关键词:风险导向审计;通信运营企业
中图分类号:F239文献标识码:A 文章编号:1001-828X(2011)12-0116-01
一、风险导向审计在工作中的实践运用
1.持续开展年度内部审计风险评估工作
风险评估与控制是风险导向审计的核心,公司自2007年在总部统一部署下,以风险基础战略系统审计方法(SSA)为理论指导,从战略和流程两方面进行经营风险分析和控制分析,从剩余风险对审计的影响角度着手,尝试探索开展内部审计风险评估工作。公司根据运营环境、业务特点以及识别的可审计对象,搭建并在实施基础上不断完善审计风险评估框架。2011年风险评估框架由企业文化管理、收入保障、市场推广及销售、采购及物流管理等17个机制流程共计255个风险评估点构成,涵盖公司策略管理机制、资源管理机制、核心管理流程等。
在风险评估过程中注重定性分析与定量分析相结合,把控评估质量。从战略、财务、市场、运营、合规的影响性和可能性角度客观评价固有风险;通过访谈、查阅、穿行测试、遵从性测试等方法对风险点的关键控制要素逐一落实,采用风险点责任单位自评与评估小组复评相结合方式,逐项评价公司风险控制水平。在固有风险、风险控制水平评估基础上计算剩余风险,并根据分值划分高、中、低风险。同时公司充分考虑近三年审计项目覆盖及审计结果等情况,进一步区分“重点关注”、“适当关注”“暂不关注”审计领域,实现内部审计风险评估目标,推进评估结果的应用。
2.以风险评估结果为导向,制定年度审计计划和项目审计计划
公司在审计计划编制过程中,融合企业风险与审计战略,确保审计方向和范围符合企业风险管理目标。在年度审计计划编制过程中,以企业年度风险评估结果为导向,根据量化的分析水平排定审计项目优先次序,并综合考虑监管机构、董事会、管理层和业务部门的意见和审计需求,提高审计工作效率和效果。如近两年来开展的重要营销资源审计、客户信息安全审计、IT风险审计项目等,既符合行业运营高风险领域特点,又满足了内外部的监管及审计需求;在具体项目审计计划中,使审计目的、范围、内容充分反映风险评价的结果,并考虑舞弊、严重错失、不合规、违规及其他风险存在的可能性,使项目计划内容完整、重点突出。
3.围绕关键风险点和控制点实施审计,提高审计效率
在审计调查基础上,根据对被审计单位内外部运营环境、内部控制的设计及运行情况、以及以往审计结论、审计跟进执行等情况的了解,以审计范围和审计内容为基础,关键风险点为导向进一步完善审计实施方案,其中审计程序要求科学、合理并具有可操作性,审计重点能充分体现确定的重要性水平和风险评估结果。同时,根据审计项目的性质和复杂程度确定审计人员数量和知识结构,并进行合理分工,确保审计项目顺利实施。
在审计实施过程中始终坚持目标-风险-控制的风险导向审计思路,贯穿内部控制管理理念,以分析性复核为基础,综合分析财务与非财务数据,并根据审计内容合理选用其他审计方法和审计抽样技术,确保审计质量,降低审计风险。
4.审计报告以风险评价为基础,客观反映公司运营管理状况
风险导向审计强调以了解被审计单位及其环境为起点进行审计,包括被审计单位的性质、行业状况、监管环境、目标战略、经营风险、内部控制等方面,审计业务的切入点是全局层面的重点审计领域,因此,审计报告首先对审计领域的整体风险情况进行客观评价,准确反映运营管理状况;其次,审计报告对具体审计发现问题从风险发生可能性、影响程度角度衡量风险大小,并从风险控制角度提出改进建议;再次,以风险再评估和风险控制为目标,实施后续跟进审计,协助公司管理风险,实现内部审计增值服务职能。
5.集合审计成果,搭建风险知识库
为充分利用审计成果,内审部将风险控制点、审计程序、历年审计情况及审计结果等内容集合贯通,着手搭建内部审计风险知识库,以实现风险点与审计测试、审计案例等相对应,形成结构化、系统化知识库,更好地提示审计风险,指导审计人员开展审计实务。
二、实施风险导向审计应注意的问题
风险导向审计的运用,有助于将有限的审计资源集中在高风险领域,引导企业合理配置审计资源,提高审计效率和效果。但其实施应注重适应的内外部环境,采取相应措施,防范审计风险。
首先,企业应加强内部控制执行力度,建立健全全面风险管理体系,培育全面风险管理文化和风险管理意识,营造风险导向审计实施的内部环境。
其次,内审部门要关注公司内外部环境变化、运营管理动态和经营风险变化等,不断优化调整年度风险评估范围和方法,保证评估范围的全面性以及评估结果的客观性,从而保证风险导向的准确性。
标志着适应我国市场经济发展要求,与国际惯例趋同的审计准则体系正式建立。
一、传统风险导向审计的缺陷
传统风险导向审计的审计风险包括固有风险、控制风险和检查风险。审计风险是由会计师事务所风险管理所确定的,谨慎从事的会计师事务所往往将其确定为低水平,固有风险和控制风险与企业有关,注册会计师通过了解被审计单位和控制测试,确定检查风险,设计和实施实质性程序。传统风险导向审计从理论上解决了制度基础审计方法的缺陷,要求将审计资源分配到评估固有风险、测试内部控制和实施实质性程序,使审计效率与效果有了实质性的提高,但它还不是一种新的审计基本方法,它实质上是制度基础审计方法的发展,其在理论与实务两方面都存在着固有的缺陷。
(一)从理论上分析
传统的审计风险模型其实是假设固有风险、控制风险和检查风险之间相互独立。但固有风险和控制风险都受企业内外部环境的影响,两者之间还相互影响。因此,随着企业与内外部环境联系紧密性的增强,这一假设的可靠性越来越受到质疑。并且大部分审计程序都是多重目的,都对会计报表是否有重要错报有信息含量。因此Bell等甚至质疑检查风险是否可以与固有风险和控制风险区分开来。在传统风险导向审计模型下,一些学术界和实务界人士将注册会计师发现会计报表重要错报的问题与报告会计报表重要错报的问题混为一谈。
(二)从实务上分析
传统风险导向审计忽视固有风险的评估。由于固有风险的评估主观性较强,且不容易评估,因此在编制具体审计计划时,注册会计师应当考虑固有风险的评估对各重要账户或交易类别的认定所产生的影响,或者直接假定这种认定的固有风险为高水平。在实务中,许多事务所不重视固有风险的评估,审计起点退至了解和测试内部控制。由于内部控制具有固有的局限性,因此,审计风险增大。
二、传统风险导向审计与现代风险导向审计的比较
(一)理论依据的改变
传统风险导向审计主要依据的是审计理论;而现代风险导向审计的理论依据有战略管理理论、系统理论、舞弊动因理论和审计理论。当今世界急剧变化,科学技术也是日新月异,作为其中一份子的企业的风险也是达到了前所未有的高度。因此,仅仅依靠审计理论作为指导依据是远远不够的,而现代风险导向审计理论依据范围与内涵的扩展便适应了经济技术的发展要求。
(二)审计风险模型的扩展
传统风险导向审计的风险模型:审计风险=固有风险×控制风险×检查风险。现代风险导向审计的风险模型:审计风险=重大错报风险×检查风险;重大错报风险=固有风险×控制风险;检查风险=分析程序风险×细节测试风险;因此,审计风险模型演变为审计风险=固有风险×控制风险×分析程序风险×细节测试风险。
现代风险导向审计通过修订审计风险模型,拓展审计证据的内涵,强调了解被审计单位及其环境,包括内部控制,以充分识别和评估财务报表重大错报的风险,针对评估的重大错报风险设计和实施控制测试和实质性程序。通过综合评价被审计单位的情况以及战略以确定审计测试的性质、时间和范围,审计的起点为被审计单位的情况以及战略,这样注册会计师很容易全面掌握被审计单位可能存在的重大风险,避免了只见“树木不见森林”的尴尬局面。
(三)风险评估重心的转变
传统风险导向审计的风险评估重心是控制风险,直接评估审计风险,现代风险导向审计的风险评估重心前移,从了解客户战略经营环境、评估经营风险、剩余风险入手,由控制风险向联合风险转移,从侦查管理层舞弊的角度出发,注册会计师直接评估固有风险和初步控制风险的联合风险。在传统风险导向审计的基础上大大加强了风险评估程序,真正体现了风险导向审计的理念。
(四)风险评估方法的改变
首先,现代风险导向审计对风险的评估由直接评估改为间接评估。传统风险评估直接评估重大错报的概率,也就是直接对审计风险进行评估,而现代风险导向审计不再直接对审计风险进行评估,而是从经营风险评估入手。
