戰略風險評估范文
時間:2023-03-19 08:42:59
導語:如何才能寫好一篇戰略風險評估,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。
篇1
doi:10.3969/j.issn.1673-0194.2009.18.017
[中圖分類號] F239
[文獻標識碼] A
[文章編號] 1673-0194(2009)18-0050-03
一、戰略風險與戰略審計解析
戰略風險是一種綜合性風險,所有對企業價值或發展路徑產生重大影響的事件或趨勢,都可謂企業的戰略風險。其影響因素可能來自于外部,如自然災害和經濟危機;也可能源自于內部,如企業轉型和盲目并購。
基于風險控制的戰略審計是將企業置于一個大的經濟環境中,運用立體觀察的理論來判斷影響因素,從企業所處的經濟環境、經營方式、管理機制等方面來評估企業戰略制定、實施過程的科學合理性,并把被審計單位的戰略風險評估納入審計程序中去。
二、戰略審計實施中的風險評估探索
在實施戰略風險評估中,審計人員需要對初步識別出的風險點進行進一步的綜合評估,從而對企業戰略管理過程中的風險狀況做出合理、準確的判斷,并參考其他審計內容的有關因素和對戰略風險的影響程度,對審計結果做出調整。
對戰略風險的評估可采用單體風險評分法。其中,固有風險是假設企業沒有對這一風險進行管控所面臨的狀態,固有風險越高說明這項工作的重要性越高。剩余風險是結合了企業的管控有效性之后所面臨的風險,也就是企業實際的狀況。固有風險和剩余風險的概念差體現的就是企業的管理水平。單一風險評分法分別對固有風險、剩余風險打分,以各自的評分維度作為打分標準。分為5個等級:很高(5分)、高(4分)、中(3分)、低(2分)、很低(1分)。固有風險、剩余風險內各個維度的評分結束后,將得分加權平均,可得固有風險及剩余風險的總評分。
(一) 固有風險及剩余風險的評分維度剖析
對于固有風險的個別維度不適用的情況,直接在“很低”一欄填寫“不適用”即可;剩余風險不存在“不適用”的打分,若是個別維度體現不明顯,則直接選擇“很低”。評級盡可能先做定量判斷;在很難定量的情況下,再進行定性判斷。固有風險及剩余風險的評分維度如表1、表2所示。
對固有風險評分表的分析:
(1)財務影響。該維度是假設沒有管控或管控不力的情況下,近一年該戰略風險對公司凈利潤或現金流量的直接影響。財務影響的分級數據可利用公司年度稅后凈利潤或現金流量乘以重要性水平得到。
(2)聲譽。該維度是假設沒有管控或管控不力的情況下,戰略風險導致的后果所引發的社會責任以及對公司聲譽的影響程度。其可從負面消息流傳的范圍及關注程度考慮,“很高”,是在世界范圍流傳;“很低”,是在企業內部流傳;“中”是在全國流傳。
(3)合法合規性。該維度是假設沒有管控或管控不力的情況下,公司違反相關法規的程度或金額。可從兩個方面考慮:一方面是違規的程度,反映在調查機關的級別高低上,“很高”是引起中央機關的調查,“中”是導致地方政府的調查,“很低”是輕微的違反法律法規;另一方面是引起訴訟和罰款的金額。
(4)客戶。該維度是假設沒有管控或管控不力的情況下,與公司的銷售終端——客戶的關系受影響的程度,可用客戶的訂單量為參考依據。“很高”是客戶停止采購或取消80%以上訂單;“高”是客戶尋找其他供應商或取消部分訂單;“中”是對客戶訂單基本無影響,但未來的業務發展受到限制;“低”是有部分投訴或發生補救費用;“很低”是對客戶影響很小,僅發生最少的投訴及補救費用。
(5)員工的流失。該維度是假設在不對該風險進行管控的情況下公司全體員工的流失程度。可從兩方面進行評價:一是關鍵員工的流失比率;二是普通員工的流失比率。員工流失的越多,級別越高。
(6)運營。該維度結合了對企業整體業務影響的時間、人力、成本等定量指標,即指挽回對運營造成的影響所需付出的成本、人力等。從“很高”到“很低”,對企業的業務的影響程度依次是:影響重大業務能力、影響部分業務能力、影響日常運作、有一定影響但不影響日常運作、影響微弱等,無法定量判斷時就采用定性判斷。
(7)其他利益相關者。這里是指除了客戶和員工以外的利益相關者,如股東和社會機構。其反映為對企業股價的影響,可以用消息是否外傳或公布來幫助理解。“很高”到“很低”依次對應:股價連續大幅震蕩、股價數日大幅震蕩、股價非正常震蕩、股價單日漲(跌)停、不會實質性導致股票波動。
(8)發作速度。該維度假設在沒有管控或管控不力的情況下,從隱性不利跡象到風險導致實質損失的時間、非常迅速到很少或沒有預警時間。“很高”到“很低”依次對應:在一到幾天以內就發作、經過數天到數周才發作、潛伏期已達數月、潛伏期在數月以上到數年。
對剩余風險評分表的分析:
(1)響應速度。該維度衡量風險事件發生以后企業采取補救措施的速度,響應速度越快風險越低。
(2)控制效果和效率:控制/整改。該維度衡量風險事件發生之后企業是否針對原有流程進行優化與整改:“很高”是沒有整改計劃,“高”是計劃不完善,“中”是有計劃但沒有例行測試,“低”是有計劃有定期測試,“很低”是將計劃和測試嵌入企業的整個流程,作為部門的長效管理機制。
(3)控制效果和效率:監測和報告。該維度衡量有關風險的報告,“很高”和“高”的差別是有沒有分析風險,有沒有報告;“高”和“中”的差別是有沒有識別風險源頭,是口頭報告還是正式報告;“中”和“低”的差別是有沒有報告的時間表;“低”和“很低”的差別是有沒有風險指標。
(4)近一年的風險數據:違規成本或造成的損失。該維度衡量近一年內該風險發生造成的實際損失的相關數據。
(5)風險管理能力:人/技能/知識。該維度考慮兩個方面:一是員工本身的管理戰略風險的意識和能力;二是員工獲取外部資源的途徑是否充分,即有助于戰略風險管理的渠道、信息、管理方法、管理模型等。員工的風險管理能力越強、能夠獲取的外部資源越多風險越低。
(6)風險管理能力:第三方。該維度衡量企業在進行戰略風險管理時與第三方的關系。對第三方的依賴程度越高,風險越高。第三方包括:客戶、商、供應商。
(7)風險管理能力:流程。對流程的影響是指改變流程的走向。主要看對關鍵流程的影響:影響多個關鍵流程對應“很高”;影響一個關鍵流程對應“高”;對關鍵流程沒有影響對應“中”。
(8)風險管理能力:系統/數據/信息系統/安全。該維度衡量對企業關鍵信息系統的依賴和影響程度。依賴和影響的程度越大,風險程度就越高。如果信息系統出現問題,考慮是否能夠由手工替代,若完全無法替代,則剩余風險較高。
(9)擴張或收縮。該維度是指未來12個月或更長的時間內管理這個風險的業務、人員、流程和系統發生變革的程度。發生變革的程度越大,則剩余風險越高。
(二)戰略風險分布圖評估
通過對識別出的各個戰略風險的評分,我們可以得到有關單體風險的一個分值(X,Y),固有風險一個分
數(X)、剩余風險一個分數(Y),據此可以得到四象限矩陣的戰略風險分布圖,如圖1所示。
戰略風險分布圖清晰地展示了企業目前面臨的戰略風險的現狀,固有風險展示的是戰略風險原生態的狀況,是該戰略風險的重要性的體現;剩余風險展示的是管理層施加管理控制措施后的風險水平,其實質上反映了企業的管控水平及能力。戰略風險分布圖可以讓管理層一目了然地了解到戰略管理中存在的問題,即哪些程序、哪些環節仍需進一步的調整與控制。
戰略風險分布圖已成為審計人員提出審計意見及改進建議的依據。針對第一象限的戰略風險(雙高風險),審計人員應建議管理層改善現有的管理措施,提升業務流程及人員的管理水平,加強對該風險事件的監測與控制;針對第二象限內的戰略風險(固有風險高,剩余風險低),表明企業針對重大風險事件所采取的管理措施是行之有效的,但仍需繼續關注,建議管理層定期評審相關流程的內部控制執行效力;針對第三象限內的戰略風險(雙低風險),審計人員應建議管理層重新部署有限的管理資源,將人力、時間投入到需要管控的其他流程上;針對位于第四象限的戰略風險(固有風險低,剩余風險高),因其剩余風險是風險事件長期積累的結果,審計人員應進一步測量該風險的累積影響。
三、結束語
本文將戰略風險管理與企業戰略審計有機地融合,通過對基于風險控制的戰略審計評估技術的探討,并融合企業環環相扣的戰略管理活動,使其真正能夠起到改善并控制企業戰略風險的功效,以此促進我國審計事業的良性發展。同時,基于風險控制的戰略審計評估能促使企業內部控制系統不斷實施、執行、評價和完善,趨于持續動態改進。
主要參考文獻
篇2
【關鍵詞】傳統風險導向審計現代風險導向審計風險評估策略審計風險
ComparingontheTacticsofRiskAssessmentofTraditionalRisk-basedAuditandModernRisk-basedAudit
Abstract:TraditionalRisk-basedAuditandModernRisk-basedAuditarethetwophasesthatRisk-basedAudithasevolved.tacticsofriskassessmentofTraditionalRisk-basedAuditandModernRisk-basedAuditdifferfromeachotherwhiletheystillhavesomesimilarities.ThispaperdoestheComparionontheTacticsofRiskAssessmentfromthefollowingfouraspects:orientationofriskassessment,extentofriskassessment,proceduresofriskassessmentandmethodsofriskassessment.
