審計的風險評估
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇審計的風險評估范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
審計的風險評估范文第1篇
doi:10.3969/j.issn.1673-0194.2009.18.017
[中圖分類號] F239
[文獻標識碼] A
[文章編號] 1673-0194(2009)18-0050-03
一、戰略風險與戰略審計解析
戰略風險是一種綜合性風險,所有對企業價值或發展路徑產生重大影響的事件或趨勢,都可謂企業的戰略風險。其影響因素可能來自于外部,如自然災害和經濟危機;也可能源自于內部,如企業轉型和盲目并購。
基于風險控制的戰略審計是將企業置于一個大的經濟環境中,運用立體觀察的理論來判斷影響因素,從企業所處的經濟環境、經營方式、管理機制等方面來評估企業戰略制定、實施過程的科學合理性,并把被審計單位的戰略風險評估納入審計程序中去。
二、戰略審計實施中的風險評估探索
在實施戰略風險評估中,審計人員需要對初步識別出的風險點進行進一步的綜合評估,從而對企業戰略管理過程中的風險狀況做出合理、準確的判斷,并參考其他審計內容的有關因素和對戰略風險的影響程度,對審計結果做出調整。
對戰略風險的評估可采用單體風險評分法。其中,固有風險是假設企業沒有對這一風險進行管控所面臨的狀態,固有風險越高說明這項工作的重要性越高。剩余風險是結合了企業的管控有效性之后所面臨的風險,也就是企業實際的狀況。固有風險和剩余風險的概念差體現的就是企業的管理水平。單一風險評分法分別對固有風險、剩余風險打分,以各自的評分維度作為打分標準。分為5個等級:很高(5分)、高(4分)、中(3分)、低(2分)、很低(1分)。固有風險、剩余風險內各個維度的評分結束后,將得分加權平均,可得固有風險及剩余風險的總評分。
(一) 固有風險及剩余風險的評分維度剖析
對于固有風險的個別維度不適用的情況,直接在“很低”一欄填寫“不適用”即可;剩余風險不存在“不適用”的打分,若是個別維度體現不明顯,則直接選擇“很低”。評級盡可能先做定量判斷;在很難定量的情況下,再進行定性判斷。固有風險及剩余風險的評分維度如表1、表2所示。
對固有風險評分表的分析:
(1)財務影響。該維度是假設沒有管控或管控不力的情況下,近一年該戰略風險對公司凈利潤或現金流量的直接影響。財務影響的分級數據可利用公司年度稅后凈利潤或現金流量乘以重要性水平得到。
(2)聲譽。該維度是假設沒有管控或管控不力的情況下,戰略風險導致的后果所引發的社會責任以及對公司聲譽的影響程度。其可從負面消息流傳的范圍及關注程度考慮,“很高”,是在世界范圍流傳;“很低”,是在企業內部流傳;“中”是在全國流傳。
(3)合法合規性。該維度是假設沒有管控或管控不力的情況下,公司違反相關法規的程度或金額。可從兩個方面考慮:一方面是違規的程度,反映在調查機關的級別高低上,“很高”是引起中央機關的調查,“中”是導致地方政府的調查,“很低”是輕微的違反法律法規;另一方面是引起訴訟和罰款的金額。
(4)客戶。該維度是假設沒有管控或管控不力的情況下,與公司的銷售終端——客戶的關系受影響的程度,可用客戶的訂單量為參考依據。“很高”是客戶停止采購或取消80%以上訂單;“高”是客戶尋找其他供應商或取消部分訂單;“中”是對客戶訂單基本無影響,但未來的業務發展受到限制;“低”是有部分投訴或發生補救費用;“很低”是對客戶影響很小,僅發生最少的投訴及補救費用。
(5)員工的流失。該維度是假設在不對該風險進行管控的情況下公司全體員工的流失程度。可從兩方面進行評價:一是關鍵員工的流失比率;二是普通員工的流失比率。員工流失的越多,級別越高。
(6)運營。該維度結合了對企業整體業務影響的時間、人力、成本等定量指標,即指挽回對運營造成的影響所需付出的成本、人力等。從“很高”到“很低”,對企業的業務的影響程度依次是:影響重大業務能力、影響部分業務能力、影響日常運作、有一定影響但不影響日常運作、影響微弱等,無法定量判斷時就采用定性判斷。
(7)其他利益相關者。這里是指除了客戶和員工以外的利益相關者,如股東和社會機構。其反映為對企業股價的影響,可以用消息是否外傳或公布來幫助理解。“很高”到“很低”依次對應:股價連續大幅震蕩、股價數日大幅震蕩、股價非正常震蕩、股價單日漲(跌)停、不會實質性導致股票波動。
(8)發作速度。該維度假設在沒有管控或管控不力的情況下,從隱性不利跡象到風險導致實質損失的時間、非常迅速到很少或沒有預警時間。“很高”到“很低”依次對應:在一到幾天以內就發作、經過數天到數周才發作、潛伏期已達數月、潛伏期在數月以上到數年。
對剩余風險評分表的分析:
(1)響應速度。該維度衡量風險事件發生以后企業采取補救措施的速度,響應速度越快風險越低。
(2)控制效果和效率:控制/整改。該維度衡量風險事件發生之后企業是否針對原有流程進行優化與整改:“很高”是沒有整改計劃,“高”是計劃不完善,“中”是有計劃但沒有例行測試,“低”是有計劃有定期測試,“很低”是將計劃和測試嵌入企業的整個流程,作為部門的長效管理機制。
(3)控制效果和效率:監測和報告。該維度衡量有關風險的報告,“很高”和“高”的差別是有沒有分析風險,有沒有報告;“高”和“中”的差別是有沒有識別風險源頭,是口頭報告還是正式報告;“中”和“低”的差別是有沒有報告的時間表;“低”和“很低”的差別是有沒有風險指標。
(4)近一年的風險數據:違規成本或造成的損失。該維度衡量近一年內該風險發生造成的實際損失的相關數據。
(5)風險管理能力:人/技能/知識。該維度考慮兩個方面:一是員工本身的管理戰略風險的意識和能力;二是員工獲取外部資源的途徑是否充分,即有助于戰略風險管理的渠道、信息、管理方法、管理模型等。員工的風險管理能力越強、能夠獲取的外部資源越多風險越低。
(6)風險管理能力:第三方。該維度衡量企業在進行戰略風險管理時與第三方的關系。對第三方的依賴程度越高,風險越高。第三方包括:客戶、商、供應商。
(7)風險管理能力:流程。對流程的影響是指改變流程的走向。主要看對關鍵流程的影響:影響多個關鍵流程對應“很高”;影響一個關鍵流程對應“高”;對關鍵流程沒有影響對應“中”。
(8)風險管理能力:系統/數據/信息系統/安全。該維度衡量對企業關鍵信息系統的依賴和影響程度。依賴和影響的程度越大,風險程度就越高。如果信息系統出現問題,考慮是否能夠由手工替代,若完全無法替代,則剩余風險較高。
(9)擴張或收縮。該維度是指未來12個月或更長的時間內管理這個風險的業務、人員、流程和系統發生變革的程度。發生變革的程度越大,則剩余風險越高。
(二)戰略風險分布圖評估
通過對識別出的各個戰略風險的評分,我們可以得到有關單體風險的一個分值(X,Y),固有風險一個分
數(X)、剩余風險一個分數(Y),據此可以得到四象限矩陣的戰略風險分布圖,如圖1所示。
戰略風險分布圖清晰地展示了企業目前面臨的戰略風險的現狀,固有風險展示的是戰略風險原生態的狀況,是該戰略風險的重要性的體現;剩余風險展示的是管理層施加管理控制措施后的風險水平,其實質上反映了企業的管控水平及能力。戰略風險分布圖可以讓管理層一目了然地了解到戰略管理中存在的問題,即哪些程序、哪些環節仍需進一步的調整與控制。
