关于审计风险评估篇1
关键词:现代风险导向审计重大错报风险评估程序方法建议
一、引言
我国在新准则中所提倡的现代风险导向审计是指注册会计师通过了解被审计单位及其环境,评估被审计单位的风险程度,确定剩余风险,执行额外审计程序,将剩余风险降低到可接受的水平。现代风险导向审计是以战略观和系统观为核心,强调以了解被审计单位的经营战略及其业务流程为起点,以识别、评估和应对会计报表重大错报风险为中心进行审计,侧重于评估财务报表重大错报风险。新的审计风险模型为:审计风险=重大错报风险×检查风险;重大错报风险是指会计报表审计前存在重大错报的可能性。重大错报风险分为两个层次:报表整体层次的重大错报风险和认定层次的重大错报风险。通过对财务报表整体层次的重大错报风险风险分析,可以在源头和宏观上分析和发现会计报表错报,从而解决高层串通舞弊、虚构交易或事项而导致财务报表存在错报的问题。认定层次的重大错报风险主要来源于经济交易事项本身的性质和复杂程度与实际不符,企业管理当局由于本身的认识和技术水平,以及由于企业管理当局局部或个别人员舞弊或造假造成的风险。
一、重大错报风险评估的意义
(一)作为现代风险导向审计重心的重大错报风险评估,通过注册会计师对财务报表整体层次和认定层次来评估重大错报风险的评估可以更好地针对评估出的财务报表层次的重大错报风险和认定层次的重大错报风险,合理运用职业判断分别确定总体应对措施和设计、实施进一步审计程序,将审计风险降至可接受的低水平。
(二)重大错报风险评估中还注重强调注册会计师评估的财务报表层次重大错报风险,以及采取的特殊的舞弊风险因素的考虑,对拟实施进一步审计程序,以及整体审计策略都具有重大影响。
(三)重大错报风险评估从战略和系统的角度全面考虑被审计及其环境,运用战略分析等先进审计技术方法,识别和评估重大错报风险,提高了审计效率,降低了审计风险。
二、重大错报风险评估的程序和方法
(一)重大错报风险评估程序
1.了解被审计单位及其情况,对客户进行战略经营分析,包括战略分析和经营流程分析,以评估战略风险和经营流程风险,战略风险和经营流程风险构成了战略经营风险。
2.了解被审计单位财务业绩的衡量和评价,以及被审计单位对会计政策的选择和运用,初步评估绩效风险。
3.经过对被审计单位经营战略、经营流程、经营绩效的分析,审计师已经对客户的内部控制有了初步的了解,运用内部控制评价法对被审计单位内部控制结构的评价而确定控制风险水平。
4.综合考虑被审计单位的战略风险、经营流程风险、绩效风险、控制风险与特殊考虑的舞弊风险,系统地评估财务报告的重大错报风险。
(二)重大错报风险评估方法
1.战略分析。注册会计师主要是通过分析外部环境中威胁客户成功执行战略,从而达到经营目标的潜在风险因素来识别战略风险的。
公司的外部环境是指那些能影响公司经营成败,但又在公司外部而非公司所能完全控制的外部因素。分析公司外部环境的目的,就是要找出外部环境是否存在为公司提供的可以加以利用的发展机会,以及外部环境对公司发展是否构成威胁。通过各个行业的外部经营风险评价标准对企业在宏观环境中的存在的潜在风险进行分析。
2.经营流程分析。注册会计师通过分析被审计单位内部环境,理解被审计单位的经营流程,识别关键经营环节,进行经营流程风险的评估。
(1)通过分析出重要的战略风险识别出关键经营环节。在战略分析后,注册会计师需要汇总已经识别出的战略风险,根据其重要程度来识别战略经营风险所指向的关键经营环节,并对所识别的关键经营环节进行分析。
(2)通过重要的交易类别和其他异常情况识别出关键经营环节。通过战略分析后,注册会计师在对被审计单位的经营管理的理解,确定对企业经营业务的重要交易类别和异常情况是否对相关会计报表及其认定的影响。根据影响的重要程度来识别被审计单位的关键经营环节。
3.内部控制评价分析。内部控制评价法是指通过对被审计单位内部控制结构的评价而确定审计风险水平的一种方法。
对内部控制的评价可以分三步进行:首先,了解企业的内部控制结构并作出相应的记录;其次,实行符合性测试,证实有关内部控制的设计和执行的效果;最后,评价内部控制的强弱,即评价控制风险。注册会计师可以通过包括询问、审阅证据、实地观察、追踪执行过程等方法,据以评估因内部控制产生的相关可能导致重大错报的控制风险。
4.舞弊风险因素分析。关注和评价舞弊风险为核心的谨慎行为构成现代审计的重要内容,它同时也体现出一种风险意识而非利益意识的现代审计策略、思维。注册会计师最大的敌人是管理层舞弊,管理层舞弊往往会绕过或逾越内部控制,所以过去的审计方法往往会导致控制风险很低而实际上审计风险很高的问题。
三、在我国实务中运用重大错报风险评估方法的建议
(一)运用重大错报风险评估方法前提条件
要对重大错报风险进行正确的评估,必须满足以下前提条件。
1.审计人员需具备较高的职业素质。正确评估重大错报风险是建立在对企业环境特别是与企业有关的环境充分了解、分析的基础上的,其对审计人员提出了较高要求,审计人员不仅需具备专业知识,掌握管理、统计等基本知识,而且应对金融、法律政治常识有所了解。
2.企业应做好财务基础工作,具备审计条件。被审计企业必须建立完整的凭证、账簿等财务核算系统和财务核算制度,做到账证一致、账表一致,使审计人员有基本的、充分的财务资料依据。
3.健全注册会计师组织管理体制,建立规范的执业竞争机制,使审计人员真正做到独立、客观、公正。这是注册会计师的灵魂,是审计工作开展的基本前提,如果无法保证,整个审计工作就会失去意义,审计人员也就无法发挥其作用。
4.良好的审计环境、健全的各项法规制度、审计执业界同社会各界的良好联系与沟通、社会各界对审计工作的广泛支持,是正确处理重大错报风险的前提。审计是一项需要协同合作的工作,如果失去了社会各界的理解与支持,审计工作将难以进行,重大错报也将无从披露,审计就失去了其存在意义。
(二)运用重大错报风险评估方法的建议
1.提高和完善审计从业人员素质。应大力培养专业人才,以及提升注册会计师谨慎的执业判断能力,完善制定执业后续教育准则的具体准则,加大对注册会计师的后续教育培训,不断在后续培训中提升注册会计师在管理、统计等基本知识,以及金融、法律政治常识的综合能力。
2.完善公司治理结构。制定相关法律,完善上市公司“审计委员会”制度。对被审计单位管理当局更换会计师事务的随意性进行了约束,同时督促上市公司财务报告及相关信息的规范运作,防止注册会计师受管理人员左右,加强注册会计师在执业中独立性的监督。
3.加强立法,明确事务所及注册会计师的执业法律责任。从注册会计师担负的社会责任出发,从维护社会公众利益出发,从注册会计师行业存在的必要性出发,明确注册会计师和会计师事务所的法律责任,特别是经济责任的承担,使行业在法制的范围内良性竞争。
4.加强信息系统的建设。会计师事务所必须建立强大的信息系统,以便注册会计师在对被审计单位进行风险评估时更好地了解企业的战略、风险管理、业绩衡量等情况及环境,系统战略评估被审计单位的重大错报风险,提高审计效率,降低审计风险。
综上所述,作为现代风险导向审计重心的重大错报风险评估在审计实务中起着关键的作用,规范与使用重大错报风险评估的程序和方法可以提高审计效率,保证审计质量,促进我国注册会计师在实务中执业能力的提高。
参考文献:
[1]刘明辉.高级审计理论与实务.东北财经大学出版社,2006.
[2]卓继民.现代企业风险管理审计.上海财经大学出版社,2006.
[3]徐政旦,谢荣.审计研究前沿.上海财经大学出版社,2002.
[4]王泽霞.管理舞弊导向审计研究.机械工业出版社,2005.
[5]蔡春,赵沙.现代风险导向审计论.北京,中国时代经济出版社,2006.6.
