一、风险与风险导向审计模式 中国论文网 http://www.xzbu.com/3/view-7186.htm 风险导向审计模式是将风险理念引入审计的模式。风险理念是指事件发生的结果是否与预期一致,受内外部环境的影响。不稳定的内外部环境因素是造成风险演变为现实损失的原因。这里,不稳定的环境因素就是风险因素。控制风险因素成为确保事件实际结果与预期结果相符的方式和手段。它的核心观点是只要能将风险因素的概率控制在一定范围内,事件的结果就会符合预期。所以,风险导向审计是控制审计过程风险因素的模式。 实务中,审计过程的风险及相互关系用下面公式表示,即“审计风险=重大错报风险×检查风险”,其中,重大错报风险包括财务报表和认定两个层面的重大错报风险。本文要讨论的是财务报表层面的重大错报风险。财务报表层面是对财务报表影响广泛的意思,它涉及多个科目和账户余额,对财务报表真实、准确、完整影响广泛。那么,财务报表层面风险就是指与某一特定事件相关的多个科目和账户余额同时出现错报的可能性。从定义可以判断出,该风险是一个时间段下的结果,是被审计单位一定运作过程下的产物。经营过程作为财务报表数据的来源,正是企业期间运作的过程。所以,经营过程是财务报表层面风险的来源。经营过程是由若干经营活动组成,经营活动风险(也就是经营风险)过大就会引起相应财务报表层面风险的产生。也就是说,经营风险是造成财务报表层面风险的原因。为从根本上发掘风险来源,就有必要继续分析风险影响因素。所以,本文风险评估指标体系构建的对象是经营风险及经营风险的影响因素。 二、指标选取的理论探讨 经营风险是企业经营过程由于计划、决策、管理的不恰当造成企业经营失败的可能性,是企业必须要关注的风险。经营风险形成的原因很多,总体分为三个方面:一是战略失误,二是内部控制薄弱,三是经营活动低效率。从内部控制角度讲,企业的构成分成两个方面:一是企业占有的资源,二是内部控制。这样,企业的运作可以被表述为内部控制下的企业占有的资源在企业内部、企业内外部间的流动。基于此,企业运作下所有有形和无形的产物就与内部控制存在联系,而且这种联系具有广泛性和普遍性。因此,在内部控制被纳入指标评估后, 要区分其与战略、经营活动的关系。 当内部控制与知识资源结合时,就会生成战略。战略是企业经营总的方向和规划,是企业的知识资源和内部控制结合的产物,具有资源和内控的双重属性。战略具备内控属性,任何战略都是内部控制下的战略;但是,战略又具有资源属性,简单将其划入内部控制而不单独讨论是不恰当的。再者,战略对企业经营影响重大。其意义在于为企业确定正确恰当的目标和实现步骤。目标是否正确恰当对企业生存和发展是至关重要的,是第一位的;错误不当的目标只会使企业离成功越来越远,经营风险增大;目标实现步骤是否合理和可操作有助于企业循序渐进的发展,避免冒进式决策给企业带来的风险。因此,从上述两方面讲将战略放到与内部控制同等地位,讨论其对经营风险的影响是必要的。 经营活动风险的评估是对企业在内部控制约束下战略执行结果风险的评估,具有事后性。其意义在于印证战略风险在内部控制下和内部控制自身风险在自我修复完善机制下被控制的程度,以及有助于在发现计划外的风险后,重新追溯检查战略和内部控制风险评估的内容,使风险评估更加全面。因此,要把经营风险评估放到与内部控制、战略风险评估同等地位来对待。 在上述讨论中,明确了风险评估活动下,战略、内部控制和经营活动的关系和相同地位。由于三者间的联系,必须通过进一步分析找到风险的根源是战略、内控、还是经营活动。能明确区分被评估风险归属于战略、内部控制还是经营活动,对选择恰当的理论作指导,并进一步讨论意义重大。 (一)内部控制 内部控制是被审计单位为了合理保证财务报表的可靠性、经营的效率和效果以及对法律法规的遵守,由治理层、管理层和其他人员设计和执行的政策及程序。