浅谈现代风险导向审计对内部审计的指导

1. 浅谈现代风险导向审计对内部审计的指导

 浅谈现代风险导向审计对内部审计的指导
                    　　 论文关键词：风险导向审计 内部审计 指导 运用 
  　　 论文摘要： 现代风险导向审计是对传统审计方式的突破和创新，是内部审计发展的最新动向。企业推行现代风险导向审计，能将内部审计自身的职能与企业的目标有机地结合起来，充分发挥内部审计在企业风险管理中的重要作用。本文在阐明现代风险导向审计相关概念的基础上，进一步阐述了企业内部审计开展现代风险导向审计的必要性以及现代风险导向审计的实施。
  　　 一、什么是现代风险导向审计 
  　　风险导向审计是在账项基础审计、制度基础审计的基础上产生的，现代风险导向审计产生的主要标志是：2003年10月，国际审计和鉴证准则委员会(IAASB)对审计风险准则进行了修订，并执行新的风险导向模型“审计风险=重大错报风险x检查风险”，我国在2006年2月对审计准则进行大幅度调整，将传统审计风险模型修改为新的审计风险模型。现代风险导向审计是以系统论和战略管理理论为指导，以降低信息风险为根本目的，以控制审计业务风险为中心，以降低审计风险为根本途径，以经营风险的分析评估为导向，采用“自上而下，自下而上”审计思路的一种审计方法。
  　　 二、对现代风险导向审计本质的认识    (一)现代风险导向审计是一种新的审计基本方法。传统审计风险模型的审计方法实质上仍然是制度基础审计方法的延伸，它从分析客户会计报表的固有风险和内部控制风险着手，根据内部控制测试的结果决定实质性测试的性质、时间和范围。而现代风险导向审计则是从企业的战略分析入手，通过“战略分析——环节分析——会计报表剩余风险分析”的基本思路，决定实质性审计程序的性质、时间和范围，并建立了企业会计报表风险与企业战略风险之间的逻辑联系，使这一方法更科学、更有效。
  　　(二)现代风险导向审计摒弃了传统审计简化主义的认知模式，代之以复杂系统的认知模式，并引入战略管理分析工具。现代风险导向审计的思考方法是系统理论所指导的复杂系统认知模式。审计要有效地把握会计报表的错报风险，就必须从企业的战略管理活动着手分析，对战略管理活动进行分析，必须将企业置于广泛的经济网络中进行系统分析。从方法论上讲，现代风险导向审计要比传统的制度基础审计站得更高，看得更远，对企业了解得更透。
  　　(三)现代风险导向审计运用“自上而下”和“自下而上”相结合的审计思路。它运用“自上而下”，“自下而上”相结合的手段，对会计报表错报风险做出合理的专业判断，要从企业的战略管理分析入手，通过经营风险导向和严密的逻辑推理，一步一步地推导和落实审计的范围和重点，确定相关的审计目标和审计程序。通过实施审计程序及取证的结果，并结合重要性的判断，归纳和判断整个会计报表的风险并形成最终的审计意见。
  　　 三、现代风险导向内部审计的理解    内部审计下的现代风险导向审计目前尚无统一的定义。第一种观点认为，把社会审计中的现代风险导向审计运用于内部审计就是现代风险导向内部审计，即内部审计人员立足于对审计风险的分析和评价，并以此为出发点，制定审计计划，实施审计行为的一种审计方法。第二种观点认为，现代风险导向内部审计是指内审人员在审计过程自始至终都关注企业风险(不是审计风险)，依据风险选择项目，识别风险，测试管理者降低风险的.方法，并以企业风险为中心做审计报告，协助企业管理风险。
  　　而从第二种观点的描述上看，所谓的“风险”不是单纯意义的“审计风险”，在更大意义上是指企业在生产经营过程中面临的各种企业风险。由此可见，此时的内部审计已经成为结合内部审计和风险管理的一种有效工具，审计计划与公司最高层的风险战略连接在一起，内部审计人员通过对当前的风险分析确保其审计计划与经营计划相一致，将风险管理原则贯穿于审计的全过程，内部审计重点不再是测试控制，而是确认风险及测试管理风险。用这种观点来界定风险导向内部审计，会与内部审计具体准则对审计风险的定义相背。
  　　笔者认为，在现有准则下，以第一种观点作为现代风险导向内部审计比较恰当，而第二种观点与其说是现代风险导向内部审计，还不如说是企业风险管理中的内部审计作用。
  　　 四、现代风险导向审计运用于内部审计的必要性及其实施 
  　　我们姑且不去定论现代风险导向内部审计的定义，但是在内部审计中实施现代风险导向审计既是基于降低审计风险，又是为降低企业经营风险，进行风险管理的一种有效工具。
  　　(一)内部审计实施现代风险导向审计的必要性
  　　随着内部审计的监督职能向服务管理职能的转变，企业需要内部审计对整体的风险管理、内部控制及治理程序提供有效的审计监督和建设性评价，以帮助企业控制风险，实现目标。因此，内部审计不应停留在传统审计模式上，而应在此基础上进一步开展现代风险导向审计，将关口前移，充分发挥预警性作用。综上所述，在企业内部审计中实施现代风险导向审计有着非常重要的现实意义。
  　　(二)现代风险导向审计在内部审计中的运用
  　　1.准确确定审计的重点和范围。运用现代风险导向审计理论，从分析风险入手，准确确定审计的重点和范围，在审计准备阶段，就加大防范力度，即通过对被审计单位基本情况的了解和分析性测试的结果，充分关注被审单位的特殊风险，确定总体审计风险概率和评估的重大错报风险概率，将审计风险减少到最小程度，确保内部审计能够发现业务经营活动中的重大违法违规问题及存在的风险隐患，达到实现防范风险的目的。
  　　2.以《内部审计实务标准》为指导，执行现代风险导向审计的程序，使风险管理与内部审计程序之间协调一致，产生协同增效的作用。一是在制定审计计划时，针对可能影响风险评估的基础，制定审计计划，确定审计项目。二是编制审计方案时，在评估风险优先次序的基础上安排审计工作。三是确定审计范围时，要考虑并反映整个企业的战略性计划目标，每年对审计范围进行一次评估，以反映最新战略和方针。四是在审计实施过程中，通过评价内部控制制度，查找其中的疏漏和薄弱环节。五是在编制审计报告时，应对风险管理状况进行评价，指出风险管理中存在的漏洞和不足，提出加强管理的建议。六是以风险大小作为确定追踪审计范围的重要因素。
  　　                

