审计风险论文(收集5篇)
审计风险论文篇1
目前审计职业界普遍使用的审计风险模型是由美国注册会计师协会1983年提出的。该模型认为审计风险由固有风险、控制风险和检查风险三要素组成,对审计风险的计量为:
审计风险=固有风险×控制风险×检查风险
根据上式,在既定的审计风险下,检查风险可计算如下:
检查风险=审计风险/(固有风险×控制风险)
根据上述模型,审计主体在确定可接受的审计风险时,首先要评估固有风险、控制风险,在此基础上推算可接受的检查风险。该审计风险模型存在如下缺陷:
1.1只定性分析审计风险该审计风险模型只是定性地分析了客观存在的风险。该模型考虑的风险只考虑了有关审计风险控制的环节,并用公式来描述审计风险的概率,无法直观地进行定量分析,即计量审计风险给审计主体带来的损失金额的可能性。
1.2审计风险因素不全面该模型考虑的风险只与审计过程和审计顺序有关,即只从审计主体的审计检查方法和审计对象的经营、内部控制方面考虑审计风险因素,未充分考虑审计风险产生的其他主要原因,如报表使用者的诉讼请求因素、社会宏观法律环境因素等。
1.3无法描述道德风险审计案件中存在的一些问题并非完全是由于技术上或程序上的失误造成的,审计主体的日常行为和工作态度有时也会成为问题的症结所在。因此,人们除了关注审计技术和程序的发展外,亦开始关注审计主体的自身行为,由此产生了审计主体的道德问题。但是,传统的审计模型无法描述由于不道德行为所产生的风险,包括:企业与审计主体串通舞弊,出具不恰当的审计报告;审计主体接受贿赂;审计主体为了经济利益压低价格有损同业等。
1.4对审计风险的表述不完整随着审计风险含义的扩大,审计风险控制就不能只局限于审计过程和所审计的对象,必须把审计风险的控制放在一个系统中全面把握,还应考虑审计环境影响、人员因素及后果等。审计风险范围也应扩大为审计主体风险、会计师事务所风险和会计行业风险,还包括审计结论利用中产生的法律风险以及赔偿风险。
2现代审计风险模型的发展
现代审计风险模型在传统审计风险模型的基础上进行了改进,形式上有所简化,但审计风险的内涵和外延却扩大了。
2.1认定层次风险认定层次风险指交易类别、账户余额、披露和其他相关具体认定层次的风险,包括传统的固有风险和控制风险。认定层次的错报主要指经济交易的事项本身的性质和复杂程度发生的错报,企业管理当局由于本身的认识和技术水平造成的错报,以及企业管理当局局部和个别人员舞弊和造假造成的错报。2.2会计报表整体层次风险会计报表整体层次风险主要指战略经营风险(简称战略风险)。把战略风险融入现代审计模型,可建立一个更全面的审计风险分析框架。
2.2.1从战略风险的定义来看:战略风险是审计风险的一个高层次构成要素,是会计报表整体不能反映企业经营实际情况的风险。这种风险源自于企业客观的经营风险或企业高层通同舞弊、虚构交易。传统审计风险模型解决的是企业的交易和事项在本身真实的基础上,怎样发现会计报表存在的错报,将审计重点放在各类交易和账户余额层次,而不从宏观层面考虑会计报表可能存在的重大错报风险,这很可能只发现企业小的错误,却忽略大的问题;现代审计风险模型解决的是企业经营过程中管理层通同舞弊、虚构交易或事项而导致会计报表存在错报怎样进行审计的问题。
2.2.2从审计战略来看:现代审计风险模型是在系统论和战略管理理论基础上的重大创新。从战略角度入手,通过经营环境—经营产品—经营模式—剩余风险分析的基本思路,可将会计报表错报风险从战略上与企业的经营环境、经营模式紧密联系起来,从而在源头上和宏观上分析和发现会计报表错报,把握审计风险。而将环境变量引入模型的同时,也将审计引入并创立了战略审计观。
2.2.3从审计的方法程序来看:现代审计风险模型注重运用分析性程序,既包括财务数据分析,也包括非财务数据的分析;且分析工具多样化,如战略分析、绩效分析等。例如毕马威国际(KPMG)为应用现代审计风险模型的理念与方法,研究制定了经营计量程序(BusinessMeasurementProcess,BMP),专门分析企业在复杂的市场环境和产业环境下的经营情况,以确定关键经营风险如何影响财务结果。BMP提供了一个审查影响财务信息和非财务信息流的分析框架。
