公务员期刊网 精选范文 风险识别与风险评估的区别范文

风险识别与风险评估的区别精选(九篇)

前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的风险识别与风险评估的区别主题范文,仅供参考,欢迎阅读并收藏。

风险识别与风险评估的区别

第1篇:风险识别与风险评估的区别范文

关键词:网络审计 历史财务报表审计 信息安全管理 风险评估

一、引言

从审计的角度,风险评估是现代风险导向审计的核心理念。无论是在历史财务报表审计还是在网络审计中,现代风险导向审计均要求审计师在执行审计工作过程中应以风险评估为中心,通过对被审计单位及其环境的了解,评估确定被审计单位的高风险领域,从而确定审计的范围和重点,进一步决定如何收集、收集多少和收集何种性质的证据,以便更有效地控制和提高审计效果及审计效率。从企业管理的角度,企业风险管理将风险评估作为其基本的要素之一进行规范,要求企业在识别和评估风险可能对企业产生影响的基础上,采取积极的措施来控制风险,降低风险为企业带来损失的概率或缩小损失程度来达到控制目的。信息安全风险评估作为企业风险管理的一部分,是企业信息安全管理的基础和关键环节。尽管如此,风险评估在网络审计、历史财务报表审计和企业信息安全管理等工作中的运用却不尽相同,本文在分析计算机信息系统环境下所有特定风险和网络审计风险基本要素的基础上,从风险评估中应关注的风险范围、风险评估的目的、内容、程序及实施流程等内容展开,将网络审计与历史财务报表审计和信息安全管理的风险评估进行对比分析,以期深化对网络审计风险评估的理解。

二、网络审计与历史财务报表审计的风险评估比较

(一)审计风险要素根据美国注册会计师协会的第47号审计标准说明中的审计风险模型,审计风险又由固有风险、控制风险和检查风险构成。其中,固有风险是指不考虑被审计单位相关的内部控制政策或程序的情况下,其财务报表某项认定产生重大错报的可能性;控制风险是被审计单位内部控制未能及时防止或发现财务报表上某项错报或漏报的可能性;检查风险是审计人员通过预定的审计程序未能发现被审计单位财务报表上存在重大错报或漏报的可能性。在网络审计中,审计风险仍然包括固有风险、控制风险和检查风险要素,但其具体内容直接受计算机网络环境下信息系统特定风险的影响。计算机及网络技术的应用能提高企业经营活动的效率,为企业的经营管理带来很大的优越性,但同时也为企业带来了一些新的风险。这些新的风险主要表现为:(1)数据与职责过于集中化。由于手工系统中的职责分工、互相牵制等控制措施都被归并到计算机系统自动处理过程中去了,这些集中的数据库技术无疑会增加数据纵和破坏的风险。(2)系统程序易于被非法调用甚至遭到篡改。由于计算机系统有较高的技术要求,非专业人员难以察觉计算机舞弊的线索,这加大了数据被非法使用的可能性。如经过批准的系统使用人员滥用系统,或者说,企业对接近信息缺乏控制使得重要的数据或程序被盗窃等。(3)错误程序的风险,例如程序中的差错反复和差错级联、数据处理不合逻辑、甚至是程序本身存在错误等。(4)信息系统缺乏应用的审计接口,使得审计人员在审计工作中难以有效地采集或获取企业信息系统中的数据,从而无法正常开展审计工作。(5)网络系统在技术和商业上的风险,如计算机信息系统所依赖的硬件设备可能出现一些不可预料的故障,或者信息系统所依赖的物理工作环境可能对整个信息系统的运行效能带来影响等。相对应地,网络审计的固有风险主要是指系统环境风险,即财务电算化系统本身所处的环境引起的风险,它可分为硬件环境风险和软件环境风险。控制风险包括系统控制风险和财务数据风险,其中,系统控制风险是指会计电算化系统的内部控制不严密造成的风险,财务数据风险是指电磁性财务数据被篡改的可能性。检查风险包括审计软件风险和人员操作风险,审计软件风险是指计算机审计软件本身缺陷原因造成的风险,人员操作风险是指计算机审计系统的操作人员、技术人员和开发人员等在工作中由于主观或客观原因造成的风险。

(二)风险评估目的无论在网络审计还是历史财务报表审计中,风险评估只是审计的一项重要程序,贯穿于审计的整个过程。与其他审计程序紧密联系而不是一项独立的活动。尽管如此,两者所关注的风险范围则有所不同。历史财务报表审计的风险评估要求审计人员主要关注的是被审计单位的重大错报风险――财务报表在审计前存在重大错报的可能性。由于网络审计的审计对象包括被审计单位基于网络的财务信息和网络财务信息系统两类,因此审计人员关注的风险应是被审计单位经营过程中与该两类审计对象相关的风险。(1)对于与企业网络财务信息系统相关的风险,审计人员应该从信息系统生命周期的各个阶段和信息系统的各组成部分及运行环境两方面出发进行评估。信息系统生命周期是指该信息系统从产生到完成乃至进入维护的各个阶段及其活动,无论是在早期的线性开发模型中还是在更为复杂的螺旋式等模型中,一个信息系统的生命周期大都包括规划和启动、设计开发或采购、集成实现、运行和维护、废弃等五个基本阶段。由于信息系统在不同阶段的活动内容不同,企业在不同阶段的控制目标和控制行为也会有所不同,因此,审计人员的风险评估应该贯穿于信息系统的整个生命周期。信息系统的组成部分是指构成该信息系统的硬件、软件及数据等,信息系统的运行环境是指信息系统正常运行使用所依托的物理和管理平台。具体可将其分为五个层面:物理层,即信息系统运行所必备的机房、设备、办公场所、系统线路及相关环境;网络层,即信息系统所需的网络架构的安全情况、网络设备的漏洞情况、网络设备配置的缺陷情况等;系统层,即信息系统本身的漏洞情况、配置的缺陷情况;应用层,即信息系统所使用的应用软件的漏洞情况、安全功能缺陷情况;管理层,即被审计单位在该信息系统的运行使用过程中的组织、策略、技术管理等方面的情况。(2)对于与企业基于网络的财务信息相关的风险,审计人员应着重关注财务信息的重大错报风险和信息的安全风险。重大错报风险主要指被审计单位基于网络的相关财务信息存在重大错报的可能性,它是针对企业借助于网络信息系统或网络技术对有关账户、交易或事项进行确认、计量或披露而言。网络审计中关注的重大错报风险与传统审CtT的内涵基本上是一致的,审计人员在审计时应当考虑被审计单位的行业状况、经营性质、法律及监管环境、会计政策和会计方法的选用、财务业绩的衡量和评价等方面的情况对财务信息错报可能的影响。信息安全风险涉及信息的保密性、完整性、可用性及敏感性等方面可能存在的风险,主要针对企业利用信息系统或一定的网络平台来存储、传输、披露相关财务信息而言。在审计过程中,审eta员应当主要关注相关财务信息被盗用、非法攻击或篡改及非法使用的可能性。当然,这两类风险并非完全分离的,评估时审计人员应将两者结合起来考虑。

(三)风险评估内容 广泛意义的风险评估是指考虑潜在事件对目标实现的影响程度。由于网络审计与历史财务报表审计风险评估的目的并不完全相同,因此两者在风险评估的内容上也是存在区别的。总的来说,网络审计的风险评估内容比历史财务报表审计的风险评估内容更广泛和深入。根据《中国注册会计师审计准则第1211号――了解被审计单位及其环境并评估重大错报风

险》,在历史财务报表审计中,审计人员的风险评估应以了解被审计单位及其环境为内容。为识别和评价重大错报风险,审计人员了解的具体内容包括被审计单位所在行业状况、法律环境与监管环境以及其他外部因素、被审计单位的性质、被审计单位对会计政策的选择和运用、被审计单位的目标、战略以及相关经营风险、被审计单位财务业绩的衡量和评价及被审it@位的内部控制等。在网络审计中。为了识别和评估上文所述的两类风险,审计人员除了从以上方面了解被审计单位及其环境外,还应该关注其他相关的潜在事件及其影响,尤其是企业的财务信息系统及基于网络的财务信息可能面l临的威胁或存在的脆弱点。其中,威胁是指对信息系统及财务信息构成潜在破坏的可能性因素或者事件,它可能是一些如工作人员缺乏责任心、专业技能不足或恶意篡改等人为因素,也可能是一些如灰尘、火灾或通讯线路故障等环境因素。脆弱点是指信息系统及基于网络的财务信息所存在的薄弱环节,它是系统或网络财务信息本身固有的,包括物理环境、组织、过程、人员、管理、配置、硬软件及信息等各方面的弱点。一般来说,脆弱点本身不会带来损失或信息错报,威胁却总是要利用网络、系统的弱点来成功地引起破坏。因此,我们认为网络审计申风险评估的内容应包括以下几方面:(1)识别被审计单位财务信息系统及其基于网络的财务信息可能面临的威胁,并分析威胁发生的可能性;(2)识别被审计单位财务信息系统及其基于网络的财务信息可能存在的脆弱点,并分析脆弱点的严重程度;(3)根据威胁发生的可能性和脆弱点发生的严重程度,判断风险发生的可能性;(4)根据风险发生的可能性,评价风险对财务信息系统和基于网络的财务信息可能带来的影响;(5)若被审计单位存在风险防范或化解措施,审计人员在进行风险评估时还应该考虑相应措施的可行性及有效性。

