前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇审计准则风险评估范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
一、正确认识新审计准则对小型被审计单位审计的特殊考虑
在日常审计实务中,相当多的注册会计师对第1621号审计准则《对小型被审计单位审计的特殊考虑》存在两种错误认识:一是片面认为该准则对小型被审计单位审计的特殊考虑就是简化审计程序的考虑;二是夸大了该准则所规定的对小型被审计单位审计的简化考虑。从而使得一些注册会计师在审计实务中无端简化甚至放弃必须履行的审计程序,造成对审计准则的滥用。
众所周知,由于小型被审计单位一般规模较小,业务活动和会计记录相对简单,通常难以实施适当的职责分离,可能不存在能够被注册会计师识别的控制活动,而且业主凌驾于内部控制之上的可能性较大,因此,注册会计师审计小型被审计单位时首先必须重点考虑的是因小型被审计单位存在的上述特征或固有缺陷可能导致的潜在审计风险,必须在将审计风险降低至可接受的低水平的前提下,才能考虑对审计程序予以适当简化的问题。由此可见,对小型被审计单位审计简化考虑的重要程度应该低于对审计风险的考虑。实际上,从第1621号审计准则分别从“业务约定书”、“计划审计工作”、“风险评估程序”、“进一步审计程序”、“审计工作底稿”这五个方面对小型被审计单位审计所作的特殊考虑来看,其主要重点就是对小型被审计单位审计风险评估程序方面的考虑,其次才是对小型被审计单位审计程序简化的考虑,简化仅是因小型被审计单位的特点无法实施而不得不考虑简化或因成本效益原则而考虑简化的一些审计程序。
因此,笔者认为,尽管第1621号审计准则针对小型被审计单位审计的特点对审计程序作了一些简化考虑,但实际上,该准则更多、更重要的特殊考虑应该是针对小型被审计单位审计风险的识别、评估和应对,是在提醒注册会计师重点考虑对小型被审计单位审计存在诸多风险并在能够将审计风险降低至可接受的低水平的前提下,才能考虑对小型被审计单位审计程序的简化问题。所以,该准则的特殊考虑并非仅是简化考虑,简化仅是特殊考虑中的一个方面。因此,注册会计师在今后的审计实务中要正确认识和准确理解第1621号审计准则对小型被审计单位审计的特殊考虑,不能误解更不能曲解。
二、对风险评估程序简化的规范思考
从新审计准则实施一年多的情况来看,相当多注册会计师对小型被审计单位审计中风险评估程序的执行情况不容乐观。如一些注册会计师不知从哪里找来所谓的新准则下的风险评估工作底稿样本,不管懂不懂,不管对不对,不管是否适用,不管是否会用,不管是否全面和规范,从中选几张简单易行的底稿模板便依样画葫芦,抄点数据,写点情况,摆摆样子。审计工作底稿中仅是有几张表示其执行了风险导向审计准则的“招牌纸”,实际上根本体现不出风险导向的理念。更有甚者,一些注册会计师干脆将风险评估程序置之度外,对风险的了解和评估等审计程序根本不予实施,仍然按照老准则下的习惯仅执行实质性程序,似乎中注协规定的从2007年开始必须执行的新的风险导向审计准则与其无关。当问及为何如此时,这些注册会计师不是强调小型被审计单位不具备或不完全具备实施风险评估程序的前提条件,就是强调新准则规定了可以对小型被审计单位审计的风险评估程序进行简化,但当追问这样的简化是否符合新准则规定时,则不是无言以对就是强词夺理。
实际上,新准则对小型被审计单位审计的风险评估程序作了较为明确的规定。第1621号审计准则规定:“注册会计师应当了解小型被审计单位及其环境,以足够识别和评估财务报表重大错报风险,设计和实施进一步审计程序。” 准则同时规定,“注册会计师应当根据对小型被审计单位及其环境的了解,识别和评估财务报表层次以及各类交易、账户余额、列报(包括披露)认定层次的重大错报风险。”但是,该准则指南又补充规定:“由于小型被审计单位一般规模较小,业务活动和会计记录相对简单,对小型被审计单位及其环境的了解,可以在不违背相关审计准则实质精神的前提下,立足实际情况,有针对性地予以适当调整和简化。”