2. 论现代风险导向审计的内容简介

20世纪80年代以来，科学技术的发展促进了经济的迅猛发展，也使得全球经济更加复杂化，再加上不断发生的公司舞弊案等一系列因素，促使审计界深刻反思以往审计模式的有效性。在这种背景下，审计实务界率先联合学术界开始探索新的审计模式——现代风险导向审计。现代风险导向审计，以被审计单位的重大错报风险为导向，对被审计单位可能引起重大错报的内外部风险因素进行评估，以确定审计的重点和范围。将有限的审计资源集中在高风险领域，合理配置审计资源，以提高审计效率和效果。风险导向审计适应了现代社会高风险的特性，为量化审计风险、减轻审计责任、提高审计效率和审计质量做出了尝试。随着实务界经验的积累和实践的日益成熟，尤其是在安然等事件的催化下，各国政府和会计职业团体着手总结和研究现代风险导向审计。对于风险导向审计，争议是存在的，但是绝大多数意见是肯定的。国际审计与鉴证准则委员会、美国、英国、加拿大、澳大利亚等已经制定审计准则，以期在审计实务界更加广泛地推广现代风险导向审计。风险导向审计无疑是审计历史上的一次重大革命，势不可当。

3. 论现代风险导向审计的介绍

现代风险导向审计，以被审计单位的重大错报风险为导向，对被审计单位可能引起重大错报的内外部风险因素进行评估，以确定审计的重点和范围。将有限的审计资源集中在高风险领域，合理配置审计资源，以提高审计效率和效果。为量化审计风险、减轻审计责任、提高审计效率和审计质量做出了尝试。

4. 现代风险导向审计的介绍

《现代风险导向审计》共分十五章，围绕现代风险导向审计的基本原理及其应用，按审计过程的顺序展开，对现代风险导向审计进行了全面、系统、深入的介绍。

5. 为什么现代审计要采用风险导向审计方法?

