内部控制的风险评估范文

关键词：风险导向审计；企业经营风险；风险评估

中图分类号：F239文献标志码：A文章编号：1673-291X（2013）08-0135-03

一、现代风险导向审计的引入

风险导向审计产生于20世纪70年代的西方，当时的注册会计师职业界面临着空前的“诉讼爆炸”，审计人员的风险意识日益增强，风险导向审计应运而生。我国风险导向审计产生于20世纪90年代后期，由于公司经营本身存在的风险，以及审计技术的局限性等，使得注册会计师不可能对所作出的审计意见作完全的保证，而只对有能力作出保证的程度承担责任，这时，审计界就开始探讨风险导向审计运用。

（一）传统风险导向审计的缺陷

在运用传统风险导向审计方法时，审计人员往往不注重从宏观层面上了解企业及其环境，而从较低层面上评估风险，导致审计资源在低风险和高风险审计领域的分配不当，难以保证审计的效率和效果。传统风险导向审计方法注重对账户余额和交易层次风险的评估，但企业处于整个社会经济生活中，所处的经济环境、行业状况、经营目标、企业战略和经营风险都将最终对会计报表产生重大影响。而且，当企业管理当局串通舞弊时，内部控制是失效的。如果不把审计视角扩展到内部控制以外，就不能发现由于内部控制失效所导致的会计报表存在的重大错报和舞弊行为。因而急需一种全新审计模式来代替它，现代风险导向审计也就应运而生。

（二）现代风险导向审计的含义与特征

风险导向审计是以审计风险的分析和评估为基础，综合考虑评价影响审计风险的各种因素，并将风险水平加以量化，然后以此为根据来确定审计实施的重点和范围，进而对被审事项的真实、公允进行实质性检查。它按照战略管理论和系统论，将由企业整体经营风险所带来的重大错报风险作为一个重要构成要素进行评估，是评估审计风险观念、范围的扩大与延伸。

现代风险导向审计的重点是风险评估整个流程突出对重大错报风险的评估，运用“自上而下”和“自下而上”相结合的审计思路，审计起点从原来的会计报表项目转为从企业的环境、性质、目标战略及业务流程，全面评估企业可能存在的重大风险。

二、审计风险评估体系的建立

风险导向审计模式下审计的程序包括以下步骤：风险评估程序、控制测试、实质性程序，其中风险评估是基础和前提，通过风险评估来确定实施进一步审计程序的性质、时间和范围。

（一）审计风险评估指标体系设计思路。

审计风险是指，会计报表存在重大错报或漏报，而审计人员审计后发表不恰当意见的可能性。根据新的审计准则，总体审计风险包括重大错报风险和检查风险。重大错报风险是指财务报表在审计前存在的重大错报的可能性，重大错报风险的大小主要取决于生产经营风险的大小，而企业内部控制设置和执行的缺陷及具体认定本身固有缺陷也会造成错报风险。检查风险是指某一账户或交易类别单独或连同其他账户、交易类别产生重大错报或漏报而未能被实质性测试发现的可能性。

审计的最根本着眼点就是分析企业所面临的经营风险，审计风险评估指标体系的设计也从企业经营风险和控制风险上来进行设计。会计报表风险实际上是企业战略风险和相关经营风险的副产品，①其审计风险=企业经营风险+控制风险+检查风险。②

（二）审计风险评估指标体系的构成

审计风险评估指标体系可以依据注册会计师审计准则第1211号―了解被审计单位及其环境，并评估重大错报风险来确定。

1.外部环境。外部环境对企业的经营和发展产生重要影响，从而可能导致重大错报风险的产生。可能影响财务报表的外部环境包括企业所处行业状况、法律环境、监管环境、宏观经济环境。

2.被审计单位的性质。如果被审计单位的所有权结构、治理结构、组织结构不恰当或存在缺陷，就有可能造成财务报表出现重大错报。

3.经营活动。被审计单位的经营活动会产生经营风险，而多数经营风险最终都会产生财务后果从而影响财务报表。经营风险主要来源于对被审计单位实现目标、战略产生不利影响的重大情况、事项、环境和行动，或源于不恰当的目标和战略，以及为实现目标和战略制定的关键经营流程。

4.财务业绩的衡量和评价。被审计单位内部或外部对财务业绩的衡量和评价可能对管理层产生压力，促使其采取行动改善财务业绩或歪曲财务报表。财务业绩的衡量和评价因素包括关键业绩指标、业绩趋势、业绩考核与激励性报酬政策。

5.内部控制。内部控制能有效防止、发现和纠正被审计单位差错和舞弊，如果内部控制不利，被审计单位财务报表中出现重大错报的可能性就会大大增加。内部控制包括控制环境、被审单位的风险评估过程、信息系统与沟通控制活动、对控制的监督。

三、审计风险的评估

审计风险的评估方法采用定量分析法与定性法分析相结合的方法，在下面的审计风险评估中，我们采用了因素分析法、①审计风险模型法、分析性复核等方法。

（一）企业经营风险的评估

企业经营风险评估的目的主要是为了确定企业的总体层次和认定层次的发生重大错报的可能性，传统的风险评估注重于对账户余额和交易层次风险的评估，在现代风险导向审计下，是从经营风险的评估入手，评估企业可能产生的重大错报和漏报。目前审计人员的一般做法是：在各种情况都比较好的情况下，企业经营的水平应该高于50%；反之，如果有某种迹象表明有可能存在重大错误，就应该将企业经营风险定为非常高的水平，甚至100%。

评估企业经营风险的3个具体步骤如下：需要考虑企业经营风险的构成要素及其企业经营风险评估指标；各要素所占的权重以及各要素本身风险值的大小；最后将各要素风险值与其权重加权平均计算出企业经营风险值。

下面举例说明企业经营风险评估的具体实施。

步骤一、经过对企业经营风险要素的识别，从指标体系中，选择一部分指标来进行计算。

它们是企业长期偿债能力指标，盈利能力状况指标，资产营运效率、安全边际指标，顾客满意度，市场占有率，主营业务市场份额等。

步骤二、确定每个指标的取值

A=企业长期偿债能力，B=盈利能力状况，C=资产营运效率，D=安全边际，E=顾客满意度，F=市场占有率，G=主营业务市场份额，H=研究开发新产品周期，I=合格产品比率，以上指标取值均为1―5分。

