導語：如何才能寫好一篇審計中的風險評估，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

（一）風險導向審計與金融機構洗錢風險評估的異同。具體運用中，兩者均采用抽樣評價方法，取證手段相同（如詢問、查閱、檢查等方式），評估流程類同。財務報表審計流程大致分三個階段，即承接業務階段的內外部風險評估，主要分析被審計單位高管層壓力、機會和借口等因素所引發的舞弊或錯報風險；風險初步評估階段，了解評價被審計單位環境、內控制度情況；進一步審計程序階段，控制測試和實質性測試（對被審計單位各類交易、賬戶余額和披露的細節測試以及實質性分析程序）。后續審計程序根據前階段的風險評估結果確定，當后續審計程序獲取的審計證據與初始評估獲取的審計證據相矛盾時，可以修正風險評估結果，并相應修改原計劃實施的進一步審計程序。審計風險評估的目的是根據風險，確定進一步審計程序的性質、范圍和時間安排，其目的在于內控風險較高時，更多的控制測試和實質性測試能推斷被審計單位的錯報或舞弊行為，繼而獲取被審計單位錯報或舞弊對財務報表的影響程度。洗錢風險評估與此類似，一是了解金融機構固有風險階段，與承接審計業務階段內外部風險評估相似，需了解金融機構所面臨的宏觀經濟狀況，所在行業的洗錢風險及經營狀況對洗錢風險的影響。二是初步評估階段，與審計風險初步評估階段相似，對金融機構反洗錢工作的環境、內控制度執行情況進行評估。三是深入評估階段，與進一步審計程序階段相似，對金融機構的反洗錢內控制度有效性和可疑交易分析報告工作的及時性和有效性進行分析評價。洗錢風險評估過程中，可以在了解金融機構固有風險的基礎上，確定初步評估的范圍，指導深入評估的時間、范圍和方法，包括對金融機構進行一次初步評估和一次深入評估，也包括根據評估結果，采取現場檢查、約見談話、現場走訪等后續監管措施。不同之處在于：一是業務性質不同。風險導向審計是對財務報表不存在由于錯誤或舞弊導致的重大錯報獲得合理保證；金融機構洗錢風險評估是對金融機構洗錢風險的高低作出評價。二是評價內容不同。前者是對被審計單位的外部環境、內部環境、內控制度，特別是對會計報表及賬務處理的準確性及真實性進行評價，具有經濟評價性質，較為復雜；后者是對被評估單位反洗錢相關的環境、內控制度及可疑交易分析能力進行評價，具有單一性風險評價性質，較為簡單。三是法律責任不同。審計主體對審計報告具有強制性報告義務，并對出具的審計報告承擔法律責任；洗錢風險評估是對風險進行判斷，不具有強制性報告義務，較少承擔法律責任。四是委托責任不同。前者是會計師事務所接受有關信息使用者的委托，對被審計單位進行審計，信息使用者包括政府、股東及投資者等相關人員；后者主要是評估主體接受政府部門委托，根據最新風險狀況對被評估機構洗錢風險進行評估。

（二）風險導向審計對洗錢風險評估的借鑒意義。風險導向審計理念成熟的理論和規則對新型的洗錢風險評估具有一定的參考意義，主要表現在：一是評估理念。實施審計的范圍包括被審計單位內外經濟、政治、法律環境、內部控制制度及經營狀況，體現出評估對象在極為復雜的情況下，仍講究審計的成本與效益。洗錢風險評估作為近年來推出的一種監管方法，強調合理配置監管成本，通過借鑒審計規則，才能將風險為本的評估理念落到實處。二是評價體系。審計風險評價體系采用類似于矩陣的評價方法評價，其基礎是被審計單位的風險不能通過細化風險點進行簡單匯總，理由在于風險之間存在交叉影響。金融機構洗錢風險評估是對金融機構反洗錢內控制度及控制措施進行評價，各風險控制點對整體風險的影響與審計實務基本相同，借鑒審計評價方法，能較好反映金融機構被利用洗錢的風險。三是評估方法。開展審計時，具體審計目的不同，取證手段也不同，各具優勢，金融機構洗錢風險評估的方法處于摸索階段，通過借鑒，能優化評價效能。

二、審計風險評價體系對洗錢風險評價體系的借鑒

層次分析法（AnalyticHierarchyProcess，AHP）是美國運籌學家T.L.Saaty于20世紀70年代初提出的一種決策分析方法，基本原理是：把一個復雜的決策問題視為一個系統，按總目標、子目標、評價因素的順序進行逐步分解，構建層次結構，然后通過模糊量化確定各元素對于上層指標的重要性，以此遞推到總目標層，從而為最終的決策問題提供較為科學的定量依據。洗錢風險評估方法之一為層次分析評價方法，通過采用分級細化、確定指標分值權重、逐級加減匯總的方式，確定總體水平。如澳大利亞評估洗錢風險主要考慮兩個因素，一是機構被用于洗錢和恐怖融資活動的可能性（剩余風險），若機構的內在風險（自身提供的產品、服務、銷售渠道、面對的客戶群體導致的內在風險）較高，但其各項內控政策措施足以有效管理風險的話，則剩余風險不大；如果被評機構屬于公共機構，則被用于洗錢的影響就比較大，其內控風險模塊和內在風險模塊的風險值根據各自重要性加總，前者減后者得出剩余風險值。我國試行的金融機構反洗錢風險評估標準中，將風險指標劃分為環境、產品／客戶、控制、溝通和調整五類一級指標，通過對各類指標中的標準評價得分匯總得出整體風險，優點在于，整體風險或工作情況受多個控制點、事項或交易的影響，各指標的匯總得分情況能較好反映整體水平，其在工作績效考核運用中的優勢尤其明顯。

審計風險值的確定方法與上不同，是在確定各類風險值（或風險高低）的基礎上，對各類風險值進行數值乘算（或選用“高”、“中”、“低”等文字的定性描述），并通過矩陣表的方式計算確定風險，本文將此方法描述為矩陣評價方法。審計風險值具體確定方法為，審計風險=重大錯報風險×檢查風險（實務中，注冊會計師不一定用絕對數量表示風險水平，還可以選用“高”、“中”、“低”等文字描述，即審計風險值可通過數值乘算，也可以定性確定），其中，檢查風險取決于審計程序設計的合理性和執行的有效性，可以通過職責分配、提供針對性審計計劃等方式解決。重大錯報風險包括固有風險和控制風險，評估時可以單獨對固有風險和控制風險進行評估，也可以合并進行評估。國內有關研究提議采用矩陣方式評價風險，第一種評價方法為，洗錢風險=固有風險×內控風險，其中，固有風險包括：國家／地域風險、產品／服務風險、客戶風險；內控風險主要是指反洗錢內控制度及執行風險。第二種評估方法為：反洗錢風險＝原本風險×管控風險×監管風險。與反洗錢風險管理的評估方法相似，金融機構洗錢風險水平受以下四個方面的因素影響：國家經濟，所在行業、地域環境；反洗錢內控制度與內部環境；金融產品、服務及客戶本身的洗錢風險水平；可疑交易報告的及時性和有效性。第三種評價方法為，金融機構洗錢風險=國家（地域、行業）風險×控制風險×產品（或客戶）風險×交易監測風險（與審計風險評估相似，洗錢風險值可通過數值乘算，亦可定性確定）。

國外有關監管機構采取類似的矩陣評價方法，如德國運用12格矩陣表示不同的風險等級，對金融機構的風險評估方法為，金融機構洗錢風險=潛在洗錢威脅×反洗錢措施的質量，其中金融機構潛在洗錢威脅分為高、中、低三檔，包括金融機構所處地理位置、業務范圍、產品結構、客戶構成及銷售方式。反洗錢措施的質量分高、中高、中低、低四檔，評估結果主要依據金融機構的年度審計報告。本文認為矩陣評價方法體現出風險與成本的一種均衡，避免將洗錢風險通過簡單匯總各級指標分值的方式進行評價。主要體現在：一是控制成本。風險導向審計理論認為，機構內部行使控制職能的人員素質及控制成本影響控制效果，若實施某項控制成本大于控制效果而發生損失時，就沒有必要設置該控制環節或控制措施。洗錢風險評估中，某金融產品被用于洗錢的風險較高，其相關控制風險也較高，但若金融機構的該類金融產品交易量很少，則其整體洗錢風險不能被認定為高風險，投入此部分的評估資源可以相對減少。二是風險項的交叉性影響。即各類風險相互之間的影響，如新客戶“職業”登記為“其他或無業”的比例較高，則不能認定客戶身份識別制度執行有效，被利用于洗錢的風險應該較高。三是不同類別風險對整體風險的影響程度。即當某類風險較高，而其他類風險較低時，須依據各類風險對整體的影響程度確定風險等級。金融機構的反洗錢義務在于預防，所有控制措施都是為做好可疑交易的監測、分析和報送服務，若客戶身份識別制度和客戶風險等級劃分制度執行的很好，但監測分析人員的人數配置不夠、分析能力不高，可疑交易分析系統的智能化不足，則應認定該單位的洗錢風險水平為高風險。

三、風險導向審計方法在洗錢風險評估方法中的運用

（一）運用抽樣評價方法。審計抽樣范圍受所鑒定會計期間的影響，并針對該會計期間各類控制、事項或交易中的部分樣本進行評價，通過樣本推斷總體，如年度財務報表審計，只有在審計報表期初余額，及評價期末、期后事項對報表的影響時，才會跨年度選取樣本。洗錢風險評估相對靈活，可以對某一年度的洗錢風險進行抽樣評估，也可以針對某類控制、事項或交易的樣本擴大至若干個年度進行抽樣評估。

（二）依據風險高低擴大或減少樣本量。審計實務中，若認為被審計單位控制環境薄弱，則很難認定某一相關流程的控制有效，其實質性測試的樣本量會大幅增加（實質性測試包括細節性測試和實質性分析程序，即對會計計量的真實性、準確性、合理性進行審查）。小型機構員工較少，限制了其職責分離的程度，雖然沒有文件形式的控制要素，但了解管理層的態度、認識和措施及其控制環境非常重要，應該更多的采取實質性程序。洗錢風險評估可借鑒以上方法，若金融機構的內控風險很高，則其客戶身份識別、交易記錄保存及客戶風險等級劃分相關控制點就較難得到有效執行，繼而影響異常交易分析識別的及時性和有效性，此時應擴大對異常交易分析及報告的樣本量，確定洗錢風險的高低。

（三）整合取證手段。審計取證方法包括查閱、詢問、觀察、穿行測試、重新執行、實質性分析程序等方法，具體審計目的不同，取證手段和工作流程也不同。如對收入確認的完整性測試，由原始憑證追查至明細賬（從發貨部門的發運憑證追查至有關銷售發票副本，再到收入明細賬），而對收入確認真實性的審計流程與上述流程相反。洗錢風險評估中，如評價金融機構的可疑交易報告是否有遺漏，可以選取部分存量客戶，從建立業務關系，到客戶風險等級劃分，再到可疑交易分析報告的整個流程進行取證；評價可疑交易報告是否合理，則與上述流程相反。在具體方法運用上，主要有以下幾種可供借鑒。1、詢問。向金融機構有關員工進行詢問，獲取與內部控制運行情況相關的信息。如果某項控制要求某一員工（復核人）在文件上簽字以證明他復核該份文件，那么應詢問其復核的性質，即對什么進行復核，復核的要點是什么，簽字復核的意義等等。如個人獨資企業、家族企業、合伙企業、存在隱名股東或匿名股東公司的盡職調查難度通常會高于一般公司，應詢問此類盡職調查的方法和措施。2、穿行測試。追蹤交易報告在業務流程中發生、處理和記錄的過程。業務流程中存在多個風險控制點，如客戶身份識別措施——身份識別記錄——風險等級劃分——交易記錄保存——可疑交易提取、分析——復核確認——分析報告結論，通過穿行測試，掌握內控薄弱環節，及對整體風險的影響程度。3、重新執行。審計實務中，檢查復核人員是否認真執行核對時，不僅應檢查是否在相關文件上簽字，還應選取一部分憑證如銷售發票進行核對。在風險評估中，可以選取部分可疑交易報告，評判可疑交易分析復核的合理性；在可疑交易分析系統及風險等級劃分系統（或者是功能模塊）中，評估人員從相關系統調取客戶身份資料（一般是開戶資料）和交易記錄，以評價系統設計的合理性。4、實質性分析程序。通過研究數據間關系評價一段期間的交易情況。審計實務中，實質性測試包括對各類交易、賬戶余額和披露的細節測試以及實質性分析程序（如財務指標的橫縱向比較）。在洗錢風險評估中，可以運用到實質性分析程序，如“可疑交易量／同類型交易量”的橫縱向比較，“未登記客戶職業信息數量／所有客戶數量”的橫縱向比較；如私人銀行業務的投資理財品種和交易金額的變動情況。

