目 录
引言 3
第一章:绪论 3
(一)研究背景 4
(二)研究的目的及意义 5
第二章:审计的概述 5
(一)审计的概念及特征 5
(二)审计的产生与发展 5
(三)审计的职能与作用 6
第三章:审计风险的概述 6
(一)审计风险的含义 6
(二)审计风险的特征 7
(三)审计风险形成的原因 7
第四章:审计风险成因分析 8
(一)审计目标和范围 8
(二)基本审计结论 9
(三)审计发现及建议 9
第五章:结论与展望 10
(一)研究结论 11
(三)我国未来审计职业的发展 11
结束语 13
参考文献 13
内容摘要
自改革开放以来,我国市场经济体系不断发展和完善,审计工作得到了持续快速的发展,在经济建设中为市场投资者提供独立、客观、公正的审计意见发挥了重要的作用。但是,随着全球经济的快速发展,国际经济金融联系加强,特别是全球经济金融一体化程度加深,企业经营环境日趋复杂,企业随全球经济危机带来的风险随之加大,导致企业的审计主体所承担的风险也不断增加,针对企业审计人员的投诉也不断增加。
为了避免审计行为错误的决策,审计人员必须向其上级(包括投资者)辩证其决策的依据。审计人员为了满足上级辩证的需求,在形成判断前、后需要整合并分析所得到的线索,以支持其决策。这一辩证的因素被称之为解释责任(Account ability)。除此之外,由于会计决策牵涉财务以及经济上的后果,财务诱因也逐步成为审计业界学者关心的因素。行为科学作为管理学科中一种综合理论体系,主要由社会学、心理学和人类学构成。将行为科学的基本原理引入审计领域,用以弥补传统审计学忽视经济行为因素及社会因素分析与评价的不足,为有效地监督、控制和评价经济行为提供的帮助,对企业应对经济危机风险具有深远的意义。
【关键词】审计风险、风险成因、风险控制、
审计风险及其控制研究
审计风险是指会计报表存在重大错误或者漏报,而注册会计师审计后发表不恰当审计意见的可能性,这直接影响着审计的成败,而审计结果有影响着投资者、雇员等相关的集团利益。近几年来,我国会计市场接连发生重大诉讼案件,有许多注册会计师和会计事务所都被牵扯到经济案件当中,在社会上产生了很大的反响,如何规避审计风险成为业界普遍关心的问题。审计方法、法律环境、内部控制制度、审计人员的专业胜任能力等影响着审计风险的产生,本文从审计环境、被审计单位、注册会计师以及会计事务所的角度入手,解决审计方法不合理、审计人员专业胜任能力不强、法律环境不健全、内部控制不严密等问题,旨在审计风险降到可以接受的范围。
第一章:绪论
(一)研究背景
审计的最初形态是官厅审计,我国是世界上最早产生审计的国家之一。早在春秋战国时期就形成了一整套审计监督制度——上计制度。宋太宗淳化三年(992年),我国的审计机构由“诸军诸司专勾司”更名为“审计院”,这是我国“审计”一词的起源。审计的模式是审计人员在一定的社会环境或者背景条件下为履行其监督、评价与服务的职能,实现服务主体价值最大化目标而采取的审计程序与方法的总和。
我国的内部审计不是在企业内部管理需要的动因下发展起来的,而是在政府的要求下,在我国审计部门的推动下建立起来的,1993年国家审计署成立后对内部审计的推动也发生了很大的作用。我国的内部审计基本准则指出:内部审计是组织内部的一种独立客观的监督和评价活动,它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现。
从近年风险审计与审计评价研究来看,审计服务基于追求业务量、追求满足支出的单纯成本效益式过程和模式发展,已经严重妨碍了审计服务的专业化与经济化进程。在面对当前审计风险的普遍性、客观性、非确定性、潜在性、偶然性、可控性、危害性的复杂状况下,采用定性评价与定量评价来评判审计服务是否满足客户的意见,是否实现效益最佳化,通过审计评价系统的研究,要求审计服务的效益,对审计服务进行结构的战略性调整,以及对审计服务的运筹与控制,已经成为一项有待解决与拓新的课题。本文正是这样的背景下,立意研究在审计风险下对审计风险的控制,并希望通过审计风险的研究,促进审计评价系统的建立。
