审计风险管理是指审计组织或审计人员利用系统的、规范的方法对审计风险进行识别、估价和处理的一系列活动的总称。从管理职能角度讲,审计风险管理是整个审计管理的具体化和进一步深化。审计风险管理的最终目的是减小审计风险,降低审计人员所应承担的法律责任。
审计风险管理的主要步骤是风险识别、风险估价、风险处理。风险管理的主要方法有以下几个方面。
1.风险自留
所谓风险自留,是指经过审计组织或审计人员的最大努力,但最终仍应承担一部分风险责任的可能性。国外审计公司在风险自留中指出,他们可容忍最大审计风险为5%,这说明拥有审计结论有5%的错误风险。在我国目前审计对象广泛、审计人员较少的情况下,一部分财经违纪事实未被查出,也不是什么了不起的大事,况且我国的经常性审计可以弥补一次审查不出的缺陷,而有可能在下一次审计时给以查处,可见,风险自留是客观存在的。
2.风险转移
风险转移的实质就是风险责任的转移。一旦审计风险产生的原因涉及审计组织(人员)以外的其他部门时,审计组织或人员可以让这些部门对于审计风险形成原因的有关审计事项做出或参与某种决策。如:审计评估标准,在征得有关部门的同意后予以采用,但由于审计评估标准的缺陷而造成风险责任就由该审计评估标准的批准部门来承担。
3.风险组织
风险组织的实质是将不同种类的风险集中起来考虑,审计组织针对风险的集中情况采取相应的对策。这种方法有助于保护审计人员。由于审计风险集中表现在审计结论,而有些风险不可避免地产生,如审计抽样的技术性风险。这种风险的产生必然会影响审计结论的正确性,为此审计组织对审计结论的表达应十分谨慎。如国外对审计报告强调两方面的要求:一是强调审计报告要详细、清楚地说明实际审计范围,这实质上说明审计人员只对审查的内容承担责任;二是强调审计结论避免使用太绝对的表达,而是留有余地。风险组织是审计风险处理中一个重要方法。
4.风险回避
风险回避是指审计组织或审计人员有意识地回避一些风险程度特别大,而自身又无法有效控制的审计项目。如对一个内部控制制度十分薄弱,没有完整的会计建账的审计项目,就可以提出避审,只有在建账完整后,才考虑审计的必要。风险回避的前提是该项目缺乏可审计划。
5.风险承受
风险承受是审计组织或审计人员履行审计职责,顺利完成审计任务的前提和保证。正确地对待来自审计工作中的各方面的压力和干扰,关键在于使审计人员树立风险意识,培养审计人员的风险责任感。有了风险意识,审计人员就会有超前思考和应变能力,就会根据实际情况,灵活地有效地控制风险诱发的种种原因,同时也对自己的职责、所处的环境以及承担的风险责任有一个清醒的认识,这样心理承受力也会提高,风险责任感也会增强。
6.风险控制不同性质的风险其采取的风险控制方法也不同。对于固有风险、控制风险等不可控风险,因风险的形成原因并非审计组织所能直接控制,所以审计组织人员在审计活动中应通过与有关部门的联系,提出合理的建议性意见,针对审计过程中可能遇到的与其有关的审计风险,要求有关部门给予风险控制的协助。另外,增加审计独立性,提高审计权威性,能更有效地抗拒来自外部的风险压力。
对于可控风险,因风险的原因是审计组织本身能够直接控制的,因此可以根据风险产生的原因,采取不同的防范措施和控制对策。
