第一,针对企业内部审计来说,其从属于企业内部控制体系,可以看做其他控制活动的二次管理和控制。当前的企业内部控制来说,已经经过了长时间的转变,也经历过了比较多的发展阶段。而企业内部审计来说,也可以看做内部控制的一部分,相对而言,其实际上是一种比较独立的控制方法和模式,可以实现对别的控制和管理要素的深入控制,实际作用是比较大的。第二,内部控制作为管理制度的重要组成部分,是企业管理的重要手段,是衡量企业管理的重要标志。同时,内部控制也是审计人员用以确定审计程序的重要依据,对内部控制的重视与信赖,加速了现代审计方法的变革,缩小了审计范围,节约了审计时间和审计费用,完善了审计的职能。因此,内部控制的健全与否,决定着企业的经营目标是否实现,决定着经营风险的大小,同时还可以保证企业资产的安全与完整,防止错误与舞弊的发生,减少财务报表层次以及各交易、账户余额和列报认定层次的重大错报风险,提高审计的重要性水平。
二、内部控制在企业审计实务中的应用
(一)控制环境要素的应用
在企业内部控制和管理过程中,控制环境要素是必不可少的,也是最基础的要素,控制环境要素含有治理结构、人力政策,还含有权责合理分配,文化资源等以及管理当局的观念和管理风格等等。如果从审计角度的来看,审计人员必须从根本上落实好审前调查工作,不仅要对企业的部门设置情况进行调查,还要对相应的人力政策等进行调查,要在掌握多方面环境要素的基础上,完善内部审计方案。
(二)风险评估要素应用
风险评估是指企业及时识别,系统分析经营活动中与内部控制目标相关的风险,合理确定风险应对政策。风险对于一个企业来说,包含有内部风险和外部风险。在审计过程中,被审计单位的风险评估是非常重要的。在审计准备阶段,利用风险评估结果,可以确定将要实施实质性测试的性质,范围,时间和重点,为编制审计方案提供科学依据;审计实施阶段,审计人员可以进一步了解内部控制的实际执行情况和有效程度,对控制风险水平再次评估,如与准备阶段评估有出入则可以对审计方案作出调整。
(三)控制活动要素应用
在进行风险评估之后,就要制定相应有效的风险控制方案,采取相应有效的风险控制对策,要把风险控制到合理范围内。具体来说,不仅要加大对职务分离情况的控制力度,还要加大业务授权、实物和独立检查的控制力度等。在审计过程中,审计人员要应用多样化的审计方法,全方位掌握被审计单位的控制活动开展情况。另外,被审计单位的业务目标、控制目标和控制点越明确,审计人员的工作效率就会越高。
(四)内部监督要素应用
在企业内部审计和控制当中,加大监督力度是十分有效的,只有从根本上完善企业内部监督检查制度,及时掌握和监测企业内部控制情况,及时发现内部控制中存在的问题,才能及时采取有效措施进行解决。在审计过程中,内部审计人员要在结合控制评估结果的基础上,明确内部控制的不足之处,还要严格根基企业内部控制规定进行措施应用,大力应用内部奖惩制度和方法。
三、结语
本文作者:谭先华工作单位:上饶师范学院经管学院
重大错报风险的评估
对于重大错报风险的评估,审计人员要作出审计判断首先要识别相关风险,然后评估重大错报风险并采取应对程序。在识别和评估重大错报风险时,注册会计师应该考虑被审计单位的战略目标及相关的经营风险等重要因素。识别和评估经营风险经营风险,是指对被审计单位实现目标和实施战略的能力可能造成不利影响的重要状况、事项、情况、作为或不作为而导致的风险,或由于制定不恰当的目标和战略而导致的风险,包括战略风险和经营流程风险。1战略风险的识别与评估注册会计师接受委托后的第一阶段就要了解企业的战略目标。注册会计师要了解行业状况、法律环境与监管环境,以及其他外部因素,并通过分析外部环境中影响企业有效执行战略的潜在风险因素来识别战略风险。在识别战略风险后,注册会计师可以通过询问、观察和检查等方法了解被审计单位有无相应的风险管理措施及执行的有效性,以此来判断战略风险。2关键经营流程风险的确定注册会计师在确定战略风险后,应判断其重要性,如果是重要的,那么它所指向的经营流程也是重要的;另一方面也可以通过重要交易类别识别出关键经营流程,也即先确定企业经营中的重要交易类别,再判断其对会计报表的影响是否重要,如重要则说明这一重要交易类别所处的流程为关键流程。然后从流程目标、投入、作业、交易类型等方面对企业所依赖的关键经营流程进行了解分析,以此评价流程风险。评估控制风险和固有风险注册会计师应通过职业判断确定哪些内部控制与审计有关,审计人员可以通过询问、观察、检查、重新执行等程序对内部控制进行测试,必要时进行穿行测试,以评价这些控制设计的合理性,确定其是否得到有效执行,并以此评估控制风险。固有风险是指在考虑相关的内部控制之前,某一认定是于发生错报的可能性,它与控制风险不可分割地交织在一起,有时无法单独进行评估,可视注册会计师偏好的审计技术和方法及实务上来考虑评估方法。关注特别风险特别风险是指注册会计师识别和评估的、根据判断认为需要特别考虑的重大错报风险。主要包括:舞弊风险;与近期经济环境、会计处理方法及其他方面的重大变化有关的风险;涉及重大的关联方交易;交易的复杂程度等;涉及异常或超出正常经营过程的重大交易的风险;以及财务信息计量的主观程度,特别是计量结果涉及广泛的计量不确定性带来的风险。新审计准则要求注册会计师从财务报表层次和认定层次来识别和评估重大错报风险,为设计和实施进一步审计程序提供基础。财务报表层次重大错报风险的评估注册会计师在对重大错报风险的各要素风险进行识别和评估后,应考虑这些风险是否更广泛地与财务报表整体相关,进而潜在地影响多项认定。报表层次的重大错报风险很可能源于薄弱的控制环境,因为控制环境对报表的影响难以限于某类交易、账户余额和披露。注册会计师可以通过测算各项财务指标,包括资产负债率、流动资产比例、资产负债表各项目占总资产的比例、资产负债表各项目增长率等,以及利润表中的毛利率、其他业务收入、营业外收入、投资收益与主营业务收入的比例等,并实施分析程序,将这些指标与同行业平均指标相比较,了解其变动趋势,分析变动原因。在这个过程中,注册会计师应考虑审计项目组的胜任能力、对专家工作的利用,以及采用相应的质量控制程序。2.2.2基于认定层次的重大错报风险的评估有些重大错报风险直接与特定的某类交易、账户余额和披露的认定相关,而报表层次的重大错报风险会潜在地影响多项认定,因此,要将报表层次的重大错报风险分解到账户认定层次,也就是说注册会计师对重大错报风险的评估最终都归集到认定层次。首先,将各风险要素分配到业务循环层次,注册会计师应考虑某一风险要素如何影响客户某一个或某几个业务循环产生,影响程度怎样及发生可能性的大小;其次,分析影响该业务循环的风险因素对具体账户的影响,即将重大错报风险归结到账户和认定层次;最后,综合各单个账户可能受到的各方面风险因素的影响,从而最终确定该账户认定层次上重大错报风险。重大错报风险是审计人员估计水平,如果通过实施进一步审计程序获取的审计证据,或获取的新信息,与注册会计师之前作出评估所依据的审计证据不一致,注册会计师应当对评估的重大错报风险水平进行修正,以此来确定检查风险,并修改原计划实施的进一步审计程序。
