审计风险及重要性范例(3篇)
审计风险及重要性范文
关键词:风险导向审计;审计模式;适用性分析
随着国内外重大审计失败事件的不断发生,风险导向审计作为一种重要的审计理念和方法,受到审计职业界和学者的关注。中国注册会计师协会在2004年10月了新的审计风险准则征求意见稿,要求注册会计师在审计中使用现代风险导向审计方法,实施风险评估程序,降低审计风险,提高审计质量。如果审计风险准则一旦正式生效,将使我国的审计风险准则与国际接轨,并引导中国注册会计师实务由传统风险导向审计向现代风险导向审计转变。因此,对现代风险导向审计模式的理解以及在我国的适用性分析就显得十分重要。
一、风险导向审计概述
随着社会经济的发展变化,审计方法适应审计环境的变化经历了三个发展阶段:一是审计发展的早期,由于企业组织结构简单、业务性质单一,注册会计师的审计工作目的是为了促使受托责任人在授权经营过程中做出诚实、可靠的行为,审计方式是详细审计。审计的重心在资产负债表,是对会计凭证和账簿的详细审计,旨在发现和防止错误与舞弊,这种审计方法就是账项基础审计方法(accountingnumber-basedauditapproach)。二是从1950年代起,以内部控制测试为基础的抽样审计在西方国家得到广泛应用,这种审计方法重点在于注册会计师了解、测试和评价内部控制设计的合理性和执行的有效性。对内部控制存在缺陷的环节,注册会计师通常将其涉及交易和账户余额作为审计的重点,甚至进行详细审计;对于可以信赖的内部控制环节,通常将其涉及的交易和账户余额进行抽样审计,以提高审计效率和降低审计费用。从方法论的角度,这种审计方法被称作制度基础审计方法(system-basedauditapproach)。三是1970年代以后,由于制度基础审计方法显露缺陷,一种新的、以风险防范为基础的风险导向审计模式逐渐兴起,从方法论的角度,注册会计师以审计风险模型为基础进行的审计方法称为风险导向审计方法(risk-orientedauditapproach)。
回顾审计方法的发展历程,风险导向审计模式已成为审计方法发展的国际趋势。风险导向审计模式合理地扬弃了作为制度导向审计模式基础的“无利害关系假设”,把指导思想建立在“合理的职业怀疑假设”的基础上,不只依赖对被审计单位管理层所设计和执行内部控制制度的检查与评价,而且实事求是地对公司管理层是否诚信、是否有舞弊造假的驱动始终保持一种合理的职业警觉,将审计的视野扩大到被审计单位所处的经营环境(微观、中观乃至宏观),将风险评估贯穿于审计工作的全过程。与传统的制度基础审计相比较,主要有以下区别:
(一)审计模式不同
制度基础审计模式以内部控制为核心,对控制风险的评估仅通过确定内部控制的可依赖程度来减少实质性测试的工作量,而对固有风险的评估常流于形式;风险导向审计模式不仅通过内部控制评估控制风险,还结合其他风险因素尤其是固有风险综合考虑,通过对企业环境、发展战略、公司治理结构等方面的评估,发现其潜在的经营风险及财务风险,并评估财务报表发生重大错报的风险,以便使审计风险降至可接受水平。
(二)审计基础不同
制度基础审计以内部控制制度为基础,根据被审单位内部控制制度的健全性及符合性评审结果,确定实质性测试的范围和重点;风险导向审计则以风险评估为基础,对影响被审单位经济活动的多种内外因素进行评估,确定审计范围、重点和方法,其不仅重视与内部控制系统直接相关的因素,而且重视各种环境因素。
(三)审计方法不同
两种审计模式都采用抽样技术,但风险导向审计是通过建立审计风险模型将风险量化。因此,相对于制度基础审计来说,风险导向审计的抽样技术是更完全意义上的审计抽样,更注重利用分析性测试方法,从而可以有效降低审计风险。
二、风险导向审计的两种模式
风险导向审计自产生以来经历了两个阶段,理论界把以传统审计风险模型“审计风险=固有风险×控制风险×检查风险”为基础进行的审计称为传统风险导向审计模式;而将1990年代后期开始,在国际会计师事务所内部推行并逐渐被审计理论与实务界接受的,以“审计风险=重大错报风险×检查风险”的模型为基础,以被审计单位的经营风险为导向的审计方法称作现代风险导向审计模式。
