内部审计部门及内部审计人员必须认真思索管理性的这种需求,调整审计内容、探索新的方法,以尽量满足管理层的需求,否则内部审计机构就难以存在,更不可能得到发展和地位的提高。社会审计组织要在激烈的市场竞争中保持自己的一席之地和维持一定的经济收入,更要满足于社会大众的需求,否则就更容易被淘汰出局。同时,社会中介审计组织要想维持期望的边际收益,在竞争愈演愈烈的环境中,增加审计费用是不可能的事,唯一的出路是降低审计成本。降低成本又要保证审计质量,那只能提高审计效率。因此,寻求适当的审计方法就成为关键所在。审计人员必须在保持各项具体审计活动必要效果的同时,努力追求最高的审计效率。风险基础审计能够将有限的审计资源集中在高风险领域,这样,既能保证审计效果,又不至于增加审计费用。
三、风险基础审计的特征
风险基础审计不是凭空而来的,它是为了适应特定的环境,以其前一种审计方法(即制度基础审计)为基础,发展变化而来。制度基础审计是风险基础审计的基础。而风险基础审计是制度基础审计的深化。
(一)风险基础审计与风险基础审计的差异
1.审计基础不同
制度基础审计以内部控制制度为基础,仅根据对被审单位内部控制制度适当性及符合性评审的结果确定实质性测试的范围、重点和方法;而风险基础审计则以风险评估为基础,根据对影响被审计单位经济活动的内外多种风险因素的评估,确定审计范围、重点和方法。
2.运用方法不同
制度基础审计与风险基础审计都运用抽样审计技术,但风险基础审计对风险加以量化,相对于制度基础审计来说,风险基础审计中的抽样技术是更为完全意义上的审计抽样。另外,风险基础审计更着重运用分析性测试方法。
3.对内部控制制度的运用不同
制度基础审计与风险基础审计均涉及对内部控制制度的运用。所不同的是,制度基础审计以内部控制为核心,依靠对内部控制制度的评审结果决定实质性审查;风险基础审计则仅通过内部控制制度的调查了解,评估控制风险,而这只是影响审计风险水平的因素之一,它还要结合其他风险因素综合考虑,才能确定实质性审查的范围和重点。
4.测试的重点不同
制度基础审计的测试重点是内部控制制度,但它仅对内部控制制度进行测试;风险基础审计除对内部控制制度进行测试外,对影响风险水平的内外因素均要进行测试,测试范围更为广泛、全面。
(二)风险基础审计主要特征
风险基础审计同制度基础审计相比较,更系统地研究了审计授权、委托人内外环境,更切实地保证了审计质量。另外,它以被审单位的经营活动为出发点,综合运用内部控制制度评审、分析性测试等高效率审计方法,兼顾了审计质量与审计效率。
(1)风险基础审计从确认被审计单位管理目标入手,分析内外风险因素,评估风险影响程度及发生的或然率,在高风险区域展开深入检查,最后提出管理风险的措施,能够有效地协助被审计单位进行风险管理,不仅使审计走出了与管理者不相协调的困境,而且使审计更加符合增加管理价值的需要。
(2)风险基础审计不仅要求审计人员关注被审计单位影响目标实现的内部管理和内部控制因素,而且要分析与预测影响目标实现的外部环境及其他方面的风险因素,这就使审计人员不仅要具有风险意识,而且要全面地思考来自被审单位内、外的现实因素与潜在因素,否则就难以提出有针对性的管理风险措施。
(3)风险基础审计以评价风险作为突破口,有利于寻找高风险区域及项目,从而有利于集中力量,把有限的审计资源投放到高风险项目,以最大限度地降低审计人员的检查风险,更好地揭示出重大差错和舞弊,同时,也有利于节约审计人力和时间,节约审计费用。
(4)风险基础审计在保证审计质量要求的前提下,统筹符合测试、实质性测试、分析性检查方法的运用,尽可能地灵活运用各种审计手段,以提高审计工作效率。
(第三节)风险基础审计程序与方法
审计的一般程序可分为准备阶段、实施阶段和报告阶段。但不同的审计方法模式,其具体程序内容和强调的侧重点都有所不同。如账目基础审计强调实质性检查程序,制度基础审计强调内部控制测试程序,而风险基础审计则强调风险评估程序。风险基础审计程序主要包括风险评估程序、总体应对措施、进一步审计程序和评价审计证据等四个步骤,具体包括风险识别、风险分析、应对决策、内部控制测试、实质性检查、证据评价和风险管理建议。一般认为前三项属于准备计划阶段,中间两项属于实施检查阶段,而后两项属于终结报告阶段。
一、风险识别
风险评估是识别与分析达成目标的风险,用以构成决定该如何进一步审计的基础。风险识别是指对有可能破坏达成目标的事物的识别。识别风险包括对目标的确认和识别影响目标实现的内部和外部风险。
无论是管理工作中的风险评估,还是审计程序中的风险评估,首先都应该进行目标确认。管理评估中目标确认应视评估目的而定,而审计评估中目标确认应视审计目的而定。假如社会中介审计机构对财务报表审计主要目的是查明有无重大错报问题,那么对“重大错报”就要进行定位,分析“重大错报”定位的明确性和恰当性,否则就无法对影响重大错报风险进行识别和分析。假如内部审计人员对某个领导进行经济责任审计,首先就应该对该领导应负的经济责任进行确认,即确认应负的经济责任是否恰当、是否明确、是否以书面表达等。只有确认了这些审计目标准确无误,才能进行对影响目标实现的各种因素识别。如果目标本身就有问题,那么对影响目标实现的因素进行识别和分析就毫无意义了。
在目标确认的基础上进行风险识别,即识别实现目标的过程中可能会遭遇的风险。要进行风险识别,一是要意识到风险的存在;二是要识别风险的特征和类别,也即是在认清风险不利结果发生的原因和条件的基础上,进一步区分类别。风险识别,实质上是对风险进行定性研究,主要采用调查方法,了解被审计单位及其环境。
(1)审计人员应询问被审计单位管理当局和财务、生产、销售及内部审计等其他人员,以获取对识别风险有用的信息。
(2)审计人员应实施分析程序有助于识别异常的交易或事项,以及对会计报表和审计产生影响的金额、比例和趋势。在实施分析程序时,审计人员应当预期可能存在的合理关系,并与实际情况相比较,如发现异常或未预期到的关系,审计人员应当考虑是否存在重大风险。
(3)审计人员应当实施下列观察和检查程序,获取被审计单位及其环境的信息,即印证对管理当局和内部其他相关人员询问的结果:(1)观察被审计单位的生产经营活动;(2)检查文件、记录和内部控制手册;(3)阅读由管理当局和治理当局编制的报告;(4)实地察看被审计单位的生产经营场所和设备;(5)追踪交易通过与财务报告相关的信息系统的过程(穿行测试)。
(4)审计人员应当从被审计单位外部获取有助于识别风险的信息。
(5)审计人员应当考虑利用以前所获取的信息,但要考虑到被审计单位及其环境的变化。
在上述调查的基础上,审计人员就应该认真分析影响被审计目标实现可能面临来自哪些方面的风险。
为了更好识别风险,应针对每一项目标注意下列问题:
(1)哪些方面最容易出错?
(2)最大的漏洞可能在哪里?
(3)可能会失败的方式是什么?
(4)有哪些资产没有得到应有的保护?
(5)可能遭窃的方式是什么?
(6)营运可能遭他人中断的方式是什么?
(7)最依赖的资讯和最可能中断的资讯是什么?
(8)最大的开销是什么?
(9)最不稳定的收入是什么?
(10)最需要高度判断的决策是什么?
(11)性质最复杂的活动有哪些?
(12)有哪些活动受到法律规范?
(13)最大的合法性暴险是什么?
最为重要的是全面识别风险,既要考虑内部风险因素,又可考虑外部风险因素;既要考虑高层管理决策风险因素,又要考虑中、基层执行风险因素。风险识别还应从因果两个方面去进行分析。如果不找出风险发生的原因,我们就无法判定风险发生的或然率(或频率)或找出进一步审计和预防方法;如果不知道其结果,我们就无法判定风险的重大性,我们就无法决定查明进一步检查的顺序和检查的控制风险。
二、风险分析
风险分析是风险评估的重要阶段。即在风险识别的基础上,通过对所收集的大量风险信息,运用数量化方法,估计和预测风险发生的可能性和损失的严重程度。也即是通过风险原因、风险性质和风险后果分析,以确定风险发生的或然率(L)和重大性(S)。为应对决策提供依据。
风险原因:引起暴险(风险造成的冲击,如收入受损、顾客不满意等)事件发生的人或事,这可能为某一类型的人,如员工或外人;也可能是事件,如火灾、水灾;或者可能是未采取适当的行动。
风险性质:风险或暴险的类型。最好的表达方式是实际发生的事情,如舞弊、盗窃资料损失等。西欧一些企业把风险划分为八种类型,如财务咨询与准度、财务管理与结果、法令与规章遵行、授信品质、内部舞弊与越权、犯罪与外部舞弊、系统/营业、管理等。