检查风险的控制
从审计风险模型可以看出,检查风险与审计风险之间存在着正向关系,与重大错报风险成反向关系。由于审计业务是一项保证程度较高的业务,可接受的审计风险应当足够低,如果评估的重大错报风险较高,注册会计师就必须将检查风险控制在较低的水平,以使审计风险处于可接受的水平。所以,在既定的风险水平下,注册会计师在评估了重大错报风险水平之后,要做的就是如何控制检查风险。简言之,对检查风险的控制就是针对重大错报风险采取有效的审计程序,这贯穿于审计过程的始终。审计前的风险控制在业务承接阶段,注册会计师要综合考虑客户各方面情况,对是否接受新客户或保持现有客户关系实施必要的程序,从而决定是否接受业务受托。这些程序包括:初步了解审计业务环境、考虑胜任能力、评价独立性、分析和评价客户风险因素。注册会计师在接受委托并且评估重大错报风险后,在实施审计前需要做的是针对报表层次的重大错报风险采取总体应对措施:强调保持职业怀疑的必要性;审计人员安排;对业务的督导;对不可预见因素的考虑及进一步审计程序计划的修改等。总体应对措施会影响到拟实施进一步审计程序的总体方案,包括实质性方案和综合性方案,当评估的财务报表层次重大错报风险为高风险水平时,拟实施的进一步审计程序往往更倾向于实质性方案。审计实施阶段的风险控制实施阶段的风险控制是针对认定层次重大的错报风险而采取的风险应对措施,即实施进一步审计程序,包括控制测试和实质性程序,涉及到审计程序的性质、时间和范围,其中性质是最重的。控制测试的选择控制测试不是必要的审计程序,只有认为控制设计是合理的、预期控制有运行是有效的,或仅实施实质性程序并不能够提供认定层次充分、适当的审计证据时,注册会计师才有必要实施控制测试。注册会计师可以采取询问、观察、检查和重新执行等审计程序,根据被审计单位内部控制执行的频率、运行有效性的时间长度及预期偏差等来确定控制范围,以获取控制运行有效性的审计证据。对控制有效性的信赖程度越高,注册会计师应当获取越有说服力的审计证据。注册会计师在进行控制测试时更适宜选择在期中进行,但应考虑针对期中至期末这段剩余时间获取充分、适当的审计证据。实施实质性程序实质性程序是必要的审计程序,包括细节测试和实质性分析程序。细节测试适用于对各类交易、账户余额有披露认定的测试,尤其是对存在、发生或认定的测试,而实质性分析程序更适用于在一段时间内存在可预期关系的大量交易。注册会计师应根据各类交易、账户余额和披露的性质选择实质性程序的类型,并根据评估的认定层次的重大错报风险和控制测试的结果来确定实质性程序的范围。实质性审计程序更适宜在期末或接近期末进行,如果考虑到多方面因素需在期中进行,注册会计师应权衡成本效益,并将期中实施的结论合理延伸至期末。如果拟利用以前获取的审计证据,注册会计师应当在本期实施审计程序,以确定这些审计证据是否具有持续相关性。审计报告阶段的风险控制在完成实质性测试后,注册会计师已经掌握了较充分的审计证据。此时,注册会计师要综合考虑各风险要素,对审计证据进行整理与评价,复核审计工作底稿,汇总审计测试结果和审计差异,以此对审计风险进行最终评价,并与期望审计风险比较,以判断审计风险是否控制在可接近水平之下。如果注册会计师得出结论,审计风险处在一个可接受水平,那么则可以直接提出意见,如果注册会计师认为风险不能接受,那么他应追加实施额外的审计程序,或要求被审计单位作必要调整,以使重大错报的风险降低至可接受水平,并得出恰当的审计意见。
关键词:风险导向审计模式构建
2007年4月,美国第二大次级抵押贷款机构新世纪金融公司向法院申请破产,至此拉开了世界经济危机的帷幕,雷曼兄弟公司、迪拜世界公司相继濒临破产,我国企业也面临挑战,探究其原因可能十分复杂,但是企业内部风险管理严重缺位无疑是重要原因之一。中国内部审计秉承自己的职业特质,及时调整发展战略和工作内容,适时引入风险导向审计理念,积极构建适合我国国情的内部审计新模式,对于促进企业规避风险,健康发展,具有非常重要的作用。
一、风险导向审计模式的概念和特征
内部审计作为一种技术手段,随着社会经济环境的变化和审计执行者对审计活动本质认识的逐步加深,依次出现过三种审计模式,即账项导向审计模式、制度导向审计模式和风险导向审计模式。
风险导向审计模式是指内审人员在审计过程中自始至终都以企业风险分析评估为导向,根据量化的分析水平排定审计项目优先次序,依据风险确定审计范围与重点,对企业的风险管理、内部控制和治理程序进行评价,进而提出建设性意见和建议,协助企业管理风险的一种审计模式。这种审计模式主要有以下特征:
(一)审计基础方面
风险导向审计改变了以内部控制制度为基础的审计方式,采用以风险评估为基础,根据对影响被审计单位经济活动的内外多种风险因素的评估,确定审计范围、重点和方法,其不仅重视与内部控制系统直接相关的因素,而且也重视各种环境因素。
(二)审计方法方面
风险导向审计虽然也运用抽样审计技术,但它对风险加以量化,采用了完全意义上的审计抽样,更着重运用分析性测试方法,能有效降低审计风险并减少效率较低的细节测试工作。
(三)在内部控制制度的运用方面
风险导向审计改变依靠对内部控制制度的评审结果决定实质性测试的方式,不仅通过对内部控制制度的调查了解评估控制风险,还要结合企业环境、发展战略、公司治理等综合分析评估。
二、构建风险导向审计模式的要点
(一)确定风险审计模型
风险导向审计是以审计风险为基础的,所以首先要确定适合企业实际的审计风险模型,根据模型有效控制和降低审计自身风险。目前普遍采用的是现代风险审计模型,可以表述为:审计风险=重大差异或缺陷风险×检查风险。其中重大差异或缺陷风险指在日常业务处理与管理活动中出现错漏的可能性,包括业务风险和控制风险;检查风险指在进行实质性测试时未能发现业务活动中发生差错的可能性,是审计人员唯一可以控制和管理的风险,应充分加以关注和重视。
(二)明确目标,培育理念
风险导向审计模式下的审计目标可以概括为:通过内部审计机构对企业风险管理的认识、应对和监控过程的了解,审查并评估企业风险管理体制、风险识别与评价的适当性和有效性,提出改进建议,评价职能部门风险管理业绩,促进企业目标的实现。
作为一种新型审计模式的引入,培育审计人员的风险导向理念,强化风向意识是重要环节之一。通过广泛的风险教育,增强内部审计人员识别潜在风险的敏锐性和自觉性。同时,引导他们对企业管理中的风险进行深入研究,逐步建立完善的企业风险控制制度和奖惩制度。
(三)制定审计流程,强化过程管理
