【注册会计师风险评估与企业风险管理】沃尔玛风险评估案例

　　摘要：本文从注册会计师的风险评估与企业风险管理的关系入手，讨论在审计过程中风险评估程序有助于发现内部控制的薄弱环节，风险管理系统有助于提高注册会计师风险评估的有效性。注册会计师可以在审计完成后提供风险评估报告给企业，不仅不影响注册会计师独立性、增加审计的附加值，而且贯彻了以风险评估为核心的风险导向审计，并有助于完善公司的风险管理。
　　关键词：注册会计师　风险评估　风险管理　内部控制
　　
　　一、引言
　　
　　2010年美国公众公司会计监督委员会(Public Company Accounting Oversight Board，PCAOB)通过了新的审计准则(审计准则第8号至第15号)，以规范审计师对审计风险的评估和反应。目的是监督公众公司的审计师编制信息量大、公允和独立的审计报告，以保护投资者利益并增进公众利益。在PCAOB此次行动之前，不断有人发出强烈的信息，让审计职业人员在风险管理中扮演更积极的角色。而且PCAOB早在两年前就已经提出了实施具体风险评估准则的信息，这些准则旨在解决从最初计划到结果评估的审计过程问题。这些新准则是在审计促进成熟风险评估中非常重要的一步，可以把审计师未能发现的重大错报事故风险降到最小。PCAOB执行主席丹尼尔・格尔泽尔说一旦这些标准被采用，在审计财务申明中发现，适当计划以及实施审计以解决这些风险问题以增强投资者的信息是非常重要的。这些审计标准包括：审计风险、审计计划、审计参与监督、计划执行审计中的思考、重大错报事故的确认与评估、审计师对重大错报事故的回应、评估审计结果以及审计证据。它们贯穿了从初始计划阶段到审计结果评估的整个审计流程。PCAOB代理主席丹尼尔・高泽(DanielL，Goelzer)说：这些新准则的出台意味着在促进精密的审计风险评估与将审计人员未能发现重大误报的风险降至最低方面迈出了重要一步。识别风险，并通过正确地审计计划和开展审计活动来应对风险，对于提升投资者对经审计财务报表的信心是至关重要的。
　　
　　二、风险评估、企业风险管理与审计风险
　　
　　(一)注册会计师风险评估　风险导向审计的核心是审计风险，任何审计业务都必须将审计风险控制在可接受的风险水平内。因此风险导向审计要求注册会计师加强对被审计单位及其环境的了解，在审计的所有阶段都要实施风险评估程序，并将识别和的评估的风险与实施的审计程序挂钩，而且要求针对重大的各类交易、账户余额和列报实施实质性程序，可以说风险评估程序是风险导向审计模式落实到审计工作的核心环节，风险导向审计下审计风险模型如下：审计风险=重大错报风险×检查风险。审计风险是指财务报表存在重大错报而注册会计师发表不恰当审计意见的可能性。重大错报风险是指财务报表在审计钱存在重大错报的可能性，检查风险是指某一认定存在错报，该错报单独或连同其他错报是重大的，但注册会计师未能发现这种错报的可能性。注册会计师合理设计审计程序的性质、时间和范围，并有效执行审计程序，以控制检查风险。注册会计师采取以下方法展开审计工作：(1)注册会计师应当针对财务报表层次的重大错报风险置顶总体应对措施；(2)注册会计师应当针对认定层次的重大错报风险设计和实施进一步审计程序，包括测试控制的执行有效性以及实施实质性程序；(3)注册会计师应当评价风险评估的结果是否适当，并确定是否已经获取充分、适当的审计证据；(4)注册会计师应当将实施关键的程序形成审计工作记录。我们发现，注册会计师以针对评估的财务报表层次重大错报风险为起点，确定总体应对措施，并有针对评估的认定层次重大错报风险设计和实施进一步审计程序，以将审计风险控制在可接受的低水平。风险导向的核心是审计风险，控制审计风险的关键是风险评估程序，另一方面，企业必须准确地评价和有效地管理各项与企业成功息息相关的风险。管理层不但需要准确地了解各项业务风险以及不良控制的后果，并且能够根据所确认风险的残余影响的轻重程度分配资源和关注程度。所以注册会计师的风险评估将有利于企业的风险管理。