2008年6月28日发布的《企业内部控制基本规范》将内部控制分成了五个部分,即控制环境、风险评估、控制活动、信息与沟通和监督。这五部分组成内部控制的统一整体,但仍具有层次性。 由图1可以看出,内部控制分为三部分内容,即控制环境、控制主体部分(风险评估、控制活动和信息与沟通)、内部监督。其中,控制环境是基础,位于内部控制最低端;中间部分,包括风险评估、控制活动和信息与沟通,是主体和核心内容。内部监督是内部控制自我调节和完善部分,位于最顶端。从内容上讲,基础、主体、调节部分有鲜明的区分;从排列位置上讲,底部、中部、顶端是其功能性的体现,下面分别进行阐述。 控制环境作为内部控制框架体系的基础内容,其对整个内部控制的影响具有总体性。良性的控制环境能为内部控制的运转提供必需的条件,保证控制活动的顺利实现;薄弱的控制环境会造成有悖企业宗旨的因素流入控制循环中,阻碍控制的有效进行,降低内部控制运作效果,形成自身风险。相应审计风险增大。因此,在对内部控制自身风险分析时,控制环境风险评估是重要内容,应被纳入风险评估指标体系中去。 控制主体部分,包括风险评估、控制活动和信息与沟通,是内部控制的主体和实质部分。其运行机理如图: 由图2可以发现,控制主体部分是一动态部分,在现实中是企业运行最活跃、可观测性最强的部分。其以循环的形式存在,从企业制度、运作过程、员工、记录中都可以进行多次观测,便于风险的发现。再者,企业制度具备稳定性,在控制环境中的领导者诚信、企业文化和人力资源政策一定的前提下,不确定性内容减少,风险降低;加上其便于被发现,使得控制主体部分的风险对审计风险影响几乎为零,所以,控制主体部分(风险评估、控制活动和信息与沟通)的自身风险因素不被纳入本文风险评估指标体系构建中去。 内部监督是指对控制活动与控制制度是否相符的监察和督导,其目的是保证各控制活动受控制制度的约束,以使目标的实现更具有预测性和可控性。监督是对权力的一种制衡。因此,如果当监督关系是下级对上级监督,或平级间监督,那么这种关系不成立,内部监督是无效的。只有上级对下级监督形成的制衡关系才能成立(池国华2010)。这样,在内部控制体系中,治理层对管理层、管理层对执行层的制衡才是监督的真实体现,因此对内部监督的讨论,其实质是对治理层、管理层和执行层三者关系的讨论。可见治理层、管理层和执行层其实是控制环境中的内容,完善制衡关系与完善控制环境是一致的。 (二)战略 这里的战略指企业战略。企业战略是企业在考虑各种资源的情况下,根据企业的目标、目的制定实现这些目标、目的的方式。简而言之,企业战略是企业发展的长期性和全局性的谋划(丁宁、穆志强2005)。战略是企业的指导思想,为企业发展明确了方向;战略也是企业的规划,为企业发展制定了步骤。对于有持续经营意图的企业,正确的方向比经营能力更有意义;方向错误,经营能力越强,失败的概率就越大。同样,详细并且可操作性强的发展步骤,有助于企业发展的稳定性,增强了持续经营能力。由此可见,战略对企业经营成败的影响具有总体性和长远性特征,在影响企业经营的因素中处首要地位,其对审计风险的影响是重大的。因此,战略应被纳入到风险评估体系的构建中去。 企业的战略是否不利于企业近期发展,进而形成经营风险,试图通过从战略追溯至相对应经营活动和财务信息来验证,不具备可操作性。为证实两者的关系,有必要对战略形成过程进行分析,通过间接方式得出已有战略具体环节对企业经营风险的影响。 企业战略形成过程如图3: 企业远景与使命是与治理层的价值观和世界观直接联系的,是治理层主观世界的直接反映。由于治理层的建设是在控制环境部分探讨,因此,企业远景和使命应是内部控制下控制环境的内容。