浅说经营风险审计(审计经营风险控制体系的职能研究)
浅说经营风险审计
浅说经营风险审计
股票师经常使用一种称为“自上而下”(top down)的模式来分析所追踪的股票:从评估整体进手,然后对对象公司所处行业情况进行分析,最后切进分析;而企业分析,除了最常见的财务数据分析,还涵盖了对公司策略、企业生命周期、产品与市场、行销策略、销售渠道、主要客户、上游供给商与原料以及竞争环境等的。 现在,股票分析师发现,这一模式正在为审计师所鉴戒,尽管对于我国的很多审计师与企业财务治理职员而言,经营风险审计(business risk based auditing)还是一个较为陌生的概念。固然经营风险审计的倡导者对这一新审计模式的有效性表现出信心,但从实在践不难发现,经营风险审计对审计师的现有知识结构和现行工作方式均提出了挑战。另一方面,假如审计师在利益与独立性之间选择前者,再再精确的审计方式也只能是“看上往很美”。关注战略审计师的一大劲敌是治理层舞弊。治理层得以舞弊,公司内部控制失效是罪魁罪魁,这种情形的愈演愈烈帮助催生了经营风险审计。“在美国公司的重大错报中,80%有至少一位高层治理职员涉案。”美国伊利诺伊大学系主任艾拉。所罗门(Ira Solomon)说,“治理职员通常会为了达到业绩目标而进行财务欺诈,而且,为了使会计凭证和帐户余额符合要求,他们也会进行造假,比如让系统治理员更改系统日期等。因此,即使审计师检查了由企业会计系统天生的凭证,仍无法很好地评估风险。”所罗门是在上海国家会计学院举办的“风险导向审计论坛”上作题为“经营风险审计的运用”的演讲时说这番话的。除了学术方面的成就,所罗门还曾担任美国会计协会审计部部长。“为了进步风险评估质量,审计师还必须获得整个宏观经济状况、相关行业和企业经营方面的证据。”而这正是经营风险审计的核心所在。经营风险审计不再只关注财务数据,而是将更多留意力转移到企业的外部(宏观经济及行业)和内部环境上,通过战略分析、流程分析和绩效分析等环节深进了解企业及其经营环境,了解公司内控情况,从经营风险评估进手,找出审计的高风险领域,再通过实质性测试来得出审计结论。在“现代风险导向审计论坛”上,编写了第一本系统先容现代审计教材《审计:鉴证与风险》的佛罗里达大学会计学院审计学教授罗伯特·奈切尔(W.Robert Knechel)在题为“现代风险导向审计的实施与障碍”的演讲中举例说明了经营风险审计的运用:Rubbermaid曾是美国全球领先的塑料制品生产商,产品包括蕴躲罐和垃圾箱等。在90年代中期,该公司连续数年的年均增长率超过14%,且连续三年被“财富”杂志评选为“美国最受欢迎的企业”。对Rubbermaid进行战略分析后发现,该公司对原油价格的波动非常敏感,由于塑料制品的一个重要原料是树脂,而树脂是通过原油炼制的。但Rubbermaid没有采取任何控制原材料风险的措施-既没有集中采购,也没有与供给商签订长期购买合同。而实际上,该公司是世界上最大的树脂消费商之一,以其采购规模,完全可以通过谈判获得很优惠的价格。但该公司没有利用集中采购所能赋予它的定价能力,而是在全球12个地方分别采购。当原油价格上涨时,它只能把增加的本钱转嫁给客户。该公司也未能有效治理与最大客户沃尔玛的关系。沃尔玛拒尽接受价格上涨,并把Rubbermaid的产品放在靠里的货架上,而将Rubbermaid的低价竞争对手Sterlite的产品置于位置最好的货架上。该公司另一个战略方面的是制定的增长目标太高-试图维持14%的年增长率。实现目标的困难给治理层形成巨大压力,而这一点对于内控环境十分不利。同时,它在欧洲的扩张也遭遇挫折。基于这些情况,审计师可作出公道的财务业绩预期:销售增长放缓、销售毛利收窄、利润降低、研发用度需要增加等。假如出现与预期不一致的情形,如这一年的销售毛利反而比往年增加等,审计师就要打个问号。同时,审计师可能估计它会通过降低产品质量来降低本钱,以达到业绩目标,这就需要对本钱结构进行分析,看它有没有改变产品配方来压缩本钱;假如它产量过大而销售又不利,它的库存应该会增加;还有资本结构方面,它在欧洲投资失败,这些资本是否作为坏帐冲销掉;等等。通过这样一步步的'分析评估,审计师可以判定出该公司风险较高的领域。