一系列制度,如《中国人民银行计算机信息系统内审监督检查工作暂行规定》、《关于加强计算机信息系统内部审计的指导意见》、《计算机信息系统内部审计规程》,但从实际运用来看,内审部门的信息技术手段仍很落后。特别是基层央行,对业务系统的审计仍以手工为主,检查的重点停留在制度执行层面,风险洞察水平不高,严重影响了审计质量。基于这一认识,本文立足基层央行业务系统运行状况,对利用信息技术开展系统运行审计的紧迫性、面临的主要困难与问题作一剖析,试图找到一些有利于基层央行利用信息技术开展系统审计的方法与途径。
二、信息技术在内审领域运用的紧迫性
国外央行审计技术信息化的实践和我国央行业务领域信息化的现实,催生了内审信息技术建设必要性这一共识,在共同认知下,迫切需要采取措施加快审计技术信息化的发展步伐,这种紧迫性至少表现在以下几方面:
1、适用业务信息化发展的需要。近几年来,基层央行业务信息化建设已经跃上了一个新台阶,央行主持开发的计算机信息系统基本涵盖了货币政策、宏观调控、金融稳定、金融服务各个领域,逐步形成了高效、规范的信息化服务体系。信息系统的广泛运用在提高央行管理水平的同时,也潜在着较大的安全和技术风险。基层央行业务系统操作员和管理员对系统运行的先进性与安全性的认识,由于长期的接触,难免有“不识庐山真面目,只缘身在此山中”的感觉。全面了解系统的运行状况、进一步改进系统运行质量,迫切需要审计信息技术这个通道,起到“横看成岭侧成峰”的作用。
2、提高内部控制水平的需要。《中国人民银行分支机构内部控制指引》指出,内部控制包括内部控制环境、风险评估、内部控制活动、内部控制的信息及其沟通、对内部控制的监控五个要素。面对央行业务系统信息化的发展,如果没有内审技术手段信息化的快速跟进并与之匹配,以落后的内审手段碰撞先进的业务系统,就无法对业务系统运行的可靠性、保密性、连续性、完整性、风险性作出准确的评估,内审部门“对内部控制的监控”作用无法有效发挥。
3、提升内审项目质量的需要。传统的手工审计,常常要面对杂乱无章的数据,进行大量乏味的计算工作。将信息技术运用于内审工作,不仅可以帮助内审人员解决这一问题,还可设定针对性的模块开展审计,扩大审计范围;可以规范审计业务管理,如“中国人民银行内审业务管理系统”,有内审项目管理、内审职责管理、辅助计算等功能,极大地规范了审计操作。再如武汉分行推出的“内控评审系统”,可以对分支机构的内控建设水平作出综合评价,促进了基层央行内控建设;可以迫使内审人员加强对计算机知识的学习,主动熟悉业务部门应用系统的操作流程。同时,可以通过计算机网络技术,建立内审业务后续教育平台,开展远程培训,使内审人员尽快跟上信息化发展的步伐。
4、创新内审手段的需要。信息技术在内审领域的运用,可以为创新内审方式打造直接平台。审计人员利用计算机,借助有效软件开展内审工作,实现由手工方式向电子方式转变;利用接口程序直接从业务系统采集数据,进行分析整理,实现适时审计;借助网络,远程访问被审计单位的系统数据,实现远程审计。通过审计信息化,能够实现内审监督从单一性的事后审计向事前、事中、事后相结合转变,从单一的静态审计向动态与静态相结合转变,克服传统的事后审计带来的不能及时发现问题、防范于未然的缺陷。
三、央行业务系统审计面临的现状与困境
随着基层中央银行电子化运用的广泛深入,内部审计环境也发生了深刻的变化,内控机制的改变、审计线索的隐蔽、审计手段的滞后、审计风险的凸现等带来的困境与压力,无时无刻不在挑战着内审人员的智慧与勇气。
1、业务系统可审性差。随着央行内审功能定位的清晰,内审工作的审计领域逐步拓宽,审计内容也日渐丰富,但对业务系统领域的审计,却始终是“雾里看花”,成为“审计壁垒”。目前,所有业务系统几乎都没有预置审计接口与审计用户,连简单的数据查询都需要通过被审计对象才能进行,同时由于信息量大,再加上内审部门缺乏相应的技术审计手段与审计力量,用有限人工的方法查找海量电子化信息,效率太低,要想筛选出有价值的线索无异于“大海捞针”;因没有设置系统“黑匣子”,没有设置监控点,最大限度保留、记录审计线索,各项违规操作、异常操作无从查找。