其中1分表示企业盈利能力非常强、资产营运效率非常高、安全边际程度非常高、顾客满意度非常高、市场占有率非常高、主营业务市场份额非常大，研究开发新产品周期非常短、合格产品比率非常高。

5分表示企业盈利能力非常弱、资产营运效率非常低、安全边际程度非常低、顾客满意度非常低、市场占有率非常低、主营业务市场份额非常小，研究开发新产品周期非常长、合格产品比率非常低。

运用专家意见法，通过反复多次征求专家意见，形成基本一致的意见。根据专家的意见，假设每个指标取值如下：

需说明的是，本举证仅利用了一个简单的多元比较，而未采用高等数学中矩阵来求解。矩阵中每一数字表示该数字所载列的参数相对于该数字所在行的参数的相对重要性（主要取决于审计人员的职业判断）。相关加数值（即各自的权重）是由其上一行的平方根除以4得出。因此，可以计算出个指标的权重如下：

（二）企业控制风险的评估

控制风险是被审计单位内部控制要素效果的函数。审计人员无法改变控制风险水平，仅能评价控制系统和评估未能揭示出错报的概率。如果存在以下几种情况：（1）控制政策与程序与认定不相关；（2）控制政策和程序无效；（3）取得证据来评价内部控制显得不经济。那么审计人员可以将控制风险定为100%，直接进行实质性测试。如果审计人员将控制风险定为100%以下的某一水平，则要执行下面的步骤来评估控制风险的水平。

1.根据识别初步评价控制风险

审计人员在评估控制风险时，先了解相关的内部控制流程，识别相关的控制风险，对控制风险水平作一个初步的评估。了解内部控制时，主要从以下方面考虑：（1）每一结构要素中制度和程序如何设计；（2）这些制度和程序是否得到执行。考虑这两个因素的基础上结合控制风险识别的结果对控制风险做出初步评估。

2.通过控制测试降低估计的控制风险水平

审计人员决定通过有效方法进一步降低控制风险的估计水平时，可以设计追加的测试程序来进行，包括3种方法：重新执行、进一步观察和文件测试。审计人员进行测试时，应该对3个层次的内部控制进行测试，即对最高层、中层和最低层内部控制进行测试。由于内部控制的运行效果可以通过实施控制测试来更好地了解，所以大多数审计人员在没有实施控制测试时都不愿意将控制风险评估为低于最高水平。

3.控制风险的计量

内部控制是一个系统，按层次可分为3个控制层次，即最高层、中层和基层控制。每一个层次都是一个子系统，3个层次中的每个层次的可靠性程序决定着整个内部控制的可靠性。控制风险为：C=1-P；P=P1*P2*P3

其中，C表示控制风险，P表示内部控制的可信性，P1、P2、P3分别表示最高层控制的可信度、中层控制的可信度和基层控制的可信度。首先，对最高层控制所设计的控制风险指标包括权力决策人员知识结构、能力结构达标率。这些指标越高，则内部控制设计相对较为健全，控制风险较小。在中层控制流程上，所运用的指标主要为评价管理部门设立的全面性、互为牵制作用性指标，当这一指标越高时，即管理部门的设计越全面，各职能部门之间能起到很好的牵制作用，则控制风险就可能会小些。在基层控制流程上，评估控制风险的指标主要有一定会计期间内的岗位轮换率，业务操作的换人复核率，稽核程序执行率，稽核统计差错率，稽核重大事项的及时报告率等。当这些指标比率较高时，控制风险相对较小。上述控制风险评估的计量结果与控制测试的测试结果相结合，就可具体地评估出控制风险。

（三）检查风险的评估

检查风险是审计程序的有效性和审计人员运用审计程序有效性的函数。检查风险是必然存在的风险，其水平的高低与被审计单位无关，而与审计程序的有效性有关。审计人员能够控制检查风险，但受审计资源、审计时间等要素制约，以及审计人员出于成本效益的考虑，检查风险不能根除。与企业经营风险和控制风险不同，检查风险是根据审计风险模型的公式计算出来的，即：

检查风险=审计风险/企业经营风险*控制风险

检查风险的实际水平随着审计人员实施实质性测试的性质、时间和范围的变化而改变。

结束语

目前，审计风险评估体系还存在以下下问题：（1）非财务性指标运用较少，如企业面临的竞争环境、潜在的危机等指标如何计入指标体系；（2）非量化的财务指标操作性不强，易纵和受主观因素影响；（3）信息化运用水平不高，未形成统一风险评估软件，评估方法不一；（4）法律制度不健全，从业人员对审计风险重视不够，因此，审计风险评估体系有待完善。

参考文献：

[1]郭莉.现代风险模型及其推行难点分析[J].审计与经济研究，2006，（6）：46-48.

[2]谢志华，崔学岗.风险导向审计机理与运用[J].会计研究2006，（7）：15-20.

内部控制的风险评估范文

【摘要】随着国际四大会计师事务所相继卷入会计丑闻当中，如何正确认识经营风险导向审计再次成为国内理论界和实务界争论的焦点。本文通过对“四大”审计风险评估模式进行比较，试图对“四大”之间审计风险评估模式的异同作一初步探讨，并对差异产生的原因进行分析，从而正确、客观地认识经营风险导向审计。

一、引言

近年来，国内外频繁爆发了一系列极具震撼力的重大财务舞弊案。从我国内地的琼民源、银广厦，再到美国的安然、施乐、世界通讯，这些舞弊案件在严重危及资本市场健康发展的同时，也使得审计职业面临信用甚至生存危机。国际五大会计公司之一的安达信因审计失败而倒闭，毕马威也因施乐事件而卷入到会计丑闻之中，“五大”中的另一家德勤更是因为“科龙门”事件遭遇集体诉讼。人们不禁对以安达信为代表的“五大”国际会计公司目前所推崇采用的，各自均认为是完美的经营风险导向审计（BusinessRisk-OrientedAuditing）提出了质疑。如何正确认识BRA再次成为国内理论界和实务界争论的焦点。

