前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的固有風險和控制風險主題范文,僅供參考,歡迎閱讀并收藏。
關(guān)鍵詞:電子政務 信息系統(tǒng)審計 審計風險 風險管理
一、電子政務信息系統(tǒng)審計風險研究的意義、方法
電子政務是國家信息化建設(shè)的重點工作,其成功與否直接影響著我國政府改革的進程,然而信息化建設(shè)往往伴隨著巨大的風險,所以必須對電子政務信息系統(tǒng)的建設(shè)實施科學全面的審計。在信息系統(tǒng)審計的過程中,審計人員通過收集證據(jù)來判斷系統(tǒng)本身是否達到保護資源安全,數(shù)據(jù)完整,系統(tǒng)穩(wěn)定、有效和高效等目標,但有時會出現(xiàn)審計人員發(fā)現(xiàn)不了系統(tǒng)內(nèi)部存在的缺陷或錯誤的情況,這說明對信息系統(tǒng)的審計可能出現(xiàn)判斷出錯的可能性,這種可能性就是信息系統(tǒng)審計風險。而電子政務信息系統(tǒng)審計由于電子政務的特殊性而存在著更為復雜的審計風險。
在這樣的環(huán)境下,研究電子政務信息系統(tǒng)的審計風險具有非常重要的意義。國內(nèi)外對傳統(tǒng)審計領(lǐng)域中的審計風險研究已經(jīng)相當成熟,而對電子政務環(huán)境下審計風險的研究數(shù)量相對較少且處于初步探索階段。國內(nèi)的朱萍等以審計風險模型為基礎(chǔ),認為應通過合理評估固有風險和控制風險的水平來確定檢查風險,達到降低審計風險的目的,并重點闡述了控制風險的評估[1]。孫綱以審計理論和評價理論為基礎(chǔ),構(gòu)建了審計風險評價方法體系,最后通過比較期望審計風險與實際審計風險作為審計終止標準的方法來降低總體審計風險[2]。還有一些學者針對電子商務環(huán)境下的審計風險做了研究:王樂聲從傳統(tǒng)審計風險模型的固有風險、控制風險、檢查風險三個要素著手提出了降低電子商務審計風險的對策[3]。劉知強通過文獻分析法及專家咨詢法兩種方式設(shè)計了電子商務環(huán)境下審計風險量表,對電子商務環(huán)境下的審計風險進行了識別分析,并在量表的基礎(chǔ)上建立了適應電子商務環(huán)境下的審計風險模型[4]。
本文對電子政務信息系統(tǒng)審計風險的研究將借鑒COSO(Committee of Sponsoring Organization,內(nèi)部控制委員會)在2004年的《企業(yè)風險管理――整體框架》[5]。該框架是在1992年的《內(nèi)部控制――整體架構(gòu)》的基礎(chǔ)上提出的,重點闡述了八要素風險管理理論;與原來的五要素內(nèi)部控制框架不同,它更側(cè)重于風險管理,強調(diào)內(nèi)部控制是風險管理必不可少的一部分。該框架對于企業(yè)風險管理的定義具有廣泛的適用性,適用于各種類型的組織、行業(yè)和部門,也成為了衡量企業(yè)風險管理是否有效的一個標準,對于我們開展電子政務信息系統(tǒng)審計風險研究具有很好的借鑒作用[6]。
對電子政務信息系統(tǒng)審計的風險研究首先應以傳統(tǒng)審計風險理論為前提,傳統(tǒng)審計風險包括固有風險、控制風險和檢查風險三個組成要素,它們之間的相互關(guān)系可以從定量和定性兩個方面加以考察。
從定量的角度看,審計風險及組成要素的相互關(guān)系可用以下公式表示:
審計風險=固有風險×控制風險×檢查風險
這個公式也被稱作傳統(tǒng)審計風險模型。
從定性的角度看,檢查風險與固有風險和控制風險的綜合水平之間存在著反比關(guān)系,固有風險和控制風險的綜合水平越高,審計人員可接受的檢查風險水平越低;反之亦然。對于固有風險和控制風險,它在審計人員審計過程中已成為既定的事實,審計人員無法改變它,但可通過對被審計單位的了解和測試來合理評估固有風險和控制風險,評估的目的是為了確定檢查風險水平,并據(jù)此來開展實質(zhì)性測試以降低檢查風險,從而最終將審計風險控制于可接受的水平。
二、電子政務信息系統(tǒng)審計風險研究框架
基于傳統(tǒng)的審計風險模型和審計風險各要素的定性關(guān)系,并借鑒COSO風險管理理論,本文提出了電子政務信息系統(tǒng)的審計風險研究框架(見圖1)。
圖1 電子政務信息系統(tǒng)的審計風險研究框架
下文將分別對電子政務信息系統(tǒng)固有風險的識別、固有風險的評價以及控制風險的評價和檢查風險的評價等幾方面進行討論。
⒈固有風險識別
所謂固有風險識別,是指電子政務信息系統(tǒng)審計人員對電子政務信息系統(tǒng)固有風險的發(fā)生領(lǐng)域進行識別和分析,以確定風險的來源,描述風險特征。從電子政務建設(shè)的整個生命周期來看,其固有風險貫穿于電子政務信息系統(tǒng)建設(shè)項目的始終,所以應將電子政務看作一個大系統(tǒng)并從系統(tǒng)工程和項目管理的角度來對電子政務信息系統(tǒng)的固有風險進行全面識別,無論風險性質(zhì)和風險大小,都應盡可能全面地找出其存在的固有風險[7]。
根據(jù)系統(tǒng)分析法,電子政務信息系統(tǒng)的固有風險可劃分為系統(tǒng)風險和非系統(tǒng)風險。系統(tǒng)風險是電子政務信息系統(tǒng)的特別風險,是由其本身的開發(fā)、建設(shè)、管理等活動帶來的;非系統(tǒng)風險是指電子政務建設(shè)之外的某種因素引起的可能對所有電子政務建設(shè)都帶來損失的不確定性風險。
電子政務信息系統(tǒng)的固有風險按照風險的不同來源可以進一步進行分類和細化(如圖2所示)。需要指出的是,各種電子政務信息系統(tǒng)固有風險領(lǐng)域之間并不是獨立的,而是存在各種聯(lián)系的,分析時應對此做綜合考慮。
圖2 電子政務信息系統(tǒng)固有風險分類圖
⒉固有風險評價
對固有風險的評價可采取多種方法,由于電子政務信息系統(tǒng)的固有風險是由諸多相互關(guān)聯(lián)又相互制約的因素構(gòu)成,既復雜又缺少足量數(shù)據(jù),所以采用單純的定性和定量分析的方法往往缺乏可操作性。因此,本文決定同時采用特爾斐法和AHP法作定性和定量分析,最后對用這兩種方法得出的結(jié)果進行比較,以實現(xiàn)分析結(jié)果的科學性和加強評價的實際可操作性。
特爾斐法由美國著名的蘭德公司提出并使用,是能夠?qū)Υ罅糠羌夹g(shù)性的無法定量分析的因素進行概率估算的方法,它是一種客觀的綜合多數(shù)專家經(jīng)驗與主觀判斷的技巧,也可稱為專家打分法,它是系統(tǒng)工程中一種很重要的測定方法。
AHP(analytic hierarchy process,層次分析法)是美國運籌學家T.L.Salty在20世紀70年代提出的一種定性與定量結(jié)合的決策分析方法。它把需要研究的復雜問題分解為不同的組成元素,并針對總目標按相互關(guān)系影響劃分為有序遞階層次結(jié)構(gòu)圖,通過各元素的兩兩比較,確定層次中諸因素相對于上一層次某因素的相對重要性,然后綜合人的判斷以決定各因素相對重要性的總順序[8]。
采用AHP法和特爾斐法進行電子政務信息系統(tǒng)固有風險評價的過程如圖3所示。
圖3 電子政務信息系統(tǒng)固有風險評價流程圖
⒊控制風險評價
前文介紹了電子政務信息系統(tǒng)建設(shè)項目存在的各種風險,根據(jù)COSO企業(yè)風險管理整體框架的要求,對于這些風險被審計單位通常會采取必要的管理措施。良好的風險管理能夠降低電子政務信息系統(tǒng)存在的風險,但是無論被審計單位風險管理的設(shè)計和運行多么完善,仍無法消除其固有的缺陷和局限性,所以審計人員在進行審計的過程中必須了解電子政務信息系統(tǒng)的風險管理情況,并對存在的控制風險做出科學客觀的評價,為即將進行的實質(zhì)性測試提供依據(jù)。控制風險的合理評估對于審計人員做出正確的審計報告具有關(guān)鍵的作用,應充分重視這一環(huán)節(jié)??刂骑L險的具體評價過程如下(參見圖4):
圖4 控制風險的評價過程
⑴首先審計人員應了解電子政務信息系統(tǒng)的風險管理狀況,分別從控制環(huán)境、目標確定、事件識別、風險評價、風險反應、控制活動、信息溝通和監(jiān)控方面來考察。這里審計人員可通過多種可行的辦法來了解其實際狀況,如可通過查閱有關(guān)規(guī)章制度及方針政策等文件,與負責人座談、詢問有關(guān)人員、實地觀察、發(fā)放調(diào)查表、查閱前期審計報告、與程序設(shè)計人員直接對話等手段來實現(xiàn),由此可以對被審計單位電子政務信息系統(tǒng)內(nèi)部的風險管理設(shè)計的合理性、健全性做出初步評價,并可通過書面說明法、調(diào)查表法和流程圖法做出描述。這一步是對控制風險的初評,對控制風險的初評寧可高估不宜低估,以降低審計風險。
⑵符合性測試是指對內(nèi)部控制的完整性、有效性和實施情況進行測試。本文的符合性測試是以COSO企業(yè)風險管理框架為基準,是對電子政務信息系統(tǒng)的風險管理的完整性、有效性及合理性進行測試。這一部分可作為下一步風險管理現(xiàn)狀和得分的重要依據(jù)。
⑶通過比較法評估風險管理情況,同時進行控制風險的二評。比較法就是通過對實際系統(tǒng)風險管理現(xiàn)狀的調(diào)查取證和描述,然后與現(xiàn)有的評價標準(本文以COSO企業(yè)風險管理整體框架為評價標準)進行比較,以此得出被審計單位風險管理符合性的總體評價,最后用百分制打分的方式顯示評價結(jié)果[9]。因為此方法在使用時以國際現(xiàn)行風險管理整體框架為評價標準并緊密結(jié)合目標系統(tǒng)的實際,所以其評價指標的設(shè)定更具科學性和可操作性;同時此方法通過實際與標準的比較得出結(jié)論,使評價更具可靠性。
比較法中涉及幾方面的要素,分別是評價標準、評價指標、評價指標權(quán)重、評價方法、評價程序及評分表,其中風險管理評分表是整個評估成果的綜合體現(xiàn)。
評分表的表頭欄目如表1所示,評分表的“得分”欄是根據(jù)風險管理指標現(xiàn)狀與標準的符合性程度而得出的,采用的是百分制的方式。
表1電子政務信息系統(tǒng)風險管理情況評分表
風險管理的總得分=∑COSO八要素權(quán)重*各項具體指標權(quán)重*各項具體指標得分。
⑷控制風險終評。這一步發(fā)生在實質(zhì)性測試之后。根據(jù)實質(zhì)性測試的結(jié)果和其他審計的證據(jù),對控制風險進行最終評估,主要是看其是否與控制風險的計劃評估結(jié)論相一致。如果控制風險水平高于計劃評估水平,則說明審計程序不充分,審計人員應考慮是否追加相應的審計程序;如果低于計劃評估水平,則說明按計劃評估控制風險水平制定的審計程序執(zhí)行已經(jīng)比較充分,無須考慮追加審計程序[1]。
⒋檢查風險評價
