內部審計的未來:關注風險

始于2008年的世界性金融危機持續影響著全球企業，許多首席審計執行官(Chief Audit Executive，簡稱CAE)孜孜不倦地尋求為組織增值的路徑。為了討論CAE做哪些工作方可幫助企業渡過危機，2009年3月國際內部審計協會(IIA)在華盛頓特區召開了一次圓桌會議。與會人員包括28位來自財富100強和財富250強的CAE，美國公眾公司會計監督委員會和證監會的代表以及為財富100強公司提供內部審計服務，且是國際內部審計協會的主要合作伙伴。他們討論的問題包括:經濟危機對內部審計的最大沖擊是什么?過去一年中內部審計的角色發生了哪些改變?哪些事項發生了改變?這樣的改變對內部審計戰略有何影響?內部審計人員可以吸取哪些教訓?以及內部審計的重點將聚焦于何處?

為充實以上主題內容，暨2009年3月份華盛頓圓桌會議之后，IIA又對在線調查(fash survey)網上自82位CAE進行《內部審計人員角色》的調查，具體詢問內部審計人員在五個風險領域的作用，五種風險即信用風險、成本或費用控制活動相關的風險、源自陷于困境第二方的風險、流動性風險和聲譽風險。調查的問題包括:

1.根據風險進行審計日益重要，內部審計人員需要開展何種特定活動或應該開展何種特定活動?這些活動是預防性的、發現性的還是規避性的活動?

2.這些領域有哪些具體風險值得關注?

3.在這些領域中，內部審計的范圍和目標是什么?

4.內部審計因此可以提供哪些增值信息?

本文匯總了CAE們對這些問題的回答，指出了當前內部審計部門在五種風險領域的努力方向。CAE可以實施這些匯總的建議，或者制定工作計劃解決每個關鍵風險點，以提升內部審計服務水平，這將是內部審計未來發展方向。

一、信用風險

接受調查的CAE們所在的組織已經開始監督遭受信用風險影響的財務過程以及其他領域，而且他們的組織也正在識別信用風險是什么?信用風險如何影響組織的生存底線?識別出的關鍵信用風險包括與借貸相關的風險、不完整或不準確信用風險分析產生的風險以及信用控制相關的風險。

(一)調查反饋信息

大多數CAE認為內部審計提高對信貸風險的關注程度已經或可能會促使剩余風險降低。但另一方面，不承認此觀點的CAE認為信貸風險在他們組織不是重要風險，因此內部審計也不需要重點關注，只列入一般的審核過程。另外，大多數CAE也認為內部審計努力多是預防性的活動，然后是發現性的和規避性的活動，而且他們都自有應對信貸風險審計的技能，只有少部分CAE認為需要利用外部專家的工作。當問及管理層和審計委員會對內部審計提高對信貸風險的關注程度并減少傳統領域的工作是何種反應時，許多CAE認為他們給予了積極支持。

(二)當前內部審計良好實務

為了確定信用風險對組織有哪些影響，這些信用風險具體是怎樣影響組織的，內部審計人員需要:

1.在風險評估過程中識別當前和潛在的信用風險;

2.把信用風險列入審計領域;

3.審核組織的信用風險評估過程、信用風險評估結果以及相應的應對措施。如評估組織規避信用風險而采取的內部控制的效果;

4.識別風險，即識別那些可能轉化為現實的信用風險，并考察管理層的反應;

5.審核對欠款賬戶的監督控制以及信用評級方面的監督活動，以確保管理層已經及時采取糾正措施。如應付賬款久拖不付，那么就應該降低客戶的信用等級;

6.審核信用授權過程及其相應控制;

7.審核組織的證券投資組合以確保它們符合組織的投資政策。

二、成本或費用控制活動相關的風險

與對待信用風險類似，參與調查的大多數CAE都把控制活動的風險納入審計范圍。識別出的關鍵風險包括內部控制缺陷、缺乏控制監督和職權分離控制等。

(一)調查反饋信息

同樣，大多數CAE認為內部審計提高此類風險的關注程度已經或可能會促使剩余風險降低。有CAE指出，關注此領域風險的內部審計可以通過提建議幫助組織在資源減少的情況下運作得更有效率和效果。也有CAE認為，成本與費用預算下降使得內部審計必須集中精力于最重要的企業職能，減少重復性質的審計，取消對細枝末節的頻繁審計。另外，大多數CAE仍舊認為內部審計努力多是預防性的活動，然后是發現性的和規避性的活動，而且他們都有審核控制活動相關風險的技能，只有少部分CAE認為需要利用外部專家的工作或與外部專家共同進行此方面的工作。大部分CAE也認為他們轉移工作重點至此風險領域受到了管理層和審計委員會的支持。

(二)當前內部審計良好實務

在此風險領域，內部審計活動包括:

1.核實人工成本的適當性;

2.審核組織的付款過程;

3.每月監督預算數與實際財務績效的差異，并要求管理人員解釋差異的原因;

4.審核費用報告以識別可疑實務;

5.對營運資金、差旅支出、招待費支出進行審計;

6.確保預算或成本下降時適當的職責分離;

7.審核組織經營過程的效率性和效果性;

8.確保實現預期的節約額;

9.運用數據挖掘技術集中關注能夠降低成本的活動;

10.確定成本下降對內部控制和組織實現目標能力的影響等。

三、源自陷于困境第三方的風險

大多數CAE認為他們正向此領域調整審計重點。特定的活動包括執行審計以確定組織主要的供應商或主要顧客是否遭遇財務危機，因為這些問題會阻礙第三方履行合同協議的能力，嚴重的時候會導致主要供應商或主要顧客的企業倒閉。

(一)調查反饋信息

當CAE們再次被問及內部審計重點調整到此風險領域是否可以降低剩余風險時，大多數CAE認為“不可以”。如某個CAE解釋說:“根據企業的主要行業活動，此風險領域不屬于常規審核范圍。”同前兩個領域一樣，大多數CAE認為內部審計人員在此風險領域的活動大多是預防性的，而且可以不依賴專家，自身具有開展此類審計的能力，同時，管理層和審計委員會都積極支持他們在此風險領域的活動。

(二)當前內部審計良好實務

內部審計人員需要對組織的主要供應商或主要顧客進行審計，以確認他們有能力履行合同:

1.運用分析工具持續監督供應商的違約風險;

2.審核主要供應商或主要顧客與第三方，如銀行的合同，并要求三年期財務背景信息，以確定供應商的生存能力;

3.密切監督主要供應商或主要顧客的第三方供應商的財務狀況，尤其是唯一供應商，聯營企業和分包企業的情況。

四、流動性風險

雖然大多數CAE認為他們組織的內部審計已經開始審核資本來源以識別流動性風險，但流動性風險對他們組織的影響較小。流動性風險包括缺乏融資渠道或缺少資金支付費用、償還供應商款和銀行欠款。

(一)調查反饋信息

與前面幾個風險領域不同，大部分CAE認為內部審計在此領域的努力集中在規避風險的活動方面，然后是發現性和預防性活動，而且他們具有進行此領域審計的能力。管理層和審計委員會積極支持并要求內部審計部門解決此類風險。

(二)當前內部審計良好實務

內部審計可以通過流動資金與需求管理報告等審核資本來源，取得正式和非正式的政策信息，確保組織具有適當的流動性。如審核:

1.技資與相關現金流量;

2.收入和債務人信用，現金管理及營運資金等。

五、聲譽風險

調查結果表明:內部審計正頻繁地對風險進行評估并為企業提供規避聲譽風險的建議和措施。關鍵的聲譽風險包括與經營相關并影響企業聲譽的風險和員工活動有關的風險，如未能恰當使用政府的刺激資金，不適當的員工行為和員工偷盜等。

(一)調查反饋信息

大多數的CAE認為內部審計關注此類風險可以明顯降低剩余風險，而且內部審計活動多半是預防和規避性的，然后是發現性活動。他們認為不需要借助外部專家便可以執行此類審計活動，并且得到了管理層和審計委員會的支持。

(二)當前內部審計良好實務

針對此類風險，內部審計需要執行更頻繁的風險評估程序。關鍵的活動包括:

1.咨詢法務部門以識別聲譽方面的風險;

2.確定組織是否接受了政府的刺激資金以及使用情況;

3.審核風險評估過程并提供完善風險評估的建議等。

六、總結

如前所述，許多CAE認為他們的內部審計部門具有應對5種風險審計領域的能力，這一點鼓舞人心，因為組織內部的專家可以識別風險并規避風險，減少對企業經營的潛在危害。識別關鍵風險也提示企業應投入必要的資源以防范風險。

大多數CAE認為他們組織的審計委員會和管理層都積極支持他們審計重點向風險領域的轉移。這不僅確認了內部審計人員為組織戰略增值，而且也表明了許多內部審計活動是可以根據經濟形勢影響及組織變化而進行相應調整。

CAE認為他們可以運用風險相關的大量信息確定審計范圍，制定審計計劃。調查結果還表明基于企業戰略和需求運用風險導向審計方法會變得越來越有價值。運用風險導向方法幫助內部審計在正確的時間向審計委員會和管理層報告正確的事，并在正確的企業領域，即在關鍵風險領域提供鑒證服務。

(作者單位:南京審計學院)