关键词:商业银行公司治理风险管理风险审计
全面风险管理是从战略目标制定到目标实现的全过程风险管理,随着现代商业银行所承担风险的增加,商业银行内部审计关注的重点也逐渐转移到风险管理上来,当今风险审计作为一种新的审计理念,成为备受人们关注的热点。与其说银行是在经营货币的企业,不如说银行是经营风险,从风险管理中获取收益的企业。商业银行一直在利润与风险之间做着谨慎和侥幸的选择,防范和控制经营中的风险,实施全面风险管理战略,是商业银行面临的现实而紧迫的任务。作为现代商业银行的审计部门,如何由传统的合规性审计向风险预警和防范为目标的风险审计转变,合理配置有限的审计资源,提高审计效率与效益,有效发挥审计监督在防范和控制风险中的积极作用,已成为现代商业银行内部审计面临的焦点课题。
风险审计的涵义
风险审计,也称风险基础审计或者风险导向审计,它是在传统的账项基础和内部控制制度基础审计上发展起来的一种审计模式,是指审计人员在对被审单位的内部控制充分了解和评价的基础上,综合分析、判断被审计单位的风险状况及其风险程度,从而把有限的审计资源集中到高风险的审计领域,针对不同风险程度采取相应的审计对策,重点对高风险点进行实质性测试,从而伎内部审计的剩余风险降至可接受的最低水平。与账项基础审计、内部控制制度基础审计相比,风险审计关注点在于对被审单位的风险评估,其审计重心向风险评估转移,更加关注的是企业的风险管理活动一一是否建立清晰的风险管理战略、完善的管理架构、全面的风险管理过程和良好的风险管理文化,最终实现风险管理效率和价值的最大化,不但可以保证充分的审计覆盖面,而且对每一个领域都会根据其风险评价结果有不同的审计频率与深度,增强了对风险的预防控制作用,风险审计方法的重点是识另q、预防与控制风险。因此,风险审计理论的核心是从分析审计风险入手,通过建立科学的审计风险分析模型,采取定性定量分析方法,量化确定固有保证程度系数,并控制保证程度系数,确定可接受的检查风险水平,以确保审计质量。
商业银行实施风险审计方法的坝实重要牲
格林斯潘曾经说过:“银行的基本职能是预测、承担和管理风险。”风险审计的本质和根本目标是促进和保障商业银行业务的稳健发展,促进商业银行树立全面的风险管理理念,坚持发展与防范风险并重;适应市场和业务需要,不断完善风险管理手段,健全风险管理体制,培育风险管理文化,提高风险管理水平,促进业务发展,目标是优化资源配置,将风险控制在商业银行可以承担的范围内,实现风险调整后的收益最大化。
(一)风险审计的理念和方法是商业银行实施全面风险管理的现实选择,进一步提升了内部审计的增值服务?风险是商业银行与生俱来的产物,存在于商业银行业务的每一个环节当中,商业银行提供金融服务的过程也是承担和控制风险的过程,因此,风险管理是商业银行永恒的主题。在现代金融领域中,能建立良好的风险管理架构和体系,对风险进行全面有效的管理,并以良好的风险定价策略实现价值增长,是影响商业银行核心竞争力的重要因素,也是实施风险审计的必然要求。国有商业银行上市后,要在提高全面风险管理能力的前提下保持持续的价值创造能力。
巴塞尔新资本协议和美国反舞弊财务报告委员会的发起组织委员会fcoso)的《企业全面风险管理框架》将全面风险管理概括为对商业银行各个层次的业务单位和各种类型的风险进行统筹管理,这种管理要求将包含信用风险、市场风险、操作风险和其他风险的各种金融资产与资产组合,承担这些风险的各个业务单位纳入到统一的管理体系中,对各类风险依据统一的标准进行测量并加总,依据全部业务的相关性对风险进行全程的控制和管理。风险审计正是以全面评估风险为基础,从重要风险点上人手,在深入分析判断不同层面和业务单位风险状况的基础上,确定审计重点,对风险高的业务集中资源重点审计,通过评估银行风险识别的充分性、风险衡量的恰当性及风险防范的有效性,并在此基础上提出相应的改进措施和建议,直接影响商业银行经营战略的制定,确保商业银行实现业务发展、风险控制和效益增长的有机统一
(二)采用风险审计的理论和技术、是现代商业银行审计发展的目标和方向,实现增值型审计转型需要:当前国际内审发展已进入一个以风险管理和公司治理
为标志的新的发展阶段,西方的绝大部分商业银行在内部审计均采用了风险审计的理论和技术。国际审计师协会主席捷奎林?瓦格娜曾提出:“环境的变化给内部审计师带来增加价值的机会最多的领域是风险管理的公司治理。”2003年国际内部审计协会对2001年新的《内部审计实务标准》(以下简称《标准》)修改后,在内容上也自始至终都贯穿着风险审计的主导思想。
一是在对内部审计的定义中要求内部审计采用一种系统化、规范化的方法来对机构的风险管理、控制及监管过程进行评价进而提高它的效率,帮助机构实现它的目标。二是内部审计的目标要求内部审计参与风险管理。三是内部审计的工作重点要求内部审计参与风险管理。四是标准对审计计划、审计测试、审计结果、后续审计各个方面都作了和风险相关的明确规范。五是关于剩余风险,《标准》做出了在审计执行主管认为高级管理层接受的剩余风险水平对于机构来说是无法接受时就报告董事会加以解决的规定。这些规定和要求将内部审计的范围延伸到风险管理和公司治理,所以风险管理已经成为内部审计的主要工作。随着风险管理导向内部控制时代的来临,内部审计的工作重点也发行了变化,现代内部审计突破了传统的监督、鉴证、评价职能的范围,更多地介入商业银行有效的风险管理机制和健全的公司治理结构领域。
风睑审计在项代商业银行风睑管理中的作用
(一)风险审计有利于提高商业银行风险管理水平,促进风险文化建设。风险基础审计主动发现和控制各项风险,通过对商业银行业务部门进行风险评估,并按照次序排列风险,集中高风险的项目优先审计。前者试图阻止不期望的行为发生,这种事先的控制有助于阻止损失的发生;后者试图检查出不期望发生的行为,检查性的控带l目的是提供损失发生的证据。这两种类型的控制都是必要的内部控制系统,使商业银行的内控机制完善、管用。同时,风险审计关注的重点是业务过程中的每一个风险点,涉及所有员工和管理者,这样有助于形成商业银行风险文化,从而提高商业银行全面风险管理水平。
(二)风险审计有利于对风险事件的识别风险审计采用通用风险分析模板及方法,识别商业银行业务过程的风险和外部环境风险。风险审计人员运用某些分析方法,创造性地进行分析,判断管理层是否完全识别了企业的所有风险,若有遗漏的风险要提醒管理层加以考虑。
(三)风险审计有利于对风险的反应和控制。在风险反应活动中,商业银行要根据不同的风险决定要采取的策略和方法,决定是避免风险、接受风险、还是降低风险。如对有相对的风险回报的风险,商业银行可以考虑接受,但要采取控制措施,才能将风险降低到可以接受的水平,获得希望的回报。对于这部分风险,商业银行会采取减少风险、转移风险或分担风险的办法以降低商业银行承受的风险。风险审计人员的主要工作在于分析、评价风险回报的合理性、减少风险的措施的有效性、以及接受风险转移和风险分担的那一方的风险。