制定审计流程是构建风险导向审计模式的关键环节,是实施风险导向审计的具体措施。审计流程依次大致包括:编制年度审计计划、制订项目审计方案、实施审计程序、收集审计证据、评价审计结果和出具审计报告等环节。
(1)编制年度审计计划
编制年度审计计划要求充分了解企业的基本情况,对影响企业目标和年度工作重点的各项风险因素进行分析,根据对目标的影响程度和目标的重要程度、风险易发程度和历年的审计结果进行定量评估;根据管理人员的诚信程度、重大举报线索和重大问题的发现程度进行定性评估。根据定量和定性评估结果,充分考虑审计力量和审计风险确定审计策略,排序审计项目,编制年度审计计划。
(2)制订项目审计方案
制订项目实施方案应在全面了解企业基本情况的基础上,按照审计项目涉及的风险管理和风险评估线索合理确定审计范围;在充分关注企业风险管理状况、风险管理机制、风险应对策略和企业内部控制薄弱环节的基础上合理确定审计重点和审计资源分配。
(3)实施审计程序
审计程序应以有效审查和评估企业风险管理水平,提高审计效率为标准,主要包括三个方面。一是,选择检测、识别风险的技术与方法,应能全面反映企业所面临的重大风险以及风险发生的可能性;选择评价企业风险管理水平的方法应该合理恰当。二是,按照确定的风险水平,有针对性的选择实质性测试的范围和样本规模,以保证获得足够有效的审计证据。三是,当实质性测试不能为某项认定提供充分证据时,必须实施控制测试,根据内部控制在审计期间不同试点的运行及是否得到一贯执行等确定内部控制的有效性。
(四)收集审计证据
审计证据是否充分、可靠直接影响着审计工作质量,审计人员在获取审计证据时应当注意三个方面。一是,在收集和获取证据时要重视对资料和证据的分析、归纳和判断,及时确定是否需要实施追加审计程序予以补充。二是,应当重视实质性测试与控制测试形成的审计工作底稿之间的内在逻辑关系,以控制测试获取的线索证据,进行专业判断与分析,进而决定如何把有限的审计时间和精力集中在高风险领域。三是,针对重点审计领域或关键风险点,应当综合利用各种审计程序,获取不同的审计证据,共同支持审计判断。
(五)评价审计结果
现场审计结束后,应及时对审计资料进行分析、归纳和评价,结合审计目标和审计实施方案,以确定是否需要实施补充审计程序及审计的事项。
(六)出具审计报告
审计报告应重点包含对企业以下内容的评价:风险管理机制的健全性及有效性;风险识别的完整性及风险估量的准确性;风险防范措施的有效性和风险监控手段的合理性。同时,从全面风险管理的角度,指出风险管理中存在的薄弱环节和不足之处。最后,提出建设性意见和建议,帮助企业完善风险管理框架体系。
三、风险导向审计模式下的审计内容
风险导向审计目前在我国尚处于探索阶段,笔者认为应包括以下内容:
(一)审查与评价企业对风险的管理机制
企业的风险管理机制是企业进行风险管理的基础,因此,内部审计部门或人员需要审查以下方面,以确定企业风险管理机制的健全性及有效性。包括:
(1)审查风险管理组织机构的健全性。核实企业是否在全体员工参与和与专业管理相结合的基础上,建立了一个规范化的风险管理组织体系。
(2)审查风险管理程序的合理性。企业风险管理机构应当采用适当的风险管理程序,以确保风险管理的有效性。
(3)审查风险预警系统的存在及有效性。核实企业是否定期对风险进行科学的预测分析并预计可能发生的风险。
(二)审查与评价企业对风险识别的适当性及有效性
内部审计人员应当对企业风险识别过程进行审查与评价,重点关注企业面临的内、外部风险是否已得到充分、适当的确认。包括审查风险识别原则的合理性和风险识别方法的适当性。
(三)审查与评价企业风险评估过程和方法
内部审计人员应当审查企业的风险评估过程是否适当,同时应对企业管理层所采用的风险评估方法进行适当性和有效性审查。
(四)审查与评价企业风险防范措施和风险监控手段
内部审计人员应当实施适当的审计程序,审查企业风险防范措施的有效性和风向监控手段的合理性。
四、风险导向审计模式在具体审计业务中的运用
风险导向审计模式是我国内部审计发展的最新阶段,笔者认为开展风险导向审计具体业务,应该立足本单位本部门实际,充分挖掘和利用现有审计资源,以风险导向审计理念和方法提升传统审计价值,在不断夯实现有审计业务基础职能的同时,结合本单位的风险管理状况,逐步扩展和渗入风险导向审计职能,在不断总结提炼的基础上,逐步推进风险导向审计业务的开展。
(一)开展以风险为导向的财务收支审计
在开展财务收支审计中,应在差错纠弊、注重会计信息失真等财务风险的同时,更加关注企业各项财务制度和各会计岗位责任制中对财务风险的规避和防范以及内部会计牵制制度的有效性,更加关注被审单位财务管理机制在应对财务风险方面的策略及其各项管理制度的健全性,通过对制度层面的关注实现风险导向审计的审计目标。
(二)开展以风险为导向的经济责任审计
在开展经济责任审计中,应进一步细化工作流程,明确各配合部门的任务和职责,最大程度化解审计自身风险;在具体审计过程中,要以了解被审计单位的经营环境和经营活动作为审计的起点,认真设计控制测试程序和实质性测试程序,突出重大风险领域和关键环节,重点对被审单位财务报表可能出现重大错报风险的领域、领导干部重大事项决策、重要干部任免、重要项目安排、大额资金的使用等进行测试和审查,把审计内容扩展到领导干部经济决策权、经济管理权、经济政策执行权等权力运行过程和效果上来,进而重点评价领导干部的风险驾驭能力和风险管理能力,推动以风险为导向的经济责任审计的开展。
(三)开展以风险为导向的内部控制审计
笔者在日常的审计工作实践中,将风险导向审计最终要求企业改进和完善制度或措施的思想引入内部控制审计,打破了传统内部控制制度审计的固有模式(即调查收集、了解描述、实施测试、健全性及符合性评价)。在对企业认真调查了解的基础上,结合业务性质相似且风险管理基础较好的所属单位内部控制制度,充分考虑被审单位风险管理职能对内部控制制度的要求,为企业设计标准内部控制体系大纲,提炼总结关键风险控制点和控制环节,制作详细的调查、审计提纲。在审计实施阶段,对照大纲进行健全性测试,围绕提炼的关键控制点和控制环节进行符合性测试。在审计评价阶段,根据对企业内部控制制度的健全性和有效性测试结果,在评价其内控制度的基础上,进一步深入分析企业内控制度应对风险的有效性和健全性,评价企业的风险管理状况。这种审计模式被笔者所在单位审计工作的实践证实:任务明,目的清,风险小,实现了风险导向审计与内部控制评审的融合。
风险导向审计在我国尚处于起步阶段,内部审计部门应在学习并借鉴外部先进经验的基础上,不断实践总结,逐步构建符合自身企业特点的风险导向审计模型。
参考文献:
[1]汪寿成.现代风险导向审计大连出版社
[2]胡春元.风险导向审计东北财经大学出版社
