固有风险和控制风险

开篇：润墨网以专业的文秘视角，为您筛选了八篇固有风险和控制风险范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

固有风险和控制风险范文第1篇

浅议审计风险的评价 文章作者：阿飞 文章加入时间：2005年9月7日10:56 近两年来，我国会计市场接连发生重大的诉讼案件，许多注册会计师和会计师事务所，都被牵扯到经济案件中，在社会上产生了很大的反响。随着国有企业改革的进一步深化和会计师事务所脱钩改制的完成，注册会计师更需要对被审计单位的审计风险有一个清醒的认识。 审计风险，英文称audit risk(ar)，是指在会计报表存在重大错报或漏报，而审计人员审计后发表不恰当审计意见的可能性。审计风险的造物主是注册会计师（cpa），它的产生并非偶然，当注册会计师的慧眼终究识破不了被审计单位的会计报表中存在的重大错报和漏报时，就有发表不恰当审计意见的可能性。于是，审计风险就产生了。 随着审计事

业的发展，职业界对审计风险问题将日趋重视，努力从本单位的实际情况出发，根据自己所处的环境和条件，在审计准备、实施和报告阶段采取各种风险管理和控制对策，以减少审计风险。避免风险损失是当前会计师事务所迫切需要解决的问题。审计风险的评价贯穿于审计过程的始终。审计风险评价的高与低、正确与否和注册会计师承担的审计责任有密切的关系，因此，加强审计风险管理，正确评价审计风险已成为会计师事务所提高审计质量和效率的一种十分重要的手段。 一、审计风险的构成要素及其关系 审计风险的内部控制结构很简单，由固有风险（inherent risk,缩写为ir）、控制风险（control risk—cr）和检查风险（detction risk—dk）三部分组成。所谓固有风险险是指假定不存在相关内部控制时，某一帐户或交易类别单独或连同其他帐户、交易类别产生重大错报或漏报的可能性。所谓控制风险，是指某一帐户或交易类型单独或连同其他帐户或交易类型产生错误或漏报，而未能被内部控制防止、发现或纠正的可能性。所谓检查风险，是指某一帐户或交易类型单独或连同其他帐户、交易类型产生重大错报或漏报而未能被实质性测试发现的可能性。 在审计风险的三个构成要素中，ir和cr是审计风险的硬件，因为它们的产生源于被审计单位，不易改变，注册会计师对比无能为力。因此，注册会计师只能将工作重点放在实质性测试上，以便将审计风险的软件dr控制在可接受的水平内，进而将审计风险降低至可接受的范围内。ir、cr和dr相互关系可以用定量和定性两个模型来考察。 从定量的角度看，审计风险三要是的相互关系可用下列公式表示： 审计风险=固有风险×控制风险×检查风险 根据上述公式，在既定的审计风险下，检查风险可计算如下： 检查风险=审计风险/（固有风险×控制风险） 例如：某注册会计师可接受的审计风险为5%，根据以往审计经验以及本年度审计对内部控制的研究和评价，他将被审计单位的固有风险和控制风险分别评估为60%和40%，以这些评估为基础，他可接受的检查风险如下： dr=5%/（60%+40%）=20.8% 从定性的角度考虑，审计风险三要素的相互关系如下表所示： 注册会计师 对固有风险 的评估注册会计师对控制风险的评估 高中低 注册会计师可接受的检查风险 高最低较低中等 中较低中等较高 低中等较高最高 上表说明，检查风险与固有风险和控制风险的综合水平之间存在着反比关系。固有风险和控制风险的综合水平越高，注册会计师可接受的检查风险水平越低，反之亦然。换言之，当固有风险和控制风险的综合水平越高时，注册会计师必须扩大审计范围，将检查风险尽量降低，以便使整个审计风险降低至可接受的水平；反之，如果被审计单位内部控制行之有效，固有风险和控制风险的综合水平较低，则注册会计师即使冒较大检查风险，但总体审计风险仍然较低。 因此，评价审计风险应从它的三个要素入手，下面就分别进行阐述。 二、固有风险的评价 固有风险与被审计单位内部控制是否存在、是否有效有关，是被审计单位所固有的，是注册会计师不能改变的，但是，注册会计师可以通过研究和评价被审计单位的内部控制来对它做出评估，若被审计单位内部控制良好，则会计报表产生错报或漏报的可能性就较小，注册会计师可将其评价为低水平；反之，则应评价为高水平。 在评价固有风险时要考虑多方面的因素，这些因素大体可以分为两类：第一类因素与会计报表定省略符合性测试，直接实施实质性测试，将无法对内部控制的有效性做出评价，基于稳健考虑，应当将控制风险评估为高水平。 只有出现下列情况时，注册会计师才不应当将控制风险评为高水平： 1、相关内部控制可能防止、发现或纠正重大错报或漏报。 2、注册会计师不拟进行符合性测试。上述第一种情况说明内部控制可能有效，第二种情况说明控制风险的高低，只有待注册会计师实施符合性测试程序后，才能最终予以评估。 （二）符合性测试与控制风险的进一步评价 注册会计师如拟信赖被审计单位内部控制，应当实施符合性测试程序，以评价控制风险。初步评价的控制风险水平越低，注册会计师就应获取越多关于内部控制设计合理和运行有效的证据。这包括两层含义：第一层含义是实施符合性测试是确定信赖内部控制的前提条件。当然，如果不准备信赖内部控制，注册会计师便不实施符合性测试。第二层含义说明了控制风险初步评价结果与审计证据的关系。如前所述，基于稳健原则，注册会计师宁可高估控制风险，不可低估控制风险。因此，注册会计师如将控制风险评估为最低水平，则他必须获取尽可能多的证据以表明内部控制设计合理、运行有效。 进行了符合性测试后，注册会计师应当根据符合性测试的结果，评价内部控制的设计和运行是否与控制风险的初步评估结论相一致。如果存在偏差，应当修正对控制风险的评价，并据以修改实质性测试程序的性质、时间和范围。 控制风险可评价为高水平，也可评价为低水平。意味着内部控制不能及时防止或发现和纠正某项认定中的重要错报或漏报的可能性很大。如果很多认定或所有认定的控制风险都被评价为高水平，那么注册会计师就要研究是否应进一步对被审计单位会计报表进行审计。 注册会计师只有在确认以下事项的情况下，才能将控制风险评价为高水平： 1、控制政策和程序与认定不相关； 2、控制政策和程序无效； 3、取得证据来评价控制政策和程序显得不经济。 注册会计师只有在确认以下事项的情况下，才能将控制风险评价为低水平： 1、控制政策和程序与认定相关； 2、通过符合性测试已获得证据证明控制有效。 如果注册会计师评价企业内部控制为高信赖程度，说明控制风险为最低。而控制风险越低，注册会计师就可以执行越有限的实质性测试。如果内部控制为低信赖程度，说明控制风险很高，那么，注册会计师只有依靠执行更多的实质性程序，才能控制检查风险处于低水平，进而控制审计风险处于低水平。只有这样，才能保证审计的质量。可以看出，内部控制目标与审计目标相联系，无效的内部控制必然导致注册会计师增加实质性测试的工作量。但不论固有风险和控制风险的评估结果如何，注册会计师均应对各重要账户或交易类别进行实质性测试。 （三）实质性测试与控制风险的最终评价 注册会计师在终结审计之前，应当根据实质性测试的结果和其他审计证据，对控制风险进行最终评估，并检查其是否与控制风险的初步评估结果相一致。如果不一致，如实质性测试结果表明，控制风险水平高于控制风险的初步评估水平，可能意味着根据对控制风险初步评估结论而设计的实质性测试程序不能将检查风险降低至可接受的水平，在这种情况下，注册会计师应当考虑是否追加相应的审计程序。例如：通过发函询证，注册会计师发现回函结果与被审计单位的会计记录普遍存在重大差异，这表明被审计单位未能有效地就应收账款与客户定期核对。为此，注册会计师可能决定全面、详细地审查所有销货交易，扩大应收账款的函证范围。 通过控制测试和实质性测试，可以从总体上把握审计质量，控制审计风险。 四、检查风险的评价 （一）检查风险的评价基础

