欢迎访问爱发表,线上期刊服务咨询
购物车(0) 个人中心 关于我们 在线客服
类型
杂志

首页 > 优秀范文 > 风险识别与风险评估的区别

风险识别与风险评估的区别8篇

时间:2023-10-07 09:14:45

绪论:在寻找写作灵感吗?爱发表网为您精选了8篇风险识别与风险评估的区别,愿这些内容能够启迪您的思维,激发您的创作热情,欢迎您的阅读与分享!

风险识别与风险评估的区别

篇1

关键词:DEA;Nomal/Worst DEA;BCC模型;分层技术

中图分类号:F830.91 文献标识码:A文章编号:1005―0892(2006)ll一0053-06

一、引言

信用风险评估作为信用风险管理的中心内容,是指通过使用某种计量模型或者某种技术来测量投资者面临的信用风险的大小。Ⅲ我国金融市场尚处于转轨和新兴发展阶段,信用风险评估方法和手段较为落后,如对上市公司信用风险评估分析主要采用传统的静态比率分析等定性方法,缺乏系统科学的动态的信用风险定量分析,这远不能满足对上市公司信用风险进行准确识别和评估的要求。目前我国上市公司信用风险评估经常出现错判误判现象,特别是专门针对上市公司特点而进行信用风险评估的实用模型还不多见。

1978年,A.Charne等人提出了基于相对效率的多投人多产出分析法――数据包络分析法(Data EnvelopeAnalysis,DEA);Joseph.C.Paradi,Mette.Asmild以及Paul.C.Simak提出了基于DEA模型的Nomal/Worst DEA概念,并结合分层技术(Laying tech.),对加拿大企业进行了信用风险评估。此方法既区别于传统DEA模型在输入和输出指标上的选取,又克服了DMA类信用评估方法在选取样本公司和判别定点(cut-off piont)上的缺陷,为评估上市公司信用风险提出了一条新的思路。本文将拟用此方法对我国上市公司信用风险评估作进一步的实证研究。

二、上市公司财务状况与其信用风险的相关性

上市公司财务状况与其信用风险程度是密切相关的。财务实际上是企业生产经营活动的货币化,一方面,影响企业信用风险的因素可以在财务上表现出来;另一方面,上市公司投资失败、利润下降、融资渠道枯竭等信用事件,都能反映在企业的财务状况上;再有,上市公司的信用状况与其财务状况,实质上是一个相互影响、相互促进的关系。因此,财务状况能给我们提供一个量化其信用风险的手段;它可以帮助投资者全面分析企业的经营业绩,进而分析企业在信用交易中的履约能力,以便正确估计上市公司的信用风险。经验表明,许多投资机构都把上市公司的财务状况作为评估企业信用风险的重要依据。

三、DEA理论及其模型构建

数据包络分析(DEA)是一种线性规划技术,也是一种最常用的非参数前沿效率分析方法。该方法具有处理多个输入数据和多个输出数据的多目标决策问题的能力,在实际中得到了成功的运用,并不断地得到进一步完善和发展。DEA方法在事前并不需要知道各变量之间的相互重要性,以及无需知道输入与输出变量之间具体明确的函数形式前提下,通过同时处理多种输入和多种输出变量,将定性和定量信息纳入同一分析之中。DEA的原型来自Farrell(1958)提出的包络思想。因此,DEA有时也被称为Farrell型有效性分析法。

(一)DEA的基本思想与BCC模型

DEA方法的基本思路是把每一个被评价单位作为一个决策单元(DMU),再由众多DMU构成被评价群体,通过对投入和产出比率的综合分析,以DMU的各个投入和产出指标的权重为变量进行评价运算,确定有效生产前沿面;再根据各DMU与有效生产前沿面的距离状况,确定各DMU是否DEA有效。

高。在实际应用中,Normal DEA模型和Worst DEA模型中所选择的输入、输出变量却不一定非得完全相同。一些学者如Paradi和Chehade指出,虽然对简单地将输入和输出变量完全互换应用于相反的两个DEA模型并不加以严格限制,但事实上Paradi指出,选择应用Worst DEA模型,是为了发现在Normal DEA模型研究框架下所忽略的那些可能会影响DMU相对效率的因素。

(四)分层技术的应用

Divine和Thanassoulis建议将分层技术(Layeringtechnique)纳入到DEA分析当中,即在DEA模型计算一次后,将结果中的“有效单元”从样本中移除,然后再运算一次,从而使得另一组“有效单元”组成一个新的效率前沿面。这样,整个分析结果将得到一系列的“效率前沿面”。这一技术被运用到Worst DEA模型中时,一系列“无效”前沿面将会伴随着递减的风险率而被识别,以达到对DMU进行分类的目的。这一点还有别于DMA模型中设置一判别定点(0ut-offpiont)来划分信用质量好与坏的公司。

Joseph.C.Paradi指出,利用分层技术为DMU分类提供了一个非常有弹性的方法。它允许在分层层次上的选择,可能更多地受到监管者主观考虑、风险管理偏好以及风险判断等的影响。例如风险厌恶型的管理者将会选择较多的层数,以期提高分析的精度。但有一点是值得注意的,即分层层次越多,虽然会降低第一类错误的错判率,但这是以较高的第二类错误的错判率为代价的。

四、实证研究

本文实证分析是基于上市公司财务指标和其信用风险质量存在相关关系,以及ST/非sT公司财务指标存在差异两个假设之上。相对而言,sT公司比一般正常的上市公司具有较高的信用风险。为此,本文选取深沪两市1999年前上市交易的126家制造业A股上市公司作为实证样本,通过对上市公司是否被ST的预测来评估其信用风险。数据来源于深圳天软数据库,数据选取范围为2000年1月1日到2004年12月31日,共504个数据样本。研究目的是通过采用基于Normal/WorstDEA概念的DEA方法对上市公司信用风险进行评估,并确定符合我国上市公司实际的分析层次。

(一)样本与指标选取

本研究样本考虑到DEA分析的有效性,因此选择深、沪两交易所A股市场上制造业2004-2005年两年中所有被进行特别处理的ST公司63家,同时随机选取了63家非sT公司。126家公司被分成两组:第一组(建模样本)由60家公司组成,其中有30家是2004或2003年戴帽的ST公司(见表1),30家绩优公司;第二组(测试样本)由66家公司组成,其中有33家ST公司和随机选择的33家非sT公司。定义虚拟变量1为ST公司,0为非ST公司。

本文选取反映公司财务状况的24个财务指标作为信用风险评估的特征变量,如表2所示。财务指标的选取原则以能全面反映公司财务状况为基础,主要借鉴参考了国外这一领域的前期研究成果,如Joseph C.

Paradi运用DEA模型时采用的变量,tAltman(1968)模型采用的预测变量,标准普尔公司采用的评级财务指标等。在已选取的24个指标中,为了选取识别能力较高的指标且尽量避免指标之间信息的重叠,本文选取2004年sT与非sT公司各30家实际数据进行均值检验,结果如表3所示。

2.Worst/Normal DEA模型分析层次的确定

为使DEA模型对两类公司判别更为精确,本文区别于传统的判别定点方法,将分层技术分别应用于Worst DEA模型2和Normal DEA模型3,其分析结果如表6、表7。

由表6、表7可知,如果在Worst DEA模型分层分析和Normal DEA模型分层分析下,被评价单元的效率值为l时,该单元被判别为有效单元。那么在WorstDEA模型第一层分析中,有16.7%的sT类公司被识别,100%的非sT类公司被识别,即两类错误率分别为83.3%和0;在Normal DEA模型第一层分析中,有93.3%的sT类公司被识别,43.3%的非sT类公司被识别,即两类错误率分别为6.7%和66.7%。随后将每层分析中的有效单元移除,对剩余的单元再进行一次运算分析。在Worst DEA模型分析下,随着分析层次的增加,更多的sT类公司被识别,最后在第五层分析中,所有的sT类公司被识别,两类错误率分别为0%和54%。但是我们注意到,随着第一类错误率的下降,第二类错误率是随着分析层次的增多而增加的。相反,在Normal DEA模型分析中,随着分析层次的增加,非sT类公司被逐步识别,在第四层分析中,所有的非sT类公司被识别,两类错误率分别为73.3%和0%。由此可见,Normal DEA模型提高对非sT类公司的识别率,是以降低对sT类公司的识别率为代价的。

为了区别以上用传统的判别定点方法来判别信用风险存在差异的公司,我们在对Worst DEA模型2分析的基础上,结合Normal DEA模型3对两类公司进行判别,结果如表8。

由表8得知,选择在Worst DEA模型2分析基础上,结合Normal DEA模型3,分层层次分别定为5层和4层时,DEA模型对两类公司进行判别取得了较为理想的结果,第一类错误率为0,第二类错误率为3.3%。 3.测试样本Normal/Worst DEA模型实证分析 经过以上的分析,本研究将用Worst DEA模型2为基础,结合Normal DEA模型3来对测试样本2000-2003年的信用风险进行评估,分析层次分别定为5层和4层,结果如表9。

五、结论

由实证结果可以看出,Normal/Worst DEA方法对上市公司(检验样本)信用状况的预测,前四年的综合准确率为92.4%、87.8%、83.1%、69.4%。这说明该模型对上市公司信用风险前两年预测的精度较高。模型在输入和输出指标上的选取,既区别于一般的DEA模型,同时又克服了DMA类信用评估方法在选取判别定点上的缺陷;而分析层次的选择更能体现实际的特点,体现了较高的操作性。

篇2

一、传统风险导向审计模型

传统风险导向审计也称为控制风险导向审计,是指审计人员在审计过程中将风险分析、评价与控制融入传统审计方法之中,进而获取审计证据,形成审计结论的一种审计取证模式。

模型(审计风险=固有风险×控制风险×检查风险)可以解决交易类别、账户余额、披露和其他具体认定层次的错报,发现经济交易和事项本身的性质和复杂程度发生的错报,发现企业管理当局由于本身的认知和技术水平造成的错报,以及企业管理当局局部和个别人员舞弊和造假造成的错报,从而将审计风险控制在比较满意的水平。

二、现代风险导向审计模型

风险导向审计也称为经营风险导向审计,是指以被审计单位的战略经营风险为导向,通过“战略分析――流程分析――经营业绩评价――财务报表剩余风险分析”的基本思路,将会计报表重大错报风险和经营风险联系起来,从而提出了审计师从源头分析和发现会计报表错报的观念。

2003年10月国际审计和保证准则委员会(IAASB)了国际审计准则第315号(ISA315): “了解被审计单位及其环境并评估重大错报风险”,将传统风险导向审计下的审计风险模型修改为:审计风险=重大错报风险×检查风险,明确规定了审计工作以评估财务报表重大错报风险作为新的起点和导向。

三、两个模型的比较

传统风险导向审计模式与现代风险导向审计模式的本质区别在于审计理念和审计技术方法的不同,后者是对前者的改进,其主要区别如下:

