英语原文共 11 页,剩余内容已隐藏,支付完成后下载完整资料
提高风险导向内部审计业务的效率和效力
【摘要】内部审计在协助减轻威胁组织的关键风险方面的作用已经增强,尤其是在确保审计业务的执行更加有效和高效时,既使组织的所有关键风险都得到了解决,还确保了稀缺的内部审计资源最优化利用。本文介绍了内部审计人员可以用来执行此任务的模型的开发。该模型是根据对学术文献的研究,当前商业惯例规范以及其他文档的研究而开发的,并在实际场景中对其进行了测试,获得了南非知名组织内部审计部门负责人的意见。该研究的结果尤其支持该模型的使用。但是,令人担忧的是,组织当前实施的风险管理策略还不够成熟,内部审计无法依靠风险管理过程得出的结果,而风险管理过程是模型实现最佳功能的前提。第二个问题是,内部审计在执行审计业务时不愿使用纯粹的风险导向方法,而仍然更喜欢使用重点更多地放在高风险领域的基于控制的方法。
【关键词】内部审计 业务计划 风险管理过程 内部审计业务流程 风险导向内部审计业务 首席审计执行官的观点 更有效和高效的审计
一、引言
风险及其管理并不是一个新的概念。近年来,风险承担及其管理已发展出新的高度。这样的例子之一就是导致当前全球金融危机的风险。全球金融危机在很多方面都给商业世界带来了冲击,最大的问题是经济学家没有预料到它,而相关的利益相关者,组织和政府则措手不及。经济合作与发展组织(OECD)在2007年5月发表了以下声明:“当前的经济形势在许多方面都比我们多年来所经历要好。我们的核心预测确实是非常良性的”(Keen,2008年引用)。 三个月后,由于美利坚合众国的市场进入低迷状态,该声明变得矛盾:房价下跌,组织陷入严重的金融危机。紧随其后的是全球其他金融市场以及其他陷入财务困境的组织 (Keen,2008年)。许多人认为,这场危机的核心是缺乏有效的风险管理策略(Lam,2009:23; Hull,2009: 3),并提出了一个问题:审计师在哪里?——指内部和外部审计师(Mathker,2008; Olah,2009:11; Lubbe, 2009)。
引发全球金融危机的风险类型通常只有通过健全的风险管理战略才能发现,这是属于董事会负责的(IOD,2009:73-76),但内部审计师需要确保其有效发挥作用(IOD,2009:80; IIA, 2012:2120);如果是这样,则将减少威胁该组织的关键风险的调查纳入他们的活动中。与此同时,公司治理的演变迫使管理层重新审视各种机构的角色和责任(Gramling,Maletta,Schneider&Church,2004: 195; Gendron,Cooper&Townley,2007:105),可以说是最重要的是内部审计职能。此外,内部审计行业已经意识到,它必须适应不断变化的经营环境,这一想法得到了普华永道会计师事务所(PricewaterhouseCoopers,2008)一项研究的支持,该研究得出结论,对于内部审计行业来说,如果想在未来继续发挥关键作用,那么采用新的思维方式至关重要。
从以上讨论可以看出,风险管理和内部审计之间存在联系,最近的许多研究和调查也证实了这一点。但是,尽管其中大多数提到风险导向内部审计,但它们都反映的是内部审计在组织的整体风险管理策略方面应发挥的作用;建议范围从确保战略的合理性到对实施战略负责。此外,尽管一些文献提到风险导向内部审计的概念(Pelletier, 2008:73; IOD,2009:94; Koutoupis和 萨 米 斯 ( Tsamis ),2009 : 106 ; Castanheira , Rodrigues&Craig,2010:83),此术语侧重于基于计划固有战略风险的内部审计职能年度计划。在执行内部审 计工作时,这两种情况都忽略了使用风险方法作为基础的潜在好处。支持这种趋势的研究论文包括对希腊银行内部审计方法的研究(Koutoupis&Tsamis,2009:102),该研究表明,尽管使用了“风险导向内部审计”一词,但许多内部审计职能仍无法证明其合理性,因为明显缺乏各种形式的风险评估或风险导向审计计划,因此进一步破坏了“风险导向内部审计”一词。Castanheira等人的一项研究也证实了缺乏基于风险导向内部审计业务。(2010: 95),其中大多数参与者表示,他们在其年度内部审计计划中确实执行了风险导向计划,但是只有三分之一的人将风险纳入他们的审计业务计划。同样,卡纳 (Khanna)(2011:59)的一项研究得出结论,印度银行业已采用交错式方法实施风险导向内部审计。
