审计风险、商业风险、业务关系风险、经营失败与
审计失败
一个学科的基本概念构成了这一学科的基础。风险的概念审计理论结构与审计实践中处于中心的地位。以评价被审计单位内部控制制度为基础的审计方式(制度基础审计)的过程就是对各项审计风险进行评估并据以实施审计活动的过程,正在兴起并可能在未来取得主导地位的以评价被审计单位商业风险为基础的审计方式(风险基础审计)在沿用审计风险的同时提出了“商业风险”的概念。审计,就是公允地评价被审计单位财务状况、经营成果与财务变动状况,而这一目的是通过评价被审计单位的财务报表与公会计标准的吻合程度而实现的。风险在此处就得到体现,因为要验证审计上的吻合程度,必然要使用审计人员的专业判断,这就带来不确定性,另外抽样方法的使用也带来了不确定性。事实上,只有恰当评价审计风险,才能正确评判上述吻合程度。绝对的吻合程度是不存在的,只存在着相对的吻合程度,而对这相对吻合程度的评判依赖于对审计风险的评判。然而,就目前而言,我们对审计风险本身及其子概念(固有风险、控制风险与检查风险)存在着不同的认识;对与之相关的几个概念也存在着认识上的模糊与混淆;甚至存在着概念误用,或者将几个貌似一致的概念等同起来的种种问题。因此,我们必须澄清甚至重建某些概念;又由于不同概念之间存在着逻辑关系,我们也必须澄清甚至重建概念之间的逻辑关系。同时,为了进一步地全面把握“审计风险”的概念,必须拓宽我们的视野,将“审计风险”这个概念与其它几个或者与其相关的概念、或者与其类似的概念进行比较;同时尝试构建概念之间由逻辑关系构成的逻辑结构,从而达到建立概念模型的目的,为其他理论分析提供基础。
在这篇文章里,我们的主要工作是将几个与审计风险紧密相关的概念进行比较与分析,然后描绘它们之间的逻辑关系,这些逻辑关系构成了概念与概念之间的逻辑结构。这些概念包括审计失败(audit failure)、经营失败(business failure)、商业风险或经营风险(client's business risks)、营业风险(auditor's business risks)、与审计风险(audit risks)。下图给出了审计理论结构中、也是在审计过程中审计人员要面临的与审计风险相关的几个重要概念,其中阴影部分是这篇文章所要讨论的重点(我们在另外的一论文里专门分析了,由“审计风险”及其子概念“固有风险”、“控制风险”和“检查风险”所组成的概念体系)。
其中:我们建议将营业风险(auditor's business risks)改名为业务风险(business risks)、关系风险(relationship risks)、或者业务关系风险(business relationship risks),一者是为了避免与商业风险或经营风险(client's business risks)混为一谈,二者是因为这些名字准确地表达了这种风险的内涵和实质。因此,可以将图表重新表达为:
本文分为三个部分。第一部分对各个概念进行定义,并且对部分概念之间的逻
辑关系进行分析;第二部分重点分析了在“制度基础审计”和“风险基础审计”两个不同方法体系之下有关概念之间的逻辑关系,同时希望能够将这些逻辑关系发展为逻辑结构;但遗憾的是,目前我们尚未能建立起概念之间的逻辑结构,也就无法达到建立概念模型的目的;第三部分对本文进行简总结,并指出审计理论建设中的问题和未来理论建设的可能之路。
一、各个概念的定义以及部分概念之间的逻辑关系
在使用“风险”这一概念的时候,通常有3种意见:(1)未来的不确定性,这个观点主要用于衡量波动的程度,而并非专门指向未来可能出现的坏结果的状态;(2)出现坏结果的可能性,这个观点仅仅指向了“不确定性”中属于“坏结果”的方面,却将“好结果”与“不好但也不坏的结果”这两个方面排除在外;(3)坏结果本身,例如,当人们说“某人不敢冒风险”时,其中“风险”的含义就是指“坏结果”本身,而不是指某种可以概率形式表达的“不确定性”或“可能性”。我们在研究中发现不同的学者、甚至同一学者使用了上述“风险”概念内涵和外延的不同层面,这引起和加剧了混乱,而这也是本文所力图澄清之处。
(一)“审计风险”的定义
对“审计风险”的定义存在着不同的意见(根据笔者的统计可以分为四大类几十小类)。其中有两种主要意见,一种认为“审计风险”是审计人员与会计师事务所存在着遭受损失的可能性,例如徐政旦、胡春元(1998)将“审计风险”定义为:“完整的审计风险概念,应从广义上解释,即不仅包括审计过程的缺隙导致审计结果与实际不相符而产生损失或责任的风险,而且包括营业失败可能导公司无力偿债,或倒闭所可能对审计人员或审计组织产生伤害的营业风险。”
另外一种意见认为审计风险是审计人员针对会计报表发表错误审计意见的可能性,例财政部注册会计师考试委员会办公室(2001)将“审计风险”定义为:“是指会计报表存在重大错报或漏报,而审计人员审计后发表不恰当审计意见的可能性。”
我们倾向于第二种定义,并认为审计风险是指审计人员不能形成和发布正确审计意见的可能,而不是指审计人员与会计师事务所可能承担的损失,尽管会计师事务所可能因为发布不恰当的审计意见而导致损失的产生。在这篇文章里也使用这种定义进行理论上的比较与分析。因为审计风险作为技术性程序风险,与实质性内容风险的营业风险存在着质的差异,固然它们在一定条件下可能相关,但是从根本上来说它们完全是两码事。也就是说,审计风险可能带来损失,也可能不会带来损失,审计风险与营业损失之间并不存在必然关系,更别提将它们等同起来;而营业损失也不一定是由审计风险所导致。
(二)审计失败
审计失败是指由于审计人员在实施审计的过程中没有遵守公认的审计准则而形成或提出了错误的审计意见。审计失败往往是因为审计人员缺乏职业胜任能力、疏忽大意、舞弊欺诈等情况所导致。
荆夕静(1995)曾指出:“对于注册会计师而言,过失主要是指未曾遵守专业标准的要求执业。过失按其程序又可分为普通过失和重大过失。对于注册会计师而言,普通过失是指没有完全遵循专业标准的要求执业,重大过失则是指根本没有遵循专业标准或专业标准的主要要求执业……对于注册会计师而言,欺诈就是为了达到欺骗他人的目的,明知委托单位的会计报表有重大错报告事项却加以虚伪的陈述,出具无保留意见的审计报告。”需要指出的是,这里的“过失”就是指“审计失败”。
(三)经营失败
经营失败是指被审计单位破产或者无力偿债务。此处我们要注意到经营失败是指被审计单位、也就是会计师事务所的客户在经营方面的失败,而不是指会计师事务所在经营审计业务方面的失败;当然,事务所作为一企业也会面临经营失败,但是那是另外的话题了。
陈今池(1994)将“经营失败”定义为:“指技术性无力偿付。即企业没有能力支付到期债务。主要由于企业经营不善和连续亏损所造成的。可以采用以下两种解决方式:(1)债务和解,指在破产法院之外,债权人达成协议,允许企业延期偿还一部分债务,并允许企业进行改组和继续经营;(2)破产,指破产法院宣布企业进行清算资产和结束营业。”
其他定义还有,如A.A.阿伦斯、詹姆士。洛贝克(1991)这样写道:“存在企业由经济或营业条件,如经济萧条、决策失误或同行业之间意想不到的竞争等,而无力归还借款或无法达投资人期望的风险。反映营业风险的极端情况就是营业失误”。他们同时还指出:“在发生营业失误而不是审计失误时,困难就产生了,当某一公司破产或无力偿还债务时,报表使用者指责审计失误是正常现象,在最近提出的审计意见说明财务报表表达公允时,更是如此。”
此处需要做两点说明,一是原译者将business failure和audit failure分翻译为“营业失误”和“审计失误”,而实际上应该分别是“经营失败”和“审计失败”才更准确;另外一点是以上的定义和进一步的声明将“经营失败”和“审计失败”加以明确地区分,我们实在不该将它们混为一谈。
(四)审计失败与经营失败存在着什么样的关系呢?
