审计中的风险评估范文
时间:2023-11-14 17:54:45
导语:如何才能写好一篇审计中的风险评估,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
(一)风险导向审计与金融机构洗钱风险评估的异同。具体运用中,两者均采用抽样评价方法,取证手段相同(如询问、查阅、检查等方式),评估流程类同。财务报表审计流程大致分三个阶段,即承接业务阶段的内外部风险评估,主要分析被审计单位高管层压力、机会和借口等因素所引发的舞弊或错报风险;风险初步评估阶段,了解评价被审计单位环境、内控制度情况;进一步审计程序阶段,控制测试和实质性测试(对被审计单位各类交易、账户余额和披露的细节测试以及实质性分析程序)。后续审计程序根据前阶段的风险评估结果确定,当后续审计程序获取的审计证据与初始评估获取的审计证据相矛盾时,可以修正风险评估结果,并相应修改原计划实施的进一步审计程序。审计风险评估的目的是根据风险,确定进一步审计程序的性质、范围和时间安排,其目的在于内控风险较高时,更多的控制测试和实质性测试能推断被审计单位的错报或舞弊行为,继而获取被审计单位错报或舞弊对财务报表的影响程度。洗钱风险评估与此类似,一是了解金融机构固有风险阶段,与承接审计业务阶段内外部风险评估相似,需了解金融机构所面临的宏观经济状况,所在行业的洗钱风险及经营状况对洗钱风险的影响。二是初步评估阶段,与审计风险初步评估阶段相似,对金融机构反洗钱工作的环境、内控制度执行情况进行评估。三是深入评估阶段,与进一步审计程序阶段相似,对金融机构的反洗钱内控制度有效性和可疑交易分析报告工作的及时性和有效性进行分析评价。洗钱风险评估过程中,可以在了解金融机构固有风险的基础上,确定初步评估的范围,指导深入评估的时间、范围和方法,包括对金融机构进行一次初步评估和一次深入评估,也包括根据评估结果,采取现场检查、约见谈话、现场走访等后续监管措施。不同之处在于:一是业务性质不同。风险导向审计是对财务报表不存在由于错误或舞弊导致的重大错报获得合理保证;金融机构洗钱风险评估是对金融机构洗钱风险的高低作出评价。二是评价内容不同。前者是对被审计单位的外部环境、内部环境、内控制度,特别是对会计报表及账务处理的准确性及真实性进行评价,具有经济评价性质,较为复杂;后者是对被评估单位反洗钱相关的环境、内控制度及可疑交易分析能力进行评价,具有单一性风险评价性质,较为简单。三是法律责任不同。审计主体对审计报告具有强制性报告义务,并对出具的审计报告承担法律责任;洗钱风险评估是对风险进行判断,不具有强制性报告义务,较少承担法律责任。四是委托责任不同。前者是会计师事务所接受有关信息使用者的委托,对被审计单位进行审计,信息使用者包括政府、股东及投资者等相关人员;后者主要是评估主体接受政府部门委托,根据最新风险状况对被评估机构洗钱风险进行评估。
(二)风险导向审计对洗钱风险评估的借鉴意义。风险导向审计理念成熟的理论和规则对新型的洗钱风险评估具有一定的参考意义,主要表现在:一是评估理念。实施审计的范围包括被审计单位内外经济、政治、法律环境、内部控制制度及经营状况,体现出评估对象在极为复杂的情况下,仍讲究审计的成本与效益。洗钱风险评估作为近年来推出的一种监管方法,强调合理配置监管成本,通过借鉴审计规则,才能将风险为本的评估理念落到实处。二是评价体系。审计风险评价体系采用类似于矩阵的评价方法评价,其基础是被审计单位的风险不能通过细化风险点进行简单汇总,理由在于风险之间存在交叉影响。金融机构洗钱风险评估是对金融机构反洗钱内控制度及控制措施进行评价,各风险控制点对整体风险的影响与审计实务基本相同,借鉴审计评价方法,能较好反映金融机构被利用洗钱的风险。三是评估方法。开展审计时,具体审计目的不同,取证手段也不同,各具优势,金融机构洗钱风险评估的方法处于摸索阶段,通过借鉴,能优化评价效能。
二、审计风险评价体系对洗钱风险评价体系的借鉴
层次分析法(AnalyticHierarchyProcess,AHP)是美国运筹学家T.L.Saaty于20世纪70年代初提出的一种决策分析方法,基本原理是:把一个复杂的决策问题视为一个系统,按总目标、子目标、评价因素的顺序进行逐步分解,构建层次结构,然后通过模糊量化确定各元素对于上层指标的重要性,以此递推到总目标层,从而为最终的决策问题提供较为科学的定量依据。洗钱风险评估方法之一为层次分析评价方法,通过采用分级细化、确定指标分值权重、逐级加减汇总的方式,确定总体水平。如澳大利亚评估洗钱风险主要考虑两个因素,一是机构被用于洗钱和恐怖融资活动的可能性(剩余风险),若机构的内在风险(自身提供的产品、服务、销售渠道、面对的客户群体导致的内在风险)较高,但其各项内控政策措施足以有效管理风险的话,则剩余风险不大;如果被评机构属于公共机构,则被用于洗钱的影响就比较大,其内控风险模块和内在风险模块的风险值根据各自重要性加总,前者减后者得出剩余风险值。我国试行的金融机构反洗钱风险评估标准中,将风险指标划分为环境、产品/客户、控制、沟通和调整五类一级指标,通过对各类指标中的标准评价得分汇总得出整体风险,优点在于,整体风险或工作情况受多个控制点、事项或交易的影响,各指标的汇总得分情况能较好反映整体水平,其在工作绩效考核运用中的优势尤其明显。
审计风险值的确定方法与上不同,是在确定各类风险值(或风险高低)的基础上,对各类风险值进行数值乘算(或选用“高”、“中”、“低”等文字的定性描述),并通过矩阵表的方式计算确定风险,本文将此方法描述为矩阵评价方法。审计风险值具体确定方法为,审计风险=重大错报风险×检查风险(实务中,注册会计师不一定用绝对数量表示风险水平,还可以选用“高”、“中”、“低”等文字描述,即审计风险值可通过数值乘算,也可以定性确定),其中,检查风险取决于审计程序设计的合理性和执行的有效性,可以通过职责分配、提供针对性审计计划等方式解决。重大错报风险包括固有风险和控制风险,评估时可以单独对固有风险和控制风险进行评估,也可以合并进行评估。国内有关研究提议采用矩阵方式评价风险,第一种评价方法为,洗钱风险=固有风险×内控风险,其中,固有风险包括:国家/地域风险、产品/服务风险、客户风险;内控风险主要是指反洗钱内控制度及执行风险。第二种评估方法为:反洗钱风险=原本风险×管控风险×监管风险。与反洗钱风险管理的评估方法相似,金融机构洗钱风险水平受以下四个方面的因素影响:国家经济,所在行业、地域环境;反洗钱内控制度与内部环境;金融产品、服务及客户本身的洗钱风险水平;可疑交易报告的及时性和有效性。第三种评价方法为,金融机构洗钱风险=国家(地域、行业)风险×控制风险×产品(或客户)风险×交易监测风险(与审计风险评估相似,洗钱风险值可通过数值乘算,亦可定性确定)。
国外有关监管机构采取类似的矩阵评价方法,如德国运用12格矩阵表示不同的风险等级,对金融机构的风险评估方法为,金融机构洗钱风险=潜在洗钱威胁×反洗钱措施的质量,其中金融机构潜在洗钱威胁分为高、中、低三档,包括金融机构所处地理位置、业务范围、产品结构、客户构成及销售方式。反洗钱措施的质量分高、中高、中低、低四档,评估结果主要依据金融机构的年度审计报告。本文认为矩阵评价方法体现出风险与成本的一种均衡,避免将洗钱风险通过简单汇总各级指标分值的方式进行评价。主要体现在:一是控制成本。风险导向审计理论认为,机构内部行使控制职能的人员素质及控制成本影响控制效果,若实施某项控制成本大于控制效果而发生损失时,就没有必要设置该控制环节或控制措施。洗钱风险评估中,某金融产品被用于洗钱的风险较高,其相关控制风险也较高,但若金融机构的该类金融产品交易量很少,则其整体洗钱风险不能被认定为高风险,投入此部分的评估资源可以相对减少。二是风险项的交叉性影响。即各类风险相互之间的影响,如新客户“职业”登记为“其他或无业”的比例较高,则不能认定客户身份识别制度执行有效,被利用于洗钱的风险应该较高。三是不同类别风险对整体风险的影响程度。即当某类风险较高,而其他类风险较低时,须依据各类风险对整体的影响程度确定风险等级。金融机构的反洗钱义务在于预防,所有控制措施都是为做好可疑交易的监测、分析和报送服务,若客户身份识别制度和客户风险等级划分制度执行的很好,但监测分析人员的人数配置不够、分析能力不高,可疑交易分析系统的智能化不足,则应认定该单位的洗钱风险水平为高风险。
三、风险导向审计方法在洗钱风险评估方法中的运用
(一)运用抽样评价方法。审计抽样范围受所鉴定会计期间的影响,并针对该会计期间各类控制、事项或交易中的部分样本进行评价,通过样本推断总体,如年度财务报表审计,只有在审计报表期初余额,及评价期末、期后事项对报表的影响时,才会跨年度选取样本。洗钱风险评估相对灵活,可以对某一年度的洗钱风险进行抽样评估,也可以针对某类控制、事项或交易的样本扩大至若干个年度进行抽样评估。
(二)依据风险高低扩大或减少样本量。审计实务中,若认为被审计单位控制环境薄弱,则很难认定某一相关流程的控制有效,其实质性测试的样本量会大幅增加(实质性测试包括细节性测试和实质性分析程序,即对会计计量的真实性、准确性、合理性进行审查)。小型机构员工较少,限制了其职责分离的程度,虽然没有文件形式的控制要素,但了解管理层的态度、认识和措施及其控制环境非常重要,应该更多的采取实质性程序。洗钱风险评估可借鉴以上方法,若金融机构的内控风险很高,则其客户身份识别、交易记录保存及客户风险等级划分相关控制点就较难得到有效执行,继而影响异常交易分析识别的及时性和有效性,此时应扩大对异常交易分析及报告的样本量,确定洗钱风险的高低。
(三)整合取证手段。审计取证方法包括查阅、询问、观察、穿行测试、重新执行、实质性分析程序等方法,具体审计目的不同,取证手段和工作流程也不同。如对收入确认的完整性测试,由原始凭证追查至明细账(从发货部门的发运凭证追查至有关销售发票副本,再到收入明细账),而对收入确认真实性的审计流程与上述流程相反。洗钱风险评估中,如评价金融机构的可疑交易报告是否有遗漏,可以选取部分存量客户,从建立业务关系,到客户风险等级划分,再到可疑交易分析报告的整个流程进行取证;评价可疑交易报告是否合理,则与上述流程相反。在具体方法运用上,主要有以下几种可供借鉴。1、询问。向金融机构有关员工进行询问,获取与内部控制运行情况相关的信息。如果某项控制要求某一员工(复核人)在文件上签字以证明他复核该份文件,那么应询问其复核的性质,即对什么进行复核,复核的要点是什么,签字复核的意义等等。如个人独资企业、家族企业、合伙企业、存在隐名股东或匿名股东公司的尽职调查难度通常会高于一般公司,应询问此类尽职调查的方法和措施。2、穿行测试。追踪交易报告在业务流程中发生、处理和记录的过程。业务流程中存在多个风险控制点,如客户身份识别措施——身份识别记录——风险等级划分——交易记录保存——可疑交易提取、分析——复核确认——分析报告结论,通过穿行测试,掌握内控薄弱环节,及对整体风险的影响程度。3、重新执行。审计实务中,检查复核人员是否认真执行核对时,不仅应检查是否在相关文件上签字,还应选取一部分凭证如销售发票进行核对。在风险评估中,可以选取部分可疑交易报告,评判可疑交易分析复核的合理性;在可疑交易分析系统及风险等级划分系统(或者是功能模块)中,评估人员从相关系统调取客户身份资料(一般是开户资料)和交易记录,以评价系统设计的合理性。4、实质性分析程序。通过研究数据间关系评价一段期间的交易情况。审计实务中,实质性测试包括对各类交易、账户余额和披露的细节测试以及实质性分析程序(如财务指标的横纵向比较)。在洗钱风险评估中,可以运用到实质性分析程序,如“可疑交易量/同类型交易量”的横纵向比较,“未登记客户职业信息数量/所有客户数量”的横纵向比较;如私人银行业务的投资理财品种和交易金额的变动情况。
