传统审计风险模型是由美国注册会计师协会(AICPA)1983年提出的。该模型(审计风险=固有风险×控制风险×检查风险)可以解决交易类别、账户余额、披露和其他具体认定层次的错报,发现经济交易和事项本身的性质和复杂程度发生的错报,发现企业管理当局由于本身的认知和技术水平造成的错报,以及企业管理当局局部和个别人员舞弊和造假造成的错报。从而将审计风险(此时体现为检查风险)控制在比较满意的水平。但如果存在企业高层通同舞弊、虚构交易,也就是战略和宏观层面的风险,运用该模型便会捉襟见肘了。现代风险导向审计以被审计单位的战略经营风险分析为导向进行审计。因此又被称为经营风险审计,或被称为风险基础战略系统审计。现代风险导向审计按照战略管理论和系统论,将由于企业的整体经营风险所带来的重大错报风险作为审计风险的一个重要构成要素进行评估,是评估审计风险观念、范围的扩大与延伸,是传统风险导向审计的继承和发展。在该理论的指导下,国际审计和鉴证准则委员会(IAASB)了一系列新的审计风险准则,对审计风险模型重新描述为:审计风险=重大错报风险×检查风险(IAASB,2003)。由此,我们可以将目前审计执业界普遍使用的审计风险模型称之为传统审计风险模型,而将新模型称之为现代审计风险模型。
现代审计风险模型的发展
现代审计风险模型在传统审计风险模型的基础上进行了改进,形式上有所简化,但审计风险的内涵和外延却扩大了。其中重大错报风险(riskofmaterialmisstatement)包括两个层次:会计报表整体层次(overallfinancialstatementlevel)和认定层次(assertionlevel)。
(一)认定层次风险
认定层次风险指交易类别、账户余额、披露和其他相关具体认定层次的风险,包括传统的固有风险和控制风险。认定层次的错报主要指经济交易的事项本身的性质和复杂程度发生的错报,企业管理当局由于本身的认识和技术水平造成的错报,以及企业管理当局局部和个别人员舞弊和造假造成的错报。
(二)会计报表整体层次风险
会计报表整体层次风险主要指战略经营风险(简称战略风险)。把战略风险融入现代审计模型,可建立一个更全面的审计风险分析框架。
1.从战略风险的定义来看:战略风险是审计风险的一个高层次构成要素,是会计报表整体不能反映企业经营实际情况的风险。这种风险源自于企业客观的经营风险或企业高层通同舞弊、虚构交易。传统审计风险模型解决的是企业的交易和事项在本身真实的基础上,怎样发现会计报表存在的错报,将审计重点放在各类交易和账户余额层次,而不从宏观层面考虑会计报表可能存在的重大错报风险,这很可能只发现企业小的错误,却忽略大的问题;现代审计风险模型解决的是企业经营过程中管理层通同舞弊、虚构交易或事项而导致会计报表存在错报怎样进行审计的问题。
2.从审计战略来看:现代审计风险模型是在系统论和战略管理理论基础上的重大创新。从战略角度入手,通过经营环境—经营产品—经营模式—剩余风险分析的基本思路,可将会计报表错报风险从战略上与企业的经营环境、经营模式紧密联系起来,从而在源头上和宏观上分析和发现会计报表错报,把握审计风险。而将环境变量引入模型的同时,也将审计引入并创立了战略审计观。
3.从审计的方法程序来看:现代审计风险模型注重运用分析性程序,既包括财务数据分析,也包括非财务数据的分析;且分析工具多样化,如战略分析、绩效分析等。例如毕马威国际(KPMG)为应用现代审计风险模型的理念与方法,研究制定了经营计量程序(BusinessMeasurementProcess,BMP),专门分析企业在复杂的市场环境和产业环境下的经营情况,以确定关键经营风险如何影响财务结果。BMP提供了一个审查影响财务信息和非财务信息流的分析框架。
4.从审计的目标来看:现代审计是为了消除会计报表的重大错报,增强会计报表的可信性。为达到此目标,注册会计师应当假定会计报表整体是不可信的,从而引进全方位的职业怀疑态度,在审计过程中把质疑一一排除。而该模型充分体现了这种观念。
现代审计风险模型的分析应用框架
运用现代审计风险模型执行审计,一是将审计的视角从会计系统扩展到更广泛的经营管理领域;二是确定重大错报风险的水平与分布;三是优化配置审计资源,避免在某些领域审计过度或不足。其分析框架可考虑如下:
(一)确定总体审计风险概率
审计风险可按其发生的可能性大小分为基本确定、很可能、可能和极小可能。可能性一般按概率来进行表述,如极小可能的概率为大于0、但小于或等于5%。
社会公众对注册会计师的期望值很高,独立审计存在的价值就在于消除会计报表的错误和不确定性;缩小或消除社会公众合理的期望差距(TomLee,1993)。独立性原则的要旨是使注册会计师免于利益冲突,从而奠定正直与客观的执业基础,但独立性最终体现在注册会计师独立承担审计风险责任方面,因而降低审计风险是注册会计师的“灵魂”。审计风险就是审计失败的可能性,它只能控制在极小可能程度以下,用数学概率表示应不超过5%。“一般来说,社会公众认为这个比率应低于5%,审计保证水平为95%”。
(二)分析战略风险
在确立了总体审计风险概率应该控制在5%以下之后,应全面分析战略风险。以企业的经营模式为核心,以自上而下和自下而上相结合的方式了解企业的内外部经营环境、经营产品,并在此基础上分析确定企业经营有效性和会计报表的关键认定是否合理、合法。新的国际审计准则列举了28种可能暗示存在舞弊风险的环境和事项(IAASB,2003)。结合审计实践,我们提出如下要点:
1.分析经营环境。主要分析客户主营产品所处的经济环境和技术环境,了解客户产品生命周期阶段,竞争对手情况如何,未来发展前景如何。
2.分析经营产品。对客户的主营产品进行分析,了解客户的产品是什么;其经济价值和使用价值如何;盈利情况如何;与同行业或类似行业比较其利润率是否合理;如无同行业比较,与社会一般平均利润率相比,是否有其存在的合理性。
3.分析经营模式。分析客户经营模式就是分析其产品的供、产、销过程是如何组织实施的;其业务流程的各个环节是什
么;重要购买商与客户的实质关系;客户是否严重依赖少数或某些重要购买商;重要供应商与客户的实质关系;客户是否严重依赖少数或某些重要供应商;是否存在既是客户购买商又是供应商的单位(有无存在自卖自买的可能)。
通过上述分析研究,建立战略风险评估决策框架,对企业经营的有效性做出判断,对会计报表层次的整体认定进行预计并与管理当局报告的结果进行比较,从而对管理当局在相关经营模式和业务流程下的整体认定是否恰当进行职业判断,对企业是否存在从生产经营发生交易和事项的开始就通同舞弊、虚构交易和事项以粉饰报表作出职业判断。
战略风险的存在意味着对会计报表的整体否定。评估战略风险是注册会计师自始至终要考虑的问题。尤其在项目的前期调查期间,如果判断得当、评估准确,不仅可以克服缺乏全面性的观点而导致的审计风险,而且有利于节省审计成本。如分析得出战略风险发生的可能性为可能、很可能或基本确定,也就是其战略风险概率大于5%,则此项目不能承接;如已在审计过程中,可在没有发生大量审计成本的情况下及早退出项目,以避免由于战略风险带来的审计失败;如果该项目战略风险概率小于等于5%,则该项目初步可接受,再在此基础上进行全面深入审计,其失败的可能性必然可大为降低。
(三)分配剩余审计风险
评估完战略风险概率后,可按照传统的方法分析认定层次的风险概率,两者结合起来考虑就是重大错报风险概率。最后根据确定的总体审计风险概率和评估的重大错报风险概率,得出关于剩余审计风险也就是检查风险的概率,据此确定实质性测试的性质和范围,即可将审计风险减少到满意程度。上述分析过程可用图一表示。
案例分析
(一)基本情况
XY公司为国内一家拟首次发行股票并上市的股份公司,主要从事天然彩棉的研究和开发。公司的主要产品为以天然彩棉为核心的初级产品及终端产品,初级产品为彩棉种子、彩色皮棉等,终端产品为彩色棉纱、彩棉服装等。公司重要财务数据(未审数)见表一。
(二)传统审计风险模型下的审计过程及结论
按照传统审计风险模型,注册会计师初审时将固有风险和控制风险都判定为高水平,相关实质性测试较为详细。重要审计程序和结论如下:
1.存货及主营业务成本的审计。首先审核存货的存在性。审核时要求公司对存货全面盘点并全程由审计人员盘,盘点比例达到90%以上,其中种子盘点比例为100%。盘点结果,存货数量账实基本相符略有盈余。其次审核产品成本计算和结转方法。对联产品成本的计量,按联产品销售市价比例法确定各产品入账成本,符合有关规定;存货的发出计价和成本结转,每类重要产品按其明细分类,用移动加权平均法按月进行重新计算测试,测试结果差异不大。对于存货期末价值,根据报告日前后公司的销售发票进行验证,存货的期末市价均高于成本价,无需计提减值准备。
2.收入及应收账款的审计。获取所有种子销售合同,检查销售发票、出库单等,并对其应收账款情况进行重点检查。合同显示,2002年以前公司提供种植单位种子,按照合同的约定价格收购籽棉,并保证种植单位每亩收益不低于1000元,不足部分由公司补足,此时种子向种植单位的转移未做销售处理。2001年12月5日公司取得种子经营许可证后,2002年度开始将种子向种植单位转移作为销售处理。此时合同明确种子销售给种植单位以后,有关种子的风险不再由公司承担,不再保证种植单位最低收益,公司仅按合同约定价格收购籽棉。公司具体确认种子收入的时点为棉种销售合同已签订、棉种已出库转移给对方、销售种子的发票已开出或价款已收到,符合有关制度的规定。应收账款相对于公司总收入数额较小,期末仅为4573万元,但也全部函证,回函率为100%,差异率为零。
对于会计报表的其他项目,注册会计师也进行了详细审计,未发现重大问题,据此出具了标准无保留意见报告。可以说,以传统审计风险模型为准绳衡量对该公司的审计,审计重点、审计程序和审计证据应属充分,审计结论也并无不当。
(三)现代审计风险模型下的审计过程及结论
初审材料上报后,证监会要求重新核查。注册会计师尝试按照现代审计风险模型实施测试,首先分析重大错报风险中的战略风险。
1.经营环境的分析。公司产品为高科技项目,在开发初期,国内外同类产品的开发应用也处在尚未成熟、未大规模推广的阶段。该阶段特点为:科研开发费用高昂、规模经济效益尚未形成;虽然产品符合人们对天然环保概念潮流的追求,但能否成为传统白色棉花的替代品或以后棉纺织品的主流无法定论,经营前景存在较大不确定性;公司是国内较早推出该产品的少数企业之一。