2.2.4从审计的目标来看:现代审计是为了消除会计报表的重大错报,增强会计报表的可信性。为达到此目标,注册会计师应当假定会计报表整体是不可信的,从而引进全方位的职业怀疑态度,在审计过程中把质疑一一排除。而该模型充分体现了这种观念。
3现代审计风险模型的分析应用框架
3.1确定总体审计风险概率审计风险可按其发生的可能性大小分为基本确定、很可能、可能和极小可能。可能性一般按概率来进行表述,如极小可能的概率为大于0但小于或等于5%。
社会公众对注册会计师的期望值很高,独立审计存在的价值就在于消除会计报表的错误和不确定性;缩小或消除社会公众合理的期望差距。独立性原则的要旨是使注册会计师免于利益冲突,从而奠定正直与客观的执业基础,但独立性最终体现在注册会计师独立承担审计风险责任方面,因而降低审计风险是注册会计师的“灵魂”。审计风险就是审计失败的可能性,它只能控制在极小可能程度以下,用数学概率表示应不超过5%。
3.2分析战略风险在确立了总体审计风险概率应该控制在5%以下之后,应全面分析战略风险。以企业的经营模式为核心,以自上而下和自下而上相结合的方式了解企业的内外部经营环境、经营产品,并在此基础上分析确定企业经营有效性和会计报表的关键认定是否合理、合法。新的国际审计准则列举了28种可能暗示存在舞弊风险的环境和事项(IAASB,2003)。
3.3分配剩余审计风险评估完战略风险概率后,可按照传统的方法分析认定层次的风险概率,两者结合起来考虑就是重大错报风险概率。最后根据确定的总体审计风险概率和评估的重大错报风险概率,得出关于剩余审计风险也就是检查风险的概率,据此确定实质性测试的性质和范围,即可将审计风险减少到满意程度。
审计风险论文篇2
关键词:审计风险形成防范措施
0引言
从古今中外的审计发展史来看,有审计就有审计风险。我国改革开放以来,随着国家社会政治、经济的不断快速发展,经济活动领域的不断扩大,审计所承担的责任也就越大,审计难度就越高,审计风险也就随之增大。如何规避审计风险也就成为国家各级审计机关不断探讨的问题。
1审计风险的概念和特征
在风险导向审计模式中,应该如何界定审计风险的概念,在职业界和学术界有着不同的认识。审计风险的概念是从审计过程认识的,审计风险是指审计客体的财政财务收支中存在重大错弊(其中包括重大错报风险和检查风险)而没有被审计人员发现,作出不恰当的审计意见的可能性。
审计风险的特征
1.1审计风险的客观性。现代审计的一个显著特征,就是采用抽样审计的方法,即根据总体中的一部分样本的特性来推断总体的特性,而样本的特性与总体的特性或多或少有一点误差,这种误差可以控制,但一般难以消除。因此,不论是统计抽样还是判断抽样,若根据样本审查结果来推断总体,总会产生一定程度的误差,即审计人员要承担一定程度的作出错误审计结论的风险。即使是详细审计,由于经济业务的复杂、管理人员道德品质等因素,仍存在审计结果与客观实际不一致的情况。因此,风险总是存在于审计活动过程中,只是这些风险有时并未产生灾难性的后果,或对审计人员并未构成实质性的损失而已。
1.2审计风险的普遍性。虽然审计风险通过最后的审计结论与预期的偏差表现出来,但这种偏差是由多方面的因素引起的,审计活动的每一个环节都可能导致风险因素的产生。因此,有什么样的审计活动,就有与之相适应的审计风险,并会最终影响总的审计风险。从总体来看,可能产生风险的因素有:内部控制结构控制能力差;重要的数字遗漏,对项目的错误评价和虚假注释,项目的流动性强,项目的交易量大,经济萧条,财务状况不佳,抽样技术局限性等。从每一个具体风险看,也是由多因素组成。
