内部审计从萌芽状态发展至今,其审计目标、对象及方法都发生了较大的变化,分析风险导向内部审计的特点可以从以下几方面着手。
1.1目标传统的内部审计目标主要是查错防弊,保护资产安全。而现代的内部审计重点已逐渐转向事先发掘问题、改善经营管理、促进经济效率。为此,不论内部审计对内部控制进行评估与改善,还是对公司治理程序进行评估与改善都应该是以风险评估与改善作为首要目标。风险导向内部审计不再是简单的内部控制领域消极地查错防弊,而是以组织的整体风险评估作为自己的首要工作目的。
1.2对象风险导向内部审计是以风险管理、控制和公司治理为审计对象的。由于受托责任范围的扩大,内审对象的范围也随着内审的发展而逐渐扩大:从最初的会计、财务事项到进一步涉及各种经营活动业务的效益审计、预算管理审计和内部控制等审计对象。
1.3审计方法风险导向内部审计基本方法包括审计风险评估、分析性测试、控制测试、业务实质性测试、余额细节测试等。对于有证据表明风险较低的领域,应依赖内部控制或分析性复核;对被认为风险较高的领域,实施大量的实质性测试和余额细节测试,使审计手段与审计目标更好地结合在一起,提高审计的科学性、针对性和绩效性。
2风险导向审计的模式
有些学者将审计风险视为被审计单位企业经营风险,也有的学者将其视为传统意义上的审计风险,另外一种关于审计风险的理解则从管理层舞弊的角度考虑问题,将主要的风险视为因为管理层舞弊产生的风险。
2.1企业经营风险导向审计以企业经营风险来评价审计高风险领域和重点,我们将其称之为“风险导向审计”,国内持该观点的代表学者胡春元认为,“风险导向审计”最显著特点是它将客户置于一个大的经济环境中,运用立体观察的理论来判定影响企业持续经营的因素,从企业所处的商业环境、条件到经营方式和管理机制等构成控制因素的内外部各个方面评估审计的风险水平,将客户的经营风险植入到本身的风险评价中去。
2.2管理层舞弊导向审计这是风险导向审计的又一发展,这一审计方法中的风险主要注重于“管理层舞弊”所带来的风险,在这一审计方法中,会计报表审计以重点识别和判断管理舞弊的风险为审计工作的切入点,开展以查找管理层舞弊为核心的风险导向审计。这种审计模式试图从审计技术的角度,切实提高独立审计揭露管理舞弊的能力。
3风险导向审计在风险管理中扮演的角色
风险导向内部审计是在组织已有的风险管理和内部控制的基础上,对剩余风险进行评估,进而改善风险管理和内部控制,提升组织整体抗风险能力。风险导向内部审计在现代企业中所起到的功效有:
3.1参与风险管理风险管理首先要求全面识别风险,同时熟悉本单位的经营战略、工作程序、组织结构等;因此,风险导向内部审计首先确认企业目标或某项交易的目标,然后分析对这些目标产生影响的风险,确定审计风险水平和审计重点,提出风险防范和控制建议,最后通过后续审计,测定风险是否得到有效防范和控制。这样审计建议可以直接针对企业实现目标过程中面临的主要问题和风险,并将事后评价反馈延伸到事前和事中,使内部审计成为企业价值链中的必要环节。
3.2促进内部控制在风险理念的作用下,企业内部控制已扩展为企业风险管理框架,内部控制与风险管理已趋于融合。因此,可以说对风险管理的促进作用,是建立在企业内部控制的同时得到改善和促进基础之上的,两者是互相促进的。建立内部控制制度的根本目的,正如COSO对内控的定义所描述的:“为达到财务报告的可靠性,经营活动的效率和效果、相关法律法规的遵循三个目标而提供合理保证的过程”。可见,内部控制是内部审计的基础,也是风险导向内部审计进入公司治理、风险管理的基础。
3.3促进公司治理公司治理的基本目标是在充分考虑利益相关者利益相对满足和大体均衡情况下,增加企业价值,从而使股东长远价值最大化。而风险导向内部审计的本质是确保受托责任有效履行的管理控制,它更注重与企业目标的直接关联。可见,公司治理与风险导向内部审计目标是一致的。内部审计在公司治理中的作用包括监督、评价和分析组织的风险和各项控制;复核并证实信息是否可靠并符合相关政策、程序与法律,协助管理者向董事会、审计委员会以及执行管理机构提供风险防范以及治理有效的保证。里查德·钱伯斯曾指出,国际内部审计的一大发展趋势就是“推动更有效的公司治理”,有效的内部审计是公司治理结构中形成权力制衡机制并促使其有效运行的重要手段,是公司治理过程中不可缺少的组成部分。
险导向审计给予的启示
4.1内部审计方法比较落后,内审人员理念未能及时转变内部审计方法模式仍以账目基础审计方法为主,风险观念比较淡漠,较少考虑审计风险控制因素,更谈不上风险基础审计模式的运用;抽样技术的运用更多地凭借内审人员的主观判断和经验,统计抽样技术的运用十分欠缺;缺乏对审计方法和经验的总结和提炼。
4.2内部审计质量控制手段不全面有效的内部审计质量控制手段应包括内审制度约束、内审督导复核、内审考核、内审责任追究等。但企业内部审计在这一环节上普遍存在以下问题:①质量控制制度建设比较薄弱,即使已经建立的某些制度也形同虚设。②未建立分级督导复核制,或督导复核具体职责内容不明确。③内部审计考核未能有效执行,表现为:缺乏质量考核;考核内容不全面,偏重于事后结果的考核而忽略对内部审计过程的控制;考核主观性太强,缺乏客观公证性;考核不与奖惩相结合等。④内部审计责任追究不到位。有的根本没有建立责任追究制度;有的责任追究形式化,没有切实得到落实;有的责任主体不明确,责任划分不清楚,使责任追究无法实施
4.3内部审计质量控制标准不明确现行的内部审计规范体系建设明显地偏重于内审法律、内审准则和内审职业道德规范的建设,而忽视了内部审计质量控制标准的建设,结果是内审质量标准不明确,内审质量控制无章可循,各单位内审运行各行其是,质量状况参差不齐。在审计方案编制中,对人员的组成缺乏科学的分配控制,使人员的经验、知识结构与项目审计目标不相匹配,审计作用难以发挥。
综上所述,在风险管理中,内部审计部门主要是对风险管理部门和其他相关部门所进行的风险管理的再监督。在政策上,内部审计的推进道路已经被铺平了。但是如何让内部审计更好的溶入到风险管理,是时代赋予我们的责任——给企业一颗更健康的心!