2.经营产品的分析。公司的主要产品为彩色棉花的研究开发和相关产品的生产销售。该产品的特点为天然彩色,符合人们对天然环保概念潮流的追求,但与传统的白色棉花相比,使用价值与经济价值上的比较优势不明显。不过,会计报表显示,其主要产品的毛利率达50%左右,远远超过传统白色棉花产业。根据经营环境的分析,公司是国内较早推出该产品的少数企业之一,且经营规模是国内最大的,从某种意义上来说存在着超额垄断利润,其产品又处在前期科研开发费用高昂、规模经济效益尚未形成的阶段。没有竞争对手的产品意味着产品的使用价值和经济价值尚难确定,其经营前景也存在较大的不确定性,高额的利润率显然有质疑的理由。
3.经营模式的分析。公司的初级产品是彩棉种子、彩色皮棉等,采取销棉种子给各种植单位,一收购籽棉,然后加工成彩色皮棉、棉种等系列产品再进行销售的方式;终端产品为彩色棉纱、彩棉内衣等,取向加工单位提供彩色皮棉等原材料,加工成各种终端产品后,由公司统一对外销售的方式。显然,公司的主经营模式为委托加工。此经营状态下的收入确认与计量分析:根据委托加工的经营模式,公司所生的原材料或初级产品的对外转移,在实质上构不成销售,在此阶段不能确认相关收入。但公司对同一模式的不同产品采取了不同的核算方法,即使同一产品在不同的会计期间所用的核算方法也不一样。如同为委托加工,种子向委托加工方的转移就确认为收入,而皮棉、/!/彩色面纱向委托加工方转移就不确认收入;同样是彩色棉种向种植单位转移,2002年以前不确认收入,2002年以后确认收入。这种对交易确认和计量方法横向、纵向的不一致,不能排除人为操纵的嫌疑。再从公司的主营业务利润来看,确认方法存在问题的种子的销售利润分别占2002、2003年度主营业务利润的84.19%、57.46%,占公司净利润的167%、107%。公司从形式上变更经营模式、变更主营业务收入的确认和计量,操纵利润的嫌疑进一步加剧,公司真正的盈利能力和整体经营管理的有效性可能存在较大的问题。此经营状态下的成本确认与计量分析:公司按联产品销售市价比例法确认计算联产品成本,用移动加权平均法进行发出计价和成本结转,表面上产品成本的确认和计量符合有关规定。但从战略的角度看,由于公司所从事的产业尚未形成气候,销售的彩棉种子、彩色皮棉等产品在国内处于垄断地位,销售价格实际上完全由公司自行确定,其相关产品的售价并非真正意义上的市场价格,没有市场价格的公允性,在此价格基础上确定的联产品成本失去了可靠的基础。再结合公司的经营模式来看,形成公司主要利润的彩色棉种由于要对其全部衍生产品进行回购,如果定价大大高出其实际价格,成本就会高估,其他产品的成本就会低估,真正外销的其他产品的销售利润就会很高,而彩色棉种由于是高价格高成本,销售利润自然也会很高。
但彩色棉种的外移实际是委托加工,不能作为销售,如作为销售实际上就成了自卖自买,高价格高成本的结果造成了公司巨额未实现利润隐藏在期末未销色棉种之中。虽然存货期末价值根据报告日前后公司的销售发票验证,表明存货的期末市价均高于成本价,但由于此市价实际并非真正意义上的市场公允价格,低估销售成本高估存货价值虚增利润是确定的。
通过上述以经营模式为核心的战略风险分析,可以得出两种结论:或者公司高层通过系统手段精心构置并不存在的交易,并在形式上合规,以粉饰报表取得上市资格(事实证明如此);或者公司管理层根本不了解经营的有效性和经营风险,不掌握会计报表失实的具体情况。错误的会计核算导致了错误的判断,错误的判断导致了错误的经营决策,如真正外销的产品的定价很可能低于其实际成本,终将导致经营失败。
(四)两种模型的比较
一、制度基础审计模式下的审计风险及其模型的缺陷
1、审计风险的定义
制度基础审计是以评价被审计单位内部控制系统为导向的审计模式。它从检查被审计单位内部控制系统入手,要求注册会计师在对内部控制进行全面了解、研究和评价的基础上确定实质性测试的性质、时间和范围,收集审计证据,形成审计意见。
基于对制度基础审计的认识,国内外审计职业界对审计风险的理解总的来说都认为审计风险问题实际上是一个审计质量问题,是指注册会计师发表不恰当审计意见的风险。所不同的是,美国注册会计师协会(AICPA)定义审计风险时加入了“无意地”一词,这就意味着它把注册会计师有意发表错误意见视为舞弊排除在审计风险之外;而中国审计准则和国际审计准则没有提及有意或无意的问题,也就意味着“有意”“无意”地发表审计意见的可能性均涵盖在审计风险的定义范围内。
2、审计风险模型
尽管上述三方对审计风险定义的表述有所不同,但中国审计准则和国际审计准则对外公布的审计风险模型却与AICPA的一致,都为:审计风险(AR)=固有风险(IR)*控制风险(CR)*检查风险(DR)。其中,固有风险是指假定不存在相关内部控制时,某一账户或交易类别单独或连同其他账户或交易类别产生重大错报或漏报的可能性。控制风险是指某一账户或交易类别单独或连同其他账户或交易类别产生重大错报或漏报,而未被内部控制防止、发现或纠正的可能性。检查风险是指某一账户或交易类别单独或连同其他账户或交易类别产生重大错报或漏报,而未被实质性测试防止、发现或纠正的可能性。
3、制度基础审计模式下的审计风险及其模型的缺陷
经过深入研究发现,上述审计风险定义及模型存在许多缺陷:
第一,审计风险定义过于狭隘,它忽略了这样一个事实:即使财务报表没有重大错误,注册会计师也会因各种原因而发表不恰当的审计意见的可能性。
第二,该审计风险模型仅仅从审计过程上把审计风险划分为固有风险、控制风险和检查风险,未能从审计过程之外分析审计风险产生的深层次原因。而实际上,审计风险是审计内环境和外环境共同作用的结果。
