时间:2023-11-24 10:41:53
[关键词]风险评估 现代审计 重要性 法律诉讼
随着社会主义市场经济体制在我国的建立和发展,一方面,注册会计师审计在社会经济生活中的地位越来越重要,发挥的作用越来越大。另一方面,注册会计师的职业性质决定了他是一个容易遭受法律诉讼的行业,那些蒙受损失的受害人总想通过起诉注册会计师尽可能使损失得以补偿。因此,法律诉讼一直是困扰着注册会计师职业界的一大难题,会计师行业每年不得不为此付出大量的精力、支付巨额的赔偿金和购买高昂的保险费。
注册会计师要避免法律诉讼,就必须按审计准则的要求规范执业。在很多案件中,注册会计师之所以未能发现错误及舞弊,一个重要的原因,就是他们不了解被审计单位所在行业的情况及被审计单位的业务。本文主要从这个角度浅析怎样实施风险评估程序对被审计单位及其环境进行了解。
风险评估程序是指为了了解被审计单位及其环境而实施的程序。具体包括询问、分析程序、观察和检查。
一、询问
具体包括被审计单位管理层和内部其他相关人员。
询问被审计单位管理层和内部其他相关人员是注册会计师了解被审计单位及其环境的一个重要信息来源,可以从以下几个方面来具体进行。
1.管理层所关注的主要问题,如,新的竞争对手、主要客户和供应商的流失,新的税收法规的实施以及经营目标或战略的变化等。
2.被审计单位最近的财务状况、经营成果和现金流量。
3.可能影响财务报告的交易和事项,或者目前发生的重大会计处理问题,如重大的并购事宜等。
4.被审计单位发生的其他重要变化,如所有权结构、组织结构的变化,以及内部控制的变化等。
5.询问内部审计人员有助于注册会计师了解其针对被审计单位内部控制设计和运行有效性而实施的工作,以及管理层对内部审计发现的问题是否采取适当的措施。
6.询问内部法律顾问、营销或销售人员、采购、生产及仓库人员有助于注册会计师了解有关法律法规的遵守、营销策略及变化、销售趋势的变化等情况。
二、实施分析程序
分析程序是指注册会计师通过研究不同财务数据之间以及财务数据与非财务数据之间的内在关系,对财务信息做出评价,还包括调查识别出的与其他信息不一致或与预期数据严重偏离的波动和关系。
实施分析程序有助于识别异常的交易或事项,以及对财务报表和审计产生影响的金额、比率和趋势。在实施分析程序时,注册会计师应当预期可能存在的合理关系,并与被审计单位记录的金额、依据记录金额计算的比率或趋势相比较,如果发现异常或未预期到的关系,注册会计师应当在识别重大错报风险时考虑这些比较结果。
三、观察和检查
观察和检查程序可以印证对管理层及其他相关人员的询问结果,并可提供有关被审计单位及其环境的信息。具体实施如下程序:
1.观察被审计单位的生产经营活动。如观察被审计单位人员正在从事的生产活动和内部控制活动,增加注册会计师对被审计单位人员如何进行生产经营活动及实施内部控制的了解。
2.检查文件、记录和内部控制手册。如检查被审计单位的章程,与其他单位签订的合同、协议、各项业务流程、操作指引和内部控制手册等,了解被审计单位组织结构和内部控制制度的建立、健全情况。
3.阅读由管理层和治理层编制的报告。如阅读被审计单位年度和中期财务报告、股东大会、董事会及高级管理层会议的会议记录或纪要,管理层的讨论和分析资料、经营计划和战略,对重要经营环节和外部因素的评价等,了解自上一期审计结束至本期审计期间被审计单位发生的重大事项。
4.实地察看被审计单位的生产经营场所和设备。通过现场访问和实地察看被审计单位的生产经营场所和设备,可以帮助注册会计师了解被审计单位的性质及经营活动,在实地察看被审计单位的厂房和办公场所的过程中,注册会计师有机会与被审计单位管理层和担任不同职责的员工进行交流,可以增强注册会计师对被审计单位的经营活动及重大影响因素的了解。
5.执行穿行测试,通过追踪某笔或几笔交易在业务流程中如何生成记录、处理和报告,以及相关控制如何执行,注册会计师可以确定被审计单位的交易流程和相关控制是否与之前通过其他程序所获得的了解一致,并确定相关控制是否得到执行。
四、其他审计程序和信息来源
询问被审计单位聘请的外部法律顾问、专业评估师、投资顾问和财务顾问以及阅读外部信息,也可能有助于注册会计师了解被审计单位及其环境。
注册会计师还应当考虑在承接客户或续约过程中获取的信息,以及向被审计单位提供其他服务所获得经验,也可能有助于了解被审计单位及其环境。
通过执行上述风险评估程序,可以了解被审计单位的风险情况,看是否在自己的风险承受力之内,为下一步是否接受委托进行审计打下基础。
参考文献:
[1]李晶.coso新框架下企业内部控制与风险管理的思考.天津市财贸管理干部学院学报,2009,(5).
风险导向审计内涵特征缺陷
一、现代风险导向审计
1、风险导向审计的内涵
现代风险导向审计以系统理论和战略管理理论为指导,通过自上而下和自下而上相结合的审计思路对被审计单位进行风险职业判断,评价被审计单位风险控制,确定剩余风险,执行追加程序,它通过综合评估经营控制风险来确定检查风险,从企业的战略分析着手,通过战略系统分析-环节分析-剩余风险分析-具体审计目标分解-实质性测试时间、范围和性质的确定的思路,将被审计客户会计报表错报风险与企业经营风险紧密地结合起来。这种全新模式要求独立审计师从更开阔的视角发现与被审计单位会计报表中的重大错报行为,从而减少审计失败的风险。
2、风险导向审计的特征
(1)风险导向审计在审计程序上主要以风险评估为中心,将风险的识别和评估贯穿于审计的全过程,加强了风险评估程序,体现了风险导向审计的真正理念。
(2)风险导向审计采取以分析程序为中心,辅助使用询问、检查、观察、穿行测试等其他手段的方法。风险评估的分析对象也由财务信息扩展到了非财务信息,且分析方法工具多样化,如战略分析、绩效分析。
(3)风险导向审计的重点侧重于管理层的舞弊风险,审计人员采取更为个性化的审计程序,对于错报风险和员工舞弊风险,审计人员在审计过程很可能得到企业管理者的配合,因为这同时也是管理者和社会公众的需求,审计人员和管理层之间没有必然的利益冲突。而对管理舞弊风险,由于审计人员和管理者之间存在利益冲突,管理者不可能真正配合审计人员开展审计工作。
(4)风险导向审计要求审计师的知识结构达到一个复合型人才的标准。审计师不但需要精通审计知识,而且要熟练各个层面的风险评估和分析方法,先进的管理学工具,同时要关注行业和管制环境的动态、市场经济的规律、国家的财政、贸易、货币政策及法律的变动等领域的知识信息,最重要的是要具备职业判断能力。
二、现代风险导向审计与传统审计
1、传统审计风险模型的缺陷
(1)传统模式因为在评估固有风险时必须从内部控制入手,使得固有风险概念内涵与外延不一致,逻辑上不能一贯,这使风险模型的科学性受到了极大的损害。
(2)如果注册会计师能把控制风险评估得比较低就可以大大减少实质性测试的工作量。于是注册会计师只要通过控制测试得到了一个比较满意的结果,就理所当然地认为他们已经有了一个比较高的可接受检查风险水平。因为控制测试得到的是内部证据,因为其证明力比较差,并且内部控制在防止无意的错报以及员工舞弊方面虽然有着积极意义,但在防止管理当局舞弊方面,内部控制无能为力。因此,传统模式把控制风险单独作为风险模型的一个乘积因子,这就为审计失败埋下了一个很大的隐患。
(3)由于现有的审计风险模式只能用于账户余额或交易类别,而不能用于财务报表整体,因此,在此基础上构建出的风险导向审计模式在对待风险上只能是零散的、微观的,而不能形成整体的宏观的认识。这就必然导致传统风险模式不能用于财务报表整体,无法满足对财务报表审计整体审计风险的把握和控制。
2、与传统风险导向审计比较现代风险导向审计的特点
(1)审计重心前移,从以审计测试为中心到强调风险评估,审计程序主要包括风险评估程序、审计测试程序(包括控制测试和实质性测试)。充分体现了风险导向审计的核心即:深入了解客户、严格风险评估及强化风险评估对审计程序的指导作用。而传统风险导向审计的风险评估不到位,未能有效发现高风险审计领域,造成审计过量或审计不足,现在大大加强了风险评估程序,真正体现了风险导向审计的理念
(2)风险评估重心由控制风险向联合风险转移。现代管理层舞弊是绕过或逾越内控,导致控制风险很低而实际审计风险很高,所以现代风险导向审计重新认识到固有风险评估的重要性,评估联合风险,并以联合风险的评估水平确定审计测试(包括控制测试和实质性测试)的性质、时间和范围。
(3)风险评估更加重视对客户经营风险的间接评估。传统风险评估直接评估重大错报的概率,也就是直接对审计风险评估,现代风险评估仍落脚在审计风险评估,但更重视间接评估,充分借鉴和吸收了战略分析的成果,从了解客户经营环境、评估经营风险入手。
(4)自上而下和自下而上相结合。传统风险导向审计从控制风险评估入手,视野过于狭窄。而现代风险导向审计,从企业内外环境、经营风险分析入手,以此来发现可能出现重大错报的领域以及评估客户会计政策及会计估计的恰当性,有利于对经济业务实质做出判断。同时,现代风险导向审计并不忽视实质性测试的重要地位,实际上一些大案要案的查处也是从细微处入手的。
(5)重视审计策略,强调具体审计测试个性化。传统审计程序存在标准化的倾向,其一是不能对症下药,没有贯彻风险导向审计思想;二是客户的预期,由于很多客户的财务人员是审计人员出身,或系统学习过审计,或长期与审计师打交道,这使审计人员无法突破客户预先设置的障碍或防范措施。为此,国际新审计风险准则己要求对重大错报风险考虑选用“出其不意”的审计程序。
综上所述,现代风险导向审计以战略观和系统观思想指导重大错报风险评估和整个审计流程,以分析被审计单位的经营风险为导向,从宏观上了解被审计单位及其环境以充分识别和评估会计报表重大错报的风险,从而设计和实施控制测试和实质性程序。该审计模式具有“提高审计效率、降低审计成本”的优势,中小会计师事务所具有实施现代风险导向审计的需求且在实践中具有可行性。中会会计师事务所在具体实施审计中可以吸收现代风险导向审计中的风险理念、风险评估程序结合传统审计方法设计实施针对性的审计程序以达到最优效果。
参考文献:
[1]陈毓圭.对风险导向审计方法的由来及其发展的认识.会计研究,2004.
