时间:2023-03-29 09:22:44
序论:写作是一种深度的自我表达。它要求我们深入探索自己的思想和情感,挖掘那些隐藏在内心深处的真相,好投稿为您带来了七篇审计风险防范论文范文,愿它们成为您写作过程中的灵感催化剂,助力您的创作。
一、问题的提出
通常而言,在非理想社会运行状态下,契约是非完全合约。我们也可以合理推论,会计师事务所与其员工(包括合伙人)签订的劳动用工契约也是非完全合约。在合约的实际签订中,会计师事务所应用的契约多是要式合约,即契约往往是某地区劳动局按照国家法律法规的规定而制定的具有相对比较固定条款和格式的书面合约。显而易见,这种契约缺少会计师事务所所固有的劳动用工特征,在一定程度上将带来不可估量的审计风险,使得审计成本无限放大。虽然我们可以通过外生的约束力量来控制,比如通过审计人员对自己出具的审计报告签字从而负相应的法律责任,但当其无需签字时,这时候对审计人员的约束更多的只能依赖职业道德因素。特别是在审计实务中,审计外勤负责人不签字的现象是比较普遍的。本文拟就此进行分析并提出解决方案。
为了更好地分析问题,本文按照会计师事务所运行的三级审核制架构提出研究的基本假设条件:
(1)所有合伙人都拥有该会计师事务所,而且都是该会计师事务所的实际经营者;
(2)合伙人和主管某审计项目的负责人(部门经理)都在审计报告中签字;
(3)审计外勤负责人不在他所审计的项目报告中签字;
(4)审计外勤负责人知悉其所审计项目中的所有重大事项;
(5)审计外勤负责人的助理人员不可能隐瞒审计重大事项。
二、会计师事务所中非完全合约产生的原因
假设我们可以推知,由于会计师事务所劳动用工合约的不完全性,会计师事务所一般存在两层风险比较大的委托关系合约。
第一层委托关系合约是A,即会计师事务所与合伙人之间形成的委托关系合约。一方面虽然从理论上说,会计师事务所属于合伙人,但需要强调的是会计师事务所属于全体合伙人而不属于单个的合伙人。然而单个合伙人又恰恰是某个审计项目的经营者。这就存在由于合伙人之间的风险偏好不同导致合伙人之间的不同行为。例如某审计事项实际上风险是比较大的,但该合伙人却认为该事项风险可以接受,并私自决断而不提交给合伙人委员会或类似机构讨论,最后该事项却引发了整个会计师事务所的信誉危机。于是其他非当事合伙人却不得不被动地搭这趟苦涩的便车。
从另一方面分析,单个合伙人作为一个理性经济人,对于其所拥有的会计师事务所应尽心尽力,尽量避免风险。但从经济学角度上说,合伙人对于自我的行为,作为风险偏好者,只是用效用最大化来替代利润最大化,这种替代收益与费用由他享有和承担。但由于事务所特殊的组织框架,其他合伙人在无形中承担了部分溢出风险。因为,毕竟公司章程或合伙人协议等合约不可能是完美无缺的,而且我国很多会计师事务所都是改制而来,起始就可能存在着事业单位遗留下来的后遗症,很多合约签定是利益妥协的产物,这也积聚了非完全合约所致使的审计风险。
第二层委托关系合约是B、C、D,即委托方--会计师事务所、合伙人、部门经理与方--审计外勤负责人之间形成的委托关系合约。由于审计外勤负责人直接面对客户,因而对客户的经营成果和各种信息的拥有,相对于会计师事务所其他人而言,是最完备的。如果审计外勤负责人能力素质低下,或者存在故意败德行为等,甚至与被审计单位管理当局合谋隐瞒重要审计事项而出具虚假审计报告,而此时委托方由于信息不对称完全不知晓,那么会计师事务所的审计质量就存在巨大的控制真空,相应的潜在审计风险就凸显出来。特别是对审计外勤负责人缺乏强有力的刚性契约约束时,他就可能存在逃避责任的机会主义行为,甚至把审计风险成本全部转嫁到会计师事务所和合伙人身上。
可见,会计师事务所非完全合约所隐藏的风险是很大的。其中引起会计师事务所合约的非完全性主要原因如下:
1.人类的有限理性。由于人类在神经生理和语言方面的局限性以及外在事物的不确定性、复杂性,虽然从事经济活动中的人在愿望上是追求理性的,但会计师事务所对员工所从事的审计活动的故意消极性不可能全面预见。而且,审计风险表现形式多种多样,即使再高明的管理者也不可能在合约中对员工的审计活动进行完善的细化。自然这就肇始了合约的不完全性。当然,这除了人的思维和行为是有限理性外,还与交易成本息息相关。
2.交易成本的存在。在会计师事务所的员工合约中描述大量外在的随机状况要耗费大量成本。如果把这种情况细化,描述员工在审计时所应遵守的行为标准等特性,或者合约当事人各方为此必然采取行动,都需要花费成本。而且当劳动合约的限制条款太多,可能阻止某些业务精专、品德高尚的人才进入注册会计师行业,就会产生劣币驱逐良币的现象。这就可能与初衷背道而驰,甚至阻碍会计师事务所的良性发展。正因为博弈双方完善合约可能要耗费大量交易成本。会计师事务所及其员工只好作次优选择,省略与主要情况相关条款,使之处于模糊状态。这种不完备的合约却从一开始就累积了后发审计风险。
3.非对称信息。根据非对称信息理论,市场上买卖双方各自掌握的信息是有差异的,通常供方是有较完全的信息,需方有不完全的信息。在这种情况下,有信息优势的一方就希望通过输出对自己有利的信息使自己获利,从而存在机会主义行为。这在会计师事务所的合约中其实是内生的非对称信息,即会计师事务所在合约签订后无法完备地观察和监督到审计人员的所有行为。也就是在合约中,无法推测审计人员在合约后的行为而导致信息不对称。另外,在合伙人之间,正是因为信息的非对称而使合伙人对风险的判断产生差异,直接导致了会计师事务所第一层委托关系的形成。
4.违约成本低廉。由于审计外勤负责人没有签字承担责任的约束,他就有可能存在逆向选择和道德风险,甚至与管理当局合谋增大会计师事务所的风险,但他可能获得大量造假收益。如果事件败露,在目前的市场和文化环境中,受到的处罚可能仅是被会计师事务所解雇。可见,合约的不完全性造成违约成本非常低廉,甚至会诱致某些审计人员铤而走险。
5.对合约认识的局限性。绝大部分会计师事务所签定的合约只是把劳动局所制作的要式合约直接运用,而对要式合约中的可自由发挥的部分视而不见。例如深圳经济特区劳动合同书,其中第九条第三款和第十一条就分别有如下文句:“双方另外约定以下违约责任(空白)、双方认为需要约定的其他事项或对原对条款需要变更重新约定的事项(空白)。”会计师事务所本来可利用这两条弹性款项进一步完善合约,但大部分合约双方都是一叉了事,没有发挥合约应有的作用。正是缺乏对合约效力的充分认识,从而在某种意义上先天决定了合约的非完全性。
三、不完全合约所产生的审计风险防范
鉴于在中国目前所存在的经济发展环境,注册会计师的执业门槛很低,行业人员良莠不齐,那么通过合约的完善来对审计人员进行约束就显得很必要了。但在注册会计师实务中,这方面常常被忽略,会计师事务所通常很少关注用劳动合约去约束审计人员的行为,而过多地依赖职业道德。既然会计师事务所存在两层风险比较大的委托关系合约,则我们可以根据不完全合约产生的原因提出相应的解决方案。
(一)对于第一层委托关系合约
1.建立审计风险硬性约束机制。会计师事务所各合伙人应统一认识,建立以风险基础审计模式,对审计风险的评估尽可能数量化。特别是会计师事务所应对审计重要性水平,按不同客户、不同资产分门别类的确定重要性金额,以便各合伙人在一个相对固定的重要性水平上确定应提交给合伙人委员会讨论的重大事项。同时,因为审计重要性受到以往审计经验、相关法规、客户的经营规模和业务性质、内部控制与审计风险的评估结果以及会计报表各项目金额性质等多种因素的影响,所以各会计师事务所在制定本所的重要性水平时,应尽量遵循谨慎性原则。对另外一些与金额无关,但性质非常重要的非期望出现的错报和漏报,如管理层舞弊等,则可以采取列举法,把可能发生的性质严重影响审计报告的事项分类列举出来,形成条款,并可以在会计师事务所与合伙人之间的合约中提及,以便合伙人不因偶然的疏忽而铸成大的审计风险后果。通过对审计重要性水平的相对书面化,使合伙人的风险偏好形式化,从而更好地规范审计风险控制,而不因个人偏好因子影响整个会计师事务所的声誉。
2.会计师事务所实行合伙制。由于有些名义上的合伙事务所实际上工商登记的是有限责任制,使得外部环境约束合伙人的资源减少。真正的合伙制度可以使得合伙人的审计行为更为谨慎,每一个合伙人都有互相监督的意识。因为每个合伙人都要对其他合伙人的业务活动负责,每个合伙人也就有互相监督的内在动机。这种相互监督增强了单个合伙人的风险意识,而承担无限责任的巨大风险更是使合伙人对审计风险更加敏感。因而,如果要降低第一层委托制度的成本,根本的解决方案是实行中国会计师事务所第二次改制,把有限责任制改为合伙制,以避免由于会计师事务所先天不足造成合约的非完全性而衍生审计风险。
(二)对于第二层委托关系合约
1.完善相关法律。由于目前注册会计师执业环境不好,因为有必要通过法规对审计外勤负责人的审计行为作出约束,规定审计外勤负责人也需要对其所审计的项目承担一定的相应责任。如果行为特别恶劣,则可以规定已经有该种行为的人为财务审计职位的市场禁入者,当他被解雇后,其再寻找职位的成本无穷大,从而加大审计外勤负责人的违规成本。
2.完善劳动合约。在会计师事务所与审计人员签订审计劳动合约时,双方可以充分讨论,并尽量挖掘合约刚性约束潜力,以便在风险收益中相互求得最佳平衡点。从而做到合约既可以尽可能降低审计风险,又能够吸引优秀人才加盟会计师事务所。
