前言：本站為你精心整理了審計風險判斷范文，希望能為你的創(chuàng)作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

一、流程對審計風險判斷具有重要意義

流程的概念很多,ISO/IEC9000將之定義為一組將輸入轉化為輸出的相互關聯或相互作用的活動。企業(yè)由流程構成,Kaplan(2001)將企業(yè)定義為是一系列相互關聯的活動或流程的集合,或是一個價值鏈。在IT環(huán)境下,流程可理解為“角色加活動”,即將流程描述為一個為實現特殊目的而合作且互相影響的角色的集合。早期人們對企業(yè)流程的理解大多局限于傳統(tǒng)的業(yè)務領域;當IT逐漸與業(yè)務融合,并成為企業(yè)所有經營活動的驅動引擎時,流程的范圍開始拓展,此時的IT流程與業(yè)務流程需要實現動態(tài)整合,即IT活動被看作是業(yè)務,并執(zhí)行與業(yè)務相同的管理方式。因此,IT環(huán)境下的企業(yè)業(yè)務流程應該是廣義的,同時包含IT流程和業(yè)務流程。美國公眾公司會計監(jiān)督委員會的第5號審計準則就指出,作為理解重大流程的一部份,審計師應理解IT如何影響公司的交易流程。

有些大的會計公司為了強調經營風險的審計方法,修改它們的審計輔助軟件,以圍繞業(yè)務流程組織審計證據,而不是按照傳統(tǒng)的交易循環(huán)組織證據。關注業(yè)務流程的審計軟件系統(tǒng)(Business-Process-Focused,BPF)通過價值鏈組織被審單位的信息;而傳統(tǒng)的關注交易循環(huán)的審計軟件系統(tǒng)(Transaction-Circle-Focused,TCF)是按照交易分類組織被審單位的信息。O''''DonnellE和JrJosephJSchultz(2003)的研究結果表明使用BPF軟件的審計人員能識別出更多的風險情形,并將風險估計在恰當的水平;而使用TCF軟件的審計人員對風險的識別和估計都較差。因此他們認為不同的信息組織形式會影響審計人員的決策判斷。造成這種結果的原因在于業(yè)務流程關注事件之間的關聯性,它通過情景引導記憶;而傳統(tǒng)的交易循環(huán)關注的是交易分類,它通過語義引導記憶。因此,關注業(yè)務流程可降低任務的復雜性和認知難度。隨后其他的研究人員也發(fā)現圍繞業(yè)務流程開展內部控制的評估任務更為有效。

二、IT環(huán)境下基于流程的審計風險判斷方法

為了協助審計人員運用自上而下的風險導向審計方法,國際審計和鑒證準則委員會于2005年制定了“在整個審計

過程中運用職業(yè)判斷對重大錯報風險進行更準確評估的框架和模型”。具體步驟如下:(1)了解企業(yè)及其環(huán)境(包括內部控制),識別風險,并在報表層次考慮交易性質、賬戶余額、披露;(2)將發(fā)現的風險與認定層次可能發(fā)生的錯誤與舞弊相聯系;(3)考慮風險的重要性;(4)考慮風險的發(fā)生概率。這個風險判斷思路也同樣適用于IT環(huán)境。因此借鑒自上而下的審計方法,將流程作為IT風險判斷的中間環(huán)節(jié),改進了的IT環(huán)境下的審計風險判斷方法具體實施步驟如下:

1.了解企業(yè)及其環(huán)境(包括內部控制)。我國2006出臺的《中國注冊會計師審計準則第1211號——了解被審計單位及其環(huán)境并評估重大錯報風險》列舉了影響重大錯報風險的因素:行業(yè)狀況、監(jiān)管環(huán)境以及其他外部因素,企業(yè)性質,目標和性質以及相關的經營風險,財務業(yè)績的衡量和評級,內部控制。在IT環(huán)境下,識別和評價企業(yè)層面的風險和風險控制的有效性時,需特別考慮:(1)IT利益群體的風險及對IT利益群體控制的有效性,如IT治理;(2)企業(yè)層面的IT控制,如與IT相關的控制環(huán)境、風險評估、信息與溝通、監(jiān)控、教育和培訓等方面。