如前所述，审计风险三要素之间存在着密切联系。固有风险与控制风险的综合水平，决定者注册会计师的检查风险水平。评价的固有风险与控制风险综合水平越高，注册会计师可接受的检查风险水平也越低，反之亦然。因此，由于控制风险与固有风险相互联系，注册会计师应当对固有风险和控制风险进行综合评估，并据以作为检查风险的评估基础。 鉴于固有风险与控制风险的评估对检查风险有直接影响，固有风险和控制风险水平越高，注册会计师应实施越详细的实质性测试程序，并着重考虑其性质。例如：针对存货和产品成本项目，除进行分析性复核外，还应对其余额进行实质性测试，并对实质性测试的时间（如在接近会计期间结束时）、范围（如抽取较大样本）加以关注，以将检查风险降低至可接受的水平。 （二）检查风险对确定实质性测试的性质、时间和范围的影响 不论固有风险与控制风险的评估结果如何，注册会计师都应当对各重要账户或交易类别进行实质性测试。然而，注册会计师实施的实质性测试，其性质、时间和范围的确定，最终取决于根据固有风险和控制风险的综合水平确定的可接受的检查风险。它们的关系如下表所示： 实质性测试可受的检查风险性质时间范围 高分析性复核和 交易测试为主期中审计为主较小样本 较小证据 中分析性复核、交易测试以及余额测试结合运用其中审计、期末审计和期后审计结合运用适中样本 适量证据 低余额测试为主期末审计和期后审计为主较大样本 较多证据 （三）检查风险与审计意见的类型 检查风险不仅影响注册会计师所实施的实质性测试的性质、时间和范围，而且影响注册会计师所发表的审计意见的类型。如果经过实施有关实质性测试后注册会计师仍认为与某一重要账户或交易类别的认定有关的检查风险不能降低至可接受的水平，那么，他应当发表保留意见或拒绝表示意见。这是因为，如果不能将重要账户或交易类别的检查风险降低至可接受的水平，说明注册会计师因审计范围受到重大限制，难以确定有多少重大错报或漏报，无法通过实质性测试予以发现，会计报表的部分或全部认定是否真实、公允也难以确定。在这种情况下，比较稳妥的做法是发表保留意见或拒绝表示意见。 作为对外开放的专业服务市场之一，我国会计市场入世后必将发生很大变化。在未来市场中如何定位，已成为每一个会计师事务所当前最为关心的问题。如何科学合理地评价及运用审计风险理论已成为一个关系到会计师事务所生死存亡的关键因素。 最近，一些专家提出了一种新的审计风险评价模式：ar=ir+cr+dr+u（r）。u为随机扰动项，是一个风险的函数，专门应对那些无法估计到的因素，像汇率变动、物价上涨等因素。这一函数的引用将使审计风险模型的功能更加完备，同时事务所生存的压力也将增大。入世后，对注册会计师出具的审计报告期望越高，注册会计师事务所面临的审计风险就越大，稍有疏忽，有关会计师事务所就会面临关闭、没收财产、罚款、直接责任人被吊销执业资格的局面，甚至会导致某些人锒铛入狱等。 如前所述，注册会计师所从事的是一种风险性行业，只要执业环境存在缺陷，只要采用抽样审计，就会存在审计风险。注册会计师或许无法完全规避审计风险，但这不等于说他们可置审计风险于不顾。相反地讲，面对客观存在的审计风险，注册会计师应保持职业谨慎，运用专业判断，对被审计单位的审计风险各要素，包括固有风险、控制风险和检查风险进行全面的评价。如果评价结果表明被审计单位的固有风险和控制风险较高，注册会计师就应当实施能够将检查风险降低至最低水平的实质性测试，即以余额（金额）测试为主，在资产

负债表日之后实施，抽取较大样本，获取较多审计证据，只有这样，才能将总体审计风险降低至注册会计师可接受的水平。 现实是残酷的，而面对现实更需要理智和谋略，对注册会计师及事务所来说，转变观念，强化风险意识，建立良好的内部运行机制和完善内部质量控制制度，提高从业人员素质，引入风险管理模式等手段不失为一种降低审计风险，提高执业质量的有效途径。 文章出处： 【大 中 小】 【打印】 【关闭】

固有风险和控制风险范文第2篇

风险基础审计（riskbased auditing）是指审计人员以风险的、评价和控制为基础，综合运用各种审计技术、搜集审计证据，形成审计意见的一种审计。风险基础审计是在制度基础审计的基础上起来的，虽然风险基础审计尚在发展中，但已形成了广为接受的思想与模型，风险基础审计模型如下：

审计风险＝固有风险×控制风险×检查风险

根据注册师协会颁布的《独立审计准则》，审计风险是指会计报表存在重大错报或漏报，而注册会计师审计后发表不恰当审计意见的可能性；固有风险是指假定不存在相关内部控制时，某一账户或交易类别单独或连同其他账户、交易类别产生重大错报或漏报的可能性；控制风险是指某一账户或交易类别单独或连同其他账户、交易类别产生错报或漏报，而未能被内部控制防止、发现或纠正的可能性；检查风险是指某一账户或交易类别单独或连同其他账户、交易类别产生重大错报或漏报，而未能被实质性测试发现的可能性。

对于审计风险，虽然中国注册会计师协会的定义仅局限于财务报告，但在审计实践中可以将审计风险、固有风险、控制风险和检查风险的外延向其他领域延伸。中国人民银行对辖属分、支行开展全面审计四年多的实践也说明了，审计风险不仅局限于财务方面，已延伸至央行的所有业务。

二、风险基础审计的思想

风险基础审计主要是外部审计师在对被审计单位财务报告进行审计时发展起来的，但风险基础审计的思想一样可以于内部审计。特别是在央行全面审计中，可以应用风险基础审计的模型及其思想，指导全面审计的实践，风险基础审计的思想概括起来主要有：

1、审计风险是客观存在的，任何审计无论采取什么方式，都不能完全避免审计风险。

2、对固有风险和控制风险进行评价，不但可以确定审计重点与范围，而且可以确定实质性测试时抽样的方式以及样本的数量。

3、对固有风险和控制风险评价时，不能仅仅局限于制度评价，而且应该考虑控制环境，评价应该是全面彻底的。

4、审计风险与审计的效率存在负相关，审计效率的提高应该是在审计风险可接受范围内。只有当可容忍审计风险确定后，才能确定进行实质性测试的与数量，从而决定审计效率。

5、在审计中运用符合性测试与实质性测试可以降低审计风险。符合性测试主要应用于风险评价阶段，实质性测试则应用于现场检查阶段。

三、风险基础审计思想在央行全面审计中的应用

在央行全面审计中，运用风险基础审计思想可以较准确地确定审计的重点和范围，提高审计效率，有效地降低审计风险。在审计中，起决定性作用的因素就是相关风险，风险是决定审计质量和审计效果的关键因素，风险也是分配审计资源的先决条件。

全面审计前必须对被审计单位进行风险评价，进行风险评价时应当注意以下几点。

1、风险评价应该全面。在对央行进行全面审计时，通常需要进行风险评价，评价应该涵盖央行业务的所有范畴。央行运转通常包括三个机制：决策机制、执行机制、监督反馈机制。现在全面审计进行风险评价往往只是对执行机制进行，而对于决策机制和监督反馈机制要么评价不足，要么根本就没有开展。在全面审计时，只有对决策机制、执行机制和监督反馈机制进行全面风险评价，才能对风险有根本的把握，避免“全面审计不全面”的。风险评价侧重点因被评价机制的不同而存在较大差异，决策机制评价主要注重机制的性与合理性，如果决策机制存在问题，那么将导致严重的管理风险，当然鉴于央行队伍现状及内审经验积累尚且不足，对决策机制评价的完善仍需一个过程；执行机制是央行运转的基础。执行机制评价主要侧重于机制设置的科学性、机制运行的有效性；监督反馈机制是央行内部防线，监督反馈机制是否完善与有效直接控制风险水平，监督反馈机制越完善越有效则风险的水平越低，监督机制评价主要在于机制的完整性和有效性。

