战略风险评估范文
时间:2023-03-19 08:42:59
导语:如何才能写好一篇战略风险评估,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
doi:10.3969/j.issn.1673-0194.2009.18.017
[中图分类号] F239
[文献标识码] A
[文章编号] 1673-0194(2009)18-0050-03
一、战略风险与战略审计解析
战略风险是一种综合性风险,所有对企业价值或发展路径产生重大影响的事件或趋势,都可谓企业的战略风险。其影响因素可能来自于外部,如自然灾害和经济危机;也可能源自于内部,如企业转型和盲目并购。
基于风险控制的战略审计是将企业置于一个大的经济环境中,运用立体观察的理论来判断影响因素,从企业所处的经济环境、经营方式、管理机制等方面来评估企业战略制定、实施过程的科学合理性,并把被审计单位的战略风险评估纳入审计程序中去。
二、战略审计实施中的风险评估探索
在实施战略风险评估中,审计人员需要对初步识别出的风险点进行进一步的综合评估,从而对企业战略管理过程中的风险状况做出合理、准确的判断,并参考其他审计内容的有关因素和对战略风险的影响程度,对审计结果做出调整。
对战略风险的评估可采用单体风险评分法。其中,固有风险是假设企业没有对这一风险进行管控所面临的状态,固有风险越高说明这项工作的重要性越高。剩余风险是结合了企业的管控有效性之后所面临的风险,也就是企业实际的状况。固有风险和剩余风险的概念差体现的就是企业的管理水平。单一风险评分法分别对固有风险、剩余风险打分,以各自的评分维度作为打分标准。分为5个等级:很高(5分)、高(4分)、中(3分)、低(2分)、很低(1分)。固有风险、剩余风险内各个维度的评分结束后,将得分加权平均,可得固有风险及剩余风险的总评分。
(一) 固有风险及剩余风险的评分维度剖析
对于固有风险的个别维度不适用的情况,直接在“很低”一栏填写“不适用”即可;剩余风险不存在“不适用”的打分,若是个别维度体现不明显,则直接选择“很低”。评级尽可能先做定量判断;在很难定量的情况下,再进行定性判断。固有风险及剩余风险的评分维度如表1、表2所示。
对固有风险评分表的分析:
(1)财务影响。该维度是假设没有管控或管控不力的情况下,近一年该战略风险对公司净利润或现金流量的直接影响。财务影响的分级数据可利用公司年度税后净利润或现金流量乘以重要性水平得到。
(2)声誉。该维度是假设没有管控或管控不力的情况下,战略风险导致的后果所引发的社会责任以及对公司声誉的影响程度。其可从负面消息流传的范围及关注程度考虑,“很高”,是在世界范围流传;“很低”,是在企业内部流传;“中”是在全国流传。
(3)合法合规性。该维度是假设没有管控或管控不力的情况下,公司违反相关法规的程度或金额。可从两个方面考虑:一方面是违规的程度,反映在调查机关的级别高低上,“很高”是引起中央机关的调查,“中”是导致地方政府的调查,“很低”是轻微的违反法律法规;另一方面是引起诉讼和罚款的金额。
(4)客户。该维度是假设没有管控或管控不力的情况下,与公司的销售终端——客户的关系受影响的程度,可用客户的订单量为参考依据。“很高”是客户停止采购或取消80%以上订单;“高”是客户寻找其他供应商或取消部分订单;“中”是对客户订单基本无影响,但未来的业务发展受到限制;“低”是有部分投诉或发生补救费用;“很低”是对客户影响很小,仅发生最少的投诉及补救费用。
(5)员工的流失。该维度是假设在不对该风险进行管控的情况下公司全体员工的流失程度。可从两方面进行评价:一是关键员工的流失比率;二是普通员工的流失比率。员工流失的越多,级别越高。
(6)运营。该维度结合了对企业整体业务影响的时间、人力、成本等定量指标,即指挽回对运营造成的影响所需付出的成本、人力等。从“很高”到“很低”,对企业的业务的影响程度依次是:影响重大业务能力、影响部分业务能力、影响日常运作、有一定影响但不影响日常运作、影响微弱等,无法定量判断时就采用定性判断。
(7)其他利益相关者。这里是指除了客户和员工以外的利益相关者,如股东和社会机构。其反映为对企业股价的影响,可以用消息是否外传或公布来帮助理解。“很高”到“很低”依次对应:股价连续大幅震荡、股价数日大幅震荡、股价非正常震荡、股价单日涨(跌)停、不会实质性导致股票波动。
(8)发作速度。该维度假设在没有管控或管控不力的情况下,从隐性不利迹象到风险导致实质损失的时间、非常迅速到很少或没有预警时间。“很高”到“很低”依次对应:在一到几天以内就发作、经过数天到数周才发作、潜伏期已达数月、潜伏期在数月以上到数年。
对剩余风险评分表的分析:
(1)响应速度。该维度衡量风险事件发生以后企业采取补救措施的速度,响应速度越快风险越低。
(2)控制效果和效率:控制/整改。该维度衡量风险事件发生之后企业是否针对原有流程进行优化与整改:“很高”是没有整改计划,“高”是计划不完善,“中”是有计划但没有例行测试,“低”是有计划有定期测试,“很低”是将计划和测试嵌入企业的整个流程,作为部门的长效管理机制。
(3)控制效果和效率:监测和报告。该维度衡量有关风险的报告,“很高”和“高”的差别是有没有分析风险,有没有报告;“高”和“中”的差别是有没有识别风险源头,是口头报告还是正式报告;“中”和“低”的差别是有没有报告的时间表;“低”和“很低”的差别是有没有风险指标。
(4)近一年的风险数据:违规成本或造成的损失。该维度衡量近一年内该风险发生造成的实际损失的相关数据。
(5)风险管理能力:人/技能/知识。该维度考虑两个方面:一是员工本身的管理战略风险的意识和能力;二是员工获取外部资源的途径是否充分,即有助于战略风险管理的渠道、信息、管理方法、管理模型等。员工的风险管理能力越强、能够获取的外部资源越多风险越低。
(6)风险管理能力:第三方。该维度衡量企业在进行战略风险管理时与第三方的关系。对第三方的依赖程度越高,风险越高。第三方包括:客户、商、供应商。
(7)风险管理能力:流程。对流程的影响是指改变流程的走向。主要看对关键流程的影响:影响多个关键流程对应“很高”;影响一个关键流程对应“高”;对关键流程没有影响对应“中”。
(8)风险管理能力:系统/数据/信息系统/安全。该维度衡量对企业关键信息系统的依赖和影响程度。依赖和影响的程度越大,风险程度就越高。如果信息系统出现问题,考虑是否能够由手工替代,若完全无法替代,则剩余风险较高。
(9)扩张或收缩。该维度是指未来12个月或更长的时间内管理这个风险的业务、人员、流程和系统发生变革的程度。发生变革的程度越大,则剩余风险越高。
(二)战略风险分布图评估
通过对识别出的各个战略风险的评分,我们可以得到有关单体风险的一个分值(X,Y),固有风险一个分
数(X)、剩余风险一个分数(Y),据此可以得到四象限矩阵的战略风险分布图,如图1所示。
战略风险分布图清晰地展示了企业目前面临的战略风险的现状,固有风险展示的是战略风险原生态的状况,是该战略风险的重要性的体现;剩余风险展示的是管理层施加管理控制措施后的风险水平,其实质上反映了企业的管控水平及能力。战略风险分布图可以让管理层一目了然地了解到战略管理中存在的问题,即哪些程序、哪些环节仍需进一步的调整与控制。
战略风险分布图已成为审计人员提出审计意见及改进建议的依据。针对第一象限的战略风险(双高风险),审计人员应建议管理层改善现有的管理措施,提升业务流程及人员的管理水平,加强对该风险事件的监测与控制;针对第二象限内的战略风险(固有风险高,剩余风险低),表明企业针对重大风险事件所采取的管理措施是行之有效的,但仍需继续关注,建议管理层定期评审相关流程的内部控制执行效力;针对第三象限内的战略风险(双低风险),审计人员应建议管理层重新部署有限的管理资源,将人力、时间投入到需要管控的其他流程上;针对位于第四象限的战略风险(固有风险低,剩余风险高),因其剩余风险是风险事件长期积累的结果,审计人员应进一步测量该风险的累积影响。
三、结束语
本文将战略风险管理与企业战略审计有机地融合,通过对基于风险控制的战略审计评估技术的探讨,并融合企业环环相扣的战略管理活动,使其真正能够起到改善并控制企业战略风险的功效,以此促进我国审计事业的良性发展。同时,基于风险控制的战略审计评估能促使企业内部控制系统不断实施、执行、评价和完善,趋于持续动态改进。
主要参考文献
篇2
【关键词】传统风险导向审计现代风险导向审计风险评估策略审计风险
ComparingontheTacticsofRiskAssessmentofTraditionalRisk-basedAuditandModernRisk-basedAudit
Abstract:TraditionalRisk-basedAuditandModernRisk-basedAuditarethetwophasesthatRisk-basedAudithasevolved.tacticsofriskassessmentofTraditionalRisk-basedAuditandModernRisk-basedAuditdifferfromeachotherwhiletheystillhavesomesimilarities.ThispaperdoestheComparionontheTacticsofRiskAssessmentfromthefollowingfouraspects:orientationofriskassessment,extentofriskassessment,proceduresofriskassessmentandmethodsofriskassessment.