(四)风险审计有利于对风险信息沟通和风险管理系统的监控。在风险信息沟通活动中,商业银行的风险管理要将风险及时有效地传递给内部相关人员,以便及时采取相应的控制措施。风险审计人员可以通过评价报告系统证明风险信息被准确、及时地传递到相关人员,内部审计报告可以向董事会和审计委员会传递风险是否得到有效管理的信息。在监控活动中,商业银行要对风险管理进行持续监控,通过对内部控制系统的运行的监控和对定期检查结果及意外事项的处理结果的评价,保证商业银行对风险管理是一直有效的。风险审计人员可以通过分析环境和风险变化,检查内部控制系统是否已更新,是否能控制新的风险。还可以通过后续审计管理层对审计中发现的问题及对意外事项的处理情况,检查新的控制措施是否有效,将分析结果和建议提供给管理层以便改进控制措施。
风险审计在捕国商业银行规划与存在问题
(一)风险基础审计的法制化、制度化规范化建设的道路还很漫长。一是商业银行内部制度调整工作量大,相关业务制度和操作流程也要进行相应调整;二是支持系统建设难度大,因长期需要具备相应功能的电子化系统作支持,要求商业银行改进现有业务系统,并开发建设风险评估系统,风险评估系统的建设包括业务流程、历史数据收集、参数选择等需要大量投资和时间准备。三是短期内风险审计人员素质难以提高。风险审计人员需要精通包括审计、会计财务、法律、逻辑学、信息学、系统论、管理学等专业知识,懂得运用经济、数理、计算机等专用分析手段来预知和减少风险,每位风险审计人员达到运用自如的水准尚需时日。
(二)审计证据的较高要求增加风险审计取证的难度风险基础审计必须获取充足的、可靠的相关的证据以判断,而目前我国商业银行风险基础审计缺少可供遵循的标准和程序,且审计取证的渠道和方式多样,因此,审计人员一般都需要提高调查样本代表性和增大调查样本
的方法,以增强对总体风险推断的准确性。
(三)风险审计技术手段落后,难以适应工作需要。计算机会计信息系统、信贷管理系统的广泛应用和发展,大大增强了审计的及时性,事后审计;逐步被实时审计所代替,这与针对经营全过程的风险基础审计不谋而合。在我国,商业银行审计人员大多数对计算机辅助审计不太熟悉,许多还停留在传统手工查账的基础上,在新技术面前还有些无所适从.审计手段落后,不但增加了审计难度,而且效率低、准确差,严重影响了审计作用的发挥,无法满足商业银行风险基础审计工作的需要
(四)协调配台欠缺,降低了审计结果的运用日常审计中很少利用纪检、人事及其他部门掌握的信息,审计结束后,除个别项目外一般也不与这些部门交换,致使审计成果在干部考核、任用、奖惩等方面没有发挥应有的作用,相应削弱了审计的威慑力。
我国商业银行发展和完善风险审计的对策
(一)正确认识风险基础审计在银行公司治理结构的重要作用,为风险审计的发展刨造良好的环境商业银行公司治理的核心问题是委托人(股东、投资者、管理者)如何激励和约束人(经理层)、积极有效地完成受托经营管理责任,以确保股东或投资者财富最大化。显然仅仅通过财务审计,委托人难以全面了解人是否有效履行其受托责任,而风险基础审计有利于减少信息不对称性,较为全面地提供委托人所需要的有关经营管理活动方面信息,大大遏制了“道德风险”的发生,增强了经营管理的透明度,从而达到控制和抑制“内部人控制”的目的,同时,通过风险审计可以有效地判断人的业绩和能力,评价人对受托人责任履行情况,促进人提高经营管理效率因此,风险审计是商业银行公司治理结构的重要组成部分,是完善公司治理结构的“四大基石”之一。
(二)抓紧制定风睑基蒯{计;,立则尽快完善评价标:停体系要吸收借鉴美国、英国、典等发达国家的先进经验,抓紧研究制定我国的风险基础审计准则,这是开展风险审计的当务之急。风险基础审计准则的制定要遵循“衔接”、“配套”、“务实”的原则,注意解决好前瞻与现实的矛盾,接轨与国情的矛盾。逐步探索和完善风险审计的评价标准体系,量化评价指标,为不同项目之间的比较提供依据
(三)认真搞好风险基础审计研究,探索先进审计技术方法。先进的审计技术和方法,是提高审计效率和质量的重要保证要通过传统方法与现代信息技术的结合,加大风险审计技术的研究力度,特别要注重探索完善审计抽样、内控测评、风险评估等方面的方法和技术产。在风险审计的方法和技术的研究中,要实行科研人员与实务人员、科研与调研、审计人员与项目工程人员相结合的办法开展,以增强实用性、指导性和前瞧性。
(四)加强审计人员知识培训,适应风险审计工作需要。风险审计由于涉及面广,需要审计人员具有多方面的知识和技能。因此,要通过培训,使审计人员既熟练掌握审计业务知识以及计算机、信息技术等方面的知识,同时又了解和掌握工程技术、法律、经济管理等方面的知识。优化审计干部队伍结构,培养造就复合型审计人才,满足风险审计工作需要。
在意大利上市的前100家大型企业运用风险导向审计的状况进行了调查,结果表明:有25%的企业未采用风险导向审计方法;有67%的企业只在年度审计计划编制过程中采用了风险导向审计方法;只有8%的企业在年度审计计划编制过程和具体审计项目的实施过程中都采用了风险导向审计方法。可见,风险导向审计并未在具体审计项目实施过程中得到广泛运用。而在理论研究方面,有关风险导向审计的研究也多停留在介绍基本概念、分析其必要性上,虽然提出了一些推广运用的设想,但多数较为笼统,缺少实践案例,对实际操作的借鉴性不强。鉴于此,我们以科技管理审计实施为切入点,将风险导向审计理念贯穿于整个审计过程的始终,为在具体审计项目中运用风险导向审计方法开展了积极探索。
二、风险导向审计实施过程风险导向审计过程主要分为审前准备、审计实施、审计报告三个阶段。
(一)审前准备。风险导向审计的一大特点是审计重心前移,在现场审计前需充分了解被审计对象的情况,分析、评估其面临的风险,这是风险导向审计的基础和关键环节,决定了审计的成败。
1、风险识别
为了识别被审计对象科技管理方面存在的风险,我们在审前采取询问被审计对象内部相关人员、咨询其上级主管部门、收集内外部相关资料、审计组内讨论等方式,收集了被审计对象科技管理和信息系统基本情况、内部控制和风险管理状况、被检查和考核资料等相关信息,为进行风险识别准备好了数据原料。对于科技管理的风险,可从风险源、风险影响和风险行为等多个角度来分类。由于考虑到审计的目的是为了完善风险控制,因此从风险控制措施的角度来看,同一风险源可能采取多种攻击方式,不同风险源也可能产生同样的危害,不便于提出控制措施;而从风险的影响来区分较为笼统,也不便于提出有针对性的控制措施。因此在审计中,我们从风险行为的角度,将科技管理风险主要分为操作失误、滥用授权、行为抵赖、身份假冒或密码分析、黑客攻击、恶意代码和病毒、泄露信息、篡改数据、破坏系统、系统意外故障、系统环境威胁、物理攻击和管理不到位等十多类。我们以以往开展的科技管理审计获取的数据和所收集到的被审计对象科技管理情况为基础,明确科技管理的目标,分析威胁目标实现的风险,依据风险分类方式,进行风险识别。由于风险不可能穷尽,为抓住主要矛盾,仅识别较重要的风险,共识别出7类、24个风险域、49个风险点,形成了科技管理风险清单。