[摘要]2006年2月我国颁布了新的《注册会计师职业准则》,强调了风险导向审计在我国的应用。本文介绍了现代风险导向审计的产生的社会环境以及现代风险导向审计的内涵、特点,并提出了现代风险导向审计在我国应用的必要性。51-51免费-网-欢迎您
现代风险导向审计作为一种重要的审计理念和方法,受到会计和审计界的普遍关注。二十世纪九十年代,国外学者对传统风险导向审计方法加以改进,弥补了其诸多缺陷,特别是对传统审计风险模型的改进。可以说,现代风险导向审计方法是审计技术在系统理论和战略管理理论上的重大创新,代表了现代审计方法发展的最新趋势。
一、现代风险导向审计产生的社会环境
进入20世纪80年代以后,世界经济急剧变化,科学技术日新月异,各种文化相互渗透,市场竞争日益激烈,人类开始迈入较为成熟的信息社会和知识经济时代。在这种情况下,企业与其所面临的多样的、急剧变化的内外部社会环境之间的联系在急剧增强,内外部经营风险很快就会转化为会计报表错报的风险。这种环境的快速变化使审计师逐渐认识到被审计单位并不是一个孤立的主体,它是整个社会的一个有机组成部分。如果将被审计单位隔离于其所处的广泛的经济网络,审计师就不可能有效地理解被审计单位的交易及其整体绩效和财务状况。因此,对于一套会计报表,只有研究其所反映的企业及其所处的整个“系统”,审计师才能够对其取得充分理解。而制度基础审计方法(包括传统风险导向审计)由于其固有的内向型特点,以分析评价企业的内部控制制度作为审计的基础,较少考虑内外部环境风险对企业及其会计报表的影响,因而当企业规模愈来愈大、经营愈来愈复杂、世界经济发展愈来愈快时,其局限性和不足之处就日渐明显。51-51免费-网-欢迎您
当人类进入信息社会与知识经济后,企业管理也发生了深刻的变化,最主要的变化是从过程管理向战略管理转变。战略管理思想在企业管理中的作用愈来愈重要,并开始渗透到企业管理的各个方面。在这种情况下,传统风险导向审计所赖以存在的基础(内部控制)正在被战略管理及其蕴含的企业风险管理所取代。战略管理最根本的着眼点就是分析企业所面临的风险,以及找出化解风险的对策。会计报表的风险说到底实际上是企业战略风险及相关经营环节风险(统称经营风险)的副产品。所以要充分把握审计风险,审计师必须首先理解企业发展所依存的内外部环境、基于这些环境而制定的发展战略及相关风险与控制,从而理解内外部战略风险对于会计报表认定的影响。只有这样,审计师才能对会计报表认定做出合理的专业判断。战略管理理论和实践的发展,为新的审计方法的产生提供了重要的启示和实践基础。51-51免费-网-欢迎您
2006年2月以前,我国独立审计准则基本是建立在传统风险审计模型上。为了给注册会计师防范和控制风险提供技术支持,同时与国际接轨,我国于2006年2月15日了《中国注册会计师审计准则第1121号了解被审计单位及其环境并评估重大报风险》、《中国注册会计师审计准则第1231号针对评估的重大错报风险实施的程序》、《中国注册会计师审计准则第1141号财务报表审计中对舞弊的考虑》、《中国注册会计师审计准则第1151号与治理层的沟通》、《中国注册会计师审计准则第1142号财务报表审计中对法律法规的考虑》等一系列新的审计风险准则,为现代风险导向审计在我国的开展逐步创造条件。51-51免费-网-欢迎您
关键词:风险导向;审计;风险管理
1风险导向审计
风险导向审计,是一种基于战略观和系统观思想,通过综合评价经营风险以确定实质性测试的范围、时间和程序的审计方法。又称为风险基础战略系统审计方法。审计方法从账项基础审计、制度基础审计发展到风险导向审计,都是为了适应审计环境的变化做出的调整。
2风险管理
风险管理又名危机管理,是指如何在一个肯定有风险的环境里把风险减至最低的管理过程。当中包括了对风险的量度、评估和应变策略。理想的风险管理,是一连串排好优先次序的过程,使当中的可能引致最大损失及最可能发生的事情优先处理、而相对风险较低的事情则押后处理。但现实情况里,这种优化的过程往往很难决定,因为风险发生的可能性通常并不一致,所以要权衡两者的比重,以便作出最合适的决定。
3风险导向审计存在的问题及原因
(1)风险导向审计在实践中不能降低审计成本。理论上风险导向审计能够降低审计成本,主要表现在通过对被审计单位所处经营环境及其内部经营管理的分析确定固有风险;关注被审计单位已设置的内控制度,识别影响财务报表的控制风险;通过对风险的更好评估,认定实质性测试的重点和水平,确定审计人员收集何种证据及其数量,并把审计力量在审计业务之间合理分配,有效利用审计资源。但实践中风险导向审计并没有有效的降低审计成本,由此可见,风险导向审计从风险控制的角度出发能更合理地分配审计资源,但并不能从总量上减少审计成本。
(2)缺乏相应的审计准则支持。我国的独立审计准则是建立在系统导向审计模式的基础上,其中审计风险模型的规定还局限于仅考虑账户与交易余额的风险测试,如果将审计重点放在控制测试和实质性程序,审计人员就容易忽略会计报表的重大错漏报。系统导向审计模式的局限性导致建立在其基础上的独立审计准则具有局限性,因此我国的独立审计准则已不适应环境变化的要求,不能为实施风险导向审计提供全面技术指导和规范。在审计实践中,由于缺少独立审计准则对风险导向审计程序的规范,审计部门在操作过程中仍存在许多不完善之处。
险导向审计的应用
(1)了解被审计单位及其环境。审计人员应当了解被审计单位的行业状况、法律环境与监管环境以及其他外部因素;被审计单位的性质、会计政策的选择和运用、经营目标、战略以及相关经营风险、以及财务业绩的衡量、评价和内部控制等。了解被审计单位及其环境时可通过①询问被审计单位管理当局和内部其他相关人员;②分析程序;③观察和检查等风险评估程序实施。
(2)评估重大错报风险。作为风险评估的一部分,审计人员应当运用职业判断,确定识别的风险哪些是需要特别考虑的重大风险(以下简称特别风险)。应当重点考虑下列事项:①风险是否是舞弊风险:②风险是否与近期经济环境、会计核算和其他方面的重大变化有关;③交易的复杂程度;④风险是否涉及重大的关联方交易;⑤财务信息计量的主观程度,特别是对不确定事项的计量存在宽广的区间;⑥风险是否涉及异常或超出正常业务范围的重大交易。特别风险通常与重大的非常规交易和判断事项有关。非常规交易是指由于金额或性质异常而不经常发生的交易。
(3)控制测试。控制测试的目的是为了测试内部控制在防止、发现并纠正重大错报方面的有效方法。在必要时或决定进行内部控制测试时执行该程序。
当存在下列情形之一时,审计人员应当实施控制测试:①在评估认定层次重大错报风险时,预期控制的运行是有效的;②仅实施实质性程序不足以提供认定层次充分、适当的审计证据。③实施实质性程序。实质性程序包括对各类交易、账户余额、列报的细节测试以及实质性分析程序,目的是为了发现认定层次的重大错报。审计人员应当针对重大的各类交易、账户余额、列报实施实质性程序,以获取适当的审计证据。
5风险导向审计的发展
(1)进一步强化风险导向审计的理念。在经济全球化的背景下,国际资本的流动带动了审计的跨国界发展。风险导向审计不是制度基础审计之外的一种方法,而是制度基础审计的发展,是以对审计风险进行系统的分析和评价为立足点制定审计战略,制定与企业状况相适应的多样化的审计计划,使审计工作适应社会发展的需要。风险导向审计要求注册会计师不仅对控制风险进行评价,而且要对产生审计风险的各个环节进行评价。但是,风险导向审计的运用不是孤立的,在审计实务中,注册会计师要树立风险导向意识,将风险导向审计与制度基础审计、账项基础审计结合起来运用。即在风险导向审计观念下,客观评价被审计单位外部环境、内部控制制度,发现会计报表发生重大错报风险,对评价出的高风险领域,实施详细的账项审计,可有效地控制风险,节约审计成本。
