1 风险导向审计的含义、特点
国际内部审计师协会(IIA)在修定后的《内部审计实务标准》中(IIA,2002)提出,为满足组织的经营管理需要,组织的内部审计工作应该以风险为导向。风险导向审计是一种以评价和分析组织风险为基础的审计方法,它在合理的职业审慎性的基础之上,把一个导向,一个方式,一个目标贯穿于整个审计过程中。一个导向是指:审计过程中坚持以风险评估为导向;一个方式是指:审计分析中以分析性复核程序为主,多种审计方法结合;一个目标是指:审计结论要始终以改善组织风险管理,提高组织抗击风险能力,促进组织经营管理效率和效果为目标。传统的审计风险模型为:审计风险= 固有风险控制风险检查风险,它要求审计人员在充分评估固有风险和控制风险的基础上确定检查风险,通过控制检查风险最终将审计风险控制在可接受的水平。该模型对风险的评估是在对各重要账户或交易类别控制风险测试的基础上进行的,可以解决交易类别、账户余额、披露和其他具体认定层次的重大错报,并不涉及对会计报表层次整体风险的评估,对于组织中潜在的高层串通舞弊、虚构交易等宏观层面的风险,无法起到识别、判断、评估、应对和防范的作用。国际审计和鉴证准则委员会(IAASB)2003 年发布了新的审计风险准则,将审计风险模型重新定义为:审计风险= 重大错报风险检查风险。其中重大错报风险包括两个层次的风险: 一是会计报表整体层次,二是交易类别、账户余额、披露和相关认定层次。并明确规定了审计工作以评估会计报表重大错报风险为起点和导向。
2 风险导向审计对内部审计的指导意义
2.1 审计计划着重化
传统审计中,内部审计工作主要集中在审计测试中,在现场审计中安排了大量的时间和人员,审计计划的制定并未受到应有的重视。风险导向审计要求审计人员重视审计计划的制定,认为审计人员在制定审计计划前充分了解组织及其所处环境,熟悉组织的经营战略、组织结构、经营流程等基本情况,识别和评估会计报表层次和认定层次的重大错报风险,有利于制订出符合被审项目特点的审计计划。
2.2 审计方法多样化
传统审计模式下分析性复核程序的使用仅局限于财务信息的范围中,如对绝对数额进行比较、对相关比率进行趋势分析等。与以往的审计方法相比,风险导向审计突出了分析性复核程序,并要求将其应用于审计工作的全过程,即以分析性复核为主,多种审计方法广泛应用。
2.3 审计证据扩大化
在风险导向审计模式下,支持审计结论所需审计证据的范围明显扩大了,它不仅包括组织内部提供的各种证据、审计人员进行各种测试获取的审计证据,还包括审计人员对组织基本情况及经营环境等情况的了解、评价过程中获得的审计证据,取证的重点向组织的会计报表层次偏移。
2.4 审计程序个性化
风险导向审计要求审计方法应与特定的审计环境相适应,针对不同的风险领域、不同的审计对象、不同的业务环节以及特定的审计目标,实施个性化的审计测试程序。内部审计为组织经营管理决策提供服务的特性决定其应在公共审计的基础上重点体现组织的特色。即在组织层面上内部审计应以公共审计策略为基础,选取适合本组织经营情况的审计方式,有重点、有目的的加以开发、延伸,最终形成带有组织自身特色的审计文化。
3 风险导向审计流程
风险导向审计以风险分析为主线,以分析性复核程序为主要方法,大致可以分为三个阶段:风险评估、控制测试(必要时)、实质性测试。
3.1 实施风险评估程序
执行风险评估程序的目的是评估会计报表整体层次和认定层次的重大错报风险,把风险控制在可接受的范围内。审计人员可以通过询问、查询、分析等程序实施风险评估程序,并将识别和评估的风险结果与拟实施的审计程序相结合,及时调整审计资源,把审计资源集中在组织的高风险领域,在提高审计效率的同时,保证审计质量。
3.2 实施控制测试程序
控制测试并不是在每次审计中、每个审计项目中都要实施,只有审计人员认为控制设计合理、能够有效防止或发现并纠正认定层次的重大错报,且符合成本效益原则时,对控制运行的测试才是必要的。实施控制测试目的是测试内部控制在防止、发现、纠正认定层次重大错报上的有效性,并据此重新评估认定层次的重大错报风险。审计人员应当选择适当的审计程序实施控制测试,就内部控制在相关期间或时点的运行有效性获取充分、适当的审计证据。
