审计模型论文(精选9篇)
审计模型论文 篇1
近二十年来,国际和国内发生了许多令人震惊的重大危机事件,如亚洲金融危机、安然事件、美国次贷危机引起的全球经济危机、“银广厦”事件和“中航油”事件等,探究这些危机事件的深层次原因,可以发现有些危机事件是可以事先预防的,加强企业的风险管理非常有必要。同时,这些危机事件不是由单一风险造成的,而是由多个风险多个因素共同作用引起的,是一种组合,全面风险管理理论因而兴起。在全面风险管理理论框架下,对内部审计的地位、职能等提出了新的要求,同时,由于风险导向审计模式的日益普及,对审计风险理论也提出了更高的要求。因此,建立一个既适应全面风险管理模式,又适应风险导向模式的审计风险模型非常有必要。
1 企业风险与传统审计风险
要对内部审计风险进行管理,首先要区分两个概念:企业风险与传统审计风险。
1.1 企业风险
风险的概念有很多,较为通用的概念认为风险是未来结果对期望的偏离。任何原因引起的企业价值可能的减少都可以称为企业风险。由经济学家情报社与安达信公司出版的《商业风险管理:一种整合方法》一书提出了商业风险模型,该模型将企业风险划分为环境风险、流程风险和决策信息风险三大类。这三大类下又划分为77个细分的风险[1]。它囊括了企业面临的主要风险,为企业的风险识别提供了重要的基础。
1.2 传统审计风险
按照传统的定义,审计风险是指被审计单位的财政财务收支存在重大错弊而审计人员没有发现,作出不恰当审计意见的可能性。从这一定义看,审计的业务仍然仅仅局限于关注被审计单位的财政财务收支,审计风险关注的,仍然仅仅是账项基础审计模式下的内部控制风险。这里的内部控制风险,从上述企业风险的分类来看,主要属于流程风险。
2 全面风险管理模式
随着全面风险管理理论在全球的应用,全面风险管理模式也已初步成形。对于全面风险管理的定义,国务院国有资产监督管理委员会2006年6月颁布的《中央企业全面风险管理指引》第四条指出:全面风险管理,指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法[2]。
全面风险管理模式不同于其它风险管理模式,它的主要特点是:
2.1 风险管理的全球化
由美国次贷危机引发的全球经济危机使我们看到各个国家的经济联系日趋紧密,与此相伴的是风险管理的全球化。企业面临的全球化风险,迫切需要建立全球的风险管理体系。以价格风险为例,原材料、原油等物资的国际流动,使这些重要物资的价格波动,均受到国际市场的影响。
2.2 全面的风险管理范围
全面风险管理认为,风险是一种组合,即便是发生可能性最小的风险造成的风险损失可能令企业无法承受,忽略任何一个风险的管理都可能会给企业带来重大损失,因此,需要管理的是企业的所有风险。全面风险管理模式的这一特点,对作为企业风险管理体系的重要组成部分的审计部门所要关注的风险范围提出了新的要求,即不再仅仅局限于内部控制风险,而要扩展到企业的所有风险。
2.3 动态的风险管理过程
全面风险管理是一个动态的过程,从业务部门到风险管理部门、从审计部门到审计委员会、董事会等部门,每一个部门、每一个人都不能置身事外,都承担着相应的风险管理职能,属于企业风险管理不可或缺的组成部分。风险管理渗透于每一工作中,体现于每一制度当中,属于企业文化的重要组成部分。即便是企业的战略、政策也概莫能外。
诚如美国COSO委员会在2004年正式颁布的《企业风险管理——整体框架》中指出的,风险管理是一个动态过程,它由企业的董事会、管理层和其他人员实施,应用于战略制订并贯穿于企业之中,旨在识别可能会影响企业的潜在事项,管理风险以使其在企业的风险容忍度之内,并为企业目标的实现提供合理保证。
2.4 全新的风险管理方法
作为一个新兴的理论,全面风险管理理论吸收了其它学科的先进方法和技术,形成了全新的风险管理方法。它通常采用定量和定性的方法,如在风险计量分析中,既有传统的概率技术如期望值、方差等的分析,又有非概率技术如敏感性分析、压力测试等的分析。这些方法和技术,同样也为内部审计部门管理其风险提供了重要的技术基础。
2.5 全员的风险管理文化
企业文化的核心是共同价值观,体现在企业每个人的行为。国资委在“指引”中更加强调全面风险管理作为企业文化的重要作用。全面风险管理既贯穿于企业的各个部门的全部过程,又与每个人的行动息息相关。良好的全面风险管理文化,是全面风险管理得以实施的催化剂,是有效防范风险的保证。
3 全面风险管理模式下对内部审计的要求
全面风险管理模式的发展,对内部审计的地位、风险、责任等也提出了诸多要求,这些要求使内部审计风险管理理论也需要发生相应改变。
3.1 全面风险管理模式下内部审计的地位
国资委在《中央企业全面风险管理指引》第十条中明确指出:各有关职能部门和业务单位为第一道防线,风险管理职能部门和董事会下设的风险管理委员会为第二道防线,内部审计部门和董事会下设的审计委员会为第三道防线。这就明确了内部审计在企业风险管理体系中的地位,决定了内部审计的职能、作用等方面的根本内容。
3.2 全面风险管理模式下内部审计风险范围的变化
按照这一“指引”,业务部门和风险管理部门等部门开展风险管理活动,对企业的所有风险进行分类识别、评估、监控和采取相应对策。如果内部审计部门仍局限于关注控制风险,将无法对业务部门和风险管理部门等单位的风险管理活动进行有效的监督控制,很难发挥“第三道防线”的作用。因此,必然要求内部审计部门的审计风险范围要与业务部门和风险管理部门等单位所管理的风险范围相一致,即由仅关注控制风险扩大到被审计单位的所有风险。
3.3 全面风险管理模式下内部审计职能的改变
“第三道防线”又明确了内部审计在风险管理过程中的“高端防线”的作用,它的职能在于监督第一道防线和第二道防线,评价公司内部控制和风险管理框架的有效性,包括监督公司财务报告的完整性、确保财务信息公允、透明和真实等重要内容。有“权”必有“责”,内部审计职能的改变也相应使内部审计的责任发生了改变。这些责任的改变,相应承担的审计风险也发生了改变。
4 全面风险管理模式下的内部审计审计风险模型
全面风险管理模式下,对内部审计的审计风险管理理论提出了新的要求,原有审计风险模型已不能适应新形势的需要,必然呼唤新的内部审计审计风险模型的出现。
4.1 传统的审计风险模型
20世纪70年代,美国公共会计师协会第49号令把审计风险划分为三个方面的风险,即审计风险=固有风险×控制风险×检查风险。
这一传统审计风险模型为内部审计界所广泛采用,其中审计风险是指被审计单位的财政财务收支存在重大错弊而审计人员没有发现,作出不恰当审计意见的可能性。固有风险是假设在没有内部控制的情况下,被审计单位的业务和会计处理发生错误的可能性。控制风险是指被审计单位的业务和相应的会计处理发生差错不能被内部控制防止或纠正的可能性。检查风险是指审计人员进行实质性测试不能发现被审计单位存在的差错的可能性[3]。
从这一传统审计风险模型可以看出,审计风险的范围仅仅局限于内部控制风险,已不能满足全面风险管理的需要。
4.2 审计风险模型的新发展
2002年底,由国际审计和保证准则委员会及美国审计准则委员会联合成立的“风险分析联合项目组”修改了相关审计准则,将传统审计风险模型中的固有风险和控制风险合并,统称为财务报表重大错报风险,然后以财务报表重大错报风险的评估为基础进行审计,即审计风险模型=财务报表重大错报风险×检查风险。
该模型扩大了审计风险的范围,审计人员不再只仅仅关注内部控制风险,被审计单位的战略风险、经营风险等宏观和微观的风险都要纳入审计风险的范围进行管理,从而为社会审计机构审计风险的管理提供了新的方向。
但是,该审计风险模型关注的主要是与财务报表有关的审计风险,主要是从外部审计的角度来进行考虑,侧重于事后审计。而内部审计由于其内部性,是作为公司治理工具和企业内部管理手段而存在,与社会审计有所不同,在应用这一审计风险模型时也会有所不同。如内部审计人员不仅仅关注的是与财务报表有关的财政财务收支活动,还关注绩效审计、经济责任审计等方面。因此,内部审计所关注的经营活动的范围比社会审计关注的业务范围要大,风险范围也比该审计风险模型的风险范围要大。内部审计的作用,不仅仅在于对审计过程本身的风险管理,还在于它是本单位风险管理活动的“第三道防线”,需要对本单位的日常经营活动进行持续不断的监督和管理,而不仅仅侧重于事后审计。内部审计采用这个以社会审计为主的审计风险模型,很难对内部审计机构的审计风险进行有效的具体管理。
4.3 全面风险管理模式下的内部审计审计风险模型
从全面风险管理模式的重要特征来看,全面风险管理管理的是企业的所有风险,内部审计的审计风险范围也相应扩大为企业的所有风险,因此,可将传统审计风险模型做出如下修改:
审计风险=企业总体风险中重大错报风险×检查风险
其中,总体风险中重大错报风险是指由于业务部门和风险管理部门等单位在全面风险管理过程中没有发现重大错报或漏报风险的可能性;检查风险是指内部审计部门实施了必要的检查程序,但没有发现总体风险中重大错报风险的可能性。
按照国资委的“指引”要求,业务部门和风险管理等部门开展风险管理活动,对企业的总体风险进行分类识别、评估、监控和采取相应对策,因此,如果内部审计部门仍局限于控制风险或财务报表重大错报风险,是无法对业务部门和风险管理部门等单位的风险管理活动进行有效的监督控制,很难发挥“第三道防线”的作用,必然要求内部审计部门的审计风险范围要与业务部门和风险管理部门等单位所管理的风险范围相一致,即由控制风险或财务报表重大错报风险扩大到被审计单位的总体风险。而“第三道防线”又明确了内部审计在风险管理过程中的管理审计风险的范围和应承担的审计风险,即只关注的是业务部门和风险管理等部门在风险管理过程中存在重大错报和漏报风险的可能性(即总体风险中重大错报风险)和实施了正常的审计程序后没有发现这种重大错报和漏报风险的可能性(即检查风险)。
该内部审计审计风险模型既能适应风险导向审计模式的需要,也能适应被审计单位全面风险管理的需要,主要表现在以下两个方面:
一是符合全面风险管理理念。在被审计单位的全面风险管理过程中,全面风险管理要求被审计单位关注所有的风险。内部审计部门作为全面风险管理体系当中的重要组成部分而存在,因此也要求内部审计部门关注被审计单位的所有风险,内部审计新审计风险模型的总体风险同时也是全面风险管理活动的对象。需要指出的是,全面风险管理体系包括了对全面风险管理的方法和技术,这些管理企业总体风险的方法和技术被风险管理部门所采用,同样也为新审计风险模型的应用提供了重要的技术基础。因此,被审计单位建立和完善全面风险管理体系是新内部审计审计风险模型在被审计单位内部审计部门应用的前提。
二是符合风险导向审计模式的需要。风险导向审计代表着审计模式发展的方向,它是以审计风险为导向,通过对审计风险的全面控制来实现审计目的的一种审计模式。在这一审计模式下,审计风险范围也逐步从内部控制风险扩大到企业总体风险。无论是对被审计单位风险的关注,还是对审计部门自身审计风险的关注,这二者风险的结合就是要关注被审计单位的所有风险。而被审计单位的风险主要源于被审计单位的业务活动,审计部门自身的审计风险也源于被审计单位的业务活动,两者的来源是共同的。将审计部门的审计风险与被审计单位的总体风险孤立起来考虑,使内部审计人员更多的是关注自身内部审计部门的审计风险而非被审计单位的整体风险管理,并不利于被审计单位的总体风险管理目标的实现。只有将两者结合,才能使对审计风险的管理,不仅仅局限于内部审计部门自身业务的管理,而是融入到被审计单位的全面风险管理活动当中。
参考文献
[1]叶陈刚,郑君彦等著.企业风险评估与控制[M].北京:机械工业出版社,2009.
[2]杜杰.风险管理智慧——企业风险管理实务[M].北京:机械工业出版社,2008.
[3]中国医院管理协会,国家审计署.最新医院审计科管理规章制度与审计工作全程操作实务全书[M].北京:中国卫生科技出版社,2007.
