HI,欢迎来到好期刊网!

固有风险和控制风险

时间:2023-11-29 17:30:40

导语:在固有风险和控制风险的撰写旅程中,学习并吸收他人佳作的精髓是一条宝贵的路径,好期刊汇集了九篇优秀范文,愿这些内容能够启发您的创作灵感,引领您探索更多的创作可能。

固有风险和控制风险

第1篇

【关键词】传统风险导向审计现代风险导向审计风险评估策略审计风险

ComparingontheTacticsofRiskAssessmentofTraditionalRisk-basedAuditandModernRisk-basedAudit

Abstract:TraditionalRisk-basedAuditandModernRisk-basedAuditarethetwophasesthatRisk-basedAudithasevolved.tacticsofriskassessmentofTraditionalRisk-basedAuditandModernRisk-basedAuditdifferfromeachotherwhiletheystillhavesomesimilarities.ThispaperdoestheComparionontheTacticsofRiskAssessmentfromthefollowingfouraspects:orientationofriskassessment,extentofriskassessment,proceduresofriskassessmentandmethodsofriskassessment.

Keywords:TraditionalRisk-basedAuditModernRisk-basedAudit

TacticsofRiskAssessmentAuditrisk

一、引言

传统风险导向审计和现代风险导向审计是风险导向审计模式发展的两个不同阶段。传统风险导向审计和现代风险导向审计均以风险评估为起点,同时都将风险与控制方法贯穿运用于审计全过程,使审计过程成为一个不断克服和降低审计风险的过程。因此传统风险导向审计和现代风险导向审计两种审计模式在风险评估策略上存在一定的相同之处,但同时更多地体现出了差异。鉴于两种审计模式的风险评估策略较易被混淆,本文拟对两种审计模式的风险评估策略作一比较,对两者差异加以初步探讨。二、传统风险导向审计和现代风险导向审计涵义

(一)传统风险导向审计传统风险导向审计也称为控制风险导向审计[1]。审计模式发展到传统风险导向审计的标志性事件是AICPA在1983年了第47号《审计准则公告》(SASNo.47)——“审计业务中的审计风险和重要性”,首次提出了审计风险模型。传统风险导向审计是指审计人员在审计过程中将风险分析、评价与控制融入传统审计方法(账项导向审计和制度导向审计)之中,进而获取审计证据,形成审计结论的一种审计取证模式。传统风险导向审计的基本程序并没有脱离制度导向审计模式,但它在制度导向审计模式的基础上更加注重风险评估和风险管理。针对制度导向审计不直接处理审计风险,不能对审计风险进行量化的缺点,传统风险导向审计引入审计风险模型,通过该模型将从各种渠道所收集的证据联系了起来,并在此基础上对审计风险进行定量评估,将审计资源相对合理的分配到高风险领域。(二)现代风险导向审计

现代风险导向审计也称为经营(商业)风险导向审计、风险基础战略系统审计。1997年,Bell和Frank发表了名为《通过战略系统的视角对组织进行审计》的研究报告,首次提出了毕马威的BMP审计模式,这标志着现代风险导向审计的产生。现代风险导向审计是审计技术方法在系统和战略管理理论基础上的重大创新,它以被审计单位的战略经营风险为导向,通过“战略分析——流程分析——经营业绩评价——财务报表剩余风险分析”的基本思路,将报表重大错报风险和经营风险联系了起来,从而提出了审计师从源头分析和发现会计报表错报的观念[2]。现代风险导向审计针对传统风险导向审

计风险评估不到位,未能有效发现高风险审计领域,造成审计过量或审计不足的缺点,大大加强了风险评估程序,做到了以风险评估中心,真正体现了风险导向审计的理念。

2003年10月国际审计和保证准则委员会(IAASB)了国际审计准则第315号(ISA315)“了解被审计单位及其环境并评估重大错报风险”,将传统风险导向审计下的审计风险模型修改为:审计风险=重大错报风险×检查风险,明确规定了审计工作以评估财务报表重大错报风险作为新的起点和导向。这就导致了实务中普遍运用的现代风险导向审计在审计风险模型和审计具体风险导向等上和准则规定产生了一定的差异。鉴于这一点,特别指出本文所称的现代风险导向审计是指国际会计师事务所在实务中运用的以战略经营风险为导向的现代风险导向审计。二、传统风险导向审计和现代风险导向审计风险评估策略比较

风险评估是指对审计风险的评估。美国注册会计师协会(AICPA)认为审计风险是指审计人员对于存在重大错报的财务报表未能适当发表意见的风险[3]。风险评估的目标就是确定

高风险环节,从而确定审计的范围和重点,并进一步确定如何收集、收集多少和收集何种性质的证据,以便更有效地控制和提高审计效果及审计效率。策略,是根据形势发展而制定的行动方针和方法。借鉴中注协(1997)对审计策略的定义,笔者将风险评估策略定义为审计人员根据确定的风险评估范围,选择能够达到风险评估目标而应当实施的最有效风险评估程序的基本思路、组织方式和具体方法。在本文中,笔者从风险评估导向、风险评估范围、风险评估程序、以及风险评估具体方法四个方面来比较两种审计模式的风险评估策略。

(一)风险评估导向

虽然国际审计准则规定,在传统风险导向审计下审计人员首先应当对财务报表整体层次和交易类别、账户余额认定层次的固有风险进行评估,但由于固有风险和控制风险都受内外部环境的,两者很难区分,因此审计人员通常难以对固有风险单独做出准确评估。又鉴于稳健性原则的考虑,实务中审计人员往往将固有风险简单地确定为高水平,从而将风险评估重点锁定在控制风险上。因此在实务中,传统风险导向审计实际上是以对控制风险进行的评估为切入点的,所以传统风险导向审计是以控制风险为导向的。

现代风险导向审计强调:审计人员的审计风险[i]主要来源于企业财务报表的错报风险,而企业财务报表的错报风险则主要来源于整个企业的战略管理风险和经营活动风险[4]。所以要充

分理解审计风险,审计人员就必须从企业的战略分析入手,充分识别企业内、外部风险并理解内外部风险对财务报表认定的影响。因此,现代风险导向审计并不直接从对固有风险的评估入手,而是间接地以被审计单位的战略经营风险为导向,通过综合评估战略经营风险从而确定财务报表剩余风险,并进一步确定实质性测试的范围、时间和程序。因此,现代风险导向审计是以战略经营风险为导向的。(二)风险评估范围

在实务中运用传统风险导向审计时,审计人员往往忽略对固有风险的准确评估,而将固有风险简单地确定为高水平。因此在传统风险导向审计下审计人员往往不注重从宏观层面上了解企业及其环境(如行业状况、监管环境;企业的性质;企业的目标、战略、以及可能导致会计报表重大错报的相关经营风险;对企业财务业绩的衡量和评价)[5],而只关注企业的内部

控制。因此,在传统风险导向审计方法下,审计人员实际上只仅仅依赖对控制风险所作的粗放型评估来直接、大致确定检查风险水平。

现代风险导向审计要比传统风险导向审计站得更高,看得更远,对企业了解得更透。它将被审计单位置于广泛的系统中,认为有效的审计需要对企业所处的宏观经济环境和行业环境、战略目标和措施、影响企业目标实现的主要业务活动和关键经营环节以及剩余风险进行深入的了解。在现代风险导向审计下审计风险仍然由固有风险、控制风险和检查风险三要素组成,审计人员也同样要对固有风险和控制风险进行评估。但是相比传统风险导向审计,现代风险导向审计下“固有风险”的内涵扩大了,除了包括会计报表项目本身的风险外,更多地考虑了企业的经营风险。而且在现代风险导向审计下,企业内部控制已经发展到内部控制框架阶段,并有被企业全面风险管理框架取代的趋势,相比传统风险导向审计下的内部控制结构概念,现代风险导向审计下对控制风险进行评估时考虑的因素则更加全面了。

(三)风险评估程序传统风险导向审计风险评估的基本程序可表示为:固有风险评估了解被审计单位的内部控制结构控制风险初步评估控制测试(可选)控制风险综合评估确定检查风险。审计人员在对固有风险进行评估时主要考虑以下因素:管理人员的品行、能力、变动情况和遭受异常压力的情况;客户业务特征;关联方;非常规交易;以前审计结果等。但由于种种原因,实务中审计人员往往忽略对固有风险的准确评估,通常的做法是将固有风险简单地确定为高水平,而将风险评估的重点放在控制风险上。审计人员在对被审计单位的内部控制进行了解时,首先从控制环境入手,再对制度和控制程序进行分析。分析控制环境时主要考虑以下因素:管理和经营作风;组织机构;董事会及审计委员会职能;人事政策和程序;确定职权和责任的等。然后审计人员基于当前对内控的了解对控制风险水平进行初步评估(计划估计水平)。如果审计人员将某一控制的控制风险初步评估为最高值,则对该控制不需执行控制测试而直接进入实质性测试阶段;但如果审计人员将某一控制的控制风险评估为低于最高值时,则就需要对该控制执行控制测试,从而来获取证据以支持低于最高值的风险水平。控制测试完成以后,审计人员对被测试控制的控制风险进行再次评估(最终估计水平),并根据最终估计水平来决定相应的检查风险水平。风险导向审计风险评估的基本程序可用下图表示。如图所示(由于不能粘贴,此处图略),审计人员首先需要对客户的战略进行分析,分析时需要对客户的内外部环境进行了解,包括客户行业状况、监管环境以及其他外部因素(宏观环境等);被审计单位的目标、战略以及面临的经营风险;对威胁企业战略的风险做出的反应等。对客户的战略进行分析后即可对战略风险做出评估。现代风险导向审计下内部控制被分为管理控制(战略控制、高层控制)和流程控制(一般控制、员工控制)[6],在对客户的战略进行分析时同时要对战略控制进行了解并进行评价。然后审计人员对客户的流程进行分析,分析时可从流程目标、投入、作业、交易类型、威胁流程目标的风险等八个维度来了解流程情况[7]。通过流程分析可

以了解客户创造价值的方式、竞争优势及劣势、威胁,从而来评估流程经营风险。在对客户的流程进行分析时同时要对流程控制进行了解并进行评价。在对战略经营风险和流程经营风险进行评估时特别要注重对舞弊风险的评估。然后在此基础上来对固有风险进行初步评估,在评估时除了要重点考虑经营风险可能引起的重大错报之外,还要考虑其他可能引起重大错报的因素(管理当局遭受的异常压力等)。审计人员在对客户的战略和流程进行分析时已经从企业整体层次对内部控制进行了了解(战略控制和流程控制)并做了评价,在这个基础上还要对内部控制的其他方面进行了解并给予评价,特别是要关注有关交易重要类别的控制。基于对内部控制充分的了解,审计人员然后对控制风险进行初步评估。由于固有风险和控制风险都受企业内外部环境的,两者之间存在着紧密的联系,因此审计人员在单独对固有风险、控制风险进行初步评估的基础上还须对两者进行综合评估,即固有风险和控制风险的联合。对联合风险的评估是审计工作的核心,因为接下来其余的审计工作都要围绕联合风险来进行,联合风险的评估结果是审计人员决定实质性程序性质、时间以及范围的基础[8]。然后审计人员对值得信赖的控制进一步执行控制测试,从而来获取支持其较低控制风险水平的证据。最后根据控制测试结果并结合联合风险评估水平,审计人员对会计报表重大错报风险进行综合评估,从而来确定会计报表剩余风险(即检查风险),并进一步决定实质性程序的性质、时间以及范围。(四)风险评估具体方法风险评估的方法主要有观察、检查、函证、询问、穿行测试、分析性程序等多种审计取证手法。虽然传统风险导向审计客观上要求大量使用分析性程序来进行风险评估,但由于实务中审计人员往往忽略对固有风险的准确评估,因此限制了分析性程序的运用范围。而且传统风险导向审计对于信急的再加工重视程度不够,分析性程序主要适用在报表分析上[9]。而在现代风险导向审计下,风险评估以分析性程序为中心,分析性程序成为最重要的程序。而且随着分析性程序功能的不断扩大,分析性程序开始走向多样化,审计人员不仅对财务数据进行分析,同时也对非财务数据进行分析。由于分析性程序的多样化运用,大量的分析工具以及现代管理方法被运用到分析性程序中去。如在战略分析时审计人员运用了PSET分析和POPTER分析方法;在流程分析时运用到了价值链分析(VCA))和波士顿矩阵(BCG)以及SWOT分析方法;绩效分析时运用到了平衡积分卡(BSC)和标杆管理(Benchmarking)分析技术[10]。将分析工具运用到风险评估中使得风险因素不再独立,而且风险评估不再是一元评估,而是多元评估,因此风险评估的结果将更加可靠。

三、结论

1.风险评估导向不同:

虽然国际审计准则规定传统风险导向审计应以固有风险为切入点,但在实务中传统风险导向审计实际上是以控制风险为导向的;而现代风险导向审计则是以战略经营风险为导向的。

2.风险评估范围不同:

审计人员在实务中运用传统风险导向审计时往往会忽略对固有风险的准确评估,只通过对控制风险所作的粗放型评估来决定实质性测试的性质、时间和范围;而现代风险导向审计下审计人员除了要对传统的固有风险,即会计报表项目本身的风险进行评估之外,更多地是要考虑企业的经营风险,特别是注重对舞弊风险的评估[11]。同时由于内部控制概念内涵的扩

大,审计人员在对控制风险进行评估时考虑的因素相比传统风险导向审计下更加全面了。

3.风险评估程序不同:相比传统风险导向审计,由于现代风险导向审计增加了对企业战略和经营流程的分析,以及对经营风险的评估,而且最后将固有风险和控制风险联合起来进行评估,因此在评估程序方面现代风险导向审计比传统风险导向审计更完善。由于现代风险导向审计对审计风险考虑的更全面了,所以在现代风险导向审计下能够更好的将会计报表剩余风险降低到可接受水平。4.风险评估具体方法重点不一样:两种审计模式在风险评估时都运用了观察、检查、函证、询问、穿行测试等风险评估方法,但相比传统风险导向审计,现代风险导向审计更注重分析性程序的运用,做到了以分析性程序为中心。

________________________________________

[i]国际会计师事务所认为审计风险应该是广义的,即不仅包括审计过程的缺陷而导致审计结果与实际不相符而产生损失或责任风险,还包括客户经营失败而导致审计主体遭受损失或不利的可能性。

[1]王泽霞.论风险导向审计创新[J].会计,2004(12):49-54

[2]谢荣,吴建友.现代风险导向审计研究与实务发展[J].会计研究,2004(14):47-51

[3]AICPA:professionalStandardsAsofJune1,1992,AU.31

[4]谢荣,吴建友.现代风险导向审计基本内涵分析[J].审计研究,2004(05):26-30

[5]陈毓圭.对风险导向审计方法的由来及其发展的认识[J].会计研究,2004(14):58-63

[6]郑朝晖.战略系统审计:财务数据之合理预期[J/OL].会计视野,2004[2006-4-17]/showdoc.asp?docid=448&uchecked=true

[7]王义华.BMP审计模式介绍[J].中国注册会计师,2005(06):69-70

[8]Ernst&YoungGlobalAuditPlanningToolkit2004[M],2004:65-67

[9]马贤明,郑朝晖.现代风险导向审计探讨[J].审计与经济研究,2005(01):9-13

第2篇

[关键词] 审计风险 审计模型 审计准则

审计风险模型是审计风险的直接体现,是审计理论与实务领域研究的重要内容之一,我国于2006年颁布了新的审计准则,2007年执行此准则。这次准则的修订是更好更快地适应了现代审计环境的变化并逐步与国际审计准则接轨,本次修订的核心是启用现代审计风险模型,以提高注册会计师发现财务报表中大错报的能力。

一、传统审计风险模型

传统审计风险模型将审计风险分为固有风险、控制风险和检查风险,审计风险模型表述为:审计风险=固有风险×控制风险×检查风险。并要根据此模型来计划和执行会计报表审计工作,以最终将审计风险控制在可接受的水平。

固有风险是指在不考虑内部控制结构的前提下,由于内部因素和客观环境的影响,企业的账户、交易类别和整体财务报表发生重大错误的可能性;控制风险,是指某一账户或交易类型单独或连同其他账户或交易类型产生错误或漏报,而未能被内部控制防止、发现或纠正的可能性;检查风险,是指某一账户或交易类型单独或连同其他账户、交易类型产生重大错报或漏报而未能被实质性测试发现的可能性。在这三个构成要素中,固有风险和控制风险产生源于被审计单位,不易改变,所以,注册会计师只能将工作重点放在实质性测试上,以便将审计风险的检查风险控制在可接受的水平内,进而将审计风险降低至可接受的范围内。在既定的审计风险下,检查风险可计算如下:检查风险=审计风险/(固有风险×控制风险)。根据上述模型,审计主体在确定可接受的审计风险时,首先要评估固有风险、控制风险,在此基础上推算可接受的检查风险。

传统审计风险模型曾一度对注册会计师的审计实务工作起到了很好的指导作用,但随着审计理论和实务的发展,逐渐显露出缺陷,主要表现在:首先,传统审计模型对审计风险及其三要素做了概念性的解释的基础上,对风险模型的评估做了指导性的描述,但是基本上处于定性分析阶段,相对客观的量化方式难以对固有风险做出准确的评估,由于忽略了对固有风险的评估,使检查风险不能很好体现,这对审计风险评估工作造成了偏差。

其次,传统审计风险模型要求在评估固有风险时应当从报表层次和认定层次两个方面加以考虑,但在评估控制风险时却并不涉及报表层次,只要求注册会计师对主要账户或交易类别的相关认定所涉及的控制风险进行评估。因此,控制风险的评估无法和会计报表层次的固有风险评估相匹配,不利于注册会计师对风险的整体把握和控制。

二、现代审计风险模型

新审计准则引入了“重大错报风险”概念,在新审计准则第1101号《财务报表审计的目标和一般原则》第十八条中明确规定:“审计风险取决于重大错报风险和检查风险。注册会计师应当实施审计程序,评估重大错报风险,并根据评估结果设计和实施进一步审计程序,以控制检查风险…”至此审计风险模型重构为:审计风险=重大错报风险×检查风险,并规定评估重大错报风险是首要的必要审计程序。

现代审计风险模型并不实简单地将固有风险和控制风险并称为重大错报风险。在谢荣,吴建友(会计研究2004)中提出,现代风险导向审计是一种新的审计基本方法,它是审计技术方法在系统理论和战略管理理论基础上的重大创新。它从企业的战略分析入手,通过“战略分析――经营环节分析――会计报表剩余风险分析”的基本思路,将会计报表错报风险与企业战略风险之间的关系紧密联系起来,从而提出了审计师从源头分析和发现会计报表错报的观念。可见,现代审计风险模型的提出是重大的实质性改进,其进步主要表现在:

首先,为注册会计师从整体上把握和控制审计风险提供了基础。在新审计准则《财务报表审计的目标和一般原则》第二十条中明确规定:注册会计师应当评估财务报表层次重大错报风险,并根据评估结果确定总体应对措施,注册会计师应当评估认定层次的重大错报风险,并根据既定的审计风险水平和评估的认定层次重大错报风险确定可接受的检查风险水平。充分体现了审计过程中整体和局部的关系,使得注册会计师对风险的识别和控制有了更清晰的对象和内容,便于指导实务操作。

其次,强调了了解被审计单位及其环境的重要性。在新审计准则《了解被审计单位及其环境并评估重大错报风险》中专门强调注册会计师必须从宏观上了解被审计单位及其环境,以充分识别和评估会计报表重大错报的风险,针对评估的重大错报风险设计和实施控制测试和实质性测试,并强调无论内部控制是否有效,都要对各类交易、重要账户余额和重要披露进行详细审计,有利于注册会计师提高审计质量,降低审计风险。

最后,强调注册会计师要保持职业怀疑态度。在现代审计风险模型下,评估财务报表的重大错报风险将成为整个审计工作的先导、前提和基础,新准则要求注册会计师充分考虑可能存在导致财务报表发生重大错报的情形,因此,注册会计师的职业怀疑态度就显得更加重要。

综上所述,现代风险导向审计以被审计单位的经营风险分析为导向进行审计,是评估审计风险范围的延伸,是传统风险导向审计的继承和发展。风险导向审计模式是现代审计发展的更为完善,并且使审计过程和结果更具操作性和可靠性,这都标志着我国审计准则与国际准则的趋同。

参考文献:

[1]刘爱琴:中国新旧审计准则体系的审计模式基础分析.会计之友(上),2006年12期

[2]谢荣吴建友:现代风险导向审计理论研究与实务发展会计研究,2004年04期

[3]韩晓梅:社会责任观视角下审计风险的演变.中国注册会计师,2006年11期

[4]喻小明:审计风险的成因及防范控制对策.江西审计与财务,2002年06期

第3篇

【关键词】 传统风险导向审计 现代风险导向审计 风险评估策略 审计风险

Comparing on the Tactics of Risk Assessment of Traditional Risk-based Audit and Modern Risk-based Audit

Abstract: Traditional Risk-based Audit and Modern Risk-based Audit are the two phases that Risk-based Audit has evolved. tactics of risk assessment of Traditional Risk-based Audit and Modern Risk-based Audit differ from each other while they still have some similarities. This paper does the Comparion on the Tactics of Risk Assessment from the following four aspects: orientation of risk assessment, extent of risk assessment, procedures of risk assessment and methods of risk assessment.

Keywords: Traditional Risk-based Audit Modern Risk-based Audit

Tactics of Risk Assessment Audit risk

一、引言

传统风险导向审计和现代风险导向审计是风险导向审计模式发展的两个不同阶段。传统风险导向审计和现代风险导向审计均以风险评估为起点,同时都将风险与控制方法贯穿运用于审计全过程,使审计过程成为一个不断克服和降低审计风险的过程。因此传统风险导向审计和现代风险导向审计两种审计模式在风险评估策略上存在一定的相同之处,但同时更多地体现出了差异。鉴于两种审计模式的风险评估策略较易被混淆,本文拟对两种审计模式的风险评估策略作一比较,对两者差异加以初步探讨。 二、传统风险导向审计和现代风险导向审计涵义

(一)传统风险导向审计 传统风险导向审计也称为控制风险导向审计[1]。审计模式 发展到传统风险导向审计的标志性事件是AICPA在1983年了第47号《审计准则公告》(SAS No.47)——“审计业务中的审计风险和重要性”,首次提出了审计风险模型。传统风险导向审计是指审计人员在审计过程中将风险分析、评价与控制融入传统审计方法(账项导向审计和制度导向审计)之中,进而获取审计证据,形成审计结论的一种审计取证模式。传统风险导向审计的基本程序并没有脱离制度导向审计模式,但它在制度导向审计模式的基础上更加注重风险评估和风险管理。针对制度导向审计不直接处理审计风险,不能对审计风险进行量化的缺点,传统风险导向审计引入审计风险模型,通过该模型将从各种渠道所收集的证据联系了起来,并在此基础上对审计风险进行定量评估,将审计资源相对合理的分配到高风险领域。 (二)现代风险导向审计

现代风险导向审计也称为经营(商业)风险导向审计、风险基础战略系统审计。1997 年,Bell 和 Frank 发表了名为《通过战略系统的视角对组织进行审计》的研究报告,首次提出了毕马威的BMP 审计模式,这标志着现代风险导向审计的产生。现代风险导向审计是审计技术方法在系统和战略管理理论基础上的重大创新,它以被审计单位的战略经营风险为导向,通过“战略分析——流程分析——经营业绩评价——财务报表剩余风险分析”的基本思路,将报表重大错报风险和经营风险联系了起来,从而提出了审计师从源头分析和发现会计报表错报的观念[2]。现代风险导向审计针对传统风险导向审

计风险评估不到位,未能有效发现高风险审计领域,造成审计过量或审计不足的缺点,大大加强了风险评估程序,做到了以风险评估中心,真正体现了风险导向审计的理念。

2003年10月国际审计和保证准则委员会(IAASB)了国际审计准则第315号( ISA 315) “了解被审计单位及其环境并评估重大错报风险”,将传统风险导向审计下的审计风险模型修改为:审计风险=重大错报风险×检查风险,明确规定了审计工作以评估财务报表重大错报风险作为新的起点和导向。这就导致了实务中普遍运用的现代风险导向审计在审计风险模型和审计具体风险导向等上和准则规定产生了一定的差异。鉴于这一点,特别指出本文所称的现代风险导向审计是指国际会计师事务所在实务中运用的以战略经营风险为导向的现代风险导向审计。 二、传统风险导向审计和现代风险导向审计风险评估策略比较

风险评估是指对审计风险的评估。美国注册会计师协会(AICPA)认为审计风险是指审计人员对于存在重大错报的财务报表未能适当发表意见的风险[3]。风险评估的目标就是确定

高风险环节,从而确定审计的范围和重点,并进一步确定如何收集、收集多少和收集何种性质的证据,以便更有效地控制和提高审计效果及审计效率。策略,是根据形势发展而制定的行动方针和方法。借鉴中注协(1997)对审计策略的定义,笔者将风险评估策略定义为审计人员根据确定的风险评估范围,选择能够达到风险评估目标而应当实施的最有效风险评估程序的基本思路、组织方式和具体方法。在本文中,笔者从风险评估导向、风险评估范围、风险评估程序、以及风险评估具体方法四个方面来比较两种审计模式的风险评估策略。

(一)风险评估导向

虽然国际审计准则规定,在传统风险导向审计下审计人员首先应当对财务报表整体层次和交易类别、账户余额认定层次的固有风险进行评估,但由于固有风险和控制风险都受内外部环境的,两者很难区分,因此审计人员通常难以对固有风险单独做出准确评估。又鉴于稳健性原则的考虑,实务中审计人员往往将固有风险简单地确定为高水平,从而将风险评估重点锁定在控制风险上。因此在实务中,传统风险导向审计实际上是以对控制风险进行的评估为切入点的,所以传统风险导向审计是以控制风险为导向的。

现代风险导向审计强调:审计人员的审计风险[i]主要来源于企业财务报表的错报风险,而企业财务报表的错报风险则主要来源于整个企业的战略管理风险和经营活动风险[4]。所以要充

分理解审计风险,审计人员就必须从企业的战略分析入手,充分识别企业内、外部风险并理解内外部风险对财务报表认定的影响。因此,现代风险导向审计并不直接从对固有风险的评估入手,而是间接地以被审计单位的战略经营风险为导向,通过综合评估战略经营风险从而确定财务报表剩余风险,并进一步确定实质性测试的范围、时间和程序。因此,现代风险导向审计是以战略经营风险为导向的。 (二)风险评估范围

在实务中运用传统风险导向审计时,审计人员往往忽略对固有风险的准确评估,而将固有风险简单地确定为高水平。因此在传统风险导向审计下审计人员往往不注重从宏观层面上了解企业及其环境(如行业状况、监管环境;企业的性质;企业的目标、战略、以及可能导致会计报表重大错报的相关经营风险;对企业财务业绩的衡量和评价)[5],而只关注企业的内部

控制。因此,在传统风险导向审计方法下,审计人员实际上只仅仅依赖对控制风险所作的粗放型评估来直接、大致确定检查风险水平。

现代风险导向审计要比传统风险导向审计站得更高,看得更远,对企业了解得更透。它将被审计单位置于广泛的系统中,认为有效的审计需要对企业所处的宏观经济环境和行业环境、战略目标和措施、影响企业目标实现的主要业务活动和关键经营环节以及剩余风险进行深入的了解。在现代风险导向审计下审计风险仍然由固有风险、控制风险和检查风险三要素组成,审计人员也同样要对固有风险和控制风险进行评估。但是相比传统风险导向审计,现代风险导向审计下“固有风险”的内涵扩大了,除了包括会计报表项目本身的风险外,更多地考虑了企业的经营风险。而且在现代风险导向审计下,企业内部控制已经发展到内部控制框架阶段,并有被企业全面风险管理框架取代的趋势,相比传统风险导向审计下的内部控制结构概念,现代风险导向审计下对控制风险进行评估时考虑的因素则更加全面了。

(三)风险评估程序 传统风险导向审计风险评估的基本程序可表示为:固有风险评估了解被审计单位的内部控制结构控制风险初步评估控制测试(可选)控制风险综合评估确定检查风险。审计人员在对固有风险进行评估时主要考虑以下因素:管理人员的品行、能力、变动情况和遭受异常压力的情况;客户业务特征;关联方;非常规交易;以前审计结果等。但由于种种原因,实务中审计人员往往忽略对固有风险的准确评估,通常的做法是将固有风险简单地确定为高水平,而将风险评估的重点放在控制风险上。审计人员在对被审计单位的内部控制进行了解时,首先从控制环境入手,再对制度和控制程序进行分析。分析控制环境时主要考虑以下因素:管理和经营作风;组织机构;董事会及审计委员会职能;人事政策和程序;确定职权和责任的等。然后审计人员基于当前对内控的了解对控制风险水平进行初步评估(计划估计水平)。如果审计人员将某一控制的控制风险初步评估为最高值,则对该控制不需执行控制测试而直接进入实质性测试阶段;但如果审计人员将某一控制的控制风险评估为低于最高值时,则就需要对该控制执行控制测试,从而来获取证据以支持低于最高值的风险水平。控制测试完成以后,审计人员对被测试控制的控制风险进行再次评估(最终估计水平),并根据最终估计水平来决定相应的检查风险水平。 风险导向审计风险评估的基本程序可用下图表示。如图所示(由于不能粘贴,此处图略),审计人员首先需要对客户的战略进行分析,分析时需要对客户的内外部环境进行了解,包括客户行业状况、监管环境以及其他外部因素(宏观环境等);被审计单位的目标、战略以及面临的经营风险;对威胁企业战略的风险做出的反应等。对客户的战略进行分析后即可对战略风险做出评估。现代风险导向审计下内部控制被分为管理控制(战略控制、高层控制)和流程控制(一般控制、员工控制)[6],在对 客户的战略进行分析时同时要对战略控制进行了解并进行评价。然后审计人员对客户的流程进行分析,分析时可从流程目标、投入、作业、交易类型、威胁流程目标的风险等八个维度来了解流程情况[7]。通过流程分析可

以了解客户创造价值的方式、竞争优势及劣势、威胁,从而来评估流程经营风险。在对客户的流程进行分析时同时要对流程控制进行了解并进行评价。在对战略经营风险和流程经营风险进行评估时特别要注重对舞弊风险的评估。然后在此基础上来对固有风险进行初步评估,在评估时除了要重点考虑经营风险可能引起的重大错报之外,还要考虑其他可能引起重大错报的因素(管理当局遭受的异常压力等)。审计人员在对客户的战略和流程进行分析时已经从企业整体层次对内部控制进行了了解(战略控制和流程控制)并做了评价,在这个基础上还要对内部控制的其他方面进行了解并给予评价,特别是要关注有关交易重要类别的控制。基于对内部控制充分的了解,审计人员然后对控制风险进行初步评估。由于固有风险和控制风险都受企业内外部环境的,两者之间存在着紧密的联系,因此审计人员在单独对固有风险、控制风险进行初步评估的基础上还须对两者进行综合评估,即固有风险和控制风险的联合。对联合风险的评估是审计工作的核心,因为接下来其余的审计工作都要围绕联合风险来进行,联合风险的评估结果是审计人员决定实质性程序性质、时间以及范围的基础[8]。然后审计人员对 值得信赖的控制进一步执行控制测试,从而来获取支持其较低控制风险水平的证据。最后根据控制测试结果并结合联合风险评估水平,审计人员对会计报表重大错报风险进行综合评估,从而来确定会计报表剩余风险(即检查风险),并进一步决定实质性程序的性质、时间以及范围。 (四)风险评估具体方法 风险评估的方法主要有观察、检查、函证、询问、穿行测试、分析性程序等多种审计取证手法。虽然传统风险导向审计客观上要求大量使用分析性程序来进行风险评估,但由于实务中审计人员往往忽略对固有风险的准确评估,因此限制了分析性程序的运用范围。而且传统风险导向审计对于信急的再加工重视程度不够,分析性程序主要适用在报表分析上[9]。 而在现代风险导向审计下,风险评估以分析性程序为中心,分析性程序成为最重要的程序。而且随着分析性程序功能的不断扩大,分析性程序开始走向多样化,审计人员不仅对财务数据进行分析,同时也对非财务数据进行分析。由于分析性程序的多样化运用,大量的分析工具以及现代管理方法被运用到分析性程序中去。如在战略分析时审计人员运用了PSET分析和POPTER分析方法;在流程分析时运用到了价值链分析(VCA))和波士顿矩阵(BCG)以及SWOT分析方法;绩效分析时运用到了平衡积分卡(BSC)和标杆管理(Benchmarking)分析技术[10]。将分析工具运用到风险评估中 使得风险因素不再独立,而且风险评估不再是一元评估,而是多元评估,因此风险评估的结果将更加可靠。

三、结论

1. 风险评估导向不同:

虽然国际审计准则规定传统风险导向审计应以固有风险为切入点,但在实务中传统风险导向审计实际上是以控制风险为导向的;而现代风险导向审计则是以战略经营风险为导向的。

2. 风险评估范围不同:

审计人员在实务中运用传统风险导向审计时往往会忽略对固有风险的准确评估,只通过对控制风险所作的粗放型评估来决定实质性测试的性质、时间和范围;而现代风险导向审计下审计人员除了要对传统的固有风险,即会计报表项目本身的风险进行评估之外,更多地是要考虑企业的经营风险,特别是注重对舞弊风险的评估[11]。同时由于内部控制概念内涵的扩

大,审计人员在对控制风险进行评估时考虑的因素相比传统风险导向审计下更加全面了。

3. 风险评估程序不同: 相比传统风险导向审计,由于现代风险导向审计增加了对企业战略和经营流程的分析,以及对经营风险的评估,而且最后将固有风险和控制风险联合起来进行评估,因此在评估程序方面现代风险导向审计比传统风险导向审计更完善。由于现代风险导向审计对审计风险考虑的更全面了,所以在现代风险导向审计下能够更好的将会计报表剩余风险降低到可接受水平。 4. 风险评估具体方法重点不一样: 两种审计模式在风险评估时都运用了观察、检查、函证、询问、穿行测试等风险评估方法,但相比传统风险导向审计,现代风险导向审计更注重分析性程序的运用,做到了以分析性程序为中心。

________________________________________

[i]国际会计师事务所认为审计风险应该是广义的,即不仅包括审计过程的缺陷而导致审计结果与实际不相符而产生损失或责任风险,还包括客户经营失败而导致审计主体遭受损失或不利的可能性。

[1] 王泽霞.论风险导向审计创新[J].会计,2004(12): 49-54

[2] 谢荣,吴建友.现代风险导向审计研究与实务发展[J].会计研究,2004(14):47-51

[3] AICPA:professional Standards As of June 1,1992,AU.31

[4] 谢荣,吴建友.现代风险导向审计基本内涵分析[J].审计研究,2004(05):26-30

[5] 陈毓圭.对风险导向审计方法的由来及其发展的认识[J].会计研究,2004(14):58-63

[6] 郑朝晖.战略系统审计:财务数据之合理预期[J/OL].会计视野,2004 [2006-4-17] doc.esnai.com/showdoc.asp?docid=448&uchecked=true

[7] 王义华.BMP审计模式介绍[J].中国注册会计师,2005(06): 69-70

[8] Ernst&Young Global Audit Planning Toolkit 2004[M], 2004: 65-67

[9] 马贤明,郑朝晖.现代风险导向审计探讨[J].审计与经济研究,2005(01):9-13

第4篇

一、重要性与审计风险的概念界定

重要性概念在会计审计理论中,指会计报告与实际情况不一致的严重程度。《独立审计准则第10号——审计重要性》中指出,重要性“是指被审计单位会计报表错报或漏报的严重程度,这一程度在特定环境下可能影响会计报表使用者的判断或决定”。重要性实质上强调了一个“度”,在会计或审计报告中,允许一定程度的不准确或不正确的存在,但是要以这个“度”为界。

重要性原则的运用贯穿于会计审计理论及实务中,但重要性水平则可以是针对会计报表、会计账户、乃至于各项交易,在多数场合是针对和首先针对会计报表的。

审计风险由审计行为带来,指由于审计人员出具的审计报告与被市项目真实情况不一致而承担审计责任的可能性。审计风险概念的意义不仅在于提请审计人员注重审计质量,承担审计责任,更重要的在于正确评估审计风险、控制审计风险。

二、重要性与审计风险的内在关系

我国理论界公认的审计风险决策模型为:

审计风险(AR)=固有风险(IR)×控制风险(CR)×检查风险(DR)

它最根本的用途在于根据确定的预期审计风险、固有风险、控制风险的水平来计算确定检查风险水平。检查风险的价值在于据此确定实质性测试的样本规模,把审计计划与审计实施过程有机地联系起来。

重要性与审计风险是不可分割使用的两个概念,必须把它们结合起来研究。那么,在重要性和审计风险之间存在怎样的关系呢?审计报告对被审事项中的重要性错误未予极因,就会导致审计风险。因此,重要性是审计风险控制的核心和重点。审计过程中同样的事项,其重要性程度提高时,审计风险必然降低;反之,审计风险必然提高。因此,重要性和审计风险之间是反向对应关系。

重要性理论的目的在于指导审计实践。审计人员对会计报表进行审计,首先要对重要性进行初步的判断。判断要从数量和性质等方面来考虑。从数量角度讲,重要性表现为重要性数量水平,如“税前利润的5%-10%”、“总资产的0.5%一1%”,等等。在此之所以单独称之为“重要性数量水平”,是为了区别于一般论述中的“重要性”、“重要性程度”、“重要性水平”。在审计实务中,“重要性数量水平”的作用在于作为会计报告允许出现差错的最高水平,评价所发现问题的重要性,进而确定发表审计意见的类型。

在实施审计前,审计人员对不同规模企业的重要性都有一个比较一致的认同,即有一个大致相同的重要性数量水平,这个水平应该是相对数。重要性数量水平越大,如从5%提高到10%,则对同一个项目的重要性程度认识就越低,从而审计风险也越大;反之,审计风险就越小。所以,重要性数量水平和审计风险水平成正向对应关系。

审计风险是对审计全过程的评价,由几个因素共同作用而成。审计人员所能控制的只有检查风险要素。所以,控制审计风险的要点在于控制检查风险。根据审计风险决策模型可知,在固有风险和控制风险一定的条件下,检查风险和审计风险成正比关系。

从而,重要性数量水平与检查风险水平成正向对应关系。

对于重要性数量水平与检查风险水平的关系我们有理由进一步作如下推断:

1、如果检查风险水平趋向0时;即在审计中几乎不允许遗漏任何错弊,则重要性数量水平也应接近0;

2、重要性数量水平与检查风险水平的取值范围均在0一100%之间;

3、重要性数量水平与格查风险水平在取值范围内的变化是连续的;

4、重要性数量水平与检查风险水平的变化不一定是均匀的。尤其在两者接近100%时,重要性数量水平变化速度应小于检查风险水平的变化速度。因为对任何一个审计项目,从理论上讲、即使审计人员愿意承担极高的审计风险,也不能采用100%的重要性数量水平。换言之,即使检查风险水平为100%,审计人员也不应将重要性数量水平定为100%、容忍所有的错误,而应将重要性数量水平限定在100%以下,对必要的内容进行审查后,方能提出审计报告,结束审计项目。

根据上述推断,试建立如下数学模型:

Z=f(d)=ek/d

其中:Z表示重要性数量水平;k为系数、且必须小于0;d表示检查风险水平。

该指数函数曲线图示如下:

各项数值确定方法如下:

(l)审计风险水平

期望的审计风险水平应该控制在多大范围内才算合理?目前尚未达成统一认识。有人认为,通常情况下,可允许的审计风险不超过5%,可以定为5%时。但在一定条件下,则要把审计风险走得更低。我认为,5%的审计风险水平还是太高。因为它意味着有1/20的引发审计风险的可能性,以我国一个中等规模的会计师事务所每年接受20项左右的审计项目为例,则该事务所每年就有一次引发审计风险,遭致审计诉讼的可能性。应该说,比较稳健合理的审计风险水平应该控制在2%以下,一般可定为0.5%-2%范围内。

(2)固有风险、控制风险、检查风险水平

确定审计项目的固有风险水平,既要考虑该项目的内容、性质,又要充分考虑该项目所面临的环境。目前作为国民经济主要成分的国有企业尚未走出困境,其内部管理机制和外部监督机制还未健全,其它企业造假作假现象也很普遍,因此将固有风险水平定为10%-50%,比较符合稳健性原则。

值得注意的是,如固有风险、控制风险水平超过50%时,审计人员应改变审计方式,采用详细审计或拒绝接受审计业务,以使审计风险控制在一定水平之下。检查风险水平必须依据上述3个方面计算确定。结合审计风险决策模型,试列表一如下:

表一:

对上表一说明如下。根据前述所确定的审计风险水平、固有风险水平、控制风险水平的正常取值范围,抽出各自的最高值、中等值和最小值三种特例进行组合,以对应考察检查风险水平的情况。第一种情况,预期审计风险水平最低,但项目的固有风险、控制风险水平也最低,因此可允许的检查风险水平较高;第二种情况,审计风险水平仍为最低,但固有风险、控制风险处在最高水平,此时,要求审计人员必须谨慎行事,将检查风险水平控制在极低的2%以下;第三种情况,准备接受的审计风险水平最高,同时又有良好的外部环境和内部控制制度,计算出的检查风险水平为200%,超过100%。由于风险水平以100%为上限,放在此改为100%。这种情况意味着审计人员充分信赖被审单位,主观上又准备接受极大的风险,因而检查风险水平就很高;第四种情况,预期审计风险水平最高,但被审项目的固有风险、控制风险水平也很高,因而检查风险水平较低;第五种情况,前三个方面都是中等水平,检查风险水平也为中等。

(3)K值

目前,除澳大利亚外,其他国家无论是会计准则还是审计准则都没有明确规定重要性的量化标准。以下是实务中用来判断重要性的一些指标:(1)税前净利5%-10%;(2)总资产的0.5%一1%;(3)权益的1%(4)总收入的0.5%-1%。

上述项月的重要性数量水平最高为10%,最低为0.5%,和上表一计算得出的检查风险水平对比,计算K的数值如表二:

表二:

(K的计算公式推导如下:对z=ek/d,等式数,得InZ=k/d,因此k=dlnZ)

由上表二可知:k的取值范围大致在A-0.1—2.7之间,最佳取值范围为一0.4一1.4之间。在具体运用中,审计人员可根据使用者对会计审计信息的依赖程度、被审单位陷入财务困境可能性的判断、对审计风险的偏好程度来具体确定k的数值。

三、重要性与检查风险的客观连接点

重要性一般是对会计报表而言的,但完整地讲,重要性应分为以下4个层次:报表总额,如资产负债表中的资产总额;报表项目金额,如资产负债表中的货币资金项目负担;账户余额,如现金帐户余额、银行存款账户余额等;业务发生额,如差旅费等支出类业务的金锁。根据项目内容的不同,重要性所针对的项目有税前利润、总资产、权益、总收入等。根据本文前论,可由审计风险水平计等确定重要性数量水平。但最后计算出的这个重要性数量水平应该首先对应什么性质、哪个层次的项目,这是一个非常重要的问题。项目不同,评价的结果可能会大相径庭,甚至得出相反的结论。究竟以什么性质的项目作为入手处,我赞成以资产负债表中的资产总额作为运用重要性数量水平的入手点的观点,理由是:(1)损益表上当期净损益可以从资产负债表上反映出来,也就是资产负债表中事实上已包括了当期的净损益。尤其我国现阶段国企效益状况不佳,成本利润不实现象严重,以资产总额代管税前利润或净利润有其合理性。(2)根据资产负债表的结构及“资产=负债+所有者权益”的恒等关系,负债权益共中的错误,又都能反映在资产类总额上。

将重要性数量水平作为评价资产总额的标准,然后将该数量水平按每一项资产项目在资产总额中所占比重的大小为依据进行分配,接下来就进入实质性测试,审查各项目,判断各项目的错误金额。最后加总计算全部错误金额在资产总额中所占的比重,将其与总的重要性数量水平进行比较。如前者小于后者,说明该项目审计风险在可接受范围内,否则应修改审计计划和审计风险水平或采取其它的措施。

四、说明

1、以上论述是建立在以下审计假设的基础上

(1)审计风险、固有风险、控制风险的水平可定量评价假设。如,将可接受审计风险水平定在0.5%-2%,将固有风险、担制风险水平定在10%-50%。

第5篇

(一)主要的审计风险模型。审计风险模型主要研究构成审计风险的要素、各要素之间的相互关系以及它们对审计风险的影响。目前,审计界认可的一个基本审计风险模型为:审计风险(AR)=固有风险(IR)×控制风险(CR)×检查风险(DR)。此模型的特点在于从风险控制的程序上分解审计风险,并用连乘形式表明了审计风险在不同阶段的数量关系。这种审计风险模型为制度基础审计提供了重要的理论基础,使得进一步定量评估审计风险成为可能,同时在实务中注册会计师往往也根据这个模型和对控制风险的评估结果决定审计程序或审计范围。

(二)审计风险模型逻辑关系剖析。固有风险、控制风险和检查风险三者的内在关系,可以从定量和定性两个方面加以考察:

1、从定量方面看,是指审计风险可能造成各方面经济损失的一定限度的规定性。审计风险是客观存在的,探讨审计风险问题,目的是尽可能地把审计风险控制在一定水平上。审计风险三要素的相互关系为:审计风险(AR)=固有风险(IR)×控制风险(CR)×检查风险(DR)。根据上述公式,在既定的期望审计总风险水平上,注册会计师可以容许的最大检查风险为:最大可容许检查风险=期望审计总风险/(固有风险×控制风险)。其中,检查风险=分析性复核风险×实质性测试风险。

2、从定性方面看,是指注册会计师在执行审计程序中接受的一定程度的不确定性。检查风险与固有风险和控制风险的综合水平之间存在着反比关系,即固有风险和控制风险的综合水平越高,注册会计师可接受的检查风险越低。反之亦然。在任何一种情况下,注册会计师实质性测试程序的性质、时间和范围的确定,应当考虑将检查风险降低到可容许的程度。

二、审计风险模型应用

审计风险模型AR=IR×CR×DR,在风险导向审计方式下的运用,主要体现在审计的计划阶段和审计的终结阶段。在审计计划阶段的运用,主要是根据计划检查风险水平确定将要实施的实质性测试的性质和所搜集审计证据的数量。在审计终结阶段的运用,主要是评价实际审计风险是否低于可接受的审计风险水平。如果实际审计风险低于可接受审计风险,说明审计证据是充分的,可据此做出审计结论;如相反,则应重新评价可接受的审计风险、固有风险和控制风险的估计水平是否适当,审计证据是否充分。

举例分析:

第一步:了解内控后初评C1R,如果高水平,表明不信赖,此时DR很低,说明主要依靠实施详细的实质性测试,获取充分的审计证据。

如,C1R=100%,AR=5%,IR=100%,则DR=5%很低,进行详细测试。

第二步:了解内控后初评C1R,如果低于高水平,并拟信赖内控制度,则进行符合性测试,再评估出C2R,此时DR=AR/(IR×C2R),根据DR确定实质性测试的性质、时间、范围。

如,假设C1R=80%。打算信赖内控——进行符合性测试,再凭C2R=60%,则计划的控制风险就是60%,计划的DR=5%/(100%×60%)=8.33%。按DR=8.33%确定具体审计实质性测试的性质、时间、范围。

第三步:终结审计前,再评C3R。若C3R=40%,小于60%,则DR=12.5%,说明审计程序执行较充分;若C3R=80%,大于60%,则DR=6.25%,说明对控制风险最终评估的水平高于计划评估水平,审计程序不充分,应当考虑追加审计程序或收集更多的审计证据,将检查风险降低到可接受水平。

三、传统审计风险模型的不足与修正

经研究发现,目前审计风险模型还存在一些不足。主要有以下几点:第一,认为审计风险是注册会计师对于存在重大错误的财务报表未能适当地发表审计意见的风险。它忽略了这样一个事实:即使财务报表没有重大错误,注册会计师也会因各种原因而发表不恰当的审计意见的可能性。第二,传统审计风险模型仅从审计的过程上把审计风险划分成固有风险、控制风险、检查风险三个因素,未能从审计过程之外分析审计风险产生的深层次社会原因。而实际上,审计风险是审计内环境与审计外环境综合作用的结果。第三,模型假设各风险要素相互独立,而实际上IR、AR、DR都取决于CR。当内控不健全或无效时,这种相关性的忽略将导致对风险因素的低估,因而使得审计师最后面临的风险大于承受水平。

在现实操作中,审计人员的主观因素有时却是最终导致审计意见不恰当的决定性因素。由于审计人员自身的原因,对于某些公司,即使审计过程中发现了重大错报或漏报,仍存在发表不恰当的审计意见的可能性。因为这种可能性更多的是取决于审计人员的独立性。在许多审计失败的例子中,我们可以看到这样一种现象,许多财务报表的错报在审计检查阶段已经被发现或应该被发现(例如简单的勾稽关系不符),但审计意见对此没有给予恰当的披露。常见的解释是审计人员未保持应有的职业谨慎,或者面对利益诱惑,签字的注册会计师没有保持应有的独立性。

基于上述不足和现象,应对审计风险模型进行修正,修正后的模型为:审计风险=固有风险×控制风险×检查风险+独立性风险。独立性风险的影响因素主要有:被审计单位的经营状况和声誉、被审计单位对会计师事务所的重要程度、被审计单位重要管理人员与会计师事务所人员的关系、被审计单位与会计师事务所是否有长期业务关系等。

在接受审计业务时,审计人员需要利用修正后的审计风险模型对审计风险进行衡量,大体包括以下几个阶段:

1、确定会计师事务所的期望审计风险。在评估被审计单位的客观风险前,先对独立性风险进行衡量,若独立性风险几乎超过了期望审计风险时,事务所应该考虑拒绝接受委托。

2、在独立性风险可以接受的情况下,会计师事务所需要初步评估系统风险(固有风险×控制风险)的大小,以确定是否接受委托和决定收费标准。

3、会计师事务所进行上两步的风险评价,如果其风险总和处于可接受的范围内,会计师事务所会接受委托。同时,应对报表和账户余额层次的重要性水平进行初步评估,对重要认定制定初步审计策略,设计控制测试。

4、实施控制测试,评估控制风险。

5、根据审计风险模型确定检查风险。检查风险=(审计风险-独立性风险)/(固有风险×控制风险),再根据检查风险来确定实质性测试的性质、时间和范围。

6、实施实质性测试。根据实施过程中获得的相关证据,修正对重要性水平、固有风险、控制风险、检查风险和独立性风险的原有估计。

第6篇

关键词:人民银行;信息技术;审计;风险评估模型

一、引言

随着信息化的迅猛发展,人民银行对信息技术的依赖程度不断提高,信息技术己经成为人民银行日常运营的基础平台和金融创新的重要手段。但信息技术在迅速发展的同时,也带来了巨大的技术风险,一旦发生问题,将直接影响业务的连续性,使人民银行而临财务损失和声誉风险,甚至影响银行业的安全。因此,发现信息技术潜在的风险点,采用风险导向审计模式开展信息技术审计,一方而能够最大程度防范信息技术风险,确保各项业务安全、稳定、高效运行;另一方而能够节约审计成本,提高审计效率和质量,增加审计的组织价值。

二、央行信息技术审计现状

人民银行自2000年左右提出信息技术审计的概念,经过多年的探索与发展,由对单个重要业务系统逐渐向对机房、数据库等信息技术的核心开展审计,审计范围覆盖了网络管理与安全、操作系统和数据库管理、电子化设备管理、大小额支付系统、会计核算系统、国库系统、征信系统和反洗钱系统等业务领域,有效促进了信息系统内部控制和风险管理水平的提高。在此基础上,2009年起,人民银行开展了更具综合性的信息技术应用和系统运行管理专项审计(后称为“科技综合管理专项审计”),该项目涉及分支行科技管理的各个方而,促进了分支行科技管理水平和信息安全意识的提高。同时,在开展的过程中不断深化,融入绩效审计理念,在关注系统安全性的同时,也关注信息系统建设和运行的经济性、效率性和效果性。近两年,央行探索将信息技术审计与业务审计相结合,开展了国库会计核算业务与系统运行管理、二代支付系统等专项审计,力求从业务的角度审视技术的支持保障能力,从技术的角度评估业务的风险防控能力。近几年,传统的合规性信息技术审计所依赖的审计依据往往跟不上信息技术的发展和变化,同时也较多依赖审计人员的个人能力,审计中缺乏重点,虽然而而俱到,但审计成果琐碎平淡,缺少深度和建设性。因此,信息技术审计人员必须在审计中引入风险导向审计模式,不断地向技术的更深层而挖掘风险,不断提升审计成果的附加值和说服力。

三、央行信息技术风险评估模型构建

风险导向审计的基础是识别和评估风险,因此,开展风险导向审计首先要构建合适的风险评估模型,以实现对风险的量化分析。风险评估是指内审部门采用剩余风险评估模型,运用规范的定性、定量方法,通过风险识别、固有风险评估、控制有效性评估、剩余风险计算,确定评估对象的风险级别。

(一)风险识别

风险识别是风险评估工作的基础和关键环节,只有了解和掌握被审计业务领域存在的具体风险事件,才能进一步开展评估、实施审计。风险识别程序要求采用一种有计划的、经过深思熟虑的方法,来识别业务各个方而存在的潜在风险,并识别可能在合理的时间段内影响每项业务的较为重大的风险。信息技术风险是组织在信息处理和信息技术运用过程中产生的可能影响组织目标实现的各种不确定因素,表现形式有自然灾害、人为破坏、设备故障、内部与外部攻击、数据误用、数据丢失以及应用程序错误等。保障人民银行信息安全除了须保障物理环境、网络、主机、应用、数据等技术领域的安全之外,还涉及组织与计划、开发与采购、运维与外包以及应用控制等领域的安全控制。

(二)风险评估

风险评估就是对风险的成本、影响及发生的可能性进行评估,有效的风险管理技术一般会量化风险,运用风险评估模型,针对识别出的“风险事件清单”中的每一项风险事件,依次计算固有风险和剩余风险级别,风险的计算采用加权法,各风险级别均划分为1-4级,1级风险最低,4级风险最高。1.固有风险评估<1)风险事件固有风险评估风险事件固有风险评估是量化评估风险的起点和基础,利用德尔菲法,采用风险矩阵,从风险发生可能性和风险影响程度两个维度进行度量,将两者级别分别标注在风险矩阵的相应区域,交汇区域即为该风险事件的风险级别。风险矩阵如图1所示。<2)业务领域固有风险评估根据风险事件对应业务的业务量及工作量大小确定各风险事件权重,根据风险事件权重及风险等级计算业务领域固有风险级别。业务领域固有风险级别二E(该业务领域风险事件权重X该业务领域风险事件风险级别)一E该业务领域风险事件权重。2.内部控制有效性评估根据搜集的资料以及审计经验,从近期各类信J急技术审计、专项检查结果以及信息技术内部控制变化情况等方而,对各业务领域内部控制进行有效性评估。其中,各类审计、检查结果评定指标为检查频率、所发现问题的数量及严重程度;内部控制变化情况评定指标为问题整改情况以及内部控制变化情况。内部控制有效性越高,对应的风险级别越低,反之,风险级别越高。3.乘余风险评估根据内控有效性的风险,通过剩余风险评估模型计算各业务领域的剩余风险级别。剩余风险级别二(艺各类固有风险权重X风险级别十E各项内部控制有效性权重X风险级别)一<E各类固有风险权重十E各项内部控制有效性权重),其中,各项内部控制有效性权重二25%XE该业务领域风险事件固有风险权重。

(三)风险管理效果评估及结果运用

根据各业务领域剩余风险级别计算剩余风险平均值,以此判断被审计单位信息技术风险控制状况,并提供合理的审计建议。同时,可参照剩余风险值,制定审计计划及频率,明确信息技术的审计重点。风险管理效果评估见表1所列。

(四)案例分析—以科技综合管理专项审计为例

在对某地市中支的科技综合管理专项审计中,笔者结合现场审计情况,运用此模型对被审计单位的信息技术风险管理情况进行评估。根据审计内容,将被审计单位科技综合管理划分成七大业务领域共33类风险事件。七大业务领域分别为内部控制、机房管理、网络管理、系统运维管理、管理、设备采购及外包服务管理,以及应急、备份和文档管理。以机房管理领域为例,共有6类风险事件,根据业务的重要程度、发生可能性以及业务量的大小,结合以往审计经验,利用德尔菲法,依次评定了各风险事件的固有风险、权重以及该业务领域的固有风险,其风险事件清单及固有风险评估见表2所列。根据现场审计情况,并调阅近期对被审计单位科技管理的各项审计、检查材料,对各业务领域的控制有效性风险级别进行评定,并计算出各业务领域的剩余风险以及科技综合管理剩余风险级别。剩余风险评估见表3所列。评估结果显示,被审计对象科技综合管理平均剩余风险级别为2.38,属于“0-2.5”层次,对照《风险管理效果评估表》,该单位的科技风险控制情况较好,可将审计频率定为5年一次,并在审计中重点关注管理、网络管理、机房管理以及设备采购和外包服务管理等风险级别较高领域。

四、建立央行信息技术风险导向审计模式

风险导向审计模式并不仅仅是风险评估,其核心在于围绕风险开展审计,下而将探讨如何围绕风险开展信息技术审计项目,将“风险引导审计,审计关注风险”的理念贯穿于信息技术审计项目的全过程。

(一)以风险为导向编制信息技术审计整体规划

这是风险导向内部审计方法在宏观层而的运用,根据风险评估的结果重新审视和规划信息技术审计的业务范围,各审计对象的审计频率以及审计方式、方法等。可通过构建信息技术风险数据库,从组织机构和业务领域两个维度记录信息技术风险评估数据,根据信息技术风险数据库“自上而下”制定信息技术审计整体规划。在构建信息技术风险数据库时,须根据业务关注度、信息资产的重要性、对信息技术的依赖程度、信息技术人员的专业胜任能力等因素对信息技术管理现状进行一次全而评估。

(二)以风险为导向编制信息技术年度审计计划

参照信息技术审计整体规划编制年度审计计划,优先对高风险领域、高风险机构实施审计。同时,应根据本年度工作重点、热点和难点以及管理层关注事项对年度审计计划作出适当调整,选择被审计对象及业务种类,梳理形成本年度信息技术审计项目清单、审计项目日程表以及审计项目所需资源等。在梳理信息技术审计项目清单时,可根据业务复杂度、业务间关联性等选择对某一个业务领域开展审计,或选择将多个业务领域组合起来开展综合性审计。

(三)以风险为导向开展审计项目

信息技术审计程序可以划分为审前准备阶段、现场实施阶段、审计报告与后续跟踪阶段,各阶段均应体现风险导向要求。在审前准备阶段,通过审前调查情况,动态调整权重和风险级别,并提前调取被审计单位内控制度、岗位分工、系统日志以及网络配置等电子版资料,对收集的资料、数据进行非现场分析,列出审计疑点和问题线索,并计算各业务领域剩余风险,根据审计风险评估结果制定实施方案。在现场实施阶段,应紧紧围绕风险实施现场审计,按照审计方案、风险事件清单,选择与风险性质和特点相适应的审计方法,对风险级别高的事件和隐患进行深入分析和排查,充分体现“风险引导审计”原则。在审计报告阶段,内审人员应以有效降低信息技术风险,保障各业务的连续性为目的,报告被审计对象信息技术问题缺陷,围绕风险深入分析问题产生的原因,从防范和化解风险的角度提出切实可行的审计建议。在后续跟踪阶段,对于审计中风险隐患较大、发生频率较高的问题应持续跟踪,并根据后续跟踪及整改情况更新信息技术风险数据库,调整信息技术审计整体规划。

五、行信息技术审计中的全方位推广奠定坚实的基础。

(二)着力培养信息技术审计与风险评估人才

在信息技术审计中运用风险导向审计方法,不仅要求审计人员具备信息技术领域的专业知识,还须具备运用风险评估技术的能力,因此,复合型人才的培养与储备是基于风险导向信息技术审计模式实施必不可少的前提条件。人民银行各级分支机构可以通过向审计部门输送新的信息技术人才、开展后续教育及培训等方式,逐步建立具有信息技术领域专业素养和风险评估技术的复合型内审人才队伍。

(三)循序渐进推行风险导向审计模式

基于风险导向的信息技术审计模式是在传统信息技术审计模式基础上发展起来的,因此,在实施新模式的同时应注重与传统模式的有机结合,注重对传统模式所取经验的吸收与利用,注重新旧审计模式的互为补充,循序渐进地推行新模式,从而更加有效地提升央行信息技术审计的质量与效率。

(四)建立风险导向信息技术审计模式运用机制

不断加大基于风险导向信息技术审计模式试点工作,加大新审计模式在实际审计项目中的运用探索,不断完善其运用流程、方法等,待时机成熟时出台相关规章制度,为新审计模式的运用提供制度保障,从而建立风险导向信息技术审计模式运用长效机制。

六、深入推进央行信息技术风险导向审计的建议

(一)尽快建立央行风险评估信息数据库

建立央行风险评估信息数据库,完整记录央行信J急技术风险评估各期数据,编制风险原因分析字典,这将有利于评估数据的采集、分析以及不同时期、不同对象风险状况之间的比对,为风险导向内部审计模式在央行信息技术审计中的全方位推广奠定坚实的基础。

(二)着力培养信息技术审计与风险评估人才

在信息技术审计中运用风险导向审计方法,不仅要求审计人员具备信息技术领域的专业知识,还须具备运用风险评估技术的能力,因此,复合型人才的培养与储备是基于风险导向信息技术审计模式实施必不可少的前提条件。人民银行各级分支机构可以通过向审计部门输送新的信息技术人才、开展后续教育及培训等方式,逐步建立具有信息技术领域专业素养和风险评估技术的复合型内审人才队伍。

(三)循序渐进推行风险导向审计模式

基于风险导向的信息技术审计模式是在传统信息技术审计模式基础上发展起来的,因此,在实施新模式的同时应注重与传统模式的有机结合,注重对传统模式所取经验的吸收与利用,注重新旧审计模式的互为补充,循序渐进地推行新模式,从而更加有效地提升央行信息技术审计的质量与效率。

(四)建立风险导向信息技术审计模式运用机制

第7篇

关键词:风险导向;高校;经济效益

近年来,随着国家扩招力度的不断加大,高等学校的办学规模、招生人数也呈现出不断扩大的趋势,资金管理活动已经渗透到学校管理的各个方面,随着资金活动范围的不断扩大,高校面临的投资风险、筹资风险以及经营风险也在不断增加。高校的内部审计部门就是为了对高校财务运行情况进行监督检查,避免由于高校财务部门的工作失误给高校经济运行带来损失。

审计风险分为固有风险、控制风险和检查风险,高等学校的内部审计风险不同于一般企业的内部审计风险,有着自身的特点。首先是固有风险相对较小。审计的固有风险是指由于被审计单位经济业务的特点和会计核算工作本身的不足而形成的审计风险。高校的内部审计人员可以评估固有风险的水平,但是无法有效的控制和影响固有风险的水平。对于高等学校来说,其经济性质不同与一般的企I单位。高等学校一般都是事业单位,其经济活动相对于企业来说比较单一,其经费来源主要依靠上级部门拨款以及学费收入,经济来源比较稳定,很少参与市场竞争,同时上级教育部门对高等学校财务管理的评价指标主要是各项资金的流入,体现的是高校办学的综合能力。因此相对于企业、银行等竞争比较激烈的行业,高校的固有风险相对来说比较小。控制风险是指被审计单位内部控制制度不完善,或者没有严格执行内部控制规定而导致的经济业务中出现重大风险的可能性。高等学校实行党委领导下的校长负责制。这种体制与企业不同的是,国家没有明确规定校长的经济责任,但是为了支持教育事业的发展,每年拨入相当多数量的经费,但是对经费的管理也没有明确的要求,而高校领导的工作分工是以约定的方式划分责任的,没有以经济效益作为目标,这种权力与责任不相匹配的管理机制使得高校的控制风险很大。检查风险是指经过审计人员的审计未能发现被审计单位重大错误的可能性。相对于社会审计和国家审计,高校内部审计局限性较大,首先是审计方法落后,很多高校内部审计还停留在账目审计的阶段,很少考虑到审计风险的控制,对固有风险和控制风险的考虑全凭内审人员的主观经验判断,这种判断很容易造成重要事项的遗漏,导致出现检查风险。其次,内部审计的独立性难以得到保证。学校的内部审计部门是学校内部的一个部门而不是独立于高校之外的,其审计活动或多或少的受到学校活动的限制,这就使得内审部门无法保持审计的独立性,而且由于审计部门没有国家审计的强制力,在涉及高校与外单位的经济往来业务而需要审计取证时,高校内部审计部门往往没有这个权力,这就导致了高校内部审计往往无法有效控制审计风险。

风险导向审计是指审计人员通过对被审计单位进行风险职业判断,评价被审计单位风险控制,确定剩余风险,执行追加审计程序将剩余风险降低到可接受的水平,对于高校的内部审计来说,实施风险导向审计,对防范高校财务风险,提高高校经济效益有着重要的作用,主要体现在以下几个方面:

一、风险导向审计能提高高校的风险防范意识

风险导向审计要求审计人员必须树立审计风险意识,在审计的过程中运用一定的审计方法和审计程序,确保高校能够规避风险。运用风险导向审计方法,内审人员会更加关注影响高等学校经济效益的投资风险、筹资风险以及经营风险,提出降低风险的建议,使学校在赢得社会效益的同时提高经济效益,确保高校资金的安全。

二、风险导向审计能够健全高校的财务内部控制

风险导向审计是以高校的内部控制制度有效性为前提的,目前,由于我国高校缺乏必要的监管,高校的内部控制制度没有被严格执行,导致了高校一些不正之风以及违法乱纪现象的发生,严重影响了高校的经济效益。在高校实行风险导向审计,能够为高校的内审部门参与学校的风险管理提供基础,改变了高校内审人员探讨审计风险和内部控制的方式,能够促使高校内部审计与管理要素相结合。同时,利用风险导向审计可以对高校的内部控制的风险进行评估,对内部控制不健全的风险点提出修改建议,确保内部控制不存在漏洞,避免高校财务运行因为内控漏洞造成损失。

三、风险导向审计能加强高校的收支管理

风险导向审计的特点就是能够运用分析程序贯穿整个审计过程,通过风险导向审计可以识别审计过程中的潜在风险并重点加以关注。对于高校内部审计来说,最重要的就是收支方面的审计,风险导向审计可以识别在收入和支出的哪些方面存在审计风险并加以控制,确保高校补助资金以及收取的学费、举办的培训收入等重点收入的安全,对高校的各项支出的合法合规性进行重点测试,确保高校资金不被挪用、占用,避免不合理的支出,提高高校的经济效益。

总之,由于高校特殊的性质决定了高校相对来说审计风险不高,但是也存在一些腐败现象和违法财经法纪的事项,内审人员一定不要掉以轻心,要运用风险导向审计的理论和方法,严格控制高校收入支出管理,健全高校财务内部控制,减少高校的财务风险,确保高校的经济安全和经济效益的提高。

参考文献:

[1]李晶.高校内部审计质量控制研究[D].兰州大学,2010.

[2]王小林.基于内部控制视角的高校内部审计流程优化研究[D].贵州财经大学,2012.

[3]谢莉.科学发展观视域下的高校内部审计工作研究[D].西南大学,2010.

第8篇

关键词:集团公司;内部审计;审计风险;风险控制

中图分类号:F239.6 文献标识码:A 文章编号:1001-828X(2012)11-0-01

内部审计风险是指财务报告存在重大错报、漏报或企业经营管理上存在弊端和漏洞。集团公司内部审计风险是不可避免的,为了保障审计目标的实现,充分发挥内部审计在企业风险管理中的重要作用,有必要对集团公司内部审计的风险进行控制。如何防范集团公司内部审计风险是当前集团公司关注的焦点。因此,研究集团公司内部审计风险及其控制具有十分重要的现实意义。鉴于此,笔者对集团公司内部审计风险及其控制进行了初步探讨。

一、集团公司内部审计风险类型分析

内部审计作为集团公司内部的一个独立的监督部门,集团公司内部审计风险主要包括三个方面的风险,即固有风险、控制风险和检查风险,其具体内容如下:

1.固有风险。内部审计是审计监督体系的有机组成部分,集团公司内部审计固有风险由业务本身的特点所决定的, 不同的经济业务其固有风险的大小亦不相同,固有风险具有发生重要错误或弊端的可能性,不是企业内部可以控制的,也是难以定量的,如涉及实物财产的业务、不确定性高的业务所具有的风险相对要大一些。固有风险在集团公司内部审计中,集团公司内部业务本身十分复杂,容易出错,很难控制。

2.控制风险。控制风险是指因失控而发生的风险。控制风险可以通过内部控制进行预防、及时发现和纠正。在集团公司内部审计中,控制风险主要包括两个方面的内容,一方面,控制风险与企业内部的控制直接相关。由被审计单位内部控制薄弱带来的风险。审计部在每年的内部审计报告中都会向董事会报告对公司内部控制状况的评价意见,针对风险较大的环节提出纠正建议。另一方面,内部人员的舞弊行为,也会造成控制风险的发生。受审计的人员的舞弊行为一般是十分隐蔽的, 难以被发现。

3.检查风险。审计风险是客观存在的、不可完全避免的,在集团公司内部审计风险中,检查风险是审计人员唯一可以控制的风险。检查风险的高低是审计人员所能调节和控制的。审计风险主要是由于审计主体自身的原因造成的,集团公司内部审计人员在审计过程中没有执行审计标准,或是审计人员的经验不足、方法不当、资源所限等引起的风险。检查风险又可以分为以下两种,一是抽样风险(误受风险、误拒风险)。也就是审计发出了与实际情况不符的审计报告。二是非抽样风险。抽样风险以外的风险都是非抽样风险。

二、控制集团公司内部审计风险的策略

控制集团公司内部审计风险的策略,可以从积极转变内部审计职能、尝试推行增值内部审计、充分整合各类审计资源和适时引入外部审计机制四个方面入手,下文将逐一进行分析。

1.积极转变内部审计职能。随着传统内部审计向现代内部审计的转变,控制集团公司内部审计风险的策略,积极转变内部审计职能是关键。内部审计部门有着监督与服务的双重职能, 服务导向型审计与审计环境的变化是相匹配的。集团公司内部审计在服务导向型审计活动中,审计活动的理念、职能、方式、手段与内容都会发生深刻转变,加强对内部审计工作的指导、监督和管理, 积极转变内部审计职能,例如审计手段由手工操作向利用计算机、网络信息技术的转变,可以促进建立和完善内部审计工作体系。

2.尝试推行增值内部审计。尝试推行增值内部审计,也是控制集团公司内部审计风险的有效途径之一。所谓增值型内部审计,是从实现增值需要满足的条件出发,以提高组织运作效率和增加组织价值为目的内部审计。集团公司增值型内部审计作为一种新型内部审计方式,利用内部审计的特殊地位、资源与方法不断实现增值,是一种有益的尝试。

3.充分整合各类审计资源。为有效控制集团公司内部审计风险,充分整合各类审计资源,可以在一定程度上减少集团公司内部审计的风险。集团公司内部审计风险控制,在充分整合各类审计资源方面,应从现有的内部审计管理模式入手,结合集团公司内部审计情况,将集团公司的内部审计制度模式、内部审计资源组织方式以及内部审计自身的特点与规律等加以充分整合,发挥集团公司内部审计的职能作用。

4.适时引入外部审计机制。合理的风险控制系统可充分保证内部控制作用。适时引入外部审计机制,对控制集团公司内部审计风险也具有重要的作用。从目前来看,集团公司要想建立起完善的金融监管体制,适时引入外部审计机制势在必行。就集团公司内部审计风险控制而言,可从外部审计机制的引进入手,适时引入外部审计机制,通过外部审计的专业化、规范化来健全和完善自身的内部审计体系,从而达到防范集团公司内部审计风险的目的。

总之,集团公司内部审计风险及其控制具有长期性和复杂性。为进一步提高控制集团公司内部审计风险,应积极转变内部审计职能、尝试推行增值内部审计、充分整合各类审计资源,适时引入外部审计机制,不断探索控制集团公司内部审计风险的策略。只有这样,才能有效防范集团公司内部审计风险,促进集团公司又好又快地发展。

参考文献:

[1]吴清华.基于公司治理的集团公司内部审计路径探讨[J].当代经济管理,2009(03).

[2]王泽北.浅谈中央企业内部审计风险与控制[J].工业审计与会计,2009(04).

第9篇

关键词:风险导向审计 特征 问题 对策

一、引言

在20世纪80年代,由于注册会计师事务所面临的法律诉讼风险大幅增加,再加上事务所之间的竞争愈发激烈,迫使事务所提高审计的效率和质量并重构审计程序。传统的制度基础审计已不再能够适应事务所低风险高效率的需求,审计模式迫切需要创新。正是在这种背景下,风险导向审计应运而生。风险导向审计能够有效地平衡审计质量与审计效率之间的关系,使得会计师事务所在不过分牺牲审计质量的前提下,拥有较高的审计效率。由于这一优势,风险导向审计在西方得到了广泛地接受。大型的会计师事务所都开始探索自己的风险审计方法或战略系统审计(SSA)框架。在上世纪90年代,随着国际“五大”进入中国市场,风险导向审计也逐步被国内会计师事务所所接受。中注协和财政部于2006年明确、全面地修改审计准则,引入了风险导向审计思想。然而,随着诸如安然、施乐、世通等跨国大公司因财务舞弊而倒下,针对风险导向审计的质疑大幅增加。在我国,像锦州港、万福生科等运用了风险导向审计的被审计公司同样被发现存在财务舞弊,这无疑加剧了对风险导向审计的信任危机。黄世忠和陈建明(2002)认为风险导向审计改变的决不仅仅是审计方法,更重要的是改变了传统的审计理念,造成了审计观念紊乱,并有可能使审计由一门高尚职业沦落为一种唯利是图的生意。事实上,从安然、世界通信、莱得艾德、施乐公司等财务舞弊案看,其舞弊手段不见得总是十分高明,有些手段甚至比我国少数上市公所采用的手段更笨拙。如果“五大”严格按照审计准则的要求,实施比较详细的实质性测试程序,是应当能够发现并及时制止这些财务舞弊的。针对这些争议,本文试图结合真实的财务舞弊案例讨论风险导向审计在我国的运用情况以及存在的问题,并提出对策和建议。

二、文献回顾

1.风险导向审计产生的原因

谢志华和崔学刚(2006)认为在整个审计发展的历史进程中,审计方法的选择及演变与其观念导向的发展变化密切相关。总体来看,统治审计方法演变的观念导向主要体现为效率导向与风险导向,审计方法从根本上是在提高审计效率与降低审计风险的交互运动中发展的。审计效率就是要在较短的时间内以较少的人、财、物的投人取得一定误差范围内的审计结论。

王会金和刘瑜(2006)认为审计为了适应社会环境的发展变迁经历了从账项基础审计、制度基础审计到风险导向审计的历史演进。针对风险导向审计产生的动因,主要有三方面原因:审计期望差距和审计风险的增加是风险导向审计产生的社会因素;审计组织的经济压力是风险导向审计产生的经济因素;制度基础审计的内在缺陷是风险导向审计产生的外在因素。

根据陈毓圭(2004)的论述,注册会计师在运用传统风险导向审计方法时,通常难以对固有风险做出准确评估,往往将固有风险简单地确定为高水平,转而将审计资源投向控制测试(如果必要)和实质性测试。而且,当企业管理当局舞弊时,内部控制是失效的。注册会计师不把审计视角扩展到内部控制以外,很容易受到蒙蔽和欺骗,不能发现由于内部控制失效所导致的会计报表存在的重大错报和舞弊行为。由此,职业界在对传统风险导向审计方法改进过程中,创造出一种新的方法,称为风险基础战略系统审计方法。

2.风险导向审计的运用

谢志华和崔学刚(2006)认为风险导向审计的关键就是要确定审计风险的重要性水平。重要性水平是指审计误差对审计委托人决策影响的大小。在风险重要性水平的确定上,不能仅仅考虑会计职业的规则,而且要充分理解相应法律的立法思想。确定重要性水平要考虑以下因素:必须考虑审计的基本目标;必须进行企业全面风险评估;必须考虑不同的会计事项。

王修岐和刘兵(1997)从审计程序、审计导向、确定重点审计领域的依据、内部控制观念、抽样技术五方面阐述了如何运用风险导向审计。具体来说,风险导向审计的程序大体包括分析性测试和评价固有风险、确定审计范围、对审计范围内的有关业务进行了解内部控制结构和控制测试、确定检查风险并根据检查风险水平的高低设计审计方案、根据审计方案进行实质性测试和得出结论六个步骤组成。

徐伟(2004)认为在风险导向审计模式下,主要是以风险决定实质性测试,这种风险更强调的是固有风险,当然也考虑控制风险。其主要特点是,不仅评估被审计单位的内部控制,同时对企业经营环境、管理层是否诚信等做出评估,从而确定实质性测试的性质、时间和范围。较传统审计而言,在运用风险导向审计时有四方面不同点,分别是:第一,审计目标集中在发现重大错弊,要求审计人员自始而终保持专业怀疑;在专业胜任上,需要更多的专业判断;第二,风险分析的侧重点不同。对客户的风险评估,制度基础侧重于对控制风险,而风险导向审计则更强调固有风险,通过深入了解企业及其环境,从各种渠道了解企业所处的行业及地域情况,对企业作深入的研究,发现其潜在的经营风险及财务风险,并评估财务报表发生重大错报的风险;第三,确定实质性测试的逻辑思维过程不同,即以风险评估结果决定审计程序的性质、时间和范围,如果评估企业发生重大错报风险很高,则需要特别的审计程序;第四,以风险评估决定审计证据的质量及数量,当风险评估越高,所需要审计证据的数量也越多、证明力必须越强。

三、风险导向审计是经济社会发展的趋势

审计模式的发展大致经历了四个阶段,分别是账项基础审计阶段、制度基础审计阶段、传统风险导向审计阶段;风险导向战略系统审计,也即现代风险导向审计。从审计方法的发展历程中我们可以发现早期的审计倾向于一种全面审计的模式。这主要是因为那时的经济社会发展并不完善,审计对象较为单一,从事的业务也比较简单,这使得审计师能够做到全面审计,进而把审计风险降为零。随着经济社会的进一步发展,被审计单位的规模和结构变得越来越复杂,从事的业务也变得越来越具有多样性,而且针对审计师的法律规范逐步建立起来,审计失败将会导致审计师承担法律责任。这迫使审计师不得不将针对自身利益风险的控制加入到审计工作中。换言之,审计风险不再仅仅是单纯的审计失败风险,还会受到审计师自身经济利益的影响。在这种背景下,制度基础审计成功地使审计效率与审计质量得以兼顾。强调依靠被审计单位内部控制的制度基础审计,使得审计师可以更有效率地确定合理的审计范围和审计方法。然而随着经济社会继续发展,资本市场日益繁荣,信息不对称问题凸显,社会公众对会计信息准确性的需求越来越大。在这种情况下,制度基础审计达到的风险与效率的均衡被打破,风险导向审计的出现弥补了前者的不足。通过将关注点扩展到固有风险,风险导向审计可以使审计师将精力投放到最有可能发生重大错报的领域,在将审计风险控制在可接受水平的同时大幅提高了审计效率。

自改革开放以来,我国经济进入了飞速发展时代。企业规模不断扩大,其从事业务的涉及面也愈发广泛,传统审计方法很难适应越来越复杂的商业环境。从另一个角度看,随着经济的发展,我国资本市场从无到有,日益完善,越来越多的公司寻求上市融资,这也要求会计师事务所为了广大外部投资者的利益和资本市场的健康发展,对公司的财务信息的真实性做出更高程度的保证,解决日益严重的信息不对称问题。这些对审计的客观要求也促使我国注册会计师行业采用风险导向审计,风险导向审计是我国经济社会发展的必然。

四、风险导向审计的特征

相对制度基础审计而言,风险导向审计的特征主要体现在三个方面。

1.重点关注固有风险

风险导向审计要求审计师充分了解被审计单位的基本情况,包括行业特征、业务模式、经营风险等。通过分析行业即被审计单位的基本情况,审计师可以在正式审计工作开始前,就对存在重大错报风险的领域有初步的认识。通过了解这些基本情况,审计师可以对被审计单位的固有风险有一个判断,同时也可以得出每个会计循环的固有风险。对于存在较高固有风险的循环中的会计科目适当增加实质性审计程序;对于存在较低固有风险的循环中的会计科目可以适当减少实质性审计程序。相较于制度基础审计而言,通过对被审计单位固有风险的判断来分配审计资源,体现了风险导向审计的优越性,即能够在有限审计资源的前提下,将审计资源分配到风险最大的会计科目,从而达到审计效率与审计质量的均衡。

2.重视分析性程序的运用

分析性程序在风险导向审计中占有非常重要的地位,无论是计划审计工作阶段、实质性测试阶段还是最后的出具审计报告阶段,分析性程序都扮演了重要角色。在计划审计工作阶段,分析性程序是评估重大错报风险的重要指标。在实质性测试阶段,如果分析性程序结果较好,可以一定程度上减少余额测试程序。在结束实质性程序后,通常还需要进行分析性复核,以此判断是否需要追加实质性审计程序。分析性程序可以通过对比被审计单位往年数据、行业平均数据等,得出异常会计科目。同时,在实质性审计阶段,分析性程序也属于审计证据的一种,这意味着成本相对较低的分析性程序是可以替代部分实质性程序的。在分析导向审计中,重视分析性程序的运用可以大幅降低审计成本,并提高审计效率。

3.保持职业的怀疑态度

相比于制度基础审计,风险导向审计要求审计师保持职业的怀疑态度,要注重考察被审计单位管理层的诚实正直的程度,防范财务舞弊的发生。制度基础审计仅要求审计师考虑被审计单位内部控制设计的合理性以及执行的有效性,然而风险导向审计还要求审计师也要关注管理层舞弊的可能性。换言之,制度基础审计重点关注内部控制的制度,而风险导向审计则同时强调关注控制环境。本世纪初,在诸如安然、世通公司等商业巨头因财务舞弊倒下的背景下,审计师被要求对上市公司的内部控制情况发表意见,这赋予了审计师更大的责任,审计师更应该保持职业的怀疑态度。

五、从审计失败案例中发现风险导向审计在我国运用存在的问题

风险导向审计在上世纪90年代被引入我国以来,逐渐被越来越多的会计师事务所所接受。在2006年,中国注册会计师协会与财政部都宣布要求会计师事务所全面采用风险导向审计,这说明风险导向审计确实符合我国经济发展的需要。然而,风险导向审计在我国的运用存在着不少的问题,本文将结合两个风险导向审计运用失败的案例来阐述这些问题。

1.锦州港

锦州港是辽宁省重点发展的北方区域性枢纽港口。1993年通过股份改制,成为锦州港股份有限公司。锦州港股份有限公司B、A两只股票分别于1998年和1999年在上海证券交易所上市。锦州港从1999年开始到2002年,审计业务都由毕马威华振会计师事务所承担。在三年的审计中,运用了风险导向审计的毕马威华振会计师事务所一直出具的是标准无保留审计意见。事实上,在2002年,锦州港被曝出财务舞弊,2000年及以前年度虚增收入高达3.6亿元。那么,作为外部审计的毕马威,为什么没有发现这一财务舞弊?通过研究1997年至2002年的财务报表,我们可以发现锦州港的利润反复无常,与其吞吐量无法合理对应。比如说1997年,其吞吐量仅有503万吨,利润有16953万元,然而在2000年,吞吐量达到1006万吨,而利润只有9083万元。也就是说吞吐量翻倍了,利润反倒减半,这与港口行业的发展趋势完全不符。而从资产周转率中,我们也可以发现端倪。锦州港的固定资产周转率是同行业公司中最低的,而且大幅低于行业平均水平。这无疑是重大风险点,让人们不禁怀疑锦州港存在虚增收入,同时将虚增的现金流转入投资支出,从而虚增固定资产的行为。而作为使用了风险导向审计的毕马威,却对这一明显的分析性程序结果视而不见。事实上,锦州港的舞弊手法远没有安然公司的舞弊手法那么复杂,然而毕马威却无法发现,这不禁让投资者质疑风险导向审计的有效性。

2.万福生科

万福生科是一家总部位于湖南省常德市的农副产品深加工企业,公司成立于2003年5月8日,2011年9月27日在创业板成功上市。然而,上市一年不到,万福生科就在2012年中期被发现财务舞弊,虚增利润4023万元。万福生科在上市前就因其远高于行业平均值的毛利率而受到质疑,作为外部审计的中磊会计师事务所同样漠视了这一问题。另外,万福生科的内部控制机制非常混乱,公司所有决定都是董事长一个人决定,财务总监形同虚设。这种内部控制的缺陷,理应引起审计师的注意,并且增加实质性程序。然而中磊会计师事务所还是忽略了这一重大内部控制缺陷,并没有根据风险导向审计的要求,增加审计程序。相反,中磊会计师事务所仍旧出具了无保留意见。

根据上述案例,并结合风险导向审计的特征,本文认为风险导向审计在我国运用存在以下问题。

3.注册会计师的素质欠缺

风险导向审计对于审计人员的素质要求很高。风险导向审计强调对企业重大错报风险的评估,而重大错报风险的确定取决于对企业固有风险和控制风险的判断。固有风险的判断需要注册会计师对行业以及企业有充分的了解,控制风险的判断要求注册会计师对内部控制机制有较好的把握能力。另外,针对舞弊风险的评估同样需要注册会计师具备职业的怀疑态度。这些都是注册会计师运用风险导向审计所应当具备的素质。然而,从案例中我们可以发现,我国部分注册会计师在审计时并未充分保持职业的怀疑态度。另一方面,我国部分注册会计师对内部控制设计与执行的效果不具备合格的判断能力。

4.数据库尚不完善

在风险导向审计中占据重要地位的分析性程序对于数据的要求很高。这些数据不仅仅包括企业自己的历史数据,还应该包括行业其他企业的数据、非财务数据等。我国注册会计师行业起步较晚,注册会计师事务所对于数据的收集整理和挖掘明显落后于国外事务所。没有完善的数据库,分析性程序所得出的结论无法具有足够的可信度。从案例中可以看出,尽管通过分析性程序可以发现很多风险点,但审计人员并未给予重视。这可能是由于我国事务所数据的缺陷所导致的。

5.会计师事务所的竞争过于激烈

我国注册会计师行业虽然发展的时间并不长,但发展的势头非常迅猛。业务收入从2000年的52亿元飙升至2011年的440亿元。然而,这背后也存在着会计师事务所之间的激烈竞争。我国现有注册会计师事务所7293家,然而前10家会计师事务所营业收入就超过了总业务收入的30%。这说明我国事务所,尤其是小事务所,竞争非常激烈。在这种情况下,为维持事务所的生存,审计人员可能不愿意将过多成本花费在审计过程中,使得风险导向审计只是成为形式,并未起到真正的作用。更糟糕的情况是,注册会计师可能会为了提高审计收费或挽留客户而违背自己的职业道德。

六、对策和建议

针对上述风险导向审计在中国运用的问题,本文认为可以从以下三个方面入手,改善风险导向审计在中国运用的现状。

1.提高注册会计师的素质

注册会计师素质的提高是采用风险导向审计的前提条件。注册会计师的学习应当是一个终身学习的过程。定期开展注册会计师的继续教育项目,有助于不断提高注册会计师的专业能力和执业水平。另外,应当促使注册会计师更广泛地接受其他学科的知识,如农学、机械方面的基础知识。这将有助于注册会计师在审计这些行业的企业时能够有一个较准确的主观判断能力。

2.逐步建立完善的数据库

完善的数据库可以对风险导向审计起到重要的支持作用。我国会计师事务所应该加强对数据的收集、保存和挖掘工作。在审计工作进行时,审计人员应当将被审计单位数据的收集作为一项必不可少的工作去完成。通过这种方法,事务所可以逐步完善自己的数据库。同时,会计师事务所还可以和现有的数据库公司合作,直接购买数据。

3.促进会计师事务所的整合

针对我国会计师事务所竞争激烈的现状,本文认为应当促进中小会计师事务所的整合工作。由于大型会计师事务所垄断了大部分的业务,中小会计师事务所的生存空间被大大压缩。为了获取审计费,生存下去,中小会计师事务所的注册会计师有更大的可能性违背自己的职业道德,纵容被审计单位管理层财务舞弊。通过整合中小会计师事务所,帮助事务所做大做强,使得注册会计师更能坚守自己的职业操守。另外,政府也应当加强对违背职业道德的注册会计师的惩罚力度,维护职业道德不受玷污。

七、总结

本文首先分析了风险导向审计产生的原因,得出风险导向审计是我国经济社会发展的必然。根据风险导向审计产生的原因并通过与制度基础审计对比,发现风险导向审计主要有三方面特征,即重点关注固有风险、重视分析性程序的运用、保持职业的怀疑态度。基于风险导向审计的特征,通过剖析锦州港和万福生科审计失败的案例阐述了风险导向审计在我国运用存在的问题。发现风险导向审计在我国的运用主要存在注册会计师素质欠缺、数据库尚不完善、会计师事务所的竞争过于激烈三方面问题。针对这些问题,本文提出了三点对策和建议:提高注册会计师素质、逐步建立完善的数据库、促进会计师事务所的整合。

参考文献:

[1]黄世忠,陈建明. 美国财务舞弊症结研究[J].会计研究, 2002.10 25-32

[2]谢志华,崔学刚.风险导向审计:机理与运用[J].会计研究, 2006. 7 15-20

[3]王会金,刘瑜. 风险导向审计缺陷与现代模式的抉择[J].审计与经济研究, 2006. 3 25-26

[4]陈毓圭.对风险导向审计方法的由来及其发展的认识[J].会计研究, 2004.2 58-63

[5]王修岐,刘兵. 制度基础审计与风险基础审计的比较研究[J].审计研究, 1997. 2 37-40