(二)研究目的及意义
针对我国风险审计的特殊情况,目前的全面风险审计评价系统研究的理论和实践问题主要表现为缺乏基本的理论体系和一般方法,具体表现为:
1.基本型研究不够,表现在表象研究的多,深层次研究的少,零散研究的多,对各种理论、各种因素之间的联系不够重视。
2.模式结构研究过多,比较优化研究较少,宏观管理研究的较多,结合审计成本与效益研究的少,对那些不同领域,不同时空的问题,常常不能作出确定的解释,且众说风云,莫衷一是。
3.局部静态研究的多,系统动态研究的少,经验式研究的多,结合现代管理理论研究的少,加之,审计体系元素内部关系十分复杂,使人们很难发现某种变量与其他变量之前的确定性关系。
4.审计实施保护硬件环境(主要指审计方法与测试表格)关注的多,软件环境尤其是人的因素关注的少(忽视了“人力资源”及其“最优成本”的问题)
审计风险的研究的核心问题就是对审计评价的研究缺乏基本的理论和一般的方法,现有的研究缺乏系统性,许多审计评价理论研究成果,不但没有系统性、适应性、广泛性,甚至缺乏最基本的概念基础,与实际应用的距离较大。
第二章:审计的概述
(一)审计的定义和特征
审计是由国家授权或接受委托的专职机构人员,依照国家法规、审计准则和会计理论,运用专门的方法,对被审计单位的财政、财务收支、经营管理活动及其相关^^文档的真实性、正确性、合规性、效益性进行审查和监督。评价经济责任,鉴证经济业务,用以维护财经法纪、改善经营管理、提高经济效益的一项独立性的经济监督活动。它可以分为:审计主体、审计的授权者(或委托者)、审计的客体(对象)、审计依据、审计的目的和审计的本质这六个方面来理解。
审计的特征是指审计区别于其他管理活动的独特之处,审计是一种独立的经济监督、评价和鉴证的活动。它的特征集中体现在独立性和权威性这两个方面。
(二)审计的产生于发展
我国的内部审计是随着政府审计的产生和发展逐步形成。据史料记载,早在西周时期就有了内部审计的雏形,当时设置的“司会”一职,除了负责财政经济的全面核算以外,还同时行使内部审计之权,对王朝内的财务收支要按日、按月、按年进行考核,监督王朝财务在各部门、各环节的动态,并定期向周王报告,以维护统治阶级的利益。这种做法可称之为原始意义上的内部审计,在审计范围、方法和人员配备上只处于初步阶段,谈不上系统的审计理论和完善的审计制度。
我国现在的内部审计是伴随着政府审计的恢复和重建而产生和发展的。
党的十一届三中全会以后,为了适应社会主义市场经济的新趋势,强化各部门、各单位内部控制及管理,完善审计监督体系,中华人民共和国审计署与1984年提出在部门、单位内部成立专职的审计机构、配备专职的审计人员实施内部审计。1958年10月国家审计署颁布了《审计署关于内部审计工作的若干规定》,随后陆续颁布了相关法规。随着内部审计的重要性逐步被社会所认识,我国很多大型企业都设置内部审计机构,制定了有关内部审计的规定、制度。所有这些,都对我国内部审计的发展产生了巨大的影响,为内部审计的进一步完善创造了条件。
(三)审计的职能与作用
审计职能是指审计本身固有的内在功能,它是由审计本身的特征和地位所决定的,是审计本质的客观反映,是不受人们主观意志支配。但是,它也不是一成不变的,随着社会的进步、审计的发展,人们对审计职能的认识会日益深化。目前,理论界对审计职能的论述多种多样,见解各异,通过总结历史和现代的审计实践,多数人认为审计具有经济监督的职能、经济评价的职能和经济鉴证的职能。