四、審計成本控制在洗錢風險評估成本中的借鑒

篇2

關鍵詞 風險評估 內部審計 應用實踐

隨著我國市場經濟不斷地發展和壯大，銀行的各項事業都面臨著重任，內部審計工作也不例外。然而，我國銀行在開展內部審計的工作過程中還存在一些問題，制約著相關工作效率的提升。本文以銀行內部風險評估的方式作為文章內容的切入點，并對相關的解決措施進行了詳細的闡述。

一、銀行內部風險評估的方式

（1）關于風險管理模式的選擇。銀行在對風險進行分析和評估的過程中，其內部審計部門一方面通過風險控制系統的應用，來了解銀行進行風險控制水平；另一方面是采取有效的風險評估模式來對對風險程度進行有效評估。通過對風險的掌握程度以及抗風險能力的了解，來加速推進銀行的發展進程，并給予正確的評價。銀行在發展的過程中，無論是銀行的風險還是其固定風險都和控制風險密切相關，固定風險指的是未經過銀行的內部控制，會計處理和被審計的對象這兩者之間發生差錯的概率。控制風險指的是會計處理和被審計的對象這兩者的差錯沒有被銀行內部的控制系統糾正過來的概率。結合控制風險和固定風險的概率成積，就可以得出，銀行在內部的控制下，所遺留的風險值。不難看出，風險評估系統在促進銀行的發展方面有著不容忽視的作用，通過風險值數的獲得再結合銀行承受風險的能力，從而為銀行提供行之有效的風險管理模式。

（2）對風險評估過程的探索。在進行風險評估過程的探索中，設計的主要內容有對風險事項加以明確、對審計對象進行劃分、了解風險因素、對風險程度的測算、對風險能力進行評價和控制等等，具體內容如下：1）對審計對象進行劃分。在對審計對象進行劃分的過程中，應秉持不同維度不同劃分方法的原則，幫助銀行管理和內部審計工作人員之間能夠進行良好的溝通，以便能在對審計對想進行風險評估的過程中，能夠有效地分析結果，并對銀行的審計工作提供更有效地指導。審計的維度，主要指的是銀行結合自身的實際情況，對選擇合適的發展戰略。此外，在進行審計對象劃分的過程中，可以結合銀行的內部管理、產品類型、組織機構等方面的情況，使劃分工作更具合理性和科學性。2）對風險事項加以明確。風險事項主要包括確定風險類別，也包括對風險因素和事件的明確。在進行類別劃分的過程中，應把銀行的運營情況、外部監管、成本效益納入考慮范圍之內。現階段，我國銀行面臨的風險主要有法律風險、信用風險、市場風險、戰略風險等等。風險因素主要包括資金、監督、技術的管理以及市場競爭等方面。3）對固定風險的測算。在開展固定風險的測算中，應考慮到發生風險的概率和影響程度這兩方面因素。發生風險的概率測量算要結合具體情況對風險等級進行劃分。而風險影響程度主要考慮的是銀行的資產成本損失程度和安全系數等方面的情況。只有進行科學的固定風險測算，才能對銀行在不斷快速的發展中因風險帶來的危害進行有效識別，才能為銀行的高效發展提供有效的決策。4）對風險能力進行評價和控制。銀行應結合固定風險的大小，對自身的抗風險能力進行預算和客觀的評價，采取的預算方法有很多，比如，穿行測試法和差距分析法等等，從而得出企業控制風險的能力。同時，在進行風險評估的過程紅，應對剩余風險進行最后的計算，以便為企業的深入發展提供可靠的信息和資料。

二、我國銀行內審風險評估結果的應用與延伸

（1）以銀行內審風險評估為中心整合審計資源。由于我國商業銀行內部審計起步較晚，相比與發達國家銀行內部審計較為落后，審計資源很難滿足日益猛增的業務發展需要。目前，我國經濟持續高速發展，商業銀行發展勢頭迅猛，然而，我國商業銀行內部審計資源稀缺，相關從業人員占銀行總體員工比重較低，且專業技能素質參差不齊，難以滿足繁復的銀行內部審計工作需要。使得我國商業銀行行業的網上銀行、個人貸款、信息安全、理財產品等新興業務面臨巨大的風險。因此，為了提高銀行內部審計部門工作效率和效果，必須要以風險為導向，科學合理的配置審計資源，將有限的審計資源按照風險評估結果分配到最需要的審計環節，并制定科學嚴謹的審計制度、審計工作流程、審計計劃，明確審計項目及審計頻率，從而對銀行業務、經營的各個關鍵環節進行有效的監管。通過對銀行業務進行全面的風險評估，發現并控制風險較高的業務領域，并分配審計經驗豐富的人員進行審計。

（2）對風險管理進行完善。我國銀行的風險管理框架正在構建的過程中，銀行應結合國資委和銀監會的要求，把流程再造、機構設置和人員配備作為入手點，從而有效實現對多種風險的全方位管理。而銀行內部審計的風險評估工作的有效展開，不僅能夠對制定審計計劃以及審計方法進行有效的指導，同時，也能使銀行內部的風險管理更具合理性和科學性。風險評估的結果有效地將各審計單元所剩余的風險程度反映了出來，并能夠及時發現一些潛在的風險因素，優化內部控制的流程，對相關體制進行完善，強化風險管理，有效地促進銀行風險控制能力的提升，以順利實現控制目標。

（3）在以風險為導向的基礎上對審計重點進行確定，實現內審職能地有效轉變。我國銀行的風險評估工作處于初級階段，還沒有較為成熟和完整的風險評估體系，銀行要想依靠風險評估結果來指導銀行的相關工作還有很長的一段路要走。因此，銀行內部的審計部門能應將風險評估理念貫徹到銀行開展各項工作的始終，從而促進審計工作質量和效率的提升，有效推進全面風險評估的發展進程。我國銀行內部的審計部門一般都是從稽核監督部門轉化而來，過去的工作注重的是查錯糾弊的內容，其關注的對象也是銀行內部的控制系統，這種在沒有對風險進行評估，就對控制系統進行關注的工作模式存在著一定的弊端，主要體現在，控制的改變速度無法跟上經營環境的快速變化，而對已經成為過去式的控制并和當前所面臨的風險無關進行的審計是毫無意義的。可以說，進行有效控制的前提就是對當前風險進行有效評估，由此可見，控制是依附于管理風險而存在的。而在對風險進行評估的基礎上進行的風險導向審計，使工作人員在開展工作的時候更關心面臨的風險，從而使審計工作更具針對性和目的性，有助于快速實現工作目標。

三、結束語

通過提升銀行內部審計工作質量的渠道來促進銀行的可持續發展是具有一定的現實意義的。而風險評估作為銀行內部審計工作的重要內容，銀行應給予其足夠的重視，積極探索新的工作模式，轉變工作理念，對風險管理進行完善，在以風險為導向的基礎上對審計重點進行確定，實現內審職能地有效轉變，提高銀行抵抗風險的能力，只有這樣，才能有效降低銀行所面臨的風險，為其高效長久可持續發展保駕護航。

（作者單位為中國農業銀行審計局武漢分局）

[作者簡介：桂艷芳（1978―），女，湖北武漢人，本科，中級經濟師，研究方向：審計。]

參考文獻

篇3

關鍵詞：網絡審計　歷史財務報表審計　信息安全管理　風險評估

一、引言

從審計的角度，風險評估是現代風險導向審計的核心理念。無論是在歷史財務報表審計還是在網絡審計中，現代風險導向審計均要求審計師在執行審計工作過程中應以風險評估為中心，通過對被審計單位及其環境的了解，評估確定被審計單位的高風險領域，從而確定審計的范圍和重點，進一步決定如何收集、收集多少和收集何種性質的證據，以便更有效地控制和提高審計效果及審計效率。從企業管理的角度，企業風險管理將風險評估作為其基本的要素之一進行規范，要求企業在識別和評估風險可能對企業產生影響的基礎上，采取積極的措施來控制風險，降低風險為企業帶來損失的概率或縮小損失程度來達到控制目的。信息安全風險評估作為企業風險管理的一部分，是企業信息安全管理的基礎和關鍵環節。盡管如此，風險評估在網絡審計、歷史財務報表審計和企業信息安全管理等工作中的運用卻不盡相同，本文在分析計算機信息系統環境下所有特定風險和網絡審計風險基本要素的基礎上，從風險評估中應關注的風險范圍、風險評估的目的、內容、程序及實施流程等內容展開，將網絡審計與歷史財務報表審計和信息安全管理的風險評估進行對比分析，以期深化對網絡審計風險評估的理解。

二、網絡審計與歷史財務報表審計的風險評估比較

(一)審計風險要素根據美國注冊會計師協會的第47號審計標準說明中的審計風險模型，審計風險又由固有風險、控制風險和檢查風險構成。其中，固有風險是指不考慮被審計單位相關的內部控制政策或程序的情況下，其財務報表某項認定產生重大錯報的可能性；控制風險是被審計單位內部控制未能及時防止或發現財務報表上某項錯報或漏報的可能性；檢查風險是審計人員通過預定的審計程序未能發現被審計單位財務報表上存在重大錯報或漏報的可能性。在網絡審計中，審計風險仍然包括固有風險、控制風險和檢查風險要素，但其具體內容直接受計算機網絡環境下信息系統特定風險的影響。計算機及網絡技術的應用能提高企業經營活動的效率，為企業的經營管理帶來很大的優越性，但同時也為企業帶來了一些新的風險。這些新的風險主要表現為：(1)數據與職責過于集中化。由于手工系統中的職責分工、互相牽制等控制措施都被歸并到計算機系統自動處理過程中去了，這些集中的數據庫技術無疑會增加數據縱和破壞的風險。(2)系統程序易于被非法調用甚至遭到篡改。由于計算機系統有較高的技術要求，非專業人員難以察覺計算機舞弊的線索，這加大了數據被非法使用的可能性。如經過批準的系統使用人員濫用系統，或者說，企業對接近信息缺乏控制使得重要的數據或程序被盜竊等。(3)錯誤程序的風險，例如程序中的差錯反復和差錯級聯、數據處理不合邏輯、甚至是程序本身存在錯誤等。(4)信息系統缺乏應用的審計接口，使得審計人員在審計工作中難以有效地采集或獲取企業信息系統中的數據，從而無法正常開展審計工作。(5)網絡系統在技術和商業上的風險，如計算機信息系統所依賴的硬件設備可能出現一些不可預料的故障，或者信息系統所依賴的物理工作環境可能對整個信息系統的運行效能帶來影響等。相對應地，網絡審計的固有風險主要是指系統環境風險，即財務電算化系統本身所處的環境引起的風險，它可分為硬件環境風險和軟件環境風險。控制風險包括系統控制風險和財務數據風險，其中，系統控制風險是指會計電算化系統的內部控制不嚴密造成的風險，財務數據風險是指電磁性財務數據被篡改的可能性。檢查風險包括審計軟件風險和人員操作風險，審計軟件風險是指計算機審計軟件本身缺陷原因造成的風險，人員操作風險是指計算機審計系統的操作人員、技術人員和開發人員等在工作中由于主觀或客觀原因造成的風險。

