风险和审计的关系范文1
一、审计风险的基本涵义
关于审计风险的涵义,目前国内外审计职业界还没有形成一个完全一致的定义。国际审计准则第25号《重要性和审计风险》将审计风险定义为:“审计风险是指审计人员对实质上误报的财务资料可能提供不适当意见的风险。”《美国审计准则说明》第47号认为:“审计风险是审计人员无意地对含有重要错报的财务报表没有适当修正审计意见的风险。”我国《独立审计具体准则第9号———内部控制与审计风险》则将审计风险定义为:“审计风险,是指会计报表存在重大错报或漏报,而注册会计师审计后发表不恰当审计意见的可能性。”以上三个定义,虽然对误报的界定范围有所不同,如国际审计准则界定为“实质上”,我国独立审计准则界定为“重大”,而美国审计准则界定为“无意”行为,而非有意为之;但是对审计风险基本涵义的表述是一致的,即审计风险是指审计人员对存有重大错报和漏报的财务报表,审计后却认为该重大错报和漏报并不存在从而发表与事实不符的审计意见的风险。因此,我们可以认为,审计风险由两方面风险构成:一方面是财务报表本身存在重大错报和漏报的风险,另一方面是审计人员审计后表示该报表并不存在重大错报和漏报的风险。也就是说,审计风险是客观的存在和主观的努力的结合:客观存在可以通过主观努力去调节,但主观努力又受成本效益原则的约束,因而审计风险具有下面三种具体表现形式。
二、审计风险的三种形式
1.评估审计风险。评估审计风险是指审计人员接受某审计项目后,在初步了解被审计单位基本情况的基础上,采用一定的审计手段,所评估的该项目可能存在的审计风险。评估审计风险主要与被审计单位本身的各方面情况有关。被审计单位的规模越大、经营性质越复杂、内部控制越弱、管理当局的可信赖程度越低,则评估审计风险也就越高。评估审计风险是导致财务报表产生重大错报和漏报的可能性,是客观的存在,它不受审计人员的影响和控制。
2.可接受审计风险。可接受审计风险是指审计项目完成后,审计人员或会计师事务所准备承担或可以接受的审计风险。可接受审计风险主要受以下三个因素控制:①会计师事务所的风险承受能力:会计师事务所的风险承受能力越强,可接受审计风险也就可以越高。会计师事务所的风险承受能力则主要取决于事务所的规模、经济实力以及法律责任的承担能力等。②财务报表和审计报告使用者的情况:财务报表和审计报告的使用者素质越高、范围越广,对财务报表和审计报告的利用程度越高,可接受审计风险就越低。③行业之间的竞争情况:会计师事务所之间的竞争越激烈,可接受审计风险也就越低。可接受审计风险是审计人员或会计师事务所主观确定的,其与评估审计风险的差异,即为需要主观努力的程度,是决定审计项目取舍的重要衡量标准之一。
3.终极审计风险。终极审计风险是指审计项目完成后所实际形成或审计人员实际承担的审计风险。终极审计风险主要与审计程序的设计和执行情况有关。审计程序设计和执行得越好,终极审计风险就越低。终极审计风险在数量关系上、理论上应与可接受审计风险一致,但实际上,它既可能大于也可能小于可接受审计风险,因为审计程序的设计和执行受审计人员的业务素质和某些主、客观因素的影响。因而审计人员在执行审计过程中,应尽量按计划规范操作,以使终极审计风险控制在可接受审计风险范围内。
简而言之,评估审计风险是客观存在的,可接受审计风险是主观确定的,而终极审计风险是客观存在和主观努力的结果。因此,审计人员在决定是否承接某一审计项目时,可以将评估审计风险与可接受审计风险进行比较,然后根据成本效益原则决定取舍。如果接受该项目,在审计过程中应尽量严格执行所设计的审计程序,使终极审计风险等于或小于预先设定的可接受审计风险。虽然终极审计风险取决于可接受审计风险,但并不完全等同于后者,它是固有风险、控制风险和检查风险共同作用的结果。
三、审计风险与审计重要性和审计证据的关系
1.审计风险与审计重要性的关系。《我国独立审计具体准则第10号———审计重要性》第二条指出:“审计重要性是指被审计单位会计报表中错报或漏报的严重程度,这一程度在特定环境下可能影响会计报表使用者的判断或决策。”简单地说,审计重要性就是错报的可容忍程度,其量化标准即重要性水平。也就是说,在重要性水平之内的错报,是可以容忍,可以接受的。因此,审计风险与审计重要性之间有着密切的关系。
评估审计风险与审计重要性之间是反向关系,即评估审计风险越高,所确定的重要性水平就越低,这样才能保证终极审计风险在一定水平内。反之,评估审计风险越低,重要性水平越高,这样可以节约审计成本。《我国独立审计具体准则第10号———审计重要性》第八条指出:“注册会计师应当考虑重要性与审计风险之间存在的反向关系。重要性水平越高,审计风险越低;重要性水平越低,审计风险越高。”这里的审计风险指的就是评估审计风险。这一反向关系也可从另一个角度来理解,即计划确定的重要性水平越高,对审计工作质和量的要求就越低,在此条件下作出正确审计结论的可能性就越大,审计风险因而也就越低。
可接受审计风险与审计重要性之间是正向关系,即可接受审计风险越高,所确定的重要性水平越高,这样可以保证审计成本的节约。反之可接受审计风险越低,所确定的重要性水平也应越低,这样才能保证审计质量的控制。因为可接受审计风险越低,说明审计人员要求的财务报表错报的可容忍程度越低,则其重要性水平也应越低,才能满足较低的审计风险的要求。“”版权所有
终极审计风险与审计重要性之间也是正向关系。因为终极审计风险基本上取决于可接受审计风险。
风险和审计的关系范文2
【关键词】 现代审计学;风险导向审计;风险概念体系
在现代审计学中,存在众多的风险概念。学术界对有关风险概念进行了有益的探讨,但未能将其作为一个有机整体,以系统的观点来理解相关风险概念,因而导致有关风险概念内涵不明及风险概念之间的关系不清。针对现有研究的不足,笔者试图以系统的观点研究现代审计学的诸多风险概念。笔者认为,现代审计学中所涉及的众多风险概念是一个有机整体,它们共同构成了现代审计学的风险概念体系。该风险概念体系具有整体性、目的性、层次性和与审计过程及审计程序的密切相关性等特征。构建现代审计学的风险概念体系对完善审计理论和指导审计实务均具有重要意义。
一、引言
现代审计学是以现代风险导向审计模式为核心的审计理论。风险、证据与重要性是现代审计学中三个核心概念(W .R.Knechel,2001),将“风险”引入审计理论与实务是审计发展史上的里程碑(Larry F. Konrath,1993),它使得注册会计师由被动接受风险转为主动控制风险。尽管学术界对现代审计学涉及的众多风险概念进行了研究,并取得了一定的成果。但总的来说,现代审计学中相关风险概念的内涵还有待进一步明确,各风险概念之间的关系尚待进一步厘清。笔者认为,只有将现代审计学所涉及的诸多风险概念当成一个有机整体,以系统的观点对此作全方位、多视角的研究,才能明确相关风险概念内涵,厘清相关风险概念之间的关系。
二、现代审计学风险概念体系的构成
现代审计学中的许多风险概念是从其他学科引进的,但现代审计学研究这些风险概念的目的、视角与方法均与其他学科存在差异。在现代审计学中,研究相关风险的目的是为了有利于注册会计师更好地实现审计目标,其研究视角和研究方法均服从于这一研究目的。现代审计学中的相关风险概念或者与审计目标相关,或者与审计对象相关,或者与审计技术的运用有关。因此,尽管现代审计学借鉴了其他学科中的有关风险概念,但这些风险概念已经与现代审计学溶为一体,成为现代审计学的有机构成部分。
(一)决定审计服务需求和供给的风险概念――信息风险与审计业务风险