因此,笔者认为,注册会计师在对小型被审计单位的审计实务中必须注意两点,一是对小型被审计单位审计的风险评估程序是必须履行的审计程序,不可以放弃风险评估程序仅实施进一步审计程序;二是不可以无端调整和简化风险评估程序,必须在满足充分识别和正确评估重大错报风险的前提下,才可以有针对性地予以适当调整和简化风险评估程序。但必须注意的是,对于如何“适当调整和简化”的问题,该准则指南仅是从总体上作了原则规定,很大程度上还需要广大注册会计师在今后的审计实务中根据实际情况进行分析和判断,并逐步探索和积累“适当调整和简化”的经验。由此可见,无端调整、简化或干脆不执行风险评估程序都是极其错误的。
三、对进一步审计程序简化的规范思考
针对小型被审计单位审计中的进一步审计程序,第1621号审计准则规定:“由于小型被审计单位可能不存在能够被注册会计师识别的控制活动,注册会计师实施的进一步审计程序可能主要是实质性程序。在缺乏控制的情况下,注册会计师应当考虑仅通过实施实质性程序是否能够获取充分、适当的审计证据。”准则同时又规定,“注册会计师实施实质性程序时,应当考虑成本与效益原则,采用下列方法,以有效地获取审计证据:(一)对重要账户的余额进行细节测试;(二)对重要交易进行细节测试;(三)对利润表的某些项目执行分析程序。”另外,第1621号审计准则指南第四章第三大部分第一段又明确规定:“注册会计师应当了解小型被审计单位的相关内部控制,并对拟信赖的内部控制进行测试,据以确定进一步审计程序的性质、时间和范围。如果不拟信赖内部控制,注册会计师可以不实施控制测试而直接实施实质性程序。”
由此可见,注册会计师审计小型被审计单位时,一是如果不拟信赖其内部控制,可直接实施以实质性程序为主的进一步审计程序;二是实施实质性程序时应当考虑成本效益原则。
但是,在日常对小型被审计单位的审计实务中,必须注意防止两种错误认识或倾向。
一是防止片面认识“实施的进一步审计程序可能主要是实质性程序”的规定。可能出现两种情形:一是过于夸大或依赖实质性程序,全盘放弃对控制测试程序的实施。要知道,不是所有的小型被审计单位都缺乏内部控制或预期控制的运行都无效,因此,不是所有的小型被审计单位都不具备实施控制测试的前提条件,也不是所有小型被审计单位仅通过实施实质性程序都能够足以提供认定层次充分、适当的审计证据。二是忽视在缺乏控制的情况下应当考虑仅通过实施实质性程序是否能够获取充分、适当的审计证据的规定。事实上,在缺乏控制或预期控制运行无效的情况下,注册会计师不仅应当考虑仅通过实施实质性程序是否能够获取充分、适当的审计证据,而且更要考虑由于缺乏控制或预期控制运行无效,控制测试实际上无法实施的问题。因此,如果出现这种情况,注册会计师应当立即考虑与委托人、被审计单位治理层和管理层进行沟通,并征询法律意见,必要时应解除业务约定。
二是注意防止滥用成本效益原则。在日常审计实务中,相当多的注册会计师往往以收费低、时间紧、人力少、任务重、不符合成本效益原则为由无端缩减审计程序。从笔者十多年从事对注册会计师执业质量的监管检查经验来看,相当多的注册会计师确实存在不全面、不规范、不认真履行审计程序,不能获取充分、适当审计证据的问题。如前所述,许多注册会计师对风险评估程序根本不予实施,即使实施,也仅是摆摆样子,根本体现不出对审计风险的识别、评估,体现不出对审计风险的导向性。又如,许多注册会计师常常以实施控制测试不符合成本效益原则为由,对符合准则规定而且完全可以实施控制测试程序的就是不予实施。再如,许多注册会计师对重要的实质性程序也仅是进行细节测试,根本不考虑分析程序的运用,而且所谓的细节测试也仅是抄(或复印)几张被审计单位的会计账页和会计凭证,然后再复印一些被审计单位的盘点表、申报表及重要协议或合同等相关资料,审计任务就大功告成。凡此种种,究其原因,很重要的一个原因就是这些注册会计师都在强调“成本效益原则”,但实际上,这些注册会计师在很大程度上都存在着对成本效益原则有意或无意的误解。
当然,由于新审计准则及其指南本身没有对“成本效益原则”予以明确定义,这虽是造成许多注册会计师不能正确理解“成本效益原则”的重要原因,但不可否认的是,由于相当多的注册会计师仅是从有利于自身的角度进行理解,很有可能造成与准则对“成本效益原则”所规定的内在含义不一致的情形,在很大程度上也就不可避免地存在着片面或错误。