(2)提高实行风险导向审计需具备的审计人员素质。审计人员执行独立审计鉴证职能时,应具备与客户所在行业及企业相关的知识结构,才能胜任风险导向审计的要求。审计人员在尽多掌握行业知识、企业知识的同时,还要实现审计人员队伍的优化组合,改变单一财会型人员的结构,注重聘用一些法律、工程技术、计算机等非会计审计专业的人才,并对项目审计小组进行科学配备,同时,为提高审计质量与效率,还应相对固定每一小组对某一行业的审计工作。审计执业中,审计人员必须坚持职业怀疑态度,坚持强制审计程序的严格执行。审计部门应建立计算机网络,扩大及方便审计人员对各行业政策、知识的学习与掌握,以降低审计风险,提高审计质量。
(3)进一步强化支持风险导向审计的网络化信息系统的资源共享。要推动社会建立企业信用体系,在政府、银行、协会及审计部门等单位之间连网,实现资源共享。审计部门本身也应建立庞大的数据库,按类别、行业收集、存储、更新审计人员运用风险导向审计所需要掌握的会计和审计准则内容以及客户所在行业、企业战略,成功、失败审计案件介绍等信息,以不断拓展审计人员的知识结构,降低审计风险,提高审计质量。
(4)健全企业内部控制机制,夯实风险导向审计的制度基础。一个企业内部控制的好坏,与审计人员审计风险的高低直接相关。从经济学角度讲,会计舞弊的实际实施者是企业的实际控制者经理人。因此,应从建立健全企业内部控制机制着手,在优化公司治理框架下,从企业内部控制的设计、运行、评价、改进四个环节建立与完善企业内部控制机制,强调高级领导层的控制责任,关注对全部风险的评估,重视日常控制活动,抓住内部审计监督评价环节,才能不断提高企业会计信息质量,推动风险导向审计在风险管理中的运用。
参考文献
(一)账项基础审计取证模式
账项基础审是最早的审计取证模式,目的是查错防弊。在审计发展的早期,由于企业业务性质单一,组织结构简单,审计主要是为了满足财产所有者对会计核算进行独立检查,促使受托人在经营过程中做出忠实可靠的行为。获取审计证据的方法也比较简单,主要是合计和过账及对会计凭证和账簿的详细检查。包括检查支票凭证,评估报告资产的价值,确定受托人对存货购买和发出核算的正确性。因此,此时的审计方法是详细审计,又称账项基础审计方法。
(二)制度基础审计取证模式
制度基础审计是以内控制度评审为基础所进行的审计,主要证明财务报表真实性、公允性。其重点是审计被审计单位的内部控制制度,通过对内控制度的调查、测试和评价,而确定帐表余额检查的深入程度,进而达到检查证帐表余额真实性的目的。制度基础审计的基本模式分为计划、期中、期末、报告阶段四个阶段。计划阶段:调查并初步评价内部控制;期中阶段:测试并最终评价内部控制;期末阶段:依据内部控制评审结果进行帐表余额检查;报告阶段:报告全部审计结果和内部控制评审结果。如果以测试术语表示,其基本模式是:内部控制调查—符合性测试—实质性测试。制度基础审计的出现,突破了账目基础审计的框架,采用了全新的思路与措施,是现代审计发展和成熟的标志。
(三)风险基础审计取证模式
风险基础审计是迎合高度风险社会的产物,是对制度基础审计的进一步完善,是制度基础审计在方法上的发展和提高,审计目标与制度基础审计相同。它以量化的风险水平为重点,在确定的风险水平基础上,以计划风险、证据风险和报告风险这三种风险的分析与控制为着力点,对风险因素进行分析与控制,决定实质性测试的程度和范围。
(四)分析审计取证模式
分析审计始于20世纪70年代,属于审计界所开发的有别于会计方法的审计特有方法,因利用分析审计所获得的审计证据属于“软证据”范畴,在长期的审计实践中并未引起足够的重视,但分析审计在审计取证方面可应用统计抽样,能有效避免审计人员本身造成的错误。其表现出来的独特性,一直得到审计界的广泛关注。分析审计模式与上述三种审计取证模式相比具有不同的特性,主要表现在分析审计模式不具有特殊的审计程序,而是与上述三种取证模式有机结合,以各种分析技术作为审计的切入点,根据不同的审计目标分别运用账目基础审计和制度基础审计的取证程序。
二、现代风险导向审计的特点
随着经济的不断发展,企业面临的经营风险不断增大,经济业务越来越复杂,再加上管理层层出不穷的舞弊现象,会计师事务所面临的审计风险越来越大,而传统风险导向审计在防止管理层舞弊和经营战略风险方面存在着不足,故以评估重大错报风险为起点的现代风险导向审计就从解决上述问题出发被建立起来。它的特点包括以下5个方面:
(一)全面、动态地考虑风险因素
现代风险导向审计程序主要包括风险评估、控制性测试以及实质性测试, 而且重点是风险评估程序。风险评估程序要求注册会计师必须了解被审计单位及其环境, 评估财务报表层次和认定层次的重大错报风险, 分析被审计单位可能存在的高风险领域, 并针对风险评估结果实施进一步的审计程序。现代风险导向审计的重心由控制测试向风险评估转移, 不仅强化了风险评估程序,而且强化了风险评估对审计程序的指导作用, 真正体现了现代风险导向审计的审计理念。在进行风险评估时要将被审计单位置于一个大的经济环境中, 运用立体观察的理论来判断影响因素, 使风险因素得以全面、动态地考虑。
(二)注重分析性程序的运用
风险评估的核心是分析性程序的运用,分析性程序是风险导向审计风险评估中最重要的程序。风险导向审计从风险评估到最终审计结论的确定均可使用分析性程序。传统风险导向审计采取标准化的审计程序,即对不同的审计单位和审计环境都采取相同的审计程序, 注册会计师在审计过程中缺少随机应变和灵活运用的能力, 必然导致客户对审计的预期值与审计结果之间存在着差距。而在现代风险导向审计实施的过程中, 注册会计师可以针对不同风险的客户, 不同客户的风险, 采用个性化的审计程序,从而克服了传统风险导向审计测试程序标准化的缺点。
(三)改变审计思路
传统风险导向审计下, 注册会计师从交易的视角来评价审计风险, 测试重大的会计交易。不足之处是过度地关注处理交易的会计技巧, 而没有充分地关注它的经济背景, 提高了审计师误解它们的背景、意义或目的的风险。而现代风险导向审计是从战略系统视角来评价审计风险, 要求注册会计师在审计过程中运用自下而上和自上而下两条审计战线, 并且两条战线同时作战,从而对财务报表的整体风险进行综合评估,。所以, 现代风险导向审计的审计思路, 可以从源头和结果多方面出发, 有利于揭露和发现被审计单位的财务舞弊现象, 从而使审计思路更加完善和有致。
(四)引入重大错报风险
风险导向审计引入了“重大错报风险”概念,并规定评估重大错报风险是首要和必要的审计程序,审计重心发生了改变,把以审计测试为重心转移到了以风险评估为重心。这样,注册会计师在评估重大错报风险时,不仅需要了解与财务报表项目和账户、交易相关的内部控制,而且更需要了解与财务报表相关的被审计单位的经营环境、行业状况、战略目标。此外,现代风险导向审计关注的内部控制构成要素已经超过了传统风险导向审计,包括内部环境、目标设定、事项识别、风险评估、风险反映、控制活动、信息与沟通、监控等8个要素。
(五)扩大了审计证据的内涵,注重外部证据
由于审计的重心从控制测试向风险评估转移, 审计证据也从企业的内部向外部扩展。因此,在风险导向审计模式下,注册会计师形成审计结论所依据的证据包括了解被审计单位及其环境获取的证据,审计证据包括被审计单位财务报表依据的会计记录中含有的信息和其他信息。
三、现代风险导向审计的现状与实施障碍
(一)现代风险导向审计的现状
现代风险导向审计在国际的应用已较为普遍,但在我国风险导向审计仍处于探索发展阶段。一是审计人员不熟。我国审计起步较晚,对风险导向审计模式还比较陌生,审计过程中还习惯传统审计方法,缺少实施个性化的审计程序和针对性。二是推动风险导向审计在我国时间短。从2006年2月15日起,财政部才颁布了“中国注册会计师执业准则”,标志全面引入风险导向审计的理念。三是金融危机爆发有利于加速风险导向审计的运用。2008年以来爆发的金融危机,企业面临的风险和不确定性与日险使会计师行业也面临了严峻的挑战。2009年4月7日,注册会计俱增,经济下滑、盲目投资、现金流向、虚假帐表、政策多变等种种风师协会《关于当前经济形势下服务经济发展大局促进行业平稳发展的意见》,要求全行业贯彻风险导向审计。四是风险导向审计运用不平衡。一部分会计事务所已高度重视,加大运用力度,真正采用风险导向审计,在审计时更加关注企业现金流风险和公司做假账的风险,分析判断宏观环境,包括经济、政治、技术等等因素,收到了很好效果。