西安市雷电灾害风险评估管理办法完整版第一条为了规范雷电灾害风险评估活动,防御和减轻雷电灾害,保护人民生命财产和公共安全,依据《气象灾害防御条例》和《陕西省气象灾害防御条例》等法规的规定,结合本市实际,制定本办法。
第二条本办法所称雷电灾害风险评估,是指以实现系统防雷为目的,根据大气雷电环境、地理地质条件等参数,对防护对象可能遭受雷击的概率及雷击后产生后果的严重程度进行分析计算,为防雷工程设计提供依据的专业技术活动。
第三条本办法适用于本市行政区域内的雷电灾害风险评估活动。
第四条市气象主管机构负责本市行政区域内雷电灾害风险评估活动的监督管理。
长安区、临潼区及市辖县气象主管机构在市气象主管机构的指导下具体负责本行政区域内雷电灾害风险评估活动的监督管理。
发展改革、规划、建设、安监、民政、公安等行政管理部门应当按照职责,协同做好雷电灾害风险评估工作。
第五条气象主管机构应当组织民政等部门,对本行政区域内发生的雷电灾害和造成的损失等情况开展普查,建立雷电灾害基础数据库,编制雷电灾害风险区划,并向社会公布。
第六条下列建(构)筑物、场所和设施应当在防雷装置设计前,进行雷电灾害风险评估:
(一)国家、省和本市确定的大型建设工程、重点工程和重点文物保护工程;
(二)新建、改建、扩建的危险化学品、民爆物品和易燃物品生产、输送、储存工程;
(三)高度超过50米或者单体建筑面积超过2万平方米或者群体面积超过30万平方米的建(构)筑物;20层(不含20层)以上居住建筑;
(四)大型体育场馆、医院、学校、商场和旅游景点等人员密集场所;
(五)其他需要进行雷电灾害风险评估的建(构)筑物、场所和设施。
第七条雷电灾害风险评估应当由建设单位委托防雷减灾专业机构(以下简称评估机构)进行,并签订服务协议。
第八条评估机构应当在接受委托后按照国家、省相关规定和技术标准编制建设工程雷电灾害风险评估报告,并对评估结论负责。
第九条评估机构进行雷电灾害风险评估,应当使用气象主管机构所属气象台站直接提供的气象资料或者经过当地气象主管机构审查的气象资料。
第十条雷电灾害风险评估报告应当包括下列内容:
(一)建设工程概况;
(二)评估所依据的标准、规范、规程和方法;
(三)评估所用数据代表性、可靠性说明;
(四)建设工程所在区域的气候背景、雷电环境分析;
(五)雷电灾害风险性分析,极端雷击事件出现概率;
(六)预防或者减轻影响的措施和建议;
(七)其他需要报告的事项。
第十一条市气象主管机构应当组织专家对雷电灾害风险评估报告进行评审。评审可以采取书面评审或者会议评审的方式进行。
长安区、临潼区及市辖县行政区域内雷电灾害风险评估报告的评审工作,由所在地区县气象主管机构组织实施。
雷电灾害风险评估报告应当经过专家评审后方可使用。经评审通过的雷电灾害风险评估报告不得随意更改。
第十二条需要进行雷电灾害风险评估的建设项目,建设单位在申请防雷设计审核时应当提供符合规定的雷电灾害风险评估报告。
雷电灾害风险评估报告作为建设工程防雷装置设计审核的依据。不能提供符合规定的雷电灾害风险评估报告的,气象主管机构不予受理防雷设计审核申请。
第十三条建设单位应当配合气象主管机构和评估机构做好雷电灾害风险评估工作,自觉接受当地气象主管机构的监督管理。
第十四条建设单位违反本办法规定,应当进行雷电灾害风险评估而拒不评估的,由所在地气象主管机构给予警告并限期责令改正。
第十五条气象主管机构和评估机构工作人员在雷电灾害风险评估工作中滥用职权、徇私舞弊、玩忽职守的,由所在单位依法给予行政处分;构成犯罪的,依法追究刑事责任。
第十六条本办法自20xx年2月11日起施行。
雷电灾害风险评估的分类1、项目预评估是根据建设项目初步规划的建筑物参数、选址、总体布局、功能分区分布,结合当地的雷电资料、现场的勘察情况,对雷电灾害的风险量进行计算分析,给出选址、功能布局、重要设备的布设、防雷类别及措施、风险管理、应急方案等建议,为项目的可行性论证、立项、核准、总平规划等提供防雷科学依据。
关键词:风险导向;审计;烟草企业
中图分类号:F23文献标识码:Adoi:10.19311/ki.16723198.2016.19.052
1风险导向审计的概念和现状调查
1.1风险导向审计模式的中心思想
风险导向审计的基本理念是:审计人员在整个审计过程中,自始至终都关注企业的风险。根据风险确定审计范围和重点,以减少风险为导向,对企业风险管理、内部控制和公司治理程序进行评价内容,协助企业管理风险,实现企业价值的保证和咨询活动。这要求对企业及其所处的环境非常了解,除内部环境外,还要综合考虑各项外部环境,如行业状况、专卖制度、整体禁烟制度等各种外部环境,在此基础上评估重大错报风险,并将对风险的这种评价与审计程序紧密的联系起来,以尽可能的降低审计风险。同时还可以根据风险为导向,将审计资源恰当地分配到高风险领域,降低审计成本,提高审计质量与效率。
1.2现代风险导向审计是传统审计的发展和延续
风险导向审计分为两个阶段,传统风险导向审计和现代风险导向审计,传统审计风险模型认为审计风险=固有风险×控制风险×检查风险,在该模型中,假定固有风险、控制风险和检查风险是相互独立的。但企业内部和外部环境都影响内在风险和控制风险,而且它们之间也相互影响。内在的风险概念的内涵和外延不一致,与逻辑也不一致。固有风险是假设没有内部控制,帐户或交易类别单独或连同其他账户,交易类型产生重大错报或漏报的可能性。并且我们必须从内部控制(控制环境)来评估固有的风险(及会计报表层次的)。固有风险的内涵和外延不一致性使得传统风险导向审计模式的科学性受到了极大的破坏。
1.3风险导向审计在我国企业中应用的现状
中国内部审计协会了《内部审计具体准则第16号――风险管理审计》,对内部审计在风险管理中的应用进行探讨;要求我国企业的内部审计要关注风险,以风险为导向开展审计。但是由于起步较晚,到目前为止大多数企业在风险管理的机制和程序方面还未建立起完整的组织体系,在烟草企业这一点更加明显,存在较为突出的治理结构问题,缺乏独立的风险管理部门。虽然各部门和岗位在不断加强风险诊断、评估和应急预案等内容,但实际对风险管理的层次和水平都较低,在考核和激励机制中也未明确提出全面风险管理的内容。目前绝大部分单位制定的风险防控等内容都对实际工作没有太多指导意义,还停留在廉政、职务犯罪、安全管理等低端层面上,未能将风险管理上升到企业发展的战略高度。
2烟草行业实行风险导向审计的模式
2.1开展以现代风险导向为基础的内部审计
从账项基础审计到制度基础审计到传统风险导向审计再到现代风险导向审计,每一个审计阶段的变革都极大的提高了审计效率,降低审计成本。
(1)计划和风险识别阶段主要是完成一些审前工作,对于一个公司的内部审计来说,全年计划的制定均应隶属该阶段,计划制定需按照风险大小进行安排,其核心和难点是如何量化的评估企业的潜在风险。一般的做法是从风险发生的概率、风险发生的影响、风险覆盖面、企业控制能力等多个维度建立风险评价标准,最终将各方面数据相乘得出各风险点的最终影响,按照风险的大小排序制定全年工作计划。
