審計中的風險評估范文

時間:2023-11-14 17:54:45

導語:如何才能寫好一篇審計中的風險評估,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。

審計中的風險評估

篇1

(一)風險導向審計與金融機構洗錢風險評估的異同。具體運用中,兩者均采用抽樣評價方法,取證手段相同(如詢問、查閱、檢查等方式),評估流程類同。財務報表審計流程大致分三個階段,即承接業(yè)務階段的內(nèi)外部風險評估,主要分析被審計單位高管層壓力、機會和借口等因素所引發(fā)的舞弊或錯報風險;風險初步評估階段,了解評價被審計單位環(huán)境、內(nèi)控制度情況;進一步審計程序階段,控制測試和實質(zhì)性測試(對被審計單位各類交易、賬戶余額和披露的細節(jié)測試以及實質(zhì)性分析程序)。后續(xù)審計程序根據(jù)前階段的風險評估結果確定,當后續(xù)審計程序獲取的審計證據(jù)與初始評估獲取的審計證據(jù)相矛盾時,可以修正風險評估結果,并相應修改原計劃實施的進一步審計程序。審計風險評估的目的是根據(jù)風險,確定進一步審計程序的性質(zhì)、范圍和時間安排,其目的在于內(nèi)控風險較高時,更多的控制測試和實質(zhì)性測試能推斷被審計單位的錯報或舞弊行為,繼而獲取被審計單位錯報或舞弊對財務報表的影響程度。洗錢風險評估與此類似,一是了解金融機構固有風險階段,與承接審計業(yè)務階段內(nèi)外部風險評估相似,需了解金融機構所面臨的宏觀經(jīng)濟狀況,所在行業(yè)的洗錢風險及經(jīng)營狀況對洗錢風險的影響。二是初步評估階段,與審計風險初步評估階段相似,對金融機構反洗錢工作的環(huán)境、內(nèi)控制度執(zhí)行情況進行評估。三是深入評估階段,與進一步審計程序階段相似,對金融機構的反洗錢內(nèi)控制度有效性和可疑交易分析報告工作的及時性和有效性進行分析評價。洗錢風險評估過程中,可以在了解金融機構固有風險的基礎上,確定初步評估的范圍,指導深入評估的時間、范圍和方法,包括對金融機構進行一次初步評估和一次深入評估,也包括根據(jù)評估結果,采取現(xiàn)場檢查、約見談話、現(xiàn)場走訪等后續(xù)監(jiān)管措施。不同之處在于:一是業(yè)務性質(zhì)不同。風險導向?qū)徲嬍菍ω攧請蟊聿淮嬖谟捎阱e誤或舞弊導致的重大錯報獲得合理保證;金融機構洗錢風險評估是對金融機構洗錢風險的高低作出評價。二是評價內(nèi)容不同。前者是對被審計單位的外部環(huán)境、內(nèi)部環(huán)境、內(nèi)控制度,特別是對會計報表及賬務處理的準確性及真實性進行評價,具有經(jīng)濟評價性質(zhì),較為復雜;后者是對被評估單位反洗錢相關的環(huán)境、內(nèi)控制度及可疑交易分析能力進行評價,具有單一性風險評價性質(zhì),較為簡單。三是法律責任不同。審計主體對審計報告具有強制性報告義務,并對出具的審計報告承擔法律責任;洗錢風險評估是對風險進行判斷,不具有強制性報告義務,較少承擔法律責任。四是委托責任不同。前者是會計師事務所接受有關信息使用者的委托,對被審計單位進行審計,信息使用者包括政府、股東及投資者等相關人員;后者主要是評估主體接受政府部門委托,根據(jù)最新風險狀況對被評估機構洗錢風險進行評估。

(二)風險導向?qū)徲媽ο村X風險評估的借鑒意義。風險導向?qū)徲嬂砟畛墒斓睦碚摵鸵?guī)則對新型的洗錢風險評估具有一定的參考意義,主要表現(xiàn)在:一是評估理念。實施審計的范圍包括被審計單位內(nèi)外經(jīng)濟、政治、法律環(huán)境、內(nèi)部控制制度及經(jīng)營狀況,體現(xiàn)出評估對象在極為復雜的情況下,仍講究審計的成本與效益。洗錢風險評估作為近年來推出的一種監(jiān)管方法,強調(diào)合理配置監(jiān)管成本,通過借鑒審計規(guī)則,才能將風險為本的評估理念落到實處。二是評價體系。審計風險評價體系采用類似于矩陣的評價方法評價,其基礎是被審計單位的風險不能通過細化風險點進行簡單匯總,理由在于風險之間存在交叉影響。金融機構洗錢風險評估是對金融機構反洗錢內(nèi)控制度及控制措施進行評價,各風險控制點對整體風險的影響與審計實務基本相同,借鑒審計評價方法,能較好反映金融機構被利用洗錢的風險。三是評估方法。開展審計時,具體審計目的不同,取證手段也不同,各具優(yōu)勢,金融機構洗錢風險評估的方法處于摸索階段,通過借鑒,能優(yōu)化評價效能。

二、審計風險評價體系對洗錢風險評價體系的借鑒

層次分析法(AnalyticHierarchyProcess,AHP)是美國運籌學家T.L.Saaty于20世紀70年代初提出的一種決策分析方法,基本原理是:把一個復雜的決策問題視為一個系統(tǒng),按總目標、子目標、評價因素的順序進行逐步分解,構建層次結構,然后通過模糊量化確定各元素對于上層指標的重要性,以此遞推到總目標層,從而為最終的決策問題提供較為科學的定量依據(jù)。洗錢風險評估方法之一為層次分析評價方法,通過采用分級細化、確定指標分值權重、逐級加減匯總的方式,確定總體水平。如澳大利亞評估洗錢風險主要考慮兩個因素,一是機構被用于洗錢和恐怖融資活動的可能性(剩余風險),若機構的內(nèi)在風險(自身提供的產(chǎn)品、服務、銷售渠道、面對的客戶群體導致的內(nèi)在風險)較高,但其各項內(nèi)控政策措施足以有效管理風險的話,則剩余風險不大;如果被評機構屬于公共機構,則被用于洗錢的影響就比較大,其內(nèi)控風險模塊和內(nèi)在風險模塊的風險值根據(jù)各自重要性加總,前者減后者得出剩余風險值。我國試行的金融機構反洗錢風險評估標準中,將風險指標劃分為環(huán)境、產(chǎn)品/客戶、控制、溝通和調(diào)整五類一級指標,通過對各類指標中的標準評價得分匯總得出整體風險,優(yōu)點在于,整體風險或工作情況受多個控制點、事項或交易的影響,各指標的匯總得分情況能較好反映整體水平,其在工作績效考核運用中的優(yōu)勢尤其明顯。

審計風險值的確定方法與上不同,是在確定各類風險值(或風險高低)的基礎上,對各類風險值進行數(shù)值乘算(或選用“高”、“中”、“低”等文字的定性描述),并通過矩陣表的方式計算確定風險,本文將此方法描述為矩陣評價方法。審計風險值具體確定方法為,審計風險=重大錯報風險×檢查風險(實務中,注冊會計師不一定用絕對數(shù)量表示風險水平,還可以選用“高”、“中”、“低”等文字描述,即審計風險值可通過數(shù)值乘算,也可以定性確定),其中,檢查風險取決于審計程序設計的合理性和執(zhí)行的有效性,可以通過職責分配、提供針對性審計計劃等方式解決。重大錯報風險包括固有風險和控制風險,評估時可以單獨對固有風險和控制風險進行評估,也可以合并進行評估。國內(nèi)有關研究提議采用矩陣方式評價風險,第一種評價方法為,洗錢風險=固有風險×內(nèi)控風險,其中,固有風險包括:國家/地域風險、產(chǎn)品/服務風險、客戶風險;內(nèi)控風險主要是指反洗錢內(nèi)控制度及執(zhí)行風險。第二種評估方法為:反洗錢風險=原本風險×管控風險×監(jiān)管風險。與反洗錢風險管理的評估方法相似,金融機構洗錢風險水平受以下四個方面的因素影響:國家經(jīng)濟,所在行業(yè)、地域環(huán)境;反洗錢內(nèi)控制度與內(nèi)部環(huán)境;金融產(chǎn)品、服務及客戶本身的洗錢風險水平;可疑交易報告的及時性和有效性。第三種評價方法為,金融機構洗錢風險=國家(地域、行業(yè))風險×控制風險×產(chǎn)品(或客戶)風險×交易監(jiān)測風險(與審計風險評估相似,洗錢風險值可通過數(shù)值乘算,亦可定性確定)。

國外有關監(jiān)管機構采取類似的矩陣評價方法,如德國運用12格矩陣表示不同的風險等級,對金融機構的風險評估方法為,金融機構洗錢風險=潛在洗錢威脅×反洗錢措施的質(zhì)量,其中金融機構潛在洗錢威脅分為高、中、低三檔,包括金融機構所處地理位置、業(yè)務范圍、產(chǎn)品結構、客戶構成及銷售方式。反洗錢措施的質(zhì)量分高、中高、中低、低四檔,評估結果主要依據(jù)金融機構的年度審計報告。本文認為矩陣評價方法體現(xiàn)出風險與成本的一種均衡,避免將洗錢風險通過簡單匯總各級指標分值的方式進行評價。主要體現(xiàn)在:一是控制成本。風險導向?qū)徲嬂碚撜J為,機構內(nèi)部行使控制職能的人員素質(zhì)及控制成本影響控制效果,若實施某項控制成本大于控制效果而發(fā)生損失時,就沒有必要設置該控制環(huán)節(jié)或控制措施。洗錢風險評估中,某金融產(chǎn)品被用于洗錢的風險較高,其相關控制風險也較高,但若金融機構的該類金融產(chǎn)品交易量很少,則其整體洗錢風險不能被認定為高風險,投入此部分的評估資源可以相對減少。二是風險項的交叉性影響。即各類風險相互之間的影響,如新客戶“職業(yè)”登記為“其他或無業(yè)”的比例較高,則不能認定客戶身份識別制度執(zhí)行有效,被利用于洗錢的風險應該較高。三是不同類別風險對整體風險的影響程度。即當某類風險較高,而其他類風險較低時,須依據(jù)各類風險對整體的影響程度確定風險等級。金融機構的反洗錢義務在于預防,所有控制措施都是為做好可疑交易的監(jiān)測、分析和報送服務,若客戶身份識別制度和客戶風險等級劃分制度執(zhí)行的很好,但監(jiān)測分析人員的人數(shù)配置不夠、分析能力不高,可疑交易分析系統(tǒng)的智能化不足,則應認定該單位的洗錢風險水平為高風險。

三、風險導向?qū)徲嫹椒ㄔ谙村X風險評估方法中的運用

(一)運用抽樣評價方法。審計抽樣范圍受所鑒定會計期間的影響,并針對該會計期間各類控制、事項或交易中的部分樣本進行評價,通過樣本推斷總體,如年度財務報表審計,只有在審計報表期初余額,及評價期末、期后事項對報表的影響時,才會跨年度選取樣本。洗錢風險評估相對靈活,可以對某一年度的洗錢風險進行抽樣評估,也可以針對某類控制、事項或交易的樣本擴大至若干個年度進行抽樣評估。

(二)依據(jù)風險高低擴大或減少樣本量。審計實務中,若認為被審計單位控制環(huán)境薄弱,則很難認定某一相關流程的控制有效,其實質(zhì)性測試的樣本量會大幅增加(實質(zhì)性測試包括細節(jié)性測試和實質(zhì)性分析程序,即對會計計量的真實性、準確性、合理性進行審查)。小型機構員工較少,限制了其職責分離的程度,雖然沒有文件形式的控制要素,但了解管理層的態(tài)度、認識和措施及其控制環(huán)境非常重要,應該更多的采取實質(zhì)性程序。洗錢風險評估可借鑒以上方法,若金融機構的內(nèi)控風險很高,則其客戶身份識別、交易記錄保存及客戶風險等級劃分相關控制點就較難得到有效執(zhí)行,繼而影響異常交易分析識別的及時性和有效性,此時應擴大對異常交易分析及報告的樣本量,確定洗錢風險的高低。

(三)整合取證手段。審計取證方法包括查閱、詢問、觀察、穿行測試、重新執(zhí)行、實質(zhì)性分析程序等方法,具體審計目的不同,取證手段和工作流程也不同。如對收入確認的完整性測試,由原始憑證追查至明細賬(從發(fā)貨部門的發(fā)運憑證追查至有關銷售發(fā)票副本,再到收入明細賬),而對收入確認真實性的審計流程與上述流程相反。洗錢風險評估中,如評價金融機構的可疑交易報告是否有遺漏,可以選取部分存量客戶,從建立業(yè)務關系,到客戶風險等級劃分,再到可疑交易分析報告的整個流程進行取證;評價可疑交易報告是否合理,則與上述流程相反。在具體方法運用上,主要有以下幾種可供借鑒。1、詢問。向金融機構有關員工進行詢問,獲取與內(nèi)部控制運行情況相關的信息。如果某項控制要求某一員工(復核人)在文件上簽字以證明他復核該份文件,那么應詢問其復核的性質(zhì),即對什么進行復核,復核的要點是什么,簽字復核的意義等等。如個人獨資企業(yè)、家族企業(yè)、合伙企業(yè)、存在隱名股東或匿名股東公司的盡職調(diào)查難度通常會高于一般公司,應詢問此類盡職調(diào)查的方法和措施。2、穿行測試。追蹤交易報告在業(yè)務流程中發(fā)生、處理和記錄的過程。業(yè)務流程中存在多個風險控制點,如客戶身份識別措施——身份識別記錄——風險等級劃分——交易記錄保存——可疑交易提取、分析——復核確認——分析報告結論,通過穿行測試,掌握內(nèi)控薄弱環(huán)節(jié),及對整體風險的影響程度。3、重新執(zhí)行。審計實務中,檢查復核人員是否認真執(zhí)行核對時,不僅應檢查是否在相關文件上簽字,還應選取一部分憑證如銷售發(fā)票進行核對。在風險評估中,可以選取部分可疑交易報告,評判可疑交易分析復核的合理性;在可疑交易分析系統(tǒng)及風險等級劃分系統(tǒng)(或者是功能模塊)中,評估人員從相關系統(tǒng)調(diào)取客戶身份資料(一般是開戶資料)和交易記錄,以評價系統(tǒng)設計的合理性。4、實質(zhì)性分析程序。通過研究數(shù)據(jù)間關系評價一段期間的交易情況。審計實務中,實質(zhì)性測試包括對各類交易、賬戶余額和披露的細節(jié)測試以及實質(zhì)性分析程序(如財務指標的橫縱向比較)。在洗錢風險評估中,可以運用到實質(zhì)性分析程序,如“可疑交易量/同類型交易量”的橫縱向比較,“未登記客戶職業(yè)信息數(shù)量/所有客戶數(shù)量”的橫縱向比較;如私人銀行業(yè)務的投資理財品種和交易金額的變動情況。