笔者认为,“成本效益原则”中的“成本”是指注册会计师对拟实施的审计项目所拥有的时间成本和人力成本等审计资源,“效益”则是指注册会计师以合理数量的成本资源投入达到圆满实现审计目标完成审计任务的目的。由此可见,“成本效益”不是指经济效益的高低,更不是指审计收费的高低,而是指注册会计师在拥有一定审计资源的前提下,如何在合理的时间内,以合理(不高也不低)的成本资源投入达到预期的审计目标,完成既定的审计任务。但必须说明的是,由于来源于注册会计师自身或被审计单位等多方面的原因,注册会计师的审计不可能完全排除对低成本投入的追求或需要,但注册会计师的低成本投入必须建立在圆满实现预期审计目标、完成既定审计任务的前提之下,否则,注册会计师的低成本投入就不具有合理性,就有滥用“成本效益原则”违反审计准则的嫌疑。
笔者还必须指出的是,新审计准则及其指南仅是在准则或指南中多次提及注册会计师可以或应当考虑“成本效益原则”,但并没有对如何具体运用“成本效益原则”予以明确规定,对注册会计师作出不符合成本效益原则的判断必须符合何种前提条件未能明确,如应该履行哪些审计程序,获取哪些审计证据,如何在工作底稿中规范体现对成本效益原则的运用等问题均未能予以明确,所以,这些问题还有待注册会计师在今后的审计实务中作进一步的探索和研究。因此,笔者认为,注册会计师应该慎重和规范使用成本效益原则,不应动辄以遵循成本效益原则为由随意或无端简化审计程序,即使确实需要运用成本效益原则也必须在审计工作底稿中有必要的分析、判断和说明,如履行了哪些审计程序,获取了哪些审计证据,由此得出不符合成本效益原则的判断和计划省略哪些审计程序的结论等。比如,注册会计师在审计中通过对被审计单位内部控制的调查和简易测试并获取了相关审计证据证明内控制度虽然存在,但注册会计师认为实施控制测试很可能不符合成本效益原则,由此得出结论,不实施控制测试而直接进入实质性程序。
四、对简化审计程序的规范思考
由于小型被审计单位可能存在的固有特征及固有缺陷,注册会计师在对小型被审计单位的审计中难免会简化一些审计程序,如可能在实施风险评估程序后因无法对内部控制进行测试而直接进入实质性程序。对于这种情况,许多注册会计师往往不在工作底稿中做任何说明和表达,或者不知道应该如何在工作底稿中予以必要的说明和表达,由此造成审计程序和审计工作底稿的不完整、不衔接、不规范。笔者认为,说明和表达主要应体现在两个方面:一是证据,二是判断。证据是指注册会计师为作出不进行控制测试的判断而对内部控制实施了解、评价及简易测试(如穿行测试)程序所收集的证据,如获取的被审计单位控制运行无效或通过简易测试发现内部控制并未得到遵循或不拟信赖内部控制的审计证据;判断则是指注册会计师根据前述实施的审计程序及收集的审计证据并对照审计准则的规定作出的不拟进行控制测试的专业判断,此判断的依据、判断过程及判断结果必须在相关工作底稿中予以必要的体现和表达,同时还要在审计计划中对不拟实施控制测试而直接进入实质性程序的判断予以明确说明。只有这样,才能使得工作底稿中所履行或没有履行的审计程序有较明确的计划体现,才能表明注册会计师对应该履行或计划不履行的审计程序以及对整个审计项目有较全面的理解和把握,审计轨迹才能得以清晰。
当然,如果在对小型被审计单位的审计中出现不拟实施的其他审计程序,笔者认为,只要不影响审计计划的顺利执行,不影响审计判断和审计结论,不违反审计准则,注册会计师可以比照上述思考进行适当处理,以保证审计程序和审计工作底稿的衔接、完整、规范和清晰。
但必须强调的是,由于注册会计师对重大错报风险的评估仅是一种职业判断,可能无法充分识别所有的重大错报风险,并且由于内部控制存在的固有局限性,所以无论评估的重大错报风险结果如何,无论采取了何种进一步审计程序(如即使已经实施了控制测试),注册会计师都应当针对所有重大的各类交易、账户余额、列报实施实质性程序,这是新审计准则着重强调的问题。所以,在对小企业的审计中,注册会计师对所有重大的各类交易、账户余额、列报的实质性程序均不得简化。
为了国际趋同的需要,财政部于2006年2月15日了48项新的注册会计师执业准则,新准则自2007年1月1日起在境内会计师事务所施行。在新颁布的48个执业准则中,其中包括4个审计风险准则。正是由于这4个风险准则的变化才导致了其他相应审计准则的变化或修订。
一、新审计风险准则出台的背景
(一)国际趋同的需要
2003年10月,IAASB了4项审计风险准则,即《国际审计准则第200号――财务报表审计的目标和一般原则》、《国际审计准则第500号――审计证据》、《国际审计准则第315号――了解被审计单位及其环境并评估重大错报风险》和《国际审计准则第330号――针对评估的重大错报风险实施的程序》。要求从审计2004年12月15日或之后开始的期间财务报表起,执行新及相应修订的其他准则。根据国际趋同的需要,我国政府也需要出台相应的审计风险准则。