“经营风险审计就是分析研究企业在哪些方面的风险没有防范好、它对企业财务报表可能有什么样的,然后再通过相互印证的证据来判定报表是否是真实和恰当的。”上海国家会计学院CPA研究中心副教授吴建友这样说。他也是该院现代风险导向审计研究项目主要负责人之一。挑战重重从上述案例不丢脸出,经营风险审计是以风险评估为重点,而不是像传统的审计方式那样,以审计测试为中心。审计平台的扩大对审计师的现有知识结构提出了挑战。上海国家会计学院讲师郑朝晖就表示,“在我国实施经营风险审计会碰到职业能力题目,对会计师事务所来说,数据库、信息化建设和职员结构是否具备了执行能力;对审计师来说,是否具备进行战略分析、流程分析和绩效考核分析等的能力。”郑朝晖与上海国家会计学院马贤明教授共同撰写的《财务舞弊审计》一书指出:“审计师的知识重心将从的会审知识为中心转向治理知识和行业知识为中心要求审计师必须术业有专攻,不能今天做银行、明天做贸易,审计师要分行业审计,必须把握一些常用的分析工具,并接受行业知识练习。”在这本书中,两位作者还向审计师推荐了几种分析工具-战略分析(包括用于宏观分析的 PSET和用于行业分析的POPTER)、流程分析(包括价值链分析法VCA和SWOT)、绩效分析(平衡积分卡BSC和标杆分析)、财务分析、会计分析以及远景分析。同时,在经营风险审计框架下,审计师的工作方式也将与以往有很大不同。风险评估取代审计测试成为经营风险审计的工作重心;审计师不仅要对财务数据进行,也要分析非财务数据;对于风险不同的采用个性化审计程序,这意味着,审计师的工作将不再是单纯的机械性重复劳动,而会因审计对象不同而千差万别。最重要的是,审计师将不再主要依靠治理层和财务职员提供审计信息,他们还将鼓励被审计企业员工举报治理层作假,并积极向供给商及销售商询问。而且,审计师还必须从外部取得大量证据来证实风险评估的恰当性。尽管挑战重重,经营风险审计的支持者还是颇有信心。吴建友指出,相对传统的审计,“经营风险审计发现蓄意舞弊的可能性大大进步”,而且, “通过对企业战略经营的了解,审计师能够就企业经营治理提供有价值的建议”。上海国家学院副院长谢荣也表示,风险审计假如能够被广泛采用,在技术上来说应该能减少审计失败。但任何审计方法或技巧所能保证的也只是“从技术上来说”。审计师最大的敌人并非治理层舞弊,而是审计师自身。审计师的主要工作职责是发现治理层舞弊,但治理层却又是审计师的衣食父母,在这种责任与利益的平衡中,职业操守和独立性原则经常成为牺牲品。审计失败的原因有两种,一是审计师使用的方法或审计师能力存在缺陷,致使其无法发现,另一种则是审计师发现了题目,但不报告,有的甚至同流合污。在后一种情况下,再的审计方法也只能是一纸空文。“由内而外”的变化经营风险审计六大特征重心前移,从以审计测试为中心到以风险评估为中心。传统审计不能适应报表审计需要的原因,就在于其风险评估不到位,不能有效发现高风险审计领域,造成审计不足或审计过量。风险评估重心由控制风险向联合风险转移。传统的风险导向审计将风险分为固有风险和控制风险,风险评估以控制风险评估为主,但治理层舞弊的最大特点是绕过或逾越内控,造成控制风险低而实际上审计风险很高的题目。审计重点是发现治理层舞弊,评估重点是固有风险,但固有风险不可直接评估,因此评估联合风险-包括固有风险和初步控制风险。风险评估从零散走向结构化。将战略分析引进审计,使风险分析结构化,既考虑了多方面的风险因素,又将这些因素有机地联系起来,便于作出综合风险评估。以分析性复核为中心。分析性复核成为最重要的程序,不仅对财务数据进行分析,也对非财务数据进行分析,并将现代治理方法运用到分析性程序中。审计证据重点向外部证据转移。将审计对象置于广阔的背景中,充分了解其经营环境,并由此出发评估其经营风险与审计风险。
审计经营风险控制体系的职能研究
审计经营风险控制体系的职能研究
【论文关键词】审计经营风险;审计风险管理;审计风险模型
【论文摘要】首先论述了审计风险管理的一般性理论,然后针对日益加重的审计经营风险讨论了审计经营风险控制体系的构建。
1 建立审计经营风险控制体系的必要性