戰略風險分布圖已成為審計人員提出審計意見及改進建議的依據。針對第一象限的戰略風險(雙高風險),審計人員應建議管理層改善現有的管理措施,提升業務流程及人員的管理水平,加強對該風險事件的監測與控制;針對第二象限內的戰略風險(固有風險高,剩余風險低),表明企業針對重大風險事件所采取的管理措施是行之有效的,但仍需繼續關注,建議管理層定期評審相關流程的內部控制執行效力;針對第三象限內的戰略風險(雙低風險),審計人員應建議管理層重新部署有限的管理資源,將人力、時間投入到需要管控的其他流程上;針對位于第四象限的戰略風險(固有風險低,剩余風險高),因其剩余風險是風險事件長期積累的結果,審計人員應進一步測量該風險的累積影響。
三、結束語
本文將戰略風險管理與企業戰略審計有機地融合,通過對基于風險控制的戰略審計評估技術的探討,并融合企業環環相扣的戰略管理活動,使其真正能夠起到改善并控制企業戰略風險的功效,以此促進我國審計事業的良性發展。同時,基于風險控制的戰略審計評估能促使企業內部控制系統不斷實施、執行、評價和完善,趨于持續動態改進。
主要參考文獻
審計的風險評估范文第2篇
一、現代風險導向審計與洗錢風險評估
(一)現代風險導向審計 審計的目標是對財務報表不存在由于錯誤或舞弊導致的重大錯報獲得合理保證,其審計方法,即現代風險導向審計是當今主流的審計方法,要求審計人員從宏觀上了解被審計單位及其環境,充分識別和評估財務報表重大錯報風險,針對評估的重大錯報風險設計和實施控制測試與實質性測試程序 ,并根據審計結果出具恰當的審計報告。現代風險導向審計基于戰略層面和經營層面進行分析,可以克服因缺乏全局觀而導致的審計失敗風險,其不僅關注到上市公司經營風險對會計報表的影響,還把上市公司管理層對其影響因素考慮在內,同時相應減少了審計資源在實質性測試方面的分配,節省審計成本。
(二)金融機構洗錢風險評估 2012年2月,金融行動特別工作組的“40項建議”重點突出風險為本反洗錢工作方法,主要體現在根據洗錢、恐怖融資等非法活動的風險高低,合理配置相應的資源,采取相應的控制措施,既包括對洗錢風險的評估,還包括依據風險評估結果對高風險領域采取強化措施。洗錢風險評估主要體現在三個方面的運用:一是FATF及有關機構對國家整體洗錢風險進行評估;二是反洗錢監管部門對金融機構洗錢風險進行評估;三是金融機構對客戶洗錢風險進行評估。須注意的是,金融機構洗錢風險評估與金融機構反洗錢工作評估不同,洗錢風險評估是指對金融機構被利用洗錢,即洗錢風險高低進行評價,側重于預防洗錢風險能力方面;反洗錢工作評估是指對金融機構的反洗錢工作情況進行評價,是一種類似于績效考核的評價模式。兩者在評價指標設計及方法上有所不同,如被評估機構工作(調研)受到表彰、認可或表揚,協助破獲了洗錢及上游犯罪案件,提供了有價值的可疑交易線索,在洗錢風險評估中只作為評估取證的來源之一,在反洗錢工作評估中則作為對工作認可的績效評價指標之一。本文從監管角度探討對金融機構洗錢風險的評估。
金融機構對客戶的洗錢風險評估,是金融機構了解客戶基本信息的基礎上,分析客戶資金交易的金額、頻率和方式等特征,繼而確定風險等級。監管部門對金融機構洗錢風險評估,是監管部門或受監管部門委托的有關機構,對金融機構的客戶身份識別、交易記錄保存、客戶風險等級劃分及可疑交易報告制度的有效性進行分析,確定金融機構在內控管理、業務流程、人員履職等方面對其洗錢風險的影響。
(三)現代風險導向與金融機構洗錢風險評估的異同 具體運用中,兩者均采用抽樣評價方法,取證手段也相同(如詢問、查閱、檢查等方式),評估流程也類同。財務報表審計流程大致分三個階段,即承接業務階段的內外部風險評估,分析被審計單位高管層壓力、機會和借口等因素所引發的舞弊或錯報風險;風險初步評估階段,了解評價被審計單位環境、內控制度情況;進一步審計程序階段,控制測試和實質性測試(對被審計單位各類交易、賬戶余額和披露的細節測試以及實質性分析程序)。后續審計程序根據前階段的風險評估結果確定,當后續審計程序獲取的審計證據與初始評估獲取的審計證據相矛盾時,可以修正風險評估結果,并相應修改原計劃實施的進一步審計程序。審計風險評估的目的是根據風險,確定進一步審計程序的性質、范圍和時間安排,其目的在于內控風險較高時,更多的控制測試和實質性測試能推斷被審計單位的錯報或舞弊行為,繼而獲取被審計單位錯報或舞弊對財務報表的影響程度。洗錢風險評估與此類似,一是了解金融機構固有風險階段,與承接審計業務階段內外部風險評估階段相似,需了解金融機構所面臨的宏觀經濟狀況,所在行業的洗錢風險及經營狀況對洗錢風險的影響。二是初步評估階段,與審計風險初步評估階段相似,對金融機構反洗錢工作的環境、內控制度執行情況進行評估。三是深入評估階段,與進一步審計程序階段相似,對金融機構的反洗錢內控制度有效性和可疑交易分析報告工作的及時性和有效性進行分析評價。洗錢風險評估過程中,可以在了解金融機構固有風險的基礎上,確定初步評估的范圍,再根據初步評估的結果,指導深入評估的時間、范圍和方法,包括對金融機構進行一次初步評估和一次深入評估,也包括根據評估結果,采取現場檢查、約見談話、現場走訪等后續監管措施。
不同之處在于:一是業務性質不同。風險導向審計是對財務報表不存在由于錯誤或舞弊導致的重大錯報獲得合理保證;金融機構洗錢風險評估是對金融機構洗錢風險的高低作出評價。二是評價內容不同。前者是對被審計單位的外部環境、內部環境、內控制度,特別是對會計報表及賬務處理的準確性及真實性進行評價,具有經濟評價性質,較為復雜;后者是對被評估單位反洗錢相關的環境、內控制度及可疑交易分析能力進行評價,具有單一性風險評價性質,較為簡單。三是法律責任不同。審計主體對審計報告具有強制性報告義務,并對出具的審計報告承擔法律責任;洗錢風險評估是對風險進行判斷,不具有強制性報告義務,較少承擔法律責任。四是委托責任不同。前者是注冊會計師事務所接受有關信息使用者的委托,對被審計單位進行審計,信息使用者包括政府、股東及投資者等相關人員;后者主要是評估主體接受政府部門委托,根據最新風險狀況對被評估機構洗錢風險進行評估。
二、審計風險評價體系對洗錢風險評價體系的借鑒
層次分析法是美國運籌學家T.L.Saaty于20世紀70年代初提出的一種決策分析方法,基本原理是:把一個復雜的決策問題視為一個系統,按總目標、子目標、評價因素的順序進行逐步分解,構建層次結構,然后通過模糊量化確定各元素對于上層指標的重要性,以此遞推到總目標層,從而為最終的決策問題提供較為科學的定量依據。目前的洗錢風險評估方法為層次分析評價方法,該方法將整體風險分解成一套評估指標體系,通過采用分級細化、確定指標分值權重、逐級加減匯總的方式,確定總體水平。如我國試行的金融機構反洗錢風險評估標準中,將風險指標劃分為環境、產品/客戶、控制、溝通和調整五類一級指標,通過對各類指標中的標準評價得分匯總得出整體風險。該方法優點在于,整體風險或工作情況受多個控制點、事項或交易的影響,各指標的匯總得分情況能較好反映整體水平,其在工作績效考核運用中的優勢尤其明顯。
審計風險值的確定方法與上不同,是在確定各類風險值(或風險高低)的基礎上,對各類風險值進行數值乘算(或選用“高”、“中”、“低”等文字的定性描述),并通過矩陣表的方式計算確定風險,本文將此方法描述為矩陣評價方法。審計風險值具體確定方法為,審計風險=重大錯報風險×檢查風險(實務中,注冊會計師不一定用絕對數量表示風險水平,還可以選用“高”、“中”、“低”等文字描述,即審計風險值可通過數值乘算,也可以定性確定),其中,檢查風險取決于審計程序設計的合理性和執行的有效性,可以通過職責分配、提供針對性審計計劃等方式解決。重大錯報風險包括固有風險和控制風險,評估時可以單獨對固有風險和控制風險進行評估,也可以合并進行評估。國內有關學者采用矩陣方式評價風險,如對洗錢風險值的評價方法為,洗錢風險=固有風險×內控風險,其中,固有風險包括:國家/地域風險、產品/服務風險、客戶風險;內控風險主要是指反洗錢內控制度及執行風險。如反洗錢風險管理的評估方法為:反洗錢風險=原本風險×管控風險×監管風險。與反洗錢風險管理的評估方法相似,金融機構洗錢風險水平受以下四個方面的因素影響:國家經濟,所在行業、地域環境;反洗錢內控制度與內部環境;金融產品、服務及客戶本身的洗錢風險水平;可疑交易報告的及時性和有效性。確定金融機構洗錢風險的方法為,金融機構洗錢風險=國家(地域、行業)風險×控制風險×產品(或客戶)風險×交易監測風險(與審計風險評估相似,洗錢風險值可通過數值乘算,亦可定性確定)。