审计模型论文 篇2
非现场审计及审计模型在人民银行内审转型深
化时代的搭建与作用
随着人民银行内审转型规划的全面推进,人民银行内审工作也步入了总结转型经验、放眼未来的“转型深化时代”,以信息化技术为手段的非现场审计得到了应有的重视与应用。2013年,人民银行总行上线了审计辅助系统,但受人员、技术、思想、认识等因素所限,审计模型的搭建与应用成为目前非现场审计面临的主要挑战。非现场审计是指建立在现代信息处理和传递方式基础上,通过连续地搜集被审对象的各种数据和资料,依据预定的程序和方法来分析、评价和监测被审对象的现状及发展趋势的一种审计方法,与现场审计相比,非现场审计具有全面性、时效性以及成本低、效率高和规范性强等诸多优势。其作用主要体现在:加大了审计覆盖面,提升了审计的精度;降低了审计成本,提高了审计质量和效率;合理配置了资源,实现了审计前移的历史性跨越;提供了增值作用,深化了审计服务职能。审计的增值服务职能是现代审计重要价值的体现,通过非现场审计,一方面可以利用计算机辅助技术,全面导出部分异常数据,提供给被审计对象,从而能及时化解风险,防止事态的进一步发展,提高了被审计对象的风险防范和内部管理水平;另一方面也可以利用占有业务数据资料、持续监测业务动态及掌握分析方法的优势,对有关业务和领域进行专题分析,为相关决策提供依据和支持。
1非现场审计模型搭建的关键因素
作为非现场审计核心的非现场审计模型是指通过建立审计数据分析模型,将科学的分析技术和审计人员的宝贵经验固化到系统中,为非现场审计提供核心技术与作业标准,并在全系统范围内共享,从而有效统一作业标准,切实保证审计质量。非现场审计模型最主要的优势就是能从海量的数据中,通过数据分析、数据挖掘等技术,发现可疑数据,从而确定审计重点。它不仅解决了数据核对、分类加总的计算等基本问题,还可以通过使用多种分析方法,来考察数据之问的内在关系和变动规律,从而发现那些隐藏较深的问题。笔者认为以下三方面是最关键的因素:
(一)思路为灵魂。非现场模型的搭建首先靠的是思路,只有审计人员在日常的工作、业务学习过程中不断思考、总结、分析,才能提炼出业务的风险点,创造出有意义的模型。
(二)技术是手段。非现场模型的搭建离不开技术的支持,只有将审计人员好的点子、好的思想,通过技术手段转化为非现场模型,并能让审计人员使用起来,才能转变为真正的生产力。
(三)数据乃基础。全面、完整、质量可靠的数据是非现场模型搭建的基础,没有这些数据的支持,再好的想法,也不可能转化为非现场模型。目前人民银行内部审计的数据来源主要是业务系统的交易数据、非现场收集到的各种管理数据以及外部获取的数据等。
2非现场审计模型的主要获取途径
非现场审计模型的获取有诸多途径,简言之,主要有:
(一)与开发公司保持良好的合作关系。审计系统软件开发公司长期从事着审计系统的研发,专业性比较强;同时,由于其不断在实施不同金融机构的项目,接触到了不同金融机构的审计文化理念、不同的审计模型思路,能产生一定的聚合效应。
(二)循序渐进搭建审计平台。首先可通过建立各类数据接口标准或利用并行模拟法、嵌入审计程序法等并行审计技术采集审计证据;其次可采用联机分析处理(on-line analytical processing , OLAP)以及数据挖掘(data mining)等技术,选择业务管理部门的部门级数据开展数据分析,实现部门级非现场审计模型的初步构建;最终是建立内审部门的专用数据集市,搭建灵活、可靠的底层数据加载平台、加载全行部分常用的、核心的生产和交易数据,集中存储固化审计模型。
(三)加强银行业同业的交流学习。在非现场审计方面,人民银行应当加强与各商业银行的同业交流,通过吸收其成功、先进的思路与经验,有效开拓自我的思想,激发非现场审计的思路。
(四)打造非现场审计文化。建立正向激励机制:一是设立“金点子”计划,定期进行评审,鼓励先进;二是将模型的研发搭建加入相关行员考核机制,设立考核分数值,并与相关员工的绩效、先进评比等挂钩;三是营造文化氛围,鼓励员工多思考,并开展培训,让每位审计人员充分认识到非现场对项目和自身带来的好处和作用。
(五)在现场审计中互相交融日臻完善。非现场审计模型的应用不是仅局限于非现场,而是贯穿于整个审计项目的全过程一方面由于审计人员在使用非现场审计模型过程中,可能会发现审计模型存在的问题,通过调整,可以使非现场模型得到完善;另一方面可利用对具体业务熟悉的程度,提供一些模型的思路供相关人员论证开发。
3非现场审计模型的搭建实例及应用成效
(一)模型搭建实例以某省人民银行中心支行开展的外汇管理专项审计为例,我们对外汇局的外汇登记、验资询证、资本金账户管理以及外债管理等4类具体业务搭建了非现场审计模型,取得了较好效果。
(二)实际应用成效非现场审计模型并非只适用于非现场审计,实践表明,其在日常监测以及审计项目的实施全过程都有着具体的使用价值。1.日常监测。对一些比较重大的疑点,利用非现场审计模型定期、不定期发现存在的可疑数据,然后根据审计人员分析的结果,向被监测对象下发非现场监测意见书、风险提示书等,从而及早揭示风险。如国库业务中退库金额大于缴库金额、有退库无缴库、重复频繁退库等审计模型;货币发行业务中的违规出库等审计模型。均可利用非现场审计模型向被监测对象下发非现场监测意见书、风险提示书等,及早揭示风险。2.现场审计。(1)审前。可利用非现场审计模型批量导出异常数据,并与其业务进行比较,从而对被审计单位的风险控制情况有比较好的把握。如对A市中支开展的国库会计核算业务及系统运行管理情况专项审计,审计组审前在350多万条记录中进行数据挖掘,成功提取了2602条审计线索;对B,C市中支开展的外汇管理专项审计,根据外债账户管理审计模型筛选出B市外债账户入账金额大于核准限额的疑点记录。根据结汇资金可疑流向审计模型,提取了C市中心支局10万美元以上的用途为担保、保证或支付土地款的资本金结汇数据,作为疑点带入现场逐一重点核实。(2)审中。可利用非现场模型结合数据分析工具,提高审计人员的效率。如对A市中支开展的科技综合管理专项审计中,提取了审计日被审计单位主机房环境监控系统数据库(Microsoft SQL Server)的备份文件并在审计组PC机上恢复还原,利用SQL语句对数据库中相关机房门禁进出管理、故障报警等重点关注的数据表进行查询筛选,并比对机房进出、设施维护登记簿,查证了事实;在对D县支行开展的履职审计中,利用SQL脚本构建的国库TCB}系统操作日志分析模型,发现编外用工办理国库清算业务以及少数人员同时拥有两个均为可用状态的操作代码等问题,并通过对财务管理系统前台导出的序时财务账进行筛选分析,发现了库存现金偏大、大量采用现金结算方式以及年末硬性调账等问题。(3)审后。可利用非现场审计模型导出的异常数据,通过统计、分析,利用数据进行分析。一是可揭露出被检查对象管理上存在的一些问题,提出合理建议。如财务管理中的人员经费挤占公用经费或行政事业类支出、ABS,TCBS系统业务员超时未签退等;二是通过非现场模型导出相关数据给被审计对象,有利于被审计对象的风险把控。如通过国库TCBS系统操作日志分析模型的筛选、汇总,发现财政支拨资金由于户名、账号、金额错误等原因,导致集中支付资金清算退回业务量较大(占集中支付资金清算业务的21%),耗费了不少的人工来处理,同时也给集中支付代理行不及时退回占压甚至挪用财政资金带来可能等问题。3.非现场专项审计。
依托非现场专项模型,通过对业务运行过程中普遍性、倾向性的问题及风险点开展非现场专项审计,及早发现问题、提出处理意见和建议,促进风险的化解。如人民银行总行依托非现场专项模型,对分支机构开展的货币发行业务非现场专项审计,从货币金银系统数据库中的4百张表、近1500万条记录中,发现了604条线索,充分发挥了审计监督的建设性作用。
4解决人民银行非现场审计问题的对策
目前人民银行系统内对于开展非现场审计尚无系统性研究成果,非现场审计环境有待改善,现有的非现场审计方法尚未整合优化。主要存在认识不到位;人员严重不足;水平相对落后;培训交流较少;工作机制尚未完善等问题。笔者认为,应从以下几个方面加以完善人民银行非现场必须加大对有色金属产业主导企业扶持,重点扶持赣州稀土集团和五矿集团两家稀土企业,通过财政、税收等政策推动稀土主导企业开展并购,为主导企业的并购在资金、信息沟通、克服制度壁垒、法律咨询服务上提供支持。
(一)提倡整合企业进行异质化竞争鼓励、引导赣州稀土集团与五矿集团充分发挥各自优势,在进行兼并重组的过程中开展异质竞争,如赣州稀土集团应该充分利用其资源优势,而五矿集团则依托其技术优势,在不同的层面进行重组。
审计模型论文 篇3
【关键词】工程结算争议;和解;合同条款
1.引言
目前工程结算争议的焦点内容主要为无效合同结算争议与价差的争议。国内的工程结算争议解决主要依靠四种方法,分别为和解、调解、仲裁、诉讼。国内文献中解决争议问题的途径与合同法司法解释的思路相似,即针对争议问题,探讨其与法律及合同条款的契合度,判断其申诉的合理性,进而解决该争议。如常晓晨、孙红[1]贺敬然(2011)[2]提到依据合同解决争议;姜兴利、管国海(2009)[3],吕汉林(2009)[4]提到依据现场签证解决争议;余湖云(2007)[5]提出依据仲裁机构解决争议;本文基于具体争议处理的实践案例研究基础上,提出争议和谈模型,旨在提高结算争议处理效率和质量。
2.工程结算争议和谈模型
2.1结算争议产生的原因
施工单位及建设单位之间所存在的结算争议,主要体现为三方面:一是有劳未有酬;二是有亏未能补;三是已签认的工程量需重新确认。
2.2结算争议和谈模型
工程结算争议解决过程中需时刻关注三点:一,合同是争议谈判的基础,要时刻关注合同条款中定价、调价、结算条款;二,现场照片、图纸、签证是佐证,现场照片反映施工单位真实施工情况,图纸则反映施工单位是否按图施工,签证则是建设单位、监理单位、施工单位对该部分施工工程量的确认;三,与合同相关的法律法规及其他相关规定的基本处理原则,施工合同时间跨度较大,施工过程中法律法规及其他相关规定可能进行修订,或相关政府部门提出新的管理要求。
其次,运用上述三条变换思维,寻找结算争议解决的切入点:
转化思路一,合同条款与法律法规的转换思想。具体思路为:依据合同法的防止违约方因违约而获利原则,也即“逾期交付标的物的,遇价格上涨时,按照原价格执行;价格下降时,按照新价格执行”[6],工程施工中标的物经检验合格的分部分项工程,出现工期延误相当于逾期交付标的物的,价格上涨引起的价差调整可基于工期延误责任界定及合同条款相关约定协商解决争议。
转化思路二,变更、签证与新增合同外工程的转化思想。如某施工合同规定“设计变更和现场签证累计总价不超过合同固定总价的±2%(含2%),不对总价进行调整;超出±2%,其超出(或减少)部分的变更费用按超出(或减少)部分的设计变更工程量×投标书中的综合单价(或类似综合单价、类似价格水平的综合单价、或发包人认可的承包人在投标书中承诺的调整方式)计算,用超出±2%部分对合同总价进行增减”,此时施工单位往往会把变更和签证细分,将业主清单内容漏项或后期施工范围变化所引起的变更作新增合同外工程处理,以争取变更累计不超过合同固定总价2%时的变更结算,针对此问题,建设单位可根据招标文件及合同条款进一步沟通明确变更、签证、合同外新增工程的范围,对施工单位上报的结算金额进行性质区分,如此将降低结算争议金额比例。
转化思路三,现场施工照片、施工/监理日志与签证转化思想。国有企业一般按结算金额授权设置多轮结算审核,涉及财政资金的变更和结算更需经相关政府部门审批,在此情况下,经现场多方确认的签证很有可能不能作为办理结算的依据,为避免因此引起的结算争议,建设单位和施工单位应本着实事求是的态度做好现场施工拍照、日志记录等工作,并将照片及日志作为签证附件作为支持资料。
3.案例研究
3.1合同条款与法律法规相转换的结算争议案例
某工厂钢结构施工,钢材材料价合同报价3402万元,因建设单位资金问题导致工程停工,一年后复工时钢材价格已上涨528万元,而对应的合同条款为“当人工费、材料费或其他政策及事务性方面的费用发生变化时,合同总价不进行调整”。施工单位提出建设单位原因引起工期延误,造成施工当期钢材价格较合同当期存在价差,根据合同法的原则可认定建设单位因违约而获利,不当得利金额为528万元。
在上述结算争议处理中建设单位多次协商,最终双方经过艰难谈判,协定如下:合同未允许对钢材进行调差,故因建设单位原因导致工期延误而引起钢材价差的相关费用不予增补;根据合同约定机械费及措施费可调、误工费可补,建设单位同意调整机械费价差,并增补相应措施费和误工费,共计增补费用约233万元。
3.2变更、签证与新增合同外工程相转换的结算争议案例
某铁路施工合同金额为2000万元,其中万元以上的签证变更共计55万元。施工单位将上述签证变更进行细分,将55万元细分为签证变更25万元和合同外新增工程30万元,具体如下表所示:
施工单位认为,依据合同条款“设计變更累计总价不超过合同固定总价的±2%(含2%),不对总价进行调整;超出±2%,其超出(或减少)部分的变更费用按超出(或减少)部分的设计变更工程量×投标书中的综合单价(或类似综合单价、类似价格水平的综合单价、或发包人认可的承包人在投标书中承诺的调整方式)计算,用超出±2%部分对合同总价进行增减”,签证变更25万元不予计取,但合同外新增工程30万元不适用于该条款,即工程结算金额2030万元。
对此,建设单位转换思路,根据合同约定区分变更、签证、合同外新增工程的范围,并对施工单位上报的变更进行性质区分,发现施工单位将已体现在招标图但合同清单漏项的灯塔系统电缆列入合同外新增工程,而根据招标文件规定“投标人应根据招标图对招标清单进行投标报价,对招标图中有但招标清单没有的开项应予以补列并报价,投标人应对投标报价的完整性及准确性负责”可知,该变更不属于合同外新增工程,应按变更处理。
最终,万元以上的签证变更55万元工分离出合同外新增15万元,签证变更40万元。工程结算金额为2015万元。
4.结论
本文以国企审计为视角,主要探讨解决结算争议的四类方法中的和解方法,并采用转化思维的方法回避矛盾焦点,为建设单位寻找新的争议立足点,有效的解决了双方的争议。
参考文献
[1]常晓晨.孙红.化解工程结算纠纷之道[J].中国石油企业,2003,10:41
[2]贺敬然.关于工程竣工结算问题的几点思考[J].经济视角,2011(6):17-19.