第三,最令人遗憾的是,上述审计风险模型没有包括被审计单位的经营风险。事实上,经营风险已实实在在危及审计职业界,如安然事件的爆发导致了有百年历史的会计公司巨人之一的安达信的破产。这有两个原因:一是因为现代审计广泛采用抽样技术,存在审计不能发现重大错误的风险。二是因为随着现代经济的迅速发展,企业的规模越来越大,经营风险不断加大,经营失败的可能性也逐渐加大。当某一公司破产或无力偿还债务时,报表使用者通常会指责审计失败。
第四,制度基础审计方法对固有风险的评价流于空泛。对于固有风险,它体现出的是被审计单位会计报表中实际存在的错报和漏报,在注册会计师审计过程中它已经成为事实,注册会计师无法改变它。在审计实践中,从稳健角度出发,一般假定其水平为100%。所以,该模型实际上就没有考虑固有风险的实际情况,从而使注册会计师对固有风险的评估就常常流于形式。
第五,制度基础审计模式下的风险概念体系不一致。上述三方公布的审计风险不尽相同,但审计风险模型却完全相同,这在逻辑上是无法成立的。
二、风险基础审计模式下的审计风险定义及其模型
风险基础审计是在制度基础审计的基础上发展起来的,代表了现代审计方法发展的最新趋势。它以被审计单位的风险评估为基础,综合分析影响被审计单位经济活动的各种风险因素,并根据量化的风险水平确定实施审计的范围和重点,进而实施实质性测试的一种审计方法。
这里我们有必要重新界定风险基础审计模式下审计风险的定义及其模型。
1、经营风险与广义的审计风险
目前,经营风险有两个含义,一是企业没有达到预期经营目标的可能性;二是指企业在经营过程中所面临的种种不确定性。美国审计学家阿伦斯将经营风险定义为“存在企业由于经济或营业条件,如经济萧条、决策失误或同行业之间意想不到的竞争等,而无力归还借款或无法达到投资人期望的风险”。国内有的专家将经营风险定义为“预期收益减少与损失发生的概率”。本文赞同阿伦斯的定义,即经营风险是指企业没有达到预期经营目标的可能性。
2、重识固定风险
与制度基础审计对固有风险的评估流于形式不同,风险基础审计非常重视对被审计单位固有风险的评价。它要求将了解被审计单位情况看作是减少审计风险的重要组成部分,要求注册会计师通过了解,形成对被审计单位固有风险的评价。这种评价就是分析发现企业的战略风险、经营风险区域,然后测试评价风险区域的内部控制有效性,并重点审查这些风险区域。风险基础审计方法虽然也考虑内部控制制度的作用,但它将关注的重点首先放在对财务报表更有影响的企业经营目标、战略措施和经营活动的分析之上,以求从企业的经营环境和经营活动的整体上来把握财务报表的固有风险。因为企业如果经营目标、发展战略有问题,经营活动出现严重困难时,管理层就会有严重的财务报表作假动机,这时内部控制无法起作用。从这个角度出发,我们可以认为:固有风险(IR)=战略风险(SR)*经营风险(BR)。在这里,我们姑且仍用固有风险这一概念,但其内涵与制度基础审计时的固有风险的内涵大不相同。此时审计风险控制的关注点已经落到了对固有风险的分析评价上。
由于风险基础审计和制度基础审计在进行符合性测试和实质性测试时,审计程序基本相同,故在两种审计模式下控制风险和检查风险是一样的。
3、诉讼风险
审计诉讼风险是指在控制风险和检查风险之外,会计师事务所和注册会计师所面临的可能使其遭受损失的可能性。审计风险模型必须考虑诉讼风险,原因有三:
第一,广义审计风险必须与损失相联系。发表不恰当的审计意见和经营风险只是产生审计风险的一个因素,只能算是一个潜在的审计风险。也就是说,发表不恰当的审计意见和经营风险只是审计风险产生的一个前提条件,而不是充分条件。因为如果没有人追究审计的责任,注册会计师无须承担任何损失。即使他们发表了不恰当的审计意见,审计风险也为零。
第二,这里的“损失”,不仅包括现实经济损失,也包括潜在经济损失;不仅包括可以计量的经济损失,也包括不可计量的精神损失。潜在的经济损失包括:注册会计师及其所在会计师事务所的信誉受到损害而带来的对未来收益的影响;精神损失包括:会计师事务所被撤消,注册会计师受到行政处分或刑事处罚。
第三,风险基础审计产生的初衷即使注册会计师面对“诉讼爆炸”危机,为了减少诉讼风险而采用的一种新的审计方法。诉讼风险应该包含在审计风险模型中也就理所当然。
4、新的审计风险模型
基于以上的分析,我们可以重建风险基础审计模式下的审计风险模型,即审计风险(AR)=战略风险(SR)*经营风险(BR)*控制风险(CR)*检查风险(DR)*诉讼风险(LR)。
与制度基础审计模式下的风险模型相比,上述风险模型有如下的优点:
第一,保证了风险基础审计模式下的风险概念体系的一致性。经营风险是风险基础审计的核心,它既体现在审计风险的定义中,又包括于审计风险模型中,保证了风险概念体系的前后连贯性。
第二,将传统风险模型中的固有风险分拆为战略风险和经营风险,强调对被审计单位风险的评价,集中审计资源于高风险的审计项目,从而提高审计效率。
