首页 资料文库 期刊中心 杂志订阅 发表指南 个人中心
美章网 精品范文 审计风险评估的目的范文

审计风险评估的目的范文

审计风险评估的目的

审计风险评估的目的范文第1篇

关键词:企业;风险导向;内部审计

中图分类号:F239.45 文献标志码:A 文章编号:1673-291X(2014)02-0193-03

风险导向内部审计是企业进行风险管理的一种有效工具,其目标是在全面评估企业风险的基础上,通过对风险进行事前评估与控制,对风险处于何种状态做出准确判断,为控制风险提供依据。与传统的审计模式相比,现代风险导向内部审计更注重从宏观上把握审计风险,审计工作重心从实施阶段前移到计划阶段,关注的核心从内部控制转向风险,在审计的全过程自始至终都关注风险,依据风险选择项目,识别风险,测试管理者降低风险的方法,并以风险为中心出具审计报告,协助企业进行风险管理。审计方法从以审计测试为中心转移到以系统化的风险评估为中心,即计划阶段对风险进行评估,实施阶段对相关风险进行持续监控和报告,报告阶段提出风险管理建议。2007年新审计准则要求全面实施风险导向审计,故本文对我国企业如何实施风险导向内部审计提出几点建议,与大家探讨。

一、建立全流程风险管控机制

建立审计战略计划、审计项目计划和具体审计项目实施的全流程风险管控机制。

一是年度风险导向战略计划的制订。年度风险导向战略计划要与企业目标相契合,建立在对公司重要领域的认定、风险自我评估的基础上,以重大风险和重要风险为导向,明确审计重点,确定年度审计项目。在充分调研的基础上,组织相关部门进行风险自我评估,识别各自存在的风险,排列风险次序,出具风险自我评估结果,以此为依据,确定本年度审计关注点,编制年度审计计划。风险导向内部审计中,风险评估贯穿于年度审计计划、项目计划、执行审计、总结发现和报告的各个阶段,企业要根据风险评估结果和以前年度审计情况,合理分配审计资源,将审计资源重点放在高风险领域。

二是建立风险管控标准,有效识别风险。就是按统一的标准梳理各业务环节的流程,审计部门牵头,各业务单元的内控负责人统一对采购与应付、生产循环、销售与应收、存货与仓储、营销管理等业务循环的流程图和业务流程的风险点进行全面梳理,对应将风险点、控制措施嵌入到流程中,建立清晰的业务流程图、明确的岗位控制标准和风险防范控制措施。

三是业务流程测试和风险评估。风险评估通过实施不同的测试程序识别审计风险,包括企业整体层面控制评估、信息系统一般控制评估、流程层面控制评估、控制测试以及实质性测试等。建立业务循环各个节点的穿行测试标准,指导各单位业务人员开展业务流程的穿行测试,通过全流程的穿行测试验证各业务层面风险受控情况,运用自审、互审和复审相结合的方法,推进全员、全流程的风险自我审计。

四是出具风险评估报告及风险地图。审计部出具企业各业务单元的风险评估报告和完整的风险地图,建立企业审计风险资源库,为相关部门提供风险关注和控制优化的依据。

风险管控机制将风险管理流程与审计基本程序有机融合,更多地从全流程的角度对企业进行全面风险评估。企业要根据自身的具体情况设计风险管理流程、风险评估项目和评估标准,并根据风险环境的不断变化及时调整风险评价标准,以适应管理需要。而且,风险管控是一个持续、循环的管理过程,不能将风险管理审计作为一次性的专项审计项目,在风险管控执行过程中,要不断地关注风险,针对问题制定有效的控制措施。

二、以风险为导向,优化具体审计项目实施程序

以固定资产投资风险导向内部审计为例。固定资产投资项目投资额大、建设周期长,管理环节复杂,管理风险和审计风险都较高,采用风险导向固定资产投资审计,识别和评估重大管理风险和关键控制节点,全面审计,突出重点,可以有效提高审计效率,降低审计风险。其审计程序如下:

一是制订固定资产投资风险导向项目审计计划。风险导向项目审计计划是对具体审计项目实施全过程审计所作的综合安排,需要明确审计目的、审计范围、审计方法和审计程序、项目风险评估、关键风险点、项目组人员分工、时间安排以及其他事项等。固定资产投资审计目标要与企业固定资产投资目标相联系,审计范围包括选定经营单位、选定业务及流程、相关信息系统测试范围、测试时间范围等。

二是业务经营单位初步评估和关键风险识别。审计人员要掌握固定资产投资项目整体情况,注重从宏观层面了解固定资产投资项目的基本情况,获取背景信息,包括行业状况、监管环境、建设模式、建设目标等信息,对固定资产投资项目面临的风险进行分析,识别和评估固定资产投资项目系统风险和关键风险。

三是业务流程分析。在全面评估固定资产投资风险基础上,从投资项目风险入手,进一步了解流程,更新识别的风险,对高风险项目和资金重点监控,从整体上把握审计重点。

四是评估流程有效性和流程重大风险。在了解固定资产投资项目业务流程的基础上,运用分析性程序,分析关键流程,评估固定资产投资项目重大风险,分析对目标产生影响的风险以及风险控制,测试实际的控制能否切实管理这些风险,这是风险导向审计关注的重点。

五是根据风险评估结果,确定项目审计范围和审计重点,制定相应的审计策略。具体是设计审计步骤,根据审计步骤进行审计抽样并对样本进行监督,实施实质性测试等审计程序。在审计实施过程中,要根据审计实施情况对项目方案进行重新评估,扩大审计范围或增加审计程序,实施进一步测试以修订审计方案,保证审计质量。

杜邦“沸腾壶”审计抽样模型就是一种常用的审计抽样方法。它以审计项目风险为对象,建立风险识别模型,对每一类风险进行排序,将其划分为不同的级别,即高风险、敏感风险、适中风险、低风险,直观地反映风险与审计面的关系。杜邦“沸腾壶”模型说明,在风险因素中,风险结构一般是高风险占10%,敏感风险占30%,适中风险占40%,低风险占20%。风险审计规划在审计资源配置时,要依据风险水平高低配置审计资源,对不同级别的风险因素需实行差异化审计。高风险因素要进行详细审计,对于处于敏感风险性质的风险因素一般抽样50%进行重点审计,对于适中风险因素一般抽样 25%,而对于低风险的风险因素只需要抽样10%进行一般审计。风险级别越高,配置的审计资源越多,根据风险评估结果,将主要的审计资源分配在高风险领域,有的放矢,提高审计效率。

六是根据对流程设计有效性测试结果得出审计结论,出具审计报告,提出管理建议。

三、建立以审计调查法为基础的风险评估机制

风险评估机制包括风险识别、风险评估、风险模型的建立及风险评估结果分析等。对确定的审计项目进行风险评估,主要是通过对业务流程的梳理,找出流程关键控制点,并选择科学的风险评估方法对控制点进行风险分析,以准确识别和正确评价风险。以审计调查法为基础的风险评估方法,能清晰揭示风险的高发区域和风险变化趋势,操作性强,评估结果具有很强的说服力。即选取一定比例的被审单位实施风险典型调查,采用审计调查法对风险发生频率和严重程度进行分析和预测,对风险进行分级分类管理,根据风险水平确定审计重点。步骤如下:一是确定评估范围。评估范围与审计范围相关,对风险评估结果的运用有直接影响。二是风险评估数据的采集。采集近几年的相关风险数据,这些数据可以是以往风险管理审计、综合性审计及专项审计的相关资料和数据等。三是对风险评估基础数据进行整理和加工。内部审计人员依据原始资料和专业判断对一些定性资料进行量化处理,确定各组风险数据的影响程度级别,据此对项目风险进行评估。四是进行风险评估和预测。根据事先界定的评估范围,分别对审计项目各类风险、各类子风险的概率和影响程度进行评估,对所采集的一定期间的风险数据,采用审计调查法分析历史数据,寻找各风险的变化趋势和集中趋势,建立能描述各风险变量未来变化态势的模型,运用数学方法对各类风险的主要变量——风险概率和影响程度进行风险变动趋势分析及预测,求出风险预估值,并运用政策分析法,整理和分析可能影响各类风险变量的政策因素,对固定资产投资风险预测值进行修正和完善,确定风险估测值浮动区间。五是风险评估结果的分析和利用。根据风险分布情况,布局安排审计资源,对风险多发区域进行重点审计。风险评估结果可以应用于企业的风险管理,包括:将风险评估结果与企业事先确定的风险管理策略(如各类风险的承受度等)进行对比,并分别采取不同的风险应对措施;协助企业建立风险预警机制,对达到风险预警线的风险发出预警信号,采取相应的风险控制措施;对风险发展趋势进行预测,帮助企业规避和防范风险。

四、建立风险自我评估和预警机制

建立风险预警机制,对风险进行实时监控,可以有效管理和预防重大风险。风险预警机制前移风险管理关口,使风险管理重点由事后监督向事前预防、事中控制转移,防患于未然。企业可以根据风险评估结果,针对风险高发区域建立预警机制,完善风险预警指标体系,如利用DCCS法、盈亏临界点法及财务比率法等有效捕捉企业风险征兆,对异常情况提前发出预警,帮助管理层完善风险管理程序,控制风险。在风险导向内部审计中,使用风险自我评估(RSA)法,可以有效提升风险预警效率。风险自我评估是指内部审计要监督:(1)风险环境分析的恰当性。主要是对企业固有风险和控制风险进行评估,分析风险性质和影响程度的变化以及控制措施是否能与环境变化相符,并在审计报告中反映分析结果。(2)风险事件识别的充分性。(3)风险评估的恰当性。风险评估要从风险发生的可能性和影响性两方面对已识别的风险事件进行定量分析和定性分析。(4)风险度以及风险预报合理性。主要是审核风险度的计算方法是否科学合理,是否反映企业实际风险水平。综合分析企业的内外部环境,审核风险预报的根据及预报的级别是否合理。(5)风险控制措施的有效性。主要是对业务控制程序进行测试,检查是否有效,是否能够控制风险,并对检查发现的问题提出改进措施和建议,帮助企业管理风险,降低风险损失。(6)风险信息沟通的有效性。内部审计人员要从风险识别、评估信息的获得,风险警报的及时发出等方面评估风险信息是否被准确及时地传达给所有相关人员,让管理层了解风险是否被有效管理。风险信息沟通评估也可以提高外界对企业风险管理的信任度。

此外,企业应建立风险审计信息系统,完善审计资源数据库,积极推进审计手段创新,加强内部审计队伍建设,合理配备审计项目组成员,有效提高内部审计效率和质量,提升风险导向审计的价值增值功能。

参考文献:

审计风险评估的目的范文第2篇

【关键词】风险基础审计 应用模型 研究

风险基础审计(risk-based auditing)是指审计人员以风险的分析、评价和控制为基础,综合运用各种审计技术、搜集审计证据形成审计意见的一种审计方法。风险基础审计已经取代账项(交易)基础审计和制度基础审计成为当今审计的主流。如何在实务中运用风险基础审计或从整体上规划风险基础审计是风险基础审计研究的课题之一。结合审计理论与实务,本文提出了建立风险基础审计应用模型的要求,并引入风险基础审计应用模型,为风险基础审计的应用提供便利。

一、建立风险基础审计应用模型的要求

风险基础审计应用模型应反映风险基础审计与账项(交易)基础审计和制度基础审计的区别,即风险基础审计的特征。因此,风险基础审计应用模型符合以下要求。

1、风险基础审计的开放性特征

风险基础审计的开放性特征反映在应用模型风险输入变量上,即风险输入变量水平随审计环境的变化而变化,但风险变量本身却是不变的。风险基础审计应用模型应明确风险变量要素。

2、风险基础审计符合人们的认识规律

这里的认识规律是审计人员对其审计客户风险的认识规律。审计人员对审计客户风险的认识一般经历这样的过程:初步评估风险-根据初步风险评估结果编制并执行审计计划-根据计划执行结果再次评估风险-根据风险评估差异修正并执行审计计划。风险基础应用模型应反映审计人员的这一认识规律。

3、风险基础审计注重在保证质量的前提下提高效率

风险基础审计的质量保证和效率体现在审计方法的选用上。风险基础应用模型应体现审计方法的选用原则。

4、风险基础审计可以满足审计目标不断演变的需要

风险基础审计应用模型相对于审计目标应具有相对稳定性,即改变审计目标只是改变了应用模型中风险输入变量的水平,但不会改变风险输入变量本身。

二、风险基础审计应用模型

1、风险基础审计应用模型图(见图1)

2、风险基础审计应用模型解析

(1)风险基础审计风险成因。风险基础审计的审计风险成因与审计目标和审计报告使用者密切关系。

①审计目标。审计目标是审计人员在审计之前应了解的要素之一,只有了解审计目标才可能找到影响审计目标实现的要素。审计目标是审计人员就审计客体的公允性表示审计意见。

②审计风险及其成因。审计客体中包含的错报或漏报可能导致使用者作出错误的经济决策,如果审计人员就这样的信息发表了不恰当的审计意见,便构成了审计风险。因此,审计人员必须了解审计报告的使用者,研究使用者的决策对审计客体错报或漏报的敏感程度。风险成因分析是风险基础审计的起点。

(2)风险基础审计风险来源评估。

①来源三要素。风险基础审计风险由固有风险、控制风险和检查风险三要素构成。固有风险和控制风险的综合水平与审计客户相关,审计人员无法控制,只能进行评估。检查风险却可以通过审计人员的实质性测试程序来降低,但检查风险无法根除。在风险评估阶段,审计人员主要是评估可能的检查风险。

审计人员对固有风险、控制风险和检查风险的评估应落实到财务报表认定层面,审计人员据此设计审计程序,以降低检查风险进而将审计风险降低至可接受的风险水平。审计规划阶段的风险评估对其后的整个审计工作都具有关键性指导作用。

②风险评估是审计策略的构成部分,风险评估程序是审计计划的内容之一。

③风险来源三要素是风险基础审计的风险输入变量,风险基础审计的审计计划编制和执行与输入量有直接关系。

(3)风险基础审计风险的应对。审计人员必须在风险评估的基础上,通过审计规划将审计风险降至可接受的水平。审计规划包括确定是否接受委托、签订审计业务约定书、制定审计策略和审计计划三部分。

①确定是否接受委托。审计人员根据基于对审计道德、准则和法规要求的考量和风险初步评估水平决定是否接受委托。这是一个客户筛选过程,是风险控制中的重要一环。

②签订审计业务约定书。如果审计人员决定接受客户委托,应与客户签订审计业务约定书。审计人员应确保审计业务约定书条款得到恰当的理解。

③审计策略。审计策略规定了审计方向,描绘了审计的预期范围和执行,为审计计划的制定提供指引,包括了解审计客户及其环境、会计和内部控制制度及评估。根据以上要素确定审计程序的性质、时间和范围,审计工作合作及审计工作的指导、监督和复核及其事项等要素。

④审计计划。审计计划包括三部分,计划风险评估程序的性质、时间和范围,计划的进一步(基于计划的风险评估程序),针对财务报表认定的审计程序的性质、时间和范围,以及其他为遵守审计准则、执行审计业务所需要的程序。

分析性测试、细节测试和实质性测试程序取决于基于风险评估的审计方法的确定,在低风险领域使用综合审计方法,在高风险领域使用主要证实法。无论什么方法都要对重要项目执行实质性测试程序,任何项目都要对其编制技术进行测试。

在风险基础审计中,分析性测试程序的使用会产生分析性测试风险,细节测试程序的使用会产生细节测试风险,这是检查风险的两个组成部分。

(4)审计复核。在风险基础审计的审计复核阶段,审计人员应将审计结果与审计规划阶段的风险水平进行对比,判断审计结果是否与计划的风险评估水平一致、根据风险评估水平设计的审计程序是否可以将检查风险水平降至可接受的水平,如有必要修改审计计划则执行修改后的审计计划。

(5)审计报告与归档。根据与审计客户的沟通情况确定审计意见类型,出具审计报告,并将取得或编制的各种审计工作底稿按要求归档。

3、风险基础审计应用模型特征解析

(1)审计目标―审计风险成因分析―风险基础审计风险输入量。审计目标和审计报告使用者决定审计风险成因,风险成因决定风险基础审计的风险输入量水平,但不会改变风险基础审计风险输入变量本身。因此,该风险基础应用模型适应未来演变后审计目标审计的需要。

(2)风险基础审计输入量。在风险评估阶段,固有风险、控制风险和检查风险的评估水平是进行审计规划的输入量水平,审计计划据此编制;在审计复核阶段,审计执行结果与风险评估水平的不一致将导致审计人员修改审计程序并执行修改后的审计程序,直到审计结果与风险评估水平一致为止。该风险基础审计应用模型体现了风险基础审计的开放性特征。

(3)审计方法――综合法与主要证实法。审计规划阶段的风险评估为综合法和主要证实法的选择奠定了基础,两种方法的结合使用既保证了审计质量又提高了效率。当然,这两种方法的有效性取决于风险评估的恰当性。

(4)风险初步评估―审计计划执行―审计复核―风险再评估。风险初步评估―审计计划执行―审计复核―风险再评估的循环可以纠正审计规划阶段输入量水平的偏差,这种对输入量水平的修正会随着审计进程的进行、审计人员对风险的认识加深而不断进行,符合审计人员对风险的认知规律。

三、风险基础审计在实质性测试中的应用

除根据规划阶段评估的高风险水平设计并执行实质性测试程序外,审计人员还应遵循风险基础审计的另一原则,即在整体实质性测试程序设计层面重点关注资产、费用有无被高估、负债和收入有无被低估现象的存在。

1、高估和低估对会计报表要素的影响规律研究

(1)高估和低估对会计报表要素的影响规律表(见表1)。

(2)高估和低估对会计报表要素的影响。要正确解析高估和低估对会计报表要素的影响,就必须依据会计等式“资产=负债+所有者权益+收入-费用”进行核算。

资产高估对负债、收入和费用要素的影响

①资产被高估与负债被高估的关系。负债是资产的来源之一,负债与资产可以同时被高估,如对经营性收入的固定资产按固定资产原值入账会导致资产和负债同时被高估。

②资产被高估与收入被高估的关系。收入的实现必然导致资产增加,收入和资产可以同时被高估,如同时高估应收账款和收入。

③资产被高估与费用被低估的关系。少计提资产损耗或少提资产准备会导致费用被低估、资产被高估。

费用高估与资产、负债的关系

④费用被高估与资产被低估的关系。多计提资产损耗或多计提资产准备会导致费用被高估、资产被低估。

⑤费用被高估与负债被高估的关系。企业多计提准备会造成费用、负债同时被高估。

收入被低估与资产、负债的关系

⑥收入被低估与资产被低估的关系。实现收入不入账或少入账会造成收入被低估,同时资产被低估。

⑦收入被低估与负债被高估的关系。从预收款中不转或少转已实现的收入会导致负债被高估、收入被低估。

负债被低估与资产、费用和收入的关系

⑧负债被低估与资产被低估的关系。少计或不计因负债而增加的资产会导致负债、资产同时被低估。

⑨负债被低估与收入被高估的关系。未实现收入的预收款确认为收入会导致负债被低估、收入被高估。

⑩负债被低估与费用被低估的关系。少计提或不计提相关准备会造成负债和费用同时被低估。

2、高估与低估测试的原理解析

从实质性测试程序设计整体角度观察,资产、费用被高估与负债和收入被高估测试涵盖了资产、负债、收入和负债项目中每一个项目的高估和低估测试。

(1)资产被高估与被低估测试。审计人员根据资产借方记录设计并执行审计程序可以测试资产是否被高估。审计人员执行针对收入和负债可能被低估而设计和执行审计程序可以测试资产是否被低估;设计并执行费用可能被高估的审计程序可以检测资产是否被低估。

(2)费用被高估与被低估测试。审计人员根据费用借方记录设计并执行审计程序可以测试费用是否被高估。审计人员执行针对负债是否低估的测试程序可以检测费用是否被低估。

(3)收入被低估与被高估测试。审计人员根据收入的完整性认定设计并执行审计程序可以测试出收入是否被低估。审计人员根据负债项目可能被低估设计并执行审计程序可以检测收入是否被高估;根据资产可能被高估设计和执行审计程序可以检测收入是否被高估。

(4)负债被低估与高估被测试。审计人员根据负债可能负债被低估设计并执行审计程序可以测试负债是否被低估;根据收入可能被高估设计并执行审计程序可以测试负债是否被低估。审计人员根据资产可能被高估设计并执行审计程序可以测试负债是否被高估;根据费用可能被高估设计并执行审计程序可以测试负债是否被高估。

【参考文献】

[1] 张焕宇:我国完善风险基础审计的必要性及对策[J].长春大学学报,2006(3).

审计风险评估的目的范文第3篇

关键词:风险导向;内部审计;思考

国际上审计模式的发展经历了三个阶段:账项导向审计模式、制度导向审计模式和风险导向审计模式, 风险导向审计是在账项导向审计和制度导向审计基础上发展起来的一种新型审计模式,是在综合分析影响被审计单位经济活动各种因素的基础上,对被审计单位开展风险评估,确定实施审计的范围和重点,进而开展实质性审查的一种审计方法。从揭示风险方面看,风险导向审计与现行审计方式比具有明显的优势,能够有效地弥补现行审计方式的不足,因此在人民银行引人风险导向审计显得尤为必要。

一、人民银行风险导向审计模式的发展轨迹

2011年,人民银行制定并印发了《人民银行内审工作转型2011-2013年规划》,标志着内审转型工作全面启动,并将确立风险导向审计模式作为内审工作转型的第一任务;与此同时,牵头组建了风险评估课题攻关小组,在认真梳理与研究欧美等发达国家央行风险评估工作的基础上,于2012年下发了《关于人民银行风险评估实施方案(征求意见稿)》,人民银行内审风险评估框架的雏形基本形成。在理论研究取得重要突破的同时,人民银行风险评估实践在各分支机构的积极推动下得到了稳步推进。为加强转型成果推广与应用,进一步推进风险评估工作,2013年7月,通过召开座谈会的形式,讨论修订风险评估初步框架,下发《人民银行内审部门风险评估工作试行办法》,建立了人民银行风险量化评估模型,规范了风险评估程序。郭庆平行长助理在转型工作总结会议上指出,各级内审部门在制定审计方案、实施现场审计、编写审计报告过程中,注重应用风险评估方法,更好地做到了“风险引导审计、审计关注风险”。从总体上看,人民银行风险导向审计模式已经基本确立。

二、人民银行风险导向审计模式的几点思考

(一)风险导向审计模式基本确立

经过三年转型,审计人员逐步强化并在实践中努力运用转型五项理念,但对于“风险引导审计、审计关注风险”理念的认识和运用仍处于起步探索阶段,审计人员的认识有待转变。一方面,未能全面认识到风险引导审计不仅可以运用用至审计计划的制定,而且应拓展延伸至审计方案的制定、审计现场的实施、审计报告的编写等过程。另一方面,按照机构层次和职责分工,制定审计计划是总行层面考虑的,分支机构尤其是分行层面以下的省会中支和地市中支主要承担审计项目的组织与实施,对于审计计划制定缺少必要地主动性,因此,风险引导审计理念未得到较广范围、较深层次的实践探索。更重要的是审计人员按照惯性思维与以往审计经验,认为在审计实施和报告阶段已关注了重大审计发现,做到了审计关注风险,没必要再进行复杂的分析评价。

(二)风险识别是风险评估工作的前提和基础

风险评估中需识别的风险事件既包括影响业务目标实现的固有风险事件,也包括影响基本控制目标实现的重大内控缺失问题。在风险事件识别过程中,一方面应以评估对象的业务目标为逻辑起点,参照《人民银行内审部门风险评估工作试行办法》的风险分类方式,全面识别影响业务目标实现的固有风险事件。另一方面,也要认真分析被评估业务流程,理解被评估业务的基本控制目标,进而识别重大内控缺失问题。内部控制具有层次性,通常根据业务重要性和固有风险强弱,设计实施不同层次的控制流程、控制活动和控制措施,与此对应的控制目标也分为基本控制目标和具体控制目标。在风险评估工作中,仅需识别影响基本控制目标实现的重大内控缺失问题,不需识别影响具体控制目标的一般内控规范性问题,以避免识别出的风险失之于详细、琐碎,难以分析利用。

(三)评估依赖参与评估人员的专业判断

开展风险评估更多的依赖于评估人员的职业判断,对评估人员的专业素质要求较高。在审计方案制定阶段开展评估,需评估人员了解制度、近期审计中发现及相关检查的情况。一般意义上来说,能够熟悉上述三方面的人员,往往都是审计经验比较丰富的审计人员,恰恰这部分人员由于审计“惯性”思维的影响,习惯于对照制度去制定审计内容,对于风险评估中比较复杂的数学计算,感觉有点畏难。在审计实施阶段,不仅要求审计人员投入大量的精力查深、查透问题,而且也需要审计人员改进审计方式,采取更有针对性的审计手段对确定的重点内容进行重点审计,往往容易出现出现追求审计进度牺牲审计重点的情况。在审计报告阶段,审计人员要对照影响程度标准对审计发现问题进行再次评判,对审计人员尤其是主审人的能力提出了更高要求。

三、人民银行风险导向审计模式进一步深入研究的方面

虽然人民银行风险评估框架已基本成型,风险导向审计模式已基本确立,但仍有待进一步研究。

(一)提高风险评估的客观性

风险评估更多情况下依赖于职业判断,对评估人员的素质要求较高。如何消除人为因素的影响,提高评估的准确性是不断探索解决的重要问题。通过量化赋值计算得出一个剩余风险的数,但这个数并不是一个精确的数,即便算到小数点后两位,也不代表对风险的衡量就更准确。要想使风险评估更准确,必须在评估过程上下功夫。

(二)改进风险评估的适用性

风险评估适用范围是内审部门,是内审部门对人民银行各项职能和业务领域开展风险评估,制定审计计划、配置审计资源、实施审计活动的重要依据。下一步将此方法推广至人民银行各业务部门开展自评估,风险评估方法适用性、合理性和效果性也是值得深入研究的问题。

(三)提升风险评估工作的效率性

从风险评估量化计算公式可以看出,评估人员在识别出风险事件、做出风险等级认定后,需要投入大量的工作进行复杂的数学计算。因此,适时加快推进评估工作的信息化建设力度,让评估人员跳出复杂的计算过程,使评估真正回归到风险事件的识别、判定风险等级等主要环节,才能有助于更好的发挥评估工作的作用。

审计风险评估的目的范文第4篇

【关键词】 传统风险导向审计 现代风险导向审计 风险评估策略 审计风险

Comparing on the Tactics of Risk Assessment of Traditional Risk-based Audit and Modern Risk-based Audit

Abstract: Traditional Risk-based Audit and Modern Risk-based Audit are the two phases that Risk-based Audit has evolved. The tactics of risk assessment of Traditional Risk-based Audit and Modern Risk-based Audit differ from each other while they still have some similarities. This paper does the Comparion on the Tactics of Risk Assessment from the following four aspects: orientation of risk assessment, extent of risk assessment, procedures of risk assessment and methods of risk assessment.

Keywords: Traditional Risk-based Audit Modern Risk-based Audit

Tactics of Risk Assessment Audit risk

一、引言

传统风险导向审计和现代风险导向审计是风险导向审计模式发展的两个不同阶段。传统风险导向审计和现代风险导向审计均以风险评估为起点,同时都将风险分析与控制方法贯穿运用于审计全过程,使审计过程成为一个不断克服和降低审计风险的过程。因此传统风险导向审计和现代风险导向审计两种审计模式在风险评估策略上存在一定的相同之处,但同时更多地体现出了差异。鉴于两种审计模式的风险评估策略较易被混淆,本文拟对两种审计模式的风险评估策略作一比较,对两者差异加以初步探讨。 二、传统风险导向审计和现代风险导向审计涵义

(一)传统风险导向审计 传统风险导向审计也称为控制风险导向审计[1]。审计模式 发展到传统风险导向审计的标志性事件是AICPA在1983年了第47号《审计准则公告》(SAS No.47)——“审计业务中的审计风险和重要性”,首次提出了审计风险模型。传统风险导向审计是指审计人员在审计过程中将风险分析、评价与控制融入传统审计方法(账项导向审计和制度导向审计)之中,进而获取审计证据,形成审计结论的一种审计取证模式。传统风险导向审计的基本程序并没有脱离制度导向审计模式,但它在制度导向审计模式的基础上更加注重风险评估和风险管理。针对制度导向审计不直接处理审计风险,不能对审计风险进行量化的缺点,传统风险导向审计引入审计风险模型,通过该模型将从各种渠道所收集的证据联系了起来,并在此基础上对审计风险进行定量评估,将审计资源相对合理的分配到高风险领域。 (二)现代风险导向审计

现代风险导向审计也称为经营(商业)风险导向审计、风险基础战略系统审计。1997 年,Bell 和 Frank 发表了名为《通过战略系统的视角对组织进行审计》的研究报告,首次提出了毕马威的BMP 审计模式,这标志着现代风险导向审计的产生。现代风险导向审计是审计技术方法在系统理论和战略管理理论基础上的重大创新,它以被审计单位的战略经营风险为导向,通过“战略分析——流程分析——经营业绩评价——财务报表剩余风险分析”的基本思路,将会计报表重大错报风险和经营风险联系了起来,从而提出了审计师从源头分析和发现会计报表错报的观念[2]。现代风险导向审计针对传统风险导向审

计风险评估不到位,未能有效发现高风险审计领域,造成审计过量或审计不足的缺点,大大加强了风险评估程序,做到了以风险评估中心,真正体现了风险导向审计的理念。

2003年10月国际审计和保证准则委员会(IAASB)了国际审计准则第315号( ISA 315) “了解被审计单位及其环境并评估重大错报风险”,将传统风险导向审计下的审计风险模型修改为:审计风险=重大错报风险×检查风险,明确规定了审计工作以评估财务报表重大错报风险作为新的起点和导向。这就导致了实务中普遍运用的现代风险导向审计在审计风险模型和审计具体风险导向等问题上和准则规定产生了一定的差异。鉴于这一点,特别指出本文所称的现代风险导向审计是指国际会计师事务所在实务中运用的以战略经营风险为导向的现代风险导向审计。 二、传统风险导向审计和现代风险导向审计风险评估策略比较

风险评估是指对审计风险的评估。美国注册会计师协会(AICPA)认为审计风险是指审计人员对于存在重大错报的财务报表未能适当发表意见的风险[3]。风险评估的目标就是确定

高风险环节,从而确定审计的范围和重点,并进一步确定如何收集、收集多少和收集何种性质的证据,以便更有效地控制和提高审计效果及审计效率。策略,是根据形势发展而制定的行动方针和方法。借鉴中注协(1997)对审计策略的定义,笔者将风险评估策略定义为审计人员根据确定的风险评估范围,选择能够达到风险评估目标而应当实施的最有效风险评估程序的基本思路、组织方式和具体方法。在本文中,笔者从风险评估导向、风险评估范围、风险评估程序、以及风险评估具体方法四个方面来比较两种审计模式的风险评估策略。

(一)风险评估导向

虽然国际审计准则规定,在传统风险导向审计下审计人员首先应当对财务报表整体层次和交易类别、账户余额认定层次的固有风险进行评估,但由于固有风险和控制风险都受企业内外部环境的影响,两者很难区分,因此审计人员通常难以对固有风险单独做出准确评估。又鉴于稳健性原则的考虑,实务中审计人员往往将固有风险简单地确定为高水平,从而将风险评估重点锁定在控制风险上。因此在实务中,传统风险导向审计实际上是以对控制风险进行的评估为切入点的,所以传统风险导向审计是以控制风险为导向的。

现代风险导向审计强调:审计人员的审计风险[i]主要来源于企业财务报表的错报风险,而企业财务报表的错报风险则主要来源于整个企业的战略管理风险和经营活动风险[4]。所以要充

分理解审计风险,审计人员就必须从企业的战略分析入手,充分识别企业内、外部风险并理解内外部风险对财务报表认定的影响。因此,现代风险导向审计并不直接从对固有风险的评估入手,而是间接地以被审计单位的战略经营风险为导向,通过综合评估战略经营风险从而确定财务报表剩余风险,并进一步确定实质性测试的范围、时间和程序。因此,现代风险导向审计是以战略经营风险为导向的。 (二)风险评估范围

在实务中运用传统风险导向审计时,审计人员往往忽略对固有风险的准确评估,而将固有风险简单地确定为高水平。因此在传统风险导向审计下审计人员往往不注重从宏观层面上了解企业及其环境(如行业状况、监管环境;企业的性质;企业的目标、战略、以及可能导致会计报表重大错报的相关经营风险;对企业财务业绩的衡量和评价)[5],而只关注企业的内部

控制。因此,在传统风险导向审计方法下,审计人员实际上只仅仅依赖对控制风险所作的粗放型评估来直接、大致确定检查风险水平。

现代风险导向审计要比传统风险导向审计站得更高,看得更远,对企业了解得更透。它将被审计单位置于广泛的经济系统中,认为有效的审计需要对企业所处的宏观社会经济环境和行业环境、战略目标和措施、影响企业目标实现的主要业务活动和关键经营环节以及剩余风险进行深入的了解。在现代风险导向审计下审计风险仍然由固有风险、控制风险和检查风险三要素组成,审计人员也同样要对固有风险和控制风险进行评估。但是相比传统风险导向审计,现代风险导向审计下“固有风险”的内涵扩大了,除了包括会计报表项目本身的风险外,更多地考虑了企业的经营风险。而且在现代风险导向审计下,企业内部控制已经发展到内部控制框架阶段,并有被企业全面风险管理框架取代的趋势,相比传统风险导向审计下的内部控制结构概念,现代风险导向审计下对控制风险进行评估时考虑的因素则更加全面了。

(三)风险评估程序 传统风险导向审计风险评估的基本程序可表示为:固有风险评估了解被审计单位的内部控制结构控制风险初步评估控制测试(可选)控制风险综合评估确定检查风险。审计人员在对固有风险进行评估时主要考虑以下因素:管理人员的品行、能力、变动情况和遭受异常压力的情况;客户业务特征;关联方;非常规交易;以前审计结果等。但由于种种原因,实务中审计人员往往忽略对固有风险的准确评估,通常的做法是将固有风险简单地确定为高水平,而将风险评估的重点放在控制风险上。审计人员在对被审计单位的内部控制进行了解时,首先从分析控制环境入手,再对会计制度和控制程序进行分析。分析控制环境时主要考虑以下因素:管理哲学和经营作风;组织机构;董事会及审计委员会职能;人事政策和程序;确定职权和责任的方法等。然后审计人员基于当前对内控的了解对控制风险水平进行初步评估(计划估计水平)。如果审计人员将某一控制的控制风险初步评估为最高值,则对该控制不需执行控制测试而直接进入实质性测试阶段;但如果审计人员将某一控制的控制风险评估为低于最高值时,则就需要对该控制执行控制测试,从而来获取证据以支持低于最高值的风险水平。控制测试完成以后,审计人员对被测试控制的控制风险进行再次评估(最终估计水平),并根据最终估计水平来决定相应的检查风险水平。 现代风险导向审计风险评估的基本程序可用下图表示。如图所示(由于不能粘贴,此处图略),审计人员首先需要对客户的战略进行分析,分析时需要对客户的内外部环境进行了解,包括客户行业状况、监管环境以及其他外部因素(宏观经济环境等);被审计单位的目标、战略以及面临的经营风险;企业对威胁企业战略的风险做出的反应等。对客户的战略进行分析后即可对战略风险做出评估。现代风险导向审计下内部控制被分为管理控制(战略控制、高层控制)和流程控制(一般控制、员工控制)[6],在对 客户的战略进行分析时同时要对战略控制进行了解并进行评价。然后审计人员对客户的流程进行分析,分析时可从流程目标、投入、作业、交易类型、威胁流程目标的风险等八个维度来了解流程情况[7]。通过流程分析可

以了解客户创造价值的方式、竞争优势及劣势、威胁,从而来评估流程经营风险。在对客户的流程进行分析时同时要对流程控制进行了解并进行评价。在对战略经营风险和流程经营风险进行评估时特别要注重对舞弊风险的评估。然后在此基础上来对固有风险进行初步评估,在评估时除了要重点考虑经营风险可能引起的重大错报之外,还要考虑其他可能引起重大错报的因素(管理当局遭受的异常压力等)。审计人员在对客户的战略和流程进行分析时已经从企业整体层次对内部控制进行了了解(战略控制和流程控制)并做了评价,在这个基础上还要对内部控制的其他方面进行了解并给予评价,特别是要关注有关交易重要类别的控制。基于对内部控制充分的了解,审计人员然后对控制风险进行初步评估。由于固有风险和控制风险都受企业内外部环境的影响,两者之间存在着紧密的联系,因此审计人员在单独对固有风险、控制风险进行初步评估的基础上还须对两者进行综合评估,即固有风险和控制风险的联合。对联合风险的评估是审计工作的核心,因为接下来其余的审计工作都要围绕联合风险来进行,联合风险的评估结果是审计人员决定实质性程序性质、时间以及范围的基础[8]。然后审计人员对 值得信赖的控制进一步执行控制测试,从而来获取支持其较低控制风险水平的证据。最后根据控制测试结果并结合联合风险评估水平,审计人员对会计报表重大错报风险进行综合评估,从而来确定会计报表剩余风险(即检查风险),并进一步决定实质性程序的性质、时间以及范围。 (四)风险评估具体方法 风险评估的方法主要有观察、检查、函证、询问、穿行测试、分析性程序等多种审计取证手法。虽然传统风险导向审计客观上要求大量使用分析性程序来进行风险评估,但由于实务中审计人员往往忽略对固有风险的准确评估,因此限制了分析性程序的运用范围。而且传统风险导向审计对于信急的再加工重视程度不够,分析性程序主要适用在报表分析上[9]。 而在现代风险导向审计下,风险评估以分析性程序为中心,分析性程序成为最重要的程序。而且随着分析性程序功能的不断扩大,分析性程序开始走向多样化,审计人员不仅对财务数据进行分析,同时也对非财务数据进行分析。由于分析性程序的多样化运用,大量的分析工具以及现代管理方法被运用到分析性程序中去。如在战略分析时审计人员运用了PSET分析和POPTER分析方法;在流程分析时运用到了价值链分析(VCA))和波士顿矩阵(BCG)以及SWOT分析方法;绩效分析时运用到了平衡积分卡(BSC)和标杆管理(Benchmarking)分析技术[10]。将分析工具运用到风险评估中 使得风险因素不再独立,而且风险评估不再是一元评估,而是多元评估,因此风险评估的结果将更加可靠。

三、结论

1. 风险评估导向不同:

虽然国际审计准则规定传统风险导向审计应以固有风险为切入点,但在实务中传统风险导向审计实际上是以控制风险为导向的;而现代风险导向审计则是以战略经营风险为导向的。

2. 风险评估范围不同:

审计人员在实务中运用传统风险导向审计时往往会忽略对固有风险的准确评估,只通过对控制风险所作的粗放型评估来决定实质性测试的性质、时间和范围;而现代风险导向审计下审计人员除了要对传统的固有风险,即会计报表项目本身的风险进行评估之外,更多地是要考虑企业的经营风险,特别是注重对舞弊风险的评估[11]。同时由于内部控制概念内涵的扩

大,审计人员在对控制风险进行评估时考虑的因素相比传统风险导向审计下更加全面了。

3. 风险评估程序不同: 相比传统风险导向审计,由于现代风险导向审计增加了对企业战略和经营流程的分析,以及对经营风险的评估,而且最后将固有风险和控制风险联合起来进行评估,因此在评估程序方面现代风险导向审计比传统风险导向审计更完善。由于现代风险导向审计对审计风险考虑的更全面了,所以在现代风险导向审计下能够更好的将会计报表剩余风险降低到可接受水平。 4. 风险评估具体方法重点不一样: 两种审计模式在风险评估时都运用了观察、检查、函证、询问、穿行测试等风险评估方法,但相比传统风险导向审计,现代风险导向审计更注重分析性程序的运用,做到了以分析性程序为中心。

________________________________________

[i]国际会计师事务所认为审计风险应该是广义的,即不仅包括审计过程的缺陷而导致审计结果与实际不相符而产生损失或责任风险,还包括客户经营失败而导致审计主体遭受损失或不利的可能性。

参考文献:

[1] 王泽霞.论风险导向审计发展创新[J].会计研究,2004(12): 49-54

[2] 谢荣,吴建友.现代风险导向审计理论研究与实务发展[J].会计研究,2004(14):47-51

[3] AICPA:professional Standards As of June 1,1992,AU.31

[4] 谢荣,吴建友.现代风险导向审计基本内涵分析[J].审计研究,2004(05):26-30

[5] 陈毓圭.对风险导向审计方法的由来及其发展的认识[J].会计研究,2004(14):58-63

[6] 郑朝晖.战略系统审计:财务数据之合理预期[J/OL].中国会计视野,2004 [2006-4-17] /showdoc.asp?docid=448&uchecked=true

[7] 王义华.BMP审计模式介绍[J].中国注册会计师,2005(06): 69-70

[8] Ernst&Young Global Audit Planning Toolkit 2004[M], 2004: 65-67

[9] 马贤明,郑朝晖.现代风险导向审计探讨[J].审计与经济研究,2005(01):9-13

审计风险评估的目的范文第5篇

    跟踪审计工作究竟应该选择在建设工程实施的哪个阶段开始介入?是投资决策阶段介入,还是设计、招投标阶段介入?是在施工开始介入,还是施工完毕竣工决算前审计?相关法规没有明确规定。实践中现行跟踪审计多是在工程施工开始后介入。而不对前期决策实施审计,这样一来,工程建设前期的可行性研究、初步设计就无法有效控制,跟踪审计效果必然会受到影响;同时,由于投资项目审计是一个连续的过程,评价实际完成指标是否适当必须与前期决策指标进行比较,而此时就需要延伸考虑前期决策的估算指标是否准确,如此延伸必然会给审计人员带来审计风险。

    二、风险导向审计理念的引入

    现行制度基础导向的政府投资项目跟踪审计模式下,审计人员的出发点是了解与建设项目相关的内部控制制度,若内部控制存在并得到执行,则进行内部控制测试,测试结果决定了要实施的检查、盘点等审计程序的性质、时间和范围,决定了要收集审计证据的多少。此种以判断内部控制优劣来决定收集审计证据数量的审计模式,对于一个理想的不存在外部环境影响、管理层正直诚信的建设项目可以提高审计效率,保证审计质量,而建设项目的现状并非完全如此,工程建设领域面临着巨大的外部压力,管理层凌驾于内部控制之上,串通舞弊情况时有发生,尤其是关系国计民生的福利工程,社会公众关注度极高,仅通过评价内部控制来实施审计工作,必将面临巨大的审计风险。粤海铁路工程建设项目就是管理层串通舞弊、套取国有资产的典型案例,如果只关注被项目管理层精心设计好的内部控制,仅依靠评价内控制度来找问题根本无济于事。因此,对政府投资项目必须转换审计模式,贯彻风险导向审计理念,用质疑的思维方式,以“风险评估—风险识别—风险应对”为主线组织实施审计工作,在确定可接受的综合审计风险的前提下,首先从建设项目所处的外部环境及项目自身特点来评估重大错报风险,进而确定审计工作可以接受的剩余风险。政府投资项目跟踪审计采用风险导向审计理念对于解决上述困境大有裨益。风险导向理念要求审计人员以风险评估为审计起点,实施风险评估要贯穿于整个审计过程,而不是直接实施检查、询问等审计程序。通过了解建设项目及其环境,获取识别评估所需的信息,识别可能存在的重大错报风险,并区分可能是由于错误导致的还是由于舞弊导致的重大错报风险,针对舞弊导致的不同层面的重大错报风险(项目整体层面、业务流程层面)采取不同的应对措施。这种以风险导向为主线的审计思路可以及时发现建设项目中可能存在的舞弊风险,最大限度地满足社会公众对审计工作的期望,有效控制审计风险,保证审计的效果。风险导向理念下的审计,可以对列入审计计划的建设项目根据初步评估的重大错报风险进行排序,按风险因素而非主观臆断来科学决定重点审计项目,制定审计计划。在审前针对具体项目制定审计方案时,根据风险评估的结论来确定重点审计领域和关键环节,以此来决定审计人员的分派、审计时间的分配。通过对建设项目的重大错报风险分析,确定审计风险最早发生环节,确定跟踪审计介入时间,根据评估得出的风险大小来决定审计人员需要介入建设项目不同环节的程度、次数,对那些管理机制完善、内部控制较好、投资规模较小的建设项目,可以根据建设项目的特点及进展情况,选择重点环节实施跟踪审计;对那些投资规模大、建设周期长的项目,可根据项目特点和审计力量,采取一年一至两次的定期审查式跟踪。

审计风险评估的目的范文第6篇

跟踪审计工作究竟应该选择在建设工程实施的哪个阶段开始介入?是投资决策阶段介入,还是设计、招投标阶段介入?是在施工开始介入,还是施工完毕竣工决算前审计?相关法规没有明确规定。实践中现行跟踪审计多是在工程施工开始后介入。而不对前期决策实施审计,这样一来,工程建设前期的可行性研究、初步设计就无法有效控制,跟踪审计效果必然会受到影响;同时,由于投资项目审计是一个连续的过程,评价实际完成指标是否适当必须与前期决策指标进行比较,而此时就需要延伸考虑前期决策的估算指标是否准确,如此延伸必然会给审计人员带来审计风险。

二、风险导向审计理念的引入

现行制度基础导向的政府投资项目跟踪审计模式下,审计人员的出发点是了解与建设项目相关的内部控制制度,若内部控制存在并得到执行,则进行内部控制测试,测试结果决定了要实施的检查、盘点等审计程序的性质、时间和范围,决定了要收集审计证据的多少。此种以判断内部控制优劣来决定收集审计证据数量的审计模式,对于一个理想的不存在外部环境影响、管理层正直诚信的建设项目可以提高审计效率,保证审计质量,而建设项目的现状并非完全如此,工程建设领域面临着巨大的外部压力,管理层凌驾于内部控制之上,串通舞弊情况时有发生,尤其是关系国计民生的福利工程,社会公众关注度极高,仅通过评价内部控制来实施审计工作,必将面临巨大的审计风险。粤海铁路工程建设项目就是管理层串通舞弊、套取国有资产的典型案例,如果只关注被项目管理层精心设计好的内部控制,仅依靠评价内控制度来找问题根本无济于事。因此,对政府投资项目必须转换审计模式,贯彻风险导向审计理念,用质疑的思维方式,以“风险评估—风险识别—风险应对”为主线组织实施审计工作,在确定可接受的综合审计风险的前提下,首先从建设项目所处的外部环境及项目自身特点来评估重大错报风险,进而确定审计工作可以接受的剩余风险。政府投资项目跟踪审计采用风险导向审计理念对于解决上述困境大有裨益。风险导向理念要求审计人员以风险评估为审计起点,实施风险评估要贯穿于整个审计过程,而不是直接实施检查、询问等审计程序。通过了解建设项目及其环境,获取识别评估所需的信息,识别可能存在的重大错报风险,并区分可能是由于错误导致的还是由于舞弊导致的重大错报风险,针对舞弊导致的不同层面的重大错报风险(项目整体层面、业务流程层面)采取不同的应对措施。这种以风险导向为主线的审计思路可以及时发现建设项目中可能存在的舞弊风险,最大限度地满足社会公众对审计工作的期望,有效控制审计风险,保证审计的效果。风险导向理念下的审计,可以对列入审计计划的建设项目根据初步评估的重大错报风险进行排序,按风险因素而非主观臆断来科学决定重点审计项目,制定审计计划。在审前针对具体项目制定审计方案时,根据风险评估的结论来确定重点审计领域和关键环节,以此来决定审计人员的分派、审计时间的分配。通过对建设项目的重大错报风险分析,确定审计风险最早发生环节,确定跟踪审计介入时间,根据评估得出的风险大小来决定审计人员需要介入建设项目不同环节的程度、次数,对那些管理机制完善、内部控制较好、投资规模较小的建设项目,可以根据建设项目的特点及进展情况,选择重点环节实施跟踪审计;对那些投资规模大、建设周期长的项目,可根据项目特点和审计力量,采取一年一至两次的定期审查式跟踪。

审计风险评估的目的范文第7篇

一 审计风险评估研究回顾

所谓风险,根据美国项目管理学会(PMD)的定义,是指“正面或负面影响项目内容的不确定事件或条件”,风险与不确定性有着紧密的联系。审计过程中存在的信息对称,特别是存在管理舞弊时,采用正常的审计程序难以形成可靠的审计结论,从而为审计执业带来高度不确定性,也就是审计风险的根源。

(一)审计风险评估的实务探索对审计风险的评估处于探索之中,出现了多种经营分析和风险评估框架,如COSO,COCO、平衡记分卡、波特五力模型、全面质量管理、系统思想、竞争性战略、战略系统审计等,这些工具和技术形成了早期现代风险导向审计的基础。审计师利用这些工具和技术去理解客户的价值和定位,理解客户面临的风险,以此增强对非抽样风险的控制,同时也为客户提供增值性的非审计业务。大型的会计师事务所在20世纪90年代中期都开始探索自己的风险审计方法或战略系统审计(sSA)框架,但各个事务所的名称各不相同。

(二)审计风险评估的理论研究我国一些学者也对审计风险的评估技术进行了研究,如王桂兰(2006)提出了将案例推理引入到审计风险评估研究中,运用现代风险导向审计的理念,构建审计重大错报风险评估框架,同时将先进的计算机审计技术应用于多样性的分析性复核中,建立一套科学的评估系统以便较为准确地识别、评估审计中的风险因素,以期达到有效避免盲目审计,合理分配审计资源,有针对性地执行审计程序,发现重大错报,从而实现降低审计风险的目的。顾晓安(2006)以新国际审计准则中重大错报风险评估体系的内容为基础,针对如何将从企业及环境了解到的风险因素与认定层次可能发生的重大错报相联系,提出了首先通过业务循环来进行风险因素的识别、筛选和初步风险评估,再将业务循环的风险同报表认定层次相对应的两阶段风险评估法,并设计和描述在专家系统平台上实施该风险评估系统的系统结构、功能模块和操作流程。目前,这些方法仍在不断发展和完善之中,其名称和内容虽然并不完全相同,但本质都属于现代风险导向审计。与之前的着重于静态风险评估不同,本文建立了动态评估方法体系,研究审计风险评估的过程步骤,从每一步骤人手,分析其风险组成,并进行归纳、分层,提出一个审计风险评估的三维分析概念模型,由此建立审计风险与审计策略的关联关系。

二、审计风险的动态评估过程

Knechel教授认为,现代风险导向审计方法应由两部分组成,即风险的评估和根据风险评估证据确定用什么样的测试来获得证据。据此思路,可将审计风险的动态评估划分为:确定审计范围、寻找审计风险点及相适合的审计技术、评价审计风险与对策方案、实施审计策略这四个相互关联的步骤(如图1)。

(一)划定审计范围审计人员对企业的内部控制状况及商业经营环境进行评估,结合审计业务约定数,划定审计范围。该范围不是一旦确定就固定不变的,应随着审计人对被审计对象的了解加深而不断调整。

(二)寻找审计风险点及相适合的审计技术一旦审计范围确定,就必须根据审计师的个人经验判断及审计专家系统提示的信息来寻找风险点,如将各风险因素分配到业务循环中,在业务循环层次上筛选和分析风险因素,由此将风险具体化,进行初步的风险评估。对风险点进行筛选后,选择适合的审计技术,如风险分析技术或实施计划控制测试、实质性测试等对策方案。

(三)评价审计风险与对策方案按优先顺序排列,再根据审计力量、审计目标、内部控制状况、商业经营环境等加以评价。

(四)实施审计策略着重于如何以一种特定的战略姿态将审计方案付诸实施。体现了审计人员对不确定性预见与自身能力和资源调控能力的反复结合,是一个动态调整和不断发展的过程,这也是其与传统静态技术评估方法相比的最大不同。动态评估过程本身对审计人员就是一种学习,而这种学习又充实了这个过程。

三、动态评估过程中审计风险的识别

风险识别贯穿动态评估的全过程,要找出所有评估过程中的风险组成,即不确定事件和可能导致重大错报的原因和条件。按照动态评估的4个基本步骤来识别审计的风险所在。

(一)确定审计范围中的风险审计范围确定的过程又可以称为审计战略定位,审计师需要根据业务约定书,结合被审计单位的经营历史、财务状况,以及审计师自身的技术能力来确定审计范围。这一范围的确定过程中,审计师的经验判断是主要依据,因此存在诸多的不确定性。首先不同的审计师对审计范围的理解可能会有差异,审计师对被审计对象的了解有限,确定错误的审计范围有可能加大重大错报的风险;其次被审计对象存在管理舞弊的可能,会刻意引导注册会计师进入错误的审计范围,从而阻碍注册会计师通过风险导向审计将会计报表重大错报风险和经营风险联系起来从而发现会计报表的错报。

(二)寻找风险点及适合审计技术过程中的风险风险点的识别需要借助一定的技术,如重大错报案例研究技术、业务循环控制缺陷识别技术等。限于审计力量,审计师更有可能采用经验判断来寻找风险点。寻找到风险点后,审计师需用敏锐的眼光识别具有针对性的技术,根据内部技术储备和外部技术可利用情况来寻找和发现适合的技术去消除审计风险点,揭示其中关系到重大错报的可能性。这一步骤的风险表现为:(1)审计师寻找到了错误的风险点,导致审计工作无效果;(2)审计师能力不够,不能采用或者执行适合的审计技术;(3)审计技术不完善,存在固有缺陷,导致采用该技术后不能获得理想的审计成果。

(三)评估过程中的风险按照质量控制的原则,对审计风险及对策方案的评估应该由不同的审计师担任。这是一个将审计资

源技术能力、审计范围与风险点相匹配的过程。审计机构内的评估小组必须仔细研究每一项审计技术是否能用于审计风险点揭示,如何服务于审计范围,是否在审计师的技术能力范围内等。该步骤的风险主要来自评估小组的综合能力,特别是对审计师所处的被审计对象微观环境的判断和理解,以及如何与审计师自身资源和能力相匹配所带来的风险。

(四)实施审计策略的风险审计策略的实施贯穿审计全过程,使用动态评估过程技术,需要审计师根据审计情况来调整审计策略,这一过程的风险有:审计师调整审计策略能力风险,审计师能否关注审计风险早期信号,特别是对这些信号及其变化的认识和理解的差异性。由此及时调整策略,这样可以节省审计成本。

四、审计风险的三维分析

通过上述动态评估过程主要环节中的风险识别,不难看出审计风险的评估过程也是一个风险识别的过程,其风险具有系统性、多维性和动态性的特点。但风险总是客观存在的,也是可以通过一定方法测量或预测的,可从风险来源的角度,将过程中错综复杂的风险按经营及内部控制风险、财务风险、审计技术风险三个方向进行归纳,建立三维分析模型,但由于各种风险的远近、程度不一样,还须进一步对每个方向上的风险进行分层分析。

(一)经营及内部控制风险新国际审计准则要求注册会计师了解企业及其环境,包括:行业状况、监管环境以及其他外部因素;被审计单位的性质及对会计政策的选择和运用;被审计单位的目标、战略以及相关经营风险;被审计单位财务业绩的衡量和评价。从相关内部控制情况,评估可能的重大错报风险。

(1)行业状况、监管环境以及其他外部因素。可能造成重大错报的行业状况、监管环境以及其他外部风险因素,包括竞争环境、供应商和客户、技术进步、适用的财务报告准则、法律和政治环境以及与行业和企业相关的环保要求等。

(2)企业性质,包括企业对会计政策的选择和应用。企业性质包括产权结构、组织结构、经营项目、筹资和投资。对于企业性质的了解可以使审计人员理解财务报表中交易的类型,并对账户余额和披露产生预期;对于所有权人之间及与其他企业之间关系的认识可以发现关联方交易并合理地进行评估;如果企业有复杂的组织结构,则要考虑合并报表中可能发生的错误;了解企业对于会计政策的选择和应用,考虑是否适合于企业经营性质,与相关行业所用的会计制度是否一致等。这些考虑和关注对重大错报风险的评估都有着重要作用。

(3)目标和战略以及相关的经营风险。经营风险是指对企业经营目标和战略的实现造成影响的事件和状况,大多数经营风险最终都会有财务后果,会对报表产生影响,但并不是所有的经营风险都会造成重大错报。

(4)企业财务业绩的衡量和评估方法。不管是内部还是外部的业绩评估都会对企业产生压力,从而使得管理人员改善经营业绩或者直接对财务报表进行粉饰。对于企业业绩衡量方法的了解可以使审计人员判断管理层行为是否会增加重大错报的风险。

(5)内部控制。控制活动可能对于某项特别性质的业务或者账户余额的单个认定产生影响。如企业建立的用来保证其员工准确地计算和记录存货的控制活动就直接同存货账户余额的完整性和存在性认定相关。

(二)财务风险来源财务风险来源分析是通过常规财务分析、财务失败风险分析、财务舞弊风险分析三个部分来完成的。常规财务分析主要通过盈利能力、偿债能力等的五力分析模型来完成,分析评价常规的财务指标。财务失败风险分析主要通过z模型等来完成,对财务情况进行预警。财务舞弊分析是审计风险分析需重点关注的内容,实证研究的结果表明,自从净资产收益(ROE)作为上市公司申请配股的依据之一,上市公司在ROE数据上存在着明显的操纵行为;而单位负责人又是造成会计信息失真的主体因素。管理舞弊是管理层试图以舞弊财务报表为手段获得更多的机会利益,独立审计师如不能查出这种舞弊行为,就须承担法律责任,管理层与审计人员之间存在严重的利益冲突,因此管理层不可能真正地配合独立审计师有效地实施审计工作,由此带来巨大的审计风险。

(三)审计技术风险来源现代审计已形成系列的技术方法,用于审计师对重大错报风险(RMM)、重大缺陷风险(RMW)和检查风险(DR)的评估。较常用的如审计抽样技术,该技术存在抽样风险,即审计师依据抽样结果得出的结论与对审计对象总体执行同一审计程序所得到的结论可能不相符合。又如,业务实质性测试,该技术目的是确定原始凭证与记账凭证是否相符、账务处理是否正确,而“一条龙造假”表现为假账真做,特别是在当前信息化环境下,大量的单据是电脑自动生成的,均能做到账证相符、账务处理正确,账表相符,因此就电脑账下审计人员再实施交易业务实质性测试,验证账账、账表是否相符也便失去了意义。再如,分析性测试,该技术是指注册会计师分析被审计单位重要的比率或趋势,包括调查这些比率或趋势的异常变动及其与预期数额和相关信息的差异。目的是评价业务和余额的总体合理性。我国《独立审计具体准则第11号――分析性复核》指出,“如果分析性复核使用的是内部控制生成的信息,而内部控制失效,注册会计师不应该信赖这些信息及分析性复核的结果”,并且分析性程序究竟能在多大程度上提供有用的实质性证据,还取决于其在具体情况下的可靠性。

审计风险评估的目的范文第8篇

关键词:风险导向审计;通信运营企业

中图分类号:F239文献标识码:A 文章编号:1001-828X(2011)12-0116-01

一、风险导向审计在工作中的实践运用

1.持续开展年度内部审计风险评估工作

风险评估与控制是风险导向审计的核心,公司自2007年在总部统一部署下,以风险基础战略系统审计方法(SSA)为理论指导,从战略和流程两方面进行经营风险分析和控制分析,从剩余风险对审计的影响角度着手,尝试探索开展内部审计风险评估工作。公司根据运营环境、业务特点以及识别的可审计对象,搭建并在实施基础上不断完善审计风险评估框架。2011年风险评估框架由企业文化管理、收入保障、市场推广及销售、采购及物流管理等17个机制流程共计255个风险评估点构成,涵盖公司策略管理机制、资源管理机制、核心管理流程等。

在风险评估过程中注重定性分析与定量分析相结合,把控评估质量。从战略、财务、市场、运营、合规的影响性和可能性角度客观评价固有风险;通过访谈、查阅、穿行测试、遵从性测试等方法对风险点的关键控制要素逐一落实,采用风险点责任单位自评与评估小组复评相结合方式,逐项评价公司风险控制水平。在固有风险、风险控制水平评估基础上计算剩余风险,并根据分值划分高、中、低风险。同时公司充分考虑近三年审计项目覆盖及审计结果等情况,进一步区分“重点关注”、“适当关注”“暂不关注”审计领域,实现内部审计风险评估目标,推进评估结果的应用。

2.以风险评估结果为导向,制定年度审计计划和项目审计计划

公司在审计计划编制过程中,融合企业风险与审计战略,确保审计方向和范围符合企业风险管理目标。在年度审计计划编制过程中,以企业年度风险评估结果为导向,根据量化的分析水平排定审计项目优先次序,并综合考虑监管机构、董事会、管理层和业务部门的意见和审计需求,提高审计工作效率和效果。如近两年来开展的重要营销资源审计、客户信息安全审计、IT风险审计项目等,既符合行业运营高风险领域特点,又满足了内外部的监管及审计需求;在具体项目审计计划中,使审计目的、范围、内容充分反映风险评价的结果,并考虑舞弊、严重错失、不合规、违规及其他风险存在的可能性,使项目计划内容完整、重点突出。

3.围绕关键风险点和控制点实施审计,提高审计效率

在审计调查基础上,根据对被审计单位内外部运营环境、内部控制的设计及运行情况、以及以往审计结论、审计跟进执行等情况的了解,以审计范围和审计内容为基础,关键风险点为导向进一步完善审计实施方案,其中审计程序要求科学、合理并具有可操作性,审计重点能充分体现确定的重要性水平和风险评估结果。同时,根据审计项目的性质和复杂程度确定审计人员数量和知识结构,并进行合理分工,确保审计项目顺利实施。

在审计实施过程中始终坚持目标-风险-控制的风险导向审计思路,贯穿内部控制管理理念,以分析性复核为基础,综合分析财务与非财务数据,并根据审计内容合理选用其他审计方法和审计抽样技术,确保审计质量,降低审计风险。

4.审计报告以风险评价为基础,客观反映公司运营管理状况

风险导向审计强调以了解被审计单位及其环境为起点进行审计,包括被审计单位的性质、行业状况、监管环境、目标战略、经营风险、内部控制等方面,审计业务的切入点是全局层面的重点审计领域,因此,审计报告首先对审计领域的整体风险情况进行客观评价,准确反映运营管理状况;其次,审计报告对具体审计发现问题从风险发生可能性、影响程度角度衡量风险大小,并从风险控制角度提出改进建议;再次,以风险再评估和风险控制为目标,实施后续跟进审计,协助公司管理风险,实现内部审计增值服务职能。

5.集合审计成果,搭建风险知识库

为充分利用审计成果,内审部将风险控制点、审计程序、历年审计情况及审计结果等内容集合贯通,着手搭建内部审计风险知识库,以实现风险点与审计测试、审计案例等相对应,形成结构化、系统化知识库,更好地提示审计风险,指导审计人员开展审计实务。

二、实施风险导向审计应注意的问题

风险导向审计的运用,有助于将有限的审计资源集中在高风险领域,引导企业合理配置审计资源,提高审计效率和效果。但其实施应注重适应的内外部环境,采取相应措施,防范审计风险。

首先,企业应加强内部控制执行力度,建立健全全面风险管理体系,培育全面风险管理文化和风险管理意识,营造风险导向审计实施的内部环境。

其次,内审部门要关注公司内外部环境变化、运营管理动态和经营风险变化等,不断优化调整年度风险评估范围和方法,保证评估范围的全面性以及评估结果的客观性,从而保证风险导向的准确性。

审计风险评估的目的范文第9篇

关键词:人民银行;信息技术;审计;风险评估模型

一、引言

随着信息化的迅猛发展,人民银行对信息技术的依赖程度不断提高,信息技术己经成为人民银行日常运营的基础平台和金融创新的重要手段。但信息技术在迅速发展的同时,也带来了巨大的技术风险,一旦发生问题,将直接影响业务的连续性,使人民银行而临财务损失和声誉风险,甚至影响银行业的安全。因此,发现信息技术潜在的风险点,采用风险导向审计模式开展信息技术审计,一方而能够最大程度防范信息技术风险,确保各项业务安全、稳定、高效运行;另一方而能够节约审计成本,提高审计效率和质量,增加审计的组织价值。

二、央行信息技术审计现状

人民银行自2000年左右提出信息技术审计的概念,经过多年的探索与发展,由对单个重要业务系统逐渐向对机房、数据库等信息技术的核心开展审计,审计范围覆盖了网络管理与安全、操作系统和数据库管理、电子化设备管理、大小额支付系统、会计核算系统、国库系统、征信系统和反洗钱系统等业务领域,有效促进了信息系统内部控制和风险管理水平的提高。在此基础上,2009年起,人民银行开展了更具综合性的信息技术应用和系统运行管理专项审计(后称为“科技综合管理专项审计”),该项目涉及分支行科技管理的各个方而,促进了分支行科技管理水平和信息安全意识的提高。同时,在开展的过程中不断深化,融入绩效审计理念,在关注系统安全性的同时,也关注信息系统建设和运行的经济性、效率性和效果性。近两年,央行探索将信息技术审计与业务审计相结合,开展了国库会计核算业务与系统运行管理、二代支付系统等专项审计,力求从业务的角度审视技术的支持保障能力,从技术的角度评估业务的风险防控能力。近几年,传统的合规性信息技术审计所依赖的审计依据往往跟不上信息技术的发展和变化,同时也较多依赖审计人员的个人能力,审计中缺乏重点,虽然而而俱到,但审计成果琐碎平淡,缺少深度和建设性。因此,信息技术审计人员必须在审计中引入风险导向审计模式,不断地向技术的更深层而挖掘风险,不断提升审计成果的附加值和说服力。

三、央行信息技术风险评估模型构建

风险导向审计的基础是识别和评估风险,因此,开展风险导向审计首先要构建合适的风险评估模型,以实现对风险的量化分析。风险评估是指内审部门采用剩余风险评估模型,运用规范的定性、定量方法,通过风险识别、固有风险评估、控制有效性评估、剩余风险计算,确定评估对象的风险级别。

(一)风险识别

风险识别是风险评估工作的基础和关键环节,只有了解和掌握被审计业务领域存在的具体风险事件,才能进一步开展评估、实施审计。风险识别程序要求采用一种有计划的、经过深思熟虑的方法,来识别业务各个方而存在的潜在风险,并识别可能在合理的时间段内影响每项业务的较为重大的风险。信息技术风险是组织在信息处理和信息技术运用过程中产生的可能影响组织目标实现的各种不确定因素,表现形式有自然灾害、人为破坏、设备故障、内部与外部攻击、数据误用、数据丢失以及应用程序错误等。保障人民银行信息安全除了须保障物理环境、网络、主机、应用、数据等技术领域的安全之外,还涉及组织与计划、开发与采购、运维与外包以及应用控制等领域的安全控制。

(二)风险评估

风险评估就是对风险的成本、影响及发生的可能性进行评估,有效的风险管理技术一般会量化风险,运用风险评估模型,针对识别出的“风险事件清单”中的每一项风险事件,依次计算固有风险和剩余风险级别,风险的计算采用加权法,各风险级别均划分为1-4级,1级风险最低,4级风险最高。1.固有风险评估<1)风险事件固有风险评估风险事件固有风险评估是量化评估风险的起点和基础,利用德尔菲法,采用风险矩阵,从风险发生可能性和风险影响程度两个维度进行度量,将两者级别分别标注在风险矩阵的相应区域,交汇区域即为该风险事件的风险级别。风险矩阵如图1所示。<2)业务领域固有风险评估根据风险事件对应业务的业务量及工作量大小确定各风险事件权重,根据风险事件权重及风险等级计算业务领域固有风险级别。业务领域固有风险级别二E(该业务领域风险事件权重X该业务领域风险事件风险级别)一E该业务领域风险事件权重。2.内部控制有效性评估根据搜集的资料以及审计经验,从近期各类信J急技术审计、专项检查结果以及信息技术内部控制变化情况等方而,对各业务领域内部控制进行有效性评估。其中,各类审计、检查结果评定指标为检查频率、所发现问题的数量及严重程度;内部控制变化情况评定指标为问题整改情况以及内部控制变化情况。内部控制有效性越高,对应的风险级别越低,反之,风险级别越高。3.乘余风险评估根据内控有效性的风险,通过剩余风险评估模型计算各业务领域的剩余风险级别。剩余风险级别二(艺各类固有风险权重X风险级别十E各项内部控制有效性权重X风险级别)一<E各类固有风险权重十E各项内部控制有效性权重),其中,各项内部控制有效性权重二25%XE该业务领域风险事件固有风险权重。

(三)风险管理效果评估及结果运用

根据各业务领域剩余风险级别计算剩余风险平均值,以此判断被审计单位信息技术风险控制状况,并提供合理的审计建议。同时,可参照剩余风险值,制定审计计划及频率,明确信息技术的审计重点。风险管理效果评估见表1所列。

(四)案例分析—以科技综合管理专项审计为例

在对某地市中支的科技综合管理专项审计中,笔者结合现场审计情况,运用此模型对被审计单位的信息技术风险管理情况进行评估。根据审计内容,将被审计单位科技综合管理划分成七大业务领域共33类风险事件。七大业务领域分别为内部控制、机房管理、网络管理、系统运维管理、管理、设备采购及外包服务管理,以及应急、备份和文档管理。以机房管理领域为例,共有6类风险事件,根据业务的重要程度、发生可能性以及业务量的大小,结合以往审计经验,利用德尔菲法,依次评定了各风险事件的固有风险、权重以及该业务领域的固有风险,其风险事件清单及固有风险评估见表2所列。根据现场审计情况,并调阅近期对被审计单位科技管理的各项审计、检查材料,对各业务领域的控制有效性风险级别进行评定,并计算出各业务领域的剩余风险以及科技综合管理剩余风险级别。剩余风险评估见表3所列。评估结果显示,被审计对象科技综合管理平均剩余风险级别为2.38,属于“0-2.5”层次,对照《风险管理效果评估表》,该单位的科技风险控制情况较好,可将审计频率定为5年一次,并在审计中重点关注管理、网络管理、机房管理以及设备采购和外包服务管理等风险级别较高领域。

四、建立央行信息技术风险导向审计模式

风险导向审计模式并不仅仅是风险评估,其核心在于围绕风险开展审计,下而将探讨如何围绕风险开展信息技术审计项目,将“风险引导审计,审计关注风险”的理念贯穿于信息技术审计项目的全过程。

(一)以风险为导向编制信息技术审计整体规划

这是风险导向内部审计方法在宏观层而的运用,根据风险评估的结果重新审视和规划信息技术审计的业务范围,各审计对象的审计频率以及审计方式、方法等。可通过构建信息技术风险数据库,从组织机构和业务领域两个维度记录信息技术风险评估数据,根据信息技术风险数据库“自上而下”制定信息技术审计整体规划。在构建信息技术风险数据库时,须根据业务关注度、信息资产的重要性、对信息技术的依赖程度、信息技术人员的专业胜任能力等因素对信息技术管理现状进行一次全而评估。

(二)以风险为导向编制信息技术年度审计计划

参照信息技术审计整体规划编制年度审计计划,优先对高风险领域、高风险机构实施审计。同时,应根据本年度工作重点、热点和难点以及管理层关注事项对年度审计计划作出适当调整,选择被审计对象及业务种类,梳理形成本年度信息技术审计项目清单、审计项目日程表以及审计项目所需资源等。在梳理信息技术审计项目清单时,可根据业务复杂度、业务间关联性等选择对某一个业务领域开展审计,或选择将多个业务领域组合起来开展综合性审计。

(三)以风险为导向开展审计项目

信息技术审计程序可以划分为审前准备阶段、现场实施阶段、审计报告与后续跟踪阶段,各阶段均应体现风险导向要求。在审前准备阶段,通过审前调查情况,动态调整权重和风险级别,并提前调取被审计单位内控制度、岗位分工、系统日志以及网络配置等电子版资料,对收集的资料、数据进行非现场分析,列出审计疑点和问题线索,并计算各业务领域剩余风险,根据审计风险评估结果制定实施方案。在现场实施阶段,应紧紧围绕风险实施现场审计,按照审计方案、风险事件清单,选择与风险性质和特点相适应的审计方法,对风险级别高的事件和隐患进行深入分析和排查,充分体现“风险引导审计”原则。在审计报告阶段,内审人员应以有效降低信息技术风险,保障各业务的连续性为目的,报告被审计对象信息技术问题缺陷,围绕风险深入分析问题产生的原因,从防范和化解风险的角度提出切实可行的审计建议。在后续跟踪阶段,对于审计中风险隐患较大、发生频率较高的问题应持续跟踪,并根据后续跟踪及整改情况更新信息技术风险数据库,调整信息技术审计整体规划。

五、行信息技术审计中的全方位推广奠定坚实的基础。

(二)着力培养信息技术审计与风险评估人才

在信息技术审计中运用风险导向审计方法,不仅要求审计人员具备信息技术领域的专业知识,还须具备运用风险评估技术的能力,因此,复合型人才的培养与储备是基于风险导向信息技术审计模式实施必不可少的前提条件。人民银行各级分支机构可以通过向审计部门输送新的信息技术人才、开展后续教育及培训等方式,逐步建立具有信息技术领域专业素养和风险评估技术的复合型内审人才队伍。

(三)循序渐进推行风险导向审计模式

基于风险导向的信息技术审计模式是在传统信息技术审计模式基础上发展起来的,因此,在实施新模式的同时应注重与传统模式的有机结合,注重对传统模式所取经验的吸收与利用,注重新旧审计模式的互为补充,循序渐进地推行新模式,从而更加有效地提升央行信息技术审计的质量与效率。

(四)建立风险导向信息技术审计模式运用机制

不断加大基于风险导向信息技术审计模式试点工作,加大新审计模式在实际审计项目中的运用探索,不断完善其运用流程、方法等,待时机成熟时出台相关规章制度,为新审计模式的运用提供制度保障,从而建立风险导向信息技术审计模式运用长效机制。

六、深入推进央行信息技术风险导向审计的建议

(一)尽快建立央行风险评估信息数据库

建立央行风险评估信息数据库,完整记录央行信J急技术风险评估各期数据,编制风险原因分析字典,这将有利于评估数据的采集、分析以及不同时期、不同对象风险状况之间的比对,为风险导向内部审计模式在央行信息技术审计中的全方位推广奠定坚实的基础。

(二)着力培养信息技术审计与风险评估人才

在信息技术审计中运用风险导向审计方法,不仅要求审计人员具备信息技术领域的专业知识,还须具备运用风险评估技术的能力,因此,复合型人才的培养与储备是基于风险导向信息技术审计模式实施必不可少的前提条件。人民银行各级分支机构可以通过向审计部门输送新的信息技术人才、开展后续教育及培训等方式,逐步建立具有信息技术领域专业素养和风险评估技术的复合型内审人才队伍。

(三)循序渐进推行风险导向审计模式

基于风险导向的信息技术审计模式是在传统信息技术审计模式基础上发展起来的,因此,在实施新模式的同时应注重与传统模式的有机结合,注重对传统模式所取经验的吸收与利用,注重新旧审计模式的互为补充,循序渐进地推行新模式,从而更加有效地提升央行信息技术审计的质量与效率。

(四)建立风险导向信息技术审计模式运用机制

审计风险评估的目的范文第10篇

关键词:审计风险准则 风险导向 重大错报风险 风险评估 审计证据

一、前言

2006年财政部颁布了《中国注册会计师执业准则》,标志着我国在建立适应社会主义市场经济发展要求,顺应国际趋同新形势的道路上迈进了一大步。为了更好地指导注册会计师有效地识别、评估和应对审计风险,准则框架体系全面渗透着风险导向审计的理念,要求注册会计师将风险导向审计的观念贯穿于审计全过程。传统审计方法的主要缺陷在于注册会计师重视被审计单位的内部环境,但忽视其所处的外部环境;重视审计单位的控制风险但忽视其固有风险。事实上我国注册会计师面临的情形是被审计单位及其所处环境的日趋复杂。行业状况、法律环境与监管环境以及其他外部因素,都会对注册会计师审计质量产生重大影响。在复杂环境下或被审计单位内部控制不健全时,如果继续采用传统审计模式,局限于控制测试和实质性测试,把审计的主要资源集中在具体交易事项和余额细节测试上。极易引发审计风险。因此,新执业准则要求注册会计师了解被审计单位及其内外部环境,同时注重检查风险和固有风险(即重大错报风险),重点关注存在重大错报风险的领域,达到避免触发审计风险的目的。新执业准则体系的核心内容为以下准则,简称审计风险准则,分别为:《中国注册会计师执业准则第1101号――财务报表审计的目标和一般原则》(以下简称第1101号准则,下同)、《中国注册会计师执业准则第1211号――了解被审计单位及其环境并评估重大错报风险》、《中国注册会计师执业准则第1231号――针对评估的重大错报风险实施的程序》、《中国注册会计师执业准则第1301号――审计证据》。

二、审计风险准则修订的主要内容

(一)第1101号准则 第1101号准则是在借鉴国际审计与鉴证准则第200号的基础上,对原《独立审计准则第1号――会计报表审计》进行修订而形成的。其主要内容有:会计责任和审计责任、审计的目标、审计范围、职业怀疑态度、审计风险及模型。(1)明确区分注册会计师的责任,公司管理层和治理层的责任。新准则规定,对财务报表发表审计意见是注册会计师的责任;在被审计单位治理层的监督下,按照适用的会计准则和相关会计制度的规定编制财务报表是被审计单位管理层的责任。此外,准则条款还特别强调了财务报表审计不能减轻被审计单位管理层和治理层的责任。(2)明确财务报表审计目标。新准则规定,财务报表审计的目标是注册会计师通过执行审计工作,对财务报表的下列方面发表审计意见:财务报表是否按照适用的会计准则和相关会计制度的规定编制;财务报表是否在所有重大方面公允反映被审计单位的财务状况、经营成果和现金流量。这个规定与原有的规定没有太大区别,但是新准则中明确提出,财务报表审计属于鉴证业务,注册会计师的审计意见旨在提高财务报表的可信赖程度。(3)修订审计范围的定义。新准则指出,财务报表的审计范围是指注册会计师为实现财务报表审计目标,根据审计准则和职业判断实施的恰当的审计程序的总和。在确定拟实施的审计程序时,注册会计师应当遵守与财务报表审计相关的各项审计准则。恰当的审计程序是指审计程序的性质、时间和范围是恰当的。一是审计程序的性质指审计程序的目的和类型。目的包括:通过了解被审计单位及其环境,识别、评估重大错报风险;通过实施控制测试,明确内部控制运行的有效性;通过实施实质性程序,发现认定层次的重大错报。类型则包括检查、观察、询问、函证、重新计算、重新执行和分析程序。二是审计程序的时间是指注册会计师何时实施审计程序,或指审计证据适用的期间或时点。三是审计程序的范围是指实施审计程序的数量,包括抽取的样本量,对某项控制活动的观察次数等。审计范围受到限制是指由于客观原因或者被审计单位施加的限制,注册会计师未能实施根据审计准则和职业判断应当实施的审计程序,从而未能获取充分、适当的审计证据。(4)要求注册会计师在审计过程中始终保持职业怀疑态度,并明确在财务报表审计中注册会计师只能提供合理保证。新准则要求,在计划和实施审计工作时,注册会计师应当保持职业怀疑态度,充分考虑可能存在导致财务报表发生重大错报的情形。新准则指出,注册会计师按照审计准则的规定执行审计工作,能够对财务报表整体不存在重大错报获取合理保证。由于审计中存在的固有限制影响注册会计师发现重大错报的能力,注册会计师不能对财务报表整体不存在重大错报获取绝对保证,即只能提供合理保证。(5)引进新的审计模型。新准则对审计风险模型作了重大改变,将原审计风险模型修正为:审计风险:重大错报风险x检查风险,审计风险取决于重大错报风险和检查风险,是两者的综合风险。重大错报风险要求注册会计师站在风险的高度上把握审计过程,以风险为导向进行审计,强化了风险意识,注册会计师对于重大错报风险的评估贯穿于审计的整个过程。改变后的审计风险模型使得注册会计师从更高的层次上把握重大错报风险,要求注册会计师必须了解被审计单位及其环境(包括内部控制),以充分识别和评估财务报表重大错报风险,并针对评估的重大错报风险设计和实施进一步审计程序(包括控制测试和实质性测试),以降低注册会计师的审计风险。在目前经济不确定性增大的环境下,显然新的审计风险模型更能满足风险控制的要求,并且可操作性较强。

(二)第1211号准则 第1211号准则是在借鉴国际审计与鉴证准则第315号基础上出台的新准则,将取代我国原有的《独立审计准则第21号――了解被审计单位情况》、《独立审计准则第9号――内部控制与审计风险》和《独立审计准则第20号――计算机信息系统环境下的审计》,以克服旧准则相互分离、缺乏有机融合的缺陷。根据《中国注册会计师审计准则第1101号――财务报表审计的目标和一般原则》要求,注册会计师在审计过程中应当贯彻风险导向审计的理念,围绕重大错报风险的识别、评估和应对,计划和实施审计工作。其中如何识别和评估重大错报风险,构成了注册会计师应对重大错报风险的前提。注册会计师如何了解被审计单位及其环境,了解哪些具体的内容,了解后如何对重大错报风险进行评估,如何将了解和评估的过程、结果与管理层和治理层进行沟通,在审计工作底稿中应当对哪些内容进行记录,本准则对这些问题做了明确规范,其修订的主要内容有:(1)注册会计师审计的总体要求:了解被审计单位及其环境是必要程序;了解的目的是识别和评估财务报表重大错报风险,设计和实施进一步审计程序;了解的程度应当足够实现了解的目的。与独立审计准则中的规定不同,了解被审计单位及其内外部环境是注册会计师审计过程中必须实施的程序,

也是风险导向审计的核心。(2)风险评估程序的概念及项目组内部讨论的要求。风险评估程序是指为了解被审计单位及其环境而实施的程序。风险评估程序包括:询问被审计单位管理层和内部其他相关人员;分析程序;观察和检查。注册会计师在了解被审计单位及其环境的整个过程中,结合了解的内容和被审计单位业务的特点运用相应的风险评估程序,并利用风险评估程序所获取的信息评估重大错报风险,并可能随着不断获取审计证据而作出相应的变化。如果通过实施进一步审计程序获取的审计证据与初始评估获取的审计证据相矛盾,注册会计师应当修正风险评估结果,并相应修改原计划实施的进一步审计程序,实施风险评估程序之后项目组内部必须进行讨论。注册会计师通过风险评估程序了解被审计单位及其环境后,需要对财务报表重大错报风险进行评估,评估重大错报风险需要运用专业判断,必须由项目组内部讨论来完成,项目组内部讨论可以有效降低审计风险。在原准则中,评估固有风险、控制风险也需要专业判断,但并没有需要项目组共同讨论的规定。一是讨论的目标。项目组通过讨论可以使成员更好地了解在各自分工负责的领域中,由于舞弊或错误导致财务报表重大错报地可能性,并了解各自实施审计程序的结果如何影响审计的其他方面,包括对确定进一步审计程序的性质、时间和范围的影响。二是讨论的内容。项目组应当讨论被审计单位面临的经营风险、财务报表容易发生错报的领域以及发生错报的方式,特别是由于舞弊导致重大错报的可能性。三是参与讨论的人员。注册会计师应当运用职业判断确定项目组内部参与讨论的成员。项目组的关键成员应当参与讨论,如果项目组需要拥有信息技术或其他特殊技能的专家,这些专家也应当参与讨论。项目组的讨论不要求所有成员每次都参与讨论,参与讨论人员的范围受项目组成员的职责、经验和信息需求的影响。四是讨论的时间和方式。项目组应当根据审计的具体情况,在整个审计过程中,持续交换有关财务报表发生重大错报可能性的信息。项目组在讨论时应当强调在整个过程中保持职业怀疑态度,警惕表明舞弊或错误导致的重大错报可能已经发生的信息或其他迹象,并对这些迹象进行追踪。通过讨论,项目组成员可以交流和分享在整个审计过程中获得的信息,包括可能对重大错报风险评估产生影响的信息或有关针对风险实施的审计程序的信息。(3)注册会计师应尽到的相关职责。对注册会计师应当从哪些方面了解被审计单位及其环境作了详细的定义:行业状况、法律环境与监管环境以及其他外部因素;被审计单位的性质;被审计单位对会计政策的选择和运用;被审计单位的目标、战略以及相关经营风险;被审计单位财务业绩的衡量和评价;被审计单位的内部控制。这些内容是新准则的重要内容,值得注意的是对被审计单位的了解不仅局限于被审计单位的内部控制。对以上新准则中有相应的章节进行具体的阐述,使得注册会计师思考的是究竟哪些方面去了解被审计单位,而不像原有准则中是比较模糊的概念,这样做可以有效防止了解的不彻底影响审计工作,低估重大错报风险。(4)明确了注册会计师了解内部控制的定位。注册会计师需要了解和评价的内部控制只是与财务报表审计相关的内部控制,并非被审计单位所有的内部控制。因为注册会计师审计的目标是对财务报表是否不存在重大错报发表审计意见,注册会计师考虑与财务报表编制相关的内部控制,但目的并非对被审计单位内部控制的有效性发表意见。(5)明确了注册会计师评估两个层次的重大错报风险。在对重大错报风险进行识别和评估后,注册会计师应当确定识别的重大错报风险是与特定的各类交易、账户余额、列报的认定相关,还是与财务报表整体广泛相关,进而影响多项认定。某些重大错报风险可能与特定的各类交易、账户余额、列报的认定相关。如被审计单位存在复杂的联营或合资,这一事项表明长期股权投资账户的认定可能存在重大错报风险。又如被审计单位存在重大的关联方交易,该事项表明关联方及关联方交易的披露认定可能存在重大错报风险。某些重大错报风险可能与财务报表整体广泛相关,进而影响多项认定。如在经济不稳定的国家和地区开展业务、资产的流动性出现问题、重要客户流失、融资能力受到限制等,可能导致注册会计师对被审计单位的持续经营能力产生重大疑虑。又如管理层缺乏诚信或承受异常的压力可能引发舞弊风险,这些风险与财务报表整体相关。(6)提出了特别风险的概念,需要特别考虑的重大错报风险即为特别风险,并根据风险的性质、潜在错报的重要程度和发生的可能性判断风险是否属于特别风险。如风险是否属于舞弊风险;交易的复杂程度;风险是否涉及重大的关联方交易等。(7)提出了对仅通过实质性程序无法应对的重大错报风险的处理方法。仅通过实质性程序获取的审计证据无法将认定层次的重大错报风险降至可接受的低水平,注册会计师应当评价被审计单位针对这些风险设计的控制,并确定其执行情况。在被审计单位对日常交易采用高度自动化处理的情况下,审计证据可能仅以电子形式存在,其充分性和适当性通常取决于自动化信息系统相关控制的有效性,注册会计师应当考虑仅通过实施实质性程序不能获取充分、适当审计证据的可能性。如果认为仅通过实施实质性程序不能获取充分、适当的审计证据,注册会计师应当考虑依赖的相关控制的有效性,并对其进行了解、评估和测试。(8)将了解被审计单位及其环境过程中获得的信息记录与工作底稿中。此类信息包括项目组对由于舞弊或错误导致财务报表发生重大错报的可能性进行的讨论,以便得出的重要结论;对被审计单位及其环境各个方面的了解要点、信息来源以及实施的风险评估程序;在财务报表层次和认定层次识别、评估出的重大错报风险;识别出的特别风险和仅通过实质性程序无法应对的重大错报风险,以及对相关控制的评估。

(三)第1231号准则 第1231号准则是在借鉴国际审计与鉴证准则第330号的基础上出台的一个全新的准则,将取代原有的《第21号――了解被审计单位情况》、《第9号――内部控制与审计风险》和《第20号――计算机信息系统环境下的审计》。根据《中国注册会计师审计准则第1101号――财务报表审计的目标和一般原则》的要求,注册会计师在审计过程中应当贯彻风险导向审计的理念,围绕重大错报风险的识别、评估和应对,计划和实施审计工作。其中《第1211号――了解被审计单位及其环境并评估重大错报风险》规范了注册会计师通过实施风险评估程序,识别和评估财务报表层次以及各类交易、账户余额、列报认定层次的重大错报风险,注册会计师针对已评估的财务报表层次的重大错报风险如何确定总体应对措施,针对已评估的认定层次的重大错报风险如何设计和实施进一步审计程序,进一步审计程序的性质、时间、范围如何确定和实施,如何评价实施审计程序收集的审计证据的充分性和适当性,在审计工作底稿中将对哪些审计工作进行记录等,对这些问题的明确规范是第1231号准则的核心内容。其修订的主要内容有:总体要求、针对重大错报风险的总体反应、审计程序的不可预见性、总体方案和进一步审计程序、控制测试的相关要求、实质性程序及相关要求、审计的相关要求、审计工作记录。(1)明确提出了对注册会计师审计的两个总体要求:审计程序的总体要求,注册会计师应

当对评估的财务报表层次重大错报风险确定总体应对措施,并针对评估的认定层次重大错报风险设计和实施进一步审计程序;职业判断的总体要求,注册会计师在确定总体应对措施以及设计和实施进一步审计程序的性质、时间和范围时应当运用职业判断。(2)首次提出了注册会计师应当针对评估的财务报表层次重大错报风险确定下列总体应对措施:向项目组强调在收集和评价审计证据过程中保持职业怀疑态度的必要性;分派更有经验或具有特殊技能的审计人员,或利用专家的工作;提供更多的督导;在选择进一步审计程序时,应当注意使某些程序不被管理层预见或事先了解;对拟实施审计程序的性质、时间和范围作出总体修改。(3)强调审计程序的不可预见性要求。注册会计师针对评估的财务报表层次重大错报风险确定的总体应对措施中强调增强审计程序的不可预见性,因此,注册会计师在设计拟实施审计程序的性质、时间和范围时,为了避免既定思维对审计方案的限制,避免对审计效果的人为干涉,从而使得针对重大错报风险的进一步审计程序更加有效,注册会计师要考虑使某些程序不被审计单位管理层预见或事先了解。(4)首次提出了两种总体方案和进一步审计程序的概念。两种总体方案分别为实质性方案和综合性方案,实质性方案是指注册会计师实施的进一步审计程序以实质性程序为主;综合性方案是指注册会计师在实施进一步审计程序时,将控制测试与实质性程序结合使用。而所谓的进一步审计程序是相对风险评估程序而言的,是注册会计师针对评估的各类交易、账户余额、列报认定层次重大错报风险实施的审计程序,包括控制测试和实质性程序。(5)重新界定了注册会计师实施控制测试的两种情形,当存在下列情形之一时,注册会计师应当实施控制测试:在评估认定层次重大错报风险时,预期控制的运行时有效的;仅实施实质性程序不足以提供认定层次充分、适当的审计证据。(6)强调了实施控制测试获取审计证据的重要性。即认为仅实施实质性程序获取的审计证据无法将认定层次重大错报风险降至可接受水平,注册会计师应当实施相关的控制测试,以获取控制运行有效性的审计证据。(7)增加了“重新执行”的控制测试取证方法。根据第1301号审计证据准则,注册会计师获取审计证据的具体程序中将六种具体的取证方法修改为八种,即检查记录或文件;检查有形资产;观察;询问;函证;重新计算;重新执行;分析程序。其中增加了“重新执行”控制测试的取证方法。(8)严格限制了注册会计师无限期或过长时间内不实施测试的做法。如果拟信赖的控制自上次测试后未发生变化,且不属于旨在减轻特别风险的控制,注册会计师应当运用职业判断确定是否在本期审计中测试其运行有效性,以及本次测试与上次测试的时间间隔,但两次测试的时间间隔不得超过两年。(9)首次明确区分“控制运行的有效性”与“控制是否得到执行”。注册会计师在了解被审计单位及其环境时需要实施风险评估程序。注册会计师在确定控制是否得到执行而实施的某些风险评估程序可能提供有关控制运行有效性的审计证据。注册会计师可以考虑在评价控制设计和获取其得到执行的审计证据的同时测试控制运行有效性,以提高审计效率。两者的区别如(表1)所示。(10)首次明确期中进行控制测试的考虑。如果注册会计师在期中实施控制测试程序,即使注册会计师已获取有关控制在期中运行有效性的审计证据,仍然需要考虑如何能够将控制在期中运行有效性的审计证据合理延伸至期末,以确保针对期中至期末这段剩余期间获取充分、适当的审计证据。如果已获取有关控制在期中运行有效性的审计证据,并拟利用该证据,注册会计师应当实施下列审计程序:首先,获取这些控制在剩余期间变化情况的审计证据。针对期中已获取过审计证据的情况,如果这些控制在剩余期间没有发生变化,注册会计师可能决定信赖期中获取的审计证据;如果这些控制在剩余期间发生了变化,注册会计师需要了解并测试控制的变化对期中审计证据的影响。其次,确定针对剩余期间还需获取的补充审计证据。针对期中已获取过审计证据的情况,如果这些控制在剩余期间发生了变化,注册会计师应当考虑下列因素:评估的认定层次重大错报风险的重大程度。评估的重大错报风险对财务报表的影响越大,注册会计师需要获取的剩余期间的补充证据越多;在期中测试的特定控制。如对自动化运行的控制,注册会计师更可能测试信息系统一般控制的运行有效性,以获取控制在剩余期间运行有效姓的审计证据;在期中对有关控制运行有效性获取的审计证据的程度。如果注册会计师在期中对有关控制运行有效性获取的审计证据比较充分,可以考虑适当减少需要获取的剩余期间的补充证据;剩余期间的长度。剩余期间越长,注册会计师需要获取的剩余期间的补充证据越多;在信赖控制的基础上拟减少进一步实质性程序的范围。注册会计师对相关控制的信赖程度越高,通常在信赖控制的基础上拟减少进一步实质性程序的范围就越大。在这种情况下,注册会计师需要获取的剩余期间的补充证据越多;控制环境。在注册会计师总体上拟信赖控制的前提下,控制环境越薄弱(或把握程度越低),注册会计师需要获取的剩余期间的补充证据越多。(11)明确了实质性程序概念和内容。实质性程序是指注册会计师针对评估的重大错报风险实施的直接用以发现认定层次重大错报的审计程序。包括对各类交易、账户余额、列报的细节测试以及实质性分析程序。(12)明确了对于特别风险的专门应对程序。如果认为评估的认定层次重大错报风险是特别风险,注册会计师应当专门针对该风险实施实质性程序;如果针对特别风险仅实施实质性程序,注册会计师应当使用细节测试,或将细节测试和实质性分析程序结合使用,以获取充分、适当的审计证据。(13)首次提出了是否在期中实施实质性程序。注册会计师如果在期中实施了实质性程序,仍然需要消耗进一步的审计资源使期中审计证据能够合理延伸至期末,注册会计师应当考虑是否在期中实施实质性程序。(14)指明了财务报表审计是一个累计和不断修正的过程。随着计划的审计程序的实施,如果获取的信息与风险评估时依据的信息有重大差异,注册会计师应当考虑修正风险评估结果,并据以修改原计划的其他审计程序的性质、时间和范围。(15)明确了注册会计师应当针对评估的风险设计细节测试。如在针对存在或发生认定设计细节测试时,注册会计师应当选择包含在财务报表金额中的项目,并获取相关审计证据;针对完整性认定设计细节测试时,注册会计师应当选择有证据表明应包含在财务报表金额中的项目,并调查这些项目是否确实包括在内。(16)明确了审计工作记录要求。注册会计师应当针对评估的重大错报风险实施的程序进行充分的审计工作记录。包括记录:对评估的财务报表层次重大错报风险采取的总体应对措施;实施进一步审计程序的性质、时间和范围;实施进一步审计程序与评估的认定层次重大错报风险的联系;实施进一步审计程序的结果。

(四)第1301号准则 第1301号准则是在借鉴国际审计与鉴证准则第500号的基础上,对我国原有的《独立审计准则第5号――审计证据》进行修订而形成的。此次重大修订的内容有:(1)拓展了审计证据的内涵。原审计证据准则将审计证据定义为“注册会计师在执行审计业务过程中,为形成审计意见所获取的证据”。原审计证据准则对审计证据的内涵界定比较窄,注册会计师收集

的审计证据更多体现的是与财务报表会计记录相关的信息。修订后审计证据准则将审计证据定义为“注册会计师为了得到审计结论、形成审计意见而使用的所有信息”。新审计证据准则对审计证据的内涵要宽泛得多,不仅包括与财务报表会计记录相关的信息,还包括其他信息。如(图1)所示。

其中,第一类审计证据是“财务报表依据的会计记录中含有的信息”。会计记录中含有的信息是最基本信息。构成了财务报表最主要的内容,一般包括对初始分列的记录和支持性记录,如支票、电子资金转账记录、发票、合同、总账、明细账、记账凭证和未在记账凭证中反映的对财务报表的其他调整,以及支持成本分配、计算、调节和披露的手工计算表和电子数据表。第二类审计证据是“其他信息”。其他信息是用来印证会计记录中含有的信息是否真实、完整,指导注册会计师如何识别、评估财务报表重大错报风险,一般包括:注册会计师从被审计单位内部或外部获取的会计记录以外的信息,如被审计单位会议记录、内部控制手册、函证函的回函、分析师的报告、与竞争者的比较数据等;通过询问、观察和检查等审计程序获取的信息,如通过检查存货获取存货存在性的证据等;自身编制或获取的可以通过合理推断得出结论的信息,如注册会计师编制的各种计算表、分析表等。(2)引进了“认定”的概念。原审计证据准则未将“认定”写进准则,整个审计准则体系对“认定”概念重视不够,新审计证据准则引入“认定”概念,并要求注册会计师详细运用认定指导具体审计目标,根据具体审计目标来设计和确定进一步审计程序。(3)将获取审计证据的程序区分为总体程序和具体程序。原审计证据准则只列了六种具体的取证方法。修订后的审计证据准则将注册会计师获取审计证据的程序区分为总体程序和具体程序,总体程序增加了风险评估程序,即包括风险评估程序、控制测试和实质性程序;具体程序中将六种具体的取证方法修改为八种,具体包括的内容前文已述及。其中,将“监盘”程序进行细分,因为“监盘”是“检查记录或文件”、“检查有形资产”、“观察”等具体审计程序的复合程序;增加“重新执行”具体程序;将原来的“计算”和“分析性复核”分别修改为“重新计算”和“分析程序”。(4)新增风险评估程序。根据风险导向审计准则体系的要求,注册会计师应当通过了解被审计单位及其环境识别重大错报风险,并针对评估的重大错报风险设计和实施进一步的审计程序,因此,在修订后的审计证据准则中增加“风险评估程序”,以此为手段通过了解情况作为评估财务报表层次和认定层次重大错报风险的基础。但风险评估程序并不能识别出所有的重大错报风险,虽然它可作为评估财务报表层次和认定层次重大错报风险的基础,但并不能为发表审计意见提供充分、适当的审计证据。为了获取充分、适当的审计证据,注册会计师还需要实施进一步程序,包括实施控制测试(必要时或决定测试时)和实质性程序。(5)新增“重新执行”的具体审计程序。重新执行是指注册会计师以人工方式或使用计算机辅助审计技术,重新独立执行作为被审计单位内部控制组成部分的程序或控制。如注册会计师利用被审计单位的银行存款日记账和银行对账单,重新编制银行存款余额调节表,并与被审计单位编制的银行存款余额调节表进行比较。

三、审计风险准则对注册会计师的影响

(一)对注册会计师审计理念的影响注册会计师审计的主线始终是对重大错报风险的识别、评估与应对。注册会计师为了实现审计目标。在计划和实施审计工作时,应当保持职业怀疑态度,充分考虑可能导致会计报表发生重大错报的情形。在审计和实施进一步审计程序时,注册会计师应当将审计程序的性质、时间及范围与识别和评估的风险相联系,以防止机械利用程序表从形式上迎合独立审计准则对审计程序的要求。注册会计师必须针对重大的各类交易、账户余额、列报和披露实施实质性测试。注册会计师对重大错报风险评估是一种判断,并且内部控制存在固有限制,无论评估的重大错报风险结果如何,注册会计师必须针对重大的各类交易、账户余额、列报和披露实施实质性程序,不得将实质性测试只集中在例外事项上。

审计风险评估的目的范文第11篇

随着金融体制改革的日益深化,建立科学的公司治理结构和风险管理体制成为摆在每个商业银行面前的重要课题,而内部审计作为一项独立、客观、公正的约束与评价机制,在现代企业风险管理中正发挥着越来越重要的作用,履行和发挥内部审计在风险管理中的职责与作用是现代商业银行转化经营机制、建立现代企业制度的客观需要,也是内部审计充分发挥和提升审计价值实现增值服务的重要途径。本文就内部审计与企业风险管理的关系及内部审计如何参与企业风险管理进行了思考,并提出一些建议。

一、内部审计与企业风险管理的关系

风险是指发生对目标的实现可能产生影响的事件的不确定性。风险的衡量标准是后果与可能性。风险管理是指对影响组织目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的过程。风险管理主要包括风险识别、风险评估、风险应对三个阶段。可见,风险管理是现代企业管理的一项主要内容,为了实现企业的工作目标,企业管理层应当确保企业中存在良好的风险管理过程并使其发挥作用。

中国内审协会对内部审计的定义是:“内部审计是指组织内部的一种独立客观的监督和评价活动,它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现”,而“风险管理是组织内部控制的基本组成部分,内部审计人员对风险管理的审查和评价是内部控制审计的基本内容之一”,也就是说风险管理是内部审计的重要内容。

国际注册内审师协会对内部审计的描述是:“内部审计是一种独立、客观的保证工作与咨询活动,它的目的是为机构增加价值并提高机构的运作效率。它采取系统化、规范化的方法来对风险管理、控制及治理程序进行评价,提高它们的效率,从而帮助实现机构目标。”并且指出“内部审计应该就管理层的风险管理过程的充分性和有效性进行检查、评估、报告,并提出改进意见”。可见,国际先进内审理念已明确将风险管理作为内部审计的重要内容,现代内部审计的范围已从传统的财务审计扩大到风险管理和公司治理层次上,有效的风险管理机制和健全的公司治理结构已成为现代内部审计关注的重点。

在现代内部审计工作中,内部审计与风险管理有了明确的结合点——风险管理审计。风险管理审计是在帐项基础审计和制度基础审计基础上发展起来的一种审计模式,是指审计人员在对被审单位的内部控制充分了解和评价的基础上,运用一定的审计手段,分析、判断被审单位的风险所在及其风险程度,针对不同风险因素状况、程度采取相应的审计策略,加强对高风险点的实质性测试,将内部审计的剩余风险降低到可接受水平。2005年5月1日中国内审协会颁布了“内部审计具体准则第16号——风险管理审计”,风险管理审计作为先进的审计理念和审计内容正式步入我国内审领域。

因此,作为现代企业管理的重要内容,内部审计与风险管理的联系日趋紧密。内部审计本身就是企业管理的一种手段和方式,是内部管理的延伸;风险管理是企业管理的重要内容,同时也是现代内部审计的重要内容之一,内部审计负有识别和评估风险的责任。风险管理作为管理层一项关键责任,企业管理层对其负有不可推卸的责任;内部审计师则有职责定期评价并协助其他部门进行风险管理,在改善管理层的风险管理流程效果和效率方面进行检查、评价、报告和提出审计建议,帮助识别、评价和实施风险管理方法和控制。内部审计和风险管理在企业中的目标是一致的,都是为了实现企业的组织目标。

二、内部审计在现代企业风险管理中的作用

在风险管理审计中,风险管理成为组织中的关键流程,分析、确认、揭示关键性的风险,成为内部审计的主要职责。

(一)内部审计将风险管理纳入审计范畴,有助于实现企业全面工作和总体目标的实现。

现代企业面临的经营环境日趋复杂,风险日益增大,减少面临的风险是企业实现价值最大化目标的关键。内部审计采取系统化、规范化的方法促进建立风险管理过程,通过内控制度的评价,对公司经营活动进行风险识别和评价,改进风险管理与控制体系,提请管理层关注风险,从而完善企业管理,转化负面风险,提升企业竞争能力和应变能力,最终实现企业目标。

对企业而言,对风险识别、防范和控制需要从全局考虑,而企业本身是多个部门的集合,各业务部门很难做到这一点。内部审计在企业中具有相对独立的地位,决定其能站在全局的高度相对超脱地获得企业内部控制、经营管理活动及风险管理等方面的信息,向管理层提供创造性思维,提出科学合理的建议,避免风险带来的损失。

所以无论是从全局工作还是实现总体目标的角度来看,内部审计都有职责融入风险管理。内部审计将风险管理纳入审计范畴,对实现企业全面工作和总体目标将发挥及大的作用。

(二)内部审计的相对独立和与企业一体性的独特地位,决定了其对企业风险的揭示更准确更有效。

从企业内部看,现代企业建立了各级风险管理组织层次,包括风险控制委员会、内部审计部门、专职风险监管部门。但风险监管部门往往做为一个职能部门隶属于各级管理层,不具有独立性,其意见有时会屈服于管理当局的压力,这使得风险管理部门的作用受到限制。在现代企业中,内部审计部门独立于管理部门,在现代企业公司治理构架中,内部审计往往隶属于董事会或审计委员会,直接向董事会负责,其风险评估的意见可以直接报送给董事会,提出的意见与建议更具权威性。

从企业外部看,外部审计从独立、客观的角度对企业的财务报表进行审计和对企业的内部控制进行复核,经常能提供一些有用的信息影响到企业风险管理。但他们更多地围绕企业会计报表的合法、公允、一贯性开展工作,对企业管理环境和运作过程不十分熟悉,决定其提供的风险管理服务不能做到贴近内部管理,不能对企业风险管理的有效性负责。而内部审计部门对企业面临的风险更了解,在风险管理方面拥有外部审计师无可比拟的优势。他们以风险发生可能性大小为依据,深入经营管理过程和行为,在业务经营、财务管理、费用控制等各方面查找并防范风险,通过内部视角,敏锐观察经营过程中不断变化的风险因素,快速传递管理中存在的缺陷或失败,促使董事会和高级管理层做出快速反应,及时采取措施,防范和纠正不当行为。

(三)风险因素始终贯穿于内部审计的整个审计程序,使内部审计成为风险控制程序的重要补充。

内部审计人员应用现代风险导向审计模式,从整体上把握审计风险因素,合理整合审计资源,警惕可能影响目标、运营和资源的重大风险,最大限度地减少审计风险。在审计计划、审计实施、审计报告阶段,将风险作为重要考虑因素,在整个审计过程贯穿对风险的关注,充分考虑风险管理的充分性和有效性。具体讲,在审计计划阶段,内部审计应该考虑企业活动存在的风险,在评估风险优先次序的基础上安排审计工作,按照风险大小分配审计资源;在审计实施阶段中,审计通过检查、评价风险管理过程的充分性和有效性,发现风险控制的漏洞和薄弱环节;在审计报告阶段,对风险管理状况进行评价,对风险管理中存在的漏洞和不足提出改进建议,协助确定、评价并实施针对风险管理的方法和控制措施。

三、内部审计如何参与现代企业风险管理

内部审计可以从风险识别、风险评估、风险应对三个阶段参与企业风险管理,通过审查和评价企业风险识别、风险评估、风险应对的充分性、适当性、有效性,来识别、报告潜在重大风险,提出应对措施,同时通过落实审计建议督促企业采取有效的风险控制措施。

(一)审查和评价企业风险识别的充分性和适当性。

风险识别是管理层的职责,主要是根据企业的组织目标、战略规划等识别企业所面临的各类内、外部风险。是对企业所面临的、以及潜在的各类内、外部风险加以判断、归类和鉴定风险性质的过程,实质上就是对风险进行定性研究。

内部审计人员通过实施必要的审计程序,对企业风险识别过程进行审查与评价,重点关注企业面临的内、外部风险是否已得到充分、适当的确认。外部风险是指外部环境中对组织目标的实现产生影响的不确定性,其主要来源于国家法律法规及政策的变化、经济环境的变化、科技的快速发展、行业竞争、资源及市场变化、自然灾害及意外损失等。内部风险是指内部环境中对组织目标的实现产生影响的不确定性,其主要来源于组织治理结构的缺陷、组织经营活动的特点、组织资产的性质以及资产管理的局限性、组织信息系统的故障或中断、组织人员的道德品质、业务素质未达到要求等。内部审计部门要关注企业已识别风险的完整性,即企业所面临的主要风险是否均已被识别出来,并找出未被识别的主要风险。这就需要内部审计人员也要对企业的风险进行有效识别,从而审查和评价企业对风险识别的充分性和适当性。内部审计熟悉公司的经营管理过程,以风险敏感性分析为起点开展工作,有效识别风险,从潜在的事件及其产生的原因和后果来检查风险,收集、整理可能的风险,并充分征求各方意见以形成风险列表。内部审计通常要关注的主要风险有:财务和经营信息不足而导致决策错误;资产流失,资源浪费和无效使用;顾客不满意,企业信誉受损等。

(二)审查和评价企业风险评估的适当性和有效性。

风险评估是对已识别的风险,评估其发生的可能性及影响程度。风险评估主要应用各种管理科学技术,采用定性与定量相结合的方式,找出主要的风险源,并评价风险的可能影响,最终定量估计风险大小。风险评估的目的是确定每个风险要素的影响大小,一般是对已经识别出来的风险进行量化估计,从风险发生的可能性和影响两方面对风险进行评估,通过公式:风险值=风险概率×风险影响,计算出风险值。

内部审计部门在审查和评价企业风险评估时要重点关注风险发生的可能性及风险对组织目标的实现产生影响的严重程度。为了更好地审查和评估企业的风险评估,内部审计人员应当充分了解和掌握风险评估的方法,风险评估可以采用定性或定量的方法进行:定性方法,是指运用定性术语评估并描述风险发生的可能性及其影响程度;定量方法,是指运用数量方法评估并描述风险发生的可能性及其影响程度。内部审计部门和内部审计师要对已有的风险的评估结果进行再检验,以确定其是否恰当,对不恰当的评估予以更正。风险分析中,审计师不仅要关注风险的数量方面,还要关注风险的属性方面或其承载价值的后果。同时,内部审计人员应当对管理层所采用的风险评估方法进行审查,以评价风险评估方法的适当性和有效性,审查时重点考虑以下因素:已识别的风险的特征、相关历史数据的充分性与可靠性、管理层进行风险评估的技术能力、成本效益的考核与衡量及其他因素。内部审计人员在评价风险评估方法的适当性和有效性时,应当遵循以下原则:定性方法的采用需要充分考虑相关部门或人员的意见,以提高评估结果的客观性;在风险难以量化、定量评价所需数据难以获取时,一般应采用定性方法;定量方法一般情况下会比定性方法提供更为客观的评估结果。

(三)审查和评估风险应对措施的适当性和有效性。

风险应对是采取应对措施,将风险控制在组织可接受的范围内。完成了风险评估后,确定存在的风险以及它们发生的可能性,排列出风险的优先级,就可以根据风险性质和承受能力制定相应的防范措施。根据风险评估结果作出的风险应对措施主要包括以下几个方面:一是回避,是指采取措施避免进行可产生风险的活动;二是接受,是指由于风险已在组织可接受的范围内,因而可以不采取任何措施;三是降低,是指采取适当措施将风险降低到组织可接受的范围内;四是分担,是指采取措施将风险转移给其他组织或保险机构。

内部审计人员在评价风险应对措施的适当性和有效性时,应当考虑以下因素:一是采取风险应对措施之后的剩余风险水平是否在组织可以接受的范围之内;二是采取的风险应对措施是否适合本组织的经营、管理特点;三是成本效益的考核与衡量。内部审计人员对有关部门针对风险所采取的防范措施进行审查,对于风险缺乏充分的控制措施的情况,内部审计部门和内部审计人员应提出改进措施和建议,协助完善风险反应方案,以强化企业的风险防范管理,降低风险损失。

审计风险评估的目的范文第12篇

城市轨道交通事业投资量大,建设运营要求精细。自其诞生之日起,广州地铁便伴随着线路规划、资金使用、建设及运营安全等高风险事项,风险管控自然成为广州地铁赖以生存和发展的基石。作为风险管控体系中的核心,风险导向型审计方式则通过内控评审方式挖掘企业各流程的风险点,并对风险点进行影响程度评价,提出管控意见,使得广州地铁风险管控―二道防线对业务的管控力度得以有的放矢。广州地铁风险导向型审计在企业风险管控上的风向标作用日趋明显,工作经验得到企业高层及同行的高度认可。

打造“三道防线”

广州地铁结合“三重一大”的要求,完善分级决策机制。包括检大事项范围、决策机制和流程,明确责任主体,完善党政联席会、总经理办公会等会议制度,有效地提升了决策效率并对重大决策形成有效的制约机制;通过分级授权和备案制度,明确总公司相关决定权的授权条件、内容,以及相应报告责任;对所属的39个关键业务及管控流程、近百项重大事项,明确了对下属部门及全资子公司的授权权限,并监督运营事业总部等主要业务单位在具体的业务流程中逐步细化授权,落实岗位权限;通过《分级授权管理办法》等文件,规范分级授权制度,定期进行权限调整,以及授权执行情况和业务备案的检查监督,确保所授权力的实施得到监督、检查和纠偏。

改制为集团公司后,公司的风险管理组织将进一步完善:董事会将是公司重大风险最终决策者和监督者,对公司全面风险管理有效性负责。董事会下设审计与风险管理委员会,将由5名董事组成,且主要由外部董事组成,主要负责审计与风险管理职能相关制度、体系的建立及完善,以及全面风险管理及内部审计有关管理文件的审议。

在最高决策机构党政联席会以及审计委员会的指导下,围绕监察审计部风险导向型审计工作,逐步建立起适应广州地铁企业的风险管控三道防线体系。

・第一道防线是各级业务管控部门,按业务划分自成体系,根据企业管理部及监察审计部的指导实施风险的具体防范工作。

・第二道防线是企业管理部风险管理模块,统筹整合企业风险管控工作,确保广州地铁各业务模块的风险管控模式保持一致。

・第三道防线是以监察审计部为主导的监管体系,评价各部门及第二道防线的风险管控工作效果,以普视企业整体的角度对风险管控进行整体监控和评价,确保各级单位的风险管控始终能保持与企业的战略方向一致。

如图1所示,安全监察部根据企业管理部对建设运营安全风险的偏好设计及评价防范标准,针对性地统筹具体实施工作,并将具体任务落实到运营总部的安全技术部及建设事业总部的质量安全部,再由两个部门分别根据具体业务的风险管控任务分配至各一线生产部门,而各一线生产部门则将安全生产及风险管控的责任细化到各分部、室及车站,并设立相关负责人。监察审计部则通过审计项目发挥风险点梳理及预警功能,通过定期的审计项目对各业务部门的业务流程、风险点及控制措施进行梳理和监察,对于经营生产过程中的重大风险实现,则通过专项审计项目加以重点关注。

第一道防线:运用健全完善的专业风险控制手段,防范风险于未然

广州地铁在具有重要风险领域的各业务部门中建立了卓有成效的专业风险管控体系,工程建设风险、运营组织风险、物资采购风险、安全风险等管理和防范等工作走在了国内轨道交通行业的前列。

广州地铁不断规范业务流程,撰写出版了多个专业的操作手册和培训教材,固化了各个岗位上的工作程序及风险防范要点,使新员工能在最短的时间内掌握技术要领及岗位防线防范手段,大大提高员工岗位操作规范性和可靠性。同时,将专业风险管理与实现经营目标相联系,不断持续、系统分析经营活动中的风险,动态制定风险应对策略。

对于重大风险建立三级控制方案,一级为日常制度、流程和专项方案等予以规范和引导;二级实施预警,由部门启动跟踪分析;三级为应急预案。目前已经建立了21个应急预案,可应对特殊气象、消防、大面积停电、恐怖袭击等各个风险。有关预案由归口管理部门定期组织调整和演练。

设立了安全、技术、预算等专业委员会和招标领导小组,分别由分管领导负责。利用会议机制,促进专项风险信息畅顺沟通,在检查工作和部署任务的同时,通报、协调各类风险,将问题解决在萌芽状态;对于有关安全等的危急事件、突发事件,总公司建立了紧急事项管理机制,以最短的时间解决问题。

第二道防线:紧跟企业发展,组织新业务风险评估工作,发挥牵头整合功能

在不断积累总结现有专业风险管理和内控管理的基础上,广州地铁通过全面风险管理试点,逐步提升风险防范工作的系统化和标准化,并且通过长效管理机制持续改进,确保其PDCA管理闭循环的形成。

随着广州地铁的多元化发展,风险管控着眼点也逐步从稳定的传统业务转移到房地产、设计等新业务上。而房地产开发业务是未来发展高作为及高挑战的结合点,2010年,将其作为试点业务开展全面风险管理工作。

在把握行业普遍风险的同时,针对投资机会研究与立项、项目投资决策、土地获取、项目前期策划、项目报批报建管理、项目设计、工程施工及进度管理、安全健康环保管理、采购供应链管理、项目竣工验收、房屋销售管理等房地产开发业务重点环节进行深入的调研分析和研究,深入挖掘重大风险在公司主要表现状况及关键原因,为公司集中精力应对风险提供方向。同时,以房产事业部风险清单为基础,将公司层面的风险分层细分至业务活动层面。针对业务活动层面风险,规范业务流程,制定业务活动层面风险应对措施及管理政策和程序,并确保已确定的控制行为得到恰当的执行。总公司将通过自建和巡检,定期总结分析风险反应方案、控制措施的有效性和合理性,结合实际不断修订和完善。

第三道防线:围绕风险导向开展内审工作,充分发挥线监督评价功能

作为广州地铁全面风险管控的发起者和评价者,风险导向型内审模式体现为“风险评估一审计计划一以风险为导向拟定实施方案一以风险为导向评价审计发现―跟踪审计整改落实一风险再评估”的内部审计闭环系统。

1、风险评估一审计工作风向标。引入“风险导向”理念以来,广州地铁改以企业风险源为风向标的计划编制方式,主要分四步实施:第一步,战略分

析,确定影响战略实业的主要业务方向;第二步,确定风险因素,分析影响业务目标达成的风险因素;第三步,风险评估,即分业务模块制定风险评估标准表将风险量化,对各项业务进行风险评估;第四步,根据风险评估的结果,结合管理需要、可使用审计资源和项目可实施性等几大因素,将评估对象的风险与审计评价管控成本直观地反映到彩虹图中。其中,A区为优先考虑的项目,B区的项目即是公司需要考虑是否要委外实施的项目,C区和D区是不进行审计的,但仍需要采取其他的方式跟踪关注的领域。

2、风险评估标准一审计工作的坐标图。广州地铁对于固有风险和剩余风险的评估主要从以下几个方面考虑:一是选择对某一风险影响大的几个因素;二是对选出的维度按标准进行打分,对于每一个维度确定打分范围;三是采用从高原则得出综合评分;四是固有风险等于综合评分与可能性评分的乘积,剩余风险为第三步的综合评分。对于可能性评估从两个方面考虑:一是区分风险事件是大型灾害类还是日常运营类,并估计风险事件发生的频率;二是根据风险事件的类型和频率,按照风险可能性评估标准确认所处的可能性级别。

3、评估结论一审计重点对标。在明确企业的风险偏好及评估标准之后,审计人员主要通过收集历史信息、访谈、查阅资料等方式掌握被审计项目的信息,再根据审计人员的职业判断,得出审计项目风险评估结论。并将风险评估结果反映到MARCI图上。

例如,在运营票务收入保障审计评估项目中,公司首先根据已建立的风险评估标准对票务流程存在的风险进行评估,获得了风险分布的MARCI图。然后,补充考虑了票务收入的漏管模型,2007年开展的三四号线票务收入保障审计项目等相关的信息,对票务收入风险评估结果进行一定程度的修正,最终确定售票流程、充值流程、扣值流程、退票流程、收入结算流程、清分流程和财务会计入账流程等7个业务子流程为本次审计实施的重点。

4、风险理念一审计项目主线。风险评价及防范是风险导向型审计模式的工作宗旨。在审计项目实施过程中,审计部门通过审前调查,将评价出的关键风险点与被审计者或风险管理人员进一步讨论确认,根据双方的讨论结果确定审计内容的先后顺序及其手段和方法,明确审计力量投入的重点,实现更有效地利用资源,提高了内部审计的有效性。

另一方面,在评价审计发现问题的重要性时,也会运用到风险评估手段。一般情况下,广州地铁会参照前文述及的风险模型和风险评估标准,从定性、定量两个方面来评估审计发现风险高低程度。高风险的领域是审计部门优先督促整改的区域。

5、调整策略一实现风管闭环。根据审计发现对被审项目的审计方式进行风险再评估,调整下年度的审计策略,实现风险管理闭环。审计过程就是风险评估过程,每一次审计的结果都将与被审计单位沟通,督促其根据风险点评估及应对建议付诸管理改进,并被运用在下一年度甚至未来若干年度的审计计划拟定工作中,以指导审计人员确定下次对该风险点的审计时间、重点和工作方式,通过这样的一个风险管理闭环,使得审计工作在一些高风险领域成为一项常态的工作,从事后审计变成了全过程审计,达到了通过审计工作促进风险管理关口前移的效果。

立足现在,放眼未来

经过几年的发展,广州地铁不仅落实了突发事件应对预案等风险事后控制的具体措施,而且更加注重在事前及事中的防范。各项防范和应对措施在2010年亚运会期间发挥了重要作用,有效控制了短期内6线开通、超出最大运力数倍的客流高峰等重大的风险事件。

亚运会前期,广州地铁创纪录地在半年内开通运营6条新线,运营事业总部在开通运营前期实施了线路开通风险评估工作,制定了风险应对措施,保证了各层级人员及时了解运营新线开通情况、风险情况,统一实施有针对性的风险控制措施,确保开通目标顺利实现;另外,在广州地区实施地铁公交免费期间,广州地铁日均近800万人次,远远超出了地铁最高运力,运营总部通过事先进行风险评估设定准确的应对策略,高效应对了超大客流考验。

到目前为止,广州地铁236公里,911.58亿元的投资建设主体工程未出现违法现象;自开通运营以来超过3000天的运营时间内,未出现过一件重大事故,充分体现了广州地铁“全面风险管控”的巨大作用。

未来广州地铁经营管理的手段、经营管理的重点都将与风险评估紧密联系起来。这一新的发展趋势也为以风险导向型审计为核心的全面风险管理体系业务未来的发展提出了新的要求,更为风险管理审计业务提供了新的扩展平台,即进一步发挥审计部门广阔的视野和对企业的深入了解,通过融合风险管理审计及内部控制审计业务,实施对全面风险管理体系的日常监督,并对实施效果进行评价,提出改进建议,反哺于第―二道防线。

具体审计工作开展步骤可依据全面风险管理的核心步骤风险识别、风险评估、风险应对依次展开,而针对内部控制的审计将作为对风险应对审计的一项重要内容。

风险识别。在这个阶段,风险管理审计的工作是对风险识别过程及结果进行审计评价,同时也需要对风险识别结果作出独立判断,并针对诸如“识别程序不恰当”、“重大风险未识别”等发现提出审计意见。目的是保障企业面临的内、外部风险已得到充分、适当的确认。

风险评估。在这个阶段,风险管理审计的工作是对风险管理部门开展的风险评估工作进行监督评价。包括风险评估程序、风险评估标准和风险评估结果。并重点考虑:①已识别的风险的特征;②相关历史数据的充分性与可靠性;③管理层进行风险评估的技术能力;④成本效益的考核与衡量;⑤其他。经过这个阶段后,更新的风险评估结果也将作为审计部门在风险应对阶段开展内部控制审计的基础。

风险应对。在这个阶段,风险管理审计的工作是对风险管理部门开展的风险应对工作进行监督和评价。这包括了对风险应对方案设计的监督评价以及对风险应对方案实施的监督评价。一般根据风险评估结果作出的回避、接受、降低或分担风险应对措施。

广州地铁以风险智能为目标,在对全面风险管理研究评级的基础上,寻找风险管理建设短板,提出有针对性的建设方案,初步确立了“由点到面、循序渐进、逐步深化”的工作思路,拟分四个阶段推进风险管理体系建设。

第一阶段,结合公司改制及国资委要求,开展风险管理组织体系调整,设立董事会领导下的风险管理委员会,将党政联席会“确定风险管理职能部门,明确公司各部门、各相关单位的风险管理职责”等职能调整至董事会,进一步结合架构改革及国资委对上市公司的要求完善三道防线的风管组织体系。并以总公司本部和一个下属业务板块进行试点,形成更加成熟的风险管理推广的模板和样本。

第二阶段,将试点业务的风险评估工作,与公司总部风险评估进行整合。并逐步将风险管理与内部控制进行整合链接,以风险为导向推动内部控制流程的持续改进。

审计风险评估的目的范文第13篇

关键词:新审计风险准则;重大错报风险;风险导向审计

一、新审计风险的准则主要内容

2004年中注协起草了《独立审计具体准则第29号――了解被审计单位及其环境并评估重大错报风险的程序》以及《独立审计具体准则第30号――针对评估的重大错报风险实施的程序》,其目的是合并、分解和删除《独立审计具体准则第9号――内部控制与审计风险》、《独立审计具体准则第20号――计算机信息系统环境下的审计》和《独立审计具体准则第21号――了解被审计单位情况》。中注协起草新准则的基本思路是,通过修订审计风险模型,强调从宏观上了解被审计单位及其环境,包括内部控制,以充分识别和评估会计报表重大错报的风险,针对评估的重大错报风险设计和实施控制风险测试和实质性测试。由此引入了现代风险导向审计模式即,审计风险是由重大错报风险和检查风险组成的,其模型为:审计风险=重大错报风险×检查风险;检查风险=审计风险/重大错报风险。在审计风险一定的情况下,根据重大错报风险的大小,决定检查风险,进而确定具体的审计程序、方法、范围和重点。

目前,新准则已经颁布,并于2007年1月1日实施。新颁布的《了解被审计单位及其环境并评估重大错报风险》具体准则的主要内容包括:明确风险评估程序与信息来源,注册会计师应当在审计过程中组织审计项目组讨论会计报表存在重大错报的可能性;注册会计师应当从行业状况、监管环境、被审计单位性质、目标、战略和经营风险、内部控制等方面了解被审计单位及其环境;注册会计师应当识别和评估会计报表层次以及各类交易、账户余额、列报与披露认定层次的重大错报风险;注册会计师应当将实施识别和评估程序的重要环节形成审计工作记录。新颁布的《针对评估重大错报风险实施的程序》具体准则的主要内容包括:注册会计师应当针对会计报表层次的重大错报风险制定总体应对措施,包括向审计项目组强调在获取审计证据过程中保持职业怀疑态度的必要性、分派更有经验或具有特殊技能的审计人员或利用专家,向审计项目组提供更多督导等;注册会计师应当针对认定层次的重大错报风险设计和实施进一步审计程序,包括控制测试的执行有效性以及实施实质性程序;注册会计师应当评价风险评估的结果是否适当,并确定是否已经获取充分、适当的审计证据;注册会计师应当将实施的关键程序形成审计工作记录。

二、新审计风险准则对我国注册会计师审计理念可能产生的影响

一是注册会计师审计的主线始终是对重大错报风险的识别、评估与应对;二是注册会计师必须对会计报表重大错报风险进行评估,新的审计风险模型要求的审计起点为风险评估程序,其次才是针对重大错报风险实施进一步审计程序(包括控制测试和实质性测试);三是注册会计师实施的审计程序必须做到有的放矢,在设计和实施进一步审计程序(控制测试和实质性测试)时,注册会计师应当将审计程序的性质、时间和范围与识别和评估的风险相联系,以防止机械利用程序表从形式上迎合独立审计准则的要求;四是注册会计师必须针对重大的各类交易、账户余额、列报与披露实施实质性测试。

三、原审计风险准则的局限性

原审计风险准则采用的审计风险模型为:审计风险=固有风险×控制风险×检查风险,在实际应用过程中,由于固有风险较难测定,因此,在实务中多采用了将固有风险定为最高水平即100%的做法。于是,审计的起点便从了解内部控制制度、评价控制风险开始,审计方法只能停留在制度基础审计层次,而制度基础审计由于存在诸多弊端,如:制度基础审计假定管理层与会计报表无厉害关系,管理层都能提供真实会计报表、都会建立相应的内部控制制度并使之有效运行。如果通过了解和符合性测试认为被审计单位内部控制制度有效,就可以相应降低实质性测试的范围和程序。而实际情况则相反,由于,受到业绩考核、利润预测以及股票期权计划的影响,导致管理层具有较强人为调整会计报表的动机。管理层的舞弊使内部控制制度流于形式,企业的管理人员甚至会设计“合理”的内部控制制度,并使之合理运行。注册会计师对这种内部控制的信任必将缩小实质性测试的范围,并且降低发现重大差错或管理层舞弊的概率,从而使注册会计师出具不恰当审计意见的风险增加。在此背景下,如果仍然照搬建立在制度基础审计模式上的原审计风险准则执行审计业务,其审计风险必然加大。

四、新审计风险准则的重大变化

要求注册会计师加强对被审计单位及其环境的了解。注册会计师应当实施程序,更广泛和更深入地了解被审计单位及其环境的各个方面,包括了解内部控制,为识别报表层次及各类交易、账户余额、列报和披露认定层次重大错报风险提供更好的基础。

要求注册会计师在审计的所有阶段都要实施风险评估程序。要求注册会计师应当将识别的风险与认定层次可能发生错报的领域相联系,实施更为严格的风险评估程序,而不能直接将风险定为高水平。

要求注册会计师将识别和评估的风险与实施的审计程序挂钩。在设计和实施进一步审计程序(控制测试和实质性测试)时,注册会计师应当将审计程序的性质、时间和范围与识别、评估的风险相联系,以防止机械地利用程序表从形式上迎合审计准则对程序的要求。

要求注册会计师针对重大的各类交易、账户余额、列报和披露实施实质性测试。注册会计师对重大错报风险评估是一种判断,被审计单位内部控制存在固有限制,无论评估的重大错报风险结果如何,注册会计师均应当针对重大的各类交易、账户余额、列报和披露实施实质性测试程序,不得将实质性测试仅集中在例外事项上。

要求注册会计师将识别、评估和应对风险的关键程序形成审计工作记录,以保证执业质量,明确执业责任。审计风险准则的出台,有利于降低审计失败发生的概率,增强社会公众对行业的信心;有利于严格审计程序,识别、评估和应对重大错报风险;有利于明确审计责任,实施有效的质量控制;有利于促使注册会计师掌握新知识和新技能,提高整个行业的专业水平。同时,审计风险准则对注册会计师风险评估程序及依据风险评估结果实施进一步审计程序的影响很大,从而影响到审计工作的各个方面。

作者单位:吉林财税高等专科学校

参考文献:

[1](最新48个注册会计师执业准则)注册会计师审计法律与准则 [M]北京:中国法制出版社,2006年版.157-229.

审计风险评估的目的范文第14篇

风险管理是企业内部控制的基本组成部分,是一项重要的管理责任。要实现企业中长期的战略目标,近期的各项指标,管理层应该保证组织拥有健全的风险管理过程,并确保其能发挥作用。董事会和审计委员会应该在确定组织是否建立恰当的风险管理过程,以及这些程序适当有效运作等方面起监督作用。一般情况下,企业风险管理层级关系主要是:由董事会负责战略方向的确定;在高级管理层中分配风险的归属责任;在执行管理层分配剩余风险;在操作层人员分配持续的确认、评价、减缓和监测职责。

二、内部审计在企业风险管理中的作用

内部审计是一种独立、客观的确认和咨询活动,旨在增加价值和改善组织的运营。它通过应用系统的、规范的方法,评价并改善风险管理、控制和治理过程的效果,帮助组织实现其目标。内部审计应该通过检查、评价、报告风险管理过程的适当性和有效性,并提出改进建议来协助管理层和审计委员会的工作。由内部审计部门负责定期评价和确认工作,管理和协调对风险的管理过程。内部审计部门在履行正常职责的过程中确认并评价严重风险;随着时间的推移,内部审计部门在组织风险管理过程中的作用可以发生变化和偏重,并可以有不同的作用。

三、企业内部审计风险评估工作开展情况

目前,大多数企业依照《审计法》和《审计署关于内部审计工作的规定》设立了独立的内部审计机构,配备了审计人员,建立健全了内部审计制度。而且,内部审计也已经开展了不同层次、不同方面的审计工作,但是,现阶段的内部审计工作还主要集中在财务收支、经济责任、内部控制、工程预决算等方面的审计。应该肯定地说,这些年来,内部审计在上述方面的审计工作取得了很大的成就,但是,客观地说,内部审计在企业风险评估方面,特别是比较规范地、系统地对本企业(集团)、本单位开展风险管理审计的很少,这是企业风险评估的现状,也是内部审计的不足和缺失。

四、企业的生存发展要求内部审计逐步开展风险

评估并促进企业改善风险管理企业是国民经济运行的基本单位和细胞。企业要生存、发展,要做强、做大,必然要面对诸多不确定的风险因素。有来自企业外部的风险:如国家法律、法规及政策的变化,经济环境的变化,行业竞争、资源及市场变化,科技快速发展带来的变化等;有来自企业内部的风险:主要有企业治理结构存在缺陷,不合理、不完善;企业资本结构不合理,资产管理利用不恰当;经营活动的单一性,产品单一,技术含量低;企业文化氛围不浓,团队意识不强,执行力不强等内在因素。这些因素都将在不同程度上影响、阻碍企业正常运营,妨碍企业实现其目标。因此,必须加强企业的风险管理,以确保企业正常运转、运营。首先,内部审计作为企业风险评估的职能部门,要切实履行这项职能,一般情况下,内部审计每年至少对本企业(集团)系统地、全面地进行一次风险评估。同时,要考虑风险评估的时效性,如果内外环境发生重大变化,还要适时地开展风险评估。在评估过程中,内部审计首先要根据企业目标、战略规划等内容来识别所面临的风险。其次,要对已经识别的风险,进行评估,评估其发生的可能性以及影响程度;第三,根据评估结果,相应地建议管理层采取应对措施,建立健全组织机构、完善规章制度、加强内部控制,将风险控制在企业可接受的范围内。

五、内部审计要不断探索、创新企业风险评估的技术手段

审计风险评估的目的范文第15篇

【关键词】风险导向审计;审计流程

现代风险导向审计基于战略系统观,对被审计单位的重大错报风险进行评估,克服了传统审计缺乏全面性分析而导致审计风险的缺点,是审计技术方法、审计程序上的一大变革,也是审计理念的一次更新。现代风险导向审计对重大错报风险的评估将更加准确、科学,能更准确地判断重大风险点和风险域,从而可以依据审计重点,合理配置审计资源,降低审计成本,防范审计风险,提高审计的效率与效果。

一、现代风险导向审计产生的动因

目前“制度基础审计”是审计人员普遍使用的审计方法,它使审计人员容易将审计重点偏向于单位的内部控制系统,而忽视了单位本身的目标,在没有检查组织目标和所处风险而直接评估控制程序,其结果意义不大。因为审计人员无法判断哪些控制对风险而言是最重要的,这一模式也带来一些问题,如:过度控制使许多人员从事无附加值的工作,无效率的控制不断增加,使对与组织目前所面临的风险根本无关的控制的审计,变得更无意义。

没有风险就没有控制,控制只为风险而存在。不分析风险而想有效地评价控制是不可能的,将风险评估引入内部控制并将其列为控制的核心,是审计发展的重要的里程碑,也是审计以后的发展方向。以风险评估为基础的风险导向审计使内审人员开始关心组织所面临的风险,并根据风险评估的思路开展对内部控制的评估。

二、现代风险导向审计的基本内涵分析

现代风险导向审计的理论假设在于:被审计单位在复杂激烈的市场竞争环境下出现经营业绩下滑会影响其战略目标的实现。面对严格的市场监管和社会各方压力,被审计单位的管理层就很可能会产生利用财务报告舞弊以掩盖经营不利的动机。基于此假设,审计风险与被审计单位的经营风险和企业战略密切相关,经营风险总是直接或间接地影响审计风险。因此,有效的审计需要审计师站得高、看得远,从源头上寻找可能产生舞弊的根源,从而更有效地评价财务报告的重大错报风险。

现代风险导向审计以战略观和系统观思想指导重大错报风险评估和整个审计流程,因此又称为风险基础战略系统审计方法。其核心思想可以概括为:审计风险主要来源于企业财务报告的错报风险,而错报风险主要来源于整个企业的经营风险,因此,有效的审计应该是建立在对企业所处社会和行业的宏观环境、战略目标和关键经营环节分析的基础上,通过综合评价经营风险以确定实质性测试的范围、时间和程序。

三、现代风险导向审计流程与审计策略

风险导向审计模型下的审计业务流程主要是围绕着识别重大的错报风险而展开的,形成了风险识别、评估和应对程序。

(一)实施风险评估程序

由于现代风险导向审计是以企业宏观层面上可能导致重大错报的风险因素为导向,因此采用自上而下的审计逻辑:

首先,对被审计单位所处的宏观外部环境和主营业务所处的行业环境进行分析,以全面理解企业总体发展战略,识别显性的战略风险;

第二步,分析被审计单位与外部环境之间的联系,从而发现潜在的战略风险。对于识别出的风险,要分析被审计单位所做的监控(即业绩衡量)和应对(即管理控制)措施;

第三步,分析被审计单位的内部经营环节风险。内部经营尤其是关系到企业战略目标实现的关键经营环节的结果,既能够降低战略风险,也能够导致经营风险。针对被审计单位对于这些关键经营环节的风险监控与过程控制进行分析,具有非常重要的意义;

第四步,审计人员利用职业判断对已经识别的风险进行总结并得出剩余风险。分析完成后,审计人员认为没有得到有效控制的,并且对会计报表有重大影响的风险就成为剩余风险,是后来的审计程序所关注的重点;

最后,根据剩余风险结论进行实质性测试,从而将总体审计风险控制在可接受的范围内。

(二)针对评估的重大错报风险实施的程序

审计人员应当针对评估的财务报表层次重大错报风险确定总体应对措施,并针对评估的认定层次重大错报风险设计和实施进一步审计程序。

第一:针对财务报表层次重大错报风险的总体应对措施

审计人员应当针对评估的财务报表层次重大错报风险确定向项目组强调在收集和评价审计证据过程中保持职业怀疑态度的必要性;分派更有经验或具有特殊技能的审计人员,或利用专家的工作,提供更多的督导,注意选择的进一步审计程序不被管理层预见或事先了解。对拟实施审计程序的性质、时间和范围做出总体修改等总体应对措施。审计人员评估的财务报表层次重大错报风险以及采取的总体应对措施,对拟实施进一步审计程序的总体方案具有重大影响。

第二:针对认定层次重大错报风险的进一步审计程序

审计人员应当针对评估的认定层次重大错报风险设计和实施进一步审计程序,包括审计程序的性质、时间和范围。进一步审计程序是指审计人员针对评估的各类交易、账户余额、列报(包括披露) 认定层次重大错报风险实施的审计程序,包括控制测试和实质性程序。审计人员设计和实施的进一步审计程序的性质、时间和范围,应当与评估的认定层次重大错报风险具备明确的对应关系。在应对评估风险时,合理确定审计程序的性质是最重要的。进一步审计程序的目的包括通过实施控制测试以确定内部控制运行的有效性,通过实施实质性程序以发现认定层次的重大错报,其类型包括检查、观察、询问、函证、重新计算、重新执行和分析程序等。

第三:评价列报的适当性

第四:评价审计证据的充分性和适当性

(三)审计报告完成阶段 ,形成审计意见

在完成上述工作后 ,全面总结前几个阶段的测试结果并进行一些追加的测试。审计人员需要在会计师事务所规定的审计风险水平限度内,发表恰当的审计意见。

四、结束语

现代风险导向审计是审计技术方法的重大创新。现代风险导向审计的发展,是审计职业为了应对内外部环境的变化,重新塑造和完善审计职业抽象知识体系和保护审计职业职责范围的客观需要,更利于降低审计成本,防范审计风险和提高审计效率。

参考文献:

[1]丁瑜.审计风险模式的演变及风险导向审计的新发展[J].当代财经,2006 (11):118-121.

[2]谢荣,吴建友.现代风险导向审计理论研究与实务发展[J].会计研究,2004(04):47-51.

精品推荐
扩展阅读
推荐期刊