标志着适应我国市场经济发展要求,与国际惯例趋同的审计准则体系正式建立。
一、传统风险导向审计的缺陷
传统风险导向审计的审计风险包括固有风险、控制风险和检查风险。审计风险是由会计师事务所风险管理所确定的,谨慎从事的会计师事务所往往将其确定为低水平,固有风险和控制风险与企业有关,注册会计师通过了解被审计单位和控制测试,确定检查风险,设计和实施实质性程序。传统风险导向审计从理论上解决了制度基础审计方法的缺陷,要求将审计资源分配到评估固有风险、测试内部控制和实施实质性程序,使审计效率与效果有了实质性的提高,但它还不是一种新的审计基本方法,它实质上是制度基础审计方法的发展,其在理论与实务两方面都存在着固有的缺陷。
(一)从理论上分析
传统的审计风险模型其实是假设固有风险、控制风险和检查风险之间相互独立。但固有风险和控制风险都受企业内外部环境的影响,两者之间还相互影响。因此,随着企业与内外部环境联系紧密性的增强,这一假设的可靠性越来越受到质疑。并且大部分审计程序都是多重目的,都对会计报表是否有重要错报有信息含量。因此Bell等甚至质疑检查风险是否可以与固有风险和控制风险区分开来。在传统风险导向审计模型下,一些学术界和实务界人士将注册会计师发现会计报表重要错报的问题与报告会计报表重要错报的问题混为一谈。
(二)从实务上分析
传统风险导向审计忽视固有风险的评估。由于固有风险的评估主观性较强,且不容易评估,因此在编制具体审计计划时,注册会计师应当考虑固有风险的评估对各重要账户或交易类别的认定所产生的影响,或者直接假定这种认定的固有风险为高水平。在实务中,许多事务所不重视固有风险的评估,审计起点退至了解和测试内部控制。由于内部控制具有固有的局限性,因此,审计风险增大。
二、传统风险导向审计与现代风险导向审计的比较
(一)理论依据的改变
传统风险导向审计主要依据的是审计理论;而现代风险导向审计的理论依据有战略管理理论、系统理论、舞弊动因理论和审计理论。当今世界急剧变化,科学技术也是日新月异,作为其中一份子的企业的风险也是达到了前所未有的高度。因此,仅仅依靠审计理论作为指导依据是远远不够的,而现代风险导向审计理论依据范围与内涵的扩展便适应了经济技术的发展要求。
(二)审计风险模型的扩展
传统风险导向审计的风险模型:审计风险=固有风险×控制风险×检查风险。现代风险导向审计的风险模型:审计风险=重大错报风险×检查风险;重大错报风险=固有风险×控制风险;检查风险=分析程序风险×细节测试风险;因此,审计风险模型演变为审计风险=固有风险×控制风险×分析程序风险×细节测试风险。
现代风险导向审计通过修订审计风险模型,拓展审计证据的内涵,强调了解被审计单位及其环境,包括内部控制,以充分识别和评估财务报表重大错报的风险,针对评估的重大错报风险设计和实施控制测试和实质性程序。通过综合评价被审计单位的情况以及战略以确定审计测试的性质、时间和范围,审计的起点为被审计单位的情况以及战略,这样注册会计师很容易全面掌握被审计单位可能存在的重大风险,避免了只见“树木不见森林”的尴尬局面。
(三)风险评估重心的转变
传统风险导向审计的风险评估重心是控制风险,直接评估审计风险,现代风险导向审计的风险评估重心前移,从了解客户战略经营环境、评估经营风险、剩余风险入手,由控制风险向联合风险转移,从侦查管理层舞弊的角度出发,注册会计师直接评估固有风险和初步控制风险的联合风险。在传统风险导向审计的基础上大大加强了风险评估程序,真正体现了风险导向审计的理念。
(四)风险评估方法的改变
首先,现代风险导向审计对风险的评估由直接评估改为间接评估。传统风险评估直接评估重大错报的概率,也就是直接对审计风险进行评估,而现代风险导向审计不再直接对审计风险进行评估,而是从经营风险评估入手。
其次,分析性程序成为风险评估的中心。传统风险导向审计对于信息的再加工重视程度不够,分析性复核主要适用在报表分析上,现代风险评估以分析为中心,分析性复核成为最重要的程序,为了适应分析性复核功能扩大的要求,分析性复核开始走向多样化,不再是对财务数据进行分析,也对非财务数据进行分析。分析工具也充分借鉴现代管理方法,将管理方法运用到分析性程序中去,如战略分析、绩效分析、财务分析、会计分析及前景分析。将分析工具运用到风险评估中去,将使风险因素不再独立,且不再是一元评估,而是多元评估,几种方法相互印证,使风险评估的结果更加可靠。
最后,风险评估结构的转变。现代风险导向审计将战略分析引进审计,对风险的评估从零散走向结构化,风险分析结构化最大的好处:考虑了多方面的风险因素;这些因素有机联系在一起,便于综合风险评估。
(五)注册会计师专业知识重心的转移
注册会计师以会审知识为中心转向管理知识、行业知识为中心,由于审计重心转移,审计结果主要依赖风险评估,而不是审计测试,而风险评估采用的各种风险分析方法都是现代管理知识在审计中的运用,而且这种运用必须以行业知识为基础。可见,现代风险导向审计对注册会计师素质提出更高的要求,要求注册会计师必须术业有专攻,必须掌握一些常用的分析工具,并接受行业知识训练。
(六)审计测试程序的改变
传统审计程序标准化,这种标准化审计程序存在很大问题,既不能对症下药,没有贯彻风险导向审计思想;又使得注册会计师无法突破客户预先设置的障碍或防范措施。现代风险导向审计的审计测试程序个性化,克服了传统审计测试的缺陷,针对风险不同的客户、客户不同的风险领域,采用个性化的审计程序。由于现代风险导向审计测试计划是基于注册会计师的风险评估结果,且不同的客户显然存在不同的风险,因此审计测试程序必然会“因人而异”。
(七)“自上而下”与“自下而上”相结合
传统风险导向审计从控制风险评估入手,视野过于狭窄,并主要依赖实质性测试,这种自下而上的方式过于注重会计的形式。现代风险导向审计在吸收了其他审计方法的优点的同时,密切地关注企业的主要战略目标、管理层对风险的容忍程度、以及企业内部各项风险评价指标等情况,从审计风险产生的源头来识别和评价风险,先“自上而下”对报表形成预期,根据预期确定审计重点,再“自下而上”,将实际审计结果与预期相比较,对企业的情况有了更深入、全面的了解,从而能更准确分配审计资源,保证审计的质量。
(八)审计证据的变化
传统风险导向审计大多从管理层获取审计证据;在现代风险导向审计模式下,由于审计重心向风险评估转移,注册会计师必须充分了解客户整体战略经营环境,并由此出发评估客户的经营风险和审计风险,因此,必须取得大量的外部证据来证明风险评估的恰当性,外部审计证据的增加,内涵扩大,包括了解企业及其环境的证据,注册会计师可以从一般员工或供应商、销售商等获取审计证据,这是针对管理层舞弊的有效侦查措施,业内人士和专业咨询人士的意见也可以作为对注册会计师审计专业判断的补充。
由以上分析可看出,传统风险导向审计只关心注册会计师自身所面临的风险,只关心控制风险、检查风险和固有风险。现代风险导向审计则更进一步,不仅关注审计风险,还关注经营风险。为了分析被审计客户的经营风险,注册会计师必须深入被审客户,理解其运行模式,其所面临的短期以及长期经营风险,并基于此向管理层提供对影响企业经营的所有因素的独立评估报告。在传统风险导向审计中,注册会计师与被审计客户在财务报表审计过程中处于对立面,各自只是从自己的角度,提出不同的观点。而在现代风险导向审计中,注册会计师与被审计客户处于平行地位,以同一目标为导向考察企业的经营状况。
综上所述,笔者认为现代风险导向审计是审计模式发展的必然趋势,我国目前存在着诸多推行现代风险导向审计的有利因素,同时法律环境、公司治理等问题也存在着不利因素,但这些并不能因此阻碍审计模式的发展,而是需要同步完善。
参考文献:
1、郑朝晖,装广堂.审计模式发展探析[J].中国注册会计师,2004(1).
2、胡春元.风险基础审计[M].东北财经大学出版社,2000.
3、姚焕然.事务所开展风险导向审计的五个基础[J].中国注册会计师,2006(2).
4、王咏梅,吴建有.现代风险导向审计发展及运用研究[J].审计研究,2005(6).
近期,笔者参加了江西省审计厅组织的审计培训团,赴澳大利亚进行为期20天的政府绩效审计培训。培训期间,听取了维多利亚大学教师的讲课,学习了澳大利亚政府绩效审计理论、程序、方法等内容,了解了澳大利亚联邦审计总署和维多利亚州审计署工作情况和绩效审计开展情况,还听取了墨尔本大学审计部审计人员的审计工作介绍。此次培训取得了良好效果,不但开阔了眼界、拓宽了思路,对澳大利亚以审计风险管理水平为核心的政府绩效审计及其他审计有了一定的了解和认识。纵观澳大利亚覆盖整个经济社会严密的审计监督网络,对比我国发展现状,在如何优化审计环境、改进审计工作等方面感触颇深,笔者认为内、外部审计紧密结合共同搭建完善的风险评估和风险管理体系是当前提高我国审计效率的首要任务,现介绍如下,以供参考。
一澳大利亚与我国开展绩效审计现状对比
由内、外部审计共同健全的风险评估和风险管理体系是澳大利亚绩效审计的出发点和目标。根据审计主体的不同,澳大利亚绩效审计由内、外部审计共同构成,两者紧密结合共同搭建和不断优化该体系,同时澳大利亚广泛将风险导向审计模式运用至包括绩效审计在内的全部审计类别中,取得了引人注目的成绩。
澳大利亚联邦审计总署的职责是从整体的角度不断改善国家机关各职能部门的效率和责任心及理财能力,增强其财务管理和业务管理的可评估性。其明确了以风险评估计划为主要内容的可评估性为首要职责任务。而完整的风险评估计划也正是澳大利亚绩效审计的关键和出发点。其内、外部审计紧密结合共同实现和推进风险评估计划的可评估性。被审计单位首先须具备以专业领域或管理范围风险管理为重点内容的详细风险分析和风险防范计划,及其详细的风险管理的内审报告,从而政府审计人员才能完成对被审单位风险管理水平进行预评估的首要审计工作环节。
澳大利亚政府机构、企业普遍建立和实行了以风险评估和风险管理体系为核心的内部审计制度。审计部门通过政府各部门的内审员,建立风险评估计划制度,并且其风险评估计划需经审计部门进行备案。澳大利亚《公司法》规定,上市公司要设立审计委员会,对公司进行风险管理和控制。其他企业内部审计师也是通过风险管理审计监督企业内部控制运行,从而改善企业管理和运营,由此审计部门实现风险评估数据积累的不断优化。澳大利亚是一个法制比较健全的国家,审计地位较高,信誉较强,方法科学,技术先进,在国民经济运行中发挥着重要的作用。
而目前我国政府和企业尚没有建立全面风险管理体系。对于建立企业全面风险管理机制以防范重大事件造成的损失,近几年国务院国资委已在逐步推进,2006年制定颁发了《中央企业全面风险管理指引》,在央企及所属上市公司内全面推进全面风险管理建设工作。2007年在几家大型国有中央企业进行试点操作后,2008年已将此项工作推进到全国国有中央企业和部分地方企业。但实际上,许多企业还没有建立完整的风险管理体系或开展全面风险管理工作。
二澳大利亚绩效审计的成功经验和主要做法
(一)广泛运用先进的理念和方法保障准确、高效的风险评估体系在实践中发挥实质作用。
从审计内容上看,澳大利亚风险导向性内部审计已较早走出单纯财务收支审计圈子,步入以内部控制和风险管理为主要内容的现代审计。风险评估是绩效审计的基础和出发点,绩效审计的审计人员与被审单位对风险评估结果达成共识成为审计成败的关键。其他审计分类中,风险评估体系也成为工作中的主导条件,如:风险评估是财务审计准备的要点,审计重点必须根据风险评估得出,结论应该包括财务风险评估报告和风险管理计划,从而不断对其进行优化;政府重大项目审计的重点是该项目风险管理计划的落实,审计所发现的问题将被列入新的风险管理范围等。
1.建立以风险评估和风险管理为核心的内部审计成为全体公务员和管理人员的共识。
在澳大利亚,审计部门通过政府各部门的内审员,建立风险评估计划制度。无论是政府部门还是公司都认为,在当前复杂的经济环境下是不能没有以风险评估和风险管理为核心的内部审计的。内审人员工作的角色越来越多元化,从监控向风险管理顾问方向发展。内部审计目前已从查错纠弊发展到更细致的工作,从着重财务审计扩展到人力资源、市场运作审计等,并将重点转移到上述审计领域。一些内审机构,如昆士兰州自然资源及矿产部非常注重“全部审计、突出重点”,在不断完善组织风险管理机制的基础上,尝试采用问卷方式向被审计对象了解情况,或让其进行自我审计,审计人员则重点关注风险较大的问题,从而在人力资源有限的条件下扩大了审计的范围,取得了明显的成效。
2.风险评估和风险管理体系控制严格且健全。在澳大利亚,每个企业都必须进行风险评估,尤其是安全生产方面的风险评估更占有举足轻重的地位,没有进行风险评估的生产就不可能获得批准。我国一些企业也在开展风险评估,但相比而言比较粗浅。
澳大利亚风险评估的构成要素主要为:
(1)风险等级:一般分为五个等级。造成的危害,需要调用的资源,产生的影响;
(2)风险概率:可能出现的时间频率,也分为五个等级;
(3)风险的预防性和可防范性、可控制性;
(4)防范风险需要的资金和资源配置;
(5)不断改进风险管理;
(6)风险评估和风险管理计划。风险评估计划应该包括:所有可能风险的名称、等级、概率、,防范措施、负责人员、资金资源配置、可防范等级。并在运用中严格落实风险管理的责任制原则。
3.广泛运用先进的风险评估及管理的方法和技术。澳大利亚的风险评估除了非常注重风险评估计划的细、量化及对风险评估的要素、步骤、计划、模式都有具体的统一规定外,还建立了合理的预警指标,有效评估企业的风险。评估后采取的措施也更具针对性。其风险评估的模式分为:静态模式/动态模式;封闭模式/开放模式;一般性评估模式/量化评估模式;不定因素对评估模式的影响;短期评估模式/长期评估模式。评估模式的多样化与适用性决定了审计部门需确定建立适合本地区、本行业的评估模式。
(二)高素质、综合性内部审计人才的参与进一步维护风险评估管理体系的科学、高效标准。
