基于ERM内部审计方法

摘要:复杂多变的经营环境使现代企业面临着众多的不确定性,为了实现企业目标,提升其价值,经营管理方法不断进行改进和完善,这也同时意味着内部审计目标和对象也正在发生着变化,企业为能够更好地实现其目标则对内部审计部门提出了更高的期望。基于此,本文首先对内部审计方法发展历程进行论述,接着提出实施基于ERM(Enterprise Risk Management,以下简称ERM,即企业全面风险管理)内部审计方法的必要性并对COSO委员会提出的ERM框架进行简要的论述,在此基础上,构建出基于ERM内部审计方法的步骤,以期其能够帮助内部审计人员发挥出内部审计本身应有的价值,以满足各方利益相关者的需求。

Abstract: The complicating and changing management environment makes the modern enterprises face more uncertainties. For meeting the enterprises’ target and promoting its value, the ways of managing and operating are being improved and perfected, and at the same time, this also means that the target and objective of internal audit are changing. The enterprises put forward higher expectation for the internal audit department. According to this, this text first elaborates the development process of the method of internal audit and immediately puts forward the necessity of carrying on the ERM-base audit (Enterprise Risk Management, takes ERM for short as follows) and elaborates the framework of ERM of the COSO, on this foundation, sets up the steps of ERM-based audit, with expect it can help the internal auditor realize the value of the internal audit and meet the needs of the stakeholders.

关键词:ERM;内部审计;基于ERM内部审计

Key words: The ERM;internal audit;ERM-based internal audit

中图分类号:F239 文献标识码:A文章编号:1006-4311(2010)16-0039-03

1内部审计发展历程简介

1.1 控制基础审计最初的内部审计可以概括为控制基础审计(Control-based Audit),其包括盛行于二十世纪八十年代前的传统审计活动。其典型特征是独立外部审计的延伸,在很长一段时间里,企业利用其对财务报表及披露的公允性进行评估并发表看法。该审计主要依赖于实质性测试和合理的保证来证实账户余额的正确表述。控制基础审计主要包括三个部分:一是证实是否与相关法律、规章、政策、原则等相一致,称之为符合性审计;二是吸收了外部独立审计的方法来测试和证实账户余额,称之为财务审计;三是对企业内部控制程序设计及运行的有效性进行测试,称为内部控制测试。

1.2 流程基础审计流程基础(process-based)审计通常称之为“营运”(Operational)审计,盛行于二十世纪八十年代。此时企业经营环境日趋复杂,各种管理思想应运而生,具有代表性的流程再造理论得到极大的推广,这就要求企业管理者关注企业的业务流程以适应市场变化。在此情况下,内部审计部门积极尝试采用新的审计方法来关注企业的业务流程并对其加以评价,通过向管理者提供有价值的信息来协助管理者进行管理。流程基础审计主要以企业最佳实务流程作为评价标准,通过了解企业具体营运目标并研究出完成此目标的最佳实务流程,采用询问,观察等方式评价企业当前业务流程并把其与最优业务流程进行对比,评估出两者的差距及由此而产生的影响,据此形成审计意见并提交给管理部门。

1.3 风险基础内部审计在二十世纪九十年代,风险(Risk-based)基础审计开始流行。在此时期,企业所面临的竞争环境日趋恶化,技术革新的周期也大大缩短,这给企业的经营管理活动带来了极大的影响,企业目标能否实现具有了相当大的不确定性,企业所面临的风险成为利益相关者所共同关注的焦点。同时随着大型公众会计师事务所积极向企业提供咨询和内部审计服务,内部审计需要采用新的方法来提供更高的集中度和价值,以此证实内部审计存在的价值。风险基础审计应运而生。风险基础审计通过对企业经营环境的了解,识别出企业所面临的主要风险,采用控制测试和实质性分析程序对企业控制风险的程序进行评价,判断企业当前实施的控制风险的策略和程序能否把企业风险降低到可接受水平以内,以及是否有效并据此形成审计建议,向管理者提出可行的改善措施。

