现代企业风险管理审计框架

　　一、了解企业经营识别经营风险　(　Understanding　the　Business　and　Risk　Identification)

　　了解企业经营识别经营风险可以说是整个审计框架本的第一阶段，　其提供了一个整体框架用于了解企业风险管理行为的有效性，并且分析企业的情况和信息流程。了解企业可以使审计师确认影响财务报表审计的重大错误、舞弊和审计失败风险并追溯其产生的源头，还可以使审计师发现对该企业进行改进的机会。此外，还可以确认低风险的重要账户，并根据公认审计准则对其进行实质性测试。本部分主要关注以下问题：

　　企业中发生的哪些变化和产生的哪些问题对财务报表有影响？
　　企业信息流程中哪些变化、问题和复杂性对财务报表有影响？
　　财务报表审计中，什么是重大的错误、欺诈和审计失败风险？
　　对于低风险的重要账户来说，哪些是需要执行的实质性测试？

　　本部分所使用的主要分析工具包括：

　　(1)　企业分析框架（Business　Analysis　Framework,　“BAF”）
　　BAF提供了一个通用的组织框架，用于了解那些影响企业成败的主要因素以及它们之间的动态联系。这些主要的因素包括环境、信息、所有者、顾客、竞争者、价值、企业流程和管理层。BAF可以为审计师提供以下支持：（a）了解企业的相关情况，（b）通过考虑企业中那些影响财务报表的变化和问题来确认风险。

　　(2)　企业风险模型（Business　Risk　Model,　“BRM”）
　　BRM提供了一份清单，列示了可以威胁组织整体或组织中特定流程的各种类型的风险。BRM可以对审计组提供以下支持：（a）定义审计失败风险和企业改进的机会，（b）评估审计失败风险和企业改进机会的完整性，（c）与客户管理层就审计失败风险和企业改进机会进行沟通。

　　(3)　　企业信息流程（Business　Information　Flow,　“BIF”）
　　BIF详细描述了事实从企业环境、各种流程和决策，通过信息流程，到财务报表和相关披露的流动过程。本框架定义了企业的信息流程要素和信息流动过程，并且协助审计师了解信息流程，从而识别错误风险。BIF的目的是：
　　－了解企业中的交易、事件和事实从发生之初直到进入财务报表和相关披露这一过程
　　－通过从上到下的关注，确认与会计原则、会计估计、信息处理（包括财务报告流程）和披露相关的错误风险，并追溯其发生的原因
　　现代企业信息流程BIF包括四大阶段，　即：企业环境、业务流程和决策阶段；业务数据形成阶段；会计和管理信息生成阶段以及财务报表和披露阶段。信息流程的这四个阶段隐含有不同的固有风险。本部分对这些固有风险类型及如何识别进行了详细说明。　本部分还在附录中提供了现代企业主要管理信息系统介绍,　现代企业主要经营流程图案例,　供参考。

　　(4)　　企业绩效评价分析　(　Business　Performance　Review,　“　BPR”)
　　审计师应当了解高级管理层如何衡量企业的运营绩效，并且应当评估高级管理层对企业绩效的监督行为的充分性。审计师应当在适当的时候提供补充性或可选用的绩效衡量方法，并对企业绩效的监督行为的改进提供建议。BPR的目的是：
　　　通过以下方式识别风险：
　　　－提高审计人员对于高级管理层的绩效衡量和监督行为的了解;
　　　－制定对企业绩效的预期（“假定”），并与实际的结果进行对比，从而确认两者之间的重大差异并加以分析;
　　　－从管理层和第三方的角度，评估客户的企业绩效;
　　　－关注企业的运营绩效，而不仅仅关注财务绩效;
　　　通过向管理层提供企业绩效衡量和监督行为的改进建议，为客户提供更高的审计价值
　　　遵循专业审计准则，这要求在审计计划阶段执行分析性复核程序

　　审计师应当结合当年和将来的业绩，通过对收益性、流动性、资产管理、财务杠杆和市场价值等主要方面进行分析，从而评估企业的绩效。
　　本章还在附录中提供了案例分析,　绩效考核主要基础理论,　主要行业常见舞弊迹象及建议审计程序,　现代企业主要经营流程考核指标,　供读者加深对企业绩效分析的理解和运用.

