（会计学专业论文）风险导向内部审计基础研究.pdf

摘要 摘要 随着我国企业国际化进程的不断加快，企业的治理问题更加复 杂，企业所面临的风险也在不断的增大。如何使企业更好的面对挑战， 在商战中立于不败之地，成为理论界和实务界共同关注的问题。风险 导向内部审计这一在西方国家已被较为广泛应用的模式，开始成为我 国业界人士探讨的热点问题。许多学者作了不少理论研究，但在实践 操作方面涉及较少。本文正是以此为着眼点，在理论研究的基础上， 侧重实践操作程序和方法的介绍，并结合流程图和界面图以直观、生 动的方式展现出来。 本文主要围绕风险导向内部审计的基础问题展开研究，主要分为 六部分。第一部分绪论，介绍本文的研究背景，目的意义及主要内容。 第二部分风险导向的内部审计概述，简述其涵义、主要职能、审计类 别及采用的标准。第三部分主要分析我国引入风险导向的内部审计的 动因和条件，简述实施该种审计对公司治理、风险管理、审计人员等 相关条件提出了怎样的要求。第四部分是本文的核心部分，详细介绍 风险导向的内部审计具体操作的程序，分别阐述了准备、计划、实施、 报告、后续审计各个阶段的特点、任务、步骤及相关审计工具的运用。 第五部分以流程图和界面图相结合的方式展示风险导向内部审计系 统的实施流程。第六部分本文结论。 本文主要采用规范性的研究方法，主要有以下特点：第一，理论 研究与实践操作并重。本文在已有的理论基础及固有的审计程序中注 入风险管理的新思想，其中不乏实践操作的具体方法。第二，对于风 险导向内部审计的整个过程以流程图、界面图等直观的方式对其进行 描述和展示，这种直观的感受和清晰的表象更有利于对流程的理解。 关键宇：内部审计、风险导向、审计流程 a b s t r a c t a b s t r a c t a l o n gw i t ht h ea c c e l e r a t i n ge n t e r p r i s ei n t e m a t i o n a l i z a t i o np r o c e s s ， t h ei s s u eo fc o r p o r a t eg o v e m a n c ej sm o r ec o m p l e x ，a i l dt h er i s k e n t e r p r i s e sf a c e di si n c r e a s i n g m a i l yt h e o r i s t s a n d e n t e r p r i s e r s a r e c o n c e m e da b o u th o wt of a c ew i t ht h ec h a l l e n g e s r i s k o r i e n t e di f l t e m a l a u d i c ，w h i c hh a sb e e nm o r ew j d e l ya p p l i e di nw e s t e mc o u n t r i e s ，d e s e i v e s f u n h e rd i s c u s s i n ga n du n d e r s t a n d i n gi no u rc o u n t r y m a n ys c h o l a r sm a d e al o to ft h e o r e t i c a lr e s e a r c h ，b u tl e s si np r a c t i c e t h e r e f o r c ，t l l i st h e s i si s s u p p o s e dt os t u d yt h ep r a c t i c a lp i d c e d u r e sa n dm e t h o d so fr i s k o r i e n t e d i n t e m a la u d i t t h i st h e s i sf o c u s e so nt h ei s s u eo fr i s k o r i e n t e di n t e n l a la u d i ts t u d y d i v i d e di n t os i xm a i np a r t s t h ef i r s tp a r to ft h et h e s i si st h ei n t m d u c t i o n ， i n c l u d i n gt h ep u r p o s ea n dt h em a i nc o n t e n t t h es e c o n dp a no ft h et h e s i s i s0 v e r v i e w0 fr i s k o r i e n t e di n t e i n a la u d i t ，t h et h t r dp a r ta n a i y s e st h e n e c e s s i l ya i i dc o n d i t i o n so nr i s k o r i e n t e di n t e r n a la u d i ti m p l e m e n t a t