2、计算机辅助审计运用不广。由于应用系统开发各自为阵,各个系统由不同的开发单位开发,所采用的开发、应用平台不同、开发语言不同,数据库不同,没有一个统一的标准的数据化接口,加上内审部门没有专用的通用审计软件,使业务系统数据采集、转换、分析困难,另外,数据采集还涉及到数据导出后的保密问题,也成了数据采集困难的因素之一。加之内审部门计算机配备不足,能熟练掌握计算机专业知识及业务知识的人员偏少,计算机辅助审计仅停留在WORD、EXCEL文字处理和电子表格处理层面,更深层次的数据筛选、数据分析、函数计算、数据统计和图形分析应用不多。3、审计服务平台搭建不力。目前,央行内审业务尚未搭建起支持信息化审计的高效的服务平台,严重滞后于信息化审计工作的发展,成为难以突破的“瓶颈”。主要表现为:一是审计依据的非电子化,给依据的查找、问题的定性带来极大的不便,许多审计人员反映,在依据查找、问题定性方面投入的工作量占整个工作量的近三分之一。二是审计依据携带不便,查找不便。目前大部分内审人员仍然使用纸质依据,有些则是上网搜索,这样所得的审计依据难以保证其权威性、全面性、有效性,容易造成审计风险。三是审计成果难以利用,没有审计结果电子档案,审计部门难以及时了解、全面掌握审计对象的基本情况及其动态。四是审计分析难以深入,不便掌握内控运行趋势和找出内控薄弱环节轨迹。五是经验交流不实时,在审计实施中容易走弯路、重复审计,增加审计成本。
4、软件开发应用介入缺位。《中国人民银行关于加强计算机信息系统内部审计工作的指导意见》规定科技部门和系统应用部门,在组织系统开发时应当将有关情况通报内审部门,应当充分考虑设置和保留必要的审计线索,重要的系统,应当设立必要的审计接口。《中国人民银行分支机构内部控制指引》也作了相似的规定。但在实际中却很难得到有效执行。一是程序设计、开发、测试阶段审计部门参予不够。在电算化环境下,计算机系统处理成了业务处理的一个重要环节,而在目前的审计实践中,对业务系统的审计却往往绕过计算机审计,未能实现穿过计算机审计,仅对业务系统的运行环境、操作员控制、制度建设与管理等方面进行审计,对业务系统自身的可靠性、可行性审计这一关键环节却无能为力;二是业务系统培训、运用,审计人员缺少参与。各个业务系统在培训推广时,内审人员很少有机会参加,相应的制度及培训资料也难以获取。
5、审计风险规避更难。手工环境下,各项数据的勾对平衡、各个科目的对转使用,都有原始的凭证、帐簿、报表,有据可查,容易“顺藤摸瓜”,审计出来的结果较为可靠。但在电算化环境下,各项业务的上机运行,数据的集中存放,凭证的上收,审计线索大为减少;纸质数据的电磁化及其容易篡改的特性以及程序的“黑箱”处理,中断了追索途径;技防的薄弱如身份识别技术大部分采用登录口令的形式,UNIX系统未安装防病毒、防入侵软件等,极有可能导致黑客的入侵、病毒的感染,从而导致程序被修改、数据被窃甚至丢失的风险,极大增加了审计风险的规避难度。
四、央行业务系统信息化审计方法与途径探讨
面对业务系统审计中的种种困难,只有把审计信息化作为传统审计向现代审计转型的突破口来抓,在更大范围内和更深层次上推进计算机审计的应用,才能及时发现不足和解决问题,杜绝因业务信息化所带来的风险。
1、深化辅助审计软件的有效应用
辅助审计软件包括Word、Excel、数据库分析管理(通常使用常用的Access数据库)、图形分析程序、通用审计软件(GAS)等。在内部审计实施过程中,计算机不能仅作为文字处理工具,而要进一步深化辅助审计软件的有效应用。
在文字处理、电子表格、数据库分析管理和图形分析四个方面,可建立符合基层央行业务特点的审计数学模型,用数学模型进行数据提取、数据筛选、数据分析、函数计算、数据统计和图形分析;可建立方便快捷的审计依据文档库,通过系统自带的搜索引擎进行资料模糊查询,以便快速对审计定性提供依据;可建立审计实施各阶段的文档模板,使各阶段文档共性部分减少手工编制。
探索开发中央银行通用审计软件(PBC-GAS)。借助通用审计软件中相应的数据接口模块在不同的业务系统中采集数据,用转换工具,把取得的数据进行转换,从而有效地转换到审计软件中,形成统一的数据格式,以便进一步审计分析。
2、建立业务系统的嵌入式审计窗口(EAM)
《中国人民银行分支机构内部控制指引》中明确要求“系统开发时应考虑监督检查的需要,必要时应预留有关审计接口”。为此,笔者建议:一是对现有的业务系统进行补丁,建立起由内部审计人员登录并提供由系统本身自动产生有操作风险或较严重误操作的记录的嵌入式审计窗口,从而增加对审计对象的介入深度和改进审计方式;二是对今后开发的业务系统,审计部门要提前介入,提供切合实际、有针对性的系统控制、程序控制和风险点控制等方面的需求报告,供开发人员研究设计,未经审计部门介入的业务系统软件,不能擅自推广应用。