[3]姜兴利,管国海.工程建设价款结算[J].建筑市场,2009:46-47.
[4]吕汉林.加强工程价款结算满足工程建设需要[J]冶金才会,2009(7):27.
[5]余湖云.解决建设工程经济纠纷的捷径[J].建材与装饰,2007.
审计模型论文 篇4
审计风险是指被审计单位财务报表存在重大错报而审计人员出具不恰当审计意见和结论的可能性。
由于审计风险取决于重大错报风险和检查 风险两个 要素,所以审计 风险模型就由这两个要素构成,表示为 :AR=RMM×DR, 其中,AR是审计风险 ;RMM是重大错报风险 ;DR是检查风险。
2 审计风险模型构成要素分析
2.1 审计风险构成要素的关系
审计风险构成要素包括重大错报风险和检查风险,其中重大错报风险是指被审计单位的财务报表在审计前存在重大错报的可能性,这是被审计单位所承担的风险 ;检查风险是指某一认定存在重大错报,但审计人员未能发现这种错报的可能性,这是审计人员所承担的风险。
在既定的审计风险水平下,认定层次的重大错报风险与可接受的检查风险成反向变动关系。即评估的重大错报风险越高,可接受的检查风险越低 ;评估的重大错报风险越低,可接受的检查风险越高。即当公式表达为 :AR=RMM×DR的总值一定时 , 其中, RMM(重大错报风险)越高,DR(可接受的检查风险)越低。
2.2 为什么会是这样的反向变动关系
首先,从两个构成要素的定义来看,在审计前被审计单位存在重大错报的可能性越大,就说明被审计单位错报得越严重,即重大错报风险越高,所以对审计人员测试的要求就越高,即要充分发现被审计单位的各种重大错报,以使自身承担的风险,即可接受的检查风险尽量降低。所以二者存在反向变动关系。反之,如果重大错报风险越低,就意味着被审计单位存在重大错报的可能性不大,或错报得不是很严重,那么就不会对审计人员的测试提出过高要求,或是可以适当忽略一些非重大的错报,那么审计人员自身所承担的风险即可接受的检查风险就可以适当提高。所以二者仍存在反向变动关系。
其次,从审计风险模型要素与相关概念的关系来看
2.2.1 重大错报风险与审计重要性是反向变动关系
一方面,重大错报发生的可能性越大,错报造成的影响就越大,因为是重大错报,已经以重要性水平高为前提,所以有些人不免认为重大错报风险与审计重要性是同向的 ;但是另一方面,正因为发生的是重大错报,审计人员认为被审计单位的问题严重,所以本着谨慎性原则,审计人员要把审计重要性水平设定为低值,这样的话才能扩大审计测试的范围,更多地查找问题,以使更多的错报都被测试出来。按照前面对审计重要性与审计风险的关系分析,表面上是使审计风险加大了。但实际上潜在的更多的审计风险则会被避免。所以我们更加认定的是后者,即重大错报风险与审计重要性是反向变动关系。
2.2.2 重大错报风险与审计证据是同向变动关系
重大错报风险与审计证据的关系可以借助审计重要性和审计证据的关系,如前所述,审计重要性与审计证据之间是反向变动关系,因为重要性水平设定为低值时就要加大审计测试的范围和程度,所以就需要通过更多的审计程序获取更多的审计证据支持。而审计重要性与重大错报风险我们认定也是反向变动关系,从而推导出重大错报风险与审计证据是同向变动关系,即重大错报风险越大,就需要更多的审计证据支持。
综上可以结合审计风险与审计重要性及与审计证据的关系可以推断出审计风险与重大错报风险是同向变动的。
2.2.3 检查风险与审计重要性是同向变动关系
关于检查风险与审计重要性的关系,可以通过审计风险与审计重要性的关系进行探讨。因为审计重要性与审计风险是反向变动关系,即审计重要性水平设定为低值时,就会加大审计人员测试的范围和难度,所以审计人员出具不恰当审计意见的可能性就越大,进而承担的审计风险也大。但是不能以此就判定检查风险与审计重要性也是反向变动的。因为在审计模型里,检查风险是指可接受的检查风险,而不是表面呈现的检查风险。那就意味着审计重要性水平设为低值时,就要求审计人员进行更全面详细的检查,以使其能充分发现被审计单位的重大错报。所以在此前提下,容许审计人员疏漏的情况是很少的,那么可接受的检查风险也应该是低值,即检查风险与审计重要性是同向变动关系。
2.2.4 检查风险与审计证据是反向变动关系
因为一方面,审计重要性与审计证据之间是反向变动的关系,即审计重要性水平设置为低值时,就会扩大审计范围,也就需要更多的收集审计证据 ;另一方面,检查风险与审计重要性是同向变动关系,重要性水平越低,可接受的检查风险也应该是低值。所以可以推导出检查风险与审计证据是反向变动关系,也就是当可接受的检查风险较低时,就需要更全面深入地测试出被审计单位的错报漏报,也就需要更多地收集审计证据予以支持。
综上可以结合审计风险与审计重要性及与审计证据的关系,可以推断出审计风险与可接受的检查风险是反向变动关系。
2.2.5 分要素认定审计风险与审计重要性的关系
通过以上对审计风险构成要素的分析,可以判定审计风险中的重大错报风险与审计重要性是反向变动的关系,而其中的检查风险与审计重要性是同向变动关系,所以通过审计风险模型的构成 :审计风险 = 重大错报风险×检查风险,可以判断乘积关系得出的审计风险与审计重要性是反向变动关系。这也是与前面对两个概念的关系表述一致的。
2.2.6 分要素认定审计风险与审计证据的关系
同样,通过以上分析,可以得出审计风险模型中的重大错报风险与审计证据之间是同向变动关系,而可接受的检查风险与审计证据是反向变动关系。那么由审计风险模型的乘积关系一般可能得出审计风险与审计证据也是反向变动关系。这是与之前对这两个概念的关系表述不一致的。那么问题首先反映在检查风险上。风险模型中的检查风险只是审计人员表面承担的风险,那么此检查风险就与审计证据是同向变动关系,而保证最后得出的审计风险也是与审计证据同向变动的。但是审计学原理的审计风险模型的检查风险是指可接受的检查风险,它与审计证据是反向变动的。那么问题的解决是否可以通过审计风险模型的要素构成关系式来解释呢?
摘要:本文结合审计重要性和审计证据对审计风险模型进行了分析,提出了审计风险模型的要素与相关概念的关系,以及风险模型成立的基础。目的在于加强对审计学原理主要概念尤其是审计风险模型的理解和应用。
审计模型论文 篇5
缺陷一:理论中, 内部控制是否得到执行是进行控制测试的前提条件, 但是实务之中不可能凭借被审计单位人员口头表述就认可内部控制是否得到执, 而是把内部控制是否得到执行和控制测试作为一个步骤同时来完成的, 在了解内部控制是否得到执行的同时进行了控制测试。因此, 内部控制是否得到执行和控制测试几乎是同时进行的审计程序。
缺陷二:理论中, 了解内部控制和控制测试分为内部控制是否存在、设计是否合理、是否得到执行、执行的有效性共四个方面, 由于层次较多, 在审计过程中, 注册会计师基本没有进行有效的量化, 更多的是凭借执业经验进行职业判断, 基于此, 了解和测试的结果具有主观性。因此, 有必要对内部控制的四个方面进行有效的重新组合。
二、内部控制审计的二维模型分析
(一) 内部控制完善程度的二维模型分析
内部控制完善程度包括内部控制是否存在 (存在多少) 、内部控制设计是否合理, 根据二维组合分析 (见图1) 。
内部控制是否存在的衡量标准:与企业财务系统相对应的一些列内部控制, 均应设置相应的内部控制制度, 已经设置的内部控制制度和应该设置的内部控制制度相比, 即可知内部控制存在数量的多少。
内部控制设计是否合理的衡量标准:看内部控制的设计结构是否可以达到牵制管理的作用, 如果可以, 那么认为合理, 合理的内部控制制度与所有内部控制制度相比, 即可知内部控制设计整体是否合理。
(二) 内部控制执行力度的二维模型分析
内部控制执行力度包括内部控制是否得到执行、内部控制执行的有效性, 根据二维组合分析可以分为如下组合 (见下页图2) 。
内部控制是否得到执行的衡量标准:在实践中运用了的内部控制制度与所有设计合理的内部控制制度相比, 即可知内部控制得到执行的多少。
内部控制执行有效性的衡量标准:即审计实务中通常进行的控制测试。
(三) 内部控制审计的二维模型分析
通过重新组合, 内控是否存在、内控设计是否合理, 都体现了内控的完善与否, 因此整合划分为内控完善程度。而内控是否得到执行、内控执行的有效性, 都体现了内控执行力度的大小, 因此整合为内控执行力度。重新划分的维度分为了内部控制完善程度和内部控制执行力度, 每一个维度必然有不同的水平, 根据上述分析将其设置为三个水平:高、中、低。一共有9个二维组合 (见图3) 。
1. 贫乏型。
内控完善程度低、内控执行力度低, 这种内控的整体可信赖程度很低, 可以称之为贫乏型。
2. 完善偏执型。
内控完善程度中、内控执行力度低, 偏执于内控制度建设, 这种内控在完善程度上可能下了一定功夫, 但是在执行上仍然非常不到位, 可以称之为完善偏执型。
3. 执行偏执型。
内部控制完善程度低、内部控制执行力度中, 偏执于内部控制执行, 这种内部控制制度虽然不十分完善, 但是对于已有的内部控制执行良好, 可以称之为执行偏执型。
4. 极端完善偏执型。
内部控制完善程度高、内部控制执行力度低, 极端偏执于内部控制完善程度, 这种内部控制制度看起来设置了大量完美的制度政策, 实际上基本上没有得到执行, 或者仅得到了较差的执行, 可以称之为极端完善偏执型。
5. 极端执行偏执型。
内部控制完善程度低、内部控制执行力度高, 极端偏执于内部控制执行力度, 这种内部控制制度看起来执行力度非常大, 但仅仅是对已有的部分政策执行到位, 而对于尚未完善的其他很多应该具有的内部控制制度却没有有效把控, 可以称之为极端执行偏执型。
6. 中度平衡型。
内部控制完善程度中、内部控制执行力度中, 内部控制完善程度和执行力度比较均衡, 可以称之为中度平衡型。
7. 执行微瑕型。
内部控制完善程度高、内部控制执行力度中, 这种内部控制制度除了执行力度方面中等外, 完善程度很高, 因此接近于内部控制完美的程度, 可以称之为执行微瑕型。
8. 完善微瑕型。
内部控制完善程度中、内部控制执行力度高, 这种内部控制制度虽然完善程度中等, 但是对于已经建立的内部控制制度, 执行力度高, 可以称之为完善微瑕型。
9. 高度平衡型。
内部控制完善程度高、内部控制执行力度高, 这种内部控制不论是内部控制制度建设还是执行力度都高, 可以称之为高度平衡型。比如阿里巴巴、腾讯、中粮、华为等企业就是很好的案例, 通过几十年的发展, 这些企业已经成为规模庞大的企业集团, 内部管理制度和内部执行力度都发展到了高水平。
通过不同的组合情况, 对内控的制度建设完善方面、执行力度方面进行了适当的分类、量化, 建立内部控制二维模型, 能更有效、更准确地评价内部控制的各个方面, 也能够更清楚地了解被审计单位的内部控制情况, 从而更有效地进行实质性程序。
参考文献
[1]中国注册会计师协会.审计[M].北京:中国财政经济出版社, 2015.
