前言:中文期刊网精心挑选了风险评价与风险评估的区别范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
风险评价与风险评估的区别范文1
【关键词】 雷电灾害 风险评估 标准 防雷
1 引言
从标准角度看,目前国内外有多个关于雷电灾害风险评估的标准,本文主要就雷电灾害风险评估的各种标准进行对比,并分析其优缺点。
2 雷电灾害风险评估的标准介绍
我国各个省市所应用风险评估的方法和规范并不相同,例如江苏省评估工作基于IEC62305和GB21714,重庆、西安则基于QX/T85-2007,但总体来说,有关雷电灾害风险评估的标准主要有以下几种:(1)《气象信息系统雷击电磁脉冲防护规范》(QX3-2000),适用范围是由雷击电磁脉冲(LEMP)对气象信息系统造成损失的风险的评估,所用的方法基于早期国外防雷标准中的因子分析法,评估的重点是确定年平均直击雷次数和年平均允许雷击次数;(2)《通信局站雷电损坏危险的评估》(ITU-T K.39),适用于通信局站雷电过电压(过电流)造成的设备危害和人员安全危害的风险的评估;(3)《建筑物电子信息体统防雷技术规范》(GB 50343―2004),按建筑物电子信息系统所处环境进行雷电灾害风险评估,确定雷电防护等级;(4)《雷击损害风险评估》(IEC6166),主要阐述了建筑物与服务设施的分类、雷灾风险、防护措施的选择过程以及建筑物与服务设施防护的基本标准等问题;(5)《雷电防护》(IEC 62305),共分5个部分,IEC 62305-1清楚地说明了在防雷电保护结构中遵循的一般原则;IEC 62305-2表述了保护的需要、安装保护措施的经济利益和适当的保护措施的选择程序,以及风险管理的方法;IEC 62305-3涉及减少对建筑物的物理损害和威胁生命安全的方法;IEC 62305-4阐述了减少建筑物内电器和电子系统故障的方法;IEC 62305-5涉及减少与建筑物有关的服务(主要是电力和电信)的物理损害和出现故障的方法;(6)《雷电灾害风险评估技术规范》(QX/T85―2007),此规范将雷电灾害风险评估分为预评估、方案评估与现状评估,主要包括大气雷电环境评价、雷击损害风险评估、雷电灾害易损性评估、雷电灾害环境影响评价等内容。
3 雷电灾害风险评估方法
目前,雷电灾害风险评估的方法大致有两种,一种是定性评估,一种是定量评估。GB50057-2010中规定建筑物应根据其重要性、使用性、发生雷电事故的可能性和后果,按防雷要求分为三类,这属于定性评估。而IEC62305-2以及由此衍生出的GB/T21714、 QX/T85-2007则通过对损失量的影响因子的选择,然后进行计算,得出雷击风险的各种损失的数值,这属于定量评估。
综合来看,我国的雷电灾害风险评估采用了定性与定量相结的方法,有的地方用定性,有的地方用定量,还没有统一。在该方法的基础上,结合中国国情,在个别参数的选取上细化或有少许变动。
4 雷电灾害风险评估标准的分析
4.1 评估标准的局限性
任何方法都是有其适用的范围的,同样,评估中经常用到的标准也是有其适用范围的,下面对常用的雷电灾害风险评估标准的范围进行简单的分析:
IEC62305-1适用于建筑物包括其中的装备和设备,也包括人身以及进入建筑物的公共设施。不适用于铁路设施,车辆、船只、飞行器、海岸设施以及地下高压管道。
IEC62305-2适用于由雷击导致的建筑物内或公共设施内的风险评估。
GB/T21714.2适用于建筑物和服务设施的雷击风险评估。
QX/T85-2007适用于新建、改建、扩建项目的雷电灾害风险评估。
以上三个规范,均不适用于铁路设施,车辆、船只、飞行器、海岸设施以及地下高压管道。因此,当评估对象出现特殊化时,雷击风险评估需要加入新的技术标准。
4.2 评估标准的比较
4.2.1 评估标准的相似性
(1)各评估标准都把重点放在雷电灾害损害次数这个参数上,而决定损害次数的子参数的选取大多以经验为主。
(2)各评估标准都需要计算出实际损害次数(实际风险)和允许损害次数(允许风险),然后给出风险级别并提供适当的防护措施。
(3)各评估标准在处理雷电灾害损失和雷电灾害风险时,都使用相对值,且大部分参数都以表格等形式给出一定的典型值,取值不连续而且很难达到比较高的精度。
(4)各评估标准都要求精确得到评估对象(建筑物或服务设施)的雷击有效面积,乘上当地的雷击密度而计算其可能雷击次数,然后需要求得允许雷灾水平(可承受雷灾水平)。
4.2.2 评估标准的区别
虽然个标准之间有一定的相似性,但同时也存在着许多区别:(1)从评估结果考虑,通过对各个标准之间做比较,可以发现ITU-T k.39和IEC61662都是以公式R=N×P×δ基本计算公式,两个标准都考虑了人身损失和财产损失等,都是通过计算防雷装置的拦截效率E来最终确定评估对象的雷电防护必要性和防护等级(防护级别)。而IEC62305、GB/T21714.2和QX/T85-2007都是以公式Rx=Nx×Px×Lx基本公式,三个标准都考率了人身伤亡损失风险、公众服务损失风险、文化遗产损失风险及经济损失风险,都是通过确定风险分量并计算风险分量值,将其分量值与其分量最大允许值相比较最终确定该建筑物是否在风险允许范围内
(2)IEC61662、IEC62305标准包括尤其衍生出来的GB/T21714.2和QX/T85-2007是最复杂、准确度及可信度最高的,也是我国目前气象行业开展雷击灾害风险评估的主要技术规范,综合了建筑物所在区域预计年遭受雷击次数N、在建筑物区域内遭受到雷击后可能发生雷电灾害损失的概率P及建筑物在遭受雷击后可能发生的后果及损失程度L三个因素,而每个因素的计算都是通过一系列的相关限制因子来确定的。但是GB/T21714.2里面的分量、因子、概率、损失率等数据是德国人根据欧洲的雷电特性、雷电环境、年平均雷暴日、土壤电阻率等统计、计算出的,适合欧洲情况。而中国在雷电特性、雷电环境、年平均雷暴日、土壤电阻率等各方面是截然不同的。因此,还需要将GB/T21714.2的分量、因子、概率、损失率等统计、计算出适合中国国情的数据(3)QX3-2000与GB50343―2004标准的评估重点是确定年平均允许雷击次数Nc,但其所采用的公式不同,QX3-2000计算Nc的公式为Nc=5.8*10-3/C或Nc=5.8*10-4/C,其中C=C1+C2+C3+C4+C5,因此其评估精度主要取决于建筑材料因子、信息系统重要程度因子、设备耐冲击类型因子、设备的LPZ因子和雷击后果因子。而GB50343―2004计算Nc的公式为Nc=5.8*10-1.5/C,其中C=C1+C2+C3+C4+C5+C6,C1~C5同QX3-2000中规定的,C6为区域雷暴等级因子。两种标准虽然计算公式类似,但所用的指数不同,同时GB50343―2004也比QX3-2000多了一个因子(4)QX3-2000和GB50343―2004与IEC61662标准在计算雷击大地的平局密度Ng的计算公式上也是不同的,QX3-2000和GB50343―2004计算Ng的公式为Ng=0.024Td1.3,而IEC61662中为Ng=0.04Td1.25(5)ITU-Tk.39标准的评估重点是确定雷电损害次数F,F=Fd +Fn +Fs+Fa,其中Fd=Ng*Ad*Pd,Fn=Ng*An*Pn,Fs =Ng*As*Ps,Fa=Ng*Aa*Pa,一般情况下以Fs为主;而面积Ad,An,As和Aa,在评估时要注意各类面积可能重叠,概率因子P的确定方法基本上来自于经验,其大小与设备自身性质和特定的保护措施有关。
由以上分析可以看出,这些常用雷电灾害风险评估标准中包含了三个评估评估重点,即确定雷击风险R,确定年平均雷击次数Nc以及确定雷电损害次数F,并且各标准所采用的公式及所需因子等也不尽相同,采用的方法也不相同,但各有其优缺点,应当根据评估对象的特点进行选取。
5 结语
通过对雷电灾害风险评估常用标准的分析,各标准都对雷击损害风险评估的方法、流程及各因子的选取等方面进行了详细的介绍,但是对大气雷电环境的评价都是简单介绍,而进行大气雷电环境评价的基础是拥有数量足够、信息可靠的闪电资料,对目标地点周边一定距离内雷电环境分析,区别于以往一贯的基于雷暴日进行大气雷电环境分析的粗略计算;即使是同一地区相距较近的两地,也有可能得到不同的雷电环境分析结论。
参考文献:
[1]QX3-2000气象信息系统雷击电磁脉冲防护规范.