(一)会计收益的概念从操作的角度讲,会计收益被定义为本期交易中已经实现的收入和与此相对应的历史成本之间的差额。从该定义中可以看出会计收益的五个特点:一是会计收益是基于企业实际发生的交易(主要是销售商品或提供劳务的收入减去实现这些收入的必要的成本)。从传统意义上讲,会计界是用交易观来计量收益的。二是会计收益是建立在会计分期假设之上的,是指某一期间的财务成果。三是会计收益是建立在收入原则之上的,需要对收入进行定义、计量和确认。四是会计收益需要依据历史成本计量费用,要严格遵守历史成本原则。一项资产按照获得时的成本核算直到被销售,才能确认所有的价值变化。因此,费用是耗费的资产或耗费的获得成本。五是会计收益要求当期实现的收入与适当的或相应的相关成本联系。因此,会计收益是建立在配比原则之上。从本质上讲,某些成本或期间成本被分配或与收入相配比,而其他的成本则结转为资产。
(二)经济收益的概念亚当·斯密(AdamSmith)在其《国民财富的性质和原因的研究》中最早将经济学上的收益定义为“财富的增加”;。大多数古典经济学家,尤其是艾尔弗雷德·马歇尔(AlfreMarshal)l遵从斯密的收益概念并将其引入企业。当代经济学家J·R·希克斯(Hicks)在《价值与资本》一书中将经济收益定义为:“一个人在期末与期初保持同等富裕的情况下所可能消费的最高数额”;。该定义虽然指的是个人收益,但企业收益也可以用这个最基本的收益定义来加以解释,即在期末与期初资本没有变化的情况下,企业本期可用以消费或分配的最大金额(汤云为,1997)。由此可见,经济收益是与资本保全或资本维护密切联系的,它实际上要求在确认企业收益时必须严格区分资本收益和资本保全。
二、会计收益与经济收益的计量
(一)会计收益的计量会计期间损益的确认和计量,应分析该期间实际发生的交易,确认和计量各种收入和费用,根据会计等式“收入-费用=利润”;来计算。收入、费用的确认和计量必须遵循收入实现、应计制、历史成本、配比、划分收益性支出和资本性支出等原则。对于资产或负债价值的波动,如无客观事实认定,不予项由多个环节组成的工作过程,任何一个环节出现失误,均会导致审计风险的产生,在每一具体环节注意避免产生差错,是控制审计风险、保证审计质量的关键所在。在经济责任审计的过程中,审计机构要切实贯彻“积极稳妥、量力而行、提高质量、防范风险”;的十六字方针,突出重点,强化职能,有为有位,稳步、健康、扎实地推动经济责任审计工作的可持续性发展。
【关键词】内部控制;企业风险管理;风险审计
一、企业风险管理
(一)企业风险管理概念
根据《企业风险管理框架》(简称ERM框架),“企业风险管理是一个过程。这个过程受董事会、管理层和其他人员的影响。这个过程从组织战略制定一直贯穿到组织的各项活动中,用于识别那些可能影响组织的潜在事件并管理风险,使之在组织的风险偏好之内,从而合理确保组织取得既定的目标。”ERM框架有三个维度,第一维是组织的目标,包括战略目标、经营目标、报告目标和合规目标;第二维是企业风险管理要素,包括内部环境、目标设定、事项识别、风险评估、风险反应、控制活动、信息和交流、监控;第三维是组织的各个层级,包括整个组织、各职能部门、各条业务线及下属各子公司。ERM三个维度的关系是,企业风险管理的八个要素都是为组织的四个目标服务的;组织各个层级都要坚持同样的四个目标;每个层次都必须从以上八个方面进行风险管理。企业风险管理定义直接关注组织目标的实现,并且为衡量组织风险管理的有效性提供了基础。该定义强调:风险管理本身并不是一个结果,而是实现结果的一种方式;决定一个组织的风险管理是否有效是基于对风险管理要素设计和执行是否正确的评估基础上的一个主观判断;该过程应应用于组织内部每个层次和部门,可以从一个组织的总体来认识,也可以从一个单独的部门或多个部门的角度来认识;该过程是用来识别可能对组织造成潜在影响的事项并在风险偏好的范围内管理风险。
(二)企业风险管理要素
1.内部环境。内部环境包含组织基调,是组织员工如何看待风险、对待风险的基础,包括风险管理理念、风险偏好、正直和道德价值观及工作环境,是其他所有风险管理要素的基础,为其他要素提供规则和结构。管理当局是内部环境的重要组成部分,对其他内部环境要素有重要的影响,其职责是建立组织风险管理理念,确定组织的风险偏好,营造组织的风险文化,并将风险管理和相关的初步行动结合起来。
2.目标制定。组织先制定使命,在此背景下,管理层制定战略和目标,并把目标逐层分解为战略目标(高层次目标,和组织使命方向一致,并支持使命)、运营目标(有效且高效地使用资源)、报告目标(报告的可靠性)和合规目标(遵循适用的法律法规)。企业风险管理框架就是为实现组织目标服务,确保管理层参与目标制定流程,确保所选择的目标不仅和组织使命方向一致,支持组织的使命,而且能够保证制定的目标与组织的风险偏好相一致。
3.事项识别。事项既可能带来消极后果,也可能带来积极后果,或者带来混合后果。消极后果的事项意味着风险,它会阻碍价值创造或破坏现有价值。积极后果的事项会抵消消极影响,或者带来机会(所谓机会,就是事项如果发生,能促进目标的实现,能支持价值创造或价值的保存)。因此,管理者应识别影响组织目标实现的内外事项,分清风险和机会。企业风险管理能够改善对交叉影响的有效反应,并能为各种风险提供统一的风险反应对策。
4.风险评估。识别和分析风险,考虑可能性和后果,在此基础上决定应如何管理风险。风险评估可以使管理者了解潜在事项如何影响组织目标的实现。管理者应从两个方面对风险进行评估――风险发生的可能性和影响。风险发生的可能性是指某一特定事项发生的可能性,影响则是指事项的发生将会带来的影响。对于风险的评估应从组织战略和目标的角度进行。