矩陣評價方法體現出風險與成本的一種均衡,避免將洗錢風險通過簡單匯總各級指標分值的方式進行評價。主要體現在:一是控制成本。風險導向審計理論認為,機構內部行使控制職能的人員素質及控制成本影響控制效果,若實施某項控制成本大于控制效果而發生損失時,就沒有必要設置該控制環節或控制措施。洗錢風險評估中,某金融產品被用于洗錢的風險較高,其相關控制風險也較高,但若金融機構的該類金融產品交易量很少,則其整體洗錢風險不能被認定為高風險,投入此部分的評估資源可以相對減少。二是風險項的交叉性影響。即各類風險相互之間的影響,如新客戶“職業”登記為“其他或無業”的比例較高,則不能認定客戶身份識別制度執行有效。三是不同類別風險對整體風險的影響程度。即當某類風險較高,而其他類風險較低時,須依據各類風險對整體風險的影響程度確定風險等級。金融機構的反洗錢義務在于預防,所有控制措施都是為做好可疑交易的監測、分析和報送服務,若客戶身份識別制度和客戶風險等級劃分制度執行的很好,但監測分析人員的人數配置不夠、分析能力不高,可疑交易分析系統的智能化不足,則應認定該單位的洗錢風險水平為高風險。
三、風險導向審計方法在洗錢風險評估方法中的運用
(一)運用抽樣評價方法 審計抽樣范圍受所審計鑒定會計期間的影響,并針對該會計期間各類控制、事項或交易中的部分樣本進行評價,通過樣本推斷總體,如年度財務報表審計,只有在審計報表期初余額,及評價期末、期后事項對報表的影響時,才會跨年度選取樣本。洗錢風險評估相對靈活,可以對某一年度的洗錢風險進行抽樣評估,也可以針對某類控制、事項或交易的樣本擴大至若干個年度進行抽樣評估。
(二)依據風險高低擴大或減少樣本量 審計實務中,若認為被審計單位控制環境薄弱,則很難認定某一相關流程的控制有效,其實質性測試的樣本量會大幅增加(實質性測試包括細節性測試和實質性分析程序,即對會計計量的真實性、準確性、合理性進行審查)。小型機構員工較少,限制了其職責分離的程度,雖然沒有文件形式的控制要素,但了解管理層的態度、認識和措施及其控制環境非常重要,應該更多的采取實質性程序。洗錢風險評估可借鑒以上方法,若金融機構的內控風險很高,則其客戶身份識別、交易記錄保存及客戶風險等級劃分相關控制點就較難得到有效執行,繼而影響異常交易分析識別的及時性和有效性,洗錢風險會加大,此時應擴大對異常交易分析及報告的樣本量,確定洗錢風險的高低。
(三)整合取證手段 審計取證方法包括查閱、詢問、觀察、穿行測試、重新執行、實質性分析程序等方法,具體審計目的不同,取證手段和工作流程也不同。如對收入確認的完整性測試,由原始憑證追查至明細賬(從發貨部門的發運憑證追查至有關銷售發票副本,再到收入明細賬),而對收入確認真實性的審計流程與上述流程相反。洗錢風險評估中,如評價金融機構的可疑交易報告是否有遺漏,可以選取部分存量客戶,從建立業務關系,到客戶風險等級劃分,再到可疑交易分析報告的整個流程進行取證;評價可疑交易報告是否合理,則與上述流程相反。在具體方法運用上,主要有以下幾種可供借鑒。
一是詢問。向金融機構有關員工進行詢問,獲取與內部控制運行情況相關的信息。如果某項控制要求某一員工(復核人)在文件上簽字以證明他復核該份文件,那么應詢問其復核的性質,即對什么進行復核,復核的要點是什么,簽字復核的意義等等。如個人獨資企業、家族企業、合伙企業、存在隱名股東或匿名股東公司的盡職調查難度通常會高于一般公司,應詢問此類盡職調查的方法和措施。二是穿行測試。追蹤交易報告在業務流程中發生、處理和記錄的過程。業務流程中存在多個風險控制點,如客戶身份識別措施―身份識別記錄―風險等級劃分―交易記錄保存―可疑交易提取、分析―復核確認―分析報告結論,通過穿行測試,掌握內控薄弱環節,及對整體風險的影響程度。三是重新執行。審計實務中,檢查復核人員是否認真執行核對時,不僅應檢查是否在相關文件上簽字,還應選取一部分憑證如銷售發票進行核對。在風險評估中,可以選取部分可疑交易報告,評判可疑交易分析復核的合理性;在可疑交易分析系統及風險等級劃分系統(或者是功能模塊)中,評估人員從相關系統調取客戶身份資料(一般是開戶資料)和交易記錄,以評價系統設計的合理性。四是實質性分析程序。通過研究數據間關系評價一段期間的交易情況。審計實務中,實質性測試包括對各類交易、賬戶余額和披露的細節測試以及實質性分析程序(如財務指標的橫縱向比較)。在洗錢風險評估中,可以運用到實質性分析程序,如“可疑交易量/同類型交易量”的橫縱向比較,“未登記客戶職業信息數量/所有客戶數量”的橫縱向比較;如私人銀行業務的投資理財品種和交易金額的變動情況。
四、審計成本控制對洗錢風險評估成本的借鑒
審計實務中,項目審計組基本為一年對一家上市公司財務報表年報進行審計,雖然企業所面臨的經濟環境和經營復雜程度的不斷上升,注冊會計師仍會在合理的時間內以合理的成本完成審計工作。風險為本的工作方法與此相同,需要以合理的成本完成洗錢風險評估工作。截至2012年底,我國具有反洗錢報告義務的金融機構共計1599家,以湖北省武漢市為例,該市具有反洗錢報告義務的金融機構共計201家,其中法人機構19家,在市內擁有下屬機構的69家,無下屬機構(如證券營業部、支付機構等)的113家。可以發現,監管機構與義務主體呈現一對多的現象,同時,洗錢風險評估只是反洗錢監管工作中的一部分。那么實現評估成本的節約和效果的提高,需要考慮評估的目的,繼而在評估深度、時間安排及人員配置上作出具體調整。主要有以下三種模式可供綜合或單獨運用:一是動態風險評估。如每1至2年評估一次,其作用在于實時掌控金融機構的洗錢風險,由于被評估的反洗錢義務主體較多,則對每家機構評估的時間不宜過長。二是周期性評估。如3年及以上評估一次,該模式的假設前提是短期內金融機構的洗錢風險不會發生較大變化,當金融機構較多時,可以分配至各個年度,并采取“深入”評估的方式進行評估。三是法人監管模式的自主型評估與分支機構的配合型評估。即對法人金融機構進行全面、深入的評估,重點包括內控制度建設、管理體系及執行有效性上面;對于地方分支機構,應以配合上級部門為主,根據上級部門有關要求對金融機構分支機構采取針對性評估,重點在于評價分支機構內控執行有效性上面。
參考文獻:
[1]沈征:《審計理論》,上海人民出版社2013年版。
審計的風險評估范文第3篇
關鍵詞:期望審計風險評估;錨定與調整啟發法;錨定效應
中圖分類號:F830.5 文獻標識碼:B 文章編號:1674-0017-2013(2)-0023-07
一、引言
期望審計風險水平是指審計人員在對特定項目實施審計之前,預先確定的愿意承受的審計風險水平,是審計風險控制系統的控制目標和輸出。審計人員在審計計劃階段,往往要預先確定一個可以接受的審計風險水平,然后以此為目標,制定具體的審計策略,并盡力地把審計風險控制在期望水平以下。
上世紀七十年代,Tversky和Kahneman(1974)根據大量的觀察和實驗發現了人們在不確定條件下進行的判斷與傳統經濟理論所假定的那種理性判斷之間會發生系統性偏差的機理,從而奠定了行為經濟學的基礎。近二十多年來,行為經濟學的理論不斷地被應用于金融與管理領域的研究中,取得了許多有意義的成果。特別是在審計研究上,行為經濟學的應用受到了越來越多的重視(彭桃英,2010)。