其次,分析性程序成为风险评估的中心。传统风险导向审计对于信息的再加工重视程度不够,分析性复核主要适用在报表分析上,现代风险评估以分析为中心,分析性复核成为最重要的程序,为了适应分析性复核功能扩大的要求,分析性复核开始走向多样化,不再是对财务数据进行分析,也对非财务数据进行分析。分析工具也充分借鉴现代管理方法,将管理方法运用到分析性程序中去,如战略分析、绩效分析、财务分析、会计分析及前景分析。将分析工具运用到风险评估中去,将使风险因素不再独立,且不再是一元评估,而是多元评估,几种方法相互印证,使风险评估的结果更加可靠。
最后,风险评估结构的转变。现代风险导向审计将战略分析引进审计,对风险的评估从零散走向结构化,风险分析结构化最大的好处:考虑了多方面的风险因素;这些因素有机联系在一起,便于综合风险评估。
(五)注册会计师专业知识重心的转移
注册会计师以会审知识为中心转向管理知识、行业知识为中心,由于审计重心转移,审计结果主要依赖风险评估,而不是审计测试,而风险评估采用的各种风险分析方法都是现代管理知识在审计中的运用,而且这种运用必须以行业知识为基础。可见,现代风险导向审计对注册会计师素质提出更高的要求,要求注册会计师必须术业有专攻,必须掌握一些常用的分析工具,并接受行业知识训练。
(六)审计测试程序的改变
传统审计程序标准化,这种标准化审计程序存在很大问题,既不能对症下药,没有贯彻风险导向审计思想;又使得注册会计师无法突破客户预先设置的障碍或防范措施。现代风险导向审计的审计测试程序个性化,克服了传统审计测试的缺陷,针对风险不同的客户、客户不同的风险领域,采用个性化的审计程序。由于现代风险导向审计测试计划是基于注册会计师的风险评估结果,且不同的客户显然存在不同的风险,因此审计测试程序必然会“因人而异”。
(七)“自上而下”与“自下而上”相结合
传统风险导向审计从控制风险评估入手,视野过于狭窄,并主要依赖实质性测试,这种自下而上的方式过于注重会计的形式。现代风险导向审计在吸收了其他审计方法的优点的同时,密切地关注企业的主要战略目标、管理层对风险的容忍程度、以及企业内部各项风险评价指标等情况,从审计风险产生的源头来识别和评价风险,先“自上而下”对报表形成预期,根据预期确定审计重点,再“自下而上”,将实际审计结果与预期相比较,对企业的情况有了更深入、全面的了解,从而能更准确分配审计资源,保证审计的质量。
(八)审计证据的变化
传统风险导向审计大多从管理层获取审计证据;在现代风险导向审计模式下,由于审计重心向风险评估转移,注册会计师必须充分了解客户整体战略经营环境,并由此出发评估客户的经营风险和审计风险,因此,必须取得大量的外部证据来证明风险评估的恰当性,外部审计证据的增加,内涵扩大,包括了解企业及其环境的证据,注册会计师可以从一般员工或供应商、销售商等获取审计证据,这是针对管理层舞弊的有效侦查措施,业内人士和专业咨询人士的意见也可以作为对注册会计师审计专业判断的补充。
由以上分析可看出,传统风险导向审计只关心注册会计师自身所面临的风险,只关心控制风险、检查风险和固有风险。现代风险导向审计则更进一步,不仅关注审计风险,还关注经营风险。为了分析被审计客户的经营风险,注册会计师必须深入被审客户,理解其运行模式,其所面临的短期以及长期经营风险,并基于此向管理层提供对影响企业经营的所有因素的独立评估报告。在传统风险导向审计中,注册会计师与被审计客户在财务报表审计过程中处于对立面,各自只是从自己的角度,提出不同的观点。而在现代风险导向审计中,注册会计师与被审计客户处于平行地位,以同一目标为导向考察企业的经营状况。
综上所述,笔者认为现代风险导向审计是审计模式发展的必然趋势,我国目前存在着诸多推行现代风险导向审计的有利因素,同时法律环境、公司治理等问题也存在着不利因素,但这些并不能因此阻碍审计模式的发展,而是需要同步完善。
参考文献:
1、郑朝晖,装广堂.审计模式发展探析[J].中国注册会计师,2004(1).
2、胡春元.风险基础审计[M].东北财经大学出版社,2000.
3、姚焕然.事务所开展风险导向审计的五个基础[J].中国注册会计师,2006(2).
4、王咏梅,吴建有.现代风险导向审计发展及运用研究[J].审计研究,2005(6).
关键词:风险导向 内部审计 应用
本论文为北京联合大学生物化学工程学院院级科研课题,课题号为:shky201014
国际内部审计师协会(IIA)于2009年1月在其修改的《国际内部审计专业实务框架》(IPPF)中指出“内部审计是一种独立、客观的确认和咨询活动,旨在增加价值和改善组织的运营。它通过应用系统的、规范的方法,评价并改善风险管理、控制和治理过程的效果,帮助组织实现其目标”。这一新定义,将内部审计赋予了“以风险为导向、以控制为主线,以增值为目的”的新内涵,也推动了风险导向内部审计进一步发展。
风险导向的内部审计是一种新型的审计模式,它自始至终都以企业风险分析评估为导向,根据量化的风险分析评估结果排定审计项目优先次序,依据风险确定审计范围与重点,对企业的风险管理、内部控制和治理程序进行评价,进而提出建设性意见和建议,协助企业管理风险,实现企业价值增值的独立、客观的签证和咨询活动。
一、风险导向审计的重要意义
在当今瞬息万变、复杂多变、信息爆炸的经济社会环境下,企业内部积极探索、有效开展风险导向审计,无论是对提升内部审计价值,还是对于企业加强风险管控和实现既定目标,都有着要意义。
(一)有利于实现内部审计摆脱生存危机,实现价值增值
我国内部审计目前大部分还停留在账项基础审计和制度基础审计模式,审计目标和范围往往不能根据经营中的主要风险和问题确定,审计结果利用价值不大,这样就无法为组织增加价值,内部审计在企业的作用和地位也不高,与此同时外部审计已将风险评估、会计咨询和管理咨询等业务纳入了工作范围,并且不断扩展服务领域,向企业提供内部审计服务。企业为了节省成本和开支,也不断削减内部审计机构,或将内部审计的业务部分或全部外包给了外部审计机构,这使得内部审计的发展和生存面临巨大危机。而通过风险导向审计的有效开展,可以为企业提供确认和咨询服务,变企业的“卫士”、“医生”为“谋士”,为企业提供有价值的服务,帮助企业实现目标,因此,只有开展风险导向审计才能有效摆脱内部审计生存危机。
(二)有利于审计资源合理配置,提高审计效率、质量、规避审计风险
风险导向审计始终以企业风险分析评估为导向,采用科学的、系统的、规范的、量化的方法进行风险分析、评估,能够更加准确地判断分析重大风险点和风险领域,从而更加科学地确定审计重点,合理配置审计资源,降低审计成本,防范审计风险,提高审计效率和效果。
(三)有利于审计观念的转变,促进审计人员提高业务素质
风险导向审计是基于战略系统观,从微观、中观乃至宏观层面上对被审计对象的重大错报进行评估,克服了传统审计缺乏全面性分析而导致审计风险的缺点,它不仅仅是审计技术方法,审计程序上的一大变革,更重要的是审计理念的更新,是一种基于战略系统观的审计新理念。另外,风险导向审计方法对审计人员的素质要求较高,审计人员不仅要具备财务、审计等专业方面的知识,而且还要懂得法律、金融、科学技术、计算机等相关学科的知识,这对审计人员自身的素质提出了的更高要求,审计人员必须强化学习、提升技能才能适应工作要求,提高专业胜任能力。
二、我国现阶段风险导向审计在内部审计中的应用现状和存在的主要问题
现阶段我国风险导向审计,尤其是风险导向内部审计还处于理论研究和实务探索阶段,相关法律法规还不健全,在具体应用中,还存在实务指南缺乏、被审计对象信息库建设滞后、评估工具缺乏、审计手段、审计人员素质能力亟待提高等诸多问题。
(一)应用现状
1.开展风险导向审计的制度依据。美国注册会计师协会先后颁布了《财务报表审计中对舞弊的考虑》等相关法规、制度,特别是美国安然、世通案件爆发后,随着《萨班斯法案》的实施,更加强化了审计师在报表审计中考虑重大舞弊的的责任,迫使审计工作人员更加注重对企业风险的关注,促进了风险导向审计的深入开展。我国的《内部审计实务标准》和《内部审具体准则第16号-风险管理审计》,将企业的内部审计工作导向了风险审计的轨道。