摘 要 本文首先对审计风险的概念进行了界定,从内部和外部两个方面分析了我国会计师事务所审计风险产生的原因,并针对这些原因提出了会计师事务所防范审计风险的几点建议,使会计师事务所在执业过程中加强对审计风险的控制,从而使整个社会的审计业务更加规范和健康地发展。
关键词 审计风险 风险控制 会计师事务所
随着现代审计业务的日益复杂,审计项目的风险水平越来越高。审计风险的存在必然会使会计师事务所发生风险损失,因此,实施审计风险管理显得尤为重要。加强审计风险的管理和控制,对我国的会计师事务所提高审计质量,降低审计责任,增强自身的竞争力具有非常重要的意义。
一、审计风险的概念
审计风险是指当财务报表存在重大错误或漏报,注册会计师对其进行审计后发表不恰当审计意见的可能性。对于盈亏自负、风险自担的会计师事务所来说,既要在激烈的市场竞争中招揽业务,又要防范审计业务可能带来的审计风险,这就使对审计风险的防范和控制成为会计师事务所的核心问题。
二、会计师事务所审计风险产生的原因
会计师事务所审计风险的产生由很多因素造成,以下从外部原因和内部原因两个方面来探讨我国会计师事务所审计风险产生的原因。
(一)外部原因
1.我国的法制体系不完善
改革开放以来,尽管我国在审计立法上取得了很大的发展并形成了一套审计法制体系,但随着社会主义市场经济的发展,审计执法过程中某些方面仍无法可依,另外,一些旧的审计法律法规已经不能适应新形势的发展而需做出修改。这种情况加大了相关部门审计监督的难度,也加大了会计师事务所的审计风险。
2.被审计单位内部控制制度方面的原因
企业在经营管理时必须遵守成本收益原则,无论做出什么决策都必须考虑成本与收益的关系。企业实行内部控制固然能够减少会计处理过程中错弊的发生,降低会计师事务所的审计风险,提高审计效率,但如果内部控制的成本超过了发生错弊时造成的损失,企业管理人员便会想尽一切办法减少控制程序,这就使内部控制总会存在一定的缺陷。
(二)内部原因
1.审计收费比较低
目前,我国会计师事务所的审计收费普遍较低。如果会计师事务所的审计收费过低,就会迫使事务所和注册会计师采用一些方法来降低审计成本,比如简化审计程序、减少业务人员、缩短审计时间等。这种做法势必会导致审计质量的降低和审计风险的增大。审计费用太低,会计师事务所就不可能花费大量人力和物力去审计某一项目,审计质量就不可能提高。
2.缺乏独立性
实际中,事务所的聘用、续聘和费用支付等相关事项多是由企业管理层来决定的。也就是说,公司管理层可按其意愿来选择事务所,这也决定了注册会计师在出具审计报告时可能不得不考虑管理层的意见,审计的独立性得不到保障。会计师事务所丧失了独立性,到处受到四周环境的限制,当然就不能出具公正客观的审计意见。
3.审计方法的落后
《中国注册会计师独立审计准则》提出了运用风险基础审计方法的要求。然而在实践中审计方法仍停留在账项基础审计向制度基础审计过渡的阶段,许多审计项目的大小都是由注册会计师依靠主观来判断的。同时,审计中广泛采用的抽样技术只限于抽样审计,并不能发现财务报表中的全部错误,这会导致某些隐蔽较好的欺诈极难侦破。由于审计成本的限制,又迫使注册会计师不得不放弃部分审计程序,会丧失应有的职业谨慎,难以做到全面的审计工作,风险自然由此而生。
三、审计风险的防范对策
为了防范审计风险,会计师事务所可以从以下几方面来加以控制,尽最大努力拒审计风险于门外。
(一)保持独立性
注册会计师执行审计或其他鉴定业务时,应当保持形式上和实质上的独立。只有保持了独立性后,会计师事务所和注册会计师在执行具体的审计业务时才不会受到被审计单位的影响,才能更好地出具客观公正的审计影响。审计独立性是会计师事务所和注册会计师在执业过程中必须遵守的最重要的原则。只有保证了审计独立性后,才能降低审计风险的产生。
(二)改革审计方法
现时国内的审计方法,主要是采用账项基础审计或制度基础审计的模式,审计的整个过程主要集中在期末余额的细节测试,进行抽样测试时,审计人员没有什么可以依据的科学方法,往往只凭自己的经验任意抽样而缺乏客观性。这种习惯性做法,往往会让有意舞弊者有机可乘。面对这种状况,会计师事务所要学会转换思考角度,改变传统的审计理念和方法,树立现代的审计意识、技术和方法,降低审计风险。
(三)谨慎选择客户
谨慎地选择客户也是会计师事务所防范审计风险的一个重要措施。对于那些可能存在重大经营风险或公司管理层舞弊风险等高审计风险的公司,会计师事务所要慎重考虑是否接受其委托。在接受一个新客户时,应先做一个风险评估报告,当风险较高时就要多加留意,有时宁愿放弃该项审计收入。但也不能因为风险的存在就不敢承接客户,会计师事务所可以通过客户风险评估报告,识别风险领域,采取相应的措施加以降低审计风险。
参考文献:
[1]吕继英.王竹南会计师事务所审计风险的防范与控制.Economic and Trade Update.2008(6).
论文摘要:现代风险导向审计是对传统审计方式的突破和创新,是内部审计发展的最新动向。企业推行现代风险导向审计,能将内部审计自身的职能与企业的目标有机地结合起来,充分发挥内部审计在企业风险管理中的重要作用。本文在阐明现代风险导向审计相关概念的基础上,进一步阐述了企业内部审计开展现代风险导向审计的必要性以及现代风险导向审计的实施。
一、什么是现代风险导向审计
风险导向审计是在账项基础审计、制度基础审计的基础上产生的,现代风险导向审计产生的主要标志是:2003年10月,国际审计和鉴证准则委员会(iaasb)对审计风险准则进行了修订,并执行新的风险导向模型“审计风险=重大错报风险x检查风险”,我国在2006年2月对审计准则进行大幅度调整,将传统审计风险模型修改为新的审计风险模型。现代风险导向审计是以系统论和战略管理理论为指导,以降低信息风险为根本目的,以控制审计业务风险为中心,以降低审计风险为根本途径,以经营风险的分析评估为导向,采用“自上而下,自下而上”审计思路的一种审计方法。
二、对现代风险导向审计本质的认识
(一)现代风险导向审计是一种新的审计基本方法。传统审计风险模型的审计方法实质上仍然是制度基础审计方法的延伸,它从分析客户会计报表的固有风险和内部控制风险着手,根据内部控制测试的结果决定实质性测试的性质、时间和范围。而现代风险导向审计则是从企业的战略分析入手,通过“战略分析——环节分析——会计报表剩余风险分析”的基本思路,决定实质性审计程序的性质、时间和范围,并建立了企业会计报表风险与企业战略风险之间的逻辑联系,使这一方法更科学、更有效。
(二)现代风险导向审计摒弃了传统审计简化主义的认知模式,代之以复杂系统的认知模式,并引入战略管理分析工具。现代风险导向审计的思考方法是系统理论所指导的复杂系统认知模式。审计要有效地把握会计报表的错报风险,就必须从企业的战略管理活动着手分析,对战略管理活动进行分析,必须将企业置于广泛的经济网络中进行系统分析。从方法论上讲,现代风险导向审计要比传统的制度基础审计站得更高,看得更远,对企业了解得更透。
(三)现代风险导向审计运用“自上而下”和“自下而上”相结合的审计思路。它运用“自上而下”,“自下而上”相结合的手段,对会计报表错报风险做出合理的专业判断,要从企业的战略管理分析入手,通过经营风险导向和严密的逻辑推理,一步一步地推导和落实审计的范围和重点,确定相关的审计目标和审计程序。通过实施审计程序及取证的结果,并结合重要性的判断,归纳和判断整个会计报表的风险并形成最终的审计意见。
三、现代风险导向内部审计的理解
内部审计下的现代风险导向审计目前尚无统一的定义。第一种观点认为,把社会审计中的现代风险导向审计运用于内部审计就是现代风险导向内部审计,即内部审计人员立足于对审计风险的分析和评价,并以此为出发点,制定审计计划,实施审计行为的一种审计方法。第二种观点认为,现代风险导向内部审计是指内审人员在审计过程自始至终都关注企业风险(不是审计风险),依据风险选择项目,识别风险,测试管理者降低风险的方法,并以企业风险为中心做审计报告,协助企业管理风险。
而从第二种观点的描述上看,所谓的“风险”不是单纯意义的“审计风险”,在更大意义上是指企业在生产经营过程中面临的各种企业风险。由此可见,此时的内部审计已经成为结合内部审计和风险管理的一种有效工具,审计计划与公司最高层的风险战略连接在一起,内部审计人员通过对当前的风险分析确保其审计计划与经营计划相一致,将风险管理原则贯穿于审计的全过程,内部审计重点不再是测试控制,而是确认风险及测试管理风险。用这种观点来界定风险导向内部审计,会与内部审计具体准则对审计风险的定义相背。
笔者认为,在现有准则下,以第一种观点作为现代风险导向内部审计比较恰当,而第二种观点与其说是现代风险导向内部审计,还不如说是企业风险管理中的内部审计作用。
四、现代风险导向审计运用于内部审计的必要性及其实施
我们姑且不去定论现代风险导向内部审计的定义,但是在内部审计中实施现代风险导向审计既是基于降低审计风险,又是为降低企业经营风险,进行风险管理的一种有效工具。
(一)内部审计实施现代风险导向审计的必要性
随着内部审计的监督职能向服务管理职能的转变,企业需要内部审计对整体的风险管理、内部控制及治理程序提供有效的审计监督和建设性评价,以帮助企业控制风险,实现目标。因此,内部审计不应停留在传统审计模式上,而应在此基础上进一步开展现代风险导向审计,将关口前移,充分发挥预警性作用。综上所述,在企业内部审计中实施现代风险导向审计有着非常重要的现实意义。