(四)风险评估程序《中国注册会计师审计准则第1211-----了解被审计单位及其环境并评估重大错报风险》中要求,审计人员应当实施询问、分析程序、观察和检查等程序,以获取被审计单位的信息,进而评估被审计单位的重大错报风险。这些程序同样适用于网络审计中的风险评估。但在具体运用时网络审计中更加注重了解和分析被审计单位与信息系统及网络技术使用相关的事项。在实施询问程序时,审计人员的询问对象围绕信息系统和基于网络的财务信息可大致分为管理人员、系统开发和维护人员(或信息编制人员)、系统使用人员(或信息的内部使用人员)、系统或网络技术顾问及其他外部相关人员(如律师)等五类,分别从不同角度了解信息系统和基于网络的财务信息可能存在的威胁和脆弱点。在实施分析程序时,除了研究财务数据及与财务信息相关的非财务数据可能的异常趋势外,审计人员应格外关注对信息系统及网络的特性情况,被审计单位对信息系统的使用情况等内容的分析比较。实施观察和检查时,除执行常规程序外,审计人员应注意观察信息系统的操作使用和检查信息系统文档。除此之外,针对特定系统或网络技术风险的评估,审计人员还需要实施一些特定的程序。技术方面如IOS取样分析、渗透测试、工具扫描、安全策略分析等;管理方面如风险问卷调查、风险顾问访谈、风险策略分析、文档审核等。其中,IDS取样分析是指通过在核心网络采样监听通信数据方式,获取网络中存在的攻击和蠕虫行为,并对通信流量进行分析;渗透测试是指在获取用户授权后,通过真实模拟黑客使用的工具、方法来进行实际漏洞发现和利用的安全测试方法;工具扫描是指通过评估工具软件或专用安全评估系统自动获取评估对象的脆弱性信息,包括主机扫描、网络扫描、数据库扫描等,用于分析系统、应用、网络设备存在的常见漏洞。风险问卷调查与风险顾问访谈要求审计人员分别采用问卷和面谈的方式向有关主体了解被审计单位的风险状况,使用时关键是要明确问卷或访谈的对象情况风险策略分析要求审计人员对企业所设定的风险管理和应对策略的有效性进行分析,进而评价企业相关风险发生的概率以及可能带来的损失;文档审核是一种事前评价方法,属于前置软件测试的一部分,主要包括需求文档测试和设计文档测试。这些特定程序主要是针对被审计单位信息系统和基于网络的财务信息在网络安全风险方面进行评价,审计人员在具体使用时应结合被审计单位的业务性质选择合适的程序。

三、网络审计与信息安全管理的风险评估比较

(一)风险评估的目的信息安全管理中的风险评估(即信息安全风险评估)是指根据国家有关信息安全技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程。作为信息安全保障体系建立过程中的重要的评价方法和决策机制,信息安全风险评估是企业管理的组成部分,它具有规划、组织、协调和控制等管理的基本特征,其主要目的在于从企业内部风险管理的角度,在系统分析和评估风险发生的可能性及带来的损失的基础上,提出有针对性的防护和整改措施,将企业面临或遭遇的风险控制在可接受水平,最大限度地保证组织的信息安全。而网络审计是由独立审计人员向企业提供的一项鉴证服务,其风险评估的目的在于识别和评价潜在事件对被审计单位基于网络的财务信息的合法性、公允性以及网络财务信息系统的合规性、可靠性和有效性的影响程度,从而指导进一步审计程序。因此,两者风险评估的目的是不一样。从评估所应关注的风险范围来看,两者具有一致性,即都需要考虑与信息系统和信息相关的风险。但是,具体的关注边界则是不一样的。信息安全风险评估要评估企业资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响,它要求评估人员关注与企业整个信息系统和所有的信息相关的风险,包括实体安全风险、数据安全风险、软件安全风险、运行安全风险等。网络审计中,审计人员是对被审计单位的网络财务信息系统和基于网络的财务信息发表意见,因此,风险评估时审计人员主要关注的是与企业财务信息系统和基于网络的财务信息相关的风险,而不是与企业的整个信息系统和所有的信息相关的风险。根据评估实施者的不同,信息安全风险评估形式包括自评估和他评估。自评估是由组织自身对所拥有的信息系统进行的风险评估活动;他评估通常是由组织的上级主管机关或业务主管机关发起的,旨在依据已经颁布的法规或标准进行的具有强制意味的检查。自评估和他评估都可以通过风险评估服务机构进行咨询、服务、培训以及风险评估有关工具的提供。因此。对审计人员而言,受托执行的信息安全风险评估应当归属于管理咨询类,即属于非鉴证业务,与网络审计严格区分开来。

(二)风险评估的内容在我国国家质量监督检验检疫总局的《信息安全风险评估指南》(征求意见稿)国家标准中,它将信息安全风险评估的内容分为两部分:基本要素和相关属性,提出信息安全风险评估应围绕其基本要素展开,并充分考虑与这些基本要素相关的其他属性。其中,风险评估的基本要素包括资产、脆弱性、威胁、风险和安全措施;相关属性包括业务战略、资产价值、安全需求、安全事件、残余风险等。在此基础上的风险计算过程是:(1)对信息资产进行识别,并对资产赋值;(2)对威胁进行分析,并对威

胁发生的可能性赋值;(3)识别信息资产的脆弱性,并对弱点的严重程度赋值;(4)根据威胁和脆弱性计算安全事件发生的可能性;(5)根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件造成的损失;(6)根据安全事件发生的可能性以及安全事件出现后的损失,计算安全事件一旦发生对组织的影响,即风险值。结合上文网络审计风险评估五个方面的内容可以看出,网络审计和信息安全风险评估在内容上有相近之处,即都需要针对信息系统和信息可能面临的威胁和存在的脆弱点进行识别。但是,信息安全管理作为企业的一项内部管理,其风险评估工作需要从两个层次展开:一是评估风险发生的可能性及其影响;二是提出防护或整改措施以控制风险。第一个层次的工作实质上是为第二层次工作服务的,其重点在第二层次。《信息安全风险评估指南》(征求意见稿)提出,企业在确定出风险水平后,应对不可接受的风险选择适当的处理方式及控制措施,并形成风险处理计划。其中,风险处理的方式包括回避风险、降低风险、转移风险、接受风险,而控制措施的选择应兼顾管理和技术,考虑企业发展战略、企业文化、人员素质,并特别关注成本与风险的平衡。网络审计的风险评估工作主要集中在第一个层次,即审计人员通过风险评估,为进一步审计中做出合理的职业判断、有效地实施网络审计程序和实现网络审计目标提供重要基础。因此,两者的评估内容是存在区别的。

第2篇:风险识别与风险评估的区别范文

关键词:风险导向审计;审计模式;适用性分析

随着国内外重大审计失败事件的不断发生,风险导向审计作为一种重要的审计理念和方法,受到审计职业界和学者的关注。注册师协会在2004年10月了新的审计风险准则征求意见稿,要求注册会计师在审计中使用现代风险导向审计方法,实施风险评估程序,降低审计风险,提高审计质量。如果审计风险准则一旦正式生效,将使我国的审计风险准则与国际接轨,并引导中国注册会计师实务由传统风险导向审计向现代风险导向审计转变。因此,对现代风险导向审计模式的理解以及在我国的适用性分析就显得十分重要。

一、风险导向审计概述

随着的发展变化,审计方法适应审计环境的变化经历了三个发展阶段:一是审计发展的早期,由于组织结构简单、业务性质单一,注册会计师的审计工作目的是为了促使受托责任人在授权经营过程中做出诚实、可靠的行为,审计方式是详细审计。审计的重心在资产负债表,是对会计凭证和账簿的详细审计,旨在发现和防止错误与舞弊,这种审计方法就是账项基础审计方法(accountingnumber-basedauditapproach)。二是从1950年代起,以内部控制测试为基础的抽样审计在西方国家得到广泛,这种审计方法重点在于注册会计师了解、测试和评价内部控制设计的合理性和执行的有效性。对内部控制存在缺陷的环节,注册会计师通常将其涉及交易和账户余额作为审计的重点,甚至进行详细审计;对于可以信赖的内部控制环节,通常将其涉及的交易和账户余额进行抽样审计,以提高审计效率和降低审计费用。从方法论的角度,这种审计方法被称作制度基础审计方法(system-basedauditap proach)。三是1970年代以后,由于制度基础审计方法显露缺陷,一种新的、以风险防范为基础的风险导向审计模式逐渐兴起,从方法论的角度,注册会计师以审计风险模型为基础进行的审计方法称为风险导向审计方法(risk-orientedauditap proach)。

回顾审计方法的发展历程,风险导向审计模式已成为审计方法发展的国际趋势。风险导向审计模式合理地扬弃了作为制度导向审计模式基础的“无利害关系假设”,把指导思想建立在“合理的职业怀疑假设”的基础上,不只依赖对被审计单位管理层所设计和执行内部控制制度的检查与评价,而且实事求是地对公司管理层是否诚信、是否有舞弊造假的驱动始终保持一种合理的职业警觉,将审计的视野扩大到被审计单位所处的经营环境(微观、中观乃至宏观),将风险评估贯穿于审计工作的全过程。与传统的制度基础审计相比较,主要有以下区别:

(一)审计模式不同

制度基础审计模式以内部控制为核心,对控制风险的评估仅通过确定内部控制的可依赖程度来减少实质性测试的工作量,而对固有风险的评估常流于形式;风险导向审计模式不仅通过内部控制评估控制风险,还结合其他风险因素尤其是固有风险综合考虑,通过对企业环境、发展战略、公司治理结构等方面的评估,发现其潜在的经营风险及财务风险,并评估财务报表发生重大错报的风险,以便使审计风险降至可接受水平。

(二)审计基础不同

制度基础审计以内部控制制度为基础,根据被审单位内部控制制度的健全性及符合性评审结果,确定实质性测试的范围和重点;风险导向审计则以风险评估为基础,对被审单位经济活动的多种内外因素进行评估,确定审计范围、重点和方法,其不仅重视与内部控制系统直接相关的因素,而且重视各种环境因素。

(三)审计方法不同

两种审计模式都采用抽样技术,但风险导向审计是通过建立审计风险模型将风险量化。因此,相对于制度基础审计来说,风险导向审计的抽样技术是更完全意义上的审计抽样,更注重利用分析性测试方法,从而可以有效降低审计风险。

二、风险导向审计的两种模式

风险导向审计自产生以来经历了两个阶段,理论界把以传统审计风险模型“审计风险=固有风险×控制风险×检查风险”为基础进行的审计称为传统风险导向审计模式;而将1990年代后期开始,在国际会计师事务所内部推行并逐渐被审计理论与实务界接受的,以“审计风险=重大错报风险×检查风险”的模型为基础,以被审计单位的经营风险为导向的审计方法称作现代风险导向审计模式。

传统风险导向审计模式与现代风险导向审计模式的本质区别在于审计理念和审计技术方法的不同,后者是对前者的改进,其主要区别如下:

(一)审计起点不同

传统风险导向审计运用的审计风险模型中,固有风险是指假定不存在相关内部控制时,某一账户或交易类别单独或连同其他账户、交易类别产生重大错报或漏报的可能性。控制风险是指某一账户或交易类别单独或连同其他账户、交易类别产生错报或漏报,而未能被内部控制防止、发现或纠正的可能性。传统风险导向审计方法通过综合评估固有风险和控制风险以确定实质性测试的范围、时间和程序,由于固有风险难以评估,审计的起点往往为企业的内部控制(如果没有必要测试内部控制,审计的起点则为会计报表项目)。

现代风险导向审计方法通过综合评估经营控制风险以确定实质性测试的范围、时间和程序,其审计起点为企业的战略系统及其业务流程。如果企业的业务流程不重要或风险控制很有效,则将实质性测试集中在例外事项上。这种新模式的优点是将审计的重心前移到风险评估,这将有利于充分识别和评估会计报表重大错报的风险,因此,主要针对风险设计、实施控制测试和实质性测试程序。此外,注册会计师容易全面掌握企业可能存在的重大风险,有利于节省审计成本,克服因缺乏全面性观点而导致的审计风险。

(二)风险评估识别以分析性复核程序为中心

现代风险导向审计注重运用分析性复核程序,以识别可能存在的重大错报风险;而传统风险导向审计对于信息的再加工程度不够,其分析性程序主要用在报表分析上。分析性复核程序已成为现代风险审计方法最重要的程序,为了适应分析性程序功能扩大的要求,分析性程序开始走向多样化:在数据分析上不但要对财务数据进行分析,也要对非财务数据进行分析;在分析工具上借鉴现代管理方法,把战略分析、绩效分析、财务分析及前景分析等分析工具运用到风险评估之中,使风险因素不再惟一,变一元风险评估为多元风险评估,使得出的风险评估结果更加可靠。

(三)风险评估方式由直接评估转变为间接评估

传统风险导向审计的风险评估是一种直接的方式,即直接评估重大错报的概率。风险导向审计模式是从经营风险评估入手,间接地对审计风险进行评估,因为经营风险越高,审计风险也越大,也就是管理舞弊的可能性越大;并且从经营风险中能更有效地发现财务报表潜在的重大错报,因为财务报表是经营的反映,如果经营风险未能在报表中得到体现,则财务报表很可能失真。此外,政策、会计估计的合理性评估也只有从经营风险入手,才能进行正确的评估。

(四)审计程序实施具有个性化

传统风险导向审计模式审计程序是标准化形式,对不同的被审计单位都使用标准相同的审计程序,其缺陷是没有足够贯彻风险导向审计思想,使注册会计师无法突破客户预先设置或防范的措施,难以做出正确的审计结论。现代风险导向审计要求注册会计师将评估及识别的审计风险与实施的审计程序相结合,针对不同客户以及客户不同的风险领域实施个性化的审计程序。

(五)审计证据的内涵扩大

在现代风险导向审计方式下,审计重心向风险评估转移,审计证据也由内部向外部转移。因此,注册会计师必须充分了解整体经营环境,由此评估客户的经营及审计风险,同时必须从外部取得大量的外部证据来证明风险评估的恰当性。风险导向审计模式下,注册会计师形成审计结论所依据的审计证据不仅包括实施控制测试和实质性测试获取的证据,还包括了解企业及其环境获取的证据。

(六)扩充了内部控制要素

传统风险导向审计方法下的内部控制是指被审计单位为了保证业务活动的有效进行,保护资产的安全和完整,发现、纠正错误与防止舞弊,保证会计资料的真实、合法、完整而制定和实施的政策与程序。内部控制要素包括控制环境、会计系统和控制程序。现代风险导向审计方法下的内部控制是指被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法规的遵循,由治理当局、管理当局和其他人员设计和执行的政策和程序。内部控制的三要素扩充为五要素,即控制环境、被审计单位的风险评估过程、与财务报告相关的信息系统和沟通、控制活动和对控制的监督。

(七)对注册会计师的专业知识提出了更高要求

现代风险导向审计对注册会计师的专业素质提出更高要求,其重心从会计、审计知识转向管理和行业知识。现代风险导向审计下审计结果主要依赖风险评估,风险评估的各种方法要求掌握现代管理知识和行业知识(包括市场、研发、生产等方面),这对注册会计师提出了更高的要求。注册会计师应该是复合性人才,不但要掌握一般常用分析工具,还要接受现代管理知识和行业专业知识训练。

三、现代风险导向审计模式在我国的适用性分析

基于上述分析,现代风险导向审计模式是审计的一种必然趋势。2003年10月,国际审计与鉴证准则委员会(IAASB)通过了新的审计风险准则;中注协也在2004年10日了修订后的审计风险准则征求意见稿,不仅将使我国的审计风险准则与国际接轨,同时也为提高审计质量、降低审计风险提供了技术支持。审计风险准则一旦正式生效,将引导注册会计师实务由传统风险导向审计向现代风险导向审计转变,会对我国的注册会计师审计理念、审计程序及审计责任产生非常大的。

然而,要在我国推行风险导向审计模式还存在一定的制约条件和需要解决的:

(一)会计师事务所审计成本与效益问题

实施风险导向审计模式的前提是成本能得到补偿。现代风险导向审计模式在审计计划阶段和执行控制测试阶段,注册会计师关注的范围扩大,程度加深,导致工作时间和审计成本的增加,在市场竞争激烈的情况下,成本的增加往往不可能过渡到收费的同步增加。此外,还需要一定的投入来培训注册会计师,使他们掌握业务流程和行业知识等有关方面的知识。如果这些成本得不到补偿,就会使一部分中小会计师事务所在竞争中无法生存。

(二)信息系统的建设问题

现代风险导向审计的重要特征是审计重心前移,注册会计师必须首先执行风险评估程序,充分了解客户整体经营环境,然后针对风险不同的客户、客户不同的风险领域,设计个性化的审计程序。因此,会计师事务所必须建立强大的信息系统,以便注册会计师在风险评估时了解企业的战略、流程风险管理、业绩衡量等。而目前国内很多事务所对行业风险和企业经营风险缺乏了解,客户的相关信息不够充分,信息系统的建设还达不到现代风险导向审计的要求,导致风险评估不准确。因此,风险导向审计的运用仅限于老客户,对新客户还是将大量时间用于实质性测试。

(三)审计从业人员素质问题

现代风险导向审计对审计从业人员的业务素质提出了新要求,不仅要具备丰富的审计和实践经验,还要具备必需的管知识和学知识,能够运用系统的、战略的观点充分了解、分析企业所处的宏观经济环境和行业发展状况,对有可能导致企业会计报表错报风险的内外部因素进行客观、系统的分析与评价,将审计视角扩展到内部控制以外,从较高层面上评估风险,而不是仅仅注重企业会计处理的细节。

(四)辅助审计软件的使用与完善问题

现代风险导向审计方法中分析性程序占据非常重要的地位,辅助审计软件的使用在其中发挥着重要的作用。西方发达国家大量运用分析性程序的条件是辅助审计程序的开发和运用,它可以直接对数据库进行加工分析,依据软件模型自行处理数据,使运用分析性测试程序成为节约成本的重要手段。另外,采用审计软件使统计抽样的样本更具代表性,审计抽样风险可控,为风险导向审计提供了技术支持。目前,我国在审计软件的开发和使用上不够理想,还有待提高,而且大部分注册会计师缺少相应的技术准备,在现阶段推行现代风险导向审计方法只能是一种愿望。

如上所述,目前在我国全面推行现代风险导向审计模式还受到许多制约,尽管它有很多优越之处,但在我国还不能够普遍推行。当前我国独立审计准则主要是以制度基础审计模式为基础的,而且相当一部分从事小规模企业审计工作的会计师事务所和注册会计师,基本上仍然在运用账项基础审计模式。但是,现代风险导向审计的实行是一种理念的改变,我们可将制度基础审计与风险导向审计有机结合。即使在现行审计准则仍然主要以制度基础审计模式为基础的情况下,吸取风险导向审计模式的基本观点和做法,则是完全可行的。通过把风险导向审计中控制风险的理念和方法融合到制度基础审计中,使其他审计模式忽略审计风险的缺陷得到弥补,将会为探索适合我国的现代风险导向审计模式积累有益的实践经验。

〔1〕陈毓圭。对风险导向审计方法的由来及其发展的认识〔J〕。会计,2004,(2)。

〔2〕常勋,黄京菁。从审计模式的演进看风险导向审计〔J〕。财会通讯,2004,(7)。

第3篇:风险识别与风险评估的区别范文

内部审计模式的发展,主要经历了三个阶段:账项基础审计(以会计报表中各项目的审计为基础)、制度基础审计(以内部控制为导向)、风险导向审计。其中,风险导向审计是在前两个阶段审计模式的基础上继承和发展而来的,它经历了由传统风险导向审计向现代风险导向审计的转变。2006年,财政部在借鉴国际审计准则的基础上,颁布了48项新审计准则,全面推行现代风险导向审计思想和方法。

虽然现代风险导向审计改革了过去单纯以财务报告为核心的审计方法,强调从战略管理的高度对企业的经营风险进行综合评估,相对于传统风险导向审计而言,具有显著的优势。但随着社会经济变革的不断深入,现代企业的业务越来越复杂,审计环境也越来越琢磨不透,现代风险导向审计的问题也逐渐暴露出来。而着力研究解决这些问题,完善风险导向审计模式,并探索出适合我国国情的发展之路,对于我国审计技术水平的提高具有重要的现实意义。

二、现代风险导向审计的内涵及本质

所谓风险导向审计,是指注册会计师以审计风险模型为基础,对被审计单位的风险进行判断、评估,确定剩余风险,并执行追加审计程序将剩余风险降低到可接受水平。根据审计理念和审计方法的不同,又可以具体划分为传统风险导向审计和现代风险导向审计。前者以企业的内部控制为审计起点,又称内控导向审计;后者则以企业的经营风险为导向,将重大错报风险与企业经营风险紧密联系起来,控制风险并重。

具体而言,现代风险导向审计要求注册会计师在审计全过程都以重大错报风险的分析、识别和评估为主线,通过对企业经营风险的综合评估来确定财务报表的剩余风险,并进一步确定实质性测试的范围、时间和程序,进而对企业的内部控制、风险管理等进行最终评价,并提出相应的改进意见和建议,帮助企业进行有效的风险管理。因此,风险的识别和评估不再局限于会计系统和传统的内部控制系统,能够有效对付管理舞弊,并合理分配审计资源,节约审计成本,从而在合理保证审计效果的同时提高审计效率。可以说它是符合当前经济不确定性和企业不断提高的审计期望的要求,具有强大的生命力。

三、现代风险导向审计与传统风险导向审计的区别

现代风险导向审计与传统风险导向审计都属于风险导向审计,二者既有区别,又有联系。

现代风险导向审计是在传统风险导向审计的基础上改进、发展而来的。具体而言,由于传统风险导向审计直接从固有风险评估入手,只注重对报表的评价,忽视了经营环境风险,无法真正降低风险,对发表审计意见也难以形成正确支持。针对这一系列问题,现代风险导向审计以企业经营风险为导向,全面、动态地考虑了风险因素。因此,注册会计师不仅能全面、深入地认识企业经营状况,掌握企业可能存在的重大风险点和风险领域,从而对风险因素进行准确、科学、全面的评估,又不脱离环境和报表。

而二者的区别主要表现在审计导向、审计重心、审计风险模型、技术手段以及风险评估程序等方面(见表1)。

表1 现代风险导向审计与传统风险导向审计比较

总之,传统风险导向审计虽已开始考虑企业经营风险,但处理极为简化,并未跳出内部控制导向审计的基本思路。而现代风险导向审计则将审计风险评估贯穿于审计全过程,并借助计算机辅助审计系统对财务数据和非财务数据进行分析、评估,能有效降低审计风险到注册会计师可接受的水平。

四、现代风险导向审计存在的问题

虽然现代风险导向审计在审计理念、技术手段等方面具有显著的优势,更加符合审计实际,有利于实现审计效率的有效配置,提高审计效率和效果。但随着现代业务的复杂化、审计环境也越来越琢磨不透,现代风险导向审计也暴露出诸多问题,亟待解决。

1.风险评估程序形式化严重,难以鉴别内控弱点。

我国由2006年正式确立风险导向审计以来,我国会计师事务所,尤其是“国内大所”和“四大”的效率有所提升,但在实际操作中,仍存在审计程序僵化、评估形式化等缺陷。注册会计师在审计执行过程中由于成本压力、时间限制及部分会计师经验不足等问题,仅注重增加审计中的风险识别和风险评估内容,而审计结果则多依赖于实质性测试,导致风险评估程序流于形式,难以对审计效率和效果产生实质性的重大影响。

2.高素质审计人才欠缺,胜任能力不足。

要正确评估企业的经营风险,就要求注册会计师必须具备深厚的会计、审计类专业知识和实操技能,掌握相应的法律法规;另一方面,还必须对相关行业及企业经营状况,如企业战略、经营目标、内外部环境(行业状况、监管环境等)、业绩衡量和评价、内部控制等有深入了解;同时,应熟悉一些常用的分析软件和工具(数理统计方法等)。唯有如此,注册会计师才能准确地识别出财务报表上的重大错报风险。然而,目前我国大部分审计师虽具有较丰富的实践经验,但多局限于审计和会计领域,企业管理和信息技术方面的知识和能力还十分欠缺。因此,高素质、高层次审计人才的欠缺,就必然限制风险导向审计模式的应用。

3.成本与效益配比性差。

风险导向审计的实施,一方面需要加大审计过程中的关注范围、程度,导致审计工作内容和工作量的增加;另一方面,风险导向审计信息数据库的建设、审计人员转换审计方法、提高审计技能的培训等方面,也需要投入大量资本和时间。但处于同行业竞争的考虑,审计费用未必会相应增加,致使成本与效益配比不协调,对注册会计师和会计师事务所形成巨大的压力,甚至以审计程序的减少和审计质量的牺牲来平衡。

4.信息系统建设不足,缺乏强大的数据库支撑。

实施风险导向审计,要求注册会计师充分了解企业内外部环境,包括企业外部经营环境、内部流程、企业战略、内部控制和业绩衡量比较等方面,才能针对不同的风险领域设计个性化的审计程序。因此,就需要会计师事务所建立一个功能强大的数据库和信息系统,以满足风险评估的需要。然而,我国许多会计师事务所的信息系统建设还十分薄弱,缺乏对行业风险和企业经营风险相关数据的系统把控,致使审计风险偏高。

5.不恰当地使用风险控制程序,可能增大审计风险。

风险导向审计的精髓在于通过对企业内外部经营环境及风险的观察、分析和评估来确定审计范围和重点,选择适当的审计程序和方法。但当企业的经营环境发生改变或企业的内部控制存在缺陷,而注册会计师不能及时发现;或由于风险导向审计得出错误的风险评估结果,而减少实质性测试程序时,便会导致审计测试不充分,难以正确识别和评估重大错报风险,反而大大增加了审计风险。

五、对策建议

针对现代风险导向审计在我国目前环境中所出现的问题,建议从以下几个角度进行解决,以促进其在我国更广泛和深入的发展。

1.加强注册会计师职业教育,提高素质和基础胜任能力。

一是,加强注册会计师的职业道德教育。由行业协会主导,定期培训,加强注册会计师职业品德和职业行为规范建设,时刻保持职业谨慎态度,拒绝出具虚假报告。二是,加强注册会计师胜任力培养。会计师事务所应当注重风险导向审计下注册会计师胜任能力的培养,通过系统的培训、学习、交流等培养注册会计师明确的风险导向审计理念,注重风险导向审计流程、操作规范、易导致失败的关键点等的分析,全面提高审计能力。而注册会计师也应当在具体审计实践中积极吸取经验、教训,不断学习、总结,提高自身胜任力。

2.加强风险导向审计的信息系统建设。

风险导向审计信息系统的建设应由行业协会牵头,会计师事务所主导,分行业收集、整理现有审计资料,包括不同行业的基本审计风险点、代表性审计案例等,并进行分类提炼、存储,从而形成“审计风险资源库”。在实际审计,注册会计师就需要根据这些数据库资源,对相应的高风险点予以高度关注,准确把控,并及时更新、完善和丰富数据库资源,形成完整的客户分类服务体系。

3.改进审计人员的专业知识结构,培养高素质审计人才。

根据现代风险导向审计对注册会计师专业知识和能力的要求,会计师事务所应当积极探讨审计人员专业知识结构的改进,通过培训、交流等形式增强审计人员相关行业知识、企业管理知识(包括战略管理、经营风险等)、数理统计知识等,培养一支专业知识过硬、综合素质和操作能力强的审计队伍。同时,还应注重整个审计队伍的结构优化,改变单一的财会型人才结构,适当聘用一些法律、工程技术等非财会专业人才。

