0引言
随着内部审计的发展,基于风险导向的内部审计模式越来越被重视。内审时应关注被服务企业的风险和内审自身审计风险,对此,美国注册会计师协会发布的第47号审计标准说明中提出审计风险基本模型,即审计风险=固有风险×控制风险×检查风险,该模型更适用注册会计师财务报表审计。考虑到内审的重点是基于评估企业风险管理的结果为导向,可运用IIA提供的内部审计在企业风险管理中发挥不同作用的扇形图作为依据,以构建内审风险模型。本文运用IIA提供的内部审计在企业风险管理中作用的扇形图作为依据,识别内审风险种类和影响因素,并试图探讨随着内部审计在风险管理中发挥不同的作用时,角色转变对内审风险变化的影响,从而构建内部审计风险模型。
1国内对内部审计风险的相关研究
国内学术界一些学者也探讨了内部审计风险模型,大多学者依据内审的类型(例如内部控制审计、舞弊审计、经营审计等)构建具体内部审计模型,但并不通用。例如牛建东等构建了内部审计风险模型=企业风险×检查风险模型;谢荣等以企业经营风险为导向,确认高风险的审计领域和审计重点,构建了经营风险导向模型:审计风险=经营风险×检查风险;张龙平等构建了控制风险导向模型:审计风险=固有风险×控制风险×检查风险;王泽霞构建了以舞弊风险为导向的舞弊风险导向模型:审计风险=舞弊风险×检查风险;国际审计和鉴证准则委员会提出的重大错报风险导向模型:审计风险=重大错报风险×检查风险等。
2内部审计风险识别、变化及风险模型的构建
2.1内部审计风险类型的划分
根据IIA提供的内审在风险管理中发挥不同作用的扇形图,依据内审角色变化是否对内审风险发生影响,对其分为两大类,一类是不随着内部审计在风险管理中的角色变化而发生变化的系统性内审风险;另一类是随着内部审计在风险管理中的角色变化而变化的其他内审风险。通过识别这些内审风险及其影响因素,分析内审在风险管理中角色的变化对内审风险发生的影响。
2.1.1不随内部审计角色变化的系统性内部审计风险
本文把不随着内部审计在风险管理中角色变化而发生变化的较固定的风险称为系统性内审风险(System atical Internal AuditRisk),其与行业状况、法律环境和监管环境等因素有关,主要包括所处行业的市场供求与竞争、生产经营的季节性和周期性、适用的会计准则和会计制度及行业特定惯例、重大政府政策等。例如危险爆炸物运输企业的内审部门面临的审计风险比普通商品运输企业的内审部门面临的风险大。在构建内审风险模型时若将其系统性风险(SIAR)考虑进去,对于企业集团在评估不同业务子公司内审风险时有较大作用。
2.1.2随内部审计角色变化的内部审计风险
除了系统性内审风险外,内部审计还存在其他不断变化的多种风险。IIA于2013年《框架》中提到首席审计官需要考虑与内审活动以及目标实现相关的风险,包括审计失效风险、错误确认风险、审计名誉风险等。由于内审活动无法免除风险,首席审计官需要采取必要的措施来确保自身的风险得到管理。
2.2内部审计在风险管理中发挥不同作用对审计风险变化的影响
IIA按照内部审计在为企业的风险管理过程发挥不同程度的作用,将扇形图划分为三大块。从左往右顺序依次为内审发挥核心作用、需要安全保障的内部审计作用、不应该发挥作用。角色变化会对内审风险产生不同影响。
2.2.1内部审计角色在扇形图中由左向右变化对内部审计风险的影响
随着内部审计在风险管理中的作用在扇形图中由左向右移动,内审人员的独立性和客观性会逐渐受到递增的威胁。在扇形图左侧发挥核心作用的区域,内审在实施确认业务时的独立性和客观性程度是最强的;在扇形图中间需要安全保障作用的区域,内审在实施咨询业务时的独立性和客观性可能会受到威胁;在扇形图右侧不应该发挥作用的区域,内部审计偶尔实施非审计管理职能时的独立性和客观性可能会丧失。内部审计独立性和客观性程度的变化会对内审名誉风险和内审失效风险造成较大的影响,本文认为,随着角色在扇形图中由左向右偏移,例如内审名誉风险和内审失效风险的等级水平呈现递增的趋势。