(二)现代风险导向审计的实施障碍
虽然现代风险导向审经过不断的实践和发展,越来越成熟,但还存在相当的阻力与障碍。主要表现在:
1.会计师事务所实施成本偏高。目前,我国还没有普及开展现代风险导向审计,与传统风险导向审计不同,现代风险导向审计需要取得一定数量的审计证据,支付一定的审计成本,这样便导致会计师事务所要投入更大的人力、物力、财力才能保证。如:风险导向审计需要更多有经验的合伙人及高级审计人员的参与,所以人员成本就会比较高,也可能相应地会增加审计的总成本。会计师事务所是盈利性机构,从业的注册会计师不愿意付出审计高成本。
2.审计人员素质难以适应现代风险导向审计的要求。现代风险导向审计关注对重大错报风险的评估,扩大了风险评估范围,重视分析程序的应用。这就要求审计人员不仅拥有管理、财务、营销和会计等多方面的专业知识,还要有较高的风险分析能力和专业判断能力及丰富的执业经验。而我国这方面的审计人员相对缺乏。这就造成审计时很难对被审单位的经营风险和舞弊风险做出正确评估。在银广夏案件中,中天勤会计师事务所的审计人员在事后承认他们对生物萃取技术不懂,而且对外贸业务也并不专长。因此,导致审计无效率或审计失败,制约了风险导向审计模式的广泛开展。
3.信息技术应用滞后。在风险导向审计中,审计人员需要大量的信息来充分了解客户整体经营环境、经营风险和财务状况等,这样才能针对风险不同的客户和不同的风险领域设计个性化的审计程序。而目前我国在信息数据库的建设方面,审计监督链还未形成,审计机关对通用审计软件和专业审计软件的开发需求仍然很大,远远达不到现代风险导向审计的要求。导致客户信息储存量较少,数据的积累有限,从而影响了注册会计师对企业的整体风险和行业风险的分析,成为了计算机审计的“瓶颈”。
4.审计市场有效需求不足。我国的审计需求是形式上的审计需求者,管理当局不是通过审计来了解企业的财务状况,只不过借审计向公众传达公司的财务信息,故不是很关注规模、质量、信誉等会计师事务所的内在价值。由于我国有效的资本市场、经理人市场还未形成,现阶段均缺乏高度独立与自愿需求的制度环境。特别是近年来,我国上市公司会计造假事件频繁曝光,审计失败问题严重影响了审计市场景气的上行。
5.与风险导向审计配套的法律法规尚不健全。当前我国关于注册会计师法律责任的相关规定还比较抽象空洞,不具备可操作性,此外,民事赔偿制度也不够完善,这就导致目前我国证券市场上的投资者遭受损失后,无法因不依法进行审计或出具虚假报告的会计师事务所,应该承担法律责任的会计师事务所的民事赔偿责任几乎为零。银广夏会计造假和中天勤会计事务所审计失败就是一个典型案例。在对银广夏的年度会计报表进行审计时,虽然收集到了基本的审计证据资料,却对于企业伪造的虚假的海关报关单、发票、银行进账单以及对德国签订的销售合同都没有提出质疑。银广夏事发之后,尽管财政部吊销了中天勤会计师事务所的执业资格和刘加荣、徐林文的注册会计师资格,并把几位注册会计师移送公安机关处理,但会计师事务所的民事赔偿却无法实施追究,给广大股东造成了巨大经济损失。由于风险导向审计的前提条件就是法律风险,如果法律风险低,对注册会计师失去了应用的约束作用,则注册会计师就会对审计过程的风险不够重视,审计质量将会受到较大的影响,最终违背了风险导向审计的初衷。
6.分析性程序尚未达到要求。审计理论及实务中,分析性程序是一种重要的审计方法,对审计人员获取审计证据,提高审计效率,有效判断和避免审计风险具有重要意义。而在我国审计实践中,审计人员对其尚缺乏全面而深刻的认识和有效运用,分析性程序尚未达到现代审计风险模型的要求。
四、解决我国风险导向审计实施障碍的对策
(一)降低会计师事务所实施成本
降低审计成本也是风险导向审计产生的动因之一。审计成本包括完成审计工作需花费的资金成本、人力成本和时间成本。因此,我们在保证审计质量的前提下,可以通过有效利用审计资源,严格控制审计程序降低审计成本。一般情况下,审计程序越繁琐,审计成本就越高,导致审计资源浪费的可能性就越严重。所以,要降低审计成本,必须严格控制审计程序。还可通过提高审计人员素质、加快审计信息化进程,减少审计工作需花费的资金成本、人力成本和时间成本。
(二)提高注册会计师执业素质
注册会计师职业是智能型职业,执行独立审计业务或提供咨询服务专业性和技术性极强。客观上要求从业人员必须具备较高的业务素质,因而要确保其业务素质水平。风险导向审计的实施,要求审计人员具有更高的分析问题及解决问题的能力。为了适应现代风险导向审计的要求,会计师事务所应对注册会计师进行现代风险导向审计知识体系的培训,改善注册会计师的知识结构。同时,优化注册会计师的队伍,改变会计师事务所的人才结构,促进人才结构的多元化发展。应重视法律、电子商务、风险管理、工商管理等专业人才的培养,为现代风险导向审计对人才的多元化需求打下基础。
(三)建立共享的行业信息数据库
审计信息化作为我国电子政务的一个主要建设内容,得到了各级政府的高度重视。“三金工程”、政府上网工程和企业上网工程等一系列信息化重点工程的实施,促使财政、金融、税务、海关等政府部门以及各大国有企业的信息化进程迅速推进。为了尽快改变我国审计机关目前以审查纸质账目为基本手段的传统审计方式,结束审计系统与被审计对象之间以及审计机关之间信息联系脱节的状况,我国审计机关从2000年开始就加快了审计信息化的建设步伐,迈入了全面实施计算机审计的发展阶段。我国注册会计师协会应会同政府有关部门,建立各种级别的资料库,收集各个行业的资料,并且将各个行业所获得的信息及时在网上公布,从而实现会计师事务所、各级政府以及各个协会之间的联网,以解决会计师事务所收集数据能力方面的限制,满足会计师事务有效判断被审计单位的经营风险和行业风险的需求。会计师事务所应建立功能庞大的数据库,建立客户档案,对注册会计师在审计过程中所需要的各方面的知识以及有关被审计单位的各种资料进行整理和归纳,并及时更新数据库,为注册会计师实施现代风险导向审计提供强有力的数据支持,以满足注册会计师在审计过程中及时了解被审计单位的经营战略、业务流。
(四)强化独立审计市场
一是步减少政府对审计市场的过度干预行为,不断强化市场机制的力量,发挥市场机制的功能,提高管制效率和促进市场的健康发展,逐渐向独立管制模式过渡。二是完善公司治理结构,培育自愿性需求市场注册会计师的作用是向投资者公开披露审计报告,作为沟通上市公司管理当局与投资者之间的桥梁,约束公司管理当局行为。三是大力推进开产权制度改革,完善公司治理机制,保护社会公众股东的利益,加快建立现代企业制度。四是培育有效的经理人市场,通过经理人之间的竞争,使经理人始终保持生存危机感,从而自觉地约束自己的机会主义行为。经理人市场的另一个功能,在于保证企业家得到公平的、体现其能力和价值的报酬。
(五)改善法律环境
注册会计师执业的规范性取决于法律环境是否成熟,一个成熟的法律环境不仅可以为注册会计师合法执业起到保护作用,还可以起到监督作用。因此必须采取有数措施完善我国法律环境,在相关法律中明确注册会计师的法律责任,使注册会计师法律责任追究具有可操作性。同时,在行业监管方面,应明确注册会计师协会的地位,赋予其全权自律管理的权力,维护我国注册会计师协会本身的独立性、权威性和效率。
(六)分析性程序尽快达到现代审计风险模型的要求
每一种审计取证模式的改进和提高,不仅仅是实施审计工作基本技术手段的发展和提高,更重要的是审计职业界规避和控制审计风险的意识和能力的提高。进入新世纪的中国审计,需要跟上这一发展潮流,尽快改进和完善审计方法,积极探索审计取证模式新体系。现代风险导向审计以分析为中心,分析性复核应成为现代审计风险模型最重要的程序,并走向多样化,不再是只对财务数据进行分析,也对非财务数据进行分析;分析工具充分借鉴现代管理方法,将管理方法运用到分析性程序中去。
一、经营风险与审计风险