长期目标是远景和使命的现实化表现,可以一并归至控制环境中。企业环境分析是企业战略形成的关键,因为企业战略的实质就是平衡内外部环境的策略,既关注近期,又考虑到了远期。所以,企业环境分析对企业战略形成的意义重大,它是企业战略形成最主体内容。一方面企业环境分析是内部控制运作的一部分,是内部控制下的环境分析,带有浓重的控制色彩。另一方面内部控制有自身缺陷,无法100%达到运作预期,造成对一些环境分析的疏漏,企业外部复杂多变的环境仍给企业内控带来很重的压力。存在无法被控制的环境因素就比较正常了。因此,将企业环境分析与内部控制同等看待,纳入到风险评估体系中去,在审计谨慎性原则下就显得十分必要。 最后,企业战略方向选择和具体战略的制定,其是在环境分析后进行的。环境分析发现了风险问题,战略方向选择与战略制定提出解决问题的对策。对策合理与否,与已纳入风险评价体系中控制环境的人力资源政策直接相关,不再重复纳入。 (三)经营活动 由于影响经营风险的因素很多,仅对内部控制和战略相关因素评估无法完全涵盖对重大经营风险的评估。这样,对除内控和战略后剩余活动进行分析就显得很必要。再者,经营活动是内部控制下战略的延伸,对重大经营活动关注,发现其风险,并追溯至战略和内部控制加以验证,可以保证已完成的内部控制和战略评估结论的正确性和有效性。在坚持审计活动谨慎性原则下,将经营活动纳入到风险评估体系构建中是必要的。 综上所述,被纳入到风险指标构建的评估对象有内部控制中控制环境、战略中企业环境分析和经营活动。 三、指标选取 本文对三个方面(战略、经营活动和内部控制)具体内容细分,得出相应指标,如图4所示: 参考文献: [1]吴建友:《现代风险导向审计研究》,经济科学出版社2008年版。 [2]王志坚、谷栗:《企业内部控制环境评价指标构建》,《财会通讯》(综合)2008年第2期。 (编辑 园 健)
一、风险与风险导向审计模式 中国论文网 http://www.xzbu.com/3/view-7186.htm 风险导向审计模式是将风险理念引入审计的模式。风险理念是指事件发生的结果是否与预期一致,受内外部环境的影响。不稳定的内外部环境因素是造成风险演变为现实损失的原因。这里,不稳定的环境因素就是风险因素。控制风险因素成为确保事件实际结果与预期结果相符的方式和手段。它的核心观点是只要能将风险因素的概率控制在一定范围内,事件的结果就会符合预期。所以,风险导向审计是控制审计过程风险因素的模式。 实务中,审计过程的风险及相互关系用下面公式表示,即“审计风险=重大错报风险×检查风险”,其中,重大错报风险包括财务报表和认定两个层面的重大错报风险。本文要讨论的是财务报表层面的重大错报风险。财务报表层面是对财务报表影响广泛的意思,它涉及多个科目和账户余额,对财务报表真实、准确、完整影响广泛。那么,财务报表层面风险就是指与某一特定事件相关的多个科目和账户余额同时出现错报的可能性。从定义可以判断出,该风险是一个时间段下的结果,是被审计单位一定运作过程下的产物。经营过程作为财务报表数据的来源,正是企业期间运作的过程。所以,经营过程是财务报表层面风险的来源。经营过程是由若干经营活动组成,经营活动风险(也就是经营风险)过大就会引起相应财务报表层面风险的产生。也就是说,经营风险是造成财务报表层面风险的原因。为从根本上发掘风险来源,就有必要继续分析风险影响因素。所以,本文风险评估指标体系构建的对象是经营风险及经营风险的影响因素。 二、指标选取的理论探讨 经营风险是企业经营过程由于计划、决策、管理的不恰当造成企业经营失败的可能性,是企业必须要关注的风险。经营风险形成的原因很多,总体分为三个方面:一是战略失误,二是内部控制薄弱,三是经营活动低效率。从内部控制角度讲,企业的构成分成两个方面:一是企业占有的资源,二是内部控制。这样,企业的运作可以被表述为内部控制下的企业占有的资源在企业内部、企业内外部间的流动。基于此,企业运作下所有有形和无形的产物就与内部控制存在联系,而且这种联系具有广泛性和普遍性。因此,在内部控制被纳入指标评估后, 要区分其与战略、经营活动的关系。 当内部控制与知识资源结合时,就会生成战略。战略是企业经营总的方向和规划,是企业的知识资源和内部控制结合的产物,具有资源和内控的双重属性。战略具备内控属性,任何战略都是内部控制下的战略;但是,战略又具有资源属性,简单将其划入内部控制而不单独讨论是不恰当的。再者,战略对企业经营影响重大。其意义在于为企业确定正确恰当的目标和实现步骤。目标是否正确恰当对企业生存和发展是至关重要的,是第一位的;错误不当的目标只会使企业离成功越来越远,经营风险增大;目标实现步骤是否合理和可操作有助于企业循序渐进的发展,避免冒进式决策给企业带来的风险。因此,从上述两方面讲将战略放到与内部控制同等地位,讨论其对经营风险的影响是必要的。 经营活动风险的评估是对企业在内部控制约束下战略执行结果风险的评估,具有事后性。其意义在于印证战略风险在内部控制下和内部控制自身风险在自我修复完善机制下被控制的程度,以及有助于在发现计划外的风险后,重新追溯检查战略和内部控制风险评估的内容,使风险评估更加全面。因此,要把经营风险评估放到与内部控制、战略风险评估同等地位来对待。 在上述讨论中,明确了风险评估活动下,战略、内部控制和经营活动的关系和相同地位。由于三者间的联系,必须通过进一步分析找到风险的根源是战略、内控、还是经营活动。能明确区分被评估风险归属于战略、内部控制还是经营活动,对选择恰当的理论作指导,并进一步讨论意义重大。 (一)内部控制 内部控制是被审计单位为了合理保证财务报表的可靠性、经营的效率和效果以及对法律法规的遵守,由治理层、管理层和其他人员设计和执行的政策及程序。2008年6月28日发布的《企业内部控制基本规范》将内部控制分成了五个部分,即控制环境、风险评估、控制活动、信息与沟通和监督。这五部分组成内部控制的统一整体,但仍具有层次性。 由图1可以看出,内部控制分为三部分内容,即控制环境、控制主体部分(风险评估、控制活动和信息与沟通)、内部监督。其中,控制环境是基础,位于内部控制最低端;中间部分,包括风险评估、控制活动和信息与沟通,是主体和核心内容。内部监督是内部控制自我调节和完善部分,位于最顶端。从内容上讲,基础、主体、调节部分有鲜明的区分;从排列位置上讲,底部、中部、顶端是其功能性的体现,下面分别进行阐述。 控制环境作为内部控制框架体系的基础内容,其对整个内部控制的影响具有总体性。良性的控制环境能为内部控制的运转提供必需的条件,保证控制活动的顺利实现;薄弱的控制环境会造成有悖企业宗旨的因素流入控制循环中,阻碍控制的有效进行,降低内部控制运作效果,形成自身风险。相应审计风险增大。因此,在对内部控制自身风险分析时,控制环境风险评估是重要内容,应被纳入风险评估指标体系中去。 控制主体部分,包括风险评估、控制活动和信息与沟通,是内部控制的主体和实质部分。其运行机理如图: 由图2可以发现,控制主体部分是一动态部分,在现实中是企业运行最活跃、可观测性最强的部分。其以循环的形式存在,从企业制度、运作过程、员工、记录中都可以进行多次观测,便于风险的发现。再者,企业制度具备稳定性,在控制环境中的领导者诚信、企业文化和人力资源政策一定的前提下,不确定性内容减少,风险降低;加上其便于被发现,使得控制主体部分的风险对审计风险影响几乎为零,所以,控制主体部分(风险评估、控制活动和信息与沟通)的自身风险因素不被纳入本文风险评估指标体系构建中去。 