审计风险及其控制研究汇总十篇
审计风险及其控制研究篇(1)
伴随着我国综合国力的提升,企业内部审计的风险问题已经日渐受到大家的关注。目前我国的大多数企业都存在内部审计机构独立性不强,设置不合理等的方面的问题,如果要根治这种现象,就应该对企业内部审计的风险做出周全的考虑与思量,找出正确合理的风险应对措施。
一、内部审计风险的涵义
内部审计,它是一种监督行为,且独立于行政管理部门。它以促进企业经济发展为目的,以负责本单位及所属单位的经济活动和财政情况的审计风险作为手段。审计风险,则是指企业的财务报告出现问题时,内部审计部门的职员却主观片面的判断其报告是正确合理的,并依据这种判断而得出不适当的审计建议的可能性。
二、内部审计风险的特点
(一)内部审计风险的无法预防性
造成审计风险的成因是各不相同且多方面的,所以它就具有一定的必然性。而今,内部审计部门职员对企业业务和内部控制制度的认识逐渐提升,对日常工作进行经常性审查,内部审计风险已得到有效控制。
(二)内部审计风险范围的广泛性与持久性
促进成本节制,可为企业带来更多的经济利益,因此是企业内部审计的重要目的,所以其广泛的存在于企业经营运作过程中。而审计风险又存在于审计活动的全过程,因此内部审计风险也同样存在于企业经营运作全过程,这就在时间、空间上大大扩大了内部审计范围,加大了内部审计的风险。
(三)内部审计风险的隐蔽潜在性
内部审计风险的隐蔽潜在性,其表现在是无法通过计算得到的。除此之外,内部审计风险的所带来的影响也是不显著的,只有当它的不良影响成为现实,并给企业带来巨大损失,它才可能表现为实在性。
(四)内部审计风险的或然性和可测控性
内部审计风险并不是必然产生审计责任,也不是所有的内部审计风险都会对企业的日常经营管理活动造成重要影响。且内部审计人员可以运用专业的知识技能和丰富的工作经验对内控制度强弱进行测试,对其进行控制,使内部审计的风险降低。
三、内部审计风险的成因
(一)传统内部审计工作形式的影响
查错和发现问题是传统企业内部审计工作的侧重点,其内部审计主要是以财务账项的审计方法为主,重点主要集中在事后审计,而在事前审计和事中审计方面存在很大缺失,很难避免内部审计带来的风险。
(二)内部审计的复杂性
随着我国经济体制的不断完善,很多企业都进行了改制。在审计对象方面,由原来的单一形式扩大到股份公司、企业集团等。在审计内容方面,由原来的传统财务审计发展为多层次、全方位的审计,为了适应新的审计模式,对内部审计人员的要求越来越高,使其审计结论的正确性也越来越好,因此审计风险随之增大。
(三)内部审计机构的独立性缺失
内部审计相比较于外部审计,具有外部审计所不能比拟的作用,它对于预防企业经营管理风险、有效杜绝现象、提高企业的经济效益具有重要意义。但在实际工作中,内部审计部门往往独立性较差,以致无法确保审计工作的完整性。
(四)内部审计人员的业务素质较低
单一的传统审计模式仅仅以财务审计为主,对于经营管理、经济法律等方面的综合性管理知识缺乏。随着电子信息化的发展,电子信息经济的应用技术对审计人员的工作业务能力提出了巨大的挑战,因此给企业内部审计也带来了一定的风险。
(五)缺少必要的质量控制措施
审计质量较低的原因,是由于质量控制制度的不完善。其奖励和惩罚机制不能积极带动内部审计人员的工作热情和积极性,从而不能认真完成审计任务,不严格按照标准出具审计报告,进而导致内部审计的质量严重下降。
四、内部审计风险控制的必要性
内部审计风险是由内部审计和审计风险组成,而内部审计是内部控制的重要组成部分,从而决定了内部审计风险控制的重要性。
(一)内部审计风险控制的重要性
内部审计风险对于企业整体经营运作非常之重要,必需要对相应的风险进行控制。内部审计风险如果能够得到有效控制,对贯彻落实企业经营管理策略,保证企业会计信息合法合规以及日常经营活动的真实有效地开展具有重大作用,因此内部审计的风险控制是现代企业风险管理的重要内容。
(二)内部审计与内部控制的有机联系
内部审计不仅仅是内部控制的一个组成部分,也是内部控制的一种特殊形式。而内部审计风险又是重中之重。内部审计是对内部控制进行再控制,这在很大程度上表明:内部审计工作的发展方向,是以现代企业的风险管理为导向,对企业的内部审计进行循序渐进的管理控制。
加强内部审计风险的控制是一项长期而艰巨的任务,不是短期内就能完成的,也不是仅仅依靠企业自身的努力就可以达到的。首先,国家应该为企业塑造一种积极的、重视开发和研究内部控制的优良的宏观氛围。此外,外界也可以给企业的经营管理者适当的压力和动力,让其能够在一定程度上提高和完善企业的内部审计制度。
参考文献:
审计风险及其控制研究篇(2)
风险是一个事项将会发生并给目标实现带来负面影响的可能性(COSO,方红星等译,2005),它实质上是指损失的不确定性。企业风险可以描述为企业目标不能得以实现的可能性(孟焰、潘秀丽,2006)。风险是影响企业经营管理决策的重要因素。如何关注企业风险,实施有效地风险治理措施,是企业必须面对的重要议题。伴随着企业风险意识的不断加强,以及相关理论研究的持续深入,内部控制、风险管理与审计之间的联系逐渐引起理论界与实务界的重视,风险导向成为内部控制和审计的主流思想。鉴于此,本文在梳理内部控制、风险管理与审计之间关系的基础上,试图构建由经营者、所有者、内部审计师和外部审计师组成的企业风险综合治理体系,以期达到降低企业风险、增加企业价值的效用。
一、内部控制的本质:风险控制机制
内部控制是指企业为了实现控制目标,由董事会、监事会、经理层和全体员工实施的一系列政策和程序,它是企业加强经营管理的有效工具和手段。内部控制本质上是组织的内部风险控制机制(丁友刚、胡兴国,2007),它是有助于降低企业风险的一种控制机制,内部控制的最终目标是提高企业的经营管理水平和风险防范能力。内部控制源于企业管理中的内部牵制思想,内部控制理论的发展先后经历了内部牵制、内部控制制度、内部控制结构、内部控制整合框架和企业风险管理整合框架五个阶段。在内部控制的演进过程中,内部控制的目标从最初的确保实物资产安全,到提高经营效率以及财务报告信息的可靠性,再到保证法律法规的遵循性,以至现阶段对企业战略风险的关注,无不体现出风险控制的理念。内部控制就是控制风险,控制风险就是风险管理(谢志华,2007)。在企业风险管理整合框架阶段,风险控制从基础层面上升到战略层面,战略风险控制成为内部控制的首要目标,经营风险控制、财务报告风险控制以及合规性风险控制都服从于战略风险控制。风险整合框架的,使内部控制从一般意义上风险控制机制扩展至全面风险控制机制,成为企业加强管理、提高经营效率和效果,从而实现战略目标的有力手段(财政部会计司赴美国考察团,2007)。
二、内部控制、风险管理与内部审计
国际内部审计师协会(IIA)在《内部审计实务标准》中将内部审计定义为:“是一种独立、客观的确认和咨询活动,旨在增加组织的价值和改善组织的运营。它通过应用系统化、规范化的方法,评价并改善风险管理、控制和治理过程的效果,帮助组织实现其目标”;《企业内部控制应用指引》(征求意见稿)将内部审计定义为:“是指企业内部的一种独立客观的监督、评价和咨询活动,通过对经营活动及内部控制的适当性、合法性和有效性进行审查、评价和提出建议,促进改善企业运行的效率效果、实现企业发展目标”。从其定义可以看出,内部审计具有评价、监督和服务等职能。内部控制、风险管理与内部审计之间的联系日趋紧密,内部审计是内部控制体系的组成部分,风险管理是内部审计的重要领域。
(一)内部审计是内部控制体系的组成部分
1986年4月,最高审计机关国际组织在第十二届大会上发表的《总声明》,把组织结构、方法程序和内部审计作为内部控制的要素,内部审计成为内部控制的重要组成部分。内部审计在企业内部天然的监督作用使其自然成为内部控制方式之一,同时又是对内部控制执行情况的一种监督形式,是对内部控制的控制(曹伟、桂友泉,2002)。内部审计是内部监督的主要形式,《企业内部控制基本规范》把内部监督作为内部控制的一个要素。根据《企业内部控制基本规范》的要求,企业应当制定内部控制监督制度,明确内部审计机构和其他内部机构在内部监督中的职责权限,规范内部监督的程序、方法和要求。由此可见,内部审计是内部控制体系的组成部分。
(二)风险管理是内部审计的重要领域
企业风险管理的有效性在一定程度上取决于企业对风险管理工作的监督和评价(孟焰、潘秀丽,2006),对组织的风险管理过程进行检查、评价和报告是内部审计人员的重要工作。IIA实务公告2110-1规定:“内部审计师应通过检查、评价、报告与建议改进有关风险管理过程的适当性和有效性,来协助管理层和审计委员会。内部审计师在充当咨询角色时,可以协助组织确认、评价风险并执行风险管理方法和控制来解决这些风险”。我国《内部审计具体准则第16号――风险管理审计》第七条规定:“内部审计人员应当实施必要的审计程序,对风险识别过程进行审查与评价,重点关注组织面临的内、外部风险是否已得到充分、适当的确认。” 以上规定充分体现了风险管理是内部审计的重要领域,内部审计在企业风险管理过程中起到监督、评价和咨询等作用。
内审部门作为内部控制和风险管理的牵头部门,只有通过其风险管理等各项增值服务,才能真正体现该机构在组织中的存在价值(王斌,2009),内部审计既是企业内部控制和风险管理的监督者,又是完善企业内部控制和风险管理的重要推动力量。
三、内部控制、风险管理与外部审计
(一)外部审计依赖于内部控制
内部控制是公司内部治理机制的基石,有效的内部控制,能够保证公司的正常运作和发展;外部审计是现代公司治理不可或缺的组成部分,外部审计治理作用的有效发挥有赖于内部控制的良好运作。内部控制和审计分别是影响组织效率的内在因素和外在因素之一,二者自身的产生、演进和彼此之间的互动、耦合,都是追求组织效率的必然结果(方红星,2002)。现代审计依赖于内部控制。审计人员是内部控制理论研究的发起者和推动者,也是该理论发展至今最大的使用者(张宜霞,2007)。
审计师关注与财务报告相关的内部控制。正是由于资本市场对企业财务会计信息质量的要求,才使得作为经济警察的注册会计师对企业内部控制制度的建立与执行尤为关注(施先旺,2008)。风险导向审计是审计模式发展的最新阶段,根据风险导向审计的要求,审计师首先要了解和评价被审计单位的内部控制,通过对被审计单位的战略及经营风险进行识别和评估,来确定高风险的审计领域,以便进行重点审计,从而有利于提高审计效率,减低审计风险。在现代风险导向审计方法实施过程中,仍然需要用到制度基础审计方法甚至详细审计方法的一些程序,但它已不局限于对传统企业内部控制的分析,而将分析对象扩大到整个企业的风险管理范围(审计理论研究课题组,2009)。但是,应当明确一点,在风险导向审计模式下,审计对内部控制的依赖不是减弱了,而是得到了进一步加强,只是分析范围扩大到整个企业的风险管理领域。
(二)外部审计是一种风险监督机制
理论是解释审计需求的主流理论,它是在Jensen和Meckling(1976)所倡导的委托理论的基础上发展起来的。在企业的委托关系中,委托人和人的目标往往是不一致的,人为了追求自身利益的最大化,可能会损害委托人的利益。为了使人与委托人的利益保持一致,委托人通常会选择适当的激励机制与监督机制,来减少委托人与人之间的信息不对称,而外部审计就是一种有效的监督机制。
外部审计作为一种外部监督机制,对于缓解冲突,促进资源的优化配置具有重要的作用。由于股东收益因关系存在而可能受到损害,因此股东的风险控制愿望一直表现得非常强烈(王斌,2009)。外部审计是所有者(股东)检验经营者经营管理效率和效果的一种方式,它是所有者对经营者实施的一种监督机制。外部审计师需要实施风险评估程序,来了解被审计单位的目标、战略以及相关经营风险。因此,所有者可以从外部审计师那里获得较多的关于企业的风险信息,这样就可以有效地降低所有者和经营者之间的信息不对称,进而所有者可以通过影响经营者的经营管理决策,来降低企业风险。
