金融审计风险是指财务会计报表存在重大错报或漏报,而审计后发表不恰当审计意见的可能性。也就是说被审计金融企业有过错(如:重大风险隐患、舞弊)、存在问题,虽然审计但没有发现,而下不恰当的审计结论,没有发现是因为审计人员没有实施必要的审计程序或没有相应的专业水平。可见审计风险是审计行为中本身的风险,它不同于金融企业经营活动中内在的风险,但源于被审计金融企业的内在风险(如:被审计金融企业不存在风险和其他舞弊问题,就无所谓审计风险)。审计人员通过恰当地运用审计方法和程序,发现被审计金融企业客观存在的风险,并发表客观、公正的审计报告和意见,被审计金融企业管理当局根据审计报告和意见所提出的重要信息采取必要的整改措施,以消除风险。所以,金融审计工作在降低本身风险的同时,客观上也化解和防范了被审计金融企业的经营风险。
一、金融审计风险的要素
金融审计风险包括固有风险、控制风险和检查风险三个基本要素。所谓固有风险是指假定不存在相关内部控制时,某一账户或交易类别单独或连同其他账户、交易类别产生重大错报或漏报的可能性。控制风险是指某一账户或交易类别单独或连同其他账户、交易类别虽产生错报或漏报,而未能被内部控制防止、发现或纠正的可能性。检查风险是指某一账户或交易类别,单独或连同其他账户、交易类别产生重大错报或漏报,而未能被实质性测试发现的可能性。
在金融审计风险三个构成要素中,固有风险和控制风险与被审计金融企业内部控制是否存在、是否有效有关,审计人员通过研究和评价被审计金融企业的内部控制,可以对被审计金融企业固有风险和控制风险的高低作出评估。在此基础上,审计人员可确定实质性测试的性质、时间和范围,以便将检查风险以及总体审计风险降低至可接受水平。
二、金融审计风险三要素之间的关系
固有风险、控制风险和检查风险的相互关系可以从定性和定量两方面加以分析。
从定量的角度看,根据概率论原理,审计风险三要素的相互关系可用下列公式表示:
审计风险=固有风险×控制风险×检查风险
或AR=IR×CR×DR
根据上述公式,在既定的审计风险下,检查风险可计算如下:
检查风险=审计风险/固有风险×控制风险
或DR=AR/IR×CR
从定性角度看,审计风险三要素的相互关系是:检查风险与固有风险和控制风险的综合水平之间存在着反比关系。固有风险和控制风险的综合水平越高,审计人员可接受的检查风险水平越低,反之亦然,也就是说,当固有风险和控制风险的综合水平较高时,审计人员必须扩大审计范围,将检查风险尽量降低,以便使整个审计风险降低至可接受水平。反之,如果被审计金融企业内部控制行之有效,固有风险和控制风险的综合水平较低,即使检查风险高一点,总体审计风险水平仍然是可以接受的。
三、审计风险评价在金融全面审计中应用
在金融审计中,起决定性作用的因素就是相关风险,风险是决定审计质量和审计效果的关键因素,风险也是分配审计资源的先决条件。因此,在金融审计前必须对被审计单位进行风险评价,在进行风险评价时应考虑以下几点:
(一)风险评价应该全面
在对金融企业进行全面审计时,通常要进行风险评价,评价应该涵盖金融业务的所有范畴。金融企业运转通常包括三个机制:决策机制、执行机制、监督反馈机制。在全面审计时,只有对决策机制、执行机制和监督反馈机制进行全面风险评价,才能对风险有根本的把握,可以较准确地确定审计的重点和范围,提高审计效率。
(二)风险评价不能局限于控制风险
现行的风险评价一般只注重控制风险评价,实际上固有风险评价也一样重要。固有风险是指在内部控制缺位情况下,账户存在错误或漏报的可能性。固有风险一般关注控制环境,如:被审计单位领导者的品行和能力、领导者所遭受的压力、容易产生错报的会计报表项目等,同时会计期间内,尤其是临近会计期末会计指标的异动也为固有风险评价提供线索。因此,在金融全面审计时,只有把固有风险和控制风险评价结合起来,才能对金融企业的风险点或薄弱环节有比较完整的认识,有效降低审计风险。
(三)风险评价时应关注制度之外的因素
制度评价是风险评价的最主要内容之一。在制度评价中,不能仅仅关注制度本身,更应该关注制度是否得到有效的执行,既要注意制度的完整性,更要注重制度的有效性,这是符合性测试的要求。对制度进行评价时,应该考虑制度执行者的自身素质和风险意识等因素。如果执行者自身素质较差,对业务风险往往缺乏完整、清晰的认识,风险积累和爆发的概率就比较大。最后由于制度的制定和完善是一个动态的过程,对制度评价同样要以动态的眼光来看待,进行测试评价时应考虑到制度本身是否适应现有业务发展的需要。
对被审计单位风险评价结束后,就要进行现场检查,现场检查中应该关注检查风险的控制。检查风险的控制主要有两个方面,一是抽样方法与抽样数量,二是审计人员的判断。现场检查时有大量信息需要审计人员进行判断,因此审计人员对标准的掌握程度和判断能力的高低直接影响评价与审计的结果,也就影响检查的风险。通过确定合理抽样方法和数量,使检查风险控制在可以容忍的程度,以提高审计效率;通过提高审计人员的判断能力,同样可以有效地降低检查风险。