经过上述分析确定每种风险发生的可能性及发生造成的后果影响,有助于对进一步审计程序的性质、时间和范围的确定。
注册会计师在识别和评估重大错报风险时,应当注意:
(1)在了解被审计单位及其环境的整个过程中识别风险,并考虑各类交易、账户余额、列报与披露;(2)将识别的风险与认定层次可能发生错报领域相联系;(3)考虑识别的风险是否重大,足以导致会计报表发生重大错报;(4)考虑识别的风险导致会计报表发生重大错报的可能性。
注册会计师应当确定识别的重大错报风险是与特定的某类交易、账户余额、列报与披露的认定相关,还是与会计报表整体广泛相关,进而影响各项认定。
注册会计师应确认重大错报风险是否源于薄弱的控制环境,并进一步认定控制对防止或发现并纠正认定错报的相关性。
如果注册会计师通过对内部控制的了解,发现管理当局缺乏诚信,被审计单位会计记录的状况和可靠性存在重大问题,不可能获取充分、适当的审计证据,就应当考虑发表保留意见或无法表示意见,或解除业务约定。
在分析风险时,审计人员还应该运用职业判断,确定识别的风险哪些是需要特别考虑的重大风险(特别风险)。从理论上说,经评等为双高(或然率高、重大性高)的风险当然是特别风险,但还要考虑风险的性质。如注册会计师在确定风险的性质时,应考虑下列问题:
(1)风险是否是舞弊问题;(2)风险是否与近期经济环境、会计核算和其他方法的重大变化有关;(3)交易的复杂程度;(4)风险是否涉及重大的关联方交易;(5)财务信息计量的主观程度,特别是对不确定事项的计量存在宽广的区间;(6)风险是否涉及异常或超出正常业务范围的重大交易。
对风险评估后,应按照或然率和重大性从大到小进行排列,以便于进行应对决策。如果是风险管理,这种应对决策是指决定如何进行风险管理;如果是审计工作,这种应对决策是指决定如何进行下一步的审计,也即是如何去进行证据的收集。但无论是什么样的情况,应就风险分析中发现的一些主要问题,与管理当局进行沟通。风险评估过程及其结果也应收入审计工作底稿。
三、应对决策
审计人员在进行风险评估后,应根据风险排列的结果,确定总体应对措施,以及考虑进一步审计程序的性质、时间和范围,即为应对决策。
(一)总体应对措施
总体应对措施,是指根据风险评估结果确定进一步审计的基本思路。如:
(1)双高(或然率高、重大性高)的风险重点审计;(2)双低(或然率低、重大性低)的风险一般不予审计或作少量抽查;(3)介于高或低之间的风险,具体问题,具体对待;(4)风险发生的可能性高,但风险发生后重大性低,可作少量抽查或不予检查;(5)风险发生的可能性低,但风险发生后重大性高,应引起足够的注意,重点抽查。
此外,审计人员在收集和评价证据过程中始终要保持职业谨慎态度;应根据被检查事项选择有经验、有特殊技能的审计人员;根据需要利用专家的工作;提供更多的现场督导;排除被审计单位或管理当局的干预;要全面考虑进一步审计的程序等。
(二)决定进一步审计程序
当进一步审计基本思路明确后,审计人员应根据风险发生的可能性与重要性、被审计事项特征、被审计单位的控制性质及有效性,考虑进一步审计程序的性质、时间和范围。
1.进一步审计的性质
进一步审计程序的性质是指审计程序的目的和类型。进一步审计程序的目的是进行控制测试或实质性的检查;进一步审计程序的类型包括检查、观察、询问、函证、重新计算、重新执行或分析程序等。
审计人员应当根据评估的风险选择审计程序。评选的风险越高,通过实质性程序获取的审计证据的相关性和可靠性的要求越高。审计人员在执行审计程序时如果要利用被审计单位信息系统生成的信息,必须证实这些信息的准确性和完整性。
2.进一步审计的时间
进一步审计程序的时间是指何时实施审计程序,或审计证据适用的期间或地点。
在确定何时实施审计程序时,审计人员应当考虑控制环境、何时能得到相关信息、风险的性质与重大性、与审计证据相关的期间或时点等。
如对会计报表审计,审计人员可在期中或期末实施控制测试或实质性检查。
如错报风险较高时,审计人员应当考虑在期末或接近期末实施实质性程序,或采用不通知的方式,或在管理当局不可预见的时间实施审计程序。如果在期末实施控制测试或实质性检查,审计人员应针对剩余时间获取额外的审计证据。
3.进一步审计的范围
进一步审计程序的范围是指实施某项审计程序的数量,如抽取的样本量或对某项控制活动的观察效率。