内部监督是指对控制活动与控制制度是否相符的监察和督导,其目的是保证各控制活动受控制制度的约束,以使目标的实现更具有预测性和可控性。监督是对权力的一种制衡。因此,如果当监督关系是下级对上级监督,或平级间监督,那么这种关系不成立,内部监督是无效的。只有上级对下级监督形成的制衡关系才能成立(池国华2010)。这样,在内部控制体系中,治理层对管理层、管理层对执行层的制衡才是监督的真实体现,因此对内部监督的讨论,其实质是对治理层、管理层和执行层三者关系的讨论。可见治理层、管理层和执行层其实是控制环境中的内容,完善制衡关系与完善控制环境是一致的。 (二)战略 这里的战略指企业战略。企业战略是企业在考虑各种资源的情况下,根据企业的目标、目的制定实现这些目标、目的的方式。简而言之,企业战略是企业发展的长期性和全局性的谋划(丁宁、穆志强2005)。战略是企业的指导思想,为企业发展明确了方向;战略也是企业的规划,为企业发展制定了步骤。对于有持续经营意图的企业,正确的方向比经营能力更有意义;方向错误,经营能力越强,失败的概率就越大。同样,详细并且可操作性强的发展步骤,有助于企业发展的稳定性,增强了持续经营能力。由此可见,战略对企业经营成败的影响具有总体性和长远性特征,在影响企业经营的因素中处首要地位,其对审计风险的影响是重大的。因此,战略应被纳入到风险评估体系的构建中去。 企业的战略是否不利于企业近期发展,进而形成经营风险,试图通过从战略追溯至相对应经营活动和财务信息来验证,不具备可操作性。为证实两者的关系,有必要对战略形成过程进行分析,通过间接方式得出已有战略具体环节对企业经营风险的影响。 企业战略形成过程如图3: 企业远景与使命是与治理层的价值观和世界观直接联系的,是治理层主观世界的直接反映。由于治理层的建设是在控制环境部分探讨,因此,企业远景和使命应是内部控制下控制环境的内容。长期目标是远景和使命的现实化表现,可以一并归至控制环境中。企业环境分析是企业战略形成的关键,因为企业战略的实质就是平衡内外部环境的策略,既关注近期,又考虑到了远期。所以,企业环境分析对企业战略形成的意义重大,它是企业战略形成最主体内容。一方面企业环境分析是内部控制运作的一部分,是内部控制下的环境分析,带有浓重的控制色彩。另一方面内部控制有自身缺陷,无法100%达到运作预期,造成对一些环境分析的疏漏,企业外部复杂多变的环境仍给企业内控带来很重的压力。存在无法被控制的环境因素就比较正常了。因此,将企业环境分析与内部控制同等看待,纳入到风险评估体系中去,在审计谨慎性原则下就显得十分必要。 最后,企业战略方向选择和具体战略的制定,其是在环境分析后进行的。环境分析发现了风险问题,战略方向选择与战略制定提出解决问题的对策。对策合理与否,与已纳入风险评价体系中控制环境的人力资源政策直接相关,不再重复纳入。 (三)经营活动 由于影响经营风险的因素很多,仅对内部控制和战略相关因素评估无法完全涵盖对重大经营风险的评估。这样,对除内控和战略后剩余活动进行分析就显得很必要。再者,经营活动是内部控制下战略的延伸,对重大经营活动关注,发现其风险,并追溯至战略和内部控制加以验证,可以保证已完成的内部控制和战略评估结论的正确性和有效性。在坚持审计活动谨慎性原则下,将经营活动纳入到风险评估体系构建中是必要的。 综上所述,被纳入到风险指标构建的评估对象有内部控制中控制环境、战略中企业环境分析和经营活动。 三、指标选取 本文对三个方面(战略、经营活动和内部控制)具体内容细分,得出相应指标,如图4所示: 参考文献: [1]吴建友:《现代风险导向审计研究》,经济科学出版社2008年版。 [2]王志坚、谷栗:《企业内部控制环境评价指标构建》,《财会通讯》(综合)2008年第2期。 (编辑 园 健)