1.3审计风险的潜在性。审计责任的存在是形成审计风险的一个基本因素,如果审计人员在执业上不受任何约束,对自己的工作结果不承担任何责任,就不会形成审计风险,这就决定审计风险在一定时期里具有潜在性。如果审计人员虽然发生了偏离客观事实的行为,但没有造成不良后果,没有引起相应的审计责任,那么这种风险只停留在潜在阶段,而没有转化为实在的风险。审计风险是在错误形成以后经过验证才会体现出来,假如这种错误被人们无意中接受,即不再进行验证,则由此而应承担的责任或遭受的损失实际没有成为现实。所以,审计风险只是一种可能的风险,它对审计人员构成某种损失有一个显化的过程,这一过程的长短因审计风险的内容、审计的法律环境、经济环境、以及客户、社会公众对审计风险的认识程度而异。
1.4审计风险的偶然性。审计风险是由于某些客观原因,或审计人员并未意识到的主观原因造成,即并非审计人员故意所为,审计人员在无意接受了审计风险,又在无意中承担了审计风险带来的严重后果。肯定审计风险具有无意性这一特点非常重要,因为只有在这一前提下,审计人员才会努力设法避免减少审计风险,对审计风险的控制才有意义。
1.5审计风险的可控性。审计风险是审计活动中的固有现象,即审计风险是客观存在的,但是审计人员可以采取有效的审计方法,通过有效的审计程序去抑制、降低或控制审计风险。
2审计风险的防范与控制
要想使审计风险得到有效控制,则需要从外部和内部两个方面入手。即不仅要从外部给审计工作创造良好的社会环境,而且事务所本身也要从实际情况出发,根据自己所处的环境和条件,在审计准备、实施和报告阶段采取各种风险管理和控制对策,以减少审计风险,避免风险损失。
2.1创造良好的社会环境良好的执业环境是注册会计师赖以生存和发展的客观条件,只有有了良好的执业环境,注册会计师才能在执业时坚守独立、客观、公正的原则,从而使审计质量得以保证。但是,从最近几年发生的审计案例看,不少是由于会计师事务所及注册会计师受到被审计单位甚至是某些政府部门的压力而不得不违规、违心地出具虚假审计报告。一旦出现问题,就会使自己处于非常被动的地位。
2.2转变观念,强化风险意识应该看到,正确认识审计风险是职业界自身发展的要求,也是市场经济发展的需要。随着人们对审计期望值的不断提高,审计人员的责任和风险也越来越大,职业界将会更加关心如何采取有效的审计方法和程序,在降低审计成本的同时,高质量完成审计任务,并有效地避免审计风险及其损失。因此,审计人员一定要冲破传统审计思路的束缚,从思想上,观念上深入理解审计风险,并在执行审计业务的过程中,寻求积极有效的方法和措施控制审计风险。
2.3引入风险管理的模式首先,事前对审计风险进行评估。为保证审计工作的效率和效果,审计人员在执行审计业务中,应对客户所面临的以及潜在的风险进行分析、判断、评估,并以此为出发点,制定审计策略和与企业状况相适应的审计计划,使审计风险控制在可接受的范围内。这主要包括客户和客户管理者两个方面。客户方面主要有经营环境因素分析,组织结构因素分析;管理者方面主要有管理者品行、能力分析和管理者变更情况分析等。其次,事中对审计风险进行有效控制。主要指选择减轻风险的技术和方法,建立减轻风险的程序以规避风险,降低风险,转移风险。
2.4提高审计人员的综合素质一是认真学习相关法规,加强职业道德和廉政建设。经常开展法制宣传教育和法律知识讲座,让审计人员做到知法、守法、用法,排除各种主、客观因素对审计工作的影响,使审计行为符合法定程序,审计评价符合依据,审计结论客观公正。经常进行职业道德教育和廉政建设教育,用制度规范、约束审计人员的行为,防止、,和。二是提高审计人员的计算机运用水平。
2.5加强自我保护,促进有关法规的健全其一,签订业务约定书。业务约定书可以明确委托方的会计责任和受托方的审计责任,明确业务的性质,范围及双方的权力和义务,是具有法律效力的契约。这样一旦发生法律诉讼就有可能将审计风险损失减少到最低限度。其二,提取风险基金或购买责任保险。在西方国家投保充分的责任险是会计师事务所的一项重要保护措施。在我国《注册会计师法》规定会计师事务所应按规定建立职业风险基金,办理职业风险。但保险公司还未开展责任险业务,行业协会应积极与保险公司磋商,努力促成该项业务。其三,促进法律、法规的健全。从当前的诉讼案件中不难看出注册会计师在法律上的弱小。因此,注册会计师事务所应团结起来,利用自身的影响促成有关法律的修正,以维护自身的利益。