在期望審計風險評估主體進行風險評估的判斷與決策過程中,他們面對的同樣是不確定性的環境。作為理性的經濟人,評估主體(在本文中我們假定是審計人員自己評估審計風險)對期望審計風險評水平的確定不應受到以往有關期望審計風險評估結果的影響,而且應該根據新獲得的信息,科學地進行評估。但實際情況是否如此,是一個有待檢驗且尚未見人嘗試的重要問題。如果在這方面也的確存在錨定效應,即存在依賴以往評估結果的系統性認知偏差,那么,這一研究對于審計人員克服期望審計風險評估中的認知偏差,更加客觀和科學地利用新信息,提高審計風險控制能力,就具有十分明顯的實踐意義。
二、文獻回顧
在審計實務中,審計人員只有將實際審計風險水平控制到低于或等于期望審計風險水平時,才能結束審計工作。既然期望審計風險水平的確定對審計工作如此重要,那么哪些因素是評估時應該考慮到的或有哪些因素比較重要呢?劉峰、景東華(2002)認為確定合理的期望審計風險水平,必須綜合考慮審計風險的影響力度、被審單位的經營風險,同時盡可能降低審計人員主觀判斷對期望審計風險水平的影響。員鴻琬等(2004)認為,對期望審計風險水平有影響的主要因素包括:一是審計結束后發生法律訴訟可能性的大小及敗訴受到懲罰的嚴厲程度;二是審計市場的競爭性;三是審計人員對審計風險的偏好;四是審計人員自身的職業道德。同時還應關注以下三個因素對期望審計風險水平的影響:一是外部使用者對會計報表的信賴程度;二審計報告日后被審計單位陷入財務困境的可能性;三是管理部門的正直性。趙春萍、邵世文(2003)講述了確定期望審計風險應考慮的一個重要因素是企業會計報表使用者對報表的依賴程度,該指標可以從客戶規模、所有者的分布、負債的性質和數額這三個方面進行考核。
Kinney和Uecker(1982)以154名注冊會計師為被試進行了兩個實驗,通過改變樣本規模和樣本誤差數來檢驗注冊會計師判斷控制風險時的錨定效應,兩個實驗的結果均表明被試的判斷明顯存在錨定效應。Biggs S和Wild J (1985)以121名注冊會計師為被試,實驗結果再次證實了Kinney和Uecker(1982)的實驗發現,被試發生了錨定效應,但是被試是否更加謹慎無法確定。Presutti(1995)以62名注冊會計師為被試,發現以前年度審計抽樣信息對被試的判斷產生了顯著影響,對本期的判斷具有錨定效應;而且被試表現的更加謹慎,提供以前年度審計信息的被試大大高估實驗任務中銷售循環的控制風險。
我國關于錨定和啟發法的研究剛剛起步,僅在審計判斷研究領域有了一些初步的研究成果,如張繼勛(2002)通過理論分析認為我國注冊會計師存在錨定效應。此項研究對于理解注冊會計師的判斷過程,避免審計判斷偏差和檢驗審計準則的有效性具有重要的意義。楊明增、張繼勛(2007)以我國注冊會計師審計為背景,以控制測試為實驗任務,驗證了我國注冊會計師審計判斷中的錨定效應:在有以前年度信息的情況下,注冊會計師對本期控制風險的評價更加謹慎,控制風險的估計水平更高。李斌等(2008)認為,錨定效應是普遍存在的一種現象,只要是在不確定狀態下的判斷過程中,人們往往會出現這樣的錯誤。
上述有關期望審計風險影響因素的文獻對影響因素的總結大同小異,且沒有比較全面地、分類別地、有層次地顯示出來。在本文中,將通過編制一個包含了大量影響因素的問卷調查表,并對其進行數據分析,得出每個因素的權重大小;然后,將擴展審計判斷中的錨定效應研究到期望審計風險評估過程中來,試圖克服目前相關文獻中這方面研究的不足。
三、問卷設計及數據分析
(一)問卷設計
除了對相關文獻中關于期望審計風險評估的影響因素的借鑒之外,為了對影響期望審計風險水平及各因素的影響程度有更為全面的了解,也為了給實驗部分的變量設計提供更多可靠及適當的選擇,在設計調查問卷后,先進行了小規模的問卷調查。在調查過程中,向被測試者咨詢、請教與討論,不斷改進問卷的因素設置與分類,最終得到了一份包含四個大因素、二十三個子因素的調查表。在正式的較大規模的問卷調查中,被測試者普遍反映這份調查表是適合我國審計實務環境的。包含了這二十三個因素的四大因素分別是審計失敗的不良影響、被審計單位經營風險、被審計單位有無舞弊動機及審計人員或會計師事務所方面的因素。
問卷由兩個必答問題與一個任答問題組成,其中,第一個必答問題是為了調查影響期望審計風險評估的上述四大因素依各自的影響程度所占的權重;第二個必答問題是將問題一中的四大因素分別細化為多個具體的影響因素,針對每個具體因素的影響程度分五個等級打出相應的分數(回答采用5點量表,“非常重要”、“比較重要”、“一般”、“不重要”到“無關”,分別記4-0分);問題三是屬于一個附加的任答問題,針對部分審計人員認為除問題二中列舉的因素外,還可能存在其他因素會對期望審計風險評估產生某種程度的影響,可以作出補充。
(二)問題一的結果分析
有效問卷中對第一個問題的結果描述與統計。其中,表1是將各個總體因素的權重分別取最大權重、最小權重以及求平均值后得出的結果;表2是對回答者中認為各因素權重最大的問卷數量所作的統計。
由上表可以看出,被審計單位的經營風險對審計人員期望審計風險水平評估的影響程度所占的權重最大,為38.72%;審計失敗的不良影響權重次之,為25.69%;被審計單位的舞弊動機權重為19.93%;事務所或審計人員主觀因素權重最小,為15.62%。
從上表可知,有57.86%的審計人員認為被審計單位經營風險對期望審計風險評估的影響程度最大,有17.36%的審計人員認為審計失敗的不良影響對期望審計風險的影響最大,有15.28%的審計人員認為被審計單位有無舞弊動機對期望審計風險評估的影響最大,而只有11.11%的審計人員認為會計師事務所或審計人員主觀因素對期望審計風險評估的影響最大。
(三)問題二的統計結果
表3是對問卷中問題二的結果統計,通過求平均分值描述四大總體因素的各子因素對重大錯報風險評估的影響程度。
從上表可以看出,在審計實務中被審計人員重點考慮的前五個因素是:遭受法律訴訟的可能性大小、被審計單位盈利能力、事務所業務競爭程度、被審單位管理人員遭受的異常壓力、審計人員職業勝任能力。這里的分析結果為本文實驗變量的確定提供了重要依據。
四、研究假設
錨定與調整啟發法理論及前景理論認為,人們在進行判斷和決策時,為了提高決策效率,往往會利用最易獲得的信息去建立參照點,此參考點即為錨。期望審計風險水平的評估過程中,過去的評估值就可能被認為是本年度的一個初始值。審計人員在審計之前要全面性地了解被審單位的有關重大經濟活動、重大經濟決策,認真查閱其上年接受審計的情況,在判斷上年期望審計風險水平合理的情況下,審計人員可能將上年期望審計風險水平當作“錨”。由于本文是在被審計單位經營狀況正常的情況下開展研究的,因此,我們提出以下假設:
假設1:在不確定性環境下,審計人員在進行期望審計風險評估時會產生錨定效應,即,以前年度的期望審計風險評估結果對本年度的期望審計風險評估結果產生顯著影響。
錨定與調整啟發法認為,在存在不確定性的情況下一旦確定了初始值,決策者就會在初始值的基礎上,根據獲得的新信息不斷進行調整并得出最終的判斷。根據這一理論,在期望審計風險評估過程中,審計人員在對其承接的審計業務進行期望審計風險評估時,會盡可能全面地搜集與期望審計風險評估相關的信息。由于這些信息對期望審計風險評估結果的影響程度不一,這時就需要審計人員憑以往的經驗,對哪些信息是作出期望審計風險評估調整的重要依據進行主觀判斷,并不斷在心中做出評估調整決策,形成最終評估結果。據此,我們提出假設:
假設2:在不確定性環境下,審計人員會根據所獲得的新信息在初始評估的基礎上重新調整其期望審計風險評估結果。