2.开展风险导向审计的实践情况。我国风险导向审计开展较晚,风险导向审计在内部审计中的实践、应用则更晚,目前大多还停留在理论探索研究阶段,真正有效开展内部风险导向审计的还比较少。虽然目前内部审计人员在具体审计过程中对风险给予了一定关注,进行了一定程度的探索,但对如何看待风险、如何分析风险、如何评估风险、如何运用风险评估结果还缺乏系统的培训,对风险识别、风险评估、风险应对等方法还缺乏有效的掌握,这些难免造成内部审计往往是更多地关注被审计单位的财务风险,而忽视其他风险,易导致审计资源配置不够合理,审计质量不高,审计风险较大。
(二)现阶段开展风险导向内部审计存在的主要问题
1.理论及实务体系还有待进一步健全、完善。目前国际上对风险管理框架研究较多,也公布了相关标准,如IIA《内部审计实务标准》和COSO《企业风险管理-整合框架》都提出了风险管理的理论框架,但风险导向审计自身的理论体系、实务标准还有待健全、完善和统一。而具体到我国,则更加亟待建立相关的理论体系,以指导审计实践;更加亟待建立相关的实务标准,以规范审计实践。
2.风险评估工具缺乏。风险导向审计的关键是风险评估,风险评估的关键是风险评估方法(工具)的选择,目前,国际上对风险导向审计程序和审计方法进行了有效探索和实践。但真正完整、形成体系并行之有效的审计模式还有待建立和完善,反观国内,针对风险导向审计还制定出完整的、体系化的审计指引、审计程序和方法,风险评估技术方法和审计经验都亟待积累。
3.信息库建设滞后
在风险导向审计中,审计人员需要大量的信息来充分了 解被审计对象的整体经营环境、经营环境、财务状况和人力构成等,才能针对风险不同的被审计对象、不同的风险领域和不同的风险分布,合理配置审计资源、设计不同的审计程序,采取不同的审计方法。由此,只有建立强大的面向不同审计对象、不同业务领域的信息数据库,才能满足审计人员了解企业战略、不同审计对象的经营策略、评估经营风险和进行有效业绩衡量的需要,从而降低审计风险,提高审计效率和效果。而目前我国内部审计在信息数据库的建设方面还远远达不到现代风险导向的要求,我们面临着系统亟待建立、数据亟待积累的局面,从而影响审计人员对被审计对象整体风险的分析判断。
4.内部审计人员结构、知识结构和职业素养尚不能满足要求
风险导向审计是比较先进的审计模式,审计人员需要运用各种方法进行风险识别、风险评估和风险控制等活动,这需要内部审计人员不但要精通财务、经济、法律法规等方面的知识,而且要掌握定量分析方法和计算机审计技术,同时还要了解所在企业的生产经营和业务流程等相关知识,但目前内部审计队伍普遍存在人员结构单一,基本为财务、审计等相关背景的人员,知识结构不合理,尤其是风险管理知识比较匮乏等不足。目前内部审计这样的人员结构和知识机构,从事财务收支审计、经济责任审计尚能应付,但要从事风险导向内部审计,则明显不能适应。
三、风险导向审计如何有效应用的解决建议
(一)完善制度基础、健全审计规范。中国内部审计协会在风险导向审计研究方面虽然做了大量工作,但还应积极行业主导作用,积极整合相关专家、理论工作者、审计实践工作者等资源,结合我国国情和企业实际状况,借鉴国际先进经验、方法和理论体系,逐步形成既有中国特色又与国际接轨的的审计理论体系。
(二)探索、完善风险评估方法。风险导向审计主要以风险评估为主,改变了传统控制(制度)基础审计以内控测试为主的方法,风险评估方法是一种系统的、科学的和可量化的方法,风险导向审计从风险评估开始,形成了风险评估、确定审计范围、制定审计计划、执行审计计划、审计结果与报告、跟踪监督缺陷整改、开始新的风险评估这样一个闭环,可见风险方法是否得当将会直接影响其他审计要素,进而影响整个审计工作的效率、效果和质量。目前比较常用的风险评估方法主要是风险热图法,主要利用衡量风险的两个纬度,即影响程度(风险发生对企业目标时的影响)和风险发生的概率(风险发生的可能性),将两个纬度绘制在同一个坐标系内,此种方法简单明了的显现了风险评估结果,此外还可以运用蒙特卡罗法、关键风险指标管理法、压力测试法、等,方法的选用不是一成不变的,需要在实践中加以运用和多种方法的灵活组合,上述方法的选用都要考虑企业的风险偏好和风险承受度。
(三)建立互通、互动、互联的信息数据库,提升审计人员素质和能力。企业应建立内部审计部门与财务、业务、风险控制等部门互通、互动、互联的功能强大的数据库,建立被审计单位档案,对审计人员在审计过程中需要的各方面知识以及有关被审计对象的各项资料进行整理和归纳,并及时更新数据库,为审计人员提供强大的数据支持,以满足审计人员在审计过程中及时了解被审计对象的经营策略、业务流程、风险评估、考核办法和财务数据等方面的需要。此外,风险导向审计需要审计人员具有更加宏观的视野、发现问题、分析问题和解决问题的能力,这些都需要对现有审计人员进行系统培训,更新观念,提升能力,在解决人员存量的同时,也要注重通过人员增量来调整存量,改善审计人员人才结构,积极引进内控、风险管理、计算机、法律等专业人才,促进人才结构多元化发展。
参考文献:
[1]国际内部审计师协会.国际内部审计专业实务框架,2009
[2]中国石化集团公司审计局广州分局课题组.风险导向审计的难点及解决措施.中国内部审计,2011
关键词:内部审计;风险导向内部审计;风险管理
内部审计作为重要的管理工具,一直是企业内部监督的重要组成部分。随着经济全球化和市场竞争多元化的不断深入,企业所面临的风险日趋复杂。尤其是对于大型企业集团而言,风险规模已经远远超出管理层能够直接管控的范围。为此,企业开始日益重视风险管理工作,积极建立内部控制体系,提高企业风险管控能力。在此趋势下,风险导向内部审计应运而生,并较好的适应了管理层的风险管理需要。
一、风险导向内部审计的概念与基本特点
按照国际内部审计师协会(IIA)对内部审计的定义,内部审计是“一种独立、客观的保证和咨询活动,其目的是在于为组织增加价值并提高组织的运作效率。它采取系统化和规范化的方法来对风险管理、控制和治理程序进行评估和改善,从而帮助组织实现目标”。根据这一定义,推行风险导向内部审计就是要以对组织风险的评估与改善作为基本目标,以内部控制为审计基础,以公司治理为参与风险管理的前提。风险导向内部审计作为内部审计发展的一个阶段,其本身具有区别于传统内部审计和注册会计师外部审计的特点。笔者认为这些特点主要体现在如下方面:首先,风险导向内部审计将风险评估和改善作为首要目标,并据此延伸其职能。具体来说,其职能主要有三个方面,一是利用其在内部管理方面的专家地位和信息优势,根据企业目标评估、分析和管理风险,并将审计结果和管理建议向管理层报告。二是帮助管理层在制定重大决策事项时进行风险评估。三是为市场、采购、技术等其他专业领域的风险管理部门提供咨询。总之,风险导向内部审计不再是消极的查错防弊,而应以组织的整体风险评估作为首要工作。其次,风险导向内部审计在方法上更加注重风险评估、缺陷评估和管理建议。区别于传统内部审计,风险导向内部审计始终把风险管理作为审计工作的出发点和落脚点,强化审计工作的事前风险评估和事后缺陷评估环节,并基于这些评估得到审计结论和给出风险管理建议。第三,风险导向内部审计以内部控制为基础。从理论上说,内部审计是内部控制的监督环节,是对其他内部控制环节的再控制。内部审计无论从事是对风险的评估和改善,还是参与风险管理和治理程序,都需要依托对企业内部控制状况的了解。第四,采用风险导向使内部审计工作融入企业全面风险管理体系。不同于外部审计师所实施的内部控制审计,内部审计是为了保证企业经营目标的实现、保护资产安全、防止舞弊的发生而进行的全方位的内部控制评价。也就是说,内部审计、内部控制以及管理层的风险治理活动都是以企业风险管理为目标。内部审计通过采用风险导向而参与到企业全面风险管理中,成为整个风险管理体系的有机组成部分。
二、在内部审计中采用风险导向的必要性与实践意义
当前,内部审计需要应对的风险越来越复杂,对审计的要求也不断提高。内部审计需要更为全面、及时、准确的反映企业存在的风险,并提出有针对性的管理建议。传统内部审计虽然也针对企业风险进行监督,但从根本上说仍然缺乏完整有效的风险识别和评估体系,审计工作高度依赖审计人员水平,其风险覆盖的全面性、重要环节的审计充分性、以及审计质量的稳定性均难以保证。这不但无法满足企业风险管理需求,而且难以体现内部审计的管理价值,不利于内部审计的长期发展。因此,在审计实践中采用风险导向是内部审计发展的必然选择。
