首页 资料文库 期刊中心 杂志订阅 投稿指南 SCI期刊
美章网 精品范文 审计中的风险评估范文

审计中的风险评估范文

前言:我们精心挑选了数篇优质审计中的风险评估文章,供您阅读参考。期待这些文章能为您带来启发,助您在写作的道路上更上一层楼。

审计中的风险评估

第1篇

(一)风险导向审计与金融机构洗钱风险评估的异同。具体运用中,两者均采用抽样评价方法,取证手段相同(如询问、查阅、检查等方式),评估流程类同。财务报表审计流程大致分三个阶段,即承接业务阶段的内外部风险评估,主要分析被审计单位高管层压力、机会和借口等因素所引发的舞弊或错报风险;风险初步评估阶段,了解评价被审计单位环境、内控制度情况;进一步审计程序阶段,控制测试和实质性测试(对被审计单位各类交易、账户余额和披露的细节测试以及实质性分析程序)。后续审计程序根据前阶段的风险评估结果确定,当后续审计程序获取的审计证据与初始评估获取的审计证据相矛盾时,可以修正风险评估结果,并相应修改原计划实施的进一步审计程序。审计风险评估的目的是根据风险,确定进一步审计程序的性质、范围和时间安排,其目的在于内控风险较高时,更多的控制测试和实质性测试能推断被审计单位的错报或舞弊行为,继而获取被审计单位错报或舞弊对财务报表的影响程度。洗钱风险评估与此类似,一是了解金融机构固有风险阶段,与承接审计业务阶段内外部风险评估相似,需了解金融机构所面临的宏观经济状况,所在行业的洗钱风险及经营状况对洗钱风险的影响。二是初步评估阶段,与审计风险初步评估阶段相似,对金融机构反洗钱工作的环境、内控制度执行情况进行评估。三是深入评估阶段,与进一步审计程序阶段相似,对金融机构的反洗钱内控制度有效性和可疑交易分析报告工作的及时性和有效性进行分析评价。洗钱风险评估过程中,可以在了解金融机构固有风险的基础上,确定初步评估的范围,指导深入评估的时间、范围和方法,包括对金融机构进行一次初步评估和一次深入评估,也包括根据评估结果,采取现场检查、约见谈话、现场走访等后续监管措施。不同之处在于:一是业务性质不同。风险导向审计是对财务报表不存在由于错误或舞弊导致的重大错报获得合理保证;金融机构洗钱风险评估是对金融机构洗钱风险的高低作出评价。二是评价内容不同。前者是对被审计单位的外部环境、内部环境、内控制度,特别是对会计报表及账务处理的准确性及真实性进行评价,具有经济评价性质,较为复杂;后者是对被评估单位反洗钱相关的环境、内控制度及可疑交易分析能力进行评价,具有单一性风险评价性质,较为简单。三是法律责任不同。审计主体对审计报告具有强制性报告义务,并对出具的审计报告承担法律责任;洗钱风险评估是对风险进行判断,不具有强制性报告义务,较少承担法律责任。四是委托责任不同。前者是会计师事务所接受有关信息使用者的委托,对被审计单位进行审计,信息使用者包括政府、股东及投资者等相关人员;后者主要是评估主体接受政府部门委托,根据最新风险状况对被评估机构洗钱风险进行评估。

(二)风险导向审计对洗钱风险评估的借鉴意义。风险导向审计理念成熟的理论和规则对新型的洗钱风险评估具有一定的参考意义,主要表现在:一是评估理念。实施审计的范围包括被审计单位内外经济、政治、法律环境、内部控制制度及经营状况,体现出评估对象在极为复杂的情况下,仍讲究审计的成本与效益。洗钱风险评估作为近年来推出的一种监管方法,强调合理配置监管成本,通过借鉴审计规则,才能将风险为本的评估理念落到实处。二是评价体系。审计风险评价体系采用类似于矩阵的评价方法评价,其基础是被审计单位的风险不能通过细化风险点进行简单汇总,理由在于风险之间存在交叉影响。金融机构洗钱风险评估是对金融机构反洗钱内控制度及控制措施进行评价,各风险控制点对整体风险的影响与审计实务基本相同,借鉴审计评价方法,能较好反映金融机构被利用洗钱的风险。三是评估方法。开展审计时,具体审计目的不同,取证手段也不同,各具优势,金融机构洗钱风险评估的方法处于摸索阶段,通过借鉴,能优化评价效能。

二、审计风险评价体系对洗钱风险评价体系的借鉴

层次分析法(AnalyticHierarchyProcess,AHP)是美国运筹学家T.L.Saaty于20世纪70年代初提出的一种决策分析方法,基本原理是:把一个复杂的决策问题视为一个系统,按总目标、子目标、评价因素的顺序进行逐步分解,构建层次结构,然后通过模糊量化确定各元素对于上层指标的重要性,以此递推到总目标层,从而为最终的决策问题提供较为科学的定量依据。洗钱风险评估方法之一为层次分析评价方法,通过采用分级细化、确定指标分值权重、逐级加减汇总的方式,确定总体水平。如澳大利亚评估洗钱风险主要考虑两个因素,一是机构被用于洗钱和恐怖融资活动的可能性(剩余风险),若机构的内在风险(自身提供的产品、服务、销售渠道、面对的客户群体导致的内在风险)较高,但其各项内控政策措施足以有效管理风险的话,则剩余风险不大;如果被评机构属于公共机构,则被用于洗钱的影响就比较大,其内控风险模块和内在风险模块的风险值根据各自重要性加总,前者减后者得出剩余风险值。我国试行的金融机构反洗钱风险评估标准中,将风险指标划分为环境、产品/客户、控制、沟通和调整五类一级指标,通过对各类指标中的标准评价得分汇总得出整体风险,优点在于,整体风险或工作情况受多个控制点、事项或交易的影响,各指标的汇总得分情况能较好反映整体水平,其在工作绩效考核运用中的优势尤其明显。

审计风险值的确定方法与上不同,是在确定各类风险值(或风险高低)的基础上,对各类风险值进行数值乘算(或选用“高”、“中”、“低”等文字的定性描述),并通过矩阵表的方式计算确定风险,本文将此方法描述为矩阵评价方法。审计风险值具体确定方法为,审计风险=重大错报风险×检查风险(实务中,注册会计师不一定用绝对数量表示风险水平,还可以选用“高”、“中”、“低”等文字描述,即审计风险值可通过数值乘算,也可以定性确定),其中,检查风险取决于审计程序设计的合理性和执行的有效性,可以通过职责分配、提供针对性审计计划等方式解决。重大错报风险包括固有风险和控制风险,评估时可以单独对固有风险和控制风险进行评估,也可以合并进行评估。国内有关研究提议采用矩阵方式评价风险,第一种评价方法为,洗钱风险=固有风险×内控风险,其中,固有风险包括:国家/地域风险、产品/服务风险、客户风险;内控风险主要是指反洗钱内控制度及执行风险。第二种评估方法为:反洗钱风险=原本风险×管控风险×监管风险。与反洗钱风险管理的评估方法相似,金融机构洗钱风险水平受以下四个方面的因素影响:国家经济,所在行业、地域环境;反洗钱内控制度与内部环境;金融产品、服务及客户本身的洗钱风险水平;可疑交易报告的及时性和有效性。第三种评价方法为,金融机构洗钱风险=国家(地域、行业)风险×控制风险×产品(或客户)风险×交易监测风险(与审计风险评估相似,洗钱风险值可通过数值乘算,亦可定性确定)。

国外有关监管机构采取类似的矩阵评价方法,如德国运用12格矩阵表示不同的风险等级,对金融机构的风险评估方法为,金融机构洗钱风险=潜在洗钱威胁×反洗钱措施的质量,其中金融机构潜在洗钱威胁分为高、中、低三档,包括金融机构所处地理位置、业务范围、产品结构、客户构成及销售方式。反洗钱措施的质量分高、中高、中低、低四档,评估结果主要依据金融机构的年度审计报告。本文认为矩阵评价方法体现出风险与成本的一种均衡,避免将洗钱风险通过简单汇总各级指标分值的方式进行评价。主要体现在:一是控制成本。风险导向审计理论认为,机构内部行使控制职能的人员素质及控制成本影响控制效果,若实施某项控制成本大于控制效果而发生损失时,就没有必要设置该控制环节或控制措施。洗钱风险评估中,某金融产品被用于洗钱的风险较高,其相关控制风险也较高,但若金融机构的该类金融产品交易量很少,则其整体洗钱风险不能被认定为高风险,投入此部分的评估资源可以相对减少。二是风险项的交叉性影响。即各类风险相互之间的影响,如新客户“职业”登记为“其他或无业”的比例较高,则不能认定客户身份识别制度执行有效,被利用于洗钱的风险应该较高。三是不同类别风险对整体风险的影响程度。即当某类风险较高,而其他类风险较低时,须依据各类风险对整体的影响程度确定风险等级。金融机构的反洗钱义务在于预防,所有控制措施都是为做好可疑交易的监测、分析和报送服务,若客户身份识别制度和客户风险等级划分制度执行的很好,但监测分析人员的人数配置不够、分析能力不高,可疑交易分析系统的智能化不足,则应认定该单位的洗钱风险水平为高风险。

三、风险导向审计方法在洗钱风险评估方法中的运用

(一)运用抽样评价方法。审计抽样范围受所鉴定会计期间的影响,并针对该会计期间各类控制、事项或交易中的部分样本进行评价,通过样本推断总体,如年度财务报表审计,只有在审计报表期初余额,及评价期末、期后事项对报表的影响时,才会跨年度选取样本。洗钱风险评估相对灵活,可以对某一年度的洗钱风险进行抽样评估,也可以针对某类控制、事项或交易的样本扩大至若干个年度进行抽样评估。

(二)依据风险高低扩大或减少样本量。审计实务中,若认为被审计单位控制环境薄弱,则很难认定某一相关流程的控制有效,其实质性测试的样本量会大幅增加(实质性测试包括细节性测试和实质性分析程序,即对会计计量的真实性、准确性、合理性进行审查)。小型机构员工较少,限制了其职责分离的程度,虽然没有文件形式的控制要素,但了解管理层的态度、认识和措施及其控制环境非常重要,应该更多的采取实质性程序。洗钱风险评估可借鉴以上方法,若金融机构的内控风险很高,则其客户身份识别、交易记录保存及客户风险等级划分相关控制点就较难得到有效执行,继而影响异常交易分析识别的及时性和有效性,此时应扩大对异常交易分析及报告的样本量,确定洗钱风险的高低。

(三)整合取证手段。审计取证方法包括查阅、询问、观察、穿行测试、重新执行、实质性分析程序等方法,具体审计目的不同,取证手段和工作流程也不同。如对收入确认的完整性测试,由原始凭证追查至明细账(从发货部门的发运凭证追查至有关销售发票副本,再到收入明细账),而对收入确认真实性的审计流程与上述流程相反。洗钱风险评估中,如评价金融机构的可疑交易报告是否有遗漏,可以选取部分存量客户,从建立业务关系,到客户风险等级划分,再到可疑交易分析报告的整个流程进行取证;评价可疑交易报告是否合理,则与上述流程相反。在具体方法运用上,主要有以下几种可供借鉴。1、询问。向金融机构有关员工进行询问,获取与内部控制运行情况相关的信息。如果某项控制要求某一员工(复核人)在文件上签字以证明他复核该份文件,那么应询问其复核的性质,即对什么进行复核,复核的要点是什么,签字复核的意义等等。如个人独资企业、家族企业、合伙企业、存在隐名股东或匿名股东公司的尽职调查难度通常会高于一般公司,应询问此类尽职调查的方法和措施。2、穿行测试。追踪交易报告在业务流程中发生、处理和记录的过程。业务流程中存在多个风险控制点,如客户身份识别措施——身份识别记录——风险等级划分——交易记录保存——可疑交易提取、分析——复核确认——分析报告结论,通过穿行测试,掌握内控薄弱环节,及对整体风险的影响程度。3、重新执行。审计实务中,检查复核人员是否认真执行核对时,不仅应检查是否在相关文件上签字,还应选取一部分凭证如销售发票进行核对。在风险评估中,可以选取部分可疑交易报告,评判可疑交易分析复核的合理性;在可疑交易分析系统及风险等级划分系统(或者是功能模块)中,评估人员从相关系统调取客户身份资料(一般是开户资料)和交易记录,以评价系统设计的合理性。4、实质性分析程序。通过研究数据间关系评价一段期间的交易情况。审计实务中,实质性测试包括对各类交易、账户余额和披露的细节测试以及实质性分析程序(如财务指标的横纵向比较)。在洗钱风险评估中,可以运用到实质性分析程序,如“可疑交易量/同类型交易量”的横纵向比较,“未登记客户职业信息数量/所有客户数量”的横纵向比较;如私人银行业务的投资理财品种和交易金额的变动情况。

四、审计成本控制在洗钱风险评估成本中的借鉴

第2篇

【关键词】风险导向审计 风险评估 审计信息化

党的十七大报告中将原来的“四化”扩展为“五化”,专门加入了对信息化的要求。信息化已经广泛地应用于各个领域之中,审计工作也面临着冲击和影响,传统的审计理念、审计方法、审计手段已经制约了审计工作的发展,在信息化条件下不断提高审计质量,降低审计成本,加快审计信息化建设的进程,提高管理能力和水平,是审计发展的必然趋势。

一、审计信息化的现状

随着数据库技术、网络技术、存储技术的发展,审计所需数据可以比较方便的从被审计单位系统迁移或转换到审计业务系统中来,计算机审计已成为审计最重要的审计方法。改变传统的作业手段,加快审计信息化建设步伐,从审计模式上将各个允许减少人工作业的模块使用计算机自动分析,实现信息化集成和批量处理是审计发展的必然趋势。

二、审计信息化在风险评估中的运用

(一)风险评估在风险导向审计中的作用

风险导向审计以战略观和系统观思想指导重大错报风险评估和整个审计流程,其思维与流程主线可以概括为:审计风险主要来源于企业财务报告的重大错报风险,而重大错报风险主要来源于整个企业的经营风险和舞弊风险,审计风险模型把审计风险和重大错报风险有机的结合在一起。风险评估程序是注册会计师为了了解被审计单位及其环境,以识别和评估报表层次和认定层次的重大错报风险而实施的审计程序,是风险导向审计模式的重要组成部分。

(二)风险评估程序中如何运用审计信息化

首先,在风险评估程序中可以采取询问、分析程序、观察和检查等方法来对被审计单位进行初步的风险评估,在此层面上,可以采用信息化给予辅助的可以有以下方面。

询问管理层和相关人员获取相应报表编制环境信息的时候,询问人员的选择可以由计算机自动筛选,相关管理层的履历和报表年度业绩要求和管理权限也会反映在计算机数据上,有助于排查管理层的诚信问题和是否存在舞弊压力和动机;在员工人数比较多的被审计单位可以采用计算机网络调查问卷的形式进行询问,询问可以选择匿名或实名,更有助于发现问题,并由计算机后台自动比对询问结果,该结果可以作为注册会计师询问获取是否存在由于舞弊产生的重大错报风险的相关证据。

分析程序是能将审计信息化运用得最恰当的一个方面,将被审计单位业务情况市场情况以及相关业绩要求导入审计分析系统,将其与报表数据进行比对分析,计算机自动分析的结果可以有助于注册会计师快速识别出从数据层面上未被识别出的重大错报风险。

其次,在风险评估程序中,执业指南要求注册会计师从以下几个方面了解被审计单位及其环境:被审计单位所处相关行业状况、法律环境与监管环境及其他外部因素;被审计单位的性质;被审计单位对会计政策的选择和运用;被审计单位的战略目标以及可能导致重大错报风险的相关经营风险;被审计单位财务业绩的衡量和评价;被审计单位的相关内部控制。以下就从这几个方面探讨风险评估中如何运用审计信息化。

在了解相关行业状况、法律环境与监管环境及其他外部因素时,可以运用风险导向审计信息化系统建立行业信息资料库,按行业分类,审计人员在获得被审计单位授权后可以进行比对查阅;同时资料库对口连接各个监管部门的数据库,配套法规政策出台以及运用的时间点实现同步更新,按地区导入最新法律法规,按信息点分类检索一致性,实现智能化对接,一步检索到位;不仅能在了解层面对比被审计单位的相关外部因素,在后续的审计中检查合法合规性时也可以作为参考标准使用,减少重复工作。

被审计单位的性质和被审计单位的内部控制这两个可以同时通过风险导向审计信息化系统来进行分析,将被审计单位的各种所有权结构和治理结构对应分析,如果系统资源足够完善的话,还能通过比较识别出潜在的关联方和关联方交易,从而提示审计人员给予充分的关注;被审计单位的内部控制体系可以直接导入审计方的风险导向审计信息化系统,实现数据无缝转接,极大程度上减少了口头沟通和面对面审计模式。在实务中,审计人员如果选择信赖被审计单位的内部控制,都会适当减少控制测试和实质性程序,但内部控制中的人工成分不能全部依赖于系统的自动分析,还是需要注册会计师的人工识别。

在了解被审计单位对会计政策的选择和运用时,风险导向审计信息化系统可以将从被审计单位收集到的会计账务具体处理方式和非数据信息分门别类,和现有的会计从政策逐一核对,将核对结果反映给审计人员,由审计人员做简单的职业判断即可,如有与常规会计处理不一致的交易将被系统自动识别出来,作为风险点反馈给审计人员。

在了解被审计单位的目标、战略以及可能导致重大错报风险的相关经营风险时,被审计单位的经营状况应放到大经济环境中加以考虑,被审计单位在历年审计中所提到的目标战略应该在审计信息化系统中保留下来,在承接新的审计任务时,可以通过密钥或相关授权得到历年的非数据信息,减少审计人员盲目收集资料的时间;对于被审计单位的业务拓张和新产品开发将会由系统上指派的行业专家进行评估,避免审计人员由于不了解行业而做出错误的职业判断,这一评估过程将由特定的保密措施约束,被审计单位有权在系统中申请关闭本单位新产品和新战略信息的评估权限。

在了解对被审计单位财务业绩的衡量和评价时,关键业绩指标的取得和比较是分析重大错报风险的关键。现在的审计实务中,相应的指标数据都已经可以由计算机自动计算完成,但是比较的过程还是由审计人员逐一核对,新的风险导向审计信息化系统应该能够把指标数据通过相应模型进行横向纵向自动对比,自动标示出非线性变化点或异常点,再由审计人员将其导入审计风险模型中进行分析,以便确定进一步审计程序;管理层的奖金和激励性绩效如果和利润挂钩,运用系统导入同行业高管薪酬水平和利润率进行比较,可以很好的检测出是否存在管理层舞弊的潜在风险。

(三)风险应对中如何运用审计信息化

现有的审计信息化软件仅能将同质化的会计信息数据迁移,然后进行自动比对,一般的核对项目仅限于和管理层认定进行比对,做出相应审计成果汇总。但在绝大多数审计中,报表层次的重大错报风险是和特别风险紧密联系的,特别风险的辨别不容易被常规处理所发现。

三、对于审计信息化与风险导向审计结合的延伸思考与展望

现代风险导向审计模式中重大错报风险的评估,很大程度上依赖于审计人员的职业判断,新的风险导向审计信息化系统完善后,审计人员只需要把被审计单位的基本信息导入系统,就可以得出相应的风险评估指标数据,极大了节约了审计成本。但是,由于风险导向审计信息化系统的公共性太强,这就对系统的安全性和可能接触到系统的工作人员的职业道德提出了更高的要求。

风险导向审计信息化系统很大程度减小了审计人员和被审计单位的信息不对称的可能性,在一定程度上约束了被审计企业信息造假的可能性,更大程度的发挥了审计的经济监督职能。

参考文献:

[1]蔡毓瑾.浅谈内部审计信息化[J].财经界(学术版),2012,(2).