四、審計成本控制在洗錢風險評估成本中的借鑒

篇2

關鍵詞 風險評估 內(nèi)部審計 應用實踐

隨著我國市場經(jīng)濟不斷地發(fā)展和壯大,銀行的各項事業(yè)都面臨著重任,內(nèi)部審計工作也不例外。然而,我國銀行在開展內(nèi)部審計的工作過程中還存在一些問題,制約著相關工作效率的提升。本文以銀行內(nèi)部風險評估的方式作為文章內(nèi)容的切入點,并對相關的解決措施進行了詳細的闡述。

一、銀行內(nèi)部風險評估的方式

(1)關于風險管理模式的選擇。銀行在對風險進行分析和評估的過程中,其內(nèi)部審計部門一方面通過風險控制系統(tǒng)的應用,來了解銀行進行風險控制水平;另一方面是采取有效的風險評估模式來對對風險程度進行有效評估。通過對風險的掌握程度以及抗風險能力的了解,來加速推進銀行的發(fā)展進程,并給予正確的評價。銀行在發(fā)展的過程中,無論是銀行的風險還是其固定風險都和控制風險密切相關,固定風險指的是未經(jīng)過銀行的內(nèi)部控制,會計處理和被審計的對象這兩者之間發(fā)生差錯的概率??刂骑L險指的是會計處理和被審計的對象這兩者的差錯沒有被銀行內(nèi)部的控制系統(tǒng)糾正過來的概率。結合控制風險和固定風險的概率成積,就可以得出,銀行在內(nèi)部的控制下,所遺留的風險值。不難看出,風險評估系統(tǒng)在促進銀行的發(fā)展方面有著不容忽視的作用,通過風險值數(shù)的獲得再結合銀行承受風險的能力,從而為銀行提供行之有效的風險管理模式。

(2)對風險評估過程的探索。在進行風險評估過程的探索中,設計的主要內(nèi)容有對風險事項加以明確、對審計對象進行劃分、了解風險因素、對風險程度的測算、對風險能力進行評價和控制等等,具體內(nèi)容如下:1)對審計對象進行劃分。在對審計對象進行劃分的過程中,應秉持不同維度不同劃分方法的原則,幫助銀行管理和內(nèi)部審計工作人員之間能夠進行良好的溝通,以便能在對審計對想進行風險評估的過程中,能夠有效地分析結果,并對銀行的審計工作提供更有效地指導。審計的維度,主要指的是銀行結合自身的實際情況,對選擇合適的發(fā)展戰(zhàn)略。此外,在進行審計對象劃分的過程中,可以結合銀行的內(nèi)部管理、產(chǎn)品類型、組織機構等方面的情況,使劃分工作更具合理性和科學性。2)對風險事項加以明確。風險事項主要包括確定風險類別,也包括對風險因素和事件的明確。在進行類別劃分的過程中,應把銀行的運營情況、外部監(jiān)管、成本效益納入考慮范圍之內(nèi)?,F(xiàn)階段,我國銀行面臨的風險主要有法律風險、信用風險、市場風險、戰(zhàn)略風險等等。風險因素主要包括資金、監(jiān)督、技術的管理以及市場競爭等方面。3)對固定風險的測算。在開展固定風險的測算中,應考慮到發(fā)生風險的概率和影響程度這兩方面因素。發(fā)生風險的概率測量算要結合具體情況對風險等級進行劃分。而風險影響程度主要考慮的是銀行的資產(chǎn)成本損失程度和安全系數(shù)等方面的情況。只有進行科學的固定風險測算,才能對銀行在不斷快速的發(fā)展中因風險帶來的危害進行有效識別,才能為銀行的高效發(fā)展提供有效的決策。4)對風險能力進行評價和控制。銀行應結合固定風險的大小,對自身的抗風險能力進行預算和客觀的評價,采取的預算方法有很多,比如,穿行測試法和差距分析法等等,從而得出企業(yè)控制風險的能力。同時,在進行風險評估的過程紅,應對剩余風險進行最后的計算,以便為企業(yè)的深入發(fā)展提供可靠的信息和資料。

二、我國銀行內(nèi)審風險評估結果的應用與延伸

(1)以銀行內(nèi)審風險評估為中心整合審計資源。由于我國商業(yè)銀行內(nèi)部審計起步較晚,相比與發(fā)達國家銀行內(nèi)部審計較為落后,審計資源很難滿足日益猛增的業(yè)務發(fā)展需要。目前,我國經(jīng)濟持續(xù)高速發(fā)展,商業(yè)銀行發(fā)展勢頭迅猛,然而,我國商業(yè)銀行內(nèi)部審計資源稀缺,相關從業(yè)人員占銀行總體員工比重較低,且專業(yè)技能素質(zhì)參差不齊,難以滿足繁復的銀行內(nèi)部審計工作需要。使得我國商業(yè)銀行行業(yè)的網(wǎng)上銀行、個人貸款、信息安全、理財產(chǎn)品等新興業(yè)務面臨巨大的風險。因此,為了提高銀行內(nèi)部審計部門工作效率和效果,必須要以風險為導向,科學合理的配置審計資源,將有限的審計資源按照風險評估結果分配到最需要的審計環(huán)節(jié),并制定科學嚴謹?shù)膶徲嬛贫取徲嫻ぷ髁鞒?、審計計劃,明確審計項目及審計頻率,從而對銀行業(yè)務、經(jīng)營的各個關鍵環(huán)節(jié)進行有效的監(jiān)管。通過對銀行業(yè)務進行全面的風險評估,發(fā)現(xiàn)并控制風險較高的業(yè)務領域,并分配審計經(jīng)驗豐富的人員進行審計。

(2)對風險管理進行完善。我國銀行的風險管理框架正在構建的過程中,銀行應結合國資委和銀監(jiān)會的要求,把流程再造、機構設置和人員配備作為入手點,從而有效實現(xiàn)對多種風險的全方位管理。而銀行內(nèi)部審計的風險評估工作的有效展開,不僅能夠?qū)χ贫▽徲嬘媱澮约皩徲嫹椒ㄟM行有效的指導,同時,也能使銀行內(nèi)部的風險管理更具合理性和科學性。風險評估的結果有效地將各審計單元所剩余的風險程度反映了出來,并能夠及時發(fā)現(xiàn)一些潛在的風險因素,優(yōu)化內(nèi)部控制的流程,對相關體制進行完善,強化風險管理,有效地促進銀行風險控制能力的提升,以順利實現(xiàn)控制目標。

(3)在以風險為導向的基礎上對審計重點進行確定,實現(xiàn)內(nèi)審職能地有效轉變。我國銀行的風險評估工作處于初級階段,還沒有較為成熟和完整的風險評估體系,銀行要想依靠風險評估結果來指導銀行的相關工作還有很長的一段路要走。因此,銀行內(nèi)部的審計部門能應將風險評估理念貫徹到銀行開展各項工作的始終,從而促進審計工作質(zhì)量和效率的提升,有效推進全面風險評估的發(fā)展進程。我國銀行內(nèi)部的審計部門一般都是從稽核監(jiān)督部門轉化而來,過去的工作注重的是查錯糾弊的內(nèi)容,其關注的對象也是銀行內(nèi)部的控制系統(tǒng),這種在沒有對風險進行評估,就對控制系統(tǒng)進行關注的工作模式存在著一定的弊端,主要體現(xiàn)在,控制的改變速度無法跟上經(jīng)營環(huán)境的快速變化,而對已經(jīng)成為過去式的控制并和當前所面臨的風險無關進行的審計是毫無意義的??梢哉f,進行有效控制的前提就是對當前風險進行有效評估,由此可見,控制是依附于管理風險而存在的。而在對風險進行評估的基礎上進行的風險導向?qū)徲?,使工作人員在開展工作的時候更關心面臨的風險,從而使審計工作更具針對性和目的性,有助于快速實現(xiàn)工作目標。

三、結束語

通過提升銀行內(nèi)部審計工作質(zhì)量的渠道來促進銀行的可持續(xù)發(fā)展是具有一定的現(xiàn)實意義的。而風險評估作為銀行內(nèi)部審計工作的重要內(nèi)容,銀行應給予其足夠的重視,積極探索新的工作模式,轉變工作理念,對風險管理進行完善,在以風險為導向的基礎上對審計重點進行確定,實現(xiàn)內(nèi)審職能地有效轉變,提高銀行抵抗風險的能力,只有這樣,才能有效降低銀行所面臨的風險,為其高效長久可持續(xù)發(fā)展保駕護航。

(作者單位為中國農(nóng)業(yè)銀行審計局武漢分局)

[作者簡介:桂艷芳(1978―),女,湖北武漢人,本科,中級經(jīng)濟師,研究方向:審計。]

參考文獻

篇3

關鍵詞:網(wǎng)絡審計 歷史財務報表審計 信息安全管理 風險評估

一、引言

從審計的角度,風險評估是現(xiàn)代風險導向?qū)徲嫷暮诵睦砟睢o論是在歷史財務報表審計還是在網(wǎng)絡審計中,現(xiàn)代風險導向?qū)徲嬀髮徲嫀熢趫?zhí)行審計工作過程中應以風險評估為中心,通過對被審計單位及其環(huán)境的了解,評估確定被審計單位的高風險領域,從而確定審計的范圍和重點,進一步?jīng)Q定如何收集、收集多少和收集何種性質(zhì)的證據(jù),以便更有效地控制和提高審計效果及審計效率。從企業(yè)管理的角度,企業(yè)風險管理將風險評估作為其基本的要素之一進行規(guī)范,要求企業(yè)在識別和評估風險可能對企業(yè)產(chǎn)生影響的基礎上,采取積極的措施來控制風險,降低風險為企業(yè)帶來損失的概率或縮小損失程度來達到控制目的。信息安全風險評估作為企業(yè)風險管理的一部分,是企業(yè)信息安全管理的基礎和關鍵環(huán)節(jié)。盡管如此,風險評估在網(wǎng)絡審計、歷史財務報表審計和企業(yè)信息安全管理等工作中的運用卻不盡相同,本文在分析計算機信息系統(tǒng)環(huán)境下所有特定風險和網(wǎng)絡審計風險基本要素的基礎上,從風險評估中應關注的風險范圍、風險評估的目的、內(nèi)容、程序及實施流程等內(nèi)容展開,將網(wǎng)絡審計與歷史財務報表審計和信息安全管理的風險評估進行對比分析,以期深化對網(wǎng)絡審計風險評估的理解。

二、網(wǎng)絡審計與歷史財務報表審計的風險評估比較

(一)審計風險要素根據(jù)美國注冊會計師協(xié)會的第47號審計標準說明中的審計風險模型,審計風險又由固有風險、控制風險和檢查風險構成。其中,固有風險是指不考慮被審計單位相關的內(nèi)部控制政策或程序的情況下,其財務報表某項認定產(chǎn)生重大錯報的可能性;控制風險是被審計單位內(nèi)部控制未能及時防止或發(fā)現(xiàn)財務報表上某項錯報或漏報的可能性;檢查風險是審計人員通過預定的審計程序未能發(fā)現(xiàn)被審計單位財務報表上存在重大錯報或漏報的可能性。在網(wǎng)絡審計中,審計風險仍然包括固有風險、控制風險和檢查風險要素,但其具體內(nèi)容直接受計算機網(wǎng)絡環(huán)境下信息系統(tǒng)特定風險的影響。計算機及網(wǎng)絡技術的應用能提高企業(yè)經(jīng)營活動的效率,為企業(yè)的經(jīng)營管理帶來很大的優(yōu)越性,但同時也為企業(yè)帶來了一些新的風險。這些新的風險主要表現(xiàn)為:(1)數(shù)據(jù)與職責過于集中化。由于手工系統(tǒng)中的職責分工、互相牽制等控制措施都被歸并到計算機系統(tǒng)自動處理過程中去了,這些集中的數(shù)據(jù)庫技術無疑會增加數(shù)據(jù)縱和破壞的風險。(2)系統(tǒng)程序易于被非法調(diào)用甚至遭到篡改。由于計算機系統(tǒng)有較高的技術要求,非專業(yè)人員難以察覺計算機舞弊的線索,這加大了數(shù)據(jù)被非法使用的可能性。如經(jīng)過批準的系統(tǒng)使用人員濫用系統(tǒng),或者說,企業(yè)對接近信息缺乏控制使得重要的數(shù)據(jù)或程序被盜竊等。(3)錯誤程序的風險,例如程序中的差錯反復和差錯級聯(lián)、數(shù)據(jù)處理不合邏輯、甚至是程序本身存在錯誤等。(4)信息系統(tǒng)缺乏應用的審計接口,使得審計人員在審計工作中難以有效地采集或獲取企業(yè)信息系統(tǒng)中的數(shù)據(jù),從而無法正常開展審計工作。(5)網(wǎng)絡系統(tǒng)在技術和商業(yè)上的風險,如計算機信息系統(tǒng)所依賴的硬件設備可能出現(xiàn)一些不可預料的故障,或者信息系統(tǒng)所依賴的物理工作環(huán)境可能對整個信息系統(tǒng)的運行效能帶來影響等。相對應地,網(wǎng)絡審計的固有風險主要是指系統(tǒng)環(huán)境風險,即財務電算化系統(tǒng)本身所處的環(huán)境引起的風險,它可分為硬件環(huán)境風險和軟件環(huán)境風險??刂骑L險包括系統(tǒng)控制風險和財務數(shù)據(jù)風險,其中,系統(tǒng)控制風險是指會計電算化系統(tǒng)的內(nèi)部控制不嚴密造成的風險,財務數(shù)據(jù)風險是指電磁性財務數(shù)據(jù)被篡改的可能性。檢查風險包括審計軟件風險和人員操作風險,審計軟件風險是指計算機審計軟件本身缺陷原因造成的風險,人員操作風險是指計算機審計系統(tǒng)的操作人員、技術人員和開發(fā)人員等在工作中由于主觀或客觀原因造成的風險。