澳大利亚各级政府除加强对全体相关人员的风险管理教育培训外,更注重高素质、综合审计人才的培养。国际注册内部审计师(英文缩写CIA)资格在澳大利亚比较流行,越来越多有志于内审工作的人员报名参加CIA考试。它包括以下几个方面:一是聘请的内部审计师要具备与职业要求相符的专业资格,如CPA和CIA,具有CIA资格的审计师特别受到重视;二是审计中,审计师要严格执行国际内部审计师协会(英文缩写IIA)制定的内部审计标准,并接受审计主管的复核检查;三是建立了审计人员专业评估机制,定期对内审人员进行专业评估和培训;四是内审委员会要求审计人员定期提交工作报告并随时与审计人员进行谈话;五是审计委员会规定了完整的内审程序和措施。主要是:审计工作计划必须得到审计委员会的批准;审计主管不断审核并复查计划的执行;审计主管必须对审计报告进行全面审查和签署;审计工作结束后,抽查审计报告并进行详细的复查;与被审计单位保持经常、畅通的联系,以保证他们向审计主管提出改进工作的意见。
(三)内审协会发挥的积极推动效力促进风险评估管理体系功效的高水平发挥。
澳大利亚内审协会成立于1952年,有2 000多名会员,分别来自澳大利亚的公有或私有机构。协会的董事会由7位从各州选举的主席构成,协会建立了与各内审机构负责人联系的网络,有自己的网站,方便与内审人员的沟通和交流。内审协会的主要工作是为内部审计执业者、执行管理者、董事会和内审委员会提供各种规范的标准、指导和信息服务,包括:内审政策的制定,及时更新审计实务标准,提供更新知识的服务,保证内审专业水准不断提高。协会的主要作用是制定、检查审计标准执行,组织开展交流,推广先进经验,培训审计人员,促进内审工作职能的发挥。
三对我国建立完善的风险评估和风险管理体系的启示及建议
(一)立法建立相关的法律、法规依据。首先,在认真借鉴先进国家成功实例的基础上,总结已推行过程中取得的经验,制定比较系统、操作性较强的风险评估和风险管理准则。鉴于绩效审计具体情况比较复杂,应分门别类制定出具有各个行业特点的准则。其次,建立一套科学可行的指标评价体系也是开展风险评估管理体系的必要措施之一,并对其进行科学的细化和量化。风险评估的过程主要是风险辨识、风险分析和风险评价。应根据各种风险的分类,进一步细化,得出可能存在的风险之后,运用特定的风险评估方法,根据各种风险发生的可能性及影响程度,决定控制程度和策略。
(二)加强内、外部审计的联系,转变外部审计的最终目标。外部审计与内部审计相互合作,互为补充,是当代审计的一大特点。澳大利亚的成功经验告诉我们:政府审计独立性强,层次高,权威性强,但人力有限;民间的事务所审计,用人机制灵活,可以根据工作需要随时聘请所需专业技术人员,但受费用和时间限制,二者共同的弱点是对被审计单位内部情况不够熟悉;而内部审计熟悉被审计单位情况,但业务力量和权威性较弱,为了建立完善的风险评估和风险管理体系、综合使用审计资源,三者之间应通力合作,优势互补,并将外部审计的最终目标统一到对风险评估结果达成共识这一共同点上来,以提高被审计单位的风险管理水平。
(三)建立功能强大的信息库,存储与被审计单位相关的众多信息。建立完善的风险评估和风险管理体系所需的信息将面临着严重不足。其体系的建立使得审计重心前移,在实际的审计工作中需要先执行风险评估程序,对审计对象整体的经营管理环境进行充分的了解,再针对风险不同的审计对象以及同一对象不同的风险领域,制定出个性化的审计程序。必须获取足够多的信息,才能在风险评估时真正了解审计对象的战略、流程、风险管理、业绩等基本情况,最终做出恰当的职业判断。由此可见,为了实现审计目标,保证审计活动的顺利进行,审计部门必须建立功能强大的信息库,存储与被审计单位相关的众多信息。
(四)必须建立和提高全社会对风险评估和风险管理体系重要性的认识,使风险评估和风险管理成为全体公务员和管理人员的共识,同时要提高相关的业务水平与技能。不仅可以利用多种渠道广泛宣传,比如专业刊物、研讨会和论坛、业务会议等,还要积极广泛地组织风险管理的教育和培训,提高风险防范意识,建立健全风险评估和风险管理计划,整体提高管理水平。
(五)加强培训,建立一支高水平、高素质、综合型审计人员队伍。开展风险评估和风险管理要求审计人员在通晓会计审计税收以及相关法律知识的同时,也要具备管理学、统计学、人力资源管理等学科的知识,对审计人员的学识经验思维能力都提出了更高的要求。加强审计队伍建设,一方面要对现有审计人员进行培训,全面提高综合素质;另一方面也要相应引进管理、统计工程等方面专业人才充实审计队伍,优化审计人员结构。同时,应大力加强计算机应用水平。澳大利亚各行业计算机应用水平较高,因此审计的技术手段主要是运用审计软件,实行计算机审计。审计人员凭借审计软件,通过网络进行数据采集、原始资料分析处理、风险评估等工作,使审计效率得到大幅提高。
随着金融体制改革的日益深化,建立科学的公司治理结构和风险管理体制成为摆在每个商业银行面前的重要课题,而内部审计作为一项独立、客观、公正的约束与评价机制,在现代企业风险管理中正发挥着越来越重要的作用,履行和发挥内部审计在风险管理中的职责与作用是现代商业银行转化经营机制、建立现代企业制度的客观需要,也是内部审计充分发挥和提升审计价值实现增值服务的重要途径。本文就内部审计与企业风险管理的关系及内部审计如何参与企业风险管理进行了思考,并提出一些建议。
一、内部审计与企业风险管理的关系
风险是指发生对目标的实现可能产生的事件的不确定性。风险的衡量标准是后果与可能性。风险管理是指对影响组织目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的过程。风险管理主要包括风险识别、风险评估、风险应对三个阶段。可见,风险管理是现代企业管理的一项主要,为了实现企业的工作目标,企业管理层应当确保企业中存在良好的风险管理过程并使其发挥作用。
内审协会对内部审计的定义是:“内部审计是指组织内部的一种独立客观的监督和评价活动,它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现”,而“风险管理是组织内部控制的基本组成部分,内部审计人员对风险管理的审查和评价是内部控制审计的基本内容之一”,也就是说风险管理是内部审计的重要内容。
国际注册内审师协会对内部审计的描述是:“内部审计是一种独立、客观的保证工作与咨询活动,它的目的是为机构增加价值并提高机构的运作效率。它采取系统化、规范化的来对风险管理、控制及治理程序进行评价,提高它们的效率,从而帮助实现机构目标。”并且指出“内部审计应该就管理层的风险管理过程的充分性和有效性进行检查、评估、报告,并提出改进意见”。可见,国际先进内审理念已明确将风险管理作为内部审计的重要内容,现代内部审计的范围已从传统的财务审计扩大到风险管理和公司治理层次上,有效的风险管理机制和健全的公司治理结构已成为现代内部审计关注的重点。
在现代内部审计工作中,内部审计与风险管理有了明确的结合点——风险管理审计。风险管理审计是在帐项基础审计和制度基础审计基础上起来的一种审计模式,是指审计人员在对被审单位的内部控制充分了解和评价的基础上,运用一定的审计手段,、判断被审单位的风险所在及其风险程度,针对不同风险因素状况、程度采取相应的审计策略,加强对高风险点的实质性测试,将内部审计的剩余风险降低到可接受水平。2005年5月1日中国内审协会颁布了“内部审计具体准则第16号——风险管理审计”,风险管理审计作为先进的审计理念和审计内容正式步入我国内审领域。
因此,作为现代企业管理的重要内容,内部审计与风险管理的联系日趋紧密。内部审计本身就是企业管理的一种手段和方式,是内部管理的延伸;风险管理是企业管理的重要内容,同时也是现代内部审计的重要内容之一,内部审计负有识别和评估风险的责任。风险管理作为管理层一项关键责任,企业管理层对其负有不可推卸的责任;内部审计师则有职责定期评价并协助其他部门进行风险管理,在改善管理层的风险管理流程效果和效率方面进行检查、评价、报告和提出审计建议,帮助识别、评价和实施风险管理方法和控制。内部审计和风险管理在企业中的目标是一致的,都是为了实现企业的组织目标。
二、内部审计在现代企业风险管理中的作用
在风险管理审计中,风险管理成为组织中的关键流程,分析、确认、揭示关键性的风险,成为内部审计的主要职责。
(一)内部审计将风险管理纳入审计范畴,有助于实现企业全面工作和总体目标的实现。
现代企业面临的经营环境日趋复杂,风险日益增大,减少面临的风险是企业实现价值最大化目标的关键。内部审计采取系统化、规范化的方法促进建立风险管理过程,通过内控制度的评价,对公司经营活动进行风险识别和评价,改进风险管理与控制体系,提请管理层关注风险,从而完善企业管理,转化负面风险,提升企业竞争能力和应变能力,最终实现企业目标。
对企业而言,对风险识别、防范和控制需要从全局考虑,而企业本身是多个部门的集合,各业务部门很难做到这一点。内部审计在企业中具有相对独立的地位,决定其能站在全局的高度相对超脱地获得企业内部控制、经营管理活动及风险管理等方面的信息,向管理层提供创造性思维,提出科学合理的建议,避免风险带来的损失。
所以无论是从全局工作还是实现总体目标的角度来看,内部审计都有职责融入风险管理。内部审计将风险管理纳入审计范畴,对实现企业全面工作和总体目标将发挥及大的作用。
(二)内部审计的相对独立和与企业一体性的独特地位,决定了其对企业风险的揭示更准确更有效。
从企业内部看,现代企业建立了各级风险管理组织层次,包括风险控制委员会、内部审计部门、专职风险监管部门。但风险监管部门往往做为一个职能部门隶属于各级管理层,不具有独立性,其意见有时会屈服于管理当局的压力,这使得风险管理部门的作用受到限制。在现代企业中,内部审计部门独立于管理部门,在现代企业公司治理构架中,内部审计往往隶属于董事会或审计委员会,直接向董事会负责,其风险评估的意见可以直接报送给董事会,提出的意见与建议更具权威性。
从企业外部看,外部审计从独立、客观的角度对企业的财务报表进行审计和对企业的内部控制进行复核,经常能提供一些有用的信息影响到企业风险管理。但他们更多地围绕企业报表的合法、公允、一贯性开展工作,对企业管理环境和运作过程不十分熟悉,决定其提供的风险管理服务不能做到贴近内部管理,不能对企业风险管理的有效性负责。而内部审计部门对企业面临的风险更了解,在风险管理方面拥有外部审计师无可比拟的优势。他们以风险发生可能性大小为依据,深入经营管理过程和行为,在业务经营、财务管理、费用控制等各方面查找并防范风险,通过内部视角,敏锐观察经营过程中不断变化的风险因素,快速传递管理中存在的缺陷或失败,促使董事会和高级管理层做出快速反应,及时采取措施,防范和纠正不当行为。
(三)风险因素始终贯穿于内部审计的整个审计程序,使内部审计成为风险控制程序的重要补充。
内部审计人员风险导向审计模式,从整体上把握审计风险因素,合理整合审计资源,警惕可能目标、运营和资源的重大风险,最大限度地减少审计风险。在审计计划、审计实施、审计报告阶段,将风险作为重要考虑因素,在整个审计过程贯穿对风险的关注,充分考虑风险管理的充分性和有效性。具体讲,在审计计划阶段,内部审计应该考虑活动存在的风险,在评估风险优先次序的基础上安排审计工作,按照风险大小分配审计资源;在审计实施阶段中,审计通过检查、评价风险管理过程的充分性和有效性,发现风险控制的漏洞和薄弱环节;在审计报告阶段,对风险管理状况进行评价,对风险管理中存在的漏洞和不足提出改进建议,协助确定、评价并实施针对风险管理的和控制措施。
三、内部审计如何参与现代企业风险管理
内部审计可以从风险识别、风险评估、风险应对三个阶段参与企业风险管理,通过审查和评价企业风险识别、风险评估、风险应对的充分性、适当性、有效性,来识别、报告潜在重大风险,提出应对措施,同时通过落实审计建议督促企业采取有效的风险控制措施。
(一)审查和评价企业风险识别的充分性和适当性。
风险识别是管理层的职责,主要是根据企业的组织目标、战略规划等识别企业所面临的各类内、外部风险。是对企业所面临的、以及潜在的各类内、外部风险加以判断、归类和鉴定风险性质的过程,实质上就是对风险进行定性。
内部审计人员通过实施必要的审计程序,对企业风险识别过程进行审查与评价,重点关注企业面临的内、外部风险是否已得到充分、适当的确认。外部风险是指外部环境中对组织目标的实现产生影响的不确定性,其主要来源于国家法规及政策的变化、环境的变化、的快速、行业竞争、资源及市场变化、灾害及意外损失等。内部风险是指内部环境中对组织目标的实现产生影响的不确定性,其主要来源于组织治理结构的缺陷、组织经营活动的特点、组织资产的性质以及资产管理的局限性、组织信息系统的故障或中断、组织人员的道德品质、业务素质未达到要求等。内部审计部门要关注企业已识别风险的完整性,即企业所面临的主要风险是否均已被识别出来,并找出未被识别的主要风险。这就需要内部审计人员也要对企业的风险进行有效识别,从而审查和评价企业对风险识别的充分性和适当性。内部审计熟悉公司的经营管理过程,以风险敏感性为起点开展工作,有效识别风险,从潜在的事件及其产生的原因和后果来检查风险,收集、整理可能的风险,并充分征求各方意见以形成风险列表。内部审计通常要关注的主要风险有:财务和经营信息不足而导致决策错误;资产流失,资源浪费和无效使用;顾客不满意,企业信誉受损等。
(二)审查和评价企业风险评估的适当性和有效性。
风险评估是对已识别的风险,评估其发生的可能性及影响程度。风险评估主要应用各种管理技术,采用定性与定量相结合的方式,找出主要的风险源,并评价风险的可能影响,最终定量估计风险大小。风险评估的目的是确定每个风险要素的影响大小,一般是对已经识别出来的风险进行量化估计,从风险发生的可能性和影响两方面对风险进行评估,通过公式:风险值=风险概率×风险影响,出风险值。
内部审计部门在审查和评价企业风险评估时要重点关注风险发生的可能性及风险对组织目标的实现产生影响的严重程度。为了更好地审查和评估企业的风险评估,内部审计人员应当充分了解和掌握风险评估的方法,风险评估可以采用定性或定量的方法进行:定性方法,是指运用定性术语评估并描述风险发生的可能性及其影响程度;定量方法,是指运用数量方法评估并描述风险发生的可能性及其影响程度。内部审计部门和内部审计师要对已有的风险的评估结果进行再检验,以确定其是否恰当,对不恰当的评估予以更正。风险分析中,审计师不仅要关注风险的数量方面,还要关注风险的属性方面或其承载价值的后果。同时,内部审计人员应当对管理层所采用的风险评估方法进行审查,以评价风险评估方法的适当性和有效性,审查时重点考虑以下因素:已识别的风险的特征、相关数据的充分性与可靠性、管理层进行风险评估的技术能力、成本效益的考核与衡量及其他因素。内部审计人员在评价风险评估方法的适当性和有效性时,应当遵循以下原则:定性方法的采用需要充分考虑相关部门或人员的意见,以提高评估结果的客观性;在风险难以量化、定量评价所需数据难以获取时,一般应采用定性方法;定量方法一般情况下会比定性方法提供更为客观的评估结果。
(三)审查和评估风险应对措施的适当性和有效性。
风险应对是采取应对措施,将风险控制在组织可接受的范围内。完成了风险评估后,确定存在的风险以及它们发生的可能性,排列出风险的优先级,就可以根据风险性质和承受能力制定相应的防范措施。根据风险评估结果作出的风险应对措施主要包括以下几个方面:一是回避,是指采取措施避免进行可产生风险的活动;二是接受,是指由于风险已在组织可接受的范围内,因而可以不采取任何措施;三是降低,是指采取适当措施将风险降低到组织可接受的范围内;四是分担,是指采取措施将风险转移给其他组织或保险机构。
内部审计人员在评价风险应对措施的适当性和有效性时,应当考虑以下因素:一是采取风险应对措施之后的剩余风险水平是否在组织可以接受的范围之内;二是采取的风险应对措施是否适合本组织的经营、管理特点;三是成本效益的考核与衡量。内部审计人员对有关部门针对风险所采取的防范措施进行审查,对于风险缺乏充分的控制措施的情况,内部审计部门和内部审计人员应提出改进措施和建议,协助完善风险反应方案,以强化企业的风险防范管理,降低风险损失。
关键词:审计模式 风险导向审计 新审计准则
一、审计模式的演进及背景
审计模式(Auditing Approach),是指为了实现特定的审计目标所采取的审计策略、方式和方法的总称,即审计目标、范围、和方法等要素的有机结合。随着我国经济的发展和社会的需要,审计模式也发生着变化。审计模式的发展经历了账项基础模式、制度导向模式、风险导向模式三个阶段。这种演进使得风险导向审计的内涵与外沿不断增强。
(一)审计模式的演进 审计模式的第一个阶段是账项基础审计(Aeeounting number-based audit approach)。账项基础审计现在我国还被广泛使用,该模式是以凭单核对为重心,以审查账目有无舞弊为目标,以数据的可信性为着眼点,从会计科目入手构成了一个完整的方法模式。采用详细审计的方式,着重于资产负债表审计。这种方法费时费力,且难以查找产生错弊的原因,不能揭示会计系统中不合理的部分。在经济业务规模不断扩张,业务不断复杂的情况下,为了保证审计质量和效率,产生了制度基础审计,即审计模式的第二个阶段。制度导向审计(System-based audit approach)。20世纪40年代开始成为审计方法的主流。审计人员也发现内部控制制度的可靠性对审计工作具有非常重要的意义。这种方法要求审计人员对内部控制制度要有全面的了解,强调对于内部控制制度的评价,并在此基础上决定实质性测试的时间、范围和程度。该方法的重点是发现内控的薄弱环节,找到问题的根源,然后扩大审计的检查范围。这种方法着眼于整体制度的分析,可从总体上对管理提出建设性意见。相比账项基础审计有所进步,但也存在一些问题。如注意力都集中于被审计单位的内部控制上,使审计人员过多依赖于内部控制的测试而忽略了审计风险产生的其他环节。再加之审计环境的不断变化,审计诉讼的不断增加,这就需要降低审计风险,获取有效工作结果的审计方法出现。审计模式第三个阶段风险导向审计(Risk-based audit approach)。20世纪60年代后,随着企业经营环境的日趋复杂,财务报表重大错报的风险已经不是一般的会计核算差错。企业内部控制本身就是管理层制订的,受利益的驱使,管理层的舞弊行为层出不穷。这种内部控制只能控制一般员工,而对于管理高层的蓄意行为无能为力。而制度基础审计的局限性也很明显且审计风险巨大,于是产生了风险导向审计。风险导向审计要求审计人员不仅要对控制风险进行评价,而应主要对产生风险的各个环节进行评价。用以确定审计人员实质性测试的重点和测试水平,确定如何收集、收集多少和收集何种性质证据的决策。风险导向审计大量运用了分析的方法,这种分析的方法贯穿于审计的准备阶段、实施阶段和终结阶段,使审计风险结论和整个审计过程联系更为紧密,使审计人员能够重视产生审计风险的各个重要环节,使审计过程成为―个不断克服和降低审计风险的过程。传统审计风险模型是由美国注册会计师协会(AICPA)在1983年提出的,该模型是人们通常所讲的传统风险导向审计的核心内容。即审计风险=固有风险×控制风险×检查风险,其思路是会计师在既定的审计风险水平下,通过对会计报表固有风险和控制风险的定量评估,从而确定检查风险,进而确定实质性测试的性质、时间和范围。该模型解决了审计资源分配到最容易导致会计报表出现重大错报的领域。传统的风险导向审计实质上是制度基础审计的发展,虽然使效率和效果有了实质性提高,但同时也存在一些固有的缺陷。国际审计和鉴证准则委员会(IAASB)2003年对审计风险模型重新描述为:审计风险=重大错报风险×检查风险。重大错报风险包括两个层次:会计报表认定层次和整体层次。会计报表认定层次的风险运用传统审计模型可以解决。会计报表整体层次的风险主要是指战略经营风险,是会计报表整体不能反映企业经营际情况的风险。
(二)审计模式变革的原因及背景 首先,外部因素――社会经济环境的变化。在社会越来越复杂的业务中,经济的快速发展及相互关联性的增强,使得被审计单位规模和经营不断庞杂。在加速融合和经济一体化的现代社会,没有一个系统是绝对有效的,所以风险导向审计的产生和发展是一个必经之路。从社会环境来看,在经济转型期,投机与短期行为是很普遍的。我国相应的经营规范和法律法规也不很健全,一定程度上造成了财务舞弊和虚假财务行为的发生。又由于社会公众期望审计人员能毫无遗漏地发现被审计单位的舞弊行为。但审计行为只是对被审单位的财务报表是否按公认的会计准则编制发表意见,所以不能保证发现所有的舞弊行为。这种审计期望的差距,客观上也促进了风险导向审计的产生。其次,风险规避――重大管理欺诈和舞弊案例的日益增多加快了新的审计方法的发展。从20世纪60年代开始到80、90年代,管理欺诈行为愈演愈烈。并给财务报表的使用者带来了巨大的损失。从社会公众的观点来看,查错防弊一直是审计人员的职责。正是由于传统审计方法的限制,制度基础审计方法在审计技术等方面的滞后等方面的原因要求新的审计方法的创新。再次,思想演进一战略管理思想的发展为新的审计方法提供了基础。战略管理最根本的着眼点在于企业所面临的风险及企业的风险对策。财务报表的风险其实就是企业战略风险及相关经营活动风险的衍生物。所以要充分把握审计风险,注册会计师就要理解企业发展所依存的内、外部环境,基于这些环境而制定的发展战略目标及所包含的风险。明确外部战略风险对于财务报表认定做出合理的判断。战略管理思想及理论和实践的发展,为新的审计方法的产生提供了重要的启示和实践基础。最后,成本效益一审计要想发展求生存,就必须增收节支。在竞争越来越激烈的现代社会,会计师事务所按成本最小收益最大的原则确定所需要的审计程序。虽然扩大了审计的程序和范围,但采用分析性复核程序,对于异常情况予以更多关注,也降低了成本。
二、风险导向审计模式的种类与特点
(一)风险导向审计模式的种类 目前风险导向审计可分为三种类型:传统风险导向模式、战略风险导向模式及改良的风险导向模式。传统风险导向模式实质上是发展了制度导向审计,只是在制度导向模式中加入了风险测试,建立了审计风险模型对风险进行量化的测试,但其固有风险的量化测试具有很强的主观性,不能体现客观性。不能改变制度导向模式自下而上的从交易项目报表测试综合成审计结论的审计方向(图1)。战略风险导向模式依据系统论和战略观的观点,从分析企业的经营模式入手,自上而下地理解企业内外部经营环境,从战略风险评估,业绩计量等方面来评价审计风险。但在实务中这种模式给了管理层更多的操作空间。改良后的风险导
向模式抛弃了“无利害关系假说”,建立在“合理的职业怀疑态度假设”的基础上,要求注册会计师在计划和执行审计时不做任何预先判断,只有在收集了充分适当的审计证据后才做出合理恰当的审计结论,将对管理层是否诚信、是否有舞弊造假的驱动保持合理的职业谨慎。同时建立了新的审计模型:审计风险=重大错报风险×检查风险。考虑了固有风险与控制风险的不可分性,将两者合成重大错报风险。要求注册会计师将审计起点定位在围绕评估重大错报风险来设计和计划审计程序,并在整个审计过程中密切关注财务报表的重大错报风险,将风险评估工作作为整个审计工作的基础与先导。在关注内部控制的同时,还综合考虑企业环境、发展战略、公司治理结构等方面的评估。
(二)风险导向模式的特点 首先,要求审计人员不仅对控制风险进行评价,而且要对产生风险审计的各个环节进行具体的评价,以确定审计人员实质性测试的重点。通过对企业环境、发展战略、公司治理结构等方面的评估,发现其潜在的经营风险及财务风险,并评估财务报表发生重大错报风险,以便使审计风险降至可接受的水平。有两道防线为防止会计报表出现重大错报和漏报。第一道防线是了解被审计单位及环境,包括内部控制。第二道防线是注册会计师审计。重大错报风险是由于第一道风险没有把好关,而使财务报表在审计前存在重大错报的可能性。新准则明确要求审计工作以评估重大错报风险为起点和导向,从企业的战略经营风险人手,强调从宏观上了解被审计单位及所处的环境,紧紧围绕评估的重大错报风险来设计和执业审计程序,最终保证财务报表整体不存在重大错报。而检查风险是由于第二道防线没把好关,审计人员在执行审计的过程中没有检查出错误的风险(图2)。其次,风险导向审计以风险评估为基础,对影响被审计单位经济活动的多种因素进行评估,确定审计范围、重点和方法,其不仅重视与内部控制系统直接相关的因素,而且还重视各种环境因素。通过对产生风险的各个环节进行分析评价,并利用风险模型量化风险,最终确定―个可接受的检查水平。在内部控制有效性的评定下,注重对分析性复核中波动大的项目的详细审计(图3)。最后,风险审计大量运用了分析性复核的方法,这种分析的方法贯穿于审计的全部阶段。关注企业可能存在的重大错报风险。风险评估包括检查、调查、询问、穿行测试等多种审计取证手法,现代风险导向审计的核心是对分析性复核的运用。分析性复核的对象不仅包括财务数据还包括非财务数据。
(三)现代与传统风险导向审计模式的区别 一是审计切入点不同。传统风险导向审计通过综合评估固有风险和控制风险以确定实质性测试的性质、时间和范围。由于固有风险难以评估,切入点一般为企业的内部控制或会计报表项目;现代风险导向审计通过综合经营控制风险以确定实质性测试的性质、时间和范围,审计起点为企业的战略系统及业务流程。如果业务流程不重要或内部控制很有效,则将实质性测试集中在例外事项上。更针对于风险设计、实施控制测试和实质性测试程序,且注册会计师有利于节省审计成本,克服因缺乏全面性观点而导致的审计风险。二是风险评估识别以分析性复核程序为中心。传统风险导向审计对于信息的再加工程度不够,其分析性程序主要用在报表分析上。目前分析性复核程序正在走向多样化:在数据分析上不但要对财务数据进行分析,对非财务数据也要分析。分析工具上借鉴现代管理方法,将战略分析、绩效分析、财务分析及前景分析等分析工具运用到风险评估中。现代风险导向审计注重运用分析性复核程序以识别可能存在的重大错报风险。三是风险评估方式由直接评估变为间接评估。传统风险导向审计的风险评估是一种直接的方式,即直接评估重大错报的概率。现代风险导向审计模式从经营风险评估入手,间接对审计风险进行评估,因为经营风险越高审计风险也越大,也就是管理舞弊的可能性越大;并且从经营风险中能更有效地发现财务报表潜在的重大错报,因为财务报表是经营的反映,如果经营风险未能在报表中得到体现,则财务报表很可能失真。此外,会计政策、会计估计的合理性评估也只有从经营风险入手,才能进行正确的评估。四是审计程序实施具有个性化。传统风险导向审计模式审计程序是标准化形式,对不同的被审单位采用相同的审计程序。使注册会计师无法突破预先设置或防范的措施,审计结论无法保证正确;现代风险导向审计方法要求注册会计师将评估及识别的审计风险与实施的审计程序相结合,针对不同的客户及相应的风险实施个性化的审计程序。五是审计证据的内涵扩大。现代风险导向审计方式下,重心向风险评估转移,审计证据也由内部向外部转移。注册会计师在充分了解企业整体经营环境的基础上,评估客户的经营与审计风险,同时必须取得大量的外部证据来证明风险评估的恰当性。六是扩充了内部控制要素。由传统风险导向审计的内部控制三要素(控制环境、会计系统、控制程序)变为现代风险导向审计方法下的内部控制五要素(控制环境、被审计单位的风险评估过程、财务报告相关的信息系统和沟通、控制活动和对控制的监督)。最后对专业素养提出了更高的要求。由过去仅掌握会计、审计知识到现在要求转向管理和相关行业知识。如现代管理知识和行业知识。审计人员不仅要加强专业素质的培养,还要提升职业道德素养。