审计的作用是根据自身的功能去完成审计的任务所产生的客观效果,就此而论,审计的作用和审计的职能是紧密相连的,是实现审计职能而取得实际效果。审计实践证明,审计具有制约、促进和证明的作用。
第三章:审计风险的概述
(一)审计风险的含义
审计风险是对含有重大不实事项的财务报表产生错误判断的可能性。它不包括审计人员可能误认为财务报表含有重要差错的风险,因为在这种情况下,审计人员往往可以重新考虑或增加审计步骤,这些步骤经常使审计人员的出正确的结论。审计风险的大小受内在风险、控制风险和检查风险的影响。被审计单位会计处理过程中发生重大不实事项的可能性称之为内在风险;被审计单位内部控制系统不能发现和改正也已经发生的重大不实事项的可能性称之为控制风险;审计人员在执行审计程序时,不能查出重大不实事项的可能性称之为检查风险。审计风险由内在风险、控制风险和检查风险组成,它们之间存在如下关系:审计风险=内在风险*控制风险*检查风险,这就是审计风险的模型。审计风险并不能在审计结束时以数学的形式加以确定,因为审计人员并不知道实际风险,而且要用判断来评价每种相关风险。
(二)审计风险的特征
由审计职业的特征决定了审计风险既具备风险的一般特征,又具有自身特点。具体的说包括下面几个方面:
1.审计风险存在客观性
所谓客观性,就是指审计风险是客观存在的,它不以审计人员的主观意志为转移,审计人员只能在审计的过程中采取有效的方法,通过有效的审计程序,去抑制、降低或控制审计风险,而不能完善消除审计风险。
2.审计风险具有无意性
审计风险是由某些客观原因或是审计人员并未意识到的主管原因造成的,即并非审计人员故意所为,审计人员在无意中接受了审计风险,又在无意中承担了审计风险所带来的严重后果。认识到审计风险存在无意性这一特点有着重要的意义,因为在这一前提下,审计人员才会努力避免减少审计风险,研究对审计风险的控制才有意义,倘若审计人员因某种私利而故意做出与事实不符的审计结论,则由此承担的责任并不形成真正意义上的审计风险,因为这种审计人员故意的舞弊行为本身就受到职业道德的谴责,应承担相应的法律责任。
3.审计风险具有复杂性
审计风险可能产生于审计主体,也可能产生于审计客体(即被审计单位),还受到审计环境的影响,这是从审计风险成因角度所表现出来的。另外形成审计风险的过程相对复杂,在审计业务执行的各个业务循环等可能产生审计风险。
4.审计风险存在可控制性
虽然审计风险具有客观性、普遍性等特点,存在于审计的全过程且不以人的主观意志为转移,人们不可能直接消除审计风险,但是审计人员可以通过很多有效的方法来控制风险、降低风险,把审计风险控制在可以接受的范围,即审计风险具有可控制性。
(三)审计风险形成的原因
随着社会经济的发展和人们对审计的理解的增加,人们对审计风险的认识发展到一个新的阶段。现阶段的审计风险与以往任何时期相比都明显增大。审计风险形成的原因很多,可分为客观和主观两个方面,被审计单位及社会法律环境方面的因素属于客观方面的原因,审计人员方面及其进行审计过程中使用方法不当等因素则属于主观方面的原因。
第四章:审计风险成因分析——美国审计署关于SBA财务管理信息安全的审计
背景
本次审计是2000年年度审计的一部分,主要针对美国小企业管理部(一下简称SBA)的财务管理信息系统进行审查,重点关注其财务管理系统是否达到美国联邦政府的内部控制要求。
美国审计署委托Cootton & Company LLP 会计师事务所开展本次审计,由事务所和审计署共同出具审计结论。在管理和预算办公室的A—130号文件关于“联邦自动化信息系统安全”和1987年颁布的“计算机安全行为”的规定中,阐明了联邦政府对信息系统内部控制的要求。
美国审计署对“一般控制”做如下分类:
1.企业整体安全控制:在充分考虑安全政策建立、职责分配、计算机监控等相关风险的基础上,搭建风险管理平台并制定持续经营政策。
2.进入控制:关注和限制对计算机资源的访问,从而防范这些资源遭到未经授权人的修改、谨防信息丢失和泄露。
3.应用软件开发和程序变更控制:防止未获批准的系统开发和对不符合变更流程的程序修改。
4.系统软件控制,对进入重要程序及控制计算机硬件和安全应用系统的敏感文件进行限制和监控。
5.职责分工控制,防止个人通过控制计算机的关键操作而实施未经授权的行为,或非法获得财产和记录信息。
6.持续经营控制,当出现灾难时,核心业务可以不间断运营或能够实现快速恢复,防止重要、敏感^^文档遭到破坏。
(一)审计目标和范围
作为财务审计的一部分此次审计的主要目标是检查SBA财务管理系统的一般控制,以确定其是否符合联邦政府的各项要求。审计范围主要是SBA的财务管理系统,该系统是一个多功能模块的系统,由贷款会计系统、自动贷款控制系统、丹佛财务中心系统、联邦财务系统、局域网和广域网和担保债权保证书系统这六个部分组成。
(二)基本审计结论
在2000年,SBA对其信息系统的内部控制机制实施了明显的改进,体现在一下几个方面:
1.为每个重要的应用系统都指派了一名经验丰富的安全管理员。
2.为每个重要的应用系统、网络和大型计算机进行资格验证。
3.针对操作系统的安全职责,向SBA内部员工和供应商提供认知培训,并要求他们每年接受这种培训。
4.开发程序,实现员工状态或访问权限变更的系统提示。
5.建立安全管理员的具体职责描述。
6.采用软件开发方法论,以完善在新系统开发、流程改进和程序变更等方面的流程规则。
7.建立质量控制程序,要求书面记录所以测试计划和结果。
8.限制程序员进入操作系统、设定系统功能、操作生产机数据,开发程序以监控程序员的访问。
9.评估关键系统的功能以及不相容职责在系统内的设定。
10.完成“灾难恢复”和“商业永续”计划的开发。
11.建立了“安全计划及风险评估”审批程序。
然而,下面几个领域仍需要进一步提高:
1.用于检测、评估系统安全的控制软件的效力。
2.网络服务器的物理进入限制。
3.文档管理系统开发。
4.操作系统架构的变更流程。
5.职责分工的合理性。
6.对灾难恢复计划的测试。
(三)审计发现及建议
1.企业整体安全控制流程
尽管SBA已经开发了包括风险管理、安全规范建立、职责分配和计算机监控在内的整体安全管理流程,但对此流程的执行不够充分。审计发现首席信息官办公室没有严格遵从已建立的安全监控规范和职责的政策及流程,包括建立测评系统安全等级的标准以及向高级管理层提供测评结果报告等。首席信息官办公室目前遵循的操作流程不符合联邦政府制定的关于持续监控日常操作的内部控制标准。因此,SBA目前的操作流程无法保证及时发现问题、提出改进并在有效时间实现纠正。
建议
审计组建议首席信息官召集相关办公室负责人:
(1)建立并实施用于监测和评估企业整体安全流程有效性的程序。
(2)每年组织一次网络和应用系统安全管理培训,以加强员工对安全控制的认知,确保其理解评估用户需求和实施日常操作的重要性。
(3)确保每年更新包含安全计划概要在内的SBA战略计划,以适应信息技术计划和建议。
(3)明确首席信息官办公室、人力资源办公室和小企业程序化办公室。
2.访问控制
逻辑和物理访问控制的目的是为了防止信息资源遭破坏、丢失和泄露。审计组发现SBA已经在这方面进行了重大改进。然而,三个方面仍有待完善:
(1)尽管SBA已对大部分网络服务实施了较为充实的物理防护措施,但是这些安全措施有待提高。如果有些机房装有电子门禁系统,停电时配用并不起作用,造成系统无法工作。此外,一些服务器的存放点不够安全,如存放在主办公区的一间办公室。
(2)局域网和广域网的登录账户没有使用密码保护。
(3)一些账户的密码长度不足8位,也为强制密码每90天更新。此外,有一下账户未设定最多尝试登录的次数。
SBA已经颁布了有关系统访问控制的政策和程序,但相关负责人没有接受充分培训,以确保这些政策和程序的有效实施,导致监测和控制力度受限。
