审计的特别风险及应对
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇审计的特别风险及应对范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
审计的特别风险及应对范文第1篇
[关键词]电子商务;财务报表审计;审计风险;控制测试
随着信息技术的快速发展,电子商务在全球获得了广阔的发展空间。作为一种崭新交易方式的电子商务对企业的生产经营活动产生了深远的影响。广泛使用互联网从事电子商务,产生了新的风险因素,需要被审计单位有效应对,,注册会计师应当考虑电子商务在被审计单位业务活动中的重要性,以及对重大错报风险评估的影响,并在此基础上采取恰当的应对措施。
一、电子商务对财务报表审计的冲击
1.财务报表审计环境的变化
在电子商务交易条件下,财务报表审计环境发生了巨大的变化,主要表现在:(1)网络环境下的无纸化交易丧失了传统的审计轨迹,交易的授权、完整性及真实性不如在传统条件下那么明显而难以查证。(2)在电子商务环境下,需要对信息建立数据安全与控制措施。未经授权的访问、舞弊或者病毒攻击均对被审计单位的经营风险和财务报表审计工作产生重大影响。(3)为了获取和评价以电子数据形式存在的电子商务证据,传统的审计程序和数据提取技术将无能为力。(4)在电子商务环境中,被审计单位广泛使用服务机构(包括互联网服务提供商、应用服务提供商和数据服务公司等)的服务,产生了新的分离审计问题。
2.财务报表审计范围和审计对象的拓展
电子商务条件下财务报表审计涉及整个商业行为,并且这种商业行为是运转在网络上的,其中一部分还是虚拟的和真空的,特别是在电子商务系统高度自动化、审计证据可能仅以电子形式存在条件下,审计证据的充分性和适当性通常取决于自动化信息系统相关控制的有效性,注册会计师应当考虑仅通过实施实质性程序不能获取充分、适当审计证据的可能性。如果认为仅通过实施实质性程序不能获取充分、适当的审计证据,注册会计师应当考虑依赖的相关控制的有效性。因此,财务报表审计的范围拓展到对整个电子商务系统交易过程及控制的测试。审计对象也要在财务报表及相关财务资料的基础上,扩展到被审计单位资信、内部控制、交易全过程等对财务报表产生影响的诸多事项。
3.审计风险加大
电子商务采用的是网络化信息系统,它一方面面临着系统自身故障风险,存在着对会计数据非法访问、篡改、泄密和破坏的可能:另一方面还面临着计算机病毒破坏和黑客非法入侵窃取财务数据的风险,识别、研究、审查和评价所搜集的审计证据有一定困难,这增加了财务报表审计中重大错报的风险。财务报表相关信息的无纸化,使电子合同、函件、订单的真实合法性难以得到保证。交易双方的真实身份难以确定,数据签名的真实性难以验证,容易使交易产生欺诈行为,也将导致重大错报风险的增加,最终将对注册会计师可控的检查风险降低提出更高的要求,审计工作难度明显加大。
二、电子商务条件下财务报表审计的总体要求
1.财务报表审计目的的不变性
新颁布的《中国注册会计师审计准则第1101号——财务报表审计的目标和一般原则》规定,财务报表审计的目的是注册会计师通过执行审计工作对财务报表的合法性和公允性发表审计意见,注册会计师执行的审计工作能够对财务报表整体不存在重大错报获取合理保证。注册会计师的审计意见旨在提高财务报表的可信赖程度。无论是传统交易方式还是电子商务交易方式。财务报表审计的目的是不变的。特别需要强调的是:电子商务条件下财务报表审计需要对电子商务进行考虑的目的是对财务报表发表恰当的审计意见,而非对电子商务系统或活动本身提出鉴证结论或咨询意见;注册会计师的审计意见也不应被视为是对被审计单位电子商务交易安全的一种保证。
2.控制测试更重要
电子商务环境下审计轨迹的瞬时性特征、无纸化环境及缺乏人员的干预导致风险的增加,使控制保证成为电子商务环境下最重要的测试环节。审计人员面对无纸化的审计轨迹及系统输出的财务报告,为了对财务报告的公允性发表审计意见。必须着重收集足够的审计证据,特别要通过大量的控制测试对控制环境进行经常性监控,以确保电子商务财务报告的可信性。过去,审计人员一般针对一个时点的财务数据进行大量的实质性测试;而在电子商务条件下,则需要在评价被审计单位持续经营的基础上,实施大量的有效的内部控制测试措施,且审计人员必须能够对控制风险进行合理的评价。
3.主要依赖计算机审计程序
在电子商务环境下,大量的证据存储在肉眼看不见的磁性介质上或在网络传播过程中,对这些证据,审计人员主要依赖计算机技术进行获取和审查。目前,主要的电子商务审计技术是ITF。ITF是建立在一个活动数据文档基础上的程序。审计人员可以利用ITF对控制系统进行交易测试,并且该项测试既不影响公司正常营运也不会导致财务数据的破缺。
4.重视审计风险
2006年2月颁布的审计准则对审计风险模型进行了重构,审计风险取决于重大错报风险和检查风险。注册会计师应当实施审计程序,识别和评估重大错报风险,并根据评估结果设计和实施进一步审计程序。以控制检查风险。电子商务环境下,来自被审计单位的经营风险和控制风险加大。财务报表存在重大错报的可能性上升。为此,注册会计师应通过了解被审计单位的电子商务环境以识别其重大错报风险,并根据评估的风险水平设计进一步的应对措施,特别是执行恰当的控制测试以判定内部控制有效性对财务报表的影响。 转贴于
三、电子商务条件下财务报表审计的应对措施