在每一次审计前也同样需要预先了解企业整体层面的内部控制和识别舞弊导致的重大错报风险并确定应对措施,从而确定审计范围和项目小组成员名单,初步判断审计的重点内容。该阶段要求审计人员对企业内外部环境非常熟悉,并在此基础上根据慎重的职业判断,确定后阶段所需关注的重点。
(2)策略和风险评估阶段需要在前期识别重大错报风险的基础上,对相关业务流程抽取业务样本执行穿行测试,尤其注重信息系统整体应用控制方面,根据穿行测试的结果判断出需要关注的内控制度,作出综合风险评估。根据评估的结果设计出专项的控制测试、日记账分录测试、其他强制性舞弊应对程序以及实质性审计程序等内容,并列出一般审计程序的方案。在这过程中,相关的策略讨论、会议记录等需详细记录,为日后重新调整综合风险评估和复核判断检查风险提供依据。
穿行测试是判断确定风险导向的重要依据,比如在罚没烟管理方面,我们可以抽取其中两笔罚没项目,模拟从查获卷烟到最终卷烟处理的全过程,判断中间流转过程是否可能存在风险,如可能存在卷烟被调包、假烟未实际销毁等内控方面漏洞。这些漏洞就是我们应当重点关注的内容,据此作出综合风险评估,并针对它们设计出相应的专项控制测试等审计方案。
(3)执行阶段即为现场审计阶段,该阶段要执行前期设计的相关测试以及一般审计程序,在测试过程中,根据测试的结果不断重新评价企业的综合风险评估,及时更新相关测试内容,调整审计方案。审计方案的调整应当伴随整个审计过程,与风险的导向密切相关。每个项目的审计方案都应是完全独立的、与其他项目完全不同的,最终审计方案的定稿应在项目结束后。
(4)结论和报告阶段主要是对前期工作的总结,根据各项测试的结果得出企业是否存在舞弊的结论,出具审计报告,对内控不足的方面提出相关意见和建议并加强事后整改监督,完成项目的归档工作。
2.2风险导向审计与内控制度相结合的模式
内部控制与公司治理有着密切的联系,在统一的风险管理中,风险导向内部审计可以更好地结合这两个方面。现代内部控制的功能是在公司各级管理活动中建立了风险管理机制,为目标企业的实现提供了强有力的保证,而风险导向内部审计的功能是以风险为出发点,通过对内部控制相关的活动的测试进行相关反馈,来确定内部控制系统的有效性,从而促进内部控制的持续改进。两者的结合将能够建立一个以风险评估为导向,以内部控制为主线,以公司治理为目标的内部控制体系,帮助组织实现其目标。
风险导向审计与内控制度均基于风险导向,要使两者结合首先在企业要树立全面风险管理的理念,把风险管理整合到企业各个业务流程中去,建立起以风险导向为基准的内控制度,通过风险的预警、分析、评估等措施,对企业的风险进行全面防范和控制。在内部审计过程中,内审人员通过各种测试对内控的有效性进行评判,对相关内控不足的方面提出审计意见和建议,敦促企业对相关内控制度进行不断修订完善,从而促进企业风险管理水平的改善和提高。
比如涉及到县级局(分公司)的风险点包括:教育培训管理控制、人事管理控制、零售户星级调整管理、专卖办证管理控制、专卖执法办案控制、卷烟仓储管理控制、档案管理控制、安全综合管理控制、事故管理控制、消防管理控制、防自然灾害管理控制、车辆管理控制、环境卫生管理控制、固定资产管理控制、设备维护管理控制、配送管理控制、信息系统日常维护管理控制、财务管理及会计核算控制等,企业管理的目标就是对所有风险点制定相应的内部控制制度,有效的防止其中出现舞弊或过失。而内部审计部门可以按照内控制度进行相应的测试,判断是否会出现其他的风险,从而对内控制度进行评价,帮助企业进一步完善相应的内控制度,提升整体的管理水平。
3风险导向审计在烟草企业中运用所面临的挑战
3.1风险机制不健全且内部审计实施风险管理的力度不够
经过多年的改革,大部分烟草企业已设立了兼职的风险管理机构,甚至个别企业还有转职的风险管理机构,但由于整体风险意识较差,企业的风险管理活动往往是按照质量管理体系的基本要求进行,缺少日常的风险管理活动,也未主动实施风险的预测、评估与监控,往往在风险事件发生之后,才针对风险设定出今后的应对措施,对实际工作指导意义不强,很难满足现代企业风险管理的需求。
3.2大型国有企业转型缓慢,改革难度较高
中国烟草作为有中国特色的大型国有企业,一直在专卖体制的庇护下运营,受国家宏观调控政策的影响非常大,但对风险的管理意识较差;另一方面受体制的影响,管理者与所有者容易混为一谈,这些在某种程度上都提高了企业的重大错报风险。在烟草企业推行风险导向内部审计将会很好的保障企业正常运营,提高企业发展与管理的前瞻性,有利于企业的长期发展。但正是由于国有企业规模巨大改革缓慢,国家特定政策调控频繁,管理者易凌驾于内控制度之上等特点,使得在烟草企业推行风险导向审计的难度较其他企业更加困难,需要上层领导的重视与支持,这将是一个漫长的改革过程。
3.3内审人员的专业素质有待进一步提高
风险导向审计对审计人员的素质要求较高,不仅要求审计人员拥有财务、营销、专卖、管理等多方面专业知识,关键还要有较高的风险分析能力,有专业的判断能力和丰富的实践经验。烟草企业自2009年实行审计委派制以来,全国的内审人员专业素质方面有了极大的提高,但专业结构并不合理,基本集中在财务会计和工程管理等专业方面,在企业经营管理方面有所欠缺,这样的专业水平无法适应风险导向审计开展的要求;理念转变不及时,缺乏风险管理意识,很少考虑审计风险控制因素,更谈不上运用风险导向为基础的审计模式;缺乏对审计方法和经验的总结和提炼,审计的模式主要是查找问题为主,查出足够的问题即可认为是完成了审计目标,统计抽样技术运用欠缺,过多的凭借内审人员的主观判断和经验而不是应用系统的抽样方法。
3.4审计过程中所需的信息技术不足
现代风险导向审计的一个重要特征是审计重心的推进,审计人员不仅需要对内部控制系统的会计信息进行评价,更要对企业宏观环境、行业环境、战略发展、组织形式等各方面的影响因素进行评估,然后根据不同的风险领域,设计个性化的审计程序。因此,企业必须拥有强大的信息系统,以便内审人员在风险评估时及时掌握所需要的各种信息。烟草企业自2010年开始试点运行在线审计系统,将各公司的基本信息、会计资料纳入其中,便于内审人员查询被审单位的相关信息,同时在软件中整合了部分抽样模式和自动分析技术,这些都为风险导向审计的实施提供了有力的保证。经过6年的发展,软件也在逐步被大家所接受,应用率不断提高。但该软件目前仍存在诸多问题,在日常烟草企业的各项审计中,该软件更多的只是作为撰写底稿提交主审复核的工具,部分功能的缺少或高端功能的培训不足,使得软件无法真正发挥其应有的作用,还需要较长的调整磨合过程。
参考文献
[1]蒋文娇.风险导向审计在企业管理中的应用[J].财会审计,2011,(11).