1.4 风险管理基础审计在二十世纪九十年代后期,ERM(本文第三部分有相关介绍)开始成为企业全面管理风险的方法。审计部门采用的风险基础审计方法所关注的风险同时体现在ERM过程中。然而ERM具有风险基础审计方法所没有的功能。所以为对企业的风险管理活动进行审计,势必需要对审计方法进行改进,以此满足审计活动的需要。风险管理基础审计基本形成。风险管理基础审计重点在于识别当前风险管理有效性与期望有效性之间的差距,借助对企业经营环境及其目标的了解,识别出影响目标达成的风险,理解风险容忍度,识别绩效与风险衡量方法,并对风险进行评估,同时了解管理人员如何在风险容忍限度内进行风险管理活动,并对风险管理活动的有效性进行评估,据此形成审计建议。此时的风险管理基础审计是以企业的风险管理活动为审计对象,将内部审计业务嵌入到企业实施的全面风险管理的框架中,对机构的种种风险管理程序和结果进行鉴定和评价,帮助企业实现其目标。由此可以得出风险管理基础审计被紧紧束缚于企业风险管理活动之中,其所能适用领域也将受到企业风险管理领域的限制。

2采用基于ERM内部审计方法的必要性

为了打破企业风险管理领域的限制,将ERM框架中风险分析思路拓展到内部审计所适用的其他领域,本文提出基于ERM内部审计方法,其定义如下:基于REM内部审计方法是以企业风险为核心,运用COSO框架中系统的、规范的风险管理方法,识别并评估风险,据此确定审计对象,开展审计活动,并对其进行评价和提出改进建议,协助管理人员实现企业的目标。以下两个方面促使内审人员实施基于ERM内部审计方法:第一,现行的内部审计方法,不适用于已实施ERM的企业。ERM是20世纪90年代以来国际上兴起的一种新的风险管理模式。在Deloitte(2007)的调查中显示,35%的受访企业已建立起了完整的ERM项目,另外1/3正在建设之中,其余9%正在考虑建设。在国内,2006年6月国务院国有资产监督管理委员会也已下发《中央企业全面风险管理指引》,要求由履行出资人职责的国有企业贯彻执行。渤海银行、建设银行、工商银行、交通银行和中国银行等也已先后启动了ERM项目。在这种情况下,结合IIA(Institute of Internal Auditors, 后文简称IIA,即内部审计师协会)有关内部审计的最新定义(下文有相关介绍),内部审计需要对企业实施的ERM项目进行评价,并能够适时提出改进建议,提供增值服务,以协助管理层实现企业目标。COSO委员会提出的ERM框架中,其风险管理程序揭示了审计业务的分析性思路,故可将其纳入到内部审计中来,帮助内审人员提供增值服务。采用基于ERM内部审计方法既能满足评价企业实施的ERM需求,又可将其运用到内部控制和治理程序的评价中去。同时,并不是所有的企业都实施了ERM项目,在这些企业中基于ERM内部审计方法亦可对其内部审计人员提供指导,强化其服务能力。第二,内部审计自身发展的需要。IIA在1999年对内部审计进行了重新定义:内部审计是旨在增加组织价值和改善组织营运的独立、客观的确认与咨询活动。它通过系统化、规范化的方法来评价和改善风险管理、内部控制和治理程序的效果,以帮助实现组织目标。由以上定义可以得出,内部审计主要通过独立、客观的确认和咨询两类活动向企业提供服务,以此来增加企业的价值。同时该定义认为,控制的唯一目的是为了帮助组织管理风险、促进有效的治理。同时由于内部审计方法对内部审计职能的更好实现起着至关重要的作用,所以为满足此种要求,成功的履行其被赋予的受托责任包括内部受托责任和外部受托责任,充分体现内部审计存在的价值,内部审计应当与时俱进,改善其审计方法,来满足不同审计领域的需求。

3基于ERM内部审计方法实施步骤

2004年9月,美国国家财务报告舞弊委员会(National Commission On Fraudulent Financial Reporting,Treadway Commission)所发起的内部控制研究发起组织(Committee of Sponsoring Organization,COSO)了《企业风险管理框架》(Enterprise Risk Management -integrated framework),该风险管理框架理论是目前为止最完备的并具有广泛适用性的风险管理理论,受到世界各国理论界和实务界的广泛关注。在此情况下,本文借助COSO委员会提出的企业风险管理理论框架,使之与内部审计方法进行融合,提出基于ERM内部审计方法。希望其能够弥补风险管理基础审计方法不足。同时也希望内部审计人员借此能够更好地实现其价值增值目标,提升内部审计的地位。COSO委员会提出的ERM从目标、层次和构成要素等三个维度构造了一个包容性很强的框架,其可以通过一个三维矩阵以立方体的形式表示出来如图1所示。

第一维度,也就是对企业风险管理目标的划分。新COSO报告将企业风险管理的目标归为战略目标、经营目标、报告目标、合规目标四类。对主体目标的这种分类可以使企业的管理者和董事会关注企业的不同侧面。第二维度,也就是企业风险管理的要素。为了实现风险管理的有效性,需要以下八个方面的要素支持:内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通和监控。各要素相互关联,贯穿在企业风险管理的过程之中。第三个维度,是实施企业风险管理的层次问题。ERM可以根据企业的不同需求在子公司,业务单元,分部,主体层次上分别予以实施。本文根据COSO的企业风险管理框架结合内部审计本身已有的内部审计测试方法构建基于ERM内部审计模型:其主要可分为四个部分:

第一,重点审计对象的确定。内部审计部门本身就是企业内部的一个组织,其主动规划审计项目并进行实施是其应尽的职责,这就使得内部审计面临着审计项目的选择问题,如何才能确定出重点审计对象,对内部审计活动来说具有重要的意义。他直接决定了内部审计活动的成败。在确定内部审计的重点审计对象时,可以通过以下几个步骤:步骤一:环境分析。企业所处的环境对企业的生产经营活动以及企业的经营目标最终能否实现有着至关重要的影响。对企业所处的内外部环境的了解及分析,是开展审计活动的第一步。企业的外部环境主要包括:行业状况、法律环境与监管环境以及其它外部因素。内部环境主要包括:企业的经营模式、组织结构与风险偏好等。可以采用观察、询问以及检查等方式来加深对企业环境的了解,从而可以宏观上把握企业所面临的各种风险。步骤二:目标设定。在对企业环境进行分析之后,审计师应当明确此次审计的目的,同时了解审计对象即程序运行的目的以及与程序相关的绩效评价指标并同时评价两者的设定是否合理,为随后的风险识别打下基础。审计目的可能源于以下几种情况:进行此次审计是基于管理者的要求,对正在实施的某一程序的有效性进行评价;基于年度审计计划来审查企业的固有风险;企业环境发生变化,为应对这一变化管理层对相关程序进行重新设计,要求审计人员评价这一新程序是否能够有效地应对环境的变化;企业发生舞弊案件,管理层要求内审人员就所涉及的相关程序进行评估,查出程序的漏洞等。进行审计的动因并不局限以上的几种情况,要求内审人员根据企业的具体情形进行判断。进行风险识别和评估的前提是应明确程序的主要目的以及与其相关的主要绩效评价指标。步骤三:风险识别。必须识别出可能会对程序目标实现产生影响的内外部潜在事件以及促使潜在事项发生的主要动因。COSO委员会颁布的ERM框架中对事项做了如下描述:事项可能会带来负面的影响,也可能会带来正面的影响,抑或二者兼而有之。带来负面影响的事项代表风险,它会妨碍价值创造或者破坏现有价值。带来正面影响的事项可能会抵消负面影响,或者说代表机会。机会是一个事项将会发生并对目标――支持价值创造或保持――的实现产生正面影响的可能性。其建议管理当局把机会反馈到战略或目标制订过程中,以便制订计划去抓住机会。故此,我们所说的事项仅指给企业带来负面影响的风险。在此过程中为识别出企业所有影响程序目标实现的风险以及主要动因,最好能够和程序的相关人员以及所涉及的管理人员进行讨论,采用头脑风暴法,对所涉及的事项进行逐一分析,以期达到最优的结果。例如,提出以下问题,要求参与者发表自己的看法。①在外界环境发生变化时,该程序能否迅速做出恰当的反应?②与该程序相关的文件记录是否存在缺陷?③该程序在实施过程中有什么意想不到的事情发生?④执行该程序的人员是否能够胜任此项工作?等等,通过提问和讨论直到找到影响程序目标实现的所有潜在的风险及相关的主要动因。审计人员收集到所需的相关资料后对识别的风险进行定义,采用COSO委员会ERM框架下的风险组合观,把类似的风险加以归类,集中应对。此过程中得出的风险定义以及风险组合应当与管理者对风险的认识相一致或应取得管理者的认可,从而取得两者对风险的共同语言。这样可以加强内审人员与管理者之间的沟通,从而有利于完成两者的受托责任,实现企业的目标。步骤四:风险评估。对识别出的风险进行评估,主要涉及到风险的两个方面:风险发生的可能性及影响。通过考虑风险的可能性和影响来对其加以分析,并以此作为决定审计的方向。新COSO框架在风险评估的过程中把风险分为固有风险和剩余风险。而我们在此过程中主要关注与企业相关的固有风险。企业风险评估的方法有多种,主要分为定量分析和定性分析两种。企业无须对所有的风险采用同样一种评估方法,可根据不同的风险目标确定相应的风险评估方法,达到成本最低情况下的效益最大化目的。我们在此建议一种方法:九格图法,并简单加以论述。九格图如图2。首先,我们分别把风险发生的可能性和影响分为低,中,高三个档次。其次,内审人员应和相关的管理者和程序的执行人员进行讨论确定低,中,高的具体分界线是多少。在此过程中涉及了相当大的主观判断,不同的审计人员对此判断可能是不同的,但应取得管理层的认可,即双方达成共识。例如,对于可能性的划分:25%以下为低,25%至50%之间为中,50%以上为高。再次,将识别的风险在与管理者和程序执行人员进行充分的讨论的情况下,依次填入以上表格。此过程可以通过对风险的两属性进行打分来完成。最后,在取得管理层对风险的容忍度的充分理解的情况下,评价识别的风险并进行从高到低的排序。例如,填入1,2,3,4表格中的风险视为低风险。填入5,6,7表格中的风险视为中等风险。填入8,9表格中的风险视为高风险。此过程中对管理层风险容忍度的理解和对风险的排序可以帮助以下的审计活动如,判定审计的具体方向、分配审计资源以及评价审计结果等。

第二,实施测试程序。在重点审计对象确定出来以后,就是具体实施审计测试程序,收集审计证据,为进行评价建议打下基础。审计测试程序具体可以包括控制测试和实质性程序测试,两者可以分别或结合使用,可根据不同的情况具体进行选择。在此过程中,内审人员需要判断企业程序设计和运行的有效性,就其是否能够将企业固有风险降低到可接受的水平与管理人员和程序执行人员进行有效的沟通,据此评估出其剩余风险并识别出当前实施的程序与理想程序之间的差距所在,并做出相关记录。

第三,评价测试结果,提出改进建议。当收集到充分的、适当的审计证据之后,就可以对其进行评价。此阶段,通过分析所收集的证据,并与相关管理人员进行有效沟通,就当前实施的审计程序与理想审计程序之间的差距提出改进建议。并将其以恰当的格式提交给适当的管理人员,以便其能够被采纳并得以实施。

第四,实施监控。当建议被管理人员所采纳后,其能否如实地被管理人员所实施,关系到内部审计所做出的努力是否能够被体现出来。因此,需要内审人员对其实施的过程进行监控。此过程可以采用实时或定点检查等方法来确保改进建议得以恰当的实施。从而企业的经营管理活动得以真正改善。内部审计的价值最终被体现出来。

4结论

在企业经营管理活动面临极大“不确定”性的今天,内部审计被寄予了极高的厚望。内部审计能否在此情况下满足利益相关者的需求,体现出其价值,对其形象及其地位的建立显得尤为重要。本文通过对内部审计方法发展历程的论述,结合当今内部审计所面临的环境,提出基于ERM内部审计方法,旨在丰富内部审计人员在进行审计活动时的方法的选择,而不是对以前审计方法的取代,从而能够使其按不同的审计目标及不同的审计需选择恰当的审计方法,能够高效地完成其价值增值的目标,为企业目标的实现提供支持。

参考文献:

[1]保罗・J・索贝尔.审计人员风险管理指南:审计与企业风险管理的结合[M].北京:中信出版社,2004.

[2]詹姆斯・罗瑟著.倪卫红,贾文勤译.最佳实务―四个革新型审计部门的增值方法[M].北京:石油工业出版社,2002.

[3]张鹏宇.风险管理审计研究 [D].东北财经大学,2005.

[4]倪慧萍.内部审计模式的历史演进及其动因分析[J].财会通讯・学术版,2006,(8).