如何评估审计风险(6篇)
如何评估审计风险篇1
风险基础审计是一种有别于账项基础审计和制度基础审计的审计模式。它以量化的风险水平为重点,在确定的风险水平基础上,决定实质性测试的程度和范围。这一方法模式最显着的特点是,将客户置于一个大的经济环境中,运用立体观察的理论来判断影响因素,从企业所处的商业环境、条件到经营方式和管理机制等构成控制结构的内外部各个方面来分析评估审计的风险水平,并把客户的经营风险植入到本身的风险评价中去。此外还有一个特点就是,明确确认在为审计测试选择一个样本,企业开展业务的商业环境,对报表余额的真实性和公允性给予审计评价等都可能存在风险,并把这种意识贯穿到审计的全过程,从而在审计过程中把重点放在审计风险的评估上,并通过各种审计程序的设计和执行,把审计风险降低到注册会计师可以接受的水平。
风险基础审计的思想基础主要运用了我国的孙子兵法中诸如“凡事予则立”、“仗不打就赢”等思想,即由上而下,由宏观而微观,用评估的方式对财务报表加以评价,预先决定客户的重大性范围和目标。在具体审计时,它把审计基础工作大量地放在对客户营业过程的调查,对内部控制要素进行控制测试,并对财务报表和客户的操作程序、审计环境等进行科学分析、判断上,从而使期末需要审查的结果,在期初和期中得到判断。也就是说,通过了解、观察、分析、评估来确定审计的范围和重点,做到仗还未打,已有八分胜券。这也是风险基础审计能有效降低审计风险的原因所在。
二、风险因素分析
注册会计师要想明了审计活动所面临的全部风险,首要任务便是寻找与审计自身活动和环境相联系的风险因素。这点在目前并没有得到应有的认识,在现时证券市场发展阶段,注册会计师也不会去假设这种责任。因此,大多数注册会计师对引发审计风险的因素缺乏了解。但证券市场已发生的多起审计案件应当使我们警醒。注册会计师必须明了可能导致风险的各种因素,以使制订的审计计划更为有效,这样的审计结论更为可靠。除了遵循职业道德、审计技术和方法外,注册会计师还必须关注以下可能导致审计失败的因素:
1.关于企业所在行业的因素。主要有:(1)竞争激烈的行业;(2)迅速增长的行业,如高新技术产业;(3)大量营业失败存在并且衰退的行业;(4)国家化趋势的行业;(5)政治、环境或其他原因导致的行业法律限制(如扩张限制、生产限制)。
2.关于企业所在地区的因素。主要有:(1)处于政治不稳定性的地区;(2)在有贸易限制或有争议的国家或地区有大量的销售或其他活动;(3)缺乏适当的交通设施的地区。
3.与员工、组织机构和经营方式有关的因素。主要有:(1)专制的高级管理人员、无效的董事会或审计委员会;(2)管理人员行为超出重要内部控制的可能性;(3)存在与报告业绩或与某一明确的高级管理人员有权控制的业务有关的分红报酬;(4)高级管理人员财务困难的可能性;(5)重要的诉讼,特别是在股东和管理人员之间的;(6)极其乐观的盈利预测;(7)复杂的公司结构,这种复杂性与公司的经营或规模明显不匹配;(8)极度分散管理加上极其分散的经营地点;(9)低下的人事制度,要求超时工作或取消假日;(10)财务总监或董事等主要财务岗位人员的变动太频繁;(11)经常更换注册会计师或律师;(12)内部控制存在重要弱点,这个弱点可以纠正但未纠正;(13)无法得到弥补的非法行为或其它违规事项;(14)与关联方存在重要的交易或存在可能涉及到关联方利益的业务;(15)律师、顾问、中间人和其他人提供了普通服务,但给予的报酬却很高;(16)难以获取与下列事项有关的证据:①异常的或未解释分录;②不完全或遗漏的凭证和授权;③凭证或账户更改;(17)存在未预料到的审计问题,例如:①客户要求在极短的时间内或困难条件下完成审计;②突然拖延;③管理人员对注册会计师的询问不作回答或作不切实际的回答;(18)同行业其他公司最近披露的非法或有问题的事项;(19)售给外国政府的大额业务的存在;(20)对外国的销售价格或佣金远远高于本国的销售;(21)销售折扣在客户所在国外支付;(22)存在未经营的子公司,秘密银行账户或其他秘密基金;(23)罢工和封锁的风险。
4.关于盈利和经营预测的因素。主要有:(1)销售数量或质量的下降(例如信用风险增加,以成本或低于成本价销售,较低的边际利润);(2)经营业务的重大变化;(3)对单个或极少数产品、客户或业务的依赖;(4)缺少产品开发;(5)生产能力严重过剩;(6)不切实际的生产目标;(7)生产设备更新慢、折旧率低;(8)分析性复核揭示的重大波动,这种波动无法得到合理解释,例如:①异常的账户金额;②实际存货数量异常变动;③异常的存货周转率;(9)年末金额大的或异常的业务,这种业务对盈利有重要影响。
5.关于资产的因素。主要有:(1)资产价值的下降;(2)缺乏必要的安全措施。
6.关于流动性和融资的因素。主要有:(1)没有足够的现金流量;(2)缺乏营运资本;(3)在诸如营运资本比率等方面的借款规定中缺乏弹性;(4)缺乏权益资本;(5)获取新的资本困难(例如由于股权、法律条款等的原因)。
7.关于未预料损失的因素。引起这些损失的原因主要有:(1)购买和销售合同;(2)合同的补充条款;(3)担保合同;(4)生产授权;(5)租赁合同;(6)外汇交易;(7)保险保障。
在审计规划阶段,通过对行业与企业经营环境的研究及分析性测试等程序的应用,注册会计师应该设法识别出所有能指出重大审计风险的标志(warningsigns)。注册会计师对这些因素的分析应归入永久性审计工作底稿,因为这些因素的分析对重大性的估计及审计程序的设计会产生重大的影响。如何分析这些因素、通过何种方法来分析取得的资料并确保所有的风险因素在审计计划阶段得到考虑,是注册会计师应认真解决的问题。不过,客户存在上述风险因素,并不意味着该客户不可审计,而是给注册会计师一种提醒的作用,要对客户发表非标准无保留意见审计报告。在西方,各大会计师事务所将这些风险因素列为矩阵的形式,在矩阵上排列出风险因素和分析这些风险因素的资料来源。至于列多少风险因素,各个会计师事务所是不一样的。
三、风险基础审计的基本程序
风险基础审计的特点表明,审计程序设计和执行恰当与否,对审计风险的控制有着重要的意义。恰当的审计程序有助于审计工作循序渐进、有条不紊地达到审计目的。在实务中,为了使审计工作做得更为细致,并能关注审计重要领域,风险基础审计的程序可分为以下五个阶段:
第一阶段:通过调查、了解、分析、评估等方法执行一般规划并确认重要的审计领域,识别重要的风险领域。目的是评估固有风险,确认重要的审计范围。一般在审计计划开始时进行。具体内容为:明确客户服务及其他规划目标;取得或更新对客户业务与产业的了解;执行全面控制环境的评估;对重大性作初步判断;决定要审查的重要账户;确认影响这些账户的资料来源;编制审计计划。
第二阶段:了解和评估重要的资料来源。目的是寻找并确定控制弱点。一般在期中审计时进行。具体内容是:确认重要的估计和资料过程;对各项过程取得了解;考虑何处可能出错;确认与评估相关的控制。
第三阶段:执行初步风险评估,即固有风险和控制风险的联合。目的是通过风险评估,选择可靠的、有效益的、有效果的审计查核程序。即首先考虑固有风险,再对控制风险作出初步评估。在对控制有效或无效作出判断时,主要是对客户管理意识、控制措施及控制品质、控制程序设计本身是否严密,分工分职是否良好作出判断。如果有效,则进一步对可依赖程度和发生重大审计错误的可能性作出判断。在此基础上再评估审计发生错误的可能性,并确定审计查核方法。这主要在审计中期完成。具体内容包括:确认重要的作业和交易;了解重要交易之流程,绘制流程图;研究判断错误可能发生的所在,一要辨认流程中的关键环节,二要把控制目标与流程中的重要环节串联,三要确认交易流程中可能发生的错误,辨认及了解预防控制及侦测控制,初步评估控制风险。
第四阶段:拟定与执行审计计划,通过实施审计获取审计证据。具体内容如下:根据评估作出的不同的风险程度,为每一类重要认定拟定不同的查核方法;拟定审计程序以供控制测试及实质性测试之用;执行内部控制测试;根据测试结果最终评估控制风险;根据所确定的察觉风险水平的高低,执行实质性测试。
第五阶段:作出审计报告,即执行全面评估,将审计结论形成书面文件。
以上五个阶段中,前三个阶段主要通过了解、观察、分析、评估来确定审计的范围和重点,选择适当的审计程序和方法。做到仗未打,已有八分胜券,这也是风险基础审计模式的精髓。由此可以看出,虽然风险基础审计与制度基础审计在许多程序上有着相同之处,但风险基础审计是将客户置于一个大的经济环境中,从企业所处的商业环境、条件到经营方式和管理机制等内外两个方面来分析评估,全方位地判断影响因素。另外,由于企业经营产生的风险,会对审计产生影响,所以经营风险也是注册会计师必须考虑的因素之一。显然,风险基础审计所涉及的范围就比制度基础审计为宽,也更符合现代审计所处的社会环境。
四、风险基础审计的基本方法
风险基础审计这一方法模式得以产生并被越来越多的会计师事务所用于审计实践中去,说明风险基础审计是行之有效的,能满足注册会计师降低审计成本的需要和缩小期望差。以下具体讨论五种基本方法。
如何评估审计风险篇2
[关键词]审计计划;风险导向
素有企业“内部警察”之称的内部审计已随着企业集团化、业务流程复杂化的发展趋势,从传统的内部审计发展到风险导向审计阶段,在实践中笔者也深深体会到以风险评估为基础制订的年度审计计划在风险导向型审计中所起的作用越来越大,但是如何进行审计计划的风险评估目前无论在国内还是国外都没有广为认可的模型可供参考。笔者结合实践尝试,提出风险诱因评估和审计范围框架体系的搭建模式两种可供应用的方法向读者推荐。
1、风险导向审计的内涵
风险导向审计是指内审人员在审计过程中自始至终都以企业风险分析评估为导向,根据量化的风险估值水平排定审计项目优先次序,依据风险确定审计范围与重点,对企业的风险管理、内部控制和治理程序进行评价,进而提出建设性意见和建议,协助企业管理风险,实现企业价值增值的独立、客观的鉴证和咨询活动。
与传统审计相比,风险导向审计在确定审计范围、审计内容以及审计时间安排上更能接近企业的组织目标,站得更高,看得更远,企业的战略目标、企业的内外部环境均纳入风险导向审计视野。
2、为什么要应用风险导向理念制订年度审计计划
所谓审计计划风险诱因评估是指在制订审计计划之前,对影响审计计划编制的风险因素进行辨识、分析和评价,以利用审计人员依据评估结果制订科学合理的审计计划。
《礼记·中庸》曰:凡事预则立,不预则废。内部审计工作同样如此。科学合理的年度审计计划是开展全年内部审计工作的基础,也是充分发挥有限的审计资源,提高审计效率和效益的重要方法。但当前审计领域不断扩大,任务空前饱满,企业内部审计人员明显不足。这就需要内部审计在制定审计计划时,要优先考虑风险较严重的领域,将有限的审计资源(包括审计人员及审计时间)用于最需要的审计项目,才能实现审计资源效用的最大化,最大程度促进组织目标的实现。
中国内部审计协会《内部审计具体准则第1号——审计计划》第八条中“内部审计机构负责人负责年度审计计划的制订工作。由于年度审计计划是对内部审计机构未来年度审计任务的整体规划,因此需要内部审计机构负责人在全盘考虑组织风险、管理需要及内部审计资源的基础上进行规划。”
此外,国内外监管机构都对审计计划的风险评估都提出了明确的要求。从国际看,国际内部审计师协会《工作标准》第2010条明确提出:“首席审计执行官应根据风险制订审计计划”;从国内看,《中国内部审计准则——基本准则》第11条明确要求:内部审计人员应在考虑组织风险、管理需要及审计资源的基础上,制订审计计划,对审计工作做出合理安排。