Keywords:TraditionalRisk-basedAuditModernRisk-basedAudit
TacticsofRiskAssessmentAuditrisk
一、引言
传统风险导向审计和现代风险导向审计是风险导向审计模式发展的两个不同阶段。传统风险导向审计和现代风险导向审计均以风险评估为起点,同时都将风险与控制方法贯穿运用于审计全过程,使审计过程成为一个不断克服和降低审计风险的过程。因此传统风险导向审计和现代风险导向审计两种审计模式在风险评估策略上存在一定的相同之处,但同时更多地体现出了差异。鉴于两种审计模式的风险评估策略较易被混淆,本文拟对两种审计模式的风险评估策略作一比较,对两者差异加以初步探讨。二、传统风险导向审计和现代风险导向审计涵义
(一)传统风险导向审计传统风险导向审计也称为控制风险导向审计[1]。审计模式发展到传统风险导向审计的标志性事件是AICPA在1983年了第47号《审计准则公告》(SASNo.47)——“审计业务中的审计风险和重要性”,首次提出了审计风险模型。传统风险导向审计是指审计人员在审计过程中将风险分析、评价与控制融入传统审计方法(账项导向审计和制度导向审计)之中,进而获取审计证据,形成审计结论的一种审计取证模式。传统风险导向审计的基本程序并没有脱离制度导向审计模式,但它在制度导向审计模式的基础上更加注重风险评估和风险管理。针对制度导向审计不直接处理审计风险,不能对审计风险进行量化的缺点,传统风险导向审计引入审计风险模型,通过该模型将从各种渠道所收集的证据联系了起来,并在此基础上对审计风险进行定量评估,将审计资源相对合理的分配到高风险领域。(二)现代风险导向审计
现代风险导向审计也称为经营(商业)风险导向审计、风险基础战略系统审计。1997年,Bell和Frank发表了名为《通过战略系统的视角对组织进行审计》的研究报告,首次提出了毕马威的BMP审计模式,这标志着现代风险导向审计的产生。现代风险导向审计是审计技术方法在系统和战略管理理论基础上的重大创新,它以被审计单位的战略经营风险为导向,通过“战略分析——流程分析——经营业绩评价——财务报表剩余风险分析”的基本思路,将报表重大错报风险和经营风险联系了起来,从而提出了审计师从源头分析和发现会计报表错报的观念[2]。现代风险导向审计针对传统风险导向审
计风险评估不到位,未能有效发现高风险审计领域,造成审计过量或审计不足的缺点,大大加强了风险评估程序,做到了以风险评估中心,真正体现了风险导向审计的理念。
2003年10月国际审计和保证准则委员会(IAASB)了国际审计准则第315号(ISA315)“了解被审计单位及其环境并评估重大错报风险”,将传统风险导向审计下的审计风险模型修改为:审计风险=重大错报风险×检查风险,明确规定了审计工作以评估财务报表重大错报风险作为新的起点和导向。这就导致了实务中普遍运用的现代风险导向审计在审计风险模型和审计具体风险导向等上和准则规定产生了一定的差异。鉴于这一点,特别指出本文所称的现代风险导向审计是指国际会计师事务所在实务中运用的以战略经营风险为导向的现代风险导向审计。二、传统风险导向审计和现代风险导向审计风险评估策略比较
风险评估是指对审计风险的评估。美国注册会计师协会(AICPA)认为审计风险是指审计人员对于存在重大错报的财务报表未能适当发表意见的风险[3]。风险评估的目标就是确定
高风险环节,从而确定审计的范围和重点,并进一步确定如何收集、收集多少和收集何种性质的证据,以便更有效地控制和提高审计效果及审计效率。策略,是根据形势发展而制定的行动方针和方法。借鉴中注协(1997)对审计策略的定义,笔者将风险评估策略定义为审计人员根据确定的风险评估范围,选择能够达到风险评估目标而应当实施的最有效风险评估程序的基本思路、组织方式和具体方法。在本文中,笔者从风险评估导向、风险评估范围、风险评估程序、以及风险评估具体方法四个方面来比较两种审计模式的风险评估策略。
(一)风险评估导向
虽然国际审计准则规定,在传统风险导向审计下审计人员首先应当对财务报表整体层次和交易类别、账户余额认定层次的固有风险进行评估,但由于固有风险和控制风险都受内外部环境的,两者很难区分,因此审计人员通常难以对固有风险单独做出准确评估。又鉴于稳健性原则的考虑,实务中审计人员往往将固有风险简单地确定为高水平,从而将风险评估重点锁定在控制风险上。因此在实务中,传统风险导向审计实际上是以对控制风险进行的评估为切入点的,所以传统风险导向审计是以控制风险为导向的。
现代风险导向审计强调:审计人员的审计风险[i]主要来源于企业财务报表的错报风险,而企业财务报表的错报风险则主要来源于整个企业的战略管理风险和经营活动风险[4]。所以要充
分理解审计风险,审计人员就必须从企业的战略分析入手,充分识别企业内、外部风险并理解内外部风险对财务报表认定的影响。因此,现代风险导向审计并不直接从对固有风险的评估入手,而是间接地以被审计单位的战略经营风险为导向,通过综合评估战略经营风险从而确定财务报表剩余风险,并进一步确定实质性测试的范围、时间和程序。因此,现代风险导向审计是以战略经营风险为导向的。(二)风险评估范围
在实务中运用传统风险导向审计时,审计人员往往忽略对固有风险的准确评估,而将固有风险简单地确定为高水平。因此在传统风险导向审计下审计人员往往不注重从宏观层面上了解企业及其环境(如行业状况、监管环境;企业的性质;企业的目标、战略、以及可能导致会计报表重大错报的相关经营风险;对企业财务业绩的衡量和评价)[5],而只关注企业的内部
控制。因此,在传统风险导向审计方法下,审计人员实际上只仅仅依赖对控制风险所作的粗放型评估来直接、大致确定检查风险水平。
现代风险导向审计要比传统风险导向审计站得更高,看得更远,对企业了解得更透。它将被审计单位置于广泛的系统中,认为有效的审计需要对企业所处的宏观经济环境和行业环境、战略目标和措施、影响企业目标实现的主要业务活动和关键经营环节以及剩余风险进行深入的了解。在现代风险导向审计下审计风险仍然由固有风险、控制风险和检查风险三要素组成,审计人员也同样要对固有风险和控制风险进行评估。但是相比传统风险导向审计,现代风险导向审计下“固有风险”的内涵扩大了,除了包括会计报表项目本身的风险外,更多地考虑了企业的经营风险。而且在现代风险导向审计下,企业内部控制已经发展到内部控制框架阶段,并有被企业全面风险管理框架取代的趋势,相比传统风险导向审计下的内部控制结构概念,现代风险导向审计下对控制风险进行评估时考虑的因素则更加全面了。
(三)风险评估程序传统风险导向审计风险评估的基本程序可表示为:固有风险评估了解被审计单位的内部控制结构控制风险初步评估控制测试(可选)控制风险综合评估确定检查风险。审计人员在对固有风险进行评估时主要考虑以下因素:管理人员的品行、能力、变动情况和遭受异常压力的情况;客户业务特征;关联方;非常规交易;以前审计结果等。但由于种种原因,实务中审计人员往往忽略对固有风险的准确评估,通常的做法是将固有风险简单地确定为高水平,而将风险评估的重点放在控制风险上。审计人员在对被审计单位的内部控制进行了解时,首先从控制环境入手,再对制度和控制程序进行分析。分析控制环境时主要考虑以下因素:管理和经营作风;组织机构;董事会及审计委员会职能;人事政策和程序;确定职权和责任的等。然后审计人员基于当前对内控的了解对控制风险水平进行初步评估(计划估计水平)。如果审计人员将某一控制的控制风险初步评估为最高值,则对该控制不需执行控制测试而直接进入实质性测试阶段;但如果审计人员将某一控制的控制风险评估为低于最高值时,则就需要对该控制执行控制测试,从而来获取证据以支持低于最高值的风险水平。控制测试完成以后,审计人员对被测试控制的控制风险进行再次评估(最终估计水平),并根据最终估计水平来决定相应的检查风险水平。风险导向审计风险评估的基本程序可用下图表示。如图所示(由于不能粘贴,此处图略),审计人员首先需要对客户的战略进行分析,分析时需要对客户的内外部环境进行了解,包括客户行业状况、监管环境以及其他外部因素(宏观环境等);被审计单位的目标、战略以及面临的经营风险;对威胁企业战略的风险做出的反应等。对客户的战略进行分析后即可对战略风险做出评估。现代风险导向审计下内部控制被分为管理控制(战略控制、高层控制)和流程控制(一般控制、员工控制)[6],在对客户的战略进行分析时同时要对战略控制进行了解并进行评价。然后审计人员对客户的流程进行分析,分析时可从流程目标、投入、作业、交易类型、威胁流程目标的风险等八个维度来了解流程情况[7]。通过流程分析可
以了解客户创造价值的方式、竞争优势及劣势、威胁,从而来评估流程经营风险。在对客户的流程进行分析时同时要对流程控制进行了解并进行评价。在对战略经营风险和流程经营风险进行评估时特别要注重对舞弊风险的评估。然后在此基础上来对固有风险进行初步评估,在评估时除了要重点考虑经营风险可能引起的重大错报之外,还要考虑其他可能引起重大错报的因素(管理当局遭受的异常压力等)。审计人员在对客户的战略和流程进行分析时已经从企业整体层次对内部控制进行了了解(战略控制和流程控制)并做了评价,在这个基础上还要对内部控制的其他方面进行了解并给予评价,特别是要关注有关交易重要类别的控制。基于对内部控制充分的了解,审计人员然后对控制风险进行初步评估。由于固有风险和控制风险都受企业内外部环境的,两者之间存在着紧密的联系,因此审计人员在单独对固有风险、控制风险进行初步评估的基础上还须对两者进行综合评估,即固有风险和控制风险的联合。对联合风险的评估是审计工作的核心,因为接下来其余的审计工作都要围绕联合风险来进行,联合风险的评估结果是审计人员决定实质性程序性质、时间以及范围的基础[8]。然后审计人员对值得信赖的控制进一步执行控制测试,从而来获取支持其较低控制风险水平的证据。最后根据控制测试结果并结合联合风险评估水平,审计人员对会计报表重大错报风险进行综合评估,从而来确定会计报表剩余风险(即检查风险),并进一步决定实质性程序的性质、时间以及范围。(四)风险评估具体方法风险评估的方法主要有观察、检查、函证、询问、穿行测试、分析性程序等多种审计取证手法。虽然传统风险导向审计客观上要求大量使用分析性程序来进行风险评估,但由于实务中审计人员往往忽略对固有风险的准确评估,因此限制了分析性程序的运用范围。而且传统风险导向审计对于信急的再加工重视程度不够,分析性程序主要适用在报表分析上[9]。而在现代风险导向审计下,风险评估以分析性程序为中心,分析性程序成为最重要的程序。而且随着分析性程序功能的不断扩大,分析性程序开始走向多样化,审计人员不仅对财务数据进行分析,同时也对非财务数据进行分析。由于分析性程序的多样化运用,大量的分析工具以及现代管理方法被运用到分析性程序中去。如在战略分析时审计人员运用了PSET分析和POPTER分析方法;在流程分析时运用到了价值链分析(VCA))和波士顿矩阵(BCG)以及SWOT分析方法;绩效分析时运用到了平衡积分卡(BSC)和标杆管理(Benchmarking)分析技术[10]。将分析工具运用到风险评估中使得风险因素不再独立,而且风险评估不再是一元评估,而是多元评估,因此风险评估的结果将更加可靠。