一般來講,檢查風險是指信息系統(tǒng)中的某些電子數(shù)據(jù)存在重大錯報或漏報,而未能被實質(zhì)性測試發(fā)現(xiàn)的可能性。檢查風險是必然存在的風險,它與被審計單位無關(guān),與審計程序的有效性有關(guān)。比如審計人員在進行實質(zhì)性測試的時候,由于采取抽樣技術(shù)而出現(xiàn)的抽樣風險;另外,除了抽樣風險之外也有非抽樣風險。在電子政務信息系統(tǒng)審計中,因為信息系統(tǒng)中電子數(shù)據(jù)的形式多樣性,增加了提取審計證據(jù)的困難;由于內(nèi)部控制主要依賴于軟件本身,增加了難以全面檢查測試的可能性。如此種種情況而使風險評估變得更為復雜,檢查風險大大增加。對檢查風險的評價直接影響著審計人員對審計風險的綜合評價,所以應充分重視檢查風險的評價。審計人員可先找出檢查風險的影響因素,并建立檢查風險的評價指標集,利用風險因素分析法、模糊綜合評價法等方法來進行檢查風險的評估。
三、結(jié)束語
隨著的信息化程度越來越高,電子政務信息系統(tǒng)審計也越來越得到人們的重視,對電子政務信息系統(tǒng)實施科學的審計能夠最大限度地降低電子政務建設(shè)項目的風險。而審計本身也是存在審計風險的,審計人員如何開展電子政務審計工作,如何將審計風險降低至可接受的水平,需要全面認識和正確評價電子政務信息系統(tǒng)存在的各種風險,幫助和監(jiān)督被審計單位建立、健全電子政務信息系統(tǒng)風險管理制度,并提高風險管理水平。電子政務信息系統(tǒng)的審計風險涉及諸多主客觀因素:不僅包括信息化的風險,也包括許多人的因素,其復雜程度極高。本文建議從系統(tǒng)工程和風險管理的角度來對電子政務信息系統(tǒng)的審計風險進行分析,以理論為指導并在實踐中不斷摸索改進電子政務信息系統(tǒng)的風險管理方法,使其更具可操作性和適用性。
參考文獻:
1朱萍,劉圣妮. 審計風險模型及其應用分析[J]. 廣西商業(yè)高等專科學校學報,2002,19(1):71-74
2孫綱. 審計風險評價方法研究[D]. 哈爾濱理工大學經(jīng)濟管理學院,2005
3王樂聲. 論電子商務環(huán)境下的審計風險[J]. 蘭州商學院學報,2001,17(05):114-116
4劉知強. 電子商務環(huán)境下審計風險研究[D]. 大連理工大學,2005(04):45-49
5Committee of Sponsoring Organizations of the Treadway Commission(COSO). Enterprise Risk Management Integrated Framework[R]. 2004
6朱榮恩,賀欣. 內(nèi)部控制框架的新發(fā)展――企業(yè)風險管理框架[J]. 審計研究,2003(06):11-15
7Schwalbe K. Information Technology Project Management[M]. 北京:機械工業(yè)出版社,2003:301-333
8陳衛(wèi),方廷健,馬永軍,等. 基于Delphi法和AHP法的群體決策研究及應用[J]. 計算機工程,2003,29 (5):18-20
9劉智. 基于COSO框架的東方公司內(nèi)部控制診斷評估方法研究[D]. 北京化工大學, 2006
作者簡介:
[關(guān)鍵詞]審計重要性 審計風險 審計證據(jù) 關(guān)系
一、審計重要性與審計風險之間的關(guān)系
審計重要性是審計風險及其模型的一個關(guān)鍵概念,審計風險的界定必須聯(lián)系重要性。在國際審計準則及我國獨立審計具體準則中定義的“審計風險”為:當財務報表發(fā)生重大錯報或漏報時,審計師發(fā)表不恰當審計意見的風險。審計風險有三個構(gòu)成部分:固有風險、控制風險、檢查風險”。這些定義的一個共同點是均認為:審計風險是指會計報表存在重大錯報,審計師發(fā)表不恰當審計意見的可能性??梢?,考慮審計風險,不能脫離重要性,審計重要性決定了審計風險。
就審計重要性與審計風險的關(guān)系,有關(guān)準則和教科書都認為,它們兩者成反向關(guān)系。在國際審計準則及我國獨立審計具體準則中認為,“在重要性與審計風險水平之間存在反向關(guān)系,就是重要性水平越高,審計風險越低,反之亦然”。
要理解它們之間的關(guān)系,需要先考察審計風險與實質(zhì)性測試——檢查風險的關(guān)系。我們知道,審計風險由固有風險、控制風險、檢查風險三個要素組成,它們之間的相互關(guān)系是:審計風險=固有風險*控制風險*檢查風險
既:檢查風險=審計風險/(固有風險*控制風險)
(一)可見,在固有風險與控制風險水平確定的情況下,審計風險與檢查風險成同向變化的關(guān)系即:檢查風險越高,審計風險越高;檢查風險越低,審計風險越低。在審計中,審計師無法控制固有風險和控制風險,但可以根據(jù)被審計單位的特定環(huán)境評估它們水平的高低。因此,審計師要控制審計風險,只能通過控制檢查風險來實現(xiàn)。在實質(zhì)上,我們所說的審計風險高是指檢查風險高,審計風險低是指檢查風險低,控制審計風險就是要控制檢查風險。這樣,審計重要性與審計風險的關(guān)系,實質(zhì)上就是審計重要性與檢查風險的關(guān)系。
(二)我們再來考察一下重要性水平與檢查風險的關(guān)系。重要性水平是從會計報表使用者角度來確定的。對使用者來說,超過該重要性水平的金額的錯報或漏報才會影響他們的決策或判斷,反之,則不然。在一般正常情況下,金額越大的錯報或漏報越容易被實質(zhì)性測試發(fā)現(xiàn);金額越小的錯報或漏報越不容易被實質(zhì)性測試發(fā)現(xiàn)。這樣,我們很自然地得出結(jié)論:重要性水平越高,檢查風險越低;重要性水平越低,檢查風險越高。
(三)根據(jù)審計風險與檢查風險關(guān)系的結(jié)論,結(jié)合審計重要性與檢查風險關(guān)系的結(jié)論,我們可推導審計重要性與審計風險的關(guān)系;重要性水平越高,審計風險越低;審計風險的高低不決定重要性水平的高低,但影響重要性水平的確定。
二、審計重要性與審計證據(jù)之間的關(guān)系
前面我們已經(jīng)推出審計重要性與審計風險成反向變化的關(guān)系,那么我們就可以順序推出:審計重要性與審計證據(jù)成反向變化的關(guān)系。我們也可以進一步解釋:審計重要性水平越低,即較低金額的錯報或漏報對會計報表使用者也是重要的,那么就要求審計師在實質(zhì)性測試中努力發(fā)現(xiàn)該金額以上的錯報或漏報。為實現(xiàn)較小金額的錯報或漏報的審計目標,就需要審計師增加實施審計程序、擴大審查范圍、從不同的途徑收集較多的審計證據(jù),即審計重要性水平低,審計范圍寬,審計證據(jù)多,相反,審計重要性水平越高,即較高金額的錯報或漏報對會計報表使用者才是重要的,那么,就要求審計師在實質(zhì)性測試中努力發(fā)現(xiàn)較高金額以上的錯報或漏報,而不需要刻意去發(fā)現(xiàn)較高金額以下的錯報或漏報。這樣,審計師只要在較窄的范圍進行審查,實施較少的審計程序,合理保證發(fā)現(xiàn)較大金額以上的錯報或漏報就可以了。相應地,所需收集的審計證據(jù)就可以少些,即審計重要性水平高,審計范圍窄,審計證據(jù)少。但我們必須強調(diào)的是:審計證據(jù)的多少是相對的,任何時候都應當保證審計證據(jù)的充分適當性,以支持審計結(jié)論。
(一)審計重要性決定審計證據(jù),即重要性水平的高低決定審計證據(jù)的多少。但審計證據(jù)對重要性水平則沒有影響,它們之間的關(guān)系不同于審計重要性與審計風險的關(guān)系。
(二)審計重要性與審計證據(jù)的反向關(guān)系對審計實務同樣有著重要的指導意義:審計重要性水平越高,審計師可以縮小審查范圍,減少審計程序,收集較少的審計證據(jù);審計重要性越低,審計師就應擴大審查范圍,增加審查程序,收集較多的審計證據(jù)。
三、審計風險與審計證據(jù)之間的關(guān)系
由前已知審計風險是由固有風險、控制風險、檢查風險三個要素組成,要談審計風險與審計證據(jù)之間關(guān)系就不得不談這三個要素與審計證據(jù)之間的關(guān)系。
(一)審計風險和審計證據(jù)。審計風險和支持注冊會計師對會計報表發(fā)表意見所需的審計證據(jù)數(shù)量之間呈反向關(guān)系。因為對特定的被審計單位.注冊會計師可以接受的審計風險水平越低,即對審計質(zhì)量的要求越高所需收集證據(jù)的數(shù)量也就越多。
(二)檢查風險和審計證據(jù)。檢查風險和審計證據(jù)也呈反向關(guān)系。因為注冊會計師確定的檢查風險的可接受水平越低,為限制檢查風險達到這一水平就應實施越詳細的實質(zhì)性測試程序,從而需要收集較多的證據(jù)。
(三)固有風險和審計證據(jù)。固有風險和審計證據(jù)的關(guān)系包括兩個方面:
1.若注冊會計師欲將固有風險估計為低水平則為支持這樣一個低水平的固有風險,就需要較多地收集有關(guān)被審計單位基本情況的證據(jù)。即固有風險的計劃估計水平與據(jù)以確定固有風險水平的證據(jù)數(shù)量成反向關(guān)系。
2.若注冊會計師將固有風險確定為低水平,則意味著注冊會計師認為被審計單位賬戶或交易本身發(fā)生差錯的可能性較小。注冊會計師可接受的檢查風險水平相對較高。因而注冊會計師在實質(zhì)性測試中所需收集的證據(jù)就少。即固有風險的實際估計水平與實質(zhì)性測試需收集的證據(jù)數(shù)量成正向關(guān)系。
(四)控制風險和審計證據(jù)。控制風險和審計證據(jù)的關(guān)系也包括兩個方面:
1.控制風險的計劃估計水平與關(guān)于內(nèi)部控制健全有效的證據(jù)數(shù)量是反向關(guān)系。就是說控制風險的計劃估計水平越低,為支持這樣一個低的控制風險水平,也就要收集較多的有關(guān)被審計單位內(nèi)部控制設(shè)計合理與運行有效的審計證據(jù)。
2.控制風險的實際估計水平與實質(zhì)性測試所需收集的證據(jù)數(shù)量是正向關(guān)系。即控制風險的實際水平越高,意味著被審計單位的內(nèi)部控制越不可信賴,注冊會計師可接受的檢查風險水平就會越低。因而在實質(zhì)性測試中需要收集的證據(jù)的數(shù)量也就越多。
綜上所述,在一定重要性水平限度內(nèi),注冊會計師確定的重要性水平越高,實際的審計風險水平越低;可接受的審計風險水平越高,固有風險和控制風險的綜合水平越低;檢查風險越高,所需要審計證據(jù)的充分、適當性水平越低。反之,注冊會計師定的重要性水平越低,實際的審計風險水平越低,固有風險和控制風險的綜合水平越高;檢查風險越低,所需要的審計證據(jù)的充分、適當性水平越高。
正是因為重要性、審計證據(jù)和審計風險之間存在這樣的內(nèi)在關(guān)系。為注冊會計師在審計過程中,衡量收集到的審計證據(jù)所含風險的包容性、確定具體審計內(nèi)容、審計方法和程序,在審計抽樣中確定可靠性水平以及精確度上下限和最終評價審計結(jié)果提供了依據(jù)。
參考文獻
[1]中國《獨立審計具體準則第9號—內(nèi)部控制與審計風險》.1997.
[2]中國《獨立審計具體準則第10號—審計重要性》.1997.
[3]W.羅伯特.克涅科(W. Robert Knechel).審計學:教程案例(英文版)(Auditing: Text&Cases)[M].大連:東北財經(jīng)大學出版社,1998.
[4]朱錦余.審計重要性與審計風險、審計證據(jù)關(guān)系及圖解.2000.
[5]吳琮璠.審計學.中國人民大學出版社,2005.