2、风险评价不能局限于控制风险。现行的风险评价一般只注重控制风险评价，实际上固有风险评价也一样重要。按照《独立审计准则》的定义，固有风险是内部控制缺位情况下，账户存在错报或漏报的可能性。固有风险评价一般关注控制环境如：被审计单位领导者的品行和能力、领导者所遭受的压力、容易产生错报的报表项目等，同时会计期间内，尤其是临近会计期末会计指标的异动也为固有风险评价提供线索。控制风险评价的主要：被审计单位业务的主要类别、各类主要业务的发生过程、重要的会计凭证、账簿记录以及会计报表项目、重大交易和事项的会计处理过程以及交易授权等。在全面审计时，只有把固有风险和控制风险评价结合起来，才能对央行的风险点或薄弱环节有比较完整的认识，更加准确地确定审计的重点和范围，有效地降低审计风险，提高审计效率。

3、风险评价时应关注制度之外的因素。制度评价是风险评价的最主要内容之一，无论是对决策机制或执行机制还是对监督反馈机制的评价，制度评价都是不可或缺的部分，因为决策机制、执行机制与监督反馈机制建立和运转都需要制度保障与支持。在制度评价中，不能仅仅关注制度本身，更应该关注制度是否得到有效的执行，既要注意制度的完整性，更要注意制度的有效性，这是符合性测试的要求。为了保证制度有效性，在符合性测试时通常采用穿行测试（在每一类交易循环中选择一笔或若干笔业务进行测试，以验证工作底稿上描述的内部控制制度信息的客观性和真实性）等。对制度进行评价时，应该考虑制度执行者的自身素质和风险意识等因素。如果执行者自身素质较差，那么对业务风险往往缺乏完整、清晰的认识，风险累积和爆发的概率就比较大。最后由于制度的制定和完善是个动态的过程，对制度评价同样要以动态的眼光来看待，进行符合性测试应该考虑到制度本身是否适应现有业务的需要。

固有风险和控制风险范文第3篇

[关键词] 战略审计;风险评估;评分维度;战略风险分布图

doi:10.3969/j.issn.1673-0194.2009.18.017

[中图分类号] F239

[文献标识码] A

[文章编号] 1673-0194(2009)18-0050-03

一、战略风险与战略审计解析

战略风险是一种综合性风险，所有对企业价值或发展路径产生重大影响的事件或趋势，都可谓企业的战略风险。其影响因素可能来自于外部，如自然灾害和经济危机;也可能源自于内部，如企业转型和盲目并购。

基于风险控制的战略审计是将企业置于一个大的经济环境中，运用立体观察的理论来判断影响因素，从企业所处的经济环境、经营方式、管理机制等方面来评估企业战略制定、实施过程的科学合理性，并把被审计单位的战略风险评估纳入审计程序中去。

二、战略审计实施中的风险评估探索

在实施战略风险评估中，审计人员需要对初步识别出的风险点进行进一步的综合评估，从而对企业战略管理过程中的风险状况做出合理、准确的判断，并参考其他审计内容的有关因素和对战略风险的影响程度，对审计结果做出调整。

对战略风险的评估可采用单体风险评分法。其中，固有风险是假设企业没有对这一风险进行管控所面临的状态，固有风险越高说明这项工作的重要性越高。剩余风险是结合了企业的管控有效性之后所面临的风险，也就是企业实际的状况。固有风险和剩余风险的概念差体现的就是企业的管理水平。单一风险评分法分别对固有风险、剩余风险打分，以各自的评分维度作为打分标准。分为5个等级:很高(5分)、高(4分)、中(3分)、低(2分)、很低(1分)。固有风险、剩余风险内各个维度的评分结束后，将得分加权平均，可得固有风险及剩余风险的总评分。

(一) 固有风险及剩余风险的评分维度剖析

对于固有风险的个别维度不适用的情况，直接在“很低”一栏填写“不适用”即可;剩余风险不存在“不适用”的打分，若是个别维度体现不明显，则直接选择“很低”。评级尽可能先做定量判断;在很难定量的情况下，再进行定性判断。固有风险及剩余风险的评分维度如表1、表2所示。

对固有风险评分表的分析:

(1)财务影响。该维度是假设没有管控或管控不力的情况下，近一年该战略风险对公司净利润或现金流量的直接影响。财务影响的分级数据可利用公司年度税后净利润或现金流量乘以重要性水平得到。

(2)声誉。该维度是假设没有管控或管控不力的情况下，战略风险导致的后果所引发的社会责任以及对公司声誉的影响程度。其可从负面消息流传的范围及关注程度考虑，“很高”，是在世界范围流传;“很低”，是在企业内部流传;“中”是在全国流传。

(3)合法合规性。该维度是假设没有管控或管控不力的情况下，公司违反相关法规的程度或金额。可从两个方面考虑:一方面是违规的程度，反映在调查机关的级别高低上，“很高”是引起中央机关的调查，“中”是导致地方政府的调查，“很低”是轻微的违反法律法规;另一方面是引起诉讼和罚款的金额。

(4)客户。该维度是假设没有管控或管控不力的情况下，与公司的销售终端——客户的关系受影响的程度，可用客户的订单量为参考依据。“很高”是客户停止采购或取消80%以上订单;“高”是客户寻找其他供应商或取消部分订单;“中”是对客户订单基本无影响，但未来的业务发展受到限制;“低”是有部分投诉或发生补救费用;“很低”是对客户影响很小，仅发生最少的投诉及补救费用。

(5)员工的流失。该维度是假设在不对该风险进行管控的情况下公司全体员工的流失程度。可从两方面进行评价:一是关键员工的流失比率;二是普通员工的流失比率。员工流失的越多，级别越高。

(6)运营。该维度结合了对企业整体业务影响的时间、人力、成本等定量指标，即指挽回对运营造成的影响所需付出的成本、人力等。从“很高”到“很低”，对企业的业务的影响程度依次是:影响重大业务能力、影响部分业务能力、影响日常运作、有一定影响但不影响日常运作、影响微弱等，无法定量判断时就采用定性判断。

(7)其他利益相关者。这里是指除了客户和员工以外的利益相关者，如股东和社会机构。其反映为对企业股价的影响，可以用消息是否外传或公布来帮助理解。“很高”到“很低”依次对应:股价连续大幅震荡、股价数日大幅震荡、股价非正常震荡、股价单日涨(跌)停、不会实质性导致股票波动。

(8)发作速度。该维度假设在没有管控或管控不力的情况下，从隐性不利迹象到风险导致实质损失的时间、非常迅速到很少或没有预警时间。“很高”到“很低”依次对应:在一到几天以内就发作、经过数天到数周才发作、潜伏期已达数月、潜伏期在数月以上到数年。

对剩余风险评分表的分析:

(1)响应速度。该维度衡量风险事件发生以后企业采取补救措施的速度，响应速度越快风险越低。

(2)控制效果和效率:控制/整改。该维度衡量风险事件发生之后企业是否针对原有流程进行优化与整改:“很高”是没有整改计划，“高”是计划不完善，“中”是有计划但没有例行测试，“低”是有计划有定期测试，“很低”是将计划和测试嵌入企业的整个流程，作为部门的长效管理机制。

(3)控制效果和效率:监测和报告。该维度衡量有关风险的报告，“很高”和“高”的差别是有没有分析风险，有没有报告;“高”和“中”的差别是有没有识别风险源头，是口头报告还是正式报告;“中”和“低”的差别是有没有报告的时间表;“低”和“很低”的差别是有没有风险指标。