　　(二)企业的风险管理　每个企业在经营中存在各种风险，而我们这里讨论的企业风险管理中的风险概念与金融市场的风险概念有所不同，当然金融风险也是企业(特别是金融类企业)面临的风险之一，企业风险就是企业面临的可能导致企业亏损的各种不确定性事件，降低企业的价值。所以风险管理需要做的就是尽量避免这种不确定性事件的发生，或者是降低不确定性事件发生后对企业造成的损失。企业风险管理包括四个环节：风险识别、风险评估、风险应对、风险监察。第一，风险识别是指尽力识别可能对企业取得成功产生影响的风险，包括整个业务面临的较大的风险，以及与每个项目或较小的业务单位关系的风险，识别潜在风险可以认识到企业面临的各种风险类型，而且风险识别程序应该在企业内的多个层级得以执行，这与注册会计师的风险评估贯彻于整个审计过程一样。第二，风险评估是在识别了各种风险后，对风险的的性质、风险的类型、风险的发生频率等进行评价，这种评价最主要分为两方面，一个是影响，另一个是可能性，企业可能还会采用敏感性分析或者决策树等方法对风险的性质进行全面的认识。这与注册会计师的风险评估相似，不过更加具体、全面。第三，风险应对是指对上述评估的风险采取相应的措施，以避免该风险对企业产生的损失，风险应对的策略包括风险降低(如分散投资，就是一种降低风险的措施)，风险消除(使得该风险事件发生的概率降低为零)，风险转移(将风险的后果采用保险、合同等方式转移出企业)，风险保留(定期风险复核、控制风险情境)。第四，风险监察是指企业监测目标的实现过程，关注新的风险和相关损失，企业需要对风险进行监察，并在需要时不断作出调整。风险检查者定期检查正在发生的亏损，以了解他们的控制建议得以实施，并设计过程来改善风险管理的过程，制定一项战略来应对出现的新风险。
　　
　　(三)风险评估与经营风险、审计风险　企业的风险识别是风险管理的第一步，是指对企业面临的，以及潜在的风险加以判断、归类和鉴定风险性质的过程。企业的风险一般可以分为两类：系统风险和非系统风险。系统风险是由公司之外的各种因素引起的，如战争、经济衰退、通货膨胀、高利率等与政治、经济和社会相联系的风险，是不能通过多元化投资而分散的，因此又称作不可分散风险或市场风险。非系统风险也被称作可分散风险，它是由公司本身的商业活动和财务活动带来的，如企业的管理水平、研究与开发、消费者需求的改变、市场营销风险以及法律诉讼等，其可以通过多元化投资组合而分散，是公司特有的风险。而现代风险导向审计将风险评估、风险应对与审计程序联系起来，这就使得注册会计师审计不仅仅是出具审计报告的鉴证业务，也可以起到促进企业风险管理的作用，注册会计师审计过程中必须进行风险评估，风险评估的过程是为了能够获得尽可能准确的财务报表重大错报风险信息，以控制审计风险，企业风险管理的过程是为了控制企业经营风险，从审计风险与企业经营风险的关系，我们发现：其一，风险评估是指评估被审计单位风险，评估的过程是企业风险管理中的一个环节，所以在性质上他们具有相似性。其二，风险评估的程序包括：了 解被审计单位及其环境、了解被审计单位的内部控制等，而风险管理也需要进行这些工作，方法包括：观察、检查、分析程序，穿行测试等。风险评估。其三，风险评估的目的相同：对于注册会计师而言，风险评估的目的是为了了解被评估的财务报表重大错报风险，并且制定风险应对措施，有效地实施审计程序；对于企业而言，风险评估的目的是为了控制企业的风险点，防止企业出现亏损的不利情况而实现企业价值增值。风险评估使企业考虑潜在事项如何影响目标的实现。管理当局应从两个角度对事项进行评估：可能性和严重程度，并且通常采用定性和定量相结合的方法。在不要求定量化的地方，或者在定量评估所需的可靠数据无法取得或获取和分析数据不具有成本效益时，管理者通常采用定性评估技术。定量技术精确度更高，通常应用在更加复杂的活动中，以对定性技术进行补充。评估风险时既要考虑固有风险，也要考虑剩余风险。固有风险是管理当局没有采取任何措施来改变风险的可能性或影响的情况下，一个企业所面临的风险。剩余风险是在管理当局应对风险后所残余的风险。审计中注册会计师更多关注的是审计风险以及企业的经营风险，但是对于企业其他风险管理(如制度风险管理、法律风险管理)考虑不足，当然这是注册会计师收益成本分析后的结果，但是注册会计师必须区分企业经营风险与审计风险，经营风险是指实现不了经营目标和战略的可能性，经营失败是经营风险的扩大化，指企业由于经济或经济条件的变化而无法满足投资者的预期，经营失败的极端情况是申请破产。诚然企业经营失败可能使得注册会计师面临审计诉讼，经营风险与审计风险有一定的相关性，但风险导向的核心是审计风险，而不是企业的经营风险。