关于审计风险评估篇2
【论文摘要】文章在分析了传统审计风险模型的缺陷的基础上,阐述了新审计风险模型的内容及优越性。最后,针对我国的实际,提出了采用新审计风险模型所面临的问题,从而为准则实施人员提供了参考。
一、传统审计风险模型的缺陷
(一)割裂了风险因素之间的关系
传统的审计风险要素就像一个层次分明的网,报表的总体错报风险通过内部控制和审计活动层层过滤,被控制在可接受的水平之下。但在实务中,审计人员很容易人为割裂两者的内在联系,而只依赖对控制风险所作的粗放型评估来直接、大致确定检查风险水平,再据此规划实质性程序的性质、时间和范围。这就导致了实务中控制测试和实质性测试的相互脱节,从而加大了审计风险。
(二)审计人员易于忽视固有风险评估
由于在假设不存在相关内部控制的条件下而去单独评估认定的固有风险有显见的难度,再加上直接假定认定的固有风险为高水平被公认为稳健的做法,这样极容易导致不少事务所及审计人员不重视对固有风险的评估,多采用将固有风险定为最高水平即100%的做法。
(三)对层舞弊甄别失败
由于实务中对固有风险的评估流于形式,审计的起点便从了解内部控制制度、评价控制风险开始。如果审计人员不把审计视角扩展到内部控制以外,就很容易受到蒙蔽和欺骗,不能发现由于内部控制失效所导致的报表存在的重大错报和舞弊行为。
(四)缺乏对财务报表的整体审计风险进行把握和控制
原风险模型侧重于认定层次的审计测试工作,对财务报表层次重大错报风险的评估和应对重视不够,进而必然会影响认定层次重大错报的检查效果。虽然该风险模型要求在评估固有风险时应当从会计报表层次和账户余额层次两个方而加以考虑,但在评估控制风险时却并不涉及报表层次,只能要求审计人员对各重要账户或交易类别的相关认定所涉及的控制风险进行评估。这种不注重从宏观层而上了解企业及其环境,而仅从较低层而上评估风险。如果不深入考虑会计报表背后的东西,就不能对会计报表项目余额得出一个合理的期望。
二、审计风险模型的改进
(一)新审计风险模型的介绍
新审计准则认为审计风险由重大错报风险和检查风险构成,它们之间的关系用模型表示为:审计风险=重大错报风险×检查风险。
重大错报风险是的存在可能是因为被审计单位的性质、行业状况、外界环境以及经营风险的影响,也可能是由于被审计单位的内部控制无法有效地防止或发现并纠正错报。影响审计风险的另一个因素是检查风险,检查风险是审计人员自身可以控制的风险,它的高低取决于审计程序设计的合理性和执行的有效性。
在审计过程中,审计人员必须了解被审计单位及其所处环境,以充分识别和评估财务报表重大错报风险,并依据重大错报风险的评估水平确定和实施进一步审计程序,以便把审计风险降低至可接受水平。全面了解审计风险模型对审计人员安排审计工作计划非常重要,审计人员可以依据审计风险模型确定被审计单位各个业务循环应收集的审计证据的数量。
(二)新审计风险模型的优越性
1.引入重大错报风险,改进审计理念
新审计风险模型体现了传统风险导向审计模式向重大错报风险导向审计模式的转变。这个转变明确了审计工作以评估财务报表重大错报风险作为起点和导向。该模型还校正了传统审计模式下以评估客户经营风险为中心的审计思想,强调应从多方面了解客户及其环境并评估重大错报风险。新审计风险准则及模型明确规定,了解客户及其环境,包括了解客户的目标、战略以及可能导致会计报表重大错报的相关经营风险,而不是了解和评估全部的经营风险。
2.以风险评估为起点,有利于的提高
新的模型要求的审计起点为风险评估程序,其次才是针对重大错报风险实施进一步审计程序(即控制测试和实质性测试)。在这一模型下,审计人员在审计的所有阶段都要实施风险评估程序,并将识别的风险与认定层次可能发生错报的领域相联系,实施更为严格的风险评估程序,而不能忽略固有风险的评估,直接将风险定为高水平。这就改善了旧审计风险模型在固有风险评估方面的缺陷,对于甄别者舞弊也具有一定的作用。
3.审计程序的设计有的放矢,提高了审计效率
新审计风险模型保证了师实施的审计程序有的放矢。新审计模型,首先要求实施风险评估程序,了解被审计单位及其,除内部环境外还包括行业状况、监管环境、企业的性质,以及目标、战略和相关经营风险等外部环境,在此基础上分别评估报表层次和认定层次来评估重大错报风险。对于报表层次的重大错报风险,应根据评估结果设定总体应对措施。对于认定层次的重大错报风险,应以此为依据确定进一步审计程序的性质、时间和范围。两方面的审计措施结合,最终将审计风险降至可接受的低水平。
4.从宏观来看:顺应国际趋势,适应国内环境
纵观整个审计准则,新审计风险模型所代表的全新的审计理念,在一般原则与责任的审计准则以及其他具体相关的审计准则中都有体现,都强调对被审计单位及其所处内外环境的了解和评价。很显然,准则框架体系全面渗透着现代风险导向审计理念,要求注册会计师将现代风险导向审计的观念贯穿于审计全过程。
三、我国运用新审计风险模型存在的困难
(一)风险评估所需数据的限制
评估被审计单位重大错报风险要求对企业的业务、状况、管理层,甚至企业所处行业整体的经营状况和市场状况等因素都要有比较清楚的了解。而我国会计师事务所大多没有方面、方面等多元化的背景,数据积累严重不足。这是我们目前实施新审计风险模型的最大障碍。
(二)会计师事务所运用这一模型进行审计的动力不足
一方面,新的审计风险模型要求审计人员在审计之前对企业各个方面进行了解,并且还需要有更多审计经验的合伙人及高级审计人员的参与,人员会比较高。另一方面,目前我国存在审计关系的失衡及审计责任的缺位,市场上仍然缺乏对高质量审计的需求。我国对审计人员的民事责任制度仍不够健全,审计人员被起诉的风险仍然较低。因此,在我国当前的执业环境下,绝大部分事务所没有动力投入巨大的成本来开展新的审计模式。
关于审计风险评估篇3
一、审计理念的变化
老审计准则遵循的是“把审计程序执行到位”的简单的审计理念。在此理念下,注册会计师往往不注重了解被审计单位及其环境,如不注重对行业状况、监管环境、内部控制、企业性质以及目标、战略和相关经营风险等情况的了解,而直接进行控制测试或实质性测试,注册会计师审计最主要的任务就是完成审计程序,不考虑或很少考虑审计风险,而且财政部门对注册会计师执业质量的行政监管检查(包括行业监管检查)关注的也是审计程序的履行情况,由此造成注册会计师只注重审计程序的履行,而忽视了对审计风险的识别、评估和应对,容易犯只见树木不见森林的错误。如果被审计单位管理当局串通舞弊或凌驾于内部控制之上,则内部控制将无法发挥作用,注册会计师也很容易受到蒙蔽和欺骗,不能发现由于内控失效而导致的财务报表重大错报风险,控制测试也将失去作用。因此,迫切需要改革审计理念,研究出更能有效识别、评估和应对财务报表重大错报风险的新的审计方法和审计流程,为此,新的审计理念应运而生。
新审计准则的最大特点就是注册会计师带来了风险导向的新的综合审计理念,该理念强调在“把审计风险控制到位”的前提下再“把审计程序执行到位”,可见,这是新准则相对于老准则最重要、最根本的变化。
为了实现“把审计风险控制到位”的审计目标,新准则明确规定了风险评估是注册会计师必须履行的审计程序,注册会计师应当针对评估的报表层的重大错报风险确定总体应对措施,针对评估的认定层的重大错报风险设计和实施进一步审计程序,以将审计风险降至可接受的低水平。在新准则下,注册会计师不可以不评估重大错报风险,也不可以简单设定固有和控制风险为最高水平就假定重大错报风险为百分之百而直接盲目实施实质性程序。因为不弄清重大错报风险可能发生在哪个方面或那些领域就实施审计程序,往往发现不了重大错报。由此可见,新准则的审计理念更为完善、科学和先进。
因此,注册会计师学习和执行新准则首要的关键问题就是树立风险导向的审计理念,在今后的每一项审计实务中都要以防范审计风险为基本职责,强化风险意识,保持职业怀疑态度,不断提高自身的职业分析和判断能力,以对重大错报风险的识别、评估和应对为审计工作的主线流程,同时还必须把应该履行的风险评估和实质性程序执行到位,只有这样才能真正理解和把握风险导向的审计理念。
但是,新审计理念的推行必须有新的审计风险模型予以支撑,为了顺利推行风险导向的新理念,新准则下的审计风险模型也随之发生了相应的变化。
二、审计风险模型的变化
从老准则的审计风险模型:“审计风险=固有风险×控制风险×检查风险”来看,老准则虽然也要求对风险进行评估,但由于该风险模型的制约及老准则本身的缺陷使得对风险的评估不是很狭隘,就是难以规范履行。如老准则要求编制审计计划时,注册会计师应评估固有风险或直接假定其为高水平,这使得很多注册会计师不评估固有风险而直接假定其为高水平,从而使得对固有风险的评估流于形式。另外,尽管老准则要求对固有风险和控制风险进行综合评估以作为评估检查风险的基础,但由于实务中对两者的内在联系往往无法把握,如果只依赖对控制风险所作的简单评估或直接假定控制风险为百分之百来大致确定检查风险再据此计划实质性程序,这样就很难合理保证财务报表不存在重大错报。正是由于这些问题,使得注册会计师在运用老审计风险模型时出现只执行准则明确规定必需履行的审计程序,特别是只把实质性测试中的细节测试执行到位即可的错误认识和片面做法。实际上,在老准则实施多年的审计实务中,注册会计师主要关心的也正是对财务报表各组成项目的细节测试,而不关心审计后能否合理保证财务报表不存在重大错报,以及控制审计风险到可接受的低水平。由此可见,尽管老准则考虑了对审计风险进行评估的问题,但注册会计师在日常审计并没有能够以对风险的评估为导向,问题就在于老准则下审计风险模型的局限性,不能有效地识别、评估和应对重大错报风险,所以老准则不能称之为风险导向审计。
新准则体系中最核心的准则是以下四个:第1101号《财务报表审计的目标和一般原则》准则、第1211号《了解被审计单位及其环境并评估重大错报风险》准则、第1231号《针对评估的重大错报风险实施的程序》准则和第1301号《审计证据》准则。这四个准则最重要的内容就是贯彻了新的审计理念,启用了“审计风险=重大错报风险×检查风险”的新的审计风险模型。新准则要求注册会计师在今后的审计实务中根据该模型来计划和执行审计程序,强调提高注册会计师发现财务报表重大错报风险的能力,强调对财务报表重大错报风险的识别、评估和应对,强调把审计风险控制到位。只有这样,才能更有利于对财务报表重大错报风险的识别、评估和应对以及对重大错报的审计效果,才能更好地实现财务报表的审计目标,更好地遵循财务报表审计的一般原则要求,为审计后的财务报表不存在重大错报提供合理保证。由此达到全面推行风险导向审计目标,实现将原审计风险模型下的“审计程序执行到位”的简单审计理念更新为新审计风险模型下的“审计风险控制到位”的综合审计理念。
因此,如果说新准则要求注册会计师树立风险导向审计理念并遵循新的审计风险模型是客观要求,那么,注册会计师就要从主观上强化防范审计风险的意识,努力提高自身对财务报表重大错报风险的识别、评估和应对能力,全面、规范履行应该履行的审计程序,并将审计风险降低至可接受的低水平。只有这样,才能真正把新的风险导向审计理念贯彻到位,把新的审计风险模型落实到位。
三、审计流程的变化
由于新准则审计风险模型的变化,又导致了对注册会计师审计流程的具体要求也发生了重要变化。
老准则下的审计风险模型把审计流程分为四部分,分别为:(1)了解被审计单位情况;(2)了解内控;(3)控制测试;(4)实质性测试。而新准则下的审计风险模型把审计流程分为三部分,分别为:(1)了解被审计单位情况及其环境(包括内部控制);(2)控制测试;(3)实质性程序。从表面上看,新准则的审计流程较旧准则少了一个,但实际上并没有减少,新准则仅是将老准则下的第(1)和第2个流程进行了合并,并统称为“风险评估程序”。另外,新准则把其第(2)和第(3)两个流程统称为“进一步审计程序”,并指出仅靠风险评估程序不足以为发表审计意见提供充分、适当的审计证据,注册会计师还应当根据对认定层次重大错报风险的评估结果,恰当选用以实质性程序为主的实质性方案或选择以控制测试与实质性程序结合使用的综合性方案。但新准则特别强调,无论选择何种方案,注册会计师都应当对所有重大的各类交易、账户余额、列报设计和实施实质性程序。由于新准则将控制测试和实质性程序统称为“进一步审计程序”,因此,新准则的审计程序从总体上也可以简单分为两大块,即“风险评估程序”和“进一步审计程序”。