1、风险导向内部审计以风险评估和改善为目标,可以更为系统的覆盖企业重要风险,保证内部审计的完整性传统内部审计对于内部控制的关注一般集中在已有流程和已识别的运营风险,而缺乏对风险识别全面性和风险变动的评估。但对个体企业而言,无论是外部环境、业务特点,还是内部管理和治理结构都十分复杂,且始终处在不断变化的过程中。COSO委员会在2004年颁布的《企业风险管理——整体框架》(ERM)中将企业全面风险要素概括为八个大类,而阿瑟.安德森公司的商务风险模型(BRM)则将企业风险概括为三大类75种,足见其范围之广。在此情况下,传统内部审计很难保证审计结果和管理建议不存在重大遗漏、误判或者与企业实际状况脱节的风险。而风险导向内部审计通过有效的风险识别和风险评估,可以及时、全面的掌握这些情况,帮助内部审计部门形成对被审企业的完整认识。
2、风险导向内部审计对风险和缺陷的评估,能够更为科学的确定审计事项的重要性水平,有助于合理调配审计资源,深入进行研究分析,保证内部审计的充分性在目前的内部审计实践中,一个较为突出的问题是在标准化的审计程序上耗费大量审计资源,而缺乏对重要问题的深入研究和系统性分析。具体来说,一方面,审计过于追求程序的标准化,审计意见包含大量详细的操作细节问题,但没有区分重要性水平。特别是对于风险较小的环节给予过多关注,造成控制冗余,不但影响审计效率,也可能对后续审计产生误导。另一方面,对于重要缺陷不能给出系统评估和全面的解决方案,例如评估缺陷在多大程度上增加了企业运营风险,缺陷产生的系统性原因和个体原因,以及如何进行整改和需要投入的管理资源是否符合成本效益原则。而风险导向内部审计重视事前的风险评估,可以有效解决审计侧重点问题,合理调配审计资源。可以结合企业目标,有针对性的深入研究重要风险,评估缺陷程度。同时,还可以减少在次要风险上的审计资源投入,在总体资源有限的情况下发挥最大的审计效果。
三、实施风险导向内部审计的实现途径与展望
风险导向内部审计从根本上改变了传统审计的指导思想和工作模式,对内审部门提出了很大的挑战,其在实践中的应用还存在很大障碍。笔者认为,要想实施风险导向内部审计,至少需要在如下几个实现转变。
1、内部审计部门职能的转变:由消极的查错防弊向主动的风险管理转变在所有阻碍风险导向审计实施的问题中,最根本的是内审部门自身定位的转变。风险导向内部审计要求内审部门的定位要从消极的查错防弊变为主动的风险管理,在风险评估、内部控制乃至公司治理中发挥专业作用。这使内审工作从监督指导职能延伸到风险评估、缺陷分析和管理咨询,几乎颠覆了内审部门的旧有工作范围,无疑是对内审部门从软件到硬件的全面挑战。尽管如此,这些转变又是不可回避的,因为能否转变思路并主动适应新的角色,是内部审计能否提升自身价值的关键所在,也是企业风险管理提升不可或缺的重要途径。
2、审计方法的转变:建立完善风险评估机制风险评估和改善作为内部审计的首要目标,在实践中也是能否真正实施风险导向内部审计的关键问题。因为企业的风险千差万别,风险评估也非常复杂繁琐,但作为整个审计体系的基石,所有后续审计工作均需要以风险评估为基础。笔者认为,企业应通过建立成熟的风险识别模型和风险评估程序,通过流程化、标准化以节约审计资源。具体来说,一方面内审部门应结合COSO企业风险管理框架(ERM)、企业风险模型(BRM)以及其他风险分析工具,建立一套适合本企业特点的风险识别模型。然后根据企业目标,在模型框架内识别具有重大影响的风险项目,建立企业风险数据库。另一方面,在内部审计中应建立风险评估报告制度,强制要求内审人员全面了解被审单位的风险状况,以保证所有后续审计工作按风险导向执行,最终帮助评价审计结果对企业整体风险的影响。
3、风险管理架构的转变:整合内部控制资源,实施风险的全过程管理无论是内部审计还是内部控制和企业风险管理部门,乃至于各专业部门的风险管理人员,其根本任务归根结底就是对风险进行管理。而受制于管理范围和资源限制,内部审计部门必须与其他风险管理部门共同开展风险管理工作。具体来说,一是需要加强部门协调,与相关部门共享风险数据库,并在共同的风险识别框架下对风险形成共同认识,对控制措施和审计缺陷评估实施共同标准。二是对风险进行全过程管理。根据风险管理过程理论,风险管理是风险识别、风险度量和风险监控三个环节构成的循环,内部审计对于风险的管理也必然是一个动态的过程,需要整合相关资源对风险全流程进行管理,及时进行重新评估和应对。目前,外部审计机构正在大力开展管理咨询业务,凭借其专业优势和成本优势,越来越多的重复性内部审计工作已呈现外包化趋势。内部审计如果仍在“查错防弊”阶段止步不前,将越来越难以为企业创造价值。因此,只有积极参与企业内部风险管理,并在此基础上与其他风险管理部门密切配合,形成强有力的风险管理体系,才能有效为企业保驾护航,这或许是内部审计的长远发展方向。
作者:姜传志 胡增会 单位:青岛中油岩土工程有限公司
参考文献:
[1]曹伟,桂友泉.2002:内部审计与内部控制[J].审计研究(1),P27-30.
[2]费朵,邹家继.2008:项目风险识别方法探讨[J].物流科技(8),P139-141.
【摘要】由于传统审计风险模型日益暴露出其局限性,我国在新颁布的审计风险准则中,接受了国际会计师联合会修订后的审计风险模型,并要求国内会计师事务所执行。新修订的审计风险模型中的重大错报风险涵盖了包括企业、政府、监管部门等多方面的因素,包括了凡是能导致财务报表产生重大错报、漏报的所有内容。对于审计风险模型的这一重大发展,有必要在理论上进行系统的分析和研究。本文在充分借鉴前人研究的基础上,提出了重大错报风险的审计应对措施。
【关键词】重大错报风险;战略风险;审计应对
自20世纪末以来,国际会计师联合会专门成立了审计风险分委员会,着手研究和修订审计风险模型,并于2003年10月了ISA200准则,将审计风险模型修订为:审计风险=重大错报风险×检查风险。要求注册会计师在审计过程中要实施审计程序,从财务报表整体层次和账户余额层次两方面评估重大错报风险,并据以确定和实施进一步的审计程序,把检查风险降至可以接受的低水平。
随后,我国注册会计师协会于2006年4月颁布了新的注册会计师执业准则,正式接受了这一审计风险模型。作为新的审计风险模型的重要组成部分,重大错报风险的研究显得十分必要和迫切。本文针对重大错报风险的审计应对进行了有益的探索,希望对我国独立审计的发展有所裨益。
一、识别重要战略风险
(一)初步了解企业重要战略风险
“中国注册会计师审计准则第1211号——了解被审计单位及其环境并评估重大错报风险”中强调:注册会计师应当了解被审计单位及其环境,以足够识别和评估财务报表重大错报风险,并列举了注册会计师应从哪些方面了解被审计单位及其环境。其中,被审计单位的战略目标及相关的经营风险是注册会计师应该考虑的重要因素之一。
注册会计师在取得一个新客户的背景资料并评估相关的风险因素后,需要决定是否接受委托。如果注册会计师决定接受这一客户,那么就需要签订业务约定书并组织审计程序。在审计开始后的第一阶段,注册会计师需要了解企业的战略目标。
由于企业的战略经营风险和流程经营风险大部分会产生财务后果,从而影响到财务报表,注册会计师只有通过考察识别客户的战略风险,才能够有效地实施其它的审计程序,从而恰当有效地得出审计结论。注册会计师主要是通过分析外部环境中威胁企业成功执行战略的潜在风险因素来识别战略风险的,主要的分析工具有:企业层面的经营模式分析、PEST分析、波特五力分析、资源基础模型、SWOT分析等。
注册会计师需要在综合分析中初步识别出客户所面临的重要战略风险,客户如果想获得成功并达到目标,必须有效地管理这些风险。管理层对风险管理得越有效,注册会计师在业务中期望发现的问题就越少。为了更有效地了解战略风险的性质,形成在战略分析阶段对重要战略风险的结论,注册会计师需要了解客户管理当局如何进行战略管理以及战略管理的效果如何。
(二)合理评估企业重要战略风险
注册会计师在利用宏观环境的PEST分析和行业环境的波特五力分析等分析工具初步识别企业的重要战略风险后,需要关注企业采取了哪些方法避免或减少这些风险的威胁,结果又是如何?企业的管理层有很多方法来降低外部风险的威胁,从而使外部风险不会对企业造成重大影响。
注册会计师可以通过询问、观察和检查等方法取得对企业所采取行动的了解。具体而言,企业针对战略风险所采取的措施可以从各种会议纪要或决议、内部操作手册、企业对外公告、人事调整、组织机构调整、管理层所使用的定期报告等渠道获得。在了解企业对战略风险采取的控制措施后,注册会计师要评估这种反应(措施)是不是最佳的反应方式,是否得到执行,执行的效果如何。