(一)审计起点不同。传统风险导向审计方法通过综合评估固有风险和控制风险以确定实质性测试的范围、时间和程序,由于固有风险难以评估,审计的起点往往为企业的内部控制。

现代风险导向审计方法通过综合评估经营控制风险以确定实质性测试的范围、时间和程序,其审计起点为企业的战略系统及其业务流程。假如企业的业务流程不重要或风险控制很有效,则将实质性测试集中在例外事项上。这种新模式的优点是将审计的重心前移到风险评估,这将有利于充分识别和评估会计报表重大错报的风险,因此主要针对风险设计、实施控制测试和实质性测试程序。此外,注册会计师轻易全面把握企业可能存在的重大风险,有利于节省审计成本,克服因缺乏全面性观点而导致的审计风险。

(二)风险评估识别以分析性复核程序为中心。现代风险导向审计注重运用分析性复核程序,以识别可能存在的重大错报风险;而传统风险导向审计对于信息的再加工程度不高,分析性程序主要用在报表分析上。分析性复核程序已成为现代风险审计方法最重要的程序,为适应分析性程序功能扩大的要求,分析性程序开始走向多样化:在数据分析上,不但对财务数据进行分析,也要对非财务数据进行分析;在分析工具上,借鉴现代治理方法,把战略分析、绩效分析、财务分析以及前景分析等分析工具运用到风险评估之中,使风险因素不再唯一,变一元风险评估为多元风险评估,使得出的风险评估结果更加可靠。

(三)风险评估方式由直接评估转变为间接评估。传统风险导向审计的风险评估是一种直接的方式,即直接评估重大错报的概率。现代风险导向审计模式是从经营风险评估入手,间接地对审计风险进行评估,因为经营风险越高,审计风险也越大,也就是治理舞弊的可能性越大;并且从经营风险中能更有效地发现财务报表潜在的重大错报,因为财务报表是经营的反映,假如经营风险未能在报表中得到体现,则财务报表很可能失真。此外,会计政策、会计估计的合理性评估也只有从经营风险入手,才能进行正确的评估。

(四)审计程序实施具有个性化。传统风险导向审计模式的审计程序是标准化形式,对不同的被审计单位都使用标准相同的审计程序,其缺陷是没有充分贯彻风险导向审计思想,使注册会计师无法突破客户预先设置或防范的措施,难以做出正确的审计结论。现代风险导向审计方法要求注册会计师将评估及识别的审计风险与实施的审计程序相结合,针对不同客户以及客户不同的风险领域实施个性化的审计程序。

(五)审计证据的内涵扩大。在现代风险导向审计方式下,审计重心向风险评估转移,审计证据也由内部向外部转移。因此,注册会计师必须充分了解企业整体经营环境,由此评估客户的经营及审计风险,同时必须从外部取得大量的外部证据来证实风险评估的恰当性。风险导向审计模式下,注册会计师形成审计结论所依据的审计证据不仅包括实施控制测试和实质性测试获取的证据,还包括了解企业及其环境获取的证据。

(六)扩充了内部控制要素。传统风险导向审计方法下的内部控制是指被审计单位为了保证业务活动的有效进行,保护资产的安全和完整,发现、纠正错误与防止舞弊,保证会计资料的真实、合法、完整而制定和实施的政策与程序。内部控制要素包括控制环境、会计系统和控制程序。现代风险导向审计方法下的内部控制是指被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵循,由治理当局和其他人员设计和执行的政策和程序。内部控制的三要素扩充为五要素,即控制环境、被审计单位的风险评估过程、与财务报告相关的信息系统和沟通、控制活动和对控制的监督。

(七)对注册会计师的专业知识提出了更高要求。现代风险导向审计下审计结果主要依靠风险评估,要求把握现代治理知识和行业知识(包括市场、研发、生产等方面),这对注册会计师提出了更高的要求。注册会计师应该是复合型人才,不但要把握一般常用分析工具,还要接受现代治理知识和行业专业知识培训。

篇3

关键词:网络审计 历史财务报表审计 信息安全管理 风险评估

一、引言

从审计的角度,风险评估是现代风险导向审计的核心理念。无论是在历史财务报表审计还是在网络审计中,现代风险导向审计均要求审计师在执行审计工作过程中应以风险评估为中心,通过对被审计单位及其环境的了解,评估确定被审计单位的高风险领域,从而确定审计的范围和重点,进一步决定如何收集、收集多少和收集何种性质的证据,以便更有效地控制和提高审计效果及审计效率。从企业管理的角度,企业风险管理将风险评估作为其基本的要素之一进行规范,要求企业在识别和评估风险可能对企业产生影响的基础上,采取积极的措施来控制风险,降低风险为企业带来损失的概率或缩小损失程度来达到控制目的。信息安全风险评估作为企业风险管理的一部分,是企业信息安全管理的基础和关键环节。尽管如此,风险评估在网络审计、历史财务报表审计和企业信息安全管理等工作中的运用却不尽相同,本文在分析计算机信息系统环境下所有特定风险和网络审计风险基本要素的基础上,从风险评估中应关注的风险范围、风险评估的目的、内容、程序及实施流程等内容展开,将网络审计与历史财务报表审计和信息安全管理的风险评估进行对比分析,以期深化对网络审计风险评估的理解。

二、网络审计与历史财务报表审计的风险评估比较

(一)审计风险要素根据美国注册会计师协会的第47号审计标准说明中的审计风险模型,审计风险又由固有风险、控制风险和检查风险构成。其中,固有风险是指不考虑被审计单位相关的内部控制政策或程序的情况下,其财务报表某项认定产生重大错报的可能性;控制风险是被审计单位内部控制未能及时防止或发现财务报表上某项错报或漏报的可能性;检查风险是审计人员通过预定的审计程序未能发现被审计单位财务报表上存在重大错报或漏报的可能性。在网络审计中,审计风险仍然包括固有风险、控制风险和检查风险要素,但其具体内容直接受计算机网络环境下信息系统特定风险的影响。计算机及网络技术的应用能提高企业经营活动的效率,为企业的经营管理带来很大的优越性,但同时也为企业带来了一些新的风险。这些新的风险主要表现为:(1)数据与职责过于集中化。由于手工系统中的职责分工、互相牵制等控制措施都被归并到计算机系统自动处理过程中去了,这些集中的数据库技术无疑会增加数据纵和破坏的风险。(2)系统程序易于被非法调用甚至遭到篡改。由于计算机系统有较高的技术要求,非专业人员难以察觉计算机舞弊的线索,这加大了数据被非法使用的可能性。如经过批准的系统使用人员滥用系统,或者说,企业对接近信息缺乏控制使得重要的数据或程序被盗窃等。(3)错误程序的风险,例如程序中的差错反复和差错级联、数据处理不合逻辑、甚至是程序本身存在错误等。(4)信息系统缺乏应用的审计接口,使得审计人员在审计工作中难以有效地采集或获取企业信息系统中的数据,从而无法正常开展审计工作。(5)网络系统在技术和商业上的风险,如计算机信息系统所依赖的硬件设备可能出现一些不可预料的故障,或者信息系统所依赖的物理工作环境可能对整个信息系统的运行效能带来影响等。相对应地,网络审计的固有风险主要是指系统环境风险,即财务电算化系统本身所处的环境引起的风险,它可分为硬件环境风险和软件环境风险。控制风险包括系统控制风险和财务数据风险,其中,系统控制风险是指会计电算化系统的内部控制不严密造成的风险,财务数据风险是指电磁性财务数据被篡改的可能性。检查风险包括审计软件风险和人员操作风险,审计软件风险是指计算机审计软件本身缺陷原因造成的风险,人员操作风险是指计算机审计系统的操作人员、技术人员和开发人员等在工作中由于主观或客观原因造成的风险。

(二)风险评估目的无论在网络审计还是历史财务报表审计中,风险评估只是审计的一项重要程序,贯穿于审计的整个过程。与其他审计程序紧密联系而不是一项独立的活动。尽管如此,两者所关注的风险范围则有所不同。历史财务报表审计的风险评估要求审计人员主要关注的是被审计单位的重大错报风险――财务报表在审计前存在重大错报的可能性。由于网络审计的审计对象包括被审计单位基于网络的财务信息和网络财务信息系统两类,因此审计人员关注的风险应是被审计单位经营过程中与该两类审计对象相关的风险。(1)对于与企业网络财务信息系统相关的风险,审计人员应该从信息系统生命周期的各个阶段和信息系统的各组成部分及运行环境两方面出发进行评估。信息系统生命周期是指该信息系统从产生到完成乃至进入维护的各个阶段及其活动,无论是在早期的线性开发模型中还是在更为复杂的螺旋式等模型中,一个信息系统的生命周期大都包括规划和启动、设计开发或采购、集成实现、运行和维护、废弃等五个基本阶段。由于信息系统在不同阶段的活动内容不同,企业在不同阶段的控制目标和控制行为也会有所不同,因此,审计人员的风险评估应该贯穿于信息系统的整个生命周期。信息系统的组成部分是指构成该信息系统的硬件、软件及数据等,信息系统的运行环境是指信息系统正常运行使用所依托的物理和管理平台。具体可将其分为五个层面:物理层,即信息系统运行所必备的机房、设备、办公场所、系统线路及相关环境;网络层,即信息系统所需的网络架构的安全情况、网络设备的漏洞情况、网络设备配置的缺陷情况等;系统层,即信息系统本身的漏洞情况、配置的缺陷情况;应用层,即信息系统所使用的应用软件的漏洞情况、安全功能缺陷情况;管理层,即被审计单位在该信息系统的运行使用过程中的组织、策略、技术管理等方面的情况。(2)对于与企业基于网络的财务信息相关的风险,审计人员应着重关注财务信息的重大错报风险和信息的安全风险。重大错报风险主要指被审计单位基于网络的相关财务信息存在重大错报的可能性,它是针对企业借助于网络信息系统或网络技术对有关账户、交易或事项进行确认、计量或披露而言。网络审计中关注的重大错报风险与传统审CtT的内涵基本上是一致的,审计人员在审计时应当考虑被审计单位的行业状况、经营性质、法律及监管环境、会计政策和会计方法的选用、财务业绩的衡量和评价等方面的情况对财务信息错报可能的影响。信息安全风险涉及信息的保密性、完整性、可用性及敏感性等方面可能存在的风险,主要针对企业利用信息系统或一定的网络平台来存储、传输、披露相关财务信息而言。在审计过程中,审eta员应当主要关注相关财务信息被盗用、非法攻击或篡改及非法使用的可能性。当然,这两类风险并非完全分离的,评估时审计人员应将两者结合起来考虑。

(三)风险评估内容 广泛意义的风险评估是指考虑潜在事件对目标实现的影响程度。由于网络审计与历史财务报表审计风险评估的目的并不完全相同,因此两者在风险评估的内容上也是存在区别的。总的来说,网络审计的风险评估内容比历史财务报表审计的风险评估内容更广泛和深入。根据《中国注册会计师审计准则第1211号――了解被审计单位及其环境并评估重大错报风