四、审计成本控制在洗钱风险评估成本中的借鉴
篇2
关键词 风险评估 内部审计 应用实践
随着我国市场经济不断地发展和壮大,银行的各项事业都面临着重任,内部审计工作也不例外。然而,我国银行在开展内部审计的工作过程中还存在一些问题,制约着相关工作效率的提升。本文以银行内部风险评估的方式作为文章内容的切入点,并对相关的解决措施进行了详细的阐述。
一、银行内部风险评估的方式
(1)关于风险管理模式的选择。银行在对风险进行分析和评估的过程中,其内部审计部门一方面通过风险控制系统的应用,来了解银行进行风险控制水平;另一方面是采取有效的风险评估模式来对对风险程度进行有效评估。通过对风险的掌握程度以及抗风险能力的了解,来加速推进银行的发展进程,并给予正确的评价。银行在发展的过程中,无论是银行的风险还是其固定风险都和控制风险密切相关,固定风险指的是未经过银行的内部控制,会计处理和被审计的对象这两者之间发生差错的概率。控制风险指的是会计处理和被审计的对象这两者的差错没有被银行内部的控制系统纠正过来的概率。结合控制风险和固定风险的概率成积,就可以得出,银行在内部的控制下,所遗留的风险值。不难看出,风险评估系统在促进银行的发展方面有着不容忽视的作用,通过风险值数的获得再结合银行承受风险的能力,从而为银行提供行之有效的风险管理模式。
(2)对风险评估过程的探索。在进行风险评估过程的探索中,设计的主要内容有对风险事项加以明确、对审计对象进行划分、了解风险因素、对风险程度的测算、对风险能力进行评价和控制等等,具体内容如下:1)对审计对象进行划分。在对审计对象进行划分的过程中,应秉持不同维度不同划分方法的原则,帮助银行管理和内部审计工作人员之间能够进行良好的沟通,以便能在对审计对想进行风险评估的过程中,能够有效地分析结果,并对银行的审计工作提供更有效地指导。审计的维度,主要指的是银行结合自身的实际情况,对选择合适的发展战略。此外,在进行审计对象划分的过程中,可以结合银行的内部管理、产品类型、组织机构等方面的情况,使划分工作更具合理性和科学性。2)对风险事项加以明确。风险事项主要包括确定风险类别,也包括对风险因素和事件的明确。在进行类别划分的过程中,应把银行的运营情况、外部监管、成本效益纳入考虑范围之内。现阶段,我国银行面临的风险主要有法律风险、信用风险、市场风险、战略风险等等。风险因素主要包括资金、监督、技术的管理以及市场竞争等方面。3)对固定风险的测算。在开展固定风险的测算中,应考虑到发生风险的概率和影响程度这两方面因素。发生风险的概率测量算要结合具体情况对风险等级进行划分。而风险影响程度主要考虑的是银行的资产成本损失程度和安全系数等方面的情况。只有进行科学的固定风险测算,才能对银行在不断快速的发展中因风险带来的危害进行有效识别,才能为银行的高效发展提供有效的决策。4)对风险能力进行评价和控制。银行应结合固定风险的大小,对自身的抗风险能力进行预算和客观的评价,采取的预算方法有很多,比如,穿行测试法和差距分析法等等,从而得出企业控制风险的能力。同时,在进行风险评估的过程红,应对剩余风险进行最后的计算,以便为企业的深入发展提供可靠的信息和资料。
二、我国银行内审风险评估结果的应用与延伸
(1)以银行内审风险评估为中心整合审计资源。由于我国商业银行内部审计起步较晚,相比与发达国家银行内部审计较为落后,审计资源很难满足日益猛增的业务发展需要。目前,我国经济持续高速发展,商业银行发展势头迅猛,然而,我国商业银行内部审计资源稀缺,相关从业人员占银行总体员工比重较低,且专业技能素质参差不齐,难以满足繁复的银行内部审计工作需要。使得我国商业银行行业的网上银行、个人贷款、信息安全、理财产品等新兴业务面临巨大的风险。因此,为了提高银行内部审计部门工作效率和效果,必须要以风险为导向,科学合理的配置审计资源,将有限的审计资源按照风险评估结果分配到最需要的审计环节,并制定科学严谨的审计制度、审计工作流程、审计计划,明确审计项目及审计频率,从而对银行业务、经营的各个关键环节进行有效的监管。通过对银行业务进行全面的风险评估,发现并控制风险较高的业务领域,并分配审计经验丰富的人员进行审计。
(2)对风险管理进行完善。我国银行的风险管理框架正在构建的过程中,银行应结合国资委和银监会的要求,把流程再造、机构设置和人员配备作为入手点,从而有效实现对多种风险的全方位管理。而银行内部审计的风险评估工作的有效展开,不仅能够对制定审计计划以及审计方法进行有效的指导,同时,也能使银行内部的风险管理更具合理性和科学性。风险评估的结果有效地将各审计单元所剩余的风险程度反映了出来,并能够及时发现一些潜在的风险因素,优化内部控制的流程,对相关体制进行完善,强化风险管理,有效地促进银行风险控制能力的提升,以顺利实现控制目标。
(3)在以风险为导向的基础上对审计重点进行确定,实现内审职能地有效转变。我国银行的风险评估工作处于初级阶段,还没有较为成熟和完整的风险评估体系,银行要想依靠风险评估结果来指导银行的相关工作还有很长的一段路要走。因此,银行内部的审计部门能应将风险评估理念贯彻到银行开展各项工作的始终,从而促进审计工作质量和效率的提升,有效推进全面风险评估的发展进程。我国银行内部的审计部门一般都是从稽核监督部门转化而来,过去的工作注重的是查错纠弊的内容,其关注的对象也是银行内部的控制系统,这种在没有对风险进行评估,就对控制系统进行关注的工作模式存在着一定的弊端,主要体现在,控制的改变速度无法跟上经营环境的快速变化,而对已经成为过去式的控制并和当前所面临的风险无关进行的审计是毫无意义的。可以说,进行有效控制的前提就是对当前风险进行有效评估,由此可见,控制是依附于管理风险而存在的。而在对风险进行评估的基础上进行的风险导向审计,使工作人员在开展工作的时候更关心面临的风险,从而使审计工作更具针对性和目的性,有助于快速实现工作目标。
三、结束语
通过提升银行内部审计工作质量的渠道来促进银行的可持续发展是具有一定的现实意义的。而风险评估作为银行内部审计工作的重要内容,银行应给予其足够的重视,积极探索新的工作模式,转变工作理念,对风险管理进行完善,在以风险为导向的基础上对审计重点进行确定,实现内审职能地有效转变,提高银行抵抗风险的能力,只有这样,才能有效降低银行所面临的风险,为其高效长久可持续发展保驾护航。
(作者单位为中国农业银行审计局武汉分局)
[作者简介:桂艳芳(1978―),女,湖北武汉人,本科,中级经济师,研究方向:审计。]
参考文献
篇3
关键词:网络审计 历史财务报表审计 信息安全管理 风险评估
一、引言
从审计的角度,风险评估是现代风险导向审计的核心理念。无论是在历史财务报表审计还是在网络审计中,现代风险导向审计均要求审计师在执行审计工作过程中应以风险评估为中心,通过对被审计单位及其环境的了解,评估确定被审计单位的高风险领域,从而确定审计的范围和重点,进一步决定如何收集、收集多少和收集何种性质的证据,以便更有效地控制和提高审计效果及审计效率。从企业管理的角度,企业风险管理将风险评估作为其基本的要素之一进行规范,要求企业在识别和评估风险可能对企业产生影响的基础上,采取积极的措施来控制风险,降低风险为企业带来损失的概率或缩小损失程度来达到控制目的。信息安全风险评估作为企业风险管理的一部分,是企业信息安全管理的基础和关键环节。尽管如此,风险评估在网络审计、历史财务报表审计和企业信息安全管理等工作中的运用却不尽相同,本文在分析计算机信息系统环境下所有特定风险和网络审计风险基本要素的基础上,从风险评估中应关注的风险范围、风险评估的目的、内容、程序及实施流程等内容展开,将网络审计与历史财务报表审计和信息安全管理的风险评估进行对比分析,以期深化对网络审计风险评估的理解。
二、网络审计与历史财务报表审计的风险评估比较
(一)审计风险要素根据美国注册会计师协会的第47号审计标准说明中的审计风险模型,审计风险又由固有风险、控制风险和检查风险构成。其中,固有风险是指不考虑被审计单位相关的内部控制政策或程序的情况下,其财务报表某项认定产生重大错报的可能性;控制风险是被审计单位内部控制未能及时防止或发现财务报表上某项错报或漏报的可能性;检查风险是审计人员通过预定的审计程序未能发现被审计单位财务报表上存在重大错报或漏报的可能性。在网络审计中,审计风险仍然包括固有风险、控制风险和检查风险要素,但其具体内容直接受计算机网络环境下信息系统特定风险的影响。计算机及网络技术的应用能提高企业经营活动的效率,为企业的经营管理带来很大的优越性,但同时也为企业带来了一些新的风险。这些新的风险主要表现为:(1)数据与职责过于集中化。由于手工系统中的职责分工、互相牵制等控制措施都被归并到计算机系统自动处理过程中去了,这些集中的数据库技术无疑会增加数据纵和破坏的风险。(2)系统程序易于被非法调用甚至遭到篡改。由于计算机系统有较高的技术要求,非专业人员难以察觉计算机舞弊的线索,这加大了数据被非法使用的可能性。如经过批准的系统使用人员滥用系统,或者说,企业对接近信息缺乏控制使得重要的数据或程序被盗窃等。(3)错误程序的风险,例如程序中的差错反复和差错级联、数据处理不合逻辑、甚至是程序本身存在错误等。(4)信息系统缺乏应用的审计接口,使得审计人员在审计工作中难以有效地采集或获取企业信息系统中的数据,从而无法正常开展审计工作。(5)网络系统在技术和商业上的风险,如计算机信息系统所依赖的硬件设备可能出现一些不可预料的故障,或者信息系统所依赖的物理工作环境可能对整个信息系统的运行效能带来影响等。相对应地,网络审计的固有风险主要是指系统环境风险,即财务电算化系统本身所处的环境引起的风险,它可分为硬件环境风险和软件环境风险。控制风险包括系统控制风险和财务数据风险,其中,系统控制风险是指会计电算化系统的内部控制不严密造成的风险,财务数据风险是指电磁性财务数据被篡改的可能性。检查风险包括审计软件风险和人员操作风险,审计软件风险是指计算机审计软件本身缺陷原因造成的风险,人员操作风险是指计算机审计系统的操作人员、技术人员和开发人员等在工作中由于主观或客观原因造成的风险。