从以上讨论看来,似乎仍然缺乏对于风险导向内部审计对执行审计业务而言意味着什么理解。本文的目的是提供一个模型,通过将风险方法更有效地纳入业务流程,从而提高内部审计参与的效率。内部审计师可以使用该模型解决组织的所有关键风险,同时确保有效利用其稀缺的资源(Fasset, 2011年)。由于信息似乎有限,因此本文还将有助于扩大风险导向内部审计业务的知识库。国际内部审计师协会 (IIA)也将从这次讨论中受益,因为它可以为从业人员提供风险导向内部审计业务绩效相对充分的指导意见。 本文其余部分的布局如下:首先,我们对随后的各种研究方法进行简短讨论,包括范围和局限性。第三部分介绍了有关风险导向内部审计业务流程的文献讨论。在第4节中,将对模型进行描述。在第5节中将对研究方法进行更全面的讨论,并在模型测试过程中收集经验结果、得出结论并在第6节中提出建议。
二、研究方法,范围和局限性
为了调整研究目标,采用了多种研究方法。首先,进行了全面的文献综述以了解基于现代风险的内部审计业务流程应包含的内容,并从该信息中开发模型。其次,通过案例研究对模型进行测试(有关研究方法和发现的说明,请参见第5.1节),以确保模型有效(及时捕捉并报告所有重要的审计发现)且有效(执行的审计程序较少,但重点放在关键风险领域。第三,获得并分析了在南非证券交易所(JSE Limited)上市的风险突出的40家成熟私营企业中内部审计职能负责人(以下称首席审计执行官, CAE)的观点,并进行分析以确定这种模型在实践中的使用(有关研究方法和发现的说明,请参见第5.2节)。
本文的局限性在于,时间和预算不允许使用所有可用的风险管理框架来全面确定将风险方法纳入内部审计业务流程。但是,赞助组织委员会(COSO)已开发了公认的风险管理框架(2004),该框架将作为本文研究的基础。此外,本文仅关注内部审计业务的计划阶段。但是,如果计划阶段基于风险方法论,那么对审计业务其余部分的讨论也将基于风险。另一个限制是,选择测试模型的公司实质上是出于其参与意愿而选择的。但是,作者认为,由于它是 JSE Limited上市的40家公司中排名前五的风险突出公司之一,可能会否定任何自我选择的负面含义,并可能会提高所收集数据的质量。此外,根据使用风险和保险管理协会风险成熟度模型确定的风险成熟度水平,该研究仅包括南非公司,并且只选择了5家公司进行经验研究(RIMS, 2006年) 。然而,基于访谈是使用结构化问卷进行的,且根据参与公司的高风险成熟度水平进行选择的事实,提高了数据的质量。
三、风险导向内部审计业务流程的文献综述
文献综述分为两个部分:首先,讨论内部审计业务的发展以及风险和风险管理方法;其次,讨论对风险导向内部审计业务的研究以及有关当前实践的文献。
(一)内部审计业务流程的演变
对内部审计业务发展的调查表明,过去几十年来,内部审计一直受到不断变化的商业环境的影响,并且已经并且仍在进行着许多变革。文献(McNamee&Selim,1998:5; Spira&Page,2003:653-56; 海德 2007: 65–68) 区分四个年代,即1980年前,1980年代,1990年代和2000年及以后,特别是根据所进行活动的类型,活动的执行时间,影响业务计划的因素以及执行方式等因素来确定。“风险”一词从第二个年代开始出现,仅指财务和合规风险。只有从第三个年代 (1990年代)开始,才将“风险”更广泛地纳入业务流程。但是,问题仍然存在:如何将内部审计业务流程方法论与当前的风险方法论和减轻风险的现代方法联系起来?COSO报告(2004年)中记录了风险管理流程中最全面的框架之一,该指南提供了有关风险管理的内容,方法,术语,责任方,风险管理流程中的步骤等的指导;因此,将重点放在风险管理上,并认为内部控制是缓解风险的活动之一(一种险驱动的方法)。乍一看,该框架似乎是第四代内部审计业务流程的基础。目前正在更新的第一份《 COSO报告》(1992年)(COSO,2012年)重点关注内部控制,将风险评估作为制定和实施适当控制措施(控制驱动方法)的一个步骤。 因此,1992年的框架可能会反映出第三代内部审计业务。在表1中将审计参与计划元素与两个COSO报告(1992、2004) 中提供的框架进行了比较。基于此比较,可以得出结论, 风险导向第三个年代内部审计业务流程是基于COSO框架1992 年报告(或类似框架)中记录的,而第四个年代是基于2004 年报告(或类似框架)中记录的COSO框架。