传统风险导向审计模式与现代风险导向审计模式的本质区别在于审计理念和审计技术方法的不同,后者是对前者的改进,其主要区别如下:
(一)审计起点不同
传统风险导向审计运用的审计风险模型中,固有风险是指假定不存在相关内部控制时,某一账户或交易类别单独或连同其他账户、交易类别产生重大错报或漏报的可能性。控制风险是指某一账户或交易类别单独或连同其他账户、交易类别产生错报或漏报,而未能被内部控制防止、发现或纠正的可能性。传统风险导向审计方法通过综合评估固有风险和控制风险以确定实质性测试的范围、时间和程序,由于固有风险难以评估,审计的起点往往为企业的内部控制(如果没有必要测试内部控制,审计的起点则为会计报表项目)。
现代风险导向审计方法通过综合评估经营控制风险以确定实质性测试的范围、时间和程序,其审计起点为企业的战略系统及其业务流程。如果企业的业务流程不重要或风险控制很有效,则将实质性测试集中在例外事项上。这种新模式的优点是将审计的重心前移到风险评估,这将有利于充分识别和评估会计报表重大错报的风险,因此,主要针对风险设计、实施控制测试和实质性测试程序。此外,注册会计师容易全面掌握企业可能存在的重大风险,有利于节省审计成本,克服因缺乏全面性观点而导致的审计风险。
(二)风险评估识别以分析性复核程序为中心
现代风险导向审计注重运用分析性复核程序,以识别可能存在的重大错报风险;而传统风险导向审计对于信息的再加工程度不够,其分析性程序主要用在报表分析上。分析性复核程序已成为现代风险审计方法最重要的程序,为了适应分析性程序功能扩大的要求,分析性程序开始走向多样化:在数据分析上不但要对财务数据进行分析,也要对非财务数据进行分析;在分析工具上借鉴现代管理方法,把战略分析、绩效分析、财务分析及前景分析等分析工具运用到风险评估之中,使风险因素不再惟一,变一元风险评估为多元风险评估,使得出的风险评估结果更加可靠。
(三)风险评估方式由直接评估转变为间接评估
传统风险导向审计的风险评估是一种直接的方式,即直接评估重大错报的概率。现代风险导向审计模式是从经营风险评估入手,间接地对审计风险进行评估,因为经营风险越高,审计风险也越大,也就是管理舞弊的可能性越大;并且从经营风险中能更有效地发现财务报表潜在的重大错报,因为财务报表是经营的反映,如果经营风险未能在报表中得到体现,则财务报表很可能失真。此外,会计政策、会计估计的合理性评估也只有从经营风险入手,才能进行正确的评估。
(四)审计程序实施具有个性化
传统风险导向审计模式审计程序是标准化形式,对不同的被审计单位都使用标准相同的审计程序,其缺陷是没有足够贯彻风险导向审计思想,使注册会计师无法突破客户预先设置或防范的措施,难以做出正确的审计结论。现代风险导向审计方法要求注册会计师将评估及识别的审计风险与实施的审计程序相结合,针对不同客户以及客户不同的风险领域实施个性化的审计程序。
(五)审计证据的内涵扩大
在现代风险导向审计方式下,审计重心向风险评估转移,审计证据也由内部向外部转移。因此,注册会计师必须充分了解企业整体经营环境,由此评估客户的经营及审计风险,同时必须从外部取得大量的外部证据来证明风险评估的恰当性。风险导向审计模式下,注册会计师形成审计结论所依据的审计证据不仅包括实施控制测试和实质性测试获取的证据,还包括了解企业及其环境获取的证据。
(六)扩充了内部控制要素
传统风险导向审计方法下的内部控制是指被审计单位为了保证业务活动的有效进行,保护资产的安全和完整,发现、纠正错误与防止舞弊,保证会计资料的真实、合法、完整而制定和实施的政策与程序。内部控制要素包括控制环境、会计系统和控制程序。现代风险导向审计方法下的内部控制是指被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵循,由治理当局、管理当局和其他人员设计和执行的政策和程序。内部控制的三要素扩充为五要素,即控制环境、被审计单位的风险评估过程、与财务报告相关的信息系统和沟通、控制活动和对控制的监督。
(七)对注册会计师的专业知识提出了更高要求
现代风险导向审计对注册会计师的专业素质提出更高要求,其重心从会计、审计知识转向管理和行业知识。现代风险导向审计下审计结果主要依赖风险评估,风险评估的各种分析方法要求掌握现代管理知识和行业知识(包括市场、研发、生产等方面),这对注册会计师提出了更高的要求。注册会计师应该是复合性人才,不但要掌握一般常用分析工具,还要接受现代管理知识和行业专业知识训练。
三、现代风险导向审计模式在我国的适用性分析
基于上述分析,现代风险导向审计模式是审计发展的一种必然趋势。2003年10月,国际审计与鉴证准则委员会(IAASB)通过了新的审计风险准则;中注协也在2004年10日了修订后的审计风险准则征求意见稿,不仅将使我国的审计风险准则与国际接轨,同时也为提高审计质量、降低审计风险提供了技术支持。审计风险准则一旦正式生效,将引导中国注册会计师实务由传统风险导向审计向现代风险导向审计转变,会对我国的注册会计师审计理念、审计程序及审计责任产生非常大的影响。
然而,目前要在我国推行风险导向审计模式还存在一定的制约条件和需要解决的问题:
(一)会计师事务所审计成本与效益问题
实施风险导向审计模式的前提是成本能得到补偿。现代风险导向审计模式在审计计划阶段和执行控制测试阶段,注册会计师关注的范围扩大,程度加深,导致工作时间和审计成本的增加,在市场竞争激烈的情况下,成本的增加往往不可能过渡到收费的同步增加。此外,还需要一定的投入来培训注册会计师,使他们掌握业务流程和行业知识等有关方面的知识。如果这些成本得不到补偿,就会使一部分中小会计师事务所在竞争中无法生存。
(二)信息系统的建设问题
现代风险导向审计的重要特征是审计重心前移,注册会计师必须首先执行风险评估程序,充分了解客户整体经营环境,然后针对风险不同的客户、客户不同的风险领域,设计个性化的审计程序。因此,会计师事务所必须建立强大的信息系统,以便注册会计师在风险评估时了解企业的战略、流程风险管理、业绩衡量等。而目前国内很多事务所对行业风险和企业经营风险缺乏了解,客户的相关信息不够充分,信息系统的建设还达不到现代风险导向审计的要求,导致风险评估不准确。因此,风险导向审计的运用仅限于老客户,对新客户还是将大量时间用于实质性测试。
(三)审计从业人员素质问题
现代风险导向审计对审计从业人员的业务素质提出了新要求,不仅要具备丰富的审计理论和实践经验,还要具备必需的管理学知识和经济学知识,能够运用系统的、战略的观点充分了解、分析企业所处的宏观经济环境和行业发展状况,对有可能导致企业会计报表错报风险的内外部因素进行客观、系统的分析与评价,将审计视角扩展到内部控制以外,从较高层面上评估风险,而不是仅仅注重企业会计处理的细节。
(四)辅助审计软件的使用与完善问题
现代风险导向审计方法中分析性程序占据非常重要的地位,辅助审计软件的使用在其中发挥着重要的作用。西方发达国家大量运用分析性程序的条件是辅助审计程序的开发和运用,它可以直接对数据库进行加工分析,依据软件模型自行处理数据,使运用分析性测试程序成为节约成本的重要手段。另外,采用审计软件使统计抽样的样本更具代表性,审计抽样风险可控,为风险导向审计提供了技术支持。目前,我国在审计软件的开发和使用上不够理想,还有待提高,而且大部分注册会计师缺少相应的技术准备,在现阶段推行现代风险导向审计方法只能是一种愿望。
如上所述,目前在我国全面推行现代风险导向审计模式还受到许多制约,尽管它有很多优越之处,但在我国还不能够普遍推行。当前我国独立审计准则主要是以制度基础审计模式为基础的,而且相当一部分从事小规模企业审计工作的会计师事务所和注册会计师,基本上仍然在运用账项基础审计模式。但是,现代风险导向审计的实行是一种理念的改变,我们可将制度基础审计与风险导向审计有机结合。即使在现行审计准则仍然主要以制度基础审计模式为基础的情况下,吸取风险导向审计模式的基本观点和做法,则是完全可行的。通过把风险导向审计中控制风险的理念和方法融合到制度基础审计中,使其他审计模式忽略审计风险的缺陷得到弥补,将会为探索适合我国的现代风险导向审计模式积累有益的实践经验。