4.继续推行法律体系的演进与变革,完善准则体系。

一方面,应根据现代风险导向审计的具体要求,结合我国审计实际,适时修改一些不合时宜的法律法规,强化注册会计师法律风险意识,加大追责和处罚力度;另一方面,完善审计准则体系,加大注册会计师的审计风险准则后续教育,以有效约束注册会计师行为。

六、结语

第4篇:风险识别与风险评估的区别范文

关键词:内部控制;实施;风险管理

1二者的主要区别方面

内部控制与风险管理主要在于目的、作用和发挥作用的环境差异。(1)风险管理是通过及时识别、评估、评价及防范风险,并控制不利影响的可接受程度,来实现目标;内部控制是企业内部风险管理的程序化规范,通过履行管理职能,通过事前参与、事中监督和事后评价达到目标。(2)风险管理是关注识别和控制风险可能影响的经营管理活动,对机会风险实施管理,促进实现经营目标和价值最大化;内部控制通过专业的过程管理规范和有效的控制活动,难以防范决策风险和经营者非理性风险。(3)风险管理,应紧密结合各项管理工作,统筹内外部环境,在企业管理和业务流程中嵌入风险管理观念;内部控制是在企业内外部环境下,根据公司法构建的法人治理结构和决策规则。风险管理以应有的风险防范意识实施经营管理;内部控制是经营管理中应遵守的流程规范。(4)风险管理是为实现企业最终目标任务,在经营管理过程实行风险管理的具体措施和方法,营造良好的风险管理氛围,构建全面风险管理体系,以及提供合理保证的过程、方法。内部控制的目的是保障企业经营管理合法合规、资产保值增值、财务信息真实可靠,经营效率和效果提升,促进实现企业发展规划和战略目标。

2二者相互联系方面

内部控制与风险管理的五个组成要素完全相同,即内部环境、风险评估、控制活动、信息沟通、内部审计,彼此密不可分。(1)防范风险是内部控制最明确、最主要的目标,离开这一目标,内部控制就失去存在意义,也很难有发挥作用的时空。(2)风险存在于企业生产经营的始终,涉及内、外部风险,如何识别、分析、评估风险,制定风险解决方案和采取应对措施,收集潜在风险信息是实施风险管理的前提;内部控制是构建控制体系、关注控制关键点,用业务流程直接描绘生产经营业务过程而形成的管理规范。内部控制嵌入式工作方法,方便收集潜在风险信息,可见内部控制是实行风险管理的主要手段。(3)风险管理是企业在经营管理过程中,通过对潜在各类风险因素识别、分析、评估,用最低投入换取最大的安全保障。有效识别、防范、控制风险是企业风险管理最终目标,也正是内部控制的最主要作用,毫无疑问,内部控制是实施风险管理最有效的重要工具。(4)内部控制和风险管理。实施内部控制和风险管理的主体、过程、目标都是相同的,都是必须企业全员全程参与。在实施企业管理风险的同时,也是在实施内部控制程序,模式过程完全协调一致。

3通过实施内部控制实现有效的风险管理

(1)营造有序的内部环境。打造具有风险防范意识的企业生态,在风险管理过程中,全员都要形成“风险无处不在、无时不在”的理念,把握工作岗位职责对企业经营风险的影响程度,作用、责任与其他岗位的连带关系,这是风险管理的主要构成,也是实行有效风险管控的重要前提。(2)强化风险意识和明确内控责任。风险管理的起点是风险识别,是有效实施风险管理的关键前提。识别潜在的各类风险并加以区分,查找风险产生的影响因素。在全面风险管理架构下,不断收集与各类风险和风险管理有关的内外部初始信息,发现潜在的各种风险,就是风险识别的重要目标。(3)不断优化和有效利用内控规范。企业内控规范是根据管理制度和操作流程,结合岗位职责制定的,岗位职责就是严格执行内控规范,正确处理工作内容,提高工作效率,保证完成目标任务。内部控制与风险管理是规范与理念的关系,仅有内部控制规范,而无风险管理理念,则内部控制就成为空中楼阁、无本之末。仅有风险管理理念,而无内部控制规范,则风险管理就丧失了最有效的工具,造成无的放矢。

参考文献

[1]朱荣恩.企业内部案例[M].复旦大学出版社,2006.

[2]高存忠.企业内部控制与风险管理[J].工业审计与会计,2011.

第5篇:风险识别与风险评估的区别范文

(一)我国内部控制发展阶段

我国内部控制研究起步较晚,是随着审计事业的发展逐渐发展起来的,直到20世纪80年代,学术界才开始了这一领域的探索和研究。随着内部控制理论研究的不断深入,研究人员从站在审计的角度来讨论内部控制的作用与建设,发展到站在企业的角度来讨论其对风险防范和规避的作用。

(二)现代风险管理的重要意义

1、提高决策的科学性。现代企业风险管理以风险为核心,将控制由事中及事后延伸到事前并且自上而下地围绕着风险,体现出全方位的控制思维。在此基础上,开发出一系列针对风险的方法,基于对不确定性能有较准确的判断,保证决策的科学性。

2、注重人的能动性。我国内部控制提供的大多是一些政策手册和表格,管理的理念不是发挥全体工作人员的能动性,而是把他们管住、管牢,员工之间相互推诿、职责不清。现代企业风险管理提出要更加重视人的因素,以增强风险管理的自觉性。

3、强调执行的关键性。现代企业风险管理强调通过控制活动的设置,建立独立的监督部门来保证制度实施的可行性。控制活动在整个组织的各个层次和各种活动中都发生,而监督则指整个风险管理过程均应被监督,且在必要时对所发现的偏离进行必要的修正。

二、企业风险管理框架内容

(一)企业风险管理框架概述

COSO委员会(Committee of Sponsoring Organization of the Treadway Committee,美国虚假财务报告全国委员会的发起组织委员会),于1992年9月提出了报告《内部控制――整体框架》(1994年进行了增补)。2004年9月COSO又提出了《企业风险管理――整合框架》(Enterprise Risk Management-Integrated Framework,简称ERM-IF)。

1、企业风险管理的定义。在COSO报告中,其定义为:企业风险管理是一个过程,它由一个主体的董事会、管理当局和其他人员实施,应用于战略制订并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体目标的实现提供合理保证。

2、企业风险管理的目标。COSO报告中,提及的目标共有四类:战略目标,是高层次的目标,与使命相关联并支撑其使命;经营目标,指有效和高效率地利用其资源;报告目标,指报告的可靠性;合规目标,指符合适用的法律和法规。

3、企业风险管理的要素。(1)内部环境,包含组织的基调,为主体内的人员如何认识和对待风险设定了基础。内部控制一般包含风险管理理念及诚信与道德价值观。(2)目标设定,必须先有目标,管理当局才能识别影响目标实现的潜在事项。企业风险管理确保管理当局采取适当的程序设定适当的目标,并与其风险容量相符。(3)事项识别,必须识别影响主体目标实现的内部和外部事项,区分风险和机会。(4)风险评估,通过考虑风险的可能性和影响来对其加以分析,并以此作为决定如何进行管理的依据。(5)风险应对,管理当局应选择合适的风险应对,以便把风险控制在主体的风险容限和风险容量以内。(6)控制活动,制订和执行政策与程序以帮助确保风险应对得以有效实施。(7)信息与沟通,相关的信息以确保员工履行其职责的方式和时机予以识别、获取和沟通。(8)监控,对企业风险管理进行全面监控,必要时加以修正。

(二)企业风险管理框架的理论突破

1、增加一个主要目标。《企业风险管理整体框架》较《内部控制整合框架》多提出了一个战略目标,战略目标属高层次目标,它与企业的使命相关联并支撑着企业的使命。

2、提出两个创新概念。企业风险管理框架引入了风险容量、风险容限等创新概念,风险容量及风险容限是目标设定的前提。风险容量是一个主体在谋求价值及其增值过程中所愿意承担的广泛意义上的风险数量。风险容限与主体的目标相关,是相对于实现一项具体目标而言的可以接受的偏离程度,在确定各目标的风险容限时,企业应考虑相关目标的重要性,并将其与企业风险容量相协调。

3、扩展三个基本要素。企业风险管理拓展了内部控制的风险评估要素,将该要素拓展为目标设定、事项识别、风险评估以及风险应对等四个要素。在事项识别要素上,两者的区别主要体现为内部控制没有将事项划分为机会与风险,而风险管理把对战略执行或目标实现有着正面影响的称为机会,有负面影响的才定为风险。在风险评估要素上,两者的区别主要在于风险管理透过一个更加敏锐的视角来观察风险评估,鼓励从固有风险和剩余风险的角度,采用与该风险相关目标相同的计量单位来表述风险。在风险应对要素上,两者的主要差别则是企业风险管理可以使管理当局考虑潜在的风险应对策略,并测定剩余风险水平是否与主体的风险容限相协调。

三、我国企业风险管理存在的问题

(一)风险管理意识淡薄

风险管理理念没有到位,企业之间风险管理开展得不平衡。风险管理作为一种管理职能基本上还没有融入我国企业管理中,企业经营基本上还是财务型控制被动经营,企业发展的总体决策在相当程度上缺乏企业管理理念。企业风险管理技术水平低,风险评估、信用等级评定缺乏有效的评定标准,风险控制和风险融资的方式相当有限。