1.了解被审计单位电子商务及对财务报表的影响
注册会计师应当考虑电子商务导致的被审计单位经营环境的变化,以及识别出的对财务报表产生影响的电子商务风险。在了解被审计单位及其环境时,注册会计师应当考虑下列事项对财务报表的影响:一是业务活动和所处行业。在了解被审计单位的业务活动和所处行业时,注册会计师应当关注电子商务不具备货物和服务等实体贸易所具有的清晰、固定的运送路线。运用电子商务的程度较高可能增大对财务报表产生影响的经营风险等特征。二是电子商务战略。被审计单位的电子商务战略,包括在电子商务中运用信息技术的方式以及对可接受风险水平的评估,可能对财务记录的安全性和相关财务信息的完整性与可靠性产生影响。三是开展电子商务的程度。不同的被审计单位可能以不同的方式开展电子商务,随着被审计单位开展电子商务程度的加深,以及内部系统更加集成化和复杂化,新的交易方式与传统业务活动的差异可能更加明显,并可能导致新的风险。四是外包安排。为被审计单位服务的机构采用和保持的某些政策、程序和记录可能与被审计单位财务报表审计相关,注册会计师应当按照《中国注册会计师审计准则第1212号——对被审计单位使用服务机构的考虑》的规定,考虑被审计单位的外包安排及相关风险的应对措施,以确定其对审计的影响。
2.识别和评估电子商务相关的经营风险和重大错报风险
在了解被审计单位环境基础上,注册会计师应识别和评估重大错报风险。电子商务环境下,因内部控制制度缺陷和无效带来的经营风险是产生财务报表重大错报风险的重要原因,所以注册会计师应特别关注其经营风险。与电子商务相关的经营风险有:(1)无法保证交易的完备性,尤其在缺少充分的审计轨迹(无论是纸介质还是电子形式)时,该风险的影响将更大;(2)电子商务安全风险,包括顾客、员工和其他人士通过未经授权的访问实施舞弊的可能性,以及病毒攻击;(3)运用不恰当的会计政策,包括收入确认、网站开发成本等支出的处理、与产品质量保证相关的预计负债的确认、外币折算等问题;(4)未能遵守税法和其他法律法规,尤其在通过互联网开展跨国或跨地区电子商务时更易出现此类情况;(5)无法保证仅以电子形式存在的合同具有约束力;(6)过度依赖电子商务;(7)系统和基础架构失效或崩溃。
另外,注册会计师还应从被审计单位的行业状况、监管环境、目标与战略、治理层和管理层特定意图、复杂的联营或合资、重大的非常规交易、重大的关联方交易、交易的重大不确定性、会计计量过程复杂和信息技术环境发生变化等事项来识别和评估其重大错报风险。
3.风险应对程序
注册会计师应当针对评估的财务报表层次重大错报风险确定总体应对措施,并针对评估的认定层次重大错报风险设计和实施进一步审计程序,以将审计风险降至可接受的低水平。
针对评估的财务报表层次重大错报风险主要采取下列总体应对措施:(1)向项目组强调在收集和评价审计证据过程中保持职业怀疑态度的必要性;(2)分派更有经验或具有特殊技能的审计人员。或利用专家的工作;(3)提供更多的督导;(4)在选择进一步审计程序时,应当注意使某些程序不被管理层预见或事先了解;(5)对拟实施审计程序的性质、时间和范围做出总体修改。
注册会计师应当针对评估的认定层次重大错报风险设计和实施进一步审计程序(包括控制测试和实质性程序),并具体考虑审计程序的性质、时间和范围。在电子商务环境下,注册会计师仅实施实质性程序获取的审计证据一般无法将认定层次重大错报风险降至可接受的低水平,应当实施相关的控制测试,以获取控制运行有效性的审计证据。注册会计师进行控制测试时应当特别考虑与电子商务相关的安全性控制、交易完备性控制和流程整合。具体实质性程序包括检查、观察、询问、函证、重新计算和分析程序。函证是电子商务环境下证实交易真实的有力程序,而传统审计条件下的检查则显得无能为力。
4.评价审计证据
审计的特别风险及应对范文第2篇
关键词:风险管理审计准则 适用范围 界定
中图分类号:F239.4 文献标识码:A
文章编号:1004-4914(2011)12-204-02
一、问题一 风险管理审计准则的适用范围
《风险管理审计准则》第3条为:“本准则适用于各类组织的内部审计机构、内部审计人员及其从事的内部审计活动。”
我国的内部审计人员主要是具备较高审计、会计专业水平的人员,而企业的风险管理不应仅仅包括内部审计人员,还应由企业的董事会、管理层和其他员工共同参与,使企业各个层次的员工都涉及得到。其中:(1)董事会对企业的风险管理负监督职责――了解管理者在企业内部建立有效风险管理的程度、获知并认可企业的风险偏好、符合企业的风险组合观并与企业的风险偏好相比较、评估企业的首要风险并评估管理者的风险反应是否适当;(2)管理层确定风险管理的基调,对企业风险管理最终负责;(3)内部审计人员通过对管理者风险管理过程的充分性和有效性进行监控、检查、评估、报告和提出改进建议,来帮助管理者和董事会或审计委员会履行其职责;(4)企业的其他员工都应提供风险管理所需的信息或者采取必要的措施管理风险,并及时向上报告风险。
一个企业通常将其战略目标分解成相应的子目标,再将子目标层层分解到业务部门、行政部门和各生产过程。在制定战略时,管理者应考虑与不同战略相关联的风险。即确定障碍或可能出错的事情,以及为了提供最大成功概率而不得出错的关键成功系数。然后管理层决定哪些方案、程序或行动能用于积极、有效地管理风险。并且将风险管理过程应用于企业内部每个层次和部门,企业管理者对企业所面临的风险应有一个总体层面上的风险组合观――从总体层面上考虑企业的各项活动。企业的风险管理应考虑组织内所有层面的活动,从企业总体的活动(如战略计划和资源分配)到业务部门的活动(如市场部、人力资源部),再到业务流程(如生产过程和新客户信用复核)。