对企业采取的战略风险控制措施进行评估后,注册会计师就可以进一步对战略风险进行判断。注册会计师可以根据有效的战略风险控制,将战略风险的严重程度下调,但这种下调必须有足够的证据支持控制是有效的。对战略风险控制的分析与测试可以帮助注册会计师判断初步识别的战略风险是否得到了有效的控制,注册会计师最终需要形成对重要战略风险的结论及其对审计的影响。
二、确定关键流程风险
(一)关键经营流程的识别
1.通过重要战略风险识别出关键经营流程
在战略分析的最后阶段,注册会计师需要汇总已经识别出的战略风险,对战略风险是否重要作出最终判断。如果这一战略风险比较重要,而且对会计报表的影响也比较重要,那么这一战略风险所指向的经营流程是哪一个,这个经营流程就是关键经营流程,也就是流程风险中必须重点分析的对象。注册会计师一般是通过编制战略风险汇总表的形式完成的。注册会计师在审计工作中所收集的证据都必须记录于工作底稿,作为审计证据。战略风险汇总表也是审计工作底稿的一部分,它是联系战略分析与流程分析的纽带。
2.通过重要交易类别识别出关键经营流程
在战略分析的最后阶段,注册会计师应该根据对企业经营的了解确定对企业经营业务的重要交易类别的认识,并汇总每一重要交易类别对相关会计报表认定的影响,以及这一影响对会计报表整体是否重要。如果这一影响对会计报表整体重要,那么准备在哪一个经营流程对之进行具体的分析,这一经营流程就是重要交易类别所指向的关键经营流程。
注册会计师通过识别出的重要战略风险和重要交易类别以及它们对会计报表的影响,从而推导出关键经营流程,以便在流程分析中对其进行详细分析。
(二)流程层次经营风险的确定
流程层次的经营风险可能来源于战略风险,也可能从流程内部产生,很多战略风险可能在流程中表现为特定的风险。比如,外部环境中的技术风险将对关键流程中的技术产生直接的影响。流程内部产生的风险只与特定的流程相关,但它们也影响企业经营目标的实现。在流程分析阶段,注册会计师对于战略风险对流程的影响只需要根据对战略风险和流程运营的了解将其转化成流程经营风险即可。因此,在流程分析阶段,最需要关注的是产生于经营环节的特定风险。21写作秘书网
三、合理评估企业重大错报风险
(一)企业环境中重大错报风险的评估
重大错报风险的评估过程是一个由数学模型计算、审计人员经验判断、主观估计相结合的过程。审计人员在分析、评估风险时应先从审计环境入手,全面分析、评估审计环境中引起重大错报风险的因素后,再深入到报表层次,最后重点评估认定层次的重大错报风险。
审计人员在接受委托时应全面了解企业的环境控制业务承接过程中的审计风险,包括初步了解行业背景、国家对企业的特殊政策、组织结构、经营方式、企业近期业务发展状况、企业目前面临的机遇和挑战、将要进行的重大决策、高层管理人员的意图、对审计人员的期望及要求等,然后作出详细调查分析表。根据审计人员的经验初步评估审计风险,利用风险矩阵等方法决定是否接受委托。
(二)财务报表层次重大错报风险的评估
1.资产负债表
通过测算年末流动比率、资产负债率、速动比率、应收账款周转率、流动资产比例、固定资产比例、净资产比例、资产负债表各项目占总资产的比例、资产负债表各项目增长率等,进行分析性复核。将上述指标与同行业平均指标、企业近三年的同类指标相比较,掌握其变动趋势,分析变动原因。一般来说,若企业各项指标高于或低于平均指标20%以上,而且没有合理解释则重大错报风险较高;若偏离幅度在10%至20%之间,重大错报风险可评估为中级;若偏离幅度在10%以下则风险可评估为低级。(将20%作为临界点的原因:根据审计经验和人们普遍对风险的心理承受能力)
2.利润及利润分配表
通过测算毛利率,各项费用与主营业务收入的比例,其他业务收入、营业外收入、投资收益与主营业务收入的比例,近三年同类指标变动率,进行分析性复核。将上述指标与同行业平均指标相比较,掌握其变动趋势,分析变动原因。一般来说,若企业各项指标高于或低于平均指标20%以上,而且没有合理解释,则重大错报风险较高;若偏离幅度在10%至20%之间,重大错报风险可评估为中级;若偏离幅度在10%以下则风险可评估为低级。
3.现金流量表
现金流量表中重大错报风险的评估应结合资产负债表和损益表的重大错报风险的评估进行。资产负债表和损益表中的重大错报一般会在现金流量表上反映出来,审计人员可根据对上述两个报表的风险评估大致估计现金流量表的风险水平。
四、制定具体审计程序
(一)一般审计程序
注册会计师评估的财务报表整体层次重大错报风险以及所采取的总体应对措施,对拟实施进一步审计程序的整体审计策略具有重大影响。注册会计师根据财务报告整体层次的重大错报风险制订总体应对策略,在总体应对策略的指导下制订和实施针对认定层次重大错报风险的进一步审计程序,整体策略对多个认定的审计策略都有直接影响。拟实施进一步审计程序的整体审计策略包括实质性策略和综合性策略。实质性策略是指注册会计师实施的进一步审计程序以实质性程序为主;综合性策略是指注册会计师在实施进一步审计程序时同时采用控制测试与实质性程序。
与认定层次相比,注册会计师在财务报表整体层次运用风险模型时只是针对评估的财务报表层次的重大错报风险,更侧重于从整体上采取应对措施和考虑对拟实施进一步审计程序的整体审计策略的重大影响。由于财务报表整体层次的重大错报风险会影响多个认定,只有将风险模型运用于这两个层次,使二者很好地配合,才可能最终将审计风险降至可接受的低水平。注册会计师对报表层次重大错报风险的评估和对总体应对措施及其对整体审计策略重大影响的考虑的失当,将对认定层次重大错报风险的评估和检查产生广泛的决定性的不利后果。因此,不能轻视新风险模型在财务报表整体层次的运用问题。
(二)进一步审计程序
基于重大错报风险的审计风险模型,要求注册会计师针对评估的认定层次重大错报风险设计和实施进一步审计程序,包括审计程序的性质、时间和范围,并应当以对认定层次的重大错报风险的相关评估结果为基础,同时考虑既定的审计风险水平。
进一步审计程序是指注册会计师针对评估的各类交易、账户余额及列报与披露的认定层次的重大错报风险所实施的审计程序,包括控制测试和实质性测试。注册会计师设计和实施进一步审计程序,既包括审计程序的目的(控制测试或实质性程序)、类型(检查、观察、询问、函证、重新计算、重新执行或分析程序),也包括进一步审计的时间(指审计对象的发生时点或期间)和范围(指实施某项审计程序的数量及样本)。如果注册会计师对重大错报风险的评估认为预期控制运行是有效的,就必须执行控制测试以支持该评估结果。另外,注册会计师还应当以认定层次重大错报风险的评估结果为基础,考虑既定的审计风险水平,确定可接受的检查风险水平,再据此计划和实施实质性测试程序。
注册会计师决定信赖被审计单位的内部控制时,需要执行控制测试,其目的是测试内部控制在防止、发现和纠正认定层次重大错报风险方面的有效性,并据此再评估认定层次的重大错报风险。当注册会计师认为风险评估程序所识别的风险是需要特别考虑的重大风险,或是仅通过实质性程序不能提供认定层次充分、适当的审计证据时,注册会计师就应当针对此类风险设计实施控制测试。同时,新准则又强调注册会计师应保持职业怀疑态度,即使评估的认定层次的重大错报风险较低,说明预期内部控制较好,也必须执行控制测试,以支持该评估结果。因此,大多数情况下注册会计师都要进行控制测试。
无论内部控制是否有效,都要对各类重大交易、账户余额及列表与披露实施实质性测试。注册会计师通过实质性测试检查认定层次的重大错报风险,发现认定层次的重大错报,降低检查风险至可接受水平。按照基于重大错报风险的审计风险模型的要求,注册会计师应当以对认定层次的重大错报风险的评估结果为基础,并考虑既定的审计风险水平,来确定可接受的检查风险水平,再据此计划和实施实质性程序。在既定的审计风险水平下,可接受检查风险水平与认定层次重大错报风险的评估结果呈反向关系。检查风险取决于实质性测试设计和执行的有效性,注册会计师应当合理设计实质性测试的性质、时间和范围并有效执行,将检查风险降至可接受的水平。
【主要参考文献】
[1]谢志华,崔学刚.风险导向审计:机理与运用[J].会计研究,2006(7).