[關(guān)鍵詞] 審計風險模型 缺陷 重構(gòu)
一、有關(guān)審計風險模型的理論回顧
(一)國外有關(guān)審計風險模型的研究
D.H.羅伯茲(D.H.Roberts)于1978年提出了最早的審計終極風險模型,即:終極風險=固有風險×控制風險×分析性檢查風險×(抽樣風險+非抽樣風險)。1981年,美國審計準則委員會(AICPA)的第39號準則公告《審計抽樣》認為:審計風險由固有風險、控制風險、分析性檢查風險和詳細測試風險等四個子風險組成,其中:固有風險和控制風險表示財務報表中發(fā)生重大錯誤的風險,分析性檢查風險和詳細測試風險表示財務報表中的重大錯誤未被發(fā)現(xiàn)的風險。1983年,AICPA在第47號審計標準說明《審計業(yè)務的審計風險和重要性》(SAS47#)中對審計風險模型又做出了修改,其提出的審計模型為:審計風險=固有風險×控制風險×檢查風險,由于該模型涵蓋了主要審計風險要素,并表明了其間的數(shù)量關(guān)系,便于計量,具有廣泛的適用性和可操作性,因而被國際上大多數(shù)審計組織及會計師事務所采用,修訂前的國際審計準則以及我國目前的獨立審計準則都采用了該模型。2003年,修訂后的國際審計準則提出了全新的審計風險模型,即:審計風險=重大錯報風險×檢查風險,將固有風險和控制風險合并為綜合風險,用重大錯報風險進行表示,認為審計風險取決于重大錯報風險和檢查風險,注冊會計師應當實施風險評估程序,評估重大錯報風險,并根據(jù)評估結(jié)果進一步設(shè)計和實施審計程序,以控制檢查風險,將審計風險降低到可接受的水平。
除上述幾次對審計風險模型有著重大意義的修改外,其他一些學者和機構(gòu)也針對審計風險模型提出了自己的見解——霍爾斯坦姆(G.S.Holstrum)和柯林蘭(J.l.kirtland)在1983年提出:審計風險=固有風險×控制風險×分析性檢查風險×實質(zhì)性測試風險;英國審計實務委員會(APC)也在1987年提出了一個審計風險模型,即:審計風險=固有風險×控制風險×檢查風險×抽樣風險。
(二)我國審計理論界有關(guān)審計風險模型的研究
雖然與西方國家相比,我國審計理論界對審計風險模型的研究起步較晚,但也有許多的專家學者對其提出了自己的見解。在1996年版的上海財經(jīng)大學會計教材系列叢書《審計》一書中,主編周勤業(yè)等提出了一個新的審計風險模型,即:審計風險(AR)=固有風險(IR)×控制風險(CR)×非抽樣風險(USR)×抽樣風險(SR),該模型對除固有風險、控制風險外的其他影響因素提出了自己的見解,是對D.H.羅伯茲所提出的審計風險模型的一種完善,得到了我國審計界的一定認可。周家才(2002)在《試論審計風險概念及審計風險模型的重建》一文中將審計風險模型定義為:審計風險=固有風險×控制風險×檢查風險×訴訟風險,該模型將審計界正越來越不可回避的“訴訟風險”考慮了進去,具有一定的現(xiàn)實性,得到了國內(nèi)審計界的廣泛認同。
此外,其他一些學者也對審計風險模型提出了自己的見解。張仁壽(2000)認為,現(xiàn)行審計風險模型的三個風險因素之間不是相互獨立關(guān)系,并對模型進行了適當修改,即:審計風險=固有風險+控制風險×檢查風險。呂博(2002)將隨機擾動因素引入審計風險模型,構(gòu)建了一個新的審計風險模型,即:審計風險=固有風險×控制風險×檢查風險+隨機擾動項。這些新的風險模型也都具有一定的合理性,提出后也得到了學術(shù)界一定程度的認同。
二、我國現(xiàn)行的審計風險模型及其缺陷
由中國注冊會計師協(xié)會頒布的《獨立審計具體準則第9號——內(nèi)部控制與審計風險》,在其第一章第二條中將審計風險定義為:“審計風險,是指會計報表存在重大錯報或漏報,而注冊會計師審計后發(fā)表不恰當審計意見的可能性”。該定義與國際審計準則的定義基本相同,涉及三個要素,即:行為、行為后果、產(chǎn)生后果的原因。定義中的行為是“注冊會計師進行審計并發(fā)表審計意見”,行為的后果是發(fā)生了“風險”,產(chǎn)生后果的原因是“發(fā)表不恰當審計意見”?;谶@一定義,我國在制定審計準則時也接受了SAS47中所提到的審計風險模型,即:審計風險(AR)=固有風險(IR)×控制風險(CR)×檢查風險(DR)。這一模型的特點在于:從風險控制程序上分解審計風險,并用連乘的形式表明了審計風險在不同階段的數(shù)量關(guān)系。這種審計風險模型為進行基礎(chǔ)審計提供了重要的理論基礎(chǔ),也使得進一步定量評估審計風險成為可能,因而具有重要的理論意義。實務中,審計人員也往往根據(jù)該模型和對控制風險的評估結(jié)果決定審計程序或?qū)徲嫹秶蚨?,該模型還具有重要的實踐意義。然而,隨著社會經(jīng)濟發(fā)展和審計事業(yè)的不斷進步,審計領(lǐng)域出現(xiàn)了許多新情況、新問題,原有的理論模型在審計實踐運用中暴露出一些缺陷:
首先,該模型中的固有風險沒有包含被審計單位的經(jīng)營風險。在我國《獨立審計具體準則第9號》“評估固有風險”項目中,被審計單位的經(jīng)營風險的評估被排除在外。事實上,被審計單位的經(jīng)營風險確實在危及審計執(zhí)業(yè)界,原因有二:一是現(xiàn)代審計只限于抽樣,審計并不能發(fā)現(xiàn)財務報表中的全部錯誤項目,特別是難發(fā)現(xiàn)隱蔽較好的欺詐,所以存在審計不能發(fā)現(xiàn)重大錯誤項目的風險;二是由于審計工作自身的復雜性,在實踐中很難確定審計人員是否保持了應有的職業(yè)謹慎。
其次,該模型涉及的風險只與審計過程和審計順序有關(guān),即只從審計主體的審計檢查方法和審計對象的經(jīng)營、內(nèi)部控制方面考慮審計風險因素,未充分考慮審計風險產(chǎn)生的其他原因,如報表使用者的訴訟請求因素、社會宏觀法律環(huán)境因素等,而這些因素與審計風險的發(fā)生息息相關(guān)。
第三,該模型對審計風險的表達不完整。隨著審計風險含義的不斷擴大,審計風險控制就不能只局限于審計過程和審計對象,必須把審計風險的控制放在一個系統(tǒng)中全面把握,還應考慮審計環(huán)境、審計人員素質(zhì)等因素。審計風險范圍應擴大為審計主體風險、會計師事務所風險和會計行業(yè)風險,還應包括審計結(jié)論利用中產(chǎn)生的法律風險以及賠償風險等。
第四,在日常審計案件中出現(xiàn)的一些問題并非完全是由于技術(shù)上或程序上的失誤造成的,審計主體的日常行為和工作態(tài)度有時也會成為問題的癥結(jié)所在。因此,除應關(guān)注審計技術(shù)和程序的發(fā)展外,也應關(guān)注審計主體的自身行為。但是,該審計風險模型無法描述由于審計人員不道德行為所產(chǎn)生的風險,例如:企業(yè)與審計主體合謀舞弊而出具不恰當?shù)膶徲媹蟾娴取?/p>
三、對現(xiàn)行審計風險模型的重構(gòu)
(一)新風險因素的引入
本文將從審計風險的成因角度入手,提出另外兩個與審計風險模型相關(guān)的風險因素,即:
(1)主觀風險因素,主要包括:
1. 由審計人員工作經(jīng)驗和能力的差異或不足而引發(fā)的審計風險。由于種種原因,在我國目前的注冊會計師隊伍中,很多有經(jīng)驗的注冊會計師不具備計算機審計知識,其審計能力的發(fā)揮因而受到一定程度的制約,致使審計所能完成任務的能力難以達到社會的全部期望,或者導致社會與審計執(zhí)業(yè)界對審計內(nèi)容和要求認識的不一致,最終使注冊會計師陷入不愉快的責任訴訟糾紛之中。不可否認,審計所能滿足的社會需求是相對的,而不是絕對的,現(xiàn)有審計能力與社會公眾的需求或期望必然存在一定偏差,而這一偏差所導致的審計風險正是由審計人員經(jīng)驗和能力的有限性而引發(fā)的。
2. 由審計人員工作責任心不足而引發(fā)的審計風險。民間審計是一種專門的技術(shù)服務,審計人員有責任計劃自己的審計工作,以查出可能對財務報表有重大影響的差錯,并在實施審計過程中運用應有的技術(shù)和保持應有的職業(yè)關(guān)注。由此可見,審計工作的順利開展要求審計人員德才兼?zhèn)?,既具有高尚的品德,正直的人格和一絲不茍的工作態(tài)度,又具有扎實的會計、審計、法律知識和審計基本技能,還具有敏銳的分析能力和準確的判斷能力。毋須諱言,在我國,審計人員并不是人人能夠達到上述要求,這勢必會限制審計工作的開展,影響審計質(zhì)量。
3. 由審計人員在執(zhí)行審計業(yè)務時缺乏應有的職業(yè)謹慎而引發(fā)的審計風險。有些審計風險的產(chǎn)生與審計人員執(zhí)業(yè)時缺乏應有的職業(yè)謹慎有關(guān),例如:審計人員制定審計計劃脫離實際,審計人員對審計過程中發(fā)現(xiàn)的疑點未進行擴大范圍的審計,進行抽樣審計時對樣本及抽樣方法選擇缺乏深思熟慮,編寫審計報告措詞不當?shù)龋@些都與審計人員缺乏應有的職業(yè)謹慎有關(guān),都將直接導致審計風險的產(chǎn)生。
4. 由審計人員對現(xiàn)代審計方法的掌握程度低或應用不當而引發(fā)的審計風險?,F(xiàn)代審計的一個顯著的特點就是采用抽樣審計方法,即根據(jù)總體中的部分樣本的特征來推斷總體的特征,推斷結(jié)果可靠與否,與是否遵循“隨機原則”抽取樣本高度相關(guān)。如果審計人員破壞隨機原則或還沒有十分把握所抽取的樣本能否代表總體,則必然會產(chǎn)生抽樣風險。毫無疑問,抽樣風險是導致審計檢查風險的原因之一。因此,審計人員對現(xiàn)代審計的掌握程度低或應用不當也會引發(fā)審計風險。
(2)客觀風險因素,主要包括:
1. 由被審計單位內(nèi)外部環(huán)境復雜多變而引發(fā)的審計風險?,F(xiàn)代市場經(jīng)濟的顯著特征在于不穩(wěn)定性的增強,企業(yè)為了在激烈的市場中謀生存、求發(fā)展,不斷擴大經(jīng)營規(guī)模,所進行的交易也日趨復雜化。隨著業(yè)務數(shù)量的增多,特別是一些經(jīng)濟業(yè)務已超出現(xiàn)有會計準則、會計規(guī)范的規(guī)制范圍,會計核算中出現(xiàn)記錄不當?shù)目赡苄砸嚯S之增加,而且這種不當很容易被大量的其它信息所掩蓋,在抽樣審計中不被發(fā)現(xiàn)的可能性較大。此外,隨著市場經(jīng)濟的不斷發(fā)展,被審計單位所處的宏微觀經(jīng)濟環(huán)境及政治、法律等經(jīng)營環(huán)境的變化都可能導致企業(yè)出現(xiàn)經(jīng)營風險,進而影響到被審計單位的審計風險。
2. 由審計影響范圍擴大及社會對審計意見的依賴或關(guān)注程度提高而引發(fā)的審計風險?,F(xiàn)代審計發(fā)展到今天,審計在維護市場經(jīng)濟秩序方面的作用越來越突出,人們對審計的理解和認識也越來越深刻。不僅是政府,投資者也將注冊會計師出具的審計報告作為決策的重要依據(jù),一些“潛在的投資者”對注冊會計師出具審計意見表現(xiàn)出了極大的興趣和關(guān)注。與此同時,人們更加重視審計報告書的可靠性,一旦審計報告使用者發(fā)現(xiàn)審計失敗,就會控告審計人員,轉(zhuǎn)嫁投資損失。社會公眾對審計的促進了審計事業(yè)的發(fā)展,也在無形之中加大了審計風險。