[2]ITU-T K.39《通信局站雷电损坏危险的评估》.
[3]GB 50343―2004《建筑物电子信息体统防雷技术规范》.
[4]IEC6166《雷击损害风险评估》.
[5]IEC 62305《雷电防护》.
[6]QX/T85―2007《雷电灾害风险评估技术规范》.
[7]GB/T21714.2-2008《雷电防护 第2部分 风险管理》.
[8]钟万强,肖稳安.建筑物雷电灾害风险评估的标准、体系和方法,http://qxbzjk.cma,/servlet/News?Node=15611.
风险评价与风险评估的区别范文2
关键词:DEA;Nomal/Worst DEA;BCC模型;分层技术
中图分类号:F830.91 文献标识码:A文章编号:1005―0892(2006)ll一0053-06
一、引言
信用风险评估作为信用风险管理的中心内容,是指通过使用某种计量模型或者某种技术来测量投资者面临的信用风险的大小。Ⅲ我国金融市场尚处于转轨和新兴发展阶段,信用风险评估方法和手段较为落后,如对上市公司信用风险评估分析主要采用传统的静态比率分析等定性方法,缺乏系统科学的动态的信用风险定量分析,这远不能满足对上市公司信用风险进行准确识别和评估的要求。目前我国上市公司信用风险评估经常出现错判误判现象,特别是专门针对上市公司特点而进行信用风险评估的实用模型还不多见。
1978年,A.Charne等人提出了基于相对效率的多投人多产出分析法――数据包络分析法(Data EnvelopeAnalysis,DEA);Joseph.C.Paradi,Mette.Asmild以及Paul.C.Simak提出了基于DEA模型的Nomal/Worst DEA概念,并结合分层技术(Laying tech.),对加拿大企业进行了信用风险评估。此方法既区别于传统DEA模型在输入和输出指标上的选取,又克服了DMA类信用评估方法在选取样本公司和判别定点(cut-off piont)上的缺陷,为评估上市公司信用风险提出了一条新的思路。本文将拟用此方法对我国上市公司信用风险评估作进一步的实证研究。
二、上市公司财务状况与其信用风险的相关性
上市公司财务状况与其信用风险程度是密切相关的。财务实际上是企业生产经营活动的货币化,一方面,影响企业信用风险的因素可以在财务上表现出来;另一方面,上市公司投资失败、利润下降、融资渠道枯竭等信用事件,都能反映在企业的财务状况上;再有,上市公司的信用状况与其财务状况,实质上是一个相互影响、相互促进的关系。因此,财务状况能给我们提供一个量化其信用风险的手段;它可以帮助投资者全面分析企业的经营业绩,进而分析企业在信用交易中的履约能力,以便正确估计上市公司的信用风险。经验表明,许多投资机构都把上市公司的财务状况作为评估企业信用风险的重要依据。
三、DEA理论及其模型构建
数据包络分析(DEA)是一种线性规划技术,也是一种最常用的非参数前沿效率分析方法。该方法具有处理多个输入数据和多个输出数据的多目标决策问题的能力,在实际中得到了成功的运用,并不断地得到进一步完善和发展。DEA方法在事前并不需要知道各变量之间的相互重要性,以及无需知道输入与输出变量之间具体明确的函数形式前提下,通过同时处理多种输入和多种输出变量,将定性和定量信息纳入同一分析之中。DEA的原型来自Farrell(1958)提出的包络思想。因此,DEA有时也被称为Farrell型有效性分析法。
(一)DEA的基本思想与BCC模型
DEA方法的基本思路是把每一个被评价单位作为一个决策单元(DMU),再由众多DMU构成被评价群体,通过对投入和产出比率的综合分析,以DMU的各个投入和产出指标的权重为变量进行评价运算,确定有效生产前沿面;再根据各DMU与有效生产前沿面的距离状况,确定各DMU是否DEA有效。
高。在实际应用中,Normal DEA模型和Worst DEA模型中所选择的输入、输出变量却不一定非得完全相同。一些学者如Paradi和Chehade指出,虽然对简单地将输入和输出变量完全互换应用于相反的两个DEA模型并不加以严格限制,但事实上Paradi指出,选择应用Worst DEA模型,是为了发现在Normal DEA模型研究框架下所忽略的那些可能会影响DMU相对效率的因素。
(四)分层技术的应用
Divine和Thanassoulis建议将分层技术(Layeringtechnique)纳入到DEA分析当中,即在DEA模型计算一次后,将结果中的“有效单元”从样本中移除,然后再运算一次,从而使得另一组“有效单元”组成一个新的效率前沿面。这样,整个分析结果将得到一系列的“效率前沿面”。这一技术被运用到Worst DEA模型中时,一系列“无效”前沿面将会伴随着递减的风险率而被识别,以达到对DMU进行分类的目的。这一点还有别于DMA模型中设置一判别定点(0ut-offpiont)来划分信用质量好与坏的公司。
Joseph.C.Paradi指出,利用分层技术为DMU分类提供了一个非常有弹性的方法。它允许在分层层次上的选择,可能更多地受到监管者主观考虑、风险管理偏好以及风险判断等的影响。例如风险厌恶型的管理者将会选择较多的层数,以期提高分析的精度。但有一点是值得注意的,即分层层次越多,虽然会降低第一类错误的错判率,但这是以较高的第二类错误的错判率为代价的。
四、实证研究
本文实证分析是基于上市公司财务指标和其信用风险质量存在相关关系,以及ST/非sT公司财务指标存在差异两个假设之上。相对而言,sT公司比一般正常的上市公司具有较高的信用风险。为此,本文选取深沪两市1999年前上市交易的126家制造业A股上市公司作为实证样本,通过对上市公司是否被ST的预测来评估其信用风险。数据来源于深圳天软数据库,数据选取范围为2000年1月1日到2004年12月31日,共504个数据样本。研究目的是通过采用基于Normal/WorstDEA概念的DEA方法对上市公司信用风险进行评估,并确定符合我国上市公司实际的分析层次。
(一)样本与指标选取
本研究样本考虑到DEA分析的有效性,因此选择深、沪两交易所A股市场上制造业2004-2005年两年中所有被进行特别处理的ST公司63家,同时随机选取了63家非sT公司。126家公司被分成两组:第一组(建模样本)由60家公司组成,其中有30家是2004或2003年戴帽的ST公司(见表1),30家绩优公司;第二组(测试样本)由66家公司组成,其中有33家ST公司和随机选择的33家非sT公司。定义虚拟变量1为ST公司,0为非ST公司。
本文选取反映公司财务状况的24个财务指标作为信用风险评估的特征变量,如表2所示。财务指标的选取原则以能全面反映公司财务状况为基础,主要借鉴参考了国外这一领域的前期研究成果,如Joseph C.