嵌入式审计窗口作为系统控制、程序控制和风险点控制模块,主要针对系统操作可能导致的风险进行监测和记录。记录内容可包括金额、资金流向、摘要;时间、操作员;保密资料的打印次数;操作员密码管理情况;主管授权情况;非工作时间开机登录情况;操作员签退情况;数据备份与恢复控制情况等。EAM的应用,可成为业务系统自动监控的“黑匣子”,提高系统的可审性。同时,内审员通过网络登录可开展非现场审计,通过业务系统的动态监测可开展动态审计,具有监督频率高、信息连续性强、审计成本低、动态反映及时等特点。
3、推进技防信息化建设
技防信息化在央行重要业务系统中的应用目前仅限于对机房的监控,直接对业务系统实施技防信息化还是空白。技防信息化是通过计算机外接设备对操作员指纹、掌纹、声音、人脸、虹膜等进行图形、声音数据采集,由计算机进行生物统计,以进行身份鉴别的计算机控制方法。技防信息化可在中央银行ABS、TBS等重要业务系统中应用,如建立指纹识别系统(HSS)或脸像识别系统(FSS),并对应用系统所在的机房进行数字化动态监控。从而为内部审计提供必要的、有力的证据,尤其易对一些违规操作、非法登录、恶意破坏行为追踪认定,使责任追究落实到人。4、加快建设信息化审计网络服务平台
信息化审计网络服务平台是为内部审计工作提供全方位的服务网络系统。网络服务平台可以包括:审计人才资源、审计对象与方法、审计依据法规、风险点及控制、审计成果转化与应用等,形成一个多层面、多角度、立体式的网络服务平台。
网络服务平台要通过做好信息收集、整理工作,建立健全分层次的审计数据库,包括财务管理、国库资金管理、发行基金管理、人民币账户管理、外汇业务管理、金融统计业务管理、反洗钱管理、金融法律法规以及审计人力资源、审计工作中形成的审计结果和审计专家经验、风险点及控制等为审计服务的信息。依靠有效的内联网络,分层次地形成信息共享。
5、规避信息化审计风险
规避信息化审计风险是审计人员面临的新课题。信息化系统所固有的特性,使审计风险再所难免。如何最大限度地降低审计风险,只有靠审计人员敏锐的嗅觉、实战经验和一定的计算机应用系统分析水平。在审计实战中,一要运用电子数据易快速分类、排序、统计的特性,对电子数据进行关联、抽样分析等,以发现审计线索;二要检查业务系统的操作员分工、权限设置是否合理、严密,职责是否明确,分析密码管理机制是否安全、有效,系统各个功能模块设计是否符合央行内控要求;三要检查业务系统本身是否具有合理的安全保护措施,如容错性和系统灾难恢复机制等;四要检查被审计单位所提供的数据资料的真实性、时效性、完整性和连续性,必要时应进行复核;五要采用灵活的审计方式,如可采用就地审计或突击审计的方式,事先不通知被审单位计算机管理员,先取得备份数据,以防操作员将数据篡改、删除等。
6、加快人才培养和技术培训
李金华审计长指出:审计信息化是一场革命,审计人员不掌握计算机技术,将失去审计资格。基层央行内部审计信息化建设的发展,人才培养是最大瓶颈。当务之急是要用计算机知识武装审计人员的头脑。首先,要拓宽育人、用人视野,要有目的的选择品学兼优的业务骨干充实到内审岗位。其次,要抓好计算机审计深层次应用培训,如审计业务与通用审计软件相关的针对性培训、计算机辅助审计技术培训、常用的Excel、Access数据库中如何进行数据处理、加工统计及图形分析培训等。
课题组组长:张庭旭
课题组副组长:吕遂生
课题组成员:康登栋、李书文、康中华、王晓东、王勇
参考文献
[1]、王洪章,《中国人民银行岗位风险防范指南》,中国金融出版社,2006年。
[2]、张静,《人民银行内审理论与实务研究》,湖北人民出版社,2004年。
一、内部审计概念的演变
内部审计是在受托经济责任关系下,基于经济监督的需要而产生并发展的,它是经营管理实行分权制的产物。经济全球化的发展和公司治理的需要对内部审计提出了更高的要求,传统的内部审计的职能定位已经不能满足公司治理的需要。随着企业管理的需要和内部审计理论的发展,企业内部审计的职责、服务对象、审计内容和目标发生了巨大的变化,自国际内部审计师协会成立以来,对内部审计的概念进行了七次定义,每次定义都给内部审计带来了很大的变化。内部审计的职能由监督发展为确认、控制、咨询和治理,渗透到了组织运营及管理的方方面面;内部审计的内容由财务审计到经营审计,再到治理审计,关注企业风险,加强内部控制;内部审计的理念由消极防弊到积极兴利再到价值增值,为企业创造价值。内部审计概念演变体现了内部审计理论内涵认识的不断深入;社会对内部审计职能和作用的不断挖掘。
