本站原创【摘 要】现代风险导向审计作为重要的审计理念和方法,在理论和实务方面都具有积极的作用,本文在回顾现代风险导向审计产生与发展历程的基础上,对内部审计引入现代风险导向审计模式的必然性和具体的方法进行了一定的探讨.
【关 键 词】现代风险导向审计;内部审计;引入;运用
内部审计是指组织内部的一种独立客观的监督和评价活动,它通过审查和评价组织运营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现.内部审计是一种独立的审计类型,它不仅具有审计的一般属性,还具有与其他审计类型不同的特性.内部审计的主体是相对独立的审计人员,客体是受托人受托责任的履行情况也即审计对象.非财务审计构成内部审计工作的主要内容,内部审计更多地是以经济与管理原则、经济技术指标作为审计和评价的依据.内部审计的目标是评价内部受托经济责任的履行情况并确保内部受托经济责任得到全面而且有效地履行[1].当今社会,风险无处不在,风险己经渗透到社会的方方面面,风险的类型也越来越复杂和多样.内部审计在实施具体的审计项目时同样将不可避免地面对这些风险要素,审计人员如何评价风险,如何考虑风险对内部审计活动的影响,并将评价结果与具体的内部审计测试有机结合成为现代内部审计需要关注的问题,而这也是风险导向审计可以帮助内部审计人员解决的问题.
一、风险导向审计产生的过程与背景
从审计发展的历史看,审计模式的发展经历了以下三个阶段:
1.账项导向审计模式
审计人员主要根据对账项、交易的具体检查取得审计证据,形成审计意见.这是在审计发展的早期(19世纪前后)主要采用的详细审计的方法.
2.内控导向(制度基础)审计模式
20世纪40年代后,会计和审计步入了快速发展时期.由于企业规模日益扩大,经济活动和交易事项内容不断丰富、复杂,注册会计师花费的审计工作量迅速增大,需要的审计技术也日益复杂,使得详细审计难以实施.为了适应审计环境的变化和审计工作的需要,职业界逐渐改变了详细审计,代之以抽样审计.为了进一步提高审计效率,改变抽样审计的随意性,注册会计师将审计的视角转向企业的管理制度,特别是会计信息赖以生成的内部控制,从而将内部控制与抽样审计结合起来.这样,从20世纪50年代起,以内部控制测试为基础的抽样审计在西方国家得到广泛应用.从方法论的角度看,该种审计模式可以被称作制度导向审计.
3.风险导向审计模式
20世纪70年代以来,世界范围内政治经济和科学技术发生了巨大变化,社会各界对独立审计评价会计报表的责任提出了更高要求,审计期望差距不断扩大,审计成了一种高风险的职业.由于审计风险受到企业固有风险因素的影响,如管理人员的品行和能力、行业所处环境、业务性质、企业目标、战略以及相关经营风险等,又受到内部控制风险因素的影响,如账户余额或各类交易存在错报,内部控制未能防止、发现或纠止的风险,还会受到注册会计师实施实质性程序未能发现账户余额或各类交易存在错报风险的影响,因此,注册会计师仅以内部控制测试为基础实施抽样审计就很难将审计风险降至可接受的水平,抽取样本量的大小也很难说服政府监管部门和社会公众.为了从理论和实践上解决制度基础审计存在的缺陷,注册会计师职业界很快开发出了审计风险模型.从方法论的角度讲,注册会计师以审计风险模型为基础进行的审计可称为风险导向审计模式.传统风险导向审计模式主要是通过对会计报表固有风险和控制风险的定量评估,从而确定实质性测试的性质、时间和范围.传统风险导向审计实质上是内控导向审计模式的发展,它还不是一种新的审计模式.虽然它使审计效率与效果有了实质性的提高,但它在理论与实务两方而都存在固有的缺陷,正是由于传统风险导向审计模式的种种缺陷,使得自20世纪70年始的管理欺诈行为到20世纪80年代和90年代,不仅没有得到有效的控制,反而愈演愈烈.因此国际上一些大型会计师事务所纷纷着手研究新的审计模式,他们在对传统风险导向审计模式改进的过程中,创造出了一种新的审计模式.这种审计模式以“审计风险等于重大错报风险*检查风险”的模型为基础,以被审计单位的经营风险为导向的审计方法称作现代风险导向审计模式[2].