2.6采取有效措施,避免审计人员的人身侵害审计的职业风险还体现在审计人员的人身安全方面。审计机关是经济监督执法部门,随着审计工作的不断深化和审计力度的不断加强,必然会涉及到被审单位、个人的经济、政治利益,尤其是审计人员参与查办大案要案,与犯罪分子斗智斗勇,一些不安全的因素将越来越多,审计人员和家属受到威胁、伤害的事件时有发生。因此,要增强审计人员的安全防患意识,树立自我保护意识。同时,审计人员要注意审计工作方法,注意工作的隐蔽性和保密性,保护自身安全,降低审计风险。超级秘书网:
参考文献:
审计风险论文篇3
1.我国审计风险所面临的现状。现代审计是以“风险导向审计”为特征的。在我国,由于各项法律法规尚需健全,市场还有待于进一步完善,加上管理水平较低,人员素质不够高等因素,引发财务报表中包含重大差错和非法事件的因素也就大量存在。尤其是在“银川夏一中天勤”案例后,国家审计署又对16家具有上市公司年报审计资格的会计师事务所完成的审计业务质量进行检查,结果在抽查的32份审计报告中有23份严重失实,占抽查数的72%,涉及事务所14家,占抽查数的87._50,造成财务会计信息虚假71.43亿元,涉及注册会计师41名,审计报告的质量如此低劣,让人不得不怀疑现行审计模式的有效性。我国审计风险研究起步比较晚,而且所处的整个市场经济体系并不十分健全,因此从长远来看,我国审计风险的控制和防范一定要向规范化、现代化发展。
2.内部审计风险的客观原因分析。(1)内审机构在组织上及业务上缺乏独立性。独立性是审计的灵魂,不能有效保证审计机构和人员在组织上的独立性,在业务工作中的自主性和权威性,就不能保证审计质量和规避审计风险。由于我国审计组织形式五花八门,有的单位把审计机构设在财务部门,有的把审计机构和监察部门合并,有的单位以人员紧张为理由,未设立专职的审计岗位,由其他岗位人员兼任,有的单位在领导人选的安排上出现一人既领导财务工作,又领导审计工作的情况,有的单位和部门虽设置专职的审计人员,在组织形式上貌似独立,但审计机构和人员的工作内容仍由原领导安排。审计的独立性保证不,是造成内部审计风险的最主要因素。(2)信息技术的快速发展为内部审计提出新的挑战。信息技术的普及和应用给内部审计提出新的课题,即对信息系统审计和利用计算机实施辅助审计。信息系统审计包括信息系统内部控制评估、信息系统建设效率评估、信息系统合规性检查等,这个过程不可避免地会对企业的内部审计带来新的情况、新的问题。实践已经证明,信息化已经给内部审计监督带来新的审计风险:电子数据被篡改、破坏及丢失的可能性;电子数据减少或消失审计线索的可能性;若被审计单位内控制度不完善,约束机制有失效的可能性,使舞弊行为有可乘之机,增加审计风险。(3)内部控制制度的不完善导致审计风险的加大。现代审计的一个主要特征是在审查和评价被审单位内部控制的基础上进行抽样审计。而抽样规模、范围、审计工作的内容则取决于内部控制评价的结果。内部控制评价可靠度越高,抽样审计的范围就可以越小,审计的时间、成本越少,效率和审计结论的准确率就越高。相反,被审单位管理混乱,信誉低下,内部控制可靠度低,就会给审计工作带来很多困难,还会大大降低审计结论的准确度,增加审计风险。
3.内部审计风险的主观原因分析。(1)内部审计人员自身素质的影响,内部审计人员业务能力的局限性。我国内审人员普遍具有的综合素质和专业技能与审计工作的要求还有相当距离,主要原因是一些单位领导不重视内审工作,不重视内审人员队伍建设,将一些工作能力差、缺乏责任心的人员安排到审计岗位上,导致审计人员整体素质不高,缺乏专业审计知识,判断和识别风险的能力较差。(2)内部审计人员选用审计程序和方法的影响,内部审计的方法存在弊端。目前内部审计采用的审计方法是制度基础审计,这种审计方法的弊端日渐突出,已不能适应当今复杂的经营环境。因为它过分依赖被审计-单位内部控制制度的测试,本身就蕴藏着巨大风险。①我国内部审计方法模式滞后的影响;②抽样审计误差影响;③内部审计质量控制制度不健全的影响。
二、内部审计风险的防范对策