表1:将内部审计业务的发展与COSO框架进行比较
|
参与度计划因素 |
COSO I (1992) 第三代流程 * |
COSO II (2004) 第四代程序 * |
|
初始点 |
基于所有业务的风险评估活动 了解所有风险 |
基于风险管理过程的结果 了解所有风险 |
|
规划过程中的其他步骤/信息 |
确定应采取的控制措施 降低风险 |
确定有效管理关键风险而应采取的风险应对措施 |
|
业务程序 |
无特定范围-由先前要素决定 |
审核每个风险管理流程组成部分中的关键风险点 |
|
范围 |
所有业务风险 |
针对高风险的目标测试 |
这一结论在实践中得到了检验,在指导文件中得到了解释。 经过互联网搜索和各种数据库研究后,仅有一些研究和文献是公开的。在下一节中,将讨论在执行内部审计业务的控制驱动(COSO,1992) 或风险驱动(COSO,2004)方法。
(二)研究与现行做法
如第1节所述,在提及风险导向内部审计时,大多数文献都会提到内部审计在组织的整体风险管理策略中扮演的角色,或是基于组织战略风险的内部审计职能的年度计划。文献解释说,风险导向内部审计工作应包括五个步骤,即:根据所审查活动的目标确定审计工作的目标;确定审计参与范围内的运营方式或战略(包括实现目标面临的风险);进行风险评估,根据可能性(特定事件将发生的可能性)和影响(事件的结果或影响)衡量风险;管理层已经或必须实施的风险应对措施(管理层制定了一系列措施以使风险与组织的风险偏好相一致);和控制应构成风险应对措施的一部分活动。但是,已确定了这种模式的缺陷,具体如下所述。
根据有关风险导向方法的许多文献,在执行内部审计工作时,仅包含确定适当控制措施的风险评估步骤。这表明正在使用第3.1节中讨论的控制驱动方法(McNamee& Selim,1998;加拿大银行,1998; Spencer Pickett, 2003,2006; Deloitte,2005; Sobel,2008; Clayton, 2009) ;其他应提及的具体趋势不包括进行风险分析 (McNamee&Selim,1998:103-5; Spencer Pickett, 2003:402; Clayton,2009:35-39);以及只有必须在审核中参与的减轻风险的控制措施和不对其他缓解活动进行调查(McNamee&Selim, 1998:106; Deloitte,2005:7);没有进行控制和风险评估的整合(Spencer Pickett,2003; Sobel,2008: 93);内部审计将自己的风险评估作为审计工作的一部分, 而不是依赖于风险部门进行的正式风险评估(Spencer Pickett,2006:143-61; Sobel,2008:93);重点仅在于财务风险(Deloitte,2005:1-10)。
尽管有支持风险驱动方法的文档(Griffiths,2006a, 2006b; Pelletier,2008; Reding et al。,2009),但这些都是教科书或指导性文件,又或者是与每个文档中提到的过程相比发现的弱点和第四代风险导向内部审计业务方法,即: bull; 内部审核员根据被审核活动的目标执行自己的风险评估(Pelletier,2008:73-76; Reding等,2009: 13-22)。如果使用正式的风险管理流程的风险评估, 将消除重复。但是,只有在组织具有风险成熟度并且风险管理流程已通过内部审计职能进行审计并且被认为可靠时,这才有可能(De la Rosa,2008; Baker, 2010:32)。
剩余内容已隐藏,支付完成后下载完整资料
资料编号:[236547],资料为PDF文档或Word文档,PDF文档可免费转换为Word
以上是毕业论文外文翻译,课题毕业论文、任务书、文献综述、开题报告、程序设计、图纸设计等资料可联系客服协助查找。