在现实中,由于被审计单位的经营失败往往会导致财务报表的使用者指责产生了审计失败,尽管可能实际上并不存在审计失败。不单如此,财务报表使用者还会要求审计人员承担由于他们使用财务报表所引起的损失;实际上,绝大部分针对会计师事务所和注册会计师所提起的诉讼是由于被审计单位的经营失败所引起的。在现实生活中,因为经营失败而引起有关各方遭致损失,而损失遭受者就往往将审计人员当作替罪羊而要求他们承担责任。例如,A.A.阿伦斯和
詹姆士。洛贝克(1991)指出:“指责审计失误的另一部分原因,是遭受损失的人们希望得到补偿,而不管错在哪方”。
但是,正如财政部注册会计师考试委员会办公室(2001)所正确指出:“出现经营失败时,审计失败可能存在,也可能不存在。”也就是说,经营失败与审计失败之间没有必然的联系,没有直接的因果关系。也就是说,审计失败并不导致经营失败,审计人员无须为被审计单位的经营失败承担任何责任;另一方面,经营失败也并不导致审计失败。
(五)商业风险或经营风险
目前看来,商业风险(经营风险)有两个含义,一是指企业在经营过程中所面临的种种不确定性;二是企业没有达到预期经营目标的可能性。在不同的场合人们选用不同的含义。
陈今池(1994)将“商业风险”定义为:“指预期收益减少或损失发生的概率。企业有两种不同的风险:一种风险可以通保险而加以预防。例如,火灾和其他自然灾害。另一种风险是由于未来营业情况的不确定性而产生的。例如,消费需求的变化和生产技术的变化,对投资所带来的风险。这种风险会导致企业实际收益少于预期收益甚至发生损失。”然而我们认为,本定义所指出的未来不确定性是否一定会导致实际收益少于预期收益或者发生损失需要进一步斟酌。另外更需要指出的是,“预期收益减少或损失发生的概率”与“未来营业情况的不确定性”相比,前者应包含在后者之内,而不是后者包含在前者之内。尽管如此,本定义仍然面面俱到地包含了商业风险的两个方面。
A.A.阿伦斯和詹姆士。洛贝克(1991)将商业风险定义为:“存在企业由于经济或营业条件,如经济萧条、决策失误或同行业之间意想不到的竞争等,而无力归还借款或无法达到投资人期望的风险。”明显地,这个定义只包括“企业没有达到预期经营目标的可能性”的这一方面,而这正是笔者所赞同的定义。
从以上对“商业风险”定义的严密分析中,我们希望能够着重指出:“商业风险”是指被审计单位、也就是会计师事务所和审计人员的客户所面临的风险,而不是指会计师事务所和审计人员本身所要面临的风险。另外,应十分注意将“商业风险”与“审计风险”区别开来,审计风险的“风险”与目前人们正在谈论的“风险审计”、或者“风险基础审计”之中的“风险”是不一致的,前者是指审计人员不能正确表达审计意见的可能性,而后者是指被审计单位在经管理中无法达到预期目标的可能性。但是在现实中,无论是进行学术研究还是开展实务工作,都存在着将它们混为一谈的现象。
(六)业务关系风险
如前曾述,“业务关系风险”旧名“营业风险”,笔者建议改名为“业务风险”、“关系风险”或者“业务关系风险”,本文使用其中的“业务关系风险”。业务关系风险是指尽管审计人员和会计师事务所遵循了公认审计准则并发布了正确的审计意见,然而由于与被审计单位之间的特定关系,因此可能受
到被审计单位的牵连(特别是在被审计单位发生经营失败时)而可能导致审计人员和会计师事务所要承担一定损失的风险。需要注意的是,业务关系风险是指审计人员和会计师事务所,而不是指被审计单位所要承担的风险,业务关系风险不是由于审计人员和会计师事务所的过错或失误而引起的,而是因为审计人员和会计师事务所与被审计单位的特殊业务关系而引起的。
胡春元(2001)将“营业风险”定义为:“营业风险是指虽然为某一客户提供的审计报告正确无误,但审计人员(或承担审计的会计师事务所)却由于一种客户关系而受到伤害的风险。”A.A.阿伦斯和詹姆士。洛贝克(1991)将“营业风险”定义为:“营业风险则是指,虽然为某一客户提供的审计报告正确无误,但审计人员(或承担审计的事务所)却由于一种客户关系而受到伤害的风险。”两个定义几乎相同,从某种程度上显示了人们对“营业风险”的认识的一致性。另外,A.A.阿伦斯和詹姆士。洛贝克(1991)在同一著作中进一步指出“控制营业风险的主要因素就是小心控制审计风险”,则明确地告诉人们营业风险与审计风险是两码事,应注意加以区别。当然,这里所说的“营业风险”就是本文的“业务关系风险”。
(七)业务关系风险与审计风险和商业风险存在着哪些关系呢?
从以上的分析中,我们可以看出:第一、业务关系风险并非审计人员在开展审计工作时在审计过程中产生的,不是基于审计项目、审计范围与重点、与审计程序和与方法而产生的;它不是一种技术性程序风险。第二、审计风险产生于具体的审计过程之中,它的边界应仅仅包括“固有风险”、“控制风险”与“检查风险”三个子集,而不应包括“业务关系风险”;因为这种重大区别,将业务关系风险作为审计风险的子集置于审计风险这个概念之下是不合适的;但实际上如果将“审计风险”定义为“会计师事务所可能遭受的损失”(徐政旦、胡春元,1998)就把“营业风险”不恰当地包括在内了。第三、业务关系风险与商业风险(经营风险)是两个完全不同的概念,但由于与过去的用词“营业风险”很接近,容易引起混淆。
至此,本文对审计失败、经营失败、商业风险(经营风险)、业务关系风险与审计风险等概念进行了辨析,引用并指出了各种不同定义之间的矛盾和含糊不清之处,还给出了本文的定义;同时我们还分析了部分概念之间的逻辑关系,当然这些分析是在我们所定义的概念体系之下进行的。
二、“制度基础审计”和“风险基础审计”之下的概念体系
在这里,我们将进一步分析上述有关概念之间的逻辑关系,但是目前我们尚未能够将这些逻辑关系发展成为某种清晰的逻辑结构。这里的分析将概念置于两个不同的审计方法体系之下,它们分别是“制度基础审计”和“风险基础审计”。我们认为,随着从“制度基础审计”向“风险基础审计”的演进,概念
体系也应随之演进,但遗憾的是,目前“制度基础审计”之下的审计概念体系都不完善,更遑论“风险基础审计”之下的概念体系了。它们之间的主要区别在于,“制度基础审计”以“审计风险”为核心;而“风险基础审计”以“商业风险”为核心,同时关注“审计风险”。另外,以“审计风险”为核心的概念体系为目前国际国内审计界所普遍使用,而以“商业风险”为核心的概念模型则可能需要审计界去开发。
(一)“制度基础审计”:以“审计风险”为核心的概念模型
以评价被审计单位的内部控制制度为基础的审计过程就是对“审计风险”进行评估从而决定采用相应的审计计划、审计战略与审计工作程序和方法的过程,这种方式所依赖的是以“审计风险”为核心的概念模型。请看以下的分析:
1.商业风险与审计风险
一般而言,商业风险越高,固有风险就越高,因此固有风险和控制风险的综合水平就越高,可接受的检查风险就越低;商业风险在很大程度上影响着审计风险,但是审计风险却难以反过来决定、推导或者说明商业风险的高低。
2.固有风险和控制风险的综合水平与检查风险水平之间的关系
在一定的期望风险水平之下(审计人员可接受的风险水平),固有风险和控制风险的综合水平与检查风险的水平成反比,即综合水平越高,可接受的检查风险就越低,此时审计人员必须扩大审计范围以降低检查风险;相反,如果综合水平越低,可接受的检查风险就越高,此时审计人员就可以适当缩小审计范围。
3.不是商业风险,而是审计风险
制度基础审计所主要测试的是审计风险,而不是商业风险。在这个方法体系下,在评估固有风险时也要考虑被审计单位的商业风险,但对其商业风险的评估并非是主要的工作。
4.制度基础审计以评估被审计单位的控制风险为核心
对控制风险的初步评估、健全性测试、有效性测试在很大程度上影响着审计工作计划,决定着实质性测试的范围;而且,审计人员在终结审计之前,将对控制风险进行最终评估以决定是否追加审计程序。可以看出,控制风险水平对检查风险水平有着重大影响。
(二)“风险基础审计”:以“商业风险”为核心的概念模型
1.“风险基础审计”的起源与发展
为了更好地理解概念体系的变迁,让我们来简要地回顾一下“风险基础审计”发展历史的某些片段。有人认为,在经历了全面详查、抽样检查、以评价内部