(二)现代风险导向审计在内部审计中的运用
1.准确确定审计的重点和范围。运用现代风险导向审计理论,从分析风险入手,准确确定审计的重点和范围,在审计准备阶段,就加大防范力度,即通过对被审计单位基本情况的了解和分析性测试的结果,充分关注被审单位的特殊风险,确定总体审计风险概率和评估的重大错报风险概率,将审计风险减少到最小程度,确保内部审计能够发现业务经营活动中的重大违法违规问题及存在的风险隐患,达到实现防范风险的目的。
2.以《内部审计实务标准》为指导,执行现代风险导向审计的程序,使风险管理与内部审计程序之间协调一致,产生协同增效的作用。一是在制定审计计划时,针对可能影响风险评估的基础,制定审计计划,确定审计项目。二是编制审计方案时,在评估风险优先次序的基础上安排审计工作。三是确定审计范围时,要考虑并反映整个企业的战略性计划目标,每年对审计范围进行一次评估,以反映最新战略和方针。四是在审计实施过程中,通过评价内部控制制度,查找其中的疏漏和薄弱环节。五是在编制审计报告时,应对风险管理状况进行评价,指出风险管理中存在的漏洞和不足,提出加强管理的建议。六是以风险大小作为确定追踪审计范围的重要因素。
3.实施控制测试和实质性测试。现代风险导向审计强调从宏观上对风险进行评估,但并不是说可以忽视微观层面的操作风险。因此,应继续实施内部控制测试,并分析重点,实施实质性测试。在控制测试和实质性测试两阶段中,审计资源的合理配置是关键,也是风险导向审计理论的出发点与归宿。因此,应结合重大风险各因素的综合分析与判断,将审计资源向重点风险领域倾斜,以实现“全面审计、突出重点”,在提高审计效率与效果的同时,强化企业风险管理。
4.实现审计手段电子化,提高审计工作质量。一要运用计算机技术,进行内部控制风险的评估,确定标准内部控制的模型,并经常调整、完善,以提高内部控制风险的评估效率及其准确性。二要运用计算机软件进行分析性测试,提高分析的速度和准确性,扩展分析的范围。三要运用计算机进行统计抽样,避免人工抽样检查的不足,有效降低审计风险。四要构建完整的审计信息系统,推进风险导向审计与非现场审计有机结合,提高内部审计的质量和效率。
(三)内部审计实施现代风险导向审计的措施
现代风险导向审计模式是为适应企业经营高风险的特点而产生的,同时也是为量化审计风险、减轻审计责任、提高审计效率和质量的一种审计方法。为加强现代风险导向审计在内部审计中的运用,笔者认为要从以下几方面努力:
1.建立内部控制评价的新模式。在现代风险导向审计中,内部审计更加关心的问题主要是:控制风险的目标是什么,控制要解决的问题,这种控制是否先进有效,控制风险有多大,是否影响管理当局的决策等。随着市场竞争的加剧,新的审计环境要求审计人员应通过与企业管理层进行有效沟通的方式,采用新的评价模式,为企业提供更有价值的服务。
2.加强内部审计工作的实效性。在审计技术方面,风险分析和计算机应用甚少,由此降低了审计工作效率。因此,内部审计在转变目标定位,树立管理理念的同时,更要重视审计工作的实效性,以确保审计建议的落实。
3.提高内部审计人员的素质。对企业而言,需要界定风险范围、理顺风险责任、建立风险模型和风险防范机制,这就是要靠实施现代风险导向审计走出一条迎接风险、化解风险之路。因此要求内审人员都应懂得风险语言,加强风险意识和风险管理技能,提高内审人员对风险的敏感度,以风险为导向做好内部审计工作。
五、结束语
企业内部审计开展现代风险导向审计是内部审计的必然发展趋势,既是职业自身发展的需要,也是当前形势发展的需要。企业内部审计坚持开展对企业风险管理过程的充分性和有效性的检查、评价和报告,促进企业改进管理、实现目标和增加价值,无疑是企业内部的一种最好资源。在实践中,尚无完整的模式可参照执行,即使有关现代风险导向内部审计的准则出台后,也需要在实践中不断完善。因此,内部审计师在现阶段,应首先接受现代风险导向审计的理念,在执行过程中,将风险评估贯穿审计的全过程,不断探索现代风险导向审计的方法,将审计风险降低到最低可接受水平。
参考文献:
[1]马文成,王有良.基于风险导向审计的内部审计创新研究[j].会计师,2009(06).
[2]聂海斌.风险导向审计在应用中的问题及完善[j].当代经济,2009(16).
[3]汪寿成.现代风险导向审计[m].大连出版社,2009.
[4]汪文文.论新形势下的风险导向审计[j].经济研究导刊,2009(04).
[作者简介]王会金(1962― ),男,浙江东阳人,南京审计学院副校长,教授,博士,从事信息系统审计研究。
[摘 要]当前,我国急需一套完善的中观信息系统审计风险控制体系。这是因为我国的中观经济主体在控制信息系统审计风险时需要一套成熟的管理流程,且国家有关部门在制定信息系统审计风险防范标准方面也需要完善的控制体系作为支撑。在阐述COBIT与数据挖掘基本理论的基础上,借鉴COBIT框架,构建中观信息系统审计风险的明细控制框架,利用数据挖掘技术有针对性地探索每一个明细标准的数据挖掘路径,创建挖掘流程,建立适用于我国中观经济特色的信息系统审计风险控制体系。
[关键词]中观信息系统审计;COBIT框架;数据挖掘;风险控制;中观审计
[中图分类号]F239.4 [文献标识码]A [文章编号]10044833(2012)01001608
中观信息系统审计是中观审计的重要组成部分,它从属于中观审计与信息系统审计的交叉领域。中观信息系统审计是指IT审计师依据特定的规范,运用科学系统的程序方法,对中观经济主体信息系统的运行规程与应用政策所实施的一种监督活动,旨在增强中观经济主体特定信息网络的有效性、安全性、机密性与一致性[1]。与微观信息系统相比,中观信息系统功能更为复杂,且区域内纷乱的个体间存在契约关系。中观信息系统的复杂性主要体现在跨越单个信息系统边界,参与者之间在信息技术基础设施水平、信息化程度和能力上存在差异,参与者遵循一定的契约规则,依赖通信网络支持,对安全性的要求程度很高等方面。中观信息系统审计风险是指IT审计师在对中观信息系统进行审计的过程中,由于受到某些不确定性因素的影响,而使审计结论与经济事实不符,从而受到相关关系人指控或媒体披露并遭受经济损失以及声誉损失的可能性。中观信息系统审计风险控制的研究成果能为我国大型企业集团、特殊的经济联合体等中观经济主体保持信息系统安全提供强有力的理论支持与实践指导。
一、 相关理论概述与回顾
(一) COBIT
信息及相关技术的控制目标(简称COBIT)由美国信息系统审计与控制协会(简称ISACA)颁布,是最先进、最权威的安全与信息技术管理和控制的规范体系。COBIT将IT过程、IT资源及信息与企业的策略及目标联系于一体,形成一个三维的体系框架。COBIT框架主要由执行工具集、管理指南、控制目标和审计指南四个部分组成,它主要是为管理层提供信息技术的应用构架。COBIT对信息及相关资源进行规划与处理,从信息技术的规划与组织、采集与实施、交付与支持以及监控等四个方面确定了34个信息技术处理过程。
ISACA自1976年COBIT1.0版以来,陆续颁布了很多版本,最近ISACA即将COBIT5.0版。ISACA对COBIT理论的研究已趋于成熟,其思路逐步由IT审计师的审计工具转向IT内部控制框架,再转向从高管层角度来思考IT治理。大多数国际组织在采纳COSO框架时,都同时使用COBIT控制标准。升阳电脑公司等大型国际组织成功应用COBIT优化IT投资。2005年,欧盟也选择将COBIT作为其审计准则。国内学者对COBIT理论的研究则以借鉴为主,如阳杰、张文秀等学者解读了COBIT基本理论及其评价与应用方法[23];谢羽霄、黄溶冰等学者尝试将COBIT理论应用于银行、会计、电信等不同的信息系统领域[45]。我国信息系统审计的研究目前正处于起步阶段,因而将COBIT理论应用于信息系统的研究也不够深入。王会金、刘国城研究了COBIT理论在中观信息系统重大错报风险评估中的运用,金文、张金城研究了信息系统控制与审计的模型[1,6]。
(二) 数据挖掘
数据挖掘技术出现于20世纪80年代,该技术引出了数据库的知识发现理论,因此,数据挖掘又被称为“基于数据库的知识发现(KDD)”。1995年,在加拿大蒙特利尔召开的首届KDD & Date Mining 国际学术会议上,学者们首次正式提出数据挖掘理论[7]。当前,数据挖掘的定义有很多,但较为公认的一种表述是:“从大型数据库中的数据中提取人们感兴趣的知识。这些知识是隐含的、事先未知的潜在有用信息,提取的知识表现为概念、规则、规律、模式等形式。数据挖掘所要处理的问题就是在庞大的数据库中寻找有价值的隐藏事件,加以分析,并将有意义的信息归纳成结构模式,供有关部门在进行决策时参考。”[7]1995年至2010年,KDD国际会议已经举办16次;1997年至2010年,亚太PAKDD会议已经举办14次,众多会议对数据挖掘的探讨主要围绕理论、技术与应用三个方面展开。