(二)风险评估目的无论在网络审计还是历史财务报表审计中,风险评估只是审计的一项重要程序,贯穿于审计的整个过程。与其他审计程序紧密联系而不是一项独立的活动。尽管如此,两者所关注的风险范围则有所不同。历史财务报表审计的风险评估要求审计人员主要关注的是被审计单位的重大错报风险――财务报表在审计前存在重大错报的可能性。由于网络审计的审计对象包括被审计单位基于网络的财务信息和网络财务信息系统两类,因此审计人员关注的风险应是被审计单位经营过程中与该两类审计对象相关的风险。(1)对于与企业网络财务信息系统相关的风险,审计人员应该从信息系统生命周期的各个阶段和信息系统的各组成部分及运行环境两方面出发进行评估。信息系统生命周期是指该信息系统从产生到完成乃至进入维护的各个阶段及其活动,无论是在早期的线性开发模型中还是在更为复杂的螺旋式等模型中,一个信息系统的生命周期大都包括规划和启动、设计开发或采购、集成实现、运行和维护、废弃等五个基本阶段。由于信息系统在不同阶段的活动内容不同,企业在不同阶段的控制目标和控制行为也会有所不同,因此,审计人员的风险评估应该贯穿于信息系统的整个生命周期。信息系统的组成部分是指构成该信息系统的硬件、软件及数据等,信息系统的运行环境是指信息系统正常运行使用所依托的物理和管理平台。具体可将其分为五个层面:物理层,即信息系统运行所必备的机房、设备、办公场所、系统线路及相关环境;网络层,即信息系统所需的网络架构的安全情况、网络设备的漏洞情况、网络设备配置的缺陷情况等;系统层,即信息系统本身的漏洞情况、配置的缺陷情况;应用层,即信息系统所使用的应用软件的漏洞情况、安全功能缺陷情况;管理层,即被审计单位在该信息系统的运行使用过程中的组织、策略、技术管理等方面的情况。(2)对于与企业基于网络的财务信息相关的风险,审计人员应着重关注财务信息的重大错报风险和信息的安全风险。重大错报风险主要指被审计单位基于网络的相关财务信息存在重大错报的可能性,它是针对企业借助于网络信息系统或网络技术对有关账户、交易或事项进行确认、计量或披露而言。网络审计中关注的重大错报风险与传统审CtT的内涵基本上是一致的,审计人员在审计时应当考虑被审计单位的行业状况、经营性质、法律及监管环境、会计政策和会计方法的选用、财务业绩的衡量和评价等方面的情况对财务信息错报可能的影响。信息安全风险涉及信息的保密性、完整性、可用性及敏感性等方面可能存在的风险,主要针对企业利用信息系统或一定的网络平台来存储、传输、披露相关财务信息而言。在审计过程中,审eta员应当主要关注相关财务信息被盗用、非法攻击或篡改及非法使用的可能性。当然,这两类风险并非完全分离的,评估时审计人员应将两者结合起来考虑。
(三)风险评估内容 广泛意义的风险评估是指考虑潜在事件对目标实现的影响程度。由于网络审计与历史财务报表审计风险评估的目的并不完全相同,因此两者在风险评估的内容上也是存在区别的。总的来说,网络审计的风险评估内容比历史财务报表审计的风险评估内容更广泛和深入。根据《中国注册会计师审计准则第1211号――了解被审计单位及其环境并评估重大错报风
险》,在历史财务报表审计中,审计人员的风险评估应以了解被审计单位及其环境为内容。为识别和评价重大错报风险,审计人员了解的具体内容包括被审计单位所在行业状况、法律环境与监管环境以及其他外部因素、被审计单位的性质、被审计单位对会计政策的选择和运用、被审计单位的目标、战略以及相关经营风险、被审计单位财务业绩的衡量和评价及被审it@位的内部控制等。在网络审计中。为了识别和评估上文所述的两类风险,审计人员除了从以上方面了解被审计单位及其环境外,还应该关注其他相关的潜在事件及其影响,尤其是企业的财务信息系统及基于网络的财务信息可能面l临的威胁或存在的脆弱点。其中,威胁是指对信息系统及财务信息构成潜在破坏的可能性因素或者事件,它可能是一些如工作人员缺乏责任心、专业技能不足或恶意篡改等人为因素,也可能是一些如灰尘、火灾或通讯线路故障等环境因素。脆弱点是指信息系统及基于网络的财务信息所存在的薄弱环节,它是系统或网络财务信息本身固有的,包括物理环境、组织、过程、人员、管理、配置、硬软件及信息等各方面的弱点。一般来说,脆弱点本身不会带来损失或信息错报,威胁却总是要利用网络、系统的弱点来成功地引起破坏。因此,我们认为网络审计申风险评估的内容应包括以下几方面:(1)识别被审计单位财务信息系统及其基于网络的财务信息可能面临的威胁,并分析威胁发生的可能性;(2)识别被审计单位财务信息系统及其基于网络的财务信息可能存在的脆弱点,并分析脆弱点的严重程度;(3)根据威胁发生的可能性和脆弱点发生的严重程度,判断风险发生的可能性;(4)根据风险发生的可能性,评价风险对财务信息系统和基于网络的财务信息可能带来的影响;(5)若被审计单位存在风险防范或化解措施,审计人员在进行风险评估时还应该考虑相应措施的可行性及有效性。
(四)风险评估程序《中国注册会计师审计准则第1211-----了解被审计单位及其环境并评估重大错报风险》中要求,审计人员应当实施询问、分析程序、观察和检查等程序,以获取被审计单位的信息,进而评估被审计单位的重大错报风险。这些程序同样适用于网络审计中的风险评估。但在具体运用时网络审计中更加注重了解和分析被审计单位与信息系统及网络技术使用相关的事项。在实施询问程序时,审计人员的询问对象围绕信息系统和基于网络的财务信息可大致分为管理人员、系统开发和维护人员(或信息编制人员)、系统使用人员(或信息的内部使用人员)、系统或网络技术顾问及其他外部相关人员(如律师)等五类,分别从不同角度了解信息系统和基于网络的财务信息可能存在的威胁和脆弱点。在实施分析程序时,除了研究财务数据及与财务信息相关的非财务数据可能的异常趋势外,审计人员应格外关注对信息系统及网络的特性情况,被审计单位对信息系统的使用情况等内容的分析比较。实施观察和检查时,除执行常规程序外,审计人员应注意观察信息系统的操作使用和检查信息系统文档。除此之外,针对特定系统或网络技术风险的评估,审计人员还需要实施一些特定的程序。技术方面如IOS取样分析、渗透测试、工具扫描、安全策略分析等;管理方面如风险问卷调查、风险顾问访谈、风险策略分析、文档审核等。其中,IDS取样分析是指通过在核心网络采样监听通信数据方式,获取网络中存在的攻击和蠕虫行为,并对通信流量进行分析;渗透测试是指在获取用户授权后,通过真实模拟黑客使用的工具、方法来进行实际漏洞发现和利用的安全测试方法;工具扫描是指通过评估工具软件或专用安全评估系统自动获取评估对象的脆弱性信息,包括主机扫描、网络扫描、数据库扫描等,用于分析系统、应用、网络设备存在的常见漏洞。风险问卷调查与风险顾问访谈要求审计人员分别采用问卷和面谈的方式向有关主体了解被审计单位的风险状况,使用时关键是要明确问卷或访谈的对象情况风险策略分析要求审计人员对企业所设定的风险管理和应对策略的有效性进行分析,进而评价企业相关风险发生的概率以及可能带来的损失;文档审核是一种事前评价方法,属于前置软件测试的一部分,主要包括需求文档测试和设计文档测试。这些特定程序主要是针对被审计单位信息系统和基于网络的财务信息在网络安全风险方面进行评价,审计人员在具体使用时应结合被审计单位的业务性质选择合适的程序。
三、网络审计与信息安全管理的风险评估比较
(一)风险评估的目的信息安全管理中的风险评估(即信息安全风险评估)是指根据国家有关信息安全技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程。作为信息安全保障体系建立过程中的重要的评价方法和决策机制,信息安全风险评估是企业管理的组成部分,它具有规划、组织、协调和控制等管理的基本特征,其主要目的在于从企业内部风险管理的角度,在系统分析和评估风险发生的可能性及带来的损失的基础上,提出有针对性的防护和整改措施,将企业面临或遭遇的风险控制在可接受水平,最大限度地保证组织的信息安全。而网络审计是由独立审计人员向企业提供的一项鉴证服务,其风险评估的目的在于识别和评价潜在事件对被审计单位基于网络的财务信息的合法性、公允性以及网络财务信息系统的合规性、可靠性和有效性的影响程度,从而指导进一步审计程序。因此,两者风险评估的目的是不一样。从评估所应关注的风险范围来看,两者具有一致性,即都需要考虑与信息系统和信息相关的风险。但是,具体的关注边界则是不一样的。信息安全风险评估要评估企业资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响,它要求评估人员关注与企业整个信息系统和所有的信息相关的风险,包括实体安全风险、数据安全风险、软件安全风险、运行安全风险等。网络审计中,审计人员是对被审计单位的网络财务信息系统和基于网络的财务信息发表意见,因此,风险评估时审计人员主要关注的是与企业财务信息系统和基于网络的财务信息相关的风险,而不是与企业的整个信息系统和所有的信息相关的风险。根据评估实施者的不同,信息安全风险评估形式包括自评估和他评估。自评估是由组织自身对所拥有的信息系统进行的风险评估活动;他评估通常是由组织的上级主管机关或业务主管机关发起的,旨在依据已经颁布的法规或标准进行的具有强制意味的检查。自评估和他评估都可以通过风险评估服务机构进行咨询、服务、培训以及风险评估有关工具的提供。因此。对审计人员而言,受托执行的信息安全风险评估应当归属于管理咨询类,即属于非鉴证业务,与网络审计严格区分开来。
(二)风险评估的内容在我国国家质量监督检验检疫总局的《信息安全风险评估指南》(征求意见稿)国家标准中,它将信息安全风险评估的内容分为两部分:基本要素和相关属性,提出信息安全风险评估应围绕其基本要素展开,并充分考虑与这些基本要素相关的其他属性。其中,风险评估的基本要素包括资产、脆弱性、威胁、风险和安全措施;相关属性包括业务战略、资产价值、安全需求、安全事件、残余风险等。在此基础上的风险计算过程是:(1)对信息资产进行识别,并对资产赋值;(2)对威胁进行分析,并对威