(二)風險評估目的無論在網(wǎng)絡審計還是歷史財務報表審計中,風險評估只是審計的一項重要程序,貫穿于審計的整個過程。與其他審計程序緊密聯(lián)系而不是一項獨立的活動。盡管如此,兩者所關注的風險范圍則有所不同。歷史財務報表審計的風險評估要求審計人員主要關注的是被審計單位的重大錯報風險――財務報表在審計前存在重大錯報的可能性。由于網(wǎng)絡審計的審計對象包括被審計單位基于網(wǎng)絡的財務信息和網(wǎng)絡財務信息系統(tǒng)兩類,因此審計人員關注的風險應是被審計單位經(jīng)營過程中與該兩類審計對象相關的風險。(1)對于與企業(yè)網(wǎng)絡財務信息系統(tǒng)相關的風險,審計人員應該從信息系統(tǒng)生命周期的各個階段和信息系統(tǒng)的各組成部分及運行環(huán)境兩方面出發(fā)進行評估。信息系統(tǒng)生命周期是指該信息系統(tǒng)從產(chǎn)生到完成乃至進入維護的各個階段及其活動,無論是在早期的線性開發(fā)模型中還是在更為復雜的螺旋式等模型中,一個信息系統(tǒng)的生命周期大都包括規(guī)劃和啟動、設計開發(fā)或采購、集成實現(xiàn)、運行和維護、廢棄等五個基本階段。由于信息系統(tǒng)在不同階段的活動內(nèi)容不同,企業(yè)在不同階段的控制目標和控制行為也會有所不同,因此,審計人員的風險評估應該貫穿于信息系統(tǒng)的整個生命周期。信息系統(tǒng)的組成部分是指構成該信息系統(tǒng)的硬件、軟件及數(shù)據(jù)等,信息系統(tǒng)的運行環(huán)境是指信息系統(tǒng)正常運行使用所依托的物理和管理平臺。具體可將其分為五個層面:物理層,即信息系統(tǒng)運行所必備的機房、設備、辦公場所、系統(tǒng)線路及相關環(huán)境;網(wǎng)絡層,即信息系統(tǒng)所需的網(wǎng)絡架構的安全情況、網(wǎng)絡設備的漏洞情況、網(wǎng)絡設備配置的缺陷情況等;系統(tǒng)層,即信息系統(tǒng)本身的漏洞情況、配置的缺陷情況;應用層,即信息系統(tǒng)所使用的應用軟件的漏洞情況、安全功能缺陷情況;管理層,即被審計單位在該信息系統(tǒng)的運行使用過程中的組織、策略、技術管理等方面的情況。(2)對于與企業(yè)基于網(wǎng)絡的財務信息相關的風險,審計人員應著重關注財務信息的重大錯報風險和信息的安全風險。重大錯報風險主要指被審計單位基于網(wǎng)絡的相關財務信息存在重大錯報的可能性,它是針對企業(yè)借助于網(wǎng)絡信息系統(tǒng)或網(wǎng)絡技術對有關賬戶、交易或事項進行確認、計量或披露而言。網(wǎng)絡審計中關注的重大錯報風險與傳統(tǒng)審CtT的內(nèi)涵基本上是一致的,審計人員在審計時應當考慮被審計單位的行業(yè)狀況、經(jīng)營性質(zhì)、法律及監(jiān)管環(huán)境、會計政策和會計方法的選用、財務業(yè)績的衡量和評價等方面的情況對財務信息錯報可能的影響。信息安全風險涉及信息的保密性、完整性、可用性及敏感性等方面可能存在的風險,主要針對企業(yè)利用信息系統(tǒng)或一定的網(wǎng)絡平臺來存儲、傳輸、披露相關財務信息而言。在審計過程中,審eta員應當主要關注相關財務信息被盜用、非法攻擊或篡改及非法使用的可能性。當然,這兩類風險并非完全分離的,評估時審計人員應將兩者結合起來考慮。

(三)風險評估內(nèi)容 廣泛意義的風險評估是指考慮潛在事件對目標實現(xiàn)的影響程度。由于網(wǎng)絡審計與歷史財務報表審計風險評估的目的并不完全相同,因此兩者在風險評估的內(nèi)容上也是存在區(qū)別的??偟膩碚f,網(wǎng)絡審計的風險評估內(nèi)容比歷史財務報表審計的風險評估內(nèi)容更廣泛和深入。根據(jù)《中國注冊會計師審計準則第1211號――了解被審計單位及其環(huán)境并評估重大錯報風

險》,在歷史財務報表審計中,審計人員的風險評估應以了解被審計單位及其環(huán)境為內(nèi)容。為識別和評價重大錯報風險,審計人員了解的具體內(nèi)容包括被審計單位所在行業(yè)狀況、法律環(huán)境與監(jiān)管環(huán)境以及其他外部因素、被審計單位的性質(zhì)、被審計單位對會計政策的選擇和運用、被審計單位的目標、戰(zhàn)略以及相關經(jīng)營風險、被審計單位財務業(yè)績的衡量和評價及被審it@位的內(nèi)部控制等。在網(wǎng)絡審計中。為了識別和評估上文所述的兩類風險,審計人員除了從以上方面了解被審計單位及其環(huán)境外,還應該關注其他相關的潛在事件及其影響,尤其是企業(yè)的財務信息系統(tǒng)及基于網(wǎng)絡的財務信息可能面l臨的威脅或存在的脆弱點。其中,威脅是指對信息系統(tǒng)及財務信息構成潛在破壞的可能性因素或者事件,它可能是一些如工作人員缺乏責任心、專業(yè)技能不足或惡意篡改等人為因素,也可能是一些如灰塵、火災或通訊線路故障等環(huán)境因素。脆弱點是指信息系統(tǒng)及基于網(wǎng)絡的財務信息所存在的薄弱環(huán)節(jié),它是系統(tǒng)或網(wǎng)絡財務信息本身固有的,包括物理環(huán)境、組織、過程、人員、管理、配置、硬軟件及信息等各方面的弱點。一般來說,脆弱點本身不會帶來損失或信息錯報,威脅卻總是要利用網(wǎng)絡、系統(tǒng)的弱點來成功地引起破壞。因此,我們認為網(wǎng)絡審計申風險評估的內(nèi)容應包括以下幾方面:(1)識別被審計單位財務信息系統(tǒng)及其基于網(wǎng)絡的財務信息可能面臨的威脅,并分析威脅發(fā)生的可能性;(2)識別被審計單位財務信息系統(tǒng)及其基于網(wǎng)絡的財務信息可能存在的脆弱點,并分析脆弱點的嚴重程度;(3)根據(jù)威脅發(fā)生的可能性和脆弱點發(fā)生的嚴重程度,判斷風險發(fā)生的可能性;(4)根據(jù)風險發(fā)生的可能性,評價風險對財務信息系統(tǒng)和基于網(wǎng)絡的財務信息可能帶來的影響;(5)若被審計單位存在風險防范或化解措施,審計人員在進行風險評估時還應該考慮相應措施的可行性及有效性。

(四)風險評估程序《中國注冊會計師審計準則第1211-----了解被審計單位及其環(huán)境并評估重大錯報風險》中要求,審計人員應當實施詢問、分析程序、觀察和檢查等程序,以獲取被審計單位的信息,進而評估被審計單位的重大錯報風險。這些程序同樣適用于網(wǎng)絡審計中的風險評估。但在具體運用時網(wǎng)絡審計中更加注重了解和分析被審計單位與信息系統(tǒng)及網(wǎng)絡技術使用相關的事項。在實施詢問程序時,審計人員的詢問對象圍繞信息系統(tǒng)和基于網(wǎng)絡的財務信息可大致分為管理人員、系統(tǒng)開發(fā)和維護人員(或信息編制人員)、系統(tǒng)使用人員(或信息的內(nèi)部使用人員)、系統(tǒng)或網(wǎng)絡技術顧問及其他外部相關人員(如律師)等五類,分別從不同角度了解信息系統(tǒng)和基于網(wǎng)絡的財務信息可能存在的威脅和脆弱點。在實施分析程序時,除了研究財務數(shù)據(jù)及與財務信息相關的非財務數(shù)據(jù)可能的異常趨勢外,審計人員應格外關注對信息系統(tǒng)及網(wǎng)絡的特性情況,被審計單位對信息系統(tǒng)的使用情況等內(nèi)容的分析比較。實施觀察和檢查時,除執(zhí)行常規(guī)程序外,審計人員應注意觀察信息系統(tǒng)的操作使用和檢查信息系統(tǒng)文檔。除此之外,針對特定系統(tǒng)或網(wǎng)絡技術風險的評估,審計人員還需要實施一些特定的程序。技術方面如IOS取樣分析、滲透測試、工具掃描、安全策略分析等;管理方面如風險問卷調(diào)查、風險顧問訪談、風險策略分析、文檔審核等。其中,IDS取樣分析是指通過在核心網(wǎng)絡采樣監(jiān)聽通信數(shù)據(jù)方式,獲取網(wǎng)絡中存在的攻擊和蠕蟲行為,并對通信流量進行分析;滲透測試是指在獲取用戶授權后,通過真實模擬黑客使用的工具、方法來進行實際漏洞發(fā)現(xiàn)和利用的安全測試方法;工具掃描是指通過評估工具軟件或?qū)S冒踩u估系統(tǒng)自動獲取評估對象的脆弱性信息,包括主機掃描、網(wǎng)絡掃描、數(shù)據(jù)庫掃描等,用于分析系統(tǒng)、應用、網(wǎng)絡設備存在的常見漏洞。風險問卷調(diào)查與風險顧問訪談要求審計人員分別采用問卷和面談的方式向有關主體了解被審計單位的風險狀況,使用時關鍵是要明確問卷或訪談的對象情況風險策略分析要求審計人員對企業(yè)所設定的風險管理和應對策略的有效性進行分析,進而評價企業(yè)相關風險發(fā)生的概率以及可能帶來的損失;文檔審核是一種事前評價方法,屬于前置軟件測試的一部分,主要包括需求文檔測試和設計文檔測試。這些特定程序主要是針對被審計單位信息系統(tǒng)和基于網(wǎng)絡的財務信息在網(wǎng)絡安全風險方面進行評價,審計人員在具體使用時應結合被審計單位的業(yè)務性質(zhì)選擇合適的程序。

三、網(wǎng)絡審計與信息安全管理的風險評估比較

(一)風險評估的目的信息安全管理中的風險評估(即信息安全風險評估)是指根據(jù)國家有關信息安全技術標準,對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行科學評價的過程。作為信息安全保障體系建立過程中的重要的評價方法和決策機制,信息安全風險評估是企業(yè)管理的組成部分,它具有規(guī)劃、組織、協(xié)調(diào)和控制等管理的基本特征,其主要目的在于從企業(yè)內(nèi)部風險管理的角度,在系統(tǒng)分析和評估風險發(fā)生的可能性及帶來的損失的基礎上,提出有針對性的防護和整改措施,將企業(yè)面臨或遭遇的風險控制在可接受水平,最大限度地保證組織的信息安全。而網(wǎng)絡審計是由獨立審計人員向企業(yè)提供的一項鑒證服務,其風險評估的目的在于識別和評價潛在事件對被審計單位基于網(wǎng)絡的財務信息的合法性、公允性以及網(wǎng)絡財務信息系統(tǒng)的合規(guī)性、可靠性和有效性的影響程度,從而指導進一步審計程序。因此,兩者風險評估的目的是不一樣。從評估所應關注的風險范圍來看,兩者具有一致性,即都需要考慮與信息系統(tǒng)和信息相關的風險。但是,具體的關注邊界則是不一樣的。信息安全風險評估要評估企業(yè)資產(chǎn)面臨的威脅以及威脅利用脆弱性導致安全事件的可能性,并結合安全事件所涉及的資產(chǎn)價值來判斷安全事件一旦發(fā)生對組織造成的影響,它要求評估人員關注與企業(yè)整個信息系統(tǒng)和所有的信息相關的風險,包括實體安全風險、數(shù)據(jù)安全風險、軟件安全風險、運行安全風險等。網(wǎng)絡審計中,審計人員是對被審計單位的網(wǎng)絡財務信息系統(tǒng)和基于網(wǎng)絡的財務信息發(fā)表意見,因此,風險評估時審計人員主要關注的是與企業(yè)財務信息系統(tǒng)和基于網(wǎng)絡的財務信息相關的風險,而不是與企業(yè)的整個信息系統(tǒng)和所有的信息相關的風險。根據(jù)評估實施者的不同,信息安全風險評估形式包括自評估和他評估。自評估是由組織自身對所擁有的信息系統(tǒng)進行的風險評估活動;他評估通常是由組織的上級主管機關或業(yè)務主管機關發(fā)起的,旨在依據(jù)已經(jīng)頒布的法規(guī)或標準進行的具有強制意味的檢查。自評估和他評估都可以通過風險評估服務機構進行咨詢、服務、培訓以及風險評估有關工具的提供。因此。對審計人員而言,受托執(zhí)行的信息安全風險評估應當歸屬于管理咨詢類,即屬于非鑒證業(yè)務,與網(wǎng)絡審計嚴格區(qū)分開來。

(二)風險評估的內(nèi)容在我國國家質(zhì)量監(jiān)督檢驗檢疫總局的《信息安全風險評估指南》(征求意見稿)國家標準中,它將信息安全風險評估的內(nèi)容分為兩部分:基本要素和相關屬性,提出信息安全風險評估應圍繞其基本要素展開,并充分考慮與這些基本要素相關的其他屬性。其中,風險評估的基本要素包括資產(chǎn)、脆弱性、威脅、風險和安全措施;相關屬性包括業(yè)務戰(zhàn)略、資產(chǎn)價值、安全需求、安全事件、殘余風險等。在此基礎上的風險計算過程是:(1)對信息資產(chǎn)進行識別,并對資產(chǎn)賦值;(2)對威脅進行分析,并對威

脅發(fā)生的可能性賦值;(3)識別信息資產(chǎn)的脆弱性,并對弱點的嚴重程度賦值;(4)根據(jù)威脅和脆弱性計算安全事件發(fā)生的可能性;(5)根據(jù)脆弱性的嚴重程度及安全事件所作用的資產(chǎn)的價值計算安全事件造成的損失;(6)根據(jù)安全事件發(fā)生的可能性以及安全事件出現(xiàn)后的損失,計算安全事件一旦發(fā)生對組織的影響,即風險值。結合上文網(wǎng)絡審計風險評估五個方面的內(nèi)容可以看出,網(wǎng)絡審計和信息安全風險評估在內(nèi)容上有相近之處,即都需要針對信息系統(tǒng)和信息可能面臨的威脅和存在的脆弱點進行識別。但是,信息安全管理作為企業(yè)的一項內(nèi)部管理,其風險評估工作需要從兩個層次展開:一是評估風險發(fā)生的可能性及其影響;二是提出防護或整改措施以控制風險。第一個層次的工作實質(zhì)上是為第二層次工作服務的,其重點在第二層次?!缎畔踩L險評估指南》(征求意見稿)提出,企業(yè)在確定出風險水平后,應對不可接受的風險選擇適當?shù)奶幚矸绞郊翱刂拼胧⑿纬娠L險處理計劃。其中,風險處理的方式包括回避風險、降低風險、轉移風險、接受風險,而控制措施的選擇應兼顧管理和技術,考慮企業(yè)發(fā)展戰(zhàn)略、企業(yè)文化、人員素質(zhì),并特別關注成本與風險的平衡。網(wǎng)絡審計的風險評估工作主要集中在第一個層次,即審計人員通過風險評估,為進一步審計中做出合理的職業(yè)判斷、有效地實施網(wǎng)絡審計程序和實現(xiàn)網(wǎng)絡審計目標提供重要基礎。因此,兩者的評估內(nèi)容是存在區(qū)別的。

篇4

本文以《內(nèi)部審計具體準則》為指導,介紹了內(nèi)部審計中風險評估和審計風險的概念,提出降低審計風險的基礎是風險評估,降低審計風險是做好審計工作的保證,通過對上述內(nèi)容的理解可以更好加深內(nèi)部審計人員對當今最新審計理論的認識。