(四)我国风险导向审计中存在的问题 首先,现代风险导向审计模式要在审计计划阶段和执行控制测试阶段,注册会计师关注的范围扩大,涉及的内容多,审计的难度加大,会导致工作时间和审计成本的增加,即成本的增加和后续教育的支出要求收费的相应增长,但被审计单位不一定会承受相应的费用的转嫁,这会使一部分中小会计师事务所在竞争中无法生存。审计主体没有建立良好的供求关系,低价竞争现象比较严重,审计价格难真实地反映其价值。其次,信息系统的建设问题。现代风险导向审计的重要特征是审计重心前移,注册会计师必须首先执行风险评估程序,充分了解客户整体经营环境,然后针对风险不同的客户、客户的不同风险领域、设计个性化的审计程序。所以,注册会计师要建立有效的信息系统,西方国家大量运用分析性程序的有利条件是大量审计程序软件的开发与运用。使用分析性测试程序成为节约成本的重要手段,但在我国还处于初步阶段,所以要加快审计信息化建设步伐,提高审计方法的科技含量。再次,审计风险评估出错会导致审计失败或审计无效率。评估结果的正确与否,直接影响审计质量。在审计计划阶段,评估出错会接受高风险客户的委托,增加审计风险;在审计实施阶段,评估出错会执行不恰当的审计程序或错过高风险的审计领域;在报告阶段出现评估错误,有可能会出具错误的审计报告。这需要执业经验丰富、业务素质高的审计人员,但这方面的人才缺口使得风险导向审计模式的开展有一定的难度。最后,我国的鉴证事业起步较晚,一些法律法规建设还不健全。注册会计师的素质参差不齐,在一定程度上阻碍了风险导向审计模式的发展。另外,由于我国的民事赔偿制度不完善,注册会计师承担的损失不足以产生威慑力,这也使得注册会计师对风险的估计不足。
三、审计模式的变革
2003年国际会计师联合会(IFAc)的国际审计与鉴证准则委员会(IAASB)为提高审计质量,了一系列新准则。其中
ISA200准则将审计风险模型修改为:审计风险=重大错报风险×检查风险。强调从宏观上了解被审单位及其环境,以充分识别和评估会计报表重大错报的风险。作为一种审计理念,风险导向审计模式无疑是更加科学的。从整个审计行业来看,无论是国家审计、社会审计和内部审计,仍处于遵循账项导向审计模式和制度导向审计模式阶段。我国审计准则一开始就是借鉴国际惯例,并在国际审计准则的基础上制定的,体现了风险导向审计的理念;目前已做到了体现风险导向审计方向及与国际接轨的平衡点,建立了我国新准则体系。2006年财政部颁布了新制定的审计准则,标志着我国新准则体系的形成。在《中国注册会计师执业准则工作计划表》中单独列示了一组与风险评估及风险的应对有关的准则。包括《中国注册会计师审计准则第1201号―计划审计工作》、《中国注册会计师审计准则第1211号一了解被审计单位及其环境并评估重大错报风险》、《中国注册会计师审计准则第1221号一审计重要性》、《中国注册会计师审计准则第1231号一注册会计师对评估风险应实施的程序》、《中国注册会计师审计准则第1212号―对被审计单位使用服务机构的考虑》。这些审计准则中,《审计重要性》原来就存在并且继续有效,而《计划审计工作》则是原来虽然存在,但是进行了修改,其余准则都是新制定的。这些审计准则充分体现了修改后的风险导向审计模式的特点,尤其是新制定的《了解被审计单位及其环境并评估重大错报风险》与《注册会计师针对评估风险应实施的程序》准则,更是说明我国新建立的审计准则体系是建立在改良的风险导向审计模式基础上的。我国新建立的准则体系中强调重大错报风险概念,而不再采用固有风险的概念,这充分体现了改良的风险导向审计模式的特点。这样新准则在如何识别与评估重大错报风险都作为相关的规定,加强了可操作性,提高了审计效率,同时也降低了审计的成本。体现了国际趋同的理念,为指导以后我国的审计实践起到了积极作用。
四、审计模式的应用与发展
[关键词]重大错报风险,识别;评估,模糊综合评价
近年来,企业外部环境的急剧变化直接影响到企业管理层的制度设计和业务开拓,致使会计师事务所客户的业务活动越发复杂、管理层的舞弊越发隐蔽,审计风险明显增加。国际审计委员会和我国已分别于2003年和2006年重新进行了审计准则的修订,显著加强了对审计风险的管理。
风险管理是对风险的事前预测和控制,是一种减小风险损失的管理工作,包括风险识别、风险评估、风险控制和风险转移等4个环节。其中:风险识别是确定可能发生的风险类型或风险所在领域;风险评估是对识别出的各种类型风险进行定量描述;风险控制是采取降低风险发生概率和风险损失的行为;而风险转移则是通过一些正当的手段将风险转移给保险公司,也可通过合作的方式将部分风险转移给合作伙伴。在风险管理中以风险识别最为重要,是风险管理的第一步,也是风险管理的基础,直接影响着风险评估、风险控制、风险转移的准确性和有效性。
审计风险是被审计客户财务报表存在重大错报而注册会计师发表不恰当审计意见的可能性。相对于其他类别、行业的风险来说,审计风险的存在不仅给直接从事审计业务的会计师事务所带来损失,而且还会给依赖于注册会计师审计意见的投资者带来损失。审计风险如果存在转移,要么转移给被审计客户,要么转移给拟信赖审计报告的投资者,但不管如何转移,最大的受害者最终还是投资者,这是违背注册会计师职业要求和资本市场发展需要的。所以,审计风险的管理工作应只包含风险识别、风险评估和风险应对,不再包含风险转移。
我国2006年审计准则的修订对传统的审计风险模型也进行了整合,将审计风险模型转变为:审计风险=重大错报风险×检查风险,其中重大错报风险是指财务报表在审计前存在重大错报的可能性。审计人员在具体应用和实施该模型时,首先是确定审计业务所达到的可信赖程度;其次是审计人员据此深入地了解被审计单位及其环境,始终对公司管理层的诚信、有无舞弊造假动机等保持一种合理的职业警觉,捕捉潜在的风险,谨慎进行重大错报风险的识别、评估;最后在重大错报风险评估的基础上采取相应的风险应对的措施,以控制检查风险至可接受的水平。由此可见,新风险模型的应用更加注重的是对重大错报风险的识别和评估,且自始至终贯穿于整个审计业务过程中,直接影响注册会计师所发表审计意见的准确性。而本文所探讨的就是在重大错报风险识别基础上关于审计识别、评估的衔接、评估方法的选择和应用的问题。
一、重大错报风险识别和评估的侧重点
重大错报风险的识别是注册会计师审计业务小组用感知、判断或归类的方式对大量和审计业务有关的信息资料进行系统了解和分析,认清被审计客户业务活动中潜在的各种风险和可能发生的各种损失,进而判断和鉴别审计业务所面临的重大错报风险及其性质,并把握其发展趋势的行为,即从错综复杂的环境中找出目标体所面临的主要风险。重大错报风险的识别一方面可以通过审计师对被审计客户的感性认识和根据多年积累的审计经验结合被审计客户自身内外部环境的变化等因素来判断;另一方面也可通过对各种客观的资料和风险事故的记录,在定性分析的基础上结合一定的定量分析技术来分析、归纳和整理。
重大错报风险的评估在重大错报风险识别的基础上,分析和评价损失对审计业务既定目标的影响程度,通过对由风险识别获得的资料和数据的处理,得到风险后果发生的概率、严重程度和大小,为选择应对措施进行正确的风险管理决策提供依据。
重大错报风险识别的重点是识别出风险存在的主要领域或公认的具体风险,而评估是进一步确定出关键领域的重大错报风险具体水平,为后期的应对策略提供具体的和较为准确的决策依据来尽量控制审计损失的发生。所以,风险评估也称为风险量化,它主要解决的是识别出关键领域的重大错报风险水平是多少的问题。
二、模糊综合评估方法的选择
审计风险评估的具体方法很多,常用的有风险因素分析法、模糊综合评价法、内部控制评价法、审计风险模型法、定性风险估计法、风险率评估法等。评估方法选择不仅要考虑方法的特点,而且要注意评估目标和评估对象的类型与评估方法的对应问题。从审计角度来看,重大错报风险评估是一个动态的过程,需要建立在对被审计单位的分析和评价的基础上,评价涉及较多因素,包含主观和客观因素,其评价过程表现出较大的模糊性;同时,在重要性水平的确定和审计风险的关系等审计风险评估方面也存在一定的模糊性。因此,本文在识别出被审计客户重大错报风险发生的领域之后,采用模糊综合评判法对识别出的重大错报风险进行评估。
模糊综合评价法是指针对评价对象的多样性、模糊性,采用模糊数学的理论与技术,对受影响评价对象的多种因素进行模糊综合评价,从而得到评价结果的方法。该方法既综合考虑了所有因素,同时又通过权重把各因素的重要程度区分开来,在判定因素影响程度方面更加客观、详细,避免了定性方法的主观随意性和弹性较大的弊端,更有利于风险判断的准确性,并可使用计算机进行计算,克服了其计算烦琐的缺点。
三、模糊综合评判决策的一般步骤
1.确立评价因素集
代表第i个影响因素,n代表因素的个数。如果因素较为复杂,可建立多级因素集。
2.确立权重集
权重是被评价对象的不同重要程度的定量分配,每个指标在整体评价中的相对重要程度即为权重。评价指标的权重应为U上的模糊子集,用A表示,即:A={a1,a2,…,
3.建立评判集
评判集是对各种评价指标做出的评语等级和层次,用V表示,即:V={v1,v
4.单因素评判
对U中所有因素分别进行单因素评价可得到模糊矩阵R,表示为Ri={ri1,业人员对评判对象进行打分,并归属于相应的评语集,按归属某一评语的人数占总人数的百分比作为这一因素的评判结果。
5.综合评判
M(∧,∨)计算,可得综合评判B=A•R,即对两个模糊矩阵各元素之间最小值运算:将权重集A中处于第i列的ai与R矩阵中相对应的第i行中的每一个数值进行比较,取两者中较小的一个作为结果矩阵中的用来比较的R矩阵数值对应位置的新元素,由此组成一个新的矩阵,然后取新矩阵中每一列的最大数值作为模糊矩阵B中的第j个数,得:6.确定因素重大错报风险水平由B和V计算重大错报风险评价水平=BVT。
四、重大错报风险评估的应用实例
1.确立评价因素集、权重集和评语集
重大错报风险的评估是在识别的基础上来进行的,所以,评估阶段的评价因素集、权重集和评语集与识别阶段相对应(见表1所示)。
假定在重大错报风险的识别阶段识别出的关键领域为战略规划变更风险U2,其二级评价指标有:开发新产品或提供新服务、进入新业务领域U21,新的经营场所U实务中量化为V={90%,70%,50%,30%,10%}。
2.进行单因素评判
用M(∧,∨)计算得B=A•R,A=(0.2727,0.2273,0.2273,0.1364,0.0909,0.0454),
B=A•R=(00.27270.22730.13640)=归一化=00.430.360.210。
3.计算战略规划变动风险的重大错报风险水平
BVT=00.430.360.210
(90%70%50%30%10%)=0.544=54.4%。
通过以上对已识别出的该审计客户重大错报风险存在领域的企业战略规划变更风险的模糊评估,说明该类风险可能发生的概率为54.5%,假定审计组所估计的可信赖程度为95%,即审计风险为5%,则根据审计风险=重大错报风险×检查风险,可以计算出该审计组需要将检查风险水平控制在9.19%的范围之内(5%÷54.4%),属于较低水平。由此,审计人员在制订风险应对策略时,考虑在有必要的情况下实施控制测试,否则需要实施较大范围的实质性测试。
主要参考文献
[1]中国注册会计师协会.审计[M].北京:经济科学出版社,2007.
2006年2月15日财政部新的《中国注册会计师执业准则》引入了现代风险导向审计的指导思想,并对注册会计师的审计工作提出了新的要求,其中最为核心的部分是第1211号“了解被审计单位及其环境并评估重大错报风险”、第1231号“针对评估的重大错报风险实施的程序”和第1301号“审计证据”。这些准则要求注册会计师了解被审计单位及其环境以识别重大错报风险、评估重大错报风险、对这些重大错报风险加以应对,并记录于工作底稿之中。现代风险导向审计从战略的角度考虑企业的经营风险,从而确定审计重点领域,将审计资源有的放矢地分配到各个领域之中。
二、战略管理会计的特点
1、具有明显的外向性。战略管理会计跳出了单一企业这一狭小的空间范围,将视角更多地投向影响企业的外部环境。
2、更注重长期、持续的发展战略。现代企业非常重视自身健康地可持续发展。以下八个因素对企业的持续健康发展至关重要:顾客满意程度、制造优良、市场占有率、产品品质、可信赖程度、敏感性、技术领先地位、优良的财务业绩。因此,战略管理会计必须超越单一的期间界限,着重从长期竞争地位的变化中把握企业未来的发展方向,更注重企业持久优势的取得和保持,甚至不惜牺牲短期利益。所以,构成企业竞争地位的上述因素都是战略管理会计必须研究的内容,而不仅局限于优良的财务业绩这一财务指标。
3、将提供更多的与战略有关的非财务信息。企业要想获得持续的竞争优势,必须依仗众多的非财务指标。与战略有关的财务与非财务信息包括:战略财务信息和经营业绩信息、企业管理部门对上述战略财务与经营业绩信息的评价分析、前瞻性信息、背景信息、竞争对手信息。
4、是一种全面性、综合性的风险管理。战略管理会计高瞻远瞩地把握各种潜在的机会,回避可能的风险,包括从事多种经营而导致的风险、由于行业产业结构发生变化导致的风险、由于资产、客户、供应商等过分集中而产生的风险、由于流动性差导致的风险等等,以便从战略的角度最大限度地增强企业的盈利能力和价值创造能力。
5、更加注重会计信息的相关性和及时性。由于未来企业的竞争充满风险,信息使用者更关注的是企业的未来信息,因此,会计信息的相关性就成为保证会计信息质量的首要因素。同时,一系列先进管理观念和技术的广泛运用,迫切需要战略管理会计提供实时信息,而信息技术的迅猛发展则为此解决了技术上的难题。