由問卷調查結果可見,在所有子因素中,客戶的盈利能力、遭受法律訴訟可能性大小這兩個子因素的影響排在前兩位。因此,該兩個因素是審計人員在進行期望審計風險評估時必須加以權衡的因素。問卷調查結果還顯示,審計人員中57.86%的比例認為,被審單位的經營風險因素對期望審計風險水平的評估影響最大。據此,我們提出以下假設:
假設2a:在上年度期望審計風險評估水平一定的情況下,若被審單位盈利能力較上年有所提高,考慮這一新信息會導致審計人員在上年評估結果的基礎上調高其期望審計風險評估水平。
假設2b:在上年度期望審計風險評估水平一定的情況下,若被審單位盈利能力較上年有所降低,考慮這一新信息會導致審計人員在上年評估結果的基礎上調低其期望審計風險評估水平。
問卷調查結果顯示,除了被審單位盈利能力這一影響因素占了很大權重外,發生法律訴訟可能性大小的評估得分也非常高,因此,我們把遭受法律訴訟大小這一子因素作為第二次調整信息,提出以下假設:
假設2c:在上年度期望審計風險評估水平及被審單位盈利能力一定的情況下,若會計師事務所或者審計人員遭受法律訴訟的可能性增大,則會導致審計人員在先前評估基礎上調低其期望審計風險評估水平。
假設2d:在上年度期望審計風險評估水平及被審單位盈利能力一定的情況下,若會計師事務所或者審計人員遭受法律訴訟的可能性減少,則會導致審計人員在先前評估基礎上調高其期望審計風險評估水平。
五、實驗設計
(一)變量的選取與實驗過程
從表1,本實驗的三個操控自變量是:上年期望審計風險評估水平、被審單位盈利能力與會計師事務所審計工作結束后遭受法律訴訟的可能性大小。每個變量有兩個水平,上年度期望審計風險評估結果為兩個水平:上年期望審計風險評估水平有兩個水平:高水平(L1)、低水平(L2);被審計單位盈利能力有兩個水平:較高(P1)、較低(P2);會計師事務所遭受法律訴訟的可能性有兩個水平:較大(S1)、較小(S2)。相應地,作者設計了一個2×2×2三因子的八種方案實驗,作者采用隨機的方式分發給參與實驗的被試,這八個方案為:L1P2S2、L2P2S2、L1P1S2、L1P1S1、L2P1S2、L2P1S1、L1P2S1、L2P2S1。
本實驗的被試是參加湖南省注協培訓的多家會計師事務所的部分審計從業人員,共240人。實驗首先要求被試閱讀實驗的背景信息,之后每閱讀完一個資料信息后給出一個合理的評估結果。案例資料提供了三個重要的資料信息,一是上年度期望審計風險水平評估結果;二是被審單位的盈利能力大小;三是審計人員或會計師事務所遭受法律訴訟可能性的大小。因變量(AP)就是被試根據所給信息相應做出的每一次風險評估,評估結果按影響風險的程度分為無關、不重要、一般、比較重要、非常重要五個水平,分別給予分值0、1、2、3、4分。由于三個自變量的信息是要求被試者按先后順序依次閱讀的,每位被試都將依次做出三次評估。
為了保證實驗的內部效度,選擇一個對被試來說合適而且熟悉的審計判斷任務是非常重要的。本文選擇了最普遍的年報審計項目作為案例背景。同時,為保證實驗設計的實際適用性,在正式實驗前,我們先進行了小規模的問卷發放,并在問卷發放現場與被試審計人員探討了實驗問卷中存在的不足之處。最終經過對個別子因素和標度的級數調整,問卷設計在大規模發放時得到被試的普遍認可。
為了在一定程度上保證審計證據與審計判斷選擇和審計意見選擇之間因果關系的明確程度,必須控制額外變量對實驗效果的影響。本文主要通過審計人員的職位、學歷、從事審計工作年限以及審計人員的年齡等方面來反映不同實驗組的被試是否存在顯著差異。雖然我們在實驗開始前對被試的分組是隨機進行的,但是為了消除未預期的混淆效應,本文對被試的隨機分配進行了檢驗,檢驗的結果表明實驗組之間在審計人員的職位、學歷、從事審計工作年限以及審計人員的年齡等方面不存在顯著差異。同時,為了測試證據操縱的效度,我們就被試對每個問題的回答進行操作性檢驗。檢驗結果表明,由于錯誤的判斷在整個判斷中所占的比例很小,因而,可以認為對證據判斷的操作是有效的。
(二)實驗結果及分析
實驗完成后共收回165份問卷,剔除無效的21份,有效份數為144份。我們將實驗結果數據用Excel加以整理后,用SPSS17.0軟件進行了描述性統計分析、獨立樣本均值T檢驗。
1、描述性統計分析
從表4中各種信息狀況下審計期望風險評估的均值可以看出:審計人員在進行重大錯報風險評估時,上年度期望審計風險被評估為高水時評估當年的期望審計風險水平要高于上年度期望審計風險被評估為低水平時評估當年的期望審計風險水平(L1下的3.51遠高于L2下的1.90),這體現了上年度的風險評估結果對當年風險評估的影響;審計人員在上年度風險評估水平相同的情況下,被審單位盈利能力較上年提高時做出的第二次評估均值遠高于被審單位盈利能力較上年降低時的評估均值(L1P1下的4.25遠大于L1P2下的3.08、L2P1下2.94大于L2P2下的1.47),說明若被審單位盈利能力較好時,期望審計風險的評估水平也會隨之提高;被審單位上年度期望審計風險評估水平與被審計單位盈利能力相同時,審計人員在作出風險評估時,審計結束后發生法律訴訟可能性大小也會導致風險評估的差異,發生法律訴訟可能性大時的評估均值小于發生法律訴訟可能性小時的評估均值(L1P1S1下的3.33小于L1P1S2下的4.89、L2P1S1下的1.78小于L2P1S2下的4.28、L1P2S1下的2.06小于L1P2S2下的3.83、L2P2S1下的1.11遠小于L2P2S2下的2.94),這是審計人員考慮了發生法律訴訟可能性大小之后的評估結果。
2、獨立樣本均值T檢驗分析
表5顯示了審計人員在只獲取上年度期望審計風險評估水平(高水平或低水平)的情況下做出的初始評估均值之間是否存在顯著性差異。結果表明,這兩組初始評估結果的方差有顯著性差異(F=44.832,P=0.000
由理論分析可知,風險評估人員在獲得一個新信息后,會將初始信息與新信息綜合考慮形成一個新的風險評估結果,即在初始評估基礎上適當地調整。表6是對考慮被審單位盈利能力的情況后第二次評估與未提供任何信息下的初始評估的均值是否存在顯著性差異進行檢驗。從表中信息可知,當上年度期望審計風險被評估為高水平時,這兩組評估結果的方差差異顯著(F=22.577,P=0.0000.05),在接受方差相等假設的情況下,兩組的風險評估結果均值存在顯著差異(T=-7.567,P=0.000),說明若被單位盈利能力較低時,審計人員考慮這一新信息則有可能在初始評估的基礎上調低其期望審計風險水平。
相比表6,表7則是對提供被審單位盈利能力的第二次評估與未提供該信息下的初始評估的均值是否存在顯著性差異進行檢驗。從表中信息可知,當上年度的期望審計風險被評估為高水平時,兩組評估結果的方差存在顯著性差異(F=16.361,P=0.0000.05),在接受方差相等假設的情況下,兩組評估結果的均值存在顯著性差異(T=3.301,P=0.001)。實驗結果充分說明,上年度期望審計風險評估結果一定時,若被審單位盈利能力較上年降低,審計人員考慮這一新信息則極有可能在初始評估的基礎上降低其期望審計風險評估水平。假設2b成立。
表8與表9是檢驗風險評估人員在進一步得到有關審計結束后遭受法律訴訟可能性大小的信息后所做出的第三次評估,其是否在第二次評估的基礎上加以調整,其中表8中進一步提供的是遭受法律訴訟的可能性大的新信息。從表8的檢驗結果可知,所有信息狀況下的前后兩組評估的均值均呈現調低的趨勢。各組評估結果的方差有三組不存在顯著性差異,在接受方差相等的假設下,這三組的評估水平均值存在顯著性差異,驗證了當上年度期望審計風險評估水平及被審計單位盈利能力相等時,若發生法律訴訟可能性大時,審計人員極有可能在先前評估基礎上調低其期望審計風險評估水平。另外,有一組方差存在顯著性差異,在接受方差不相等的假設下,這組的均值存在顯著性差異,同樣驗證了當上年度期望審計風險評估水平及被審計單位盈利能力相等時,若發生法律訴訟可能性大時,審計極有可能在先前評估基礎上調低其期望審計風險評估水平。假設2c成立。
