关于审计风险评估(6篇)
关于审计风险评估篇1
一、审计理念的变化
老审计准则遵循的是“把审计程序执行到位”的简单的审计理念。在此理念下,注册会计师往往不注重了解被审计单位及其环境,如不注重对行业状况、监管环境、内部控制、企业性质以及目标、战略和相关经营风险等情况的了解,而直接进行控制测试或实质性测试,注册会计师审计最主要的任务就是完成审计程序,不考虑或很少考虑审计风险,而且财政部门对注册会计师执业质量的行政监管检查(包括行业监管检查)关注的也是审计程序的履行情况,由此造成注册会计师只注重审计程序的履行,而忽视了对审计风险的识别、评估和应对,容易犯只见树木不见森林的错误。如果被审计单位管理当局串通舞弊或凌驾于内部控制之上,则内部控制将无法发挥作用,注册会计师也很容易受到蒙蔽和欺骗,不能发现由于内控失效而导致的财务报表重大错报风险,控制测试也将失去作用。因此,迫切需要改革审计理念,研究出更能有效识别、评估和应对财务报表重大错报风险的新的审计方法和审计流程,为此,新的审计理念应运而生。
新审计准则的最大特点就是注册会计师带来了风险导向的新的综合审计理念,该理念强调在“把审计风险控制到位”的前提下再“把审计程序执行到位”,可见,这是新准则相对于老准则最重要、最根本的变化。
为了实现“把审计风险控制到位”的审计目标,新准则明确规定了风险评估是注册会计师必须履行的审计程序,注册会计师应当针对评估的报表层的重大错报风险确定总体应对措施,针对评估的认定层的重大错报风险设计和实施进一步审计程序,以将审计风险降至可接受的低水平。在新准则下,注册会计师不可以不评估重大错报风险,也不可以简单设定固有和控制风险为最高水平就假定重大错报风险为百分之百而直接盲目实施实质性程序。因为不弄清重大错报风险可能发生在哪个方面或那些领域就实施审计程序,往往发现不了重大错报。由此可见,新准则的审计理念更为完善、科学和先进。
因此,注册会计师学习和执行新准则首要的关键问题就是树立风险导向的审计理念,在今后的每一项审计实务中都要以防范审计风险为基本职责,强化风险意识,保持职业怀疑态度,不断提高自身的职业分析和判断能力,以对重大错报风险的识别、评估和应对为审计工作的主线流程,同时还必须把应该履行的风险评估和实质性程序执行到位,只有这样才能真正理解和把握风险导向的审计理念。
但是,新审计理念的推行必须有新的审计风险模型予以支撑,为了顺利推行风险导向的新理念,新准则下的审计风险模型也随之发生了相应的变化。
二、审计风险模型的变化
从老准则的审计风险模型:“审计风险=固有风险×控制风险×检查风险”来看,老准则虽然也要求对风险进行评估,但由于该风险模型的制约及老准则本身的缺陷使得对风险的评估不是很狭隘,就是难以规范履行。如老准则要求编制审计计划时,注册会计师应评估固有风险或直接假定其为高水平,这使得很多注册会计师不评估固有风险而直接假定其为高水平,从而使得对固有风险的评估流于形式。另外,尽管老准则要求对固有风险和控制风险进行综合评估以作为评估检查风险的基础,但由于实务中对两者的内在联系往往无法把握,如果只依赖对控制风险所作的简单评估或直接假定控制风险为百分之百来大致确定检查风险再据此计划实质性程序,这样就很难合理保证财务报表不存在重大错报。正是由于这些问题,使得注册会计师在运用老审计风险模型时出现只执行准则明确规定必需履行的审计程序,特别是只把实质性测试中的细节测试执行到位即可的错误认识和片面做法。实际上,在老准则实施多年的审计实务中,注册会计师主要关心的也正是对财务报表各组成项目的细节测试,而不关心审计后能否合理保证财务报表不存在重大错报,以及控制审计风险到可接受的低水平。由此可见,尽管老准则考虑了对审计风险进行评估的问题,但注册会计师在日常审计并没有能够以对风险的评估为导向,问题就在于老准则下审计风险模型的局限性,不能有效地识别、评估和应对重大错报风险,所以老准则不能称之为风险导向审计。
新准则体系中最核心的准则是以下四个:第1101号《财务报表审计的目标和一般原则》准则、第1211号《了解被审计单位及其环境并评估重大错报风险》准则、第1231号《针对评估的重大错报风险实施的程序》准则和第1301号《审计证据》准则。这四个准则最重要的内容就是贯彻了新的审计理念,启用了“审计风险=重大错报风险×检查风险”的新的审计风险模型。新准则要求注册会计师在今后的审计实务中根据该模型来计划和执行审计程序,强调提高注册会计师发现财务报表重大错报风险的能力,强调对财务报表重大错报风险的识别、评估和应对,强调把审计风险控制到位。只有这样,才能更有利于对财务报表重大错报风险的识别、评估和应对以及对重大错报的审计效果,才能更好地实现财务报表的审计目标,更好地遵循财务报表审计的一般原则要求,为审计后的财务报表不存在重大错报提供合理保证。由此达到全面推行风险导向审计目标,实现将原审计风险模型下的“审计程序执行到位”的简单审计理念更新为新审计风险模型下的“审计风险控制到位”的综合审计理念。
因此,如果说新准则要求注册会计师树立风险导向审计理念并遵循新的审计风险模型是客观要求,那么,注册会计师就要从主观上强化防范审计风险的意识,努力提高自身对财务报表重大错报风险的识别、评估和应对能力,全面、规范履行应该履行的审计程序,并将审计风险降低至可接受的低水平。只有这样,才能真正把新的风险导向审计理念贯彻到位,把新的审计风险模型落实到位。
三、审计流程的变化
由于新准则审计风险模型的变化,又导致了对注册会计师审计流程的具体要求也发生了重要变化。
老准则下的审计风险模型把审计流程分为四部分,分别为:(1)了解被审计单位情况;(2)了解内控;(3)控制测试;(4)实质性测试。而新准则下的审计风险模型把审计流程分为三部分,分别为:(1)了解被审计单位情况及其环境(包括内部控制);(2)控制测试;(3)实质性程序。从表面上看,新准则的审计流程较旧准则少了一个,但实际上并没有减少,新准则仅是将老准则下的第(1)和第2个流程进行了合并,并统称为“风险评估程序”。另外,新准则把其第(2)和第(3)两个流程统称为“进一步审计程序”,并指出仅靠风险评估程序不足以为发表审计意见提供充分、适当的审计证据,注册会计师还应当根据对认定层次重大错报风险的评估结果,恰当选用以实质性程序为主的实质性方案或选择以控制测试与实质性程序结合使用的综合性方案。但新准则特别强调,无论选择何种方案,注册会计师都应当对所有重大的各类交易、账户余额、列报设计和实施实质性程序。由于新准则将控制测试和实质性程序统称为“进一步审计程序”,因此,新准则的审计程序从总体上也可以简单分为两大块,即“风险评估程序”和“进一步审计程序”。