险》,在历史财务报表审计中,审计人员的风险评估应以了解被审计单位及其环境为内容。为识别和评价重大错报风险,审计人员了解的具体内容包括被审计单位所在行业状况、法律环境与监管环境以及其他外部因素、被审计单位的性质、被审计单位对会计政策的选择和运用、被审计单位的目标、战略以及相关经营风险、被审计单位财务业绩的衡量和评价及被审it@位的内部控制等。在网络审计中。为了识别和评估上文所述的两类风险,审计人员除了从以上方面了解被审计单位及其环境外,还应该关注其他相关的潜在事件及其影响,尤其是企业的财务信息系统及基于网络的财务信息可能面l临的威胁或存在的脆弱点。其中,威胁是指对信息系统及财务信息构成潜在破坏的可能性因素或者事件,它可能是一些如工作人员缺乏责任心、专业技能不足或恶意篡改等人为因素,也可能是一些如灰尘、火灾或通讯线路故障等环境因素。脆弱点是指信息系统及基于网络的财务信息所存在的薄弱环节,它是系统或网络财务信息本身固有的,包括物理环境、组织、过程、人员、管理、配置、硬软件及信息等各方面的弱点。一般来说,脆弱点本身不会带来损失或信息错报,威胁却总是要利用网络、系统的弱点来成功地引起破坏。因此,我们认为网络审计申风险评估的内容应包括以下几方面:(1)识别被审计单位财务信息系统及其基于网络的财务信息可能面临的威胁,并分析威胁发生的可能性;(2)识别被审计单位财务信息系统及其基于网络的财务信息可能存在的脆弱点,并分析脆弱点的严重程度;(3)根据威胁发生的可能性和脆弱点发生的严重程度,判断风险发生的可能性;(4)根据风险发生的可能性,评价风险对财务信息系统和基于网络的财务信息可能带来的影响;(5)若被审计单位存在风险防范或化解措施,审计人员在进行风险评估时还应该考虑相应措施的可行性及有效性。

(四)风险评估程序《中国注册会计师审计准则第1211-----了解被审计单位及其环境并评估重大错报风险》中要求,审计人员应当实施询问、分析程序、观察和检查等程序,以获取被审计单位的信息,进而评估被审计单位的重大错报风险。这些程序同样适用于网络审计中的风险评估。但在具体运用时网络审计中更加注重了解和分析被审计单位与信息系统及网络技术使用相关的事项。在实施询问程序时,审计人员的询问对象围绕信息系统和基于网络的财务信息可大致分为管理人员、系统开发和维护人员(或信息编制人员)、系统使用人员(或信息的内部使用人员)、系统或网络技术顾问及其他外部相关人员(如律师)等五类,分别从不同角度了解信息系统和基于网络的财务信息可能存在的威胁和脆弱点。在实施分析程序时,除了研究财务数据及与财务信息相关的非财务数据可能的异常趋势外,审计人员应格外关注对信息系统及网络的特性情况,被审计单位对信息系统的使用情况等内容的分析比较。实施观察和检查时,除执行常规程序外,审计人员应注意观察信息系统的操作使用和检查信息系统文档。除此之外,针对特定系统或网络技术风险的评估,审计人员还需要实施一些特定的程序。技术方面如IOS取样分析、渗透测试、工具扫描、安全策略分析等;管理方面如风险问卷调查、风险顾问访谈、风险策略分析、文档审核等。其中,IDS取样分析是指通过在核心网络采样监听通信数据方式,获取网络中存在的攻击和蠕虫行为,并对通信流量进行分析;渗透测试是指在获取用户授权后,通过真实模拟黑客使用的工具、方法来进行实际漏洞发现和利用的安全测试方法;工具扫描是指通过评估工具软件或专用安全评估系统自动获取评估对象的脆弱性信息,包括主机扫描、网络扫描、数据库扫描等,用于分析系统、应用、网络设备存在的常见漏洞。风险问卷调查与风险顾问访谈要求审计人员分别采用问卷和面谈的方式向有关主体了解被审计单位的风险状况,使用时关键是要明确问卷或访谈的对象情况风险策略分析要求审计人员对企业所设定的风险管理和应对策略的有效性进行分析,进而评价企业相关风险发生的概率以及可能带来的损失;文档审核是一种事前评价方法,属于前置软件测试的一部分,主要包括需求文档测试和设计文档测试。这些特定程序主要是针对被审计单位信息系统和基于网络的财务信息在网络安全风险方面进行评价,审计人员在具体使用时应结合被审计单位的业务性质选择合适的程序。

三、网络审计与信息安全管理的风险评估比较

(一)风险评估的目的信息安全管理中的风险评估(即信息安全风险评估)是指根据国家有关信息安全技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程。作为信息安全保障体系建立过程中的重要的评价方法和决策机制,信息安全风险评估是企业管理的组成部分,它具有规划、组织、协调和控制等管理的基本特征,其主要目的在于从企业内部风险管理的角度,在系统分析和评估风险发生的可能性及带来的损失的基础上,提出有针对性的防护和整改措施,将企业面临或遭遇的风险控制在可接受水平,最大限度地保证组织的信息安全。而网络审计是由独立审计人员向企业提供的一项鉴证服务,其风险评估的目的在于识别和评价潜在事件对被审计单位基于网络的财务信息的合法性、公允性以及网络财务信息系统的合规性、可靠性和有效性的影响程度,从而指导进一步审计程序。因此,两者风险评估的目的是不一样。从评估所应关注的风险范围来看,两者具有一致性,即都需要考虑与信息系统和信息相关的风险。但是,具体的关注边界则是不一样的。信息安全风险评估要评估企业资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响,它要求评估人员关注与企业整个信息系统和所有的信息相关的风险,包括实体安全风险、数据安全风险、软件安全风险、运行安全风险等。网络审计中,审计人员是对被审计单位的网络财务信息系统和基于网络的财务信息发表意见,因此,风险评估时审计人员主要关注的是与企业财务信息系统和基于网络的财务信息相关的风险,而不是与企业的整个信息系统和所有的信息相关的风险。根据评估实施者的不同,信息安全风险评估形式包括自评估和他评估。自评估是由组织自身对所拥有的信息系统进行的风险评估活动;他评估通常是由组织的上级主管机关或业务主管机关发起的,旨在依据已经颁布的法规或标准进行的具有强制意味的检查。自评估和他评估都可以通过风险评估服务机构进行咨询、服务、培训以及风险评估有关工具的提供。因此。对审计人员而言,受托执行的信息安全风险评估应当归属于管理咨询类,即属于非鉴证业务,与网络审计严格区分开来。

(二)风险评估的内容在我国国家质量监督检验检疫总局的《信息安全风险评估指南》(征求意见稿)国家标准中,它将信息安全风险评估的内容分为两部分:基本要素和相关属性,提出信息安全风险评估应围绕其基本要素展开,并充分考虑与这些基本要素相关的其他属性。其中,风险评估的基本要素包括资产、脆弱性、威胁、风险和安全措施;相关属性包括业务战略、资产价值、安全需求、安全事件、残余风险等。在此基础上的风险计算过程是:(1)对信息资产进行识别,并对资产赋值;(2)对威胁进行分析,并对威

胁发生的可能性赋值;(3)识别信息资产的脆弱性,并对弱点的严重程度赋值;(4)根据威胁和脆弱性计算安全事件发生的可能性;(5)根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件造成的损失;(6)根据安全事件发生的可能性以及安全事件出现后的损失,计算安全事件一旦发生对组织的影响,即风险值。结合上文网络审计风险评估五个方面的内容可以看出,网络审计和信息安全风险评估在内容上有相近之处,即都需要针对信息系统和信息可能面临的威胁和存在的脆弱点进行识别。但是,信息安全管理作为企业的一项内部管理,其风险评估工作需要从两个层次展开:一是评估风险发生的可能性及其影响;二是提出防护或整改措施以控制风险。第一个层次的工作实质上是为第二层次工作服务的,其重点在第二层次。《信息安全风险评估指南》(征求意见稿)提出,企业在确定出风险水平后,应对不可接受的风险选择适当的处理方式及控制措施,并形成风险处理计划。其中,风险处理的方式包括回避风险、降低风险、转移风险、接受风险,而控制措施的选择应兼顾管理和技术,考虑企业发展战略、企业文化、人员素质,并特别关注成本与风险的平衡。网络审计的风险评估工作主要集中在第一个层次,即审计人员通过风险评估,为进一步审计中做出合理的职业判断、有效地实施网络审计程序和实现网络审计目标提供重要基础。因此,两者的评估内容是存在区别的。

篇4

关键词:风险导向审计;审计模式;适用性分析

随着国内外重大审计失败事件的不断发生,风险导向审计作为一种重要的审计理念和方法,受到审计职业界和学者的关注。中国注册会计师协会在2004年10月了新的审计风险准则征求意见稿,要求注册会计师在审计中使用现代风险导向审计方法,实施风险评估程序,降低审计风险,提高审计质量。如果审计风险准则一旦正式生效,将使我国的审计风险准则与国际接轨,并引导中国注册会计师实务由传统风险导向审计向现代风险导向审计转变。因此,对现代风险导向审计模式的理解以及在我国的适用性分析就显得十分重要。

一、风险导向审计概述

随着社会经济的发展变化,审计方法适应审计环境的变化经历了三个发展阶段:一是审计发展的早期,由于企业组织结构简单、业务性质单一,注册会计师的审计工作目的是为了促使受托责任人在授权经营过程中做出诚实、可靠的行为,审计方式是详细审计。审计的重心在资产负债表,是对会计凭证和账簿的详细审计,旨在发现和防止错误与舞弊,这种审计方法就是账项基础审计方法(accountingnumber-basedauditapproach)。二是从1950年代起,以内部控制测试为基础的抽样审计在西方国家得到广泛应用,这种审计方法重点在于注册会计师了解、测试和评价内部控制设计的合理性和执行的有效性。对内部控制存在缺陷的环节,注册会计师通常将其涉及交易和账户余额作为审计的重点,甚至进行详细审计;对于可以信赖的内部控制环节,通常将其涉及的交易和账户余额进行抽样审计,以提高审计效率和降低审计费用。从方法论的角度,这种审计方法被称作制度基础审计方法(system-basedauditapproach)。三是1970年代以后,由于制度基础审计方法显露缺陷,一种新的、以风险防范为基础的风险导向审计模式逐渐兴起,从方法论的角度,注册会计师以审计风险模型为基础进行的审计方法称为风险导向审计方法(risk-orientedauditapproach)。

回顾审计方法的发展历程,风险导向审计模式已成为审计方法发展的国际趋势。风险导向审计模式合理地扬弃了作为制度导向审计模式基础的“无利害关系假设”,把指导思想建立在“合理的职业怀疑假设”的基础上,不只依赖对被审计单位管理层所设计和执行内部控制制度的检查与评价,而且实事求是地对公司管理层是否诚信、是否有舞弊造假的驱动始终保持一种合理的职业警觉,将审计的视野扩大到被审计单位所处的经营环境(微观、中观乃至宏观),将风险评估贯穿于审计工作的全过程。与传统的制度基础审计相比较,主要有以下区别:

(一)审计模式不同

制度基础审计模式以内部控制为核心,对控制风险的评估仅通过确定内部控制的可依赖程度来减少实质性测试的工作量,而对固有风险的评估常流于形式;风险导向审计模式不仅通过内部控制评估控制风险,还结合其他风险因素尤其是固有风险综合考虑,通过对企业环境、发展战略、公司治理结构等方面的评估,发现其潜在的经营风险及财务风险,并评估财务报表发生重大错报的风险,以便使审计风险降至可接受水平。

(二)审计基础不同

制度基础审计以内部控制制度为基础,根据被审单位内部控制制度的健全性及符合性评审结果,确定实质性测试的范围和重点;风险导向审计则以风险评估为基础,对影响被审单位经济活动的多种内外因素进行评估,确定审计范围、重点和方法,其不仅重视与内部控制系统直接相关的因素,而且重视各种环境因素。