胁发生的可能性赋值;(3)识别信息资产的脆弱性,并对弱点的严重程度赋值;(4)根据威胁和脆弱性计算安全事件发生的可能性;(5)根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件造成的损失;(6)根据安全事件发生的可能性以及安全事件出现后的损失,计算安全事件一旦发生对组织的影响,即风险值。结合上文网络审计风险评估五个方面的内容可以看出,网络审计和信息安全风险评估在内容上有相近之处,即都需要针对信息系统和信息可能面临的威胁和存在的脆弱点进行识别。但是,信息安全管理作为企业的一项内部管理,其风险评估工作需要从两个层次展开:一是评估风险发生的可能性及其影响;二是提出防护或整改措施以控制风险。第一个层次的工作实质上是为第二层次工作服务的,其重点在第二层次。《信息安全风险评估指南》(征求意见稿)提出,企业在确定出风险水平后,应对不可接受的风险选择适当的处理方式及控制措施,并形成风险处理计划。其中,风险处理的方式包括回避风险、降低风险、转移风险、接受风险,而控制措施的选择应兼顾管理和技术,考虑企业发展战略、企业文化、人员素质,并特别关注成本与风险的平衡。网络审计的风险评估工作主要集中在第一个层次,即审计人员通过风险评估,为进一步审计中做出合理的职业判断、有效地实施网络审计程序和实现网络审计目标提供重要基础。因此,两者的评估内容是存在区别的。
篇4
本文以《内部审计具体准则》为指导,介绍了内部审计中风险评估和审计风险的概念,提出降低审计风险的基础是风险评估,降低审计风险是做好审计工作的保证,通过对上述内容的理解可以更好加深内部审计人员对当今最新审计理论的认识。
【关键词】
风险评估;审计风险关系
风险评估与审计风险是审计理论的两个重要概念。很多学者对此发表的学术论文更多地是针对注册会计师相关业务的研究,而内部审计理论文献相对较少。随着内部审计理论的发展,国家陆续出台了内部审计相关的政策和准则,其中2005年年5月1日至今实行的《内部审计具体准则》将两者的概念和应用作了明确的定义和指导。本文立足于内部审计具体准则的内容,将两者的原理作一阐述,以加深内部审计人员对两者概念及相互关系的理解和掌握。
1 风险评估与审计风险概念理解
1.1 风险评估
风险评估是指内部审计人员实施必要的审计程序对企业风险评估过程进行审查与评价,对发生的可能性、风险对组织目标的实现产生影响的严重程度进行重点关注。
内部审计人员在开展风险评估审计程序时,要当充分了解企业风险评估的方法,运用采用定性或定量的方法对企业风险评估过程进行评价,在风险难以量化、定量评价所需数据难以获取时,一般应采用定性方法,并且需要充分考虑相关部门或人员的意见,以提高评估结果的客观性。
1.2 审计风险
审计风险是指内部审计人员未能发现被审计单位经营活动及内部控制中存在的重大差异或缺陷而做出不恰当审计结论的可能性。审计风险包括重大差异或缺陷风险和检查风险的两方面内容。
2 风险评估是降低审计风险的基础
审计风险评估是通过对企业风险评估过程的评价,了解企业是否存在重大差异或缺陷风险,可以使审计人员确定重要性标准来评估审计风险。而审计风险评估的要求、程序和方法都是保障降低审计风险的第一步,是审计人员开展审计工作、提高效率、保护自我的根本保证。
风险评估是对企业风险管理-风险评估过程的评价。内部审计作为企业管理的一部分,在企业内部发挥着控制和监督作用,风险评估主要体现在对企业内部控制效果的评价上,内部审计控制效果的好与坏,同样体现审计人员对企业风险的揭示说明和预测的完整性、前瞻性上,也是审计风险的控制程度。
风险评估工作的重点就是要找到影响目标实现的风险,并分析这些风险影响的大小(发生的可能性和对目标的影响程度),从而为管理层应对风险提供基础支持。
风险辨识评估工作主要在集团的发展计划部、资本运营部及财务部三个部门开展,因此在对风险进行分类时,主要考虑了三个部门的管理职责:发展计划部是战略和投资的管理部门、资本运营部是投资、资产管理及公司治理的管理部门、财务部是集团的财务及经济运行的主要管理部门,结合以上管理职责,对风险采用根据风险事件的特性,选择适当的风险评价维度,对风险事件进行评价。根据发展计划部、资本运营部及财务部的管理职责,将风险事件分配到不同的部门,形成三个部门的风险评估问卷,问卷信息进行整理计算,得到风险事件排序和二级风险排序。将整理确定的风险事件设计成为风险评估问卷,在三个部门发放,由集团公司部门人员按“发生可能性”、“影响程度”和“管理有效性”三个维度进行评价,得到风险评估初步结果:风险及风险事件的重要性排序多数风险重要性排序符合项目组的研究认识。
■ 个别风险排名较高,包括库存风险、关联交易风险及资产管理风险等,需进一步分析论证
■ 同一类风险的排序略有出入。
风险的大小,是基于一套定性标准,业务和管理是视角的差异如何有效地反映到对不同业务和不同风险的判断中。
3 风险评估和降低审计风险是做好审计工作的保证
审计工作中需要时刻强调审计风险意识,并加强对企业风险评估过程的评价,二者相符相成。一方面控制审计风险需要建立在风评评估的基础之上,另一方面在加强风险评估过程中需要在审计风险理念下指导下进行风险评价,只有将两者很好的相互融合才能提高审计效率、控制风险,最终达到加强企业经营管理,提高企业依法经营从而提高经济效益的目的。什么样的风险评估才能满足审计要求:
1)紧扣业务:评估工作紧扣经营主线开展,集中识别和分析生产、项目管理过程中的风险;
2)围绕指标:评估工作密切围绕业绩考核指标。基于业绩考核指标辨识风险事件,并依据业绩考核指标制定风险评价标准;
3)突出重点:围绕风险管理项目的整体目标,主要以运营部、市场部、物流部、工厂为重点;
强化企业高层对审计的重视程度和建立积极健康的内审文化。转变观念,调整位置,掌握价值高地;贴近业务,掌握业务,发掘价值提升空间。刻苦钻研,提升能力,放大工作效能和效果。培养团队,集团作战 ,保持核心竞争力。决策者就是风险管理者,找出他所关注的风险和背后的动因。 分析他解决风险的工作思路,描绘决策者风险地图和风险战略。
篇5
[关键词] 风险导向审计;经济责任审计;模式构建
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2017. 01. 009
[中图分类号] F239.47 [文献标识码] A [文章编号] 1673 - 0194(2017)01- 0023- 02
0 引 言
本文首先构建风险导向审计下企业经济责任审计模式,然后根据构建的模式流程阐述整个模式的全过程,主要包括企业经济责任审计风险识别、企业经济责任审计风险评估、企业经济责任审计风险应对及企业经济责任审计报告这四个过程。
1 风险导向审计下企业经济责任审计模式构建
首先要对审计的环境及企业内部制度存在的问题进行识别,在此基础上对企业各项工作的流程风险及战术决策风险进行评估;然后参照风险导向审计的程序并引入风险警示系数来评估重大错报风险、剩余风险及检查风险;在风险评估后依照风险的重要性水平不同制定审计策略及方案并实施风险应对;最后把审计结果交于管理层决策,并完成企业经济责任评价和审计报告。
2 风险导向审计下企业经济责任审计模式阐述
2.1 企业经济责任审计风险识别
风险识别的方法有头脑风暴法、动态分析法、财务报表法及环境分析法等多种。本文风险识别采用环境分析法,可分为外部环境分析和内部环境分析。
外部环境分析:了解所审计企业所处的行业的发展情况、生产经营是否存在周期性和季节性,行业的盈利水平及发展趋势。审计人员通过国家统计部门的网站及行业协会提供的调查数据来收集所需的行业状况的数据。法律和监管环境主要是了解相关部门在本行业的一些特殊规定。其他外部因素主要有银行利率的变动、通货膨胀及全球经济形势等。
内部环境分析:审计单位的性质对于企业的税收及财务报告方面都有重大的影响,所以作为审计人员首先要分析企业的性质。审计单位使用何种会计政策对于审计单位所做的审计报告、验资报告等一系列内部经济活动有至关重要的影响,审计人员应该了解被审计企业的会计政策是否符合法律及会计准则的要求,进一步规范企业的经济活动。内部控制是企业是否遵守法律规定及衡量经营效果的尺子。
2.2 企业经济责任审计风险评估
企业经济责任审计风险评估首先对被审计企业的总体风险及流程风险进行评估,然后引入风险警示系数来评估重大错报风险、检查风险及剩余风险。
总体风险评估主要是分析企业的战略决策风险,使用的方法是SWOT矩阵法。流程风险评估主要使用流程图法。风险警示系数是直接利用审计人员被处罚的概率来计量的,是对审计人员的违法违规行为的综合控制参数。重大错报风险评估包括固有风险和控制风险,此风险评估法能事先确定可能发生错报的账户和披露,能节约审计资源。重大错报风险评估可以通过两个层次来评估,财务报表整体层次和交易类别账户余额层次,并在这两个层次中引入风险警示系数,使重大错报风险评估更为合理。检查风险主要受抽样风险和非抽样风险的影响,首先要确定抽样风险和非抽样风险;然后审计人员要明确审计证据、重要性水平及检查风险间的关系;最后根据前两条以及风险警示系数来评估检查风险。剩余风险来源于战略分析和经营环节分析,是审计人员较为关注的方面,审计人员在评估战略风险、经营风险后得出剩余风险。
2.3 企业经济责任审计风险应对
风险应对主要包括内部控制测试、实质性程序及风险再评估。内部控制测试首先要初步评估控制风险,然后根据风险水平不同分为高水平内部控制、低水平内部控制及低于最大值的控制风险。对于高水平的内部控制不必继续了解;对于低水平的内部控制要测试全面的控制活动;对于低于最大值的控制风险要测试企业层面和业务层面的控制来应对控制风险水平。实质性程序包括细节测试及实质性分析程序,其流程是依据被审计企业的资料,对财务指标复核,寻找审计重点难点和疑点,然后项目组成员分头实施有关会计账户的审查工作,根据审计中的特点确定重点,并正确划分经济责任界限,最后做好底稿。风险再评估企业经济审计工作是一个动态的过程,在审计过程中法律法规可能有重大变化或企业内部有重大改变都需要审计人员再次评估,来确保评估的准确性和科学性。
2.4 企业经济责任审计报告
审计人员把审计结果交于管理层决策并最终完成审计报告。管理层在处理审计结果时要对审计结果进行评价及考虑报告带来的审计风险。对审计结果进行评价常用的指标有财务效益指标、偿债能力指标、发展能力指标等。评价过程中使用的评价原则主要是客观性、谨慎性和统一性。报告带来的风险主要来源于审计人员对审计事项的了解不全面所造成的,审计人员要严格按照企业的真实情况对企业审计并编制审计报告及披露被审计企业存在的问题,减少报告带来的风险。
3 结 语
本文首先构建风险导向审计下企业经济责任审计模式,然后对整个模式的全过程进行阐述,主要包括企业经济责任审计风险识别、企业经济责任审计风险评估、企业经济责任审计风险应对及企业经济责任审计报告这四个过程。
主要参考文献
[1]唐可蔚,宋夏云,郭强华,等.现代风险导向审计模式下的企业经济责任审计流程[J].审计与理财,2015(5):40-42.