日益增加的审计风险是风险导向审计出现的直接原因，风险在审计中其实是一直存在的，在以揭错查弊为审计目标的第一阶段，由于经济业务较为简单，审计人员通过详细审查，基本能达到审计目标的需要，社会对审计人员的职责也没有明确规定。
当时的审计风险转化为现实的可能性并不大，没有对审计界构成威胁，审计人员本身对审计风险的认识还只是朦胧阶段。
这表明审计职业界充分认识到社会公众的需求以及自身发展所要解决的矛盾，那就是要把审计风险降到社会可接受的水平，满足社会公众的信息需求。若不积极履行职责，就将面临重大的风险，甚至会危机职业的生存。
风险导向审计正是以审计风险为审计工作的出发点，通过对产生风险的各个环节进行评价，重视产生风险的每一个重要环节，明确高风险项目，使审计过程成为一个不断克服和降低风险的过程。

扩展资料由于审计风险受到企业固有风险因素的影响，如管理人员的品行和能力、行业所处环境、业务性质、容易产生错报的会计报表项目、容易遭受损失或被挪用的资产等导致的风险，又受到内部控制风险因素的影响，即账户余额或各类交易存在错报，内部控制未能防止、发现或纠正的风险。
此外，还受到注册会计师实施审计程序未能发现账户余额或各类交易存在错报风险的影响，职业界很快开发出了审计风险模型，即：审计风险=重大错报风险×检查风险。
审计风险模型的出现，从理论上解决了注册会计师以制度为基础采用抽样审计的随意性，又解决了审计资源的分配问题，要求注册会计师将审计资源分配到最容易导致会计报表出现重大错报的领域。
参考资料来源：百度百科-风险导向审计

6. 现代风险导向审计的特点

现代风险导向审计最显著的特点就是将客户置于一个人的经济环境中，运用立体观察的理论来判定影响企业持续经营的因素，从企业所处的商业环境、条件到经营方式和管理机制等构成控制因素等内外部各个方面来分析评估审计的风险水平，将客户的经营风险植入本身的风险评价中。现代风险导向审计具有以下特征：

　　1、审计重心前移，从以审计测试为中心转移到以风险评估为中心。

　　传统风险导向审计不能适应现代报表审计的需要，就在于其原有的风险评估不到位，未能有效发现高风险审计领域，造成审计过量或审计不足，现代风险导向审计大大加强了风险评估程序，真正体现了现代风险导向审计的理念。

　　2、风险评估由直接评估变为间接评估。

　　传统风险评估直接评估发生重大错报的概率，也就是直接对审计风险进行评估，现代风险评估小再直接对审计风险进行评估，而是从经营风险评估入手。之所以从经营风险评估入手，有几个方面考虑：一方面是持续经营的考虑；经营失败往往带来审计失败；二是经营风险对审计风险的影响，经营风险越高，审计风险也越大，也就是管理舞弊可能性就越大；三是从经营风险中能更有效发现财务报表潜在的重大错报，因为财务报表是经营的反映；如果经营风险未能在报表上得到体现，则财务报表很有可能失真。

7. 现代风险导向审计的应用案例有哪些

现代风险导向审计是指注册会计师通过对被审单位进行风险职业判断，评价被审单位风险控制，确定剩余风险，执行追加审计程序，将剩余风险降低到可接受水平。
随着近年来国内外审计失败事件的揭露，传统风险导向审计的弊端日渐暴露出来，首先传统风险导向审计的基本模型不合理。尽管审计人员在计划中做出了最大的努力，但期望的审计风险、固有风险和控制风险的评价都是非常主观的，最多只有大体上的可信性。其次，传统风险导向审计不符合系统理论，不能发现由于内部控制失效所导致的会计报表的重大错报和漏报。它采用简化主义的观点，只关心的内部控制，认为注册会计师通过对各个账户层面的认定进行审计就可以获得充分适当的审计证据，所以没有充分关注与内外环境之间的联系以及内部之间的联系，在这种情况下，容易犯只见树木，不见森林的错误。发现重大错报的概率为零。最后，传统风险导向审计在审计资源上分配不合理。由于它采用一种自上而下的审计思路，在审计资源上面面俱到，造成审计资源的浪费。现代风险导向审计便在这种环境下应运而生。