第3篇

一、以排序经营风险大小为重点,编制计划,确定项目

根据企业经营风险的大小来编制年度审计计划和确定审计项目,是配合企业年度风险战略、对年度审计任务所做的安排,是企业年度计划的重要组成部分,也是体现风险评估重要作用的首要环节,其中的关键步骤是制定选择被审计者的策略和按风险水平对潜在被审计者进行排序。以产能建设项目投资专项审计为例,按照因果树方法进行定性分析,从“战略目标——影响因素——开发优势——投资价值”等链条环节逐一分析评估,认定“产能建设及其投资效益的不确定性成为高风险因素”,最终将产能建设投资专项审计项目列入年度审计计划。该环节主要步骤是:

根据企业风险评估情况编制年度审计计划时,要具体考虑以下几方面因素:上一次审计的日期和结果,审计间隔期越长,风险就越大;企业对前次审计的整改情况,整改不彻底或未整改,说明风险较大;企业内部控制的强弱,薄弱环节或缺陷越多,说明内部控制不健全或执行不到位,越应该进行审计;重要业务领域,如资金管理、投资管理、物资采购等业务,存在风险的可能性较大,应该进行重点关注;企业领导特别关注的问题,此类问题存在特殊性、重要性的特点,应优先安排审计;职工群众普遍关注的热点、难点问题,是属于容易引起大家争议的领域,存在一定的风险,需要重点关注;企业风险防范措施的充分性、有效性;审计人员的胜任能力,也是编制年度计划、确定审计项目时需要考虑的问题。

对企业风险进行评估时可灵活采用以下方式:安排审计人员查阅以前年度内外部审计和检查的档案资料,结合实际情况分析企业存在的风险;组织不同部门人员、不同行业的专家进行讨论,分析企业面临的风险;聘请中介机构对企业面临的风险进行评估。

二、以识别风险评估范围为导向,开展调查,圈定重点

审计部门按照年度审计计划,按期逐项实施审计项目。审计项目准备阶段的主要任务是组建审计组,选择配备审计组长和主审,进行审前调查,制订审计实施方案。其中,集中体现风险评估手段的是审前调查,采取的主要方法是分析性复核和内部控制测试。主要步骤是:

在该阶段,应予识别和评估风险的范围包括被审计者所有领域和所有经济活动、业务流程;风险类别既有固有风险,也有控制风险。通过分析审前调查资料,不仅要了解企业与外部环境的联系,发现潜在的重要风险;还要根据重要战略风险和重大交易类别确定关键经营环节并进行分析,识别企业面临的经营风险;然后根据分析情况,逐项列明企业经营风险清单,将审计范围内的高风险领域作为审计重点。审前调查的主要内容包括:企业的经营规模、行业特点等内外部环境;产供销活动、投资活动、筹资活动、财务报告等相关经营信息;内控体系建设、风险应对机制、风险管理过程等内部控制信息。

在审前调查中,审计人员可用以下方式获取企业资料:通过询问企业管理层并进行讨论,了解风险管理、信息管理、战略管理方面的有效性;通过查阅企业内外部审计档案、会议记录、财务报表、公司文件等内部资料,了解经营模式、关键绩效指标、内控流程等相关情况及存在的内部风险因素等;查阅有关财务制度和行业法律法规、行业发展趋势、本企业在行业中的地位、该行业其他公司的年度报告等外部资料,掌握企业经营管理、客户信息、竞争对手、发展前景等方面信息,了解企业外部环境中存在的有利、不利因素,以及潜在的风险点。

三、以计价风险影响程度为参考,拟定方案,分配资源

审计小组在审前调查结束后,应根据审前调查掌握的风险程度编制审计工作方案。在审计方案中要着重考虑以下几个方面:首先根据已列示的企业重大风险清单,通过分析,确定是目前已存在的风险还是潜在风险,以及风险发生的可能性;然后按照风险程度高低,确定现场审计的时间、范围、审计程序及查证重点;最后根据上述内容,拟定适用的审计方案,合理分配审计资源,如安排业务能力强的审计人员对高风险领域进行全面详细检查;对不同层次的风险领域,安排不同的抽样比例进行检查,以突出审计重点,提高审计效率与效果。

分配审计资源时,可以采用风险计算公式:风险=暴露的金额×可能性×发生频率。以计分的方式,将风险大的领域或环节作为审计的重点,从而使现场审计的目光始终聚焦于重大风险领域。另外,在配备审计人员时除选派本部门专职审计人员外,还应考虑配备具有丰富风险管理经验的专业人员。尤其在实施大型审计项目时,审计组成员除专职审计人员参与外,可聘请风险管理、计算机、计划统计等方面的专业人员参与;对于一般审计项目,可在审前培训中增加有关风险管理知识和技能的培训,加强审计人员在风险分析、风险评估等方面的学习与讨论,为顺利实施审计打好基础。

四、以分析偏高风险领域为目的,把握方向,锁定难点

审计组在上述各项准备工作完成后,要按审计通知书要求进驻企业。首先要召开进点动员会,听取企业关于基本情况的汇报,向对方明确本次审计的目的、主要内容并提出相关要求。其次要开展现场查证,现场查证的内容与审前调查内容有所不同,现场查证的内容更具体,更侧重于企业各经营环节,尤其要关注是企业高风险领域、关键经营环节的内控测试。通过现场查证要进一步分析企业存在的经营风险并按风险大小进行重新排序,若分析结果与审前调查有差别,应重新调整审计实施方案,调整审计测试的范围、重点以及分工,做到把握好审计方向,锁定下一步的工作难点。

结合《内部审计实务标准》要求,笔者认为,该阶段按风险大小进行重新排序时应围绕以下几个方面:涉及财务暴露的问题,交易金额大的,存在风险也越大,应予以先审;涉及可能出现的损失或风险,损失或风险大的事项或业务应进行先审;涉及企业决策层要求的事项或重点关注的领域,应安排优先审计;涉及经营管理、计划目标、内控系统方面存在重大变动的事项,要先行关注;曾使内部审计部门取得较大审计成果的事项,也应属于先审之列。

五、以测试潜在风险环节为基础,获取证据,实施评价

笔者认为,因为我国目前企业治理结构及内部控制制度还不完善,当内部控制存在缺陷而审计人员未发现或测试内部控制不充分时,会出现极大的风险,因此在实务操作中应把企业内部控制测试作为必需程序,通过实质性测试,充分揭示企业经营管理中潜在的风险隐患,并对各种风险的程度、发生的可能性以及可能造成的损失等进行评估,在此基础上获取充分、适当、有效的审计证据,形成具有说服力的审计发现。控制测试时不能局限于会计控制系统,而更应侧重经营风险控制的测试,以确定企业是否有效控制了经营风险。若测试过程中发现某经营环节特别是关键环节控制不存在、控制设计不合理或存在重大缺陷、内控执行不到位或执行无效等情况,审计组长或主审应考虑调整审计实施方案,扩大实质性测试范围或采取其它替代程序,尤其是对于各类重大交易事项必须进行实质性测试。

第4篇

关键词 风险评估 内部审计 应用实践

随着我国市场经济不断地发展和壮大,银行的各项事业都面临着重任,内部审计工作也不例外。然而,我国银行在开展内部审计的工作过程中还存在一些问题,制约着相关工作效率的提升。本文以银行内部风险评估的方式作为文章内容的切入点,并对相关的解决措施进行了详细的阐述。

一、银行内部风险评估的方式

(1)关于风险管理模式的选择。银行在对风险进行分析和评估的过程中,其内部审计部门一方面通过风险控制系统的应用,来了解银行进行风险控制水平;另一方面是采取有效的风险评估模式来对对风险程度进行有效评估。通过对风险的掌握程度以及抗风险能力的了解,来加速推进银行的发展进程,并给予正确的评价。银行在发展的过程中,无论是银行的风险还是其固定风险都和控制风险密切相关,固定风险指的是未经过银行的内部控制,会计处理和被审计的对象这两者之间发生差错的概率。控制风险指的是会计处理和被审计的对象这两者的差错没有被银行内部的控制系统纠正过来的概率。结合控制风险和固定风险的概率成积,就可以得出,银行在内部的控制下,所遗留的风险值。不难看出,风险评估系统在促进银行的发展方面有着不容忽视的作用,通过风险值数的获得再结合银行承受风险的能力,从而为银行提供行之有效的风险管理模式。

(2)对风险评估过程的探索。在进行风险评估过程的探索中,设计的主要内容有对风险事项加以明确、对审计对象进行划分、了解风险因素、对风险程度的测算、对风险能力进行评价和控制等等,具体内容如下:1)对审计对象进行划分。在对审计对象进行划分的过程中,应秉持不同维度不同划分方法的原则,帮助银行管理和内部审计工作人员之间能够进行良好的沟通,以便能在对审计对想进行风险评估的过程中,能够有效地分析结果,并对银行的审计工作提供更有效地指导。审计的维度,主要指的是银行结合自身的实际情况,对选择合适的发展战略。此外,在进行审计对象划分的过程中,可以结合银行的内部管理、产品类型、组织机构等方面的情况,使划分工作更具合理性和科学性。2)对风险事项加以明确。风险事项主要包括确定风险类别,也包括对风险因素和事件的明确。在进行类别划分的过程中,应把银行的运营情况、外部监管、成本效益纳入考虑范围之内。现阶段,我国银行面临的风险主要有法律风险、信用风险、市场风险、战略风险等等。风险因素主要包括资金、监督、技术的管理以及市场竞争等方面。3)对固定风险的测算。在开展固定风险的测算中,应考虑到发生风险的概率和影响程度这两方面因素。发生风险的概率测量算要结合具体情况对风险等级进行划分。而风险影响程度主要考虑的是银行的资产成本损失程度和安全系数等方面的情况。只有进行科学的固定风险测算,才能对银行在不断快速的发展中因风险带来的危害进行有效识别,才能为银行的高效发展提供有效的决策。4)对风险能力进行评价和控制。银行应结合固定风险的大小,对自身的抗风险能力进行预算和客观的评价,采取的预算方法有很多,比如,穿行测试法和差距分析法等等,从而得出企业控制风险的能力。同时,在进行风险评估的过程红,应对剩余风险进行最后的计算,以便为企业的深入发展提供可靠的信息和资料。

二、我国银行内审风险评估结果的应用与延伸

(1)以银行内审风险评估为中心整合审计资源。由于我国商业银行内部审计起步较晚,相比与发达国家银行内部审计较为落后,审计资源很难满足日益猛增的业务发展需要。目前,我国经济持续高速发展,商业银行发展势头迅猛,然而,我国商业银行内部审计资源稀缺,相关从业人员占银行总体员工比重较低,且专业技能素质参差不齐,难以满足繁复的银行内部审计工作需要。使得我国商业银行行业的网上银行、个人贷款、信息安全、理财产品等新兴业务面临巨大的风险。因此,为了提高银行内部审计部门工作效率和效果,必须要以风险为导向,科学合理的配置审计资源,将有限的审计资源按照风险评估结果分配到最需要的审计环节,并制定科学严谨的审计制度、审计工作流程、审计计划,明确审计项目及审计频率,从而对银行业务、经营的各个关键环节进行有效的监管。通过对银行业务进行全面的风险评估,发现并控制风险较高的业务领域,并分配审计经验丰富的人员进行审计。

(2)对风险管理进行完善。我国银行的风险管理框架正在构建的过程中,银行应结合国资委和银监会的要求,把流程再造、机构设置和人员配备作为入手点,从而有效实现对多种风险的全方位管理。而银行内部审计的风险评估工作的有效展开,不仅能够对制定审计计划以及审计方法进行有效的指导,同时,也能使银行内部的风险管理更具合理性和科学性。风险评估的结果有效地将各审计单元所剩余的风险程度反映了出来,并能够及时发现一些潜在的风险因素,优化内部控制的流程,对相关体制进行完善,强化风险管理,有效地促进银行风险控制能力的提升,以顺利实现控制目标。

(3)在以风险为导向的基础上对审计重点进行确定,实现内审职能地有效转变。我国银行的风险评估工作处于初级阶段,还没有较为成熟和完整的风险评估体系,银行要想依靠风险评估结果来指导银行的相关工作还有很长的一段路要走。因此,银行内部的审计部门能应将风险评估理念贯彻到银行开展各项工作的始终,从而促进审计工作质量和效率的提升,有效推进全面风险评估的发展进程。我国银行内部的审计部门一般都是从稽核监督部门转化而来,过去的工作注重的是查错纠弊的内容,其关注的对象也是银行内部的控制系统,这种在没有对风险进行评估,就对控制系统进行关注的工作模式存在着一定的弊端,主要体现在,控制的改变速度无法跟上经营环境的快速变化,而对已经成为过去式的控制并和当前所面临的风险无关进行的审计是毫无意义的。可以说,进行有效控制的前提就是对当前风险进行有效评估,由此可见,控制是依附于管理风险而存在的。而在对风险进行评估的基础上进行的风险导向审计,使工作人员在开展工作的时候更关心面临的风险,从而使审计工作更具针对性和目的性,有助于快速实现工作目标。

三、结束语

通过提升银行内部审计工作质量的渠道来促进银行的可持续发展是具有一定的现实意义的。而风险评估作为银行内部审计工作的重要内容,银行应给予其足够的重视,积极探索新的工作模式,转变工作理念,对风险管理进行完善,在以风险为导向的基础上对审计重点进行确定,实现内审职能地有效转变,提高银行抵抗风险的能力,只有这样,才能有效降低银行所面临的风险,为其高效长久可持续发展保驾护航。

(作者单位为中国农业银行审计局武汉分局)

[作者简介:桂艳芳(1978―),女,湖北武汉人,本科,中级经济师,研究方向:审计。]

参考文献

第5篇

关键词:期望审计风险评估;锚定与调整启发法;锚定效应

中图分类号:F830.5 文献标识码:B 文章编号:1674-0017-2013(2)-0023-07

一、引言

期望审计风险水平是指审计人员在对特定项目实施审计之前,预先确定的愿意承受的审计风险水平,是审计风险控制系统的控制目标和输出。审计人员在审计计划阶段,往往要预先确定一个可以接受的审计风险水平,然后以此为目标,制定具体的审计策略,并尽力地把审计风险控制在期望水平以下。

上世纪七十年代,Tversky和Kahneman(1974)根据大量的观察和实验发现了人们在不确定条件下进行的判断与传统经济理论所假定的那种理性判断之间会发生系统性偏差的机理,从而奠定了行为经济学的基础。近二十多年来,行为经济学的理论不断地被应用于金融与管理领域的研究中,取得了许多有意义的成果。特别是在审计研究上,行为经济学的应用受到了越来越多的重视(彭桃英,2010)。

在期望审计风险评估主体进行风险评估的判断与决策过程中,他们面对的同样是不确定性的环境。作为理性的经济人,评估主体(在本文中我们假定是审计人员自己评估审计风险)对期望审计风险评水平的确定不应受到以往有关期望审计风险评估结果的影响,而且应该根据新获得的信息,科学地进行评估。但实际情况是否如此,是一个有待检验且尚未见人尝试的重要问题。如果在这方面也的确存在锚定效应,即存在依赖以往评估结果的系统性认知偏差,那么,这一研究对于审计人员克服期望审计风险评估中的认知偏差,更加客观和科学地利用新信息,提高审计风险控制能力,就具有十分明显的实践意义。

二、文献回顾

在审计实务中,审计人员只有将实际审计风险水平控制到低于或等于期望审计风险水平时,才能结束审计工作。既然期望审计风险水平的确定对审计工作如此重要,那么哪些因素是评估时应该考虑到的或有哪些因素比较重要呢?刘峰、景东华(2002)认为确定合理的期望审计风险水平,必须综合考虑审计风险的影响力度、被审单位的经营风险,同时尽可能降低审计人员主观判断对期望审计风险水平的影响。员鸿琬等(2004)认为,对期望审计风险水平有影响的主要因素包括:一是审计结束后发生法律诉讼可能性的大小及败诉受到惩罚的严厉程度;二是审计市场的竞争性;三是审计人员对审计风险的偏好;四是审计人员自身的职业道德。同时还应关注以下三个因素对期望审计风险水平的影响:一是外部使用者对会计报表的信赖程度;二审计报告日后被审计单位陷入财务困境的可能性;三是管理部门的正直性。赵春萍、邵世文(2003)讲述了确定期望审计风险应考虑的一个重要因素是企业会计报表使用者对报表的依赖程度,该指标可以从客户规模、所有者的分布、负债的性质和数额这三个方面进行考核。

Kinney和Uecker(1982)以154名注册会计师为被试进行了两个实验,通过改变样本规模和样本误差数来检验注册会计师判断控制风险时的锚定效应,两个实验的结果均表明被试的判断明显存在锚定效应。Biggs S和Wild J (1985)以121名注册会计师为被试,实验结果再次证实了Kinney和Uecker(1982)的实验发现,被试发生了锚定效应,但是被试是否更加谨慎无法确定。Presutti(1995)以62名注册会计师为被试,发现以前年度审计抽样信息对被试的判断产生了显著影响,对本期的判断具有锚定效应;而且被试表现的更加谨慎,提供以前年度审计信息的被试大大高估实验任务中销售循环的控制风险。