审计模型论文 篇6
随着时代发展和社会进步,各类委托人对独立审计结果的要求越来越严格,对审计报告的需求也日趋“多元化”,使独立审计处境十分艰难,风险也越来越大。审计报告是审计最终成果的反映,同时也是审计风险的最终储备库。但国际国内审计相关准则系统却“格式化”了这类重要风险变量因素,仅认定会计报表重大错报风险和检查风险两个变量指标。这虽明确了注册会计师(以下简称CPA)识别风险的主攻方向,但却无助于中国CPA开展风险导向审计,也妨碍了中国CPA全面风险意识的提高和强化。为此,必须立足CPA执业实践,全面分析审计风险体系,研究风险要素指标更加健全的审计风险模型。
一、审计风险模型及意义
随着现代风险导向审计的全面推行,财政部于2010年11月1日以“财会[2010]21号”发布了《中国注册会计师审计准则(CSA)第1101号——注册会计师的总体目标和审计基本要求》等38项审计准则,规定从2012年开始实施。CSA第1101号第13条规定:“审计风险,是指当财务报表存在重大错报时,注册会计师发表不恰当审计意见的可能性。审计风险取决于重大错报风险和检查风险。”表明新修订的CSA完全认同国际审计和保证准则委员会(IAASB)规定并从2004年12月15日起实施的新审计模型:
审计风险=财务报表重大错报风险×检查风险
该模型系依照审计重要性原则架构而成,因此可称之为“重要性审计风险模型”。式中,重大错报风险和检查风险均同审计风险正相关。但同作为自变量的重大错报风险与检查风险之间,则在既定的审计风险水平下,可接受的检查风险水平与认定层次重大错报风险的评估结果成反向关系:评估的重大错报风险越高,可接受的检查风险就越低;评估的重大错报风险越低,可接受的检查风险就越高。
审计准则强调了重大错报风险是财务报表在审计前存在重大错报的可能性。可见,重大错报风险是由于被审计单位控制环境(管理层诚信缺失、治理层监管虚弱)或其他因素(经济萧条、行业寿命周期短等)影响而发生的“会计风险”。但是,如CPA没有预先评估和识别报表错报风险,采取审计程序就难免盲目,而且会违背审计的重要性原则,从而增加检查风险。所以,将财务报表重大错报风险设为审计风险变量,表面看并不符合审计风险内涵逻辑,但实质是指导CPA不能仅注重“查账”技能训练以防范技术性的检查风险,还须将风险导向前移到被审计单位的经营风险影响层次,注重对审计对象的财务环境评估,让审计任务和范围逆向拓展到会计报表形成的内部控制背景、治理结构、管理责任、账户余额真实性、会计核算资产处理方法正确性、报表内容完整性等,采取恰当的审计程序进行有针对性的测试和评估,确保做到有备无患,检查有的放矢。
二、审计风险类型体系
审计风险伴随审计全过程,可谓无时无处不客观存在。因此,其种类繁杂,形式多样。为便于开展理论研究和便于实践中识别,应根据审计风险存在的不同标准进行划分。
1.按审计风险源泉,分为外源性风险和内源性风险
外源性风险即源自审计之外的风险,应涵盖源自被审方面的财务报表重大错报风险、行政干预风险、审计报告使用风险等。其中,行政干预风险属于不可控风险,审计注意运用规避手段防范;而重大错报风险和审计报告使用风险,均具有可控性。因为它是一种可以预见的客观实在,只要承认了经济事实的合理性,就意味着接受了该种风险。CPA应特别注重重大错报风险,应认真遵循CSA1211号一—通过了解被审计单位及其环境识别和评估重大错报风险,评估财务报表层次和认定层次的重大错报风险,并根据既定的审计风险水平和评估的认定层次重大错报风险,确定可接受的检查风险水平。
内源性风险是审计过程中因工作疏忽和检查程序、测试方法失当而承担不良后果的可能性。通常包括审计签约风险、检查风险、报告风险等。内部风险均属可控风险,审计应加强自身文化修养和执业涵养,不断提升职业评断能力和查账技术水平,增强审计服务意识和责任思想,防微杜渐。
2.按审计风险存在形态,可分为固有风险、控制风险和检查风险等三种,或综合为财务报表重大错报风险和检查风险两种
固有风险是指假定不存在相关内部控制时,某一账户或交易类别单独或连同其他账户或交易类别产生重大错报或漏报的可能性;控制风险是指某一账户或交易类别单独或连同账户或交易类别产生错报或漏报,而未能被内部控制防止、发现或纠正的可能性;检查风险是指某一账户或交易类别单独或连同账户或交易类别产生错报或漏报,而未能被实质性程序发现的可能性。前两种风险也可合并称为被审计单位的财务报表重大错报风险,这也是国际国内审计准则确立审计风险模型的理论依据。
3.按审计风险管理,分为可控风险和不可控风险
可控风险是指由审计机构或审计人员可控制的因素导致的审计风险。例如,由于审计人员的素质、审计人员工作态度、审计方法选用、审计机构对审计工作的管理等因素导致的审计风险;不可控风险是指由审计机构或审计人员不能直接加以控制的不确定性因素所引发的审计风险,包括被审计单位内外两种因素,外部因素如国家经济形势的变化,内部因素如被审计单位内部控制健全程度等。
4.按风险对审计程序的依赖,可分为审计准备阶段风险、实施阶段风险和终结阶段风险
审计风险贯穿于准备、实施、终结等各个审计程序环节。基于风险导向审计,审前准备阶段隐含的风险主要是审计业务约定书订立风险即“签约风险”和财务报表重大错报风险,其中签约风险指因审计谈判忽略意外不确定事项而发生无法按时保质完成审计任务或发生审计纠纷的可能性;实施阶段风险即检查风险;审计终结阶段风险包括审计报告类型选择、撰写、复核和使用四环节的风险。
此外,还可按审计风险表现形式,分为显性审计风险和隐性审计风险;按风险承担主体,可分为审计组织风险和审计人员风险;按风险成因,分为主观风险和客观风险;按风险后果,分为法律风险、行政风险、财产风险等。
总之,审计风险不仅局限于国际国内准则规定的财务报表重大错报风险和检查风险两种。
三、基于审计风险体系的审计风险模型架构
(一)健全性审计风险模型体系结构
设计健全性审计风险模型,既要遵守审计理论要求,又要符合国际国内审计准则,更要考虑本国审计实践的客观需要。
1. 审计签约风险
签约风险是审计的基础风险,是指事务所及授权CPA在签订业务约定书过程中,因关键要约含混不清或有疏漏而履行后产生责任危害的可能性。比如CPA未能认真填写委托目标、范围、报告类型及用途限定等关键条款,就可能潜存风险。同时,在功利时代,企业违背商业规则司空见惯,讨价还价、斤斤计较同样存在于审计市场。失衡的价格必然影响到审计效率和质量,也会埋下风险隐患。但不论怎样,合同风险都属于可控风险。CPA应依据个人专业素质和风险驾驭能力等因素,设定风险度的强弱。
2. 财务报表重大错报风险
财务报表重大错报风险,具体包括环境风险、战略经营风险、财务风险、治理结构风险、内部控制风险和会计错弊风险等。需说明,上述各风险虽有不可分割的内部联系,但都在各自领域内保持相对独立,其对财务报表重大错报风险形成,并不能产生严格意义上的乘积因子关系,而是简单的叠加关系。本文主张将财务报表重大错报风险评估置于审计约定书签订之前,作为评估审计风险的基础和判定审计师是否接受审计任务的客观依据。但CSA1211号更关注审计师的行为责任风险危害,因此第7条将注册会计师审计目标定位于通过了解被审计单位及其环境,识别和评估财务报表层次和认定层次的重大错报风险(无论该错报由于舞弊或错误导致)。在CSA1231号第4条进一步强调CPA的目标是针对评估的重大错报风险,通过设计和实施恰当的应对措施,获取充分、适当的审计证据。并针对评估的认定层次重大错报风险,考虑形成某类交易、账户余额和披露的认定层次重大错报风险评估结果的依据以及评估风险程度对证据的要求,设计和实施进一步审计程序。显然,从审计理论看,重大错报风险识别是在审计约定书签订之后。换言之,审计准则对独立法人事务所在行权中存在的签约风险要求其自觉控制,CPA可不予考虑。
3. 审计检查风险
是指审计报表存在重大错报、漏报而CPA未予发现的可能性。如CPA履行程序不慎或遗漏必要的调查测试环节而造成证据采集不足,或报表审计方法运用不当抑或检查粗枝大叶而不能发现会计报表存在的错误和舞弊,等于间接地掩盖了事实,助推报表对外错报或漏报,造成阅误读误判甚至错误决策。所以,检查风险堪称为审计的“内源性风险”或称之为“实质性风险”,应由执行程序风险、测试方法风险、证据效力风险和职业道德风险四个要素构成,各种相互联系的风险因素叠加为检查风险。用公式表示为:
检查风险=职业道德风险+执行程序风险+测试方法风险+证据效力风险
其中职业道德风险是指因执业审计师玩忽职守或为谋取私利导致事实真相被隐瞒,或故意出具虚假审计报告导致相关责任后果的可能性。职业道德是独立审计的质量基石,也是独立审计风险的第一道防线。如CPA忽略职业道德修养,将背弃审计工作守则和准则要求,玩忽职守,至审计生命于不顾地谋取局部或个人私利,从而瓦解个人业务技术和工作能力。此项风险应由CPA事务所综合考虑承担审计任务人员的具体情况设定;程序风险是由于采取了与检查重大错报、漏报不相适应的程序或程序追加取舍程序不当的可能性,是检查风险中影响力较弱的因素;测试风险又可称为“技术风险”、“方法风险”和“能力风险”等,是CPA实施审计测试中抽样等技术方法选择失当、缺少必要的专业性判断或判断偏误等的可能性。它对检查风险具有显著的直接影响,并且将延伸到证据风险;证据风险是最为关键要素,指实施审计过程中未获得有价值证据、取证量不足或没有经过认真分析和缜密筛选而综合成严密证据链的可能性。这三种风险类型均决定于审计过程中的技术性把握和执业能力控制,因此又可将之统称为“技术能力控制风险”。这样,审计检查风险公式即演变为:
检查风险=技术能力控制风险+职业道德风险
4. 审计报告风险
特指CPA审计报告出具时发表了不当审计意见和对审计报告使用失察,导致委托人误判事实、产生使用纠纷等并被追究相关责任的可能性。审计报告既承载着撰写过程中发表审计意见风险、措辞不当风险,又汇集了审计事项约定不慎风险、完善审计程序风险、补充审计证据风险,还要牵连到审计报告使用跟踪监测风险等。审计报告风险具有“多元性”:一是审计报告类型选择风险。如应出具有保留意见的审计报告,而CPA却选择出具了无保留意见的审计报告。虽然该风险属于小概率事件,但也客观存在且不容忽视;二是审计报告撰写风险。因执笔人文化修养和写作能力局限而列举问题与描述事实不清、审计依据运用欠妥、审计评价措辞或语法错误、行文不规范等,造成委托人误读误用产生不良审计责任和后果的可能性;三是审计报告质量复核风险。审计报告汇集了所有的“审计过程风险”,即其固有着审前“合同风险”和审中“检查风险”,如事务所未对审计评价内容、措辞等实施专门复核程序,就会使问题遗留并形成“质量复核风险”;四是审计报告使用风险。当委托人超范围使用或不慎使用审计报告,而事务所没有执行跟踪回访和后续服务监控而引发危害的可能性。这四种风险因素叠加,即形成审计报告风险:
审计报告风险=选择风险+撰写风险+质量复核风险+使用风险
综上,审计风险除了审计准则规定的财务报表重大错风险和检查风险之外,还客观地存在着一系列的审计签约风险和审计报告风险。只是从审计理论角度分析,这些风险是事务所固有的“经营风险”,归于审计事务所的管理控制范畴,不在审计行为规范之列;同时,这类风险通常不具有较大的直接危害性,是依靠民间审计组织和审计师自觉把握控制基本可以消除的风险弱项。所以,审计准则对审计风险模型设计上通常是不予考虑或可以忽略不计的。
(二)以审计准则为基础的系统性审计风险模型架构
如前所述,事务所在审前谈判协商的核心关注点绝非合理收费问题,而是了解被审计单位经营政策、管理控制和财务状况等,以识别和评估审计签约风险和财务报表重大错报风险;进而,针对委派CPA执业能力、专业水平、职业道德、执行程序、实质性程序手段与方法、证据证明力等要素,全面系统地识别检查风险;最后,需针对审计报告的类型选择、撰写能力、复核措施、使用跟踪回访等因素,识别审计报告风险。审计前期的签约风险和重大错报风险将直接辐射给审计检查风险,并形成对审计道德、审计程序、审计测试和审计证据等四种检查风险的强烈干扰;而检查风险将直接传导到审计报告并影响其类型选择和评价方向以及使用反应,即检查风险越高,审计报告风险相应越大;反之亦然。由此可见,审计签约风险和审计报告风险,属于同重大错报风险和检查风险具有直接相关性的两个自变量因素,它们的相互独立又彼此紧密联系,共同构成了审计风险因变量,公式表示为:
审计风险=审计签约风险×财务报表重大错报风险×检查风险×审计报告风险
该模型保留了审计准则模型即“重要性审计风险模型”的风险要素及全部内涵特征,并完善了相关的风险变量,使审计风险因素更加全面、系统,故此称为“系统性审计风险模型”。模型公式中,审计签约风险同财务报表重大错报风险存在着非线性函数关系,二者具有交叉存在的相容性,在审计业务约定书签订之前的调查谈判阶段,审计就需要对被审计单位经营风险和财务环境等进行了解测试,这其中一个重要方面就涉及到重大错报风险识别,测试的签约风险越高,说明重大错报风险也越大;反之亦然。同样,审计报告风险与审计检查风险之间也存在着非线性关系,二者存在不确定性的交互影响:检查风险对报告风险具有正向传递性影响,即检查风险越高,审计报告风险越大;审计报告风险越高,检查风险会因其反向辐射而趋于扩大。
(三)健全性审计风险模型的应用
1. 正确认识结构审计风险模型的全面风险体系链路
CPA主要是对授权委托方承担对被审计单位审计的风险责任。随着审计业务约定书签订,CPA即进入审计程序(准备、实施、终结)。由于审计风险无时无处不在,并沿着审计程序各个节点依次单向递延和逐步传递,形成了可以支撑健全性审计风险模型的审计风险体系链,并最终汇集成单项审计的“风险库”,记入审计风险档案。如图1所示。
CPA应全面掌握审计风险要素结构体系,时刻注意风险导向,认真思索审计风险信息传递路径,坚持职业怀疑态度,培养敏感的执业风险嗅觉,用“全面风险观”理念指导审计工作,养成风险识别环节前移(出表单位内控和经营)和后延(委托单位使用审计报告),扩大审计风险识别范围。
2. 灵活运用健全性审计风险模型
在具体审计任务中,并非链路图中的每个风险要素都会出现,即使同时出现也不可能都产生严重审计危害。为此,要求CPA在全面梳理风险导向思想前提下,要善于对识别的各项风险按其风险评估值做取大舍小、避轻就重的甄选,以避免模型运用僵化,测度风险指标过细过杂而影响审计工作效率和信心。比如,公司董事局委托开展应收款账龄审计,签约风险和报告风险均属于可以忽略不计的轻度风险。此时,沿用审计准则规定的重要性审计风险模型就足以保证风险评估需要;再如,许多中小事务所业务范围局限于验资、鉴定、内控、咨询和代理等,从不接受会计报表审计业务。这样,两种审计风险模型都对之无用。
3. 加强审计风险模型应用培训
中国CPA由“官方机构”——财政部下设的中注协(CICPA)按“高考”教育模式进行认证和管理。考试环节注重专业知识(理论知识和应用技能知识),所以中国CPA大都靠拼记忆力和理解力考取资格;执业资格获取环节依然是参加CPA全国统成绩考试及格并执业审计二年以上,即可由省级注协注册批准。于是,出现在校大学生、失业会计纷纷考证和事务所“挂证”保执业阅历等乱象。这批CPA进入审计队伍开展风险导向审计难度极大。所以,应全面开展专题培训,强化审计合伙人和CPA队伍的审计风险意识,指导其按采用风险导向审计方法执业。重点辅导CPA深刻认识、正确理解和科学应用审计风险模型,并让其知道审计风险模型作为审计工作指南,绝非强制使用,也不是所有审计业务都“一刀切”地运用,而是要因事、因人制宜,区别对待。如承担上市公司报表审计,务须进行审计风险识别评估,对非上市公司报表审计则尽量开展风险识别评估;同时,根据委托审计范围和目的,确定风险分布环节、概率和程度并依次识别风险因素种类和评估风险度,据以选择审计风险模型种类和应用操作方式等。
四、结论
审计模型论文 篇7
(一) 审计模式的概念及演进
所谓审计模式, 是指审计机关为实现审计目标, 所应采取的审计策略、审计技术, 是整体性审计方式。审计模式反映了人们的审计思想, 即:审计的目标应该是什么, 审计的对策应该是什么。审计模式同时又属于审计实务的范畴, 规定了审计工作的行为方式或方法, 即:为实现既定的审计目标, 审计工作的全过程应如何设计, 各阶段工作应如何着手, 应采取什么样的工作方法等。审计模式是一定历史条件下的产物, 它随着社会的进步和发展、以及人们认识的改变和提高而变迁。在国家审计发展史中, 审计模式经历了从合规性审计、真实合法性审计到绩效审计的演进过程 (刘家义, 2004) 。前二者重点是对财政资金使用的合规及真实性进行监督, 统称为财务审计模式 (刘家义, 2004) 。后者强化对创新的分析 (Funk H ouser, 2000;秦荣生, 2007) , 寻求对被审计项目和组织管理的积极改进 (杨妍, 2006;戚振东、吴清华, 2008) , 促进财政专项资金和资源的有效开发利用 (M c Crae and V ada, 1997) , 推动公共管理部门的绩效改善 (H atherly and Parker, 1988;Johnsen and M eklin, 2001) 。
(二) 财政专项资金审计模式的分类及诠释
财政专项资金是指上级人民政府或部门下拨的具有专门指定或特殊用途的资金, 它主要有三个特点:一是来源于财政或上级单位;二是用于特定事项;三是需要单独核算。财政专项资金是我国中央政府及省市级政府财政支出的重要构成, 主要用于社会管理、公共事业发展、社会保障等方面的专项发展建设, 近几年体现在三农发展、科教文卫事业、西部大开发、振兴东北重工业基地、重大自然灾害救济和重建、政策补贴等方面。这些项目涉及范围广、建设周期长、影响面大, 关系国计民生, 在我国经济建设、社会发展中的重要地位不容忽视, 其资金的管理使用情况备受社会公众、审计机关等监督部门关注。根据近几年国家审计署及特派办公布的审计报告和有关研究, 我国财政专项资金在管理使用过程中主要存在两大问题:一是滞留、侵占或挪用等资金流失现象严重;二是管理不善、资金使用效益整体偏低。鉴于此, 以监督专项资金及时足额到位和提高资金管理使用绩效, 作为文中财政专项资金审计的主要审计目标, 将审计机关对此所采取的不同态度、审计策略和处理措施, 模拟划分为以下五种审计模式。 (1) “审计缺失”模式。该模式下, 审计机关漠视财政专项资金的管理使用, 或由于该项支出相对不重要或鉴于审计力量薄弱, 不对此项资金开展审计, 也不针对资金的拨付、管理和使用作任何调查、监督或建议, 任凭财政专项资金遭受流失和使用效益低下。审计机关对财政专项资金的使用没有发挥任何效用。 (2) “财务整改”模式。该模式下, 审计机关注重财政专项资金的使用, 通过查账、监督、处理等方式对其开展财务审计, 根据现有财经法规及资金管理制度, 评价资金管理、使用的真实合法性, 并发现其中全部或部分的资金流失问题。通过审计机关的强力监督和相关职能部门的整改, 审计出的流失资金得到及时返还。审计机关较之“审计缺失”模式, 对财政专项资金的使用发挥了防护性作用。 (3) “财务防范”模式。该模式下, 审计机关对专项资金仍然只开展财务审计, 与“财务整改”模式不同的是:审计机关不仅督促流失的资金在审计后得到返还, 还提出相关管理性审计意见, 督促并配合相关职能部门采取有效措施, 确保与问题有关的规章制度得到有效执行, 避免同类问题再次发生。审计机关较之“财务整改”模式, 在财政专项资金制度执行环节发挥了防护性作用。 (4) “绩效改进”模式。该模式下, 审计机关在“财务防范”模式的基础上, 根据有关规章制度以及人们共同认知或约定的科学管理标准, 对财政专项资金的配置、管理和利用, 开展经济性、效率性、效果性审计, 并深入分析、综合考量资金管理使用的成果业绩和功能效用, 提出评价建议和改进措施, 督促配合相关职能部门挖掘管理潜力, 促进当期专项资金使用效益全面提高。审计机关较之“财务防范”模式, 在专项资金实现科学管理、优化配置方面发挥了建设性作用。 (5) “绩效飞跃”模式。该模式下, 审计机关不仅督促有关职能部门有效执行现有财政专项资金管理制度, 还注重从根本上改进管理绩效、完善管理制度、提高资金效能, 督促有关部门将科学管理方法给予制度化或程序化, 促进有关职能部门改进管理和正确履职, 提高专项资金的有效开发和利用效益。审计机关较之“绩效改进”模式, 在推动科学发展方面发挥了积极的建设性作用。
二、贡献审计模型及其比较
(一) 模型假设和建模思想
本文以财政专项资金实际用于建设发展的资金 (简称“生效资金”) , 相对于财政专项资金账面支出的比例表示审计贡献。是以“审计缺失”模式下财政专项资金足额到账时的审计贡献值“1”为对标, 参照对比各审计模式下审计贡献的相对值。为了提高模型的解释力和统一审计贡献的内外部环境, 模型基于以下假设:财政专项资金的支出在建设周期内均衡支出, “生效资金”与资金使用效益呈固定的“投入—产出”关系;在“审计缺失”模式下, 财政专项资金每年流失的相对比例、内容、结构固定不变, 且资金使用效益存在固定比例的潜在效益提升空间;财政专项资金审计是连续、高效的, 从项目建设起, 审计机关每年按照固定比例抽取当期专项资金进行审计, 且能发现其中的所有资金流失现象;绩效审计的开展具有显著成效, 该绩效改进方式对整项资金均有普遍效用;各期审计任务当年结束, 且审计意见、建议也在当年得到全面落实。建模思想是:基于条件假设, 构建第k期财政专项资金的审计贡献Tk, 与审计模式i (i=1代表“审计缺失”模式, i=2代表“财务整改”模式, i=3代表“财务防范”模式, i=4代表“绩效改进”模式, i=5代表“绩效飞跃”模式) 、审计抽样比例α (0<α<1) 、挖掘潜在效益比例ω (0燮ω燮1) 、专项资金流失率η0 (0燮η0燮1) 、潜在效益系数Q0 (Q0叟0) 的数量关系, 以及不同模式下整体审计贡献T*i与各期审计贡献Tki和建设周期K的关系。其中, i、α和ω是与审计工作特性有关的内部参数变量;η0、Q0和K是与财政专项资金特性有关的外部参数变量。ηki (0燮ηki燮η0) 、Qki (0燮Qki燮Q0) 为过渡变量, 分别表示i模式下, 第k期专项资金审计前的资金流失率和潜在效益系数。
(二) 贡献模型的构建
(1) “审计缺失”模式下的贡献模型。在“审计缺失”模式下, 由于财政专项资金存在η0比例的流失资金, 又因为未经审计, 资金流失率η0恒定不变, 即:ηlk=η0。所以, 第k期的审计贡献为:Tlk=1-η。整个专项资金支出期间Tlk恒定, 所以, 整体审计贡献为:Tl*=1-η0。 (2) “财务整改”模式下的贡献模型。在“财务整改”模式下, 审计机关每年均抽取α比例的当期专项资金进行审计, 且完全查出其中的资金流失率αη2k, 并督促有关部门将其返还, 用于当期项目建设发展。由于审计意见没有要求有关部门严格执行有关制度、杜绝此类资金流失问题再次发生, 故下一期财政专项资金在被审计前, 仍然存在η0比例的资金遭受流失, 即:η2k=η0。因为第k期的财政专项资金审计挽回了αη2k比例的流失资金, 所以, 第k期的审计贡献为:Tlk=1-η0+αη0。因为T2k恒定不变, 所以, 整体审计贡献为:T2*=1-η0+αη0。 (3) “财务防范”模式下的贡献模型。在“财务防范”模式下, 审计机关在第k期挽回了αη3k比例的流失资金, 审计意见要求有关单位在资金管理使用过程中严格执行有关规定, 有效防范了此类流失资金问题再次发生, 故第k+1期的财政专项资金在审计前的流失率η3k+1为η3k-αη3k, 即:η3k= (1-α) k-1η0。由于该模式下, 第k期的财政专项资金在审计前的流失率为 (1-α) k-1η0, 通过审计挽回了α (1-α) k-1η0比例的流失资金, 所以, 第k期的审计贡献为:T3k=1- (1-α) kη0。该模式下, 第k期的审计贡献T3k随着k不断变化, 因为假设约定专项资金每年支出均衡, 故整体审计贡献是建设周期K内各期审计贡献的平均值, 所以, 整体审计贡献为: (4) “绩效改进”模式下的贡献模型。在“绩效改进”模式下, 审计机关基于“财务防范”模式的基础上开展绩效审计, 发现第k期专项资金中存在ωQ4k比例的潜在效益提升空间, 并提出审计意见加以改进, 该改进措施在当期资金中得到应用并取得预期效益。由于此类绩效改进办法没有从制度或政策上长期要求, 所以, 下一期财政专项资金的潜在效益系数Q4k+1与Q 4k保持一致, 即Q 4k=Q0。