(4)近一年的风险数据:违规成本或造成的损失。该维度衡量近一年内该风险发生造成的实际损失的相关数据。

(5)风险管理能力:人/技能/知识。该维度考虑两个方面:一是员工本身的管理战略风险的意识和能力;二是员工获取外部资源的途径是否充分，即有助于战略风险管理的渠道、信息、管理方法、管理模型等。员工的风险管理能力越强、能够获取的外部资源越多风险越低。

(6)风险管理能力:第三方。该维度衡量企业在进行战略风险管理时与第三方的关系。对第三方的依赖程度越高，风险越高。第三方包括:客户、商、供应商。

(7)风险管理能力:流程。对流程的影响是指改变流程的走向。主要看对关键流程的影响:影响多个关键流程对应“很高”;影响一个关键流程对应“高”;对关键流程没有影响对应“中”。

(8)风险管理能力:系统/数据/信息系统/安全。该维度衡量对企业关键信息系统的依赖和影响程度。依赖和影响的程度越大，风险程度就越高。如果信息系统出现问题，考虑是否能够由手工替代，若完全无法替代，则剩余风险较高。

(9)扩张或收缩。该维度是指未来12个月或更长的时间内管理这个风险的业务、人员、流程和系统发生变革的程度。发生变革的程度越大，则剩余风险越高。

(二)战略风险分布图评估

通过对识别出的各个战略风险的评分，我们可以得到有关单体风险的一个分值(X，Y)，固有风险一个分

数(X)、剩余风险一个分数(Y)，据此可以得到四象限矩阵的战略风险分布图，如图1所示。

战略风险分布图清晰地展示了企业目前面临的战略风险的现状，固有风险展示的是战略风险原生态的状况，是该战略风险的重要性的体现;剩余风险展示的是管理层施加管理控制措施后的风险水平，其实质上反映了企业的管控水平及能力。战略风险分布图可以让管理层一目了然地了解到战略管理中存在的问题，即哪些程序、哪些环节仍需进一步的调整与控制。

战略风险分布图已成为审计人员提出审计意见及改进建议的依据。针对第一象限的战略风险(双高风险)，审计人员应建议管理层改善现有的管理措施，提升业务流程及人员的管理水平，加强对该风险事件的监测与控制;针对第二象限内的战略风险(固有风险高，剩余风险低)，表明企业针对重大风险事件所采取的管理措施是行之有效的，但仍需继续关注，建议管理层定期评审相关流程的内部控制执行效力;针对第三象限内的战略风险(双低风险)，审计人员应建议管理层重新部署有限的管理资源，将人力、时间投入到需要管控的其他流程上;针对位于第四象限的战略风险(固有风险低，剩余风险高)，因其剩余风险是风险事件长期积累的结果，审计人员应进一步测量该风险的累积影响。

三、结束语

本文将战略风险管理与企业战略审计有机地融合，通过对基于风险控制的战略审计评估技术的探讨，并融合企业环环相扣的战略管理活动，使其真正能够起到改善并控制企业战略风险的功效，以此促进我国审计事业的良性发展。同时，基于风险控制的战略审计评估能促使企业内部控制系统不断实施、执行、评价和完善，趋于持续动态改进。

主要参考文献

固有风险和控制风险范文第4篇

一、重要性与审计风险的概念界定

重要性概念在审计中，指会计报告与实际情况不一致的严重程度。《独立审计准则第10号——审计重要性》中指出，重要性“是指被审计单位会计报表错报或漏报的严重程度，这一程度在特定环境下可能会计报表使用者的判断或决定”。重要性实质上强调了一个“度”，在会计或审计报告中，允许一定程度的不准确或不正确的存在，但是要以这个“度”为界。

重要性原则的运用贯穿于会计审计理论及实务中，但重要性水平则可以是针对会计报表、会计账户、乃至于各项交易，在多数场合是针对和首先针对会计报表的。

审计风险由审计行为带来，指由于审计人员出具的审计报告与被市项目真实情况不一致而承担审计责任的可能性。审计风险概念的意义不仅在于提请审计人员注重审计质量，承担审计责任，更重要的在于正确评估审计风险、控制审计风险。

二、重要性与审计风险的内在关系

我国理论界公认的审计风险决策模型为：

审计风险（AR）=固有风险（IR）×控制风险（CR）×检查风险（DR）

它最根本的用途在于根据确定的预期审计风险、固有风险、控制风险的水平来确定检查风险水平。检查风险的价值在于据此确定实质性测试的样本规模，把审计计划与审计实施过程有机地联系起来。

重要性与审计风险是不可分割使用的两个概念，必须把它们结合起来。那么，在重要性和审计风险之间存在怎样的关系呢？审计报告对被审事项中的重要性错误未予极因，就会导致审计风险。因此，重要性是审计风险控制的核心和重点。审计过程中同样的事项，其重要性程度提高时，审计风险必然降低；反之，审计风险必然提高。因此，重要性和审计风险之间是反向对应关系。

重要性理论的目的在于指导审计实践。审计人员对会计报表进行审计，首先要对重要性进行初步的判断。判断要从数量和性质等方面来考虑。从数量角度讲，重要性表现为重要性数量水平，如“税前利润的5％－10％”、“总资产的0.5％一1%”，等等。在此之所以单独称之为“重要性数量水平”，是为了区别于一般论述中的“重要性”、“重要性程度”、“重要性水平”。在审计实务中，“重要性数量水平”的作用在于作为会计报告允许出现差错的最高水平，评价所发现的重要性，进而确定发表审计意见的类型。

在实施审计前，审计人员对不同规模的重要性都有一个比较一致的认同，即有一个大致相同的重要性数量水平，这个水平应该是相对数。重要性数量水平越大，如从5％提高到10％，则对同一个项目的重要性程度认识就越低，从而审计风险也越大；反之，审计风险就越小。所以，重要性数量水平和审计风险水平成正向对应关系。

审计风险是对审计全过程的评价，由几个因素共同作用而成。审计人员所能控制的只有检查风险要素。所以，控制审计风险的要点在于控制检查风险。根据审计风险决策模型可知，在固有风险和控制风险一定的条件下，检查风险和审计风险成正比关系。

从而，重要性数量水平与检查风险水平成正向对应关系。

对于重要性数量水平与检查风险水平的关系我们有理由进一步作如下推断：

1、如果检查风险水平趋向0时；即在审计中几乎不允许遗漏任何错弊，则重要性数量水平也应接近0；

2、重要性数量水平与检查风险水平的取值范围均在0一100％之间；

3、重要性数量水平与格查风险水平在取值范围内的变化是连续的；

4、重要性数量水平与检查风险水平的变化不一定是均匀的。尤其在两者接近100％时，重要性数量水平变化速度应小于检查风险水平的变化速度。因为对任何一个审计项目，从理论上讲、即使审计人员愿意承担极高的审计风险，也不能采用100％的重要性数量水平。换言之，即使检查风险水平为100％，审计人员也不应将重要性数量水平定为100％、容忍所有的错误，而应将重要性数量水平限定在100％以下，对必要的进行审查后，方能提出审计报告，结束审计项目。

根据上述推断，试建立如下数学模型：

Z＝f（d）＝ek/d

其中：Z表示重要性数量水平；k为系数、且必须小于0；d表示检查风险水平。

该指数函数曲线图示如下：

各项数值确定方法如下：

（l）审计风险水平

期望的审计风险水平应该控制在多大范围内才算合理？尚未达成统一认识。有人认为，通常情况下，可允许的审计风险不超过5％，可以定为5％时。但在一定条件下，则要把审计风险走得更低。我认为，5％的审计风险水平还是太高。因为它意味着有1/20的引发审计风险的可能性，以我国一个中等规模的会计师事务所每年接受20项左右的审计项目为例，则该事务所每年就有一次引发审计风险，遭致审计诉讼的可能性。应该说，比较稳健合理的审计风险水平应该控制在2％以下，一般可定为0.5％－2％范围内。