控制制度为基础的抽样检查等审计方法体系之后,将可能迎来审计方法的第四次革命——即以评价企业商业风险为基础的抽样检查。在1999年,来自加拿大、英国和美国的审计准则制定者和学术界组成了一个联合工作组,目的在于调查各主要会计师事务所在审计方法方面的最新进展。2000年5月份,联合工作组编写了名为《各大会计师事务所审计方法的发展》的报告以公布研究结果。研究指出了审计方法论方面的一个重要趋势,即大大加强了对被审计单位的“商业风险”的考虑,“商业风险”被定义为被审计单位不能达成其经营目标的风险。这与传统的审计风险模型不同,它将审计风险定义为财务报表实质性错误陈述的风险;而“商业风险”这个概念则包含着宽广得多且不同于审计风险的风险类型。扩大对风险的考虑更有可能使审计人员能够识别那些导致财务报表错误陈述的问题;另外,从整体上考虑客户的生意使审计人员能够有机会就客户的业务经营提出建议以提供更好的服务。很重要的是,扩大对风险的考虑并非意味着在财务报表目标和实质性错误陈述方面的风险已经被忘记了。风险基础方法(business-risk approach)假定商业风险与传统的审计风险之间存在着关系,而且发现财务报表错误陈述的最好方式就是从更宽广的角度来考虑“风险”这个概念。2000年8月份POB审计效果工作组在其报告《审计效果工作组:报告与建议》中认可了联合工作组的工作,并建议审计准则委员会考虑联合工作组的建议,即拓宽对商业风险考察范围的做法将提高审计质量。出于对联合工作组和POB工作组的反应,审计准则委员会(ASB)成立风险评估专门小组并提出了下列建议:(1)存在着更深了解被审计单位的生意和经营环境的需要,经营环境与对财务报表错误陈述的评判之间存在着十分清晰的联系。至少,这样做将改进审计人员对固有风险的评估,而且将最大程度,上消除那些在固有风险评估时的“自以为是”。(2)更加重视被审计单位内部控制制度以便规划审计工作,这样的内部控制制度对是什么构成了内部控制这个问题有着明确的指南。(3)澄清了为了理解被审计单位内部控制制度,审计人员应怎样获得关于其有效性的证据。
审计准则委员会相信新的审计方式将给审计人员带来很多好处。其中包括:(1)审计效果。对商业风险更为宽广的关注以及对被审计单位生意的更多了解,将导致对那些很可能影响财务报表的固有风险更彻底的识别。同样地,更为关注被审计单位已设置的内部控制制度也将导致对那些很可能影响财务报表的控制风险更彻底的识别。(2)审计效率。对财务报表实质性错误陈述风险的更好评估将意味着审计人员把他们的注意力集中在这些风险的来源和结果之上,同时在那些低风险的领域避免过度审计。(3)客户服务。更加重视客户的商业风险使审计人员能够从客户的角度出发增加审计工作的价值。审计可以为管理层提供有价值的洞见和信息。这一点将给审计人员提供一个使他们自己与众不同的机会。
进行了上述背景回顾之后,现在让我们开始进行有关分析。
2.不是审计风险,而是商业风险
目前审计界,包括学术界、实务界和准则制定者都在探索如何将评价商业风险与评价内部控制制度结合起来,以更好地实现审计目标。我们要始终认识到,“风险基础审计”中的“风险”是指被审计单位的商业风险,而不是传统意义
上的审计风险。然而,在我们所看到的文献中,有一部分学者仍然将“风险基础审计”的“风险”看作是传统意义上的审计风险;另外一部分学者将它看作是固有风险中的一部分。有的学者虽然意识到此风险指的是“商业风险”,但在进一步的应用上,包括在理论探讨方面和业务实践方面,仍然存在着?混淆不清、前后不一致的情况。例如,在同一本书的前面部分使用“商业风险”的概念来讨论“风险基础审计”,在后面的分析部分或者在应用部分却又自觉不自觉沿用原有“审计风险”的概念。
3.商业风险与审计风险并重
如上所述,扩大对风险的考虑并非意味着在财务报表目标和实质性错误陈述方面的风险已经被忘记了。美国审计准则委员会(2002)更是指出:“对商业风险更为宽广的关注以及对被审计单位生意的更多了解将导致对那些很可能影响财务报表的固有风险更彻底的识别。同样地,更为关注被审计单位已设置的内部控制制度也将导致对那些很可能影响财务报表的控制风险更彻底的识别。”可以合理地估计,在未来的审计方法体系中,人们将对被审计单位的内部控制制度与其所面临的商业风险同样重视,也就是商业风险与审计风险并重。
4.商业风险与固有风险
目前在讨论固有风险时,会谈到被审计单位的生意状况与所在行业情况等,这实际上是“商业风险”的一部分,在这里确实存在着“固有风险”和“商业风险”重叠的部分。然而商业风险与具体审计过程所面临的技术性程序风险存在着天壤之别。
三、对本文的简要总结
会计界与审计界人士公开承认目前对审计理论体系研究才刚刚起步,还存在着巨大的不足和广阔的空间。这种不足一方面表现为审计理论大厦远未建立,另外一方面表现为建筑这座大厦的建筑材料——例如基本假设、基本概念和基本原理的缺乏和不完善。段兴民(2003)认为“审计假设从提出到现在,见解颇多,各执其见,各有其论。既表明了审计假设研究的繁荣,也说明审计假设内容的广泛性并没有形成主导性观点或基本认识”、“与(审计)假设相联系的审计概念也是不完全相同的,即使前后联系的概念相似,但在不同的审计理论体系中,各概念的含义也是不完全相同”。笔者曾经对“审计风险”这个审计核心概念做过一个统计,发现在国内外有四大类的审计风险概念,各自的内涵和外延都有歧异,在四大类大概念之下还有数十种从属的小概念。一个学科的核心概念尚且如此,其他概念的状况可想而知。但这种不成熟状态也意味着审计理论体系研究存在着很大的空间。
目前在制度基础审计中有关审计风险的各个概念尚未统一,各个概念之间的逻辑关系似是而非,因此实际上并不存在概念框架。面向未来,我们面临着从“制度基础审计”向“风险基础审计”的演进,相应的概念体系也应随之演进。这就要求对某些概念进行反思和重新定义,要求划清有关概念之间的界限,要求建立全新的系统性概念框架,而这一切因为我们目前的概念混乱而变
得不可能。在这样的基础上,审计理论结构这座大厦是无法得以建立的,因此我们必须进一步深入地讨论,从而为审计理论结构的发展奠定基础。
那么什么是理论建设的可能之路呢?我们认为鉴于目前正处于变革的过渡时期,一方面人们仍然大量使用“制度基础审计”,另一方面“风险基础审计”在快速地蓬勃发展,所以我们可以将有关概念的发展置于两个不同的体系之下进行考察,探讨不同概念的逻辑关系与它们之间的逻辑结构。在构建新的理论体系时,我们有必要对原有的概念进行重新定义,以使其在新的概念体系中得到更好地定位,这样才能完成从原有的概念体系到新的概念体系的演进,才能使新的概念体系的逻辑结构前后一致,没有内在的矛盾。
参考文献」
①A.A.阿伦斯、詹姆士。洛贝克著。张杰明、文善恩等译,1991,《当代审计学(上)》,中国商业出版社,110-252
财政部注册会计师考试委员会办公室,2001,《2001年度注册会计师全国统一考试指定辅导材料——审计》,经济科学出版社,117-219
②陈今池,1994,《立信英汉财会大词典》,立信会计出版社,164-926
③段兴民、康华,2003,“对审计假设的再认识”,中国审计学会、中山大学理学院“走向现代化的中国审计”论文集
④胡春元,2001,《风险基础审计》,东北财经大学出版社,荆夕静等,1995,“法律角度看我国的注册会计师审计”,《财会审》,第6期
⑤徐政旦、胡春元,1998,“论民间审计风险”,《审计研究资料》,第1期
目前商业银行审计需解决的几个难点问题(一) 近年来,随着商业银行审计由财务收支审计发展到“风险、管理、效益”审计,实际工作中遇到许多难点问题,需要加以研究和解决。 一、商业银行审计需解决的难点问题 (一)商业银行案件频发,审计力量不足,审计风险不断加大 一方面,商业银行案件频发,经营风险巨大。商业银行与社会各领域联系广泛,是一个高风险的行业。近年来在审计中发现,不法分子时刻关注商业银行管理漏洞进行金融诈骗活动,或与银行员工内外勾结联手作案,如诈骗贷款、挪用客户存款和伪造票据等重大案件时有发生。在审计工作中,尽管审计人员实施了必要的审计程序和审计方法,但仍然存在较大的审计风险。另一方面,审计机关整体力量不足,审计时间有限,违规问题未能发现和披露的潜在风险较大。一般对省级分行系统审计由十几名审计人员在几个月时间内完成,面对商业银行众多的分支机构、大量数据和资料,存在应发现而未发现重大违法违纪问题或典型性、倾向性问题的情况,使商业银行审计面临较大风险。 (二)商业银行业务复杂,不断扩展和创新,给审计工作带来新的挑战 近年来,对商业银行审计采取轮流的方式进行,几年循环一次,审计人员很难全面掌握各商业银行内部经营管理等情况。加之商业银行不断推出新业务,现有审计人员专业素质、知识结构不能完全适应审计发展的需要。