1999年,国际内部审计师协会新的《国际内部审计专业实务框架》实施,内部审计概念得到革命性的发展,IIA将内部审计定义为:内部审计是一种独立、客观的保证和咨询活动,其目的在于增加价值和改善组织的经营,它通过系统化和规范化的方法,评价和改进风险管理、控制和治理过程的效果,帮助组织实现其目标。这次定义对内部审计的发展具有深远的影响,主要体现在三个方面:
(一)增加了咨询服务功能
把内部审计设计成主动的以客户为中心的活动,其关注的关键问题是控制、风险管理与治理,强调要通过内部审计的咨询服务职能,改善风险管理、控制和治理过程,为组织提供增值服务。
(二)明确了内部审计着力点
扩大了内部审计的范围,将内部审计的工作范围延伸到包括风险管理、控制与治理程序,明确了内部审计职能有效发挥的着力点是“风险管理、控制和治理”。
(三)升华了内部审计的目标
将内部审计目标与组织目标相统一,通过清晰地陈述内部审计旨在增值与改善组织运营,强调了内部审计对组织的重要贡献,即“通过应用系统的、规范的方法,评价并改善风险管理、控制和治理过程的效果,帮助组织实现其目标”。
二、企业内部审计的现念
国家审计署石爱中(2007)副审计长提出内部审计的理念主要包括:重监督,也重服务;重结果,也重过程;重事后,更重事中、事前;重财务,也重业务和管理;重合规,更重3E(经济性、效率性、效果性);重审查,也重建议;重当前,也重战略性和长远性;重静态,更重动态;重内部控制,也重风险管理;重独立行为,也重互动①。
王光远教授(2007)提出了根植于受托责任和内部控制的现代内部审计理念,他认为内部审计是确保受托责任履行的控制机制;控制评价是内部审计的执业秘诀;内部审计是风险管理的确认者、是对风险管理的再管理;内部审计是治理主体可依赖的、极具价值的资源;确认和咨询是内部审计的两大服务领域;内部审计是企业变革人;内部审计高度重视客观性;建立健全以控制和风险为导向的内部审计准则;内部审计是利润中心或投资中心;内部审计可以实现价值增值。
亚洲内部审计师协会联合会主席陈华也提出了企业内部审计的现念。他认为:内部审计产生于经济危机中,每次经济危机都给内部审计带来机遇和挑战;确认和咨询是现代内部审计的两大服务领域,组织应根据不同环境,相继形成不同比例的服务组合;内部审计的理论基础是委托理论和现代管理理论,方法论是系统论、控制论、信息论,独立性和客观性是其两大属性;内部审计作为公司治理的重要基石,应当融合风险管理审计、内部控制审计和公司治理审计,变革传统的内部审计角色;内部审计师应当做好企业的系统工程师,内部控制师,风险评估师以及信息人。
龙罡(2008)在其《现代内部审计十大理念》一文中将内部审计的十大理念表述为:内部审计职业化和专业化,是内部审计发展的必然选择;内部审计是一项为组织增加价值的活动,一流的企业,需要一流的内部审计;内部审计需要规范化、标准化,但更需要企业特色;内部审计要实现“有为就有位,有位更有为”的良性循环;时代的呼唤,使内部审计从幕后走向前台;“防范胜于查处,审计寓于服务”,内部审计要担当“公司顾问”和“经济良医”;内部审计要学会发挥“营销”作用;内部审计信息化是内部审计发展的必经之路;从“孤军作战”到联手管理,提倡借脑运作,采取参与合作的工作方式;内部审计人员应学习哲学,培养逻辑思维能力。
笔者认为企业内部审计现念主要包含三个方面:价值增值、管理+效益和免疫系统。
(一)价值增值
在内部审计第七次定义中,第一次提出了“增加价值”这一目标,这表明内部审计进入价值增值阶段,价值增值成为引领内部审计前进的方向。
内部审计的价值增值包括组织增值和自身增值。组织增值体现在两方面,内部审计一方面通过咨询、建议、服务和书面报告等形式传递各种信息,帮助组织实现价值增值;另一方面,对组织的内部控制进行评价,以确保组织的控制对防止价值遭到损失,帮助组织减少损失。内部审计的自身增值则建立在组织增值的基础之上,即通过发挥自身作用帮助企业实现价值增值,从而实现自身的增值。
(二)管理+效益
国家审计署前审计长李金华曾指出,内部审计的定位应该是“管理+效益”。内部审计要以效益审计和管理审计为主,从效益审计出发,最后落实到管理审计;同时内部审计要以事前和事中审计为主。相对国家审计和社会审计而言,内部审计的发展空间是最大的,领域是最广的。
管理审计是对组织内部的各种经营管理活动进行独立的、客观的、综合的、建设性的、面向未来的检查和评价,以帮助企业改进决策、提高经营能力和完善企业管理。实行管理审计,就是对管理的再管理,对监督的再监督,是从宏观上对企业进行审计监督,目的是堵塞管理漏洞,规避企业风险,改变组织运营状况,确保企业总目标的实现。