有关BRA的争论，源于审计理论界和实务界所站的角度不同，从而两者对BRA的认识也存在很大差异。BRA是以审计风险评价为中心的审计方法，是国际五大会计公司在面临大量申诉威胁的情况下开发的，目前已经在国际四大会计师事务所中得到全面推广。但遗憾的是有关“四大”在实践中究竟如何将审计风险具体落实到审计实务中从而来开展审计工作的，他们各自既未作系统介绍，也未曾公开。鉴于BRA以风险评估为中心，笔者从风险评估目标、风险评估范围、审计计划阶段风险评估程序、风险评估方法以及风险评估证据来源五要素入手，对“四大”审计风险评估模式进行比较，分析它们之间的异同之处，从而正确、客观地认识BRA。

二、风险评估目标

BRA产生的一个重要背景是因传统风险导向审计风险评估不到位，不能有效地发现财务报表中存在的重大错报风险，审计期望差越来越大。更深层次的原因是实务中很多客户在审计之后面临着很高的经营风险甚至经营失败风险而引发审计失败。尽管经营失败并不必然带来审计失败，但当被审计单位在审计完成以后发生经营失败导致审计失败，公众往往会有扩大注册会计师责任的倾向，因此会给注册会计师带来极高的诉讼风险。为有效降低注册会计师以及会计师事务所卷入诉讼的几率，以“四大”为首的大型会计师事务所开发了新的审计方法用以应对并控制诉讼风险，因此“四大”风险评估采用BRA的出发点是一致的，其总体目标也基本一致，即首先通过风险评估识别被审计单位的重大经营风险，特别是经营失败风险，并进而确定重大错报高风险(尤其是管理舞弊风险)环节，再根据风险的性质和高低确定审计的范围和重点，进一步决定如何收集、收集多少以及收集何种性质的证据，以便更有效地控制和提高审计效率及效果，从而将审计诉讼风险控制在可接受的风险水平之内。

三、风险评估的范围

BRA所持有的广义审计风险概念，使“四大”在风险评估时除了要考虑能够引起会计报表重大错报风险的具体风险之外，还要重点评估由于被审计单位经营失败而导致事务所本身遭受损失或不利的可能性，即对接受审计委托的业务关系风险进行评估。会计报表重大错报风险总体可分为两类：错误风险和舞弊风险。能够引起这两类风险，特别是舞弊风险的具体风险包括被审计单位的内外环境风险、管理风险、经营风险和财务风险等。这四类具体风险并不是独立的，而是相互影响相互作用，特别是其它三类风险都有可能引起经营风险，因此在进行风险评估时要注意它们之间的相互转化。除此之外，能够引起业务关系风险只有被审计单位的经营风险。由于经营风险既能够引起会计报表重大错报风险，又能够引起业务关系风险，因此BRA风险评估的重心是被审计单位的经营风险。“四大”的审计方法均将经营风险的评估作为风险评估的核心，风险评估范围总体上基本一致，但对风险评估具体范围的认识却存在差异。如KPMG和E&Y在开始审计时都要对被审计单位的经营目标、经营战略和关键经营流程进行分析，从而来评估被审计单位的重大经营风险；但PwC尝试了解所有用来管理企业的外部和内部的信息，并对被审计单位所有的经营风险进行识别和评估，利用其经营分析框架(BusinessAnalysisFramework)从四个维度(客户经营所在市场环境、客户经营目标战略、客户最关键的价值创造活动、管理当局经营业绩的财务计量方法)来对被审计单位的总体经营情况进行了解并对其经营风险进行评估。DTT则是全面了解影响被审计单位生产经营的内部因素(所有权结构、经营目标、会计政策等)和外部因素(所在行业情况、经营环境、法律法规要求等)，从而评估经营风险对会计报表整体和特定会计账户的影响。可见“四大”风险评估的核心是经营风险，具体范围的认识及对引起该风险的各风险因素的重视程度稍有差异，相比DTT，PwC、KPMG和E&Y在评估经营风险时更加重视对被审计单位经营战略以及经营流程的分析，更注重从粗犷的层面来对风险进行评估。

四、审计计划阶段风险评估程序

审计计划阶段就是一系列的风险评估过程，自始自终贯穿了风险评估程序。与制度基础审计相比，BRA审计方法非常强调审计计划的重要性，在一个完整的审计过程中审计人员要花大量的时间用于制定较详细的审计计划。而在审计计划的制定过程中审计人员就需要运用大量的风险评估程序对各种风险进行评估，从而来计划进一步审计程序的性质、时间以及范围。在审计计划阶段“四大”的风险评估程序总体思路基本上是一致的，但在具体风险评估程序上还存在一定的差异。

（一）经营风险评估

在审计开始时，“四大”都需通过一定的方式对影响被审计单位经营状况的内外部因素进行充分的了解，以收集充分、适当的风险评估证据。具体风险评估程序，PwC、E&Y和KPMG：战略分析战略经营风险评估战略相关控制了解及评价[战略控制和管理控制了解及评价]剩余战略经营风险评估流程分析流程经营风险评估流程相关控制了解及评价[流程控制和管理控制了解及评价]剩余流程经营风险评估剩余经营风险评估财务报表整体层次重大错报风险评估[财务报表整体层次(FST)重大缺陷风险(RMW)、重大错报风险(RMM)评估]；DTT：影响生产经营的内部因素了解影响生产经营的外部因素了解经营风险评估被审计单位整体层次内部控制了解及评价剩余经营风险评估财务报表整体层次重大错报风险评估。“四大”各自风险评估程序的异同。

1.共同点：一是“四大”关注的内外部因素相互之间基本相似，如行业状况、企业的目标、战略、企业财务业绩计量方法等，特别关注被审计单位的持续经营状况和舞弊可能性；二是“四大”都对被审计单位整体层次的内部控制整体框架进行了解。企业整体层次的控制是企业内部控制的组成部分，它们遍布整个企业，不仅仅只和某些特定的交易业务类别和账户余额或者其它具体认定事项相关。“四大”通过分别了解内部控制的五个组成要素(控制环境、风险评估、控制活动、信息与沟通以及监督)来实现对被审计单位整体层次内部控制整体框架的了解，继而重点评价内部控制对经营风险，特别是舞弊风险预防和侦查的有效性(如考虑是否存在管理层逾越内部控制的可能性等)，进而对剩余经营风险(即没有被整体层次内部控制防止或检查出的经营风险，包括舞弊风险)进行评估。