目前,审计机关中既有较高的金融知识水平,又有多年金融审计工作经验的人员所占比例很小。部分从事金融审计的人员,虽然具有长期从事金融审计工作的经验,但对金融新业务了解不多,只能对商业银行财务收支或原有业务进行审计,对其不断出现的新业务无法开展审计。 (三)审计技术方法滞后于金融业信息化的步伐,难以满足审计发展的需要 商业银行审计的目标是防范风险、促进管理、提高效益,要实现这一目标,就需要审计人员对商业银行进行全面了解和审计,做出客观公正的评价。而面对商业银行庞大的金融数据,传统的审计方法已经不能适应信息化审计发展的需求。目前,虽然开展了计算机辅助审计,但审计软件技术开发很慢,同商业银行的数据接口没有实现,对后台数据的下载速度慢,影响了审计的效率。在实际工作中,由于商业银行机构庞大、点多面广,审计机关不能对其进行全面审计,只能选择部分分支机构进行抽查,且在审计中,判断抽样贯穿审计过程的始终,这样就可能以偏概全,做出错误的审计评价。如,在审计报告中,对商业银行某项业务或某一方面工作进行审计评价时,很难做出“符合”、“基本符合”、“不符合”的评价。即使是“基本符合”的评价,也存在较大的审计风险。 (四)商业银行与审计机关信息不对称,且存在向审计机关提供虚假信息的问题 商业银行处于信息完全占有的优势,审计人员处于信息不完全占有的劣势,商业银行与审计机关之间不可避免地存在信息不对称分布的矛盾。因此,审计人员对商业银行全部经济活动的真实性难以全面准确把握,这将给审计人员的判断、分析和评价行为带来难度和风险,从而影响审计结果的客观、公正。如,近年审计发现的商业银行为完成业绩掩盖不良贷款,致使信贷资产质量不真实的问题,审计人员只能对这一问题定性分析,而很难掌握商业银行全部不良资产的真实数字。
安达信审计失败案例 如果说公司治理和内部审计是确保会计信息真实可靠的第一道闸门,那么,独立审计就是防范重大会计差错和舞弊的最后一道防线。独立审计存在的理由是为了满足公司的高管人员和投资者等利益相关者有效利用会计信息的共同需要。高管人员和投资者等利益相关者之间存在着严重的信息不对称和潜在的利益冲突,高管人员有提供低质量甚至是不实会计信息的动机,而投资者等利益相关者又缺乏足够的资源和专业知识验证会计信息的质量和真伪,因此需要由独立的第三方即注册会计师对高管人员提供的会计信息进行鉴证,并对财务报表发表专业意见,以缓解信息劣势对利益相关者的潜在负面影响。但是,当高管人员提供的财务报表存在重大错报漏报(包括由于财务舞弊引起的错报漏报),而注册会计师在鉴证过程中未能发现这些错报漏报,仍对财务报表的整体公允性发表无保留审计意见时,审计失败就出现了。 重大审计失败的常见原因包括被审计单位内部控制失效或高管人员逾越内部控制、注册会计师与被审计单位通同舞弊、缺乏独立性、没有保持应有的职业审慎和职业怀疑。尽管世界通信公司存在前所未有的财务舞弊,其财务报表严重歪曲失实,但安达信会计公司至少从1999年起一直为世界通信出具无保留意见的审计报告。就目前已经披露的资料看,安达信对世界通信的财务舞弊负有不可推卸的重大过失审计责任。安达信对世界通信的审计,将是一项可载入史册的典型的重大审计失败案例。 安达信对世界通信的审计失败,主要归于以下四个方面: 安达信缺乏形式上的独立性 根据世界通信2002年4月22日提供的“征集投票权声明”(Proxy Statement),安达信2001年共向世界通信收取了1680万美元的服务费用,其中审计收费440万美元、税务咨询760万美元、非财务报表审计(主要是外包的内部财务审计)160万美元、其他咨询服务320万美元。自1989年起,安达信一直担任世界通信的审计师,直到安然丑闻发生后,世界通信才在2002年5月14日辞退安达信,改聘毕马威。安达信在过去10多年既为世界通信提供审计服务,也向其提供咨询服务。尽管至今尚没有充分的权威证据证明同时提供审计和咨询服务可能损害会计师事务所的独立性,但2002年7月30日通过的“萨班斯-奥克斯利法案”对代理记账和内部审计等9项咨询服务所作出的禁止性规定以及对税务咨询所作出的限制性规定,至少说明社会公众和立法部门对兼做审计和咨询可能损害独立性的担忧。此外,世界通信历来是安达信密西西比杰克逊(世界通信总部所在地)分所最有价值的单一客户,这一事实不禁让人对安达信的独立性存有疑虑。杰克逊分所的设立,目的是为了“伺候”和保住世界通信这一给安达信带来不菲审计和咨询收入的客户。这种情况下,杰克逊分所的安达信合伙人难免会对世界通信不规范的会计处理予以“迁就”。对世界通信的主审合伙人而言,丢失这样一个大客户,其后果是不堪设想的。 安达信未能保持应有的职业审慎和职业怀疑 安达信向美国证券交易管理委员会(SEC)和司法部门提供的1999至2001年审计工作底稿表明,安达信在这三年里一直将世界通信评估为具有最高等级审计风险的客户。在编制1999至2001年度审计计划时,安达信对世界通信审计风险的评估如表1所示。
试论审计风险的产生原因及防范措施 [提要] 审计质量是审计工作的生命线,但近年来我国信息失真严重,加之有些单位、部分“反审计”的手段多种多样,审计环境变得越来越复杂,这些都使得审计风险日趋增大。审计风险已成为国家审计机关,审计组织和内部审计机构及广大审计职员需要重视并加以的题目。本文试从主客观两方面审计风险产生的原因,并提出如何有效控制和防范审计风险,使审计更好的为国家服务。[关键词] 审计风险财务报表控制国际审计准则第25号《重要性和审计风险》将审计风险定义为:“审计风险是指审计职员对实质上误报的财务资料可能提供不适当意见的风险。”《美国审计准则说明》第47号(SAS47)以为:“审计风险是审计职员无意地对含有重要错报的财务报表没有适当修正审计意见的风险。”我国《独立审计具体准则第9号—内部控制与审计风险》则将审计风险定义为:“审计风险,是指会计报表存在重大错报或漏报,而注册会计师审计后发表不恰当审计可能性。”以上三个定义,固然界定的范围有所不同,但对审计风险涵义的表述是基本一致的,即审计风险是指审计职员对存有重大错报和漏报的财务报表,审计后却以为该重大错报和漏报并不存在从而发表审计意见与事实不符的风险。因此,我们可以以为,审计风险由两方面风险构成:一方面是财务报表本身存在重大错报和漏报的风险,另一方面是审计职员审计后表示该报表并不存在重大错报和漏报的风险。也就是说,审计风险是客观存在和主观因素的结合:即审计风险=固有风险×控制风险×检查风险。一、审计风险产生的原因
(一)审计风险产生的客观原因 1.审计活动所处的不断变化的环境市场经济是法制经济。审计活动作为经济生活中一个重要组织部分,也毫无例外地接受法律的规范与调整。法律赋予审计部分权利的同时,也让其承担相应的责任。审计责任的扩展是产生审计风险的重要原因。市场经济越发展,国家、社会对审计的要求就越高,审计对象从受托的财务责任扩展到经营责任、治理责任;审计范围从会计记录扩展到经营活动;审计职能从经济监视演变为以监视为基础的经济鉴证和经济评价。审计职员的审计责任从检查帐表的正确性扩展到证实被审查的经营活动是否有重大舞弊行为,是否有重大损失浪费题目等。审计承担的责任越多,审计风险就越大。 2.审计对象的复杂多变增加了审计风险我国国民经济呈现较快增长,关键领域的改革有所突破,大量外资引进,民营、联营、个体等各种经济成分并存。多种经济组织的经济业务类型繁杂、交易工具多变,承包、租赁、收购、吞并、破产、重组、关联方交易等新题目不断出现,纷繁复杂的审计对象是被审计单位全部或部分的经济活动及载体。而经济活动的载体主要是会计资料及其他相关资料,内容庞杂广泛。社会公众要求审计职员揭示出重大的差错与舞弊,并对持续经营能力作出评价,对企业在财务方面是否遵纪遵法做出报告。然而有关这方面的信息不确定性很大,信息的风险也很高,审计职员得出结论的正确性难度增加,风险在所难免。另外,企业自身在核算中出现的错误也成为审计结果发生偏差的原因。 3.实行会计电算化带来的审计风险。目前采用会计电算化的单位在被审计对象中占有很大比例,一旦出现
银行风险管理审计