5.风险反应。风险反应是管理层选择风险反应方式并制定一套措施把风险控制在组织的风险容忍度和风险偏好之内。风险反应可以分为规避风险、减少风险、共担风险、接受风险和利用风险。规避风险是指采取措施退出会给组织带来风险的活动。减少风险是指减少风险发生的可能性、减少风险的影响或两者同时减少。共担风险是指通过转嫁风险或与他人共担风险,降低风险发生的可能性或降低风险对组织的影响。接受风险则是不采取任何行动而接受可能发生的风险及其影响。利用风险是把风险看作机会,利用可能发生的风险及其影响。对于每一个重要的风险,组织都应考虑所有的风险反应方案。
6.控制活动。控制活动是帮助保证风险反应方案得到正确执行的相关政策和程序。控制活动存在于组织的各部分、各个层面和各个部门,通常包括两个要素:确定应该做什么的政策和影响该政策的一系列程序。
7.信息和沟通。识别、分析和沟通来自于组织内部和外部的相关信息,必须以一定的格式和时间间隔进行确认、捕捉和传递,以保证组织的员工能够执行各自的职责。有效的沟通包括组织内上传、下达和平行的沟通,还包括将相关的信息与组织外部相关方进行有效沟通和交换。
8.监控。监控是指评估风险管理要素的内容和运行以及一段时期的执行质量的一个过程。组织可以通过两种方式对风险管理进行监控――持续监控和个别评估。持续监控和个别评估都是用来保证组织的风险管理在组织内务管理层面和各部门持续得到执行。
二、风险管理审计
(一)风险管理审计的目标
风险管理审计是指胜任的专职机构和专业人员对组织内部风险管理程序、风险反应、管理制度及机制的合理性、有效性进行独立的审查和评价过程。风险管理审计的根本目的是最大限度地增加组织价值。
审计目标是回答“通过审计要证明什么”的理论问题,是审计行为的出发点,是审计工作的指南,也是审查和评价审计内容所期望达到的境地和最终结果。审计目标体系由总目标、一般目标和项目目标构建。
(二)风险管理审计的内容
审计内容是回答“审计什么”的问题。根据ERM框架中的要素,风险管理审计的内容主要包括:
1.风险管理程序的科学性和合理性,主要包括风险管理开发阶段所制订的风险管理框架结构的内容;风险管理试探阶段所实施风险管理框架结构的内容;风险管理回顾阶段所丰富并增强风险管理框架结构的内容;风险管理展开阶段所推广并实施风险管理框架的情况;风险管理支持阶段所需要提供的各种基础组织以及服务。
2.风险反应的周密性和可行性,主要包括风险反应计划的周密性(如有否考虑风险的可规避性、可转移性、可减少性、可接受性);风险应对策略的可行性(如是否采取了风险控制、风险自留、风险转移)。
3.风险管理制度的合法性和完善性,主要包括风险管理制度的合法性(如建立风险管理制度是否经过充分论证);风险管理体制的完善性(如考核评价体制和责任追究制度是否健全)。
4.风险管理机制的结构性和尽责性,主要包括高层管理人员和重要岗位业务人员的风险管理理念及对风险管理的重视程度;风险管理人员的结构和素质;全员风险管理的情况。
(三)风险管理审计的程序
1.审计规划阶段,包括选定被审计对象和制定风险管理审计计划。被审计对象选定工作包括识别被审计对象的策略、识别潜在被审计对象和排列被审计对象的顺序。制定风险管理审计计划包括制订财务风险管理、生产风险管理、市场风险管理、会计风险管理、人事风险管理和其他风险管理审计计划,确定风险管理审计的位置和背景。
2.审计测评阶段,包括风险的分析、评估和监控。(1)分析风险。审计人员应对风险迹象进行深入了解、描述和记录,并对风险的可能性和发生频率进行分类。风险可能性分析结果一般有“很少的”、“不太可能的”、“可能的”、“很可能”、“基本确定”等类别,风险发生频率分析结果一般可分为“高频率、高损害风险”,“高频率、低损害风险”,“低频率、低损害风险”,“低频率、高损害风险”等类别。(2)评估风险。审计人员应分析风险的成因及其影响,并确定风险程度及等级。风险程度一般分为“极高”、“高”、“中等”、“低”和“极低”等级别。风险概率用风险发生可能性的百分比表示,风险量=风险概率×风险损失量。(3)监控风险。审计人员应对可能发生的风险和损失进行跟踪检查。跟踪已识别风险的发展变化情况,包括在整个项目生命周期内,风险产生的条件和导致的后果变化,作出减缓风险的方案,调整风险管理计划。
3.审计报告阶段,包括汇总审计结果、出具审计报告和追加后续审计。(1)汇总审计结果,包括审计现状、标准、差异、原因和建议等部分。如审计建议中对损失大、概率大的灾难性的风险要避免;对损失小、概率大的风险,可采取措施来降低风险量;对损失大、概率小的风险,可通过保险或合同条款将责任转移;对损失小、概率小的风险,可采取积极手段来控制。(2)出具审计报告,包括标题、收件人、正文、附件、签章、报告日期等基本要素。审计报告正文部分主要内容有:审计目标、风险概况、审计依据、审计结论、审计评价和审计建议等。(3)追加后续审计。ERM是一个动态的过程,审计测试应与之相协调,追加后续审计显得重要。后续审计应将重点放在最严重的问题上,相关部门是否予以纠正,若不纠正,责任和原因到底在哪儿;对一般事项可仅限于询问和简短的讨论。
【参考文献】
[1]朱荣恩,贺欣.内部控制框架的新发展――企业风险管理框架[J].审计研究,2003,(6).