经济监督是审计的基本职能。审计的经济监督职能,主要是指通过审计、监察和督促被审计单位的经济活动在规定的范围内、在正常的轨道上进行;监察和督促有关经济责任者忠实地履行经济责任,同时借以揭露违法违纪、稽查损失浪费,查明错误弊端,判断管理缺陷和追究经济责任等(李凤鸣,2006)。根据我国《独立审计具体准则第24号――与管理当局的沟通》的要求,注册会计师应当对已发现的重大错误、舞弊或可能性,与管理当局进行沟通。《企业风险管理――整合框架》也指出,在进行财务报表审计时,审计师可以向管理当局提供有关风险管理方面的信息,以便管理当局更好地履行其风险管理职责,这些信息主要包括审计师所注意到的风险管理和控制所存在的缺陷,以及改进的建议。与管理当局进行沟通,有利于管理当局及时发现经营管理中的漏洞,以便采取整改措施,防止风险的扩大。
由此可见,无论是从所有者角度来看,还是从经营者角度来看,外部审计都是一种风险监督机制。
四、企业风险综合治理体系的构建
本文论述了内部控制、风险管理与审计之间的联系,它们在各自的职能领域发挥着风险控制或者风险监督的作用。内部控制的本质是一种风险控制机制,风险管理包含内部控制,内部控制是风险管理不可分割的一部分,风险控制是内部控制和风险管理的根本目标;内部审计是内部控制体系的组成部分,风险管理是内部审计的重要领域;外部审计依赖于内部控制,对所有者和经营者来说,外部审计是一种风险监督机制。基于内部控制、风险管理和审计之间的密切联系,笔者构建了由经营者、所有者、内部审计师和外部审计师组成的企业风险综合治理体系,以期达到降低企业风险、增加企业价值的效用。图1为企业风险综合治理体系示意图:
(一)经营者是企业风险治理的实施者
本文所指的经营者是指企业的经营管理决策人员,主要包括董事会、监事会和经理层等。董事会应当确保风险管理过程的适当性、有效性,并最终对企业的风险管理过程负责;监事会对董事会建立与实施的风险管理政策进行监督;经理层应当树立风险导向的经营管理理念,制定合理的风险管理政策,并且确保其能够发挥应有的作用。企业应当根据不同的管理级层赋予相应的风险责任和职能,并且成立专门机构(如风险委员会)或者指定适当的机构(如审计委员会)来负责组织与协调企业风险治理机制的建立实施以及日常工作。同时,经营者还应当考虑向内部审计师和外部审计师征求风险治理意见,以便能够扩大视野,提高风险治理水平。
(二)所有者是企业风险治理的需求者
所有者(股东)是企业风险的最终承担者,经营者的不当行为所造成的损失要由股东来“买单”。因此,所有者具有强烈的风险控制愿望,他们往往会采取一些措施来控制企业风险。例如,股东大会对企业的经营方针、筹资、投资、利润分配等重大事项享有表决权,所有者可以通过否决潜在风险较大的投资项目、撤换不称职的经营者等方式来规避风险。另外,王斌(2009)提出,要使股东有能力保持对公司风险的持续监控,股东要做的事应当是:追加购买审计师的额外服务,即要求审计师在向股东提供年度审计报告的同时,追加提供“风险提示意见”这项服务功能,并将其与审计报告一起对外披露。笔者认为,股东追加购买审计师的额外服务,并不会增加审计师的负担。因为外部审计师必须对被审计单位的风险进行评估,它只是外部审计师提供年度审计报告业务的“副产品”,并且能够在一定程度上满足股东风险控制的期望。尽管目前尚处于理论探索阶段,但股东向外部审计师购买“风险提示意见”这项额外服务,将具有广阔的发展前景。
(三)内部审计师是企业风险治理的监督者
内部审计机构是企业内部控制和风险管理的监督部门,内部审计师理应成为企业风险治理的监督者。内部审计师通过对企业风险管理的恰当性和有效性进行检查、评价、报告和提出改进建议,能够使董事会和经理层全面、系统地了解企业的风险治理状况,从而有助于董事会和经理层提高风险治理水平,实现对企业风险的有效控制。
(四)外部审计师是企业风险治理的咨询者
现代风险导向审计是以被审计单位的战略风险为导向,审计师需要了解被审计单位及其环境,重点关注被审计单位的目标、战略以及相应的经营风险,根据风险评估的结果来实施进一步的审计程序。注册会计师具有较强的职业判断能力,能够对被审计单位的风险治理状况作出合理的评估。因此,被审计单位的董事会和经理层有必要与外部审计师进行沟通,征求外部审计师的风险治理意见。同时,外部审计师要与内部审计师加强交流与沟通,尤其要针对内部审计师咨询企业在内部控制和风险管理方面所存在的问题,利用内部审计资源,充分识别风险较高的领域,进而提高审计效率。
【主要参考文献】
[1] 财政部会计司赴美国考察团. 美国会计国际趋同、注册会计师监管和内部控制考察报告[J]. 会计研究,2007(8):3-8.
[2] 曹伟,桂友泉. 内部审计与内部控制[J]. 审计研究,2002(1):27-30.
[3] 丁友刚,胡兴国. 内部控制、风险控制与风险管理――基于组织目标的概念解说与思想演进[J].会计研究,2007(12):51-54.
[4] 方红星. 内部控制、审计与组织效率[J].会计研究,2002(7):41-44.
[5] COSO.企业风险管理――整合框架[M].方红星,王宏等译. 大连:东北财经大学出版社,2005.
[6] 贺密柱.内部控制理论演进的中外比较及其思考[J].财会通讯(学术版),2008(2):101-103.
[7] 李凤鸣,韩晓梅. 内部控制理论的历史演进与未来展望[J]. 审计与经济研究,2001(7):61-63.
[8] 李凤鸣. 审计学原理(第三版)[M].上海:复旦大学出版社,2006.
[9] 孟焰,潘秀丽. 企业风险管理审计研究[J]. 审计研究,2006(3):61-63.
[10] 施先旺. 内部控制理论的变迁及其启示[J]. 审计研究,2008(6):79-83.
[11] 审计理论研究课题组. 审计基本理论比较:前后一贯的理论结构[M].上海:立信会计出版社,2009.
[12] 王斌. 股东期望、全面风险管理与审计价值[J].会计研究,2009(5):87-93.
[13] 吴水澎,陈汉文,邵贤弟. 内部控制理论的发展与启示[J].会计研究,2000(4):2-8.
审计风险及其控制研究篇(3)
近年来,随着人工智能以及智能体Agent技术的发展,利用具有一定自主推理、自主决策能力的Agent以及由其组成的多Agent系统来优化和实施企业风险控制,已成为当前研究企业风险管理的重要方向和热点之一。但目前尚未有研究机构基于Agent理论及技术对审计“免疫系统”进行相关研究。鉴于此,本文利用人工智能研究领域中的智能Agent理论及技术,尝试从全面风险管理视角,研究企业内部审计“免疫系统”架构及免疫路径,以拓展审计“免疫系统”理论的研究思路。
二、智能体相关概念
智能体也称主体、、Agent,到目前为止还没有完全统一和权威的定义。在不同的研究领域,学者们给出了不同的定义。本文将智能体定义为:具有自主,并能与外部环境进行主动交互,按照某种目标或要求完成特定任务的组织或人。
一个典型的智能体基本结构如图1所示。智能体通过传感器感知环境的信息,对接收到的信息按照某种目标或要求进行自主处理,形成决策(包含若干为完成某些特定任务或在特定环境下所采取的动作步骤等),最后,将决策结果借助执行器作用于外部环境,同时,与其他智能体进行信息交换与传递,以主动适应外部环境的变化,即智能体具有智能性。
智能体除了具有智能性外,还具有自主性、响应性、交互性和协调性等。所谓自主性表现为Agent能够控制自身行为,其行为是自主的、主动的、自发的、有目标和一定意图的,能根据目标和环境要求对短期行为进行规划,能在环境中自主执行任务;所谓响应性是它能够感知周围的环境变化并对来自环境的影响做出适当的反应;所谓交互性表现为每个Agent可以与周围环境或其它Agent之间按照一定规则进行相互协作和通讯,来完成一个共同目标;所谓协调性表现为单个Agent一般以某种角色存在于由多Agent组成的大系统中,在这个多Agent系统中,单个Agent可以与其它Agent进行各种信息交换,并在工作中进行合作与协调。
实际应用中,为了解决单个Agent所不能够解决的复杂问题,需要将多个Agent组合起来协同工作,这就构成多Agent系统。在多Agent系统中,每个Agent都有各自的工作职责,且每个Agent按照某种目标或要求完成特定的任务,并对事务进行自主处理,多Agent间通过信息交互,实现合作与协调,从而完成更复杂、更广泛的功能。由于多Agent系统中的Agent具有自主性、响应性、交互性和合作协调性,使得各Agent 间的协作,表现为具有不同领域知识、承担多种角色成员的集思广益,在个体认知和群体合作的基础上,推进对局部问题(局部风险管理)的认知,并最终实现对全局问题(全面风险管理)的系统解决。这种多Agent系统的协作过程遵循个体认知规律,具有明显的群体性、交互性、知识背景的多样性、协作过程的互启发与互学习性等特征,这为本文的研究提供了很好的借鉴。
三、基于智能体的企业内部审计“免疫系统”架构
企业作为一个组织严密的经济体,在其经济运行过程中必然会遇到来自内外部环境的各种风险干扰,这种状况客观要求包括内部审计人员在内的全体管理层和员工的共同参与,紧紧围绕企业自身战略目标,让风险管理的思想、方法和流程贯穿于企业各部门和各项工作之中,对包括企业战略制定、生产、经营等各个环节和过程的风险进行全面管理,只有这样才能保证企业健康发展。内部审计作为企业组织的免疫系统,在全面风险管理模式下,内部审计必须与企业其他各部门紧密配合,在董事会授权以及审计委员会的指导下,对企业各环节风险进行监督,对各部门及其员工风险管理机制的健全性和有效性以及实施效果进行评价,最终形成由全体员工共同参与、包含多种风险治理方式的、具有多层次结构的全面风险管理结构。由上述对多Agent系统的特性分析可知,全面风险管理模式下的企业内部审计“免疫系统”本质上是一个多Agent系统。在这个多Agent系统中,每个Agent(企业部门或具体的人)各司其责同时又密切合作,通过Agent间的频繁通信,以协调和应对企业风险,实现对企业风险的“免疫”(风险管理),最终使企业应对风险的“免疫力”得到提升,从而确保企业战略目标的实现。
根据以上分析,结合“角色-Agent”分类方法,全面风险管理模式下企业内部审计“免疫系统”功能的多Agent架构如图2所示。
由图2可见,基于智能体的企业内部审计“免疫系统”由四个部分构成,一是从事风险感知和风险识别的Agent(企业一线部门及其员工);二是从事风险管理、咨询工作的Agent(专门职能部门、项目组及其相关负责人等);三是实施风险管理与控制决策的Agent(风险控制决策层);四是负责在上述每个部分之间进行信息交互的通信Agent。下面对图2各要素及其在内部审计“免疫系统”中的作用说明如下:
风险感知Agent:企业一线部门员工,如:生产部、采购部等员工,他们能够在第一时间感知企业经济运行中所蕴藏的风险,是企业内部审计“免疫系统”实施免疫的基础。
风险识别Agent:企业一线部门及其相关员工,他们能及时识别侵入企业的病原体(风险),并对抗体(风险应对措施或方案)的产生提供建议,对内部审计免疫效果(风险控制效果)提出改进意见。
风险感知Agent和风险识别Agent的作用过程相当于人体免疫系统的免疫防御,是企业内部审计“免疫系统”实施免疫的第一道防线,对帮助企业快速感知和识别内外部环境所蕴藏的各类风险,使企业不断适应复杂的环境有着重要的意义。
风险控制Agent:实施风险控制的职能部门、项目组以及相关负责人等,他们根据风险感知Agent和风险识别Agent提供的风险信息,按照一定的工作规范及职责,对风险进行控制(风险的局部控制),对风险评价和内部控制的有效性进行复核,并将风险控制效果(免疫效果)反馈给风险监控Agent(内部审计以及审计委员会)。
风险控制Agent的作用过程相当于人体免疫系统的免疫应答,是企业应对风险的第二道防线,也是企业内部审计“免疫系统”产生免疫效应的关键环节。