关键词:风险导向审计;审计模式;适用性分析
随着国内外重大审计失败事件的不断发生,风险导向审计作为一种重要的审计理念和方法,受到审计职业界和学者的关注。中国注册会计师协会在2004年10月了新的审计风险准则征求意见稿,要求注册会计师在审计中使用现代风险导向审计方法,实施风险评估程序,降低审计风险,提高审计质量。如果审计风险准则一旦正式生效,将使我国的审计风险准则与国际接轨,并引导中国注册会计师实务由传统风险导向审计向现代风险导向审计转变。因此,对现代风险导向审计模式的理解以及在我国的适用性分析就显得十分重要。
一、风险导向审计概述
随着社会经济的发展变化,审计方法适应审计环境的变化经历了三个发展阶段:一是审计发展的早期,由于企业组织结构简单、业务性质单一,注册会计师的审计工作目的是为了促使受托责任人在授权经营过程中做出诚实、可靠的行为,审计方式是详细审计。审计的重心在资产负债表,是对会计凭证和账簿的详细审计,旨在发现和防止错误与舞弊,这种审计方法就是账项基础审计方法(accountingnumber-basedauditapproach)。二是从1950年代起,以内部控制测试为基础的抽样审计在西方国家得到广泛应用,这种审计方法重点在于注册会计师了解、测试和评价内部控制设计的合理性和执行的有效性。对内部控制存在缺陷的环节,注册会计师通常将其涉及交易和账户余额作为审计的重点,甚至进行详细审计;对于可以信赖的内部控制环节,通常将其涉及的交易和账户余额进行抽样审计,以提高审计效率和降低审计费用。从方法论的角度,这种审计方法被称作制度基础审计方法(system-basedauditapproach)。三是1970年代以后,由于制度基础审计方法显露缺陷,一种新的、以风险防范为基础的风险导向审计模式逐渐兴起,从方法论的角度,注册会计师以审计风险模型为基础进行的审计方法称为风险导向审计方法(risk-orientedauditapproach)。
回顾审计方法的发展历程,风险导向审计模式已成为审计方法发展的国际趋势。风险导向审计模式合理地扬弃了作为制度导向审计模式基础的“无利害关系假设”,把指导思想建立在“合理的职业怀疑假设”的基础上,不只依赖对被审计单位管理层所设计和执行内部控制制度的检查与评价,而且实事求是地对公司管理层是否诚信、是否有舞弊造假的驱动始终保持一种合理的职业警觉,将审计的视野扩大到被审计单位所处的经营环境(微观、中观乃至宏观),将风险评估贯穿于审计工作的全过程。与传统的制度基础审计相比较,主要有以下区别:
(一)审计模式不同
制度基础审计模式以内部控制为核心,对控制风险的评估仅通过确定内部控制的可依赖程度来减少实质性测试的工作量,而对固有风险的评估常流于形式;风险导向审计模式不仅通过内部控制评估控制风险,还结合其他风险因素尤其是固有风险综合考虑,通过对企业环境、发展战略、公司治理结构等方面的评估,发现其潜在的经营风险及财务风险,并评估财务报表发生重大错报的风险,以便使审计风险降至可接受水平。
(二)审计基础不同
制度基础审计以内部控制制度为基础,根据被审单位内部控制制度的健全性及符合性评审结果,确定实质性测试的范围和重点;风险导向审计则以风险评估为基础,对影响被审单位经济活动的多种内外因素进行评估,确定审计范围、重点和方法,其不仅重视与内部控制系统直接相关的因素,而且重视各种环境因素。
(三)审计方法不同
两种审计模式都采用抽样技术,但风险导向审计是通过建立审计风险模型将风险量化。因此,相对于制度基础审计来说,风险导向审计的抽样技术是更完全意义上的审计抽样,更注重利用分析性测试方法,从而可以有效降低审计风险。
二、风险导向审计的两种模式
风险导向审计自产生以来经历了两个阶段,理论界把以传统审计风险模型“审计风险=固有风险×控制风险×检查风险”为基础进行的审计称为传统风险导向审计模式;而将1990年代后期开始,在国际会计师事务所内部推行并逐渐被审计理论与实务界接受的,以“审计风险=重大错报风险×检查风险”的模型为基础,以被审计单位的经营风险为导向的审计方法称作现代风险导向审计模式。
传统风险导向审计模式与现代风险导向审计模式的本质区别在于审计理念和审计技术方法的不同,后者是对前者的改进,其主要区别如下:
(一)审计起点不同
传统风险导向审计运用的审计风险模型中,固有风险是指假定不存在相关内部控制时,某一账户或交易类别单独或连同其他账户、交易类别产生重大错报或漏报的可能性。控制风险是指某一账户或交易类别单独或连同其他账户、交易类别产生错报或漏报,而未能被内部控制防止、发现或纠正的可能性。传统风险导向审计方法通过综合评估固有风险和控制风险以确定实质性测试的范围、时间和程序,由于固有风险难以评估,审计的起点往往为企业的内部控制(如果没有必要测试内部控制,审计的起点则为会计报表项目)。
现代风险导向审计方法通过综合评估经营控制风险以确定实质性测试的范围、时间和程序,其审计起点为企业的战略系统及其业务流程。如果企业的业务流程不重要或风险控制很有效,则将实质性测试集中在例外事项上。这种新模式的优点是将审计的重心前移到风险评估,这将有利于充分识别和评估会计报表重大错报的风险,因此,主要针对风险设计、实施控制测试和实质性测试程序。此外,注册会计师容易全面掌握企业可能存在的重大风险,有利于节省审计成本,克服因缺乏全面性观点而导致的审计风险。
(二)风险评估识别以分析性复核程序为中心
现代风险导向审计注重运用分析性复核程序,以识别可能存在的重大错报风险;而传统风险导向审计对于信息的再加工程度不够,其分析性程序主要用在报表分析上。分析性复核程序已成为现代风险审计方法最重要的程序,为了适应分析性程序功能扩大的要求,分析性程序开始走向多样化:在数据分析上不但要对财务数据进行分析,也要对非财务数据进行分析;在分析工具上借鉴现代管理方法,把战略分析、绩效分析、财务分析及前景分析等分析工具运用到风险评估之中,使风险因素不再惟一,变一元风险评估为多元风险评估,使得出的风险评估结果更加可靠。
(三)风险评估方式由直接评估转变为间接评估
传统风险导向审计的风险评估是一种直接的方式,即直接评估重大错报的概率。现代风险导向审计模式是从经营风险评估入手,间接地对审计风险进行评估,因为经营风险越高,审计风险也越大,也就是管理舞弊的可能性越大;并且从经营风险中能更有效地发现财务报表潜在的重大错报,因为财务报表是经营的反映,如果经营风险未能在报表中得到体现,则财务报表很可能失真。此外,会计政策、会计估计的合理性
评估也只有从经营风险入手,才能进行正确的评估。
(四)审计程序实施具有个性化
传统风险导向审计模式审计程序是标准化形式,对不同的被审计单位都使用标准相同的审计程序,其缺陷是没有足够贯彻风险导向审计思想,使注册会计师无法突破客户预先设置或防范的措施,难以做出正确的审计结论。现代风险导向审计方法要求注册会计师将评估及识别的审计风险与实施的审计程序相结合,针对不同客户以及客户不同的风险领域实施个性化的审计程序。
(五)审计证据的内涵扩大
在现代风险导向审计方式下,审计重心向风险评估转移,审计证据也由内部向外部转移。因此,注册会计师必须充分了解企业整体经营环境,由此评估客户的经营及审计风险,同时必须从外部取得大量的外部证据来证明风险评估的恰当性。风险导向审计模式下,注册会计师形成审计结论所依据的审计证据不仅包括实施控制测试和实质性测试获取的证据,还包括了解企业及其环境获取的证据。
(六)扩充了内部控制要素
传统风险导向审计方法下的内部控制是指被审计单位为了保证业务活动的有效进行,保护资产的安全和完整,发现、纠正错误与防止舞弊,保证会计资料的真实、合法、完整而制定和实施的政策与程序。内部控制要素包括控制环境、会计系统和控制程序。现代风险导向审计方法下的内部控制是指被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵循,由治理当局、管理当局和其他人员设计和执行的政策和程序。内部控制的三要素扩充为五要素,即控制环境、被审计单位的风险评估过程、与财务报告相关的信息系统和沟通、控制活动和对控制的监督。
(七)对注册会计师的专业知识提出了更高要求
现代风险导向审计对注册会计师的专业素质提出更高要求,其重心从会计、审计知识转向管理和行业知识。现代风险导向审计下审计结果主要依赖风险评估,风险评估的各种分析方法要求掌握现代管理知识和行业知识(包括市场、研发、生产等方面),这对注册会计师提出了更高的要求。注册会计师应该是复合性人才,不但要掌握一般常用分析工具,还要接受现代管理知识和行业专业知识训练。
三、现代风险导向审计模式在我国的适用性分析
基于上述分析,现代风险导向审计模式是审计发展的一种必然趋势。2003年10月,国际审计与鉴证准则委员会(IAASB)通过了新的审计风险准则;中注协也在2004年10日了修订后的审计风险准则征求意见稿,不仅将使我国的审计风险准则与国际接轨,同时也为提高审计质量、降低审计风险提供了技术支持。审计风险准则一旦正式生效,将引导中国注册会计师实务由传统风险导向审计向现代风险导向审计转变,会对我国的注册会计师审计理念、审计程序及审计责任产生非常大的影响。
然而,目前要在我国推行风险导向审计模式还存在一定的制约条件和需要解决的问题:
(一)会计师事务所审计成本与效益问题
实施风险导向审计模式的前提是成本能得到补偿。现代风险导向审计模式在审计计划阶段和执行控制测试阶段,注册会计师关注的范围扩大,程度加深,导致工作时间和审计成本的增加,在市场竞争激烈的情况下,成本的增加往往不可能过渡到收费的同步增加。此外,还需要一定的投入来培训注册会计师,使他们掌握业务流程和行业知识等有关方面的知识。如果这些成本得不到补偿,就会使一部分中小会计师事务所在竞争中无法生存。
(二)信息系统的建设问题