(二)关注的全面性不足

在企业业务发展导向上,注重规模和速度,强调业务增长量,忽视企业发展的实质。大部分企业出于自身所处环境的需要和市场运作实践中吸取的经验教训,只针对即将面临的风险采取应对措施,而这些措施往往又是临时性的、局部性的,相互间缺乏有机的联系,很少从经济全球化的视角,从科学发展观的高度,以企业持续发展的战略目标,全面考虑构建符合现代企业要求的风险管理机制。

(三)缺乏有效的信息系统

各类风险数据、损失数据是企业经营管理的数理基础,在相当程度上也可以说,企业可通过扩充这类资源,提高企业的经营水平和展业范围。因此,在理论和实践中都要求我国各类企业建立一个完整的信息系统对这类资源进行保护、开发和利用。缺乏这类基础数据的支持,将导致企业的经营决策缺乏合理的依据。

四、加强我国企业风险管理的对策分析

(一)强化公司治理与信用体系

造成风险管理缺位与虚位的信用失范,在于外部原因的信用体系问题;造成风险管理缺位与虚位的治理失当,在于内部原因的公司治理问题。完善的公司治理与健全的信用体系可以确保有效的风险管理,这就是风险管理与信用体系、公司治理的良性互动。实现三者之间的良性互动,必须有法制化的制度加以保障。当出现信用失范、治理失当以及互动失调导致风险失控时,维护市场的公平与效率和保护当事人权益的重要措施就是破产清算制度,必要措施就是信息透明制度。

(二)加快风险管理信息化进程

1、扩大信息源。除了与本企业生产经营直接有关的商品市场信息以外,还要注意收集一些与其相关的金融市场、资本市场以及能源市场的动态信息,努力避免疏漏而影响综合分析的能力。

2、提高信息的解读能力。善于从众多的信息中去伪存真,举一反三,捕捉信息中的风险征兆,从而发现风险的起因、走向和力度,以及发现可能给本企业造成的影响,为应对风险决策提供可靠根据。

3、建立风险预警系统。开辟风险信息快捷上报通道,使管理当局及早掌握风险信息,研究应对策略并组织实施,减轻可能造成的不良后果。

(三)构建全新的组织体系原则

1、建立全面风险管理原则,并采用风险组合管理方式,使风险管理的目标和要求渗透到企业的各项业务过程和各个操作环节。

第6篇:风险识别与风险评估的区别范文

关键词:审计;风险导向;风险导向审计

一、风险导向战略系统审计产生的背景

(一)社会因素

面对公众对审计期望差距的存在,注册会计师不得不研究出新的审计方法模式来满足公众对审计需求以及审计作用增加的期望值。众所周知即使具有非常好的职业道德和专业胜任能力的审计人员,也很容易被企业高层管理人员的串通舞弊以及关联交易,欺诈行为所蒙蔽,这是审计的固有限制,也意味着我们不可能把审计风险降低至零。也因此导致社会公众已经习惯将企业破产的缘由归结到审计失败。。

(二)经济和社会的变迁

自1980年以后,人类迈入知识经济和社会经济时代。日新月异的知识经济体系变化使注册会计师清楚的了解到被审计单位并非是一个单独的个体。正因为如此,对企业财务报表的研究要立足一个战略系统,这样才能更清楚的把握整体。

(三)自身因素

目前,注册会计师需要投入更多的精力以及更多的审计成本来达到事务所的预期审计目标。这也是由于审计市场更加残酷的竞争以及社会公众利益实体对审计质量要求的日益提高而出现的局面。只有进一步提高审计效率降低审计成本才能保持事务所的市场竞争率与占有率,因此研究新的审计方法则成为注册会计师事务所的不二选择。

二、风险导向审计与传统审计的区别

(一)二者本质区别在于审计理念与审计技术方法有所不同

现代风险基础审计方法的运作模式是:首先要控制风险,把控制风险降低在一定范围内。然后确定实质性测试的范围,时间,程序。其次根据控制风险推断出实质性程序的性质,时间和范围。这就有别于传统风险导向审计,传统风险导向审计是先确定实质性测试的范围和时间,再评估其固有风险和控制风险。可以看出,现代风险导向审计方法的优点是十分突出的,有助于注册会计师克服由于缺乏全面性观点而导致的审计风险并且更加节省审计成本,从而实现企业价值最大化的目标。

(二)传统和现代风险导向审计的分析方法是不同的

传统的风险导向审计是依靠一种“自上而下”路线为指导思想,以交易为基础,从交易的角度来判断是否存在重要的误报的审计模式。而现代风险导向审计是依靠先“自上而下”对报表形成预期,后“自下而上”,即”精英风险“作为指导思想。这种指导思想具体来说为以下几个流程:首先,从企业的战略管理作为切入点,”自上而下”综合测量风险,经营风险进行客观科学的逻辑分析。然后,在第一步分析的信息基础上进行严谨的推导,以落实审计的范围和重点,从而确定相关的审计程序和目标。最后,结合“自上而下”的思想,通过实施取证的组织结构,实践审计程序,顾全审判的重要性,归纳总结整个财务报表的风险。最终形成审计意见。

三、战略风险导向审计的特点

(一)重心的前移,在宏观上把握审计风险

注册会计师要针对被审计单位财务报表重大错报风险的识别、评估和应对,计划和实施审计工作,这是风险审计对注册会计师审计的要求,这样就导致审计工作的中心的转变,实现了从内控测试到风险评估的转变。风险评估的结果决定了审计人员要关注的重点内容。在实施风险评估的过程中,战略风险导向审计更注重分析宏观影响因素。

(二)风险评估将由直接评估转变为间接评估

传统的风险评估和现代风险评估有一个主要不同点:评价的直接对象不同。传统的风险评估是直接对审计风险进行评估,即直接评估重大错报的概率;然而现代的风险评估则选择直接对企业的经营风险进行评估。现代风险评估在选择直接评估对象上综合考虑的因素更加全面科学。第一:从企业经营和审计因果关系方面。企业经营的失败往往会直接带来审计的失败,基于对持续经营的考虑,选择直接对企业经营风险评估更精准。第二:从企业经营对审计影响方面。高经营风险导致高审计风险,进而也会使管理舞弊产生的可能性加大。第三:从财务报表对经营的反映方面。财务报表是对经营的反映,不能体现财务风险的报表很可能失真。所以从经营风险入手更容易发现财务报表潜在的重大错报。

(三)扩大了审计证据的内涵,更注重外部证据

为了支持风险评估的正确性,注册会计师必须通过外部环境取得大量证据。通过观察、调研和检查等一系列审计程序获取的信息以及通过自身编制或获取的可以通过合理推断得出结论的信息,这样也就扩大了注册会计师形成审计结论的所依据审计证据的范围。由于风险评估是实施审计的基础,并且风险评估对于重大错报风险有很大的影响,这就要求审计人员就必须从外部获取证据来证明风险评估结果的恰当性、合理性。

四、现代风险导向审计优势

对于独立的审计项目应当是降低审计成本、降低审计风险以及提高审计收费,而提高现金流量和降低风险则是实现企业价值最大化的唯一途径。立足于现实情况,真正可行的方案只能是依靠降低审计成本和审计风险来实现,提高审计收费对于总体的现实情况来讲,无疑会是相当困难的。着重对企业的内外部环境的了解,可以有效地降低审计风险。同时分析性程序在审计的过程中大量的运用,对于提高审计效率,节约审计成本,降低审计风险都有很积极的推进作用。这种运用便形成了会计师事务所为使其价值最大化的最佳选择。

五、我国应用现代风险导向审计的局限性

现代风险审计模型在我国的应用仍然具有局限性。依照目前情况来看,首先其缺乏有效的市场。一方面,注册会计师缺乏提升专业水准以及进一步提升审计质量和审计效益的内在动力,另一方面,由于我国目前缺乏比较完善的风险导向审计理论,因此,也就不能提供较高质量的风险审计技术。(作者单位:吉林大学管理学院)

参考文献

[1]朱亚冰,陈力生.审计风险成因—基于信息经济学的分析[J].上海立信会计学院学报,2005.(4)

[2]付胜,王炳华.审计模式的新境界:现代风险导向审计[J].东北财经大学学报,2005.(6)

[3]吴向阳.风险导向审计及其在我国的应用分析[J].上海立信会计学院学报,2005.(4)

第7篇:风险识别与风险评估的区别范文

[关键词]高新技术企业;信息化风险;风险识别;风险评估

doi:10.3969/j.issn.1673 - 0194.2016.06.040

[中图分类号]F276.44 [文献标识码]A [文章编号]1673-0194(2016)06-00-02

网络时代的企业信息化建设对高新技术企业在管理效率、风险管控、市场响应、产品研发等核心竞争力和企业绩效方面产生了前所未有的推动和提升作用,企业通过引入线上办公系统(OA)、企业资源计划系统(ERP)、全面风险管理系统(TBS)等信息化手段提高各部门工作效率,从而有效提高企业的管理水平,通过电子商务平台、分销管理系统等提高其销售贸易能力,实现企业的可持续发展。但随着高新企业信息化程度的快速扩展和IT投入不断增加所带来的风险及隐患也呈上升趋势。如何进一步规避信息化风险,控制信息化损失成为亟待解决的问题。