Paradi运用DEA模型时采用的变量,tAltman(1968)模型采用的预测变量,标准普尔公司采用的评级财务指标等。在已选取的24个指标中,为了选取识别能力较高的指标且尽量避免指标之间信息的重叠,本文选取2004年sT与非sT公司各30家实际数据进行均值检验,结果如表3所示。
2.Worst/Normal DEA模型分析层次的确定
为使DEA模型对两类公司判别更为精确,本文区别于传统的判别定点方法,将分层技术分别应用于Worst DEA模型2和Normal DEA模型3,其分析结果如表6、表7。
由表6、表7可知,如果在Worst DEA模型分层分析和Normal DEA模型分层分析下,被评价单元的效率值为l时,该单元被判别为有效单元。那么在WorstDEA模型第一层分析中,有16.7%的sT类公司被识别,100%的非sT类公司被识别,即两类错误率分别为83.3%和0;在Normal DEA模型第一层分析中,有93.3%的sT类公司被识别,43.3%的非sT类公司被识别,即两类错误率分别为6.7%和66.7%。随后将每层分析中的有效单元移除,对剩余的单元再进行一次运算分析。在Worst DEA模型分析下,随着分析层次的增加,更多的sT类公司被识别,最后在第五层分析中,所有的sT类公司被识别,两类错误率分别为0%和54%。但是我们注意到,随着第一类错误率的下降,第二类错误率是随着分析层次的增多而增加的。相反,在Normal DEA模型分析中,随着分析层次的增加,非sT类公司被逐步识别,在第四层分析中,所有的非sT类公司被识别,两类错误率分别为73.3%和0%。由此可见,Normal DEA模型提高对非sT类公司的识别率,是以降低对sT类公司的识别率为代价的。
为了区别以上用传统的判别定点方法来判别信用风险存在差异的公司,我们在对Worst DEA模型2分析的基础上,结合Normal DEA模型3对两类公司进行判别,结果如表8。
由表8得知,选择在Worst DEA模型2分析基础上,结合Normal DEA模型3,分层层次分别定为5层和4层时,DEA模型对两类公司进行判别取得了较为理想的结果,第一类错误率为0,第二类错误率为3.3%。 3.测试样本Normal/Worst DEA模型实证分析 经过以上的分析,本研究将用Worst DEA模型2为基础,结合Normal DEA模型3来对测试样本2000-2003年的信用风险进行评估,分析层次分别定为5层和4层,结果如表9。
五、结论
由实证结果可以看出,Normal/Worst DEA方法对上市公司(检验样本)信用状况的预测,前四年的综合准确率为92.4%、87.8%、83.1%、69.4%。这说明该模型对上市公司信用风险前两年预测的精度较高。模型在输入和输出指标上的选取,既区别于一般的DEA模型,同时又克服了DMA类信用评估方法在选取判别定点上的缺陷;而分析层次的选择更能体现实际的特点,体现了较高的操作性。
风险评价与风险评估的区别范文3
[关键词]化工企业 安全风险管理?措施
中图分类号:TQ086 文献标识码:A 文章编号:1009-914X(2017)14-0088-01
引言
安全风险是指与安全有关的一切不确定因素,安全是相对的,风险是绝对的。安全风险管理与常规安全管理相比,不是“反应性”管理,而是“前瞻性”管理,区别在于是“事前”还是“事后”;安全风险管理,就是实施危险源辨识(隐患排查)、风险分析(是否纳入风险管理)、风险评估(风险分级)、风险控制(降低或消除风险的对策),逐步建立基于闭环、重视过程管理的安全风险管理体系。
所有的事故发生之前都有一系列的事故链条,而且事故链上有一个事件失去控制,就有可能引发事故。如果要阻止事故的发生,就必须要制止这一连串隐患和违章中的任意一个事件,截断“事故链”。化工企业工艺流程复杂,易燃、易爆因素多,事故链条更为复杂,只有变传统的单一事后事故管理为现代的事件分析与隐患管理、事后的事故管理相结合,把人、机因素进行过程风险综合分析与控制,才能推动企业安全生产、长治久安。
1 建立安全风险管控制度
立足企业安全生产管理实际,系统收集梳理企业安全风险评估管理经验教训,修订完善企业过程风险评估管理制度,推进生产安全评估工作常态化、规范化管理。管理生产安全风险评估制度的修订要注重和安全作业管理、关键装置和重点部位管理、重大危险源管理、隐患排查治理等安全管理制度有机结合,涵盖生产装置、设备、设施、贮存、运输的风险评价与控制,既包括作业现场、生产经营活动的正常和非正常情况,也包括新改扩建项目的规划、设计和建设、投产、运行、拆除各阶段的风险评价、风险控制、风险信息更新的管理,明确了全风险评估职责分工和实施步骤,要求全员参与安全风险评估和风险控制工作。对安全风险实施分级管理,从直接作业、岗位操作到关键装置与重点部位都要进行安全风险评估。同时根据生产安全评估的内容和结果,按危险级别和可能导致事故的严重程度、解决难易度进行等级划分,进入隐患治理程序,全过程跟踪监控,实现安全评估闭环管理。
2 建立安全风险管控体系
化工企业作业现场、生产经营活动的正常和非正常情况,包括新改扩建项目的规划、设计和建设、投产、运行、拆除各阶段都要进行安全风险评价、风险控制,对各环节可能存在或产生的危险、有害因素都要进行超前辨识、分析、评估和控制。化工企业依据自身企业实际合理划分企业安全管理过程的风险管控体系,明确职责、任务。公司层面要着重从建立风险评估管理机制、工作规划入手,提供组织、制度、文化和财、物保障,做好系统评价和管理评审。业务部门要根据安全生产职责和专业分工,组织策划各自专业范围内的危险因素辨识、评价和控制策划、监督检查、效果评价工作;组织编制专业范围内各类安全风险评估表样表,做好公司重大风险分析记录的审查与控制效果验收,及时做好协调、指导和检查督导工作。车间要组织制定各工序安全风险评估管理考核实施细则,对评估出的较高风险,及时按隐患排查程序上报业务主管部门,同时制订、落实好相关防范措施。班组岗位要严格执行各种规章制度、规程措施,组织好班组重点工序和岗位扎实开展“工前安全预知”活动,以交接班程序为抓手,从“人员、工具、环境、对象、票证”等方面积极推进安全风险辨识和评估工作。
3 安全风险管控实施