6、对企业效益的评价发生了变化。战略管理会计对企业效益的评价将从狭隘的财务效益转向全方位的综合性效益,经营成果计算的重点将从利润计算向增值计算转变。与此相适应,对企业效益的评价应以为企业全面、长期地提高竞争力、发展能力,奠定牢固基础为基本出发点,而不应拘泥于一时的、短暂的得失,形成微观效益和宏观效益、目前效益和长远效益、经济效益和社会效益的有机统一体。同时,随着智力投资的扩大和知识创新步伐的加快,物化劳动的转移价值所占的比重越来越小,而由高智力的员工所拥有的专利权等无形资产所创造的价值增值却大幅增长,所占比重越来越大。这样,企业计算经营成果的重点应从计算利润转向计算价值增值,并通过编制专门的增值表加以系统反映。
因此,战略管理会计是以取得整体竞争优势为主要目标,以战略观念审视企业外部和内部信息,强调财务与非财务信息、数量与非数量信息并重,为企业战略及企业战术的制订、执行和考评,揭示企业在整个行业中的地位及其发展前景,建立预警分析系统,提供全面、相关和多元化信息而形成的现代管理会计与战略管理融为一体的新兴交叉学科。
三、风险导向审计的特征
1、风险导向审计的内涵。风险导向审计是指以被审计单位的风险评估为基础,综合分析影响被审计单位经济活动的各种风险因素,并根据量化的风险水平确定实施审计的范围、重点,进而进行实质性审查的一种审计方法。
2、风险导向审计的特征。由此可见,风险导向审计强调对审计全过程风险的评估与控制,同时对固有风险进行评估,这是风险导向审计的重要思想之一。评估固有风险有助于审计人员确定财务报表各部分发生错弊的可能性,从而有利于分配审计资源,提高审计效率、效果。(1)重心前移。基于客户战略系统的现代风险导向审计将审计重心从以审计测试为中心转移到以风险评估为中心。(2)风险评估重心转移。在现代风险导向审计模式下,风险评估重心由控制风险向联合风险转移。(3)风险评估方式改变。在现代风险导向审计模式下,风险评估由直接评估变为间接评估。(4)风险评估结构化。现代风险导向审计使风险分析从零散走向结构化。(5)分析性程序成为风险评估核心。(6)审计师专业知识结构改变。由于审计重心转移,风险评估采用的各种分析方法大量借鉴了战略管理会计知识,这就要求注册会计师的专业知识结构发生相应的改变,会计师事务所也应相应地融合审计和咨询两大资源。(7)审计测试程序个性化。由于现代风险导向审计测试计划基于审计师的风险评估结果,且不同的客户显然存在不同的风险,因此审计测试程序必然会“因人而异”,要采用相应个性化的审计程序。(8)审计证据范围扩大。在现代风险导向审计模式下,审计师可扩大审计取证范围,从一般员工处或供应商、销售商等获取审计证据,这是针对管理层舞弊的有效侦查措施。业内人士和专业咨询人士的意见也可作为对审计师审计专业判断的补充。(9)审计证据向外部证据转移。由于审计重心向风险评估转移,注册会计师必须充分了解客户整体战略经营环境,并由此出发评估客户的经营风险和审计风险,因此注册会计师必须从外部取得大量的外部证据来证明风险评估的恰当性。
四、战略管理会计在风险导向审计中的应用
现代风险导向审计模型中的“重大错报风险”包括财务报表整体层次和认定层次的重大错报风险。其中,前者是指财务报表整体不能反映企业经营实际状况的可能性;后者是指交易类别、账户余额、披露和相关的其他具体认定层次经济事项本身的性质和复杂程度与实际不符,由于企业管理当局本身的认识和技术水平有限以及由于企业管理当局局部或个别人员舞弊或造假造成错报的可能性。
1、通过企业环境分析评估审计风险。被审计单位内部或外部对财务业绩的衡量和评价可能对管理层产生压力,促使其采取行动改善财务业绩或纠正歪曲财务报表的行为。对企业的经营环境进行分析,了解公司的主要收入和业务的来源。注册会计师通过了解被审计单位的环境,分析企业报表项目变化的原因,判断引起这些变化的合理性。
注册会计师了解被审计单位所处行业的状况,有助于注册会计师对被审计单位形成初步的判断;注册会计师了解被审计单位法律环境和监管环境,使注册会计师掌握被审计单位受到哪些部门及相关法律法规的约束。此外,结合被审计单位自身情况,注册会计师通过职业判断也可设计其他需要了解的外部因素程序,例如宏观因素的景气度、利率的变动和资金供求情况、汇率变动等。
对被审计单位外部环境的充分了解有助于注册会计师识别审计风险。
2、通过企业的经营能力分析评估审计风险。企业的经营能力是企业的生产资料、人力、财力,技术和管理资源等基于环境约束与价值增值目标、通过配置组合与相互作用而生成的推动企业运行的物质能量。企业经营能力评估是指对企业经营能力进行系统分析,并科学、客观地作出全面评估的过程。
通过经营能力分析,注册会计师可以了解到:被审计单位是如何创造价值的;被审计单位是否已经实行了有效的经营活动来迎合经营战略;威胁到被审计单位实现战略目标的重大经营活动。
被审计单位的经营活动中那些相对重要的经营环节被称作关键经营环节。关键经营环节是审计的敏感环节,也是审计风险的重要来源。它一般具有三个特征:第一是对企业经营目标的实现至关重要,因为它们包括了被审计单位竞争优势与核心能力的业务活动;第二是经常与外部存在广泛交流,这一类型的环节一般与企业外部有重要的、规模比较大的联系,这些联系通常会产生大规模的交易并被反映在会计报表中;第三是具有较高的经营风险,它是最有可能被审计单位发生问题的地方,从而具有较高风险。因此,现代风险导向审计的顺利开展需要注册会计师对关键经营环节有深入的了解。识别关键经营环节之后,注册会计师需要收集大量的资料和信息,对关键经营环节进行评估。这些信息包括:经营环节的目标;经营环节中的业务活动;环节信息流,包括相关信息系统;经营环节的关键风险;环节风险的应对措施,比如内部控制;环节风险的防范业绩计量。
注册会计师通过了解被审计单位的经营能力,分析企业报表项目变化的原因,判断引起这些变化的可能性。
五、结束语
战略管理会计是为适应顾客需求个性化、多变化和国际经济竞争日趋激烈的新形势而形成的,它是管理会计向战略管理领域的延伸和渗透,是二十一世纪管理会计的发展主题。在新审计准则的颁布实行后,评估审计风险已成为注册会计师审计的重点,所以要求注册会计师要对企业的经营环境、内部条件、战略目标等几个角度入手对审计风险进行评估。
注册会计师在评估审计风险时应先对企业的整体风险进行评估,从多个角度进行分析,尤其应对风险较大的项目进行评估。例如对上市公司的利润分析,利润对上市公司而言至关重要,如果利润下降会直接影响股民对该公司的投资,所以注册会计师应对此进行着重分析。注册会计师还应根据企业的性质,采取不同的审计投放重点。
一、现代风险导向审计与洗钱风险评估
(一)现代风险导向审计 审计的目标是对财务报表不存在由于错误或舞弊导致的重大错报获得合理保证,其审计方法,即现代风险导向审计是当今主流的审计方法,要求审计人员从宏观上了解被审计单位及其环境,充分识别和评估财务报表重大错报风险,针对评估的重大错报风险设计和实施控制测试与实质性测试程序 ,并根据审计结果出具恰当的审计报告。现代风险导向审计基于战略层面和经营层面进行分析,可以克服因缺乏全局观而导致的审计失败风险,其不仅关注到上市公司经营风险对会计报表的影响,还把上市公司管理层对其影响因素考虑在内,同时相应减少了审计资源在实质性测试方面的分配,节省审计成本。
(二)金融机构洗钱风险评估 2012年2月,金融行动特别工作组的“40项建议”重点突出风险为本反洗钱工作方法,主要体现在根据洗钱、恐怖融资等非法活动的风险高低,合理配置相应的资源,采取相应的控制措施,既包括对洗钱风险的评估,还包括依据风险评估结果对高风险领域采取强化措施。洗钱风险评估主要体现在三个方面的运用:一是FATF及有关机构对国家整体洗钱风险进行评估;二是反洗钱监管部门对金融机构洗钱风险进行评估;三是金融机构对客户洗钱风险进行评估。须注意的是,金融机构洗钱风险评估与金融机构反洗钱工作评估不同,洗钱风险评估是指对金融机构被利用洗钱,即洗钱风险高低进行评价,侧重于预防洗钱风险能力方面;反洗钱工作评估是指对金融机构的反洗钱工作情况进行评价,是一种类似于绩效考核的评价模式。两者在评价指标设计及方法上有所不同,如被评估机构工作(调研)受到表彰、认可或表扬,协助破获了洗钱及上游犯罪案件,提供了有价值的可疑交易线索,在洗钱风险评估中只作为评估取证的来源之一,在反洗钱工作评估中则作为对工作认可的绩效评价指标之一。本文从监管角度探讨对金融机构洗钱风险的评估。
金融机构对客户的洗钱风险评估,是金融机构了解客户基本信息的基础上,分析客户资金交易的金额、频率和方式等特征,继而确定风险等级。监管部门对金融机构洗钱风险评估,是监管部门或受监管部门委托的有关机构,对金融机构的客户身份识别、交易记录保存、客户风险等级划分及可疑交易报告制度的有效性进行分析,确定金融机构在内控管理、业务流程、人员履职等方面对其洗钱风险的影响。
(三)现代风险导向与金融机构洗钱风险评估的异同 具体运用中,两者均采用抽样评价方法,取证手段也相同(如询问、查阅、检查等方式),评估流程也类同。财务报表审计流程大致分三个阶段,即承接业务阶段的内外部风险评估,分析被审计单位高管层压力、机会和借口等因素所引发的舞弊或错报风险;风险初步评估阶段,了解评价被审计单位环境、内控制度情况;进一步审计程序阶段,控制测试和实质性测试(对被审计单位各类交易、账户余额和披露的细节测试以及实质性分析程序)。后续审计程序根据前阶段的风险评估结果确定,当后续审计程序获取的审计证据与初始评估获取的审计证据相矛盾时,可以修正风险评估结果,并相应修改原计划实施的进一步审计程序。审计风险评估的目的是根据风险,确定进一步审计程序的性质、范围和时间安排,其目的在于内控风险较高时,更多的控制测试和实质性测试能推断被审计单位的错报或舞弊行为,继而获取被审计单位错报或舞弊对财务报表的影响程度。洗钱风险评估与此类似,一是了解金融机构固有风险阶段,与承接审计业务阶段内外部风险评估阶段相似,需了解金融机构所面临的宏观经济状况,所在行业的洗钱风险及经营状况对洗钱风险的影响。二是初步评估阶段,与审计风险初步评估阶段相似,对金融机构反洗钱工作的环境、内控制度执行情况进行评估。三是深入评估阶段,与进一步审计程序阶段相似,对金融机构的反洗钱内控制度有效性和可疑交易分析报告工作的及时性和有效性进行分析评价。洗钱风险评估过程中,可以在了解金融机构固有风险的基础上,确定初步评估的范围,再根据初步评估的结果,指导深入评估的时间、范围和方法,包括对金融机构进行一次初步评估和一次深入评估,也包括根据评估结果,采取现场检查、约见谈话、现场走访等后续监管措施。
不同之处在于:一是业务性质不同。风险导向审计是对财务报表不存在由于错误或舞弊导致的重大错报获得合理保证;金融机构洗钱风险评估是对金融机构洗钱风险的高低作出评价。二是评价内容不同。前者是对被审计单位的外部环境、内部环境、内控制度,特别是对会计报表及账务处理的准确性及真实性进行评价,具有经济评价性质,较为复杂;后者是对被评估单位反洗钱相关的环境、内控制度及可疑交易分析能力进行评价,具有单一性风险评价性质,较为简单。三是法律责任不同。审计主体对审计报告具有强制性报告义务,并对出具的审计报告承担法律责任;洗钱风险评估是对风险进行判断,不具有强制性报告义务,较少承担法律责任。四是委托责任不同。前者是注册会计师事务所接受有关信息使用者的委托,对被审计单位进行审计,信息使用者包括政府、股东及投资者等相关人员;后者主要是评估主体接受政府部门委托,根据最新风险状况对被评估机构洗钱风险进行评估。
二、审计风险评价体系对洗钱风险评价体系的借鉴
层次分析法是美国运筹学家T.L.Saaty于20世纪70年代初提出的一种决策分析方法,基本原理是:把一个复杂的决策问题视为一个系统,按总目标、子目标、评价因素的顺序进行逐步分解,构建层次结构,然后通过模糊量化确定各元素对于上层指标的重要性,以此递推到总目标层,从而为最终的决策问题提供较为科学的定量依据。目前的洗钱风险评估方法为层次分析评价方法,该方法将整体风险分解成一套评估指标体系,通过采用分级细化、确定指标分值权重、逐级加减汇总的方式,确定总体水平。如我国试行的金融机构反洗钱风险评估标准中,将风险指标划分为环境、产品/客户、控制、沟通和调整五类一级指标,通过对各类指标中的标准评价得分汇总得出整体风险。该方法优点在于,整体风险或工作情况受多个控制点、事项或交易的影响,各指标的汇总得分情况能较好反映整体水平,其在工作绩效考核运用中的优势尤其明显。
审计风险值的确定方法与上不同,是在确定各类风险值(或风险高低)的基础上,对各类风险值进行数值乘算(或选用“高”、“中”、“低”等文字的定性描述),并通过矩阵表的方式计算确定风险,本文将此方法描述为矩阵评价方法。审计风险值具体确定方法为,审计风险=重大错报风险×检查风险(实务中,注册会计师不一定用绝对数量表示风险水平,还可以选用“高”、“中”、“低”等文字描述,即审计风险值可通过数值乘算,也可以定性确定),其中,检查风险取决于审计程序设计的合理性和执行的有效性,可以通过职责分配、提供针对性审计计划等方式解决。重大错报风险包括固有风险和控制风险,评估时可以单独对固有风险和控制风险进行评估,也可以合并进行评估。国内有关学者采用矩阵方式评价风险,如对洗钱风险值的评价方法为,洗钱风险=固有风险×内控风险,其中,固有风险包括:国家/地域风险、产品/服务风险、客户风险;内控风险主要是指反洗钱内控制度及执行风险。如反洗钱风险管理的评估方法为:反洗钱风险=原本风险×管控风险×监管风险。与反洗钱风险管理的评估方法相似,金融机构洗钱风险水平受以下四个方面的因素影响:国家经济,所在行业、地域环境;反洗钱内控制度与内部环境;金融产品、服务及客户本身的洗钱风险水平;可疑交易报告的及时性和有效性。确定金融机构洗钱风险的方法为,金融机构洗钱风险=国家(地域、行业)风险×控制风险×产品(或客户)风险×交易监测风险(与审计风险评估相似,洗钱风险值可通过数值乘算,亦可定性确定)。