(二)我国的实际
随着我国经济的快速发展。我国企业的环境也在不断发生变化:企业组织结构及其经营活动的方式日益复杂,全球化和科学技术的影响日益加深,企业管理层进行舞弊的动机和压力也日益增大。相应地,审计实务也在随之变化,导致注册会计师的执业风险日益增加,原有的审计风险准则不能有效地应对财务报表重大错报风险,因此,这些内外部条件都要求我国要出台新的审计风险准则。
二、新审计风险准则项目及其主要内容
新的审计风险准则包括4个,分别为:《中国注册会计师审计准则第1101号一财务报表审计的目标和一般原则》(以下简称第1101号准则,下同)、《中国注册会计师审计准则第1211号一了解被审计单位及其环境并评估重大错报风险》、《中国注册会计师审计准则第1231号一针对评估的重大错报风险实施的程序》、《中国注册会计师审计准则第1301号一审计证据》。
第1101号准则是在借鉴国际审计准则第200号的基础上,对我国旧的审计准则《独立审计具体准则第1号――会计报表审计》进行修订的基础上形成的。其主要内容包括:会计责任和审计责任、审计的目标、职业道德、审计范围、合理保证、审计风险和重要性。
第1211号准则是在借鉴国际审计准则第315号基础上出台的一个全新的准则,将取代我国旧准则中的《独立审计具体准则第21号一了解被审计单位情况》、《独立审计具体准则第9号一内部控制与审计风险》和《独立审计具体准则第20号――计算机信息系统环境下的审计》,以克服旧准则相互分离、缺乏有机融合的缺陷。其主要内容包括:风险评估程序和信息来源、了解被审计单位的内部控制、评估重大错报风险并做成相应的审计工作记录。
第1231号准则是在借鉴国际审计准则第330号的基础上出台的一个全新的准则,将取代《独立审计具体准则第21号一了解被审计单位情况》、《独立审计具体准则第9号一内部控制与审计风险》和《独立审计具体准则第20号一计算机信息系统环境下的审计》。主要内容包括:针对财务报表层次和认定层次重大错报风险应实施的措施、控制测试和实质性测试。
第1301号准则是在借鉴国际审计准则第500号的基础上,对我国旧的准则《独立审计具体准则第5号――审计证据》进行修订的基础上形成的。主要内容包括:审计证据的充分性和适当性、获取审计证据时对认定的运用、获取审计证据时的审计程序。
三、审计风险准则的变化
由于旧的审计风险准则体现的是制度基础审计,而新的审计风险准则体现的是风险导向审计,因此,其变化也均是围绕此方面进行的,主要包括以下几个方面:
(一)新准则中相关概念(定义)的变化
在新的审计风险准则中,有一些关键的概念已进行了修订,新修订后的定义更加严谨、简洁,而且更容易理解。审计风险准则中概念的变化主要集中在第1101号准则及第1301号准则中。
1.在1101号准则中相关概念的变化
在1101号准则中,定义的变化主要集中在审计风险及其相关要素的变化上,将审计风险和检查风险的定义进行了修订,引进了重大错报风险,去掉了固有风险和控制风险两个概念(要素)。
在旧的审计准则中,审计风险的定义为“会计报表存在重大错报或漏报,而审计人员审计后发表不恰当审计意见的可能性”。在新的审计准则中,审计风险被界定为“财务报表存在重大错报而注册会计师发表不恰当审计意见的可能性”。从定义上看,审计风险的含义修订前后没有实质性的改变。但论述更加严谨,去掉了“漏报”,因为漏报实质上也是错报;发表审计意见肯定是在审计后,因此没有必要再强调“审计后”,这样就使得修订后的定义更加简洁。
对于检查风险的定义亦是如此。在旧的审计准则中,检查风险被界定为“某一类账户或交易类别单独或连同其他账户、交易类别产生错报或漏报,而未能被实质性测试发现的可能性”。此定义不太符合中文习惯而且读起来非常拗口,比较嗦。新修订后审计准则中,将检查风险界定为“某一认定存在错报,该错报单独或连同其他错报是重大的,但注册会计师没有发现这种错报的可能性”。很显然,修订后的检查风险定义更加简洁,强调了重要性,使得定义更加严谨.并且较容易理解其含义。
引进了重大错报风险的概念。重大错报风险是指财务报表在审计前存在重大错报的可能性。重大错报风险的含义较易理解,可接受性强。
2.在1301号准则中相关概念的变化
为了与风险评估程序相对应,新的准则修订的与审计证据相关的一些概念,变化主要表现在:审计证据的定义、重新定义了审计证据的充分性和适当性以及引进了认定的概念。