2.差异：一是对被审计单位经营状况了解时关注的重点稍有差异。具体在了解被审计单位经营状况的方式上，PwC、KPMG和E&Y三者都是通过战略分析和流程分析两个程序来了解的，将最主要的精力花在对被审计单位经营目标和战略以及关键的价值创造流程的分析上，从而来评估经营风险；DTT是通过了解影响被审计单位生产经营的内外部因素来了解被审计单位经营状况的，并没有表现出对上述因素特别的关注，而是通过综合分析影响被审计单位生产经营的内外部因素，从而评估经营风险。由于上述了解方式差异的存在导致了前三者在对被审计单位经营状况了解时关注的重点和DTT稍有差异。二是DTT和PwC、KPMG、E&Y在风险评估程序上也体现出了较大的差异。在了解企业整体层次内部控制和评估经营风险时，后三者是通过对战略、流程相关的控制分别进行分析了解以及对相关的经营风险分别进行评估来完成的。而相比KPMG将风险评估的层次明确划分为三个，即财务报表整体层次(FST)、重大交易业务类别和账户余额层次(CAB)以及内在认定层次(ASR)，并引入“重大缺陷风险”(RiskofMaterialWeakness,简称RMW)概念，同时借鉴国际审计准则“重大错报风险”(RiskofMaterialMisstatement,简称RMM)概念，规定审计人员必须在三个层次下分别对RMW和RMM进行评估。在该步骤中KPMG最后需要分析剩余经营风险对财务报表整体的影响，并在财务报表整体层次(FST)对重大缺陷风险以及重大错报风险进行初步评估。KPMG更是明确将企业整体层次内部控制分为战略控制、管理控制和流程控制，又将经营风险分为战略经营风险和流程经营风险。因此，在概念上定义更加清晰。而DTT对内部控制和经营风险既没有进行明确的分类，在了解内部控制和评估经营风险时也没有分别进行了解和评估。

（二）固有风险评估

“四大”在评估固有风险之前首先都要对被审计单位财务报表的重要账户、重大交易类别及相关重大认定进行识别，该步骤“四大”各自风险评估程序，PwC、E&Y和DTT：财务报表重要账户、重大交易类别及相关重大认定识别(结合财务报表整体重大错报风险)认定层次固有风险评估；KPMG：财务报表重要账户、重大交易类别及相关重大认定识别(结合FST层次重大错报风险)CAB层次以及ASR层次固有风险评估；经分析，“四大”各自风险评估程序的异同：

1.“四大”识别风险的红旗标志基本一致，如重要账户的识别标准包括账户存在重大错报的可能性、相关交易的数量和复杂性、经营风险的影响以及所需判断的程度等。“四大”在低层次对固有风险进行评估时，除考虑传统方法下所需考虑的因素(账户性质和组成、交易复杂程度、关联方等)之外，还重点考虑剩余经营风险对财务报表整体的影响，即考虑财务报表整体重大错报风险对相关账户、交易类别和认定产生的影响，因财务报表整体层次的重大错报风险同样可能会在低层次继续存在。特别是当已经识别到被审计单位可能存在舞弊情形时，审计人员尤其要关注舞弊风险对财务报表重要账户、重大交易类别及相关重大认定的影响。

2.KPMG与其他三者存在一定的差异，主要体现在两方面：一是在识别重要账户、重大交易类别及相关重大认定的时间安排上有所不同。KPMG是在对被审计单位执行战略分析和流程分析的同时对重要账户、重大交易类别及相关重大认定进行识别的，可见其在时间安排上相比有所提前。二是KPMG需要在CAB层次以及ASR层次下分别对固有风险进行评估，而PwC、E&Y和DTT则仅仅在认定层次进行评估。

（三）控制风险初步评估

由于企业(特别是像“四大”客户那样的大中型规模的企业)低层次具体的内部控制(除了控制环境要素以外的其它四要素)主要是针对各个交易业务类别来设计的，因此“四大”在了解低层次内部控制时是通过将被审计单位的业务划分成若干业务循环，再按每一业务循环去了解内部控制。具体PwC和DTT：识别并了解认定层次关键控制内部控制有效性评价(结合对企业整体层次内部控制的了解)认定层次控制风险初步评估决定认定层次审计策略(信赖/不信赖内部控制)(信赖)执行控制测试；KPMG：识别并了解CAB层次以及ASR层次关键控制CAB层次以及ASR层次内部控制有效性评价(结合对FST层次内部控制的了解)CAB层次以及ASR层次RMW(即控制风险)初步评估决定CAB层次以及ASR层次审计策略(信赖/不信赖内部控制)(信赖)分别执行控制测试；E&Y：识别认定层次关键控制初步决定认定层次审计策略(信赖/不信赖内部控制)(信赖)了解认定层次关键控制内部控制有效性评价(结合对企业整体层次内部控制的了解)认定层次控制风险初步评估，决定是否执行控制测试。这种了解方式能使审计人员的注意力集中在各业务循环的关键控制点上，提高审计程序的效率，也便于审计人员在以后的审计程序中按不同的业务循环采取不同的审计策略，“四大”的BRA与传统审计方法是保持一致的。各自对控制风险进行初步评估异同点如下：

1.PwC和DTT对控制风险进行初步评估程序基本一致。由于KPMG对风险评估层次划分的差异，使得KPMG在该步骤上同上述两者存在相应的差异。KPMG需要识别和了解CAB和ASR两个层次的关键控制,并对这两个层次内部控制的有效性分别进行评价，从而对各自的RMW(即控制风险)分别进行初步评估。再则PwC和DTT只需决定认定层次的审计策略，KPMG还需在CAB和ASR两个层次下分别决定审计策略，对于采取信赖内部控制策略的则要计划进一步的控制测试。

2.E&Y与PwC、DTT存在一些差异。在识别了认定层次的关键控制后，E&Y首先要决定相关认定的审计策略，对于采取信赖内部控制策略的认定就要进一步识别并了解和其相关的关键控制，而对于采取不信赖内部控制策略的认定就直接计划进一步实质性测试，不用了解和其相关的内部控制。对于采取信赖内部控制策略的认定，在对其控制风险进行初步评估后，还需要最后决定是否对相关控制执行进一步的控制测试。

