風險導向審計和風險管理審計在名稱上都涉及到了“風險”的概念,但兩者存在諸多差異。風險導向審計是注冊會計師為防范審計風險而發展起來的一種審計模式,風險管理審計是內部審計為防范企業經營風險而拓展的審計新領域。
一、風險導向審計與風險管理審計概述
(一)風險導向審計20 世紀60 年代,大量企業為提高經營業績進行財務舞弊、操縱利潤,而且愈演愈烈。由于傳統的賬表導向審計和系統導向審計存在局限性,不能及時揭露管理層通過集體舞弊逾越內部控制系統的行為,導致大量審計失敗和法律訴訟事件。而到了70 年代末,隨著審計成本的上升,審計收費停止增長甚至出現下降。為了降低審計風險、提高審計效率、尋求審計技術突破,1983 年美國注冊會計師協會(AICPA) 發布了《審計準則公告第47號———審計風險和重要性》,推出了傳統風險導向管理審計模型:審計風險= 固有風險╳控制風險╳檢查風險,并于隨后發布一系列準則,為實施風險導向審計提供指引。然而,傳統風險導向審計模型在審計實務應用中并不理想,固有風險難以量化,多數審計人員將其簡單地評估;控制風險與固有風險也難以明確區分。以控制風險為重點實施審計工作仍然難以實現查錯防弊的審計目標。2001 年的安然事件、世通事件震驚全球,直接導致世界五大會計師事務所之一的安達信會計公司破產。此后,審計將研究重點轉向將企業的戰略經營風險所帶來的重大錯報風險作為審計風險的重要構成要素進行評估,實現對傳統風險導向審計的繼承和延伸。2003年,國際審計和鑒證準則委員會(IAASB) 將審計風險模型修訂為:審計風險= 重大錯報風險╳檢查風險,即現代風險導向審計模型。它強調審計人員把重點集中在出現錯報的高風險領域,將風險評估與審計程序緊密結合。2006 年,我國頒布了《中國注冊會計師審計準則》,全面借鑒了國際現代風險導向審計理念,標志著現代風險導向審計在我國的正式推廣應用。
(二)風險管理審計20 世紀70 年代,內部審計進入管理審計階段。美國政府審計率先開展“3E”審查,即經濟性、效率性和效益性,把管理當局的全部責任納入審計范圍。政府審計的發展,推動內部審計將審計關注點轉向管理決策,從“為管理”進行審計轉向“對管理”進行審計。1987 年,由美國反虛假財務報告委員會(Treadway) 發起成立COSO 委員會,致力于通過有效的內部控制和公司治理結構改善財務報告。1992 年COSO 發布《內部控制———整體框架》,提出了內部控制的五要素:控制環境、風險評估、信息與溝通、控制活動和監控。在風險評估中闡明了風險的含義、類別,如何識別、分析相關風險,從而形成風險管理的基礎。2004 年COSO委員會發布了《企業風險管理框架》,增加了三個風險管理要素:目標制定、風險識別和風險應對,同時提出了風險偏好、風險容忍度等概念,使得對風險的定義更加具體明確。框架報告的發布將企業管理的重心由內部控制轉向風險管理,同時審計實務界也開始探索以風險管理為核心的審計領域。2005 年,我國頒布了《內部審計具體準則第16號—風險管理審計》,將風險管理分為風險識別、風險評估、風險應對三個階段,對風險管理審計進行規范和指導。雖然準則內容比較原則化,在實務操作上不夠具體和詳細,但對我國風險管理審計發展起到了一定的促進作用。
二、風險導向審計與風險管理審計的區別
(一)“風險”的含義不同。風險導向審計中的風險指的是“審計風險”,主體是審計機構和人員。2006 年公布的《中國注冊會計師審計準則》認為:“審計風險是指財務報表存在重大錯報而注冊會計師發表不恰當審計意見的可能性。”審計風險包括重大錯報風險和檢查風險兩個方面。風險管理審計中的風險指的是企業“經營風險”,主體是企業及管理人員。2005 年頒布的《內部審計具體準則第16 號—風險管理審計》認為“風險管理,是對影響組織目標實現的各種不確定性事件進行識別與評估,并采取應對措施將其影響控制在可接受范圍內的過程。”風險管理涉及到風險識別、風險評估、風險應對三個階段。