i o n t h ef o u r t hp a n ，t t l em a j nb o d yo ft h j st h e s i s ，i n t r o d u c e st h ec h a r a 烈e r i s t i c s ， t a s k s ，s t e p sa n dr e l a t e da u d i tt o o l so ft h ef i v es t a g e si nr i s k - o r j e n t e d i n t e m a la u d i t t h ef i f t hp a nd i s p l a y st h ep m c e s s e s ，c o m b j n e dw i t h n o w c h a f t sa n dv i s u a li 玎t e r f a c e t h el a s tp a r ti st h ec o n c l u s i o n t 1 1 et h e s i su s e st h en o m a t i v er e s e a r c hm e t h o d ，a n dh a st h ef o l l o w i n g f c a t u r e s ：f j r s t ，b o t ht h e o r e t i c a lr e s e a r c ha n dp r a c t i c a lo p e r a t j o na r e c o n c l u d e di nt h et h e s i s t h i st h e s i su s e st h e c o n c e p t i o n o fr i s k m a n a g e m e n t ，b a s e do nt h et h e o r e t i c a lf o u n d a t i o na n dt f a d i t i o n a la u d i t p r o c c d u r c s s e c o n d ，f l o wc h a r t sa n dv j s u a li n t e r f 如ed e s c r i p t i o ni su s e dt o d i s p l a yt h ew h o i ep r o c e s so fr i s k o r i e n t c di n t e m a la m d i t ，w 血i c hw o u l db e h e l p f u lf o ru n d e r s t a n d i n g k e y w o r d s ：i n t e m a la u d i t ，r i s k - o r i e n t e d ，a u d i l j n gp i o c e d u r e s y8 7 8 7 5 3 独创性声明 本人声明，所呈交的学位论文是我个人在导师指导下进行的研究 工作及取得的研究成果。尽本人所知，除了文中特别加以标注和致谢 的地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不 包含为获得北京交通大学或其他教学机构的学位或证书而使用过的 材料。与我一起工作的同志对本研究所做的任何贡献己在论文中作了 明确的说明并表示了谢意。 本人签名：途盥 日期：兰丛年土月旦日 1 绪论 1 1 研究背景 世界范围内科学技术和政治经济的巨大变化，使企业的不稳定性 增强，企业间竞争愈发激烈，出于企业发展的需求及相关利益主体维 护各自利益的需要，企业的风险管理意识逐步增强，对风险导向审计 的相关需求也随之增加。并且在对近年来许多上市公司经营失败案例 进行深刻剖析后，人们不仅把分析重点放在了完善公司治理、加强内 部控制建设方面，更多的开始关注有效的风险管理机制及风险导向内 部审计的研究。 实务界的关注也引发了理论界的重视，从近年来权威性的制度来 看，c o s o 在2 0 0 4 年9 月发布的企业风险管理新框架结合了萨 班斯一奥克斯法案的内容，并在1 9 9 2 年内部控制一整合框架 五要素的基础上发展到企业风险管理新框架中的八要素，充分地 将风险管理的思想和理念贯穿于企业的管理过程之中。国际内部审计 师协会( i i a ) 内部审计实务标准可谓是业界的实务指南，对其2 0 0 1 年版本与1 9 9 3 年版本进行比较，可以发现无论是在体例列示还是内 容上都有明显的变化，自始至终贯穿着风险导向内部审计的主导思 想。 从学术界的研究来看，自二十世纪九十年代起，众多学者对风险 导向内部审计展开了深入的研究：1 9 9 8 年戴维麦克纳米和乔治塞 利姆在其文章中指出，风险管理的出现彻底改变了内部审计的模式， 使传统的被动式、反应式的控制导向审计被新的主动式、预期式的风 险导向审计所取代“；p a u llw a l k e r ，w i l l i a mgs h e n k i r ，t h o m a sl b a r t o n 在其文章中以通用汽车、沃尔玛、加拿大邮政等五家公司为例， 探讨了内部审计人员在企业风险管理中担任的角色，及风险导向内部 管理审计对完善公司治理的作用“；c 0 1 i nl i l l s l e y 认为萨班斯一奥 克斯利法案出台之后，着实改变了内部审计在公司中的地位0 1 ： a s c o t t 在“c o s o 企业风险管理框架草案”中指出最新的框架草案把 原有的内部控制框架细化为八要素“1 ；d a v er i c h a r d s ( 内部审计协会 北京交通大学硕士学位论文 主席兼c o s o 董事会成员) 指出“多年来内部审计协会和内部审计的 实践者们一直倡导完善公司治理结构，并且的确在公司的风险管理建 设和高级管理人员风险管理理念的培训方面做出了巨大贡献。