3.3 实施实质性测试程序
实质性测试是审计人员针对评估的重大错报风险实施的直接用以发现认定层次重大错报的审计程序,包括对各类交易、账户余额、列报的细节性测试和实质性分析程序。
由于组织内部控制存在固有局限性,且审计人员对重大错报风险评估的存在一定的主观判断性,不能仅依据风险评估的结果和已执行的控制测试程序所获得的审计证据来评估会计报表整体的重大错报风险。无论评估的重大错报风险结果如何,审计人员都应对各类重要账户余额、交易类别等实施实质性测试程序以获取充分适当的审计证据。
4 风险导向审计在内部审计中的应用
内部审计主要以经营环境分析(公司内部支持)经营目标分析经营事项识别风险评估测试流程控制分析(内部控制)可接受风险分析实质性测试(性质、时间,范围)审计结论、建议的流程,采取自上而下,层层反馈,逐步完善的思路展开工作。
4.1 识别经营事项,评估项目风险(不含内部控制)
内部审计人员在接受审计项目后应了解该项目所处的经营环境及经营目标,应重点关注对组织内部环境的了解,如:待审计项目的性质、该项目在组织中的地位、组织中高层管理人员对该项目的期待等。识别被列为待审计项目的经济事项,特别注意识别与待审计项目相关联项目的性质、关联程度以及其对待审计项目的影响。
4.2 分析控制流程,识别控制风险
根据识别的经营事项了解相关事项的流程控制情况。根据对经营事项风险初步评估的结果合理安排审计资源,对于重要的事项流程应安排较多的审计资源,对于非重点的事项流程可以适当减少了解的范围、程度。内部审计人员应当获取有关经营事项控制流程的足够信息,使其能够识别控制,了解各种控制如何设计,如何执行,由谁执行,以及执行中所使用的数据、文件和其他资料等,判断控制中的关键点。
4.3 实施控制测试,评估控制风险
内部审计人员认为待审计项目的内部控制在某一期间或某个时点上得到执行,且认为测试内部控制是经济有效时,应当实施控制测试。控制测试的目的是评估控制运行的有效性。如:组织对各营销公司应收账款业绩评价的控制如下:财务人员每月都审核各营销公司的应收账款发生数,并与年初计划数和上年同期数相比较,对于当月应收账款变动较大的营销公司进行分析并编制财务分析报告,财务经理审阅该报告并采取适当的跟进措施。内部审计人员可以选取适当数量的月份抽查分析报告,如果该报告有相关财务人员的签字确认,证明该控制得到了执行。内部审计人员还应了解报告中当期应收账款变动异常的营销公司,并就此情况向财务经理询问,确认其是否采取了跟进措施。如果发现财务经理对报告中明显异常的数据并不了解其原因,也无法做出合理解释,显然该控制并未有效运行。内部审计人员还可以选取当期应收账款异常的营销公司向该营销公司经理询问,以了解财务经理是否采取了相关措施,该措施是否执行到位,评价该项控制的有效性。
4.4 评估可接受风险,实施实质性测试
评估可接受的剩余风险,并根据剩余风险的评估结果设计具有针对性的实质性测试程序。
在应收账款余额审计工作中,由于风险评估和控制测试的结果都获得了较高程度的信赖,审计人员拟选取较小范围的实质性测试。内部审计人员在进行常规审计后,将应收账款分为不同层次:对于重要客户的应收账款采取与客户现场对账的审计方式;对于次要客户的应收账款则有侧重点的选取客户发函询证;对于其他客户则通过检查客户订货合同、客户订货记录、往来款项、公司发货记录等,复核其应收账款余额的准确性该种层次的客户通常局限于往来业务较少、期间发生额较小的情况。内部审计人员应根据不同程序取得的审计证据判断是否采取进一步审计程序,如针对函证结果存在差异的客户,由于公司规定应收账款余额不允许出现差异,内部审计人员应采取追加审计程序,如检查差异客户的订货合同、客户订货记录、往来款项、公司发货记录等,并考虑是否要扩大细节性测试的范围,以获取更加充分的证据。
风险导向审计思想的提出给内部审计工作带来新思路的同时也对内部审计人员提出了新要求。在风险导向审计过程中需要运用大量的分析判断,并且由于内部审计工作的特殊性,对内部审计人员的知识范畴、专业判断等也提出了更高的要求。虽然新的风险审计准则为风险导向审计方法提供了指引,但在实际操作中如何运用风险导向审计方法合理的指引内部审计的日常工作,仍需要我们的不断探索完善。