时间:2022-03-15 16:55:18
引言:寻求写作上的突破?我们特意为您精选了12篇审计风险评估范文,希望这些范文能够成为您写作时的参考,帮助您的文章更加丰富和深入。
中图分类号:F239 文献标志码:A 文章编号:1673-291X(2013)08-0135-03
一 、现代风险导向审计的引入
风险导向审计产生于20世纪70年代的西方,当时的注册会计师职业界面临着空前的“诉讼爆炸”,审计人员的风险意识日益增强,风险导向审计应运而生。我国风险导向审计产生于20世纪90年代后期,由于公司经营本身存在的风险,以及审计技术的局限性等,使得注册会计师不可能对所作出的审计意见作完全的保证,而只对有能力作出保证的程度承担责任,这时,审计界就开始探讨风险导向审计运用。
(一)传统风险导向审计的缺陷
在运用传统风险导向审计方法时,审计人员往往不注重从宏观层面上了解企业及其环境,而从较低层面上评估风险,导致审计资源在低风险和高风险审计领域的分配不当,难以保证审计的效率和效果。传统风险导向审计方法注重对账户余额和交易层次风险的评估,但企业处于整个社会经济生活中,所处的经济环境、行业状况、经营目标、企业战略和经营风险都将最终对会计报表产生重大影响。而且,当企业管理当局串通舞弊时,内部控制是失效的。如果不把审计视角扩展到内部控制以外,就不能发现由于内部控制失效所导致的会计报表存在的重大错报和舞弊行为。因而急需一种全新审计模式来代替它,现代风险导向审计也就应运而生。
(二)现代风险导向审计的含义与特征
风险导向审计是以审计风险的分析和评估为基础,综合考虑评价影响审计风险的各种因素,并将风险水平加以量化,然后以此为根据来确定审计实施的重点和范围,进而对被审事项的真实、公允进行实质性检查。它按照战略管理论和系统论,将由企业整体经营风险所带来的重大错报风险作为一个重要构成要素进行评估,是评估审计风险观念、范围的扩大与延伸。
现代风险导向审计的重点是风险评估整个流程突出对重大错报风险的评估,运用“自上而下”和“自下而上”相结合的审计思路,审计起点从原来的会计报表项目转为从企业的环境、性质、目标战略及业务流程,全面评估企业可能存在的重大风险。
二、审计风险评估体系的建立
风险导向审计模式下审计的程序包括以下步骤:风险评估程序、控制测试、实质性程序,其中风险评估是基础和前提,通过风险评估来确定实施进一步审计程序的性质、时间和范围。
(一)审计风险评估指标体系设计思路。
审计风险是指,会计报表存在重大错报或漏报,而审计人员审计后发表不恰当意见的可能性。根据新的审计准则,总体审计风险包括重大错报风险和检查风险。重大错报风险是指财务报表在审计前存在的重大错报的可能性,重大错报风险的大小主要取决于生产经营风险的大小,而企业内部控制设置和执行的缺陷及具体认定本身固有缺陷也会造成错报风险。检查风险是指某一账户或交易类别单独或连同其他账户、交易类别产生重大错报或漏报而未能被实质性测试发现的可能性。
审计的最根本着眼点就是分析企业所面临的经营风险,审计风险评估指标体系的设计也从企业经营风险和控制风险上来进行设计。会计报表风险实际上是企业战略风险和相关经营风险的副产品,① 其审计风险=企业经营风险+控制风险+检查风险。②
(二)审计风险评估指标体系的构成
审计风险评估指标体系可以依据注册会计师审计准则第1211 号―了解被审计单位及其环境,并评估重大错报风险来确定。
1.外部环境。外部环境对企业的经营和发展产生重要影响,从而可能导致重大错报风险的产生。可能影响财务报表的外部环境包括企业所处行业状况、法律环境、监管环境、宏观经济环境。
2.被审计单位的性质。如果被审计单位的所有权结构、治理结构、组织结构不恰当或存在缺陷 ,就有可能造成财务报表出现重大错报。
3.经营活动。被审计单位的经营活动会产生经营风险,而多数经营风险最终都会产生财务后果从而影响财务报表。经营风险主要来源于对被审计单位实现目标、战略产生不利影响的重大情况、事项、环境和行动,或源于不恰当的目标和战略,以及为实现目标和战略制定的关键经营流程。
4.财务业绩的衡量和评价。被审计单位内部或外部对财务业绩的衡量和评价可能对管理层产生压力,促使其采取行动改善财务业绩或歪曲财务报表。财务业绩的衡量和评价因素包括关键业绩指标、业绩趋势、业绩考核与激励性报酬政策。
5.内部控制。内部控制能有效防止、发现和纠正被审计单位差错和舞弊,如果内部控制不利,被审计单位财务报表中出现重大错报的可能性就会大大增加。内部控制包括控制环境、被审单位的风险评估过程、信息系统与沟通控制活动、对控制的监督。
三、审计风险的评估
审计风险的评估方法采用定量分析法与定性法分析相结合的方法,在下面的审计风险评估中,我们采用了因素分析法、① 审计风险模型法、分析性复核等方法。
(一)企业经营风险的评估
企业经营风险评估的目的主要是为了确定企业的总体层次和认定层次的发生重大错报的可能性,传统的风险评估注重于对账户余额和交易层次风险的评估,在现代风险导向审计下,是从经营风险的评估入手,评估企业可能产生的重大错报和漏报。目前审计人员的一般做法是:在各种情况都比较好的情况下,企业经营的水平应该高于 50%;反之,如果有某种迹象表明有可能存在重大错误,就应该将企业经营风险定为非常高的水平,甚至 100%。
评估企业经营风险的3个具体步骤如下:需要考虑企业经营风险的构成要素及其企业经营风险评估指标;各要素所占的权重以及各要素本身风险值的大小;最后将各要素风险值与其权重加权平均计算出企业经营风险值。
下面举例说明企业经营风险评估的具体实施。
步骤一、经过对企业经营风险要素的识别,从指标体系中,选择一部分指标来进行计算。
它们是企业长期偿债能力指标,盈利能力状况指标,资产营运效率、安全边际指标,顾客满意度,市场占有率,主营业务市场份额等。
步骤二、确定每个指标的取值
A=企业长期偿债能力,B=盈利能力状况,C=资产营运效率,D=安全边际,E=顾客满意度,F=市场占有率,G=主营业务市场份额,H=研究开发新产品周期,I=合格产品比率,以上指标取值均为1― 5 分。
其中1分表示企业盈利能力非常强、资产营运效率非常高、安全边际程度非常高、顾客满意度非常高、市场占有率非常高、主营业务市场份额非常大,研究开发新产品周期非常短、合格产品比率非常高。
5分表示企业盈利能力非常弱、资产营运效率非常低、安全边际程度非常低、顾客满意度非常低、市场占有率非常低、主营业务市场份额非常小,研究开发新产品周期非常长、合格产品比率非常低。
运用专家意见法,通过反复多次征求专家意见,形成基本一致的意见。根据专家的意见,假设每个指标取值如下:
需说明的是,本举证仅利用了一个简单的多元比较,而未采用高等数学中矩阵来求解。矩阵中每一数字表示该数字所载列的参数相对于该数字所在行的参数的相对重要性(主要取决于审计人员的职业判断)。相关加数值(即各自的权重)是由其上一行的平方根除以4得出。因此,可以计算出个指标的权重如下:
(二)企业控制风险的评估
控制风险是被审计单位内部控制要素效果的函数。审计人员无法改变控制风险水平,仅能评价控制系统和评估未能揭示出错报的概率。如果存在以下几种情况:(1)控制政策与程序与认定不相关;(2)控制政策和程序无效;(3)取得证据来评价内部控制显得不经济。那么审计人员可以将控制风险定为 100%,直接进行实质性测试。如果审计人员将控制风险定为 100%以下的某一水平,则要执行下面的步骤来评估控制风险的水平。
1.根据识别初步评价控制风险
审计人员在评估控制风险时,先了解相关的内部控制流程,识别相关的控制风险,对控制风险水平作一个初步的评估。了解内部控制时,主要从以下方面考虑:(1)每一结构要素中制度和程序如何设计;(2)这些制度和程序是否得到执行。考虑这两个因素的基础上结合控制风险识别的结果对控制风险做出初步评估。
2.通过控制测试降低估计的控制风险水平
审计人员决定通过有效方法进一步降低控制风险的估计水平时,可以设计追加的测试程序来进行,包括3种方法:重新执行、进一步观察和文件测试。审计人员进行测试时,应该对3个层次的内部控制进行测试,即对最高层、中层和最低层内部控制进行测试。由于内部控制的运行效果可以通过实施控制测试来更好地了解,所以大多数审计人员在没有实施控制测试时都不愿意将控制风险评估为低于最高水平。
3.控制风险的计量
内部控制是一个系统,按层次可分为3个控制层次,即最高层、中层和基层控制。每一个层次都是一个子系统,3个层次中的每个层次的可靠性程序决定着整个内部控制的可靠性。控制风险为:C=1-P;P=P1*P2*P3
其中,C 表示控制风险,P 表示内部控制的可信性,P1、P2、P3分别表示最高层控制的可信度、中层控制的可信度和基层控制的可信度。首先,对最高层控制所设计的控制风险指标包括权力决策人员知识结构、能力结构达标率。这些指标越高,则内部控制设计相对较为健全,控制风险较小。在中层控制流程上,所运用的指标主要为评价管理部门设立的全面性、互为牵制作用性指标,当这一指标越高时,即管理部门的设计越全面,各职能部门之间能起到很好的牵制作用,则控制风险就可能会小些。在基层控制流程上,评估控制风险的指标主要有一定会计期间内的岗位轮换率,业务操作的换人复核率,稽核程序执行率,稽核统计差错率,稽核重大事项的及时报告率等。当这些指标比率较高时,控制风险相对较小。上述控制风险评估的计量结果与控制测试的测试结果相结合,就可具体地评估出控制风险。
(三)检查风险的评估
检查风险是审计程序的有效性和审计人员运用审计程序有效性的函数。检查风险是必然存在的风险,其水平的高低与被审计单位无关,而与审计程序的有效性有关。审计人员能够控制检查风险,但受审计资源、审计时间等要素制约,以及审计人员出于成本效益的考虑,检查风险不能根除。与企业经营风险和控制风险不同,检查风险是根据审计风险模型的公式计算出来的,即:
检查风险=审计风险/企业经营风险*控制风险
检查风险的实际水平随着审计人员实施实质性测试的性质、时间和范围的变化而改变。
结束语
目前,审计风险评估体系还存在以下下问题:(1)非财务性指标运用较少,如企业面临的竞争环境、潜在的危机等指标如何计入指标体系;(2)非量化的财务指标操作性不强,易纵和受主观因素影响;(3)信息化运用水平不高,未形成统一风险评估软件,评估方法不一;(4)法律制度不健全,从业人员对审计风险重视不够,因此,审计风险评估体系有待完善。
参考文献:
[1] 郭莉.现代风险模型及其推行难点分析[J].审计与经济研究,2006,(6):46-48.
Comparing on the Tactics of Risk Assessment of Traditional Risk-based Audit and Modern Risk-based Audit
Abstract: Traditional Risk-based Audit and Modern Risk-based Audit are the two phases that Risk-based Audit has evolved. tactics of risk assessment of Traditional Risk-based Audit and Modern Risk-based Audit differ from each other while they still have some similarities. This paper does the Comparion on the Tactics of Risk Assessment from the following four aspects: orientation of risk assessment, extent of risk assessment, procedures of risk assessment and methods of risk assessment.