Keywords:TraditionalRisk-basedAuditModernRisk-basedAudit
TacticsofRiskAssessmentAuditrisk
一、引言
傳統風險導向審計和現代風險導向審計是風險導向審計模式發展的兩個不同階段。傳統風險導向審計和現代風險導向審計均以風險評估為起點,同時都將風險與控制方法貫穿運用于審計全過程,使審計過程成為一個不斷克服和降低審計風險的過程。因此傳統風險導向審計和現代風險導向審計兩種審計模式在風險評估策略上存在一定的相同之處,但同時更多地體現出了差異。鑒于兩種審計模式的風險評估策略較易被混淆,本文擬對兩種審計模式的風險評估策略作一比較,對兩者差異加以初步探討。二、傳統風險導向審計和現代風險導向審計涵義
(一)傳統風險導向審計傳統風險導向審計也稱為控制風險導向審計[1]。審計模式發展到傳統風險導向審計的標志性事件是AICPA在1983年了第47號《審計準則公告》(SASNo.47)——“審計業務中的審計風險和重要性”,首次提出了審計風險模型。傳統風險導向審計是指審計人員在審計過程中將風險分析、評價與控制融入傳統審計方法(賬項導向審計和制度導向審計)之中,進而獲取審計證據,形成審計結論的一種審計取證模式。傳統風險導向審計的基本程序并沒有脫離制度導向審計模式,但它在制度導向審計模式的基礎上更加注重風險評估和風險管理。針對制度導向審計不直接處理審計風險,不能對審計風險進行量化的缺點,傳統風險導向審計引入審計風險模型,通過該模型將從各種渠道所收集的證據聯系了起來,并在此基礎上對審計風險進行定量評估,將審計資源相對合理的分配到高風險領域。(二)現代風險導向審計
現代風險導向審計也稱為經營(商業)風險導向審計、風險基礎戰略系統審計。1997年,Bell和Frank發表了名為《通過戰略系統的視角對組織進行審計》的研究報告,首次提出了畢馬威的BMP審計模式,這標志著現代風險導向審計的產生。現代風險導向審計是審計技術方法在系統和戰略管理理論基礎上的重大創新,它以被審計單位的戰略經營風險為導向,通過“戰略分析——流程分析——經營業績評價——財務報表剩余風險分析”的基本思路,將報表重大錯報風險和經營風險聯系了起來,從而提出了審計師從源頭分析和發現會計報表錯報的觀念[2]。現代風險導向審計針對傳統風險導向審
計風險評估不到位,未能有效發現高風險審計領域,造成審計過量或審計不足的缺點,大大加強了風險評估程序,做到了以風險評估中心,真正體現了風險導向審計的理念。
2003年10月國際審計和保證準則委員會(IAASB)了國際審計準則第315號(ISA315)“了解被審計單位及其環境并評估重大錯報風險”,將傳統風險導向審計下的審計風險模型修改為:審計風險=重大錯報風險×檢查風險,明確規定了審計工作以評估財務報表重大錯報風險作為新的起點和導向。這就導致了實務中普遍運用的現代風險導向審計在審計風險模型和審計具體風險導向等上和準則規定產生了一定的差異。鑒于這一點,特別指出本文所稱的現代風險導向審計是指國際會計師事務所在實務中運用的以戰略經營風險為導向的現代風險導向審計。二、傳統風險導向審計和現代風險導向審計風險評估策略比較
風險評估是指對審計風險的評估。美國注冊會計師協會(AICPA)認為審計風險是指審計人員對于存在重大錯報的財務報表未能適當發表意見的風險[3]。風險評估的目標就是確定
高風險環節,從而確定審計的范圍和重點,并進一步確定如何收集、收集多少和收集何種性質的證據,以便更有效地控制和提高審計效果及審計效率。策略,是根據形勢發展而制定的行動方針和方法。借鑒中注協(1997)對審計策略的定義,筆者將風險評估策略定義為審計人員根據確定的風險評估范圍,選擇能夠達到風險評估目標而應當實施的最有效風險評估程序的基本思路、組織方式和具體方法。在本文中,筆者從風險評估導向、風險評估范圍、風險評估程序、以及風險評估具體方法四個方面來比較兩種審計模式的風險評估策略。
(一)風險評估導向
雖然國際審計準則規定,在傳統風險導向審計下審計人員首先應當對財務報表整體層次和交易類別、賬戶余額認定層次的固有風險進行評估,但由于固有風險和控制風險都受內外部環境的,兩者很難區分,因此審計人員通常難以對固有風險單獨做出準確評估。又鑒于穩健性原則的考慮,實務中審計人員往往將固有風險簡單地確定為高水平,從而將風險評估重點鎖定在控制風險上。因此在實務中,傳統風險導向審計實際上是以對控制風險進行的評估為切入點的,所以傳統風險導向審計是以控制風險為導向的。
現代風險導向審計強調:審計人員的審計風險[i]主要來源于企業財務報表的錯報風險,而企業財務報表的錯報風險則主要來源于整個企業的戰略管理風險和經營活動風險[4]。所以要充
分理解審計風險,審計人員就必須從企業的戰略分析入手,充分識別企業內、外部風險并理解內外部風險對財務報表認定的影響。因此,現代風險導向審計并不直接從對固有風險的評估入手,而是間接地以被審計單位的戰略經營風險為導向,通過綜合評估戰略經營風險從而確定財務報表剩余風險,并進一步確定實質性測試的范圍、時間和程序。因此,現代風險導向審計是以戰略經營風險為導向的。(二)風險評估范圍
在實務中運用傳統風險導向審計時,審計人員往往忽略對固有風險的準確評估,而將固有風險簡單地確定為高水平。因此在傳統風險導向審計下審計人員往往不注重從宏觀層面上了解企業及其環境(如行業狀況、監管環境;企業的性質;企業的目標、戰略、以及可能導致會計報表重大錯報的相關經營風險;對企業財務業績的衡量和評價)[5],而只關注企業的內部
控制。因此,在傳統風險導向審計方法下,審計人員實際上只僅僅依賴對控制風險所作的粗放型評估來直接、大致確定檢查風險水平。
現代風險導向審計要比傳統風險導向審計站得更高,看得更遠,對企業了解得更透。它將被審計單位置于廣泛的系統中,認為有效的審計需要對企業所處的宏觀經濟環境和行業環境、戰略目標和措施、影響企業目標實現的主要業務活動和關鍵經營環節以及剩余風險進行深入的了解。在現代風險導向審計下審計風險仍然由固有風險、控制風險和檢查風險三要素組成,審計人員也同樣要對固有風險和控制風險進行評估。但是相比傳統風險導向審計,現代風險導向審計下“固有風險”的內涵擴大了,除了包括會計報表項目本身的風險外,更多地考慮了企業的經營風險。而且在現代風險導向審計下,企業內部控制已經發展到內部控制框架階段,并有被企業全面風險管理框架取代的趨勢,相比傳統風險導向審計下的內部控制結構概念,現代風險導向審計下對控制風險進行評估時考慮的因素則更加全面了。
(三)風險評估程序傳統風險導向審計風險評估的基本程序可表示為:固有風險評估了解被審計單位的內部控制結構控制風險初步評估控制測試(可選)控制風險綜合評估確定檢查風險。審計人員在對固有風險進行評估時主要考慮以下因素:管理人員的品行、能力、變動情況和遭受異常壓力的情況;客戶業務特征;關聯方;非常規交易;以前審計結果等。但由于種種原因,實務中審計人員往往忽略對固有風險的準確評估,通常的做法是將固有風險簡單地確定為高水平,而將風險評估的重點放在控制風險上。審計人員在對被審計單位的內部控制進行了解時,首先從控制環境入手,再對制度和控制程序進行分析。分析控制環境時主要考慮以下因素:管理和經營作風;組織機構;董事會及審計委員會職能;人事政策和程序;確定職權和責任的等。然后審計人員基于當前對內控的了解對控制風險水平進行初步評估(計劃估計水平)。如果審計人員將某一控制的控制風險初步評估為最高值,則對該控制不需執行控制測試而直接進入實質性測試階段;但如果審計人員將某一控制的控制風險評估為低于最高值時,則就需要對該控制執行控制測試,從而來獲取證據以支持低于最高值的風險水平。控制測試完成以后,審計人員對被測試控制的控制風險進行再次評估(最終估計水平),并根據最終估計水平來決定相應的檢查風險水平。風險導向審計風險評估的基本程序可用下圖表示。如圖所示(由于不能粘貼,此處圖略),審計人員首先需要對客戶的戰略進行分析,分析時需要對客戶的內外部環境進行了解,包括客戶行業狀況、監管環境以及其他外部因素(宏觀環境等);被審計單位的目標、戰略以及面臨的經營風險;對威脅企業戰略的風險做出的反應等。對客戶的戰略進行分析后即可對戰略風險做出評估。現代風險導向審計下內部控制被分為管理控制(戰略控制、高層控制)和流程控制(一般控制、員工控制)[6],在對客戶的戰略進行分析時同時要對戰略控制進行了解并進行評價。然后審計人員對客戶的流程進行分析,分析時可從流程目標、投入、作業、交易類型、威脅流程目標的風險等八個維度來了解流程情況[7]。通過流程分析可
以了解客戶創造價值的方式、競爭優勢及劣勢、威脅,從而來評估流程經營風險。在對客戶的流程進行分析時同時要對流程控制進行了解并進行評價。在對戰略經營風險和流程經營風險進行評估時特別要注重對舞弊風險的評估。然后在此基礎上來對固有風險進行初步評估,在評估時除了要重點考慮經營風險可能引起的重大錯報之外,還要考慮其他可能引起重大錯報的因素(管理當局遭受的異常壓力等)。審計人員在對客戶的戰略和流程進行分析時已經從企業整體層次對內部控制進行了了解(戰略控制和流程控制)并做了評價,在這個基礎上還要對內部控制的其他方面進行了解并給予評價,特別是要關注有關交易重要類別的控制。基于對內部控制充分的了解,審計人員然后對控制風險進行初步評估。由于固有風險和控制風險都受企業內外部環境的,兩者之間存在著緊密的聯系,因此審計人員在單獨對固有風險、控制風險進行初步評估的基礎上還須對兩者進行綜合評估,即固有風險和控制風險的聯合。對聯合風險的評估是審計工作的核心,因為接下來其余的審計工作都要圍繞聯合風險來進行,聯合風險的評估結果是審計人員決定實質性程序性質、時間以及范圍的基礎[8]。然后審計人員對值得信賴的控制進一步執行控制測試,從而來獲取支持其較低控制風險水平的證據。最后根據控制測試結果并結合聯合風險評估水平,審計人員對會計報表重大錯報風險進行綜合評估,從而來確定會計報表剩余風險(即檢查風險),并進一步決定實質性程序的性質、時間以及范圍。(四)風險評估具體方法風險評估的方法主要有觀察、檢查、函證、詢問、穿行測試、分析性程序等多種審計取證手法。雖然傳統風險導向審計客觀上要求大量使用分析性程序來進行風險評估,但由于實務中審計人員往往忽略對固有風險的準確評估,因此限制了分析性程序的運用范圍。而且傳統風險導向審計對于信急的再加工重視程度不夠,分析性程序主要適用在報表分析上[9]。而在現代風險導向審計下,風險評估以分析性程序為中心,分析性程序成為最重要的程序。而且隨著分析性程序功能的不斷擴大,分析性程序開始走向多樣化,審計人員不僅對財務數據進行分析,同時也對非財務數據進行分析。由于分析性程序的多樣化運用,大量的分析工具以及現代管理方法被運用到分析性程序中去。如在戰略分析時審計人員運用了PSET分析和POPTER分析方法;在流程分析時運用到了價值鏈分析(VCA))和波士頓矩陣(BCG)以及SWOT分析方法;績效分析時運用到了平衡積分卡(BSC)和標桿管理(Benchmarking)分析技術[10]。將分析工具運用到風險評估中使得風險因素不再獨立,而且風險評估不再是一元評估,而是多元評估,因此風險評估的結果將更加可靠。