(三)审计方法不同

两种审计模式都采用抽样技术,但风险导向审计是通过建立审计风险模型将风险量化。因此,相对于制度基础审计来说,风险导向审计的抽样技术是更完全意义上的审计抽样,更注重利用分析性测试方法,从而可以有效降低审计风险。

二、风险导向审计的两种模式

风险导向审计自产生以来经历了两个阶段,理论界把以传统审计风险模型“审计风险=固有风险×控制风险×检查风险”为基础进行的审计称为传统风险导向审计模式;而将1990年代后期开始,在国际会计师事务所内部推行并逐渐被审计理论与实务界接受的,以“审计风险=重大错报风险×检查风险”的模型为基础,以被审计单位的经营风险为导向的审计方法称作现代风险导向审计模式。

传统风险导向审计模式与现代风险导向审计模式的本质区别在于审计理念和审计技术方法的不同,后者是对前者的改进,其主要区别如下:

(一)审计起点不同

传统风险导向审计运用的审计风险模型中,固有风险是指假定不存在相关内部控制时,某一账户或交易类别单独或连同其他账户、交易类别产生重大错报或漏报的可能性。控制风险是指某一账户或交易类别单独或连同其他账户、交易类别产生错报或漏报,而未能被内部控制防止、发现或纠正的可能性。传统风险导向审计方法通过综合评估固有风险和控制风险以确定实质性测试的范围、时间和程序,由于固有风险难以评估,审计的起点往往为企业的内部控制(如果没有必要测试内部控制,审计的起点则为会计报表项目)。

现代风险导向审计方法通过综合评估经营控制风险以确定实质性测试的范围、时间和程序,其审计起点为企业的战略系统及其业务流程。如果企业的业务流程不重要或风险控制很有效,则将实质性测试集中在例外事项上。这种新模式的优点是将审计的重心前移到风险评估,这将有利于充分识别和评估会计报表重大错报的风险,因此,主要针对风险设计、实施控制测试和实质性测试程序。此外,注册会计师容易全面掌握企业可能存在的重大风险,有利于节省审计成本,克服因缺乏全面性观点而导致的审计风险。

(二)风险评估识别以分析性复核程序为中心

现代风险导向审计注重运用分析性复核程序,以识别可能存在的重大错报风险;而传统风险导向审计对于信息的再加工程度不够,其分析性程序主要用在报表分析上。分析性复核程序已成为现代风险审计方法最重要的程序,为了适应分析性程序功能扩大的要求,分析性程序开始走向多样化:在数据分析上不但要对财务数据进行分析,也要对非财务数据进行分析;在分析工具上借鉴现代管理方法,把战略分析、绩效分析、财务分析及前景分析等分析工具运用到风险评估之中,使风险因素不再惟一,变一元风险评估为多元风险评估,使得出的风险评估结果更加可靠。

(三)风险评估方式由直接评估转变为间接评估

传统风险导向审计的风险评估是一种直接的方式,即直接评估重大错报的概率。现代风险导向审计模式是从经营风险评估入手,间接地对审计风险进行评估,因为经营风险越高,审计风险也越大,也就是管理舞弊的可能性越大;并且从经营风险中能更有效地发现财务报表潜在的重大错报,因为财务报表是经营的反映,如果经营风险未能在报表中得到体现,则财务报表很可能失真。此外,会计政策、会计估计的合理性评估也只有从经营风险入手,才能进行正确的评估。

(四)审计程序实施具有个性化

传统风险导向审计模式审计程序是标准化形式,对不同的被审计单位都使用标准相同的审计程序,其缺陷是没有足够贯彻风险导向审计思想,使注册会计师无法突破客户预先设置或防范的措施,难以做出正确的审计结论。现代风险导向审计方法要求注册会计师将评估及识别的审计风险与实施的审计程序相结合,针对不同客户以及客户不同的风险领域实施个性化的审计程序。

(五)审计证据的内涵扩大

在现代风险导向审计方式下,审计重心向风险评估转移,审计证据也由内部向外部转移。因此,注册会计师必须充分了解企业整体经营环境,由此评估客户的经营及审计风险,同时必须从外部取得大量的外部证据来证明风险评估的恰当性。风险导向审计模式下,注册会计师形成审计结论所依据的审计证据不仅包括实施控制测试和实质性测试获取的证据,还包括了解企业及其环境获取的证据。

(六)扩充了内部控制要素

传统风险导向审计方法下的内部控制是指被审计单位为了保证业务活动的有效进行,保护资产的安全和完整,发现、纠正错误与防止舞弊,保证会计资料的真实、合法、完整而制定和实施的政策与程序。内部控制要素包括控制环境、会计系统和控制程序。现代风险导向审计方法下的内部控制是指被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵循,由治理当局、管理当局和其他人员设计和执行的政策和程序。内部控制的三要素扩充为五要素,即控制环境、被审计单位的风险评估过程、与财务报告相关的信息系统和沟通、控制活动和对控制的监督。

(七)对注册会计师的专业知识提出了更高要求

现代风险导向审计对注册会计师的专业素质提出更高要求,其重心从会计、审计知识转向管理和行业知识。现代风险导向审计下审计结果主要依赖风险评估,风险评估的各种分析方法要求掌握现代管理知识和行业知识(包括市场、研发、生产等方面),这对注册会计师提出了更高的要求。注册会计师应该是复合性人才,不但要掌握一般常用分析工具,还要接受现代管理知识和行业专业知识训练。

三、现代风险导向审计模式在我国的适用性分析

基于上述分析,现代风险导向审计模式是审计发展的一种必然趋势。2003年10月,国际审计与鉴证准则委员会(IAASB)通过了新的审计风险准则;中注协也在2004年10日了修订后的审计风险准则征求意见稿,不仅将使我国的审计风险准则与国际接轨,同时也为提高审计质量、降低审计风险提供了技术支持。审计风险准则一旦正式生效,将引导中国注册会计师实务由传统风险导向审计向现代风险导向审计转变,会对我国的注册会计师审计理念、审计程序及审计责任产生非常大的影响。

然而,目前要在我国推行风险导向审计模式还存在一定的制约条件和需要解决的问题:

(一)会计师事务所审计成本与效益问题

实施风险导向审计模式的前提是成本能得到补偿。现代风险导向审计模式在审计计划阶段和执行控制测试阶段,注册会计师关注的范围扩大,程度加深,导致工作时间和审计成本的增加,在市场竞争激烈的情况下,成本的增加往往不可能过渡到收费的同步增加。此外,还需要一定的投入来培训注册会计师,使他们掌握业务流程和行业知识等有关方面的知识。如果这些成本得不到补偿,就会使一部分中小会计师事务所在竞争中无法生存。

(二)信息系统的建设问题

现代风险导向审计的重要特征是审计重心前移,注册会计师必须首先执行风险评估程序,充分了解客户整体经营环境,然后针对风险不同的客户、客户不同的风险领域,设计个性化的审计程序。因此,会计师事务所必须建立强大的信息系统,以便注册会计师在风险评估时了解企业的战略、流程风险管理、业绩衡量等。而目前国内很多事务所对行业风险和企业经营风险缺乏了解,客户的相关信息不够充分,信息系统的建设还达不到现代风险导向审计的要求,导致风险评估不准确。因此,风险导向审计的运用仅限于老客户,对新客户还是将大量时间用于实质性测试。

(三)审计从业人员素质问题

现代风险导向审计对审计从业人员的业务素质提出了新要求,不仅要具备丰富的审计理论和实践经验,还要具备必需的管理学知识和经济学知识,能够运用系统的、战略的观点充分了解、分析企业所处的宏观经济环境和行业发展状况,对有可能导致企业会计报表错报风险的内外部因素进行客观、系统的分析与评价,将审计视角扩展到内部控制以外,从较高层面上评估风险,而不是仅仅注重企业会计处理的细节。

(四)辅助审计软件的使用与完善问题

现代风险导向审计方法中分析性程序占据非常重要的地位,辅助审计软件的使用在其中发挥着重要的作用。西方发达国家大量运用分析性程序的条件是辅助审计程序的开发和运用,它可以直接对数据库进行加工分析,依据软件模型自行处理数据,使运用分析性测试程序成为节约成本的重要手段。另外,采用审计软件使统计抽样的样本更具代表性,审计抽样风险可控,为风险导向审计提供了技术支持。目前,我国在审计软件的开发和使用上不够理想,还有待提高,而且大部分注册会计师缺少相应的技术准备,在现阶段推行现代风险导向审计方法只能是一种愿望。

如上所述,目前在我国全面推行现代风险导向审计模式还受到许多制约,尽管它有很多优越之处,但在我国还不能够普遍推行。当前我国独立审计准则主要是以制度基础审计模式为基础的,而且相当一部分从事小规模企业审计工作的会计师事务所和注册会计师,基本上仍然在运用账项基础审计模式。但是,现代风险导向审计的实行是一种理念的改变,我们可将制度基础审计与风险导向审计有机结合。即使在现行审计准则仍然主要以制度基础审计模式为基础的情况下,吸取风险导向审计模式的基本观点和做法,则是完全可行的。通过把风险导向审计中控制风险的理念和方法融合到制度基础审计中,使其他审计模式忽略审计风险的缺陷得到弥补,将会为探索适合我国的现代风险导向审计模式积累有益的实践经验。

参考文献:

〔1〕陈毓圭。对风险导向审计方法的由来及其发展的认识〔J〕。会计研究,2004,(2)。

〔2〕常勋,黄京菁。从审计模式的演进看风险导向审计〔J〕。财会通讯,2004,(7)。

篇5

关键词:风险导向审计;审计模式;适用性分析

随着国内外重大审计失败事件的不断发生,风险导向审计作为一种重要的审计理念和方法,受到审计职业界和学者的关注。中国注册会计师协会在2004年10月了新的审计风险准则征求意见稿,要求注册会计师在审计中使用现代风险导向审计方法,实施风险评估程序,降低审计风险,提高审计质量。如果审计风险准则一旦正式生效,将使我国的审计风险准则与国际接轨,并引导中国注册会计师实务由传统风险导向审计向现代风险导向审计转变。因此,对现代风险导向审计模式的理解以及在我国的适用性分析就显得十分重要。

一、风险导向审计概述

随着社会经济的发展变化,审计方法适应审计环境的变化经历了三个发展阶段:一是审计发展的早期,由于企业组织结构简单、业务性质单一,注册会计师的审计工作目的是为了促使受托责任人在授权经营过程中做出诚实、可靠的行为,审计方式是详细审计。审计的重心在资产负债表,是对会计凭证和账簿的详细审计,旨在发现和防止错误与舞弊,这种审计方法就是账项基础审计方法(accountingnumber-basedauditapproach)。二是从1950年代起,以内部控制测试为基础的抽样审计在西方国家得到广泛应用,这种审计方法重点在于注册会计师了解、测试和评价内部控制设计的合理性和执行的有效性。对内部控制存在缺陷的环节,注册会计师通常将其涉及交易和账户余额作为审计的重点,甚至进行详细审计;对于可以信赖的内部控制环节,通常将其涉及的交易和账户余额进行抽样审计,以提高审计效率和降低审计费用。从方法论的角度,这种审计方法被称作制度基础审计方法(system-basedauditapproach)。三是1970年代以后,由于制度基础审计方法显露缺陷,一种新的、以风险防范为基础的风险导向审计模式逐渐兴起,从方法论的角度,注册会计师以审计风险模型为基础进行的审计方法称为风险导向审计方法(risk-orientedauditapproach)。

