银行风险导向审计(精选8篇)
2012年04月10日 10:15 来源:《当代经济》 2011年第10期下 作者:毛显波 字号
打印 纠错 分享 推荐 浏览量
摘要:目前,风险导向审计已经成为审计理论界和实务界研究的新趋势,在银行内部审计中引入风险导向审计,对于改善银行内部控制具有重要意义。本文从风险导向审计的相关概念入手,阐述了在银行内部审计中运用风险导向审计理念的可行性与必要性,并进一步论述了风险导向审计在银行内部审计中的作用。
关键词:风险导向审计,银行内部审计,作用
风险导向审计作为一种全新的审计理念和方法,日益受到审计理论界和实务界的广泛关注,它为审计人员从系统和全局的角度评价企业经营的风险状况,为企业提供增值性审计服务提供了基础。它不仅是审计技术方法、审计程序的重大变革,更重要的是审计理念上质的飞跃。银行作为经营货币的高风险行业,与国计民生联系紧密,随着银行服务范围的日益拓展和金融产品的逐渐丰富,银行的内部审计日趋重要。银行业应树立风险导向内部审计理念,改进银行内部审计模式。借鉴和运用风险导向审计理念,对于银行内部审计活动具有重要的作用和意义。
一、风险导向审计的内涵及其特点
基于战略观和系统观的思想,风险导向审计的理念应运而生,并成为了当前国内外审计发展的新趋势。这种新的审计模式以被审计单位经营风险的分析评估为导向,强调审计风险。在对被审单位内部控制充分了解和评价的基础上,通过综合评价企业经营风险,对企业所处的外部环境、战略定位和关键经营环节进行分析,判断被审计单位的风险所在及高低程度,从而把审计资源分配到高风险审计领域之中。
在对审计对象风险排序的过程中,可以确定审计重点和审计计划,围绕重点高风险领域展开审计,便抓住了防范和化解风险的关键。风险导向审计将审计对象置于经济、法律、行业、内部制度、组织建设,甚至企业的经营哲学等内外部环境中,从各个方面研究环境对审计的影响,并将对审计风险的评价作为一切审计工作的起点并始终贯穿于整个审计过程。具有以战略论、系统论为理论基础、将审计重心前移并着重运用分析性程序等几大突出特点。
二、银行实施风险导向内部审计的可行性与必要性
1、可行性分析
首先,内部控制的实施为倡导风险导向审计奠定了基础。中国人民银行于2002年9月正式颁布《商业银行内部控制指引》,其用意是促进我国银行建立和健全内部控制,防范金融风险,保障银行体系安全稳健运行。对此,近年来,我国银行业积极开展风险管理宣传,对各岗位职责进一步明确,把强化内部控制作为防范内部控制风险,提高履职水平的保障性手段,风险管理逐步深入,初步形成了风险管理组织架构。无疑,内部控制的实施为银行内部审计部门顺利实施风险导向审计奠定了基础。
其次,银行业务的不断扩宽和多样性为风险导向审计的运用提供了有利条件。银行业务经营的高度信息化,以及数据的集中运行,为审计信息采集和风险评估提供了基础。银行业具有较为科学规范的风险管理和严格的内部控制制度,同时国际银行业通行的风险管理和风险评级方法,为风险导向审计开展风险评估,有效识别风险,找准审计的切入点提供了良好的参照和借鉴。
最后,良好的信息化技术平台扩大了风险导向审计的应用空间。随着信息化建设的发展,银行各项业务操作逐步借助计算机来实现,这为银行内部审计部门搜集审计资料、实施审计抽样等提供了便捷的信息平台。借助完善的信息化系统与程序能够为风险导向审计提供信息数据库,为银行内部审计人员开展风险导向审计提供技术支持。以信息手段评估银行风险,为实施风险导向审计提供了便利的环境,使得风险导向审计应用空间扩大。
2、必要性分析
首先,能够降低经营风险。银行作为国民经济发展的命脉,因其经营内容的特殊性和经营模式的高负债性,使得其面临着较大的经营风险。当前经济环境错综复杂,如何有效地进行风险管理成为了银行经营管理中首当其冲的任务。内部审计作为银行风险管理的重要组成部分,当前面临着内部审计资源供需矛盾凸显的情况,而风险导向内部审计理念的诞生,恰好可以解决审计资源供需不平衡的局面,从而提供内部审计质量,降低经营风险。
其次,能够防范操作风险。随着现代市场经济的发展,计算机信息化程度不断提高,银行从业人员操作不当的风险也面临着加剧的局面。风险导向审计以风险为基础,使得内部审计人员始终关注影响风险的因素,能够更加充分地了解银行业务操作的真实性和完整性,并且进行有效分析、风险评估,从而能够及时发现操作风险,并且给予有效的防范。
三、以风险为导向的银行内部审计
1、银行风险导向内部审计概念
银行风险导向内部审计是以银行全面风险管理为导向,从风险识别、计量、监测和控制四个主要阶段,审核银行风险管理的能力和效果,发现并报告潜在的重大风险,提出应对方案并监督风险控制措施的落实情况。
2、银行风险导向内部审计目标
银行风险导向内部审计的目标与其战略目标相一致:一是强化控制、提高效率、防范风险、发现和控制风险,提高风险管理水平,不断完善风险管理系统;二是督促银行各项风险管理目标和措施得到落实,确保银行战略目标的实现;三是通过对风险管理的审计,分析和评估战略目标中不符合风险与收益原则的部分,提出调整战略目标的建议。
3、银行风险导向内部审计方法
银行以风险为导向的内部审计方法是在对风险进行分析和评价的基础上,从控制风险的角度出发,针对银行经营中存在的主要风险提出对策性建议,并就如何降低风险提出改进措施,进而改善银行经营管理,实现银行发展目标。比起以内控为导向的内部审计方法,使用以风险为导向的审计方法对银行来讲更为科学合理。
四、风险导向审计在银行内部审计中的作用
1、揭示运营中的战略性和系统性风险
银行业务经营具有高负债、高风险等特点,面临着国家严格的金融监管和社会监督,这在客观上要求银行必须建立起严格的内部控制和有效的内部审计制度,以揭示运营中的重大风险隐患,保证银行业务经营的稳健发展。风险导向审计在传统账项审计和制度审计基础上发展而来,能够全面进行风险评估,选择重要风险领域,开展审计工作,从而能够揭示运营中的战略性和系统性风险,提高审计质量。
2、有效利用内部审计资源,提高审计的效率和效果
当前,银行业务量大、业务环节复杂、涉及领域广泛,而与之相对应的内部审计资源表现匮乏,在有限的审计资源的前提下,如何进行审计资源配置,提高审计的效率和效果,就成为审计部门的当务之急。审计资源配置是指审计资源在既定的条件下,运用有效的手段或者方式根据审计资源的需求将有限的资源进行分配,以保障审计资源有效供给,最终实现审计目标的一种活动。审计资源配置以效益性为核心,有两点要求:一是使有限的审计资源产出最大的收益;二是为取得预定的效益尽可能少地消耗审计资源。风险导向审计方法通过风险评估,能够合理确定重要性水平,主动控制审计风险,将资源用在高风险领域,能够避免审计资源的浪费,促进审计资源的有效分配和利用。
3、促进银行治理结构的重构和完善
现代银行业金融机构一般实行总分行制,每一层级经营管理架构根据职能隋况进行设置,在总行级,内设的经营管理机构、部门一般为股东大会、董事会、相关委员会、业务管理部门。各银行业金融机构内部管理体制、机制、职责分工因经营管理特点各异而不尽相同。实施风险导向审计立足于对组织经营目标实现风险状况的分析评价,深层次寻找风险管理策略和风险管理体制方面存在的缺陷与不足,并依赖内部审计的相对独立性,提出相应审计建议,能够促进银行对管理架构的反思与调整,使组织治理架构能够根据形势变化得以进一步的重构和完善。
4、对全面风险管理体系的有效补充
全面风险管理,是指对整个银行内各个业务层次,各种类型风险的通盘管理,这种管理要求将信用风险、市场风险、操作风险等以及包含这些风险的各种金融资产与资产组合、承担这些风险的各个业务单位纳入到统一的体系中,对各类风险依据统一的标准进行测量并加总,并依据全部业务的相关性对风险进行控制和管理。实施风险导向审计,从整体上把握审计风险因素,警惕潜在的重大风险,最大限度地减少审计风险。在审计计划、审计实施、审计报告阶段,将风险作为重要考虑因素,在整个审计过程贯穿对风险的关注,充分考虑风险管理的充分性和有效性,是对全面风险管理体系的有效补充。
5、推动银行高效发展,实现银行企业价值最大化
风险导向审计通过科学和精细化的方法、模型,及时检测并揭示金融风险,约束经营行为,促进经营模式的转变和经营行为的理性化,实现风险可控下的高效发展。有助于全面风险管理作用的最大化,并实现银行企业价值的最大化。实施风险导向审计,有助于银行资本、规模、效益持续动态平衡,确保风险计量与监控、资本分配、绩效衡量与考核的质量,并能够增强资产定价的合理性,使风险管理战略更加符合股东、管理层、员工和客户的最大利益,从而实现银行自身企业价值的最大化。
6、确保国家金融体系稳健发展
银行作为国家最主要的金融机构,因其广泛的职能,使得它对整个社会经济活动的影响十分显著,在整个金融体系乃至国民经济中位居特殊而重要的地位。“免疫系统论”理论认为审计是国家经济运行的“免疫系统”,在维护国家安全和人民根本利益方面具有十分重要的作用。“免疫系统论”理论作为科学的理论,对内部审计实践同样具有指导意义。对于银行内部审计而言,通过实施风险导向审计能够很好地发挥内部审计“免疫系统”的功能。风险导向审计以风险管理为导向,在内部审计管理与实施全过程紧盯风险、关注危机,以风险为导向制定审计计划、实施审计程序、根据审计结果进行风险分析与评价,形成对违法违规行为处理的审计意见,提出预防、控制、化解风险的对策建议,从而帮助银行提高风险管理水平,进而稳健整个金融体系的良性发展。
综上所述,随着银行服务范围的日益拓展和金融产品的逐渐多样,银行面临着日益加剧的经营风险,风险导向审计作为一种全新的审计理念,应该被广泛地应用到银行内部审计中去,在吸收国际经验的同时结合自身实际情况,培养实用型的内部审计人才,充分发挥现代风险导向审计的特点,提高审计的质量,降低审计风险,从而提高银行风险管理与经营决策水平。
参考文献:
[1]中国银行业从业人员资格认证办公室:风险管理[M],中国金融出版社.2007.