三、結論
1.風險評估導向不同:
雖然國際審計準則規定傳統風險導向審計應以固有風險為切入點,但在實務中傳統風險導向審計實際上是以控制風險為導向的;而現代風險導向審計則是以戰略經營風險為導向的。
2.風險評估范圍不同:
審計人員在實務中運用傳統風險導向審計時往往會忽略對固有風險的準確評估,只通過對控制風險所作的粗放型評估來決定實質性測試的性質、時間和范圍;而現代風險導向審計下審計人員除了要對傳統的固有風險,即會計報表項目本身的風險進行評估之外,更多地是要考慮企業的經營風險,特別是注重對舞弊風險的評估[11]。同時由于內部控制概念內涵的擴
大,審計人員在對控制風險進行評估時考慮的因素相比傳統風險導向審計下更加全面了。
3.風險評估程序不同:相比傳統風險導向審計,由于現代風險導向審計增加了對企業戰略和經營流程的分析,以及對經營風險的評估,而且最后將固有風險和控制風險聯合起來進行評估,因此在評估程序方面現代風險導向審計比傳統風險導向審計更完善。由于現代風險導向審計對審計風險考慮的更全面了,所以在現代風險導向審計下能夠更好的將會計報表剩余風險降低到可接受水平。4.風險評估具體方法重點不一樣:兩種審計模式在風險評估時都運用了觀察、檢查、函證、詢問、穿行測試等風險評估方法,但相比傳統風險導向審計,現代風險導向審計更注重分析性程序的運用,做到了以分析性程序為中心。
________________________________________
[i]國際會計師事務所認為審計風險應該是廣義的,即不僅包括審計過程的缺陷而導致審計結果與實際不相符而產生損失或責任風險,還包括客戶經營失敗而導致審計主體遭受損失或不利的可能性。
:
[1]王澤霞.論風險導向審計創新[J].會計,2004(12):49-54
[2]謝榮,吳建友.現代風險導向審計研究與實務發展[J].會計研究,2004(14):47-51
[3]AICPA:professionalStandardsAsofJune1,1992,AU.31
[4]謝榮,吳建友.現代風險導向審計基本內涵分析[J].審計研究,2004(05):26-30
[5]陳毓圭.對風險導向審計方法的由來及其發展的認識[J].會計研究,2004(14):58-63
[6]鄭朝暉.戰略系統審計:財務數據之合理預期[J/OL].會計視野,2004[2006-4-17]/showdoc.asp?docid=448&uchecked=true
[7]王義華.BMP審計模式介紹[J].中國注冊會計師,2005(06):69-70
[8]Ernst&YoungGlobalAuditPlanningToolkit2004[M],2004:65-67
[9]馬賢明,鄭朝暉.現代風險導向審計探討[J].審計與經濟研究,2005(01):9-13
篇3
一、現代風險導向審計風險概述
現代風險導向審計也稱為經營(商業)風險導向審計、風險基礎戰略系統審計。現代風險導向審計是審計技術方法在系統理論和戰略管理理論基礎上的重大創新,它以被審計單位的戰略經營風險為導向,通過戰略分析――流程分析――經營業績評價――財務報表剩余風險分析的基本思路,將會計報表重大錯報風險和經營風險聯系了起來,從而提出了審計師從源頭分析和發現會計報表錯報的觀念。現代風險導向審計針對傳統風險導向審計風險評估不到位,未能有效發現高風險審計領域造成審計過量或審計不足的缺點,大大加強了風險評估程序,實現以風險評估為中心。
國際審計和鑒證準則委員會了一系列新的審計準則,風險模型也修改為:審計風險=重大錯報風險×檢查風險。重大錯報風險評估是通過“了解被審計單位及其環境并評估重大錯報風險”來實現的。這一思想將風險評估的范圍拓展了,要求將被審單位的各種風險,包括控制風險、賬戶及交易層次風險及其他如企業的經營風險、行業風險、舞弊風險等都考慮進去。總體來說,現代風險導向審計是一種新的審計基本方法,它以被審計單位的經營風險分析為導向,以審計理論、系統理論和戰略管理理論為指導,通過自上而下和自下而上相結合的審計思路完成審計工作。
現代風險導向審計模型改變了以往從局部到整體的審計思路,為注冊會計師從整體上把握和控制審計風險提供了基礎。現代風險導向審計模型要求針對會計報表整體層次和認定層次來分別評估重大錯報風險,并采取不同的應對措施來克服原模型側重于認定層次而忽視會計報表層次的缺陷。還要求注冊會計師識別和評估會計報表整體層次和認定層次的重大錯報風險,將識別出的風險與認定層次可能發生的錯報聯系起來,考慮風險的重大性和可能性。注冊會計師應針對評估出的兩個層次的重大錯報風險,合理運用職業判斷分別確定總體應對措施和設計、實施進一步的審計程序,以將審計風險降至可接受的水平。另外,還要求注冊會計師針對評估的會計報表整體層次的重大錯報風險,采取總體應對措施:向項目組強調在收集和評價審計證據過程中保持職業懷疑態度的必要性、分派更有經驗的或具有特殊技能的注冊會計師,或利用專家的工作,提供更多的督導,在選擇進一步的審計程序時,應當注意某些程序不能被企業管理當局預見或事先了解,對擬實施審計程序的性質、時間和范圍做出總體修改。
二、現代風險導向審計風險評估基本程序
現代風險導向審計強調審計風險主要來源于企業財務報表的錯報風險,而企業財務報表的錯報風險則主要來源于整個企業的戰略管理風險和經營活動風險。它認為,要充分理解審計風險,審計人員就必須從企業的戰略分析、流程分析入手,充分識別企業內、外部風險,并理解內、外部風險對財務報表認定的影響。因此,現代風險導向審計并不直接從對固有風險的評估入手,而是間接地以被審計單位的經營風險(包括戰略經營風險和流程經營風險)為導向,通過綜合評估經營風險從而確定財務報表剩余風險,并進一步確定實質性測試的范圍、時間和程序。(圖1)
三、風險評估
規避審計風險,必須從承接開始充分認識到風險的存在,這也是控制風險的關鍵一步。因此,根據獨立審計準則要求,在承接業務簽署審計業務書前,審計人員應對被審計單位的基本情況進行了解。如,業務性質、經營情況、經營風險、以前年度的審計情況、財務機構及組織工作等。根據了解的情況,審計人員運用專業判斷評估審計風險,決定有無能力勝任,被審計單位的性質如何等,進而決定是否接受委托、確定審計計劃及審計程序。
(一)戰略經營風險評估。企業接受委托前需對客戶的行業狀況、監管環境以及其他外部因素,如被審計單位的性質及對會計政策的選擇和運用、被審計單位的目標戰略以及相關經營風險、對被審計單位財務業績的衡量和評價相關內部控制,在進行必要的了解后,評估會計報表總體層次和認定層次的重大錯報風險。
了解客戶及其環境,包括了解客戶的目標、戰略以及可能導致會計報表重大錯報的相關經營風險,而不是了解和評估全部的經營風險。這主要是因為不是客戶所有的經營風險在任何情況下都最終具有財務后果且必然會導致會計報表重大錯報風險;評估和控制所有經營風險、實現經營目標是企業管理當局的責任;而注冊會計師的責任是評估被審計會計報表的所有重大錯報風險,以幫助其設計和實施有效的審計程序,及時保證發現重大錯報,實現審計目標。
戰略經營風險評估主要是對組織內部環境戰略經營風險(公司治理結構、內部組織文化、核心競爭力、內部信息溝通)、本地外部環境戰略經營風險(直接競爭對手、本地勞動力市場、顧客/供應商關系)、全球環境戰略經營風險(國外不確定的政治監管環境、自然資源、全球競爭、文化優勢)進行評估。
1、組織內部環境戰略經營風險。合理的公司治理結構可以保障組織系統的正常運轉,幫助組織實現戰略經營目標;不合理的公司治理結構,甚至是治理結構中的微弱不和諧因素都可能導致組織整體戰略的失敗。因此,公司治理結構的合理與否是組織內部環境中的一個重要戰略經營風險來源。
組織文化是組織成員內在化的、共同的行為指向,也是企業解決如何在外部生存以及內部如何共同生活的一套哲學。員工誠信、員工士氣、忠誠度、管理層的領導風格等都可能抑制員工的靈活性和學習能力。因此,組織文化的功能是戰略經營風險產生的主要來源。
組織中的信息不通暢、員工的情感或情緒問題得不到合理宣泄和回應,天長日久就沉淀淤積,導致組織有效運行障礙和日后組織病變,故組織中的信息溝通情況也是組織戰略目標實現的一個來源。
2、本地外部環境戰略經營風險。直接競爭主要包括直接競爭對手不斷適應和改進其經營,新競爭對手進入市場激化價格戰。競爭對手的銷售管理機制和市場政策對公司在既定市場上的銷售能力和市場開發能力的影響導致公司業績受到影響。如果公司采取有效的措施來提高銷售管理機制的競爭力和政策應變能力,則必然削弱市場開發能力,導致銷售業績降低,在失去競爭優勢的同時,增大公司的戰略經營風險。
本地勞動力市場風險來源主要是指組織與直接競爭對手在爭奪最優勞動力資源方面展開的競爭。人力資源滿足公司發展的程度、人才資源的開發、管理機制和企業家資源是影響公司發展的重要戰略風險因素。
3、全球環境戰略經營風險。國外不確定的政治、監管環境、自然資源的地理位置、全球市場競爭狀況及一個國家或地區的語言、文化、風俗及都會深刻地影響企業的組織文化,從而影響企業的戰略經營風險。
與戰略有關的審計程序會生成證據來幫助審計師提高對戰略經營風險、重大錯報風險評估的準確性,有助于評估和控制檢查風險。戰略經營風險評估是一個循環遞推過程,需要反復評估和獲得反饋,直到審計師的目標實現,即建立充分、合理的審計判斷。