本文旨在为高新技术企业研究一种信息化风险评价方法。根据高新技术企业的特征,识别高新技术企业在信息化建设过程中存在的风险,运用专家评分法对可能存在的风险因素进行评分排序,并将专家的打分表现在帕累托图中,根据帕累托法则的“二八原则”,找出关键的风险因素。高新技术企业可依据本文提出的方法对其信息化建设过程中的风险进行识别及评价,并据此提出有针对性的管控措施。

1 高新技术企业信息化风险识别

高新技术企业具有高投入、高创新、高收益、高人才拥有、高风险等区别于传统企业的特征,如互联网、电子商务等企业,基于其发展初期往往需要构建一套需要较高人力、资金和技术投入的信息系统,即迈出企业信息化这一步,这是高新企业持续发展的必由之路。

依据生命周期模型和诺兰模型的理论,企业信息化建设过程一般划分为规划、分析、设计、实施和系统运行维护5个既相对独立又密切相关的阶段。借鉴前人的研究思路,本文将从信息化生命周期的上述5个阶段来识别高新企业信息化风险的类型和影响因素,以便更好地实施分析评估。规划阶段风险主要包括IT战略计划风险、资金供给风险、人力资源风险三个方面;分析阶段风险包括开发制度风险、需求分析风险、流程再造风险三个方面;设计阶段在概要和详细设计、设计方案审核两个方面存在风险;实施阶段风险包括软硬件采购风险、系统测试风险、人员培训风险;在运行维护阶段会出现职责分工风险、权限管理风险、备份风险三个方面的风险因素。各阶段的具体风险表现在表1中进行列示。

2 高新技术企业信息化风险评价

高新技术企业信息化风险评估首先通过专家评分对企业的信息化风险进行评价,随后使用帕累托图对各风险因素进行排序,根据帕累托法则的“二八原则”评价出关键的风险因素。

2.1 专家评分法

在识别出高新技术企业信息化风险后,企业应组建专家团队对本企业信息化风险进行具体评价打分。企业应建立专家组对风险进行匿名打分。为保证评估的权威性和客观性,专家团队应由熟悉企业业务流程和功能的信息化建设方面的人员组成,包括有内部专家和外部专家。内部专家至少应该包括公司总经理、各部门负责人、企业信息化建设技术人员,外部专家包括注册信息系统审计师、咨询机构专家等。专家团队人数应当控制在适当的比例范围内,可根据企业信息化规模确定。

组织专家评分主要分为5个步骤。第一,发放资料。应先向评分专家提供企业信息化规划、设计及运行方面的资料,专家应在足够了解企业信息化各方面情况的基础上进行专业判读和评价。第二,专家打分。将评分表发放给选定的的专家,专家团队成员应根据自己的专业知识以及被评价企业信息化建设和运行情况,对每项风险发生的概率、预期损失值进行评价打分,同时在备注中给出治理措施建议。第三,汇总分析。评价企业统一收集整理评分表,计算每位专家针对每一风险因素打分的统计指标,包括平均数、方差、中位数、极值等,并将结果反馈给各位专家,若需修正可二次打分一次。第四,召开讨论会。邀请个人评分与最终汇总分数差异较大的专家发表意见,从专家的个人视角给出合理解释或反驳意见,专家根据反馈结果再修正自己的意见。第五,经过多轮匿名征询和意见反馈,形成最终得分及治理意见集合。

2.2 帕累托排序

高新技术企业的IT风险符合帕累托法则的“二八原则”,即80%的企业风险由20%的风险点引起。通过专家的匿名打分和意见反馈,形成了最终评分结果。高新技术企业需按照专家评分分数高低,运用帕累托图对风险进行排序评价处对企业威胁最大的风险因素。对专家评分的结果进行排序,并绘制帕累托图,则前20%的风险点即为高新技术企业IT风险中的关键风险因素,应进行重点控制和关注。为说明问题,本文在小范围内进行模拟打分,得到如表1所示的数据,据此得到图1所示的对应帕累托直方图,通过要素排序的递进累计,当累计风险达到80%左右时(本文为81.33%),落入考察区间的考察量为X1、X2和X10,说明该3项要素的存在导致了企业绝大部分(80%)风险的后果,因此治理时应抓住主要矛盾,重点对这三项最可能的诱因实施风险治理。

图1 高新技术企业IT风险专家评分帕累托图

3 措施建议

众所周知,信息化在给企业带来高效便利的同时,也夹裹着诸多风险,关键是如何快速识别出致险因素,并在排序中寻找关键风险因素,然后有针对性地制定风险治理方案。高新技术企业是信息化建设的典型代表,运用上述风险识别和评估方法,可以重点防控企业最可能出现重大风险,保证信息化建设和运行顺利。同时企业还应慎重选择信息化时机、节奏和规模,并注重企业中人的作用,适度引入“人机治理模式”,将“人因”与“机因”有机结合起来。

主要参考文献

[1]李志,唐波,张庆林.高新技术企业特征与管理对策研究[J].重庆大学学报,2009(7).

[2]吴炎太,林斌,孙烨.基于生命周期的信息系统内部控制风险管理研究[J].审计研究,2009(6).

[3]彭超然.大数据时代下会计信息化的风险因素及防范措施[J].财政研究,2014(4).

[4]王凡林.企业信息化风险的内部控制与治理研究[M].北京:首都经济贸易大学出版社,2014.

[5]周娟,杜栋.企业信息化水平评价系统的研制[J].河海大学常州分校学报.2004(2).

[6]蒋忠建.论西部企业信息化建设[J].经济体制改革.2004(3).

第8篇:风险识别与风险评估的区别范文

关键词:项目风险;项目风险;防雷

风险管理是项目管理九大知识领域中其中重要的一个环节,对项目的成败有重要的影响,也使相关关系人对一些重要的问题有一个明显的心里预期。建筑物遭受雷击是项目可能面临的重要风险之一,针对此风险,科学实施项目管理,确保项目建设符合预期的期望,是十分必要的。

由于防雷专业性强更多的学者从气象的角度开展了研究工作,丁旻针对贵州省气象灾害风险评估的实际需求,设计并开发了集评估制作与评估管理于一体的综合性雷电灾害风险评估系统。有利于防雷风险的科学定量分析。宁波先根据目前山东省气象局雷电灾害风险评估的业务流程,采用预先危险性分析等方法进行危险辨识,运用多种手段给出量化的安全状态参数预测发生事故概率和发现的隐患,提出防雷整改措施及建议,并最终生成评估报告。山东省雷电灾害风险评估管理平台设计与实现,李晓伟认为需要对全社会防雷减灾活动的各个方面的规范性管理,主要雷电灾害预防的工程控制措施风险管理研究。杜建德强调如何利用科学的分析方法和管理方法进行防雷工程的监管,从而进一步延伸到气象防灾减灾其他方面的应用将有助防灾减灾的管理进入科学化、程序化、规范化,也将有助于提高气象主管部门的公信力。

赵晨从项目管理的角度对防雷进行一定研究,内容包括包括熟悉项目组成员各自的技术能力,合理分配工作内容,对现场项目整体了解、把握等细节,内容涵盖了项目管理实施的内容,对防雷项目管理有一定参考价值。但没有从项目风险管理的角度全面规划防雷项目实施,本文从项目风险管理角度分析防雷项目管理,希望具有防雷减灾社会意义。

1防雷规划的风险管理

防雷险管理计划确定怎样着手开展防雷风险管理并为一个项目防雷风险管理活动做出计划。相关人对于防雷开展怎么样的沟通,沟通的内容是什么,特别是业主对风险的态度和考虑项目实施成本和经济性等。利害关系人的风险容忍度项目各方参与者对于风险的敏感度和承受能力不同,应当加以考虑,区别对待。同时对中途变更等条件增加的风险等有明显的预期。同时对各个环节的关键点进行检测检验的计划,确保过程关键环节不出现失误。项目实施单位应该拥有防雷风险管理计划模板,有利于风险管理的标准化、程序化。模板在工作中应当逐步加以充实、改进、完善,有利于总结积累工作经验。政府管理部门也也应该积极参与防雷项目规划管理,例如,气象局积极收集雷电气象材料,为防雷提供科学的数据支撑。项目管理建设部门也可以根据自己已经完成项目的历史经验完善补充数据库。政府规划部门可以考虑区域防雷经济性,协调建设项目的防雷,减少各自为政各自建设防雷项目的重复性。

2识别防雷风险

风险识别包括识别内在风险及外在风险。主要由于人员变动、个人知识范围和以往经验等细节的不同,对风险态度不一致,导致对风险识别程度不一致。开始没有预期到有可能出现政府临时增加强制法规。防雷项目风险主要设计技术方面主要涵盖GB50057-2010和GB50343-2012等国家标准。外部主要熟悉气象法等法律规定还有供应原材料的供应商等。组织内部资金等资源,以及项目的优先等级风险分析。项目管理内部的控制沟通等风险分析。技术人员根据客户要求分析,分解防雷风险结构,根据实际实施取得的经验和国家标准的变更,对项目风险检查核实。主要数据来源有气象资料记录,已有的雷电灾害事件和经济损失记录等。风险识别时间涵盖整个项目管理过程,随着时间进展,新的防雷风险可能产生或为人所知,所有参与项目人员应该参与风险识别过程,了解防雷工序的主要意义。