[摘要]风险管理审计是对传统审计方式的突破和创新,是融风险管理、审计为一体的新兴审计模式,本文对银行风险的界定及类型、银行风险管理审计存在的问题以及银行风险管理审计的优势等问题进行了阐述。[关键词]风险管理审计内部审计问题优势风险管理起源于20世纪60、70年代,20世纪80年代在金融、保险、制造业等行业的大企业有了发展,从风险管理内容的规范性来看当属银行和保险业。风险管理审计是在20世纪末2l世纪初,随着风险管理导向内部控制时代的来临,风险管理成为内部审计关注的重点。它不仅关注传统的内部控制,更加关注有效的风险管理机制。内部审计人员通过对当前的风险分析确保其审计计划与经营计划相一致。风险管理成为组织中的关键流程,促使内部审计的工作重点不仅是测评控制,而且包括确认风险及测试管理风险的方法,风险管理审计是内部审计发展的新阶段。一、银行风险的界定及类型1.银行风险的界定关于银行风险现有两种说法。一是指商业银行在经营中由于各种不确定因素而招致经济损失的可能性。二是指在货币经营和信用活动中,由于各种事先无法预料的不确定因素的影响,使银行的实际收益与预期收益发生背离,有蒙受经济损失或获得额外收益的双重机会和可能。本人同意第二个观点。银行风险存在于银行价值
链的每一个环节,可以说,银行自成立之日起就是在风险管理的过程中谋取收益的。对银行风险的正确理解须注意以下几点:(1)银行风险不等于银行损失。风险指的是发生不利或有利事件的可能性;而损失是消耗或丧失的东西,是原来不确定事件形成的一种事实。两者的着眼点不同,风险着眼于未来,损失着眼于现在和过去。(2)风险既是一种挑战又是一种机遇,它具有双重性。(3)它包含多层次风险内容且有动态性的范畴。多层次的风险包括法律风险、政策风险、决策风险和操作风险等。(4)商业银行风险更多的是经济运行中风险的反映,与经济主体的行为目标、决策方式和经济环境相联系,并不单纯是银行自身的问题。 2.银行风险的类型我国银监会制定并于2005年2月1日起实施的《商业银行内部控制评价试行办法》指出,商业银行的主要风险包括信用风险、市场风险(含利率风险)、操作风险、流动性风险、法律风险以及声誉风险等。从实践来看,对于银行影响比较大的风险主要有四种:信用风险、操作风险、市场风险和流动性风险。二、内部审计在风险管理中的定位、职责与作用内部审计是一种独立、客观的确认与咨询活动,它通过应用系统的、规范的方法,评价并改善风险、控制和治理过程的效果,帮助组织实现其目标。由于其自身的特点,内部审计参与风险管理拥有一定的优势。内部审计部门和人员熟悉本单位情况,对单位面临的风险更了解;内
随着市场经济的发展,社会审计的范围逐渐拓宽,人们对审计的期望越来越高,审计职业的责任也越来越大。社会经济生活的复杂性和不确定性增加了审计的难度,相应产生了一定的审计风险。为此,人们应正确认识审计风险,增强审计风险意识,积极有效地预防和控制审计风险,使审计在维护市场经济秩序方面起到应有的作用。下面笔者就从审计风险的形成原因及风险的控制与防范等方面作一浅析。 一、审计风险的成因及存在的主要环节 (一)审计风险的主要成因 1.审计机构自身不当形成的。如审计人员素质、能力的差别造成同类审计业务结论不同;审计人员职业道德品质的高低决定审计行为的偏差,导致审计结论的偏差;审计人员在取证和选用证据上,都存在很多不确定因素,如果取证不充分,其结论也就不一定合理;审计操作不规范、审计程序脱节、主观臆断、凭经验办事,就增加了审计的失误率;审计方法选择不当,也将影响审计结论的是否正确等。 2.社会环境对审计风险的影响。这主要是企业内部控制制度不完善或执行不力,而审计人员又不能觉察所造成的风险。即使审计人员确认被审计单位的内部控制制度不合理或在关键环节上失控,其提出的修正建议是否能够真正适合被审计单位的经营活动,也会形成一种修正风险。如果社会及公众审计意识增强,企业便会重视内部控制制度的建设,严格会计核算,其审计风险就会降低。反之则升高。 3.经济环境对审计风险的影响。市场经济成份的多元化,被审计单位行为的不稳定性,如企业改组、兼并、重组等,使审计人员对企业的情况难以全面地反映和评价,获得正确结论的难度加大,从而增加了审计风险。 4.法律环境对审计风险形成的影响。法律是审计工作的依据,如果法律体系不完备或不衔接,审计人员就失去统一的判断标准,增加风险机会。我国先后颁布的《审计法》、《注册会计师法》等明确规定,对审计人员的失职行为和违章行为分别追究刑事责任、民事责任和行政责任。 5.审计方法对审计风险形成的影响。一是审计方法模式滞后,仍停留在账项基础审计和制度基础审计阶段,而国外已发展到风险导向审计阶段;二是无论采用判断抽样还是统计抽样,它都是根据审计人员的经验主观判断,极易遗漏重要的项目;三是审计操作不规范,如审计人员为了降低审计成本随意放弃一些自认为不必要的审计程序,审计方法的选用不科学,审计报告的编写不明确、不公允等。 (二)审计风险存在的主要环节 1.签订审计约定书环节的风险。签订审计约定书,是委托人与被委托机构之间明确权利义务关系的法律过程,约定书一旦确定,就对双方均具有约束力。作为审计方,必须按约定的内容、要求按时出具审计报告,否则就构成违约。一般情况下,除老客户外,会计师事务所对被审计单位内部财务制度和内控系统是否健全和有效并不了解,而这些方面的状况又恰恰是审计机构和注册会计师能否得出客观、真实审计结论,发表客观、真实审计意见的基础。
商业银行内部审计指引 第一章总则 第一条为促进商业银行完善公司治理,加强内部控制和风险管理,健全内部审计体系,提升内部审计的独立性和有效性,依据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规,制定本指引。 第二条中华人民共和国境内依法设立的商业银行适用本指引。 第三条本指引所称内部审计是商业银行内部独立、客观的监督、评价和咨询活动,通过运用系统化和规范化的方法,审查评价并督促改善商业银行业务经营、风险管理、内控合规和公司治理效果,促进商业银行稳健运行和价值提升。 第四条商业银行内部审计目标包括:推动国家有关经济金融法律法规和监管规则的有效落实;促进商业银行建立并持续完善有效的风险管理、内控合规和公司治理架构;督促相关审计对象有效履职,共同实现本银行战略目标。 第五条商业银行内部审计工作应独立于业务经营、风险管理和内控合规,并对上述职能履行的有效性实施评价。内部审计活动应遵循独立性、客观性原则,不断提升内部审计人员的专业能力和职业操守。
第六条银行业监督管理机构依据本指引对商业银行内部审计工作实施监管评估。 第二章组织架构 第七条商业银行应建立独立垂直的内部审计体系。 第八条董事会对内部审计的独立性和有效性承担最终责任。董事会应根据本银行业务规模和复杂程度配备充足、稳定的内部审计人员;提供充足的经费并列入财务预算;负责批准内部审计章程、中长期审计规划和年度审计计划等;为独立、客观开展内部审计工作提供必要保障;对内部审计工作的独立性和有效性进行考核,并对内部审计质量进行评价。 第九条董事会应下设审计委员会。审计委员会成员不少于3人,多数成员应为独立董事。审计委员会成员应具有财务、审计和会计等专业知识和工作经验。审计委员会负责人原则上应由独立董事担任。 审计委员会对董事会负责,经其授权审核内部审计章程等重要制度和报告,审批中长期审计规划和年度审计计划,指导、考核和评价内部审计工作。 第十条监事会对本银行内部审计工作进行监督,有权要求董事会和高级管理层提供审计方面的相关信息。 第十一条高级管理层应支持内部审计部门独立履行职责,确保内部审计资源充足到位;及时向审计委员会报告业
审计、内控、风险管理三者之间的关系标 风险管理侧重的是“可能性”。因此,风险管理应该是最早的环节,从企业整体评估风险状况,找到应对策略。这其中,又可分为不可控风险和可控风险。不可控风险通常通过风险转移、保险、风险接受等方式进行应对;可控的风险通常通过内部控制手段进行应对。所以内部控制本质上就是企业管理中通过日常管控手段降低风险的行为。那内控执行的效果如何,就通过审计来检查。审计检查完后有一些发现问题,可能是最早风险评估环节就没考虑到的,那么审计发现问题又回过头来指导风险管理的完善。 所负责部门,每个企业都不太一样。有的是分设三个部门:风险管理部、内控部、审计部。也有的将这几块自由排列组合,也有放到一个部门的,甚至放到财务部底下的都有。 风险管理——>内部控制——>风险控制 内部审计是内部控制的重要手段。 内部控制和内部审计的互动共进, 有效提升公司治理效率。 内部控制是内部审计的“风向标”, 内部审计是内部控制的“测试仪”。 三者的本质都是为了控制好风险。三者区别是: 1.内控是让你好好开车别撞人,也别开到沟里去,它是一切风险管理的基础,特别是治理层面的内部控制。 2.风险管理是一个更广的含义,不仅仅是不撞人、不翻车,更要保证方向是对的,速度是合适的,开车的方式是可持续的,还要保证尽量不被别人撞,万一被撞要能扛得住…… 3.风险管理包括内部控制,但他们都不是一个部门的事情,是一个组织行为。 4.审计是风险管理的一种手段,也是内控要素中监督要素的一种体现。是风险管理工作具体落地的方式,和之前的两个不在一个层面上。 实务中全面的应用到了风险、内控与审计三个概念的,主要是银行业及部分工业企业(如核电、采矿、化工等)。其他企业中实际上真正界定了这三个概念并付诸实施的其实很少。