3. 由現(xiàn)代審計內(nèi)容的廣泛性而引發(fā)的審計風險。早期審計的重點多放在處理現(xiàn)金的職員的誠實與否上,幾乎不顧其它事項。由于審計范圍較小,業(yè)務較為簡單,審計人員在審計過程中出現(xiàn)錯誤的可能性也較小,審計風險較小;其后,由于企業(yè)的資金周轉(zhuǎn)主要依靠銀行貸款,銀行要求申請貸款者提供可靠的財務數(shù)據(jù),資產(chǎn)負債表和損益表的審計成了審計的重點,審計的范圍和責任也隨之擴大;而隨著經(jīng)濟體制的不斷完善,在已有的審計范圍之外,社會公眾要求審計人員揭示出所有重大的錯報和舞弊,并對企業(yè)持續(xù)經(jīng)營能力做出評價,對企業(yè)財務方面的狀況做出報告——審計范圍擴大,不確定因素勢必增多,審計風險也自然隨之增大。
(二)對現(xiàn)行審計風險模型的重構(gòu)
依據(jù)上述分析可知:影響審計風險模型的構(gòu)成因素并局限于傳統(tǒng)審計風險模型中所包括的固有風險、控制風險和檢查風險等三類因素,審計風險模型的建構(gòu)還應與上文所分析的主觀風險因素和客觀風險因素相關(guān)。鑒于以上分析,在考慮了主觀風險和客觀風險這兩個因素后,將審計風險模型修正為:
AR=IR×CR×DR×SR×OR
式中:AR為審計風險;IR為固有風險;CR為控制風險;DR為檢查風險;SR為主觀風險;OR為客觀風險。
下面用數(shù)理統(tǒng)計的方法論證此模型。
首先,定義以下幾個隨機事件:I為無相關(guān)內(nèi)部控制時,某賬戶或交易產(chǎn)生重大錯報;C為某賬戶或交易產(chǎn)生錯報事實,內(nèi)部控制未成功發(fā)現(xiàn);D為發(fā)生重大錯報時注冊會計師沒有發(fā)現(xiàn);S為由于注冊會計師主觀原因出具了不恰當?shù)膶徲嬕庖?;O為由于客觀原因而使注冊會計師出具了不恰當?shù)膶徲嬕庖姟?/p>
由以上定義可知:D、S、O三個事件之間是一種相互獨立的關(guān)系,即D、S、O三個事件發(fā)生的概率之間沒有必然的聯(lián)系。
根據(jù)以上定義有:
IR=P(I) CR=P(C?I) DR=P(D?IC)
OR=P(O) SR=P(S) AR=P(D×S×O)
由于D、S、O為三個相互獨立的事件
所以AR=P(D×S×O)=P(D)×P(S)×P(O)=DR×SR×OR……………..……①
又因為D 所以有P(D)=P(D∩C∩I)=P(D)P(C?I)P(D?IC)=IR×CR×DR…………②
將②式代入①式可得:AR=IR×CR×DR×SR×OR
由于考慮了主觀風險和客觀風險,以上模型計算出的審計風險將會和實際的審計風險更加吻合,能更好的指導實際的審計工作。
四、結(jié)束語
研究審計風險模型的目的,主要在于增強人們的風險意識,并以風險作為規(guī)劃審計的起點和歸宿。但審計畢竟是一種依靠經(jīng)驗和知識進行判斷的職業(yè),多數(shù)情況下,各審計風險要素的評估,審計證據(jù)的收集數(shù)量和審計證據(jù)的收集方法還需要依靠注冊會計師的職業(yè)判斷來確定,具有很強的主觀性,很難依靠數(shù)學模型進行審計規(guī)劃。盡管注冊會計師在執(zhí)行審計時做出了很大的努力,但對固有風險、控制風險、主觀風險和客觀風險的評估不可能是絕對準確的。再好的審計風險模型,真正運用起來也有很大的局限性,研究審計風險模型的重要意義僅在于其指導性。
參考文獻
[1] 2005年全國注冊會計師統(tǒng)一考試—審計.[M]經(jīng)濟科學出版社,2005年版.
[2] 胡春元.審計風險研究.[M]東北財經(jīng)大學出版社,2001年版.
[3] 肖典鰲等.審計風險管理.[M]對外經(jīng)濟貿(mào)易大學出版社,2003年版.
[4] 秦海青等.審計風險的計量.[J]科學與管理,2005(1).
[5] 馮義秀等.國際審計準則審計模型的變更及我們的借鑒.[J]北京工商大學學報, 2005(1).
[6] 王素梅.論我國審計風險模型的重構(gòu).[J]財會通訊,2004(12).
[7] 周家才.試論審計風險概念及審計模型的重建.[J]財經(jīng)問題研究,2002(6).
一、重要性與審計風險的概念界定
重要性概念在會計審計理論中,指會計報告與實際情況不一致的嚴重程度?!丢毩徲嫓蕜t第10號——審計重要性》中指出,重要性“是指被審計單位會計報表錯報或漏報的嚴重程度,這一程度在特定環(huán)境下可能影響會計報表使用者的判斷或決定”。重要性實質(zhì)上強調(diào)了一個“度”,在會計或?qū)徲媹蟾嬷?,允許一定程度的不準確或不正確的存在,但是要以這個“度”為界。
重要性原則的運用貫穿于會計審計理論及實務中,但重要性水平則可以是針對會計報表、會計賬戶、乃至于各項交易,在多數(shù)場合是針對和首先針對會計報表的。
審計風險由審計行為帶來,指由于審計人員出具的審計報告與被市項目真實情況不一致而承擔審計責任的可能性。審計風險概念的意義不僅在于提請審計人員注重審計質(zhì)量,承擔審計責任,更重要的在于正確評估審計風險、控制審計風險。
二、重要性與審計風險的內(nèi)在關(guān)系
我國理論界公認的審計風險決策模型為:
審計風險(AR)=固有風險(IR)×控制風險(CR)×檢查風險(DR)
它最根本的用途在于根據(jù)確定的預期審計風險、固有風險、控制風險的水平來計算確定檢查風險水平。檢查風險的價值在于據(jù)此確定實質(zhì)性測試的樣本規(guī)模,把審計計劃與審計實施過程有機地聯(lián)系起來。
重要性與審計風險是不可分割使用的兩個概念,必須把它們結(jié)合起來研究。那么,在重要性和審計風險之間存在怎樣的關(guān)系呢?審計報告對被審事項中的重要性錯誤未予極因,就會導致審計風險。因此,重要性是審計風險控制的核心和重點。審計過程中同樣的事項,其重要性程度提高時,審計風險必然降低;反之,審計風險必然提高。因此,重要性和審計風險之間是反向?qū)P(guān)系。
重要性理論的目的在于指導審計實踐。審計人員對會計報表進行審計,首先要對重要性進行初步的判斷。判斷要從數(shù)量和性質(zhì)等方面來考慮。從數(shù)量角度講,重要性表現(xiàn)為重要性數(shù)量水平,如“稅前利潤的5%-10%”、“總資產(chǎn)的0.5%一1%”,等等。在此之所以單獨稱之為“重要性數(shù)量水平”,是為了區(qū)別于一般論述中的“重要性”、“重要性程度”、“重要性水平”。在審計實務中,“重要性數(shù)量水平”的作用在于作為會計報告允許出現(xiàn)差錯的最高水平,評價所發(fā)現(xiàn)問題的重要性,進而確定發(fā)表審計意見的類型。
在實施審計前,審計人員對不同規(guī)模企業(yè)的重要性都有一個比較一致的認同,即有一個大致相同的重要性數(shù)量水平,這個水平應該是相對數(shù)。重要性數(shù)量水平越大,如從5%提高到10%,則對同一個項目的重要性程度認識就越低,從而審計風險也越大;反之,審計風險就越小。所以,重要性數(shù)量水平和審計風險水平成正向?qū)P(guān)系。
審計風險是對審計全過程的評價,由幾個因素共同作用而成。審計人員所能控制的只有檢查風險要素。所以,控制審計風險的要點在于控制檢查風險。根據(jù)審計風險決策模型可知,在固有風險和控制風險一定的條件下,檢查風險和審計風險成正比關(guān)系。
從而,重要性數(shù)量水平與檢查風險水平成正向?qū)P(guān)系。
對于重要性數(shù)量水平與檢查風險水平的關(guān)系我們有理由進一步作如下推斷:
1、如果檢查風險水平趨向0時;即在審計中幾乎不允許遺漏任何錯弊,則重要性數(shù)量水平也應接近0;
2、重要性數(shù)量水平與檢查風險水平的取值范圍均在0一100%之間;
3、重要性數(shù)量水平與格查風險水平在取值范圍內(nèi)的變化是連續(xù)的;
4、重要性數(shù)量水平與檢查風險水平的變化不一定是均勻的。尤其在兩者接近100%時,重要性數(shù)量水平變化速度應小于檢查風險水平的變化速度。因為對任何一個審計項目,從理論上講、即使審計人員愿意承擔極高的審計風險,也不能采用100%的重要性數(shù)量水平。換言之,即使檢查風險水平為100%,審計人員也不應將重要性數(shù)量水平定為100%、容忍所有的錯誤,而應將重要性數(shù)量水平限定在100%以下,對必要的內(nèi)容進行審查后,方能提出審計報告,結(jié)束審計項目。
根據(jù)上述推斷,試建立如下數(shù)學模型:
Z=f(d)=ek/d
其中:Z表示重要性數(shù)量水平;k為系數(shù)、且必須小于0;d表示檢查風險水平。
該指數(shù)函數(shù)曲線圖示如下:
各項數(shù)值確定方法如下:
(l)審計風險水平
期望的審計風險水平應該控制在多大范圍內(nèi)才算合理?目前尚未達成統(tǒng)一認識。有人認為,通常情況下,可允許的審計風險不超過5%,可以定為5%時。但在一定條件下,則要把審計風險走得更低。我認為,5%的審計風險水平還是太高。因為它意味著有1/20的引發(fā)審計風險的可能性,以我國一個中等規(guī)模的會計師事務所每年接受20項左右的審計項目為例,則該事務所每年就有一次引發(fā)審計風險,遭致審計訴訟的可能性。應該說,比較穩(wěn)健合理的審計風險水平應該控制在2%以下,一般可定為0.5%-2%范圍內(nèi)。
(2)固有風險、控制風險、檢查風險水平
確定審計項目的固有風險水平,既要考慮該項目的內(nèi)容、性質(zhì),又要充分考慮該項目所面臨的環(huán)境。目前作為國民經(jīng)濟主要成分的國有企業(yè)尚未走出困境,其內(nèi)部管理機制和外部監(jiān)督機制還未健全,其它企業(yè)造假作假現(xiàn)象也很普遍,因此將固有風險水平定為 10%-50%,比較符合穩(wěn)健性原則。
值得注意的是,如固有風險、控制風險水平超過50%時,審計人員應改變審計方式,采用詳細審計或拒絕接受審計業(yè)務,以使審計風險控制在一定水平之下。檢查風險水平必須依據(jù)上述3個方面計算確定。結(jié)合審計風險決策模型,試列表一如下:
表一:
對上表一說明如下。根據(jù)前述所確定的審計風險水平、固有風險水平、控制風險水平的正常取值范圍,抽出各自的最高值、中等值和最小值三種特例進行組合,以對應考察檢查風險水平的情況。第一種情況,預期審計風險水平最低,但項目的固有風險、控制風險水平也最低,因此可允許的檢查風險水平較高;第二種情況,審計風險水平仍為最低,但固有風險、控制風險處在最高水平,此時,要求審計人員必須謹慎行事,將檢查風險水平控制在極低的2%以下;第三種情況,準備接受的審計風險水平最高,同時又有良好的外部環(huán)境和內(nèi)部控制制度,計算出的檢查風險水平為200%,超過100%。由于風險水平以100%為上限,放在此改為100%。這種情況意味著審計人員充分信賴被審單位,主觀上又準備接受極大的風險,因而檢查風險水平就很高;第四種情況,預期審計風險水平最高,但被審項目的固有風險、控制風險水平也很高,因而檢查風險水平較低;第五種情況,前三個方面都是中等水平,檢查風險水平也為中等。
(3)K值
