风险审计概念的有益探索

风险审计概念的有益探索三喜的博客国内外关于风险审计概念的内涵进行了有益的探索。有人叫风险审计、有人叫风险管理审计，有人叫风险导向审计,有人叫风险基础审计。余效明主编.2007.商业银行风险审计研究.北京：中国时代经济出版社，157:商业银行的风险审计是以风险及其管理为出发点，重点审计银行的内部管理和控制，特别是对各类风险的管理和控制。通过审计，发现和纠正商业银行因内部管理和控制造成的缺陷或弱点，从而预防控制重大事故和损失。风险为本的商业银行审计方式，有助于促进银行提高内部管理和控制水平，更有利于应对不断转变和增加的银行风险，具有很强的计划性、前瞻性、全面性和高效性。面对金融运行信息化的高速发展，审计信息化建设、改进和创新审计方式方法、优化资源运用也迫在眉睫。一方面继续开发、推广运用和改进完善有关金融审计软件，逐步建立金融审计数据库，优化、共享数据资源。另一方面积极推行网上远程审计，不断探索科学的审计技术和方法，变单一的事后审计、静态审计和现场审计为事后审计与事中审计相结合、静态审计与动态审计相结合、现场审计与远程审计相结合，真正做到以金融业务循环为轨迹，实现对其资金流、业务流、控制流三位一体的审计监督，充分发挥审计“保障金融安全、促进金融健康发展”的作用。商业银行经营风险从阶段上可分为预警和危机两个阶段，商业银行风险审计应可纳入风险预警，但与金融预警也有一定的区别。作为政府审计组成部分的金融审计，其目的在于在全面评价的基础上，重点查找产生风险的原因。因此，商业银行风险审计侧重于从微观角度揭示问题，而不仅止于发现问题银行做出风险提示。正是在这一要求下，商业银行风险审计体系将在全面分析的基础上，筛选出重点问题银行、问题业务和问题企业，直接提供审计延伸线索。针对加强风险管理的需要，作为商业银行的内部审计部门如何将审计方法由传统的合规性审计向以加强和改善组织风险管理为目标的风险导向审计转变，已成为一个亟须解决的问题。余效明主编.2007.商业银行风险审计研究.北京：中国时代经济出版社，157～158:所谓的风险导向审计是在账项基础审计和制度基础审计上发展起来的一种审计模式，是指审计人员在对被审计单位的内部控制充分了解和评价的基础上，分析、判断被审计单位的风险所在及其风险程度，把审计资源集中于高风险的审计领域，针对不同风险因素状况、程度采取相应的审计策略，加强对高风险点的实质性测试，将审计的剩余风险降低到最低水平。蔡春,赵莎等著.2006.现代风险导向审计论.北京：中国时代经济出版社，36:独立审计风险主要源自于其肩负的审计责任。一旦独立审计师在执业过程中出现过失或欺诈行为，没有能够发现与报告会计报表中的重大错报，则应视其对相关信息使用者带来损失的程度大小承担相应的法律责任。现代风险导向审计模式在审计系统中大胆引用战略理论与系统观念，是一种全新的审计模式。它试图从企业的战略分析着手，通过战略系统分析-环节分析-剩余风险分析-具体审计目标的分解-实质性测试的时间、范围和性质的确定的思路，将被审计客户会计报表错报风险与企业经营风险分析紧密地结合起来。这种全新模式要求独立审计师从更开阔的视角发现与报告被审计客户会计报表中的重大错报行为，从而减少审计失败的风险(谢荣、吴建友，2004)。蔡春,赵莎等著.2006.现代风险导向审计论.北京：中国时代经济出版社，36现代风险导向审计是指审计师通过对被审计单位进行风险职业判断，评价被审计单位风险控制，确定剩余风险，执行追加审计程序，从而将剩余风险降低到可接受水平的一种审计方法和技术。20世纪90年代，国外一些审计师事务所对传统风险导向审计方法进行了改进。职业界在对传统风险导向审计方法改进的过程中，创造出了一种新的方法，称为风险基础战略系统审计方法(risk—basedstrategic—systemsauditapproach，SSA)，即我们所讲的现代风险导向审计方法。现代风险导向审计是战略管理理论和系统理论在审计实践中所推动的审计方法的新发展。现代风险导向审计所关注的一些典型问题蔡春,赵莎等著.2006.现代风险导向审计论.北京：中国时代经济出版社，38～39:(1)企业的核心竞争优势在哪里?(2)被审计客户的长期战略目标是什么?(3)被审计客户实现目标的短期和长期障碍有哪些?企业计划如何应对这些不利因素?(4)被审计客户日常经营活动所面临的困难有哪些?(5)被审计客户管理层如何看待企业经营的薄弱环节?(6)被审计客户采取了哪些措施保障其经营目标、经营策略和进程顺利实现?(7)被审计客户采取了哪些内部控制措施?(8)被审计客户管理层如何保障财务信息的可信性?(9)被审计客户的员工业绩如何?南开大学审计处薛凤荣、谢建中、李晓肃文.2008.浅析风险管理环境下的风险导向内部审计.中国内部审计协会“风险导向审计在风险管理中的应用”理论研讨暨经验交流会资料：风险导向内部审计是企业内部审计师通过测试风险管理的有关方面（风险管理方针、策略和风险评价指标体系）,对风险程度及管理情况作出专业判断，提出审计评价与建议，以实现企业运营目标。其根本目标是通过将风险与企业目标的实现直接联系起来，为企业治理层及管理层提供有价值的服务。它是以对审计风险的评估作为一切审计工作的起点，并始终贯穿于审计过程的现代审计模式。兰州商学院会计学院王学龙、郝斯佳.2008.论风险导向型内部审计在企业风险管理中的作用.中国内部审计协会“风险导向审计在风险管理中的应用”理论研讨暨经验交流会资料：风险导向型内部审计的含义首次将“风险”概念引入审计程序并开始探索审计风险控制措施和审计方法的是《蒙哥马利审计学》（1957年，第八版），但主要在外部审计（特别是注册会计师审计）领域进行研究。审计师根据审计风险模型确定实质性测试的性质、时间和范围，从理论上解决了审计师以制度为基础采用抽样审计的随意性，又解决了审计资源的分配问题，于是，以审计风险模型为基础进行的审计即风险导向审计应运而生。关于风险导向型内部审计的研究始于21世纪初的公司治理需要。时至今日，其定义尚未统一，分歧主要在对于“风险”理解的不同。一种观点认为，风险导向型内部审计的风险就是指审计风险；而另一种观点则认为，所谓的“风险”不是单纯意义的“审计风险”，更大意义上是指企业风险。在《布林克现代内部审计学》第六版中提到“现在的内部审计人员要运用前后一致的方法来理解和评估审计风险，包括与单个被审计机构有关联的风险以及整个组织所面临的整体风险”，可见，风险导向型内部审计是以审计风险模型为审计方法，以对整个组织的风险进行评估与改善为最终目的的一种审计理念。南京审计学院陈艳娇文.2008.由法兴银行欺诈案审视银行的风险导向内部审计.中国内部审计协会“风险导向审计在风险管理中的应用”理论研讨暨经验交流会资料：风险导向内部审计是指内部审计人员以被审计单位的风险评估为基础，综合分析评价被审计单位的经营管理、战略目标及其内部控制，并根据量化的风险确定实施审计的范围及重点，进而进行实质性审查的一种审计模式。它是继账项基础审计模式、制度基础审计模式之后的一种现代审计模式。风险导向审计要求内部审计人员不仅要对控制风险进行评价，而且要对产生风险的各个环节、风险防范管理的各个方面进行评价。河北工业大学杜云飞文.2008.风险导向内部审计对促进企业风险管理作用机制研究.中国内部审计协会“风险导向审计在风险管理中的应用”理论研讨暨经验交流会资料：到目前为止，风险导向内部审计尚无统一的定义。在理论界，对于风险导向内部审计的含义有不同的解释。杨爱群认为，风险导向内部审计是对审计风险的评估作为一切审计工作的起点，并始终贯穿于审计过程的现代审计模式。王晓霞认为，是企业内部审计部门采用一种系统化、规范化的方法来进行以测试企业风险管理信息系统、各业务循环及相关部门的风险识别、分析、评价、管理及处理等为基础的一系列审核活动，对机构的风险管理、控制及监督过程进行评价进而提高过程效率，帮助机构实现目标。