企业的经营风险通常包括政策变化、市场萎缩、关键客户流失、重要供应短缺、技术落后、资金周转困难、关键管理人员离职等不利影响,反映到财务报表中,收入、利润下滑,资产质量下降,现金流量不畅。但是,财务报表并非都会真实、客观地反映企业经营状况,一旦经营业务与财务反映结果脱节,意味着经营风险将转化为审计风险。舞弊的三角理论认为,“压力”是管理层舞弊的重要因素之一,而舞弊导致财务报表的重大错报,属于注册会计师审计应当关注的特别风险。以上市公司为例,经营风险或经营失败导致的业绩压力可能包括:维持再融资财务条件、过度依赖信贷支持、避免暂停上市、兑现盈利承诺、满足股权激励行权条件、保护管理层报酬、隐瞒决策失误、高价减持股票套现、保持市场形象、控股股东压力等,上市公司通过粉饰财务报表,掩盖经营困难,获取巨大利益。虽然经营风险并不必然导致审计风险,但在我国资本市场尚不成熟,普遍缺乏诚信意识,违规成本低的现实环境中,管理层舞弊动机强烈,从而加大了经营风险转化为审计风险的机率。2013年1月至2014年4月期间,44家上市公司涉嫌财务信息披露等违规被证券监管部门立案调查,这些公司不少处于经营困难,业绩压力较大的窘况。注册会计师为规避审计风险,对其中16家上市公司出具了保留或强调事项段审计意见,而绿大地、万福生科、天能科技等企业的经营风险最终导致了审计失败。为了拦截经营风险向审计风险转化,防止经营失败引发的审计失败,注册会计师应当把好“四关”:一是把好入口关。对于系统性、行业性风险较高的客户,审慎承接,而对于经营陷于困境,频繁更换会计师事务所的业务项目,坚决不接。二是派好人手关。经营风险大的高风险客户,委派具有相应丰富经验的项目合伙人、现场负责人至关重要。三是防范舞弊关。经营风险与舞弊行为犹如孪生兄弟,审计重点应当围绕以舞弊为中心的财务报表重大错报展开。四是做好沟通关。对市场关注度高的客户,及时做好会计师事务所内部门、监管部门等各方沟通协调。
二、过度信任与职业怀疑
信任,是建设和谐社会的基石。对于注册会计师而言,信任能够提高效率,例如,信任内部控制有效,可以减少实质性测试范围。但若过度信任,放松职业怀疑,则可能导致审计风险。职业怀疑,是指注册会计师以质疑的思维方式评价所获取的审计证据,并对相互矛盾的证据,以及引起对文件记录或责任方提供的信息可靠性产生怀疑的证据保持警觉。如何在信任与职业怀疑之间取“最大值”,是风险导向审计的基本要求。注册会计师在审计实务中,在“信任”问题上存在几种认识误区:“客户没有事,我们就没事。客户有事,我们也逃不脱”;“客户说了,保证这些问题明年全部消化,请你们放心”;“客户很诚信,从来没有欺骗过我们”;“某某项目经理能力很强,他负责的业务肯定没问题”……。注册会计师为何会产生过度信任?哪些情形阻碍了注册会计师保持职业怀疑?主要原因在于:一是审计环境中的某些情况可能会引发动机和压力,使注册会计师产生偏见,如客户承诺高收费、长期合作关系等。二是随着审计业务关系延续,注册会计师可能对管理层产生不恰当的信任,某些情况下可能会迫于压力,避免与管理层产生分歧或对管理层造成不良后果,而未能保持恰当的职业怀疑。三是其他情况也可能阻碍注册会计师保持职业怀疑,如合伙人对项目组时间安排不够。从会计师事务所及合伙人层面经营理念溯源,是市场至上,还是质量为重,办所理念往往决定了信任的程度,尽管有时信任是被动的。过度信任是审计失败的前奏。注册会计师因为信任政府,没想到政府配合支持企业造假;因为信任银行,发现对账单居然系伪造;因为信任客户承诺,但客户一次又一次失约;因为信任审计人员,却不知其已丧失了专业和道德底线。因此,过度信任是风险导向审计的天敌,唯有相信审计准则,亲眼所见,亲耳所闻,亲身所思,持“人之初,性本恶”的态度,坚持批判性思维,透过现象看本质,始终保持职业怀疑态度,才能控制审计风险。法国著名哲学家、数学家笛卡尔的名言“我思,故我在。”思,即普遍怀疑精神。职业怀疑并非怀疑一切,而是对高风险审计领域有针对性地提高警惕。例如,舞弊风险、管理层凌驾于公司内部控制之上的风险、收入确认、会计估计、关联方关系及其交易、重大非常规交易、金融工具等高度复杂的交易、对法律法规的遵循、持续经营、函证、存货监盘、期后事项等易产生错报或舞弊的领域。
三、实质风险与形式风险
实质风险,指注册会计师实施审计程序后未能发现财务报表重大错报导致的风险。形式风险,指财务报表本身并无重大错报,但注册会计师审计程序实施不到位可能导致的监管部门检查风险。审计理论、审计准则中,只有审计风险的概念,即审计风险相当于实质性风险意思,而并无实质风险与形式风险的定义,但审计实务中二者之争颇为激烈,由此形成了不同的审计风险观,进而影响注册会计师审计思路和获取的审计证据。重实质主义者认为,会计问题定生死。只要没有导致被审计单位财务报表重大错报的会计确认、计量或披露事项,注册会计师就不会有遭致行政处罚的重大风险。坚持该观点的注册会计师,审计重点主要是查问题、纠错报、防报表风险,重实质性审计程序,轻风险评估和控制测试,不追求程序实施面面俱到,不够重视审计工作底稿编制的完备性,强调报表真实。事务所合伙人多持该种观点,他们认为就中国当前注册会计师监管环境,只要客户存在实质性风险,即使审计程序执行再完美,以现行监管执法标准,也难逃“有罪推定”之责。重形式主义者认为,注册会计师作为独立审计师,必须分清会计责任与审计责任的关系。被审计单位对编制和公允列报财务报表负责,包括按照会计准则规定编制财务报表并使其实现公允反映,以及设计、执行和维护必要的内部控制,以使财务报表不存在由于舞弊或错误导致的重大错报。注册会计师的责任是按照审计准则规定执行审计工作,以对财务报表是否存在重大错报获取证据并发表审计意见。坚持该观点的注册会计师,工作重点是完成审计准则的“规定”动作,重视审计程序的实施和底稿编制的齐备性,包括风险评估、控制测试、实质性测试等,强调程序真实,执业一线注册会计师多持该观点。他们认为,按审计准则执业天经地义,且通常能够发现重大错报,即使不能发现舞弊导致的错报,根据最高人民法院《关于审理涉及会计师事务所在审计业务活动中民事侵权赔偿案件的若干规定》(法释[2007]12号)规定,若属于“已经遵守执业准则、规则确定的工作程序并保持必要的职业谨慎,但仍未能发现被审计的会计资料错误”情形,注册会计师可以免责。因此,防范形式风险,必须做好审计底稿,因为底稿是“护身符”。笔者认为,前述两种观点均有失偏颇,坚持“实质与形式并重”,是贯彻风险导向审计理念的最好诠释。仅强调实质风险,可能会因程序实施不到位而不易发现实质问题;仅强调形式风险,难免会偏离审计目标,即使能够免责,但这并非财务报表使用者所需要的审计结果。因此,实质与形式是审计目标与审计手段的关系,按照准则规定实施程序,是为了发现实质性风险,两者并无矛盾。审计实务中,关键是如何贯彻风险导向审计,做到风险评估与实质性测试挂钩,审计资源轻重有别,程序实施繁简有据,既避免审计过度,又防止审计不足,从而提高审计质量与效率。
四、余额审计与过程关注
资产负债表反映时点数,利润表反映期间数,注册会计师分别以确认期末余额、当期发生额的真实性和准确性为审计目标,并据以设计相应的审计程序。审计实务中,注册会计师对资产负债项目余额形成过程关注不够,导致未能发现重大错报。为何要关注过程?一是期间违规,期末平账。二是偷梁换柱,隐瞒真实交易。三是出借账户或资质,形成体外循环。四是询证回函可靠性不足,易出现串通舞弊等。例如,某上市公司2013年度与关联方发生大量非经营性资金往来,累计金额超过10亿元,关联方年度间多数月末均占用上市公司资金,年末全部归还。从期末余额看,财务报表其他应收款并无重大错报,但存在“期末为零,过程占用”行为,严重侵害上市公司利益,若注册会计师审计未能发现并在审计报告披露,将承担重大审计风险。再如,注册会计师对某拟上市企业应收账款实施函证程序,并取得回函,但因被审计单位与客户串通,其中一大额客户回函与实际不符,导致财务报表存在重大错报。事实上,在我国社会信用基础缺乏的情况下,评价回函可靠性应当保持高度警觉。美国SEC、PCAOB等机构认为,中国会计师事务所函证实施存在重大缺陷,未充分考虑客户可能对函证目标施加影响。余额审计与过程关注,相辅相成,互为补充。注册会计师应当从以下几方面把握:第一、关注资金流。几乎所有交易都离不开资金流,上市公司、拟上市企业等高风险业务,核查资金流是至关重要的程序,包括账户完整性、未达账项、异地账户、账户数量或资金流量与业务匹配性等,并同财务报表异常项目挂钩,如大额长期预付款项挂账。中国证监会2013年组织的IPO财务核查,银行流水成为重中之重,发现并查处了河南天风节能等财务造假案。第二、关注实物流。采购与销售业务及形成的资产、负债,仅审核合同、发票等证据还不够,物流轨迹亦为关键证据。第三、重视会计分录测试。会计分录测试,是指注册会计师针对被审计单位日常会计核算过程中作出的会计分录,以及编制财务报表过程中作出的其他调整执行的测试,主要目的在于应对被审计单位管理层凌驾于内部控制之上的风险。通过关注异常会计分录,可识别腾挪、平账、虚构等交易。当然,余额审计时关注资产负债项目形成过程,并非等同于损益类科目审计,而是根据风险评估结果,关注重大、异常、疑虑等高风险账户。