目前国内外学者对数据挖掘的理论研究已趋于成熟。亚太PAKDD会议主办方出版的论文集显示,2001年至2007年仅7年时间共有32个国家与地区的593篇会议论文被论文集收录。我国学者在数据挖掘理论的研究中取得了丰硕的成果,具体表现在两个方面:一是挖掘算法的纵深研究。李也白、唐辉探索了频繁模式挖掘进展,邓勇、王汝传研究了基于网络服务的分布式数据挖掘,肖伟平、何宏研究了基于遗传算法的数据挖掘方法[810]。二是数据挖掘的应用研究。我国学者对于数据挖掘的应用研究也积累了丰富的成果,并尝试将数据挖掘技术应用于医学、通讯、电力、图书馆、电子商务等诸多领域。2008年以来,仅在中国知网查到的关于数据挖掘应用研究的核心期刊论文就多达476篇。近年来,国际软件公司也纷纷开发数据挖掘工具,如SPSS Clementine等。同时,我国也开发出数据挖掘软件,如上海复旦德门公司开发的Dminer,东北大学软件中心开发的Open Miner等。2000年以来,我国学者将数据挖掘应用于审计的研究成果很多,但将数据挖掘应用于信息系统审计的研究成果不多,且主要集中于安全审计领域具体数据挖掘技术的应用研究。
二、 中观信息系统审计风险控制体系的构想
本文将中观信息系统审计风险控制体系(图1)划分为以下三个层次。
(一) 第一层次:设计中观信息系统审计风险的控制框架与明细控制标准
中观信息系统审计的对象包括信息安全、数据中心运营、技术支持服务、灾难恢复与业务持续、绩效与容量、基础设施、硬件管理、软件管理、数据库管理、系统开发、变革管理、问题管理、网络管理、中观系统通信协议与契约规则等共计14个主要方面[11]。中观信息系统审计风险控制体系的第一层次是根据COBIT三维控制框架设计的。这一层次需要构架两项内容:(1)中观信息系统审计风险的控制框架。该控制框架需要完全融合COBIT理论的精髓,并需要考虑COBIT理论的每一原则、标准、解释及说明。该控制框架由14项风险防范因子组成,这14个因子必须与中观信息系统审计的14个具体对象相对应。框架中的每一个因子也应该形成与自身相配套的风险控制子系统,且子系统应该包含控制的要素、结构、种类、目标、遵循的原则、执行概要等内容。(2)中观信息系统审计风险的明细控制标准。控制框架中的14项风险防范因子需要具备与自身相对应的审计风险明细控制规则,IT审计师只有具备相应的明细规范,才能在中观信息系统审计实施过程中拥有可供参考的审计标准。每个因子的风险控制标准的设计需要以COBIT三维控制框架为平台,以4个域、34个高层控制目标、318个明细控制目标为准绳。
(二) 第二层次:确定风险控制框架下的具体挖掘流程以及风险控制的原型系统
第一层次构建出了中观信息系统审计风险控制的明细标准Xi(i∈1n)。在第一层次的基础上,第二层次需要借助于数据挖掘技术,完成两个方面的工作。一是针对Xi,设计适用于Xi自身特性的数据挖掘流程。这一过程的完成需要数据资料库的支持,因而,中观经济主体在研讨Xi明细控制标准下的数据挖掘流程时,必须以多年积累的信息系统控制与审计的经历为平台,建立适用于Xi的主题数据库。针对明细标准Xi的内在要求以及主题数据库的特点,我们就可以选择数据概化、统计分析、聚类分析等众多数据挖掘方法中的一种或若干种,合理选取特征字段,分层次、多角度地进行明细标准Xi下的数据挖掘实验,总结挖掘规律,梳理挖掘流程。二是将适用于Xi的n个数据挖掘流程体系完善与融合,开发针对本行业的中观信息系统审计风险控制的原型系统。原型系统是指系统生命期开始阶段建立的,可运行的最小化系统模型。此过程通过对n个有关Xi的数据挖掘流程的融合,形成体系模型,并配以详细的说明与解释。对该模型要反复验证,多方面关注IT审计师对该原型系统的实际需求,尽可能与IT审计师一道对该原型系统达成一致理解。
(三) 第三层次:整合前两个步骤,构建中观信息系统风险控制体系
第三层次是对第一层次与第二层次的整合。第三层次所形成的中观信息系统风险控制体系包括四部分内容:(1)中观信息系统审计风险控制框架;(2)中观信息系统审计风险控制参照标准;(3)中观信息系统审计风险控制明细标准所对应的数据挖掘流程集;(4)目标行业的中观信息系统审计风险控制的原型系统。在此过程中,对前三部分内容,需要归纳、验证、总结,并形成具有普遍性的中观审计风险控制的书面成果;对第四部分内容,需要在对原型系统进行反复调试的基础上将其开发成软件,以形成适用于目标行业不同组织单位的“软性”成果。在设计中观信息系统风险控制体系的最后阶段,需要遵循控制体系的前三部分内容与第四部分内容相互一致、相互补充的原则。相互一致表现在控制体系中的框架、明细控制标准、相关控制流程与原型系统中的设计规划、属项特征、挖掘原则相协调;相互补充表现在控制体系中的框架、明细控制标准及相关控制流程是IT审计师在中观信息系统审计中所参照的一般理念,而原型系统可为IT审计师提供审计结论测试、理念指导测试以及验证结论。 三、 COBIT框架对中观信息系统审计风险控制的贡献
(一) COBIT框架与中观信息系统审计风险控制的契合分析
现代审计风险由重大错报风险与检查风险两个方面组成,与传统审计风险相比,现代审计风险拓展了风险评估的范围,要求考虑审计客体所处的行业风险。但从微观层面看,传统审计风险与现代审计风险的主要内容都包括固有风险、控制风险与检查风险。COBIT框架与中观信息系统审计风险控制的契合面就是中观信息系统的固有风险与控制风险。中观信息系统的固有风险是指“假定不存在内部控制情况下,中观信息系统存在严重错误或不法行为的可能性”;中观信息系统的控制风险是指“内部控制体系未能及时预防某些错误或不法行为,以致使中观信息系统依然存在严重错误或不法行为的可能性”;中观信息系统的检查风险是指“因IT审计师使用不恰当的审计程序,未能发现已经存在重大错误的可能性”。IT审计师若想控制中观信息系统的审计风险,必须从三个方面着手:(1)对不存在内部控制的方面,能够辨别和合理评价被审系统的固有风险;(2)对存在内部控制的方面,能够确认内部控制制度的科学性、有效性、健全性,合理评价控制风险;(3)IT审计师在中观信息系统审计过程中,能够更大程度地挖掘出被审系统“已经存在”的重大错误。我国信息系统审计的理论研究起步较晚,IT审计师在分辨被审系统固有风险,确认控制风险,将检查风险降低至可接受水平三个方面缺乏成熟的标准加以规范,因此我国的中观信息系统审计还急需一套完备的流程与指南 当前我国有四项信息系统审计标准,具体为《审计机关计算机辅助审计办法》、《独立审计具体准则第20号――计算机信息系统环境下的审计》、《关于利用计算机信息系统开展审计工作有关问题的通知》(88号文件)以及《内部审计具体准则第28号――信息系统审计》。。
图2 中观信息系统审计风险的控制框架与控制标准的设计思路
COBIT框架能够满足IT审计师的中观信息系统审计需求,其三维控制体系,4个控制域、34个高层控制目标、318个明细控制目标为IT审计师辨别固有风险,分析控制风险,降低检查风险提供了绝佳的参照样板与实施指南。COBIT控制框架的管理理念、一般原则完全可以与中观信息系统审计风险的控制实现完美契合。通过对COBIT框架与中观信息系统审计的分析,笔者认为COBIT框架对中观信息系统审计风险控制的贡献表现在三个方面(见图2):(1)由COBIT的管理指南,虚拟中观信息系统的管理指南,进而评价中观主体对自身信息系统的管理程度。COBIT的管理指南由四部分组成,其中成熟度模型用来确定每一控制阶段是否符合行业与国际标准,关键成功因素用来确定IT程序中最需要控制的活动,关键目标指标用来定义IT控制的目标绩效水准,关键绩效指标用来测量IT控制程序是否达到目标。依据COBIT的管理指南,IT审计师可以探寻被审特定系统的行业与国际标准、IT控制活动的重要性层次、IT控制活动的目标绩效水平以及评价IT控制活动成效的指标,科学地拟定被审系统的管理指南。(2)由COBIT的控制目标,构建中观信息系统的控制目标体系,进而评价中观信息系统的固有风险与检查风险。COBIT的控制目标包括高层域控制、中层过程控制、下层任务活动控制三个方面,其中,高层域控制由规划与组织、获取与实施、交付与支持以及监控四部分组成,中层控制过程由“定义IT战略规划”在内的34个高层控制目标组成,下层任务活动控制由318个明细控制目标组成。COBIT的控制目标融合了“IT标准”、“IT资源”以及被审系统的“商业目标”,为IT审计师实施中观信息系统审计风险控制提供了层级控制体系与明细控制目标。IT审计师可以直接套用COBIT的控制层级与目标拟定中观信息系统管理与控制的层级控制体系以及明细控制目标,然后再进一步以所拟定的明细控制目标作为参照样板,合理评判中观信息系统的固有风险与控制风险。中观信息系统中“域”、“高层”、“明细”控制目标的三层结构加强了IT审计师审计风险控制的可操作性。(3)由COBIT的审计指南,设计IT审计师操作指南,进而降低中观信息系统审计的检查风险。COBIT的审计指南由基本准则、具体准则、执业指南三个部分组成。基本准则规定了信息系统审计行为和审计报告必须达到的基本要求,为IT审计师制定一般审计规范、具体审计计划提供基本依据。具体准则对如何遵循IT审计的基本标准,提供详细的规定、具体说明和解释,为IT审计师如何把握、评价中观经济主体对自身系统的控制情况提供指导。执业指南是根据基本标准与具体准则制定的,是系统审计的操作规程和方法,为IT审计师提供了审计流程与操作指南。
(二) 中观信息系统审计风险控制体系建设举例――构建“设备管理”控制目标体系
前文所述,中观信息系统审计的对象包括“信息安全”等14项内容,本文以“硬件管理”为例,运用COBIT的控制目标,构建“硬件管理”的控制目标体系,以利于IT审计师科学评价“硬件管理”存在的固有风险与控制风险。“设备管理”控制目标体系的构建思路参见表1。