由于以上风险的存在,内部审计机构应根据内部审计的特点及风险产生的主要原因,以《内部审计基本准则》、《内部审计具体准则》及《内部审计实物指南》为基础,制定针对性的防范措施,以将风险控制在可以接受的范围内。
1.积极规避因客观因素导致的内审风险。(1)实现内审机构的实质性独立。实现内部审计的独立性包括实现组织上的独立和精神上的独立两个方面。组织上的独立是指在组织结构中要给内部审计提供一个良好的工作环境,精神上的独立是使内部审计-人员保持客观性。
(2)积极应对信息技术在内部审计中的推广及应用。信息化环境下的内部审计必须做到电子数据、信息系统、系统控制的“三位一体”。要求内审部门在实践中逐步形成自己的项目组织管理和审计程序、操作流程。内部审计要适应企业信息化建设,运用信息化技术、方法开展内部审计工作。
(3)加强对企业内部控制制度的审计及监仔。内部控制审计主要是要找出影响内部控制的风险因素,也就是要剖析内部控制的薄弱环节,防范可能存在的风险,以便采取适当的补救措施。这就要求审计人员在考虑各项因素的基础上,分析发生差错或毁损可能性的大小及评估带来的损失大小,其基本步骤如下:①风险评价证据的收集;②风险证据的量化;③编制系统整体风险分析表。
2.有效控制因主观因素导致的审计风险。(1)树立内部审计人员的风险意识。内部审计人员要冲破传统审计思路和方法的束缚,从思想上、观念上深人理解审计风险,在审计方法上引进目前最先进的以风险为导向审计模式,以风险的分析与控制为出发点,以保证审计质量为前提,统筹运用复合性测试、实质性测试、分析性检查等方法,综合各种审计证据,以控制审计风险。(2)建立健全内审质量控制的程序保障机制。审计是一个过程,要保证内审质量,降低内审的风险,就必须从审前、审中、审后三个环节,对审计项目实施全过程监控。①审前控制。包括审计项目选择控制和审计-方案制定控制。审计项目选择要重点放在:A领导关注、员工关心、社会重视、资金投人大的项目;B选择内审机构力所能及能够获得被审单位接受、支持配合的项目;(:选择工作改进空间较大,在增值性等方面有潜力的项目。②审中控制。主要是工作底稿编制控制和审计技术方法的控制。审计工作底稿应记录审计查出的问题和审计工作过程。审计查出问题的记录主要记录审计成果,它是编制审计-报告、提出审计意见和建议的依据,需要被审计单位认可并签字;而审计-工作过程的记录反映的是内审人员实施审计检查的范围和方法,它有助于检查内审人员工作状况,分清审计责任,防范审计风险,不需要被审计单位签字认可。运用现代审计技术方法,防范和控制内部审计风险。③审后控制。主要是审计报告的控制。审计报告是审计工作的总结,审计报告必须以审计工作底稿为基础,以审计证据为依据;审计报告中所列的一切内容,都要有相关的底稿;审计报告对被审计单位的经济事项进行评价,必须依据获得的充分适当的审计证据;评价要准确适度,不得掩饰或夸张;对于审计过程中未涉及的具体事项,以及证据不足、评价依据或标准不明确的事项不得评价。内部审计机构应建立审计报告的分层次内部复核制度,先由内部审计部门负责人对审计组长提出的审计报告的质量进行全面复核,然后再送主管领导审定,以防范审计风险。
审计风险论文篇4
(一)对云服务提供商依赖性强企业在采用云服务(包括共有云、私有云和混合云)之后,云服务提供商会针对云技术使用者采用专用工具编写软件,并在特定的解决方案架构上运行,数据存储的结构等也与专用服务软件或架构等相适应,而企业经营管理过程中使用的其他相关软件中数据的存储结构等不一定与云技术中软件的数据存储结构一致,当企业需要将云端获取的数据与其他数据相结合进行加工时,必然使云解决方案中的软硬件及数据结构不便与其他软件等兼容。此外,云服务使用企业选定了云服务提供商之后,由于云服务提供商掌控着企业所需的软硬件及相关资源,并且云技术使用企业建立的组织机构与相关业务流程等也是在云解决方案的基础上进行的,企业更换云服务提供商的成本会非常高。因此,云技术使用者一旦选定了云技术服务,便对云服务提供商产生了一定的依赖性,这种依赖性越强,云服务使用者更换云服务提供商的可能性就越低,成本与风险就越高。