我国关于锚定和启发法的研究刚刚起步,仅在审计判断研究领域有了一些初步的研究成果,如张继勋(2002)通过理论分析认为我国注册会计师存在锚定效应。此项研究对于理解注册会计师的判断过程,避免审计判断偏差和检验审计准则的有效性具有重要的意义。杨明增、张继勋(2007)以我国注册会计师审计为背景,以控制测试为实验任务,验证了我国注册会计师审计判断中的锚定效应:在有以前年度信息的情况下,注册会计师对本期控制风险的评价更加谨慎,控制风险的估计水平更高。李斌等(2008)认为,锚定效应是普遍存在的一种现象,只要是在不确定状态下的判断过程中,人们往往会出现这样的错误。

上述有关期望审计风险影响因素的文献对影响因素的总结大同小异,且没有比较全面地、分类别地、有层次地显示出来。在本文中,将通过编制一个包含了大量影响因素的问卷调查表,并对其进行数据分析,得出每个因素的权重大小;然后,将扩展审计判断中的锚定效应研究到期望审计风险评估过程中来,试图克服目前相关文献中这方面研究的不足。

三、问卷设计及数据分析

(一)问卷设计

除了对相关文献中关于期望审计风险评估的影响因素的借鉴之外,为了对影响期望审计风险水平及各因素的影响程度有更为全面的了解,也为了给实验部分的变量设计提供更多可靠及适当的选择,在设计调查问卷后,先进行了小规模的问卷调查。在调查过程中,向被测试者咨询、请教与讨论,不断改进问卷的因素设置与分类,最终得到了一份包含四个大因素、二十三个子因素的调查表。在正式的较大规模的问卷调查中,被测试者普遍反映这份调查表是适合我国审计实务环境的。包含了这二十三个因素的四大因素分别是审计失败的不良影响、被审计单位经营风险、被审计单位有无舞弊动机及审计人员或会计师事务所方面的因素。

问卷由两个必答问题与一个任答问题组成,其中,第一个必答问题是为了调查影响期望审计风险评估的上述四大因素依各自的影响程度所占的权重;第二个必答问题是将问题一中的四大因素分别细化为多个具体的影响因素,针对每个具体因素的影响程度分五个等级打出相应的分数(回答采用5点量表,“非常重要”、“比较重要”、“一般”、“不重要”到“无关”,分别记4-0分);问题三是属于一个附加的任答问题,针对部分审计人员认为除问题二中列举的因素外,还可能存在其他因素会对期望审计风险评估产生某种程度的影响,可以作出补充。

(二)问题一的结果分析

有效问卷中对第一个问题的结果描述与统计。其中,表1是将各个总体因素的权重分别取最大权重、最小权重以及求平均值后得出的结果;表2是对回答者中认为各因素权重最大的问卷数量所作的统计。

由上表可以看出,被审计单位的经营风险对审计人员期望审计风险水平评估的影响程度所占的权重最大,为38.72%;审计失败的不良影响权重次之,为25.69%;被审计单位的舞弊动机权重为19.93%;事务所或审计人员主观因素权重最小,为15.62%。

从上表可知,有57.86%的审计人员认为被审计单位经营风险对期望审计风险评估的影响程度最大,有17.36%的审计人员认为审计失败的不良影响对期望审计风险的影响最大,有15.28%的审计人员认为被审计单位有无舞弊动机对期望审计风险评估的影响最大,而只有11.11%的审计人员认为会计师事务所或审计人员主观因素对期望审计风险评估的影响最大。

(三)问题二的统计结果

表3是对问卷中问题二的结果统计,通过求平均分值描述四大总体因素的各子因素对重大错报风险评估的影响程度。

从上表可以看出,在审计实务中被审计人员重点考虑的前五个因素是:遭受法律诉讼的可能性大小、被审计单位盈利能力、事务所业务竞争程度、被审单位管理人员遭受的异常压力、审计人员职业胜任能力。这里的分析结果为本文实验变量的确定提供了重要依据。

四、研究假设

锚定与调整启发法理论及前景理论认为,人们在进行判断和决策时,为了提高决策效率,往往会利用最易获得的信息去建立参照点,此参考点即为锚。期望审计风险水平的评估过程中,过去的评估值就可能被认为是本年度的一个初始值。审计人员在审计之前要全面性地了解被审单位的有关重大经济活动、重大经济决策,认真查阅其上年接受审计的情况,在判断上年期望审计风险水平合理的情况下,审计人员可能将上年期望审计风险水平当作“锚”。由于本文是在被审计单位经营状况正常的情况下开展研究的,因此,我们提出以下假设:

假设1:在不确定性环境下,审计人员在进行期望审计风险评估时会产生锚定效应,即,以前年度的期望审计风险评估结果对本年度的期望审计风险评估结果产生显著影响。

锚定与调整启发法认为,在存在不确定性的情况下一旦确定了初始值,决策者就会在初始值的基础上,根据获得的新信息不断进行调整并得出最终的判断。根据这一理论,在期望审计风险评估过程中,审计人员在对其承接的审计业务进行期望审计风险评估时,会尽可能全面地搜集与期望审计风险评估相关的信息。由于这些信息对期望审计风险评估结果的影响程度不一,这时就需要审计人员凭以往的经验,对哪些信息是作出期望审计风险评估调整的重要依据进行主观判断,并不断在心中做出评估调整决策,形成最终评估结果。据此,我们提出假设:

假设2:在不确定性环境下,审计人员会根据所获得的新信息在初始评估的基础上重新调整其期望审计风险评估结果。

由问卷调查结果可见,在所有子因素中,客户的盈利能力、遭受法律诉讼可能性大小这两个子因素的影响排在前两位。因此,该两个因素是审计人员在进行期望审计风险评估时必须加以权衡的因素。问卷调查结果还显示,审计人员中57.86%的比例认为,被审单位的经营风险因素对期望审计风险水平的评估影响最大。据此,我们提出以下假设:

假设2a:在上年度期望审计风险评估水平一定的情况下,若被审单位盈利能力较上年有所提高,考虑这一新信息会导致审计人员在上年评估结果的基础上调高其期望审计风险评估水平。

假设2b:在上年度期望审计风险评估水平一定的情况下,若被审单位盈利能力较上年有所降低,考虑这一新信息会导致审计人员在上年评估结果的基础上调低其期望审计风险评估水平。

问卷调查结果显示,除了被审单位盈利能力这一影响因素占了很大权重外,发生法律诉讼可能性大小的评估得分也非常高,因此,我们把遭受法律诉讼大小这一子因素作为第二次调整信息,提出以下假设:

假设2c:在上年度期望审计风险评估水平及被审单位盈利能力一定的情况下,若会计师事务所或者审计人员遭受法律诉讼的可能性增大,则会导致审计人员在先前评估基础上调低其期望审计风险评估水平。

假设2d:在上年度期望审计风险评估水平及被审单位盈利能力一定的情况下,若会计师事务所或者审计人员遭受法律诉讼的可能性减少,则会导致审计人员在先前评估基础上调高其期望审计风险评估水平。

五、实验设计

(一)变量的选取与实验过程

从表1,本实验的三个操控自变量是:上年期望审计风险评估水平、被审单位盈利能力与会计师事务所审计工作结束后遭受法律诉讼的可能性大小。每个变量有两个水平,上年度期望审计风险评估结果为两个水平:上年期望审计风险评估水平有两个水平:高水平(L1)、低水平(L2);被审计单位盈利能力有两个水平:较高(P1)、较低(P2);会计师事务所遭受法律诉讼的可能性有两个水平:较大(S1)、较小(S2)。相应地,作者设计了一个2×2×2三因子的八种方案实验,作者采用随机的方式分发给参与实验的被试,这八个方案为:L1P2S2、L2P2S2、L1P1S2、L1P1S1、L2P1S2、L2P1S1、L1P2S1、L2P2S1。

本实验的被试是参加湖南省注协培训的多家会计师事务所的部分审计从业人员,共240人。实验首先要求被试阅读实验的背景信息,之后每阅读完一个资料信息后给出一个合理的评估结果。案例资料提供了三个重要的资料信息,一是上年度期望审计风险水平评估结果;二是被审单位的盈利能力大小;三是审计人员或会计师事务所遭受法律诉讼可能性的大小。因变量(AP)就是被试根据所给信息相应做出的每一次风险评估,评估结果按影响风险的程度分为无关、不重要、一般、比较重要、非常重要五个水平,分别给予分值0、1、2、3、4分。由于三个自变量的信息是要求被试者按先后顺序依次阅读的,每位被试都将依次做出三次评估。

为了保证实验的内部效度,选择一个对被试来说合适而且熟悉的审计判断任务是非常重要的。本文选择了最普遍的年报审计项目作为案例背景。同时,为保证实验设计的实际适用性,在正式实验前,我们先进行了小规模的问卷发放,并在问卷发放现场与被试审计人员探讨了实验问卷中存在的不足之处。最终经过对个别子因素和标度的级数调整,问卷设计在大规模发放时得到被试的普遍认可。

为了在一定程度上保证审计证据与审计判断选择和审计意见选择之间因果关系的明确程度,必须控制额外变量对实验效果的影响。本文主要通过审计人员的职位、学历、从事审计工作年限以及审计人员的年龄等方面来反映不同实验组的被试是否存在显著差异。虽然我们在实验开始前对被试的分组是随机进行的,但是为了消除未预期的混淆效应,本文对被试的随机分配进行了检验,检验的结果表明实验组之间在审计人员的职位、学历、从事审计工作年限以及审计人员的年龄等方面不存在显著差异。同时,为了测试证据操纵的效度,我们就被试对每个问题的回答进行操作性检验。检验结果表明,由于错误的判断在整个判断中所占的比例很小,因而,可以认为对证据判断的操作是有效的。

(二)实验结果及分析

实验完成后共收回165份问卷,剔除无效的21份,有效份数为144份。我们将实验结果数据用Excel加以整理后,用SPSS17.0软件进行了描述性统计分析、独立样本均值T检验。

1、描述性统计分析

从表4中各种信息状况下审计期望风险评估的均值可以看出:审计人员在进行重大错报风险评估时,上年度期望审计风险被评估为高水时评估当年的期望审计风险水平要高于上年度期望审计风险被评估为低水平时评估当年的期望审计风险水平(L1下的3.51远高于L2下的1.90),这体现了上年度的风险评估结果对当年风险评估的影响;审计人员在上年度风险评估水平相同的情况下,被审单位盈利能力较上年提高时做出的第二次评估均值远高于被审单位盈利能力较上年降低时的评估均值(L1P1下的4.25远大于L1P2下的3.08、L2P1下2.94大于L2P2下的1.47),说明若被审单位盈利能力较好时,期望审计风险的评估水平也会随之提高;被审单位上年度期望审计风险评估水平与被审计单位盈利能力相同时,审计人员在作出风险评估时,审计结束后发生法律诉讼可能性大小也会导致风险评估的差异,发生法律诉讼可能性大时的评估均值小于发生法律诉讼可能性小时的评估均值(L1P1S1下的3.33小于L1P1S2下的4.89、L2P1S1下的1.78小于L2P1S2下的4.28、L1P2S1下的2.06小于L1P2S2下的3.83、L2P2S1下的1.11远小于L2P2S2下的2.94),这是审计人员考虑了发生法律诉讼可能性大小之后的评估结果。

2、独立样本均值T检验分析

表5显示了审计人员在只获取上年度期望审计风险评估水平(高水平或低水平)的情况下做出的初始评估均值之间是否存在显著性差异。结果表明,这两组初始评估结果的方差有显著性差异(F=44.832,P=0.000

由理论分析可知,风险评估人员在获得一个新信息后,会将初始信息与新信息综合考虑形成一个新的风险评估结果,即在初始评估基础上适当地调整。表6是对考虑被审单位盈利能力的情况后第二次评估与未提供任何信息下的初始评估的均值是否存在显著性差异进行检验。从表中信息可知,当上年度期望审计风险被评估为高水平时,这两组评估结果的方差差异显著(F=22.577,P=0.0000.05),在接受方差相等假设的情况下,两组的风险评估结果均值存在显著差异(T=-7.567,P=0.000),说明若被单位盈利能力较低时,审计人员考虑这一新信息则有可能在初始评估的基础上调低其期望审计风险水平。

相比表6,表7则是对提供被审单位盈利能力的第二次评估与未提供该信息下的初始评估的均值是否存在显著性差异进行检验。从表中信息可知,当上年度的期望审计风险被评估为高水平时,两组评估结果的方差存在显著性差异(F=16.361,P=0.0000.05),在接受方差相等假设的情况下,两组评估结果的均值存在显著性差异(T=3.301,P=0.001)。实验结果充分说明,上年度期望审计风险评估结果一定时,若被审单位盈利能力较上年降低,审计人员考虑这一新信息则极有可能在初始评估的基础上降低其期望审计风险评估水平。假设2b成立。

表8与表9是检验风险评估人员在进一步得到有关审计结束后遭受法律诉讼可能性大小的信息后所做出的第三次评估,其是否在第二次评估的基础上加以调整,其中表8中进一步提供的是遭受法律诉讼的可能性大的新信息。从表8的检验结果可知,所有信息状况下的前后两组评估的均值均呈现调低的趋势。各组评估结果的方差有三组不存在显著性差异,在接受方差相等的假设下,这三组的评估水平均值存在显著性差异,验证了当上年度期望审计风险评估水平及被审计单位盈利能力相等时,若发生法律诉讼可能性大时,审计人员极有可能在先前评估基础上调低其期望审计风险评估水平。另外,有一组方差存在显著性差异,在接受方差不相等的假设下,这组的均值存在显著性差异,同样验证了当上年度期望审计风险评估水平及被审计单位盈利能力相等时,若发生法律诉讼可能性大时,审计极有可能在先前评估基础上调低其期望审计风险评估水平。假设2c成立。

表9中进一步提供的是审计结束后发生法律诉讼可能性小的新信息。实验结果表明,所有信息状况下的前后两组评估结果的均值均呈现调高的趋势,除L1P1S2与L1P1这组外,其他组的评估结果方差均存在显著性差异,说明在考虑到发生法律诉讼可能性较小后,审计人员在第二次评估的基础上可能会适当调高期望审计风险评估水平,验证了当上年度期望审计风险评估水平及被审计单位盈利能力相同时,若发生法律诉讼可能性小时,风险评估人员有可能在先前评估基础上调高其期望审计风险评估水平。假设2d成立。L1P1S2与L1P1这组方差存在显著性差异,在接受方差不相等的情况下,均值结果存在显著性差异。同样验证了假设2d。

假设2a、假设2b、假设2c及假设2d的成立充分验证了假设2的成立,即在不确定性环境下,审计人员运用锚定与调整启发法进行期望审计风险评估时,会根据所获得的新信息,在初始评估的基础上重新调整其期望审计风险评估水平。此外,我们对被审计单位盈利能力及审计结束后审计人员或会计师事务所遭受法律诉讼可能性大小是否对期望审计风险水平评估产生显著影响做的补充性T检验,也得到了肯定性结果。

六、结论

本文在问卷调查的基础上,将被审计单位的盈利能力和遭受法律诉讼可能性大小作为新的信息,根据被测试者在这两个信息基础上依次进行的调整,检验了审计过程中期望审计风险水平评估中的锚定效应。结果表明:第一,在进行期望审计风险评估时,审计人员会受到锚定与调整启发法的影响,上年度有关期望审计风险的评估结果会产生锚定效应,对初始评估产生显著影响;第二,在不确定性环境下,审计人员运用锚定与调整启发法进行期望审计风险水平评估时,会根据所获得的新信息,在初始评估的基础上重新调整其风险评估。例如,在上年度期望审计风险评估结果相同的情况下,若被审计单位本年较上年盈利能力有所提高,审计人员考虑这一新信息会导致他在初始评估的基础上调高其期望审计风险评估水平;若审计结束后遭受法律诉讼可能性较大,审计人员将在先前评估基础上调低其期望审计风险评估水平,等等。此外,被审计单位盈利能力及发生法律诉讼可能性大小等因素对审计人员在作出期望审计风险评估方面都有显著影响。

总之,期望审计风险评估中的锚定效应与调整是客观存在的。因此,提高业务素质,克服非理,是提高审计人员的审计风险评估能力和审计风险控制能力的一条重要途径。

参考文献

[1]Biggs S,Wild J. An Investigation of Auditor Judgment in Analytical Review[J].The Accounting Review, 1985(4):607-633。

[2]Kinney W R J,Uecker W. Mitigating the Consequences of Anchoring in Auditor Judgment[J].The Ac-counting Review,

1982(1):55-69。

[3]李斌,徐富明,王伟,龚梦园.锚定效应的研究范式、理论模型及应用启示[J].应用心理学,2008,(5):269-275。

[4]刘峰,景东华.期望审计风险水平探析[J].四川会计,2002,(2):41-42。

[5]彭桃英.行为经济学在独立审计中的应用研究[C].北京:财政部财政科学研究所,2010。

The Research on the Anchoring Effect of the Assessment of Expected Audit Risk Level

ZHU Bei

(China West Airport Group, Xi'an Shaanxi 710075)

第6篇

关键词: 现代风险导向审计 重大错报风险评估 程序 方法 建议

一、引言

我国在新准则中所提倡的现代风险导向审计是指注册会计师通过了解被审计单位及其环境,评估被审计单位的风险程度,确定剩余风险,执行额外审计程序,将剩余风险降低到可接受的水平。现代风险导向审计是以战略观和系统观为核心,强调以了解被审计单位的经营战略及其业务流程为起点,以识别、评估和应对会计报表重大错报风险为中心进行审计,侧重于评估财务报表重大错报风险。新的审计风险模型为:审计风险=重大错报风险×检查风险;重大错报风险是指会计报表审计前存在重大错报的可能性。重大错报风险分为两个层次:报表整体层次的重大错报风险和认定层次的重大错报风险。通过对财务报表整体层次的重大错报风险风险分析,可以在源头和宏观上分析和发现会计报表错报,从而解决高层串通舞弊、虚构交易或事项而导致财务报表存在错报的问题。认定层次的重大错报风险主要来源于经济交易事项本身的性质和复杂程度与实际不符,企业管理当局由于本身的认识和技术水平,以及由于企业管理当局局部或个别人员舞弊或造假造成的风险。

一、重大错报风险评估的意义

(一)作为现代风险导向审计重心的重大错报风险评估,通过注册会计师对财务报表整体层次和认定层次来评估重大错报风险的评估可以更好地针对评估出的财务报表层次的重大错报风险和认定层次的重大错报风险,合理运用职业判断分别确定总体应对措施和设计、实施进一步审计程序,将审计风险降至可接受的低水平。

(二)重大错报风险评估中还注重强调注册会计师评估的财务报表层次重大错报风险,以及采取的特殊的舞弊风险因素的考虑,对拟实施进一步审计程序,以及整体审计策略都具有重大影响。

(三)重大错报风险评估从战略和系统的角度全面考虑被审计及其环境,运用战略分析等先进审计技术方法,识别和评估重大错报风险,提高了审计效率,降低了审计风险。

二、重大错报风险评估的程序和方法

(一)重大错报风险评估程序

1.了解被审计单位及其情况,对客户进行战略经营分析,包括战略分析和经营流程分析,以评估战略风险和经营流程风险,战略风险和经营流程风险构成了战略经营风险。

2.了解被审计单位财务业绩的衡量和评价,以及被审计单位对会计政策的选择和运用,初步评估绩效风险。

3.经过对被审计单位经营战略、经营流程、经营绩效的分析,审计师已经对客户的内部控制有了初步的了解,运用内部控制评价法对被审计单位内部控制结构的评价而确定控制风险水平。

4.综合考虑被审计单位的战略风险、经营流程风险、绩效风险、控制风险与特殊考虑的舞弊风险,系统地评估财务报告的重大错报风险。

(二)重大错报风险评估方法

1.战略分析。注册会计师主要是通过分析外部环境中威胁客户成功执行战略,从而达到经营目标的潜在风险因素来识别战略风险的。

公司的外部环境是指那些能影响公司经营成败,但又在公司外部而非公司所能完全控制的外部因素。分析公司外部环境的目的,就是要找出外部环境是否存在为公司提供的可以加以利用的发展机会,以及外部环境对公司发展是否构成威胁。通过各个行业的外部经营风险评价标准对企业在宏观环境中的存在的潜在风险进行分析。

2.经营流程分析。注册会计师通过分析被审计单位内部环境,理解被审计单位的经营流程,识别关键经营环节,进行经营流程风险的评估。

(1)通过分析出重要的战略风险识别出关键经营环节。在战略分析后,注册会计师需要汇总已经识别出的战略风险,根据其重要程度来识别战略经营风险所指向的关键经营环节,并对所识别的关键经营环节进行分析。

(2)通过重要的交易类别和其他异常情况识别出关键经营环节。通过战略分析后,注册会计师在对被审计单位的经营管理的理解,确定对企业经营业务的重要交易类别和异常情况是否对相关会计报表及其认定的影响。根据影响的重要程度来识别被审计单位的关键经营环节。

3.内部控制评价分析。内部控制评价法是指通过对被审计单位内部控制结构的评价而确定审计风险水平的一种方法。

对内部控制的评价可以分三步进行:首先,了解企业的内部控制结构并作出相应的记录;其次,实行符合性测试,证实有关内部控制的设计和执行的效果;最后,评价内部控制的强弱,即评价控制风险。注册会计师可以通过包括询问、审阅证据、实地观察、追踪执行过程等方法,据以评估因内部控制产生的相关可能导致重大错报的控制风险。

4.舞弊风险因素分析。关注和评价舞弊风险为核心的谨慎行为构成现代审计的重要内容,它同时也体现出一种风险意识而非利益意识的现代审计策略、思维。注册会计师最大的敌人是管理层舞弊,管理层舞弊往往会绕过或逾越内部控制,所以过去的审计方法往往会导致控制风险很低而实际上审计风险很高的问题。

三、在我国实务中运用重大错报风险评估方法的建议

(一)运用重大错报风险评估方法前提条件

要对重大错报风险进行正确的评估,必须满足以下前提条件。

1.审计人员需具备较高的职业素质。正确评估重大错报风险是建立在对企业环境特别是与企业有关的环境充分了解、分析的基础上的,其对审计人员提出了较高要求,审计人员不仅需具备专业知识,掌握管理、统计等基本知识,而且应对金融、法律政治常识有所了解。

2.企业应做好财务基础工作,具备审计条件。被审计企业必须建立完整的凭证、账簿等财务核算系统和财务核算制度,做到账证一致、账表一致,使审计人员有基本的、充分的财务资料依据。

3.健全注册会计师组织管理体制,建立规范的执业竞争机制,使审计人员真正做到独立、客观、公正。这是注册会计师的灵魂,是审计工作开展的基本前提,如果无法保证,整个审计工作就会失去意义,审计人员也就无法发挥其作用。

4.良好的审计环境、健全的各项法规制度、审计执业界同社会各界的良好联系与沟通、社会各界对审计工作的广泛支持,是正确处理重大错报风险的前提。审计是一项需要协同合作的工作,如果失去了社会各界的理解与支持,审计工作将难以进行,重大错报也将无从披露,审计就失去了其存在意义。

(二)运用重大错报风险评估方法的建议

1.提高和完善审计从业人员素质。应大力培养专业人才,以及提升注册会计师谨慎的执业判断能力,完善制定执业后续教育准则的具体准则,加大对注册会计师的后续教育培训,不断在后续培训中提升注册会计师在管理、统计等基本知识,以及金融、法律政治常识的综合能力。

2.完善公司治理结构。制定相关法律,完善上市公司“审计委员会”制度。对被审计单位管理当局更换会计师事务的随意性进行了约束,同时督促上市公司财务报告及相关信息的规范运作,防止注册会计师受管理人员左右,加强注册会计师在执业中独立性的监督。

3.加强立法,明确事务所及注册会计师的执业法律责任。从注册会计师担负的社会责任出发,从维护社会公众利益出发,从注册会计师行业存在的必要性出发,明确注册会计师和会计师事务所的法律责任,特别是经济责任的承担,使行业在法制的范围内良性竞争。

4.加强信息系统的建设。会计师事务所必须建立强大的信息系统,以便注册会计师在对被审计单位进行风险评估时更好地了解企业的战略、风险管理、业绩衡量等情况及环境,系统战略评估被审计单位的重大错报风险,提高审计效率,降低审计风险。

综上所述,作为现代风险导向审计重心的重大错报风险评估在审计实务中起着关键的作用,规范与使用重大错报风险评估的程序和方法可以提高审计效率,保证审计质量,促进我国注册会计师在实务中执业能力的提高。

参考文献:

[1]刘明辉.高级审计理论与实务.东北财经大学出版社,2006.

[2]卓继民.现代企业风险管理审计.上海财经大学出版社,2006.

[3]徐政旦,谢荣.审计研究前沿.上海财经大学出版社,2002.

[4]王泽霞.管理舞弊导向审计研究.机械工业出版社,2005.

[5]蔡春,赵沙.现代风险导向审计论.北京,中国时代经济出版社,2006.6.

第7篇

关键词:网络审计 历史财务报表审计 信息安全管理 风险评估

一、引言

从审计的角度,风险评估是现代风险导向审计的核心理念。无论是在历史财务报表审计还是在网络审计中,现代风险导向审计均要求审计师在执行审计工作过程中应以风险评估为中心,通过对被审计单位及其环境的了解,评估确定被审计单位的高风险领域,从而确定审计的范围和重点,进一步决定如何收集、收集多少和收集何种性质的证据,以便更有效地控制和提高审计效果及审计效率。从企业管理的角度,企业风险管理将风险评估作为其基本的要素之一进行规范,要求企业在识别和评估风险可能对企业产生影响的基础上,采取积极的措施来控制风险,降低风险为企业带来损失的概率或缩小损失程度来达到控制目的。信息安全风险评估作为企业风险管理的一部分,是企业信息安全管理的基础和关键环节。尽管如此,风险评估在网络审计、历史财务报表审计和企业信息安全管理等工作中的运用却不尽相同,本文在分析计算机信息系统环境下所有特定风险和网络审计风险基本要素的基础上,从风险评估中应关注的风险范围、风险评估的目的、内容、程序及实施流程等内容展开,将网络审计与历史财务报表审计和信息安全管理的风险评估进行对比分析,以期深化对网络审计风险评估的理解。

二、网络审计与历史财务报表审计的风险评估比较

(一)审计风险要素根据美国注册会计师协会的第47号审计标准说明中的审计风险模型,审计风险又由固有风险、控制风险和检查风险构成。其中,固有风险是指不考虑被审计单位相关的内部控制政策或程序的情况下,其财务报表某项认定产生重大错报的可能性;控制风险是被审计单位内部控制未能及时防止或发现财务报表上某项错报或漏报的可能性;检查风险是审计人员通过预定的审计程序未能发现被审计单位财务报表上存在重大错报或漏报的可能性。在网络审计中,审计风险仍然包括固有风险、控制风险和检查风险要素,但其具体内容直接受计算机网络环境下信息系统特定风险的影响。计算机及网络技术的应用能提高企业经营活动的效率,为企业的经营管理带来很大的优越性,但同时也为企业带来了一些新的风险。这些新的风险主要表现为:(1)数据与职责过于集中化。由于手工系统中的职责分工、互相牵制等控制措施都被归并到计算机系统自动处理过程中去了,这些集中的数据库技术无疑会增加数据纵和破坏的风险。(2)系统程序易于被非法调用甚至遭到篡改。由于计算机系统有较高的技术要求,非专业人员难以察觉计算机舞弊的线索,这加大了数据被非法使用的可能性。如经过批准的系统使用人员滥用系统,或者说,企业对接近信息缺乏控制使得重要的数据或程序被盗窃等。(3)错误程序的风险,例如程序中的差错反复和差错级联、数据处理不合逻辑、甚至是程序本身存在错误等。(4)信息系统缺乏应用的审计接口,使得审计人员在审计工作中难以有效地采集或获取企业信息系统中的数据,从而无法正常开展审计工作。(5)网络系统在技术和商业上的风险,如计算机信息系统所依赖的硬件设备可能出现一些不可预料的故障,或者信息系统所依赖的物理工作环境可能对整个信息系统的运行效能带来影响等。相对应地,网络审计的固有风险主要是指系统环境风险,即财务电算化系统本身所处的环境引起的风险,它可分为硬件环境风险和软件环境风险。控制风险包括系统控制风险和财务数据风险,其中,系统控制风险是指会计电算化系统的内部控制不严密造成的风险,财务数据风险是指电磁性财务数据被篡改的可能性。检查风险包括审计软件风险和人员操作风险,审计软件风险是指计算机审计软件本身缺陷原因造成的风险,人员操作风险是指计算机审计系统的操作人员、技术人员和开发人员等在工作中由于主观或客观原因造成的风险。

(二)风险评估目的无论在网络审计还是历史财务报表审计中,风险评估只是审计的一项重要程序,贯穿于审计的整个过程。与其他审计程序紧密联系而不是一项独立的活动。尽管如此,两者所关注的风险范围则有所不同。历史财务报表审计的风险评估要求审计人员主要关注的是被审计单位的重大错报风险――财务报表在审计前存在重大错报的可能性。由于网络审计的审计对象包括被审计单位基于网络的财务信息和网络财务信息系统两类,因此审计人员关注的风险应是被审计单位经营过程中与该两类审计对象相关的风险。(1)对于与企业网络财务信息系统相关的风险,审计人员应该从信息系统生命周期的各个阶段和信息系统的各组成部分及运行环境两方面出发进行评估。信息系统生命周期是指该信息系统从产生到完成乃至进入维护的各个阶段及其活动,无论是在早期的线性开发模型中还是在更为复杂的螺旋式等模型中,一个信息系统的生命周期大都包括规划和启动、设计开发或采购、集成实现、运行和维护、废弃等五个基本阶段。由于信息系统在不同阶段的活动内容不同,企业在不同阶段的控制目标和控制行为也会有所不同,因此,审计人员的风险评估应该贯穿于信息系统的整个生命周期。信息系统的组成部分是指构成该信息系统的硬件、软件及数据等,信息系统的运行环境是指信息系统正常运行使用所依托的物理和管理平台。具体可将其分为五个层面:物理层,即信息系统运行所必备的机房、设备、办公场所、系统线路及相关环境;网络层,即信息系统所需的网络架构的安全情况、网络设备的漏洞情况、网络设备配置的缺陷情况等;系统层,即信息系统本身的漏洞情况、配置的缺陷情况;应用层,即信息系统所使用的应用软件的漏洞情况、安全功能缺陷情况;管理层,即被审计单位在该信息系统的运行使用过程中的组织、策略、技术管理等方面的情况。(2)对于与企业基于网络的财务信息相关的风险,审计人员应着重关注财务信息的重大错报风险和信息的安全风险。重大错报风险主要指被审计单位基于网络的相关财务信息存在重大错报的可能性,它是针对企业借助于网络信息系统或网络技术对有关账户、交易或事项进行确认、计量或披露而言。网络审计中关注的重大错报风险与传统审CtT的内涵基本上是一致的,审计人员在审计时应当考虑被审计单位的行业状况、经营性质、法律及监管环境、会计政策和会计方法的选用、财务业绩的衡量和评价等方面的情况对财务信息错报可能的影响。信息安全风险涉及信息的保密性、完整性、可用性及敏感性等方面可能存在的风险,主要针对企业利用信息系统或一定的网络平台来存储、传输、披露相关财务信息而言。在审计过程中,审eta员应当主要关注相关财务信息被盗用、非法攻击或篡改及非法使用的可能性。当然,这两类风险并非完全分离的,评估时审计人员应将两者结合起来考虑。

(三)风险评估内容 广泛意义的风险评估是指考虑潜在事件对目标实现的影响程度。由于网络审计与历史财务报表审计风险评估的目的并不完全相同,因此两者在风险评估的内容上也是存在区别的。总的来说,网络审计的风险评估内容比历史财务报表审计的风险评估内容更广泛和深入。根据《中国注册会计师审计准则第1211号――了解被审计单位及其环境并评估重大错报风

险》,在历史财务报表审计中,审计人员的风险评估应以了解被审计单位及其环境为内容。为识别和评价重大错报风险,审计人员了解的具体内容包括被审计单位所在行业状况、法律环境与监管环境以及其他外部因素、被审计单位的性质、被审计单位对会计政策的选择和运用、被审计单位的目标、战略以及相关经营风险、被审计单位财务业绩的衡量和评价及被审it@位的内部控制等。在网络审计中。为了识别和评估上文所述的两类风险,审计人员除了从以上方面了解被审计单位及其环境外,还应该关注其他相关的潜在事件及其影响,尤其是企业的财务信息系统及基于网络的财务信息可能面l临的威胁或存在的脆弱点。其中,威胁是指对信息系统及财务信息构成潜在破坏的可能性因素或者事件,它可能是一些如工作人员缺乏责任心、专业技能不足或恶意篡改等人为因素,也可能是一些如灰尘、火灾或通讯线路故障等环境因素。脆弱点是指信息系统及基于网络的财务信息所存在的薄弱环节,它是系统或网络财务信息本身固有的,包括物理环境、组织、过程、人员、管理、配置、硬软件及信息等各方面的弱点。一般来说,脆弱点本身不会带来损失或信息错报,威胁却总是要利用网络、系统的弱点来成功地引起破坏。因此,我们认为网络审计申风险评估的内容应包括以下几方面:(1)识别被审计单位财务信息系统及其基于网络的财务信息可能面临的威胁,并分析威胁发生的可能性;(2)识别被审计单位财务信息系统及其基于网络的财务信息可能存在的脆弱点,并分析脆弱点的严重程度;(3)根据威胁发生的可能性和脆弱点发生的严重程度,判断风险发生的可能性;(4)根据风险发生的可能性,评价风险对财务信息系统和基于网络的财务信息可能带来的影响;(5)若被审计单位存在风险防范或化解措施,审计人员在进行风险评估时还应该考虑相应措施的可行性及有效性。

(四)风险评估程序《中国注册会计师审计准则第1211-----了解被审计单位及其环境并评估重大错报风险》中要求,审计人员应当实施询问、分析程序、观察和检查等程序,以获取被审计单位的信息,进而评估被审计单位的重大错报风险。这些程序同样适用于网络审计中的风险评估。但在具体运用时网络审计中更加注重了解和分析被审计单位与信息系统及网络技术使用相关的事项。在实施询问程序时,审计人员的询问对象围绕信息系统和基于网络的财务信息可大致分为管理人员、系统开发和维护人员(或信息编制人员)、系统使用人员(或信息的内部使用人员)、系统或网络技术顾问及其他外部相关人员(如律师)等五类,分别从不同角度了解信息系统和基于网络的财务信息可能存在的威胁和脆弱点。在实施分析程序时,除了研究财务数据及与财务信息相关的非财务数据可能的异常趋势外,审计人员应格外关注对信息系统及网络的特性情况,被审计单位对信息系统的使用情况等内容的分析比较。实施观察和检查时,除执行常规程序外,审计人员应注意观察信息系统的操作使用和检查信息系统文档。除此之外,针对特定系统或网络技术风险的评估,审计人员还需要实施一些特定的程序。技术方面如IOS取样分析、渗透测试、工具扫描、安全策略分析等;管理方面如风险问卷调查、风险顾问访谈、风险策略分析、文档审核等。其中,IDS取样分析是指通过在核心网络采样监听通信数据方式,获取网络中存在的攻击和蠕虫行为,并对通信流量进行分析;渗透测试是指在获取用户授权后,通过真实模拟黑客使用的工具、方法来进行实际漏洞发现和利用的安全测试方法;工具扫描是指通过评估工具软件或专用安全评估系统自动获取评估对象的脆弱性信息,包括主机扫描、网络扫描、数据库扫描等,用于分析系统、应用、网络设备存在的常见漏洞。风险问卷调查与风险顾问访谈要求审计人员分别采用问卷和面谈的方式向有关主体了解被审计单位的风险状况,使用时关键是要明确问卷或访谈的对象情况风险策略分析要求审计人员对企业所设定的风险管理和应对策略的有效性进行分析,进而评价企业相关风险发生的概率以及可能带来的损失;文档审核是一种事前评价方法,属于前置软件测试的一部分,主要包括需求文档测试和设计文档测试。这些特定程序主要是针对被审计单位信息系统和基于网络的财务信息在网络安全风险方面进行评价,审计人员在具体使用时应结合被审计单位的业务性质选择合适的程序。