（2）固有风险、控制风险、检查风险水平

确定审计项目的固有风险水平，既要考虑该项目的内容、性质，又要充分考虑该项目所面临的环境。目前作为国民主要成分的国有企业尚未走出困境，其内部管理机制和外部监督机制还未健全，其它企业造假作假现象也很普遍，因此将固有风险水平定为 10％－50％，比较符合稳健性原则。

值得注意的是，如固有风险、控制风险水平超过50％时，审计人员应改变审计方式，采用详细审计或拒绝接受审计业务，以使审计风险控制在一定水平之下。检查风险水平必须依据上述3个方面确定。结合审计风险决策模型，试列表一如下：

表一：

对上表一说明如下。根据前述所确定的审计风险水平、固有风险水平、控制风险水平的正常取值范围，抽出各自的最高值、中等值和最小值三种特例进行组合，以对应考察检查风险水平的情况。第一种情况，预期审计风险水平最低，但项目的固有风险、控制风险水平也最低，因此可允许的检查风险水平较高；第二种情况，审计风险水平仍为最低，但固有风险、控制风险处在最高水平，此时，要求审计人员必须谨慎行事，将检查风险水平控制在极低的2％以下；第三种情况，准备接受的审计风险水平最高，同时又有良好的外部环境和内部控制制度，计算出的检查风险水平为200％，超过100％。由于风险水平以100％为上限，放在此改为100％。这种情况意味着审计人员充分信赖被审单位，主观上又准备接受极大的风险，因而检查风险水平就很高；第四种情况，预期审计风险水平最高，但被审项目的固有风险、控制风险水平也很高，因而检查风险水平较低；第五种情况，前三个方面都是中等水平，检查风险水平也为中等。

（3）K值

，除澳大利亚外，其他国家无论是准则还是审计准则都没有明确规定重要性的量化标准。以下是实务中用来判断重要性的一些指标：（1）税前净利5％－10％；（2）总资产的0.5％一1％；（3）权益的1％（4）总收入的0.5％－1％。

上述项月的重要性数量水平最高为10％，最低为0.5％，和上表一计算得出的检查风险水平对比，计算K的数值如表二：

表二：

(K的计算公式推导如下：对z=ek/d，等式数，得InZ＝k/d，因此k＝dlnZ）

由上表二可知：k的取值范围大致在A-0.1—2.7之间，最佳取值范围为一0.4一1.4之间。在具体运用中，审计人员可根据使用者对会计审计信息的依赖程度、被审单位陷入财务困境可能性的判断、对审计风险的偏好程度来具体确定k的数值。

三、重要性与检查风险的客观连接点

重要性一般是对会计报表而言的，但完整地讲，重要性应分为以下4个层次：报表总额，如资产负债表中的资产总额；报表项目金额，如资产负债表中的货币资金项目负担；账户余额，如现金帐户余额、银行存款账户余额等；业务发生额，如差旅费等支出类业务的金锁。根据项目的不同，重要性所针对的项目有税前利润、总资产、权益、总收入等。根据本文前论，可由审计风险水平计等确定重要性数量水平。但最后计算出的这个重要性数量水平应该首先对应什么性质、哪个层次的项目，这是一个非常重要的。项目不同，评价的结果可能会大相径庭，甚至得出相反的结论。究竟以什么性质的项目作为入手处，我赞成以资产负债表中的资产总额作为运用重要性数量水平的入手点的观点，理由是：（1）损益表上当期净损益可以从资产负债表上反映出来，也就是资产负债表中事实上已包括了当期的净损益。尤其我国现阶段国企效益状况不佳，成本利润不实现象严重，以资产总额代管税前利润或净利润有其合理性。（2）根据资产负债表的结构及“资产=负债+所有者权益”的恒等关系，负债权益共中的错误，又都能反映在资产类总额上。

将重要性数量水平作为评价资产总额的标准，然后将该数量水平按每一项资产项目在资产总额中所占比重的大小为依据进行分配，接下来就进入实质性测试，审查各项目，判断各项目的错误金额。最后加总计算全部错误金额在资产总额中所占的比重，将其与总的重要性数量水平进行比较。如前者小于后者，说明该项目审计风险在可接受范围内，否则应修改审计计划和审计风险水平或采取其它的措施。

四、说明

1、以上论述是建立在以下审计假设的基础上

（1）审计风险、固有风险、控制风险的水平可定量评价假设。如，将可接受审计风险水平定在0.5％－2％，将固有风险、担制风险水平定在10％－50％。

固有风险和控制风险范文第5篇

关键词： 风险管理实质 机会风险 风险应对 专项评估

随着企业全面风险管理工作的深入开展，如何正确理解风险管理实质内涵、准确描述风险、评估风险、风险管理真正落实到企业业务管理中、提升风险管理价值等成为工作中面临的难题，现将风险管理深化工作中的问题及解决办法初探与同行共飧。

一、风险管理实质内涵理解问题。谈到风险，大家往往首先想到威胁、损失，更多关注事件的负面影响，如一提到某个具体项目中可能存在某些风险，通常会出现以下情况：一是强化风险，为规避风险失去项目发展机会；二是忽略风险，可能导致一些好的项目因忽视风险面临实际经营困境；三是认为风险虽然客观存在，但有风险也有机会，在合理分析防范控制风险的情况下抓住发展机遇。其实风险管理的核心理念和实质有两个方面的含义：一是在合理分析风险的基础上前瞻性的判断未来发展方向，进行战略转型，从而创造性的抓住未来发展机遇，二是在具体项目决策和经营过程中，识别风险的目的是为了更好的提前管理与化解风险，管住那些可能导致目标不能实现的因素，使项目决策更完善和后续经营更稳健。只有正确理解风险管理实质，才能促使大家积极主动利用风险和提前管理风险。

二、风险定义和描述与企业管理实践结合问题。在风险管理体系建设初期，大多数企业风险管理工作由企业外聘的管理咨询机构完成，这些咨询机构对风险的定义和描述大多是参照行业性标准进行统一的描述，如战略规划风险的描述是企业战略的制定缺乏科学性、创造性、全面性，从而导致战略规划不具有前瞻性或者过于激进、不切实际；企业没有将整体战略进行恰当的分解，企业业务流程的目标及绩效衡量方法与企业整体业务目标及战略不一致，从而导致战略无法落实到企业经营的具体业务模块中，战略最终无法实现。这对一个新成立的企业可能是比较合适的描述，但对已经正常运营多年的企业已经不太适应。针对这个问题我们也与咨询顾问进行交流，是站在企业管理现状的基础上描述风险还是站在一个零起点的基础上描述（无任何控制的基础上）更加合理，尚无一个明确的说法。我们认为风险管理首先是满足企业管理的需要，企业在创业阶段可能经验不足，相关的管理制度和控制措施不够完善，可以参照行业性标准定义和描述，较为成熟的企业应该立足于企业管理实际描述风险，包括危险和潜在机遇，为准确的风险评估打下基础。

三、风险分类细化问题。在全面风险管理工作开展的初期，风险评估一般进行大类风险评估，如人力资源风险，投资风险，安健环风险，大类风险中包括的内容很多，如人力资源风险包括了人才储备、招聘、培训、退出等很多内容，其中任何一项子业务高风险就将整个大类业务评估为高风险，个别低风险的子业务也纳入高风险业务管理中，可能导致两个问题：一是将低风险子业务纳入高风险业务管理，过度管理，浪费资源；二是风险应对措施与具体子风险管控对接不明确，责任人也有可能不明确，影响风险管控措施的有效性和管理效率。为提高风险管控措施有效性和管理效率，从企业管理实践出发，风险分类应该尽量细化到与企业业务管理细化深度一致，识别具体业务的风险和制定有效的风险管控措施，应对大类风险进行更详细和具体的分类。如我集团在2012年度风险评估时就将原有的 35个风险细分为65个，如安健环风险细分为安全生产、环境保护、职业健康风险等，经评估安健环风险中的安全生产风险和环境保护风险是本年度要重点管控的高风险；投资风险分为国内投资风险和海外投资风险，国内投资业务因经验丰富，管理制度较完善，经评估，国内投资风险明显低于海外投资风险，海外投资风险是高风险领域，国内投资不一定是高风险业务，企业应在海外投资领域配置更多资源建立相关的制度和流程加强风险管理。