(二)企业对于云技术系统中的数据等资源缺乏主控能力一方面,多租户云环境的本质决定了云数据存储会存在“地点盲区”,即如果云服务使用企业的数据是存放在私有云之外的云端,那么企业无法获取数据的现存地点或者是曾经存放的地点。另一方面,企业在采用云技术服务时,数据都是存储在不受企业自身直接控制的外部硬件上,而硬件都是云服务提供商控制的。因此无论云服务使用者采用哪种具体的云解决方案,他们可能都无法获取或检查系统的网络运行和安全事件日志。这些都使得企业对于云技术系统中的数据等资源缺乏主控能力,存在不同程度的风险。
(三)云技术系统中的数据安全性面临极大挑战在云计算技术环境下,虽然企业可以随时凭借密码等方式查询相关数据,但是却无法直接有效地确认数据有没有被损坏、删除或修改,或者有没有被云服务提供商从一个服务器迁移到另一个服务器上。此外,在共有云与混合云的部署方式下,为了满足多租户应用操作的需求,各租户的敏感信息一般都是以明文的形式储存在云端,非完全可信的云服务提供商可能会监守自盗,租户的敏感数据面临极大的泄露风险。同时,当存储于同一云端的多用户数据中的其中任何一个用户的敏感数据成为黑客攻击对象时,云服务使用企业的数据极有可能会面临连带的泄露风险。
二、基于云计算的风险导向审计模式下的审计风险辨析
风险导向审计的基本思路是以审计风险的分析评估为基础制定审计程序,确定会计资料的审点和抽样规模,以验证财务报表是否真实公允。其最大的特点便是审计所面临的风险是注册会计师决策编制审计程序的依据,注册会计师通过对审计风险的量化和控制确定审计证据的充分性和适当性。因此,审计风险分析是风险导向审计实施的重要前提和保证。
(一)传统风险导向审计模式下的审计风险辨析在风险导向审计的理念下,审计风险主要来源于几个方面。首先,审计风险会受到企业的固有风险因素的影响,即被审计单位经营过程中所固有的风险,比如管理人员的品行和能力、企业所处社会经济环境等导致的风险。其次,审计风险受到内部控制风险因素的影响,即账户余额或各类交易存在错误,但内部控制未能控制或发现而存在的风险。第三,审计风险受到注册会计师实施审计程序而仍未能发现账户余额或各类交易存在错报风险的影响。
(二)基于云计算的风险导向审计模式下的审计风险辨析如上所述,接受云技术服务的企业所面临的风险产生了巨大的变化,审计对象相关风险的变化必将影响到注册会计师的审计风险。因此,作为审计人员应该能够识别云计算给企业带来的风险演化为审计风险的可能性,辨识不确定性因素以及隐藏其中的风险,在评估风险时采取针对性的措施。1.在评估审计风险时,应扩大固有风险评估的范围在云计算的商业应用中,除了部分的私有云之外,其他绝大多数云解决方案都使得企业对云解决方案中涉及的软硬件以及数据缺乏直接的管控。因此,在评估审计风险的固有风险时,除了要针对传统的固有风险的影响因素进行评估之外,必须要将云技术服务引发的风险作为评估的固有风险之一。首先,对企业所采用的云服务交付模式进行风险评估。一般来讲,企业采用的云服务模式不同,其自身的控制权就不同,从而企业的固有风险也不同,它们之间的关系如图1所示。在基于私有云的IaaS模式下,企业自身保留的控制程度相对较高,其固有风险相对较小。反之,在基于公共云的SaaS模式下,企业自身的控制程度较低,从而其固有风险较高。因此,注册会计师在对企业的固有风险进行评估时,需要对企业采用的云服务交付模式进行风险评估,确定固有风险。其次,增加对签约云服务提供商以及共同租户的风险评估。一是要对签约云服务提供商可能引发的对企业的连带风险进行评估,包括签约云服务提供商对云技术的掌控程度、其控制环境的稳定性、对数据存储控制的安全性和合规性等方面。二是要对处于同一云计算技术系统中的其他租户隐含的可能会关联本企业的风险进行评估,包括其他租户云技术使用的稳定性、敏感数据被攻击的可能性等。第三,对采用云技术服务的企业管理人员及相关人员的云技术相关知识与能力进行风险评估。