　　(5)　企业整体风险管理有效性评价（Business　Risk　Management　Process,　“BRMP”）
　　本章提供了现代企业整体风险管理流程框架,　用以识别和评价企业的整体风险管理有效性,　并考虑其评价结果对审计的影响.　本章的附录提供了该评价结果对审计影响的分析参考,　在评价过程中可询问管理层的问题样本,　企业整体风险管理的最佳实践方案,　以及企业风险管理流程无效的可能后果,　供参考。
　　在风险识别汇总部分，分析了针对所识别出的固有风险如何进行排序和溯源；　而在本阶段的最后部分，　对这些风险如何同财务报表科目衔接　(　Financial　Statement　Linkage,　“　FSL”)　以及对低风险但重要性报表科目　(　Low　Risk　Material　Accounts)　的审计策略进行了说明。

　　二、企业风险控制评价　(　Risk　Control　Assessment)

　　企业风险控制评价是整个审计框架的第二阶段，其提供了一个完整的框架用于评估管理层如何对信息流程和特定估计的相关风险进行控制。评估企业的风险控制可以让审计师考虑依赖该控制，将审计风险降至可接受水平，这通常是财务报表审计方法中最有效也最高效的。本章还助于审计师向客户提供有价值的控制改进建议。本章提出了以下问题：
　　　企业如何控制信息流程和特定估计的风险？
　　　企业如何确定其风险控制流程在有效的运作？
　　

　　这一阶段所使用的主要工具包括：
　　•　风险控制流程框架　(　Risk　Control　Process　Framework)　
　　该框架提供了风险控制流程的设计和评估结构。它可以用于评估客户风险控制的相关程序和特定估计的风险。控制根据决策信息的各个部分分成监督性控制　(　Monitoring　Control)、层面性控制　(Pervasive　Control)　　和具体控制　(　Specific　Control)。这样的区分对于有效评估风险控制的设计、将对控制的依赖程度最大化以及提供有意义的改进建议来说都是很重要的。
　　　风险控制标准及控制矩阵　(　Risk　Control　Standard　Matrix　)　
　　　信息可信度测试
　　　风险控制识别
　　　评价风险控制的设计
　　　测试风险控制
　　　控制信赖与否之决策树　(　Control　Reliance　Decision　Tree　)　
　　　如果控制有效，风险被降至可接受水平

　　本章还提供了具体性控制汇总案例及风险控制的识别,　评价和测试的案例.

　　三、确定剩余审计风险　(　Determine　Residual　Audit　Risk,　“　RAR”)

　　确定剩余审计风险是整个审计框架的第三阶段，本阶段要求审计师运用专业判断，确定那些没有将错误风险有效降至可接受水平的控制范围，这些不够有效的控制导致了剩余审计风险。本阶段主要关注以下问题：
　　　是否存在没有降至可接受水平的风险？
　　　如果存在，那么是哪些控制程序没有有效运行？

　　由于第三阶段同第四阶段的联系较为紧密，　因此在本书中我们把第三阶段同第四阶段合并在本书的第五章中。

　　四、剩余审计风险的管理（Managing　RAR）

　　剩余审计风险的管理为整个审计框架的第四阶段，　即最后一阶段，　该阶段提供了一个完整的框架，通过客户（被审计单位）的分析和行动（包括改进相关控制措施）或者通过审计师执行降低风险的程序，将剩余审计风险降至可接受水平。本阶段关注以下问题：
　　•　财务报表审计中，什么样的企业行为或审计程序能够将剩余审计风险降至可接受水平？
　　　审计人员会向企业提供什么样的建议用于改进其风险控制流程？

　　这一阶段的主要内容包括：
　　　MRAR决策树
　　　企业分析及跟踪控制行为
　　　客户流程的改进
　　　降低风险的程序－测试客户的分析
　　　降低风险的程序－测试交易或账户余额
　　　降低风险的程序－报表科目基础数据重新整理
　　　分析性复核程序的运用
　　　相关准则要求必须执行的审计程序
　　　风险管理审计模式下的管理建议书
　　　风险管理审计自我评价和整体结论

　　同时,　对于相关审计准则要求需要予以关注的常见审计事项,　本部分提供了审计实践参考程序,　其包括:
　　　全球通用审计实践　----　持续经营
　　　全球通用审计实践　----　期后事项
　　　全球通用审计实践　----　关联交易
　　　全球通用审计实践　----　法律诉讼索赔事项

　　本书还在最后部分提供了风险管理审计通用审计程序,　供在实践中参考。

　　而降低风险、提升价值则是风险管理审计的整体目标。需要说明的是，　这里所指的降低风险，　不仅仅指审计风险降低，　而是通过企业自身的风险管理活动及审计师的风险管理审计从而降低现代企业在创造财富中所面临的风险，　进而是审计的风险也相应地降低到可接受水平；与风险降低相对应的是价值的提升，　即：企业创造出更多的财富，　而在这一财富创造过程的价值链中，　风险管理审计作为其中的一个环节，随着整个价值链的价值增加，从而使审计价值得到提升。我们可以把现代企业风险管理审计框架以图形描述如下: