内部审计风险案例篇1
一、风险导向审计对审计职业能力的拓展
风险导向是审计存在和发展的内在要求,是反映审计发展规律的根本属性。在当代社会经济环境下,风险导向审计必然成为审计方法选择与战略定位的根本指导思想,因而被世界诸多国家会计师行业所采用。
(一)风险导向审计职业能力拓展的必然性新的审计风险模型引入“重大错报风险”概念,审计中心为风险评估,运用了“自上而下”和“自下而上”相结合的审计思路。新审计准则要求审计人员将风险导向审计理念贯穿于审计全过程,要求审计人员了解被审计单位及其环境,以充分识别和评估重大错报风险;要求审计人员区分财务报表层次和认定层次重大错报风险,合理运用职业判断,针对评估的财务报表层次的重大错报风险确定拟采取的审计策略,针对评估的认定层次重大错报风险设计和实施进一步审计程序,以将审计风险降至可接受的水平。可以说,风险导向审计是一种基于战略和系统的审计理念,将被审计单位与其所处的经济环境相联系,在审计活动的各个环节都必须保持高度谨慎的职业怀疑态度,随时发现潜在的风险并汇总风险,根据评估的风险设计切实可行的审计方案。可见,审计中对风险的合理评估是影响审计质量和效率的关键。
在风险导向审计下,合理、有效地分析评估客户财务报表存在的重大错报风险,是决定审计工作成败的关键。因此,审计人员应跳出审计的圈子,将被审计单位置于宏观经济背景之下,分析被审计单位生存能力和经营风险,评估重大错报风险。此外,现代企业管理主要是战略管理,战略管理的着眼点是分析企业所面临的风险以及找出化解风险的对策。财务报表风险实际上是企业战略风险以及相关经营环节风险的副产品,要充分把握审计风险,审计人员必须首先了解企业所依存的环境,基于环境制定的发展战略,经营风险等,从而考虑对财务报表各项认定的影响,以便评估重大错报风险。
审计人员除了具备基本的审计知识和技能之外,还必须具备风险导向审计下的综合职业能力,以便应对风险导向审计的需要。在审计教学中,必须自始至终灌输风险导向审计理念,培养学生树立审计风险意识,具备风险评估能力。
(二)风险导向审计综合职业能力审计人员除了需要会计、审计和企业营运方面的知识,还应具备以下几方面的能力:
一是外部环境和所属行业分析能力。风险导向审计要求审计人员实施由外至内的风险评估方法,从被审计对象所在行业状况、法律与监管环境,以及客户的经营战略着手分析企业面临的外部环境。其中,审计人员必须特别关注行业的专属问题,从外部环境和所属行业角度分析企业面临的经营风险,基于经营风险推导审计风险。不同的审计风险源于不同的经营风险,而不同的经营风险取决于被审计对象不同的行业、监管、市场、战略等众多因素。审计人员只有恰当地分析并掌握这些环境因素,才可能合理关注每个被审计对象不同的风险状况,从而有效进行风险评估和应对。
二是基于价值管理的风险识别能力。目前普遍认可的企业财务目标就是股东价值最大化。在企业实现价值最大化过程中存在不利于目标实现的经营风险,经营风险存在于企业战略、管理和自主创新等因素中,多数经营风险最终都会产生财务后果,可能对各类交易、账户余额以及列报认定层次或财务报表层次产生直接影响,从而导致重大错报风险。审计人员对风险导向审计的风险评估不能局限在会计的范畴,应从价值管理的角度,基于价值影响因素进行风险评估。
三是有效沟通能力。审计人员在工作中,要与委托人、被审计单位、政府机构和社会公众进行必要的沟通和交流,有时还需要协调多方面的关系。只有具有较强的沟通和协调能力,才能正常地开展工作并取得较好的工作效果。具体来说,在风险导向审计中,审计人员获取充分、适当的审计证据以评估重大错报风险,其中最重要的程序之一是询问被审计单位管理层和内部其他相关人员。审计人员作为信息不对称的第三者要通过有效的沟通去了解被审计单位及其环境,评估被审计单位的风险。审计人员的有效沟通能力对风险导向审计起着关键作用。
四是自我学习能力。风险导向审计对传统审计提出了新要求。在风险导向审计中,审计人员要能够在识别和评估的风险的基础上,有针对性地实施审计程序,针对各类重大交易、账户余额、列报与披露实施实质性测试。因此,只有及时掌握和运用新技术、新思想,才能适应知识经济对审计人才的需要。审计专业人员应拥有自学能力、求新能力和超前意识,树立终身学习和“学会如何学习”的理念,并能够及时根据社会的需要更新自己的知识和提高自身运用新技术的能力。
五是法律风险识别和处理能力。有效的审计教育必须不仅能够提高审计人员发现会计报表重大错报问题的能力,而且还要创造动力或压力,使审计人员诚实报告会计报表重大错报问题,这就要求审计教学中必须有意识的培养学生法律风险识别和处理能力。尽管发现重大错报是审计的关键,但报告重大错报才是审计委托人的最终需求。审计委托人的审计需求性质及其被相关法律承认和保护的程度,决定了审计人员在发现重大错报以及报告重大错报中的行为及追求。由于审计委托人的审计需求不断通过各种法律法规产生影响,使得法律法规对委托人的审计需求不断得到强化。这种强化通过不断提高审计法律风险,最终使得风险导向审计在“发现与报告”重大错报方面彻底发挥作用。如此,审计人员必须具备较高的法律风险意识和处理能力。
二、风险导向审计需要引入审计案例教学
新审计准则要求审计人员应当从下列方面了解被审计单位及其环境:行业状况、法律环境与监管环境以及其他外部因素;被审计单位的性质;被审计单位对会计政策的选择和运用;被审计单位的目标、战略以及相关经营风险;被审计单位财务业绩的衡量和评价;被审计单位的内部控制。此外,新审计准则中还列举了28种事项和情况表明被审计单位可能存在重大错报风险。面对复杂的审计对象,审计人员必须保持职业怀疑态度,全程关注重大错报风险,才能成功实施风险导向审计,这就需要审计人员具备综合职业能力。新审计准则强调审计人员要保持职业怀疑态度,通过企业内部和外部各种风险产生职业怀疑,这是传统的审计课堂教学所不能达到的。传统的审计课堂教学基本上是“灌输式,填鸭式,应试式”的单向知识传授模式,枯燥的讲解,学生不但没有兴趣和学习积极性,而且严重压缩了学生的思维空间,不利于学生综合职业能力的培养。因此,风险导向审计更需要创新审计教学方法,积极探索有助于学生综合职业能力培养的教学模式。尽管在审计教学中,提倡案例教学由来已久,但实际课堂实施较少或者效果欠佳。然而,毋庸置疑的是,案例教学有助于培养学生综合职业能力,应对风险导向审计。
(一)案例教学有助于培养学生的综合分析能力案例教学模式可以嵌入启发式和讨论式的教学方法,通过大量具体生动的实际案例,让学生有学习热情,帮助学生透彻理解理论,将理论和实务相结合,培养学生综合分析和风险导向职业能力。具体来说,在风险导向审计教学中,不同的学习阶段运用不同类型的案例。首先,给出引导式案例,引导式案例设计通俗易懂,使学生有初步的风险意识和了解被审计单位及环境对审计工作所起的关键作用。其次,在具体分析各事项可能产生的重大错报风险时,主要使用启发式、讨论式案例。最后,运用综合性案例,对行业背景、企业管理进行分析,通过资料查询评估可能产生的报表层次和认定层次重大错报风险,分析审计风险。
(二)案例教学有助于提高学生识别风险、分析风险和提出审计应对策略的能力风险导向审计要求审计人员在具有丰富的专业知识基础上,同时具备综合职业能力,并要有敏锐的洞察力,能够主动识别风险并能够独立地分析风险和提出应对风险的审计策略。因此,风险导向审计采用案例教学,可以让学生较早接触来源于实际审计工作中的典型素材,通过对这些案例素材的分析、讨论、总结、延伸,可以不断提高学生识别风险、分析风险和应对风险的能力。在审计教学过程中应充分发挥案例教学的优越性,尽量采用来源于实际的、真实的审计案例。
(三)案例教学有助于培养学生具备风险导向审计的专业胜任能力美国会计教育改革委员会(aeCC)认为专业胜任能力包括三个方面:一是辨认目标、问题和机会的能力;二是辨别、汇总、计量、总结、证实、分析并解释那些对处理目标、问题和机会有用的财务与非财务数据的能力;三是应用数据、做出判断、估计风险以及解决现实问题的能力。审计案例教学就是要培养学生这三方面的职业判断能力和综合分析能力,使学生具有解决实际问题的具备风险导向审计理念的专业胜任能力。
(四)案例教学有助于培养学生具备法律风险识别与处理能力以及诚实守信的道德情操由于审计案例来源于真实的审计实例,已经具有法律后果。在案例教学中,通过这些案例的分析、讨论,不但可以培养学生的综合职业能力,还可以让学生了解实际的法律处理结果,培养学生在风险导向审计下的法律风险识别和处理能力,不断提高学生的法律意识。另外,独立、客观、公正是审计职业生存与发展的基石。诚实守信的道德情操是对每位审计人员的内在要求,是使审计工作做到客观、公正的根本保证。近年来国内外发生的一系列审计诉讼案件,大多是由于审计人员的道德防线失守所导致,将这些审计案例寓于审计教学之中,必然给学生留下刻骨铭心的记忆,有利于培养学生诚实守信的道德情操,在潜移默化中完成警示教育工作。
三、风险导向审计案例教学应注意的问题
对重大错报风险的全程关注,使审计师能够跳出审计而审计。这不仅要求审计人员具备较高的专业技能水平、丰富的执业经验,还要求审计人员具有行业分析、企业战略风险等职业判断力。案例教学有助于培养学生具备一定的风险评估能力,应对风险导向审计。在风险导向审计教学中实施案例教学时,还应注意以下几个问题。
(一)强化审计风险教学理念作为审计学教师在审计教学的过程中必须全面树立风险导向审计理念,强化风险意识教育,使学生在学习审计过程中形成审计风险理念,认识风险评估在审计工作中的关键作用,提高审计职业能力。使学生充分理解审计风险模型,意识到风险评估在现代审计工作中的重要性。审计工作中应了解被审计单位及其环境,理性面对并评估财务报表层次和认定层次的重大错报风险,从而实施总体应对策略和进一步的审计程序。在审计过程中以重大错报风险的识别、评估和应对为审计工作主线,以避免审计工作的盲目性,提高审计效率和效果。
(二)案例教学的课时安排案例教学花费的时间较多,但由于是学生在讨论中自己摸索出来的,学生会记得更牢固,理解更深刻。案例教学花费的时间虽然比传统教学长,但效果却是传统教学无法达到的。案例教学的目的并不是让学生仅仅知道某一个理论,而是培养学生自己探索理论和应用理论的能力。因此,教师必须适当安排讲授课和案例课的比例:一些适合讲授的内容可以继续采用传统教学方式,案例教学并不会完全取代传统教学,而是要将两者有机结合在一起。同时,对一些较为简单的内容可安排学生自学。另外,在案例教学过程中,教师要随时控制好时间和讨论方向,进行最有效的引导。
(三)提高审计教师队伍的理论与实践水平教师是审计教学的组织者、引导者。审计相关知识更新快,教师应及时更新业务理论知识和经济学、管理学等方面知识。学校应努力创造机会让教师走出校门,参与社会实践;教师自身也应积极到会计师事务所进行实地考察和参与项目,积累自身的实践经验;教师还应广泛查阅企业管理、经济形势等方面的资料,提高风险评估能力,并在教学实践中不断改进教学方法,提高案例教学的质量。此外,还可以聘请具有丰富实践经验的审计专家为特聘教师,通过开设专题讲座等形式,开拓学生视野。