现代风险导向审计的重要特征是审计重心前移,注册会计师必须首先执行风险评估程序,充分了解客户整体经营环境,然后针对风险不同的客户、客户不同的风险领域,设计个性化的审计程序。因此,会计师事务所必须建立强大的信息系统,以便注册会计师在风险评估时了解企业的战略、流程风险管理、业绩衡量等。而目前国内很多事务所对行业风险和企业经营风险缺乏了解,客户的相关信息不够充分,信息系统的建设还达不到现代风险导向审计的要求,导致风险评估不准确。因此,风险导向审计的运用仅限于老客户,对新客户还是将大量时间用于实质性测试。
(三)审计从业人员素质问题
现代风险导向审计对审计从业人员的业务素质提出了新要求,不仅要具备丰富的审计理论和实践经验,还要具备必需的管理学知识和经济学知识,能够运用系统的、战略的观点充分了解、分析企业所处的宏观经济环境和行业发展状况,对有可能导致企业会计报表错报风险的内外部因素进行客观、系统的分析与评价,将审计视角扩展到内部控制以外,从较高层面上评估风险,而不是仅仅注重企业会计处理的细节。
(四)辅助审计软件的使用与完善问题
现代风险导向审计方法中分析性程序占据非常重要的地位,辅助审计软件的使用在其中发挥着重要的作用。西方发达国家大量运用分析性程序的条件是辅助审计程序的开发和运用,它可以直接对数据库进行加工分析,依据软件模型自行处理数据,使运用分析性测试程序成为节约成本的重要手段。另外,采用审计软件使统计抽样的样本更具代表性,审计抽样风险可控,为风险导向审计提供了技术支持。目前,我国在审计软件的开发和使用上不够理想,还有待提高,而且大部分注册会计师缺少相应的技术准备,在现阶段推行现代风险导向审计方法只能是一种愿望。
如上所述,目前在我国全面推行现代风险导向审计模式还受到许多制约,尽管它有很多优越之处,但在我国还不能够普遍推行。当前我国独立审计准则主要是以制度基础审计模式为基础的,而且相当一部分从事小规模企业审计工作的会计师事务所和注册会计师,基本上仍然在运用账项基础审计模式。但是,现代风险导向审计的实行是一种理念的改变,我们可将制度基础审计与风险导向审计有机结合。即使在现行审计准则仍然主要以制度基础审计模式为基础的情况下,吸取风险导向审计模式的基本观点和做法,则是完全可行的。通过把风险导向审计中控制风险的理念和方法融合到制度基础审计中,使其他审计模式忽略审计风险的缺陷得到弥补,将会为探索适合我国的现代风险导向审计模式积累有益的实践经验。
参考文献:
〔1〕陈毓圭。对风险导向审计方法的由来及其发展的认识〔J〕。会计研究,2004,(2)。
〔2〕常勋,黄京菁。从审计模式的演进看风险导向审计〔J〕。财会通讯,2004,(7)。
关键词:审计,风险,控制
1.审计风险表述
1.1 审计风险的概念结合实务的发展,认为审计风险本身有更广泛的含义,可以从三个层次上来说明:
第一层次是:未能察觉出重大错误的风险而发表了一个不适当的意见的风险。
第二层次是:审计风险可以理解为审计主体损失的可能性。。。除了第一层外,虽然审计人员为某一客户提供的审计报告正确无误,但审计人员(或承担审计的会计师事务所)却由于一种客户关系而受到伤害的风险。
第三层次是:审计风险是指在特定的环境下,由CPA不恰当的审计行为引起、并给审计主体带来损失的可能性。审计风险的来源是不恰当的审计行为,但是,对“不恰当的审计行为”的认定离不开“特定的环境”审计风险的基本特征
1.2 审计风险的成因现将其成因概括为主观和客观两个方面,分述如下:
1.2.1 审计风险形成的客观原因审计风险形成的客观原因是指审计活动所处社会经济环境方面的原因,它具体包括以下几个方面:法律环境的变化、现代审计对象的复杂性和审计内容的广泛性、审计报告的影响、期望差距的存在。
1.2.2 审计风险形成的主观原因审计人员能力的有限性;审计人员工作责任心和职业关注状况;审计人员所采用的现代审计方法本身存在着缺陷等等。
2.审计风险模型
2.1 审计风险要素
审计风险的要素是什么,有关专业文献中对风险要素的概念很多,其中亚当斯(RogerAdams)对风险要素的定义就有代表性:
固有风险(Inherent Risk)是指没有内部控制时,偏离实体和环境的特性的可能性;控制风险(Control Risk)是指内部控制未能防止或检查出重大差错的风险;检查风险(DetectionRisk)是指审计人员的实质性程序和财务报表的检查未能察觉重大差错的风险。
三个风险要素对审计风险总体的影响是:只有三者同时发生时才构成审计风险,即只有那些既存在固有风险,又未予有效控制,在审计过程中又未予发现的项目才最终形成审计风险。
2.2审计风险模型的总结
(1)A定义下的审计风险模型。审计理论界将“审计风险”与这三种风险要素的关系表述为如下模型:
审计风险=固有风险×控制风险×检查风险
(2)B定义下审计风险要素及模。式中的审计风险实际上是发表不恰当审计意见的概率,我们将修改为:
发表不恰当审计意见的概率=固有风险×控制风险×检查风险
(3)C定义下审计风险要素及模型。。由于C定义全面考虑了引起审计风险的原因,审计风险模型B也已不再适应C定义,必须增加新的风险要素。为此我们将与环境因素密切相关的审计风险要素定义为环境风险(经营风险),它是指在特定的法律文化和人文背景下,审计主体由于自身的审计行为而产生的意外损失。我们将B定义下的审计风险定义为意见风险,因此,CPA最终承担的审计风险为意见风险与环境风险之和,即:
审计风险= 意见风险+环境风险(丙)
在这里,因为“环境风险”对“意见风险”几乎没有影响,因此它们之间只能表现为“和”的关系而不可能是“积”的关系。
3.审计风险评估在审计实务中,可以根据审计风险模型对其进行评估。通常,首先确定一个可接受的审计风险水平。其次对固有风险和控制风险进行评估,然后根据固有风险和控制风险的评估结果,确定检查风险的高低,以便使审计风险保持在既定的可接受水平上。
3.1 固有风险的评估
评估财务报表的固有风险时应考虑的因素有:
(1)客户经营结果受经济环境影响的敏感程度;
(2)客户的获利能力和财务状况;
(3)客户的持续经营问题;
固有风险测试时,则应将控制风险估计为100%。
3.2 控制风险的评估
审计人员对内部控制制度进行评估时,应当执行以下步骤:
(1)了解内部控制结构,包括控制坏境、会计制度、管理制度等;
(2)初步评估控制风险水平;
(3)针对每个业务循环进行控制测试,以评价每个控制环节是否有效;
(4)确定内部控制风险水平,内部控制结构越有效,控制风险水平越低,反之则高。
在控制风险的评估中,审计人员的专业判断至关重要。
3.3 检查风险的评估
与固有风险和控制风险不同,检查风险是根据审计风险模型推导和计算得出的,检查风险的计算公式如下:
检查风险=审计风险/(固有风险×控制风险)
4.审计风险的控制随着我国加入WTO,大量外资会计师事务所进入国内审计市场,中国会计师行业体会出:在面临如此窘迫的情况下,维护财务报表信息的可靠性与完整性,仍责无旁贷。同时社会投资大众也对会计师行业仍寄予厚望。
4.1 审计风险的宏观控制
合理降低CPA的审计风险不是单个或几个CPA或事务所就能够办到的,而是需要整个职业界乃至整个社会的共同努力。
4.1.1落实新审计准则
我国于2006年2月15日对审计风险模型和相应的审计程序进行了修订和调整。新准则在执行过程中都不同程度地存在问题,解决当前问题应该加强后期培训工作,真正落实,为财会人员排忧解难,及时出台一些具有实际操作性的指导文件,认真做好新旧审计准则的接轨。
1.2.2 更加有效地培训报表读者目前,相当一部分会计师事务所不能很好执行新审计准则,尤其是风险导向。而且新准则引入了管理学的思想,这是新准则的一大飞跃。这些都要求更加有效的培训报表读者,扩展他们的知识面。
1.2.3 设立商业保险会计公司可通过投保商业保险来降低审计风险。即在对审计风险综合评价的基础上,会计公司可投保审计风险商业保险,通过支付保费的形式,将会计公司的审计风险转移到保险公司,从而将社会转移到会计公司和CPA的风险再度转移到社会。
5. 审计风险的微观控制
5.1财务报告虚饰现状根据美国Treadway Commission对财务报告虚饰所做的研究结果,揭示这些虚骄报告的最常用的技巧包括:不适当的收益认列方法(47%),蓄意地溢列资产(38%),及不适当地将当期费用加以递延(16%);在45%控告会计师的案件中,证监会发现由于公司内部控制失灵而导致有舞弊存在。因此,会计师事务所在承接业务时必须慎之又慎。
5.2评估管理当局诚信度
评估管理当局的诚正,有三种方法可行:对于现有客户可设立记分卡,对管理当局过去的言行加以记录;对于新客户可以通过银行、律师或征信调查机构获得有关管理当局的信用资料:最直接的方法是与公司管理当局的平时直接接触。
5.3衡量内部控制结构
注册会计师除了对个别控制制度加以评估外,对于客户整体的控制环境因素,诸如公司组织结构、信息与沟通、政策及程序的监督、内部稽核活动等,也应加以讨论,以合理保证内部控制目的的达成。
5.4评估客户经济情况
了解客户内外在的因素有助于审计人员评估客户财务报表有无遭受重大错误或舞弊的可能性,判断在审计过程中可能遭遇的困难程度。
6.结论
在对上述理论深入研究的基础上得出:在构成审计总风险的三个基本要素中最重要的是检查风险,其次是控制风险,再次是固有风险。这一结论可以指导会计师事务所在审计实践中界定审计项目的哪些方面应该给予重点关注,哪些方面可以少花点时间和精力,这对会计师事务所降低审计成本,控制并减少审计风险的发生是有重要意义的。最后文章立足于宏观、微观,提出了一些理论、实践方面的观点,希望对我国的审计风险研究有所借鉴。
参考文献
[1]韩艳华.审计风险及其防范[J].集团经济研究.2007,(1):69-70.
[2]马晓娟,王彦国.审计风险的控制研究 [J].北方经贸.2003,(5):99-100.
