10月14至17日内审协会在大连举办了“现代企业风险管理理论研讨暨经验交流会”。题目加上举办单位,注定了会议主题实际是风险管理或风险导向审计。参会人员140多人,多为各地内审协会或企业内审人员;提交并汇编成册论文153篇,评一等奖4篇,二等奖8篇,三等奖40篇,优秀奖若干(没记住),大部分论文有奖。这次会议可算是内审关于风险导向内审之颇有规模的盛会,可窥风险导向内审实践之一般现状。参会人员这么多,提交论文这么多,可见内审对向风险转向的关注,但从宣讲论文及提交论文质量看,风险导向内审还处在起步或探索阶段。大部分论文重点讨论的是风险及风险管理、风险管理或风险导向审计等概念、风险管理或导向审计之作用或必要性。风险管理或风险导向审计理论探讨的深度不够,具体应用经验探讨较少,新颖性经验则更少了。结合会议内容。边听边想,在几个方面有点体会,写出来与大家共享:
一、风险导向审计概念问题
翻开论文集,见有多篇论文将社会审计的风险导向审计引入了内审。这种借鉴是值得肯定的,但遗憾的是生搬硬套现象较为突出。实际上,社会审计的风险模式是不适于内审的。
社会审计评估的风险对象是审计风险。审计风险在性质上属于审计主体自己的风险:
(a) 审计风险=控制风险X固有风险X检查风险,或
(b) 审计风险=重大错报风险X检查风险
其中:控制风险、固有风险或重大错报风险的评估,属于对被审计单位风险的评估,这种评估最终之目的在于评估审计风险。也就是说,社会审计的风险导向所谓风险指审计主体自己的风险(我认为社会审计的导向是其目标——财务报表反映的真实和完整,而不是风险,风险应该是社会审计之立足点或出发点,所以我更赞成“风险基础审计”这种说法)。
风险导向内审所谓风险并非内审主体自己之风险(立足自己的风险进行内审,内审就可能外化了),而是被审计单位的风险:
固有风险(总体风险)=已控制风险+剩余未控制风险
传统合规性内审,其依据是制度;而风险导向内审,其依据是风险。在风险导向内审模式下,对于已控制风险,看控制措施是否控制过度(成本太高或影响了业务发展,亦或与战略目标不协调——对于规模增长型发展目标而言,有些可容忍风险不需要控制,控制多了反而不利于目标实现);对于剩余风险,评估是否在容忍范围内,寻找可供选择的控制措施(有一些内审研究论文认为内审关注的是剩余风险,这是不完整的)。也就是说,风险导向内审通过识别、评估风险,确定审计区域,评估内控状况,提出增值建议。
另外,在讨论风险导向审计时,一些论文往往将其与风险管理审计相混淆。其实,这两者是有本质区别的。风险管理审计是对被审计主体风险管理状况的审计,其是一种审计类型(管理审计的领域之一),强调审计的具体对象是“风险管理”。而风险导向审计是一种审计模式,强调审计应以风险为立足点或出发点。风险导向审计的具体对象不仅有风险管理,还有操作领域或风险管理之外的其他管理领域。比如,风险导向社会审计的具体对象就是财务报表,而非风险。
二、风险导向内审的具体应用问题
论文集谈风险导向内审应用的深度论文不多见,概因观念或思想容易伸展,而行动或方法是身体力行的范围,有具体影响力(涉及利益等阻力),却并不那么容易找到。我所在单位的内审也正从合规性审计向风险基础转向,归纳起来,着力点主要在以下方面:
(一)体制改革
对于集团企业,一般来说是总分公司设立两级内审部门,内审人财物分属两级公司,上级内审对下级内审属于业务指导与被指导的关系。这种体制在实际运行时有以下弊端:内审资源分布于两级公司,资源分散。目前,大多数企业的内审人员配备较少,老弱、闲散人员也较多,这更突显了资源分散的矛盾。另外,总公司内审对分公司的监督频率毕竟有限,而分公司内审对分公司监督又受独立性和权威性不足的限制,总公司内审对分公司的监督事实上较弱。风险导向内审要发挥识别、评估、控制风险的作用,必须有体制保障。在金融领域,普遍变革传统体制,追求垂直化的内审体制。两种模式:一是总分公司两级内审模式,但总公司内审分区域设置自己的区域分部;二是彻底改变总分公司两级内审模式,撤消分公司内审,完全上收至总公司内审。两种模式的基本立足点是一致的:延伸总公司内审的触角,增强风险敏感度和快速反映能力。不同之处是:后一模式整合了内审资源,避免了事实上的人员浪费;前一模式需要增加人财物,成本高于后者。
(二)力资源保障