【關鍵詞】

風險評估;審計風險關系

風險評估與審計風險是審計理論的兩個重要概念。很多學者對此發(fā)表的學術論文更多地是針對注冊會計師相關業(yè)務的研究,而內(nèi)部審計理論文獻相對較少。隨著內(nèi)部審計理論的發(fā)展,國家陸續(xù)出臺了內(nèi)部審計相關的政策和準則,其中2005年年5月1日至今實行的《內(nèi)部審計具體準則》將兩者的概念和應用作了明確的定義和指導。本文立足于內(nèi)部審計具體準則的內(nèi)容,將兩者的原理作一闡述,以加深內(nèi)部審計人員對兩者概念及相互關系的理解和掌握。

1 風險評估與審計風險概念理解

1.1 風險評估

風險評估是指內(nèi)部審計人員實施必要的審計程序?qū)ζ髽I(yè)風險評估過程進行審查與評價,對發(fā)生的可能性、風險對組織目標的實現(xiàn)產(chǎn)生影響的嚴重程度進行重點關注。

內(nèi)部審計人員在開展風險評估審計程序時,要當充分了解企業(yè)風險評估的方法,運用采用定性或定量的方法對企業(yè)風險評估過程進行評價,在風險難以量化、定量評價所需數(shù)據(jù)難以獲取時,一般應采用定性方法,并且需要充分考慮相關部門或人員的意見,以提高評估結果的客觀性。

1.2 審計風險

審計風險是指內(nèi)部審計人員未能發(fā)現(xiàn)被審計單位經(jīng)營活動及內(nèi)部控制中存在的重大差異或缺陷而做出不恰當審計結論的可能性。審計風險包括重大差異或缺陷風險和檢查風險的兩方面內(nèi)容。

2 風險評估是降低審計風險的基礎

審計風險評估是通過對企業(yè)風險評估過程的評價,了解企業(yè)是否存在重大差異或缺陷風險,可以使審計人員確定重要性標準來評估審計風險。而審計風險評估的要求、程序和方法都是保障降低審計風險的第一步,是審計人員開展審計工作、提高效率、保護自我的根本保證。

風險評估是對企業(yè)風險管理-風險評估過程的評價。內(nèi)部審計作為企業(yè)管理的一部分,在企業(yè)內(nèi)部發(fā)揮著控制和監(jiān)督作用,風險評估主要體現(xiàn)在對企業(yè)內(nèi)部控制效果的評價上,內(nèi)部審計控制效果的好與壞,同樣體現(xiàn)審計人員對企業(yè)風險的揭示說明和預測的完整性、前瞻性上,也是審計風險的控制程度。

風險評估工作的重點就是要找到影響目標實現(xiàn)的風險,并分析這些風險影響的大?。òl(fā)生的可能性和對目標的影響程度),從而為管理層應對風險提供基礎支持。

風險辨識評估工作主要在集團的發(fā)展計劃部、資本運營部及財務部三個部門開展,因此在對風險進行分類時,主要考慮了三個部門的管理職責:發(fā)展計劃部是戰(zhàn)略和投資的管理部門、資本運營部是投資、資產(chǎn)管理及公司治理的管理部門、財務部是集團的財務及經(jīng)濟運行的主要管理部門,結合以上管理職責,對風險采用根據(jù)風險事件的特性,選擇適當?shù)娘L險評價維度,對風險事件進行評價。根據(jù)發(fā)展計劃部、資本運營部及財務部的管理職責,將風險事件分配到不同的部門,形成三個部門的風險評估問卷,問卷信息進行整理計算,得到風險事件排序和二級風險排序。將整理確定的風險事件設計成為風險評估問卷,在三個部門發(fā)放,由集團公司部門人員按“發(fā)生可能性”、“影響程度”和“管理有效性”三個維度進行評價,得到風險評估初步結果:風險及風險事件的重要性排序多數(shù)風險重要性排序符合項目組的研究認識。

■ 個別風險排名較高,包括庫存風險、關聯(lián)交易風險及資產(chǎn)管理風險等,需進一步分析論證

■ 同一類風險的排序略有出入。

風險的大小,是基于一套定性標準,業(yè)務和管理是視角的差異如何有效地反映到對不同業(yè)務和不同風險的判斷中。

3 風險評估和降低審計風險是做好審計工作的保證

審計工作中需要時刻強調(diào)審計風險意識,并加強對企業(yè)風險評估過程的評價,二者相符相成。一方面控制審計風險需要建立在風評評估的基礎之上,另一方面在加強風險評估過程中需要在審計風險理念下指導下進行風險評價,只有將兩者很好的相互融合才能提高審計效率、控制風險,最終達到加強企業(yè)經(jīng)營管理,提高企業(yè)依法經(jīng)營從而提高經(jīng)濟效益的目的。什么樣的風險評估才能滿足審計要求:

1)緊扣業(yè)務:評估工作緊扣經(jīng)營主線開展,集中識別和分析生產(chǎn)、項目管理過程中的風險;

2)圍繞指標:評估工作密切圍繞業(yè)績考核指標。基于業(yè)績考核指標辨識風險事件,并依據(jù)業(yè)績考核指標制定風險評價標準;

3)突出重點:圍繞風險管理項目的整體目標,主要以運營部、市場部、物流部、工廠為重點;

強化企業(yè)高層對審計的重視程度和建立積極健康的內(nèi)審文化。轉變觀念,調(diào)整位置,掌握價值高地;貼近業(yè)務,掌握業(yè)務,發(fā)掘價值提升空間??炭嚆@研,提升能力,放大工作效能和效果。培養(yǎng)團隊,集團作戰(zhàn) ,保持核心競爭力。決策者就是風險管理者,找出他所關注的風險和背后的動因。 分析他解決風險的工作思路,描繪決策者風險地圖和風險戰(zhàn)略。

篇5

[關鍵詞] 風險導向?qū)徲?;?jīng)濟責任審計;模式構建

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2017. 01. 009

[中圖分類號] F239.47 [文獻標識碼] A [文章編號] 1673 - 0194(2017)01- 0023- 02

0 引 言

本文首先構建風險導向?qū)徲嬒缕髽I(yè)經(jīng)濟責任審計模式,然后根據(jù)構建的模式流程闡述整個模式的全過程,主要包括企業(yè)經(jīng)濟責任審計風險識別、企業(yè)經(jīng)濟責任審計風險評估、企業(yè)經(jīng)濟責任審計風險應對及企業(yè)經(jīng)濟責任審計報告這四個過程。

1 風險導向?qū)徲嬒缕髽I(yè)經(jīng)濟責任審計模式構建

首先要對審計的環(huán)境及企業(yè)內(nèi)部制度存在的問題進行識別,在此基礎上對企業(yè)各項工作的流程風險及戰(zhàn)術決策風險進行評估;然后參照風險導向?qū)徲嫷某绦虿⒁腼L險警示系數(shù)來評估重大錯報風險、剩余風險及檢查風險;在風險評估后依照風險的重要性水平不同制定審計策略及方案并實施風險應對;最后把審計結果交于管理層決策,并完成企業(yè)經(jīng)濟責任評價和審計報告。

2 風險導向?qū)徲嬒缕髽I(yè)經(jīng)濟責任審計模式闡述

2.1 企業(yè)經(jīng)濟責任審計風險識別

風險識別的方法有頭腦風暴法、動態(tài)分析法、財務報表法及環(huán)境分析法等多種。本文風險識別采用環(huán)境分析法,可分為外部環(huán)境分析和內(nèi)部環(huán)境分析。

外部環(huán)境分析:了解所審計企業(yè)所處的行業(yè)的發(fā)展情況、生產(chǎn)經(jīng)營是否存在周期性和季節(jié)性,行業(yè)的盈利水平及發(fā)展趨勢。審計人員通過國家統(tǒng)計部門的網(wǎng)站及行業(yè)協(xié)會提供的調(diào)查數(shù)據(jù)來收集所需的行業(yè)狀況的數(shù)據(jù)。法律和監(jiān)管環(huán)境主要是了解相關部門在本行業(yè)的一些特殊規(guī)定。其他外部因素主要有銀行利率的變動、通貨膨脹及全球經(jīng)濟形勢等。

內(nèi)部環(huán)境分析:審計單位的性質(zhì)對于企業(yè)的稅收及財務報告方面都有重大的影響,所以作為審計人員首先要分析企業(yè)的性質(zhì)。審計單位使用何種會計政策對于審計單位所做的審計報告、驗資報告等一系列內(nèi)部經(jīng)濟活動有至關重要的影響,審計人員應該了解被審計企業(yè)的會計政策是否符合法律及會計準則的要求,進一步規(guī)范企業(yè)的經(jīng)濟活動。內(nèi)部控制是企業(yè)是否遵守法律規(guī)定及衡量經(jīng)營效果的尺子。

2.2 企業(yè)經(jīng)濟責任審計風險評估

企業(yè)經(jīng)濟責任審計風險評估首先對被審計企業(yè)的總體風險及流程風險進行評估,然后引入風險警示系數(shù)來評估重大錯報風險、檢查風險及剩余風險。

總體風險評估主要是分析企業(yè)的戰(zhàn)略決策風險,使用的方法是SWOT矩陣法。流程風險評估主要使用流程圖法。風險警示系數(shù)是直接利用審計人員被處罰的概率來計量的,是對審計人員的違法違規(guī)行為的綜合控制參數(shù)。重大錯報風險評估包括固有風險和控制風險,此風險評估法能事先確定可能發(fā)生錯報的賬戶和披露,能節(jié)約審計資源。重大錯報風險評估可以通過兩個層次來評估,財務報表整體層次和交易類別賬戶余額層次,并在這兩個層次中引入風險警示系數(shù),使重大錯報風險評估更為合理。檢查風險主要受抽樣風險和非抽樣風險的影響,首先要確定抽樣風險和非抽樣風險;然后審計人員要明確審計證據(jù)、重要性水平及檢查風險間的關系;最后根據(jù)前兩條以及風險警示系數(shù)來評估檢查風險。剩余風險來源于戰(zhàn)略分析和經(jīng)營環(huán)節(jié)分析,是審計人員較為關注的方面,審計人員在評估戰(zhàn)略風險、經(jīng)營風險后得出剩余風險。

2.3 企業(yè)經(jīng)濟責任審計風險應對

風險應對主要包括內(nèi)部控制測試、實質(zhì)性程序及風險再評估。內(nèi)部控制測試首先要初步評估控制風險,然后根據(jù)風險水平不同分為高水平內(nèi)部控制、低水平內(nèi)部控制及低于最大值的控制風險。對于高水平的內(nèi)部控制不必繼續(xù)了解;對于低水平的內(nèi)部控制要測試全面的控制活動;對于低于最大值的控制風險要測試企業(yè)層面和業(yè)務層面的控制來應對控制風險水平。實質(zhì)性程序包括細節(jié)測試及實質(zhì)性分析程序,其流程是依據(jù)被審計企業(yè)的資料,對財務指標復核,尋找審計重點難點和疑點,然后項目組成員分頭實施有關會計賬戶的審查工作,根據(jù)審計中的特點確定重點,并正確劃分經(jīng)濟責任界限,最后做好底稿。風險再評估企業(yè)經(jīng)濟審計工作是一個動態(tài)的過程,在審計過程中法律法規(guī)可能有重大變化或企業(yè)內(nèi)部有重大改變都需要審計人員再次評估,來確保評估的準確性和科學性。

2.4 企業(yè)經(jīng)濟責任審計報告

審計人員把審計結果交于管理層決策并最終完成審計報告。管理層在處理審計結果時要對審計結果進行評價及考慮報告帶來的審計風險。對審計結果進行評價常用的指標有財務效益指標、償債能力指標、發(fā)展能力指標等。評價過程中使用的評價原則主要是客觀性、謹慎性和統(tǒng)一性。報告帶來的風險主要來源于審計人員對審計事項的了解不全面所造成的,審計人員要嚴格按照企業(yè)的真實情況對企業(yè)審計并編制審計報告及披露被審計企業(yè)存在的問題,減少報告帶來的風險。

3 結 語

本文首先構建風險導向?qū)徲嬒缕髽I(yè)經(jīng)濟責任審計模式,然后對整個模式的全過程進行闡述,主要包括企業(yè)經(jīng)濟責任審計風險識別、企業(yè)經(jīng)濟責任審計風險評估、企業(yè)經(jīng)濟責任審計風險應對及企業(yè)經(jīng)濟責任審計報告這四個過程。

主要參考文獻

[1]唐可蔚,宋夏云,郭強華,等.現(xiàn)代風險導向?qū)徲嬆J较碌钠髽I(yè)經(jīng)濟責任審計流程[J].審計與理財,2015(5):40-42.

篇6

關鍵詞:P2P網(wǎng)貸平臺;審計風險評估;模糊綜合評價模型

P2P網(wǎng)絡借貸作為新型金融服務模式,具有資金來源廣,交易成本低,撮合速度快等特點,自2007年進入中國市場以來得到迅猛發(fā)展。據(jù)網(wǎng)貸之家數(shù)據(jù)顯示,截至2016年8月31日,我國P2P網(wǎng)貸平臺數(shù)量為4213家,網(wǎng)貸行業(yè)成交總額為25815.09億元。在快速發(fā)展的同時,由于自身經(jīng)營不善,相關法律法規(guī)與監(jiān)管體系的不完善,我國P2P網(wǎng)貸平臺“跑路”、倒閉、停業(yè)等現(xiàn)象日趨嚴重。據(jù)網(wǎng)貸之家數(shù)據(jù)統(tǒng)計,截至2016年8月底,P2P網(wǎng)貸累計問題平臺數(shù)多達1978家,8月新增問題平臺99家,停業(yè)及問題平臺發(fā)生率高達46.95%。審計作為經(jīng)濟活動的最有效監(jiān)管方式之一,對P2P網(wǎng)貸行業(yè)提高透明性,加強信息披露,審慎經(jīng)營具有不可替代作用。為促進網(wǎng)貸平臺的健康發(fā)展,加強P2P網(wǎng)貸平臺的第三方審計是大勢所趨?,F(xiàn)代風險導向?qū)徲嬕燥L險評估為中心,從企業(yè)整體層面的分析入手,通過“企業(yè)整體層面—業(yè)務流程層面—財務報表重大錯報層面”的基本分析思路,建立了財務報表重大錯報風險與企業(yè)經(jīng)營風險之間的邏輯關系。新修訂的國際審計準則IAS315《了解被審計單位及其環(huán)境并評估重大錯報風險準則》明確規(guī)定了了解客戶及其環(huán)境并評估風險的相關事宜,充分體現(xiàn)了現(xiàn)代風險導向?qū)徲嬍且燥L險評估為中心的核心思想。審計人員對審計風險評估的精確度直接影響審計的效率和效果。模糊綜合評價法是對界限不明、對同一事物有影響的多種因素進行定量評估的數(shù)學方法。本文在現(xiàn)代風險導向?qū)徲嬒拢钊敕治鲆餚2P網(wǎng)貸平臺審計風險的潛在因素,并根據(jù)相關因素特征引入模糊綜合評價法,構建審計風險模糊綜合評價模型,通過提高審計風險評估的精確度,提高P2P網(wǎng)貸平臺的審計效率和效果,以實現(xiàn)加強P2P網(wǎng)貸平臺第三方審計,促進其健康發(fā)展的目標。

一、現(xiàn)代風險導向?qū)徲嬒翽2P網(wǎng)貸平臺特征及其審計風險因素分析

現(xiàn)代風險導向?qū)徲嬍且詫徲嬶L險源頭為出發(fā)點,從被審計單位商業(yè)環(huán)境、管理機制、經(jīng)營方式等內(nèi)外部環(huán)境來分析和評估重大錯報風險,在此基礎上執(zhí)行審計程序,將審計風險降低至可接受水平。在現(xiàn)代風險導向?qū)徲嬒?,審計風險模型為:審計風險=重大錯報風險×檢查風險?;赑2P網(wǎng)貸平臺自身特征,平臺審計風險受諸多因素影響。

(一)P2P網(wǎng)貸平臺特征

2015年“互聯(lián)網(wǎng)+”首次出現(xiàn)在政府工作報告中,意味著“互聯(lián)網(wǎng)+”正式成為國家經(jīng)濟發(fā)展的重要戰(zhàn)略。P2P網(wǎng)絡借貸作為互聯(lián)網(wǎng)金融的重要發(fā)展模式之一,具有期限短、融資門檻低等特點,自2007年進入中國市場以來,在一定程度上解決了我國中小企業(yè)融資難等問題。據(jù)網(wǎng)貸之家數(shù)據(jù)顯示,我國P2P網(wǎng)貸平臺數(shù)量在近幾年一直呈持續(xù)增長的態(tài)勢。截至2016年9月30日,P2P網(wǎng)貸平臺數(shù)量為4278家,是2015年同期平臺數(shù)量的1.46倍,平臺數(shù)量增長率高達45.76%。在“互聯(lián)網(wǎng)+”和P2P網(wǎng)貸平臺商業(yè)環(huán)境背景下,P2P網(wǎng)貸平臺有其自身特點。(1)信息中介平臺。2015年7月人民銀行等十部委聯(lián)合出臺了《關于促進互聯(lián)網(wǎng)金融健康發(fā)展的指導意見》,明確了P2P網(wǎng)貸平臺“信息中介”性質(zhì)。P2P網(wǎng)貸平臺的信息中介屬性要求平臺不得為投資者提供任何擔保,同時決定了其向借款人和投資人收取手續(xù)費、管理費用等經(jīng)營盈利方式。(2)行業(yè)透明度低。P2P網(wǎng)貸行業(yè)透明度低主要體現(xiàn)在信息不對稱上。一方面,目前我國P2P網(wǎng)貸平臺缺乏完善的信用系統(tǒng)和征信體系,其與我國最具權威性和真實性的中國人民銀行的信用系統(tǒng)無法實現(xiàn)對接,信息無法共享,而交易雙方又是依靠平臺提供的信息進行審查和做出是否交易的決定。另一方面,投資人和P2P平臺難以有效監(jiān)督借款方的資金用途,缺乏對借款人資產(chǎn)負債狀況、貸款投向及運作情況的了解。(3)互聯(lián)網(wǎng)化運作。P2P網(wǎng)貸金融模式的發(fā)展依托IT技術的發(fā)展,基于平臺的雙方交易離不開網(wǎng)絡。平臺交易的計算機硬件、數(shù)據(jù)、網(wǎng)絡以及用戶等要素相互聯(lián)系,相互影響,同時業(yè)務開展和風險控制離不開互聯(lián)網(wǎng)技術的安全性和穩(wěn)定性。(4)會計記賬流程不統(tǒng)一。P2P網(wǎng)貸平臺是新型的金融服務模式,其經(jīng)濟業(yè)務符合金融業(yè)務的特性,但又有許多不同于其他機構金融業(yè)務的特征。平臺包括核算、內(nèi)控、對賬等記賬流程沒有統(tǒng)一規(guī)定。

(二)P2P網(wǎng)貸平臺審計風險因素分析

(1)重大錯報風險。重大錯報風險是指財務報表在審計以前存在的重大錯報的可能性。本文結合P2P網(wǎng)貸平臺自身特點,分析了網(wǎng)貸平臺重大錯報風險主要來自以下幾個方面:第一,法律風險。法律明確規(guī)定了P2P網(wǎng)貸平臺的信息中介屬性,要求平臺不得提供任何擔保。信息中介屬性也決定了平臺的主要經(jīng)營盈利方式。由于平臺競爭大,中小企業(yè)融資需求多,有的平臺為促成交易,不惜觸犯法律,與第三方擔保機構串謀,一旦借款人無法償還投資人的本金和利息,將對平臺的信譽及持續(xù)經(jīng)營能力產(chǎn)生重大影響。第二,信用風險。由于平臺的信息不對稱性,投資人難以有效監(jiān)督資金投向及運作情況,無法跟蹤借款人。平臺可能冒充借款人,虛構借貸交易以虛構平臺營業(yè)收入,造成營業(yè)收入認定層次的重大錯報。第三,道德風險。由于P2P網(wǎng)貸行業(yè)競爭激烈,為吸引資金,獲得高信用評級,平臺故意錯報、漏報,影響審計人員最終編制的審計報告的權威性和真實性。第四,操作風險。P2P網(wǎng)貸平臺缺乏嚴格的從業(yè)人員標準,人員操作失誤、系統(tǒng)漏洞等均可造成數(shù)據(jù)丟失、受損等風險。第五,內(nèi)部控制風險。P2P網(wǎng)絡借貸平臺是互聯(lián)網(wǎng)化運作,其在交易系統(tǒng)中存在的不相容崗位,易造成不恰當授權所引發(fā)的舞弊風險。同時,P2P網(wǎng)貸平臺的交易存在大量數(shù)據(jù),如果沒有有效的內(nèi)部控制對人員進行相關操作的控制,會引發(fā)數(shù)據(jù)被篡改或被盜取的風險,從而降低審計證據(jù)的可靠性。(2)檢查風險。檢查風險是指審計人員的實質(zhì)性程序和財務報表的檢查未能察覺重大差錯的風險。P2P網(wǎng)貸平臺的檢查風險與審計人員的業(yè)務水平及專業(yè)知識水平密切相關,主要體現(xiàn)在以下幾個方面:一是審計人員執(zhí)業(yè)能力風險。P2P網(wǎng)貸平臺審計人員執(zhí)業(yè)能力風險主要包括審計人員的知識水平風險和技術水平風險。P2P網(wǎng)貸平臺審計要求審計人員在了解P2P行業(yè)的基礎上,掌握會計、財務、審計、管理技術、風險控制等相關知識。在審計過程中,由于審計證據(jù)趨于電子化,審計人員在取證時需對數(shù)據(jù)進行有效收集和處理,并運用計算機技術對信息進行篩選、轉化和分析。因此,審計人員如果沒有較高的計算機軟硬件知識,就無法提取有效審計證據(jù),將導致未能發(fā)現(xiàn)漏報或錯報的風險。二是審計人員職業(yè)道德風險。由于當前P2P行業(yè)的審計準則不完備,相關法律法規(guī)不完善,監(jiān)管力度比較薄弱,審計人員行為失當被發(fā)現(xiàn)的概率不高,被概率更低,容易誘發(fā)審計人員的職業(yè)道德風險。結合P2P網(wǎng)貸平臺特征及其審計風險因素分析,總體上網(wǎng)貸平臺審計風險具有兩個方面特性:首先,P2P網(wǎng)貸平臺審計風險因素具有層次性。在現(xiàn)代風險導向?qū)徲嬂砟钕拢瑢徲嬶L險模型要求對審計風險、重大錯報風險、檢查風險分別進行評估,在各個風險評估的基礎上,實施進一步審計程序,將審計風險降低至可接受水平。影響P2P網(wǎng)貸平臺審計風險因素包括法律環(huán)境、行業(yè)狀況、平臺內(nèi)部控制及對會計政策的選擇和運用等內(nèi)部、外部因素,在實施風險評估程序時,將這些風險因素按其與重大錯報風險、檢查風險的關聯(lián)程度進行歸類,再對每一類風險因素進行評估,最后對評估結果在更高層次進行綜合,體現(xiàn)了風險因素的層次性。其次,P2P網(wǎng)貸平臺審計風險評估具有模糊性。模糊性是指客觀事物間因邊界不清而難以量化性。網(wǎng)貸平臺審計風險因素眾多,且貫穿于審計全過程,審計人員難以對其精確描述和定量衡量,因此網(wǎng)貸平臺風險評估具有模糊性。由于P2P網(wǎng)貸平臺審計風險因素具有上述特征,為實現(xiàn)審計目標,發(fā)揮審計在網(wǎng)絡金融中的監(jiān)管作用,在審計工作中提高風險評估的精確度至關重要。模糊綜合評價法是模糊數(shù)學中應用廣泛的一種方法。對某一事物評價時,其對單個因素進行評價,并設立評語集,在此基礎上對所有因素進行模糊綜合評價。因此本文引入模糊綜合評價法對P2P網(wǎng)貸平臺審計風險進行量化評估。

二、P2P網(wǎng)貸平臺審計風險模糊綜合評價模型的構建

將模糊綜合評價法應用于P2P網(wǎng)貸平臺審計風險評估中,是指在審計風險評估中運用模糊數(shù)學的綜合評判模型,科學系統(tǒng)地建立審計風險因素集(又叫指標集),再根據(jù)審計風險因素的權重,分別評價這些審計風險因素,最后利用模糊矩陣對其進行審計風險綜合評價并得出評估結果。

(一)模糊綜合評價基本模型

構建模糊綜合評價模型時,首先根據(jù)評判對象確立其因素集,即指標集U=(u1,u2,...,um),并設評判集為V=(v1,v2,...,vm)。再構建表示各因素影響程度的模糊評判矩陣,確定各因素的權重,最后計算出被評判對象的綜合評估結果。

(二)P2P網(wǎng)貸平臺審計風險評估指標體系建立

按照P2P網(wǎng)貸平臺形成的層次化指標體系,綜合評價指標體系分為三個層次:(1)預期審計風險評價指標體系。預期審計風險指注冊會計師預先確定的且客觀存在的準備承擔的風險,審計人員根據(jù)預期審計風險制定審計策略和具體審計計劃,將審計風險降低至可接受水平。根據(jù)P2P網(wǎng)貸平臺特點及其審計風險因素分析,預期審計風險評價指標體系見表1:(2)重大錯報風險評價指標體系。審計過程中,審計人員通過實施風險評估程序來評估重大錯報風險,并根據(jù)評估結果實施進一步審計程序。根據(jù)上文對P2P網(wǎng)貸平臺重大錯報風險因素分析,構建其綜合評價指標體系見表2:(3)檢查風險評價指標體系。檢查風險是審計人員可控制的風險,根據(jù)P2P網(wǎng)貸平臺審計風險因素分析及實際審計工作中相關審計方法,構建檢查風險綜合評價指標體系見表3:(三)模糊評判矩陣構建與權重計算根據(jù)模糊綜合評價基本模型,P2P網(wǎng)貸平臺指標體系構建完成后,應根據(jù)兩兩因素對被評價對象影響程度的比較信息構建模糊評判矩陣,確定各因素的權重。根據(jù)前文,P2P平臺審計風險評估二、三級指標有n個因素,根據(jù)每一層指標對上層指標的重要性建立矩陣R,求得元素(a1,a2,...,an)的權重(w1,w2,...,wn)。以P2P網(wǎng)貸平臺內(nèi)部控制模糊綜合評判矩陣為例,見表4:其中,rij(i=1,2,...,n;j=1,2,...,n)表示元素ai與元素aj相比,前者比后者更重要程度。重要程度采用1-9比例標度含義(見表5)。當rij=1時,表示ai與aj同等重要。wi是對元素ai重要程度的度量,wi越大,元素ai越重要。其含義是,從P2P網(wǎng)貸平臺內(nèi)部控制方面考慮其重大錯報風險時,控制環(huán)境、信息系統(tǒng)與溝通、監(jiān)督和控制活動等都會影響重大錯報風險,且各元素對重大錯報風險影響程度不同。整理上述評價結果,將模糊評判矩陣調(diào)整為模糊一致矩陣,計算各元素的權向量,再采用最小二乘法求出權向量w=(w1,w2,...wn),并確立模糊矩陣R=(rij)n×n。元素a1,a2,...an的權重值w1,w2,...wn為:rij=0.5+α(wi-wj),i,j=1,2,...,n。其中,0<α≤0.5,評價對象的差異程度或個數(shù)越小,α取較小值,審計人員通過調(diào)整α的大小,在求出的若干不同的權重值中選擇比較滿意的權向量。

三、P2P網(wǎng)貸平臺審計風險模糊綜合評價模型應用

以某P2P網(wǎng)貸平臺預期審計風險為例,設該平臺預期審計風險因素集為U(u1,u2,u3,u4,u5),經(jīng)審計項目組風險評估專家對風險因素的評判,得模糊評判矩陣為:設權重集W=(0.3,0.2,0.1,0.2,0.2),則U的綜合評估為:P=W×R=(0.150.050.040.040)經(jīng)歸一化得:P*=(0.540.180.140.140)因此得該P2P網(wǎng)貸平臺預期審計風險因素為:F=P×CT=(0.540.180.140.140)×(1%3%5%7%9%)=2.8%根據(jù)綜合評判結果,預期審計風險2.8%小于審計風險合理水平(一般為5%),對于初次接受審計業(yè)務的事務所而言,可以接受該網(wǎng)貸平臺的審計業(yè)務。

四、結論

作為互聯(lián)網(wǎng)金融重要發(fā)展模式之一的P2P網(wǎng)貸平臺在快速發(fā)展中也積累了大量風險,對其風險監(jiān)管問題的討論引起社會各界的廣泛關注。審計作為經(jīng)濟活動中的有效監(jiān)管方式,將其引入P2P網(wǎng)貸平臺是大勢所趨。近日,中注協(xié)約談事務所,加強與互聯(lián)網(wǎng)金融相關的上市公司年報審計風險的關注。這表明在加強P2P網(wǎng)貸平臺審計中,應加大審計風險評估和應對。而現(xiàn)代風險導向?qū)徲嬍且云髽I(yè)經(jīng)營風險評估為主的,迎合了當今高度風險社會的需要。為提高審計質(zhì)量,實現(xiàn)審計對P2P網(wǎng)貸平臺監(jiān)督作用的目標,本文將模糊綜合評價法引入,將其運用到網(wǎng)貸平臺預期審計風險、重大錯報風險和檢查風險的評估中,實現(xiàn)從定性分析的基礎上對風險進行量化評估。審計風險的量化評估提高了風險評估的精確度,在審計實務中,審計人員根據(jù)量化的評估結果制定審計策略和具體審計計劃,有針對性地調(diào)配審計資源,將審計風險降低至可接受水平,從而實現(xiàn)高質(zhì)量審計,實現(xiàn)審計在P2P網(wǎng)貸平臺中的監(jiān)管作用。

參考文獻:

篇7

關鍵詞:風險評估;報告;內(nèi)控體系

中圖分類號:F272 文獻標識碼:A 文章編號:1001-828X(2014)010-00-01

風險評估工作與內(nèi)部控制體系的建設相互促進、有機結合,是企業(yè)圍繞總體經(jīng)營目標,識別企業(yè)各業(yè)務單元、各項重要經(jīng)營活動及其重要業(yè)務流程中的風險,并對風險發(fā)生的可能性和影響程度進行分析、評價和應對的過程。

總體而言,風險評估報告的結構至少應包括四部分內(nèi)容:其一,企業(yè)情況概述,本部分就企業(yè)風險評估項目背景、定位與目標、理念與方案三大內(nèi)容進行概括與總結,便于報告使用者理解本次風險評估工作的基本目標與方法;其二,風險評估實施過程,本部分是整個風險與內(nèi)控體系建設工作的起點,旨在構建一個具有代表性又有擴展性的通用風險管理標準,從風險管理知識宣傳、風險分類與定義、風險評估標準三大方面初步構建企業(yè)風險管理基礎平臺;其三,識別企業(yè)面臨的重大風險,根據(jù)風險調(diào)查問卷和風險調(diào)研訪談,識別出企業(yè)面臨的重大風險,以供企業(yè)管理層參考;其四,風險管理體系的建設,結合企業(yè)風險管理的現(xiàn)狀,提出相應的改進措施,包括風險管理組織結構設置、職能設置、工作流程及工作防范建議。

以上四部分在風險評估報告中層層推進,構成完整的風險評估過程,以下作詳細說明。

一、風險評估項目概述

(一)風險評估項目背景

本部分重點介紹企業(yè)的成立、發(fā)展沿革,行業(yè)背景,分子公司情況以及業(yè)務架構、組織結構等。編制企業(yè)風險評估報告的重要意義在于企業(yè)管理層希望借助風險評估項目,有效識別和評估影響本企業(yè)戰(zhàn)略和經(jīng)營目標的內(nèi)外部風險源,并通過健全重大風險的應對與管控機制,有效地平衡好風險與收益,提高企業(yè)風險防范能力,從而防范和降低各類風險對企業(yè)經(jīng)營的沖擊,為企業(yè)實現(xiàn)戰(zhàn)略和經(jīng)營目標保駕護航。

(二)關于風險評估項目定位與目標

風險評估項目旨在達成三大目標:其一,建立風險管理基礎,構建一個具有代表性又有擴展性的通用風險管理標準,統(tǒng)一企業(yè)的風險管理語言和標準;其二,明確重大風險領域,采用全面梳理與重點分析相結合的方式,識別和分析企業(yè)戰(zhàn)略、經(jīng)營、財務與合規(guī)領域中的重大風險,協(xié)助管理層統(tǒng)一對風險的認識;其三,團隊能力建設與知識培養(yǎng),加強和提高企業(yè)總部和各業(yè)務群管理團隊對風險管理工作的參與度和認知,最大程度實現(xiàn)知識轉移。

二、風險評估項目實施過程

(一)關于判斷風險分類與定義

應從企業(yè)戰(zhàn)略出發(fā),參考COSO內(nèi)部控制整合框架、行業(yè)風險數(shù)據(jù)庫以及企業(yè)的風險管理實務,并結合企業(yè)的戰(zhàn)略目標、實際情況等因素,建立適用于本企業(yè)的風險數(shù)據(jù)模型(即風險地圖),從戰(zhàn)略風險、運營風險、合規(guī)風險及財務風險四大方面對企業(yè)所面臨的風險進行分類和定義,從而為統(tǒng)一公司的風險管理語言奠定基礎。

(二)關于設立風險評估標準

為了對上述四大類風險的重要性進行評定并據(jù)此明確風險管理的優(yōu)先次序和資源配置方向,應從風險發(fā)生可能性和風險影響程度兩個維度建立符合企業(yè)實際情況的風險評估標準,以反映風險發(fā)生可能性由極低至極高,和風險影響程度由極輕微至災難性的不同等級。

(三)關于實施風險評估過程

為了協(xié)助管理層更好地理解和評估風險,應以風險數(shù)據(jù)庫和評估標準為基礎,通過風險調(diào)查問卷的發(fā)放、收集與統(tǒng)計,風險調(diào)研與風險訪談等多種形式,在企業(yè)總部和業(yè)務群開展多層次、全方位的風險識別與評估工作。通過上述工作,不僅協(xié)助企業(yè)管理層評估重大風險領域所在,而且還能分析其可能影響的戰(zhàn)略及經(jīng)營目標,從而為企業(yè)明確風險責任,改進相關重點業(yè)務領域中的風險管控措施明確方向。

三、針對企業(yè)風險評估的調(diào)研結果

結合風險調(diào)查問卷與風險調(diào)研訪談的結果,企業(yè)管理層對影響本企業(yè)戰(zhàn)略和經(jīng)營目標實現(xiàn)的眾多風險進行客觀評估,并由此明確前幾大風險的優(yōu)先次序。這些風險可能是:產(chǎn)業(yè)(產(chǎn)品)戰(zhàn)略和多元化、戰(zhàn)略規(guī)劃、市場營銷、風險管理體系建設、公司高層的基調(diào)、品牌及聲譽管理、銷售模式、客戶結構風險、人力資源規(guī)劃及政策、組織結構等等。這些風險并不是獨立存在,在實際經(jīng)營環(huán)境中,各類風險往往互相影響、互相牽制,共同對企業(yè)實現(xiàn)經(jīng)營目標產(chǎn)生影響。為此,還應對上述重大風險及其內(nèi)在關系進行相應的邏輯分析,以協(xié)助管理層梳理各項重大風險之間的關系。

四、企業(yè)風險管理體系搭建

一套成熟完善的風險管理框架包括戰(zhàn)略(目標)、風險以及流程與控制。企業(yè)戰(zhàn)略處于企業(yè)管理及風險管理體系的最高層,是企業(yè)風險管理以及流程內(nèi)控建設的出發(fā)點,風險管理體系必須緊緊圍繞企業(yè)戰(zhàn)略。風險則是影響企業(yè)戰(zhàn)略管理體系的實施與戰(zhàn)略目標達成的不確定因素,企業(yè)需要將外部環(huán)境、內(nèi)部經(jīng)營與戰(zhàn)略目標進行對比,以識別出影響企業(yè)戰(zhàn)略的重要風險。企業(yè)流程與管控體系則是風險管理體系的重要落腳點,完善的風險管理體系可以從企業(yè)的流程、制度等管控體系中識別出影響,并從風險管理體系的制度及流程建立風險應對措施。

(一)風險管理體系現(xiàn)狀分析

一套完善的風險管理體系通常由業(yè)務部門、風險管理部門和內(nèi)部審計部門組成的“三道防線”共同構成。通常,企業(yè)均能初步搭建起風險管控體系的三道防線,如:1.各業(yè)務部門負責關注各業(yè)務領域內(nèi)的風險并采取相應的控制措施降低風險;2.企業(yè)管理部負責公司運營風險管理,對運營風險進行預警和控制,為公司的經(jīng)營、管理決策提供可行性、合法性分析和法律風險分析;3.審計監(jiān)察部主要負責集團的財務審計、經(jīng)營活動審計及其他專項審計。

(二)風險管理工作規(guī)劃

風險管理與內(nèi)部控制體系的建設密切相關,相輔相成,沒有完善配套的內(nèi)控體系,風險管理就如同紙上談兵、空中樓閣;而缺少風險管理的內(nèi)控體系建設,會由于缺乏足夠的針對性而效率低下、浪費資源。

無論是《企業(yè)內(nèi)部控制基本規(guī)范》或是COSO ERM模型,都將企業(yè)的目標分為四大類別,包括:戰(zhàn)略目標、經(jīng)營目標、財務目標和合規(guī)目標。風險是影響企業(yè)目標實現(xiàn)的不確定性,而內(nèi)部控制則是由企業(yè)董事會、監(jiān)事會、經(jīng)理層和全體員工實施的、旨在實現(xiàn)控制目標的過程。因此,企業(yè)有目標就會有風險,而針對每個風險就會有相應的內(nèi)部控制,以管理風險,從而合理保證目標的實現(xiàn)。

風險評估項目實施過程中,應協(xié)助企業(yè)初步搭建結合先進理論基礎、契合企業(yè)實際情況、符合國家監(jiān)管要求的內(nèi)部控制體系框架,將風險匹配到內(nèi)控體系框架,并完成對該體系框架的評估、梳理和建設工作。

在此基礎上,需要進一步開展風險管理工作,逐步完善風險管理和內(nèi)部控制體系,依據(jù)風險分層管理、分類管理和集中管理的要求,建立符合企業(yè)自身特點的全面風險管理組織體系。另外,在充分考慮企業(yè)規(guī)模以及業(yè)務發(fā)展需要的基礎上,針對近期及未來風險管理工作的重點,提出相應的參考及建議。如:完善企業(yè)風險管理組織架構中各管理層級的崗位職責。完善三道防線,其一,各風險責任部門的日常管理工作,包括,風險責任人、風險聯(lián)絡員等;其二,風險管理部門的管理工作,風險管理涉及公司的方方面面,建議由總裁、執(zhí)行總裁等高級管理人員組成的風險管理委員會,負責公司整體風險管理工作,風險管理委員會下設風險管理部門,負責各業(yè)務部門風險管理工作的協(xié)調(diào);其三,審計監(jiān)督工作,審計監(jiān)察部應對風險管理進行審查和評價,對風險管理工作進行監(jiān)督,即對風險管理過程的設計和執(zhí)行的有效性進行評價,并給出評價意見;審查和評價重大風險的評估和管理是否適當,將評價結果向?qū)徲嬑瘑T會匯報。

風險評估工作結束后,形成風險評估報告,反映企業(yè)的風險及其分布狀況,為領導決策提供支持。通過風險辨識、風險分析及風險評價,形成風險評估初步結果后,就風險評估結果的真實性、準確性向企業(yè)風險管理委員會征求意見,并根據(jù)反饋的意見,調(diào)整、修正企業(yè)的風險評估結果,編寫出企業(yè)的風險評估報告,上報風險管理委員會或董事會進行審議。

參考文獻:

[1]企業(yè)內(nèi)部控制基本規(guī)范.財政部,證監(jiān)會,審計署,銀監(jiān)會和保監(jiān)會聯(lián)合.

篇8

摘 要 近年來,隨著我國經(jīng)濟的不斷發(fā)展,傳統(tǒng)的內(nèi)部設計模式已經(jīng)無法適應其要求。風險導向?qū)徲嬍且环N層次較高的審計模式,它能在更大程度上為企業(yè)內(nèi)部審計目標的實現(xiàn)提供保障,其目前在內(nèi)部審計中已開始推廣和應用,因此,加強對風險導向?qū)徲嫷难芯亢苡斜匾?。鑒于此,本文擬從風險導向?qū)徲嫷母拍詈吞攸c、風險導向?qū)徲嬙趦?nèi)部審計應用中的問題以及風險導向?qū)徲嬙趦?nèi)部審計應用中的對策等幾個方面來進行分析與闡述,以期加深對這一問題的認識與理解程度。

關鍵詞 風險導向 審計 內(nèi)部 應用

經(jīng)過一段時期的發(fā)展,我國的內(nèi)部審計模式已經(jīng)經(jīng)歷了財務導向?qū)徲?、業(yè)務導向設計、內(nèi)控導向?qū)徲嬕约帮L險導向?qū)徲嫷葞讉€階段。在內(nèi)部審計中,風險導向?qū)徲媽儆谧罡邔哟?,它的出現(xiàn)適應了現(xiàn)代社會發(fā)展環(huán)境不斷復雜化的要求。在對風險導向?qū)徲嬙趦?nèi)部審計應用中的問題以及風險導向?qū)徲嬙趦?nèi)部審計應用中的對策這兩個問題進行分析之前,我們先來了解一下風險導向?qū)徲嫷母拍詈吞攸c。

一、風險導向?qū)徲嫷母拍詈吞攸c

為了理解與闡述的方便,我們主要可以從風險導向?qū)徲嫷母拍詈惋L險導向?qū)徲嫷奶攸c兩個方面來進行分析。

1.1風險導向?qū)徲嫷母拍?/p>

所謂風險導向?qū)徲嬛傅氖菍L險意識貫穿于審計工作的全過程,在對企業(yè)的戰(zhàn)略目標、風險管理以及控制監(jiān)督等進行了解與評價的基礎上,確定企業(yè)的風險水平和剩余風險,從而實現(xiàn)企業(yè)目標的一種方法。

1.2風險導向?qū)徲嫷奶攸c

歸結起來,風險導向?qū)徲嫷奶攸c主要表現(xiàn)在以下幾個方面:其一,完善的審計思路。現(xiàn)代社會條件下的風險導向?qū)徲嬕髮徲嫀熯\用“自上而下”和“自下而上”相結合的思路對企業(yè)內(nèi)部風險作出合理科學的判斷。“自上而下”就是指通過嚴密的推理,來逐步得出審計工作的重點,并對相關的審計目標和審計程序加以確定的過程,“自下而上”就是指根據(jù)審計程序及結果,得出一些重要的判斷,從而將其歸納總結形成一定的審計意見的過程;其次,新型的審計風險模型?,F(xiàn)代審計風險模型是應用現(xiàn)代風險導向?qū)徲嬂碚撝笇徲媽崉盏墓ぞ撸趥鹘y(tǒng)審計風險模型的基礎上進行了改進,形式上有所簡化。新型的審計風險模型也即:審計風險=重大錯報風險+檢查風險。新型審計風險模型的建立與使用可以有效降低審計的風險;最后,個性化的審計測試程序。審計測試程序具有兩個方面的內(nèi)容,即具體的審計目標以及完成審計所需要的步驟與方法等,審計測試程序還具有非常重要的作用,比如提高效率、降低風險、明確責任等。所謂個性化的審計測試程序就是指現(xiàn)代風險審計針對不同客戶、不同風險采用個性化的審計測試程序,它能在更大程度上對審計工作可能出現(xiàn)的風險加以規(guī)避。

二、風險導向?qū)徲嬙趦?nèi)部審計應用中的問題

目前,雖然風險導向?qū)徲嬕呀?jīng)在很多領域有了應用,比如醫(yī)院、建筑等,但由于這一審計模式畢竟還是一種比較新型的事物,所以其在實踐中的應用還存在著不少的問題,對風險導向?qū)徲嫷耐茝V應用造成了很大影響。首先,風險導向?qū)徲嫵杀具^高。要想對企業(yè)進行風險導向?qū)徲嬀捅仨殞ψ詴嫀熯M行必要的業(yè)務培訓,需要加強其對企業(yè)情況的了解,這些都需要一筆不小的資金投入;其次,缺乏高素質(zhì)的風險導向?qū)徲嬋瞬?。風險導向?qū)徲媽ο嚓P人員的要求較高,除了具備專門的業(yè)務知識外,還必須具有相關的法律知識等,不過從目前來看,我國還是很缺乏這類綜合素質(zhì)較高的審計導向人才,這在很大程度上限制了風險導向?qū)徲嫻ぷ鞯拈_展;最后,缺乏對風險導向?qū)徲嫷恼J識。風險導向?qū)徲嬇c傳統(tǒng)的審計模式不同,要想在實踐中對其進行熟練運用,前提是必須對其基本性質(zhì)加以準確把握,比如一些具體的操作思路、交易事項以及細節(jié)測試等。

三、風險導向?qū)徲嬙趦?nèi)部審計應用中的對策

鑒于風險導向?qū)徲嬙趦?nèi)部審計應用中的重要性以及其在具體應用中所出現(xiàn)的一系列問題,我們必須采取有效措施加以解決。

一是探索針對性更強的審計程序。所謂審計程序就是指為完成審計工作所需要的詳細步驟,主要包括審計項目計劃、審計準備、審計實施以及審計終結等幾個方面。風險導向?qū)徲嫵绦蛞髮徲嫻ぷ鞯闹匦那耙疲匾晫徲嬘媱?,充分了解被審計單位及其所處環(huán)境,對管理者的誠實性保持應有的謹慎,對內(nèi)部控制的有效性進行恰當?shù)嘏袛嗯c運用,識別和評估重大風險,制訂出符合項目特點的審計計劃,同時在審計實施中要充分利用分析性程序,結合先進的計算機技術,將大量客觀數(shù)據(jù)通過計算機分析軟件,快速、準確地得到需要的結論。

二是提高風險導向?qū)徲嬎?。風險導向?qū)徲嬎降奶岣咝枰獜亩鄠€方面進行努力,首先是審計人員綜合素質(zhì)的提高,應定期對審計人員進行培訓,其次采用先進的技術手段,比如計算機技術等,可以通過系統(tǒng)的抽樣和分析,來對審計風險進行有效的評估,并能在很大程度上提高審計工作的效率與水平。

三是建立風險評估方法。風險導向?qū)徲嬍窃陲L險評估的基礎上,確定審計方向和重點,改變了傳統(tǒng)以內(nèi)控測試為主的審計方法。風險評估方法是一種系統(tǒng)的、科學的和可量化的方法,風險導向?qū)徲嫃娘L險評估開始,形成了風險評估、確定審計范圍、制定審計計劃、開展審計工作、出具審計報告、缺陷整改提高、開始新的風險評估這樣一個循環(huán),可見風險評估方法是否得當將會直接影響其他審計要素,進而影響整個審計工作的效率、效果和質(zhì)量。目前比較常用的風險評估方法主要是以風險影響程度(風險發(fā)生對企業(yè)目標時的影響)和風險發(fā)生的概率(風險發(fā)生的可能性)來衡量風險大小,即風險大小=風險影響程度×風險概率,以此計算出各種事項的風險大小。

四、結語

隨著經(jīng)濟的全球化,企業(yè)間競爭日益劇烈,面臨更大的內(nèi)外部風險,風險導向?qū)徲媽?nèi)部審計來說顯得更加重要。本文通過對風險導向?qū)徲嫷姆治雠c闡述,希望可以為以后的相關研究和實踐提供某些有價值的參考和借鑒。

參考文獻:

[1]邵培.風險導向?qū)徲媽?nèi)部審計人員能力和素質(zhì)的要求.商情.2013,20(7):19-20.

篇9

(一)審計重心前移。風險導向?qū)徲嬜畲蟮奶攸c是將審計重心放在事前的風險評估上,從以審計測試為中心到以風險評估為中心,審計程序主要包括風險評估程序、分析性測試程序、審計測試程序(包括控制測試和實質(zhì)性測試)。傳統(tǒng)審計不能適應現(xiàn)代報表審計需要就在于其原有的風險評估不到位,未能有效發(fā)現(xiàn)高風險審計領域,造成審計過量或?qū)徲嫴蛔?現(xiàn)在大大加強了風險評估程序,真正體現(xiàn)了風險導向?qū)徲嫷睦砟睢?/p>

(二)更加注重外部審計證據(jù)。審計重心向風險評估轉移導致風險評估程序顯得至關重要,風險評估準確與否將直接影響到審計效果和審計效率。風險評估在一定程度上帶有一定的主觀性,但必要的是審計證據(jù)是必不可少的,尤其是更加客觀、真實的外部證據(jù)。僅僅依靠被審計單位提供的內(nèi)部證據(jù)來對風險進行評估,所得出來的結論是不可靠的。所以,審計人員在搜集審計證據(jù)時不應只采用內(nèi)部證據(jù),而應更努力地獲得相關的外部審計證據(jù)來對風險進行評估。

(三)在各個階段都利用審計風險模型作出決策。在風險導向?qū)徲嬛?審計人員在各個審計階段,都分別以審計風險模型為主,分析評價各自的期望審計風險、固有風險、控制風險和檢查風險,并在此基礎上作出各項決策,從而能夠全面控制審計風險。制度基礎審計模式中的審計風險模型是一維的,它只有一個決策目標——確定實質(zhì)性測試所需的證據(jù)量,所涉及的風險層次和范圍比較狹窄;而風險導向?qū)徲嬆J街械膶徲嬶L險模型是二維的,它既包含了不同的風險要素,而且在不同審計階段給各風險要素賦予了不同的內(nèi)涵。

二、審計模式的發(fā)展歷程

(一)賬項導向?qū)徲嬆J?。賬項導向?qū)徲嬆J绞亲畛跏嫉膶徲嫹椒?主要功能在于查錯防弊,其技術方法主要是從審計期間會計事項所依據(jù)的相關會計原始憑證入手,追查到記賬憑證、賬簿、會計報表等會計文件的形成,驗算其記賬金額、核對賬證、賬賬、賬表。賬項導向?qū)徲嬆J絻H適用于經(jīng)濟業(yè)務不很復雜的小規(guī)模企業(yè)。隨著生產(chǎn)經(jīng)營規(guī)模的擴大,融資、投資渠道和方式的多樣化、特別是資本市場的發(fā)展,賬項導向?qū)徲嬆J降木窒扌跃腿找嫱癸@,至20世紀初,這種模式就逐漸退出其主導地位,而代之以制度導向?qū)徲嬆J健?/p>

(二)制度導向?qū)徲嬆J健kS著企業(yè)經(jīng)營規(guī)模的擴大,業(yè)主或企業(yè)管理層勢必改變“事必躬親”的管理方式,建立系統(tǒng)的分層、分工的科學管理制度,企業(yè)在經(jīng)營發(fā)展過程中建立起內(nèi)部控制系統(tǒng),這就促使審計人員把注意力轉移到與會計相關的內(nèi)部控制系統(tǒng)的控制功能上來。制度導向?qū)徲嬆J綄徲嫷闹攸c放在對內(nèi)部控制制度各個控制環(huán)節(jié)的審查上,這種審計模式,是建立在對被審計單位內(nèi)部控制系統(tǒng)認識基礎上的重點審查。以大數(shù)定律和正態(tài)分布為基礎的統(tǒng)計抽樣也逐漸取代了單純判斷性和任意性的抽樣。同時,這一模式由于著眼于對內(nèi)部控制制度整體的了解與分析,還可以發(fā)現(xiàn)與某些內(nèi)部控制相關的會計信息的系統(tǒng)性錯誤,從而提高了審計效率。正因為如此,制度導向?qū)徲嬆J綇?0世紀四十年代起就成為注冊會計師審計的主要方法。

(三)風險導向?qū)徲嬆J?。風險導向型審計的產(chǎn)生,主要源自美國,風險導向型審計的內(nèi)在思想是,任何審計業(yè)務都必須將審計風險控制在可接受的風險水平內(nèi)。

其顯著的特點是:它立足于對審計風險進行系統(tǒng)的分析和評價,并以此作為出發(fā)點,制定審計策略和與企業(yè)狀況相適應的多樣化審計計劃,將風險考慮貫穿于整個審計過程。因為它著眼于全面的控制測試,而不是著眼于測試內(nèi)部控制制度的執(zhí)行效果(即符合性測試)。風險導向?qū)徲嬆J胶侠淼負P棄了作為制度導向?qū)徲嬆J交A的“無利害關系假設”,把指導思想建立在“合理的職業(yè)懷疑假設”基礎上。不只依賴對被審計單位管理層所設計和執(zhí)行內(nèi)部控制制度的檢查與評價,而是實事求是地對公司管理層是否誠信,是否有舞弊造假的驅(qū)動,始終保持一種合理的職業(yè)警覺,將審計的視野擴大到被審計單位所處的經(jīng)營環(huán)境,捕捉潛在的風險點,將風險評估貫穿于審計工作的全過程。

三、現(xiàn)代風險導向?qū)徲嫅弥械膯栴}

從理論上講,現(xiàn)代風險導向?qū)徲嬆軌驈浹a傳統(tǒng)風險基礎審計的不足,縮小審計期望差距。但是,無論是在國際上還是在國內(nèi),還沒有一套嚴密的風險導向?qū)徲嬻w系。從目前看,運用現(xiàn)代風險基礎審計可能存在以下問題:

(一)信息庫的建設。注冊會計師執(zhí)行風險評估程序,充分了解被審單位整體經(jīng)營環(huán)境,然后針對風險不同的客戶,客戶不同的風險領域,設計個性化的審計程序。為此,會計師事務所必須建立功能強大的信息庫,按照行業(yè)發(fā)展特點、客戶經(jīng)營環(huán)境、客戶所處市場環(huán)境以及客戶高層管理者的品行,由專業(yè)高層人員組織實施評價,定期把客戶風險評價的結果向相關業(yè)務承接和實施部門通報,以便注冊會計師在風險評估時了解企業(yè)的戰(zhàn)略、流程、風險管理、業(yè)績衡量。目前,國內(nèi)很多事務所對行業(yè)風險和企業(yè)經(jīng)營風險缺乏了解,數(shù)據(jù)積累不足,信息庫的建設達不到現(xiàn)代風險導向?qū)徲嫷囊蟆?/p>

(二)注冊會計師的綜合素質(zhì)存在較大差距。在風險評估程序中,注冊會計師花大量的時間和精力去了解客戶及其環(huán)境,評估經(jīng)營風險,這就要求注冊會計師具有判斷企業(yè)是否具有生存能力和合理的經(jīng)營計劃的能力。注冊會計師不僅要熟練掌握會計、審計知識,也要掌握管理知識、行業(yè)知識和法律知識等,還要熟練運用各種分析工具對各種財務指標和非財務指標進行分析。目前,我國事務所90%以上的業(yè)務是審計業(yè)務和會計業(yè)務,沒有經(jīng)濟方面、法律方面等多元的背景。注冊會計師不了解企業(yè)的經(jīng)營狀況、相關行業(yè),不懂得管理、行業(yè)等方面的知識,不具備運用數(shù)理統(tǒng)計方法的能力,這些都不利于現(xiàn)代風險導向?qū)徲嫷膶嵤?。為?主管部門需要做大量的培訓工作。事務所也可以一方面引進高層次人才,同時根據(jù)自己的客戶情況、事務所的定位,有針對性地進行員工培訓。

四、我國應用現(xiàn)代風險導向?qū)徲嫷膶Σ?/p>

(一)提高審計人員的專業(yè)判斷能力?,F(xiàn)代風險導向?qū)徲嬕笞詴嫀燀毷紫葟钠髽I(yè)內(nèi)外環(huán)境和經(jīng)營戰(zhàn)略入手,來分析其對財務報表的影響,這就對注冊會計師的分析能力和專業(yè)判斷能力提出了更高的要求;同時,現(xiàn)代風險導向?qū)徲嬤^程實質(zhì)上就是專業(yè)判斷的過程,它提升了審計的技術含量。因此,注冊會計師只有很好的運用專業(yè)判斷能力才能有效提高審計質(zhì)量,避免形式審計。

(二)處理好會計師事務所審計成本與效益問題。從理論上說,現(xiàn)代風險導向?qū)徲嬆J绞紫葘χ卮箦e報風險進行評估,確定重點關注領域,從而可以合理地分配審計資源、提高審計效率。但是在實務中,執(zhí)行風險評估程序主要依賴于外部審計證據(jù),而搜集外部證據(jù)又沒有專門的、固定的途徑,使得搜集外部證據(jù)的成本較大,有時甚至要高于因減少進一步審計測試所降低的成本而使得總成本增加。在市場競爭日益激烈的環(huán)境中,成本的增加很難通過審計收費對其進行彌補,所以如何降低審計成本使審計效益大于審計成本仍是一個值得關注的問題。

(三)健全法律法規(guī)制度。所謂健全法律法規(guī)制度,就是針對現(xiàn)代風險導向?qū)徲嫷男滦蝿?適時修改相應的一些不合時宜的法律法規(guī),以適應新形勢的需要?,F(xiàn)行的各種法規(guī)關于民事賠償責任的規(guī)定最為薄弱,因此應健全法律法規(guī)制度,加大對注冊會計師違法行為的責任追究與處罰力度,以強化注冊會計師的法律風險意識。

主要參考文獻:

[1]陳毓圭.關于風險導向?qū)徲嫹椒ㄓ蓙砼c發(fā)展的認識.會計研究,2004.

[2]劉佳.風險導向?qū)徲嫵跆絒J].財會月刊(會計版),2006.4.

[3]中國內(nèi)部審計協(xié)會編譯.內(nèi)部審計實務標準(2001年修訂本).中國時代經(jīng)濟出版社.

篇10

[關鍵詞]風險導向?qū)徲?職業(yè)道德;審計質(zhì)量;審計市場

[中圖分類號] F239.1[文獻標識碼] A[文章編號] 1673-0461(2010)02-0077-03

當前,我國已經(jīng)全面推行風險導向?qū)徲?。風險導向?qū)徲嬙趯徲嫾夹g方法上的確有著一些進步和突破,但是它并非是一種完美的技術。另外,中國審計環(huán)境與國際審計市場有著巨大差距,風險導向?qū)徲嫹椒赡軙八敛环?。本文從風險導向?qū)徲嫷募夹g層面、實際運用中的職業(yè)道德視角、我國審計市場環(huán)境等角度進行了深入分析。

一、反思:風險導向?qū)徲嫴⒎峭昝?/p>

(一)風險導向?qū)徲嫾夹g上的若干難點問題

在整個風險導向?qū)徲嫵绦蛑?最為重要、最為關鍵、投入審計資源最多就是風險評估階段。這一階段中可能存在的各種復雜情況,這就對審計師提出了諸多挑戰(zhàn),例如,如何準確識別和正確評價風險?怎樣有效建立風險評估結果與控制測試及實質(zhì)性程序(審計抽樣的規(guī)模)之間的關系?審計師就識別和評估風險所下的結論能否成為審計證據(jù)?這個問題涉及到事后審計責任的確定問題,如果相關結論不能成為審計證據(jù)的話,則審計師無法根據(jù)自身的結論實施下一步審計步驟;如果相關結論能夠作為證據(jù)的話,那么,對于風險評估因時間、因人、因環(huán)境而有所差距,一旦發(fā)生分歧,以何為準,一旦發(fā)生訴訟,何為界定責任的依據(jù)?由此可見,盡管風險導向?qū)徲嬞x予審計師更大的專業(yè)判斷空間,但是這一空間卻給審計師的審計責任判斷留下“隱患”。

風險導向?qū)徲嫷娘L險評估結果將決定下一步的審計程序,但是如果審計師有著合理懷疑,但是風險評估的結果卻顯示沒有任何問題,這個時候?qū)徲嫀煈撊绾蚊鎸@個評估的結果,下一步該怎么辦呢?再如審計師有著合理懷疑,卻無從取證證明自己的懷疑,從而只能認可風險評估的實際結果,審計師是否應該堅持自己的職業(yè)懷疑?風險導向?qū)徲嫃娬{(diào)發(fā)現(xiàn)評估重要錯報風險,對于一般的、但是可能潛在著某些不可知因素的風險,審計師是繼續(xù)堅持職業(yè)懷疑,繼續(xù)發(fā)現(xiàn)呢?還是放棄這些風險的評估和追查,轉而攻克那些高風險領域呢?如果審計師不能有效解決這些技術問題,或者缺乏相應的審計指南,風險評估的質(zhì)量難以保證,審計程序極易流于形式,審計質(zhì)量令人堪憂。此外,由于風險導向?qū)徲嫷闹匦脑陲L險評估領域,對實質(zhì)性測試的重視程度不夠;當風險評估領域未能發(fā)現(xiàn)的重要風險點在實質(zhì)性測試中極有可能被忽略,從而大大增加審計風險。

由此可見,盡管風險導向?qū)徲媽徲嫻ぷ髦匦那耙?但是在技術層面和審計責任認定層面存在明顯的“不足”,這種不足完全有可能轉化為審計風險,加大審計師的法律責任,在一定程度上也會威脅審計質(zhì)量。

(二)風險導向?qū)徲嫓蕜t與職業(yè)道德

從源頭上看,風險導向?qū)徲嫹椒▋H僅是審計職業(yè)界面對審計環(huán)境的變化,目的是規(guī)避法律風險和承擔審計責任。隨著安然等事件的爆發(fā),涉及公眾利益的審計期望差距問題變得日益尖銳,風險導向?qū)徲嬕参茨芰己媒鉀Q這一問題,反而在一定程度上加劇了期望差距。

第一,風險導向?qū)徲嫽乇軐徲嫀煈敵袚膶徲嬝熑巍oL險導向準則未能要求審計師承擔全面查錯揭弊的責任,其將審計資源用于高風險領域的思路往往會誘導審計師發(fā)生“道德風險”,也就會造成業(yè)內(nèi)人士對于風險導向?qū)徲嫹椒▽嶋H效果提出置疑:“現(xiàn)實情況表明,在經(jīng)濟人假設成立的情況下,風險導向?qū)徲嫀缀醣粶S為審計師偷工減料的工具,誘導審計師為節(jié)約成本而不惜犧牲審計質(zhì)量,使得審計業(yè)務成了變相的保險業(yè)務,例如只要企業(yè)財務報告的錯報風險低于審計師可以接受的范圍,審計師就可以出具無保留意見的報告,而不問財務報告的真實質(zhì)量,從而背離審計本質(zhì),這就造成審計理念上的紊亂,能使審計由一種高尚的職業(yè)變?yōu)橐环N惟利是圖的生意”[1]。

第二,風險導向?qū)徲嫹椒ㄆ仁箤徲嫻ぷ髌x了審計本質(zhì)。審計活動的主要對象是企業(yè)的財務報告,審計師要針對財務報告發(fā)表審計意見,審計報告和財務報告的使用者利用的是財務信息。在風險導向?qū)徲嫹椒ㄏ?審計師需要對企業(yè)戰(zhàn)略、經(jīng)營環(huán)節(jié)進行全面分析,進行風險評估,并圍繞著風險評估收集審計證據(jù)。可見,審計師已經(jīng)承擔了風險評估師所應完成的任務,審計重心的前移更使得風險評估占據(jù)審計工作的絕大部分,直到審計工作完成大半之后,才重新回到財務報告上來――而這才是財務報告使用者真正關心的內(nèi)容。風險導向?qū)徲嬤^于強調(diào)審計師對于企業(yè)環(huán)境、經(jīng)營環(huán)節(jié)和交易或事項存在的制度方面的關注,而忽略了財務數(shù)據(jù)對交易或者事項的直接依賴性。

二、對風險導向?qū)徲媽嶋H運用效果的考查:四大審計質(zhì)量“堪憂”

風險導向?qū)徲嬋菀渍T導審計師的“職業(yè)道德”這一命題,可以從四大真實的審計質(zhì)量中得到驗證。四大是最早開發(fā)、采用風險導向?qū)徲嫷摹5撬拇髮嶋H執(zhí)行情況如何呢?2004年財政部重點課題“注冊會計師執(zhí)業(yè)環(huán)境研究”課題組就我國審計環(huán)境問題在陜西、上海、深圳、青海等地展開了實地調(diào)研。調(diào)研中發(fā)現(xiàn),國內(nèi)所對于四大在中國市場的執(zhí)業(yè)質(zhì)量普遍感到“不容樂觀”?!八麄兊哪懽痈?我們不敢做的,他們很快就出具標準無保留意見了”?!八麄冏龅牡赘逡灿胁簧偈杪┲?如果放在我們這里,根本無法通過審核,而他們卻已經(jīng)出具了報告。”而監(jiān)管部門對于四大所的態(tài)度也能說明一些問題:對于國外所還是有些“害怕”,在檢查是甚至要采取“迂回”的方式?!巴鈬鶃磙k事都很?!薄Υ?學術界也有研究結果。劉峰(2002)認為,在中國審計市場當前較低的法律風險環(huán)境下,四大執(zhí)業(yè)質(zhì)量堪憂 [2];劉明輝(2003)對中國審計市場集中度和審計質(zhì)量關系進行的研究結果表明:四大在中國審計市場的執(zhí)業(yè)質(zhì)量并不比國內(nèi)所高[3]。東南亞金融危機后,聯(lián)合國在提交的《會計在東亞金融危機中的作用》報告中指出,四大未能采用較高質(zhì)量的審計準則,而是根據(jù)當?shù)剌^低的法律風險環(huán)境,采用了簡化的審計程序,從而未能發(fā)現(xiàn)企業(yè)中存在的問題。

三、啟示:中國審計市場環(huán)境與實施環(huán)境的改進

風險導向?qū)徲嫃钠洚a(chǎn)生至今已經(jīng)有20多年,其在國外的應用效果一直存在爭論。2006年,我國全面改進審計準則,引入風險導向?qū)徲嫾夹g,并在全國實施。必須承認的是,中外審計環(huán)境存在很大差異,差異化的背景不僅不利于解決風險導向?qū)徲嫳旧泶嬖诜N種缺陷,更無助于提升風險導向?qū)徲嫷膶嵤┬Ч?從而使得這種技術流于形式,不僅在實質(zhì)上降低審計質(zhì)量,更是無形中提高了審計成本。

(一)我國審計市場環(huán)境分析

從審計市場的現(xiàn)狀看,我國的審計市場具有以下種種特征,這些特征并不利于風險導向?qū)徲嫷膶嵤?。第?我國審計市場存在明顯的買方市場特征,企業(yè)對審計質(zhì)量無自發(fā)要求,中小型事務所壓價競爭的狀況嚴重。在這樣的市場環(huán)境中,多數(shù)事務所一方面認為市場競爭過于激烈,市場上充斥著過量的事務所;另一方面又普遍感覺缺乏真正意義上合格的事務所。這說明當前的審計環(huán)境亟待改善 。第二,會計師事務所所面臨的是一個較為“寬松”的環(huán)境。除了備受關注的銀廣夏案的中天勤受到嚴厲懲罰外,其他在鄭百文案、猴王案等眾多造假案中的違規(guī)違法事務所,其實都沒有受到具有威懾力的懲罰。“給定我國審計風險如此低的事實,再加上風險導向型審計的內(nèi)在要求,我們可以推斷,包括四大在內(nèi)的國際性會計師事務所在中國審計市場上的行為同樣不應該得到無保留的信任”[2];“在我國目前需求相對無效的市場環(huán)境下,低法律風險必然導致低審計質(zhì)量;并且,以四大為代表的國際知名會計師事務所也會根據(jù)我國相對低的執(zhí)業(yè)風險來降低其審計質(zhì)量。[2]”在這樣的審計市場上,實施風險導向?qū)徲嫷囊饬x并不明顯,審計市場的不規(guī)范更為審計師發(fā)生“道德風險”提供“土壤”。

審計失敗的真正原因在于道德問題,并非技術問題,因此不能冀望風險導向?qū)徲嫿鉀Q審計失敗。對銀廣夏等事件,審計失敗的原因有多種,有些業(yè)內(nèi)人士認為,銀廣夏事件的發(fā)生正是由于沒有實施風險導向?qū)徲嫷慕Y果,并對原有的制度基礎審計準則提出批評和置疑。也有人士認為,如果審計師采用風險導向?qū)徲嬍悄軌虬l(fā)現(xiàn)銀廣夏造假的,而安然事件雖然審計師采用了風險導向?qū)徲嫷俏茨茏裱毩⑿栽瓌t所以發(fā)生失敗。銀廣夏審計失敗的真正原因并不在于審計技術方法問題,仍然是獨立性問題。

(二)實施風險導向?qū)徲嬓杩朔恼系K

由前文所述的我國審計市場環(huán)境分析表明,在我國實施風險導向?qū)徲?除了要特別關注風險導向?qū)徲嫳旧砑夹g問題之外,還需要加強審計環(huán)境建設,尤其是要切實思考并解決好下列問題。

1.市場惡性競爭的情況下,如何突破審計收費的制約?四大表示,風險導向?qū)徲嬕髮徲嫀熅哂袘?zhàn)略眼光,能夠發(fā)現(xiàn)企業(yè)戰(zhàn)略經(jīng)營問題,并提出相應解決方案,從而為企業(yè)咨詢服務提供商機。因此,在風險導向?qū)徲嫹椒ㄏ?審計收費都有普遍提高的趨勢。在我國審計市場上,對于企業(yè)咨詢的收費往往是小額、同審計服務一同提供,而從被稱為“免費的咨詢服務”。事務所很難說服客戶更妄論開拓咨詢服務的市場。在審計回扣盛行,低價競爭惡劣的情況下,這種風險導向?qū)徲嫹椒ㄏ碌淖稍兎召M、相應提高審計收費很可能就是幻想了。

2.如果不能成功提高審計收費,那么為了保證事務所的成本效益,四大都在實質(zhì)性測試的方法、程序和抽取的樣本量方面謀求工作時間的減少,以縮小審計成本,使審計成本和經(jīng)濟效益能達到適當?shù)钠胶?。最簡單的做法便?在制度基礎審計方法中執(zhí)行分析性測試只是作為常規(guī)程序的輔助手段,在風險導向?qū)徲嫹椒ㄏ聞t至少是與交易測試和報表余額詳細測試并重或是更主要的手段,而且決定著余額測試程序的簡繁程度。分析性測試最關注的是捕捉異常情況的跡象,從而為其設定必要的常規(guī)程序和抽取適當?shù)臉颖玖?而不是也不可能要求對所有報表項目余額都必須按常規(guī)審計程序“走一遍”。因此,分析性測試成為一項既極重要又富有“彈性”的審計程序。對于分析性測試的檢查應當成為事務所執(zhí)業(yè)質(zhì)量檢查關注的重點。

3.企業(yè)數(shù)據(jù)庫建設及審計程序軟件開發(fā)問題。風險導向?qū)徲嫃娬{(diào)對企業(yè)風險的評估,實施風險評估的前提就是審計師掌握強大的數(shù)據(jù)庫系統(tǒng)。無論是對于企業(yè)戰(zhàn)略風險、經(jīng)營風險的評估還是確定重大的剩余風險,均需要采用分析性復核方法及運用職業(yè)判斷,合理運用上述兩點技能要求審計師熟悉企業(yè)所在的行業(yè)及行業(yè)基本數(shù)據(jù),而這些離開強大的數(shù)據(jù)庫是無法實現(xiàn)的。西方各國財務數(shù)據(jù)的電子化已經(jīng)非常普遍,因此,審計師在審計中可以直接對數(shù)據(jù)庫進行加工分析,依據(jù)軟件構建模型并由電腦自行檢驗和核對,這就大大地加快了審計速度,使運用分析性測試程序成為節(jié)約成本的重要手段;在我國不僅不具備這樣的設備條件,同時我國大部分注冊會計師缺少這方面的知識和技能準備,因此,在現(xiàn)階段推行風險導向?qū)徲嫹椒?必須攻克數(shù)據(jù)庫和審計程序這一難關。

4.審計失敗案件的處理。我國在推行風險導向?qū)徲嫹椒〞r還面臨如何判斷可接受的審計風險水平問題。在美、英等國,大量的司法判例以及側重對會計師事務所和審計師的民事賠償責任的司法制度,使會計師事務所和注冊會計師較易判斷省略某些審計程序后可能招致的風險損失;而在我國更多的是進行行政處罰甚至刑事處罰,要將后者量化為審計風險水平幾乎是難以做到;而且即使是類似的案情,不同地區(qū)的法院的判決尺度也可能存在巨大的差異,這種司法過程中的不可控因素,也加大了判斷可接受審計風險水平的難度。而在不能相對準確地估計風險水平的前提下推行風險導向?qū)徲嫹椒?一旦變相為常規(guī)審計程序的隨意省略,其后果的嚴重性是難以想象的。此外,我國司法部門在積累對財務報表虛假陳述案件的審判經(jīng)驗方面,也需要一定的時間。

四、小 結

當前風險導向?qū)徲嬕呀?jīng)在我國全面實施,這一技術實施的效果究竟如何,需要進一步的思考和研究。當前,需要對風險導向?qū)徲嬘懈鼮槿嬲J識:盡管風險導向?qū)徲嫹椒ň哂幸欢ǖ膬?yōu)越性、修訂相關審計準則是符合國際趨勢的,但是不能抱定風險導向?qū)徲嬍且环N完美方法的態(tài)度,一味地全盤大加肯定。更重要的是,需要考察風險導向?qū)徲媽嶋H執(zhí)行情況,了解運用這種方法可能會發(fā)生的哪些問題,從中吸取經(jīng)驗教訓,從而切實規(guī)避風險導向?qū)徲媽嵤┻^程中的障礙。

[參考文獻]

[1]黃世忠,陳建明.美國財務舞弊癥結探究[J].會計研究,2002,

(10):24-32.

[2]劉峰,許菲.風險導向型審計•法律風險•審計質(zhì)量――兼論

“五大”在我國審計市場的行為[J].會計研究,2002,(2):21-27.

[3]劉明輝,李黎,張羽.我國審計市場集中度與審計質(zhì)量關系 的實證分析[J].會計研究,2003,(7):37-41.

Risk-oriented Auditing in China: Reflection and Enlightenment

HuBo

(School of Management, China Women’s University, Beijing 100101, China)