另外,由于新准则将“了解被审计单位情况及其环境(包括内部控制)”和“评估重大错报风险”制定为一个准则,从而使得注册会计师更加明确了了解被审计单位情况及其环境(包括内部控制)的目的是为了对重大错报风险进行评估,而且将对被审计单位情况及其环境的了解(包括内部控制)和对重大错报风险的评估进行了有机结合。由此可见,新准则在此问题上更为科学合理,更有利于注册会计师对风险导向审计理念和新审计风险模型的理解、把握和执行。
必须注意的是,尽管新准则对审计流程的数量没有发生变化,但是,新准则对各流程的具体要求,特别是对风险评估和风险应对提出了新的更高的要求。
新准则特别强调了审计流程的重心必须前移,注册会计师必须重视计划审计工作,重视对被审计单位及其环境的了解(包括内部控制),重视对重大错报风险的识别和评估,重视针对评估出的重大错报风险实施相应和必要的审计程序。风险评估程序的主要目的是针对财务报表层次和认定层次重大错报风险的评估,是一个连续、动态地收集、更新与分析信息的过程。由此可见,风险评估不仅针对整个财务报表各层次、全方位,而且也是贯穿于整个审计过程始终的审计程序。新准则还明确规定了风险评估程序为必须履行的审计程序。
与风险评估程序不同的是,“控制测试”和“实质性程序”均是仅针对认定层次的重大错报风险,仅是在进一步审计程序中履行,但目的各有不同。“控制测试”目的在于测试内控在防止、发现和纠正认定层次重大错报方面的有效性,并据此重新评估认定层次重大错报风险,而“实质性程序”的目的在于发现认定层次重大错报风险,降低检查风险。同时,新准则还规定了“实质性程序”同样为必须履行的审计程序。但必须注意的是,如果注册会计师在审计中认为出现符合准则规定必须进行控制测试的条件或认为可以进行控制测试时,则应该进行控制测试,否则可以不履行控制测试程序。
值得注意的是,从“风险评估程序”对报表层和认定层次重大错报风险的评估,到“控制测试”测试内控在防止、发现和纠正认定层次重大错报方面的有效性,据此重新评估认定层次重大错报风险,再到“实质性程序”以发现认定层次重大错报风险降低检查风险为最终审计目的,新准则下的各大审计程序最终都将审计重点指向了“重大错报风险”,由此可见,注册会计师在今后的审计实务中一定要将对“重大错报风险”的识别、评估和应对作为审计工作的核心,只有发现认定层次重大错报风险,才能达到降低检查风险的最终审计目标,从而实现风险导向审计的初衷。
鉴于以上分析,注册会计师在今后的审计实务中务必抛弃老准则下对审计风险的狭隘和片面认识,一定要把对重大错报风险的识别、评估和应对作为审计工作的主要流程、重中之重,一定要全面、规范履行风险评估和风险应对程序。只有这样,才能切实把风险导向的审计理念落到实处,才能使新的审计风险模型在审计实务中得到充分体现,才能合理保证财务报表整体不存在重大错报。
总之,尽管新准则改进了审计理念、审计风险模型和审计流程,但新准则并没有改变对财务报表的审计目标,没有改变对注册会计师审计责任的基本定位,仅是改进了审计工作方法、工作流程和工作重心,使得新准则下的审计程序更为科学、合理和规范,更能识别、评估和应对重大错报风险,从而使得新准则在更好地指导注册会计师实现审计目标履行审计责任并服务于、服务好社会公众的同时,也能更好地保护好注册会计师自身的合法权益。但是,所有这些都给注册会计师提出了新的更高的要求,因此,注册会计师在今后的审计实务中,一定要努力提高自身的执业能力和职业素质,保持职业怀疑态度,强化对重大错报风险的防范意识,全面和规范执行新准则,认真对待每一个审计项目,认真履行好每一个审计程序,将审计风险真正降低至可接受的低水平。
关于审计风险评估篇4
关键词:人民银行;信息技术;审计;风险评估模型
一、引言
随着信息化的迅猛发展,人民银行对信息技术的依赖程度不断提高,信息技术己经成为人民银行日常运营的基础平台和金融创新的重要手段。但信息技术在迅速发展的同时,也带来了巨大的技术风险,一旦发生问题,将直接影响业务的连续性,使人民银行而临财务损失和声誉风险,甚至影响银行业的安全。因此,发现信息技术潜在的风险点,采用风险导向审计模式开展信息技术审计,一方而能够最大程度防范信息技术风险,确保各项业务安全、稳定、高效运行;另一方而能够节约审计成本,提高审计效率和质量,增加审计的组织价值。
二、央行信息技术审计现状
人民银行自2000年左右提出信息技术审计的概念,经过多年的探索与发展,由对单个重要业务系统逐渐向对机房、数据库等信息技术的核心开展审计,审计范围覆盖了网络管理与安全、操作系统和数据库管理、电子化设备管理、大小额支付系统、会计核算系统、国库系统、征信系统和反洗钱系统等业务领域,有效促进了信息系统内部控制和风险管理水平的提高。在此基础上,2009年起,人民银行开展了更具综合性的信息技术应用和系统运行管理专项审计(后称为“科技综合管理专项审计”),该项目涉及分支行科技管理的各个方而,促进了分支行科技管理水平和信息安全意识的提高。同时,在开展的过程中不断深化,融入绩效审计理念,在关注系统安全性的同时,也关注信息系统建设和运行的经济性、效率性和效果性。近两年,央行探索将信息技术审计与业务审计相结合,开展了国库会计核算业务与系统运行管理、二代支付系统等专项审计,力求从业务的角度审视技术的支持保障能力,从技术的角度评估业务的风险防控能力。近几年,传统的合规性信息技术审计所依赖的审计依据往往跟不上信息技术的发展和变化,同时也较多依赖审计人员的个人能力,审计中缺乏重点,虽然而而俱到,但审计成果琐碎平淡,缺少深度和建设性。因此,信息技术审计人员必须在审计中引入风险导向审计模式,不断地向技术的更深层而挖掘风险,不断提升审计成果的附加值和说服力。
三、央行信息技术风险评估模型构建
风险导向审计的基础是识别和评估风险,因此,开展风险导向审计首先要构建合适的风险评估模型,以实现对风险的量化分析。风险评估是指内审部门采用剩余风险评估模型,运用规范的定性、定量方法,通过风险识别、固有风险评估、控制有效性评估、剩余风险计算,确定评估对象的风险级别。
(一)风险识别
风险识别是风险评估工作的基础和关键环节,只有了解和掌握被审计业务领域存在的具体风险事件,才能进一步开展评估、实施审计。风险识别程序要求采用一种有计划的、经过深思熟虑的方法,来识别业务各个方而存在的潜在风险,并识别可能在合理的时间段内影响每项业务的较为重大的风险。信息技术风险是组织在信息处理和信息技术运用过程中产生的可能影响组织目标实现的各种不确定因素,表现形式有自然灾害、人为破坏、设备故障、内部与外部攻击、数据误用、数据丢失以及应用程序错误等。保障人民银行信息安全除了须保障物理环境、网络、主机、应用、数据等技术领域的安全之外,还涉及组织与计划、开发与采购、运维与外包以及应用控制等领域的安全控制。
(二)风险评估
风险评估就是对风险的成本、影响及发生的可能性进行评估,有效的风险管理技术一般会量化风险,运用风险评估模型,针对识别出的“风险事件清单”中的每一项风险事件,依次计算固有风险和剩余风险级别,风险的计算采用加权法,各风险级别均划分为1-4级,1级风险最低,4级风险最高。1.固有风险评估<1)风险事件固有风险评估风险事件固有风险评估是量化评估风险的起点和基础,利用德尔菲法,采用风险矩阵,从风险发生可能性和风险影响程度两个维度进行度量,将两者级别分别标注在风险矩阵的相应区域,交汇区域即为该风险事件的风险级别。风险矩阵如图1所示。<2)业务领域固有风险评估根据风险事件对应业务的业务量及工作量大小确定各风险事件权重,根据风险事件权重及风险等级计算业务领域固有风险级别。业务领域固有风险级别二e(该业务领域风险事件权重X该业务领域风险事件风险级别)一e该业务领域风险事件权重。2.内部控制有效性评估根据搜集的资料以及审计经验,从近期各类信J急技术审计、专项检查结果以及信息技术内部控制变化情况等方而,对各业务领域内部控制进行有效性评估。其中,各类审计、检查结果评定指标为检查频率、所发现问题的数量及严重程度;内部控制变化情况评定指标为问题整改情况以及内部控制变化情况。内部控制有效性越高,对应的风险级别越低,反之,风险级别越高。3.乘余风险评估根据内控有效性的风险,通过剩余风险评估模型计算各业务领域的剩余风险级别。剩余风险级别二(艺各类固有风险权重X风险级别十e各项内部控制有效性权重X风险级别)一
(三)风险管理效果评估及结果运用
根据各业务领域剩余风险级别计算剩余风险平均值,以此判断被审计单位信息技术风险控制状况,并提供合理的审计建议。同时,可参照剩余风险值,制定审计计划及频率,明确信息技术的审计重点。风险管理效果评估见表1所列。
(四)案例分析—以科技综合管理专项审计为例
在对某地市中支的科技综合管理专项审计中,笔者结合现场审计情况,运用此模型对被审计单位的信息技术风险管理情况进行评估。根据审计内容,将被审计单位科技综合管理划分成七大业务领域共33类风险事件。七大业务领域分别为内部控制、机房管理、网络管理、系统运维管理、管理、设备采购及外包服务管理,以及应急、备份和文档管理。以机房管理领域为例,共有6类风险事件,根据业务的重要程度、发生可能性以及业务量的大小,结合以往审计经验,利用德尔菲法,依次评定了各风险事件的固有风险、权重以及该业务领域的固有风险,其风险事件清单及固有风险评估见表2所列。根据现场审计情况,并调阅近期对被审计单位科技管理的各项审计、检查材料,对各业务领域的控制有效性风险级别进行评定,并计算出各业务领域的剩余风险以及科技综合管理剩余风险级别。剩余风险评估见表3所列。评估结果显示,被审计对象科技综合管理平均剩余风险级别为2.38,属于“0-2.5”层次,对照《风险管理效果评估表》,该单位的科技风险控制情况较好,可将审计频率定为5年一次,并在审计中重点关注管理、网络管理、机房管理以及设备采购和外包服务管理等风险级别较高领域。
四、建立央行信息技术风险导向审计模式
风险导向审计模式并不仅仅是风险评估,其核心在于围绕风险开展审计,下而将探讨如何围绕风险开展信息技术审计项目,将“风险引导审计,审计关注风险”的理念贯穿于信息技术审计项目的全过程。
(一)以风险为导向编制信息技术审计整体规划
这是风险导向内部审计方法在宏观层而的运用,根据风险评估的结果重新审视和规划信息技术审计的业务范围,各审计对象的审计频率以及审计方式、方法等。可通过构建信息技术风险数据库,从组织机构和业务领域两个维度记录信息技术风险评估数据,根据信息技术风险数据库“自上而下”制定信息技术审计整体规划。在构建信息技术风险数据库时,须根据业务关注度、信息资产的重要性、对信息技术的依赖程度、信息技术人员的专业胜任能力等因素对信息技术管理现状进行一次全而评估。
(二)以风险为导向编制信息技术年度审计计划
参照信息技术审计整体规划编制年度审计计划,优先对高风险领域、高风险机构实施审计。同时,应根据本年度工作重点、热点和难点以及管理层关注事项对年度审计计划作出适当调整,选择被审计对象及业务种类,梳理形成本年度信息技术审计项目清单、审计项目日程表以及审计项目所需资源等。在梳理信息技术审计项目清单时,可根据业务复杂度、业务间关联性等选择对某一个业务领域开展审计,或选择将多个业务领域组合起来开展综合性审计。
(三)以风险为导向开展审计项目