这一 框架将为内部审计提供一份明确的文档框架以强化风险管理理念和 完善公司治理结构。” 我国学术界对风险导向内部审计的研究多集中于近几年，众多学 者对这一问题从不同角度和层面展开了研究：厦门大学严晖博士分析 了风险导向内部审计的产生背景及理论框架”1 ：东北财经大学刘明辉、 王晓霞从审计域、审计瓷源的配嚣、风险类别、风险处理手段合理性 等角度对有关风险审计的专业判断做了诠释”1 ；南歼大学张伟认为内 部审计的定位应该从治理层次即最高管理层对所有者的受托责任关 系进行考虑，并突出了现代内部审计的主要工作将是以风险为导向为 创造价值而开展的内部治理审计活动，工作的主要方法是绩效评估”1 ； 南京大学时现博士从内部治理的角度对风险管理审计进行分析”3 。 可见学术界在为推进风险导向内部审计的进程不断努力着，但我 国相关研究仍然比较少，并且少量的研究多集中于理论的探讨，对审 计过程中具体程序和方法涉及较少。这就使实务界虽有理可依，但却 无章可循，这就为本文的研究提供了一个新的视角和领域。 1 2 研究的目的和意义 国外对于风险导向内部审计的研究起步较早，同样也较早的取得 了很多成果，在风险导向内部审计的实施流程方面有一些成熟的经验 和方法。一些国际顶级的大公司都从风险导向内部审计的实施中受益 匪浅，如通用汽车、沃尔玛、加拿大邮政。 而我国的许多企业也在不断的探索适合自己的内部审计之路，并 从国外一些巨头企业如安然、世通、环球电讯等公司惨痛的经验中清 醒地认识到加强风险意识的重要性，因此许多企业试图采用风险导向 内部审计模式开展审计工作，然而却面临着一些问题：一方面，在我 国由于风险导向内部审计研究起步比较晚，学术界对这方面少量的研 究多集中于理论方面，在一定程度上给想采取风险导向内部审计模式 的企业造成了障碍，使其无章可循；另一方面，国外成功企业对予审 2 缝论 计模型的披露多采用概述式和框架式介绍方法，加之我国的国情和企 业状况存在颇多的特殊性，使我国企业不能完全照搬国外的模型。 本文正以此为切入点，围绕风险导向内部审计的主题，结合国内 的具体情况，针对风险导向内部审计相关基础问题及审计过程中具体 程序及方法展开研究，并以流程图、界面图等直观的方式对审计程序 进行描述和展示，希望能为实务操作提供一点有益的建议。 1 3 研究思路和主要内容 本文主要围绕风险导向内部审计的基础问题展开研究，主要分为 六部分。第一部分绪论，介绍本文的研究背景，目的意义及主要内容。 第二部分风险导向的内部审计概述，简述其涵义、主要职能、审计类 别及采用的标准。第三部分主要分析我国引入风险导向的内部审计的 动因和条件，简述实施该种审计对公司治理、风险管理、审计人员等 相关条件提出了怎样的要求。第四部分是本文的核心部分，详细介绍 风险导向的内部审计具体操作的程序，分别阐述了准备、计划、实施、 报告、后续审计各个阶段的特点、任务、步骤及相关审计工具的运用。 第五部分以流程图和界面图相结合的方式展示风险导向内部审计系 统的实施流程。第六部分本文结论。 本文主要采用规范性的研究方法，主要有以下特点；第一，理论 研究与实践操作并重。本文在已有的理论基础及固有的审计程序中注 入风险管理的新思想，其中不乏实践操作的具体方法。第二，对于风 险导向内部审计的整个过程以流程图、界面图等直观的方式对其进行 描述和展示，这种直观的感受和清晰的表象更有利于对流程的理解。 诚然，由于目前对于风险导向的内部审计基础研究成果不多，并 且公司内部审计信息披露度较低，因此笔者缺乏对典型公司在实际操 作中运用此程序的实际调查，对相关问题的深入研究产生了一定的影 响。 毒 北京交通大学硕i ：学位论文 2 风险导向内部审计概述 2 1 内部审计发展历程回顾 内部审计具有相当长的历史，为迎合不同时代的需要，产生了不 同的审计重心和不同的目标、范围和方法。按照历史发展的j 顿序，可 分为三个阶段：数据导向内部审计阶段、控制导向内部审计阶段、风 险导向内部审计阶段。 数据导向内部审计，是以凭单核对为重心，以查错防弊为目标， 以数据的可信性为着眼点，以会计科目为入手点，构成了个完整的 方法模式。但这种详细审计的方法，虽然可以发现技术性错误或舞弊 行为，但是所耗费人力较大，难以做深入分析。因此在经济业务规模 扩大，业务复杂的情况下，数据导向内部审计并不能达到预期的效果。 控制导向内部审计的产生源于社会公众对会计报表的公允性、真 实性的关注。在该审计模式下，审计重点放在对制度各个控制环节的 审查上，目的在于发现控制制度的薄弱之处，找出问题发生的根源， 然后针对这些环节扩大检查范围，并就管理上的问题提出总体上的建 设性意见。