五、例外审计与常规审计
科学管理之父泰勒认为,管理中大量的事务性工作应该尽可能实现规范化,企业的高级管理人员把一般的日常事务授权给下级管理人员去处理,自己只保留对例外事项(即重要事项)的决因此,实质与形式是审计目标与审计手段的关系,按照准则规定实施程序,是为了发现实质性风险,两者并无矛盾。审计实务中,关键是如何贯彻风险导向审计,做到风险评估与实质性测试挂钩,审计资源轻重有别,程序实施繁简有据,既避免审计过度,又防止审计不足,从而提高审计质量与效率。策和监督权。例外原则运用到审计实务中,注册会计师应更多地关注被审计单位出现异常的例外事项,评估为高风险领域,委派具有相应经验的审计人员,设计和实施总体应对措施及进一步审计程序,而对常规事项,采取一般审计,以节约审计资源。不少会计师事务所对业务项目采取分级分类管理,不同等级项目,实施不同的质量控制流程,包括项目承接、业务执行、报告出具等,体现了例外管理原则,也与风险导向精神相适应。被审计单位的“例外”事项,通常包括:一是财务指标的异常波动,如资产负债及收入成本项目异常变动、毛利率大幅变动、期间费用波动等。二是复杂或特殊交易事项,如衍生金融工具、商誉等长期资产减值测试、精算福利、特定资产价值量确认、境外审计、创新业务会计处理等,需要较高的专业胜任能力。三是非常规重大交易。注册会计师需要特别关注:复杂的股权交易,如公司重组或收购;突然新增重要交易客户或供应商;与处于公司法制不健全的国家或地区的境外实体之间的交易;对外提供厂房租赁或管理服务,而没有收取对价;具有异常大额折扣或退货的销售业务;循环交易;在合同期限届满前变更条款;采用特殊交易模式或创新交易模式;交易标的对被审计单位或交易对手而言不具有合理用途;交易价格明显偏离正常市场价格;不属于正常经营业务范围内的、金额重大且没有实物流的交易等等。
六、扁平思维与立体视角
企业财务信息来源同员工、客户、供应商、金融机构等内外部密切相关,数据生成呈系网状、立体式,因而财务信息之间、财务信息与非财务信息之间存在内在勾稽或联系。风险导向理念,必须了解财务报表背后的故事,仅从被审计单位财务部门完成全部审计工作蕴含风险,因为一张据以入账的原始凭证,在进入会计系统前也许经历了漫长、复杂的“旅行”,经过了不同地方、不同单位、不同部门、不同人员之手,最终形成财务报表上的一个数据。注册会计师对于异常数据,往往要从数据外寻找突破口。所幸的是,以互联网快速发展催生的大数据时代,为了解财务数据生成相关主体及真实性印证提供了便利条件,公开信息、媒体报道、举报等成为获取审计线索的重要途径。“由外至内,自上而下”的审计思维,注册会计师应当实现两个转变:一是审计程序的执行,要由扁平化向立体化转变。例如,审计重要的收入项目,不仅要履行分析、抽查、核对等常规程序,还要进行交易函证,甚至现场走访核查,从立体视角核实印证收入确认真实性,切忌将审计工作变成“复印机”、“留声机”。二是审计证据的获取,要由单一化向多维化转变。仅以询证回函确认应收账款余额可能存在风险,若辅之以收入核查、存货抽盘等证据,将降低检查风险,这也是不少注册会计师按照业务循环设计和实施审计程序的原因。拟上市企业审计中,监管部门要求申报会计师关注财务信息与非财务信息相互衔接与印证,目的是从不同维度获取证据,核实财务报表的真实性。例如,经营模式、产销量与营业收入、营业成本、应收账款、期间费用的关系是否匹配;产能与产量是否匹配;存货构成与产销量是否匹配;产量与水、电量是否匹配;销量与运费支出是否匹配;毛利率波动与生产工艺改进、原材料价格波动关系是否匹配;资产的形成过程是否与发行人历史沿革和经营情况相互印证;招股说明书披露的财务信息是否与经审计的财务报表一致等。
七、审计不足与审计过度
以最少的审计程序,发现最多的错报,这是风险导向审计最高境界和最佳效果。但要达该效果并非易事,往往不是审计不足,就是审计过度。审计不足风险,指注册会计师未实施充分适当的审计程序,导致未能发现财务报表重大错报的风险;审计过度风险,指注册会计师实施了不必要的审计程序,获取的证据无助于形成审计结论的风险。前者影响审计效果,可能导致注册会计师发表不恰当的审计意见,后果影响审计效率,导致注册会计师实施额外工作,造成审计资源浪费。导致审计不足与审计过度的原因,一方面,是注册会计师审计准则掌握理解不够,尤其是风险导向运用不到位所致。例如,集团财务报表审计平均用力,非重要组成部分也执行了详细、完整的审计程序;控制测试与实质性测试重复审计;审计抽样不考虑风险评估结果,不考虑重要性水平,漫无目的抽样检查会计凭证,复印大量资料等,这种过度审计毫无意义。而对于风险点,审计的深度、广度不够,证据不足以支持审计结论。另一方面,会计师事务所管理也不容忽视,包括人力资源投入不足、项目组织不当、时间压力大、合伙人责任不到位、收费过低等,产生这些问题的根源是会计师事务所经营以质量为导向,还是市场为导向,是重品牌建设,还是重短期利益,不同理念形成质量文化差异。如何处理好二者的关系?经济学中“纳什均衡”理论,或许值得借鉴,即博弈中参与各方效用最大。具体而言,选择合适的审计程序是平衡审计不足与审计过度的关键。会计与审计的区别,在于会计是做“判断题”,审计是做“选择题”。经济事项发生后,会计人员需要判断是否应当确认、何时确认、按何种属性计量、如何后续计量、以何种方式列报与披露等,“判断”正确与否决定会计处理的恰当性。而注册会计师在审计时,面对海量的会计审计资料,如何选择审计程序实施的范围、性质和时间,贯穿于审计工作的始终。选择恰当,事半功倍,反之,则事倍功半。例如,集团财务报表审计范围,需要根据组成部分的重要性,选择重点审计单位、一般审计单位和审阅单位,重点审计单位对低风险项目选择简化程序,而审阅单位中个别重要项目应当选择审计方式等;又如,实施盘点程序的时间选择,既可在资产负债表日,也可在资产负债表日前后;既可提前安排好盘点计划,又可为增加审计程序的不可预见性,选择实施突击盘点等。
八、独立复核与合伙体制
关键词:内部审计;风险管理框架;应用
中图分类号:F239文献标识码:A文章编号:1672-3198(2009)03-0237-02
1引言
2004年美国反虚假财务报告委员会(COSO)颁布了《企业风险管理——总体框架》中,企业风险管理的定义是,由董事会和管理层在制定战略及在整个企业中实施的、用于识别可能影响组织的潜在事件并根据风险偏好管理风险,为组织实现目标提供合理保证的过程。它强调企业风险管理和内部控制体系整合,使二者共同成为公司治理的强大工具。内部控制体系中核心环节之一的内部审计承担了监督、评价、检查、报告和改进等任务,是企业风险管理不可或缺的组成部分。
2004年国际内部审计师协会(IIA)内部审计的定义将风险管理和内部控制、公司治理列为内部审计的工作对象,明确要求内部审计参与风险管理和公司治理过程,IIA《标准》确定了风险审计的方向。
2风险管理框架下风险导向审计的应用前提