注:IT标准对IT过程的影响中P表示直接且主要的,S表示间接且次要的;IT过程所涉及的IT资源中C表示涉及;空白表示关联微小。
表1以“设备管理”为研究对象,结合COBIT控制框架,并将COBIT框架中与“设备管理”不相关的中层控制过程剔除,最终构建出“设备管理”控制的目标体系。该体系由4个域控制目标、21个中层过程控制目标、149个明细控制目标三个层级构成,各个层级的关系见表1。(1)第一层级是域控制,由“P.设备管理的组织规划目标”、“A.设备管理的获取与实施目标”、“DS.设备管理的交付与支持目标”以及“M.设备管理的监控目标”构成;(2)第二层级是中层过程控制,由21个目标构成,其中归属于P的目标5个,归属于A的目标3个,归属于D的目标9个,归属于M的目标4个;(3)第三层级是下层任务活动控制,由149个明细目标构成,该明细目标体系是中层过程控制目标(P、A、DS、M)针对“IT标准”与“IT资源”的进一步细分。IT标准是指信息系统在运营过程中所应尽可能实现的规则,具体包括有效性、效率性、机密性等7项;IT资源是指信息系统在运营过程中所要求的基本要素,具体有人员、应用等5项。根据表1中“有效性”、“人员”等“IT标准”与“IT资源”合计的12个属项,每个具体中层控制目标都会衍生出多个明细控制目标。例如,中层控制目标“DS13.运营管理”基于“IT标准”与“IT资源”的特点具体能够演绎出6项明细控制目标,此7项可表述为“DS13-01.利用各项设备,充分保证硬件设备业务处理与数据存取的及时、正确与有效”,“DS13-02.充分保证硬件设备运营的经济性与效率性,在硬件设备投入成本一定的情况下,相对加大硬件设备运营所产生的潜在收益”,“DS13-03.硬件设备保持正常的运营状态,未经授权,不可以改变硬件的状态、使用范围与运营特性,保证设备运营的完整性”,“DS13-04.设备应该在规定条件下和规定时间内完成规定的功能与任务,保证设备的可用性”,“DS13-05.硬件设备运营的参与人员必须具备较高的专业素质,工作中遵循相应的行为规范”以及“DS13-06.工作人员在使用各项硬件设备时,严格遵循科学的操作规程,工作中注意对硬件设备的保护,禁止恶意损坏设备”。上述三个层级组成了完整的“硬件设备”控制目标体系,若将中观信息系统审计的14个对象都建立相应的控制目标体系,并将其融合为一体,则将会形成完备的中观信息系统审计风险控制的整体目标体系。
四、 数据挖掘技术对中观信息系统审计风险控制的贡献
(一) 数据挖掘技术与中观信息系统审计风险控制的融合分析
中观信息系统是由两个或两个以上微观个体所构成的中观经济主体所属个体的信息资源,在整体核心控制台的统一控制下,以Internet为依托,按照一定的契约规则实施共享的网状结构式的有机系统。与微观信息系统比较,中观信息系统运行复杂,日志数据、用户操作数据、监控数据的数量相对庞杂。因而,面对系统海量的数据信息,IT审计师针对前文所构建的明细控制目标Xi下的审计证据获取工作将面临很多问题,如数据信息的消化与吸收、数据信息的真假难辨等。而数据挖掘可以帮助决策者寻找数据间潜在的知识与规律,并通过关联规则实现对异常、敏感数据的查询、提取、统计与分析,支持决策者在现有的数据信息基础上进行决策[12]。数据挖掘满足了中观信息系统审计的需求,当IT审计师对繁杂的系统数据一筹莫展时,数据挖掘理论中的聚类分析、关联规则等技术却能为中观信息系统审计的方法提供创新之路。笔者认为,将数据挖掘技术应用于前文所述的明细控制目标Xi下审计证据筛选流程的构建是完全可行的。恰当的数据挖掘具体技术,科学的特征字段选取,对敏感与异常数据的精准调取,将会提高中观信息系统审计的效率与效果,进而降低审计风险。
(二) 中观信息系统审计风险控制目标Xi下数据挖掘流程的规划
数据挖掘技术在中观信息系统审计风险控制中的应用思路见图3。
注:数据仓库具体为目标行业特定中观经济主体的信息系统数据库
中观信息系统审计明细控制目标Xi下数据挖掘流程设计具体可分为六个过程:(1)阐明问题与假设。本部分的研究是在一个特定的应用领域中完成的,以“中观信息系统审计风险明细控制目标Xi”为主旨,阐明相关问题、评估“控制目标Xi”所处的挖掘环境、详尽的描述条件假设、合理确定挖掘的目标与成功标准,这些将是实现“控制目标Xi下”挖掘任务的关键。(2)数据收集。图3显示,本过程需要从原始数据、Web记录与日志文件等处作为数据源采集数据信息,采集后,还需要进一步描述数据特征与检验数据质量。所采集数据的特征描述主要包括数据格式、关键字段、数据属性、一致性,所采集数据的质量检验主要考虑是否满足“控制目标Xi”下数据挖掘的需求,数据是否完整,是否存有错误,错误是否普遍等。(3)数据预处理。该过程是在图3的“N.异构数据汇聚数据库”与“U.全局/局部数据仓库”两个模块下完成的。N模块执行了整合异构数据的任务,这是因为N中的异构数据库由不同性质的异构数据组合而成,数据属性、数据一致性彼此间可能存在矛盾,故N模块需要通过数据转换与数据透明访问实现异构数据的共享。U模块承载着实现数据清理、数据集成与数据格式化的功能。“控制目标Xi”下的数据挖掘技术实施前,IT审计师需要事先完成清理与挖掘目标相关程度低的数据,将特征字段中的错误值剔除以及将缺省值补齐,将不同记录的数据合并为新的记录值以及对数据进行语法修改形成适用于挖掘技术的统一格式数据等系列工作。(4)模型建立。在“V.数据挖掘与知识发现”过程中,选择与应用多种不同的挖掘技术,校准挖掘参数,实现最优化挖掘。“控制目标Xi”下的数据挖掘技术可以将分类与聚类分析、关联规则、统计推断、决策树分析、离散点分析、孤立点检测等技术相结合,用多种挖掘技术检查同一个“控制目标Xi”的完成程度[12]。选择挖掘技术后,选取少部分数据对目标挖掘技术的实用性与有效性进行验证,并以此为基础,以参数设计、模型设定、模型描述等方式对U模块数据仓库中的数据开展数据挖掘与进行知识发现。(5)解释模型。此过程在模块“W.模式解释与评价”中完成,中观信息系统审计风险领域专家与数据挖掘工程师需要依据各自的领域知识、数据挖掘成功标准共同解释模块V,审计领域专家从业务角度讨论模型结果,数据挖掘工程师从技术角度验证模型结果。(6)归纳结论。在“Z.挖掘规律与挖掘路径归纳”中,以W模块为基础,整理上述挖掘实施过程,归纳“控制目标Xi”下的挖掘规律,探究“控制目标Xi”下的挖掘流程,整合“控制目标Xi”(i∈1n)的数据挖掘流程体系,并开发原型系统。
(三) 数据挖掘流程应用举例――“访问控制”下挖掘思路的设计
如前所述,中观信息系统审计包括14个对象,其中“网络管理”对象包含“访问管理”等多个方面。结合COBIT框架下“M1.过程监控”与“IT标准-机密性”,“访问管理”可以将“M1-i.用户访问网络必须通过授权,拒绝非授权用户的访问”作为其控制目标之一。“M1-i”数据挖掘的数据来源主要有日志等,本部分截取网络日志对“M1-i”下数据挖掘流程的设计进行举例分析。
假设某中观信息系统在2011年4月20日18时至22时有如下一段日志记录。
(1) “Sep 20 19:23:06 UNIX login[1015]:FAILED LOGIN 3 FROM(null) FOR wanghua”
(2) “Sep 20 19:51:57 UNIX―zhangli[1016]:LOGIN ON Pts/1 BY zhangli FROM 172.161.11.49”
(3) “Sep 20 20:01:19 UNIX login[1017]:FAILED LOGIN 1 FROM(null) FOR wanghua”
(4) “Sep 20 20:17:23 UNIX―wanyu [1018]:LOGIN ON Pts/2 BY wanyu FROM 172.161.11.342”
(5) “Sep 20 21:33:20 UNIX―wanghua [1019]:LOGIN ON Pts/5 BY wanghua FROM 191.34.25.17”
(6) “Sep 20 21:34:39 UNIX su(pam――unix)[1020]:session opened for user root by wanghua (uid=5856)”
… … …
选取上述日志作为数据库,以前文“控制目标Xi”下数据挖掘的6个过程为范本,可以设计“M1-i.用户访问网络必须通过授权,拒绝非授权用户的访问”下的审计证据挖掘流程。该挖掘流程的设计至少包括如下思路:a.选取“授权用户”作为挖掘的“特征字段”,筛选出“非授权用户”的日志数据;b.以a为基础,以“LOGIN ON Pts BY 非授权用户”作为 “特征字段”进行挖掘;c.以a为基础,选取“opened … by …”作为“特征字段”实施挖掘。假如日志库中只有wanghua为非授权用户,则a将会挖出(1)(3)(5)(6),b会挖出(5),c将会挖掘出(6)。通过对(5)与(6)嫌疑日志的分析以及“M1-i”挖掘流程的建立,IT审计师就能够得出被审系统的“访问控制”存在固有风险,且wanghua已经享有了授权用户权限的结论。
参考文献:
[1]王会金,刘国城.COBIT及在中观经济主体信息系统审计的应用[J].审计研究,2009(1):5862.