在旧的准则中,审计证据被界定为“注册会计师在执行审计业务过程中,为形成审计意见所获取的证据”。在新的准则中,将审计证据定义为“是指注册会计师为了得出审计结论、形成审计意见而使用的所有信息,包括财务报表依据的会计记录中含有的信息和其他信息”。修订的定义更加全面、具体,可操作性强。
在旧的准则中,审计证据的充分性是指审计证据的数量足以使得注册会计师形成审计意见。审计证据的适当性是指审计证据的相关性和可靠性,即审计证据应当与审计目标相关联,并能如实地反映客观事实。在新的审计准则中,将充分性及适当性重新进行了定义:审计证据的充分性是对审计证据数量的衡量,主要与注册会计师确定的样本量有关;审计证据的适当性是对审计证据质量的衡量,即审计证据在支持各类交易、账户余额、列报(包括披露)的相关认定,或发现其中存在错报方面具有相关性和可靠性。很显然,
新准则中的定义更加严谨,而且具有建设性。
在新准则中,引进了认定的概念,认定是指管理层对财务报表各组成要素的确认、计量、列报作出的明确或隐含的表达。这儿明确认定的概念,意在强调获取审计证据是为了管理层的认定而进行的。
(二)审计风险要素及模型的变化
旧的审计风险模型为:审计风险:固有风险×控制风险×检查风险。旧的审计风险模型中,其要素包括固有风险、控制风险和检查风险,其中固有风险和控制风险注册会计师不能改变,只能评估或评价。注册会计师审计程序能改变的为检查风险,检查风险与审计证据的数量呈反向变动关系,注册会计师评估的检查风险的水平越低,所需要的审计证据越多,反之亦反。从理论上看该模型并无不妥,但实务操作难度很大。检查风险的评估基础为固有风险和控制风险的综合水平,由于像固有风险的评估、控制风险的评估和评价都带有很大的主观性,因此依据评估的检查风险水平制定的实质性测试程序可能并不能检查出所有的错报和漏报,这无疑增加了注册会计师的审计风险,而且原有的审计准则以及审计风险模型也没有要求注册会计师站在风险的高度上来进行审计工作。
新的审计风险模型中,审计风险要素包括两个:重大错报风险和检查风险。审计风险取决于重大错报风险和检查风险,是二者的综合风险,即审计风险=重大错报风险×检查风险。重大错报风险要求注册会计师站在风险的高度上把握审计过程,以风险为导向进行审计,强化了风险意识。注册会计师对于重大错报风险的评估贯穿于审计的整个过程。改变后的审计风险模型使得注册会计师从更高的层次上把握重大错报风险,它要求注册会计师必须了解被审计单位及其环境(包括内部控制)。以充分识别和评估财务报表重大错报风险,并针对评估的重大错报风险设计和实施控制测试与实质性测试程序,以降低注册会计师的审计风险。在目前经济不确定性增大的环境下,显然新的审计风险模型更能满足风险控制的要求,并且可操作性较强。
(三)审计程序的变化
在旧的审计模式下,其审计程序一般为:了解内部控制制度,执行控制测试.执行实质性测试,其中第一类程序和第三类程序在每次会计报表审计时都必须执行,而第二类程序可以选择执行。注册会计师获取审计证据的具体审计程序包括:检查、监盘、观察、查询及函证、计算、分析性复核。
对风险管理审计的认识依赖于企业进行风险管理时所采取的企业风险管理框架或风险模型(用来反映风险管理过程和内容的程序图)。截至目前,已经有如下风险管理模型:1995年澳大利亚-新西兰联合委员会的AS/NZE4360;1998年的加拿大标准委员会模型;1997年全国虚假财务报告委员会下属的发起人委员会(下称COSO委员会)内部控制-整合框架的“目标—风险—控制”模型;2004年COSO委员会的企业风险管理-整合框架(简称ERM框架)模型。风险管理审计准则中出现的问题根源就在于准则中的“风险管理”概念采纳了COSO委员会1997年的内部控制-整合框架中的观点。然而,理论界和实务界还是认为该内部控制框架有些局限性,如对风险强调不够,使得内部控制无法与企业的风险管理相结合。COSO委员会2004年的ERM框架就是在1997年的内部控制-整合框架的基础上,结合《萨班斯——奥克斯利法案》的相关要求扩展得到的。相比内部控制框架,ERM框架在多个方面都有所发展和深化,具体表现在以下几个方面:
1、企业风险管理涵盖了内部控制。增加了新的要素或赋予原有要素新的含义,对内部控制框架下的风险管理要素进行细化,按风险管理的流程划分为:目标设定、事件识别、风险评估、风险反应四个要素。同时,在环境要素中增加了“风险管理哲学”以及风险“偏好”。对比二者的构成要素,可以发现风险管理框架中的目标制定、事项识别、风险评估、风险应对四个要素实质上就是风险管理的流程,也可以理解为狭义上的风险管理。这样看来,内部控制框架与风险管理框架中的要素完全一致。但是系统论认为,系统的性质不仅取决于组成系统的各要素,更依赖于组成系统的各要素的排列方式。在内部控制三个目标的基础上增加了战略目标,并扩大了报告目标的范围,将“财务报告的可靠性”发展为“报告的可靠性”。
2、企业风险管理更加强调管理风险。ERM框架强调在“组合”的基础上考虑风险,考虑风险的集合和风险的交互作用,并在此基础上考虑企业应采取的风险控制措施。在强调风险管理的环境下,ERM框架显然不同于内部控制框架。
总之,ERM框架扩展并详细地阐述了与企业风险管理相关的那些内部控制要素。从企业风险管理要求和实施来看,内部控制是ERM的主要构成部分,但绝对不能等于ERM范畴,ERM的理论和实务都要比内部控制宽泛得多,ERM更适合企业战略风险管理的要求。因此,不能说风险管理审计是内部控制审计的一部分。
二、我国风险管理审计准则的内容及局限性
随着经济形势发展及我国内部审计自身发展的需要,我国内审也开始重视风险管理内部审计。2005年中国内部审计协会颁布了《内部审计具体准则第16号—风险管理审计》(以下简称风险管理审计准则)并要求于2005年5月1日起实施,该具体准则的出台为我国内部审计人员对组织内部风险管理状况进行审查和评价提供了规范指导。
风险管理审计准则第2条对风险管理做了如下定义:是对影响组织目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的过程。风险管理旨在为组织目标的实现提供合理保证;第6条则描述了风险管理包括的主要阶段:风险识别、风险评估以及风险应对;在该准则的第4条中,还特别强调:风险管理是组织内部控制的基本组成部分,内部审计人员对风险管理的审查和评价是内部控制审计的基本内容之一。
可以看出,该准则所称的“风险管理”是从狭义上理解的风险管理,即风险管理活动的具体实施过程:风险识别、评估及应对。而广义的风险管理不仅包括上述的具体实施过程,还包括其他起辅助作用的要素:内部环境、控制活动以及监督。按目前狭义前提下制定的准则去执行,风险管理审计就会忽略这些起辅助作用的要素,以至于发现不了组织风险管理活动中可能存在的潜在问题。中航油案例就是一个很好的例证。
中国航油(新加坡)股份有限公司(下称中航油新加坡公司)曾聘请国际著名的安永会计师事务所为其编制《风险管理手册》,设有专门的风险管理委员会及软件监测系统,实施交易员、风险控制委员会、审计部、总裁、董事会层层上报,交叉控制,按照《风险管理手册》的规定,任何导致50万美元以上损失的交易将自动平仓。中航油新加坡公司共有10位交易员,损失的最大限额应是500万美元(10×50万=500万)。但是,中航油新加坡公司的衍生品交易最终亏损额高达5.5亿美元,以至申请破产保护。中航油事件的核心问题并不在于市场云谲波诡,而在于该公司从表面上看似乎已实施了风险管理的流程:风险识别、风险评估、风险应对;但缺少对风险管理系统中的其他辅助要素的合理关注,最终导致企业整体风险管理失败。这一案例也再次说明:风险管理不仅仅只包括风险识别、评估及应对,更包括内部环境、控制活动、信息和沟通以及监控;风险管理系统的有效运转依赖于各要素的通力协作,对风险管理不应停留于狭义上的理解;风险管理审计准则应指导内部审计人员从广义上理解风险管理的涵义,全盘考虑风险管理的构成要素及其运作方式,及时有效地发现企业风险管理实践中存在的短板。
三、建议
基于以上分析,要实现真正意义上的风险管理审计,对风险管理审计准则中的风险管理概念的理解就必须建立在广义的基础之上,即采纳COSO委员会(2004)ERM框架中的广义风险管理概念。鉴于内部控制与风险管理二者密不可分的联系,在现行的准则体系下可以协调内部控制审计准则与风险管理审计准则之间的关系,以使风险管理审计准则能得以更有效的实施。
主要参考文献:
[1]中国内部审计协会.内部审计具体准则第16号——风险管理审计.2005.
[2]刘华.审计治理规范与案例[M].复旦大学出版社,2007.
[3]王晓霞.企业风险审计[M].中国时代经济出版社,2005.