(二)風險評估目的無論在網絡審計還是歷史財務報表審計中，風險評估只是審計的一項重要程序，貫穿于審計的整個過程。與其他審計程序緊密聯系而不是一項獨立的活動。盡管如此，兩者所關注的風險范圍則有所不同。歷史財務報表審計的風險評估要求審計人員主要關注的是被審計單位的重大錯報風險――財務報表在審計前存在重大錯報的可能性。由于網絡審計的審計對象包括被審計單位基于網絡的財務信息和網絡財務信息系統兩類，因此審計人員關注的風險應是被審計單位經營過程中與該兩類審計對象相關的風險。(1)對于與企業網絡財務信息系統相關的風險，審計人員應該從信息系統生命周期的各個階段和信息系統的各組成部分及運行環境兩方面出發進行評估。信息系統生命周期是指該信息系統從產生到完成乃至進入維護的各個階段及其活動，無論是在早期的線性開發模型中還是在更為復雜的螺旋式等模型中，一個信息系統的生命周期大都包括規劃和啟動、設計開發或采購、集成實現、運行和維護、廢棄等五個基本階段。由于信息系統在不同階段的活動內容不同，企業在不同階段的控制目標和控制行為也會有所不同，因此，審計人員的風險評估應該貫穿于信息系統的整個生命周期。信息系統的組成部分是指構成該信息系統的硬件、軟件及數據等，信息系統的運行環境是指信息系統正常運行使用所依托的物理和管理平臺。具體可將其分為五個層面：物理層，即信息系統運行所必備的機房、設備、辦公場所、系統線路及相關環境；網絡層，即信息系統所需的網絡架構的安全情況、網絡設備的漏洞情況、網絡設備配置的缺陷情況等；系統層，即信息系統本身的漏洞情況、配置的缺陷情況；應用層，即信息系統所使用的應用軟件的漏洞情況、安全功能缺陷情況；管理層，即被審計單位在該信息系統的運行使用過程中的組織、策略、技術管理等方面的情況。(2)對于與企業基于網絡的財務信息相關的風險，審計人員應著重關注財務信息的重大錯報風險和信息的安全風險。重大錯報風險主要指被審計單位基于網絡的相關財務信息存在重大錯報的可能性，它是針對企業借助于網絡信息系統或網絡技術對有關賬戶、交易或事項進行確認、計量或披露而言。網絡審計中關注的重大錯報風險與傳統審CtT的內涵基本上是一致的，審計人員在審計時應當考慮被審計單位的行業狀況、經營性質、法律及監管環境、會計政策和會計方法的選用、財務業績的衡量和評價等方面的情況對財務信息錯報可能的影響。信息安全風險涉及信息的保密性、完整性、可用性及敏感性等方面可能存在的風險，主要針對企業利用信息系統或一定的網絡平臺來存儲、傳輸、披露相關財務信息而言。在審計過程中，審eta員應當主要關注相關財務信息被盜用、非法攻擊或篡改及非法使用的可能性。當然，這兩類風險并非完全分離的，評估時審計人員應將兩者結合起來考慮。

(三)風險評估內容　廣泛意義的風險評估是指考慮潛在事件對目標實現的影響程度。由于網絡審計與歷史財務報表審計風險評估的目的并不完全相同，因此兩者在風險評估的內容上也是存在區別的。總的來說，網絡審計的風險評估內容比歷史財務報表審計的風險評估內容更廣泛和深入。根據《中國注冊會計師審計準則第1211號――了解被審計單位及其環境并評估重大錯報風

險》，在歷史財務報表審計中，審計人員的風險評估應以了解被審計單位及其環境為內容。為識別和評價重大錯報風險，審計人員了解的具體內容包括被審計單位所在行業狀況、法律環境與監管環境以及其他外部因素、被審計單位的性質、被審計單位對會計政策的選擇和運用、被審計單位的目標、戰略以及相關經營風險、被審計單位財務業績的衡量和評價及被審it@位的內部控制等。在網絡審計中。為了識別和評估上文所述的兩類風險，審計人員除了從以上方面了解被審計單位及其環境外，還應該關注其他相關的潛在事件及其影響，尤其是企業的財務信息系統及基于網絡的財務信息可能面l臨的威脅或存在的脆弱點。其中，威脅是指對信息系統及財務信息構成潛在破壞的可能性因素或者事件，它可能是一些如工作人員缺乏責任心、專業技能不足或惡意篡改等人為因素，也可能是一些如灰塵、火災或通訊線路故障等環境因素。脆弱點是指信息系統及基于網絡的財務信息所存在的薄弱環節，它是系統或網絡財務信息本身固有的，包括物理環境、組織、過程、人員、管理、配置、硬軟件及信息等各方面的弱點。一般來說，脆弱點本身不會帶來損失或信息錯報，威脅卻總是要利用網絡、系統的弱點來成功地引起破壞。因此，我們認為網絡審計申風險評估的內容應包括以下幾方面：(1)識別被審計單位財務信息系統及其基于網絡的財務信息可能面臨的威脅，并分析威脅發生的可能性；(2)識別被審計單位財務信息系統及其基于網絡的財務信息可能存在的脆弱點，并分析脆弱點的嚴重程度；(3)根據威脅發生的可能性和脆弱點發生的嚴重程度，判斷風險發生的可能性；(4)根據風險發生的可能性，評價風險對財務信息系統和基于網絡的財務信息可能帶來的影響；(5)若被審計單位存在風險防范或化解措施，審計人員在進行風險評估時還應該考慮相應措施的可行性及有效性。

(四)風險評估程序《中國注冊會計師審計準則第1211-----了解被審計單位及其環境并評估重大錯報風險》中要求，審計人員應當實施詢問、分析程序、觀察和檢查等程序，以獲取被審計單位的信息，進而評估被審計單位的重大錯報風險。這些程序同樣適用于網絡審計中的風險評估。但在具體運用時網絡審計中更加注重了解和分析被審計單位與信息系統及網絡技術使用相關的事項。在實施詢問程序時，審計人員的詢問對象圍繞信息系統和基于網絡的財務信息可大致分為管理人員、系統開發和維護人員(或信息編制人員)、系統使用人員(或信息的內部使用人員)、系統或網絡技術顧問及其他外部相關人員(如律師)等五類，分別從不同角度了解信息系統和基于網絡的財務信息可能存在的威脅和脆弱點。在實施分析程序時，除了研究財務數據及與財務信息相關的非財務數據可能的異常趨勢外，審計人員應格外關注對信息系統及網絡的特性情況，被審計單位對信息系統的使用情況等內容的分析比較。實施觀察和檢查時，除執行常規程序外，審計人員應注意觀察信息系統的操作使用和檢查信息系統文檔。除此之外，針對特定系統或網絡技術風險的評估，審計人員還需要實施一些特定的程序。技術方面如IOS取樣分析、滲透測試、工具掃描、安全策略分析等；管理方面如風險問卷調查、風險顧問訪談、風險策略分析、文檔審核等。其中，IDS取樣分析是指通過在核心網絡采樣監聽通信數據方式，獲取網絡中存在的攻擊和蠕蟲行為，并對通信流量進行分析；滲透測試是指在獲取用戶授權后，通過真實模擬黑客使用的工具、方法來進行實際漏洞發現和利用的安全測試方法；工具掃描是指通過評估工具軟件或專用安全評估系統自動獲取評估對象的脆弱性信息，包括主機掃描、網絡掃描、數據庫掃描等，用于分析系統、應用、網絡設備存在的常見漏洞。風險問卷調查與風險顧問訪談要求審計人員分別采用問卷和面談的方式向有關主體了解被審計單位的風險狀況，使用時關鍵是要明確問卷或訪談的對象情況風險策略分析要求審計人員對企業所設定的風險管理和應對策略的有效性進行分析，進而評價企業相關風險發生的概率以及可能帶來的損失；文檔審核是一種事前評價方法，屬于前置軟件測試的一部分，主要包括需求文檔測試和設計文檔測試。這些特定程序主要是針對被審計單位信息系統和基于網絡的財務信息在網絡安全風險方面進行評價，審計人員在具體使用時應結合被審計單位的業務性質選擇合適的程序。

三、網絡審計與信息安全管理的風險評估比較

(一)風險評估的目的信息安全管理中的風險評估(即信息安全風險評估)是指根據國家有關信息安全技術標準，對信息系統及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行科學評價的過程。作為信息安全保障體系建立過程中的重要的評價方法和決策機制，信息安全風險評估是企業管理的組成部分，它具有規劃、組織、協調和控制等管理的基本特征，其主要目的在于從企業內部風險管理的角度，在系統分析和評估風險發生的可能性及帶來的損失的基礎上，提出有針對性的防護和整改措施，將企業面臨或遭遇的風險控制在可接受水平，最大限度地保證組織的信息安全。而網絡審計是由獨立審計人員向企業提供的一項鑒證服務，其風險評估的目的在于識別和評價潛在事件對被審計單位基于網絡的財務信息的合法性、公允性以及網絡財務信息系統的合規性、可靠性和有效性的影響程度，從而指導進一步審計程序。因此，兩者風險評估的目的是不一樣。從評估所應關注的風險范圍來看，兩者具有一致性，即都需要考慮與信息系統和信息相關的風險。但是，具體的關注邊界則是不一樣的。信息安全風險評估要評估企業資產面臨的威脅以及威脅利用脆弱性導致安全事件的可能性，并結合安全事件所涉及的資產價值來判斷安全事件一旦發生對組織造成的影響，它要求評估人員關注與企業整個信息系統和所有的信息相關的風險，包括實體安全風險、數據安全風險、軟件安全風險、運行安全風險等。網絡審計中，審計人員是對被審計單位的網絡財務信息系統和基于網絡的財務信息發表意見，因此，風險評估時審計人員主要關注的是與企業財務信息系統和基于網絡的財務信息相關的風險，而不是與企業的整個信息系統和所有的信息相關的風險。根據評估實施者的不同，信息安全風險評估形式包括自評估和他評估。自評估是由組織自身對所擁有的信息系統進行的風險評估活動；他評估通常是由組織的上級主管機關或業務主管機關發起的，旨在依據已經頒布的法規或標準進行的具有強制意味的檢查。自評估和他評估都可以通過風險評估服務機構進行咨詢、服務、培訓以及風險評估有關工具的提供。因此。對審計人員而言，受托執行的信息安全風險評估應當歸屬于管理咨詢類，即屬于非鑒證業務，與網絡審計嚴格區分開來。

(二)風險評估的內容在我國國家質量監督檢驗檢疫總局的《信息安全風險評估指南》(征求意見稿)國家標準中，它將信息安全風險評估的內容分為兩部分：基本要素和相關屬性，提出信息安全風險評估應圍繞其基本要素展開，并充分考慮與這些基本要素相關的其他屬性。其中，風險評估的基本要素包括資產、脆弱性、威脅、風險和安全措施；相關屬性包括業務戰略、資產價值、安全需求、安全事件、殘余風險等。在此基礎上的風險計算過程是：(1)對信息資產進行識別，并對資產賦值；(2)對威脅進行分析，并對威

脅發生的可能性賦值；(3)識別信息資產的脆弱性，并對弱點的嚴重程度賦值；(4)根據威脅和脆弱性計算安全事件發生的可能性；(5)根據脆弱性的嚴重程度及安全事件所作用的資產的價值計算安全事件造成的損失；(6)根據安全事件發生的可能性以及安全事件出現后的損失，計算安全事件一旦發生對組織的影響，即風險值。結合上文網絡審計風險評估五個方面的內容可以看出，網絡審計和信息安全風險評估在內容上有相近之處，即都需要針對信息系統和信息可能面臨的威脅和存在的脆弱點進行識別。但是，信息安全管理作為企業的一項內部管理，其風險評估工作需要從兩個層次展開：一是評估風險發生的可能性及其影響；二是提出防護或整改措施以控制風險。第一個層次的工作實質上是為第二層次工作服務的，其重點在第二層次。《信息安全風險評估指南》(征求意見稿)提出，企業在確定出風險水平后，應對不可接受的風險選擇適當的處理方式及控制措施，并形成風險處理計劃。其中，風險處理的方式包括回避風險、降低風險、轉移風險、接受風險，而控制措施的選擇應兼顧管理和技術，考慮企業發展戰略、企業文化、人員素質，并特別關注成本與風險的平衡。網絡審計的風險評估工作主要集中在第一個層次，即審計人員通過風險評估，為進一步審計中做出合理的職業判斷、有效地實施網絡審計程序和實現網絡審計目標提供重要基礎。因此，兩者的評估內容是存在區別的。