目前,除澳大利亞外,其他國家無論是會計準則還是審計準則都沒有明確規(guī)定重要性的量化標準。以下是實務中用來判斷重要性的一些指標:(1)稅前凈利5%-10%;(2)總資產(chǎn)的0.5%一1%;(3)權(quán)益的1%(4)總收入的0.5%-1%。
上述項月的重要性數(shù)量水平最高為10%,最低為0.5%,和上表一計算得出的檢查風險水平對比,計算K的數(shù)值如表二:
表二:
(K的計算公式推導如下:對z=ek/d,等式數(shù),得InZ=k/d,因此k=dlnZ)
由上表二可知:k的取值范圍大致在A-0.1—2.7之間,最佳取值范圍為一0.4一1.4之間。在具體運用中,審計人員可根據(jù)使用者對會計審計信息的依賴程度、被審單位陷入財務困境可能性的判斷、對審計風險的偏好程度來具體確定k的數(shù)值。
三、重要性與檢查風險的客觀連接點
重要性一般是對會計報表而言的,但完整地講,重要性應分為以下4個層次:報表總額,如資產(chǎn)負債表中的資產(chǎn)總額;報表項目金額,如資產(chǎn)負債表中的貨幣資金項目負擔;賬戶余額,如現(xiàn)金帳戶余額、銀行存款賬戶余額等;業(yè)務發(fā)生額,如差旅費等支出類業(yè)務的金鎖。根據(jù)項目內(nèi)容的不同,重要性所針對的項目有稅前利潤、總資產(chǎn)、權(quán)益、總收入等。根據(jù)本文前論,可由審計風險水平計等確定重要性數(shù)量水平。但最后計算出的這個重要性數(shù)量水平應該首先對應什么性質(zhì)、哪個層次的項目,這是一個非常重要的問題。項目不同,評價的結(jié)果可能會大相徑庭,甚至得出相反的結(jié)論。究竟以什么性質(zhì)的項目作為入手處,我贊成以資產(chǎn)負債表中的資產(chǎn)總額作為運用重要性數(shù)量水平的入手點的觀點,理由是:(1)損益表上當期凈損益可以從資產(chǎn)負債表上反映出來,也就是資產(chǎn)負債表中事實上已包括了當期的凈損益。尤其我國現(xiàn)階段國企效益狀況不佳,成本利潤不實現(xiàn)象嚴重,以資產(chǎn)總額代管稅前利潤或凈利潤有其合理性。(2)根據(jù)資產(chǎn)負債表的結(jié)構(gòu)及“資產(chǎn)=負債+所有者權(quán)益”的恒等關(guān)系,負債權(quán)益共中的錯誤,又都能反映在資產(chǎn)類總額上。
將重要性數(shù)量水平作為評價資產(chǎn)總額的標準,然后將該數(shù)量水平按每一項資產(chǎn)項目在資產(chǎn)總額中所占比重的大小為依據(jù)進行分配,接下來就進入實質(zhì)性測試,審查各項目,判斷各項目的錯誤金額。最后加總計算全部錯誤金額在資產(chǎn)總額中所占的比重,將其與總的重要性數(shù)量水平進行比較。如前者小于后者,說明該項目審計風險在可接受范圍內(nèi),否則應修改審計計劃和審計風險水平或采取其它的措施。
四、說明
1、以上論述是建立在以下審計假設(shè)的基礎(chǔ)上
(1)審計風險、固有風險、控制風險的水平可定量評價假設(shè)。如,將可接受審計風險水平定在0.5%-2%,將固有風險、擔制風險水平定在10%-50%。
一、國際審計風險準則的最新發(fā)展
按照IAASB工作計劃,三個新國際審計風險準則生效后,原IAS310“了解被審計單位情況”(Knowledgeofthebusiness)、ISA400“風險評估與內(nèi)部控制”(Riskassessmentsandinternalcontrols)、ISA401“計算機信息系統(tǒng)環(huán)境下的審計”(Auditinginacomputerinformationsystemsenvironment)和ISA500“審計證據(jù)”一并作廢。與以前準則相比,新國際審計風險準則主要有以下八個方面的重大發(fā)展和實質(zhì)性變化。
(一)引入“重大錯報風險”概念,重建審計風險模型
原國際審計風險準則認為,審計風險包括固有風險、控制風險和檢查風險,審計風險模型為:審計風險=固有風險×控制風險×檢查風險,并要求根據(jù)該模型來計劃和執(zhí)行財務報表審計工作,最終將審計風險降低至可接受的低水平。從理論上看,該模型不存在不妥,但實務操作面臨很大的問題和困難。比如:(1)原準則要求,在編制總體審計計劃時,注冊會計師應當對財務報表整體的固有風險進行評估;在編制具體審計計劃時,注冊會計師應當考慮固有風險的評估對各重要賬戶或交易類別的認定所產(chǎn)生的影響,或者直接假定這種認定的固有風險為高水平。由于假設(shè)不存在相關(guān)內(nèi)部控制的條件下去具體單獨評估認定的固有風險有顯知的難度,再加上直接假定認定的固有風險為高水平被公認為穩(wěn)健的做法,這樣極容易導致不少事務所及注冊會計師不重視對固有風險的評估,使其流于形式。(2)盡管原準則明確指出,由于控制風險與固有風險相互聯(lián)系,注冊會計師應當對兩者進行綜合評估,并據(jù)以作為檢查風險的評估基礎(chǔ)。但實務中,很容易人為割裂兩者的內(nèi)在聯(lián)系,而只依賴對內(nèi)部控制風險所作的粗放型評估來直接、大致確定檢查風險水平,再據(jù)此規(guī)劃實質(zhì)性程序的性質(zhì)、時間和范圍。這樣做難以合理保證財務報表不存在重大錯報。(3)最為重要的是,原審計風險模型將固有風險和控制風險并列,沒有抓住財務報表審計工作的“牛鼻子”,也沒有抓住事物的本質(zhì)和核心東西。其實,這兩種風險,就是客戶風險(clientrisk),即客戶財務報表審計前存在重大錯報的可能性,均為被審計單位所造成和掌控,注冊會計師只能評估而不能改變。從注冊會計師角度看,只抓住固有風險和控制風險作為審計工作的起點和導向,而不直接明確地以評估重大錯報風險為起點和導向,有舍本求末,隔靴搔癢,只見樹木不見森林之感。
新國際審計風險準則正式引進“重大錯報風險”概念(重大錯報風險是指財務報表在審計前存在重大錯報的可能性),將審計風險模型重構(gòu)為:審計風險=重大錯報風險×檢查風險。這不是簡單地將固有和控制風險并稱為重大錯報風險,而是重大的實質(zhì)性改進。不僅明確規(guī)定了審計工作以評估財務報表重大錯報風險作為新的正確起點和導向,抓住了審計工作的“牛鼻子”,而且與現(xiàn)行審計目標責任定位緊緊相扣,有利于履行審計責任,實現(xiàn)審計目標。眾所周知,按國際審計準則要求設(shè)計審計工作就是為了合理保證財務報表整體不存在重大錯報。新風險模型的構(gòu)建更直接有助于導引注冊會計師,時刻緊緊圍繞評估的重大錯報風險來設(shè)計和執(zhí)行審計程序,以最終實現(xiàn)合理保證財務報表整體不存在重大錯報。
(二)改進審計業(yè)務流程,增強實施審計程序的效果
原準則依據(jù)審計風險三要素模型,把審計業(yè)務流程和程序分為四大塊:(1)了解被審計單位情況(為評估固有風險);(2)了解內(nèi)部控制;(3)(必要時)控制測試(均為評估控制風險);(4)實質(zhì)性測試(為降低檢查風險)。第(1)塊由原IAS310“了解被審計單位情況”來規(guī)范,第(2)、(3)、(4)塊則由原ISA400“風險評估與內(nèi)部控制”來規(guī)范。
新國際審計風險準則依據(jù)審計風險二要素模型,把審計業(yè)務流程和程序分為三大塊:(1)了解被審計單位及其環(huán)境,包括內(nèi)部控制(目的是為評估財務報表總體層次和認定層次的重大錯報風險)。本塊審計程序稱為“風險評估程序”(riskassessmentprocedures),(2)(必要時)控制測試(目的是為了測試內(nèi)部控制在防止、發(fā)現(xiàn)和糾正認定層次重大錯報方面的有效性,并據(jù)此一并評估重大錯報風險),(3)實質(zhì)性測試(目的是為了檢查認定層次的重大錯報風險)。新準則把第(2)、(3)塊程序統(tǒng)稱為“進一步審計程序”(furtherauditprocedures),并指出風險評估程序不足以為發(fā)表審計意見提供充分適當?shù)膶徲嬜C據(jù),注冊會計師還應當設(shè)計和實施進一步審計程序,包括控制測試和實質(zhì)性程序。還指出應當以對認定層次的重大錯報風險的相關(guān)評估結(jié)果(包括實施風險評估程序的結(jié)果和必要時執(zhí)行控制測試的結(jié)果)為基礎(chǔ),并考慮既定的審計風險水平,來確定可接受的檢查風險水平,再據(jù)此計劃和實施實質(zhì)性程序。在既定的審計風險水平下,可接受檢查風險水平與認定層次重大錯報風險的評估結(jié)果成反向關(guān)系。評估的重大錯報風險越高,可接受檢查風險越低;評估的重大錯報風險越低,可接受檢查風險越高。檢查風險取決于實質(zhì)性程序設(shè)計和執(zhí)行的有效性。注冊會計師應當合理設(shè)計實質(zhì)性程序的性質(zhì)、時間和范圍并有效執(zhí)行,將檢查風險降至可接受的水平。第(1)塊由ISA315“了解被審計單位及其環(huán)境并評估重大錯報風險”來規(guī)范,第(2)、(3)兩大塊則由ISA330“針對評估的重大錯報風險實施的程序”來規(guī)范。由于重建了審計風險模型和改進了審計業(yè)務流程,IAASB相應地修訂了原ISA500“審計證據(jù)”。
審計業(yè)務流程作上述改進后,要求注冊會計師全程關(guān)注財務報表的重大錯報風險,并將風險評估作為整個審計工作的先導、前提和基礎(chǔ)。注冊會計師應首先花大力氣去識別和評估重大錯報風險,再據(jù)此有針對性地采取措施,合理保證財務報表不存在重大錯報。評估重大錯報風險的失當,必將導致整個審計工作的失敗??磥恚芊窈侠碓u估客戶財務報表的重大錯報風險,將成為評價會計師事務所及注冊會計師專業(yè)勝任能力、考驗審計質(zhì)量及效果的關(guān)鍵性尺度與決定性因素。
(三)區(qū)分評估的財務報表整體層次和認定層次的重大錯報風險采取不同應對措施,力保所獲取審計證據(jù)的充分、適當性
關(guān)鍵詞:會計師事務所 內(nèi)部控制制度 構(gòu)建
一、我國會計師事務所內(nèi)部控制制度不完善的表現(xiàn)
(一)合伙人管理制度不健全
在我國,會計師事務所的公司組織形式是合伙人制度,即兩家或以上的事務所合并時,需要重新選舉合伙人。倘若選舉合伙人時出現(xiàn)問題,眾人意見不一而產(chǎn)生意見,則會影響事務所今后的管理。而我國,會計師事務所對合伙人的管理很不健全。比如,我國第一大證券資格會計師事務所――“中天勤”在最初由中天和天勤兩家事務所改制合并時,由于對合伙人名單意見不一致,引起了多方面的爭議,最后勉強合并而成。但是為今后的管理埋下了隱患,并最終導致了中天勤的覆滅。
(二)審計復核不合規(guī)現(xiàn)象嚴重
我國對報表審計質(zhì)量要求較高,通常一份審計報告的最終形成,要經(jīng)歷報告編制人員、項目審計負責人、審計主管、會計師事務所合伙人四級復核,全部符合通過后,方能經(jīng)簽字通過。有些會計師事務所內(nèi),還設(shè)立技術(shù)標準審核部門,對審計報告的質(zhì)量進行最后把關(guān)。但是我國大多數(shù)會計師事務所僥幸心理嚴重,很多事務所只擁有兩級復核,不合規(guī)現(xiàn)象較嚴重,違反了我國對審計質(zhì)量的要求。
(三)簽字制度的實施目的被人為改變