（四）计划进一步审计程序(计划控制测试和实质性测试)

计划进一步审计程序是审计计划阶段的结束程序。由于固有风险和控制风险都受企业内外部环境的影响，两者之间联系紧密，很难将它们单独分得非常清楚。因此在该步骤中，“四大”在单独对它们进行初步评估的基础上还须对两者进行综合评估，即固有风险和控制风险的联合评估，得出被审计单位财务报表低层次存在的重大错报风险。最后根据审计风险模型计算得出相应层次的检查风险初步水平，并依据检查风险初步水平来进一步计划相应层次实质性测试的性质、时间以及范围。该步骤“四大”各自风险评估程序：PwC、E&Y和DTT：计划控制测试的性质、时间以及范围认定层次固有风险和控制风险联合评估认定层次检查风险(DR)推导计划实质性测试的性质、时间以及范围；KPMG：计划控制测试的性质、时间以及范围CAB、ASR层次RMM初步评估CAB、ASR层次DR推导计划CAB、ASR层次实质性测试的性质、时间以及范围。特别指出的是，E&Y在认定层次下将固有风险和控制风险进行联合时专门引合风险(CombinedRisk)的概念，定义联合风险为财务报表重要账户以及财务报表其它相关认定固有风险和控制风险的联合，并明确指出联合风险是审计工作的核心，其余的审计工作都要围绕联合风险来进行，联合风险的评估结果是决定实质性审计程序性质、时间以及范围的基础。事实上，国际审计与鉴证准则委员会(IAASB)正是受到“四大”对固有风险和控制风险进行联合评估构思的启发才引入“重大错报风险”概念的。因此可以说，“四大”对固有风险和控制风险的联合评估是对传统审计方法风险评估模式的一大创新。经分析，该步骤PwC、E&Y和DTT风险评估总体程序基本一致，而KPMG在该步骤上与其他三者存在一些差异。KPMG需要将CAB层次以及ASR层次各自的固有风险和RMW分别进行联合评估，从而来初步评估各自层次的RMM，在此基础之上再根据审计风险模型分别计算CAB、ASR层次的检查风险水平，并进一步计划CAB、ASR层次各自实质性测试的性质、时间以及范围。而其他“三大”仅仅需要在认定层次将固有风险和控制风险进行联合以及在认定层次计划实质性测试程序即可。

五、风险评估方法的运用

BRA在风险评估时除了应用其他的方法之外，最注重对分析性程序的运用，审计人员不仅对财务数据进行分析，同时也对非财务数据进行分析，同时大量的分析性工具和现代管理方法被运用到分析性程序中去。虽然“四大”在风险评估时都注重分析性程序的运用，但相互之间对分析性程序的重视程度和应用力度还是存在一些差异的。

由于在审计计划阶段对被审计单位经营状况进行了解的方式不同，相比DTT，PwC、KPMG和E&Y更加注重对分析性程序的应用，在执行分析性程序时运用的分析性工具也相对较多。如在战略分析时运用了PSET分析和POPTER分析方法；在流程分析时运用到了价值链分析(VCA)和波士顿矩阵(BCG)以及SWOT分析方法；在绩效分析时运用了平衡积分卡(BSC)和标杆管理(Benchmarking)分析技术等。而DTT在了解被审计单位经营状况时并没有将最主要的精力花在研究客户的经营战略和经营流程上，而是综合考虑了影响被审计单位生产经营的内外部因素，同时对报表资料实施初步分析性复核，如同业分析、纵向分析、非财务数据与财务数据比较以及财务数据之间比较等。而在PwC、KPMG和E&Y三者中，PwC更加注重也更擅长应用分析性程序来进行风险评估。这主要是因PwC的客户多数为成熟型的超大规模公司，通过对客户实施大量的分析性程序有助于大大提高审计效率；同时也因为PwC本身具有的风险评估工具――全球最佳实务(GlobalBestPractices,简称GBP)――使得其更擅长实施大量的分析性程序。

六、风险评估的取证

风险评估其实就是评价管理当局在财务报表中确认和披露的信息与被审计单位实际经营状况之间的符合程度，而要了解被审计单位的实际经营状况就需要从多方面获取足够恰当的证据。证据可以从公司内部或者公司外部获取，由于从公司外部获取的证据相比从内部获取的证据更加不易受管理当局控制和歪曲，因而相对来说具有较高的可信度。BRA在风险评估时除了注重从公司内部获取证据之外，也注重从公司外部获取证据。如“四大”在了解被审计单位的经营状况时都要获取公司外部信息（行业市场状况、相关法律法规以及总体经营环境等），还会询问投资者、分析家以及前任注册会计师（若为新客户的话）对被审计单位经营状况的看法。

特别值得一提的是，近年来KPMG在对风险评估证据理论研究方面已经有了新的进展，最重要的研究成果就是提出了审计证据“三方印证”的理念。KPMG将风险评估基本证据来源分为三种，即EBS(EntityBusinessStates)、MII(ManagementInformationIntermediaries)以及MBR(ManagementBusinessRepresentations)，并将其获取证据的方法称为Triangulation(三方印证)，指从上述三个基本证据来源收集可以相互佐证的证据的方法。由于从EBS获取的证据属于外部证据范畴，不容易被管理当局歪曲，因此该方法强调在风险评估三个层次(FST，CAB，ASR)评估风险时均要用从EBS获取的证据来对从MII和MBR获取的证据进行佐证，这样可以帮助审计人员发现会计报表重大错报风险以及在财务报告内部控制方面的重大缺陷风险。目前“三方印证”的取证理念已经代表了风险评估取证的一个新方向。

结束语

内部控制的风险评估范文篇3

（深圳供电局有限公司广东深圳518000）

摘要：由于体制层面的阻碍和技术层面的复杂性，造成内部审计工作中立项环节决策科学性不足。本文剖析当前国有企业内部审计立项的现状和困难，并以电网企业内部审计工作为例，从内审的目标定位从发，以风险管控为导向，探讨如何构建一套基于多个维度分析的立项评估模型。