三、网络审计与信息安全管理的风险评估比较

(一)风险评估的目的信息安全管理中的风险评估(即信息安全风险评估)是指根据国家有关信息安全技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程。作为信息安全保障体系建立过程中的重要的评价方法和决策机制,信息安全风险评估是企业管理的组成部分,它具有规划、组织、协调和控制等管理的基本特征,其主要目的在于从企业内部风险管理的角度,在系统分析和评估风险发生的可能性及带来的损失的基础上,提出有针对性的防护和整改措施,将企业面临或遭遇的风险控制在可接受水平,最大限度地保证组织的信息安全。而网络审计是由独立审计人员向企业提供的一项鉴证服务,其风险评估的目的在于识别和评价潜在事件对被审计单位基于网络的财务信息的合法性、公允性以及网络财务信息系统的合规性、可靠性和有效性的影响程度,从而指导进一步审计程序。因此,两者风险评估的目的是不一样。从评估所应关注的风险范围来看,两者具有一致性,即都需要考虑与信息系统和信息相关的风险。但是,具体的关注边界则是不一样的。信息安全风险评估要评估企业资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响,它要求评估人员关注与企业整个信息系统和所有的信息相关的风险,包括实体安全风险、数据安全风险、软件安全风险、运行安全风险等。网络审计中,审计人员是对被审计单位的网络财务信息系统和基于网络的财务信息发表意见,因此,风险评估时审计人员主要关注的是与企业财务信息系统和基于网络的财务信息相关的风险,而不是与企业的整个信息系统和所有的信息相关的风险。根据评估实施者的不同,信息安全风险评估形式包括自评估和他评估。自评估是由组织自身对所拥有的信息系统进行的风险评估活动;他评估通常是由组织的上级主管机关或业务主管机关发起的,旨在依据已经颁布的法规或标准进行的具有强制意味的检查。自评估和他评估都可以通过风险评估服务机构进行咨询、服务、培训以及风险评估有关工具的提供。因此。对审计人员而言,受托执行的信息安全风险评估应当归属于管理咨询类,即属于非鉴证业务,与网络审计严格区分开来。

(二)风险评估的内容在我国国家质量监督检验检疫总局的《信息安全风险评估指南》(征求意见稿)国家标准中,它将信息安全风险评估的内容分为两部分:基本要素和相关属性,提出信息安全风险评估应围绕其基本要素展开,并充分考虑与这些基本要素相关的其他属性。其中,风险评估的基本要素包括资产、脆弱性、威胁、风险和安全措施;相关属性包括业务战略、资产价值、安全需求、安全事件、残余风险等。在此基础上的风险计算过程是:(1)对信息资产进行识别,并对资产赋值;(2)对威胁进行分析,并对威

胁发生的可能性赋值;(3)识别信息资产的脆弱性,并对弱点的严重程度赋值;(4)根据威胁和脆弱性计算安全事件发生的可能性;(5)根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件造成的损失;(6)根据安全事件发生的可能性以及安全事件出现后的损失,计算安全事件一旦发生对组织的影响,即风险值。结合上文网络审计风险评估五个方面的内容可以看出,网络审计和信息安全风险评估在内容上有相近之处,即都需要针对信息系统和信息可能面临的威胁和存在的脆弱点进行识别。但是,信息安全管理作为企业的一项内部管理,其风险评估工作需要从两个层次展开:一是评估风险发生的可能性及其影响;二是提出防护或整改措施以控制风险。第一个层次的工作实质上是为第二层次工作服务的,其重点在第二层次。《信息安全风险评估指南》(征求意见稿)提出,企业在确定出风险水平后,应对不可接受的风险选择适当的处理方式及控制措施,并形成风险处理计划。其中,风险处理的方式包括回避风险、降低风险、转移风险、接受风险,而控制措施的选择应兼顾管理和技术,考虑企业发展战略、企业文化、人员素质,并特别关注成本与风险的平衡。网络审计的风险评估工作主要集中在第一个层次,即审计人员通过风险评估,为进一步审计中做出合理的职业判断、有效地实施网络审计程序和实现网络审计目标提供重要基础。因此,两者的评估内容是存在区别的。

第8篇

关键词:注册会计师 风险评估 风险管理 内部控制

一、引言

2010年美国公众公司会计监督委员会(Public Company Accounting Oversight Board,PCAOB)通过了新的审计准则(审计准则第8号至第15号),以规范审计师对审计风险的评估和反应。目的是监督公众公司的审计师编制信息量大、公允和独立的审计报告,以保护投资者利益并增进公众利益。在PCAOB此次行动之前,不断有人发出强烈的信息,让审计职业人员在风险管理中扮演更积极的角色。而且PCAOB早在两年前就已经提出了实施具体风险评估准则的信息,这些准则旨在解决从最初计划到结果评估的审计过程问题。这些新准则是在审计促进成熟风险评估中非常重要的一步,可以把审计师未能发现的重大错报事故风险降到最小。PCAOB执行主席丹尼尔・格尔泽尔说一旦这些标准被采用,在审计财务申明中发现,适当计划以及实施审计以解决这些风险问题以增强投资者的信息是非常重要的。这些审计标准包括:审计风险、审计计划、审计参与监督、计划执行审计中的思考、重大错报事故的确认与评估、审计师对重大错报事故的回应、评估审计结果以及审计证据。它们贯穿了从初始计划阶段到审计结果评估的整个审计流程。PCAOB主席丹尼尔・高泽(DanielL,Goelzer)说:这些新准则的出台意味着在促进精密的审计风险评估与将审计人员未能发现重大误报的风险降至最低方面迈出了重要一步。识别风险,并通过正确地审计计划和开展审计活动来应对风险,对于提升投资者对经审计财务报表的信心是至关重要的。

二、风险评估、企业风险管理与审计风险

(一)注册会计师风险评估 风险导向审计的核心是审计风险,任何审计业务都必须将审计风险控制在可接受的风险水平内。因此风险导向审计要求注册会计师加强对被审计单位及其环境的了解,在审计的所有阶段都要实施风险评估程序,并将识别和的评估的风险与实施的审计程序挂钩,而且要求针对重大的各类交易、账户余额和列报实施实质性程序,可以说风险评估程序是风险导向审计模式落实到审计工作的核心环节,风险导向审计下审计风险模型如下:审计风险=重大错报风险×检查风险。审计风险是指财务报表存在重大错报而注册会计师发表不恰当审计意见的可能性。重大错报风险是指财务报表在审计钱存在重大错报的可能性,检查风险是指某一认定存在错报,该错报单独或连同其他错报是重大的,但注册会计师未能发现这种错报的可能性。注册会计师合理设计审计程序的性质、时间和范围,并有效执行审计程序,以控制检查风险。注册会计师采取以下方法展开审计工作:(1)注册会计师应当针对财务报表层次的重大错报风险置顶总体应对措施;(2)注册会计师应当针对认定层次的重大错报风险设计和实施进一步审计程序,包括测试控制的执行有效性以及实施实质性程序;(3)注册会计师应当评价风险评估的结果是否适当,并确定是否已经获取充分、适当的审计证据;(4)注册会计师应当将实施关键的程序形成审计工作记录。我们发现,注册会计师以针对评估的财务报表层次重大错报风险为起点,确定总体应对措施,并有针对评估的认定层次重大错报风险设计和实施进一步审计程序,以将审计风险控制在可接受的低水平。风险导向的核心是审计风险,控制审计风险的关键是风险评估程序,另一方面,企业必须准确地评价和有效地管理各项与企业成功息息相关的风险。管理层不但需要准确地了解各项业务风险以及不良控制的后果,并且能够根据所确认风险的残余影响的轻重程度分配资源和关注程度。所以注册会计师的风险评估将有利于企业的风险管理。

(二)企业的风险管理 每个企业在经营中存在各种风险,而我们这里讨论的企业风险管理中的风险概念与金融市场的风险概念有所不同,当然金融风险也是企业(特别是金融类企业)面临的风险之一,企业风险就是企业面临的可能导致企业亏损的各种不确定性事件,降低企业的价值。所以风险管理需要做的就是尽量避免这种不确定性事件的发生,或者是降低不确定性事件发生后对企业造成的损失。企业风险管理包括四个环节:风险识别、风险评估、风险应对、风险监察。第一,风险识别是指尽力识别可能对企业取得成功产生影响的风险,包括整个业务面临的较大的风险,以及与每个项目或较小的业务单位关系的风险,识别潜在风险可以认识到企业面临的各种风险类型,而且风险识别程序应该在企业内的多个层级得以执行,这与注册会计师的风险评估贯彻于整个审计过程一样。第二,风险评估是在识别了各种风险后,对风险的的性质、风险的类型、风险的发生频率等进行评价,这种评价最主要分为两方面,一个是影响,另一个是可能性,企业可能还会采用敏感性分析或者决策树等方法对风险的性质进行全面的认识。这与注册会计师的风险评估相似,不过更加具体、全面。第三,风险应对是指对上述评估的风险采取相应的措施,以避免该风险对企业产生的损失,风险应对的策略包括风险降低(如分散投资,就是一种降低风险的措施),风险消除(使得该风险事件发生的概率降低为零),风险转移(将风险的后果采用保险、合同等方式转移出企业),风险保留(定期风险复核、控制风险情境)。第四,风险监察是指企业监测目标的实现过程,关注新的风险和相关损失,企业需要对风险进行监察,并在需要时不断作出调整。风险检查者定期检查正在发生的亏损,以了解他们的控制建议得以实施,并设计过程来改善风险管理的过程,制定一项战略来应对出现的新风险。

(三)风险评估与经营风险、审计风险 企业的风险识别是风险管理的第一步,是指对企业面临的,以及潜在的风险加以判断、归类和鉴定风险性质的过程。企业的风险一般可以分为两类:系统风险和非系统风险。系统风险是由公司之外的各种因素引起的,如战争、经济衰退、通货膨胀、高利率等与政治、经济和社会相联系的风险,是不能通过多元化投资而分散的,因此又称作不可分散风险或市场风险。非系统风险也被称作可分散风险,它是由公司本身的商业活动和财务活动带来的,如企业的管理水平、研究与开发、消费者需求的改变、市场营销风险以及法律诉讼等,其可以通过多元化投资组合而分散,是公司特有的风险。而现代风险导向审计将风险评估、风险应对与审计程序联系起来,这就使得注册会计师审计不仅仅是出具审计报告的鉴证业务,也可以起到促进企业风险管理的作用,注册会计师审计过程中必须进行风险评估,风险评估的过程是为了能够获得尽可能准确的财务报表重大错报风险信息,以控制审计风险,企业风险管理的过程是为了控制企业经营风险,从审计风险与企业经营风险的关系,我们发现:其一,风险评估是指评估被审计单位风险,评估的过程是企业风险管理中的一个环节,所以在性质上他们具有相似性。其二,风险评估的程序包括:了

解被审计单位及其环境、了解被审计单位的内部控制等,而风险管理也需要进行这些工作,方法包括:观察、检查、分析程序,穿行测试等。风险评估。其三,风险评估的目的相同:对于注册会计师而言,风险评估的目的是为了了解被评估的财务报表重大错报风险,并且制定风险应对措施,有效地实施审计程序;对于企业而言,风险评估的目的是为了控制企业的风险点,防止企业出现亏损的不利情况而实现企业价值增值。风险评估使企业考虑潜在事项如何影响目标的实现。管理当局应从两个角度对事项进行评估:可能性和严重程度,并且通常采用定性和定量相结合的方法。在不要求定量化的地方,或者在定量评估所需的可靠数据无法取得或获取和分析数据不具有成本效益时,管理者通常采用定性评估技术。定量技术精确度更高,通常应用在更加复杂的活动中,以对定性技术进行补充。评估风险时既要考虑固有风险,也要考虑剩余风险。固有风险是管理当局没有采取任何措施来改变风险的可能性或影响的情况下,一个企业所面临的风险。剩余风险是在管理当局应对风险后所残余的风险。审计中注册会计师更多关注的是审计风险以及企业的经营风险,但是对于企业其他风险管理(如制度风险管理、法律风险管理)考虑不足,当然这是注册会计师收益成本分析后的结果,但是注册会计师必须区分企业经营风险与审计风险,经营风险是指实现不了经营目标和战略的可能性,经营失败是经营风险的扩大化,指企业由于经济或经济条件的变化而无法满足投资者的预期,经营失败的极端情况是申请破产。诚然企业经营失败可能使得注册会计师面临审计诉讼,经营风险与审计风险有一定的相关性,但风险导向的核心是审计风险,而不是企业的经营风险。

三、注册会计师风险评估与企业风险管理关系

(一)二者时间发展顺序 环境变化促使越来越多的企业实施全面风险管理,也促进了风险导向审计的发展:从20世纪90年代开始,随着新的科技技术和经济全球化带来企业组织结构虚拟化、集约化、专业化及扁平化等新的商业特征,许多跨国公司开始实施全面风险管理方法,一些国际咨询公司和会计师事务所也开始运用这一概念并将其同咨询或审计业务相结合。全面风险管理体系正在随着企业治理的完善而越发受到重视,风险管理的概念逐步引入到我国的企业中,使得我国企业的风险管理工作纳入了公司治理的范围。2004年9月,COSO了《企业风险管理框架》。该框架是在《内部控制――整体框架》报告的基础上,结合《萨班斯――奥克斯法案》在报告方面的要求,明确提出企业风险管理是由企业董事会、管理层和其他员工共同参与,应用于企业战略制定,以及企业内部各层次和部门,用于识别可能对企业造成影响的事项,管理风险为企业目标的实现提供合理保证。同时该框架还指出:企业风险管理框架由内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控八个相互关联的要素构成。这也奠定了企业风险管理系统的组织模式。风险导向审计的发展也与全面的风险管理系统构建同步,2003年10月,国际会计师联合会下属的国际审计准则委员会了三个新的国际审计风险准则,并从2004年12月15日或之后开始的期间财务报表审计起执行这三个新准则。2004年10月,中国注册会计师协会根据国际审计准则的最新发展,对已修订的四个新审计风险准则在全国范围内征求意见,并且于2007年1月1日开始实施。风险导向审计已经深入了我国审计的实际工作,为审计业务的展开提供了指引。

(二)二者业务性质相互影响 全面风险管理为现代风险导向审计风险评估提供了更好的基础为了评估客户是否有效地监督和控制了其战略风险及其他经营风险,注册会计师必须识别、收集和处理大量与客户经营活动相关的证据。当企业没有实施全面风险管理时,收集这些证据即使在理论上是可行的,但为此付出的成本对注册会计师而言也常常是不经济的。注册会计师的风险评估程序对企业风险管理有以下益处:(1)了解企业的外部环境风险以及内部控制成为风险评估的重要组成部分,注册会计师也将公司内部控制的有效性作为风险应对的考虑因素。所以注册会计师关于企业内部控制的评价将为企业的风险管理提供建议。(2)注册会计师在实施控制测试与实质性测试时,会将交易的内部控制目标与关键内部控制联系起来,然后将测试的结果与风险评估的结果进行对比,这将有助于公司相关交易所涉及人员在业务流程中履行好自己的职责,注册会计师审计可以起到监督作用,发现企业内部控制的风险点。企业风险管理对注册会计师的风险评估有以下益处:第一,企业风险管理的完善性与企业内部控制系统有着很强的相关性,所以如果企业建立了一整套风险管理的体系,那么注册会计师的风险评估程序就会减少程序,因为风险评估在整个审计过程中的验证过程都是可靠的。第二,企业风险管理的方式与注册会计师风险评估。企业全员参与风险管理,从整个企业组合的角度实施风险管理,增强了企业风险管理的有效性,注册会计师能够在更大程度上信赖企业的全面风险管理,实施风险评估。第三,企业风险管理系统的完善性越不好,注册会计师所涉及的这部分程序设计需要越谨慎,而风险评估程序后提出建议的边际贡献越高,这二者之间的交互作用就在于风险评估程序是对风险管理的一种再监察。

(三)二者存在的不同 当然二者存在着以下区别:注册会计师风险评估更多是对内部控制有效性的评估,这种评估是因为审计的效率所决定的,而企业的风险管理需要覆盖企业的整体层面和各个业务流程,所以我们注册会计师的风险评估结果对于企业而言是一种参考,注册会计师的风险评估只是对内部控制水平高低的一个评价,这并不能完全说明企业风险管理的有效性。注册会计师可以通过对企业内部控制系统有效性评价来评估客户监督和控制其战略风险及其他经营风险的情况,如果仅仅是审计过程,注册会计师不需要提出风险管理改进建议,他们评估的财务报表重大错报风险只是为了控制检查风险,进而控制审计风险。所以注册会计师审计过程的风险评估与企业风险管理过程中的风险评估目的相似,但企业风险管理的目的和注册会计师的风险评估还是存在不同。

四、企业风险管理及风险评估路径

(一)风险评估报告与企业风险管理 (图1)呈现了风险导向审计的框架,风险导向审计最大的要点就在于实施基本审计程序前的风险评估。而且后来的审计程序结果会不断检验风险评估的结果,不断地修正与调险估计水平,在整个审计过程中都需要进行风险评估过程,所以注册会计师可以在审计完成后形成风险评估的最终结果,形成风险评估报告,以评价内部控制的有效性及风险管理控制的水平。该报告可能涉及内部环境、企业风险评估、风险反应、控制活动、信息和沟通、监控等要素,对企业内部控制的测试结果进行一个总结性陈述,形成风险评估报告。风险评估报告作为风险导向审计阶段性成果在审计完成后反馈给被审计客户,以帮助被审计客户进一步完善内部控制水平,但我们必须意识到:风险评估报告不是审计报告的子报告,风险评估报告仅仅为被审计单位进一步提高内部控制水平而用,而非鉴证报告,注册会计师不需要提供保证。

(二)风险评估报告与信息系统风险管理 注册会计师评价内部控制有效性的要求里就包括了评价信息系统的有效性,所以注

第9篇

风险导向审计内涵特征缺陷

一、现代风险导向审计

1、风险导向审计的内涵

现代风险导向审计以系统理论和战略管理理论为指导,通过自上而下和自下而上相结合的审计思路对被审计单位进行风险职业判断,评价被审计单位风险控制,确定剩余风险,执行追加程序,它通过综合评估经营控制风险来确定检查风险,从企业的战略分析着手,通过战略系统分析-环节分析-剩余风险分析-具体审计目标分解-实质性测试时间、范围和性质的确定的思路,将被审计客户会计报表错报风险与企业经营风险紧密地结合起来。这种全新模式要求独立审计师从更开阔的视角发现与被审计单位会计报表中的重大错报行为,从而减少审计失败的风险。

2、风险导向审计的特征

(1)风险导向审计在审计程序上主要以风险评估为中心,将风险的识别和评估贯穿于审计的全过程,加强了风险评估程序,体现了风险导向审计的真正理念。

(2)风险导向审计采取以分析程序为中心,辅助使用询问、检查、观察、穿行测试等其他手段的方法。风险评估的分析对象也由财务信息扩展到了非财务信息,且分析方法工具多样化,如战略分析、绩效分析。