篇4

本文以《內部審計具體準則》為指導，介紹了內部審計中風險評估和審計風險的概念，提出降低審計風險的基礎是風險評估，降低審計風險是做好審計工作的保證，通過對上述內容的理解可以更好加深內部審計人員對當今最新審計理論的認識。

【關鍵詞】

風險評估；審計風險關系

風險評估與審計風險是審計理論的兩個重要概念。很多學者對此發表的學術論文更多地是針對注冊會計師相關業務的研究，而內部審計理論文獻相對較少。隨著內部審計理論的發展，國家陸續出臺了內部審計相關的政策和準則，其中2005年年5月1日至今實行的《內部審計具體準則》將兩者的概念和應用作了明確的定義和指導。本文立足于內部審計具體準則的內容，將兩者的原理作一闡述，以加深內部審計人員對兩者概念及相互關系的理解和掌握。

1 風險評估與審計風險概念理解

1.1 風險評估

風險評估是指內部審計人員實施必要的審計程序對企業風險評估過程進行審查與評價，對發生的可能性、風險對組織目標的實現產生影響的嚴重程度進行重點關注。

內部審計人員在開展風險評估審計程序時，要當充分了解企業風險評估的方法，運用采用定性或定量的方法對企業風險評估過程進行評價，在風險難以量化、定量評價所需數據難以獲取時，一般應采用定性方法，并且需要充分考慮相關部門或人員的意見，以提高評估結果的客觀性。

1.2 審計風險

審計風險是指內部審計人員未能發現被審計單位經營活動及內部控制中存在的重大差異或缺陷而做出不恰當審計結論的可能性。審計風險包括重大差異或缺陷風險和檢查風險的兩方面內容。

2 風險評估是降低審計風險的基礎

審計風險評估是通過對企業風險評估過程的評價，了解企業是否存在重大差異或缺陷風險，可以使審計人員確定重要性標準來評估審計風險。而審計風險評估的要求、程序和方法都是保障降低審計風險的第一步，是審計人員開展審計工作、提高效率、保護自我的根本保證。

風險評估是對企業風險管理-風險評估過程的評價。內部審計作為企業管理的一部分，在企業內部發揮著控制和監督作用，風險評估主要體現在對企業內部控制效果的評價上，內部審計控制效果的好與壞，同樣體現審計人員對企業風險的揭示說明和預測的完整性、前瞻性上，也是審計風險的控制程度。

風險評估工作的重點就是要找到影響目標實現的風險，并分析這些風險影響的大小（發生的可能性和對目標的影響程度），從而為管理層應對風險提供基礎支持。

風險辨識評估工作主要在集團的發展計劃部、資本運營部及財務部三個部門開展，因此在對風險進行分類時，主要考慮了三個部門的管理職責：發展計劃部是戰略和投資的管理部門、資本運營部是投資、資產管理及公司治理的管理部門、財務部是集團的財務及經濟運行的主要管理部門，結合以上管理職責，對風險采用根據風險事件的特性，選擇適當的風險評價維度，對風險事件進行評價。根據發展計劃部、資本運營部及財務部的管理職責，將風險事件分配到不同的部門，形成三個部門的風險評估問卷，問卷信息進行整理計算，得到風險事件排序和二級風險排序。將整理確定的風險事件設計成為風險評估問卷，在三個部門發放，由集團公司部門人員按“發生可能性”、“影響程度”和“管理有效性”三個維度進行評價，得到風險評估初步結果：風險及風險事件的重要性排序多數風險重要性排序符合項目組的研究認識。

■ 個別風險排名較高，包括庫存風險、關聯交易風險及資產管理風險等，需進一步分析論證

■ 同一類風險的排序略有出入。

風險的大小，是基于一套定性標準，業務和管理是視角的差異如何有效地反映到對不同業務和不同風險的判斷中。

3 風險評估和降低審計風險是做好審計工作的保證

審計工作中需要時刻強調審計風險意識，并加強對企業風險評估過程的評價，二者相符相成。一方面控制審計風險需要建立在風評評估的基礎之上，另一方面在加強風險評估過程中需要在審計風險理念下指導下進行風險評價，只有將兩者很好的相互融合才能提高審計效率、控制風險，最終達到加強企業經營管理，提高企業依法經營從而提高經濟效益的目的。什么樣的風險評估才能滿足審計要求：

1）緊扣業務：評估工作緊扣經營主線開展，集中識別和分析生產、項目管理過程中的風險；

2）圍繞指標：評估工作密切圍繞業績考核指標。基于業績考核指標辨識風險事件，并依據業績考核指標制定風險評價標準；

3）突出重點：圍繞風險管理項目的整體目標，主要以運營部、市場部、物流部、工廠為重點；

強化企業高層對審計的重視程度和建立積極健康的內審文化。轉變觀念，調整位置，掌握價值高地；貼近業務，掌握業務，發掘價值提升空間。刻苦鉆研，提升能力，放大工作效能和效果。培養團隊，集團作戰 ，保持核心競爭力。決策者就是風險管理者，找出他所關注的風險和背后的動因。 分析他解決風險的工作思路，描繪決策者風險地圖和風險戰略。

篇5

[關鍵詞] 風險導向審計；經濟責任審計；模式構建

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2017. 01. 009

[中圖分類號] F239.47 [文獻標識碼] A [文章編號] 1673 - 0194（2017）01- 0023- 02

0 引 言

本文首先構建風險導向審計下企業經濟責任審計模式，然后根據構建的模式流程闡述整個模式的全過程，主要包括企業經濟責任審計風險識別、企業經濟責任審計風險評估、企業經濟責任審計風險應對及企業經濟責任審計報告這四個過程。

1 風險導向審計下企業經濟責任審計模式構建

首先要對審計的環境及企業內部制度存在的問題進行識別，在此基礎上對企業各項工作的流程風險及戰術決策風險進行評估；然后參照風險導向審計的程序并引入風險警示系數來評估重大錯報風險、剩余風險及檢查風險；在風險評估后依照風險的重要性水平不同制定審計策略及方案并實施風險應對；最后把審計結果交于管理層決策，并完成企業經濟責任評價和審計報告。

2 風險導向審計下企業經濟責任審計模式闡述

2.1 企業經濟責任審計風險識別

風險識別的方法有頭腦風暴法、動態分析法、財務報表法及環境分析法等多種。本文風險識別采用環境分析法，可分為外部環境分析和內部環境分析。

外部環境分析：了解所審計企業所處的行業的發展情況、生產經營是否存在周期性和季節性，行業的盈利水平及發展趨勢。審計人員通過國家統計部門的網站及行業協會提供的調查數據來收集所需的行業狀況的數據。法律和監管環境主要是了解相關部門在本行業的一些特殊規定。其他外部因素主要有銀行利率的變動、通貨膨脹及全球經濟形勢等。

內部環境分析：審計單位的性質對于企業的稅收及財務報告方面都有重大的影響，所以作為審計人員首先要分析企業的性質。審計單位使用何種會計政策對于審計單位所做的審計報告、驗資報告等一系列內部經濟活動有至關重要的影響，審計人員應該了解被審計企業的會計政策是否符合法律及會計準則的要求，進一步規范企業的經濟活動。內部控制是企業是否遵守法律規定及衡量經營效果的尺子。

2.2 企業經濟責任審計風險評估

企業經濟責任審計風險評估首先對被審計企業的總體風險及流程風險進行評估，然后引入風險警示系數來評估重大錯報風險、檢查風險及剩余風險。

總體風險評估主要是分析企業的戰略決策風險，使用的方法是SWOT矩陣法。流程風險評估主要使用流程圖法。風險警示系數是直接利用審計人員被處罰的概率來計量的，是對審計人員的違法違規行為的綜合控制參數。重大錯報風險評估包括固有風險和控制風險，此風險評估法能事先確定可能發生錯報的賬戶和披露，能節約審計資源。重大錯報風險評估可以通過兩個層次來評估，財務報表整體層次和交易類別賬戶余額層次，并在這兩個層次中引入風險警示系數，使重大錯報風險評估更為合理。檢查風險主要受抽樣風險和非抽樣風險的影響，首先要確定抽樣風險和非抽樣風險；然后審計人員要明確審計證據、重要性水平及檢查風險間的關系；最后根據前兩條以及風險警示系數來評估檢查風險。剩余風險來源于戰略分析和經營環節分析，是審計人員較為關注的方面，審計人員在評估戰略風險、經營風險后得出剩余風險。

2.3 企業經濟責任審計風險應對

風險應對主要包括內部控制測試、實質性程序及風險再評估。內部控制測試首先要初步評估控制風險，然后根據風險水平不同分為高水平內部控制、低水平內部控制及低于最大值的控制風險。對于高水平的內部控制不必繼續了解；對于低水平的內部控制要測試全面的控制活動；對于低于最大值的控制風險要測試企業層面和業務層面的控制來應對控制風險水平。實質性程序包括細節測試及實質性分析程序，其流程是依據被審計企業的資料，對財務指標復核，尋找審計重點難點和疑點，然后項目組成員分頭實施有關會計賬戶的審查工作，根據審計中的特點確定重點，并正確劃分經濟責任界限，最后做好底稿。風險再評估企業經濟審計工作是一個動態的過程，在審計過程中法律法規可能有重大變化或企業內部有重大改變都需要審計人員再次評估，來確保評估的準確性和科學性。

2.4 企業經濟責任審計報告

審計人員把審計結果交于管理層決策并最終完成審計報告。管理層在處理審計結果時要對審計結果進行評價及考慮報告帶來的審計風險。對審計結果進行評價常用的指標有財務效益指標、償債能力指標、發展能力指標等。評價過程中使用的評價原則主要是客觀性、謹慎性和統一性。報告帶來的風險主要來源于審計人員對審計事項的了解不全面所造成的，審計人員要嚴格按照企業的真實情況對企業審計并編制審計報告及披露被審計企業存在的問題，減少報告帶來的風險。

3 結 語

本文首先構建風險導向審計下企業經濟責任審計模式，然后對整個模式的全過程進行闡述，主要包括企業經濟責任審計風險識別、企業經濟責任審計風險評估、企業經濟責任審計風險應對及企業經濟責任審計報告這四個過程。

主要參考文獻

[1]唐可蔚，宋夏云，郭強華，等.現代風險導向審計模式下的企業經濟責任審計流程[J].審計與理財，2015（5）：40-42.