关键词：立项决策、风险资金量、内控信用等级、二维度评估矩阵、选项风险

中图分类号：TM73文献标志码：A文章编号：1000-8772（2014）31-0144-04

收稿日期：2014-10-22

作者简介：梁学良（1956-）男，广东电白人、硕士、工程师。研究方向：企业管理。

一、研究背景

在内部审计工作中，对于审计对象的确立，许多企业并没有遵循一套严格的决策程序。以国有企业为例，审计部门根据领导人员任免情况开展经济责任审计，或者按照上级相关部门专项治理的要求开展审计，在完成了这些规定动作之后，真正基于本企业实际情况和审计原则进行分析，作出审计决策的空间很小，这种非审计部门主导的外源型的立项方式，往往造成了审计部门选择审计对象的科学性欠佳，审计监督缺乏一个统筹和规划，也导致了现实工作中审计重复和审计遗漏并存，甚至存在盲目性，无法实现对企业经营风险的全面有效覆盖。而在这一种外源型立项占主导的机制下，内审部门对于审计立项环节的重视程度、决策主动性也被削弱，审计立项渐渐成为审计技术层面的一个软肋，审计决策多为“拍脑袋式”。这与审计工作科学性、严谨性的本质不相符。对于企业内审部门，科学地立项是迈向审计工作成功的第一步，也是非常关键的一步，随着内审在企业中服务型的职能定位日益明确，如何运用有一种科学合理的立项方式，替代当前的外源型和粗放型的立项模式，确保审计对企业经济风险的全面有效覆盖，是内审发展中亟须解决的问题。

二、评估立项中遇到的问题与难点

事实上，许多企业都在作科学立项的探索，但除了上述所讲的体制上的掣肘之外，在技术层面也同样都遇到了一些阻碍。审计立项决策中通常都会面临着以下几方面的困难：

（一）以经验判断代替客观的风险分析

有经验的审计人员习惯于按照以往的审计经验，以问题为导向，判断一个企业内部的风险高发地，以此作为立项的依据。例如，企业中与资金打交道多的部门：工程部门、采购部门、营销部门、财务部门往往被视作重点检查对象，其他的部门则容易被忽略。以经验代替客观的分析，带来的结果是：经常被审计的部门，难免经常被查出问题，假如审计人员在以后的立项决策中借鉴了这种经验结论，依然是重点检查这些部门，越查越发觉问题越多，越发觉问题多越查；而相反，对于那些以往就不被关注的部门，则是越少查问题越少，而后更加被忽略，如此不良地循环。事实上，经营风险的无所不在的，作为内审机构，尤其是国有企业的内审部门，担当保障国有资产安全的重要职责，企业中的任何一个主体，只有赋予了资金管理和资产运营的授权，无论多与少，都应该纳入审计范围，适当地进行审计。

（二）被审对象的多样性造成标准难以统一

企业内部的机构中，有职能管理类的部门、生产管理类部门、基层业务类部门。以电网企业为例，就包括了行政管理类部门、业务管理类部门、基层生产部门、下级基层单位。各部门的业务、职责各不相同，而选项时选择什么样的指标进行评估，能够引导正确的方向并具有广泛的代表性，是选项决策中首先面临的问题。

（三）缺乏量化的指标

选择评估指标时会面临的另外一个问题就是标准的量化。随着内控理念和方法的深入运用，在评估中大多都会以一个单位内部控制的完善性作为参考标准。内控水平是一个具有代表性的指标，与内审防控风险的目标高度一致，但内部控制内涵甚广，几乎涉及企业经营管理的方方面面，要评估内控有效性并不简单。而事实上，内部控制有效性本身也缺乏相应的量化评价标准，国家五部委联合颁布的《企业内控基本规范》大多以定性的描述为主，企业在承接落地中进行量化并取得成功的经验也不多。通过评估内控风险高低来作为审计决策的支撑，必须先找到可以量化风险的指标，这始终是一个难点。

（四）理念与实际脱节，评估立项的实操性不强。

评估选项面临的最后一个问题是，即便设置了一套具有代表性，又能量化的标准，但如果这些标准只是从评估的理论层面出发，没有充分结合企业实际的话，到头来会发现这套评估的方法难以实操运用，因为许多原先设定的理想数据在现实中都无法取得。

三、基于审计目标的多维度评估立项模型构建

实际工作中的困难激发我们对该领域的探索，要做到科学合理的立项，规避审计风险，必须有一套完善的立项模型作为支撑。接下来我们以电网企业内部审计为研究基础，探索该模型的建设。通过模型的构建，要着重解决立项的科学性问题，同时还须有效应对上述立项中的四方面困难。本课题研究的立项评估模型，是指通过一系列的较为客观的风险评估，确定被审对象的风险等级，再结合选项的一些基本原则，为审计项目的确立提供依据和参考。立项评估模型也是审计项目规划的基础。

（一）审计目标

风险导向是引领审计的一个主要方向，内部审计必须关注企业的风险，哪里有风险，哪里就要检查覆盖。而国有企业内部的风险存在于不同领域，例如：经济效益风险、安全生产风险、廉洁风险、舆论风险、法律风险、管理效能风险等等。全面风险管理强调面面俱到，而审计并不是全能的，内审部门需要紧紧抓住自身的职能定位，有重点，才能不超越职权，称职地履行好义务。因此，关注怎样的风险，选择怎样的审计对象，需要回到内部审计的基本职责这个话题。

《国际内部审计实务标准》关于内部审计的宗旨、权力和职责的说明中提到：“对公司的工作进行全面审计是有困难的，内部审计机构在制定审计计划时，应征求总裁、审计委员会和其他管理部门的意见后，根据风险大小确定审计的重点和先后次序。考虑的风险包括：不良的财务或业务形式；违背公司政策、计划、程序或法律要求的行为；财产损毁；浪费或低效；未实现事先确立的目标”。从以上关注点可以看出，内审所关注的风险应当以经济领域的合规、安全和效益风险为主。而作为央企的内审部门，重中之重，是要定位在保障企业受托的国有资产的安全和效益上，以及国有资金使用的合规性上。因此，国有资金运作、国有资产管理中的风险是审计的首要关注，审计选项，最先就要考虑在哪些领域，这类风险突出，也就是经济活动的活跃程度。因此，审计选项的评估，最重要是评估被审对象经济活动的风险。