笔者认为,审计三方关系是研究现代审计学风险概念体系的基础。在审计三方关系中,预期信息使用者是信息的需求者,责任方是信息的提供者,注册会计师是责任方所报告信息合法性和公允性的鉴证者。预期信息使用者与责任方的相互关系决定了责任方所应提供信息的内容与质量要求,预期信息使用者与注册会计师的相互关系决定了审计目标,注册会计师与责任方的相互关系决定了注册会计师是否承接审计业务以及如何实施审计。现代审计学的风险概念体系就蕴含于审计三方关系中。因此,这里首先将研究视角集中于审计三方关系中因三方互动而产生的风险概念。
现代社会经济结构的基本特征是所有权与经营权的分离。这一特征形成了预期信息使用者与信息提供者(责任方)的分离,双方构成委托关系。预期信息使用者在进行决策时,投资者需要大量的财务信息和非财务信息。在现代社会中,投资者几乎不可能亲自获取大量的第一手资料,而必须依赖他人所提供的信息。这样就形成了信息使用者与信息提供者的分离。预期信息使用者是委托人,而信息提供者(责任方)为人。在这一委托关系中,信息提供者(责任方)具有信息优势,而预期信息使用者处于信息劣势。从主观上看,委托人与人的目标并非完全一致,由于存在信息不对称,责任方信息提供者有动机提供错误或虚假的信息;从客观上看,现代企业规模日益增大,经济业务越来越多,经济活动的复杂程度越来越高,使得责任方信息提供者在提供信息时出错的可能性增加,导致信息的错报或虚报。换言之,现代经济活动的特点及预期信息使用者与责任方提供者之间的信息不对称,使得信息提供者提供的信息出现不确定性,存在信息风险。所谓信息风险是指由于信息的距离、信息提供者的偏见及动机、信息量过大和交易的复杂性所导致的反映企业经营活动的相关信息存在不正确的可能性(刘明辉,2007)。从本质上讲,信息风险就是责任方所提供的信息存在重大错报的可能性。存在重大错误或虚报假的信息会导致预期信息使用者的决策失误,给预期信息使用者带来损失,并可能使资本市场和经理人市场的运行缺乏效率。为了避免或减少预期信息使用者的损失,提高市场的运行效率,预期信息使用者迫切需要降低信息风险,从而形成对降低信息风险的社会需求。
由于存在降低信息风险的社会需求以及注册会计师特有的优势,社会选择了注册会计师来担当降低信息风险的重任。预期信息使用者与注册会计师之间的相互作用,使得降低信息风险成为现代审计的目标。这一审计目标以美国注册会计师协会(AICPA)的《改进企业报告》为起始标志,以1996年第78号《审计准则公告》公布为确立标志(刘明辉,2007)。
审计公费是注册会计师谋求自身的生存和发展基础。从理论上说,社会愿意支付给注册会计师审计公费的最大值是因信息风险的降低而使预期信息使用者避免或减少的损失。从实践上讲,注册会计师实际收取的审计公费是社会多方博弈的结果。由于其在市场经济中的重要性,注册会计师具有较高的职业地位。在向注册会计师支付审计公费的同时,社会也对注册会计师赋予了较大的责任(包括职业责任和法律责任)。注册会计师必须恰当地履行其职业责任,否则就会遭受损失。这种损失表现为财物损失、声誉损失和失去客户等。换言之,在承接审计业务后,注册会计师承担着审计业务风险 ①,主要表现为诉讼风险、职业声誉受损风险、无利可图风险等。所谓审计业务风险是注册会计师因承接特定的审计业务而遭受损失的可能性。根据理性人原理,注册会计师在决定是否承接审计业务时,要将其预期收益与承担的审计业务风险进行权衡。注册会计师对收益和风险的权衡决定了审计服务的供给。因此,审计业务风险是决定审计服务供给的关键因素之一。
审计服务的需求与供给之间的相互作用,决定了注册会计师审计服务的数量水平。信息风险、审计业务风险与审计服务供求的关系如图1所示。
(二)决定审计业务风险的风险概念――违约风险、审计风险与审计业务关系风险
下面将视角转向与审计业务风险产生原因相关的风险概念。
在承接审计业务后,注册会计师遭受损失的主要原因有三种:即违约、审计意见不当和审计业务关系的存在。
注册会计师在审计业务中违反审计业务约定书规定的可能性称为违约风险。注册会计师违约(如未能按期出具审计报告,泄露商业秘密等)就会承担违约责任,从而会遭受损失。违约风险是可以控制的。注册会计师在考虑自身胜任能力的基础上,通过合理规划审计工作,遵守审计业务约定书的规定和职业道德准则的要求,就可将违约风险最小化。
注册会计师对存在重大错报的财务报表发表不恰当意见的可能性称为审计风险 ②。在审计中,由于选择性测试方法的运用、内部控制的局限性、大多数审计证据是说服性而非结论性的、审计工作涉及到大量的判断以及某些特定性质的交易或事项可能影响审计证据的说服力等,注册会计师只能对财务报表不存在重大错报提供合理保证而非绝对保证。这意味着存在审计风险。审计风险是导致审计业务风险的重要原因,控制审计业务风险的关键是控制审计风险(A.A .阿伦斯等,1991)。
注册会计师发表了恰当的审计意见,但因与被审计单位存在特定的审计业务关系而遭受损失的可能性,称为审计业务关系风险。审计业务关系风险主要取决于客户的性质及其所处的社会法律环境。作为个体的注册会计师,可能无法对社会法律环境施加重大影响。但注册会计师可以通过认真评估法律风险并谨慎选择客户等措施规避审计业务风险。
审计业务风险主要取决于违约风险、审计风险和审计业务关系风险。它们之间的关系如图2所示。
(三)审计风险的构成要素――重大错报风险与检查风险
控制审计业务风险的关键在于控制审计风险。这决定了审计风险在现代审计学风险概念体系中的核心地位。传统审计风险模型认为,审计风险=固有风险×控制风险×检查风险。从理论上讲,这一模型是较为完善的,但将其用于指导审计实践时,就存在一些局限性。首先,固有风险与控制风险均受企业内外环境的影响,因而难以明确区分;其次,传统的审计风险模型更多侧重于认定层次的重大错报风险,而对报表层次的重大错报风险关注不够,容易出现“只见树木不见森林”的弊端;第三,注册会计师在运用此模型时,往往不经评估就将固有风险定为最高水平,转而依赖控制测试和实质性程序,不利于提高审计的效率与效果。为适应审计环境的变化,克服传统审计风险模型的局限性,提高审计的效率与效果,国际审计与鉴证准则理事会(IAASB)对传统的审计风险模型进行了修正,整合了固有风险与控制风险,改称为重大错报风险。现代审计风险模型就变为:审计风险=重大错报风险×检查风险。其中,重大错报风险是指财务报表在审计前存在重大错报的可能性;检查风险是指某一认定存在错报,该错报单独或连同其他错报是重大的,但注册会计师未能发现这种错报的可能性。审计风险与重大错报风险、检查风险的关系如图3所示。
(四)与重大错报风险有关的风险概念――因错误导致重大错报的风险、因舞弊导致重大错报的风险与特别风险及经营风险、控制风险、剩余风险
财务报表重大错报因错误和舞弊而产生。因此,揭示重大错报风险产生原因的风险概念是因错误导致重大错报的风险和因舞弊导致重大错报的风险。
因错误导致重大错报的风险是指财务报表发生无意识错报的可能性。从其形成机制来看,错误是主观因素和客观因素两个方面的相互作用造成的。主观因素包括会计人员的胜任能力、心理因素(如代表性启发式、可得性启发式、锚定和调整启发式)和职业道德因素等;客观因素包括环境变化、经济业务的复杂性等。虽然错误风险因会计人员素质的提高、内部控制的实施及信息技术的采用而得到了有效的降低,但因非常规事项及会计估计的存在、内部控制的局限性等引起错误的主客观因素无法完全消除,财务报表中因错误而产生重大错报的可能性始终存在。
舞弊是指使用欺骗手段获取不当或非法利益的故意行为,包括员工舞弊和管理层舞弊。注册会计师通常只关注侵占资产和对财务信息做出虚假报告这两类舞弊行为。从其形成机制上看,舞弊通常与动机或压力、机会、借口三因素有关。员工舞弊风险因企业实施内部控制而得到了有效降低;由于管理层可能轻易绕过内部控制进行舞弊,因而管理层舞弊是注册会计师关注的重点。在财务报表审计中,因舞弊导致重大错报的风险是指企业员工和管理层因侵占资产和操纵会计信息而导致财务报表出现重大错报的可能性。
特别风险则是指在审计中注册会计师需要特别考虑的重大错报风险。从本质上讲,特别风险其实是注册会计师应特别考虑的因错误导致重大错报的风险和因舞弊导致重大错报的风险。
无论是因错误导致重大错报的风险还是因舞弊导致重大错报的风险均与企业经营风险存在千丝万缕的联系。经营风险是企业内外环境的变化使其无法实现经营目标的可能性,主要包括战略风险和经营流程风险。
来自企业外部环境的威胁称为战略风险。企业外部环境主要包括宏观环境和行业环境。影响企业经营的宏观环境主要包括政治、经济、社会和技术因素(简称PEST因素)。行业环境主要包括现有的竞争对手、替代品、潜在的进入者、供应商、顾客五种力量,简称行业五力因素(迈克尔.波特 ,1985)。宏观环境对所有企业均有重要影响,行业环境主要影响处于该行业的企业。企业的经营会受到外部复杂多变的环境威胁从而使其经营目标无法实现。
为了应对战略风险,管理层应设置经营流程。经营流程是企业进行经营活动的方式和体系的总称,它反映了企业为实现经营目标和应对战略风险所作的努力,主要包括战略管理流程、核心经营流程和资源管理流程(Timothy B. Bell 等,1997)。每个经营流程都有其目标,在应对战略风险的同时,各经营流程也存在威胁其自身目标实现的因素。来自企业内部各经营流程的风险,可称为经营流程风险。
为了应对经营流程风险,管理层需要设置内部控制。按照其层级的不同,可将内部控制分为战略控制、管理控制和经营流程控制(Timothy B. Bell 等, 1997)。由于其固有的局限性,内部控制无法消除所有的风险,因而形成控制风险。所谓控制风险是指企业设置的内部控制未能有效地降低其经营风险的可能性 ③。
对于战略风险和各经营流程风险,管理层应采取相应的应对措施。采取应对措施的结果可能是,某些风险得到了有效地控制,而某些风险没有得到有效的控制,形成剩余风险。所谓剩余风险是指那些未能为企业所控制的战略风险和经营流程风险。从理论上讲,经营风险与剩余风险的关系用公式可以表示为:
剩余风险=经营风险 ④×控制风险
虽然剩余风险的存在并不一定导致财务报表出现重大错报,财务报表的重大错报也并非均由剩余风险所引致,但剩余风险与财务报表的重大错报之间存在高度的相关性 ⑤ (汪寿成、刘明辉,2007)。说到底,财务报表重大错报风险只是企业经营风险的副产品(谢荣、吴建友, 2004)。对财务报表审计而言,注册会计师的关键任务之一就是要运用职业判断对剩余风险导致财务报表重大错报风险作出正确评估。
重大错报风险与经营风险、控制风险及剩余风险的关系如图4所示。
(五)与检查风险有关的风险概念――运用风险评估程序风险、控制测试风险和运用实质性程序风险
在运用审计程序时,由于各种主客观原因,注册会计师可能出错,形成运用审计程序的风险。运用审计程序的风险是指注册会计师因运用审计程序而产生的有关审计结论错误的可能性。
在审计中,注册会计师运用的审计程序包括风险评估程序和进一步审计程序。其中,进一步审计程序包括控制测试和实质性程序。相应地,注册会计师运用审计程序的风险可以分为三类,即运用风险评估程序风险、控制测试风险和运用实质性程序风险。
为了评估重大错报风险,注册会计师应采用询问、分析程序、观察和检查等风险评估程序了解被审计单位及其环境,并对被审计单位的经营风险、控制风险、剩余风险进行评估,以确定财务报表重大错报风险。在运用风险评估程序时,注册会计师可能面临两种风险,即高估财务报表重大错报的风险和低估财务报表重大错报的风险。前者可能导致注册会计师增加实质性程序的工作量,降低审计工作的效率,后者可能导致实质性程序运用不足,降低审计工作的效果。
在了解内部控制的基础上,注册会计师应对拟依赖的内部控制进行控制测试,以评估内部控制的有效性。在执行控制测试时,注册会计师可采用审计抽样技术。如果采用审计抽样进行控制测试,就可能出现抽样风险和非抽样风险。抽样风险是指注册会计师根据样本得出的结论,与对总体全部项目实施与样本同样的审计程序得出的结论存在差异的可能性。在控制测试中,抽样风险包括注册会计师推断的控制有效性低于其实际有效性的风险(信赖不足险)和注册会计师推断的控制有效性高于其实际有效性的风险(信赖过度险)两种情况。信赖不足险影响审计的效率,而信赖过度险则影响审计的效果。非抽样风险是指由于某些与样本规模无关的因素导致注册会计师得出错误结论的可能性。
实质性程序主要包括实质性分析程序和细节测试。在现代风险导向审计中,分析程序的重要性被提高到一个前所未有的高度,但分析程序有其固有的局限性,并不能查出财务报表中存在的所有重大错报,因而形成实质性分析程序风险。在细节测试时,注册会计师广泛运用审计抽样。运用审计抽样进行细节测试也可能出现抽样风险和非抽样风险,它们构成细节测试风险。细节测试中的抽样风险主要包括两种类型:其一,注册会计师推断某一重大错报不存在而实际上存在的风险(即误受险);其二,注册会计师推断某一重大错报存在而实际上不存在的风险(即误拒险)。误受险影响审计的效果,并可能导致注册会计师发表不恰当的审计意见。误拒险影响审计的效率。
与运用审计程序有关的各风险之间的关系如图5所示。
(六)揭示运用审计程序风险产生原因的风险概念――技术风险、判断风险和道德风险
与运用审计程序有关的风险主要因审计中存在的技术风险、判断风险和道德风险而产生。
在审计中,注册会计师要运用各种审计技术,但这些审计技术本身存在局限性。例如,在现代审计中,注册会计师广泛运用审计抽样技术。运用抽样审计技术,就可能存在样本的结果不能代表总体的可能性,即抽样风险;再如,分析程序假定指标之间存在稳定的数量关系,但现实的指标之间可能并不完全存在分析程序所假定的数量关系。注册会计师在运用分析程序时就可能得出错误的结论。所谓技术风险是指因注册会计师运用的审计技术本身存在局限性而导致有关结论不恰当的可能性。
从某种意义上讲,审计是一个决策过程。在这一过程中,注册会计师要广泛运用职业判断。影响注册会计师职业判断的因素有多种,包括审计任务、注册会计师的特征、审计证据、决策过程和职业判断的质量特征等(阿立森・萨特克利夫等,2005)。由于影响职业判断的因素众多,注册会计师在进行职业判断时就可能出错。例如,在审计中,注册会计师选择的总体不适合于测试目标;未能适当地定义控制偏差或错报,导致注册会计师未能发现样本中存在的偏差或错报;注册会计师选择了不适于实现特定目标的审计程序;注册会计师未能适当评价审计中发现的情况等。这些都有可能导致注册会计师作出错误的判断,形成职业判断风险。所谓职业判断风险是指注册会计师职业判断失误的可能性。
根据委托理论,道德风险是指契约的甲方(通常是人)利用其拥有的信息优势采取契约的乙方(通常是委托人)所无法观测和监督的隐藏性行动或不行动,从而导致的(委托人)损失或(人)获利的可能性。对社会公众而言,注册会计师在审计中的行为是不可观测的,因此,注册会计师在审计中就存在“偷懒”的动机,出现道德风险。如注册会计师省略必要审计程序,以减少审计成本;允许企业管理当局违反会计核算与披露规则,以争取新客户或维持现有客户等。注册会计师道德风险的存在使得注册会计师查出(或揭露)重大错报的可能性降低。
正是审计中技术风险、职业判断风险和道德风险的共同作用,导致了运用审计程序相关风险的产生。它们之间的关系如图6所示。
三、现代审计学风险概念体系的特点
(一)整体性
从构成上看,在现代风险导向审计风险概念体系中,既有体现现代审计目标的风险概念,又有反映各风险间客观逻辑关系的风险概念,既有反映与运用审计程序有关的风险概念,又有揭示与运用审计程序有关的风险产生原因的风险概念。它们分别从审计目标、风险之间存在的客观逻辑关系、注册会计师对风险的主观评价和评价失当的原因等四个不同的角度,揭示了现代审计学各风险概念之间的关系,使之成为一个有机的整体。