篇6

關鍵詞：P2P網貸平臺；審計風險評估；模糊綜合評價模型

P2P網絡借貸作為新型金融服務模式，具有資金來源廣，交易成本低，撮合速度快等特點，自2007年進入中國市場以來得到迅猛發展。據網貸之家數據顯示，截至2016年8月31日，我國P2P網貸平臺數量為4213家，網貸行業成交總額為25815.09億元。在快速發展的同時，由于自身經營不善，相關法律法規與監管體系的不完善，我國P2P網貸平臺“跑路”、倒閉、停業等現象日趨嚴重。據網貸之家數據統計，截至2016年8月底，P2P網貸累計問題平臺數多達1978家，8月新增問題平臺99家，停業及問題平臺發生率高達46.95%。審計作為經濟活動的最有效監管方式之一，對P2P網貸行業提高透明性，加強信息披露，審慎經營具有不可替代作用。為促進網貸平臺的健康發展，加強P2P網貸平臺的第三方審計是大勢所趨。現代風險導向審計以風險評估為中心，從企業整體層面的分析入手，通過“企業整體層面—業務流程層面—財務報表重大錯報層面”的基本分析思路，建立了財務報表重大錯報風險與企業經營風險之間的邏輯關系。新修訂的國際審計準則IAS315《了解被審計單位及其環境并評估重大錯報風險準則》明確規定了了解客戶及其環境并評估風險的相關事宜，充分體現了現代風險導向審計是以風險評估為中心的核心思想。審計人員對審計風險評估的精確度直接影響審計的效率和效果。模糊綜合評價法是對界限不明、對同一事物有影響的多種因素進行定量評估的數學方法。本文在現代風險導向審計下，深入分析引起P2P網貸平臺審計風險的潛在因素，并根據相關因素特征引入模糊綜合評價法，構建審計風險模糊綜合評價模型，通過提高審計風險評估的精確度，提高P2P網貸平臺的審計效率和效果，以實現加強P2P網貸平臺第三方審計，促進其健康發展的目標。

一、現代風險導向審計下P2P網貸平臺特征及其審計風險因素分析

現代風險導向審計是以審計風險源頭為出發點，從被審計單位商業環境、管理機制、經營方式等內外部環境來分析和評估重大錯報風險，在此基礎上執行審計程序，將審計風險降低至可接受水平。在現代風險導向審計下，審計風險模型為：審計風險=重大錯報風險×檢查風險。基于P2P網貸平臺自身特征，平臺審計風險受諸多因素影響。

（一）P2P網貸平臺特征

2015年“互聯網+”首次出現在政府工作報告中，意味著“互聯網+”正式成為國家經濟發展的重要戰略。P2P網絡借貸作為互聯網金融的重要發展模式之一，具有期限短、融資門檻低等特點，自2007年進入中國市場以來，在一定程度上解決了我國中小企業融資難等問題。據網貸之家數據顯示，我國P2P網貸平臺數量在近幾年一直呈持續增長的態勢。截至2016年9月30日，P2P網貸平臺數量為4278家，是2015年同期平臺數量的1.46倍，平臺數量增長率高達45.76%。在“互聯網+”和P2P網貸平臺商業環境背景下，P2P網貸平臺有其自身特點。（1）信息中介平臺。2015年7月人民銀行等十部委聯合出臺了《關于促進互聯網金融健康發展的指導意見》，明確了P2P網貸平臺“信息中介”性質。P2P網貸平臺的信息中介屬性要求平臺不得為投資者提供任何擔保，同時決定了其向借款人和投資人收取手續費、管理費用等經營盈利方式。（2）行業透明度低。P2P網貸行業透明度低主要體現在信息不對稱上。一方面，目前我國P2P網貸平臺缺乏完善的信用系統和征信體系，其與我國最具權威性和真實性的中國人民銀行的信用系統無法實現對接，信息無法共享，而交易雙方又是依靠平臺提供的信息進行審查和做出是否交易的決定。另一方面，投資人和P2P平臺難以有效監督借款方的資金用途，缺乏對借款人資產負債狀況、貸款投向及運作情況的了解。（3）互聯網化運作。P2P網貸金融模式的發展依托IT技術的發展，基于平臺的雙方交易離不開網絡。平臺交易的計算機硬件、數據、網絡以及用戶等要素相互聯系，相互影響，同時業務開展和風險控制離不開互聯網技術的安全性和穩定性。（4）會計記賬流程不統一。P2P網貸平臺是新型的金融服務模式，其經濟業務符合金融業務的特性，但又有許多不同于其他機構金融業務的特征。平臺包括核算、內控、對賬等記賬流程沒有統一規定。

（二）P2P網貸平臺審計風險因素分析

（1）重大錯報風險。重大錯報風險是指財務報表在審計以前存在的重大錯報的可能性。本文結合P2P網貸平臺自身特點，分析了網貸平臺重大錯報風險主要來自以下幾個方面：第一，法律風險。法律明確規定了P2P網貸平臺的信息中介屬性，要求平臺不得提供任何擔保。信息中介屬性也決定了平臺的主要經營盈利方式。由于平臺競爭大，中小企業融資需求多，有的平臺為促成交易，不惜觸犯法律，與第三方擔保機構串謀，一旦借款人無法償還投資人的本金和利息，將對平臺的信譽及持續經營能力產生重大影響。第二，信用風險。由于平臺的信息不對稱性，投資人難以有效監督資金投向及運作情況，無法跟蹤借款人。平臺可能冒充借款人，虛構借貸交易以虛構平臺營業收入，造成營業收入認定層次的重大錯報。第三，道德風險。由于P2P網貸行業競爭激烈，為吸引資金，獲得高信用評級，平臺故意錯報、漏報，影響審計人員最終編制的審計報告的權威性和真實性。第四，操作風險。P2P網貸平臺缺乏嚴格的從業人員標準，人員操作失誤、系統漏洞等均可造成數據丟失、受損等風險。第五，內部控制風險。P2P網絡借貸平臺是互聯網化運作，其在交易系統中存在的不相容崗位，易造成不恰當授權所引發的舞弊風險。同時，P2P網貸平臺的交易存在大量數據，如果沒有有效的內部控制對人員進行相關操作的控制，會引發數據被篡改或被盜取的風險，從而降低審計證據的可靠性。（2）檢查風險。檢查風險是指審計人員的實質性程序和財務報表的檢查未能察覺重大差錯的風險。P2P網貸平臺的檢查風險與審計人員的業務水平及專業知識水平密切相關，主要體現在以下幾個方面：一是審計人員執業能力風險。P2P網貸平臺審計人員執業能力風險主要包括審計人員的知識水平風險和技術水平風險。P2P網貸平臺審計要求審計人員在了解P2P行業的基礎上，掌握會計、財務、審計、管理技術、風險控制等相關知識。在審計過程中，由于審計證據趨于電子化，審計人員在取證時需對數據進行有效收集和處理，并運用計算機技術對信息進行篩選、轉化和分析。因此，審計人員如果沒有較高的計算機軟硬件知識，就無法提取有效審計證據，將導致未能發現漏報或錯報的風險。二是審計人員職業道德風險。由于當前P2P行業的審計準則不完備，相關法律法規不完善，監管力度比較薄弱，審計人員行為失當被發現的概率不高，被概率更低，容易誘發審計人員的職業道德風險。結合P2P網貸平臺特征及其審計風險因素分析，總體上網貸平臺審計風險具有兩個方面特性：首先，P2P網貸平臺審計風險因素具有層次性。在現代風險導向審計理念下，審計風險模型要求對審計風險、重大錯報風險、檢查風險分別進行評估，在各個風險評估的基礎上，實施進一步審計程序，將審計風險降低至可接受水平。影響P2P網貸平臺審計風險因素包括法律環境、行業狀況、平臺內部控制及對會計政策的選擇和運用等內部、外部因素，在實施風險評估程序時，將這些風險因素按其與重大錯報風險、檢查風險的關聯程度進行歸類，再對每一類風險因素進行評估，最后對評估結果在更高層次進行綜合，體現了風險因素的層次性。其次，P2P網貸平臺審計風險評估具有模糊性。模糊性是指客觀事物間因邊界不清而難以量化性。網貸平臺審計風險因素眾多，且貫穿于審計全過程，審計人員難以對其精確描述和定量衡量，因此網貸平臺風險評估具有模糊性。由于P2P網貸平臺審計風險因素具有上述特征，為實現審計目標，發揮審計在網絡金融中的監管作用，在審計工作中提高風險評估的精確度至關重要。模糊綜合評價法是模糊數學中應用廣泛的一種方法。對某一事物評價時，其對單個因素進行評價，并設立評語集，在此基礎上對所有因素進行模糊綜合評價。因此本文引入模糊綜合評價法對P2P網貸平臺審計風險進行量化評估。

二、P2P網貸平臺審計風險模糊綜合評價模型的構建

將模糊綜合評價法應用于P2P網貸平臺審計風險評估中，是指在審計風險評估中運用模糊數學的綜合評判模型，科學系統地建立審計風險因素集（又叫指標集），再根據審計風險因素的權重，分別評價這些審計風險因素，最后利用模糊矩陣對其進行審計風險綜合評價并得出評估結果。

（一）模糊綜合評價基本模型

構建模糊綜合評價模型時，首先根據評判對象確立其因素集，即指標集U=（u1，u2，...，um），并設評判集為V=（v1，v2，...，vm）。再構建表示各因素影響程度的模糊評判矩陣，確定各因素的權重，最后計算出被評判對象的綜合評估結果。

（二）P2P網貸平臺審計風險評估指標體系建立

按照P2P網貸平臺形成的層次化指標體系，綜合評價指標體系分為三個層次：（1）預期審計風險評價指標體系。預期審計風險指注冊會計師預先確定的且客觀存在的準備承擔的風險，審計人員根據預期審計風險制定審計策略和具體審計計劃，將審計風險降低至可接受水平。根據P2P網貸平臺特點及其審計風險因素分析，預期審計風險評價指標體系見表1：（2）重大錯報風險評價指標體系。審計過程中，審計人員通過實施風險評估程序來評估重大錯報風險，并根據評估結果實施進一步審計程序。根據上文對P2P網貸平臺重大錯報風險因素分析，構建其綜合評價指標體系見表2：（3）檢查風險評價指標體系。檢查風險是審計人員可控制的風險，根據P2P網貸平臺審計風險因素分析及實際審計工作中相關審計方法，構建檢查風險綜合評價指標體系見表3：（三）模糊評判矩陣構建與權重計算根據模糊綜合評價基本模型，P2P網貸平臺指標體系構建完成后，應根據兩兩因素對被評價對象影響程度的比較信息構建模糊評判矩陣，確定各因素的權重。根據前文，P2P平臺審計風險評估二、三級指標有n個因素，根據每一層指標對上層指標的重要性建立矩陣R，求得元素（a1，a2，...，an）的權重（w1，w2，...，wn）。以P2P網貸平臺內部控制模糊綜合評判矩陣為例，見表4：其中，rij（i=1，2，...，n；j=1，2，...，n）表示元素ai與元素aj相比，前者比后者更重要程度。重要程度采用1-9比例標度含義（見表5）。當rij=1時，表示ai與aj同等重要。wi是對元素ai重要程度的度量，wi越大，元素ai越重要。其含義是，從P2P網貸平臺內部控制方面考慮其重大錯報風險時，控制環境、信息系統與溝通、監督和控制活動等都會影響重大錯報風險，且各元素對重大錯報風險影響程度不同。整理上述評價結果，將模糊評判矩陣調整為模糊一致矩陣，計算各元素的權向量，再采用最小二乘法求出權向量w=（w1，w2，...wn），并確立模糊矩陣R=（rij）n×n。元素a1，a2，...an的權重值w1，w2，...wn為：rij=0.5+α（wi-wj），i，j=1，2，...，n。其中，0＜α≤0.5，評價對象的差異程度或個數越小，α取較小值，審計人員通過調整α的大小，在求出的若干不同的權重值中選擇比較滿意的權向量。

三、P2P網貸平臺審計風險模糊綜合評價模型應用

以某P2P網貸平臺預期審計風險為例，設該平臺預期審計風險因素集為U（u1，u2，u3，u4，u5），經審計項目組風險評估專家對風險因素的評判，得模糊評判矩陣為：設權重集W=（0.3，0.2，0.1，0.2，0.2），則U的綜合評估為：P=W×R=（0.150.050.040.040）經歸一化得：P*=（0.540.180.140.140）因此得該P2P網貸平臺預期審計風險因素為：F=P×CT=（0.540.180.140.140）×（1%3%5%7%9%）=2.8%根據綜合評判結果，預期審計風險2.8%小于審計風險合理水平（一般為5%），對于初次接受審計業務的事務所而言，可以接受該網貸平臺的審計業務。

四、結論

作為互聯網金融重要發展模式之一的P2P網貸平臺在快速發展中也積累了大量風險，對其風險監管問題的討論引起社會各界的廣泛關注。審計作為經濟活動中的有效監管方式，將其引入P2P網貸平臺是大勢所趨。近日，中注協約談事務所，加強與互聯網金融相關的上市公司年報審計風險的關注。這表明在加強P2P網貸平臺審計中，應加大審計風險評估和應對。而現代風險導向審計是以企業經營風險評估為主的，迎合了當今高度風險社會的需要。為提高審計質量，實現審計對P2P網貸平臺監督作用的目標，本文將模糊綜合評價法引入，將其運用到網貸平臺預期審計風險、重大錯報風險和檢查風險的評估中，實現從定性分析的基礎上對風險進行量化評估。審計風險的量化評估提高了風險評估的精確度，在審計實務中，審計人員根據量化的評估結果制定審計策略和具體審計計劃，有針對性地調配審計資源，將審計風險降低至可接受水平，從而實現高質量審計，實現審計在P2P網貸平臺中的監管作用。

參考文獻：

篇7

關鍵詞：風險評估；報告；內控體系

中圖分類號：F272 文獻標識碼：A 文章編號：1001-828X（2014）010-00-01

風險評估工作與內部控制體系的建設相互促進、有機結合，是企業圍繞總體經營目標，識別企業各業務單元、各項重要經營活動及其重要業務流程中的風險，并對風險發生的可能性和影響程度進行分析、評價和應對的過程。

總體而言，風險評估報告的結構至少應包括四部分內容：其一，企業情況概述，本部分就企業風險評估項目背景、定位與目標、理念與方案三大內容進行概括與總結，便于報告使用者理解本次風險評估工作的基本目標與方法；其二，風險評估實施過程，本部分是整個風險與內控體系建設工作的起點，旨在構建一個具有代表性又有擴展性的通用風險管理標準，從風險管理知識宣傳、風險分類與定義、風險評估標準三大方面初步構建企業風險管理基礎平臺；其三，識別企業面臨的重大風險，根據風險調查問卷和風險調研訪談，識別出企業面臨的重大風險，以供企業管理層參考；其四，風險管理體系的建設，結合企業風險管理的現狀，提出相應的改進措施，包括風險管理組織結構設置、職能設置、工作流程及工作防范建議。

以上四部分在風險評估報告中層層推進，構成完整的風險評估過程，以下作詳細說明。

一、風險評估項目概述

（一）風險評估項目背景

本部分重點介紹企業的成立、發展沿革，行業背景，分子公司情況以及業務架構、組織結構等。編制企業風險評估報告的重要意義在于企業管理層希望借助風險評估項目，有效識別和評估影響本企業戰略和經營目標的內外部風險源，并通過健全重大風險的應對與管控機制，有效地平衡好風險與收益，提高企業風險防范能力，從而防范和降低各類風險對企業經營的沖擊，為企業實現戰略和經營目標保駕護航。

（二）關于風險評估項目定位與目標

風險評估項目旨在達成三大目標：其一，建立風險管理基礎，構建一個具有代表性又有擴展性的通用風險管理標準，統一企業的風險管理語言和標準；其二，明確重大風險領域，采用全面梳理與重點分析相結合的方式，識別和分析企業戰略、經營、財務與合規領域中的重大風險，協助管理層統一對風險的認識；其三，團隊能力建設與知識培養，加強和提高企業總部和各業務群管理團隊對風險管理工作的參與度和認知，最大程度實現知識轉移。

二、風險評估項目實施過程

（一）關于判斷風險分類與定義

應從企業戰略出發，參考COSO內部控制整合框架、行業風險數據庫以及企業的風險管理實務，并結合企業的戰略目標、實際情況等因素，建立適用于本企業的風險數據模型（即風險地圖），從戰略風險、運營風險、合規風險及財務風險四大方面對企業所面臨的風險進行分類和定義，從而為統一公司的風險管理語言奠定基礎。

（二）關于設立風險評估標準

為了對上述四大類風險的重要性進行評定并據此明確風險管理的優先次序和資源配置方向，應從風險發生可能性和風險影響程度兩個維度建立符合企業實際情況的風險評估標準，以反映風險發生可能性由極低至極高，和風險影響程度由極輕微至災難性的不同等級。

（三）關于實施風險評估過程

為了協助管理層更好地理解和評估風險，應以風險數據庫和評估標準為基礎，通過風險調查問卷的發放、收集與統計，風險調研與風險訪談等多種形式，在企業總部和業務群開展多層次、全方位的風險識別與評估工作。通過上述工作，不僅協助企業管理層評估重大風險領域所在，而且還能分析其可能影響的戰略及經營目標，從而為企業明確風險責任，改進相關重點業務領域中的風險管控措施明確方向。

三、針對企業風險評估的調研結果

結合風險調查問卷與風險調研訪談的結果，企業管理層對影響本企業戰略和經營目標實現的眾多風險進行客觀評估，并由此明確前幾大風險的優先次序。這些風險可能是：產業（產品）戰略和多元化、戰略規劃、市場營銷、風險管理體系建設、公司高層的基調、品牌及聲譽管理、銷售模式、客戶結構風險、人力資源規劃及政策、組織結構等等。這些風險并不是獨立存在，在實際經營環境中，各類風險往往互相影響、互相牽制，共同對企業實現經營目標產生影響。為此，還應對上述重大風險及其內在關系進行相應的邏輯分析，以協助管理層梳理各項重大風險之間的關系。

四、企業風險管理體系搭建

一套成熟完善的風險管理框架包括戰略（目標）、風險以及流程與控制。企業戰略處于企業管理及風險管理體系的最高層，是企業風險管理以及流程內控建設的出發點，風險管理體系必須緊緊圍繞企業戰略。風險則是影響企業戰略管理體系的實施與戰略目標達成的不確定因素，企業需要將外部環境、內部經營與戰略目標進行對比，以識別出影響企業戰略的重要風險。企業流程與管控體系則是風險管理體系的重要落腳點，完善的風險管理體系可以從企業的流程、制度等管控體系中識別出影響，并從風險管理體系的制度及流程建立風險應對措施。

（一）風險管理體系現狀分析

一套完善的風險管理體系通常由業務部門、風險管理部門和內部審計部門組成的“三道防線”共同構成。通常，企業均能初步搭建起風險管控體系的三道防線，如：1.各業務部門負責關注各業務領域內的風險并采取相應的控制措施降低風險；2.企業管理部負責公司運營風險管理，對運營風險進行預警和控制，為公司的經營、管理決策提供可行性、合法性分析和法律風險分析；3.審計監察部主要負責集團的財務審計、經營活動審計及其他專項審計。

（二）風險管理工作規劃

風險管理與內部控制體系的建設密切相關，相輔相成，沒有完善配套的內控體系，風險管理就如同紙上談兵、空中樓閣；而缺少風險管理的內控體系建設，會由于缺乏足夠的針對性而效率低下、浪費資源。

無論是《企業內部控制基本規范》或是COSO ERM模型，都將企業的目標分為四大類別，包括：戰略目標、經營目標、財務目標和合規目標。風險是影響企業目標實現的不確定性，而內部控制則是由企業董事會、監事會、經理層和全體員工實施的、旨在實現控制目標的過程。因此，企業有目標就會有風險，而針對每個風險就會有相應的內部控制，以管理風險，從而合理保證目標的實現。

風險評估項目實施過程中，應協助企業初步搭建結合先進理論基礎、契合企業實際情況、符合國家監管要求的內部控制體系框架，將風險匹配到內控體系框架，并完成對該體系框架的評估、梳理和建設工作。

在此基礎上，需要進一步開展風險管理工作，逐步完善風險管理和內部控制體系，依據風險分層管理、分類管理和集中管理的要求，建立符合企業自身特點的全面風險管理組織體系。另外，在充分考慮企業規模以及業務發展需要的基礎上，針對近期及未來風險管理工作的重點，提出相應的參考及建議。如：完善企業風險管理組織架構中各管理層級的崗位職責。完善三道防線，其一，各風險責任部門的日常管理工作，包括，風險責任人、風險聯絡員等；其二，風險管理部門的管理工作，風險管理涉及公司的方方面面，建議由總裁、執行總裁等高級管理人員組成的風險管理委員會，負責公司整體風險管理工作，風險管理委員會下設風險管理部門，負責各業務部門風險管理工作的協調；其三，審計監督工作，審計監察部應對風險管理進行審查和評價，對風險管理工作進行監督，即對風險管理過程的設計和執行的有效性進行評價，并給出評價意見；審查和評價重大風險的評估和管理是否適當，將評價結果向審計委員會匯報。

風險評估工作結束后，形成風險評估報告，反映企業的風險及其分布狀況，為領導決策提供支持。通過風險辨識、風險分析及風險評價，形成風險評估初步結果后，就風險評估結果的真實性、準確性向企業風險管理委員會征求意見，并根據反饋的意見，調整、修正企業的風險評估結果，編寫出企業的風險評估報告，上報風險管理委員會或董事會進行審議。

參考文獻：

[1]企業內部控制基本規范.財政部，證監會，審計署，銀監會和保監會聯合.

篇8

摘 要 近年來，隨著我國經濟的不斷發展，傳統的內部設計模式已經無法適應其要求。風險導向審計是一種層次較高的審計模式，它能在更大程度上為企業內部審計目標的實現提供保障，其目前在內部審計中已開始推廣和應用，因此，加強對風險導向審計的研究很有必要。鑒于此，本文擬從風險導向審計的概念和特點、風險導向審計在內部審計應用中的問題以及風險導向審計在內部審計應用中的對策等幾個方面來進行分析與闡述，以期加深對這一問題的認識與理解程度。

關鍵詞 風險導向 審計 內部 應用

經過一段時期的發展，我國的內部審計模式已經經歷了財務導向審計、業務導向設計、內控導向審計以及風險導向審計等幾個階段。在內部審計中，風險導向審計屬于最高層次，它的出現適應了現代社會發展環境不斷復雜化的要求。在對風險導向審計在內部審計應用中的問題以及風險導向審計在內部審計應用中的對策這兩個問題進行分析之前，我們先來了解一下風險導向審計的概念和特點。

一、風險導向審計的概念和特點

為了理解與闡述的方便，我們主要可以從風險導向審計的概念和風險導向審計的特點兩個方面來進行分析。

1.1風險導向審計的概念

所謂風險導向審計指的是將風險意識貫穿于審計工作的全過程，在對企業的戰略目標、風險管理以及控制監督等進行了解與評價的基礎上，確定企業的風險水平和剩余風險，從而實現企業目標的一種方法。

1.2風險導向審計的特點

歸結起來，風險導向審計的特點主要表現在以下幾個方面：其一，完善的審計思路。現代社會條件下的風險導向審計要求審計師運用“自上而下”和“自下而上”相結合的思路對企業內部風險作出合理科學的判斷。“自上而下”就是指通過嚴密的推理，來逐步得出審計工作的重點，并對相關的審計目標和審計程序加以確定的過程，“自下而上”就是指根據審計程序及結果，得出一些重要的判斷，從而將其歸納總結形成一定的審計意見的過程；其次，新型的審計風險模型。現代審計風險模型是應用現代風險導向審計理論指導審計實務的工具，它在傳統審計風險模型的基礎上進行了改進，形式上有所簡化。新型的審計風險模型也即：審計風險=重大錯報風險+檢查風險。新型審計風險模型的建立與使用可以有效降低審計的風險；最后，個性化的審計測試程序。審計測試程序具有兩個方面的內容，即具體的審計目標以及完成審計所需要的步驟與方法等，審計測試程序還具有非常重要的作用，比如提高效率、降低風險、明確責任等。所謂個性化的審計測試程序就是指現代風險審計針對不同客戶、不同風險采用個性化的審計測試程序，它能在更大程度上對審計工作可能出現的風險加以規避。

二、風險導向審計在內部審計應用中的問題

目前，雖然風險導向審計已經在很多領域有了應用，比如醫院、建筑等，但由于這一審計模式畢竟還是一種比較新型的事物，所以其在實踐中的應用還存在著不少的問題，對風險導向審計的推廣應用造成了很大影響。首先，風險導向審計成本過高。要想對企業進行風險導向審計就必須對注冊會計師進行必要的業務培訓，需要加強其對企業情況的了解，這些都需要一筆不小的資金投入；其次，缺乏高素質的風險導向審計人才。風險導向審計對相關人員的要求較高，除了具備專門的業務知識外，還必須具有相關的法律知識等，不過從目前來看，我國還是很缺乏這類綜合素質較高的審計導向人才，這在很大程度上限制了風險導向審計工作的開展；最后，缺乏對風險導向審計的認識。風險導向審計與傳統的審計模式不同，要想在實踐中對其進行熟練運用，前提是必須對其基本性質加以準確把握，比如一些具體的操作思路、交易事項以及細節測試等。

三、風險導向審計在內部審計應用中的對策

鑒于風險導向審計在內部審計應用中的重要性以及其在具體應用中所出現的一系列問題，我們必須采取有效措施加以解決。

一是探索針對性更強的審計程序。所謂審計程序就是指為完成審計工作所需要的詳細步驟，主要包括審計項目計劃、審計準備、審計實施以及審計終結等幾個方面。風險導向審計程序要求將審計工作的重心前移，重視審計計劃，充分了解被審計單位及其所處環境，對管理者的誠實性保持應有的謹慎，對內部控制的有效性進行恰當地判斷與運用，識別和評估重大風險，制訂出符合項目特點的審計計劃，同時在審計實施中要充分利用分析性程序，結合先進的計算機技術，將大量客觀數據通過計算機分析軟件，快速、準確地得到需要的結論。

二是提高風險導向審計水平。風險導向審計水平的提高需要從多個方面進行努力，首先是審計人員綜合素質的提高，應定期對審計人員進行培訓，其次采用先進的技術手段，比如計算機技術等，可以通過系統的抽樣和分析，來對審計風險進行有效的評估，并能在很大程度上提高審計工作的效率與水平。

三是建立風險評估方法。風險導向審計是在風險評估的基礎上，確定審計方向和重點，改變了傳統以內控測試為主的審計方法。風險評估方法是一種系統的、科學的和可量化的方法，風險導向審計從風險評估開始，形成了風險評估、確定審計范圍、制定審計計劃、開展審計工作、出具審計報告、缺陷整改提高、開始新的風險評估這樣一個循環，可見風險評估方法是否得當將會直接影響其他審計要素，進而影響整個審計工作的效率、效果和質量。目前比較常用的風險評估方法主要是以風險影響程度（風險發生對企業目標時的影響）和風險發生的概率（風險發生的可能性）來衡量風險大小，即風險大小=風險影響程度×風險概率，以此計算出各種事項的風險大小。

四、結語

隨著經濟的全球化，企業間競爭日益劇烈，面臨更大的內外部風險，風險導向審計對內部審計來說顯得更加重要。本文通過對風險導向審計的分析與闡述，希望可以為以后的相關研究和實踐提供某些有價值的參考和借鑒。

參考文獻：

[1]邵培.風險導向審計對內部審計人員能力和素質的要求.商情.2013，20（7）：19-20.

篇9

(一)審計重心前移。風險導向審計最大的特點是將審計重心放在事前的風險評估上,從以審計測試為中心到以風險評估為中心,審計程序主要包括風險評估程序、分析性測試程序、審計測試程序(包括控制測試和實質性測試)。傳統審計不能適應現代報表審計需要就在于其原有的風險評估不到位,未能有效發現高風險審計領域,造成審計過量或審計不足,現在大大加強了風險評估程序,真正體現了風險導向審計的理念。

(二)更加注重外部審計證據。審計重心向風險評估轉移導致風險評估程序顯得至關重要,風險評估準確與否將直接影響到審計效果和審計效率。風險評估在一定程度上帶有一定的主觀性,但必要的是審計證據是必不可少的,尤其是更加客觀、真實的外部證據。僅僅依靠被審計單位提供的內部證據來對風險進行評估,所得出來的結論是不可靠的。所以,審計人員在搜集審計證據時不應只采用內部證據,而應更努力地獲得相關的外部審計證據來對風險進行評估。

(三)在各個階段都利用審計風險模型作出決策。在風險導向審計中,審計人員在各個審計階段,都分別以審計風險模型為主,分析評價各自的期望審計風險、固有風險、控制風險和檢查風險,并在此基礎上作出各項決策,從而能夠全面控制審計風險。制度基礎審計模式中的審計風險模型是一維的,它只有一個決策目標——確定實質性測試所需的證據量,所涉及的風險層次和范圍比較狹窄;而風險導向審計模式中的審計風險模型是二維的,它既包含了不同的風險要素,而且在不同審計階段給各風險要素賦予了不同的內涵。

二、審計模式的發展歷程

(一)賬項導向審計模式。賬項導向審計模式是最初始的審計方法,主要功能在于查錯防弊,其技術方法主要是從審計期間會計事項所依據的相關會計原始憑證入手,追查到記賬憑證、賬簿、會計報表等會計文件的形成,驗算其記賬金額、核對賬證、賬賬、賬表。賬項導向審計模式僅適用于經濟業務不很復雜的小規模企業。隨著生產經營規模的擴大,融資、投資渠道和方式的多樣化、特別是資本市場的發展,賬項導向審計模式的局限性就日益凸顯,至20世紀初,這種模式就逐漸退出其主導地位,而代之以制度導向審計模式。

(二)制度導向審計模式。隨著企業經營規模的擴大,業主或企業管理層勢必改變“事必躬親”的管理方式,建立系統的分層、分工的科學管理制度,企業在經營發展過程中建立起內部控制系統,這就促使審計人員把注意力轉移到與會計相關的內部控制系統的控制功能上來。制度導向審計模式將審計的重點放在對內部控制制度各個控制環節的審查上,這種審計模式,是建立在對被審計單位內部控制系統認識基礎上的重點審查。以大數定律和正態分布為基礎的統計抽樣也逐漸取代了單純判斷性和任意性的抽樣。同時,這一模式由于著眼于對內部控制制度整體的了解與分析,還可以發現與某些內部控制相關的會計信息的系統性錯誤,從而提高了審計效率。正因為如此,制度導向審計模式從20世紀四十年代起就成為注冊會計師審計的主要方法。

(三)風險導向審計模式。風險導向型審計的產生,主要源自美國,風險導向型審計的內在思想是,任何審計業務都必須將審計風險控制在可接受的風險水平內。

其顯著的特點是:它立足于對審計風險進行系統的分析和評價,并以此作為出發點,制定審計策略和與企業狀況相適應的多樣化審計計劃,將風險考慮貫穿于整個審計過程。因為它著眼于全面的控制測試,而不是著眼于測試內部控制制度的執行效果(即符合性測試)。風險導向審計模式合理地揚棄了作為制度導向審計模式基礎的“無利害關系假設”,把指導思想建立在“合理的職業懷疑假設”基礎上。不只依賴對被審計單位管理層所設計和執行內部控制制度的檢查與評價,而是實事求是地對公司管理層是否誠信,是否有舞弊造假的驅動,始終保持一種合理的職業警覺,將審計的視野擴大到被審計單位所處的經營環境,捕捉潛在的風險點,將風險評估貫穿于審計工作的全過程。

三、現代風險導向審計應用中的問題

從理論上講,現代風險導向審計能夠彌補傳統風險基礎審計的不足,縮小審計期望差距。但是,無論是在國際上還是在國內,還沒有一套嚴密的風險導向審計體系。從目前看,運用現代風險基礎審計可能存在以下問題:

(一)信息庫的建設。注冊會計師執行風險評估程序,充分了解被審單位整體經營環境,然后針對風險不同的客戶,客戶不同的風險領域,設計個性化的審計程序。為此,會計師事務所必須建立功能強大的信息庫,按照行業發展特點、客戶經營環境、客戶所處市場環境以及客戶高層管理者的品行,由專業高層人員組織實施評價,定期把客戶風險評價的結果向相關業務承接和實施部門通報,以便注冊會計師在風險評估時了解企業的戰略、流程、風險管理、業績衡量。目前,國內很多事務所對行業風險和企業經營風險缺乏了解,數據積累不足,信息庫的建設達不到現代風險導向審計的要求。

(二)注冊會計師的綜合素質存在較大差距。在風險評估程序中,注冊會計師花大量的時間和精力去了解客戶及其環境,評估經營風險,這就要求注冊會計師具有判斷企業是否具有生存能力和合理的經營計劃的能力。注冊會計師不僅要熟練掌握會計、審計知識,也要掌握管理知識、行業知識和法律知識等,還要熟練運用各種分析工具對各種財務指標和非財務指標進行分析。目前,我國事務所90%以上的業務是審計業務和會計業務,沒有經濟方面、法律方面等多元的背景。注冊會計師不了解企業的經營狀況、相關行業,不懂得管理、行業等方面的知識,不具備運用數理統計方法的能力,這些都不利于現代風險導向審計的實施。為此,主管部門需要做大量的培訓工作。事務所也可以一方面引進高層次人才,同時根據自己的客戶情況、事務所的定位,有針對性地進行員工培訓。

四、我國應用現代風險導向審計的對策

(一)提高審計人員的專業判斷能力。現代風險導向審計要求注冊會計師須首先從企業內外環境和經營戰略入手,來分析其對財務報表的影響,這就對注冊會計師的分析能力和專業判斷能力提出了更高的要求;同時,現代風險導向審計過程實質上就是專業判斷的過程,它提升了審計的技術含量。因此,注冊會計師只有很好的運用專業判斷能力才能有效提高審計質量,避免形式審計。

(二)處理好會計師事務所審計成本與效益問題。從理論上說,現代風險導向審計模式首先對重大錯報風險進行評估,確定重點關注領域,從而可以合理地分配審計資源、提高審計效率。但是在實務中,執行風險評估程序主要依賴于外部審計證據,而搜集外部證據又沒有專門的、固定的途徑,使得搜集外部證據的成本較大,有時甚至要高于因減少進一步審計測試所降低的成本而使得總成本增加。在市場競爭日益激烈的環境中,成本的增加很難通過審計收費對其進行彌補,所以如何降低審計成本使審計效益大于審計成本仍是一個值得關注的問題。

(三)健全法律法規制度。所謂健全法律法規制度,就是針對現代風險導向審計的新形勢,適時修改相應的一些不合時宜的法律法規,以適應新形勢的需要。現行的各種法規關于民事賠償責任的規定最為薄弱,因此應健全法律法規制度,加大對注冊會計師違法行為的責任追究與處罰力度,以強化注冊會計師的法律風險意識。

主要參考文獻:

[1]陳毓圭.關于風險導向審計方法由來與發展的認識.會計研究,2004.

[2]劉佳.風險導向審計初探[J].財會月刊(會計版),2006.4.

[3]中國內部審計協會編譯.內部審計實務標準(2001年修訂本).中國時代經濟出版社.

篇10

[關鍵詞]風險導向審計;職業道德;審計質量;審計市場

[中圖分類號] F239.1[文獻標識碼] A[文章編號] 1673-0461(2010)02-0077-03

當前,我國已經全面推行風險導向審計。風險導向審計在審計技術方法上的確有著一些進步和突破,但是它并非是一種完美的技術。另外,中國審計環境與國際審計市場有著巨大差距,風險導向審計方法可能會“水土不服”。本文從風險導向審計的技術層面、實際運用中的職業道德視角、我國審計市場環境等角度進行了深入分析。

一、反思:風險導向審計并非完美

(一)風險導向審計技術上的若干難點問題

在整個風險導向審計程序中,最為重要、最為關鍵、投入審計資源最多就是風險評估階段。這一階段中可能存在的各種復雜情況,這就對審計師提出了諸多挑戰,例如,如何準確識別和正確評價風險?怎樣有效建立風險評估結果與控制測試及實質性程序(審計抽樣的規模)之間的關系?審計師就識別和評估風險所下的結論能否成為審計證據?這個問題涉及到事后審計責任的確定問題,如果相關結論不能成為審計證據的話,則審計師無法根據自身的結論實施下一步審計步驟;如果相關結論能夠作為證據的話,那么,對于風險評估因時間、因人、因環境而有所差距,一旦發生分歧,以何為準,一旦發生訴訟,何為界定責任的依據?由此可見,盡管風險導向審計賦予審計師更大的專業判斷空間,但是這一空間卻給審計師的審計責任判斷留下“隱患”。

風險導向審計的風險評估結果將決定下一步的審計程序,但是如果審計師有著合理懷疑,但是風險評估的結果卻顯示沒有任何問題,這個時候審計師應該如何面對這個評估的結果,下一步該怎么辦呢?再如審計師有著合理懷疑,卻無從取證證明自己的懷疑,從而只能認可風險評估的實際結果,審計師是否應該堅持自己的職業懷疑?風險導向審計強調發現評估重要錯報風險,對于一般的、但是可能潛在著某些不可知因素的風險,審計師是繼續堅持職業懷疑,繼續發現呢?還是放棄這些風險的評估和追查,轉而攻克那些高風險領域呢?如果審計師不能有效解決這些技術問題,或者缺乏相應的審計指南,風險評估的質量難以保證,審計程序極易流于形式,審計質量令人堪憂。此外,由于風險導向審計的重心在風險評估領域,對實質性測試的重視程度不夠;當風險評估領域未能發現的重要風險點在實質性測試中極有可能被忽略,從而大大增加審計風險。

由此可見,盡管風險導向審計將審計工作重心前移,但是在技術層面和審計責任認定層面存在明顯的“不足”,這種不足完全有可能轉化為審計風險,加大審計師的法律責任,在一定程度上也會威脅審計質量。

(二)風險導向審計準則與職業道德

從源頭上看,風險導向審計方法僅僅是審計職業界面對審計環境的變化,目的是規避法律風險和承擔審計責任。隨著安然等事件的爆發,涉及公眾利益的審計期望差距問題變得日益尖銳,風險導向審計也未能良好解決這一問題,反而在一定程度上加劇了期望差距。

第一,風險導向審計回避審計師應當承擔的審計責任。風險導向準則未能要求審計師承擔全面查錯揭弊的責任,其將審計資源用于高風險領域的思路往往會誘導審計師發生“道德風險”,也就會造成業內人士對于風險導向審計方法實際效果提出置疑:“現實情況表明,在經濟人假設成立的情況下,風險導向審計幾乎被淪為審計師偷工減料的工具,誘導審計師為節約成本而不惜犧牲審計質量,使得審計業務成了變相的保險業務,例如只要企業財務報告的錯報風險低于審計師可以接受的范圍,審計師就可以出具無保留意見的報告,而不問財務報告的真實質量,從而背離審計本質,這就造成審計理念上的紊亂,能使審計由一種高尚的職業變為一種惟利是圖的生意”[1]。

第二,風險導向審計方法迫使審計工作偏離了審計本質。審計活動的主要對象是企業的財務報告,審計師要針對財務報告發表審計意見,審計報告和財務報告的使用者利用的是財務信息。在風險導向審計方法下,審計師需要對企業戰略、經營環節進行全面分析,進行風險評估,并圍繞著風險評估收集審計證據。可見,審計師已經承擔了風險評估師所應完成的任務,審計重心的前移更使得風險評估占據審計工作的絕大部分,直到審計工作完成大半之后,才重新回到財務報告上來――而這才是財務報告使用者真正關心的內容。風險導向審計過于強調審計師對于企業環境、經營環節和交易或事項存在的制度方面的關注,而忽略了財務數據對交易或者事項的直接依賴性。

二、對風險導向審計實際運用效果的考查:四大審計質量“堪憂”

風險導向審計容易誘導審計師的“職業道德”這一命題,可以從四大真實的審計質量中得到驗證。四大是最早開發、采用風險導向審計的。但是四大實際執行情況如何呢?2004年財政部重點課題“注冊會計師執業環境研究”課題組就我國審計環境問題在陜西、上海、深圳、青海等地展開了實地調研。調研中發現,國內所對于四大在中國市場的執業質量普遍感到“不容樂觀”。“他們的膽子更大,我們不敢做的,他們很快就出具標準無保留意見了”。“他們做的底稿也有不少疏漏之處,如果放在我們這里,根本無法通過審核,而他們卻已經出具了報告。”而監管部門對于四大所的態度也能說明一些問題:對于國外所還是有些“害怕”,在檢查是甚至要采取“迂回”的方式。“外國所來辦事都很牛”。對此,學術界也有研究結果。劉峰(2002)認為,在中國審計市場當前較低的法律風險環境下,四大執業質量堪憂 [2];劉明輝(2003)對中國審計市場集中度和審計質量關系進行的研究結果表明:四大在中國審計市場的執業質量并不比國內所高[3]。東南亞金融危機后,聯合國在提交的《會計在東亞金融危機中的作用》報告中指出,四大未能采用較高質量的審計準則,而是根據當地較低的法律風險環境,采用了簡化的審計程序,從而未能發現企業中存在的問題。

三、啟示:中國審計市場環境與實施環境的改進

風險導向審計從其產生至今已經有20多年,其在國外的應用效果一直存在爭論。2006年,我國全面改進審計準則,引入風險導向審計技術,并在全國實施。必須承認的是,中外審計環境存在很大差異,差異化的背景不僅不利于解決風險導向審計本身存在種種缺陷,更無助于提升風險導向審計的實施效果,從而使得這種技術流于形式,不僅在實質上降低審計質量,更是無形中提高了審計成本。

(一)我國審計市場環境分析

從審計市場的現狀看,我國的審計市場具有以下種種特征,這些特征并不利于風險導向審計的實施。第一,我國審計市場存在明顯的買方市場特征,企業對審計質量無自發要求,中小型事務所壓價競爭的狀況嚴重。在這樣的市場環境中,多數事務所一方面認為市場競爭過于激烈,市場上充斥著過量的事務所;另一方面又普遍感覺缺乏真正意義上合格的事務所。這說明當前的審計環境亟待改善 。第二,會計師事務所所面臨的是一個較為“寬松”的環境。除了備受關注的銀廣夏案的中天勤受到嚴厲懲罰外,其他在鄭百文案、猴王案等眾多造假案中的違規違法事務所,其實都沒有受到具有威懾力的懲罰。“給定我國審計風險如此低的事實,再加上風險導向型審計的內在要求,我們可以推斷,包括四大在內的國際性會計師事務所在中國審計市場上的行為同樣不應該得到無保留的信任”[2];“在我國目前需求相對無效的市場環境下,低法律風險必然導致低審計質量;并且,以四大為代表的國際知名會計師事務所也會根據我國相對低的執業風險來降低其審計質量。[2]”在這樣的審計市場上,實施風險導向審計的意義并不明顯,審計市場的不規范更為審計師發生“道德風險”提供“土壤”。

審計失敗的真正原因在于道德問題,并非技術問題,因此不能冀望風險導向審計解決審計失敗。對銀廣夏等事件,審計失敗的原因有多種,有些業內人士認為,銀廣夏事件的發生正是由于沒有實施風險導向審計的結果,并對原有的制度基礎審計準則提出批評和置疑。也有人士認為,如果審計師采用風險導向審計是能夠發現銀廣夏造假的,而安然事件雖然審計師采用了風險導向審計但是未能遵循獨立性原則所以發生失敗。銀廣夏審計失敗的真正原因并不在于審計技術方法問題,仍然是獨立性問題。

(二)實施風險導向審計需克服的障礙

由前文所述的我國審計市場環境分析表明,在我國實施風險導向審計,除了要特別關注風險導向審計本身技術問題之外,還需要加強審計環境建設,尤其是要切實思考并解決好下列問題。

1.市場惡性競爭的情況下,如何突破審計收費的制約?四大表示,風險導向審計要求審計師具有戰略眼光,能夠發現企業戰略經營問題,并提出相應解決方案,從而為企業咨詢服務提供商機。因此,在風險導向審計方法下,審計收費都有普遍提高的趨勢。在我國審計市場上,對于企業咨詢的收費往往是小額、同審計服務一同提供,而從被稱為“免費的咨詢服務”。事務所很難說服客戶更妄論開拓咨詢服務的市場。在審計回扣盛行,低價競爭惡劣的情況下,這種風險導向審計方法下的咨詢服務費、相應提高審計收費很可能就是幻想了。

2.如果不能成功提高審計收費,那么為了保證事務所的成本效益,四大都在實質性測試的方法、程序和抽取的樣本量方面謀求工作時間的減少,以縮小審計成本,使審計成本和經濟效益能達到適當的平衡。最簡單的做法便是,在制度基礎審計方法中執行分析性測試只是作為常規程序的輔助手段,在風險導向審計方法下則至少是與交易測試和報表余額詳細測試并重或是更主要的手段,而且決定著余額測試程序的簡繁程度。分析性測試最關注的是捕捉異常情況的跡象,從而為其設定必要的常規程序和抽取適當的樣本量,而不是也不可能要求對所有報表項目余額都必須按常規審計程序“走一遍”。因此,分析性測試成為一項既極重要又富有“彈性”的審計程序。對于分析性測試的檢查應當成為事務所執業質量檢查關注的重點。

3.企業數據庫建設及審計程序軟件開發問題。風險導向審計強調對企業風險的評估,實施風險評估的前提就是審計師掌握強大的數據庫系統。無論是對于企業戰略風險、經營風險的評估還是確定重大的剩余風險,均需要采用分析性復核方法及運用職業判斷,合理運用上述兩點技能要求審計師熟悉企業所在的行業及行業基本數據,而這些離開強大的數據庫是無法實現的。西方各國財務數據的電子化已經非常普遍,因此,審計師在審計中可以直接對數據庫進行加工分析,依據軟件構建模型并由電腦自行檢驗和核對,這就大大地加快了審計速度,使運用分析性測試程序成為節約成本的重要手段;在我國不僅不具備這樣的設備條件,同時我國大部分注冊會計師缺少這方面的知識和技能準備,因此,在現階段推行風險導向審計方法,必須攻克數據庫和審計程序這一難關。

4.審計失敗案件的處理。我國在推行風險導向審計方法時還面臨如何判斷可接受的審計風險水平問題。在美、英等國,大量的司法判例以及側重對會計師事務所和審計師的民事賠償責任的司法制度,使會計師事務所和注冊會計師較易判斷省略某些審計程序后可能招致的風險損失;而在我國更多的是進行行政處罰甚至刑事處罰,要將后者量化為審計風險水平幾乎是難以做到;而且即使是類似的案情,不同地區的法院的判決尺度也可能存在巨大的差異,這種司法過程中的不可控因素,也加大了判斷可接受審計風險水平的難度。而在不能相對準確地估計風險水平的前提下推行風險導向審計方法,一旦變相為常規審計程序的隨意省略,其后果的嚴重性是難以想象的。此外,我國司法部門在積累對財務報表虛假陳述案件的審判經驗方面,也需要一定的時間。

四、小 結

當前風險導向審計已經在我國全面實施,這一技術實施的效果究竟如何,需要進一步的思考和研究。當前,需要對風險導向審計有更為全面認識:盡管風險導向審計方法具有一定的優越性、修訂相關審計準則是符合國際趨勢的,但是不能抱定風險導向審計是一種完美方法的態度,一味地全盤大加肯定。更重要的是,需要考察風險導向審計實際執行情況,了解運用這種方法可能會發生的哪些問題,從中吸取經驗教訓,從而切實規避風險導向審計實施過程中的障礙。

[參考文獻]

[1]黃世忠,陳建明.美國財務舞弊癥結探究[J].會計研究,2002,

(10):24-32.

[2]劉峰,許菲.風險導向型審計•法律風險•審計質量――兼論

“五大”在我國審計市場的行為[J].會計研究,2002,(2):21-27.

[3]劉明輝,李黎,張羽.我國審計市場集中度與審計質量關系 的實證分析[J].會計研究,2003,(7):37-41.

Risk-oriented Auditing in China: Reflection and Enlightenment

HuBo

(School of Management, China Women’s University, Beijing 100101, China)