关键词:审计风险准则风险导向重大错报风险风险评估审计证据
一、前言
2006年财政部颁布了《中国注册会计师执业准则》,标志着我国在建立适应社会主义市场经济发展要求,顺应国际趋同新形势的道路上迈进了一大步。为了更好地指导注册会计师有效地识别、评估和应对审计风险,准则框架体系全面渗透着风险导向审计的理念,要求注册会计师将风险导向审计的观念贯穿于审计全过程。传统审计方法的主要缺陷在于注册会计师重视被审计单位的内部环境,但忽视其所处的外部环境;重视审计单位的控制风险但忽视其固有风险。事实上我国注册会计师面临的情形是被审计单位及其所处环境的日趋复杂。行业状况、法律环境与监管环境以及其他外部因素,都会对注册会计师审计质量产生重大影响。在复杂环境下或被审计单位内部控制不健全时,如果继续采用传统审计模式,局限于控制测试和实质性测试,把审计的主要资源集中在具体交易事项和余额细节测试上。极易引发审计风险。因此,新执业准则要求注册会计师了解被审计单位及其内外部环境,同时注重检查风险和固有风险(即重大错报风险),重点关注存在重大错报风险的领域,达到避免触发审计风险的目的。新执业准则体系的核心内容为以下准则,简称审计风险准则,分别为:《中国注册会计师执业准则第1101号――财务报表审计的目标和一般原则》(以下简称第1101号准则,下同)、《中国注册会计师执业准则第1211号――了解被审计单位及其环境并评估重大错报风险》、《中国注册会计师执业准则第1231号――针对评估的重大错报风险实施的程序》、《中国注册会计师执业准则第1301号――审计证据》。
二、审计风险准则修订的主要内容
(一)第1101号准则第1101号准则是在借鉴国际审计与鉴证准则第200号的基础上,对原《独立审计准则第1号――会计报表审计》进行修订而形成的。其主要内容有:会计责任和审计责任、审计的目标、审计范围、职业怀疑态度、审计风险及模型。(1)明确区分注册会计师的责任,公司管理层和治理层的责任。新准则规定,对财务报表发表审计意见是注册会计师的责任;在被审计单位治理层的监督下,按照适用的会计准则和相关会计制度的规定编制财务报表是被审计单位管理层的责任。此外,准则条款还特别强调了财务报表审计不能减轻被审计单位管理层和治理层的责任。(2)明确财务报表审计目标。新准则规定,财务报表审计的目标是注册会计师通过执行审计工作,对财务报表的下列方面发表审计意见:财务报表是否按照适用的会计准则和相关会计制度的规定编制;财务报表是否在所有重大方面公允反映被审计单位的财务状况、经营成果和现金流量。这个规定与原有的规定没有太大区别,但是新准则中明确提出,财务报表审计属于鉴证业务,注册会计师的审计意见旨在提高财务报表的可信赖程度。(3)修订审计范围的定义。新准则指出,财务报表的审计范围是指注册会计师为实现财务报表审计目标,根据审计准则和职业判断实施的恰当的审计程序的总和。在确定拟实施的审计程序时,注册会计师应当遵守与财务报表审计相关的各项审计准则。恰当的审计程序是指审计程序的性质、时间和范围是恰当的。一是审计程序的性质指审计程序的目的和类型。目的包括:通过了解被审计单位及其环境,识别、评估重大错报风险;通过实施控制测试,明确内部控制运行的有效性;通过实施实质性程序,发现认定层次的重大错报。类型则包括检查、观察、询问、函证、重新计算、重新执行和分析程序。二是审计程序的时间是指注册会计师何时实施审计程序,或指审计证据适用的期间或时点。三是审计程序的范围是指实施审计程序的数量,包括抽取的样本量,对某项控制活动的观察次数等。审计范围受到限制是指由于客观原因或者被审计单位施加的限制,注册会计师未能实施根据审计准则和职业判断应当实施的审计程序,从而未能获取充分、适当的审计证据。(4)要求注册会计师在审计过程中始终保持职业怀疑态度,并明确在财务报表审计中注册会计师只能提供合理保证。新准则要求,在计划和实施审计工作时,注册会计师应当保持职业怀疑态度,充分考虑可能存在导致财务报表发生重大错报的情形。新准则指出,注册会计师按照审计准则的规定执行审计工作,能够对财务报表整体不存在重大错报获取合理保证。由于审计中存在的固有限制影响注册会计师发现重大错报的能力,注册会计师不能对财务报表整体不存在重大错报获取绝对保证,即只能提供合理保证。(5)引进新的审计模型。新准则对审计风险模型作了重大改变,将原审计风险模型修正为:审计风险:重大错报风险x检查风险,审计风险取决于重大错报风险和检查风险,是两者的综合风险。重大错报风险要求注册会计师站在风险的高度上把握审计过程,以风险为导向进行审计,强化了风险意识,注册会计师对于重大错报风险的评估贯穿于审计的整个过程。改变后的审计风险模型使得注册会计师从更高的层次上把握重大错报风险,要求注册会计师必须了解被审计单位及其环境(包括内部控制),以充分识别和评估财务报表重大错报风险,并针对评估的重大错报风险设计和实施进一步审计程序(包括控制测试和实质性测试),以降低注册会计师的审计风险。在目前经济不确定性增大的环境下,显然新的审计风险模型更能满足风险控制的要求,并且可操作性较强。
(二)第1211号准则第1211号准则是在借鉴国际审计与鉴证准则第315号基础上出台的新准则,将取代我国原有的《独立审计准则第21号――了解被审计单位情况》、《独立审计准则第9号――内部控制与审计风险》和《独立审计准则第20号――计算机信息系统环境下的审计》,以克服旧准则相互分离、缺乏有机融合的缺陷。根据《中国注册会计师审计准则第1101号――财务报表审计的目标和一般原则》要求,注册会计师在审计过程中应当贯彻风险导向审计的理念,围绕重大错报风险的识别、评估和应对,计划和实施审计工作。其中如何识别和评估重大错报风险,构成了注册会计师应对重大错报风险的前提。注册会计师如何了解被审计单位及其环境,了解哪些具体的内容,了解后如何对重大错报风险进行评估,如何将了解和评估的过程、结果与管理层和治理层进行沟通,在审计工作底稿中应当对哪些内容进行记录,本准则对这些问题做了明确规范,其修订的主要内容有:(1)注册会计师审计的总体要求:了解被审计单位及其环境是必要程序;了解的目的是识别和评估财务报表重大错报风险,设计和实施进一步审计程序;了解的程度应当足够实现了解的目的。与独立审计准则中的规定不同,了解被审计单位及其内外部环境是注册会计师审计过程中必须实施的程序,
也是风险导向审计的核心。(2)风险评估程序的概念及项目组内部讨论的要求。风险评估程序是指为了解被审计单位及其环境而实施的程序。风险评估程序包括:询问被审计单位管理层和内部其他相关人员;分析程序;观察和检查。注册会计师在了解被审计单位及其环境的整个过程中,结合了解的内容和被审计单位业务的特点运用相应的风险评估程序,并利用风险评估程序所获取的信息评估重大错报风险,并可能随着不断获取审计证据而作出相应的变化。如果通过实施进一步审计程序获取的审计证据与初始评估获取的审计证据相矛盾,注册会计师应当修正风险评估结果,并相应修改原计划实施的进一步审计程序,实施风险评估程序之后项目组内部必须进行讨论。注册会计师通过风险评估程序了解被审计单位及其环境后,需要对财务报表重大错报风险进行评估,评估重大错报风险需要运用专业判断,必须由项目组内部讨论来完成,项目组内部讨论可以有效降低审计风险。在原准则中,评估固有风险、控制风险也需要专业判断,但并没有需要项目组共同讨论的规定。一是讨论的目标。项目组通过讨论可以使成员更好地了解在各自分工负责的领域中,由于舞弊或错误导致财务报表重大错报地可能性,并了解各自实施审计程序的结果如何影响审计的其他方面,包括对确定进一步审计程序的性质、时间和范围的影响。二是讨论的内容。项目组应当讨论被审计单位面临的经营风险、财务报表容易发生错报的领域以及发生错报的方式,特别是由于舞弊导致重大错报的可能性。三是参与讨论的人员。注册会计师应当运用职业判断确定项目组内部参与讨论的成员。项目组的关键成员应当参与讨论,如果项目组需要拥有信息技术或其他特殊技能的专家,这些专家也应当参与讨论。项目组的讨论不要求所有成员每次都参与讨论,参与讨论人员的范围受项目组成员的职责、经验和信息需求的影响。