回顾审计方法的发展历程,风险导向审计模式已成为审计方法发展的国际趋势。风险导向审计模式合理地扬弃了作为制度导向审计模式基础的“无利害关系假设”,把指导思想建立在“合理的职业怀疑假设”的基础上,不只依赖对被审计单位管理层所设计和执行内部控制制度的检查与评价,而且实事求是地对公司管理层是否诚信、是否有舞弊造假的驱动始终保持一种合理的职业警觉,将审计的视野扩大到被审计单位所处的经营环境(微观、中观乃至宏观),将风险评估贯穿于审计工作的全过程。与传统的制度基础审计相比较,主要有以下区别:

(一)审计模式不同

制度基础审计模式以内部控制为核心,对控制风险的评估仅通过确定内部控制的可依赖程度来减少实质性测试的工作量,而对固有风险的评估常流于形式;风险导向审计模式不仅通过内部控制评估控制风险,还结合其他风险因素尤其是固有风险综合考虑,通过对企业环境、发展战略、公司治理结构等方面的评估,发现其潜在的经营风险及财务风险,并评估财务报表发生重大错报的风险,以便使审计风险降至可接受水平。

(二)审计基础不同

制度基础审计以内部控制制度为基础,根据被审单位内部控制制度的健全性及符合性评审结果,确定实质性测试的范围和重点;风险导向审计则以风险评估为基础,对影响被审单位经济活动的多种内外因素进行评估,确定审计范围、重点和方法,其不仅重视与内部控制系统直接相关的因素,而且重视各种环境因素。

(三)审计方法不同

两种审计模式都采用抽样技术,但风险导向审计是通过建立审计风险模型将风险量化。因此,相对于制度基础审计来说,风险导向审计的抽样技术是更完全意义上的审计抽样,更注重利用分析性测试方法,从而可以有效降低审计风险。

二、风险导向审计的两种模式

风险导向审计自产生以来经历了两个阶段,理论界把以传统审计风险模型“审计风险=固有风险×控制风险×检查风险”为基础进行的审计称为传统风险导向审计模式;而将1990年代后期开始,在国际会计师事务所内部推行并逐渐被审计理论与实务界接受的,以“审计风险=重大错报风险×检查风险”的模型为基础,以被审计单位的经营风险为导向的审计方法称作现代风险导向审计模式。

传统风险导向审计模式与现代风险导向审计模式的本质区别在于审计理念和审计技术方法的不同,后者是对前者的改进,其主要区别如下:

(一)审计起点不同

传统风险导向审计运用的审计风险模型中,固有风险是指假定不存在相关内部控制时,某一账户或交易类别单独或连同其他账户、交易类别产生重大错报或漏报的可能性。控制风险是指某一账户或交易类别单独或连同其他账户、交易类别产生错报或漏报,而未能被内部控制防止、发现或纠正的可能性。传统风险导向审计方法通过综合评估固有风险和控制风险以确定实质性测试的范围、时间和程序,由于固有风险难以评估,审计的起点往往为企业的内部控制(如果没有必要测试内部控制,审计的起点则为会计报表项目)。

现代风险导向审计方法通过综合评估经营控制风险以确定实质性测试的范围、时间和程序,其审计起点为企业的战略系统及其业务流程。如果企业的业务流程不重要或风险控制很有效,则将实质性测试集中在例外事项上。这种新模式的优点是将审计的重心前移到风险评估,这将有利于充分识别和评估会计报表重大错报的风险,因此,主要针对风险设计、实施控制测试和实质性测试程序。此外,注册会计师容易全面掌握企业可能存在的重大风险,有利于节省审计成本,克服因缺乏全面性观点而导致的审计风险。

(二)风险评估识别以分析性复核程序为中心

现代风险导向审计注重运用分析性复核程序,以识别可能存在的重大错报风险;而传统风险导向审计对于信息的再加工程度不够,其分析性程序主要用在报表分析上。分析性复核程序已成为现代风险审计方法最重要的程序,为了适应分析性程序功能扩大的要求,分析性程序开始走向多样化:在数据分析上不但要对财务数据进行分析,也要对非财务数据进行分析;在分析工具上借鉴现代管理方法,把战略分析、绩效分析、财务分析及前景分析等分析工具运用到风险评估之中,使风险因素不再惟一,变一元风险评估为多元风险评估,使得出的风险评估结果更加可靠。

(三)风险评估方式由直接评估转变为间接评估

传统风险导向审计的风险评估是一种直接的方式,即直接评估重大错报的概率。现代风险导向审计模式是从经营风险评估入手,间接地对审计风险进行评估,因为经营风险越高,审计风险也越大,也就是管理舞弊的可能性越大;并且从经营风险中能更有效地发现财务报表潜在的重大错报,因为财务报表是经营的反映,如果经营风险未能在报表中得到体现,则财务报表很可能失真。此外,会计政策、会计估计的合理性

评估也只有从经营风险入手,才能进行正确的评估。

(四)审计程序实施具有个性化

传统风险导向审计模式审计程序是标准化形式,对不同的被审计单位都使用标准相同的审计程序,其缺陷是没有足够贯彻风险导向审计思想,使注册会计师无法突破客户预先设置或防范的措施,难以做出正确的审计结论。现代风险导向审计方法要求注册会计师将评估及识别的审计风险与实施的审计程序相结合,针对不同客户以及客户不同的风险领域实施个性化的审计程序。

(五)审计证据的内涵扩大

在现代风险导向审计方式下,审计重心向风险评估转移,审计证据也由内部向外部转移。因此,注册会计师必须充分了解企业整体经营环境,由此评估客户的经营及审计风险,同时必须从外部取得大量的外部证据来证明风险评估的恰当性。风险导向审计模式下,注册会计师形成审计结论所依据的审计证据不仅包括实施控制测试和实质性测试获取的证据,还包括了解企业及其环境获取的证据。

(六)扩充了内部控制要素

传统风险导向审计方法下的内部控制是指被审计单位为了保证业务活动的有效进行,保护资产的安全和完整,发现、纠正错误与防止舞弊,保证会计资料的真实、合法、完整而制定和实施的政策与程序。内部控制要素包括控制环境、会计系统和控制程序。现代风险导向审计方法下的内部控制是指被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵循,由治理当局、管理当局和其他人员设计和执行的政策和程序。内部控制的三要素扩充为五要素,即控制环境、被审计单位的风险评估过程、与财务报告相关的信息系统和沟通、控制活动和对控制的监督。

(七)对注册会计师的专业知识提出了更高要求

现代风险导向审计对注册会计师的专业素质提出更高要求,其重心从会计、审计知识转向管理和行业知识。现代风险导向审计下审计结果主要依赖风险评估,风险评估的各种分析方法要求掌握现代管理知识和行业知识(包括市场、研发、生产等方面),这对注册会计师提出了更高的要求。注册会计师应该是复合性人才,不但要掌握一般常用分析工具,还要接受现代管理知识和行业专业知识训练。

三、现代风险导向审计模式在我国的适用性分析

基于上述分析,现代风险导向审计模式是审计发展的一种必然趋势。2003年10月,国际审计与鉴证准则委员会(IAASB)通过了新的审计风险准则;中注协也在2004年10日了修订后的审计风险准则征求意见稿,不仅将使我国的审计风险准则与国际接轨,同时也为提高审计质量、降低审计风险提供了技术支持。审计风险准则一旦正式生效,将引导中国注册会计师实务由传统风险导向审计向现代风险导向审计转变,会对我国的注册会计师审计理念、审计程序及审计责任产生非常大的影响。

然而,目前要在我国推行风险导向审计模式还存在一定的制约条件和需要解决的问题:

(一)会计师事务所审计成本与效益问题

实施风险导向审计模式的前提是成本能得到补偿。现代风险导向审计模式在审计计划阶段和执行控制测试阶段,注册会计师关注的范围扩大,程度加深,导致工作时间和审计成本的增加,在市场竞争激烈的情况下,成本的增加往往不可能过渡到收费的同步增加。此外,还需要一定的投入来培训注册会计师,使他们掌握业务流程和行业知识等有关方面的知识。如果这些成本得不到补偿,就会使一部分中小会计师事务所在竞争中无法生存。

(二)信息系统的建设问题

现代风险导向审计的重要特征是审计重心前移,注册会计师必须首先执行风险评估程序,充分了解客户整体经营环境,然后针对风险不同的客户、客户不同的风险领域,设计个性化的审计程序。因此,会计师事务所必须建立强大的信息系统,以便注册会计师在风险评估时了解企业的战略、流程风险管理、业绩衡量等。而目前国内很多事务所对行业风险和企业经营风险缺乏了解,客户的相关信息不够充分,信息系统的建设还达不到现代风险导向审计的要求,导致风险评估不准确。因此,风险导向审计的运用仅限于老客户,对新客户还是将大量时间用于实质性测试。

(三)审计从业人员素质问题

现代风险导向审计对审计从业人员的业务素质提出了新要求,不仅要具备丰富的审计理论和实践经验,还要具备必需的管理学知识和经济学知识,能够运用系统的、战略的观点充分了解、分析企业所处的宏观经济环境和行业发展状况,对有可能导致企业会计报表错报风险的内外部因素进行客观、系统的分析与评价,将审计视角扩展到内部控制以外,从较高层面上评估风险,而不是仅仅注重企业会计处理的细节。

(四)辅助审计软件的使用与完善问题

现代风险导向审计方法中分析性程序占据非常重要的地位,辅助审计软件的使用在其中发挥着重要的作用。西方发达国家大量运用分析性程序的条件是辅助审计程序的开发和运用,它可以直接对数据库进行加工分析,依据软件模型自行处理数据,使运用分析性测试程序成为节约成本的重要手段。另外,采用审计软件使统计抽样的样本更具代表性,审计抽样风险可控,为风险导向审计提供了技术支持。目前,我国在审计软件的开发和使用上不够理想,还有待提高,而且大部分注册会计师缺少相应的技术准备,在现阶段推行现代风险导向审计方法只能是一种愿望。

如上所述,目前在我国全面推行现代风险导向审计模式还受到许多制约,尽管它有很多优越之处,但在我国还不能够普遍推行。当前我国独立审计准则主要是以制度基础审计模式为基础的,而且相当一部分从事小规模企业审计工作的会计师事务所和注册会计师,基本上仍然在运用账项基础审计模式。但是,现代风险导向审计的实行是一种理念的改变,我们可将制度基础审计与风险导向审计有机结合。即使在现行审计准则仍然主要以制度基础审计模式为基础的情况下,吸取风险导向审计模式的基本观点和做法,则是完全可行的。通过把风险导向审计中控制风险的理念和方法融合到制度基础审计中,使其他审计模式忽略审计风险的缺陷得到弥补,将会为探索适合我国的现代风险导向审计模式积累有益的实践经验。

参考文献:

〔1〕陈毓圭。对风险导向审计方法的由来及其发展的认识〔J〕。会计研究,2004,(2)。

〔2〕常勋,黄京菁。从审计模式的演进看风险导向审计〔J〕。财会通讯,2004,(7)。

篇6

关键词:风险导向审计;审计模式;适用性分析

随着国内外重大审计失败事件的不断发生,风险导向审计作为一种重要的审计理念和方法,受到审计职业界和学者的关注。注册师协会在2004年10月了新的审计风险准则征求意见稿,要求注册会计师在审计中使用现代风险导向审计方法,实施风险评估程序,降低审计风险,提高审计质量。如果审计风险准则一旦正式生效,将使我国的审计风险准则与国际接轨,并引导中国注册会计师实务由传统风险导向审计向现代风险导向审计转变。因此,对现代风险导向审计模式的理解以及在我国的适用性分析就显得十分重要。

一、风险导向审计概述

随着的发展变化,审计方法适应审计环境的变化经历了三个发展阶段:一是审计发展的早期,由于组织结构简单、业务性质单一,注册会计师的审计工作目的是为了促使受托责任人在授权经营过程中做出诚实、可靠的行为,审计方式是详细审计。审计的重心在资产负债表,是对会计凭证和账簿的详细审计,旨在发现和防止错误与舞弊,这种审计方法就是账项基础审计方法(accountingnumber-basedauditapproach)。二是从1950年代起,以内部控制测试为基础的抽样审计在西方国家得到广泛,这种审计方法重点在于注册会计师了解、测试和评价内部控制设计的合理性和执行的有效性。对内部控制存在缺陷的环节,注册会计师通常将其涉及交易和账户余额作为审计的重点,甚至进行详细审计;对于可以信赖的内部控制环节,通常将其涉及的交易和账户余额进行抽样审计,以提高审计效率和降低审计费用。从方法论的角度,这种审计方法被称作制度基础审计方法(system-basedauditap proach)。三是1970年代以后,由于制度基础审计方法显露缺陷,一种新的、以风险防范为基础的风险导向审计模式逐渐兴起,从方法论的角度,注册会计师以审计风险模型为基础进行的审计方法称为风险导向审计方法(risk-orientedauditap proach)。

回顾审计方法的发展历程,风险导向审计模式已成为审计方法发展的国际趋势。风险导向审计模式合理地扬弃了作为制度导向审计模式基础的“无利害关系假设”,把指导思想建立在“合理的职业怀疑假设”的基础上,不只依赖对被审计单位管理层所设计和执行内部控制制度的检查与评价,而且实事求是地对公司管理层是否诚信、是否有舞弊造假的驱动始终保持一种合理的职业警觉,将审计的视野扩大到被审计单位所处的经营环境(微观、中观乃至宏观),将风险评估贯穿于审计工作的全过程。与传统的制度基础审计相比较,主要有以下区别:

(一)审计模式不同

制度基础审计模式以内部控制为核心,对控制风险的评估仅通过确定内部控制的可依赖程度来减少实质性测试的工作量,而对固有风险的评估常流于形式;风险导向审计模式不仅通过内部控制评估控制风险,还结合其他风险因素尤其是固有风险综合考虑,通过对企业环境、发展战略、公司治理结构等方面的评估,发现其潜在的经营风险及财务风险,并评估财务报表发生重大错报的风险,以便使审计风险降至可接受水平。

(二)审计基础不同

制度基础审计以内部控制制度为基础,根据被审单位内部控制制度的健全性及符合性评审结果,确定实质性测试的范围和重点;风险导向审计则以风险评估为基础,对被审单位经济活动的多种内外因素进行评估,确定审计范围、重点和方法,其不仅重视与内部控制系统直接相关的因素,而且重视各种环境因素。

(三)审计方法不同

两种审计模式都采用抽样技术,但风险导向审计是通过建立审计风险模型将风险量化。因此,相对于制度基础审计来说,风险导向审计的抽样技术是更完全意义上的审计抽样,更注重利用分析性测试方法,从而可以有效降低审计风险。

二、风险导向审计的两种模式

风险导向审计自产生以来经历了两个阶段,理论界把以传统审计风险模型“审计风险=固有风险×控制风险×检查风险”为基础进行的审计称为传统风险导向审计模式;而将1990年代后期开始,在国际会计师事务所内部推行并逐渐被审计理论与实务界接受的,以“审计风险=重大错报风险×检查风险”的模型为基础,以被审计单位的经营风险为导向的审计方法称作现代风险导向审计模式。

传统风险导向审计模式与现代风险导向审计模式的本质区别在于审计理念和审计技术方法的不同,后者是对前者的改进,其主要区别如下:

(一)审计起点不同

传统风险导向审计运用的审计风险模型中,固有风险是指假定不存在相关内部控制时,某一账户或交易类别单独或连同其他账户、交易类别产生重大错报或漏报的可能性。控制风险是指某一账户或交易类别单独或连同其他账户、交易类别产生错报或漏报,而未能被内部控制防止、发现或纠正的可能性。传统风险导向审计方法通过综合评估固有风险和控制风险以确定实质性测试的范围、时间和程序,由于固有风险难以评估,审计的起点往往为企业的内部控制(如果没有必要测试内部控制,审计的起点则为会计报表项目)。

现代风险导向审计方法通过综合评估经营控制风险以确定实质性测试的范围、时间和程序,其审计起点为企业的战略系统及其业务流程。如果企业的业务流程不重要或风险控制很有效,则将实质性测试集中在例外事项上。这种新模式的优点是将审计的重心前移到风险评估,这将有利于充分识别和评估会计报表重大错报的风险,因此,主要针对风险设计、实施控制测试和实质性测试程序。此外,注册会计师容易全面掌握企业可能存在的重大风险,有利于节省审计成本,克服因缺乏全面性观点而导致的审计风险。

(二)风险评估识别以分析性复核程序为中心

现代风险导向审计注重运用分析性复核程序,以识别可能存在的重大错报风险;而传统风险导向审计对于信息的再加工程度不够,其分析性程序主要用在报表分析上。分析性复核程序已成为现代风险审计方法最重要的程序,为了适应分析性程序功能扩大的要求,分析性程序开始走向多样化:在数据分析上不但要对财务数据进行分析,也要对非财务数据进行分析;在分析工具上借鉴现代管理方法,把战略分析、绩效分析、财务分析及前景分析等分析工具运用到风险评估之中,使风险因素不再惟一,变一元风险评估为多元风险评估,使得出的风险评估结果更加可靠。

(三)风险评估方式由直接评估转变为间接评估

传统风险导向审计的风险评估是一种直接的方式,即直接评估重大错报的概率。风险导向审计模式是从经营风险评估入手,间接地对审计风险进行评估,因为经营风险越高,审计风险也越大,也就是管理舞弊的可能性越大;并且从经营风险中能更有效地发现财务报表潜在的重大错报,因为财务报表是经营的反映,如果经营风险未能在报表中得到体现,则财务报表很可能失真。此外,政策、会计估计的合理性评估也只有从经营风险入手,才能进行正确的评估。

(四)审计程序实施具有个性化

传统风险导向审计模式审计程序是标准化形式,对不同的被审计单位都使用标准相同的审计程序,其缺陷是没有足够贯彻风险导向审计思想,使注册会计师无法突破客户预先设置或防范的措施,难以做出正确的审计结论。现代风险导向审计要求注册会计师将评估及识别的审计风险与实施的审计程序相结合,针对不同客户以及客户不同的风险领域实施个性化的审计程序。

(五)审计证据的内涵扩大

在现代风险导向审计方式下,审计重心向风险评估转移,审计证据也由内部向外部转移。因此,注册会计师必须充分了解整体经营环境,由此评估客户的经营及审计风险,同时必须从外部取得大量的外部证据来证明风险评估的恰当性。风险导向审计模式下,注册会计师形成审计结论所依据的审计证据不仅包括实施控制测试和实质性测试获取的证据,还包括了解企业及其环境获取的证据。

(六)扩充了内部控制要素

传统风险导向审计方法下的内部控制是指被审计单位为了保证业务活动的有效进行,保护资产的安全和完整,发现、纠正错误与防止舞弊,保证会计资料的真实、合法、完整而制定和实施的政策与程序。内部控制要素包括控制环境、会计系统和控制程序。现代风险导向审计方法下的内部控制是指被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法规的遵循,由治理当局、管理当局和其他人员设计和执行的政策和程序。内部控制的三要素扩充为五要素,即控制环境、被审计单位的风险评估过程、与财务报告相关的信息系统和沟通、控制活动和对控制的监督。

(七)对注册会计师的专业知识提出了更高要求

现代风险导向审计对注册会计师的专业素质提出更高要求,其重心从会计、审计知识转向管理和行业知识。现代风险导向审计下审计结果主要依赖风险评估,风险评估的各种方法要求掌握现代管理知识和行业知识(包括市场、研发、生产等方面),这对注册会计师提出了更高的要求。注册会计师应该是复合性人才,不但要掌握一般常用分析工具,还要接受现代管理知识和行业专业知识训练。

三、现代风险导向审计模式在我国的适用性分析

基于上述分析,现代风险导向审计模式是审计的一种必然趋势。2003年10月,国际审计与鉴证准则委员会(IAASB)通过了新的审计风险准则;中注协也在2004年10日了修订后的审计风险准则征求意见稿,不仅将使我国的审计风险准则与国际接轨,同时也为提高审计质量、降低审计风险提供了技术支持。审计风险准则一旦正式生效,将引导注册会计师实务由传统风险导向审计向现代风险导向审计转变,会对我国的注册会计师审计理念、审计程序及审计责任产生非常大的。

然而,要在我国推行风险导向审计模式还存在一定的制约条件和需要解决的:

(一)会计师事务所审计成本与效益问题

实施风险导向审计模式的前提是成本能得到补偿。现代风险导向审计模式在审计计划阶段和执行控制测试阶段,注册会计师关注的范围扩大,程度加深,导致工作时间和审计成本的增加,在市场竞争激烈的情况下,成本的增加往往不可能过渡到收费的同步增加。此外,还需要一定的投入来培训注册会计师,使他们掌握业务流程和行业知识等有关方面的知识。如果这些成本得不到补偿,就会使一部分中小会计师事务所在竞争中无法生存。

(二)信息系统的建设问题

现代风险导向审计的重要特征是审计重心前移,注册会计师必须首先执行风险评估程序,充分了解客户整体经营环境,然后针对风险不同的客户、客户不同的风险领域,设计个性化的审计程序。因此,会计师事务所必须建立强大的信息系统,以便注册会计师在风险评估时了解企业的战略、流程风险管理、业绩衡量等。而目前国内很多事务所对行业风险和企业经营风险缺乏了解,客户的相关信息不够充分,信息系统的建设还达不到现代风险导向审计的要求,导致风险评估不准确。因此,风险导向审计的运用仅限于老客户,对新客户还是将大量时间用于实质性测试。

(三)审计从业人员素质问题

现代风险导向审计对审计从业人员的业务素质提出了新要求,不仅要具备丰富的审计和实践经验,还要具备必需的管知识和学知识,能够运用系统的、战略的观点充分了解、分析企业所处的宏观经济环境和行业发展状况,对有可能导致企业会计报表错报风险的内外部因素进行客观、系统的分析与评价,将审计视角扩展到内部控制以外,从较高层面上评估风险,而不是仅仅注重企业会计处理的细节。