[2]中国内部审计协会.内部审计理论与实务[M].中国石化出版社,2004.
【论文摘要】文章基本上以会计和审计准则的解释为出发点进行探讨,同时也在更为宽广深透的某些方面进行拓展性的陈述。
审计重要性及重要性水平是现代审计理论和实务中一个非常重要的概念。注册会计师审计的目的在于证实被审计单位的会计报表是否公允反映。由于受审计时间和审计成本等因素的影响,注册会计师不可能就会计报表的所有方面发表审计意见,而只能运用审计抽样,就所有重要方面发表审计意见。因此,注册会计师在会计报表审计过程中不可避免地要运用审计重要性及重要性水平概念。事实上,重要性概念贯穿于整个审计过程。由此可见,如何理解重要性概念、合理界定和运用重要性水平,对目前我国注册会计师做好具体审计工作具有重要意义。
一、审计重要性及重要性水平的基本概念
(一)审计重要性
注册会计师审计从最初的查错防弊审计发展到现在的风险导向型审计,已基本形成了一套完整的审计理论。审计重要性便是这种理论的重要组成部分。重要性概念为审计模式的转变提供了基本理论上的支持。审计模式由详细的账项基础审计发展为抽样的风险导向审计,这其中是以内部控制制度作为其制度基础,以抽样方法作为其方法基础,而以重要性概念作为其思想基础的。审计目标逐渐演变成为对会计报表的所有重大方面而非所有方面发表审计意见。
各国现有的审计重要性准则的定义大都沿用会计准则,国际会计准则委员会(IASC)对重要性的定义是:“如果信息的错报或漏报会影响使用者根据会计报表采取的经济决策,信息就具有重要性。”美国财务会计准则委员会(FASB)对重要性的定义是:“一项会计信息的错报或漏报是重要的,指在特定环境下,一个理性的人依赖该信息所做的决策可能因为这一错报或漏报得以变化或修正。”各国对重要性的认识基本是一致的,即信息的错报或漏报可能影响到会计报表使用者的决策就是重要性。
在我国,企业会计准则和会计制度也要求企业会计核算必须遵循重要性原则,但并未对重要性做出明确的定义。《企业会计制度》规定,企业的会计核算应当遵循重要性原则的要求,在会计核算过程中对交易或事项应当区别其重要程度,采用不同核算方式。我国独立审计准则对重要性的定义是:“本准则所称重要性,是指被审计单位会计报表中错报或漏报的严重程度,这一程度在特定环境下可能影响会计报表使用者的判断或决策。”
(二)审计重要性水平
各国审计界对审计重要性水平的认识基本是一致的,即信息的错报或漏报可能影响到会计报表使用者的决策就是重要性水平。但是,实际工作中,会计信息使用者来自各个方面,他们对会计信息的需求不同,对重要性的看法也不尽相同。再者,不同企业面临不同的情况,因而判断重要性的标准也不相同,即使是对某一特定单位而言,重要性也会随时间的不同而改变。因此,要确定一个能被所有会计信息使用者共同接受的重要性标准是不现实的。然而,在审计工作中又不能没有重要性的评价标准。我国独立审计具体准则规定,注册会计师应用自己的专业判断对重要性进行评估,且在确定审计程序的性质、时间和范围及评价结果时,应当合理运用重要性原则。可见,重要性实质上强调了一个“度”,在会计或审计报告中,允许一定程度的不准确性或不正确性的存在,但是要以这个“度”为界。这个“度”也就是审计重要性水平范围即区间。
重要性水平是重要性的具体标准,是指会计报表中被错报或漏报的严重程度,一般存在着三种不同的重要性水平概念,即实际重要性水平、计划重要性水平、估计重要性水平。实际重要性水平是指相对于每一个被审计会计报表而客观存在的,将会影响大多数会计报表使用者的理性判断或决策的重要性水平。它是会计报表本身的重要性水平,且具有客观性和不可确知性两个显著特点。计划重要性水平是指注册会计师在编制审计计划时,对重要性水平所做的初步判断数。估计重要性水平是指注册会计师在评价审计结果时所运用的重要性水平。后两者是注册会计师专业判断过程的结果。
二、审计重要性水平与审计风险的关系
(一)审计风险概念
一、企业风险和风险管理的实质概念
企业风险管理审计工作是了解确企业风险的实质概念以及企业风险的划分等问题,不基于以上问题的企业风险管理审计将无从入手。
1、企业风险的概念
企业风险是存在与企业运营中所产生的不确定因素中,并且不确定的影响因素导致的风险也是不确定性的。若企业运行的环境是相对单一透明不存在不确定因素的,则不会发生企业风险。而针对企业管理,注重的是运营的结果与预期达到目标存在多大程度的差距,这种差距发生的概率则形成企业风险[2]。笔者认为在企业运营过程中的一阶段内所达成的目标或结果,因为各种因素的影响没有实现预期的效果,这种企业运营中未能达成目标的可能性即可称为是企业风险。
2、企业风险划分
企业风险是根据不同的标准给予分类,而既然企业风险与企业未达成的目标有紧密的关联,那么笔者认为可将企业风险根据企业设定的目标进行划分:
(1)战略性目标风险。企业设定的某一阶段的战略性目标未能达成或出现偏差的可能性。常见类型包括因企业对未来发展预计分析不够明确和充分导致企业整体战略布局出现偏差,导致决策性失误;因企业对战略布局实施中的选择失误而出现的发展风险,如经营板块的扩展风险,并购风险等。
(2)经营管理风险。企业制定的经营目标未能达成或出现偏差的可能性。主要包括经营环节、人事、信息风险等,类型有因企业的产销环节导致的经营风险;因企业人事变动授权、委托、业绩评价等因素造成的风险;因信息的不完善或泄露造成的企业风险等。
(3)财务风险。字面理解为企业资金统筹因素造成的风险,即企业资金方面目标未能达成目标的可能性因素,包括所有财务活动、资金统筹、资金投资以及财务活动等均属于企业财务风险范围内。
3、企业风险管理的概念
COSO的《企业风险管理框架》中对企业风险管理作出了明确的定义[3],表明企业风险管理是一种监控过程,执行者主要包括董事会、管理部门和其他人员。企业风险管理贯穿于全部企业战略制定活动过程中,用于监管规避可能影响企业主体目标发展的潜在因素,并将其控制在可接受范围内,保障企业运营目标的最终达成。
我国内部审计协会的《企业风险管理审计》[4]中也明确表示,风险管理是应用与企业组织中,分析和评估有可能导致企业目标不能实现的各种不确定潜在因素,同时制定规避措施降低风险程度,将影响降至最小程度,保证企业达成目标。
综上几点阐释可以总结出企业风险管理的概念是指保证企业目标达成的一种监管、评估、规避过程。
二、企业风险管理审计目标
企业风险管理审计是随着现代经济发展企业内部对企业运行的监管和评估的一个过程,而审计的最终目标则在于企业对内部审计评估功能的设定。
鉴于西方国家企业内部的审计发展历程可以发现,内部审计工作是适应于经济发展而产生的,企业内部的规模经营范围以及波及范围的扩大而增加了内部审计管理层次,而审计目标不是一成不变的,是随着企业的阶段性发展而不断变化。国际内部审计师协会(IIA)曾对企业内部审计的目的做出过这样的定义:企业内部审计是一个独立的个体,是一个保证、改善企业运营方向状态的客观形式,是以秉承提升企业价值和改善经营的目的。
我国的企业内部审计的发展有别于西方国家,不是为迎合企业内部发展而自主产生的,而是由国家政府牵头,审计部门推动下产生。我国审计署于1993年成立,为尽快的充实国家审计力量,完善审计体系,政府及审计部门大力推动企业内部审计的建立。随着我国经济的不断发展,内部审计的意义也出现了变化,逐渐受到各方人士的重视。在我国审计准则中提到,内部审计是客观性的监督评估活动,通过监管和评估保证企业经营及发展的合理性,推动企业完成经营目标。
根据企业内部的发展路径可以发现,内部审计是旨在促进企业实现最终的发展目的,企业风险管理的目标在于审计的目标,审计人员通过对企业发展了解,对风险管理过程的监管,监管评估其合理性和适当性,并给予合理的建立,推进企业达成计划目标。
三、企业风险管理审计内容
企业风险管理的内容是可实现企业整体发展目标的风险管理审计。即表明包括整体以及内部的相关部门。审计人员可对整体及部分进行审计工作。主要包含以下几点内容:
(一)风险管理机制的审计
风险管理机制是企业有效规避风险的前提条件和基础,所以,企业内部审计人员应针对风险管理机制的合理性、有效性,主要对风险管理机制的以下几点进行审核监督评估:
1.风险管理机构是否健全。风险管理机构是内部审计工作的基础,企业必须根据自身的规模、管理模式、经营特点以及风险产生等因素,综合分析建立一个由员工参与的风险管理机构,机构体系建设应包括负责人、专业(非专业)管理、风险管理服务等人员,风险管理体系随着企业风险的产生和企业阶段性目标的变化进行调整,明确个岗位职责,整合体系规范化、正规化。
2.风险管理流程是否合理。风险管理的程序直接关系着是否可以有效的发现企业运行中的现在不确定因素,及时进行评估和调整,因此,企业应制定合适的风险管理程序,保证企业运行的健康发展。
3.审查风险预警系统是否健全和有效。风险预警系统是风险管理的重要工具,旨在第一时间发现风险,降低风险程度。所以,企业应建立健全的风险预警系统,根据企业目标分析有可能产生风险的因素,对其进行全面的预测分析,挖掘出有可能出现的风险因素提报给相关部门进行风险规避。风险预警系统应具备整体宏观客观审核的能力,根据企业相关的内外条件和运行变化分析预测出风险的程度和发生时间,并及时进行规避。
(二)企业风险识别
企业风险识别是指对于企业面临或可能面临的风险进行一个评估判断的过程,鉴定风险的性质及过程。风险识别系统应制定必要的识别程序,审计人员识别过程中应注意风险的特征特点、风险的相关数据、风险评估的技术支持能力、成本效益的评估等因素。
(三)风险评估原则
审计人员在进行企业内部审计过程中应遵循一定的评估原则:
(1)定向评估的应用必须经过多方部门的确定和分析,客观的进行分析和判断;