但控制导向内部审计的缺陷在于它并不直接处理审计风 险，审计人员过于依赖于内部控制的测试，而忽视审计风险产生的其 他环节9 3 。 随着客观环境的变化，基于受托责任关系、供需关系及信息经济 学等理论，产生了对风险导向内部审计的需求。内部审计之所以从数 据导向发展到了控制导向，现今又发展到了风险导向阶段，正是由于 企业自身和委托人与受托人存在这样的一种需求，所以才会产生这方 面的供给。在企业经营风险不断增加的时代，受托责任关系呈现出了 新的矛盾：资本所有者追求利润最大化的风险增大；由于信息不对称 等原因，会出现逆向选择、道德风险等问题o ”；在考虑所有者利益的 同时又要兼顾如何降低公司其他利益相关者的风险；对于众多的小股 东来讲，还有一个搭便车问题等等，这些都是受托责任关系带来的不 可避免的问题。因此，委托人更多的希望了解自己所拥有的资财的管 4 风险导向内部审计概述 理能否得到保障，获利可能有多大，损失的概率又有多大；受托人所 提供的风险管理制度是否足以满足获利的要求，风险管理过程是否合 理、有效，从事风险管理的人员是否具备足够的知识储备，因此就产 生了对风险管理审计的需求。受托人为了证明自身的能力，迎合委托 人的需要，同时也为满足自身利益的需求，也产生风险导向内部审计 的需要。 2 2 风险导向内部审计的涵义 风险导向内部审计区别于以往审计模式之处是在其整个的审计 过程中始终贯穿了风险管理、风险评估的思想，也就是在传统内部审 计的思想中注入了风险的理念，在审计准备阶段、计划阶段、实旌阶 段、报告阶段和后续审计五个主要阶段都注重风险这一核心因素： 风险导向内部审计准备阶段，其审计预警机制充分体现了风险的 主导性，即以综合风险水平来决定审计域；在审计计划阶段，它以风 险的排序情况决定审计优先性及审计重点，并在此基础之上使各种资 源达到最合理配置状态；在实施阶段，同样需要考虑选用什么审计方 法和信息反馈手段以保证把企业的风险降到最低；报告阶段，需要充 分考虑相关事项的重要性和风险水平，决定采用何种报告模式及报告 中的内容；在后续审计中，风险是决定后续审计范围的重要因素，并 使审计的注意力集中在最严重的或潜在问题最大的事项上。 值得说明的是随着电子信息技术的不断发展，计算机辅助软件被 较为广泛地运用于风险导向内部审计中，审计人员可以借助计算机， 完成过去由于时间和费用的限制而无法做到的信息搜集、整理、评价 工作1 。这就意味着企业进入风险导向内部审计阶段的同时也进入了 电算化审计时代。这种融合不仅可以大大提高审计效率而且更有利于 保证审计质量。 2 。3 风险导向内部审计的主要职能 内部审计具有较为广泛的职能，而对于风险导向内部审计其较有 特色的职能主要是以下三种： 第一，评价和监督风险管理“”。对本组织的风险管理过程进行评 s 北京交通大学硕士学位论文 价监督并做出书面报告通常是审计工作的一项重要内容，主要包括评 估风险识别的充分性，评价已有风险衡量的恰当性，评估风险防范措 施的充分性并提出改进措施。其评估重点是组织风险管理过程的充分 性和有效性。 风险管理责任和活动应当在该组织的风险管理流程中负有责任 的群体和个人中间协调：董事会应当负责制定战略目标；董事会和审 计委员会对于确定本组织具备良好的风险管理流程且运转正常负有 监督责任；风险的所有权应当赋予高级管理层；剩余风险的接纳应当 留给执行管理层；持续的识别、评估、减轻和监督活动应当交与运营 层。 内部审计机构应当定期评价并协助其他部门进行风险管理，其并 不负责企业的风险管理，这是管理层的一项关键责任。内部审计机构 以咨询的方式帮助本组织识别、评价和实施风险管理方法和控制，从 而解决这些风险，并应当在改善管理层的风险管理流程的效果和效率 方面协助管理层和审计委员会进行检查、评价、报告和提出建议。“” 第二，评估内部控制。在风险导向内部审计阶段，对内部控制的 评估仍然是内部审计的主要职能之一，只是侧重点已不同于控制导向 内部审计时期：控制导向内部审计的重点放在对制度各个控制环节的 审查上，目的是发现控制制度的薄弱环节，以便采取进一步的行动； 而风险导向内部审计在对内部控制进行评估时，则侧重于对内部控制 风险的评估，也是审计工作以风险为导向思想的体现。 内部控制的目标是发现风险、分析风险、防范风险，并使风险可 能遣成的损失降至最低。重要内容是对风险本身进行评价，内部控制 应当对这些过程进行及时监控与分析，发现风险。更重要的是，内部 控制应当建立相应的风险自动反映机制，以便对组织可能出现的风险 做出即时反映，并应该及时将审计发现向恰当层次的管理人员通报， 以便及时采取行动，纠正或减缓所发现的控制缺陷或薄弱环节所带来 的不利后果。 需要注意的是，内部审计部门为整个组织风险管理和控制过程的 有效性提供各种程度的保证，但其不负责建立和维护内部控制，只是 在评估内部控制系统的有效行使中超重要作用。 第三，协助防范舞弊。在实施审计业务时，内部审计师要保持防 6 风险导向内部审计概述 范潜在舞弊的意识，但只负有协助防范舞弊的责任，并不起到防范舞 弊的作用，因为防范舞弊是管理当局的责任。内部审计师应当注意舞 弊的各种迹象和征兆，并设计适当的审计业务步骤以应对重大的舞弊 风险，同时采用审计测试已发现舞弊，确定是否应该对任何可疑的舞 弊进行调查。 