[2]阳杰,庄明来,陶黎娟.基于COBIT的会计业务流程控制[J].审计与经济研究,2009(2):7886.
[3]张文秀,齐兴利.基于COBIT的信息系统审计框架研究[J].南京审计学院学报,2010(5):2934.
[4]谢羽霄,邱晨旭.基于COBIT的电信企业信息技术内部控制研究[J].电信科学,2009(7):3035.
[5]黄溶冰,王跃堂.商业银行信息化进程中审计风险与控制[J].经济问题探索,2008(2):134137.
[6]金文,张金城.基于COBIT的信息系统控制管理与审计[J].审计研究,2005(4):7579.
[7]陈安,陈宁.数据挖掘技术与应用[M].北京:科学工业出版社,2006.
[8]李也白,唐辉.基于改进的PE-tree的频繁模式挖掘算法[J].计算机应用,2011(1):101104.
[9]邓勇,王汝传.基于网格服务的分布式数据挖掘[J].计算机工程与应用,2010(8):610.
[10]肖伟平,何宏.基于遗传算法的数据挖掘方法及应用[J].湖南科技大学学报,2009(9):8286.
[11]孙强.信息系统审计[M].北京:机械工业出版社,2003.
[12]苏新宁,杨建林.数据挖掘理论与技术[M]. 北京:科学技术出版社,2003.
Risk Control System of MesoInformation System Audit:From the Perspective of COBIT Framework of Date Mining Technology
WANG Huijin
(Nanjing Audit University, Nanjing 211815, China)
【关键词】 网络审计;信息共享;无纸化审计
网络审计作为新兴的审计形式,无论在理论上还是实践上都使传统审计发生了重大变革。网络审计在便利工作、准确高效和节约精力的同时,也面临着很多问题和风险。网络审计的全面推行和实施将是时代的必然。
一、网络审计的优势
随着网络技术在会计和审计信息管理中应用的不断深入,审计信息将提供更加专业化、准确化和智能化的服务,可以解决审计信息的海量存储、智能检索、高度共享等问题,对审计信息管理将产生变革性的影响。它与传统审计相比,除了具有便捷、隐秘、准确高效和多单位联合作业的协调等优势以外,还具有以下方面的优势:
(一)信息资源的充分共享
在实施审计过程中,计算机网络通过数据传输和数据交换网,利用通讯技术将不同地区的计算机连接在一起组成一个有机信息系统,其最大的特点是信息共享性。随着整个世界经济国际化进程的加速,我国企业与世界上不同国家与地区间的贸易来往愈来愈频繁,投资者、债权人及其他相关主体往往分布在世界不同国家与地区。因此,审计信息和审计报告是他们进行理性决策的必要信息资源。在网络环境下,审计信息可以充分共享,这样可以大大提高审计信息的使用效率。
(二)提供智能化服务
网络环境下,审计人员可以充分利用网络所特有的先进电子服务技术,查找跟踪各网络网站的审计数据资料,充分利用Web共享这些数据信息资源。网络审计所提供的智能化服务,是面向客户的智能化服务。同时在遇到难以解决、难以形成定论的问题时,也可以邀请国内外审计专家进行网上会议,共同寻找克服难点的途径,以保证给客户提供最完美、最优质的审计服务。
(三)大幅度降低费用
在网络环境下,审计领域节约的有关交易费用主要表现在以下几个方面:节约了有关搜寻审计信息、审计证据的长话、电传以及审计资料传递的邮递费,所有的一切工作都在网上进行;减轻了审计人员对审计信息的搜寻、整理、等待成本以及与其他单位、个人的联络费用;节约了有关审计人员的人力,减轻了劳动强度,节约了发生在审计工作中的能源、资源包括商品流、信息流、资金流、人员流的消耗。
(四)提供实时审计服务
在网络环境下,审计部门随时对企业进行审查,及时收集掌握被审计单位的最新会计信息和有关经济业务信息,并向有关各方,审计的时效性大大提高。审计从事后审计转变为实时审计,并从静态走向动态。
二、网络审计所面临的问题
(一)网络审计理论研究不足
在我国,网络在企业管理中的推广应用才刚刚开始,较大型的系统还不多。人们对网络财务及其网络审计的认识还较模糊,网络审计理论研究尚处于初级阶段。从发表在各种专业杂志上的有关网络审计方面的论文看,涉及网络审计理论研究的文章并不多,而市场上相关的各种审计软件不断出现,网络审计的理论研究和实践出现了不平衡的局面,网络审计软件将会因为缺乏理论的指导,重复会计软件开发初期时的老路,误入歧途,多走弯路。
(二)网络审计的相关法律和审计准则不完善
在网络时代,社会的信息化加大了社会的不确定性,而法律对规范社会经济的运作、控制社会经济秩序具有不可替代的作用,尤其在网络经济环境下,法律的重要性更为突出。网络审计作为一个维护社会经济秩序并服务于经济领域的中介活动,迫切需要一套符合自身发展规律的法律来规范,建立起一套能规范网络审计的审计准则,作为维护经济秩序的法律屏障。
美、日、英等国都制定了有关计算机审计的审计准则。国际审计准则中,对此也有专门计算机审计的范围、目标、程序、技术及方法。我国的《中国注册会计师独立审计准则》中也有涉及到计算机辅助审计的内容,但针对网络经济时代下日益发展的电子商务系统及随之而出现的一系列新的问题,旧有的审计标准准则体系和法律法规体系已不能完全适应、指导和规范网络经济时代的审计实践。网络本身的虚拟性、实时性、广泛性要求比传统审计更加切实可行、更加完备的标准准则和法律法规的保证。
(三)网络审计软件不完善
目前,我国通用的高水平的审计软件还很缺乏,主要原因是财务软件在设计时大多没有考虑专用的审计软件接口,使得在财务软件中嵌入适时跟踪监控的审计程序难以实现,使审计人员采集数据出现一定困难。我国现有的审计软件大多处于仅满足穿过计算机进行审计的阶段,现场审计和小规模的会计师事务所后期报告的制作几乎还在依赖于手工操作,规模较大的一些会计师事务所开始利用VB,VC开发更为自动化的审计系统软件。
(四)网络审计面临新的审计风险
1. 网络安全的风险。网络安全问题带来的风险不仅表现在被审计企业在审计后发出的报表可能受到恶意攻击,而且还表现在网络本身对外界的高度依赖性,比如,突然断电对电脑的影响和电脑数据的保存、计算机病毒的破坏、人为的毁损等异常情况等,会导致网络审计系统的数据与信息丢失。
2. 审计动态取证的风险。在网络环境下,企业几乎所有的业务信息和财务信息都通过网络传输,业务活动的数据处理都是实时的,审计人员要完成审计取证工作的同时又不能妨碍和终止被审计单位会计信息系统的运作。而在系统运作过程当中,进行取证,本身就难度很大,同时这部分无纸化审计线索的真实性、完整性、可靠性也难以保证,从而加大了审计风险。
3.传统审计线索消失的风险。在传统审计中,审计证据都以纸介质的形式保存,审计线索十分清楚。而在网络审计中,所有的审计证据都存储在磁介质上,这些在磁介质上的信息是机器可读的,肉眼不能识别。存储在磁性介质上的无纸化审计线索存在容易被修改、删改、隐匿、转移,又无明显痕迹。这些都将使审计证据的真实性、完整性和可靠性大打折扣,这势必会加大审计风险。
(五)审计人员计算机知识的缺乏
目前,我国审计人员中,能从事网络审计的人员不论在数量上还是在质量上都有较大差距,审计人员由于不懂网络经营与网络会计的特点,不能识别审查和评价企业的风险与内部控制,难以对复杂的网络会计系统进行正确有效的评价,越来越多的审计工作依赖于不懂审计的计算机专家。这样,审计人员的独立性、客观公正性将会受到威胁。同时,在审计软件的开发上,要求开发人员既有计算机软件的开发能力又有熟练的审计流程知识。因此,我国迫切需要培养一批既懂网络技术又懂审计、会计的复合型人才,各高校应对此引起高度的重视。
三、对策建议
(一)建立网络审计理论体系
网络审计理论的建立不仅是传统审计理论的一大飞跃,而且有利于网络经济的健康发展。当然,理论的形成并不是实践的简单堆砌,而是需要一种理性的思维去引导实践。因此,建立较完善的、全新的网络审计理论体系是非常重要的,审计人员和有关人员应该加强这一领域的研究。
(二)加强网络审计相关的立法和审计准则
网络的出现和广泛应用对传统审计产生了强烈的冲击。旧有的审计标准准则体系和法律法规体系已不能完全适应、指导和规范网络审计的实践。网络本身的虚拟性、实时性、广泛性要求比传统审计更加切实可行、更加完备的标准准则和法律法规的保证。如对网络审计人员的一般要求,网络系统安全可靠性评价标准等。