四是讨论的时间和方式。项目组应当根据审计的具体情况,在整个审计过程中,持续交换有关财务报表发生重大错报可能性的信息。项目组在讨论时应当强调在整个过程中保持职业怀疑态度,警惕表明舞弊或错误导致的重大错报可能已经发生的信息或其他迹象,并对这些迹象进行追踪。通过讨论,项目组成员可以交流和分享在整个审计过程中获得的信息,包括可能对重大错报风险评估产生影响的信息或有关针对风险实施的审计程序的信息。(3)注册会计师应尽到的相关职责。对注册会计师应当从哪些方面了解被审计单位及其环境作了详细的定义:行业状况、法律环境与监管环境以及其他外部因素;被审计单位的性质;被审计单位对会计政策的选择和运用;被审计单位的目标、战略以及相关经营风险;被审计单位财务业绩的衡量和评价;被审计单位的内部控制。这些内容是新准则的重要内容,值得注意的是对被审计单位的了解不仅局限于被审计单位的内部控制。对以上新准则中有相应的章节进行具体的阐述,使得注册会计师思考的是究竟哪些方面去了解被审计单位,而不像原有准则中是比较模糊的概念,这样做可以有效防止了解的不彻底影响审计工作,低估重大错报风险。(4)明确了注册会计师了解内部控制的定位。注册会计师需要了解和评价的内部控制只是与财务报表审计相关的内部控制,并非被审计单位所有的内部控制。因为注册会计师审计的目标是对财务报表是否不存在重大错报发表审计意见,注册会计师考虑与财务报表编制相关的内部控制,但目的并非对被审计单位内部控制的有效性发表意见。(5)明确了注册会计师评估两个层次的重大错报风险。在对重大错报风险进行识别和评估后,注册会计师应当确定识别的重大错报风险是与特定的各类交易、账户余额、列报的认定相关,还是与财务报表整体广泛相关,进而影响多项认定。某些重大错报风险可能与特定的各类交易、账户余额、列报的认定相关。如被审计单位存在复杂的联营或合资,这一事项表明长期股权投资账户的认定可能存在重大错报风险。又如被审计单位存在重大的关联方交易,该事项表明关联方及关联方交易的披露认定可能存在重大错报风险。某些重大错报风险可能与财务报表整体广泛相关,进而影响多项认定。如在经济不稳定的国家和地区开展业务、资产的流动性出现问题、重要客户流失、融资能力受到限制等,可能导致注册会计师对被审计单位的持续经营能力产生重大疑虑。又如管理层缺乏诚信或承受异常的压力可能引发舞弊风险,这些风险与财务报表整体相关。(6)提出了特别风险的概念,需要特别考虑的重大错报风险即为特别风险,并根据风险的性质、潜在错报的重要程度和发生的可能性判断风险是否属于特别风险。如风险是否属于舞弊风险;交易的复杂程度;风险是否涉及重大的关联方交易等。(7)提出了对仅通过实质性程序无法应对的重大错报风险的处理方法。仅通过实质性程序获取的审计证据无法将认定层次的重大错报风险降至可接受的低水平,注册会计师应当评价被审计单位针对这些风险设计的控制,并确定其执行情况。在被审计单位对日常交易采用高度自动化处理的情况下,审计证据可能仅以电子形式存在,其充分性和适当性通常取决于自动化信息系统相关控制的有效性,注册会计师应当考虑仅通过实施实质性程序不能获取充分、适当审计证据的可能性。如果认为仅通过实施实质性程序不能获取充分、适当的审计证据,注册会计师应当考虑依赖的相关控制的有效性,并对其进行了解、评估和测试。(8)将了解被审计单位及其环境过程中获得的信息记录与工作底稿中。此类信息包括项目组对由于舞弊或错误导致财务报表发生重大错报的可能性进行的讨论,以便得出的重要结论;对被审计单位及其环境各个方面的了解要点、信息来源以及实施的风险评估程序;在财务报表层次和认定层次识别、评估出的重大错报风险;识别出的特别风险和仅通过实质性程序无法应对的重大错报风险,以及对相关控制的评估。
(三)第1231号准则第1231号准则是在借鉴国际审计与鉴证准则第330号的基础上出台的一个全新的准则,将取代原有的《第21号――了解被审计单位情况》、《第9号――内部控制与审计风险》和《第20号――计算机信息系统环境下的审计》。根据《中国注册会计师审计准则第1101号――财务报表审计的目标和一般原则》的要求,注册会计师在审计过程中应当贯彻风险导向审计的理念,围绕重大错报风险的识别、评估和应对,计划和实施审计工作。其中《第1211号――了解被审计单位及其环境并评估重大错报风险》规范了注册会计师通过实施风险评估程序,识别和评估财务报表层次以及各类交易、账户余额、列报认定层次的重大错报风险,注册会计师针对已评估的财务报表层次的重大错报风险如何确定总体应对措施,针对已评估的认定层次的重大错报风险如何设计和实施进一步审计程序,进一步审计程序的性质、时间、范围如何确定和实施,如何评价实施审计程序收集的审计证据的充分性和适当性,在审计工作底稿中将对哪些审计工作进行记录等,对这些问题的明确规范是第1231号准则的核心内容。其修订的主要内容有:总体要求、针对重大错报风险的总体反应、审计程序的不可预见性、总体方案和进一步审计程序、控制测试的相关要求、实质性程序及相关要求、审计的相关要求、审计工作记录。(1)明确提出了对注册会计师审计的两个总体要求:审计程序的总体要求,注册会计师应
当对评估的财务报表层次重大错报风险确定总体应对措施,并针对评估的认定层次重大错报风险设计和实施进一步审计程序;职业判断的总体要求,注册会计师在确定总体应对措施以及设计和实施进一步审计程序的性质、时间和范围时应当运用职业判断。(2)首次提出了注册会计师应当针对评估的财务报表层次重大错报风险确定下列总体应对措施:向项目组强调在收集和评价审计证据过程中保持职业怀疑态度的必要性;分派更有经验或具有特殊技能的审计人员,或利用专家的工作;提供更多的督导;在选择进一步审计程序时,应当注意使某些程序不被管理层预见或事先了解;对拟实施审计程序的性质、时间和范围作出总体修改。(3)强调审计程序的不可预见性要求。注册会计师针对评估的财务报表层次重大错报风险确定的总体应对措施中强调增强审计程序的不可预见性,因此,注册会计师在设计拟实施审计程序的性质、时间和范围时,为了避免既定思维对审计方案的限制,避免对审计效果的人为干涉,从而使得针对重大错报风险的进一步审计程序更加有效,注册会计师要考虑使某些程序不被审计单位管理层预见或事先了解。(4)首次提出了两种总体方案和进一步审计程序的概念。两种总体方案分别为实质性方案和综合性方案,实质性方案是指注册会计师实施的进一步审计程序以实质性程序为主;综合性方案是指注册会计师在实施进一步审计程序时,将控制测试与实质性程序结合使用。而所谓的进一步审计程序是相对风险评估程序而言的,是注册会计师针对评估的各类交易、账户余额、列报认定层次重大错报风险实施的审计程序,包括控制测试和实质性程序。(5)重新界定了注册会计师实施控制测试的两种情形,当存在下列情形之一时,注册会计师应当实施控制测试:在评估认定层次重大错报风险时,预期控制的运行时有效的;仅实施实质性程序不足以提供认定层次充分、适当的审计证据。(6)强调了实施控制测试获取审计证据的重要性。即认为仅实施实质性程序获取的审计证据无法将认定层次重大错报风险降至可接受水平,注册会计师应当实施相关的控制测试,以获取控制运行有效性的审计证据。(7)增加了“重新执行”的控制测试取证方法。根据第1301号审计证据准则,注册会计师获取审计证据的具体程序中将六种具体的取证方法修改为八种,即检查记录或文件;检查有形资产;观察;询问;函证;重新计算;重新执行;分析程序。其中增加了“重新执行”控制测试的取证方法。(8)严格限制了注册会计师无限期或过长时间内不实施测试的做法。如果拟信赖的控制自上次测试后未发生变化,且不属于旨在减轻特别风险的控制,注册会计师应当运用职业判断确定是否在本期审计中测试其运行有效性,以及本次测试与上次测试的时间间隔,但两次测试的时间间隔不得超过两年。(9)首次明确区分“控制运行的有效性”与“控制是否得到执行”。注册会计师在了解被审计单位及其环境时需要实施风险评估程序。注册会计师在确定控制是否得到执行而实施的某些风险评估程序可能提供有关控制运行有效性的审计证据。