一、引言
风险导向审计在弥补日益扩大的审计期望差距的社会因素中应运而生。其中包括社会因素和经济因素.从社会因数来说审计是满足社会需求的满足而产生的,但始终和社会需求存在审计期望差距.一方面是人民对审计成果的依赖加大,借以做正确的决策和判断.另一方面对审计信息的时效性和诚信度提出了越来越高的要求.伴随着人民违权意识的增长以及审计人员分析面的不周全,容易使审计人员掉进"审计陷阱",或者是其错误确定审计重点和审计风险失控.于是,风险导向审计在弥补日益扩大的审计期望差距的社会因素中应运而生。
新审计风险模型为:审计风险=重大错报风险×检查风险,正式引入了“重大错报风险”的概念。重大错报风险,是指财务报表在审计前存在重大错报的可能性。这不仅仅是简单的将固有风险和控制风险并成为重大错报风险,而是重大的实质性的改进。新准则启用新审计风险模型,要求注册会计师在设计和实施审计测试前必须适当地评估重大错报风险,而不能未评估重大错报风险就盲目进行审计测试;也不能象以往那样所谓稳妥地简单设定重大错报风险为最高水平而直接实施更广泛的实质性测试,因为不弄清楚重大错报风险可能发生在哪些交易、账户和列报与披露的哪些认定上就一味实施实质性程序,难以查出重大错报,造成有限审计资源的浪费。与以往的制度基础审计相比,风险导向审计更具有其自身的优越性。Www.lw881.com
二、新审计风险模型的优越性
(一)明确规定审计工作以评估财务报表重大错报风险作为新的起点和导向。明确将审计风险划分为两部分:审计风险和客户风险。客户风险,即客户财务报表审计前存在重大错报的可能性,均为被审计单位所造成和掌握,审计人员只能评估,不能掌握。审计工作以评估财务报表重大错报风险作为新的起点和导向,抓住了审计工作的本质,而且与现行审计目标责任定位紧紧相扣,有利于履行审计责任,实现审计目标,将审计视野由以往关注内部控制和具体认定层次的风险扩大到企业环境、发展战略、历史沿革、公司治理结构等宏观方面。
(二)使审计人员从宏观层面上全面了解企业及其环境。将客户置于一个大的经济环境中,运用立体观察的理论来判定影响企业持续经营的因素。从企业所处的商业环境、条件到经营方式和管理机制等构成控制因素的内外部各个方面来分析评估审计的风险水平,掌握可能存在的重大风险,克服缺乏全面性的视角而导致的审计风险。包括企业所处行业的特征;企业的特征;企业所从事和可能从事的各战略经营领域的成功关键是什么,发展速度如何,资金利润率是多少,为建立战略优势所需要的最佳经济规模是多少,平均投资额是多少;企业所从事和可能从事的各战略经营领域中,成本居于何战略地位,行业的平均和先进水平是什么;企业的筹资环境特征,包括供求形势、筹资条件、行业与融资机构的一般关系以及同行业竞争者的筹资能力和财政实力;同行业竞争者资金筹措与运用效果,包括资金效益性、资金流动性、资金安全性。
(三)有助于引导注册会计师时刻紧紧围绕评估上有无重大错报风险来设计和执行程序。注册会计师首先花大力气去识别和评估重大错报风险,以对认定层次的重大错报风险的相关评估结果为基础,并考虑既定的审计风险水平,来确定可接受的检查风险水平,再据此计划实施和执行,可以提高效率少走弯路。在既定的审计风险水平下,可接受检查风险水平与认定层次重大错报风险的评估结果成反向关系。评估的重大错报风险越高,可接受检查风险越低;评估的重大错报风险越低,可接受检查风险越高。检查风险取决于实质性程序设计和执行的有效性。
(四)新的风险审计比较传统的审计方式具有更大的灵活性、伸展性。新的审计风险可以根据客户的具体情况灵活地提供服务范围和内容。对于中小的事务所而言,自身可能无法进行有效的风险分析,通过现代风险导向审计,则可以获得风险评估方面的增值服务。对于中小企业而言,自身可能无法进行有效的风险分析,通过现代风险导向审计,则可以获得风险评估方面的增值服务。新的审计模式是可扩充式的,它可以帮助审计师更好的了解中小企业的需求。所以无论中小企业还是中小事务所都可以俭省审计成本,进而能够起到保证执业质量和明确职业责任。
(五)风险评估以分析性复核为中心。尽管风险评估包括检查、调查、询问、穿行测试等多种审计取证手法,但核心是分析性复核的运用,传统风险导向审计对于信息的再加工重视程度不够,分析性复核主要运用在报表分析上,现代风险导向审计以分析为中心,分析性复核成为最重要的程序,为了适应分析性复核功能扩大的要求,分析性复核开始走向多样化,不再是只对财务数据进行分析,也对非财务数据进行分析;分析工具充分借鉴现代管理方法,将管理方法运用到分析性程序中去。新的审计风险模型将审计人员能够把工作重点集中在财务报表出现错报的高度风险领域,同时将风险评估与审计程序紧紧联系起来,从而有利于提高审计质量,增强公众对已审财务报表的信心,也有利于保护公众的利益。然而,由于我国市场经济水平不高,会计、审计人员素质偏低等问题,使得新的风险模型的应用面临很多挑战。
三、施审计风险模型面临的问题
(一)事务所缺乏正确评估重大错报风险的客观条件和一些主观条件。评估被审计单位重大错报风险要求对企业的业务、市场状况、管理层,甚至企业所处行业整体的经营状况和市场状况等因素都要有比较清楚的了解。而我国会计师事务所90%以上的业务是审计业务和会计业务,没有经济方面、法律方面等多元化的背景。他们不了解企业的经营状况、不了解整个行业,数据积累严重不足。这可以说是实施新审计风险模型的最大障碍。目前,我国现行的审计方式存在两个较明显的问题。一是对被审计对象在一定时期的经济活动重在进行事后审计,这种审计方式所产生的审计结果,对经济活动过程缺乏及时、有效监督,不能促进经济活动的健康运行,也不能真正发挥审计的职能作用。二是现行审计活动所运用的方式,主要凭借经验进行分析判断,这势必影响到审计信息的准确性。
(二)注册会计师具体执行实务时与审计准则存在重大差距。注册会计师存在一个非常严重的问题,就是不能从整体上掌握和执行审计准则,相当部分的审计项目仅停留在做表面文章上,审计工作底稿不是框架不全就是空架子,好点的虽然有具体内容但欠全面,或不规范经不起推敲,存在为节省工作时间和成本而省略或减少必要风险评估程序的现象,离审计准则的要求尚有很大差距,不能体现审计精神的实质。这些问题都反映出一些注册会计师不能正确理解和执行审计准则的问题。因此,要想现在能全面实施新审计风险模型还有不少的困难。
(三)审计人员整体素质偏低或无法满足风险导向审计需要。审计中很大一部分主力审计人员没有取得注册会计师资格认证,水平较低。同时,虽然我国注册会计师一般专业知识比较扎实,但综合素质不高,没有在执业实践中积累到足够的专业经验,难以形成相当程序的职业判断。风险导向审计要求在审计活动的各个阶段都保持高度的专业警惕,随时发现潜在的风险点,并汇总入风险评估;同时,要求审计人员根据客户的具体情况为不同的被审计单位设计个性化审计方案。而我国的审计人员目前只能胜任制度导向审计模型下规范式流水化作业,不能应用新的审计风险模型,从而使新的审计风险模型的运用存在一定难度。如何充分发挥教育审计工作在加强内部管理、规范经济秩序、防范经济风险、提高教育经费使用效益、推进廉政建设等方面的作用,是我们面临的一个很大的理论和实际课题。
(四)过高的审计成本使会计师事务所难以承受。对重大错报风险的评估需要高级审计人员的参加,加大了人力资本和物力资本的投入,无疑会加大审计成本。同时审计时间的延长,审计范围的扩大也存在不可忽视的潜在成本。在审计计划阶段和执行控制测试阶段,注册会计师关注的范围扩大,程度加深,必然导致工作时间和审计成本的增加,在会计市场竞争激烈的情况下,成本的增加往往不可能过渡到收费的同步增加。而我国目前审计市场的最大问题就是竞争激烈导致很多事务所为了赢得客户而拼命降低审计收费,进而努力压缩审计成本,在一定程度上减少审计程序。这种现实情况使得风险导向审计这种成本的模式会在现阶段的中国缺乏生存的土壤。
四、结束语
综上所述,现代风险导向审计作为制度基础审计的完善和发展,是现代职业审计的必然发展趋势,但现在还不适宜成为我国审计业务的主导模型,其尚处于探索阶段,在实践中,尚无完整的模式可参照执行,即使将来有关现代风险导向审计的准则出台后,也需要在实践中不断完善。因此,注册会计师在现阶段,应首先接受现代风险导向审计的理念,在执业过程中,将风险评估贯穿审计的全过程,不断探索现代风险导向审计的方法,以将审计风险降低到最低可接受水平,提高注册会计师的执业水平。
参考文献
[1]黄硕、李勇伟:“风险导向审计模式新趋向”,《审计文摘》,2005年第6期。
[2]雷蕾、赵晓晓:“风险导向审计在我国运用的局限性”,《审计文摘》,2005年第8期。
[3]张龙平、聂曼曼:“试论新审计风险模型的理论进步与运用”,《审计研究》,2005年第4期。