在风险管理框架下,要发挥风险导向审计的作用,必须以风险管理为基础,改变审计思路,改进审计流程和方法。
2.1以风险管理框架为理论框架
COSO提出的ERM框架首先增加了战略目标,将企业风险的关注点引向战略问题;其次,在内部控制五要素(内控环境、风险评估、内控活动、信息与沟通、监督)的基础上增加了目标设定、事件识别和风险评估三个要素,与原来的风险评估要素构成了一个完整的风险管理过程;最后,还强调风险管理覆盖所有层次,包括业务单元、子公司、分支机构和公司的整体层次等内部控制的全部领域。可见,ERM是一个整合公司治理和内部控制的框架,它关注包括公司治理领域和内部控制环节的一切风险。
IIA通过修改内部审计定义加速了它的发展并使其成为现代内部审计发展的趋势。它是传统审计的发展,赋予为企业的风险管理提供保证的重要任务,因此,应该让内部审计和风险管理框架直接联系,实现协同效应。IIA《标准》对风险审计的规范和指导,极力倡导内部审计在企业风险管理框架中发挥不可替代的重要作用,即内部审计要在风险环境分析、风险事件识别、风险评估、风险反应和控制、风险信息沟通和管理系统监控环节中发挥重要作用。
2.2以风险管理目标为审计过程的行动指引
全球化、技术更新、资本重组、变化的市场、竞争和管制等因素使企业经营面临着很多不确定性,现代企业管理的战略目标是增加企业价值,同时承受相应的风险。不确定性是对价值的破坏或增进,风险与机会并存,管理层把机会反馈到战略或目标制订过程中,以便把握住适合的机会。
COSO对企业风险管理定下四大目标:战略目标——高层次目标,与使命相关联并支撑其使命;经营目标——有效和高效率地利用其资源;报告目标——报告的可靠性;合规目标——符合适用的法律和法规。在这些目标指引下,风险管理过程就是要合理保证管理层及时了解企业实现目标的程度。依据IIA对内部审计的定义,风险导向审计的总目标是对企业所面临的风险进行管理,对内部控制和治理过程进行评估,将评估的结果反馈给管理层,从而帮助企业实现目标。其目标基本一致。
COSO风险管理框架扩展了风险管理的广度和深度,提高了企业管理层控制风险的地位,也提高了风险评估在企业经营中的地位,企业目标分为经营效果和效率、财务报告可靠性和法律法规的遵守程度,内部控制目标提升到企业战略的层次。风险导向审计对企业风险的监控是指对风险管理要素的内容和运行及一段时期内执行质量的评估,要求在企业风险控制监督过程中取得实效,广泛收集有关经营决策和风险状况的信息,评估各个待审计项目的风险,进而确定审计风险控制策略。风险导向审计的焦点体现在分析、确认和解释关键性的经营风险,使审计和企业风险管理策略紧密联系。
2.3采用新型的审计思路
传统的内部审计沿袭“自下而上”、“由点到面”的审计思路,风险导向审计则要求审计人员对企业的战略管理进行分析,对企业风险做出合理的专业判断,运用“自上而下”的思路,确定审计的范围、重点、审计目标和相关审计程序,通过实质性测试的结果,结合重要性判断来判断整个企业的风险并最终形成审计意见。
2.4以企业战略为审计起点
企业经营战略指导企业未来的发展方向,内部审计要把握好企业战略和长远规划,才能充分发挥其服务职能,从战略分析入手,按照“战略分析——经营环节分析——剩余风险分析”的思路展开风险分析,确定实质性审计程序的性质、时间和范围。它使得审计人员从战略系统观角度对企业保持和加强风险管理体系的竞争优势进行分析评价,指导审计重点、范围、目标和程序,从系统上改进了审计方法,以适应新经济环境的要求。
2.5以风险识别为审计主线
风险导向审计以风险识别为起点,通过事前分析评估,提出应对风险的方案并辅之事后总结,完善风险管理制度,并检查风险控制的有效性,及时揭示和报告潜在风险,提出防范措施和改进建议。
所谓风险识别是指在风险发生前,运用各种方法系统地、连续地发现风险的过程,了解企业存在的各种风险因素及其可能带来的后果,将风险识别运用到审计中,审计人员可以针对不同的风险程度采取不同的实质性测试程序和相应的风险控制措施。风险识别方法有很多,如环境分析法、财务报表法、流程图法、情景分析法、决策分析法、动态分析法、头脑风暴法等,多种方法可在风险识别过程中结合运用。
2.6以风险评估为控制手段
在风险管理框架下,内部审计的一个重要职能是协助建立和完善企业风险管理制度,对执行情况的有效性进行检查,及时揭示和报告潜在风险,提出防范措施和改进意见,因此风险评估是风险导向审计的重要手段。它有利于帮我们确定合理的审计程序,揭示被审计单位财务、经营等方面风险,并重点考虑形成这些财务数据的业务经营及其他影响因素等方面,搜集充分、适当的审计证据。非财务因素如企业的战略优势在哪里,未来发展前景如何,管理方式与经营理念是否合理,主要竞争对手是谁,重要客户是谁,人力资源素质怎么样,面临的法律监管环境如何及内部控制制度等。
风险评估的核心是分析性复核的运用。所谓分析性复核,就是以财务资料与非财务资料之间的表面关系或可预测的关系,评估财务信息的合理性,分析被审计单位的重要比率,包括这些比率异动及与预期数的差异,目的是评价业务的总体合理性。在多元因素评估过程中,还要将现代管理方法运用到分析性程序中去,使风险因素不再独立,常用的分析方法有:战略分析、绩效分析、财务分析、会计分析及前景分析等。
3风险管理框架下内部风险导向审计的应用过程
风险管理是一个动态过程,风险管理框架下的内部审计也是一个动态过程,且贯穿于企业管理全过程。
3.1理解风险管理是一个动态过程
COSO对风险管理的定义是“风险管理是一个过程,它由一个主体的董事会、管理当局和其他人员实施,应用于战略制订并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体目标的实现提供合理保证”。从定义可以看出,风险管理渗透于企业经营活动全过程且反复相互影响,风险管理机制的运作是一个动态管理的过程,与经营管理活动交互存在。我们看到,风险和机会有时会互换,也是动态过程,如果把握不好,机会将变为风险,如果控制及时,风险也会转化为机会。风险管理就是帮助管理层有效处理不确定性,规避风险、把握机会,提高企业创造价值的能力,这也决定了风险管理是个动态过程。
风险管理要素由内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通以及监控等八个相互关联的要素构成。这些要素来源于企业经营方式,各个要素之间相互影响、互相作用。例如,风险评估促进风险应对,并影响控制活动,突出信息和沟通的重要性。因此,风险管理是多方向且反复的过程,不同要素之间相互影响。
3.2风险导向审计贯穿于企业管理全过程
风险导向审计最终目的是为了完善公司治理,协助管理层应对风险、把握机遇,提升企业价值。它以风险为出发点,由传统的事后评价变为全过程的动态反应,为管理层提供及时有用的信息,为公司治理相关措施的有用性给予反馈,并提出建议。所以,风险导向审计是将各项管理经营活动整合成一个完整、相互约束和自我改善的体系。它运用立体观察的理论来判断影响企业经营风险的各种因素,从企业所处的行业状况、监管环境、经营目标、战略规划到经营方式、业务流程等内外部各个方面来评估企业的风险水平,把经营风险植入到本身的风险评价中去,并贯穿于内部审计的全过程。
我国学者黄园园提出,企业管理活动可以划分为战略管理、管理控制和作业活动三个层面,风险导向审计贯穿于企业管理的全过程,内部审计通过作业活动层面的风险导向审计和自我控制评价了解企业风险状况和管理薄弱环节,进而向战略管理层或管理控制层提出管理建议,在战略层做出决策后向管理控制层或作业活动层提供管理咨询,并在获得授权的情况下协调作业活动层的改进工作。
3.3风险导向审计在不同风险管理水平的作用过程
风险导向内部审计与传统内部审计的区别在于其遵循的逻辑顺序是“目标风险控制”,同时根据企业风险评估调整审计战略,确定审计重点,紧密关注高风险的领域,以提供更相关、更符合管理层和董事会需求的确证信息。