(二)經營環節風險評估。通過客戶戰略系統風險評估,審計師已經識別出重要戰略風險和重大交易類別,從而可以推導出重大風險經營環節。通過客戶戰略系統分析,審計人員應該考慮客戶的戰略和戰略管理程序同財務報告的關系,尤其是對于會計政策選擇和財務報表披露,客戶的經營戰略和經營風險對會計和審計意味著什么,會計估計和計價是否反映了重大的經營風險,客戶的戰略風險如何影響經營流程和交易流程的額外審計工作。
環節分析是為了使審計人員深入了解在初期審計中發現的關鍵經營環節,了解客戶是如何創造價值的。特別是研究每一項核心經營環節,以發現重要的環節目標、與這些目標有關的經營風險,以及這些風險和控制對財務報表的影響。環節風險包括:領導風險、監管風險、技術風險、財務計劃風險、人力資源風險、運營風險、信息風險。
審計師對環節風險進行分析時需要結合環節目標、環節關鍵成功要素的理解,審計師對重要環節風險進行分析、識別的原因是它們可能會導致會計報表的重大錯報。同時,重大交易類別也可能會導致會計報表的重大錯報。另外,審計師在進行環節風險分析的同時,需要結合客戶戰略系統分析階段識別出重大交易類別以及環節本身的業務活動,并評估其對會計交易的影響,幫助識別環節重大交易的類別及其對會計的影響。
(三)剩余風險評估。現代風險導向審計中的剩余風險就是沒有控制在可接受范圍水平內的重要經營與重大交易類別。在客戶戰略系統分析和環節分析完成后,剩余風險也就代表了審計師認為沒有被控制住,并對會計報表有潛在重要影響的經營風險,它們可能來源于戰略分析,也可能來源于環節分析。剩余風險成為審計師需要關注的重點。審計師根據剩余風險的結論實施追加實質性測試程序,從而將會計報表重大錯報的風險,也就是審計風險控制在可接受的范圍內。
剩余風險會對以下五個方面產生影響:業績預期、信息質量、控制環境、生存能力、管理強化。對審計師來說,則關心與信息質量相關的風險,尤其是那些涉及財務報告的風險。剩余風險是在企業的控制措施失效時所產生的,審計人員應該把在審計過程中發現的企業控制不足之處同企業進行溝通,并向企業提出管理建議,從而協助企業預防或檢查將來可能出現的錯誤。不論是通過企業采取進一步措施,還是由審計師直接進行數據重新整理或其他實質性測試,審計師都要運用專業判斷評價剩余風險是否在經過這些程序之后被降至可接受水平。如果剩余風險仍處在不可接受水平,則審計師不能出具標準無保留的審計意見,甚至要考慮是否應該從該審計客戶辭職。
四、實質性測試
篇4
標志著適應我國市場經濟發展要求,與國際慣例趨同的審計準則體系正式建立。
一、傳統風險導向審計的缺陷
傳統風險導向審計的審計風險包括固有風險、控制風險和檢查風險。審計風險是由會計師事務所風險管理所確定的,謹慎從事的會計師事務所往往將其確定為低水平,固有風險和控制風險與企業有關,注冊會計師通過了解被審計單位和控制測試,確定檢查風險,設計和實施實質性程序。傳統風險導向審計從理論上解決了制度基礎審計方法的缺陷,要求將審計資源分配到評估固有風險、測試內部控制和實施實質性程序,使審計效率與效果有了實質性的提高,但它還不是一種新的審計基本方法,它實質上是制度基礎審計方法的發展,其在理論與實務兩方面都存在著固有的缺陷。
(一)從理論上分析
傳統的審計風險模型其實是假設固有風險、控制風險和檢查風險之間相互獨立。但固有風險和控制風險都受企業內外部環境的影響,兩者之間還相互影響。因此,隨著企業與內外部環境聯系緊密性的增強,這一假設的可靠性越來越受到質疑。并且大部分審計程序都是多重目的,都對會計報表是否有重要錯報有信息含量。因此Bell等甚至質疑檢查風險是否可以與固有風險和控制風險區分開來。在傳統風險導向審計模型下,一些學術界和實務界人士將注冊會計師發現會計報表重要錯報的問題與報告會計報表重要錯報的問題混為一談。
(二)從實務上分析
傳統風險導向審計忽視固有風險的評估。由于固有風險的評估主觀性較強,且不容易評估,因此在編制具體審計計劃時,注冊會計師應當考慮固有風險的評估對各重要賬戶或交易類別的認定所產生的影響,或者直接假定這種認定的固有風險為高水平。在實務中,許多事務所不重視固有風險的評估,審計起點退至了解和測試內部控制。由于內部控制具有固有的局限性,因此,審計風險增大。
二、傳統風險導向審計與現代風險導向審計的比較
(一)理論依據的改變
傳統風險導向審計主要依據的是審計理論;而現代風險導向審計的理論依據有戰略管理理論、系統理論、舞弊動因理論和審計理論。當今世界急劇變化,科學技術也是日新月異,作為其中一份子的企業的風險也是達到了前所未有的高度。因此,僅僅依靠審計理論作為指導依據是遠遠不夠的,而現代風險導向審計理論依據范圍與內涵的擴展便適應了經濟技術的發展要求。
(二)審計風險模型的擴展
傳統風險導向審計的風險模型:審計風險=固有風險×控制風險×檢查風險。現代風險導向審計的風險模型:審計風險=重大錯報風險×檢查風險;重大錯報風險=固有風險×控制風險;檢查風險=分析程序風險×細節測試風險;因此,審計風險模型演變為審計風險=固有風險×控制風險×分析程序風險×細節測試風險。
現代風險導向審計通過修訂審計風險模型,拓展審計證據的內涵,強調了解被審計單位及其環境,包括內部控制,以充分識別和評估財務報表重大錯報的風險,針對評估的重大錯報風險設計和實施控制測試和實質性程序。通過綜合評價被審計單位的情況以及戰略以確定審計測試的性質、時間和范圍,審計的起點為被審計單位的情況以及戰略,這樣注冊會計師很容易全面掌握被審計單位可能存在的重大風險,避免了只見“樹木不見森林”的尷尬局面。
(三)風險評估重心的轉變
傳統風險導向審計的風險評估重心是控制風險,直接評估審計風險,現代風險導向審計的風險評估重心前移,從了解客戶戰略經營環境、評估經營風險、剩余風險入手,由控制風險向聯合風險轉移,從偵查管理層舞弊的角度出發,注冊會計師直接評估固有風險和初步控制風險的聯合風險。在傳統風險導向審計的基礎上大大加強了風險評估程序,真正體現了風險導向審計的理念。
(四)風險評估方法的改變
首先,現代風險導向審計對風險的評估由直接評估改為間接評估。傳統風險評估直接評估重大錯報的概率,也就是直接對審計風險進行評估,而現代風險導向審計不再直接對審計風險進行評估,而是從經營風險評估入手。
其次,分析性程序成為風險評估的中心。傳統風險導向審計對于信息的再加工重視程度不夠,分析性復核主要適用在報表分析上,現代風險評估以分析為中心,分析性復核成為最重要的程序,為了適應分析性復核功能擴大的要求,分析性復核開始走向多樣化,不再是對財務數據進行分析,也對非財務數據進行分析。分析工具也充分借鑒現代管理方法,將管理方法運用到分析性程序中去,如戰略分析、績效分析、財務分析、會計分析及前景分析。將分析工具運用到風險評估中去,將使風險因素不再獨立,且不再是一元評估,而是多元評估,幾種方法相互印證,使風險評估的結果更加可靠。
最后,風險評估結構的轉變。現代風險導向審計將戰略分析引進審計,對風險的評估從零散走向結構化,風險分析結構化最大的好處:考慮了多方面的風險因素;這些因素有機聯系在一起,便于綜合風險評估。
(五)注冊會計師專業知識重心的轉移
注冊會計師以會審知識為中心轉向管理知識、行業知識為中心,由于審計重心轉移,審計結果主要依賴風險評估,而不是審計測試,而風險評估采用的各種風險分析方法都是現代管理知識在審計中的運用,而且這種運用必須以行業知識為基礎。可見,現代風險導向審計對注冊會計師素質提出更高的要求,要求注冊會計師必須術業有專攻,必須掌握一些常用的分析工具,并接受行業知識訓練。
(六)審計測試程序的改變
傳統審計程序標準化,這種標準化審計程序存在很大問題,既不能對癥下藥,沒有貫徹風險導向審計思想;又使得注冊會計師無法突破客戶預先設置的障礙或防范措施。現代風險導向審計的審計測試程序個性化,克服了傳統審計測試的缺陷,針對風險不同的客戶、客戶不同的風險領域,采用個性化的審計程序。由于現代風險導向審計測試計劃是基于注冊會計師的風險評估結果,且不同的客戶顯然存在不同的風險,因此審計測試程序必然會“因人而異”。
(七)“自上而下”與“自下而上”相結合
傳統風險導向審計從控制風險評估入手,視野過于狹窄,并主要依賴實質性測試,這種自下而上的方式過于注重會計的形式。現代風險導向審計在吸收了其他審計方法的優點的同時,密切地關注企業的主要戰略目標、管理層對風險的容忍程度、以及企業內部各項風險評價指標等情況,從審計風險產生的源頭來識別和評價風險,先“自上而下”對報表形成預期,根據預期確定審計重點,再“自下而上”,將實際審計結果與預期相比較,對企業的情況有了更深入、全面的了解,從而能更準確分配審計資源,保證審計的質量。
(八)審計證據的變化
傳統風險導向審計大多從管理層獲取審計證據;在現代風險導向審計模式下,由于審計重心向風險評估轉移,注冊會計師必須充分了解客戶整體戰略經營環境,并由此出發評估客戶的經營風險和審計風險,因此,必須取得大量的外部證據來證明風險評估的恰當性,外部審計證據的增加,內涵擴大,包括了解企業及其環境的證據,注冊會計師可以從一般員工或供應商、銷售商等獲取審計證據,這是針對管理層舞弊的有效偵查措施,業內人士和專業咨詢人士的意見也可以作為對注冊會計師審計專業判斷的補充。
由以上分析可看出,傳統風險導向審計只關心注冊會計師自身所面臨的風險,只關心控制風險、檢查風險和固有風險。現代風險導向審計則更進一步,不僅關注審計風險,還關注經營風險。為了分析被審計客戶的經營風險,注冊會計師必須深入被審客戶,理解其運行模式,其所面臨的短期以及長期經營風險,并基于此向管理層提供對影響企業經營的所有因素的獨立評估報告。在傳統風險導向審計中,注冊會計師與被審計客戶在財務報表審計過程中處于對立面,各自只是從自己的角度,提出不同的觀點。而在現代風險導向審計中,注冊會計師與被審計客戶處于平行地位,以同一目標為導向考察企業的經營狀況。
綜上所述,筆者認為現代風險導向審計是審計模式發展的必然趨勢,我國目前存在著諸多推行現代風險導向審計的有利因素,同時法律環境、公司治理等問題也存在著不利因素,但這些并不能因此阻礙審計模式的發展,而是需要同步完善。
參考文獻:
1、鄭朝暉,裝廣堂.審計模式發展探析[J].中國注冊會計師,2004(1).
2、胡春元.風險基礎審計[M].東北財經大學出版社,2000.
3、姚煥然.事務所開展風險導向審計的五個基礎[J].中國注冊會計師,2006(2).
4、王詠梅,吳建有.現代風險導向審計發展及運用研究[J].審計研究,2005(6).
