基于风险的内部审计方法及内部控制.doc

1、1基于风险的内部审计方法及内部控制摘要：基于风险的内部审计是内部审计的演进，强调整体和组织目标的实现。此过程始于被审计的组织的目标，然后转向影响这些目标实现的风险，最后消除这些风险，实现组织的整体目标的过程。 关键词：风险 内部控制 采购支付循环 随着我国管理体制、模式的转型，以及与世界审计观念的接轨。内部审计作为组织实现其战略目标及经营目标的一个重要部门，应不断更新内部审计的观念与方法，在内部控制的基础上提升到基于风险的内部审计模式。 在此模式下，首先管理者要平衡风险与执行控制风险的成本。内部审计师根据设定实质性错误的标准去确定审计证据的范围。在设计及评估内部控制之前，内审师应先对组织的固有

2、风险（潜在的欺骗行为及在财务报表中严重的实质性错误）进行评估。评估固有风险的因素包括高级管理者的经验和技能、一般经济状况和组织所处的行业情况等。若固有风险比较高，内部控制有效性的设计与评估必须很好，才能防止实质性的错误。 审计师检查内部控制作为审计的一部分，以决定涉及到交易的信息的可靠性。根据 COSO （Committee Of Sponsoring Organisations）定义内部控制：内部控制是一个过程，被组织的领导，管理人员和其他员工所影响，是被设计用来提供合理的保证，以实现以下的目标：经营的2有效性和效率；财务报告的可靠性；遵从法律和规章。 内部控制有五个部分组成：控制环境，风险

3、评估，控制活动，信息和交流，以及监控。 从 90 年代起，内部审计开始注重过程和系统而不是交易，并帮助管理者进行合作，而不是给管理者找问题。 风险被定义为某个事件或活动极大的影响了组织实现它的目标的成功和执行它的策略的能力。 管理层不仅要检查内部控制的有效性，还要提供保证所有显著的风险已经被有效的检查过了，风险已经被完全有效的管理了，并且风险管理程序是适当的，合适的。 基于风险的审计，简单的说就是去审计对于你的组织最重要的实务（最重要的实务，就是那些会产生最大风险的地方） 。基于风险的审计是一个过程。始于被审计组织的目标，然后转向影响这些目标实现的风险，最后消除这些风险的过程。因此基于风险的审

4、计是一个演进，而不是一个变革。 内部审计的发展经历了三个阶段： 阶段一：账面审计 早先传统的方法强调详细的账面审计。 阶段二：以系统为基础 此阶段强调对系统和流程的审计，而不是去审查大量的交易。 阶段三：以风险为基础的方法 强调整体和组织目标的实现，而不是仅关注控制和寻找影响目标的3威胁。 根据澳大利亚和新西兰审计标准 402， （AASB2000） ，对风险标准的定义，风险是正在发生的某事将会影响组织目标实现的一种可能性。 传统的组织是以功能角度设计的。被等级化设计的组织有清晰的组织结构，包括功能划分，报告责任被清晰定义在这些的功能里。组织被部门化，且基于不同的功能。例如组织的部门可能包括财

5、务部，只负责组织财务活动的记录；生产部，只负责生产货物。基于功能的组织，各部门之间是独立的，财务不涉及到销售，生产也不涉及到销售，没有为实现组织共同的目标而互相合作及沟通。类似于我国建国初期的组织企业模式。 以某事业单位为例，该单位审计处对采购支付循环的内控及风险评估： 当风险被识别在风险评估阶段，控制活动是管理者或内部审计师对风险的对策，是内部控制的重要组成。控制活动主要分为五类： 第一，职责分离。资产的采购，交易的授权，资产和记录的保存所涉及到的人是否被分离。如果没有健全的职责分离很容易使个体进行犯罪并能掩盖他们的行为。 第二，在此采购支付循环中，要求分离资产的保管工作与资产清点记录工作，

6、否则将造成资产盗窃并更改记录的可能性，因此要求后勤处安排不同的人负责保管资产和资产清点记录工作。 此循环中，采购单记录被保存在不同的部门，如果只有一个部门拥有并保管记录，会造成更改记录的可能性。 4第三，恰当的交易授权。授权可分为一般授权和特殊授权。在一般的授权下，管理者建立了一般规定去指导一般授权以便批准在上限之内的交易。特殊授权被应用到特定的交易，比如金额巨大的采购，管理者将亲自审查批准。 第四，对于资产和记录的保护。只有授权的人才能保管和接触资产以及记录文件。 第五，独立的检查及核实。最后一个控制活动是对上面 4 个控制活动的持续和仔细的检查。负责内部核查程序的人员必须独立于最初负责记录

7、这些数据的人。 基于风险的内部审计方法中，审计师要使用控制测试，交易的实质性测试，分析性程序，账户的详细测试四个工具去测试控制有效性。 第一，控制测试。询问适当的员工；检查文件，记录和报告；观察与控制有关的活动；审计师重新履行控制活动去检查控制活动的有效性。第二，交易的实质性测试， （实质性测试是一个用来去测试直接影响财务报表余额正确性的货币性错误的程序）用来决定对于每一个交易是否与交易有关的六个审计目标都被满足。 第三，分析性程序涉及比较被记录的数目与审计师期望的数目。 第四，账户的详细测试强调资产负责表和损益表的期末的总账余额，比如确认应付账款，现场核查存货以及卖家的应收账款申明。 在此循

8、环中，重大的风险通过内部控制中的风险评估所识别，并在控制活动中所处理。最后通过控制测试和交易的实质性测试监测测试控5制的有效性。 参考文献： 1Arens， AA， Elder 2008， Auditing and assurance services ： an integrated approach， 12th edn， Pearson Education， New Jersey 2Robert Knechel， W 2007， Auditing： Assurance & Risk， 3rd end， Cengage Learning， Stamford 3Considine， B 2008， Accounting information systems： understanding business processes，2nd end， John wiley & Sons Australia， Milton 4Griffiths，P 2005， Risk-based auditing， Gower Publishing， Hampshire