Keywords: Traditional Risk-based Audit Modern Risk-based Audit
Tactics of Risk Assessment Audit risk
一、引言
传统风险导向审计和现代风险导向审计是风险导向审计模式发展的两个不同阶段。传统风险导向审计和现代风险导向审计均以风险评估为起点,同时都将风险与控制方法贯穿运用于审计全过程,使审计过程成为一个不断克服和降低审计风险的过程。因此传统风险导向审计和现代风险导向审计两种审计模式在风险评估策略上存在一定的相同之处,但同时更多地体现出了差异。鉴于两种审计模式的风险评估策略较易被混淆,本文拟对两种审计模式的风险评估策略作一比较,对两者差异加以初步探讨。 二、传统风险导向审计和现代风险导向审计涵义
(一)传统风险导向审计 传统风险导向审计也称为控制风险导向审计[1]。审计模式 发展到传统风险导向审计的标志性事件是AICPA在1983年了第47号《审计准则公告》(SAS No.47)——“审计业务中的审计风险和重要性”,首次提出了审计风险模型。传统风险导向审计是指审计人员在审计过程中将风险分析、评价与控制融入传统审计方法(账项导向审计和制度导向审计)之中,进而获取审计证据,形成审计结论的一种审计取证模式。传统风险导向审计的基本程序并没有脱离制度导向审计模式,但它在制度导向审计模式的基础上更加注重风险评估和风险管理。针对制度导向审计不直接处理审计风险,不能对审计风险进行量化的缺点,传统风险导向审计引入审计风险模型,通过该模型将从各种渠道所收集的证据联系了起来,并在此基础上对审计风险进行定量评估,将审计资源相对合理的分配到高风险领域。 (二)现代风险导向审计
现代风险导向审计也称为经营(商业)风险导向审计、风险基础战略系统审计。1997 年,Bell 和 Frank 发表了名为《通过战略系统的视角对组织进行审计》的研究报告,首次提出了毕马威的BMP 审计模式,这标志着现代风险导向审计的产生。现代风险导向审计是审计技术方法在系统和战略管理理论基础上的重大创新,它以被审计单位的战略经营风险为导向,通过“战略分析——流程分析——经营业绩评价——财务报表剩余风险分析”的基本思路,将报表重大错报风险和经营风险联系了起来,从而提出了审计师从源头分析和发现会计报表错报的观念[2]。现代风险导向审计针对传统风险导向审
计风险评估不到位,未能有效发现高风险审计领域,造成审计过量或审计不足的缺点,大大加强了风险评估程序,做到了以风险评估中心,真正体现了风险导向审计的理念。
2003年10月国际审计和保证准则委员会(IAASB)了国际审计准则第315号( ISA 315) “了解被审计单位及其环境并评估重大错报风险”,将传统风险导向审计下的审计风险模型修改为:审计风险=重大错报风险×检查风险,明确规定了审计工作以评估财务报表重大错报风险作为新的起点和导向。这就导致了实务中普遍运用的现代风险导向审计在审计风险模型和审计具体风险导向等上和准则规定产生了一定的差异。鉴于这一点,特别指出本文所称的现代风险导向审计是指国际会计师事务所在实务中运用的以战略经营风险为导向的现代风险导向审计。 二、传统风险导向审计和现代风险导向审计风险评估策略比较
风险评估是指对审计风险的评估。美国注册会计师协会(AICPA)认为审计风险是指审计人员对于存在重大错报的财务报表未能适当发表意见的风险[3]。风险评估的目标就是确定
高风险环节,从而确定审计的范围和重点,并进一步确定如何收集、收集多少和收集何种性质的证据,以便更有效地控制和提高审计效果及审计效率。策略,是根据形势发展而制定的行动方针和方法。借鉴中注协(1997)对审计策略的定义,笔者将风险评估策略定义为审计人员根据确定的风险评估范围,选择能够达到风险评估目标而应当实施的最有效风险评估程序的基本思路、组织方式和具体方法。在本文中,笔者从风险评估导向、风险评估范围、风险评估程序、以及风险评估具体方法四个方面来比较两种审计模式的风险评估策略。
(一)风险评估导向
虽然国际审计准则规定,在传统风险导向审计下审计人员首先应当对财务报表整体层次和交易类别、账户余额认定层次的固有风险进行评估,但由于固有风险和控制风险都受内外部环境的,两者很难区分,因此审计人员通常难以对固有风险单独做出准确评估。又鉴于稳健性原则的考虑,实务中审计人员往往将固有风险简单地确定为高水平,从而将风险评估重点锁定在控制风险上。因此在实务中,传统风险导向审计实际上是以对控制风险进行的评估为切入点的,所以传统风险导向审计是以控制风险为导向的。
现代风险导向审计强调:审计人员的审计风险[i]主要来源于企业财务报表的错报风险,而企业财务报表的错报风险则主要来源于整个企业的战略管理风险和经营活动风险[4]。所以要充
分理解审计风险,审计人员就必须从企业的战略分析入手,充分识别企业内、外部风险并理解内外部风险对财务报表认定的影响。因此,现代风险导向审计并不直接从对固有风险的评估入手,而是间接地以被审计单位的战略经营风险为导向,通过综合评估战略经营风险从而确定财务报表剩余风险,并进一步确定实质性测试的范围、时间和程序。因此,现代风险导向审计是以战略经营风险为导向的。 (二)风险评估范围
在实务中运用传统风险导向审计时,审计人员往往忽略对固有风险的准确评估,而将固有风险简单地确定为高水平。因此在传统风险导向审计下审计人员往往不注重从宏观层面上了解企业及其环境(如行业状况、监管环境;企业的性质;企业的目标、战略、以及可能导致会计报表重大错报的相关经营风险;对企业财务业绩的衡量和评价)[5],而只关注企业的内部
控制。因此,在传统风险导向审计方法下,审计人员实际上只仅仅依赖对控制风险所作的粗放型评估来直接、大致确定检查风险水平。
现代风险导向审计要比传统风险导向审计站得更高,看得更远,对企业了解得更透。它将被审计单位置于广泛的系统中,认为有效的审计需要对企业所处的宏观经济环境和行业环境、战略目标和措施、影响企业目标实现的主要业务活动和关键经营环节以及剩余风险进行深入的了解。在现代风险导向审计下审计风险仍然由固有风险、控制风险和检查风险三要素组成,审计人员也同样要对固有风险和控制风险进行评估。但是相比传统风险导向审计,现代风险导向审计下“固有风险”的内涵扩大了,除了包括会计报表项目本身的风险外,更多地考虑了企业的经营风险。而且在现代风险导向审计下,企业内部控制已经发展到内部控制框架阶段,并有被企业全面风险管理框架取代的趋势,相比传统风险导向审计下的内部控制结构概念,现代风险导向审计下对控制风险进行评估时考虑的因素则更加全面了。
(三)风险评估程序 传统风险导向审计风险评估的基本程序可表示为:固有风险评估了解被审计单位的内部控制结构控制风险初步评估控制测试(可选)控制风险综合评估确定检查风险。审计人员在对固有风险进行评估时主要考虑以下因素:管理人员的品行、能力、变动情况和遭受异常压力的情况;客户业务特征;关联方;非常规交易;以前审计结果等。但由于种种原因,实务中审计人员往往忽略对固有风险的准确评估,通常的做法是将固有风险简单地确定为高水平,而将风险评估的重点放在控制风险上。审计人员在对被审计单位的内部控制进行了解时,首先从控制环境入手,再对制度和控制程序进行分析。分析控制环境时主要考虑以下因素:管理和经营作风;组织机构;董事会及审计委员会职能;人事政策和程序;确定职权和责任的等。然后审计人员基于当前对内控的了解对控制风险水平进行初步评估(计划估计水平)。如果审计人员将某一控制的控制风险初步评估为最高值,则对该控制不需执行控制测试而直接进入实质性测试阶段;但如果审计人员将某一控制的控制风险评估为低于最高值时,则就需要对该控制执行控制测试,从而来获取证据以支持低于最高值的风险水平。控制测试完成以后,审计人员对被测试控制的控制风险进行再次评估(最终估计水平),并根据最终估计水平来决定相应的检查风险水平。 风险导向审计风险评估的基本程序可用下图表示。如图所示(由于不能粘贴,此处图略),审计人员首先需要对客户的战略进行分析,分析时需要对客户的内外部环境进行了解,包括客户行业状况、监管环境以及其他外部因素(宏观环境等);被审计单位的目标、战略以及面临的经营风险;对威胁企业战略的风险做出的反应等。对客户的战略进行分析后即可对战略风险做出评估。现代风险导向审计下内部控制被分为管理控制(战略控制、高层控制)和流程控制(一般控制、员工控制)[6],在对 客户的战略进行分析时同时要对战略控制进行了解并进行评价。然后审计人员对客户的流程进行分析,分析时可从流程目标、投入、作业、交易类型、威胁流程目标的风险等八个维度来了解流程情况[7]。通过流程分析可
以了解客户创造价值的方式、竞争优势及劣势、威胁,从而来评估流程经营风险。在对客户的流程进行分析时同时要对流程控制进行了解并进行评价。在对战略经营风险和流程经营风险进行评估时特别要注重对舞弊风险的评估。然后在此基础上来对固有风险进行初步评估,在评估时除了要重点考虑经营风险可能引起的重大错报之外,还要考虑其他可能引起重大错报的因素(管理当局遭受的异常压力等)。审计人员在对客户的战略和流程进行分析时已经从企业整体层次对内部控制进行了了解(战略控制和流程控制)并做了评价,在这个基础上还要对内部控制的其他方面进行了解并给予评价,特别是要关注有关交易重要类别的控制。基于对内部控制充分的了解,审计人员然后对控制风险进行初步评估。由于固有风险和控制风险都受企业内外部环境的,两者之间存在着紧密的联系,因此审计人员在单独对固有风险、控制风险进行初步评估的基础上还须对两者进行综合评估,即固有风险和控制风险的联合。对联合风险的评估是审计工作的核心,因为接下来其余的审计工作都要围绕联合风险来进行,联合风险的评估结果是审计人员决定实质性程序性质、时间以及范围的基础[8]。然后审计人员对 值得信赖的控制进一步执行控制测试,从而来获取支持其较低控制风险水平的证据。最后根据控制测试结果并结合联合风险评估水平,审计人员对会计报表重大错报风险进行综合评估,从而来确定会计报表剩余风险(即检查风险),并进一步决定实质性程序的性质、时间以及范围。 (四)风险评估具体方法 风险评估的方法主要有观察、检查、函证、询问、穿行测试、分析性程序等多种审计取证手法。虽然传统风险导向审计客观上要求大量使用分析性程序来进行风险评估,但由于实务中审计人员往往忽略对固有风险的准确评估,因此限制了分析性程序的运用范围。而且传统风险导向审计对于信急的再加工重视程度不够,分析性程序主要适用在报表分析上[9]。 而在现代风险导向审计下,风险评估以分析性程序为中心,分析性程序成为最重要的程序。而且随着分析性程序功能的不断扩大,分析性程序开始走向多样化,审计人员不仅对财务数据进行分析,同时也对非财务数据进行分析。由于分析性程序的多样化运用,大量的分析工具以及现代管理方法被运用到分析性程序中去。如在战略分析时审计人员运用了PSET分析和POPTER分析方法;在流程分析时运用到了价值链分析(VCA))和波士顿矩阵(BCG)以及SWOT分析方法;绩效分析时运用到了平衡积分卡(BSC)和标杆管理(Benchmarking)分析技术[10]。将分析工具运用到风险评估中 使得风险因素不再独立,而且风险评估不再是一元评估,而是多元评估,因此风险评估的结果将更加可靠。
三、结论
1. 风险评估导向不同:
虽然国际审计准则规定传统风险导向审计应以固有风险为切入点,但在实务中传统风险导向审计实际上是以控制风险为导向的;而现代风险导向审计则是以战略经营风险为导向的。
2. 风险评估范围不同:
审计人员在实务中运用传统风险导向审计时往往会忽略对固有风险的准确评估,只通过对控制风险所作的粗放型评估来决定实质性测试的性质、时间和范围;而现代风险导向审计下审计人员除了要对传统的固有风险,即会计报表项目本身的风险进行评估之外,更多地是要考虑企业的经营风险,特别是注重对舞弊风险的评估[11]。同时由于内部控制概念内涵的扩
大,审计人员在对控制风险进行评估时考虑的因素相比传统风险导向审计下更加全面了。
3. 风险评估程序不同: 相比传统风险导向审计,由于现代风险导向审计增加了对企业战略和经营流程的分析,以及对经营风险的评估,而且最后将固有风险和控制风险联合起来进行评估,因此在评估程序方面现代风险导向审计比传统风险导向审计更完善。由于现代风险导向审计对审计风险考虑的更全面了,所以在现代风险导向审计下能够更好的将会计报表剩余风险降低到可接受水平。 4. 风险评估具体方法重点不一样: 两种审计模式在风险评估时都运用了观察、检查、函证、询问、穿行测试等风险评估方法,但相比传统风险导向审计,现代风险导向审计更注重分析性程序的运用,做到了以分析性程序为中心。
________________________________________
[i]国际会计师事务所认为审计风险应该是广义的,即不仅包括审计过程的缺陷而导致审计结果与实际不相符而产生损失或责任风险,还包括客户经营失败而导致审计主体遭受损失或不利的可能性。
:
[1] 王泽霞.论风险导向审计创新[J].会计,2004(12): 49-54
[2] 谢荣,吴建友.现代风险导向审计研究与实务发展[J].会计研究,2004(14):47-51
[3] AICPA:professional Standards As of June 1,1992,AU.31
[4] 谢荣,吴建友.现代风险导向审计基本内涵分析[J].审计研究,2004(05):26-30
[5] 陈毓圭.对风险导向审计方法的由来及其发展的认识[J].会计研究,2004(14):58-63