参考文献:
〔1〕陈毓圭。对风险导向审计方法的由来及其发展的认识〔J〕。会计研究,2004,(2)。
〔2〕常勋,黄京菁。从审计模式的演进看风险导向审计〔J〕。财会通讯,2004,(7)。
审计风险及重要性范文篇2
关键词:企业;风险导向;内部审计
中图分类号:F239.45文献标志码:A文章编号:1673-291X(2014)02-0193-03
风险导向内部审计是企业进行风险管理的一种有效工具,其目标是在全面评估企业风险的基础上,通过对风险进行事前评估与控制,对风险处于何种状态做出准确判断,为控制风险提供依据。与传统的审计模式相比,现代风险导向内部审计更注重从宏观上把握审计风险,审计工作重心从实施阶段前移到计划阶段,关注的核心从内部控制转向风险,在审计的全过程自始至终都关注风险,依据风险选择项目,识别风险,测试管理者降低风险的方法,并以风险为中心出具审计报告,协助企业进行风险管理。审计方法从以审计测试为中心转移到以系统化的风险评估为中心,即计划阶段对风险进行评估,实施阶段对相关风险进行持续监控和报告,报告阶段提出风险管理建议。2007年新审计准则要求全面实施风险导向审计,故本文对我国企业如何实施风险导向内部审计提出几点建议,与大家探讨。
一、建立全流程风险管控机制
建立审计战略计划、审计项目计划和具体审计项目实施的全流程风险管控机制。
一是年度风险导向战略计划的制订。年度风险导向战略计划要与企业目标相契合,建立在对公司重要领域的认定、风险自我评估的基础上,以重大风险和重要风险为导向,明确审计重点,确定年度审计项目。在充分调研的基础上,组织相关部门进行风险自我评估,识别各自存在的风险,排列风险次序,出具风险自我评估结果,以此为依据,确定本年度审计关注点,编制年度审计计划。风险导向内部审计中,风险评估贯穿于年度审计计划、项目计划、执行审计、总结发现和报告的各个阶段,企业要根据风险评估结果和以前年度审计情况,合理分配审计资源,将审计资源重点放在高风险领域。
二是建立风险管控标准,有效识别风险。就是按统一的标准梳理各业务环节的流程,审计部门牵头,各业务单元的内控负责人统一对采购与应付、生产循环、销售与应收、存货与仓储、营销管理等业务循环的流程图和业务流程的风险点进行全面梳理,对应将风险点、控制措施嵌入到流程中,建立清晰的业务流程图、明确的岗位控制标准和风险防范控制措施。
三是业务流程测试和风险评估。风险评估通过实施不同的测试程序识别审计风险,包括企业整体层面控制评估、信息系统一般控制评估、流程层面控制评估、控制测试以及实质性测试等。建立业务循环各个节点的穿行测试标准,指导各单位业务人员开展业务流程的穿行测试,通过全流程的穿行测试验证各业务层面风险受控情况,运用自审、互审和复审相结合的方法,推进全员、全流程的风险自我审计。
四是出具风险评估报告及风险地图。审计部出具企业各业务单元的风险评估报告和完整的风险地图,建立企业审计风险资源库,为相关部门提供风险关注和控制优化的依据。
风险管控机制将风险管理流程与审计基本程序有机融合,更多地从全流程的角度对企业进行全面风险评估。企业要根据自身的具体情况设计风险管理流程、风险评估项目和评估标准,并根据风险环境的不断变化及时调整风险评价标准,以适应管理需要。而且,风险管控是一个持续、循环的管理过程,不能将风险管理审计作为一次性的专项审计项目,在风险管控执行过程中,要不断地关注风险,针对问题制定有效的控制措施。
二、以风险为导向,优化具体审计项目实施程序
以固定资产投资风险导向内部审计为例。固定资产投资项目投资额大、建设周期长,管理环节复杂,管理风险和审计风险都较高,采用风险导向固定资产投资审计,识别和评估重大管理风险和关键控制节点,全面审计,突出重点,可以有效提高审计效率,降低审计风险。其审计程序如下:
一是制订固定资产投资风险导向项目审计计划。风险导向项目审计计划是对具体审计项目实施全过程审计所作的综合安排,需要明确审计目的、审计范围、审计方法和审计程序、项目风险评估、关键风险点、项目组人员分工、时间安排以及其他事项等。固定资产投资审计目标要与企业固定资产投资目标相联系,审计范围包括选定经营单位、选定业务及流程、相关信息系统测试范围、测试时间范围等。
二是业务经营单位初步评估和关键风险识别。审计人员要掌握固定资产投资项目整体情况,注重从宏观层面了解固定资产投资项目的基本情况,获取背景信息,包括行业状况、监管环境、建设模式、建设目标等信息,对固定资产投资项目面临的风险进行分析,识别和评估固定资产投资项目系统风险和关键风险。
三是业务流程分析。在全面评估固定资产投资风险基础上,从投资项目风险入手,进一步了解流程,更新识别的风险,对高风险项目和资金重点监控,从整体上把握审计重点。
四是评估流程有效性和流程重大风险。在了解固定资产投资项目业务流程的基础上,运用分析性程序,分析关键流程,评估固定资产投资项目重大风险,分析对目标产生影响的风险以及风险控制,测试实际的控制能否切实管理这些风险,这是风险导向审计关注的重点。
五是根据风险评估结果,确定项目审计范围和审计重点,制定相应的审计策略。具体是设计审计步骤,根据审计步骤进行审计抽样并对样本进行监督,实施实质性测试等审计程序。在审计实施过程中,要根据审计实施情况对项目方案进行重新评估,扩大审计范围或增加审计程序,实施进一步测试以修订审计方案,保证审计质量。
杜邦“沸腾壶”审计抽样模型就是一种常用的审计抽样方法。它以审计项目风险为对象,建立风险识别模型,对每一类风险进行排序,将其划分为不同的级别,即高风险、敏感风险、适中风险、低风险,直观地反映风险与审计面的关系。杜邦“沸腾壶”模型说明,在风险因素中,风险结构一般是高风险占10%,敏感风险占30%,适中风险占40%,低风险占20%。风险审计规划在审计资源配置时,要依据风险水平高低配置审计资源,对不同级别的风险因素需实行差异化审计。高风险因素要进行详细审计,对于处于敏感风险性质的风险因素一般抽样50%进行重点审计,对于适中风险因素一般抽样25%,而对于低风险的风险因素只需要抽样10%进行一般审计。风险级别越高,配置的审计资源越多,根据风险评估结果,将主要的审计资源分配在高风险领域,有的放矢,提高审计效率。
六是根据对流程设计有效性测试结果得出审计结论,出具审计报告,提出管理建议。
三、建立以审计调查法为基础的风险评估机制
风险评估机制包括风险识别、风险评估、风险模型的建立及风险评估结果分析等。对确定的审计项目进行风险评估,主要是通过对业务流程的梳理,找出流程关键控制点,并选择科学的风险评估方法对控制点进行风险分析,以准确识别和正确评价风险。以审计调查法为基础的风险评估方法,能清晰揭示风险的高发区域和风险变化趋势,操作性强,评估结果具有很强的说服力。即选取一定比例的被审单位实施风险典型调查,采用审计调查法对风险发生频率和严重程度进行分析和预测,对风险进行分级分类管理,根据风险水平确定审计重点。步骤如下:一是确定评估范围。评估范围与审计范围相关,对风险评估结果的运用有直接影响。二是风险评估数据的采集。采集近几年的相关风险数据,这些数据可以是以往风险管理审计、综合性审计及专项审计的相关资料和数据等。三是对风险评估基础数据进行整理和加工。内部审计人员依据原始资料和专业判断对一些定性资料进行量化处理,确定各组风险数据的影响程度级别,据此对项目风险进行评估。四是进行风险评估和预测。根据事先界定的评估范围,分别对审计项目各类风险、各类子风险的概率和影响程度进行评估,对所采集的一定期间的风险数据,采用审计调查法分析历史数据,寻找各风险的变化趋势和集中趋势,建立能描述各风险变量未来变化态势的模型,运用数学方法对各类风险的主要变量——风险概率和影响程度进行风险变动趋势分析及预测,求出风险预估值,并运用政策分析法,整理和分析可能影响各类风险变量的政策因素,对固定资产投资风险预测值进行修正和完善,确定风险估测值浮动区间。五是风险评估结果的分析和利用。根据风险分布情况,布局安排审计资源,对风险多发区域进行重点审计。风险评估结果可以应用于企业的风险管理,包括:将风险评估结果与企业事先确定的风险管理策略(如各类风险的承受度等)进行对比,并分别采取不同的风险应对措施;协助企业建立风险预警机制,对达到风险预警线的风险发出预警信号,采取相应的风险控制措施;对风险发展趋势进行预测,帮助企业规避和防范风险。