信息技术审计程序可以划分为审前准备阶段、现场实施阶段、审计报告与后续跟踪阶段,各阶段均应体现风险导向要求。在审前准备阶段,通过审前调查情况,动态调整权重和风险级别,并提前调取被审计单位内控制度、岗位分工、系统日志以及网络配置等电子版资料,对收集的资料、数据进行非现场分析,列出审计疑点和问题线索,并计算各业务领域剩余风险,根据审计风险评估结果制定实施方案。在现场实施阶段,应紧紧围绕风险实施现场审计,按照审计方案、风险事件清单,选择与风险性质和特点相适应的审计方法,对风险级别高的事件和隐患进行深入分析和排查,充分体现“风险引导审计”原则。在审计报告阶段,内审人员应以有效降低信息技术风险,保障各业务的连续性为目的,报告被审计对象信息技术问题缺陷,围绕风险深入分析问题产生的原因,从防范和化解风险的角度提出切实可行的审计建议。在后续跟踪阶段,对于审计中风险隐患较大、发生频率较高的问题应持续跟踪,并根据后续跟踪及整改情况更新信息技术风险数据库,调整信息技术审计整体规划。
五、行信息技术审计中的全方位推广奠定坚实的基础。
(二)着力培养信息技术审计与风险评估人才
在信息技术审计中运用风险导向审计方法,不仅要求审计人员具备信息技术领域的专业知识,还须具备运用风险评估技术的能力,因此,复合型人才的培养与储备是基于风险导向信息技术审计模式实施必不可少的前提条件。人民银行各级分支机构可以通过向审计部门输送新的信息技术人才、开展后续教育及培训等方式,逐步建立具有信息技术领域专业素养和风险评估技术的复合型内审人才队伍。
(三)循序渐进推行风险导向审计模式
基于风险导向的信息技术审计模式是在传统信息技术审计模式基础上发展起来的,因此,在实施新模式的同时应注重与传统模式的有机结合,注重对传统模式所取经验的吸收与利用,注重新旧审计模式的互为补充,循序渐进地推行新模式,从而更加有效地提升央行信息技术审计的质量与效率。
(四)建立风险导向信息技术审计模式运用机制
不断加大基于风险导向信息技术审计模式试点工作,加大新审计模式在实际审计项目中的运用探索,不断完善其运用流程、方法等,待时机成熟时出台相关规章制度,为新审计模式的运用提供制度保障,从而建立风险导向信息技术审计模式运用长效机制。
六、深入推进央行信息技术风险导向审计的建议
(一)尽快建立央行风险评估信息数据库
建立央行风险评估信息数据库,完整记录央行信J急技术风险评估各期数据,编制风险原因分析字典,这将有利于评估数据的采集、分析以及不同时期、不同对象风险状况之间的比对,为风险导向内部审计模式在央行信息技术审计中的全方位推广奠定坚实的基础。
(二)着力培养信息技术审计与风险评估人才
在信息技术审计中运用风险导向审计方法,不仅要求审计人员具备信息技术领域的专业知识,还须具备运用风险评估技术的能力,因此,复合型人才的培养与储备是基于风险导向信息技术审计模式实施必不可少的前提条件。人民银行各级分支机构可以通过向审计部门输送新的信息技术人才、开展后续教育及培训等方式,逐步建立具有信息技术领域专业素养和风险评估技术的复合型内审人才队伍。
(三)循序渐进推行风险导向审计模式
基于风险导向的信息技术审计模式是在传统信息技术审计模式基础上发展起来的,因此,在实施新模式的同时应注重与传统模式的有机结合,注重对传统模式所取经验的吸收与利用,注重新旧审计模式的互为补充,循序渐进地推行新模式,从而更加有效地提升央行信息技术审计的质量与效率。
(四)建立风险导向信息技术审计模式运用机制
【关键词】战略管理会计风险导向审计风险评估
一、引言
2006年2月15日财政部新的《中国注册会计师执业准则》引入了现代风险导向审计的指导思想,并对注册会计师的审计工作提出了新的要求,其中最为核心的部分是第1211号“了解被审计单位及其环境并评估重大错报风险”、第1231号“针对评估的重大错报风险实施的程序”和第1301号“审计证据”。这些准则要求注册会计师了解被审计单位及其环境以识别重大错报风险、评估重大错报风险、对这些重大错报风险加以应对,并记录于工作底稿之中。现代风险导向审计从战略的角度考虑企业的经营风险,从而确定审计重点领域,将审计资源有的放矢地分配到各个领域之中。
二、战略管理会计的特点
1、具有明显的外向性。战略管理会计跳出了单一企业这一狭小的空间范围,将视角更多地投向影响企业的外部环境。
2、更注重长期、持续的发展战略。现代企业非常重视自身健康地可持续发展。以下八个因素对企业的持续健康发展至关重要:顾客满意程度、制造优良、市场占有率、产品品质、可信赖程度、敏感性、技术领先地位、优良的财务业绩。因此,战略管理会计必须超越单一的期间界限,着重从长期竞争地位的变化中把握企业未来的发展方向,更注重企业持久优势的取得和保持,甚至不惜牺牲短期利益。所以,构成企业竞争地位的上述因素都是战略管理会计必须研究的内容,而不仅局限于优良的财务业绩这一财务指标。
3、将提供更多的与战略有关的非财务信息。企业要想获得持续的竞争优势,必须依仗众多的非财务指标。与战略有关的财务与非财务信息包括:战略财务信息和经营业绩信息、企业管理部门对上述战略财务与经营业绩信息的评价分析、前瞻性信息、背景信息、竞争对手信息。
4、是一种全面性、综合性的风险管理。战略管理会计高瞻远瞩地把握各种潜在的机会,回避可能的风险,包括从事多种经营而导致的风险、由于行业产业结构发生变化导致的风险、由于资产、客户、供应商等过分集中而产生的风险、由于流动性差导致的风险等等,以便从战略的角度最大限度地增强企业的盈利能力和价值创造能力。
5、更加注重会计信息的相关性和及时性。由于未来企业的竞争充满风险,信息使用者更关注的是企业的未来信息,因此,会计信息的相关性就成为保证会计信息质量的首要因素。同时,一系列先进管理观念和技术的广泛运用,迫切需要战略管理会计提供实时信息,而信息技术的迅猛发展则为此解决了技术上的难题。
6、对企业效益的评价发生了变化。战略管理会计对企业效益的评价将从狭隘的财务效益转向全方位的综合性效益,经营成果计算的重点将从利润计算向增值计算转变。与此相适应,对企业效益的评价应以为企业全面、长期地提高竞争力、发展能力,奠定牢固基础为基本出发点,而不应拘泥于一时的、短暂的得失,形成微观效益和宏观效益、目前效益和长远效益、经济效益和社会效益的有机统一体。同时,随着智力投资的扩大和知识创新步伐的加快,物化劳动的转移价值所占的比重越来越小,而由高智力的员工所拥有的专利权等无形资产所创造的价值增值却大幅增长,所占比重越来越大。这样,企业计算经营成果的重点应从计算利润转向计算价值增值,并通过编制专门的增值表加以系统反映。
因此,战略管理会计是以取得整体竞争优势为主要目标,以战略观念审视企业外部和内部信息,强调财务与非财务信息、数量与非数量信息并重,为企业战略及企业战术的制订、执行和考评,揭示企业在整个行业中的地位及其发展前景,建立预警分析系统,提供全面、相关和多元化信息而形成的现代管理会计与战略管理融为一体的新兴交叉学科。
三、风险导向审计的特征
1、风险导向审计的内涵。风险导向审计是指以被审计单位的风险评估为基础,综合分析影响被审计单位经济活动的各种风险因素,并根据量化的风险水平确定实施审计的范围、重点,进而进行实质性审查的一种审计方法。
2、风险导向审计的特征。由此可见,风险导向审计强调对审计全过程风险的评估与控制,同时对固有风险进行评估,这是风险导向审计的重要思想之一。评估固有风险有助于审计人员确定财务报表各部分发生错弊的可能性,从而有利于分配审计资源,提高审计效率、效果。(1)重心前移。基于客户战略系统的现代风险导向审计将审计重心从以审计测试为中心转移到以风险评估为中心。(2)风险评估重心转移。在现代风险导向审计模式下,风险评估重心由控制风险向联合风险转移。(3)风险评估方式改变。在现代风险导向审计模式下,风险评估由直接评估变为间接评估。(4)风险评估结构化。现代风险导向审计使风险分析从零散走向结构化。(5)分析性程序成为风险评估核心。(6)审计师专业知识结构改变。由于审计重心转移,风险评估采用的各种分析方法大量借鉴了战略管理会计知识,这就要求注册会计师的专业知识结构发生相应的改变,会计师事务所也应相应地融合审计和咨询两大资源。(7)审计测试程序个性化。由于现代风险导向审计测试计划基于审计师的风险评估结果,且不同的客户显然存在不同的风险,因此审计测试程序必然会“因人而异”,要采用相应个性化的审计程序。(8)审计证据范围扩大。在现代风险导向审计模式下,审计师可扩大审计取证范围,从一般员工处或供应商、销售商等获取审计证据,这是针对管理层舞弊的有效侦查措施。业内人士和专业咨询人士的意见也可作为对审计师审计专业判断的补充。(9)审计证据向外部证据转移。由于审计重心向风险评估转移,注册会计师必须充分了解客户整体战略经营环境,并由此出发评估客户的经营风险和审计风险,因此注册会计师必须从外部取得大量的外部证据来证明风险评估的恰当性。
四、战略管理会计在风险导向审计中的应用
现代风险导向审计模型中的“重大错报风险”包括财务报表整体层次和认定层次的重大错报风险。其中,前者是指财务报表整体不能反映企业经营实际状况的可能性;后者是指交易类别、账户余额、披露和相关的其他具体认定层次经济事项本身的性质和复杂程度与实际不符,由于企业管理当局本身的认识和技术水平有限以及由于企业管理当局局部或个别人员舞弊或造假造成错报的可能性。
1、通过企业环境分析评估审计风险。被审计单位内部或外部对财务业绩的衡量和评价可能对管理层产生压力,促使其采取行动改善财务业绩或纠正歪曲财务报表的行为。对企业的经营环境进行分析,了解公司的主要收入和业务的来源。注册会计师通过了解被审计单位的环境,分析企业报表项目变化的原因,判断引起这些变化的合理性。
注册会计师了解被审计单位所处行业的状况,有助于注册会计师对被审计单位形成初步的判断;注册会计师了解被审计单位法律环境和监管环境,使注册会计师掌握被审计单位受到哪些部门及相关法律法规的约束。此外,结合被审计单位自身情况,注册会计师通过职业判断也可设计其他需要了解的外部因素程序,例如宏观因素的景气度、利率的变动和资金供求情况、汇率变动等。
对被审计单位外部环境的充分了解有助于注册会计师识别审计风险。
2、通过企业的经营能力分析评估审计风险。企业的经营能力是企业的生产资料、人力、财力,技术和管理资源等基于环境约束与价值增值目标、通过配置组合与相互作用而生成的推动企业运行的物质能量。企业经营能力评估是指对企业经营能力进行系统分析,并科学、客观地作出全面评估的过程。
通过经营能力分析,注册会计师可以了解到:被审计单位是如何创造价值的;被审计单位是否已经实行了有效的经营活动来迎合经营战略;威胁到被审计单位实现战略目标的重大经营活动。
被审计单位的经营活动中那些相对重要的经营环节被称作关键经营环节。关键经营环节是审计的敏感环节,也是审计风险的重要来源。它一般具有三个特征:第一是对企业经营目标的实现至关重要,因为它们包括了被审计单位竞争优势与核心能力的业务活动;第二是经常与外部存在广泛交流,这一类型的环节一般与企业外部有重要的、规模比较大的联系,这些联系通常会产生大规模的交易并被反映在会计报表中;第三是具有较高的经营风险,它是最有可能被审计单位发生问题的地方,从而具有较高风险。因此,现代风险导向审计的顺利开展需要注册会计师对关键经营环节有深入的了解。识别关键经营环节之后,注册会计师需要收集大量的资料和信息,对关键经营环节进行评估。这些信息包括:经营环节的目标;经营环节中的业务活动;环节信息流,包括相关信息系统;经营环节的关键风险;环节风险的应对措施,比如内部控制;环节风险的防范业绩计量。
注册会计师通过了解被审计单位的经营能力,分析企业报表项目变化的原因,判断引起这些变化的可能性。
五、结束语
战略管理会计是为适应顾客需求个性化、多变化和国际经济竞争日趋激烈的新形势而形成的,它是管理会计向战略管理领域的延伸和渗透,是二十一世纪管理会计的发展主题。在新审计准则的颁布实行后,评估审计风险已成为注册会计师审计的重点,所以要求注册会计师要对企业的经营环境、内部条件、战略目标等几个角度入手对审计风险进行评估。
注册会计师在评估审计风险时应先对企业的整体风险进行评估,从多个角度进行分析,尤其应对风险较大的项目进行评估。例如对上市公司的利润分析,利润对上市公司而言至关重要,如果利润下降会直接影响股民对该公司的投资,所以注册会计师应对此进行着重分析。注册会计师还应根据企业的性质,采取不同的审计投放重点。
【参考文献】
[1]蔡春:现代风险导向审计论[m].中国时代经济出版社,2006.