矩阵评价方法体现出风险与成本的一种均衡,避免将洗钱风险通过简单汇总各级指标分值的方式进行评价。主要体现在:一是控制成本。风险导向审计理论认为,机构内部行使控制职能的人员素质及控制成本影响控制效果,若实施某项控制成本大于控制效果而发生损失时,就没有必要设置该控制环节或控制措施。洗钱风险评估中,某金融产品被用于洗钱的风险较高,其相关控制风险也较高,但若金融机构的该类金融产品交易量很少,则其整体洗钱风险不能被认定为高风险,投入此部分的评估资源可以相对减少。二是风险项的交叉性影响。即各类风险相互之间的影响,如新客户“职业”登记为“其他或无业”的比例较高,则不能认定客户身份识别制度执行有效。三是不同类别风险对整体风险的影响程度。即当某类风险较高,而其他类风险较低时,须依据各类风险对整体风险的影响程度确定风险等级。金融机构的反洗钱义务在于预防,所有控制措施都是为做好可疑交易的监测、分析和报送服务,若客户身份识别制度和客户风险等级划分制度执行的很好,但监测分析人员的人数配置不够、分析能力不高,可疑交易分析系统的智能化不足,则应认定该单位的洗钱风险水平为高风险。
三、风险导向审计方法在洗钱风险评估方法中的运用
(一)运用抽样评价方法 审计抽样范围受所审计鉴定会计期间的影响,并针对该会计期间各类控制、事项或交易中的部分样本进行评价,通过样本推断总体,如年度财务报表审计,只有在审计报表期初余额,及评价期末、期后事项对报表的影响时,才会跨年度选取样本。洗钱风险评估相对灵活,可以对某一年度的洗钱风险进行抽样评估,也可以针对某类控制、事项或交易的样本扩大至若干个年度进行抽样评估。
(二)依据风险高低扩大或减少样本量 审计实务中,若认为被审计单位控制环境薄弱,则很难认定某一相关流程的控制有效,其实质性测试的样本量会大幅增加(实质性测试包括细节性测试和实质性分析程序,即对会计计量的真实性、准确性、合理性进行审查)。小型机构员工较少,限制了其职责分离的程度,虽然没有文件形式的控制要素,但了解管理层的态度、认识和措施及其控制环境非常重要,应该更多的采取实质性程序。洗钱风险评估可借鉴以上方法,若金融机构的内控风险很高,则其客户身份识别、交易记录保存及客户风险等级划分相关控制点就较难得到有效执行,继而影响异常交易分析识别的及时性和有效性,洗钱风险会加大,此时应扩大对异常交易分析及报告的样本量,确定洗钱风险的高低。
(三)整合取证手段 审计取证方法包括查阅、询问、观察、穿行测试、重新执行、实质性分析程序等方法,具体审计目的不同,取证手段和工作流程也不同。如对收入确认的完整性测试,由原始凭证追查至明细账(从发货部门的发运凭证追查至有关销售发票副本,再到收入明细账),而对收入确认真实性的审计流程与上述流程相反。洗钱风险评估中,如评价金融机构的可疑交易报告是否有遗漏,可以选取部分存量客户,从建立业务关系,到客户风险等级划分,再到可疑交易分析报告的整个流程进行取证;评价可疑交易报告是否合理,则与上述流程相反。在具体方法运用上,主要有以下几种可供借鉴。
一是询问。向金融机构有关员工进行询问,获取与内部控制运行情况相关的信息。如果某项控制要求某一员工(复核人)在文件上签字以证明他复核该份文件,那么应询问其复核的性质,即对什么进行复核,复核的要点是什么,签字复核的意义等等。如个人独资企业、家族企业、合伙企业、存在隐名股东或匿名股东公司的尽职调查难度通常会高于一般公司,应询问此类尽职调查的方法和措施。二是穿行测试。追踪交易报告在业务流程中发生、处理和记录的过程。业务流程中存在多个风险控制点,如客户身份识别措施―身份识别记录―风险等级划分―交易记录保存―可疑交易提取、分析―复核确认―分析报告结论,通过穿行测试,掌握内控薄弱环节,及对整体风险的影响程度。三是重新执行。审计实务中,检查复核人员是否认真执行核对时,不仅应检查是否在相关文件上签字,还应选取一部分凭证如销售发票进行核对。在风险评估中,可以选取部分可疑交易报告,评判可疑交易分析复核的合理性;在可疑交易分析系统及风险等级划分系统(或者是功能模块)中,评估人员从相关系统调取客户身份资料(一般是开户资料)和交易记录,以评价系统设计的合理性。四是实质性分析程序。通过研究数据间关系评价一段期间的交易情况。审计实务中,实质性测试包括对各类交易、账户余额和披露的细节测试以及实质性分析程序(如财务指标的横纵向比较)。在洗钱风险评估中,可以运用到实质性分析程序,如“可疑交易量/同类型交易量”的横纵向比较,“未登记客户职业信息数量/所有客户数量”的横纵向比较;如私人银行业务的投资理财品种和交易金额的变动情况。
四、审计成本控制对洗钱风险评估成本的借鉴
审计实务中,项目审计组基本为一年对一家上市公司财务报表年报进行审计,虽然企业所面临的经济环境和经营复杂程度的不断上升,注册会计师仍会在合理的时间内以合理的成本完成审计工作。风险为本的工作方法与此相同,需要以合理的成本完成洗钱风险评估工作。截至2012年底,我国具有反洗钱报告义务的金融机构共计1599家,以湖北省武汉市为例,该市具有反洗钱报告义务的金融机构共计201家,其中法人机构19家,在市内拥有下属机构的69家,无下属机构(如证券营业部、支付机构等)的113家。可以发现,监管机构与义务主体呈现一对多的现象,同时,洗钱风险评估只是反洗钱监管工作中的一部分。那么实现评估成本的节约和效果的提高,需要考虑评估的目的,继而在评估深度、时间安排及人员配置上作出具体调整。主要有以下三种模式可供综合或单独运用:一是动态风险评估。如每1至2年评估一次,其作用在于实时掌控金融机构的洗钱风险,由于被评估的反洗钱义务主体较多,则对每家机构评估的时间不宜过长。二是周期性评估。如3年及以上评估一次,该模式的假设前提是短期内金融机构的洗钱风险不会发生较大变化,当金融机构较多时,可以分配至各个年度,并采取“深入”评估的方式进行评估。三是法人监管模式的自主型评估与分支机构的配合型评估。即对法人金融机构进行全面、深入的评估,重点包括内控制度建设、管理体系及执行有效性上面;对于地方分支机构,应以配合上级部门为主,根据上级部门有关要求对金融机构分支机构采取针对性评估,重点在于评价分支机构内控执行有效性上面。
参考文献:
[1]沈征:《审计理论》,上海人民出版社2013年版。
作者:李洪岳 单位:山东农业大学
由被审计单位实际情况到评估指标项目的得出要有一个逻辑的过程。现代风险导向审计与传统审计模式最大的区别在于前者关注被审计单位的经营活动,后者仅关注被审计单位财务记录。传统审计模式将财务记录分成经营、筹资和投资三部分。这是与资金流动各自特点是一致的:经营活动是资金由货币—实物—货币转换的过程,投资活动是资金流出形成权利或实物的过程,而筹资活动则是资金流入形成义务或权益的过程。在传统审计模式下,这种分类是有其依据和逻辑性的。现代风险导向审计关注逐步转到了被审计单位的经营活动,使传统审计下审计对象的分类失去了逻辑依据。在新的审计模式下,重新进行逻辑性讨论,对审计重分类是很有必要的。现代风险导向审计下风险评估指标项目,是对被审计单位经营活动的概括与总结,是浓缩版的经营活动。那么,如何使这些项目更准确、详实地反映经营活动中的风险是项目设定的重要原则。一般认为,依据一定的审计规则,以经营活动为起点,逐步推导得出的指标项目能更好地反映经营活动风险。这样在被审计单位实际情况和评估指标项目间有一个逻辑过程是很有必要的。
指标项目探讨的目的在于应用,应用于风险导向审计下风险评估过程中。风险评估的目标是最大限度发现风险,那么指标项目的意义在于最大限度代表风险。风险导向审计之所以取代了传统的符合性审计的重要原因是后者审计量太大,有限的审计资源不能够发现全部重大错报。风险导向审计的优势在于剔除对审计影响小的风险,而重点关注对审计有重大影响的风险。这样就极大减少了工作量,提高了审计资源的利用效率。指标项目的探讨要顺应这一趋势,在重大错报环节中能代表重大错报的可能。指标项目的选择要利于描述和可操作。会计师在审计过程中需要承担繁重的工作量,要面对众多的工具资料和证据资料。指标项目作为重要的工具资料,其是否直观有利于描述,会对会计师的工作效率影响重大。指标项目要具备可操作性,指标项目在设计中要尽量与实务环节相匹配,将实务过程真实再现,反映出过程的特点。也就是具备了可操作性。指标存在的目的就是应用,可操作性越强,其应用的需求就越大。
评估方式要尽量遵循科学、直观和便于理解的原则。风险评估方式具体是指风险评估程序,要遵循科学、直观和便于理解的原则。科学是指评估程序中引入数学模型,计算过程要与风险评估达到的目标一致起来。例如,计算风险大小的评估引入了数学模型,一二级指标项目风险由下一级相应指标风险数值相乘得出的。模型的引入一方面符合风险评估的一般原则,另一方面上级指标下多项下级指标存在风险会造成上级指标总体性的重大风险。直观是指风险评估程序要能分成若干环节,环节与环节间界限要清晰,层次鲜明,能用图表加以描述。用图表加以描述是直观性的重要形式,图表不仅在视觉上更易理解,而且能将评估环节独立的进行罗列。随着探讨的深入,评估方式的选择一定会更多采用图表形式的内容。便于理解是风险评估方式服务于会计师审计活动的重要原则。不仅是指标项目,风险评估方式也应遵循这种原则,为会计师能够高效率完成审计工作提供服务。
风险评估理论推导要和理论应用相结合,通过相互印证,逐步改进来完善评估方式。风险评估理论体系是以相关理论为前提得出的,相关理论是指风险理论、风险导向审计理论、战略理论和内部控制理论。相关理论成立的前提是存在多方面假设,这些假设往往与实际情况有很大差别,单纯通过理论指导得出的结论不能作为已完善的结论加以运用。这样就需要与理论运用相结合。认识论上讲实践是检验真理的唯一标准,那么理论的应用是检验理论正误的标准。理论的应用也就是实务中风险评估的应用,即对被审计单位关键风险的归集过程。现阶段,风险评估理论的应用主要在审计实务中,审计实务主要指注册会计师对被审计单位的审计工作,因此,对风险评估理论的改进要和审计实务及注册会计师的工作结合起来。风险评估理论的研究者要能取得与会计师的沟通,通过交流对风险评估使用过程中存在的问题及时反馈,并能吸取会计师对评估工作的个人观点和看法,提取有益的部分,不断完善风险评估实务环节。改进的评估程序要尽快在审计实务中应用,以实现理论研究的目的。
风险评估要与会计师职业道德建设相结合。在审计技术的研究中,被审计对象是重点关注的对象。然而如果将审计分为主体和客体的话,客体是被审计单位,主体是注册会计师。那么,在研究客体的同时,也应该加强对主体的建设。在目前审计实务中,会计师违背职业道德,与被审计单位合谋出具虚假报告的情况多次发生,如国际商业银行舞弊案中普华事务所、安然事件中安达信会计师事务所等等。会计师违背职业道德给审计造成的风险是决定性的,这会导致审计活动中审计技术运用的效率归于无效。因此,在改善风险评估方式,改进审计模式,降低审计风险的同时,要加强会计师职业道德建设,以保障审计结论的客观公正。
会计师职业道德建设是一个十分复杂的工程。现阶段进行建设的手段主要有内外两个角度:从内部而言,是通过对会计师进行职业道德教育,从改善会计师的人生观、价值观、道德观入手,达到引导人性向善的目标。从外部而言,以外部施压的形式强制约束会计师在职业道德范畴内执业,这种内外结合的防控措施对加强执业道德建设是十分有益的。但仍需进一步完善,毕竟人的自然属性对人的影响是深刻的、总体的和重大的。要将这种不利因素降低到最小,就需要更多有力的建设来完成这种目标。
一、风险导向审计概述
(一)审计方法发展的回顾
随着社会经济的发展,与审计目标的变化相适应,审计模式的发展大敛可分为三个阶段:
1.账项基础审计阶段
由于早期获取审计证据的方法比较简单,审计人员所关注的是查错防弊,CPA将大部分精力投向会计凭证和账簿的详细检查,这种审计方法就是账项基础审计方法。
2.制度基础审计阶段
随着公司制企业出现,被审计单位的规模扩大,组织结构、业务日趋复杂,逐笔详细审计已不再可能;同时,报表使用者从单纯关注资产负债表转向资产负债表和利润表并重。从20世纪50年代起,以内部控制测试为基础的抽样审计在西方国家得到广泛应用,该种方法被称作制度基础审计方法。
3.风险导向审计阶段
在制度基础审计的实施当中,往往使审计人员的注意力过于集中在被审计单位内部控制制度方面,却忽视了审计风险产生的其他环节,同时由于企业竞争的激化以及企业不稳定性的增加,审计人员需要应对的风险因素也大幅增多,以“审计风险=固有风险×控制风险×检查风险”模型为核心的风险导向审计方法应运而生。
(二)风险导向审计方法的改进
CPA在运用传统风险导向审计方法时,通常因难以对固有风险做出准确评估直接将其设定为高水平(100%),而从较低层面上评估风险,依照检查风险来决定实质性测试的实施。但企业所处行业状况、经济环境、经营目标以及战略风险最终对会计报表产生重大影响。而且当企业管理当局舞弊时,内部控制是失效的,CPA不能把审计视角扩展到内部控制以外,很容易犯“只见树木,不见森林”的错误。因此,随着企业财务欺诈案件的不断出现,国外一些会计师事务所在上世纪90年代对传统风险导向审计方法进行改进。
首先,注重对被审计单位行业状况和经营计划进行分析,从宏观上把握审计面临的风险,重视大量风险基础审计工作;其次,注重运用分析性程序,以识别可能存在的重大错报风险,减少对接近预期值的各种交易、账户余额的测试。将趋势分析、结构比例分析等发现波动较大的项目作为重点审计领域,注重对例外项目进行详细审计;再次,CPA形成审计结论所依据的证据不仅包括实施控制测试和实质性测试获取的证据,还包括了解企业及其环境获取的证据。
职业界对传统风险导向审计方法的改进,引起了审计准则制定机构的关注。2003年10月,国际审计与鉴证准则理事会决定于2004年底正式施行审计风险准则。
二、我国新审计准则体系中的审计风险准则