另外,由于新准则将“了解被审计单位情况及其环境(包括内部控制)”和“评估重大错报风险”制定为一个准则,从而使得注册会计师更加明确了了解被审计单位情况及其环境(包括内部控制)的目的是为了对重大错报风险进行评估,而且将对被审计单位情况及其环境的了解(包括内部控制)和对重大错报风险的评估进行了有机结合。由此可见,新准则在此问题上更为科学合理,更有利于注册会计师对风险导向审计理念和新审计风险模型的理解、把握和执行。
必须注意的是,尽管新准则对审计流程的数量没有发生变化,但是,新准则对各流程的具体要求,特别是对风险评估和风险应对提出了新的更高的要求。
新准则特别强调了审计流程的重心必须前移,注册会计师必须重视计划审计工作,重视对被审计单位及其环境的了解(包括内部控制),重视对重大错报风险的识别和评估,重视针对评估出的重大错报风险实施相应和必要的审计程序。风险评估程序的主要目的是针对财务报表层次和认定层次重大错报风险的评估,是一个连续、动态地收集、更新与分析信息的过程。由此可见,风险评估不仅针对整个财务报表各层次、全方位,而且也是贯穿于整个审计过程始终的审计程序。新准则还明确规定了风险评估程序为必须履行的审计程序。
与风险评估程序不同的是,“控制测试”和“实质性程序”均是仅针对认定层次的重大错报风险,仅是在进一步审计程序中履行,但目的各有不同。“控制测试”目的在于测试内控在防止、发现和纠正认定层次重大错报方面的有效性,并据此重新评估认定层次重大错报风险,而“实质性程序”的目的在于发现认定层次重大错报风险,降低检查风险。同时,新准则还规定了“实质性程序”同样为必须履行的审计程序。但必须注意的是,如果注册会计师在审计中认为出现符合准则规定必须进行控制测试的条件或认为可以进行控制测试时,则应该进行控制测试,否则可以不履行控制测试程序。
值得注意的是,从“风险评估程序”对报表层和认定层次重大错报风险的评估,到“控制测试”测试内控在防止、发现和纠正认定层次重大错报方面的有效性,据此重新评估认定层次重大错报风险,再到“实质性程序”以发现认定层次重大错报风险降低检查风险为最终审计目的,新准则下的各大审计程序最终都将审计重点指向了“重大错报风险”,由此可见,注册会计师在今后的审计实务中一定要将对“重大错报风险”的识别、评估和应对作为审计工作的核心,只有发现认定层次重大错报风险,才能达到降低检查风险的最终审计目标,从而实现风险导向审计的初衷。
鉴于以上分析,注册会计师在今后的审计实务中务必抛弃老准则下对审计风险的狭隘和片面认识,一定要把对重大错报风险的识别、评估和应对作为审计工作的主要流程、重中之重,一定要全面、规范履行风险评估和风险应对程序。只有这样,才能切实把风险导向的审计理念落到实处,才能使新的审计风险模型在审计实务中得到充分体现,才能合理保证财务报表整体不存在重大错报。
总之,尽管新准则改进了审计理念、审计风险模型和审计流程,但新准则并没有改变对财务报表的审计目标,没有改变对注册会计师审计责任的基本定位,仅是改进了审计工作方法、工作流程和工作重心,使得新准则下的审计程序更为科学、合理和规范,更能识别、评估和应对重大错报风险,从而使得新准则在更好地指导注册会计师实现审计目标履行审计责任并服务于、服务好社会公众的同时,也能更好地保护好注册会计师自身的合法权益。但是,所有这些都给注册会计师提出了新的更高的要求,因此,注册会计师在今后的审计实务中,一定要努力提高自身的执业能力和职业素质,保持职业怀疑态度,强化对重大错报风险的防范意识,全面和规范执行新准则,认真对待每一个审计项目,认真履行好每一个审计程序,将审计风险真正降低至可接受的低水平。
关于审计风险评估篇2
国际会计师联合会(IFAC)国际审计与保证准则委员会(IAASB)的第315号国际审计准则对传统的审计风险模型进行了修改,即:审计风险=重大错报风险×检查风险。现代审计风险模型在传统审计风险模型的基础上进行了改进,形式上有所简化,但审计风险的内涵和外延却扩大了。其中,重大错报风险包括两个层次:会计报表整体层次和认定层次。这就使现代风险导向审计具有了以下特点:
1.审计重心前移,经营风险的评估是起点和重点。现代风险导向审计要求将审计重心前移至风险评估,一定要从评估企业战略经营风险入手,充分了解被审计单位的基本情况及其经营环境,注重对持续经营能力的考虑及经营风险对审计风险的影响,进而从经营风险中能更有效发现财务报表潜在的重大错报;当然,在审计过程中也应尽量严格执行所设计的审计程序,将检查风险降低到可接受水平。
2.风险评估以分析性复核为中心,分析性复核全程化和多样化。风险评估包括检查、调查、询问、穿行测试等多种审计取证手法,分析性复核的运用是现代风险导向审计的核心,并贯穿整个审计过程。为了适应分析性复核功能扩大的要求,分析性复核对象开始走向多样化,不再仅仅局限于财务数据,也包括了非财务数据。同时,充分借鉴现代管理方法,将管理方法运用到分析性程序之中。
3.审计证据重点向外部证据转移,扩大了审计证据的内涵。审计证据不仅包括各种测试获取的证据,还延伸到对被审计单位基本情况及其经营环境的取证等,并且取证重点向外部证据延伸。由于外部审计证据的可靠性大于内部审计证据,这就提高了现代风险导向审计揭露因管理舞弊所致财务报表重大错报的能力。
4.风险评估由直接评估转为间接评估,从零散走向结构化。现代风险导向审计是在战略分析的基础上,从了解和评估经营风险入手开展工作,而经营风险是通过经营分析获得,可见风险评估实际上是间接性评估。此外,以风险评估为中心的现代风险导向审计,强调的是综合风险评估,是对多方面的风险因素有机联系的分析和评估,风险评估是结构性评估。
5.内部审计人员的专业知识重心转移,由原来以会计、审计知识为重心转为以管理知识和行业知识为重心。