企业管理人员及相关人员在整个云计算技术的营运过程中起着关键性的主导作用,如果企业管理人员及相关实施人员对云技术毫无所知或者对云技术的使用非常抵触,那么云技术使用企业的固有风险必然随之增加。因此,在评估采用云技术服务企业的固有风险时,应增加对管理人员评估的内容,采取问卷调查法、座谈法等对管理人员及相关实施人员对采用云计算技术的态度以及对云技术相关知识的掌握,尤其是云技术产生的风险及对风险的识别与控制能力进行详细了解,确定其人员方面的固有风险。2.对被审计单位基于云计算环境的内部控制风险进行评估笔者认为,云技术的使用会影响到注册会计师在对被审计单位内部控制风险的评估,包括内部控制环境、风险评估、控制活动、信息沟通和监督五个方面。(1)云技术的使用使得企业的内部控制环境发生了变化。传统的内部控制环境风险评估一般包括对员工职业道德和胜任能力、董事会及监事会的参与、管理理念与经营作风、组织机构、权力和责任的规定等方面的评估,企业采用云技术之后,注册会计师评估被审计单位的内部控制环境时需要增加对云技术应用引起的内部控制环境新变化可能带来的风险进行评估。一是应增加对员工在云技术应用与风险控制方面的胜任能力的风险评估;二是增加对云技术应用引起的组织机构变化方面的风险评估,比如企业不需要单独的IT部门与相关的运行软硬件,数据计算与存储的软硬件以及数据集中在云端由云服务提供商进行维护、管理;三是权力和责任的规定方面应增加对企业与云服务提供商之间在云服务协议中规定的各种权力和责任可能引起的风险进行评估。(2)注册会计师应针对云计算环境下企业对内部控制的风险评估进行再评估。风险评估即确定什么地方可能出错,会有什么影响。通常认为风险来自经营环境的变化、采用新的信息系统、新技术的应用等。云计算技术的应用带来了企业经营环境的重大变化,并且对企业的组织机构设置、业务流程、人员的权责分工等多个方面都产生了深刻的影响。因此,注册会计师应合理评估企业在采用云计算新技术后有无合理针对云计算技术带来的变化进行有效的内部控制,并基于云技术风险对这些内部控制措施的全面性、有效性等进行风险评估。(3)在控制活动方面,应增加对企业针对云技术应用引起的风险所采取的措施和行动方面的风险评估。包括针对云技术应用加强人员对于云技术知识的培训与风险识别能力的培训;针对云技术应用的新模式重组业务流程以控制云技术应用流程中可能存在的风险;对于存储在云端的数据有合理有效的保密、安全措施;与云服务提供商之间责权明确,能有效控制云服务提供商对本企业数据计算与存储的安全。(4)加强对企业人员与云技术服务提供商之间的信息沟通的风险评估。在云计算环境下,企业所处的信息化环境有别于传统的信息化环境,即企业的软硬件以及数据都存储在云系统中,由云技术服务提供商管理,因此,企业人员能够及时与云技术服务提供商进行有效的信息沟通,并将获取的信息及时与企业内部其他部门和人员进行沟通将是影响云技术应用企业内部控制风险的一个重要因素,从而注册会计师能否正确评估被审计单位在云技术服务过程中的信息沟通风险成为影响审计风险评估的重要因素。(5)加强对企业云计算环境下内部控制监督措施的风险评估。采用云技术服务的企业由于其对云技术服务商的依赖以及云计算技术自身存在诸多潜在的不易发现的风险,企业对云计算环境下的内部控制措施的有效监督是内部控制实施的必要条件,是影响内部控制风险的重要因素。因此,注册会计师必须对企业云计算环境下内部控制监督措施的合理性、有效性进行风险评估。包括企业对基于云计算技术应用风险的内部控制有没有合理有效的监督措施,这些措施是否得到有效实施。3.对被审计单位在云计算环境下实施的审计程序进行风险评估审计程序是指注册会计师在审计工作中可能采用的,用以获取充分、适当的审计证据从而用以发表恰当的审计意见的程序,而云计算技术的应用使得传统的审计程序无法充分、适当地在云计算环境中获取审计证据。因此,在云计算环境下,注册会计师能否针对云技术实施有效的审计程序,以及从云技术服务提供商的云系统中获取充分、适当的审计证据是影响审计风险的新生因素。注册会计师必须针对云计算应用技术构建或是改进审计程序:一是基于云技术调整审计程序的具体实施步骤;二是针对云计算技术环境改进审计程序中的个别环节,比如内部控制测评、运用审计方法获取审计证据、实质性测试所需的审计技术与方法等。