我國《注冊會計師執(zhí)業(yè)準則規(guī)范指南》中的《年度會計報表審計》詳細規(guī)定了審計報告的簽字制度,即擬出具的審計報告要由兩名注冊會計師簽字和蓋章,以對審計報告的真實性負責。我國的會計師事務所雖然在按此制度執(zhí)行,但是執(zhí)行的目的卻有悖于制度的要求。原本用于加強審計報告真實性的規(guī)定,實際卻演變?yōu)闀嫀熓聞账?lián)合客戶要求,人為控制審計意見的狀況。
(四)對具體項目的審計人員安排不合規(guī)
根據(jù)我國《注冊會計師質(zhì)量控制基本準則》的規(guī)定,會計師事務所應對人力資源進行管理和控制,要嚴格按照人員的專業(yè)勝任能力對其具體工作進行分配。對待審計的每一個項目,都要至少安排一名注冊會計師作為項目負責人。然而,我國的現(xiàn)實情況卻是,在對具體項目進行審計時,實際審計的人員卻多為審計助理,且人員數(shù)目安排也較少,甚至僅為兩人。大大降低了審計報告的真實性、準確性。同時,也無法起到人員之間相互監(jiān)督的作用。
二、如何構(gòu)建正確的會計師事務所內(nèi)部控制制度
(一)構(gòu)建基礎(chǔ)――基于會計師事務所的組成要素
通常,人們對企業(yè)內(nèi)部控制結(jié)構(gòu)的組成要素看法不一,主要有二分法、三分法、四分法,以及五分法。結(jié)合會計師事務所的內(nèi)部控制結(jié)構(gòu),組成要素的劃分多采取三分法。具體分類見表2-1。
表2-1 會計師事務所內(nèi)部控制組成要素
1、 會計控制和資產(chǎn)控制
在會計師事務所內(nèi)部控制中,會計控制和資產(chǎn)控制與一般企業(yè)相比,并無明顯差別,同樣會受到會計制度和財務準則的制約。二者只是在繁簡程度上有所區(qū)別。比如,工業(yè)企業(yè)的內(nèi)部控制重點是大量的存貨和生產(chǎn)設(shè)備;商業(yè)企業(yè)內(nèi)部控制的重點是大量存貨。而會計師事務所,幾乎不會產(chǎn)生生產(chǎn)設(shè)備和存貨的問題,其資產(chǎn)控制相對要簡單很多。
2、業(yè)務控制
同上述的會計控制與資產(chǎn)控制不同,會計師事務所的業(yè)務控制與一般企業(yè)相比,有很大的區(qū)別,復雜程度也更高。其業(yè)務控制不僅與事務所負責具體項目的審計人員的勝任能力等密切相關(guān),還與被審計單位的企業(yè)狀況、運營情況、合法經(jīng)營情況等密切相關(guān)。與此同時,會計師事務所的業(yè)務控制還要受到行業(yè)競爭、法律規(guī)范、社會監(jiān)督等來自于各方面的制約。
3、會計師事務所的內(nèi)部控制應該以業(yè)務控制為重
結(jié)合上述兩點,筆者認為,會計師事務所的內(nèi)部控制應以業(yè)務控制作為重點。唯有先抓好內(nèi)部控制的業(yè)務控制,才能做好資產(chǎn)控制和會計控制。否則,會計師事務所會因業(yè)務控制的失效而陷入困境。
(二)會計師事務所內(nèi)部控制的具體構(gòu)建模式
當前,在我國會計師事務所的內(nèi)部控制中,業(yè)務控制存在著諸多問題。比如,審計人員素質(zhì)偏低;對審計質(zhì)量的標準了解的不充分;風險意識、法律責任意識,以及職業(yè)道德意識淡薄。結(jié)合當前狀況,筆者認為,會計師事務所內(nèi)部控制應該以加強審計質(zhì)量控制和風險控制為重點。具體分析如下:
1、審計質(zhì)量控制
一直以來,審計的生命是審計質(zhì)量。審計質(zhì)量的重點是要增加被審計單位財務報表的正確性和真實性。審計的質(zhì)量與審計工作的質(zhì)量密切相關(guān),而審計工作的質(zhì)量又與負責審計的項目人員和審計的過程相關(guān)聯(lián)。其中,審計過程包括外勤工作、審計計劃,以及報告三個部分。層層相關(guān)聯(lián)之后,最終表現(xiàn)為審計報告的質(zhì)量。
因此,會計師事務所內(nèi)部控制中,在控制審計質(zhì)量這一環(huán)節(jié)時,可以重點抓審計人員的勝任能力和審計過程兩個方面。具體而言,會計師事務所可以通過以下七個方面來實現(xiàn):
(1)從事務所的實際情況出發(fā),制定適合本所的審計程序和環(huán)節(jié);
(2)加強相關(guān)人員的審計質(zhì)量教育,樹立防范審計質(zhì)量風險的意識;
(3)嚴格落實審計質(zhì)量的人員責任制,將審計風險按人員所處的層級分層明確其責任。同時,按具體責任的完成情況對人員進行建立和懲罰;
(4)培養(yǎng)審計人員的職業(yè)道德,制定職業(yè)道德規(guī)范,嚴格按規(guī)范執(zhí)行;
(5)會計師事務所的合伙人要對審計報告進行復核把關(guān);
(6)實行分級輪審制度;
(7)在出現(xiàn)具體問題時,要及時向項目負責人及合伙人報告。
2、審計風險控制
通常,審計風險由三部分風險共同作用而形成,即控制風險、固有風險,以及發(fā)現(xiàn)風險。其中,控制風險和固有風險為非人為可控性風險,發(fā)現(xiàn)風險是人為可控制性風險。
非人為可控性風險是客觀存在的風險,主要由審計單位的情況而決定。無論是其經(jīng)營活動還是所處環(huán)境、以及賬戶余額和具體業(yè)務,都會影響到控制風險和固有風險,不以審計人員的意志而轉(zhuǎn)移。對這兩種風險,審計人員只能進行評估。評估的目的是確定發(fā)現(xiàn)風險應收集的證據(jù)類型和數(shù)量。以便從人為角度,把審計風險降低到最小,提高審計質(zhì)量。針對具體的風險,內(nèi)部控制的側(cè)重點有所不同。下面分別而議:
(1)固有風險的控制
固有風險越大,發(fā)現(xiàn)風險越小,證據(jù)數(shù)量越多。為了評價固有風險,對固有風險,審計人員需要關(guān)注的因素較多。同時,還要重點關(guān)注各種因素對審計報告的影響程度和范圍。通常,審計人員對固有風險的判斷持謹慎態(tài)度:倘若各種情況都較好,固有風險的水平多定為50%以上;倘若有證據(jù)顯示存在重大錯誤的可能性,固有風險通常被定為10%左右。唯有這樣,才能在充分證據(jù)的前提下,將審計風險控制在合理范圍內(nèi)。
(2)控制風險的控制
控制風險的評判主要依據(jù)是被審計單位的內(nèi)部控制制度。倘若對方單位的內(nèi)部控制制度效用性很差或幾乎沒有,那么審計人員應該將控制風險定為100%。在此種情況下,降低發(fā)現(xiàn)風險將是審計人員的工作重點。降低發(fā)現(xiàn)風險離不開充分的實質(zhì)性測試和分析性復核程序。倘若控制風險被定為100%以下,那么審計人員需要有證據(jù)證明被審計單位的內(nèi)部控制制度正在發(fā)揮有效作用。
(3)發(fā)現(xiàn)風險的控制
根據(jù)審計模型,審計總風險為固有風險、控制風險、發(fā)現(xiàn)風險三者的乘積。因此,在確定了控制風險和固有風險之后,發(fā)現(xiàn)風險將決定最后的總審計風險。倘若發(fā)現(xiàn)風險很低,表明總審計風險較低,此時的審計人員不愿承擔較大的風險。較小的審計風險需要更多的證據(jù)予以佐證。同理,倘若發(fā)現(xiàn)風險較高,通??倢徲嬶L險較高,那么表明審計人員愿意承擔的風險也較大,與此相應的證據(jù)所需要的數(shù)量就較少。
審計人員可利用抽樣統(tǒng)計等方法,在發(fā)現(xiàn)風險已確認的基礎(chǔ)上,決定所收集證據(jù)的數(shù)量。為了確認的更準確,審計人員還可以加大審計程序和審計范圍,以此減少審計風險。審計人員必須把審計風險控制在合理范圍內(nèi),唯有這樣,才能使審計人員和會計師事務所免于遭受來自于被審計單位或者社會的法律訴訟等方面的懲罰,也能有效避免同業(yè)競爭的失敗。
參考文獻:
[1]侯立新.國內(nèi)會計師事務所做大做強需關(guān)注幾個問題--寫在會計師事務所2008年百強榜之即[J].財會學習, 2008;7
[2]張友斗,張帆.淺議對會計師事務所的監(jiān)督管理[J].財政監(jiān)督, 2008;11
[3]魏潔.對我國會計師事務所職業(yè)倫理的思考[J].財會研究,2008;8
事件研究法綜述
在國外,事件研究法已被廣泛應用于金融經(jīng)濟領(lǐng)域、會計領(lǐng)域、法律和經(jīng)濟領(lǐng)域等等。正如Fama所言:“近幾十年來出現(xiàn)的有關(guān)事件研究方面的文獻已成為金融經(jīng)濟文獻中重要的組成部分”。國外學者提供了多種對于信息科技風險及其事件表現(xiàn)形式的視角[4]。Campbell等、Kannan等在其數(shù)據(jù)和安全漏洞的研究中廣泛應用了機密-完整性-可用性框架(C.I.A.),該框架已經(jīng)被大量應用于組織數(shù)據(jù)和信息資產(chǎn)的風險評估中[5-6]。在此基礎(chǔ)上,Whitman將信息科技風險事件主要歸結(jié)為機密性事件、完整性事件及可用性事件,而這些事件大多產(chǎn)生于惡意行為及突發(fā)因素導致[7]。Cavusoglu等依靠嚴密的企業(yè)資源基礎(chǔ)模型與信息傳遞理論,試圖建立理論模型來分別驗證信息科技風險事件對大型公司和證券公司的影響[8]。Im和Baskerville認為,實際上信息科技風險事件均由人為因素導致[9]。Willison和Si-ponen調(diào)查了1280家金融機構(gòu),發(fā)現(xiàn)絕大多數(shù)的風險限于蓄意電腦濫用、數(shù)據(jù)隱私侵權(quán)以及其他一些惡意威脅[10]。Goldstein等利用資源脆弱性理論和聲譽-質(zhì)量保證理論,闡述了關(guān)于信息科技風險事件的戰(zhàn)略問題[11]。
國內(nèi)方面,缺乏專門研究信息科技風險事件的文章,多數(shù)集中于對操作風險事件的研究。盛軍對國內(nèi)銀行級別和案例類別、損失事件數(shù)目和金額的地域分布、損失事件發(fā)生年份和案例類別進行了交叉分析,并與國際上的分析結(jié)論進行了比較,得出了定性的區(qū)別[12]。何茂春將影響信息系統(tǒng)事件級別的影響度、緊急度等關(guān)鍵因素的基本屬性進行評估量化分解,以多因子事件等級量化方法,按照加權(quán)處理的原理,同預先設(shè)定的對應等級數(shù)值表對照比較,準確地給出事件等級的定級,為風險計量與控制提供了量化依據(jù)[13]。譚諍對商業(yè)銀行操作風險事件的時間特征進行了研究,得出如下特征:操作風險損失事件歷年分布頻率呈現(xiàn)先升后降態(tài)勢;隱蔽性越強的操作風險損失事件發(fā)生頻率相對越低;操作風險事件越隱蔽,損失越大,處理時間越長;操作風險事件管理呈現(xiàn)明顯時滯性[14]。陳平、戴偉光從事件類型、業(yè)務類型、地域分布等方面對我國商業(yè)銀行操作風險事件的特征進行了分析,揭示了引起我國商業(yè)銀行操作風險事件的主要原因以及操作風險易發(fā)區(qū)域、易發(fā)業(yè)務線和各業(yè)務線的風險易發(fā)環(huán)節(jié)[15]。
由此可見,國外學者對于信息科技風險事件的研究已十分成熟,國內(nèi)研究尚處于起步階段,多集中于定性分析層面。本文以中國銀監(jiān)會信息科技風險評價體系為基礎(chǔ),將其每一個指標看作一個事件,建立了基于風險事件的商業(yè)銀行信息科技風險評估模型。