2、风险评估
为对已识别风险进行评估,确定每个风险点的等级,采用了风险矩阵的方式(见图1),将风险分为4个等级:风险可忽略、风险较低、较高风险、重大风险。对于风险发生的可能性和影响程度,由于目前还未能建立完备的风险监测数据库,无法准确的量化风险的发生频率和影响,因此采取的是主观估计法,在审计组内部实施头脑风暴法,由审计人员根据以往科技管理审计的实际情况和经验,对风险的可能性和影响作出判断,在风险矩阵中得出对应的风险等级。对风险影响程度的判断,主要是从风险发生后影响的范围、损失金额大小、系统重要性和业务量、系统数据安全性和保密性要求、系统持续运行要求、系统操作难度等因素来考虑。需要注意的是,这里评估的是固有风险,非剩余风险,使用固有风险是因为审计的目的就是通过检查,评估已有控制措施的效力,进而确定剩余风险,因此,审计前的风险评估应评价的是固有风险的发生可能性和影响程度。在评估固有风险后,还可根据被审计对象的控制风险进行调整。调整因素包括:距上次审计或检查的时间、上次审计或检查的结果、上次审计或检查后的整改情况。调整原则是,如果被审计对象在近2年被审计或检查过,且未发现严重问题,整改情况良好,则被审计或检查过的那部分风险点全部降一个等级。
3、建立科技管理风险评估指标体系
为更好的指导审计实施,量化风险评估结果,提高科技管理风险评估的可比性,我们还研究建立了科技管理风险评估指标体系,制作了《对××单位科技管理审计风险评估表》。在风险评估表中,围绕科技管理内控机制建设、机房与设施管理、网络管理、安全保密管理、业务应用系统运行维护管理、采购和外包服务管理、应急备份和文档管理情况等7部分科技管理主要工作,确定了每部分的工作目标,列出每部分的风险域和风险域中存在的风险点,并针对每个风险点提示了相应的控制措施,便于审计人员根据控制措施的提示对风险点进行脆弱性检测。对于指标体系中权重的设置,由于存在分类、风险域、风险点3个层次,分2种方法进行处理。对于分类和风险域这两种较为抽象的指标,运用了层次分析法。向科技人员和审计骨干们发放调查问卷,请专家们按照1-9标度法对指标的重要性作两两比较,填写判断矩阵;将结果进行汇总平均后,得到最终的判断矩阵(见表2),计算各矩阵的特征根和特征向量,并检验其一致性,再对特征向量进行归一处理后,计算得出各分类和风险域的权重。对于风险点的权重,则利用之前已确定好的风险点等级进行相应赋值,对风险可忽略、风险较低、较高风险、重大风险这4个等级的风险点分别赋值1、2、4、8,在风险域范围内进行归一后获得各风险点的基础权重,再与其对应的风险域、分类的权重相乘后,得到风险点的最终权重。为了更好的评价被审计对象的风险管理情况,我们还编写了审计方案,不仅检查科技管理内控制度的充分性,机房、网络和业务应用系统的安全性,运维、采购和安全管理的规范性,还重点关注科技风险管理的情况,检测科技风险管理的环境建设、风险评估、风险控制和监督等情况,扩展了审计范围,综合评估被审计单位科技风险管理整体状况。审计中,将《对××单位科技管理审计风险评估表》作为审计方案的重要组成部分,要求审计人员在评估表的指导下,根据各风险点的高低实施相应的检查,根据审计结果填写对风险点的控制得分。
(二)审计实施。在审计实施阶段,我们针对不同的风险点,指派特定的审计人员花费一定的审计时间,采取适当的审计程序获取一定范围内具有说服力的审计证据,检测被审计对象的风险控制情况,评价其剩余风险。由于科技管理审计中,机房、网络和业务系统等部分审计内容是高风险点集中的区域,且具有专业技术要求高的特点,因此分派具有相应技能和丰富经验的审计人员负责。审计人员根据所负责部分的风险点高低来确定其审计重点,分配工作量,以风险为导向,采取多种方法检测被审计对象对风险点的控制情况。风险导向审计的审计程序主要分为控制测试和实质性程序两类。控制测试指的是测试控制运行的有效性,包括询问、观察、检查、重新执行和穿行测试等方法。实质性程序是指针对重大、特别风险实施的更深层次的审计方法,包括细节测试和实质性分析程序。由于实质性程序多用于财务性审计,因此,主要应用了控制测试的审计程序。审计人员运用了询问、观察、问卷调查、现场检查、重新执行等方法,多角度测试被审计对象的科技风险控制运行的有效性。对于审计中检查样本抽取数量,根据风险点等级和业务频率来判断(见表3)。高风险点按上限抽取,低风险点按下限抽取。
(三)审计报告。报告阶段的主要工作是评估所获取的审计证据,编写审计报告,提出审计建议,并持续跟踪、落实审计整改情况。现场审计结束后,审计组与被审计对象就事实确认书和风险评估的最终情况进行了沟通和确认,根据反馈情况编写了审计报告。审计报告以风险为中心,全面评价被审计对象的科技风险管理情况,指出了存在的问题和风险隐患,提出改进和完善的意见建议。为了突出审计发现的高风险管理情况和问题,引起关注,我们在审计报告的开始就对被审计对象的风险管理和控制执行情况进行简短的总体评价;将发现问题按照严重程度划分为严重、较严重、一般和轻微4类,依次列出。被审计对象的风险评估最终得分直接根据审计查出问题来赋值。对严重、较严重、一般和轻微问题分别赋值100、40、20、10分,每个风险点原始分值为100,统计每个风险点发现的问题数,单个风险点的最终得分V=100-严重问题数×100-较严重问题数×40-一般问题数×20-轻微问题数×10,得分V最低为0分。风险评估最终得分为所有风险点得分的加权总和。在审计中,我们共发现11个问题,分别为7个一般问题、4个轻微问题。根据评分规则打分后,风险评估最终的得分为95.13分。为了将定量评估转换为定性评价,还建立了风险评估定级标准(见表4)。根据标准,审计组对被审计对象的科技管理情况给出了风险管理状况良好的评价。改情况,特别是要对所发现的严重、较严重问题做重点关注,注意这些重要问题是否得到了有效的控制和消除,并评估是否有新的风险和问题产生。根据被审计对象提交的整改报告和其他途径获取信息,判断是否需要开展后续审计或检查,以确认审计发现的纠正情况。
三、风险导向审计流程框架