风险监控Agent:企业审计委员会、内部审计部等,他们对企业全面风险管理和内部审计过程行使咨询、监督和指导职能,对企业经济运行过程中出现的缺陷和漏洞提出建设性意见,对内部审计免疫系统的免疫效果(风险控制效果)进行评价,将免疫信息(风险控制信息)在企业不同部门与层次之间进行传递和沟通。
风险监控Agent的作用过程相当于人体免疫系统的免疫监视与修复,是企业应对风险的第三道防线,对企业免疫力的形成,强化企业免疫记忆等至关重要。
通信Agent:相当于人体免疫系统的血液和淋巴,有使分散在人体各处的淋巴器官和淋巴组织连成一个有机整体的作用。在内部审计“免疫系统”中,通信Agent负责在不同类型Agent之间进行通信和信息传递,确保内部审计“免疫系统”各Agent间的协同,以实现对企业风险的共同应对。
四、基于智能体的企业内部审计“免疫系统”免疫路径
人体免疫系统的免疫功能实现一般包括以下几个环节:当人的机体遭遇病原体入侵,首先,人体最外层的皮肤粘膜及其附属物会对病原体进行免疫防御,它是抵御病原体入侵机体的第一道屏障;一旦病原体通过第一道屏障进入人的机体后,免疫系统就进行先天性免疫阶段(又称非特异性免疫),它是机体在长期不断与外界病原微生物接触与作用中,逐渐建立起来的一种生理防卫机制,其特点是先天就有,对许多病原微生物均有一定的免疫力。如果非特异性免疫不能对病原体进行有效抑制或清除,则免疫系统进行后天免疫阶段(又称特异性免疫),即机体通过后天不断与病原体发生作用,最终使人体获得免疫力,并形成免疫记忆,保证了人体的健康。
与人体免疫系统的免疫功能实现机制相似,在全面风险管理模式下,内部审计在发挥“免疫系统”功能时,也有类似的“免疫防御”、“非特异性免疫”和“特异性免疫”三个环节,最终使企业获得了免疫力(提高了风险防范与控制能力),并形成免疫记忆(若干风险控制的案例等)。借鉴人体免疫系统的免疫原理,受组织免疫有关文献内容的启发,笔者将企业内部审计发挥“免疫系统”功能的免疫路径以图3进行展示。
一是免疫防御。当企业遭遇风险,风险感知Agent通过传感器等感知风险信息,一方面通过各自的岗位工作规范及要求进行一定程度的风险识别,并将所感知的风险通过通信Agent及时传递给风险识别Agent和风险监控Agent等,同时,配合风险识别Agent对风险进行进一步甄别;风险识别Agent根据风险入侵所产生的现象(症状),对风险进行特征分析,并评估其危害性,并将评估结果依靠通信Agent传递给风险控制Agent,为后续的风险控制做好相应准备。在免疫防御阶段,由于内部审计具有对本单位业务熟悉、政策变化掌握及时的优势,它通过与风险感知Agent、风险识别Agent的密切沟通,对企业出现的风险或可能出现的新问题能进行及时监控,通过引导企业开展风险自查,定期召开风险识别与评估会等形式,为风险感知和风险识别Agent感知和识别风险提供指导和咨询,实现风险的主动识别,使企业风险得到及时、有效的发现。
二是非特异性免疫。企业内部审计“免疫系统”的非特异性免疫主要针对企业内外部风险而进行事先的、一般性的免疫应答行为 。内部控制作为现代企业制度的产物,是伴随企业建立而存在的,是一种内生性的风险防范与控制机制,它不是一个独立的制度和流程,而是深深嵌入在企业经济运营的各种规章、制度和流程中,对企业经济运营各个环节中的风险进行控制,在企业全面风险管理中发挥至关重要的作用,是内部审计“免疫系统“发挥非特异性免疫作用的一种最有效形式。在非特异性免疫阶段,风险控制Agent按照内部控制的要求,制定包括风险回避、风险降低、风险对冲和风险接受在内的风险控制对策,采取切实可行的应对措施和方法对风险识别Agent传递的风险进行控制,并将风险控制效果反馈给风险监控Agent;内部审计作为企业内部控制的一种特殊形式,通过对风险控制Agent的绩效审计,对其他Agent执行制度流程及内部控制的审计等形式,对企业风险控制的有效性进行检查,以帮助企业消除经营过程中风险所带来的危害。
三是特异性免疫。企业内部审计“免疫系统”的特异性免疫主要针对企业内外部风险所采取的后天的、特定的免疫应答行为。由于企业面对的经济社会环境以及市场情况复杂,新情况、新问题不断出现,风险监控Agent必须时刻加强与各Agent的密切联系与沟通,做好与风险控制其他环节的有机衔接。通过对企业风险的高发区域进行重点监控,对风险控制Agent应对风险的实施效果进行评估,对风险预警、应急预案以及应急资源储备(如应急设备、专业技术人员和专家储备等)的落实情况进行检查,对企业各运行环节漏洞的整改情况进行跟踪评价,对各Agent遵守法律法规、企业管理规定等的监督,最大限度地将风险造成的损失降到最低。此外,在特异性免疫阶段,对于首次入侵企业的风险,风险监控Agent有必要通过组织学习、经验交流、专家知识工程等形式,帮助企业找出应对新风险的策略、措施(形成新记忆抗体),并通过信息沟通(如现场研讨、组织观摩等),将应对新风险的策略、措施等为整个企业所共享(形成组织记忆),确保今后企业再次遭遇此类风险的时候,风险识别Agent能在比初次识别短的多的时间内完成对该风险的识别,风险控制Agent能快速实施风险的应对(风险处理),帮助企业在应对风险的过程中实现企业自身的“免疫修复”功能,使企业的“免疫力”得到提升。
五、结论
本文借鉴免疫学基本原理和组织免疫领域的有关研究成果,利用人工智能研究领域中的智能Agent技术,从全面风险管理视角,对企业内部审计“免疫系统”架构及免疫路径进行了系统的研究。本文研究认为:全面风险管理模式下,企业内部审计“免疫系统”本质上是一个具有层次结构的多Agent系统,与人体免疫系统的免疫机制相似,企业内部审计“免疫系统”的免疫路径也需经过“免疫防御”、“非特异性免疫”和“特异性免疫”三个环节,最终使企业获得免疫力,并形成免疫记忆。
全面风险管理视角下的企业内部审计在发挥“免疫系统”功能时,要求企业在工作中要充分认识到免疫防御、非特异性免疫和特异性免疫各阶段的重要性,为此,要强化企业内部全体员工的风险管理意识,加强企业内部控制建设并将内部控制贯穿于企业决策、执行和监督全过程,认真做好风险感知、识别、控制和监控过程,制定相应的风险应对措施,提高风险应对水平,对可能出现的企业风险做好应对预案,同时,将风险监控的工作重心由传统的事后监督前移到事前和事中,协调好公司内部审计资源、战略、公司治理结构、员工等诸多资源,以共同应对企业风险,实现对企业风险的有效免疫(风险管理),最终完成内部审计“免疫系统”的学习、记忆、自适应等,使企业全面风险管理得到有效实施,确保企业战略目标的实现。
[本文系2012教育部人文社科基金项目“企业内部审计‘免疫’调节机制研究”(12YJA630082)阶段性研究成果]
审计风险及其控制研究篇(4)
一、引言
审计风险是影响审计收费决策的重要因素。被审计单位的控制风险,即被审单位内部控制未能发现舞弊、错报和遗漏的可能性,是审计风险的重要组成部分。在安然、世通等一系列财务丑闻后,事务所越来越关注控制风险。这引起了学术界对控制风险与审计收费之间的关系的研究,这包括Raghunandan和Rama(2006)、HOGAN和WILKINS(2008)、戴捷敏和方红星(2010)以及张旺峰等(2011)等。从获取的文献来看,它们均认为当期控制风险影响了当期审计收费。根据审计风险模型“可接受的审计风险=固有风险×控制风险×检查风险”,在既定的可接受审计风险和固有风险水平下,控制风险的增加则意味着审计师需要更多的审计努力,即扩大测试范围和实施更多的实质性程序,来降低检查风险。但是,是否有可能存在这种情况,即当控制风险增加时,审计师会相应提高可接受的审计风险,增加的审计收费主要不是用于增加审计努力,而是作为提高可接受的审计风险的“投保费”。换而言之,增加审计收费并非出于考虑未来会扩大测试范围和实施更多的实质性程序,而是提前收取的风险承担费。正如Hogan和Wilkins(2008)指出,审计收费的增加可能反映了风险溢价而不是增加的审计努力(audit effort)。这是我们关注的核心问题,是对研究控制风险与审计收费议题的进一步深入。
二、文献回顾及假设的提出
Hoitash.R和Hoitash.U(2008)发现内部控制缺陷的存在会导致更高的审计收费。Raghun andan和Rama(2006)证明,对于实施SOX404的公司而言,更多的内部控制缺陷与更高的审计收费相关,因为需要花费更多的审计投入(例如增加测试的范围、花费更多时间与客户管理层进行沟通等)。Hogan和Wilkins(2008)也在SOX302下发现了内部控制缺陷数量与审计收费正相关。与国外学者普遍使用内部控制缺陷衡量控制风险不同,戴捷敏,方红星(2010)、张旺峰等(2011)使用了评估的内部控制质量,均得出低内部控制质量会增加审计收费。由此可见,在其他条件相同的情况下,事务所会对控制风险高的审计客户收取更高的审计收费,高出的部分在后文中简称增量审计收费。
这些文献验证了高控制风险会导致更高的审计收费,但是没有进一步探讨更高的审计收费是否确实用于扩大测试范围和实施更多的实质性程序。对于增量审计收费,注册会计师可能有三种做法:第一种,将增量审计收费全部用于增加审计努力,从而降低财务报表中的操纵性应计利润或错报、漏报;第二种,根本不用于增加审计努力,将增加的审计收费作为提高可接受审计风险的“投保费”;第三种,将增量审计收费部分用于增加审计努力,部分作为“投保费”。注册会计师会权衡增加审计努力与承担诉讼风险的利弊,最后做出如何处置增量审计收费的决策。Mock和Wright(1999)研究应收账款项目后发现,对于风险因素的变动,存在审计测试性质的调整,但是没有发现审计范围的调整,总的来说就是审计计划并未很大程度上调整,与早期研究(例如Bedard,1989;Mock和Wright,1993)结论一致。同样,O’Keefe等(1994)使用了一个事务所的数据,并未发现审计时间或者劳力投入与对内部控制的依赖的关系;Felix等(2001)也未发现在SOX法案以前存在这种联系。这些研究以个案的形式初步讨论审计收费与审计努力之间的关系,且研究背景为SOX404条款实施前。尽管在脱钩改制后我国注册会计师行业得到了较快的发展,但由于存在注册会计师行业的有效监管机制尚未能形成、激烈的行业竞争以及高度集中的股权下所产生的大股东与事务所之间的利益链条等问题,我国事务所重业务量轻业务质量的情况还比较普遍。这种情况下,事务所倾向于将对高控制风险公司多收取的审计费用作为承担更高风险的保险费,而不将这部分费用用于扩大测试范围和增加更多的实质性程序。因此,我们假设:
H1:增量审计收费并非主要用于增加审计努力,而是作为提高可接受的审计风险的“投保费”。
三、研究设计
(一)研究思路
首先检验所选取的样本是否存在控制风险与审计收费的显著正相关关系,即控制风险高的公司相比控制风险低的公司是否存在增量审计收费。接下来,检验增量审计收费是否用于增加审计努力。内部控制质量与操纵性应计利润负相关(如Doyle等(2007a);方红星和金玉娜(2011))。如果事务所将增量审计收费充分用于增加审计努力,则控制风险高的公司与控制风险低的公司在操纵性应计利润上至少应当处于类似水平。如果控制风险高的公司的盈余管理水平甚至比控制风险低的公司更低,即审计收费与操纵性应计利润显著负相关时,则意味着增加的审计收费被充分地用于增加审计努力。
(二)样本来源
我们从CSMAR数据库中选取2010年2215家上市公司。我们剔除了2010年在巨潮资讯网公布内部控制鉴证报告的公司,以便获取更加准确的财务报表审计收费;剔除金融类样本、当年首次公开发行上市的公司;剔除变更事务所的样本;数据缺失的公司。最终,获得样本数据839个。我们对所用到的连续变量的极端观测值进行Winsorize处理。数据来至CSMAR数据库或从巨潮资讯网年报中手工收集。
(三)模型与变量设计