3、如何在年度审计计划中应用风险导向理念
应用风险导向理念,科学合理地制订年度审计计划,笔者认为主要可遵循如下步骤:
3.1划分业务流程
要想制订科学合理的年度审计计划,首先要依据企业特点,正确划分管理机制及业务流程。以通信企业为例,结合生产经营特点,可以将所有业务划分为三大方面七项流程十项管理机制:
策略与监察管理机制:包括企业策略管理机制、企业管治(含审计与监察)机制、企业文化管理机制、品牌策略管理机制、研发管理机制、投资(并购与剥离)管理机制、法律与合规管理机制。
核心业务流程:包括市场推广及销售流程、客户服务流程、收入保障流程、新产品开发流程、网络规划和建设流程、采购及物流管理流程、网络管理及操作流程。
资源管理机制:包括人力资源管理机制、财务管理机制、信息技术管理机制。
根据企业实际情况各流程下可细分子流程:比如,市场推广及销售流程可细分为市场资费制定、渠道费用管理、计费管理等子流程。
3.2确定可审计对象,进行多维度、多角度分析,搭建审计范围框架体系
可审计对象是指值得审计事项与关注点,涉及内部审计人员对企业业务流程的职业判断,并基于一定风险考量基础。《内部审计标准说明》(S1AS)建议了10种可选择标准,主要有以下几类:
(1)按业务循环划分审计对象。企业内的各类组织通常被看做是由营销和销售、存货管理、资本性采购、人事薪金、采购和付款五种业务循环高度结合的系统。将组织简化为这五种业务循环,审计师就可以对范围较大的关联活动进行系统的检查。
(2)按职能部门划分审计对象。职能活动具有综合性,与内部控制有明显的重要联系。按职能部门划分审计对象,其结果与传统组织的组织结构相符合,便于操作和理解。一般服务业的职能部门包括营销、财务、管理、会计、人事、设备管理以及从事特定服务的部门。零售业存在采购和存货管理部门。制造业还包括制造职能。
(3)按项目划分审计对象。企业进行的各类经济活动,有时是按项目进行的,如基建项目、基础研究项目、产品开发项目等。按项目划分审计对象可能难以覆盖整个企业的经营活动,但按这种划分方式对重大项目进行绩效审计,常常能明显的为企业增添价值。
(4)按决策中心划分审计对象。这种划分方式与责任会计体现的思想一致,按权责利相互对应的原则将企业划分为成本中心、利润中心、投资中心,分别确认审计对象。想以组织中较大规模的部分作为审计对象,可以按决策中心划分。
(5)按地理位置划分审计对象。跨地区的大型企业,其内部组织分布的地域广。将地理位置临近的组织归集到一起作为审计对象,能方便审计工作,节省工作中的差旅费。按地理位置划分审计对象的方法也可以适用于地域跨度小的企业,譬如将各办公楼和各大楼中的不同分部、部门,按其楼层进行划分。这种标准过于简单,往往要与其他因素结合考虑。
(6)按会计系统划分审计对象。开展资产负债表审计、损益表审计时,是按财务报表的种类划分审计对象。内部审计可以针对总账、应收账款、应付账款、工资账等进行专项审计。因此,按会计系统划分审计对象也不失为一种思路。
3.3开展审计风险诱因评估及数据分析、制订年度审计计划。审计风险诱因,是直接影响风险程度的因素,通常是由于公司架构、人员、经营活动、技术或财务结果的变化而导致的。包括:基础架构稳定性/变化频率、地理因素、经营规模(收入水平、交易量、业务量)、业务及系统的复杂程度、合规要求、资产安全因素、对外部客户满意度、企业运营目标或公司业务模式的影响、外部合作/外包业务等以及一些重要/加权因素,例如前期审计结果、管理层需求及增长率等。针对这些风险诱因,结合企业实际情况,制定具体的评估标准。
在开展审计风险诱因评估中,可采取三种管理方法:
第一,以问卷形式收集各可审计对象所对应的风险诱因分析评估数据。针对各可审计对象可以采取定性及定量数据分析相结合的方式,细化数据指标,编制信息收集问卷,通过数据分析,对可审计对象的风险诱因进行评价排序,并将初步评价结果与各业务部门沟通。
第二,与业务部门负责人进行研讨。审计工作范围框架中的可审计对象在日常经营中都由适当的业务部门负责。作为风险评估程序之一,内审部门与业务部门就可审计对象在日常经营中的风险概况进行讨论分析,获取充分的风险诱因评估信息,对项目组依据定性定量数据分析判定的风险排序进行适当的调整。
第三,参阅以往的内部审计工作记录。通过参阅以往的内部审计工作记录,对风险诱因有进一步的认识。在与业务部门负责人通过研讨方式评估这些风险诱因的过程中,充分结合前期的审计发现,与其进行更深入的探讨。
依据每年度的风险诱因评估及数据分析,根据风险程度不同将可审计对象逐一排序,排序后,可以按照ABC方法,选取风险估值高的流程安排年度审计计划。
如果有下属分公司,参照上述风险评估方法选取风险估值高的分公司安排年度审计计划。围绕风险评估结果进行审计资源分配、审计时间安排、审计方案制定。
通过这一系列的工作的开展,可确定基本建立审计计划的编制流程及操作模式。
3.4持续评估,调整年度审计计划。年度工作中,随着市场竞争形势的变化,行业政策的变化,公司工作重心可能出现变化,流程中控制风险可能增强或减弱,这些风险因素的变化必将引起风险诱因估值的改变,原来风险评分低的可能因此会变得较高,年度审计计划需紧随风险诱因估值做出适当的调整。比如在半年工作结束时进行再评估,或者在风险因素出现显著改变时适时进行评估。
参考文献:
[1]卓继民.风险导向审计的最新发展——风险管理审计,现代企业风险管理审计,2006(6).
[2]K.H.斯宾塞·皮克特,审计计划编制:风险导向方法,东北财经大学出版社,2009.