[2]谢荣、吴建友:现代风险导向审计理论研究与实务发展[J].会计研究,2004(4).
[3]王迈利:商业银行风险导向审计探析[J].经济师,2009(3).
[4]江勇:风险导向审计模式下对银行信贷业务的风险评估[J].时代金融,2007(2).
[5]付国民、朱岚:风险导向审计在我国商业银行的应用前景分析[J].商场现代化,2006(21).
近年来, 国内外财务金融丑闻案接连不断, 引致学术界和实务界的广泛关注。对审计风险估计不足是导致审计失败的重要原因之一, 风险导向审计模式应运而生。
我国审计署在《内部审计工作的规定》中, 已将风险管理评审纳入内部审计工作的职责范围。将于2009年7月1日在上市公司范围内施行的《企业内部控制基本规范》, 也将风险评估和风险控制作为重要内容列示。因此, 研究和探讨风险导向审计, 对于促进企业内部审计及审计学科本身的发展, 更好地为商业银行服务具有重要意义。
二、相关研究及其内涵特征
(一) 相关研究
风险导向审计的核心是审计风险理论。胡春元 (2001) 认为风险导向审计以量化的风险水平为重点, 以此决定实质性测试的程度和范围。张立民 (2002) 认为风险审计使审计人员以对风险的分析评价控制为基础, 综合运用各种技术, 搜集审计证据并形成审计意见。姚力其 (2006) 认为, 风险导向审计对风险评估的重要创新是将风险评估的重点转移到经营风险上。谢志华、崔学刚 (2006) 则指出, 风险导向审计的实质是委托人、需求、期望作用于审计制度, 而这反过来又影响审计策略与方法的选择。庄立, 王玉蓉 (2007) 通过建立三方关系人博弈模型, 提出要切实减少违规行为, 需要全面推广应用风险导向审计模式。总体来看, 针对商业银行内部控制的风险导向审计模式研究还很少。
(二) 风险导向审计的内涵及特点
1. 风险导向审计的内涵。
风险导向审计是一种基于战略和系统的观点, 通过综合评价经营风险以确定实质性测试范围、时间和程序的审计方法。
商业银行审计部门作为内部控制的监督机构, 既要审计财务状况及其经营成果的数字本身, 也要审计这些数字的形成过程。银行内部审计工作者, 要了解商业银行的经营过程, 评估和测试银行的风险, 评估用来衡量经营的财务性和非财务性指标, 提供管理层决策所需要的审计信息, 为提高银行经济效益服务。
2. 风险导向审计的特点。
风险导向审计代表了国际审计发展的新趋势。该模式重点突出风险, 涵盖面更广泛, 弥补了合规性审计不能全面、系统评价内控状况、揭示风险的缺限。优化了审计资源配置。风险导向审计根据审计对象的风险排序, 合理确定审计重点和审计计划, 将有限的审计力量投入到最需要关注的领域, 并降低了审计成本。风险导向审计始终围绕风险展开审计。该模式以影响对象经营目标实现的各类风险为依据, 以内部控制标准为工具, 全面、系统地检查和评价被审单位的风险状况, 抓住了商业银行防范与化解风险的关键。形成持续性、周期性的监督过程。风险导向审计是一种闭合循环的持续性监督, 倾向于年复一年地降低并最终化解风险。
三、风险导向审计的程序和实施
(一) 风险导向审计的程序
1. 风险识别程序。
风险识别是一个渐进、持续、制度性的工作, 是进行风险导向审计的第一步。商业银行的经营环境随时都在变化, 各种风险随时影响其生存和发展, 但要重点识别那些目前还没有遇到、又具有一定潜在威胁的风险, 寻找风险源, 这也是风险识别的重要工作。
2. 风险评估程序。
在风险识别的基础上, 对风险的后果进行定性估计或收集相关数据, 利用统计、精算等方面的知识, 对风险损失的频率和幅度进行估计和预测。风险评估是一项非常复杂的技术性工作, 也是审计人员普遍感到困难的地方。
3. 风险控制测试程序。
测试程序主要包括控制测试和实质性程序。在认为必要或决定进行内部控制测试时执行该程序。如果认为评估的重大错报风险是特别风险, 审计人员应当专门针对该风险实施实质性测试程序。
4. 风险评价程序。
指根据相关标准衡量风险, 以确定风险是否需要处理或选择处理的方法和可接受的程度。风险评价是风险导向审计的有机组成部分, 由于风险认识水平的阶段性及风险处理技术的不断完善, 人们需要对风险处理技术定期检查、修正, 以保证处理技术的最佳效果。风险导向审计的程序可用图3-1所示模型表示。
(二) 风险导向审计的实施
风险导向审计的常用方法有审计风险评估 (risk assess) 、分析性程序 (analytical procedure) 、控制测试 (tests of control) 、交易业务实质性测试 (substantive test of transaction) 等。根据审计目标, 商业银行审计人员可以有效地选择和控制程序的实施
1. 程序的实施应由审计人员主动控制。
如果内部审计人员只是审计被审计银行提供的资料及重要的审计证据, 而重要审计程序由被审计行控制, 没有实施自己的审计程序并收集取得审计证据, 则审计人员易落入被审计银行造假的“陷阱”之中。
2. 内审人员应保持应有的执业关注。
独立审计准则要求审计人员在内审中保持应有的执业关注, 随时了解异常、非常规事项并及时做出积极反应, 经过初次评估控制风险——再次评估控制风险——最终评估控制风险, 根据客观情况的变化和异常事项的出现, 不断修改审计程序, 补充审计证据, 直到足以支持发表正确的审计意见。
3. 对审计证据的审慎分析。
取得审计证据只是审计人员审计的一种手段。内控审计人员必须对取得的证据进行审慎分析, 判断其来源是否可靠、证据是否真实并能够支持审计结论。
4. 运用专业判断提升审计效率和质量。
商业银行的内部审计过程, 也是审计人员充分发挥聪明才智、实施专业判断的过程。统计抽样或非统计抽样都存在不确定因素, 需要审计人员根据被审银行的总体特征选择抽样的方法并对抽样结果进行评价。如果只收集证据而不实施必要的专业判断, 就不能称之为审计。
四、风险导向审计在商业银行的应用前景
(一) 风险导向审计将使内部审计全面发展和深化
风险导向审计在审计理念、审计对象、审计方法等各方面都有很大进步。
1. 风险导向审计体现了全面和重点审计的原则。
风险导向审计是无边界审计。只有全面审计, 才能准确地预测风险。在此基础上, 根据重要性原则, 从风险的严重程度和对银行经营目标的影响程度进行重点审计。
2. 风险导向审计实现了审计关口前移的理念。
风险导向审计以风险防范为目标, 体现了超前审计的理念。无论是采取风险回避、风险分散、风险转移, 还是风险防范, 都属于事前审计的范围。
3. 风险导向审计将促进审计手段现代化。
风险导向审计需要收集银行大量信息, 了解各项业务的运营情况, 还需要计算机技能的支持以有效利用海量数据, 因此风险导向审计的开展会推动和加快审计手段现代化的进程。
4. 风险导向审计会提高审计人员的素质。
风险导向审计要求审计人员有熟练的审计专业知识, 熟悉金融、证券、保险、外贸等方面的经济知识。既要了解银行业的微观运行情况, 也要了解社会的经济周期、行业所处的地位、国家政策及重大事件等宏观因素。
5. 风险导向审计可有效提高审计质量。
审计质量与风险控制因素存在正相关性。风险控制能使内部审计人员摆脱财务报告的束缚, 站在了解、分析、评价被审银行的内外部经营环境、控制策略的高度分析问题的本质。若将风险因子转化为可量化的替代指标, 审计质量与风险导向审计因素成正相关关系。
(二) 风险导向审计的应用前景
风险导向审计能全方位认识被审计银行的经营情况, 并对风险因素进行全面评估, 借助银行的环境和报表形成两者的互动, 对发表审计意见形成正确支持。由于可以确认公允性, 证实可信度, 因此, 风险导向审计对是否存在重大错弊、特别是管理层舞弊具有确认作用, 支持对非财务信息披露的适当性发表意见。风险导向审计通过运用审计风险模型, 对风险进行系统的评价, 据此制订审计计划, 将风险评估与审计程序紧密结合起来。
但是, 风险导向审计并不可能完全消除审计风险。分析风险导向审计模型:审计风险=重大错报风险×分析性测试风险×实质性测试风险, 由于审计风险存在于审计过程的每一个环节, 任何环节的审计失误, 都会增加最终的审计风险 (ultimate audit risk) 。因此, 对最终审计风险的控制, 就取决于对上述各种风险的控制。在银行内部控制审计中, 审计人员只能在有限的空间和时间内改变风险存在和发生的条件, 降低其发生的频率和减少损失的程度, 不能、也不可能完全消除风险。
五、结论与建议
风险导向审计对改善商业银行内部控制, 提高经营管理水平和风险防范能力, 促进可持续发展有重要意义。
1.全面推行风险导向审计模式。通过推行风险导向审计, 促使商业银行审计人员强化风险意识, 淡化逐利动机, 最大限度查出舞弊, 降低审计风险, 获得品牌收益, 维护市场经济秩序和社会公众利益。
2.风险导向审计有利于银行内部治理。风险导向审计的自身优势会促进其在我国现阶段的应用发展, 并成为商业银行内部治理、外部监管的迫切需求。通过改进审计方式来提高商业银行内部审计质量, 可以最大程度降低风险。
3.有利于成本效益的平衡。在审计程序实施过程中, 风险导向审计侧重于优势资源集中配置, 避免了以往审计盲点和审计失效问题, 还可以降低监管成本, 强化监管激励约束机制, 因此, 能够很好地处理成本效益平衡关系。