(二)目的性
在现代审计学中,风险引导着审计工作的展开,各关键的风险概念之间形成了一个完整的目的――手段链。注册会计师审计的最终目的是降低信息风险,而要降低信息风险,注册会计师必须控制审计业务风险(在这一环中,降低信息风险是目的,而控制业务风险是手段)。控制审计业务风险的关键是控制审计风险,减少发表错误审计意见的可能性(在这一环中,降低业务风险是目的,控制审计风险是主要手段)。控制审计风险的关键在于控制检查风险。为了确定检查风险的恰当水平,注册会计师应确定重大错报风险(在这一环中,确定检查风险是目的,评估重大错报风险是手段)。为了评估重大错报风险,注册会计师应评估经营风险,包括评估战略风险、经营流程风险、控制风险并确定剩余风险(在这一环中,确定重大错报风险是目的,评估经营风险、控制风险和剩余风险是手段)。
(三)层次性
现代风险导向审计概念体系具有明显的层次结构。处于这一风险概念体系顶端的是信息风险和审计业务风险,它们是决定审计服务数量水平的关键因素。处于第二层次的是约违风险、审计风险和业务关系风险,它们是导致审计业务风险的因素。在承接审计业务后,控制审计业务风险的关键是控制审计风险,而重大错报风险与检查风险是审计风险的要素,因此,它们同处该风险概念体系的第三层次。重大错报风险主要取决于被审计单位的经营风险、控制风险和剩余风险,经营风险、控制风险与剩余风险处于审计风险概念体系的第四层次。在审计中,注册会计师运用审计程序对上述风险及其关系进行主观评价,与检查风险有关的风险概念处于现代风险导向审计概念体系的第四层次。而揭示与运用审计程序有关的风险产生原因的概念处于该风险概念体系的第五层次。
(四)与审计过程和审计程序的密切相关性
现代风险导向审计是将风险评估贯穿于审计全过程的一种审计模式。在这一模式中,风险评估是核心内容。在审计的不同阶段,“风险”的含义各不相同。在业务承接阶段,注册会计师所评估的风险是指业务风险;在计划审计工作阶段,注册会计师确定的风险是期望的审计风险;在运用风险评估程序阶段,注册会计师以评估经营风险为切入点,目的在于评估财务报表重大错报风险;在控制测试和执行实质性程序阶段,注册会计师是为了降低检查风险;在审计终结阶段,注册会计师应对整个审计工作进行检查和评价,目的在于评估审计风险是否降低到了可以接受的水平。风险概念不仅与审计过程有机结合,而且与审计程序密切相关。在审计过程中,注册会计师针对不同的风险设计和实施不同的审计程序。
【主要参考文献】
[1] 阿立森・萨特克利夫等著,王富利译. 审计中的职业判断. 第1版. 北京:经济科学出版社,2005. 37~38.
[2] A. A . 阿伦斯等著,张杰明,文善恩等译. 当代审计学(上). 北京:中国商业出版社,1991. 110~252.
[3] 刘明辉. 审计学. 第1版. 北京:首都经济贸易大学出版社,2007, (13):47~48.
[4] 迈克尔. 波特著,陈小悦译. 竞争优势. 第1版. 北京:华夏出版社,1997.56~60.
[5] 汪寿成,刘明辉. 论经营风险分析的审计意义. 中国注册会计师,2007, (10).
[6] 谢荣,吴建友. 现代风险导向审计研究. 会计研究,2004, (4).
[7] Larry F. Konrath . 1993. Auditing Concepts and Application: A risknalysis Approach. West Info Access,150 .
[8] Timothy B.Bell et al . 1997.Auditing Organizations Through a Strategic
风险和审计的关系范文3
关键词:数据式审计;审计风险;数据
随着信息和网络通信技术、电子商务的迅猛发展传统的经营模式将越来越多的被信息化的网络贸易所取代,计算机被越来越广泛地运用到企业的各业务环节中去,自动化数据处理系统也日益深入地应用于会计核算和财务管理工作中,使会计数据储存方式、会计数据核算手段和方法、会计部门的机构设置、会计内部控制的方法和措施、所提供会计信息的数量和质量等方面都已发生前所未有的深刻变化。在信息化的环境下,转变视角构建计算机审计发展的未来——数据式审计模式。
一、数据式审计模式的涵义
数据式审计的运用一定是在信息化环境下。如同在纸质环境下一样,系统内部控制的合理性、健全性和有效性直接影响着数据的真实性、完整性和正确性。因此,为了控制数据风险,保障审计目标的实现,审计人员应该首先调查、测试和评价系统内部控制。数据式审计的最大特点就是对电子数据的直接利用,这里所说直接利用是指,审计人员无须先将其转换成电子帐套,然后再实施审计程序,但不是不对系统内部控制进行必要的测评。在数据式审计模式下,审计人员可以摆脱传统的电子帐套及其所反映的财务信息,深入到计算机信息系统的底层数据库,获取更多更广泛的数据,然后通过对底层数据的分析处理,获得大量的多种类型的有用信息。这些信息不但包括传统的财务信息,而且还包括非财务信息、自行组合的新财务信息、财务数据与非财务数据组合的混合型信息。基于数据式审计的上述特点,我们也可以将数据式系统基础审计简单表述为:系统内部控制测评+数据审计。
二、数据式审计风险
传统的审计环境下,审计风险是指财务报表存在重大错报而注册会计师发表不恰当审计意见的可能性。审计风险取决于重大错报风险和检查风险。再既定的审计风险水平下,可接受的检查风险与重大错报风险的评估结果呈反向关系。用数学模型表示如下:
审计风险=重大错报风险 * 检查风险
其中重大错报风险涉及两个层次,一个是财务报表层次重大错报风险与财务报表整体存在广泛联系,此类风险通常与控制环境有关,但也可能与其他因素有关,如经济萧条。另一个是认定层次的重大错报风险,可分为固有风险和控制风险。固有风险是指假设不存在相关内部控制,某一认定发生重大错报的可能性,无论该错报单独考虑还是连同其他错报错报构成重大错报。控制风险是指某项认定发生了重大错报,无论改错报单独考虑还是连同其他错报构成重大错报,而该错报没有被企业的内部控制及时防止、发现和纠正的可能性。控制风险取决于与财务报表编制有关的内部控制的设计和运行的有效性。检查风险是指某一认定存在错报,该错报单独或连同其他错报是重大的,但注册会计师未能发现这种错报的可能性。检查风险取决于审计程序设计的合理性和执行的有效性。把数据式审计风险也分为重大错报风险和检查风险。公式可表示为:
数据式审计风险=重大错报风险*检查风险
(一)重大错报风险影响因素
数据式审计重大错报风险是指电子数据在审计前存在重大错报的可能性。主要包括被审计单位财务信息系统层次的重大错报风险和系统内部控制层次的重大错报风险。
1.财务信息系统层次的重大错报风险。
财务信息系统层次的重大错报风险是在不考虑系统内部控制的前提下,财务信息系统处理财务数据存在重大错报的可能性。
财务信息系统层次的重大错报风险的特点有:(1)风险是计算机系统本身所固有的,审计人员只能评估风险,无法控制和影响它;(2)风险源于被审单位财务系统水平组成部分的特性,风险的衡量是主观的、复杂的;(3)风险水平同系统的硬件质量和软件稳定性紧密相关,不同的系统其风险水平不同。
2.系统内部控制层次的重大错报风险。
系统内部控制层次的重大错报风险主要是由于被审计单位内部信息系统的应用、操作和管理规范等安全控制制度不够健全、有效,直接影响着数据的真实性、完整性和正确性,导致无法恰当地防止、发现和及时纠正被审单位信息系统可能出现重大错误的可能性。
信息系统内部控制层次的重大错报风险的特点是:(1)系统内部控制风险是客观存在的,是系统本身所固有的;(2)系统内部控制风险具有不可降低性,审计人员只能评估风险水平,无法控制和影响;数据式审计重大错报风险源于计算机信息系统组成部分的特性,重大错风险的衡量是主观的、复杂的。
(二)检查风险影响因素
数据式审计模式是一种全新的审计模式。在新审计准则重大变化的影响下,审计人员应加强对被审计单位系统内部控制环境和财务数据的了解,将识别系统内部控制风险与认定层次可能发生重大错报的风险联系起,利用数据式审计创新的技术和方法实施更为严格的来风险检查。数据式审计模式的诸多新技术和方法中,比较突出的是数据多维分析和数据挖掘两种技术、审计中间表和审计分析模型两种方法。数据式审计的检查风险是指:审计人员未能合理地运用数据式审计的相关分析技术和方法从被审计单位识别、采集、转换、清理得到的电子数据进行测试以发现错误的可能性。
数据式审计检测风险的特点:(1)它是惟一可由审计人员自主确定和控制的风险;(2)借助数据式审计多维分析技术和对电子数据深层挖掘技术,使审计范围大量扩大,降低审计风险;(3)风险水平与审计人员的专业胜任能力密切相关。
三、总论
随着信息化的迅猛发展,审计业务范围不断扩大,审计软件信息技术的应用,数据式审计也离我们越来越近,逐步成为今后审计的主流。本文对数据式审计的审计风险进行分析,为应对数据式审计风险提供一些方向。
参考文献
[1]石爱中,孙俭.初释数据式审计模式,审计研究,2005(4)
风险和审计的关系范文4
论文摘要:银行是经营风险的企业,随着商业银行公司治理结构的调整和全面风险管理体系的建设,商业银行内部审计关注的重点也将逐渐转移到风险管理上来内部审计如何在商业银行风险管理中发挥作用?本文以商业银行风险管理为研究对象,以国内外最新审计理念为导向,重点阐述了风险审计的涵义及其特征,商业银行推行风险审计的意义与作用,以及实施风险审计面临问题和解决措施。
全面风险管理是从战略目标制定到目标实现的全过程风险管理,随着现代商业银行所承担风险的增加,商业银行内部审计关注的重点也逐渐转移到风险管理上来,当今风险审计作为一种新的审计理念,成为备受人们关注的热点。与其说银行是在经营货币的企业,不如说银行是经营风险,从风险管理中获取收益的企业。商业银行一直在利润与风险之间做着谨慎和侥幸的选择,防范和控制经营中的风险,实施全面风险管理战略,是商业银行面临的现实而紧迫的任务。作为现代商业银行的审计部门,如何由传统的合规性审计向风险预警和防范为目标的风险审计转变,合理配置有限的审计资源,提高审计效率与效益,有效发挥审计监督在防范和控制风险中的积极作用,已成为现代商业银行内部审计面临的焦点课题。
风险审计的涵义
风险审计,也称风险基础审计或者风险导向审计,它是在传统的账项基础和内部控制制度基础审计上发展起来的一种审计模式,是指审计人员在对被审单位的内部控制充分了解和评价的基础上,综合分析、判断被审计单位的风险状况及其风险程度,从而把有限的审计资源集中到高风险的审计领域,针对不同风险程度采取相应的审计对策,重点对高风险点进行实质性测试,从而伎内部审计的剩余风险降至可接受的最低水平。与账项基础审计、内部控制制度基础审计相比,风险审计关注点在于对被审单位的风险评估,其审计重心向风险评估转移,更加关注的是企业的风险管理活动一一是否建立清晰的风险管理战略、完善的管理架构、全面的风险管理过程和良好的风险管理文化,最终实现风险管理效率和价值的最大化,不但可以保证充分的审计覆盖面,而且对每一个领域都会根据其风险评价结果有不同的审计频率与深度,增强了对风险的预防控制作用,风险审计方法的重点是识另q、预防与控制风险。因此,风险审计理论的核心是从分析审计风险入手,通过建立科学的审计风险分析模型,采取定性定量分析方法,量化确定固有保证程度系数,并控制保证程度系数,确定可接受的检查风险水平,以确保审计质量。
商业银行实施风险审计方法的坝实重要牲
格林斯潘曾经说过:“银行的基本职能是预测、承担和管理风险。”风险审计的本质和根本目标是促进和保障商业银行业务的稳健发展,促进商业银行树立全面的风险管理理念,坚持发展与防范风险并重;适应市场和业务需要,不断完善风险管理手段,健全风险管理体制,培育风险管理文化,提高风险管理水平,促进业务发展,目标是优化资源配置,将风险控制在商业银行可以承担的范围内,实现风险调整后的收益最大化。
(一)风险审计的理念和方法是商业银行实施全面风险管理的现实选择,进一步提升了内部审计的增值服务?风险是商业银行与生俱来的产物,存在于商业银行业务的每一个环节当中,商业银行提供金融服务的过程也是承担和控制风险的过程,因此,风险管理是商业银行永恒的主题。在现代金融领域中,能建立良好的风险管理架构和体系,对风险进行全面有效的管理,并以良好的风险定价策略实现价值增长,是影响商业银行核心竞争力的重要因素,也是实施风险审计的必然要求。国有商业银行上市后,要在提高全面风险管理能力的前提下保持持续的价值创造能力。
巴塞尔新资本协议和美国反舞弊财务报告委员会的发起组织委员会fCOSO)的《企业全面风险管理框架》将全面风险管理概括为对商业银行各个层次的业务单位和各种类型的风险进行统筹管理,这种管理要求将包含信用风险、市场风险、操作风险和其他风险的各种金融资产与资产组合,承担这些风险的各个业务单位纳入到统一的管理体系中,对各类风险依据统一的标准进行测量并加总,依据全部业务的相关性对风险进行全程的控制和管理。风险审计正是以全面评估风险为基础,从重要风险点上人手,在深入分析判断不同层面和业务单位风险状况的基础上,确定审计重点,对风险高的业务集中资源重点审计,通过评估银行风险识别的充分性、风险衡量的恰当性及风险防范的有效性,并在此基础上提出相应的改进措施和建议,直接影响商业银行经营战略的制定,确保商业银行实现业务发展、风险控制和效益增长的有机统一
(二)采用风险审计的理论和技术、是现代商业银行审计发展的目标和方向,实现增值型审计转型需要:当前国际内审发展已进入一个以风险管理和公司治理为标志的新的发展阶段,西方的绝大部分商业银行在内部审计均采用了风险审计的理论和技术。国际审计师协会主席捷奎林?瓦格娜曾提出:“环境的变化给内部审计师带来增加价值的机会最多的领域是风险管理的公司治理。”2003年国际内部审计协会对2001年新的《内部审计实务标准》(以下简称《标准》)修改后,在内容上也自始至终都贯穿着风险审计的主导思想。
一是在对内部审计的定义中要求内部审计采用一种系统化、规范化的方法来对机构的风险管理、控制及监管过程进行评价进而提高它的效率,帮助机构实现它的目标。二是内部审计的目标要求内部审计参与风险管理。三是内部审计的工作重点要求内部审计参与风险管理。四是标准对审计计划、审计测试、审计结果、后续审计各个方面都作了和风险相关的明确规范。五是关于剩余风险,《标准》做出了在审计执行主管认为高级管理层接受的剩余风险水平对于机构来说是无法接受时就报告董事会加以解决的规定。这些规定和要求将内部审计的范围延伸到风险管理和公司治理,所以风险管理已经成为内部审计的主要工作。随着风险管理导向内部控制时代的来临,内部审计的工作重点也发行了变化,现代内部审计突破了传统的监督、鉴证、评价职能的范围,更多地介入商业银行有效的风险管理机制和健全的公司治理结构领域。
风睑审计在项代商业银行风睑管理中的作用
(一)风险审计有利于提高商业银行风险管理水平,促进风险文化建设。风险基础审计主动发现和控制各项风险,通过对商业银行业务部门进行风险评估,并按照次序排列风险,集中高风险的项目优先审计。前者试图阻止不期望的行为发生,这种事先的控制有助于阻止损失的发生;后者试图检查出不期望发生的行为,检查性的控带l目的是提供损失发生的证据。这两种类型的控制都是必要的内部控制系统,使商业银行的内控机制完善、管用。同时,风险审计关注的重点是业务过程中的每一个风险点,涉及所有员工和管理者,这样有助于形成商业银行风险文化,从而提高商业银行全面风险管理水平。
(二)风险审计有利于对风险事件的识别风险审计采用通用风险分析模板及方法,识别商业银行业务过程的风险和外部环境风险。风险审计人员运用某些分析方法,创造性地进行分析,判断管理层是否完全识别了企业的所有风险,若有遗漏的风险要提醒管理层加以考虑。
(三)风险审计有利于对风险的反应和控制。在风险反应活动中,商业银行要根据不同的风险决定要采取的策略和方法,决定是避免风险、接受风险、还是降低风险。如对有相对的风险回报的风险,商业银行可以考虑接受,但要采取控制措施,才能将风险降低到可以接受的水平,获得希望的回报。对于这部分风险,商业银行会采取减少风险、转移风险或分担风险的办法以降低商业银行承受的风险。风险审计人员的主要工作在于分析、评价风险回报的合理性、减少风险的措施的有效性、以及接受风险转移和风险分担的那一方的风险。
(四)风险审计有利于对风险信息沟通和风险管理系统的监控。在风险信息沟通活动中,商业银行的风险管理要将风险及时有效地传递给内部相关人员,以便及时采取相应的控制措施。风险审计人员可以通过评价报告系统证明风险信息被准确、及时地传递到相关人员,内部审计报告可以向董事会和审计委员会传递风险是否得到有效管理的信息。在监控活动中,商业银行要对风险管理进行持续监控,通过对内部控制系统的运行的监控和对定期检查结果及意外事项的处理结果的评价,保证商业银行对风险管理是一直有效的。风险审计人员可以通过分析环境和风险变化,检查内部控制系统是否已更新,是否能控制新的风险。还可以通过后续审计管理层对审计中发现的问题及对意外事项的处理情况,检查新的控制措施是否有效,将分析结果和建议提供给管理层以便改进控制措施。
风险审计在捕国商业银行规划与存在问题
(一)风险基础审计的法制化、制度化规范化建设的道路还很漫长。一是商业银行内部制度调整工作量大,相关业务制度和操作流程也要进行相应调整;二是支持系统建设难度大,因长期需要具备相应功能的电子化系统作支持,要求商业银行改进现有业务系统,并开发建设风险评估系统,风险评估系统的建设包括业务流程、历史数据收集、参数选择等需要大量投资和时间准备。三是短期内风险审计人员素质难以提高。风险审计人员需要精通包括审计、会计财务、法律、逻辑学、信息学、系统论、管理学等专业知识,懂得运用经济、数理、计算机等专用分析手段来预知和减少风险,每位风险审计人员达到运用自如的水准尚需时日。
(二)审计证据的较高要求增加风险审计取证的难度风险基础审计必须获取充足的、可靠的相关的证据以判断,而目前我国商业银行风险基础审计缺少可供遵循的标准和程序,且审计取证的渠道和方式多样,因此,审计人员一般都需要提高调查样本代表性和增大调查样本的方法,以增强对总体风险推断的准确性。
(三)风险审计技术手段落后,难以适应工作需要。计算机会计信息系统、信贷管理系统的广泛应用和发展,大大增强了审计的及时性,事后审计;逐步被实时审计所代替,这与针对经营全过程的风险基础审计不谋而合。在我国,商业银行审计人员大多数对计算机辅助审计不太熟悉,许多还停留在传统手工查账的基础上,在新技术面前还有些无所适从.审计手段落后,不但增加了审计难度,而且效率低、准确差,严重影响了审计作用的发挥,无法满足商业银行风险基础审计工作的需要
(四)协调配台欠缺,降低了审计结果的运用日常审计中很少利用纪检、人事及其他部门掌握的信息,审计结束后,除个别项目外一般也不与这些部门交换,致使审计成果在干部考核、任用、奖惩等方面没有发挥应有的作用,相应削弱了审计的威慑力。
我国商业银行发展和完善风险审计的对策
(一)正确认识风险基础审计在银行公司治理结构的重要作用,为风险审计的发展刨造良好的环境商业银行公司治理的核心问题是委托人(股东、投资者、管理者)如何激励和约束人(经理层)、积极有效地完成受托经营管理责任,以确保股东或投资者财富最大化。显然仅仅通过财务审计,委托人难以全面了解人是否有效履行其受托责任,而风险基础审计有利于减少信息不对称性,较为全面地提供委托人所需要的有关经营管理活动方面信息,大大遏制了“道德风险”的发生,增强了经营管理的透明度,从而达到控制和抑制“内部人控制”的目的,同时,通过风险审计可以有效地判断人的业绩和能力,评价人对受托人责任履行情况,促进人提高经营管理效率因此,风险审计是商业银行公司治理结构的重要组成部分,是完善公司治理结构的“四大基石”之一。
(二)抓紧制定风睑基蒯{计;,立则尽快完善评价标:停体系要吸收借鉴美国、英国、典等发达国家的先进经验,抓紧研究制定我国的风险基础审计准则,这是开展风险审计的当务之急。风险基础审计准则的制定要遵循“衔接”、“配套”、“务实”的原则,注意解决好前瞻与现实的矛盾,接轨与国情的矛盾。逐步探索和完善风险审计的评价标准体系,量化评价指标,为不同项目之间的比较提供依据
(三)认真搞好风险基础审计研究,探索先进审计技术方法。先进的审计技术和方法,是提高审计效率和质量的重要保证要通过传统方法与现代信息技术的结合,加大风险审计技术的研究力度,特别要注重探索完善审计抽样、内控测评、风险评估等方面的方法和技术产。在风险审计的方法和技术的研究中,要实行科研人员与实务人员、科研与调研、审计人员与项目工程人员相结合的办法开展,以增强实用性、指导性和前瞧性。
风险和审计的关系范文5
关键词:商业银行公司治理风险管理风险审计
全面风险管理是从战略目标制定到目标实现的全过程风险管理,随着现代商业银行所承担风险的增加,商业银行内部审计关注的重点也逐渐转移到风险管理上来,当今风险审计作为一种新的审计理念,成为备受人们关注的热点。与其说银行是在经营货币的企业,不如说银行是经营风险,从风险管理中获取收益的企业。商业银行一直在利润与风险之间做着谨慎和侥幸的选择,防范和控制经营中的风险,实施全面风险管理战略,是商业银行面临的现实而紧迫的任务。作为现代商业银行的审计部门,如何由传统的合规性审计向风险预警和防范为目标的风险审计转变,合理配置有限的审计资源,提高审计效率与效益,有效发挥审计监督在防范和控制风险中的积极作用,已成为现代商业银行内部审计面临的焦点课题。
风险审计的涵义
风险审计,也称风险基础审计或者风险导向审计,它是在传统的账项基础和内部控制制度基础审计上发展起来的一种审计模式,是指审计人员在对被审单位的内部控制充分了解和评价的基础上,综合分析、判断被审计单位的风险状况及其风险程度,从而把有限的审计资源集中到高风险的审计领域,针对不同风险程度采取相应的审计对策,重点对高风险点进行实质性测试,从而伎内部审计的剩余风险降至可接受的最低水平。与账项基础审计、内部控制制度基础审计相比,风险审计关注点在于对被审单位的风险评估,其审计重心向风险评估转移,更加关注的是企业的风险管理活动一一是否建立清晰的风险管理战略、完善的管理架构、全面的风险管理过程和良好的风险管理文化,最终实现风险管理效率和价值的最大化,不但可以保证充分的审计覆盖面,而且对每一个领域都会根据其风险评价结果有不同的审计频率与深度,增强了对风险的预防控制作用,风险审计方法的重点是识另q、预防与控制风险。因此,风险审计理论的核心是从分析审计风险入手,通过建立科学的审计风险分析模型,采取定性定量分析方法,量化确定固有保证程度系数,并控制保证程度系数,确定可接受的检查风险水平,以确保审计质量。
商业银行实施风险审计方法的坝实重要牲
格林斯潘曾经说过:“银行的基本职能是预测、承担和管理风险。”风险审计的本质和根本目标是促进和保障商业银行业务的稳健发展,促进商业银行树立全面的风险管理理念,坚持发展与防范风险并重;适应市场和业务需要,不断完善风险管理手段,健全风险管理体制,培育风险管理文化,提高风险管理水平,促进业务发展,目标是优化资源配置,将风险控制在商业银行可以承担的范围内,实现风险调整后的收益最大化。
(一)风险审计的理念和方法是商业银行实施全面风险管理的现实选择,进一步提升了内部审计的增值服务?风险是商业银行与生俱来的产物,存在于商业银行业务的每一个环节当中,商业银行提供金融服务的过程也是承担和控制风险的过程,因此,风险管理是商业银行永恒的主题。在现代金融领域中,能建立良好的风险管理架构和体系,对风险进行全面有效的管理,并以良好的风险定价策略实现价值增长,是影响商业银行核心竞争力的重要因素,也是实施风险审计的必然要求。国有商业银行上市后,要在提高全面风险管理能力的前提下保持持续的价值创造能力。
巴塞尔新资本协议和美国反舞弊财务报告委员会的发起组织委员会fCOSO)的《企业全面风险管理框架》将全面风险管理概括为对商业银行各个层次的业务单位和各种类型的风险进行统筹管理,这种管理要求将包含信用风险、市场风险、操作风险和其他风险的各种金融资产与资产组合,承担这些风险的各个业务单位纳入到统一的管理体系中,对各类风险依据统一的标准进行测量并加总,依据全部业务的相关性对风险进行全程的控制和管理。风险审计正是以全面评估风险为基础,从重要风险点上人手,在深入分析判断不同层面和业务单位风险状况的基础上,确定审计重点,对风险高的业务集中资源重点审计,通过评估银行风险识别的充分性、风险衡量的恰当性及风险防范的有效性,并在此基础上提出相应的改进措施和建议,直接影响商业银行经营战略的制定,确保商业银行实现业务发展、风险控制和效益增长的有机统一
(二)采用风险审计的理论和技术、是现代商业银行审计发展的目标和方向,实现增值型审计转型需要:当前国际内审发展已进入一个以风险管理和公司治理为标志的新的发展阶段,西方的绝大部分商业银行在内部审计均采用了风险审计的理论和技术。国际审计师协会主席捷奎林?瓦格娜曾提出:“环境的变化给内部审计师带来增加价值的机会最多的领域是风险管理的公司治理。”2003年国际内部审计协会对2001年新的《内部审计实务标准》(以下简称《标准》)修改后,在内容上也自始至终都贯穿着风险审计的主导思想。
一是在对内部审计的定义中要求内部审计采用一种系统化、规范化的方法来对机构的风险管理、控制及监管过程进行评价进而提高它的效率,帮助机构实现它的目标。二是内部审计的目标要求内部审计参与风险管理。三是内部审计的工作重点要求内部审计参与风险管理。四是标准对审计计划、审计测试、审计结果、后续审计各个方面都作了和风险相关的明确规范。五是关于剩余风险,《标准》做出了在审计执行主管认为高级管理层接受的剩余风险水平对于机构来说是无法接受时就报告董事会加以解决的规定。这些规定和要求将内部审计的范围延伸到风险管理和公司治理,所以风险管理已经成为内部审计的主要工作。随着风险管理导向内部控制时代的来临,内部审计的工作重点也发行了变化,现代内部审计突破了传统的监督、鉴证、评价职能的范围,更多地介入商业银行有效的风险管理机制和健全的公司治理结构领域。
风睑审计在项代商业银行风睑管理中的作用
(一)风险审计有利于提高商业银行风险管理水平,促进风险文化建设。风险基础审计主动发现和控制各项风险,通过对商业银行业务部门进行风险评估,并按照次序排列风险,集中高风险的项目优先审计。前者试图阻止不期望的行为发生,这种事先的控制有助于阻止损失的发生;后者试图检查出不期望发生的行为,检查性的控带l目的是提供损失发生的证据。这两种类型的控制都是必要的内部控制系统,使商业银行的内控机制完善、管用。同时,风险审计关注的重点是业务过程中的每一个风险点,涉及所有员工和管理者,这样有助于形成商业银行风险文化,从而提高商业银行全面风险管理水平。
(二)风险审计有利于对风险事件的识别风险审计采用通用风险分析模板及方法,识别商业银行业务过程的风险和外部环境风险。风险审计人员运用某些分析方法,创造性地进行分析,判断管理层是否完全识别了企业的所有风险,若有遗漏
的风险要提醒管理层加以考虑。
(三)风险审计有利于对风险的反应和控制。在风险反应活动中,商业银行要根据不同的风险决定要采取的策略和方法,决定是避免风险、接受风险、还是降低风险。如对有相对的风险回报的风险,商业银行可以考虑接受,但要采取控制措施,才能将风险降低到可以接受的水平,获得希望的回报。对于这部分风险,商业银行会采取减少风险、转移风险或分担风险的办法以降低商业银行承受的风险。风险审计人员的主要工作在于分析、评价风险回报的合理性、减少风险的措施的有效性、以及接受风险转移和风险分担的那一方的风险。
(四)风险审计有利于对风险信息沟通和风险管理系统的监控。在风险信息沟通活动中,商业银行的风险管理要将风险及时有效地传递给内部相关人员,以便及时采取相应的控制措施。风险审计人员可以通过评价报告系统证明风险信息被准确、及时地传递到相关人员,内部审计报告可以向董事会和审计委员会传递风险是否得到有效管理的信息。在监控活动中,商业银行要对风险管理进行持续监控,通过对内部控制系统的运行的监控和对定期检查结果及意外事项的处理结果的评价,保证商业银行对风险管理是一直有效的。风险审计人员可以通过分析环境和风险变化,检查内部控制系统是否已更新,是否能控制新的风险。还可以通过后续审计管理层对审计中发现的问题及对意外事项的处理情况,检查新的控制措施是否有效,将分析结果和建议提供给管理层以便改进控制措施。
风险审计在捕国商业银行规划与存在问题
(一)风险基础审计的法制化、制度化规范化建设的道路还很漫长。一是商业银行内部制度调整工作量大,相关业务制度和操作流程也要进行相应调整;二是支持系统建设难度大,因长期需要具备相应功能的电子化系统作支持,要求商业银行改进现有业务系统,并开发建设风险评估系统,风险评估系统的建设包括业务流程、历史数据收集、参数选择等需要大量投资和时间准备。三是短期内风险审计人员素质难以提高。风险审计人员需要精通包括审计、会计财务、法律、逻辑学、信息学、系统论、管理学等专业知识,懂得运用经济、数理、计算机等专用分析手段来预知和减少风险,每位风险审计人员达到运用自如的水准尚需时日。
(二)审计证据的较高要求增加风险审计取证的难度风险基础审计必须获取充足的、可靠的相关的证据以判断,而目前我国商业银行风险基础审计缺少可供遵循的标准和程序,且审计取证的渠道和方式多样,因此,审计人员一般都需要提高调查样本代表性和增大调查样本的方法,以增强对总体风险推断的准确性。
(三)风险审计技术手段落后,难以适应工作需要。计算机会计信息系统、信贷管理系统的广泛应用和发展,大大增强了审计的及时性,事后审计;逐步被实时审计所代替,这与针对经营全过程的风险基础审计不谋而合。在我国,商业银行审计人员大多数对计算机辅助审计不太熟悉,许多还停留在传统手工查账的基础上,在新技术面前还有些无所适从.审计手段落后,不但增加了审计难度,而且效率低、准确差,严重影响了审计作用的发挥,无法满足商业银行风险基础审计工作的需要
(四)协调配台欠缺,降低了审计结果的运用日常审计中很少利用纪检、人事及其他部门掌握的信息,审计结束后,除个别项目外一般也不与这些部门交换,致使审计成果在干部考核、任用、奖惩等方面没有发挥应有的作用,相应削弱了审计的威慑力。
我国商业银行发展和完善风险审计的对策
(一)正确认识风险基础审计在银行公司治理结构的重要作用,为风险审计的发展刨造良好的环境商业银行公司治理的核心问题是委托人(股东、投资者、管理者)如何激励和约束人(经理层)、积极有效地完成受托经营管理责任,以确保股东或投资者财富最大化。显然仅仅通过财务审计,委托人难以全面了解人是否有效履行其受托责任,而风险基础审计有利于减少信息不对称性,较为全面地提供委托人所需要的有关经营管理活动方面信息,大大遏制了“道德风险”的发生,增强了经营管理的透明度,从而达到控制和抑制“内部人控制”的目的,同时,通过风险审计可以有效地判断人的业绩和能力,评价人对受托人责任履行情况,促进人提高经营管理效率因此,风险审计是商业银行公司治理结构的重要组成部分,是完善公司治理结构的“四大基石”之一。
(二)抓紧制定风睑基蒯{计;,立则尽快完善评价标:停体系要吸收借鉴美国、英国、典等发达国家的先进经验,抓紧研究制定我国的风险基础审计准则,这是开展风险审计的当务之急。风险基础审计准则的制定要遵循“衔接”、“配套”、“务实”的原则,注意解决好前瞻与现实的矛盾,接轨与国情的矛盾。逐步探索和完善风险审计的评价标准体系,量化评价指标,为不同项目之间的比较提供依据
(三)认真搞好风险基础审计研究,探索先进审计技术方法。先进的审计技术和方法,是提高审计效率和质量的重要保证要通过传统方法与现代信息技术的结合,加大风险审计技术的研究力度,特别要注重探索完善审计抽样、内控测评、风险评估等方面的方法和技术产。在风险审计的方法和技术的研究中,要实行科研人员与实务人员、科研与调研、审计人员与项目工程人员相结合的办法开展,以增强实用性、指导性和前瞧性。
风险和审计的关系范文6
风险主观说强调的是“损失”与“不确定性”的关系,不确定性是主观的、个人的和心理上的一种观念。此论点认为风险纯属个人对客观事物的主观估计,而不能以客观的尺度予以衡量。这一论点的代表人物有麦尔和科梅克,他们将风险定义为:“风险是损失的不确定性。”不确定性的范围包括发生与否不确定、发生时间不确定、发生的过程不确定、发生的结果不确定。风险客观说则是以风险客观存在为前提,以对风险事故的观察为基础,以数学和统计观点加以定义,并认为风险的大小可用客观尺度测定。这一论点的主要代表是佩费尔,他将风险定义为“风险是可测定的客观概率的大小。”本文认为风险是指在特定的客观条件下损失发生的可能性。这是因为风险是客观存在的,只有那些导致损失,或既可能会导致损失,又可能导致盈利的不确定事件才能称为风险事件,不会导致损失的不确定性事件不是风险事件,因而风险与损失或不利因素有必然的联系。需要说明的是,这里的损失是指非故意的,非计划的和非预期的经济价值的减少,那些并非无意的行为,结果是肯定的,因而并不是风险概念的内容。
二、审计风险的概念
现代风险基础审计中最重要的概念之一就是审计风险概念。对审计风险的概念,不同的学术团体和学者有其不同的见解。美国注册会计师协会(AICPA)认为(AICPA,1992):审计风险是注册会计师无意地对含有重要错报漏报的财务报表发表没有适当修正意见的风险。《国际审计准则》第6号则认为(张德明译,1996):审计风险是指注册会计师对实质上误报的财务资料可能提供了不适当意见的那种风险。例如,注册会计师在那些他们所不知道的情况下,可能对实质上错报的财务报表提供了无保留意见。国际会计师联合会(IFAC)的国际审计与鉴证准则委员会(IAASB)2003年10新的国际审计准则ISA200—财务报表审计的目标和一般原则,重新定义了审计风险,认为审计风险是指财务报表存在重大错报而注册会计师发表不恰当审计意见的风险,而不包括注册会计师错误地认为财务报表含有重大错报的风险(IFAC,2003)。我国独立审计准则中对审计风险的定义是(中国注册会计师协会,1999):审计风险,指会计报表存在重大错报或漏报,而注册会计师审计后发表不恰当审计意见的可能性。中国注册会计师协会2004年10月的审计风险准则的征求意见稿中沿用了IAASB2003年对审计风险的定义(中国注册会计师协会,2004)。
国内外学者对审计风险的概念也存在不同看法。A.A.Arens和J.k.Loebeck(1992)认为:审计风险是在财务报表事实上存在重大错误时,注册会计师认为财务报表公允表达,并因此提出无保留意见的风险。朱小平、叶友(2003)则将国内外关于“审计风险”的定义归纳为两类:损失可能论,即认为审计风险是指由于注册会计师主观因素与其他因素带来损失的可能性;意见不当论,即认为审计风险是指当会计报表存在重大错报与漏报时,注册会计师针对会计报表而的不恰当审计意见的可能性。随后,他们从概念体系的内在逻辑关系和传统的审计风险模型两个方面检查了“审计风险”定义的损失可能论和意见不当论,最后认为后者明显优于前者。上述有关审计风险的概念,都有一个共同特点,认为审计风险是指财务报表没有公允地揭示而注册会计师认为已公允地揭示的风险。其实,这种定义方法只是为了给实务中的具体操作提供可行的指南,而不是从一般的理论意义上探讨,因而只能说明审计风险的表面现象,而未触及审计风险最本质的东西(胡春元,1997)。将审计风险概括地表示为未能觉察出重大错误的风险,只是最狭义的审计风险,而审计风险本身具有更广泛的含义。本文认为,审计风险可以从三个层次上来说明:
第一层次:最狭义的审计风险,即指财务报表有重大错误而注册会计师签发完全肯定意见的审计报告的风险。这是审计实践中大量发生的情况,因而成为研究的重点,包括最新的国际审计准则和我国的审计风险准则征求意见稿在内的许多审计准则都作了类似的规定。
第二层次:狭义的审计风险,即发表了不恰当审计意见的风险,既包括注册会计师把错误判断为正确的情况(误受险),也包括把正确判断为错误的情况(误拒险),只是后者不大可能发生,在实务中多数情况下不予考虑。这个层次比第一层次在含义上要广泛一些。第三层次:广义的审计风险,即审计职业风险。本文认为风险是指在特定的客观条件下损失发生的可能性。这是从最广泛的意义上理解风险的,推而广之,审计风险也可以理解为审计主体遭受损失的可能性。风险的几个方面都与财务报表审计有关,主要有狭义的审计风险和业务关系风险。业务关系风险是指尽管注册会计师和会计师事务所遵循了公认审计准则并了正确的审计意见,然而由于与被审计单位之间的特定关系,因此可能受到被审计单位的牵连(特别是在被审计单位发生经营失败时)而可能导致注册会计师和会计师事务所要承担一定损失的风险(朱小平、叶友,2003)。这也是审计职业界面临诉讼“爆炸”的重要原因,也是现代风险基础审计方法要关注的地方。报表使用者在发生经营失败时指责审计失误,部分原因是他们分不清注册会计师的作用,对注册会计师抱有过高的期望,无法区别审计功能与业务关系风险之间的差别;另一部分原因是遭受损失的人们由于对其经济利益的关注而对注册会计师提出过高的要求,一旦受损就希望得到补偿没,而不问错在何方。
注册会计师职业的生存和发展都必须以谋取经济利益为基础,它一方面要履行社会鉴证的职责,另一方面又必须同其服务对象进行合作,追求一定的经济利益,以满足自身生存和发展的条件。这样,审计职业界就必须在法律、职业道德和自身利益之间寻求平衡点。由于法规、经济环境和自身利益需求等因素是不断发展变化的,它们之间的平衡状态便会不断地被打破,每一次失衡状态都会给职业界带来一定的风险。20世纪90年代以来,客户关系对审计组织和个人构成的风险有日益增长的趋势(吴荣国、赵世君,2003)。这是因为:报表使用者对注册会计师的责任的了解正在增加;政府保护投资人利益的意识正在增强;企业规模的扩大,业务的复杂性和电子商务的兴起等原因,会计和审计业务更为复杂,纵使遵循了审计准则,也很难保证企业不会发生经营失误;社会日益赞同受伤害的一方向有能力提供赔偿的一方提出诉讼;很多会计师事务所为节省法律费用或避免不利于自己的问题张扬出去,宁愿私了也不愿通过司法程序解决问题;客户可选择的编制财务报表的会计原则很多,而注册会计师在评价所选用的原则是否恰当时缺乏明确的标准。上述的因素,使即使不是审计过程中发生的失误行为,亦对注册会计师和会计师事务所构成了风险,因而必须把业务关系风险列入审计风险的范畴,并扩大注册会计师的审计范围。