如何评估审计风险篇3
审计人员不管是否在为欺诈而从事审计工作,都必须承担鉴别欺诈的责任,同时必须评估反欺诈程序。在美国注册会计师协会关于99号审计准则的公告中,强调审计人员必须对由于欺诈而存在的风险保持职业怀疑态度;美国公共事业公司会计监督委员会(PCAOB)同样也要求审计人员把评估与欺诈相关的活动作为内部审计功能的一个组成部分。
(一)IT过程界定信息及相关技术的控制对象(COBIT)界定了IT过程的范围,根据COBIT的规定,一个IT过程可以被归类为以下四个基本领域中的一个:计划与组织、获取与执行、传播与支持及监控与评估。
表1给出了这四个领域的34个具体的11I过程。
欺诈是否在每一个IT过程中都可能发生,目前还没有定论。为了更好的理解欺诈是否发生,所有的审计人员都应该更好地理解由犯罪学家唐纳德博士提出的欺诈三角假设。表2对他的三个因素进行了简单描述,任何人只要实施欺诈必然与这三个因素相关联。因为在任何IT过程中,不管IT系统的自动化程度如何,只要有一个以上人的参与,就必须慎重考虑欺诈发生的问题。
(二)欺诈的类型描述一般来讲,职业欺诈可以分为如下三种类型:资产挪用:任何涉及组织资产偷窃与误用的计划,如将软件及软件许可用于个人目的以获取收益。贿赂:一个人利用在商务交易中的影响力来获得与他,她对上司的责任向背的利益,例如将In殳备维护服务外报给提供回扣的服务商。虚假的陈述:财务报表的虚假陈述以使组织看起来盈利更好或更坏,如电信提供商通过虚假报告来调节每户平均收益。以上每一种欺诈还可以细分。不同类型的欺诈的知识以及跨行业的欺诈阴谋的识别大大地提高了欺诈风险评估的精确性与适用性。
二、欺诈风险评估及预防措施
欺诈风险评估开始于对与IT过程相关的欺诈活动可能性及其显著性的分级量化。只有对其工作评估的性质进行评估才能采取有效的防范措施。
(一)欺诈风险评估模型PCAOB第2号审计准则提供了一个风险或然性的样本以及相应的显著性,并具体化了三种风险水平:细微的、中度细微的及很可能的。PCAOB准则同时也将风险的显著性与影响分为三个层次:非实质性的、轻度实质性的及实质性的。图1阐述了风险的显著性与或然性之间的关系。
完成与IT过程相关的欺诈活动分级量化后,欺诈风险评估程序就能建立IT过程与各种现行的欺诈与控制之间的映射,如表3所示。欺诈风险评估使得组织能够容易的可视化欺诈的发生领域,并优先配置资源对这些潜在的欺诈高发领域加以控制与建设。随着企业、业务及IT环境的迅速改变,欺诈风险评估应该成为一项常规性的工作,或者随时确保IT过程跟上变化。甚至,为了风险评估而在识别具体的IT过程与环节时,审计人员在公司内部可以运用欺诈的历史模式作为标杆参考。
(二)欺诈的预防措施为了阻止欺诈的发生而进行的,预防是不言而喻的。如果等到产品、项目或者IT应用设计生产完成后,再采取措施代价是高昂的,也就是说在最初就应加以卓越的设计。欺诈预防现在已在审计活动中得到了实施,审计人员对组织早期的业务、过程和IT应用具备了越来越大的影响力。不管用来防范欺诈风险的控制措施是否充分,也不管欺诈风险的水平是细微还是显著,都应该设计、选择、集成相应的手段来及时地最小化欺诈风险与损失(可参考图1)。这些措施既可以内部化到内部控制中(BICs),作为常规的欺诈检测程序的一部分,或者作为欺诈风险发生的早期预警信号(EWSs)的一部分。表4提供了一些例子。
(三)欺诈的鉴别方法在完成与IT过程及相应的鉴别措施相关的欺诈风险评估后,IT审计人员便可设计ICQs来评估并测试所采取的控制措施,包括反欺诈程序。财务人员一般应评估与财务记录相关的措施以及商业运作的合规性。然而IT审计人员应该关注内部控制技术(ICTs)体系及其相关的过程。不过,欺诈鉴别中的ICQs的质量却在很大程度受到审计人员的技术胜任能力、对IT以及企业运作的洞察力和特定领域的专业知识(如软件开发编程能力、数据库管理能力、网络规划与实施技巧、IT安全等)的严重影响。而IcOs的开发很有可能成为已经建立的程序的参照物,最佳的实践以及监管的标准。
三、欺诈的调查分析殛结论
随着ICTs在商业组织中的广泛利用,这意味着当欺诈发生时,用于确认稽核的证据很容易获得。基于ICTs的审计模式中,IT审计人员只需要具备IT系统的专业知识即可,他们的任务仅仅是能否鉴别风险。从这个意义上讲,IT审计人员可以通过如下措施来调查欺诈活动:报告的生成与稽核、证据的鉴别和计算机系统使用记录的检索、实施计算机互动分析。
如何评估审计风险篇4
摘要本文从风险导向审计的定义、流程及实施信贷业务风险导向审计的必要性出发,初步探讨了如何实施新疆农村信用社信贷业务风险导向审计,以及具体实践中的难点及对策。
关键词新疆农村信用社信贷业务风险导向审计
一、风险导向审计
风险导向审计是指以被审计单位的风险评估为基础,综合分析评审影响被审计单位经济活动的各因素,并根据量化风险水平确定实施审计的范围和重点,从而进行实质性审查的一种审计方法。
风险导向审计适应了现代社会高风险的特性,针对不同风险因素采取相应的审计策略,将有限的审计资源集中在高风险领域,合理配置审计资源,以提高审计效率和效果。
二、风险导向审计流程
风险导向模式下的审计流程模式为:首先实施风险评估程序,了解被审计单位及其所处环境(包括内部控制),初步评估风险程度及确定重要性水平;其次,在审计需要时实施控制测试,进一步评估确认重大差异或缺陷风险;最后,开展实质性测试,发现重大差异,将检查风险降至可接受水平。
传统审计最大的缺陷在于对风险评估不到位,未能有效发现高风险审计领域,造成审计过量或审计不足。风险导向审计加强了风险评估程序,实现了由内控测试到风险评估的转变,风险评估的结果决定了审计人员需要关注的高风险审计领域和重点审计项目、审计资源的分配、审计证据的性质和数量。
