以风险为基础编制年度审计计划.doc

以风险为基础编制年度审计计划 内容摘要：以风险为基础编制年度审计计划，是内部审计部门依据风险评估结果制定年度审计计划的方法。其理论是成熟、科学的，其方法具有可操作性，对当前审计工作有一定的指导作用。本文介绍了制定年度审计的演变过程，重点阐述以风险为基础的年度审计计划制定方法、步骤，旨在说明以风险为导向的审计思维是将将有限的审计资源用于最需要审计的项目上。年度审计计划是以年度为期间事先编制的审计任务规划，据以统筹安排审计资源，对指导审计工作和考核审计成果起着非常重要的作用。随集团公司内部审计领域和范围不断扩大，科学制定年度审计计划成为审计工作的重要组成部分，但对采用什么方法制定年度审计计划才更科学、更规范，广大内审人员并不十分熟悉。在2001年国际内部审计标准中规定“审计主管应根据风险制定计划”，以风险为基础编制年度审计计划日益成为内审人员关注的焦点，一种全新的编制年度审计计划的方法悄然来到我们身边。本文将从历史沿革、方法和步骤等方面对以风险为基础编制年度审计计划方法进行阐述，供同仁商榷。一、编制年度审计计划历史沿革最初内部审计范围较小，审计任务较少，将审计范围内的审计对象全部列为年度审计计划，这种编制审计计划的方法称为普遍审计法。基本内容是，审计范围内的所有审计项目都必须2-3年审计一次，不分青红皂白，不管风险和重要性如何。这种做法是典型的全面审计方式，其优点是审计比较全面，能保证每个部门、每个方面都经过审计。但其缺点也是非常明显的，表现在审计资源分配效率非常低。随着内部审计领域和范围不断扩大，根据经验确定重要的项目列入年度审计计划，非重点项目则列入下一年度审计计划中，这种编制年度审计计划的方法称为有重点的审计法。基本内容是将审计领域分成几块，各块的审计周期和频率是不一样的，有的是每两年审计一次，有的是每三年审计一次。它的优点也是比较全面，各审计领域能够在不同的时期都得到审计，缺点也是资源的分配不太科学。但在应用这种方法的时候，内部审计师在资源分配方面发挥了主观判断。如审计师判断某些领域影响重大、问题比较多，则优先进行审计，这也是以风险为基础的审计的萌芽。而且，审计师在编制计划时应首先与管理层沟通，请管理层对年度计划提供建议和意见。2001年国际内部审计标准中关于审计计划部分指出“审计计划的编制必须以每年开展一次的风险评价为基础”，一种以风险评估为基础制定年度审计计划的方法在世界范围被普遍接受，这种建立在风险评估基础上编制年度审计计划的方法称为风险基础法。可见编制审计计划必须进行风险评估，否则就是违反了内部审计标准的上述规定，不仅要进行风险评估，而且要利用评估结果来实现资源的优化配置。二、编制年度审计计划的风险基础法(一) 准则依据风险基础法编制年度审计计划已经成为国际惯例，2001年国际内部审计标准中作出明确规定“审计主管应根据风险制定计划，来确定符合机构目标的内部审计工作重点”。风险基础法在中国内部审计协会内部审计具体准则第1号审计计划第八条中也作出了相应规定：“内部审计机构负责人负责年度审计计划的制定工作。由于年度审计计划是对内部审计机构未来年度审计任务的整体规划，因此需要内部审计机构负责人在全盘考虑组织风险、管理需要及内部审计资源的基础上进行规划。”(二) 采用风险基础法的必要性1 积极执行内审准则内部审计的发展方向是职业化、标准化，积极执行国际内部审计标准、中国内部审计基本准则和具体准则，促进内部审计业务规范化，不断提高内部审计质量和工作效率。2 方法与实践是科学的、可行的通过风险基础法制度年度审计计划，内部审计可以将主要力量集中在风险最高的领域，从而达到资源的优化配置，为公司实现最大的价值。国际内部审计专家和学者多次强调以风险为基础编制年度审计计划是大多数企业的通行做法，得到跨国大型企业集团内审工作者的普遍认同和接受。由于其方法与实践是科学和可行的，因此被作为内部审计的最佳实务之一被大力推广。3 科学分配审计资源当前审计领域不断扩大，任务空前饱满，集团公司内部审计人员明显不足。这就需要内部审计在选择被审计单位时，要优先考虑风险较严重的领域，将有限的审计资源(包括审计人员及审计时间)用于最需要的审计项目，才能实现审计资源效用的最大化，最大程度促进组织目标的实现。(三) 风险基础法制定计划的基本方法和步骤1 确定审计范围首先需要根据单位或机构的规模和控制复杂程度，将审计领域划分成类别，根据实际情况确定需要审计的领域或可审计的范围。