风险管理过程的概念很简单,但落实起来又是另一回事,要特别注意在管理人员之间就一目了然的事项达成一致意见。要取得期望的效果需要应用多种方法,在许多时候需要举办协调讨论会,将关键人物聚集在一起,以获得必要的“赞同参与”,使风险管理过程顺利付诸实施。
二、问题二 风险管理过程的界定
《风险管理审计准则》第2条对风险管理做了如下定义:“是对影响组织目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的过程。风险管理旨在为组织目标的实现提供合理保证。”第6条则描述了风险管理包括的主要阶段:“风险识别(根据组织目标、战略规划等识别所面临的风险)”、“风险评估(对已识别的风险,评估其发生的可能性及影响程度)”以及“风险应对(采取应对措施,将风险控制在组织可接受的范围内)”;在该准则的第4条中,还特别强调:“风险管理是组织内部控制的基本组成部分,内部审计人员对风险管理的审查和评价是内部控制审计的基本内容之一。”
可以看出,该准则所称的“风险管理”是狭义上的风险管理,即风险管理活动的具体实施过程为风险识别、评估及应对。而广义的风险管理不仅包括上述的具体实施过程,还包括其他起辅助作用的要素:风险预测与预警、风险控制、信息沟通以及风险监督等等(下文会做具体的论述)。按目前狭义前提下制定的准则去执行,风险管理审计就会忽略这些起辅助作用的要素,以至于发现不了组织风险管理活动中可能存在的潜在问题。
1.风险预测与预警。“风险识别”中说“识别所面临的风险”,即近期的、已发生或存在的、企业所感受得到的风险。但风险多种多样,笔者认为应该增加“风险预测与预警”,即先确定企业的风险偏好;然后全方位对风险进行科学的预测分析,提醒有关部门采取有力措施,增加危机意识,提高风险管理审计和内部控制的效率。企业还应设立风险评价指标控制体系,同时风险管理机构和人员密切注意与本企业相关的各种内外因素的变化发展趋势,从对因素变化的动态中分析预测企业可能发生的风险,进行风险预警。之后,在预测到的风险范围内,根据组织目标、战略规划等做具体的、有针对性的“风险识别”,将最有可能发生的几种风险进行评估与应对。
2.风险评估。“风险评估”应从企业战略和目标的角度进行。首先,应对企业的固有风险进行评估。根据已确定的固有风险反应模式确定对固有风险的管理措施。其次,管理者应在对固有风险采取有关管理措施的基础上,对企业的残存风险进行评估。
由于企业内部不同部门或不同业务的风险,有的会相互叠加放大,有的则相互抵消减少。如前文所说,风险的考虑不能仅仅从某项业务、某个部门的角度出发,应将风险组合起来处理。因此,风险的有效识别和评估、预先找到风险之间的相互关系,可以使企业避免被放大的风险所带来的损失,并减少处理已抵消了的风险所发生的费用。
3.风险应对与控制。“风险应对”可以分为回避风险、接受风险、降低风险和分担风险。对于每一个重要的风险,企业都应全面考虑风险反应方案。有效的风险管理要求管理者选择可以使企业风险发生的可能性和影响都落在风险容忍度之内的风险反应方案。选定某一风险反应方案后,管理者应在残存风险的基础上重新评估。
在选择好风险应对方案后,应该增加“风险控制”环节,即制定相关的政策和程序,来保证风险反应方案得到正确执行。
4.信息沟通。在应对风险的过程中要确定内外部环境的变化和内部执行情况的反馈,对风险的变化进行有效的反应,这就要求有“信息沟通”环节。即将企业内外部相关信息以一定的格式和时间间隔进行确认、捕捉和传递,以保证企业的员工能够执行各自的职责;加强企业内部横向和纵向的沟通,并将相关的信息与企业外部相关方进行有效的沟通和交换,如供应商、客户、行政管理部门和股东等。这也是风险报告环节,全面反映经济活动情况,及时提供重要信息,增强内部管理的时效性和针对性。
5.风险监控。为了评估企业风险管理的执行质量,就要有一个监督过程――可以设立一个风险监控系统,通过持续监控、个别评估,保证企业的风险管理在企业内务管理层面和各部门持续得到执行,并通过风险管理记录来保证监控的有效性。当企业管理者打算向外部相关方提供关于企业风险管理效率的报告时,他们应考虑为企业风险管理设计一套记录模式并保持有关的记录。
6.其他。通过风险评价指标体系确定风险范围,使管理者分清组织可接受风险和个人可接受风险。否则,会产生严重后果,若管理者个人拿公司资产进入超出公司短暂经营范围的高风险领域,则是将整个企业做赌注。这就需要企业建立有效的风险评价指标体系,对风险进行识别和评估;然后进行信息沟通和交流,使管理者或项目执行者清楚地知道什么应该做、什么不应该做;同时,再通过风险监控系统监控,确保企业风险最小化或损失最小化。
基于以上分析,要实现真正意义上的风险管理审计,对风险管理审计准则中的风险管理概念的理解就必须建立在广义的基础之上。即风险管理不应仅仅包括风险识别、评估及应对环节,更包括风险预测与预警、风险控制、信息沟通以及风险监控等环节。从广义上理解风险管理的涵义,全盘考虑风险管理的构成要素及其运作方式,才能及时有效地发现企业风险管理实践中存在的短板。
三、总结及观点――企业如何加强风险审计管理