效益审计是由专职机构和人员,采用专门的程序和方法,取得审计证据,对照选定标准,以评价、衡量和鉴证被审计单位或项目经济活动所体现经济效益的优劣,促进改善经营和管理,提高经济效益的一种独立的经济监督活动。
(三)免疫系统
国家审计署刘家义审计长②在五届三次理事会暨第二次理事论坛(2008)上提出审计本质上是一个国家经济社会运行的“免疫系统”。这是一个新的观念,也是一个新的理论,内涵丰富,影响深远。
审计免疫系统论利用仿生学原理,提出审计作为一个国家经济运行安全的免疫系统,也应具有生物肌体中免疫系统的三种基本功能,即免疫防御、免疫自稳、免疫监视功能。
免疫防御功能是指审计应该具有使经济社会免于内、外部组织和个人侵犯的能力;免疫自稳功能是指通过审计,能够不断健全、完善经济社会的各项管理机制,通过机制自动发现和清理不法分子的违法违纪问题;免疫监视功能是指对经济社会存在的共性问题进行预测分析,提出预警建议,避免危害加重的能力。
三、企业内部审计的主要内容
随着经济环境的不断变化,内部审计经历了财务审计、经营审计、管理审计,到现在的风险管理审计、公司治理审计,其视野不再仅仅停留在财务审计上了。内部审计的内容越来越丰富,几乎涵盖了公司治理的各个领域,主要集中在经营审计、风险管理及公司治理等方面,一些新兴的审计学科受到越来越多学者的关注。笔者认为,目前内部审计应当重点关注以下几个前沿问题:战略审计、治理审计、风险管理审计、IT审计、计算机辅助审计和内部控制评价。
(一)战略审计
企业战略是企业一切行动的指南,是企业长期生存发展的根本保证。战略管理已经成为现代企业管理的关键,而现代企业管理直接影响着内部审计的性质、模式、运行和发展,因此,内部审计越来越多的将战略审计作为重点。
战略审计是一种具有公司整体观的管理审计,可以提供对于公司战略态势的综合评价(Wheelen,T.L.Hunger,J.D.1987)。战略审计应能覆盖战略管理的各个层次和全过程,因此,企业的战略审计内容应当包括企业战略管理体系审计、战略行为表现审计、战略条件审计和战略态势审计。
(二)治理审计
大量的财务欺诈舞弊案例促使人们追寻更高质量的公司治理,内部审计的定位也从“属于内部控制的组成部分”上升到了治理的高度。治理审计是指组织内部审计机构和人员依据国家法律、法规、政策和标准,独立、客观地对本组织公司治理环境、状况进行监督、评价和咨询,提出改善公司治理的意见或建议的行为。
内部审计是“透视公司的窗口”,是公司治理的“守门员”,是组织极具价值的资源(王光远,2007)。可见内部审计在公司治理中发挥着重要作用。现代内部审计应该是内部治理审计,其主要工作任务是绩效评估,即对组织的风险管理、内部控制和治理过程进行绩效评估,这种工作最终体现为一种价值创造活动(张伟,2004)。
(三)风险管理审计
企业风险管理审计是指企业内部审计部门采用一种系统化、规范化的方法对企业管理信息系统、各业务循环以及相关部门的风险识别、分析、评价及管理等为基础的一系列审核活动,对机构的风险管理、控制及监督过程进行评价进而提高过程效率,帮助企业实现目标。企业风险管理审计是风险管理的再管理,审计方式由事后向事前、事中转移,能够充分发挥内部审计作为免疫系统的功能。
风险管理审计的重点是对风险管理中风险识别阶段和风险评估阶段进行审查和评价,并给予相关建议及解决方案。内部审计人员应当实施必要的审计程序,对风险识别过程进行审查与评价,重点关注企业面临的风险是否已得到充分、恰当的确认,面临的主要风险是否均已被识别出来,并找出未被识别的风险。
内部审计人员审查与评价风险评估过程时应重点关注风险发生的可能性及风险对企业目标的实现产生影响的严重程度。
(四)IT审计
IT审计是独立于信息系统本身、信息系统相关开发、使用人员的第三方――IT审计师采用客观的标准对信息系统的策划、开发、使用维护等相关活动和产物进行完整的、有效的检查和评估。IT审计内容包括:业务计划审计、业务开发审计、业务执行审计和业务维护审计。
IT审计最早出现在IT应用比较深入的金融业,后来逐渐扩展到其他行业。IT审计的目标是协助企业信息技术管理人员有效地履行其责任,以达成企业的信息技术管理目标。组织的信息技术管理目标是保证企业的信息技术战略,充分反映该企业的业务战略目标,提高企业所依赖的信息系统的可靠性、稳定性、安全性及数据处理的完整性和准确性,提高信息系统运行的效果与效率,保证信息系统的运行符合法律、法规及监管的相关要求。
(五)计算机辅助审计
IT从根本上改变了组织内部经营和外部主体联络的方式――重新定义合作的界限(Elliott,1994),例如,电子数据交换(EDP)、财务电子数据交换(FEDI)等使组织能够共享信息并提高经营效率。IT的发展对内部审计的发展产生了一定影响,在此基础上产生了计算机辅助审计。计算机辅助审计是指审计人员在审计过程和审计管理活动中,以计算机为工具,来执行和完成某些审计程序和任务的一种新兴审计技术。
内部审计人员可以使用各种计算机辅助审计工具及技术(Computer Assisted Audit Tools and Techniques,简称CAATTs,即能够提高审计效率和效果的电算化工具和技术)。CAATTs最初支持制度基础法(system-based approach)审计,该方法使用复杂的、嵌入式的技术和并行模拟对控制进行测试。CAATTs包括各种软件工具,也包括更先进的技术,如可以进行连续审计的数字(digital agents)、嵌入式审计模块和神经网络。数字甚至可以向客户进行销售验证,并通过电子邮件向审计人员发送确认函(Searcy和Woodroof,2003)。
(六)内部控制评价
内部控制评价,是指企业董事会或类似权力机构对内部控制的有效性进行全面评价,形成评价结论,出具评价报告的过程。企业执行内部控制评价目的是确保内部控制系统的恰当性和有效性,为组织目标的实现提供合理的保证。内部控制评价在改善内部控制环境、提高内部审计效率、节约外部审计资源方面都能够发挥积极的作用。
企业的内部控制评价可以通过建立科学的内部控制评价指标体系得以实施。内控评价指标包括定量指标和定性指标,指标的设计应当围绕内部控制设计的有效性及运行的有效性这两方面进行。
四、企业内部审计的发展方向
普华永道2007年“内部审计2012”及“内部审计2012――亚太地区补充篇”两份调研报告,调研结果表明:五大密切相关的趋势推动着内部审计由控制导向向以风险为中心转移,它们分别是:全球化、内部审计角色的不断改变、风险管理的变化、审计人才的短缺、技术改进。未来所适用的内审模式将以风险管理为中心来促进内部审计增值功能的发挥。
安永2008年对全球35个国家的348家企业内部审计进行了调查,企业内部审计的发展趋势是:更加关注风险管理;更加关注企业战略;更加关注公司治理;更加关注人力资源;更加关注控制活动。这五点基本能够反映现阶段内部审计的发展趋势。
亚洲内部审计师协会联合会(ACIIA)2009年发表了《内部审计在公司治理中的作用》研究报告。报告指出内部审计的发展趋势是:内部审计职能从监督、评价到确认与咨询;内部审计目标从查错纠弊、增加显性价值到改进管理、完善内控、预防错弊而增加隐性价值;内部审计重点从多种审计类型并存到风险导向的管理审计;内部审计技术从传统手工作业和经验判断到风险分析和信息技术的应用。
著名学者Andrew D. Bailey, Jr.在《内部审计思想》(2006)一书中阐述了自己对于企业内部审计独到的见解。他认为:咨询与确认并存;合作外包将日益受到青睐;内部控制审计、风险管理审计和治理审计将成为内部审计的重点;服务于多个利益相关者是未来内部审计的出发点;传统审计和现代审计共存是未来内部审计实务的基本格局。
IIA总裁及首席执行官理查德・钱伯斯(2008)认为未来内部审计应该重点关注以下几个方面:财务审计、价值增值、效益与管理、责任与控制、内部审计外部化、合作内部审计模式。
秦荣生(2009)在其《从国际视角看我国内部审计的发展方向》一文中指出内部审计的发展趋势是:拓展风险管理新领域;深入介入内部控制;推动更有效的公司治理以及内部审计人员职责的更新。
笔者认为内部审计的发展方向主要有以下五个方面:
(一)推进内部审计参与风险管理
随着企业风险管理水平的不断提高,内部审计从强调控制逐渐向关注风险管理。过去的内部控制导向审计是内部审计人员普遍使用的审计方法,它使审计人员容易将审计重点偏向于组织的内部控制系统,而忽视了组织本身的目标。KPMG的一项针对高级主管及内部审计经理的调查显示:传统的内部审计方式――主要监测政策和控制是否得到有效执行已经过时,内部审计部门必须采取面向未来的、风险导向的思路来衡量企业成长并提高股东价值。内部审计作为企业内置的一个职能部门,理应成为企业风险管理的有效组成部分,从组织目标的角度来评估与应对风险,为专业的风险管理部门或专职的风险管理人员提供咨询与保证服务,从而推行风险导向内部审计。
(二)发挥内部审计在公司治理中的作用
IIA 规定的内部审计的主要职责包括:对公司运营与公司项目进行评价,以确保与公司治理的目标保持一致;开展有益于提高公司治理水平的咨询业务。内部审计应该以公司的治理活动为评价对象,如风险管理评估、内部控制评价等,为提高公司治理水平做出贡献。
内部审计师需要认真考虑如何改进以应对今天的挑战,满足公司治理主体包括股东、董事会、高管层等的需要,通过深入到公司治理的各个环节,调整和优化公司治理结构,提高经营效率和效果,改善组织的风险管理、内部控制和治理过程。内部审计作为辅助公司治理的一种制度安排,它需要通过系统、规范的方法进行风险识别、风险评估和风险应对,为组织提出好的建议,供企业最高管理层参考,帮助组织实现目标。
(三)促进内部审计职能的拓展
IIA对内部审计的最新定义中已经明确指出,要通过确认和咨询两种形式来实现内部审计为组织提供价值增值服务。现代内部审计的确认是对传统内部审计评价职能的拓展和延伸。IIA对确认服务的定义是:通过检查相关证据,对公司治理、内部控制和风险管理进行独立客观的评价。确认服务包括内部控制审计、经济责任审计、财务审计、系统安全审计、遵循性审计等等。咨询职能是从传统内部审计向管理层提供建议延伸而来的,它拓展了内部审计的服务内容。咨询活动主要是向管理层提供建议或提供客户服务等活动,具体包括提供管理建议、职工培训和流程设计等。
(四)采用现代科学的审计技术与方法
现代审计技术与方法能够提高审计效率、降低审计成本和审计风险。目前,国外现代内部审计大多采取风险导向的审计方法,紧紧围绕风险防范开展内部审计工作,并借助计算机技术来进行风险测定,对重要业务或内部控制系统存在较大缺陷的机构进行重点、深入的审计。审计人员可以充分利用信息技术优势,使用更有效的审计方法,提高证据采集的独立性和分析处理的可靠性,增加审计时效性。应当注意的是,在引进现代科学的审计技术与方法的同时,还需要做好相应的风险防范和应对工作。
(五)加强内部审计人才队伍建设
目前我国的内部审计人员队伍知识结构比较单一,内部审计人员配置缺乏复合性,传统的财务审计人员视野相对狭窄,其知识及技术技能难以满足内部审计的要求。针对这一现状应该采取多种有效措施加强内部审计人才队伍建设。一是加强内部审计人员的引进和培训,在培训过程中应当注重提高培训的质量;二是促进内部审计人员结构的多元化和知识结构的多元化,全面提高内部审计人员的素质和技能。
五、企业内部审计认识的误区
(一)企业内部审计定位被错位
1.“助手”还是“参谋”。1999年的内部审计定义中新增了咨询职能,内部审计部门针对组织所遇到的来自内外各方的挑战,通过向管理当局提供诸如经营管理、内部控制、风险管理等咨询服务,帮助组织增加价值。内部审计的定位应该从处于从属地位的“助手”转变为注重参与的“参谋”。
2.“警察”还是“医生”。免疫系统这个理念反映了内部审计的重心从“治”到“防”的转变,“警察”和“医生”也反映了传统的内部审计和现代内部审计定位的区别,这就需要内部审计的重心从事后审计向事前、事中审计的转移。
3.“监督”还是“服务”。IIA对内部审计的最新定义中已经明确指出,要通过确认服务和咨询服务两种形式,为组织提供价值增值服务。现代内部审计的确认职能和咨询职能是对传统内部审计职能的拓展和延伸,因此内部审计的定位要从单一的“监督”向“‘监督’与‘服务’并存”转变。
(二)企业内部审计独立性被强调
传统的观点认为独立性是审计的灵魂,造成了独立性被过分关注或强调。IIA认为,客观性是一种精神状态,一种不影响恰当地评价、判断和决策的精神状态;而独立性则是指不存在威胁客观性的重大利益冲突。也就是说,客观性与确认或咨询服务的评价、判断和决策活动的质量有关,而独立性与确认或咨询服务所处的环境有关。因此,在环境(即利益冲突)确定的情况下应当更多的关注客观性,提高内部审计服务的质量,将客观性视为审计的灵魂。
(三)企业内部审计范围被拓宽
为了更好地对受托方经济责任进行监督和管理约束,内部审计的职能也需要不断拓展。受托经济责任的拓展是内部审计职能拓展的动力,表现为内部审计具体服务范围和内容的多样化发展。内部审计的范围已经囊括了战略审计、治理审计、管理审计、经营审计、效益审计、财务审计、工程审计、合同审计、比价审计、IT审计、经济责任审计、内部控制评价、风险管理审计等。内部审计的范围被拓宽,企业应当根据自身所处的内外部环境找到内部审计的重点。
(四)企业内部审计要求被提高
1993年,IIA“一个称职内审人员应具备的知识结构”的调查结果显示,有20余项公认的必须掌握的知识,归纳起来,内部审计人员必须熟练掌握的知识和技能有:逻辑推理、沟通、审计、计算机和信息系统、统计抽样等。
随着内审人员逐渐向更高的咨询和评价角色拓展,内审人员必须掌握与经济、金融、信息技术等相关联的各项知识技能。中国内部审计协会2008―2010年连续三年对中国大陆和香港内部审计能力与需求进行调查,得出结论:
2008年的调查结果为一般技术知识能力(25项)普遍偏低,除了税收法规(适用于相关区域/国家)以外,其他各项能力得分均低于3分(5分制)。
2009年的调查结果为一般技术知识能力(32项)普遍偏低,得分均低于3分(5分制)。
2010年的调查结果为一般技术知识能力(32项)普遍偏低,得分均低于3分(5分制),能力水平最高的是“COSO内部控制框架”(2.9分)。
调查结果显示,连续三年的能力水平总体表现差强人意,从2008年到2010年依次为:2.38、2.22、2.22,知识技能得分普遍偏低。该调查对受访者评估的知识领域多达32项,这也说明了对内部审计人员的要求过高。
六、企业内部审计的再思考
(一)内部审计的定位:相对独立的经济监督
内部审计机构应由董事会下的审计委员会和监事会共同领导,实行双向负责、双轨报告、保持双重关系的组织形式。这种组织方式在一定程度上提高了内部审计的独立性,使其能够更好地发挥其经济监督职能。需要强调的是,内部审计的独立性不能过分地被强调,否则会导致内部审计部门和人员与被审计单位之间形成对立。笔者认为内部审计的定位应该是相对独立的经济监督。
(二)内部审计的导向:以风险导向为主的混合导向
在风险导向内部审计阶段,主要的审计类型是将风险管理、公司治理和内部控制融于一体的综合审计。风险作为核心理念,在整个内部审计中的作用都是举足轻重的,这种综合审计体现在十分关注公司治理过程中对风险的发现和管理,关注管理者及其经营管理行为可能出现的风险以及组织在整个治理过程中的决策风险和经营风险。此外,任何一种审计模式都有其他审计模式不具备的优势,应当允许多种审计模式并存,这就要求我们建立以风险导向为主的混合导向审计。
(三)内部审计的职能:三大职能
经济监督和经济评价是内部审计的传统职能,但随着内部审计所处的内外经济环境的变化,内部审计的职责不仅包括对企业经营活动进行监督、检查、防弊,更重要的是对企业所处的经营环境和经营风险进行调查分析,为企业管理层的经营决策提供建议。内部审计的职能范围由内向外不断扩大,内部审计发挥的作用也越来越重要。咨询职能是从传统内部审计向管理层提供建议延伸而来的,它拓展了内部审计的服务内容。因此,除了监督和评价这两项传统职能,还应当包括咨询职能。
(四)内部审计的范围:以财务审计为主的全面审计
随着企业内部审计的范围被拓宽,审计范围已经渗透到内部控制、风险管理、文化整合、决策执行等方方面面。需要注意的是内部审计并非无所不能,企业应当根据自身的经济业务活动、管理需要以及成本效益原则寻求内部审计的重点。国际《内部审计实务标准》第300条“工作范围”中对此做出了界定:内部审计的范围必须包括对该组织内部控制系统的适用性和有效性,及其完成所指定职责时对其实施效果进行的检查和评价。笔者认为内部审计应当突破“查错防弊”的使命,内部审计的范围应当包括:财务审计、效益审计、经济责任审计、内部控制审计和信息系统审计。
(五)内部审计的技术:计算机辅助审计
由于计算机审计工具的智能化发展,现代内部审计技术与方法的应用能在很大程度上提高内部审计的效率和效果。常用的计算机审计工具和技术有:嵌入式审计模块(EAMs)――实现对交易处理等被审计事项的持续监控;通用审计软件(Generalized Audit Software,简称 GAS)――帮助审计人员完成基本的审计任务,尤其擅于测试计算机中存在的数据和信息;除此之外还有电子表格分析技术、数据提取技术和自动化工作底稿等技术。内部审计人员应当不断学习新的知识技能并将其应用到内审工作中去。
【参考文献】
[1] 秦荣生.从国际视角看我国内部审计的发展方向[J].当代财经,2009(10):110-115.
[2] 王光远.现代内部审计十大理念[J].审计研究,2007(2):24-30.
[3] 龙罡.现代内部审计十大理念[J].湖北经济学院学报,2008(2):73-74.
[4] [美]贝利,格拉姆林,拉姆蒂.内部审计思想[M].王光远,等译.北京:中国时代经济出版社,2006.
[5] 王光远.消极防弊・积极兴利・价值增值[J].财会月刊,2003(2):3-5.
[6] 毕旭云.内部审计职能拓展问题研究[D].首都经济贸易大学硕士学位论文,2010.
[7] 孙立.治理型内部审计相关研究综述[J].商业时代,2008(26).
