风险和审计的关系篇1
关键词:风险管理;内部控制;内部审计
企业风险管理是一个过程,受企业董事会、管理当局和其他员工的影响,包括内部控制及其在战略和整个公司的应用,旨在为实现经营的效率和效果、财务报告的可靠性以及现行法规的遵循提供合理保证。
一、企业风险管理框架的内容
一般情况下,企业风险管理由内部环境、目标设定、事件辨别、风险评估、风险反应、控制活动、信息和交流以及监督等8个方面组成。
企业的内部环境是其他所有风险管理要素的基础,为其他要素提供规则和结构,也为的其他组成因素提供了框架。目标设定,即管理层必须基于目标来识别成功的潜在因素。管理者必须首先确定企业的目标,才能够确定对目标的实现有潜在影响的事项,而企业风险管理就是提供给企业管理者一个适当的过程,既能够帮助制定企业的目标,又能够将目标与企业的任务或预期联系在一起,并且保证制定的目标与企业的风险偏好相一致。事件辨别,在对企业目标、战略和计划以及对企业所处的内部和外部环境都有深刻了解的基础上,企业风险管理要求辨别可能对实现公司目标产生负面影响的所有重要情况或事件,事件辨别的基础是将可能的风险与环境进行对比。风险评估,一般用可能性概率和影响结果两个维度度量风险,前者是一定的负面影响事件发生的可能性后者是假设事件发生,对经营、财务报告以及战略产生影响的可能结果,潜在影响一般以对经营、数量、金钱损失以及战略目标可能造成的损失进行计算。风险反应,风险反应是企业风险管理的整体重要组成部分,主要包括接受、规避或缓和这些风险,后者又包括风险分离、风险转换或者减少包括通过控制活动等形式。控制活动,控制活动是管理当局设计的政策和程序,为执行特定的风险缓和反应提供合理保证。控制活动包括在整个组织中使用的批准、授权、注销、确认、观察、查证以及对经营业绩复核、资产安全、职责分离等方法。信息和交流。风险辨别、评估、反应和控制活动在组织的各个水平层次上产生有关风险的信息,与财务信息一样,风险信息必须以一定的形式和框架进行交流,使员工、管理层以及董事履行各自的责任。风险评估的信息系统可以产生定期或“例外基础”的时时报告,报告使用趋势指标、业绩矩阵及运营或财务成果的形式,这些报告能够引导出及时的决策。监督,企业应通过持续的监督和独立的评价活动,监督企业风险管理的有效性。
二、内部控制与风险管理的关系
所谓内部控制制度就是企业对有关财产物资、货币资金、有价证券的收付,债权债务的发生和结算,资产的增减和费用的支付等经济业务,规定必须有两名或两名以上工作人员分工负责处理,以起到相互制约作用。建立企业内部控制制度,就是在企业内部的职责分工、责任制度、财务会计制度和财产物资管理制度等有关企业管理制度中,都应具体体现内部控制的要求。
内部控制并不是目标的制定活动,而是对目标制定的评价工作,特别是对目标和战略计划制定当中风险的评估,风险管理目标的设立为内控中的风险评估提供了前提条件。内部控制强调评估经营管理活动中突出的风险点,所负责的是风险管理过程中的重要活动,并建议经营管理人员针对这些风险点实施必要的控制活动。比如,对风险的评估和由此实施的控制活动、信息与交流活动、监督评审与错误的纠正等工作。
内部控制评估管理活动中突出的是风险点,负责重要的风险控制活动,在风险管理中居于十分重要的地位,没有内部控制,风险管理无从谈起。要进一步认识内控在风险管理中的重要地位,按照内控的五大组成部分,构筑起风险管理的平台,实现对经营管理中各种风险的逐级控制,提高经营管理水平。但需要指出的是,内部控制也不是万能的,内部控制只能提供合理的保证而不是绝对的保证,如控制可能受到两个人以上的合谋制约决策层、管理层也可能会践踏内部控制的设计还可能受到人、财、物等资源的制约等,这些都是值得关注的地方。
三、内部审计与风险管理的关系
内部审计是现代企业制度的重要组成部分,是企业自我独立评价的一种活动,可通过协助管理层监督其他控制政策和程序的有效性,来促成好的控制环境的建立,离开了内部审计,现代企业制度的运行就会出现紊乱。现代企业制度使法人化的企业承担的责任由财务责任变成资产责任、产权责任及资本责任。而内部审计的目标也随之而发生变化,即由监督财务责任转变为监督资产责任、产权责任及资本责任。审计功能也将随审计目标的变化而发展、深化。
1.风险基础内部审计不仅关注风险管理,同时也是风险管理的重要组成部分。公司对风险管理功能,设立一个分部,配置一位风险经理,内部审计人员建立风险评估模式,内部审计工作成为企业风险管理的一个组成部分,整个审计工作根植于以未来为导向的风险分析。
2.内部审计的方法不再是强调确认和测试控制的完整性,而是强调确认经营风险并测试这些风险是否得到有效管理,由交易事项和对政策的遵循,转变为对目标、战略和风险管理程序的关注,“控制是否适当且有效”虽然仍被关注,但已不是关键。
3.内部审计的反应方式不再是反应式的、事后的、不连续的监控,从以交易为基础转变为以过程为基础,对组织战略计划的创新也由观察者转变为参与者。
4.内部审计在组织中扮演的角色不再是独立的评价者,更是风险管理与公司治理的集合者,内部审计人员应就战略规划、企业并购、合资经营、战略联盟及环境保护等重大问题,及时、客观、独立地提供咨询。
5.内部审计的建议不再是强化控制、强调成本效益配比以及提高控制的效率和效果,而是风险规避、风险转移和风险控制,通过有效的风险管理提高组织整体管理的效率和效果。
风险管理和内部审计对风险评估和控制各有侧重又具有较强的相关性。因此,在银行日常管理中,风险管理部门和内部审计部门应各司其职,它们的工作不能互相替代,而是相互补充。各项经营水平的测算、评估,以及经营风险预警和降低经营风险等工作,主要是风险管理部门的责任,而不是内部审计的职责,内部审计可以直接从风险管理部门取得有关结果,它需要关注的应是风险管理政策是否适当,是否得到有效执行,如有没有信贷风险的管理程序,该风险管理程序是不是得当,是不是得到正确执行等。
四、启示与关注
1.风险控制己成为现代银行管理中的突出问题
无论风险管理、内部控制、内部审计关注的都是风险。风险防范已成为银行日常工作中不可分割的一部分,而不是对经营管理的额外补充。风险防范的水平已成为衡量银行整体经营水平的一个重要指标,世界各国银行都在积极寻求风险防范和规避的合适途径。这就告诉我们,无论是内部控制体系的设计,内部审计体制的构建,都离不开风险防范和规避这个主题。
2.要正确理解内部控制和风险管理的关系
内部控制评估管理活动中突出的是风险点,负责重要的风险控制活动,在风险管理中居于十分重要的地位,没有内部控制,风险管理无从谈起。要进一步认识内控在风险管理中的重要地位,按照内控的五大组成部分,构筑起风险管理的平台,实现对经营管理中各种风险的逐级控制,提高经营管理水平。但需要指出的是,内部控制也不是万能的,内部控制只能提供合理的保证而不是绝对的保证,如控制可能受到两个人以上的合谋制约决策层、管理层也可能会践踏内部控制。内部控制的设计还可能受到人、财、物等资源的制约等,这些都是值得关注的地方。
3.要正确理解风险管理和内部审计的关系
风险管理和内部审计对风险评估和控制各有侧重又具有较强的相关性。因此,在银行日常管理中,风险管理部门和内部审计部门应各司其职,它们的工作不能互相替代,而是相互补充。各项经营水平的测算、评估,以及经营风险预警和降低经营风险等工作,主要是风险管理部门的责任,而不是内部审计的职责,内部审计可以直接从风险管理部门取得有关结果,它需要关注的应是风险管理政策是否适当,是否得到有效执行,如有没有信贷风险的管理程序,该风险管理程序是不是得当,是不是得到正确执行等。
4.要正确理解内部控制和内部审计的关系
现代内部审计日益重视对内部控制的检查与评价。但需要指出的是,内控的设计、执行、检查和评估首先是经营管理部门的职责,而内部审计是在经营管理部门基础上的再监督。内部审计在检查和评价内部控制时,发现某一风险点,应对此可能造成的影响及后果作出详细的说明,以达到引起管理部门重视的目的,但并不再需对这个风险点可能造成和无意地利用所造成的破坏程度下一个肯定的结论。而对风险的这种延伸管理则应主要是经营管理部门的职责。
参考文献:
[1]朱荣恩,贺欣等.内部控制框架的新发展―企业风险管理框架[J].审计研究,2003,(6).
[2]林丽华,王成等.内部控制与风险管理[J].中国审计,2004,(9).
[3]刘秋明.论风险基础内部审计[J].审计理论与实践,2003,(10).
风险和审计的关系篇2
1、引言
在审计工作中,不仅要确保审计质量,同时也要提高审计效率。《独立审计具体准则第10号——审计重要性》对重要性的定义是:“被审计单位报表中错报或漏报的程度,这一程度在特定环境下可能影响会计信息使用者的判断或决策。”而重要性水平是指重要性具有质和量两方面的特征,能用量化表示的重要性称为重要性水平。重要性与审计风险之间的关系不仅是审计的难点,而且是决定审计质量、审计成本和审计效率的关键。正确理解和运用重要性与审计风险之间的关系是非常重要的。尽管有关二者之间关系的讨论很多,但笔者仍认为有进一步认识的必要,以明确其中的深刻内涵。
2、重要性和审计风险的关系可以是反向关系,也可以是正向关系
要正确理解重要性和审计风险的关系,必须理解审计风险。对审计风险的理解要从两个角度来考虑:一是会计信息使用者或被审计单位,从这个角度考虑的审计风险称之为实际的或评估的审计风险;二是审计人员,从这个角度认识的审计风险称之为期望的或可接受的审计风险。所以,重要性与审计风险的关系,也应从这两个方面来理解:一是重要性与实际的或评估的审计风险之间的关系;二是重要性与期望的或可接受的审计风险之间的关系。
2.1、重要性与实际的或评估的审计风险之间存在着反向关系
实际的或评估的审计风险是指审计人员在规划审计时实际存在或评估的审计风险。
实际的审计风险是针对会计信息使用者而言的,是所审项目本身所存在的风险。如果会计信息使用者十分关心流动性较高的项目,那么,该项目就是审计人员实际面对的审计风险。也就是说:会计信息使用者对会计信息的要求越高、越敏感,较小的错报或漏报就会影响其判断或决策,则审计人员实际的审计风险就越高,重要性水平就应越低;反之,会计信息使用者对会计信息的要求越低,较大的错报或漏报也不一定影响其判断或决策,则审计人员实际的审计风险就越低,重要性水平就应越高。因此,重要性与实际的审计风险成反向关系。
评估的审计风险是针对被审计单位而言的,是指审计风险决策模型中的固有风险和控制风险。固有风险和控制风险越高,即评估的审计风险越高,被审计单位出现重要错报的可能性越大,则审计人员越要小心谨慎,重要性水平就要确定得越低;反之,重要性水平就要确定得越高。因此,重要性与评估的审计风险也成反向关系。
《独立审计具体准则第10号——审计重要性》第8条指出:“注册会计师应当考虑重要性与审计风险之间的关系。重要性水平越高,审计风险越低;重要性水平越低,审计风险越高。”所以,当审计人员在规划审计时,应当按照审计准则所强调。的这种反向关系,合理确定重要性水平,以便确定将要进行的实质性测试的性质、时间和范围。如果原本2000元的错报或漏报才会影响到会计信息使用者的判断或决策,但是审计人员将重要性水平确定为1000元,过高地估计了审计风险,这时审计人员为了降低可能存在的审计风险,就会扩大审计范围或追加审计程序。但实际上,这样做没有必要,只能是浪费时间和人力。如果原本1000元的错报或漏报就会影响会计信息使用者的判断或决策,但审计人员将重要性水平确定为2000元,过低地估计了审计风险,这时审计人员所执行的审计程序要比原本应当执行的审计程序少,审计范围小,致使审计证据不充分,导致审计人员得出错误的审计结论,增加了可能存在的审计风险。可见,准则强调二者之间的反向关系具有现实意义。
2.2、重要性与期望的或可接受的审计风险之间存在着正向关系
期望的或可接受的审计风险是指审计人员在规划审计、现场作业、出具审计报告时希望接受的审计风险,是对实际的或评估的审计风险的控制。期望的或可接受的审计风险模型为:
期望的审计风险=固有风险×控制风险×检查风险
审计人员在审计时不仅要关注被审计单位的重大错报或漏报,而且也应考虑会计信息使用者对信息的不同要求。所以,模型中的固有风险既应包括被审计单位出现的重大错报或漏报的可能性,也应包括会计信息使用者对被审单位在资产的流动性、盈利性和负债的性质、金额以及融资的能力、方式等方面的不同要求所导致的风险,则上述期望的或可接受的审计风险模型可改为:
期望的审计风险=实际的或评估的审计风险×检查风险
在模型中,审计人员所能控制的只有检查风险。所以,控制实际的或评估的审计风险的要点在于控制检查风险,而检查风险的控制则取决于根据实际的或评估的审计风险所确定的重要性水平。根据审计风险模型可知,在固有风险和控制风险一定的条件下,检查风险和期望的审计风险成正向关系。如果期望的审计风险较低,那么就必须接受较低的检查风险水平,以便扩大实质性测试的样本规模或追加审计程序,收集更多的审计证据,也就是说,应该确定较低的重要性水平,才能满足较低的期望审计风险的要求。如果审计人员确定的重要性水平过高,即允许存在的错报过大,则将承受过高的审计风险。因此,从这一方面来说,重要性与期望的或可接受的审计风险成正向关系。这种正向关系还可以联系审计证据来理解,即重要性与审计证据成反向关系,期望的审计风险与审计证据成反向关系,则重要性与期望的审计风险成正向关系。重要性与审计风险之间的关系要求审计人员.