　　
　　三、注册会计师风险评估与企业风险管理关系
　　
　　(一)二者时间发展顺序　环境变化促使越来越多的企业实施全面风险管理，也促进了风险导向审计的发展：从20世纪90年代开始，随着新的科技技术和经济全球化带来企业组织结构虚拟化、集约化、专业化及扁平化等新的商业特征，许多跨国公司开始实施全面风险管理方法，一些国际咨询公司和会计师事务所也开始运用这一概念并将其同咨询或审计业务相结合。全面风险管理体系正在随着企业治理的完善而越发受到重视，风险管理的概念逐步引入到我国的企业中，使得我国企业的风险管理工作纳入了公司治理的范围。2004年9月，COSO发布了《企业风险管理框架》。该框架是在《内部控制――整体框架》报告的基础上，结合《萨班斯――奥克斯法案》在报告方面的要求，明确提出企业风险管理是由企业董事会、管理层和其他员工共同参与，应用于企业战略制定，以及企业内部各层次和部门，用于识别可能对企业造成影响的事项，管理风险为企业目标的实现提供合理保证。同时该框架还指出：企业风险管理框架由内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控八个相互关联的要素构成。这也奠定了企业风险管理系统的组织模式。风险导向审计的发展也与全面的风险管理系统构建同步，2003年10月，国际会计师联合会下属的国际审计准则委员会发布了三个新的国际审计风险准则，并从2004年12月15日或之后开始的期间财务报表审计起执行这三个新准则。2004年10月，中国注册会计师协会根据国际审计准则的最新发展，对已修订的四个新审计风险准则在全国范围内征求意见，并且于2007年1月1日开始实施。风险导向审计已经深入了我国审计的实际工作，为审计业务的展开提供了指引。
　　(二)二者业务性质相互影响　全面风险管理为现代风险导向审计风险评估提供了更好的基础为了评估客户是否有效地监督和控制了其战略风险及其他经营风险，注册会计师必须识别、收集和处理大量与客户经营活动相关的证据。当企业没有实施全面风险管理时，收集这些证据即使在理论上是可行的，但为此付出的成本对注册会计师而言也常常是不经济的。注册会计师的风险评估程序对企业风险管理有以下益处：(1)了解企业的外部环境风险以及内部控制成为风险评估的重要组成部分，注册会计师也将公司内部控制的有效性作为风险应对的考虑因素。所以注册会计师关于企业内部控制的评价将为企业的风险管理提供建议。(2)注册会计师在实施控制测试与实质性测试时，会将交易的内部控制目标与关键内部控制联系起来，然后将测试的结果与风险评估的结果进行对比，这将有助于公司相关交易所涉及人员在业务流程中履行好自己的职责，注册会计师审计可以起到监督作用，发现企业内部控制的风险点。企业风险管理对注册会计师的风险评估有以下益处：第一，企业风险管理的完善性与企业内部控制系统有着很强的相关性，所以如果企业建立了一整套风险管理的体系，那么注册会计师的风险评估程序就会减少程序，因为风险评估在整个审计过程中的验证过程都是可靠的。第二，企业风险管理的方式与注册会计师风险评估。企业全员参与风险管理，从整个企业组合的角度实施风险管理，增强了企业风险管理的有效性，注册会计师能够在更大程度上信赖企业的全面风险管理，实施风险评估。第三，企业风险管理系统的完善性越不好，注册会计师所涉及的这部分程序设计需要越谨慎，而风险评估程序后提出建议的边际贡献越高，这二者之间的交互作用就在于风险评估程序是对风险管理的一种再监察。