审计机关将当期发现的潜在效益比例ωQ4k, 在同期配合相关部门改进管理绩效, 提高当期资金使用效益, 所以, 第k期的审计贡献为:T4k= (1+ωQ0) [1- (1-α) kη0]。所以, 整体审计贡献为: (5) “绩效飞跃”模式下的贡献模型。“绩效飞跃”模式, 是“绩效改进”模式基础上的制度化建设。由于审计机关在第k期发现并改进了ωQ5k比例的效益提升空间, 制度化后, 该改进措施将在第k+1期得到有效落实, 故第k+1期专项资金在被审计前的潜在效益提升空间Q 5k+1较之Q 5k减少了ωQ5k, 即:Q 5k= (1-ω) k-1Q0。该模式下, 第k期的审计贡献是前k期审计贡献共同作用的, 所以, 第k期的审计贡献为:T5k=[1- (1-α) kη0]{1+[1- (1-ω) kQ0]}。所以, 整体审计贡献为:通过上述分析和建模, 模拟出五种审计模式下的审计贡献, 该模型量化了不同审计模式下各期审计贡献和整体贡献。在该模型中, 审计贡献是审计机关采取的审计模式i、审计抽样比例α、挖掘潜在效益比例ω三个内部参数变量, 与财政专项资金的资金流失率η0、潜在效益系数Q0、建设周期K三个外部参数变量共同做用的结果。本模型事先假定审计机关以及相关职能部门工作高效、财政专项资金支出均衡等条件, 重在揭示不同审计模式下审计贡献的实现途径及其优越性, 以及外部参数变量对审计贡献的影响作用。
(三) 贡献比较
在专家估计的基础上, 为了计算简便说明问题, 不妨假定某财政专项资金建设周期K=10, 资金流失率η0=0.4、潜在效益系数Q0=2, 审计机关对其开展连续审计期间, 每年随机抽样比例α=0.2、挖掘潜在效益比例ω=0.1。将上述内外部参数代入五种审计模式的贡献模型, 得到各模式下的审计贡献, 如 (表1) 所示。根据表中数据分析得知:“审计缺失”模式下的各期审计贡献和整体审计贡献维持在0.6水平, 与对标参照值1相差甚远, 财政专项资金被大量截流;“财务整改”模式下的各期审计贡献和整体审计贡献均为0.68, 虽与对标参照值1相比仍有较大差距, 但较之“审计缺失”状态下, 已产生一定审计贡献;“财务防范”模式下, 各期审计贡献逐年提高且渐近对标参照值1, 说明专项资金流失的程度逐渐减缓, 整体审计贡献为0.86;“绩效改进”模式下, 各期审计贡献增长较快, 且从第4期就达到并逐渐超过对标参照值1, 整体审计贡献为1.03, 即在财务审计和绩效审计共同作用下, 财政专项资金的整体投入效益是预期效益目标的1.03倍;“绩效飞跃”模式下, 审计贡献从第2期开始超越对标参照值, 第8期达到对标参照值的2倍, 整体审计贡献为1.6, 大幅提高了资金投入效益, 也节省了财政投入、缩短了项目建设期, 审计贡献尤为显著。“财务防范”、“绩效改进”和“绩效飞跃”模式下的审计贡献逐年递增, 后期的审计贡献优越性比前期更为明显, 但其增长边际 (审计贡献增速) 却逐渐放缓。可见, “审计缺失”“财务整改”“财务防范”“绩效改进”“绩效飞跃”五种模式下的审计贡献依次增强。毋庸置疑, 审计贡献与审计机关的抽样比例α、挖掘潜在效益比例ω, 呈正相关关系, 即内部参数变量α和ω越大, 不同模式下的各期审计贡献和整体审计贡献就越大。
进一步地, 进行外部参数变动下的审计贡献比较。在此, 主要研究财政专项资金建设周期K、资金流失率η0、潜在效益系数Q0, 这三个外部参数变量对不同审计模式下审计贡献的影响和作用。固定其他参数变量不变, 分别调整K=5、η0=0.2、Q0=1, 得到相应的审计贡献, 见 (表2) 。分析、对比 (表1) 和 (表2) 数据可知:在其他参数变量不变的前提下, 将建设周期K由10减少至5时, 各期的审计贡献不受影响, 但是“财务防范”“绩效改进”和“绩效飞跃”模式下的整体审计贡献有所减小, 绩效审计较之财务审计的审计贡献优越性不够显著;在其他参数变量不变的前提下, 将资金流失率η0由0.4减少至0.2时, 不同审计模式下各期的审计贡献和整体审计贡献都有所增强, 但是“财务防范”“绩效改进”和“绩效飞跃”模式后期的审计贡献和整体审计贡献增量不大, 且“审计缺失”“财务整改”“财务防范”“绩效改进”四种模式的审计贡献差异性不够显著;在其他参数变量不变的前提下, 将潜在效益系数Q0由2减少至1时, “审计缺失”“财务整改”和“财务防范”三种模式下的审计贡献不受影响, “绩效改进”和“绩效飞跃”模式下的各期审计贡献和整体审计贡献锐减, 且绩效审计较之财务审计的审计贡献优越性明显下降。
三、结论与启示
(一) 结论
随着不同审计策略、审计技术的引入和审计方法结构及主导因素的调整, “审计缺失”、“财务整改”、“财务防范”、“绩效改进”、“绩效飞跃”五种审计模式的审计贡献依次增强, 绩效审计的审计贡献较之财务审计更为突出。财务审计模式实现审计贡献的途径及其优越性, 体现在审计驱动力作用下的纠正资金流向偏差、保证制度有效执行、增强管理部门责任意识, 它是督促审计意见落实, 保证管理绩效按照要求改进的重要手段。但是, 该模式下的审计贡献具有限制性的瓶颈———财政专项资金本身应发挥的功绩效用。绩效审计模式实现审计贡献的途径及其优越性, 主要体现在推动管理部门管理绩效、提高资金使用效益、优化资源科学配置、加快项目建设进程, 促进公共管理和经济建设健康快速发展。绩效审计模式在促进绩效改进和科学发展发面发挥了前瞻性、防护性和建设性作用, 是管理创新的重要推动力。但是, 该模式下的审计贡献增速却逐渐放缓, 后期存在“绩效失灵”现象。无论是财务审计还是绩效审计, 促使审计贡献加强的根本原因在于专项资金管理制度的不断完善和有效执行, 这也是优化审计贡献的根本举措。整体而言, 对资金流失严重、建设周期较短的专项资金项目, 财务审计模式和绩效审计模式产生审计贡献差异性不大;对建设周期长、管理水平低的专项资金项目, 绩效审计模式产生的审计贡献优越性较为显著。
(二) 启示
基于前文审计贡献的建模和比较, 本文认为财政专项资金自身的特点属性对审计贡献具有一定影响, 不同特性的专项资金应与之匹配易于实现并发挥其审计贡献的审计模式。即:管理水平相对成熟、项目投入周期较短、项目建设缺乏普遍性, 以及资金结构或流向复杂的专项资金项目, 更便于财务审计模式产生较为显著的审计贡献, 该模式下的审计成本低廉、审计目标易于实现, 且绩效审计模式对此类项目提出的绩效改进意见缺乏改善公共管理行为的普遍推动力, 绩效审计意义不大;相应的, 管理水平相对较低、项目投入周期较长、项目建设具有较强普遍性的大型或战略性专项资金项目, 利于充分发挥绩效审计的优势 (详见表3) 。由于绩效审计后期存在“绩效失灵”现象且审计意见的落实需要财务审计的监督保证, 所以, 对同一个项目在开展绩效审计期间, 应适当穿插财务审计;对项目投入前期和后期, 其侧重点应分别在绩效审计和财务审计;对试点性专项支出, 由于其管理水平对后期或其它专项管理有较强借鉴指导作用, 应对其全程开展绩效审计。对实施审计模式的启示。一是重视审前调查。审前调查是正确选择审计模式的前提保障, 也是实施审计模式的重要环节, 审计机关应该充分利用审前调查, 摸清财政专项资金拨付、运转和管理现状的重要特征, 分析资金使用过程中的主要问题及症结, 明确审计目标, 突出审计重点, 整合审计策略、技术和相应人员, 为实施审计提供必要的基础保证。二是辩证处理财务审计和绩效审计关系。前已叙及, 财务审计是绩效审计开展的基础和平台, 绩效审计为财务审计提供新的审计依据和标准, 绩效审计若取得实效, 离不开财务审计长期不懈的督促和监督。二者之间相辅相成、殊途同归, 是巩固与提高的关系, 不可厚此薄彼、相互代替。三是转变审计理念和方法。在我国传统的政府审计中, 其理念与方法主要是关注问题的确认与分析, 其任务是核对问题的存在性, 从不同角度分析其原因, 并研究怎样处理处罚所属问题, 很难实现财政专项资金的审计目标。需要转变为以资金使用结果为导向的审计理念和方法, 即:重点关注专项资金的管理要求和目标有没有实现, 怎样消除和纠正与管理标准、经济目标之间的行为偏差, 怎样进一步改善专项资金管理绩效, 进而提出相应的审计意见和建议。对优化审计贡献的启示。优化审计贡献体现在提出科学的审计意见、有效落实审计意见和充分利用审计成果。前文分析可知, 不断完善财政专项资金管理使用的有关制度, 是提高资金使用效益的关键所在和根本举措, 也应是科学性审计意见的着眼点。审计机关应根据项目建设和资金管理的新情况新动向, 评估相关制度、标准, 对适应管理形势发展变化并切实可行、行之有效的制度, 要继续严格执行, 并在其他地域的同类项目中加以推广, 充分利用现有成果;对不适应、不严密、不配套、不具体和不便执行的制度, 应该提出补充、修订和完善意见;对紧急项目或试点工程项目, 要督促有关部门开展充分调研论证, 尽快出台有关制度, 并加强对制度的后续评估;对过时的管理制度, 要建议有关部门及时废止。审计意见的有效落实和管理制度的有效执行, 需要审计机关强化审计跟踪或开展连续审计, 加强对制度执行环节的监督检查, 进一步巩固审计成果。各审计机关应该加强审计成果的交流、借鉴和共享, 特别是对制度性审计成果横向和纵向的推广普及, 可以在一定程度上避免重复性审计工作、节约审计成本、优化审计资源配置, 也是发挥审计工作事前监督效用、优化财政专项资金使用效益的重要途径。本文没有考虑财政专项资金数额和审计成本, 因而从某种意义上, 该贡献是审计后专项资金使用效益的相对值, 反映了内外部参数变量对审计工作经济成果方面的影响;如果将审计抽样技术、实际工作效率、审计意见的滞后性、专项资金流失和潜在效益的动态结构等综合性、复杂性因素引入贡献模型, 将会使模型的模拟更加贴近审计工作实际, 内外部参数变量作用下的审计贡献实现途径和优越性更具现实的政策含义。尽管有上述不足, 但本模型量化了不同审计模式下审计贡献与内外部参数变量间的数学关系, 研究分析了审计贡献的实现途径和优越性, 模拟比较出外部参数变量对审计贡献的影响作用。
参考文献
[1]鲍国明、孙亚男:《公共资金绩效审计项目的选择与确定》, 《审计研究》2006年第2期。[1]鲍国明、孙亚男:《公共资金绩效审计项目的选择与确定》, 《审计研究》2006年第2期。
[2]陈良华、石盈:《管理审计模式发展与管理制度变迁》, 《审计研究》2003年第5期。[2]陈良华、石盈:《管理审计模式发展与管理制度变迁》, 《审计研究》2003年第5期。
[3]靳建堂:《集团企业经济责任审计模式探讨》, 《审计研究》2006年第6期。[3]靳建堂:《集团企业经济责任审计模式探讨》, 《审计研究》2006年第6期。
[4]刘家义:《关于绩效审计的初步思考》, 《审计研究》2004年第6期。[4]刘家义:《关于绩效审计的初步思考》, 《审计研究》2004年第6期。
[5]刘燕:《论我国〈公司法〉法定审计模式的选择》, 《会计研究》2005年第8期。[5]刘燕:《论我国〈公司法〉法定审计模式的选择》, 《会计研究》2005年第8期。
[6]秦荣生:《深化政府审计监督完善政府治理机制》, 《审计研究》2007年第1期。[6]秦荣生:《深化政府审计监督完善政府治理机制》, 《审计研究》2007年第1期。
[7]杨妍:《风险导向审计模式下的政府绩效审计理论研究》, 《审计研究》2006年第4期。[7]杨妍:《风险导向审计模式下的政府绩效审计理论研究》, 《审计研究》2006年第4期。
[8]McCrae M and Vada H..Performance audit scope and the independence of the Australian Commonwealth auditor General.Financial accountability and management, 1997.[8]McCrae M and Vada H..Performance audit scope and the independence of the Australian Commonwealth auditor General.Financial accountability and management, 1997.