在确定重要性水平时,不仅要考虑实际的或评估的审计风险以确保审计质量,也要考虑期望的或可接受的审计风险以提高审计效率。
3、重要性与审计风险是互为前提、互为存在的关系
通过上述,实际的或评估的审计风险决定了初步判断的重要性水平,初步判断的重要性水平或修正后的重要性水平又决定了期望的或可接受的审计风险。值得注意的是,审计风险不是决定重要性水平的惟一因素,还存在一些其它因素,如有关法规对财务的要求、被审计单位的经营规模和业务性质、会计报表各项目的金额及其波动幅度、会计报表各项目的性质及其相互关系等;同样,重要性水平也不是导致审计风险的惟一因素,一些其他因素,如审计人员素质较低、审计经验不足、审计判断失误、审计独立性不强等也会导致审计风险。重要性与审计风险之间的关系如图1.
审计人员应以实际的或评估的审计风险为开端,确定初步的重要性水平,再根据初步的重要性水平制定相应的审计程序。通常,初步评价的重要性水平要比修正后用于评价审计结果时的重要性水平低,这样可以使审计人员保持应有的谨慎,扩大审计程序,以便收集充分的审计证据,为自己提供一个安全的余地。因为审计人员在资产负债表日之前编制审计计划,只能根据预测的财务状况和经营成果来确定重要性水平,如果实际的经营成果和财务状况与预测的有差异,他对重要性水平的估计也会变化。根据修正的重要性水平决定审计意见的类型,此时的审计风险就是期望的或可接受的审计风险,又称终极的审计风险。
审计风险和重要性又是互为存在的,两者必须同时考虑。审计风险说的是一种不确定性(可能性),重要性说的是一种错误的额度,二者结合起来,就成为一定错报数额的可能性。也就是说,当说起重要性水平时,它是指在一个可接受的风险水平下的重要性水平;而当谈及审计风险时,它是指审计人员未能发现重要性错报的审计风险。
4、非重要性与审计风险的关系
风险和审计的关系篇3
关键词:重要性;审计风险;认识
在我国出台的《独立审计具体准则第10号——审计重要性》中对重要性的定义为:“被审计单位会计报表中错报或者漏报的程度,这一程度在特定环境下可能影响会计信息使用者的判断或决策。”这就说明立了重要性和审计关系之间不仅仅在审计理论之间存在联系,而且还在审计质量、成本和效率之间有着密切的关系,正确的运用和理解重要性和审计风险之间的关系是非常重要的。
一、重要性与审计风险关系可以是“正反双向”的关系
对于重要性与审计风险关系,要能够正确的去认识和理解,并且对于审计风险要从两个方面去进行考虑:一个方面,从审计单位进行考虑,审计风险称之为实际的审计风险;另一个方面,从审计人员进行考虑,审计风险称之为可接受的审计风险。因此,重要性与审计风险关系,就可以从两个方面进行理解:一个方面是重要性与实际的审计风险之间的关系;另一个方面是重要性与可接受的审计风险之间的关系。
1.重要性与审计风险关系是正向关系
重要性与审计风险之间存在正向关系,重要性水平越高,审计风险越高;重要性水平越低,审计风险越低。这里所说的重要性水平高低指的是金额的大小。审计风险越低,越要求注册会计师收集更多更有效的审计证据,以满足审计风险的高要求。注册会计师不能通过不合理的人为降低重要性水平,提高审计风险。重要性与审计风险之间要求审计人员在确定重要性的过程中,要充分的对实际审计风险中的审计质量进行考虑,而且要能够达到可能性审计风险的审计效率。
2.重要性与审计风险关系是反向关系
重要性与审计风险之间存在反向关系,重要性水平越高,审计风险越低;重要性水平越低,审计风险越高。这里所说的重要性水平高低指的是金额的大小。审计风险越高,越要求注册会计师收集更多更有效的审计证据,以将审计风险降至可接受的低水平。注册会计师不能通过不合理的人为调高重要性水平,降低审计风险。评估的审计风险是针对被审计单位而言的,其固有风险和控制风险的程度越高,相应的审计风险就会增加,出现非重要性的可能就会越大,重要性就会变得更小。
二、重要性与审计风险关系是“互为前提、相互共存”的关系
重要性与审计风险关系从正反两个方面来看,能够分析出重要性不是导致审计风险出现的唯一因素,比如审计人员在审计过程中出现失误、审计人员的自身水平有限、审计人员的整体素质较低、审计的独立性不够等等因素,同样能够导致审计风险的出现;审计风险也不是决定重要性水平的唯一因素,比如审计单位的经营规模、审计单位的业务性质、审计单位财务报表、审计单位会计制度、审计单位资金波动幅度等等一些因素,同样能够决定重要性水平。
重要性与审计风险关系“互为前提”,在通常情况下,审计人员进行风险评估的过程中,要以审计风险为起点,能够对重要性进行最初步的确定,并且,根据这一重要性制定审计程序。一般最初的重要性往往会比确定后的重要性水平低,有效的促使审计人员认真细致的工作,积极的搜集审计的证据。
重要性与审计风险关系“相互共存”,在进行审计的过程中,重要性与审计风险两者需要同时的进行。因为,重要性所讲的是一种“错误”,审计风险所讲的是一种“可能性”,将这两者结合起来就是“错误的可能性”。从表面意思上就能够看出,在讲重要性的时候,所指的就是具有可能性审计风险的重要性;在讲审计风险的时候,所指的就是具有错误重要性的审计风险。
三、非重要性与审计风险关系
非重要性的基本概念,就是指从数量上看似不重要的项目,其实产生影响的数据有可能是错误信息:第一,非重要性可能体现在了变亏为盈,或者是变盈为亏的错误信息;第二,非重要性可能将盈利或者亏损欲盖弥彰,导致财务趋势出现错误信息;第三,非重要性可能影响到审计单位流动性资金或者盈利资金出现错误信息;第四,非重要性可能隐瞒非法交易或者的错误信息。
审计人员有可能因为非重要性所带来的错误信息,未能够达到重要性水平,就认为这些相关的信息不重要,而逐渐的被忽略掉。这种非重要性错误信息的出现,导致了审计风险的增高,使得真正的审计风险没有消除。在审计单位会计进行报表填写重要性的情况下,要重视非重要性错误信息所带来的审计风险,要充分的考虑到每个环节上的重要性。
四、总结
综上所述,通过对重要性与审计风险关系的再认识,能够认识到两者不仅仅是反向的关系,还能够认清两者是正向的关系。在相互制约的同时,还在相互共存,两者在共同作用的过程中能够达到最佳的效果,只有充分的将其结合,才能够真正意义上的达到协调与统一。
参考文献:
[1]刘德银:审计风险再定义及模型新探[J].审计与经济研究.2001(05).
[2]李艳君:审计风险相关问题研究[D].长安大学,2010.
[3]朱小平叶友:“审计风险”概念体系的比较与辨析[J].审计与经济研究.2003(05).