4.塑造以风险控制意识为核心的内部审计文化。商业银行的内部审计过程, 也是控制审计风险的过程, 这种文化是在审计人员的具体工作中逐步凝结而成的。
参考文献
[1].曾繁荣, 郑毅.论风险导向审计[J].求索, 2004 (10)
[2].胡春元.风险基础审计[M].大连:东北财经大学出版社, 2001
[3].李爽, 吴溪.审计失败与证券市场监管——基于中国证监会处罚公告的思考[J].会计研究, 2002 (2)
[4].王泽霞.管理舞弊导向审计研究[M].北京:电子工业出版社, 2005
[5].谢志华, 崔学刚.风险导向审计:机理与运用[J].会计研究, 2006 (7)
[6].杨玉华.内部审计的新发展——风险导向审计[J].商业会计, 2006 (2)
[7].姚力其.传统和现代风险导向审计风险评估策略比较研究[J].审计与经济研究, 2006 (4)
[8].张立民.我国审计市场制度安排与审计质量要求[J].会计研究, 2002 (2)
[9].庄立.风险导向审计质量影响因素研究述评[J].财会月刊 (理论) , 2007 (12)
【关键词】风险导向;银行内部审计;分析
从某种意义上说,银行是一种专门经营货币的特殊企业,具有高风险性、不稳定性的特点。而银行业的持续发展离不开良好的内部控制、外部监管做铺垫。在内部控制方面,内部审计是其核心组成元素,对其有效性、健全性实施再监督。在审计研究的浪潮中,以风险导向为核心的审计方法应运而生,逐渐应用到银行内部审计中,对其发挥着不可替代的作用。可见,站在客观的角度,对基于风险导向条件下的银行内部审计予以探讨有着非常深远的意义。
一、风险导向审计概述
简单来说,风险导向审计就是一种审计模式。它是以被审计单位的风险评估为媒介,对影响被审计单位经济活动各种因素予以全面分析。在此基础上,以量化的风险水平为基点,对实施审计的范围、重点加以确定,进行实质性的审查。从风险导向审计的发展历程来说,早在20世纪70年代,西方国家就已经开始探索全新的审计方法,风险导向审计应运而生。在20世纪80年代,随着银行内部审计的发展,风险导向审计理论出现在中国的视野中,为降低银行审计风险,提高审计效率和质量埋下了伏笔。在2007年,风险导向审计在我国真正步入实施阶段。此外,风险导向审计具有多样化的特点。一是审计重心向前移。制度基础审计是以内部控制的评审为中心。而对于风险导向审计来说,其重心已转入到控制风险评估上面,以风险为导向,降低其风险性。二是改变审计思维定式,引入环境质量。风险导向审计不再采用以往的审计模式。它是站在系统论、战略管理理论的角度,以战略风险为切入口,从根源上宏观判断发展会计报表存在的问题。并把环境质量引入其中,建立全新的现代化战略审计观。三是审计证据的内涵不断扩大。对于审计结论来说,其作为依据的对象增加。比如,需要对被审计单位进行充分地了解。
二、风险导向审计在银行中应用的必要性
在新形势下,对于银行内部审计来说,风险导向审计的引入具有其必要性。第一,在银行中,风险导向审计的应用可以降低银行经营的风险。作为国民经济持续发展的命脉,由于高负债性质的经营模式,特殊的经营内容,银行存在巨大的经营风险。面对日益复杂化的经济环境,加强银行风险管理已成为必然选择。而银行内部审计和风险管理息息相关。在这种状况下,风险导向审计在银行内部的应用,可以有效地化解内部审计资源供需方面存在的矛盾。在一定程度上,降低银行经营风险,不断提高内部审计的质量,为国民经济的健康发展注入源源不断的新鲜血液。第二,风险导向审计能够对操作风险起到防范作用。随着网络信息技术飞速发展,银行从业人员操作不当风险日益加剧。而风险导向审计正好是以风险为核心,可以使银行内部工作人员对风险因素引起高度的重视。在日常工作中,银行从业人员能够更好地了解相关业务操作的完整性、真实性。以此为基础,仔细分析业务操作,进行可行的风险评估。这样工作人员就能及时发现业务操作存在的风险,及时采取有效的防范策略予以解决。第三,在银行运营中,风险导向审计可以有效地揭示其存在的战略性、系统性风险隐患。在提高审计质量的同时,也能为银行业务经营的稳定发展埋下伏笔。第四,能够不断推进银行治理结构的优化完善,建立符合新时代要求的审计管理结构。第五,可以使银行内部审计各方面的资源得到优化利用,提高审计的准确率。
三、风险导向审计在银行内部的应用策略
在新形势下,银行服务的范围不断扩大,金融产品呈现出多样化的特点。面对日益加重的经营风险,风险导向审计在银行内部的应用已成为社会关注的焦点,是对时代发展规律的一种顺应,符合银行内部审计各方面的需求。当然,风险导向内部审计在其中的应用具有多样化的特点。因此,本文作者对其中的冰山一角予以探讨。
1.树立审计价值增值理念,强化风险导向审计
在银行内部,不论是管理经营者还是员工对审计部门的认识不正确,误认为它只是银行后台成本支出的部门。而在新时代下,银行内部审计的功能已向服务方向发展,其审计部门开始向利润中心转化。而这个局面决定了在对银行内部审计成本支出进行考量的同时,也需要对内部审计所取得的成果加以确定。银行审计人员要树立正确的增值能理念。在减少经济损失,使其审计成本最小化,实现审计价值增值,为银行创造更多的价值。此外,在实际工作中,银行内部审计人员要具备一定的风险导向意识,并把风险导向审计和其它相关方面的审计相融合,比如,制度基础审计,更好地发挥应有的作用。在风险导向条件下,对被审计单位的外部运营环境、内部控制制度进行客观地评价。对其中的高风险领域,一定要进行项目基础审计,对存在的风险进行合理的控制,减少审计成本支出。
2.以风险管理为桥梁,完善审计流程
首先,建立风险评估程序。一是工作人员要对审计的对象、该审计对象内部控制的实际情况予以全面的了解。二是对会计报表制作、审核方面存在的重大错报风险进行客观的评价。其次,建立具体的测试程序。该测试程序主要用于银行内部控制方面,对其在执行、管理方面的有效性运行进行测试。最后,确定风险程度。简单来说,主要是对审计操作不同环节的内容进行全方位的整合分析,比如,对各种重大交易存在的风险进行实质性测试。通过确定风险程度,可以知道所认定问题具有的风险程度。这样审计人员可以准确分析相关问题出现的原因以及会对银行生存发展造成的影响,并提出有效的对策加以解决。
3.提高审计人员的综合素质
从某种意义上说,银行内部审计质量和审计人员具备的综合素质息息相关。在提高审计人员综合素质方面,可以从这几个方面入手。一是加强银行内部审计人员职业道德培养。在日常工作中,内部审计人员才能以身作则,抵制来自各方面的诱惑,避免审计质量问题的出现,为内部审计工作的正常运作,审计质量的提高奠定基础。二是需要定期对内部审计人员进行再教育学习,丰富审计专业理论知识,更新他们的审计知识结构体系。同时,定期对审计人员进行审计实务培训,提高他们的专业技能。三是不断引进优秀的审计人才。对于这方面,银行可以加强和当地政府、审计院校之间的沟通、联系,不断注入新鲜血液。进而,实施新时期人才战略规划,最大化利用社会资源,提高银行内部审计的整体水平。四是对审计队伍进行优化组合。在知识经济时代的今天,审计人员不仅要具备应有的专业技能,还要掌一些计算机、英语等方面的专业技能,才能成为新时代需要的综合型人才。在日常工作中,审计部门可以聘用一些非财务专业人才,比如,计算机、法律。在具体的工作岗位上,对不同专业人才进行科学的搭配,优化利用各方面的人才资源优势,更好地推动银行审计工作的开展。
4.发展审计计算机辅助技术
在网络高速发展的新时代中,计算机网络技术已成为银行发展中不可或缺的组成元素,扮演着重要的角色。针对这种状况,需要不断开展审计计算机辅助技术。一是计算机审计软件的应用。在很大程度上,它可以在缩短审计时间,提高银行审计工作效率的基础上,提高审计质量。同时,还能避免审计人员在工作中的违规行为,使审计工作能够充分体现客观、公正的特点。二是需要建立与之相适应的计算机审计监督系统。在利用核心技术算法的基础上,加强对银行各个业务环节的监督管理。同时,需要收集相关的监督管理资料,实现审计数据信息爸报送的网络化、自动化。在实际工作中,审计监督人员可以随时掌握各方面的数据动态,知道主要风险点存在的位置。结合相关资料,准确掌握现场审计关键业务、重点环节等方面信息。进而,采取合理的对策解决存在的风险隐患。
四、结语
总而言之,在银行中,风险导向审计发挥着不可替代的作用。这种全新审计方法的应用可以提高审计的综合素质,培养实用型的高素质人才。同时,也能在降低银行审计风险的同时,提高银行经营管理者的风险管理水平、经营决策水平,提高银行审计的质量。从长远来说,风险导向审计的应用必将会使我国银行业走上健康、持续发展的长远道路,步入更高的发展阶段,拥有更好的发展前景,成为我国国民经济发展道路上的重要基石。
参考文献:
[1]孟淼. 浅议银行风险导向内部审计的完善[J]. 财经界(学术版),2012, 07:249-250.
[2]韩东亚,冯晓华. 加强风险导向审计在银行内部审计中的应用[J].商场现代化,2011,05:145-146.
[3]赵红艳. 现代风险导向审计在银行内部审计的运用思考[J]. 财经界(学术版),2013,13:220-221.
[4]苏菁,杜梅. 风险导向审计方法在银行内部审计中应用的思考[J].今日南国(中旬刊),2010,04:94-95.