四、风险评估结果合理性问题。目前风险评估一般没有进行固有风险和剩余风险分类，风险评估实际是固有风险和剩余风险的混合，对同一风险评估高低程度存在较大差异，评估差异一般与评估人员对风险管控情况了解程度差异呈

相关，影响风险量化评估的准确性。从企业实践看，风险评估人员考虑现有控制，打分偏低，有些人员不考虑现有控制，打分偏高，导致综合评估结果不准确。如何保障风险量化评估结果更合理呢？我们认为在进行风险评估时，分别对相关业务的固有风险和剩余风险分别评估，对固有风险高低有更明确的理解，对风险相关的现有控制是否有效、到位也有更准确的评价，对固有风险和剩余风险的量化评估更准确。下图1为某企业的11大风险分布情况，从图中可以看出尽管该企业的固有风险较高，但剩余风险普遍较低，说明现有管控措施有效，措施执行也比较到位。

五、重大风险确定问题。风险评估打分和排序是管理层确定重大风险的参考依据，当完成固有风险和剩余风险评估时，是选择固有风险排序较高的风险还是选择固有风险和剩余风险排序都较高的风险进行重点管控？在工作中我们发现有些受外部不可控因素影响较大的业务固有风险很高，相应的剩余风险也较高，企业可控的措施较少。所以，我们认为企业对受不可控因素影响的高风险业务领域要持续关注，在风险持续放大时，考虑调整发展战略；对固有风险高且企业内部可以管控但管控不到位的高剩余风险确定为重大风险，进行重点管控。

六、机会风险辨识问题。目前风险管理中，较多的是识别纯粹风险并采取相应的风险管理策略和措施，机会风险识别常常被忽略。风险管理是减少损失，间接增加价值，发现风险机会是创造价值，因此，机会风险识别和有效利用应该是风险管理重要组成部分。比如高能耗和污染的汽车面临发展风险，那么从中发掘低能耗和环保汽车就可能是发展机遇和发展方向，类似的道理就是在风险中找到发展机遇是风险管理更积极一面，因此，应该加强风险管理中主动的发展机会辨识，提升风险管理价值。我集团2013年度风险评估中探索开展风险机会辨识，认为在海外投资、分布式能源、环境保护产业发展等领域中既有风险也存在发展机遇，企业应稳妥把握机会，进一步提升公司价值。

固有风险和控制风险范文第6篇

    【关键词】计算机审计 审计风险 因素分析 防范对策

    计算机审计是指审计人员以计算机为工具,对被审计单位会计信息系统运行的有效性、数据处理的合法性正确性、最终报表的真实性公允性进行审计的过程。计算机审计是会计电算化的必然要求,也是审计工作紧跟信息时代步伐的必然要求。勿庸置疑,计算机审计技术的应用必然会提高审计工作效率和质量,已有的实践的确向我们展示了其强大的功能和良好的应用前景。但不容忽视的是:计算机技术的复杂性极可能使审计风险复杂化。如何在充分发挥其优势的同时,有效地防范可能的风险?这是一个迫切需要解决的课题,本文力图对计算机审计风险进行分析和探讨,从而提出有意义的防范对策。

    一、计算机审计风险的三大构成要素

    计算机审计风险是指:由于审计人员未能正确合理地运用计算机审计技术对被审计单位计算机会计信息系统运行的有效性、数据处理的合法性正确性、最终报表的真实性公允性进行审计,从而对被审计单位含有重要错报或漏报的财务报表表示不恰当审计意见的风险。按照国际上通行的审计风险模型:审计风险=固有风险×控制风险×检查风险,计算机审计虽然在审计技术、审计方法等方面与传统审计有很大不同,但仍然可以认为是由以上三大要素构成,以下试对其进行因素分析:

    (一)计算机审计的固有风险因素分析

    计算机审计固有风险是指:假定未对计算机会计软硬件系统进行安全控制的情况下,系统发生运行失常或数据丢失、错误的风险。其特点包括:①它是由计算机软硬件系统所固有的特点决定的,其风险水平与系统硬件质量、软件稳定性及运行环境紧密相关,审计人员只能评估其风险水平,而无法对其实施控制和影响; ②它的影响因素是多方面的,需要从计算机技术的角度对其进行评判,且不可避免地带有一定主观性和复杂性,难于准确计量;③其风险水平一方面会因为会计业务计算机处理的实时性、正确性而降低,另一方面又可能因为计算机系统的复杂性而增加。

    影响计算机审计固有风险的因素包括:①计算机硬件系统的运行环境,不恰当的运行环境,如在防火、防磁、电源等方面达不到要求,可能导致硬件系统运转失常;②计算机硬件系统故障,突然的硬件故障,可能令已完成的操作前功尽弃;③计算机软件系统质量,运行不稳定的软件系统,可能导致不正常中断或数据丢失;④磁性介质保存的会计资料较易被破坏、篡改或窃取,且往往不留痕迹,难以追查。⑤系统的网络连接,与互联网络连接的会计信息系统可能受到网络远程的恶意侵害。

    (二)计算机审计的控制风险因素分析

    计算机审计的控制风险是指:由于被审计单位内部计算机软硬件系统的应用、操作和管理规范等安全控制制度不够健全、有效,导致无法恰当地防止、发现和及时纠正会计信息系统可能出现的各种错误的风险。其特点包括:①它是由被审计单位有关安全控制制度不够健全、有效所引起的,属于内部控制的范畴,审计人员只能评估其风险水平而不能对其实施控制和影响;②对其风险水平的衡量由于需要兼顾传统内部控制的思想和计算机系统管理的知识,因而较为复杂且难以准确计量。

    影响计算机审计控制风险的因素包括:①维护计算机软硬件系统的相关安全控制制度不够健全或未能完全贯彻执行;②对会计软件系统的应用测试不够严密,采纳了潜伏某些错误的不合格系统;③会计软件系统的设计存在内部控制考虑不足,包括:a.软件系统中职责权限划分不明,不相容职务没有严格分离, 缺乏相互制约机制,导致系统数据易遭篡改和操纵;b.软件系统数据控制设计不严密,如数据校验纠错措施不足,导致误将错误数据纳入系统;c.系统设计缺乏详细的日志记录,某些非法操作不留痕迹,审计线索丢失,导致对非法篡改数据的扼制力不足;d.软件系统设计中对系统运行故障的事后恢复措施考虑不足或数据备份方案设计不全面,导致数据保存不完整或前后不一致;e.系统没有预留审计接口,导致审计软件的自动运行及采集审计证据困难;④工作人员配备安排欠妥,电算化会计系统要求工作人员尤其是系统管理人员同时具备会计知识和计算机技术相关知识,如二者欠缺其一,必然增加操作管理失误的可能性;⑤系统管理人员对计算机病毒的安全防范意识及措施不足,增加了会计数据遭侵害甚至丢失的可能性;⑥防范网络远程侵害的措施不足,如未设立有效的防火墙、实时监控程序、数据加密程序、电子密钥系统等,无法有效防止网络黑客或敌意方对系统数据、程序的恶意攻击。

    (三)计算机审计的检查风险因素分析

    计算机审计的检查风险是指:被审计单位内部计算机软硬件系统的相关安全控制措施未能及时防止、发现和纠正会计信息系统出现的错误, 审计人员也未能合理地运用计算机审计的相关技术进行实质性测试以发现该错误的风险。其特点包括:①它是惟一可由审计人员自主确定和控制的风险;②借助计算机的高速处理能力,审计抽样样本将大量增加,抽样风险有望被有效降低,则计算机审计的检查风险将主要表现为非抽样风险;③其风险水平与审计人员的专业胜任能力密切相关。