　　(三)二者存在的不同　当然二者存在着以下区别：注册会计师风险评估更多是对内部控制有效性的评估，这种评估是因为审计的效率所决定的，而企业的风险管理需要覆盖企业的整体层面和各个业务流程，所以我们注册会计师的风险评估结果对于企业而言是一种参考，注册会计师的风险评估只是对内部控制水平高低的一个评价，这并不能完全说明企业风险管理的有效性。注册会计师可以通过对企业内部控制系统有效性评价来评估客户监督和控制其战略风险及其他经营风险的情况，如果仅仅是审计过程，注册会计师不需要提出风险管理改进建议，他们评估的财务报表重大错报风险只是为了控制检查风险，进而控制审计风险。所以注册会计师审计过程的风险评估与企业风险管理过程中的风险评估目的相似，但企业风险管理的目的和注册会计师的风险评估还是存在不同。
　　四、企业风险管理及风险评估路径
　　(一)风险评估报告与企业风险管理　(图1)呈现了风险导向审计的框架，风险导向审计最大的要点就在于实施基本审计程序前的风险评估。而且后来的审计程序结果会不断检验风险评估的结果，不断地修正与调整风险估计水平，在整个审计过程中都需要进行风险评估过程，所以注册会计师可以在审计完成后形成风险评估的最终结果，形成风险评估报告，以评价内部控制的有效性及风险管理控制的水平。该报告可能涉及内部环境、企业风险评估、风险反应、控制活动、信息和沟通、监控等要素，对企业内部控制的测试结果进行一个总结性陈述，形成风险评估报告。风险评估报告作为风险导向审计阶段性成果在审计完成后反馈给被审计客户，以帮助被审计客户进一步完善内部控制水平，但我们必须意识到：风险评估报告不是审计报告的子报告，风险评估报告仅仅为被审计单位进一步提高内部控制水平而用，而非鉴证报告，注册会计师不需要提供保证。
　　(二)风险评估报告与信息系统风险管理　注册会计师评价内部控制有效性的要求里就包括了评价信息系统的有效性，所以注 册会计师必须要利用自己的专业判断或者利用专家的工作，评估被审计单位信息技术的运用，及其可能导致的被审计单位信息系统与业务流程难以融合等风险。针对于此，注册会计师应该追踪交易在财务报告信息系统中的处理过程(穿行测试)。与财务报告相关的信息系统，包括用以生成、记录、处理和报告交易、事项和情况，对相关资产、负债和所有者权益履行经营管理责任的程序和记录。注册会计师应当从下列方面了解与财务报告相关的信息系统：在被审计单位经营过程中，对财务报表具有重大影响的各类交易；在信息技术和人工系统中，对交易生成、记录、处理和报告的程序；与交易生成、记录、处理和报告有关的会计记录、支持性信息和财务报表中的特定项目；信息系统如何获取除各类交易之外的对财务报表具有重大影响的事项和情况；被审计单位编制财务报告的过程，包括作出的重大会计估计和披露。注册会计师应当了解与信息处理有关的控制活动，包括信息技术一般控制和应用控制。信息技术一般控制是指与多个应用系统有关的政策和程序，有助于保证信息系统持续恰当地运行(包括信息的完整性和数据的安全性)，支持应用控制作用的有效发挥，通常包括数据中心和网络运行控制，系统软件的购置、修改及维护控制，接触或访问权限控制。除此之外，注册会计师应当考虑仅通过实施实质性程序不能获取充分、适当审计证据的可能性。如果认为仅通过实施实质性程序不能获取充分、适当的审计证据，注册会计师应当考虑依赖的相关控制的有效性。所以我们容易看出，信息系统风险管理的有效性是注册会计师风险评估的一部分内容，虽然这种评估并非针对信息系统风险控制的所有组成部分，但可以衡量信息系统的有效性水平，这部分的报告成果有利于被审计单位完善信息系统。
　　(三)风险评估报告与独立性　诚然有批评者会指出，风险评估报告提交给企业，可能会使注册会计师受到经济利益的威胁，但是这是机制的设计上的问题，我们可以采取事先商定审计费用的方法，审计费用中就包括了这部分风险评估报告的收费。另外注册会计师提交风险评估报告给予企业，可能会导致注册会计师受到信誉的威胁，这与审计鉴证业务的性质不符，但是作者认为：风险评估报告是注册会计师审计完成后提供给被审计单位，这仅仅是作为企业风险管理的建议，是非鉴证业务，是利用注册会计师的专业水准而提供的咨询服务，注册会计师不需要对此提供保证，这样该业务从性质和收益的角度分析，都符合审计发展的需要。目前内部控制审核报告是作为非鉴证业务，成为注册会计师从事的一项业务。而本文建议的风险釉报告在审计完成后提交不仅不会影响注册会计师的独立性，而且可以提高注册会计师审计的边际贡献，实现了审计对于受托人履行受托责任情况的评价，也为被审计单位的价值增值提供帮助。