——风险导向审计与传统审计相结合的实践与体会 中国一拖集团有限公司审计部 韩旭东
内容摘要:随着现代企业制度的建立和完善, 企业经济活动将逐步走向正轨并呈现有序状态,经济违规现象逐步减少,在现代企业制度下,企业生存、发展的竞争核心是经济效益,只有加强管理、控制风险,使经营在竞争中不断得到改善和加强,才能健康有序地发展。这就要求内部审计利用其职能开展风险导向审计来满足企业在激烈的市场竞争中的需求,满足企业通过规避风险,提高经济效益。因此,风险导向审计越来越成为内部审计的重要内容,同时也是内部审计的发展方向和趋势。
关键词:管理 控制 风险 审计
在市场经济条件下,要使企业在激烈的市场经济中具有抗风险能力,企业必须更加注重经营过程的风险防范意识。根据美国COSO委员会《企业风险管理框架》的要求,建立风险管理体系包括相互关联的八个风险管理要素,既:信息和沟通、监控、控制活动、风险反应、风险评估、事项识别、目标制定、内控环境,各要素贯穿在企业管理过程中,为实现企业目标提供保证。内部审计作为一种自我诊断,自我约束制度,是风险控制的重要组成部分,而风险导向审计是以开展内部控制制度评审为主线,通过审核和评价被审计业务单元经济业务和管理活动存在的或潜在的薄弱环节,经济资源的利用状况,以确认企业的战略思想、经营目标、经营决策是否得到贯彻,管理制度、标准是否得到遵循,资源利用是否经济、有效,并以此对企业的经营管理工作提出审计评价和改善内部管理的要求、建议,来达到降低经营风险,促进提高经济效益的目的。以下本人就结合本企业实际,谈几点风险导向审计与传统审计相结合的实践与体会。
一、开展风险导向审计是企业改革和发展的内在需要,也是内部审计自我发展的需要,是内部审计发展的必然趋势
开展风险导向审计是企业改革和发展的内在需要。在现代企业制度下,企业生存、发展的竞争核心是经济效益,要想获得高效益,其产品必须在相应的领域中具有竞争优势,而改善和加强内部管理,是使企业提升竞争优势、获得高效益的重要手段。风险导向审计正是为适应企业在市场竞争中的新需求而产生的,是企业改革和发展的内在需要,风险导向审计已经在理论与实践方面正得到理解和认同,逐渐成为企业内部管理和经济发展的客观需要,管理者需要借助风险导向审计的职能作用来满足企业在现代市场竞争中的新需求,因此,开展风险导向审计已经成为企业为适应新的体制、调整组织结构、加强管理、完善控制、建立现代企业制度的必然选择。
开展风险导向审计是内部审计自我发展的需要。传统的企业内部审计主要是通过查错纠弊为主的财务审计来发挥作用的,其立足点着重放在监督而并未放在服务上,视点着重放在财务领域而未顾及管理及经营领域,这必然限制了内部审计作 用的发挥,如果单纯从财务角度以账面财务信息为审计对象,揭露违规违纪问题,片面强调监督职能,就很难适应现代企业制度下资产所有者及企业管理者对审计职能的需求,因为,管理中的决策失误、管理中的漏洞和潜在的隐患、经济运行质量低下所造成的损失或风险远比违纪违规问题要严重得多,资产所有者及企业管理者更关注因管理缺失带来的严重后果,更需要通过审计来改善管理,规避因管理缺失造成损失浪费的风险。而传统审计的职能是难以满足这一需求的,如果内部审计仅满足于传统审计的监督职能,就无法适应现代企业的发展对审计职能的监督、咨询、服务的多重需求,企业则可能选择委托社会审计从而危及到内审机构的生存。因此,内部审计要寻求自身的生存空间和长远的发展目标,就必须以立足于服务企业为目的,从传统的财务审计向风险导向审计延伸。
内部审计部门作为企业的一个内部组织机构,更具有开展风险导向审计的“天然”优势。首先,非常了解企业的经营环境、熟知企业的经营活动,可以随时掌握企业内部经营活动及其变化的第一手资料,因此,内部审计提出的改进意见和改进措施针对性强,更具体可行性;其次,内部审计与企业有着共同的目标,两者之间更便于沟通和理解,企业经营层也能够态度积极、主动配合,使审计工作顺利开展;其三,内部审计机构在风现导向审计时,在帮助企业分析问题产生原因的同时,能够提出具体可行的建设性意见,并督促企业进行整改,帮助 其建立和完善内部控制制度、设置严谨科学的各项业务流程,使企业能充分挖掘内部潜力,改善经济运行的质量,促进企业提高经济效益。
二、开展风险导向审计的思路与方法
企业管理活动的基本职能一般可归纳为:决策、组织、领导、控制、创新等五种,这些基本职能是通过管理者的管理活动贯穿企业经营过程始终。因此,企业管理是生产经营的全过程管理,企业经营活动的业绩好坏,重大决策的成败、经营目标能否实现、经营方针和政策是否得到贯彻执行等,其根本取决于管理方法的科学性、合理性及管理水平的高低,取决于企业内部自我约束能力的强弱。风险导向审计就是要通过审查企业在决策、组织、领导、控制等全方位的、涉及到各个层面的管理职能,对企业的管理状况做出评价。鉴于我们集团公司内部审计人员主要擅长财务方面专业技术的特点,要拓展风险导向审计,就必须在力所能及的前提下找准切入点,以传统审计为依托尝试向管理的深层延伸。因此,我们把开展风险导向审计的近期目标及工作的切入点设定为:以财务审计为基础,用不同于财务审计的审计视角,开展以内部控制制度评价为主线,按照企业经营业务循环的脉络,从某一业务循环或某一个专项入手,沿着其涉及的内部控制、岗位设置、业务流程、信息传递、工作效率等多方面进行测试、评价,确定其业务循环及内控制度的健全、适用、有效性。根据《内部审计实务标准》对内部审计的定义:内部审计是一种独立、客观的保证与咨询活动,目的是为机构增加价值并提高机构的运作效率。它采用系统化规范化的方法来对风险管理、控制及治理程序进行评估和改善,从而帮助机构实现其目标。由于风险导向审计涉及内容较广,开展风险导向审计的方法也各有侧重。目前,我们企业内部审计将风险导向审计定位在内部控制制度评审方面,因此,本人就简要阐述一下内部控制制度评审的基本方法。
对内部控制制度的评审可按业务循环,采取抽样方法进行。主要程序和方法包括:
(1)调查内控环节,评价其健全性,初步判断控制风险 对被审计单位进行审前调查,了解被审计单位的内部控制系统,初步评价它的功能和效力。方法主要有:通过收集、查阅组织机构、职责分工、工作流程、内部控制制度等相关书面资料;与有关人员座谈、询问、实地观察等方法,初步判断被审计单位内部控制风险如何,有哪些关键环节控制措施是比较薄弱的,从而确定审计目标和重点,初步拟定审计方案
(2)测试内部控制的执行,评价其有效性,据控制风险水平及内部控制的缺陷确定进行实质性测试的重点和范围
对被审计单位的内部控制系统进行审查和测试,主要应对不相容职务相互分离控制;授权批准控制;审核审批控制;业务流程控制;预算控制;实物管理控制;会计系统控制等内部 控制的主要环节进行审计,评价其内部控制制度的健全性、合理性和有效性。
(3)据审计结果出具审计报告并提出改进建议。
三、内审人员在实践中对风险导向审计的作用、职能的进一步认识
1.风险导向审计与其他专项审计相结合,更好地发挥监督、服务、评价职能
风险导向审计和其他审计结合起来构成了完整的内部审计监督与评价系统。因此,在开展其他审计中,我们也恰当地运用了风险导向审计的技术、方法及评价,均取得了较好的审计效果。例如:2010年对某公司领导的任期经济责任审计,审计人员运用风险导向审计的技术、方法,通过对其内部控制制度的健全、有效性、管理流程的科学合理性审计,揭示了该公司成立后,一直未能有效解决管理基础薄弱,运行质量存在的问题,该公司的内部基础工作在内控制度、业务流程、核算方法等方面存在较大控制风险,影响到该公司在制品、库存商品、完工产品的制造成本等核算的正确性及损益的真实性,其中大量费用开支、佣金使用缺乏合理的控制,任期累计亏损达577万元。又如2011年对某公司的领导任期经济责任审计,披露了该单位虚假改制,会计报表严重失真,已资不抵债,净资产亏空上千万元,而问题的根本是由于企业忽视风险控制,造成内部业务流程不规范,内部牵制形同虚设,特别是在实物管理方 面,无法实现对实物资产的有效管理和监控,存在资产流失的风险。审计成果:一是召开控制和风险评估专题研讨会。针对重大风险隐患,集合集团公司有关专家、部门责任主管进行专题研讨,逐一排查;二是全员风险意识培训。使风险意识贯穿于整个企业的各个层面,并且使每名员工能够有效识别风险并提出有效控制措施,实施企业全员、全过程、全方位、全天候的风险管理;三是建议该公司按照集团公司有关控制风险导引对内部控制制度再造。
2.风险导向审计的咨询及服务职能,拓宽了审计的生存空间,其作用和成果得到公司领导的认可,审计建议也更易使被审计企业所接纳
如对某主机装配厂开展风险导向审计。通过审计,反映出该厂现领导班子市场开拓意识较强,经营规模迅速扩张,但同时也暴露出前期管理基础薄弱、企业风险发生的可能性和影响都落在风险容忍度之外,尤其是在产销量出现爆炸式增长时,诸多风险控制环节出现断点、盲点,风险监控没有得到持续有效的执行,监控报告制度和风险管理报告几近空白,在物资采购、物流管理等方面暴露出的问题尤为突出。因此,审计针对其风险控制已存在或潜在的薄弱点及问题,提出审计建议:(1)企业制定战略目标时,应注重分析本企业和行业的发展情况和趋势,找出本企业自身存在的优势和劣势、判断外部环境带来的影响,适应企业风险偏好;(2)自上而下对本企业的目标进 行研讨,并看本企业的战略目标是否得到足够的支持;(3)剖析企业管理层对风险的识别和评估是否有足够的认识、判断是否准确;(4)风险控制措施是否健全完善,是否已经存在或或有潜在的风险;(5)风险控制监督措施是否得到贯彻执行。
对该厂的风险导向审计,促进了企业改善管理、提高经济效益,并较好的体现了风险导向审计的咨询及服务职能,突出了审计立足服务的新思路,而监督和服务的双重职责将是内部审计今后的发展趋势和赖以生存的出路。
四、风险导向审计在推进企业实现既定的经营目标过程中应发挥的作用
1.风险导向审计仍应以监督为本,避免损失浪费,以促进提高效益
风险导向审计是传统审计的延伸,因此我们必须以监督为本,从审查会计信息的真实性入手,防范舞弊、揭示错误,以避免损失浪费,维护集团公司整体利益,促进提高效益。
2.风险导向审计注重内向服务,努力发掘内部潜力,达到降本增效的目的
通过开展风险导向审计,查找被审计单位存在的或潜在的薄弱环节,资源利用是否经济、有效,并以此对其经营管理工作提出改善内部管理的要求、建议,降低经营风险、发掘内部潜力,达到降本增效的目的。
3.对重要环节开展专项审计,以期降本增效 选择与降本增效有密切关联的重要环节开展专项审计,通过解剖局部来揭示管理中具有共性的问题,堵塞漏洞,并通过完善内部控制制度来改善管理,使审计成果得到最大的利用,以达到降本增效的目的。同时,通过专项审计,也引起集团公司层面领导对管理缺失点、效益流失点的重视,加快相关内控制度的修订、完善。
五、风险导向审计设定的远期目标
本人认为风险导向审计设定的未来目标:一是能够在集团公司的高度参与管理控制程序和制度的修订与制定,能对相关业务循环中存在的问题提出报告和改进建议;二是能对相关部门和业务单元的某一管理流程、制度的修订和完善提出咨询性意见;三是能对集团公司不同层面中具体业务的合规性、效益性进行检查和提出改进要求。
摘要:本文论述了风险导向审计的产生、特点、发展趋势,以及风险导向审计在煤炭企业中的运用。
关键词 风险导向审计 煤炭企业 运用
现代风险导向审计是指CPA通过对被审单位进行风险职业判断,评价被审单位风险控制,确定剩余风险,执行追加审计程序,将剩余风险降低到可接受水平。运用到煤炭企业,就是内部审计人员在对被审单位的内部控制充分了解和评价的基础上,分析、判断被审单位的风险所在及其风险程度,把审计资源集中于高风险的审计领域,针对不同风险因素状况、程度采取相应的审计策略,加强对高风险点的实质性测试,将内部审计剩余风险降低到最低水平。
一、风险导向审计的产生
风险导向审计是在账项导向审计和制度基础导向审计的基础上发展而来的。账项导向审计是最初的审计方法关系,主要着眼于查错防弊。适用于审计早期经济业务不很复杂的小规模企业。制度基础导向审计主要将审计的重点放在对内部控制制度各个控制环节的审查上。在这种审计模式下,审计人员首先通过对被审计单位内部控制制度的测试来确定其可信赖程度,而后根据内部控制测试结果进一步对被审计单位的会计报表和其他会计资料实施审计程序。
随着现代市场经济的发展,现代企业的经营规模越来越大,经营活动日趋复杂和多样化。在这种情况下,如果只注重对被审计单位内部控制的评审,就可能错误确定重点审计领域,不利于审计质量;也可能使审计风险失控。于是,风险导向审计在弥补日益扩大的审计期望差距的社会因素中应运而生。
二、风险导向审计的特点和发展趋势
(一)风险导向审计的特点
1.从宏观上把握审计风险。风险导向审计工作的中心实现了由内控测试到风险评估的转变,风险评估的结果决定了审计人员需要关注的高风险审计领域和重点审计项目、审计资源的分配、审计证据的性质和数量。在风险评估的过程中,风险导向审计更加注重宏观因素分析,如:被审计单位所处的行业状况,法律环境与监管环境,以及其他外部因素,被审计单位的性质、被审计单位的目标、战略以及相关经营风险等。 分析程序的大量运用。风险导向审计从风险评估到最终审计结论的确定均可运用分析程序。当使用分析程序比细节测试更能有效的将认定层次的检查风险降至可接收水平时,分析程序可以用作实质性程序。分析程序可以用在研究财务数据之间的关系,也可以用在研究财务数据和非财务数据之间的关系。分析程序的大量运用能够更好地发现被审计单
位的重大错报,提高审计的效率。 扩大审计证据的内涵,注重外部证据。审计证据包括了解被审计单位及其环境获取的证据,包括被审计单位财务报表依据的会计记录中含有的信息和其他信息。其他信息包括从被审计单位内部或外部获取的会计记录以外的信息;审计人员通过询问、观察和检查等审计程序获取的信息以及自身编制或获取的可以通过合理推断得出结论的信息。这些都扩大了审计证据的内涵。审计人员需要从外部获取证据,来证明风险评估结果的恰当性。另外,审计人员期望管理层提供的证据来证明其舞弊行为显然是不现实的,通过与企业的一般员工、供应商和销售商等方面的沟通所获得的外部证据,是获取相关线索的重要途径。
(二)风险导向审计在我国的发展趋势
风险导向审计适应了现代市场经济环境的`需要。市场经济的高度不确定性使人们对审计的期望值不断提高,而风险导向审计正是适应了公众对审计期望值不断提高的要求而发展起来的,将审计风险降低至可接受水平,以满足公众的要求。 风险导向审计符合现代审计目标多样化的要求。风险导向审计将被审计单位置于一个大的经济环境中,运用立体观察的理论来判断影响企业经营风险的各种因素,从企业所处的行业状况、监管环境、经营目标、战略规划到经营方式、业务流程等内外部各个方面来分析评估审计的风险水平,把被审计单位的经营风险植入到本身的风险评价中去,并贯穿于审计的全过程,从而在审计过程中把重点放在审计风险的评估上,并通过审计程序把审计风险降低到审计人员可以接受的水平。 风险导向审计是对原有的审计资源进行重新调配。通过运用审计风险模型,对审计风险进行系统的分析评价,以做出相应的审计策略,将风险评估与审计程序紧密的联系起来,同时能据此将审计资源恰当地分配到高风险领域,提高审计质量与效率。 审计法律体系的不断健全和完善为应用风险导向审计奠定了基础。《中华人民共和国注册会计师法》的颁布,会计准则及指南的实行等,构建了中国执业审计准则体系。 审计人力资源的发展为风险导向审计提供了人才保证。正规院校审计专业学历教育,在职审计人员的培训,注册会计师和审计师考试制度等。这些措施都为我国审计职业界应用风险导向审计提供了人才保证和技术支持。
三、风险导向审计在煤炭企业中的应用
(一)风险导向内部审计应用方法
风险导向内部审计广泛运用分析性程序检测被审计对象,其基本方法
包括审计风险评估、分析性测试、控制测试、业务实质性测试、余额细节测试等。对于有证据表明风险较低的领域,应依赖内部控制或分析性复核;对被认为风险较高的领域,实施大量的实质性测试和余额细节测试,使审计手段与审计目标更好地结合在一起,提高审计的科学性、针对性和绩效性。对风险评估来提出风险管理的对策,有效降低所在组织的风险,从而增加企业的价值,充分发挥内部审计的作用。
(二)风险导向审计在煤炭企业中的作用
1.参与风险管理。风险导向内部审计首先确认企业目标或某项交易的目标,然后分析对这些目标产生影响的风险,确定审计风险水平和审计重点,提出风险防范和控制建议,最后通过后续审计,测定风险是否得到有效防范和控制。这样审计建议可以直接针对企业实现目标过程中面临的主要问题和风险,并将事后评价反馈延伸到事前和事中,使内部审计成为企业价值链中的必要环节。 促进内部控制。作为内部控制的一个重要环节,内部审计是对内部控制的再控制。建立内部控制制度的根本目的,是为达到财务报告的可靠性,经营活动的效率和效果、相关法律法规的遵循三个目标而提供合理保证的过程。这些目标也是对内部审计的要求和标准。可见,内部控制是内部审计的基础,也是风险导向内部审计进入企业治理、风险管理的基础。 促进煤炭企业治理。内部审计人员长期立足于本企业的具体岗位,比较熟悉企业的业务并能够随时深入到生产经营的全过程和各个部门了解具体情况,深入到经营管理的各个过程,查找可能存在的风险;通过积极持续地支持并参与风险管理过程,对风险管理过程进行管理和协调,向管理层提出相关建议,从而促进煤炭企业的治理。
(三)煤炭企业风险导向内部审计运用
根据煤炭企业的战略目标,在煤炭营销领域开展重点审计。“十二五”时期国家将进一步深化资源性产品价格和要素市场改革,因此,各煤炭企业一定要加强价格研判和市场风险预警机制建设,通过不断的评审与信息反馈,对市场营销进行战略控制从而规避风险。对被审计单位的内部控制,企业的经营环境,管理层的诚信度等方面综合地分析、评价,对审计风险的控制始终贯穿于审计过程,将审计风险降到组织可接受的水平。
四、做好风险导向内部审计
做好风险导向内部审计,要改善内部审计环境,加强内部审计的独立性,兼顾客观性。提高内部审计人员的职业水平。随着风险导向内部审计的审计范围不断扩展,审计人员关注的范围不断延伸,对专业水平和职业道德的要求也在不断提升。应鼓励内审人员参加CIA等各种考试和培训,使其具有国际水准的执业水平。
参考文献:
郑小荣.风险导向内部审计若干理论问题探讨.审计与经济研究..
陈毓圭.对风险导向审计方法的由来及其发展的认识.会计研究.(2).
陈志强.从审计风险的改进论风险导向审计的战略调整.审计研究.(2).
高伟,李晓慧.风险导向审计与独立审计准则的运用.审计研究.2004(3).