三、结论
1.风险评估导向不同:
虽然国际审计准则规定传统风险导向审计应以固有风险为切入点,但在实务中传统风险导向审计实际上是以控制风险为导向的;而现代风险导向审计则是以战略经营风险为导向的。
2.风险评估范围不同:
审计人员在实务中运用传统风险导向审计时往往会忽略对固有风险的准确评估,只通过对控制风险所作的粗放型评估来决定实质性测试的性质、时间和范围;而现代风险导向审计下审计人员除了要对传统的固有风险,即会计报表项目本身的风险进行评估之外,更多地是要考虑企业的经营风险,特别是注重对舞弊风险的评估[11]。同时由于内部控制概念内涵的扩
大,审计人员在对控制风险进行评估时考虑的因素相比传统风险导向审计下更加全面了。
3.风险评估程序不同:相比传统风险导向审计,由于现代风险导向审计增加了对企业战略和经营流程的分析,以及对经营风险的评估,而且最后将固有风险和控制风险联合起来进行评估,因此在评估程序方面现代风险导向审计比传统风险导向审计更完善。由于现代风险导向审计对审计风险考虑的更全面了,所以在现代风险导向审计下能够更好的将会计报表剩余风险降低到可接受水平。4.风险评估具体方法重点不一样:两种审计模式在风险评估时都运用了观察、检查、函证、询问、穿行测试等风险评估方法,但相比传统风险导向审计,现代风险导向审计更注重分析性程序的运用,做到了以分析性程序为中心。
________________________________________
[i]国际会计师事务所认为审计风险应该是广义的,即不仅包括审计过程的缺陷而导致审计结果与实际不相符而产生损失或责任风险,还包括客户经营失败而导致审计主体遭受损失或不利的可能性。
:
[1]王泽霞.论风险导向审计创新[J].会计,2004(12):49-54
[2]谢荣,吴建友.现代风险导向审计研究与实务发展[J].会计研究,2004(14):47-51
[3]AICPA:professionalStandardsAsofJune1,1992,AU.31
[4]谢荣,吴建友.现代风险导向审计基本内涵分析[J].审计研究,2004(05):26-30
[5]陈毓圭.对风险导向审计方法的由来及其发展的认识[J].会计研究,2004(14):58-63
[6]郑朝晖.战略系统审计:财务数据之合理预期[J/OL].会计视野,2004[2006-4-17]/showdoc.asp?docid=448&uchecked=true
[7]王义华.BMP审计模式介绍[J].中国注册会计师,2005(06):69-70
[8]Ernst&YoungGlobalAuditPlanningToolkit2004[M],2004:65-67
[9]马贤明,郑朝晖.现代风险导向审计探讨[J].审计与经济研究,2005(01):9-13
篇3
一、现代风险导向审计风险概述
现代风险导向审计也称为经营(商业)风险导向审计、风险基础战略系统审计。现代风险导向审计是审计技术方法在系统理论和战略管理理论基础上的重大创新,它以被审计单位的战略经营风险为导向,通过战略分析――流程分析――经营业绩评价――财务报表剩余风险分析的基本思路,将会计报表重大错报风险和经营风险联系了起来,从而提出了审计师从源头分析和发现会计报表错报的观念。现代风险导向审计针对传统风险导向审计风险评估不到位,未能有效发现高风险审计领域造成审计过量或审计不足的缺点,大大加强了风险评估程序,实现以风险评估为中心。
国际审计和鉴证准则委员会了一系列新的审计准则,风险模型也修改为:审计风险=重大错报风险×检查风险。重大错报风险评估是通过“了解被审计单位及其环境并评估重大错报风险”来实现的。这一思想将风险评估的范围拓展了,要求将被审单位的各种风险,包括控制风险、账户及交易层次风险及其他如企业的经营风险、行业风险、舞弊风险等都考虑进去。总体来说,现代风险导向审计是一种新的审计基本方法,它以被审计单位的经营风险分析为导向,以审计理论、系统理论和战略管理理论为指导,通过自上而下和自下而上相结合的审计思路完成审计工作。
现代风险导向审计模型改变了以往从局部到整体的审计思路,为注册会计师从整体上把握和控制审计风险提供了基础。现代风险导向审计模型要求针对会计报表整体层次和认定层次来分别评估重大错报风险,并采取不同的应对措施来克服原模型侧重于认定层次而忽视会计报表层次的缺陷。还要求注册会计师识别和评估会计报表整体层次和认定层次的重大错报风险,将识别出的风险与认定层次可能发生的错报联系起来,考虑风险的重大性和可能性。注册会计师应针对评估出的两个层次的重大错报风险,合理运用职业判断分别确定总体应对措施和设计、实施进一步的审计程序,以将审计风险降至可接受的水平。另外,还要求注册会计师针对评估的会计报表整体层次的重大错报风险,采取总体应对措施:向项目组强调在收集和评价审计证据过程中保持职业怀疑态度的必要性、分派更有经验的或具有特殊技能的注册会计师,或利用专家的工作,提供更多的督导,在选择进一步的审计程序时,应当注意某些程序不能被企业管理当局预见或事先了解,对拟实施审计程序的性质、时间和范围做出总体修改。
二、现代风险导向审计风险评估基本程序
现代风险导向审计强调审计风险主要来源于企业财务报表的错报风险,而企业财务报表的错报风险则主要来源于整个企业的战略管理风险和经营活动风险。它认为,要充分理解审计风险,审计人员就必须从企业的战略分析、流程分析入手,充分识别企业内、外部风险,并理解内、外部风险对财务报表认定的影响。因此,现代风险导向审计并不直接从对固有风险的评估入手,而是间接地以被审计单位的经营风险(包括战略经营风险和流程经营风险)为导向,通过综合评估经营风险从而确定财务报表剩余风险,并进一步确定实质性测试的范围、时间和程序。(图1)
三、风险评估
规避审计风险,必须从承接开始充分认识到风险的存在,这也是控制风险的关键一步。因此,根据独立审计准则要求,在承接业务签署审计业务书前,审计人员应对被审计单位的基本情况进行了解。如,业务性质、经营情况、经营风险、以前年度的审计情况、财务机构及组织工作等。根据了解的情况,审计人员运用专业判断评估审计风险,决定有无能力胜任,被审计单位的性质如何等,进而决定是否接受委托、确定审计计划及审计程序。
(一)战略经营风险评估。企业接受委托前需对客户的行业状况、监管环境以及其他外部因素,如被审计单位的性质及对会计政策的选择和运用、被审计单位的目标战略以及相关经营风险、对被审计单位财务业绩的衡量和评价相关内部控制,在进行必要的了解后,评估会计报表总体层次和认定层次的重大错报风险。
了解客户及其环境,包括了解客户的目标、战略以及可能导致会计报表重大错报的相关经营风险,而不是了解和评估全部的经营风险。这主要是因为不是客户所有的经营风险在任何情况下都最终具有财务后果且必然会导致会计报表重大错报风险;评估和控制所有经营风险、实现经营目标是企业管理当局的责任;而注册会计师的责任是评估被审计会计报表的所有重大错报风险,以帮助其设计和实施有效的审计程序,及时保证发现重大错报,实现审计目标。
战略经营风险评估主要是对组织内部环境战略经营风险(公司治理结构、内部组织文化、核心竞争力、内部信息沟通)、本地外部环境战略经营风险(直接竞争对手、本地劳动力市场、顾客/供应商关系)、全球环境战略经营风险(国外不确定的政治监管环境、自然资源、全球竞争、文化优势)进行评估。
1、组织内部环境战略经营风险。合理的公司治理结构可以保障组织系统的正常运转,帮助组织实现战略经营目标;不合理的公司治理结构,甚至是治理结构中的微弱不和谐因素都可能导致组织整体战略的失败。因此,公司治理结构的合理与否是组织内部环境中的一个重要战略经营风险来源。
组织文化是组织成员内在化的、共同的行为指向,也是企业解决如何在外部生存以及内部如何共同生活的一套哲学。员工诚信、员工士气、忠诚度、管理层的领导风格等都可能抑制员工的灵活性和学习能力。因此,组织文化的功能是战略经营风险产生的主要来源。
组织中的信息不通畅、员工的情感或情绪问题得不到合理宣泄和回应,天长日久就沉淀淤积,导致组织有效运行障碍和日后组织病变,故组织中的信息沟通情况也是组织战略目标实现的一个来源。
2、本地外部环境战略经营风险。直接竞争主要包括直接竞争对手不断适应和改进其经营,新竞争对手进入市场激化价格战。竞争对手的销售管理机制和市场政策对公司在既定市场上的销售能力和市场开发能力的影响导致公司业绩受到影响。如果公司采取有效的措施来提高销售管理机制的竞争力和政策应变能力,则必然削弱市场开发能力,导致销售业绩降低,在失去竞争优势的同时,增大公司的战略经营风险。
本地劳动力市场风险来源主要是指组织与直接竞争对手在争夺最优劳动力资源方面展开的竞争。人力资源满足公司发展的程度、人才资源的开发、管理机制和企业家资源是影响公司发展的重要战略风险因素。
3、全球环境战略经营风险。国外不确定的政治、监管环境、自然资源的地理位置、全球市场竞争状况及一个国家或地区的语言、文化、风俗及都会深刻地影响企业的组织文化,从而影响企业的战略经营风险。
与战略有关的审计程序会生成证据来帮助审计师提高对战略经营风险、重大错报风险评估的准确性,有助于评估和控制检查风险。战略经营风险评估是一个循环递推过程,需要反复评估和获得反馈,直到审计师的目标实现,即建立充分、合理的审计判断。