(一)我国审计风险准则实施的必然性
首先,CPA面临的审计环境发生了重大变化。目前,企业的经营环境正在发生巨大变化,企业组织机构及其经营活动的方式日益复杂,全球化和科学技术的影响日益加深,会计准则要求的判断和估计日益增加,企业管理当局进行财务舞弊的动机和压力日益增大,从而给CPA带来审计风险。
另外,实践中对风险导向审计方法认识存在误差。一些会计师事务所实际审计业务过程中仍存在许多局限,从而隐藏大量审计风险。有的事务所注重对企业的经营战略及其业务流程的了解,忽视对重要的各类交易、账户余额、列报和披露的实质性测试;有的注重对企业及其环境的了解,认为内部控制测试已经过时而忽视对内部控制的了解和测试,审计质量难以保证。
近几年,国内外爆发了一系列上市公司会计舞弊案件,促使我国的准则制定机构对独立审计准则涉及审计风险的项目进行了认真研究,结论为传统的审计风险模型已经不能满足CPA执行审计业务的需要,进行修改迫在眉睫。
(二)我国审计风险准则
1.《财务报告审计的目标和一般原则》准则
引进会计报表审计的基本目标、一般原则、职业怀疑态度和合理保证等概念,修改审计模型,确立以审计风险为导向的审计方法,以合理保证会计报表不存在重大错报。将固有风险和控制风险合并为重大错报风险,审计模型修改为“审计风险=重大错报风险×检查风险”,CPA应当评估重大错报风险,并根据评估结果设计和实施进一步审计程序,以控制检查风险,从而利于CPA执行风险评估程序,使之更加符合审计的实际情况。
2.《审计证据》准则
进一步明确CPA审计证据的内容、数量、质量,以及为获取审计证据所实施的审计程序。修改“审计证据”的定义,不仅仅是有关交易、账户余额、列报与披露方面的证据,而且扩大到所有形成审计结论、发表审计意见所依据的信息,包括从企业内部、外部获取的会计记录以外的信息,通过询问、检查和观察程序所获得的信息和通过自行编制计算表进行分析推断所获取的信息等。同时取证方法从6种扩充为8种。
3.《了解被审计单位及其环境并评估重大错报风险》准则
涉及识别和评估重大错报风险问题,主要有:(1)风险评估程序与信息来源以及项目组内部讨论,包括项目组在计划、实施和报告出具等各阶段讨论出现重大错报的可能性;(2)不仅了解被审计单位内部6个方面的内部控制,而且要了解被审计单位所处行业状况、法律环境及监管环境等外部因素;(3)了解被审计单位内部控制以及控制环境,考虑导致重大错报风险的因素,了解战略、目标、经营风险、内部业绩衡量和评价等方面,分析可能存在重大错报的领域;(4)评估重大错报风险,包括会计报表整体交易与账户余额两个层次,不得越过风险评估程序直接进行实质性测试。
4.《针对评估的重大错报风险实施的程序》准则
现代风险导向审计方法并不过分减少实质性测试,对各类重大交易、账户余额、列报与披露仍应作细节测试。主要内容为财务报告整体的重大错报风险、总体应对措施、职业怀疑态度、分派更有经验的CPA、利用专家协助工作、加强对项目的质量控制和督导人员的复核等。
(三)审计风险准则的积极作用
笔者认为,审计风险准则的不仅是我国审计理论的一次突破和创新,而且对于在审计实践中提高审计质量,降低审计风险具有深远的意义和作用。
首先,原模型对审计工作记录的规定比较笼统,一些CPA在执业过程中并没有完全按照相关的要求去实施审计程序,或虽实施审计程序却没有形成有效的审计工作记录,而CPA出具审计报告的最重要依据就是审计工作记录,因此对审计质量控制和日后检查
造成不利影响。在审计风险准则中,既增加了CPA对风险评估程序的关键环节形成审计工作记录的要求,也增加了CPA对风险应对情况形成审计工作记录的要求,这一规定对明确CPA责任,加强CPA审计质量的控制具有重要作用。
其次,原模型只要求CPA通过综合评估固有风险和控制风险来控制检查风险,由于固有风险一般被认为难以评估而直接将其设定为高水平,其审计过程为:符合性测试――实质性测试。在审计风险准则中,要求CPA在审计过程中应始终保持对重大错报风险的识别、评估与应对;CPA必须了解被审计单位及其环境,包括内部控制,以评估重大错报风险,不得未经过风险评估,直接将风险设定为高水平,审计过程为:风险评估――符合性测试――实质性测试。此外,为了实现审计目标,要求CPA在计划和实施审计工作时,应当保持职业怀疑态度,充分考虑可能导致会计报表发生重大错报的情形。
总之,正是因为审计风险准则以风险评估为审计起点,并要求CPA在审计过程中应始终保持对重大错报风险的识别、评估,从而使得CPA将审计视野从内部控制扩展到企业的战略目标和经营环境,所以有效地遏制了CPA在审计过程中所面临的重大错报风险。
三、我国实施审计风险准则的影响
(一)审计风险准则对CPA的影响
1.对CPA审计理念的影响
首先,CPA审计的主线始终是对重大错报风险的识别、评估与应对。为了实现审计目标,在计划和实施审计工作时,应当保持职业怀疑态度,充分考虑可能导致会计报表发生重大错报的情形。
其次,CPA必须对会计报表重大错报风险进行评估。新的审计风险模型要求的审计起点为风险评估程序,CPA必须了解被审计单位及其环境,包括内部控制,以评估重大错报风险。另外,无论评估的重大错报风险结果如何,CPA必须针对重大的各类交易、账户余额、列报与披露实施实质性程序,不得只将实质性测试集中在例外事项上。
再次,CPA必须做到有的放矢的实施审计程序。CPA将识别和评估的风险与审计程序相联系,在设计和实施进一步审计程序(控制测试和实质性测试)时,应当将审计程序的性质、时间和范围与识别和评估的风险相联系,而非仅从形式上迎合独立审计准则对审计程序的要求。
2.对CPA审计责任的影响
在制定审计风险准则时,增加了对CPA形成审计工作记录的具体要求,工作底稿要求细化、具体化和针对化,以保证重要程序的履行和审计质量的控制,对明确CPA责任具有重要作用。
首先,要求CPA对风险评估程序的关键环节形成审计工作记录,具体包括:审计项目组对因舞弊或错误导致的会计报表存在重大错报风险的讨论以及决策;对被审计单位及其环境各个方面的了解,包括对内部控制每个要素了解的要点、信息来源以及风险评估程序;在会计报表层次、认定层次识别和评估出的重大错报风险识别出的特别重大风险和仅通过实质性程序无法应对的重大错报风险,以及相关控制的评估。
其次,要求CPA就实施的关键程序形成审计工作记录,具体包括:对评估的会计报表层次重大错报风险采取的总体应对措施;实施进一步审计程序(控制测试和实质性测试)的性质、时间和范围;实施的进一步审计程序与评估的认定层次重大错报风险的联系实施进一步审计程序的结果。
(二)审计风险准则对会计师事务所的影响
1.对技术瓶颈的争议
审计风险准则一个最突出的要点就是了解被审计单位及其环境,不仅包括被审计单位内部控制,而且要了解被审计单位所处行业状况、法律环境及监管环境等外部因素。因此,对事务所和CPA的专业技术知识要求更加宽泛和提升。
笔者认为,若使每个CPA对各行各业都精通诚然是不可能的,但是应当做到基本了解行业知识,并且能够有效利用其他专业人员为审计工作服务。同时,事务所应当细化项目小组,专门培养对某一行业熟知的专业审计队伍。在事务所内部管理工作中,对项目和相应人员的配备以及培养计划应当提高重视。另外,风险评估的关键是CPA科学地对风险进行专业分析和判断,因此大量实践经验的总结必不可少。我们应当尝试建立客户数据库,在积累的基础上建立行业数据库,以坚实的基本数据作为分析判断的支撑,保证审计结论的正确性。
2.对成本问题的争议
一种观点认为,审计风险准则要求CPA在审计之前对企业各个方面进行调查了解,并且需要更多有经验的合伙人及高级审计人员参与,人员成本会上升。另外,准则要求在审计的所有阶段都实施风险评估程序,一旦在审计过程中发现了问题,就要对既定的程序进行重新评估,如果企业经营管理不善,必然加大审计成本。
但从另一个角度来看,用绝对值来衡量成本的高低是片面的,如果企业的经营状况良好,审计风险准则的使用也会给他们带来很多的增值服务,比如可以为企业提供经营战略或内部控制建议等。因此,当市场接受这种审计方式时,所增加的成本相应有了更多的弥补。
笔者认为,我们应当持辩证的态度面对这一问题。对企业来说,他们首先考虑的是是否会加大其成本,然后才会考虑增值服务效应。而对会计师事务所来说,他们首先考虑的是审计的价值。这种矛盾是必然的。我们应该根据企业不同的情况灵活把握审计风险准则的具体应用,以期在成本和风险中找到一个最佳平衡点。
3.对事务所体制改革的建议
一、审计风险的基本涵义
关于审计风险的涵义,目前国内外审计职业界还没有形成一个完全一致的定义。国际审计准则第25号《重要性和审计风险》将审计风险定义为:“审计风险是指审计人员对实质上误报的财务资料可能提供不适当意见的风险。”《美国审计准则说明》第47号认为:“审计风险是审计人员无意地对含有重要错报的财务报表没有适当修正审计意见的风险。”我国《独立审计具体准则第9号———内部控制与审计风险》则将审计风险定义为:“审计风险,是指会计报表存在重大错报或漏报,而注册会计师审计后发表不恰当审计意见的可能性。”以上三个定义,虽然对误报的界定范围有所不同,如国际审计准则界定为“实质上”,我国独立审计准则界定为“重大”,而美国审计准则界定为“无意”行为,而非有意为之;但是对审计风险基本涵义的表述是一致的,即审计风险是指审计人员对存有重大错报和漏报的财务报表,审计后却认为该重大错报和漏报并不存在从而发表与事实不符的审计意见的风险。因此,我们可以认为,审计风险由两方面风险构成:一方面是财务报表本身存在重大错报和漏报的风险,另一方面是审计人员审计后表示该报表并不存在重大错报和漏报的风险。也就是说,审计风险是客观的存在和主观的努力的结合:客观存在可以通过主观努力去调节,但主观努力又受成本效益原则的约束,因而审计风险具有下面三种具体表现形式。
二、审计风险的三种形式
1.评估审计风险。评估审计风险是指审计人员接受某审计项目后,在初步了解被审计单位基本情况的基础上,采用一定的审计手段,所评估的该项目可能存在的审计风险。评估审计风险主要与被审计单位本身的各方面情况有关。被审计单位的规模越大、经营性质越复杂、内部控制越弱、管理当局的可信赖程度越低,则评估审计风险也就越高。评估审计风险是导致财务报表产生重大错报和漏报的可能性,是客观的存在,它不受审计人员的影响和控制。
2.可接受审计风险。可接受审计风险是指审计项目完成后,审计人员或会计师事务所准备承担或可以接受的审计风险。可接受审计风险主要受以下三个因素控制:①会计师事务所的风险承受能力:会计师事务所的风险承受能力越强,可接受审计风险也就可以越高。会计师事务所的风险承受能力则主要取决于事务所的规模、经济实力以及法律责任的承担能力等。②财务报表和审计报告使用者的情况:财务报表和审计报告的使用者素质越高、范围越广,对财务报表和审计报告的利用程度越高,可接受审计风险就越低。③行业之间的竞争情况:会计师事务所之间的竞争越激烈,可接受审计风险也就越低。可接受审计风险是审计人员或会计师事务所主观确定的,其与评估审计风险的差异,即为需要主观努力的程度,是决定审计项目取舍的重要衡量标准之一。
3.终极审计风险。终极审计风险是指审计项目完成后所实际形成或审计人员实际承担的审计风险。终极审计风险主要与审计程序的设计和执行情况有关。审计程序设计和执行得越好,终极审计风险就越低。终极审计风险在数量关系上、理论上应与可接受审计风险一致,但实际上,它既可能大于也可能小于可接受审计风险,因为审计程序的设计和执行受审计人员的业务素质和某些主、客观因素的影响。因而审计人员在执行审计过程中,应尽量按计划规范操作,以使终极审计风险控制在可接受审计风险范围内。
简而言之,评估审计风险是客观存在的,可接受审计风险是主观确定的,而终极审计风险是客观存在和主观努力的结果。因此,审计人员在决定是否承接某一审计项目时,可以将评估审计风险与可接受审计风险进行比较,然后根据成本效益原则决定取舍。如果接受该项目,在审计过程中应尽量严格执行所设计的审计程序,使终极审计风险等于或小于预先设定的可接受审计风险。虽然终极审计风险取决于可接受审计风险,但并不完全等同于后者,它是固有风险、控制风险和检查风险共同作用的结果。
三、审计风险与审计重要性和审计证据的关系
1.审计风险与审计重要性的关系。《我国独立审计具体准则第10号———审计重要性》第二条指出:“审计重要性是指被审计单位会计报表中错报或漏报的严重程度,这一程度在特定环境下可能影响会计报表使用者的判断或决策。”简单地说,审计重要性就是错报的可容忍程度,其量化标准即重要性水平。也就是说,在重要性水平之内的错报,是可以容忍,可以接受的。因此,审计风险与审计重要性之间有着密切的关系。
评估审计风险与审计重要性之间是反向关系,即评估审计风险越高,所确定的重要性水平就越低,这样才能保证终极审计风险在一定水平内。反之,评估审计风险越低,重要性水平越高,这样可以节约审计成本。《我国独立审计具体准则第10号———审计重要性》第八条指出:“注册会计师应当考虑重要性与审计风险之间存在的反向关系。重要性水平越高,审计风险越低;重要性水平越低,审计风险越高。”这里的审计风险指的就是评估审计风险。这一反向关系也可从另一个角度来理解,即计划确定的重要性水平越高,对审计工作质和量的要求就越低,在此条件下作出正确审计结论的可能性就越大,审计风险因而也就越低。
可接受审计风险与审计重要性之间是正向关系,即可接受审计风险越高,所确定的重要性水平越高,这样可以保证审计成本的节约。反之可接受审计风险越低,所确定的重要性水平也应越低,这样才能保证审计质量的控制。因为可接受审计风险越低,说明审计人员要求的财务报表错报的可容忍程度越低,则其重要性水平也应越低,才能满足较低的审计风险的要求。
终极审计风险与审计重要性之间也是正向关系。因为终极审计风险基本上取决于可接受审计风险。