无论多好的方法,没有好的人来用,方法的优越性就无从谈起。内审从合规性导向转向风险导向,要求审计队伍具备风险基础知识、具有风险敏锐度、识别能力、发现能力和反映能力,即要求审计队伍有理论、有经验、懂业务、懂专业、了解传统、勇于尝新。目前看,这方面的内审人才还很欠缺。我参加过两次招聘,发现入围面试的人员学历高,大都在研究生以上,但满足“素质高而又上岗即可用”的却没几个(有经验没学历,有学历却没经验是常见现象,用人单位要求两者兼具或许挑剔了)。人的问题,是内审面临的困境。
(三)信息技术的应用
适应风险导向内审转向,内审应加强自身信息化建设。一是建立被审计对象数据时时监控系统。随着企业信息化建设步伐加快,内审应在适应企业整体信息化建设步伐,建立时时监测系统,预警、提示和监控风险。二是建立内审管理系统,将内审作业过程和管理流程电子化,提高内审作业和管理的规范化和效率。三是改进稽核手段,引入ACL等类似工具性软件,提高内审作业效率和效果。
(四)内审作业流程再造
传统合规性审计采用的是“撒大网捕鱼式”作业流程,即一张大网抛出去,捕到什么是什么。其基本流程是:内控—问题—风险。风险导向内审要求采用“阻击手式”流程,即阻击手先瞄准一个重点,一击必中。其基本流程是:目标—事件—风险—内控。具体而言,在传统合规性审计下,往往是到一大堆帐簿及交易资料、操作或管理记录中去寻找,看是否存在违背制度规定的问题;而在风险导向内审下,是先根据采集到的各种信息,识别并评估风险,找准重点,然后对重点进行追踪检查,看是否控制过度或缺乏控制。总而言之,合规性审计是查问题、提建议;而风险导向审计是查问题、查风险、查成因、查尽职、查整改、提建议。
(五)方法创新
传统内审重视现场检查,风险导向内审重视现场审计与非现场审计相结合。在风险导向内审模式下,审计主体通过日常非现场监控和预警,为现场检查提示风险,增强现场检查的针对性。不过,随着企业信息系统建设加快,交易、操作及管理痕迹都存储于信息系统,现场检查可能演变为远程检查,现场与非现场的界限将越来越模糊。真正的现场检查可能只是被审计对象的实物管理方面了(如果物流的速度也如“神六”发射或光速那么快,一切都是现场的,又都是非现场的了)。
(六)改变绩效考核方式
考核是诱导行为的最有效手段。从传统合规性导向向风险导向转向,内审必须考虑修正其原有的考核体系(现在社会审计在鼓吹风险导向审计,我认为鼓吹的人需要思考一个问题:政府或行业协会是否因应模式变化而建立了风险导向下的注册会计师评价及惩戒机制。事务所及注册会计师变,而协会及政府的管理能力不变,这恐怕不行。市场经济的问题之一即在于市场变了,而政府的管理能力没跟上)。社会审计主体的直接目的在创利,审计人员的稽效考核往往是其创利多少和作业过程中的素质表现。内审并非直接的创利单位,而是重在为企业安全创利和获得质量效益提供增值服务,其考核难以用其创造的利润来衡量,而要看其增值贡献。从结果角度看,应将内控效果或管理建议的效果作为考核依据(有些内审人员说,内控非我内审在建设和执行,考核内审存在权责不对等。这固然是个问题,但内控出现问题,表明内审的监督职能未能充分发挥,内审为此承担责任有其合理性)。结果的考核往往是难的,内控效果或建议的增值效果都很难统计,因此也可采用过程考核。在风险导向内审下,可采用“计件制”,考核审计人员的风险提示量和管理建议量(注意:风险提示和管理建议都不是结果,其产生的影响才是结果)。没有风险提示量或管理建议量,不论现场检查多少项目、时间持续多长,审计人员都无绩效(严重一些,反而可说其检查是在浪费资源。)目前,内审普遍停留在查问题阶段,还难以达到所谓的增值服务层次,因此,可将风险提示量或问题揭示量作为考核标准。
三、风险导向不是万能模式
吾等有“簇拥”的习惯:说某事物好,众皆说其好,天下唯有其好(一切用情之“恋爱”皆有此病,以致于有人为之自杀——为情爱自杀者,为自由践死者,皆如是)。对于风险导向内审,也如是。这次参会见论文上百篇,未见有揭风险导向之短者。对于推行新方法、新观念,捧以造势是有必要的。但学习它的人却要注意保持头脑清醒:风险导向不是万能模式,也不是最后模式。首先,它不是唯一模式。并不是内审的一切工作都应以风险为导向。离任审计、合规性审计很大程度上属于遵循性审计(当然也要考虑事件的风险损失),未必适合采用风险导向。其次,它不是最优模式。风险导向总体上还是问题型审计。内审的核心是通过监督发挥增值作用。增值作用的作为领域比风险导向审计宽泛得多。比如,管理审计涉及管理是否履职、管理效率问题,就不是风险导向审计能够概括得了的(效率不高不一定带来损失,但它可能影响单位或员工更多地创造价值。风险导向关心的重点还是对价值的负影响,即损失,而不是正影响,即增值)。