2 4 内部审计种类 内部审计可分为常规性审计和非常规性审计两大类：常规性审计 包括绩效审计、经营审计、财务审计、合规性审计；非常规性审计包 括舞弊审计、质量审计、安全审计、保密审计。“ 表2 1 审计种类及其主要目标 分类审计种类目标 备注 绩效审计与标准比较以确定效果、效率和效益。 经营审计检查和评价内部控制系统及所分配职核心是内部 常 责的完成情况。控制 规 财务控制确定对组织内部财务资源控制的水平 性 审计和效果。 宙 财务报表对组织财务报袭的公允性和一致性发通常由外部 计 审计 表审计意见。 审计完成 台规性审确定组织对政策、程序、标准、法律和客观性较强 订政府法规遵守程度，以降低组织风险。 舞弊审计执行扩展程序以确定已有征兆暗示的 非舞弊是否己发生。 常 质量审计确定组织质量管理的水平和效果，评价 规 结果是否与计划一致 性 安全审计 检查系统、程序、经营活动的安全性的 隹f 正规检查和复核 计 保密审计 检查是否符合保密要求，评价敏感性、 安全风险和信息的公众理解性 7 北京交通九学硕士学位论文 2 5 实施内部审计的标准 不同组织具有不同的文化、结构以及规模，不同国家有不同的法 律和习惯，这些差异对在不同环境下执行内部审计业务都会产生一定 影响，但是为了顺利完成内部审计工作，履行内部审计师的职责，有 必要制定国际统一的内部审计标准，主要包括内部审计实务标准， 实务公告，道德规范。 内部审计实务标准( 以下简称标准) “”说明了内部审计实 务的基本原则，为各种内部审计活动提供了一个基本框架，为衡量内 部审计行为提供了标准和依据，有助于改善组织的经营与工作。标 准由属性标准、工作标准和实施标准三部分组成：属性标准主要说 明内部审计机构和人员的特点和要求，重点内容包括内部审计章程、 独立性和客观性；工作标准阐述内部审计工作的性质，并规定评价内 部审计活动的质量标准；实施标准是上述两类标准在特定类型审计活 动中的具体规定。 实务公告是对标准的进步阐述，是在具体审计业务环 境中，为满足特定行业、特定审计活动的需要，而对标准进行的 详细说明。内部审计师协会提倡但不强制内部审计师在工作实践中必 须实施实务公告。 道德规范的制定目的是促进内部审计职业领域的道德文化建 设，是阐述内部审计师预期行为规范的行为规则。主要要求内部审计 师应该具有正直、客观品行以及胜任工作的能力，并且负有保密责任。 b 我国0 l 入风睑岢向内部审计的动因与条件 3 我国引入风险导向内部审计的动因与条件 3 1 我国建立风险导向内部审计的必要性 3 1 1 我国内部审计的现状 我国企业内部审计大部分运用着数据导向审计模式和控制导向 审计模式。而这两种审计模式由于本身固有的缺陷使得内部审计的工 作效率低下、审计结论缺乏可操作性。 在数据导向审计模式下，审计人员将精力主要放在被审计单位会 计记录及其有关凭证的审查上，着重去验算其会计金额，核对转账事 项，以证实账簿和报表数字的正确性。这种审计方式只能适用于一些 小规模企业的财务审计，但要运用它对规模较大的企业进行内部审 计，则存在审计效率低下、审计结果不准确、审计的内容狭窄等严重 的缺陷。 在控制导向审计模式下，内部审计人员一宜把精力集中在对内部 控制的审查上，通过制定计划进行符台性测试和实质性测试，由此对 企业经营括动的内部控制做出评价。然而这一审计模式也存在着一些 缺陷，如审计结论脱离生产经营的目标、控制系统越来越僵化、审计 作用严重滞后。难以实现内部审计的初衷，无法满足管理者的需要。 总之，耍想提高内部审计的审计效率和效果，必须改变落后的审 计技术，取而代之进行一种新的行之有效的审计，即风险导向内部审 计。”3 风险导向内部审计依据风险进行立项，集中关注风险问题，测 试风险降低过程，最后报告风险。在风险导向内部审计模式下，审计 人员把精力主要放在高风险领域，故而提高了审计效率，同时，运用 风险导向内部审计模式进行内部审计，始于风险，终于风险，将风险 分析、风险评价贯穿于审计的每一个环节，审计结论和审计建议都是 紧紧围绕怎样控制风险而来提出的，这样内部审计就会从减少风险损 失的角度更好地帮助企业增加价值。 失的角度更好地帮助企业增加价值。 9 北京交通大学硕士学位论文 3 1 2 风险导向内部审计的重要意义 从审计模式本身来看，我国内部审计由于仍进行着存在着诸多缺 陷的数据导向审计和控制导向审计，审计目标和范围不能根据经营中 的主要风险和问题来确定，这样就无法有效地为组织增加价值，因此， 内部审计本身在企业内部渐渐地不被重视。为了摆脱这种危机状况， 就需要采用风险导向内部审计模式，因为它不仅能够帮助企业有效增 值、避免企业资源浪费、提高审计效率，同时内部审计报告更容易被 接受。 从我国企业现在所处的境遇来看，我国加入w t o 已有近五个年头 了，我国企业不仅面临着国内的竞争，同时也面临着来自国外的挑战， 所需承担的风险是不言而喻的。特别是得知国际上几大商业巨头的管 理“轮番失陷”之后，人们逐步意识到在内部审计体系中注入风险管 理思想的重要性。况且作为竞争对手的很多西方国家的大型企业，早 已采用能够在风险管理和公司治理方面成效显著的风险导向内部审 计模式，假若我国企业仍旧采用工作效率较低的数据导向内部审计或 模式僵化的控制导向内部审计，势必首先就使自己处于竞争中的劣 势，不利于今后的发展。 3 2 i 实施风险导向内部审计必须具备的条件 3 2 1 完善的公司治理环境 完善的公司治理结构是风险导向内部审计运行的另一必要条件， 它将为内部审计部门工作的开展提供良好的环境。一方面由监事会、 审计委员会和内部审计部门组成的内部监管体系，不仅能够保证内部 审计的独立性，也会使其工作的效率、效果得到极大的改善；另一方 面通畅的沟通途径和准确迅速的信息流，为内部审计与服务对象如董 事会、管理层和被审计部门以及外部的监管部门的沟通和交流提供了 良好的平台，对其顺利完成审计工作提供了强有力的保证。 a 完善的内部监管体系 借鉴美英和日德典型的内部审计模式，充分分析我国情况，比较 理想的内部监管体系是由监事会、审计委员会和内部审计部门三位一 我围引入风险拧向内部审计的动因与条件 体的监管模式。 ( 1 ) 明确监事会的设立目的，提高独立性 监事会作为完全独立、直接代表股东利益行使权力的机构，在内 部监管体系中起到统领作用，对于提高并保证内部审计的独立性起到 至关重要的作用。在公司治理中，监事会是信息交流沟通的枢纽：它 要对股东大会负责，监督董事会对股东权利的维护程度；并要统领审 计委员会及内部审计的工作；同时它也从董事会的报告中了解公司的 经营情况。 而目前我国公司的监事会存在严重功能失效的问题。第一，股东 们没有给予监事会充分的重视，监事会的建立并非出于公司治理的需 要，尽是流于形式的一种摆设。第二，监事会在公司治理中只是软性 监督。监事会并不承担重要决策的责任，还会受制于大股东和董事会 的现象严重。“” 为了改变这种局面，首先，要搞清楚建立监事会的真正动机，明 确设立目的：其次，给监事会实实在在的权利咀充分保证其独立性， 真正能够让监事会“监”到“事”，因为只有这样才能使整个内部审 计体系不失独立性这一灵魂，也更有利于建立一个完善、有效的公司 治理机制。 ( 2 ) 增设高质量的审计委员会，细化审计体系 我国大多数公司的内部审计体系般由监事会和内部审计部门 组成，在形式上虽与日德模式很类似，但在外部环境方面却与独立性 较高的日本模式及自觉审计的德国模式有较大不同。我国在股份制改 造过程中，公司股权高度集中于国有独资或控股企业，存在“一股独 大”的现象，造成严重的内部人控制问题，董事长兼任总经理现象非 常普遍：同时受到一些历史遗留问题的影响，如国有资产的主体缺位， 对国有资产的管理者或代理人缺少激励与监督机制等等。从完善公司 治理的角度来看，在我国建立审计委员会是有实际意义的。 直到2 0 0 2 年1 月，我国上市公司治理准则才首次建议上市 公司可以在董事会下设立审计委员会。虽然目前我国已有约1 4 的上 市公司建立审计委员会，但相关研究表明我国成立审计委员会的目的 并不是如美国和英国那样，出于增强财务报表可信度的考虑，而只是 受到董事会和外部董事的影响，不具有提高财务报告质量的动机。“” l l 北京交通，人学硕士学位论文 因此，我们不仅倡导上市公司成立审计委员会，更重要的是要建立高 质量的、高效率的、公司治理意义上的审计委员会，否则对于公司来 讲是没有意义的。 b 加强与董事会及高级管理层的沟通 对于审计中的计划、相关变动、结论等，均需及时与董事会及高 级管理层沟通，以得到其支持与认可，不仅将有效的保证其独立性， 而且可以有力的保证其顺利开展工作。标准中实务公告1 1 1 0 l 也 明确规定，审计执行主管应该对审计委员会、董事会或其他相关治理 机构报告业务工作，向机构的首席执行官报告行政工作。 ( 1 ) 获得董事会对内部审计章程的批准 现阶段的内部审计是以增值和改革机构状况为主要内容的增值 型审计，其基本目的是帮助组织完成其目标，为此要揭露相关的风险， 并提出改进建议。为了实现以上基本目的内部审计机构和人员的独立 性和客观性至关重要。而内部审计章程获得董事会的批准也正是为了 确保内部审计机构的地位和活动不受限制。 内部审计章程由内部审计机构起草，并报经董事会、审计委员会、 相关治理机构和高级管理层批准或认可。这样能最大程度的保证内部 审计活动的独立性，确立内部审计机构的作用：获得批准的内部审计 章程还可以作为管理层和董事会评价内部审计工作质量的依据：保证 内部审计活动能在章程授权内不受限制的开展工作，也可为消除与审 计客户间就审计范围、审计职责等方面的分歧提供依据。 ( 2 ) 沟通审计业务计划 首席审计执行官负责与高级管理层和董事会的沟通工作，包括内 审的业务计划应报高级管理层审批，并报董事会备案，报告中应包括 充分的信息，以便他们能够确定内部审计机构的目标和计划，能否有 助于实现组织的目标和计划；计划在中期变化时，应该及时沟通；在 业务执行过程中，如果内部审计资源不足或审计范围受到限制，首席 审计执行官应及时向高级管理层和董事会报告，报告内容包括资源不 足和范围限制可能带来的后果。 ( 3 ) 报告重大审计事项 首席审计执行官应每年至少向高级管理层和董事会提交一次工 作报告：当出现重大的审计事项时，应向董事会及时报告。重大审计 我周0 l 入风险导向内部审汁的动斟与条件 事项是指那些根据首席审计执行官的判断，可能对组织产生不利影响 的情况，包括处理违章、违法、差错、低效率、浪费、无效、权益冲 突和控制系统的薄弱环节。 