（二）风险评估的理论依据

企业内部控制体系中，关于“固有风险”和“剩余风险”的理论认为，一个企业（或主体）由于自身参与的经营活动，必然存在各类风险，这些风险是与经营活动并存的，是不可避免的，这就是固有风险。而企业可以通过采取一系列措施，通过规避、转移、降低的方式去降低风险发生的概率和风险发生带来的影响，将风险控制在可承受的范围，这就是内部控制活动。通过有效的控制活动，一些风险得到了局部控制，但并非绝对控制，除此之外，采取控制措施后仍然存在的风险，就是“剩余风险”。作为内审部门，对于已经在制度流程体系中严格受控的风险，可不必过份关注，需要优先关注的是那些仍然未能有效控制的“剩余风险”。也就是实际存在的隐患点。

这一理论运用到选项决策中，就是说，选择被审对象时，除了要考虑其各项业务活动的风险高低，也就是“固有风险”；同时还要考虑这个活动主体的内部控制水平，也就是有效控制的程度。因为只有剔除了有效控制的“固有风险”，才是容易使风险演变成问题或损失的“剩余风险”。评估中只有均衡考虑“固有风险”和“控制能力”两个要素，才能推导出审计最需要关注的“剩余风险”，审计如何选项取决于被审单位“剩余风险”的高低。

举个例子，电网企业中，若要说经济活动的风险，那么，电费收费业务涉及资金量最大，收费部门固有的风险最高，但实际上，由于收费流程的管控严密，电子化控制程度高，出现人工出错和人为舞弊的可能性很小。因此，审计在选择检查对象时，这类型的部门“剩余风险”较低，并非检查的重点。

（三）多维度评价

通过上述分析，可以得出以下结论：对被审单位风险的评估主要考虑两个方面：一是各项业务活动的风险高低；二是活动主体的内部控制水平。关于业务风险高低的评估，在前面的分析中已明确了，从审计的目标出发，在企业内部全面风险体系的众多的风险中，按照国有企业审计的职能定位，以经济业务为关注对象，围绕企业资金流向作为审计监督主线，评估业务活动风险高低最为合适的指标，就是“经济活动的资金量”。关于内控水平的评估依据：通过考虑各活动主体（以各部门为单位）业务的固有风险点的情况（内部控制的难易程度），以及内部控制的实际效果（历史出现问题的记录）两个方面，综合评估其对风险的主观控制能力。以上两方面评估依据转化为相应的评估维度，也就确立了审计对各部门（单位）经济活动的风险评估包括两个维度，分别是：①风险资金量；②内控水平等级。

1.风险资金量维度的评估

“风险资金量”是指考虑了资金风险的资金量，他既反映了资金量的大小，同时也反映了资金运作的风险高低。是经过风险修正后的资金量。

对风险资金量的评估，首先需要分析公司的经济活动链条。以电网企业为例，经济活动大体上划分为以下环节：一是收入环节。主要是公司内部的业务收入，该环节影响资金流入，收入环节的风险有跑冒滴漏、收款资金管理、截留、少计收入等方面。二是流转环节，包括公司资金管理、投资活动、融资筹资，流转环节的风险主要是资金风险。三是开支环节。指公司内部的维持正常运转的各项费用开支、保障发展需要的资本性投入。开支环节的风险有虚列不实开支、程序违法违规、资金挪用、无效益的投入、外部违约、权利滥用等，开支环节是对国有资金的支配使用，是风险的集中领域。

其次是活动主体分析，对象是实施各环节经济业务的各个部门（单位），企业经济活动的各环节分别对应于不同的主体。例如收入环节涉及各个收费部门，流转环节主要涉及财务部门，开支环节则涉及所有的部门（单位）。每个部门（单位）的资金活动由该部门所涉及的收入环节活动、流转环节活动、开支环节活动共同构成。

再次，还要考虑各种环节资金量的性质差异。由于收入、流转、开支是三种不同性质的资金活动，风险的高低水平不同，在量化为同一标准进行评估时，须配以相应的权重反映各环节的资金活动的风险差异。评估中，可以按照经济业务控制环节越严格，出错概率越低，风险权重相应越低为原则。根据公司历年审计发现的三个环节出现问题的占比，评定三个环节的权重，出现问题高的环节，评定的权重相应就高，代表该环节的风险高。

比如：如果历史数据表明，收入环节权重是5%，开支环节权重是85%，说明1亿元的营业收入流程，和1亿元的项目开支流程，同样资金的绝对值，相对风险评估中的意义是不同，在评估中，这1个亿的项目开支的权重要大得多。

以上三个步骤确立了风险资金量维度的评估公式：一个部门的风险资金量=收入环节风险资金量×权重+流转环节风险资金量×权重+开支环节风险资金量×权重。

三个环节权重确定之后，需要分别评估各部门在每个环节的风险资金量。在这里以开支环节为例，研究开支风险资金量的测算。开支环节反映了各部门对经济资源的支配权。那么由于不同类型开支的管理流程差异较大，因此除了考虑资金量大小，还需考虑开支流程的规范程度，不同的开支类型的资金使用风险不一，需要确定不同的风险系数。例如：项目开支金额动辄上千万，但流程长，审批环节多，因而风险系数低；费用性开支虽然金额小，但流程相对简单，审批环节少，因而风险系数高。

风险系数通过以下程序测定。任何一类开支，流程越长，风险控制越严格，假定完整的流程包含以下环节：1.对开支进行了可行性研究；2.有透明的取费标准；3.经过招标采购（招标）4.签订有效的合同（合同）5.实施履约过程的监控（监控）6.经过结算环节（结算）7.经过交付验收环节（验收）8.提交了可评估测量的交付品（交付物）9.经过决算审核环节（决算）10.采用最小风险的付款方式（付款）11.对开支效果进行了后评价（后评价）。根据不同类型开支是否具备以上环节，以及严密程度，为对各环节进行评分。评分可以采用专家组打分法，也可以采用历史数据分析法等等。各环节评分越高，代表风险系数越高。例如，某一类开支，它的取费是有定额标准的，评1分，有类似行业标准的，评2分，若无标准，则评4分；某一类开支，有公开招标，评1分。实施了非招标采购，评2分，零星采购的，评4分，等等。