在不同风险管理水平下,风险导向审计所发挥的作用不同(如表1)。在风险暴露阶段,内部审计建立在审计风险评估的基础上,采用风险管理方法;在风险察觉阶段,内部审计建立在审计风险评估基础上,协助建立企业范围的风险管理方法;在风险确认阶段,内部审计使用管理层的风险评估结果,促进风险管理的战略和政策的实施;在风险管理阶段,内部审计建立在管理层的风险评估基础上,对风险管理过程进行审计;在风险管理融合阶段,内部审计建立在管理层的风险评估基础上,对风险管理过程进行审计。
当然,在不同风险阶段,企业风险管理水平是不断发展和变化的,在这种逻辑思路下,风险导向审计模式应根据不同的风险水平不断调整审计目标和重点,发挥不同的职能作用。
4结论与建议
4.1结论
在风险管理框架下风险导向审计的功能得到有效拓展,在促进风险管理、内部控制和公司治理方面都发挥了重要作用,成为企业风险管理体系的重要组成部分。因此,风险导向审计贯穿于企业管理全过程,必须突破传统观念,以企业风险管理框架为理论依据,改进审计流程和方法,与风险管理机制相融合,其审计模式在不同风险管理水平下应随之相应调整。
4.2建议
我国内部审计起步较晚,无论在理论研究还是实际应用,与西方内部审计存在较大差距。随着我国市场经济体制逐步完善和世界经济一体化,我国企业与西方企业面临着同样经营环境和风险,内部审计作为企业风险管理体系的重要环节,必将面临严峻的挑战。我们可以从以下三方面着手准备,为全面推广风险导向审计提供基础。
风险导向审计作为新兴的审计方法,要求注册会计师做到对被审计单位的财务报表重大错报风险的识别、评估和应对。计划和实施审计工作的中心是由内控测试到风险评估的转变,从风险导向审计自身来看,具有以下几个方面的特点:
1.1对内部控制运用全面。在制度基础审计中,风险导向审计主要考虑控制环境、会计系统和控制程序等三个因素,同时也可扩展到五个因素:控制环境、管理部门的风险评价、会计信息与传递系统、控制行为和监督。由于内容的扩展,内部控制制度在风险导向审计模式下演变为内部控制结构,这相对于原来的系统导向审计只考虑内部会计控制和内部管理控制进步了很多。
1.2以风险为导向的审计模式。在风险导向审计中,以风险为导向,可以影响经济业务的内部环境和外部环境,是以经济业务整体为重点,综合分析评价企业经营所处的内外环境,根据评价结果确定审计水平,最终目的是要将审计风险控制在社会可接受的水平以下。
1.3全面的考虑风险因素。风险导向审计在账户余额和财务报表两个层次分别评估,注册会计师在各个审计阶段分别评估账表项目的期望审计风险、固有风险、控制风险和检查风险。随着审计工作的深入,注册会计师在各个阶段针对不同风险要素做分别侧重的评价,这样审计人员所能够获得的与风险要素相关的信息就非常多,使对风险要素水平的评价也更加准确和客观。
1.4在每个阶段都用风险审计模型做出对策。注册会计师在各个审计阶段,都分别以审计风险为模型,分析评价各自的期望审计风险、固有风险、控制风险和检查风险,并在此基础上做出决策,全面的控制审计风险。
2风险导向审计的运用及问题
审计风险模型的出现,从理论上解决了注册会计师以制度为基础采用抽样审计的随意性,又解决了审计资源的分配问题,要求注册会计师将审计资源分配到最容易导致会计报表出现重大错报的领域。注册会计师以审计风险模型为基础进行审计,在优化公司治理框架的前提下,从企业内部控制的设计、运行、评价、改进四个环节建立与完善企业内部控制机制,强调高级领导层的控制责任,关注对全部风险的评估。在现阶段运用风险导向审计中,存在以下几点问题:
2.1注册会计师的素质问题。风险导向审计是用分析性测试程序作为主要的获取审计证据手段,这就要求注册会计师具有很高的自身素质。在数理统计广泛运用的前提下,为了使运用分析性测试程序具有合理性和可验证性,要求根据数理统计估算出可接受的风险水平,达到相应规模的审计证据。而在我国,还有很多的注册会计师不具备这一能力。
2.2政府监管及执法问题。各级政府的监管部门,在对会计事务所审计质量的检查中,往往最关注的就是审计过程中是否执行了所要求的全部常规审计程序,而在审计失败事故的检查处理中,更是判定注册会计师审计责任的重要方面。但是这种只重视审计程序的形式化的检查方法,必然会制约到风险导向审计模式的开展。
2.3审计程序软件的开发。我国的大部分注册会计师都缺少大量的审计程序软件,数据电子化程度不够,导致注册会计师在审计过程中不能直接对数据库进行加工分析,并依据软件构建模型,从而经过电脑自行检查和核对,这就使审计工作的效率在很大的程度上减缓,阻碍了风险导向审计模式的发展。
2.4成本的增加。实施风险导向审计,注册会计师所关注的范围也将必然扩大,而程度的加深就导致工作时间和审计成本的随之增加,然而在激烈化的行业竞争中,这些成本并不能增加到业务收费中,这就形成了风险导向审计运用的实际性问题。
风险导向审计是注册会计师避免风险的一种有效手段,在实际运用中国外已经有了成熟的前例,而在我国这一理念还不是十分成熟,中天勤会计师事务所出现的问题就是因为没有采用风险导向审计,这证明了我国风险导向审计还不全面,缺乏很多因素,实际推广中也不完善。
3风险导向审计的推广
风险导向审计是适应审计环境变化、审计准则的有效方法,我国注册会计师按目前的职业水准和审计环境,可以从以下几个方面进行风险导向审计的推广运用:
3.1加强风险导向审计理念。我国的审计准则是借鉴国际惯例,并在这个基础之上制定的,风险导向审计是制度基础审计的发展,系统化的分析和评价,较之过去的制度基础审计有很大的进步。在风险导向审计的观念中,是客观评价被审计单位的内外环境、制度,并对发现的会计报表发生重大错报风险进行账项审计,从而控制风险,节约审计成本,是一种行之有效的手段,值得大为推广,经济全球化也要求我们随之进行审计理念的进一步加强和学习。
3.2健全法律制度。我国很多的风险导向审计工作中,因为法律制度的不健全而产生的审计事故已经出现过不少。注册会计师是当前会计、审计制度执行的法律主体,现有的《公司法》、《证券法》、《注册会计师法》等大都是以行政责任为主,刑事责任和民事责任辅助,这样就导致很多的注册会计师违法行为不断发生。健全法律制度,提高注册会计师的法律风险意识,从而可以减免由此发生的审计事故。
3.3提高注册会计师的执业素质。注册会计师执行独立审计鉴证职能时,必须要了解顾客所在行业以及相关单位包括行业生产经营特点、经济技术指标和行业政策等知识结构的情况。同时,注册会计师队伍的优化组合要加强,原有的会计师事务所单一型的财务人员结构要改变,法律、工程技术、网络信息等一些非审计人员也要加强。审计工作是一项复杂的专业化工作,注册会计师的执业素质和各项知识的巩固,可以加大工作的质量和效率,并且可以在此基础上进行分组工作,固定每个组对一种行业的审计工作。
3.4加强风险导向审计的网络化信息系统。风险导向审计的实施,提高了审计工作的效率,网络化信息系统也要随之加强。注册会计师在进行风险导向审计时,要面对大量的数据收集和整理,没有良好的信息化系统,审计工作的效率也会随之降低。加强与社会的信息共享,可以减短收集资料的时间,加快工作效率,同时,会计事务所自身也要建立庞大的数据库,分类别、行业来收集、存储资料信息,方便以后的工作。
3.5政府加大对风险导向审计的扶持。风险导向审计在我国作为新兴的一种审计方法,它的优势也非常明显,政府加大对其的扶持力度,尽快的推进我国风险导向审计,从而实现这一优势审计方法。
4总结
风险导向审计是一种新型的、多维的审计模式,它以审计风险理论作为基础,高质量、低风险地完成审计任务,达到设定的审计目标。我国的风险导向审计还不完善,需要在以后的实践工作中不断地补充完善,不断的提升审计工作效率和其准确性。
参考文献:
[1]叶陈刚,孔慧平.现代风险导向审计应用探析[J].中国注册会计师.2008.(5).
[2]中国注册会计师协会.中国注册会计师职业准则[M].北京:中国财经出版社.2006.
[3]王咏梅,吴建友.现代风险导向审计发展及运用研究[J].会计研究.2006.(7).
[4]成琪.引入风险导向审计是否会带来高成本[J].财会时报.2003.(9).