近年来,风险导向审计作为一种重要的审计理念和模式,逐渐广泛应用于各类审计业务实践。在内部审计业务中应用风险导向审计,对于内部审计部门合理、有效配置审计资源,进一步提高审计质量,控制审计风险具有重要作用。风险导向审计的引入,对于内部审计顺应企业发展规律,加强自身建设,更好地发挥“免疫系统”功能也具有深远影响。
一、风险导向审计是内部审计发展的必然趋势。
对于内部审计来说,所谓风险导向审计是指内部审计人员在对风险及其内部控制系统进行充分了解和评价的基础上,分析、判断风险发生的可能性及其影响程度,建立审计风险模型和风险评级标准,制定与之相适应的内部审计策略、审计计划和审计程序,将审计资源重点配置于高风险领域,将内部审计风险降低至可接受水平的一种审计模式。风险导向审计关注公司高风险领域对审计目标的影响,将对风险的辨识、分析和评价贯穿于审计工作始终;风险导向审计既应用于审计项目实践,也可以应用于审计业务规划,建立与企业全面风险管理体系相匹配的审计策略体系。因此,风险导向审计不仅仅是一种审计技术,它是因审计理念的转变而产生的审计模式、审计方法的革新。
经济社会的发展和现代企业管理技术的演变是风险导向审计产生的根本原因。一是企业经营环境的变化、经营规模的扩张、价值链的延伸、业务种类的增加,以及交易方式的多样化,都使企业经营风险日益复杂和多变,也使审计环境发生了巨大变化。内部审计在有限的审计资源条件下,继续实施详细审计变得不再现实。二是企业按照资本市场要求,或出于提升盈利能力和保持竞争优势的考虑,逐步发展演变出全面风险管理、战略管理等现代企业管理技术,为风险导向审计的产生奠定了理论基础。三是企业管理层对内部审计在风险内控管理中的作用逐渐重视、业务部门对内部审计的信赖程度不断提高,他们都希望内部审计能够与时俱进,及时发现经营管理中存在的控制漏洞和舞弊行为。在这种背景下,内部审计为了规避与日俱增的审计风险,基于对风险的理解和评估来制定审计策略和审计计划,将风险导向审计引入内部审计实践便成了必然选择。
二、风险导向审计将对企业整体风险的分析评价作为审计业务的基础。
与传统的审计方法相比较,风险导向审计带来的是审计理念和审计方法的重大转变。风险导向审计不仅仅依赖于对企业内部控制制度设计和执行情况的测试评价,更将审计视野扩展到对企业内外部环境、公司管治、战略管理等层面的全面风险评估,内部审计人员在审计时始终秉持合理的职业审慎,并将风险评估技术和分析性复核程序应用于审计项目全过程。
(一)强化了审计风险意识,扩展了审计范围,将审计重心从内部控制测试前移至公司层面的风险评估,将连续、动态的风险评估贯穿于整个审计过程。风险导向审计不再简单地直接实施内部控制测评,而是通过对企业经营环境、发展战略、公司治理、风险策略等方面的评估,发现潜在的经营管理风险,并将其逐级分解细化到具体的业务流程及其内部控制活动中,由此确定审计范围和重点。
(二)更加注重分析性程序的运用。在风险评估过程中,多层级、多线条、多维度的分析性复核程序将应用的更为频繁,对于任何审计对象,都将首先采用分析性复核措施发现风险环节。分析范围更加广泛,从对账务报表等事后数据的分析,延伸至对公司战略、风险管理体系、经营业绩、全面预算等风险管理起点的数据分析;分析工具更加科学,通过引入计算机审计技术,强化了对文本、数据的加工分析能力,也使审计抽样结果更加合理;分析对象更加多样,对所有财务和非财务数据都能运用分析性程序。通过分析性程序,可以多角度发现同一风险事件在不同经营领域、不同流程环节的各种表象,使风险评估结果更为可靠。
(三)增强了审计程序的针对性,提高了审计资源的使用效益。风险评估过程使内部审计人员对重要经营风险具有了更加直观和全面的认识,对风险的量化标准以及应予采取的控制措施在风险评估过程中也逐渐清晰,便于针对不同类别的风险制定、实施个性化的审计程序。将风险评估手段与审计程序进行有机结合,使审计资源有的放矢地集中到重要风险领域,促进其有效分配和利用,提高审计效率。
三、深入实践风险导向内部审计理念,为内部审计的发展营造了机遇。
(一)应用风险导向审计,对内部审计人员的整体素质提出了更高要求,将促使内部审计机构重视审计队伍建设。当前企业积极转变发展方式,更加注重发展质量和效率,也要求内部审计的职业水平能够不断适应公司经营发展变化;但与之相对应的是,内部审计人员普遍存在管理知识欠缺、经验不足、分析能力不强等问题,难以锻造敏锐的职业判断能力,无法适应风险导向审计要求。因此,内部审计机构应该以风险导向审计的应用为契机,加大职业培训,引进公司治理、法律、信息技术等专业人才,不断优化审计人员的专业结构。努力拓展审计人员关于宏观经济、战略管理、绩效管理、市场营销、信息技术、数理统计等复合性知识,培养对经济政策、法律法规的把握能力,以及对风险的理解和分析能力,在纷繁复杂的风险世界中保持应有的职业审慎和独立性,运用系统的`、战略的观点充分评估企业所处的内外部环境及其所采取控制措施的适当性,降低审计风险。
(二)促使内部审计机构推进审计信息化建设,积极运用信息技术审计工具,提高审计效率。风险导向审计要求内部审计人员在审计过程中,收集足够多的环境、战略、经营、预算、报表、统计等财务和非财务数据,以便于充分评估公司层面的风险;内部审计人员也需要对收集到的数据进行分析、加工、提炼,但数据的收集及其分析,仅凭审计人员的手工操作是难以实现的。内部审计机构应当在企业集团范围内建立功能强大的信息系统,并且在公司管理信息系统及核心业务系统中嵌入审计模块、或与内部审计信息系统建立数据接口,一是更高效的实现对各类数据的获取、归集、审阅、核对、分析,二是使审计抽样更具有代表性,减少主观判断,三是实现对企业生产经营数据的实时监控,有利于实现事中的风险分析、预警和事后的风险评价、提示,满足内部审计人员开展风险评价的需要。
(三)积极推动内部控制体系的建立健全,完善以风险为导向的内部审计制度。应用风险导向的审计方法,要求内部审计人员首先从了解公司风险管理和内部控制入手,因此公司内部控制体系的健全程度,与内部审计风险和成本都直接相关。为了尽可能地降低审计风险,内部审计机构应充分履行监督、评价和咨询职能,积极发挥内部审计在全面风险管理的作用,推动公司建立健全内部控制制度,夯实风险管理的制度基础。同时,结合国家审计法规、准则规定及全面风险管理的需要,对公司现有审计规章制度进行全面梳理和优化,完善风险导向审计的具体程序和方法,使风险导向审计有章可循。
虽然应用风险导向审计的初衷是提高审计资源利用效率,但由于风险评估测试深度、广度的增加,以及人力资源、信息化系统的投入,都将在短时间内带来审计成本的大幅增加,这也是内部审计适应公司发展需要而主动转型的必经阶段。固定审计成本的增加,也会同步带来审计资源的结构优化和整合,使内部审计机构实施审计业务管理、项目管理及其质量控制更加高效。因此,从长远来看,应用风险导向审计更有利于审计目标的实现。
四、提高风险导向方法在内部审计实践中的应用效果。
(一)内部审计部门应当进一步增强对企业所面临的内外部风险的理解,提高对风险的理解和把握能力。既要以经营者的视野来衡量国家法规、宏观经济、行业监管政策、竞争格局等多方面环境因素对企业生产经营形成的外部风险,又要以管理者的视野来审视企业治理架构、战略规划、资源配置、内部控制等要素能否组成良性循环的风险管理体系。内部审计部门只有充分了解企业的风险,才能更好的对风险进行完整的识别、分解和量化,从而准确把握审计方向和重点。
(二)内部审计部门应建立动态的全面风险评估机制。经过对企业内外部风险的调查了解,并结合本企业生产经营特点,按照从上到下的方法,梳理企业核心的管理机制和业务流程,标识每个核心机制和流程中的关键风险点及其标准化的内部控制措施,明确每个部门、每位员工在风险控制活动中的职责;同时建立常态化的风险报告、收集、分析和评价制度,确保内部审计风险库不断得到充实和完善。
(三)在内部审计业务实践中,要注意平衡审计成本控制和审计风险控制,合理有效配置审计资源。风险导向审计的精髓就是准确识别高风险领域,并将审计资源重点配置于高风险审计领域。应用风险导向方法,并不意味着审计内容和审计程序的简单增加,而是在控制总体审计风险的基础上、根据现有的审计资源状况,对审计内容和审计程序有抓有放,对不同风险采取有针对性的审计方法。对于经过评估认为不存在重要风险的领域,可以采取降低样本量或穿行测试等方法适当简化审计程序。
(四)内部审计部门应循序渐进的引入风险导向审计方法,逐步探索和完善适合本企业实际的风险导向内部审计模式。如果忽视本公司经营管理基础、不切实际的盲目照搬风险导向审计模式,将为内部审计带来更大的审计风险。内部审计转型过程中,在传统审计项目中辩证地引入风险导向审计手段,弥补传统审计对风险辨识、分析和评价中的不足,能够实现控制审计风险和审计成本的阶段性目标。当公司管理基础和审计资源能够满足风险导向审计的实施条件时,内部审计部门可以在更多的审计项目甚至在审计业务规划、管理中使用风险导向审计模式。
一、风险导向审计的内涵
风险导向审计是在账项基础审计和制度基础审计上发展起来的一种新的审计模式,是指在充分了解和评价被审计对象内部控制的基础上,综合分析、判断影响被审计对象经营管理活动的风险因素及风险程度,并根据量化的风险水平确定审计的时间、范围和程序,把审计资源集中到高风险审计领域,加强对高风险点的实质性审查的一种审计方法。运用风险导向审计对审计风险进行系统地分析与评价,有利于内部审计部门从风险识别、评估和应对阶段参与银行风险管理,有利于审计人员由被动接受风险到主动发现和控制风险。
二、我国商业银行应用风险导向内部审计模式的必要性和可行性分析
(一)传统审计模式的局限性
账项基础审计以会计账表的详细检查为特征,审计人员旨在发现和防止错误与舞弊,但没有认识到内部控制有效性在审计中的作用,样本选择具有很大的盲目性。制度基础审计强调对内部控制的设计和运行的有效性进行测试和评价,但往往只关注控制的薄弱环节,没有考虑内部控制系统以外的审计环境。随着经济业务的多样化和复杂化、竞争更加激烈、经营风险日益增加,传统审计模式已不能满足审计环境的需要。为了适应审计环境的变化,传统审计模式必须向风险导向审计模式转换。
(二)银行地位的特殊性
银行是经营货币的高风险行业,在提供金融服务的过程中,面临诸多矛盾和风险隐患,如审计委员会的制度设计不当、审计方法应用存在问题、环境变化带来的声誉损失、提供服务过程中的法律风险和资金风险、操作风险和信息技术风险等。银行风险管理状况直接影响到履职效果和整个社会经济金融的稳定。因此,商业银行内部审计必须考虑到银行地位的特殊性,突出风险管理,运用以风险为导向的审计方法。
(三)相关法律法规对内部审计要求的一致性
一是按照国际内部审计协会(IIA)修订的《内部审计实务标准》的要求,机构内部审计工作应该以风险为导向,来满足机构经营管理的需要。二是《中国内部审计准则》要求对风险的监控应成为内部审计的职责。
三、风险导向内部审计模式在我国商业银行的应用研究
审计人员在既定的审计风险水平下,通过评估的重大错报风险水平,合理确定和控制检查风险。用审计风险模型表示如下:审计风险=重大错报风险×检查风险。风险导向审计以审计风险和确定的可接受重要性水平为基础,通过评估和确定被审计单位的高风险领域,从而发现重大的错误和舞弊,再通过合理设计审计程序的性质、时间和范围并有效执行审计程序,来控制检查风险,最终实现将审计风险降到可接受水平。
(一)了解内外部环境,评估重大错报风险
内审人员通过全面分析影响银行履行职能的政治、经济、法律和社会等外部环境及银行内部环境,确定环境因素对审计目标的影响;通过分析各项业务活动、查阅风险管理历史资料,识别风险控制的关键点;通过与被审计对象相关管理人员讨论各种风险,识别影响银行目标实现的各种风险因素和潜在的重要风险。
重大错报风险是指被审计对象在审计前存在重大错报的可能性。重大错报风险要从财务报表层次和认定层次两方面来考虑,认定层次重大错报风险又可以细分为固有风险和控制风险。
固有风险是指假设不存在相关的内部控制,被审计对象的业务和相应的会计处理发生重大错报的可能性,无论该错报单独考虑还是连同其他错报构成重大错报。我国商业银行固有风险一般包括以下因素:政策环境、外部压力、被审计对象领导层品行和决策能力、同级监督力度等。固有风险的评估从以下三个方面入手:一是了解被审计业务的流程和特点,确定易发生风险的环节,如人民银行的货币信贷、财务会计、国库业务、支付结算、安全保卫、外汇管理等业务环节;二是了解银行有关业务核算和相关法律法规的变迁,以此来确定内部控制测试的方向;三是评估影响风险水平的内外部因素,包括管理人员的诚信、管理水平和管理氛围等。
控制风险是指被审计对象的业务和相应的会计处理发生了重大错报,而该错报没有被内部控制及时防止、发现和纠正的可能性,无论该错报单独考虑还是连同其他错报构成重大错报。控制风险取决于被审计对象内部控制设计和运行的有效性。我国商业银行控制风险因素主要有:组织结构和内部控制制度的健全和完善程度、岗位设置的合理性、工作人员业务能力和职业道德水平、制度执行力水平及监督机制的完整性和有效性等。评估控制风险从以下几方面入手:一是评价内部控制的完整性,主要考察各级银行是否根据自身实际情况建立健全了内部控制制度,从而使内部控制能有效防范各类风险;二是评价内部控制的合理性,主要考察内部控制制度是否具有可操作性和适用性,如相关部门操作人员是否权责分明等;三是评价内部控制的有效性,考察被审计对象内部控制的信赖程度、内部控制制度是否充分发挥作用等。
(二)根据评估的重大错报风险,合理确定检查风险
检查风险是指被审计对象的业务和相应的会计处理存在错报,但该错报未能被发现的可能性,无论该错报单独考虑还是连同其他错报构成重大错报。内审人员对固有风险和控制风险进行评估后,确定不同业务可接受的审计风险水平,从而确定检查风险。根据确定的可接受检查风险设计审计程序的性质、时间和范围,我国商业银行检查风险因素有:审计程序选择不当、审计过程执行不当、错误解读了审计结论、审计人员职业判断能力不足等。通过确定适当计划、确定合理抽样方法和数量、在审计人员之间进行恰当的职责分工、保持职业怀疑态度、提高审计人员判断能力、规范审计程序等,可有效降低检查风险。
四、目前开展风险导向内部审计的措施
(一)强化风险管理理念和风险导向内部审计理念
一是强化“全面风险管理、全员风险管理”的风险管理理念,让银行内部各级员工充分了解银行存在的风险和风险管理的长期性,认识到风险是可识别、可测量、可监控和可控制的,增强防范风险的意识。二是强化风险导向内部审计理念,充分了解银行业务活动和内部管理中存在的风险,在全面把握整体风险的基础上,集中资源监控高风险领域,提高防范风险的能力,保证银行各项审计目标的实现。
(二)加快开发辅助审计软件和建立内审数据库
一是加快开发风险导向内部审计辅助软件,从中读取商业银行会计、国库等业务处理系统的数据,改变以现场审计为主的审计方式,运用计算机软件对数据进行分析性测试、统计抽样和风险评估,集中精力监控与评价重要业务系统、重要业务环节,减少审计成本,提升审计效率。二是把内部审计业务系统与银行其他业务系统进行有效对接,建立审计数据库,为内部审计部门履行职责提供支持。
(三)注重传统审计与风险导向审计的衔接与过渡
被推崇和应用了二十多年的传统审计风险模型果真存在问题吗?
我们来看,传统审计风险模型中审计风险是事先拟定预接受的,是确定的;控制风险通过计划准备阶段的初步的评价测试和审计实施阶段的具体测试和评价也是可以确定的;检查风险如果在明确了审计风险、固有风险和控制风险后,自然也就确定了,问题就在于固有风险的确定。而我们知道,固有风险涉及企业的经营目标、经营战略、经营环境、经营状况、经营风险、经营管理、内部机构及其控制环境等方方面面,不仅涉及面广、变化多端,而且不便量化。因此,在实际操作中往往被人们所回避,取而代之的是采取直接将其认定为高风险水平这种被公认为稳健的做法,简单的只依赖对内部控制风险所作的粗放型评估来直接、大致确定检查风险水平,再据此规划实质性测试的程序、时间和范围。结果就是一头扎进了会计凭证、账册等资料堆里,这种审计套路的效果如何呢?大家也都看到了,既然发生了会计造假丑闻,也就说明审计失败了,说明凭证白看了,测试、复核、计算等等功夫都白费了,因为最终结果是出了重大错报而没有被审计发现和揭示。
我们再来看,上面的审计套路,将传统审计模型演变成了什么?如果采取直接将固有风险认定为高风险水平这种被公认为稳健的做法,审计风险模型中的固有风险就等于100%,审计模型就被演变成了审计风险=控制风险×检查风险。这显然已背离了审计风险模型的本意。
同时,有一个现象很值得我们反思,就是国内很多大的会计造假丑闻不是被注册会计师发现揭示,反而多是被记者发现和披露的。记者不是会计、审计专业的行家里手,他们为何反倒能发现问题的根结所在呢?我们来想一想记者的工作模式,可能就会豁然顿悟。原来记者所做的调查、采访、甚至乔装打扮地调查暗访等等工作恰恰不就是审计者所丢弃掉和缺失的那部分对固有风险的调查了解分析和评价工作吗?
这说明审计风险模型本身没有质的错,问题是出在了对其的理解、引导和利用上;错在了允许直接将固有风险认定为高水平,更错在还认为这种做法是稳健的;错在了一头扎进了会计凭证、账册等资料堆里,拣了芝麻丢了西瓜。同时也说明对固有风险的调查了解是何等重要和不可偏废,是不能因怕麻烦、费事,难搞而随意丢弃和回避的。
2004年末国际审计与鉴证准则理事会修订了审计风险准则,将审计风险模型重建为:审计风险=重大错报风险×检查风险。重建后的审计风险模型,表面上看似简单了,似乎只是将固有风险和控制风险合并为重大错报风险,但其实质却远非如此简单。
首先,新准则流程每一步的设置目的的关键词都落到了重大错报风险上,即流程的每一步都必须把握对重大错报风险的控制,整个审计过程的不同阶段、不同流程的目的性高度统一,指向了同一点,而不再是相互割裂和目标不一。其次,对被审计单位的了解是为了评估财务报表总体层次和认定层次的重大错报风险,而不再仅仅是为了评估固有风险,不能再回避和绕过。新准则不仅找准了“穴位”,而且还抓住不放,要求的是对重大错报风险的全程关注和控制,任何不同流程、不同环节的不同工作,但最终目的都要落在对重大错报风险的控制上。它不再强调对“细支末梢”和“无关痛痒”处的斤斤计较,它所极力要摒弃的是直接一头扎在对各类交易和账户余额的测试上,而不从宏观层面考虑会计报表可能存在的重大错报风险,它的目的只有一个——防止注册会计师只发现小错误而忽略大问题。
我们可以从国际新审计风险准则及其审计流程中过滤出新风险导向审计的实质内涵:第一,强调必须从宏观上了解被审计单位及其环境,以充分识别和评估会计报表的重大错报风险;第二,强调针对评估的重大错报风险设计和实施控制测试和实质性程序;第三,强调无论内部控制是否有效,都要对各类重大交易、重要账户余额和重要披露进行详细审计。
国际新审计风险准则不仅为国际最新风险导向审计奠定了重要的基石,而且为最新风险导向审计构建起了最为重要的指导理念。它纠正了传统风险导向审计偏离了目标的工作起点和导向,重新为风险导向审计工作指明了正确的起点和方向。它引导注册会计师首先必须花大力气去识别和评估重大错报风险,再据此有针对性地采取措施,合理保证财务报表不存在重大错报。
国际新审计风险准则的出台也将审计关注的重心从企业经营的结果——会计经营信息资料,转向了经营活动的起始端——企业的战略目标、经营环境、公司治理结构及内部控制等,同时也将查证的范围从企业内部延伸到了企业外部环境。国际新审计风险准则为我们把握出了最新风险导向审计的脉向——提纲携领、纲举目张的战略风险审计观。
我们从各种媒介所看到的有关风险导向审计的话题都是指向注册会计师行业,似乎这个话题离政府审计和内部审计很远。也难怪,注册会计师行业的确处在风险的风口浪尖上。我们内部审计能否不安于现状,以超前的意识引入现代风险导向审计?我认为将风险导向审计理念引入内部审计,意义是不容置疑的,虽然国际审计与鉴证准则理事会修订的审计风险模型可能不一定完全适合我们内部审计,但它所体现的风险导向审计理念是完全也是可以为我们所用的。下面结合我们内部审计目前的一些实际情况,浅谈一下有关引入风险导向审计理念的意义、可操作性及实际操作方面的一点认识。
引入国际最新风险导向审计理念不仅能够引导我们关注审计风险,提高审计质量和审计效率效果,而且从国际先进内部审计的主流理念出发,它更可以使我们内部审计发挥出评价和服务职能,在从宏观上了解企业及其经营环境的基础上,更好地帮助企业把握经营环境、战略管理和信息管理,规避经营风险、管理风险和控制风险。在了解企业及其经营环境方面,我们内部审计比注册会计师更具“近水楼台先得月”的有利条件。我们应该充分利用我们的优势,收集我们企业及其所覆盖的所有被审计单位的经营战略信息、内外环境信息和财务信息等方面的数据资料,利用计算机以及网络技术给我们的审计对象建立起一个动态的重大错报风险数据分析系统。通过对各个审计对象的横向动态比较分析,确定他们的动态风险排序,即让我们从总体上了解把握我们的审计对象的不同审计风险水平。在具体对某个审计对象进行审计时,我们再结合综合分析评价其非量化的动态变化因素,对其进行纵向动态比较分析,评价确定其在本次审计中的重大错报风险水平。万事开头难,随着风险数据库资料的建立、积累和补充完善,随着不断的分析利用和经验积累,相信我们会从中受益并且会受益非浅。我们在利用会计报表数据分析时应注意考虑某些因素造成的影响。比如,报表的口径是否一致;使用合并报表分析应考虑诸如权益法下的合并收益包含了没有参与合并的被投资企业的收益,但却没有包含其销售收入、费用、资产和负债等会扭曲某些财务比率等等因素。我们应注重对某些能够反映企业真实经营情况的数据报表如现金流量表、企业内部的管理报表以及特殊行业如饭店管理的机器报表的分析利用。因为这些报表与相应的会计报表的对比分析,更能够真实的反映情况和揭示问题。
国际最新风险导向审计理念要求将审计的触角前伸,对审计界来说,它并不是一种新说,我们想一想,对工程项目不就是运用了这种审计理念吗?工程项目因建造过程的不可重复性,因此将审计触角前伸,实行了对其全过程的审计监督。外企对于内部审计机构也是按照这个思路设置的,他们的审计机构设置是与企业生产经营各环境相对应的。对应着生产环节,设置有生产审计科;对应着经营管理环节设置有经营审计科;对应着投资、筹资业务设置有投资、筹资审计科。他们审计人员相应配备的是生产经营管理各环节的专业人才,他们审计机构的职能设置覆盖了企业生产经营的全过程。再看一下我们的内部审计,无论是机构或是职能设置都还没有体现这种全面覆盖、全过程介入的意识,我们所做的可能只是轻轻触及了企业生产经营的最终形成结果(还几乎仅限于会计账面的)。其实,就如同对工程项目的管理监督,对我们企业的生产经营管理全过程的审计监督同样重要。有些问题是在形成过程中容易暴露和被发现,到了过程的最终完结阶段,问题就有可能被虚假的表象所遮蔽,也就不易发现和揭示。就像违章操作,并不是每次违章操作都会造成事故,在缺乏监督的情况下,没有造成事故的违章操作,最后谁又能知道呢?但如果设置了第三方监督,而且监督的职责到位,每次违章就会被发现并及时制止,也就不会造成事故的最终结果了。我们传统的事后的审计监督的缺陷就是不能及时发现问题,防患于未然。而将审计的触角向前延伸,将审计监督介入到企业生产经营活动的全过程,至少在目前来看,不失为解决事后审计缺陷和不足的好办法。现在的计算机网络技术,也使得实时监控,随时掌握企业的经济活动和财务等相关信息成为可能,也就是说现代计算机信息系统已为我们内部审计实现全过程的审计监督搭建起了方便的支持平台。
国际最新风险导向审计尚未形成一个完整的审计模式和具体成熟的套路,它更重要的东西是体现在对重大风险控制的理念上,并让我们用这个旗帜鲜明的理念,去指导和控制我们审计的全过程及各个环节。当然,国际新审计风险准则所强调的针对评估的重大错报风险设计和实施控制测试和实质性程序也给我们指明了大的方向,而这恰恰也是指向了我们内部审计的软肋。适当的审计计划和审计程序的设计不仅是顺利完成审计任务的重要保障,更是防范和控制审计风险的重要措施。凡事预则立,不预则废,尤其对于国有大型企业的审计,没有恰当的时间预算和人员配置,没有详细周全的审计程序的设计规划,对审计风险的控制可能就无从谈起。此外对内部审计的过程及其结果缺乏相应的监督和检查程序,也是导致内部审计质量难以保证的一个因素。引入风险导向审计理念,也应从内部审计机构及其制度和职能的建设上进行改进,建立起完善的内部审计的监督和复查机制。
风险导向审计在实际操作上尚没有什么特殊的利器。我认为统计抽样、分析性复核、函证、突击盘查等技术手段应该成为重用之器。同时,不应再过多依赖内部控制测试。
首先,必要时进行控制测试是国际最新审计风险准则所要求的审计流程,控制测试必然要运用抽样技术,抽样技术必然会产生抽样风险。以往我们内部审计因方便易行而习惯采用非统计抽样,但这种选样不能体现随机原则,样本的代表性差,因而不能保证抽样样本的结果推断总体的合理性,因此其具有对抽样结果的风险水平和把握程度无法进行量化控制的缺点。引入风险导向审计我们应该尽力尝试使用统计抽样,同时应积极利用计算机技术使得统计抽样也变得方便快捷,这样我们就既可以享受计算机统计抽样的便利,也能够利用统计抽样技术量化和控制抽样风险,从而达到配合审计风险模型,量化检查风险的目的。
其次,风险导向审计将使分析性复核得到更加充分的运用。风险导向审计要求从宏观上了解把握企业及其环境,对于调查了解的数据进行分析比较,必然要运用分析性复核技术,而且按照风险导向审计理念,全过程地把握重大错报风险,也注定要使得分析性测试方法得到更加充分的运用和施展。分析性复核测试技术本身就是可用于审计各阶段的,在审计调查了解计划阶段,它可以帮助我们分析查找重大问题和审计线索;在审计检查阶段,它可以用于分析复核数据的合理性;在审计终结阶段,它可以用于从整体上验证复核各方证据和审计结论的一致性、可靠性。
再次,最新国际审计风险准则要求无论内部控制是否有效,都要对各类重大交易、重要账户余额和重要披露进行详细审计。全面检查似乎是内部审计惯用的手法,但将所有的凭证翻查一遍不等于详细审计,详细追查业务的实质才是详细审计的关键。对各类重大交易、重要账户余额和重要披露进行详细审计,我认为我们内部审计应重视函证、突击盘查等技术手段的应用。函证对于重要账户余额的认定是一个既简便而又有效的审计程序,函证的结果也可能会带来某些信息和引出问题线索。但不知什么原因,函证这种在注册会计师行业普遍甚至是必须使用的手段在内部审计的运用上却是一片空白。突击盘查手段似乎也仅限于对库存现金的盘查。其实,对某些重要有形及实物资产以及工程项目和大修改造等项目进行突击实地查验也同样重要。美国发生过一个审计失败案例,造假者虚构了大量的房地产,并伪造了全套文件手续资料,审计方查阅了资料没有发现问题,但因资产金额庞大,仍谨慎地坚持要到实地查验,造假方阻拦不了,就“精心”安排,临时租用了一幢大楼,并且制作了标牌挂在楼外,还花钱雇佣人充当员工进行接待表演,以致蒙骗了审计方。这说明实地盘查重要,但有选择的选取盘查对象进行突击盘查可能更为重要。对于大型资产、工程项目、在建项目、大修改造等项目如果怀疑其进度乃至其存在的真实性,应追加实地查验等有效的审计程序。
最后,新国际审计准则强调无论内部控制是否有效,都要对各类重大交易、重要账户余额和重要披露进行详细审计。对此我的理解是新国际审计准则已经弱化了对内部控制测试的依赖程度,已不再将对内部控制制度的评价作为导向性目标。也即,已经放弃了在评审内部控制制度的基础上确定审计的重点和范围的这种审计导向。这主要是因为重大错弊、错报多是由于最高管理层舞弊型的内部控制失效而造成的,而这种管理层舞弊型内部控制失效下的重大错弊、错报是控制测试所无法发现的。有的企业经过内部控制审计,把表面文章做得“漂亮”了——程序都走到了,手续都齐备了,但实质情况却是完全相反。我们在2004年初曾对某公司进行了内部控制审计,提出其在内部控制制度建设上和执行上存在着诸多问题,并提出详尽的完善制度和控制的相关建议。2005年对其进行后续审计时发现,其在修订的制度上罗列了一大堆没有实质意义的内容,凭证账面倒是较之以前“漂亮”多了,但通过财务数据的分析比较我们发现,其审前的2003年度经过审计调整后的实际主营业务利润率为37%;审后的2004年度的主营业务利润率不但没升,反而急速下降为17%,下降幅度高达54%,并且没有证据能证明其这种趋势的合理性。这说明其表面符合控制手续的内部控制实质是没有效果的,没有达到控制的真正目的。有的企业在记账凭证下面所附的单据手续齐全,完全符合控制制度的要求,但经过了解,实际业务情况根本不是凭证单据所反映的,这就是内部控制的虚假有效,这种上下串通的舞弊,简单地控制测试是无法发现的。这种测试结果如果不加分析而信之用之,只会误导我们。所以,基于最新风险导向审计理念,我们在引入风险导向审计时,不能再过度信赖控制测试,无论内部控制是否有效,对各类重大交易、重要账户余额和重要披露都要进行详细审计,追究其实质。当然,运用内部控制测试对于规模较大、内部控制较好的企业中发生频繁的业务如采购与付款业务、销售与收款业务的审计还是很有必要的;但对于规模较小、控制缺失或无效的企业以及内部控制良好的企业中发生频率很低的业务如重大投资、筹资事项,控制测试并非是必须要进行。也就是说,内部控制测试是手段,而不是目的(不包括以出具管理建议书为目的的审计)。
【银行风险导向审计】推荐阅读:
我国商业银行内部审计的风险和对策研究11-02
银行网点风险防控06-19
美国影子银行风险11-10
银行风险数据治理01-14
商业银行信贷风险06-04
银行柜员风险自查报告06-10
银行风险识别与评估06-21
村镇银行风险控制研究06-26
中信银行市场风险07-01