(二)经营环节风险评估。通过客户战略系统风险评估,审计师已经识别出重要战略风险和重大交易类别,从而可以推导出重大风险经营环节。通过客户战略系统分析,审计人员应该考虑客户的战略和战略管理程序同财务报告的关系,尤其是对于会计政策选择和财务报表披露,客户的经营战略和经营风险对会计和审计意味着什么,会计估计和计价是否反映了重大的经营风险,客户的战略风险如何影响经营流程和交易流程的额外审计工作。
环节分析是为了使审计人员深入了解在初期审计中发现的关键经营环节,了解客户是如何创造价值的。特别是研究每一项核心经营环节,以发现重要的环节目标、与这些目标有关的经营风险,以及这些风险和控制对财务报表的影响。环节风险包括:领导风险、监管风险、技术风险、财务计划风险、人力资源风险、运营风险、信息风险。
审计师对环节风险进行分析时需要结合环节目标、环节关键成功要素的理解,审计师对重要环节风险进行分析、识别的原因是它们可能会导致会计报表的重大错报。同时,重大交易类别也可能会导致会计报表的重大错报。另外,审计师在进行环节风险分析的同时,需要结合客户战略系统分析阶段识别出重大交易类别以及环节本身的业务活动,并评估其对会计交易的影响,帮助识别环节重大交易的类别及其对会计的影响。
(三)剩余风险评估。现代风险导向审计中的剩余风险就是没有控制在可接受范围水平内的重要经营与重大交易类别。在客户战略系统分析和环节分析完成后,剩余风险也就代表了审计师认为没有被控制住,并对会计报表有潜在重要影响的经营风险,它们可能来源于战略分析,也可能来源于环节分析。剩余风险成为审计师需要关注的重点。审计师根据剩余风险的结论实施追加实质性测试程序,从而将会计报表重大错报的风险,也就是审计风险控制在可接受的范围内。
剩余风险会对以下五个方面产生影响:业绩预期、信息质量、控制环境、生存能力、管理强化。对审计师来说,则关心与信息质量相关的风险,尤其是那些涉及财务报告的风险。剩余风险是在企业的控制措施失效时所产生的,审计人员应该把在审计过程中发现的企业控制不足之处同企业进行沟通,并向企业提出管理建议,从而协助企业预防或检查将来可能出现的错误。不论是通过企业采取进一步措施,还是由审计师直接进行数据重新整理或其他实质性测试,审计师都要运用专业判断评价剩余风险是否在经过这些程序之后被降至可接受水平。如果剩余风险仍处在不可接受水平,则审计师不能出具标准无保留的审计意见,甚至要考虑是否应该从该审计客户辞职。
四、实质性测试
篇4
标志着适应我国市场经济发展要求,与国际惯例趋同的审计准则体系正式建立。
一、传统风险导向审计的缺陷
传统风险导向审计的审计风险包括固有风险、控制风险和检查风险。审计风险是由会计师事务所风险管理所确定的,谨慎从事的会计师事务所往往将其确定为低水平,固有风险和控制风险与企业有关,注册会计师通过了解被审计单位和控制测试,确定检查风险,设计和实施实质性程序。传统风险导向审计从理论上解决了制度基础审计方法的缺陷,要求将审计资源分配到评估固有风险、测试内部控制和实施实质性程序,使审计效率与效果有了实质性的提高,但它还不是一种新的审计基本方法,它实质上是制度基础审计方法的发展,其在理论与实务两方面都存在着固有的缺陷。
(一)从理论上分析
传统的审计风险模型其实是假设固有风险、控制风险和检查风险之间相互独立。但固有风险和控制风险都受企业内外部环境的影响,两者之间还相互影响。因此,随着企业与内外部环境联系紧密性的增强,这一假设的可靠性越来越受到质疑。并且大部分审计程序都是多重目的,都对会计报表是否有重要错报有信息含量。因此Bell等甚至质疑检查风险是否可以与固有风险和控制风险区分开来。在传统风险导向审计模型下,一些学术界和实务界人士将注册会计师发现会计报表重要错报的问题与报告会计报表重要错报的问题混为一谈。
(二)从实务上分析
传统风险导向审计忽视固有风险的评估。由于固有风险的评估主观性较强,且不容易评估,因此在编制具体审计计划时,注册会计师应当考虑固有风险的评估对各重要账户或交易类别的认定所产生的影响,或者直接假定这种认定的固有风险为高水平。在实务中,许多事务所不重视固有风险的评估,审计起点退至了解和测试内部控制。由于内部控制具有固有的局限性,因此,审计风险增大。
二、传统风险导向审计与现代风险导向审计的比较
(一)理论依据的改变
传统风险导向审计主要依据的是审计理论;而现代风险导向审计的理论依据有战略管理理论、系统理论、舞弊动因理论和审计理论。当今世界急剧变化,科学技术也是日新月异,作为其中一份子的企业的风险也是达到了前所未有的高度。因此,仅仅依靠审计理论作为指导依据是远远不够的,而现代风险导向审计理论依据范围与内涵的扩展便适应了经济技术的发展要求。
(二)审计风险模型的扩展
传统风险导向审计的风险模型:审计风险=固有风险×控制风险×检查风险。现代风险导向审计的风险模型:审计风险=重大错报风险×检查风险;重大错报风险=固有风险×控制风险;检查风险=分析程序风险×细节测试风险;因此,审计风险模型演变为审计风险=固有风险×控制风险×分析程序风险×细节测试风险。
现代风险导向审计通过修订审计风险模型,拓展审计证据的内涵,强调了解被审计单位及其环境,包括内部控制,以充分识别和评估财务报表重大错报的风险,针对评估的重大错报风险设计和实施控制测试和实质性程序。通过综合评价被审计单位的情况以及战略以确定审计测试的性质、时间和范围,审计的起点为被审计单位的情况以及战略,这样注册会计师很容易全面掌握被审计单位可能存在的重大风险,避免了只见“树木不见森林”的尴尬局面。
(三)风险评估重心的转变
传统风险导向审计的风险评估重心是控制风险,直接评估审计风险,现代风险导向审计的风险评估重心前移,从了解客户战略经营环境、评估经营风险、剩余风险入手,由控制风险向联合风险转移,从侦查管理层舞弊的角度出发,注册会计师直接评估固有风险和初步控制风险的联合风险。在传统风险导向审计的基础上大大加强了风险评估程序,真正体现了风险导向审计的理念。
(四)风险评估方法的改变
首先,现代风险导向审计对风险的评估由直接评估改为间接评估。传统风险评估直接评估重大错报的概率,也就是直接对审计风险进行评估,而现代风险导向审计不再直接对审计风险进行评估,而是从经营风险评估入手。
其次,分析性程序成为风险评估的中心。传统风险导向审计对于信息的再加工重视程度不够,分析性复核主要适用在报表分析上,现代风险评估以分析为中心,分析性复核成为最重要的程序,为了适应分析性复核功能扩大的要求,分析性复核开始走向多样化,不再是对财务数据进行分析,也对非财务数据进行分析。分析工具也充分借鉴现代管理方法,将管理方法运用到分析性程序中去,如战略分析、绩效分析、财务分析、会计分析及前景分析。将分析工具运用到风险评估中去,将使风险因素不再独立,且不再是一元评估,而是多元评估,几种方法相互印证,使风险评估的结果更加可靠。
最后,风险评估结构的转变。现代风险导向审计将战略分析引进审计,对风险的评估从零散走向结构化,风险分析结构化最大的好处:考虑了多方面的风险因素;这些因素有机联系在一起,便于综合风险评估。
(五)注册会计师专业知识重心的转移
注册会计师以会审知识为中心转向管理知识、行业知识为中心,由于审计重心转移,审计结果主要依赖风险评估,而不是审计测试,而风险评估采用的各种风险分析方法都是现代管理知识在审计中的运用,而且这种运用必须以行业知识为基础。可见,现代风险导向审计对注册会计师素质提出更高的要求,要求注册会计师必须术业有专攻,必须掌握一些常用的分析工具,并接受行业知识训练。
(六)审计测试程序的改变
传统审计程序标准化,这种标准化审计程序存在很大问题,既不能对症下药,没有贯彻风险导向审计思想;又使得注册会计师无法突破客户预先设置的障碍或防范措施。现代风险导向审计的审计测试程序个性化,克服了传统审计测试的缺陷,针对风险不同的客户、客户不同的风险领域,采用个性化的审计程序。由于现代风险导向审计测试计划是基于注册会计师的风险评估结果,且不同的客户显然存在不同的风险,因此审计测试程序必然会“因人而异”。
(七)“自上而下”与“自下而上”相结合
传统风险导向审计从控制风险评估入手,视野过于狭窄,并主要依赖实质性测试,这种自下而上的方式过于注重会计的形式。现代风险导向审计在吸收了其他审计方法的优点的同时,密切地关注企业的主要战略目标、管理层对风险的容忍程度、以及企业内部各项风险评价指标等情况,从审计风险产生的源头来识别和评价风险,先“自上而下”对报表形成预期,根据预期确定审计重点,再“自下而上”,将实际审计结果与预期相比较,对企业的情况有了更深入、全面的了解,从而能更准确分配审计资源,保证审计的质量。
(八)审计证据的变化
传统风险导向审计大多从管理层获取审计证据;在现代风险导向审计模式下,由于审计重心向风险评估转移,注册会计师必须充分了解客户整体战略经营环境,并由此出发评估客户的经营风险和审计风险,因此,必须取得大量的外部证据来证明风险评估的恰当性,外部审计证据的增加,内涵扩大,包括了解企业及其环境的证据,注册会计师可以从一般员工或供应商、销售商等获取审计证据,这是针对管理层舞弊的有效侦查措施,业内人士和专业咨询人士的意见也可以作为对注册会计师审计专业判断的补充。
由以上分析可看出,传统风险导向审计只关心注册会计师自身所面临的风险,只关心控制风险、检查风险和固有风险。现代风险导向审计则更进一步,不仅关注审计风险,还关注经营风险。为了分析被审计客户的经营风险,注册会计师必须深入被审客户,理解其运行模式,其所面临的短期以及长期经营风险,并基于此向管理层提供对影响企业经营的所有因素的独立评估报告。在传统风险导向审计中,注册会计师与被审计客户在财务报表审计过程中处于对立面,各自只是从自己的角度,提出不同的观点。而在现代风险导向审计中,注册会计师与被审计客户处于平行地位,以同一目标为导向考察企业的经营状况。
综上所述,笔者认为现代风险导向审计是审计模式发展的必然趋势,我国目前存在着诸多推行现代风险导向审计的有利因素,同时法律环境、公司治理等问题也存在着不利因素,但这些并不能因此阻碍审计模式的发展,而是需要同步完善。
参考文献:
1、郑朝晖,装广堂.审计模式发展探析[J].中国注册会计师,2004(1).
2、胡春元.风险基础审计[M].东北财经大学出版社,2000.
3、姚焕然.事务所开展风险导向审计的五个基础[J].中国注册会计师,2006(2).
4、王咏梅,吴建有.现代风险导向审计发展及运用研究[J].审计研究,2005(6).