三、结束语
审计风险论文篇5
风险,字面意思时随风而至的险情,表示出了其不确定性,变化性,危害性。正如风对应着静止的空气一样,风险是相对的;正如风向可预测一样,风险在一定范围内是可以预估的;正如风力也可为人控制为人所用一样,风险某些时候也是可以人为控制的。从风险学说进而衍生到风险管理,风险管理,顾名思义就是企业管理在面对企业平稳发展而采取一定的方法和手段来规避风险的一种或某类行为。审计,审查同计算,是指通过对相关资料等搜集整理和分析之后所得的评估结论及报告,审计作为一门独立部门,其相关人员在专业知识方面是非常严格的。2004年国际内部审计师协会在《内部审计实务标准》修订版中定义内部审计为:“内部审计是一种独立、客观的确认和咨询活动,旨在增加价值和改善组织的运营。它通过应用系统的、规范的方法,评价并改善风险管理、控制和治理过程的效果,帮助组织实现其目标。”
二、内部审计与风险管理的关系
内部审计和风险管理是相辅相成的,市场经济的蓬勃发展,企业所处的环境也是险象环生,因而需要更为专业有力的审计和风险管理团队来协助企业的管理层规避风险。它们已经成为了企业发展过程中的重要部分。一方面内部审计参与风险管理有助于审计部门发展势头更劲。内审部门在资金安全管理上责任重大,因而对企业的风险管理极其关注。内部审计在参与风险管理的过程中,根据本企业的文化及其发展策略等情况评估它在制定某策略上或在某时期存在的风险,另一方面可以由此制定出相应的风险防御,风险降低,风险消除等可行措施,保证企业的损失减到最低,这样风险管理同内部审计在企业的安全工作中地位也有提高。另一方面,内部审计作为以审计为主的独立部门,不参与企业内部的管理调控,因而具有更清晰的视角来观察企业潜在的风险,在有效针对企业运行的薄弱环节,对提出的改进措施进行新的评估认定等起着非常重要的作用。风险管理由于审计在其工作过程中的介入,赋予了内部审计在企业中新的生命,也使企业的安全因素达到一个新的高度。
三、如何协调和整合企业内部审计与风险管理
(一)建立一个合理的内部审计和风险管理体系作为企业健康发展的中坚力量,建立一个合理的内部审计和风险管理体系对企业而言绝对是利大于弊的,这对企业能否具有竞争优势尤为重要。企业的内部审计管理体制的完善,风险管理的不断优化都可以是审计的功能得到最大的发挥。同时企业管理人员本身需要加强各部门的团结,使得企业经营得到更好的控制,进一步深化内部审计对企业风险管理的监督控制,保证各项风险管理措施得到有效的实施。
(二)建立风险导向审计的工作模式传统合规性审计采用的是“撒大网捕鱼式”作业流程,即一张大网抛出去,捕到什么是什么。其基本流程是:内控—问题—风险。风险导向内审要求采用“阻击手式”流程,即阻击手先瞄准一个重点,一击必中。其基本流程是:目标—事件—风险—内控。在传统合规性审计下,往往是到一大堆帐簿及交易资料、操作或管理记录中去寻找,看是否存在违背制度规定的问题;而在风险导向内审下,是先根据采集到的各种信息,识别并评估风险,找准重点,然后对重点进行追踪检查,看是否控制过度或缺乏控制。总而言之,合规性审计是查问题、提建议;而风险导向审计是查问题、查风险、查成因、查尽职、查整改、提建议。
(三)建立对审计人员内控审计效果或管理建议的考核制度内控出现问题,表明内审的监督职能未能充分发挥,内审为此承担责任有其合理性。但内控效果或建议的增值效果都很难评价。往往风险提示和管理建议都不是结果,其产生的影响才是结果。没有风险提示量或管理建议量,不论现场检查多少项目、时间持续多长,审计人员都无绩效(严重一些,反而可说其检查是在浪费资源。)
(四)加强对审计工作专业人才的培养审计人员不仅需要合格的审计能力更需要具备较强的风险分析能力,除此之外还需涉猎经济、管理、法律等相关知识,在理论基础之外,实践能力也不能弱,在面对突况时需要冷静思考,迅速找出最优解决方案。
四、结论