6.提倡两条线并行作业,即大胆应用“自上而下”与“自下而上”相结合,并大量采用战略分析和系统分析等先进工具以及技术方法。
二、风险导向审计在企业风险管理中的作用
内部审计机构和内部审计人员处于相对独立的地位,具有内在的固有功能,在评价内部控制、协助企业建立健全风险管理机制方面有诸多优势,在有效降低企业风险、增加企业价值方面发挥重要作用,具体表现在:
1.参与企业风险管理。随着对风险管理的日益关注,探讨风险导向审计与企业风险管理框架之间的联系,就成为探讨风险导向审计无法回避的理论问题之一。
2.促进内部控制。内部控制从某种程度上来说从属于风险管理,是风险管理的方式之一。在风险理念的作用下,企业内部控制已扩展为企业风险管理框架,内部控制与风险管理已趋于融合。因此,可以说对风险管理的促进作用,是建立在企业的内部控制同时得到改善和促进的基础之上的,两者是互相促进的。
3.强化和促进公司治理。公司治理的基本目标是在充分考虑利益相关者利益相对满足和大体均衡情况下,增加企业价值,从而使股东长远价值最大化。而风险导向审计的本质是确保受托责任有效履行的管理控制,它更注重与企业目标的直接关联。可见,公司治理与风险导向内部审计目标是一致的。
三、风险导向审计的主要程序
现代风险导向审计程序遵循“战略管理分析――经营环境分析――流程控制分析――经营业绩分析――剩余风险分析”的主线和“自上而下”与“自下而上”相结合的思路开展工作。基本审计程序包括风险评估、控制测试和实质性测试。
1.风险评估程序。(1)了解被审计单位及其所处环境,目的是为评估财务报表总体层次和认定层次的重大错报风险。(2)运用职业判断,确定已识别风险的层级,特别关注重大风险和特别风险,对重大错报风险进行评估。(3)结合风险识别和评估,进一步设计、细化具体审计程序。
2.控制测试。以测试内部控制在防止、发现和纠正认定层次重大错报方面的有效性,进一步评估和应对重大错报风险。
3.实质性测试。目的是发现重大错报。对各类重大事项或情况实施实质性测试以获取充分可靠的审计证据,是弥补由于审计人员业务能力缺陷和被审计单位内部控制缺失的必要程序。
四、风险导向审计在企业风险管理中的应用
风险导向审计作为一种重要的审计理念和模式,已经受到了行业内外的普遍关注。因此风险导向审计是我国审计的必然选择,是适应审计环境变化、审计准则国际协调及审计工作的客观要求。现代风险导向审计在实际运用中一般包括以下阶段:
1.准备阶段。首先是分析企业环境,既要了解被审计单位的发展战略、经营目标、经营环境、业务流程和经营风险等内部情况,又要了解与被审计单位相关的宏观经济政策、行业状况、监管环境等外部环境;其次是全面识别风险,确定审计的范围和重点;第三是编制审计计划,审计部门在识别和评估各种风险的基础上编制审计计划,根据风险程度选择审计项目和审计对象,并与审计资源相结合,既要充分有效地利用审计资源,又要量力而行。
2.实施阶段。实施阶段的主要工作一般包括风险评估、了解内部控制、复核性测试、内查外调收集证据、编写审计工作底稿等步骤。
3.报告阶段。报告阶段主要包括出具审计报告和编写审计管理建议书,审计报告撰写要立足于企业发展战略实现,以风险为中心,全面揭示已识别的风险以及问题与实现企业战略目标的相关性以及可能产生的后果,提出应对、避免、降低、保留和转换、对冲风险的审计意见和建议,必要时可出具审计管理建议书。
4.后续阶段。后续阶段的主要工作是通过持续跟踪重大错报风险,开展复审,以检大审计发现的纠正情况。这一阶段的注意力应集中在重大或潜在的错报风险是否得到控制和消除上,并检查有无新的风险因素和重大问题产生,针对剩余风险的变化情况和新识别的风险因素以及新发现的问题,提出审计意见和建议。
五、目前开展风险导向审计的现状和问题
目前我国开展风险导向审计尚处于起步阶段,虽取得了初步成效,但在全面推行风险导向审计的过程中还存在不少需要探讨和解决的问题。
1.开展风险导向审计所处环境的局限性。作为一种审计理念,风险导向审计模式无疑是更加科学的,但从整个审计行业的构成及所接业务情况来看,无论是国家审计、社会审计和内部审计,仍以账项基础审计模式和制度导向为主,主要还是开展财务收支审计、经济效益审计和经济责任审计,风险导向审计并非内部审计的主要任务。
2.开展风险导向审计缺乏产生的动因。推动审计由传统导向审计向风险导向审计发展的一个主要动因就是审计风险,特别是诉讼风险的增大。一方面,由于目前我国立法方面存在的漏洞,导致我国审计人员的法律风险偏低,审计人员对审计风险不够重视,缺乏实施风险导向审计的根本动因;另一方面,开展风险导向审计在我国缺乏必要的法律保障、成熟的理论指导和完善的风险评价体系,全面推行有一定难度。
3.审计效率的提高受制约。内部审计人员的管理知识和专业技能与企业开展的风险管理需求不匹配,导致内部审计范围过窄,审计效率低下,且难以实现对企业风险的管理、控制和公司治理过程进行全面综合的评价。
4.开展风险导向审计不能节约审计成本。
(1)由于审计证据收集的范围扩大,对内部审计人员来说花费的时间更产、技术含量更高,增加了审计人员的负担。(2)开展风险导向审计对人力资源的要求更高。作为一种新的审计模式,风险审计要求审计人员具备管理、数理统计等多方面的知识,并有搜集、整理、分析资料的能力。因此风险导向审计需要更多有经验的、高素质的审计人员参与,并对其提供相关知识的培训,这会导致人力成本增加,也会相应地增加审计的总成本。
六、全面推行风险导向审计的建议和对策
现代风险导向审计的优势是在比较理想状态下才能实现的。在我国风险导向审计引入的初期,上述存在的一些问题在某种程度上抑制了其优势的发挥,因此我们现阶段重点应做一下几项工作。具体措施包括:
1.积极开展风险导向审计准则和方法的研究。应大力开展对新准则中风险导向准则的内容进行细致、深入的研究,制订符合准则且操作性强的风险导向审计程序,开发能正确引导审计人员执行和判断的风险评估技术和方法。
2.充分考虑风险导向审计对人员配备和培训计划的影响。在现代风险导向审计程序下,审计人员不仅应具备足够的会计审计知识,还需具备被审计单位行业状况、法律与监管环境、财务业绩的衡量和评价、经营目标和战略及其相关经营风险和内部控制等方面的知识结构。所以对审计人员现有知识体系进行全面的提升和拓展是必要工作。
3.加强风险导向审计的信息系统建设。结合企业自身特点和需要建立风险数据库,做好数据积累工作,为开展风险评估和以风险为导向的内部审计提供数据支持。
4.及时转换企业内部审计人员的角色,从“警察”到“风险顾问”。内部审计人员作为风险管理顾问的新角色是有公司治理结构设计决定的,通过良好的公司治理结构设计,将内部审计人员的注意力从结果转向关键风险领域。
5.以风险为出发点,坚持全方位、全过程监督,以内部控制审计为主线,重点突出、动态跟踪,努力构建“事前参与、事中监控、事后评价”的全过程审计工作格局,真正做到风险防范。
关于审计风险评估篇3
关键词:现代风险导向审计商业银行内部审计
一、现代风险导向审计的内涵
现代风险导向审计是职业界在对传统风险导向审计改进的过程中,创造出来的一种新的审计方法。它基于战略管理理论和系统理论,以重大错报风险为导向,从审计对象的战略风险分析入手,按照“战略分析――经营环节分析――会计报表剩余风险分析”的基本思路,对可能引起审计对象重大错报的内外部风险因素进行评估,来确定审计的重点和范围,将有限的审计资源集中在高风险领域,合理配置审计资源,以提高审计效率和效果的一种审计方法。现代风险导向审计不仅仅是审计技术方法的一大变革,更是审计理念的更新。相对于传统风险导向审计,现代风险导向审计主要呈现以下优点:
1.风险评估范围扩大。现代风险导向审计对风险的评估由账户、报表的微观层次转向社会环境、行业背景、战略目标等宏观层面,注重对企业整个经营环境和经营过程的分析,将企业置于社会经济体系中,分析与其重大错报风险相关的内外部环境及其它风险因素。
2.风险评估重心发生转移。传统的风险导向审计人为将风险评估分为固有风险和控制风险评估,因固有风险不可直接评估,导致固有风险评估不到位,从而使风险评估以评估控制风险为中心。而现代管理层舞弊往往绕过或逾越内控,从而导致控制风险很低而实际审计风险很高,所以现代风险导向审计重新认识到固有风险评估的重要性,直接评估固有风险和初步控制风险的联合风险。
3.风险导向发生改变。传统的风险导向审计仍以内部控制为导向,根据内部控制测试的结果确定实质性测试的性质、时间和范围。现代风险导向审计则以企业的经营风险为导向,根据对经营风险的评估及随后各步骤的评估测试,执行相应的实质性测试。
4.充分运用分析性复核方法。风险评估的核心是分析性程序的利用,在现代风险导向审计中,审计师通过运用经营策略分析、绩效分析、财务分析等现代管理中的分析工具,使风险评估结果相互印证,帮助审计师发现重大错报的领域,减少细节测试的数量,提高审计效率。
二、现代风险导向审计是银行内部审计的必然选择
1.现代风险导向审计有利于银行风险管理
商业银行是经营货币的特殊企业,具有不稳定性、高风险性和负外部性,这种高风险特点决定了商业银行相对于其他行业对风险管理的要求更高、更严格。现代风险导向审计以“风险”为导向,以战略系统观,从微观、中观乃至宏观层面上对被审商业银行进行更加科学分析与评估,准确判断重大风险点,针对高风险点实施审计,及时有效防范各种经营风险,迎合了商业银行对风险管理的需求。
2.现代风险导向审计有助于提高银行内部审计效率
商业银行业务量大、业务环节复杂、资金往来频繁,会计资料及相关信息繁杂。所以无论是外部审计还是内部审计,审计资源的供需矛盾都比较突出。在有限的审计资源前提下,提高审计效率,保证审计质量,就成为审计部门的当务之急。在商业银行内部审计中运用现代风险导向审计,能够科学地解决业务数据“海量”的问题,它以全面评估风险为基础,经过科学分析与评估,将审计重点锁定在高风险领域,并依据风险排序合理配置审计资源,保障风险靠前的业务与区域得到优先审计,促进审计资源的有效分配和利用,提高了银行内部审计效率。
3.商业银行具备开展现代风险导向审计的基础条件
一是我国商业银行已经建立比较完整的风险评估体系,全面风险管理的理念已逐步渗透进银行企业管理文化中。经过多年的金融体制改革及发展,我国商业银行已经基本建立起覆盖各个业务系统的风险管理框架,研发了一系列风险评估指标和模型,风险管理方法及手段日益成熟,为现代风险导向审计的运用提供了理论基础;二是银行信息技术起步早发展快,完善的信息化系统与程序利于数据采集,以满足审计人员充分了解被审银行的业务操作及其内部控制等需要,为现代风险导向审计开展提供了技术基础。
三、目前我国商业银行现代风险导向内部审计应用现状
总体而言,我国商业银行现代风险导向内部审计尚处于起步阶段,尤其是实务状况与国外银行相比还存在较大差距,主要表现在以下方面:
1.风险管理体系不完善。开展现代风险导向内部审计,不仅只是引进一种新概念,还需要从组织架构、风险评估体系、人员配置、审计手段等方面需要进行革新和完善。有些商业银行虽然也是在“风险导向”下开展内部审计,但更多的只是“形似”,风险评估多采用定性分析方法,主要依靠经验判断或银行工作重点来确定风险所在,与国际先进银行运用数理统计模型、金融工程等前沿方法进行风险管理相比,我国风险管理方法较为落后。同时,审计人员的知识结构单一,财务会计人员占多数,而来自法律、管理、计算机、工程或其他专业领域的人才较少,具备“一专多能”的综合性素质的人才更少。落后的风险管理方法、难以胜任的审计人员、不健全的风险评估体系直接导致内部审计难以对银行进行全面的风险管理和内部治理。
2.审计关注的风险类型狭窄。我国商业银行目前执行的内部审计项目关注的风险基本集中在合规风险、操作风险和内部舞弊风险上,对于信用风险、国家风险和转移风险、市场风险、利率风险、流动性风险、法律风险、声誉风险等则几乎没有涉及。并且,目前商业银行的内部审计所关注的合规风险、操作风险等均为内源性风险,而对于社会信用风险、政府干预风险、利率风险等外源性风险则基本未考虑,更未对一些重要的深层次问题如战略及其管理制度、政策法规、社会环境、监督体系等方面进行研究。
3.内部审计在风险管理中未能充分发挥作用。一直以来内部审计作为监督部门主要扮演查错找弊,纠正违规的“经济警察”的角色,这种理念下的内部审计只强调其监督职能,而不注重充当内部风险管理专家,为银行的风险管理及经营决策提供咨询及建设,未充分挖掘内部审计在银行风险管理中的作用。
4.审计工具软件开发和信息库建设滞后。目前,我国大部分商业银行都具备了运用计算机及相关软件进行内部审计的条件,审计过程基本实现了电子化,但审计软件的功能尚需进一步完善,比如数据的提取和加工、风险评估、审计抽样、审计模型等方面还需继续提高使用的准确性和效率,并增加分析性复核、审计指导等功能。同时,因审计人员在风险评估阶段需要从内外部取得大量的信息,以充分了解银行整体经营环境,识别银行面临的经营风险。这就需要审计部门建立一个功能强大审计信息库,自动或人工收集全行各业务品种和作业条线的相关数据信息。而现阶段我国商业银行内部审计信息库刚建立,有的甚至还未开始,数据积累不足,信息库的建设还达不到现代风险导向内部审计的要求。
四、推进我国商业银行现代风险导向内部审计的建议
1.推广现代风险导向内部审计理念。一是银行管理高层要重视现代风险导向审计的宣传,从制度制订及财务资源上给予支持,从上到下营造现代风险导向审计应用氛围;二是各层级审计人员应勇于接收新事物,迎接新挑战,积极学习运用现代风险导向审计理念于实践,促进商业银行现代风险导向内部审计的开展。
2.加强风险评估系统建设。结合我国商业银行风险评估现状,首先,应构建全面风险评估框架,从风险识别、预警、决策、处理、监控等环节全过程对商业银行各类风险实施有效、连贯的监管。其次,可以借鉴国外银行先进方法和手段,结合我国商业银行监管指标和已有的风险评价指标,运用数理统计模型、金融工程等先进方法,构建以定量分析为主的风险识别、度量、监测的风险评估体系。最后,加强对风险评估体系的优化建设,根据实际情况适时调整相关模型、指标,保障体系结果的准确性。
3.重新定位内部审计职能。内部审计必须重新定位自己的职能,应从以监督为主向监督与服务并重方面发展。工作重点也应从传统的“查错防弊”转向为银行内部的管理、决策及效益服务,其作业范围也应扩展到银行经营管理的各个方面,使内部审计从风险管理的角度参与公司治理,从而帮助企业实现经营目标,为企业提供增值服务。
4.打造高素质的内部审计团队。第一,商业银行应当要求审计人员持证上岗,并鼓励审计人员参加注册会计师、国际注册内部审计师等各种专业资质考试,培养与国际接轨的专业人才。第二,可以采取脱岗学习、专家讲座、经验交流、到业务部门挂职锻炼等方式,针对性给予内部审计人员经济、法律、计算机等相关知识的培训,促进内部审计人员及时更新知识结构和内容。第三,商业银行还应增强内部审计力量,人员配备至少应达到员工总数的2%,并不断引进新生力量,保持队伍年轻化。
5.革新内部审计技术和方式。首先,商业银行应大力推行非现场审计和远程审计。利用计算机手段,在银行内部搭建一个完善、高效的审计信息化系统和审计操作平台,对银行各项业务实施有效监控与评价。再次,推进审计信息库建设,做好数据收集和整理工作。银行可以建立专供计算机辅助审计服务的审计数据服务器,定期从业务生产系统、管理信息系统抽取数据,自动下载到审计数据服务器中。最后,不断完善审计软件功能。银行应根据自身的特点和需要开发符合自身实际的审计软件,并在实践中不断完善软件功能,逐步增强数据分析和模型查找的精确性。
参考文献:
〔1〕蔡春,赵莎.现代风险导向审计论.北京:中国时代经济出版社,2006,37-49
〔2〕谢荣,吴建友.现代风险导向审计理论研究与实务发展.会计研究,2004,(4):47
〔3〕耿慧敏.风险导向内部审计相关理论问题.大连海事大学学报,2009,(4):73
关于审计风险评估篇4
关键词:人民银行;信息技术;审计;风险评估模型
一、引言
随着信息化的迅猛发展,人民银行对信息技术的依赖程度不断提高,信息技术己经成为人民银行日常运营的基础平台和金融创新的重要手段。但信息技术在迅速发展的同时,也带来了巨大的技术风险,一旦发生问题,将直接影响业务的连续性,使人民银行而临财务损失和声誉风险,甚至影响银行业的安全。因此,发现信息技术潜在的风险点,采用风险导向审计模式开展信息技术审计,一方而能够最大程度防范信息技术风险,确保各项业务安全、稳定、高效运行;另一方而能够节约审计成本,提高审计效率和质量,增加审计的组织价值。
二、央行信息技术审计现状
人民银行自2000年左右提出信息技术审计的概念,经过多年的探索与发展,由对单个重要业务系统逐渐向对机房、数据库等信息技术的核心开展审计,审计范围覆盖了网络管理与安全、操作系统和数据库管理、电子化设备管理、大小额支付系统、会计核算系统、国库系统、征信系统和反洗钱系统等业务领域,有效促进了信息系统内部控制和风险管理水平的提高。在此基础上,2009年起,人民银行开展了更具综合性的信息技术应用和系统运行管理专项审计(后称为“科技综合管理专项审计”),该项目涉及分支行科技管理的各个方而,促进了分支行科技管理水平和信息安全意识的提高。同时,在开展的过程中不断深化,融入绩效审计理念,在关注系统安全性的同时,也关注信息系统建设和运行的经济性、效率性和效果性。近两年,央行探索将信息技术审计与业务审计相结合,开展了国库会计核算业务与系统运行管理、二代支付系统等专项审计,力求从业务的角度审视技术的支持保障能力,从技术的角度评估业务的风险防控能力。近几年,传统的合规性信息技术审计所依赖的审计依据往往跟不上信息技术的发展和变化,同时也较多依赖审计人员的个人能力,审计中缺乏重点,虽然而而俱到,但审计成果琐碎平淡,缺少深度和建设性。因此,信息技术审计人员必须在审计中引入风险导向审计模式,不断地向技术的更深层而挖掘风险,不断提升审计成果的附加值和说服力。
三、央行信息技术风险评估模型构建
风险导向审计的基础是识别和评估风险,因此,开展风险导向审计首先要构建合适的风险评估模型,以实现对风险的量化分析。风险评估是指内审部门采用剩余风险评估模型,运用规范的定性、定量方法,通过风险识别、固有风险评估、控制有效性评估、剩余风险计算,确定评估对象的风险级别。
(一)风险识别
风险识别是风险评估工作的基础和关键环节,只有了解和掌握被审计业务领域存在的具体风险事件,才能进一步开展评估、实施审计。风险识别程序要求采用一种有计划的、经过深思熟虑的方法,来识别业务各个方而存在的潜在风险,并识别可能在合理的时间段内影响每项业务的较为重大的风险。信息技术风险是组织在信息处理和信息技术运用过程中产生的可能影响组织目标实现的各种不确定因素,表现形式有自然灾害、人为破坏、设备故障、内部与外部攻击、数据误用、数据丢失以及应用程序错误等。保障人民银行信息安全除了须保障物理环境、网络、主机、应用、数据等技术领域的安全之外,还涉及组织与计划、开发与采购、运维与外包以及应用控制等领域的安全控制。
(二)风险评估
风险评估就是对风险的成本、影响及发生的可能性进行评估,有效的风险管理技术一般会量化风险,运用风险评估模型,针对识别出的“风险事件清单”中的每一项风险事件,依次计算固有风险和剩余风险级别,风险的计算采用加权法,各风险级别均划分为1-4级,1级风险最低,4级风险最高。1.固有风险评估<1)风险事件固有风险评估风险事件固有风险评估是量化评估风险的起点和基础,利用德尔菲法,采用风险矩阵,从风险发生可能性和风险影响程度两个维度进行度量,将两者级别分别标注在风险矩阵的相应区域,交汇区域即为该风险事件的风险级别。风险矩阵如图1所示。<2)业务领域固有风险评估根据风险事件对应业务的业务量及工作量大小确定各风险事件权重,根据风险事件权重及风险等级计算业务领域固有风险级别。业务领域固有风险级别二E(该业务领域风险事件权重X该业务领域风险事件风险级别)一E该业务领域风险事件权重。2.内部控制有效性评估根据搜集的资料以及审计经验,从近期各类信J急技术审计、专项检查结果以及信息技术内部控制变化情况等方而,对各业务领域内部控制进行有效性评估。其中,各类审计、检查结果评定指标为检查频率、所发现问题的数量及严重程度;内部控制变化情况评定指标为问题整改情况以及内部控制变化情况。内部控制有效性越高,对应的风险级别越低,反之,风险级别越高。3.乘余风险评估根据内控有效性的风险,通过剩余风险评估模型计算各业务领域的剩余风险级别。剩余风险级别二(艺各类固有风险权重X风险级别十E各项内部控制有效性权重X风险级别)一<E各类固有风险权重十E各项内部控制有效性权重),其中,各项内部控制有效性权重二25%XE该业务领域风险事件固有风险权重。
(三)风险管理效果评估及结果运用
根据各业务领域剩余风险级别计算剩余风险平均值,以此判断被审计单位信息技术风险控制状况,并提供合理的审计建议。同时,可参照剩余风险值,制定审计计划及频率,明确信息技术的审计重点。风险管理效果评估见表1所列。
(四)案例分析—以科技综合管理专项审计为例
在对某地市中支的科技综合管理专项审计中,笔者结合现场审计情况,运用此模型对被审计单位的信息技术风险管理情况进行评估。根据审计内容,将被审计单位科技综合管理划分成七大业务领域共33类风险事件。七大业务领域分别为内部控制、机房管理、网络管理、系统运维管理、管理、设备采购及外包服务管理,以及应急、备份和文档管理。以机房管理领域为例,共有6类风险事件,根据业务的重要程度、发生可能性以及业务量的大小,结合以往审计经验,利用德尔菲法,依次评定了各风险事件的固有风险、权重以及该业务领域的固有风险,其风险事件清单及固有风险评估见表2所列。根据现场审计情况,并调阅近期对被审计单位科技管理的各项审计、检查材料,对各业务领域的控制有效性风险级别进行评定,并计算出各业务领域的剩余风险以及科技综合管理剩余风险级别。剩余风险评估见表3所列。评估结果显示,被审计对象科技综合管理平均剩余风险级别为2.38,属于“0-2.5”层次,对照《风险管理效果评估表》,该单位的科技风险控制情况较好,可将审计频率定为5年一次,并在审计中重点关注管理、网络管理、机房管理以及设备采购和外包服务管理等风险级别较高领域。
四、建立央行信息技术风险导向审计模式
风险导向审计模式并不仅仅是风险评估,其核心在于围绕风险开展审计,下而将探讨如何围绕风险开展信息技术审计项目,将“风险引导审计,审计关注风险”的理念贯穿于信息技术审计项目的全过程。
(一)以风险为导向编制信息技术审计整体规划
这是风险导向内部审计方法在宏观层而的运用,根据风险评估的结果重新审视和规划信息技术审计的业务范围,各审计对象的审计频率以及审计方式、方法等。可通过构建信息技术风险数据库,从组织机构和业务领域两个维度记录信息技术风险评估数据,根据信息技术风险数据库“自上而下”制定信息技术审计整体规划。在构建信息技术风险数据库时,须根据业务关注度、信息资产的重要性、对信息技术的依赖程度、信息技术人员的专业胜任能力等因素对信息技术管理现状进行一次全而评估。
(二)以风险为导向编制信息技术年度审计计划
参照信息技术审计整体规划编制年度审计计划,优先对高风险领域、高风险机构实施审计。同时,应根据本年度工作重点、热点和难点以及管理层关注事项对年度审计计划作出适当调整,选择被审计对象及业务种类,梳理形成本年度信息技术审计项目清单、审计项目日程表以及审计项目所需资源等。在梳理信息技术审计项目清单时,可根据业务复杂度、业务间关联性等选择对某一个业务领域开展审计,或选择将多个业务领域组合起来开展综合性审计。
(三)以风险为导向开展审计项目
信息技术审计程序可以划分为审前准备阶段、现场实施阶段、审计报告与后续跟踪阶段,各阶段均应体现风险导向要求。在审前准备阶段,通过审前调查情况,动态调整权重和风险级别,并提前调取被审计单位内控制度、岗位分工、系统日志以及网络配置等电子版资料,对收集的资料、数据进行非现场分析,列出审计疑点和问题线索,并计算各业务领域剩余风险,根据审计风险评估结果制定实施方案。在现场实施阶段,应紧紧围绕风险实施现场审计,按照审计方案、风险事件清单,选择与风险性质和特点相适应的审计方法,对风险级别高的事件和隐患进行深入分析和排查,充分体现“风险引导审计”原则。在审计报告阶段,内审人员应以有效降低信息技术风险,保障各业务的连续性为目的,报告被审计对象信息技术问题缺陷,围绕风险深入分析问题产生的原因,从防范和化解风险的角度提出切实可行的审计建议。在后续跟踪阶段,对于审计中风险隐患较大、发生频率较高的问题应持续跟踪,并根据后续跟踪及整改情况更新信息技术风险数据库,调整信息技术审计整体规划。
五、行信息技术审计中的全方位推广奠定坚实的基础。
(二)着力培养信息技术审计与风险评估人才
在信息技术审计中运用风险导向审计方法,不仅要求审计人员具备信息技术领域的专业知识,还须具备运用风险评估技术的能力,因此,复合型人才的培养与储备是基于风险导向信息技术审计模式实施必不可少的前提条件。人民银行各级分支机构可以通过向审计部门输送新的信息技术人才、开展后续教育及培训等方式,逐步建立具有信息技术领域专业素养和风险评估技术的复合型内审人才队伍。
(三)循序渐进推行风险导向审计模式
基于风险导向的信息技术审计模式是在传统信息技术审计模式基础上发展起来的,因此,在实施新模式的同时应注重与传统模式的有机结合,注重对传统模式所取经验的吸收与利用,注重新旧审计模式的互为补充,循序渐进地推行新模式,从而更加有效地提升央行信息技术审计的质量与效率。
(四)建立风险导向信息技术审计模式运用机制
不断加大基于风险导向信息技术审计模式试点工作,加大新审计模式在实际审计项目中的运用探索,不断完善其运用流程、方法等,待时机成熟时出台相关规章制度,为新审计模式的运用提供制度保障,从而建立风险导向信息技术审计模式运用长效机制。
六、深入推进央行信息技术风险导向审计的建议
(一)尽快建立央行风险评估信息数据库
建立央行风险评估信息数据库,完整记录央行信J急技术风险评估各期数据,编制风险原因分析字典,这将有利于评估数据的采集、分析以及不同时期、不同对象风险状况之间的比对,为风险导向内部审计模式在央行信息技术审计中的全方位推广奠定坚实的基础。
(二)着力培养信息技术审计与风险评估人才
在信息技术审计中运用风险导向审计方法,不仅要求审计人员具备信息技术领域的专业知识,还须具备运用风险评估技术的能力,因此,复合型人才的培养与储备是基于风险导向信息技术审计模式实施必不可少的前提条件。人民银行各级分支机构可以通过向审计部门输送新的信息技术人才、开展后续教育及培训等方式,逐步建立具有信息技术领域专业素养和风险评估技术的复合型内审人才队伍。
(三)循序渐进推行风险导向审计模式
基于风险导向的信息技术审计模式是在传统信息技术审计模式基础上发展起来的,因此,在实施新模式的同时应注重与传统模式的有机结合,注重对传统模式所取经验的吸收与利用,注重新旧审计模式的互为补充,循序渐进地推行新模式,从而更加有效地提升央行信息技术审计的质量与效率。
(四)建立风险导向信息技术审计模式运用机制
关于审计风险评估篇5
【论文摘要】文章在分析了传统审计风险模型的缺陷的基础上,阐述了新审计风险模型的内容及优越性。最后,针对我国的实际环境,提出了采用新审计风险模型所面临的问题,从而为准则实施人员提供了参考。
一、传统审计风险模型的缺陷
(一)割裂了风险因素之间的关系
传统的审计风险要素就像一个层次分明的网,财务报表的总体错报风险通过内部控制和审计活动层层过滤,被控制在可接受的水平之下。但在实务中,审计人员很容易人为割裂两者的内在联系,而只依赖对控制风险所作的粗放型评估来直接、大致确定检查风险水平,再据此规划实质性程序的性质、时间和范围。这就导致了实务中控制测试和实质性测试的相互脱节,从而加大了审计风险。
(二)审计人员易于忽视固有风险评估
由于在假设不存在相关内部控制的条件下而去单独评估认定的固有风险有显见的难度,再加上直接假定认定的固有风险为高水平被公认为稳健的做法,这样极容易导致不少事务所及审计人员不重视对固有风险的评估,多采用将固有风险定为最高水平即100%的做法。
(三)对管理层舞弊甄别失败
由于实务中对固有风险的评估流于形式,审计的起点便从了解内部控制制度、评价控制风险开始。WwW.133229.COm如果审计人员不把审计视角扩展到内部控制以外,就很容易受到蒙蔽和欺骗,不能发现由于内部控制失效所导致的会计报表存在的重大错报和舞弊行为。
(四)缺乏对财务报表的整体审计风险进行把握和控制
原风险模型侧重于指导认定层次的审计测试工作,对财务报表层次重大错报风险的评估和应对重视不够,进而必然会影响认定层次重大错报的检查效果。虽然该风险模型要求在评估固有风险时应当从会计报表层次和账户余额层次两个方而加以考虑,但在评估控制风险时却并不涉及报表层次,只能要求审计人员对各重要账户或交易类别的相关认定所涉及的控制风险进行评估。这种不注重从宏观层而上了解企业及其环境,而仅从较低层而上评估风险。如果不深入考虑会计报表背后的东西,就不能对会计报表项目余额得出一个合理的期望。
二、审计风险模型的改进
(一)新审计风险模型的介绍
新审计准则认为审计风险由重大错报风险和检查风险构成,它们之间的关系用模型表示为:审计风险=重大错报风险×检查风险。
重大错报风险是的存在可能是因为被审计单位的性质、行业状况、外界环境以及经营风险的影响,也可能是由于被审计单位的内部控制无法有效地防止或发现并纠正错报。影响审计风险的另一个因素是检查风险,检查风险是审计人员自身可以控制的风险,它的高低取决于审计程序设计的合理性和执行的有效性。
在审计过程中,审计人员必须了解被审计单位及其所处环境,以充分识别和评估财务报表重大错报风险,并依据重大错报风险的评估水平确定和实施进一步审计程序,以便把审计风险降低至可接受水平。全面了解审计风险模型对审计人员安排审计工作计划非常重要,审计人员可以依据审计风险模型确定被审计单位各个业务循环应收集的审计证据的数量。
(二)新审计风险模型的优越性
1.引入重大错报风险,改进审计理念
新审计风险模型体现了传统风险导向审计模式向重大错报风险导向审计模式的转变。这个转变明确了审计工作以评估财务报表重大错报风险作为起点和导向。该模型还校正了传统审计模式下以评估客户经营风险为中心的审计思想,强调注册会计师应从多方面了解客户及其环境并评估重大错报风险。新审计风险准则及模型明确规定,了解客户及其环境,包括了解客户的目标、战略以及可能导致会计报表重大错报的相关经营风险,而不是了解和评估全部的经营风险。
2.以风险评估为审计起点,有利于审计质量的提高
新的审计风险模型要求的审计起点为风险评估程序,其次才是针对重大错报风险实施进一步审计程序(即控制测试和实质性测试)。在这一模型下,审计人员在审计的所有阶段都要实施风险评估程序,并将识别的风险与认定层次可能发生错报的领域相联系,实施更为严格的风险评估程序,而不能忽略固有风险的评估,直接将风险定为高水平。这就改善了旧审计风险模型在固有风险评估方面的缺陷,对于甄别管理者舞弊也具有一定的作用。
3.审计程序的设计有的放矢,提高了审计效率
新审计风险模型保证了注册会计师实施的审计程序有的放矢。新审计模型,首先要求实施风险评估程序,了解被审计单位及其环境,除内部环境外还包括行业状况、监管环境、企业的性质,以及目标、战略和相关经营风险等外部环境,在此基础上分别评估财务报表层次和认定层次来评估重大错报风险。对于报表层次的重大错报风险,应根据评估结果设定总体应对措施。对于认定层次的重大错报风险,应以此为依据确定进一步审计程序的性质、时间和范围。两方面的审计措施结合,最终将审计风险降至可接受的低水平。
4.从宏观来看:顺应国际趋势,适应国内环境
纵观整个审计准则,新审计风险模型所代表的全新的审计理念,在一般原则与责任的审计准则以及其他具体相关的审计准则中都有体现,都强调对被审计单位及其所处内外环境的了解和评价。很显然,准则框架体系全面渗透着现代风险导向审计理念,要求注册会计师将现代风险导向审计的观念贯穿于审计全过程。
三、我国运用新审计风险模型存在的困难
(一)风险评估所需数据的限制
评估被审计单位重大错报风险要求对企业的业务、市场状况、管理层,甚至企业所处行业整体的经营状况和市场状况等因素都要有比较清楚的了解。而我国会计师事务所大多没有经济方面、法律方面等多元化的背景,数据积累严重不足。这是我们目前实施新审计风险模型的最大障碍。
(二)会计师事务所运用这一模型进行审计的动力不足
一方面,新的审计风险模型要求审计人员在审计之前对企业各个方面进行调查了解,并且还需要有更多审计经验的合伙人及高级审计人员的参与,人员成本会比较高。另一方面,目前我国存在审计关系的失衡及审计责任的缺位,市场上仍然缺乏对高质量审计的需求。我国对审计人员的民事责任制度仍不够健全,审计人员被起诉的风险仍然较低。因此,在我国当前的执业环境下,绝大部分事务所没有动力投入巨大的成本来开展新的审计模式。
(三)审计人员的知识和经验储备不足
新审计风险模型的运用要求审计人员改变审计思路,熟悉被审计单位的行业状况,法律与监管环境,财务业绩的衡量和评价,经营目标、战略和相关经营风险,内部控制等知识,这需要审计人员扩大自己的专业知识领域,并具备很强的专业判断能力。但目前,我国审计人员总体而言综合素质不高,缺乏丰富的执业经验,职业判断能力还不是很强,而且长期以来,我国审计人员的知识背景和知识结构过于集中在会计审计方面,可能无法满足风险评估时对知识的多元化要求。
参考文献:
[1]王春华.浅析新准则下的审计风险模型.财经界(下半月刊)[j].2006,9.
[2]崔慧静.审计风险模型改进分析.财会通讯(学术版)[j].2007,4.
关于审计风险评估篇6
跟踪审计工作究竟应该选择在建设工程实施的哪个阶段开始介入?是投资决策阶段介入,还是设计、招投标阶段介入?是在施工开始介入,还是施工完毕竣工决算前审计?相关法规没有明确规定。实践中现行跟踪审计多是在工程施工开始后介入。而不对前期决策实施审计,这样一来,工程建设前期的可行性研究、初步设计就无法有效控制,跟踪审计效果必然会受到影响;同时,由于投资项目审计是一个连续的过程,评价实际完成指标是否适当必须与前期决策指标进行比较,而此时就需要延伸考虑前期决策的估算指标是否准确,如此延伸必然会给审计人员带来审计风险。
二、风险导向审计理念的引入
现行制度基础导向的政府投资项目跟踪审计模式下,审计人员的出发点是了解与建设项目相关的内部控制制度,若内部控制存在并得到执行,则进行内部控制测试,测试结果决定了要实施的检查、盘点等审计程序的性质、时间和范围,决定了要收集审计证据的多少。此种以判断内部控制优劣来决定收集审计证据数量的审计模式,对于一个理想的不存在外部环境影响、管理层正直诚信的建设项目可以提高审计效率,保证审计质量,而建设项目的现状并非完全如此,工程建设领域面临着巨大的外部压力,管理层凌驾于内部控制之上,串通舞弊情况时有发生,尤其是关系国计民生的福利工程,社会公众关注度极高,仅通过评价内部控制来实施审计工作,必将面临巨大的审计风险。粤海铁路工程建设项目就是管理层串通舞弊、套取国有资产的典型案例,如果只关注被项目管理层精心设计好的内部控制,仅依靠评价内控制度来找问题根本无济于事。因此,对政府投资项目必须转换审计模式,贯彻风险导向审计理念,用质疑的思维方式,以“风险评估—风险识别—风险应对”为主线组织实施审计工作,在确定可接受的综合审计风险的前提下,首先从建设项目所处的外部环境及项目自身特点来评估重大错报风险,进而确定审计工作可以接受的剩余风险。政府投资项目跟踪审计采用风险导向审计理念对于解决上述困境大有裨益。风险导向理念要求审计人员以风险评估为审计起点,实施风险评估要贯穿于整个审计过程,而不是直接实施检查、询问等审计程序。通过了解建设项目及其环境,获取识别评估所需的信息,识别可能存在的重大错报风险,并区分可能是由于错误导致的还是由于舞弊导致的重大错报风险,针对舞弊导致的不同层面的重大错报风险(项目整体层面、业务流程层面)采取不同的应对措施。这种以风险导向为主线的审计思路可以及时发现建设项目中可能存在的舞弊风险,最大限度地满足社会公众对审计工作的期望,有效控制审计风险,保证审计的效果。风险导向理念下的审计,可以对列入审计计划的建设项目根据初步评估的重大错报风险进行排序,按风险因素而非主观臆断来科学决定重点审计项目,制定审计计划。在审前针对具体项目制定审计方案时,根据风险评估的结论来确定重点审计领域和关键环节,以此来决定审计人员的分派、审计时间的分配。通过对建设项目的重大错报风险分析,确定审计风险最早发生环节,确定跟踪审计介入时间,根据评估得出的风险大小来决定审计人员需要介入建设项目不同环节的程度、次数,对那些管理机制完善、内部控制较好、投资规模较小的建设项目,可以根据建设项目的特点及进展情况,选择重点环节实施跟踪审计;对那些投资规模大、建设周期长的项目,可根据项目特点和审计力量,采取一年一至两次的定期审查式跟踪。