一个银行的内部审计模型 篇8
一、模型描述及分析
本文建立的内部审计模型有三个参与方:委托人 (银行) 、代理人 (被审计人) 、审计人。代理人和审计人都是银行内部员工, 银行委托审计人对代理人进行监督。同时, 给出以下五点假设:一是代理人有徇私和不徇私两种策略, 审计人有尽职和不尽职两种策略, 他们按利益最大化的原则以一定的概率在两种策略之间随机选择;二是当代理人徇私时, 如果审计人尽职, 有概率为a的可能发现并查处徇私行为, 有1-a的可能未发现徇私。如果审计不尽职, 则有概率为b的可能发现且查处徇私行为, 有1-b的可能未发现徇私 (1>a>b>0 (1) ) ;三是代理人徇私成功时的额外收益为A, 失败时的损失为C, 不徇私时的收益为0。审计人工作不尽职时的收益为D, 这是由不劳而获折合的经济收益, 工作尽职时的收益为0。代理人徇私成功时, 审计人的损失为B, 这是委托人银行对其工作不得力的惩罚。A、B、C、D均大于0;四是代理人与审计人是理性人, 两者不存在审计合谋。根据以上假设, 可以求出代理人和审计人的收益矩阵 (见表1) 。
为使审计人尽可能地选择尽职, 银行会从体制上使得当代理人徇私时审计人尽职的收益大于不尽职的收益, 否则, 会出现审计人全员不尽职的状况, 这显然不符合实际, 即:
同时, 为使代理人尽可能地少徇私, 还要使当审计人尽职时代理人徇私的收益小于不徇私的收益, 即:
此外, 只有徇私的收益足够大时, 代理人才会冒险去徇私, 故代理人徇私的前提条件是当审计人不尽职时徇私的收益大于不徇私的收益, 即:
五是假设 (1) (2) (3) 式已经满足。
命题1:代理人与审计人博弈不存在纯策略纳什均衡。
这是因为, 在表1中, 由假设五可知, 如果代理人选择徇私, 审计人将选择尽职;而当审计人选择尽职时, 代理人将选择不徇私;当代理人选择不徇私时, 审计人将选择不尽职, 而当审计人选择不尽职时, 代理人将选择徇私。即两者之间的博弈不存在纯策略纳什均衡, 这意味着代理人与审计人的行为是相互依存, 相互影响的。
命题2:代理人与审计人博弈存在唯一的混合策略纳什均衡, 在均衡状态下, 代理人以D/ (a-b) B和1-D/ (a-b) B的概率选择徇私与不徇私;审计人以 (aC+aA-A) / (a-b) (A+C) 和1- (aC+aA-A) / (a-b) (A+C) 的概率选择不尽职与尽职。
证明:假设代理人按P1和1-P1的概率选择徇私和不徇私, 审计人按照P2和1-P2的概率不尽职和尽职 (0
审计人将选择P2和1-P2使得代理人徇私和不徇私的收益无差异, 即:
证毕。
进一步地, 我们可以求出在均衡状态下, 代理人和审计人的收益分别是:
上面结果显示, 在均衡状态下, 代理人收益为零, 而审计人的收益为一个负值, 这表明代理人和审计人在客观上都存在徇私和不尽职的内在激励, 相比之下, 审计人不尽职的激励更大。
当代理人以P1和1-P1的概率选择徇私与不徇私时, 审计人的收益曲线是两条向右下方倾斜的直线 (见图1) , 其函数表达式分别是:
在图1中, 审计人尽职和不尽职直线的交点是均衡状态点, P1是代理人的最佳徇私率。这是因为:当徇私率大于P1时, 审计人尽职的收益大于不尽职的收益, 因此他将选择尽职, 而这对代理人徇私是不利的, 因此对代理人来说徇私率大于P1是不可取的;当徇私率小于P1时, 此时审计人不尽职的得益大于尽职的收益, 因此他的理性选择是不尽职, 代理人知道了这种情况后将会不断提高徇私率, 因为徇私率越高意味着收益越多。在徇私概率提高的过程中, 只要是满足小于P1, 审计人都会选择不尽职, 徇私率的提高极限是P1。当达到最佳徇私率, 审计人无论是采用纯策略还是混合策略, 其收益都等于均衡状态下的收益U*。不过为了让代理人无机可乘, 审计人将采用混合策略。
类似的, 可以求出:审计人以P2和1-P2两种概率选择不尽职与尽职时, 代理人在徇私与不徇私情况下的收益曲线 (见图2) , 其函数表达式分别是:
在图2中, 审计人的最佳策略是以概率P2、1-P2选择不尽职与尽职, 此时博弈达到均衡状态。
命题3:当代理人徇私概率大于D/ (a-b) B时, 审计人的最优选择是尽职;当代理人徇私概率小于D/ (a-b) B时, 审计人的最优选择是不尽职。
该命题意味着:在代理人徇私率一定时, 银行通过控制参数a、b、D、B降低D/ (a-b) B时, 能使审计人选择尽职的可能性提高;反之, 将促使审计人更多地不尽职, 进而导致内部审计的效率低下。
类似地, 通过对图2的分析, 我们可以得到有关代理人最优选择的如下命题:
命题4:当审计人尽职的概率大于1- (aC+aA-A) / (a-b) (A+C) 时, 代理人的最优选择是不徇私;当审计人尽职的概率小于1- (aC+aA-A) / (a-b) (A+C) 时, 代理人的最优选择是徇私。
该命题表明:当1- (aC+aA-A) / (a-b) (A+C) 较大时, 代理人徇私的可能性将增大;反之, 当银行通过控制参数a、b、A、C降低1- (aC+aA-A) / (a-b) (A+C) 时, 将会减少代理人的徇私行为。
在现实中, 为减少员工的徇私行为, 银行的通常做法是加大对查出的徇私行为的处罚力度, 以期形成一种威慑效应。这种看似有效的方法, 是否能达到预期的目的?以下两个命题, 给出了这个问题的答案。
命题5:银行加大对代理人徇私行为的处罚力度, 将增加审计人不尽职的概率, 在短期内会降低代理人的徇私率, 在长期内对其没有任何影响。
证明:假设银行加重对代理人徇私行为的处罚力度, 由C增加到C′, 代理人的收益曲线将发生相应的调整 (7) , 如图2中所示。在短期内, 如果审计人的策略不变, 还是按P2和1-P2的概率选择不尽职和尽职, 那么代理人徇私时的得益将由原来的0变成负值, 小于不徇私的收益, 因此代理人将停止徇私;而审计人在得知这个信息后, 将相应地增加不尽职的概率。从长期来看, 由于P2与C成正比关系 (8) , 当C增加时P2也会随之增加;同时代理人徇私的收益U徇私与P2也是成正比关系, 伴随着P2的增加, U徇私也在不断增加并且与U不徇私之间的差距在不断减少, 这个过程一直持续到新的均衡状态出现。在新的均衡状态下, 审计人不尽职的概率将由P2增加到P2′, 此时代理人 (不) 徇私的收益相等都为零, 代理人又会重新选择混合策略。由于代理人的混合策略的概率分布是由参数B、D决定的, 并不受C的影响, 因此代理人的策略不变, 还是按原来的P1和1-P1的概率选择徇私与不徇私。这表明:银行加重对徇私行为的处罚力度, 只能在短期内抑制徇私行为, 而代理人的长期徇私率不变, 它的主要作用是使审计人更多地偷懒 (因为P2>P2) , 进而导致内部审计的低效率。证毕。
实际上, 为降低代理人的徇私率, 银行可以通过加重对审计人不尽职行为的处罚力度来实现这个目标。
命题6:银行加重对不尽职的审计人的处罚力度, 能有效降低代理人的徇私率, 在短期内能降低审计人不尽职的概率, 但在长期中对其没有任何影响。
证明:假设银行加重对审计人不尽职行为的处罚力度, 由B增加到B′, 审计人收益曲线相应的逆时针转动, 如图1所示。在短期内, 当代理人的策略保持不变时, 审计人尽职时的收益大于不尽职的收益, 因此将选择尽职。为降低被查处的可能性, 代理人将减少徇私行为 (即降低P1) 。随着P1的下降, 审计人尽职和不尽职时的收益差距也在逐渐缩小, 一直持续到新的均衡状态出现。在新的均衡下, 代理人将采用一个较低的徇私率P1′, 审计人的尽职和不尽职的收益重新相等, 都等于U*, 此时代理人又将恢复混合策略。由于审计人不尽职的概率P2是由A和C决定, 并不受B的影响, 因此审计人的的策略不变, 还是以原来的P2和1-P2的概率选择不尽职与尽职。这说明, 加重对不尽职的审计人的处罚力度, 能有效降低代理人的徇私率, 在短期内还可以一定程度地降低审计人不尽职的可能性, 但在长期内对审计人的尽职与否没有任何影响。证毕。
该命题告诉我们, 为减少代理人的徇私行为, 除了加大对审计人不尽职行为的处罚力度外, 银行还可以同时引入外部债权人监督或者内部审计外部化, 对内部审计工作进行监督, 加大审计人不尽职的成本, 从而提高内部审计的效率。
二、结论
通过分析发现:在内部审计过程中, 代理人与审计人都存在徇私和不尽职的内在激励, 相比之下, 后者的激励程度更大。银行通过适当的制度安排, 能间接影响代理人和审计人的决策, 使其符合银行的利益。此外, 单纯加大对徇私行为的处罚, 对于降低代理人的徇私率只有短期效应, 没有长期效应。银行可以通过加强对审计人的内外部监督, 加大对审计人不尽职行为的查处力度, 有效地减少代理人的徇私行为, 提高内部审计效率。
参考文献
〔1〕A.马斯科莱尔, M.D.温斯顿, J.R.格林.微观经济学〔M〕.北京:中国社会科学出版社, 1995:332-364.
〔2〕方红星.内部控制审计与组织效率〔J〕.会计研究, 2002 (2) .
〔3〕郝玉贵, 路云峰.我国国家审计的博弈分析〔J〕.审计研究, 2006 (2) .
〔4〕雷光勇, 王立彦.投资秩序与利益相关者审计〔J〕.审计研究, 2006 (1) .
〔5〕李兆华.我国会计师事务所实行定期轮换制的博弈分析〔J〕.会计研究, 2005 (3) .