3.1 把生产安全风险评估工作引入日常安全生产管理。
结合《化学品生产单位安全作业规范》、安全确认制度,把安全评估工作可率先引入动火、高处、受限空间、盲板抽堵、吊装、检修、动土、断路等安全作业和工艺交接班等一些常规安全管理环节强化风险管控。可在安全作业中明确危险辨识、措施制订、安全确认和安全验收等几个环节,强化安全作业风险评估闭环管理。在工艺交接班中,可围绕“人员、工具、环境、对象”四要素,合理设定相关细节,实施百分制打分,通过定期检查和抽查进行打分考核。对于危险化学品重大危险源管理过程的安全风险管控,可结合工艺管理过程落实相关风险管控措施,指定专人负责重大危险源的登记建档及日常管理工作,可按月或是季度进行安全评估,促进生产安全风险管控到位。
3.2 把生产安全风险评估和隐患排查治理工作有机结合。
可以按照“岗位、班组、车间、部门、公司”五级隐患排查治理体系运行模式,采取专家诊断式、专业对标式、系统解剖式与职工自主查隐患相结合的方式,使用工作危害分析的方法实施生产安全风险评估,提前辨识安全风险、实施过程控制和闭环管理。对列入隐患的项目按照隐患治理程序实施定项目、定资金、定措施、定完成时限、定责任人等要求进行跟踪监控,直到隐患彻底消除为止。
3.3 对于国家重点监控的危险化品、危险工艺和重大危险源实施危险与可操作性分析
对于国家安监总局公布的重点监控的危险工艺、危险化学品以及辨识评估为危险化学品重大危险源的系统装置,可以引入中介机构进行hazop分析或是由专家团队带领企业人员系统推进危险与可操作性分析工作。
3.4 生产安全风险管控工作开展充分利用信息化手段
建立和完善安全生产预警系统,利用集中控制、视频监控、检测报警等一系列计算机技术、网络技术、信息化技术完成生产现场安全信息的收集、反馈、动态跟踪与闭环控制,实现安全生产工作动态管理,更好地服务和支持安全生产工作。各级管理人员根据管理权限可随时查阅现场安全生产运行状况,及时采取相关应对措施,使生产安全风险管控更加便捷。
4 安全风险管控实施过程中应注意的一些问题
(1)生产安全风险管控应注意划分清楚风险辨识、分析评估的范及各级管理组织的职责。
(2)制订明确的风险评估准则、时机和频次,根据风险分析、评价。
(3)风险评估应从影响人、财产和环境等三个方面的可能性和严重程度分析。
(4)选择风险控制措施时,应考虑控制措施的可行性、可靠性、先进性、安全性和经济合理性及企业的经营运行情况;可靠的技术保证和服务。控制措施应包括工程技术措施、管理措施、教育措施、人体防护措施等。
(5)安全评估查出的安全隐患,必须跟踪进行治理,直到治理完毕后组织验收。
(6)定期对从业人员进行风险培训,培训内容包括危险因素识别、风险评价方法、控制措施和应急预案等,增强从业人员的风险意识,使其认识到所在岗位的风险,并掌握控制风险。
风险评价与风险评估的区别范文4
【关键词】风险管理;内部控制;风险评价;公司治理
2008年5月,财政部等五部委联合了《企业内部控制基本规范》,2010年4月26日,财政部会同证监会、审计署、国资委、银监会、保监会等部门在北京召开联合会,隆重了《企业内部控制配套指引》,标志着我国企业内部控制规范体系基本形成,自2011年1月1日起首先在境内外同时上市的公司施行;2012年1月1日起扩大到上海证券交易所、深圳证券交易所主板上市的公司施行;在此基础上,择机在中小板和创业板上市公司施行;同时,鼓励非上市大中型企业提前执行。这是全面提升上市公司和非上市大中型企业经营管理水平的重要举措,以期促进企业提升管理水平和防范风险能力。
1.风险管理的现实要求
1.1 风险防范控制是一种重要的企业内部控制方法
内部控制结构或内部控制成分只是框架性的,只有在内部控制结构或内部控制成分的基础上,以内部控制的方法推行内部控制可能效果更好,而风险防范控制就是一种很好的企业内部控制方法。
企业在市场经济环境中,不可避免会遇到各种风险,因此为防范规避风险,企业应建立风险评估机制。常有的风险评估内容有:筹资风险评估;投资风险评估;信用风险评估。这里所说的信用风险,仅指企业应收账款回收过程中遭受坏账损失的可能性。风险防范控制是企业一项基础性和经常性的工作,企业必要时可设置风险评估部门或岗位,专门负责有关风险的认别、规避和控制。
1.2 风险控制是内部控制的发展特征和趋势之一
提高内部会计控制规范的应用效果,主要是要使内部会计控制充分发挥其防范和化解风险的功能。内部控制的发展特征和趋势之一就是风险控制导向,我国也要整合内部控制与风险管理的关系,提升基于企业风险的内部控制理论体系。
我国《企业内部控制基本规范》指出,企业建立于实施有效的内部控制,应当包括五个要素:内部环境、风险评估、控制活动、信息与沟通、内部监督。其中风险评估,是企业及时识别、系统分析经营活动中与实现内部控制目标相关的内部风险和外部风险,合理确定风险应对策略。《企业内部控制应用指引》共18项指引,可以划分为三类,即内部环境类指引、控制活动类指引、控制手段类指引,基本涵盖了企业资金流、实物流、人力流和信息流等各项业务和事项。对每一项指引的具体描述可以分为三部分:涵义、重要风险及如何应对风险。可见,在整个内部控制中,对风险控制的重视程度。
1.3 经营环境要求企业进行风险管理
风险影响着每个企业生存和发展的能力,也影响其在产业中的竞争力及在市场上的声誉和形象。所有的企业,不论其规模、结构、性质或产业是什么,其组织的不同层级都会遇到因为内部因素和外部因素造成的风险,管理阶层须密切注意各部门、各业务的风险,并采取必要的管理措施。
在经营管理活动中建立和实施的风险自我管理系统,是企业有效规避风险、规范管理行为的重要手段,是完善法人治理结构、建立现代企业制度的重要内容,也是衡量企业现代化管理的重要标志。
随着社会经济与技术的不断发展,企业经营环境的变化,利用与经营风险相关的不确定性与复杂性作掩护的欺诈与舞弊已成为必须面对和急需解决的一个重要问题,对其的防范应通过合理地设定企业的战略目标、严格地控制战略目标实施过程中的修正程序、提高识别风险因素的能力,建立良好的企业文化来实现。
2.风险管理与内部控制
2.1 内部控制与企业风险管理的区别与联系
内部控制与企业风险管理的主要区别体现在两个方面:(1)内部控制是基于既定的企业目标以及固化的业务模式,不涉及之前的企业治理和目标确定,以及业务模式的选择;而企业风险管理则涵盖了对企业治理风险、战略目标确立风险、业务模式选择风险以及固化风险进行管理的整个过程。(2)企业治理结构和战略目标的确定都要落脚到企业本身的限制,是一个由外而内的定位过程,因此,风险管理中所考虑的环境,主要聚焦在包括可得资源、决策者风险偏好及企业风险承受能力在内的企业内部环境。
内部控制目标的实现,是旨在将影响企业既定战略目标实现的风险控制到可接受的水平。内部控制是为风险管理而控制,是风险管理的重要手段;风险管理是为企业目标而管理,是目标实现的重要保证。内部控制与风险管理两者相互依存、相互制约,形成一个有机整体,共同来实现企业的战略目标。
2.2 内部控制、企业管理及企业全面风险管理的关系
在企业设立阶段和运营阶段的风险中,可以将与企业战略设立、调整相关的企业治理结构风险、战略目标确立风险和业务模式选择风险统称为活化风险,将业务模式既定状态下的合规风险、运营风险和财务风险称为固化风险,将固化风险与活化风险合称作动态风险。而企业风险管理就是对企业动态风险的管理,而内部控制则是对固化风险的控制。
企业管理是对机会的管理,是设立目标并达成目标的过程,包括计划、组织、领导、控制等职能;而企业全面风险管理是对目标设定和执行中的动态风险进行管理的过程,包括活化风险管理和固化风险管理(即内部控制),两者并行不悖,可以说,企业管理是确保企业成功的充分条件,企业风险管理是确保企业成功的必要条件。
2.3 内部控制、公司治理、风险管理三者关系
尽管内部控制、公司治理、风险管理在文字表述上存在差异,但就其实质而言是相同的,都是基于企业存在风险而产生的,都是为了进行风险控制,可以统一于一套企业管理制度之中。
必须注意的是风险管理并不是一种脱离于企业经营管理活动之外的管理形式,它内含于整个企业的经营管理活动过程之中;风险管理是针对企业的各责任主体而言的,离开了这些责任主体风险管理既失去了风险控制的主体,也失去了风险发生的主体;为了进行风险管理,必须要有一整套风险识别、风险控制的程序和方法;风险控制的目的是确保财物的安全和信息的真实,而后进一步拓展为提高经营效率以及各项法律法规的执行。
3.风险管理实施应用
3.1 风险评价方法
目前,国内外关于风险评价的方法主要可以分为定性分析评价、定量分析评价和定性与定量相结合的评价方法三种。
3.1.1 定性分析评价方法
定性方法主要有德尔菲法、情景分析法与压力测试法、SWOT法、对比法等。
德尔菲法:又称专家调查法,由O·赫尔姆和N·达尔克在20世纪40年代首创,是最常用的定性分析方法之一。企业针对某个风险同时咨询多个专家,专家们根据自己的经验做出各自的评估;再综合这些评估得出一个折中结果,把该结果送交给专家们,专家们据此对自己的评估进行修改,直至达到一致。
情景分析法与压力测试法:情景分析法通过一些数字、图表和曲线,对未来某个状态或某种情况进行详尽的描绘和分析,识别引起风险的关键因素及其影响程度,是一种前推法,对未来的预测。压力测试法则对经验过程中面临的困难做最坏的打算,重现历史灾难下企业所承担的风险,是对过去的追溯。美国大通曼哈顿银行成功地使用该方法对企业中的风险进行了分析。
战略管理中常用“SWOT”(strength,weakness,opportunities and threats)分析法,也是风险分析的一种,企业对内分析自身的优势与劣势,长处与短处,对外分析外界的机会和威胁,明确企业在市场中所处的地位,考虑自己的生存机遇。
3.1.2 定量分析评价方法
定量方法主要包括风险价值法、敏感性分析、决策树分析法、主成分分析法、蒙特卡洛模拟法等。
风险价值法(VaR):VaR定义为在一定时期内,一定的置信水平上可能的最大损失。它可将企业的风险大小以一定的货币量表示出来,实现不同风险的相互比较。目前求解VaR主要有两种方法:参数方法和模拟仿真法。
3.1.3 定量分析和定性分析相结合的评价方法
常见的定性与定量相结合的方法,如层次分析法(AHP),是由著名的运筹学家在20世纪70年代初期提出的一种多目标决策方法。利用AHP的递阶层次结构模型,企业将风险评价总目标进行逐层分解,得到从不同方面衡量风险的多变量准则层,每个待评估的方案按不同准则相互比较,构建判断矩阵,求出矩阵最大特征值对应的特征向量,便可得到项目风险大小关系。该法可很好地处理定性和定量相结合的问题,将决策者的主观判断与政策经验导入模型,并加以量化处理。
之所以最常使用定性与定量相结合的方法,这是因为风险评价是一个复杂的系统工程,某些属性或评价因素不易量化,甚至评价因素本身就不易确定,要想取得理想的评价效果很难。这时可以请多名对评价对象有专门知识或经验的人员来对其进行定性、定量或两者结合的评价。而且,随着计算机技术的发展,评价方法越来越丰富,也常常采用定性与定量两者相结合的组合风险评价方法进行系统评价。
3.2 风险管理的实施应用
COSO委员会研究并了基于风险导向的内部控制监督模型,它是一项嵌入风险信息与信息技术的系统化监督流程工具,以推动企业将监督有效地植入公司的持续控制过程,它首次在实质上推动了内部控制监督要素的应用性发展。
风险管理是一个包括风险规划、风险识别、风险评价、风险处理与风险监控的全过程管理,是一个系统的动态的循环的风险管理过程。其中,风险识别、风险评价以及风险处理都有多种常用方法,正确合理地选择方法是风险管理顺利实现的重要前提。在具体运用中,具体选择哪种方法需要根据工程实际情况才能做出合理判断。随着风险管理在企业管理中越来越重要,应针对本企业具体情况进行风险辨识、分析和评估、应对以及风险防范措施等,以预防和减轻风险,达到降低风险等级的目的。
另外,在实际操作中,由于我国引进风险管理理念时间较短,它又与我国传统的理念存在很多差异,管理人员没有经验,在把这些概念和框架融入到日常的管理活动之中时,遇到许多困难,要不断摸索着前进。因此,我们要清楚地认识到内部控制和风险管理不仅仅是一种规章制度,更不是静态的,一成不变的,而是一种管理过程,是一个持续的、不断修正的过程。
参考文献
[1]白华.内部控制、公司治理与风险管理——一个职能论的视角[J].经济学家,2012(3).
[2]孙志梅,李秀莲,王昕.国有企业内部控制与风险管理研究综述[J].经济研究导刊,2011(12).
[3]邓扬建.风险管理导向的企业内部控制思考[J].财务与金融,2011(8).
[4]刘玉廷.全面提升企业经营管理水平的重要举措——《企业内部控制配套指引》解读[J].会计研究,2010(5).
[5]张蕊.高风险形式下企业欺诈与舞弊的防范[J].会计研究,2010(7).
[6]刘霄仑.风险控制理论的再思考:基于对COSO内部控制理念的分析[J].会计研究,2010(10).
[7]Samuel Bassetto,Ali Siadat b and Michel Tollenaere.The management of process control deployment using interactions in risks analyses [J].Journal of Loss Prevention in the Process Industries.2011,24.
风险评价与风险评估的区别范文5
【关键词】 企业风险管理; 三维框架; 财务报表重大错报风险评估
引言
现代风险导向审计明确了审计工作应以了解被审计单位环境,评估财务报表重大错报风险作为新的正确起点和导向,要求注册会计师全程关注财务报表的重大错报风险,并将风险评估作为整个审计工作的先导、前提和基础。但如何才能全面的了解企业所面临的风险,并评估其对财务报表重大错报的影响呢?本文拟建立一个基于企业风险管理框架理论的三维框架体系解决这一问题。
一、现代风险导向审计评述
随着现代企业规模的日益扩大,企业的经济活动和交易事项内容不断丰富复杂,审计工作的工作量和复杂度迅速增大。为了适应审计环境的变化和审计工作的需求,审计职业界逐渐改变了详细审计,代之以抽样审计,审计方法也从账项基础审计、制度基础审计发展到风险导向审计。根据对审计风险的理解和认识的不同,风险导向审计被划分为传统风险导向审计和现代风险导向审计两个阶段。
传统的风险导向审计运用审计风险模型“审计风险=固有风险×控制风险×检查风险”,将审计的视角确定于企业的管理制度,特别是会计信息赖以生成的内部控制制度。注册会计师通过了解企业及其环境、评价内部控制,对固有风险和控制风险做出评估,在此基础上确定检查风险,再设计和实施实质性程序,以将审计风险控制在会计师事务所确定的水平。由于固有风险的单独评估具有显知的难度,注册会计师往往不注重从宏观层面上了解企业及其环境,而将审计的起点定为企业的内部控制测试,只依赖对内部控制风险所作的粗放型评估来直接、大致确定检查风险水平,再据此规划实质性程序的性质、时间和范围。但是由于企业存在于整个社会经济生活网络中,所处的经济环境、行业状况、经营目标、战略和风险都将最终对会计报表产生重大影响,同时,当企业管理层通同舞弊,故意通过重大误导性的财务报表来伤害公司利益相关者时,企业的内部控制会失去效果。如果注册会计师不把审计视角扩展到内部控制以外,就很容易受到蒙蔽和欺骗,难于发现会计报表存在的重大错报和舞弊行为。
2003年10月,国际审计与鉴证准则理事会(IAASB)紧紧围绕如何提高审计人员评估风险、发现舞弊的能力,了4个修订和新起草的准则,其核心思想是合并原固有风险和控制风险,将审计风险模型修改为“审计风险=重大错报风险×检查风险”,同时修改审计业务流程,强调从宏观上了解被审计单位及其环境,以充分识别和评估会计报表重大错报的风险(风险评估程序),再针对评估的重大错报风险设计和实施控制测试和实质性程序(进一步审计程序)。
我国财政部也了《中国注册会计师审计准则第1211号――了解被审计单位及其环境并评估重大错报风险》,并要求自2007年1月1日执行。该准则也明确了“了解被审计单位及其环境是必要程序”,要求“注册会计师应当了解被审计单位及其环境,以足够识别和评估财务报表重大错报风险,设计和实施进一步审计程序。”
二、构建财务报表重大错报风险评估的三维框架(图1)
经营风险与财务报表重大错报风险是相互联系又有区别的两个范畴。多数经营风险最终都会产生财务后果,从而影响财务报表,但并非所有经营风险都会导致重大错报风险。注册会计师需要通过一定的方法全面了解企业的经营风险并从中考虑经营风险是否可能导致财务报表的重大错报风险。
2004年9月,COSO的《企业风险管理――整合框架》,为人们提供了全面的企业风险管理框架。本文试图以此框架为基础,建立一个以风险管理目标为起点、审计业务循环为主线、风险管理构成要素为步骤的三维重大错报风险评估框架,以便从上向下的全面评估企业所面临的风险及其风险应对的有效性,同时以审计业务循环为主线,识别评估财务报表的重大错报风险。
(一)风险管理目标维度――起点
企业风险管理的目标是指主体力图实现什么。《企业风险管理――整合框架》将之划分为战略、经营、报告、合规四种类型的目标,认为主体应首先设定战略目标,并将战略目标分解成主体及其各单元努力实现的经营、报告、合规目标。