    计算机审计的检查风险既存在降低的趋势也存在增加的可能。其趋于降低是因为:①抽样样本的大量增加,扩大了审计覆盖面;②利用查询、搜索等计算机系统功能可以迅速获得所需信息,提高了取证效率;③只要导入审计软件的初始数据无误,则其后的计算、统计过程交由计算机高效完成,可以有效避免手工审计的某些低级错误。而其风险水平可能增加的原因在于:①它与审计人员运用计算机技术进行审计的能力密切相关,由于目前多数审计人员计算机知识不足,导致审计工作往往局限于对所生成的电子账簿的审查,而对于会计软件系统的设计及运行还无法做到实质性审查;②审计软件的开发应用还未形成较统一的标准,实践中的审计软件或自行开发或委托研制,可能潜伏某些缺陷;③由于审计软件与会计软件的开发商或开发时期不同,二者的系统数据格式可能不相兼容,这为审计软件的自动化应用带来了困难,数据格式转换过程中如发生转换错误或重复录入数据失误,都将直接带来检查风险。

    二、计算机审计风险的防范对策

    分析计算机审计风险的构成要素,是为了探求防范审计风险的有效对策,从而促进计算机审计技术的推广应用。如前文所述:审计风险=固有风险×控制风险×检查风险,审计人员惟一能够自主确定和控制的只有检查风险,至于固有风险和控制风险则只能对其进行评估。因此,对计算机审计风险的防范应同时从两方面入手:①提高评估计算机审计固有风险和控制风险水平的正确性,从而为符合性测试和实质性测试提供准确的依据;②降低计算机审计的检查风险。

    (一)提高评估计算机审计固有风险和控制风险水平正确性的对策

    为提高评估计算机审计固有风险和控制风险水平的正确性,应着重考察以下几个方面:1.考察被审计单位计算机硬件系统的运行环境,包括电源供应的稳定性、硬件运行的稳定性以及各项安全控制制度是否健全并是否得到有效贯彻。2.考察被审计单位对计算机软硬件系统的备份情况,包括是否进行了硬件、软件和数据的备份,备份方案是否全面。3.考察被审计单位的会计软件系统是否合格,各项功能设置是否安全可靠,其运行的稳定性及系统内部控制手段如何,包括:①数据处理、报表处理等过程的正确性合法性,是否遵照了相关会计准则、制度及法规;②软件内部控制的有效性,如职责权限是否划分明确,相互制约机制如何;③数据控制是否严密,是否包含了有效的数据校验和纠错措施;④系统能否提供详细的日志记录,以作为有效的审计线索。4.考察被审计单位会计人员的配备、分工及其权限制约的有效性。5.考察被审计单位会计信息系统防范计算机病毒及网络远程侵害的相关措施,如有无设立防火墙、有无必要监控措施等。

固有风险和控制风险范文第7篇

关键词：风险导向 审计 银行

中图分类号：F239.65 文献标识码：A

文章编号：1004-4914（2012）08-013-02

近十五年来，现代风险导向审计应运而生，对我国银行业内部审计工作具有十分重要的指导意义。

一、现代风险导向审计的源起

审计工作从详细审计阶段发展到抽样审计阶段后，衍生出了审计风险的概念。审计风险既受被审计对象内部控制因素的影响，又受诸如外部环境、业务性质、经管人员品行和能力等固有风险的影响，因此审计人员如果仅以内部控制测试为基础实施抽样审计就很难确保将审计风险降到可接受的水平。为此，审计人员构建了审计风险模型，即审计风险=固有风险×控制风险×检查风险，以该模型为基础的审计方法被称为传统风险导向审计。在上述模型下，审计风险取决于审计人员风险管理目标，审慎型的审计人员一般将其确定在较低水平，反之确定在较高水平，固有风险和控制风险则由审计人员通过分析被审计对象及其环境和内部控制而获得，检查风险则等于“审计风险/(固有风险×控制风险)”。审计人员根据推导出的检查风险，制定和实施实质性程序，以将审计风险控制在目标水平，实现将审计资源配置到最易出现重大错报的方面。

传统风险导向审计有如下不足。一是固有风险难以准确评估，审计人员往往不注意从宏观层面考量被审计对象所处内外部环境，如国家产业政策、公司治理结构、行业竞争状态、公司经营战略等。而是假定审计人员通过对各个账户层面的认定进行审计就可以获得足够恰当的证据，因此审计人员只需要关注被审计对象的内部控制。但是当被审计对象内部人员集体舞弊时，内部控制失效，就很难发现重大错报。二是配置审计资源时往往重点不突出，经常是蜻蜓点水、面面俱到，造成审计资源的浪费。上述不足致使审计人员无法最大限度地发现被审计对象的错报，最大限度地降低自身的审计风险。此外，传统风险导向审计假设固有风险、控制风险、检查风险三者之间相互独立，而实质上固有风险和控制风险都受内外部环境的影响，且两者之间存在相互作用。

随着全球化浪潮的到来，市场竞争日益激烈，社会环境趋于复杂，企业规模不断膨胀，传统风险导向审计的不足逐步明显，现代风险导向审计方法应运而生。它认为不应把被审计对象简单视为一个孤立的个体，而应看作整个社会经济系统的有机组成部分，考量其风险时要将其置于所处的系统中进行研究，以科学取证，从而最大限度的发现被审计对象的错报，最大程度的降低审计人员的审计风险。它的指导思想是战略观和系统观，从产生错报的源头入手，控制审计风险，较之传统风险导向审计方法，视野更加宏观，角度更加广阔。

二、银行业应用现代风险导向审计方法的价值

1.现代风险导向审计有利于银行规避系统性金融风险。银行是经济活动中的重要结点，随着经济的发展，银行与其他经济主体，银行之间的联系愈加复杂，单个银行的健康发展受制于整个银行业是否健康，银行业的健康发展也受制于整个经济社会是否健康。2008年国际金融危机中，很多孤立地看非常“健康”的银行在一片“倒”声中也未能幸免于难。究其原因是，孤立地看似这些银行时，得出的“健康”评价，是建立在其环境处于常规风险状态这一前提下，2008年国际金融危机时恰恰是该前提不复存在。因此如果银行的内审人员仍然使用传统风险导向审计方法孤立的研究被审计对象，就很可能忽略复杂的内外部环境对被审计对象的影响，无法获得被审计对象实际的风险状况，误导审计活动的开展。这就需要银行的内审人员采用现代风险导向审计方法，把被审计对象置于其环境中加以分析研究，科学判断可能的系统性风险及其对被审计对象的潜在影响。

2.现代风险导向审计有利于提高审计质量，降低审计成本。传统风险导向审计方法不从宏观层面评估被审计对象的风险，容易犯“只见树木不见森林”的错误，这样就很难做到对被审计对象各项业务风险水平进行准确排序。如果不扩大审计范围，很有可能出现重大风险点漏查的情况，影响审计质量，但是如果扩大审计范围，势必要增加审计人员以及其他相应支出，导致审计成本上升。现代风险导向审计从宏观层面了解被审计对象，能够对其各项业务风险水平进行正确排序，从而可以将有限的审计资源投放到风险水平最高的业务活动中去，实现低审计成本、高审计质量。

固有风险和控制风险范文第8篇

[关键词] 制度基础审计 风险基础审计 产生 特点 应用

从账目基础审计，到制度基础审计，直至风险基础审计，审计取证的入手方法已至第三个阶段。风险基础审计不是凭空而来的，它是为了适应特定的环境，适应现代审计实践的要求，站在一个新的高度发展现代审计方法，以其前一种审计方法为基础发展变化而来，代表了现代审计方法发展的最新趋势。