在模型(1)中遵循国内的做法,采用评估的内部控制质量作为控制风险的替代变量,特别地我们采用了上期内部控制质量;对于审计收费的其他影响因素,我们对那些在确定审计费用时(当期起初)可预见性较好的直接影响当期审计工作量的因素采用当期的数据,其他的影响因素则采用以前年度数据,详见表1。公司的平均增长速度和资产报酬率的波动性反映了公司经营的稳定性,经营越稳定则注册会计师的审计风险相应越低;总资产、存货、应收账款和长期股权投资占比则直接反映了注册会计师的工作量;外币业务、分部数量则反映了审计的复杂度;事务所的声誉直接影响到审计要价能力;而事务所的服务年限则反映了事务所与审计客户的密切关系,也会影响审计收费。
四、描述性分析
为了初步检验控制风险是否与审计收费正相关,以及增量审计收费被有效地用于增加审计努力,我们分别按照控制风险高低情况、审计收费高低情况进行分组,进行了T检验和Z检验(鉴于篇幅限制,表格略)。比较控制风险高组与低组,表明:控制风险高组相比控制风险低组审计收费显著更低,与以前的研究结论相反。这可能源于单变量检验未能控制其他重要的影响因素,例如控制风险高的组的资产总额、是否存在外币业务以及是否为国际“四大”审计等方面就显著低于控制风险低组。比较审计收费高组与低组,表明:操纵性应计利润的差异性检验结果不一致,需要在多元回归中进一步检验;公司规模越大审计收费显著越高,印证了前文对控制风险高组相比控制风险低组审计收费显著更低的解释;营业周期越长,股权集中度越低则审计收费显著越低;当期控制风险越高,当期审计收费越低,与以往研究结论不一致,也佐证我们在模型(1)中采用上期内部控制质量而不是当期控制质量的合理性;国际“四大”审计收费更高。
五、实证检验与结果分析
根据(1)可知,上期内部控制质量与审计收费在5%的水平上显著负相关,表明控制风险越高,审计收费越大,与以前的大部分文献结论一致。另外,资产规模、长期股权投资占比、外币业务以及业务分部数量直接影响到审计师的工作量与复杂性,与审计收费均显著正相关;具有更高声誉的国际“四大”要求的审计收费更高;事务所任期越长收费显著越高,能源于公司更能从任期长的事务所购买审计意见,从而需要付出更高的审计费用。
如(2)所示,在控制本期内部控制质量,即控制审计前操作性应计利润情况下,审计收费与操纵性应计利润正相关。这表明,对于高控制风险公司增加的审计收费并未有效地降低它们的高操纵性应计利润,即增量审计收费并未有效地用于审计努力。另外,内部控制质量与操纵性应计利润显著负相关,与Ashbaugh-Skaife等(2008)、Doyle等(2007a)以及方红星和金玉娜(2011)等结论基本一致。国际“四大”与操作性应计利润显著正相关,表明整体上国际“四大”事务所并未有效地降低操作性应计利润,其所要求的更高的审计收费可能仅仅是源于声誉,而非更多的审计努力。前五位大股东持股比例与操纵性应计利润显著正相关,表明较差的股权制衡结构可能会导致致大股东更频繁地操纵公司的盈余。
六、结论
在验证高控制风险会导致高审计收费情况下,我们进一步探讨了增加的审计收费的最终流向问题,结果发现:因控制风险高而增加的审计收费主要作为提高可接受审计风险的“投保费”,即事务所消极应对高控制风险下的高盈余管理行为,而非充分用于增加审计努力。
注释
{1}参照王宏等编制的2009、2010年内部控制指数来衡量内部控制。
{2}在表2中,(1)中IC为2009年内部控制指数,(2)中IC则为2010年。
参考文献
[1]戴捷敏,方红星.控制风险、风险溢价与审计收费[J]——来自深市上市公司2007年年报的经验证据.审计与经济研究,2010,(3):46-53.
审计风险及其控制研究篇(5)
一、电子政务信息系统审计风险研究的意义、方法
电子政务是国家信息化建设的重点工作,其成功与否直接影响着我国政府改革的进程,然而信息化建设往往伴随着巨大的风险,所以必须对电子政务信息系统的建设实施科学全面的审计。在信息系统审计的过程中,审计人员通过收集证据来判断系统本身是否达到保护资源安全,数据完整,系统稳定、有效和高效等目标,但有时会出现审计人员发现不了系统内部存在的缺陷或错误的情况,这说明对信息系统的审计可能出现判断出错的可能性,这种可能性就是信息系统审计风险。而电子政务信息系统审计由于电子政务的特殊性而存在着更为复杂的审计风险。
在这样的环境下,研究电子政务信息系统的审计风险具有非常重要的意义。国内外对传统审计领域中的审计风险研究已经相当成熟,而对电子政务环境下审计风险的研究数量相对较少且处于初步探索阶段。国内的朱萍等以审计风险模型为基础,认为应通过合理评估固有风险和控制风险的水平来确定检查风险,达到降低审计风险的目的,并重点阐述了控制风险的评估[1]。孙纲以审计理论和评价理论为基础,构建了审计风险评价方法体系,最后通过比较期望审计风险与实际审计风险作为审计终止标准的方法来降低总体审计风险[2]。还有一些学者针对电子商务环境下的审计风险做了研究:王乐声从传统审计风险模型的固有风险、控制风险、检查风险三个要素着手提出了降低电子商务审计风险的对策[3]。刘知强通过文献分析法及专家咨询法两种方式设计了电子商务环境下审计风险量表,对电子商务环境下的审计风险进行了识别分析,并在量表的基础上建立了适应电子商务环境下的审计风险模型[4]。
本文对电子政务信息系统审计风险的研究将借鉴COSO(Committee of Sponsoring Organization,内部控制委员会)在2004年的《企业风险管理――整体框架》[5]。该框架是在1992年的《内部控制――整体架构》的基础上提出的,重点阐述了八要素风险管理理论;与原来的五要素内部控制框架不同,它更侧重于风险管理,强调内部控制是风险管理必不可少的一部分。该框架对于企业风险管理的定义具有广泛的适用性,适用于各种类型的组织、行业和部门,也成为了衡量企业风险管理是否有效的一个标准,对于我们开展电子政务信息系统审计风险研究具有很好的借鉴作用[6]。
对电子政务信息系统审计的风险研究首先应以传统审计风险理论为前提,传统审计风险包括固有风险、控制风险和检查风险三个组成要素,它们之间的相互关系可以从定量和定性两个方面加以考察。
从定量的角度看,审计风险及组成要素的相互关系可用以下公式表示:
审计风险=固有风险×控制风险×检查风险
这个公式也被称作传统审计风险模型。
从定性的角度看,检查风险与固有风险和控制风险的综合水平之间存在着反比关系,固有风险和控制风险的综合水平越高,审计人员可接受的检查风险水平越低;反之亦然。对于固有风险和控制风险,它在审计人员审计过程中已成为既定的事实,审计人员无法改变它,但可通过对被审计单位的了解和测试来合理评估固有风险和控制风险,评估的目的是为了确定检查风险水平,并据此来开展实质性测试以降低检查风险,从而最终将审计风险控制于可接受的水平。
二、电子政务信息系统审计风险研究框架
基于传统的审计风险模型和审计风险各要素的定性关系,并借鉴COSO风险管理理论,本文提出了电子政务信息系统的审计风险研究框架(见图1)。
图1 电子政务信息系统的审计风险研究框架
下文将分别对电子政务信息系统固有风险的识别、固有风险的评价以及控制风险的评价和检查风险的评价等几方面进行讨论。
⒈固有风险识别
所谓固有风险识别,是指电子政务信息系统审计人员对电子政务信息系统固有风险的发生领域进行识别和分析,以确定风险的来源,描述风险特征。从电子政务建设的整个生命周期来看,其固有风险贯穿于电子政务信息系统建设项目的始终,所以应将电子政务看作一个大系统并从系统工程和项目管理的角度来对电子政务信息系统的固有风险进行全面识别,无论风险性质和风险大小,都应尽可能全面地找出其存在的固有风险[7]。
根据系统分析法,电子政务信息系统的固有风险可划分为系统风险和非系统风险。系统风险是电子政务信息系统的特别风险,是由其本身的开发、建设、管理等活动带来的;非系统风险是指电子政务建设之外的某种因素引起的可能对所有电子政务建设都带来损失的不确定性风险。
电子政务信息系统的固有风险按照风险的不同来源可以进一步进行分类和细化(如图2所示)。需要指出的是,各种电子政务信息系统固有风险领域之间并不是独立的,而是存在各种联系的,分析时应对此做综合考虑。
图2 电子政务信息系统固有风险分类图
⒉固有风险评价
对固有风险的评价可采取多种方法,由于电子政务信息系统的固有风险是由诸多相互关联又相互制约的因素构成,既复杂又缺少足量数据,所以采用单纯的定性和定量分析的方法往往缺乏可操作性。因此,本文决定同时采用特尔斐法和AHP法作定性和定量分析,最后对用这两种方法得出的结果进行比较,以实现分析结果的科学性和加强评价的实际可操作性。
特尔斐法由美国著名的兰德公司提出并使用,是能够对大量非技术性的无法定量分析的因素进行概率估算的方法,它是一种客观的综合多数专家经验与主观判断的技巧,也可称为专家打分法,它是系统工程中一种很重要的测定方法。
AHP(analytic hierarchy process,层次分析法)是美国运筹学家T.L.Salty在20世纪70年代提出的一种定性与定量结合的决策分析方法。它把需要研究的复杂问题分解为不同的组成元素,并针对总目标按相互关系影响划分为有序递阶层次结构图,通过各元素的两两比较,确定层次中诸因素相对于上一层次某因素的相对重要性,然后综合人的判断以决定各因素相对重要性的总顺序[8]。
采用AHP法和特尔斐法进行电子政务信息系统固有风险评价的过程如图3所示。
图3 电子政务信息系统固有风险评价流程图
⒊控制风险评价
前文介绍了电子政务信息系统建设项目存在的各种风险,根据COSO企业风险管理整体框架的要求,对于这些风险被审计单位通常会采取必要的管理措施。良好的风险管理能够降低电子政务信息系统存在的风险,但是无论被审计单位风险管理的设计和运行多么完善,仍无法消除其固有的缺陷和局限性,所以审计人员在进行审计的过程中必须了解电子政务信息系统的风险管理情况,并对存在的控制风险做出科学客观的评价,为即将进行的实质性测试提供依据。控制风险的合理评估对于审计人员做出正确的审计报告具有关键的作用,应充分重视这一环节。控制风险的具体评价过程如下(参见图4):
图4 控制风险的评价过程
⑴首先审计人员应了解电子政务信息系统的风险管理状况,分别从控制环境、目标确定、事件识别、风险评价、风险反应、控制活动、信息沟通和监控方面来考察。这里审计人员可通过多种可行的办法来了解其实际状况,如可通过查阅有关规章制度及方针政策等文件,与负责人座谈、询问有关人员、实地观察、发放调查表、查阅前期审计报告、与程序设计人员直接对话等手段来实现,由此可以对被审计单位电子政务信息系统内部的风险管理设计的合理性、健全性做出初步评价,并可通过书面说明法、调查表法和流程图法做出描述。这一步是对控制风险的初评,对控制风险的初评宁可高估不宜低估,以降低审计风险。
⑵符合性测试是指对内部控制的完整性、有效性和实施情况进行测试。本文的符合性测试是以COSO企业风险管理框架为基准,是对电子政务信息系统的风险管理的完整性、有效性及合理性进行测试。这一部分可作为下一步风险管理现状和得分的重要依据。
⑶通过比较法评估风险管理情况,同时进行控制风险的二评。比较法就是通过对实际系统风险管理现状的调查取证和描述,然后与现有的评价标准(本文以COSO企业风险管理整体框架为评价标准)进行比较,以此得出被审计单位风险管理符合性的总体评价,最后用百分制打分的方式显示评价结果[9]。因为此方法在使用时以国际现行风险管理整体框架为评价标准并紧密结合目标系统的实际,所以其评价指标的设定更具科学性和可操作性;同时此方法通过实际与标准的比较得出结论,使评价更具可靠性。
比较法中涉及几方面的要素,分别是评价标准、评价指标、评价指标权重、评价方法、评价程序及评分表,其中风险管理评分表是整个评估成果的综合体现。
评分表的表头栏目如表1所示,评分表的“得分”栏是根据风险管理指标现状与标准的符合性程度而得出的,采用的是百分制的方式。
表1电子政务信息系统风险管理情况评分表
风险管理的总得分=∑COSO八要素权重*各项具体指标权重*各项具体指标得分。
⑷控制风险终评。这一步发生在实质性测试之后。根据实质性测试的结果和其他审计的证据,对控制风险进行最终评估,主要是看其是否与控制风险的计划评估结论相一致。如果控制风险水平高于计划评估水平,则说明审计程序不充分,审计人员应考虑是否追加相应的审计程序;如果低于计划评估水平,则说明按计划评估控制风险水平制定的审计程序执行已经比较充分,无须考虑追加审计程序[1]。
⒋检查风险评价
一般来讲,检查风险是指信息系统中的某些电子数据存在重大错报或漏报,而未能被实质性测试发现的可能性。检查风险是必然存在的风险,它与被审计单位无关,与审计程序的有效性有关。比如审计人员在进行实质性测试的时候,由于采取抽样技术而出现的抽样风险;另外,除了抽样风险之外也有非抽样风险。在电子政务信息系统审计中,因为信息系统中电子数据的形式多样性,增加了提取审计证据的困难;由于内部控制主要依赖于软件本身,增加了难以全面检查测试的可能性。如此种种情况而使风险评估变得更为复杂,检查风险大大增加。对检查风险的评价直接影响着审计人员对审计风险的综合评价,所以应充分重视检查风险的评价。审计人员可先找出检查风险的影响因素,并建立检查风险的评价指标集,利用风险因素分析法、模糊综合评价法等方法来进行检查风险的评估。
三、结束语
随着的信息化程度越来越高,电子政务信息系统审计也越来越得到人们的重视,对电子政务信息系统实施科学的审计能够最大限度地降低电子政务建设项目的风险。而审计本身也是存在审计风险的,审计人员如何开展电子政务审计工作,如何将审计风险降低至可接受的水平,需要全面认识和正确评价电子政务信息系统存在的各种风险,帮助和监督被审计单位建立、健全电子政务信息系统风险管理制度,并提高风险管理水平。电子政务信息系统的审计风险涉及诸多主客观因素:不仅包括信息化的风险,也包括许多人的因素,其复杂程度极高。本文建议从系统工程和风险管理的角度来对电子政务信息系统的审计风险进行分析,以理论为指导并在实践中不断摸索改进电子政务信息系统的风险管理方法,使其更具可操作性和适用性。
参考文献:
1朱萍,刘圣妮. 审计风险模型及其应用分析[J]. 广西商业高等专科学校学报,2002,19(1):71-74
2孙纲. 审计风险评价方法研究[D]. 哈尔滨理工大学经济管理学院,2005
3王乐声. 论电子商务环境下的审计风险[J]. 兰州商学院学报,2001,17(05):114-116
4刘知强. 电子商务环境下审计风险研究[D]. 大连理工大学,2005(04):45-49
5Committee of Sponsoring Organizations of the Treadway Commission(COSO). Enterprise Risk Management Integrated Framework[R]. 2004
6朱荣恩,贺欣. 内部控制框架的新发展――企业风险管理框架[J]. 审计研究,2003(06):11-15
7Schwalbe K. Information Technology Project Management[M]. 北京:机械工业出版社,2003:301-333
8陈卫,方廷健,马永军,等. 基于Delphi法和AHP法的群体决策研究及应用[J]. 计算机工程,2003,29 (5):18-20
9刘智. 基于COSO框架的东方公司内部控制诊断评估方法研究[D]. 北京化工大学, 2006
审计风险及其控制研究篇(6)
创新驱动发展的背景下,科技型企业发展对我国经济增长具有重要的带动作用,通过科技创新拉动经济增长是我国现阶段实施的重要举措。科技型企业具有较高的科技含量和核心竞争力,近年来我国通过税收优惠及相关政策鼓励科技型企业的发展,科技型企业数量呈现逐年上涨趋势。与此同时,科技型企业发展中还存在诸多问题,这是不容忽视的。特别是内部控制方面,良好的内部控制是企业提高经济性和效率性的重要手段,而内部控制审计则是保证内部控制效果的重要手段。但从实践来看,科技型企业内控审计风险普遍存在,需要制定科学策略进行规避。本文的研究在丰富现有理论的同时也对内控审计实践具有重要意义。
1概念界定
1.1科技型企业的内涵
科技型企业是指具有较高技术含量与核心竞争力,能通过创新不断开拓市场的企业。科技型企业的科技人员、专业人员的占比高于其他企业,这与其主营业务具有较大关联;组织特征呈现扁平、哑铃型结构,这是因为科技型企业以研发为主要方向;具有高成长性特征,科技型企业的产品或服务一旦研发成功,其附加值和市场份额都会提升。
1.2内控审计的定义、要点及目标
内部控制审计是指对被审计单位的内部控制进行审查和评价的过程,从而确定被审计单位内部控制是否有效的过程,并提出内部控制改进建议。从内部控制审计的要素来看,主要包含五个方面(见表1)。从内部控制审计的目标来看,总体来说,就是对企业内部控制的合法性、有效性和适用性等方面进行审查和评价;具体来说,内控审计的目标是对内部控制的过程进行检查和评价,审查其是否确保了企业资产、资金等方面的安全。科技型企业的内部控制审计目标亦是如此。
2文献综述
从科技型企业内部控制方面的文献来看,现有文献主要针对科技型企业内部控制中存在的问题及对策进行了研究。王洁(2018)主要对科技企业内部控制中存在的问题进行了分析,包含内控意识淡薄、组织治理结构不完善和管理人员方面的问题,并在增强内控意识、健全机制和人员素质提升方面提出了对策。赵英(2018)指出了内部控制对于科技企业的作用,同时分析了内控建设方面存在的问题,最后从意识层面、体系建设、评价和监督层面提出了解决措施。姚永江(2019)指出了民营科技企业内部控制的要点与难点,并从民营科技企业内部控制的全面性、精细化和实效性提出了内部控制策略。从企业内控审计方面的文献来看,现有文献专注于企业内控审计存在的问题、影响及引发的思考。陈俊涛(2018)指出了内控审计环境、手段和流程方面存在的问题,并从加强体系建设、关注风险较大的流程和事项方面提出了解决措施。边新城(2018)主要是针对内控审计对企业经营的影响进行了论述,同时从内控审计部门的权威性和人员的专业性方面提出了内控审计的有效措施。云禄(2018)从信息化的角度论述了企业内控审计引发的思考,对信息化内控审计工作存在的问题进行了分析,同时指出了内控审计信息化改革方法。王海燕(2019)主要从内控制度审计方面进行探讨,指出了强化内控制度审计的方案。从目前的研究文献来看,主要集中于对科技型企业内部控制问题的研究,以及对不同类型企业内控审计问题、影响等方面的研究,对科技型企业内控审计风险方面的研究文献几乎没有。本文通过对科技型企业内控审计风险的分析,提出了相应的风险防范策略,恰好可以弥补科技型企业内控审计风险研究方面的空缺,具有重要的理论意义,同时这也是本文的研究目的所在。
3科技型企业内控审计风险探析
科技型企业内控审计风险既有一般企业的特征,也具有一定的特殊性。内控审计风险不仅会影响企业内部控制正确的评价,而且不利于企业内部控制制度和体系的完善。本文主要从内控审计意识、审计独立性、内控制度审计和审计建议执行方面对科技型企业内控审计风险进行论述。
3.1内控审计风险意识不强
对于科技型企业来说,内控审计风险具有一定的普遍性,贯穿于内控审计的全流程。因此,内控审计风险意识对于科技型企业来说非常重要。目前来看,科技型企业的内部管理人员对内控审计的重视程度不足。这主要是由于科技型企业的管理人员更加注重研发项目和成果转化,注重企业创新过程,因此会忽视内部控制审计中存在的风险及其产生的不利影响。此外,科技型企业审计人员的风险意识也存在不足。从内控审计实践来看,内控审计部门和审计人员更加注重审计方案的制订和审计过程,往往忽视了内控审计风险。这样,不仅没有发挥审计的监督作用,而且可能会对企业内控的完善产生消极影响。
3.2内控审计独立性无法保证
科技型企业的内控审计主要是对企业内部控制制度、体系等方面做出审查,从而保证企业资产、资金等安全。从科技型企业内部来看,存在内控审计独立性差的问题。这主要是由于内控审计部门容易受到企业管理层的牵制,有时会对部分审计结果进行隐瞒,不在公开的审计报告中显示。同时,审计人员的独立性也无法保证。企业内部审计人员有时会受到企业管理人员的影响,这时审计结果就会有失公允,同时内控审计质量也会降低。如果内控审计的独立性得不到保证,则内控审计结果就会失效,科技型企业内部控制的合法性、有效性等方面也得不到检验[2]。
3.3内控制度审计风险
内部控制制度是指导企业内控实践的重要依据,是健全企业内部控制体系的基础条件。因此,内控制度方面的问题也会为企业内控审计带来风险。一方面,科技型企业存在内部控制制度与实际执行不匹配的情况,这样就增加了内控审计风险。在内控审计实践中,审计人员无法依据内控制度对企业内部控制工作进行检查和评价,无法判断企业内部控制是否有效,这样就失去了审计的意义。另一方面,企业内部控制制度不完善。近年来,科技型中小企业发展较为迅速,对于中小企业来说很多都存在内部控制制度不完善的情况[3]。在此背景下,相应的内控审计标准也不统一,增加了内控审计风险。
3.4内控审计建议执行不到位
从内控审计的实践经验来看,内控审计风险不仅存在于审计工作的实施过程中,后续审计建议执行阶段依然存在。审计人员对科技型企业的内部控制进行全面审查后,会根据企业存在的问题提出审计建议,企业应当根据审计建议对内控方面存在的问题进行整改。但是,部分科技型企业在收到审计建议后,并未严格执行内控审计建议,对内控方面的问题未及时整改。例如,某科技企业员工考勤制度执行不严格,内控审计人员依据企业情况给出了审计整改建议,建议企业建立严格的考勤制度及奖惩制度,但是企业并未及时进行整改,导致内控审计失效。从这一层面来看,内控审计建议执行不到位也会引发审计风险。
4科技型企业内控审计风险防范策略
为进一步防范科技型企业内控审计风险,本文提出了风险防范策略。科技型企业应当从内控审计风险意识提升、内控审计独立性、内控制度和后续跟踪机制完善方面推进内控审计风险防范策略。
4.1加强内控审计风险意识,提高审计质量
内控审计风险意识的提升是保证审计质量的重要条件,也是发挥审计监督作用的重要保障。一方面,科技型企业管理人员应当加强对内控审计的重视,制定相应的风险管理策略。企业管理人员应当加深对内控审计的认识,充分认识审计风险可能带来的不利影响。在企业管理措施制定过程中,应当包含内控审计风险管理的内容,从多方面防范内控审计风险。另一方面,内控审计人员应当不断提高风险意识。审计人员应当将风险意识贯穿于内控审计工作的全过程中,充分认识每一个审计环节的风险,这样才能保证审计质量的提升。
4.2充分保证内控审计的独立性,提升审计结果的有效性
内控审计结果有效,才能发现科技型企业内部控制存在的问题,并进行优化。而审计独立性则是提升内控审计结果有效性的必要手段。无论是内控审计部门还是审计人员都应当保持独立性,在审计工作实施过程中不应当受到其他因素的干扰,从而保证审计结果的有效性。这就需要科技型企业不断优化内部管理结构,避免内控审计部门和人员受到管理层的牵制,通过平行管理保证内控审计的独立性。另外,内控审计人员的职业道德同样重要。内控审计人员应当定期接受职业道德教育,避免在内控审计工作中出现徇私舞弊等行为及产生的不良后果。
4.3完善内部控制制度,降低审计风险
审计风险及其控制研究篇(7)
1931年美国厄特马斯公司对杜罗斯会计师事务所一案,是注册会计师重视审计风险的一个划时代的案例;在20世纪60年代中期,西方各国控告注册会计师的诉讼案件急剧增加,注册会计师面临“诉讼爆炸”时代;在我国,虽然从注册会计师行业恢复至今只有30余年的历史,但也经历了“ST郑百文”“银广夏”等一系列重大法律诉讼案件。这些案件都在提醒着注册会计师行业:审计风险无时不有、无处不在。审计风险计量是在审计风险确认的基础上对审计风险进行定量分析和描述,它为审计风险的管理、控制和在实务中的运用奠定了基础。因此如何正确地计量审计风险,也逐渐成为审计界研究的焦点。
一、国外审计风险计量研究文献综述
(一)关于审计风险内涵的研究
在国际上比较权威的审计风险的定义,是由美国审计准则委员会(AICPA)在1983年公布的。AICPA第47号审计准则规定:审计风险是注册会计师无意识地对含有重大错报的财务报表没有发表适当的意见的风险。1991年,国际会计师联合会(IFA)第6号审计准则定义审计风险为:当财务报告存在重大错报时,注册会计师却出具不恰当的审计意见的风险。此外,也有不少国外学者对审计风险做了定义。如A.D.Woodhead(1992)认为,审计风险就是注册会计师在检查了有效的财务信息后发表不正确的审计意见的风险;AlvinA.Arens等(1994)认为,审计风险是在财务报表事实上有重大错误时而审计师认为财务报表真实公允,并因此发表了无保留意见的风险。
(二)关于审计风险模型的研究
Aldesley(1989)认为,审计风险计量模型不仅能够帮助审计人员辨别审计实施的方向,更重要的是能为判断审计人员是否实现其目标提供了判断标准。国外学者早在20世纪70年代就开始了审计风险模型的理论研究。D.H.Roberts于1978年提出了最早的审计终极风险模型,即:终极风险=固有风险×控制风险×分析性检查风险×(抽样风险+非抽样风险)。1981年,美国审计准则委员会(AICPA)的第39号准则公告《审计抽样》认为,审计风险由固有风险、控制风险、分析性检查风险和详细测试风险等四个子风险组成,其中:固有风险和控制风险表示财务报表中发生重大错误的风险,分析性检查风险和详细测试风险表示财务报表中的重大错误未被发现的风险。1983年,AICPA在第47号审计标准说明《审计业务的审计风险和重要性》中对审计风险模型又做出了修改,其提出的审计模型为:审计风险=固有风险(IR)×控制风险(CR)×检查风险(DR),由于该模型涵盖了主要审计风险要素,并表明了其间的数量关系,便于计量,具有广泛的适用性和可操作性,因而被国际上大多数审计组织及会计师事务所采用,修订前的国际审计准则以及中国的独立审计准则都采用了该模型。该模型也被称为传统的审计风险计量模型。2003年,修订后的国际审计准则提出了全新的审计风险模型,即:审计风险=重大错报风险×检查风险,将固有风险和控制风险合并为综合风险,用重大错报风险进行表示,认为审计风险取决于重大错报风险和检查风险,注册会计师应当实施风险评估程序,评估重大错报风险,并根据评估结果进一步设计和实施审计程序,以控制检查风险,将审计风险降低到可接受的水平。该模型也被称为现代审计风险计量模型。但目前最受关注的仍是1983年AICPA提出的审计风险计量模型。
Robert D.Allen等(2006)通过对审计风险计量相关文献研究后得出,对传统审计风险模型产生分歧的主要原因在于是将该模型用作对审计风险概念性的判断,还是用作像数学方程式一样的精准计量。若作为概念性的判断,该审计风险模型在审计计划阶段则是一个很有用的工具,并且已经被公众监督委员会(POB)或其他领域广泛运用;但是若作为精确计量审计风险的公式,该风险模型还有很大的局限性,还有待进一步地完善。
(三)关于改进审计风险计量模型的研究
William R.Kinney在1989年对传统审计风险模型做了改进,提出AuR=APR×AR×TD,他将固有风险和控制风险整合为已评估的首要风险(Assessed Prior Risk),并将检查风险分解为分析性检查风险(Analytical Procedure Risk),以及在实质性测试中未能发现细节问题的风险(Substantive Test of DetailsRisk)。
Sennetti(1990)提出AR=IR×CRR×AR×DR的风险计量模型。在该模型中,CR表示的是审计人员过分依赖内部控制的风险,并非内部控制自身的风险,AR表示实施的分析性审计程序无效的风险,DR表示的是实质性测试未能发现明显重大错报的风险。他认为,审计人员会依据对内部控制系统的评价,决定是否采用后续的分析性审计程序,因此,会存在审计人员对内部控制过分依赖的风险。
Skerrattand,Woodheaz 1992年提出的风险计量模型:AR=IR×CRR×CR×AR×DR。其中,CRR表示内部控制无效的风险,CR表示审计人员对内部控制错误评价的风险。他们认为,分析性审计程序的选择和实质性测试的内容都是以对内部控制系统的评价为前提的。AR表示分析性审计程序无效的风险,DR表示的是实质性测试未能发现明显重大错报的风险。
二、国内审计风险计量研究文献综述
(一)关于审计风险内涵的研究
中国注册会计师协会(2006)的《中国注册会计师审计准则第1101号――财务报表审计的目的和一般原则》中关于审计风险有以下表述:“审计风险是指财务报表存在重大错报而注册会计师发表不恰当审计意见的可能性。”
但国内多数学者认为,审计风险就是审计主体损失的可能性。如徐政旦、胡元春(1998)曾提出,完整的审计风险应是审计过程的缺隙导致结果与实际不符而产生损失或责任的风险。王广明(2001)将审计风险定义为由于审计意见是否恰当的不确定导致的承担法律责任(遭受损失)的可能性。蒋砚章等(2004)认为,审计风险除了包括被审计单位财务报表存在重大错报漏报的风险和注册会计师经过审计后发表不恰当意见的风险外,还应包括发表不恰当意见的审计报告引讼赔偿的风险。因为,发表不恰当意见的审计报告引讼赔偿是审计风险的最终表现形式,且赔偿金额是审计风险计量的重要依据。徐泓等(2007)将审计风险定义为:在审计过程中,由于各种不确定因素的作用,在一定时间内出现损失的可能性,因此审计风险的计量就转化为损失的计量。
(二)关于传统审计风险模型的研究
AICPA的传统的审计风险模型要求注册会计师首先评估被审计单位的固有风险和控制风险,合理地确定可接受的检查风险水平,从而确定实质性的性质、时间、范围,达到将审计风险降低到接受的低水平。国内不少专家学者通过对传统的审计风险模型分析,指出其不足之处。总体可归纳为以下几点:
1.固有风险难以界定和评估。辛金国(2000)认为固有风险是在不考虑内部控制结构的前提下,企业整体财务报表和账户余额及业务类别上发生错误的可能性,影响固有风险的因素是极其复杂,目前还没有一种理想的方法解决多因素固有风险评价问题。蒋敏(2013)认为,固有风险的评估可操作性低,且假设不存在内部控制的前提下单独评估固有风险难度很大,实务中往往为了谨慎性原则将固有风险假设为高水平,这样使注册会计师对固有风险的评估流于形式。王素梅(2005)也指出,注册会计师运用传统风险模型对企业固有风险和控制风险进行评估时,遭遇了只能定性无法定量的尴尬境地,审计人员很难对固有风险作出准确评估,往往只能将固有风险简单地确定为高水平。
2.控制风险评估结果的可信任度低。郭莉(2006)认为,控制风险的评估不能发现由于内部控制失效所导致的会计报表的重大错报和管理舞弊问题,当企业管理当局串通舞弊时,内部控制是失效的,如果注册会计师不把审计视角扩展到内部控制以外,就很容易受到蒙蔽和欺骗,不能发现由于内部控制失效所导致的会计报表存在的重大错报和舞弊行为。蒋敏(2013)也认为当内部控制不存在或失效,如管理层串通或凌驾于内部控制之上,控制测试是无效的,这样就很容易导致审计失败。
3.对影响审计风险的因素反映不够全面。周家才(2001)认为,传统审计风险模型仅从审计的过程上把审计风险划分成固有风险、控制风险、检查风险三个因素,未能从审计过程之外分析审计风险产生的深层次社会原因,而实际上,审计风险是审计内环境与审计外环境综合作用的结果。蒋砚章等(2004)认为,传统的审计风险模型一方面没有考虑被审计单位的经营风险,经营风险虽然与审计业务的质量没有关系,但使会计师事务所遭受法律诉讼的可能性较高;另一方面,也没有考虑环境因素的影响,且在各项环境因素中,法律环境是最主要的,可以近似地替代所有因素的综合影响。
(三)关于现代审计风险模型的研究
张连起、丁勇(2004)认为,现代审计风险模型在传统审计风险模型的基础上进行了改进,形式上有所简化,但审计风险的内涵和外延却扩大了。
1.引入“重大错报风险”概念。张龙平(2005)认为,现代审计风险模型引入“重大错报风险”概念,并规定评估重大错报风险是首要的必要审计程序,这为整个审计工作找到了正确的起点及导向,并为发现重大错报提供了有益的线索及方向。蒋敏(2013)认为,现代审计风险模型要求注册会计师将评估重大错报风险放在首位,而不是就未能评估的风险盲目进行审计测试,明确了审计工作的起点和方向。
2.能够从整体上把握审计风险。张龙平、聂曼曼(2005)认为,现代审计风险模型规定必须针对财务报表整体层次和认定层次分别评估重大错报风险,并采取不同应对措施,力保所获取审计证据的充分、适当性。郭莉(2006)也认为,新审计风险模型要求注册会计师识别和评估会计报表整体层次和认定层次的重大错报风险,将识别出的风险与认定层次可能发生的错报联系起来,考虑风险的重大性和可能性,为注册会计师从整体上把握和控制审计风险提供了基础。
3.改进了审计业务流程。现代审计风险准则依据审计风险两要素模型,把审计业务流程和程序分为风险评估程序、控制测试以及实质性测试。郭莉(2006)认为,新模型下注册会计师会首先花大力气去识别和评估重大错报风险,再据此有针对性地采取措施,能够合理保证财务报表不存在重大错报。
(四)关于改进风险模型的研究
1.引入舞弊风险因素。孙玉涛(2014)认为引起会计报表虚假的因素除了“错报”以外,还有“舞弊”。“错报”强调的是原因,没有明显地把“舞弊”包含在内。因此,他将“舞弊风险”划分为“管理当局舞弊风险”和“员工舞弊风险”,提出了审计风险=管理当局舞弊风险×检查风险+员工舞弊风险×检查风险+错报风险×检查风险的风险计量模型。陈志强(2005)也提出同样观点。
2.引入报告风险因素。杨朔(2009)在基于博弈论模型上将报告风险引入审计风险模型,他认为重大错报是审计风险存在的基础,而不是引起审计风险存在的因素,所以应该把重大错报风险剔除。报告风险是指审计人员发现被审计单位提供的财务报表有重大错报时,不予披露的可能性。改良后的审计风险模型为:审计风险=检查风险×报告风险。秦海清等(2004)也曾提出,注册会计师有可能在利益的驱动下故意出具与审计结果不同的审计报告,因为虚假报告而受到损失的报表使用者,是否会注册会计师也有其不确定性,本着谨慎性原则将法律风险定义为1的前提下,将传统审计风险模型改良为审计风险=报告风险×固有风险×控制风险×检查风险。
3.引入法律诉讼风险因素。石勇(2008)认为,注册会计师在执业过程中,若因过失或欺诈等原因而未能发现会计报表中的重大错报,则应根据其影响程度承担相应的法律责任。因此将审计模型重新表述为:审计风险=重大错报风险×可接受的检查风险×法律风险系数,法律风险系数最终是谁可以注册会计师、诉讼的门槛要求、赔偿责任等三个因素的乘积。周家才(2002)也对传统的审计风险计量模型补充了诉讼风险,审计风险=固有风险×控制风险×检查风险×诉讼风险,他认为如果没有人追究审计的责任,注册会计师无须承担任何损失,即使注册会计师“发表不恰当的审计意见”,审计风险实际上也为零。
审计风险及其控制研究篇(8)
一、引言
2001 年,美国能源巨头安然公司爆发财务舞弊丑闻,紧接着又爆出了世界通信、施乐等虚假信息披露案件。这些丑闻使得社会公众丧失了对上市公司、迁至整个资本市场的信心。2002 年美国要求注册会计师对内部控制进行审计。2008年6月我国财政部等五部委联合《企业内部控制基本规范》。这对我国来说仅仅是一个开始。2010年4月我国财政部等五部委联合的《企业内部控制配套指引》表明我国内部控制审计的发展走向正规。这意味着内部控制的有效性审计在我国作为新的制度安排应运而生。
二、内部控制审计程序及方法的综述
2.1国外程序及方法的综述
在SOX法案颁布之前,国外对内部控制审计程序的研究文献相对较少,比较具有代表性的理论成果来自一些职业团体的理论框架和监管要求(如COSO报告、Turnbull报告等)。对审计程序中的内部控制研究中,哈斯金斯和德史密斯(Haskins&Dirsmith,1993)通过对外部审计人员的问卷调查,认为固有风险和控制风险是相互依赖的,审计人员应将大部分控制环境因素用于固有风险与控制风险的评估。马蒂诺夫和罗巴克(Martinov&Roebuck,1998)通过六大会计师事务所的审计手册,研究审计师在审计计划阶段是如何评估内部控制的重要性水平和固有风险,并将两者结合起来,发现事务所运用的风险导向审计模式,将重要性水平与固有风险评估与审计程序、方法、内容联系了起来。
SOX 颁布后,众多专家学者及专业机构都对如何审计财务报告内部控制提出了各自的方法。例如Michael Ramos推出了如何遵循404条款的著作;McGladrey & Pullen(2003)了关于管理层评估财务报告内部控制的报告,普华永道于 2004 年 7 月了类似报告;PCAOB于2004年了AS2并于2006 年了AS5替代AS2。
2.2 国内程序及方法的综述
我国学者对于在具体实施内部控制审计时用的程序尚没有较系统的研究,关于内部控制审计程序的研究还较少。有关内部控制审计程序,评价流程,审核实施等方面的综述如下:李荣(2007)指出在财务呈报内部控制审计实施时,实施内部控制审计应有的程序为审计计划,选择控制点,控制测试,评价控制缺陷,审计工作汇总,财务呈报内部控制审计报告。戴伟娟(2009)就注册会计师内部控制评价的实施,从实务的角度详细介绍了内部控制评价的全过程,分为三个阶段:审核计划阶段、审核实施阶段和审核报告阶段,对注册会计师进行内部控制审核业务提出了最新指引。谢伟(2011)认为内部控制审计分为审计准备阶段、审计实施阶段和审计报告形成阶段。
现代审计方法是风险导向的审计方法,对于新的审计业务―内部控制审计,我国学者对这方面的研究如下:谢盛纹(2007)认为执行内部控制审计应该有一个审计方法,提出在内部控制审计中应实施自上而下的方法,并重视风险评估的作用。张龙平,陈作习(2009)深入研究了风险导向自上而下审计法。这个方法促使审计人员关注那些对财务报表和相关披露可能产生重大错报的会计账户、披露和相关认定,将主要精力集中于风险最大的领域。谢伟(2011)认为审计师在进行内部控制审计时,应该应用通用的外业和报告准则,具备足够的胜任能力,保持应有的职业谨慎。普秀玲(2011)研究认为上市公司内部控制审计的主要方法是调查问卷法、绘制流程图法、描述法、穿行测试以及符合性测试。
三、内部控制审计综述小结
通过上述对国内外相关文献的归纳,关于内部控制审计的研究成果相对比较丰富。总体来看,国外对内部控制及内部控制审计的研究主要是从审计领域关注内部控制开始的,并且其研究大多是基于严格的理论和实证研究的基础上的,具有很强的逻辑性和可验证性,研究比较丰富,涉及领域也比较全面,对于理解和完善内部控制理论、更有效地评价内部控制以及进行内部控制审计都具有很重要的意义。但是,对内部控制审计理论体系的研究和内部控制审计目标实现的机制方面的研究不多见。
中国内部审计协会组织的科讨会(2010)中最新的成果认为,企业风险管理与内部控制的关系、企业风险管理与内部审计的关系和从风险管理框架的角度讨论内部控制的设计、构建以风险为导向的内部控制评估体系等方面将是未来内部控制审计的研究方向。还涉及到的一些新领域包括:企业风险管理与内部控制的关系、内部控制审计与报告、平衡计分卡在内部审计中的应用、内部审计风险防范、企业采购的内部控制与审计及内部控制与盈余管理相关性研究等。
参考文献:
[1]Ssessing the effectiveness of internal control over financial reportingin accordance with section 404 of the Sarbanes-Oxley Act of2002,McGladrey&Pullen certified public accountants,Mar 2003
[2]谢盛纹.《萨班斯法案》下的内部控制审计内容与方法[J].财政监督,2007(03):68-69.
审计风险及其控制研究篇(9)
一、政府职能转变视角下政府审计功能的拓展
(一)政府职能转变。传统意义上的政府审计职能是受公众委托对国家管理者(政府)承担的公共受托经济责任进行的独立评价。随着社会的发展与进步、经济民主与政治民主的制度安排日趋完善,政府审计的职能也在不断拓展。杨茁(2006)认为,由于政府审计与政府职能两者密不可分,基于政府职能转变,我国政府审计职能创新主要体现在问责与绩效评价应成为政府审计的基本职能,以政府审计职能的创新来弥补“政府失灵”。陈骏(2006)结合对新公共管理的批判,认为目前政府绩效审计的目标仅考虑了成本因素,忽略了公共政策和公共服务的原本属性,其目标应增加公平性和公正性。因此,审计已不仅仅与政府受托责任关联,审计的定位还要向如何积极地促进受托责任人更好地履行受托责任这一方向发展,审计的职能还需要向决策有用性延伸。审计人员在实施政府审计时应当将公共服务的消费者作为考虑的核心,必须考察公共服务分配政策是否合理,这样政府审计更多的是扮演监管者的角色,而不同于其他的审计类型。
(二)政府审计咨询功能与审计问责。
1.政府审计咨询功能的实现方式。政府审计咨询功能的实现主要有两种方式。一是通过政府鉴证功能,发现政府财务报告存在的问题,提出改进建议。目前,政府审计不可能像社会审计那样对政府审计对象提供单独的咨询服务,只能将咨询功能蕴含在政府审计的鉴证业务中。这是政府审计发挥咨询功能的可行路径。二是政府审计部门通过参与讨论、文件会签、参与政府会计准则制定、争取在政府会计改革中的发言权等途径来行使咨询功能。近年来,财政部在政府会计改革方面有重大的举措,比如修订事业单位会计制度,着手建立政府会计概念框架和会计准则体系。这为政府审计的咨询功能服务政府会计改革提供了空间(张曾莲,2010)。这种方式目前在我国还比较薄弱,今后需要进一步加强。
2.丰富政府审计咨询功能的实现方式和内涵。从作为国家免疫系统和政府会计改革力量的角度,政府审计的咨询功能应强化。审计部门应该改变项目审计信息主要由项目审计执行部门单兵作战的状况,在项目审计执行部门之间、审计部门与财政部门之间建立必要的信息沟通机制,完善协调机制,从整体上集中发挥政府审计的咨询功能。通过效益审计、专项审计调查和其他各种审计的创新,进一步开拓政府审计咨询功能的新路径;通过充分揭露重大损失浪费、管理失误和资源环境等问题,促进政府会计改革。
3.审计问责。首先,审计问责机制的建立健全应以政府责任的清晰界定为前提。责任政府框架下的基本责任应该包括维持社会秩序;支持经济发展;提供市场不能提供和个人无法承担的公共品;保护公民权与人权;保护环境和人类文化遗产;成为遵守社会道德的表率;承担国际责任等。其次,审计问责的方式,即“如何问”。政府审计是国家经济运行的免疫系统,其路径主要是预防、提示和抵御。政府审计首先应具备风险前瞻和风险评估的预警能力,同时具有扎实的发现问题能力,即审查政府责任履行情况的能力。
二、政府审计风险及不规则关系研究
(一)目前政府审计风险和审计质量研究中存在的问题。由于资本市场上数据的公开性以及统计资料的相对完整性,现有关于审计风险和审计质量的研究成果大部分是以民间审计为主,政府审计风险和审计质量的研究成果相对较少。Copley & Doucet(1993)指出政府审计质量可以分别从过程和结果两个角度来衡量,前者以对审计准则的遵循为依据,后者以审计报告或工作底稿的评价为依据。Raman & Wilson(1994)认为可以从三个方面衡量政府审计质量,一是审计人员是否具有专业胜任能力,是否熟悉法律法规和审计准则规范;二是审计人员是否尽职尽责地开展工作,将审计风险控制在可接受的水平;三是审计人员是否报告已经发现的各类核算错误、违规行为以及控制弱点。从国内文献来看,许宁宁(2008)通过问卷调查的方式对我国政府绩效审计系统的各构成要素进行分析,发现我国的绩效审计实践存在着审计内容不完善、评价标准不明确、评价主体缺乏独立性等问题,并提出了具有针对性的完善对策。侯晓靖(2009)分析了深圳市2003-2007年间开展的绩效审计项目,认为深圳市的政府绩效审计目标不清晰,缺少审计的法律、准则、指南,且项目的选择过于集中,加上事后审计多、事前审计少使得政府绩效审计应有的作用没有完全发挥出来。吴清华(2004)认为简单地借助反映经济活动结果的财务维度来评价经济活动的真实效益,形成的审计结论是空泛的,其解释力是有限甚至是误导的。因此,他从作业的角度分析得出了绩效审计的三阶梯层次模型,即:一是资源动因价值分析,评价作业的有效性;二是作业动因价值分析,判断作业的增值性;三是作业综合分析,评估作业链的绩效。
可见,目前对审计实践的研究大都带有工作总结或是问题解决方案的性质,鲜有能够从实践入手,运用规范的研究方法进行实践研究的文章,使得现阶段审计实践的研究整体层次不高,没有发挥应有作用。随着政府职能由监督型转向服务型以及人们对社会公共服务水平需求的提高,政府也越来越关注自身风险,政府审计的理论框架也应当转向以风险为导向,构建政府审计理论研究框架。
(二)审计风险的分析。
1.审计风险的构成。目前,审计理论界是以风险审计为导向架构起审计理论框架,政府审计如何体现对当今政府管理领域风险的关注,是值得研究者深入探究的一个重要方向。《中国注册会计师审计准则第1101号――财务报表审计的目标和一般原则》及其指南指出,审计风险(AR)取决于重大错报风险(MMR)和检查风险(DR),三种类型风险之间的关系用模型表示为AR=MMR×DR。重大错报风险是指财务报表在审计前存在的由舞弊导致的重大错报的可能性,检查风险是指审计师未能发现管理层舞弊所导致的重大错报的条件概率。重大错报风险=固有风险×控制风险。审计人员应当根据客户的固有风险和控制风险水平相应调整实质性测试的工作量,即当固有风险和控制风险水平较高时,审计人员应相应增加实质性测试的工作量,以降低检查风险。与传统审计风险相比,现代审计风险拓展了风险评估的范围,要求考虑审计客体所处的环境风险。但从微观层面看,传统审计风险与现代审计风险的主要内容都包括固有风险、控制风险与检查风险。
2.政府审计风险与社会审计风险的差异。戚振东(2011)认为,政府审计风险与社会审计风险存在实质性差异。政府审计风险具有风险评估外在压力不足、经济业务活动微观查处责任等特征。从舞弊动因出发,政府审计风险由错误风险、舞弊风险和检查风险构成。现有为数不多的政府审计风险研究中,大都直接采用了以重大错报和检查风险为要素的风险分析模型,即认为国家审计风险是由重大错报风险和检查风险构成的,且多数从审计人员素质、审计技术、被审计单位内部控制等角度分析政府审计风险,而忽略了政府审计本质和审计对象特征。
两者差异表现在以下几方面:(1)与社会审计以财务报告为检查对象不同,政府审计以资金运用为主线,审查评价公共资金的实际使用、运营管理效益等。(2)审计发现的指导理念不同,导致两者审计风险及其评估含义不同。首先,政府审计风险评估外在压力不足。政府审计失败造成损失的机制并不顺畅,公共资金产权不清晰、法治环境建设问题等导致政府审计不存在较高的审计风险诉讼压力。(3)社会审计的责任是发现财务报表的重大错报。而政府审计风险体现为经济业务活动的查处责任。对政府审计而言,它所关注的是财政资金、国有资本金在财务收支中的错误、舞弊等违规、不效益现象,无论这种错误、舞弊或不效益是否为重大。(4)社会审计评估重大错报风险时,仅仅分析风险因素的影响,而对影响错报的机制并不需要指明。政府审计风险则体现揭示性内容。政府审计主要侧重于审计的监督职能,需要更加关注经济业务活动、管理者行为、管理体制制度的建立健全及其运行等,它存在对被审计单位发表不适当评价的审计风险。
(三)国家审计作为“免疫系统”及面对不规则关系的新挑战。审计范围外延扩大化、审计视角向维护国家安全转变、审计作用由被动防范向主动预防转变。政府审计治理系统仍然包括审计目标、审计方式等子系统,审计治理系统与国民经济社会运行其他子系统的相互作用、国家审计治理子系统之间的相互作用,无疑会对政府审计治理系统功能发挥产生重要影响。
随着社会民主进程深入,政府行政管理面临的社会环境发生了实质性变化,强调民主参与的政府公共管理正日益引起理论和实务界的重视,出现强调社会协同管理公共事务的诸如协同政府、无缝隙政府理论和实践等。社会协同管理中,政府部门职能的实现是围绕特定的职能政策目标,在不取消部门边界的前提下,依靠信任等社会资本,实行跨部门全面的合作,包括公司部门之间、政府与非政府之间、政府部门之间、中央与地方之间的合作等。社会协同治理主要包括以下几个思想:首先,政府角色的回归,政府不再是治理的唯一主体。其次,社会协同管理各主体之间、各组织之间的关系是自愿平等与合作互补的关系。从国家审计治理系统内部来说,要建构国家审计治理信息协同、审计过程协同(包括审计项目选择协同、审计实施协同和审计结果运用协同)、审计人力资源之间协同、环境协同。
三、政府审计风险控制机制建设
(一)预防性的审计评估。现代审计监督经历了“从监督现象――账目,到监督本质――绩效(权力的运行)的过程”的演进。审计权力制约机制的完善,拓展了现代审计的职能与领域,但是,在“不确定性”风险面前,审计的控制内容与过程也面临深化与前移的要求,建构审计评估制度便成为政府审计发展的必然。较之一般控制性评估,风险审计评估将审计的重心从审计测试转移至风险评估,以确保监督者在风险评估后及审计测试前发现问题。
(二)明确审计部门具体化、核心化的职责。政府审计部门的三大职责分别是持续审计、风险管理的流程审计和反舞弊。其具体化、核心化的职责至少包括:(1)流程导向的内部控制检查与财务审计。(2)风险评估与关键风险因素揭示。(3)风险报告要求具有系统性、建设性。(4)对潜在风险进行有效评估并进行压力测试。(5)从审计专业角度提出风险应对策略;对风险应对策略的预期后果进行可靠估计。(6)规划未来年度的风险监控重点,并明确政府各部门的风险管理责任等。
(三)理清审计风险与审计证据的关系。武恒光(2010)认为,审计风险并非始终随着审计证据的引入而降低。重大错报风险与审计证据的不规则关系出现于管理层有强烈的舞弊激励、管理层的舞弊行为被揭露所遭受的惩罚不严厉以及审计师收集证据的信息含量较低或具有误导性等情形;在舞弊博弈中,检查风险随着审计证据的引入而增大的基本动因在于管理层和审计师博弈过程中战略的互相影响。因此,如果管理层有强烈的舞弊激励或者管理层被揭露舞弊和其认定被拒绝所遭受的处罚充分小,重大错报风险随着审计证据的引入,反而可能会增大。这一点引起的审计风险要充分注意。
(四)将内部控制质量和诉讼风险纳入审计证据的收集模型。审计人员应当关注被审计单位的内部控制质量并相应调整实质性测试的工作量。可将内部控制质量和诉讼风险纳入审计证据的收集模型,并以近年来政府审计项目为研究样本,考察内部控制质量和诉讼风险对审计证据的收集的影响,以及审计人员是否会因承担了诉讼风险而要求在审计证据的收集中予以补偿。
(五)设计出对审计对象的风险审计评价表。根据风险审计的内容,设计出对审计对象的风险审计评价表,主要对审计对象的运作、合规和财务风险相关指标的偏差进行估计。运作审计包括操作失误次数、管理漏洞个数;合规审计包括违法违规次数、犯罪案件个数;财务审计包括资产、负债、净资产、收入及支出的不实额度。可以对审计对象的风险进行定量估计。
(六)在审计观念上,应把审计监督和咨询功能统一在一起。政府审计发挥的作用从形式上看是单纯的查处和揭露问题,批判性是政府审计咨询功能的最基本形式,但其实,批判性只是政府审计的职业特点,建设性才是政府审计的实质。从政府审计的本质和政府审计战略的角度考虑,政府审计的咨询功能不能局限于审计结果。政府审计战略和审计计划等适应并满足国家和社会需求的程度和水平,是发挥咨询功能的决定性环节。
(七)审计机构积极参与到财政预算编制及项目收支执行过程。审计机构积极参与到财政预算编制及项目收支执行过程,通过提供系统的科学的方法评价并改进项目成果评价系统,从而有助于完成预定的项目计划。具体包括:(1)评估项目的目标完成情况;(2)在符合政策及标准的基础上,确保执行过程及成果评估程序的效率性和效果性;(3)通过对原始凭据的检查,确保项目报告的准确性;(4)在需要时为部门或项目提供技术帮助,确保审计机构的建议得到执行,同时,审计机构也回避了审计风险。
(八)在审计内容上,应该把政府会计制度和绩效评价制度的完善作为重点。
1.政府会计制度的完善。我国的政府会计制度还在建设过程中,政府审计不能等待这些制度的完善,应该积极地推进。为此,应该在检查确定被审计单位履行其责任状况的过程中,特别关注政府会计的制度安排问题。审计不能局限于检查现有法规制度的遵循情况,更需要从政府职能的转变,政府社会服务使命和任务的定位,政府机构设置的合理性,政府会计的规范化以及政府会计信息结果的运用等方面研究分析,推进政府会计制度的完善。针对发现的问题,政府审计应关注如何加强相应的内部控制防范,但完善政府会计制度是其根本目的。
2.绩效评价制度的完善。同样,我国政府绩效评价制度还在建设过程中,政府审计在定位上,不能消极地等待这些制度的完善,应该积极地加以促进。为此,应该检查确定被审计单位履行其责任状况的过程,特别关注绩效评价的制度安排问题。需要从政府部门机构设置权责对等的状况、绩效评价的规范化以及绩效评价结果的运用等多方面研究分析,提出改进的建议。
(九)约束性的审计问责。作为公共政策重要组成部分的现代审计制度,要求完善的审计问责应包含两项基本内容:(1)事先明示和确定的问责内容;(2)健全的实现问责后果的保障机制。责任明确的审计问责制,有利于实现防范机制的前置化与腐败发现的早期化,避免腐败的恶性发展与深度蔓延,从而产生积极的腐败风险控制效果。健全的实现问责后果的保障机制,可以让被审计部门进行持续改进,保障审计机构的审计结果落到实处,另一方面也回避了审计风险。
(十)审计部门指导文件,为绩效评估的开展提供帮助。建议政府出台有关政府受托责任的框架文件,作为评估并改善目前政府受托责任关系的指导意见。具体包括制定绩效评价目标、监督绩效、报告结果以及对结果的评估。文件还可提出建立类似财务信息质量评价标准的统一的绩效信息评价标准,如可理解性、相关性、可靠性、可比性等,以及在披露每个指标时有哪些需要考虑的因素。此外,文件还可明确将政府审计在政府改革中的作用定位为审计师和咨询顾问两种职能角色。作为审计师是对政府部门披露的绩效信息提供可信性;作为咨询顾问是以框架为指导,促进政府部门绩效的改善。并规定审计机构应定期向当地政府部门传送新的研究成果。
四、政府审计影响力提升及审计价值实现的制度构想
(一)政府审计的咨询功能可以为政府会计改革提供新的思路。建立一套应计制政府会计准则是一个系统工程,单纯依靠财政部门自身很难完成,让政府审计参与其中,能够使得政府会计准则更具有科学性和有效性。政府审计与政府会计形成互动机制,这就要求审计机关必须站在政府会计改革领导者和政府会计信息需求者的角度,使审计意见与政府会计改革有机互动,实现政府审计咨询功能的最大化。
(二)透明性的审计公告。传统理论将审计公告的基础置于监督受托经济责任之上,但面对风险社会完善公共政策的需要,审计公告制度也面临拓宽理论基础和强化功能的要求。审计公告制度的现代功能在于:“缓解受托责任导致的冲突;利用舆论力量,对相对人的浪费、舞弊等违法违纪行为进行控制;控制审计机关和人员的工作质量;作为其他社会控制手段的有机协调和配合(尚兆燕,2007)。透明性的审计公告包括透明公告内容和透明公告程序。
(三)政府审计从单纯意义的监督机制转化为有价值增值功能的控制机制。可参考企业审计的要求,签发以下三大类报告:一是年度或专项“审计报告”;二是单位内部控制自我评价报告的“再评价报告”;三是审计后向单位额外提供的“管理建议书”。除此外,还要对审计过程中发现的实在或潜在的风险,通过类似“风险提示意见”等方式向公众披露。风险提示意见的内容应对单位预算活动及未来潜在风险(如战略、财务、预算、舞弊等)进行提示和披露。一方面提升审计质量,回避审计风险,另一方面,让政府审计从单纯意义的监督机制转化为有价值增值功能的控制机制。
(四)以审计机关的“垂直领导”取代现行的地方审计机关的“双重领导”。审计问责同级政府存在着难以克服的困难,如果实现了“垂直领导”,就可以较好地解决“同级审”独立性不足的问题,实现有力的异体问责,同时在较大程度上能够节约制度改革的成本。在实行垂直领导体制的条件下,审计经费全部由中央预算解决,切断地方审计机关与地方政府的经济联系,保证以充分的资源支持独立的监督。J
参考文献:
1.杨茁.问责与绩效评价:政府审计职能创新解读[J].求是学刊,2006,(5):59-64.
2.张曾莲.政府会计改革的新力量:政府审计的咨询功能[J].厦门大学学报(哲学社会科学版),2010,(4):131-137.
审计风险及其控制研究篇(10)
中图分类号:C93 文献标志码:A 文章编号:1673-291X(2013)09-0225-01
内部控制发展与构建一直是国内外理论界和实务界关注的热点问题。内部控制理论的发展经过了一个漫长的时期,大致可以区分为内部牵制、内部控制制度、内部控制结构与内部控制整体框架等几个不同的阶段。2004年9月,美国COSO委员会在广泛吸收各国理论界和实务界研究成果的基础上,了《企业风险管理——整合框架》,用以指导企业的全面风险管理活动。中国内部控制的实践和理论研究均起步较晚,1986 年财政部颁布的《会计基础工作规范》首次对内部控制制度作了明确规定。2008年6月财政部《企业内部控制基本规范》,强调了企业实施风险评估的基本方法。
理论研究方面,20 世纪 80 年代以后,中国的内部审计在国家的干预下建立起来。刘力云在专著《审计风险与控制》(1999)中认为,“内部审计与外部审计相比虽然在业务上有相似之处,但也有很大的不同,因此内部审计的风险有其自身的特点”,“内部审计目前面临的影响,其职业生存和发展为风险问题,这是内部审计当前面临的最大风险。”苏运法 (2001)指出,“目前内部审计风险存在认识误区,一是无风险论,二是不用承担风险论,三是风险难免论,四是法制观念淡薄。”
对内部控制风险控制的研究。因各自研究出发点不一样,提出控制的对策也有别,但总的来说,产生风险原因是综合性的,控制措施也是综合性的。如石爱中 (2001)认为,“形成审计风险的原因是综合的,采取措施也是综合性的,包括提高风险意识,严格执行独立审计准则,确定审计风险的时效性,加强执业质量的监督管理。” 张建军 (2001)认为,“独立性是审计最本质特征”,刘力云认为,“控制内部审计风险途径是内部审计要更加积极地促进企业实现经营目标,要改进内部审计方法,用风险基础审计方法代替制度基础审计方法,用风险评估技术确定审计事项。”阎达五、杨有红(2001)说明建立和完善公司内部控制制度是企业的重头戏。
国内各界人士都在深入思考和尝试着实践一些改革措施。李爱华(2008)根据内部控制的理论发展和中国企业内部控制上存在一些问题,指出了中国企业内部控制的现状:首先在内部控制的认识不足,概念上不统一;其次在内部控制制度框架的设计上比较混乱,所以内部控制制度不规范,造成了信息严重失真,舞弊等现象不断出现。张桂玲(2009)论述内部控制、公司治理与风险管理整合可行性的基础上,提出了“大”风险管理概念,并针对实务中存在的问题,给出了相应的建议。李雅琴(2009)以ERM框架为参照,指出中国企业内部控制存在的问题以及ERM框架对中国企业内部控制的启示,并针对中信泰富巨亏事件从内部控制角度进行了分析。古淑萍(2009)提出企业的内部控制制度并不是一个静态不变的控制程序和方法,而是一个内容不断变化的动态过程,它的内容会随着企业面临环境的不同而不断更新,在其体系中应当融入更多的思想,使其不断趋于完善。