首席审计执行官在向董事会报告重大审计事项前，应与高级管理 层进行讨论。即便讨论取得了令人满意的结果也应当向董事会报告， 并且首席审计执行官还应将高级管理层对重大审计事项所作的决定 通知董事会。在报告重大审计事项后，高级管理层和董事会决定不采 取任何行动并承担由此产生的风险时，若组织、董事会、高级管理层 或其他方面有变动时，首席审计执行官最好将原先报告的事项再次向 董事会报告。 ( 4 ) 定期报告主要审计业绩指标 首席审计执行官应定期向董事会、高级管理层报告与计划有关的 内部审计活动的目的、权力、责任、工作业绩，以及重要的风险揭示 与控制问题、公司治理问题以及委员会和高级管理层需要或要求知晓 的其他事项。另外工作报告还应涉及，重要的审计发现和建议，审计 工作计划、人员计划和财务预算在执行中出现的重要偏差以及原因 等。 ( 5 ) 讨论重大风险领域 风险管理是管理层的一项主要职责，而对组织的风险管理过程进 行评估和报告通常是内部审计工作的一项重要内容。在适当情况下， 内部审计师应当与管理层、审计委员会和董事会就与风险和风险管理 实务中的薄弱环节进行讨论。如果首席审计执行官认为高级管理层接 受的风险水平与机构的风险管理战略和政策不一致，或该水平不能被 机构接受，首席审计执行官应就此与高级管理层进行讨论。若讨论仍 然解决不了这些问题，首席审计执行官和高级管理层应将此事报告董 事会解决。 c 与各方面协调工作 内部审计部门作为企业众多部门中的一个，与被审计部门的协调 合作成为内部审计工作的一个组成部分，并有利于对审计具体目标、 审计对象、审计日程安排等事项做进一步细化。根据标准的有关 规定，内部审计机构还应与提供相关保证与咨询服务的其他内外部人 员共享信息、相互协调，以确保工作的全面性，最大限度的减少重复 北京交通大学硕士学位论文 工作。 ( 1 ) 与被审计部门的沟通 在计划阶段与被审计部门就审计计划、目标、方式等进行的初步 沟通，有利于内部审计了解被审计部门的基本情况，并为今后审计工 作的开展做出相应的安排，起到良好的铺垫作用：在审计实施阶段要 求被审计部门报送财务资料、内部控制制度、有关政策和程序等与审 计业务相关的文件资料；在审计即将结束时在退出会议上，就审计结 果及相关问题与被审计部门再次深入的交换意见，认真听取被审计部 门的反馈，以保证审计报告中的建议能够切实有效的得到采纳。 ( 2 ) 与外部审计师的合作 外部审计师作为独立的第三者对本组织进行审计，他们可以向内 部审计师提供其所掌握和了解的潜在被审计对象的相关情况，这对于 内部审计目标的确立和修订、具体审计对象的选择、审计日程安排的 优化是非常有益的。虽然外部审计师的工作范围由独立审计准则 等相关专业标准来规定，内部审计师的工作范围由标准和内部 审计章程等进行规定，但内外部审计工作的充分协调可以充分利用 现有资源，最大限度的减少重复工作。 在协调内外部审计人员的工作时，首席审计执行官应确保内部审 计人员遵循标准的有关规定，并经常评估内部审计人员之间的工 作协调情况。外部审计工作和内部审计工作在工作方法、判断标准、 专业技术标准等很多方面有相似之处，可以相互借鉴、相互促进，内 部审计工作应当充分借助外部审计的力量，积极利用外部审计的成 果，在可能的情况下与外部审计师展开合作，以达到提高内部审计工 作效率、优化内部审计工作的效果。 ( 3 ) 与法规监督机构的沟通 为保证企业的经营活动符合相关的法律法规，避免法律风险，内 部审计活动应对那些违法风险较高的领域给予较多的关注。特别是在 制定审计日程安排表时，内部审计师应与组织中的法规监督机构进行 协调。法规监督机构作为组织中负责法规制定、监督控制等方面工作 的部门，其工作与内部审计工作有一定的相通之处，内部审计师在从 事内部审计工作尤其是合规性审计、舞弊审计等具体审计业务时，应 当主动征求法规监督机构的意见，积极与法规监督机构展开工作。 我国弓l 入风险导向内部审计的动因与条件 ( 4 ) 与其他内部保证部门的合作 根据相关法规的要求和组织自身的需要，在某些组织中还会存在 其他内部保证部门，如健康和安全部门等。这些部门承担了组织中某 些方面的监督、控制和保证工作，与内部审计工作也有一定的相通之 处，内部审计机构在开展内部审计具体业务时，应充分考虑与这些业 务相关的其他内部保证部门的合作，积极应用这些部门的工作成果和 专业意见，注意与这些部门协调，以提高内部审计工作效率、完善内 部审计工作成果。 3 2 2 健全的风险管理新框架 美国c o s 0 委员会1 9 9 2 年发布内部控制一整合框架已经被世 界上许多企业所采用，c 0 s o 在2 0 0 4 年9 月发布的新的企业风险管 理框架是在内部控制一整合框架报告的基础上，结合萨班斯 一奥克斯法案的要求，进行扩展研究得到的。但由于风险是一个比 内部控制更为广泛的概念，因此，新框架中的许多讨论比1 9 9 2 年报 告的讨论要更为全面、更为深刻。此外，c o s 0 在其风险管理框架讨论 稿中也说明，风险管理框架建立在内部控制框架的基础上，内部控制 则是企业风险管理必不可少的一部分。也就是说，风险管理框架对内 部控制框架的扩展，是个主要针对风险的更为明确的概念。 