篇5
民航院校培养的人才首先要适应民航业快速发展的需要以及地方政府发展民航的人才需要。《公司财务战略与风险管理》把服务民航、服务地方经济作为首要任务,结合航空公司经济运行的特点,分析民航企业为谋求企业资金均衡有效的流动和实现企业整体战略而对企业资金流动进行全局性、长期性与创造性的谋划,解析民航企业存在的风险因素及其形成机理,了解各种风险构成、计量、风险评估与规避机制,结合数据分析和收益管理系统,让学生锻炼对真实问题的分析能力。课程不但可以拓展学生的国际视野,提升民航运输专业技能,还系统地锻炼学生的综合分析能力,将学生的业务技能培养和综合分析能力相结合,很大程度上提升学生实践能力。课程建设目标是通过分析民航企业为谋求企业资金均衡有效的流动和实现企业整体战略而对企业资金流动进行全局性、长期性与创造性的谋划,解析民航企业存在的风险因素及其形成机理,了解各种风险构成、计量、风险评估与规避机制,结合数据分析和收益管理系统,让学生锻炼对真实问题的分析能力和解决问题的能力,加深对行业的了解。
二、课程内容设计
(一)基于竞争力导向的财务战略选择与评价。随着经济全球化快速发展,企业理财环境也变得愈来愈复杂化和不确定化,企业加强战略管理已经成为当前管理界的趋势和潮流,与之相适应的财务战略管理也日益受到关注。我国航空运输企业目前正处于一个战略调整和战略发展的阶段,因此对航空运输企业财务战略管理中存在的问题及对策进行研究和探讨就显得十分必要。企业财务战略是企业诸多职能战略之一,它不仅服务于企业的总体战略,而且贯彻企业战略的总体要求,同时对其他职能战略起着支持和促进作用。在企业的竞争力中,财务战略及其管理能力和水平是企业各方面能力的综合体现,有了健全的财务体系和有利的融资、投资战略,企业的发展战略才能顺利地实现。通过对航空公司、机场财务战略管理情况的调查研究,可以将财务战略管理思想真正有效地运用到民航的经营管理中,为民用航空企业科学的财务管理提供参考。
现代企业战略财务管理要求企业建立以竞争力为核心的战略财务管理体系。它既可以用来推动价值创造的观念,并深入到公司各个管理层和一线职工中,又与企业资本提供者(包括企业股东和债权人)要求比资本投资成本更高收益的目标相一致,从而也有助于实现企业价值和股东财富的最大化。核心竞争力关注于企业的竞争对手、企业在环境中的定位、企业价值链中最具有增值部分的作业、建立战略联盟。核心能力是形成企业竞争力的支撑点,是“内力”,核心竞争力是“外力”,两种力量结合可扩大企业的竞争优势。竞争优势是在市场竞争环境中的综合能力。
基于分析,财务战略模块可以重点讨论财务战略目标、企业核心竞争力的衡量(尤其是民航运输企业的核心竞争力评价体系)、财务战略决策、财务战略实施与控制、财务战略计量与评价。公司投资战略、公司融资战略、收益分配战略一带而过,主要航空公司(如三大航)和主要机场的财务战略从制定到实施和评价可以以案例的形式穿插。主要教学内容安排见图1、图2。(图1、图2)
(二)价值导向的内部控制构建与评价——以民航运输业为例。民航企业具有高投入、高技术与高风险等“三高”特点。从航空公司经营过程来看,航空公司经营过程中面临诸如经营风险、财务风险、汇率风险、安全风险、政治社会风险等各种风险。从全民航角度看,都需要一套科学与有效的风险评估与风险规避体系,这将有利于充分发挥民航总局的行业监督与指导等宏观调控作用,同时使得航空公司能够预知风险并及时采取有效的措施规避与对抗各种风险。通过对民航企业所面临的各种风险分析、评估、规避与对抗机制与体系的研究,建立航空公司风险评估系统,探寻规避风险的机制、途径与方法,使得航空公司形成科学有效的风险分析评估、规避与对抗机制与规程具有重要的战略意义。
课程从我国航空公司的自身需要出发,结合影响航空公司经营的内外部环境特点,研究航空公司存在的各种风险的成因与机理,运用系统动力学对影响航空公司经营的各种风险进行定性与定量分析,建立一套适应我国航空公司实际的风险分析、风险评价指标、风险处理及规避机制与规程,运用与建立航空公司风险评估评价模型,对航空公司风险评估进行实证研究。把握航空公司经营的特点及其面临的各种风险现状,分析与研究航空公司风险形成机理,研究航空公司的各种风险构成(包括经营风险、财务风险、汇率风险、安全风险、政治社会风险等研究);对航空公司各种风险进行定性与定量研究(包括风险的定性分析研究:运用流程图分析法等进行定性分析;各种风险的定量分析与研究:运用系统动力学原理,建立数学模型对航空公司所承担风险进行量化分析与研究);对航空公司风险评估与规避机制(包括风险评估与规避组织机制、信息收集与传递机制、分析评估机制、风险处理与对抗机制等方面)和航空公司风险分析评估指标与指标体系(包括分析评估原则与标准、分析与评估程序、风险衡量指标及指标体系、风险分析评估结果的修正与评价等研究)进行研究;建立与开发航空公司风险评估系统,并选择试点单位运行检验航空公司风险评估系统,以验证航空公司风险评估系统的稳定性、有效性、准确性,并进行修正与完善。
从内部控制与价值管理和价值链的内在关系,不难发现内部控制是为实现企业的价值最大化目标而设计的,其主要内容就是要建立一个基于价值导向的内部控制环境,通过对各种价值活动的约束和激励以保障各项价值活动高效地运行,从而实现公司价值链的整体增值。我们的课程要梳理内部控制相关理论,结合COSO委员会的《内部控制整合框架》和我国的《企业内部控制基本规范》,阐述内部控制的内涵,从控制环境、风险评估、控制活动、信息与沟通、内部监督这五个要素分析我国民航机场和航空公司内部控制现状,并提出优化建议。结合全面风险管理理论,构建民航运输企业的价值导向内部控制体系,并对其战略风险、安全风险、经营风险、财务风险、法律风险和市场风险等风险因子的成因、分类及其规避进行分析和探讨。旨在预防和矫正错误和舞弊的萌生与发展,改善企业运营管理的科学性和可靠性,进一步降低事故率、减少损失,提升民航企业的核心竞争力,促进民航业的健康持续发展。我们寻求企业的风险分析、风险控制、风险预警、风险补偿系统及其各系统的有机组合,拟定一个企业经营战略、组织架构、业务流程、信息系统、绩效考核等多方面紧密配合的整体方案。
课程要讨论价值导向内部控制评价模型。该模型的内部控制突破了企业的物理边界,界定评价主体为控制主体,延伸了评价客体,评价模式采用过程指标和结果指标相结合的综合评价模型,评价方法采用定性评价与定量评价相结合的综合评价,避免了对于内部控制评价的盲自乐观和短板效应。根据行业特性,我们搜集近两年我国民航机场和航空公司的内部控制资料,计划实证分析我国民航机场内部控制现状,回归分析实现内部控制目标的关键控制要素,发现内部控制建设与企业价值的博弈关系以及公司治理结构影响内部控制的有效性的证据。
三、教学方法与手段
根据课程的性质和教学内容,结合航空公司、机场工作特点,综合运用灵活多样的教学方法,包括案例展示教学、启发式教学、讨论式教学、协同式教学等,强调学生创新能力的培养。以团队设计、教师指导、学生参与为形式,打造一批基于财务战略与风险管理课程孵化的开放性题目。开放性题目不仅为学生提供了最贴近现实的科研场景,更是培养学生实践能力和科研素养的最佳途径。开展开放性科研项目运营探索,有效地实现了教学和科研的双向贯通,培养了学生的创新能力。以培养学生参与实践创新能力为目的,以民航经济与管理数据库为依托,实现了利用科研项目成果和教师科研能力向学生创新实践能力的提升转化,而且通过学生参与项目的方式为一批研科研项目提供了支撑和帮助,真正实现了科研和教学的双向贯通,培养了学生的创新能力。采用新的教学模式及教学方法,注意充分发挥学生的主动精神,使他们能够综合运用所学的经济管理理论知识和民航专业知识,在全面提高学生的素质,特别是实践能力、创新精神与创新能力方面取得明显的效果。采取各种小组讨论、头脑风暴等方式调动学生学习的主动性和自觉性,激发学生创造性思维的积极性,有利于学生综合素质的培养,提高面对未来挑战的自信心。
四、课程特色
篇6
一、现代风险导向审计的含义及特征
现代风险导向审计按照企业战略风险、经营流程风险、内部控制风险、剩余风险与个人主观因素相结合形成审计风险自上而下的风险评估思路,将风险评估的范围从微观拓展到了企业的宏观经营背景、从财务指标拓展到了非财务指标,特别突出了个人主观因素在形成实质性经营风险中的关键作用,是对企业经营风险的全过程、多视角评估,审计理念与传统审计模式相比有了质的飞跃。
(一)审计重心前移。账项导向审计模式的重心是详细检查;内控导向审计模式的重心移到控制风险,向前迈进了一步;现代风险导向审计的重心再次前移,注重对影响被审计单位生存能力的内、外部环境以及经营计划的战略风险分析,能够从宏观上把握审计所面临的风险。
(二)注重运用分析程序。采用自上而下的思路,从宏观至微观,对企业的财务及非财务业绩指标建立风险分析模型,合理设定各项流程业绩指标预期值,通过指标偏离度分析,查找预期差异的形成原因,以识别可能存在的重大错报风险。
(三)审计程序更加有效。在全面风险评估的基础上,减少对接近业绩指标预期值的账户余额的实质性测试,增加对业绩偏离较大且无合理解释风险事项或例外事项的审计力度,针对不同的风险环节、风险领域,采用个性化的审计程序,自下而上进行实质性测试,提高了现场检查的针对性和审计发现的准确度。
(四)扩大审计证据的内涵。现代风险导向审计形成审计结论的依据不仅包括实施控制测试和实质性程序获取的证据,而且包括了解企业及其环境获取的证据,特别是分析性证据的运用丰富了审计证据的内涵,有利于全面、客观、准确评价企业经营成果。
(五)关注管理层舞弊风险。现代风险导向审计关注个人主观因素对企业经营风险的作用,特别是管理层凌驾于内部控制之上的串通舞弊行为对企业经营的广泛影响。重视评估领导层管理风格对内部控制执行效果的影响,以及可能的舞弊行为导致的重大错报风险。适时调整审计程序的性质、时间和范围,获取可靠的审计证据,提高财务报表的可信度。
二、现代风险导向审计在商业银行经济责任审计中的应用
将现代风险导向审计方法引入经济责任审计是商业银行内部审计发展的必然选择。引入现代风险导向审计方法要突出对被审计单位的全面风险评估,把风险评估渗透到审计作业的全过程,并在实质性程序中充分运用风险评估结果,实现提高审计效率和效果,充分揭示和化解风险,促进审计价值增值的目的。
(一)建立并及时更新经济责任审计信息数据库,实现风险评估工作的日常化管理。经济责任审计风险评估工作,需要收集、整理和分析大量资料,而且审计委托或提请具有批量提交特点,时间要求紧,任务重,工作量很大。因此,要在较短时间内,高质量完成审计任务,且能有效规避审计风险,经济责任审计风险评估工作必须实行日常化管理。
一是要建立经济责任审计信息资料库,按照风险评估内容要求,定期收集更新被审计单位各种内外部经营信息和金融政策,以及管理层职责履行情况的相关信息,包括商业银行各层级业务发展规划、年度综合经营计划、绩效考核办法、KPI考核指标体系及考核结果,风险监管部门的全面风险评估办法及各年度评估结果、评估报告、年度工作总结、述职报告、重大经营活动和决策行为、外部监管情况、内部审计检查资料等,为自上而下的宏观层面的战略风险分析奠定基础。