基于此次风险导向审计实践,我们总结经验做法,提出了风险导向审计流程框架,以期对今后开展风险导向审计提供帮助。要在具体审计项目中应用风险导向审计,就应该将风险导向审计理念运用至审计计划编制到现场实施,直至审计后续的整个审计过程。在审计过程中,必须重视项目的审前调查和审计方案的编制工作,重点开展对审计对象的风险评估。审计方案的编制应与审前调查结果紧密结合,以风险评估得出的高风险领域作为审计重点,作为选择审计程序、确定审计抽样比例的依据,以提高审计工作的效率和质量。审计方案中应详细列示每一个审计要点对应的目标、风险、控制措施。同时应编制标准化检查表以规范、细化审计步骤,详细列示需要采取什么方法、访谈哪些人员、需要抽取哪些样本等,避免因审计人员经验不足或懈怠等原因而影响审计质量。在现场实施过程中,应根据新增信息不断调整风险评估结果,优化审计步骤,以修正审前调查中由于信息量不足而作出的不当估计和判断。对审计中发现的问题,也应以风险为导向,充分揭示存在的风险隐患,与被审计对象就发现问题和风险评估结果做充分的沟通确认。在审计报告中也以风险作为评价的重点,反映被审计对象的风险管理整体情况,提示风险,提出强化风险防范的建议。
四、结束语
[关键词]审计证据数量;重要性;审计风险;抽样风险;预计总体误差
审计证据是指注册会计师为了得出审计结论、形成审计意见而使用的所有信息,包括财务报表依据的会计记录中含有的信息和其他信息。独立审计准则规定,注册会计师应当获取充分、适当的审计证据,以得出合理的审计结论,作为形成审计意见的基础。在审计理论与实务中,诸多方面影响着审计证据的充分性,也影响着审计证据的数量。本文利用图表形式,对审计证据的影响因素进行了直观分析,旨在提高对审计证据数量影响因素的感性认识。
一、重要性对审计证据数量的影响
如果一项错报单独或连同其他错报影响财务报表使用者依据财务报表作出的经济决策,则该项错报是重大的,即影响报表使用者作出判断和决策的错报程度就是重要性水平。根据独立审计准则,注册会计师应当对各类交易、账户余额、列报认定层次的重要性进行评估,以有助于确定进一步审计程序的性质、时间和范围,收集审计证据,将审计风险降至可接受的低水平。由此可见,重要性水平影响收集审计证据的范围,从而影响审计证据的数量。
各类交易、账户余额、列报认定层次的重要性水平也称为“可容忍错报”。它是在不导致财务报表存在重大错报的情况下,注册会计师对各类交易、账户余额、列报确定的可接受的最大错报。重要性水平与审计证据之间的关系可以转化成可容忍错报与审计证据之间的关系。
在抽样审计中,可容忍错报与样本量即审计证据数量之间成反向变动关系:可容忍错报越大,样本量越小;可容忍错报越小,样本量越大。而样本量越小,审计证据越少;样本量越大,审计证据越多。因此,可得出推论:在计划审计阶段,重要性水平越高,审计证据越少;重要性水平越低,审计证据越多。这里所指的重要性水平是指重要性的数量特征,即20000元的重要性水平比10000元的错报重要性水平高。而为合理保证存货账户的错报或漏报不超过10000元所需收集的审计证据,比为了合理保证该账户错报或漏报不超过20000元所需收集的审计证据要多。重要性水平、样本量与审计证据之间的关系如表1所示:
二、审计风险对审计证据的影响
审计风险是指财务报表存在重大错报而注册会计师发表不恰当审计意见的可能性。根据独立审计准则,审计风险取决于重大错报风险和检查风险,审计风险模型可以表述为:
审计风险=重大错报风险×检查风险
该式表明,在可接受的审计风险水平下,可接受的检查风险水平与认定层次重大错报风险的评估结果成反向关系:评估的重大错报风险越高,可接受的检查风险越低;评估的重大错报风险越低,计划的、可接受的检查风险越高。当可接受的审计风险水平一定时,三者之间的关系可以表示为:
检查风险=审计风险/重大错报风险
也就是说,注册会计师应当评估认定层次的重大错报风险,并根据既定的审计风险水平和评估的认定层次重大错报风险确定可接受的检查风险水平,从而设计审计程序,收集审计证据。
这一关系式从表面看,解释的是审计风险与检查风险之间的关系,其实质却是审计风险与审计证据之间的关系:在既定的、可接受的审计风险前提下,重大错报风险越大,可接受的检查风险越小,会计报表中的重大错报未被审计师发现的可能性越低,审计范围越大,需要的审计证据越多;重大错报风险越小,可接受的检查风险越大,会计报表中错报未被审计师发现的可能性越高,审计范围越小,需要的审计证据越少。也就是说,审计风险与审计证据数量之间成同向变动关系:审计风险越高,所需证据的数量越多;审计风险越低,所需证据的数量越少。
三、审计风险、重要性对审计证据的动态影响
(一)三者问的关系
根据独立审计准则,重要性水平与审计风险之间成反向变动关系,由上述分析已知,重要性水平与审计证据数量之间成反向变动关系,审计风险与审计证据之间呈现同向变动关系。三者关系如图1所示:
重要性水平对审计风险的影响以及相应的审计证据之间的关系可以由表2表示。
(二)评价审计结果时,重要性和审计风险对审计证据的影响
随着审计过程的推进,注册会计师应当评价对重要性的判断是否仍然合理,从而确定是否面临过高的审计风险,审计证据的数量是否满足了充分性要求。
在确定审计程序后,如果注册会计师确定接受的重要性水平接近计划阶段重要性水平,则意味着初始重要性水平确定适当,审计风险控制适当,审计证据数量适当。
如果注册会计师决定接受更高的重要性水平,则意味着注册会计师对于初始重要性水平的估计过于保守,注册会计师执行了过多的审计程序,收集了超过充分性最低数量要求的审计证据,虽不影响审计效果,但影响了审计效率。
如果注册会计师决定接受更低的重要性水平,例如初步评估的重要性水平为20000元,而再次评估的重要性水平为10000元,则意味着随着注册会计师对被审单位了解的深入,对被审单位的会计报表各个层次的重要性水平做出了重新估计。此时注册会计师认为,10000元的错报就会影响会计报表使用者的决策,而原来按照重要性水平为20000元所设计的审计程序没有收集10000元~20000元之间的错报。此时较低的重要性水平使得重大锚报风险水平提高,注册会计师实际面临的审计风险水平超过了可接受的审计风险水平,这就使得注册会计师发表不恰当审计意见的可能性增加。此时,根据初步评估的重大错报风险设计的审计程序将不再适用。注册会计师应当选用下列方法收集更多的审计证据,从而将审计风险降至可接受的低水平:
1如有可能,通过扩大控制测试范围或实施追加的控制测试,降低评估的重大错报风险,并支持降低后的重大错报风险水平。
2通过修改计划实施的实质性程序的性质、时间和范围,降低检查风险。
四、抽样风险与非抽样风险对审计证据数量的影响
抽样风险是指注册会计师根据样本得出结论和对总体项目实施同样的审计程序得出的结论存在差异的可能性,也就是样本不能够代表总体特征的可能性。例如抽样风险为10%,则意味着即使注册会计师遵循了独立审计准则对样本进行审计,其结论也不代表总体特征的可能性为10%。
非抽样风险是指由于某些同样本规模无关的因素而导致注册会计师得出错误结论的可能性。例如注册会计师选择的总体不适合审计目标,未能适当定义误差或错报,选择了不适于实现特定目标的审计程序,未能适当评价审计发现的情况等等原因所导致的未能发现重大错报或控制失败。注册会计师可以通过采用适当的质量控制政策和程序,对审计工作进行适当的指导、监督和复核以及实务的改进,将非抽样风险降至可接受的低水平。
抽样风险与非抽样风险共同构成审计风险,即:抽样风险+非抽样风险=审计风险
注册会计师若想要求样本代表总体特征的可能性越大,即抽样风险越小,则样本规模必然越大;样本规模越小,代表总体的可能性越小。即抽样风险越大。也就是说,抽样风险和审计证据数量之间呈现的是反向变动关系。
抽样风险、非抽样风险与样本规模之间的关系见图2所示:
图2表明,审计风险由抽样风险和非抽样风险共同构成。非抽样风险不受审计方式的影响,不随样本规模而发生变化,无论注册会计师采用抽样审计还是非抽样审计,非抽样风险都客观存在。而抽样风险随着样本规模的增加而逐步减小。在非抽样风险一定的前提下,注册会计师愿意接受的抽样风险越低,可接受的审计风险要求越低,样本规模通常越大,审计证据数量越多;而注册会计师愿意接受的抽样风险越高,可接受的审计风险要求越高,样本规模越小,审计证据数量越少。当样本规模等于总体时,即在n点处,也即详细审计时,抽样风险为零,审计风险全部由非抽样风险所构成。
五、预计总体误差对审计证据的影响
抽样审计中,预计总体误差即注册会计师预期在审计过程中发现的误差。其他条件既定的前提下,预计总体误差越大,可容忍误差也应当越大;预计总体误差越小,可容忍误差也应当越小。在既定的可容忍误差下,当预计总体误差增加时,所需的样本规模越大。也就是说,此时预计总体误差与审计证据数量之间成同向变动
图3中,a1、a2和a3代表不同的可容忍误差水平,且a1>a2>a3;s1、s2和s3代表不同的样本规模,且s1
六、总体变异性对审计证据数量的影响
关键词:重要性;审计风险;认识
在我国出台的《独立审计具体准则第10号——审计重要性》中对重要性的定义为:“被审计单位会计报表中错报或者漏报的程度,这一程度在特定环境下可能影响会计信息使用者的判断或决策。”这就说明立了重要性和审计关系之间不仅仅在审计理论之间存在联系,而且还在审计质量、成本和效率之间有着密切的关系,正确的运用和理解重要性和审计风险之间的关系是非常重要的。
一、重要性与审计风险关系可以是“正反双向”的关系
对于重要性与审计风险关系,要能够正确的去认识和理解,并且对于审计风险要从两个方面去进行考虑:一个方面,从审计单位进行考虑,审计风险称之为实际的审计风险;另一个方面,从审计人员进行考虑,审计风险称之为可接受的审计风险。因此,重要性与审计风险关系,就可以从两个方面进行理解:一个方面是重要性与实际的审计风险之间的关系;另一个方面是重要性与可接受的审计风险之间的关系。
1.重要性与审计风险关系是正向关系
重要性与审计风险之间存在正向关系,重要性水平越高,审计风险越高;重要性水平越低,审计风险越低。这里所说的重要性水平高低指的是金额的大小。审计风险越低,越要求注册会计师收集更多更有效的审计证据,以满足审计风险的高要求。注册会计师不能通过不合理的人为降低重要性水平,提高审计风险。重要性与审计风险之间要求审计人员在确定重要性的过程中,要充分的对实际审计风险中的审计质量进行考虑,而且要能够达到可能性审计风险的审计效率。
2.重要性与审计风险关系是反向关系
重要性与审计风险之间存在反向关系,重要性水平越高,审计风险越低;重要性水平越低,审计风险越高。这里所说的重要性水平高低指的是金额的大小。审计风险越高,越要求注册会计师收集更多更有效的审计证据,以将审计风险降至可接受的低水平。注册会计师不能通过不合理的人为调高重要性水平,降低审计风险。评估的审计风险是针对被审计单位而言的,其固有风险和控制风险的程度越高,相应的审计风险就会增加,出现非重要性的可能就会越大,重要性就会变得更小。
二、重要性与审计风险关系是“互为前提、相互共存”的关系
重要性与审计风险关系从正反两个方面来看,能够分析出重要性不是导致审计风险出现的唯一因素,比如审计人员在审计过程中出现失误、审计人员的自身水平有限、审计人员的整体素质较低、审计的独立性不够等等因素,同样能够导致审计风险的出现;审计风险也不是决定重要性水平的唯一因素,比如审计单位的经营规模、审计单位的业务性质、审计单位财务报表、审计单位会计制度、审计单位资金波动幅度等等一些因素,同样能够决定重要性水平。
重要性与审计风险关系“互为前提”,在通常情况下,审计人员进行风险评估的过程中,要以审计风险为起点,能够对重要性进行最初步的确定,并且,根据这一重要性制定审计程序。一般最初的重要性往往会比确定后的重要性水平低,有效的促使审计人员认真细致的工作,积极的搜集审计的证据。
重要性与审计风险关系“相互共存”,在进行审计的过程中,重要性与审计风险两者需要同时的进行。因为,重要性所讲的是一种“错误”,审计风险所讲的是一种“可能性”,将这两者结合起来就是“错误的可能性”。从表面意思上就能够看出,在讲重要性的时候,所指的就是具有可能性审计风险的重要性;在讲审计风险的时候,所指的就是具有错误重要性的审计风险。
三、非重要性与审计风险关系
非重要性的基本概念,就是指从数量上看似不重要的项目,其实产生影响的数据有可能是错误信息:第一,非重要性可能体现在了变亏为盈,或者是变盈为亏的错误信息;第二,非重要性可能将盈利或者亏损欲盖弥彰,导致财务趋势出现错误信息;第三,非重要性可能影响到审计单位流动性资金或者盈利资金出现错误信息;第四,非重要性可能隐瞒非法交易或者的错误信息。
审计人员有可能因为非重要性所带来的错误信息,未能够达到重要性水平,就认为这些相关的信息不重要,而逐渐的被忽略掉。这种非重要性错误信息的出现,导致了审计风险的增高,使得真正的审计风险没有消除。在审计单位会计进行报表填写重要性的情况下,要重视非重要性错误信息所带来的审计风险,要充分的考虑到每个环节上的重要性。
四、总结
综上所述,通过对重要性与审计风险关系的再认识,能够认识到两者不仅仅是反向的关系,还能够认清两者是正向的关系。在相互制约的同时,还在相互共存,两者在共同作用的过程中能够达到最佳的效果,只有充分的将其结合,才能够真正意义上的达到协调与统一。
参考文献:
[1]刘德银:审计风险再定义及模型新探[J].审计与经济研究.2001(05).
[2]李艳君:审计风险相关问题研究[D].长安大学,2010.
[3]朱小平叶友:“审计风险”概念体系的比较与辨析[J].审计与经济研究.2003(05).
文?I标识码:A
doi:10.19311/j.cnki.16723198.2017.09.045
1引言
随着全球经济一体化的到来,市场的竞争日益加剧,各方外部环境的不确定性导致企业面临的系统风险也在不断增加。合理保证企业健康持续发展的风险管理也应运而生。内部控制审计作为一种保障企业有效完成组织目标,落实内部控制体系的企业内在机制,其重要性不言而喻。企业为了在市场竞争中得以生存发展,开展以风险为导向的内部控制审计成为必然。内部审计自上世纪80年代开始,进入了以风险为导向的全新内审领域,其基于企业的全面风险评估报告确定审计方向和审计重点,将风险分析渗透到审计的整个流程中。将风险概念融入审计中,加速了内部审计的发展。
风险导向的内控审计体系建设已经得到西方发达国家的普遍重视和广发的发展与运用,相比较而言我国企业在这方面的建设依然处于探索阶段。我国企业虽然已经开始意识到管控风险对于企业生存发展的重要性,但就目前情况而言,大多数企业仍然只停留在事后审计,并没有针对性的存在一套行之有效的内控审计体系,同时,学术界对于内控审计的研究也没有可观的成果。因此,基于前沿的理论基础,并结合相关的具体实际工作经验,构建一套科学完整的以风险导向的内控审计体系是我国企业当前面临的重要课题。这不仅可以提升企业的价值,同时也能够推动我国内部控制审计的发展。
2内控审计体系建设的发展历程
风险导向内部审计作为近几年新发展起来的一种审计模式,已经引起了西方发达国家的普遍重视,并在现实实践当中得到广泛应用。与之相对应的审计理论体系和审计方法也得到了理论界和实务界的高度重视,引起国内外学者对风险导向审计展开了更为深入的探讨与研究。
二十世纪九十年代,IIA公布的“基于风险导向的内部审计的新定义”以及“内部审计职业准则新框架”中着重突出了内部审计是通过系统规范的方法以达到完善公司的风险管理、内部控制、公司治理,进而达到实现企业价值提升的最终目标。随后,其又多次对《内部审计实务标准》的具体内容做出修订和完善,而多次修改中仍然强调风险导向的内部控制审计,这在一定程度上也奠定以风险为导向的内审基础,使得其成为了审计发展的总体趋势。
我国的内部控制体系相对于西方发达国家来说,起步略晚。王光远于1994年首次在《论管理审计概念》中建议中国审计的发展模式应该转变向以管制为导向的审计,之后,在相关文章中具体讲述了以风险为导向的审计具体发展模式,同时,也介绍了内部审计通过什么途径达到抵御企业风险的目标。
2008年,我国五部委颁布的《企业内部控制基本规范》中明确提出了对作为内部控制要素之一的风险评估的具体要求,随后也在18个与内部控制相关的应用指南中强调了应该关注风险。这也可以看出风险管理在内部控制中的核心位置。2009年,郝素利具体分析了以风险导向的内部控制审计的步骤以及方法。
直到现在,虽然有许多大型的中国企业先后实行了以风险导向的内部控制审计,但身为中国内部控制审计的未来趋势的以风险导向的内部控制审计依旧止于初步阶段,仍需要不断地成长与完善。
3关于以风险为导向的内控审计体系建设的相关构想
综上,当前企业内控审计的发展趋势是以风险为导向,我国企业逐步开展以风险为导向的内控审计体系建设以成为必然。但是,企业究竟该如何构建一个合理完善、符合企业发展现状和需求的内控审计体系?在我国还缺乏深入的探讨和研究。笔者认为,这个问题的本质涵盖了如下两层含义:一是应该构建什么样的风险导向内控审计模式,即回答以风险为导向的内控审计体系包含哪些内容;二是如何构建并持续完善以风险为导向的内控审计体系,即回答如何合理有效的发挥风险导向内控审计体系的作用,实现其企业价值。
3.1内控审计体系的基本要素和主要内容
笔者认为要推行风险导向的内控审计模式,企业首先应构建一个合理完善符合企业发展现状和需求的内控审计体系,该体系的基本内容应涵盖在风险导向的理念下内控审计的目标并与风险导向内部审计的对象相对应。笔者参考了风险导向内部审计理论方面现有的研究成果并结合个人在实务中的一些体会和相关经验,总结了风险导向内部审计框架体系内容应至少包含以下5个基本要素:战略布局、业务流程、组织结构、技术要素、人员要素。涉及的具体内容如下:
战略布局:战略布局指明确审计工作的战略定位和战略目标。战略定位即制定风险导向的内控审计工作实施的具体方案和流程。战略目标即确定风险导向的内部审计的范围、对象、职能、方式,关键在于基于风险管理对内部审计的业务范围进行重新审视和规划。
业务流程:业务流程由对现有流程进行检测和流程变革两部分构成。对现有流进行程检测主要是分析现行的审计业务的具体流程及其运行中存在哪些问题;而流程变革则在流程检测的基础上说明哪些审计业务流程需要变革及如何实现变革,从而实现整个业务流程的优化及升级。
组织结构:组织结构由对现行组织结构进行检测和组织结构变革两部分构成。对现行组织结构进行检测主要是分析先行的审计组织结构及其运行中存在哪些问题;组织结构变革则主要说明审计组织结构的哪些部分需要变革及如何实现变革。
技术要素:技术要素由技术检测和技术变革两个部分构成。对企业现有技术进行检测主要是分析企业目前采用的审计方法及其中存在的重大问题;技术变革则主要说明哪些审计技术需要变革及怎样实现变革。
人员要素:人员要素由对现有的人员构成进行检测和人员变革两部分构成。对现有人员的构成进行检测主要是分析目前的人员构成情况及其存在的问题;人员变革则主要说明审哪些人员需要变革及如何实现变革。
战略布局为整个内部审计工作指明了方向,而战略布局正是通过具体的业务流程来实现的。因此,业务流程的变革是实现战略计划的关键。首先,它进一步推动企业的组织变革,企业的组织结构是业务流程得以实施的具体环境和保障。其次,要实现业务流程的变革,就得具备相应的人员和技术。总之,体系中的5个基本要素相辅相成,互不可缺。
3.2如何有效推行风险导向的内控审计体系建设若干经验体会
3.2.1预先识别风险节点,正确把握审计方向
以往的审计项目经常会存在由于缺乏对审前的调查而出现较大盲目性的问题,事实上企业首先需根据审计工作前的相关准备工作特别是风险评估工作为基础,把握风险节点,明确审计方向,在整体审计工作计划和方案的指导下明确后续各个审计工作阶段的具体程序和步骤,从而确保审计工作的顺利实施。这就需要广泛征求意见,收集相关信息,通过各种途径预先识别审计风险,明确审计的范围,在识别主要风险后,分析形成?风险的原因,并制定具有针对性的审计工作计划和具体方案,这样才能正确把握审计的方向,合理有效利用审计资源。
3.2.2重新梳理审计流程,纵向厘清审计思路
根据制定的内部审计整体战略规划,重新梳理审计工作实施的各个流程和环节,把握审计思路。可以通过规范内部审计工作并实现精细化管理来实现这一目的。为此,还需建立与风险导向的内控审计体系相适应的一套内控审计管理制度。其中应包括具体的实施章程、相关业务准则、操作流程指引及后续的考核和归档安排等;以此来规范企业的内控审计工作,使得审计人员熟悉并掌握具体的审计操作流程,从而顺利开展相关的审计工作。
3.2.3充分借助信息系统,全面提升审计效率
随着经济社会信息化进程加快,信息系统的运用促进了审计行业与具体技术的进一步发展。现代企业和相关机构等相关业务操作的电子化和网络化,迫切需要企业完善相关的技术支撑,通过信息系统优势,提高审计工作效率,如实现对业务的在线监控,使得监控作业可以实现动态化、持续化;通过信息系统的运用还可以实现对数据的智能分析并通过事前建立的风险预警系统及时发出预警,有助于企业对相关的风险的由事中和事后控制向事前控制转变。信息系统也可以实现一些非审计现场技术方法的强化,从而提高具体的现场审计业务效率,缩短审计时间,最终实现审计成本的节约。
3.2.4详尽设计审计程序,严格确保程序到位
审计程序是否细化详尽,在很大程度上会影响内部控制审计的效果。以往的审计程序往往存在可操作性差,随意性大等问题,为了使审计程序能够更具可操作性和可检查性,企业应该详尽设计审计程序。
首先需根据审计工作前的相关准备工作,把握风险节点,明确审计方向,在整体审计工作计划和方案的指导下明确后续各个审计工作阶段的具体程序和步骤,包括确定审计抽样的数量、审计样本名称等等,同时,在具体审计工作实施的过程中要详细地记录实施过程、抽取样本情况以及相关的结论,以增强审计程序的可检查性,在一定程度上也能降低审计人员随意操作的可能性,明确相关责任归属情况,确保程序执行到位。
3.2.5合理配置人力资源,有效达成审计目标
内部审计的质量的一个重要制约因素就是审计人员的专业技能和职业判断。在选取内部审计人员时应该制定较高的准入条件和严格的选拔程序,内部审计人员应该具备一定的学历、工龄,并在某专业领域有着丰富的实战经验。与此同时企业要注重对审计人才的培养,如制定定期的培训及考核、跟组学习积累实践经验等;总之,以人为本,合理使用人力资源,全面提高审计人员的综合素质,是提升内部审计质量的根本,也是风险导向内部审计开展的条件之一。
关键词:风险导向内部审计应用
本论文为北京联合大学生物化学工程学院院级科研课题,课题号为:shky201014
国际内部审计师协会(IIA)于2009年1月在其修改的《国际内部审计专业实务框架》(IPPF)中指出“内部审计是一种独立、客观的确认和咨询活动,旨在增加价值和改善组织的运营。它通过应用系统的、规范的方法,评价并改善风险管理、控制和治理过程的效果,帮助组织实现其目标”。这一新定义,将内部审计赋予了“以风险为导向、以控制为主线,以增值为目的”的新内涵,也推动了风险导向内部审计进一步发展。
风险导向的内部审计是一种新型的审计模式,它自始至终都以企业风险分析评估为导向,根据量化的风险分析评估结果排定审计项目优先次序,依据风险确定审计范围与重点,对企业的风险管理、内部控制和治理程序进行评价,进而提出建设性意见和建议,协助企业管理风险,实现企业价值增值的独立、客观的签证和咨询活动。
一、风险导向审计的重要意义
在当今瞬息万变、复杂多变、信息爆炸的经济社会环境下,企业内部积极探索、有效开展风险导向审计,无论是对提升内部审计价值,还是对于企业加强风险管控和实现既定目标,都有着要意义。
(一)有利于实现内部审计摆脱生存危机,实现价值增值
我国内部审计目前大部分还停留在账项基础审计和制度基础审计模式,审计目标和范围往往不能根据经营中的主要风险和问题确定,审计结果利用价值不大,这样就无法为组织增加价值,内部审计在企业的作用和地位也不高,与此同时外部审计已将风险评估、会计咨询和管理咨询等业务纳入了工作范围,并且不断扩展服务领域,向企业提供内部审计服务。企业为了节省成本和开支,也不断削减内部审计机构,或将内部审计的业务部分或全部外包给了外部审计机构,这使得内部审计的发展和生存面临巨大危机。而通过风险导向审计的有效开展,可以为企业提供确认和咨询服务,变企业的“卫士”、“医生”为“谋士”,为企业提供有价值的服务,帮助企业实现目标,因此,只有开展风险导向审计才能有效摆脱内部审计生存危机。
(二)有利于审计资源合理配置,提高审计效率、质量、规避审计风险
风险导向审计始终以企业风险分析评估为导向,采用科学的、系统的、规范的、量化的方法进行风险分析、评估,能够更加准确地判断分析重大风险点和风险领域,从而更加科学地确定审计重点,合理配置审计资源,降低审计成本,防范审计风险,提高审计效率和效果。
(三)有利于审计观念的转变,促进审计人员提高业务素质
风险导向审计是基于战略系统观,从微观、中观乃至宏观层面上对被审计对象的重大错报进行评估,克服了传统审计缺乏全面性分析而导致审计风险的缺点,它不仅仅是审计技术方法,审计程序上的一大变革,更重要的是审计理念的更新,是一种基于战略系统观的审计新理念。另外,风险导向审计方法对审计人员的素质要求较高,审计人员不仅要具备财务、审计等专业方面的知识,而且还要懂得法律、金融、科学技术、计算机等相关学科的知识,这对审计人员自身的素质提出了的更高要求,审计人员必须强化学习、提升技能才能适应工作要求,提高专业胜任能力。
二、我国现阶段风险导向审计在内部审计中的应用现状和存在的主要问题
现阶段我国风险导向审计,尤其是风险导向内部审计还处于理论研究和实务探索阶段,相关法律法规还不健全,在具体应用中,还存在实务指南缺乏、被审计对象信息库建设滞后、评估工具缺乏、审计手段、审计人员素质能力亟待提高等诸多问题。
(一)应用现状
1.开展风险导向审计的制度依据。美国注册会计师协会先后颁布了《财务报表审计中对舞弊的考虑》等相关法规、制度,特别是美国安然、世通案件爆发后,随着《萨班斯法案》的实施,更加强化了审计师在报表审计中考虑重大舞弊的的责任,迫使审计工作人员更加注重对企业风险的关注,促进了风险导向审计的深入开展。我国的《内部审计实务标准》和《内部审具体准则第16号-风险管理审计》,将企业的内部审计工作导向了风险审计的轨道。
2.开展风险导向审计的实践情况。我国风险导向审计开展较晚,风险导向审计在内部审计中的实践、应用则更晚,目前大多还停留在理论探索研究阶段,真正有效开展内部风险导向审计的还比较少。虽然目前内部审计人员在具体审计过程中对风险给予了一定关注,进行了一定程度的探索,但对如何看待风险、如何分析风险、如何评估风险、如何运用风险评估结果还缺乏系统的培训,对风险识别、风险评估、风险应对等方法还缺乏有效的掌握,这些难免造成内部审计往往是更多地关注被审计单位的财务风险,而忽视其他风险,易导致审计资源配置不够合理,审计质量不高,审计风险较大。
(二)现阶段开展风险导向内部审计存在的主要问题
1.理论及实务体系还有待进一步健全、完善。目前国际上对风险管理框架研究较多,也公布了相关标准,如IIA《内部审计实务标准》和COSO《企业风险管理-整合框架》都提出了风险管理的理论框架,但风险导向审计自身的理论体系、实务标准还有待健全、完善和统一。而具体到我国,则更加亟待建立相关的理论体系,以指导审计实践;更加亟待建立相关的实务标准,以规范审计实践。
2.风险评估工具缺乏。风险导向审计的关键是风险评估,风险评估的关键是风险评估方法(工具)的选择,目前,国际上对风险导向审计程序和审计方法进行了有效探索和实践。但真正完整、形成体系并行之有效的审计模式还有待建立和完善,反观国内,针对风险导向审计还制定出完整的、体系化的审计指引、审计程序和方法,风险评估技术方法和审计经验都亟待积累。
3.信息库建设滞后
在风险导向审计中,审计人员需要大量的信息来充分了解被审计对象的整体经营环境、经营环境、财务状况和人力构成等,才能针对风险不同的被审计对象、不同的风险领域和不同的风险分布,合理配置审计资源、设计不同的审计程序,采取不同的审计方法。由此,只有建立强大的面向不同审计对象、不同业务领域的信息数据库,才能满足审计人员了解企业战略、不同审计对象的经营策略、评估经营风险和进行有效业绩衡量的需要,从而降低审计风险,提高审计效率和效果。而目前我国内部审计在信息数据库的建设方面还远远达不到现代风险导向的要求,我们面临着系统亟待建立、数据亟待积累的局面,从而影响审计人员对被审计对象整体风险的分析判断。
4.内部审计人员结构、知识结构和职业素养尚不能满足要求
风险导向审计是比较先进的审计模式,审计人员需要运用各种方法进行风险识别、风险评估和风险控制等活动,这需要内部审计人员不但要精通财务、经济、法律法规等方面的知识,而且要掌握定量分析方法和计算机审计技术,同时还要了解所在企业的生产经营和业务流程等相关知识,但目前内部审计队伍普遍存在人员结构单一,基本为财务、审计等相关背景的人员,知识结构不合理,尤其是风险管理知识比较匮乏等不足。目前内部审计这样的人员结构和知识机构,从事财务收支审计、经济责任审计尚能应付,但要从事风险导向内部审计,则明显不能适应。
三、风险导向审计如何有效应用的解决建议
(一)完善制度基础、健全审计规范。中国内部审计协会在风险导向审计研究方面虽然做了大量工作,但还应积极行业主导作用,积极整合相关专家、理论工作者、审计实践工作者等资源,结合我国国情和企业实际状况,借鉴国际先进经验、方法和理论体系,逐步形成既有中国特色又与国际接轨的的审计理论体系。
(二)探索、完善风险评估方法。风险导向审计主要以风险评估为主,改变了传统控制(制度)基础审计以内控测试为主的方法,风险评估方法是一种系统的、科学的和可量化的方法,风险导向审计从风险评估开始,形成了风险评估、确定审计范围、制定审计计划、执行审计计划、审计结果与报告、跟踪监督缺陷整改、开始新的风险评估这样一个闭环,可见风险方法是否得当将会直接影响其他审计要素,进而影响整个审计工作的效率、效果和质量。目前比较常用的风险评估方法主要是风险热图法,主要利用衡量风险的两个纬度,即影响程度(风险发生对企业目标时的影响)和风险发生的概率(风险发生的可能性),将两个纬度绘制在同一个坐标系内,此种方法简单明了的显现了风险评估结果,此外还可以运用蒙特卡罗法、关键风险指标管理法、压力测试法、等,方法的选用不是一成不变的,需要在实践中加以运用和多种方法的灵活组合,上述方法的选用都要考虑企业的风险偏好和风险承受度。
(三)建立互通、互动、互联的信息数据库,提升审计人员素质和能力。企业应建立内部审计部门与财务、业务、风险控制等部门互通、互动、互联的功能强大的数据库,建立被审计单位档案,对审计人员在审计过程中需要的各方面知识以及有关被审计对象的各项资料进行整理和归纳,并及时更新数据库,为审计人员提供强大的数据支持,以满足审计人员在审计过程中及时了解被审计对象的经营策略、业务流程、风险评估、考核办法和财务数据等方面的需要。此外,风险导向审计需要审计人员具有更加宏观的视野、发现问题、分析问题和解决问题的能力,这些都需要对现有审计人员进行系统培训,更新观念,提升能力,在解决人员存量的同时,也要注重通过人员增量来调整存量,改善审计人员人才结构,积极引进内控、风险管理、计算机、法律等专业人才,促进人才结构多元化发展。
参考文献:
[1]国际内部审计师协会.国际内部审计专业实务框架,2009
[2]中国石化集团公司审计局广州分局课题组.风险导向审计的难点及解决措施.中国内部审计,2011