注册会计师可以考虑在评价控制设计和获取其得到执行的审计证据的同时测试控制运行有效性,以提高审计效率。两者的区别如(表1)所示。(10)首次明确期中进行控制测试的考虑。如果注册会计师在期中实施控制测试程序,即使注册会计师已获取有关控制在期中运行有效性的审计证据,仍然需要考虑如何能够将控制在期中运行有效性的审计证据合理延伸至期末,以确保针对期中至期末这段剩余期间获取充分、适当的审计证据。如果已获取有关控制在期中运行有效性的审计证据,并拟利用该证据,注册会计师应当实施下列审计程序:首先,获取这些控制在剩余期间变化情况的审计证据。针对期中已获取过审计证据的情况,如果这些控制在剩余期间没有发生变化,注册会计师可能决定信赖期中获取的审计证据;如果这些控制在剩余期间发生了变化,注册会计师需要了解并测试控制的变化对期中审计证据的影响。其次,确定针对剩余期间还需获取的补充审计证据。针对期中已获取过审计证据的情况,如果这些控制在剩余期间发生了变化,注册会计师应当考虑下列因素:评估的认定层次重大错报风险的重大程度。评估的重大错报风险对财务报表的影响越大,注册会计师需要获取的剩余期间的补充证据越多;在期中测试的特定控制。如对自动化运行的控制,注册会计师更可能测试信息系统一般控制的运行有效性,以获取控制在剩余期间运行有效姓的审计证据;在期中对有关控制运行有效性获取的审计证据的程度。如果注册会计师在期中对有关控制运行有效性获取的审计证据比较充分,可以考虑适当减少需要获取的剩余期间的补充证据;剩余期间的长度。剩余期间越长,注册会计师需要获取的剩余期间的补充证据越多;在信赖控制的基础上拟减少进一步实质性程序的范围。注册会计师对相关控制的信赖程度越高,通常在信赖控制的基础上拟减少进一步实质性程序的范围就越大。在这种情况下,注册会计师需要获取的剩余期间的补充证据越多;控制环境。在注册会计师总体上拟信赖控制的前提下,控制环境越薄弱(或把握程度越低),注册会计师需要获取的剩余期间的补充证据越多。(11)明确了实质性程序概念和内容。实质性程序是指注册会计师针对评估的重大错报风险实施的直接用以发现认定层次重大错报的审计程序。包括对各类交易、账户余额、列报的细节测试以及实质性分析程序。(12)明确了对于特别风险的专门应对程序。如果认为评估的认定层次重大错报风险是特别风险,注册会计师应当专门针对该风险实施实质性程序;如果针对特别风险仅实施实质性程序,注册会计师应当使用细节测试,或将细节测试和实质性分析程序结合使用,以获取充分、适当的审计证据。(13)首次提出了是否在期中实施实质性程序。注册会计师如果在期中实施了实质性程序,仍然需要消耗进一步的审计资源使期中审计证据能够合理延伸至期末,注册会计师应当考虑是否在期中实施实质性程序。(14)指明了财务报表审计是一个累计和不断修正的过程。随着计划的审计程序的实施,如果获取的信息与风险评估时依据的信息有重大差异,注册会计师应当考虑修正风险评估结果,并据以修改原计划的其他审计程序的性质、时间和范围。(15)明确了注册会计师应当针对评估的风险设计细节测试。如在针对存在或发生认定设计细节测试时,注册会计师应当选择包含在财务报表金额中的项目,并获取相关审计证据;针对完整性认定设计细节测试时,注册会计师应当选择有证据表明应包含在财务报表金额中的项目,并调查这些项目是否确实包括在内。(16)明确了审计工作记录要求。注册会计师应当针对评估的重大错报风险实施的程序进行充分的审计工作记录。包括记录:对评估的财务报表层次重大错报风险采取的总体应对措施;实施进一步审计程序的性质、时间和范围;实施进一步审计程序与评估的认定层次重大错报风险的联系;实施进一步审计程序的结果。
(四)第1301号准则第1301号准则是在借鉴国际审计与鉴证准则第500号的基础上,对我国原有的《独立审计准则第5号――审计证据》进行修订而形成的。此次重大修订的内容有:(1)拓展了审计证据的内涵。原审计证据准则将审计证据定义为“注册会计师在执行审计业务过程中,为形成审计意见所获取的证据”。原审计证据准则对审计证据的内涵界定比较窄,注册会计师收集
的审计证据更多体现的是与财务报表会计记录相关的信息。修订后审计证据准则将审计证据定义为“注册会计师为了得到审计结论、形成审计意见而使用的所有信息”。新审计证据准则对审计证据的内涵要宽泛得多,不仅包括与财务报表会计记录相关的信息,还包括其他信息。如(图1)所示。
其中,第一类审计证据是“财务报表依据的会计记录中含有的信息”。会计记录中含有的信息是最基本信息。构成了财务报表最主要的内容,一般包括对初始分列的记录和支持性记录,如支票、电子资金转账记录、发票、合同、总账、明细账、记账凭证和未在记账凭证中反映的对财务报表的其他调整,以及支持成本分配、计算、调节和披露的手工计算表和电子数据表。第二类审计证据是“其他信息”。其他信息是用来印证会计记录中含有的信息是否真实、完整,指导注册会计师如何识别、评估财务报表重大错报风险,一般包括:注册会计师从被审计单位内部或外部获取的会计记录以外的信息,如被审计单位会议记录、内部控制手册、函证函的回函、分析师的报告、与竞争者的比较数据等;通过询问、观察和检查等审计程序获取的信息,如通过检查存货获取存货存在性的证据等;自身编制或获取的可以通过合理推断得出结论的信息,如注册会计师编制的各种计算表、分析表等。(2)引进了“认定”的概念。原审计证据准则未将“认定”写进准则,整个审计准则体系对“认定”概念重视不够,新审计证据准则引入“认定”概念,并要求注册会计师详细运用认定指导具体审计目标,根据具体审计目标来设计和确定进一步审计程序。(3)将获取审计证据的程序区分为总体程序和具体程序。原审计证据准则只列了六种具体的取证方法。修订后的审计证据准则将注册会计师获取审计证据的程序区分为总体程序和具体程序,总体程序增加了风险评估程序,即包括风险评估程序、控制测试和实质性程序;具体程序中将六种具体的取证方法修改为八种,具体包括的内容前文已述及。其中,将“监盘”程序进行细分,因为“监盘”是“检查记录或文件”、“检查有形资产”、“观察”等具体审计程序的复合程序;增加“重新执行”具体程序;将原来的“计算”和“分析性复核”分别修改为“重新计算”和“分析程序”。(4)新增风险评估程序。根据风险导向审计准则体系的要求,注册会计师应当通过了解被审计单位及其环境识别重大错报风险,并针对评估的重大错报风险设计和实施进一步的审计程序,因此,在修订后的审计证据准则中增加“风险评估程序”,以此为手段通过了解情况作为评估财务报表层次和认定层次重大错报风险的基础。但风险评估程序并不能识别出所有的重大错报风险,虽然它可作为评估财务报表层次和认定层次重大错报风险的基础,但并不能为发表审计意见提供充分、适当的审计证据。为了获取充分、适当的审计证据,注册会计师还需要实施进一步程序,包括实施控制测试(必要时或决定测试时)和实质性程序。(5)新增“重新执行”的具体审计程序。重新执行是指注册会计师以人工方式或使用计算机辅助审计技术,重新独立执行作为被审计单位内部控制组成部分的程序或控制。如注册会计师利用被审计单位的银行存款日记账和银行对账单,重新编制银行存款余额调节表,并与被审计单位编制的银行存款余额调节表进行比较。
三、审计风险准则对注册会计师的影响
(一)对注册会计师审计理念的影响注册会计师审计的主线始终是对重大错报风险的识别、评估与应对。注册会计师为了实现审计目标。在计划和实施审计工作时,应当保持职业怀疑态度,充分考虑可能导致会计报表发生重大错报的情形。在审计和实施进一步审计程序时,注册会计师应当将审计程序的性质、时间及范围与识别和评估的风险相联系,以防止机械利用程序表从形式上迎合独立审计准则对审计程序的要求。注册会计师必须针对重大的各类交易、账户余额、列报和披露实施实质性测试。注册会计师对重大错报风险评估是一种判断,并且内部控制存在固有限制,无论评估的重大错报风险结果如何,注册会计师必须针对重大的各类交易、账户余额、列报和披露实施实质性程序,不得将实质性测试只集中在例外事项上。