风险和审计的关系篇4
[关键词]审计证据数量;重要性;审计风险;抽样风险;预计总体误差
审计证据是指注册会计师为了得出审计结论、形成审计意见而使用的所有信息,包括财务报表依据的会计记录中含有的信息和其他信息。独立审计准则规定,注册会计师应当获取充分、适当的审计证据,以得出合理的审计结论,作为形成审计意见的基础。在审计理论与实务中,诸多方面影响着审计证据的充分性,也影响着审计证据的数量。本文利用图表形式,对审计证据的影响因素进行了直观分析,旨在提高对审计证据数量影响因素的感性认识。
一、重要性对审计证据数量的影响
如果一项错报单独或连同其他错报影响财务报表使用者依据财务报表作出的经济决策,则该项错报是重大的,即影响报表使用者作出判断和决策的错报程度就是重要性水平。根据独立审计准则,注册会计师应当对各类交易、账户余额、列报认定层次的重要性进行评估,以有助于确定进一步审计程序的性质、时间和范围,收集审计证据,将审计风险降至可接受的低水平。由此可见,重要性水平影响收集审计证据的范围,从而影响审计证据的数量。
各类交易、账户余额、列报认定层次的重要性水平也称为“可容忍错报”。它是在不导致财务报表存在重大错报的情况下,注册会计师对各类交易、账户余额、列报确定的可接受的最大错报。重要性水平与审计证据之间的关系可以转化成可容忍错报与审计证据之间的关系。
在抽样审计中,可容忍错报与样本量即审计证据数量之间成反向变动关系:可容忍错报越大,样本量越小;可容忍错报越小,样本量越大。而样本量越小,审计证据越少;样本量越大,审计证据越多。因此,可得出推论:在计划审计阶段,重要性水平越高,审计证据越少;重要性水平越低,审计证据越多。这里所指的重要性水平是指重要性的数量特征,即20000元的重要性水平比10000元的错报重要性水平高。而为合理保证存货账户的错报或漏报不超过10000元所需收集的审计证据,比为了合理保证该账户错报或漏报不超过20000元所需收集的审计证据要多。重要性水平、样本量与审计证据之间的关系如表1所示:
二、审计风险对审计证据的影响
审计风险是指财务报表存在重大错报而注册会计师发表不恰当审计意见的可能性。根据独立审计准则,审计风险取决于重大错报风险和检查风险,审计风险模型可以表述为:
审计风险=重大错报风险×检查风险
该式表明,在可接受的审计风险水平下,可接受的检查风险水平与认定层次重大错报风险的评估结果成反向关系:评估的重大错报风险越高,可接受的检查风险越低;评估的重大错报风险越低,计划的、可接受的检查风险越高。当可接受的审计风险水平一定时,三者之间的关系可以表示为:
检查风险=审计风险/重大错报风险
也就是说,注册会计师应当评估认定层次的重大错报风险,并根据既定的审计风险水平和评估的认定层次重大错报风险确定可接受的检查风险水平,从而设计审计程序,收集审计证据。
这一关系式从表面看,解释的是审计风险与检查风险之间的关系,其实质却是审计风险与审计证据之间的关系:在既定的、可接受的审计风险前提下,重大错报风险越大,可接受的检查风险越小,会计报表中的重大错报未被审计师发现的可能性越低,审计范围越大,需要的审计证据越多;重大错报风险越小,可接受的检查风险越大,会计报表中错报未被审计师发现的可能性越高,审计范围越小,需要的审计证据越少。也就是说,审计风险与审计证据数量之间成同向变动关系:审计风险越高,所需证据的数量越多;审计风险越低,所需证据的数量越少。
三、审计风险、重要性对审计证据的动态影响
(一)三者问的关系
根据独立审计准则,重要性水平与审计风险之间成反向变动关系,由上述分析已知,重要性水平与审计证据数量之间成反向变动关系,审计风险与审计证据之间呈现同向变动关系。三者关系如图1所示:
重要性水平对审计风险的影响以及相应的审计证据之间的关系可以由表2表示。
(二)评价审计结果时,重要性和审计风险对审计证据的影响
随着审计过程的推进,注册会计师应当评价对重要性的判断是否仍然合理,从而确定是否面临过高的审计风险,审计证据的数量是否满足了充分性要求。
在确定审计程序后,如果注册会计师确定接受的重要性水平接近计划阶段重要性水平,则意味着初始重要性水平确定适当,审计风险控制适当,审计证据数量适当。
如果注册会计师决定接受更高的重要性水平,则意味着注册会计师对于初始重要性水平的估计过于保守,注册会计师执行了过多的审计程序,收集了超过充分性最低数量要求的审计证据,虽不影响审计效果,但影响了审计效率。
如果注册会计师决定接受更低的重要性水平,例如初步评估的重要性水平为20000元,而再次评估的重要性水平为10000元,则意味着随着注册会计师对被审单位了解的深入,对被审单位的会计报表各个层次的重要性水平做出了重新估计。此时注册会计师认为,10000元的错报就会影响会计报表使用者的决策,而原来按照重要性水平为20000元所设计的审计程序没有收集10000元~20000元之间的错报。此时较低的重要性水平使得重大锚报风险水平提高,注册会计师实际面临的审计风险水平超过了可接受的审计风险水平,这就使得注册会计师发表不恰当审计意见的可能性增加。此时,根据初步评估的重大错报风险设计的审计程序将不再适用。注册会计师应当选用下列方法收集更多的审计证据,从而将审计风险降至可接受的低水平:
1 如有可能,通过扩大控制测试范围或实施追加的控制测试,降低评估的重大错报风险,并支持降低后的重大错报风险水平。
2 通过修改计划实施的实质性程序的性质、时间和范围,降低检查风险。
四、抽样风险与非抽样风险对审计证据数量的影响
抽样风险是指注册会计师根据样本得出结论和对总体项目实施同样的审计程序得出的结论存在差异的可能性,也就是样本不能够代表总体特征的可能性。例如抽样风险为10%,则意味着即使注册会计师遵循了独立审计准则对样本进行审计,其结论也不代表总体特征的可能性为10%。
非抽样风险是指由于某些同样本规模无关的因素而导致注册会计师得出错误结论的可能性。例如注册会计师选择的总体不适合审计目标,未能适当定义误差或错报,选择了不适于实现特定目标的审计程序,未能适当评价审计发现的情况等等原因所导致的未能发现重大错报或控制失败。注册会计师可以通过采用适当的质量控制政策和程序,对审计工作进行适当的指导、监督和复核以及实务的改进,将非抽样风险降至可接受的低水平。
抽样风险与非抽样风险共同构成审计风险,即:抽样风险+非抽样风险=审计风险
注册会计师若想要求样本代表总体特征的可能性越大,即抽样风险越小,则样本规模必然越大;样本规模越小,代表总体的可能性越小。即抽样风险越大。也就是说,抽样风险和审计证据数量之间呈现的是反向变动关系。
抽样风险、非抽样风险与样本规模之间的关系见图2所示:
图2表明,审计风险由抽样风险和非抽样风险共同构成。非抽样风险不受审计方式的影响,不随样本规模而发生变化,无论注册会计师采用抽样审计还是非抽样审计,非抽样风险都客观存在。而抽样风险随着样本规模的增加而逐步减小。在非抽样风险一定的前提下,注册会计师愿意接受的抽样风险越低,可接受的审计风险要求越低,样本规模通常越大,审计证据数量越多;而注册会计师愿意接受的抽样风险越高,可接受的审计风险要求越高,样本规模越小,审计证据数量越少。当样本规模等于总体时,即在n点处,也即详细审计时,抽样风险为零,审计风险全部由非抽样风险所构成。
五、预计总体误差对审计证据的影响
抽样审计中,预计总体误差即注册会计师预期在审计过程中发现的误差。其他条件既定的前提下,预计总体误差越大,可容忍误差也应当越大;预计总体误差越小,可容忍误差也应当越小。在既定的可容忍误差下,当预计总体误差增加时,所需的样本规模越大。也就是说,此时预计总体误差与审计证据数量之间成同向变动
图3中,a1、a2和a3代表不同的可容忍误差水平,且a1>a2>a3;s1、s2和s3代表不同的样本规模,且s1
六、总体变异性对审计证据数量的影响
风险和审计的关系篇5
关键词:数据式审计;审计风险;数据
随着信息和网络通信技术、电子商务的迅猛发展传统的经营模式将越来越多的被信息化的网络贸易所取代,计算机被越来越广泛地运用到企业的各业务环节中去,自动化数据处理系统也日益深入地应用于会计核算和财务管理工作中,使会计数据储存方式、会计数据核算手段和方法、会计部门的机构设置、会计内部控制的方法和措施、所提供会计信息的数量和质量等方面都已发生前所未有的深刻变化。在信息化的环境下,转变视角构建计算机审计发展的未来——数据式审计模式。
一、数据式审计模式的涵义
数据式审计的运用一定是在信息化环境下。如同在纸质环境下一样,系统内部控制的合理性、健全性和有效性直接影响着数据的真实性、完整性和正确性。因此,为了控制数据风险,保障审计目标的实现,审计人员应该首先调查、测试和评价系统内部控制。数据式审计的最大特点就是对电子数据的直接利用,这里所说直接利用是指,审计人员无须先将其转换成电子帐套,然后再实施审计程序,但不是不对系统内部控制进行必要的测评。在数据式审计模式下,审计人员可以摆脱传统的电子帐套及其所反映的财务信息,深入到计算机信息系统的底层数据库,获取更多更广泛的数据,然后通过对底层数据的分析处理,获得大量的多种类型的有用信息。www.133229.com这些信息不但包括传统的财务信息,而且还包括非财务信息、自行组合的新财务信息、财务数据与非财务数据组合的混合型信息。基于数据式审计的上述特点,我们也可以将数据式系统基础审计简单表述为:系统内部控制测评+数据审计。
二、数据式审计风险
传统的审计环境下,审计风险是指财务报表存在重大错报而注册会计师发表不恰当审计意见的可能性。审计风险取决于重大错报风险和检查风险。再既定的审计风险水平下,可接受的检查风险与重大错报风险的评估结果呈反向关系。用数学模型表示如下:
审计风险=重大错报风险*检查风险
其中重大错报风险涉及两个层次,一个是财务报表层次重大错报风险与财务报表整体存在广泛联系,此类风险通常与控制环境有关,但也可能与其他因素有关,如经济萧条。另一个是认定层次的重大错报风险,可分为固有风险和控制风险。固有风险是指假设不存在相关内部控制,某一认定发生重大错报的可能性,无论该错报单独考虑还是连同其他错报错报构成重大错报。控制风险是指某项认定发生了重大错报,无论改错报单独考虑还是连同其他错报构成重大错报,而该错报没有被企业的内部控制及时防止、发现和纠正的可能性。控制风险取决于与财务报表编制有关的内部控制的设计和运行的有效性。检查风险是指某一认定存在错报,该错报单独或连同其他错报是重大的,但注册会计师未能发现这种错报的可能性。检查风险取决于审计程序设计的合理性和执行的有效性。把数据式审计风险也分为重大错报风险和检查风险。公式可表示为:
数据式审计风险=重大错报风险*检查风险
(一)重大错报风险影响因素
数据式审计重大错报风险是指电子数据在审计前存在重大错报的可能性。主要包括被审计单位财务信息系统层次的重大错报风险和系统内部控制层次的重大错报风险。
1.财务信息系统层次的重大错报风险。
财务信息系统层次的重大错报风险是在不考虑系统内部控制的前提下,财务信息系统处理财务数据存在重大错报的可能性。
财务信息系统层次的重大错报风险的特点有:(1)风险是计算机系统本身所固有的,审计人员只能评估风险,无法控制和影响它;(2)风险源于被审单位财务系统水平组成部分的特性,风险的衡量是主观的、复杂的;(3)风险水平同系统的硬件质量和软件稳定性紧密相关,不同的系统其风险水平不同。
2.系统内部控制层次的重大错报风险。
系统内部控制层次的重大错报风险主要是由于被审计单位内部信息系统的应用、操作和管理规范等安全控制制度不够健全、有效,直接影响着数据的真实性、完整性和正确性,导致无法恰当地防止、发现和及时纠正被审单位信息系统可能出现重大错误的可能性。
信息系统内部控制层次的重大错报风险的特点是:(1)系统内部控制风险是客观存在的,是系统本身所固有的;(2)系统内部控制风险具有不可降低性,审计人员只能评估风险水平,无法控制和影响;数据式审计重大错报风险源于计算机信息系统组成部分的特性,重大错风险的衡量是主观的、复杂的。
(二)检查风险影响因素
数据式审计模式是一种全新的审计模式。在新审计准则重大变化的影响下,审计人员应加强对被审计单位系统内部控制环境和财务数据的了解,将识别系统内部控制风险与认定层次可能发生重大错报的风险联系起,利用数据式审计创新的技术和方法实施更为严格的来风险检查。数据式审计模式的诸多新技术和方法中,比较突出的是数据多维分析和数据挖掘两种技术、审计中间表和审计分析模型两种方法。数据式审计的检查风险是指:审计人员未能合理地运用数据式审计的相关分析技术和方法从被审计单位识别、采集、转换、清理得到的电子数据进行测试以发现错误的可能性。