2.確定財務報告流程的核心要素。根據企業(yè)層面的風險評估結果識別重大賬戶、重要披露及與之相關聯的認定。

3.識別關鍵業(yè)務流程。審計人員首先要識別與上述重大賬戶、重要披露、認定相關聯的關鍵流程及流程所包括的主要交易,同時識別流程中易發(fā)生錯誤和舞弊的關鍵點(控制點)。為了判斷業(yè)務流程能否實時預防或檢測錯誤和舞弊,審計人員要識別出需要被測試的控制點,由于業(yè)務流程大多基于IT,因此要確定這些控制點哪些是依賴IT的,然后識別并證實關鍵的IT功能。

4.確定與IT功能相對應的應用系統(tǒng)的范圍。詳細列出與這些IT功能相關的應用系統(tǒng)和與之關聯的子系統(tǒng),包括交易應用系統(tǒng)和支持性應用系統(tǒng)。交易應用系統(tǒng)在處理組織內的數據時通常提供以下功能:(1)通過借貸關系記錄交易的價值數據;(2)作為財務、經營和法規(guī)數據存放的倉庫;(3)能夠生成各種財務和管理報告,包括銷售訂單、客戶發(fā)票、供應商發(fā)票以及日記賬的處理。支持性應用系統(tǒng)并不參與交易的處理,但方便了業(yè)務活動的進行,如Email程序、傳真軟件、設計軟件等。

然后IT審計人員與財務審計人員合作,從列示的子系統(tǒng)中識別出支持授權、復雜計算、維護重要賬戶(如存貨、固定資產、貸款等)的完整性的重要應用系統(tǒng)。應用系統(tǒng)是否重要,需要考慮:交易量(交易量越多,應用系統(tǒng)越關鍵)、交易金額(金額越大,應用系統(tǒng)越關鍵)、運算的復雜性(運算越復雜,應用系統(tǒng)越關鍵)、數據和交易的敏感度(敏感度越大,應用系統(tǒng)越關鍵)。為應用系統(tǒng)提供IT服務,或者支持應用系統(tǒng)關鍵環(huán)節(jié)的IT一般流程即為需要進行IT一般控制測試的范圍。

5.識別管理和驅動這些重大應用系統(tǒng)的IT流程。識別所有支持這些應用系統(tǒng)的基礎設施,包括數據庫、服務器、操作系統(tǒng)、網絡,以及與之相關聯的IT流程。判斷這些IT流程的風險和相關的控制目標。識別出需要被測試的IT一般控制,進而判斷其是否符合控制目標?？刂茰y試結果將影響與之相關的IT應用控制的評價、業(yè)務流程的風險評價。對這些流程和系統(tǒng)進行風險和控制評估后,就可以制定風險控制矩陣。

6.評價IT控制、分析業(yè)務流程風險。結合對IT一般控制的評估結果和對業(yè)務流程中IT應用控制的評估結果,就可以分析關鍵業(yè)務流程的IT風險控制情況。此時的IT控制測試和人工控制測試要結合起來予以考慮,即將二者作為一個整體的測試對象。業(yè)務流程的風險是與業(yè)務流程所關聯的一系列交易活動、賬戶群的余額、列報(包括披露)認定層次重大錯報風險相聯系的,因此,業(yè)務流程風險的評價結果構成了認定層次重大錯報風險評估的直接基礎。

7.評估電子證據證明力、設計實質性測試程序。審計人員可根據上述步驟的風險評估結果判斷某一業(yè)務流程的電子審計證據的證明力并設計與業(yè)務流程有關的賬戶群的實質性測試程序。

通過上述7個步驟,審計人員可以將IT環(huán)境下的企業(yè)風險因素與報表層次和認定層次的重大錯報風險相鏈接,同時也為電子審計證據證明力(即檢查風險的判斷)提供了依據。

參考文獻:

[1]顧曉安,基于業(yè)務循環(huán)的審計風險評估專家系統(tǒng)研究[J].會計研究,2006(4):23-29.

[2]O''''DonnellE,JrJosephJSchultz.TheInflueceofBusiness-Process-FocusedAuditSupportSoftwareonAnalyticalProceduresJudgements[J].Auditing:AJournalofPractice&Theory.2003,22(2):265-279.

[論文關鍵詞]審計風險審計風險判斷IT環(huán)境

[論文摘要]現代風險導向審計是以被審單位的經營風險為出發(fā)點,將“發(fā)現的風險因素同認定層次可能發(fā)生的錯誤相聯系”是審計風險判斷的關鍵。但傳統(tǒng)的審計方法并未明確指明如何將兩者相聯系,也并未考慮IT帶來的影響。在IT環(huán)境下,審計風險判斷應以流程(包括業(yè)務流程和IT流程)為中間環(huán)節(jié),建立基于流程的審計風險判斷方法。