表9中進一步提供的是審計結束后發生法律訴訟可能性小的新信息。實驗結果表明,所有信息狀況下的前后兩組評估結果的均值均呈現調高的趨勢,除L1P1S2與L1P1這組外,其他組的評估結果方差均存在顯著性差異,說明在考慮到發生法律訴訟可能性較小后,審計人員在第二次評估的基礎上可能會適當調高期望審計風險評估水平,驗證了當上年度期望審計風險評估水平及被審計單位盈利能力相同時,若發生法律訴訟可能性小時,風險評估人員有可能在先前評估基礎上調高其期望審計風險評估水平。假設2d成立。L1P1S2與L1P1這組方差存在顯著性差異,在接受方差不相等的情況下,均值結果存在顯著性差異。同樣驗證了假設2d。
假設2a、假設2b、假設2c及假設2d的成立充分驗證了假設2的成立,即在不確定性環境下,審計人員運用錨定與調整啟發法進行期望審計風險評估時,會根據所獲得的新信息,在初始評估的基礎上重新調整其期望審計風險評估水平。此外,我們對被審計單位盈利能力及審計結束后審計人員或會計師事務所遭受法律訴訟可能性大小是否對期望審計風險水平評估產生顯著影響做的補充性T檢驗,也得到了肯定性結果。
六、結論
本文在問卷調查的基礎上,將被審計單位的盈利能力和遭受法律訴訟可能性大小作為新的信息,根據被測試者在這兩個信息基礎上依次進行的調整,檢驗了審計過程中期望審計風險水平評估中的錨定效應。結果表明:第一,在進行期望審計風險評估時,審計人員會受到錨定與調整啟發法的影響,上年度有關期望審計風險的評估結果會產生錨定效應,對初始評估產生顯著影響;第二,在不確定性環境下,審計人員運用錨定與調整啟發法進行期望審計風險水平評估時,會根據所獲得的新信息,在初始評估的基礎上重新調整其風險評估。例如,在上年度期望審計風險評估結果相同的情況下,若被審計單位本年較上年盈利能力有所提高,審計人員考慮這一新信息會導致他在初始評估的基礎上調高其期望審計風險評估水平;若審計結束后遭受法律訴訟可能性較大,審計人員將在先前評估基礎上調低其期望審計風險評估水平,等等。此外,被審計單位盈利能力及發生法律訴訟可能性大小等因素對審計人員在作出期望審計風險評估方面都有顯著影響。
總之,期望審計風險評估中的錨定效應與調整是客觀存在的。因此,提高業務素質,克服非理,是提高審計人員的審計風險評估能力和審計風險控制能力的一條重要途徑。
參考文獻
[1]Biggs S,Wild J. An Investigation of Auditor Judgment in Analytical Review[J].The Accounting Review, 1985(4):607-633。
[2]Kinney W R J,Uecker W. Mitigating the Consequences of Anchoring in Auditor Judgment[J].The Ac-counting Review,
1982(1):55-69。
[3]李斌,徐富明,王偉,龔夢園.錨定效應的研究范式、理論模型及應用啟示[J].應用心理學,2008,(5):269-275。
[4]劉峰,景東華.期望審計風險水平探析[J].四川會計,2002,(2):41-42。
[5]彭桃英.行為經濟學在獨立審計中的應用研究[C].北京:財政部財政科學研究所,2010。
The Research on the Anchoring Effect of the Assessment of Expected Audit Risk Level
ZHU Bei
(China West Airport Group, Xi'an Shaanxi 710075)
審計的風險評估范文第4篇
固有風險是指在考慮相關的內部控制之前,某類交易、賬戶余額或披露的某一認定易于發生錯報(該錯報單獨或連同其他錯報可能是重大的)的可能性。雖然2006年新的審計準則引入重大錯報風險,我國的審計方法逐漸轉向風險導向審計,但是在實際操作中,對被審計單位固有風險的評估還是比較重要的,且是一個難點。在這期間,理論界對固有風險評估方法的研究也不斷發展,由最初的定性分析方法到現在比較流行的定量和定性結合的分析方法。
一、現有固有風險評估方法的比較
現有的固有風險評估方法主要有:以定性分析為代表的風險因素分析法和特爾斐法;以定量分析為代表的模糊綜合評價法、模糊熵法、模糊層次分析法。
(一)風險因素分析法和特爾斐法的對比分析
風險因素分析法是指對可能導致風險發生的因素進行評估分析,從而確定風險發生概率大小的風險評估方法;特爾斐法是指用書面形式廣泛征詢專家意見以預測某項專題或某個項目未來發展的方法。兩者都不能夠對固有風險的風險水平進行準確的評估,但是特爾斐法的準確度要高。固有風險的各個影響因素對其影響程度是不同的,在風險因素分析法中,審計人員通過以往的經驗或專家的意見給不同的因素設置不同的權數,然后在其基礎上確定總體的固有風險水平,這就使得固有風險的評估存在很大的主觀隨意性,比較依賴審計人員或專家的經驗,審計的效果也不太好。特爾斐法較之風險因素分析法相對減少了固有風險評估的主觀隨意性,這種比較系統的方法并沒有把固有風險評估的主觀方法轉變為客觀方法,而是著眼于更好地利用審計人員或專家的經驗,使審計人員對固有風險的評估規范化、統一化、標準化,減少了隨意性,但前提還是要依賴審計人員或專家的經驗。
(二)模糊綜合評價法、模糊熵法、模糊層次分析法的對比分析
模糊綜合評價法是根據模糊數學的隸屬度理論把定性評價轉化為定量評價,在專家對固有風險影響因素分析評價的基礎上運用模糊數學的原理將固有風險水平確定為一個具體的數值或評價。模糊熵法是用“熵”來度量一個模糊集合所含有的模糊性的大小,運用模糊數學的原理將固有風險水平確定為一個具體的數值或評價。與模糊綜合評價法相比,模糊熵法只是對影響固有風險的各影響因素的權重計算方法不一樣。模糊綜合評價法是利用相對比較法、層次分析法、特爾斐法、連環比率法等確定各影響因素的權重;模糊熵法是利用“熵”的計算方法確定各影響因素的權重,結果更為科學。模糊層次分析法是將模糊數學的理論方法與層次分析法結合起來,將固有風險的影響因素分解為各層次,在此基礎上利用模糊數學原理確定固有風險水平的一種方法。與模糊綜合評價法和模糊熵法相比:首先,模糊層次分析法運用層次分析原理將影響固有風險的因素劃分得更為合理、具體;其次,模糊層次分析法根據三角模糊數的計算原理,用三角模糊數構成模糊判斷矩陣,大大減少了模糊判斷的主觀性;最后,模糊層次法運用模糊綜合評價原理計算出層次的單排序和總排序,從而確定最后的評價結果,使得計算的準確性大大提高。
(三)定性和定量分析方法的對比分析
與風險因素分析法和特爾斐法兩種定性分析方法相比,模糊綜合評價法、模糊熵法和模糊層次分析法三種定量分析方法在分析風險因素的影響程度時更全面、詳細、具體,評估固有風險的水平時也更為客觀、準確,受審計人員的主觀影響程度更低,是一種適應性很強的決策方法。但是,這些方法操作起來比較麻煩,實際應用中會受到成本、客戶的客觀條件等因素的限制,如果所審計項目固有風險的影響因素比較穩定,規模較大的情況下,還是比較好的方法。
二、模糊數學在固有風險評估中的運用
(一)模糊綜合評價法
1.模糊綜合評價法的基本原理