(3)风险导向审计的重点侧重于管理层的舞弊风险,审计人员采取更为个性化的审计程序,对于错报风险和员工舞弊风险,审计人员在审计过程很可能得到企业管理者的配合,因为这同时也是管理者和社会公众的需求,审计人员和管理层之间没有必然的利益冲突。而对管理舞弊风险,由于审计人员和管理者之间存在利益冲突,管理者不可能真正配合审计人员开展审计工作。

(4)风险导向审计要求审计师的知识结构达到一个复合型人才的标准。审计师不但需要精通审计知识,而且要熟练各个层面的风险评估和分析方法,先进的管理学工具,同时要关注行业和管制环境的动态、市场经济的规律、国家的财政、贸易、货币政策及法律的变动等领域的知识信息,最重要的是要具备职业判断能力。

二、现代风险导向审计与传统审计

1、传统审计风险模型的缺陷

(1)传统模式因为在评估固有风险时必须从内部控制入手,使得固有风险概念内涵与外延不一致,逻辑上不能一贯,这使风险模型的科学性受到了极大的损害。

(2)如果注册会计师能把控制风险评估得比较低就可以大大减少实质性测试的工作量。于是注册会计师只要通过控制测试得到了一个比较满意的结果,就理所当然地认为他们已经有了一个比较高的可接受检查风险水平。因为控制测试得到的是内部证据,因为其证明力比较差,并且内部控制在防止无意的错报以及员工舞弊方面虽然有着积极意义,但在防止管理当局舞弊方面,内部控制无能为力。因此,传统模式把控制风险单独作为风险模型的一个乘积因子,这就为审计失败埋下了一个很大的隐患。

(3)由于现有的审计风险模式只能用于账户余额或交易类别,而不能用于财务报表整体,因此,在此基础上构建出的风险导向审计模式在对待风险上只能是零散的、微观的,而不能形成整体的宏观的认识。这就必然导致传统风险模式不能用于财务报表整体,无法满足对财务报表审计整体审计风险的把握和控制。

2、与传统风险导向审计比较现代风险导向审计的特点

(1)审计重心前移,从以审计测试为中心到强调风险评估,审计程序主要包括风险评估程序、审计测试程序(包括控制测试和实质性测试)。充分体现了风险导向审计的核心即:深入了解客户、严格风险评估及强化风险评估对审计程序的指导作用。而传统风险导向审计的风险评估不到位,未能有效发现高风险审计领域,造成审计过量或审计不足,现在大大加强了风险评估程序,真正体现了风险导向审计的理念

(2)风险评估重心由控制风险向联合风险转移。现代管理层舞弊是绕过或逾越内控,导致控制风险很低而实际审计风险很高,所以现代风险导向审计重新认识到固有风险评估的重要性,评估联合风险,并以联合风险的评估水平确定审计测试(包括控制测试和实质性测试)的性质、时间和范围。

(3)风险评估更加重视对客户经营风险的间接评估。传统风险评估直接评估重大错报的概率,也就是直接对审计风险评估,现代风险评估仍落脚在审计风险评估,但更重视间接评估,充分借鉴和吸收了战略分析的成果,从了解客户经营环境、评估经营风险入手。

(4)自上而下和自下而上相结合。传统风险导向审计从控制风险评估入手,视野过于狭窄。而现代风险导向审计,从企业内外环境、经营风险分析入手,以此来发现可能出现重大错报的领域以及评估客户会计政策及会计估计的恰当性,有利于对经济业务实质做出判断。同时,现代风险导向审计并不忽视实质性测试的重要地位,实际上一些大案要案的查处也是从细微处入手的。

(5)重视审计策略,强调具体审计测试个性化。传统审计程序存在标准化的倾向,其一是不能对症下药,没有贯彻风险导向审计思想;二是客户的预期,由于很多客户的财务人员是审计人员出身,或系统学习过审计,或长期与审计师打交道,这使审计人员无法突破客户预先设置的障碍或防范措施。为此,国际新审计风险准则己要求对重大错报风险考虑选用“出其不意”的审计程序。

综上所述,现代风险导向审计以战略观和系统观思想指导重大错报风险评估和整个审计流程,以分析被审计单位的经营风险为导向,从宏观上了解被审计单位及其环境以充分识别和评估会计报表重大错报的风险,从而设计和实施控制测试和实质性程序。该审计模式具有“提高审计效率、降低审计成本”的优势,中小会计师事务所具有实施现代风险导向审计的需求且在实践中具有可行性。中会会计师事务所在具体实施审计中可以吸收现代风险导向审计中的风险理念、风险评估程序结合传统审计方法设计实施针对性的审计程序以达到最优效果。

参考文献:

[1]陈毓圭.对风险导向审计方法的由来及其发展的认识.会计研究,2004.

第10篇

本文以《内部审计具体准则》为指导,介绍了内部审计中风险评估和审计风险的概念,提出降低审计风险的基础是风险评估,降低审计风险是做好审计工作的保证,通过对上述内容的理解可以更好加深内部审计人员对当今最新审计理论的认识。

【关键词】

风险评估;审计风险关系

风险评估与审计风险是审计理论的两个重要概念。很多学者对此发表的学术论文更多地是针对注册会计师相关业务的研究,而内部审计理论文献相对较少。随着内部审计理论的发展,国家陆续出台了内部审计相关的政策和准则,其中2005年年5月1日至今实行的《内部审计具体准则》将两者的概念和应用作了明确的定义和指导。本文立足于内部审计具体准则的内容,将两者的原理作一阐述,以加深内部审计人员对两者概念及相互关系的理解和掌握。

1 风险评估与审计风险概念理解

1.1 风险评估

风险评估是指内部审计人员实施必要的审计程序对企业风险评估过程进行审查与评价,对发生的可能性、风险对组织目标的实现产生影响的严重程度进行重点关注。

内部审计人员在开展风险评估审计程序时,要当充分了解企业风险评估的方法,运用采用定性或定量的方法对企业风险评估过程进行评价,在风险难以量化、定量评价所需数据难以获取时,一般应采用定性方法,并且需要充分考虑相关部门或人员的意见,以提高评估结果的客观性。

1.2 审计风险

审计风险是指内部审计人员未能发现被审计单位经营活动及内部控制中存在的重大差异或缺陷而做出不恰当审计结论的可能性。审计风险包括重大差异或缺陷风险和检查风险的两方面内容。

2 风险评估是降低审计风险的基础

审计风险评估是通过对企业风险评估过程的评价,了解企业是否存在重大差异或缺陷风险,可以使审计人员确定重要性标准来评估审计风险。而审计风险评估的要求、程序和方法都是保障降低审计风险的第一步,是审计人员开展审计工作、提高效率、保护自我的根本保证。

风险评估是对企业风险管理-风险评估过程的评价。内部审计作为企业管理的一部分,在企业内部发挥着控制和监督作用,风险评估主要体现在对企业内部控制效果的评价上,内部审计控制效果的好与坏,同样体现审计人员对企业风险的揭示说明和预测的完整性、前瞻性上,也是审计风险的控制程度。

风险评估工作的重点就是要找到影响目标实现的风险,并分析这些风险影响的大小(发生的可能性和对目标的影响程度),从而为管理层应对风险提供基础支持。

风险辨识评估工作主要在集团的发展计划部、资本运营部及财务部三个部门开展,因此在对风险进行分类时,主要考虑了三个部门的管理职责:发展计划部是战略和投资的管理部门、资本运营部是投资、资产管理及公司治理的管理部门、财务部是集团的财务及经济运行的主要管理部门,结合以上管理职责,对风险采用根据风险事件的特性,选择适当的风险评价维度,对风险事件进行评价。根据发展计划部、资本运营部及财务部的管理职责,将风险事件分配到不同的部门,形成三个部门的风险评估问卷,问卷信息进行整理计算,得到风险事件排序和二级风险排序。将整理确定的风险事件设计成为风险评估问卷,在三个部门发放,由集团公司部门人员按“发生可能性”、“影响程度”和“管理有效性”三个维度进行评价,得到风险评估初步结果:风险及风险事件的重要性排序多数风险重要性排序符合项目组的研究认识。

■ 个别风险排名较高,包括库存风险、关联交易风险及资产管理风险等,需进一步分析论证

■ 同一类风险的排序略有出入。

风险的大小,是基于一套定性标准,业务和管理是视角的差异如何有效地反映到对不同业务和不同风险的判断中。

3 风险评估和降低审计风险是做好审计工作的保证

审计工作中需要时刻强调审计风险意识,并加强对企业风险评估过程的评价,二者相符相成。一方面控制审计风险需要建立在风评评估的基础之上,另一方面在加强风险评估过程中需要在审计风险理念下指导下进行风险评价,只有将两者很好的相互融合才能提高审计效率、控制风险,最终达到加强企业经营管理,提高企业依法经营从而提高经济效益的目的。什么样的风险评估才能满足审计要求:

1)紧扣业务:评估工作紧扣经营主线开展,集中识别和分析生产、项目管理过程中的风险;

2)围绕指标:评估工作密切围绕业绩考核指标。基于业绩考核指标辨识风险事件,并依据业绩考核指标制定风险评价标准;

3)突出重点:围绕风险管理项目的整体目标,主要以运营部、市场部、物流部、工厂为重点;

强化企业高层对审计的重视程度和建立积极健康的内审文化。转变观念,调整位置,掌握价值高地;贴近业务,掌握业务,发掘价值提升空间。刻苦钻研,提升能力,放大工作效能和效果。培养团队,集团作战 ,保持核心竞争力。决策者就是风险管理者,找出他所关注的风险和背后的动因。 分析他解决风险的工作思路,描绘决策者风险地图和风险战略。

第11篇

[关键词] 现代风险导向审计 审计程序 审计风险

一、现代风险导向审计的内涵

现代风险导向审计是注册会计师通过对被审计单位进行风险职业判断,评价被审计单位风险控制,确定剩余风险,执行追加审计程序,将剩余风险降低到可接受的水平。他将客户置于一个经济环境中,从企业所处的商业环境、条件到经营方式和管理机制的等构成控制因素等内外部各个方面来分析评估审计的风险水平。现代风险导审计模式又可称为风险基础战略系统审计,简称为RBSSAA (Risk-Based Strategic-Systems Audit Approach),是一种广元化的风险观念,而传统风险导向审计模式是一种狭义的“会计视角”(Accounting Lens)。它要求注册会计师仅仅关注与会计报表有关的重大错报行为,即关注财务数据的真实性,而很少关注被审计客户的战略风险和经营环节问题,因而其实际效果较差。而现代风险导向审计模式的基本思路在于:注册会计师要想控制审计风险,必须站得高、看的远。它要求注册会计师应该从更高视角去审视被审计客户的经营风险,从源头上找寻滋生会计舞弊的种种迹象,以最大限度地识别被审计客户会计报表中的重大错报问题。

二、现代风险导向审计的特点

1.审计重心前移

从以审计测试为中心到强调风险评估,审计程序主要包括风险评估程序、审计测试程序。这一点在新修订的国际审计准则IAS315及我国刚修订的中国注册会计师审计准则第1211号《了解被审计单位及其环境并评估重大错报风险》中得到了很好的体现,这两个准则均用大量的篇幅规定了了解客户并进行风险评估的有关事宜。这也充分体现了风险导向审计的核心,即:深入了解客户、严格风险评估及强化风险评估对审计程序的指导作用。而传统风险导向审计的风险评估不到位,未能有效发现高风险审计领域,造成审计过量或审计不足,现在大大加强了风险评估程序,真正体现了风险导向审计的理念。

2.风险评估重心由控制风险向联合风险转移

传统的风险导向审计人为将风险评估分为固有风险评估和控制风险评估,对固有风险评估存在严重的缺陷,导致固有风险评估不到位,从而使风险评估以控制风险评估为中心;在审计实务中将审计程序分为三大类:了解内控、测试内控和实质性测试,前两种程序都是用于评估控制风险的,也造成风险评估以控制风险评估为中心。而现代管理层舞弊则是绕过或逾越内控,往往导致控制风险很低而实际审计风险很高,所以现代风险导向审计重新认识到固有风险评估的重要性,但因前述原因所以评估联合风险,并以联合风险的评估水平确定审计测试(包括控制测试和实质性测试)的性质、时间和范围。

风险评估更加重视对客户经营风险的间接评估。传统风险评估直接评估重大错报的概率,也就是直接对审计风险评估,现代风险评估仍落脚在审计风险评估上,但更重视间接评估,充分借鉴和吸收了战略分析的成果,从了解客户经营环境、评估经营风险入手。因为:一是出于持续经营的考虑,经营失败往往带来审计失败;二是经营风险对审计风险的影响,经营风险超高,管理层舞弊的可能性就越大,审计风险也越大;三是从经营风险中能更有效发现财务报表潜在的重大错报,因为财务报表是经营的反映,如果经营风险未能在报表上得到体现,则财务报表可能失真;四是会计政策、会计估计合理性评估也要从经营风险入手,才能进行正确的评估;五是从经营风险入手容易将审计拓展为咨询。

3.重视审计策略,强调具体审计测试个性化

传统审计程序存在标准化的倾向,其结果一是不能对症下药,没有贯彻风险导向审计思想;二是客户的预期,由于很多客户的财务人员是审计人员出身,或系统学习过审计,或长期与审计师打交道,这使审计人员无法突破客户预先设置的障碍或防范措施。为此,国际新审计风险准则已要求对重大错报风险考虑选用“出其不意”的审计程序。例如考虑询问除管理人员和财务人员以外的员工或外部人员(如工程师、市场营销人员、估价专家等)。具体审计测试个性化就是针对风险不同的客户、客户不同的风险领域采用不同的审计程序,使审计工作不再是机械性工作,而是充分体现了审计人员的专业判断和创造性,审计工作本身更具吸引力,审计效果也更好。

4.审计证据内涵扩大

由于强调风险评估,而将客户置于广泛联系的经济网络之中,审计师必须充分了解客户整体经营环境,并由此出发评估客户的经营风险进而评估审计风险,所以审计师形成审计结论所依据的证据不仅包括实施控制测试和实质性测试获取的证据,还包括了解企业及其环境获取的证据。

三、推动我国现代风险导向审计发展的措施

1.重构注册会计师知识能力框架

(1)提高注册会计师的专业判断能力

现代风险导向审计要求注册会计师改变审计思路,从企业环境、经营战略入手,分析其对财务报表的影响,这要求注册会计师有很强的企业分析能力,从而特别强调专业判断;同时,现代风险导向审计过程实质上就是专业判断的过程,它提升了审计的技术含量,注册会计师实施审计抽样需要根据审计对象的总体及特征,选择抽样方法,对抽样结果进行评价;对直接或间接取得的证据,注册会计师要判断证据来源的可靠性、适当性和充分性,并以此决定是否扩大或追加审计程序;对审计中发现的异常事项、重大事项要运用专业判断决定实施针对性的审计程序等,只有很好的运用专业判断才能提高审计的质量,避免形式审计。因此注册会计师在执业中应注意依靠执业经验和行业知识的积累、同业交流等对自身专业判断能力的培养和提高。

(2)重新构建注册会计师的知识体系

现代风险导向审计对注册会计师的知识体系要求更高更全面,因此应做出相应的调整。首先,在审计课程中要全面引进现代风险导向审计的理念和方法,以适应风险导向审计带来的变化;其次,应开设企业分析与估价方面的课程,其目的主要是强化注册会计师的专业判断,加强分析能力,以全面了解企业内外环境以及准确评估经营和审计风险;另外,由于现代IT技术在审计抽样、分析性复核中作用显著,而我国教学和考试中对其在会计和审计中的运用涉及很少,因此应该在会计和审计课程中增加工运用的部分。

(3)加强以现代风险导向审计为基础的相关知识能力培训

注册会计师协会应加强注册会计师后续教育的“现代风险导向审计技术与方法”的训练,并且可以采取扶持政策鼓励审计从业人员报考ECPA方向的MPACC,以现代风险导向审计为基础定位其知识能力框架,指导其在实务中的应用,避免理论与实务脱节的现象。

2.完善法制环境

健全的法律环境虽然不是风险导向审计实施的必要前提,但风险导向审计作用的发挥确实离不开一定的制度安排,研究表明通过一定的制度安排来加大注册会计师的法律责任对于抑制会计信息失真的现象而言,其长期性政策效应优于加重对提供虚假会计信息的企业的处罚,因此完善法制环境有利于审计人员做出正确选择,是推行风险导向审计的并行措施。

(1)完善相关法规中注册会计师法律责任

我国有关注册会计师的法律责任分散在《注册会计师法》、《证券法》、《公司法》、《刑法》和《股票发行与交易管理暂行条例》等法律法规中,由于立法技术等方面的原因,不同法律对注册会计师法律责任的规定不完全一致,甚至相互矛盾,因此为了规范注册会计师的执业行为,必须消除法律之间的矛盾和不协调,保持执法的一致性;其次,提高责任认定的可操作性。我国法律明确规定注册会计师仅就自身的重大过失和欺诈行为承担法律责任,但缺乏区分普通过失、重大过失与欺诈的标准,所以应根据归责原则与作为性质对其进行界定,同时明确追究行政责任、民事责任与刑事责任的依据,以进一步明确何种行为追究何种责任。

(2)完善民事责任制度

我国法律法规对注册会计师的民事与刑事责任规定太笼统,特别是对民事责任规定缺乏可操作性,客观上助长了会计师事务所和注册会计师的投机行为,因此迫切需要落实会计师的民事赔偿责任,应考虑:明确民事责任对象,参照其他国家的经验确定审计受益第三者的范围,落实会计师承担责任的具体对象范围;建立举证责任倒置制度,降低业外人士特别是会计报表的利害关系人如广大股民的诉讼难度;健全诉讼机制,简化诉讼程序,提高诉讼效率。另外,还应采取一系列措施严格业务检查制度,加大注册会计师行业的社会监督力度。

(3)扩大宣传,使注册会计师真正建立起现代风险导向审计的理念

加强对新会计准则、审计准则的培训和宣传工作,扩大这些准则的影响,使注册会计师真正建立起现代风险导向审计的理念。注册会计师在审计工作中站在风险的高度上制定审计程序,使审计人员由被动地承受审计风险到主动地控制审计风险,审计风险的理论与过程紧密结合。这些都有利于注册会计师提高执业质量、降低审计风险。

综上所述,现代风险导向审计作为制度基础审计的完善和发展,是现代职业审计的必然发展趋势,在实践中,尚无完整的模式可参照执行,需要根据中国的具体国情,在实践中不断完善。因此,注册会计师在现阶段,应首先接受现代风险导向审计的理念,在执业过程中,将风险评估贯穿审计的全过程,不断探索现代风险导向审计的方法,以将审计风险降低到最低可接受水平,提高注册会计师的执业水平。相信随着现代风险导向审计的逐渐发展和完善,将在注册会计师职业界得到普遍的认可,尤其是新的审计准则在明年的运用,也必将全面提升注册会计师的执业形象。