“注册会计师应当了解被审计单位的目标和战略,以及可能导致财务报表重大错报的相关经营风险”。注册会计师应了解:1.战略目标,包括被审计单位的行业状况及影响其经营的其他外部因素,与之相应的被审计单位的目标和战略;2.经营目标,包括企业为实现其战略目标所制定的次级经营目标,如市场占有目标、销售目标、采购目标、生产目标、投资目标、筹资目标等;3.报告目标,了解由企业编制的、向内部和外部散发的各种财务和非财务报告的内容及报告方式,特别是对财务报表报告有重大影响的企业的所有权结构、治理结构、组织结构,财务业绩的衡量和评价方式等;4.合规目标,了解被审计单位所处的法律环境及监管环境,包括适用的会计准则制度,影响经营活动的法律法规、政府政策、监管活动和环保要求等。
(二)审计业务循环维度――主线
业务循环是企业处理某一类经济业务的工作程序和先后顺序,一般可划分为采购与付款循环、销售与收款循环、存货与仓储循环、筹资与投资循环等。企业的经营业务流程与内部控制有着直接的联系,同时,循环审计也有利于审计分工,提高审计效率,因此业务循环审计被广泛应用于传统的内控导向审计中。
本文建立的三维模型,强调以业务循环为线,分循环了解企业风险管理目标和构成要素,以便于界定财务报表容易发生错报的领域及其错报的方式,主要原因如下:1.通过业务循环的划分,企业的所有交易和账户余额被分属于不同的循环,按照业务循环来解析企业风险,能够将风险评估的结果最终具体落实到账户的认定层次。2.“了解被审计单位及其环境是一个连续和动态的收集、更新与分析的过程,贯穿于整个审计过程的始终。”按业务循环来了解企业环境,评估财务报表重大风险,是与进一步审计程序中分业务循环设计和实施控制测试和实质性程序相一致的。
(三)风险管理构成要素维度――步骤
企业风险管理的构成要素是管理层经营一个企业所做的事情,是指主体应以什么样的方式来实现其目标。《企业风险管理――整合框架》将之划分为八个构成要素。注册会计师依照这八个构成要素可以全面了解企业面临的风险、采取的风险应对措施及其有效性,从而全面评估与经营风险相关联的企业财务报表的重大错报风险。
1.内部环境。内部环境是指管理当局确立的关于风险的理念,是企业组织的基调,影响企业组织中人员的风险意识。注册会计师应了解企业管理层的风险管理理念,风险容量,董事会的监督机制,企业中人员的诚信、道德价值观和胜任能力,以对企业的风险管理方式作总体的了解。例如,有效而独立的董事会运作机制能够有效的控制企业的经营风险,也将有效的降低财务报表错报的风险。
2.目标设定。目标设定是指企业管理当局在既定的任务和背景下,采取恰当的程序制定战略目标、选择战略,并制定相关经营目标,将其细分至企业的方方面面,从而确保所设定的目标支持切合企业的使命并与风险容量一致。注册会计师应以审计业务循环为线,了解企业的关键业绩指标、业绩趋势、预测预算、企业各部门单位的业绩目标等,从而推测相关人员的行为导向及可能导致的重大错报风险。例如,过高的销售目标易导致产生压货等各种形式的虚假销售,或使得企业对客户信用评估不重视,为了占领市场盲目扩大客户源,盲目赊销,最终导致销售收款循环的重大错报风险;本期及未来的融资计划,是企业为满足融资条件修改财务报表、管理关键财务指标的重要动机。
3.事项识别。事项识别是指企业管理当局必须能够识别可能对企业产生影响的潜在事项。注册会计师应询问管理层识别出的经营风险或与管理层讨论如何识别经营风险。例如企业各级部门是否实时关注与之相关的政策法规,企业是否具有常规的市场调研机制,是否聘请了法律顾问以规避法律风险,是否具备有效的内部审计机制,财务主管是否了解融资市场的利率及资金供应状况等等。
4.风险评估。风险评估是指企业应该考虑潜在事项如何影响目标的实现。注册会计师应与企业的管理层及各部门负责人讨论,以明确企业是否能够评估各领域的风险程度。例如,销售部门是否能够识别关键客户,采购部门是否有一定方法区分重要供应商,生产部门是否能够明确行业产品的发展方向并有与之相应的研究和开发活动等。
5.风险应对。风险应对是指管理者如何应对风险。注册会计师应了解企业的风险应对措施并评估其有效性。注册会计师应特别关注当被审计单位内部或外部对财务业绩的衡量和评价可能对管理层产生压力时,企业是否存在通过关联方交易、合并报表、会计政策选择等财务手段直接管理财务指标应对业绩评价风险的情况。
6.控制活动。控制活动是帮助管理当局实施风险应对方案的政策和程序。注册会计师可以以审计循环为主线,更多的关注企业为实现财务报告可靠性目标设计和实施的与审计相关的内部控制。
7.信息与沟通。管理者应当建立一套信息系统来处理和提炼大量的数据以形成可参考的信息,并在企业内部和外部恰当、及时、准确的传递。注册会计师应更多的关注“与财务报告相关的信息系统”。
8.监控―管理当局需要依赖监控确定企业风险管理的运行是否持续有效。“注册会计师应当了解被审计单位对与财务报告相关的内部控制的监督活动,并了解如何采取措施”。
【参考文献】
[1] 中国财政部.中国注册会计师审计准则第1211号――了解被审计单位及其环境并评估重大错报风险[EB/OL].http://mof.省略,2006-2-15.
[2] [美]COSO.企业风险管理――整合框架[M].方红星,王宏,译.大连:东北财经大学出版社,2005.
[3] 陈毓圭.对风险导向审计方法的由来及其发展的认识[J].会计研究,2004(2):58-63.
[4] 谢荣,吴建友.现代风险导向审计理论研究与实务发展[J].会计研究,2004(4):47-51.