(四)结合模拟审计,深化案例教学为了弥补审计案例教学法的不足,许多审计老师都希望能在审计案例教学的基础上,让学生进行一次全面的、系统的审计实习。然而,直接安排学生去审计机关和事务所实习却不现实。因此,模拟审计是一个最好的方法,利用会计实训资料进行模拟审计可以达到深化案例教学的目的。模拟审计的具体操作程序如下:(1)将会计模拟实习资料分发给学生,对其中一些重要会计项目的数据及会计处理加以改变。(2)学生自备材料纸作为审计工作的记录稿,按审计工作底稿内容要求,填制相关内容,将审计过程中发现的问题记录下来,作为正式审计底稿的附件。(3)发给学生正式审计工作底稿(老师设计好的,也可到事务所索取空白底稿复印),填制报表各项目的审计工作底稿,分析计算表,审计差异调整表、试算表等。(4)要求学生审计会计资料,填制审计工作底稿。(5)学生交叉复核审计工作底稿。(6)根据审计工作底稿编制审计报告。(7)进行审计工作底稿归档。(8)教师验收、讲评。
模拟审计是审计案例教学法的综合与升华,能突破传统审计课堂教学模式,把知识的传授与学生系统性思维的培养,以及判断、分析问题的能力有机结合起来。同时,使用了账、证、表会计资料,设计了审计工作底稿,能有效地将抽象思雄与形象思维有机结合,激发学生的学习积极性,增强审计教学的趣味性。此外,模拟审计大大缩短从事审计实际工作的适应期,较好地为社会培养潜在的具备风险导向审计综合职业能力的审计人员。
[本文系中国商业会计学会2010年度课题(编号:kj201011)阶段性研究成果]
参考文献:
[1]谢志华、崔学刚:《风险导向审计:机理与运用》,《会计研究》2006年第7期。
[2]黄溶冰、王丽艳:《基于隐性知识流动的审计课程案例教学》,《中国管理信息化》2007年第11期。
内部审计风险案例篇2
然而每次检查审计档案或者翻阅审计档案,不难看出审计实施方案的编制和标准大相径庭。究其原因有以下几点:
1.部分基层审计人员缺乏专业理论的修养,对审计目标、审计重要性水平、审计风险评估认识不足,无从下手。
2.审计人员审前调查不足,缺乏对审计对象的深入调查,无法完成审计实施方案的编制。
3.审计人员因循守旧,按部就班,逐渐形成经验主义、拿来主义,养成惰性。自以为经验丰富,拿以前方案照抄,甚至根本就不编制审计实施方案。
全面的审前调查是编制审计实施方案的基础工作,是审计实施方案具备针对性和指导性的前提条件,是确定审计工作重点的重要保证。提高审计实施方案质量必须对方案中涉及的相关审计理论和概念进行必须理解和强化,如此才能提高审计实施方案的规范性。以下是以某区财务收支审计为例进行举例说明。
编制依据:是指对审计对象进行审计的缘由。一般规范表述为“根据《中华人民共和国审计法》和××局年度审计计划安排或者区政府交办审计事项要求,结合审前调查情况,制定本实施方案”。
被审计单位基本情况:可按照审前的调查情况填写。一般填写被审计单位的部门职责、领导职数、人员编制、财政拨款情况、支出项目。
审计目标:审计的定义是“审计人员对财务报表是否还存在重大错报提供合理保证”因此财政财务收支审计的目标可表述为“摸清家底,查清被审计单位各项资金的真实性、合法性和效益性”。
重要性水平的确定以及审计风险评估:审计重要性是一个审计中非常重要的概念。重要性的判断应当根据具体环境作出,并受错报的支出金额或性质影响。有的单位支出较大,重要性水平也就较高;有的单位支出较小,重要性水平也就较低。审计人员应当确定一个合理的重要性水平,以发现在金额上重大错报。审计人员在确定计划的重要性水平时,需要考虑对被审计单位及其环境的了解、审计的目标、财务报表各项目的性质及其相互关系、财务报表项目的金额波动幅度。行政事业单位的重要性水平一般可确定为支出金额的5%,即在单笔支出金额中大于总支出的5%时需重点关注。现在审计风险多为风险导向型审计模式。
审计风险=检查风险×重大错报风险
检查风险=审计风险÷重大错报风险
重大错报风险=固有风险×控制风险
一般可确定固有风险设为50%,根据内部控制情况,确定控制风险。
检查风险=审计风险÷(固有风险×控制风险)
如果控制风险设为50%,则检查风险=5%÷(50%×50%)=20%,即要求的保证程度为80%。
审计方法:审计方法看似简单但要用专业的术语表达也未必简单。一般使用的审计方法可表述为“检查、观察、询问、函证、重新计算、重新执行、分析程序”。
至于审计实施方案中的其他填写项目如“审计范围、重要事项、审计步骤”则根据具体情况而定,在此不一一赘述。
内部审计风险案例篇3
【关键词】高校审计学课程教学改革
【中图分类号】G【文献标识码】a
【文章编号】0450-9889(2014)07C-0115-02
审计学是高校会计专业和审计专业的一门课程。但是,由于审计学较为抽象、学习难度较高,学生普遍反映审计学难学,教师则普遍反映审计学难教。之所以出现这种现象,主要是因为两方面的原因:一是相对于其他课程,审计学课程的一个突出特点就是教材各个章节的联系十分紧密,很难将各个章节相互割裂开来。二是现代审计理论建立在管理学、经济学、会计学、内部控制学、概率论等学科的基础之上,这就要求学生在学习审计学之前应当具备一定的基础知识。
一、审计学课程教学存在的问题
(一)教学内容较为抽象。学生普遍认为审计学很抽象,并不是因为审计目标、审计方法和审计证据这些概念本身难以理解,而在于如何正确识别、评估和应对审计风险。在财务审计中,财务报告是否存在重大错报,以及存在多少重大错报对于审计人员是未知的,审计人员需要采用适当的审计程序对财务报表的合法性、公允性作出判断。由于审计人员存在误判的可能性,必将导致审计风险的存在。为了保证审计意见的恰当性,确保审计风险保持在一定可控范围之内,审计专业的学生应当熟悉和掌握审计风险方面知识。但是,鉴于风险概念较为抽象,且风险评价具有较强主观性,学生对审计风险的认知较为模糊,其知识背景和经验背景更是难以对审计风险作出有效识别、评估和应对。
(二)学生知识储备不足。学生认为审计学的学习难度较大,还在于审计学与其他学科的联系极为紧密,审计业务需要借助其他学科的知识为审计服务。与审计联系密切的课程主要包括会计学、内部控制学、概率学、公司战略学等。内部控制、公司战略方面的知识有助于帮助学生分析、判断财务报表错报风险的高低;概率学知识有助于帮助学生判断抽样数量是否充分以及进行总体推断;会计学知识帮助学生判断会计政策的选择是否适当,能否真实、公允反映企业的经济活动。因此,在学习审计之前,学生应当具备一定的相关学科的基础知识,并尽可能地参与社会实践。我国高校学生对知识的学习主要集中于课堂和书本,缺乏对企业经营活动、组织架构的现场体验,缺乏对公司战略、内部控制活动的深入认识,导致学生难以学习和掌握公司战略、内部控制对账务报表的影响机制和作用方式。
(三)教学内容出现脱节。教学内容脱节主要表现为两个方面:一是审计学与基础学科之间出现脱节,二是审计学理论教学与审计实践出现脱节。
1.审计学与基础学科的脱节。根据专业培养要求和特点,教学管理部门设计和制订课程教学总体任务和计划。然而,在公共基础课的教学过程中,高校教师更多从自身角度而不是从学生专业角度去讲解和传授知识。例如,一些教师在教授概率论时,更多地站在纯数学的角度来讨论概率,较少结合经济类学生的专业特点、学生的实际需要去讲解概率知识。以至于学生在学习审计学时,还需要对学生概率知识进行回顾与补充,一定程度上影响了审计教学进度和教学质量。
2.审计学理论与审计实践脱节。在审计教学过程中,部分教师比较偏向于将各个章节相互割裂开来,按章节顺序逐章进行讲解。这种教课方式的优点在于学生学习起来相对轻松,其缺点也是显而易见,即学生难以系统掌握审计风险的识别与应对方法。审计学提供的是一套由逻辑严密的概念、推理过程组成的,旨在识别和应对审计风险的审计思路,因此,各个章节的内容难以完全分割。在审计教学过程,部分教师在授课时将各个章节分割成相互独立的部分进行讲解,不注重将前后章节的内容相互融合在一起,导致学生在学习过程中存在“只见树木,不见森林”的现象,这将不利于培养学生的逻辑思维能力,也难以在学生头脑中形成一个完整的、系统的审计理论体系。
二、教学改革措施
(一)构建系统完善的审计教学内容逻辑体系。审计教学涉及大量概念,如审计目标、审计程序、风险评估等。同时,作为一个理论体系,又涉及大量分析、判断、推理过程。为了培养学生良好的逻辑思维能力,审计教师应当熟悉审计教材,掌握审计理论,并根据审计教学目标构建系统的、完善的审计教学内容逻辑体系,如图1所示。
按照审计教学内容逻辑体系,审计教学应当围绕审计目标而展开,即对被审计对象作出合理评价或鉴证。为此,指导学生理解和掌握如何选取适当方法来获取充分、适当的审计证据,以合理保证评价或鉴证的准确性。在审计业务中,诸多风险因素影响审计目标的实现。教师需要指导学生如何识别、识别和降低审计风险,以保证审计结论的恰当性。
在日常教学活动中,教师应当要求学生学习、掌握审计的基本概念,有意识地向学生灌输审计逻辑思维,即在课堂反复向学生传递审计逻辑推理的过程,并通过提问等方式强化学生的推理能力,增强学生的审计分析、判断能力,让学生掌握现代风险导向审计的精髓。
(二)采用形象、生动的教学方法。包括采用情景教学、案例教学,将理论教学与实训相结合。
1.增加情景教学。审计教学活动中会遇到大量概念、定义、推理过程,学生学习起来较为枯燥。为了减轻学生的学习难度,提高学生的兴趣,可以适当地增加情景教学。即以学生日常生活为例作为类比,以通俗、易懂的方式向学生讲解审计的基本思想和推理思路。一般而言,学生对日常生活感触较深,也容易按照自己的逻辑思维来识别和应对风险。并且,审计的逻辑思维与学生的日常思维习惯也存在诸多相似之处。因此,在课堂上采用情景教学,通过提问方式要求学生对日常生活事例进行推理和判断,进而将推理过程引申到审计教学内容之中,帮助学生加深对审计理论的认识和理解,提升学生的学习信心和学习兴趣。
2.注重案例教学。案例教学旨在学生通过对案例的分析、讨论来发现问题和解决问题,从而培养学生分析问题和解决问题的能力。审计案例教学通过向学生提供鲜活的案例,帮助学生深入分析、识别企业经营风险和审计风险,并有针对性地运用审计理论去解决审计案例中发现和识别的审计风险。审计教学过程中,教师应当精心选取案例。选取的案例应当有助于学生审计思路的塑造,审计理论的应用。同时,审计案例讲解之前,教师应当尽可能让学生去查阅审计案例的相关背景。由于不同背景下,所采用的审计模式、审计思路和审计程序并不完全一致,深入了解审计背景有助于学生对审计理论、实践有一个更加清晰、全面的认识,进而为审计教学的成功奠定基础。
3.理论教学与审计实训相结合。审计学课程展现的是一种抽象的、系统的审计思路。为了让学生有效地掌握这种思路,需要将审计教学与审计实训结合起来。在条件许可的情形下,高校可以建立审计仿真模拟实验室,或者开发审计软件,让学生在审计课程结束前几周进行审计综合实训,以帮助学生深入理解审计原理。在审计实训过程中,教师应当向学生指出审计实训各阶段应达到的目的,同时指明与实训内容相对应的审计理论,以实现理论与实践的有效结合,帮助学生全面、系统地掌握审计思路和方法。
(三)加强学生的社会实践。我国学生参与社会实践活动较少,对企业的经营流程、管理模式、控制体系感到陌生和抽象。当学生对管理活动缺乏感性认知和深入理解时,就难以进一步分析企业的经营风险和财务报表重大错报风险,从而影响学生对审计的深入学习。加强学生的社会实践,有助于学生将书本知识与实践相联系,加深对管理理论和审计理论的认识和应用。