美国的信息产业部在构建互联网络法律框架时指出,网络立法应涉及9方面:1.身份认证与安全;2.消费者中心;3.内容与商业通信;4.信息基础设施(包括可互操作性和互联网管理);5.知识产权保护;6.司法管辖权;7.责任;8.保护个人数据;9.税赋。总之,我国要建立起适应网络审计发展的良好的法律环境,使得网上交易的法律体系与国际框架基本保持一致。
(三)加快通用的审计软件的开发
为适应会计信息化的发展,提高审计工作的效率,应组织力量加快开发会计信息化环境下的审计软件,包括通用性好、实用性强、涵盖项目管理、审计计划、数据转换、符合性测试、实质性测试、合并会计报表、审计工作底稿制作、会计报告的生成等全程一体化的审计软件。从实际情况和科学性来说,最好选择财务软件公司,它在财务软件制作方面的经验有利于网络审计测试软件的开发。软件开发时应考虑重新生成审计线索,如:财务软件里增加“有痕迹”的修改操作功能,就可重建审计线索,可为审计人员提供可信的证据。
(四)加强网络审计风险控制
为了有效地降低网络审计风险,就必须采取相应的防范和控制措施,具体表现为:
1. 对相关网络系统进行实时跟踪。首先,对被审计单位的网络系统进行评价,并利用专用的对比软件,将存放于数据库不同地址的同一种数据进行自动比较,以形成相应的记录文件,并对有差异的文件数据进行详细审查;其次,对被审计单位的自动检测数据库软件和恢复软件进行审查和评价;最后,要对被审计单位的异常贸易,通过网络进行预警提示,以降低审计风险。
2. 加强对网络系统的安全性和保密性。在网络审计系统中,一方面要满足系统开放性的要求;另一方面又必须保证系统的安全保密性。如何处理好这两个方面的关系,是网络审计信息系统设计成败的关键。由于网络审计系统是建立在Internet环境下的信息系统,其开放性无疑会得到满足,现在困难的是如何保证系统的安全性。目前,从技术上讲有这么一些措施:
(1)物理保护:物理保护主要是针对网络系统的结构与硬件设备所实施的保护措施。(2)防火墙技术:防火墙控制技术是指在审计网络与外部环境之间建立一种隔离“屏障”,它一方面能够保证在CPA审计网络与外部环境(Internet)之间进行通畅的信息交流,另一方面,授权的用户可登录进入CPA网络审计系统,从而保证审计数据的安全性与保密性。(3)反病毒:审计软件可以挂接反病毒软件,如对电子邮件、文件传输FTP、网络面程序,甚至对文档中存在的病毒进行防范和查杀。(4)网络端口保护:通常对CPA审计系统的网络端口的保护可分为单端保护和双端保护,包括主机端保护和用户端保护,包括用户验证和终端验证。
3. 审计人员参与网络财务软件的评审。为了有效地防范审计检查风险和审计控制风险,审计人员应参与网络财务软件的评审。只有对网络财务软件在进入销售市场之前进行事前审计,才能从整体上减轻审计人员的劳动强度,提高审计工作效率,为事中审计和事后审计打下良好基础。
4. 充分利用计算机审计软件进行辅助审计。审计人员在实施审计的过程中,应根据网络“即时互动”的特点,充分利用通用的或专用的计算机审计软件,有效地降低审计风险:(1)利用审计法规合法性与合规性进行全面检查;(2)利用审计专家咨询软件对特定审计事项进行重点会诊,以减少审计误差;(3)利用审计接口软件获取充分、适当的审计证据,减少审计的固有风险和控制风险。
(五)大力培养网络审计人才
拥有大批精通网络、计算机及审计业务的审计人员队伍是网络审计能否得以实施的关键。网络审计已远远超出了计算机和局域网操作的范畴,计算机与网络专家、信息系统与电子商务专家对网络审计参与将是必然趋势。
针对网络审计对人才的挑战,一般可以尝试以下解决方法:1.系统学习审计风险方面的理论知识,掌握新的审计方法。重视从审计立项到审计结论的每一个步骤,并采取相应的风险防范措施,使每一个环节的风险减少到最低程度。2.更新审计监督观念。入世后,审计监督的重点应从有形资产审计转移到无形资产审计,重视管理方面和社会效益的审计,强化高新技术产业的审计,并促使其快速成长。3.树立竞争观念,培养创新意识。知识经济条件下,科学信息化技术对经济的促进作用进一步加强,应提高审计人员对信息经济的认识,树立面向经济的竞争观念。改革教育和培训模式,提高审计人员的素质和业务水平。
【主要参考文献】
[1] 刘剑民,周咏梅. 网络审计发展中的问题与建议[J].财会通讯,2005, ( 5 ).
[2] 王风化,李金克. 网络审计风险的防范[J].
中国管理信息化,2007, ( 3 ).
[3] 文英. 网络经济环境下网络审计的研究[J]. 经济师,2004, ( 3 ).
文章摘要:随着社会主义市场经济制度的逐步完善,注册会计师承担的法律责任日益受到行业内外专业人士的关注,本文通过对注册会计师的法律责任范围、成因的分析,提出防范法律责任发生的具体措施。
注册会计师被称为经济警察,在现经济社会中发挥越来越重要的作用。其电益与风险并存,地位与责任并重,可以说注册会计师从产生的那一刻起,就肩负走了相应的法律责任。为了保护注册会计审计报告使用者的合法权益,强化注册计师的责任意识,我国有关法律规定了沮册会计师所要承担的法律责任。解决好扫册会计师法律责任问题,不仅会影响社审计的质量,决定审计职业社会地位的低,对于我国证券市场健康有序的运行、市场经济的法制建设也将起到不可估量配作用。
一、注册会计师的法律责任范围
我国规范注册会计师法律责任的法律主要有:《刑法》、《公司法》、《证券法》、《注册会计师法》、《中国注册会计师审计准则》等,规定注册会计师的法律责任主要包括行政责任、民事责任、刑事责任三个方面。行政责任主要包括:警告、没收违法所得、罚款、暂停其执行业务、责令停业、吊销执业资格证书等;民事责任主要是赔偿责任,是指注册会计师及会计师事务所违反法律规定,给委托人、其他利害关系人造成损失的,应当依法承担赔偿责任;刑事责任是指:注册会计师发生出具的证明文件有重大失实的,造成严重后果或故意提供虚假证明文件,情节严重等违法行为构成犯罪的,要依法承担刑事责任。
二、注册会计师的法律责任成因
1、会计目标多元化,审计风险增加
改革开放30年来,社会主义市场经济逐步完善,会计主体目标由单一的经管责任向多元化发展,既为经管责任服务,又为经营决策服务,会计处理不得不在这声种要求之间予以平衡,从而增加了对会讨信息解释的可争议性。同时,市场经济斗经管责任的关系人带有很大的不确定性,受托人和委托人之间的经济责任关系也成为具有双向约束力的约定权责关系,这利平等权利,既给了受托方自主处理会计信息的机遇,也增强了委托方要求获得合理保证的会计信息的需求。这就给会计信息的理解冲突埋下了伏笔。
2、会计信息的经济后果性增加了审计法律责任
市场经济条件下,证券市场的存在使得委托方与受托方的关系变得不确定,双方的关系是否建立与解除,在很大程度上要依赖于会计信息的反映内容。因此,会计信息的决策作用变得非常重要。一项小小的错误会计信息,可能会导致整个社会资金几万、几十万,甚至几个亿的错误流向。正是由于会计信息的经济后果性日益突出,一旦产生不应出现的经济后果性,或者鉴定会计信息与使用会计信息的双方对这种经济后果性产生不同看法时,必将带来法律上的冲突。会计信息经济后果性的增大,势必会引起相关的审计法律问题。
3、市场经济主体的平等性,强化了各主体的法律责任
在市场经济条件下,法律已成为调节个人与社会、秩序与自由、权威与服从三大矛盾的准则。法律地位的平等表明了受托方与委托方具有相同的经济权利。当对会计信息的理解发生冲突时,双方不再依据行政权利与级别,而更多的是依据原先制定的“游戏规则”一一法律条文来处理有关的争议。由于权利的保障及法制的完善,使得各方都有了依法自卫的勇气与能力。因此,运用法律手段来调节会计信息处理与理解的冲突,必将成为市场经济环境中最为常见的手段之一。
4、注册会计师的不规范行为最终导致法律责任的承担
由于专业胜任能力、风险意识、责任意识和道德意识的差异,导致注册会计师行业执业水平存在很大的差异,特别是注册会计师在执业过程中风险防范意识问题,以及某些注册会计师为个人谋取私利而不惜挺而走险等问题导致过失与欺诈等违规和犯罪行为的发生,使承担法律责任成为必然。
三、注册会计师法律责任的防范措施
1、严格执行审计准则
判别注册会计师是否有故意欺诈或过 失行为的关键在于注册会计师是否遵照审计准则的要求执业。因此注册会计师应熟练掌握准则的各项规定及其操作办法,严格依据审计准则的要求执行业务,出具报告。遵循“独立、客观、公正”的审计准则规范,不从事不能胜任的委托业务,不对未来事项的实现程度作出保证。
2、不代行委托单位管理决策的职能
注册会计师不得以被审计单位一名管理人员的身份开展工作,不得代行管理决策的职能。注册会计师接受委托从事相关业务,是运用自己专业和经验的优势,指导被审计单位进行会计核算,或向被审计单位提供更为合理、更为科学的建议或方案,对其经营结果进行鉴证,而不是代为行使相关职能。