二是建立内部审计非现场审计分析系统,收集整合形成商业银行各生产系统、管理信息系统信息数据库,为完成对交易账户的实质性分析程序建立数据及技术基础,实现上下结合的微观层面的经营流程风险分析。
三是组织专门人员实施,结合非现场审计系统进行汇总分析,定期形成分析结果,提示剩余风险,缓解经济责任审计审前准备不足的困境。
(二)明确风险分析思路,建立风险分析模型,以分析模型为抓手,评估剩余风险,确定审计重点。全面风险评估是实施现代风险导向审计的核心环节,应充分体现“自上而下”的审计思路。
首先,进行基于外部因素的战略分析,评估战略风险,确认剩余风险。一是了解被审计单位基本情况和重大经营决策及审批事项,弄清其战略定位。对被审单位进行战略决策分析和经营管理分析,重点关注被审计单位的长期战略规划、年度综合经营计划、经营目标、资源配置、风险管理战略等,全面评价分析被审计单位内部经营环境。二是识别来源于被审计单位外部的威胁或风险,评价分析被审计单位外部环境,包括政治、法律环境;国内外经济金融形势;区域经济特点,社会信用发展程度;当地金融监管环境,同业竞争格局等。三是了解被审计单位风险应对措施,评价风险应对效果。依托经营业绩建立数理分析模型,在了解被审单位整体战略风险的前提下,设置适合当地经营环境的经营业绩指标期望值,利用经营业绩指标在整体评价中的不同权重,通过设置偏离度、偏离系数等,对被审机构经营业绩剩余风险进行量化考量和评价。
其次,进行基于内部因素的经营流程分析,评估流程风险,确认剩余风险。一是了解评估被审计单位各类业务经营流程及制度设计,识别重要风险点及风险领域。重点关注资产、负债、财务、中间业务等,其中:资产业务关注资产质量及问题成因;负债业务关注存款来源、利率执行及账户设置合法合规性等;财务核算关注集中采购、资产处置管理的规范性及大额费用支出的真实性等;中间业务关注金融创新可能带来的风险,如表外业务的或有风险、资产与中间业务收入调节,金融衍生工具运用、产品激励失衡等;二是了解被审计单位经营流程风险应对措施,评价风险应对效果。依托风险监测业绩指标建立数理分析模型,设置适合当地风险监测环境的流程风险业绩指标期望值,通过设置偏离度、偏离系数、指标权重等,对被审机构经营流程风险进行量化考量和评价,确认剩余风险。
再次,进行基于经营风险的内部控制分析,评估控制风险,确认剩余风险。一是了解评估被审计单位各类业务制度设计及执行情况,按照审计业务分块,充分利用审计业务单元内控评价等级,识别重要风险点。重点关注对公贷款、个人贷款、对公负债、个人负债、财务管理等业务单元的制度缺陷及控制失效等;二是了解被审计单位内部控制措施,评价对经营风险的控制效果。依托内控评价指标体系建立数理分析模型,确定适合内部控制业绩指标期望值,通过设置审计频率、偏离度、偏离系数、指标权重等,对被审机构各审计业务单元控制风险进行量化考量和评价,确认剩余风险。
(三)围绕风险评估结果,细化审计策略,实施实质性程序。在风险导向审计模式下,风险分析从战略风险分析开始直至审计样本确认为止,贯穿审计过程始终。确认剩余风险后,应采取“上下结合”的现代风险导向审计思路,制定实质性程序计划,完成审计证据收集工作。
篇7
本文以《内部审计具体准则》为指导,介绍了内部审计中风险评估和审计风险的概念,提出降低审计风险的基础是风险评估,降低审计风险是做好审计工作的保证,通过对上述内容的理解可以更好加深内部审计人员对当今最新审计理论的认识。
【关键词】
风险评估;审计风险关系
风险评估与审计风险是审计理论的两个重要概念。很多学者对此发表的学术论文更多地是针对注册会计师相关业务的研究,而内部审计理论文献相对较少。随着内部审计理论的发展,国家陆续出台了内部审计相关的政策和准则,其中2005年年5月1日至今实行的《内部审计具体准则》将两者的概念和应用作了明确的定义和指导。本文立足于内部审计具体准则的内容,将两者的原理作一阐述,以加深内部审计人员对两者概念及相互关系的理解和掌握。
1 风险评估与审计风险概念理解
1.1 风险评估
风险评估是指内部审计人员实施必要的审计程序对企业风险评估过程进行审查与评价,对发生的可能性、风险对组织目标的实现产生影响的严重程度进行重点关注。
内部审计人员在开展风险评估审计程序时,要当充分了解企业风险评估的方法,运用采用定性或定量的方法对企业风险评估过程进行评价,在风险难以量化、定量评价所需数据难以获取时,一般应采用定性方法,并且需要充分考虑相关部门或人员的意见,以提高评估结果的客观性。
1.2 审计风险
审计风险是指内部审计人员未能发现被审计单位经营活动及内部控制中存在的重大差异或缺陷而做出不恰当审计结论的可能性。审计风险包括重大差异或缺陷风险和检查风险的两方面内容。
2 风险评估是降低审计风险的基础
审计风险评估是通过对企业风险评估过程的评价,了解企业是否存在重大差异或缺陷风险,可以使审计人员确定重要性标准来评估审计风险。而审计风险评估的要求、程序和方法都是保障降低审计风险的第一步,是审计人员开展审计工作、提高效率、保护自我的根本保证。
风险评估是对企业风险管理-风险评估过程的评价。内部审计作为企业管理的一部分,在企业内部发挥着控制和监督作用,风险评估主要体现在对企业内部控制效果的评价上,内部审计控制效果的好与坏,同样体现审计人员对企业风险的揭示说明和预测的完整性、前瞻性上,也是审计风险的控制程度。
风险评估工作的重点就是要找到影响目标实现的风险,并分析这些风险影响的大小(发生的可能性和对目标的影响程度),从而为管理层应对风险提供基础支持。
风险辨识评估工作主要在集团的发展计划部、资本运营部及财务部三个部门开展,因此在对风险进行分类时,主要考虑了三个部门的管理职责:发展计划部是战略和投资的管理部门、资本运营部是投资、资产管理及公司治理的管理部门、财务部是集团的财务及经济运行的主要管理部门,结合以上管理职责,对风险采用根据风险事件的特性,选择适当的风险评价维度,对风险事件进行评价。根据发展计划部、资本运营部及财务部的管理职责,将风险事件分配到不同的部门,形成三个部门的风险评估问卷,问卷信息进行整理计算,得到风险事件排序和二级风险排序。将整理确定的风险事件设计成为风险评估问卷,在三个部门发放,由集团公司部门人员按“发生可能性”、“影响程度”和“管理有效性”三个维度进行评价,得到风险评估初步结果:风险及风险事件的重要性排序多数风险重要性排序符合项目组的研究认识。
■ 个别风险排名较高,包括库存风险、关联交易风险及资产管理风险等,需进一步分析论证
■ 同一类风险的排序略有出入。
风险的大小,是基于一套定性标准,业务和管理是视角的差异如何有效地反映到对不同业务和不同风险的判断中。
3 风险评估和降低审计风险是做好审计工作的保证
审计工作中需要时刻强调审计风险意识,并加强对企业风险评估过程的评价,二者相符相成。一方面控制审计风险需要建立在风评评估的基础之上,另一方面在加强风险评估过程中需要在审计风险理念下指导下进行风险评价,只有将两者很好的相互融合才能提高审计效率、控制风险,最终达到加强企业经营管理,提高企业依法经营从而提高经济效益的目的。什么样的风险评估才能满足审计要求:
1)紧扣业务:评估工作紧扣经营主线开展,集中识别和分析生产、项目管理过程中的风险;
2)围绕指标:评估工作密切围绕业绩考核指标。基于业绩考核指标辨识风险事件,并依据业绩考核指标制定风险评价标准;
3)突出重点:围绕风险管理项目的整体目标,主要以运营部、市场部、物流部、工厂为重点;
强化企业高层对审计的重视程度和建立积极健康的内审文化。转变观念,调整位置,掌握价值高地;贴近业务,掌握业务,发掘价值提升空间。刻苦钻研,提升能力,放大工作效能和效果。培养团队,集团作战 ,保持核心竞争力。决策者就是风险管理者,找出他所关注的风险和背后的动因。 分析他解决风险的工作思路,描绘决策者风险地图和风险战略。
篇8
关键词:企业;风险导向;内部审计
中图分类号:F239.45 文献标志码:A 文章编号:1673-291X(2014)02-0193-03
风险导向内部审计是企业进行风险管理的一种有效工具,其目标是在全面评估企业风险的基础上,通过对风险进行事前评估与控制,对风险处于何种状态做出准确判断,为控制风险提供依据。与传统的审计模式相比,现代风险导向内部审计更注重从宏观上把握审计风险,审计工作重心从实施阶段前移到计划阶段,关注的核心从内部控制转向风险,在审计的全过程自始至终都关注风险,依据风险选择项目,识别风险,测试管理者降低风险的方法,并以风险为中心出具审计报告,协助企业进行风险管理。审计方法从以审计测试为中心转移到以系统化的风险评估为中心,即计划阶段对风险进行评估,实施阶段对相关风险进行持续监控和报告,报告阶段提出风险管理建议。2007年新审计准则要求全面实施风险导向审计,故本文对我国企业如何实施风险导向内部审计提出几点建议,与大家探讨。
一、建立全流程风险管控机制
建立审计战略计划、审计项目计划和具体审计项目实施的全流程风险管控机制。
一是年度风险导向战略计划的制订。年度风险导向战略计划要与企业目标相契合,建立在对公司重要领域的认定、风险自我评估的基础上,以重大风险和重要风险为导向,明确审计重点,确定年度审计项目。在充分调研的基础上,组织相关部门进行风险自我评估,识别各自存在的风险,排列风险次序,出具风险自我评估结果,以此为依据,确定本年度审计关注点,编制年度审计计划。风险导向内部审计中,风险评估贯穿于年度审计计划、项目计划、执行审计、总结发现和报告的各个阶段,企业要根据风险评估结果和以前年度审计情况,合理分配审计资源,将审计资源重点放在高风险领域。
二是建立风险管控标准,有效识别风险。就是按统一的标准梳理各业务环节的流程,审计部门牵头,各业务单元的内控负责人统一对采购与应付、生产循环、销售与应收、存货与仓储、营销管理等业务循环的流程图和业务流程的风险点进行全面梳理,对应将风险点、控制措施嵌入到流程中,建立清晰的业务流程图、明确的岗位控制标准和风险防范控制措施。
三是业务流程测试和风险评估。风险评估通过实施不同的测试程序识别审计风险,包括企业整体层面控制评估、信息系统一般控制评估、流程层面控制评估、控制测试以及实质性测试等。建立业务循环各个节点的穿行测试标准,指导各单位业务人员开展业务流程的穿行测试,通过全流程的穿行测试验证各业务层面风险受控情况,运用自审、互审和复审相结合的方法,推进全员、全流程的风险自我审计。
四是出具风险评估报告及风险地图。审计部出具企业各业务单元的风险评估报告和完整的风险地图,建立企业审计风险资源库,为相关部门提供风险关注和控制优化的依据。
风险管控机制将风险管理流程与审计基本程序有机融合,更多地从全流程的角度对企业进行全面风险评估。企业要根据自身的具体情况设计风险管理流程、风险评估项目和评估标准,并根据风险环境的不断变化及时调险评价标准,以适应管理需要。而且,风险管控是一个持续、循环的管理过程,不能将风险管理审计作为一次性的专项审计项目,在风险管控执行过程中,要不断地关注风险,针对问题制定有效的控制措施。
二、以风险为导向,优化具体审计项目实施程序