数据式审计检测风险的特点:(1)它是惟一可由审计人员自主确定和控制的风险;(2)借助数据式审计多维分析技术和对电子数据深层挖掘技术,使审计范围大量扩大,降低审计风险;(3)风险水平与审计人员的专业胜任能力密切相关。
三、总论
随着信息化的迅猛发展,审计业务范围不断扩大,审计软件信息技术的应用,数据式审计也离我们越来越近,逐步成为今后审计的主流。本文对数据式审计的审计风险进行分析,为应对数据式审计风险提供一些方向。
参考文献:
[1]石爱中,孙俭.初释数据式审计模式,审计研究,2005(4)
风险和审计的关系篇6
关键词:风险导向内部审计应用
本论文为北京联合大学生物化学工程学院院级科研课题,课题号为:shky201014
国际内部审计师协会(iia)于2009年1月在其修改的《国际内部审计专业实务框架》(ippF)中指出“内部审计是一种独立、客观的确认和咨询活动,旨在增加价值和改善组织的运营。它通过应用系统的、规范的方法,评价并改善风险管理、控制和治理过程的效果,帮助组织实现其目标”。这一新定义,将内部审计赋予了“以风险为导向、以控制为主线,以增值为目的”的新内涵,也推动了风险导向内部审计进一步发展。
风险导向的内部审计是一种新型的审计模式,它自始至终都以企业风险分析评估为导向,根据量化的风险分析评估结果排定审计项目优先次序,依据风险确定审计范围与重点,对企业的风险管理、内部控制和治理程序进行评价,进而提出建设性意见和建议,协助企业管理风险,实现企业价值增值的独立、客观的签证和咨询活动。
一、风险导向审计的重要意义
在当今瞬息万变、复杂多变、信息爆炸的经济社会环境下,企业内部积极探索、有效开展风险导向审计,无论是对提升内部审计价值,还是对于企业加强风险管控和实现既定目标,都有着要意义。
(一)有利于实现内部审计摆脱生存危机,实现价值增值
我国内部审计目前大部分还停留在账项基础审计和制度基础审计模式,审计目标和范围往往不能根据经营中的主要风险和问题确定,审计结果利用价值不大,这样就无法为组织增加价值,内部审计在企业的作用和地位也不高,与此同时外部审计已将风险评估、会计咨询和管理咨询等业务纳入了工作范围,并且不断扩展服务领域,向企业提供内部审计服务。企业为了节省成本和开支,也不断削减内部审计机构,或将内部审计的业务部分或全部外包给了外部审计机构,这使得内部审计的发展和生存面临巨大危机。而通过风险导向审计的有效开展,可以为企业提供确认和咨询服务,变企业的“卫士”、“医生”为“谋士”,为企业提供有价值的服务,帮助企业实现目标,因此,只有开展风险导向审计才能有效摆脱内部审计生存危机。
(二)有利于审计资源合理配置,提高审计效率、质量、规避审计风险
风险导向审计始终以企业风险分析评估为导向,采用科学的、系统的、规范的、量化的方法进行风险分析、评估,能够更加准确地判断分析重大风险点和风险领域,从而更加科学地确定审计重点,合理配置审计资源,降低审计成本,防范审计风险,提高审计效率和效果。
(三)有利于审计观念的转变,促进审计人员提高业务素质
风险导向审计是基于战略系统观,从微观、中观乃至宏观层面上对被审计对象的重大错报进行评估,克服了传统审计缺乏全面性分析而导致审计风险的缺点,它不仅仅是审计技术方法,审计程序上的一大变革,更重要的是审计理念的更新,是一种基于战略系统观的审计新理念。另外,风险导向审计方法对审计人员的素质要求较高,审计人员不仅要具备财务、审计等专业方面的知识,而且还要懂得法律、金融、科学技术、计算机等相关学科的知识,这对审计人员自身的素质提出了的更高要求,审计人员必须强化学习、提升技能才能适应工作要求,提高专业胜任能力。
二、我国现阶段风险导向审计在内部审计中的应用现状和存在的主要问题
现阶段我国风险导向审计,尤其是风险导向内部审计还处于理论研究和实务探索阶段,相关法律法规还不健全,在具体应用中,还存在实务指南缺乏、被审计对象信息库建设滞后、评估工具缺乏、审计手段、审计人员素质能力亟待提高等诸多问题。
(一)应用现状
1.开展风险导向审计的制度依据。美国注册会计师协会先后颁布了《财务报表审计中对舞弊的考虑》等相关法规、制度,特别是美国安然、世通案件爆发后,随着《萨班斯法案》的实施,更加强化了审计师在报表审计中考虑重大舞弊的的责任,迫使审计工作人员更加注重对企业风险的关注,促进了风险导向审计的深入开展。我国的《内部审计实务标准》和《内部审具体准则第16号-风险管理审计》,将企业的内部审计工作导向了风险审计的轨道。
2.开展风险导向审计的实践情况。我国风险导向审计开展较晚,风险导向审计在内部审计中的实践、应用则更晚,目前大多还停留在理论探索研究阶段,真正有效开展内部风险导向审计的还比较少。虽然目前内部审计人员在具体审计过程中对风险给予了一定关注,进行了一定程度的探索,但对如何看待风险、如何分析风险、如何评估风险、如何运用风险评估结果还缺乏系统的培训,对风险识别、风险评估、风险应对等方法还缺乏有效的掌握,这些难免造成内部审计往往是更多地关注被审计单位的财务风险,而忽视其他风险,易导致审计资源配置不够合理,审计质量不高,审计风险较大。
(二)现阶段开展风险导向内部审计存在的主要问题
1.理论及实务体系还有待进一步健全、完善。目前国际上对风险管理框架研究较多,也公布了相关标准,如iia《内部审计实务标准》和CoSo《企业风险管理-整合框架》都提出了风险管理的理论框架,但风险导向审计自身的理论体系、实务标准还有待健全、完善和统一。而具体到我国,则更加亟待建立相关的理论体系,以指导审计实践;更加亟待建立相关的实务标准,以规范审计实践。
2.风险评估工具缺乏。风险导向审计的关键是风险评估,风险评估的关键是风险评估方法(工具)的选择,目前,国际上对风险导向审计程序和审计方法进行了有效探索和实践。但真正完整、形成体系并行之有效的审计模式还有待建立和完善,反观国内,针对风险导向审计还制定出完整的、体系化的审计指引、审计程序和方法,风险评估技术方法和审计经验都亟待积累。
3.信息库建设滞后
在风险导向审计中,审计人员需要大量的信息来充分了解被审计对象的整体经营环境、经营环境、财务状况和人力构成等,才能针对风险不同的被审计对象、不同的风险领域和不同的风险分布,合理配置审计资源、设计不同的审计程序,采取不同的审计方法。由此,只有建立强大的面向不同审计对象、不同业务领域的信息数据库,才能满足审计人员了解企业战略、不同审计对象的经营策略、评估经营风险和进行有效业绩衡量的需要,从而降低审计风险,提高审计效率和效果。而目前我国内部审计在信息数据库的建设方面还远远达不到现代风险导向的要求,我们面临着系统亟待建立、数据亟待积累的局面,从而影响审计人员对被审计对象整体风险的分析判断。
4.内部审计人员结构、知识结构和职业素养尚不能满足要求
风险导向审计是比较先进的审计模式,审计人员需要运用各种方法进行风险识别、风险评估和风险控制等活动,这需要内部审计人员不但要精通财务、经济、法律法规等方面的知识,而且要掌握定量分析方法和计算机审计技术,同时还要了解所在企业的生产经营和业务流程等相关知识,但目前内部审计队伍普遍存在人员结构单一,基本为财务、审计等相关背景的人员,知识结构不合理,尤其是风险管理知识比较匮乏等不足。目前内部审计这样的人员结构和知识机构,从事财务收支审计、经济责任审计尚能应付,但要从事风险导向内部审计,则明显不能适应。
三、风险导向审计如何有效应用的解决建议
(一)完善制度基础、健全审计规范。中国内部审计协会在风险导向审计研究方面虽然做了大量工作,但还应积极行业主导作用,积极整合相关专家、理论工作者、审计实践工作者等资源,结合我国国情和企业实际状况,借鉴国际先进经验、方法和理论体系,逐步形成既有中国特色又与国际接轨的的审计理论体系。
(二)探索、完善风险评估方法。风险导向审计主要以风险评估为主,改变了传统控制(制度)基础审计以内控测试为主的方法,风险评估方法是一种系统的、科学的和可量化的方法,风险导向审计从风险评估开始,形成了风险评估、确定审计范围、制定审计计划、执行审计计划、审计结果与报告、跟踪监督缺陷整改、开始新的风险评估这样一个闭环,可见风险方法是否得当将会直接影响其他审计要素,进而影响整个审计工作的效率、效果和质量。目前比较常用的风险评估方法主要是风险热图法,主要利用衡量风险的两个纬度,即影响程度(风险发生对企业目标时的影响)和风险发生的概率(风险发生的可能性),将两个纬度绘制在同一个坐标系内,此种方法简单明了的显现了风险评估结果,此外还可以运用蒙特卡罗法、关键风险指标管理法、压力测试法、等,方法的选用不是一成不变的,需要在实践中加以运用和多种方法的灵活组合,上述方法的选用都要考虑企业的风险偏好和风险承受度。
(三)建立互通、互动、互联的信息数据库,提升审计人员素质和能力。企业应建立内部审计部门与财务、业务、风险控制等部门互通、互动、互联的功能强大的数据库,建立被审计单位档案,对审计人员在审计过程中需要的各方面知识以及有关被审计对象的各项资料进行整理和归纳,并及时更新数据库,为审计人员提供强大的数据支持,以满足审计人员在审计过程中及时了解被审计对象的经营策略、业务流程、风险评估、考核办法和财务数据等方面的需要。此外,风险导向审计需要审计人员具有更加宏观的视野、发现问题、分析问题和解决问题的能力,这些都需要对现有审计人员进行系统培训,更新观念,提升能力,在解决人员存量的同时,也要注重通过人员增量来调整存量,改善审计人员人才结构,积极引进内控、风险管理、计算机、法律等专业人才,促进人才结构多元化发展。
参考文献:
[1]国际内部审计师协会.国际内部审计专业实务框架,2009
[2]中国石化集团公司审计局广州分局课题组.风险导向审计的难点及解决措施.中国内部审计,2011
风险和审计的关系篇7
关键词:商业银行公司治理风险管理风险审计
全面风险管理是从战略目标制定到目标实现的全过程风险管理,随着现代商业银行所承担风险的增加,商业银行内部审计关注的重点也逐渐转移到风险管理上来,当今风险审计作为一种新的审计理念,成为备受人们关注的热点。与其说银行是在经营货币的企业,不如说银行是经营风险,从风险管理中获取收益的企业。商业银行一直在利润与风险之间做着谨慎和侥幸的选择,防范和控制经营中的风险,实施全面风险管理战略,是商业银行面临的现实而紧迫的任务。作为现代商业银行的审计部门,如何由传统的合规性审计向风险预警和防范为目标的风险审计转变,合理配置有限的审计资源,提高审计效率与效益,有效发挥审计监督在防范和控制风险中的积极作用,已成为现代商业银行内部审计面临的焦点课题。
风险审计的涵义
风险审计,也称风险基础审计或者风险导向审计,它是在传统的账项基础和内部控制制度基础审计上发展起来的一种审计模式,是指审计人员在对被审单位的内部控制充分了解和评价的基础上,综合分析、判断被审计单位的风险状况及其风险程度,从而把有限的审计资源集中到高风险的审计领域,针对不同风险程度采取相应的审计对策,重点对高风险点进行实质性测试,从而伎内部审计的剩余风险降至可接受的最低水平。与账项基础审计、内部控制制度基础审计相比,风险审计关注点在于对被审单位的风险评估,其审计重心向风险评估转移,更加关注的是企业的风险管理活动一一是否建立清晰的风险管理战略、完善的管理架构、全面的风险管理过程和良好的风险管理文化,最终实现风险管理效率和价值的最大化,不但可以保证充分的审计覆盖面,而且对每一个领域都会根据其风险评价结果有不同的审计频率与深度,增强了对风险的预防控制作用,风险审计方法的重点是识另q、预防与控制风险。因此,风险审计理论的核心是从分析审计风险入手,通过建立科学的审计风险分析模型,采取定性定量分析方法,量化确定固有保证程度系数,并控制保证程度系数,确定可接受的检查风险水平,以确保审计质量。
商业银行实施风险审计方法的坝实重要牲
格林斯潘曾经说过:“银行的基本职能是预测、承担和管理风险。”风险审计的本质和根本目标是促进和保障商业银行业务的稳健发展,促进商业银行树立全面的风险管理理念,坚持发展与防范风险并重;适应市场和业务需要,不断完善风险管理手段,健全风险管理体制,培育风险管理文化,提高风险管理水平,促进业务发展,目标是优化资源配置,将风险控制在商业银行可以承担的范围内,实现风险调整后的收益最大化。