跟踪审计工作究竟应该选择在建设工程实施的哪个阶段开始介入?是投资决策阶段介入,还是设计、招投标阶段介入?是在施工开始介入,还是施工完毕竣工决算前审计?相关法规没有明确规定。实践中现行跟踪审计多是在工程施工开始后介入。而不对前期决策实施审计,这样一来,工程建设前期的可行性研究、初步设计就无法有效控制,跟踪审计效果必然会受到影响;同时,由于投资项目审计是一个连续的过程,评价实际完成指标是否适当必须与前期决策指标进行比较,而此时就需要延伸考虑前期决策的估算指标是否准确,如此延伸必然会给审计人员带来审计风险。
二、风险导向审计理念的引入
现行制度基础导向的政府投资项目跟踪审计模式下,审计人员的出发点是了解与建设项目相关的内部控制制度,若内部控制存在并得到执行,则进行内部控制测试,测试结果决定了要实施的检查、盘点等审计程序的性质、时间和范围,决定了要收集审计证据的多少。此种以判断内部控制优劣来决定收集审计证据数量的审计模式,对于一个理想的不存在外部环境影响、管理层正直诚信的建设项目可以提高审计效率,保证审计质量,而建设项目的现状并非完全如此,工程建设领域面临着巨大的外部压力,管理层凌驾于内部控制之上,串通舞弊情况时有发生,尤其是关系国计民生的福利工程,社会公众关注度极高,仅通过评价内部控制来实施审计工作,必将面临巨大的审计风险。粤海铁路工程建设项目就是管理层串通舞弊、套取国有资产的典型案例,如果只关注被项目管理层精心设计好的内部控制,仅依靠评价内控制度来找问题根本无济于事。因此,对政府投资项目必须转换审计模式,贯彻风险导向审计理念,用质疑的思维方式,以“风险评估—风险识别—风险应对”为主线组织实施审计工作,在确定可接受的综合审计风险的前提下,首先从建设项目所处的外部环境及项目自身特点来评估重大错报风险,进而确定审计工作可以接受的剩余风险。政府投资项目跟踪审计采用风险导向审计理念对于解决上述困境大有裨益。风险导向理念要求审计人员以风险评估为审计起点,实施风险评估要贯穿于整个审计过程,而不是直接实施检查、询问等审计程序。通过了解建设项目及其环境,获取识别评估所需的信息,识别可能存在的重大错报风险,并区分可能是由于错误导致的还是由于舞弊导致的重大错报风险,针对舞弊导致的不同层面的重大错报风险(项目整体层面、业务流程层面)采取不同的应对措施。这种以风险导向为主线的审计思路可以及时发现建设项目中可能存在的舞弊风险,最大限度地满足社会公众对审计工作的期望,有效控制审计风险,保证审计的效果。风险导向理念下的审计,可以对列入审计计划的建设项目根据初步评估的重大错报风险进行排序,按风险因素而非主观臆断来科学决定重点审计项目,制定审计计划。在审前针对具体项目制定审计方案时,根据风险评估的结论来确定重点审计领域和关键环节,以此来决定审计人员的分派、审计时间的分配。通过对建设项目的重大错报风险分析,确定审计风险最早发生环节,确定跟踪审计介入时间,根据评估得出的风险大小来决定审计人员需要介入建设项目不同环节的程度、次数,对那些管理机制完善、内部控制较好、投资规模较小的建设项目,可以根据建设项目的特点及进展情况,选择重点环节实施跟踪审计;对那些投资规模大、建设周期长的项目,可根据项目特点和审计力量,采取一年一至两次的定期审查式跟踪。
关键词:现代风险导向审计商业银行内部审计
一、现代风险导向审计的内涵
现代风险导向审计是职业界在对传统风险导向审计改进的过程中,创造出来的一种新的审计方法。它基于战略管理理论和系统理论,以重大错报风险为导向,从审计对象的战略风险分析入手,按照“战略分析――经营环节分析――会计报表剩余风险分析”的基本思路,对可能引起审计对象重大错报的内外部风险因素进行评估,来确定审计的重点和范围,将有限的审计资源集中在高风险领域,合理配置审计资源,以提高审计效率和效果的一种审计方法。现代风险导向审计不仅仅是审计技术方法的一大变革,更是审计理念的更新。相对于传统风险导向审计,现代风险导向审计主要呈现以下优点:
1.风险评估范围扩大。现代风险导向审计对风险的评估由账户、报表的微观层次转向社会环境、行业背景、战略目标等宏观层面,注重对企业整个经营环境和经营过程的分析,将企业置于社会经济体系中,分析与其重大错报风险相关的内外部环境及其它风险因素。
2.风险评估重心发生转移。传统的风险导向审计人为将风险评估分为固有风险和控制风险评估,因固有风险不可直接评估,导致固有风险评估不到位,从而使风险评估以评估控制风险为中心。而现代管理层舞弊往往绕过或逾越内控,从而导致控制风险很低而实际审计风险很高,所以现代风险导向审计重新认识到固有风险评估的重要性,直接评估固有风险和初步控制风险的联合风险。
3.风险导向发生改变。传统的风险导向审计仍以内部控制为导向,根据内部控制测试的结果确定实质性测试的性质、时间和范围。现代风险导向审计则以企业的经营风险为导向,根据对经营风险的评估及随后各步骤的评估测试,执行相应的实质性测试。
4.充分运用分析性复核方法。风险评估的核心是分析性程序的利用,在现代风险导向审计中,审计师通过运用经营策略分析、绩效分析、财务分析等现代管理中的分析工具,使风险评估结果相互印证,帮助审计师发现重大错报的领域,减少细节测试的数量,提高审计效率。
二、现代风险导向审计是银行内部审计的必然选择
1.现代风险导向审计有利于银行风险管理
商业银行是经营货币的特殊企业,具有不稳定性、高风险性和负外部性,这种高风险特点决定了商业银行相对于其他行业对风险管理的要求更高、更严格。现代风险导向审计以“风险”为导向,以战略系统观,从微观、中观乃至宏观层面上对被审商业银行进行更加科学分析与评估,准确判断重大风险点,针对高风险点实施审计,及时有效防范各种经营风险,迎合了商业银行对风险管理的需求。
2.现代风险导向审计有助于提高银行内部审计效率
商业银行业务量大、业务环节复杂、资金往来频繁,会计资料及相关信息繁杂。所以无论是外部审计还是内部审计,审计资源的供需矛盾都比较突出。在有限的审计资源前提下,提高审计效率,保证审计质量,就成为审计部门的当务之急。在商业银行内部审计中运用现代风险导向审计,能够科学地解决业务数据“海量”的问题,它以全面评估风险为基础,经过科学分析与评估,将审计重点锁定在高风险领域,并依据风险排序合理配置审计资源,保障风险靠前的业务与区域得到优先审计,促进审计资源的有效分配和利用,提高了银行内部审计效率。
3.商业银行具备开展现代风险导向审计的基础条件
一是我国商业银行已经建立比较完整的风险评估体系,全面风险管理的理念已逐步渗透进银行企业管理文化中。经过多年的金融体制改革及发展,我国商业银行已经基本建立起覆盖各个业务系统的风险管理框架,研发了一系列风险评估指标和模型,风险管理方法及手段日益成熟,为现代风险导向审计的运用提供了理论基础;二是银行信息技术起步早发展快,完善的信息化系统与程序利于数据采集,以满足审计人员充分了解被审银行的业务操作及其内部控制等需要,为现代风险导向审计开展提供了技术基础。
三、目前我国商业银行现代风险导向内部审计应用现状
总体而言,我国商业银行现代风险导向内部审计尚处于起步阶段,尤其是实务状况与国外银行相比还存在较大差距,主要表现在以下方面:
1.风险管理体系不完善。开展现代风险导向内部审计,不仅只是引进一种新概念,还需要从组织架构、风险评估体系、人员配置、审计手段等方面需要进行革新和完善。有些商业银行虽然也是在“风险导向”下开展内部审计,但更多的只是“形似”,风险评估多采用定性分析方法,主要依靠经验判断或银行工作重点来确定风险所在,与国际先进银行运用数理统计模型、金融工程等前沿方法进行风险管理相比,我国风险管理方法较为落后。同时,审计人员的知识结构单一,财务会计人员占多数,而来自法律、管理、计算机、工程或其他专业领域的人才较少,具备“一专多能”的综合性素质的人才更少。落后的风险管理方法、难以胜任的审计人员、不健全的风险评估体系直接导致内部审计难以对银行进行全面的风险管理和内部治理。
2.审计关注的风险类型狭窄。我国商业银行目前执行的内部审计项目关注的风险基本集中在合规风险、操作风险和内部舞弊风险上,对于信用风险、国家风险和转移风险、市场风险、利率风险、流动性风险、法律风险、声誉风险等则几乎没有涉及。并且,目前商业银行的内部审计所关注的合规风险、操作风险等均为内源性风险,而对于社会信用风险、政府干预风险、利率风险等外源性风险则基本未考虑,更未对一些重要的深层次问题如战略及其管理制度、政策法规、社会环境、监督体系等方面进行研究。
3.内部审计在风险管理中未能充分发挥作用。一直以来内部审计作为监督部门主要扮演查错找弊,纠正违规的“经济警察”的角色,这种理念下的内部审计只强调其监督职能,而不注重充当内部风险管理专家,为银行的风险管理及经营决策提供咨询及建设,未充分挖掘内部审计在银行风险管理中的作用。
4.审计工具软件开发和信息库建设滞后。目前,我国大部分商业银行都具备了运用计算机及相关软件进行内部审计的条件,审计过程基本实现了电子化,但审计软件的功能尚需进一步完善,比如数据的提取和加工、风险评估、审计抽样、审计模型等方面还需继续提高使用的准确性和效率,并增加分析性复核、审计指导等功能。同时,因审计人员在风险评估阶段需要从内外部取得大量的信息,以充分了解银行整体经营环境,识别银行面临的经营风险。这就需要审计部门建立一个功能强大审计信息库,自动或人工收集全行各业务品种和作业条线的相关数据信息。而现阶段我国商业银行内部审计信息库刚建立,有的甚至还未开始,数据积累不足,信息库的建设还达不到现代风险导向内部审计的要求。
四、推进我国商业银行现代风险导向内部审计的建议
1.推广现代风险导向内部审计理念。一是银行管理高层要重视现代风险导向审计的宣传,从制度制订及财务资源上给予支持,从上到下营造现代风险导向审计应用氛围;二是各层级审计人员应勇于接收新事物,迎接新挑战,积极学习运用现代风险导向审计理念于实践,促进商业银行现代风险导向内部审计的开展。
2.加强风险评估系统建设。结合我国商业银行风险评估现状,首先,应构建全面风险评估框架,从风险识别、预警、决策、处理、监控等环节全过程对商业银行各类风险实施有效、连贯的监管。其次,可以借鉴国外银行先进方法和手段,结合我国商业银行监管指标和已有的风险评价指标,运用数理统计模型、金融工程等先进方法,构建以定量分析为主的风险识别、度量、监测的风险评估体系。最后,加强对风险评估体系的优化建设,根据实际情况适时调整相关模型、指标,保障体系结果的准确性。
3.重新定位内部审计职能。内部审计必须重新定位自己的职能,应从以监督为主向监督与服务并重方面发展。工作重点也应从传统的“查错防弊”转向为银行内部的管理、决策及效益服务,其作业范围也应扩展到银行经营管理的各个方面,使内部审计从风险管理的角度参与公司治理,从而帮助企业实现经营目标,为企业提供增值服务。
4.打造高素质的内部审计团队。第一,商业银行应当要求审计人员持证上岗,并鼓励审计人员参加注册会计师、国际注册内部审计师等各种专业资质考试,培养与国际接轨的专业人才。第二,可以采取脱岗学习、专家讲座、经验交流、到业务部门挂职锻炼等方式,针对性给予内部审计人员经济、法律、计算机等相关知识的培训,促进内部审计人员及时更新知识结构和内容。第三,商业银行还应增强内部审计力量,人员配备至少应达到员工总数的2%,并不断引进新生力量,保持队伍年轻化。
5.革新内部审计技术和方式。首先,商业银行应大力推行非现场审计和远程审计。利用计算机手段,在银行内部搭建一个完善、高效的审计信息化系统和审计操作平台,对银行各项业务实施有效监控与评价。再次,推进审计信息库建设,做好数据收集和整理工作。银行可以建立专供计算机辅助审计服务的审计数据服务器,定期从业务生产系统、管理信息系统抽取数据,自动下载到审计数据服务器中。最后,不断完善审计软件功能。银行应根据自身的特点和需要开发符合自身实际的审计软件,并在实践中不断完善软件功能,逐步增强数据分析和模型查找的精确性。
参考文献:
〔1〕蔡春,赵莎.现代风险导向审计论.北京:中国时代经济出版社,2006,37-49
〔2〕谢荣,吴建友.现代风险导向审计理论研究与实务发展.会计研究,2004,(4):47
〔3〕耿慧敏.风险导向内部审计相关理论问题.大连海事大学学报,2009,(4):73
关键词:新准则;审计风险;重大错报风险;检查风险
0引言
2010年新修订的《审计准则》将风险导向审计理念全面彻底地贯彻到整套审计准则中,进一步强化了风险导向审计思想,从风险识别、评估和应对等方面高度要求注册会计师考虑是否实施及如何实施这些程序。新准则对注册会计师进行审计风险评估与控制提出了更高的要求。
审计风险是指财务报表存在重大错报,而注册会计师发表不恰当审计意见的可能性。注册会计师对财务报告不存在重大错报提供的是合理保证,这意味着审计风险始终存在。如果注册会计师将审计风险降至可接受的低水平,则对财务报表不存在重大错报获取了合理保证。
1审计风险形成的原因
我国新审计准则的主要变化之一是采用了新的审计风险模型:
审计风险=重大错报风险×检查风险
可见,审计风险取决于两方面因素:(1)重大错报风险;(2)检查风险。从审计风险的两个要素可以看到审计风险形成的原因。
1.1重大错报风险存在的客观性
1.1.1 重大错报风险要素的客观存在性
重大错报风险是指财务报表在审计前就存在重大错报的可能性,分为基于报表层次的重大错报风险和认定层次的重大错报风险。要分析重大错报风险的形成,首先要界定其风险要素:(1)报表层次的重大错报风险主要受企业经营风险的影响,企业的经营风险受内外部经营环境的影响,或由于战略的失误,或因经营流程的错误而不可避免;财务上有意无意的错报漏报增加了会计风险。(2)认定层次的重大错报风险包括固有风险和控制风险,企业内部控制设计的合理与执行的有效与否决定了控制风险的高低。这些都决定了重大错报风险的可能性。
1.1.2 财务报表编制不具合法性、公允性
如果被审计单位对会计估计的判断及对会计政策的选择和运用不符合适用的会计准则和相关会计制度,或是会计人员的舞弊行为,都容易致使报表出现重大差错。如果注册会计师通过测试未能发现这些差错,就形成审计风险了。
1.1.3 被审计单位管理当局的舞弊行为
管理当局出于经济或其他目的,同时由于企业财务业绩的衡量和评价对管理层带来的压力,可能导致其进行财务舞弊,通过各种手段粉饰财务报表,而且手段越来越隐蔽、高明,如果注册会计师没有识别出这种舞弊行为,报表信息使用者就会追究注册会计师责任,因此,被审计单位管理当局的舞弊行为成为审计风险的重要根源。
1.2检查风险的不可避免性
检查风险是指如果存在某一错报,该错报单独或连同其他错报可能是重大的,注册会计师为将审计风险降至可接受的低水平而实施程序后没有发现这种错报的风险。检查风险取决于注册会计师的专业胜任能力和职业道德遵循情况。专业胜任能力的影响因素主要有:注册会计师应具备的专业知识不足;职业判断失误;执业经验不足等。影响职业道德遵循的因素主要有:注册会计师没有保持独立性,缺乏应有的执业谨慎,责任心不强;承接不能胜任的工作等。此外,如果会计师事务所的审计质量控制存在问题,也会增加注册会计师的检查风险。并且,由于采用抽样审计技术,检查风险通常无法降至零。
从以上两个审计风险要素及成因可知,审计风险的评估与控制也应从这两方面着手。由于重大错报风险是由被审计单位形成的,注册会计师只能对其进行识别评估而无法进行控制,再根据重大错报风险的评估水平来确定检查风险并进行控制。
2重大错报风险的评估
对于重大错报风险的评估,审计人员要作出审计判断首先要识别相关风险,然后评估重大错报风险并采取应对程序。在识别和评估重大错报风险时,注册会计师应该考虑被审计单位的战略目标及相关的经营风险等重要因素。
2.1重大错报风险影响因素的考虑
2.1.1 识别和评估经营风险
经营风险,是指对被审计单位实现目标和实施战略的能力可能造成不利影响的重要状况、事项、情况、作为或不作为而导致的风险,或由于制定不恰当的目标和战略而导致的风险,包括战略风险和经营流程风险。
1)战略风险的识别与评估
注册会计师接受委托后的第一阶段就要了解企业的战略目标。注册会计师要了解行业状况、法律环境与监管环境,以及其他外部因素,并通过分析外部环境中影响企业有效执行战略的潜在风险因素来识别战略风险。在识别战略风险后,注册会计师可以通过询问、观察和检查等方法了解被审计单位有无相应的风险管理措施及执行的有效性,以此来判断战略风险。
2)关键经营流程风险的确定
注册会计师在确定战略风险后,应判断其重要性,如果是重要的,那么它所指向的经营流程也是重要的;另一方面也可以通过重要交易类别识别出关键经营流程,也即先确定企业经营中的重要交易类别,再判断其对会计报表的影响是否重要,如重要则说明这一重要交易类别所处的流程为关键流程。然后从流程目标、投入、作业、交易类型等方面对企业所依赖的关键经营流程进行了解分析,以此评价流程风险。
2.1.2 评估控制风险和固有风险
注册会计师应通过职业判断确定哪些内部控制与审计有关,审计人员可以通过询问、观察、检查、重新执行等程序对内部控制进行测试,必要时进行穿行测试,以评价这些控制设计的合理性,确定其是否得到有效执行,并以此评估控制风险。固有风险是指在考虑相关的内部控制之前,某一认定是于发生错报的可能性,它与控制风险不可分割地交织在一起,有时无法单独进行评估,可视注册会计师偏好的审计技术和方法及实务上来考虑评估方法。
2.1.3 关注特别风险
特别风险是指注册会计师识别和评估的、根据判断认为需要特别考虑的重大错报风险。主要包括:舞弊风险;与近期经济环境、会计处理方法及其他方面的重大变化有关的风险;涉及重大的关联方交易;交易的复杂程度等;涉及异常或超出正常经营过程的重大交易的风险;以及财务信息计量的主观程度,特别是计量结果涉及广泛的计量不确定性带来的风险。
2.2综合评估重大错报风险
新审计准则要求注册会计师从财务报表层次和认定层次来识别和评估重大错报风险, 为设计和实施进一步审计程序提供基础。
2.2.1 财务报表层次重大错报风险的评估
注册会计师在对重大错报风险的各要素风险进行识别和评估后,应考虑这些风险是否更广泛地与财务报表整体相关,进而潜在地影响多项认定。报表层次的重大错报风险很可能源于薄弱的控制环境,因为控制环境对报表的影响难以限于某类交易、账户余额和披露。注册会计师可以通过测算各项财务指标,包括资产负债率、流动资产比例、资产负债表各项目占总资产的比例、资产负债表各项目增长率等,以及利润表中的毛利率、其他业务收入、营业外收入、投资收益与主营业务收入的比例等,并实施分析程序,将这些指标与同行业平均指标相比较,了解其变动趋势,分析变动原因。在这个过程中,注册会计师应考虑审计项目组的胜任能力、对专家工作的利用,以及采用相应的质量控制程序。
2.2.2 基于认定层次的重大错报风险的评估
有些重大错报风险直接与特定的某类交易、账户余额和披露的认定相关,而报表层次的重大错报风险会潜在地影响多项认定,因此,要将报表层次的重大错报风险分解到账户认定层次,也就是说注册会计师对重大错报风险的评估最终都归集到认定层次。
首先,将各风险要素分配到业务循环层次,注册会计师应考虑某一风险要素如何影响客户某一个或某几个业务循环产生,影响程度怎样及发生可能性的大小;其次,分析影响该业务循环的风险因素对具体账户的影响,即将重大错报风险归结到账户和认定层次;最后,综合各单个账户可能受到的各方面风险因素的影响,从而最终确定该账户认定层次上重大错报风险。
重大错报风险是审计人员估计水平,如果通过实施进一步审计程序获取的审计证据,或获取的新信息,与注册会计师之前作出评估所依据的审计证据不一致,注册会计师应当对评估的重大错报风险水平进行修正,以此来确定检查风险,并修改原计划实施的进一步审计程序。