参考文献:

[1]胡春元.《风险基础审计》[M].东北财经大学出版社,2001

[2]胡春元.《审计风险研究》[M].东北财经大学出版社,1997

[3]谢荣,吴建友.现代风险导向审计理沦研究与实务发展[J].会计研究,2004第4期

第12篇

近期,笔者参加了江西省审计厅组织的审计培训团,赴澳大利亚进行为期20天的政府绩效审计培训。培训期间,听取了维多利亚大学教师的讲课,学习了澳大利亚政府绩效审计理论、程序、方法等内容,了解了澳大利亚联邦审计总署和维多利亚州审计署工作情况和绩效审计开展情况,还听取了墨尔本大学审计部审计人员的审计工作介绍。此次培训取得了良好效果,不但开阔了眼界、拓宽了思路,对澳大利亚以审计风险管理水平为核心的政府绩效审计及其他审计有了一定的了解和认识。纵观澳大利亚覆盖整个经济社会严密的审计监督网络,对比我国发展现状,在如何优化审计环境、改进审计工作等方面感触颇深,笔者认为内、外部审计紧密结合共同搭建完善的风险评估和风险管理体系是当前提高我国审计效率的首要任务,现介绍如下,以供参考。

一澳大利亚与我国开展绩效审计现状对比

由内、外部审计共同健全的风险评估和风险管理体系是澳大利亚绩效审计的出发点和目标。根据审计主体的不同,澳大利亚绩效审计由内、外部审计共同构成,两者紧密结合共同搭建和不断优化该体系,同时澳大利亚广泛将风险导向审计模式运用至包括绩效审计在内的全部审计类别中,取得了引人注目的成绩。

澳大利亚联邦审计总署的职责是从整体的角度不断改善国家机关各职能部门的效率和责任心及理财能力,增强其财务管理和业务管理的可评估性。其明确了以风险评估计划为主要内容的可评估性为首要职责任务。而完整的风险评估计划也正是澳大利亚绩效审计的关键和出发点。其内、外部审计紧密结合共同实现和推进风险评估计划的可评估性。被审计单位首先须具备以专业领域或管理范围风险管理为重点内容的详细风险分析和风险防范计划,及其详细的风险管理的内审报告,从而政府审计人员才能完成对被审单位风险管理水平进行预评估的首要审计工作环节。

澳大利亚政府机构、企业普遍建立和实行了以风险评估和风险管理体系为核心的内部审计制度。审计部门通过政府各部门的内审员,建立风险评估计划制度,并且其风险评估计划需经审计部门进行备案。澳大利亚《公司法》规定,上市公司要设立审计委员会,对公司进行风险管理和控制。其他企业内部审计师也是通过风险管理审计监督企业内部控制运行,从而改善企业管理和运营,由此审计部门实现风险评估数据积累的不断优化。澳大利亚是一个法制比较健全的国家,审计地位较高,信誉较强,方法科学,技术先进,在国民经济运行中发挥着重要的作用。

而目前我国政府和企业尚没有建立全面风险管理体系。对于建立企业全面风险管理机制以防范重大事件造成的损失,近几年国务院国资委已在逐步推进,2006年制定颁发了《中央企业全面风险管理指引》,在央企及所属上市公司内全面推进全面风险管理建设工作。2007年在几家大型国有中央企业进行试点操作后,2008年已将此项工作推进到全国国有中央企业和部分地方企业。但实际上,许多企业还没有建立完整的风险管理体系或开展全面风险管理工作。

二澳大利亚绩效审计的成功经验和主要做法

(一)广泛运用先进的理念和方法保障准确、高效的风险评估体系在实践中发挥实质作用。

从审计内容上看,澳大利亚风险导向性内部审计已较早走出单纯财务收支审计圈子,步入以内部控制和风险管理为主要内容的现代审计。风险评估是绩效审计的基础和出发点,绩效审计的审计人员与被审单位对风险评估结果达成共识成为审计成败的关键。其他审计分类中,风险评估体系也成为工作中的主导条件,如:风险评估是财务审计准备的要点,审计重点必须根据风险评估得出,结论应该包括财务风险评估报告和风险管理计划,从而不断对其进行优化;政府重大项目审计的重点是该项目风险管理计划的落实,审计所发现的问题将被列入新的风险管理范围等。

1.建立以风险评估和风险管理为核心的内部审计成为全体公务员和管理人员的共识。

在澳大利亚,审计部门通过政府各部门的内审员,建立风险评估计划制度。无论是政府部门还是公司都认为,在当前复杂的经济环境下是不能没有以风险评估和风险管理为核心的内部审计的。内审人员工作的角色越来越多元化,从监控向风险管理顾问方向发展。内部审计目前已从查错纠弊发展到更细致的工作,从着重财务审计扩展到人力资源、市场运作审计等,并将重点转移到上述审计领域。一些内审机构,如昆士兰州自然资源及矿产部非常注重“全部审计、突出重点”,在不断完善组织风险管理机制的基础上,尝试采用问卷方式向被审计对象了解情况,或让其进行自我审计,审计人员则重点关注风险较大的问题,从而在人力资源有限的条件下扩大了审计的范围,取得了明显的成效。

2.风险评估和风险管理体系控制严格且健全。在澳大利亚,每个企业都必须进行风险评估,尤其是安全生产方面的风险评估更占有举足轻重的地位,没有进行风险评估的生产就不可能获得批准。我国一些企业也在开展风险评估,但相比而言比较粗浅。

澳大利亚风险评估的构成要素主要为:

(1)风险等级:一般分为五个等级。造成的危害,需要调用的资源,产生的影响;

(2)风险概率:可能出现的时间频率,也分为五个等级;

(3)风险的预防性和可防范性、可控制性;

(4)防范风险需要的资金和资源配置;

(5)不断改进风险管理;

(6)风险评估和风险管理计划。风险评估计划应该包括:所有可能风险的名称、等级、概率、,防范措施、负责人员、资金资源配置、可防范等级。并在运用中严格落实风险管理的责任制原则。

3.广泛运用先进的风险评估及管理的方法和技术。澳大利亚的风险评估除了非常注重风险评估计划的细、量化及对风险评估的要素、步骤、计划、模式都有具体的统一规定外,还建立了合理的预警指标,有效评估企业的风险。评估后采取的措施也更具针对性。其风险评估的模式分为:静态模式/动态模式;封闭模式/开放模式;一般性评估模式/量化评估模式;不定因素对评估模式的影响;短期评估模式/长期评估模式。评估模式的多样化与适用性决定了审计部门需确定建立适合本地区、本行业的评估模式。

(二)高素质、综合性内部审计人才的参与进一步维护风险评估管理体系的科学、高效标准。

澳大利亚各级政府除加强对全体相关人员的风险管理教育培训外,更注重高素质、综合审计人才的培养。国际注册内部审计师(英文缩写CIA)资格在澳大利亚比较流行,越来越多有志于内审工作的人员报名参加CIA考试。它包括以下几个方面:一是聘请的内部审计师要具备与职业要求相符的专业资格,如CPA和CIA,具有CIA资格的审计师特别受到重视;二是审计中,审计师要严格执行国际内部审计师协会(英文缩写IIA)制定的内部审计标准,并接受审计主管的复核检查;三是建立了审计人员专业评估机制,定期对内审人员进行专业评估和培训;四是内审委员会要求审计人员定期提交工作报告并随时与审计人员进行谈话;五是审计委员会规定了完整的内审程序和措施。主要是:审计工作计划必须得到审计委员会的批准;审计主管不断审核并复查计划的执行;审计主管必须对审计报告进行全面审查和签署;审计工作结束后,抽查审计报告并进行详细的复查;与被审计单位保持经常、畅通的联系,以保证他们向审计主管提出改进工作的意见。

(三)内审协会发挥的积极推动效力促进风险评估管理体系功效的高水平发挥。

澳大利亚内审协会成立于1952年,有2 000多名会员,分别来自澳大利亚的公有或私有机构。协会的董事会由7位从各州选举的主席构成,协会建立了与各内审机构负责人联系的网络,有自己的网站,方便与内审人员的沟通和交流。内审协会的主要工作是为内部审计执业者、执行管理者、董事会和内审委员会提供各种规范的标准、指导和信息服务,包括:内审政策的制定,及时更新审计实务标准,提供更新知识的服务,保证内审专业水准不断提高。协会的主要作用是制定、检查审计标准执行,组织开展交流,推广先进经验,培训审计人员,促进内审工作职能的发挥。

三对我国建立完善的风险评估和风险管理体系的启示及建议

(一)立法建立相关的法律、法规依据。首先,在认真借鉴先进国家成功实例的基础上,总结已推行过程中取得的经验,制定比较系统、操作性较强的风险评估和风险管理准则。鉴于绩效审计具体情况比较复杂,应分门别类制定出具有各个行业特点的准则。其次,建立一套科学可行的指标评价体系也是开展风险评估管理体系的必要措施之一,并对其进行科学的细化和量化。风险评估的过程主要是风险辨识、风险分析和风险评价。应根据各种风险的分类,进一步细化,得出可能存在的风险之后,运用特定的风险评估方法,根据各种风险发生的可能性及影响程度,决定控制程度和策略。

(二)加强内、外部审计的联系,转变外部审计的最终目标。外部审计与内部审计相互合作,互为补充,是当代审计的一大特点。澳大利亚的成功经验告诉我们:政府审计独立性强,层次高,权威性强,但人力有限;民间的事务所审计,用人机制灵活,可以根据工作需要随时聘请所需专业技术人员,但受费用和时间限制,二者共同的弱点是对被审计单位内部情况不够熟悉;而内部审计熟悉被审计单位情况,但业务力量和权威性较弱,为了建立完善的风险评估和风险管理体系、综合使用审计资源,三者之间应通力合作,优势互补,并将外部审计的最终目标统一到对风险评估结果达成共识这一共同点上来,以提高被审计单位的风险管理水平。

(三)建立功能强大的信息库,存储与被审计单位相关的众多信息。建立完善的风险评估和风险管理体系所需的信息将面临着严重不足。其体系的建立使得审计重心前移,在实际的审计工作中需要先执行风险评估程序,对审计对象整体的经营管理环境进行充分的了解,再针对风险不同的审计对象以及同一对象不同的风险领域,制定出个性化的审计程序。必须获取足够多的信息,才能在风险评估时真正了解审计对象的战略、流程、风险管理、业绩等基本情况,最终做出恰当的职业判断。由此可见,为了实现审计目标,保证审计活动的顺利进行,审计部门必须建立功能强大的信息库,存储与被审计单位相关的众多信息。

(四)必须建立和提高全社会对风险评估和风险管理体系重要性的认识,使风险评估和风险管理成为全体公务员和管理人员的共识,同时要提高相关的业务水平与技能。不仅可以利用多种渠道广泛宣传,比如专业刊物、研讨会和论坛、业务会议等,还要积极广泛地组织风险管理的教育和培训,提高风险防范意识,建立健全风险评估和风险管理计划,整体提高管理水平。

(五)加强培训,建立一支高水平、高素质、综合型审计人员队伍。开展风险评估和风险管理要求审计人员在通晓会计审计税收以及相关法律知识的同时,也要具备管理学、统计学、人力资源管理等学科的知识,对审计人员的学识经验思维能力都提出了更高的要求。加强审计队伍建设,一方面要对现有审计人员进行培训,全面提高综合素质;另一方面也要相应引进管理、统计工程等方面专业人才充实审计队伍,优化审计人员结构。同时,应大力加强计算机应用水平。澳大利亚各行业计算机应用水平较高,因此审计的技术手段主要是运用审计软件,实行计算机审计。审计人员凭借审计软件,通过网络进行数据采集、原始资料分析处理、风险评估等工作,使审计效率得到大幅提高。

第13篇

[关键词] 风险导向审计;经济责任审计;模式构建

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2017. 01. 009

[中图分类号] F239.47 [文献标识码] A [文章编号] 1673 - 0194(2017)01- 0023- 02

0 引 言

本文首先构建风险导向审计下企业经济责任审计模式,然后根据构建的模式流程阐述整个模式的全过程,主要包括企业经济责任审计风险识别、企业经济责任审计风险评估、企业经济责任审计风险应对及企业经济责任审计报告这四个过程。

1 风险导向审计下企业经济责任审计模式构建

首先要对审计的环境及企业内部制度存在的问题进行识别,在此基础上对企业各项工作的流程风险及战术决策风险进行评估;然后参照风险导向审计的程序并引入风险警示系数来评估重大错报风险、剩余风险及检查风险;在风险评估后依照风险的重要性水平不同制定审计策略及方案并实施风险应对;最后把审计结果交于管理层决策,并完成企业经济责任评价和审计报告。

2 风险导向审计下企业经济责任审计模式阐述

2.1 企业经济责任审计风险识别

风险识别的方法有头脑风暴法、动态分析法、财务报表法及环境分析法等多种。本文风险识别采用环境分析法,可分为外部环境分析和内部环境分析。

外部环境分析:了解所审计企业所处的行业的发展情况、生产经营是否存在周期性和季节性,行业的盈利水平及发展趋势。审计人员通过国家统计部门的网站及行业协会提供的调查数据来收集所需的行业状况的数据。法律和监管环境主要是了解相关部门在本行业的一些特殊规定。其他外部因素主要有银行利率的变动、通货膨胀及全球经济形势等。

内部环境分析:审计单位的性质对于企业的税收及财务报告方面都有重大的影响,所以作为审计人员首先要分析企业的性质。审计单位使用何种会计政策对于审计单位所做的审计报告、验资报告等一系列内部经济活动有至关重要的影响,审计人员应该了解被审计企业的会计政策是否符合法律及会计准则的要求,进一步规范企业的经济活动。内部控制是企业是否遵守法律规定及衡量经营效果的尺子。

2.2 企业经济责任审计风险评估

企业经济责任审计风险评估首先对被审计企业的总体风险及流程风险进行评估,然后引入风险警示系数来评估重大错报风险、检查风险及剩余风险。

总体风险评估主要是分析企业的战略决策风险,使用的方法是SWOT矩阵法。流程风险评估主要使用流程图法。风险警示系数是直接利用审计人员被处罚的概率来计量的,是对审计人员的违法违规行为的综合控制参数。重大错报风险评估包括固有风险和控制风险,此风险评估法能事先确定可能发生错报的账户和披露,能节约审计资源。重大错报风险评估可以通过两个层次来评估,财务报表整体层次和交易类别账户余额层次,并在这两个层次中引入风险警示系数,使重大错报风险评估更为合理。检查风险主要受抽样风险和非抽样风险的影响,首先要确定抽样风险和非抽样风险;然后审计人员要明确审计证据、重要性水平及检查风险间的关系;最后根据前两条以及风险警示系数来评估检查风险。剩余风险来源于战略分析和经营环节分析,是审计人员较为关注的方面,审计人员在评估战略风险、经营风险后得出剩余风险。

2.3 企业经济责任审计风险应对

风险应对主要包括内部控制测试、实质性程序及风险再评估。内部控制测试首先要初步评估控制风险,然后根据风险水平不同分为高水平内部控制、低水平内部控制及低于最大值的控制风险。对于高水平的内部控制不必继续了解;对于低水平的内部控制要测试全面的控制活动;对于低于最大值的控制风险要测试企业层面和业务层面的控制来应对控制风险水平。实质性程序包括细节测试及实质性分析程序,其流程是依据被审计企业的资料,对财务指标复核,寻找审计重点难点和疑点,然后项目组成员分头实施有关会计账户的审查工作,根据审计中的特点确定重点,并正确划分经济责任界限,最后做好底稿。风险再评估企业经济审计工作是一个动态的过程,在审计过程中法律法规可能有重大变化或企业内部有重大改变都需要审计人员再次评估,来确保评估的准确性和科学性。

2.4 企业经济责任审计报告

审计人员把审计结果交于管理层决策并最终完成审计报告。管理层在处理审计结果时要对审计结果进行评价及考虑报告带来的审计风险。对审计结果进行评价常用的指标有财务效益指标、偿债能力指标、发展能力指标等。评价过程中使用的评价原则主要是客观性、谨慎性和统一性。报告带来的风险主要来源于审计人员对审计事项的了解不全面所造成的,审计人员要严格按照企业的真实情况对企业审计并编制审计报告及披露被审计企业存在的问题,减少报告带来的风险。

3 结 语

本文首先构建风险导向审计下企业经济责任审计模式,然后对整个模式的全过程进行阐述,主要包括企业经济责任审计风险识别、企业经济责任审计风险评估、企业经济责任审计风险应对及企业经济责任审计报告这四个过程。

主要参考文献

[1]唐可蔚,宋夏云,郭强华,等.现代风险导向审计模式下的企业经济责任审计流程[J].审计与理财,2015(5):40-42.

