时间:2023-03-16 15:47:59
绪论:在寻找写作灵感吗?爱发表网为您精选了8篇风险审计论文,愿这些内容能够启迪您的思维,激发您的创作热情,欢迎您的阅读与分享!
1风险导向审计
风险导向审计,是一种基于战略观和系统观思想,通过综合评价经营风险以确定实质性测试的范围、时间和程序的审计方法。又称为风险基础战略系统审计方法。审计方法从账项基础审计、制度基础审计发展到风险导向审计,都是为了适应审计环境的变化做出的调整。
2风险管理
风险管理又名危机管理,是指如何在一个肯定有风险的环境里把风险减至最低的管理过程。当中包括了对风险的量度、评估和应变策略。理想的风险管理,是一连串排好优先次序的过程,使当中的可能引致最大损失及最可能发生的事情优先处理、而相对风险较低的事情则押后处理。但现实情况里,这种优化的过程往往很难决定,因为风险发生的可能性通常并不一致,所以要权衡两者的比重,以便作出最合适的决定。
3风险导向审计存在的问题及原因
(1)风险导向审计在实践中不能降低审计成本。理论上风险导向审计能够降低审计成本,主要表现在通过对被审计单位所处经营环境及其内部经营管理的分析确定固有风险;关注被审计单位已设置的内控制度,识别影响财务报表的控制风险;通过对风险的更好评估,认定实质性测试的重点和水平,确定审计人员收集何种证据及其数量,并把审计力量在审计业务之间合理分配,有效利用审计资源。但实践中风险导向审计并没有有效的降低审计成本,由此可见,风险导向审计从风险控制的角度出发能更合理地分配审计资源,但并不能从总量上减少审计成本。
(2)缺乏相应的审计准则支持。我国的独立审计准则是建立在系统导向审计模式的基础上,其中审计风险模型的规定还局限于仅考虑账户与交易余额的风险测试,如果将审计重点放在控制测试和实质性程序,审计人员就容易忽略会计报表的重大错漏报。系统导向审计模式的局限性导致建立在其基础上的独立审计准则具有局限性,因此我国的独立审计准则已不适应环境变化的要求,不能为实施风险导向审计提供全面技术指导和规范。在审计实践中,由于缺少独立审计准则对风险导向审计程序的规范,审计部门在操作过程中仍存在许多不完善之处。
险导向审计的应用
(1)了解被审计单位及其环境。审计人员应当了解被审计单位的行业状况、法律环境与监管环境以及其他外部因素;被审计单位的性质、会计政策的选择和运用、经营目标、战略以及相关经营风险、以及财务业绩的衡量、评价和内部控制等。了解被审计单位及其环境时可通过①询问被审计单位管理当局和内部其他相关人员;②分析程序;③观察和检查等风险评估程序实施。
(2)评估重大错报风险。作为风险评估的一部分,审计人员应当运用职业判断,确定识别的风险哪些是需要特别考虑的重大风险(以下简称特别风险)。应当重点考虑下列事项:①风险是否是舞弊风险:②风险是否与近期经济环境、会计核算和其他方面的重大变化有关;③交易的复杂程度;④风险是否涉及重大的关联方交易;⑤财务信息计量的主观程度,特别是对不确定事项的计量存在宽广的区间;⑥风险是否涉及异常或超出正常业务范围的重大交易。特别风险通常与重大的非常规交易和判断事项有关。非常规交易是指由于金额或性质异常而不经常发生的交易。
(3)控制测试。控制测试的目的是为了测试内部控制在防止、发现并纠正重大错报方面的有效方法。在必要时或决定进行内部控制测试时执行该程序。
当存在下列情形之一时,审计人员应当实施控制测试:①在评估认定层次重大错报风险时,预期控制的运行是有效的;②仅实施实质性程序不足以提供认定层次充分、适当的审计证据。③实施实质性程序。实质性程序包括对各类交易、账户余额、列报的细节测试以及实质性分析程序,目的是为了发现认定层次的重大错报。审计人员应当针对重大的各类交易、账户余额、列报实施实质性程序,以获取适当的审计证据。
5风险导向审计的发展
(1)进一步强化风险导向审计的理念。在经济全球化的背景下,国际资本的流动带动了审计的跨国界发展。风险导向审计不是制度基础审计之外的一种方法,而是制度基础审计的发展,是以对审计风险进行系统的分析和评价为立足点制定审计战略,制定与企业状况相适应的多样化的审计计划,使审计工作适应社会发展的需要。风险导向审计要求注册会计师不仅对控制风险进行评价,而且要对产生审计风险的各个环节进行评价。但是,风险导向审计的运用不是孤立的,在审计实务中,注册会计师要树立风险导向意识,将风险导向审计与制度基础审计、账项基础审计结合起来运用。即在风险导向审计观念下,客观评价被审计单位外部环境、内部控制制度,发现会计报表发生重大错报风险,对评价出的高风险领域,实施详细的账项审计,可有效地控制风险,节约审计成本。
(2)提高实行风险导向审计需具备的审计人员素质。审计人员执行独立审计鉴证职能时,应具备与客户所在行业及企业相关的知识结构,才能胜任风险导向审计的要求。审计人员在尽多掌握行业知识、企业知识的同时,还要实现审计人员队伍的优化组合,改变单一财会型人员的结构,注重聘用一些法律、工程技术、计算机等非会计审计专业的人才,并对项目审计小组进行科学配备,同时,为提高审计质量与效率,还应相对固定每一小组对某一行业的审计工作。审计执业中,审计人员必须坚持职业怀疑态度,坚持强制审计程序的严格执行。审计部门应建立计算机网络,扩大及方便审计人员对各行业政策、知识的学习与掌握,以降低审计风险,提高审计质量。
(3)进一步强化支持风险导向审计的网络化信息系统的资源共享。要推动社会建立企业信用体系,在政府、银行、协会及审计部门等单位之间连网,实现资源共享。审计部门本身也应建立庞大的数据库,按类别、行业收集、存储、更新审计人员运用风险导向审计所需要掌握的会计和审计准则内容以及客户所在行业、企业战略,成功、失败审计案件介绍等信息,以不断拓展审计人员的知识结构,降低审计风险,提高审计质量。
(4)健全企业内部控制机制,夯实风险导向审计的制度基础。一个企业内部控制的好坏,与审计人员审计风险的高低直接相关。从经济学角度讲,会计舞弊的实际实施者是企业的实际控制者经理人。因此,应从建立健全企业内部控制机制着手,在优化公司治理框架下,从企业内部控制的设计、运行、评价、改进四个环节建立与完善企业内部控制机制,强调高级领导层的控制责任,关注对全部风险的评估,重视日常控制活动,抓住内部审计监督评价环节,才能不断提高企业会计信息质量,推动风险导向审计在风险管理中的运用。
参考文献
一、农村审计风险的成因
农村审计风险是指农村审计机构或审计人员在农村审计过程中,对被审计单位或相关人员所承担的经济责任发表了不恰当的审计评价意见或者下达了不正确的审计结论和处理决定,给被审计单位或相关人员造成损失应承担责任的可能性。造成农村审计风险的成因主要有以下几个方面:
(一)制定审计项目不确定重点。现行农村审计项目有日常财务收支、收益分配等定期审计,村干部任期和离任经济责任、集体资产和资源、农民负担、村级债权债务等专项审计。随着城镇化建设和各项涉农补贴资金的逐年增多,对集体土地征用补偿费和涉农财政资金的审计已成为审计重点。由于审计人员有限,如果对审计项目不分轻重缓急,则项目的实施结果就容易疏漏出现较大违法违规问题或案件,形成审计风险。
(二)审计对象的责任区分难度较大。如经济责任审计中的集体经济组织主要负责人或企业法定代表人,由于其所处位置特殊,上下人际关系等原因,加之任职时间较长或财务人员频繁更换,期间经济业务数量多,对其真实性、合法性和效益性的客观、准确认定带来困难;又因历史与现实、自主决策与集体决策以及环境等因素,使其应负的主要责任和直接责任难以区分、界定不准,存在一定的审计风险。
(三)审计人员的素质和能力不适应。目前部分审计人员的知识水平、业务素质以及对计算机辅助审计的应用能力等,还不能适应工作需要,严重制约着审计工作的深入,影响审计评价的客观性和准确性,也容易形成审计风险。
(四)农村审计法规、规章可操作性不强。相关法规对涉及农民负担部门及涉农资金的审计没有明确规定,很多内容过时、缺失。因此,在具体操作中会出现一些难以预料、评价没有统一标准、处理依据不足的情况。如果仅凭经验或习惯做法,则很可能在某些方面出现一些问题,使农村审计有一定的潜在风险。
二、规避农村审计风险的措施
农村审计风险的存在,不仅会使农村审计机构可能承担一定的法律责任,还会对农村干部经济责任作出不恰当的评价,更严重的是对落实党和国家在农村的各项政策造成影响。因此,应采取有效措施,规避农村审计风险。
(一)适应形势,确定审计工作重点。农村审计立项,必须适应现阶段农村经济发展形势,按照上级业务主管部门的要求,结合本地实际情况,确定重点审计项目,编制审计工作方案,并依据现有农村审计法规和规章组织和实施审计。
(二)客观公正地作出审计评价、界定责任。对被审计单位进行审计评价,既要谨慎合理地规避审计风险,又要观点明确、客观公正。一是审计范围的经济事项评价应突出重点;二是评价要以事实和数据为依据;三是评价用语要准确、规范,易理解。在评价基础上,按事项、期间、适用的法规、规章确认责任主体,界定相关人员的责任。
1.审计方法的单一局限性。企业审计方法虽然由传统的负债损益审计向经济责任审计及绩效审计多元化发展,但很多企业的审计方法及审计模式依然较为单一。例如,很多公司内部审计人员是一些上了年纪的老会计,日常内审工作中依然采用传统的人工查阅方法,审计质量没有确切的保障,对于电子版的财务凭证难以适应,无法做出合理评判,对于企业内部出现的欠规范、欠合理的内容,难以进行有效甄别,等等。随着会计电算化的应用,越来越多的公司财务资料是通过计算机录入,因此,面对目前部分企业审计手段及方法的局限,很难保证审计质量的提升。
2.审计人员素质良莠不齐。审计人员的自身素质直接影响着审计质量和审计结果。审计工作是一项专业性的技能工作,不仅需要审计人员具有专业的审计理论知识、相关法律知识、财会知识和企业管理知识,而且还需要具备一定的审计经验和技巧,熟悉信息技术的应用和相关外语知识,对专业文字及报表具有分析辨别能力。但在现实工作中,部分审计人员是由财务部门以及其它行政部门人员转入的,缺乏必要的审计技能,另外部分审计人员年龄偏大,依据常年审计经验进行工作,对国际以及国内审计方法和最新财务经制度、规定的变化不能及时学习运用,同时不能很好地运用现代化的审计软件进行审计,这些因素就造成了审计团队人员素质出现良莠不齐的现象,给企业审计工作带来了不利影响。
3.企业领导缺乏对审计工作的重视。审计工作对企业发展具有重要意义,但我国企业中审计工作并未得到应有的重视,大部分企业没有专门的审计部门,其审计工作由财务部门或监察部门替代,大多中小企业根本不设审计岗位,有的企业虽设置了审计部门或岗位,但审计工作得不到足够的重视,审计人员缺乏工作的积极性,企业内部存在的问题及企业经营中存在的潜在风险不能及时发现。长此以往,审计工作就会名存实亡,无法充分发挥其应有的作用,给企业发展造成难以弥补的损失。
二、控制企业审计风险的有效途径
1.完善企业内部审计方案,提高审计质量。企业要进一步完善内部审计方案,不断提高企业内部审计工作的质量。首先,企业要对审计的结果进行审核,检查被审查部门是否严格执行审计决定。其次,可以对审计工作进行抽查检验,判断审计工作中是否存在问题,有无包庇现象,必要时可以采取后续审计策略,确保审计结果及审计决定的落实。
2.加强企业内部审计队伍素质建设。审计队伍建设是确保审计有效开展的基础,要不断提高审计人员的专业技能和综合素质。企业更要建设一支具有作风好、技术硬、品德高的审计团队。首先,企业要从自身实际出发,制定完善的企业审计人员管理制度,明确职责、强调纪律、赏罚分明,充分调动审计人员工作的积极性;其次,对审计人员的选择做好严格把关,尽力选择作风好、责任心强、政治觉悟高、业务技能高的人员;再次,要做好审计人员综合素质的培养,定期对其进行思想培训和技能培训,最终建设一支纪律严明、素质过硬的审计团队。
3.完善审计制度建设。健全审计制度是确保审计工作有效开展的保障,也能够提高企业领导对审计工作的重视度。首先,要从法律层面对审计制度作出进一步的规定,制定行之有效的处罚制度;其次,对于企业审计机构的设立、人员组成、审计范围、审计职责都要作出具体规定,使企业审计工作有法可依;再次,国家要进一步完善审计准则,将绩效审计和财务审计纳入到审计工作中,确保审计工作的有效运行。
4.加强企业领导对审计工作的重视度。要想提高企业内部的审计地位就必须要加强企业领导对企业审计工作的重视程度,这就需要不断增加强企业领导的现代化管理观念,提高其对企业发展的深层次认识。首先,企业领导要多学习国内先进企业的管理方法,分析先进企业的管理理念。其次,要多熟悉财务制度,与国家审计准则接轨,了解企业内部审计的重要性。最后,要合理划分自己企业的运营流程,严格把控各项工作的开展,组织专门小组定期进行工作检验,充分了解审计的重要性。
5.强化企业内外对审计风险的认识度。做到这一点首先需要企业领导提高对企业发展的风险防范意识,只有领导认识到审计风险的重要性,才能要求员工做到审计风险的防范,提高企业的运行安全。另外,企业领导可以定期组织员工看相关审计风险的视频,以便增加员工对审计风险的认知,有助于审计风险的控制。
三、结语
关键词:风险导向审计;审计模式;适用性分析
随着国内外重大审计失败事件的不断发生,风险导向审计作为一种重要的审计理念和方法,受到审计职业界和学者的关注。中国注册会计师协会在2004年10月了新的审计风险准则征求意见稿,要求注册会计师在审计中使用现代风险导向审计方法,实施风险评估程序,降低审计风险,提高审计质量。如果审计风险准则一旦正式生效,将使我国的审计风险准则与国际接轨,并引导中国注册会计师实务由传统风险导向审计向现代风险导向审计转变。因此,对现代风险导向审计模式的理解以及在我国的适用性分析就显得十分重要。
一、风险导向审计概述
随着社会经济的发展变化,审计方法适应审计环境的变化经历了三个发展阶段:一是审计发展的早期,由于企业组织结构简单、业务性质单一,注册会计师的审计工作目的是为了促使受托责任人在授权经营过程中做出诚实、可靠的行为,审计方式是详细审计。审计的重心在资产负债表,是对会计凭证和账簿的详细审计,旨在发现和防止错误与舞弊,这种审计方法就是账项基础审计方法(accountingnumber-basedauditapproach)。二是从1950年代起,以内部控制测试为基础的抽样审计在西方国家得到广泛应用,这种审计方法重点在于注册会计师了解、测试和评价内部控制设计的合理性和执行的有效性。对内部控制存在缺陷的环节,注册会计师通常将其涉及交易和账户余额作为审计的重点,甚至进行详细审计;对于可以信赖的内部控制环节,通常将其涉及的交易和账户余额进行抽样审计,以提高审计效率和降低审计费用。从方法论的角度,这种审计方法被称作制度基础审计方法(system-basedauditapproach)。三是1970年代以后,由于制度基础审计方法显露缺陷,一种新的、以风险防范为基础的风险导向审计模式逐渐兴起,从方法论的角度,注册会计师以审计风险模型为基础进行的审计方法称为风险导向审计方法(risk-orientedauditapproach)。
回顾审计方法的发展历程,风险导向审计模式已成为审计方法发展的国际趋势。风险导向审计模式合理地扬弃了作为制度导向审计模式基础的“无利害关系假设”,把指导思想建立在“合理的职业怀疑假设”的基础上,不只依赖对被审计单位管理层所设计和执行内部控制制度的检查与评价,而且实事求是地对公司管理层是否诚信、是否有舞弊造假的驱动始终保持一种合理的职业警觉,将审计的视野扩大到被审计单位所处的经营环境(微观、中观乃至宏观),将风险评估贯穿于审计工作的全过程。与传统的制度基础审计相比较,主要有以下区别:
(一)审计模式不同
制度基础审计模式以内部控制为核心,对控制风险的评估仅通过确定内部控制的可依赖程度来减少实质性测试的工作量,而对固有风险的评估常流于形式;风险导向审计模式不仅通过内部控制评估控制风险,还结合其他风险因素尤其是固有风险综合考虑,通过对企业环境、发展战略、公司治理结构等方面的评估,发现其潜在的经营风险及财务风险,并评估财务报表发生重大错报的风险,以便使审计风险降至可接受水平。
(二)审计基础不同
制度基础审计以内部控制制度为基础,根据被审单位内部控制制度的健全性及符合性评审结果,确定实质性测试的范围和重点;风险导向审计则以风险评估为基础,对影响被审单位经济活动的多种内外因素进行评估,确定审计范围、重点和方法,其不仅重视与内部控制系统直接相关的因素,而且重视各种环境因素。
(三)审计方法不同
两种审计模式都采用抽样技术,但风险导向审计是通过建立审计风险模型将风险量化。因此,相对于制度基础审计来说,风险导向审计的抽样技术是更完全意义上的审计抽样,更注重利用分析性测试方法,从而可以有效降低审计风险。
二、风险导向审计的两种模式
风险导向审计自产生以来经历了两个阶段,理论界把以传统审计风险模型“审计风险=固有风险×控制风险×检查风险”为基础进行的审计称为传统风险导向审计模式;而将1990年代后期开始,在国际会计师事务所内部推行并逐渐被审计理论与实务界接受的,以“审计风险=重大错报风险×检查风险”的模型为基础,以被审计单位的经营风险为导向的审计方法称作现代风险导向审计模式。
