风险导向审计在内部控制中的应用

  风险导向审计是审计的一种方式,以风险作为切入点,通过对风险与控制的评价展开审计。现代风险导向审计模式作为一种重的审计理念和方法,弥补了传统风险导向审计方法的缺陷,在理论和实务方面都具有积极的作用。 
  关键词风险导向审计;内部控制;应用 
  中图分类号F239.1 
  文献标识码A 
  收录日期213年2月17日 
  一、风险导向型审计的概念及特点 
  (一)风险导向型审计的概念。随着经济的发展,旧的审计模式日益受到冲击。加上人们对审计风险的重视以及审计风险的可控特性,以审计风险为导向的审计模式逐渐形成。 
  风险导向型审计的概念是针对会计师事务所的生存和发展出的,作为市场经济里的一分子,事务所不仅仅是经济活动的监督者,也是在保护客户信息的前下以利益最大为目的的经济个体。在当今世界,风险无时无刻不存在。在压力和利益驱使的影响下,不可避免地会诱使管理层舞弊。在这种情形下,审计人员进行审计工作会承担判断错误的风险。这些在执业过程中的风险和不确定性迫使审计人员必须从高于内控制度的角度进行综合考虑,对审计对象的内外环境较为充分的了解,在此前下科学运用审计技术进行审计工作。 
  (二)风险导向型审计模式的特点。在全球竞争的条件下,现代企业管理思想已从过程管理转向战略管理,不但关注外部环境,而且认为企业自身的资源和能力是竞争优势更为重的部分。风险导向审计是战略管理理论和系统理论在审计实践中的运用,以揭示企业客观面临的经营风险为主目标,分析内外部经营环境风险因素为核心,是一种全新的审计理念和审计方法,代表了现代审计方法发展的最新趋势。 
  1、以经济业务为基础,将审计视野扩展到企业内外部环境。风险导向内部审计将审计对象置于一个大的经济环境中,从企业所处的行业状况、监管环境、战略规划、经营目标和业务流程等内外部各个方面因素来分析评估风险,运用立体观察法来分析判断影响企业经营风险的各种因素。该审计模式合理地扬弃了传统审计模式的“无利害关系假设”,不只依赖于审计对象所设计和执行内部控制制度的检查与评价,而是对公司管理层是否诚信、是否有舞弊造假的驱动始终保持一种合理的职业判断。关注企业的发展战略目标,把审计的起点放在识别影响企业目标实现的风险上,审计重心由控制转向风险。 
  2、供了一种既保持审计效果又高审计工作效率的新工作模式。传统内部审计偏重于直接测试内部控制,出增加控制点或增加控制的建议,而随着时间的推移,控制点越来越多,业务过程越来越繁琐,审计模式也变得十分复杂。风险导向内部审计改进了对内部控制的监控方式,抓住重点,恰当有效地分配内部审计资源,使得更多与风险管理相关的控制和活动得到关注,将审计手段与目标更好地结合在一起,高了审计的科学性、针对性和绩效性。因此,风险导向内部审计供了一种既能保持审计效果,又能高审计效率的有效途径。 
  3、风险导向审计更加注重其价值增值功能。传统的内部审计目标主是查错防弊,保护资产安全;风险导向内部审计的重点转向事先发掘问题,改善管理。风险导向内部审计以风险为基点,将事后评价转变为更为及时主动的动态反应,审计目标从过去被动地查错纠弊,变为主动地帮助企业增加价值,更加注重与企业目标的契合。 
  4、与传统审计模式相比内控偏重于风险控制的有效性。传统审计模式的审计思路为以内控框架或标准为参照物,检查内部控制构成素是否存在,评价内部控制的健全性;然后测试内部控制的运行的遵循性,判断是否存在实质性漏洞;最后综合以上审计结果,对内部控制的有效性做出评价,评估内控目标实现的风险。该思路的特点是从控制到风险,比较适合评价内部控制的建立和遵循效果,而对评价内部控制的合理性和有效性的效果并不理想。而风险导向模式首先了解、确定组织的战略、经营、管理目标;再识别和评估影响实现这些目标的风险,查证和判断应对风险的内控、设计、执行是否存在、合理、有效;最后对控制缺陷进行分析,评价内部控制应对目标实现风险的有效性。该思路和方法体现了自上而下,风险基础的理念。 
  二、内部控制与风险管理的关系 
  1992年,COSO发布了《内部控制——整合框架》,出了内部控制结构概念并将其划分为控制环境、风险评估、控制活动、信息与沟通和监督五个素,成为内控领域最为权威的文献之一。该框架对内部控制的定义为内部控制是受到组织的董事会、管理层和其他人员影响的过程,用来为实现下列目标供合理保证——经营的效果和效率;财务报告的可靠性;相关法律和法规的遵循性。 