[6] 郑朝晖.战略系统审计:财务数据之合理预期[J/OL].会计视野,2004 [2006-4-17] doc.esnai.com/showdoc.asp?docid=448&uchecked=true
[7] 王义华.BMP审计模式介绍[J].中国注册会计师,2005(06): 69-70
[8] Ernst&Young Global Audit Planning Toolkit 2004[M], 2004: 65-67
一、引言
会计报表工作是对会计统计的最终核算进行归纳和总结,医院的会计报表工作对于反馈医院这一段时期财务经营和管理状况有着重要意义,同时能够为医院进一步改善相关管理制度和主管机关的评价事业提高有效的信息基础。加强对会计报表审计的风险评估有利于降低会计报表审计的错误率,有效提高医院会计报表审计的工作效率,同时还能够促进医院的进一步发展。
二、医院进行会计报表审计风险评估的意义
1.符合新医改的要求
一方面,随着新医改的全面深化发展,目前我国大部分医院都将“以药补医”,但是国家对于医疗卫生事业的政策投资却没有大幅度的增加,这使得医疗事业的发展收到了一定的限制。为了缓解医院投资不足,收入降低等状况,部门地方医院甚至出现了利用作假等手段骗取政府补助的情况。另一方面,医院实施的等级评审制度将会导致管理人员现象严重,不利于实现医院内部的公平与公正[1]。医院的等级评审与医院人员的切身利益和医院的长远发展都有直接的关联,如何利用等级评审制度为医院谋取更好的发展,是医院管理人员首要考虑的问题之一。而部分医院的管理人员为了获取更多的自身利益和促进医院的发展,有可能通过在会计报表中做假账等形式来获取更高的等级评审。加强对医院会计报表审计风险评估能够加强对会计报表的审计,防止系列的问题的发生。同时,新医改对医院会计报表的质量要求进行了进一步的提高,要求医院实行全面预算管理,医院的所有收支都将纳入在预算管理范围内,而无形资产与固定资产则需要计提折旧或者摊销。新医改对医院会计报表审计的要求进一步提高,要求医院审计部门相关人员加强对医院会计报表审计的风险评估,确定审计重点项目,降低审计风险。
2.会计报表审计风险评估是保证医院会计报表审计工作的重要手段
第一,医院的会计抱抱工作内容广泛,包括医院众多的财务信息和经营业务。在众多的财务信息中,审计人员如若想要在最短时间找出重点审计项目,提高审计工作效率就需要合理运用风险评估手段[2]。第二,我国医院关于审计工作的现状是,审计任务较多而审计资源较少,二者之间产生的矛盾对审计人员的专业素质提出了更高的要求。随着审计任务的越来越多,审计人员必须学会在审计工作中准确抓住重点,这也要求审计人员在工作中必须恰当运用风险评估方法。
三、加强医院会计报表审计风险评估的对策
第一,保证医院会计报表审计工作的相对独立性。审计部门属于医院的内部控制部门,要保证审计工作的质量,加强会计报表审计的风险评估必须要严格规范医院的审计程序,并且加紧完善医院的内部控制制度,使审计部门在内部控制中的地位得到重视,并保证审计部门的相对独立性和审计工作的相对独立性。审计工作的独立性能够有效提高审计工作的公正性和公平性,有利于提高审计工作的质量。当然,保持审计工作的独立性对审计人员的自身素质也有一定的要求,只有审计人员的专业素质得到提高,能够与时俱进,不断扩充新的审计及风险评估知识,并不断增强审计风险意识,才能够切实做好审计风险评估工作,促进审计工作效率和质量的提高。第二,审计人员必须要获取更加有力的审计证据。为了更好的实行会计报表审计风险评估,确定审计重点,审计人员在审计工作中应该适当的拓展审计的发展,进一步挖掘审计深度,以便获取更加有力的审计证据。审计人员在工作中,应该尽量将审计程序复杂化或者多样化,使医院的管理人员难以预料到审计人员的审计程序,避免管理人员利用期间的审计漏洞而进行各种违规作假行为。此外,审计人员工作时也可尽量使某些审计程序避开管理人员,并充分利用医院内部的审计线索,获取有力的审计证据。第三,提高审计人员的职业道德素质。职业道德素质是树立良好工作作风的基础,审计人员是医院内部控制人员,其工作的公正性直接关系着会计信息的真实性和准确性,对医院的管理和经营活动有着重要的影响。因此,要重视对审计人员职业道德素质的提高。审计人员的职业道德素质与其他部门的职业道德素质略有不同,审计人员必须具备的职业道德素质除了爱岗敬业、遵纪守法法以外,还要求其在进行审计工作时要坚持抱有怀疑的工作态度,对任何财务信息都要予以重视,对会计报表进行认真审计,防止报表中出现任何虚假信息。第四,医院会计报表审计风险评估需要审计人员对审计风险进行全方面的分析与评估,准确找出审计的重点[3]。审计风险评估需要根据审计风险的要素类型进行详细区分,不同的审计风险要素在不同的会计报表中的风险表现高低程度不同,要求审计人员必须根据不同的风险要素进行风险评估,并找出审计的重点和审计重点的相关方面。第五,审计风险评估要抓重点,尤其重视审计风险总体评估较高的项目。对于审计风险总体评估较高的项目,审计人员要尤其重视,要求审计部门增加对该项目的分配时间,并分配经验更加丰富的专业审计人员,使审计人员与专家人员共同对该项目进行分析和调查。
四、结语
综上所诉,医院进行会计报表审计风险评估是新医改的要求,对于提高医院会计报表审计工作的工作效率,找出审计重点有着重要的作用。医院加强会计报表审计工作风险评估的具体对策有保证医院会计报表审计工作的相对独立性、获取更加有力的审计证据、提高审计人员的职业道德素质、根据风险要素进行审计风险评估以及重视审计风险总体评估较高的项目等。
作者:韩文 单位:湖北省应城市人民医院
参考文献
中图分类号:F239 文献标识码:A 文章编号:1001-828X(2013)06-0-02
现代公司治理是以科学决策为核心,以平衡利益相关者利益为基点,从而使股东长远价值最大化的治理。公司治理是将公司的外部受托经济责任转化、分解到内部受托经济责任的机制。因此,良好的公司治理能够有效地促进经管者履行对所有者的受托经济责任,能够有效地降低财务报表重大错报风险。注册会计师能够依据公司治理评价结论评估财务报表重大错报风险,实施审计风险评估。而审计风险评估作为确保受托经济责任有效履行的机制,其必能够成为公司治理的有效工具,为公司治理服务。
一、公司治理与审计风险评估机制的关系
审计理论认为,受托经济责任关系的存在是审计产生、发展的首要前提。审计的本质功能是保证和促进受托经济责任的全面有效履行。同时,受托经济责任关系的存在,也要求建立完善的公司治理,从而促进受托经济责任的全面有效履行。因此,保证和促进受托经济责任全面有效履行是审计与公司治理的共同目标。
另一方面,审计风险评估机制与公司治理之间也是紧密联系、相互影响的。公司治理构成审计风险环境的一个有机组成部分,公司治理的健全性和有效性影响着审计功能的发挥;而审计风险评估机制是促进公司治理进一步完善并保证其有效运行的重要手段。
二、公司治理层面的风险控制体系
按照信息经济学的信息不对称理论,注册会计师只能根据公司治理结构的信号传递机制,来判断其治理结构是否有效,评估公司治理层面的控制风险。内部控制的三个关键要素是人员、资金和信息。因此,注册会计师对公司治理层面控制风险评估,应该以控制理论中的三个基本要素为主,在此基础上考虑其他影响公司治理控制系统的因素,全面评估公司治理结构的制度安排及其运行效率。
1.公司治理组织结构及其运行风险的识别及评估。首先,注册会计师应该对公司治理组织结构健全性评估:股东会的建立及其相应的制度机制是否按照所有股东意愿进行安排,是否代表了所有股东的共同利益。这是公司治理顶级层面的内部制度安排,是公司治理结构中统揽全局的重要组成部分。它决定着监事会以及董事会的设置与运行,是传递给注册会计师的首要信号。其次,注册会计师应该对公司治理组织运行有效性进行评估。即股东会是否按照制度安排正常运行,股东会在公司治理层面上建立的组织是否有效地管理、监督、制衡了经营者的经营活动。
2.资金监控风险的识别及评估。资金监控应单独作为一项考查内容,列入公司治理控制风险评估体系。其所传递的信号直接决定了在会计报表审计过程中的审计重点。
首先,应该审查企业是否已经建立了必要的资金监控机制,相应的政策和程序是否存在。在决策过程中实施资金监控,将资本性支出决策权、预算审批权、资金调度权在股东会与董事会之间建立制衡机制,形成权力边界,以保证决策的科学性和资金的安全性。
其次,对资金监控机制有效性进行评估。检查股东会对董事会以及高级管理层资金运用的监控机制是否有效,近期内的重大投资项目是否经过股东会的通过,可行性论证是否科学。
3.治理信息传递风险的识别及评估。公司治理信息传递机制是直接影响治理层面控制风险的因素,通过这一机制的评估,可以使注册会计师了解治理层面基本运行情况以及存在的潜在问题。由于董事会信息传达直接关系到最终投资者的利益,所以注册会计师应该把董事会这个信息枢纽中心作为信息传递风险评估的关键环节。会计信息从管理层生成、加工到呈报董事会,使之如实披露报告。监事会应该能够直接检查公司财务状况,并及时听取董事会尤其是审计委员会的报告,监督的信息应及时报告给股东会。
4.公司治理效率的综合评估。以上所分析的三个方面是影响公司治理层面控制风险的重要因素,三者相互连接,相互作用,构成公司治理层面控制的有机整体。所以在对上述三方面进行评估之后,要对公司整体的治理效率进行综合评估。公司治理组织结构的健全及其有效直接影响了资金监控以及治理信息的传递,同时资金监控机制以及治理信息传递机制体现了公司治理结构的健全有效性,能够促进和推动治理结构的优化和完善。注册会计师只有以公司治理效率的综合评估为基础,才能量化公司治理层面的控制风险,才能纳入审计风险评估体系中。
三、公司治理基础上风险评估机制完善的基本实施路径
(一)建立公司治理评价标准体系,实施公司治理评价
自20世纪90年代提出公司治理概念以来,学术界积极地研究公司治理评价的技术分析。目前,已有众多的研究组织和咨询机构都从不同的角度提出了可行的公司治理分析评价技术模型,并得到了一定程度的运用。这些治理评价手段可以帮助审计师在实施基本审计程序前进行先导性治理分析,从而以治理为导向有效开展审计工作。当前主要的评价标准体系见表1(崔如波,2004)。
随着经济全球化的快速发展,企业之间的竞争日趋激烈,因此面临的经营风险不断增加。如何加强企业内部审计风险管理,对审计风险进行客观评估,并采取相应措施尽量避免和有效控制内部审计风险,提高审计质量,已成为当下审计理论研讨的主要课题和内部审计人员必须密切关注的问题。本文从审计风险定义、审计风险评估和风险评估步骤三个方面,结合具体事例探讨了企业内部审计风险规避问题。
■
一、审计风险与评估目的
国际审计准则第25号《重要性和审计风险》将审计风险定义为:“审计风险是指审计人员对实质上误报的财务资料可能提供不适当意见的风险。”在内部审计领域,内部审计风险具体表现为内部审计人员未能发现被审计单位经营活动及内部控制中存在的重大差异或缺陷而做出不恰当审计结论的可能性,是由客观风险和主观风险两方面要素组成的。
那么,这三者是如何导致审计风险的呢?一是固有风险独立于会计报表审计之外存在的,是审计人员无法改变其实际水平的一种风险。二是被审计单位内部控制未能及时防止或发现其会计报表上某项错报或漏报的可能性必然存在,审计人员无法防范控制风险。三是审计人员通过预定的审计程序未能发现被审计单位会计报表上存在的某项重大错报或漏报的可能性存在,会导致检查风险,但检查风险可以通过审计人员进行控制和管理。
风险管理旨在为组织目标的实现提供合理保证。首先,评估审计风险是为了控制审计风险,保证审计质量。其次,评估审计风险是为了更好的规划审计,提高审计效率。另外,在审计风险评估过程中,审计人员通过调查了解一旦确认被审计单位管理中存在的问题和面临的风险,审计人员可以据此提出有针对性地改进管理的建议,促进被审计单位进一步加强管理,从而增强审计效果。
二、审计风险评估的步骤和方法
(一)确定可以接受的审计风险
可接受审计风险水平的确定,应综合考虑各方面因素:一是报告方面的考虑,如报告主要使用者的需求、标准等;二是经营方面的考虑,如总体经济环境、行业、关键成功因素等;三是规章制度方面的考虑;四是被审计单位财务和资本化状况;五是被审计单位与主要客户、供应商、相关团体之间的独立程度;六是收集审计证据的轻松程度和成本。对于大多数被审计单位来说,除特殊情况外,一般情况下可接受审计风险水平为5%,审计保证系数为3,审计保证程度为95%。
(二)了解被审计单位及其环境,评估固有风险
了解被审计单位及其环境是审计人员对被审计单位经营活动及内部控制中存在的风险进行评估的必要程序,是一个连续和动态地收集、更新与分析信息的过程,贯穿于整个审计过程的始终。审计人员应当运用职业判断确定需要了解被审计单位及其环境的程度,识别和评估重大错报风险。
1、询问程序
询问被审计单位管理层和内部其他相关人员,可以考虑向管理层和财务负责人询问。除了询问管理层和财务负责人外,还应当考虑询问内部审计人员、采购人员、销售人员、生产人员等人员,并考虑询问不同级别的员工,以获取对识别重大错报风险有用的信息。
2、分析程序
分析程序是指审计人员通过研究不同财务数据之间以及财务数据与非财务数据之间的内在关系,对财务信息作出评价。在实施分析程序时,要预期可能存在的合理关系,并与被审计单位记录的金额、依据记录金额计算的比率或趋势相比较。如果发现异常或未预期到的关系,应当在识别重大错报风险时考虑这些比较结果。
3、观察和检查