通常采取与关键管理人员进行面谈方式，确定管理链条中各部门的责任，来识别审计重点领域。同时对单位规章制度等文件进行审查，从而确定可以进行审计的重点领域。如果范围太广，审计领域太宽，超出审计能力时，比较可行的做法是集中在促进科研生产、提高经济效益等中心任务最相关的领域。就现阶段来讲，大型企业集团内部审计领域主要集中在经济责任审计、固定资产竣工结(决)算审计、财务决算审计、经济效益审计和领导指定的审计领域，并根据审计领域列出需要审计的项目作为审计范围。2 识别主要风险风险是指不能达到既定目标的可能性。审计范围确定后，就要识别该范围内存在的主要风险类别。不同的审计领域存在的风险是不同的，一般来讲企业经营管理层中存在的风险主要包括内部控制风险、重要性风险、审计控制风险、审计目的和目标风险、披露和舞弊风险等五大类。根据企业实际情况，将五类风险确定不同的风险比重。序号风险类别风险比重1内部控制风险30%2重要性风险15%3审计控制风险10%4审计目的和目标风险15%5披露和舞弊风险30%合计100%3 将风险转化为可测量的风险因素识别主要风险后，根据不同领域的业务类别、控制方式、程序繁简等特点，分析形成风险的原因或因素是什么，将风险转化为可测量的具体风险因素。以上述五类风险为例，其可测量的风险因素具体分析如下：内部控制风险主要分析经营活动的复杂性、内部控制系统的有效性和复杂性、管理部门或高层领导者的态度；重要性风险主要分析资产与收入规模、资产流动性、资产质量、人员更换频率、经营状况；审计控制风险主要分析上次审计时间、审计频率、上次审计的结果、审计结果的落实；审计目的和目标主要分析审计目的与企业目标的一致性、重大影响及与国家目标的相关性；批露与舞弊风险主要分析目标考核的压力、资金的压力、职工的举报、诚信度的评价。4 为每个风险因素建立标准分值体系将风险转化为20个可测量的风险因素后，为每个风险因素建立标准分值，并列表。序号风险类别比重风险因素标准分值重要性系数风险分值备注1内部控制风险30%经营活动的复杂性5内部控制系统复杂性5内部控制系统有效性10管理部门或高层领导者的态度102重要性风险15%资产与收入规模5资产流动性1资产质量2人员更换频率2经营状况53审计控制风险10%上次审计时间2审计频率3上次审计的结果2审计结果的落实34审计目的和目标风险15%审计目的与企业目标的一致性6重大影响6与国家目标的相关性35批露与舞弊风险30%目标考核的压力9资金的压力8职工的举报举报8诚信度的评价5合计100%1005 确定风险因素的重要性系数重要性系数是指体现金额、性质、比率、影响或评价水平高低大小的系数，重要或重大可定为0.81.0，一般或中等可定为0.40.7，不重要或微小可定为0.10.3。重要性水平是根据调查、分析经营管理来确定的风险水平，根据实际情况确定为风险的高、中、低，重要性水平则确定为重大、中等和微小。6 为每项审计内容的风险因素打分为风险因素打分重要的工作是通过审计调查分析确定重要性水平。需要收集各因素的历史数据、行业指标平均值、法律法规及政策性文件，采集审计范围内项目的实际数据。通过实际数据的分析、了解和讨论，确定各因素的重要性水平，并确定因素风险值。因素风险值=风险因素标准分重要性系数7 根据总的风险系数对审计的内容分类风险系数是各因素风险值的合计数。将审计范围内的审计项目按风险系数高低排序和分类，并列表，作为审计计划阶段的风险评估工作结果。风险评估分类表如下：序号审计项目风险系数审计领域128 根据分类的审计内容，起草年度审计计划风险评估分类表是各审计领域和审计项目风险汇总表，高风险的审计领域和审计项目一目了然，以此为依据可以确定当年的审计领域和审计项目，来编制年度审计计划。三、现实意义(一)推动以风险为基础编制年度审计计划方法发展当前内部审计在中国内部审计协会统一指导下，制度化、规范化有了一定的发展，但操作层面的规范相对较薄弱。推动内部审计工作法制化、规范化发展是当前重要任务之一。以风险为基础编制年度审计计划的理论与方法已经基本成熟，本文结合当前企业现状，提供了风险评估的基本框架模型，为内部审计以风险为基础编制年度审计计划的审计规范提供了思路和方法支持。(二)树立以风险为导向的审计思维以风险为基础编制年度审计是以风