設U={u1,u2,…,um}為刻畫被評價對象的m種因素,V={v1,v2,…,vn}為刻畫每一因素所處狀態的n種決斷。這里存在兩類模糊集,以主管賦權為例,一類是標志因素集U中諸元在人們心中的重要程度,表現為因素集U上的模糊權重向量A=(a1,a2,…,an);另一類是U×V上的模糊關系,表現為m×n模糊矩陣R,這兩類模糊集都是人們價值觀念或偏好結構的反映。再對這兩類集施加某種模糊運算,便得到V上的一個模糊子集B=(b1,b2,…,bn)。因此,模糊綜合評價是尋找模糊權重向量A=(a1,a2,…,an)∈F(V),據此構造模糊矩陣R=[rij]m×n∈F(U×V),其中rij表示因素ui具有評語vj的程度,進而求出模糊綜合評價B=(b1,b2,…,bn)∈F(V),其中bj表示被評價對象具有評語vj的程度,即vj對模糊集B的隸屬度。由此可見,模糊綜合評價的數學模型涉及三個要素:因素集U={u1,u2,…,um};決斷集V={v1,v2,…,vn};單因素判斷f:UF(V),uif(ui)=(ri1,ri2,…,rin)∈F(V)。由f可誘導模糊關系Rf∈F(U×V),其中Rf(ui,vj)=f(ui)(vj)=rij,而由Rf可構成模糊矩陣:
R=
2.模糊綜合評價法在固有風險評估中的運用
第一步:確定固有風險的影響因素。
不論是在制度基礎審計方法下,還是在風險導向審計方法下,固有風險的影響因素都相差不大。總的來說,固有風險的影響因素主要分為:被審計單位的行業環境(U1)、被審計單位的業務性質(U2)、被審計單位財會人員的品行和能力(U3)、被審計單位管理人員遭受的異常變動(U4)、被審計單位財會人員的變動情況(U5)、容易產生錯漏報的財務報表項目(U6)、重要的業務或事項的復雜程度(U7)、需要運用估計和判斷的財務報表項目(U8)、易遭受損失或被盜用的資產(U9)、會計期間特別是會計期末發生的異常復雜業務(U10)、難以審查的賬戶或交易(U11),這些影響因素組成了模糊綜合評價的指標體系。
第二步:依據第一步中的影響因素構建因素集、評語集(即決斷集)。
因素集:U={U1,U2,…,U11}
評語集:V={V1,V2,V3,V4,V5},可以分別代表{高,較高,中等,較低,低}
第三步:確定權重集。
在評價指標中,每個指標相對其上一級指標的重要程度即為權重。一般可以采用相對比較法、層次分析法、特爾斐法、連環比率法等確定指標權重。
各個因素對應的權重集為:A={a1,a2,…,a11},且ai=1
第四步:通過各因素模糊評價獲得模糊綜合評價矩陣。
各因素的模糊評價是從一個因素的角度出發進行評價,以確定評價對象對評價集V的隸屬程度。
其中,rij(i=1,2,…,n;j=1,2,…,5)為隸屬度,即第i個因素隸屬于第j個評價等級的程度。
第五步:利用合適的模糊乘法算子①將R與A合成,得到最終的模糊綜合評價結果B。
B=A?R
還要對B進行歸一化處理,即令Bi=Bi÷(B1+B2+B3+B4+B5)
第六步:分析評價結果。
隸屬向量(B1,B2,B3,B4,B5)即為模糊綜合評價法確定的綜合評價結果,它直接反映了各評級指標隸屬的評語等級。根據最大隸屬度法,若Vi=max(B1,B2,B3,B4,B5),則評價結果為Vi。
(二)模糊熵法
1.模糊熵的基本原理
1947年德拉卡把“熵”推廣到模糊情形,即模糊集的熵。考慮一個系統的n個狀態e1,e2,…,en,它們各自的概率分別為:p1,p2,…,pn,則把這個系統的熵定義為:H(p1,p2,…,pn)=- pilnpi
下面給定一個模糊集A,并用向量表示為:
A=(μA(x1),μA(x2),…,μA(xn))
命πA(xi)=μA(x1)/μA(Xi)
則定義:
H(πA(x1),πA(x2),…,πA(xn))=(-1/ln(n))×(Xi)ln(πA(xi))(i=1,2,…,n) (1)
2.模糊熵在固有風險評估中的運用
模糊熵在固有風險評估中的應用只是用來計算模糊集中每個元素的模糊熵,利用每個元素的模糊熵進行再計算得出來的數據就組成了模糊集的權數矩陣W。其基本步驟和模糊綜合評價法一樣,即根據評價要求構造模糊集、決斷集,然后對各風險因素進行單獨評價建立模糊綜合評價矩陣R。模糊綜合評價矩陣由各指標對各固有風險可能最終值的支持程度定量化的結果組成。不同的是模糊熵法是根據模糊綜合評價矩陣R,使用模糊熵的計算公式確定各個指標的權數,最后和模糊綜合評價法第五步一樣,利用合適的模糊算子將模糊集的權數矩陣W與模糊綜合評價矩陣R合成得出評價結果,所以本文只介紹利用模糊熵計算各指標權重這一步驟。
計算步驟:
根據模糊綜合評價法第四步中建立的模糊綜合評價矩陣R,利用公式(1),計算第i個指標的模糊熵ei。
再計算差異性系數gi,gi=1-ei
最后利用公式Wi=gi/gi(i=1,2,…,n)計算各個因素的權數Wi,各因素的權數Wi構成權數矩陣W。
(三)模糊層次分析法(簡稱Fuzzy AHP)
1.模糊層次分析法的基本原理
(1)三角模糊數的定義
記F(R)為R上的全體模糊集,設M∈F(R)。
M的隸屬函數μM:R[0,1]定義如下:
μM (x )=x/(m-l)-l/(m-l),x∈[l,m]
x/(m-u)-u/(m-u),x∈[m,u]
0, 其他 (2)
式(2)中l≤m≤u,l和u分別表示M所支撐的下界和上界,m為M的中值,稱M為三角模糊數。一般地,三角模糊數M可記為(l,m,u)。l,u表示了判斷的模糊程度,(u-l)越大表示模糊程度越高。
如果M1=(l1,m1,u1),M2=(l2,m2,u2),則下列三角模糊數M的運算法則成立:
(l1,m1,u1) [+](l2,m2,u2)=(l1+l2,m1+m2,u1+u2) (3)
(l1,m1,u1) [×](l2,m2,u2)=(l1l2,m1m2,u1u2) (4)
λ∈R,λM=λ(l,m,u)=(λl,λm,λu) (5)
(l,m,u)-1≈
,
, (6)
(2)層次排序的定理
M1≥M2的可能性程度定義為:
V(M1≥M2)=1, m1≥m2
,m1
0, 其他
(7)
由三角模糊數組成的模糊判斷矩陣A,記為A=(aij)m×n,aij=[lij,mij,uij]。
模糊矩陣A為正反矩陣,即aji=aij-1=
,
,
(3)計算模糊綜合程度值
a=(l,m,u),其中:i,j=1,2,…,nk;t=1,2,…當有T位專家進行判斷時,aij為綜合三角模糊數,T為第t個專家給出的三角模糊數,據公式(8)求得第k層的綜合三角模糊數,由此得到k層全體因素對第k-1層第h個因素的綜合模糊矩陣。再據公式(9)求出模糊集s,s,…,s,它們分別刻畫了第k層各個因素相對于第k-1層第h個因素的模糊綜合程度。
M= [+](a+a+…+a) (8)
S=M [×](M)-1,i=1,2,…,nk (9)
利用公式(7)計算層次的單排序,經歸一化處理后得:
P=(P,P,…,P)T (10)
表示第k層上各因素對第k-1層上第h個因素的單排序。
(4)層次總排序
如果k-1層對總目標的排序權重向量為:Wk-1=(W,W,…,W)T,那么第k層上全體元素對總目標的合成排序W由下式給出:
Wk=(W,W,…,W)=PkWk-1 (11)
(5)計算固有風險的綜合評估值
Z=Wfiai (12)
其中,i為固有風險影響因素的個數,ai為固有風險在第i項指標上的三角模糊數,Wfi為第i項指標的層次總排序值,即權重。
2.模糊層次分析法在固有風險評估中的應用
第一步:根據問題的總目標,建立固有風險的指標評價體系(詳見圖1)。
第二步:建立模糊判斷矩陣。
由專家對固有風險的指標評價體系中的元素進行兩兩比較,并采用三角模糊數定量表示,其中三角模糊數的打出可參考AHP的1-9標度打分原則。如果多名專家進行決策,則利用公式(8)計算評級指標的綜合三角模糊數,從而得到三個模糊判斷矩陣A,A1,A2。