篇5
民航院校培養的人才首先要適應民航業快速發展的需要以及地方政府發展民航的人才需要。《公司財務戰略與風險管理》把服務民航、服務地方經濟作為首要任務,結合航空公司經濟運行的特點,分析民航企業為謀求企業資金均衡有效的流動和實現企業整體戰略而對企業資金流動進行全局性、長期性與創造性的謀劃,解析民航企業存在的風險因素及其形成機理,了解各種風險構成、計量、風險評估與規避機制,結合數據分析和收益管理系統,讓學生鍛煉對真實問題的分析能力。課程不但可以拓展學生的國際視野,提升民航運輸專業技能,還系統地鍛煉學生的綜合分析能力,將學生的業務技能培養和綜合分析能力相結合,很大程度上提升學生實踐能力。課程建設目標是通過分析民航企業為謀求企業資金均衡有效的流動和實現企業整體戰略而對企業資金流動進行全局性、長期性與創造性的謀劃,解析民航企業存在的風險因素及其形成機理,了解各種風險構成、計量、風險評估與規避機制,結合數據分析和收益管理系統,讓學生鍛煉對真實問題的分析能力和解決問題的能力,加深對行業的了解。
二、課程內容設計
(一)基于競爭力導向的財務戰略選擇與評價。隨著經濟全球化快速發展,企業理財環境也變得愈來愈復雜化和不確定化,企業加強戰略管理已經成為當前管理界的趨勢和潮流,與之相適應的財務戰略管理也日益受到關注。我國航空運輸企業目前正處于一個戰略調整和戰略發展的階段,因此對航空運輸企業財務戰略管理中存在的問題及對策進行研究和探討就顯得十分必要。企業財務戰略是企業諸多職能戰略之一,它不僅服務于企業的總體戰略,而且貫徹企業戰略的總體要求,同時對其他職能戰略起著支持和促進作用。在企業的競爭力中,財務戰略及其管理能力和水平是企業各方面能力的綜合體現,有了健全的財務體系和有利的融資、投資戰略,企業的發展戰略才能順利地實現。通過對航空公司、機場財務戰略管理情況的調查研究,可以將財務戰略管理思想真正有效地運用到民航的經營管理中,為民用航空企業科學的財務管理提供參考。
現代企業戰略財務管理要求企業建立以競爭力為核心的戰略財務管理體系。它既可以用來推動價值創造的觀念,并深入到公司各個管理層和一線職工中,又與企業資本提供者(包括企業股東和債權人)要求比資本投資成本更高收益的目標相一致,從而也有助于實現企業價值和股東財富的最大化。核心競爭力關注于企業的競爭對手、企業在環境中的定位、企業價值鏈中最具有增值部分的作業、建立戰略聯盟。核心能力是形成企業競爭力的支撐點,是“內力”,核心競爭力是“外力”,兩種力量結合可擴大企業的競爭優勢。競爭優勢是在市場競爭環境中的綜合能力。
基于分析,財務戰略模塊可以重點討論財務戰略目標、企業核心競爭力的衡量(尤其是民航運輸企業的核心競爭力評價體系)、財務戰略決策、財務戰略實施與控制、財務戰略計量與評價。公司投資戰略、公司融資戰略、收益分配戰略一帶而過,主要航空公司(如三大航)和主要機場的財務戰略從制定到實施和評價可以以案例的形式穿插。主要教學內容安排見圖1、圖2。(圖1、圖2)
(二)價值導向的內部控制構建與評價——以民航運輸業為例。民航企業具有高投入、高技術與高風險等“三高”特點。從航空公司經營過程來看,航空公司經營過程中面臨諸如經營風險、財務風險、匯率風險、安全風險、政治社會風險等各種風險。從全民航角度看,都需要一套科學與有效的風險評估與風險規避體系,這將有利于充分發揮民航總局的行業監督與指導等宏觀調控作用,同時使得航空公司能夠預知風險并及時采取有效的措施規避與對抗各種風險。通過對民航企業所面臨的各種風險分析、評估、規避與對抗機制與體系的研究,建立航空公司風險評估系統,探尋規避風險的機制、途徑與方法,使得航空公司形成科學有效的風險分析評估、規避與對抗機制與規程具有重要的戰略意義。
課程從我國航空公司的自身需要出發,結合影響航空公司經營的內外部環境特點,研究航空公司存在的各種風險的成因與機理,運用系統動力學對影響航空公司經營的各種風險進行定性與定量分析,建立一套適應我國航空公司實際的風險分析、風險評價指標、風險處理及規避機制與規程,運用與建立航空公司風險評估評價模型,對航空公司風險評估進行實證研究。把握航空公司經營的特點及其面臨的各種風險現狀,分析與研究航空公司風險形成機理,研究航空公司的各種風險構成(包括經營風險、財務風險、匯率風險、安全風險、政治社會風險等研究);對航空公司各種風險進行定性與定量研究(包括風險的定性分析研究:運用流程圖分析法等進行定性分析;各種風險的定量分析與研究:運用系統動力學原理,建立數學模型對航空公司所承擔風險進行量化分析與研究);對航空公司風險評估與規避機制(包括風險評估與規避組織機制、信息收集與傳遞機制、分析評估機制、風險處理與對抗機制等方面)和航空公司風險分析評估指標與指標體系(包括分析評估原則與標準、分析與評估程序、風險衡量指標及指標體系、風險分析評估結果的修正與評價等研究)進行研究;建立與開發航空公司風險評估系統,并選擇試點單位運行檢驗航空公司風險評估系統,以驗證航空公司風險評估系統的穩定性、有效性、準確性,并進行修正與完善。
從內部控制與價值管理和價值鏈的內在關系,不難發現內部控制是為實現企業的價值最大化目標而設計的,其主要內容就是要建立一個基于價值導向的內部控制環境,通過對各種價值活動的約束和激勵以保障各項價值活動高效地運行,從而實現公司價值鏈的整體增值。我們的課程要梳理內部控制相關理論,結合COSO委員會的《內部控制整合框架》和我國的《企業內部控制基本規范》,闡述內部控制的內涵,從控制環境、風險評估、控制活動、信息與溝通、內部監督這五個要素分析我國民航機場和航空公司內部控制現狀,并提出優化建議。結合全面風險管理理論,構建民航運輸企業的價值導向內部控制體系,并對其戰略風險、安全風險、經營風險、財務風險、法律風險和市場風險等風險因子的成因、分類及其規避進行分析和探討。旨在預防和矯正錯誤和舞弊的萌生與發展,改善企業運營管理的科學性和可靠性,進一步降低事故率、減少損失,提升民航企業的核心競爭力,促進民航業的健康持續發展。我們尋求企業的風險分析、風險控制、風險預警、風險補償系統及其各系統的有機組合,擬定一個企業經營戰略、組織架構、業務流程、信息系統、績效考核等多方面緊密配合的整體方案。
課程要討論價值導向內部控制評價模型。該模型的內部控制突破了企業的物理邊界,界定評價主體為控制主體,延伸了評價客體,評價模式采用過程指標和結果指標相結合的綜合評價模型,評價方法采用定性評價與定量評價相結合的綜合評價,避免了對于內部控制評價的盲自樂觀和短板效應。根據行業特性,我們搜集近兩年我國民航機場和航空公司的內部控制資料,計劃實證分析我國民航機場內部控制現狀,回歸分析實現內部控制目標的關鍵控制要素,發現內部控制建設與企業價值的博弈關系以及公司治理結構影響內部控制的有效性的證據。
三、教學方法與手段
根據課程的性質和教學內容,結合航空公司、機場工作特點,綜合運用靈活多樣的教學方法,包括案例展示教學、啟發式教學、討論式教學、協同式教學等,強調學生創新能力的培養。以團隊設計、教師指導、學生參與為形式,打造一批基于財務戰略與風險管理課程孵化的開放性題目。開放性題目不僅為學生提供了最貼近現實的科研場景,更是培養學生實踐能力和科研素養的最佳途徑。開展開放性科研項目運營探索,有效地實現了教學和科研的雙向貫通,培養了學生的創新能力。以培養學生參與實踐創新能力為目的,以民航經濟與管理數據庫為依托,實現了利用科研項目成果和教師科研能力向學生創新實踐能力的提升轉化,而且通過學生參與項目的方式為一批研科研項目提供了支撐和幫助,真正實現了科研和教學的雙向貫通,培養了學生的創新能力。采用新的教學模式及教學方法,注意充分發揮學生的主動精神,使他們能夠綜合運用所學的經濟管理理論知識和民航專業知識,在全面提高學生的素質,特別是實踐能力、創新精神與創新能力方面取得明顯的效果。采取各種小組討論、頭腦風暴等方式調動學生學習的主動性和自覺性,激發學生創造性思維的積極性,有利于學生綜合素質的培養,提高面對未來挑戰的自信心。
四、課程特色
篇6
一、現代風險導向審計的含義及特征
現代風險導向審計按照企業戰略風險、經營流程風險、內部控制風險、剩余風險與個人主觀因素相結合形成審計風險自上而下的風險評估思路,將風險評估的范圍從微觀拓展到了企業的宏觀經營背景、從財務指標拓展到了非財務指標,特別突出了個人主觀因素在形成實質性經營風險中的關鍵作用,是對企業經營風險的全過程、多視角評估,審計理念與傳統審計模式相比有了質的飛躍。
(一)審計重心前移。賬項導向審計模式的重心是詳細檢查;內控導向審計模式的重心移到控制風險,向前邁進了一步;現代風險導向審計的重心再次前移,注重對影響被審計單位生存能力的內、外部環境以及經營計劃的戰略風險分析,能夠從宏觀上把握審計所面臨的風險。
(二)注重運用分析程序。采用自上而下的思路,從宏觀至微觀,對企業的財務及非財務業績指標建立風險分析模型,合理設定各項流程業績指標預期值,通過指標偏離度分析,查找預期差異的形成原因,以識別可能存在的重大錯報風險。
(三)審計程序更加有效。在全面風險評估的基礎上,減少對接近業績指標預期值的賬戶余額的實質性測試,增加對業績偏離較大且無合理解釋風險事項或例外事項的審計力度,針對不同的風險環節、風險領域,采用個性化的審計程序,自下而上進行實質性測試,提高了現場檢查的針對性和審計發現的準確度。
(四)擴大審計證據的內涵。現代風險導向審計形成審計結論的依據不僅包括實施控制測試和實質性程序獲取的證據,而且包括了解企業及其環境獲取的證據,特別是分析性證據的運用豐富了審計證據的內涵,有利于全面、客觀、準確評價企業經營成果。
(五)關注管理層舞弊風險。現代風險導向審計關注個人主觀因素對企業經營風險的作用,特別是管理層凌駕于內部控制之上的串通舞弊行為對企業經營的廣泛影響。重視評估領導層管理風格對內部控制執行效果的影響,以及可能的舞弊行為導致的重大錯報風險。適時調整審計程序的性質、時間和范圍,獲取可靠的審計證據,提高財務報表的可信度。
二、現代風險導向審計在商業銀行經濟責任審計中的應用
將現代風險導向審計方法引入經濟責任審計是商業銀行內部審計發展的必然選擇。引入現代風險導向審計方法要突出對被審計單位的全面風險評估,把風險評估滲透到審計作業的全過程,并在實質性程序中充分運用風險評估結果,實現提高審計效率和效果,充分揭示和化解風險,促進審計價值增值的目的。
(一)建立并及時更新經濟責任審計信息數據庫,實現風險評估工作的日常化管理。經濟責任審計風險評估工作,需要收集、整理和分析大量資料,而且審計委托或提請具有批量提交特點,時間要求緊,任務重,工作量很大。因此,要在較短時間內,高質量完成審計任務,且能有效規避審計風險,經濟責任審計風險評估工作必須實行日常化管理。
一是要建立經濟責任審計信息資料庫,按照風險評估內容要求,定期收集更新被審計單位各種內外部經營信息和金融政策,以及管理層職責履行情況的相關信息,包括商業銀行各層級業務發展規劃、年度綜合經營計劃、績效考核辦法、KPI考核指標體系及考核結果,風險監管部門的全面風險評估辦法及各年度評估結果、評估報告、年度工作總結、述職報告、重大經營活動和決策行為、外部監管情況、內部審計檢查資料等,為自上而下的宏觀層面的戰略風險分析奠定基礎。
二是建立內部審計非現場審計分析系統,收集整合形成商業銀行各生產系統、管理信息系統信息數據庫,為完成對交易賬戶的實質性分析程序建立數據及技術基礎,實現上下結合的微觀層面的經營流程風險分析。
三是組織專門人員實施,結合非現場審計系統進行匯總分析,定期形成分析結果,提示剩余風險,緩解經濟責任審計審前準備不足的困境。
(二)明確風險分析思路,建立風險分析模型,以分析模型為抓手,評估剩余風險,確定審計重點。全面風險評估是實施現代風險導向審計的核心環節,應充分體現“自上而下”的審計思路。
首先,進行基于外部因素的戰略分析,評估戰略風險,確認剩余風險。一是了解被審計單位基本情況和重大經營決策及審批事項,弄清其戰略定位。對被審單位進行戰略決策分析和經營管理分析,重點關注被審計單位的長期戰略規劃、年度綜合經營計劃、經營目標、資源配置、風險管理戰略等,全面評價分析被審計單位內部經營環境。二是識別來源于被審計單位外部的威脅或風險,評價分析被審計單位外部環境,包括政治、法律環境;國內外經濟金融形勢;區域經濟特點,社會信用發展程度;當地金融監管環境,同業競爭格局等。三是了解被審計單位風險應對措施,評價風險應對效果。依托經營業績建立數理分析模型,在了解被審單位整體戰略風險的前提下,設置適合當地經營環境的經營業績指標期望值,利用經營業績指標在整體評價中的不同權重,通過設置偏離度、偏離系數等,對被審機構經營業績剩余風險進行量化考量和評價。
其次,進行基于內部因素的經營流程分析,評估流程風險,確認剩余風險。一是了解評估被審計單位各類業務經營流程及制度設計,識別重要風險點及風險領域。重點關注資產、負債、財務、中間業務等,其中:資產業務關注資產質量及問題成因;負債業務關注存款來源、利率執行及賬戶設置合法合規性等;財務核算關注集中采購、資產處置管理的規范性及大額費用支出的真實性等;中間業務關注金融創新可能帶來的風險,如表外業務的或有風險、資產與中間業務收入調節,金融衍生工具運用、產品激勵失衡等;二是了解被審計單位經營流程風險應對措施,評價風險應對效果。依托風險監測業績指標建立數理分析模型,設置適合當地風險監測環境的流程風險業績指標期望值,通過設置偏離度、偏離系數、指標權重等,對被審機構經營流程風險進行量化考量和評價,確認剩余風險。
再次,進行基于經營風險的內部控制分析,評估控制風險,確認剩余風險。一是了解評估被審計單位各類業務制度設計及執行情況,按照審計業務分塊,充分利用審計業務單元內控評價等級,識別重要風險點。重點關注對公貸款、個人貸款、對公負債、個人負債、財務管理等業務單元的制度缺陷及控制失效等;二是了解被審計單位內部控制措施,評價對經營風險的控制效果。依托內控評價指標體系建立數理分析模型,確定適合內部控制業績指標期望值,通過設置審計頻率、偏離度、偏離系數、指標權重等,對被審機構各審計業務單元控制風險進行量化考量和評價,確認剩余風險。
(三)圍繞風險評估結果,細化審計策略,實施實質性程序。在風險導向審計模式下,風險分析從戰略風險分析開始直至審計樣本確認為止,貫穿審計過程始終。確認剩余風險后,應采取“上下結合”的現代風險導向審計思路,制定實質性程序計劃,完成審計證據收集工作。
篇7
本文以《內部審計具體準則》為指導,介紹了內部審計中風險評估和審計風險的概念,提出降低審計風險的基礎是風險評估,降低審計風險是做好審計工作的保證,通過對上述內容的理解可以更好加深內部審計人員對當今最新審計理論的認識。
【關鍵詞】
風險評估;審計風險關系
風險評估與審計風險是審計理論的兩個重要概念。很多學者對此發表的學術論文更多地是針對注冊會計師相關業務的研究,而內部審計理論文獻相對較少。隨著內部審計理論的發展,國家陸續出臺了內部審計相關的政策和準則,其中2005年年5月1日至今實行的《內部審計具體準則》將兩者的概念和應用作了明確的定義和指導。本文立足于內部審計具體準則的內容,將兩者的原理作一闡述,以加深內部審計人員對兩者概念及相互關系的理解和掌握。
1 風險評估與審計風險概念理解
1.1 風險評估
風險評估是指內部審計人員實施必要的審計程序對企業風險評估過程進行審查與評價,對發生的可能性、風險對組織目標的實現產生影響的嚴重程度進行重點關注。
內部審計人員在開展風險評估審計程序時,要當充分了解企業風險評估的方法,運用采用定性或定量的方法對企業風險評估過程進行評價,在風險難以量化、定量評價所需數據難以獲取時,一般應采用定性方法,并且需要充分考慮相關部門或人員的意見,以提高評估結果的客觀性。
1.2 審計風險
審計風險是指內部審計人員未能發現被審計單位經營活動及內部控制中存在的重大差異或缺陷而做出不恰當審計結論的可能性。審計風險包括重大差異或缺陷風險和檢查風險的兩方面內容。
2 風險評估是降低審計風險的基礎
審計風險評估是通過對企業風險評估過程的評價,了解企業是否存在重大差異或缺陷風險,可以使審計人員確定重要性標準來評估審計風險。而審計風險評估的要求、程序和方法都是保障降低審計風險的第一步,是審計人員開展審計工作、提高效率、保護自我的根本保證。
風險評估是對企業風險管理-風險評估過程的評價。內部審計作為企業管理的一部分,在企業內部發揮著控制和監督作用,風險評估主要體現在對企業內部控制效果的評價上,內部審計控制效果的好與壞,同樣體現審計人員對企業風險的揭示說明和預測的完整性、前瞻性上,也是審計風險的控制程度。
風險評估工作的重點就是要找到影響目標實現的風險,并分析這些風險影響的大小(發生的可能性和對目標的影響程度),從而為管理層應對風險提供基礎支持。
風險辨識評估工作主要在集團的發展計劃部、資本運營部及財務部三個部門開展,因此在對風險進行分類時,主要考慮了三個部門的管理職責:發展計劃部是戰略和投資的管理部門、資本運營部是投資、資產管理及公司治理的管理部門、財務部是集團的財務及經濟運行的主要管理部門,結合以上管理職責,對風險采用根據風險事件的特性,選擇適當的風險評價維度,對風險事件進行評價。根據發展計劃部、資本運營部及財務部的管理職責,將風險事件分配到不同的部門,形成三個部門的風險評估問卷,問卷信息進行整理計算,得到風險事件排序和二級風險排序。將整理確定的風險事件設計成為風險評估問卷,在三個部門發放,由集團公司部門人員按“發生可能性”、“影響程度”和“管理有效性”三個維度進行評價,得到風險評估初步結果:風險及風險事件的重要性排序多數風險重要性排序符合項目組的研究認識。
■ 個別風險排名較高,包括庫存風險、關聯交易風險及資產管理風險等,需進一步分析論證
■ 同一類風險的排序略有出入。
風險的大小,是基于一套定性標準,業務和管理是視角的差異如何有效地反映到對不同業務和不同風險的判斷中。
3 風險評估和降低審計風險是做好審計工作的保證
審計工作中需要時刻強調審計風險意識,并加強對企業風險評估過程的評價,二者相符相成。一方面控制審計風險需要建立在風評評估的基礎之上,另一方面在加強風險評估過程中需要在審計風險理念下指導下進行風險評價,只有將兩者很好的相互融合才能提高審計效率、控制風險,最終達到加強企業經營管理,提高企業依法經營從而提高經濟效益的目的。什么樣的風險評估才能滿足審計要求:
1)緊扣業務:評估工作緊扣經營主線開展,集中識別和分析生產、項目管理過程中的風險;
2)圍繞指標:評估工作密切圍繞業績考核指標。基于業績考核指標辨識風險事件,并依據業績考核指標制定風險評價標準;
3)突出重點:圍繞風險管理項目的整體目標,主要以運營部、市場部、物流部、工廠為重點;
強化企業高層對審計的重視程度和建立積極健康的內審文化。轉變觀念,調整位置,掌握價值高地;貼近業務,掌握業務,發掘價值提升空間。刻苦鉆研,提升能力,放大工作效能和效果。培養團隊,集團作戰 ,保持核心競爭力。決策者就是風險管理者,找出他所關注的風險和背后的動因。 分析他解決風險的工作思路,描繪決策者風險地圖和風險戰略。
篇8
關鍵詞:企業;風險導向;內部審計
中圖分類號:F239.45 文獻標志碼:A 文章編號:1673-291X(2014)02-0193-03
風險導向內部審計是企業進行風險管理的一種有效工具,其目標是在全面評估企業風險的基礎上,通過對風險進行事前評估與控制,對風險處于何種狀態做出準確判斷,為控制風險提供依據。與傳統的審計模式相比,現代風險導向內部審計更注重從宏觀上把握審計風險,審計工作重心從實施階段前移到計劃階段,關注的核心從內部控制轉向風險,在審計的全過程自始至終都關注風險,依據風險選擇項目,識別風險,測試管理者降低風險的方法,并以風險為中心出具審計報告,協助企業進行風險管理。審計方法從以審計測試為中心轉移到以系統化的風險評估為中心,即計劃階段對風險進行評估,實施階段對相關風險進行持續監控和報告,報告階段提出風險管理建議。2007年新審計準則要求全面實施風險導向審計,故本文對我國企業如何實施風險導向內部審計提出幾點建議,與大家探討。
一、建立全流程風險管控機制
建立審計戰略計劃、審計項目計劃和具體審計項目實施的全流程風險管控機制。
一是年度風險導向戰略計劃的制訂。年度風險導向戰略計劃要與企業目標相契合,建立在對公司重要領域的認定、風險自我評估的基礎上,以重大風險和重要風險為導向,明確審計重點,確定年度審計項目。在充分調研的基礎上,組織相關部門進行風險自我評估,識別各自存在的風險,排列風險次序,出具風險自我評估結果,以此為依據,確定本年度審計關注點,編制年度審計計劃。風險導向內部審計中,風險評估貫穿于年度審計計劃、項目計劃、執行審計、總結發現和報告的各個階段,企業要根據風險評估結果和以前年度審計情況,合理分配審計資源,將審計資源重點放在高風險領域。
二是建立風險管控標準,有效識別風險。就是按統一的標準梳理各業務環節的流程,審計部門牽頭,各業務單元的內控負責人統一對采購與應付、生產循環、銷售與應收、存貨與倉儲、營銷管理等業務循環的流程圖和業務流程的風險點進行全面梳理,對應將風險點、控制措施嵌入到流程中,建立清晰的業務流程圖、明確的崗位控制標準和風險防范控制措施。
三是業務流程測試和風險評估。風險評估通過實施不同的測試程序識別審計風險,包括企業整體層面控制評估、信息系統一般控制評估、流程層面控制評估、控制測試以及實質性測試等。建立業務循環各個節點的穿行測試標準,指導各單位業務人員開展業務流程的穿行測試,通過全流程的穿行測試驗證各業務層面風險受控情況,運用自審、互審和復審相結合的方法,推進全員、全流程的風險自我審計。
四是出具風險評估報告及風險地圖。審計部出具企業各業務單元的風險評估報告和完整的風險地圖,建立企業審計風險資源庫,為相關部門提供風險關注和控制優化的依據。
風險管控機制將風險管理流程與審計基本程序有機融合,更多地從全流程的角度對企業進行全面風險評估。企業要根據自身的具體情況設計風險管理流程、風險評估項目和評估標準,并根據風險環境的不斷變化及時調險評價標準,以適應管理需要。而且,風險管控是一個持續、循環的管理過程,不能將風險管理審計作為一次性的專項審計項目,在風險管控執行過程中,要不斷地關注風險,針對問題制定有效的控制措施。