1.设立风险管理委员会和审计委员会。可以在企业设立风险管理委员会和审计委员会。其中,风险管理委员会作为内部控制管理的主要决策机构,负责拟定、执行控制程序;审计委员会主要负责风险监督与评价,督促管理层解决内部控制存在的问题,并将修正控制意见反馈前者,以完善控制体系。
2.加强对企业领导者的审计监督。企业领导者在风险管理审计中起着非常重要的作用,他们的一举一动,对企业有着至关重要的影响。所以应该加强对企业领导者的审计监督,把好“总舵手”这一关。弄清企业负责人和部门负责人任期内的经济责任,特别是更换负责人的企业,通过审计使离任的企业领导走得明白,继任的领导者接得清楚。要特别注意离任审计,避免出现“一个企业搞不好,换个企业当领导”的怪象,从而使企业健康发展。
3.根据企业自身情况,建立相应的规章制度。要在符合内部控制要求和企业自身情况的前提下,建立行之有效的规章制度――完善各项业务的管理制度,建立风险防范体系,规范风险控制制度。建立健全规章制度,使企业的一切活动都有章可循,有规可守,做到违章必究。并对企业的重大决策、发展、规划、人事制度、财务会计等建立公开制度,增强透明度,为风险监管创造条件。
4.建立风险调节系统。董事会需要确信管理层不仅已确定并管理现有风险,而且已建立有效的、随时可以发现新风险的过程。此系统不是凌驾在现有管理程序之上的单独的过程,相反,它应该与管理层运营公司的方式结合在一起,充实管理过程并使之以风险为重心,确保风险得到恰当的管理。
四、有待解决的问题
本准则对风险评估方法界定模糊。第13条提出:“内部审计人员应当充分了解风险评估的方法。风险评估可以采用定性或定量的方法进行。定性方法,是指运用定性术语评估并描述风险发生的可能性及其影响程度。定量方法,是指运用数量方法评估并描述风险发生的可能性及其影响程度。”可见,准则只是做了概念性介绍,可能出于准则简洁之考虑。但不可否认的是,我国在风险评估方法上所做的创新并不多,风险的定量计量方法更是捉襟见肘。风险是一个十分抽象的概念,欲将其定量计量难上加难。如何能开发出适合中国国情的风险度量模型,并使企业有效根据自身特点作出选择?这是一个有待研究的十分有价值的问题。
参考文献:
中国内部审计协会.内部审计具体准则第16号――风险管理审计.2005.
审计的特别风险及应对范文第3篇
论文提要:本文在分析内部控制整合框架与企业风险管理整合框架关系的基础上,分析现行风险管理审计准则的局限性,并提出开展风险管理审计的建议。
一、我国风险管理审计准则的内容及局限性
随着经济形势发展及我国内部审计自身发展的需要,我国内审也开始重视风险管理内部审计。2005年中国内部审计协会颁布了《内部审计具体准则第16号—风险管理审计》(以下简称风险管理审计准则)并要求于2005年5月1日起实施,该具体准则的出台为我国内部审计人员对组织内部风险管理状况进行审查和评价提供了规范指导。
风险管理审计准则第2条对风险管理做了如下定义:是对影响组织目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的过程。风险管理旨在为组织目标的实现提供合理保证;第6条则描述了风险管理包括的主要阶段:风险识别、风险评估以及风险应对;在该准则的第4条中,还特别强调:风险管理是组织内部控制的基本组成部分,内部审计人员对风险管理的审查和评价是内部控制审计的基本内容之一。
可以看出,该准则所称的“风险管理”是从狭义上理解的风险管理,即风险管理活动的具体实施过程:风险识别、评估及应对。而广义的风险管理不仅包括上述的具体实施过程,还包括其他起辅助作用的要素:内部环境、控制活动以及监督。按目前狭义前提下制定的准则去执行,风险管理审计就会忽略这些起辅助作用的要素,以至于发现不了组织风险管理活动中可能存在的潜在问题。中航油案例就是一个很好的例证。
中国航油(新加坡)股份有限公司(下称中航油新加坡公司)曾聘请国际著名的安永会计师事务所为其编制《风险管理手册》,设有专门的风险管理委员会及软件监测系统,实施交易员、风险控制委员会、审计部、总裁、董事会层层上报,交叉控制,按照《风险管理手册》的规定,任何导致50万美元以上损失的交易将自动平仓。中航油新加坡公司共有10位交易员,损失的最大限额应是500万美元(10×50万=500万)。但是,中航油新加坡公司的衍生品交易最终亏损额高达5.5亿美元,以至申请破产保护。中航油事件的核心问题并不在于市场云谲波诡,而在于该公司从表面上看似乎已实施了风险管理的流程:风险识别、风险评估、风险应对;但缺少对风险管理系统中的其他辅助要素的合理关注,最终导致企业整体风险管理失败。这一案例也再次说明:风险管理不仅仅只包括风险识别、评估及应对,更包括内部环境、控制活动、信息和沟通以及监控;风险管理系统的有效运转依赖于各要素的通力协作,对风险管理不应停留于狭义上的理解;风险管理审计准则应指导内部审计人员从广义上理解风险管理的涵义,全盘考虑风险管理的构成要素及其运作方式,及时有效地发现企业风险管理实践中存在的短板。
二、重新认识内部控制与风险管理的关系
对风险管理审计的认识依赖于企业进行风险管理时所采取的企业风险管理框架或风险模型(用来反映风险管理过程和内容的程序图)。截至目前,已经有如下风险管理模型:1995年澳大利亚-新西兰联合委员会的AS/NZE4360;1998年的加拿大标准委员会模型;1997年全国虚假财务报告委员会下属的发起人委员会(下称COSO委员会)内部控制-整合框架的“目标—风险—控制”模型;2004年COSO委员会的企业风险管理-整合框架(简称ERM框架)模型。风险管理审计准则中出现的问题根源就在于准则中的“风险管理”概念采纳了COSO委员会1997年的内部控制-整合框架中的观点。然而,理论界和实务界还是认为该内部控制框架有些局限性,如对风险强调不够,使得内部控制无法与企业的风险管理相结合。COSO委员会2004年的ERM框架就是在1997年的内部控制-整合框架的基础上,结合《萨班斯——奥克斯利法案》的相关要求扩展得到的。相比内部控制框架,ERM框架在多个方面都有所发展和深化,具体表现在以下几个方面:
1、企业风险管理涵盖了内部控制。增加了新的要素或赋予原有要素新的含义,对内部控制框架下的风险管理要素进行细化,按风险管理的流程划分为:目标设定、事件识别、风险评估、风险反应四个要素。同时,在环境要素中增加了“风险管理哲学”以及风险“偏好”。对比二者的构成要素,可以发现风险管理框架中的目标制定、事项识别、风险评估、风险应对四个要素实质上就是风险管理的流程,也可以理解为狭义上的风险管理。这样看来,内部控制框架与风险管理框架中的要素完全一致。但是系统论认为,系统的性质不仅取决于组成系统的各要素,更依赖于组成系统的各要素的排列方式。在内部控制三个目标的基础上增加了战略目标,并扩大了报告目标的范围,将“财务报告的可靠性”发展为“报告的可靠性”。
2、企业风险管理更加强调管理风险。ERM框架强调在“组合”的基础上考虑风险,考虑风险的集合和风险的交互作用,并在此基础上考虑企业应采取的风险控制措施。在强调风险管理的环境下,ERM框架显然不同于内部控制框架。
总之,ERM框架扩展并详细地阐述了与企业风险管理相关的那些内部控制要素。从企业风险管理要求和实施来看,内部控制是ERM的主要构成部分,但绝对不能等于ERM范畴,ERM的理论和实务都要比内部控制宽泛得多,ERM更适合企业战略风险管理的要求。因此,不能说风险管理审计是内部控制审计的一部分。
三、建议
基于以上分析,要实现真正意义上的风险管理审计,对风险管理审计准则中的风险管理概念的理解就必须建立在广义的基础之上,即采纳COSO委员会(2004)ERM框架中的广义风险管理概念。鉴于内部控制与风险管理二者密不可分的联系,在现行的准则体系下可以协调内部控制审计准则与风险管理审计准则之间的关系,以使风险管理审计准则能得以更有效的实施。
主要参考文献
[1]中国内部审计协会.内部审计具体准则第16号——风险管理审计.2005.
审计的特别风险及应对范文第4篇
注册会计师执业准则体系的出台顺应了两大时代背景:一方面,经济全球化和注册会计师审计准则国际趋同的大趋势,要求我国加速实现准则国际趋同,减少我国经济融入世界经济体系的障碍,改善我国经济贸易环境;另一方面,注册会计师面临不断变化的审计环境及由此带来的审计风险,迫切要求我们大力改进注册会计师执业准则,增强审计的有效性,增进社会公众对行业的信心,维护市场经济的稳定有序运行,保护社会公众利益。
为便于更好地理解和执行这些准则,现就准则体系的特点及创新之处,谈谈自己的认识。
一、准则体系强化了行业维护社会公众利益的宗旨
执业准则作为规范注册会计师执业活动的标准,与社会公众的利益密切相关。同以前制定的审计准则相比,注册会计师执业准则体系更加突出了维护社会公众利益的宗旨,强化了注册会计师的执业责任,针对实务中暴露出的不足,严格了程序,要求注册会计师切实承担起保护社会公众利益的责任。
例如《中国注册会计师审计准则第1141号——财务报表审计中对舞弊的考虑》要求注册会计师在执业过程中保持职业怀疑态度,针对新形势下财务报表舞弊的特点,更加积极主动地识别和应对财务报表舞弊的风险,并为注册会计师履行好这一责任提供了更多的指引。准则特别强调,舞弊导致的风险是特别风险,注册会计师应当专门针对该风险实施实质性程序。
又如,为避免部分会计师事务所片面理解风险导向审计,过分依赖分析程序,而减少实质性程序,《中国注册会计师审计准则第1211号——针对评估的重大错报风险实施的程序》明确要求,注册会计师应针对所有重大的各类交易、账户余额、列报和披露实施实质性程序。
再如,针对“安然”事件暴露出的会计师事务所销毁不利工作底稿的问题,《中国注册会计师审计准则第1131号——审计工作底稿》对审计工作底稿的归档期限和保存年限,以及审计报告日后对审计工作底稿的变动,都作出了明确规定。
二、准则体系符合国际趋同的要求
注册会计师执业准则体系在体系结构、项目构成和基本内容上实现了与国际准则的趋同。
从体系结构看,我们按照国际趋同的要求,根据注册会计师提供服务性质的不同,对注册会计师执业准则体系进行了重构,与国际准则体系保持了充分的一致。
从项目构成看,除个别项目因对我国几乎不适用而未被纳入外,我国注册会计师执业准则体系涵盖了国际审计准则的所有项目。
在审计准则的内容上,我们充分采用了国际审计准则所有的基本原则和核心程序,在审计的目标与原则、风险的评估与应对、审计证据的获取和分析、审计结论的形成和报告,以及注册会计师执业责任的设定等所有重大方面,与国际审计准则保持一致。由于我国准则是部门规范性文件,不便把国际审计准则中包含的举例等解释说明性材料写入准则正文,但我们会把这些内容写入正在起草的指南中,以帮助会员正确理解和运用准则。
三、准则体系体现了风险导向审计的要求
最近几年,注册会计师面临的审计环境发生了很大的变化,复杂多变的市场环境、日新月异的科学技术、不断创新的经营模式和市场工具,增大了企业面临的经营风险,进而更容易引致注册会计师的审计风险,加之会计中估计与判断成分的不断增加、审计对象由有形资产向无形资产转变、信息技术的不断发展,所有这些变化都迫切要求注册会计师创新审计理念和技术,提高防范风险的能力。
以往审计实务是建立在传统审计风险模型基础上,存在很大缺陷。注册会计师往往把关注点放在直接实施控制测试和实质性程序上,而忽略从宏观层面把握财务报表存在的重大错报风险,导致审计失败的风险增大。因为如果企业管理当局串通舞弊或凌驾于内部控制之上,那么其内部控制是失效的。这种情况下,注册会计师如果不把审计视角扩展到内部控制以外,如行业状况、监管环境、企业的性质,以及目标、战略和相关经营风险等方面,就很容易受到蒙蔽和欺骗,难以发现由于内部控制失效所导致的财务报表重大错报风险。
在此背景下,国际审计与鉴证准则理事会与英美等国的审计准则制定机构共同研究制定了审计风险准则,改进了传统的审计风险模型,以提高注册会计师识别、评估和应对重大错报风险的能力。审计风险准则要求注册会计师在执行审计业务时切实贯彻风险导向审计理念,以重大错报风险的识别、评估和应对为审计工作主线,做到有的放矢,避免审计工作的盲目性,提高审计的效率和效果。审计风险准则进一步明确了财务报表审计的目标和基本原则;进一步明确了注册会计师审计证据的内容、数量和质量,以及为获取审计证据所实施的审计程序;进一步明确了注册会计师了解被审计单位及其环境,并评估重大错报风险的程序;进一步明确了针对评估的重大错报风险实施的程序。
借鉴国际审计理念研究和实务探索的先进成果,我们制定了审计风险准则。审计风险准则是整个审计准则体系的核心准则,包括《中国注册会计师审计准则第1101号——财务报表审计的目标和一般原则》、《中国注册会计师审计准则第1211号——了解被审计单位及其环境并评估重大错报风险》、《中国注册会计师审计准则第1231号——针对评估的重大错报风险实施的程序》和《中国注册会计师审计准则第1301号——审计证据》等4个项目。
同以往审计准则相比,审计风险准则着力解决以下几个问题:
一是要求注册会计师加强对被审计单位及其环境的了解。注册会计师应当实施程序,更广泛深入地了解被审计单位及其环境的各个方面,包括了解内部控制,为识别财务报表层次,以及各类交易、账户余额、列报和披露认定层次等重大错报风险提供更好的基础。
二是要求注册会计师在审计的所有阶段都要实施风险评估程序。注册会计师应当将识别的风险与认定层次可能发生错报的领域相联系,实施更为严格的风险评估程序。
三是要求注册会计师将识别和评估的风险与实施的审计程序挂钩。在设计和实施进一步审计程序(控制测试和实质性程序)时,注册会计师应当将审计程序的性质、时间和范围与识别、评估的风险相联系,以防止机械利用程序表,从形式上迎合审计准则对程序的要求。
四是要求注册会计师将识别、评估和应对风险的关键程序形成审计工作记录,以保证执业质量,明确执业责任。
同时,我们以审计风险准则为基础,在新制定的其他准则中体现了审计风险准则的要求,并根据这一要求对26个准则进行了全面的修订和完善。
四、准则体系严格了会计师事务所质量控制的要求
健全完善的质量控制制度是保证会计师事务所及其从业人员遵守法律法规、中国注册会计师职业道德规范及中国注册会计师执业技术准则的基础。
《会计师事务所质量控制准则第5101号——业务质量控制》系统地总结了近些年审计失败的经验教训,要求会计师事务所制定全面的质量控制制度,包括落实对业务质量的领导责任、确保职业道德规范得以遵守、客户关系和具体业务的接受与保持、人力资源、业务执行、业务工作底稿和监控等七个方面。
例如,准则要求会计师事务所树立质量至上的意识,培育以质量为导向的内部文化,建立以质量为导向的业绩评价、薪酬及晋升的政策和程序,要求主任会计师对质量控制制度承担最终责任。
又如,准则要求会计师事务所对所有上市公司财务报表审计实施项目质量控制复核,复核内容包括独立性、审计过程中识别的特别风险及其应对措施、审计过程中作出的重要判断、意见分歧、调整事项及审计报告等。
再如,准则规定,对所有的上市公司财务报表审计,要求会计师事务所按照法律法规的规定定期轮换项目负责人;只有意见分歧问题得到解决,项目负责人才能出具报告;会计师事务所在不长于三年的周期内选取已完成的业务进行检查。
五、准则体系实现了形式和结构上的创新
目前我国注册会计师承办业务类型较多,既有财务报表审计和审阅、内部控制审核等具有鉴证性能的业务,又有司法诉讼中涉及会计、审计、税务或其他事项的鉴证业务,还有代编财务信息、执行商定程序、管理咨询和税务咨询等不具有鉴证性能的业务。
为了适应我国注册会计师业务多元化发展的实际情况和国际趋同的要求,更好地规范注册会计师的执业活动,新的审计准则体系在准则框架、准则名称和准则编号等方面进行了诸多创新。
一是重构准则框架。将“中国注册会计师独立审计准则体系”改进为“中国注册会计师执业准则体系”,具体包括鉴证业务准则、相关服务准则和会计师事务所质量控制准则三部分。为了便于社会公众理解,我们也将执业准则简称为“审计准则”。需要特别说明的是,原审计准则体系中,包括了1996年的《中国注册会计师职业道德基本准则》和《中国注册会计师职业后续教育基本准则》。前者是为保护社会公众利益和维护行业形象,对会计师事务所和注册会计师提出的道德要求,后者是为促进注册会计师保持和提高专业胜任能力,对后续教育提出的要求。这两类准则不属于行业技术性规范,因此不再纳入执业准则体系。但这两个准则仍然是行业管理的规范性要求,我们将根据注册会计师行业实际情况和国际趋同的需要,对其进行必要修订。
二是改进执业准则名称。原独立审计准则体系包含了部分非审计业务准则,如《独立审计实务公告第5号——盈利预测审核》《独立审计实务公告第10号——会计报表审阅》等,导致以审计准则的名义规范其他业务类型。在新的注册会计师执业准则体系中,我们借鉴了国际通行做法,将非审计业务准则从执业准则体系中分离出来,按照其业务性质冠以适当的名称。例如,我们将《独立审计实务公告第5号——盈利预测审核》重新命名为《中国注册会计师其他鉴证业务准则第3111号——预测性财务信息的审核》;将《独立审计实务公告第10号——会计报表审阅》重新命名为《中国注册会计师审阅准则第2101号——财务报表审阅》。
审计的特别风险及应对范文第5篇
一、审计风险模型及其改进
(一)审计风险模型要素的变化原准则所称审计风险,是指会计报表存在重大错报或漏报,而注册会计师审计后发表不恰当审计意见的可能性,包括固有风险、控制风险和检查风险。即审计风险=固有风险×控制风险×检查风险(AR=IR×CR×DR)。新准则规定,审计风险是指财务报表存在重大错报而注册会计师发表不恰当审计意见的可能性。审计风险取决于重大错报风险和检查风险,注册会计师应当实施审计程序,评估重大错报风险,并根据评估结果设计和实施进一步审计程序,以控制检查风险。即审计风险=财务报表重大错报风险×检查风险。
(二)传统审计风险模型的缺陷原准则第9号第22、33条指出,注册会计师了解内部控制并评估固有风险后,应当对各重要账户或交易类别的相关认定所涉及的控制风险作出初步评估。由于控制风险与固有风险相互联系,注册会计师应当对固有风险与控制风险进行综合评估。在实务中,有些事务所分别评估固有风险和控制风险,也有些事务所综合评估固有风险和控制风险。若采用分别评估的方法,在编制具体审计计划时,注册会计师应考虑固有风险的评估对各重要账户或交易类别的认定所产生的影响,或者直接假定这种认定的固有风险为高水平。
若不直接假定固有风险为高水平的情况下对固有风险的评估。准则第21条指出,注册会计师应当合理运用专业判断,考虑管理人员的品行和能力、管理人员特别是财会人员的变动情况、管理人员遭受的异常压力、业务性质、影响被审计单位所在行业的环境因素、容易产生错报的会计报表项目等事项,评估固有风险。然而这些因素是否能够独立、全面地评估固有风险,注册会计师在审计实务中到底是否真正地评估了固有风险都有待考证。有证据表明,在审计实务中,固有风险的评估和控制风险的评估之间是相互关联的,注册会计师在评估控制风险中的大部分控制环境特征时亦一并列示了固有风险评估的重要因素。这表明注册会计师并非评估固有风险本身,而是内部会计控制。
若直接假定固有风险为高水平,此时,由于AR=IR×CR×DR,故有AR=100%×CR×DR,即AR=CR×DR。(1)从可行性和效果性分析,变形后的AR使得内部控制的主体缺位。内部控制是管理层用以应对固有风险的重要手段。而控制风险的产生往往介于两个极端之间:一个极端是管理层制定的内部控制完全不能应对固有风险,另一个极端是管理层制定的内部控制完全能够应对固有风险。人们不可能脱离风险源头(固有风险)对控制风险进行评估;如果脱离,也就不可能得到合理的控制风险评估结果,最终往往造成低估企业重大错报风险。(2)从效率性分析,如果简单地将一个企业的固有风险评估为最高,审计起点退至了解和测试内部控制,从而使注册会计师在审计实务中更多地依赖审计风险模型的其他组成部分,并增加计划获取的审计证据的数量或要求,可能是不恰当的,特别是在一个讲究审计效率的环境下。(3)从模型本身的因素分析,模型如果没有纳入控制固有局限的影响并细分控制风险,应用该模型容易导致注册会计师在实务中低估重大错报风险,高估可接受的检查风险,相应的审计程序(如细节测试)可能不足。因此,该模型无助于审计证据的决策,而必须在每一种业务循环、每一个账户,并且经常在每一个审计目标上分析计算,从而无法满足对财务报表审计整体审计风险的把握和控制。在此基础上构建出的风险导向审计模式在对待风险上只能是零散的、微观的,不能形成整体的、宏观的认识。
(三)现代审计风险模型的改进主要包括以下几方面:
一是引入“重大错报风险”概念,并规定评估重大错报风险是首要的必要审计程序。为了避免分别评估固有风险和控制风险的潜在误解,也为了增强“固有风险和控制风险综合评估”的可操作性,新准则引入了“重大错报风险”概念。准则1101号第18条规定,重大错报风险是指财务报表在审计前存在重大错报的可能性。将审计风险模型重构为:审计风险=重大错报风险×检查风险。这不是简单地将固有风险和控制风险合并为重大错报风险,而是作出了重大的实质性改进。它要求注册会计师在设计和实施审计测试前必须适当地评估重大错报风险,而不能未评估重大错报风险就盲目进行审计测试;也不能像以往那样简单设定重大错报风险为高水平而直接实施更为广泛的实质性测试。新风险模型明确规定了审计工作以评估财务报表重大错报风险作为新的起点和导向,准确地抓住了审计工作的重点,有助于直接引导注册会计师紧紧围绕重大错报风险设计和执行审计程序,最终实现合理保证财务报表整体不存在重大错报的审计目标。