(一)风险审计的理念和方法是商业银行实施全面风险管理的现实选择,进一步提升了内部审计的增值服务?风险是商业银行与生俱来的产物,存在于商业银行业务的每一个环节当中,商业银行提供金融服务的过程也是承担和控制风险的过程,因此,风险管理是商业银行永恒的主题。在现代金融领域中,能建立良好的风险管理架构和体系,对风险进行全面有效的管理,并以良好的风险定价策略实现价值增长,是影响商业银行核心竞争力的重要因素,也是实施风险审计的必然要求。国有商业银行上市后,要在提高全面风险管理能力的前提下保持持续的价值创造能力。
巴塞尔新资本协议和美国反舞弊财务报告委员会的发起组织委员会fcoso)的《企业全面风险管理框架》将全面风险管理概括为对商业银行各个层次的业务单位和各种类型的风险进行统筹管理,这种管理要求将包含信用风险、市场风险、操作风险和其他风险的各种金融资产与资产组合,承担这些风险的各个业务单位纳入到统一的管理体系中,对各类风险依据统一的标准进行测量并加总,依据全部业务的相关性对风险进行全程的控制和管理。风险审计正是以全面评估风险为基础,从重要风险点上人手,在深入分析判断不同层面和业务单位风险状况的基础上,确定审计重点,对风险高的业务集中资源重点审计,通过评估银行风险识别的充分性、风险衡量的恰当性及风险防范的有效性,并在此基础上提出相应的改进措施和建议,直接影响商业银行经营战略的制定,确保商业银行实现业务发展、风险控制和效益增长的有机统一
(二)采用风险审计的理论和技术、是现代商业银行审计发展的目标和方向,实现增值型审计转型需要:当前国际内审发展已进入一个以风险管理和公司治理
为标志的新的发展阶段,西方的绝大部分商业银行在内部审计均采用了风险审计的理论和技术。国际审计师协会主席捷奎林?瓦格娜曾提出:“环境的变化给内部审计师带来增加价值的机会最多的领域是风险管理的公司治理。”2003年国际内部审计协会对2001年新的《内部审计实务标准》(以下简称《标准》)修改后,在内容上也自始至终都贯穿着风险审计的主导思想。
一是在对内部审计的定义中要求内部审计采用一种系统化、规范化的方法来对机构的风险管理、控制及监管过程进行评价进而提高它的效率,帮助机构实现它的目标。二是内部审计的目标要求内部审计参与风险管理。三是内部审计的工作重点要求内部审计参与风险管理。四是标准对审计计划、审计测试、审计结果、后续审计各个方面都作了和风险相关的明确规范。五是关于剩余风险,《标准》做出了在审计执行主管认为高级管理层接受的剩余风险水平对于机构来说是无法接受时就报告董事会加以解决的规定。这些规定和要求将内部审计的范围延伸到风险管理和公司治理,所以风险管理已经成为内部审计的主要工作。随着风险管理导向内部控制时代的来临,内部审计的工作重点也发行了变化,现代内部审计突破了传统的监督、鉴证、评价职能的范围,更多地介入商业银行有效的风险管理机制和健全的公司治理结构领域。
风睑审计在项代商业银行风睑管理中的作用
(一)风险审计有利于提高商业银行风险管理水平,促进风险文化建设。风险基础审计主动发现和控制各项风险,通过对商业银行业务部门进行风险评估,并按照次序排列风险,集中高风险的项目优先审计。前者试图阻止不期望的行为发生,这种事先的控制有助于阻止损失的发生;后者试图检查出不期望发生的行为,检查性的控带l目的是提供损失发生的证据。这两种类型的控制都是必要的内部控制系统,使商业银行的内控机制完善、管用。同时,风险审计关注的重点是业务过程中的每一个风险点,涉及所有员工和管理者,这样有助于形成商业银行风险文化,从而提高商业银行全面风险管理水平。
(二)风险审计有利于对风险事件的识别风险审计采用通用风险分析模板及方法,识别商业银行业务过程的风险和外部环境风险。风险审计人员运用某些分析方法,创造性地进行分析,判断管理层是否完全识别了企业的所有风险,若有遗漏的风险要提醒管理层加以考虑。
(三)风险审计有利于对风险的反应和控制。在风险反应活动中,商业银行要根据不同的风险决定要采取的策略和方法,决定是避免风险、接受风险、还是降低风险。如对有相对的风险回报的风险,商业银行可以考虑接受,但要采取控制措施,才能将风险降低到可以接受的水平,获得希望的回报。对于这部分风险,商业银行会采取减少风险、转移风险或分担风险的办法以降低商业银行承受的风险。风险审计人员的主要工作在于分析、评价风险回报的合理性、减少风险的措施的有效性、以及接受风险转移和风险分担的那一方的风险。
(四)风险审计有利于对风险信息沟通和风险管理系统的监控。在风险信息沟通活动中,商业银行的风险管理要将风险及时有效地传递给内部相关人员,以便及时采取相应的控制措施。风险审计人员可以通过评价报告系统证明风险信息被准确、及时地传递到相关人员,内部审计报告可以向董事会和审计委员会传递风险是否得到有效管理的信息。在监控活动中,商业银行要对风险管理进行持续监控,通过对内部控制系统的运行的监控和对定期检查结果及意外事项的处理结果的评价,保证商业银行对风险管理是一直有效的。风险审计人员可以通过分析环境和风险变化,检查内部控制系统是否已更新,是否能控制新的风险。还可以通过后续审计管理层对审计中发现的问题及对意外事项的处理情况,检查新的控制措施是否有效,将分析结果和建议提供给管理层以便改进控制措施。
风险审计在捕国商业银行规划与存在问题
(一)风险基础审计的法制化、制度化规范化建设的道路还很漫长。一是商业银行内部制度调整工作量大,相关业务制度和操作流程也要进行相应调整;二是支持系统建设难度大,因长期需要具备相应功能的电子化系统作支持,要求商业银行改进现有业务系统,并开发建设风险评估系统,风险评估系统的建设包括业务流程、历史数据收集、参数选择等需要大量投资和时间准备。三是短期内风险审计人员素质难以提高。风险审计人员需要精通包括审计、会计财务、法律、逻辑学、信息学、系统论、管理学等专业知识,懂得运用经济、数理、计算机等专用分析手段来预知和减少风险,每位风险审计人员达到运用自如的水准尚需时日。
(二)审计证据的较高要求增加风险审计取证的难度风险基础审计必须获取充足的、可靠的相关的证据以判断,而目前我国商业银行风险基础审计缺少可供遵循的标准和程序,且审计取证的渠道和方式多样,因此,审计人员一般都需要提高调查样本代表性和增大调查样本
的方法,以增强对总体风险推断的准确性。
(三)风险审计技术手段落后,难以适应工作需要。计算机会计信息系统、信贷管理系统的广泛应用和发展,大大增强了审计的及时性,事后审计;逐步被实时审计所代替,这与针对经营全过程的风险基础审计不谋而合。在我国,商业银行审计人员大多数对计算机辅助审计不太熟悉,许多还停留在传统手工查账的基础上,在新技术面前还有些无所适从.审计手段落后,不但增加了审计难度,而且效率低、准确差,严重影响了审计作用的发挥,无法满足商业银行风险基础审计工作的需要
(四)协调配台欠缺,降低了审计结果的运用日常审计中很少利用纪检、人事及其他部门掌握的信息,审计结束后,除个别项目外一般也不与这些部门交换,致使审计成果在干部考核、任用、奖惩等方面没有发挥应有的作用,相应削弱了审计的威慑力。
我国商业银行发展和完善风险审计的对策
(一)正确认识风险基础审计在银行公司治理结构的重要作用,为风险审计的发展刨造良好的环境商业银行公司治理的核心问题是委托人(股东、投资者、管理者)如何激励和约束人(经理层)、积极有效地完成受托经营管理责任,以确保股东或投资者财富最大化。显然仅仅通过财务审计,委托人难以全面了解人是否有效履行其受托责任,而风险基础审计有利于减少信息不对称性,较为全面地提供委托人所需要的有关经营管理活动方面信息,大大遏制了“道德风险”的发生,增强了经营管理的透明度,从而达到控制和抑制“内部人控制”的目的,同时,通过风险审计可以有效地判断人的业绩和能力,评价人对受托人责任履行情况,促进人提高经营管理效率因此,风险审计是商业银行公司治理结构的重要组成部分,是完善公司治理结构的“四大基石”之一。
(二)抓紧制定风睑基蒯{计;,立则尽快完善评价标:停体系要吸收借鉴美国、英国、典等发达国家的先进经验,抓紧研究制定我国的风险基础审计准则,这是开展风险审计的当务之急。风险基础审计准则的制定要遵循“衔接”、“配套”、“务实”的原则,注意解决好前瞻与现实的矛盾,接轨与国情的矛盾。逐步探索和完善风险审计的评价标准体系,量化评价指标,为不同项目之间的比较提供依据
(三)认真搞好风险基础审计研究,探索先进审计技术方法。先进的审计技术和方法,是提高审计效率和质量的重要保证要通过传统方法与现代信息技术的结合,加大风险审计技术的研究力度,特别要注重探索完善审计抽样、内控测评、风险评估等方面的方法和技术产。在风险审计的方法和技术的研究中,要实行科研人员与实务人员、科研与调研、审计人员与项目工程人员相结合的办法开展,以增强实用性、指导性和前瞧性。
(四)加强审计人员知识培训,适应风险审计工作需要。风险审计由于涉及面广,需要审计人员具有多方面的知识和技能。因此,要通过培训,使审计人员既熟练掌握审计业务知识以及计算机、信息技术等方面的知识,同时又了解和掌握工程技术、法律、经济管理等方面的知识。优化审计干部队伍结构,培养造就复合型审计人才,满足风险审计工作需要。
风险和审计的关系篇8
【关键词】风险导向审计;特性;问题;建议
一、问题的提出
一百多年来,虽然审计的根本目标没有发生重大变化,但审计环境却发生了很大的变化。注册会计师为了实现审计目标,一直随着审计环境的变化调整着审计方法。审计方法从账项基础审计、制度基础审计发展到风险导向审计,都是注册会计师为了适应审计环境的变化而作出的调整。现代审计实际上始终是围绕着会计师提高效益与降低风险两方面的考虑来发展的。早期的审计所面对的公司账务比较简单,会计师还可以负担详细审计的成本。而随着公司规模的扩张、业务种类的增加、业务性质的日趋复杂,详细审计的时间成本已经变得让会计师无法承担,会计师必须寻找一种在时间成本可以承担的前提下,能够有效控制风险的审计手段。面对控制时间成本和控制审计风险这对看似矛盾的要求,不同的会计师事务所找到了不同的解决方案。有些会计师事务所通过采用以电脑技术为核心的现代收集手段,大幅提高审计现场和后期复核效率,从而保证在审计测试时间不减少的情况下,明显降低审计的总时间成本;有些会计师事务所则提出了围绕重点风险领域加大审计测试,而对风险较低的领域减少甚至不作测试,从而降低审计时间成本。这种思路逐步发展,形成了风险控制导向的审计策略。2007年1月1日起已全面施行的《中国注册会计师执业准则》,标志着我国以风险导向审计为基础并顺应国际趋同大势的中国审计准则体系的确立。
二、风险导向审计内涵辨析:传统与现代之比较
厦门大学吴水澎教授认为,所谓风险导向审计,是指审计人员在审计过程中自始至终都以企业风险分析评估为导向,根据量化的分析水平排定审计项目优先次序,依据风险确定审计范围与重点,对企业的风险管理、内部控制和治理程序进行评价,进而提出建设性意见和建议,协助企业管理风险,实现企业价值增值的审计活动。厦门大学薛祖云教授认为,风险导向审计作为在账项基础审计和制度基础审计上发展起来的一种审计模式,立足于对审计风险进行系统的分析和评价,并以此作为出发点,制定审计策略和与企业状况相适应的多样化审计计划,将风险考虑贯穿于整个审计过程,把审计的指导思想建立在“合理的职业怀疑假设”的基础上。在实践中,这一模式逐渐为世界各国会计师事务所接受和采用。
由此看来,风险导向审计是指注册会计师通过对被审计单位进行风险职业判断,评价被审计单位的风险控制,确定剩余风险,执行追加审计程序,将剩余风险降低到可接受水平。其内在思想是:任何审计业务都必须将审计风险控制在可接受的风险水平内。或者,通过内部控制测试等方法,确定风险最高的环节与部门,以便重点审计。
而传统风险导向审计主要是通过对会计报表固有风险和控制风险的定量评估,从而确定检查风险,进而确定实质性测试的性质、时间和范围。但传统风险导向审计由于对固有风险的判断缺乏指引,因此注册会计师往往简单将其定义为高风险,而将主要精力放在对控制风险的评估上。由于对审计风险公式的僵化运用,对控制风险的评估往往沦为减少实质性测试的工具。
(一)与传统审计方法相比,现代风险导向审计有助于提高审计质量,更适应全球经济发展形势对审计的要求
在市场经济全球化趋势下,企业经营环境越来越复杂和多变,企业管理层舞弊的动机和压力日益增大,会计准则和制度需要企业进行更多的专业估计和判断,传统审计方法的效果不断受到质疑和挑战。在传统风险审计模型下,注册会计师往往不注重从宏观层面上了解企业及其所处的环境,而仅从内部控制层面上评估风险,很难形成对财务报表以及各类交易、账户余额的合理期望。同时,由于注册会计师仅关注与内部控制有关的风险评估,很难发现因企业管理层凌驾于内部控制之上导致的内部控制失效,以及因此引起的重大错报和舞弊行为。而现代风险导向审计要求注册会计师通过各种角度了解企业内部经营风险及与企业经营密切相关的外部风险因素,使注册会计师能全面识别和评估重大错报风险,并据此确定总体审计策略和进一步的审计程序。而且,风险评估程序中包含了对管理层舞弊动机的分析,能帮助注册会计师合理确定财务报表是否存在重大错弊,尤其是管理层舞弊。