二、以風險為導向,優化具體審計項目實施程序
以固定資產投資風險導向內部審計為例。固定資產投資項目投資額大、建設周期長,管理環節復雜,管理風險和審計風險都較高,采用風險導向固定資產投資審計,識別和評估重大管理風險和關鍵控制節點,全面審計,突出重點,可以有效提高審計效率,降低審計風險。其審計程序如下:
一是制訂固定資產投資風險導向項目審計計劃。風險導向項目審計計劃是對具體審計項目實施全過程審計所作的綜合安排,需要明確審計目的、審計范圍、審計方法和審計程序、項目風險評估、關鍵風險點、項目組人員分工、時間安排以及其他事項等。固定資產投資審計目標要與企業固定資產投資目標相聯系,審計范圍包括選定經營單位、選定業務及流程、相關信息系統測試范圍、測試時間范圍等。
二是業務經營單位初步評估和關鍵風險識別。審計人員要掌握固定資產投資項目整體情況,注重從宏觀層面了解固定資產投資項目的基本情況,獲取背景信息,包括行業狀況、監管環境、建設模式、建設目標等信息,對固定資產投資項目面臨的風險進行分析,識別和評估固定資產投資項目系統風險和關鍵風險。
三是業務流程分析。在全面評估固定資產投資風險基礎上,從投資項目風險入手,進一步了解流程,更新識別的風險,對高風險項目和資金重點監控,從整體上把握審計重點。
四是評估流程有效性和流程重大風險。在了解固定資產投資項目業務流程的基礎上,運用分析性程序,分析關鍵流程,評估固定資產投資項目重大風險,分析對目標產生影響的風險以及風險控制,測試實際的控制能否切實管理這些風險,這是風險導向審計關注的重點。
五是根據風險評估結果,確定項目審計范圍和審計重點,制定相應的審計策略。具體是設計審計步驟,根據審計步驟進行審計抽樣并對樣本進行監督,實施實質性測試等審計程序。在審計實施過程中,要根據審計實施情況對項目方案進行重新評估,擴大審計范圍或增加審計程序,實施進一步測試以修訂審計方案,保證審計質量。
杜邦“沸騰壺”審計抽樣模型就是一種常用的審計抽樣方法。它以審計項目風險為對象,建立風險識別模型,對每一類風險進行排序,將其劃分為不同的級別,即高風險、敏感風險、適中風險、低風險,直觀地反映風險與審計面的關系。杜邦“沸騰壺”模型說明,在風險因素中,風險結構一般是高風險占10%,敏感風險占30%,適中風險占40%,低風險占20%。風險審計規劃在審計資源配置時,要依據風險水平高低配置審計資源,對不同級別的風險因素需實行差異化審計。高風險因素要進行詳細審計,對于處于敏感風險性質的風險因素一般抽樣50%進行重點審計,對于適中風險因素一般抽樣 25%,而對于低風險的風險因素只需要抽樣10%進行一般審計。風險級別越高,配置的審計資源越多,根據風險評估結果,將主要的審計資源分配在高風險領域,有的放矢,提高審計效率。
六是根據對流程設計有效性測試結果得出審計結論,出具審計報告,提出管理建議。
三、建立以審計調查法為基礎的風險評估機制
風險評估機制包括風險識別、風險評估、風險模型的建立及風險評估結果分析等。對確定的審計項目進行風險評估,主要是通過對業務流程的梳理,找出流程關鍵控制點,并選擇科學的風險評估方法對控制點進行風險分析,以準確識別和正確評價風險。以審計調查法為基礎的風險評估方法,能清晰揭示風險的高發區域和風險變化趨勢,操作性強,評估結果具有很強的說服力。即選取一定比例的被審單位實施風險典型調查,采用審計調查法對風險發生頻率和嚴重程度進行分析和預測,對風險進行分級分類管理,根據風險水平確定審計重點。步驟如下:一是確定評估范圍。評估范圍與審計范圍相關,對風險評估結果的運用有直接影響。二是風險評估數據的采集。采集近幾年的相關風險數據,這些數據可以是以往風險管理審計、綜合性審計及專項審計的相關資料和數據等。三是對風險評估基礎數據進行整理和加工。內部審計人員依據原始資料和專業判斷對一些定性資料進行量化處理,確定各組風險數據的影響程度級別,據此對項目風險進行評估。四是進行風險評估和預測。根據事先界定的評估范圍,分別對審計項目各類風險、各類子風險的概率和影響程度進行評估,對所采集的一定期間的風險數據,采用審計調查法分析歷史數據,尋找各風險的變化趨勢和集中趨勢,建立能描述各風險變量未來變化態勢的模型,運用數學方法對各類風險的主要變量——風險概率和影響程度進行風險變動趨勢分析及預測,求出風險預估值,并運用政策分析法,整理和分析可能影響各類風險變量的政策因素,對固定資產投資風險預測值進行修正和完善,確定風險估測值浮動區間。五是風險評估結果的分析和利用。根據風險分布情況,布局安排審計資源,對風險多發區域進行重點審計。風險評估結果可以應用于企業的風險管理,包括:將風險評估結果與企業事先確定的風險管理策略(如各類風險的承受度等)進行對比,并分別采取不同的風險應對措施;協助企業建立風險預警機制,對達到風險預警線的風險發出預警信號,采取相應的風險控制措施;對風險發展趨勢進行預測,幫助企業規避和防范風險。
四、建立風險自我評估和預警機制
建立風險預警機制,對風險進行實時監控,可以有效管理和預防重大風險。風險預警機制前移風險管理關口,使風險管理重點由事后監督向事前預防、事中控制轉移,防患于未然。企業可以根據風險評估結果,針對風險高發區域建立預警機制,完善風險預警指標體系,如利用DCCS法、盈虧臨界點法及財務比率法等有效捕捉企業風險征兆,對異常情況提前發出預警,幫助管理層完善風險管理程序,控制風險。在風險導向內部審計中,使用風險自我評估(RSA)法,可以有效提升風險預警效率。風險自我評估是指內部審計要監督:(1)風險環境分析的恰當性。主要是對企業固有風險和控制風險進行評估,分析風險性質和影響程度的變化以及控制措施是否能與環境變化相符,并在審計報告中反映分析結果。(2)風險事件識別的充分性。(3)風險評估的恰當性。風險評估要從風險發生的可能性和影響性兩方面對已識別的風險事件進行定量分析和定性分析。(4)風險度以及風險預報合理性。主要是審核風險度的計算方法是否科學合理,是否反映企業實際風險水平。綜合分析企業的內外部環境,審核風險預報的根據及預報的級別是否合理。(5)風險控制措施的有效性。主要是對業務控制程序進行測試,檢查是否有效,是否能夠控制風險,并對檢查發現的問題提出改進措施和建議,幫助企業管理風險,降低風險損失。(6)風險信息溝通的有效性。內部審計人員要從風險識別、評估信息的獲得,風險警報的及時發出等方面評估風險信息是否被準確及時地傳達給所有相關人員,讓管理層了解風險是否被有效管理。風險信息溝通評估也可以提高外界對企業風險管理的信任度。
此外,企業應建立風險審計信息系統,完善審計資源數據庫,積極推進審計手段創新,加強內部審計隊伍建設,合理配備審計項目組成員,有效提高內部審計效率和質量,提升風險導向審計的價值增值功能。
參考文獻:
篇9
關鍵詞:商業銀行;稽核;風險導向模式;應用
一、風險導向稽核的定義和特點
(一)風險導向稽核的定義。
綜合國內外關于風險導向稽核的理論研究,可以概括出風險導向稽核是指在賬項基礎稽核和制度基礎稽核上發展起來的一種稽核模式,是指稽核人員充分了解稽核對象內部控制基礎上,分析、判斷其風險所在、風險程度及發生頻率,將稽核資源集中于高風險領域,進行實質性測試,將內部稽核剩余風險降低到最低水平,進行創造價值的一種稽核模式。
(二)風險導向稽核的特點。
風險導向稽核不僅僅是稽核技術方法、稽核程序上的一大變革,更重要也最根本的是稽核理念的更新,是一種基于戰略系統觀的稽核新理念。它的主要特點表現為:
1.稽核監督層面趨于宏觀。風險導向稽核是建立在對被稽核單位全方位深入了解以及把指導思想建立在“合理的職業懷疑假設”的基礎上, 以對企業戰略風險和經營風險的評估為稽核重心,從源頭上去識別和評估會計報表重大錯報的風險,通過了解被稽核單位所處的經濟環境,分析其經營戰略、經營目標、經營風險及其業務流程,評估重大錯報風險,從而針對風險點來設計和實施控制測試和實質性程序,以降低稽核風險至可接受水平。
2.風險評估貫穿稽核全過程。風險導向稽核的基本原則是全流程移動性風險評估,即將風險評估貫穿于稽核過程的每個環節,包括計劃、現場、報告等各個階段。全面風險分析評估是風險導向稽核的立足點和核心,對風險分析評估結果的充分運用則是風險導向稽核的重點。
3.注重分析性程序的運用。風險導向稽核從風險評估到最終稽核結論的確定均可使用分析性程序,尤其是在風險評估中。風險導向稽核中的分析性程序與傳統稽核中的分析性復核相比,其分析范圍更加廣泛,工具更加多樣,功能更加強大。風險導向稽核中的風險評估需要充分運用現代管理的分析工具,包括財務和非財務數據的分析;它擴大了傳統稽核模式的分析量,并充分運用信息化和計算機稽核等技術,使稽核抽樣更加全面和針對性,使得出的風險評估結論更加準確。
4.稽核證據內涵擴大。稽核人員形成稽核結論所依據的證據不僅包括實施控制測試和實質性測試獲取的證據,還包括了解企業及其環境獲取的證據。風險導向稽核要求稽核人員擴大取證范圍,不僅從被稽核單位管理層獲取稽核證據,還要從一般員工或客戶、上級管理部門、監管部門等處獲取稽核證據,這是獲取管理層舞弊線索的有效途徑。此外,由于作為稽核立足點的風險評估注重宏觀因素對重大錯報風險影響的分析,因此稽核人員也必須從外部獲取大量證據來證明風險評估結果的恰當性。
二、風險導向稽核在商業銀行稽核工作中應用的必然性和可行性
(一)風險導向稽核在商業銀行稽核工作中應用的必然性。
1.適應銀行內在發展要求的需要。隨著金融全球化趨勢的加深,金融風險也不斷加劇和分散,使商業銀行的風險管控難度越來越大。傳統的稽核理論和方法已不能適應現代銀行的發展需求。因此,商業銀行必須應用風險導向稽核,通過稽核評估、結果和建議等幫助改進管理控制系統,直接影響銀行的經營決策,確保商業銀行風險管理目標與業務發展目標保持一致,從而在源頭上加強風險管理,實現稽核為銀行增值的目標。
2.改變銀行稽核現狀的迫切要求。雖然銀監會在2006年出臺的《銀行業金融機構內部審計指引》中,就明確了銀行的內部審計方式要轉為“以風險為導向”。但目前我國商業銀行的稽核模式仍停留在以合規性稽核為重點的制度導向稽核上,而未完全轉為風險導向稽核,總體上呈現重事后監督而非事前控制、重事后復核而非風險稽核、重部門稽核而非過程稽核、重高風險業務稽核而非全面評價的特點,稽核效果不夠明顯。近年來發生的齊魯銀行存單騙貸案、建行北京分行謝根榮騙貸案、“高山案”等銀行重案都反映了傳統銀行稽核方法的尷尬。這些案件說明當一個單位發生多個控制環節的責任人聯手作案的情況時,內部控制就會失效;所謂的低風險業務也往往會導致重大風險。因此銀行稽核應該以風險為導向,其工作重點必須從傳統的“查錯防弊”轉向“分析評價”,重視對管理層和全流程的稽核。
(二)風險導向稽核在商業銀行應用的可行性。
1.商業銀行已建立比較完善的計算機信息技術平臺。如何建立稽核對象的信息數據庫是實施風險導向稽核的難點之一。商業銀行目前已基本形成了包括業務處理系統、渠道處理系統、管理信息系統和其他系統在內的比較完善的計算機體系,實現了金融數據的集成管理與應用,這為稽核的數據采集奠定了良好的基礎,使稽核人員能夠充分了解被稽核單位的資產質量、負債狀況、客戶信息、結算信息、內部控制措施等。
