根據維基的記載,審計風險是「審計師發表不恰當審計意見的風險(可能性)」。簡單來說,就是「睇錯風險,出錯Report」。
按目前最流行的講法,審計風險(Audit risk)=固有風險(Inherent risk)x控制風險 (Control risk)x檢查風險(Detection risk)。
為了更能顯示它們之間的關係,我繪畫了以下這幅圖。最底部的剩餘風險(Residal risk),其實就是審計師須要面對的審計風險了。
固有風險是假設在沒有內控下發生錯誤的可能。例如準備Voucher時將銀碼寫錯了。一般來說,業務愈複雜,固有風險就愈高。例如一般商品買賣和炒賣衍生工具,前者的固有風險就應該比後者低。
除此以外,業務處身的環境狀況和管理層本身也會影響固有風險的。先講業務環境,例如一家貿易公司,他們的身處的業務環境相對銀行複雜。別的不說,單是相關的法律法規這一項,就已經令後者的固有風險增加。另外,銀行存放大量現金,相對於貿易公司的貨品,現金較容易被挪用和偷走,這一項也會增加固有風險。
至於管理層對固有風險的影響,當中包括他們的能力、誠信、管治水平、對風險的敏感度和人員變動情況。就以管治水平為例,若企業的管治差勁,固有風險隨之而增加。這也解釋了,為何當有上市企業高層捲入官司,其股價例必大跌。因為市場相信,企業管治水平和企業業績甚至前景有直接的影響。
控制風險是發生了錯誤時,內控未能有效防止或發現的可能。當中包括沒有建立內控,或者建立了內控但設計有問題或控制不足夠,又或者建立了足夠的內控卻沒有切實和及時執行。
舉個幾個例子來嘗試說明一下:公司把大量現金存放在抽屜,既沒有上鎖,也沒有收支記錄,這就是沒「有建立內控了」;公司用一個普通的小錢箱來存放大量現金,而且也沒有收支記錄,這就是「建立了內控但設計有問題或控制不足夠」;公司把所有現金鎖進夾萬,而且也設計了一個收支記錄。可是,夾萬沒有按規定鎖好,收支記錄又不齊全,這就是「內控沒有切實執行」。
檢查風險就是Auditee存在問題或錯誤,但審計師找不出來的可能性。例如Auditee有一筆或然債務(Contingency liability),若果通過正常的Bank confirmation是可以找出來的。可是不知何解,相關的Bank confirmation沒有做,令審計師錯誤以為Auditee沒有或然債務。於審計實務來說,檢查風險愈高,審計工作量就愈多。
另外,檢查風險可以再細分成抽樣風險(Sampling risk)和非抽樣風險(Non-sampling risk)。顧名思義,前者涉及抽樣,例如抽樣的數量和方法有問題,以致出來的抽樣結果未能有效代表總體;後者則涉及其他方面,例如人為錯誤,疏忽,定錯了審計目的,用錯了審計程序,「放飛機」,「鬼揞眼」等等。
對於審計風險的控制,審計師主要是通過調節檢查風險。從上文中可以清楚看到,固有風險和控制風險是審計師無法控制的,就算是Auditee,他們也只能左右控制風險。所以,倘若固有風險和控制風險很高,又要維持一定水平的審計風險的話,審計師唯一可以做的,就是調低檢查風險,要做到這一點,就無可避免要做多些測試,審計工作量自然增加。
舉個例子,從事進出口貿易公司大多數都會有或然債務,換句話說,在審計或然債務上,存在一定的固有風險。假設貿易公司的內控不太理想,例如公司不會記錄這些或然債務,為了維持審計風險在低水平,審計師唯有將可接受的檢查風險水平調低,即是加強審計測試,例如不單索取Auditee所有銀行的Bank confirmation,而且還查閱所有Bank statements,甚至擴大Sample size,查看每單進口貿易是否開有信用證,以及跟蹤其信用證狀況。
國家審計署於早年下發了一份《審計機關審計重要性與審計風險評價準則》,內裡詳細列出以上各個風險的考慮因素,很值得參考。另外,Hong Kong Standard on Auditing (HKAS) 300,以及IAS 300也有提及。
&&&&&&&&
1 則留言:
一般 Internal Audit 內審,都是 operational audit,即是 test the
adherence to operations manuals,僅此而爾,fullstop!
credit worthiness 的 evaluation 一般不是 IA 內審的範圍,內審要 challenge credit decisions 是越權,但可以 challenge 借貸風險管理方法,walking a thin line!
Risk management 就可以包攬所有的風險管理程序,不過 compliance risk 卻是一大課題,因為 non compliance 若只是罰款,這是營運成本之一,有錢賺就可以繼續 non compliance,直至釘牌之前!!!
發佈留言