  24年,COSO对其内控框架进行了补充,发布了《企业风险管理——整合框架》,其关注的焦点开始转向了风险管理。该框架将企业风险管理定义为企业风险管理是一个过程,它由一个主体的董事会、管理当局和其他人员实施,应用于战略制定并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体目标的实现供合理保证。 
  风险管理拓展和细化了内控的内涵,更强调关注企业的风险。内部控制是风险管理过程的一部分,运行时和风险管理机制是一体的、相融合的;内控与风险管理最终目的是一致的,即为了更好地实现企业目标,升企业创造价值的能力。风险导向的内部审计,是围绕企业战略目标,以与企业目标直接关联的风险分析作为工作的起点,关注重的风险领域,审计过程遵循“目标一风险一控制”的一种审计方法。在内控评审中,以风险为核心,揭示风险管理存在的问题,评价风险控制的有效性,在内部控制与风险管理之间找到了平衡点。 
  三、风险导向型审计在内部控制中的应用 
  内部控制一般程序包括制订评价方案、组成评价工作组、实施现场测试、认定控制缺陷、汇总评价结果、编报评价报告等环节。在此着重论述启动评价程序前的信息获取以及评价程序中的前三个环节风险导向审计的应用。
  (一)实施内部控制评价前的信息获取。为获取准确的信息,求审计人员注重日常工作的积累,广开渠道、广泛搜集。如积极参加企业重会议、对数据的及时备份,这样获取的信息利用价值也较高。审计人员主动参与企业的经营管理活动,掌握大量的“第一手”信息,才能对企业的基本经营状况和主工作流程有相当的了解,以准确地评估经营风险,从而能够确定内部控制评价的工作重点。 
  (二)制订评价工作方案 
  1、识别经营风险。根据国家内部控制规范,结合企业实际情况,将经营业务分为规划、人力资源、投资、研发、销售、采购、生产等若干项,在此基础上,每项业务列出若干关键节点,辨识这些节点在经营过程中可能发生的风险。 
  2、评价企业经营风险水平。通过对企业经营风险进行量化的方式,评价风险水平的高低。风险值<4时认为处于较低风险水平;4≤风险值<7时认为处于适中的风险水平;风险值≥7时则认为处于较高的风险水平。相关风险分值的计算公式为    各业务的风险分值=∑(关键节点的基础分值×风险系数)    企业总体风险分值=(∑各业务风险分值)÷总分值×1    然后,根据企业的发展状况确定相关业务的重性程度,依据重程度对各业务进行分值的分配,也可对业务进行均匀分配;再将各业务分值分配到各关键节点,得到节点基础分值。将风险系数分为高、中、低三类,设置分值区间,根据节点中风险事件发生频率,即较高、适中、较低确定适用系数的具体分值。    3、确定工作方案。当企业总体风险水平为中度以及以下水平时,对企业的内部环境、风险评估、信息与沟通及内部监督四个素的评价,主利用审计部门日常信息的储备,辅之以适当的符合性测试程序即可。以风险评价为依据,确定各项业务控制活动测试的范围大小、获取审计证据数量的多少、进度安排的松紧等。对每一个风险系数为高的关键节点,单独安排审计程序,制定有针对性的测试方式,对其涉及的工作记录进行详细的检查。    (三)组成评价工作组。依据风险评价的结果考虑评价工作组的人员构成,对于风险较高而专业性较强的业务,应该吸收企业内部相关熟悉情况的业务骨干加入工作组,必时可考虑用企业外部专家参与评价。    (四)实施现场测试。工作组实施现场测试时,应根据工作方案综合运用个别访谈、调查问卷、穿行测试、实地查验比较分析等方法,充分收集企业内部控制设计和运行是否有效的证据,并按照评价的具体内容填写工作底稿,研究分析内部控制缺陷并编制评价报告。    四、风险导向审计的前景    采用风险导向审计的方法来开展内部审计,由于审计的开始阶段即掌握了应重点关注的风险信息,实施了针对性的检查,并在较短的时间内完成了审计任务,出了恰当的审计意见和建议,这样的工作成果受到各方的关注和好评。    主参考文献    1汪寿成,现代风险导向审计,大连出版社,29,11    2杨雄胜,夏俊等著,内部控制评价——理论、实务、案例,大连出版社    3冯均科,审计关系契约论M,北京中国财经经济出版社,24    4胡春元,风险导向审计,东北财经大学出版社,29,6   

Share