以固定资产投资风险导向内部审计为例。固定资产投资项目投资额大、建设周期长,管理环节复杂,管理风险和审计风险都较高,采用风险导向固定资产投资审计,识别和评估重大管理风险和关键控制节点,全面审计,突出重点,可以有效提高审计效率,降低审计风险。其审计程序如下:
一是制订固定资产投资风险导向项目审计计划。风险导向项目审计计划是对具体审计项目实施全过程审计所作的综合安排,需要明确审计目的、审计范围、审计方法和审计程序、项目风险评估、关键风险点、项目组人员分工、时间安排以及其他事项等。固定资产投资审计目标要与企业固定资产投资目标相联系,审计范围包括选定经营单位、选定业务及流程、相关信息系统测试范围、测试时间范围等。
二是业务经营单位初步评估和关键风险识别。审计人员要掌握固定资产投资项目整体情况,注重从宏观层面了解固定资产投资项目的基本情况,获取背景信息,包括行业状况、监管环境、建设模式、建设目标等信息,对固定资产投资项目面临的风险进行分析,识别和评估固定资产投资项目系统风险和关键风险。
三是业务流程分析。在全面评估固定资产投资风险基础上,从投资项目风险入手,进一步了解流程,更新识别的风险,对高风险项目和资金重点监控,从整体上把握审计重点。
四是评估流程有效性和流程重大风险。在了解固定资产投资项目业务流程的基础上,运用分析性程序,分析关键流程,评估固定资产投资项目重大风险,分析对目标产生影响的风险以及风险控制,测试实际的控制能否切实管理这些风险,这是风险导向审计关注的重点。
五是根据风险评估结果,确定项目审计范围和审计重点,制定相应的审计策略。具体是设计审计步骤,根据审计步骤进行审计抽样并对样本进行监督,实施实质性测试等审计程序。在审计实施过程中,要根据审计实施情况对项目方案进行重新评估,扩大审计范围或增加审计程序,实施进一步测试以修订审计方案,保证审计质量。
杜邦“沸腾壶”审计抽样模型就是一种常用的审计抽样方法。它以审计项目风险为对象,建立风险识别模型,对每一类风险进行排序,将其划分为不同的级别,即高风险、敏感风险、适中风险、低风险,直观地反映风险与审计面的关系。杜邦“沸腾壶”模型说明,在风险因素中,风险结构一般是高风险占10%,敏感风险占30%,适中风险占40%,低风险占20%。风险审计规划在审计资源配置时,要依据风险水平高低配置审计资源,对不同级别的风险因素需实行差异化审计。高风险因素要进行详细审计,对于处于敏感风险性质的风险因素一般抽样50%进行重点审计,对于适中风险因素一般抽样 25%,而对于低风险的风险因素只需要抽样10%进行一般审计。风险级别越高,配置的审计资源越多,根据风险评估结果,将主要的审计资源分配在高风险领域,有的放矢,提高审计效率。
六是根据对流程设计有效性测试结果得出审计结论,出具审计报告,提出管理建议。
三、建立以审计调查法为基础的风险评估机制
风险评估机制包括风险识别、风险评估、风险模型的建立及风险评估结果分析等。对确定的审计项目进行风险评估,主要是通过对业务流程的梳理,找出流程关键控制点,并选择科学的风险评估方法对控制点进行风险分析,以准确识别和正确评价风险。以审计调查法为基础的风险评估方法,能清晰揭示风险的高发区域和风险变化趋势,操作性强,评估结果具有很强的说服力。即选取一定比例的被审单位实施风险典型调查,采用审计调查法对风险发生频率和严重程度进行分析和预测,对风险进行分级分类管理,根据风险水平确定审计重点。步骤如下:一是确定评估范围。评估范围与审计范围相关,对风险评估结果的运用有直接影响。二是风险评估数据的采集。采集近几年的相关风险数据,这些数据可以是以往风险管理审计、综合性审计及专项审计的相关资料和数据等。三是对风险评估基础数据进行整理和加工。内部审计人员依据原始资料和专业判断对一些定性资料进行量化处理,确定各组风险数据的影响程度级别,据此对项目风险进行评估。四是进行风险评估和预测。根据事先界定的评估范围,分别对审计项目各类风险、各类子风险的概率和影响程度进行评估,对所采集的一定期间的风险数据,采用审计调查法分析历史数据,寻找各风险的变化趋势和集中趋势,建立能描述各风险变量未来变化态势的模型,运用数学方法对各类风险的主要变量——风险概率和影响程度进行风险变动趋势分析及预测,求出风险预估值,并运用政策分析法,整理和分析可能影响各类风险变量的政策因素,对固定资产投资风险预测值进行修正和完善,确定风险估测值浮动区间。五是风险评估结果的分析和利用。根据风险分布情况,布局安排审计资源,对风险多发区域进行重点审计。风险评估结果可以应用于企业的风险管理,包括:将风险评估结果与企业事先确定的风险管理策略(如各类风险的承受度等)进行对比,并分别采取不同的风险应对措施;协助企业建立风险预警机制,对达到风险预警线的风险发出预警信号,采取相应的风险控制措施;对风险发展趋势进行预测,帮助企业规避和防范风险。
四、建立风险自我评估和预警机制
建立风险预警机制,对风险进行实时监控,可以有效管理和预防重大风险。风险预警机制前移风险管理关口,使风险管理重点由事后监督向事前预防、事中控制转移,防患于未然。企业可以根据风险评估结果,针对风险高发区域建立预警机制,完善风险预警指标体系,如利用DCCS法、盈亏临界点法及财务比率法等有效捕捉企业风险征兆,对异常情况提前发出预警,帮助管理层完善风险管理程序,控制风险。在风险导向内部审计中,使用风险自我评估(RSA)法,可以有效提升风险预警效率。风险自我评估是指内部审计要监督:(1)风险环境分析的恰当性。主要是对企业固有风险和控制风险进行评估,分析风险性质和影响程度的变化以及控制措施是否能与环境变化相符,并在审计报告中反映分析结果。(2)风险事件识别的充分性。(3)风险评估的恰当性。风险评估要从风险发生的可能性和影响性两方面对已识别的风险事件进行定量分析和定性分析。(4)风险度以及风险预报合理性。主要是审核风险度的计算方法是否科学合理,是否反映企业实际风险水平。综合分析企业的内外部环境,审核风险预报的根据及预报的级别是否合理。(5)风险控制措施的有效性。主要是对业务控制程序进行测试,检查是否有效,是否能够控制风险,并对检查发现的问题提出改进措施和建议,帮助企业管理风险,降低风险损失。(6)风险信息沟通的有效性。内部审计人员要从风险识别、评估信息的获得,风险警报的及时发出等方面评估风险信息是否被准确及时地传达给所有相关人员,让管理层了解风险是否被有效管理。风险信息沟通评估也可以提高外界对企业风险管理的信任度。
此外,企业应建立风险审计信息系统,完善审计资源数据库,积极推进审计手段创新,加强内部审计队伍建设,合理配备审计项目组成员,有效提高内部审计效率和质量,提升风险导向审计的价值增值功能。
参考文献:
篇9
关键词:商业银行;稽核;风险导向模式;应用
一、风险导向稽核的定义和特点
(一)风险导向稽核的定义。
综合国内外关于风险导向稽核的理论研究,可以概括出风险导向稽核是指在账项基础稽核和制度基础稽核上发展起来的一种稽核模式,是指稽核人员充分了解稽核对象内部控制基础上,分析、判断其风险所在、风险程度及发生频率,将稽核资源集中于高风险领域,进行实质性测试,将内部稽核剩余风险降低到最低水平,进行创造价值的一种稽核模式。
(二)风险导向稽核的特点。
风险导向稽核不仅仅是稽核技术方法、稽核程序上的一大变革,更重要也最根本的是稽核理念的更新,是一种基于战略系统观的稽核新理念。它的主要特点表现为:
1.稽核监督层面趋于宏观。风险导向稽核是建立在对被稽核单位全方位深入了解以及把指导思想建立在“合理的职业怀疑假设”的基础上, 以对企业战略风险和经营风险的评估为稽核重心,从源头上去识别和评估会计报表重大错报的风险,通过了解被稽核单位所处的经济环境,分析其经营战略、经营目标、经营风险及其业务流程,评估重大错报风险,从而针对风险点来设计和实施控制测试和实质性程序,以降低稽核风险至可接受水平。
2.风险评估贯穿稽核全过程。风险导向稽核的基本原则是全流程移动性风险评估,即将风险评估贯穿于稽核过程的每个环节,包括计划、现场、报告等各个阶段。全面风险分析评估是风险导向稽核的立足点和核心,对风险分析评估结果的充分运用则是风险导向稽核的重点。
3.注重分析性程序的运用。风险导向稽核从风险评估到最终稽核结论的确定均可使用分析性程序,尤其是在风险评估中。风险导向稽核中的分析性程序与传统稽核中的分析性复核相比,其分析范围更加广泛,工具更加多样,功能更加强大。风险导向稽核中的风险评估需要充分运用现代管理的分析工具,包括财务和非财务数据的分析;它扩大了传统稽核模式的分析量,并充分运用信息化和计算机稽核等技术,使稽核抽样更加全面和针对性,使得出的风险评估结论更加准确。
4.稽核证据内涵扩大。稽核人员形成稽核结论所依据的证据不仅包括实施控制测试和实质性测试获取的证据,还包括了解企业及其环境获取的证据。风险导向稽核要求稽核人员扩大取证范围,不仅从被稽核单位管理层获取稽核证据,还要从一般员工或客户、上级管理部门、监管部门等处获取稽核证据,这是获取管理层舞弊线索的有效途径。此外,由于作为稽核立足点的风险评估注重宏观因素对重大错报风险影响的分析,因此稽核人员也必须从外部获取大量证据来证明风险评估结果的恰当性。
二、风险导向稽核在商业银行稽核工作中应用的必然性和可行性
(一)风险导向稽核在商业银行稽核工作中应用的必然性。
1.适应银行内在发展要求的需要。随着金融全球化趋势的加深,金融风险也不断加剧和分散,使商业银行的风险管控难度越来越大。传统的稽核理论和方法已不能适应现代银行的发展需求。因此,商业银行必须应用风险导向稽核,通过稽核评估、结果和建议等帮助改进管理控制系统,直接影响银行的经营决策,确保商业银行风险管理目标与业务发展目标保持一致,从而在源头上加强风险管理,实现稽核为银行增值的目标。
2.改变银行稽核现状的迫切要求。虽然银监会在2006年出台的《银行业金融机构内部审计指引》中,就明确了银行的内部审计方式要转为“以风险为导向”。但目前我国商业银行的稽核模式仍停留在以合规性稽核为重点的制度导向稽核上,而未完全转为风险导向稽核,总体上呈现重事后监督而非事前控制、重事后复核而非风险稽核、重部门稽核而非过程稽核、重高风险业务稽核而非全面评价的特点,稽核效果不够明显。近年来发生的齐鲁银行存单骗贷案、建行北京分行谢根荣骗贷案、“高山案”等银行重案都反映了传统银行稽核方法的尴尬。这些案件说明当一个单位发生多个控制环节的责任人联手作案的情况时,内部控制就会失效;所谓的低风险业务也往往会导致重大风险。因此银行稽核应该以风险为导向,其工作重点必须从传统的“查错防弊”转向“分析评价”,重视对管理层和全流程的稽核。
(二)风险导向稽核在商业银行应用的可行性。
1.商业银行已建立比较完善的计算机信息技术平台。如何建立稽核对象的信息数据库是实施风险导向稽核的难点之一。商业银行目前已基本形成了包括业务处理系统、渠道处理系统、管理信息系统和其他系统在内的比较完善的计算机体系,实现了金融数据的集成管理与应用,这为稽核的数据采集奠定了良好的基础,使稽核人员能够充分了解被稽核单位的资产质量、负债状况、客户信息、结算信息、内部控制措施等。
2.商业银行已初步实施全面风险管理。按照监管要求,国有上市商业银行需要建立起COSO框架下的全面风险管理体系(ERM)。全面风险管理(ERM)明确了风险管理的完整循环流程,即从目标设定到事项识别、风险应对、控制活动,最后是对整个过程的监督控制和检讨纠正;同时强调了全程的风险管理过程、全员的风险管理文化和全员参与的风险管理机制。目前商业银行已基本建立了全面风险管理框架下的内控三道防线,即一道防线强调过程实时控制和自我评估程序,二道防线强调各职能管理部门对一线部门(过程)进行设计、管理、指导、检查和监督,三道防线强调稽核部门对业务操作职能及业务管理职能进行再监督和评价,发现问题并督促其及时采取相应措施。商业银行的风险管理经验已比较成熟,为风险导向稽核的应用创造了条件。
三、风险导向稽核在商业银行稽核工作中的实际应用谈讨
(一)充分开展风险评估,突出稽核重点和范围。
全面风险分析评估是实施风险导向稽核的核心环节和立项的基础,应采取“自上而下”和“自下而上”相结合的思路。只有做好风险评估工作,才能抓住稽核重点,制定有针对性的稽核措施。
1.进行集中于外部因素的环境与战略风险评估。要通过评价分析被稽核单位外部环境包括政治、法律环境,国内外经济金融形势,货币政策目标、社会信用体系的构建及金融监管的有效性,所在地区的经济发展状况、资金需求总体状况,信用发展程度和金融机构竞争状况等情况,来识别来源于被稽核单位外部的威胁或风险,了解其所采取的应对策略。结合外部环境评估,了解被稽核单位基本情况和战略定位,重点关注其经营目标与理念、风险管理战略等,进行全面的战略风险评估。
2.进行集中于内部因素的内控与流程风险评估。不仅要评估被稽核单位的会计控制、程序控制、风险控制等内部控制制度的健全性和有效性,还要评估其组织机构、经营方式、资产管理、整个业务流程的风险管理水平和效果。识别重要风险点及风险领域,要关注董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力与风险偏好等人力资源因素;关注财务状况、经营成果、现金流量等财务因素;更要重点关注资产、负债、财务、中间业务等业务经营领域,对信息系统和金融创新情况进行实时监控。
3.进行将经营风险与稽核目标结合起来的剩余风险分析。剩余风险是那些未能为被稽核单位所控制的环境与战略风险及内控与流程风险。针对被稽核单位的各分支机构、各业务流程、各金融产品,列出主要风险因素,分析得出其固有风险。结合被稽核单位自身针对其固有风险所采取的化解和防范措施进行分析,评估其控制风险的能力和主观态度;用固有风险减去控制能力,计算出剩余风险的净风险值。
4.进行以风险等级为主要内容的风险评估打分。针对稽核项目,将错报风险划分为低风险、适中风险、敏感风险和高风险等几个层次,分别确定A级0.8-1、B级0.7、C级0.4-0.6和D级0-0.3的风险可能系数进行打分。对每个项目或产品等从涉及金额、监管部门和管理层关注程度、核心业务热点领域及变现能力等四项内容进行风险度打分评价,每项内容满分10分,可根据项目实际情况打分。评估方法可使用定量与定性分析相结合、模糊综合评价法等,通过对评估指标的定量分析和对各种风险的分类评价,进行综合评估,客观判断风险状况。
(二)针对性实施现场稽核,深入挖掘风险源头和成因。
根据风险评估结果,确定稽核重点和范围,制定稽核计划和程序、措施,并开展现场稽核各项工作,完成稽核证据收集工作。 1.实施控制测试。通过控制测试可以检验相关规定是否被一贯执行,控制措施是否恰当,能否达到控制目的。具体可以对业务量大、风险相对较高的重要业务或典型业务所进行业务测试,按照规定的业务处理程序进行检查,确认有关控制点是否符合规定并得到认真执行,以判断内部控制的遵循情况,主要是判断某一流程是否得到控制;也可以对某项控制的特定环节,选择不同的时期的同类业务进行功能测试,确认该环节的控制措施是否一贯或持续发挥作用,主要是判断某一环节是否持续得到控制。
2.实施实质性测试。要针对风险源,按照风险大小、紧急性等因素排出次序,抓大放小,关注重点,实施现场稽核。要按业务需要配置稽核人员并按特长合理分工,要将稽核资源向重点风险领域倾斜。充分运用细分风险层次的抽样法,对高风险区域进行详细稽核,对敏感风险区域抽样50%,适中风险区域抽样25%,低风险区域抽样10%,以实现“全面稽核、突出重点”,提高稽核效率与效果。
3.时刻注意查找风险源头和成因。风险导向稽核的职责不仅是检查问题、揭示风险,更重要的是把问题的成因找准,把解决问题的方法找到,既要治标,更能治本。因此在现场稽核过程中,稽核人员不能忽视任何风险线索,要深入挖掘潜在风险,透过现象看问题本质,寻找现象背后的东西;发现问题之后要通过与相关人员沟通、查找其他资料证据等方式,从制度层面、流程控制和机制建设等方面,深刻剖析问题的成因,从而为提出有效的管理建议奠定基础。如发现某分行一家支行存在月末滚动发放存单质押自助贷款时,稽核人员就应该对该分行的其他几个是否存在类似情况进行延伸检查;并了解导致问题发生的原因,如管理层的业务发展思路、考核导向、系统控制、人员素质等。
4.突出风险内容,出具稽核报告。现场稽核工作完成后,稽核人员要以经过核实的稽核证据为依据,形成稽核结论和建议,出具稽核报告,对业务风险予以充分揭示。如有必要,可以在稽核过程中提交期中报告,以便及时采取有效的纠正措施以改善经营活动和内部控制。稽核报告应当客观、完整、清晰、及时,并具有建设性,其针对稽核对象经营活动和内部控制的缺陷提出的建议应当充分考虑可行性及稽核项目的重要性和风险水平;一般合规性、没有实质风险的问题可以不反映在稽核报告中。
(三)围绕日常稽核工作,全面应用风险导向稽核。
商业银行的稽核工作不仅仅包括现场稽核,还包括非现场稽核、岗位稽核和日常监督等工作,都应该推广应用风险导向稽核。
1.在非现场稽核方面,要提高计算机稽核水平。要开发使用计算机稽核系统,注重计算机数据的采集与分析运用,根据业务风险点不断建立完善风险模型,扩大业务领域覆盖的广度和深度,实现利用先进的稽核手段和平台,通过非现场数据分析发现风险、提前预警的目的。
2.在岗位稽核方面,要重点揭示风险和经营管理中的不足。关注领导班子成员尽职履责意识不强及不按规矩办事、出现违规经营苗头现象;关注“表面清洁”和弄虚作假现象;关注长期发展较慢或过快、人员流动性较大、风险较为突出的区域、机构和岗位。
3.在日常监督方面,要紧盯风险源头快速跟进。在日常稽核监督中,要注意收集分析被监督单位的各类信息,结合被监督单位经营特点、风险特征及领导关心的问题等进行重点监督;从机构、人员、客户、业务等方面对信息进行系统性梳理,综合内外部检查发现问题,抓住潜在风险源头对重点事项进行快速调研检查,及时进行风险提示,提升稽核增值服务功能。
参考文献
【1】余效明,商业银行风险审计研究(M),中国时代经济出版社,2007
篇10
关键词:信息安全风险评估风险分析
一、前言
电力系统越来越依赖电力信息网络来保障其安全、可靠、高效的运行,该数据信息网络出现的任何信息安全方面的问题都可能波及电力系统的安全、稳定、经济运行,因此电力信息网络的安全保障工作刻不容缓[1,2]。风险评估具体的评估方法从早期简单的纯技术操作,逐渐过渡到目前普遍采用BS7799、OCTAVE、ISO13335、NIST SP800-30等相关标准的方法,充分体现以资产为出发点,以威胁为触发,以技术、管理、运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型[3]。
二、信息安全风险评估
在我国,风险评估工作已经完成了调查研究阶段、标准草案编制阶段和全国试点工作阶段,国信办制定的标准草案《信息安全风险评估指南》[4](简称《指南》)得到了较好地实践。本文设计的工具是基于《指南》的,涉及内容包括:
(一)风险要素关系。围绕着资产、威胁、脆弱性和安全措施这些基本要素展开,在对基本要素的评估过程中,需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与基本要素相关的各类属性。
(二)风险分析原理。资产的属性是资产价值;威胁的属性可以是威胁主体、影响对象、出现频率、动机等;脆弱性的属性是资产弱点的严重程度。
(三)风险评估流程。包括风险评估准备、资产识别、威胁识别、脆弱性识别、已有安全措施确认、风险分析、风险消减[5]。
三、电力信息网风险评估辅助系统设计与实现
本文设计的信息安全风险评估辅助系统是基于《指南》的标准,设计阶段参考了Nipc-RiskAssessTool-V2.0,Microsoft Security Risk Self-Assessment Tool等风险评估工具。系统采用C/S结构,是一个多专家共同评估的风险评估工具。分为知识库管理端、信息库管理端、系统评估端、评估管理端。其中前两个工具用于更新知识库和信息库。后两个工具是风险评估的主体。下面对系统各部分的功能模块进行详细介绍:
(一)评估管理端。评估管理端控制风险评估的进度,综合管理系统评估端的评估结果。具体表现在:开启评估任务;分配风险评估专家;对准备阶段、资产识别阶段、威胁识别阶段、脆弱性识别阶段、已有控制措施识别阶段、风险分析阶段、选择控制措施阶段这七个阶段多个专家的评估进行确认,对多个专家的评估数据进行综合,得到综合评估结果。
(二)系统评估端。系统评估端由多个专家操作,同时开展评估。系统评估端要经历如下阶段:a.准备阶段:评估系统中CIA的相对重要性;b.资产识别阶段;c.威胁识别阶段;d.脆弱性识别阶段;e.已有控制措施识别阶段;f.风险分析阶段;g.控制措施选择阶段。在完成了风险评估的所有阶段之后,和评估管理端一样,可以浏览、导出、打印评估的结果—风险评估报表系列。
(三)信息库管理端。信息库管理端由资产管理,威胁管理,脆弱点管理,控制措施管理四部分组成。具体功能是:对资产大类、小类进行管理;对威胁列表进行管理;对脆弱点大类、列表进行管理;对控制措施列表进行管理。
(四)知识库管理端。知识库的管理分为系统CIA问卷管理,脆弱点问卷管理,威胁问卷管理,资产属性问卷管理,控制措施问卷管理,控制措施损益问卷管理六部分。
四、总结
信息安全风险评估是一个新兴的领域,本文在介绍了信息安全风险评估研究意义的基础之上,详细阐述了信息安全风险评估辅助工具的结构设计和系统主要部分的功能描述。测试结果表明系统能对已有的控制措施进行识别,分析出已有控制措施的实施效果,为风险处理计划提供依据。
参考文献:
[1]Huisheng Gao,Yiqun Sun,Research on Indices System of Security Risk Evaluation for Electric Power.Optical Fiber Communication Network,IEEE,2007.
[2]Masami Hasegawa,Toshiki Ogawa,Security Measures for the Manufacture and Control System,SICE Annual Conference 2007.
[3]左晓栋等.对信息安全风险评估中几个重要问题的认识[J].计算机安全,2004,7:64-66