对新老两个框架进行比较可以得出以下关系：新框架是在保持 内部控制一整合框架五个组成部分的基础上，将老框架中的 “控制环境”细化为“内部环境、目标制定、事件识别”三部分；将 “风险反馈”作为老框架“风险评估”的应对措施；其余的三个组成 部分“控制活动、信息与沟通、监控”保持不变。n ”即新框架主要包 括内部环境、目标制定、事项识别、风险评估、风险反馈、控制活动、 信息和沟通、监控。 a 内部环境 企业的内部环境是其他所有风险管理要素的基础，为其他要素提 供规则和结构。企业的内部环境不仅影响企业战略和目标的制定、业 务活动的组织和对风险的识别、评估和反应，还影响企业控制活动、 信息和沟通系统以及监控活动的设计和执行。董事会是内部环境的重 北京交通人学硕士学位论文 要组成部分，对其他内部环境要素有重要的影响。企业的管理者也是 内部环境的一部分，其职责是建立企业风险管理理念，确定企业的风 险偏好，营造企业的风险文化，并将企业的风险管理和相关的初步行 动结合起来。 b 目标制定 根据企业确定的任务或预期，管理者制定企业的战略目标，选择 战略并确定其他与之相关的目标并在企业内层层分解和落实。管理者 必须首先确定企业的目标，才能够确定对目标的实现有潜在影响的事 项。而企业风险管理就是提供给企业管理者一个适当的过程，既能够 帮助制定企业的目标，又能够将目标与企业的任务或预期联系在一 起，并且保证制定的目标与企业的风险偏好相一致。 c 事项识别 不确定性的存在，使得企业的管理者需要对这些事项进行识别。 而潜在事项对企业可能有正面的影响、负面的影响或者两者同时存 在。有负面影响的事项是企业的风险，要求企业的管理者对其进行评 估和反应。风险是指某一对企业目标的实观可能造成负面影响的事项 发生的可能性。对企业有正面影响的事项，或者是企业的机遇，或者 是可以抵消风险对企业的负面影响的事项。机遇可以在企业战略或目 标制定的过程中加以考虑，以确定有关行动抓住机遇。可能产生负面 影响的事项应在风险的评估和反应阶段予以考虑。 d 风险评估 风险评估可以使管理者了解潜在事项如何影响企业目标的实现。 管理者应从两方面对风险进行评估风险发生的可能性和影响。风 险发生的可能性是指某一特定事项发生的概率，影响则是指事项的发 生将会带来的后果。对于风险的评估应从企业战略和目标的角度进 行。首先，应对企业的固有风险进行评估并确定管理措施。其次，管 理者应在对固有风险采取有关管理措施的基础上，对企业的残存风险 进行评估。 e 风险反馈 风险反馈可以分为规避风险、减少风险、共担风险和接受风险四 类。规避风险是指采取措施退出会给企业带来风险的活动。减少风险 是指减少风险发生的可能性、减少风险的影响或两者同时减少。共担 我国引入风险导向内部审计的动因与条件 风险是指通过转嫁风险或与他人共担风险，降低风险发生的可能性或 降低风险对企业的影响。接受风险则是不采取任何行动而接受可能发 生的风险及其影响。对于每一个重要的风险，企业都应考虑所有的风 险反应方案。有效的风险管理要求管理者选择可以使企业风险发生的 可能性和影响都落在风险容忍度之内的风险反应方案。 选定莱一风险反应方案后，管理者应在残存风险的基础上重新评 估风险，即从企业总体的角度、或者组合风险的角度重新计量风险。 各行政部门、职能部门或者业务部门的管理者应采取一定的措施对该 部门的风险进行复合式评估并选择相应的风险反应方案。 f 控制活动 控制活动是帮助保证风险反应方案得到正确执行的相关政策和 程序。控制活动存在于企业的各部分、各个层面和各个部门，通常包 括两个要素：政策( 确定应该做什么) 、程序( 如何落实政策) 。 g 信息和沟通 来自于企业内部和外部的相关信息必须以一定的格式和时间间 隔进行确认、捕捉和传递，以保证企业的员工能够执行各自的职责。 有效的沟通也是广义上的沟通，包括企业内自上而下、自下而上以及 横向的沟通。有效的沟通还包括将相关的信息与企业外部相关方的有 效沟通和交换，如客户、供应商、行政管理部门和股东等。 h 监控 对企业风险管理的监控是指评估风险管理要素的内容和运行以 及一段时期的执行质量的一个过程。企业可以通过两种方式对风险管 理进行监控持续监控和个别评估。持续监控和个别评估都是用来 保证企业的风险管理在企业内部管理层面和各部门持续得到执行。 监控还包括对企业风险管理的记录。对企业风险管理进行记录的 程度根据企业的规模、经营的复杂性和其他因素的影响而有所不同。 适当的记录通常会使风险管理的监控更为有效果和有效率。当企业管 理者打算向外部相关方提供关于企业风险管理效率的报告时，他们应 考虑为企业风险管理设计一套记录模式并保持有关的记录。” 1 7 北京交通火学硕j ：学位论文 3 2 3 高素质的内部审计人员 业界很多学者认为，内部审计师是推动审计工作前进的一个主要 动力，从1 9 4 7 年国际内部审计协会( i i a ) 的第1 号“内部审计师责 任说明书”到1 9 7 1 年i i a 的第3 号“内部审计师责任说明书”，及其 后对“内部审计师责任说明书”的多次修改，都体现出了i i a 在逐步 规范内部审计师在审计中责任，以达到推动内部审计进程的作用。“ a 首席审计执行官( c a e ) 首席审计执行官在机构的内部审计工作中起到相当重要的作用： 在公司治理机构中，行政上，要对最高管理层负责；职能上，要向审 计委员会汇报，必要时可直接向董事会汇报工作