风险导向的审计风险评估审计风险评估体系的建立风险导向审计模式下审计的程序包括以下步骤:风险评估程序、控制测试、实质性程序,其中风险评估是基础和前提,通过风险评估来确定实施进一步审计程序的性质、时间和范围。
(一)审计风险评估指标体系设计思路。
审计风险是指,会计报表存有重大错报或漏报,而审计人员审计后发表不恰当意见的可能性。
根据新的审计准则,总体审计风险包括重大错报风险和检查风险。
重大错报风险是指财务报表在审计前存有的重大错报的可能性,重大错报风险的大小主要取决于生产经营风险的大小,而企业内部控制设置和执行的缺陷及具体认定本身固有缺陷也会造成错报风险。
检查风险是指某一账户或交易类别单独或连同其他账户、交易类别产生重大错报或漏报而未能被实质性测试发现的可能性。
审计的最根本着眼点就是分析企业所面临的经营风险,审计风险评估指标体系的设计也从企业经营风险和控制风险上来实行设计。
会计报表风险实际上是企业战略风险和相关经营风险的副产品,①其审计风险=企业经营风险+控制风险+检查风险。
(二)审计风险评估指标体系的构成审计风险评估指标体系能够依据注册会计师审计准则第1211号—了解被审计单位及其环境,并评估重大错报风险来确定。
1.外部环境。
外部环境对企业的经营和发展产生重要影响,从而可能导致重大错报风险的产生。
可能影响财务报表的外部环境包括企业所处行业状况、法律环境、监管环境、宏观经济环境。
2.被审计单位的性质。
如果被审计单位的所有权结构、治理结构、组织结构不恰当或存有缺陷,就有可能造成财务报表出现重大错报。
3.经营活动。
被审计单位的经营活动会产生经营风险,而多数经营风险最终都会产生财务后果从而影响财务报表。
经营风险主要来源于对被审计单位实现目标、战略产生不利影响的重大情况、事项、环境和行动,或源于不恰当的目标和战略,以及为实现目标和战略制定的关键经营流程。
4.财务业绩的衡量和评价。
被审计单位内部或外部对财务业绩的衡量和评价可能对管理层产生压力,促使其采取行动改善财务业绩或歪曲财务报表。
财务业绩的衡量和评价因素包括关键业绩指标、业绩趋势、业绩考核与激励性报酬政策。
5.内部控制。
内部控制能有效防止、发现和纠正被审计单位差错和舞弊,如果内部控制不利,被审计单位财务报表中出现重大错报的可能性就会大大增加。
内部控制包括控制环境、被审单位的风险评估过程、信息系统与沟通控制活动、对控制的监督。
审计风险的评估审计风险的评估方法采用定量分析法与定性法分析相结合的方法,在下面的审计风险评估中,我们采用了因素分析法、①审计风险模型法、分析性复核等方法。
(一)企业经营风险的评估企业经营风险评估的目的主要是为了确定企业的总体层次和认定层次的发生重大错报的可能性,传统的风险评估注重于对账户余额和交易层次风险的评估,在现代风险导向审计下,是从经营风险的评估入手,评估企业可能产生的重大错报和漏报。
当前审计人员的一般做法是:在各种情况都比较好的情况下,企业经营的水平应该高于50%;反之,如果有某种迹象表明有可能存有重大错误,就应该将企业经营风险定为非常高的水平,甚至100%。
评估企业经营风险的3个具体步骤如下:需要考虑企业经营风险的构成要素及其企业经营风险评估指标;各要素所占的权重以及各要素本身风险值的大小;最后将各要素风险值与其权重加权平均计算出企业经营风险值。
即企业经营风险=∑xiyi/∑Pyi,其中,x表示各指标(要素)本身风险值的大小,y表示各指标(要素)所占的权重,而P表示各指标(要素)本身风险的最大值(为一常数)。
下面举例说明企业经营风险评估的具体实施。
步骤一、经过对企业经营风险要素的识别,从指标体系中,选择一部分指标来实行计算。
它们是企业长期偿债水平指标,盈利水平状况指标,资产营运效率、安全边际指标,顾客满意度,市场占有率,主营业务市场份额等。
步骤二、确定每个指标的取值A=企业长期偿债水平,B=盈利水平状况,C=资产营运效率,D=安全边际,E=顾客满意度,F=市场占有率,G=主营业务市场份额,H=研究开发新产品周期,I=合格产品比率,以上指标取值均为1—5分。
其中1分表示企业盈利水平非常强、资产营运效率非常高、安全边际水准非常高、顾客满意度非常高、市场占有率非常高、主营业务市场份额非常大,研究开发新产品周期非常短、合格产品比率非常高。
5分表示企业盈利水平非常弱、资产营运效率非常低、安全边际水准非常低、顾客满意度非常低、市场占有率非常低、主营业务市场份额非常小,研究开发新产品周期非常长、合格产品比率非常低。
使用专家意见法,通过反复多次征求专家意见,形成基本一致的意见。
根据专家的意见,假设每个指标取值如下:A=3B=3C=3D=3E=2F=5G=4H=2I=2步骤三、使用矩阵技术,得出9个参数的相关重要性(即各自的权重,见表1。
需说明的是,本举证仅利用了一个简单的多元比较,而未采用高等数学中矩阵来求解。
矩阵中每一数字表示该数字所载列的参数相对于该数字所在行的参数的相对重要性(主要取决于审计人员的职业判断)。
相关加数值(即各自的权重)是由其上一行的平方根除以4得出。
所以,能够计算出个指标的权重如下:步骤四、计算企业经营风险根据公式:企业经营风险=∑xiyi/∑Pyi可知,企业经营风险=(1*3+2*3+3*5+3*1+2*1+5*3+4*2+7*2+7*2)(/1*5+2*5+5*5+1*5+1*5+3*5+2*5+7*5+7*5)=80/145=55%(二)企业控制风险的评估控制风险是被审计单位内部控制要素效果的函数。
审计人员无法改变控制风险水平,仅能评价控制系统和评估未能揭示出错报的概率。
如果存有以下几种情况:(1)控制政策与程序与认定不相关;(2)控制政策和程序无效;(3)取得证据来评价内部控制显得不经济。
那么审计人员能够将控制风险定为100%,直接实行实质性测试。
如果审计人员将控制风险定为100%以下的某一水平,则要执行下面的步骤来评估控制风险的水平。
1.根据识别初步评价控制风险审计人员在评估控制风险时,先了解相关的内部控制流程,识别相关的控制风险,对控制风险水平作一个初步的评估。
了解内部控制时,主要从以下方面考虑:(1)每一结构要素中制度和程序如何设计;(2)这些制度和程序是否得到执行。
考虑这两个因素的基础上结合控制风险识别的结果对控制风险做出初步评估。
2.通过控制测试降低估计的控制风险水平审计人员决定通过有效方法进一步降低控制风险的估计水平时,能够设计追加的测试程序来实行,包括3种方法:重新执行、进一步观察和文件测试。
审计人员实行测试时,应该对3个层次的内部控制实行测试,即对最高层、中层和最低层内部控制实行测试。
因为内部控制的运行效果能够通过实施控制测试来更好地了解,所以绝大多数审计人员在没有实施控制测试时都不愿意将控制风险评估为低于最高水平。
3.控制风险的计量内部控制是一个系统,按层次可分为3个控制层次,即最高层、中层和基层控制。
每一个层次都是一个子系统,3个层次中的每个层次的可靠性程序决定着整个内部控制的可靠性。
控制风险为:C=1-P;P=P1*P2*P3其中,C表示控制风险,P表示内部控制的可信性,P1、P2、P3分别表示最高层控制的可信度、中层控制的可信度和基层控制的可信度。
首先,对最高层控制所设计的控制风险指标包括权力决策人员知识结构、水平结构达标率。
这些指标越高,则内部控制设计相对较为健全,控制风险较小。
在中层控制流程上,所使用的指标主要为评价管理部门设立的全面性、互为牵制作用性指标,当这个指标越高时,即管理部门的设计越全面,各职能部门之间能起到很好的牵制作用,则控制风险就可能会小些。
在基层控制流程上,评估控制风险的指标主要有一定会计期间内的岗位轮换率,业务操作的换人复核率,稽核程序执行率,稽核统计差错率,稽核重大事项的即时报告率等。
当这些指标比率较高时,控制风险相对较小。
上述控制风险评估的计量结果与控制测试的测试结果相结合,就可具体地评估出控制风险。
(三)检查风险的评估检查风险是审计程序的有效性和审计人员使用审计程序有效性的函数。
检查风险是必然存有的风险,其水平的高低与被审计单位无关,而与审计程序的有效性相关。
审计人员能够控制检查风险,但受审计资源、审计时间等要素制约,以及审计人员出于成本效益的考虑,检查风险不能根除。
与企业经营风险和控制风险不同,检查风险是根据审计风险模型的公式计算出来的,即:检查风险=审计风险/企业经营风险*控制风险检查风险的实际水平随着审计人员实施实质性测试的性质、时间和范围的变化而改变。
结束语当前,审计风险评估体系还存有以下下问题:(1)非财务性指标使用较少,如企业面临的竞争环境、潜在的危机等指标如何计入指标体系;(2)非量化的财务指标操作性不强,易被操纵和受主观因素影响;(3)信息化使用水平不高,未形成统一风险评估软件,评估方法不一;(4)法律制度不健全,从业人员对审计风险重视不够,所以,审计风险评估体系有待完善。
风险导向的审计风险评估。