3检查风险的控制
从审计风险模型可以看出,检查风险与审计风险之间存在着正向关系,与重大错报风险成反向关系。由于审计业务是一项保证程度较高的业务,可接受的审计风险应当足够低,如果评估的重大错报风险较高,注册会计师就必须将检查风险控制在较低的水平,以使审计风险处于可接受的水平。所以,在既定的风险水平下,注册会计师在评估了重大错报风险水平之后,要做的就是如何控制检查风险。简言之,对检查风险的控制就是针对重大错报风险采取有效的审计程序,这贯穿于审计过程的始终。
3.1审计前的风险控制
在业务承接阶段,注册会计师要综合考虑客户各方面情况,对是否接受新客户或保持现有客户关系实施必要的程序,从而决定是否接受业务受托。这些程序包括:初步了解审计业务环境、考虑胜任能力、评价独立性、分析和评价客户风险因素。
注册会计师在接受委托并且评估重大错报风险后,在实施审计前需要做的是针对报表层次的重大错报风险采取总体应对措施:强调保持职业怀疑的必要性;审计人员安排;对业务的督导;对不可预见因素的考虑及进一步审计程序计划的修改等。总体应对措施会影响到拟实施进一步审计程序的总体方案,包括实质性方案和综合性方案,当评估的财务报表层次重大错报风险为高风险水平时,拟实施的进一步审计程序往往更倾向于实质性方案。
3.2审计实施阶段的风险控制
实施阶段的风险控制是针对认定层次重大的错报风险而采取的风险应对措施,即实施进一步审计程序,包括控制测试和实质性程序,涉及到审计程序的性质、时间和范围,其中性质是最重的。
3.2.1 控制测试的选择
控制测试不是必要的审计程序,只有认为控制设计是合理的、预期控制有运行是有效的,或仅实施实质性程序并不能够提供认定层次充分、适当的审计证据时,注册会计师才有必要实施控制测试。注册会计师可以采取询问、观察、检查和重新执行等审计程序,根据被审计单位内部控制执行的频率、运行有效性的时间长度及预期偏差等来确定控制范围,以获取控制运行有效性的审计证据。对控制有效性的信赖程度越高,注册会计师应当获取越有说服力的审计证据。注册会计师在进行控制测试时更适宜选择在期中进行,但应考虑针对期中至期末这段剩余时间获取充分、适当的审计证据。
3.2.2 实施实质性程序
实质性程序是必要的审计程序,包括细节测试和实质性分析程序。细节测试适用于对各类交易、账户余额有披露认定的测试,尤其是对存在、发生或认定的测试,而实质性分析程序更适用于在一段时间内存在可预期关系的大量交易。注册会计师应根据各类交易、账户余额和披露的性质选择实质性程序的类型,并根据评估的认定层次的重大错报风险和控制测试的结果来确定实质性程序的范围。实质性审计程序更适宜在期末或接近期末进行,如果考虑到多方面因素需在期中进行,注册会计师应权衡成本效益,并将期中实施的结论合理延伸至期末。如果拟利用以前获取的审计证据,注册会计师应当在本期实施审计程序,以确定这些审计证据是否具有持续相关性。
3.3审计报告阶段的风险控制
在完成实质性测试后,注册会计师已经掌握了较充分的审计证据。此时,注册会计师要综合考虑各风险要素,对审计证据进行整理与评价,复核审计工作底稿,汇总审计测试结果和审计差异,以此对审计风险进行最终评价,并与期望审计风险比较,以判断审计风险是否控制在可接近水平之下。如果注册会计师得出结论,审计风险处在一个可接受水平,那么则可以直接提出意见,如果注册会计师认为风险不能接受,那么他应追加实施额外的审计程序,或要求被审计单位作必要调整,以使重大错报的风险降低至可接受水平,并得出恰当的审计意见。
参考文献:
[1] 中国注册会计师协会.中国注册会计师审计准则2010[m].经济科学出版社,2010.
[2] 注册会计师协会.注册会计师考试教材[m].经济科学出版社,2012.
[3] 赵保卿.审计学[m].经济科学出版社,2007.
[4] 邹晶,方松.风险导向审计的重心:审计风险评估[J].审计月刊,2006.
[5] 李祥富.注册会计师审计风险研究[J].经济管理论坛,2005.
国际会计师联合会(iFaC)国际审计与保证准则委员会(iaaSB)的第315号国际审计准则对传统的审计风险模型进行了修改,即:审计风险=重大错报风险×检查风险。现代审计风险模型在传统审计风险模型的基础上进行了改进,形式上有所简化,但审计风险的内涵和外延却扩大了。其中,重大错报风险包括两个层次:会计报表整体层次和认定层次。这就使现代风险导向审计具有了以下特点:
1.审计重心前移,经营风险的评估是起点和重点。现代风险导向审计要求将审计重心前移至风险评估,一定要从评估企业战略经营风险入手,充分了解被审计单位的基本情况及其经营环境,注重对持续经营能力的考虑及经营风险对审计风险的影响,进而从经营风险中能更有效发现财务报表潜在的重大错报;当然,在审计过程中也应尽量严格执行所设计的审计程序,将检查风险降低到可接受水平。
2.风险评估以分析性复核为中心,分析性复核全程化和多样化。风险评估包括检查、调查、询问、穿行测试等多种审计取证手法,分析性复核的运用是现代风险导向审计的核心,并贯穿整个审计过程。为了适应分析性复核功能扩大的要求,分析性复核对象开始走向多样化,不再仅仅局限于财务数据,也包括了非财务数据。同时,充分借鉴现代管理方法,将管理方法运用到分析性程序之中。
3.审计证据重点向外部证据转移,扩大了审计证据的内涵。审计证据不仅包括各种测试获取的证据,还延伸到对被审计单位基本情况及其经营环境的取证等,并且取证重点向外部证据延伸。由于外部审计证据的可靠性大于内部审计证据,这就提高了现代风险导向审计揭露因管理舞弊所致财务报表重大错报的能力。
4.风险评估由直接评估转为间接评估,从零散走向结构化。现代风险导向审计是在战略分析的基础上,从了解和评估经营风险入手开展工作,而经营风险是通过经营分析获得,可见风险评估实际上是间接性评估。此外,以风险评估为中心的现代风险导向审计,强调的是综合风险评估,是对多方面的风险因素有机联系的分析和评估,风险评估是结构性评估。
5.内部审计人员的专业知识重心转移,由原来以会计、审计知识为重心转为以管理知识和行业知识为重心。
6.提倡两条线并行作业,即大胆应用“自上而下”与“自下而上”相结合,并大量采用战略分析和系统分析等先进工具以及技术方法。
二、风险导向审计在企业风险管理中的作用
内部审计机构和内部审计人员处于相对独立的地位,具有内在的固有功能,在评价内部控制、协助企业建立健全风险管理机制方面有诸多优势,在有效降低企业风险、增加企业价值方面发挥重要作用,具体表现在:
1.参与企业风险管理。随着对风险管理的日益关注,探讨风险导向审计与企业风险管理框架之间的联系,就成为探讨风险导向审计无法回避的理论问题之一。
2.促进内部控制。内部控制从某种程度上来说从属于风险管理,是风险管理的方式之一。在风险理念的作用下,企业内部控制已扩展为企业风险管理框架,内部控制与风险管理已趋于融合。因此,可以说对风险管理的促进作用,是建立在企业的内部控制同时得到改善和促进的基础之上的,两者是互相促进的。
3.强化和促进公司治理。公司治理的基本目标是在充分考虑利益相关者利益相对满足和大体均衡情况下,增加企业价值,从而使股东长远价值最大化。而风险导向审计的本质是确保受托责任有效履行的管理控制,它更注重与企业目标的直接关联。可见,公司治理与风险导向内部审计目标是一致的。
三、风险导向审计的主要程序
现代风险导向审计程序遵循“战略管理分析――经营环境分析――流程控制分析――经营业绩分析――剩余风险分析”的主线和“自上而下”与“自下而上”相结合的思路开展工作。基本审计程序包括风险评估、控制测试和实质性测试。
1.风险评估程序。(1)了解被审计单位及其所处环境,目的是为评估财务报表总体层次和认定层次的重大错报风险。(2)运用职业判断,确定已识别风险的层级,特别关注重大风险和特别风险,对重大错报风险进行评估。(3)结合风险识别和评估,进一步设计、细化具体审计程序。
2.控制测试。以测试内部控制在防止、发现和纠正认定层次重大错报方面的有效性,进一步评估和应对重大错报风险。
3.实质性测试。目的是发现重大错报。对各类重大事项或情况实施实质性测试以获取充分可靠的审计证据,是弥补由于审计人员业务能力缺陷和被审计单位内部控制缺失的必要程序。
四、风险导向审计在企业风险管理中的应用
风险导向审计作为一种重要的审计理念和模式,已经受到了行业内外的普遍关注。因此风险导向审计是我国审计的必然选择,是适应审计环境变化、审计准则国际协调及审计工作的客观要求。现代风险导向审计在实际运用中一般包括以下阶段:
1.准备阶段。首先是分析企业环境,既要了解被审计单位的发展战略、经营目标、经营环境、业务流程和经营风险等内部情况,又要了解与被审计单位相关的宏观经济政策、行业状况、监管环境等外部环境;其次是全面识别风险,确定审计的范围和重点;第三是编制审计计划,审计部门在识别和评估各种风险的基础上编制审计计划,根据风险程度选择审计项目和审计对象,并与审计资源相结合,既要充分有效地利用审计资源,又要量力而行。
2.实施阶段。实施阶段的主要工作一般包括风险评估、了解内部控制、复核性测试、内查外调收集证据、编写审计工作底稿等步骤。
3.报告阶段。报告阶段主要包括出具审计报告和编写审计管理建议书,审计报告撰写要立足于企业发展战略实现,以风险为中心,全面揭示已识别的风险以及问题与实现企业战略目标的相关性以及可能产生的后果,提出应对、避免、降低、保留和转换、对冲风险的审计意见和建议,必要时可出具审计管理建议书。
4.后续阶段。后续阶段的主要工作是通过持续跟踪重大错报风险,开展复审,以检大审计发现的纠正情况。这一阶段的注意力应集中在重大或潜在的错报风险是否得到控制和消除上,并检查有无新的风险因素和重大问题产生,针对剩余风险的变化情况和新识别的风险因素以及新发现的问题,提出审计意见和建议。
五、目前开展风险导向审计的现状和问题