为了适应在审计职业界出现的变化,例如竞争加剧、诉讼爆炸以及客户经营行为的复杂程度的增加,在当今的环境下会计师事务所的目标包括对审计经营风险和审计风险的有效控制。权威的指导机构也认识到了这两种风险之间的联系性。例如,审计准则委员会(ASB)已经发布指导要通过客户接受和保留的政策和程序来建立和维持有效的审计质量控制。另外,公共监督委员会(POB)强调有效的审计经营风险评价对客户接受和保留决策的重要性以及这种评价对审计测试的性质、时间和范围的可能的影响。例如,POB建议“会计师事务所要考虑采用完善的、计算机化的系统来确定涉及定性和定量因素的业务风险,包括一项针对潜在的损失或关于企业、它的所有者和管理者的其它的信息的研究,还有考虑将这些系统与他们的审计工作相结合。为了适应审计环境和专业指导方面的这些变化,会计师事务所应当不断改进审计业务各个阶段的质量控制程序,包括在客户接受和保留决策中的风险管理。技术进步和互联网的发展为这些程序的持续改进提供了便利。新技术为在成本效益的基础上收集和分享信息提供了可能性,这样可以使审计专业人员更便于监控客户、行业和市场数据。例如,数字化的程序降低了收集和分析数据的成本,从而便于对风险评价和审计质量控制程序的确认和改进。另外,计算机的便携性、增加的存储能力、有线和无线网络以及增强的对审计专业领域的数据的计算和读写能力,使得数据可以在偏远的地点收集起来以后传送到中央数据库以供检查和分析。
在风险管理策略和程序上的不断改进是审计环境、专业指导和信息技术改变的必然结果。由于从过去的风险管理中吸取了经验以及新的信息技术为成本效益原则条件下的数据收集和知识共享提供了机会,会计师事务所现在可以更快速地改变他们的风险管理策略和程序以改进他们在客户组合选择方面的决策判定。在今天动态的、复杂的经济环境下有效的客户组合风险管理对会计师事务所长期的`财务成功和迎合普遍的公众利益需要都是至关重要的。本文所讨论的风险控制体系就是要为会计师事务所在客户接受和保留的风险评价和管理方面以及在全事务所范围内对审计客户组合的审计经营风险的分析提供帮助。
2 审计经营风险控制体系的构建
有效的审计经营风险评价需要为审计业务获取两个方面的信息:第一、客户及其所在行业的独特的特点,例如企业所处的行业环境、财务状况、管理层的品质以及控制环境;第二、业务的预期收益性,这要同时考虑将审计风险降到可接受水平所要采取的一系列程序的成本以及与剩余的审计经营风险相关的附加成本,例如诉讼和名誉成本。在今天充满竞争的审计服务市场上,审计人员面临着审计收费降低的压力。因此,会计师事务所的长期盈利性依靠的是公司收回全部审计成本的能力,包括与审计经营风险相关的成本。审计人员对经营风险进行管理首先要做的是要将客户的独特的特点和根据这些特点所能预见到的全部成本综合起来进行评价。
在评价审计风险和估计初始审计成本之后,审计人员管理审计风险的方法有:第一、风险回避,拒绝接受高风险客户;第二、风险消除,对判定为风险水平处于不可接受的高水平的客户不予保留;第三、风险降低一通过改变审计程序的性质、时间和范围或通过风险转移,例如保险来减轻风险;第四、风险接受,接受与预期收益相当的剩余组合风险并同时进行组合风险管理。
审计经营风险控制体系的建立应确定以下目标:第一、改进现有客户的接受和保留的决策制定程序;第二、使相关数据的收集、风险评价和正式批准程序自动化;第三、为每一位评定的客户计算加权风险评分;第四、为个别部门及全事务所水平的客户组合风险管理提供数据库。因而,经营风险控制体系对于事务所的风险回避和风险消除战略具有帮助,同时对事务所在客户组合风险的接受和管理方面具有帮助。例如,通过该系统收集的信息可以帮助事务所对其客户的不同组合进行比较:对新接受的、决定保留的和新拒绝的客户进行比较;比较高风险和低风险的客户;对处于不同行业的客户进行比较;对处于不同的地理区域或单独部门的客户进行比较。
经营风险控制体系建立的第一步应该在以前的实践、文献研究以及事务所成员的知识及经验的基础上收集尽可能多的相关风险因素,然后确定一个包括若干个(根据事务所实际情况确定)客户接受和保留案例的样本,这些案例中所做出的客户接受或保留的决策都应当具有较高的质量,并且这一样本所包含的客户所代表的审计经营风险应当跨越从非常低到非常高的整个风险范围。笔者认为应采用一种不断反复的获取信息的方式,