2模型構(gòu)建
該評估模型從結(jié)構(gòu)上可以分為橫向比較(按照時間先后對商業(yè)銀行自身風險狀況進行比較)和縱向比較(按照同一地區(qū)對同行業(yè)間風險狀況進行比較)兩個維度。風險評估的主要參與者是信息科技管理委員會下屬的商業(yè)銀行高級管理層、信息科技部、風險部及審計部。其中,信息科技部處于核心地位,負責調(diào)查工作的組織與實施;風險部及審計部的參與能夠最大程度上保證調(diào)查結(jié)果的客觀性及準確性,從而及時發(fā)現(xiàn)問題。風險評估的對象是風險事件,通過一定的風險事件發(fā)生頻率來衡量固有風險;通過一定的風險事件控制情況來衡量控制有效性。風險評估的目標在于確定固有風險及控制有效性等級。模型具體描述如下:
首先,商業(yè)銀行以中國銀監(jiān)會信息科技風險試評估體系中的固有風險四級評價指標作為事件,調(diào)查其一定時期內(nèi)(一般為一年)的發(fā)生頻率。由于固有風險屬于成本類指標,故風險事件的發(fā)生頻率從小到大依次分為五個等級,即從無、偶爾、一般、頻繁及很頻繁。其次,商業(yè)銀行以信息科技風險評價體系中的控制有效性四級評價指標作為事件,調(diào)查其一定時期內(nèi)(一般為一年)的控制情況。由于控制有效性屬于收益類指標,故風險事件的發(fā)生頻率從大到小依次分為五個等級,即很好、較好、一般、較差及很差。最終,結(jié)合前兩步得到的固有風險得分及控制有效性得分,結(jié)合中國銀監(jiān)會給定的指標權(quán)重,可以依次得出三級指標殘余風險、二級指標風險等級及一級指標綜合風險水平。通過橫向比較與縱向比較,可以進一步明確商業(yè)銀行信息科技風險的動態(tài)水平及行業(yè)地位。
2.1商業(yè)銀行信息科技風險評價體系
商業(yè)銀行信息科技風險主要通過固有風險和控制有效性兩個二級指標進行評估。其中,固有風險可以理解為科技基礎(chǔ)的完備性,下設(shè)5個三級指標、17個四級指標;控制有效性可以理解為風險管理情況,下設(shè)8個三級指標、36個四級指標。
2.2風險指標量化
對于固有風險,發(fā)生事件意味著風險增加;對于控制有效性而言,發(fā)生事件意味著風險降低。固有風險得分越高,風險越大;控制有效性得分越高,風險越低。根據(jù)表2,按照找出問題、發(fā)現(xiàn)問題、解決問題的思路,為了能夠最大限度地放大問題,選擇固有風險得分區(qū)間的上限作為得分固有風險發(fā)生頻率的量化值,選擇控制有效性得分區(qū)間的下限作為控制有效性比例的量化值,
3案例分析
問卷的收集與分析
課題組選取了遼寧省某X銀行進行信息科技風險評估。針對該銀行的現(xiàn)狀,課題組采用問卷調(diào)查并結(jié)合訪談法來獲得風險指標的得分。首先,對該銀行的信息科技部門經(jīng)理、風險管理部門經(jīng)理及審計部門經(jīng)理分別進行了個人訪談。通過訪談,針對商業(yè)銀行信息科技風險評價體系中的各項風險指標,得到了信息科技風險評估現(xiàn)狀及目前存在問題,為風險評估的實施提供了組織保障。其次,由調(diào)查者根據(jù)調(diào)查目的,結(jié)合新《指引》中的有關(guān)規(guī)定設(shè)計調(diào)查問卷,并輔以相關(guān)解釋說明。再次,根據(jù)概念模型中的要求,由銀行的管理層、信息科技部、風險部、審計部分別獨立完成調(diào)查問卷的填寫。最后,調(diào)查者通過郵件的方式收集調(diào)查問卷樣本,共收集有效調(diào)查問卷36份。從統(tǒng)計結(jié)果可以歸納出以下特點:
(1)參與本次調(diào)研的人員知識結(jié)構(gòu)較為互補。其中,信息科技部有效問卷占到了50%,風險管理部有效問卷占到了16.7%,審計部有效問卷占到了33.3%,后兩個部門合計50%。這說明信息科技部在本次評估中居于核心地位,另外兩個部門處于輔助地位,這與模型描述一致。
(2)參與本次調(diào)研的人員經(jīng)驗較為豐富。其中,10年以上從業(yè)人員占到了55.6%,大于50%。這說明參與本次調(diào)研的人員具有豐富的業(yè)務經(jīng)驗與行業(yè)背景,能夠為本次評估提供較為科學、客觀的樣本數(shù)據(jù)。
(3)參與本次調(diào)研的人員職稱較為分散。其中,中級和其他基層業(yè)務人員均占到了33.%,初級、副高級、正高級依次占到了16.7%、11.1%、5.6%。這從一定程度上保證了樣本數(shù)據(jù)的廣泛性,能夠從各個層級獲取真實有效的數(shù)據(jù)。
(4)參與本次調(diào)研的人員職務較為合理。其中,總經(jīng)理跟副總經(jīng)理合計50%,經(jīng)理占據(jù)了另外50%。這從一定程度上說明公司高管對本次調(diào)研的重視程度,保證了本次評估的順利實施。
4結(jié)論
(1)本文以事件研究法為理論基礎(chǔ),結(jié)合中國銀監(jiān)會信息科技風險試評估體系,提出了基于風險事件的商業(yè)銀行信息科技風險評估模型。本方法適用于沒有建立風險事件分布數(shù)據(jù)庫的中小商業(yè)銀行,能夠為其信息科技風險管理提供有力的決策工具。
(2)通過風險評估,商業(yè)銀行既可以從細節(jié)上掌握本行存在的殘余風險,從而有針對性地提出改進措施;又可以從整體上把握信息科技風險的可控程度,從而確定本行風險控制的戰(zhàn)略及規(guī)劃。
(3)通過商業(yè)銀行自身的橫向比較,可以掌握信息科技風險的變化,實現(xiàn)信息科技風險的動態(tài)管理;通過地區(qū)內(nèi)同行業(yè)間的縱向比較,可以明確商業(yè)銀行的信息科技風險所處地位,從而制定風險戰(zhàn)略和目標。
關(guān)鍵詞:傳統(tǒng)風險導向?qū)徲?;現(xiàn)代風險導向?qū)徲嫞槐容^
隨著時代的發(fā)展,企業(yè)所面臨的經(jīng)濟環(huán)境日益復雜,原有的賬項基礎(chǔ)審計和制度基礎(chǔ)審計的弊端在經(jīng)濟發(fā)展的潮流中逐漸顯現(xiàn),各種審計失敗的案例引起了人們的思考,因此,為了更加有效的實現(xiàn)審計的職能,維持良好的經(jīng)濟秩序,以風險為導向的審計應運而生。從二十世紀八十年代至今,風險導向?qū)徲嬕惨褟膫鹘y(tǒng)的風險導向?qū)徲嬤^渡到了現(xiàn)代風險導向?qū)徲嬰A段。
一、傳統(tǒng)風險導向?qū)徲?/p>
(一)傳統(tǒng)風險導向?qū)徲嫷母拍?/p>
傳統(tǒng)的風險導向?qū)徲嬍且环N在利用審計風險模型的基礎(chǔ)上,評估財務報表固有風險和控制風險,進而確定實質(zhì)性測試的性質(zhì)、時間和范圍的審計方法。這一方法的重點在于審計風險模型的運用,即“審計風險=固有風險×控制風險×檢查風險”。其中“固有風險”是指假定不存在相關(guān)內(nèi)部控制時,某一賬戶或交易類別單獨或同其他賬戶、交易類別產(chǎn)生重大錯報或漏報的可能性;“控制風險”是指某一賬戶或交易類別單獨或連同其他賬戶、交易類別產(chǎn)生錯報或漏報,而未能被內(nèi)部控制防止、發(fā)現(xiàn)或糾正的可能性;“檢查風險”是指某一賬戶或交易類別單獨或連同其他賬戶、交易類別產(chǎn)生重大錯報或漏報而未能被實質(zhì)性測試發(fā)現(xiàn)的可能性。
(二)傳統(tǒng)風險導向?qū)徲嫷娜毕?/p>
1.注冊會計師沒有從被審計單位的整體出發(fā),不能深入了解被審計單位的具體情況。傳統(tǒng)風險導向?qū)徲媽徲嬛攸c放在了控制測試這一環(huán)節(jié)中,著重于對被審計單位內(nèi)部控制的檢查,在一定程度上局限了注冊會計師的審計思路。
2.審計程序的實施完全取決于對檢查風險的評估。注冊會計師根據(jù)審計模型倒推檢查風險,檢查風險越高,實質(zhì)性測試的工作量就越少;反之,實質(zhì)性測試的工作量越多。但這種主觀的估計對于審計質(zhì)量是有較大影響的。
3.實踐中難以對固有風險進行準確評估。固有風險和控制風險貫穿于整個企業(yè)的各個層次,二者之間很難作出嚴格的區(qū)分,而傳統(tǒng)的風險導向?qū)徲嬙谄髽I(yè)層面僅僅評估固有風險,這種估計顯然是十分不可靠的。
二、現(xiàn)代風險導向?qū)徲?/p>
(一)現(xiàn)代風險導向?qū)徲嫷母拍?/p>
現(xiàn)代風險導向?qū)徲嬍侵缸詴嫀熗ㄟ^對被審計單位進行風險職業(yè)判斷,評價被審計單位風險控制,確定剩余風險,執(zhí)行追加審計程序,從而將剩余風險降低到可接受水平的一種審計方法和技術(shù)。它改進了傳統(tǒng)的審計風險模型,以“審計風險=重大錯報風險×檢查風險”來評估被審計單位的風險。在這個模型中,“審計風險”是指會計報表存在重大錯報而注冊會計師發(fā)表不恰當會計意見的可能性;“檢查風險”是指某一認定存在錯報,該錯報單獨或連同其他錯報是重大的,但注冊會計師沒有發(fā)現(xiàn)的可能性;“重大錯報風險”包括兩個層次,即會計報表整體認定層次和認定層次。
這一方法強調(diào)的是審計風險的影響因素來源于整個企業(yè)所面臨的經(jīng)營風險,審計應建立在企業(yè)所處社會和行業(yè)的宏觀環(huán)境、戰(zhàn)略目標和關(guān)鍵經(jīng)營環(huán)節(jié)分析的基礎(chǔ)上,注冊會計師需要綜合評價經(jīng)營風險以確定實質(zhì)性測試的范圍、時間和程序。
(二)現(xiàn)代風險導向?qū)徲嫷膬?yōu)點
1.對風險的把握更加全面,對審計風險的評估更加可靠?,F(xiàn)代風險導向?qū)徲嬍且云髽I(yè)所處的宏觀環(huán)境為背景,綜合分析企業(yè)面臨的各項挑戰(zhàn),整體評估審計風險。在實務中,注冊會計師是站在戰(zhàn)略的角度,以經(jīng)營環(huán)境、經(jīng)營模式為風險分析的起點,把被審計單位和周圍環(huán)境聯(lián)系為一個整體,從宏觀上判斷和發(fā)現(xiàn)財務報表中存在的重大錯報。
2.審計目的明確,審計效率提高?,F(xiàn)代風險導向?qū)徲嫷闹贮c是重大錯報風險,從而確立檢查風險。它將企業(yè)內(nèi)外部的風險轉(zhuǎn)化為財務報表錯報風險,從而更快的確立審計重點,審計效率明顯提高。
三、兩種方法之區(qū)別
(一)本質(zhì)不同
從本質(zhì)上來說,傳統(tǒng)風險導向?qū)徲嬤€只是停留在觀念層面,并沒有使審計過程和審計方法產(chǎn)生巨大變化。因為在審計實務中,審計人員所采用的是制度基礎(chǔ)審計的基本方法,增加了風險定量評估的內(nèi)容,并將風險定量分析視作審計風險控制的一種重要手段。審計人員依然采用一種自下而上的審計思路。它還只是制度基礎(chǔ)審計的延伸。
現(xiàn)代風險導向?qū)徲媱t是一種全新的方法,它有一套全面并且科學的審計方法,并且有完整的審計思路,即“企業(yè)整體層面的分析——經(jīng)營環(huán)節(jié)層面的分析——會計報表重大錯報風險的分析”,將會計報表風險與企業(yè)經(jīng)營風險聯(lián)系起來。雖然這種方法在實施過程中,仍然要用到制度基礎(chǔ)審計的方法,但它并沒有局限于對企業(yè)的內(nèi)部控制的分析。
(二)審計方法不同
傳統(tǒng)風險導向?qū)徲嫴捎谩白韵露稀钡膶徲嫹椒ǎ瑥谋粚徲媶挝粫媹蟊淼墓逃酗L險和控制風險入手,了解內(nèi)部控制、實施控制測試,根據(jù)控制測試的結(jié)果確定實質(zhì)性測試的性質(zhì)、時間和范圍,即傳統(tǒng)風險導向?qū)徲嬍且越灰诪榛A(chǔ),從交易的角度確定是否存在重大錯報。這種方法雖然有了較大突破,但主要依賴實質(zhì)性測試,范圍過于狹窄。
現(xiàn)代風險導向?qū)徲嬍且越?jīng)營風險為基礎(chǔ),運用“自下而上”和“自上而下”相結(jié)合的方法,先“自上而下”對報表形成預期,再“自下而上”地根據(jù)預期實施相應的審計程序。注冊會計師在這一過程中借助于“戰(zhàn)略分析—經(jīng)營環(huán)節(jié)分析—剩余風險分析”的基本思路,從企業(yè)的戰(zhàn)略管理分析入手,通過戰(zhàn)略風險和經(jīng)營風險的導向和嚴密的邏輯推理,一步一步推導和落實審計的范圍和重點,確定相關(guān)的審計目標和審計程序,然后通過實施審計程序和取證的結(jié)果,結(jié)合重要性的判斷,判斷整個財務報表的風險并形成最終的審計意見。相比之下,現(xiàn)代風險導向?qū)徲嬕肓似髽I(yè)戰(zhàn)略管理分析工具,邏輯性、專業(yè)性和準確性都得到了提升,大大提高了注冊會計師發(fā)現(xiàn)客戶會計報表中重大錯報的能力。
(三)對風險的認識
傳統(tǒng)風險導向?qū)徲嬛袑L險的范圍局限于會計方面的風險,因此,注冊會計師在進行審計時忽略了許多外在的重要因素,更加側(cè)重的是會計報表項目本身的固有風險和控制風險。但在實際情況中,固有風險是很難從經(jīng)營風險中單獨剝離出來的,這很大程度上依賴于注冊會計師的判斷和估計,所以,傳統(tǒng)風險導向?qū)徲嬙诳煽啃?、準確性上存在不足。
現(xiàn)代風險導向?qū)徲嬛?,風險的概念除了包括會計報表項目本身的風險外,更多的考慮企業(yè)的戰(zhàn)略風險和經(jīng)營風險。注冊會計師在審計過程中從企業(yè)所處的經(jīng)營環(huán)境、條件到經(jīng)營方式和管理機制等內(nèi)外部各個方面來分析,以戰(zhàn)略風險和經(jīng)營風險的評估為審計工作的重點,進而控制會計報表的風險。在風險上的延伸和改進無疑又增加了現(xiàn)代風險導向?qū)徲嫷目尚行浴?/p>
(四)審計證據(jù)的范圍
傳統(tǒng)風險導向?qū)徲嫷膶徲嬜C據(jù)主要包括實施控制側(cè)試和實質(zhì)性測試獲取的證據(jù),大部分情況下只是局限于內(nèi)部證據(jù)。
現(xiàn)代風險導向?qū)徲媱t擴大了審計證據(jù)的范圍,也就是說,現(xiàn)代風險導向?qū)徲媽崿F(xiàn)了審計證據(jù)有內(nèi)部向外部的轉(zhuǎn)移。在實務中,注冊會計師會充分了解被審計單位整體經(jīng)營環(huán)境,并從外部獲得大量的證據(jù)來評價風險評估的恰當性,以此來評估客戶的經(jīng)營風險及審計風,這樣也就大大增加了審計證據(jù)的范圍,為注冊會計師實施進一步審計增添了信心。
(五)審計程序由單一化向個性化轉(zhuǎn)變
傳統(tǒng)風險導向?qū)徲嫷膶徲嫵绦騼A向于是一種標準化形式,對不同的被審計單位都使用標準相同的審計程序。這種標準化審計程序存在很大問題:一是不能對癥下藥,沒有充分貫徹風險導向?qū)徲嬎枷?;二是限制了審計人員的臨場發(fā)揮,由于很多客戶的財務人員都是注冊會計師出身,或者系統(tǒng)學習過審計,或者有與注冊會計師打交道的經(jīng)驗,使注冊會計師無法突破客戶預先設(shè)置的障礙或防范措施,難以做出正確的審計結(jié)論。
而現(xiàn)代風險導向?qū)徲嬕笞詴嫀煂⒃u估及識別的審計風險與實施的審計程序相結(jié)合,針對不同客戶以及客戶不同的風險領(lǐng)域?qū)嵤﹤€性化的審計程序。相比之下,這種量體裁衣的方式有助于注冊會計師找到適合于不同的被審計單位的審計程序,使得審計更加適應環(huán)境變化,可以在很大程度上避免由于程序的標準化而疏漏的錯報,提高審計質(zhì)量。
(六)對注冊會計師的能力要求逐漸提高
傳統(tǒng)風險導向?qū)徲媯?cè)重于會計層面的評估,對注冊會計師的要求只是在會計和審計的方面。
關(guān)鍵詞:消防部隊;審計風險;成因;防范
審計風險的定義是注冊會計師在審計會計報表時發(fā)現(xiàn)重大錯報或漏報后發(fā)表的不恰當審核意見的可能性。那么結(jié)合消防部隊的實際情況來看,消防部隊審計風險就是指消防部隊審計機關(guān)與人員在進行審計工作中發(fā)現(xiàn)問題后發(fā)表的不恰當審計報告,從而導致審計人員或者機關(guān)要承擔相關(guān)責任的可能性。注冊會計師在國內(nèi)都是非常少的,因此現(xiàn)如今我國的注冊會計師業(yè)務范圍越來越廣,同時所擔負的法律責任也越來越大。注冊會計師的主要任務就是審計被審計單位的會計報表等資料,確保財務會計資料具有真實性,避免被審計企業(yè)或單位偷稅漏稅,隨著審計風險的發(fā)生率越來越高,加強對審計風險的防范也成為注冊會計師的主要任務。
一、消防部隊審計風險的特征
(一)客觀性
現(xiàn)代審計風險的一個顯著特點就是客觀性,抽樣審計是我國使用非常普遍的審計方法,抽樣審計就是抽取樣品進行審計之后從而來推斷總體的特征,這樣的審計方式常常會存在一些誤差,數(shù)據(jù)并不是十分的準確,雖然可以把誤差控制到最小,但是卻很難消除。
(二)普遍性
消防部隊的審計過程中每一個環(huán)節(jié)都可能導致審計風險的出現(xiàn),內(nèi)部控制、數(shù)字遺漏、財務狀況、抽樣審計、外部經(jīng)濟影響等是導致審計風險出現(xiàn)的因素,并且每一個風險都是由多個因素組成的,因此審計過程中都存在著審計風險,具有普遍性。
(三)潛在性
消防部隊審計風險形成的一個基本因素即審計責任,審計責任即審計人員在審計過程中發(fā)表錯誤審計結(jié)論導致審計風險出現(xiàn)而要承擔的責任。如果審計人員發(fā)表了錯誤審計結(jié)論但是沒有造成不良后果,沒有引起審計責任,那么審計風險就處在一個潛伏期,因此審計風險是存在潛在性的。
(四)可控性
雖然消防部隊審計風險在審計的每個過程中都有體現(xiàn),但是我們不必害怕,因為審計風險還有一個特性,即可控性,只要讓審計人員在審計過程中意識到風險的危害性,了解到導致風險發(fā)生的因素,然后采取合適的措施有效地防范審計風險,就能將審計風險控制在一定范圍內(nèi)。
二、消防部隊審計風險的成因
(一)被審計單位影響的固有風險和控制風險
被審計單位的基本情況與固有風險的產(chǎn)生有直接的關(guān)系,影響固有風險的根本原因是被審計單位的會計制度是否健全和會計人員工作是否規(guī)范。如果被審計單位的會計制度存在很多不足之處,那么就不能使會計人員的工作變得具有規(guī)范性。如果被審計單位提供的資料不具有真實性,那么將會導致審計人員做出錯誤的判斷,從而導致固有風險的發(fā)生。審計的控制風險受到被審計單位的內(nèi)控情況影響,內(nèi)部監(jiān)督是被審計單位內(nèi)控制度的主要職能,主要作用就是使控制風險處在一個合適的范圍內(nèi),企業(yè)的內(nèi)部控制制度與控制風險有著密切的聯(lián)系,如果沒有內(nèi)控制度或者被審計單位內(nèi)控制度不完善,那么控制風險就會增加,反之則可以減少控制風險??刂骑L險具有獨立性,因此與固有風險并沒有相互的關(guān)系。
(二)法律環(huán)境對消防部隊審計風險的影響
隨著法律環(huán)境的不斷變化,市場經(jīng)濟的迅速發(fā)展,利用審計服務的人也越來越多,消防部隊也不例外。消防部隊的審計有利于消防部隊對內(nèi)部經(jīng)濟活動的監(jiān)督,促進部隊規(guī)范化建設(shè)?,F(xiàn)階段我國為了完善法律制度,新出臺了一些與審計工作有關(guān)的法律法規(guī),這些法律法規(guī)的出臺對審計工作的規(guī)范性有一定的影響,但是這些法律法規(guī)仍然不夠完善,在時代不斷進步的過程中已經(jīng)不能滿足于現(xiàn)有的審計工作,因此使得會計的不確認性增加,隨之審計風險也不斷加大,造成了審計工作處理處罰無法可依、有法難依的現(xiàn)象。
(三)消防部隊內(nèi)部審計人員的素質(zhì)對審計風險的影響
審計人員是審計工作的主體,沒有審計人員審計工作就無法正常地進行,因此挑選合適的審計人員是審計工作的關(guān)鍵所在。審計對個人專業(yè)能力及黨性、道德、職業(yè)修養(yǎng)都是非常高的。審計人員應該具有充分的審計工作經(jīng)驗和工作能力,如果不具有這兩點的話,那么在審計工作進行的過程中可能很難發(fā)現(xiàn)問題從而造成判斷失誤?,F(xiàn)我國消防部隊內(nèi)部審計人員稀少、專業(yè)力量配備不足,相對較易導致審計風險出現(xiàn)。
三、消防部隊審計風險的有效防范措施
(一)完善健全消防部隊相關(guān)制度,規(guī)范審計人員的工作
消防部隊內(nèi)部的基本情況和內(nèi)控情況是導致審計風險出現(xiàn)的重要因素,因此消防部隊內(nèi)部應該建立健全會計和審計制度,并且對審計人員的工作進一步規(guī)范,降低審計的固有風險和控制風險,有效地防范審計風險。
(二)國家政府建立健全相關(guān)的法律法規(guī)
在法律環(huán)境方面,需要國家政府的力量完成,現(xiàn)階段我國審計工作某些具體方面普遍存在無法可依、有法難依的現(xiàn)象。政府需要根據(jù)審計的實際進行過程制定和審計工作相符合的法律法規(guī),從而使審計工作順利地進行,并且有利于提高消防部隊審計內(nèi)部的監(jiān)督和服務,使審計程序變得更加規(guī)范。
(三)提高審計人員素質(zhì)
消防部隊審計人員的素質(zhì)與審計風險的出現(xiàn)有著密切的聯(lián)系,提高審計人員的素質(zhì)是防范審計風險出現(xiàn)的關(guān)鍵所在。因此,在選擇審計人員的時候一定要嚴格把關(guān),確保審計人員的工作能力和工作經(jīng)驗,滿足審計工作中不同的審計對象和審計內(nèi)容。審計人員的責任心和職業(yè)觀念在審計工作中也是很重要的,如果審計人員的責任心和職業(yè)觀念強的話,那么審計風險出現(xiàn)的可能性將會大大降低。
四、結(jié)語
本文簡單地分析了影響消防部隊審計風險的因素,并且對防范審計風險提出了幾點建議,希望對審計工作的順利進行有一定的幫助,可以在一定程度上有效地避免審計風險。
作者:馮文菁 單位:公安消防部隊高等專科學校
參考文獻:
[1]王敏.部隊審計風險的成因和防范措施探析[J].經(jīng)濟師,2011,(8):187.
[2]劉志強.關(guān)于消防部隊財務監(jiān)督審計的幾點思考[J].經(jīng)濟師,2014,(3):141-142.