(二)现代风险导向审计能更有效地分配审计资源
注册会计师通过运用新审计风险模型识别和评估重大错报风险,作出相应的审计策略,并将识别和评估后的风险与审计程序紧密地联系起来。同时,能据此做到有的放矢,将审计资源恰当地集中到重大错报领域,促进审计资源的有效分配和利用,提高审计效率。
现代风险导向审计的产生可以理解为:审计师需要有一个框架或者模型来帮助其在整个审计过程中对重大错报风险进行主观的评估,也就是帮助其更有效地控制非抽样风险。注册会计师的报告可以有效地说明企业管理当局的受托经济责任,降低会计报表使用人进行决策所面临的信息失真风险。审计目标是证实财务报表的公允性,同时考虑审计风险,将审计风险降低至可接受水平。以评价审计风险为导向性目标并指导审计的全过程,审计风险模式不等于风险导向审计,只有在其运用于审计全过程时,才是风险导向审计。
风险导向审计具有以下特点:
1.风险导向审计提供了一种既能保持审计效果,又能提高审计效率的新思路。首先,它要求评价客户的控制环境,并鉴别会计报表的重要组成项目,考虑会计报表发生重大错报的风险。然后,在此基础上建立审计目标。最后,根据审计目标确定拟实施审计程序的性质、时间和范围。它克服了制度基础审计的明显不足之处――审计资源在低风险和高风险审计领域的分配不当,防止造成低风险审计项目的审计过量和高风险审计领域的审计不足。
2.风险导向审计具有双重披露模式的特点,不仅要确定公允性,还要证实可信性,即被审计单位是否存在影响财务报表使用者分析和决策的重大舞弊和错报。从审计目标看,账项审计模式和制度基础审计的指向均为一元论,即会计报表是否公允地反映了客户所审计期间的财务状况、经营成果和现金流量。
3.风险导向审计方法有利于审计人员全面认识被审计单位。
审计过程是审计人员不断加深对被审计单位财务管理情况的认识过程。审计人员通过调查了解、收集证据,从各个角度逐步验证某项认定,最终合理地保证某项认定是否正确,形成审计意见。审计人员的认识过程是一个逐步深入的过程,风险审计模型合理地体现了这个过程。制度基础审计关于控制风险的评估,意在确定内部控制的信赖程度,从而减少实质性测试的工作量,对固有风险的评估常流于形式。而风险导向审计则将固有风险和控制风险结合考虑,特别是固有风险,通过对企业环境、公司治理结构等方面的评估做出规避、转移、减少、接受和利用的策略,以使审计风险降低至可接受水平。
4.风险导向审计方法有助于合理确定重要性水平。根据审计风险模型可知,在固有风险和控制风险一定的条件下,检查风险和期望的审计风险成正比关系。如果期望的审计风险较低,那么就必须接受较低的检查风险水平,以便扩大实质性测试的样本规模或追加审计程序,收集更多的审计证据。重要性与审计风险成正向关系。重要性与审计证据成反比关系,审计风险与审计证据成反比关系,则重要性与审计风险成正比关系。重要性与审计风险之间的关系要求审计人员在确定重要性水平时,不仅要考虑实际的或评估的审计风险以确保审计质量,也要考虑可接受的审计风险以提高审计效率。
现代风险导向审计是审计发展的必然趋势。科学地运用风险导向审计就是指在对企业环境和经营活动进行全面分析的基础上,制定审计策略,运用审计风险模型,积极而有效地采用分析性审计程序,以规避风险,提高审计效率。风险导向审计模式在具体运用过程中,具有很多与传统审计模式不同的特性,这些特性必将对完善我国审计技术方法起到积极的作用。
三、风险导向审计问题分析
按照国际内部审计师协会的建议,我国于2002年1月1日开始实施的《内部审计实务标准》将企业的内部审计工作推向了风险审计的轨道。这一系统性的改变,必将使内部审计更好地发挥作用,以满足企业经营管理的需要。我国内部审计准则的基本准则和具体准则也充分考虑了这一新动向。2004年,我国内部审计协会了《内部审计具体准则第16号――风险管理审计》的征求意见稿,对内部审计在风险管理中的应用进行了探讨。
2005年,我国内部审计协会第三批内部审计具体准则,将风险管理审计纳入内部审计准则体系中,并要求于2005年5月1日起施行。从该批准则的和实施中,足见我国的内部审计已发展到了风险导向阶段。由于我国风险导向审计尚处于起步阶段,无论是理论界还是实务界,均开始对其进行关注和探索,但尚未成熟;企业往往是按照法律法规的要求被动地进行这项工作,并非出于企业自身考虑主动进行,而且企业的这种风险管理活动往往只是采取“亡羊补牢”式的风险应对措施,显现出我国风险管理体系尚不完善;单一的内部审计人员结构导致内部审计范围过窄,审计效率低下,且难以实现对企业风险的管理、控制和治理过程,难以进行全面、综合的评价;风险管理缺乏成熟的理论指导,而落后的风险管理方法直接导致企业不能恰当地预测风险、识别风险、评估风险和应对风险,进而影响到企业目标的顺利实现;审计人员对风险管理还不甚了解,缺乏风险管理意识,尚未认识到风险管理的重要性,使审计未能在风险管理中充分发挥作用。
(一)成本与效益配比性差
会计师事务所执行风险导向审计模式后,普遍增加了审计工作量和审计成本,但审计收费却没有得到同步增加。新的审计模式扩大了注册会计师关注的范围,注册会计师在审计计划阶段和执行控制测试阶段均不同程度上增加了工作量,审计成本不可避免地有所增加。但由于现实市场竞争的激烈和行业环境的限制,实际情况是该部分成本无法转为审计收费的同步增加。
(二)识别和评估重大错报风险的程序流于形式,无法鉴别出风险点
注册会计师在识别和评估重大错报风险的过程中,由于审计人员经验不足和时间紧迫,以及会计师事务所在行业数据库建设、各种统计数据和分析报告收集方面的欠缺,导致该评估程序的执行缺乏目的性,存在为了完成审计程序而完成的现象。
(三)识别的重大错报风险无法与实质性程序相联系
由于没有建立一套科学的审计模型和规程,注册会计师在设计实质性程序时,很大部分没有确立审计目标与认定的对应关系表,没有针对评估的认定层次及重大错报风险,按照既定的审计模型和规程来设计控制测试的性质、时间和范围,在设计细节性测试时亦没有考虑样本量及选样方法的有效性。
(四)面对舞弊导致的重大错报风险程序缺乏针对性和有效性
注册会计师在实施评估和识别舞弊导致的重大错报风险程序时,很少有从舞弊的动机和压力、机会和借口入手进行评估,亦没有重点关注最容易发生舞弊的几个方面。在无法识别舞弊导致的重大错报风险的情况下,更谈不上有应对舞弊导致的重大错报风险的措施。
(五)审计发现的内控弱点可能产生的错报风险没有进行重新评估
在检查过程中,发现有部分事务所在实施控制测试中发现了一些内控弱点的情况下,没有就该内控弱点可能产生的错报风险进行重新评估。由于这些程序执行的不到位,导致本来需要特别考虑的重大错报风险没有得到充分的关注。
(六)控制测试形式化,导致无法鉴别内控弱点
在实施控制测试过程中,注册会计师大部分没有书面记录针对了解的被审计单位内部控制情况而确定的控制测试审计策略,控制测试程序在识别特征的记录、样本量的选取和测试的方法上均存在一定程度的不完善,未能就控制在相关期间或时点的运行有效性获取充分、适当的审计证据。
四、对策研究
(一)借鉴国际经验,积极开展风险导向审计准则和方法的研究
国际审计与鉴证准则委员会通过修订审计风险模型,强调从宏观上了解被审计单位及其环境。国际内部审计协会的《内部审计实务标准》,内容较为全面,自始至终都贯穿着风险审计的主导思想,可资借鉴。因此,在引入风险导向审计之前,会计师事务所的专业标准部或专业技术部首先应对新准则中风险导向准则的内容进行细致、深入的研究,制订符合准则且操作性强的风险导向审计程序,开发能正确引导注册会计师执行和判断的风险评估技术和方法。
(二)加强风险导向审计的信息系统建设,逐步建立客户分类服务体系
会计师事务所可考虑建立与客户内外经营环境尤其是与行业相关的信息数据库,为注册会计师进行被审计单位的风险评估提供及时、必要的信息,减少其收集相关信息的时间成本。同时,风险导向审计中需要实施大量分析性测试程序,事务所可开发便于各种数据加工、分析的软件,注册会计师可利用软件对数据进行快速检验、核对、计算和比较,提高审计效率。在现代风险导向审计准则下,对客户的外部环境和内部因素的分析与风险判断需要注册会计师对客户所在行业和性质有充分了解,行业分类服务越来越成为必要。随着事务所规模的不断扩大,加上现代风险导向审计带来更高的专业化要求,事务所应逐步建立客户分类服务体系,通过对客户行业和业务性质的划分,配备具有相关行业经验及同类项目经验的小组成员,并在事务所层面统一调配人力资源,为现代风险导向审计质量提供有力的保障。
(三)利用客户持续跟踪制度降低风险
在新审计准则实施以前,国内大部分会计师事务所对审计业务的实施往往仅集中在审计报告出具之前的一到三个月,审计业务一结束,即很少继续关注客户及其环境的变化,直到下一次审计业务开始。在新准则风险导向审计方法下,重大错报风险的评估工作均需在审计期间完成,时间和人员方面的压力通常会影响风险导向审计的质量。因此,会计师事务所必须在一次审计业务结束后持续跟踪了解客户所在行业和经营形势的变化,与管理层建立坦诚的日常沟通和联系,及时防范风险。对特别复杂的审计项目,最好在一次审计业务结束后即开始下一次连续审计的预审,其作用不言而喻。
(四)改进审计人员的专业知识结构,培养审计人员的职业素养,提高职业判断力
现有审计人员专业结构不合理,基本上都是财会专业,在经营管理方面有所欠缺,无法适应现代审计发展的要求。应结合企业生产技术的特点,增加具备经济学和企业管理学知识的专家以及其他专业人员,包括项目控制专家、风险管理专家、公司治理专家和信息系统专家,以组成有各方面综合能力的审计项目组,逐步改善审计队伍的专业结构,使审计人员的专业结构趋向合理。在现代风险导向审计程序下,注册会计师不仅应具备足够的会计审计知识,还需具备被审计单位行业状况、法律与监管环境、财务业绩的衡量和评价、经营目标和战略及其相关经营风险和内部控制等方面的知识结构。因此,必须对员工现有的知识体系进行全面提升和拓展。
(五)加强注册会计师的职业道德教育
风险导向审计准则在很多方面都需要注册会计师的专业判断。注册会计师除了具备判断所需的专业知识外,其是否在执业过程中坚持勤勉尽责、保持合理的职业怀疑态度和应有的关注,对风险导向审计的效果至关重要。会计师事务所应加强对注册会计师的职业道德教育,要求注册会计师坚持职业道德规范,维护社会公众利益。
(六)会计师事务所应建立审计资料库,尽可能地借助专家的工作
国际“四大”会计师事务所都有较完善的资料库,并聘有很多行业专家。在了解客户控制环境时,审计人员可以很方便地查找相应的资料,以判断客户经营情况是否合理;在缺乏相关资料的情况下,则较多地利用专家的工作。而我国会计师事务所目前普遍缺乏资料库,审计人员无法判断企业经营的合理性,以致于中天勤的审计人员无法判断银广厦的二氧化碳项目的利润情况。而且,我国准则中虽然规定了利用专家的工作,但审计实务却很少采用。因此,我国会计师事务所应尽快建立自己的资料库,并在需要时利用专家的工作。
(七)继续推行法律体系的演进与变革,完善准则体系
必须建立起一套完备、健全的法律规范体系,法令的制度与配合必然更能带动一种新方法的运作和发展,对于风险导向审计也是如此。因此,完善我国现有的法律制度环境,是推行风险导向审计的必要前提。
五、结语
现代风险导向审计符合现代审计目标多样化的要求,缩小了审计期望差距,突破了会计信息系统的局限,风险导向的思想体现了审计活动目的与手段的统一,制度层面与技术层面的统一。从西方发达国家审计职业的发展规律看,经济发展要求审计职业同步发展。审计会促进经济的发展,经济发达的地区,势必对审计业务需求旺盛,因而注册会计师的经济与法律责任随之增加,职业风险加大,客观上有开展风险导向审计的基础。市场经济和经济全球化趋势使企业的经营环境越来越难以预测,面临的不确定性与多变性大为增加,经营风险相应增大。市场经济的高度不确定性使人们对审计的期望值不断提高,而风险导向审计正好适应了公众对审计期望值不断提高的要求。风险导向审计在我国仍处于起步阶段,风险管理又迫切需要内部审计的参与,因此,完善我国内部审计、积极推进内部审计在风险管理中的应用,已成为我国内部审计发展的重要课题。
【主要参考文献】
[1]吴水澎,陈汉文,邵贤弟.论改进我国企业内部控制――由“亚细亚”失败引发的思考[J].会计研究,2000,(9).