2.2.2内部审计角色在扇形图同一模块中不同类型审计活动对内部审计风险的影响
不同类型的审计活动有着不同的内审风险组合,且内审时各类风险所占的权重有所差异。例如:遵循性审计风险主要由内审名誉风险、内审失效风险等组成,其中名誉风险占比较大;财务报表审计风险主要由内审名誉风险、失效风险、错误确认风险等组成,其中失效风险和错误确认风险占比较大;舞弊审计风险主要由内审名誉风险、诉讼风险等组成,其中诉讼风险占比较大。此外,不同类型的审计活动有着不同的客观性水平。总体来说,依赖内审人员主观判断较少的审计活动的客观性水平较高,对应的相关风险会较低。
2.3内部审计风险模型的构建
本文依据内部审计角色变化是否对内审风险发生影响,把内审风险分为两大类,把第一类为不随内部审计角色变化而变化的系统性风险(Systematical Internal Audit Risk,SIAR),第二类为随内部审计角色变化而变化的内部审计风险(Variable Internal Audit Risk,VIAR)。在每一种既定环境条件下,内审风险组合是变化的。利用多元线性回归结果找出相关性最强的风险组合集合(R 1,R 2,⋯,R n)作为参考依据之一,构建具体的内审风险组合的模型,在不考虑系统性内审风险的情况下构建内部审计风险模型。
模型一:
AR=具体审计活动的内部审计风险组合=R 1×R 2×R 3×⋯×R n在考量不同业务模块、资产投资组合等内审风险时,可在模型中考虑系统性内审风险因素,构建内部审计风险模型。
模型二:
AR=系统性内部审计风险×具体审计活动的内部审计风险组合=SIAR×VIAR=SIAR×(R 1×R 2×R 3×⋯×R n)在计算第一类系统性内部审计风险(SIAR)时,考虑SIAR受到风险影响力、可能性、重要性、资产流动性、管理能力、内部控制的质量和内涵、变化和稳定程度、上次审计业务开展时间和结果、复杂性等因素影响。SIAR可利用较复杂的公式计算,例如秦毅在β系数风险评价模型在风险导向内部审计中的应用系统性内部审计风险一文中将审计对象集合根据需要划分成若干个审计单元,借鉴资本资产定价模型,用β系数来计量各审计单元的经营风险,作为审计项目立项优先顺序的参考依据。也可选择采取简单计算,例如SIAR的基本衡量是后果与可能性的结合,用业务部门的资产对应损失后果,用损失概率对应可能性,从而计算出系统性内部审计风险(SIAR)=资产金额×损失概率,可转化模型二。
模型二:
AR=资产金额×损失概率×具体审计活动的内部审计风险组合=SIAR×VIAR=资产金额×损失概率×(R 1×R 2×R 3×⋯×R n)
3结语
IIA认为首席内部审计执行官应该加强对内审活动的管理,可以通过实施多种控制措施来化解审计风险。本文通过运用IIA提供的内部审计在企业风险管理中发挥不同作用的扇形图作为依据,构建了内部审计风险模型,不过该模型还具有一定的局限性,主要是因该模型的使用只是基于思路的探讨,而未真正用数据去查验其有用性,且对于单个企业来说,利用线性回归方法找出具体审计活动风险的影响因素形成内审风险组合,不符合成本效益原则,实践性较差。但在理论研究上,对内审风险的有效识别以及运用模型来对内审风险做出评估,相应地、提供服务的收益,对判断内部审计活动是否具有成本效益原则,证明是否为企业增值并改善与管理层的关系等具有一定的参考价值。
参考文献(略)