篇6
关键词:P2P网贷平台;审计风险评估;模糊综合评价模型
P2P网络借贷作为新型金融服务模式,具有资金来源广,交易成本低,撮合速度快等特点,自2007年进入中国市场以来得到迅猛发展。据网贷之家数据显示,截至2016年8月31日,我国P2P网贷平台数量为4213家,网贷行业成交总额为25815.09亿元。在快速发展的同时,由于自身经营不善,相关法律法规与监管体系的不完善,我国P2P网贷平台“跑路”、倒闭、停业等现象日趋严重。据网贷之家数据统计,截至2016年8月底,P2P网贷累计问题平台数多达1978家,8月新增问题平台99家,停业及问题平台发生率高达46.95%。审计作为经济活动的最有效监管方式之一,对P2P网贷行业提高透明性,加强信息披露,审慎经营具有不可替代作用。为促进网贷平台的健康发展,加强P2P网贷平台的第三方审计是大势所趋。现代风险导向审计以风险评估为中心,从企业整体层面的分析入手,通过“企业整体层面—业务流程层面—财务报表重大错报层面”的基本分析思路,建立了财务报表重大错报风险与企业经营风险之间的逻辑关系。新修订的国际审计准则IAS315《了解被审计单位及其环境并评估重大错报风险准则》明确规定了了解客户及其环境并评估风险的相关事宜,充分体现了现代风险导向审计是以风险评估为中心的核心思想。审计人员对审计风险评估的精确度直接影响审计的效率和效果。模糊综合评价法是对界限不明、对同一事物有影响的多种因素进行定量评估的数学方法。本文在现代风险导向审计下,深入分析引起P2P网贷平台审计风险的潜在因素,并根据相关因素特征引入模糊综合评价法,构建审计风险模糊综合评价模型,通过提高审计风险评估的精确度,提高P2P网贷平台的审计效率和效果,以实现加强P2P网贷平台第三方审计,促进其健康发展的目标。
一、现代风险导向审计下P2P网贷平台特征及其审计风险因素分析
现代风险导向审计是以审计风险源头为出发点,从被审计单位商业环境、管理机制、经营方式等内外部环境来分析和评估重大错报风险,在此基础上执行审计程序,将审计风险降低至可接受水平。在现代风险导向审计下,审计风险模型为:审计风险=重大错报风险×检查风险。基于P2P网贷平台自身特征,平台审计风险受诸多因素影响。
(一)P2P网贷平台特征
2015年“互联网+”首次出现在政府工作报告中,意味着“互联网+”正式成为国家经济发展的重要战略。P2P网络借贷作为互联网金融的重要发展模式之一,具有期限短、融资门槛低等特点,自2007年进入中国市场以来,在一定程度上解决了我国中小企业融资难等问题。据网贷之家数据显示,我国P2P网贷平台数量在近几年一直呈持续增长的态势。截至2016年9月30日,P2P网贷平台数量为4278家,是2015年同期平台数量的1.46倍,平台数量增长率高达45.76%。在“互联网+”和P2P网贷平台商业环境背景下,P2P网贷平台有其自身特点。(1)信息中介平台。2015年7月人民银行等十部委联合出台了《关于促进互联网金融健康发展的指导意见》,明确了P2P网贷平台“信息中介”性质。P2P网贷平台的信息中介属性要求平台不得为投资者提供任何担保,同时决定了其向借款人和投资人收取手续费、管理费用等经营盈利方式。(2)行业透明度低。P2P网贷行业透明度低主要体现在信息不对称上。一方面,目前我国P2P网贷平台缺乏完善的信用系统和征信体系,其与我国最具权威性和真实性的中国人民银行的信用系统无法实现对接,信息无法共享,而交易双方又是依靠平台提供的信息进行审查和做出是否交易的决定。另一方面,投资人和P2P平台难以有效监督借款方的资金用途,缺乏对借款人资产负债状况、贷款投向及运作情况的了解。(3)互联网化运作。P2P网贷金融模式的发展依托IT技术的发展,基于平台的双方交易离不开网络。平台交易的计算机硬件、数据、网络以及用户等要素相互联系,相互影响,同时业务开展和风险控制离不开互联网技术的安全性和稳定性。(4)会计记账流程不统一。P2P网贷平台是新型的金融服务模式,其经济业务符合金融业务的特性,但又有许多不同于其他机构金融业务的特征。平台包括核算、内控、对账等记账流程没有统一规定。
(二)P2P网贷平台审计风险因素分析
(1)重大错报风险。重大错报风险是指财务报表在审计以前存在的重大错报的可能性。本文结合P2P网贷平台自身特点,分析了网贷平台重大错报风险主要来自以下几个方面:第一,法律风险。法律明确规定了P2P网贷平台的信息中介属性,要求平台不得提供任何担保。信息中介属性也决定了平台的主要经营盈利方式。由于平台竞争大,中小企业融资需求多,有的平台为促成交易,不惜触犯法律,与第三方担保机构串谋,一旦借款人无法偿还投资人的本金和利息,将对平台的信誉及持续经营能力产生重大影响。第二,信用风险。由于平台的信息不对称性,投资人难以有效监督资金投向及运作情况,无法跟踪借款人。平台可能冒充借款人,虚构借贷交易以虚构平台营业收入,造成营业收入认定层次的重大错报。第三,道德风险。由于P2P网贷行业竞争激烈,为吸引资金,获得高信用评级,平台故意错报、漏报,影响审计人员最终编制的审计报告的权威性和真实性。第四,操作风险。P2P网贷平台缺乏严格的从业人员标准,人员操作失误、系统漏洞等均可造成数据丢失、受损等风险。第五,内部控制风险。P2P网络借贷平台是互联网化运作,其在交易系统中存在的不相容岗位,易造成不恰当授权所引发的舞弊风险。同时,P2P网贷平台的交易存在大量数据,如果没有有效的内部控制对人员进行相关操作的控制,会引发数据被篡改或被盗取的风险,从而降低审计证据的可靠性。(2)检查风险。检查风险是指审计人员的实质性程序和财务报表的检查未能察觉重大差错的风险。P2P网贷平台的检查风险与审计人员的业务水平及专业知识水平密切相关,主要体现在以下几个方面:一是审计人员执业能力风险。P2P网贷平台审计人员执业能力风险主要包括审计人员的知识水平风险和技术水平风险。P2P网贷平台审计要求审计人员在了解P2P行业的基础上,掌握会计、财务、审计、管理技术、风险控制等相关知识。在审计过程中,由于审计证据趋于电子化,审计人员在取证时需对数据进行有效收集和处理,并运用计算机技术对信息进行筛选、转化和分析。因此,审计人员如果没有较高的计算机软硬件知识,就无法提取有效审计证据,将导致未能发现漏报或错报的风险。二是审计人员职业道德风险。由于当前P2P行业的审计准则不完备,相关法律法规不完善,监管力度比较薄弱,审计人员行为失当被发现的概率不高,被概率更低,容易诱发审计人员的职业道德风险。结合P2P网贷平台特征及其审计风险因素分析,总体上网贷平台审计风险具有两个方面特性:首先,P2P网贷平台审计风险因素具有层次性。在现代风险导向审计理念下,审计风险模型要求对审计风险、重大错报风险、检查风险分别进行评估,在各个风险评估的基础上,实施进一步审计程序,将审计风险降低至可接受水平。影响P2P网贷平台审计风险因素包括法律环境、行业状况、平台内部控制及对会计政策的选择和运用等内部、外部因素,在实施风险评估程序时,将这些风险因素按其与重大错报风险、检查风险的关联程度进行归类,再对每一类风险因素进行评估,最后对评估结果在更高层次进行综合,体现了风险因素的层次性。其次,P2P网贷平台审计风险评估具有模糊性。模糊性是指客观事物间因边界不清而难以量化性。网贷平台审计风险因素众多,且贯穿于审计全过程,审计人员难以对其精确描述和定量衡量,因此网贷平台风险评估具有模糊性。由于P2P网贷平台审计风险因素具有上述特征,为实现审计目标,发挥审计在网络金融中的监管作用,在审计工作中提高风险评估的精确度至关重要。模糊综合评价法是模糊数学中应用广泛的一种方法。对某一事物评价时,其对单个因素进行评价,并设立评语集,在此基础上对所有因素进行模糊综合评价。因此本文引入模糊综合评价法对P2P网贷平台审计风险进行量化评估。
二、P2P网贷平台审计风险模糊综合评价模型的构建
将模糊综合评价法应用于P2P网贷平台审计风险评估中,是指在审计风险评估中运用模糊数学的综合评判模型,科学系统地建立审计风险因素集(又叫指标集),再根据审计风险因素的权重,分别评价这些审计风险因素,最后利用模糊矩阵对其进行审计风险综合评价并得出评估结果。
(一)模糊综合评价基本模型
构建模糊综合评价模型时,首先根据评判对象确立其因素集,即指标集U=(u1,u2,...,um),并设评判集为V=(v1,v2,...,vm)。再构建表示各因素影响程度的模糊评判矩阵,确定各因素的权重,最后计算出被评判对象的综合评估结果。
(二)P2P网贷平台审计风险评估指标体系建立
按照P2P网贷平台形成的层次化指标体系,综合评价指标体系分为三个层次:(1)预期审计风险评价指标体系。预期审计风险指注册会计师预先确定的且客观存在的准备承担的风险,审计人员根据预期审计风险制定审计策略和具体审计计划,将审计风险降低至可接受水平。根据P2P网贷平台特点及其审计风险因素分析,预期审计风险评价指标体系见表1:(2)重大错报风险评价指标体系。审计过程中,审计人员通过实施风险评估程序来评估重大错报风险,并根据评估结果实施进一步审计程序。根据上文对P2P网贷平台重大错报风险因素分析,构建其综合评价指标体系见表2:(3)检查风险评价指标体系。检查风险是审计人员可控制的风险,根据P2P网贷平台审计风险因素分析及实际审计工作中相关审计方法,构建检查风险综合评价指标体系见表3:(三)模糊评判矩阵构建与权重计算根据模糊综合评价基本模型,P2P网贷平台指标体系构建完成后,应根据两两因素对被评价对象影响程度的比较信息构建模糊评判矩阵,确定各因素的权重。根据前文,P2P平台审计风险评估二、三级指标有n个因素,根据每一层指标对上层指标的重要性建立矩阵R,求得元素(a1,a2,...,an)的权重(w1,w2,...,wn)。以P2P网贷平台内部控制模糊综合评判矩阵为例,见表4:其中,rij(i=1,2,...,n;j=1,2,...,n)表示元素ai与元素aj相比,前者比后者更重要程度。重要程度采用1-9比例标度含义(见表5)。当rij=1时,表示ai与aj同等重要。wi是对元素ai重要程度的度量,wi越大,元素ai越重要。其含义是,从P2P网贷平台内部控制方面考虑其重大错报风险时,控制环境、信息系统与沟通、监督和控制活动等都会影响重大错报风险,且各元素对重大错报风险影响程度不同。整理上述评价结果,将模糊评判矩阵调整为模糊一致矩阵,计算各元素的权向量,再采用最小二乘法求出权向量w=(w1,w2,...wn),并确立模糊矩阵R=(rij)n×n。元素a1,a2,...an的权重值w1,w2,...wn为:rij=0.5+α(wi-wj),i,j=1,2,...,n。其中,0<α≤0.5,评价对象的差异程度或个数越小,α取较小值,审计人员通过调整α的大小,在求出的若干不同的权重值中选择比较满意的权向量。
三、P2P网贷平台审计风险模糊综合评价模型应用
以某P2P网贷平台预期审计风险为例,设该平台预期审计风险因素集为U(u1,u2,u3,u4,u5),经审计项目组风险评估专家对风险因素的评判,得模糊评判矩阵为:设权重集W=(0.3,0.2,0.1,0.2,0.2),则U的综合评估为:P=W×R=(0.150.050.040.040)经归一化得:P*=(0.540.180.140.140)因此得该P2P网贷平台预期审计风险因素为:F=P×CT=(0.540.180.140.140)×(1%3%5%7%9%)=2.8%根据综合评判结果,预期审计风险2.8%小于审计风险合理水平(一般为5%),对于初次接受审计业务的事务所而言,可以接受该网贷平台的审计业务。
四、结论
作为互联网金融重要发展模式之一的P2P网贷平台在快速发展中也积累了大量风险,对其风险监管问题的讨论引起社会各界的广泛关注。审计作为经济活动中的有效监管方式,将其引入P2P网贷平台是大势所趋。近日,中注协约谈事务所,加强与互联网金融相关的上市公司年报审计风险的关注。这表明在加强P2P网贷平台审计中,应加大审计风险评估和应对。而现代风险导向审计是以企业经营风险评估为主的,迎合了当今高度风险社会的需要。为提高审计质量,实现审计对P2P网贷平台监督作用的目标,本文将模糊综合评价法引入,将其运用到网贷平台预期审计风险、重大错报风险和检查风险的评估中,实现从定性分析的基础上对风险进行量化评估。审计风险的量化评估提高了风险评估的精确度,在审计实务中,审计人员根据量化的评估结果制定审计策略和具体审计计划,有针对性地调配审计资源,将审计风险降低至可接受水平,从而实现高质量审计,实现审计在P2P网贷平台中的监管作用。
参考文献:
篇7
关键词:风险评估;报告;内控体系
中图分类号:F272 文献标识码:A 文章编号:1001-828X(2014)010-00-01
风险评估工作与内部控制体系的建设相互促进、有机结合,是企业围绕总体经营目标,识别企业各业务单元、各项重要经营活动及其重要业务流程中的风险,并对风险发生的可能性和影响程度进行分析、评价和应对的过程。
总体而言,风险评估报告的结构至少应包括四部分内容:其一,企业情况概述,本部分就企业风险评估项目背景、定位与目标、理念与方案三大内容进行概括与总结,便于报告使用者理解本次风险评估工作的基本目标与方法;其二,风险评估实施过程,本部分是整个风险与内控体系建设工作的起点,旨在构建一个具有代表性又有扩展性的通用风险管理标准,从风险管理知识宣传、风险分类与定义、风险评估标准三大方面初步构建企业风险管理基础平台;其三,识别企业面临的重大风险,根据风险调查问卷和风险调研访谈,识别出企业面临的重大风险,以供企业管理层参考;其四,风险管理体系的建设,结合企业风险管理的现状,提出相应的改进措施,包括风险管理组织结构设置、职能设置、工作流程及工作防范建议。
以上四部分在风险评估报告中层层推进,构成完整的风险评估过程,以下作详细说明。
一、风险评估项目概述
(一)风险评估项目背景
本部分重点介绍企业的成立、发展沿革,行业背景,分子公司情况以及业务架构、组织结构等。编制企业风险评估报告的重要意义在于企业管理层希望借助风险评估项目,有效识别和评估影响本企业战略和经营目标的内外部风险源,并通过健全重大风险的应对与管控机制,有效地平衡好风险与收益,提高企业风险防范能力,从而防范和降低各类风险对企业经营的冲击,为企业实现战略和经营目标保驾护航。
(二)关于风险评估项目定位与目标
风险评估项目旨在达成三大目标:其一,建立风险管理基础,构建一个具有代表性又有扩展性的通用风险管理标准,统一企业的风险管理语言和标准;其二,明确重大风险领域,采用全面梳理与重点分析相结合的方式,识别和分析企业战略、经营、财务与合规领域中的重大风险,协助管理层统一对风险的认识;其三,团队能力建设与知识培养,加强和提高企业总部和各业务群管理团队对风险管理工作的参与度和认知,最大程度实现知识转移。
二、风险评估项目实施过程
(一)关于判断风险分类与定义
应从企业战略出发,参考COSO内部控制整合框架、行业风险数据库以及企业的风险管理实务,并结合企业的战略目标、实际情况等因素,建立适用于本企业的风险数据模型(即风险地图),从战略风险、运营风险、合规风险及财务风险四大方面对企业所面临的风险进行分类和定义,从而为统一公司的风险管理语言奠定基础。
(二)关于设立风险评估标准
为了对上述四大类风险的重要性进行评定并据此明确风险管理的优先次序和资源配置方向,应从风险发生可能性和风险影响程度两个维度建立符合企业实际情况的风险评估标准,以反映风险发生可能性由极低至极高,和风险影响程度由极轻微至灾难性的不同等级。
(三)关于实施风险评估过程
为了协助管理层更好地理解和评估风险,应以风险数据库和评估标准为基础,通过风险调查问卷的发放、收集与统计,风险调研与风险访谈等多种形式,在企业总部和业务群开展多层次、全方位的风险识别与评估工作。通过上述工作,不仅协助企业管理层评估重大风险领域所在,而且还能分析其可能影响的战略及经营目标,从而为企业明确风险责任,改进相关重点业务领域中的风险管控措施明确方向。
三、针对企业风险评估的调研结果
结合风险调查问卷与风险调研访谈的结果,企业管理层对影响本企业战略和经营目标实现的众多风险进行客观评估,并由此明确前几大风险的优先次序。这些风险可能是:产业(产品)战略和多元化、战略规划、市场营销、风险管理体系建设、公司高层的基调、品牌及声誉管理、销售模式、客户结构风险、人力资源规划及政策、组织结构等等。这些风险并不是独立存在,在实际经营环境中,各类风险往往互相影响、互相牵制,共同对企业实现经营目标产生影响。为此,还应对上述重大风险及其内在关系进行相应的逻辑分析,以协助管理层梳理各项重大风险之间的关系。
四、企业风险管理体系搭建
一套成熟完善的风险管理框架包括战略(目标)、风险以及流程与控制。企业战略处于企业管理及风险管理体系的最高层,是企业风险管理以及流程内控建设的出发点,风险管理体系必须紧紧围绕企业战略。风险则是影响企业战略管理体系的实施与战略目标达成的不确定因素,企业需要将外部环境、内部经营与战略目标进行对比,以识别出影响企业战略的重要风险。企业流程与管控体系则是风险管理体系的重要落脚点,完善的风险管理体系可以从企业的流程、制度等管控体系中识别出影响,并从风险管理体系的制度及流程建立风险应对措施。
(一)风险管理体系现状分析
一套完善的风险管理体系通常由业务部门、风险管理部门和内部审计部门组成的“三道防线”共同构成。通常,企业均能初步搭建起风险管控体系的三道防线,如:1.各业务部门负责关注各业务领域内的风险并采取相应的控制措施降低风险;2.企业管理部负责公司运营风险管理,对运营风险进行预警和控制,为公司的经营、管理决策提供可行性、合法性分析和法律风险分析;3.审计监察部主要负责集团的财务审计、经营活动审计及其他专项审计。
(二)风险管理工作规划
风险管理与内部控制体系的建设密切相关,相辅相成,没有完善配套的内控体系,风险管理就如同纸上谈兵、空中楼阁;而缺少风险管理的内控体系建设,会由于缺乏足够的针对性而效率低下、浪费资源。
无论是《企业内部控制基本规范》或是COSO ERM模型,都将企业的目标分为四大类别,包括:战略目标、经营目标、财务目标和合规目标。风险是影响企业目标实现的不确定性,而内部控制则是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。因此,企业有目标就会有风险,而针对每个风险就会有相应的内部控制,以管理风险,从而合理保证目标的实现。
风险评估项目实施过程中,应协助企业初步搭建结合先进理论基础、契合企业实际情况、符合国家监管要求的内部控制体系框架,将风险匹配到内控体系框架,并完成对该体系框架的评估、梳理和建设工作。
在此基础上,需要进一步开展风险管理工作,逐步完善风险管理和内部控制体系,依据风险分层管理、分类管理和集中管理的要求,建立符合企业自身特点的全面风险管理组织体系。另外,在充分考虑企业规模以及业务发展需要的基础上,针对近期及未来风险管理工作的重点,提出相应的参考及建议。如:完善企业风险管理组织架构中各管理层级的岗位职责。完善三道防线,其一,各风险责任部门的日常管理工作,包括,风险责任人、风险联络员等;其二,风险管理部门的管理工作,风险管理涉及公司的方方面面,建议由总裁、执行总裁等高级管理人员组成的风险管理委员会,负责公司整体风险管理工作,风险管理委员会下设风险管理部门,负责各业务部门风险管理工作的协调;其三,审计监督工作,审计监察部应对风险管理进行审查和评价,对风险管理工作进行监督,即对风险管理过程的设计和执行的有效性进行评价,并给出评价意见;审查和评价重大风险的评估和管理是否适当,将评价结果向审计委员会汇报。
风险评估工作结束后,形成风险评估报告,反映企业的风险及其分布状况,为领导决策提供支持。通过风险辨识、风险分析及风险评价,形成风险评估初步结果后,就风险评估结果的真实性、准确性向企业风险管理委员会征求意见,并根据反馈的意见,调整、修正企业的风险评估结果,编写出企业的风险评估报告,上报风险管理委员会或董事会进行审议。
参考文献:
[1]企业内部控制基本规范.财政部,证监会,审计署,银监会和保监会联合.
篇8
摘 要 近年来,随着我国经济的不断发展,传统的内部设计模式已经无法适应其要求。风险导向审计是一种层次较高的审计模式,它能在更大程度上为企业内部审计目标的实现提供保障,其目前在内部审计中已开始推广和应用,因此,加强对风险导向审计的研究很有必要。鉴于此,本文拟从风险导向审计的概念和特点、风险导向审计在内部审计应用中的问题以及风险导向审计在内部审计应用中的对策等几个方面来进行分析与阐述,以期加深对这一问题的认识与理解程度。
关键词 风险导向 审计 内部 应用
经过一段时期的发展,我国的内部审计模式已经经历了财务导向审计、业务导向设计、内控导向审计以及风险导向审计等几个阶段。在内部审计中,风险导向审计属于最高层次,它的出现适应了现代社会发展环境不断复杂化的要求。在对风险导向审计在内部审计应用中的问题以及风险导向审计在内部审计应用中的对策这两个问题进行分析之前,我们先来了解一下风险导向审计的概念和特点。
一、风险导向审计的概念和特点
为了理解与阐述的方便,我们主要可以从风险导向审计的概念和风险导向审计的特点两个方面来进行分析。
1.1风险导向审计的概念
所谓风险导向审计指的是将风险意识贯穿于审计工作的全过程,在对企业的战略目标、风险管理以及控制监督等进行了解与评价的基础上,确定企业的风险水平和剩余风险,从而实现企业目标的一种方法。
1.2风险导向审计的特点
归结起来,风险导向审计的特点主要表现在以下几个方面:其一,完善的审计思路。现代社会条件下的风险导向审计要求审计师运用“自上而下”和“自下而上”相结合的思路对企业内部风险作出合理科学的判断。“自上而下”就是指通过严密的推理,来逐步得出审计工作的重点,并对相关的审计目标和审计程序加以确定的过程,“自下而上”就是指根据审计程序及结果,得出一些重要的判断,从而将其归纳总结形成一定的审计意见的过程;其次,新型的审计风险模型。现代审计风险模型是应用现代风险导向审计理论指导审计实务的工具,它在传统审计风险模型的基础上进行了改进,形式上有所简化。新型的审计风险模型也即:审计风险=重大错报风险+检查风险。新型审计风险模型的建立与使用可以有效降低审计的风险;最后,个性化的审计测试程序。审计测试程序具有两个方面的内容,即具体的审计目标以及完成审计所需要的步骤与方法等,审计测试程序还具有非常重要的作用,比如提高效率、降低风险、明确责任等。所谓个性化的审计测试程序就是指现代风险审计针对不同客户、不同风险采用个性化的审计测试程序,它能在更大程度上对审计工作可能出现的风险加以规避。
二、风险导向审计在内部审计应用中的问题
目前,虽然风险导向审计已经在很多领域有了应用,比如医院、建筑等,但由于这一审计模式毕竟还是一种比较新型的事物,所以其在实践中的应用还存在着不少的问题,对风险导向审计的推广应用造成了很大影响。首先,风险导向审计成本过高。要想对企业进行风险导向审计就必须对注册会计师进行必要的业务培训,需要加强其对企业情况的了解,这些都需要一笔不小的资金投入;其次,缺乏高素质的风险导向审计人才。风险导向审计对相关人员的要求较高,除了具备专门的业务知识外,还必须具有相关的法律知识等,不过从目前来看,我国还是很缺乏这类综合素质较高的审计导向人才,这在很大程度上限制了风险导向审计工作的开展;最后,缺乏对风险导向审计的认识。风险导向审计与传统的审计模式不同,要想在实践中对其进行熟练运用,前提是必须对其基本性质加以准确把握,比如一些具体的操作思路、交易事项以及细节测试等。
三、风险导向审计在内部审计应用中的对策
鉴于风险导向审计在内部审计应用中的重要性以及其在具体应用中所出现的一系列问题,我们必须采取有效措施加以解决。
一是探索针对性更强的审计程序。所谓审计程序就是指为完成审计工作所需要的详细步骤,主要包括审计项目计划、审计准备、审计实施以及审计终结等几个方面。风险导向审计程序要求将审计工作的重心前移,重视审计计划,充分了解被审计单位及其所处环境,对管理者的诚实性保持应有的谨慎,对内部控制的有效性进行恰当地判断与运用,识别和评估重大风险,制订出符合项目特点的审计计划,同时在审计实施中要充分利用分析性程序,结合先进的计算机技术,将大量客观数据通过计算机分析软件,快速、准确地得到需要的结论。
二是提高风险导向审计水平。风险导向审计水平的提高需要从多个方面进行努力,首先是审计人员综合素质的提高,应定期对审计人员进行培训,其次采用先进的技术手段,比如计算机技术等,可以通过系统的抽样和分析,来对审计风险进行有效的评估,并能在很大程度上提高审计工作的效率与水平。
三是建立风险评估方法。风险导向审计是在风险评估的基础上,确定审计方向和重点,改变了传统以内控测试为主的审计方法。风险评估方法是一种系统的、科学的和可量化的方法,风险导向审计从风险评估开始,形成了风险评估、确定审计范围、制定审计计划、开展审计工作、出具审计报告、缺陷整改提高、开始新的风险评估这样一个循环,可见风险评估方法是否得当将会直接影响其他审计要素,进而影响整个审计工作的效率、效果和质量。目前比较常用的风险评估方法主要是以风险影响程度(风险发生对企业目标时的影响)和风险发生的概率(风险发生的可能性)来衡量风险大小,即风险大小=风险影响程度×风险概率,以此计算出各种事项的风险大小。
四、结语
随着经济的全球化,企业间竞争日益剧烈,面临更大的内外部风险,风险导向审计对内部审计来说显得更加重要。本文通过对风险导向审计的分析与阐述,希望可以为以后的相关研究和实践提供某些有价值的参考和借鉴。
参考文献:
[1]邵培.风险导向审计对内部审计人员能力和素质的要求.商情.2013,20(7):19-20.