2.商業銀行已初步實施全面風險管理。按照監管要求,國有上市商業銀行需要建立起COSO框架下的全面風險管理體系(ERM)。全面風險管理(ERM)明確了風險管理的完整循環流程,即從目標設定到事項識別、風險應對、控制活動,最后是對整個過程的監督控制和檢討糾正;同時強調了全程的風險管理過程、全員的風險管理文化和全員參與的風險管理機制。目前商業銀行已基本建立了全面風險管理框架下的內控三道防線,即一道防線強調過程實時控制和自我評估程序,二道防線強調各職能管理部門對一線部門(過程)進行設計、管理、指導、檢查和監督,三道防線強調稽核部門對業務操作職能及業務管理職能進行再監督和評價,發現問題并督促其及時采取相應措施。商業銀行的風險管理經驗已比較成熟,為風險導向稽核的應用創造了條件。
三、風險導向稽核在商業銀行稽核工作中的實際應用談討
(一)充分開展風險評估,突出稽核重點和范圍。
全面風險分析評估是實施風險導向稽核的核心環節和立項的基礎,應采取“自上而下”和“自下而上”相結合的思路。只有做好風險評估工作,才能抓住稽核重點,制定有針對性的稽核措施。
1.進行集中于外部因素的環境與戰略風險評估。要通過評價分析被稽核單位外部環境包括政治、法律環境,國內外經濟金融形勢,貨幣政策目標、社會信用體系的構建及金融監管的有效性,所在地區的經濟發展狀況、資金需求總體狀況,信用發展程度和金融機構競爭狀況等情況,來識別來源于被稽核單位外部的威脅或風險,了解其所采取的應對策略。結合外部環境評估,了解被稽核單位基本情況和戰略定位,重點關注其經營目標與理念、風險管理戰略等,進行全面的戰略風險評估。
2.進行集中于內部因素的內控與流程風險評估。不僅要評估被稽核單位的會計控制、程序控制、風險控制等內部控制制度的健全性和有效性,還要評估其組織機構、經營方式、資產管理、整個業務流程的風險管理水平和效果。識別重要風險點及風險領域,要關注董事、監事、經理及其他高級管理人員的職業操守、員工專業勝任能力與風險偏好等人力資源因素;關注財務狀況、經營成果、現金流量等財務因素;更要重點關注資產、負債、財務、中間業務等業務經營領域,對信息系統和金融創新情況進行實時監控。
3.進行將經營風險與稽核目標結合起來的剩余風險分析。剩余風險是那些未能為被稽核單位所控制的環境與戰略風險及內控與流程風險。針對被稽核單位的各分支機構、各業務流程、各金融產品,列出主要風險因素,分析得出其固有風險。結合被稽核單位自身針對其固有風險所采取的化解和防范措施進行分析,評估其控制風險的能力和主觀態度;用固有風險減去控制能力,計算出剩余風險的凈風險值。
4.進行以風險等級為主要內容的風險評估打分。針對稽核項目,將錯報風險劃分為低風險、適中風險、敏感風險和高風險等幾個層次,分別確定A級0.8-1、B級0.7、C級0.4-0.6和D級0-0.3的風險可能系數進行打分。對每個項目或產品等從涉及金額、監管部門和管理層關注程度、核心業務熱點領域及變現能力等四項內容進行風險度打分評價,每項內容滿分10分,可根據項目實際情況打分。評估方法可使用定量與定性分析相結合、模糊綜合評價法等,通過對評估指標的定量分析和對各種風險的分類評價,進行綜合評估,客觀判斷風險狀況。
(二)針對性實施現場稽核,深入挖掘風險源頭和成因。
根據風險評估結果,確定稽核重點和范圍,制定稽核計劃和程序、措施,并開展現場稽核各項工作,完成稽核證據收集工作。 1.實施控制測試。通過控制測試可以檢驗相關規定是否被一貫執行,控制措施是否恰當,能否達到控制目的。具體可以對業務量大、風險相對較高的重要業務或典型業務所進行業務測試,按照規定的業務處理程序進行檢查,確認有關控制點是否符合規定并得到認真執行,以判斷內部控制的遵循情況,主要是判斷某一流程是否得到控制;也可以對某項控制的特定環節,選擇不同的時期的同類業務進行功能測試,確認該環節的控制措施是否一貫或持續發揮作用,主要是判斷某一環節是否持續得到控制。
2.實施實質性測試。要針對風險源,按照風險大小、緊急性等因素排出次序,抓大放小,關注重點,實施現場稽核。要按業務需要配置稽核人員并按特長合理分工,要將稽核資源向重點風險領域傾斜。充分運用細分風險層次的抽樣法,對高風險區域進行詳細稽核,對敏感風險區域抽樣50%,適中風險區域抽樣25%,低風險區域抽樣10%,以實現“全面稽核、突出重點”,提高稽核效率與效果。
3.時刻注意查找風險源頭和成因。風險導向稽核的職責不僅是檢查問題、揭示風險,更重要的是把問題的成因找準,把解決問題的方法找到,既要治標,更能治本。因此在現場稽核過程中,稽核人員不能忽視任何風險線索,要深入挖掘潛在風險,透過現象看問題本質,尋找現象背后的東西;發現問題之后要通過與相關人員溝通、查找其他資料證據等方式,從制度層面、流程控制和機制建設等方面,深刻剖析問題的成因,從而為提出有效的管理建議奠定基礎。如發現某分行一家支行存在月末滾動發放存單質押自助貸款時,稽核人員就應該對該分行的其他幾個是否存在類似情況進行延伸檢查;并了解導致問題發生的原因,如管理層的業務發展思路、考核導向、系統控制、人員素質等。
4.突出風險內容,出具稽核報告。現場稽核工作完成后,稽核人員要以經過核實的稽核證據為依據,形成稽核結論和建議,出具稽核報告,對業務風險予以充分揭示。如有必要,可以在稽核過程中提交期中報告,以便及時采取有效的糾正措施以改善經營活動和內部控制。稽核報告應當客觀、完整、清晰、及時,并具有建設性,其針對稽核對象經營活動和內部控制的缺陷提出的建議應當充分考慮可行性及稽核項目的重要性和風險水平;一般合規性、沒有實質風險的問題可以不反映在稽核報告中。
(三)圍繞日常稽核工作,全面應用風險導向稽核。
商業銀行的稽核工作不僅僅包括現場稽核,還包括非現場稽核、崗位稽核和日常監督等工作,都應該推廣應用風險導向稽核。
1.在非現場稽核方面,要提高計算機稽核水平。要開發使用計算機稽核系統,注重計算機數據的采集與分析運用,根據業務風險點不斷建立完善風險模型,擴大業務領域覆蓋的廣度和深度,實現利用先進的稽核手段和平臺,通過非現場數據分析發現風險、提前預警的目的。
2.在崗位稽核方面,要重點揭示風險和經營管理中的不足。關注領導班子成員盡職履責意識不強及不按規矩辦事、出現違規經營苗頭現象;關注“表面清潔”和弄虛作假現象;關注長期發展較慢或過快、人員流動性較大、風險較為突出的區域、機構和崗位。
3.在日常監督方面,要緊盯風險源頭快速跟進。在日常稽核監督中,要注意收集分析被監督單位的各類信息,結合被監督單位經營特點、風險特征及領導關心的問題等進行重點監督;從機構、人員、客戶、業務等方面對信息進行系統性梳理,綜合內外部檢查發現問題,抓住潛在風險源頭對重點事項進行快速調研檢查,及時進行風險提示,提升稽核增值服務功能。
參考文獻
【1】余效明,商業銀行風險審計研究(M),中國時代經濟出版社,2007
篇10
關鍵詞:信息安全風險評估風險分析
一、前言
電力系統越來越依賴電力信息網絡來保障其安全、可靠、高效的運行,該數據信息網絡出現的任何信息安全方面的問題都可能波及電力系統的安全、穩定、經濟運行,因此電力信息網絡的安全保障工作刻不容緩[1,2]。風險評估具體的評估方法從早期簡單的純技術操作,逐漸過渡到目前普遍采用BS7799、OCTAVE、ISO13335、NIST SP800-30等相關標準的方法,充分體現以資產為出發點,以威脅為觸發,以技術、管理、運行等方面存在的脆弱性為誘因的信息安全風險評估綜合方法及操作模型[3]。
二、信息安全風險評估
在我國,風險評估工作已經完成了調查研究階段、標準草案編制階段和全國試點工作階段,國信辦制定的標準草案《信息安全風險評估指南》[4](簡稱《指南》)得到了較好地實踐。本文設計的工具是基于《指南》的,涉及內容包括:
(一)風險要素關系。圍繞著資產、威脅、脆弱性和安全措施這些基本要素展開,在對基本要素的評估過程中,需要充分考慮業務戰略、資產價值、安全需求、安全事件、殘余風險等與基本要素相關的各類屬性。
(二)風險分析原理。資產的屬性是資產價值;威脅的屬性可以是威脅主體、影響對象、出現頻率、動機等;脆弱性的屬性是資產弱點的嚴重程度。
(三)風險評估流程。包括風險評估準備、資產識別、威脅識別、脆弱性識別、已有安全措施確認、風險分析、風險消減[5]。
三、電力信息網風險評估輔助系統設計與實現
本文設計的信息安全風險評估輔助系統是基于《指南》的標準,設計階段參考了Nipc-RiskAssessTool-V2.0,Microsoft Security Risk Self-Assessment Tool等風險評估工具。系統采用C/S結構,是一個多專家共同評估的風險評估工具。分為知識庫管理端、信息庫管理端、系統評估端、評估管理端。其中前兩個工具用于更新知識庫和信息庫。后兩個工具是風險評估的主體。下面對系統各部分的功能模塊進行詳細介紹:
(一)評估管理端。評估管理端控制風險評估的進度,綜合管理系統評估端的評估結果。具體表現在:開啟評估任務;分配風險評估專家;對準備階段、資產識別階段、威脅識別階段、脆弱性識別階段、已有控制措施識別階段、風險分析階段、選擇控制措施階段這七個階段多個專家的評估進行確認,對多個專家的評估數據進行綜合,得到綜合評估結果。
(二)系統評估端。系統評估端由多個專家操作,同時開展評估。系統評估端要經歷如下階段:a.準備階段:評估系統中CIA的相對重要性;b.資產識別階段;c.威脅識別階段;d.脆弱性識別階段;e.已有控制措施識別階段;f.風險分析階段;g.控制措施選擇階段。在完成了風險評估的所有階段之后,和評估管理端一樣,可以瀏覽、導出、打印評估的結果—風險評估報表系列。
(三)信息庫管理端。信息庫管理端由資產管理,威脅管理,脆弱點管理,控制措施管理四部分組成。具體功能是:對資產大類、小類進行管理;對威脅列表進行管理;對脆弱點大類、列表進行管理;對控制措施列表進行管理。
(四)知識庫管理端。知識庫的管理分為系統CIA問卷管理,脆弱點問卷管理,威脅問卷管理,資產屬性問卷管理,控制措施問卷管理,控制措施損益問卷管理六部分。
四、總結
信息安全風險評估是一個新興的領域,本文在介紹了信息安全風險評估研究意義的基礎之上,詳細闡述了信息安全風險評估輔助工具的結構設計和系統主要部分的功能描述。測試結果表明系統能對已有的控制措施進行識別,分析出已有控制措施的實施效果,為風險處理計劃提供依據。
參考文獻:
[1]Huisheng Gao,Yiqun Sun,Research on Indices System of Security Risk Evaluation for Electric Power.Optical Fiber Communication Network,IEEE,2007.
[2]Masami Hasegawa,Toshiki Ogawa,Security Measures for the Manufacture and Control System,SICE Annual Conference 2007.
[3]左曉棟等.對信息安全風險評估中幾個重要問題的認識[J].計算機安全,2004,7:64-66