(四)辅助审计软件的使用与完善问题

现代风险导向审计方法中分析性程序占据非常重要的地位,辅助审计软件的使用在其中发挥着重要的作用。西方发达国家大量运用分析性程序的条件是辅助审计程序的开发和运用,它可以直接对数据库进行加工分析,依据软件模型自行处理数据,使运用分析性测试程序成为节约成本的重要手段。另外,采用审计软件使统计抽样的样本更具代表性,审计抽样风险可控,为风险导向审计提供了技术支持。目前,我国在审计软件的开发和使用上不够理想,还有待提高,而且大部分注册会计师缺少相应的技术准备,在现阶段推行现代风险导向审计方法只能是一种愿望。

如上所述,目前在我国全面推行现代风险导向审计模式还受到许多制约,尽管它有很多优越之处,但在我国还不能够普遍推行。当前我国独立审计准则主要是以制度基础审计模式为基础的,而且相当一部分从事小规模企业审计工作的会计师事务所和注册会计师,基本上仍然在运用账项基础审计模式。但是,现代风险导向审计的实行是一种理念的改变,我们可将制度基础审计与风险导向审计有机结合。即使在现行审计准则仍然主要以制度基础审计模式为基础的情况下,吸取风险导向审计模式的基本观点和做法,则是完全可行的。通过把风险导向审计中控制风险的理念和方法融合到制度基础审计中,使其他审计模式忽略审计风险的缺陷得到弥补,将会为探索适合我国的现代风险导向审计模式积累有益的实践经验。

〔1〕陈毓圭。对风险导向审计方法的由来及其发展的认识〔J〕。会计,2004,(2)。

〔2〕常勋,黄京菁。从审计模式的演进看风险导向审计〔J〕。财会通讯,2004,(7)。

篇7

人民银行主要会计核算业务分散在营业、国库和货币金银等部门,其中90%以上的会计核算业务在营业和国库部门。目前,依托集中核算系统的建设,核算模式已从或正从分散核算向全国集中核算转变,风险管理手段日益从“人防”向“技防”迈进。

1、中央银行会计核算数据集中系统(ACS)计划于2013年5月试运行,2014年全国推广。主要核算准备金存款、缴存款、再贷款、再贴现及财务收支等业务。系统以数据集中化、流程科学化、管理信息化、服务综合化和监督过程化为目标,从会计核算处理的角度,运用信息化手段,实施刚性控制和管理,实现风险管理的程序化硬约束,把风险管理贯穿于会计核算的各个操作环节。具体做法:业务流程前后台分离,前台扫描上传凭证影像,影像要素切片,随机并发处理,后台集中数据录入;业务授权管理,事前权限分配,风险业务实时监督,重要业务重点监督,强化过程控制。

2、国库会计数据集中系统(TCBS)。2008年7月建成,目前已推广至全国13个省(区、市)。主要核算国库资金收入、支出、退库、更正、国债等业务。系统以防范国库资金风险为核心,确立一记双讫、原子交易、事项驱动等业务处理规则,强化系统和人工操作的安全控制,减少业务处理环节的人工干预。具体包括:重要要素(收款人名称账号、收款银行行号、金额等)第三人审核制;重要参数设置分级管理制,即影响系统的重要参数或用户由上级核算主体有权限人员进行设置和审批;用户管理由系统管理员设置维护、国库部门负责人或会计主管确认生效的双签制度。

3、货币金银管理信息系统。是人民银行第一个实行全国数据集中处理方式的业务应用系统,2005年5月试运行,2006年2月正式运行。会计核算子系统为其重要组成部分,主要核算人民币发行基金调拨、商业银行存取款、发行基金清分、残损人民币复点和销毁等业务。单式记账,专设科目,独立核算,分级管理。会计核算子系统账务处理结果与其他子系统相应信息相互牵制实现核对匹配。

人民银行会计核算监督检查主要由三个层面构成:一是营业、国库、货币金银等核算部门的事前、事中监督。核算部门的监督以事前防范和事中控制为目标,核算业务发生前,通过受理业务时的柜面监督审核外来凭证等的真实性、合规性和准确性。核算业务处理过程中,采取复核、审批、认证等方式确保核算业务安全、有序进行。二是事后监督部门对核算业务的事后监督。事后监督是会计核算的延伸,在规定时间内对营业、国库、货币金银会计核算进行全面复审和检验,并及时反馈监督结果和督促整改。事后监督部门独立于核算部门,直接对本行行长负责,监督工作具有一定的独立性和权威性。三是会计财务、支付结算、国库、货币金银和内审等部门开展的会计核算现场检查。检查定期或不定期开展,有上级行检查、本级行跨部门检查和内部分管行长或部门主管检查。检查以确保核算资金安全为重点,通过面对面对账、重要单证账实核对和会计核算规范化检查等手段,对会计核算风险进行事后防控。

二、人民银行会计核算风险管理存在的问题

目前人民银行的会计核算风险管理属于“分散控制与分散监督”模式,“分散控制”指会计核算过程控制分散于营业、国库、货币金银等多个核算部门,“分散监督”指会计核算结果控制分散于事后监督、内审及相关业务主管部门。该模式在提升人民银行会计核算质量,防范会计核算风险方面起到了一定的作用,但同时存在以下问题:

(一)风险管理组织体系不够健全,风险评估待完善。

一是在会计核算风险管理组织机构的具体设置上,缺乏一个集中统一的风险管理部门。会计财务部门虽负有全行会计管理的职责,但同级国库、货币金银和支付结算等部门会计核算管理与监督主要由上级对口部门负责,事后监督部门未实行条线管理。多个部门各自为政,职责交叉,风险管理资源共享度低,容易形成重复监督及监督真空。二是在会计核算风险评估方面,尚无一套完善的风险评估机制。风险评估方式单一,缺少定性和定量相结合的评估方法,对会计核算风险的识别、监测、评价和反馈未能统一规范。三是在会计核算风险管理信息建设方面,没有建立风险管理信息数据库。风险管理相关的资料数据不够全面和连贯,且多以简单方式存储于不同部门,信息利用率低,监督资源浪费。

(二)缺乏统一的综合业务系统,风险管理难度大。

当前人民银行的会计核算模式为“纵向集中与横向分散”相结合,营业、国库、货币金银等业务条线会计核算都趋向全国数据集中,但三大业务集中核算系统却相互独立,互不关联。系统间相关信息由于缺乏数据接口,不便统一整合,核算勾稽关系难以核验,风险管理时效性滞后。如货币金银管理信息系统的发行基金出入库发生额、余额与中央银行会计集中核算系统的发行基金往来科目相关信息的核对,多通过货币金银部门和营业部门在业务发生的次日以登记簿形式确认,一旦出现问题,难以补救。同时,一个系统需对应一套岗位,且岗位设置应符合内控制约、分离的要求。但以人民银行目前的核算业务量,基层行尤其是县支行部分刚性岗位业务不饱和,在核算人员有限的情况下,容易形成违规兼岗,产生业务“一手清”等现象,风险防控难度大。

(三)监督手段滞后于核算手段,易形成监督风险。

同会计核算电子化快速发展现状相比,事后监督手段的发展远落后于核算手段。尽管人民银行总行建设中的中央银行会计核算数据集中系统开发了相应的监督子系统,但仅能解决营业部门的会计核算监督。大部分事后监督业务尤其是占比达80%以上的国库核算事后监督业务,仍使用手工监督方式,还停留在凭证清单逐笔核验,报表账户逐项勾对上,算盘、计算器并用。简单重复的手工全面复审不仅效率低下,也大大增加了监督风险。同时,各业务主管部门和内审部门的现场检查也以手工传统操作为主,效率不高,监督力量弱化,检查效果有待提升。

三、商业银行会计核算风险管理机制的启发与借鉴

目前,国内商业银行会计核算风险管理机制较先进,实践中也取得了比较成熟的经验,在管理体制、监督理念、监督手段和监督资源应用等方面均有值得吸收借鉴之处。由于工商银行和中国银行的总、分、支行三级机构设置模式与人民银行接近,所以选取工商银行福建省分行和中国银行福建省分行加以比较分析。

(一)管理体制方面。

采用“垂直管理,分级监督”模式,总行设立专门机构负责会计核算风险管理,分行相应设立监督部门。工商银行于2010年底全面实现由省分行运营风险监控中心集中监督的模式。总行运营管理部是会计核算风险管理的主管部门,负责规范核算标准和流程,建立风险评价体系,根据省分行运营监控中心的风险识别、风险评估、质量管理、流程分析等能力对其进行考核。省分行运营监控中心负责运营风险管理的具体执行工作,根据监督结果对二级分行、支行进行核算质量考核。中国银行管理体制与工商银行相似,但集中监督职责由省级和二级分行承担。总行的运营总部负责会计核算风险管理。省分行和二级分行设立运营控制部负责重要业务授权、银企对账和事后监督等。目前一个地市级以上城市设立一个运营控制部,但运营控制正向省分行集中方面发展。

(二)风险管理理念方面。

树立风险为本的监督理念,并将此理念融入监督系统建设,落实到日常监督工作中,改人海战术式的全面复核模式为依靠监督模型识别风险事件的数据分析模式,由粗放型监督管理转变为集约化监督管理。工商银行的风险导向监督无论理念上还是实践中都相对先进。以总行统一开发的业务运营风险管理系统为平台,以风险事件管理为重点,集监测、质检、履职、风险评估等功能于一体,实行风险导向和流程导向的监督。基于数据分析的监督模型为识别风险的主要方式,根据对象的风险程度,运用不同的监督流程,实施风险分类分层分级管理,投入不同的监督资源。中国银行以省分行自行开发的凭证影像系统为平台,根据集中监控模块的监控数据分析,区分不同对象的风险等级,采取重点监控、人工选择监控、集中预警等方式监督。

(三)监督手段方面。

综合业务系统和监督系统均已建成使用,监督手段先进。工商银行和中国银行在监督手段上的共同特点:一是集中核算、集中监督。会计核算实现全国数据集中,涵盖网点柜面,网上银行、手机银行等电子银行以及ATM、POS等商业银行各条线核算业务。核算监督覆盖面广,集中程度高,涉及核心业务系统的全部业务,未来将延伸至电子银行、信贷等系统。二是运用OCR(OpticalCharacterRecognition,光学字符识别)图像识别技术实现无纸化监督。纸质凭证由网点扫描生成影像,建立凭证影像数据库。OCR识别影像信息与综合业务系统导入核算数据自动匹配,匹配不成功的剔出人工审核再处理,以保证凭证影像的完整性和核算处理的准确性,同时为后续以风险为导向的监督和分析奠定基础。三是建立风险监督模型。通过深入分析客户的交易对手、交易金额和交易频率等交易习惯,设计智能化的风险识别监督模型,实行风险评估和风险控制,实现风险区别对待,分级管理。

(四)监督资源运用方面。

监督结果与风险管理有机结合,通过对监督资源的综合加工,强化风险预警,促进制度完善,推动流程优化,实现对监督结果的深层次运用。工商银行实行风险事件管理数据深加工,评估、分析和管理监督数据,定期提交风险评估报告。实施风险分级管理,风险深层揭示,区别会计核算风险程度,分别向同级相关部门和二级分行、支行反馈。同时,强化风险事件关键驱动因素的收集功能,为实施风险防控提供决策依据。属制度因素驱动的风险,通过完善相关业务制度解决;属系统因素驱动的风险,通过优化业务系统功能排除;属流程因素驱动的风险,通过调整业务流程防范。有效发挥监督资源在风险管理中的作用。中国银行根据综合加工的监督资源,对辖属支行进行风险控制评价及综合考核,并定期向相关部门通报监督情况。