第三步:計算模糊綜合重要程度值。
根據模糊判斷矩陣A,A1,A2,利用公式(9)計算出每層每個元素的模糊綜合重要程度值。由矩陣A,A1,A2得出的模糊綜合重要程度值分別為:S1,S2,S11,S12,S13,S14,S15,S21,S22,S23,S24,S25,S26。
第四步:進行層次單排序。
根據每個元素的模糊綜合重要程度值,利用公式(7)分別求出每層各元素重于其他元素的可能程度P,再將由P組成的向量W'進行歸一化處理,便得到權重向量W,即層次的單排序,分別為:V(U1),V(U2),V(U11),V(U12),V(U13),V(U14),V(U15),V(U21),V(U22),V(U23),V(U24),V(U25),V(U26)。得到各層的權重向量分別為:
W=(V(U1),V(U2))
W1=(V(U11),V(U12),V(U13),
V(U14),V(U15))
W2=(V(U21),V(U22),V(U23),
V(U24),V(U25),V(U26))
第五步:層次總排序。
根據已求出的層次單排序及其各自的權重向量,利用公式(11)求出層次的總排序,即Wfi(i=1,2,…,11)。
第六步:計算固有風險的綜合評估值。
由專家對某一項審計項目的固有風險的各評價指標進行評估打分,給出每項因素的三角模糊數ai。根據層次的總排序向量Wfi和ai,利用公式(12)計算出固有風險的綜合評估值Z。
審計的風險評估范文第5篇
【關鍵詞】網絡 安全風險 評估 關鍵技術
結合我國近年來的互聯網應用經驗可知,用戶的互聯網使用過程很容易受到惡意軟件、病毒及黑客的干擾。這種干擾作用可能引發用戶重要數據信息的丟失,為用戶帶來一定的經濟損失。因此,利用綜合評估技術、定性評估技術等開展網絡安全風險評估具有一定的現實意義。
1 常見的網絡攻擊手段
目前較為常見的網絡攻擊手段主要包含以下幾種:
1.1 IP欺騙攻擊手段
這種攻擊手段是指,不法分子利用偽裝網絡主機的方式,將主機的IP地址信息復制并記錄下來,然后為用戶提供虛假的網絡認證,以獲得返回報文,干擾用戶使用計算機網絡。這種攻擊手段的危害性主要體現在:在不法分子獲得返回報文之前,用戶可能無法感知網絡環境存在的危險性。
1.2 口令攻擊手段
口令攻擊手段是指,黑客實現選定攻擊主機目標之后,通過字典開展測試,將攻擊對象的網絡口令破解出來。口令攻擊手段能夠成功應用的原因在于:黑客在利用錯誤口令測試用戶UNIX系統網絡的過程中,該系統網絡不會對向用戶發出提示信息。這種特點為黑客破解網絡口令的過程提供了充裕的時間。當黑客成功破解出網絡口令之后,可以利用Telnet等工具,將用戶主機中處于加密狀態的數據信息破解出來,進而實現自身的盜取或損壞數據信息目的。
1.3 數據劫持攻擊手段
在網絡運行過程中,不法分子會將數據劫持攻擊方式應用在用戶傳輸信息的過程中,獲得用戶密碼信息,進而引發網絡陷入癱瘓故障。與其他攻擊手段相比,數據劫持攻擊手段產生的危害相對較大。當出現這種問題之后,用戶需要花費較長的時間才能恢復到正常的網絡狀態。
2 網絡安全風險評估關鍵技術類型
網絡安全風險評估關鍵技術主要包含以下幾種:
2.1 綜合評估技術
綜合評估技術是指,在對網絡安全風險進行定性評估的同時,結合定量評估的方式提升網絡安全風險評估的準確性。
2.2 定性評估技術
定性評估技術向網絡安全風險評估中滲透的原理為:通過推導演繹理論分析網絡安全狀態,借助德爾菲法判斷網絡中是否存在風險以及風險的類型。這種評估技術是我國當前網絡安全評估中的常用技術之一。
2.3 定量評估技術
這種評估方式的評估作用是通過嫡權系數法產生的。定量評估技術的評估流程較為簡單,但在實際的網絡安全風險評估過程中,某些安全風險無法通過相關方式進行量化處理。
3 網絡安全風險評估關鍵技術的滲透
這里分別從以下幾方面入手,對網絡安全風險評估關鍵技術的滲透進行分析和研究:
3.1 綜合評估技術方面
結合我國目前的網絡使用現狀可知,多種因素都有可能引發網絡出現安全風險。在這種情況下,網絡使用過程中可能同時存在多種不同的風險。為了保證網絡中存在的安全風險能夠被全部識別出來,應該將綜合評估技術應用在網絡安全風險的評估過程中。在眾多綜合評估技術中,層次分析法的應用效果相對較好。評估人員可以將引發風險的因素及功能作為參照依據,將既有網絡風險安全隱患分成不同的層次。當上述工作完成之后,需要在各個層次的網絡安全風險之間建立出一個完善的多層次遞接結構。以該結構為依據,對同一層次中處于相鄰關系的風險因素全部進行排序。根據每個層次風險因素的順序關系,依次計算網絡安全風險的權值。同時,結合預設的網絡安全風險評估目標合成權重參數,進而完成對網絡安全風險評估的正確判斷。
3.2 定性評估技術方面
定性評估技術的具體評估分析流程主要包含以下幾個步驟:
3.2.1 數據查詢步驟
該步驟是通過匿名方式完成的。
3.2.2 數據分析步驟
為了保證網絡安全風險評估結果的準確性,定性評估技術在數據分析環節通過多次征詢操作及反饋操作,分析并驗證網絡安全風險的相關數據。
3.2.3 可疑數據剔除步驟
網絡安全風險具有不可預測性特點。在多種因素的影響下,通過背對背通信方式獲得的網絡安全風險數據中可能存在一些可疑數據。為了避免這類數據對最終的網絡安全風險評估結果產生干擾作用,需要在合理分析網絡安全現狀的情況下,將可疑數據從待分析數據中剔除。
3.2.4 數據處理及取樣步驟
通過背對背通信法獲得的數據數量相對較多,當數據處理工作完成之后,可以通過隨機取樣等方法,從大量網絡安全風險數據中選出一部分數據,供給后續評估分析環節應用。
3.2.5 累計比例計算及風險因素判斷步驟
累計比例是風險因素判斷的重要參考依據。因此,評估人員應該保證所計算累計比例的準確性。
3.2.6 安全系數評估步驟
在這個步驟中,評估人員需要根據前些步驟中的具體情況,將評估對象網絡的安全風險系數確定出來。
與其他評估技術相比,定性評估技術的評估流程較為復雜。但所得評估結果相對較為準確。
3.3 定量評估技術方面
這種評估技術的評估原理為:通過嫡權系數法將評估對象網絡的安全數據參數權重計算出來。這種評估方法的應用優勢在于:能夠度量網絡系統中的不確定因素,將網絡安全風險量化成具體數值的形式,為用戶提供網絡安全狀態的判斷。
4 結論
目前用戶運用互聯網的過程主要受到數據劫持攻擊、口令攻擊、IP欺騙攻擊等手段的干擾。對于用戶而言,網絡安全風險的存在為其正常使用帶來了一定的安全隱患。當隱患爆發時,用戶可能會面臨極大的經濟損失。這種現象在企業用戶中有著更為明顯的體現。為了改善這種現象,促進互聯網應用的正常發展,應該將定量評估技術、定性評估技術以及綜合評估技術等,逐漸滲透在網絡安全風險評估工作中。用戶除了需要通過防火墻、病毒r截軟件等工具改善網絡環境之外,還應該加強對網絡安全風險評估的重視。當獲得網絡安全風險評估結束之后,應該需要通過對評估資料的分析,有針對性地優化自身的網絡系統,降低數據丟失或損壞等惡性事件的發生概率。
參考文獻
[1]陳雷.網絡安全態勢評估與預測關鍵技術研究[D].鄭州:信息工程大學,2015.
[2]李靖.網絡安全風險評估關鍵技術研究[J].網絡安全技術與應用,2014(05):82-84.
[3]覃宗炎.網絡安全風險評估關鍵技術研究[J].網絡安全技術與應用,2014(04):168-170.
[4]毛捍東.基于邏輯滲透圖模型的網絡安全風險評估方法研究[D].北京:國防科學技術大學,2008.
[5]宣蕾.網絡安全定量風險評估及預測技術研究[D].北京:國防科學技術大學,2007.
