基于风险导向的内部审计理论基础及实施程序,如何建立和完善风险导向的内部审计体系
基于风险导向的内部审计理论基础及实施程序
如何建立和完善风险导向的内部审计体系风险导向审计运用战略性和系统性的思想来指导重大错报风险的评估和整个审计过程。其核心思想可以概括为:审计风险主要来自企业财务报告的重大错报风险,而错报风险主要来自整个企业的经营风险和舞弊风险。风险审计是一种不同于会计项目的基础审计和制度
现代内部审计强调的是,以内控为基础,以什么为导向
以风险为导向 内部审计是一项独立、客观的保证和咨询活动,其目的是增加一个组织的价值并改善其运作。 风险导向审计(Risk-oriented audit)作为内部审计的一种审计模式,是指审计人员在整个审计过程中以对业务风险的分析和评价为指导,根据量化分析水平安排审计项目。风险导向型内部审计的风险是审计风险。然而,另一种观点认为,所谓的“风险”不仅仅是“审计风险”,而是指更大意义上的企业风险。 Brink的《现代内部审计》第六版提到“当前的内部审计人员应该使用一致的方法来理解和评估审计风险,包括高墩金融培训(Gao Dun Financial Training)提供的“风险导向内部审计实务”课程,全新的审计理念和技术方法,大量的案例解释和实战演练,让你能够轻松应对新时期内部审计职能的转变。 随着经济全球化和科学技术的快速发展,组织内部关系日益复杂,外部市场竞争日益激烈,导致经济社会中的不确定因素越来越多,从而增加了企业承担的风险。 内部审计作为企业内部控制和风险管理的制度安排,需要适应形势,不断调整业务范围。内部审计是由各部门和单位内部设立的专门机构或人员进行的审计。 内部审计主要监督检查有关部门和单位的财务收支和经营管理活动。 目前,由于领导关系的不同,各国内部审计部门一般分为三种类型:(1)在单位主管财务的总会计师或副总经理的领导下。
如何建立和完善风险导向的内部审计体系
如何建立和完善风险导向的内部审计体系风险导向审计运用战略性和系统性的思想来指导重大错报风险的评估和整个审计过程。其核心思想可以概括为:审计风险主要来自企业财务报告的重大错报风险,而错报风险主要来自整个企业的经营风险和舞弊风险。风险审计是一种不同于会计项目的基础审计和制度
现代内部审计强调的是,以内控为基础,以什么为导向
基于风险导向的内部审计理论基础及实施程序范文
本文的目录导航:
[标题]华电能源有限公司风险导向内部审计研究
[第一章]风险导向内部审计理论与实践的研究现状
[2.1-2.3]风险导向内部审计的实施条件和功能
[2.4-2.5]风险导向内部审计的理论基础和实施程序
[第三章]风险导向内部审计在华能公司的应用研究
[第四章华能公司风险导向内部审计存在的问题及原因分析
[第五章]完善华能公司风险导向内部审计的建议
[第六章]企业风险导向审计的研究结论及借鉴
2.4面向风险的内部审计实施程序
2.4.1审计准备阶段。
审计准备阶段是风险导向内部审计工作的开始。如果这部分工作做得好,那么接下来的步骤就可以顺利进行。准备阶段的主要内容包括:
以审计风险为导向,制定企业年度总体审计计划,确定被审计部门,制定具体审计计划等。
在审计准备阶段,企业需要考虑许多因素,包括公司的基本内部条件,如内部控制、企业发展、管理人员的行为和工作能力、人员岗位的异常或重大变化、与企业或人员有关的其他条件以及企业的宏观环境。
现阶段,内部审计部门应从以下两个方面着手:第一,审前调查。
内部审计师需要对被审计部门的情况有一个基本的了解,对其总体情况有一个总体的把握,并对审计重点有一个初步的判断。首先,内部审计部门应了解被审计部门的外部环境,如行业特点、现状、未来发展趋势和行业惯例。其次,我对被审计部门的基本内部情况有一个大致的了解。通过与公司员工的沟通、获取公司相关信息以及其他相关部门的走访和调查,可以了解被审计单位的基本情况及其变化。
第二,衡量和评估环节。内部审计师可以根据调查环节收集的相关信息进行计算和评估,进一步确定企业的审计重点、可能存在的问题和审计风险,从而开展有针对性的审计工作,提高审计效率。
2.4.2审计实施阶段。
审计实施阶段的内容包括评价企业内部控制制度、审查财务收支项目、获取审计证据、撰写审计工作底稿、进行审计评价等。事实上,现阶段的工作可以从两个方面来理解。一方面,它是内部审计师和被审计部门人员之间沟通与合作的过程。另一方面,它是通过审查被审计部门的会计数据和审查与审计事项有关的文件和材料来检查现金、证券和实物的过程。有时,需要通过延伸调查或其他方式核实相关信息,并从相关单位或个人获得相应的证明文件,这也是审计人员进行审计和获取证据的过程。这一阶段是整个审计中非常重要的一个阶段。审计人员的任何遗漏都可能增加审计风险,增加审计成本,也可能导致整个审计项目的失败。
实施阶段主要包括以下两点:(1)内部控制安排的合规性测试。审核组应对被审核部门的内部控制体系进行符合性测试,并根据评估结果重新审核原审核计划的可行性。如果发现原审计计划确定的审计重点、范围、具体实施步骤和方法与合规性测试结果不一致,则需要按照规定的程序和方法及时修订审计计划,实质性测试的范围和重点需要合理调整。但是,修订后的审计计划仍需经派出的审计小组和审计部门主管领导批准后才能组织实施。(2)安排对会计报表项目进行实质性测试。实质性测试是项目审计的关键内容。在这一环节中,内部审计师应正确使用审计方法,如检查、监督、观察等。一、审查被审计部门的现金、实物、会计凭证、账簿、报表等相关经济业务,需要分析和认定证据的真实性、相关性、充分性和合法性,以获得令人信服的审计证据。同时,内部审计师应认真将审计过程中收集的各种证明材料和内部审计师的专业判断载入审计工作底稿,为撰写审计报告提供依据。
2.4.3审计报告阶段。
审计报告阶段是指在审计实施阶段完成后,内部审计师根据已完成的审计工作文件编制审计报告并归档审计相关文件的过程。审计报告阶段也是审计阶段的一个非常关键的阶段。审计过程中发现的问题以及如何解决这些问题以降低风险需要最终通过审计报告得到反映。
内部审计师根据前两个审计阶段即准备阶段和实施阶段的工作积累,对企业可能存在的风险进行了较为全面的分析和评价。审计报告以报告的形式提出了内部审计师在审计过程中收集整理的一些审计证据和数据,发现的相关问题以及相应的建议。针对审计过程中发现的问题,有必要先列举出来,分析其原因和影响,最后提出改进建议。内部审计师可以书面报告的形式编制审计报告,使相关部门和领导能够了解和重视审计过程中发现的问题,及时处理审计中发现的问题,最终促进企业的风险管理。
审计报告阶段的主要工作包括:
(1)编制审计报告。在审计员完成现场审计工作台后,他们进入准备审计报告的阶段。这一阶段的任务包括:对审计过程中获得的审计证据进行整理和评估;审查审计工作文件;审计后事项;总结审计过程中发现的差异,要求被审计部门进行调整或适当披露;提出审计意见并准备审计报告。审计报告中只反映那些有代表性的审计证据。
(二)作出审计结论和决定。审计部门对被审计部门进行审查时,发现严重违反法律法规的,应当在出具审计报告时作出审计结论和处理决定,要求被审计部门遵守,并通知财政、税务等其他有关部门协助实施。审计部门应当建议领导部门对责任审计人员进行处罚或者移送其他责任部门处理。
(3)审计数据的整理和归档。审计报告阶段的最终任务是清理和归档相关审计材料和文件。内部审核员应将从被审核部门借调的所有文件和材料返还给被审核部门。
2.4.4后续审计阶段。
审计报告不是审计的结束。审计报告后,企业需要一个后续审计阶段,以继续跟踪审计过程中发现的问题是否得到有效解决,审计建议是否得到执行。
内部审计部门提出了两种建议。一是整改建议,由于与现行系统标准、法规和公认原则不一致的事项,整改建议是强制性的。另一个是改进建议,意在无限期纠正,而不是强制性的。它们的制作是为了完善和优化管理活动(或过程)。被审计部门可以根据具体情况做出相应的回应。无论是第一项还是第二项,被审计部门应在出具审计报告后跟踪执行情况,特别是第一项有一定整改期限的建议,被审计部门应在规定期限内按时完成。
如果管理层不注意审计报告中指出的问题并采取有效措施加以解决,那么内部审计员所做的一些工作就没有价值。因此,审计报告的完成并不代表审计工作的结束。审计工作仍需要后续审计阶段。审计报告发布后,内部审计师仍需继续跟踪审计结果、审计建议的执行情况、必要时纠正措施的执行情况,并再次对风险管理结果进行分析和评估。
在后续审计阶段,内部审计师需要注意以下四点:
(1)将跟踪审计纳入年度重点或项目计划。为了保证审计工作的顺利开展,审计部门需要将后续审计工作纳入其年度工作点或项目计划,并具体说明后续审计的必要性和重要性。一方面,它可以引起管理者或决策者的注意,另一方面,它可以增强其法律效力,消除其他方面的障碍。
(2)选择重要项目。后续审计的对象应是重要项目。内部审计师应根据成本效益和重要性原则评估审计项目。对于不重要和不重要的项目,可能不安排后续审计。由于重要性原则相对而言,内部审计师需要根据企业的实际情况来衡量和界定后续审计项目。
(3)注重时效性。后续审计的时间不应太长。如果时间太长,由于缺乏紧迫性,管理层可能不会积极回应审计意见和决定。此外,如果间隔太长,审计意见和审计决定更有可能受到当时形势的限制,导致生产经营活动发生重大变化,最终导致审计结论没有发挥有效作用。
(4)审计技能和技巧。对于发现的问题,内部审计人员要想使自己的证据充分、令人信服、准确、经得起检验,就需要仔细思考和合理的科学技术方法。此外,内部审计师可以通过现场、签名和其他手段提高证据的完整性和说服力,以防止事后“翻案”。
2.5风险导向内部审计的理论基础。
2.5.1委托代理理论。
20世纪30年代,美国经济学家伯利和梅耶尔非常清楚企业主和管理者双重身份的风险和缺陷。因此,他们提出了“委托代理理论”,主张所有权和经营权分离,剩余索取权转让给企业主,经营权让步,企业主和管理者分成不同的群体。
委托代理理论认为,委托代理关系是随着生产力的提高和大规模生产而产生的。有两个主要原因。一是随着生产力的发展,社会分工进一步细化,权利所有者由于知识和能力的限制,无法享有全部权力。第二,在社会专业化分工中,出现了一些具有专业知识的代理人,他们有精力和能力被委托行使部分所有者的权利。然而,在委托代理关系中,由于委托人和代理人的效用函数不同,委托人追求自己财富的最大化,而代理人追求自己工资、津贴、奢侈消费和闲暇时间的最大化,这必然会导致两者之间的利益冲突。因此,委托代理关系需要合理的制度安排,否则委托人的利益可能遭受损失。
在过去的二十年里,委托代理理论模型和方法发展迅速。有三个要点:第一个是“国家空间公式”,首先由威尔逊(1969)、斯宾塞、斯宾塞和泽克豪斯(1971)和罗斯(1973)应用。它的优点是每一种技术关系都能自然地反映出来。然而,这种方法使我们无法经济地获得信息解决方案。二是莫里斯(1974,1976)首次应用的“参数化分布公式”,霍尔姆斯特罗姆(Holmstrom,1979)对此进行了深入研究。这种方法已经成为一种标准化的方法。第三种建模方法是“一般分布公式”。这种方法是最抽象的,没有指定代理的行为和产生的成本,但它是一个相对简单和精炼的广义模型。
由于委托代理关系在社会上是显而易见的,其理论经常被用来解决各种问题。例如,公司股东和经理、选民和官员、债权人和债务人都属于委托代理关系。
内部审计是企业内部的一种监督约束机制,主要针对代理人。因此,内部审计机构的建立和运作也可以说是代理成本的体现。从另一个角度来看,内部审计机构也是企业所有者赋予权力的代理人。企业所有者期望他们帮助企业实现增值,减少剩余损失。因此,委托代理理论也解释了风险导向内部审计为企业增值服务的本质。
2.5.2风险管理理论。
风险管理起源于美国。1929年世界经济危机的爆发导致大量银行破产和美国经济的大萧条,暴露了企业风险管理和内部控制的缺陷,也促使经济学家思考如何防范这类危机。1930年,所罗门·施布纳(Solomon Schbner)提出了风险管理的概念,这引起了更多学者对此课题的研究。当时,对风险的研究主要集中在保险上。当时,研究认为风险可以通过保险来避免或转移。20世纪90年代,风险管理进入全面风险管理时期。在此期间,风险管理得到了更全面的研究。
企业资源管理(ERM)定义企业风险管理:“企业风险管理是一个受董事会、管理层和其他相关人员影响的过程。它从企业战略的制定延续到各种活动。其目的是确定可能影响企业战略目标的因素,并控制风险,以便在企业的风险承受能力范围内帮助实现企业目标。”全面风险管理对内部审计的要求很高,这是风险导向内部审计非常重要的理论基础。在全面风险管理理论中,风险关注的核心是企业根本性的重大战略问题。风险管理涵盖了企业的各个层面,其最终目标是使企业价值最大化。企业风险管理除了关注企业内部控制环节可能存在的风险之外,还关注公司治理领域的潜在风险,使内部控制和公司治理充分融合。它将风险管理理念贯穿于整个审计过程,实现了以风险为导向的内部审计与全面风险管理的紧密结合。
2.5.3战略管理理论。
1965年,Ansoff在其著作《公司战略》中首次提出了“企业战略”,并将其定义为“一个组织如何计划实现其目标和使命,包括各种计划的制定和评估,以及最终要实施的计划”。“战略”一词已成为管理中的一个重要术语,并在理论和实践中得到广泛应用。
在20世纪70年代,战略管理的重点是企业适应和应对战略变化以及突发机遇和威胁的能力。它侧重于制定和实施战略。20世纪80年代初,以哈佛商学院迈克尔·波特(Michael Porter)为代表的竞争战略理论占据了战略管理理论的主导地位。波特指出,企业战略的重点是获得竞争优势,这受到两个因素的影响:一方面,企业所在行业的盈利能力也是其吸引力;另一方面是企业在这个领域的竞争地位。20世纪90年代,信息科技发展迅速,市场竞争环境日益复杂多样。企业必须将重心从外部市场转移到企业内部环境,注重自身独特的资源和知识技术,最终成为自己独特的竞争优势。
在战略管理理论的影响下,内部审计师站在企业战略的高度,分析和研究企业在经营活动中可能面临的各种风险,包括分析企业的资源状况和企业面临的内外环境变化,使企业能够及时应对内外环境变化给企业带来的风险,同时帮助企业抓住机遇,提升企业的附加值。
2.5.4业务再造理论。
企业再造理论是20世纪90年代初诞生于美国的一种关于企业管理方法的理论。它主张用一种再生的思维看待企业,并质疑传统管理依赖的基础——分工理论。因此,它被视为管理成长历史上的一场革命。它还主张企业应该抛弃固有的经营模式和工作方法,以便能够适应不断变化的竞争环境。企业应以工作过程为中心,根据当前环境和企业自身情况重新设计经营管理方式。
20世纪六七十年代以来,信息科学技术的飞速发展给企业的经营环境和经营方式带来了巨大的变化。然而,由于西方国家经济长期低速发展,市场竞争日益激烈,企业也面临越来越多的挑战。3C理论被用来说明这个严峻的挑战:
(1)顾客是指买卖双方关系的主导权从卖方转移给顾客。
一方面,由于激烈的市场竞争,客户也有更广泛的商品选择空;另一方面,随着公众整体生活水平的提高,顾客对各种商品和服务也提出了更高的要求。(2)竞争是指随着科学技术的进步,竞争的方式和手段不断发展,导致根本性的变化。跨国公司越来越多地超越国界,在日益一体化的国际市场上以各种方式进行竞争。例如,美国公司正面临来自日本和欧洲公司的激烈竞争。(3)变化(Change)是指市场需求不断变化,产品生命周期的单位从“年”逐渐变为“月”。随着科学技术的发展,企业的生产和服务体系经常发生变化,这种变化一直在持续。因此,在大规模生产和消费环境下形成的企业管理模式已经不能适应快速变化的市场。
企业“再造”是指对企业生产、经营和服务的全过程进行重新规划和安排,使之合理化。有必要对企业过去生产经营活动的各个方面进行深入调查研究,对发现的不适当和多余的细节进行修改。在具体的实施过程中,可以遵循以下程序。一是分析前一过程的功能和效率,找出存在的问题。二是重新规划和评估过程优化方案。三是在组织系统、人力配置和业务规范等相关领域制定与流程优化计划相匹配的改进计划,以制定连贯的业务再造计划。第四是安排改进计划的实施和随后的持续改进。
企业再造理论抛弃了对产品或服务增值没有实质性影响的无效劳动,改变了现有的业务流程,最终建立了一个扁平灵活的新组织。业务再造理论往往与战略层面相结合,因为业务再造方案的应用失败通常是由于流程再造与战略层面的分离。
企业战略在实施再造中起着重要的指导作用。企业在选择业务流程再造项目时,应该从战略层面出发,考虑企业的内部和外部资源。风险导向型内部审计是内部审计的重要组成部分,它以影响企业战略目标实现的风险为导向,旨在为企业提供增值服务。因此,就目标而言,它与企业再造理论非常一致。