3实施定性防雷风险分析

除识别的风险信息单,还要通过定性的方法分析未在核对单中列出的事项,通过经常使用的头脑风暴法和德尔菲法,分析项目的假设条件是否有效,并识别因其中的不准确、不稳定、不一致或不完整而导致的项目风险。例如项目使用用途不准确,影响防雷等级的确定;周边建筑面积和高度不确定,影响本建筑防雷面积等。还有项目施工沟通不充分,导致工艺不合格等。

4实施定量防雷风险分析

风险量化涉及到对风险量化和风险之间相互作用的量化评估。评估结果需要决定哪些风险值得反应。由于风险包括诸多因素而较复杂,有时具体的量化结果也是依据估算。例如,主要防雷部件截面可能通过的电流估计,是按照电流在所有通路均分,但是这很显然是假设,那么截面面积多大合适呢,国标只是给最小截面积标准。一般保险系数大一点就增加截面积,这就增加了成本超支。某个项目涉及防雷关键材料降成本,导致材料使用寿命降低,意味着对其它项目使用者后期增加了威胁。技术部分可以参考GB50343-2012附录B部分,这里主要列举部分思路。雷击致损原因、损害类型、损失类型,通过计算损失和采取防雷措施的成本比较,最终决定是否采取防雷措施。这需要保证所有的收集数据准确才能得出准确结论,但实际是数学技巧往往只是计算,缺乏合理的结合实际的解释。

5规划防雷风险应对

在整个项目进程中都应将管理风险的过程、思路和应对措施都有记录。即使当事人不在,以后接手处理风险的工作人员理解并及时排除风险。风险应对首先主要从设计参数风险应对。例如,建筑物的用途发生改变没有,面积添加改变没有,是几级防雷?这些问题都会直接影响防雷的措施改变。其次关键数据参数记录,例如接地电阻的检测数据,这些都可能降低防雷风险。万一由于某些原因出现阻值增大,需要采取哪些措施。这些数据测量什么时候进行,都需要有明确的制度。项目实施过程中关键程序的把关,比如采购可用代替材料计划,是否需要装设SPD等,都需要有一定计划。如果检查结果和理论设计值不符合,需要采取预防性计划。例如,某接地电阻不符合要求,可以采取的预防措施。还有可能防雷材料由于使用年限,导致部分功能可靠性降低,例如SPD使用寿命到期后,没有起到防雷作用,对建筑物内关键电子部件构成威胁,应对这些防雷风险继续实施风险定量分析,并制订新的应对计划。

6控制防雷风险

科学实施项目管理,确保项目建设防雷风险控制在合理的范围以内。按照项目管理要求科学实施管理,从设计到施工做到科学规范,隐蔽工程需要有专人负责检查,关键数据不合格需要返工的必须返工,防雷不能有侥幸心里,更加不能怕麻烦,及时校正不合格的施工行为,对于施工可能出现的意外情况,要及时上报,有专家组评估后再确定对策。比如土壤电阻率不符合要求,可以及时采取补救措施。建筑物使用过程中坚持科学管理维护保养制度。实际执行中技术工作可以由专业人员参与评估,项目风险计划中相应的原有数据进行比较。比较中所反映的偏差,分析偏差风险,提前采取相应对策。科学的防雷系统维护保养也是十分必要,主要表现为除尘、防腐等细节工作。科学实施项目管理,确保项目建设符合预期的期望,是十分必要的。将防雷纳入项目的风险管理,专业性管理步骤和技术结合,能够系统全面地理解雷电灾害,对其认识更加深刻,有利于防雷风险的科学分析。

参考文献

[1]丁旻.雷电灾害风险评估系统开发与实现[J].防灾科技学院学报,2012(9)

[2]宁波,邓猛,张莉.山东省雷电灾害风险评估管理平台设计与实现[J].山东气象,2016(6)

[3]李晓伟.雷电灾害预防的工程控制措施风险管理研究[J].科技经济导刊,2015(11)

[4]杜建德.项目管理技术在防雷工程监管中的应用[J].气象研究与应用,2009(9)

第9篇:风险识别与风险评估的区别范文

【关键词】COSO,内部控制,风险管理,关系

随着当今市场经济的发展和经济全球化,更加剧了企业的竞争,从而加大了企业风险的形成。企业要想立于不败之地,必须借助于内部控制和风险管理。通过内控来防范化解内部的风险,通过风险控制来防范外部条件的变化对企业造成的威胁。

一、内部控制的内涵

内部控制的概念是在实践中逐步产生、发展和完善起来的。企业内部控制作为一项复杂的企业运作保障机制,其有效性则直接关系到企业经济效益的提高、企业资产的安全完整性和会计信息质量的改善等重大问题。因此,美国COSO 委员会在其《 内部控制一整体框架》 的报告中指出:“内部控制是由企业董事会、经理当局以及其他员工为达到财务报告的可靠性、经营活动的效率和效果、相关法律法规的遵循等三个目标而提供合理保证的过程” 。内部控制包括控制环境、风险评估、控制活动、信息与沟通、监控等五个相互联系的要素。COSO 报告提出的这个由“三个目标”和“五个要素”组成的内部控制的整体框架,是迄今为止被国际社会所普遍认可的最具权威性的内部控制定义。企业内部控制是企业的一种系统管理工程,它是通过一整套详细、具体的操作规范来约束企业各个环节、部门人员的经济行为,是一种规范的操作系统。

企业内部控制是衡量现代企业管理的重要标志。企业内部控制制度则是企业中最高的规范制度,企业内部的任何人都无权凌驾于内部控制制度之上,执行中的一视同仁、公平合理是内部控制制度得以贯彻执行的生命线。企业的内部控制制度就是企业经营运转的基本规矩,是检查管理者、各部门员工工作质量的尺度,也是衡量企业经济效益和管理水平的标准。由此可见,加强和完善企业内部控制制度是企业管理的客观需要。

二、风险管理的内涵

风险是指可能对目标的实现产生影响的事件发生的不确定性。风险管理就是采取一定的措施对风险进行检测评价,使风险降到可以接受的程度,并将其控制在某一可以接受的水平上。

企业风险管理是企业在实现未来战略目标的过程中,试图将各类不确定因素产生的结果控制在预期可接受范围内的方法和过程,以确保和促进组织的整体利益的实现。到目前为止,COSO-ERM框架理论是最完备的并具有广泛适用性的风险管理理论。

根据该框架,全面风险管理是一个过程。这个过程受董事会、管理层和其他人员的影响。这个过程从企业战略制定一直贯穿到企业的各项活动中,用于识别那些可能影响企业的潜在事件并管理风险,使之在企业的风险偏好之内,从而合理确保企业取得既定的目标。该框架认为企业风险管理应由内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通以及监控等8个要素构成,同时风险管理是由风险识别、风险评估、风险对策、风险监测等一系列环节组成的一个循环流程。

三、企业内部控制与风险管理的关系

在实践管理中,不能简单地将企业内部控制与风险管理等同起来,二者既有内在联系又有一定的区别,因此,我们要辩证地看待它们之间的相互关系和影响。

1、全面风险管理涵盖了内部控制。从COSO委员会的全面风险管理框架和内部控制框架可以看出,全面风险管理除包括内部控制的3个目标之外,还增加了战略目标;全面风险管理的8个要素除了包括内部控制的全部5个要素之外,还增加了目标设定、事件识别和风险对策3个要素。同时,也反映了两者在目标及组成要素方面有相同之处。两者都可以概括为力求公司股东价值最大化为目标,在组成要素上,有五个方面是重合的,这种目标和要素的一致性决定了内部控制和风险管理的原则、出发点与归宿点的相似性。

2、企业内控识别、控制风险的原理一致,都要由经营管理者实施。在分辨企业经营中存在的所有直接和间接的风险、确认各种风险的重要程度以及制订风险控制的策略、具体措施等方面,使用的理论基本上是相同的。内部控制的大部分工作都是经营管理部门的重要职责。同时,只有经营者将风险管理放在适当的高度,风险管理才能真正发挥作用。

3、企业风险管理是对内部控制的拓展和延伸。伴随着技术和经济的快速发展,使得内部控制走向企业风险管理。并且,企业风险管理是企业自身生存发展的需要。可以说,完善内部控制可以保证风险管理的效果,加强风险管理可以提高内部控制的地位。

4、企业内部控制的动力源自风险防范,是企业风险管理的必要环节,是实际操作的核心。内部控制的完整性、准确性和有效性直接决定企业风险管理的效果。企业开展风险管理工作应与内部控制相结合,把风险管理的要求渗透到企业各领域,带入到业务流程中。通过实施内部控制,我们可以达到完善治理结构,规范权力运行,强化监督制约,保证企业的资产安全,从而促进企业战略目标的实现。

5、企业内部控制并不等于企业风险管理。合理有效的内部控制只能提供合理而不是绝对保证,内部控制只能防范风险,不能转嫁、承担、化解或分散风险。在风险识别和评估基础上所建立的内部控制,只能规避经营管理活动中经常发生的错误和风险,但不能解决风险管理中企业所面临的所有风险。

从以上分析可以看出,内部控制和风险管理是密不可分的,完善内部控制可以保证风险管理的效果,加强风险管理可以提高内部控制的地位。实践证明,内部控制的有效实施有赖于风险管理的技术方法,而风险管理离开了内部控制作为手段支撑也将流于形式。我们只有发挥好企业内部控制与风险管理的协同作用,将内部控制与风险管理融为一体,才能更好地为企业发展保驾护航。

参考文献:

[1]李风鸣.内部控制学[M].北京大学出版社,2002.