论文提要:本文在分析内部控制整合框架与企业风险管理整合框架关系的基础上,分析现行风险管理审计准则的局限性,并提出开展风险管理审计的建议。
一、我国风险管理审计准则的内容及局限性
随着经济形势发展及我国内部审计自身发展的需要,我国内审也开始重视风险管理内部审计。2005年中国内部审计协会颁布了《内部审计具体准则第16号—风险管理审计》(以下简称风险管理审计准则)并要求于2005年5月1日起实施,该具体准则的出台为我国内部审计人员对组织内部风险管理状况进行审查和评价提供了规范指导。
风险管理审计准则第2条对风险管理做了如下定义:是对影响组织目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的过程。风险管理旨在为组织目标的实现提供合理保证;第6条则描述了风险管理包括的主要阶段:风险识别、风险评估以及风险应对;在该准则的第4条中,还特别强调:风险管理是组织内部控制的基本组成部分,内部审计人员对风险管理的审查和评价是内部控制审计的基本内容之一。
可以看出,该准则所称的“风险管理”是从狭义上理解的风险管理,即风险管理活动的具体实施过程:风险识别、评估及应对。而广义的风险管理不仅包括上述的具体实施过程,还包括其他起辅助作用的要素:内部环境、控制活动以及监督。按目前狭义前提下制定的准则去执行,风险管理审计就会忽略这些起辅助作用的要素,以至于发现不了组织风险管理活动中可能存在的潜在问题。中航油案例就是一个很好的例证。
中国航油(新加坡)股份有限公司(下称中航油新加坡公司)曾聘请国际著名的安永会计师事务所为其编制《风险管理手册》,设有专门的风险管理委员会及软件监测系统,实施交易员、风险控制委员会、审计部、总裁、董事会层层上报,交叉控制,按照《风险管理手册》的规定,任何导致50万美元以上损失的交易将自动平仓。中航油新加坡公司共有10位交易员,损失的最大限额应是500万美元(10×50万=500万)。但是,中航油新加坡公司的衍生品交易最终亏损额高达5.5亿美元,以至申请破产保护。中航油事件的核心问题并不在于市场云谲波诡,而在于该公司从表面上看似乎已实施了风险管理的流程:风险识别、风险评估、风险应对;但缺少对风险管理系统中的其他辅助要素的合理关注,最终导致企业整体风险管理失败。这一案例也再次说明:风险管理不仅仅只包括风险识别、评估及应对,更包括内部环境、控制活动、信息和沟通以及监控;风险管理系统的有效运转依赖于各要素的通力协作,对风险管理不应停留于狭义上的理解;风险管理审计准则应指导内部审计人员从广义上理解风险管理的涵义,全盘考虑风险管理的构成要素及其运作方式,及时有效地发现企业风险管理实践中存在的短板。
二、重新认识内部控制与风险管理的关系
对风险管理审计的认识依赖于企业进行风险管理时所采取的企业风险管理框架或风险模型(用来反映风险管理过程和内容的程序图)。截至目前,已经有如下风险管理模型:1995年澳大利亚-新西兰联合委员会的AS/NZE4360;1998年的加拿大标准委员会模型;1997年全国虚假财务报告委员会下属的发起人委员会(下称COSO委员会)内部控制-整合框架的“目标—风险—控制”模型;2004年COSO委员会的企业风险管理-整合框架(简称ERM框架)模型。风险管理审计准则中出现的问题根源就在于准则中的“风险管理”概念采纳了COSO委员会1997年的内部控制-整合框架中的观点。然而,理论界和实务界还是认为该内部控制框架有些局限性,如对风险强调不够,使得内部控制无法与企业的风险管理相结合。COSO委员会2004年的ERM框架就是在1997年的内部控制-整合框架的基础上,结合《萨班斯——奥克斯利法案》的相关要求扩展得到的。相比内部控制框架,ERM框架在多个方面都有所发展和深化,具体表现在以下几个方面:
1、企业风险管理涵盖了内部控制。增加了新的要素或赋予原有要素新的含义,对内部控制框架下的风险管理要素进行细化,按风险管理的流程划分为:目标设定、事件识别、风险评估、风险反应四个要素。同时,在环境要素中增加了“风险管理哲学”以及风险“偏好”。对比二者的构成要素,可以发现风险管理框架中的目标制定、事项识别、风险评估、风险应对四个要素实质上就是风险管理的流程,也可以理解为狭义上的风险管理。这样看来,内部控制框架与风险管理框架中的要素完全一致。但是系统论认为,系统的性质不仅取决于组成系统的各要素,更依赖于组成系统的各要素的排列方式。在内部控制三个目标的基础上增加了战略目标,并扩大了报告目标的范围,将“财务报告的可靠性”发展为“报告的可靠性”。
2、企业风险管理更加强调管理风险。ERM框架强调在“组合”的基础上考虑风险,考虑风险的集合和风险的交互作用,并在此基础上考虑企业应采取的风险控制措施。在强调风险管理的环境下,ERM框架显然不同于内部控制框架。
总之,ERM框架扩展并详细地阐述了与企业风险管理相关的那些内部控制要素。从企业风险管理要求和实施来看,内部控制是ERM的主要构成部分,但绝对不能等于ERM范畴,ERM的理论和实务都要比内部控制宽泛得多,ERM更适合企业战略风险管理的要求。因此,不能说风险管理审计是内部控制审计的一部分。
三、建议
基于以上分析,要实现真正意义上的风险管理审计,对风险管理审计准则中的风险管理概念的理解就必须建立在广义的基础之上,即采纳COSO委员会(2004)ERM框架中的广义风险管理概念。鉴于内部控制与风险管理二者密不可分的联系,在现行的准则体系下可以协调内部控制审计准则与风险管理审计准则之间的关系,以使风险管理审计准则能得以更有效的实施。
主要参考文献
[1]中国内部审计协会.内部审计具体准则第16号——风险管理审计.2005.
随着经济形势发展及我国内部审计自身发展的需要,我国内审也开始重视风险管理内部审计。2005年中国内部审计协会颁布了《内部审计具体准则第16号—风险管理审计》(以下简称风险管理审计准则)并要求于2005年5月1日起实施,该具体准则的出台为我国内部审计人员对组织内部风险管理状况进行审查和评价提供了规范指导。
风险管理审计准则第2条对风险管理做了如下定义:是对影响组织目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的过程。风险管理旨在为组织目标的实现提供合理保证;第6条则描述了风险管理包括的主要阶段:风险识别、风险评估以及风险应对;在该准则的第4条中,还特别强调:风险管理是组织内部控制的基本组成部分,内部审计人员对风险管理的审查和评价是内部控制审计的基本内容之一。
可以看出,该准则所称的“风险管理”是从狭义上理解的风险管理,即风险管理活动的具体实施过程:风险识别、评估及应对。而广义的风险管理不仅包括上述的具体实施过程,还包括其他起辅助作用的要素:内部环境、控制活动以及监督。按目前狭义前提下制定的准则去执行,风险管理审计就会忽略这些起辅助作用的要素,以至于发现不了组织风险管理活动中可能存在的潜在问题。中航油案例就是一个很好的例证。
中国航油(新加坡)股份有限公司(下称中航油新加坡公司)曾聘请国际著名的安永会计师事务所为其编制《风险管理手册》,设有专门的风险管理委员会及软件监测系统,实施交易员、风险控制委员会、审计部、总裁、董事会层层上报,交叉控制,按照《风险管理手册》的规定,任何导致50万美元以上损失的交易将自动平仓。中航油新加坡公司共有10位交易员,损失的最大限额应是500万美元(10×50万=500万)。但是,中航油新加坡公司的衍生品交易最终亏损额高达5.5亿美元,以至申请破产保护。中航油事件的核心问题并不在于市场云谲波诡,而在于该公司从表面上看似乎已实施了风险管理的流程:风险识别、风险评估、风险应对;但缺少对风险管理系统中的其他辅助要素的合理关注,最终导致企业整体风险管理失败。这一案例也再次说明:风险管理不仅仅只包括风险识别、评估及应对,更包括内部环境、控制活动、信息和沟通以及监控;风险管理系统的有效运转依赖于各要素的通力协作,对风险管理不应停留于狭义上的理解;风险管理审计准则应指导内部审计人员从广义上理解风险管理的涵义,全盘考虑风险管理的构成要素及其运作方式,及时有效地发现企业风险管理实践中存在的短板。
二、重新认识内部控制与风险管理的关系
对风险管理审计的认识依赖于企业进行风险管理时所采取的企业风险管理框架或风险模型(用来反映风险管理过程和内容的程序图)。截至目前,已经有如下风险管理模型:1995年澳大利亚-新西兰联合委员会的AS/NZE4360;1998年的加拿大标准委员会模型;1997年全国虚假财务报告委员会下属的发起人委员会(下称COSO委员会)内部控制-整合框架的“目标—风险—控制”模型;2004年COSO委员会的企业风险管理-整合框架(简称ERM框架)模型。风险管理审计准则中出现的问题根源就在于准则中的“风险管理”概念采纳了COSO委员会1997年的内部控制-整合框架中的观点。然而,理论界和实务界还是认为该内部控制框架有些局限性,如对风险强调不够,使得内部控制无法与企业的风险管理相结合。COSO委员会2004年的ERM框架就是在1997年的内部控制-整合框架的基础上,结合《萨班斯——奥克斯利法案》的相关要求扩展得到的。相比内部控制框架,ERM框架在多个方面都有所发展和深化,具体表现在以下几个方面:1、企业风险管理涵盖了内部控制。增加了新的要素或赋予原有要素新的含义,对内部控制框架下的风险管理要素进行细化,按风险管理的流程划分为:目标设定、事件识别、风险评估、风险反应四个要素。同时,在环境要素中增加了“风险管理哲学”以及风险“偏好”。对比二者的构成要素,可以发现风险管理框架中的目标制定、事项识别、风险评估、风险应对四个要素实质上就是风险管理的流程,也可以理解为狭义上的风险管理。这样看来,内部控制框架与风险管理框架中的要素完全一致。但是系统论认为,系统的性质不仅取决于组成系统的各要素,更依赖于组成系统的各要素的排列方式。在内部控制三个目标的基础上增加了战略目标,并扩大了报告目标的范围,将“财务报告的可靠性”发展为“报告的可靠性”。
2、企业风险管理更加强调管理风险。ERM框架强调在“组合”的基础上考虑风险,考虑风险的集合和风险的交互作用,并在此基础上考虑企业应采取的风险控制措施。在强调风险管理的环境下,ERM框架显然不同于内部控制框架。
总之,ERM框架扩展并详细地阐述了与企业风险管理相关的那些内部控制要素。从企业风险管理要求和实施来看,内部控制是ERM的主要构成部分,但绝对不能等于ERM范畴,ERM的理论和实务都要比内部控制宽泛得多,ERM更适合企业战略风险管理的要求。因此,不能说风险管理审计是内部控制审计的一部分。