三、实施信贷业务风险导向审计的必要性
信贷业务是新疆农村信用社的主要经营业务,信贷资产质量的好坏直接影响到信用社的生存与发展,如何通过信贷审计加强和提高信贷风险防控也是信用社内部审计积极探讨和深入研究的重要课题。新疆南北疆经济发展不均衡,北疆的业务发展速度、规模远远超出南疆,信贷管理水平也层次不齐,客观上也要求内部审计要区别对待。自治区联社内审人员少,审计单位多,信贷审计必须做到“重点突出、针对性强”,实施信贷业务风险导向审计则尤为必要。
四、如何实施信贷业务风险导向审计
信贷业务采用风险导向模式,一是应对新疆84家县(市)联社进行风险评估,确定重点审计对象;二是应关注重大风险,突出审计重点,如大额贷款重点审计合规性,小额贷款重点审计真实性,以降低审计成本,提高审计效率;三是延伸审计内涵,应对贷款投向、贷款风险和损失进行分析研究,揭示信贷业务的发展方向,促进新疆农村信用社信贷业务的健康持续发展。
(一)开展风险评估,初步确定风险程度及重要性水平
1.可采用调查表、个别谈话等方式,初步分析内外部环境对信贷管理产生的风险因素及影响。外部环境的调点包括:国内经济环境影响、农业政策变化、县域经济发展战略、县域经济发展总量及耕地面积引发的风险因素;县域的信用环境、法律环境的影响因素;银行监管举措的变化而产生的影响因素等。内部环境的调点包括:信用社的经营策略、管理架构;管理层核心力及管理驾驭能力;信贷管理的经营风险;制度执行力及流程再造能力;高管人员交流情况;管理层权限分工及勤勉尽责情况;内外部监督力度及处罚情况;整改机制的建立及执行情况;案件发生情况等。
2.实施风险评估。可利用环境调查结果,同时采用询问、查阅、观察、检查等方法从以下几方面开展风险评估,评估重大差异或缺陷风险。对于评估得分在85分(含)以上的,风险程度设定为低,对于评估得分在70(含)-85分的,风险程度设定为中,对于评估得分在70分以下的,风险程度设定为高。对风险程度高的,必须重点关注,可采取“加强检查频次、扩大审计范围”的审计策略具体实施。
3.根据风险评估结果,确定重要性水平。重要性,是指被审计单位经营活动及内部控制中存在偏离特定目标的差异或缺陷的严重程度。审计人员需将风险评估结果转化为审计策略,确定审计事项的重要性水平,合理配置审计资源,降低审计风险。新疆农村信用社信贷审计事项包括贷款、票据、抵债资产。
(二)开展控制测试程序
控制测试是在风险评估的基础上,审计人员对内部控制水平的判断。如果风险程度较低,则需要进行必要的控制测试,收集有效的证据来支持较低控制风险的判断;如果风险程度较高,可直接进入实质性测试。控制测试可采用检查、询问、分析和观察、穿行测试等。
1.检查。调阅贷审会、信贷授权、贷款利率定价、岗位职责、信贷审批流程、贷款新业务办理等资料,检查信贷内部管理(制度)是否健全有效、利率定价是否合规、流程设计是否存在风险隐患、新业务品种开办是否合法合规等。
2.询问、观察。对管理层及相关人员进行询问,并观察业务操作流程,如各岗位的办理过程、资料的传递、信贷档案的管理等,查看是否与规定、询问结果一致。
3.分析。调阅业务状况表、五级分类信息数据,与经营计划比较、与上年度贷款数据进行趋势比较,与本地农业经济发展规模比较,分析贷款业务发展的速度是否正常合理等。
4.穿行测试。选择样本进行穿行测试,样本的选择需要与表2重要性水平表密切结合,对于重要性水平中以上的审计事项均应选取适量样本。通过查看信贷资料及控制执行情况,确定业务流程与相关控制是否与前述程序获得的信息一致,是否存在重大执行偏差。
执行上述程序后,如果设计及执行偏差较小,则可确定控制风险较低,下一步进行实质性程序范围可缩小;如果设计及执行偏差均较大,则可确定控制风险较高,需采取更多的实质性程序。
(三)开展实质性测试程序
如何评估审计风险篇5
审计模式是审计目标、范围和等要素的有机组合,它回答了审计应从哪里下手、怎样着手进行审计以及进行审计的时间等。随着的,审计模式也逐渐发生着变化。根据审计切入点的不同,审计模式大致可以划分为三种:账项导向模式、制度导向模式与风险导向模式。
一、风险导向审计模式
风险导向审计模式是在制度导向审计模式存在明显不足、适应不了社会公众对审计的要求的基础上发展起来的。风险导向审计立足于对审计风险的系统分析与评估,并以此为出发点,制定审计策略,编制与状况相适应的多样化审计计划,使审计能在源头上把握被审计单位发生舞弊及错误的可能性。风险导向审计模式在经过多年的发展后,又大致可以细分为三种类型:传统风险导向模式、风险基础战略系统模式以及改良风险导向模式。
(一)传统风险导向审计模式
所谓传统风险导向模式实质上是发展了的制度导向模式,它只是在制度导向模式中引入了风险测试,提出了从风险点切入的审计策略,建立了审计风险模型对风险进行量化测试,但是它并没有改变制度导向模式下自下而上的从交易项目报表测试综合成审计结论的审计方向,而且其固定风险的量化测试具有很强的主观性,而不是相对客观的量化方式。
(二)风险基础战略系统模式
风险基础战略系统模式依据系统论的观点从分析企业的经营模式出发,自上而下地理解企业内外部经营环境,并且从战略风险评估,业绩计量等方面来评价审计风险。该审计模式从上讲,比传统的风险导向审计模式要更为,但它更多的职能体现在逻辑思维上。在实际操作中,这种审计模式给注册会计师迁就管理层留下了更多的空间,偏向于做出有利于管理层的判断,甚至会为某些独立性较差的注册会计师有意减少实质性测试提供冠冕堂皇的借口。
(三)改良风险导向审计模式