四、建立风险自我评估和预警机制
建立风险预警机制,对风险进行实时监控,可以有效管理和预防重大风险。风险预警机制前移风险管理关口,使风险管理重点由事后监督向事前预防、事中控制转移,防患于未然。企业可以根据风险评估结果,针对风险高发区域建立预警机制,完善风险预警指标体系,如利用DCCS法、盈亏临界点法及财务比率法等有效捕捉企业风险征兆,对异常情况提前发出预警,帮助管理层完善风险管理程序,控制风险。在风险导向内部审计中,使用风险自我评估(RSA)法,可以有效提升风险预警效率。风险自我评估是指内部审计要监督:(1)风险环境分析的恰当性。主要是对企业固有风险和控制风险进行评估,分析风险性质和影响程度的变化以及控制措施是否能与环境变化相符,并在审计报告中反映分析结果。(2)风险事件识别的充分性。(3)风险评估的恰当性。风险评估要从风险发生的可能性和影响性两方面对已识别的风险事件进行定量分析和定性分析。(4)风险度以及风险预报合理性。主要是审核风险度的计算方法是否科学合理,是否反映企业实际风险水平。综合分析企业的内外部环境,审核风险预报的根据及预报的级别是否合理。(5)风险控制措施的有效性。主要是对业务控制程序进行测试,检查是否有效,是否能够控制风险,并对检查发现的问题提出改进措施和建议,帮助企业管理风险,降低风险损失。(6)风险信息沟通的有效性。内部审计人员要从风险识别、评估信息的获得,风险警报的及时发出等方面评估风险信息是否被准确及时地传达给所有相关人员,让管理层了解风险是否被有效管理。风险信息沟通评估也可以提高外界对企业风险管理的信任度。
此外,企业应建立风险审计信息系统,完善审计资源数据库,积极推进审计手段创新,加强内部审计队伍建设,合理配备审计项目组成员,有效提高内部审计效率和质量,提升风险导向审计的价值增值功能。
参考文献:
审计风险及重要性范文
(一)传统内部审计与现代风险导向内部审计的区别
传统内部审计通常考虑内部控制是否充分有效,而风险的大小仅用于表明控制的薄弱或健全环节,从而实现防弊或兴利的目标。这种模式使内部审计被埋葬于反映过去的细节之中,结果是不断加强、补充、完善控制,在一层控制基础上再叠上一层控制,长期下来会拖累企业前进的步伐。尽管有着防弊与兴利的审计目标,但是无法与企业目标相关联,导致内部审计无法证明其价值所在。
现代风险导向审计的内涵与实质风险导向审计是在账项基础审计、制度基础审计的基础上产生的,现代风险导向审计产生的主要标志是:2003年10月国际审计与鉴证准则理事会((IAASB)对审计风险准则进行了修订,并执行新的风险导向模型,即审计风险=重大错报风险×检查风险,中国注册会计师协会也及时修订了我国审计风险准则并出台了四个征求意见稿。至此,现代风险导向审计作为一种新方法、更作为一种新理念成为倍受审计职业界关注的热点。
现代风险导向审计实质是以被审单位的重大错报风险为导向,对被审单位可能引起重大错报的内外部风险因素进行评估,以确定审计的重点和范围,将有限的审计资源集中在高风险领域,合理配置审计资源,以提高审计效率和效果的一种审计方法。它不仅仅是审计技术方法、审计程序上的一大变革,更重要也最根本的是审计理念的更新,是一种基于战略系统观的审计新理念。
(二)风险导向内部审计的优势
现代风险导向审计与传统风险导向审计相比,它将被审单位的风险评估的范围从微观拓展到了宏观,审计理念有了质的飞跃,风险导向审计与账项基础审计、制度基础审计相比,它突出了对被审单位的风险评估,审计重心向风险评估转移,具体说来凸现以下特点:一是由固有风险、控制风险两种因素的风险评估转向重大错报风险的综合性分析评估。二是对风险的评估由账户、报表的微观层次转向行业背景、战略决策等宏观层面分析,将被审计单位置于宏观层面分析与其重大错报风险相关的内外部环境及其它风险因素。三是以注重审计实质性测试为中心转向以重大错报风险的评估为中心,注重分析性程序的运用。四是扩大了审计证据的内涵。
(三)风险导向内部审计的思路
风险导向内部审计采取思路是:首先确认企业目标或某项交易的目标,然后分析对这些目标产生影响的风险以及能够管理这些风险的控制,最后测试实际的控制能否切实管理这些风险。内部审计人员关注的并非控制的充分性和遵循性,而是风险是否得到适当管理和控制。这样,内部审计人员通过风险与企业目标的实现直接联系起来,其服务对公司治理层及管理层而言非常有价值。
(四)银行实施现代风险导向内部审计的意义
银行是经营货币的特殊企业,它的不稳定性、高风险性和负外部性决定了银行业的发展必须依赖于良好的内部控制与外部监管。内部审计是银行内部控制的重要组成部分,内部审计又对内部控制的健全性和有效性实施再监督,银行的内部审计是非常重要且必不可少的。
然而,但现实中,商业银行内部审计资源却不同程度地存在着短缺问题。商业银行资产负债多、中间业务量大、资金往来频繁、会计资料及相关信息繁杂,在此情况下,若商业银行内部审计在计算机辅助情况下仍用传统的方法审计,从方法上讲是可行的,但是不经济,效率较低,而且,最关键的是不能突出审计重点,以强化银行的风险管理。所以如何解决银行内部审计资源与审计需求的矛盾,使有限的审计资源得以合理配置,同时适应银行风险管理的内部审计要求,成为现实问题。笔者以为,现代风险导向审计作为一种审计新方法、新理念,值得银行内部审计借鉴。
传统商业银行的内部审计工作主要是围绕着企业财务和具体项目进行的、以交易为基础的合规检查、业绩检查,其工作目标主要是满足合规和真实性方面的要求,最显著的缺陷在于对审计结果利用不足,内部审计资源的投向缺乏针对性,降低了内部审计工作的整体效率。虽然在重要性原则和谨慎性原则的指导下,传统的内部审计工作会侧重于对高风险领域的检查,但是并没有系统规范地确认高风险领域的方法,更多的机构则依靠内部审计人员的经验判断。同时,商业银行实施风险导向内部审计是形势所迫。1995年巴林银行倒闭,2002年美国安然公司破产、2008年美国雷曼兄弟公司破产引发的世界经济危机,使我们更加关注企业内部风险管理和控制;与此同时,企业内部审计的职能被定义为一种旨在增加组织价值和改善组织营运的独立、客观的确认和咨询活动。在这种形势下,传统的内部审计工作方式己经不能全面评价和反映企业的风险水平,其组织方式也难以适现代审计工作的管理需要。以查错防弊为重点的内部审计容易导致内审部门重视细枝末节,忽略主要风险。随着商业银行内部控制的日益加强和会计信息质量的不断提高,账面资料的错误弊端会越来越少。在全面实现内部审计职能和风险导向的要求下,内部审计的工作重点必须从传统的“查错防弊”转向为公司内部的管理、决策及效益服务,其作业范围也应扩展到银行经营管理的各个方面。
近几年发生的中国银行黑龙江分行的上亿元存款不翼而飞的“高山”事件,以及银企内外勾结的广东“南海公司”骗贷案、北京中行7.5亿元虚假按揭案等无不显示:银行业必须健全内部控制制度,必须强化内部控制的有效性,必须加强内部控制与外部金融监管及审计监督协调。而且,随着内部审计的监督职能向服务管理职能的转变,银行更加迫切地需要科学、高效的审计方法。因此,在银行实施现代风险导向审计有着非常重要的现实意义。
二、银行现代风险导向内部审计的可行性分析
(一)技术层面的可行性分析
商业银行有着良好的计算机信息技术平台。实施现代风险导向审计方法的难点之一是如何建立审计对象的信息数据库问题,因为,现代风险导向审计要从宏观、微观不同层面对被审单位进行风险评估,其先决条件是审计人员必须充分了解被审单位情况,从经济学的角度讲,信息不对称或信息不完全极易产生道德风险、逆向选择。商业银行信息技术起步较早、发展较快,有着良好的计算机信息技术平台,2004年以来,人民银行又更新了商业银行账户管理系统、支付结算系统、电子验印系统、客户身份识别系统等软硬件系统,与之相关联的商业银行支付清算系统也相应地配套更新,其较完善的信息化系统与程序为数据采集奠定了基础,为商业银行内部审计人员充分了解本行的资产质量、负债状况、结算业务操作及其内部控制等提供技术支持。