二是规定必须针对财务报表整体层次和认定层次来分别评估重大错报风险,并采取不同应对措施,将审计风险降至可接受的低水平。财务报表整体层次风险主要指战略经营风险,该风险源于企业客观的经营风险或企业高层通同舞弊、虚构交易。财务报表层次重大错报风险通常与控制环境有关,并与财务报表整体存在广泛联系,可能影响多项认定,但难以限于某类交易、账户余额、列报与披露的具体认定。现代风险模型要求注册会计师区分财务报表整体层次和认定层次来评估重大错报风险,然后再针对评估出的财务报表层次的重大错报风险和认定层次的重大错报风险,合理运用职业判断分别确定总体应对措施和设计、实施进一步审计程序,将审计风险降至可接受的低水平。而且,还强调注册会计师评估的财务报表层次重大错报风险以及采取的总体应对措施,对拟实施进一步审计程序的整体审计策略具有重大影响。
三是改变了审计业务流程,强调注册会计师实施的审计程序必须做到有的放矢,增强了审计效果。
审计业务流程改变后,对注册会计师审计理念有着深刻的影响:一是审计的主线变成了对财务报表重大错报风险的识别、评估与应对,以合理保证财务报表不存在重大错报;二是注册会计师实施的审计程序必须做到有的放矢;三是注册会计师必须针对重大的各类交易、账户余额、列报与披露实施实质性程序。这样一来,能否合理评估客户财务报表的重大错报风险,成为评价会计师事务所及CPA专业胜任能力和考验审计质量的关键尺度与决定性因素。
二、风险导向审计在我国运用亟需解决的问题
(一)会计师事务所审计成本与效益问题会计师事务所必须讲求成本与效益,成本能得到补偿是实施新的审计模式的前提。一般来说,现代风险导向审计模式下,首先,注册会计师关注的被审计单位及其环境的范围扩大,程度加深,导致工作时间和人员成本的增加,相应地会增加审计的总成本;其次,风险的概念贯穿于审计程序中每个具体的步骤,一旦在审计过程发现了问题,就要对既定的程序进行重新评估,也必然会加大审计成本。在会计市场竞争激烈的情况下,成本的增加往往不可能过渡到收费的同步增加。此外,还需要一定的投入来培训注册会计师,使其掌握业务流程和行业知识等有关方面的知识。如果这些成本得不到补偿,就会使一部分中小会计师事务所在竞争中无法生存。
(二)注册会计师执业队伍现状问题现代风险导向审计在审计理念的更新、审计方法的设计、专业判断的能力要求、执业责任的归属等方面,同原准则相比有了巨大的调整和变化,对注册会计师的执业素质提出新的更高要求。这一模式下,对风险的控制,不仅要审查与会计系统有关的因素,还要审查企业内外的各种环境因素;不仅对会计事项进行个别风险分析,还对各种环境因素进行综合风险分析。这就要求注册会计师不仅有丰富的执业经验,还要有广博的行业知识,对各行各业的总体情况了如指掌,才能对被审公司的行业风险和经营风险情况作出正确的评估。这种高素质人才的相对缺乏,已经成为了风险导向审计模式广泛开展的瓶颈。因此,现阶段并不适宜全面实行风险导向审计模式。
(三)信息系统的建设问题现代风险导向审计的重要特征是审计重心前移,注册会计师必须首先执行风险评估程序,充分了解客户整体经营环境,然后针对风险不同的客户、客户不同的风险领域,设计个性化的审计程序。因此,会计师事务所必须建立强大的信息系统,以便注册会计师在风险评估时了解企业的战略、流程风险管理、业绩衡量等。而目前国内很多事务所对行业风险和企业经营风险缺乏了解,对客户的相关信息了解不够充分,信息系统的建设还达不到现代风险导向审计的要求,大部分注册会计师缺少这方面的知识和技能准备,导致风险评估不准确。因此,在现阶段全面推行风险导向审计模式,只能是一种良好的愿望。
三、推动风险导向审计的几点思考
(一)辨证地引入风险导向审计引入风险导向审计是一种执业理念的改变。风险导向审计模式是在账项基础审计和制度基础审计这两种审计模式的基础上发展起来的。新审计模式与原有审计模式之间的关系并非取代与被取代的关系,新审计模式的产生并不意味着原有审计模式的淘汰和消亡,而是意味着在实施审计时有了更多的审计模式可供选择。在我国现阶段,更多地应该考虑选择以下混合审计模式:一是以制度基础审计为主,结合风险导向审计的混合审计模式;二是以会计报表审计为主,结合风险导向审计的混合审计模式。前者常常用在上市公司、跨国公司、企业集团中。由于这些公司的资产、资本规模较大,经济业务比较复杂,经营范围比较广,组织结构庞大、分散,所以这种公司不是靠一个或几个管理者来管理,更多的是依靠企业的一种比较健全的管理理念和比较完善的内控制度,采用混合审计模式可以在保证审计效果的同时提高审计效率。后者对中小型企业,特别是小企业比较适用,通常其资产、资本和经营规模比较小,业务流程简单,经营范围单一,管理层次很少,内部控制制度不健全或者形同虚设,用制度基础审计就不合适。对大多数民营企业也是如此。但是无论采取哪一种审计模式,都应该在整个审计过程中结合风险导向审计的理念。
(二)根据增值服务合理提高审计收费对企业而言,如果引入风险导向审计,首先要考虑是否会加大其成本,然后才会考虑增值服务效应。而对会计师事务所来说,首先考虑的是审计的价值,因为审计是有风险的。解决这种矛盾的途径是,根据企业不同的情况采用不同审计模式,审计过程中根据企业需要随时调整和完善审计程序,让客户感觉到使用风险导向审计能为其带来很多增值服务,如可以为企业提供内控建议等,让其意识到高收费并不意味着将成本转嫁给客户。当市场接受这种审计方式时,客户也认可这是一种增值服务。这样就能在成本和风险中找到一个最佳平衡点,从而合理提高审计收费。