[2]薛祖云.会计信息市场与信息管制[m].广州:暨南大学出版社,2002.
[3]陈少华.内部会计控制[m].厦门:厦门大学出版社,2004.
[4]王光远.制度基础审计学:审计测试、审计风险、审计决策[m].湖北科学技术出版社,1992.
[5]陈汉文.审计[m].厦门:厦门大学出版社,2004.
[6]刘金星.我国经济责任审计问题评析与对策研究[J].中国审计,2007,(8).
[7]陈毓圭.对风险导向审计方法的由来及其发展的认识[J].会计研究,2004,(2).
[8]刘峰,许菲.风险导向型审计・法律风险・审计质量――兼论“五大”在我国审计市场的行为[J].会计研究,2002,(2).
[9]张连起.风险导向审计:避免审计失败的利器――兼评“银广厦”事件[J].中国注册会计师,2001,(10).
[10]谢荣.现代风险导向审计基本内涵分析[J].审计研究,2004,(5).
[11]中国内部审计协会.内部审计理论与实务[m].北京:中国石化出版社,2004.
[12]严晖.风险导向内部审计:背景分析与框架建构[J].财会通讯(学术版),2004,(6).
[13]罗伯特・莫勒尔,布林克.现代内部审计学[m].北京:中国时代出版社,2006.
[14]张龙平.更新审计执业理念推行风险导向审计[J].中国注册会计师,2006,(3).
[15]秦荣生.审计风险与风险导向审计[J].当代财经,2003,(7).
[16]陈锦烽,苏淑美.内部审计新纪元[m].大连:大连出版社,2006.
[17]柴童,黄国成.风险导向审计及在我国的运用[n].中国财经报,2007-8-10.
风险和审计的关系篇9
在意大利上市的前100家大型企业运用风险导向审计的状况进行了调查,结果表明:有25%的企业未采用风险导向审计方法;有67%的企业只在年度审计计划编制过程中采用了风险导向审计方法;只有8%的企业在年度审计计划编制过程和具体审计项目的实施过程中都采用了风险导向审计方法。可见,风险导向审计并未在具体审计项目实施过程中得到广泛运用。而在理论研究方面,有关风险导向审计的研究也多停留在介绍基本概念、分析其必要性上,虽然提出了一些推广运用的设想,但多数较为笼统,缺少实践案例,对实际操作的借鉴性不强。鉴于此,我们以科技管理审计实施为切入点,将风险导向审计理念贯穿于整个审计过程的始终,为在具体审计项目中运用风险导向审计方法开展了积极探索。
二、风险导向审计实施过程风险导向审计过程主要分为审前准备、审计实施、审计报告三个阶段。
(一)审前准备。风险导向审计的一大特点是审计重心前移,在现场审计前需充分了解被审计对象的情况,分析、评估其面临的风险,这是风险导向审计的基础和关键环节,决定了审计的成败。
1、风险识别
为了识别被审计对象科技管理方面存在的风险,我们在审前采取询问被审计对象内部相关人员、咨询其上级主管部门、收集内外部相关资料、审计组内讨论等方式,收集了被审计对象科技管理和信息系统基本情况、内部控制和风险管理状况、被检查和考核资料等相关信息,为进行风险识别准备好了数据原料。对于科技管理的风险,可从风险源、风险影响和风险行为等多个角度来分类。由于考虑到审计的目的是为了完善风险控制,因此从风险控制措施的角度来看,同一风险源可能采取多种攻击方式,不同风险源也可能产生同样的危害,不便于提出控制措施;而从风险的影响来区分较为笼统,也不便于提出有针对性的控制措施。因此在审计中,我们从风险行为的角度,将科技管理风险主要分为操作失误、滥用授权、行为抵赖、身份假冒或密码分析、黑客攻击、恶意代码和病毒、泄露信息、篡改数据、破坏系统、系统意外故障、系统环境威胁、物理攻击和管理不到位等十多类。我们以以往开展的科技管理审计获取的数据和所收集到的被审计对象科技管理情况为基础,明确科技管理的目标,分析威胁目标实现的风险,依据风险分类方式,进行风险识别。由于风险不可能穷尽,为抓住主要矛盾,仅识别较重要的风险,共识别出7类、24个风险域、49个风险点,形成了科技管理风险清单。
2、风险评估
为对已识别风险进行评估,确定每个风险点的等级,采用了风险矩阵的方式(见图1),将风险分为4个等级:风险可忽略、风险较低、较高风险、重大风险。对于风险发生的可能性和影响程度,由于目前还未能建立完备的风险监测数据库,无法准确的量化风险的发生频率和影响,因此采取的是主观估计法,在审计组内部实施头脑风暴法,由审计人员根据以往科技管理审计的实际情况和经验,对风险的可能性和影响作出判断,在风险矩阵中得出对应的风险等级。对风险影响程度的判断,主要是从风险发生后影响的范围、损失金额大小、系统重要性和业务量、系统数据安全性和保密性要求、系统持续运行要求、系统操作难度等因素来考虑。需要注意的是,这里评估的是固有风险,非剩余风险,使用固有风险是因为审计的目的就是通过检查,评估已有控制措施的效力,进而确定剩余风险,因此,审计前的风险评估应评价的是固有风险的发生可能性和影响程度。在评估固有风险后,还可根据被审计对象的控制风险进行调整。调整因素包括:距上次审计或检查的时间、上次审计或检查的结果、上次审计或检查后的整改情况。调整原则是,如果被审计对象在近2年被审计或检查过,且未发现严重问题,整改情况良好,则被审计或检查过的那部分风险点全部降一个等级。
3、建立科技管理风险评估指标体系
为更好的指导审计实施,量化风险评估结果,提高科技管理风险评估的可比性,我们还研究建立了科技管理风险评估指标体系,制作了《对××单位科技管理审计风险评估表》。在风险评估表中,围绕科技管理内控机制建设、机房与设施管理、网络管理、安全保密管理、业务应用系统运行维护管理、采购和外包服务管理、应急备份和文档管理情况等7部分科技管理主要工作,确定了每部分的工作目标,列出每部分的风险域和风险域中存在的风险点,并针对每个风险点提示了相应的控制措施,便于审计人员根据控制措施的提示对风险点进行脆弱性检测。对于指标体系中权重的设置,由于存在分类、风险域、风险点3个层次,分2种方法进行处理。对于分类和风险域这两种较为抽象的指标,运用了层次分析法。向科技人员和审计骨干们发放调查问卷,请专家们按照1-9标度法对指标的重要性作两两比较,填写判断矩阵;将结果进行汇总平均后,得到最终的判断矩阵(见表2),计算各矩阵的特征根和特征向量,并检验其一致性,再对特征向量进行归一处理后,计算得出各分类和风险域的权重。对于风险点的权重,则利用之前已确定好的风险点等级进行相应赋值,对风险可忽略、风险较低、较高风险、重大风险这4个等级的风险点分别赋值1、2、4、8,在风险域范围内进行归一后获得各风险点的基础权重,再与其对应的风险域、分类的权重相乘后,得到风险点的最终权重。为了更好的评价被审计对象的风险管理情况,我们还编写了审计方案,不仅检查科技管理内控制度的充分性,机房、网络和业务应用系统的安全性,运维、采购和安全管理的规范性,还重点关注科技风险管理的情况,检测科技风险管理的环境建设、风险评估、风险控制和监督等情况,扩展了审计范围,综合评估被审计单位科技风险管理整体状况。审计中,将《对××单位科技管理审计风险评估表》作为审计方案的重要组成部分,要求审计人员在评估表的指导下,根据各风险点的高低实施相应的检查,根据审计结果填写对风险点的控制得分。
(二)审计实施。在审计实施阶段,我们针对不同的风险点,指派特定的审计人员花费一定的审计时间,采取适当的审计程序获取一定范围内具有说服力的审计证据,检测被审计对象的风险控制情况,评价其剩余风险。由于科技管理审计中,机房、网络和业务系统等部分审计内容是高风险点集中的区域,且具有专业技术要求高的特点,因此分派具有相应技能和丰富经验的审计人员负责。审计人员根据所负责部分的风险点高低来确定其审计重点,分配工作量,以风险为导向,采取多种方法检测被审计对象对风险点的控制情况。风险导向审计的审计程序主要分为控制测试和实质性程序两类。控制测试指的是测试控制运行的有效性,包括询问、观察、检查、重新执行和穿行测试等方法。实质性程序是指针对重大、特别风险实施的更深层次的审计方法,包括细节测试和实质性分析程序。由于实质性程序多用于财务性审计,因此,主要应用了控制测试的审计程序。审计人员运用了询问、观察、问卷调查、现场检查、重新执行等方法,多角度测试被审计对象的科技风险控制运行的有效性。对于审计中检查样本抽取数量,根据风险点等级和业务频率来判断(见表3)。高风险点按上限抽取,低风险点按下限抽取。
(三)审计报告。报告阶段的主要工作是评估所获取的审计证据,编写审计报告,提出审计建议,并持续跟踪、落实审计整改情况。现场审计结束后,审计组与被审计对象就事实确认书和风险评估的最终情况进行了沟通和确认,根据反馈情况编写了审计报告。审计报告以风险为中心,全面评价被审计对象的科技风险管理情况,指出了存在的问题和风险隐患,提出改进和完善的意见建议。为了突出审计发现的高风险管理情况和问题,引起关注,我们在审计报告的开始就对被审计对象的风险管理和控制执行情况进行简短的总体评价;将发现问题按照严重程度划分为严重、较严重、一般和轻微4类,依次列出。被审计对象的风险评估最终得分直接根据审计查出问题来赋值。对严重、较严重、一般和轻微问题分别赋值100、40、20、10分,每个风险点原始分值为100,统计每个风险点发现的问题数,单个风险点的最终得分V=100-严重问题数×100-较严重问题数×40-一般问题数×20-轻微问题数×10,得分V最低为0分。风险评估最终得分为所有风险点得分的加权总和。在审计中,我们共发现11个问题,分别为7个一般问题、4个轻微问题。根据评分规则打分后,风险评估最终的得分为95.13分。为了将定量评估转换为定性评价,还建立了风险评估定级标准(见表4)。根据标准,审计组对被审计对象的科技管理情况给出了风险管理状况良好的评价。改情况,特别是要对所发现的严重、较严重问题做重点关注,注意这些重要问题是否得到了有效的控制和消除,并评估是否有新的风险和问题产生。根据被审计对象提交的整改报告和其他途径获取信息,判断是否需要开展后续审计或检查,以确认审计发现的纠正情况。
三、风险导向审计流程框架