(二)動因和性質不同。風險導向審計產生的動因是企業外部審計,是為控制和減少注冊會計師審計風險而發展起來的一種審計模式,是一種審計理念的創新。風險管理審計產生的動因是企業內部管理,是為控制和減少企業經營風險而發展起來的一種審計業務,董事會、管理層和審計委員會對風險管理均有明確的分工,是一種審計范圍的拓展。(三) 思路不同。風險導向型審計以被審計單位的重大錯報風險為導向,對被審計單位可能引起重大錯報的內外部風險因素進行評估,以確定審計的重點和范圍,將有限的審計資源集中在高風險領域,合理配置審計資源,以提高審計效率和效果。風險管理審計從企業戰略目標、風險管理政策等出發,審查和評價企業風險識別是否充分、風險評估是否恰當、風險應對是否有效,健全企業全面風險管理體系,幫助企業實現目標。(四) 角度不同。風險導向審計從企業經營管理層面出發,關注的是被審計單位存在重大錯報的風險,并不對企業戰略等更高層面的內容進行評價,也不對企業發展前景負責。風險管理審計從企業戰略層面出發,對各個層次的風險均要考慮,需要對企業戰略管理是否恰當進行評價,對董事會、管理層提出改進建議,實現企業長遠發展。
三、風險導向審計與風險管理審計在內部審計中的運用
(一)風險導向審計與內部審計的關系風險導向審計是從外部審計發展起來的一種審計模式,對內部審計同樣有較大的借鑒意義和應用價值。內部審計是企業的內設部門,與企業同發展、共命運,對行業特性、管理個性等有較為清晰的認識,有內部信息優勢。但內部審計部門與外行業接觸少,更顧忌到企業間的商業秘密,相較于外部審計,獨立性和外部信息處于劣勢。風險導向審計給予內部審計人員一個新視角,更加獨立客觀地來審視企業內部的經營管理現狀,提供了一種以風險識別、評估為導向的更為科學的審計模式。風險導向審計發展的一個重要動因是減支增效,內部審計同樣面臨成本效益的衡量,內部審計效率提升了,等同于企業運營效率的提升。因而,風險導向審計為內部審計提供了一種更為高效的審計模式,有助于內部審計在人員、資源有限的情況下實現優化配置。
(二) 風險管理審計與內部審計的關系風險管理是一項復雜的系統工程,內部審計是其重要組成部分。董事會、管理層、內部審計各司其職,董事會負責制定風險管理戰略,管理層負責風險管理控制實施,內部審計部門對風險管理的適當性、充分性和有效性進行檢查、評價和報告,提出改進建議。內部審計是企業的監督機構,風險管理是其重要審計內容。將評價和改善企業風險管理作為內部審計的重要工作領域,是內部審計的新發展,拓展了內部審計的廣度和深度,將內部審計在企業中的作用推向一個新的水平。內部審計和風險管理相輔相成,都是企業增值、改善運作和防范風險的重要方面。風險管理是對內部控制的再控制,內部審計是對風險管理的再監督,風險管理滲透到企業管理的各個方面,內部審計無法脫離風險管理計。事后審計是一項較為傳統和成熟的審計方式,風險導向審計和風險管理審計的引入,可促進事后審計實現新突破。一是審計方案個性化。以風險導向審計為指導,在分析企業風險管理現狀的基礎上,針對不同項目、經營業態和風險領域編制個性化的審計方案。通過評估風險優先次序,將重大潛在風險作為審計重點,合理安排審計分工和資源。與董事會、管理層、執行層溝通,考慮不同的風險管理需求,邀請業內人士和專業咨詢人士合理建議,補充修正審計方案,確保審計方案對風險認定準確,減少誤報、漏報重大錯報的風險。二是審計策略動態化。審計實施過程中,采取動態的審計策略,將系統檢查和專項檢查相結合。從風險管理系統整體出發評價各風險組合,進一步排查是否存在風險遺漏的重大方面。對關注的潛在風險領域實施專項檢查,傾斜人員和資源,提高審計效率,降低審計風險。一旦發現新的潛在風險領域,與企業戰略經營目標相對照,通過風險度量,隨時調整審計策略。三是審計結果長效化。雖然風險導向審計和風險管理審計關注的風險類別和層次不同,但理念都是實現良性循環,防范重大錯報和經營風險,促進企業的持續發展。在事后審計中運用風險導向審計和風險管理審計,具有“事后”的先天不足,但也具備數據完整的分析優勢,有助于系統整體地分析企業風險狀況。因而,事后審計結果的利用顯得尤為重要。審計結果不單要關注短期風險的規避和防范,更要從企業風險管理系統優化的角度,提出建設性建議,建立持續完善的長效機制。綜上所述,將風險導向審計和風險管理審計有機結合,運用到內部審計工作中,更新了審計理念,防范了審計風險,系統地提升了企業的風險應對能力,使內部審計的作用發揮到一個新高度,更好地實現企業的戰略目標。參考文獻:[1] 翟平堂.風險管理審計與風險導向審計的比較[J] .中國內部審計,2008 (10):54-55.[2] 劉清利,鄧平,王瓊.風險導向審計與風險管理審計協同融合發展[J] .山東冶金,2011 (10):145-148.[3] 陳青.風險導向內部審計與風險管理審計的比較分析[J].財會研究,2012 (21):66-68.[4] 黃陽陽,吳屾屾.企業風險管理審計與風險導向審計比較研究[J] .商業會計,2013 (12):69-71.(作者單位:浙江省煙草專賣局(公司))