目前我国开展风险导向审计尚处于起步阶段,虽取得了初步成效,但在全面推行风险导向审计的过程中还存在不少需要探讨和解决的问题。
1.开展风险导向审计所处环境的局限性。作为一种审计理念,风险导向审计模式无疑是更加科学的,但从整个审计行业的构成及所接业务情况来看,无论是国家审计、社会审计和内部审计,仍以账项基础审计模式和制度导向为主,主要还是开展财务收支审计、经济效益审计和经济责任审计,风险导向审计并非内部审计的主要任务。
2.开展风险导向审计缺乏产生的动因。推动审计由传统导向审计向风险导向审计发展的一个主要动因就是审计风险,特别是诉讼风险的增大。一方面,由于目前我国立法方面存在的漏洞,导致我国审计人员的法律风险偏低,审计人员对审计风险不够重视,缺乏实施风险导向审计的根本动因;另一方面,开展风险导向审计在我国缺乏必要的法律保障、成熟的理论指导和完善的风险评价体系,全面推行有一定难度。
3.审计效率的提高受制约。内部审计人员的管理知识和专业技能与企业开展的风险管理需求不匹配,导致内部审计范围过窄,审计效率低下,且难以实现对企业风险的管理、控制和公司治理过程进行全面综合的评价。
4.开展风险导向审计不能节约审计成本。
(1)由于审计证据收集的范围扩大,对内部审计人员来说花费的时间更产、技术含量更高,增加了审计人员的负担。(2)开展风险导向审计对人力资源的要求更高。作为一种新的审计模式,风险审计要求审计人员具备管理、数理统计等多方面的知识,并有搜集、整理、分析资料的能力。因此风险导向审计需要更多有经验的、高素质的审计人员参与,并对其提供相关知识的培训,这会导致人力成本增加,也会相应地增加审计的总成本。
六、全面推行风险导向审计的建议和对策
现代风险导向审计的优势是在比较理想状态下才能实现的。在我国风险导向审计引入的初期,上述存在的一些问题在某种程度上抑制了其优势的发挥,因此我们现阶段重点应做一下几项工作。具体措施包括:
1.积极开展风险导向审计准则和方法的研究。应大力开展对新准则中风险导向准则的内容进行细致、深入的研究,制订符合准则且操作性强的风险导向审计程序,开发能正确引导审计人员执行和判断的风险评估技术和方法。
2.充分考虑风险导向审计对人员配备和培训计划的影响。在现代风险导向审计程序下,审计人员不仅应具备足够的会计审计知识,还需具备被审计单位行业状况、法律与监管环境、财务业绩的衡量和评价、经营目标和战略及其相关经营风险和内部控制等方面的知识结构。所以对审计人员现有知识体系进行全面的提升和拓展是必要工作。
3.加强风险导向审计的信息系统建设。结合企业自身特点和需要建立风险数据库,做好数据积累工作,为开展风险评估和以风险为导向的内部审计提供数据支持。
4.及时转换企业内部审计人员的角色,从“警察”到“风险顾问”。内部审计人员作为风险管理顾问的新角色是有公司治理结构设计决定的,通过良好的公司治理结构设计,将内部审计人员的注意力从结果转向关键风险领域。
5.以风险为出发点,坚持全方位、全过程监督,以内部控制审计为主线,重点突出、动态跟踪,努力构建“事前参与、事中监控、事后评价”的全过程审计工作格局,真正做到风险防范。
【论文摘要】文章在分析了传统审计风险模型的缺陷的基础上,阐述了新审计风险模型的内容及优越性。最后,针对我国的实际环境,提出了采用新审计风险模型所面临的问题,从而为准则实施人员提供了参考。
一、传统审计风险模型的缺陷
(一)割裂了风险因素之间的关系
传统的审计风险要素就像一个层次分明的网,财务报表的总体错报风险通过内部控制和审计活动层层过滤,被控制在可接受的水平之下。但在实务中,审计人员很容易人为割裂两者的内在联系,而只依赖对控制风险所作的粗放型评估来直接、大致确定检查风险水平,再据此规划实质性程序的性质、时间和范围。这就导致了实务中控制测试和实质性测试的相互脱节,从而加大了审计风险。
(二)审计人员易于忽视固有风险评估
由于在假设不存在相关内部控制的条件下而去单独评估认定的固有风险有显见的难度,再加上直接假定认定的固有风险为高水平被公认为稳健的做法,这样极容易导致不少事务所及审计人员不重视对固有风险的评估,多采用将固有风险定为最高水平即100%的做法。
(三)对管理层舞弊甄别失败
由于实务中对固有风险的评估流于形式,审计的起点便从了解内部控制制度、评价控制风险开始。www.133229.Com如果审计人员不把审计视角扩展到内部控制以外,就很容易受到蒙蔽和欺骗,不能发现由于内部控制失效所导致的会计报表存在的重大错报和舞弊行为。
(四)缺乏对财务报表的整体审计风险进行把握和控制
原风险模型侧重于指导认定层次的审计测试工作,对财务报表层次重大错报风险的评估和应对重视不够,进而必然会影响认定层次重大错报的检查效果。虽然该风险模型要求在评估固有风险时应当从会计报表层次和账户余额层次两个方而加以考虑,但在评估控制风险时却并不涉及报表层次,只能要求审计人员对各重要账户或交易类别的相关认定所涉及的控制风险进行评估。这种不注重从宏观层而上了解企业及其环境,而仅从较低层而上评估风险。如果不深入考虑会计报表背后的东西,就不能对会计报表项目余额得出一个合理的期望。
二、审计风险模型的改进
(一)新审计风险模型的介绍
新审计准则认为审计风险由重大错报风险和检查风险构成,它们之间的关系用模型表示为:审计风险=重大错报风险×检查风险。
重大错报风险是的存在可能是因为被审计单位的性质、行业状况、外界环境以及经营风险的影响,也可能是由于被审计单位的内部控制无法有效地防止或发现并纠正错报。影响审计风险的另一个因素是检查风险,检查风险是审计人员自身可以控制的风险,它的高低取决于审计程序设计的合理性和执行的有效性。
在审计过程中,审计人员必须了解被审计单位及其所处环境,以充分识别和评估财务报表重大错报风险,并依据重大错报风险的评估水平确定和实施进一步审计程序,以便把审计风险降低至可接受水平。全面了解审计风险模型对审计人员安排审计工作计划非常重要,审计人员可以依据审计风险模型确定被审计单位各个业务循环应收集的审计证据的数量。
(二)新审计风险模型的优越性
1.引入重大错报风险,改进审计理念
新审计风险模型体现了传统风险导向审计模式向重大错报风险导向审计模式的转变。这个转变明确了审计工作以评估财务报表重大错报风险作为起点和导向。该模型还校正了传统审计模式下以评估客户经营风险为中心的审计思想,强调注册会计师应从多方面了解客户及其环境并评估重大错报风险。新审计风险准则及模型明确规定,了解客户及其环境,包括了解客户的目标、战略以及可能导致会计报表重大错报的相关经营风险,而不是了解和评估全部的经营风险。
2.以风险评估为审计起点,有利于审计质量的提高
新的审计风险模型要求的审计起点为风险评估程序,其次才是针对重大错报风险实施进一步审计程序(即控制测试和实质性测试)。在这一模型下,审计人员在审计的所有阶段都要实施风险评估程序,并将识别的风险与认定层次可能发生错报的领域相联系,实施更为严格的风险评估程序,而不能忽略固有风险的评估,直接将风险定为高水平。这就改善了旧审计风险模型在固有风险评估方面的缺陷,对于甄别管理者舞弊也具有一定的作用。
3.审计程序的设计有的放矢,提高了审计效率
新审计风险模型保证了注册会计师实施的审计程序有的放矢。新审计模型,首先要求实施风险评估程序,了解被审计单位及其环境,除内部环境外还包括行业状况、监管环境、企业的性质,以及目标、战略和相关经营风险等外部环境,在此基础上分别评估财务报表层次和认定层次来评估重大错报风险。对于报表层次的重大错报风险,应根据评估结果设定总体应对措施。对于认定层次的重大错报风险,应以此为依据确定进一步审计程序的性质、时间和范围。两方面的审计措施结合,最终将审计风险降至可接受的低水平。
4.从宏观来看:顺应国际趋势,适应国内环境
纵观整个审计准则,新审计风险模型所代表的全新的审计理念,在一般原则与责任的审计准则以及其他具体相关的审计准则中都有体现,都强调对被审计单位及其所处内外环境的了解和评价。很显然,准则框架体系全面渗透着现代风险导向审计理念,要求注册会计师将现代风险导向审计的观念贯穿于审计全过程。
三、我国运用新审计风险模型存在的困难
(一)风险评估所需数据的限制
评估被审计单位重大错报风险要求对企业的业务、市场状况、管理层,甚至企业所处行业整体的经营状况和市场状况等因素都要有比较清楚的了解。而我国会计师事务所大多没有经济方面、法律方面等多元化的背景,数据积累严重不足。这是我们目前实施新审计风险模型的最大障碍。
(二)会计师事务所运用这一模型进行审计的动力不足
一方面,新的审计风险模型要求审计人员在审计之前对企业各个方面进行调查了解,并且还需要有更多审计经验的合伙人及高级审计人员的参与,人员成本会比较高。另一方面,目前我国存在审计关系的失衡及审计责任的缺位,市场上仍然缺乏对高质量审计的需求。我国对审计人员的民事责任制度仍不够健全,审计人员被起诉的风险仍然较低。因此,在我国当前的执业环境下,绝大部分事务所没有动力投入巨大的成本来开展新的审计模式。
(三)审计人员的知识和经验储备不足
新审计风险模型的运用要求审计人员改变审计思路,熟悉被审计单位的行业状况,法律与监管环境,财务业绩的衡量和评价,经营目标、战略和相关经营风险,内部控制等知识,这需要审计人员扩大自己的专业知识领域,并具备很强的专业判断能力。但目前,我国审计人员总体而言综合素质不高,缺乏丰富的执业经验,职业判断能力还不是很强,而且长期以来,我国审计人员的知识背景和知识结构过于集中在会计审计方面,可能无法满足风险评估时对知识的多元化要求。
参考文献:
[1]王春华.浅析新准则下的审计风险模型.财经界(下半月刊)[j].2006,9.
[2]崔慧静.审计风险模型改进分析.财会通讯(学术版)[j].2007,4.关于审计风险评估篇5
关于审计风险评估篇6
关于审计风险评估篇7
关于审计风险评估篇8
关于审计风险评估篇9
关于审计风险评估篇10