篇9
(一)审计重心前移。风险导向审计最大的特点是将审计重心放在事前的风险评估上,从以审计测试为中心到以风险评估为中心,审计程序主要包括风险评估程序、分析性测试程序、审计测试程序(包括控制测试和实质性测试)。传统审计不能适应现代报表审计需要就在于其原有的风险评估不到位,未能有效发现高风险审计领域,造成审计过量或审计不足,现在大大加强了风险评估程序,真正体现了风险导向审计的理念。
(二)更加注重外部审计证据。审计重心向风险评估转移导致风险评估程序显得至关重要,风险评估准确与否将直接影响到审计效果和审计效率。风险评估在一定程度上带有一定的主观性,但必要的是审计证据是必不可少的,尤其是更加客观、真实的外部证据。仅仅依靠被审计单位提供的内部证据来对风险进行评估,所得出来的结论是不可靠的。所以,审计人员在搜集审计证据时不应只采用内部证据,而应更努力地获得相关的外部审计证据来对风险进行评估。
(三)在各个阶段都利用审计风险模型作出决策。在风险导向审计中,审计人员在各个审计阶段,都分别以审计风险模型为主,分析评价各自的期望审计风险、固有风险、控制风险和检查风险,并在此基础上作出各项决策,从而能够全面控制审计风险。制度基础审计模式中的审计风险模型是一维的,它只有一个决策目标——确定实质性测试所需的证据量,所涉及的风险层次和范围比较狭窄;而风险导向审计模式中的审计风险模型是二维的,它既包含了不同的风险要素,而且在不同审计阶段给各风险要素赋予了不同的内涵。
二、审计模式的发展历程
(一)账项导向审计模式。账项导向审计模式是最初始的审计方法,主要功能在于查错防弊,其技术方法主要是从审计期间会计事项所依据的相关会计原始凭证入手,追查到记账凭证、账簿、会计报表等会计文件的形成,验算其记账金额、核对账证、账账、账表。账项导向审计模式仅适用于经济业务不很复杂的小规模企业。随着生产经营规模的扩大,融资、投资渠道和方式的多样化、特别是资本市场的发展,账项导向审计模式的局限性就日益凸显,至20世纪初,这种模式就逐渐退出其主导地位,而代之以制度导向审计模式。
(二)制度导向审计模式。随着企业经营规模的扩大,业主或企业管理层势必改变“事必躬亲”的管理方式,建立系统的分层、分工的科学管理制度,企业在经营发展过程中建立起内部控制系统,这就促使审计人员把注意力转移到与会计相关的内部控制系统的控制功能上来。制度导向审计模式将审计的重点放在对内部控制制度各个控制环节的审查上,这种审计模式,是建立在对被审计单位内部控制系统认识基础上的重点审查。以大数定律和正态分布为基础的统计抽样也逐渐取代了单纯判断性和任意性的抽样。同时,这一模式由于着眼于对内部控制制度整体的了解与分析,还可以发现与某些内部控制相关的会计信息的系统性错误,从而提高了审计效率。正因为如此,制度导向审计模式从20世纪四十年代起就成为注册会计师审计的主要方法。
(三)风险导向审计模式。风险导向型审计的产生,主要源自美国,风险导向型审计的内在思想是,任何审计业务都必须将审计风险控制在可接受的风险水平内。
其显著的特点是:它立足于对审计风险进行系统的分析和评价,并以此作为出发点,制定审计策略和与企业状况相适应的多样化审计计划,将风险考虑贯穿于整个审计过程。因为它着眼于全面的控制测试,而不是着眼于测试内部控制制度的执行效果(即符合性测试)。风险导向审计模式合理地扬弃了作为制度导向审计模式基础的“无利害关系假设”,把指导思想建立在“合理的职业怀疑假设”基础上。不只依赖对被审计单位管理层所设计和执行内部控制制度的检查与评价,而是实事求是地对公司管理层是否诚信,是否有舞弊造假的驱动,始终保持一种合理的职业警觉,将审计的视野扩大到被审计单位所处的经营环境,捕捉潜在的风险点,将风险评估贯穿于审计工作的全过程。
三、现代风险导向审计应用中的问题
从理论上讲,现代风险导向审计能够弥补传统风险基础审计的不足,缩小审计期望差距。但是,无论是在国际上还是在国内,还没有一套严密的风险导向审计体系。从目前看,运用现代风险基础审计可能存在以下问题:
(一)信息库的建设。注册会计师执行风险评估程序,充分了解被审单位整体经营环境,然后针对风险不同的客户,客户不同的风险领域,设计个性化的审计程序。为此,会计师事务所必须建立功能强大的信息库,按照行业发展特点、客户经营环境、客户所处市场环境以及客户高层管理者的品行,由专业高层人员组织实施评价,定期把客户风险评价的结果向相关业务承接和实施部门通报,以便注册会计师在风险评估时了解企业的战略、流程、风险管理、业绩衡量。目前,国内很多事务所对行业风险和企业经营风险缺乏了解,数据积累不足,信息库的建设达不到现代风险导向审计的要求。
(二)注册会计师的综合素质存在较大差距。在风险评估程序中,注册会计师花大量的时间和精力去了解客户及其环境,评估经营风险,这就要求注册会计师具有判断企业是否具有生存能力和合理的经营计划的能力。注册会计师不仅要熟练掌握会计、审计知识,也要掌握管理知识、行业知识和法律知识等,还要熟练运用各种分析工具对各种财务指标和非财务指标进行分析。目前,我国事务所90%以上的业务是审计业务和会计业务,没有经济方面、法律方面等多元的背景。注册会计师不了解企业的经营状况、相关行业,不懂得管理、行业等方面的知识,不具备运用数理统计方法的能力,这些都不利于现代风险导向审计的实施。为此,主管部门需要做大量的培训工作。事务所也可以一方面引进高层次人才,同时根据自己的客户情况、事务所的定位,有针对性地进行员工培训。
四、我国应用现代风险导向审计的对策
(一)提高审计人员的专业判断能力。现代风险导向审计要求注册会计师须首先从企业内外环境和经营战略入手,来分析其对财务报表的影响,这就对注册会计师的分析能力和专业判断能力提出了更高的要求;同时,现代风险导向审计过程实质上就是专业判断的过程,它提升了审计的技术含量。因此,注册会计师只有很好的运用专业判断能力才能有效提高审计质量,避免形式审计。
(二)处理好会计师事务所审计成本与效益问题。从理论上说,现代风险导向审计模式首先对重大错报风险进行评估,确定重点关注领域,从而可以合理地分配审计资源、提高审计效率。但是在实务中,执行风险评估程序主要依赖于外部审计证据,而搜集外部证据又没有专门的、固定的途径,使得搜集外部证据的成本较大,有时甚至要高于因减少进一步审计测试所降低的成本而使得总成本增加。在市场竞争日益激烈的环境中,成本的增加很难通过审计收费对其进行弥补,所以如何降低审计成本使审计效益大于审计成本仍是一个值得关注的问题。
(三)健全法律法规制度。所谓健全法律法规制度,就是针对现代风险导向审计的新形势,适时修改相应的一些不合时宜的法律法规,以适应新形势的需要。现行的各种法规关于民事赔偿责任的规定最为薄弱,因此应健全法律法规制度,加大对注册会计师违法行为的责任追究与处罚力度,以强化注册会计师的法律风险意识。
主要参考文献:
[1]陈毓圭.关于风险导向审计方法由来与发展的认识.会计研究,2004.
[2]刘佳.风险导向审计初探[J].财会月刊(会计版),2006.4.
[3]中国内部审计协会编译.内部审计实务标准(2001年修订本).中国时代经济出版社.