(二)管理模式层面可行性分析
商业银行有着较为科学规范的风险管理模式和较成熟的风险管理经验。早在1996年,中国银行业即开始尝试授信管理,后来又引进了客户信用评级体系和贷款风险分类制度,2001年新巴塞尔委员会又对银行风险管理进行了改进,其风险的识别、评估与认定为风险导向审计提供了借鉴,使现代风险导向审计在商业银行运用成为可能。
(三)运用效果层面的可行性分析
国际一些知名的会计师事务所在银行运用风险导向审计已取得成功经验。如毕马威会计事务所早在1976年就实施了审计领域研究项目,20世纪90年代初期,已认识到发展新的审计方法的必要性,1997年毕马威研究小组提出了以战略分析、经营环境分析、风险评估、业绩计量和持续提高等五大原则分析企业的经营风险,在对很多商业银行的审计中,运用风险导向审计方法,取得良好效果。德勤国际会计公司在对商业银行审计时注重运用分析性复核,在全球统一采用风险基础审计理论,按照业务循环划分银行活动,制定专门的审计程序,充分考虑银行特点及在复杂的市场环境和产业环境下的经营情况,全面关注银行风险,以确定关键经营风险如何影响其财务结果。
三、银行风险导向审针的实施
(一)银行运用风险导向审计的目标定位
国际审计和鉴证准则委员会(IAASB)将审计风险=固有风险×控制风险×检查风险的风险模型修改为:审计风险=重大错报风险×检查风险,至此,对重大错报风险的评估成为审计重点。CPA将重点放在可能引起会计报表错报、漏报的一切因素的分析,其目标是:正确、准确并高效地鉴证会计报表,而内部审计不仅具有经济监督的职能,还兼有管理、服务、咨询等职能。因此,内部审计人员关注的焦点不应仅仅是会计报表重大错报、漏报的若干风险因素,应进一步延伸拓展到商业银行业务经营中的若干风险,其目标定位是:借鉴现代风险导向审计方法,加强银行的风险管理。将现代风险导向审计与银行的风险管理结合起来,从宏观到微观,至上而下地全面分析商业银行业务与经营中的若干风险因素,对银行的外部环境、内部控制、商业银行经营及业务操作流程等进行全面分析与评价,以实现内部审计参与管理、差错纠正、防范风险、增加价值的目标。
(二)现代风险导向审计方法在银行运用的具体程序
1.分析评价商业银行外部环境。金融与经济及整个社会政治环境紧密相联,巴塞尔银行监管委员会也将金融风险划分为:信用风险、投资风险、利率风险、汇率风险、市场价格风险、资金过度集中风险、国家风险、银行内部管理风险和操作风险等。因此,商业银行外部环境是个涉及面很广的宏观概念。审计人员在实施商业银行内部审计时,应重点分析以下外部影响因素:政治、法律环境,国内、国外经济金融形势,货币政策目标,社会信用体系的构建及金融监管的有效性等。
2.评价商业银行内部经营环境。传统的风险导向审计主要是评价内部控制,但若银行管理层舞弊或操作者串通舞弊,则再好的不相容岗位的分离也将失去效应。因此,现代风险导向审计注重对重大错报风险的全方位评价,将审计视角扩展到内部控制以外,在评价商业银行内部经营环境时,除相应的会计控制、程序控制、风险控制等内部控制外,还应关注:商业银行的经营目标与理念、组织结构、风险管理战略、管理者素质、偏好、政策与过程等。
3.关注银行业务及经营中的重要风险点及风险域。横向上看,应关注的商业银行资产、负债、中间业务、联行业务、财务等业务经营领域、表外业务等业务事项,并抓住每一环节的重要风险点。纵向上看,应关注政策制度变更及金融业务创新可能带来的重大风险。最后,在对业务经营风险进行宏观、中观和微观的分析评估基础上,还应对其风险严重程度作出判断与分类,可引用《巴塞尔协议》风险评级的方法,确定不同的风险系数从0-100%,只有准确地判断了重大风险点和重大风险域,才能合理有效地分配审计资源,实现资源配置合理使用。