信息系统审计的业务模型构建 篇9
关于信息系统审计的定义, 日本通产省情报处理开发协会认为信息系统审计是指:为了信息系统的安全、可靠与有效, 由独立于审计对象的信息系统审计师, 以第三方的客观立场对以计算机为核心的信息系统进行综合检查与评价, 向信息系统审计对象的最高领导提出问题与建议的一连串的活动。
美国学者Ron A·Weber在《信息系统控制与审计》一书中对信息系统审计的定义是:信息系统审计是一个获取证据, 对信息系统是否能保证资产的安全、数据的完整, 以及是否有效地使用了组织资源并有效地实现了组织目标做出评价和判断的过程。国际信息系统审计与控制协会 (ISACA) 的定义为:信息系统审计是一个获取并评价证据, 以判断计算机系统是否能够保证资产的安全、数据的完整以及有效利用组织的资源并实现组织目标的过程。
综合上述定义, 我们归纳信息系统审计的特征如下: (1) 信息系统审计的对象是以计算机为核心的信息系统。 (2) 信息系统审计的目标是促进信息系统安全、可靠和有效。 (3) 信息系统审计是获取与评估证据的过程, 需要信息系统审计师的专业判断。
二、信息系统审计的业务模型
本文从目标、内容与过程三个维度建立信息系统审计的业务模型, 如下图所示:
1. 审计目标。
信息系统审计有三个目标:安全性、可靠性和有效性。
安全性是指信息系统的资源受到妥善保护, 不因自然和人为的因素而遭到破坏、更改或者泄露系统中的信息。其中, 信息系统资源包括计算机硬件、软件、网络、数据和人。
可靠性包括三个方面:硬件的可靠性、软件的可靠性和数据的可靠性。硬件的可靠性是指在一个指定的时间周期内, 在给定的控制条件下, 硬件系统执行所需功能的成功概率。软件的可靠性是指在运行环境中, 在规定的运行时间内或规定的运行次数下, 程序和所有数据元素运行不同测试用例的无差错概率。数据的可靠性是指数据的真实、准确和及时, 它取决于系统对数据的处理过程是否准确无误, 以及确保数据可靠的控制措施是否有效。
2. 过程域及关键活动。
信息系统审计要遵循一定的流程, 有规范的审计步骤。从流程上来看, 一般认为信息系统审计主要包括五个过程域:审前调查阶段、计划阶段、实施阶段、报告阶段和后续审计阶段。五个过程域相应的工作任务 (关键活动) 具体如下: (1) 审前调查阶段的关键活动包括确定审计关系与责任、了解被审计企业与信息系统基本情况、明确被审系统涉及的关键业务流程、初步评价被审系统的风险状况、编制审前调查报告。 (2) 计划阶段的关键活动包括评估审计风险、确定具体审计目标与重要性水平、制订审计计划。 (3) 实施阶段的关键活动包括:编制审计实施方案;针对审计事项编制具体测试方案;实施符合性与实质性测试, 完成测试记录;分析与核查测试结果。 (4) 报告阶段的关键活动包括:整理评价审计证据;复核审计底稿;汇总审计差异, 与对方管理层交流;评价审计结果, 编制审计报告。 (5) 后续审计阶段的关键活动包括:获取与评价相关的信息, 对管理层是否采取恰当措施形成结论。
只有明晰了各过程域, 并对相应的关键活动进行有效的管理, 才能保证信息系统审计的质量, 实现审计目标。
(1) 审前调查阶段。在审前调查阶段主要应获取以下相关信息:被审计单位所使用的信息系统;被审计单位业务流程对信息化的依赖程度;与信息系统有关的管理机构及管理方式;开展信息系统审计的环境条件。
与财务审计项目类似, 信息系统审计的审前调查常常可以采用如下方法:组织有关人员座谈或者向有关人员咨询;发放调查问卷或者调查表;查阅或者索取资料;实地考察;走访与审计项目有关的单位。该阶段的工作成果体现为审前调查报告。
(2) 计划阶段。确定重要性水平直接影响后续审计计划和实施方案的编制, 是计划阶段的工作要点, 难度较大, 需要综合审计目标和被审计对象的特点来理解。通常需考虑以下因素:历史经验、风险评估结果、信息系统规模与应用程度、信息系统的依赖度以及被审计单位的信息化建设重点等。
该阶段的工作成果为审计计划, 主要内容包括:被审计单位情况简介、审计的对象与范围、审计的步骤与时间安排、审计人员的分工、注意事项和其他内容。
(3) 实施阶段。实施阶段是影响审计质量的关键阶段。在该阶段审计人员应结合审前调查内容, 按照被审计单位信息化环境、业务流程、内控制度等方面的风险状况, 明确具体项目审计目标, 细化审计内容, 突出审计重点。编制审计实施方案时, 要认真分析审前调查取得的资料, 结合以往的审计成果, 分析可能存在的问题和线索。确定审计步骤和方法的原则是要能够指导审计人员实施审计, 具有操作性。
审计实施方案是该阶段的主要工作成果, 主要内容包括:被审计单位及其信息系统基本情况、审计目标、审计内容与重点、审计方法与步骤、审计组成员与具体分工。
此外, 还需要编制针对不同审计事项的具体测试方案, 测试方案应包括详细的审计方法与步骤, 具有可操作性。而且, 测试完成后还需及时形成测试记录。
(4) 报告阶段。报告阶段的关键活动为整理汇总审计证据, 项目成员讨论复核工作底稿, 并就相关问题与被审计单位的管理层交流, 直到形成最终的审计报告。
审计报告是该阶段的工作成果, 也是整个审计项目的最终成果, 其一般包括:审计背景、审计目标与范围、审计标准与依据、基本审计结论、审计中发现的具体问题与建议以及附件。
(5) 后续审计阶段。在后续审计阶段, 审计人员获取与评价相关信息, 对管理层是否采取恰当措施形成结论。如果管理层针对审计报告建议已采取措施, 则应该将这些情况补充到审计报告中的“管理层反馈意见”中。
3. 内容域、关键环节与控制点。
根据目前的国际惯例, 信息系统审计有两大内容域:一般控制与应用控制。一般控制与应用控制的作用、具体内容和审计方法都不一样, 下面进行详细阐述。
(1) 应用控制。应用控制是作用于具体应用系统的控制, 一般结合具体业务进行设计, 可以确保数据处理完整和正确。一个应用系统一般由多个相关计算机程序组成, 有些应用系统还可能是复杂的集成系统, 牵涉到多个计算机程序和组织部门, 与此相应, 它的应用控制应包括内嵌在计算机程序中的自动化控制, 以及与整体业务流程相关的非自动化控制。
应用控制的关键环节包括: (1) 输入控制, 其关键控制点为数据输入设计的正确性、数据输入准备政策和数据输入校验的有效性。 (2) 处理控制, 其关键控制点为规范的数据处理流程、数据处理错误的识别、记录与解决。 (3) 输出控制, 其关键控制点为数据输出政策、数据输出报告的生成与分发控制。 (4) 接口控制, 其关键控制点为自动接口控制和人工接口控制。 (5) 访问控制与职责分离, 其关键控制点为应用系统访问权限、业务流程上的不兼容职责。 (6) 参数控制, 其关键控制点为参数设置的正确性 (合法性) 、参数调整的审批流程与权限、参数调整日志。
应用控制审计一般采用如下步骤: (1) 确定重要的应用系统, 获取相关资料或询问相关操作人员, 充分了解系统中业务流程。 (2) 识别业务流程中关键风险点, 开发合适的测试方案与数据。 (3) 实施相应的审计程序, 测试控制的有效性。 (4) 进行控制缺陷分析, 评价相关控制目标是否达到, 形成相关审计结论。
应用控制审计常用的方法有:测试数据法、平衡模拟法、访谈法、观察法、流程图检查法、程序编码比较法、程序追踪法、快照和嵌入审计模块等。
(2) 一般控制。一般控制是作用于被审计信息系统全部或较大范围的控制, 其基本目标为确认应用系统恰当开发或实施, 确保程序与数据文件的完整性, 确保信息系统良好运作。
一般控制提供应用系统运行和应用控制实施的环境。一般控制的控制措施适用于所有应用系统, 是一种环境上的保证。
一般控制的关键环节包括: (1) IT管理/治理, 其关键控制点为IT治理结构;IT组织结构和人力资源管理;IT战略及其起草、批准、实施和维护程序;IT政策、标准和程序的制定、批准、实施和维护流程;IT外包战略和政策;合同管理实务。 (2) 信息系统开发与实施, 其关键控制点为项目管理框架和项目治理实务;项目按计划进行并有相应文档的充分支持;系统的开发、采购和测试流程, 确保其交付符合目标。 (3) 信息系统运行与服务, 其关键控制点为运营管理, 保证IT支持职能有效满足业务要求;数据管理实务, 确保数据库的完整性和最优化;能力的使用和性能监控工具与技术;变更、配置和发布管理实务;问题和事件管理实务;IT基础设施 (网络, 软硬件) 的功能。 (4) 信息安全, 其关键控制点为逻辑访问控制 (操作系统、数据库、主机和网络设备) 的设计、实施和监控, 网络框架和信息传输的安全, 环境控制的设计、实施和监控, 保密信息资产的采集、存储、使用、传输和处置程序的流程。 (5) 灾难恢复与业务持续性, 其关键控制点为灾难恢复计划和业务连续性计划。
一般控制审计通常采用如下步骤: (1) 全面了解被审计信息系统的整体架构, 确定重要组件; (2) 识别可能的关键风险点, 确定关键审计域; (3) 实施相应的审计程序, 记录测试结果; (4) 测试结果分析与评价, 形成审计结论。
一般控制审计不涉及系统中流转的业务数据, 常采用访谈法、观察法、调查表法、文档查阅法、测试数据法等。一般情况下, 审计中发现的问题与被审计系统的管理缺陷有关, 有时也预示出应用系统数据处理可能存在的不正确与不完整之处。
三、实务案例
工伤保险基金是社保基金的重要组成部分, 资金的安全性、可靠性和效益性是政府与社会公众共同关心的焦点, 因此需要对基金本身以及基金管理所依托的信息系统加强监督。下面以某市工伤保险系统审计为例, 介绍模型的实际应用情况与效果。
1. 被审计信息系统基本情况。
审计人员通过审前调查, 了解到该市社保系统中心机房配备10台IBM小型机、3台EMC存储设备, 铺设有60多条光纤连接市、区 (县) 、街道、社区四级网络。系统前台应用软件采用PowerBuilder开发, 后台为Oracle 9I数据库, 数据总量系统主要由六个核心业务子系统组成, 系统数据总量超过2TB。系统功能结构如图2所示:
2. 审计工作的具体情况。
工伤保险系统是其中的一个重要子系统, 也是本次审计的对象, 审计的具体情况如下:
(1) 审计目标。本次审计的目标是围绕“找出隐患、规范管理、促进完善”的总体思路, 从安全性、可靠性、有效性三个方面对工伤保险系统进行全面审计, 发现该系统在使用和管理过程中存在的缺陷和薄弱环节, 查处使用系统办理基金业务时存在的控制风险, 从而对系统进行客观公正的评价, 为促进被审计单位加强管理、完善风险监督机制、保证基金的安全与完整、防范利用计算机系统进行欺诈与舞弊等提出切实可行的审计建议。
(2) 审计实施情况。审计人员在审前调查的基础上, 制订了工伤保险系统审计方案, 并从一般控制和应用控制两个方面进行了人员分工。审计人员按方案要求和审计分工实施审计, 对分工检查的项目各负其责, 在核查应用系统的同时, 还对系统的使用单位进行了延伸审计。针对信息系统审计特点, 采用了必要的程序与方法, 对系统一般控制和应用控制进行了核查。
(3) 审计的内容和做法。信息系统审计包括一般控制和应用控制两个方面, 需要结合项目实际情况来确定具体的审计重点。在一般控制审计中重点实施“信息安全控制审计”和“信息系统运行与服务审计”, 也就是审计中要关注的安全性和可靠性问题。如果这两种内部控制不足或失效, 造成的灾难和危害将是无法预测的。在应用控制审计中重点实施“处理控制审计”和“接口控制审计”。这两种内部控制是信息系统的核心和灵魂, 如果控制不足或失效, 将无法有效保证数据的真实性和完整性, 甚至会直接导致违纪违规行为发生。
信息系统审计能否取得成效, 关键在于能否恰当运用各种方法进行审计。笔者在一般控制审计中主要采用了问卷调查、人员访谈、现场观察、资料查阅等方法;在应用控制审计中主要采用了测试用例、平行模拟、代码检查等方法。下面介绍部分做法:
在一般控制中, 系统安全控制方面主要核查了物理安全、逻辑安全、安全策略等, 通过检查机房物理环境、网络设备、操作系统和数据库等, 发现系统安全控制中存在的风险。审计中, 首先通过5张调查问卷表详细了解系统基础环境, 确定其中存在的疑点问题;然后进一步采取人员访谈、现场测试等方法, 找出系统存在的安全隐患。
在应用控制中主要核查了系统参保登记、参保变更、缴费核定、基金征缴、工伤认定、工伤鉴定、待遇审核和发放等功能模块, 对各功能模块的输入、输出、处理进行了分析测试。审计中, 首先通过研究工伤保险业务政策、了解业务流程、与有关人员交流等方式, 确定了几十个系统风险控制点;然后, 针对各控制点, 设计相应的测试用例来测试控制的有效性, 同时采用检查后台存储过程代码、平行模拟工伤业务等方式, 验证系统逻辑处理的正确性, 发现其中存在的控制风险甚至违法违规问题。
(4) 审计中发现的问题。通过对工伤保险系统进行审计, 一是发现系统在一般控制方面存在薄弱环节, 如信息技术人员与业务人员职责没有明确分离;中心机房缺少必要的监控、报警设施;数据备份和恢复计划不明确, 数据没有异地容灾措施;网络系统缺少入侵检测、漏洞扫描等安全设置, 缺少必要的网络管理软件;部分服务器采用弱口令等问题。二是发现系统应用控制存在漏洞, 如系统存在多项输入控制缺陷, 对部分必须输入的关键信息没有进行提示和检测, 对身份证号码、银行账号等重要数据的正确性校验存在不足, 无法有效保证数据的完整性和准确性等。
参考文献
[1].胡克瑾.IT审计.北京:电子工业出版社, 2004
[2].Weber, R.A.Information Systems Control and Audit.Pearson Education, 1998
[3].唐志豪, 计春阳.试析信息系统审计.财会月刊 (会计) , 2008;10