传统风险导向审计模式与现代风险导向审计模式的本质区别在于审计理念和审计技术方法的不同,后者是对前者的改进,其主要区别如下:
(一)审计起点不同
传统风险导向审计运用的审计风险模型中,固有风险是指假定不存在相关内部控制时,某一账户或交易类别单独或连同其他账户、交易类别产生重大错报或漏报的可能性。控制风险是指某一账户或交易类别单独或连同其他账户、交易类别产生错报或漏报,而未能被内部控制防止、发现或纠正的可能性。传统风险导向审计方法通过综合评估固有风险和控制风险以确定实质性测试的范围、时间和程序,由于固有风险难以评估,审计的起点往往为企业的内部控制(如果没有必要测试内部控制,审计的起点则为会计报表项目)。
现代风险导向审计方法通过综合评估经营控制风险以确定实质性测试的范围、时间和程序,其审计起点为企业的战略系统及其业务流程。如果企业的业务流程不重要或风险控制很有效,则将实质性测试集中在例外事项上。这种新模式的优点是将审计的重心前移到风险评估,这将有利于充分识别和评估会计报表重大错报的风险,因此,主要针对风险设计、实施控制测试和实质性测试程序。此外,注册会计师容易全面掌握企业可能存在的重大风险,有利于节省审计成本,克服因缺乏全面性观点而导致的审计风险。
(二)风险评估识别以分析性复核程序为中心
现代风险导向审计注重运用分析性复核程序,以识别可能存在的重大错报风险;而传统风险导向审计对于信息的再加工程度不够,其分析性程序主要用在报表分析上。分析性复核程序已成为现代风险审计方法最重要的程序,为了适应分析性程序功能扩大的要求,分析性程序开始走向多样化:在数据分析上不但要对财务数据进行分析,也要对非财务数据进行分析;在分析工具上借鉴现代管理方法,把战略分析、绩效分析、财务分析及前景分析等分析工具运用到风险评估之中,使风险因素不再惟一,变一元风险评估为多元风险评估,使得出的风险评估结果更加可靠。
(三)风险评估方式由直接评估转变为间接评估
传统风险导向审计的风险评估是一种直接的方式,即直接评估重大错报的概率。现代风险导向审计模式是从经营风险评估入手,间接地对审计风险进行评估,因为经营风险越高,审计风险也越大,也就是管理舞弊的可能性越大;并且从经营风险中能更有效地发现财务报表潜在的重大错报,因为财务报表是经营的反映,如果经营风险未能在报表中得到体现,则财务报表很可能失真。此外,会计政策、会计估计的合理性评估也只有从经营风险入手,才能进行正确的评估。
(四)审计程序实施具有个性化
传统风险导向审计模式审计程序是标准化形式,对不同的被审计单位都使用标准相同的审计程序,其缺陷是没有足够贯彻风险导向审计思想,使注册会计师无法突破客户预先设置或防范的措施,难以做出正确的审计结论。现代风险导向审计方法要求注册会计师将评估及识别的审计风险与实施的审计程序相结合,针对不同客户以及客户不同的风险领域实施个性化的审计程序。
(五)审计证据的内涵扩大
在现代风险导向审计方式下,审计重心向风险评估转移,审计证据也由内部向外部转移。因此,注册会计师必须充分了解企业整体经营环境,由此评估客户的经营及审计风险,同时必须从外部取得大量的外部证据来证明风险评估的恰当性。风险导向审计模式下,注册会计师形成审计结论所依据的审计证据不仅包括实施控制测试和实质性测试获取的证据,还包括了解企业及其环境获取的证据。
(六)扩充了内部控制要素
传统风险导向审计方法下的内部控制是指被审计单位为了保证业务活动的有效进行,保护资产的安全和完整,发现、纠正错误与防止舞弊,保证会计资料的真实、合法、完整而制定和实施的政策与程序。内部控制要素包括控制环境、会计系统和控制程序。现代风险导向审计方法下的内部控制是指被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵循,由治理当局、管理当局和其他人员设计和执行的政策和程序。内部控制的三要素扩充为五要素,即控制环境、被审计单位的风险评估过程、与财务报告相关的信息系统和沟通、控制活动和对控制的监督。
(七)对注册会计师的专业知识提出了更高要求
现代风险导向审计对注册会计师的专业素质提出更高要求,其重心从会计、审计知识转向管理和行业知识。现代风险导向审计下审计结果主要依赖风险评估,风险评估的各种分析方法要求掌握现代管理知识和行业知识(包括市场、研发、生产等方面),这对注册会计师提出了更高的要求。注册会计师应该是复合性人才,不但要掌握一般常用分析工具,还要接受现代管理知识和行业专业知识训练。
三、现代风险导向审计模式在我国的适用性分析
基于上述分析,现代风险导向审计模式是审计发展的一种必然趋势。2003年10月,国际审计与鉴证准则委员会(IAASB)通过了新的审计风险准则;中注协也在2004年10日了修订后的审计风险准则征求意见稿,不仅将使我国的审计风险准则与国际接轨,同时也为提高审计质量、降低审计风险提供了技术支持。审计风险准则一旦正式生效,将引导中国注册会计师实务由传统风险导向审计向现代风险导向审计转变,会对我国的注册会计师审计理念、审计程序及审计责任产生非常大的影响。
然而,目前要在我国推行风险导向审计模式还存在一定的制约条件和需要解决的问题:
(一)会计师事务所审计成本与效益问题
实施风险导向审计模式的前提是成本能得到补偿。现代风险导向审计模式在审计计划阶段和执行控制测试阶段,注册会计师关注的范围扩大,程度加深,导致工作时间和审计成本的增加,在市场竞争激烈的情况下,成本的增加往往不可能过渡到收费的同步增加。此外,还需要一定的投入来培训注册会计师,使他们掌握业务流程和行业知识等有关方面的知识。如果这些成本得不到补偿,就会使一部分中小会计师事务所在竞争中无法生存。
(二)信息系统的建设问题
现代风险导向审计的重要特征是审计重心前移,注册会计师必须首先执行风险评估程序,充分了解客户整体经营环境,然后针对风险不同的客户、客户不同的风险领域,设计个性化的审计程序。因此,会计师事务所必须建立强大的信息系统,以便注册会计师在风险评估时了解企业的战略、流程风险管理、业绩衡量等。而目前国内很多事务所对行业风险和企业经营风险缺乏了解,客户的相关信息不够充分,信息系统的建设还达不到现代风险导向审计的要求,导致风险评估不准确。因此,风险导向审计的运用仅限于老客户,对新客户还是将大量时间用于实质性测试。
(三)审计从业人员素质问题
现代风险导向审计对审计从业人员的业务素质提出了新要求,不仅要具备丰富的审计理论和实践经验,还要具备必需的管理学知识和经济学知识,能够运用系统的、战略的观点充分了解、分析企业所处的宏观经济环境和行业发展状况,对有可能导致企业会计报表错报风险的内外部因素进行客观、系统的分析与评价,将审计视角扩展到内部控制以外,从较高层面上评估风险,而不是仅仅注重企业会计处理的细节。
(四)辅助审计软件的使用与完善问题
现代风险导向审计方法中分析性程序占据非常重要的地位,辅助审计软件的使用在其中发挥着重要的作用。西方发达国家大量运用分析性程序的条件是辅助审计程序的开发和运用,它可以直接对数据库进行加工分析,依据软件模型自行处理数据,使运用分析性测试程序成为节约成本的重要手段。另外,采用审计软件使统计抽样的样本更具代表性,审计抽样风险可控,为风险导向审计提供了技术支持。目前,我国在审计软件的开发和使用上不够理想,还有待提高,而且大部分注册会计师缺少相应的技术准备,在现阶段推行现代风险导向审计方法只能是一种愿望。
如上所述,目前在我国全面推行现代风险导向审计模式还受到许多制约,尽管它有很多优越之处,但在我国还不能够普遍推行。当前我国独立审计准则主要是以制度基础审计模式为基础的,而且相当一部分从事小规模企业审计工作的会计师事务所和注册会计师,基本上仍然在运用账项基础审计模式。但是,现代风险导向审计的实行是一种理念的改变,我们可将制度基础审计与风险导向审计有机结合。即使在现行审计准则仍然主要以制度基础审计模式为基础的情况下,吸取风险导向审计模式的基本观点和做法,则是完全可行的。通过把风险导向审计中控制风险的理念和方法融合到制度基础审计中,使其他审计模式忽略审计风险的缺陷得到弥补,将会为探索适合我国的现代风险导向审计模式积累有益的实践经验。
参考文献:
〔1〕陈毓圭。对风险导向审计方法的由来及其发展的认识〔J〕。会计研究,2004,(2)。
〔2〕常勋,黄京菁。从审计模式的演进看风险导向审计〔J〕。财会通讯,2004,(7)。
【关键词】风险导向审计;特性;问题;建议
一、问题的提出
一百多年来,虽然审计的根本目标没有发生重大变化,但审计环境却发生了很大的变化。注册会计师为了实现审计目标,一直随着审计环境的变化调整着审计方法。审计方法从账项基础审计、制度基础审计发展到风险导向审计,都是注册会计师为了适应审计环境的变化而作出的调整。现代审计实际上始终是围绕着会计师提高效益与降低风险两方面的考虑来发展的。早期的审计所面对的公司账务比较简单,会计师还可以负担详细审计的成本。而随着公司规模的扩张、业务种类的增加、业务性质的日趋复杂,详细审计的时间成本已经变得让会计师无法承担,会计师必须寻找一种在时间成本可以承担的前提下,能够有效控制风险的审计手段。面对控制时间成本和控制审计风险这对看似矛盾的要求,不同的会计师事务所找到了不同的解决方案。有些会计师事务所通过采用以电脑技术为核心的现代收集手段,大幅提高审计现场和后期复核效率,从而保证在审计测试时间不减少的情况下,明显降低审计的总时间成本;有些会计师事务所则提出了围绕重点风险领域加大审计测试,而对风险较低的领域减少甚至不作测试,从而降低审计时间成本。这种思路逐步发展,形成了风险控制导向的审计策略。2007年1月1日起已全面施行的《中国注册会计师执业准则》,标志着我国以风险导向审计为基础并顺应国际趋同大势的中国审计准则体系的确立。
二、风险导向审计内涵辨析:传统与现代之比较
厦门大学吴水澎教授认为,所谓风险导向审计,是指审计人员在审计过程中自始至终都以企业风险分析评估为导向,根据量化的分析水平排定审计项目优先次序,依据风险确定审计范围与重点,对企业的风险管理、内部控制和治理程序进行评价,进而提出建设性意见和建议,协助企业管理风险,实现企业价值增值的审计活动。厦门大学薛祖云教授认为,风险导向审计作为在账项基础审计和制度基础审计上发展起来的一种审计模式,立足于对审计风险进行系统的分析和评价,并以此作为出发点,制定审计策略和与企业状况相适应的多样化审计计划,将风险考虑贯穿于整个审计过程,把审计的指导思想建立在“合理的职业怀疑假设”的基础上。在实践中,这一模式逐渐为世界各国会计师事务所接受和采用。
由此看来,风险导向审计是指注册会计师通过对被审计单位进行风险职业判断,评价被审计单位的风险控制,确定剩余风险,执行追加审计程序,将剩余风险降低到可接受水平。其内在思想是:任何审计业务都必须将审计风险控制在可接受的风险水平内。或者,通过内部控制测试等方法,确定风险最高的环节与部门,以便重点审计。
而传统风险导向审计主要是通过对会计报表固有风险和控制风险的定量评估,从而确定检查风险,进而确定实质性测试的性质、时间和范围。但传统风险导向审计由于对固有风险的判断缺乏指引,因此注册会计师往往简单将其定义为高风险,而将主要精力放在对控制风险的评估上。由于对审计风险公式的僵化运用,对控制风险的评估往往沦为减少实质性测试的工具。
(一)与传统审计方法相比,现代风险导向审计有助于提高审计质量,更适应全球经济发展形势对审计的要求
在市场经济全球化趋势下,企业经营环境越来越复杂和多变,企业管理层舞弊的动机和压力日益增大,会计准则和制度需要企业进行更多的专业估计和判断,传统审计方法的效果不断受到质疑和挑战。在传统风险审计模型下,注册会计师往往不注重从宏观层面上了解企业及其所处的环境,而仅从内部控制层面上评估风险,很难形成对财务报表以及各类交易、账户余额的合理期望。同时,由于注册会计师仅关注与内部控制有关的风险评估,很难发现因企业管理层凌驾于内部控制之上导致的内部控制失效,以及因此引起的重大错报和舞弊行为。而现代风险导向审计要求注册会计师通过各种角度了解企业内部经营风险及与企业经营密切相关的外部风险因素,使注册会计师能全面识别和评估重大错报风险,并据此确定总体审计策略和进一步的审计程序。而且,风险评估程序中包含了对管理层舞弊动机的分析,能帮助注册会计师合理确定财务报表是否存在重大错弊,尤其是管理层舞弊。
(二)现代风险导向审计能更有效地分配审计资源
注册会计师通过运用新审计风险模型识别和评估重大错报风险,作出相应的审计策略,并将识别和评估后的风险与审计程序紧密地联系起来。同时,能据此做到有的放矢,将审计资源恰当地集中到重大错报领域,促进审计资源的有效分配和利用,提高审计效率。
现代风险导向审计的产生可以理解为:审计师需要有一个框架或者模型来帮助其在整个审计过程中对重大错报风险进行主观的评估,也就是帮助其更有效地控制非抽样风险。注册会计师的报告可以有效地说明企业管理当局的受托经济责任,降低会计报表使用人进行决策所面临的信息失真风险。审计目标是证实财务报表的公允性,同时考虑审计风险,将审计风险降低至可接受水平。以评价审计风险为导向性目标并指导审计的全过程,审计风险模式不等于风险导向审计,只有在其运用于审计全过程时,才是风险导向审计。
风险导向审计具有以下特点:
1.风险导向审计提供了一种既能保持审计效果,又能提高审计效率的新思路。首先,它要求评价客户的控制环境,并鉴别会计报表的重要组成项目,考虑会计报表发生重大错报的风险。然后,在此基础上建立审计目标。最后,根据审计目标确定拟实施审计程序的性质、时间和范围。它克服了制度基础审计的明显不足之处——审计资源在低风险和高风险审计领域的分配不当,防止造成低风险审计项目的审计过量和高风险审计领域的审计不足。
2.风险导向审计具有双重披露模式的特点,不仅要确定公允性,还要证实可信性,即被审计单位是否存在影响财务报表使用者分析和决策的重大舞弊和错报。从审计目标看,账项审计模式和制度基础审计的指向均为一元论,即会计报表是否公允地反映了客户所审计期间的财务状况、经营成果和现金流量。
3.风险导向审计方法有利于审计人员全面认识被审计单位。
审计过程是审计人员不断加深对被审计单位财务管理情况的认识过程。审计人员通过调查了解、收集证据,从各个角度逐步验证某项认定,最终合理地保证某项认定是否正确,形成审计意见。审计人员的认识过程是一个逐步深入的过程,风险审计模型合理地体现了这个过程。制度基础审计关于控制风险的评估,意在确定内部控制的信赖程度,从而减少实质性测试的工作量,对固有风险的评估常流于形式。而风险导向审计则将固有风险和控制风险结合考虑,特别是固有风险,通过对企业环境、公司治理结构等方面的评估做出规避、转移、减少、接受和利用的策略,以使审计风险降低至可接受水平。
4.风险导向审计方法有助于合理确定重要性水平。根据审计风险模型可知,在固有风险和控制风险一定的条件下,检查风险和期望的审计风险成正比关系。如果期望的审计风险较低,那么就必须接受较低的检查风险水平,以便扩大实质性测试的样本规模或追加审计程序,收集更多的审计证据。重要性与审计风险成正向关系。重要性与审计证据成反比关系,审计风险与审计证据成反比关系,则重要性与审计风险成正比关系。重要性与审计风险之间的关系要求审计人员在确定重要性水平时,不仅要考虑实际的或评估的审计风险以确保审计质量,也要考虑可接受的审计风险以提高审计效率。
现代风险导向审计是审计发展的必然趋势。科学地运用风险导向审计就是指在对企业环境和经营活动进行全面分析的基础上,制定审计策略,运用审计风险模型,积极而有效地采用分析性审计程序,以规避风险,提高审计效率。风险导向审计模式在具体运用过程中,具有很多与传统审计模式不同的特性,这些特性必将对完善我国审计技术方法起到积极的作用。
三、风险导向审计问题分析
按照国际内部审计师协会的建议,我国于2002年1月1日开始实施的《内部审计实务标准》将企业的内部审计工作推向了风险审计的轨道。这一系统性的改变,必将使内部审计更好地发挥作用,以满足企业经营管理的需要。我国内部审计准则的基本准则和具体准则也充分考虑了这一新动向。2004年,我国内部审计协会了《内部审计具体准则第16号——风险管理审计》的征求意见稿,对内部审计在风险管理中的应用进行了探讨。
2005年,我国内部审计协会第三批内部审计具体准则,将风险管理审计纳入内部审计准则体系中,并要求于2005年5月1日起施行。从该批准则的和实施中,足见我国的内部审计已发展到了风险导向阶段。由于我国风险导向审计尚处于起步阶段,无论是理论界还是实务界,均开始对其进行关注和探索,但尚未成熟;企业往往是按照法律法规的要求被动地进行这项工作,并非出于企业自身考虑主动进行,而且企业的这种风险管理活动往往只是采取“亡羊补牢”式的风险应对措施,显现出我国风险管理体系尚不完善;单一的内部审计人员结构导致内部审计范围过窄,审计效率低下,且难以实现对企业风险的管理、控制和治理过程,难以进行全面、综合的评价;风险管理缺乏成熟的理论指导,而落后的风险管理方法直接导致企业不能恰当地预测风险、识别风险、评估风险和应对风险,进而影响到企业目标的顺利实现;审计人员对风险管理还不甚了解,缺乏风险管理意识,尚未认识到风险管理的重要性,使审计未能在风险管理中充分发挥作用。
(一)成本与效益配比性差
会计师事务所执行风险导向审计模式后,普遍增加了审计工作量和审计成本,但审计收费却没有得到同步增加。新的审计模式扩大了注册会计师关注的范围,注册会计师在审计计划阶段和执行控制测试阶段均不同程度上增加了工作量,审计成本不可避免地有所增加。但由于现实市场竞争的激烈和行业环境的限制,实际情况是该部分成本无法转为审计收费的同步增加。
(二)识别和评估重大错报风险的程序流于形式,无法鉴别出风险点
注册会计师在识别和评估重大错报风险的过程中,由于审计人员经验不足和时间紧迫,以及会计师事务所在行业数据库建设、各种统计数据和分析报告收集方面的欠缺,导致该评估程序的执行缺乏目的性,存在为了完成审计程序而完成的现象。
(三)识别的重大错报风险无法与实质性程序相联系
由于没有建立一套科学的审计模型和规程,注册会计师在设计实质性程序时,很大部分没有确立审计目标与认定的对应关系表,没有针对评估的认定层次及重大错报风险,按照既定的审计模型和规程来设计控制测试的性质、时间和范围,在设计细节性测试时亦没有考虑样本量及选样方法的有效性。
(四)面对舞弊导致的重大错报风险程序缺乏针对性和有效性
注册会计师在实施评估和识别舞弊导致的重大错报风险程序时,很少有从舞弊的动机和压力、机会和借口入手进行评估,亦没有重点关注最容易发生舞弊的几个方面。在无法识别舞弊导致的重大错报风险的情况下,更谈不上有应对舞弊导致的重大错报风险的措施。
(五)审计发现的内控弱点可能产生的错报风险没有进行重新评估
在检查过程中,发现有部分事务所在实施控制测试中发现了一些内控弱点的情况下,没有就该内控弱点可能产生的错报风险进行重新评估。由于这些程序执行的不到位,导致本来需要特别考虑的重大错报风险没有得到充分的关注。
(六)控制测试形式化,导致无法鉴别内控弱点
在实施控制测试过程中,注册会计师大部分没有书面记录针对了解的被审计单位内部控制情况而确定的控制测试审计策略,控制测试程序在识别特征的记录、样本量的选取和测试的方法上均存在一定程度的不完善,未能就控制在相关期间或时点的运行有效性获取充分、适当的审计证据。
四、对策研究
(一)借鉴国际经验,积极开展风险导向审计准则和方法的研究
国际审计与鉴证准则委员会通过修订审计风险模型,强调从宏观上了解被审计单位及其环境。国际内部审计协会的《内部审计实务标准》,内容较为全面,自始至终都贯穿着风险审计的主导思想,可资借鉴。因此,在引入风险导向审计之前,会计师事务所的专业标准部或专业技术部首先应对新准则中风险导向准则的内容进行细致、深入的研究,制订符合准则且操作性强的风险导向审计程序,开发能正确引导注册会计师执行和判断的风险评估技术和方法。
(二)加强风险导向审计的信息系统建设,逐步建立客户分类服务体系
会计师事务所可考虑建立与客户内外经营环境尤其是与行业相关的信息数据库,为注册会计师进行被审计单位的风险评估提供及时、必要的信息,减少其收集相关信息的时间成本。同时,风险导向审计中需要实施大量分析性测试程序,事务所可开发便于各种数据加工、分析的软件,注册会计师可利用软件对数据进行快速检验、核对、计算和比较,提高审计效率。在现代风险导向审计准则下,对客户的外部环境和内部因素的分析与风险判断需要注册会计师对客户所在行业和性质有充分了解,行业分类服务越来越成为必要。随着事务所规模的不断扩大,加上现代风险导向审计带来更高的专业化要求,事务所应逐步建立客户分类服务体系,通过对客户行业和业务性质的划分,配备具有相关行业经验及同类项目经验的小组成员,并在事务所层面统一调配人力资源,为现代风险导向审计质量提供有力的保障。
(三)利用客户持续跟踪制度降低风险
在新审计准则实施以前,国内大部分会计师事务所对审计业务的实施往往仅集中在审计报告出具之前的一到三个月,审计业务一结束,即很少继续关注客户及其环境的变化,直到下一次审计业务开始。在新准则风险导向审计方法下,重大错报风险的评估工作均需在审计期间完成,时间和人员方面的压力通常会影响风险导向审计的质量。因此,会计师事务所必须在一次审计业务结束后持续跟踪了解客户所在行业和经营形势的变化,与管理层建立坦诚的日常沟通和联系,及时防范风险。对特别复杂的审计项目,最好在一次审计业务结束后即开始下一次连续审计的预审,其作用不言而喻。
(四)改进审计人员的专业知识结构,培养审计人员的职业素养,提高职业判断力
现有审计人员专业结构不合理,基本上都是财会专业,在经营管理方面有所欠缺,无法适应现代审计发展的要求。应结合企业生产技术的特点,增加具备经济学和企业管理学知识的专家以及其他专业人员,包括项目控制专家、风险管理专家、公司治理专家和信息系统专家,以组成有各方面综合能力的审计项目组,逐步改善审计队伍的专业结构,使审计人员的专业结构趋向合理。在现代风险导向审计程序下,注册会计师不仅应具备足够的会计审计知识,还需具备被审计单位行业状况、法律与监管环境、财务业绩的衡量和评价、经营目标和战略及其相关经营风险和内部控制等方面的知识结构。因此,必须对员工现有的知识体系进行全面提升和拓展。
(五)加强注册会计师的职业道德教育
风险导向审计准则在很多方面都需要注册会计师的专业判断。注册会计师除了具备判断所需的专业知识外,其是否在执业过程中坚持勤勉尽责、保持合理的职业怀疑态度和应有的关注,对风险导向审计的效果至关重要。会计师事务所应加强对注册会计师的职业道德教育,要求注册会计师坚持职业道德规范,维护社会公众利益。
(六)会计师事务所应建立审计资料库,尽可能地借助专家的工作
国际“四大”会计师事务所都有较完善的资料库,并聘有很多行业专家。在了解客户控制环境时,审计人员可以很方便地查找相应的资料,以判断客户经营情况是否合理;在缺乏相关资料的情况下,则较多地利用专家的工作。而我国会计师事务所目前普遍缺乏资料库,审计人员无法判断企业经营的合理性,以致于中天勤的审计人员无法判断银广厦的二氧化碳项目的利润情况。而且,我国准则中虽然规定了利用专家的工作,但审计实务却很少采用。因此,我国会计师事务所应尽快建立自己的资料库,并在需要时利用专家的工作。
(七)继续推行法律体系的演进与变革,完善准则体系
必须建立起一套完备、健全的法律规范体系,法令的制度与配合必然更能带动一种新方法的运作和发展,对于风险导向审计也是如此。因此,完善我国现有的法律制度环境,是推行风险导向审计的必要前提。
五、结语
现代风险导向审计符合现代审计目标多样化的要求,缩小了审计期望差距,突破了会计信息系统的局限,风险导向的思想体现了审计活动目的与手段的统一,制度层面与技术层面的统一。从西方发达国家审计职业的发展规律看,经济发展要求审计职业同步发展。审计会促进经济的发展,经济发达的地区,势必对审计业务需求旺盛,因而注册会计师的经济与法律责任随之增加,职业风险加大,客观上有开展风险导向审计的基础。市场经济和经济全球化趋势使企业的经营环境越来越难以预测,面临的不确定性与多变性大为增加,经营风险相应增大。市场经济的高度不确定性使人们对审计的期望值不断提高,而风险导向审计正好适应了公众对审计期望值不断提高的要求。风险导向审计在我国仍处于起步阶段,风险管理又迫切需要内部审计的参与,因此,完善我国内部审计、积极推进内部审计在风险管理中的应用,已成为我国内部审计发展的重要课题。
【主要参考文献】
[1]吴水澎,陈汉文,邵贤弟.论改进我国企业内部控制——由“亚细亚”失败引发的思考[J].会计研究,2000,(9).
[2]薛祖云.会计信息市场与信息管制[M].广州:暨南大学出版社,2002.
[3]陈少华.内部会计控制[M].厦门:厦门大学出版社,2004.
[4]王光远.制度基础审计学:审计测试、审计风险、审计决策[M].湖北科学技术出版社,1992.
[5]陈汉文.审计[M].厦门:厦门大学出版社,2004.
[6]刘金星.我国经济责任审计问题评析与对策研究[J].中国审计,2007,(8).
[7]陈毓圭.对风险导向审计方法的由来及其发展的认识[J].会计研究,2004,(2).
[8]刘峰,许菲.风险导向型审计·法律风险·审计质量——兼论“五大”在我国审计市场的行为[J].会计研究,2002,(2).
[9]张连起.风险导向审计:避免审计失败的利器——兼评“银广厦”事件[J].中国注册会计师,2001,(10).
[10]谢荣.现代风险导向审计基本内涵分析[J].审计研究,2004,(5).
[11]中国内部审计协会.内部审计理论与实务[M].北京:中国石化出版社,2004.
[12]严晖.风险导向内部审计:背景分析与框架建构[J].财会通讯(学术版),2004,(6).
[13]罗伯特·莫勒尔,布林克.现代内部审计学[M].北京:中国时代出版社,2006.
[14]张龙平.更新审计执业理念推行风险导向审计[J].中国注册会计师,2006,(3).
[15]秦荣生.审计风险与风险导向审计[J].当代财经,2003,(7).
[16]陈锦烽,苏淑美.内部审计新纪元[M].大连:大连出版社,2006.
[17]柴童,黄国成.风险导向审计及在我国的运用[N].中国财经报,2007-8-10.
论文摘要:本篇论文通过回顾西方先进的风险管理理念、理论、方法、技术以及国内部分学者关于风险管理的研究成果,以COSO2004年9月制定的《企业风险管理—整合框架》为理论基础,以中国某集团为案例研究对象,运用内部审计方法和程序对某集团风险管理八要素进行审计分析和评价,对风险管理理论如何在集团企业实践运用进行了探索和研究,提出企业应逐步建立风险管理系统,为企业在市场经济的大潮中保驾护航。
企业从无到有、从小到大的发展过程,如同人的成长要经历幼年、青年、中年、老年等阶段一样,也要经历不同的阶段。在每一阶段上都具有不同的特征和遇到不同的困难。随着现代社会的发展,经济环境变得瞬息万变,市场竞争越来越激烈。与此同时,企业需要面对的问题越来越多,面临的风险也越来越大,这样就迫使企业必须花费更多的精力对付各种风险。
在市场经济中有许多失败的企业,他们的失败各有其因,但也有一些共同的原因,那就是不重视风险管理,对风险的控制力非常弱。本文研究的问题是面对永远在变化着的社会环境和经济环境,企业如何运用内部审计的理论、方法、程序分析自身风险管理现状,找出问题和不足,提出改进措施和建议,运用先进的风险管理理论对动态变化的风险进行管理,从而实现目标,使企业能够长期生存发展。
风险管理理论发展至今,不同的学科、不同的专业机构、团体、研究学者有不同的认识和理解,于是产生了不同的理论派别。本文的理论框架主要来源于美国COSO委员会2004年9月制定的《企业风险管理——整合框架》、国际内部审计师协会2004年1月修订的《内部审计实务标准-专业实务框架》。
一、公司简介
某集团有限公司是中国最大的肉制品生产企业之一,其产品包括冷鲜肉、冷冻肉、以及以猪肉为主的低温肉制品、高温肉制品。集团总部设于中国江苏省南京市,拥有多处冷鲜肉、冷冻肉生产基地及深加工肉制品生产基地。集团拥有最先进的生产设备和工艺技术,以其独有的技术方法,研制出一系列符合消费者口味的优质产品。基于肉制品业务的经验,集团于1997年开展冷鲜肉和冷冻肉业务。2002、2003年,冷鲜肉、冷冻肉的市场占有率分别位列中国大陆第二名、第三名。低温肉制品,自2002年至2004年,其市场占有率连续三年位居中国大型零售商销售首位。
二、公司风险管理要素审计评价程序及结论
尽管某集团在香港联合交易所主板上市,但其实质还是一家中国民营企业,其并没有建立专门的风险管理组织机构、人员、系统,公司风险管理处于“凭感觉进行风险管理”的阶段,只是由管理层根据调查分析、经验总结,识别、列出公司面临的四大类十三种主要风险,并制定了一些防范措施。公司审计部作为监督检查部门,每年至少两次从集团层面对风险管理进行整体评价,并在每季度对分、子公司执行例行审计过程中,重点关注风险管理状况。以下试从集团公司层面,以《COSO风险管理——整合框架》(以下简称COSO框架)中所列八要素为线索对公司风险管理进行分析、设计审计评价程序、提出审计评价结论。
(一)内部环境
1.理论描述。内部环境包含组织的基调,它影响组织中人员的风险意识,是企业风险管理所有其他构成要素的基础,为其他要素提供约束和结构。
2.审计评价程序。
(1)设计风险相关文化调查表对风险管理的内部环境进行调查;
(2)审查公司经营决策、管理方针政策、规章制度、行为准则等是否反映了公司的风险管理理念、诚信和道德价值观。
3.审计评价结论。公司的风险管理理念属于风险偏好型,提倡抓住机会,大胆开拓。但对风险管理理念没有一个书面的说明性的陈述,这些理念存在于董事会及高级管理层的头脑中,通过收购决策、政策、行为准则、各种规章制度反映出来并加以强化。
(二)目标设定
1.理论描述。设定战略层次的目标,为经营、报告和合规目标奠定了基础。每一个主体都面临来自外部和内部的一系列风险,确定目标是有效的事项识别、风险评估和风险应对的前提。
2.审计评价程序。
(1)获取管理层对目标的书面陈述;
(2)通过访谈、询问,获取公司员工对公司目标的知晓、理解程度的信息;
(3)通过查阅管理层的述职报告,获取目标实现进展情况的信息。
3.审计评价结论。公司管理层对风险管理目标没有明确的书面陈述,公司员工对公司的目标知之甚少,经审计调查总结,目标如下:
战略目标:创中国第一肉食品品牌;
经营目标:顾客满意最大化,品牌价值最大化;
报告目标:财务报告真实、完整,符合《上市规则》要求;
合规目标:遵循国家、行业、企业的法律、法规、制度。
(三)事项识别
1.理论描述。管理当局识别将会对主体产生影响的潜在事项——如果存在的话,并确定它们是否代表机会,或者是否会对主体成功地实施战略和实现目标的能力产生负面影响。带来负面影响的事项代表风险,它要求管理当局予以评估和应对。
2.审计评价程序。
(1)查阅行业有关资料,询问、访谈高层、中层、一般职工,审查风险识别是否充分、全面;
(2)审查风险识别过程资料,判断是否根据内外部环境的变化定期进行修正。
3.审计评价结论。公司管理层根据调查分析、经验总结,识别、列出公司面临的四大类(行业风险,业务风险,财务风险,合规风险)十三种主要风险:
(1)爆发动物疫情;
(2)突然而来的业务干扰;
(3)消费者口味及喜好的变化;
(4)产品质量出现问题而导致对人身的伤害;
(5)原材料价格波动;
(6)产品未能迎合市场需求;
(7)主要管理层的流失;
(8)其他实体误用、盗用本公司商号(商标);
(9)资金安全管理;
(10)资产安全管理;
(11)会计系统故障;
(12)违反《上市规则》;
(13)违反食品管理、环保法规有关法律规定。
经审计调查,公司管理层对风险识别较为充分,且计划每年分两次(期中和期末)对公司面临的风险进行全面的核查,若发现风险变化,即使进行调整,但未能严格实施。而对于机会,管理层没有进行专门识别。
(四)风险评估
1.理论描述。风险评估使主体能够考虑潜在事项影响目标实现的程度。管理当局从两个角度——可能性和影响——对事项进行评估,并且通常采用定性和定量相结合的方法。
2.审计评价程序。获取管理层对风险进行定性评估的资料,评价其评估的合理准确性以及是否根据内外部环境的变化进行动态修正。3.审计评价结论。公司管理层对识别出来的十三种风险根据多年的从业经验和过去的风险发生的记录进行了定性的评估,由于缺乏相关的人才、技术、资料,尚未对风险进行过定量分析。公司管理层计划每年分两次(期中和期末)对公司面临的风险进行全面的核查和平谷,若发现风险变化,及使进行调整修正,但未能严格实施。
(五)风险应对
1.理论描述。在评估了相关的风险之后,管理当局就要确定如何应对。应对包括风险回避、降低、分担和承受。在考虑应对的过程中,管理当局评估对风险的可能性和影响的效果,以及成本效益,选择能够使剩余风险处于期望的风险容限以内的应对。
2.审计评价程序。通过访谈、询问,了解管理层采取的风险应对策略及理由,评价其合理性。
3.审计评价结论。公司管理层对识别出来的重要风险制定了相应的防范措施,从风险应对的角度看多为预防性措施,以降低风险发生的可能性,而没有采取购买保险等风险分担措施。
(六)控制活动
1.理论描述。控制活动是帮助确保管理当局的风险应对得以实施的政策和程序。控制活动的发生贯穿于整个组织,遍及各个层级和各个职能机构。它们包括一系列不同的活动,例如批准、授权、验证、调节、经营业绩评价、资产安全以及职责分离。
2.十三种风险审计评价程序。公司管理层针对识别出来的十三种风险,制定了防范措施,审计部门相应地制订了审计评价程序。
3.审计评价结论。经审计调查,公司管理层对于风险管理的控制活动要素较为重视,制定的风险防范措施较为全面、严密、可操作,大部分得到了严格有效执行,但也有部分单位未能严格执行风险防范措施。
(七)信息与沟通
1.理论描述。有关的信息以保证人们能履行其职责的形式和时机予以识别、获取和沟通。信息系统利用内部生成的数据和来自外部渠道的信息,以便为管理风险和作出与目标相关的知情的决策提供信息。有效的沟通会出现在组织中向下、平行和向上的流动。
2.审计评价程序。
(1)走访公司IT部和公司内部报刊编辑部,了解评价公司的信息系统的建设和运转情况。
(2)访问公司网站,观察其运转情况;
(3)使用公司的局域网、内部电话网,阅读公司内部报刊,评价其运转情况和功效发挥情况。
3.审计评价结论。公司设立了IT部,建立了较为完备、先进的信息管理系统,通过因特网、内部局域网、内部电话网、内部报刊等手段将信息以文字、声音、图片等形式进行传递,并制定各种级别的会议制度进行面对面的信息沟通。但没有建立专门的风险信息生成及传递通道。
(八)监控
1.理论描述。对企业风险管理进行监控——随时对其构成要素的存在和运行进行评估。这些是通过持续的监控活动、个别评价或者两者相结合来完成的。持续监控发生在管理活动的正常进程中。
2.审计评价程序。
(1)审查内部定期(每天、每周、每月)上报的管理报表(报告),评价风险管理日常监控职能发挥情况;
(2)审查内部审计部门的审计计划、风险管理审计报告,评价其监控职能的发挥情况。
3.审计评价结论。公司管理层通过例行的控制活动、信息报告反馈系统对经营管理状况进行日常的监控;通过内部审计部门对公司所控制的所有单位、项目进行例行审计,报告中时常反映一些被审单位风险管理状况的信息,对风险管理的监控较为及时,但对公司总部层面的风险监控较为薄弱。
三、结语
企业要想在市场经济的大潮中基业长青,必须对面临的各种风险进行系统地、全面地管理,这已是不争的事实。借鉴西方先进的风险管理理念、理论、方法、工具,结合本企业具体实际情况,对内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控八个风险管理要素逐一进行分析和评价,查找问题和不足,对风险管理文化、风险管理组织体系、风险识别、评估、排序、风险管理策略与方法、风险管理监控与检查、风险管理沟通与咨询等关键的风险管理流程采取措施不断完善,逐步建立企业风险管理系统,是解决风险管理问题的最佳实务。企业应当增强风险意识,逐步建立险管理系统,为企业保驾护航,这样企业才能在市场经济的大海中劈波斩浪,远航。
参考文献:
[1]王晓霞,《企业风险审计》,第一版,中国时代经济出版社,2005。
关键词:内部审计;风险管理框架;应用
中图分类号:F239文献标识码:A文章编号:1672-3198(2009)03-0237-02
1引言
2004年美国反虚假财务报告委员会(COSO)颁布了《企业风险管理——总体框架》中,企业风险管理的定义是,由董事会和管理层在制定战略及在整个企业中实施的、用于识别可能影响组织的潜在事件并根据风险偏好管理风险,为组织实现目标提供合理保证的过程。它强调企业风险管理和内部控制体系整合,使二者共同成为公司治理的强大工具。内部控制体系中核心环节之一的内部审计承担了监督、评价、检查、报告和改进等任务,是企业风险管理不可或缺的组成部分。
2004年国际内部审计师协会(IIA)内部审计的定义将风险管理和内部控制、公司治理列为内部审计的工作对象,明确要求内部审计参与风险管理和公司治理过程,IIA《标准》确定了风险审计的方向。
2风险管理框架下风险导向审计的应用前提
在风险管理框架下,要发挥风险导向审计的作用,必须以风险管理为基础,改变审计思路,改进审计流程和方法。
2.1以风险管理框架为理论框架
COSO提出的ERM框架首先增加了战略目标,将企业风险的关注点引向战略问题;其次,在内部控制五要素(内控环境、风险评估、内控活动、信息与沟通、监督)的基础上增加了目标设定、事件识别和风险评估三个要素,与原来的风险评估要素构成了一个完整的风险管理过程;最后,还强调风险管理覆盖所有层次,包括业务单元、子公司、分支机构和公司的整体层次等内部控制的全部领域。可见,ERM是一个整合公司治理和内部控制的框架,它关注包括公司治理领域和内部控制环节的一切风险。
IIA通过修改内部审计定义加速了它的发展并使其成为现代内部审计发展的趋势。它是传统审计的发展,赋予为企业的风险管理提供保证的重要任务,因此,应该让内部审计和风险管理框架直接联系,实现协同效应。IIA《标准》对风险审计的规范和指导,极力倡导内部审计在企业风险管理框架中发挥不可替代的重要作用,即内部审计要在风险环境分析、风险事件识别、风险评估、风险反应和控制、风险信息沟通和管理系统监控环节中发挥重要作用。
2.2以风险管理目标为审计过程的行动指引
全球化、技术更新、资本重组、变化的市场、竞争和管制等因素使企业经营面临着很多不确定性,现代企业管理的战略目标是增加企业价值,同时承受相应的风险。不确定性是对价值的破坏或增进,风险与机会并存,管理层把机会反馈到战略或目标制订过程中,以便把握住适合的机会。
COSO对企业风险管理定下四大目标:战略目标——高层次目标,与使命相关联并支撑其使命;经营目标——有效和高效率地利用其资源;报告目标——报告的可靠性;合规目标——符合适用的法律和法规。在这些目标指引下,风险管理过程就是要合理保证管理层及时了解企业实现目标的程度。依据IIA对内部审计的定义,风险导向审计的总目标是对企业所面临的风险进行管理,对内部控制和治理过程进行评估,将评估的结果反馈给管理层,从而帮助企业实现目标。其目标基本一致。
COSO风险管理框架扩展了风险管理的广度和深度,提高了企业管理层控制风险的地位,也提高了风险评估在企业经营中的地位,企业目标分为经营效果和效率、财务报告可靠性和法律法规的遵守程度,内部控制目标提升到企业战略的层次。风险导向审计对企业风险的监控是指对风险管理要素的内容和运行及一段时期内执行质量的评估,要求在企业风险控制监督过程中取得实效,广泛收集有关经营决策和风险状况的信息,评估各个待审计项目的风险,进而确定审计风险控制策略。风险导向审计的焦点体现在分析、确认和解释关键性的经营风险,使审计和企业风险管理策略紧密联系。
2.3采用新型的审计思路
传统的内部审计沿袭“自下而上”、“由点到面”的审计思路,风险导向审计则要求审计人员对企业的战略管理进行分析,对企业风险做出合理的专业判断,运用“自上而下”的思路,确定审计的范围、重点、审计目标和相关审计程序,通过实质性测试的结果,结合重要性判断来判断整个企业的风险并最终形成审计意见。
2.4以企业战略为审计起点
企业经营战略指导企业未来的发展方向,内部审计要把握好企业战略和长远规划,才能充分发挥其服务职能,从战略分析入手,按照“战略分析——经营环节分析——剩余风险分析”的思路展开风险分析,确定实质性审计程序的性质、时间和范围。它使得审计人员从战略系统观角度对企业保持和加强风险管理体系的竞争优势进行分析评价,指导审计重点、范围、目标和程序,从系统上改进了审计方法,以适应新经济环境的要求。
2.5以风险识别为审计主线
风险导向审计以风险识别为起点,通过事前分析评估,提出应对风险的方案并辅之事后总结,完善风险管理制度,并检查风险控制的有效性,及时揭示和报告潜在风险,提出防范措施和改进建议。
所谓风险识别是指在风险发生前,运用各种方法系统地、连续地发现风险的过程,了解企业存在的各种风险因素及其可能带来的后果,将风险识别运用到审计中,审计人员可以针对不同的风险程度采取不同的实质性测试程序和相应的风险控制措施。风险识别方法有很多,如环境分析法、财务报表法、流程图法、情景分析法、决策分析法、动态分析法、头脑风暴法等,多种方法可在风险识别过程中结合运用。
2.6以风险评估为控制手段
在风险管理框架下,内部审计的一个重要职能是协助建立和完善企业风险管理制度,对执行情况的有效性进行检查,及时揭示和报告潜在风险,提出防范措施和改进意见,因此风险评估是风险导向审计的重要手段。它有利于帮我们确定合理的审计程序,揭示被审计单位财务、经营等方面风险,并重点考虑形成这些财务数据的业务经营及其他影响因素等方面,搜集充分、适当的审计证据。非财务因素如企业的战略优势在哪里,未来发展前景如何,管理方式与经营理念是否合理,主要竞争对手是谁,重要客户是谁,人力资源素质怎么样,面临的法律监管环境如何及内部控制制度等。
风险评估的核心是分析性复核的运用。所谓分析性复核,就是以财务资料与非财务资料之间的表面关系或可预测的关系,评估财务信息的合理性,分析被审计单位的重要比率,包括这些比率异动及与预期数的差异,目的是评价业务的总体合理性。在多元因素评估过程中,还要将现代管理方法运用到分析性程序中去,使风险因素不再独立,常用的分析方法有:战略分析、绩效分析、财务分析、会计分析及前景分析等。
3风险管理框架下内部风险导向审计的应用过程
风险管理是一个动态过程,风险管理框架下的内部审计也是一个动态过程,且贯穿于企业管理全过程。
3.1理解风险管理是一个动态过程
COSO对风险管理的定义是“风险管理是一个过程,它由一个主体的董事会、管理当局和其他人员实施,应用于战略制订并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体目标的实现提供合理保证”。从定义可以看出,风险管理渗透于企业经营活动全过程且反复相互影响,风险管理机制的运作是一个动态管理的过程,与经营管理活动交互存在。我们看到,风险和机会有时会互换,也是动态过程,如果把握不好,机会将变为风险,如果控制及时,风险也会转化为机会。风险管理就是帮助管理层有效处理不确定性,规避风险、把握机会,提高企业创造价值的能力,这也决定了风险管理是个动态过程。
风险管理要素由内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通以及监控等八个相互关联的要素构成。这些要素来源于企业经营方式,各个要素之间相互影响、互相作用。例如,风险评估促进风险应对,并影响控制活动,突出信息和沟通的重要性。因此,风险管理是多方向且反复的过程,不同要素之间相互影响。
3.2风险导向审计贯穿于企业管理全过程
风险导向审计最终目的是为了完善公司治理,协助管理层应对风险、把握机遇,提升企业价值。它以风险为出发点,由传统的事后评价变为全过程的动态反应,为管理层提供及时有用的信息,为公司治理相关措施的有用性给予反馈,并提出建议。所以,风险导向审计是将各项管理经营活动整合成一个完整、相互约束和自我改善的体系。它运用立体观察的理论来判断影响企业经营风险的各种因素,从企业所处的行业状况、监管环境、经营目标、战略规划到经营方式、业务流程等内外部各个方面来评估企业的风险水平,把经营风险植入到本身的风险评价中去,并贯穿于内部审计的全过程。
我国学者黄园园提出,企业管理活动可以划分为战略管理、管理控制和作业活动三个层面,风险导向审计贯穿于企业管理的全过程,内部审计通过作业活动层面的风险导向审计和自我控制评价了解企业风险状况和管理薄弱环节,进而向战略管理层或管理控制层提出管理建议,在战略层做出决策后向管理控制层或作业活动层提供管理咨询,并在获得授权的情况下协调作业活动层的改进工作。
3.3风险导向审计在不同风险管理水平的作用过程
风险导向内部审计与传统内部审计的区别在于其遵循的逻辑顺序是“目标风险控制”,同时根据企业风险评估调整审计战略,确定审计重点,紧密关注高风险的领域,以提供更相关、更符合管理层和董事会需求的确证信息。
在不同风险管理水平下,风险导向审计所发挥的作用不同(如表1)。在风险暴露阶段,内部审计建立在审计风险评估的基础上,采用风险管理方法;在风险察觉阶段,内部审计建立在审计风险评估基础上,协助建立企业范围的风险管理方法;在风险确认阶段,内部审计使用管理层的风险评估结果,促进风险管理的战略和政策的实施;在风险管理阶段,内部审计建立在管理层的风险评估基础上,对风险管理过程进行审计;在风险管理融合阶段,内部审计建立在管理层的风险评估基础上,对风险管理过程进行审计。
当然,在不同风险阶段,企业风险管理水平是不断发展和变化的,在这种逻辑思路下,风险导向审计模式应根据不同的风险水平不断调整审计目标和重点,发挥不同的职能作用。
4结论与建议
4.1结论
在风险管理框架下风险导向审计的功能得到有效拓展,在促进风险管理、内部控制和公司治理方面都发挥了重要作用,成为企业风险管理体系的重要组成部分。因此,风险导向审计贯穿于企业管理全过程,必须突破传统观念,以企业风险管理框架为理论依据,改进审计流程和方法,与风险管理机制相融合,其审计模式在不同风险管理水平下应随之相应调整。
4.2建议
我国内部审计起步较晚,无论在理论研究还是实际应用,与西方内部审计存在较大差距。随着我国市场经济体制逐步完善和世界经济一体化,我国企业与西方企业面临着同样经营环境和风险,内部审计作为企业风险管理体系的重要环节,必将面临严峻的挑战。我们可以从以下三方面着手准备,为全面推广风险导向审计提供基础。
一、重要性与审计证据之间的关系
重要性是审计中的一个重要概念。我国《独立审计具体准则第10号————审计重要性》对重要性的定义是:“被审计单位会计报表中错报或漏报的严重程度,这一程度在特定环境下可能影响会计报表使用者的判断或决策。”可见,重要性实质上强调的是错报与漏报的“程度”,而且这一“程度”是从会计报表使用者的角度来考虑的。如果会计报表中存在的错报或漏报能够使会计报表使用者改变其原有的决策,则这种错报或漏报就是重要的;反之,则是不重要的。实际上,重要性可以解释为可容忍错报或漏报的最高界限,超过这个界限的错、漏报是不能容忍的,而低于这一界限的错、漏报是可以接受的。
审计过程中必须运用重要性原则,其运用的情形有二:一是在编制审计计划时对重要性的水平做出初步评估,以确定拟执行审计程序的性质、时间和范围,借以提高审计效率;二是在评价审计结果时,对重要性进行判断,以确定已执行的审计程序是否充分,借以保证审计质量。就第一种情形来看,审计人员之所以要对重要性水平做出初步判断,其目的就是要确定审计证据的数量,因为重要性是影响审计证据充分性的一个十分重要的因素。由于重要性是一种可容忍错报或漏报的最高界限,因此,如果重要性水平定得越低,说明可容忍的错报或漏报程度越小,就要求执行越充分的审计程序,从而获取越多的审计证据;反之,如果重要性水平定得越高,说明可容忍的错报或漏报程度越大,则可执行有限的审计程序,从而所需要的审计证据就可以少些。
例如,为合理保证应收账款账户的错报或漏报不超过l万元所需收集的审计证据,比为了合理保证该账户错报或漏报不超过2万元所需收集的审计证据要多。由此可见,重要性与审计证据之间成反向关系。
二、重要性与审计风险之间的关系
《独立审计准则第9号——内部控制与审计风险》将审计风险定义为:“审计风险是指会计报表存在重大错报或漏报,而注册会计师审计后发表不恰当审计意见的可能性”。可见,审计风险实质上强调的是会计报表中未被查出的重大错报或漏报对审计意见的影响,由于审计测试和内部控制的固有限制,审计人员不可能将所审计报表中所有的错报或漏报都审查出来,所以审计风险始终存在,但审计人员在审计测试过程中,又总是希望通过执行合理必要的审计程序,尽可能将审计风险降低至可接受的水平,同时提高审计工作的效率,这就需要充分考虑重要性与审计风险二者之间的关系。
在审计中,重要性与审计风险之间成相互作用的反向关系。首先,重要性水平越高,审计风险就越低;重要性水平越低,审计风险就越高。重要性是决定审计风险水平高低的关键因素,审计人员对重要性水平的判断直接影响审计风险水平的确定。如果审计人员确定的重要性水平较低,则审计风险就会增加;所以审计人员必须通过执行有关审计程序来降低审计风险。这里,重要性水平指的是金额的大小,而且是从会计报表使用者的角度来判断的。比如,一般来说4万元的重要性水平比2万元的重要性水平高,如果重要性水平是4万元,则意味着低于4万元的错报与漏报不会影响到会计报表使用者的判断与决策,审计人员仅仅需要通过执行有关审计程序查出高于4万元的错报或漏报。如果重要性水平是2万元,则意味着金额在2万元到4万元之间的错报或漏报仍然会影响到会计报表使用者的决策与判断,审计人员不仅需要执行有关审计程序查出金额在4万元以上的错报或漏报,而且还要通过执行有关审计程序查出金额在2万元至4万元之间的错报或漏报。可见,重要性水平是4万元的审计风险比重要性水平是2万元的审计风险低。其次,在一定程度上,审计风险水平的高低又反作用于重要性水平。审计人员在对重要性水平进行初步判断时,应当考虑审计风险这一因素。《独立审计准则第10号——审计重要性》第ll条就指出了审计人员对重要性水平做出初步判断时,应当综合考虑的重要因素,其中第3款就是考虑“内部控制与审计风险评估的结果”,如果内部控制越差,评估的审计风险越高,确定的重要性水平就应越低;反之,如果内部控制行之有效,审计风险综合评估水平较低,则重要性水平可以确定得高一些。
由于重要性与审计风险之间存在相互作用的反向关系,所以重要性水平的高低直接影响审计人员对其将要执行的审计程序的确定,进而影响审计工作效率和所面临的审计风险。如前例,如果原本是4万元的错报或漏报才会影响到会计报表使用者的决策,而审计人员将重要性水平评估为2万元,显然,重要性水平偏低,这样会使审计人员误认为审计风险较高,为了降低较高的审计风险,就会扩大审计程序的范围或追加审计程序,而实际上没有必要,只能是浪费时间和人力,降低了审计效率。相反,如果原本2万元的错报或漏报就会影响到会计报表使用者的判断或决策,而审计人员却将重要性水平确定为4万元,重要性水平偏高,这样会使审计人员误认为审计风险较低,所执行的审计程序要比原本应当执行的审计程序少,审计范围小,收集的审计证据不充分,必然导致错误的审计结论,其结果是审计人员承受的审计风险增加。由此可见,重要性水平与审计风险之间成反向关系,这种关系对审计人员将要执行的审计程序的时间、性质、范围有着直接影响,审计人员应当保持应有的职业谨慎,综合考虑各种因素,合理确定重要性水平。
三、审计风险与审计证据之间的关系