风险评价与风险评估的区别范文6
关键词:内部控制审计 财务报表审计 整合
008年7月,财政部等五部委联合的《企业内部控制基本规范》规定,执行本规范的上市公司,应当对本公司内部控制的有效性进行自我评价,披露年度自我评价报告,并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。2010年4月,财政部等五部委再次联合的《企业内部控制审计指引》总则第五条规定,注册会计师可以单独进行内部控制审计,也可将内部控制审计与财务报表审计整合进行。这为内部控制审计和财务报表审计整合进行提供了依据。
一、内部控制审计与财务报表审计整合的可行性
整合审计是指注册会计师应计划和实施控制设计及运行有效性的测试,以获得充分、适当的证据支持其对财务报告内部控制是否有效发表意见,为财务报表审计做出控制风险评估。内部控制审计与财务报表审计之间的各种联系使二者整合具有可行性。
第一,两种审计工作存在重合。内部控制审计是指注册会计师对内部控制设计和运行的有效性进行审计并发表审计意见,注册会计师要了解和测试内部控制、获得内部控制在足够长的期间内运行有效的证据。注册会计师在财务报表审计中也需要深入了解内部控制的有效性,在评估认定层次重大错报风险时预期控制的运行是有效的,并在仅实施实质性测试程序不足以提供认定层次充分、适当的审计证据时实施控制测试。对于拟信赖的内部控制,注册会计师要测试其在整个审计期间内的有效性。因此,单独进行两种审计必然会造成审计工作的重复和浪费,若将两种审计整合在一起,相互利用,可以减少审计工作量并提高审计效率。
第二,内部控制审计与报表审计的结果相互补充与配合。一方面,注册会计师在内控审计时对内部控制有效性的审计形成相应结论时,应结合财务报表审计中控制测试的结果进行综合判断,若财务报表审计的结果表明相关认定中存在重大错报,而现有的内部控制不能防止或发现并纠正重大错报,则通常表明内部控制存在重大缺陷。另一方面,在财务报表审计中,也要利用内部控制审计中控制测试的结果。内部控制审计中发现的缺陷会影响注册会计师做出的控制风险评估结论,进而影响实质性测试的性质、时间和范围。
二、风险评估程序:财务报表审计以内部控制审计为依据
(一)财务报表审计风险评估程序
风险评估程序是内部控制审计和财务报表审计的第一个共同程序。财务报表审计中的风险评估程序,注册会计师需要了解和评价的被审计单位内部控制的范围是与财务报表相关的方面;了解和评价的广度应以是否足以识别和评估财务报表的重大错报风险为衡量标准,如果达到了这一标准,注册会计师即可开始设计和实施下一步的审计程序;了解和评价的深度也基本限于内部控制的设计是否健全及其是否得到有效执行,但其中不包括对内部控制是否得到一贯执行的确定;了解和评价的目的是判断是否可以相应减少实质性测试程序的工作量,以及用来支持财务报告的审计意见类型。
(二)内部控制审计风险评估程序
内部控制审计中的风险评估程序,注册会计师的目的是为了对内部控制本身的有效性发表审计意见,其范围涉及到企业整体的内部控制,内容包括内部环境、风险评估、控制活动、信息与沟通、内部监督五个方面,并且还需确定内部控制是否得到一贯执行。
(三)两种审计在风险评估程序的整合要点
内部控制审计的风险评估程序了解和评价被审计单位内部控制的广度和深度均超过了财务报表审计,在审计实务中,可以将两者在此程序需要完成的工作整合进行,即风险评估程序中财务报表审计应充分利用内部控制审计所获得的更为广泛的信息,并从中取得进行下一步审计程序的充分依据,这样可以大大降低工作量,避免重复劳动,进而提高审计效率,降低审计成本。
三、控制测试程序:内部控制审计为财务报表审计提供结论
(一)控制测试程序并非财务报表审计的必需程序
财务报表审计中,注册会计师通过对被审计单位内部控制的了解和评价来决定是否对内部控制的有效性进行测试。如果被审计单位设计的内部控制本身是无效的,或者设计是合理的、但没有得到执行,注册会计师则不必实施控制测试,而是直接实施实质性测试;如果被审计单位所设计的内部控制能够防止或发现并纠正重大错报,即认为内部控制是有效的,注册会计师应当实施控制测试。这样,就进入了两种审计的第二个共同程序,即控制测试程序。
(二)两种审计控制测试程序的区别
在控制测试程序中,内部控制审计与财务报表审计有三点区别:第一,内部控制审计要对被审计单位内部控制的有效性发表审计意见,而财务报表审计仅仅对与财务报表相关的内部控制进行测试。与风险评估程序相同,内部控制审计进行控制测试的广度和深度仍大于财务报表审计所进行的内部控制测试。第二,在内部控制审计中,注册会计师需要获取能够证明内部控制有效的高度相关的证据,对控制测试可靠性的要求较高,样本量较大且选择弹性较小;财务报表审计对控制测试可靠性的要求相对较低,测试的样本量相对较小且存在一定弹性。第三,两者对内部控制缺陷的评价要求也不同。财务报表审计中,注册会计师仅需将内部控制测试识别出的缺陷区分为值得关注的内部控制缺陷和一般内部控制缺陷;而在内部控制审计中,注册会计师需要对识别出的内部控制缺陷进行严格评定,将值得关注的内部控制缺陷进一步区分为重大缺陷和重要缺陷,重大缺陷会影响到审计意见类型。
(三)两种审计在控制测试程序的整合要点
注册会计师为了对内部控制有效性发表恰当的审计意见,需要获取比财务报表审计更多、更广泛、可靠性也更高的审计证据。因此,内部控制审计的控制测试可以直接为财务报表审计提供审计证据甚至提供结论,财务报表审计对内部控制审计在控制测试环节所取得的审计证据及得出的审计结论的充分利用,将使审计效率得到进一步提高。
四、财务报表审计实质性测试与内部控制审计控制测试:相互利用、相互支持
(一)财务报表审计
实质性测试程序对内部控制审计控制测试程序的影响经过控制测试,财务报表审计进入实质性测试程序。在这一程序中,注册会计师可能会发现被审计单位的财务报表存在错报甚至重大错报,这将会影响内部控制审计中控制测试的时间、性质和范围。这是因为如果现有的内部控制不能防止或发现并纠正这些错报甚至重大错报,就意味着在错报相应的控制点上可能存在内部控制缺陷,这将为注册会计师进一步审查内部控制缺陷提供重要线索。
(二)内部控制审计
控制测试程序对财务报表审计实质性测试程序的影响在内部控制审计的控制测试程序中发现的内部控制缺陷能为注册会计师在财务报表审计中对哪些交易和认定重点实施审计指明方向,因为如果发现内部控制存在某项重大缺陷,则财务报表在相应的账户就可能存在重大错报,就会影响财务报表审计中实质性测试的时间、性质和范围,审计人员应当根据实际发现的内部控制缺陷对实质性测试的审计程序进行调整。
可见,财务报表审计的实质性测试与内部控制审计的控制测试是相互支持的,两种审计所取得的审计证据及得出的审计结论相互利用,能提高审计效率,降低审计风险,最大限度地保证审计质量。
五、审计计划的综合制定
内部控制审计和财务报表审计整合进行的审计计划制定是以对审计程序的整合要点分析为基础的,因此在分析了两种审计的审计程序整合要点之后,具体阐述如何根据整合要点综合制定审计计划。
(一)两种审计方式审计计划制定的重点
为达到充分整合内部控制审计和财务报表审计的目的,内部控制审计和财务报表审计应尽量由同一组审计人员实施,两种审计的审计计划也应共同制定。结合以上对审计程序的分析,对被审计单位的风险评估程序和控制测试程序主要由内部控制审计完成,在内部控制审计计划中应详细制定这两项审计程序的计划,在财务报表审计计划中可以对这两项审计程序的计划简化表述,但应重点对实质性测试程序的计划详细编制。
(二)审计计划的持续修订是审计质量的重要保证
随着审计工作的推进,注册会计师要根据审计发现的新情况、新问题,适时对总体和具体的审计计划做出调整和修正。具体来讲,如果审计人员在内部控制审计计划实施过程中发现内部控制存在重要缺陷,审计人员应及时修正财务报表审计的实质性测试计划。同样,如果在财务报表实质性测试中发现财务报表存在重大错报,也应该考虑该重大错报对内部控制审计计划的影响,考虑是否增加内部控制审计的具体程序,扩大审计范围,以保证审计发现内部控制设计及运行中的重大缺陷。需要特别指出的是,对审计计划的调整和修正应贯穿于整个审计业务的始终,以保证审计计划能够对两种审计的整合进行起到重要的规划和指导作用,有效地提高审计质量,最大限度地降低审计风险。
参考文献:
1.谢晓燕,张龙平,李晓红.我国上市公司整合审计研究[J].会计研究,2009,(09).