改良风险导向审计模式摈弃了无利害关系假说,它建立在合理的职业怀疑态度假设的基础上,要求注册会计师牢记会计师事务所作为一个为包括广大投资者和债权人在内的社会公众服务的具有专业性及公共性的服务机构,应秉承为社会公众服务的宗旨,在计划和执行审计时,不做任何预先判断,只有在收集了充分适当的审计证据后才做出合理恰当的审计结论。同时,改良后的风险导向审计模式重新考虑了固有风险和控制风险的不可分割性,以及在实际操作中的便利性,重新构建了审计风险模型,将原来的固有风险和检查风险合并为重大错报风险,要求注册会计师将审计起点定位在围绕评估重大错报风险来设计和计划审计程序,并在整个审计过程中密切关注财务报表的重大错报风险,将风险评估作为整个审计工作的基础、前提和先导。
二、我国旧审计准则体系的审计模式分析
我国旧审计准则体系是建立在何种审计模式上的?有人认为我国旧的审计准则体系是建立在制度导向审计模式上的,也有专家认为我国旧的审计准则体系是建立在风险导向模式上的。笔者认为我国旧的审计准则体系是建立在传统风险导向审计模式基础上的。
首先,我国旧审计准则体系使用的是“内部控制制度”的概念,内部控制的构成采用了内部控制结构的三分法,并沿用了制度导向审计模式下的两种测试方法——符合性测试和实质性测试。由此,有些学者认为我国的独立审计准则至少是建立在制度基础审计基础之上的,但是由上述的分析中可知,传统的风险导向审计模式本身就是从制度导向审计模式发展而来的,当然会具有制度导向审计模式的一些基本特征。我们不能因为旧的审计准则体系具有制度导向审计模式的某些特征而认定它就是建立在制度导向审计模式基础上的。
其次,我国旧审计准则体系虽然对审计风险及其三要素做了概念性的解释,并给出了风险模型,对其评估也做了指导性的描述,但是基本上还处于定性分析阶段,对如何确定可接受的审计风险水平,固有风险、控制风险如何予以量化,如何将量化的检查风险于审计实务中等,都没有提出可操作性的意见或建议,这些都符合我们前面所述的传统风险导向审计模式的基本特点。
最后,我国旧审计准则体系下的具体审计准则在不同程度上引入了风险导向审计模式下的审计程序,体现了传统风险导向审计的部分思想。比如《独立审计准则第9号——内部控制与审计风险》规定:注册会计师应当保持应有的职业谨慎,合理运用专业判断,对审计风险进行评估,制定并实施相应的审计程序,以将审计风险降低至可接受的水平;《独立审计准则第11号——分析性复核》规定:注册会计师应当合理运用专业判断,确定分析性复核程序的运用方式及程度,将检查风险降低至可接受的水平。
总之,我国旧的审计准则体系无论从其整体的审计思想还是从其具体审计准则而言都体现了传统风险导向审计的基本特点。因此,笔者认为将我国旧的审计准则体系的审计模式基础归结为传统风险导向审计模式恰当而又中肯。
三、我国新审计准则体系的审计模式
2006年2月15日,财政部颁布了48项新制定或修订的独立审计准则,标志着我国新审计准则体系的形成。下面用一个简要的图表来概括我国新审计准则体系的框架。
我国新建立的审计准则体系是基于何种审计模式下的呢?由上面的框架中可知“注册师审计准则”下将“风险评估以及风险的应对”单列一组,这充分表明我国新审计准则体系的建立基于改良的风险导向审计模式。
(一)《计划审计工作》准则中体现的改良风险导向审计模式
第九条规定注册会计师制定的总体审计策略中应该考虑审计业务的重要因素,包括初步识别可能存在重大错报风险的领域等。第十条特别强调在总体审计策略中要说明具体审计领域调配的资源,包括向高风险领域分派有适当经验的项目成员及对高风险领域安排的审计时间预算等并要求注册会计师根据风险评估程序的完成情况对上述内容予以调整。第十九条指出注册会计师对项目组成员工作的指导、监督与复核的性质、时间和范围取决于重大错报风险等因素。
从中可以发现,新准则体系中对风险的强调开始集中于重大错报风险概念,摈弃了原来的固定风险概念,这充分体现了改良风险导向审计模式的特点。
(二)《了解被审计单位及其环境并评估重大错报风险》准则中体现的改良风险导向审计模式
第一,从制定本准则的目的来看。准则第一条就明确提出制定本准则的目的是为了规范注册会计师在财务报表审计中了解被审计单位及其环境,识别和评估财务报表重大错报风险。
第二,从准则规定的具体审计程序上看。准则在第六条列示了注册会计师应当实施的风险评估程序,明确要求注册会计师应该通过实施这一系列的审计程序来了解被审计单位及其环境。第七条还要求注册会计师应当扩大询问对象,以获取对识别重大错报风险有用的信息。第十一条提醒注册会计师要考虑在承接客户或续约过程中获取的信息以及向被审计单位提供其他服务所获得的经验是否有助于识别重大错报风险。准则还要求注册会计师组织项目组成员对财务报表存在重大错报的可能性进行讨论,了解被审计单位的内部控制以识别潜在错报的类型,考虑导致重大错报风险的因素,以及设计和实施进一步审计程序的性质、时间和范围。
在实施风险评估程序后,该准则还要求注册会计师必须评估重大错报风险,包括报表层次和认定层次的重大错报风险,同时必须将识别的风险与认定层次可能发生的错误相联系,并考虑风险的重大性和发生的可能性。准则特别强调了注册会计师与治理层和管理层的沟通,要求注册会计师及时将其注意到的内部控制设计或执行方面的重大缺陷告知适当级别的管理层或治理层。
另外值得特别提出的是,在准则中,第四章第一节内容对内部控制的内涵与要素作了明确规定,指明了内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法规的遵循,由治理层、管理层和其他人员设计和执行的政策与程序,内部控制要素也由原来的三要素论扩展为五要素论。这基本上是采用了美国COSO对内部控制的定义及其对内部控制要素的分类。