3、健全会计师事务所质量控制制度
质量管理是会计师事务所各项管理工作的核心。如果质量控制不严,很有可能因某注册会计师提供虚假证明报告而导致整个会计师事务所遭受法律诉讼。因此,会讨一师事务所必须建立严密科学的内部质量控制制度,并切实落实到每个人、每个部门和每项业务上,加强逐级复核力度,以降低执业风险,最大限度地减少和杜绝审计犯罪行为。
4、加强后续教育、提高专业胜任能力
(一)产生基础企业内审由“监督和服务导向型”向“管理导向型”发展需要为更好地配合管理者经营目标的实现,内审应充分分析、估计经营风险,及时提出预防风险的对策建议;做好内控制度的测试和评估,检验关键控制点设置的恰当性以及有效性、完整性,分别予以补设、重建和改进,使得内控制度得以健全并有效运行。由此,在现代内审工作中,企业内审必将由“监督和服务导向型”向内部“管理导向型”发展。
(二)产生间接原因企业面临的风险日益增大减少企业面临的风险是组织实现目标的关键,也是企业的管理人员十分关心的问题,企业经理人员对风险的空前重视,为内审发展提供了一个绝好的机会,内审对风险管理的介入,将会使内审在企业中成为一个重要的角色,并将其在企业中的作用推向一个新水平。
(三)产生直接原因风险控制内审新思维传统内审采用的是从控制一风险一目标被动的风险控制审计模式,使得内审只能对企业存在的控制缺陷做出被动反应,其必然结果就是对发现的控制缺陷提出建议,以不断地增加控制点或者是加强控制,最后就会出现控制点越来越多,越来越烦琐的局面;很可能会造成多余的控制阻碍各项正常程序的运转和效率。课题组调研中发现广西企业普遍存在这样的问题:07年得到确实有效落实的审计意见和建议仅占企业审计项目总数的65%;内部控制的完善和控制点的增加导致运营成本的增加和办事效率的降低,部分审计意见操作起来困难,不符合企业实际情况,部分不断完善的内部控制制度和流程并未得到有力的执行,存在书面与实际操作两种流程,最终导致内审的整改建议过于理想化,执行起来难度较大,致使审计意见很难被落到实处,或者只得到了被审计单位表面上的敷衍,其结果使内审的作用无法充分发挥。风险导向理念下,风险控制内审模式采取的是从企业目标一风险一控制的主动控制内审模式。它首先要确认企业的目标或者是某件事项的目标,然后分析要实现这些目标会生产什么样的风险,以确定审计风险水平和审计重点,安排审计步骤,以此来提出风险防范和控制建议,并通过后续审计来测试风险是否得到有效的防范和控制。实施风险管理最大的挑战正是要变被动反应为主动控制,风险控制内审模式为我们内审工作带来了新思维。只有积极转变我们的工作思路,企业内审各种直接考虑企业实现目标过程中面临的主要问题和风险,使得风险控制与企业目标的实现直接联系起来。这样的风险管理和控制,对公司治理层和管理人员而言才是非常有价值的,审计意见和建议才能得到认可和高度的重视,内审才能成为企业价值链环节中的重要组成部分。
二、风险控制内部审计模式实施的理性思考
(一)企业风险管理的再认识企业风险管理是指企业为了长远发展,达到经营管理的预期目标以及为此而拟定的制度或程序能够得以实现,在企业内部实施的各种制约和调节的组织、计划、方法和程序,其目的在于防止目标的偏离或降低风险管理成本,并把风险控制在风险容量之内,增加企业价值的过程,也是将风险意识转化为全体员工的共同认识和自觉行动。COSO的《企业风险管理框架》描述了企业风险管理定义为:企业风险管理是一个过程,受企业的董事会、管理层和其他人员的影响,应用于企业的战略制定及各个方面,旨在确定影响企业的潜在重大事件,将企业的风险控制在可接受的程度内,从而为实现企业的目标提供合理保证。我们研究认为:该《框架》拓展了企业的内部控制,对企业风险管理这一更宽泛的主题作了更全面的关注,企业可以借鉴该《框架》向更完善的风险管理进程推进;企业风险管理也是一个立体框架模式的组织体系,在这个组织架构中,合规、风险、内控和内部审计成为一个不可分割的整体,共同筑起企业风险管理的三道防线。
(二)企业风险管理框架企业风险管理框架可以解剖为一个基础,三道防线(如图1)。
(1)一个基础:公司治理,公司治理是涉及公司高层人员,它隐含着~家企业如何得到有效的管理,从而使其发挥最佳表现。公司治理是涉及责任的问题,它关系到董事会及管理层如何向股东负责,而使股东能从公司的表现中得益,公司治理是风险管理的一个必要的组成部份,因为它提供了对风险由上而下的监控与管理。如何构建一个有利风险管理的公司治理结构?就是需要建立一个健全的、以董事会为首的公司治理结构;订立企业的目标和战略,包括企业的风险政策和极限;贯彻一套重视风险管理的企业文化和价值观。(2)第一道防线:业务单位防线。企业业务单位管理与控制着企业大部分的资产和业务,它们在日常工作中面对各类的风险,是企业的前线;企业必须把风险管理的手段和内控程序融入到业务单位的工作与流程中,才能建立好防范风险的第一道防线。如何建立第一道防线?了解企业战略目标及可能影响企业达标的风险;识别风险类别;对相关风险作出评估;决定转移、避免或减低风险的策略;设计及实施风险策略的相关内部控制。企业建立的第一道防线,就是要各业务单位就其战略性风险、信贷风险、市场风场和操作风险等等,系统化地进行分析、确认、度量、管理和监控;企业需要把评估风险与内控措施的结果进行记录和存档,对内控措施的有效性不断进行测试和更新。(3)第二道防线:风险管理部门防线。第二道防线是在业务单位之上建立一个更高层次的风险管理功能,它的组成可能包括风险管理部门、信贷审批委员会、投资审批委员会;风险管理部的责任是领导和协调公司内各单位在管理风险方面的工作,它的职责包括:编制规章制度,对各业务单位的风险进行组合管理,度量风险和评估风险的界限,建立风险信息系统和预警系统、确定关键风险指标,负责风险信息披露、沟通、协调员工培训和学习的工作,按风险与回报的分析,为各业务单位分配经济资本金。(4)第三道防线:内审审计防线。第三道防线涉及一个独立于业务单位的部门,监控企业内控和其他企业关心的问题。内部审计在企业风险管理中的职责:一是要对整个系统的管治、风险管理和控制体系进行独立评估,以确保的董事会及管理层所制定的准则、流程及内控得到遵循;二是要担当董事会及高级管理层的顾问角色,提高风险管理系统的运作能力。
(三)企业风险控制与制度基础及内部控制三种内审模式融合新审计模式的产生,并不意味着原有审计模式的淘汰和消亡,而是意味着我们在实施审计时有了更多的审计模式可供选择,尤其是把防范风险的意识贯穿于内审全过程的主导思想,应是十分值得提倡的。如企业责(离)任审计、经营指标真实性审计等主要是采用制度导向内审模式,而一些专项审计则是在制度基础与内部控制内审模式基础上融合了风险控制内审方法。
(四)企业内部审计方法应用与审计环境相适应风险控制审计是一种较为科学的审计新理念,但任何方法都有其独特指向,其运用也均有其必备条件,必须遵照实事求是的原则,视不同的具体对象及审计环境选用不同的审计方法,依不同的审计层次及审计目标选用不同的审计方法。
(五)企业内部审计技术与审计人员素质相配套从当前我区内审人员的素质来看,内审人员的知识水平及业务能力存在参差不齐现象,内审人员的素质、阅历、判断力、偏好等将直接影响审计方法的运用,在企业运用风险控制审计技术与方法时,不仅要求内审人员掌握工程、会计、中间业务等业务知识,而且要求内审人员孰悉管理知识、精通企业业务、具备内审人员独特的敏锐性和判断力。因此,在企业实施风险控制内审应遵循循序渐进原则,审计技术方法选择要与内审人员素质相适应,才能保障我们内部审计质量。
风险控制内审是将企业置于一个大的经济环境中,运用系统理论和战略管理论,采取立体观察的方式来控制企业各种风险因素,从企业所处的行业状况,监管环境,经营目标,战略规划、经营方式、业务流程等内外部各个方面来分析评估企业风险水平,把企业风险水平植入到企业的风险管理中,并贯穿于内审工作的全过程,从而把重点放在控制企业风险水平上。然而,风险控制内审并不排除制度基础审计或者账项基础审计的融合,但是,风险控制内审关注的是企业战略风险并始终为企业所采用的风险管理框架提供合理有效保证,风险控制内审可以让内审和风险管理框架直接联系起来,实现杠杆协同效应。具体表现在企业内审要在企业风险管理的风险环境分析、风险事件识别、风险评估、风险反应和控制、风险信息沟通和管理系统监控环节中发挥重要作用。因此,风险控制内审模式是企业内审发展的必然趋势,代表了企业内审未来的发展方向,开创了中国内审的新纪元。
[本文系广西教育厅2008年科研项目《风险导向内部审计在我区的应用研究》课题(编号:200802MSl83)阶段性研究成果]
参考文献: