虽然绝大多数企业从管理层面上已经认识到了内控审计的重要性,但从操作层面上看还是过于笼统。此外,由于内控审计本身在国内还处于一个发展阶段,在实施的技术以及机制等方面还有很多工作需要完善。公司董事会、高管层对于内部审计性质、目标、职能等基本问题的认识还不是特别充分,使得财务审计、合规性审计仍占据了内审人员大部分的工作时间,运营审计、风险管理审计、内部控制审计等增值型审计的开展仍不够全面和深入。
难点2:风险分析技术的运用以及风险管理审计工作的开展仍停留在理念阶段。
风险管理审计与传统的内审工作相比,在技术工具的使用上有较大的差别,特别是在风险识别和风险评估方面。而根据我们的调查,仅有21%的受访者认为本企业的内审人员在上述方面已具备了足够的能力。具体到内审部门对公司总体以及各业务活动的风险偏好/风险承受度等的了解,仅有37%的受访者认为,他们比较清楚地了解,其他人员则表示不清楚或不确定。这表明,快速提升内审人员自身在风险管理方面的知识和能力是未来推动风险管理审计工作的重要的一步。
另一方面,公司风险管理体系的建立相对滞后也对风险管理审计产生重要影响。风险管理审计作为企业风险管控体系的重要一部分,其发展成长是与企业整体的风险管理体系的发展密切相关的。但由于企业风险管理体系还处于初步阶段,如17%的受访者表示公司已经系统、全面地识别并评估了公司各项流程中的风险,37%的受访者认为企业已经建立了面对重大风险的风险预警及报告机制,以上数据表明,还有大量的企业未能建立完整的风险管理体系,因此也制约了风险管理审计技术的发展及应用。
除此之外,我国企业的内控审计还存在着内审人员专业素质不足,对于计算机辅助审计程序等运用不熟悉;企业对于内部审计部门的定位还不甚清晰;内部审计部门的独立性不高,导致内审报告的质量受到影响;企业对于具体的风险分析技术的运用以及风险管理审计工作的开展仍停留在理念阶段等限制。
三、内部审计未来转型和发展的方向
内审转型不意味着取消传统的审计业务,而在于兼收并蓄、整合提升,一方面稳固并强化传统的财务收支审计,另一方面逐步将财务收支审计与内部控制审计、风险管理审计融合、互动发展,同时要充分考虑国际内审发展的一些新趋势,将其与现有内审技术融合。国内内部审计的发展与转型应充分考虑国际内审发展的一些新的动向,这些新动向重点体现为以下几个方面:
未来五年影响内部审计发展的重大趋势:
风险管理
信息技术
公司治理
新法规、道德和合规要求
全球化
未来五年愈加重要的内审职责:
持续监控/持续审计
风险管理审计
舞弊预防与侦测
信息技术审计
公司员工教育和培训
未来五年最重要的内审技能:
风险导向的年度审计计划的编制
风险评估与分析技术
信息技术
风险管理协调
舞弊侦测
企业内审转型是一个渐进的过程,既要考虑到转型的大方向,又要结合企业的实际情况,走自己的路;企业要建立风险导向型的内部审计,需要在现有审计体系中重点关注以下五个要素,即战略和价值定位、组织架构、工作流程、人力资源、技术手段。
战略和价值定位
以公司价值和风险出发
风险管理审计不仅仅是内审手段的提升,而且应该作为建立风险智能企业的重要推动力
风险管理审计关注CEO关心的问题,重新构建审计模式和方法
组织架构
通过搭建风险管理的第三道防线,实现风险管控由被动到主动的转变
敦促公司建立风险控制自我评估体系,实现业务自我监督和审计监督
工作流程
风险导向的年度审计计划、项目计划和风险控制审计实施三个层次的流程体系
人力资源
对公司各级人员进行风险管控的培训,提高风险管控意识和技术
提升内审人员风险分析和评估的能力
培养风险控制专家
技术手段
全面实施风险分析和评估技术
建立业务风险和控制应对数据库
提升专项风险的审计能力和手段(如IT审计、舞弊审计等)
就中国企业而言,由于内审水平参差不齐,内审转型不是一促而蹴,德勤基于对国内企业转型的研究,总结出中国企业转型的一般模式。
我们将内部审计转型大体分为四个阶段,即内部审计传统业务的规范化阶段、传统审计业务提升与扩展阶段、内部控制审计全面化、常规化阶段,最后过渡到成熟的风险管理审计阶段,后一个阶段是对前一个阶段的“扬弃”和兼收并蓄。每个阶段对风险的关注程度(成熟度)逐步提升。
在明确了未来的内审转型方向后,我们认为,国内企业近期可结合监管机构要求,通过以下工作逐步推进内审转型。
重点工作一:以财政部等五部委的《企业内部控制基本规范》的实施为契机,进一步深入研究内部控制审计的工作模式和方法,加大内部控制审计在内部审计工作中的比重,并将传统审计业务与内部控制审计有效融合,促进公司内控体系建设,具体包括:
结合公司业务目标和风险以及《企业内部控制基本规范》,制定或完善内部控制审计标准,包括明确内部控制测试的方法、工具以及工作模板等;
明确内部控制审计范围,不仅应覆盖具体的产供销及人财物等业务流程,而且要对公司的战略、组织结构、企业文化、社会责任、公司治理等“软控制”进行评估和审计;将内部控制审计与传统财务收支审计、经营绩效审计以及经济责任审计等有机结合,互为补充,逐步进行融合;
着力培养IT控制审计人才、探索IT控制的审计方法。
重点工作二:在内部控制审计的基础上,尽快探索风险管理审计的工作模式并在审计的全过程逐步运用风险管理技术,逐步将内部控制审计与风险管理审计更好地融合起来,具体包括:
优先推行风险评估基础上的年度审计计划,并在常规审计过程中,提升风险识别、分析、评估的技术方法和手段,研究专项领域的风险应对策略和控制方案,逐步推进风险管理审计的开展;
正确定位内部审计在企业风险管理中的角色,将内部控制审计作为风险管理审计的一个重要的组成部分,从以下角度尝试开展风险管理审计,例如:
协助组织系统地识别、分析和评估风险;
确定组织是否恰当考虑了风险的相互影响;
协助组织确定日常风险管理是否与其风险承受能力相匹配;
通过内部控制审计推进风险控制措施的改善与落实;
提供主要风险领域(如并购、海外拓展以及舞弊等)的专业知识和意见,研究消除风险管理低效的手段;
为公司员工提供风险管理技术培训。
对于已经开展企业风险管理体系建设的公司,内审应该考虑对企业风险管理的全流程进行定期审计。
所示是一家国内大型企业集团内部审计的转型经验,我们看到,向风险管理审计转型,对于中国企业来讲需要一个渐进的过程,既要考虑到转型的大方向,又要结合企业的实际情况,走自己的路。
对风险审计进行定位:参与风险管理,提供独立评价和建议
确定风险审计的客体:评估风险识别的充分性;评价已有风险衡量的准确性;评估风险防范措施的恰当性,并提出改进措施
确定风险审计的方法
从公司相关经营管理部门,择优选聘了上百名专业技术人才,作为兼职审计人员
公司审计部聘请多名内部控制和风险管理专家,对审计人员进行了多次培训
与咨询机构进行合作审计,推行“干中学”模式
经济责任审计关注重大决策风险,对企业的全面风险管理过程、效果进行审核和评价
财务收支审计不仅仅关注结果,对于财务收支形成的过程中的内部控制和风险管理也可以进行审计
工程建设审计对建设项目投资立项、招投标、合同管理、设备和材料采购、工程造价、财务管理、后评价等全过程进行审查和评价。