为了加深学生对企业经营管理活动的认识和理解,学校应当建立学生参与社会实践的渠道。一是学校与企业、会计事务所共同建设审计实践基地。学校定期分派学生去这些实践基地参观、实习,了解企业的管理机构及其运作方式,学习账务处理和财务审计的基本流程;二是学校开办校办企业,这些校办企业既可以用做科研孵化基地,也可以当做学生的实践基地,充分发挥校办企业服务科研、教学的目的;三是鼓励学生利用寒暑假,自己主动联系相关企业或会计师事务所,以参与社会实践活动;四是政府通过税收优惠、政府补助等方式,鼓励企业在寒暑假招收大学实习生。
内部审计风险案例篇4
论文提要:本文在分析内部控制整合框架与企业风险管理整合框架关系的基础上,分析现行风险管理审计准则的局限性,并提出开展风险管理审计的建议。
一、我国风险管理审计准则的内容及局限性
随着经济形势发展及我国内部审计自身发展的需要,我国内审也开始重视风险管理内部审计。2005年中国内部审计协会颁布了《内部审计具体准则第16号—风险管理审计》(以下简称风险管理审计准则)并要求于2005年5月1日起实施,该具体准则的出台为我国内部审计人员对组织内部风险管理状况进行审查和评价提供了规范指导。
风险管理审计准则第2条对风险管理做了如下定义:是对影响组织目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的过程。风险管理旨在为组织目标的实现提供合理保证;第6条则描述了风险管理包括的主要阶段:风险识别、风险评估以及风险应对;在该准则的第4条中,还特别强调:风险管理是组织内部控制的基本组成部分,内部审计人员对风险管理的审查和评价是内部控制审计的基本内容之一。
可以看出,该准则所称的“风险管理”是从狭义上理解的风险管理,即风险管理活动的具体实施过程:风险识别、评估及应对。而广义的风险管理不仅包括上述的具体实施过程,还包括其他起辅助作用的要素:内部环境、控制活动以及监督。www.133229.com按目前狭义前提下制定的准则去执行,风险管理审计就会忽略这些起辅助作用的要素,以至于发现不了组织风险管理活动中可能存在的潜在问题。中航油案例就是一个很好的例证。
中国航油(新加坡)股份有限公司(下称中航油新加坡公司)曾聘请国际著名的安永会计师事务所为其编制《风险管理手册》,设有专门的风险管理委员会及软件监测系统,实施交易员、风险控制委员会、审计部、总裁、董事会层层上报,交叉控制,按照《风险管理手册》的规定,任何导致50万美元以上损失的交易将自动平仓。中航油新加坡公司共有10位交易员,损失的最大限额应是500万美元(10×50万=500万)。但是,中航油新加坡公司的衍生品交易最终亏损额高达5.5亿美元,以至申请破产保护。中航油事件的核心问题并不在于市场云谲波诡,而在于该公司从表面上看似乎已实施了风险管理的流程:风险识别、风险评估、风险应对;但缺少对风险管理系统中的其他辅助要素的合理关注,最终导致企业整体风险管理失败。这一案例也再次说明:风险管理不仅仅只包括风险识别、评估及应对,更包括内部环境、控制活动、信息和沟通以及监控;风险管理系统的有效运转依赖于各要素的通力协作,对风险管理不应停留于狭义上的理解;风险管理审计准则应指导内部审计人员从广义上理解风险管理的涵义,全盘考虑风险管理的构成要素及其运作方式,及时有效地发现企业风险管理实践中存在的短板。
二、重新认识内部控制与风险管理的关系
对风险管理审计的认识依赖于企业进行风险管理时所采取的企业风险管理框架或风险模型(用来反映风险管理过程和内容的程序图)。截至目前,已经有如下风险管理模型:1995年澳大利亚-新西兰联合委员会的as/nze4360;1998年的加拿大标准委员会模型;1997年全国虚假财务报告委员会下属的发起人委员会(下称coso委员会)内部控制-整合框架的“目标—风险—控制”模型;2004年coso委员会的企业风险管理-整合框架(简称erm框架)模型。风险管理审计准则中出现的问题根源就在于准则中的“风险管理”概念采纳了coso委员会1997年的内部控制-整合框架中的观点。然而,理论界和实务界还是认为该内部控制框架有些局限性,如对风险强调不够,使得内部控制无法与企业的风险管理相结合。coso委员会2004年的erm框架就是在1997年的内部控制-整合框架的基础上,结合《萨班斯——奥克斯利法案》的相关要求扩展得到的。相比内部控制框架,erm框架在多个方面都有所发展和深化,具体表现在以下几个方面:
1、企业风险管理涵盖了内部控制。增加了新的要素或赋予原有要素新的含义,对内部控制框架下的风险管理要素进行细化,按风险管理的流程划分为:目标设定、事件识别、风险评估、风险反应四个要素。同时,在环境要素中增加了“风险管理哲学”以及风险“偏好”。对比二者的构成要素,可以发现风险管理框架中的目标制定、事项识别、风险评估、风险应对四个要素实质上就是风险管理的流程,也可以理解为狭义上的风险管理。这样看来,内部控制框架与风险管理框架中的要素完全一致。但是系统论认为,系统的性质不仅取决于组成系统的各要素,更依赖于组成系统的各要素的排列方式。在内部控制三个目标的基础上增加了战略目标,并扩大了报告目标的范围,将“财务报告的可靠性”发展为“报告的可靠性”。
2、企业风险管理更加强调管理风险。erm框架强调在“组合”的基础上考虑风险,考虑风险的集合和风险的交互作用,并在此基础上考虑企业应采取的风险控制措施。在强调风险管理的环境下,erm框架显然不同于内部控制框架。
总之,erm框架扩展并详细地阐述了与企业风险管理相关的那些内部控制要素。从企业风险管理要求和实施来看,内部控制是erm的主要构成部分,但绝对不能等于erm范畴,erm的理论和实务都要比内部控制宽泛得多,erm更适合企业战略风险管理的要求。因此,不能说风险管理审计是内部控制审计的一部分。
三、建议
基于以上分析,要实现真正意义上的风险管理审计,对风险管理审计准则中的风险管理概念的理解就必须建立在广义的基础之上,即采纳coso委员会(2004)erm框架中的广义风险管理概念。鉴于内部控制与风险管理二者密不可分的联系,在现行的准则体系下可以协调内部控制审计准则与风险管理审计准则之间的关系,以使风险管理审计准则能得以更有效的实施。
主要参考文献:
[1]中国内部审计协会.内部审计具体准则第16号——风险管理审计.2005.
内部审计风险案例篇5
关键词:商业银行;信贷风险;内部审计
中图分类号:F832.4文献标识码:a文章编号:1008-4428(2013)10-115-03
一、我国商业银行信贷风险的具体表现
(一)经营战略风险
经营战略是企业生死存亡的关键,和领导层的管理思路紧密相关。过于冒险的经营作风会使企业经营和银行贷款面临着较高的风险,有些企业更是追求盲目扩张,而不是追求自身的技术发展和员工素质的提高。
(二)政策和市场风险
政策风险通常是指企业不能及时根据国家的政策来调整自己的生产投入和现行的管理方式。比如上调税率会导致企业的的偿债能力发生变化,由于企业的很多资金投入来自银行贷款,如果企业不能根据这些政策的变化及时进行调整,就会产生信贷风险。市场风险亦是如此,在社会主义市场经济体制下,企业如果脱离市场,无异于闭关锁国。伴随而来将会是产品滞销,资金周转困难等问题,这将进一步导致信贷资产风险。
(三)技术和产品退化风险
企业必须加强对技术的研发,从而提高生产效率,在与同行的竞争中一直保持着紧迫感,否则它很快就会面临设备的落后,技术的落后。同时,如果一种产品的质量难以满足市场需求,竞争力不足时,就容易产生不良信贷。
(四)投资和管理风险
投资是指本企业为了创造更多利润,对固定资产的投资和对外投资等。这种投资风险在于投资用途是否合理,是否适合本企业,从银行信贷而来的资金能否落实到实处。管理风险是指企业法人的治理结构是否健全,管理者的素质和管理能力能否胜任企业工作等。
(五)财务和担保风险
财务风险是财务管理的重要组成部分。对企业而言,要重点关注几个经营指数:资产负债率、速动资产、净现金流量等,这几个指标对评估企业的短期和长期偿债能力都有重要意义。我国的企业普遍采取财务冒进政策,资产负债率很多高达70%以上,资本金的不足使银行贷款成为企业的主要资金来源。同时,企业之间利用规则漏洞相互连保,虽然满足了银行的制度要求,但却为自身留下了极大的管理隐患,经常会出现因为信息不对称,一家企业违约而使其他相关企业的经营陷入困境的情况。
二、我国商业银行信贷风险的具体成因
(一)商业银行自身制度不够完善,在贷款发放后,未能及时实施有效的跟踪监督
银行贷款被用于其他用途时,财务部不能及时发现并阻止。此外,商业银行的信贷风险对审计人员的素质有很高要求,需要其具有广泛的金融、法律、经济知识,同时又要熟悉银行的信贷内部控制制度,了解企业的生产经营流程,并且具有很强的社会交际能力,缺少以上的任意条件都会不利于商业银行的信贷风险管理工作。
(二)企业认识和管理方式上的偏差
长期以来,我国的企业受计划经济体制的影响,不按市场经济规律办事。尤其是某些国有企业,一旦出现亏损就想靠国家和银行弥补,过于依赖国家的政策和银行贷款。而一旦资金落实到位后,企业往往考虑的又是大兴土木,搞一些没有必要的重复建设,或是用于职工的工资奖金发放,这种不计成本的经营方式无疑是增加了银行的信贷风险。
(三)地方保护主义的庇护以及与国家相关政策的脱节
地方政府往往出于地方保护主义,为了政绩盲目提升发展规模和速度,以谋求国家的各种贷款和项目扶持。这一切都要靠银行的资金支持,致使银行出于地方政府施加的压力被迫执行了部分贷款,但这些贷款往往无法收回,从而形成坏账和信贷风险。更严重的是,银行在依法追缴贷款的过程中,一些地方政府官员为了自己的利益甚至不惜干涉司法流程,导致银行贷款无法追回,使得银行自己承担损失。
三、内部审计在信贷风险过程中的作用及监督检查
信贷风险是商业银行面临的最大风险。随着市场经济的不断发展,商业银行之间的竞争日趋激烈,其面临的信贷风险也不断加大,因此,内部审计在商业银行的信贷风险管理过程中的地位变得越来越重要。内部审计可以通过预先监督和审查工作,有效防范信贷风险。对于已有的信贷风险,内部审计也可以进行评估和分析,制定出合适的方案,为银行管理层的决策提供参考意见,进而推动银行的发展。
对于商业银行来说,简单的内部控制还是远远不够的,审计工作的重点应具体从以下六个方面对各业务进行监督检查,只有这样才能从源头上杜绝信贷风险。
(一)授信业务的监督检查
2005年3月山东某建行对一家铝制品公司授信900万元,2005年9月3日该公司贷款200万元购买铝合金,2005年10月国际铝价一路下滑,该公司并没有做好预警工作,致使存货囤积。由于未及时冻结授信额度,贷款发放后该公司经营状况继续下滑,造成信贷资金损失。从这一案例可以发现一些企业的经营状况并不符合银行发放贷款的规定,银行也未对其授信额度及时冻结。由此案例可得出银行内部审计人员应加强这方面的督查,确保贷款不会变成坏账。对这一部分内部审计监督检查的重点是:银行有没有制定统一的授信管理制度,对企业和客户从事的业务生产风险是否详细了解。监督银行对企业的授信贷款,防止银行某些人员将贷款发放给熟人,甚至发放给违规的企业,要从源头上保证了贷款资金不会变成坏账,减少银行的信贷风险和负担。