综上所述,审计目标与经济环境的变化是风险导向审计产生的根本原因,而规避审计风险则是风险导向审计产生的直接原因.审计最初的目的是查错防弊,由于当时的被审单位经营规模小、业务简单,使详细审查被审单位的各项凭证、账簿等会计资料成为可能,从而出现了详细审计模式.随着经济的发展,一方面公司的所有权和经营权进一步分离,投资者、经营者、债权人等利益相关者都需要经过审计的会计信息作为决策依据;另一方面公司规模的日益扩大也使详细审计变得不现实,从而出现了基于两大报表和公司账目,运用抽样技术的账项基础审计.但当时审计师主要根据经验来进行抽样,具有较大的随意性和盲目性,很容易发生审计失败.随后,审计师在实践中逐步发现,具有健全有效的内部控制,是被审单位会计信息真实可靠的有力保障,根据内部控制评审结果来确定抽样的重点和范围,能大大提高审计结果的准确性,提高审计效率,制度基础审计也就应运而生.然而,由于制度基础审计过于依赖内部控制制度,忽略了其他引发审计风险的因素.在审计师面对的审计风险和审计风险损失与日俱增的情况下,基于审计风险评价来制定具体审计策略与计划的风险导向审计开始受到重视并在实践中被运用.审计风险伴随着审计而产生,包括固有风险、控制风险和检查风险.但是在制度基础审计模式下,审计师主要关注内部控制系统即控制风险,强调内部控制与审计测试之间的关系,往往忽略了其他风险因素.因此,一旦公司内部的管理人员串通舞弊,实现“一条龙查重”,则可以绕过内部控制系统,导致审计失败.
风险导向审计通过以审计风险评估结果为根据,制定具体审计策略,确定审计程序的性质、时间和范围,决定审计证据的质量及数量,并运用分析性复核、内部控制测试、交易和余额的实质性测试等基本方法,将审计程序前推至对客户环境、作业流程和经营决策的分析,不断缩小社会公众对审计作用的期望差距,力求达到规避审计风险的目的.
二、内部审计也要“风险导向”
无论是从适应社会经济环境的需要、适应组织内部审计目标多样化(内部受托经济责任多样化)的要求出发,还是从内部审计未来发展方向(重点关注管理者的风险评估)的角度考虑,内部审计要在改革的浪潮中继续生存和发展,就必须以风险为起点,主动识别和评估审计风险,有效分配审计资源,帮助组织实现其运营目标,不断有效增加组织的附加价值.
1.风险导向审计理念的运用
风险导向审计的核心理念就是重视风险,以风险为基础,以风险为起点,传统风险导向审计注重对组织控制风险的评估,而现代风险导向审计更关注对组织经营风险的评估,内部审计首先要引入的就是这种核心理念的引入,也是最重要的引入.
现代风险导向审计理念要求我们以战略观和系统观思想指导风险评估和整个审计流程,它要求审计人员更深入、广泛、系统地了解组织的内外部环境、战略目标,对组织的关键运营环节进行深入分析,对重大风险领域进行识别和评估,科学调配审计资源,通过综合评价运营风险以确定实质性测试的范围、时间和方法,提高审计效率和效果.与传统审计模式相比,现代风险导向审计将风险评估的范围从微观拓展到了组织的宏观背景下,审计的重心也发生了前移,审计理念有了质的飞跃.
2.风险导向审计方法的运用:风险评估、分析性复核、控制测试、实质性测试
(1)风险评估
风险导向审计最具有代表性的技术方法就是风险评估,同时,风险评估也是风险导向审计区分于其他审计方法的最主要的标志.风险评估可以采用多种方法.首先,可以通过审计风险模型对审计风险加以评估.审计模型中通常涉及到多种审计风险及其对应关系,可以作为风险评估的重要参考.其次,可以采用风险因素分析法,在具体分析的过程中,可以按照“对风险源进行调查――研究风险转化的条件――评估风险一旦发生产生的后果――综合评价风险”这样一个思路来进行分析.再次,还可以采用一些定量分析的方法对于风险进行评估.在对风险评估的过程中,需要特别注意对被审计单位运营风险的评估.审计人员应把运营风险与被审计单位的组织战略结合起来考虑,从而更加准确地把握被审计单位经济业务的实质[3].
(2)分析性复核
分析性复核也是风险导向审计所采用的重要技术方法之一.分析性复核的核心是研究不同财务数据之间以及财务数据与非财务数据之间的内在关系,通过研究对财务信息作出相对客观的评价.分析性复核可以采用多种分析工具,财务分析、绩效分析以及运营策略分析都已经被证明是十分有效的分析工具.以财务分析为例,常用的方法包括比率分析法、比较分析法以及趋势分析法等.分析性复核可应用于风险导向审计的全过程,有助于审计人员迅速准确地评价审计过程中所收集到的各种信息.在分析性复核的过程中,有一些问题需要引起审计人员的关注.首先,对于分析性复核的结果要客观的分析,结果的可靠程度往往与被审计单位的各类风险有关.其次,分析性复核应与其他实质性测试程序结合起来使用,如果能够相互印证,得到的结果就更有说服力.第三,分析性复核最好不要单一地采用某一种分析工具,最好能将多种分析工具结合起来使用,同时应注意将定量分析与定性分析相结合.
(3)控制测试
控制测试指的是测试控制运行的有效性.其目的在于通过对内部控制各要素进行测试,考虑实施进一步的内部审计测试的范围、时间和方法以获取恰当的证据.控制测试的目的在于审计人员验证要测试的控制是否在审计期间有效运行,并对控制风险进行评估.控制测试可以通过询问、观察、检查、重新执行、穿行测试等程序来实施.
(4)实质性测试
风险导向审计重视风险评估,强调分析性复核的应用,但不意味着在审计的过程中不进行实质性测试.风险导向审计仍然把实质性测试作为审计的一个重要环节,同时也是一种重要的技术方法.实质性测试需要正确运用各种审计方法,取得具有充分证明力的审计证据,并认真编制审计工作底稿.
三、内部审计推行现代导向审计模式的“配套设施建设”
1.重构组织内审人员知识能力框架,提高职业判断水平:合格的内审人员必须是拥有扎实的会计、审计等专业基础知识以及丰富的行业与管理知识并具有较高的风险识别和分析能力的高素质复合性人才.
2.优化组织内审人员队伍,科学配备审计组成员:一个科学的审计组应由会计、审计以及法律、工程技术、计算机等各方面专业人才构成.
3.建立健全内部控制机制――风险导向审计的基础:组织内部控制的好坏,与审计人员审计风险的高低直接相关;组织应从内部控制的设计、运行、评价与改进四个环节建立与完善组织内部控制机制,强调管理层的控制责任,关注对组织风险的评估,重视日常控制活动,建立健全组织内部控制机制.
4.推行计算机审计,加强审计信息化建设:现代风险导向审计方法中分析性程序占据非常重要的地位,计算机审计的使用在其中发挥着重要的作用,它可以直接对数据库进行加工分析,依据审计软件模型自行处理数据,使运用分析性测试程序成为节约成本的重要手段.另外,采用审计软件使统计抽样的样本更具代表性,审计抽样风险可控,为风险导向审计提供了技术支持.