而更多的学者是持这样的观点:风险导向审计是指内部审计人员在审计的全过程自始至终都要关注风险，依据风险选择项目，识别风险，测试管理者降低风险的方法，并以风险为中心出具审计报告，协助企业风险管理。企业内部审计开展风险导向审计既是基于降低审计风险，又是为降低企业经营风险，进行风险管理的一种有效工具。根据以上所述，笔者认为风险导向内部审计的概念应当是：内部审计人员在内部审计的全过程自始至终都要关注风险，根据风险度选择项目，以降低风险为导向，运用系统化、规范化的方法，从企业战略层次到具体业务层次，对机构的风险管理、控制及监督过程进行评价进而提高过程效率，帮助机构实现目标一系列审计活动。风险导向内部审计所关注的风险不是单纯意义的“审计风险”，在更大意义上是指企业在生产经营过程中面临的各种企业风险，即那些可能对企业战略和目标的实现产生影响的事件、行为和环境，包括信贷风险、市场风险、技术风险、人事风险、经营风险等。换句话说，风险导向内部审计就是结合内部审计和风险管理的一种有效工具，它既可以作为公司管理者的指南，也可用作通报企业风险，进而满足控制、风险管理、信息交流、监督等多方面的要求。这个概念突出了内部审计对企业经营过程中风险的高度关注，与国际内部审计师协会(IIA)以整个组织风险的评估与改善为中心任务的风险导向内部审计理念不谋而合。此定义下的风险导向内部审计将以企业风险管理框架(简称ERM)和公司治理为审计对象。ERM是一个整合公司治理和内部控制的企业风险管理框架，它关注包括公司治理领域和内部控制环节的风险在内的一切风险，而公司治理领域和包括内部控制环节的风险在内的所有风险正是风险导向内部审计的审计对象。所以，企业风险管理框架可以被视为风险导向内部审计的对象。这符合国际内部审计师协会(IIA)2001年在《内部审计实务标准》中关于风险导向内部审计的对象为：风险管理、控制及治理程序的规定。该定义遵循IIA2001年关于风险导向内部审计目标定义：为组织提供增值服务并提高组织的运作效率。切曼及安德森认为，将风险导向内部审计目标定位为增值能够开启咨询、风险管理以及治理程序等新领域，为组织做出贡献提供新机会。风险导向内部审计的定义也包含内部审计的职能从传统的监督、评价为主转向确认、咨询为主的内容，这两项职能都是紧紧围绕并服务于内部审计“为组织提供增值服务并提高组织的运作效率”这一目标。中国石化集团公司审计局北京分局课题组文.2008.现代风险导向审计在企业风险管理中的作用.中国内部审计协会“风险导向审计在风险管理中的应用”理论研讨暨经验交流会资料:现代风险导向审计概念及其实质现代风险导向审计，就是以被审单位的重大错报风险为导向，通过合理配置审计资源，对风险较大的环节或区域实施重点审计，从而提高效率保证效果的审计方法。其内涵是全程关注财务报表的重大错报风险，先是了解企业有可能产生重大错报的各种风险，在此基础上评估报表层次的重大错报风险，再考虑风险的重大性和可能性，最后确定实质性测试的目标和计划。其实质是以识别、评估和应对会计报表的重大错报风险为导向，通过对被审单位可能引起重大错报的内外部风险因素进行评估，确定审计的重点和范围，并将有限的审计资源集中于高风险领城，合理配置，提高审计的效率和效果。中国石化集团公司审计局武汉分局课题组文.2008.现代风险导向审计在企业风险管理中的作用研究.中国内部审计协会“风险导向审计在风险管理中的应用”理论研讨暨经验交流会资料:现代风险导向审计是相对传统的风险导向审计而言的，是立足于对审计风险进行系统分析，并以被审单位的经营风险为出发点，以识别、评估和控制企业的重大风险为核心，综合运用战略管理分析工具，对高风险领域进行重点审计，将审计风险降低到可接受水平的一种审计模式。胜利石油管理局审计处李德胜文.2008.企业风险管理与现代风险导向内部审计实务探讨.中国内部审计协会“风险导向审计在风险管理中的应用”理论研讨暨经验交流会资料:随着世界经济一体化趋势的形成，市场竞争越来越激烈，企业经营所面临的风险日益增多，使企业的生存和发