篇10
[关键词]风险导向审计;职业道德;审计质量;审计市场
[中图分类号] F239.1[文献标识码] A[文章编号] 1673-0461(2010)02-0077-03
当前,我国已经全面推行风险导向审计。风险导向审计在审计技术方法上的确有着一些进步和突破,但是它并非是一种完美的技术。另外,中国审计环境与国际审计市场有着巨大差距,风险导向审计方法可能会“水土不服”。本文从风险导向审计的技术层面、实际运用中的职业道德视角、我国审计市场环境等角度进行了深入分析。
一、反思:风险导向审计并非完美
(一)风险导向审计技术上的若干难点问题
在整个风险导向审计程序中,最为重要、最为关键、投入审计资源最多就是风险评估阶段。这一阶段中可能存在的各种复杂情况,这就对审计师提出了诸多挑战,例如,如何准确识别和正确评价风险?怎样有效建立风险评估结果与控制测试及实质性程序(审计抽样的规模)之间的关系?审计师就识别和评估风险所下的结论能否成为审计证据?这个问题涉及到事后审计责任的确定问题,如果相关结论不能成为审计证据的话,则审计师无法根据自身的结论实施下一步审计步骤;如果相关结论能够作为证据的话,那么,对于风险评估因时间、因人、因环境而有所差距,一旦发生分歧,以何为准,一旦发生诉讼,何为界定责任的依据?由此可见,尽管风险导向审计赋予审计师更大的专业判断空间,但是这一空间却给审计师的审计责任判断留下“隐患”。
风险导向审计的风险评估结果将决定下一步的审计程序,但是如果审计师有着合理怀疑,但是风险评估的结果却显示没有任何问题,这个时候审计师应该如何面对这个评估的结果,下一步该怎么办呢?再如审计师有着合理怀疑,却无从取证证明自己的怀疑,从而只能认可风险评估的实际结果,审计师是否应该坚持自己的职业怀疑?风险导向审计强调发现评估重要错报风险,对于一般的、但是可能潜在着某些不可知因素的风险,审计师是继续坚持职业怀疑,继续发现呢?还是放弃这些风险的评估和追查,转而攻克那些高风险领域呢?如果审计师不能有效解决这些技术问题,或者缺乏相应的审计指南,风险评估的质量难以保证,审计程序极易流于形式,审计质量令人堪忧。此外,由于风险导向审计的重心在风险评估领域,对实质性测试的重视程度不够;当风险评估领域未能发现的重要风险点在实质性测试中极有可能被忽略,从而大大增加审计风险。
由此可见,尽管风险导向审计将审计工作重心前移,但是在技术层面和审计责任认定层面存在明显的“不足”,这种不足完全有可能转化为审计风险,加大审计师的法律责任,在一定程度上也会威胁审计质量。
(二)风险导向审计准则与职业道德
从源头上看,风险导向审计方法仅仅是审计职业界面对审计环境的变化,目的是规避法律风险和承担审计责任。随着安然等事件的爆发,涉及公众利益的审计期望差距问题变得日益尖锐,风险导向审计也未能良好解决这一问题,反而在一定程度上加剧了期望差距。
第一,风险导向审计回避审计师应当承担的审计责任。风险导向准则未能要求审计师承担全面查错揭弊的责任,其将审计资源用于高风险领域的思路往往会诱导审计师发生“道德风险”,也就会造成业内人士对于风险导向审计方法实际效果提出置疑:“现实情况表明,在经济人假设成立的情况下,风险导向审计几乎被沦为审计师偷工减料的工具,诱导审计师为节约成本而不惜牺牲审计质量,使得审计业务成了变相的保险业务,例如只要企业财务报告的错报风险低于审计师可以接受的范围,审计师就可以出具无保留意见的报告,而不问财务报告的真实质量,从而背离审计本质,这就造成审计理念上的紊乱,能使审计由一种高尚的职业变为一种惟利是图的生意”[1]。
第二,风险导向审计方法迫使审计工作偏离了审计本质。审计活动的主要对象是企业的财务报告,审计师要针对财务报告发表审计意见,审计报告和财务报告的使用者利用的是财务信息。在风险导向审计方法下,审计师需要对企业战略、经营环节进行全面分析,进行风险评估,并围绕着风险评估收集审计证据。可见,审计师已经承担了风险评估师所应完成的任务,审计重心的前移更使得风险评估占据审计工作的绝大部分,直到审计工作完成大半之后,才重新回到财务报告上来――而这才是财务报告使用者真正关心的内容。风险导向审计过于强调审计师对于企业环境、经营环节和交易或事项存在的制度方面的关注,而忽略了财务数据对交易或者事项的直接依赖性。
二、对风险导向审计实际运用效果的考查:四大审计质量“堪忧”
风险导向审计容易诱导审计师的“职业道德”这一命题,可以从四大真实的审计质量中得到验证。四大是最早开发、采用风险导向审计的。但是四大实际执行情况如何呢?2004年财政部重点课题“注册会计师执业环境研究”课题组就我国审计环境问题在陕西、上海、深圳、青海等地展开了实地调研。调研中发现,国内所对于四大在中国市场的执业质量普遍感到“不容乐观”。“他们的胆子更大,我们不敢做的,他们很快就出具标准无保留意见了”。“他们做的底稿也有不少疏漏之处,如果放在我们这里,根本无法通过审核,而他们却已经出具了报告。”而监管部门对于四大所的态度也能说明一些问题:对于国外所还是有些“害怕”,在检查是甚至要采取“迂回”的方式。“外国所来办事都很牛”。对此,学术界也有研究结果。刘峰(2002)认为,在中国审计市场当前较低的法律风险环境下,四大执业质量堪忧 [2];刘明辉(2003)对中国审计市场集中度和审计质量关系进行的研究结果表明:四大在中国审计市场的执业质量并不比国内所高[3]。东南亚金融危机后,联合国在提交的《会计在东亚金融危机中的作用》报告中指出,四大未能采用较高质量的审计准则,而是根据当地较低的法律风险环境,采用了简化的审计程序,从而未能发现企业中存在的问题。
三、启示:中国审计市场环境与实施环境的改进
风险导向审计从其产生至今已经有20多年,其在国外的应用效果一直存在争论。2006年,我国全面改进审计准则,引入风险导向审计技术,并在全国实施。必须承认的是,中外审计环境存在很大差异,差异化的背景不仅不利于解决风险导向审计本身存在种种缺陷,更无助于提升风险导向审计的实施效果,从而使得这种技术流于形式,不仅在实质上降低审计质量,更是无形中提高了审计成本。
(一)我国审计市场环境分析
从审计市场的现状看,我国的审计市场具有以下种种特征,这些特征并不利于风险导向审计的实施。第一,我国审计市场存在明显的买方市场特征,企业对审计质量无自发要求,中小型事务所压价竞争的状况严重。在这样的市场环境中,多数事务所一方面认为市场竞争过于激烈,市场上充斥着过量的事务所;另一方面又普遍感觉缺乏真正意义上合格的事务所。这说明当前的审计环境亟待改善 。第二,会计师事务所所面临的是一个较为“宽松”的环境。除了备受关注的银广夏案的中天勤受到严厉惩罚外,其他在郑百文案、猴王案等众多造假案中的违规违法事务所,其实都没有受到具有威慑力的惩罚。“给定我国审计风险如此低的事实,再加上风险导向型审计的内在要求,我们可以推断,包括四大在内的国际性会计师事务所在中国审计市场上的行为同样不应该得到无保留的信任”[2];“在我国目前需求相对无效的市场环境下,低法律风险必然导致低审计质量;并且,以四大为代表的国际知名会计师事务所也会根据我国相对低的执业风险来降低其审计质量。[2]”在这样的审计市场上,实施风险导向审计的意义并不明显,审计市场的不规范更为审计师发生“道德风险”提供“土壤”。
审计失败的真正原因在于道德问题,并非技术问题,因此不能冀望风险导向审计解决审计失败。对银广夏等事件,审计失败的原因有多种,有些业内人士认为,银广夏事件的发生正是由于没有实施风险导向审计的结果,并对原有的制度基础审计准则提出批评和置疑。也有人士认为,如果审计师采用风险导向审计是能够发现银广夏造假的,而安然事件虽然审计师采用了风险导向审计但是未能遵循独立性原则所以发生失败。银广夏审计失败的真正原因并不在于审计技术方法问题,仍然是独立性问题。
(二)实施风险导向审计需克服的障碍
由前文所述的我国审计市场环境分析表明,在我国实施风险导向审计,除了要特别关注风险导向审计本身技术问题之外,还需要加强审计环境建设,尤其是要切实思考并解决好下列问题。
1.市场恶性竞争的情况下,如何突破审计收费的制约?四大表示,风险导向审计要求审计师具有战略眼光,能够发现企业战略经营问题,并提出相应解决方案,从而为企业咨询服务提供商机。因此,在风险导向审计方法下,审计收费都有普遍提高的趋势。在我国审计市场上,对于企业咨询的收费往往是小额、同审计服务一同提供,而从被称为“免费的咨询服务”。事务所很难说服客户更妄论开拓咨询服务的市场。在审计回扣盛行,低价竞争恶劣的情况下,这种风险导向审计方法下的咨询服务费、相应提高审计收费很可能就是幻想了。
2.如果不能成功提高审计收费,那么为了保证事务所的成本效益,四大都在实质性测试的方法、程序和抽取的样本量方面谋求工作时间的减少,以缩小审计成本,使审计成本和经济效益能达到适当的平衡。最简单的做法便是,在制度基础审计方法中执行分析性测试只是作为常规程序的辅助手段,在风险导向审计方法下则至少是与交易测试和报表余额详细测试并重或是更主要的手段,而且决定着余额测试程序的简繁程度。分析性测试最关注的是捕捉异常情况的迹象,从而为其设定必要的常规程序和抽取适当的样本量,而不是也不可能要求对所有报表项目余额都必须按常规审计程序“走一遍”。因此,分析性测试成为一项既极重要又富有“弹性”的审计程序。对于分析性测试的检查应当成为事务所执业质量检查关注的重点。
3.企业数据库建设及审计程序软件开发问题。风险导向审计强调对企业风险的评估,实施风险评估的前提就是审计师掌握强大的数据库系统。无论是对于企业战略风险、经营风险的评估还是确定重大的剩余风险,均需要采用分析性复核方法及运用职业判断,合理运用上述两点技能要求审计师熟悉企业所在的行业及行业基本数据,而这些离开强大的数据库是无法实现的。西方各国财务数据的电子化已经非常普遍,因此,审计师在审计中可以直接对数据库进行加工分析,依据软件构建模型并由电脑自行检验和核对,这就大大地加快了审计速度,使运用分析性测试程序成为节约成本的重要手段;在我国不仅不具备这样的设备条件,同时我国大部分注册会计师缺少这方面的知识和技能准备,因此,在现阶段推行风险导向审计方法,必须攻克数据库和审计程序这一难关。
4.审计失败案件的处理。我国在推行风险导向审计方法时还面临如何判断可接受的审计风险水平问题。在美、英等国,大量的司法判例以及侧重对会计师事务所和审计师的民事赔偿责任的司法制度,使会计师事务所和注册会计师较易判断省略某些审计程序后可能招致的风险损失;而在我国更多的是进行行政处罚甚至刑事处罚,要将后者量化为审计风险水平几乎是难以做到;而且即使是类似的案情,不同地区的法院的判决尺度也可能存在巨大的差异,这种司法过程中的不可控因素,也加大了判断可接受审计风险水平的难度。而在不能相对准确地估计风险水平的前提下推行风险导向审计方法,一旦变相为常规审计程序的随意省略,其后果的严重性是难以想象的。此外,我国司法部门在积累对财务报表虚假陈述案件的审判经验方面,也需要一定的时间。
四、小 结
当前风险导向审计已经在我国全面实施,这一技术实施的效果究竟如何,需要进一步的思考和研究。当前,需要对风险导向审计有更为全面认识:尽管风险导向审计方法具有一定的优越性、修订相关审计准则是符合国际趋势的,但是不能抱定风险导向审计是一种完美方法的态度,一味地全盘大加肯定。更重要的是,需要考察风险导向审计实际执行情况,了解运用这种方法可能会发生的哪些问题,从中吸取经验教训,从而切实规避风险导向审计实施过程中的障碍。
[参考文献]
[1]黄世忠,陈建明.美国财务舞弊症结探究[J].会计研究,2002,
(10):24-32.
[2]刘峰,许菲.风险导向型审计•法律风险•审计质量――兼论
“五大”在我国审计市场的行为[J].会计研究,2002,(2):21-27.
[3]刘明辉,李黎,张羽.我国审计市场集中度与审计质量关系 的实证分析[J].会计研究,2003,(7):37-41.
Risk-oriented Auditing in China: Reflection and Enlightenment
HuBo
(School of Management, China Women’s University, Beijing 100101, China)