近年来,由于企业面临外部市场环境的变化,生产方式逐步更新,内部管理方式的不断改进,传统的内部审计方法已显得无法满足企业所有者及委托管理者得需求,也越来越显示出局限性。因此,要引入先进的风险导向内部审计方法,以起到增加企业价值和改善运营的目的。
风险导向内部审计是指内部审计人员在内部审计的全过程自始至终都要关注那些可能对企业战略和目标的实现产生影响的事件、行为和环境,包括经营风险、市场风险、信贷风险、技术风险、人事风险,依据识别出的风险,制定审计计划,最终以围绕被审计单位风险为中心出具审计报告,从而协助被审计单位进行风险管理,帮助被审计单位降低各种风险。风险导向内部审计是一种新的审计方法,它以系统观和战略观为指导,运用“自上而下”和“自下而上”相结合的审计思路,从企业战略分析入手,将被审计单位财务报告错报风险和其他风险紧密联系起来,它要求内部审计人员要全过程、自始至终关注被审计单位风险,识别风险、测试风险,及时提出可降低风险的可行性建议和意见。
1、审计重心发生改变。风险导向内部审计需要审计人员将审计工作重心由内部控制测试转向风险评估测试,风险评估结果决定了审计人员应关注的高风险审计领域及重点审计项目,从而决定了审计资源的分配及审计证据的性质与数量,并在审计过程中更加关注企业战略、企业面对的外部行业状况、法律环境、监管环境及经营风险等内容。
2、被审计对象由被动审计转变为主动参与。传统审计,大多是被动式审计,审计部门往往居高临下,被审计单位疲于应付,而风险导向内部审计则变为被审计对象的主动参与,需要被审计对象与审计部门共同参与,发现、分析和解决审计发现问题。
3、审计业务范围较传统审计有所扩大。风险导向内部审计在传统的内部审计工作范围的基础上,将其业务范围扩展到风险管理、公司治理等领域以及凡是能为组织增加价值的保证和咨询活动。
4、将着眼点放在未来。风险导向内部审计更加注重被审计单位显现与潜在的影响未来经营目标实现的风险。在实施审计时,对这些问题投入较多的审计资源,在证实、评价有关信息的基础上,做出恰当的审计结论与切实可行的对策性建议,以促进和帮助被审计单位管理当局有效履行其面向未来尤其是制定科学的未来发展战略方面的受托管理责任,这改变了传统审计根据对过去业务与内部控制情况进行评价而做出审计结论、提出审计建议的做法。
风险导向内部审计程序包括风险评估阶段、审计计划制定阶段、审计实施阶段、审计报告阶段、后续审计阶段。
(一)风险评估阶段
首先要了解被审计单位内、外部环境:
(2)被审计单位的性质;
审计人员对被审计单位本身及外界环境进行分析,从而识别出宏观环境和行业环境对被审计单位战略的影响、被审计单位的战略管理控制程序及其实施效果,达到发现战略风险的目的。
其次,审计人员要分析内部经营环节,不但能使被审计单位降低战略风险,而且其自身也会导致经营风险,也就是环节风险,这需要分析被审计单位从生产到经营每个关键环节的监控与控制过程存在的风险。
第三,审计人员须在分析完战略风险、经营环节风险后得出被审计单位剩余风险。剩余风险是指那些运用了所有的控制和风险管理技术以后而留下来,未被被审计单位有效控制的风险,并对会计报表存在潜在重要影响的风险,它们可能源于战略风险,也可能源于经营环节风险。剩余风险是审计人员关注的重点。
(二)审计计划制定阶段
审计人员,通过分析影响被审计单位目标实现的各种风险,建立风险坐标图,对风险进行定量和定性评估,在识别出企业重要风险后,确定审计重点,审计范围,制定审计计划。审计计划的内容应包括有:被审计单位的基本情况、审计目标、审计范围、审计风险初步评价、重要性标准、审计策略(包括重点审计领域以及其他关注事项)、审计时间表以及人员安排、审计实施前准备工作等。
(三)审计实施阶段
在审计实施阶段是根据风险评估水平所确定的审计重点、时间和范围进行的。应当采用恰当的方法,包括检查、监盘、观察、查询及函证、计算、分析性复核等,以获取充分、适当的审计证据。风险导向内部审计的实施的整体思路是“目标-风险-控制-审计”,关注各项风险因素是否得到适当管理,同时在实施审计时,通过舞弊评估、有针对性的审计、帮助降低被审计单位风险。
1、控制测试。旨在确定内部控制的有效性,以便在之后的审计中适时地信任它,提高审计效率,它不是必经程序。当审计人员风险评估时期望内部控制有效,或者仅靠实质性测试不能为某项认定提供充分的证据时,就实施控制测试。
2、执行实质性测试。对各类重大交易、账户余额,审计人员都必须进行实质性测试,以确保管理当局在财务报表上的各项认定是客观、真实的,即对财务报表所反映的经济事项的存在性和完整性做实际审核。
3、风险再评估及修改审计计划。在审计过程中,审计人员可能会发现计划中存在不符合现实的地方,并且达到了重要性水平,就需要调整计划,再次评估企业的风险,实施相应的工作步骤,以确保审计质量。
(四)审计报告阶段
现代风险导向审计不仅意味着在企业计划中体现对未来的预先考虑,还体现在终结审计中。审计人员以风险评估为基础提出审计发现和审计建议,完成现场审计并出具审计报告。审计报告应简洁明了,并关注各项风险因素的披露和审计建议执行力度。
(五)后续审计阶段
出具了审计报告,并不意味着审计过程的终结,还要进行后续审计。后续审计的重点是由于控制目标未能实现而产生的风险和影响。风险是决定后续审计本质和范围的重要因素,风险越大,后续审计的范围就可能越广。因此,控制目标的实现和风险的再评估是后续审计的重要内容。