8. 现代风险导向审计的变革途径是什么

随着经济全球化和科学技术的迅猛发展，日益复杂的组织内部关系和竞争日趋激烈的外部市场，使经济社会中不确定因素越来越多，企业承担的风险也随之加大。内部审计作为企业内部控制和风险管理的一种制度安排，需要顺势而为，不断调整自己的业务范围和审计目标。内部审计不仅关注内部控制，也积极参与到企业的风险管理；审计目标从过去被动地差错纠弊，变为主动地帮助企业增加价值。因此，风险导向型内部审计的提出满足了现代企业对内部审计在风险管理、内部控制和公司治理方面的更高要求。 
　　一、风险导向型内部审计的含义及特点
　　（一）风险导向型内部审计的含义
　　狭义的企业风险指有碍于组织目标实现的威胁因素，通常分为三大类：外部环境风险、经营过程和资产损失风险、以及信息风险。由于事后补偿的保险难以发挥对组织风险结果予以弥补的作用，因此，风险管理既是必要的，又是可行的。基于此，COSO委员会于2004年正式提出《企业风险管理框架》（简称ERM），将企业风险管理定义为：是一个受机构的董事会、管理层以及其他人员影响的过程，它可以运用在战略设定并贯穿于企业当中，设计企业风险管理旨在确认影响机构的潜在事件，并在风险偏好内管理风险，为机构目标的实现提供合理的保证。企业风险管理（ERM）由以下八个要素构成：内部环境、目标设定、事件确认、风险评估、风险回应、控制活动、信息和沟通、监控。这八个方面组成要素是一个有机的整体，体现的是一个动态的过程。一种观点认为，风险导向型内部审计的风险就是审计风险；而另一种观点则认为，所谓的“风险”不是单纯意义的“审计风险”，更大意义上是指企业风险。在《布林克现代内部审计学》第六版中提到“现在的内部审计人员要运用前后一致的方法来理解和评估审计风险，包括与单个被审计机构有关联的风险以及整个组织所面临的整体风险”，可见，风险导向型内部审计是以审计风险模型为审计方法，以对整个组织的风险进行评估与改善为最终目的的一种审计理念。 
　　（二）风险导向型内部审计的特点
　　与制度导向型内部审计相比，风险导向型内部审计具有以下特点：
　　一是风险导向型内部审计的基础是内部控制。COSO将内部控制定义为：内部控制是一个过程，受机构的董事会、管理层以及其他人员的影响，设计内部控制是为以下类别的目标的实现提供合理的保证：运营的效果和效率、财务报告的可靠性、以及遵守适用的法律和法规。对内部控制评价的过程就是内部审计的过程，一个企业内部控制的好坏，与审计风险的高低直接相关，所以内部控制始终都是内部审计关注的重点；同时，内部审计也是内部控制的一个重要环节，是对其它内部控制环节的再控制。重视日常控制活动，抓住内部审计监督评价环节，为企业目标实现提供合理保证。此外，构成内部控制的五个要素是：控制环境、风险评估、控制活动、信息和沟通、以及监控。内部审计要对公司的风险管理加以评估与改善，首先要从内部控制领域中的风险做起。可见，风险导向内部审计是以内部控制结构为内容，关注风险发生的可能性。所以，内部控制是风险导向内部审计进入公司治理、评估改善组织风险的基础。 
　　二是风险导向型内部审计的内容是风险管理。内部审计介入风险管理是内部审计职业发展的要求，也是企业发展的需求。从ERM框架可知，它关注包括公司治理领域和内部控制环节的风险在内的一切风险，因此，风险管理不仅要求全面识别风险，而且要熟悉本单位的经营战略、工作程序、组织结构等，而内部审计人员的独特地位与专业知识满足了以上要求，风险管理必然成为内部审计的主要业务之一。风险导向内部审计要求内审人员在审计过程中自始至终都关注企业风险、识别风险，依据风险选择项目，以降低风险为导向，进行内部控制制度的符合性测试、实质性测试，并进行监督检查和评价，提出建设性意见和建议，其审计报告可以作为揭示企业风险、防范风险以及信息交流的信号，协助企业管理风险。风险导向内部审计以风险为出发点，不仅能够使其服务范围与企业发展战略与经营目标直接联系，而且以其在企业中的独特地位和专业知识能够从根本上解释和评估风险管理措施，从而提高风险管理的有效性。 
　　三是风险导向型内部审计是提高审计资源利用效率的途径。风险导向内部审计不仅重视会计信息，而且重视经济信息、产业信息和财务信息等，其审计模式是：在对企业所有风险进行彻底了解后，内部审计人员对风险进行排序，根据风险大小来确定审计范围，对于有证据表明风险较低的领域，应依赖内部控制或分析性复核；对于被认为风险较高的领域，分配更多的审计资源，可实施大量的实质性测试和余额细节测试。这样恰当、有效地分配内部审计资源，使得更多与风险管理相关的控制和活动得到关注，将审计手段与审计目标更好地结合在一起，可以提高审计的科学性、针对性和绩效性。所以，风险导向内部审计提供了一种既能保持审计效果，又能提高审计效率的工作思路。 
　　二、风险导向型内部审计在企业风险管理中的作用及其途径
　　（一）风险导向型内部审计在企业风险管理中的作用
　　一是在风险环境分析中的作用。风险环境是指影响组织经营目标不能实现的经营环境，包括内部风险环境和外部风险环境。外部环境因素主要包括法律、政治和经济等环境因素；内部环境因素主要有：企业的风险偏好与风险文化、诚信与道德价值、管理理念与经营风格、组织结构与权责划分等，其是企业设定经营目标和战略计划的基础。由于经营环境是风险的根源，因此内部审计应从着眼于风险转到着眼于经营环境，通过对经营环境（包括一般环境和社会环境、创业环境、内部审计应用环境和组织环境等）的分析，以进一步评估组织的“固有风险”和“剩余风险”，并通过对企业各项环境因素变化的分析，将分析结果以审计报告的形式反映给管理层，以便管理层更加有效地管理风险。正是由于内部审计熟悉企业的内部环境、并具有相对独立的职能地位，可以全面客观的判断企业的固有风险、评价企业目标的有效性和可行性。 
　　二是在风险事件识别活动中的作用。ERM框架要求识别出所有可能发生并对企业目标实现产生不利影响的重要状况，该步骤非常重要，因为未被识别的事件不会在风险回应中得到处理，可能导致意外风险的发生。内部审计针对现有环境与经营过程，通常以各种类型的战略或各种形式的商业活动为基础的模板，观察同行业内其他企业的经营情况及整个市场的经营风险水平，同时，内部审计人员以其专业知识和技术，独立地推断潜在的重大风险。因此，在风险事件识别活动中。内部审计人员要判断管理层是否完全识别了单位的所有风险。 
　　三是在风险评估中的作用。风险导向型内部审计通常要求采用风险评级和计分的方法进行风险评估，并根据量化的风险水平排定优先次序，尽量找出风险存在的根本原因，以寻求最好的解决方案。对难以客观量化的风险事件，则采用主观估计风险发生的可能性，此时，内部审计人员的职业判断最得尤为重要，其可以帮助管理者做出比较正确的选择。可见，在风险评估中，内部审计人员需要从客观的角度分析风险的假设条件、计算方法的适当性来评价风险，以向管理层提供专业意见。 
　　四是在风险反映和控制活动中的作用。对于经过识别和评估后的风险，企业都要经过风险与收益的权衡。ERM将风险反映分为j类：可接受风险、规避风险和减少风险。规避风险超出了企业的风险偏好，企业不能接受且无法经济有效地加以抑制，则须放弃该项目或计划从而避免风险带来负面影响。对于大部分风险，需要企业采取一定的行动，转移或分散风险，以达到企业可接受的水平。为此，企业需要对其风险加以控制，即将不可接受的“固有风险”转化为可接受的“剩余风险”，由于控制活动本身是很复杂的，内部审计人员通常采用分析性程序和详细测试，评估控制活动的有效性，使风险得以管理。因此，在风险反映和控制活动中，内部审计人员通过分析、评估风险回避的合理性、减少风险措施的有效性，以降低组织承受的风险。 
　　五是在风险信息沟通和风险管理系统监控中的作用。风险管理涉及企业各个职能主体，是各管理部门共同承担企业的综合风险。风险导向内部审计从评价各部门内部控制制度人手，在各领域查找管理漏洞，以独立第三方的身份验证信息的准确性和及时性，帮助企业管理当局进行风险的管理与协调。为此，内部审计人员需要采用风险监控方式，将经营计量系统记录的业绩与计划和预算中的预期业绩以及同一时期的竞争者业绩进行比较，来判断风险环境中新的风险和变化，便于管理者及时做出反应。可见，在风险信息沟通和风险管理系统监控中，内部审计人员通过审计报告以向董事会和审计委员会传递风险是否得到有效管理的信息，保证单位对风险的管理是一直有效的。 
　　（二）风险导向型内部审计在企业风险管理中发挥作用的途径
　　风险管理框架（ERM）下的内部审计关注的核心是企业的风险管理过程和剩余风险水平，由于内部审计部门所进行的风险管理是对剩余风险的确认并提出咨询建议，因此，内部审计参与风险管理的途径是开展风险导向型审计。通过开展风险导向审计，内部审计将事后评价转变为更为及时和主动的事前事中的风险审查和事后的动态反应，全过程控制和管理企业风险，从而能够客观评价风险管理系统，以降低风险损失。因此，剩余风险是风险导向审计需要关注的重点领域。内部审计部门所进行的风险导向审计就是通过系统的分析、认定和评价被审计对象各个领域的固有风险及其管理状况，评价其得出的已量化的剩余风险水平，并据此确定进一步审计的范围、重点和方法。因此，在审计实务中，内部审计部门要从审计的过程和整体角度分析审计风险在审计中的作用。把审计基础工作大量放在对被审计对象业务过程的调查，对内部控制要素进行控制测试，并对财务报表和业务操作程序、审计环境等进行科学分析、判断上，从而使期末需要审查的结果，在期初和期中得到判断。对剩余风险审计的主要目的是将剩余风险降低至可接受水平，为此，需要通过以下途径实现风险导向型内部审计在企业风险管理中的作用：了解管理层确定可以接受的剩余风险水平；确认业务活动领域的剩余风险并进行优先排序，将主要审计资源分配到高风险领域；审计师需要将在审计过程中发现企业尚未对某些重要风险采取管理措施，应同被审计单位或被审计对象的管理层进行沟通，并向其提出管理建议，从而协助被审计单位预防或检查将来可能出现的错弊。最后，内部审计师以经过核实的审计证据为依据提出风险审计报告。风险审计报告是针对剩余风险提出相关建议，以帮助管理层采取必要措施改进控制系统所形成的书面文件，它是内部审计参与企业风险管理的集中表现，也是内部审计发挥风险管理作用的重要形式。 
　　三、风险导向型内部审计应注意的问题
　　（一）责任问题
　　企业风险管理作为风险导向型内部审计的主要业务，内部审计人员并不参与风险管理的建立和运行过程，而是在企业已有风险管理的基础上实施再监督，以促进风险管理过程的建立或使风险管理的有效性成为可能。 
　　（二）途径问题
　　在企业风险管理框架下，内部审计是风险管理的函数，是对风险管理的再管理，因此，内部审计参与风险管理的途径有两种：即风险管理审计和风险导向审计。但对风险导向型内部审计而言，其路径专指第二种，即对剩余风险的确认、排序和建议。 
　　（三）侧重点问题
　　风险导向内部审计的审计模式遵循了：目标一风险—控制的顺序，重视与企业目标直接关联的风险分析，所以，风险导向内部审计在评估企业风险管理时，关注的是优先选择高风险领域的控制，并且着眼于评估具体控制对风险管理的效果。此时，内审部门不再只是强化控制。而是通过规避转移和控制风险，使风险管理更加有效并提高企业整体经营管理的效果和效率。

希望能帮助到您，祝您生活愉快！