[案例01] 银广夏审计失败案 --案例主题:道德风险\专业判断\职业谨慎 一、案情简介 银广夏股份公司以“倒推”的方法,根据“成本”计算出“销售量”和“销售价格”,并据此安排每个月的进料和出货单以及每月、每季度财务数据,同时采取虚开增值税发票(实际交纳税金)、伪造销售合同、采购合同、银行票据、出口报关单手法: (1) 1999年虚增利润1.7亿元; (2)2000年虚增利润5.2 亿元。 其注册会计师没有发现并出具无保留意见,被移交司法机关侦察,2003年9月16日银川中级法院作出判决: 以出具证明文件重大失实罪分别判处注册会计师刘某某、徐某某有期徒刑2年6个月、2年3个月,并各处罚金3万元。 二、法院审理 (一)公诉人起诉 1.明知YGX及天津GX的财务报告可能虚假,却未实施有效询证、认证及核查程序; 1)指派的审计人员在对天津GX进行审计时,严重违反审计规定,委托天津GX董博等人代替审计人员向银行、海关等单位进行询证,致使董博得以伪造询证结果; 2)两位会计师在不辨真伪、不履行三级复核有关要求的情况下,仍先后为银广夏出具了1999年度、2000年度“无保留意见”的审计报告,致使银广夏虚假审计报告向社会公众发布,造成投资者利益的重大损失。 2.具备了提供虚假证明文件罪的构成要件 1)主体要件:中介机构人员 2)主观要件:属于主观故意 3)客体要件:中介管理制度 4)客观要件: 提供虚假证明 (二)会计师答辩 1.起诉书认定的注册会计师明知财务报表“可能虚假”就存在主观推定; 2.检察机关随意不能以“可能“为理由办案,否则严重当事人合法民权益; 3 .现有审计技术手段难以发现公司系统化造假; 4.会计师行为不具备提供虚假证明文件罪的主观故意要件 1)没有明知行为 2)没有串通舞弊 3)没有证据证明“明知” (三)法院的判决 出具证明文件重大失实罪 三、失败原因
审计风险形成原因 一、审计风险的基本涵义 国际审计准则第25号《严重性和审计风险》将审计风险定义为:“审计风险是指审计人员对实质上误报的财务资料可能提供不合适意见的风险”。我国《独立审计详尽准则第9号———内部控制与审计风险》则将审计风险定义为:“审计风险,是指会计报表存在巨大错报或漏报,而注册会计师审计后发表不恰当审计意见的可能性。” 二、审计风险的二种形式 1、评估审计风险 评估审计风险是指审计人员接受某审计项目后,在初步了解被审计单位基本情况的基础上,采用一定的审计手段,所评估的该项目可能存在的审计风险。评估审计风险主要与被审计单位本身的各方面情况有关。 被审计单位的规模越大、经营性质越繁复、内部控制越弱、管理当局的可信赖程度越低,则评估审计风险也就越高。评估审计风险是导致财务报表产生巨大错报和漏报的可能性,是客观的存在,它不受审计人员的影响和控制。 2、终极审计风险 终极审计风险是指审计项目完成后所实际形成或审计人员实际承担的审计风险。 终极审计风险主要与审计程序的设计和执行情况有关。审计程序设计和执行得越好,终极审计风险就越低。终极审计风险在数量关系上、理论上应与可接受审计风险一致,但实际上,它既可能大于也可能小于可接受审计风险,因为审计程序的设计和执行受审计人员的业务素质和某些主、客观因素的影响。因而审计人员在执行审计过程中,应尽量按计划规范操作,以使终极审计风险控制在可接受审计风险范围内。 三、审计风险存在的因素分析 1、客观经济活动的繁复性以及审计范围的扩展
随着市场经济的发展,经济业务的种类和性质在不断的多样化和繁复化,被审计单位的会计信息资料越来越多,客观上加大了审计风险的发生。而社会公众对审计的要求也由此越来越高,社会公众要求审计人员揭示企业经营中存在的巨大差错和舞弊,并要求审计人员对企业持续经营能力做出评价,不仅加大了审计人员的审计责任,也使审计人员的工作内容和工作难度大幅度增加。 2、社会公众的审计期望值过高 职业界和社会公众对注册会计师的要求过高,绝大部分人认为经过注册会计师审计的会计报表就应该绝对正确,完全可以信赖,这就形成了社会公众与注册会计师职业水平的审计期望差。实际上,由于被审计单位的因素、注册会计师的能力无限等因素的影响,注册会计师无法保证能够觉察所有的舞弊行为,他们也只有在遵守职业规范基础上,一定程度上保证会计报表的正确,按公认会计准则公允表述发表意见。 3、被审单位配合不默契 在审计中,如果审计范围受到限制,审计人员将无法取得充分有用的审计证据。限制审计范围的原因有两方面,一方面是被审单位怕问题被揭露,而对审计施加限制,妨碍审计人员进行正常的审计检查;另一方面,由于审计人员对被审单位相关情况不熟知,对方提供资料不全,有意隐匿其经济活动内容,而又未对提供资料的完整性做出承诺,这都会影响审计工作的质量。 四、审计风险的控制方法 1、提高审计人员的业务水平 审计人员的业务水平凹凸直接影响到审计风险发生的可能性,因此应当加强对审计人员的职业培训和继续教育,提高审计人员的风险意识和风险分析与控制能力,从而降低审计风险。 2、遵守审计准则 审计人员在执业时一定要严格遵守审计准则,遵守职业道德,保持合理的职业严谨态度,严格遵守审计程序,避免发生巨大疏忽。
目前商业银行审计需解决的几个难点问题 近年来,随着商业银行审计由财务收支审计发展到“风险、管理、效益”审计,实际工作中遇到许多难点问题,需要加以研究和解决。 一、商业银行审计需解决的难点问题 (一)商业银行案件频发,审计力量不足,审计风险不断加大 一方面,商业银行案件频发,经营风险巨大。商业银行与社会各领域联系广泛,是一个高风险的行业。近年来在审计中发现,不法分子时刻关注商业银行管理漏洞进行金融诈骗活动,或与银行员工内外勾结联手作案,如诈骗贷款、挪用客户存款和伪造票据等重大案件时有发生。在审计工作中,尽管审计人员实施了必要的审计程序和审计方法,但仍然存在较大的审计风险。另一方面,审计机关整体力量不足,审计时间有限,违规问题未能发现和披露的潜在风险较大。一般对省级分行系统审计由十几名审计人员在几个月时间内完成,面对商业银行众多的分支机构、大量数据和资料,存在应发现而未发现重大违法违纪问题或典型性、倾向性问题的情况,使商业银行审计面临较大风险。 (二)商业银行业务复杂,不断扩展和创新,给审计工作带来新的挑战 近年来,对商业银行审计采取轮流的方式进行,几年循环一次,审计人员很难全面掌握各商业银行内部经营管理等情况。加之商业银行不断推出新业务,现有审计人员专业素质、知识结构不能完全适应审计发展的需要。目前,审计机关中既有较高的金融知识水平,又有多年金融审计工作经验的人员所占比例很小。部分从事金融审计的人员,虽然具有长期从事金融审计工作的经验,但对金融新业务了解不多,只能对商业银行财务收支或原有业务进行审计,对其不断出现的新业务无法开展审计。 (三)审计技术方法滞后于金融业信息化的步伐,难以满足审计发展的需要 商业银行审计的目标是防范风险、促进管理、提高效益,要实现这一目标,就需要审计人员对商业银行进行全面了解和审计,做出客观公正的评价。而面对商业银行庞大的金融数据,传统的审计方法已经不能适应信息化审计发展的需求。目前,虽然开展了计算机辅助审计,但审计软件技术开发很慢,同商业银行的数据接口没有实现,对后台数据的下载速度慢,影响了审计的效率。在实际工作中,由于商业银行机构庞大、点多面广,审计机关不能对其进行全面审计,只能选择部分分支机构进行抽查,且在审计中,判断抽样贯穿审计过程的始终,这样就可能以偏概全,做出错误的审计评价。如,在审计报告中,对商业银行某项业务或某一方面工作进行审计评价时,很难做出“符合”、“基本符合”、“不符合”的评价。即使是“基本符合”的评价,也存在较大的审计风险。