建议
审计组建议首席信息执行官:
(1)建立和实施相关流程以确保网络服务器的物理安全。
(2)建立监控程序,定期扫描局域网和应用系统以确保对用户访问权限的控制符合标准。
3.系统软件控制
设计恰当的系统软甲能够监控、限制对计算机硬件、安全有重大影响的
程序和文件。SBA已经设定了充分的系统软件控制,但审计也发现了一些需要完善的地方,如局域网服务器不合标准,缺乏监控程序来保证所有对服务器施加的变更是经过批准的、且经过办公室之间的相互协调,并与《联邦信息处理标准》规定的网络协议兼容。局域网管理员在对网络服务器实施变更之前没有获得批准,增加了软件不当不更、数据遭破坏和敏感数据被修改或泄露的风险。
建议
审计组建议首席信息执行官:
建立相关流程,确保服务器的变更建议经过恰当复核和批准。
4.职工分工控制
总体上讲,SBA已对信息系统的参与者进行了适当的职责分工,但依然存在不足。如某位员工既是贷款管理系统的安全管理员又是高级贷款员,同事拥有现金系统的监管权限。管理和预算办公室要求关键业务系统的控制要遵循“最小权限”原则,关键功能不能由一个人全部完成,防止其对关键程序的破坏。
岗位转换时导致职责分工不当的主要原因,尤其是在对员工重新安排工作时往往会忽略此问题,没有考虑不当分工所产生的影响。此问题会增加未授权操作的风险,给公司带来损失。
第五章:结论与展望
(一)研究结论
纵观我国近10多年审计改革的历程,基于追求基本服务要求满足式的审计再造过程和模式发展,已发展地妨碍了审计风险的现代化进程,审计服务纯经济因素或技术因素的后面肯定有根本性非经济、非技术的因素在作用,必须以全新的理念研究审计,才能更好地认识审计的本质和内在特征,实现审计服务的业务重组与业务优化。
本文主要体现在将研究对象作为一个体系设计,将其放到相应的系统中加以考察,以理论研究为主,采用定性与定量相结合、理论与实证相结合,按照非线性思维模式和结构分析法,揭示审计风险纯经济因素或技术因素的后面根本性的非经济、非技术的活动因子的作用,并采用目前比较流行的分析方法和分析手段,建构解决审计风险,从而实现审计风险的综合运筹与控制的优化。
(二)我国未来审计职业的发展
20世纪70年代以来国外学者对行为审计的研究持续不断,80年代中期研究审计人员专业判断能力影响因素的文章急剧增加,研究者不断发掘新的因素。与此同时,审计师行业专长(audit firm industry expertise)的研究也成为一个重要分支,继1993年毕马威率先按照行业服务线对其组织结构进行战略重组后,美国许多大型会计公司已经一步形成了行业专门化的显著特点,旨在提高审计师的专业能力,有效降低审计风险。相比之下,国内的研究仍然主要集中于审计独立性,对审计专业能力的研究成果相对较少,这与我国审计市场先前的发展阶段有关。但在当前开放的审计环境中,专业胜任能力问题已成为我国审计职业进一步发展的严重桎梏,对审计独立性与专业胜任能力的重新认识,有助于我们在两者之间保持适当的平衡,在满足公众对审计独特性需求的同时保持审计职业的健康发展。
结束语
审计风险是客观存在于主管因素结合的产物,若想提高审计质量,降低审计风险,必须要从多方面着手,对审计的风险加以控制和防范。现代审计已经对审计职业提出了更高的要求,如何适应这一要求,对控制审计风险具有重要的作用。
参考文献
[1]张艳,《审计报告行为风险机制研究》北京:经济科学出版社,2013.5
[2]钱啸,《国外信息系统审计案例》北京:中国时代经济出版社,2007.1
[3]赵俊湦,《风险审计绩效评价》北京:中国社会科学出版社,2013.5
[4]丁瑞玲,《审计学》北京:中国财政经济出版社,2009.8
[5]胡春元,《风险基础审计》东北财经大学出版社,2001版