(二)存款及柜台业务的监督检查
关于存款和柜台业务,我们可以先举一个简单的例子,是有关挪用客户存款所带来的信贷风险。2007年6月某银行营业客户所持存单提款,却发现该存单已被提前支取。经进一步落实,银行发现该单位职工李某从2006年3月1日~2007年5月31日期间对储户未留密码的存款通过特定交易换取了新存单或存折,然后于当日或日后提前支取,李某凭此作案12笔,获利93万元。
存款和柜台业务是银行繁琐而又基本的业务,内部审计人员要有耐心,重点检查基层网点和业务量大的岗位;按照我国的法律、会计核算制度和内部审计章程,定期对基本业务抽查监督,严格对账户进行管理,提前做好防范和内部控制工作。这将从源头上杜绝内部挪用贪污和金融诈骗的可能,从一定程度上减少信贷风险,保证银行和客户的利益。
(三)资金业务的监督检查
对于商业银行的资金业务,内部审计人员关注的重点是:对资金业务对象和产品是否实行统一授信,实行严格的前后台职责分离,是否建立风险监控和管理制度,防止资金交易员从事越权交易,防止欺诈行为,防止因违规操作和风险意识不足导致的重大损失。著名的巴林银行倒闭事件就是由于交易与清算角色混淆引起的,商业银行和内部审计人员应以此为鉴。
(四)中间业务的监督检查
这部分检查的重点包括:开展中间业务是否取得银行有关部门的批准、人员从业资格和内部的业务授权,并且要落实相关的操作规章制度。按委托人指令办理业务,防范负债风险。针对中间业务,在具有实践操作中,审计人员应该经常重点关注有无越权代管资金的现象。
(五)会计业务的监督检查
银行人员私设小金库。例:a银行通过截留贷款和融资利息收入、虚列利息和费用支出、收回贷款和拆借资金不入账等多种途径汇集转移国有资产共计9600万元。因此在会计业务的监督检查工作中,内部审计人员工作的重点包括:商业银行是否按国家的要求实行统计的会计核算制度,业务开展过程中有没有真正落实会计制度和操作流程,以此确保账务信息的完整性、真实性和合法性。此外,内部审计人员也不能忽视商业银行设置的外帐信息,应防止相关人员编制虚假会计信息,对银行造成损失。
(六)电子信息业务的监督检查
通常这部分的信贷风险是银行内部人员对计算机系统的修改而造成的损失。2008年江西某银行储蓄所发生内外勾结,空存实取贪污600万元的重大案件。记账员高某在2008年7月到8月期间,盗用复核员密码,在其提前开好的12张借记卡上虚增600万元,为了使账务平衡,高某故意制造通信故障,造成交易不成功的假象,然后又利用盗用的主管密码,进入系统将虚增的存款交易冲销。随后几天,将虚增存款全部套现。这件案例对商业银行的内部审计人员启示很大。当前银行的电算化普及率越来越高,审计人员应该加强对电子信息系统的督查,严格划分计算机信息系统开发部门、管理部门与应用部门的职能和健全计算机信息系统风险规范的制度,确保计算机信息系统设备健全,系统运行和环境的安全。
四、内部审计在防范信贷风险过程中的不足
(一)内部审计工作职能单一化
尽管监督服务是内部审计的主要职能,但内部审计人员作为银行的一个独立机构,不应该仅仅把自己视为监督者。但我国商业银行的内部审计人员观念落后,将工作的重心仍然放在对财务活动的监管方面,并着力于事后审计,对事前分析和事中监控重视不够,从而缺少了对信贷资产和风险责任审计的关注。如此一来,审计人员在评估银行的经营战略和新业务的开发时就并未能有效地将自己的职能全都发挥出来。
(二)内部审计考核系统不健全
我国商业银行内部审计制度业正在逐渐发展,但内部审计考核系统还不健全,在评估审计工作质量和审计人员的绩效时没有一套固定的考核标准,这显然不利于内审人员进行自我测试和自我评估。内审人员不能够及时发现和改正自己工作中的问题。在具体工作时缺乏一个系统的参照标准,对于自己的工作成果不能进行合理的评估,从而遇到复杂项目时使信贷风险管理审计的具体实施具有一定的困难。
(三)内部审计人员数量和质量不够
据银监会调查的数据显示,国外很多大型银行的内部审计人员占员工人数的5%,而在我国商业银行,除少数金融机构的内审人员占全部员工比例达2%这个国际水准外,大多数只有1%左右,人员配备严重不足,薪酬和奖励也偏低。除了审计人员力量薄弱外,内部审计人员质量和水平也不够高,有一部分工作人员是从其他部门调遣而来的,并没有专业和系统的审计知识和技巧,并且缺乏必要的电算化技能,无法适应新时期内部审计参与风险管理的需求。
五、商业银行信贷风险的内部审计工作建议
欧美国家的商业银行在长期的改革和发展中,内部审计在处理信贷风险这方面已颇为完善。我国商业银行的内部审计机构也应该以此为鉴,从以下三个方面进行相应的改进和完善。
(一)增强内部审计的独立性和权威性
目前,针对商业银行内部审计缺乏至关重要的独立性和权威性问题,必须加强商业银行的内部审计体系的建设。我国的商业银行可以借鉴国际上各大银行普遍采取的模式:董事会集权化下的内部审计组织模式,独立的内部审计体系,内部审计人员直接对银行董事会负责,内部审计实行垂直管理体制。
(二)优化内部审计方案
为了最大化的减少损失,审计人员应把审计的切入点向事前推进,实现内部审计的监督职能。如果能够抓住时机,提前发现问题,就能利用内部审计工作掌握的内外部资料,预测并防止可能出现的问题,提前向董事会反馈信息,为管理层分忧解难,保证商业银行的利益。审计人员还可以通过信贷风险模型将风险进行详细的分类,从经营战略、市场政策、技术产品、投资管理、财务担保等方面考虑,找到控制关键,优化工作方案,节约成本和时间,提升内部审计工作的预警能力。
(三)熟悉内部审计流程和技巧
对于内部审计流程,内部审计人员不能仅仅停留在查看信贷档案,翻阅会计凭证等具体事务上,还要进一步熟悉审计流程并作出相应决定。电算化和计算机信息系统的普及,使商业银行越来越需要一支专业化的审计队伍。没有一支高素质的审计人才队伍,内审工作就无法顺利地展开进行。因此,各商业银行应当高度重视审计人员资源短缺的状况,根据本行情况将业务水平高、工作能力强、有一定审计基础知识的工作人员补充到审计部门中去。同时,应当抓好审计人员的培训工作,特别是对新知识、新业务的学习。
六、总结
信贷风险的防范是商业银行需要重点防范的风险,这就要求商业银行的管理层制定出准确的内部审计政策来防范和监督信贷风险。我国的商业银行内部审计系统起步较晚,加上最近几年国际金融形势不够稳定,因此面临的问题很多,期间有很多不足。内部审计人员应从前车之鉴中多受启发,学习发达国家的经验,改进工作,发挥出自己部门的作用,为降低银行的信贷风险,提高监督和审查职能,创造更多的价值。
作者简介:
内部审计风险案例篇6
中国行业信息化标杆企业奖
行业信息化领军人物奖
■获奖点评
迪博首创性地推出以“it+咨询+知识开发”交互驱动的创新业务新型模式,it、咨询和知识开发三驾马车并驾齐驱,既相互支持又独立运营,塑造了极具迪博特色的运营模式和企业文化,开创了内部控制与全面风险管理领域的先河。it系统运用计算机技术和通信技术为咨询服务和知识开发提供技术支持并将其成果固化,为提高咨询服务的质量和知识开发的效率搭建专业性极强、信息量极大的技术软件平台;咨询服务为it系统提供系统设计的框架的同时也为知识开发部积累实践经验;知识开发为it系统提供基础数据和方法论支撑,为咨询服务提供理论支持,成为咨询服务和it系统间的桥梁。
深圳市迪博企业风险管理技术有限公司(下文简称迪博)成立于2001年,是中国本土成立的第一家内部控制与全面风险管理解决方案提供商,现已在深圳、北京、武汉、上海四地设立办公室,主要致力于为上市公司及大中型企业提供内部控制与全面风险管理的软件、咨询和行业风险数据库等高端产品及服务。
高瞻远引领内控的发展
在大多数人对“内部控制”这个名词还很陌生,不知实施内部控制体系的价值何在时,迪博董事长胡为却已前瞻性地预料到内部控制对企业的可持续发展以及资本市场规范运作的重要性,率先跨入了内部控制与全面风险管理领域的研发与创新工作之中,带领迪搏团队成为该领域的领军者。
胡为民毕业于中欧国际工商学院,现任中山大学管理学院兼职导师、深圳证券交易所创业培训中心讲师、2010年财政部高级会计师命题组专家成员,曾参与财政部、证监会、审计署、银监会和保监会五部委的《企业内部控制基本规范》和《企业内部控制配套指引》的起草与审定;主持及参与了多项关于内部控制与全面风险管理的专项的课题,包括:财政部全国重点会计科研课题“中国上市公司内部控制指数研究”、国家自然科学基金课题“上市公司内部控制与投资者保护”、财政部课题“信息技术内部控制指引及典型案例研究”、“关联交易内部控制指引及典型案例研究”和“企业并购以及对子公司内部控制指引与典型案例研究”;主持研究2008、2009、2010、2011年中国上市公司内部控制白皮书,并著有《内部控制与企业风险管理――实务操作指南》、《内部控制与企业风险管理――观案例与评析》、《上市公司内部控制实务》、《中国上市公司内部控制指数研究》等书。
创新内控解决方案模式
十年如一日,迪博公司专注于内部控制与全面风险管理领域的研究与创新,并在2009年获得“双软”(软件企业和软件产品)的认证,2011年获得国家高新技术企业认证。
公司的“it+咨询+知识开发”既可以为企业客户提供全方位、多功能的整体解决方案,也可以依据企业客户的需求提供针对性高、实效性强的独立产品与服务。到目前为止,技术开发部已成功搭建iC-eRm内部控制与全面风险管理平台,其中包括iC-eRm构建系统、iC-eRm系统、iC-eRm评价系统、iC-eRm审计系统、iC-eRm优化系统、iC-eRm预警系统和pD建模软件。对此平台,客户赞誉有加,该平台被广泛使用。
咨询事业部为客户提供了风险管理、内部控制、内部审计、合规咨询、流程建设、流程优化、尽职调查、专项报告、业务持续性管理、系统安全和系统审计等专业服务,现已帮助逾百家上市公司和大中型企业优化了内部结构,完善了公司治理,增强了企业核心竞争力,其专业的业务技能与良好的职业素养得到客户的高度评价。口口相传下,美誉度不断增加,与客户的合作项目都得到了很好的延续性发展。
知识开发部的团队由多个领域的资深专家组成,现已研发出国内外的行业风险数据库,连续四年了中国上市公司内部控制白皮书,并首次公布了反映我国所有上市公司内部控制水平与风险管理能力的迪博・中国上市公司内部控制指数,该指数的不仅弥补了国内关于内部控制定量评价研究的空白,在国际上也属首创,由此标志我国内部控制步入量化时代。
目前,迪博已为高端制造、建筑、能源、军工、矿业、地产、交通运输、电力、金融等多个行业提供内部控制与全面风险管理解决方案,服务企业近百家。已提供服务的客户中约10%为世界500强企业,约50%为中国500强,其中包括高端制造行业、综合建筑行业、能源行业中等。
iC-eRm内控信息化落地
迪博现已完成的DiBiC-eRm内部控制与全面风险管理系统(简称:iC-eRm))是致力为中国上市公司和大中型企业提供内部控制与全面风险管理信息化建设的管理软件。它基于《中央企业全面风险管理指引》、《企业内部控制基本规范》及《企业内部控制配套指引》等框架体系,总结大量领域专家实践经验,采用先进的Soa体系架构和Javaee技术架构,实现了涵盖内部控制与全面风险管理体系的构建、、评价、审计、优化、预警六大核心业务系统,同时提供一系列工具软件和知识类插件应用,为企业提供一体化内部控制与全面风险管理的it解决方案。
针对目前我国企业风险管理中内容和流程不完善、不规范,风险决策分析构建系统缺乏科学技术方法,造成风险管理和内部控制管理混乱,iC-eRm提供了内控控制与风险管理体系的构建、、评价、审计、优化、预警一体化解决方案。
系统是对企业内部控制和风险管理过程中各个阶段(比如构建、评价、预警、优化、审计)建设成果展现的业务系统。评价系统是对企业设计与运行的有效性进行全面监督,跟踪缺陷整改,形成结论,出具评价报告的业务系统。审计系统是第三方审计机构对企业设计与运行的有效性进行审计,提供所需证据,出具管理声明,披露审计报告的业务系统。
内部审计风险案例篇7
关键词:现代风险导向审计,特征;案例分析;建议
中图分类号:F239文献标识码:a文章编号:1672-3198(2009)24-0174-02
风险导向审计作为一种重要的审计理念和方法,随着国内外审计失败事件的爆发,受到行业内外新l的关注。在我国,2006年2月15日,中国注册会计师执业准则正式,并已于2007年1月1日起全面施行。开始了我国审计模式向风险导向审计的转变。本文通过对现代风险导向的审计模式及其内涵进行详细分析,可见,现代风险导向审计模式有效克服传统审计模式普遍存在的“只见树木,不见森林”的弊端。运用案例分析进一步说明了实施现代风险导向审计的重要性,增强了现代风险导向审计提高了审计质量这一说法的说服力。为了适应当前审计环境的诸多变化及注册会计职业迅速发展的需要,风险导向审计在我国开始被推广应用,最后本文提出了相关实施前的准备措施。相信随着现代风险导向审计的逐渐发展和完善,其将在注册会计师职业界得到普遍的认可,并得以积极地运用。
1 风险导向审计的内涵和特征
现代风险导向审计是指审计师通过对被审计单位进行风险职业判断,评价被审计单位风险控制,确定剩余风险,执行追加审计程序,从而将剩余风险降低到可接受水平的一种审计方法和技术。随着社会上对注册会计师的诉讼案件的不断增多,现代风险导向审计应运而生。在审计系统中其大胆引用战略理论与系统观念。试图从企业的战略分析着手,通过战略系统分析一环节分析一剩余风险分析一具体审计目标的分解一实质性测试的时间、范围和性质的确定的思路将被审计客户会计报表错报风险与企业经营风险分析紧密地结合起来。现代风险导向审计全面、动态的考虑风险因素,是提高工作质量,降低审计风险的有效手段。与传统风险导向审计相比,现代风险导向审计将审计学、系统理论和经营战略结合起来,更加重视企业面临的风险,获取审计证据的领域也更加广泛。
与传统风险导向审计相比,现代风险导向审计具有如下9个主要特征。
(1)重心前移:将审计重心从以审计测试为中心转移到以风险评估为中心。(2)风险评估重心转移;从侦察管理层舞弊的角度出发,审计师审计的重点是发现管理层舞弊,评估重点是固有风险,但固有风险不可直接评估,所以审计师直接评估固有风险和初步控制风险的联合风险。(3)风险评估方式改变:现代风险导向审计所采用的现代风险评估不再直接对审计风险进行评估,而是从经营风险评估人手。(4)风险评估结构化;使风险分析从零散走向结构化。考虑了多方面的风险因素,便于做综合风险评估。(5)分析性程序成为风险评估中心。分析性程序是现代风险导向审计风险评估中最重要的程序。审计师将现代管理中的分析工具充分运用到风险评估中去,不仅包括财务数据的分析,还包括非财务数据的分析。(6)审计师专业知识结构改变。由于审计重心转移,风险评估采用的各种风险缝隙方法大量借鉴了现代管理知识,审计师不仅要精通审计知识,还要掌握常用的现代管理学分析工具。(7)审计测试程序个性化;针对风险不同的客户、客户不同的风险领域,采用相应个性化的审计程序。(8)“自上而下”与“自下而上”相结合,有利于提高审计效率。(9)审计证据范围扩大:在现代风险导向审计模式下,审计师扩大了取证范围,从一般员工处或供应商、销售商等获取审计证据,这是针对管理层舞弊的有效侦察措施。业内人士和专业咨询人士的意见也可作为对审计师审计专业判断的补充。
2 案例分析
Rubbermmd曾是美国全球领先的塑料制品生产商,产品包括储藏罐和垃圾箱等。在20世纪90年代中期,该公司连续数年的年均增长率超过14%,且连续三年被“财富”杂志评选为“美国最受欢迎的企业”。
对Rubbermaid进行战略分析后发现,该公司对原油价格的波动非常敏感,因为塑料制品的一个重要原料是树脂,而树脂是通过原油炼制的。但Rubbermaid没有采取任何控制原材料风险的措施一既没有集中采购,也没有与供应商签订长期购买合同。而实际上,该公司是世界上最大的树脂消费商之一,以其采购规模,完全可以通过谈判获得很优惠的价格。但该公司没有利用集中采购所能赋予它的定价能力,而是在全球12个地方分别采购。当原油价格上涨时,它只能把增加的成本转嫁给客户。
该公司也未能有效管理与最大客户沃尔玛的关系。沃尔玛拒绝接受价格上涨。并把Rubbermaid的产品放在靠里的货架上,而将Ruhbermald的低价竞争对手Sterlite的产品置于位置最好的货架上。
该公司另一个战略方面的问题是制定的增长目标太高一试图维持14%的年增长率。实现目标的困难给管理层形成巨大压力,而这一点对于内控环境十分不利。同时,它在欧洲的扩张也遭遇挫折。
基于这些情况,审计师可作出合理的财务业绩预期:销售增长放缓、销售毛利收窄、利润降低、研发费用需要增加等。假如出现与预期不一致的情形,如这一年的销售毛利反而比去年增加等,审计师就要打个问号。同时,审计师可能估计它会通过降低产品质量来降低成本,以达到业绩目标,这就需要对成本结构进行分析,看它有没有改变产品配方来压缩成本;如果它产量过大而销售又不利,它的库存应该会增加,还有资本结构方面,它在欧洲投资失败,这些资本是否作为坏帐冲销掉;等等。通过这样一步步的分析评估,审计师可以判断出该公司风险较高的领域。
从上述案例不难看出。经营风险审计是以风险评估为重点,而不是像传统的审计方式那样,以审计测试为中心。审计平台的扩大对审计师的现有知识结构提出了挑战。可见,风险导向审计就是分析研究企业在哪些方面的风险没有防范好、它对企业财务报表可能有什么样的影响,然后再通过相互印证的证据来判断报表是否是真实和恰当的。
3 推动我国应用风险导向审计相关建议
(1)提高实行风险导向审计需具备的注册会计师执业素质。注册会计师应具备与客户所在行业及企业相关的知识结构。如:行业生产经营特点、经济技术指标及行业政策、企业的经营战略、经营环境、经营风险,等等。注册会计师在尽多掌握行业知识、企业知识的同时。还要实现注册会计师队伍的优化组合,改变会计师事务所单一财会型人员的结构,注重聘用一些法律、工程技术、计算机等非会计审计专业的人才,并对项目审计小组进行科学配备,审计执业中,注册会计师必须坚持职业怀疑态度,坚持强制审计程序的严格执行。注册会计师协会和会计师事务所都应建立计
算机网络,扩大及方便注册会计师对各行业政策、知识的学习与掌握,以降低审计风险,提高审计质量。
(2)健全法律法规制度。提升注册会计师法律风险意识。研究表明,注册会计师是当前会计、审计制度执行最主要的法律主体。加大对注册会计师违法行为的责任追究与处罚力度,以强化注册会计师的法律风险意识。
(3)进一步强化支持风险导向审计的网络化信息系统的资源共享。要推动社会建立企业信用体系,在政府、银行、协会及会计师事务所等单位之间连网,实现资源共享。会计师事务所本身也应建立庞大的数据库,按类别、行业收集、存储、更新注册会计师运用风险导向审计所需要掌握的会计和审计准则内容以及客户所在行业、企业战略,成功、失败审计案件介绍等信息,以不断拓展注册会计师的知识结构t降低审计风险,提高审计质量。
(4)健全企业内部控制机制,夯实风险导向审计的制度基础。一个企业内部控制的好坏,与注册会计师审计风险的高低直接相关。应从建立健全企业内部控制机制着手,在优化公司治理框架下,从企业内部控制的设计、运行、评价、改进四个环节建立与完善企业内部控制机制,强调高级领导层的控制责任,关注对全部风险的评估,重视日常控制活动,抓住内部审计监督评价环节,才能不断提高企业会计信息质量,推动风险导向审计的运用。
4 结论
内部审计风险案例篇8
一、风险导向审计方法的内涵
所谓的风险导向审计是在账项基础审计和制度基础审计上发展起来的一种审计模式,是指审计人员在对被审单位的内部控制充分了解和评价的基础上,分析、判断被审单位的风险所在及其风险程度,把审计资源集中于高风险的审计领域,针对不同风险因素状况、程度采取相应的审计策略,加强对高风险点的实质性测试,将内部审计的剩余风险降低到最低水平。
风险导向审计方法的重点是识别与控制风险。由于审计风险受到企业固有风险、控制风险以及检查风险的影响,因此,风险导向审计理论的核心是从分析审计风险入手,建立科学的审计风险分析模型,通过定性定量分析,量化确定固有保证程度系数,并控制保证程度系数,确定可接受的检查风险水平,以保证审计质量。
二、风险导向审计方法在商业银行审计工作中应用的必要性
1、金融风险的存在,要求将风险导向审计方法应用在商业银行审计工作中。随着金融全球化趋势的逐步加深,金融风险也不断加剧和分散,传统的审计理论与方法已不适应现代银行的发展和需求。因此,商业银行内部审计工作必须适应金融形势的发展和变化,应用风险导向审计方法,在深入分析判断不同层面和业务领域风险状况的基础上,确定审计重点。并使内部审计能够通过风险评估的结果、建议,直接影响商业银行经营政策的制定,确保商业银行风险管理目标与业务发展目标的一致性,力求从源头上加强商业银行的风险管理,使商业银行真正做到“风险先行”。这种工作重心的前移,不但能使内部审计避免出现只重视细枝末节,忽略主要风险的情况,而且有利于提升其在商业银行内部风险管理中的地位和实现内部审计为机构增值的目的。
2、国际内部审计实务标准及其最新发展趋势,要求内部审计采用风险基础审计理论和方法。国际内部审计师协会前主席捷奎琳。瓦格娜曾指出:“环境的变化给内部审计师带来增加价值的机会最多的领域是风险管理和公司治理”。2003年国际内部审计协会iia对2001年新的《内部审计实务标准》修改后,在内容上也自始至终都贯穿着风险审计的主导思想。一是在对内部审计的定义中要求内部审计采用一种系统化、规范化的方法来对机构的风险管理、控制及监督过程进行评价进而提高它的效率,帮助机构实现它的目标。二是内部审计的目标要求内部审计参与风险管理。标准的2100条规定内部审计活动总的目标是评价并帮助改进机构的风险管理、控制和治理体系,具体审计活动要围绕具体的风险管理目标进行。三是内部审计的工作重点要求内部审计参与风险管理。标准的第2010条规定要求审计执行主管应该以风险为基础,根据机构目标制定计划,确定内部审计部门的工作重点。四是标准对审计计划、审计实务、审计测试、审计结果、后续审计各个方面都作了和风险相关的明确规范。五是关于剩余风险,标准作出了在审计执行主管认为高级管理层接受的剩余风险水平对于机构来说是无法接受时应报告董事会加以解决的规定。
三、风险导向审计方法在商业银行审计工作中的应用
1、运用风险导向审计理论,重视了解和测试,将审计风险减少到最小程度,实现防范风险的目的。根据风险导向审计理论,审计工作应从分析风险入手,在全面了解被审单位基本情况的基础上,充分关注该机构的特殊风险,确保内部审计能够发现业务经营活动中的重大违法违规问题及风险隐患。由于银行审计的特殊性,其固有风险和控制风险都较高。根据风险管理学中著名的“五倍定律”,审计应采取风险防范前移策略,即在审计准备阶段,就加大防范力度,根据对被审计单位基本情况的了解和分析性复核的结果,加强审计风险分析,最后根据确定的总体审计风险概率和评估的重大错报风险概率,得出关于剩余审计风险也就是检查风险的概率,据此确定实质性测试的性质和范围,即可将审计风险减少到满意程度,实现防范风险的目的。具体讲:一是要了解被审计单位所处的经营环境、行业状况、经营目标、业务流程和相关经营风险,并通过实地观察被审单位的经营场所及设施,询问管理当局及其知情的第三者等方法,从宏观上把握审计面临的风险,并将其作为不可缺少的审计程序。二是进行正确的评价,在评价内部控制有效的情况下,注重对例外项目进行详细审计。三是注重运用分析性程序,识别可能存在的错报,减少对接近预期值的各种交易、账户余额的测试。四是扩大审计证据的内涵,将了解被审单位及其环境获取的信息作为审计证据。五是通过上述了解测试和分析,对机构经营的有效性做出判断,对管理当局在相关经营模式和业务流程下的整体认定是否恰当进行职业判断,并对机构是否存在舞弊及经营风险作出职业判断。
2、运用风险导向审计准确确定审计的重点和范围,提高审计效率,有效地降低审计风险。在商业银行内部审计中,当前首要的是防范风险。从商业银行的现状来看,重大违法违规问题和经济案件是最大的金融风险,这些重大问题和经济案件对金融体系危害严重、影响广泛,比较典型的如最近暴露的中国银行哈尔滨河松街支行的10亿元票据诈骗案、中国银行北京某支行6亿多元的假按揭贷款案、建行吉林分行3.2亿元诈骗案、山西金融系统7.28亿汇票诈骗案等金融风险案例都证实了这一点。因此,审计重点一是要对内部控制制度的健全性和有效性以及风险管理进行评审。针对商业银行规模大、地域分布广、分支机构众多、内部控制基础不牢固、潜在操作风险较高的情况,应以检查内部控制和风险管理作为审计的切入点,通过对内部控制环境的调查和对风险管理、业务审批、职能分离、资产保全等各项业务流程的审查,对内部控制制度的健全性和有效性以及风险管理进行测评,以揭露问题,堵塞漏洞,促进商业银行完善内部控制机制,加强内部管理,防范经营风险。二是审查资产质量。信贷资产质量是银行的生命线,资产质量的好坏,直接关系到银行的生存和发展。当前,因为银行内部控制不严,违章操作和违规经营屡禁不止,加剧了信贷资产的大量沉淀和损失。信贷资产质量问题已成为困扰国有商业银行经营发展的主要矛盾,因此,只要抓住了资产质量这条主线展开审计,就可以发现和揭露经营中存在的隐患和风险,提出防范和化解资产风险的建议,把资产风险控制在事前,从而防患于未然。三是对会计业务审计。针对近来的几起金融大案中多有私刻印鉴、印章,制造假金融票据现象的存在,要重点对会计业务的政策、制度、程序和重要凭证、印章、账户管理、银企对账,及定期查库、查账情况进行审计,保证会计内部控制制度覆盖所有风险点,账据、账款、账实、账表等内外账相符。四是对信息系统和金融创新情况进行实时监控。由于信息系统和金融创新业务的内部控制相对较弱,相应的法规和制度建设滞后,容易成为新的风险点,因此应通过数据链接,运用预警软件进行分析,及时发现潜在的风险,迅速采取措施予以消除,促进商业银行健康平稳地运行。
内部审计风险案例篇9
【关键词】美国大学;治理结构;内部审计
【中图分类号】F239.2【文献标识码】a【文章编号】1004-5937(2016)17-0113-06
近年来,从国际比较角度研究大学审计的文章越来越多。美国作为全世界高等教育最发达的国家,其经验值得研究和借鉴。美国大学形式多样,竞争性强,正如美国著名高等教育学家伯顿・克拉克谈到的,“在世界上主要国家的高等教育系统中,美国是最缺乏组织的,几乎完全是一种相互之间自由竞争的市场”[1]。这种自治与竞争的状态,也促使了其高等教育的繁荣。尽管中国在政治体制、社会形态等方面与美国不同,不能全盘借鉴美国的做法,但从治理的角度出发,研究美国大学的审计功能,对于完善我国高校内部审计制度具有指导意义。这也是以审计为视角对治理问题的探索,对于完善我国高校的治理结构具有一定的指导意义。
一、美国大学的治理结构介绍
(一)美国大学的类型及成因
在政治方面,美国是分权制国家。在建国后很长时间内,联邦政府内阁不设教育部。后来建立的教育部也不直接管辖大学。在经费方面,美国高等教育经费的来源渠道主要分为政府投入、社会捐赠、学生缴纳等。政府大量资助那些在竞争上处于弱势的社区学院等,而对于研究型高校,因其在竞争中处于优势,可以吸收各种资源,政府的资助占比并不高,这在某种程度上促成了美国高等教育系统相互竞争的现有格局。
(二)美国大学的内部治理结构
高校治理结构是指在一定的财产权制度基础上为实现高校的教育目标,就高校内部治理的组织结构设置及其相互之间权力配置、制衡、激励等所进行的制度安排以及对高校内部和外部利益相关者正式的和非正式关系的制度安排,以便使各利益相关者在权力、责任和利益上相互制衡[2]。
美国大学治理结构,尽管因历史传统和大学类型不同而具有多样性,也表现出某种统一性。
如图1所示,美国大学内部治理结构一般包括董事会、校长、副校长、教务长、院长和系主任、教师、学生等。大学外部包括联邦政府、州政府、基金会、专业认证协会以及校友会等。
1.高校董事会/治理委员会
董事会是大学的最高权力机构和决策机构。董事会有多种表达方式,在私立大学通常表述为“Boardoftrustee”,在公立高校则一般为“BoardofRegent”,有的高校也称之为“Boardofoverseer”“BoardofVisitors”或“BoardofCurators”。董事会是大学治理的最高权力机构,它的存在使美国大学在内外各利益相关者之间保持适当的平衡[3]。无论私立大学还是公立大学,其董事会中校外的社会人士占多数,以工商企业人士及律师为主。
董事会下常设若干负责具体事务的专门委员会。如密歇根州立大学董事会通过下设执行委员会、社区和公民事务委员会、财务规划委员会、审计委员会、投资咨询委员会、学生和校园生活委员会、政策委员会、大学合作委员会、员工薪酬委员会、发展和校友关系委员会、医学中心委员会等发挥作用。
2.校长
校长是治理结构中的重要角色。大学校长依据董事会的授权,拥有大学行政和学术事务的权力,承担大学行政和学术事务的责任。不同大学对于校长的表述方式也不同,一些州立大学称之为“Chancellor”,在包括多所分校的大学中,校长称为“president”,总校长称为“Chancellor”。也有少数大学的校长称为“Rector”[3]。
某一具体办公室的工作主要由副校长负责。由于大学的特点不同,各大学根据各自的需要设置了不同的副校长,但通常都包括行政或财政副校长、学生事务副校长、发展副校长以及法律顾问等。教务长(provost)有时也被称为学术副校长(Vicepresidentforacademicaffairs),主要负责大学的课程、教学和研究等学术事务。一般来说,美国大学财政副校长的重要性仅次于校长和教务长[3]。
二、美国大学的治理结构与审计功能――以哈佛大学和加州大学伯克利分校为例
美国大学可以初步分为公立大学与私立大学。美国大部分公立大学是由州政府出资创办和运营的州立大学,如加州大学伯克利分校。还有一种公立的社区大学,提供低学费的两年制教育,有的学生可以通过先读两年的社区大学再转学到其他学校。从美国一些大学的网站上可以看出,公立大学的主要业务分为以下模块①:科研(Research)、教学(teaching)、公共服务与社区服务(publicService&Community)和行政管理(administration&Services),包括建筑和设备管理。
美国私立大学的历史比公立大学悠久。学费在私立大学经费来源中所占比重较大。学校与联邦政府及州政府之间没有直接隶属关系和管理与被管理关系。
为了更全面了解美国大学的治理模式与内部审计功能,本文选取哈佛大学作为私立大学的代表,加州大学伯克利分校作为公立大学的代表进行具体介绍,由于加州大学伯克利分校也隶属于加州大学系统,选取该校做介绍能够进一步探索公立大学分校的管理模式。
(一)哈佛大学的治理结构与审计功能
1.总体治理结构
在哈佛大学,校长和教务长代表管理层,确保大学存在良好的风险管理并发挥作用,设立风险管理和审计服务部(RmaS),在识别、讨论和解决风险方面为校长和教务长提供咨询服务和决策意见。哈佛大学治理结构如图2所示:分管财务的副校长对执行副校长负责,执行副校长还分管包括校园健康服务在内的六个部门,执行副校长对校长汇报。董事会下还设立了总会计师、秘书处等机构。
2.风险管理和审计服务部构成
风险管理和审计服务部(Riskmanagement&auditServices,RmaS)通过提供以下服务识别、管理、减轻风险,包括:(1)合同咨询;(2)危害分析和风险规避分析:这项调查是由有资质的工程公司在固定的部门进行,主要是针对建筑风险;(3)财产估值,通常用来辅助购买或者租赁某种资产的决策;(4)财务、运行和合规性审计,目标是通过识别无效率和控制缺陷为部门提供服务,提出改善建议,除了标准审计(Standardaudit),还提供财务和运行控制审计、综合审计(财务运行审计和信息系统审计结合)、业务流程测评、管理评价(部门领导或高管要求)、自我测评操作等;(5)信息系统审计,确保信息资源是受保护的、可信的、可用的和合乎学校政策流程的,使用CoBit框架,具体来说信息系统审计提供的服务包括:it管理、信息系统审计、综合审计(侧重应用控制、用户访问、应用程序变更控制和备份和恢复管理等,以保证数据的可靠性、完整性和可用性)、自我测评、合规性审计(包括学校政策流程、支付卡流程pCi、医疗电子交换法案Hipaa、家庭教育权力和隐私法案FeRpa等);(6)风险管理、风险筹资与保险。
RmaS的具体职能设置如图3所示,RmaS主任在业务上对联合监察委员会(审计委员会)负责②,在行政设置上对主管财务的副校长兼首席财务官负责。RmaS对于所有财务、运营和内部控制负有监督检查责任,每年向审计委员会至少年报告4次工作和提供年度总体工作报告。
哈佛大学网站资料显示,截至2014年底,RmaS共有22位专业人员,除去主任与执行助理外,财务管理与合规审计模块人数最多,为10人;风险战略与保险模块次之,共5人;信息系统审计共4人;风险与审计战略1人。
3.业务开展过程
每年开展的审计业务的常规流程是:通过风险评估,RmaS与学院、部门和学校各个管理单位分别沟通,识别并确定哪些风险(包括管理、财务、合规方面)对学校是重大的,根据风险程度制定年度审计计划。各个部门可以根据实际情况提交审计申请,RmaS通过风险高低来评判,对于主动提出的申请通常会列入下一年度审计计划。
每个审计项目的持续时间与该项目的规模、复杂程度和组织的内部控制程度有关,每个审计项目需要对方单位提供一名指定联系人,经由联系人在实施审计过程中访谈关键人员。一般来说,一个审计项目要求三个月完成,包括计划阶段4周、实地工作阶段4周、编制审计报告阶段4周,一名审计师可能同时穿插在多个审计项目中,但某段时间(如一周)集中于单独项目。
审计报告的审阅部门包括:部门的管理团队、财务部门主管、RmaS部门主任、财务副主管、普华永道(哈佛聘请的外部审计部门)等,提请查阅审计报告需要得到RmaS主任的同意。
(二)加州大学伯克利分校的治理结构与审计功能
1.州层面的高校治理
尽管从国际比较的角度来看,美国的高等教育是世界上最多样化的分权管理和市场导向的系统,但是从20世纪70年代起,美国的州政府就在高等教育管理中扮演着越来越重要的角色。2000年以后,更多的州采用绩效报告政策代替绩效预算和拨款③,这足以表明州政府已经介入大学的自治[4]。
加州大学是组成加州公立高等教育体系的三个大学系统之一。另两部分是加州州立大学系统和加州社区大学系统。加州大学系统共有十二个校区,管理三个美国能源部的国家实验室。
加州大学董事会的政策是建立和维持内部审计项目作为一个独立的功能。内部审计受到SVp/ChiefComplianceandauditofficer(CCao)即首席审计官的领导,是高校理事会的一个组成部分。从行政结构来看,SVp需首先汇报给分管商业运作的执行副校长(executiveVicepresident-Businessoperations)。校园以及实验室的内部审计部门负责人iaDs(Campus/LaboratoryinternalauditDirectors)在管理层级上汇报给校长或者实验室主管并且通过SVp直接汇报给董事会下属合规和审计委员。在操作中,双重汇报结构功能性上应该通过高校董事会的合规和审计委员会直接汇报给高校董事会,而在管理层级上汇报给管理部门。校园和实验室的内审总监在功能上通过SVp/CCao汇报给高校董事会。如图4所示。
有效的双重汇报关系依赖于SVp/CCao和部门内部审计师所向之汇报的校园管理层之间的合作。为了使得审计项目具有可信性,高校董事会具有一定的自,可以相当大地缓解来自双重汇报结构的冲突。
2.加州大学伯克利分校的审计委员会
加州大学伯克利分校设有审计委员会(CaiCFa),对校长负责。审计委员会的职能是对于来自校长所支持的校园审计计划进行检查和认可,对审计结果进行核实,评估审计和咨询服务(a&aS)资源的正当性等。这个委员会由内部控制、财务问责和外部审计以及调查活动四部分任务组成。审计委员会的成员包括分管行政、财务、科研、学生事务的负责人、执行副校长和院长,教务长以及校园的法律顾问等。该委员会定期与合规、责任、风险和道德委员会(eRCS)商讨校园热点问题。
加州伯克利分校的行政与财政事务由大学的执行副校长负责。在执行副校长之下又分别设立了法律事务、审计咨询服务等七个办公室,在相关领域为整个大学提供服务。审计与咨询服务(audit&advisoryServices)直接由校长(Chancellor)领导,部门主任直接向校长报告工作。如图5所示。
3.加州大学伯克利分校的内部审计部门
从图6中可以看出,加州大学伯克利分校审计服务部门的构成比较简单,根据业务的不同,各审计师之间的责任也有所差别,有专门负责信息系统方面业务的审计经理等。从图中可以看出审计服务部门的双重汇报结构。
该部门共有10名成员,其中,主、副审计长下设1名it审计经理、3名审计经理、2名高级审计师和1名审计员。
4.业务开展过程
每年1月到2月,审计部门开始数据收集工作并着手进行分析,即从圣诞节和新年后的假期开始,进入了审计工作的第一阶段。在3月份,使用校园完整的风险评估模型进行评估,准备审计计划草案。3、4月份审计部门还要就审计预案报送校园审计委员会批准,并且在校园道德合规和咨询服务委员会(eCaS)的辅助下修改确定审计预案初步方案,最终确定的审计预案报送给高校董事会进行审批流程。接下来,更改审计预案。5月份,高校审计委员会将就最终的年度方案进行评议并批准,eCaS也最终敲定计划;7月份,最终审计预案将上交给高校董事会。
就具体工作流程来看,第一步要发送审计通知给被审计单位,还要就审计的议题、审计安排和需要的文件进行准备,建立与被审计单位的联系。第二步要进行初步的审计调查,包括风险评估,制定审计方案。第三步进行现场工作,包括与被调查单位进行沟通、为执行现场操作编订草案;然后分析,访谈,测试。在现场调查结束之后,与被调查单位讨论调查结果,准备审计报告。审计工作的最后一步是沟通及跟进(followup)环节,包括针对审计服务的满意度对被审计单位进行调查,监督改善计划的实施进展,并最终向高校审计委员会进行汇报。
年度审计报告(图7)显示,2013年加州大学伯克利分校的审计项目由一系列的鉴证、咨询和调查服务组成,这些项目都通过一个基于风险的识别过程确定。审计计划的目的是达成一个深度和广度的平衡。从各个审计项目的时间构成来看,财务管理领域所分配的时间最多,其次为院系部门、信息技术与交流,可见这几类领域的风险较高,尤其是财务管理方面。
整体看,从2010年到2013年,加州大学伯克利分校在审计业务所花费的时间都远远高于其他两类业务。调查业务,占审计业务时间的四分之一左右,所占比例呈下降趋势。咨询业务,2010年约为审计业务时间的六分之一,到2013年这一比例跃升至五分之二。
2013年,审计和咨询服务部门高效地辅助完成高校管理,帮助减轻高校各类风险。绩效包括:审计计划内项目、咨询服务(较2012年增加35%)、整体的客户满意度调查分数超过全校平均分(4.44分,满分为5分)等。在这一年,两名审计师获得了国际注册内部审计师资格(Cia),一名获得了风险管理确认专业资格(CRma)。作为年度风险评估的一部分,审计部门执行了针对超过400名高校行政人员的风险感知调查,并获得了30%的回复率。
三、美国大学治理结构与内部审计的特点及对我国的启示
(一)明确治理框架,优化管理体制,强化委员会机制,进一步发挥审计在治理中的作用
美国大学治理结构最大的特点就是其具有完善的约束机制。大学的内部有董事会对校长的约束、大学其他行政人员对校长的约束等。在董事会内部则有委员之间的相互约束。大学外部有联邦政府、捐赠者等的约束[5]。这些约束机制可以使得校园各个职能部门的工作得以顺利有效地开展。内部审计是高校治理结构的有机组成部分,直接对校董事会管辖的审计委员会负责,其内部审计独立性较强。
在我国,大学内的各项事务几乎都是在上级教育部门领导下,由党委书记和校长进行处理,管理机构组成单一,决策过程中的民主性得不到充分体现。借鉴美国大学治理制度和结构,国内高校可以考虑增设常务委员会,如审计委员会、薪酬委员会等。就部门来说,我国不少高校的审计部门与纪检部门合署办公,如国内相关调查显示该比例高达22%,且审计机构的分管人为书记、副书记等党委成员的占52%[6],这种汇报关系很难保证内部审计的独立性。应强调审计部门对校长负责,弱化内部审计机构与被审计对象间的利益关系,确保审计的客观性、公正性。
(二)将风险管理融入审计职能,建立风险导向型的内部审计
哈佛大学将风险管理与审计整合为一个部门,作为独立的部门评估风险并进行审计,对风险进行控制。就审计业务来说,它是基于风险评估的审计,审计环节中包含重要的风险评估环节,并且每年会针对学校的活动进行新一轮的风险调查。其他例子还包括:佐治亚理工大学,其内部审计部门编订的《内控指南》详细列明了学校可能会面临的八种领域的风险。在长达88页的指南里,对各种风险进行了详细说明和控制办法。比如财务记录不准确的风险,可以采用指定专人负责、确保职责的分散化、有效的监督方式等予以防范。在康奈尔大学,学校被分为很多可以审计的独立单位,包括各个院系、成本中心等。对诸如规模、业务复杂性和外部环境等风险因素进行评估。通过评估对这些单位打分,审计部门再基于这些风险评估结果决定审计哪些单位。低风险的单位只需定期进行有限范围的检查,审计部门通常将较多时间分配在高风险的单位。耶鲁大学通常也对其内部单位进行风险评估,并按照次序排列风险,集中高风险的项目优先审计。
目前,我国大多数高校内部审计仍然停留在事后控制,对于各部门的风险识别不足,从而造成一些本来可以预防和避免的损失。国内学者也做了相关的论述,如认为内部审计部门作为高校专司监督职能的机构,在高校风险管理中扮演尤为重要的角色[7]。因此,应借鉴美国大学的经验,从风险识别入手,强化各个部门的风险意识,努力构建风险管理的文化,建立风险导向型的内部审计制度。
(三)注重对审计结果的运用,促进监督整改
美国大学高度注重评估后的后续执行环节,确保审计执行到位的同时,防范同类问题的产生。如加州大学伯克利分校在审计流程的最后一步包括满意度调查、监督整改和汇报董事会等,通过满意度调查,可以得到对本次审计工作来自被审计部门的反馈,有利于进一步工作的改进,而监督整改环节落实到位,有效地保证了对发现的问题的整改,提高了审计效果。
目前,我国高校的审计虽然也有要求对整改环节进行监督,但很少能够执行到位,因此,应借鉴国外高校的优秀做法,切实建立后续跟踪审计制度,促进问题的整改落实,降低风险。
(四)注重加强内部审计的咨询服务和调查职能
尽管从时间分配上,美国大学内部审计的主要工作还是围绕着传统的财务领域的合规领域,但是对于咨询业务已经越来越重视。在本次研究的过程中,笔者在美国各大学网站搜集资料的过程中发现,许多大学的审计部门都具有很强的咨询功能,有些大学将两者合并,将咨询直接加入到部门名称当中。还有许多高校的内部审计部门设置了各种培训环节、自评环节,如加州大学伯克利分校开展了“BridgingtheGap”拉近学校各部门甚至学生与审计咨询部门的距离。同时,内审部门执行或辅助执行有需要的调查,对于那些有可能错误使用高校资源的行为进行报告,如加州大学伯克利分校的内部控制问卷、加州大学圣地亚哥分校自我评估调查问卷等,采用定期调查的形式,审计部门可以对问题有更加清晰的认识,有利于控制风险。师生也可以网上提交问题,或者要求介入某些问题,全员参与与监督机制畅通。
国内高校的内部审计部门所开展的业务咨询服务和调查服务所占的时间过少甚至没有此类业务,尽管在业务过程中融入了咨询的功能,但并未充分加以利用,在调查方面则更是少之又少。对此,我们应该加强宣传,创新方式进行调查与咨询业务,拉近审计部门与学校各部门之间的联系。
除以上四点建议外,我们还应该借鉴美国其他大学的经验,包括注重信息系统的审计,促进审计人才的多样化,并且对风险的变化进行针对性的业务开展等。
尽管美国大学的内部审计制度具有很多优点,但其所应用的一些有效的方式手段并不能完全为我们所用。政治制度和文化方面,中美两国之间存在着很多差异。政府在未来中国大学治理结构的格局中仍然会占据相对重要的位置。这样的治理结构也会使得中国大学无法照搬美国的模式。但是,这并不意味着中国大学治理结构下审计职能不会发生变化。在约束机制方面,以大学章程的建立健全来推动完善高等学校内部治理结构,为实施有效的约束机制确立规范的框架,这可能是我们需要迈出的第一步。
【参考文献】
[1]约翰・范德格拉夫.学术权力――七国高等教育管理体制比较[m].王承绪,等译.杭州:浙江教育出版社,2001:124-126.
[2]李定清.高校法人治理结构初论[J].会计之友,2007(3):24-25.
[3]欧阳光华.董事、校长与教授:美国大学内部治理结构研究[m].北京:高等教育出版社,2011:120-154.
[4]王林.新经济时代美国大学治理的改变[J].高教探索,2012(1):54-58.
[5]程北南.美国大学治理结构的经济学分析[m].北京:中国财政经济出版社,2010:253.
内部审计风险案例篇10
从我国现状来看,企业的内部审计部门和人员的建设与现代企业制度的要求还不相适应,内部审计还未能充分发挥其评价和改进单位风险管理,提高控制管理效率,从而为实现企业的经营管理目标服务的职能作用。因此,我国的内部审计仍处在转型的三岔口。
踏入21世纪,安然及世通事件的相继爆发,导致了美国“萨班斯法案”、纽约证券交易所的新上市准则等涉及公司治理改革措施的纷纷出台,我国证监会亦于2002年1月了《上市公司治理准则》,规范中国上市公司的公司治理建设,2006年6月上海证券交易所出台了《上市公司内部控制指引》,强制要求上市公司在年度报告的同时披露年度内部控制自我评估报告,公众开始前所未有地关注公司治理,同时更加关注作为公司治理必备要素的内部审计在公司治理质量的提升方面所起到的积极作用。
虽然内部审计越来越引起企业管理者的重视,但是从我国现状来看,企业的内部审计部门和人员的建设与现代企业制度的要求还不相适应,内部审计还未能充分发挥其评价和改进单位风险管理,提高控制管理效率,从而为实现企业的经营管理目标服务的职能作用。因此在这种创业知识、信息提供与创新能力快速发展、提高的背景下,内部审计也应从观念上和方法上进行更新。本文拟结合案例并从内审观念的变化与更新、内部审计人员的新角色、内部审计职能的转变以及it时代的内部审计等四个方面对此问题进行阐述。
一、内审观念的变化与更新
在公众日益关注公司治理的新形势下,我们的内部审计在概念、范畴和方法上已经发生了很大变化,内部审计的目的已经由过去的对公认会计准则遵守情况的检查督促转变为一种独立、客观的确认和咨询活动,其目的是增加组织价值和改善组织的运营,通过应用系统、规范的方法,评价并改善风险管理、控制和治理过程的效果,帮助组织实现其目标(国际内部审计师协会关于内部审计的定义)。
这就要求企业内部人员包括内部审计人员和非内审人员均需要在内审观念上实现质的转变,非内审人员应充分认识到一个有效的公司治理机制是由股东会、董事会、管理层、外部审计和内部审计组成的,并以内部控制、风险管理机制以及信息披露制度为基础的有机结合体,而内部审计在其中更是起到最后把关以及确保各组成员有效地履行其职责的重要作用,从而真正意识和感受到内部审计是公司内部管理的切实需要和必要组成部分。
而内部审计人员则应该根据国际内部审计师协会对内部审计的定义以及本企业的实际情况,制订适应本企业发展,能够为决策层提供咨询服务以及为提高本企业经济效益的内部审计目标。如果企业内部人员包括内审人员和非内审人员均能转变内审的观念,意识到内部审计在内部经营管理服务方面所起到的作用,而且在这种理念转变的驱动下,内部审计人员能够做到少些简单性披露不足,深入分析问题原因所在,采用建议性语气报告;非内审人员能够做到与内部审计人员就审计中发现的问题进行分析讨论,共同探讨改进的可行性措施,那么困扰我们的内部审计环境太差的难题将迎刃而解。
二、内部审计人员的新角色和新要求
内部审计人员在上述内审观念转变的同时,其角色也在相应的作出变化,国际内部审计师协会(iia)通过的内部审计新定义,不再过于强调内部审计人员的内部监督者身份,而是强调内部审计人员参与内部控制评价和风险管理,帮助企业实现目标,将内部审计人员定位为企业咨询顾问和风险管理专家。
例如内部审计人员可以通过内部控制的健全性评价以及控制测试来确定内控缺陷,并就内控缺陷提出流程再造的建议;内部审计人员亦可以通过风险识别和评估的方法揭示企业所面临的各种风险,从而提出有效的回避及减少风险的建议。无疑这种定位的提出同时也对内部审计人员提出了更高标准的要求。内部审计人员要想成为这样的咨询顾问和风险管理专家,不仅要掌握会计、审计及相关法律法规,还必须具备以下素质:
①要有组织系统的大局观,并确立风险在企业无处不在的意识,把风险管理放在整个内部审计过程最核心的部分,通过风险识别和评估,辨别出影响本企业整个经营活动的各类风险。
②系统和创新的思维方法,不要让现有的内部审计标准和技术限制了我们的创新思维,而是要更多地站在不断改善企业经营机制的高度上去分析问题和提出建议。
③要有良好的沟通技巧,内部审计人员只有充分地与内部管理层进行沟通,取得他们的理解和合作,共同探讨问题的原因,才能提出能够为内部管理机制提供服务的有效建议和措施,内审的工作才能为内部管理层所接受和理解,所以良好的沟通和表达能力是内部审计人员所必备的。
三、内部审计职能由经济监督职能为主转向管理职能为主
由于企业的内部审计不再是传统的以财务报表为中心的财务收支审计,而是以评估高风险流程、评估公司重大决策是否异常、确认管理层在财务报告与公司透明度方面是否勤勉尽职等为代表,融合了风险管理审计、内部控制审计和公司治理审计的综合审计。
内部审计职能已经由过去的以经济监督职能为主转向更多地以提供内部管理机制咨询服务的管理职能上,因此内部审计的模式亦相应地由传统的被动式的控制导向审计转向新的主动式的风险导向审计,审计的重点不再是简单的确认错误和测试控制的有效性,而是强调确认风险并测试这些风险是否得到有效管理。
例如内部审计在对公司作金融投资方面的审计时,不仅需要对金融投资的整个内控流程是否健全和有效进行评价,而且更应着重分析风险是否已经被有效识别和评估,现有的风险控制措施是否能够保证风险得到有效控制,同时向管理层提出内部控制以及风险管理改进计划。
四、it对传统内部审计的冲击
it环境下的会计系统相比传统的簿记手工会计系统在以下几个方面发生了重大变化:会计数据的存储介质、数据计算和生成的变化、交易轨迹的缺失、数据库建设安全性以及网络的应用,均给内部审计人员带来非常大的冲击。内部审计人员需要对计算机操作系统、应用程序和操作环境,以及各种计算机管理技术的控制措施是否能够确保信息的完整性、安全性和可用性,以及信息系统风险管理措施是否能够保证风险能够被识别和控制进行评估,这就要求我们的内部审计人员必须具备更高的计算机专业知识,如果所在企业的会计系统高度依赖于计算机以及其他管理技术,那么内部审计的审计范围就需要扩充到对信息系统的项目立项、设计、开发、测试、运行和维护上,以及系统安全、配置管理、数据库管理、操作管理、备份管理、管理层监控和问题应急措施等涉及计算机系统控制措施的健全和有效性进行评估,这时候内部审计人员结构就需要作些变化,计算机信息审计师的加入可能是必要的。
案例分析
下面是一家保险公司在新形势下内部审计建设方面的一些做法,具有代表性,可作为借鉴。
公司概况
该保险公司为中型的中外合资保险公司,外方股东为一家著名的跨国保险公司,年保费收入达到10亿元人民币,主要从事个人和团体寿险业务,在全国有10个分支机构。
明确的内部审计目标
公司内部审计融合风险管理、内控和合规性审计,以向管理层报告确认结果和风险所在、评价并改善风险管理、控制和治理过程的效果,帮助组织实现价值目标为目的。
一个专业的团队建设
内部审计部门直属于公司董事会下设的审计及风险委员会,由10个具有专业技术能力背景和良好沟通能力的综合素质人才组成,负责除新产品设计、计算机系统以外的各项内控运作、风险管理和管治运作的审计工作,而保险新产品设计以及计算机系统的评价则限于本部门缺乏熟悉该方面的审计成员,因此该流程的评价由公司的外方股东派出此方面的专家,包括精算师和信息系统审计师参与工作。
内部审计的模式和流程
内部审计部门采用风险导向审计模式,让有限的审计资源重点投放到高风险领域。内部审计部门在制订总体审计计划之前,会先向管理层成员和各分公司负责人派发一份包含各类风险因素的风险评估调查问卷,通过与管理层及各分公司和各部门负责人讨论和实施初步测试,确定各审计区域的风险值并进行排序,从而确定高风险审计区域,确保每年的内部审计均能够覆盖到这部分高风险区域。对分公司的审计,则根据分公司的风险评估结果,对风险较高的分公司每两年实施一次全面审计,对风险较低的每三年实施一次全面审计。
内部审计部门向管理层以及审计和风险管理委员会汇报内容