2.内控能力维度的评估

有的被审单位会提出，他们部门的经济业务多，风险点多，即便采取了大量控制措施，出现问题的数量还远远比一些业务简单的部门多。要评估企业各主体的内控能力，需要考虑这一点，为了确保实际评估中的客观公平，风险控制能力维度的评估，一是要考虑一个部门风险点的多寡（控制难度的高低），二是要考虑一个部门过往内控情况（出现问题的情况）。评估的结果用以反映一个部门对风险的主观控制能力。

部门业务的固有风险低，说明控制难度小，假如发生问题多，说明其控制能力弱，对其风险管控能力不可以信任。反之，部门业务的固有风险高，说明控制难度大；假如历史发生问题少，说明其控制能力强，对其风险管控能力可以信任。将控制能力的评估结果以控制水平“信用等级”来表示，比如，可以根据企业内部各单位的内控水平的差距大小，由高到低授予AAA级、AA级、A级、BBB级、BB级……。

内控信用等级的评价可以设置两类指标，包括“关键评价指标”和“辅助评价指标”，其中“关键评价指标”是基础指标，“辅助评价指标”主要起到高压线指标的作用，只有在特定情况下发生作用。两类指标最终按照孰低为原则，套用信用等级低的一项。评估中可以将“内控失效率”作为关键评价指标。“内控失效率”相对于“内控实现率”而言，计算方法是：“历次审计发现问题数量级”与“部门业务风险点数量级”之比。他能够满足对不同控制难度部门进行比较的要求，整体反映一个部门对风险的主观控制能力。

有些单位的问题由于与资金关系密切，特别是对于出现违规资金、损失浪费的情况，需要引起特别重视，因此，可以考虑设置辅助指标反映这一特点，比如设置“问题资金率”作为辅助评价指标，“问题资金率”反映一个部门运作资金中出现问题的比例。计算公式为：“历史问题涉及资金量”与“部门风险资金量”之比。设置“问题资金率”作为辅助评价指标，主要因为并非所有单位的问题都涉及资金，对出现问题资金的单位，这个指标能够起到高压线的作用。

当然，在实际评估中，还需要考虑具体情况设置一些调节变量，比如：为区别不同性质问题的严重程度，可根据问题性质对基数进行调节；为平衡各被审单位历年审计频率不一造成的问题数量不均衡的情况，可以按各部门历年审计的频率（与问题相匹配）对问题数量进行平均，并可对历年审计少涉及和未涉及的部门直接套用一个保留意见等级；对于统计期间内存在严重内控问题的部门，可以采用在最终结果上降级的方式。

3.构建评估矩阵

在两个维度分别评估完成后。紧接着就是要构建由“风险资金量级”、“内控信用等级”构成的二维度评估矩阵。

矩阵按风险与内控比对原则构建：部门风险资金量级越高、内控授信等级越低，代表其风险等级越高。反之，部门风险资金量级越低、内控授信等级越高，代表其风险等级越低。

评估矩阵的纵坐标代表“风险资金量级”。风险资金量级按照评估得出的各部门风险资金量高低排序，并按集中程度划分区间，同一区间对应相同量级，风险资金量提升到一定程度，对应量级相应提升，体现从量变到质变的过程。评估矩阵的横坐标代表AAA级、AA级等由高到低的多个信用等级。

（四）审计选项

通过上述风险评估得出的部门风险等级代表了各部门风险的高低，而对于审计选项而言，还需结合审计的实际需要选项，规避审计选项中的其他风险，统称为“选项风险”。选项中需要考虑的“选项风险”主要有以下三个方面。

一是遗漏或过度审计风险。指若直接运用风险评估结果进行选项，将导致对高风险部门重复审计，造成过度审计，低风险部门长期被忽略，造成审计遗漏和盲区，最终未能有效利用审计资源，无法全面覆盖风险点。二是审计频率风险。指审计的时间间隔过长，可能导致问题长久积累未被及时发现，风险隐患大；时间间隔过短，则可能导致频率过高，审计数量过多，审计质量和深度无法得到保障。在运用风险评估结果进行选项时，需综合考虑时间间隔和审计部门的审计能力，确定合理的审计频率，防止审计风险。三是环境变化风险。指审计在基于部门风险评估的同时，审计关注点还需结合企业内、外部环境变化而及时做出调整，才能更好地为组织服务。

（五）模型的延伸运用

模型在评估选项的同时，对入选年度被审计的部门，可进行相应的分析，指导具体审计工作的开展。比如通过敏感性分析来确定审计重点。运用选项模型作敏感性分析，指的是在评估过程所引用的众多参数变量中，查找构成一个部门入选项目的关键参数，以指导审计检查的重点。关键参数反映了一个部门的风险所在，不同的关键参数，对应于不同的审计关注点。

四、研究结论

审计的科学决策基于科学合理的评估立项，企业内部有着不同的风险评估，审计部门要做立项评估，不应该直接采用其他专业评估的结论，需要基于审计的根本目标，构建一套符合审计需要、能够正确指引审计方向的评估方法。构建审计立项评估模型，可以从审计的角度评估各部门（单位）的（下转151页）（上接146页）风险等级；可以指导年度的被审对象的选择，确立全年审计项目的安排；可以系统地规划未来几年审计工作计划，规避跨年间的审计项目规划性不足的风险；可以揭示风险所在，引导审计检查的重点。

同时，评估模型不是一蹴而就，在运用中，评估模型的标准需要不断修正；评估的维度和指标还可以不断细化，评估的取数还会随着基础数据的完善，趋向更为科学和合理，评估模型的质量需要在实际审计工作中加以检验。评估过程是一个从模糊到精确再到模糊的过程，最终揭示的是各部门大体的风险级别和特征，为审计计划的确立提供科学的依据，使审计监督更具有说服力。

参考文献：

[1]《国际内部审计专业实务框架》.国际内部审计师协会

[2]《企业内部控制基本规范讲解》.财政部会计司.中国市场出版社.2008.

[3]陈关亭、黄小琳、章甜.《基于风险管理框架的内部控制评价模型及应用》.中国审计.2013（14）

[4]孙坤《内部审计与内部控制体系建设理论研讨综述》.中国内部审计2010（10）