纵观整个准则,与旧的审计准则相比较,该准则的可操作性更强、对风险评估程序有了较为明确的规定,对注册会计师审计实务工作的指导性也更强。这也充分体现了改良风险导向审计模式的可操作性特点。
(三)《注册会计师针对评估风险应实施的程序》准则中体现的改良风险导向审计模式
如何评估审计风险篇6
【关键词】重大错报风险;战略风险;审计应对
自20世纪末以来,国际会计师联合会专门成立了审计风险分委员会,着手研究和修订审计风险模型,并于2003年10月了ISA200准则,将审计风险模型修订为:审计风险=重大错报风险×检查风险。要求注册会计师在审计过程中要实施审计程序,从财务报表整体层次和账户余额层次两方面评估重大错报风险,并据以确定和实施进一步的审计程序,把检查风险降至可以接受的低水平。
随后,我国注册会计师协会于2006年4月颁布了新的注册会计师执业准则,正式接受了这一审计风险模型。作为新的审计风险模型的重要组成部分,重大错报风险的研究显得十分必要和迫切。本文针对重大错报风险的审计应对进行了有益的探索,希望对我国独立审计的发展有所裨益。
一、识别重要战略风险
(一)初步了解企业重要战略风险
“中国注册会计师审计准则第1211号——了解被审计单位及其环境并评估重大错报风险”中强调:注册会计师应当了解被审计单位及其环境,以足够识别和评估财务报表重大错报风险,并列举了注册会计师应从哪些方面了解被审计单位及其环境。其中,被审计单位的战略目标及相关的经营风险是注册会计师应该考虑的重要因素之一。
注册会计师在取得一个新客户的背景资料并评估相关的风险因素后,需要决定是否接受委托。如果注册会计师决定接受这一客户,那么就需要签订业务约定书并组织审计程序。在审计开始后的第一阶段,注册会计师需要了解企业的战略目标。
由于企业的战略经营风险和流程经营风险大部分会产生财务后果,从而影响到财务报表,注册会计师只有通过考察识别客户的战略风险,才能够有效地实施其它的审计程序,从而恰当有效地得出审计结论。注册会计师主要是通过分析外部环境中威胁企业成功执行战略的潜在风险因素来识别战略风险的,主要的分析工具有:企业层面的经营模式分析、PEST分析、波特五力分析、资源基础模型、SWOT分析等。
注册会计师需要在综合分析中初步识别出客户所面临的重要战略风险,客户如果想获得成功并达到目标,必须有效地管理这些风险。管理层对风险管理得越有效,注册会计师在业务中期望发现的问题就越少。为了更有效地了解战略风险的性质,形成在战略分析阶段对重要战略风险的结论,注册会计师需要了解客户管理当局如何进行战略管理以及战略管理的效果如何。
(二)合理评估企业重要战略风险
注册会计师在利用宏观环境的PEST分析和行业环境的波特五力分析等分析工具初步识别企业的重要战略风险后,需要关注企业采取了哪些方法避免或减少这些风险的威胁,结果又是如何?企业的管理层有很多方法来降低外部风险的威胁,从而使外部风险不会对企业造成重大影响。
注册会计师可以通过询问、观察和检查等方法取得对企业所采取行动的了解。具体而言,企业针对战略风险所采取的措施可以从各种会议纪要或决议、内部操作手册、企业对外公告、人事调整、组织机构调整、管理层所使用的定期报告等渠道获得。在了解企业对战略风险采取的控制措施后,注册会计师要评估这种反应(措施)是不是最佳的反应方式,是否得到执行,执行的效果如何。
对企业采取的战略风险控制措施进行评估后,注册会计师就可以进一步对战略风险进行判断。注册会计师可以根据有效的战略风险控制,将战略风险的严重程度下调,但这种下调必须有足够的证据支持控制是有效的。对战略风险控制的分析与测试可以帮助注册会计师判断初步识别的战略风险是否得到了有效的控制,注册会计师最终需要形成对重要战略风险的结论及其对审计的影响。
二、确定关键流程风险
(一)关键经营流程的识别
1.通过重要战略风险识别出关键经营流程
在战略分析的最后阶段,注册会计师需要汇总已经识别出的战略风险,对战略风险是否重要作出最终判断。如果这一战略风险比较重要,而且对会计报表的影响也比较重要,那么这一战略风险所指向的经营流程是哪一个,这个经营流程就是关键经营流程,也就是流程风险中必须重点分析的对象。注册会计师一般是通过编制战略风险汇总表的形式完成的。注册会计师在审计工作中所收集的证据都必须记录于工作底稿,作为审计证据。战略风险汇总表也是审计工作底稿的一部分,它是联系战略分析与流程分析的纽带。
2.通过重要交易类别识别出关键经营流程
在战略分析的最后阶段,注册会计师应该根据对企业经营的了解确定对企业经营业务的重要交易类别的认识,并汇总每一重要交易类别对相关会计报表认定的影响,以及这一影响对会计报表整体是否重要。如果这一影响对会计报表整体重要,那么准备在哪一个经营流程对之进行具体的分析,这一经营流程就是重要交易类别所指向的关键经营流程。
注册会计师通过识别出的重要战略风险和重要交易类别以及它们对会计报表的影响,从而推导出关键经营流程,以便在流程分析中对其进行详细分析。
(二)流程层次经营风险的确定
流程层次的经营风险可能来源于战略风险,也可能从流程内部产生,很多战略风险可能在流程中表现为特定的风险。比如,外部环境中的技术风险将对关键流程中的技术产生直接的影响。流程内部产生的风险只与特定的流程相关,但它们也影响企业经营目标的实现。在流程分析阶段,注册会计师对于战略风险对流程的影响只需要根据对战略风险和流程运营的了解将其转化成流程经营风险即可。因此,在流程分析阶段,最需要关注的是产生于经营环节的特定风险。
三、合理评估企业重大错报风险
(一)企业环境中重大错报风险的评估
重大错报风险的评估过程是一个由数学模型计算、审计人员经验判断、主观估计相结合的过程。审计人员在分析、评估风险时应先从审计环境入手,全面分析、评估审计环境中引起重大错报风险的因素后,再深入到报表层次,最后重点评估认定层次的重大错报风险。