审计风险与控制 一、当前审计面临的形势 1、市场经济下会计信息非常重要,而会计信息却失真 ①世界银行官员对部分亚洲银行的调查报告表明,亚洲发生金融危机的一半责任在于会计,会计信息失真的主要表现是: 二是外汇债务0-64%符合规定; 三是认购权、期货、债务重组金融延伸等工具的使用,使得报表不实。例如某公司欠银行债务1.6亿,在建工程3000万,以无力还债为由,将在建工程3000万元的资产抵银行1.6亿元的债务,形成1.3亿元的收益,使得财务报表反映有较高的盈利水平,但是,随后又以1.6亿元的银行贷款将抵给银行的在建工程购买回来; 四是分公司与总公司的报表合并仅有7%的合格。例如,有的公司没有利润就与有盈利的公司“联姻”,以兼并的形式将总公司与分公司的资产加资产,利润加利润,形成资产增加,并有盈利,一旦报表报出,以“感情不合”为由分家;
五是或有负债或重大事项不能如实反映,导致投资风险和决策失误。例如,某上市公司99年6月3日与某广播电视局签协议合作投资4500万元建有线电视网,本应2日内公告披露,直至7月20日才公告,期间股票涨幅达100%,而实际情况是投资额超过其净资产的10%.该公司被批评后,其股票急剧下搓。 ②会计信息失真对公众造成严重误导和损失 ③审计质量太低,虽然世界五大审计事务所信誉较高,但在亚洲的分部聘用当地的人员较多,使用当地的规则较多,其审计结果与世界通行规则有一定差距。有个事务所一年出具3000多份报告,10来个人,每天每人10报告;有的会计事务所向中注协报告,事务所5、6个人,一年提交168份验资报告,收益很好;有个事务所被起诉,经检查审计底稿只有一行字:“验资证据已收齐,出具验资报告,完毕”。象这些事务所如何保证审计质量?所以,目前全国有三分之一的事务所在打官司,有的事务所受10多宗起诉,起诉赔偿金额1400万元。有的为此倾家荡产,某事务所,第一次官司银行资金被划走,第二次电脑等设备被拍卖,第三次家具被抵债。首都某会计事务所所长,接到赔款通知书后当场气断身亡,真是“辛辛苦苦十几年,一夜回到解放前”。 ④会计行业监督不力。随着企业的改革,国家对企业的直接监督
企业内部审计与风险管理 会计与审计 企业内部审计与风险管理 安鹏宋雪婷 ()合肥京东方光电科技有限公司,安徽合肥230012 面对企业急需加强的风险管理,既为内部审计的发展带来了机遇,又提出了挑战。笔者结合自身的工作经摘要: 验,从有利于企业科学发展的角度提出:作为内部审计,首先要充分认识内部审计在风险管理中的独特作用;其次要积极主动地参与风险管理。 内部审计;企业风险管理关键词: 客观的保证和咨询活动,其目的内部审计是一种独立、 是在于为组织增加价值和提高组织的运作效率,它通过系统评价和改进风险管理、控制及治理过程化和规范化的方法, 的效果,帮助组织实现其目标。 之地。 最后,内部审计通过对企业风险管理系统进行系统性、专业性监督检查,充分发挥“医士”和“卫士”作用,保证企业科学发展。 内部审计部门应对有关部门针对风险所采取的防范1. 措施进行连续的跟踪,并进行系统的专业性监督检查,看其是否充分、得当,同时评价其是否执行有力。 适时对组织内风险控制系统的健全、时效性进行检2. 对失控、漏控的环节进行再完善,改进风险控制系统机查, 能,达到风险控制系统最优化构建,加强系统内部的组织性和自主性。 内部审计可以直接作为风险管理者,对企业风险进行3. 管理。通过专业知识和技能、先进的方法,直接对企业的风能够引起管理层的更加重视,取得更险管理提出改进意见,好的效果。 一、内部审计在风险管理中独特的作用
内部审计作为最高管理层实施控制的手段,在企业管理尤其是风险管理方面的地位和作用将日趋突出。 首先,内部审计能够通过客观地、全面地参与风险预测和识别,充分发挥预警作用。风险在企业内部具有感染性、传递性、不对称性等特征,即一个部门造成的风险或疏于风而是会传递到险管理所带来的后果往往不是由其直接承担, 其他部门,最终可能使整个企业陷入困境。正因为如此,有些部门可能会出现过度道德风险,如采购部门为节约采购成本,就会忽视对材料规格、型号、质量方面的检查,或者有意购买残次品等等。因此对风险的识别和防范、控制需要从全局考虑,而内部审计部门不从事具体业务活动,独立于业务管理部门,这使得它们可以从全局出发、客观地对风险进行预测。 其次,内部审计通过对风险进行评估,研究风险防范的措施,控制、指导企业的风险策略,充分发挥内部审计的谋士作用。内部审计对监测到的整个组织可能存在的风险因子和不利因素及相互作用进行分析、评价和沟通,关注组织目采用数学统计、模拟试验等方法,遵循3经标价值取向,E(济、效率和效果)原则,和管理层共同寻找消除风险根源的可能途径,充分出谋划策,发挥谋士作用。如有的外部风险根源是企业无法避开和影响的,如国家政策的变化,市场因素的变化,企业只能调整自己的生产经营策略减轻外部风险的影响。但是许多企业内部的风险根源则是可以通过改善管理而消除的,这也是我们内部审计更多发挥作用的用武 二、内部审计应积极参与风险管理 内部审计应在提高自身素质和风险管理水平的基础上,通过对企业风险进行预测和识别,进而进行分析和评估,最终达到控制和化解风险,积极主动参与风险管理。 首先,内部审计人员要成为精通技术专家。“要想知其,言,必须知其所以言”同样内部审计要想有效地参与风险管理,必须自己要成为风险管理专家。内部审计人员不仅要懂审计及相关法律法规,熟练地运用内部审计标得财务会计、 准、程序和技术,还必须具备丰富专业风险管理的知识和技能,精通现代管理信息技术和先进的管理技术手段,这样才能真正有效地参与到企业风险管理中去。 其次,内部审计人员要积极、主动、全面地参与企业风险识别、评价和控制。风险的预测、识别、评价和控制的预测、 是指对企业所面临的,以及潜在的风险因素加以判断、归类 会计与审计 并采用各种科学管理技术,鉴定风险性质、评估风险损失、制改进风险管理,最终达到控制和化解风险的过定控制措施,
企业内部审计风险产生原因及防范对策研究(doc 9页)
关键词:内部审计;风险;原因;防范、完善对策; 摘要:审计风险是指审计人员对实质上误报的财务资料可能提供不适当意见的风险,是审计人员无意地对含有重要错报的财务报表没有适当修正审计意见的风险,是指会计报表存在重大错报或漏报,而注册会计师审计后发表不恰当审计意见的可能性。审计风险具有客观性、普遍性、潜在性、偶然性、可控性。而企业内部审计风险主要来源于企业内部控制制度薄弱、相关法律法规不完善、审计人员素质不高以及企业轻视审计工作等多种原因,因此要降低企业审计风险,不仅需要良好的外部环境,也要从企业内部实际出发,从制度和人员两方面入手降低企业的审计风险。同时开展内部审计,可以及时了解和掌握这些机构和部门的经营管理情况,及时发现和解决这些问题,促使它们建立、健全各项规章制度,并认真执行,使它们能够保持正规化、规范化经营,使整个企业集团能够保持全面的、健康的、稳步的发展。这样才能适应我国企业经营方式的日趋复杂化和企业信息使用者的日趋多元化。
目录 1. 内部审计风险的涵义 (3) 2. 企业内部审计风险产生的原因………………………………………..4~5 2.1客观方面因素 (4) 2.2主观方面因素 (5) 3.企业内部审计风险防范对策…………..………………………………5~7 3.1 改进传统的内部审计方式,真正发挥审计内在作用 (5) 3.2 保证审计机构的独立性 (6) 3.3 建立完善的内部质量控制制度,制定内部审计的激励机制 (6) 3.4 加强法制建设 (7) 3.5 加强内部审计人员的职业道德,提高自身素质 (7) 4. 结语 (7) 5.参考文献 (8)
高级审计理论与实务作业—案例分析题 2013年5月
审计失败的案例:麦科特欺诈上市审计失败案 背景资料: 麦科特集团光学工业总公司的前身是1993年2月成立的麦科特集团机电开发总公司,这是一家联营公司,四家出资者为麦科特集团公司、中国对外贸易开发总公司、香港新标志有限公司和甘肃光学仪器工业公司。1994年更名为麦科特集团光学工业总公司;1996年,中国对外贸易开发总公司将其持有的30%股权转让给麦科特集团。麦科特集团光学工业总公司占有麦科特(惠州)光学机电有限公司75%的股份。 按照《公司法》及中国证监会公司改制上市的有关规定:非公司制企业改制为股份制公司上市,需要达到以下条件:股份公司发起人至少为五家,连续三年盈利,资产要以历史成本计算,不能通过资产评估增加,否则就要按新设公司看待,需成立三年后才能申请上市。 造假事实: 不拥有厂房、土地和大多数设备的产权的麦科特(惠州)光机电公司,几乎不可能拥有巨额资产,也达不到上市条件。实际上,麦科特上市时1.1亿左右的净资产规模,是一个从目标倒推而来的数字。 造假手段一: 将麦科特(惠州)光学机电有限公司在1993年11月8日至1998年12月18日期间已进口的机器设备由原进口报关价格13450120港元提高到108086735.69港元,价格虚增94636615.69港元,由惠州市海关出具了内容虚假的《中华人民共和国海关对外商投资企业减免税进口货物解除监管证明》,
从而确定上述进口机器设备产权归属麦科特(惠州)光学机电有限公司所有。造假手段二: 采用倒制会计凭证等办法编造麦科特(惠州)光学机电有限公司虚假的销售收入和销售成本的会计凭证、会计账簿记录和会计报表,使麦科特(惠州)光学机电有限公司从1996年到1998年底的会计报表累计虚增净利润84588058.32元人民币,1999年度麦科特(惠州)光学机电有限公司继续采用虚增销售收入和销售成本的方法虚增了1999年度净利润40274410.92元人民币。因此,麦科特(惠州)光学机电有限公司1996年至1999年度累计虚增净利润达124862469.24元人民币,其控股母公司麦科特集团光学工业总公司根据麦科特(惠州)光学机电有限公司每年虚增的净利润增大本身的长期投资额和投资收益,从而使麦科特集团光学工业总公司截至1999年12月31日累计虚增了净利润113076143.10元人民币。 造假手段三: 编造虚假的会计凭证,采用以“以表代账”的方法虚增麦科特集团光学工业总公司截至1998年度末的《资产负债表》,麦科特集团光学工业总公司累计虚增了总资产240083190.55元人民币,虚增了负债总额126735866.11元人民币,虚增了净资产113347324.44元人民币。1999年度公司继续虚假增加销售收入和销售成本后,麦科特集团光学工业总公司1996年至1999年12月31日止累计虚增净资产123329920.49元人民币,虚增了应付股东利润22000000元人民币,与之对应虚增的资产主要是长期股权投资金额119309808.31元人民币。 造假手段四:
《公司战略与风险管理》知识点:审计委员会与内部审计知识点:审计委员会与内部审计 审计委员会的义务是确保充分且有效的内部控制。 负责监督内部审计部门的工作。 监察和评估内部审计职能在企业整体风险管理系统中的角色和有效性。 核查内部审计的有效性,并批准对内部审计主管的任命和解聘(注意与下面第六节公司治理原则第六条:“审计委员会应当向董事会就任免内部审计管理人员提供建议”相区别)。应确保内部审计部门能直接与董事会主席接触,并负有向审计委员会说明的责任。 审计委员会复核及评估年度内部审计工作计划。审计委员会收到关于内部审计部门工作的定期报告,复核和监察管理层对内部审计的调查结果的反应。 确保内部审计部门提出的建议已执行。 审计委员会有助于保持内部审计部门对压力或干涉的独立性,确保内部审计部门正在有效运作。 在四个主要方面对内部审计进行复核: 组织中的地位职能范围 技术才能专业应尽义务 内部审计 相关描述具体说明 内部审计活动(1)组成:内部审计职能部门的组成,取决于企业的规模、复杂性、经营活动范围和风险概况,以及董事会为审计部门分配的责任。 (2)独立性:
对所审计的活动保持独立性; 直接向董事会或审计委员会报告; 如果主管审计师向高管报告日常行政事务,董事会必须采取额外措施保证这种报告关系不会影响独立性; (3)审计师拥有相应的权力。 必须拥有针对企业内的所有大业务部门、部门及职能进行检查的权力,与企业的任何人员直接进行沟通的权力,以及使用审计工作所需的所有的记录、文档或数据的权力。 董事会、内部审计师和管理层之间进行清晰的沟通,这对于及时地确认及纠正内部控制及运营管理的不足之处是最重要的。 (4)具备必要的知识、技能和训练,以熟练、专业地实施审计工作。 (5)培训和再教育。 内部审计师在企业中的地位内部审计师的主要作用是,独立且客观地复核及评价企业的活动,以维持或改善企业风险管理、内部控制及公司治理的效益与效率。 (1)必须了解企业的策略方向、目标、产品、服务和程序。 (2)审计师应将相关结果向董事会或其下属的审计委员会以及高级管理层报告。 (3)内部审计师必须保持客观和独立,不受任何约束。 (4)内部审计师应被允许直接与外聘审计师沟通。 内部审计师的职能范围(1)基本职能(服务于审计委员会):评价会计、运营及行政控制的可靠性、充分性及有效性,以及确保银行的内部控制能使交易得以迅速及正确地记录,正确地保护资产,及确定公司是否遵循了法律法规及其自己的政策,以及管理层是否采取了适当的步骤,来应对控制的不足。 (2)扩展职能(服务于管理层):为企业增加新产品或服务提供建设性的商业建议,帮助企业制定及修订新的政策、程序、做法,在兼并、收购和转型活动中发挥作用。 完成职能的要求:内部审计部门的工作应进行适当的规划,并被复核和记录。 内部审计报告(1)报告的内容: 审计工作的目标为报告使用者说明了复核的目的。 审计师已实施的程序概述,说明了审计师如何收集和整理能够支持其所发表的意见及所提出的建议和证据。 审计意见对接受复核的内部控制的有效性进行总结。 审计师的建议突出说明了控制上的不足之处,并提出矫正措施的建议。 (2)报告的程序: 内部审计师→部门主管(定稿)→有决策权的管理者→跟进 内部审计的外包(1)就任何外包安排来说,企业应指定一名雇员(一般是内部审计师或内部审计经理或总监),并且他应保持独立性,并负责管理与外包企业的关系。 (2)企业一般签订内部审计外包协议,通过聘用服务提供商,协助缺乏工作所需的专门技术的内部审计人员,来提高运营或财务效率。
审计风险的产生和对策 我国《独立审计具体准则》第9号,将审计风险定义为:会计报表存在重大错误或漏报而注册会计师审计后未能发表恰当的审计意见的可能性。由于审计工作中的不确定因素,审计风险在某种角度上说是不可避免的。然而,虽然审计人员不能完全消除审计风险,但是通过自身努力,寻找事物发展中的风险点,改变风险存在和发生的条件,降低风险发生的频率,将风险降到最低却是可能的。因此,研究审计风险产生的各种因素,对审计人员提高审计准确性,避免审计风险具有重要的意义。本文从客观和主观两个方面对审计风险产生的原因进行探讨,并对审计风险的防范和控制提出基本的对策。 一、审计风险形成的原因 (一)审计风险形成的客观原因 1.审计对象的复杂性和审计内容的广泛性。现代审计的对象十分复杂,由于企业规模的扩大,赊销、补偿贸易、投资和期权等金融衍生工具,已成为很普遍的经营行为,这导致企业的会计信息系统也更加复杂。会计记录中出现错记、漏记的可能性随之加大。由于这种错记、漏记很容易被大量的信息所掩盖,增加了其在审计中不被发现的可能性。同时随着经济的快速发展,被审计单位改组、兼并、重组等行为发生的频率加大,也使审计人员对企业的情况难以全面的反映和评价,从而增加了审计风险。另一方面,审计范围已不仅仅是传统的财务报表,社会还要求审计人员揭示企业经营中存在的重大错误和舞弊行为,
对企业的持续经营能力做出评价,对企业财务报表的真实性、公允性发表意见。这使审计人员的审计责任、工作内容和工作难度大幅度增加,从而增加审计风险。 2.法律、政策的不完善、不稳定。法律是审计工作的依据,如果法律体系不完备或不衔接,审计人员就会失去统一的判断标准,增加风险机会。近年来,我国会计政策、税收政策、财政分配政策等都发生了较大的变化,这些因素的变更,直接影响到资产计量、收益认定的结果,也形成审计的认定风险。另外,我国相关法律对刑事责任与民事责任,特别是追究民事责任的相关条款太笼统,缺乏相应的司法解释,加大了审计风险。 3.会计电算化的应用和网络技术的发展。随着信息技术的发展,越来越多的经济组织在使用计算机进行业务管理和财务处理,信息技术在财务会计领域的广泛使用,使得财务信息的载体、会计数据生成的途径和审计方式的轨迹、管理和控制的方法都发生了新的变化。这使会计信息的生成过程发生了改变,利用传统的审计程序和方法进行审计已经远远不够。会计电算化的应用要求审计人员除了对传统的审计对象进行审计外,还应对计算机系统本身进行审计,才能做出客观、公正的评价。但是目前审计人员在对利用计算机系统处理经济业务的企业进行审计时,缺少计算机辅助审计环节,且计算机的舞弊更加隐蔽,手段高明,款额巨大,查找困难,审计线索容易篡改、销毁和复制,而且一旦销毁和篡改,又不会留下任何痕迹,这必然加大了审计工作的难度。