第14篇

一、现代风险导向审计与洗钱风险评估

(一)现代风险导向审计 审计的目标是对财务报表不存在由于错误或舞弊导致的重大错报获得合理保证,其审计方法,即现代风险导向审计是当今主流的审计方法,要求审计人员从宏观上了解被审计单位及其环境,充分识别和评估财务报表重大错报风险,针对评估的重大错报风险设计和实施控制测试与实质性测试程序 ,并根据审计结果出具恰当的审计报告。现代风险导向审计基于战略层面和经营层面进行分析,可以克服因缺乏全局观而导致的审计失败风险,其不仅关注到上市公司经营风险对会计报表的影响,还把上市公司管理层对其影响因素考虑在内,同时相应减少了审计资源在实质性测试方面的分配,节省审计成本。

(二)金融机构洗钱风险评估 2012年2月,金融行动特别工作组的“40项建议”重点突出风险为本反洗钱工作方法,主要体现在根据洗钱、恐怖融资等非法活动的风险高低,合理配置相应的资源,采取相应的控制措施,既包括对洗钱风险的评估,还包括依据风险评估结果对高风险领域采取强化措施。洗钱风险评估主要体现在三个方面的运用:一是FATF及有关机构对国家整体洗钱风险进行评估;二是反洗钱监管部门对金融机构洗钱风险进行评估;三是金融机构对客户洗钱风险进行评估。须注意的是,金融机构洗钱风险评估与金融机构反洗钱工作评估不同,洗钱风险评估是指对金融机构被利用洗钱,即洗钱风险高低进行评价,侧重于预防洗钱风险能力方面;反洗钱工作评估是指对金融机构的反洗钱工作情况进行评价,是一种类似于绩效考核的评价模式。两者在评价指标设计及方法上有所不同,如被评估机构工作(调研)受到表彰、认可或表扬,协助破获了洗钱及上游犯罪案件,提供了有价值的可疑交易线索,在洗钱风险评估中只作为评估取证的来源之一,在反洗钱工作评估中则作为对工作认可的绩效评价指标之一。本文从监管角度探讨对金融机构洗钱风险的评估。

金融机构对客户的洗钱风险评估,是金融机构了解客户基本信息的基础上,分析客户资金交易的金额、频率和方式等特征,继而确定风险等级。监管部门对金融机构洗钱风险评估,是监管部门或受监管部门委托的有关机构,对金融机构的客户身份识别、交易记录保存、客户风险等级划分及可疑交易报告制度的有效性进行分析,确定金融机构在内控管理、业务流程、人员履职等方面对其洗钱风险的影响。

(三)现代风险导向与金融机构洗钱风险评估的异同 具体运用中,两者均采用抽样评价方法,取证手段也相同(如询问、查阅、检查等方式),评估流程也类同。财务报表审计流程大致分三个阶段,即承接业务阶段的内外部风险评估,分析被审计单位高管层压力、机会和借口等因素所引发的舞弊或错报风险;风险初步评估阶段,了解评价被审计单位环境、内控制度情况;进一步审计程序阶段,控制测试和实质性测试(对被审计单位各类交易、账户余额和披露的细节测试以及实质性分析程序)。后续审计程序根据前阶段的风险评估结果确定,当后续审计程序获取的审计证据与初始评估获取的审计证据相矛盾时,可以修正风险评估结果,并相应修改原计划实施的进一步审计程序。审计风险评估的目的是根据风险,确定进一步审计程序的性质、范围和时间安排,其目的在于内控风险较高时,更多的控制测试和实质性测试能推断被审计单位的错报或舞弊行为,继而获取被审计单位错报或舞弊对财务报表的影响程度。洗钱风险评估与此类似,一是了解金融机构固有风险阶段,与承接审计业务阶段内外部风险评估阶段相似,需了解金融机构所面临的宏观经济状况,所在行业的洗钱风险及经营状况对洗钱风险的影响。二是初步评估阶段,与审计风险初步评估阶段相似,对金融机构反洗钱工作的环境、内控制度执行情况进行评估。三是深入评估阶段,与进一步审计程序阶段相似,对金融机构的反洗钱内控制度有效性和可疑交易分析报告工作的及时性和有效性进行分析评价。洗钱风险评估过程中,可以在了解金融机构固有风险的基础上,确定初步评估的范围,再根据初步评估的结果,指导深入评估的时间、范围和方法,包括对金融机构进行一次初步评估和一次深入评估,也包括根据评估结果,采取现场检查、约见谈话、现场走访等后续监管措施。

不同之处在于:一是业务性质不同。风险导向审计是对财务报表不存在由于错误或舞弊导致的重大错报获得合理保证;金融机构洗钱风险评估是对金融机构洗钱风险的高低作出评价。二是评价内容不同。前者是对被审计单位的外部环境、内部环境、内控制度,特别是对会计报表及账务处理的准确性及真实性进行评价,具有经济评价性质,较为复杂;后者是对被评估单位反洗钱相关的环境、内控制度及可疑交易分析能力进行评价,具有单一性风险评价性质,较为简单。三是法律责任不同。审计主体对审计报告具有强制性报告义务,并对出具的审计报告承担法律责任;洗钱风险评估是对风险进行判断,不具有强制性报告义务,较少承担法律责任。四是委托责任不同。前者是注册会计师事务所接受有关信息使用者的委托,对被审计单位进行审计,信息使用者包括政府、股东及投资者等相关人员;后者主要是评估主体接受政府部门委托,根据最新风险状况对被评估机构洗钱风险进行评估。

二、审计风险评价体系对洗钱风险评价体系的借鉴

层次分析法是美国运筹学家T.L.Saaty于20世纪70年代初提出的一种决策分析方法,基本原理是:把一个复杂的决策问题视为一个系统,按总目标、子目标、评价因素的顺序进行逐步分解,构建层次结构,然后通过模糊量化确定各元素对于上层指标的重要性,以此递推到总目标层,从而为最终的决策问题提供较为科学的定量依据。目前的洗钱风险评估方法为层次分析评价方法,该方法将整体风险分解成一套评估指标体系,通过采用分级细化、确定指标分值权重、逐级加减汇总的方式,确定总体水平。如我国试行的金融机构反洗钱风险评估标准中,将风险指标划分为环境、产品/客户、控制、沟通和调整五类一级指标,通过对各类指标中的标准评价得分汇总得出整体风险。该方法优点在于,整体风险或工作情况受多个控制点、事项或交易的影响,各指标的汇总得分情况能较好反映整体水平,其在工作绩效考核运用中的优势尤其明显。

审计风险值的确定方法与上不同,是在确定各类风险值(或风险高低)的基础上,对各类风险值进行数值乘算(或选用“高”、“中”、“低”等文字的定性描述),并通过矩阵表的方式计算确定风险,本文将此方法描述为矩阵评价方法。审计风险值具体确定方法为,审计风险=重大错报风险×检查风险(实务中,注册会计师不一定用绝对数量表示风险水平,还可以选用“高”、“中”、“低”等文字描述,即审计风险值可通过数值乘算,也可以定性确定),其中,检查风险取决于审计程序设计的合理性和执行的有效性,可以通过职责分配、提供针对性审计计划等方式解决。重大错报风险包括固有风险和控制风险,评估时可以单独对固有风险和控制风险进行评估,也可以合并进行评估。国内有关学者采用矩阵方式评价风险,如对洗钱风险值的评价方法为,洗钱风险=固有风险×内控风险,其中,固有风险包括:国家/地域风险、产品/服务风险、客户风险;内控风险主要是指反洗钱内控制度及执行风险。如反洗钱风险管理的评估方法为:反洗钱风险=原本风险×管控风险×监管风险。与反洗钱风险管理的评估方法相似,金融机构洗钱风险水平受以下四个方面的因素影响:国家经济,所在行业、地域环境;反洗钱内控制度与内部环境;金融产品、服务及客户本身的洗钱风险水平;可疑交易报告的及时性和有效性。确定金融机构洗钱风险的方法为,金融机构洗钱风险=国家(地域、行业)风险×控制风险×产品(或客户)风险×交易监测风险(与审计风险评估相似,洗钱风险值可通过数值乘算,亦可定性确定)。

矩阵评价方法体现出风险与成本的一种均衡,避免将洗钱风险通过简单汇总各级指标分值的方式进行评价。主要体现在:一是控制成本。风险导向审计理论认为,机构内部行使控制职能的人员素质及控制成本影响控制效果,若实施某项控制成本大于控制效果而发生损失时,就没有必要设置该控制环节或控制措施。洗钱风险评估中,某金融产品被用于洗钱的风险较高,其相关控制风险也较高,但若金融机构的该类金融产品交易量很少,则其整体洗钱风险不能被认定为高风险,投入此部分的评估资源可以相对减少。二是风险项的交叉性影响。即各类风险相互之间的影响,如新客户“职业”登记为“其他或无业”的比例较高,则不能认定客户身份识别制度执行有效。三是不同类别风险对整体风险的影响程度。即当某类风险较高,而其他类风险较低时,须依据各类风险对整体风险的影响程度确定风险等级。金融机构的反洗钱义务在于预防,所有控制措施都是为做好可疑交易的监测、分析和报送服务,若客户身份识别制度和客户风险等级划分制度执行的很好,但监测分析人员的人数配置不够、分析能力不高,可疑交易分析系统的智能化不足,则应认定该单位的洗钱风险水平为高风险。

三、风险导向审计方法在洗钱风险评估方法中的运用

(一)运用抽样评价方法 审计抽样范围受所审计鉴定会计期间的影响,并针对该会计期间各类控制、事项或交易中的部分样本进行评价,通过样本推断总体,如年度财务报表审计,只有在审计报表期初余额,及评价期末、期后事项对报表的影响时,才会跨年度选取样本。洗钱风险评估相对灵活,可以对某一年度的洗钱风险进行抽样评估,也可以针对某类控制、事项或交易的样本扩大至若干个年度进行抽样评估。

(二)依据风险高低扩大或减少样本量 审计实务中,若认为被审计单位控制环境薄弱,则很难认定某一相关流程的控制有效,其实质性测试的样本量会大幅增加(实质性测试包括细节性测试和实质性分析程序,即对会计计量的真实性、准确性、合理性进行审查)。小型机构员工较少,限制了其职责分离的程度,虽然没有文件形式的控制要素,但了解管理层的态度、认识和措施及其控制环境非常重要,应该更多的采取实质性程序。洗钱风险评估可借鉴以上方法,若金融机构的内控风险很高,则其客户身份识别、交易记录保存及客户风险等级划分相关控制点就较难得到有效执行,继而影响异常交易分析识别的及时性和有效性,洗钱风险会加大,此时应扩大对异常交易分析及报告的样本量,确定洗钱风险的高低。

(三)整合取证手段 审计取证方法包括查阅、询问、观察、穿行测试、重新执行、实质性分析程序等方法,具体审计目的不同,取证手段和工作流程也不同。如对收入确认的完整性测试,由原始凭证追查至明细账(从发货部门的发运凭证追查至有关销售发票副本,再到收入明细账),而对收入确认真实性的审计流程与上述流程相反。洗钱风险评估中,如评价金融机构的可疑交易报告是否有遗漏,可以选取部分存量客户,从建立业务关系,到客户风险等级划分,再到可疑交易分析报告的整个流程进行取证;评价可疑交易报告是否合理,则与上述流程相反。在具体方法运用上,主要有以下几种可供借鉴。

一是询问。向金融机构有关员工进行询问,获取与内部控制运行情况相关的信息。如果某项控制要求某一员工(复核人)在文件上签字以证明他复核该份文件,那么应询问其复核的性质,即对什么进行复核,复核的要点是什么,签字复核的意义等等。如个人独资企业、家族企业、合伙企业、存在隐名股东或匿名股东公司的尽职调查难度通常会高于一般公司,应询问此类尽职调查的方法和措施。二是穿行测试。追踪交易报告在业务流程中发生、处理和记录的过程。业务流程中存在多个风险控制点,如客户身份识别措施―身份识别记录―风险等级划分―交易记录保存―可疑交易提取、分析―复核确认―分析报告结论,通过穿行测试,掌握内控薄弱环节,及对整体风险的影响程度。三是重新执行。审计实务中,检查复核人员是否认真执行核对时,不仅应检查是否在相关文件上签字,还应选取一部分凭证如销售发票进行核对。在风险评估中,可以选取部分可疑交易报告,评判可疑交易分析复核的合理性;在可疑交易分析系统及风险等级划分系统(或者是功能模块)中,评估人员从相关系统调取客户身份资料(一般是开户资料)和交易记录,以评价系统设计的合理性。四是实质性分析程序。通过研究数据间关系评价一段期间的交易情况。审计实务中,实质性测试包括对各类交易、账户余额和披露的细节测试以及实质性分析程序(如财务指标的横纵向比较)。在洗钱风险评估中,可以运用到实质性分析程序,如“可疑交易量/同类型交易量”的横纵向比较,“未登记客户职业信息数量/所有客户数量”的横纵向比较;如私人银行业务的投资理财品种和交易金额的变动情况。

四、审计成本控制对洗钱风险评估成本的借鉴

审计实务中,项目审计组基本为一年对一家上市公司财务报表年报进行审计,虽然企业所面临的经济环境和经营复杂程度的不断上升,注册会计师仍会在合理的时间内以合理的成本完成审计工作。风险为本的工作方法与此相同,需要以合理的成本完成洗钱风险评估工作。截至2012年底,我国具有反洗钱报告义务的金融机构共计1599家,以湖北省武汉市为例,该市具有反洗钱报告义务的金融机构共计201家,其中法人机构19家,在市内拥有下属机构的69家,无下属机构(如证券营业部、支付机构等)的113家。可以发现,监管机构与义务主体呈现一对多的现象,同时,洗钱风险评估只是反洗钱监管工作中的一部分。那么实现评估成本的节约和效果的提高,需要考虑评估的目的,继而在评估深度、时间安排及人员配置上作出具体调整。主要有以下三种模式可供综合或单独运用:一是动态风险评估。如每1至2年评估一次,其作用在于实时掌控金融机构的洗钱风险,由于被评估的反洗钱义务主体较多,则对每家机构评估的时间不宜过长。二是周期性评估。如3年及以上评估一次,该模式的假设前提是短期内金融机构的洗钱风险不会发生较大变化,当金融机构较多时,可以分配至各个年度,并采取“深入”评估的方式进行评估。三是法人监管模式的自主型评估与分支机构的配合型评估。即对法人金融机构进行全面、深入的评估,重点包括内控制度建设、管理体系及执行有效性上面;对于地方分支机构,应以配合上级部门为主,根据上级部门有关要求对金融机构分支机构采取针对性评估,重点在于评价分支机构内控执行有效性上面。

参考文献:

[1]沈征:《审计理论》,上海人民出版社2013年版。

第15篇

摘 要 本文从风险导向审计的定义、流程及实施信贷业务风险导向审计的必要性出发,初步探讨了如何实施新疆农村信用社信贷业务风险导向审计,以及具体实践中的难点及对策。

关键词 新疆农村信用社 信贷业务 风险导向审计

一、风险导向审计

风险导向审计是指以被审计单位的风险评估为基础,综合分析评审影响被审计单位经济活动的各因素,并根据量化风险水平确定实施审计的范围和重点,从而进行实质性审查的一种审计方法。

风险导向审计适应了现代社会高风险的特性,针对不同风险因素采取相应的审计策略,将有限的审计资源集中在高风险领域,合理配置审计资源,以提高审计效率和效果。

二、风险导向审计流程

风险导向模式下的审计流程模式为:首先实施风险评估程序,了解被审计单位及其所处环境(包括内部控制),初步评估风险程度及确定重要性水平;其次,在审计需要时实施控制测试,进一步评估确认重大差异或缺陷风险;最后,开展实质性测试,发现重大差异,将检查风险降至可接受水平。

传统审计最大的缺陷在于对风险评估不到位,未能有效发现高风险审计领域,造成审计过量或审计不足。风险导向审计加强了风险评估程序,实现了由内控测试到风险评估的转变,风险评估的结果决定了审计人员需要关注的高风险审计领域和重点审计项目、审计资源的分配、审计证据的性质和数量。

三、实施信贷业务风险导向审计的必要性

信贷业务是新疆农村信用社的主要经营业务,信贷资产质量的好坏直接影响到信用社的生存与发展,如何通过信贷审计加强和提高信贷风险防控也是信用社内部审计积极探讨和深入研究的重要课题。新疆南北疆经济发展不均衡,北疆的业务发展速度、规模远远超出南疆,信贷管理水平也层次不齐,客观上也要求内部审计要区别对待。自治区联社内审人员少,审计单位多,信贷审计必须做到“重点突出、针对性强”,实施信贷业务风险导向审计则尤为必要。

四、如何实施信贷业务风险导向审计

信贷业务采用风险导向模式,一是应对新疆84家县(市)联社进行风险评估,确定重点审计对象;二是应关注重大风险,突出审计重点,如大额贷款重点审计合规性,小额贷款重点审计真实性,以降低审计成本,提高审计效率;三是延伸审计内涵,应对贷款投向、贷款风险和损失进行分析研究,揭示信贷业务的发展方向,促进新疆农村信用社信贷业务的健康持续发展。

(一)开展风险评估,初步确定风险程度及重要性水平

1.可采用调查表、个别谈话等方式,初步分析内外部环境对信贷管理产生的风险因素及影响。外部环境的调点包括:国内经济环境影响、农业政策变化、县域经济发展战略、县域经济发展总量及耕地面积引发的风险因素;县域的信用环境、法律环境的影响因素;银行监管举措的变化而产生的影响因素等。内部环境的调点包括:信用社的经营策略、管理架构;管理层核心力及管理驾驭能力;信贷管理的经营风险;制度执行力及流程再造能力;高管人员交流情况;管理层权限分工及勤勉尽责情况;内外部监督力度及处罚情况;整改机制的建立及执行情况;案件发生情况等。

2.实施风险评估。可利用环境调查结果,同时采用询问、查阅、观察、检查等方法从以下几方面开展风险评估,评估重大差异或缺陷风险。对于评估得分在85分(含)以上的,风险程度设定为低,对于评估得分在70(含)-85分的,风险程度设定为中,对于评估得分在70分以下的,风险程度设定为高。对风险程度高的,必须重点关注,可采取“加强检查频次、扩大审计范围”的审计策略具体实施。

3.根据风险评估结果,确定重要性水平。重要性,是指被审计单位经营活动及内部控制中存在偏离特定目标的差异或缺陷的严重程度。审计人员需将风险评估结果转化为审计策略,确定审计事项的重要性水平,合理配置审计资源,降低审计风险。新疆农村信用社信贷审计事项包括贷款、票据、抵债资产。

(二)开展控制测试程序

控制测试是在风险评估的基础上,审计人员对内部控制水平的判断。如果风险程度较低,则需要进行必要的控制测试,收集有效的证据来支持较低控制风险的判断;如果风险程度较高,可直接进入实质性测试。控制测试可采用检查、询问、分析和观察、穿行测试等。

1.检查。调阅贷审会、信贷授权、贷款利率定价、岗位职责、信贷审批流程、贷款新业务办理等资料,检查信贷内部管理(制度)是否健全有效、利率定价是否合规、流程设计是否存在风险隐患、新业务品种开办是否合法合规等。

2.询问、观察。对管理层及相关人员进行询问,并观察业务操作流程,如各岗位的办理过程、资料的传递、信贷档案的管理等,查看是否与规定、询问结果一致。

3.分析。调阅业务状况表、五级分类信息数据,与经营计划比较、与上年度贷款数据进行趋势比较,与本地农业经济发展规模比较,分析贷款业务发展的速度是否正常合理等。

4.穿行测试。选择样本进行穿行测试,样本的选择需要与表2重要性水平表密切结合,对于重要性水平中以上的审计事项均应选取适量样本。通过查看信贷资料及控制执行情况,确定业务流程与相关控制是否与前述程序获得的信息一致,是否存在重大执行偏差。

执行上述程序后,如果设计及执行偏差较小,则可确定控制风险较低,下一步进行实质性程序范围可缩小;如果设计及执行偏差均较大,则可确定控制风险较高,需采取更多的实质性程序。

(三)开展实质性测试程序

扩展阅读
推荐期刊
精品推荐