四、COSO风险管理框架视角下完善人民银行会计核算风险管理机制的思考

2004年,美国COSO(TheCommitteeofSponsoringOrganization,全国虚假报告委员会下属的发起人委员会)对沿用了近10年的《企业内部控制——整体框架》(简称COSO报告)进行完善,出台了《企业风险管理——整体框架》(简称ERM),在原来COSO报告五要素的基础上细化和强调了风险管理要素,对风险管理进行全新定义:企业风险管理是一个动态过程,受企业董事会、管理层和其他人员的影响,应用于企业的战略及各个方面,旨在确定影响企业的潜在重大事件,将企业的风险控制在可接受的程度内,从而为实现企业战略、运营、报告和合法目标提供合理保证。COSO风险管理框架提出了内部环境、目标制定、事项识别、风险评估、风险分析、控制活动、信息和沟通、监控8个相互关联的风险管理要素。目前,国内商业银行大多根据COSO风险管理框架开展风险评估和风险管理活动。COSO风险管理框架同样适用于人民银行会计核算风险管理。基于COSO风险管理框架视角,借鉴商业银行先进的会计核算风险管理模式,建议从以下四个方面完善人民银行会计核算风险管理机制。

(一)着力构建风险管理组织体系。

COSO风险管理框架提出要将单位战略和风险管理战略紧密结合,并要求设立风险管理部,以构建良好的风险管理内部环境并制定明确的风险管理目标。针对现行人民银行会计核算风险管理组织体系,建议:一是成立风险管理委员会。由会计财务司牵头,支付结算、国库、货币金银、外管等部门参与,风险管理委员会作为会计核算风险管理的决策机构,负责指导、组织实施人民银行会计核算风险管理工作。同时,风险管理委员会应成立专业风险评估小组,由各专业具备丰富业务知识和工作经验的人员组成,梳理人民银行核算业务风险点,并结合历年发生的资金案件进行深入分析,开展风险识别和评估,确定风险模型,并根据核算业务发展变化情况适时调整。二是设立资金风险管理部。在事后监督中心的基础上组建资金风险管理部,可以省会中支、营业管理部为单位,或以大区行为单位设立。赋予资金风险管理部具体执行会计核算风险管理的职责。负责运行、维护资金风险监控系统,将人民银行所有会计核算业务纳入监督范围。风险管理部的设立将大大降低当前基层人民银行会计核算监督成本,提高监督效率,并真正发挥监控资金风险、保障资金安全的作用。

(二)探索建立风险导向型监督模式。

事项识别、风险评估和风险分析是COSO风险管理框架提出的风险管理要素的组成部分,这也是建立人民银行会计核算风险导向型监督模式的关键。只有科学合理的风险识别和风险分析,才能准确判断风险管理状况,进而采取有效措施实施风险控制,实行风险导向监督。1、风险识别。人民银行会计核算问题根据其对资金安全的影响程度,可分为事故类风险、核算差错类风险和规范性差错类风险。2、风险评估。在对人民银行会计核算风险识别的基础上,应对各类风险实施评估。首先,对三类风险按严重程度再进行细分,如事故类风险可分为资金损失、经济纠纷、声誉受损等。其次,根据细分后的风险项目,科学确定各项目风险权重,综合运用定性与定量相结合的方法,计算出风险评估的综合分值,构建风险评估模型。风险评估模型可不断补充完善,以适应风险变化的要求。第三,依据风险评估模型,以数据分析的方式管理风险,运用不同的监督流程,实行风险导向的监督。

(三)加快建设综合业务系统和资金风险监控系统。

COSO风险管理框架要求以先进的风险管理技术为支撑。建设功能强大的综合业务系统和与之匹配的资金风险监控系统是完善风险管理机制的重要手段。一是功能设置上,整合现有横向分散的核算系统,构建以中央银行会计集中核算系统为核心,以国库、货币金银、外汇和财务等核算系统为子系统的综合业务系统,实现人民银行会计核算数据全行大集中。二是核算模式上,实行前后台分离,前台设在各级分支机构,负责受理各项核算业务,并输入相应数据信息,确保原始信息的合规性和准确性;后台可根据业务量情况,在全国集中设立若干个业务处理中心,通过OCR图像识别技术接收前台受理的业务,集中摆放账户,集中处理账务,保证账务信息的及时性和完整性。三是风险防控上,建设资金风险监控子系统。在对会计核算风险进行识别、评估的基础上,建立风险评估模型,通过与综合业务系统共享核算信息,一方面,运用风险监控子系统对核算风险实施刚性控制和管理,实现业务制度和管理规定的硬约束,另一方面,通过对风险监控子系统的参数化管理,对综合业务系统核算数据进行定性、定量分析,对不同的核算业务实行有针对性的监督,提升风险管理效能。

(四)有效运用风险管理资源。

篇8

随着电子政务应用的不断深入,信息安全问题日益凸显,为了高效安全的进行电子政务,迫切需要搞好信息安全保障工作。电子政务系统采取的网络安全措施[2][3]不仅要保证业务与办公系统和网络的稳定运行,另一方面要保护运行在内部网上的敏感数据与信息的安全,因此应充分保证以下几点:

1.1基础设施的可用性:运行于内部专网的各主机、数据库、应用服务器系统的安全运行十分关键,网络安全体系必须保证这些系统不会遭受来自网络的非法访问、恶意入侵和破坏。

1.2数据机密性:对于内部网络,保密数据的泄密将直接带来政府机构以及国家利益的损失。网络安全系统应保证内网机密信息在存储与传输时的保密性。

1.3网络域的可控性:电子政务的网络应该处于严格的控制之下,只有经过认证的设备可以访问网络,并且能明确地限定其访问范围,这对于电子政务的网络安全十分重要。

1.4数据备份与容灾:任何的安全措施都无法保证数据万无一失,硬件故障、自然灾害以及未知病毒的感染都有可能导致政府重要数据的丢失。因此,在电子政务安全体系中必须包括数据的容灾与备份,并且最好是异地备份。

2电子政务信息安全体系模型设计

完整的电子政务安全保障体系从技术层面上来讲,必须建立在一个强大的技术支撑平台之上,同时具有完备的安全管理机制,并针对物理安全,数据存储安全,数据传输安全和应用安全制定完善的安全策略

在技术支撑平台方面,核心是要解决好权限控制问题。为了解决授权访问的问题,通常是将基于公钥证书(PKC)的PKI(PublicKeyInfrastructure)与基于属性证书(AC)的PMI(PrivilegeManagementInfrastructure)结合起来进行安全性设计,然而由于一个终端用户可以有许多权限,许多用户也可能有相同的权限集,这些权限都必须写入属性证书的属性中,这样就增加了属性证书的复杂性和存储空间,从而也增加了属性证书的颁发和验证的复杂度。为了解决这个问题,作者建议根据X.509标准建立基于角色PMI的电子政务安全模型。该模型由客户端、验证服务器、应用服务器、资源数据库和LDAP目录服务器等实体组成,在该模型中:

2.1终端用户:向验证服务器发送请求和证书,并与服务器双向验证。

2.2验证服务器:由身份认证模块和授权验证模块组成提供身份认证和访问控制,是安全模型的关键部分。

2.3应用服务器:与资源数据库连接,根据验证通过的用户请求,对资源数据库的数据进行处理,并把处理结果通过验证服务器返回给用户以响应用户请求。

2.4LDAP目录服务器:该模型中采用两个LDAP目录服务器,一个存放公钥证书(PKC)和公钥证书吊销列表(CRL),另一个LDAP目录服务器存放角色指派和角色规范属性证书以及属性吊销列表ACRL。

安全管理策略也是电子政务安全体系的重要组成部分。安全的核心实际上是管理,安全技术实际上只是实现管理的一种手段,再好的技术手段都必须配合合理的制度才能发挥作用。需要制订的制度包括安全行政管理和安全技术管理。安全行政管理应包括组织机构和责任制度等的制定和落实;安全技术管理的内容包括对硬件实体和软件系统、密钥的管理。

转贴于中国论文下载中心www

3电子政务信息安全管理体系中的风险评估

电子政务信息安全等级保护是根据电子政务系统在国家安全、经济安全、社会稳定和保护公共利益等方面的重要程度。等级保护工作的要点是对电子政务系统进行风险分析,构建电子政务系统的风险因素集。

3.1信息系统的安全定级信息系统的安全等级从低到高依次包括自主保护级、指导保护级、监督保护级、强制保护级、专控保护级五个安全等级。对电子政务的五个安全等级定义,结合系统面临的风险、系统特定安全保护要求和成本开销等因素,采取相应的安全保护措施以保障信息和信息系统的安全。

3.2采用全面的风险评估办法风险评估具有不同的方法。在ISO/IECTR13335-3《信息技术IT安全管理指南:IT安全管理技术》中描述了风险评估方法的例子,其他文献,例如NISTSP800-30、AS/NZS4360等也介绍了风险评估的步骤及方法,另外,一些组织还提出了自己的风险评估工具,例如OCTAVE、CRAMM等。

电子政务信息安全建设中采用的风险评估方法可以参考ISO17799、OCTAVE、CSE、《信息安全风险评估指南》等标准和指南,从资产评估、威胁评估、脆弱性评估、安全措施有效性评估四个方面建立风险评估模型。其中,资产的评估主要是对资产进行相对估价,其估价准则依赖于对其影响的分析,主要从保密性、完整性、可用性三方面进行影响分析;威胁评估是对资产所受威胁发生可能性的评估,主要从威胁的能力和动机两个方面进行分析;脆弱性评估是对资产脆弱程度的评估,主要从脆弱性被利用的难易程度、被成功利用后的严重性两方面进行分析;安全措施有效性评估是对保障措施的有效性进行的评估活动,主要对安全措施防范威胁、减少脆弱性的有效状况进行分析;安全风险评估就是通过综合分析评估后的资产信息、威胁信息、脆弱性信息、安全措施信息,最终生成风险信息。

在确定风险评估方法后,还应确定接受风险的准则,识别可接受的风险级别。

4结语

电子政务与传统政务相比有显著区别,包括:办公手段不同,信息资源的数字化和信息交换的网络化是电子政务与传统政务的最显著区别;行政业务流程不同,实现行政业务流程的集约化、标准化和高效化是电子政务的核心;与公众沟通方式不同,直接与公众沟通是实施电子政务的目的之一,也是与传统政务的重要区别。在电子政务的信息安全管理中,要抓住其特点,从技术、管理、策略角度设计完整的信息安全模型并通过科学量化的风险评估方法识别风险和制定风险应急预案,这样才能达到全方位实施信息安全管理的目的。

参考文献:

[1]范红,冯国登,吴亚非.信息安全风险评估方法与应用.清华大学出版社.2006.

[2]李波杰,张绪国,张世永.一种多层取证的电子商务安全审计系统微型电脑应用.2007年05期.
上一篇 建筑工程合同管理论文
下一篇 对环境问题的认识
推荐范文
热门文章
推荐期刊