通过此程序,可以印证对管理层和其他相关人员的询问结果,并提供有关被审计单位及其环境的信息。一是观察被审计单位的生产经营活动;二是检查文件、记录和内部控制手册;三是阅读管理层和治理层编制的报告,如年度财务报告、股东大会、董事会、高级管理层会议的会议纪要,管理层的讨论分析材料、经营计划和战略,投资项目的可行分析报告等;四是实地察看被审计单位的生产经营场所和设备;五是追踪交易在财务报告信息系统中的处理过程(穿行测试),确定被审计单位的交易流程和相关控制是否与之前了解的相一致,并确定相关控制是否得到执行。
只要有某种迹象表明可能存在重大错误,就应取固有保证系数为0,固有风险评估为100%;一般情况下,即使在各方面情况较好,出错可能性较小的情况下,固有保证系数至少应取0.7,及固有风险水平为50%。
(三)对被审计单位内部控制进行测评,评估控制风险
1、了解被审计单位内部控制的主要内容
(1)针对被审单位整体,了解控制环境、风险评估和监督要素。一是了解控制环境,因为控制环境的好坏直接影响到特定控制活动的有效性;二是对风险评估要素调查,主要内容是被审计单位如何确定风险、评估风险,如何将风险发生的可能性与管理目标、经营计划和财务报告的相关内容联系起来并采取相应措施;三是对监督要素进行调查,主要内容是被审计单位为监督各项工作的运行而使用的预算、计划、责任报告等制度与方法,内部审计部门的设置和工作情况。
(2)针对被审单位整体和各主要业务领域,了解信息与沟通要素。审计人员调查信息与沟通要素的重点是被审计单位的会计系统,应查明以下事项:被审计单位经营活动的主要业务类型,处理各类经济业务的程序,各项业务的会计处理程序和所依据信息的来源,会计系统的设计和重要的会计凭证、账簿种类以及会计报表项目,各部门间信息的传递方式等。
(3)针对被审单位各主要业务领域,了解控制活动要素。审计人员调查了解控制活动要素的主要包括:被审计单位各项业务处理程序的授权批准,职责分工,实物控制,凭证与记录的实质和运用,独立的检查程序等控制手段的设置情况。
2、调查了解被审计单位内部控制的方法
(1)询问。询问的对象通常包括被审计单位管理部门、监督人员和普通工作人员等不同层次。通过向不同层次的人员实施相互印证式的询问,可以从侧面验证被询问者答复的真实性。
(2)检查。检查被审计单位的各项管理制度和相关文件,并与管理人员和工作人员进行讨论,从而判断他们对文件中的有关规定的解释和理解是否恰当。检查内部控制过程中生成的凭证和记录,一方面审计人员能更好的理解内部控制文件的精神,增加对内部控制各要素的感性认识,另一方面,还可以提供内部控制执行情况的证据。
(3)观察。实地观察被审计单位的业务活动和内部控制的实际运行情况。进一步加深对内部控制设置和执行情况的了解和认识。
(4)穿行测试。证实对交易流程和相关控制的了解。在若干主要业务领域中选择一笔或几笔具有代表性业务和事项进行测试,以验证内部控制的实际设置是否与审计工作底稿上所描述的内部控制相一致。可以将观察、询问以及检查等方法有效结合起来。
3、对内部控制进行初步评价
在识别和了解控制后,根据执行上述程序及获取的审计证据,需要评价控制设计的合理性并确定其是否得到执行。首先是初步评价内部控制的健全性和合理性。其次是对各主要业务和会计领域的控制风险水平作出初步评估。第三是对是否依赖被审计单位的内部控制进行审计做出决策。如果认为内部控制较为健全、合理,通过实施内部控制测试,验证内部控制的有效性,就相应缩小实质性测试的范围,确定实质性测试的程序和重点。如果进行了健全性和合理性评价后认为被审计单位的内部控制不够健全,弱点较多,不能作为实质性测试中抽样检查的基础,那么审计人员就不应对内部控制加以依赖,直接进入实质性测试。
通常进行健全性和合理性评价后,发现被审计单位存在以下问题时,就可决定不依赖其内部控制:一是相关的内部控制风险水平初步评估为高水平,二是对内部控制进行内部控制测试的工作量可能大于进行内部控制测试所能减少的实质性测试的工作量。
(四)在决定依赖内部控制的情况下,对内部控制的执行情况进行测试
1、内部控制测试的分类
内部控制测试是审计人员为了确定被审计单位内部控制的设置执行情况和有效程度而实施的审计程序。只有在审计人员决定依赖内部控制时,才有必要根据所评估的控制风险水平的高低,设计相应的内部控制测试程序。
(1)业务程序测试。即审计人员选择若干笔具体的典型业务,沿业务处理过程检查业务处理程序超过规定的控制点是否得到执行,以判断控制措施的遵循情况。
(2)功能测试。即审计人员针对业务处理程序中的关键控制点,选择若干时期的同类经济业务进行测试,检查其是否真正发挥作用,效果如何。
2、内部控制测试的方法
(1)询问。即审计人员在内部控制测试和评价中,为了了解被审计单位各项业务操作是否符合控制要求,而向有关人员询问某些业务执行情况的方法。
(2)观察。即审计人员在内部控制测试中,身临被审计单位的工作现场,实地察看有关人员的工作情况,以确定规定的控制措施是否得到了严格执行的方法。
(3)检查。即审计人员在内部控制测试中,抽取一定数量的账表、凭证等数据文档和其它有关资料文件,检查其是否存在控制措施线索,以判断内部控制是否得到有效贯彻执行的方法。
(4)重做。即审计人员在内部控制测试中,将某项交易业务按照被审计单位规定的程序全部或部分重做一次,以验证既定的控制措施是否被贯彻执行。
(五)根据测试结果对内部控制进行再评价
审计准备阶段,审计人员已通过调查了解,对内部控制的可依赖性和控制风险水平、控制保证系数作了初步评价,并在此基础上执行了审计方案。经过了内部控制测试后,审计人员对被审计单位内部控制的实际运行情况和控制效果有了更深入的了解,可能发现内部控制的实际运行情况和原先了解得不一致,这时就需要根据内控测试的结果对内部控制进行再评价,重新调整控制风险水平和控制保证系数,据以确定是否需要调整审计方案。首先,评价内部控制测试获得的证据,然后是评价控制风险。如果出现下列情况之一,该审计人员应将控制风险确定为高水平:一是被审计单位的内部控制薄弱,二是审计人员无法对内部控制的有效性作出评价,三是审计人员不准备进行内部控制测试。
(六)按照审计风险模型确定检查风险,并据此确定实质性测试的范围和重点
审计人员通过对被审计单位内部控制实施调查了解,评价固有风险,然后通过内部控制测试,对被审计单位控制风险作出评价。根据该评价结果,审计人员合理运用专业判断,考虑相关影响因素,按照审计风险模型(审计风险=固有风险×控制风险×检查风险)推导出检查风险(检查风险=审计风险/(固有风险*控制风险))。根据确定的检查风险水平,合理设计对各交易类别和帐户余额的实质性测试。
具体来说,如果审计人员评价被审计单位内部控制风险较低,那么审计人员可以重点进行符合性测试,执行有限的实质性测试,就可以确保审计风险处于可接受水平。相反,如果内部控制风险较高,那么审计人员只有依靠执行更多的实质性测试,才能确保审计风险保持在可接受水平。
结束语
综上所述,审计风险是客观存在的,审计风险评估必然始终贯穿整个审计过程。审计人员只有始终保持风险意识,充分应用风险评估程序,合理确定审计风险水平,才能提高审计工作质量,有效规避审计风险。
参考文献:
[1]中国注册会计师协会.《独立审计具体准则第9号――内部控制与审计风险》,1996年12
关键词 建立现代模型 规避 探讨
任期经济责任审计的特殊性表明传统的审计风险模型已不适应经济离任审计的需要。现代审计风险模型,引进“重大错报风险”概念,提出了新的审计理念,降低了审计风险和审计成本,提高经济责任审计的效率和质量。
一、传统的审计风险模型的缺陷
(一)传统的审计风险模型AR=IR×CR×DR难以对领导者的品行、执政理念等因素所带来的审计风险进行评估。因为,经济责任审计对象与常规审计对象不一样,一方面在经济责任审计中,既要对事,又要对人,尤其是被审计人员为党政机关的负责人。本人的经济行为往往受到其意识所支配,为此在经济离任审计过程中很有必要了解被审计人的品行、执政理念支配下所产生的经济行为而带来的风险,而传统的审计风险模型难以胜任这种特殊的任务。
(二)经济责任审计对象与审计资源极其不对称,从而使传统审计风险模型中的检查风险达不到人们可接授的水平。经济审计内容从时点看,跨年度长,涉及到的审计工作量比常规审计量多出几倍甚至好几倍;从审计证据内涵看,既要需要财务信息又要收集非财务信息;审计的要求看,经济责任审计既要审计资产、负债、损益的真实性,又要审查领导干部投资决策是否造成损失浪费情况。面对这样的审计环境,审计资源极其有限,按传统的审计方式、方法在取证方面就难以保证审计的完整性和全面性,从而检查风险根本上达不到人们可接授的水平,审计结果难以得到社会公众接受和认可。
(三)传统的审计风险模式在实际运用中基本上是流于形式。风险评估的要求。传统的审计风险模型是AR=IR×CR×DR,AR是依赖内部控制而评估的审计风险。审计风险的内涵和外延仅在于内控制度,如果内控制度不成熟或不可靠,那就此评估出来的审计风险就根本不切合实际,在审计过程中可能起着误导性作用。固定风险和控制风险在实际评估中很难区分开来,为稳健起见,审计人员往往不去评估(认定为100%)使其流于形式。
(四)不适应政府的职能的变化。当今我们建立的是有效政府、责任政府。所谓责任政府即指政府的一切行政行为及其结果,必须对人民负责,接受人民监督。政府经济责任最终体现在是否切实充分地体现广大人民利益。单靠传统的审计风险模式难以评判经济责任人的经济风险。
二、建立现代审计风险评估模型的探讨
(一)现代审计风险评估模型确定。经济离任审计风险众说纷纭,如审计程序风险、被审计单位的复杂环境带来的风险、法律法规滞后带来的审计风险等等。经济离任审计风险概括起来可分为两类,一类为审计人员能够避免的审计风险即检查风险,另一类为审计人员无法避免,但审计人员必须认识和了解并要确切地评估的审计风险。为此,经济离任审计风险应该两个基本要素构成即客观风险要素和主观风险要素,客观要素可为重大要素和例外要素,由此审计风险模型可以确定为:审计风险=重大审计风险*检查风险(剩余风险)。
(二)现代审计风险评估模型的优点
1.引入“重大审计风险”元素,改变审计方式、方法
现代审计风险准则引入“重大错报风险”概念,将经经济责任审计风险设想为“重大审计风险”要素和“剩余风险”两要素。最大优点是,可从人的意识形态入手判断人的经济行为,以此确定人的主要行为方向,并作为第一考虑要素,避免了单依赖于制度审计的弊端。在模型中规定了重大审计风险是第一审计程序,并以此作为审计导向。这样就能使审计工作直接进入重点审计领域,避免不必要的审计执行路径,提高了审计质量和效率,节省审计成本。
2.重视整体观,充分发挥审计资源
现代审计风险准则从整体到局部的审计思路,为审计人员从整体上把握和控制审计风险,以现代审计风险导向,确定重大审计风险领域,便于集中审计资源用于重点审计区域,充分发挥有限的审计资源,解决经济离任审计资源严重不足问题。
3.审计的着眼点转向“经济责任”,提高经济责任审计的实效性
经济责任审计着重于领导者的经济责任,而领导者的经济责任主要在于经济管理和决策方面,现代审计风险模型着眼于领导者的经济责任,在审计风险评估中把领导者的经济管理弊端和决策过程纳入审计风险的评估范围,审计工作的目的更符合经济责任审计的要求。
三、认定重大审计风险领域探讨
(一)认定原则。现代风险导向审计程序遵循“分析、评估、执行”的原则,通过执行分析分析性程序,在分析过程可按照下列思路展开:领导者执政理念分析―决策过程分析―用人导向分析―党的政策、法律法规执行情况分析―政绩、业绩分析―重大审计风险分析―剩余风险分析。在通过分析确定重大审计风险基础上进行按下列程序执行审计:重大审计风险分析、符合性测试、实质性测试。
(二)认定内容。认定内容是确定“重大审计风险”的关键环节。认定内容可从侧重从以下几方面入手:1.在意识形态方面:领导者是否有的世界观、人生观、权利观;2.经济行为方面:工作出发点、对党的方针政策执行情况、国有资产是否保持增值、任期内职责履行情况、经济行为是否符合国家政策,是否符合法律、,法规等等;3.领导决策方面:是否讲民主、讲科学;4.用人方面:是否以提拔优秀人才作为用人导向,是否存在“小团体”、“派系”,有否上下串通,为已所用。通过以上几方面分析,查找“偏差”和管理上的薄弱环节,作为审计风险导向,按其“偏差”和管理上存在问题的程度确定“重大审计风险领域”。
(三)进行符合性测试确保认定的有效性。审计人员完成“重大审计风险”评估后,如果有必要依赖“评估”的结果,应执行下列程序进行符合性测试,如果有差异存在应重新评价,以调整“重大审计风险”水平,确保认定的有效性。
1.民主测评。审计机关应转变审计理念,在审计过程中建立现代风险导向机制重新界定审计风险,按照“从上而下,从下而上”的思路对被审计单位各层次的人员进行测评,从源头上把握正确的审计方向。民主测评要求群众参与监督,群体是深入基层的实践者也是最了解实际情况的,又是来自于阶层、各部门、各地方,具有广泛性和代表性,民主测评能够反映领导者经济行为的政治方向,其测评结果可以作为经济审计导向分析的依据,也是经济责任审计中不可缺少的重点程序,是发现审计线索的重要手段。
2.开座谈会。开座谈会是一种最有效的方法。通过座谈,从中取得一手资料,分析领导干部的执政理念,经济行为是否符合党的方针政策、经济管理是否科学民主、是否切实充分地体现广大人民利益。开座谈形式可为集体和个人形式,它是经济离任审计不可缺少的程序。
经过对环境保护项目单位内部控制活动进行调查和初步测评,审计认为:
(1)经济活动缺乏有效内部管理。县、乡(镇)、村大多没有建立充分的内部控制制度,或是有制度不依,形同虚设。如有的单位经济合同缺乏必备要素、购货不签订购销合同、赊账购货不做账务处理、收发存物资没有记载、施工小班无工时记录等。
(2)现金收支管理失控。县、乡(镇)、村三级专项资金管理粗放,普遍存在从银行大量提现,频繁的现金交易,专项资金存入个人账户等问题,成为最大的控制风险。
(3)资金运行缺少有力外部监督。以生态环境综合治理工程为例,一是现有的监督体系未能发挥充分的作用。来自林业、农业、水利的工程监理人员,履行的监督义务主要是针对工程质量和完成情况。二是对工程资金监督作用非常有限,尤其对工程资金的支付实施控制时,监理人员根本无法与地方政府和各主管部门抗衡。三是缺乏强有力的外部审计监督。在调查的6个县中仅有一个县引入了国家审计监督,从实际效果来看,资金使用风险比较小,而其他县专项资金运行安全性较差。
3、检查风险:鉴于固有风险和控制风险较高,按照风险基础审计要求,要保证审计质量,必须实施详尽深入的测试。但在审计实践中发现,有些检查风险难以控制,处于比较高水平。
(1)审计人员专业知识缺陷。审计人员的专业结构多限于经济类、管理类、法律类和计算机类,很少涉及环境保护类专业,加大审计取证风险。当前受多种因素制约,审计机关聘请专门技术人员还很难做到。
(2)受审计成本效益影响,项目总体评价困难。环境保护专项资金使用起来,点多、面广,而审计资源是有限的,这就造成审计人员在有限审计资源约束下无法对专项资金实施全面审计。同时,由于点多、面广,各项目实施地区之间在资金分配、管理方式等方面存在很大差异,不具备相同或相似的总体特征,因此审计人员无法实施统计抽样,而只能进行判断抽样。采用判断抽样,就难以根据样本的特征科学地推断总体特征,所以对项目的评价也主要限于抽样单位,“审什么、评什么”,对项目总体的评价风险比较大。
(3)项目投资效益难以评价。环境保护项目是一项见效时间长的项目,生态效益的出现,往往要等十几年甚至几十年,在进行效益审计时,根据工程当年的效益情况,评价以后的效益往往是不可能的。另外,影响环境保护项目的不定因素很多,如林草的成活率,受气候条件影响很大,夏季审计时的林草成活率,到了秋天可能又是另外一种状况。
三、降低环境审计风险的艰巨性
从上面的论证可以判定,环境审计处于高风险领域,规避风险十分困难,由此产生的后果应引起审计机关和审计人员的高度重视。
1、实施判断抽样,必然面临过度信赖风险和过度拒绝风险的两难选择。
在实施了必要的审计程序之后,如果产生过度信赖风险,被审计单位的舞弊行为未被发现,将直接影响审计质量。另外,如果舞弊行为被后来的审计或检查发现,原审计单位将面临多方面的压力,甚至被追究责任。
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 18. 025
[中图分类号] F239.4 [文献标识码] A [文章编号] 1673 - 0194(2012)18- 0045- 01
1 风险导向审计发展背景
风险导向审计产生并经过一定程度的发展滞后,美国注册会计师协会于1983年提出了审计风险模型:审计风险=固有风险×控制风险×检查风险。在审计过程中,审计师以此模型为指导,解决交易类别、账户余额、披露和其他具体认定层次的错报,发现经济交易和事项本身的性质和复杂程度发生的错报,发现企业管理层由于本身的认知和技术水平造成的错报,以及企业管理层局部和个别人员舞弊和造假造成的错报,最终审计师将审计风险控制在可接受的水平。
但是,传统风险导向审计固有的缺陷,它在发现高层舞弊、虚构交易方面效力不够。2003年10月,国际审计和鉴证准则委员会了一系列新的审计风险准则,要求审计师在审计过程中更深入地进行风险评估,并对审计风险模型作出重大改动,将企业的整体经营风险所带来的重大错报风险作为审计风险的一个重要构成要素加以评估。新的审计准则明确指出,被审计单位面临着各种各样的经营风险,在财务报表审计中,审计时并不是要关注所有的风险,而是只需要关心与财务报表有关的风险。审计风险是指财务报表存在重大错报而审计师发表不恰当审计意见的可能性,而不包括审计师错误地认为财务报表含有重大错报的风险。修改后的审计风险模型为:审计风险=重大错报风险×检查风险。
2 重大错报风险概述
所谓重大错报风险即是指财务报表在审计前存在重大错报的可能性。重大错报风险包括两个层次:认定层次和财务报表整体层次。认定层次风险是指交易类别、账户余额、披露和其他相关具体认定层次的风险,包括传统的固有风险和控制风险。认定层次的错报主要指经济交易的事项本身的性质和复杂程度发生的错报,企业管理层由于自身的认识和技术水平造成的错报,以及企业管理层和个别人员舞弊和造假造成的错报。
财务报表整体层次风险主要指战略经营风险。把战略风险纳入现代审计模型,可建立一个更全面的审计风险分析框架。战略经营风险是审计风险的一个高层次构成要素,是财务报表整体不能反映企业实际经营情况的风险。这种风险源自于企业可观的经营风险或企业高层串通舞弊、虚构交易。传统审计风险模型解决的是企业的交易和事项在本身真实的基础上,怎样发现财务报表存在的错报,将审计重点放在各类交易和账户余额层次,而不从宏观层次考虑财务报表可能存在的重大错报风险,这很可能只发现企业小的错误,却忽略大的问题;现代审计风险模型解决的是企业经营过程中管理层串通舞弊、虚构交易或事项而导致财务报表存在错报,怎样去进行审计的问题。
3 被审单位存在重大错报风险的可能性事项
当存在以下事项和情况时,审计师应当关注被审计单位是否存在重大错报风险,具体包括:在经济不稳定的国家或地区开展业务;在高度波动的市场开展业务;在严厉、复杂的监管环境中开展业务;持续经营和资产流动性出现问题,包括重要客户流失;融资能力受到限制;行业环境发生变化;供应链发生变化;开发新产品或提供新服务,或者进入新的业务领域;开辟新的经营场所;发生重大收购、充足或其他非经常性事项;拟出售分支机构或业务分部;复杂的联营或合资;运用表外融资、特殊目的实体以及其他复杂的融资协议;存在未决诉讼和或有负债等。审计师应当充分关注可能表明被审计单位存在重大错报风险的上述事项和情况,并考虑由于上述事项和情况导致的风险是否重大,以及该风险导致财务报表发生重大错报的可能性。
审计师应当明确,识别的重大错报风险是与特定的某类交易、账户余额、列报的认定相关,还是与财务报表整体广泛相关,进而影响多项认定。某些重大错报风险可能与特定的各类交易、账户余额、列报的认定相关。例如,被审计单位存在复杂的联营或合资,这一事项表明长期股权投资账户的认定可能存在重大错报风险。又如,被审计单位存在重大的关联方交易,该事项表明关联方及关联方交易的披露认定可能存在重大错报风险。
4 识别和评估重大错报风险的审计程序
在识别和评估重大错报风险时,审计师应当按照以下步骤实施审计程序:
(1)在了解被审计单位及其环境的整个过程中识别风险,并考虑对各类交易、账户余额、列报等认定层次的影响。审计时应当运用各项风险评估程序,在了解被审计单位及其环境的整个过程中识别风险,并将风险与各类交易、账户余额、列报相联系。例如,被审计单位因相关环境法规的实施需要更新设备,可能面临原有设备闲置或贬值的风险;宏观经济的低迷可能预示应收账款的回收存在问题;竞争者开发的新产品上市,可能导致被审计单位的主要产品在短期内过时,于是将出现存货跌价和长期资产的减值。
实务中,审计过程的风险及相互关系用下面公式表示,即“审计风险=重大错报风险×检查风险”,其中,重大错报风险包括财务报表和认定两个层面的重大错报风险。本文要讨论的是财务报表层面的重大错报风险。财务报表层面是对财务报表影响广泛的意思,它涉及多个科目和账户余额,对财务报表真实、准确、完整影响广泛。那么,财务报表层面风险就是指与某一特定事件相关的多个科目和账户余额同时出现错报的可能性。从定义可以判断出,该风险是一个时间段下的结果,是被审计单位一定运作过程下的产物。经营过程作为财务报表数据的来源,正是企业期间运作的过程。所以,经营过程是财务报表层面风险的来源。经营过程是由若干经营活动组成,经营活动风险(也就是经营风险)过大就会引起相应财务报表层面风险的产生。也就是说,经营风险是造成财务报表层面风险的原因。为从根本上发掘风险来源,就有必要继续分析风险影响因素。所以,本文风险评估指标体系构建的对象是经营风险及经营风险的影响因素。
二、指标选取的理论探讨
经营风险是企业经营过程由于计划、决策、管理的不恰当造成企业经营失败的可能性,是企业必须要关注的风险。经营风险形成的原因很多,总体分为三个方面:一是战略失误,二是内部控制薄弱,三是经营活动低效率。从内部控制角度讲,企业的构成分成两个方面:一是企业占有的资源,二是内部控制。这样,企业的运作可以被表述为内部控制下的企业占有的资源在企业内部、企业内外部间的流动。基于此,企业运作下所有有形和无形的产物就与内部控制存在联系,而且这种联系具有广泛性和普遍性。因此,在内部控制被纳入指标评估后, 要区分其与战略、经营活动的关系。
当内部控制与知识资源结合时,就会生成战略。战略是企业经营总的方向和规划,是企业的知识资源和内部控制结合的产物,具有资源和内控的双重属性。战略具备内控属性,任何战略都是内部控制下的战略;但是,战略又具有资源属性,简单将其划入内部控制而不单独讨论是不恰当的。再者,战略对企业经营影响重大。其意义在于为企业确定正确恰当的目标和实现步骤。目标是否正确恰当对企业生存和发展是至关重要的,是第一位的;错误不当的目标只会使企业离成功越来越远,经营风险增大;目标实现步骤是否合理和可操作有助于企业循序渐进的发展,避免冒进式决策给企业带来的风险。因此,从上述两方面讲将战略放到与内部控制同等地位,讨论其对经营风险的影响是必要的。
经营活动风险的评估是对企业在内部控制约束下战略执行结果风险的评估,具有事后性。其意义在于印证战略风险在内部控制下和内部控制自身风险在自我修复完善机制下被控制的程度,以及有助于在发现计划外的风险后,重新追溯检查战略和内部控制风险评估的内容,使风险评估更加全面。因此,要把经营风险评估放到与内部控制、战略风险评估同等地位来对待。
在上述讨论中,明确了风险评估活动下,战略、内部控制和经营活动的关系和相同地位。由于三者间的联系,必须通过进一步分析找到风险的根源是战略、内控、还是经营活动。能明确区分被评估风险归属于战略、内部控制还是经营活动,对选择恰当的理论作指导,并进一步讨论意义重大。
(一)内部控制 内部控制是被审计单位为了合理保证财务报表的可靠性、经营的效率和效果以及对法律法规的遵守,由治理层、管理层和其他人员设计和执行的政策及程序。2008年6月28日的《企业内部控制基本规范》将内部控制分成了五个部分,即控制环境、风险评估、控制活动、信息与沟通和监督。这五部分组成内部控制的统一整体,但仍具有层次性。
由图1可以看出,内部控制分为三部分内容,即控制环境、控制主体部分(风险评估、控制活动和信息与沟通)、内部监督。其中,控制环境是基础,位于内部控制最低端;中间部分,包括风险评估、控制活动和信息与沟通,是主体和核心内容。内部监督是内部控制自我调节和完善部分,位于最顶端。从内容上讲,基础、主体、调节部分有鲜明的区分;从排列位置上讲,底部、中部、顶端是其功能性的体现,下面分别进行阐述。
控制环境作为内部控制框架体系的基础内容,其对整个内部控制的影响具有总体性。良性的控制环境能为内部控制的运转提供必需的条件,保证控制活动的顺利实现;薄弱的控制环境会造成有悖企业宗旨的因素流入控制循环中,阻碍控制的有效进行,降低内部控制运作效果,形成自身风险。相应审计风险增大。因此,在对内部控制自身风险分析时,控制环境风险评估是重要内容,应被纳入风险评估指标体系中去。
控制主体部分,包括风险评估、控制活动和信息与沟通,是内部控制的主体和实质部分。其运行机理如图:
由图2可以发现,控制主体部分是一动态部分,在现实中是企业运行最活跃、可观测性最强的部分。其以循环的形式存在,从企业制度、运作过程、员工、记录中都可以进行多次观测,便于风险的发现。再者,企业制度具备稳定性,在控制环境中的领导者诚信、企业文化和人力资源政策一定的前提下,不确定性内容减少,风险降低;加上其便于被发现,使得控制主体部分的风险对审计风险影响几乎为零,所以,控制主体部分(风险评估、控制活动和信息与沟通)的自身风险因素不被纳入本文风险评估指标体系构建中去。
内部监督是指对控制活动与控制制度是否相符的监察和督导,其目的是保证各控制活动受控制制度的约束,以使目标的实现更具有预测性和可控性。监督是对权力的一种制衡。因此,如果当监督关系是下级对上级监督,或平级间监督,那么这种关系不成立,内部监督是无效的。只有上级对下级监督形成的制衡关系才能成立(池国华2010)。这样,在内部控制体系中,治理层对管理层、管理层对执行层的制衡才是监督的真实体现,因此对内部监督的讨论,其实质是对治理层、管理层和执行层三者关系的讨论。可见治理层、管理层和执行层其实是控制环境中的内容,完善制衡关系与完善控制环境是一致的。
(二)战略 这里的战略指企业战略。企业战略是企业在考虑各种资源的情况下,根据企业的目标、目的制定实现这些目标、目的的方式。简而言之,企业战略是企业发展的长期性和全局性的谋划(丁宁、穆志强2005)。战略是企业的指导思想,为企业发展明确了方向;战略也是企业的规划,为企业发展制定了步骤。对于有持续经营意图的企业,正确的方向比经营能力更有意义;方向错误,经营能力越强,失败的概率就越大。同样,详细并且可操作性强的发展步骤,有助于企业发展的稳定性,增强了持续经营能力。由此可见,战略对企业经营成败的影响具有总体性和长远性特征,在影响企业经营的因素中处首要地位,其对审计风险的影响是重大的。因此,战略应被纳入到风险评估体系的构建中去。
企业的战略是否不利于企业近期发展,进而形成经营风险,试图通过从战略追溯至相对应经营活动和财务信息来验证,不具备可操作性。为证实两者的关系,有必要对战略形成过程进行分析,通过间接方式得出已有战略具体环节对企业经营风险的影响。
企业战略形成过程如图3:
企业远景与使命是与治理层的价值观和世界观直接联系的,是治理层主观世界的直接反映。由于治理层的建设是在控制环境部分探讨,因此,企业远景和使命应是内部控制下控制环境的内容。长期目标是远景和使命的现实化表现,可以一并归至控制环境中。企业环境分析是企业战略形成的关键,因为企业战略的实质就是平衡内外部环境的策略,既关注近期,又考虑到了远期。所以,企业环境分析对企业战略形成的意义重大,它是企业战略形成最主体内容。一方面企业环境分析是内部控制运作的一部分,是内部控制下的环境分析,带有浓重的控制色彩。另一方面内部控制有自身缺陷,无法100%达到运作预期,造成对一些环境分析的疏漏,企业外部复杂多变的环境仍给企业内控带来很重的压力。存在无法被控制的环境因素就比较正常了。因此,将企业环境分析与内部控制同等看待,纳入到风险评估体系中去,在审计谨慎性原则下就显得十分必要。
最后,企业战略方向选择和具体战略的制定,其是在环境分析后进行的。环境分析发现了风险问题,战略方向选择与战略制定提出解决问题的对策。对策合理与否,与已纳入风险评价体系中控制环境的人力资源政策直接相关,不再重复纳入。
(三)经营活动 由于影响经营风险的因素很多,仅对内部控制和战略相关因素评估无法完全涵盖对重大经营风险的评估。这样,对除内控和战略后剩余活动进行分析就显得很必要。再者,经营活动是内部控制下战略的延伸,对重大经营活动关注,发现其风险,并追溯至战略和内部控制加以验证,可以保证已完成的内部控制和战略评估结论的正确性和有效性。在坚持审计活动谨慎性原则下,将经营活动纳入到风险评估体系构建中是必要的。
综上所述,被纳入到风险指标构建的评估对象有内部控制中控制环境、战略中企业环境分析和经营活动。
三、指标选取
本文对三个方面(战略、经营活动和内部控制)具体内容细分,得出相应指标,如图4所示:
一、引言
从审计的角度,风险评估是现代风险导向审计的核心理念。无论是在历史财务报表审计还是在网络审计中,现代风险导向审计均要求审计师在执行审计工作过程中应以风险评估为中心,通过对被审计单位及其环境的了解,评估确定被审计单位的高风险领域,从而确定审计的范围和重点,进一步决定如何收集、收集多少和收集何种性质的证据,以便更有效地控制和提高审计效果及审计效率。从企业管理的角度,企业风险管理将风险评估作为其基本的要素之一进行规范,要求企业在识别和评估风险可能对企业产生影响的基础上,采取积极的措施来控制风险,降低风险为企业带来损失的概率或缩小损失程度来达到控制目的。信息安全风险评估作为企业风险管理的一部分,是企业信息安全管理的基础和关键环节。尽管如此,风险评估在网络审计、历史财务报表审计和企业信息安全管理等工作中的运用却不尽相同,本文在分析计算机信息系统环境下所有特定风险和网络审计风险基本要素的基础上,从风险评估中应关注的风险范围、风险评估的目的、内容、程序及实施流程等内容展开,将网络审计与历史财务报表审计和信息安全管理的风险评估进行对比分析,以期深化对网络审计风险评估的理解。
二、网络审计与历史财务报表审计的风险评估比较
(一)审计风险要素根据美国注册会计师协会的第47号审计标准说明中的审计风险模型,审计风险又由固有风险、控制风险和检查风险构成。其中,固有风险是指不考虑被审计单位相关的内部控制政策或程序的情况下,其财务报表某项认定产生重大错报的可能性;控制风险是被审计单位内部控制未能及时防止或发现财务报表上某项错报或漏报的可能性;检查风险是审计人员通过预定的审计程序未能发现被审计单位财务报表上存在重大错报或漏报的可能性。在网络审计中,审计风险仍然包括固有风险、控制风险和检查风险要素,但其具体内容直接受计算机网络环境下信息系统特定风险的影响。计算机及网络技术的应用能提高企业经营活动的效率,为企业的经营管理带来很大的优越性,但同时也为企业带来了一些新的风险。这些新的风险主要表现为:(1)数据与职责过于集中化。由于手工系统中的职责分工、互相牵制等控制措施都被归并到计算机系统自动处理过程中去了,这些集中的数据库技术无疑会增加数据纵和破坏的风险。(2)系统程序易于被非法调用甚至遭到篡改。由于计算机系统有较高的技术要求,非专业人员难以察觉计算机舞弊的线索,这加大了数据被非法使用的可能性。如经过批准的系统使用人员滥用系统,或者说,企业对接近信息缺乏控制使得重要的数据或程序被盗窃等。(3)错误程序的风险,例如程序中的差错反复和差错级联、数据处理不合逻辑、甚至是程序本身存在错误等。(4)信息系统缺乏应用的审计接口,使得审计人员在审计工作中难以有效地采集或获取企业信息系统中的数据,从而无法正常开展审计工作。(5)网络系统在技术和商业上的风险,如计算机信息系统所依赖的硬件设备可能出现一些不可预料的故障,或者信息系统所依赖的物理工作环境可能对整个信息系统的运行效能带来影响等。相对应地,网络审计的固有风险主要是指系统环境风险,即财务电算化系统本身所处的环境引起的风险,它可分为硬件环境风险和软件环境风险。控制风险包括系统控制风险和财务数据风险,其中,系统控制风险是指会计电算化系统的内部控制不严密造成的风险,财务数据风险是指电磁性财务数据被篡改的可能性。检查风险包括审计软件风险和人员操作风险,审计软件风险是指计算机审计软件本身缺陷原因造成的风险,人员操作风险是指计算机审计系统的操作人员、技术人员和开发人员等在工作中由于主观或客观原因造成的风险。
(二)风险评估目的无论在网络审计还是历史财务报表审计中,风险评估只是审计的一项重要程序,贯穿于审计的整个过程。与其他审计程序紧密联系而不是一项独立的活动。尽管如此,两者所关注的风险范围则有所不同。历史财务报表审计的风险评估要求审计人员主要关注的是被审计单位的重大错报风险――财务报表在审计前存在重大错报的可能性。由于网络审计的审计对象包括被审计单位基于网络的财务信息和网络财务信息系统两类,因此审计人员关注的风险应是被审计单位经营过程中与该两类审计对象相关的风险。(1)对于与企业网络财务信息系统相关的风险,审计人员应该从信息系统生命周期的各个阶段和信息系统的各组成部分及运行环境两方面出发进行评估。信息系统生命周期是指该信息系统从产生到完成乃至进入维护的各个阶段及其活动,无论是在早期的线性开发模型中还是在更为复杂的螺旋式等模型中,一个信息系统的生命周期大都包括规划和启动、设计开发或采购、集成实现、运行和维护、废弃等五个基本阶段。由于信息系统在不同阶段的活动内容不同,企业在不同阶段的控制目标和控制行为也会有所不同,因此,审计人员的风险评估应该贯穿于信息系统的整个生命周期。信息系统的组成部分是指构成该信息系统的硬件、软件及数据等,信息系统的运行环境是指信息系统正常运行使用所依托的物理和管理平台。具体可将其分为五个层面:物理层,即信息系统运行所必备的机房、设备、办公场所、系统线路及相关环境;网络层,即信息系统所需的网络架构的安全情况、网络设备的漏洞情况、网络设备配置的缺陷情况等;系统层,即信息系统本身的漏洞情况、配置的缺陷情况;应用层,即信息系统所使用的应用软件的漏洞情况、安全功能缺陷情况;管理层,即被审计单位在该信息系统的运行使用过程中的组织、策略、技术管理等方面的情况。(2)对于与企业基于网络的财务信息相关的风险,审计人员应着重关注财务信息的重大错报风险和信息的安全风险。重大错报风险主要指被审计单位基于网络的相关财务信息存在重大错报的可能性,它是针对企业借助于网络信息系统或网络技术对有关账户、交易或事项进行确认、计量或披露而言。网络审计中关注的重大错报风险与传统审CtT的内涵基本上是一致的,审计人员在审计时应当考虑被审计单位的行业状况、经营性质、法律及监管环境、会计政策和会计方法的选用、财务业绩的衡量和评价等方面的情况对财务信息错报可能的影响。信息安全风险涉及信息的保密性、完整性、可用性及敏感性等方面可能存在的风险,主要针对企业利用信息系统或一定的网络平台来存储、传输、披露相关财务信息而言。在审计过程中,审eta员应当主要关注相关财务信息被盗用、非法攻击或篡改及非法使用的可能性。当然,这两类风险并非完全分离的,评估时审计人员应将两者结合起来考虑。
(三)风险评估内容 广泛意义的风险评估是指考虑潜在事件对目标实现的影响程度。由于网络审计与历史财务报表审计风险评估的目的并不完全相同,因此两者在风险评估的内容上也是存在区别的。总的来说,网络审计的风险评估内容比历史财务报表审计的风险评估内容更广泛和深入。根据《中国注册会计师审计准则第1211号――了解被审计单位及其环境并评估重大错报风
险》,在历史财务报表审计中,审计人员的风险评估应以了解被审计单位及其环境为内容。为识别和评价重大错报风险,审计人员了解的具体内容包括被审计单位所在行业状况、法律环境与监管环境以及其他外部因素、被审计单位的性质、被审计单位对会计政策的选择和运用、被审计单位的目标、战略以及相关经营风险、被审计单位财务业绩的衡量和评价及被审it@位的内部控制等。在网络审计中。为了识别和评估上文所述的两类风险,审计人员除了从以上方面了解被审计单位及其环境外,还应该关注其他相关的潜在事件及其影响,尤其是企业的财务信息系统及基于网络的财务信息可能面l临的威胁或存在的脆弱点。其中,威胁是指对信息系统及财务信息构成潜在破坏的可能性因素或者事件,它可能是一些如工作人员缺乏责任心、专业技能不足或恶意篡改等人为因素,也可能是一些如灰尘、火灾或通讯线路故障等环境因素。脆弱点是指信息系统及基于网络的财务信息所存在的薄弱环节,它是系统或网络财务信息本身固有的,包括物理环境、组织、过程、人员、管理、配置、硬软件及信息等各方面的弱点。一般来说,脆弱点本身不会带来损失或信息错报,威胁却总是要利用网络、系统的弱点来成功地引起破坏。因此,我们认为网络审计申风险评估的内容应包括以下几方面:(1)识别被审计单位财务信息系统及其基于网络的财务信息可能面临的威胁,并分析威胁发生的可能性;(2)识别被审计单位财务信息系统及其基于网络的财务信息可能存在的脆弱点,并分析脆弱点的严重程度;(3)根据威胁发生的可能性和脆弱点发生的严重程度,判断风险发生的可能性;(4)根据风险发生的可能性,评价风险对财务信息系统和基于网络的财务信息可能带来的影响;(5)若被审计单位存在风险防范或化解措施,审计人员在进行风险评估时还应该考虑相应措施的可行性及有效性。
(四)风险评估程序《中国注册会计师审计准则第1211-----了解被审计单位及其环境并评估重大错报风险》中要求,审计人员应当实施询问、分析程序、观察和检查等程序,以获取被审计单位的信息,进而评估被审计单位的重大错报风险。这些程序同样适用于网络审计中的风险评估。但在具体运用时网络审计中更加注重了解和分析被审计单位与信息系统及网络技术使用相关的事项。在实施询问程序时,审计人员的询问对象围绕信息系统和基于网络的财务信息可大致分为管理人员、系统开发和维护人员(或信息编制人员)、系统使用人员(或信息的内部使用人员)、系统或网络技术顾问及其他外部相关人员(如律师)等五类,分别从不同角度了解信息系统和基于网络的财务信息可能存在的威胁和脆弱点。在实施分析程序时,除了研究财务数据及与财务信息相关的非财务数据可能的异常趋势外,审计人员应格外关注对信息系统及网络的特性情况,被审计单位对信息系统的使用情况等内容的分析比较。实施观察和检查时,除执行常规程序外,审计人员应注意观察信息系统的操作使用和检查信息系统文档。除此之外,针对特定系统或网络技术风险的评估,审计人员还需要实施一些特定的程序。技术方面如IOS取样分析、渗透测试、工具扫描、安全策略分析等;管理方面如风险问卷调查、风险顾问访谈、风险策略分析、文档审核等。其中,IDS取样分析是指通过在核心网络采样监听通信数据方式,获取网络中存在的攻击和蠕虫行为,并对通信流量进行分析;渗透测试是指在获取用户授权后,通过真实模拟黑客使用的工具、方法来进行实际漏洞发现和利用的安全测试方法;工具扫描是指通过评估工具软件或专用安全评估系统自动获取评估对象的脆弱性信息,包括主机扫描、网络扫描、数据库扫描等,用于分析系统、应用、网络设备存在的常见漏洞。风险问卷调查与风险顾问访谈要求审计人员分别采用问卷和面谈的方式向有关主体了解被审计单位的风险状况,使用时关键是要明确问卷或访谈的对象情况风险策略分析要求审计人员对企业所设定的风险管理和应对策略的有效性进行分析,进而评价企业相关风险发生的概率以及可能带来的损失;文档审核是一种事前评价方法,属于前置软件测试的一部分,主要包括需求文档测试和设计文档测试。这些特定程序主要是针对被审计单位信息系统和基于网络的财务信息在网络安全风险方面进行评价,审计人员在具体使用时应结合被审计单位的业务性质选择合适的程序。
三、网络审计与信息安全管理的风险评估比较
(一)风险评估的目的信息安全管理中的风险评估(即信息安全风险评估)是指根据国家有关信息安全技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程。作为信息安全保障体系建立过程中的重要的评价方法和决策机制,信息安全风险评估是企业管理的组成部分,它具有规划、组织、协调和控制等管理的基本特征,其主要目的在于从企业内部风险管理的角度,在系统分析和评估风险发生的可能性及带来的损失的基础上,提出有针对性的防护和整改措施,将企业面临或遭遇的风险控制在可接受水平,最大限度地保证组织的信息安全。而网络审计是由独立审计人员向企业提供的一项鉴证服务,其风险评估的目的在于识别和评价潜在事件对被审计单位基于网络的财务信息的合法性、公允性以及网络财务信息系统的合规性、可靠性和有效性的影响程度,从而指导进一步审计程序。因此,两者风险评估的目的是不一样。从评估所应关注的风险范围来看,两者具有一致性,即都需要考虑与信息系统和信息相关的风险。但是,具体的关注边界则是不一样的。信息安全风险评估要评估企业资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响,它要求评估人员关注与企业整个信息系统和所有的信息相关的风险,包括实体安全风险、数据安全风险、软件安全风险、运行安全风险等。网络审计中,审计人员是对被审计单位的网络财务信息系统和基于网络的财务信息发表意见,因此,风险评估时审计人员主要关注的是与企业财务信息系统和基于网络的财务信息相关的风险,而不是与企业的整个信息系统和所有的信息相关的风险。根据评估实施者的不同,信息安全风险评估形式包括自评估和他评估。自评估是由组织自身对所拥有的信息系统进行的风险评估活动;他评估通常是由组织的上级主管机关或业务主管机关发起的,旨在依据已经颁布的法规或标准进行的具有强制意味的检查。自评估和他评估都可以通过风险评估服务机构进行咨询、服务、培训以及风险评估有关工具的提供。因此。对审计人员而言,受托执行的信息安全风险评估应当归属于管理咨询类,即属于非鉴证业务,与网络审计严格区分开来。
(二)风险评估的内容在我国国家质量监督检验检疫总局的《信息安全风险评估指南》(征求意见稿)国家标准中,它将信息安全风险评估的内容分为两部分:基本要素和相关属性,提出信息安全风险评估应围绕其基本要素展开,并充分考虑与这些基本要素相关的其他属性。其中,风险评估的基本要素包括资产、脆弱性、威胁、风险和安全措施;相关属性包括业务战略、资产价值、安全需求、安全事件、残余风险等。在此基础上的风险计算过程是:(1)对信息资产进行识别,并对资产赋值;(2)对威胁进行分析,并对威
所谓风险,根据美国项目管理学会(PMD)的定义,是指“正面或负面影响项目内容的不确定事件或条件”,风险与不确定性有着紧密的联系。审计过程中存在的信息对称,特别是存在管理舞弊时,采用正常的审计程序难以形成可靠的审计结论,从而为审计执业带来高度不确定性,也就是审计风险的根源。
(一)审计风险评估的实务探索对审计风险的评估处于探索之中,出现了多种经营分析和风险评估框架,如COSO,COCO、平衡记分卡、波特五力模型、全面质量管理、系统思想、竞争性战略、战略系统审计等,这些工具和技术形成了早期现代风险导向审计的基础。审计师利用这些工具和技术去理解客户的价值和定位,理解客户面临的风险,以此增强对非抽样风险的控制,同时也为客户提供增值性的非审计业务。大型的会计师事务所在20世纪90年代中期都开始探索自己的风险审计方法或战略系统审计(sSA)框架,但各个事务所的名称各不相同。
(二)审计风险评估的理论研究我国一些学者也对审计风险的评估技术进行了研究,如王桂兰(2006)提出了将案例推理引入到审计风险评估研究中,运用现代风险导向审计的理念,构建审计重大错报风险评估框架,同时将先进的计算机审计技术应用于多样性的分析性复核中,建立一套科学的评估系统以便较为准确地识别、评估审计中的风险因素,以期达到有效避免盲目审计,合理分配审计资源,有针对性地执行审计程序,发现重大错报,从而实现降低审计风险的目的。顾晓安(2006)以新国际审计准则中重大错报风险评估体系的内容为基础,针对如何将从企业及环境了解到的风险因素与认定层次可能发生的重大错报相联系,提出了首先通过业务循环来进行风险因素的识别、筛选和初步风险评估,再将业务循环的风险同报表认定层次相对应的两阶段风险评估法,并设计和描述在专家系统平台上实施该风险评估系统的系统结构、功能模块和操作流程。目前,这些方法仍在不断发展和完善之中,其名称和内容虽然并不完全相同,但本质都属于现代风险导向审计。与之前的着重于静态风险评估不同,本文建立了动态评估方法体系,研究审计风险评估的过程步骤,从每一步骤人手,分析其风险组成,并进行归纳、分层,提出一个审计风险评估的三维分析概念模型,由此建立审计风险与审计策略的关联关系。
二、审计风险的动态评估过程
Knechel教授认为,现代风险导向审计方法应由两部分组成,即风险的评估和根据风险评估证据确定用什么样的测试来获得证据。据此思路,可将审计风险的动态评估划分为:确定审计范围、寻找审计风险点及相适合的审计技术、评价审计风险与对策方案、实施审计策略这四个相互关联的步骤(如图1)。
(一)划定审计范围审计人员对企业的内部控制状况及商业经营环境进行评估,结合审计业务约定数,划定审计范围。该范围不是一旦确定就固定不变的,应随着审计人对被审计对象的了解加深而不断调整。
(二)寻找审计风险点及相适合的审计技术一旦审计范围确定,就必须根据审计师的个人经验判断及审计专家系统提示的信息来寻找风险点,如将各风险因素分配到业务循环中,在业务循环层次上筛选和分析风险因素,由此将风险具体化,进行初步的风险评估。对风险点进行筛选后,选择适合的审计技术,如风险分析技术或实施计划控制测试、实质性测试等对策方案。
(三)评价审计风险与对策方案按优先顺序排列,再根据审计力量、审计目标、内部控制状况、商业经营环境等加以评价。
(四)实施审计策略着重于如何以一种特定的战略姿态将审计方案付诸实施。体现了审计人员对不确定性预见与自身能力和资源调控能力的反复结合,是一个动态调整和不断发展的过程,这也是其与传统静态技术评估方法相比的最大不同。动态评估过程本身对审计人员就是一种学习,而这种学习又充实了这个过程。
三、动态评估过程中审计风险的识别
风险识别贯穿动态评估的全过程,要找出所有评估过程中的风险组成,即不确定事件和可能导致重大错报的原因和条件。按照动态评估的4个基本步骤来识别审计的风险所在。
(一)确定审计范围中的风险审计范围确定的过程又可以称为审计战略定位,审计师需要根据业务约定书,结合被审计单位的经营历史、财务状况,以及审计师自身的技术能力来确定审计范围。这一范围的确定过程中,审计师的经验判断是主要依据,因此存在诸多的不确定性。首先不同的审计师对审计范围的理解可能会有差异,审计师对被审计对象的了解有限,确定错误的审计范围有可能加大重大错报的风险;其次被审计对象存在管理舞弊的可能,会刻意引导注册会计师进入错误的审计范围,从而阻碍注册会计师通过风险导向审计将会计报表重大错报风险和经营风险联系起来从而发现会计报表的错报。
(二)寻找风险点及适合审计技术过程中的风险风险点的识别需要借助一定的技术,如重大错报案例研究技术、业务循环控制缺陷识别技术等。限于审计力量,审计师更有可能采用经验判断来寻找风险点。寻找到风险点后,审计师需用敏锐的眼光识别具有针对性的技术,根据内部技术储备和外部技术可利用情况来寻找和发现适合的技术去消除审计风险点,揭示其中关系到重大错报的可能性。这一步骤的风险表现为:(1)审计师寻找到了错误的风险点,导致审计工作无效果;(2)审计师能力不够,不能采用或者执行适合的审计技术;(3)审计技术不完善,存在固有缺陷,导致采用该技术后不能获得理想的审计成果。
(三)评估过程中的风险按照质量控制的原则,对审计风险及对策方案的评估应该由不同的审计师担任。这是一个将审计资
源技术能力、审计范围与风险点相匹配的过程。审计机构内的评估小组必须仔细研究每一项审计技术是否能用于审计风险点揭示,如何服务于审计范围,是否在审计师的技术能力范围内等。该步骤的风险主要来自评估小组的综合能力,特别是对审计师所处的被审计对象微观环境的判断和理解,以及如何与审计师自身资源和能力相匹配所带来的风险。
(四)实施审计策略的风险审计策略的实施贯穿审计全过程,使用动态评估过程技术,需要审计师根据审计情况来调整审计策略,这一过程的风险有:审计师调整审计策略能力风险,审计师能否关注审计风险早期信号,特别是对这些信号及其变化的认识和理解的差异性。由此及时调整策略,这样可以节省审计成本。
四、审计风险的三维分析
通过上述动态评估过程主要环节中的风险识别,不难看出审计风险的评估过程也是一个风险识别的过程,其风险具有系统性、多维性和动态性的特点。但风险总是客观存在的,也是可以通过一定方法测量或预测的,可从风险来源的角度,将过程中错综复杂的风险按经营及内部控制风险、财务风险、审计技术风险三个方向进行归纳,建立三维分析模型,但由于各种风险的远近、程度不一样,还须进一步对每个方向上的风险进行分层分析。
(一)经营及内部控制风险新国际审计准则要求注册会计师了解企业及其环境,包括:行业状况、监管环境以及其他外部因素;被审计单位的性质及对会计政策的选择和运用;被审计单位的目标、战略以及相关经营风险;被审计单位财务业绩的衡量和评价。从相关内部控制情况,评估可能的重大错报风险。
(1)行业状况、监管环境以及其他外部因素。可能造成重大错报的行业状况、监管环境以及其他外部风险因素,包括竞争环境、供应商和客户、技术进步、适用的财务报告准则、法律和政治环境以及与行业和企业相关的环保要求等。
(2)企业性质,包括企业对会计政策的选择和应用。企业性质包括产权结构、组织结构、经营项目、筹资和投资。对于企业性质的了解可以使审计人员理解财务报表中交易的类型,并对账户余额和披露产生预期;对于所有权人之间及与其他企业之间关系的认识可以发现关联方交易并合理地进行评估;如果企业有复杂的组织结构,则要考虑合并报表中可能发生的错误;了解企业对于会计政策的选择和应用,考虑是否适合于企业经营性质,与相关行业所用的会计制度是否一致等。这些考虑和关注对重大错报风险的评估都有着重要作用。
(3)目标和战略以及相关的经营风险。经营风险是指对企业经营目标和战略的实现造成影响的事件和状况,大多数经营风险最终都会有财务后果,会对报表产生影响,但并不是所有的经营风险都会造成重大错报。
(4)企业财务业绩的衡量和评估方法。不管是内部还是外部的业绩评估都会对企业产生压力,从而使得管理人员改善经营业绩或者直接对财务报表进行粉饰。对于企业业绩衡量方法的了解可以使审计人员判断管理层行为是否会增加重大错报的风险。
(5)内部控制。控制活动可能对于某项特别性质的业务或者账户余额的单个认定产生影响。如企业建立的用来保证其员工准确地计算和记录存货的控制活动就直接同存货账户余额的完整性和存在性认定相关。
(二)财务风险来源财务风险来源分析是通过常规财务分析、财务失败风险分析、财务舞弊风险分析三个部分来完成的。常规财务分析主要通过盈利能力、偿债能力等的五力分析模型来完成,分析评价常规的财务指标。财务失败风险分析主要通过z模型等来完成,对财务情况进行预警。财务舞弊分析是审计风险分析需重点关注的内容,实证研究的结果表明,自从净资产收益(ROE)作为上市公司申请配股的依据之一,上市公司在ROE数据上存在着明显的操纵行为;而单位负责人又是造成会计信息失真的主体因素。管理舞弊是管理层试图以舞弊财务报表为手段获得更多的机会利益,独立审计师如不能查出这种舞弊行为,就须承担法律责任,管理层与审计人员之间存在严重的利益冲突,因此管理层不可能真正地配合独立审计师有效地实施审计工作,由此带来巨大的审计风险。
中图分类号:F239 文献标识码:A 文章编号:1004-5937(2014)14-0116-05
由于我国内部审计涉足领域的不断扩宽和高等院校教育变革的推进,内部审计在高校改革中的作用日益凸显。当前是高校变革的关键期,对高等院校的管理部门开展内部审计是发现高校管理漏洞、提升高校管理能力,从根本上改变现在办学状态,推进高校办学水平提升的重要手段。随着高校内部审计的不断细化,人们看到了审计给高校改革带来的希望,同时,这也就意味着审计在以后的高校管理中会承担更多的责任,遭遇更多的风险。
一、高校内部审计风险的产生及特点
审计工作面临很大风险是业界长久以来的一个共识,但高校领域内所隐藏的风险还没有得到相关人员的足够重视。高校内部审计活动一般以校长为中心,对学校财政开支是不是合法进行有效的审查和监控。它的目的主要是为了保证学校管理工作的正常开展,杜绝不必要的开支,保护学校的经济财产。
(一)高校内部审计风险产生的原因
引发高校内部审计风险的因素有很多,其重点可归纳为以下四部分:
1.资金来源的多元化
高校在我国是一种特殊的单位,每年要接受国家财政的支持,自身也可以通过多种渠道增加学校的收入。由于科学技术在经济发展中的重要性越来越突出,越来越多的企业选择和高校联合进行科学研究,这样高校就有机会将自身的科研设备和人才资源转换成收入;各类委培学费、全日制在校生缴纳的学费也是一项数量庞大的收入,多元化的资金来源成为了内部审计风险的首要原因。
2.机构设置的多元化
伴随着社会对人才素质要求的不断提高,综合性大学蓬勃发展,院系数量的增加使高校的内部管理不断分化,各院系都有独立的管理系统和财政系统,这就导致各院系在财政开支上有了一定的自。这种管理系统多元化的发展趋势,在无形中增加了学校内部审计工作的复杂性,内部审计工作者很难在工作过程中照顾到每个方面,因此可能会产生更多的漏洞和误判。
3.高校内部审计控制制度不完善
高校从性质上来说属于事业单位,虽然一直进行改革,但是其在计划经济时期造成的隐患依然存在。高校负责人大都把学校工作的重心放在了教学和学生管理上,对高校内部的财务监控制度不够重视,这就导致目前我国高校内部管理制度不完善,内部控制力量单薄,对经济活动中出现的各种作弊和违法现象无法进行有效控制,这在无形之中会削弱内部审计的威慑力,增加内部审计风险发生的可能性。
4.信息化的工作环境带来的审计风险
几乎所有高校都快速实现了会计数据存储的电子化,随之而来的是会计工作形式的深刻变化,数据的生成和传递方式不断更新。计算机软、硬件技术的快速升级换代使得内部控制制度难以完全监控会计工作的全过程。传统的会计工作环境中,利用财务数据的勾稽关系审计人员便能及时找到账目中的修改线索和痕迹,快速判断数据的真实性;而在电算化和网络化的环境中,安全管理措施难以快速跟进,缺乏特定的安全管理人员,无法实行会计数据的实时监控,不能有效地防范审计风险。
(二)高校内部审计风险的特点
1.审计范围的广泛性
与传统的高校内部审计工作相比,现代的高校内部审计工作任务已经愈来愈综合与复杂,其不再是仅仅为学校日常教学活动的财务收支提供服务和监督,固定资产的管理使用、物资仪器设备的采购、科研经费的管理、学校设施的建设和维护等多种复杂的财务活动逐渐成为了审计的主要工作对象。
2.风险的潜伏性
高校的事业单位性质决定了其对直接的经济活动少有参与,因而很难找到高校内部审计结果与经济损失直接的关系,而事实上高校的审计依然与高校的经济活动有密切关联,例如,很多高校都会根据审计结果决定对领导干部的任用与选拔,这样就会直接影响到高校某个部门甚至是整个学校的发展。
3.风险的可预见性
高校的内部审计风险主要包括以下三种:(1)固有风险,该风险是独立于内部审计而单独存在的,在假设被审计单位无任何内部控制的情况下,某个账户或者交易类别自身或者与其他账户或者交易类别同时出现错报或者漏报的可能性。(2)控制风险,是指高校内部有一定的控制作用,但是并没有预防或者遏制住发生错误或漏报的情况。这种风险水平依赖组织本身的控制能力,审计人员不会影响到风险水平,它属于内部审计中的风险情况。(3)检查风险,虽然遵循了审计程序,但是由于审计人员工作的失误,并没有检查出会计报表中隐藏的重大错误或漏报情况,失误是这种风险产生的主要原因。
实际上,固有风险和控制风险都与被审计单位的外部工作环境有密切联系,单凭己力,高校审计人员是不能改变固有风险和控制风险的,但是高校内部可以通过加强内部控制、提供专业技能、丰富审计人员的经验,来有效降低高校的审计风险,使检查风险降低到可接受的范围之内。
二、高校内部审计风险的评估
(一)模糊数学法在高校内部审计中的应用
1.模糊数学法的可行性
所谓模糊数学法,是指对那些评价因素具有模糊性,并且还受到其他多个方面影响的因素作出客观综合评价。上述的模糊性,主要是指评价对象的外延比较模糊,无法进行准确的界定和清晰的划分。本文要评估的是高等学校内部审计,所评估的对象既涉及多个方面又比较复杂,同时还受到多种不确定因素的干扰,并且其评价指标的判断也不具确定性。因此,高等学校内部审计采用模糊综合评价法具有可行性。
2.模糊数学法评价的具体流程
第一步:建立影响评价对象的集合
U=(X1,X2,…Xn) (1)
第二步:建立评价集合
V=(y1,y2,…ym) (2)
对于那些不可避免的风险,可以将评价集合依据风险的不同分为高、中、低三档,写成表达式则为:
V=(y1,y2,y3)
3.对每个影响评价对象的单个因素进行评价
当确定了对象的影响因素后,分别来评价单个因素,这可以通过建立一个模型来实现。如建立因素集U到评价集V的一个模糊映射,记为f,然后反过来利用f来确定出这两者之间的关系Rf,我们可以用矩阵的形式来表示这种关系,如:
R=(rij)n×m即:f(xi)=ri1 /y1+ri2 /y2+…+rim /ym (3)
在这个表达式中,rij表示x1对y1的依赖程度,而R则为这两种量作用下的单因素评价矩阵。根据这个公式,需要结合实际情况,在综合评价时,依据问题的实际要求来建立该矩阵。
4.综合评价
在综合评价中,每个因素都起着不同的作用,所以,需要建立一个U的模糊集合A,即A=(a1,a2,…an),满足下面的公式:
在公式(4)中,ai代表的是因素集U中某一个因素Xi对整个评价的作用,记为uA(xi)=ai,同时也表示xi关于A的隶属度,将A称为综合评价的权重向量(简称权重)。
根据矩阵的乘法原则,只有两个矩阵满足第一个矩阵的列数与第二个矩阵的行数相同时才可以相乘,因此,R=(rij)n×m可以与Q=(qjk)m×l相乘而得到矩阵S=(sik)n×l记作:
S=R・Q (5)
其中对一切i=1,2,…,n和k=1,2,…,l有
Sik=∨(ri1∧q1k)∨(ri2∧q2k)∨…∨(rim∧qmk)(6)
公式中的∧表示两者中取较小值,∨表示两者取较大值。这个公式说明,审计中确定好对风险影响较大的因素集合,再结合专家评价和模糊数学法,就能够将每个风险因素量化为数值,然后代入风险模型,就可以明确审计风险了。
(二)构建高校内部审计风险的评价指标体系
对三类风险进行标记:A1代表固有风险;A2表示控制风险;A3表示检查风险。
1.固有风险(A1)
这种风险主要是业务处理中一些错误或容易舞弊的漏洞,在会计报表中有很高的敏感度,能直接影响到固有风险的水平。高校外部经济环境间接对这类风险产生作用,因为它是独立于高校内部审计过程之外的风险,高校内部对其并没有任何影响,当然审计人员也不会对其产生影响。当需要评估这种风险的时候,我们可以参考下面的6个因素:
(1)行业特性(A11)。该性质对部分账户的风险产生影响。
(2)外部因素(A12)。比如对于机械设备,当新技术更新后,将会加速其淘汰,这使得固定资产折旧不正确。市场波动也会引起一些难以预料的风险。
(3)会计报告规模(A13)。在会计报告中,错误或者舞弊的发生概率与组织总体规模大小、账户余额的多少以及总体容量的多少、构成项目的复杂程度都是成正比的。
(4)受上期审计结果的影响(A14)。用上期的审计结果来预测本期是否也同样发生该错误,或者能引起哪些关联的重要错误发生,从而得知本期固有风险水平。必须明确上期发生哪些错误情况,对下期的财务报表有哪些影响,对上期出现的风险是否采取了预防措施。
(5)高校的财务管理水平(A15)。与企业和银行相比,高校财务部门的组织力量较为薄弱,监管也比较放松,所以,更容易出现管理人员的肆意行为,会计人员也更容易对会计报表造假。
(6)政府部门干预的影响(A16)。政府行政部门属于高校外部环境,因此,固有风险受其影响程度较大。
2.控制风险(A2)
当需要评估这种风险的时候,我们可以参考下面的3个因素:
(1)内部控制系统的建设(A21)。如果没有科学的内部控制系统,即使已通过测试取得一定的符合率,也很可能难以实现有效控制,在审计师完全不知情的情况下去依赖这种系统,将会产生很大的控制风险。
(2)内部控制系统的运行(A22)。不管系统设计如何,都必须进行测试后才能起到作用,测试的过程就是检验系统可靠性的过程。同时,系统调试阶段也存在管理人员人为的操作错误,这使得重要错报或者漏报概率更大,控制风险自然会较大。
(3)内部控制的效果(A23)。内部控制系统运行的效率问题,也就是单位内部确实设置了控制机制,但是在一定程度上并没有真正发挥作用,这就会有风险产生。
3.检查风险(A3)
当需要评估这种风险的时候,我们可以参考下面的3个因素:
(1)抽样方式(A31)。在实质审计测试时,抽样检查是一种较为常见的选择审计对象的方式。这样做的弊端在于难以保证抽选出的对象能够反映整体特性,存在发生检查风险的可能性。
(2)工作程序(A32)。如果审计师工作程序设计不够科学,就不能保证及时准确地发现财务活动中的错误或舞弊行为。
(3)思维上的误判(A33)。思维上误判会使审计行为与实际情况相背离,诱发检查风险。
用以上指标就可以构建出一个完整的评价体系(如表1)。
三、实证案例
本实例来源于对西安某高校内部审计工作的实际考察,研究使用了模糊数学评价的方法。这些年来,随着该校规模的不断扩大,校内的审计项目逐日增多,1984年校内单独成立了审计处。其主要功能是在学校主要负责人的带领下,依照国家的相关法律、法规及政策独立开展校内审计工作。经过近几年学校对审计工作的不断探索,如今已领悟审计工作的真正意义,在开展审计工作过程中,坚持以服务教学为中心,全面提高审计人员的业务素质,同时又建立各种奖励机制,有效地提高了员工对工作的积极性和创造性。
该校审计部门的主要工作事项包括国家固定拨款的审计、基建工程资金审计、投资审计、内部审计制度的建设、风险管理、经济效益的考核、各部门的财务收支情况审计、领导者的经济责任审计等。
(一)确定因素集
对内部审计风险的各项因素集设置如下:
总体水平:
A={A1,A2,A3}={固有风险,控制风险,检查风险}
细分如下:
固有风险A1={A11,A12,A13,A14,A15,A16}
={行业特性,外部因素,会计报告的规模,受上期审计结果的影响,高校的财务管理水平,政府部门的干预}
控制风险A2={A21,A22,A23}={内部控制系统的建设,内部控制系统的运行,内部控制的效果}
检查风险A3={A31,A32,A33}={抽样方式,所采用的审计程序和使用的方法,思维上的误判}
(二)各类因素的集合
诱发内部审计风险的因素总集:V={x1,x2,…,x5}={最低,较低,中等,较高,最高}
(三)绘制调查表,征集专家意见
让15到25名审计人员领取统一样式的内部审计风险因素调查表(表2),要求这些人依照实际数据和审计工作的需要对表内所有的指标进行选择确认,然后单独完成表格的填写。每个因素对风险的影响程度是不同的,它们各自的影响力是确定其权重的依据。本研究中权重的确定主要依据专家的意见。
所选用调查表见表3,aij所对应的专家i给出的数值就是aij对于上层指标的权重,专家会结合被审计对象的内部控制情况、审计人员的专业素质等综合来给出aij。然后对各个层次以及各个准则的平均权重值进行归一化,从而得出最终的权重值,并汇总成专家意见调查表。
(四)对单因素进行评价
首先要对A1、A2、A3这三大类风险中的各个因素进行评价,风险类别中的风险因素得分是由大类风险进行各单因素评价。其各个单因素的得分是在此风险程度上打勾的专家人数占总人数的百分比得出的。
从表4中可以得出固有风险因素A1的评价矩阵:
R1=0.2 0.3 0.5 0 00.3 0.2 0.2 0.2 0.10.4 0.2 0.2 0.1 0.10.2 0.4 0.2 0.2 00.4 0.1 0.2 0.2 0.10.3 0.2 0.2 0.2 0.1 (7)
根据专家的意见,其权重矩阵为B1=(0.15,0.15,0.15,0.2,0.3,0.05),得出固有风险A1的综合评价:
A1=B1・R1=(0.15,0.15,0.15,0.2,0.3,0.05)
0.2 0.3 0.5 0 00.3 0.2 0.2 0.2 0.10.4 0.2 0.2 0.1 0.10.2 0.4 0.2 0.2 00.4 0.1 0.2 0.2 0.10.3 0.2 0.2 0.2 0.1=(0.3,0.2,0.2,0.1,0.1)
(8)
由表5得出A2的评价矩阵:
R2=0.2 0.3 0.1 0.4 00.1 0.3 0.3 0.2 0.10.2 0.2 0.3 0.2 0.1 (9)
按照指标权重专家意见表,计算得出权重矩阵为B2=(0.2,0.3,0.5),控制风险A2的综合评价为:
A2=B2・R2=(0.2,0.3,0.5)0.2 0.3 0.1 0.4 00.1 0.3 0.3 0.2 0.10.2 0.2 0.3 0.2 0.1
=(0.2,0.3,0.3,0.2,0.1) (10)
从表6中可以得出A3的评价矩阵:
R3=0.2 0.3 0.2 0.2 0.10.1 0.2 0.1 0.3 0.30.1 0.2 0.1 0.2 0.4 (11)
根据专家的意见,其权重矩阵为B3=(0.2,0.3,0.5),得出检查风险A3的综合评价:
A3=B3・R3=(0.2,0.3,0.5)0.2 0.3 0.2 0.2 0.10.1 0.2 0.1 0.3 0.30.1 0.2 0.1 0.2 0.4
=(0.2,0.2,0.2,0.3,0.4) (12)
(五)综合评价
在以上分析的基础上开展二级综合评价,由专家意见表可以确定权重矩阵为B=(0.3,0.3,0.4),总体评价矩阵为:
R=A1A2A3=0.3 0.2 0.2 0.2 0.10.2 0.3 0.3 0.2 0.10.2 0.2 0.2 0.3 0.4 (13)
风险的总体综合评价为:
A=B・R=(0.3,0.3,0.4)
0.3 0.2 0.2 0.2 0.10.2 0.3 0.3 0.2 0.10.2 0.2 0.2 0.3 0.4
=(0.3,0.3,0.3,0.4,0.2) (14)
最后得出:A=(0.1875,0.1875,
0.1875,0.1875,0.25),根据最大隶属度原则,该校内部审计风险水平评估为:极高。
根据上面的评估和对学校实际情况的了解,笔者认为该高校从各级领导到每个审计人员都应对内部审计风险予以足够重视。首先,可以尝试建立“分级复核制”,逐级划分审计人员的职责。组长负责方案的制定和明确审计对象,其他审计人员要相互复核彼此的审计结果,最终的审计报告要集体讨论,对各个审计对象进行明确定性。其次,要提高领导的重视程度和审计人员的工作素质,让审计工作既有良好的外部支撑,又有内在的技术保障。再次,要充分调动网络资源,依靠畅通的信息渠道来丰富内部审计各个要素,据此来不断完善审计程序和方法,开发出适合本校开展内部审计的软件系统。最后,对于本单位审计人员不熟悉的领域,如建筑工程审计、校园网络建设审计等,可以提请审计外包,吸纳社会上有丰富经验的审计机构和专家介入到高校内部审计中来,以有效地规避风险,减少人为的误判。
【参考文献】
[1] 苏婷.基于模糊数学模型的科技投入绩效评价体系研究[D].武汉理工大学硕士学位论文,2012.
[2] 聂庆芝.高校内部控制风险研究[J].中国乡镇企业会计,2010(2).
[3] 陈竹.我国高校内部控制情况调查研究[J].财会月刊,2010(6).