一、风险基础审计的产生及内涵

制度基础审计从测试被审计单位内部控制制度入手，通过对内部控制制度的评价，确定实质性审查的范围和重点。较好地解决了由于审计范围扩大造成的审计资源不足的问题，从而确定了其在审计入手方法体系中的地位。然而20世纪60年代后，科学技术的飞速发展促进了经济的迅猛增长，社会经济多维化趋势显著。由此，企业经营的不确定性大大增加，受到企业内部及外部多方面因素的影响。另外，70年代起审计诉讼案件频繁发生，审计人员压力大大增加。仅以被审计单位自身的内部控制制度为核心的制度基础审计显然已不能适应社会经济发展的需要。从审计风险入手，综合分析被审计单位各影响因素的风险基础审计已在孕育之中。

近几年来世界范围内科学技术政治经济的变化，激化企业之间的竞争，增加了企业的不确定性，并导致企业纷纷倒闭，于是，社会对审计人员提出了更高的要求，不断爆发诉讼审计人员的事件。这种形势对于审计界既增加了活力也带来了压力，它要审计人员必须从高于内部控制制度的角度，综合考虑企业内外的环境因素。具体讲，审计人员在制定审计计划时，为了追求审计工作的效率性和效果性，首先应充分把握被审单位各方面的情况，应分析被审单位经济业务中出现差错和舞弊的风险情况，适应这种局面的方式之一，是发展一种新的多维的审计技术，以缓解审计人员所面临的错综复杂的风险。

最近，在财务报表审计中，开始强调审计战略，使用审计风险模式，并积极采用分析性检查。这种审计可以称之为风险基础审计，它是迎合高度风险社会的产物，是现代审计方法的新发展，它要求审计人员重视对企业环境和企业经营进行全面的风险分析。以此出发，制定审计战略，制定与企业状况相适应的多样化审计计划，以达到审计工作的效率性和效果性。

以风险为基础的审计方式对现代审计的发展影响是重大的，它是指以被审计单位的风险评估为基础，综合分析评审影响被审计单位济活动的各因素，并根据量化的风险水平确定实施审计的范围、重点，进而进行实质性审查的一种审计方法。

二、制度基础审计转向风险基础审计的原因

1.企业环境的变化，即经济、社会、政治和技术等发生了急剧的变化，这些变化对企业的经营管理产生了重大的影响。为了更好地实施追求有效性和效率性以风险为基础的审计方式，有必要实行转化。

2.信息技术的高度发展，也促进了审计方式转化。企业信息系统的联机实施系统和数据管理系统化，使内部控制制度不再是孤立的和独立的，而是与其他信息系统有着密切的关系，并与企业的经济业务密切相关。信息技术发展的同时，也产生了大量系统错误或利用系统舞弊的风险。这种风险有的是系统本身造成的，也有的是人为造成的。

3.在以风险为基础的审计方式中，重新和广泛地利用分析性检查，也使审计人员风险导向的观点成为必要。因为分析性检查不仅重视会计信息，而且重视经济信息、产业信息和财务信息。

4.随着社会审计组织之间的竞争日趋激化，企业要求降低审计收费的呼声愈来愈高，随着电子计算机的广泛应用，使固定费用的增加和审计人员工资的提高为突出的问题。所以社会审计组织从管理角度出发，应认真考虑审计工作的效率性问题。

这时审计人员的主要目标，就是鉴别潜在的风险领域。只有找出风险领域，才能审计程序和测试方法。

三、与制度基础审计比较，风险基础审计的特点

制度基础审计是风险基础审计的基础，而风险基础审计是制度基础审计的深化。

1.审计基础不同。制度基础审计以内部控制制度为基础，仅根据对被审计单位内部控制制度健全性及符合性评审的结果确定实质性测试的范围、重点和方法；而风险基础审计则以风险评估为基础，根据对影响被审计单位经济活动的内外多种风险因素的评估确定审计范围、重点和方法。

2.审计方法不同。制度基础审计与风险基础审计都运用抽样审计技术，但风险基础审计风险加以量化，相对于制度基础审计来说，风险基础审计中的抽样技术是更完全意义上的审计抽样。另外，风险基础审计更着重运用分析性测试方法。

3.对内部控制制度的运用不同。制度基础审计与风险基础审计都涉及到对内部控制制度的运用。所不同的是，制度基础审计以内部控制为核心，依靠对内部控制制度的评审结果决定实质性审查。风险基础审计则仅通过对内部控制制度的调查了解，评估控制风险，而这只是影响审计风险水平的因素之一，它还要结合其他风险因素综合考虑，才能确定实质性审查的重点。

4.测试的重点不同。制度基础审计的测试重点是内部控制制度，但它仅对内部控制制度进行测试；风险基础审计除对内部控制制度进行测试外，对影响风险水平的因素均要进行测试，测试范围更为广泛、全面。

总之，风险基础审计同制度基础审计相比较，更系统地研究了审计授权、委托人内外环境，更切实地保证了审计质量。另外，它以被审计单位的经营活动为出发点，综合运用内部控制制度评审、分析性测试等高效率审计方法，兼顾了审计质量与审计效率。

四、风险基础审计在审计实践中的应用

1.调查了解有关情况，评估确认预期审计风险水平。审计人员运用各种方法对被审计单位情况进行调查了解，如召开座谈会，查阅有关年度档案资料，走访有关部门，进行实地考察等，以评估确认预期审计风险。确定审计风险水平时应考虑多种因素：(1)被审计单位经营环境，包括所在行业及经济趋势等。(2)被审计单位的经营条件。(3)被审计单位财务状况及其发展趋势。(4)被审计单位以前年度接受审计的情况。(5)被审计单位管理者的品格、处事风格及其变动情况。(6)委托人的目的。(7)被审计单位的性质。以上各项调查应在审计准备阶段进行，并将所制定的审计事项列入审计计划，审计风险可按高、中、低三档分类，也可加以量化。

2.分别对报表不同项目进行分析性测试，评估固有风险，并据以确定审计范围。分析性测试是在风险基础审计中较为广泛运用的一种审计方法，它根据报表各项目之间客观合理的内在联系，通过分析各项目的比率、趋势来调查异常变动和差异。审计人员对固有风险进行评估，主要依靠初步调查及永久性档案提供的资料和自身经验。根据分析性测试与固有风险评估的结果确定审计范围，编制审计计划。将通过分析性测试出现异常变动和差异的报表项目，或固有风险评估水平较高的报表项目列入审计范围，作为审计重点，并编入审计计划。

3.对审计范围内的会计报表项目分别进行控制风险评估。调查了解有关项目的内部控制结构，分析控制环境、相应的控制程序及会计制度，评价内部控制的有效性。进行内部控制测试，根据测试结果评估控制风险。

4.确定检查风险及重要性水平，并据以编制审计方案。根据以上步骤评估得出的量化审计风险及审计范围内各项目的固有风险和控制风险，利用风险模型：检查风险=审计风险／（固有风险×控制风险），可以计算出审计范围内报表项目的检查风险。确定审计范围内报表项目余额的重要性水平，据以编制审计计划。

5.实质性审查。风险基础审计中，固有风险和控制风险都是审计人员所不能改变的，而预期的审计风险水平是确保审计质量所必须予以保证的。实质性审查的关键在于，将检查风险控制在根据已确定的审计风险、固有风险与控制风险计算出的水平上，以确保审计风险固定在预期水平上。

6.根据实质性审查结果，得出审计结论。将实质性审查检查出的有错报漏报的报表项目的错漏金额同该项目的重要性水平比较，若前者比后者大，则应确认为项目有重要错报、漏报。但同时应注意错漏的性质，若为故意舞弊，涉及合同义务的履行或影响收益变动趋势的，尽管其错漏金额可能未达到重要性水平，也应将其视为重要错报漏报，在审计报告中加以反映。

参考文献：

[1]王金会:企业财务审计 [M].中国时代经济出版社，2001