审计人员在接受委托时应全面了解企业的环境控制业务承接过程中的审计风险,包括初步了解行业背景、国家对企业的特殊政策、组织结构、经营方式、企业近期业务发展状况、企业目前面临的机遇和挑战、将要进行的重大决策、高层管理人员的意图、对审计人员的期望及要求等,然后作出详细调查分析表。根据审计人员的经验初步评估审计风险,利用风险矩阵等方法决定是否接受委托。
(二)财务报表层次重大错报风险的评估
1.资产负债表
通过测算年末流动比率、资产负债率、速动比率、应收账款周转率、流动资产比例、固定资产比例、净资产比例、资产负债表各项目占总资产的比例、资产负债表各项目增长率等,进行分析性复核。将上述指标与同行业平均指标、企业近三年的同类指标相比较,掌握其变动趋势,分析变动原因。一般来说,若企业各项指标高于或低于平均指标20%以上,而且没有合理解释则重大错报风险较高;若偏离幅度在10%至20%之间,重大错报风险可评估为中级;若偏离幅度在10%以下则风险可评估为低级。(将20%作为临界点的原因:根据审计经验和人们普遍对风险的心理承受能力)
2.利润及利润分配表
通过测算毛利率,各项费用与主营业务收入的比例,其他业务收入、营业外收入、投资收益与主营业务收入的比例,近三年同类指标变动率,进行分析性复核。将上述指标与同行业平均指标相比较,掌握其变动趋势,分析变动原因。一般来说,若企业各项指标高于或低于平均指标20%以上,而且没有合理解释,则重大错报风险较高;若偏离幅度在10%至20%之间,重大错报风险可评估为中级;若偏离幅度在10%以下则风险可评估为低级。
3.现金流量表
现金流量表中重大错报风险的评估应结合资产负债表和损益表的重大错报风险的评估进行。资产负债表和损益表中的重大错报一般会在现金流量表上反映出来,审计人员可根据对上述两个报表的风险评估大致估计现金流量表的风险水平。
四、制定具体审计程序
(一)一般审计程序
注册会计师评估的财务报表整体层次重大错报风险以及所采取的总体应对措施,对拟实施进一步审计程序的整体审计策略具有重大影响。注册会计师根据财务报告整体层次的重大错报风险制订总体应对策略,在总体应对策略的指导下制订和实施针对认定层次重大错报风险的进一步审计程序,整体策略对多个认定的审计策略都有直接影响。拟实施进一步审计程序的整体审计策略包括实质性策略和综合性策略。实质性策略是指注册会计师实施的进一步审计程序以实质性程序为主;综合性策略是指注册会计师在实施进一步审计程序时同时采用控制测试与实质性程序。
与认定层次相比,注册会计师在财务报表整体层次运用风险模型时只是针对评估的财务报表层次的重大错报风险,更侧重于从整体上采取应对措施和考虑对拟实施进一步审计程序的整体审计策略的重大影响。由于财务报表整体层次的重大错报风险会影响多个认定,只有将风险模型运用于这两个层次,使二者很好地配合,才可能最终将审计风险降至可接受的低水平。注册会计师对报表层次重大错报风险的评估和对总体应对措施及其对整体审计策略重大影响的考虑的失当,将对认定层次重大错报风险的评估和检查产生广泛的决定性的不利后果。因此,不能轻视新风险模型在财务报表整体层次的运用问题。
(二)进一步审计程序
基于重大错报风险的审计风险模型,要求注册会计师针对评估的认定层次重大错报风险设计和实施进一步审计程序,包括审计程序的性质、时间和范围,并应当以对认定层次的重大错报风险的相关评估结果为基础,同时考虑既定的审计风险水平。
进一步审计程序是指注册会计师针对评估的各类交易、账户余额及列报与披露的认定层次的重大错报风险所实施的审计程序,包括控制测试和实质性测试。注册会计师设计和实施进一步审计程序,既包括审计程序的目的(控制测试或实质性程序)、类型(检查、观察、询问、函证、重新计算、重新执行或分析程序),也包括进一步审计的时间(指审计对象的发生时点或期间)和范围(指实施某项审计程序的数量及样本)。如果注册会计师对重大错报风险的评估认为预期控制运行是有效的,就必须执行控制测试以支持该评估结果。另外,注册会计师还应当以认定层次重大错报风险的评估结果为基础,考虑既定的审计风险水平,确定可接受的检查风险水平,再据此计划和实施实质性测试程序。
注册会计师决定信赖被审计单位的内部控制时,需要执行控制测试,其目的是测试内部控制在防止、发现和纠正认定层次重大错报风险方面的有效性,并据此再评估认定层次的重大错报风险。当注册会计师认为风险评估程序所识别的风险是需要特别考虑的重大风险,或是仅通过实质性程序不能提供认定层次充分、适当的审计证据时,注册会计师就应当针对此类风险设计实施控制测试。同时,新准则又强调注册会计师应保持职业怀疑态度,即使评估的认定层次的重大错报风险较低,说明预期内部控制较好,也必须执行控制测试,以支持该评估结果。因此,大多数情况下注册会计师都要进行控制测试。
无论内部控制是否有效,都要对各类重大交易、账户余额及列表与披露实施实质性测试。注册会计师通过实质性测试检查认定层次的重大错报风险,发现认定层次的重大错报,降低检查风险至可接受水平。按照基于重大错报风险的审计风险模型的要求,注册会计师应当以对认定层次的重大错报风险的评估结果为基础,并考虑既定的审计风险水平,来确定可接受的检查风险水平,再据此计划和实施实质性程序。在既定的审计风险水平下,可接受检查风险水平与认定层次重大错报风险的评估结果呈反向关系。检查风险取决于实质性测试设计和执行的有效性,注册会计师应当合理设计实质性测试的性质、时间和范围并有效执行,将检查风险降至可接受的水平。
【主要参考文献】
[1]谢志华,崔学刚.风险导向审计:机理与运用[J].会计研究,2006(7).