基于此次风险导向审计实践,我们总结经验做法,提出了风险导向审计流程框架,以期对今后开展风险导向审计提供帮助。要在具体审计项目中应用风险导向审计,就应该将风险导向审计理念运用至审计计划编制到现场实施,直至审计后续的整个审计过程。在审计过程中,必须重视项目的审前调查和审计方案的编制工作,重点开展对审计对象的风险评估。审计方案的编制应与审前调查结果紧密结合,以风险评估得出的高风险领域作为审计重点,作为选择审计程序、确定审计抽样比例的依据,以提高审计工作的效率和质量。审计方案中应详细列示每一个审计要点对应的目标、风险、控制措施。同时应编制标准化检查表以规范、细化审计步骤,详细列示需要采取什么方法、访谈哪些人员、需要抽取哪些样本等,避免因审计人员经验不足或懈怠等原因而影响审计质量。在现场实施过程中,应根据新增信息不断调整风险评估结果,优化审计步骤,以修正审前调查中由于信息量不足而作出的不当估计和判断。对审计中发现的问题,也应以风险为导向,充分揭示存在的风险隐患,与被审计对象就发现问题和风险评估结果做充分的沟通确认。在审计报告中也以风险作为评价的重点,反映被审计对象的风险管理整体情况,提示风险,提出强化风险防范的建议。
四、结束语
风险和审计的关系篇10
文?i标识码:a
doi:10.19311/j.cnki.16723198.2017.09.045
1引言
随着全球经济一体化的到来,市场的竞争日益加剧,各方外部环境的不确定性导致企业面临的系统风险也在不断增加。合理保证企业健康持续发展的风险管理也应运而生。内部控制审计作为一种保障企业有效完成组织目标,落实内部控制体系的企业内在机制,其重要性不言而喻。企业为了在市场竞争中得以生存发展,开展以风险为导向的内部控制审计成为必然。内部审计自上世纪80年代开始,进入了以风险为导向的全新内审领域,其基于企业的全面风险评估报告确定审计方向和审计重点,将风险分析渗透到审计的整个流程中。将风险概念融入审计中,加速了内部审计的发展。
风险导向的内控审计体系建设已经得到西方发达国家的普遍重视和广发的发展与运用,相比较而言我国企业在这方面的建设依然处于探索阶段。我国企业虽然已经开始意识到管控风险对于企业生存发展的重要性,但就目前情况而言,大多数企业仍然只停留在事后审计,并没有针对性的存在一套行之有效的内控审计体系,同时,学术界对于内控审计的研究也没有可观的成果。因此,基于前沿的理论基础,并结合相关的具体实际工作经验,构建一套科学完整的以风险导向的内控审计体系是我国企业当前面临的重要课题。这不仅可以提升企业的价值,同时也能够推动我国内部控制审计的发展。
2内控审计体系建设的发展历程
风险导向内部审计作为近几年新发展起来的一种审计模式,已经引起了西方发达国家的普遍重视,并在现实实践当中得到广泛应用。与之相对应的审计理论体系和审计方法也得到了理论界和实务界的高度重视,引起国内外学者对风险导向审计展开了更为深入的探讨与研究。
二十世纪九十年代,iia公布的“基于风险导向的内部审计的新定义”以及“内部审计职业准则新框架”中着重突出了内部审计是通过系统规范的方法以达到完善公司的风险管理、内部控制、公司治理,进而达到实现企业价值提升的最终目标。随后,其又多次对《内部审计实务标准》的具体内容做出修订和完善,而多次修改中仍然强调风险导向的内部控制审计,这在一定程度上也奠定以风险为导向的内审基础,使得其成为了审计发展的总体趋势。
我国的内部控制体系相对于西方发达国家来说,起步略晚。王光远于1994年首次在《论管理审计概念》中建议中国审计的发展模式应该转变向以管制为导向的审计,之后,在相关文章中具体讲述了以风险为导向的审计具体发展模式,同时,也介绍了内部审计通过什么途径达到抵御企业风险的目标。
2008年,我国五部委颁布的《企业内部控制基本规范》中明确提出了对作为内部控制要素之一的风险评估的具体要求,随后也在18个与内部控制相关的应用指南中强调了应该关注风险。这也可以看出风险管理在内部控制中的核心位置。2009年,郝素利具体分析了以风险导向的内部控制审计的步骤以及方法。
直到现在,虽然有许多大型的中国企业先后实行了以风险导向的内部控制审计,但身为中国内部控制审计的未来趋势的以风险导向的内部控制审计依旧止于初步阶段,仍需要不断地成长与完善。
3关于以风险为导向的内控审计体系建设的相关构想
综上,当前企业内控审计的发展趋势是以风险为导向,我国企业逐步开展以风险为导向的内控审计体系建设以成为必然。但是,企业究竟该如何构建一个合理完善、符合企业发展现状和需求的内控审计体系?在我国还缺乏深入的探讨和研究。笔者认为,这个问题的本质涵盖了如下两层含义:一是应该构建什么样的风险导向内控审计模式,即回答以风险为导向的内控审计体系包含哪些内容;二是如何构建并持续完善以风险为导向的内控审计体系,即回答如何合理有效的发挥风险导向内控审计体系的作用,实现其企业价值。
3.1内控审计体系的基本要素和主要内容
笔者认为要推行风险导向的内控审计模式,企业首先应构建一个合理完善符合企业发展现状和需求的内控审计体系,该体系的基本内容应涵盖在风险导向的理念下内控审计的目标并与风险导向内部审计的对象相对应。笔者参考了风险导向内部审计理论方面现有的研究成果并结合个人在实务中的一些体会和相关经验,总结了风险导向内部审计框架体系内容应至少包含以下5个基本要素:战略布局、业务流程、组织结构、技术要素、人员要素。涉及的具体内容如下:
战略布局:战略布局指明确审计工作的战略定位和战略目标。战略定位即制定风险导向的内控审计工作实施的具体方案和流程。战略目标即确定风险导向的内部审计的范围、对象、职能、方式,关键在于基于风险管理对内部审计的业务范围进行重新审视和规划。
业务流程:业务流程由对现有流程进行检测和流程变革两部分构成。对现有流进行程检测主要是分析现行的审计业务的具体流程及其运行中存在哪些问题;而流程变革则在流程检测的基础上说明哪些审计业务流程需要变革及如何实现变革,从而实现整个业务流程的优化及升级。
组织结构:组织结构由对现行组织结构进行检测和组织结构变革两部分构成。对现行组织结构进行检测主要是分析先行的审计组织结构及其运行中存在哪些问题;组织结构变革则主要说明审计组织结构的哪些部分需要变革及如何实现变革。
技术要素:技术要素由技术检测和技术变革两个部分构成。对企业现有技术进行检测主要是分析企业目前采用的审计方法及其中存在的重大问题;技术变革则主要说明哪些审计技术需要变革及怎样实现变革。
人员要素:人员要素由对现有的人员构成进行检测和人员变革两部分构成。对现有人员的构成进行检测主要是分析目前的人员构成情况及其存在的问题;人员变革则主要说明审哪些人员需要变革及如何实现变革。
战略布局为整个内部审计工作指明了方向,而战略布局正是通过具体的业务流程来实现的。因此,业务流程的变革是实现战略计划的关键。首先,它进一步推动企业的组织变革,企业的组织结构是业务流程得以实施的具体环境和保障。其次,要实现业务流程的变革,就得具备相应的人员和技术。总之,体系中的5个基本要素相辅相成,互不可缺。
3.2如何有效推行风险导向的内控审计体系建设若干经验体会
3.2.1预先识别风险节点,正确把握审计方向
以往的审计项目经常会存在由于缺乏对审前的调查而出现较大盲目性的问题,事实上企业首先需根据审计工作前的相关准备工作特别是风险评估工作为基础,把握风险节点,明确审计方向,在整体审计工作计划和方案的指导下明确后续各个审计工作阶段的具体程序和步骤,从而确保审计工作的顺利实施。这就需要广泛征求意见,收集相关信息,通过各种途径预先识别审计风险,明确审计的范围,在识别主要风险后,分析形成?风险的原因,并制定具有针对性的审计工作计划和具体方案,这样才能正确把握审计的方向,合理有效利用审计资源。
3.2.2重新梳理审计流程,纵向厘清审计思路
根据制定的内部审计整体战略规划,重新梳理审计工作实施的各个流程和环节,把握审计思路。可以通过规范内部审计工作并实现精细化管理来实现这一目的。为此,还需建立与风险导向的内控审计体系相适应的一套内控审计管理制度。其中应包括具体的实施章程、相关业务准则、操作流程指引及后续的考核和归档安排等;以此来规范企业的内控审计工作,使得审计人员熟悉并掌握具体的审计操作流程,从而顺利开展相关的审计工作。
3.2.3充分借助信息系统,全面提升审计效率
随着经济社会信息化进程加快,信息系统的运用促进了审计行业与具体技术的进一步发展。现代企业和相关机构等相关业务操作的电子化和网络化,迫切需要企业完善相关的技术支撑,通过信息系统优势,提高审计工作效率,如实现对业务的在线监控,使得监控作业可以实现动态化、持续化;通过信息系统的运用还可以实现对数据的智能分析并通过事前建立的风险预警系统及时发出预警,有助于企业对相关的风险的由事中和事后控制向事前控制转变。信息系统也可以实现一些非审计现场技术方法的强化,从而提高具体的现场审计业务效率,缩短审计时间,最终实现审计成本的节约。
3.2.4详尽设计审计程序,严格确保程序到位
审计程序是否细化详尽,在很大程度上会影响内部控制审计的效果。以往的审计程序往往存在可操作性差,随意性大等问题,为了使审计程序能够更具可操作性和可检查性,企业应该详尽设计审计程序。
首先需根据审计工作前的相关准备工作,把握风险节点,明确审计方向,在整体审计工作计划和方案的指导下明确后续各个审计工作阶段的具体程序和步骤,包括确定审计抽样的数量、审计样本名称等等,同时,在具体审计工作实施的过程中要详细地记录实施过程、抽取样本情况以及相关的结论,以增强审计程序的可检查性,在一定程度上也能降低审计人员随意操作的可能性,明确相关责任归属情况,确保程序执行到位。
3.2.5合理配置人力资源,有效达成审计目标
内部审计的质量的一个重要制约因素就是审计人员的专业技能和职业判断。在选取内部审计人员时应该制定较高的准入条件和严格的选拔程序,内部审计人员应该具备一定的学历、工龄,并在某专业领域有着丰富的实战经验。与此同时企业要注重对审计人才的培养,如制定定期的培训及考核、跟组学习积累实践经验等;总之,以人为本,合理使用人力资源,全面提高审计人员的综合素质,是提升内部审计质量的根本,也是风险导向内部审计开展的条件之一。