时间:2022-03-12 04:32:07
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇审计风险评估,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
风险导向审计模式下审计的程序包括以下步骤:风险评估程序、控制测试、实质性程序,其中风险评估是基础和前提,通过风险评估来确定实施进一步审计程序的性质、时间和范围。
(一)审计风险评估指标体系设计思路。
审计风险是指,会计报表存在重大错报或漏报,而审计人员审计后发表不恰当意见的可能性。根据新的审计准则,总体审计风险包括重大错报风险和检查风险。重大错报风险是指财务报表在审计前存在的重大错报的可能性,重大错报风险的大小主要取决于生产经营风险的大小,而企业内部控制设置和执行的缺陷及具体认定本身固有缺陷也会造成错报风险。检查风险是指某一账户或交易类别单独或连同其他账户、交易类别产生重大错报或漏报而未能被实质性测试发现的可能性。审计的最根本着眼点就是分析企业所面临的经营风险,审计风险评估指标体系的设计也从企业经营风险和控制风险上来进行设计。会计报表风险实际上是企业战略风险和相关经营风险的副产品,①其审计风险=企业经营风险+控制风险+检查风险。
(二)审计风险评估指标体系的构成
审计风险评估指标体系可以依据注册会计师审计准则第1211号—了解被审计单位及其环境,并评估重大错报风险来确定。
1.外部环境。外部环境对企业的经营和发展产生重要影响,从而可能导致重大错报风险的产生。可能影响财务报表的外部环境包括企业所处行业状况、法律环境、监管环境、宏观经济环境。
2.被审计单位的性质。如果被审计单位的所有权结构、治理结构、组织结构不恰当或存在缺陷,就有可能造成财务报表出现重大错报。
3.经营活动。被审计单位的经营活动会产生经营风险,而多数经营风险最终都会产生财务后果从而影响财务报表。经营风险主要来源于对被审计单位实现目标、战略产生不利影响的重大情况、事项、环境和行动,或源于不恰当的目标和战略,以及为实现目标和战略制定的关键经营流程。
4.财务业绩的衡量和评价。被审计单位内部或外部对财务业绩的衡量和评价可能对管理层产生压力,促使其采取行动改善财务业绩或歪曲财务报表。财务业绩的衡量和评价因素包括关键业绩指标、业绩趋势、业绩考核与激励性报酬政策。
5.内部控制。内部控制能有效防止、发现和纠正被审计单位差错和舞弊,如果内部控制不利,被审计单位财务报表中出现重大错报的可能性就会大大增加。内部控制包括控制环境、被审单位的风险评估过程、信息系统与沟通控制活动、对控制的监督。
审计风险的评估
审计风险的评估方法采用定量分析法与定性法分析相结合的方法,在下面的审计风险评估中,我们采用了因素分析法、①审计风险模型法、分析性复核等方法。
(一)企业经营风险的评估
企业经营风险评估的目的主要是为了确定企业的总体层次和认定层次的发生重大错报的可能性,传统的风险评估注重于对账户余额和交易层次风险的评估,在现代风险导向审计下,是从经营风险的评估入手,评估企业可能产生的重大错报和漏报。目前审计人员的一般做法是:在各种情况都比较好的情况下,企业经营的水平应该高于50%;反之,如果有某种迹象表明有可能存在重大错误,就应该将企业经营风险定为非常高的水平,甚至100%。评估企业经营风险的3个具体步骤如下:需要考虑企业经营风险的构成要素及其企业经营风险评估指标;各要素所占的权重以及各要素本身风险值的大小;最后将各要素风险值与其权重加权平均计算出企业经营风险值。即企业经营风险=∑xiyi/∑Pyi,其中,x表示各指标(要素)本身风险值的大小,y表示各指标(要素)所占的权重,而P表示各指标(要素)本身风险的最大值(为一常数)。下面举例说明企业经营风险评估的具体实施。
步骤一、经过对企业经营风险要素的识别,从指标体系中,选择一部分指标来进行计算。它们是企业长期偿债能力指标,盈利能力状况指标,资产营运效率、安全边际指标,顾客满意度,市场占有率,主营业务市场份额等。
步骤二、确定每个指标的取值A=企业长期偿债能力,B=盈利能力状况,C=资产营运效率,D=安全边际,E=顾客满意度,F=市场占有率,G=主营业务市场份额,H=研究开发新产品周期,I=合格产品比率,以上指标取值均为1—5分。
其中1分表示企业盈利能力非常强、资产营运效率非常高、安全边际程度非常高、顾客满意度非常高、市场占有率非常高、主营业务市场份额非常大,研究开发新产品周期非常短、合格产品比率非常高。5分表示企业盈利能力非常弱、资产营运效率非常低、安全边际程度非常低、顾客满意度非常低、市场占有率非常低、主营业务市场份额非常小,研究开发新产品周期非常长、合格产品比率非常低。运用专家意见法,通过反复多次征求专家意见,形成基本一致的意见。根据专家的意见,假设每个指标取值如下:A=3B=3C=3D=3E=2F=5G=4H=2I=2
步骤三、运用矩阵技术,得出9个参数的相关重要性(即各自的权重,见表1。需说明的是,本举证仅利用了一个简单的多元比较,而未采用高等数学中矩阵来求解。矩阵中每一数字表示该数字所载列的参数相对于该数字所在行的参数的相对重要性(主要取决于审计人员的职业判断)。相关加数值(即各自的权重)是由其上一行的平方根除以4得出。因此,可以计算出个指标的权重如下:步骤四、计算企业经营风险根据公式:企业经营风险=∑xiyi/∑Pyi可知,企业经营风险=(1*3+2*3+3*5+3*1+2*1+5*3+4*2+7*2+7*2)(/1*5+2*5+5*5+1*5+1*5+3*5+2*5+7*5+7*5)=80/145=55%
(二)企业控制风险的评估
控制风险是被审计单位内部控制要素效果的函数。审计人员无法改变控制风险水平,仅能评价控制系统和评估未能揭示出错报的概率。如果存在以下几种情况:(1)控制政策与程序与认定不相关;(2)控制政策和程序无效;(3)取得证据来评价内部控制显得不经济。那么审计人员可以将控制风险定为100%,直接进行实质性测试。如果审计人员将控制风险定为100%以下的某一水平,则要执行下面的步骤来评估控制风险的水平。
1.根据识别初步评价控制风险
审计人员在评估控制风险时,先了解相关的内部控制流程,识别相关的控制风险,对控制风险水平作一个初步的评估。了解内部控制时,主要从以下方面考虑:(1)每一结构要素中制度和程序如何设计;(2)这些制度和程序是否得到执行。考虑这两个因素的基础上结合控制风险识别的结果对控制风险做出初步评估。
2.通过控制测试降低估计的控制风险水平
审计人员决定通过有效方法进一步降低控制风险的估计水平时,可以设计追加的测试程序来进行,包括3种方法:重新执行、进一步观察和文件测试。审计人员进行测试时,应该对3个层次的内部控制进行测试,即对最高层、中层和最低层内部控制进行测试。由于内部控制的运行效果可以通过实施控制测试来更好地了解,所以大多数审计人员在没有实施控制测试时都不愿意将控制风险评估为低于最高水平。
3.控制风险的计量
内部控制是一个系统,按层次可分为3个控制层次,即最高层、中层和基层控制。每一个层次都是一个子系统,3个层次中的每个层次的可靠性程序决定着整个内部控制的可靠性。控制风险为:C=1-P;P=P1*P2*P3其中,C表示控制风险,P表示内部控制的可信性,P1、P2、P3分别表示最高层控制的可信度、中层控制的可信度和基层控制的可信度。首先,对最高层控制所设计的控制风险指标包括权力决策人员知识结构、能力结构达标率。这些指标越高,则内部控制设计相对较为健全,控制风险较小。在中层控制流程上,所运用的指标主要为评价管理部门设立的全面性、互为牵制作用性指标,当这一指标越高时,即管理部门的设计越全面,各职能部门之间能起到很好的牵制作用,则控制风险就可能会小些。在基层控制流程上,评估控制风险的指标主要有一定会计期间内的岗位轮换率,业务操作的换人复核率,稽核程序执行率,稽核统计差错率,稽核重大事项的及时报告率等。当这些指标比率较高时,控制风险相对较小。上述控制风险评估的计量结果与控制测试的测试结果相结合,就可具体地评估出控制风险。
(三)检查风险的评估
检查风险是审计程序的有效性和审计人员运用审计程序有效性的函数。检查风险是必然存在的风险,其水平的高低与被审计单位无关,而与审计程序的有效性有关。审计人员能够控制检查风险,但受审计资源、审计时间等要素制约,以及审计人员出于成本效益的考虑,检查风险不能根除。与企业经营风险和控制风险不同,检查风险是根据审计风险模型的公式计算出来的,即:检查风险=审计风险/企业经营风险*控制风险检查风险的实际水平随着审计人员实施实质性测试的性质、时间和范围的变化而改变。
结束语
按照信息经济学的信息不对称理论,注册会计师只能根据公司治理结构的信号传递机制,来判断其治理结构是否有效,评估公司治理层面的控制风险。内部控制的三个关键要素是人员、资金和信息。因此,注册会计师对公司治理层面控制风险评估,应该以控制理论中的三个基本要素为主,在此基础上考虑其他影响公司治理控制系统的因素,全面评估公司治理结构的制度安排及其运行效率。
1.公司治理组织结构及其运行风险的识别及评估。首先,注册会计师应该对公司治理组织结构健全性评估:股东会的建立及其相应的制度机制是否按照所有股东意愿进行安排,是否代表了所有股东的共同利益。这是公司治理顶级层面的内部制度安排,是公司治理结构中统揽全局的重要组成部分。它决定着监事会以及董事会的设置与运行,是传递给注册会计师的首要信号。其次,注册会计师应该对公司治理组织运行有效性进行评估。即股东会是否按照制度安排正常运行,股东会在公司治理层面上建立的组织是否有效地管理、监督、制衡了经营者的经营活动。
2.资金监控风险的识别及评估。资金监控应单独作为一项考查内容,列入公司治理控制风险评估体系。其所传递的信号直接决定了在会计报表审计过程中的审计重点。首先,应该审查企业是否已经建立了必要的资金监控机制,相应的政策和程序是否存在。在决策过程中实施资金监控,将资本性支出决策权、预算审批权、资金调度权在股东会与董事会之间建立制衡机制,形成权力边界,以保证决策的科学性和资金的安全性。其次,对资金监控机制有效性进行评估。检查股东会对董事会以及高级管理层资金运用的监控机制是否有效,近期内的重大投资项目是否经过股东会的通过,可行性论证是否科学。
3.治理信息传递风险的识别及评估。公司治理信息传递机制是直接影响治理层面控制风险的因素,通过这一机制的评估,可以使注册会计师了解治理层面基本运行情况以及存在的潜在问题。由于董事会信息传达直接关系到最终投资者的利益,所以注册会计师应该把董事会这个信息枢纽中心作为信息传递风险评估的关键环节。会计信息从管理层生成、加工到呈报董事会,使之如实披露报告。监事会应该能够直接检查公司财务状况,并及时听取董事会尤其是审计委员会的报告,监督的信息应及时报告给股东会。
4.公司治理效率的综合评估。以上所分析的三个方面是影响公司治理层面控制风险的重要因素,三者相互连接,相互作用,构成公司治理层面控制的有机整体。所以在对上述三方面进行评估之后,要对公司整体的治理效率进行综合评估。公司治理组织结构的健全及其有效直接影响了资金监控以及治理信息的传递,同时资金监控机制以及治理信息传递机制体现了公司治理结构的健全有效性,能够促进和推动治理结构的优化和完善。注册会计师只有以公司治理效率的综合评估为基础,才能量化公司治理层面的控制风险,才能纳入审计风险评估体系中。
二、公司治理基础上风险评估机制完善的基本实施路径
(一)建立公司治理评价标准体系,实施公司治理评价
自20世纪90年代提出公司治理概念以来,学术界积极地研究公司治理评价的技术分析。目前,已有众多的研究组织和咨询机构都从不同的角度提出了可行的公司治理分析评价技术模型,并得到了一定程度的运用。这些治理评价手段可以帮助审计师在实施基本审计程序前进行先导性治理分析,从而以治理为导向有效开展审计工作。当前主要的评价标准体系见表1(崔如波,2004)。通过了解被审计单位及其环境,运用公司治理评价标准体系,评价公司治理效果,最终评价公司剩余经营风险和公司治理层、管理层的诚信度等,从而评价相关受托经济责任的全面有效履行状况,以确定公司治理是否影响财务报表的公允反映及影响程度。
(二)利用业务循环进行风险因素的分析
审计风险源于会计报表存在重大错报,而审计人员发表了不恰当的审计意见的可能性。审计人员通过对各报表项目的审计来发表对整个财务报告的审计意见,审计的起点可以是从内控制度评价开始也可以直接从重大错报风险评估开始。因此只有将风险评估的结果具体落实到账户的认定层次,才能发现风险(因素)同认定层次可能发生的错误相联系的关键原因。同时,新的审计风险理念要求审计人员从企业自身及环境等较为宏观的视角出发寻找可能的风险因素。基于上述分析,利用业务循环作为风险评估的“中观”环节,建立起从较为宏观的风险因素识别到微观的认定层次重大错报风险确定之间联接的桥梁。在引入业务循环评价重大错报风险时,首先,审计人员在准则的指导下了解了企业及其环境的信息后,可以考虑某一因素是否会对该企业某一个或几个业务循环产生影响,怎么影响,程度如何。即先将各风险因素分配到业务循环中,在业务循环层次上筛选和分析风险因素,由此将风险具体化,进行初步的风险评估。再深入到该具体业务循环的各个相关、对应账户(即账户群)中,进一步分析该循环受到风险因素的影响会如何具体作用在循环中的各相关账户和认定上,是否会造成某几个账户的重大错报风险。最后,由于每个业务循环包含的账户可能交叉重叠,因此在穷尽了每个可能对业务循环造成影响的风险因素,并分析了各循环受到的影响对于具体账户和认定的作用之后,我们需要再以各单独账户为对象,综合该账户可能受到的来自各业务循环的相关风险因素的所有影响,从而最终得到认定层次上重大错报风险的评估结果。
(三)基于审计风险分析,评估财务报表重大错报风险
注册会计师为了对财务报表发表审计意见,在评价公司治理时,应着眼于与财务报表公允反映相关的公司治理。根据公司治理评价,评估财务报表重大错报风险时,应侧重于考虑以下方面:
1.剩余经营风险。剩余经营风险代表公司治理没能实现预期经营目标的可能性,当存在较大的剩余经营风险时,公司管理层甚至治理层将存在较大的财务舞弊动机和压力,被审计单位将存在较大的财务报表重大错报风险。
2.治理层和管理层的诚信度。其可能源于治理层和管理层原有的诚信度,也可能由于公司治理本身存在重大缺陷,使得原本诚信的治理层和管理层丧失了诚信性。通过评价该诚信度,估计治理层和管理层发生财务舞弊的可能性。
【关键词】传统风险导向审计现代风险导向审计风险评估策略审计风险
一、引言
传统风险导向审计和现代风险导向审计是风险导向审计模式发展的两个不同阶段。传统风险导向审计和现代风险导向审计均以风险评估为起点,同时都将风险与控制方法贯穿运用于审计全过程,使审计过程成为一个不断克服和降低审计风险的过程。因此传统风险导向审计和现代风险导向审计两种审计模式在风险评估策略上存在一定的相同之处,但同时更多地体现出了差异。鉴于两种审计模式的风险评估策略较易被混淆,本文拟对两种审计模式的风险评估策略作一比较,对两者差异加以初步探讨。
二、传统风险导向审计和现代风险导向审计涵义
(一)传统风险导向审计传统风险导向审计也称为控制风险导向审计[1]。审计模式发展到传统风险导向审计的标志性事件是AICPA在1983年了第47号《审计准则公告》(SASNo.47)——“审计业务中的审计风险和重要性”,首次提出了审计风险模型。传统风险导向审计是指审计人员在审计过程中将风险分析、评价与控制融入传统审计方法(账项导向审计和制度导向审计)之中,进而获取审计证据,形成审计结论的一种审计取证模式。传统风险导向审计的基本程序并没有脱离制度导向审计模式,但它在制度导向审计模式的基础上更加注重风险评估和风险管理。针对制度导向审计不直接处理审计风险,不能对审计风险进行量化的缺点,传统风险导向审计引入审计风险模型,通过该模型将从各种渠道所收集的证据联系了起来,并在此基础上对审计风险进行定量评估,将审计资源相对合理的分配到高风险领域。(二)现代风险导向审计
现代风险导向审计也称为经营(商业)风险导向审计、风险基础战略系统审计。1997年,Bell和Frank发表了名为《通过战略系统的视角对组织进行审计》的研究报告,首次提出了毕马威的BMP审计模式,这标志着现代风险导向审计的产生。现代风险导向审计是审计技术方法在系统和战略管理理论基础上的重大创新,它以被审计单位的战略经营风险为导向,通过“战略分析——流程分析——经营业绩评价——财务报表剩余风险分析”的基本思路,将报表重大错报风险和经营风险联系了起来,从而提出了审计师从源头分析和发现会计报表错报的观念[2]。现代风险导向审计针对传统风险导向审
计风险评估不到位,未能有效发现高风险审计领域,造成审计过量或审计不足的缺点,大大加强了风险评估程序,做到了以风险评估中心,真正体现了风险导向审计的理念。
2003年10月国际审计和保证准则委员会(IAASB)了国际审计准则第315号(ISA315)“了解被审计单位及其环境并评估重大错报风险”,将传统风险导向审计下的审计风险模型修改为:审计风险=重大错报风险×检查风险,明确规定了审计工作以评估财务报表重大错报风险作为新的起点和导向。这就导致了实务中普遍运用的现代风险导向审计在审计风险模型和审计具体风险导向等上和准则规定产生了一定的差异。鉴于这一点,特别指出本文所称的现代风险导向审计是指国际会计师事务所在实务中运用的以战略经营风险为导向的现代风险导向审计。
二、传统风险导向审计和现代风险导向审计风险评估策略比较
风险评估是指对审计风险的评估。美国注册会计师协会(AICPA)认为审计风险是指审计人员对于存在重大错报的财务报表未能适当发表意见的风险[3]。风险评估的目标就是确定
高风险环节,从而确定审计的范围和重点,并进一步确定如何收集、收集多少和收集何种性质的证据,以便更有效地控制和提高审计效果及审计效率。策略,是根据形势发展而制定的行动方针和方法。借鉴中注协(1997)对审计策略的定义,笔者将风险评估策略定义为审计人员根据确定的风险评估范围,选择能够达到风险评估目标而应当实施的最有效风险评估程序的基本思路、组织方式和具体方法。在本文中,笔者从风险评估导向、风险评估范围、风险评估程序、以及风险评估具体方法四个方面来比较两种审计模式的风险评估策略。
(一)风险评估导向
虽然国际审计准则规定,在传统风险导向审计下审计人员首先应当对财务报表整体层次和交易类别、账户余额认定层次的固有风险进行评估,但由于固有风险和控制风险都受内外部环境的,两者很难区分,因此审计人员通常难以对固有风险单独做出准确评估。又鉴于稳健性原则的考虑,实务中审计人员往往将固有风险简单地确定为高水平,从而将风险评估重点锁定在控制风险上。因此在实务中,传统风险导向审计实际上是以对控制风险进行的评估为切入点的,所以传统风险导向审计是以控制风险为导向的。
现代风险导向审计强调:审计人员的审计风险[i]主要来源于企业财务报表的错报风险,而企业财务报表的错报风险则主要来源于整个企业的战略管理风险和经营活动风险[4]。所以要充
分理解审计风险,审计人员就必须从企业的战略分析入手,充分识别企业内、外部风险并理解内外部风险对财务报表认定的影响。因此,现代风险导向审计并不直接从对固有风险的评估入手,而是间接地以被审计单位的战略经营风险为导向,通过综合评估战略经营风险从而确定财务报表剩余风险,并进一步确定实质性测试的范围、时间和程序。因此,现代风险导向审计是以战略经营风险为导向的。(二)风险评估范围
在实务中运用传统风险导向审计时,审计人员往往忽略对固有风险的准确评估,而将固有风险简单地确定为高水平。因此在传统风险导向审计下审计人员往往不注重从宏观层面上了解企业及其环境(如行业状况、监管环境;企业的性质;企业的目标、战略、以及可能导致会计报表重大错报的相关经营风险;对企业财务业绩的衡量和评价)[5],而只关注企业的内部
控制。因此,在传统风险导向审计方法下,审计人员实际上只仅仅依赖对控制风险所作的粗放型评估来直接、大致确定检查风险水平。
现代风险导向审计要比传统风险导向审计站得更高,看得更远,对企业了解得更透。它将被审计单位置于广泛的系统中,认为有效的审计需要对企业所处的宏观经济环境和行业环境、战略目标和措施、影响企业目标实现的主要业务活动和关键经营环节以及剩余风险进行深入的了解。在现代风险导向审计下审计风险仍然由固有风险、控制风险和检查风险三要素组成,审计人员也同样要对固有风险和控制风险进行评估。但是相比传统风险导向审计,现代风险导向审计下“固有风险”的内涵扩大了,除了包括会计报表项目本身的风险外,更多地考虑了企业的经营风险。而且在现代风险导向审计下,企业内部控制已经发展到内部控制框架阶段,并有被企业全面风险管理框架取代的趋势,相比传统风险导向审计下的内部控制结构概念,现代风险导向审计下对控制风险进行评估时考虑的因素则更加全面了。
(三)风险评估程序传统风险导向审计风险评估的基本程序可表示为:固有风险评估了解被审计单位的内部控制结构控制风险初步评估控制测试(可选)控制风险综合评估确定检查风险。审计人员在对固有风险进行评估时主要考虑以下因素:管理人员的品行、能力、变动情况和遭受异常压力的情况;客户业务特征;关联方;非常规交易;以前审计结果等。但由于种种原因,实务中审计人员往往忽略对固有风险的准确评估,通常的做法是将固有风险简单地确定为高水平,而将风险评估的重点放在控制风险上。审计人员在对被审计单位的内部控制进行了解时,首先从控制环境入手,再对制度和控制程序进行分析。分析控制环境时主要考虑以下因素:管理和经营作风;组织机构;董事会及审计委员会职能;人事政策和程序;确定职权和责任的等。然后审计人员基于当前对内控的了解对控制风险水平进行初步评估(计划估计水平)。如果审计人员将某一控制的控制风险初步评估为最高值,则对该控制不需执行控制测试而直接进入实质性测试阶段;但如果审计人员将某一控制的控制风险评估为低于最高值时,则就需要对该控制执行控制测试,从而来获取证据以支持低于最高值的风险水平。控制测试完成以后,审计人员对被测试控制的控制风险进行再次评估(最终估计水平),并根据最终估计水平来决定相应的检查风险水平。风险导向审计风险评估的基本程序可用下图表示。如图所示(由于不能粘贴,此处图略),审计人员首先需要对客户的战略进行分析,分析时需要对客户的内外部环境进行了解,包括客户行业状况、监管环境以及其他外部因素(宏观环境等);被审计单位的目标、战略以及面临的经营风险;对威胁企业战略的风险做出的反应等。对客户的战略进行分析后即可对战略风险做出评估。现代风险导向审计下内部控制被分为管理控制(战略控制、高层控制)和流程控制(一般控制、员工控制)[6],在对客户的战略进行分析时同时要对战略控制进行了解并进行评价。然后审计人员对客户的流程进行分析,分析时可从流程目标、投入、作业、交易类型、威胁流程目标的风险等八个维度来了解流程情况[7]。通过流程分析可
以了解客户创造价值的方式、竞争优势及劣势、威胁,从而来评估流程经营风险。在对客户的流程进行分析时同时要对流程控制进行了解并进行评价。在对战略经营风险和流程经营风险进行评估时特别要注重对舞弊风险的评估。然后在此基础上来对固有风险进行初步评估,在评估时除了要重点考虑经营风险可能引起的重大错报之外,还要考虑其他可能引起重大错报的因素(管理当局遭受的异常压力等)。审计人员在对客户的战略和流程进行分析时已经从企业整体层次对内部控制进行了了解(战略控制和流程控制)并做了评价,在这个基础上还要对内部控制的其他方面进行了解并给予评价,特别是要关注有关交易重要类别的控制。基于对内部控制充分的了解,审计人员然后对控制风险进行初步评估。由于固有风险和控制风险都受企业内外部环境的,两者之间存在着紧密的联系,因此审计人员在单独对固有风险、控制风险进行初步评估的基础上还须对两者进行综合评估,即固有风险和控制风险的联合。对联合风险的评估是审计工作的核心,因为接下来其余的审计工作都要围绕联合风险来进行,联合风险的评估结果是审计人员决定实质性程序性质、时间以及范围的基础[8]。然后审计人员对值得信赖的控制进一步执行控制测试,从而来获取支持其较低控制风险水平的证据。最后根据控制测试结果并结合联合风险评估水平,审计人员对会计报表重大错报风险进行综合评估,从而来确定会计报表剩余风险(即检查风险),并进一步决定实质性程序的性质、时间以及范围。(四)风险评估具体方法风险评估的方法主要有观察、检查、函证、询问、穿行测试、分析性程序等多种审计取证手法。虽然传统风险导向审计客观上要求大量使用分析性程序来进行风险评估,但由于实务中审计人员往往忽略对固有风险的准确评估,因此限制了分析性程序的运用范围。而且传统风险导向审计对于信急的再加工重视程度不够,分析性程序主要适用在报表分析上[9]。而在现代风险导向审计下,风险评估以分析性程序为中心,分析性程序成为最重要的程序。而且随着分析性程序功能的不断扩大,分析性程序开始走向多样化,审计人员不仅对财务数据进行分析,同时也对非财务数据进行分析。由于分析性程序的多样化运用,大量的分析工具以及现代管理方法被运用到分析性程序中去。如在战略分析时审计人员运用了PSET分析和POPTER分析方法;在流程分析时运用到了价值链分析(VCA))和波士顿矩阵(BCG)以及SWOT分析方法;绩效分析时运用到了平衡积分卡(BSC)和标杆管理(Benchmarking)分析技术[10]。将分析工具运用到风险评估中使得风险因素不再独立,而且风险评估不再是一元评估,而是多元评估,因此风险评估的结果将更加可靠。
三、结论
1.风险评估导向不同:
虽然国际审计准则规定传统风险导向审计应以固有风险为切入点,但在实务中传统风险导向审计实际上是以控制风险为导向的;而现代风险导向审计则是以战略经营风险为导向的。
2.风险评估范围不同:
审计人员在实务中运用传统风险导向审计时往往会忽略对固有风险的准确评估,只通过对控制风险所作的粗放型评估来决定实质性测试的性质、时间和范围;而现代风险导向审计下审计人员除了要对传统的固有风险,即会计报表项目本身的风险进行评估之外,更多地是要考虑企业的经营风险,特别是注重对舞弊风险的评估[11]。同时由于内部控制概念内涵的扩
标志着适应我国市场经济发展要求,与国际惯例趋同的审计准则体系正式建立。
一、传统风险导向审计的缺陷
传统风险导向审计的审计风险包括固有风险、控制风险和检查风险。审计风险是由会计师事务所风险管理所确定的,谨慎从事的会计师事务所往往将其确定为低水平,固有风险和控制风险与企业有关,注册会计师通过了解被审计单位和控制测试,确定检查风险,设计和实施实质性程序。传统风险导向审计从理论上解决了制度基础审计方法的缺陷,要求将审计资源分配到评估固有风险、测试内部控制和实施实质性程序,使审计效率与效果有了实质性的提高,但它还不是一种新的审计基本方法,它实质上是制度基础审计方法的发展,其在理论与实务两方面都存在着固有的缺陷。
(一)从理论上分析
传统的审计风险模型其实是假设固有风险、控制风险和检查风险之间相互独立。但固有风险和控制风险都受企业内外部环境的影响,两者之间还相互影响。因此,随着企业与内外部环境联系紧密性的增强,这一假设的可靠性越来越受到质疑。并且大部分审计程序都是多重目的,都对会计报表是否有重要错报有信息含量。因此Bell等甚至质疑检查风险是否可以与固有风险和控制风险区分开来。在传统风险导向审计模型下,一些学术界和实务界人士将注册会计师发现会计报表重要错报的问题与报告会计报表重要错报的问题混为一谈。
(二)从实务上分析
传统风险导向审计忽视固有风险的评估。由于固有风险的评估主观性较强,且不容易评估,因此在编制具体审计计划时,注册会计师应当考虑固有风险的评估对各重要账户或交易类别的认定所产生的影响,或者直接假定这种认定的固有风险为高水平。在实务中,许多事务所不重视固有风险的评估,审计起点退至了解和测试内部控制。由于内部控制具有固有的局限性,因此,审计风险增大。
二、传统风险导向审计与现代风险导向审计的比较
(一)理论依据的改变
传统风险导向审计主要依据的是审计理论;而现代风险导向审计的理论依据有战略管理理论、系统理论、舞弊动因理论和审计理论。当今世界急剧变化,科学技术也是日新月异,作为其中一份子的企业的风险也是达到了前所未有的高度。因此,仅仅依靠审计理论作为指导依据是远远不够的,而现代风险导向审计理论依据范围与内涵的扩展便适应了经济技术的发展要求。
(二)审计风险模型的扩展
传统风险导向审计的风险模型:审计风险=固有风险×控制风险×检查风险。现代风险导向审计的风险模型:审计风险=重大错报风险×检查风险;重大错报风险=固有风险×控制风险;检查风险=分析程序风险×细节测试风险;因此,审计风险模型演变为审计风险=固有风险×控制风险×分析程序风险×细节测试风险。
现代风险导向审计通过修订审计风险模型,拓展审计证据的内涵,强调了解被审计单位及其环境,包括内部控制,以充分识别和评估财务报表重大错报的风险,针对评估的重大错报风险设计和实施控制测试和实质性程序。通过综合评价被审计单位的情况以及战略以确定审计测试的性质、时间和范围,审计的起点为被审计单位的情况以及战略,这样注册会计师很容易全面掌握被审计单位可能存在的重大风险,避免了只见“树木不见森林”的尴尬局面。
(三)风险评估重心的转变
传统风险导向审计的风险评估重心是控制风险,直接评估审计风险,现代风险导向审计的风险评估重心前移,从了解客户战略经营环境、评估经营风险、剩余风险入手,由控制风险向联合风险转移,从侦查管理层舞弊的角度出发,注册会计师直接评估固有风险和初步控制风险的联合风险。在传统风险导向审计的基础上大大加强了风险评估程序,真正体现了风险导向审计的理念。
(四)风险评估方法的改变
首先,现代风险导向审计对风险的评估由直接评估改为间接评估。传统风险评估直接评估重大错报的概率,也就是直接对审计风险进行评估,而现代风险导向审计不再直接对审计风险进行评估,而是从经营风险评估入手。
其次,分析性程序成为风险评估的中心。传统风险导向审计对于信息的再加工重视程度不够,分析性复核主要适用在报表分析上,现代风险评估以分析为中心,分析性复核成为最重要的程序,为了适应分析性复核功能扩大的要求,分析性复核开始走向多样化,不再是对财务数据进行分析,也对非财务数据进行分析。分析工具也充分借鉴现代管理方法,将管理方法运用到分析性程序中去,如战略分析、绩效分析、财务分析、会计分析及前景分析。将分析工具运用到风险评估中去,将使风险因素不再独立,且不再是一元评估,而是多元评估,几种方法相互印证,使风险评估的结果更加可靠。
最后,风险评估结构的转变。现代风险导向审计将战略分析引进审计,对风险的评估从零散走向结构化,风险分析结构化最大的好处:考虑了多方面的风险因素;这些因素有机联系在一起,便于综合风险评估。
(五)注册会计师专业知识重心的转移
注册会计师以会审知识为中心转向管理知识、行业知识为中心,由于审计重心转移,审计结果主要依赖风险评估,而不是审计测试,而风险评估采用的各种风险分析方法都是现代管理知识在审计中的运用,而且这种运用必须以行业知识为基础。可见,现代风险导向审计对注册会计师素质提出更高的要求,要求注册会计师必须术业有专攻,必须掌握一些常用的分析工具,并接受行业知识训练。
(六)审计测试程序的改变
传统审计程序标准化,这种标准化审计程序存在很大问题,既不能对症下药,没有贯彻风险导向审计思想;又使得注册会计师无法突破客户预先设置的障碍或防范措施。现代风险导向审计的审计测试程序个性化,克服了传统审计测试的缺陷,针对风险不同的客户、客户不同的风险领域,采用个性化的审计程序。由于现代风险导向审计测试计划是基于注册会计师的风险评估结果,且不同的客户显然存在不同的风险,因此审计测试程序必然会“因人而异”。
(七)“自上而下”与“自下而上”相结合
传统风险导向审计从控制风险评估入手,视野过于狭窄,并主要依赖实质性测试,这种自下而上的方式过于注重会计的形式。现代风险导向审计在吸收了其他审计方法的优点的同时,密切地关注企业的主要战略目标、管理层对风险的容忍程度、以及企业内部各项风险评价指标等情况,从审计风险产生的源头来识别和评价风险,先“自上而下”对报表形成预期,根据预期确定审计重点,再“自下而上”,将实际审计结果与预期相比较,对企业的情况有了更深入、全面的了解,从而能更准确分配审计资源,保证审计的质量。
(八)审计证据的变化
传统风险导向审计大多从管理层获取审计证据;在现代风险导向审计模式下,由于审计重心向风险评估转移,注册会计师必须充分了解客户整体战略经营环境,并由此出发评估客户的经营风险和审计风险,因此,必须取得大量的外部证据来证明风险评估的恰当性,外部审计证据的增加,内涵扩大,包括了解企业及其环境的证据,注册会计师可以从一般员工或供应商、销售商等获取审计证据,这是针对管理层舞弊的有效侦查措施,业内人士和专业咨询人士的意见也可以作为对注册会计师审计专业判断的补充。
由以上分析可看出,传统风险导向审计只关心注册会计师自身所面临的风险,只关心控制风险、检查风险和固有风险。现代风险导向审计则更进一步,不仅关注审计风险,还关注经营风险。为了分析被审计客户的经营风险,注册会计师必须深入被审客户,理解其运行模式,其所面临的短期以及长期经营风险,并基于此向管理层提供对影响企业经营的所有因素的独立评估报告。在传统风险导向审计中,注册会计师与被审计客户在财务报表审计过程中处于对立面,各自只是从自己的角度,提出不同的观点。而在现代风险导向审计中,注册会计师与被审计客户处于平行地位,以同一目标为导向考察企业的经营状况。
综上所述,笔者认为现代风险导向审计是审计模式发展的必然趋势,我国目前存在着诸多推行现代风险导向审计的有利因素,同时法律环境、公司治理等问题也存在着不利因素,但这些并不能因此阻碍审计模式的发展,而是需要同步完善。
参考文献:
1、郑朝晖,装广堂.审计模式发展探析[J].中国注册会计师,2004(1).
2、胡春元.风险基础审计[M].东北财经大学出版社,2000.
3、姚焕然.事务所开展风险导向审计的五个基础[J].中国注册会计师,2006(2).
4、王咏梅,吴建有.现代风险导向审计发展及运用研究[J].审计研究,2005(6).
一 CPA思想认识上存在的问题
在新准则推行期初,许多CPA存在一种对新事物本能的抵触情绪,怀疑、曲解、甚至否定。新准则推行后,又由于一些CPA被新准则的庞大体系和精深内涵所迷惑,加之自身对准则学习、认识和理解不足,产生畏难感,从而使得相当多的CPA对新准则观望、等待甚至抵制,增加了推行新准则的难度、成本和时间。
从近两年执业质量检查的情况可以看出,许多CPA对风险导向审计程序的认识至今仍是一知半解甚至仅略知一二,未掌握如何正确履行风险评估程序,比如,不知道应具体从哪些方面了解以及如何了解被审计单位及其环境,不知道如何从整体层面和业务流程层面来了解和评价被审计单位的内部控制,不知道如何根据了解的情况对被审计单位进行风险评估。在编制工作底稿时,能够获取信息或资料的就填一点,不能获取的就空在那里,使得对风险评估的审计程序时断时续,不成体系;或者获取了一些信息或履行了一些审计程序,却往往没有结论,即使有结论却抓不着重点、找不到关键,不清楚如何根据了解和掌握的信息对被审计单位可能存在的审计风险进行评估'更不知道如何根据评估的审计风险确定重点审计领域并指导实施进一步审计程序。风险评估程序成为了应付执业质量检查的形式主义。
此外,许多CPA对认识风险导向审计的本质内涵存在两个误区:
误区一,认为风险导向审计之所以可以节约审计资源,就是因为有风险的领域才审,没有风险的领域可以不审,所以,实施风险导向审计仅需审计评估后有风险的领域;
误区二,认为由于不管有无审计风险,所有的报表项目都必须实施实质性程序,所以,不如不实施风险评估程序而直接实施实质性程序。
二、CPA审计实务中存在的问题
(一)一知半解,无从下手
一些CPA对风险导向审计的理论实际上仅是一知半解,真正需要其动手实施风险评估程序时往往又无从下手。
一方面,通过培训和实践'绝大多数CPA在理论上知道应该从哪几个方面去了解被审计单位及其环境,但真正到实务操作时,许多CPA还是知其一不知其二,不知道应具体从哪些渠道究竟应实施哪些审计程序不知道哪些信息和因素可能会对被审计单位产生何种重大错报风险,更谈不上如何分析可能产生的重大错报风险。
另一方面,一些CPA尽管收集了与被审计单位生产经营有关的大量信息,但不懂得如何梳理和寻找对被审计单位可能产生重大影响的信息。不知道如何分析和评估有关信息对被审计单位财务报表可能产生的重大影响,特别是如何评估出可能产生的经营风险和重大错报风险,或者就是发现了经营风险和重大错报风险,但又往往不知道如何确定总体应对措施以及设计和实施进一步审计程序。并且由于所收集的信息来源广泛,一些CPA往往不对也不懂对资料进行必要的分析和取合。
再一方面,一些CPA对在整体层面和业务流程层面对被审计单位内部控制应该分别了解的要求和内容缺乏清晰认识;还有一些CPA不知道究竟应该如何正确划分业务循环,不知道如何按照各业务循环对被审计单位业务流程层面的内部控制进行了解和评价,更有一些CPA即使面对了解到的在整体层面和业务流程层面对被审计单位可能产生重大错报风险的信息,但往往也不知道如何进行利用、分析、编制风险评估的工作底稿并指导后面的进一步审计程序。
(二)形式主义、敷衍应付
尽管一知半解,对风险评估程序无从下手,但大多数CPA还是勇敢“下手”了,那实际“下手”的情况究竟如何呢?
从笔者对一些CPA执行风险评估程序实际现场情况的调查发现,许多审计项目常常是前面的风险评估程序还没有完工,后面的进一步审计程序就已经收工。整个审计项目完成后,表面看,审计工作底稿似乎履行了风险评估程序,但实际上根本谈不上在评估审计风险的基础上去导向、指引后面的进一步审计程序,是典型的形式主义。
还有一些CPA,在先行完成了进一步审计程序后,为了使得工作底稿具备风险评估的内容,仅是在工作底稿归档前象征性地搞一些风险导向审计的内容,这本质上就是弄虚作假。一些CPA执行风险评估各阶段的审计程序常缺乏连贯性,工作底稿之间没有任何关联,了解的具体情况与风险评估之间、风险评估与应对措施之间往往总是严重脱节。底稿看似规范,但风险评估与进一步审计程序缺乏关联和衔接。更有部分CPA只是按照固定格式的风险评估的工作底稿填空,机械甚至麻木地在对被审计单位的调查表格上打钩、打叉,根本不理解并去真正了解和调查具体情况。
上述种种问题,从CPA自身角度分析,一方面是由于许多CPA对新准则没有能够完全学懂弄通,另一方面是因为我们的风险导向审计准则规定了风险评估审计程序必须实施,许多CPA在一知半解的情况下只好为了有风险评估的工作底稿而依样画葫芦,搞形式主义,敷衍应付,甚至弄虚作假。
三、解决风险评估审计程序执行问题的思路
(一)正确认识新审计准则的三大变化
笔者认为,首先要解决对新准则理解和认识上存在的问题。在老准则下,许多CPA已习惯于将被审计单位的会计账簿作为唯一的审计对象和审计范围,所实施的审计程序也是围绕会计账簿、凭证和会计处理方法等数据方面的内容,但必须注意的是,新准则下的审计对象、审计范围和审计程序发生很大变化:
1 审计对象的变化
新准则不仅包括对会计数据的审计,而且还包括对会计数据可能产生重大影响的所有信息的了解和评价,CPA要能够通过对相关信息的了解、评价来评估审计风险,并据此计划和实施相应的审计程序。由此可见,新准则已把审计对象主要由会计资料扩展到对被审计单位财务报表可能产生重大错报风险的所有相关的领域、信息或事项。
2 审计范围的变化
CPA要了解和评估被审计单位的重大错报风险,不能仅考虑被审计单位的内部情况,还应该分析被审计单位的外部因素,即要能够分析和评估与被审计单位经营有关的外部因素对被审计单位财务报表的影响。所以,CPA要改变以往仅把审计视角放在被审计单位内部的习惯,要把审计视角和审计范围扩大到被审计单位外部,要善于分析与被审计单位经营有关的各种外部因素,以适应执行新准则的需要。
3 审计方法和审计程序的变化
新准则不仅要实施传统的以制度为基础的审计方法和审计程序,而且还要把审
计方法和审计程序扩展为包括了解、评价、评估、分析和测试等凡是能够发现被审计单位财务报表可能产生重大错报风险的所有的审计方法和程序,即CPA不仅要懂得传统审计方法,而且更要学会和熟悉与各类信息打交道的了解、分析和评估等方法和程序。可见,在新准则下,CPA的审计方法和审计程序也由原来单一的、平面的初级版变成综合的、立体的高级版。
(二)从五大方面改变对新准则的认识和执行
1 要从思想根源上切实改变审计理念
CPA务必树立新的风险导向的审计理念在整个审计的全过程中’CPA都必须围绕着:“寻找审计风险一评估审计风险一如何降低审计风险一风险有无降低”的主线展开。
即CPA必须先寻找并评估其是否属于重大错报风险,在对被审计单位存在的重大错报风险正确判断的基础上,再针对评估出的重大错报风险实施相应的审计程序,且所实施的审计程序必须能够将审计风险降低至可接受的低水平。
可能有人要问,什么是审计风险?审计风险源自何处?笔者认为,我们CPA的审计风险从根源上讲,就源于被审计单位对财务报表可能存在的因错误或舞弊而产生的重大错报风险,如果CPA的审计不能发现这些风险或对这些风险不能获取合理的保证,就形成了我们CPA的审计风险。
2 审计全过程要始终重点关注四大风险
可能又有人要问,被审计单位的重大错报风险究竟由那些方面组成呢?笔者认为,CPA在围绕审计主线开展审计的全过程中,就要始终并时刻重点关注这以下四大重大错报风险。
一是被审计单位在生产经营过程中可能存在的经营风险(从企业所处的行业环境和企业整体进行分析);
二是被审计单位在内部控制方面可能存在的内控风险(分别从内部控制的整体层面和业务流程层面分析);
三是被审计单位可能存在的舞弊风险,特别是被审计单位管理层、治理层凌驾于内部控制之上的舞弊风险;
四是被审计单位财务报表可能存在的列报风险。
3 注意审计对象和审计范围的改变
CPA不仅要改变以往就账查账的老习惯,而且更要把审计范围、审计对象及审计视野扩展到会计账簿以外,扩展到可能给被审计单位财务报表产生重大错报风险的所有的相关领域、信息或事项,包括能够从被审计单位外部获取的各类信息和证据,应重视对被审计单位财务报表可能产生重大影响的内、外部的各种信息。
4 注意审计方法和审计程序的改变
CPA要把传统的以制度审计为基础的审计方法和审计程序扩展为了解、评价、评估、分析和测试等凡是能发现被审计单位财务报表可能产生重大错报风险的所有方式方法和程序,特别是要学会对大量非数据信息的了解、分析和评估,即要能够从被审计单位内部和外部获取的各种文字信息中评估出对被审计单位财务报表可能产生的重大影响,特别是可能产生经营风险和舞弊风险等重大影响的信息。
【关键词】风险导向审计;主要特征;审计条件
现代风险导向审计是崭新的审计技术方法,它是审计技术方法的重大创新。它以被审计单位经营风险为导向,通过“战略分析―经营环节分析―剩余风险分析”的基本思路,将会计报表重大错报风险与企业经营风险之间的关系紧密联系起来,从而提出了审计人员从源头分析和发现会计报表重大错报的观念。
一、现代风险导向审计的主要特征的分析
与传统风险导向审计模式相比,现代风险导向审计将风险评估的范围从微观拓展到了被审单位的宏观背景下,审计理念有了质的飞跃。具体说来凸现以下特点:
1、从以审计测试为中心到以风险评估为中心。传统风险导向审计不能适应现代报表审计的需要,就在于其原有的风险评估不到位,未能有效发现高风险审计领域,造成审计过量或审计不足,现代风险导向审计大大加强了风险评估程序,真正体现了现代风险导向审计的理念。对风险的根源进行评估,从本质上看问题,才不会被问题的现象所迷惑,而做出错误的判断。也可以说基本完成了由被动审计到主动审计的转变。
2、由固有风险、控制风险二因素的风险评估转向重大错报风险的综合影响因素的分析评估。传统的审计风险模型是审计风险=固有风险×控制风险×检查风险。但是,随着企业与内外部环境联系的日益增强,引起审计风险的因素就不只局限于审计过程中了,被审计单位所处的宏观环境也会对审计风险控制产生重大影响,传统审计风险模型逐渐表现出其缺陷和不足。现代风险导向审计确定了新的审计风险模型:审计风险=重大错报风险×检查风险。新的审计风险模型是随着审计环境和审计实践的发展应运而生的,更符合审计的实际工作情况,有利于执行风险评估程序。
3、风险评估以分析性复核为中心。尽管风险评估包括检查、调查、询问、穿行测试等多种审计取证手法,但核心是分析性复核的运用。传统风险导向审计的分析性复核程序主要用于财务报表分析,往往会忽略非财务信息;现代风险导向审计的指导下,分析性复核开始走向功能上的多样化,不再是只对财务数据进行分析,对非财务数据的信息也进行分析,而且要将现代管理方法中的某些先进的分析工具运用到工作当中去。
4、审计测试程序个性化。传统审计程序标准化,这种标准化审计程序存在很大问题,一是不能对症下药,没有贯彻现代风险导向审计思想;二是无法突破客户预先设置的障碍或防范措施。审计测试程序个性化就是为了克服传统审计测试的缺陷,针对风险不同的客户、客户不同的风险领域,采用个性化的审计程序。
二、实施风险导向审计所需要的条件
(一)开展风险导向审计对审计人员胜任能力的要求
现代风险导向审计对审计从业人员的业务素质提出了新要求,不仅要具备丰富的审计理论和实践经验,还要具备必需的管理学知识和经济学知识,能够运用系统的、战略的观点充分了解、分析企业所处的宏观经济环境和行业发展状况,对有可能导致企业会计报表错报风险的内外部因素进行客观、系统的分析与评价,将审计视角扩展到内部控制以外,从较高层面上评估风险,而不是仅仅注重企业会计处理的细节。这就要求审计人员不仅熟悉审计和公司财务、会计专业的相关知识,而且要掌握战略管理、营销分析、业绩评价、金融分析等一切与公司运作相关的现代管理学,金融学,营销学知识和信息系统技术。
(二)开展风险导向审计所需要的方法
现代风险导向审计以分析评估重大错报风险为核心,因此,分析性复核程序起着极其重要的作用。分析性复核程序一般包括四个步骤:确定要执行的计算机比较,估计期望值,执行计算及比较,分析数据及确认重大差异。从实际操作来看,审计人员必须把现代风险导向审计和传统的审计综合到一起,以减少审计风险,但是最重要的还是要保证审计质量。风险和财务报表的联系实际上是一个成本和效率的问题,应当尽快地找到经营风险过程当中与财务报表有关的部分,而不是把所有的经营风险全部追查下去。在具体实施过程中应在所有的审计阶段都实施风险评估程序,将评估的风险与可能发生的错报相联系,不得不经过风险评估直接将风险设定为高水平,识别和评估的风险还要与实施的程序挂钩。新的审计方法所获得的证据很多都是定性的而不是定量的证据,无论评估的重大错报风险结果如何,都应针对重大的各类交易、账户余额、列报和披露实施实质性的程序。识别评估和应对风险的关键程序都应形成审计工作记录,以保证执业质量和明确职业责任。
(三)开展风险导向审计所需要的技术工具与数据挖掘技术
现代风险导向审计不仅依靠传统审计技术,而且注重新型的审计技术。具体的分析技术主要从管理咨询领域以及营销分析领域借鉴而来,主要包括:战略风险分析技术、经营风险分析技术和经营业绩评价技术。现代风险导向审计方法中分析性程序占据非常重要的地位,辅助审计软件的使用在其中发挥着重要的作用。西方发达国家大量运用分析性程序的条件是辅助审计程序的开发和运用,它可以直接对数据库进行加工分析,依据软件模型自行处理数据,使运用分析性测试程序成为节约成本的重要手段。另外,采用审计软件使统计抽样的样本更具代表性,审计抽样风险可控,为风险导向审计提供了技术支持。
由此可见,现代风险导向审计模式主要采用战略分析和系统分析工具,可以大大提高发现问题,识别风险的能力,因而可以最大限度地降低由于风险识别错误而导致的审计失败。
三、结术语
现代风险导向审计的发展是审计职业为了应对内外部环境的变化,重新塑造和完善本职业抽象知识体系,从而保护审计职业职责范围的客观需要。现代风险导向审计运用了自上而下的思路,从企业的战略分析入手,通过对经营风险及经营控制的逻辑推理,推导和落实审计的范围和重点,确定相关的审计目标和审计程序;然后通过实施实质性测试审计程序,结合重要性的判断,来自下而上归纳和判断整个会计报表重大错报风险,并形成最终的审计意见,是对传统风险导向审计理论进行继承与扬弃。
参考文献:
[1]马贤明、郑朝晖,现代风险导向审计探讨[J],审计与经济研究,2005年20卷1期,9- 13页。
[关键词]重大错报风险,识别;评估,模糊综合评价
近年来,企业外部环境的急剧变化直接影响到企业管理层的制度设计和业务开拓,致使会计师事务所客户的业务活动越发复杂、管理层的舞弊越发隐蔽,审计风险明显增加。国际审计委员会和我国已分别于2003年和2006年重新进行了审计准则的修订,显著加强了对审计风险的管理。
风险管理是对风险的事前预测和控制,是一种减小风险损失的管理工作,包括风险识别、风险评估、风险控制和风险转移等4个环节。其中:风险识别是确定可能发生的风险类型或风险所在领域;风险评估是对识别出的各种类型风险进行定量描述;风险控制是采取降低风险发生概率和风险损失的行为;而风险转移则是通过一些正当的手段将风险转移给保险公司,也可通过合作的方式将部分风险转移给合作伙伴。在风险管理中以风险识别最为重要,是风险管理的第一步,也是风险管理的基础,直接影响着风险评估、风险控制、风险转移的准确性和有效性。
审计风险是被审计客户财务报表存在重大错报而注册会计师发表不恰当审计意见的可能性。相对于其他类别、行业的风险来说,审计风险的存在不仅给直接从事审计业务的会计师事务所带来损失,而且还会给依赖于注册会计师审计意见的投资者带来损失。审计风险如果存在转移,要么转移给被审计客户,要么转移给拟信赖审计报告的投资者,但不管如何转移,最大的受害者最终还是投资者,这是违背注册会计师职业要求和资本市场发展需要的。所以,审计风险的管理工作应只包含风险识别、风险评估和风险应对,不再包含风险转移。
我国2006年审计准则的修订对传统的审计风险模型也进行了整合,将审计风险模型转变为:审计风险=重大错报风险×检查风险,其中重大错报风险是指财务报表在审计前存在重大错报的可能性。审计人员在具体应用和实施该模型时,首先是确定审计业务所达到的可信赖程度;其次是审计人员据此深入地了解被审计单位及其环境,始终对公司管理层的诚信、有无舞弊造假动机等保持一种合理的职业警觉,捕捉潜在的风险,谨慎进行重大错报风险的识别、评估;最后在重大错报风险评估的基础上采取相应的风险应对的措施,以控制检查风险至可接受的水平。由此可见,新风险模型的应用更加注重的是对重大错报风险的识别和评估,且自始至终贯穿于整个审计业务过程中,直接影响注册会计师所发表审计意见的准确性。而本文所探讨的就是在重大错报风险识别基础上关于审计识别、评估的衔接、评估方法的选择和应用的问题。
一、重大错报风险识别和评估的侧重点
重大错报风险的识别是注册会计师审计业务小组用感知、判断或归类的方式对大量和审计业务有关的信息资料进行系统了解和分析,认清被审计客户业务活动中潜在的各种风险和可能发生的各种损失,进而判断和鉴别审计业务所面临的重大错报风险及其性质,并把握其发展趋势的行为,即从错综复杂的环境中找出目标体所面临的主要风险。重大错报风险的识别一方面可以通过审计师对被审计客户的感性认识和根据多年积累的审计经验结合被审计客户自身内外部环境的变化等因素来判断;另一方面也可通过对各种客观的资料和风险事故的记录,在定性分析的基础上结合一定的定量分析技术来分析、归纳和整理。
重大错报风险的评估在重大错报风险识别的基础上,分析和评价损失对审计业务既定目标的影响程度,通过对由风险识别获得的资料和数据的处理,得到风险后果发生的概率、严重程度和大小,为选择应对措施进行正确的风险管理决策提供依据。
重大错报风险识别的重点是识别出风险存在的主要领域或公认的具体风险,而评估是进一步确定出关键领域的重大错报风险具体水平,为后期的应对策略提供具体的和较为准确的决策依据来尽量控制审计损失的发生。所以,风险评估也称为风险量化,它主要解决的是识别出关键领域的重大错报风险水平是多少的问题。
二、模糊综合评估方法的选择
审计风险评估的具体方法很多,常用的有风险因素分析法、模糊综合评价法、内部控制评价法、审计风险模型法、定性风险估计法、风险率评估法等。评估方法选择不仅要考虑方法的特点,而且要注意评估目标和评估对象的类型与评估方法的对应问题。从审计角度来看,重大错报风险评估是一个动态的过程,需要建立在对被审计单位的分析和评价的基础上,评价涉及较多因素,包含主观和客观因素,其评价过程表现出较大的模糊性;同时,在重要性水平的确定和审计风险的关系等审计风险评估方面也存在一定的模糊性。因此,本文在识别出被审计客户重大错报风险发生的领域之后,采用模糊综合评判法对识别出的重大错报风险进行评估。
模糊综合评价法是指针对评价对象的多样性、模糊性,采用模糊数学的理论与技术,对受影响评价对象的多种因素进行模糊综合评价,从而得到评价结果的方法。该方法既综合考虑了所有因素,同时又通过权重把各因素的重要程度区分开来,在判定因素影响程度方面更加客观、详细,避免了定性方法的主观随意性和弹性较大的弊端,更有利于风险判断的准确性,并可使用计算机进行计算,克服了其计算烦琐的缺点。
三、模糊综合评判决策的一般步骤
1.确立评价因素集
代表第i个影响因素,n代表因素的个数。如果因素较为复杂,可建立多级因素集。
2.确立权重集
权重是被评价对象的不同重要程度的定量分配,每个指标在整体评价中的相对重要程度即为权重。评价指标的权重应为U上的模糊子集,用A表示,即:A={a1,a2,…,
3.建立评判集
评判集是对各种评价指标做出的评语等级和层次,用V表示,即:V={v1,v
4.单因素评判
对U中所有因素分别进行单因素评价可得到模糊矩阵R,表示为Ri={ri1,业人员对评判对象进行打分,并归属于相应的评语集,按归属某一评语的人数占总人数的百分比作为这一因素的评判结果。
5.综合评判
M(∧,∨)计算,可得综合评判B=A•R,即对两个模糊矩阵各元素之间最小值运算:将权重集A中处于第i列的ai与R矩阵中相对应的第i行中的每一个数值进行比较,取两者中较小的一个作为结果矩阵中的用来比较的R矩阵数值对应位置的新元素,由此组成一个新的矩阵,然后取新矩阵中每一列的最大数值作为模糊矩阵B中的第j个数,得:6.确定因素重大错报风险水平由B和V计算重大错报风险评价水平=BVT。
四、重大错报风险评估的应用实例
1.确立评价因素集、权重集和评语集
重大错报风险的评估是在识别的基础上来进行的,所以,评估阶段的评价因素集、权重集和评语集与识别阶段相对应(见表1所示)。
假定在重大错报风险的识别阶段识别出的关键领域为战略规划变更风险U2,其二级评价指标有:开发新产品或提供新服务、进入新业务领域U21,新的经营场所U实务中量化为V={90%,70%,50%,30%,10%}。
2.进行单因素评判
用M(∧,∨)计算得B=A•R,A=(0.2727,0.2273,0.2273,0.1364,0.0909,0.0454),
B=A•R=(00.27270.22730.13640)=归一化=00.430.360.210。
3.计算战略规划变动风险的重大错报风险水平
BVT=00.430.360.210
(90%70%50%30%10%)=0.544=54.4%。
通过以上对已识别出的该审计客户重大错报风险存在领域的企业战略规划变更风险的模糊评估,说明该类风险可能发生的概率为54.5%,假定审计组所估计的可信赖程度为95%,即审计风险为5%,则根据审计风险=重大错报风险×检查风险,可以计算出该审计组需要将检查风险水平控制在9.19%的范围之内(5%÷54.4%),属于较低水平。由此,审计人员在制订风险应对策略时,考虑在有必要的情况下实施控制测试,否则需要实施较大范围的实质性测试。
主要参考文献
[1]中国注册会计师协会.审计[M].北京:经济科学出版社,2007.
一、风险导向审计概述
1.风险导向审计的定义。所谓风险导向审计,是指以被审单位的风险评估为基础,综合分析评审影响被审计单位经济活动的各因素,并根据量化的风险水平确定实施审计的范围、重点,进而进行实质性审查的一种审计方法。
2.风险导向审计的程序。
2.1调查了解有关情况,评估确认预期审计风险水平。内部审计人员运用各种方法对被审计单位情况进行调查了解,如召开座谈会,查阅有关年度档案资料,走访有关部门,进行实地考察等,以评估确认预期审计风险水平。内部审计人员应注重日常对被审单位基础资料的收集。
2.2对报表进行分析测试、评估固有风险,确定审计范围。审计人员根据报表各项目之间客观合理的内在联系运用分析性测试方法,分析各项目的的比率、趋势来调查导常变动和差异。利用初步调查及永久性档案提供的资料和自身经验,评估固有风险。将通过分析性测试出现异常变动和差异的报表项目,或固有风险评估较高的报表项目列入审计范围,作为审计重点,并编入审计计划。
2.3对审计范围内的会计报表项目分别进行控制风险评估。首先,调查了解有关项目的内部控制结构,分析控制环境,相应的控制程序及会计制度,评价内部控制的有效性。进行内部控制测试,根据测试结果评估控制风险。对内部控制的有效性难以进行测试,或按成本效益原则不拟对内部控制进行测试,应将控制风险证估为高水平。
2.4确定检查风险及重要性水平,并据以编制审计方案。
2.4.1根据以上步骤评估得出的量化的审计风险及审计范围内各项目的固有风险和控制风险,确定检查风险。通过检查风险=审计风险/(固有风险×控制风险),可以计算出审计范围内报表项目的检查风险。
2.4.2确定审计范围内报表项目余额的重要性水平。一般实务中,对会计报表总体重要性水平的量化可参考下列指标:①税前净利润的5%———10%;②总资产的0.5%———1%;③所有者权益的1%;④总收入的0.5%———1%。
2.4.3根据已确定的检查风险,确定所需审计数量,编制审计方案。检查风险与证据量成反比,所确定的检查风险越低,限制审计风险以达到期望水平所需的审计证据就越多;反之,检查风险越高,所需审计证据就越少。
2.5实质性审查。在风险导向审计中,通过风险评估,对固有风险和控制风险的测试,将查检风险控制在根据已确定的审计风险、固有风险有控制风险计算出的水平上,以确保审计风险固定在预期水平上。
2.6根据实质性审查结果,得出审计结论。将实质性审查检查出的有错报漏报项目错漏金额同该项目的重要性水平比较,若前者比后者大,则应确认为项目有重要错报、漏报。但同时应注意错漏的性质,若为故意舞弊,涉及合同义务的履行或影响收益变动趋势的,尽管其错漏金额可能未达到重要性水平,也应将其视为重要的错报漏报,在审计报告中加以反映。
二、风险导向审计在财务审计中的具体应用
会计报表审计是企业财务审计的起点和归宿。财务审计主要是对资产负债表、利润表和现金流量表及其所展示的经济业务进行审查。按照风险导向审计的程序要求,在财务审计不同阶段应采用不同的程序,对被审对象进行风险评估。
1.制订审计计划、编制审计方案阶段。在审计准备阶段应对被审计单位基本情况等进行调查分析,以评估确认预期审计风险水平,为制订审计计划和编制审计方案,确定审计范围和审计重点提供依据。重点对以下情况进行调查分析:(1)被审计单位的经营环境,包括所在行业及经济趋势等;(2)被审计单位财务状况及其发展趋势。若被审计单位财务处于困境,如无法清偿到期债务、面临诉讼失败赔款、资金周转不灵等,应评定较低的审计风险;(3)被审计单位以前年度接受审计的情况;(4)被审计单位管理者的履历、处事风格及其变动情况;(5)有关会计、管理人员的业务素质,工作能力。会计、管理人员业务素质高,工作能力强,则固有风险较低,反之则高。编制分析性测试表评估固有风险确定审计范围:(1)分析财务资料各项之间的关系和分析财务资料与非财务资料之间的联系。(2)经济业务的性质与复杂程度。凡涉及现金、存货等实物资产的经济业务的固有风险比不涉及的大;经济业务复杂程度高的固有风险大。(3)相关会计处理的复杂程度。在正常会计处理中易发生错漏的项目固有风险大。(4)项目余额的大小及其变动。余额大或其变化异常的项目固有风险大。(5)确定该项目金额时是否通过评价和判断。通过估价和判断得到的数据,如折旧、预提费用、待摊费用、材料发出成本等,比通过准确计算得到的确切数据的固有风险大。(6)以前年度审计发现问题和报表项目固有风险大。将财务报表分成:销售与收款循环、采购与付款循环、生产与存货循环、人力资源与工薪循环、投资与筹资循环和货币资金,分别编制内部控制测试表和风险、控制测试表,进行内部控制测试和控制风险评估。对通过上述分析测试确定审计范围的财务报表项目余额按总收入的0.1%进行重要性水平分配,确定检查风险,编制出审计方案。
【关键词】 中美两国; 审计风险; 比较
一、中美两国对审计风险的认识比较
(一)对审计风险的认识过程
1.对审计风险的认识,西方国家经历了三个阶段:
一是对审计风险认识的萌芽阶段(1748年―20世纪30年代)。
二是对审计风险的初步认识阶段(20世纪30年代―50年代)。麦克森・罗宾斯公司案件加速了人们对审计风险的认识。该公司年报总资产8 700万美元中,有1 907万美元是虚构的资产,其中存货1 000万美元、销售收入900万美元、货币资金7万美元。而担任该公司十几年审计的普赖斯・沃特豪斯会计师事务所未对应收账款进行询证,也没有对存货进行实际盘点,就出具了“正确适当”的审计结论。该事件使审计人员开始认识到了审计风险的危害性。
三是对审计风险认识的逐步深化阶段(20世纪50年代至今)。这一阶段,审计诉讼案件大增,赔偿数额越来越大。如1993年美国某州的一个法院作出决定要求“六大”之一的普华会计师事务所赔偿渣打银行3.38亿美元的损失。前些年发生的震惊中外的安然事件和现如今的美国次贷危机下的房地产企业等都对审计风险敲响了警钟。
2.对审计风险的认识,我国大体上有两个阶段:
一是对审计风险认识的萌芽阶段(1980年至1992年)。
二是对审计风险的初步认识阶段(1992年至今)。1992年至1995年期间,我国发生了震惊全社会的深圳原野、长城机电、海南新华三大审计案件。有关审计人员都无视执业风险而犯下了严重的工作过失,从而不可避免地受到了行政处罚,有的还追究了刑事责任。
还有陆续发生的蓝田事件、银广厦事件、猴王事件、黎明股份与湖北立华事件等。
(二)审计风险的概念比较
1.《美国审计准则说明》第47号中指出:审计风险是审计师无意地对含有重要错报财务报表没有适当修正意见的风险。中国《独立审计准则第9号――内部控制与审计风险》第三条指出:审计风险是指会计报表存在重大错报或漏报,而审计人员审计后发表不恰当审计意见的可能性。笔者理解审计风险是一个含义十分广泛的概念,可将其理解为审计主体遭受损失或不利的可能性。中美两国对此的表述差异不大。
2.美国建立了审计风险模型。1981年美国审计协会的《审计标准说明》第39号建立了一个风险模型:
最终审计风险=固有控制风险x分析性检查风险x账项余额测试风险
1983年,该协会在其的《审计标准说明》第47号中又提出了一个新的审计风险模型:
审计风险=固有风险x控制风险x检查风险
到目前为止,我国审计界仍然采用美国提出的审计模型。
(三)审计风险的特征和成因
1.审计风险的特征一般包括审计风险存在的客观性、审计风险的潜在性、审计风险损失的严重性、审计风险形成的全过程、多因素性、审计风险的可控性五个方面。这一点中美两国审计同行基本认可。
2.审计风险的产生有很多方面的原因,一般可分为客观原因和主观原因。其中:导致审计风险产生的客观原因主要有审计所处的外部环境以及审计方法的局限性,如审计人员的法律责任,审计对象的日益复杂化和审计内容的日益广泛化,对审计依赖程度的提高和审计影响意见的扩大,审计方法本身的原因等。导致审计风险产生的主观原因主要指审计人员的素质问题,如审计人员的经验和能力的差异,审计人员对风险的重视程度等。
在审计风险的特征和成因方面两国审计人员的认识基本一致。
二、对美国安然公司审计失败事件的思考
在考察期间,对于美国出现的诸如安然公司审计失败的事件,笔者进行了深刻的思考:
思考一:既不应夸大独立审计在监管中的作用,也不应将企业因舞弊倒闭的全部责任归咎于审计人员。无限地拔高独立审计在监管中的作用,只会将审计人员置于万劫不复之地。同样,将企业因舞弊而倒闭的全部责任归咎于审计人员,既不公平,也无助于我们冷静地剖析原因并从中吸取教训。
思考二:不要过分崇拜市场的力量,民间自律不见得是最佳选择。安然事件表明,“看不见之手”总有失灵的时候,完全依赖市场力量和民间自律进行会计审计规范是不切合实际的。从审计规范的角度看,审计人员行业协会要同时扮演“守护神”和“监管者”的角色,本身就存在着利害冲突。
思考三:既不要迷信美国的公司治理模式,也不可神化独立董事制度。美国式的公司治理历来是倍受推崇的,也是我国的重点借鉴对象。美国式的公司治理十分注重引入独立董事制度。这种强调独立董事功能的公司治理模式,当然有其合理的成分,但安然事件表明,独立董事并非万能。
思考四:不能只重视制度安排,而忽视全方位的诚信教育。安然事件表明,诚信教育应当是全方位的。审计人员需要诚信教育,律师、银行、中小投资者等市场的参与者,以及政府官员、监管机构等也需要诚信教育。
思考五:不要迷信“五大”会计行,“五大”的审计质量不总是值得信赖。安然事件后,许多新闻报道的资料显示,“五大”的审计质量令人担忧。20世纪90年代美国加州奥然治县破产案、巴林银行理森舞弊案也把毕马威、德勤、永道卷入了代价高昂的诉讼。类似案件不胜枚举,表明“五大”的审计不总是值得信赖。
三、内部审计领域中审计风险问题的深入分析
(一)内部审计领域风险的判断
非常有意义的是,笔者发现这样的一个规律:在众多发生重大风险和危机的企业事件中内部审计往往可以发挥不可替代的作用。内部审计是组织内部审核经营业务的独立评价活动,它是一种管理控制,其作用是衡量和评价其他控制的有效性。内部审计存在的价值在于能为组织实现其经营目标提供帮助,如果不能提供这种帮助,或者说不能尽其“帮助”的职责,那么内部审计的存在和发展就失去了意义。
在考察过程中,笔者了解到美国不少企业、机构的内部审计外包的比较多,从专业的角度看,外包审计确实可以解决企业、机构内部的用工负担,且外包审计可以提供更加专业的服务。但如果企业、机构的管理层不能很好地发挥外包审计的作用,或者因为企业、机构必要的商业秘密需要,对外包审计需要一定程度的限制措施,所以外包审计的效果和风险防范需要正确的认识。
近几年来,在我国由于社会审计扩展服务领域,向企业提供内部审计服务,企业为节省成本和开支,削减内部审计机构或部门,不断将内部审计部分或全部地对外承包给社会审计,使内部审计的发展壮大变得愈发艰难。可以说,内部审计生存危机问题是当前内部审计职业界面临的最大风险。内部审计职业界当前应该着重解决的问题是如何使内部审计更好地为组织服务,从而确立自己的地位。
(二)内部审计避免生存危机的途径
1.美国的主要做法。在国外,内部审计部门要每年进行一次可供审计事项的风险评估,它包括确定可供审计的事项,确定风险因素,评估风险因素等三方面的工作。
――确定可供审计事项。主要包括:相关的政策,程序和业务活动,某一账户余额或财务报表中的某一个项目,主要合同和方案,某基层和职能部门,各业务系统、财务报表等。这些事项可以单独成为一个审计项目,也可由其中几项或全部构成一个审计项目。
――风险因素。为保证对所确定的风险因素进行评估的结果能够较全面地反映被审计单位的总体风险水平,内部审计人员可以根据可能造成不利影响事项的重要性来确定风险因素。如为实现组织目标,管理者所面临的道德环境和压力;职员的知识和技能,职员的数量及其变动情况;竞争条件;与顾客、供应商和政府条例的冲突情况;管理决策和会计预算等。
――评估风险因素。目前许多国外组织的内部审计纷纷建立风险评估模型来达到风险评估的目的,如美国阿莫科公司的“风险评估矩阵”就是一个很好的风险评估案例。
2.拓展服务领域。根据企业经营中面临的重大问题开展审计,是内部审计渡过其价值危机的有效方法。国外的内部审计界很早就开始了这方面的探索,目前美国等西方国家内部审计组织纷纷开展质量审计,收到了良好的效果。
3.积极开展自我风险评估控制。内部审计人员要对各级管理人员进行培训,培养他们的风险意识。控制风险评估(CSA)也是当今内部审计为组织提供服务的有效方式,作为一种新的审计技术或审计类型,近年来在美国等国家得到广泛采用,并开始在世界上许多国家间传播和借鉴。控制自我评估方法包括计划预备工作、单独的研讨会、系列的联席会议、报告和行为方案的实施等一系列过程。
四、内部审计防范风险的最佳对策――审计方法的正确选择
当前内部审计防范风险应着眼于改进审计方法,内部审计采取的方法是账项基础审计和制度基础审计方法,这种方法已经不完全适应当今复杂的经营环境,必须尽快改用风险基础审计方法代替制度基础审计方法,以提高审计效率和效果,提高审计质量。
(一)内部审计风险基础审计的特征
在内部审计领域,内部审计人员更多的将风险基础审计中的“风险”扩大为企业或组织在经营过程中面临的不能够实现其目标的各种风险,并将其作为审计项目及其审计范围、重点的依据。
一是在应用上存在较大差别。内部审计人员对风险评估不仅用于确定单个审计项目中的审计重点,而且用风险标准来确定审计项目。内部审计人员在风险环境中观察业务过程,从而给组织增加更多的价值。
二是改变了过去那种内部审计人员根据检查历史业务记录和内控系统的历史运营情况提出意见和建议的做法,更注重风险和组织的未来。
三是在内部审计领域,风险基础审计中的“风险”一词更多的是指组织的固有风险和控制风险,审计人员关注风险也就是关注组织现存的各种经营风险及组织为降低经营风险所进行的各项管理活动。
四是与制度基础审计比较,运用风险基础审计的内部审计人员在审计项目中,不是确认和测试控制,而是确认和测试管理部门为降低经营风险而采用的方法和方式。
五是采用风险基础审计,其内部审计报告更容易被接受,管理部门也更理解内部审计存在的价值。风险基础审计,内部审计部门关注组织的风险,可帮助组织更加安全有效地经营,不断有效地增加组织的价值。
(二)风险基础审计的基本程序
一是评估固有风险,确定重要领域。
二是了解内部控制结构,进行控制测试,评估控制风险。
三是根据估计的固有风险和控制风险水平,确定检查风险,从而选择审计方法,制定实施性审计方案。
四是实施实施性审计方案,收集审计证据。
五是提出审计意见和结论。
(三)审计风险计量公式
风险基础审计立足于对审计风险进行系统的分析和评价。在审计过程中,审计人员不仅要对控制风险进行评价,而且要对各个环节的各种风险进行评价,并在评价的基础上运用相应的控制方法进行实质性测试。风险基础审计运用的审计风险计量公式是:
审计风险=固有风险×控制风险×检查风险
固有风险是在不考虑内部控制的条件下,财务报表出现错误的可能性。审计人员在编制具体审计实施方案时,应当考查固有风险对各重要账户或经济业务所产生的影响,或直接认定固有风险很高。确定固有风险通常应考虑的因素有:管理人员的品行和能力;管理人员特别是财会人员的变动情况;管理人员遭受异常压力的情况;经济业务的性质;影响被审计单位所在行业的环境因素;容易产生错误的报表项目;需要利用专家工作结果的重要经济业务和会计事项的复杂程度;确定账户余额时需要运用估计和判断的程度;容易遭受损失或被挪用的资产;会计期间尤其是临近期末发生的异常及复杂交易;在正常的会计处理程序中容易被漏记的交易和事项等。审计工作开始时,并没有什么办法可以用来改变固有风险,然而审计人员可以通过评价来确定风险水平,并根据评价结果,修正审计方案。固有风险与检查风险成反比,与证据的数量成正比。
控制风险是被审计单位内部控制不能避免或发现某经济业务或会计账户内发生重要错弊的风险。当一个单位内部控制系统不完善时,这种风险就会很高。审计人员可以通过对被审计单位有关内部控制的检查评价来确定控制风险水平的高低。一般说来,内部控制越有效,控制风险越低。与固有风险一样,控制风险与检查风险成反比,与证据的数量成正比。
检查风险是审计人员在内部控制未能发觉并纠正财务报表的重要错误,运用审计程序和方法也未能发现这些错误所承担的风险。分析性检查风险水平取决于所选用的分析技术,所依据的分析模式,分析中所使用的数据以及判断差异情况的根据等因素。实质性检查风险水平受到抽查的数量和方式,使用的检查程序和手段,抽查过程中审计人员行为等因素的影响。检查风险决定审计人员计划收集证据的数量。当检查风险确定得较低时,审计人员必须收集大量的审计证据。相反,当审计人员愿意承担较高的检查风险时,所需收集的审计证据就少些。
固有风险和控制风险的评估对检查风险有直接影响,固有风险和控制风险的水平越高,审计人员就应当将检查风险确定得越低。此时,审计人员收集的审计证据数量就越多。
风险基础审计大量运用了风险分析方法,这种风险分析方法贯穿于审计的全过程,使审计过程成为一个不断克服和降低审计风险的过程。只有审计人员认为审计风险已经控制在可容忍水平范围之内,才能就审计事项表达审计意见。
【参考文献】
[1] 胡春元.风险基础审计[M].东北财经大学出版社,2001(4).
审计模式是一定审计环境下并与之相适应的审计目标、审计计划、审计准则、审计管理体制和审计机构设置等共同组成的完整体系。审计作为一种技术手段,随着社会经济环境的变化和审计执行者对审计活动本质的逐步加深,依次经历了账项导向审计模式、制度导向审计模式和风险导向模式这三种模式。
制度导向审计又称内控导向审计。随着股份有限公司的不断出现,社会公众更多关注的是财务报表的公允性、真实性。基于这样的前提,产生了以评价企业内部控制为基础,然后确定实质性测试的性质、时间和范围,并依此收集审计证据、形成审计意见的制度导向审计模式。
制度导向审计模式的重点明确,把企业内控制度及其执行情况作为主要的审计对象,极大地提高了审计抽样质量。可以说,制度导向审计在保证审计结论具有一定可靠水平的前提下提高了审计工作效率,降低了审计成本,并能够有效地帮助企业改善经营管理。
风险导向审计模式要求审计人员的审计思维要跳出账簿,跳出内部控制。风险导向审计模式最显着的特点是,它立足于对审计风险进行系统的分析和评价,并以此作为出发点,制定审计策略和与企业状况相适应的多样化审计计划,将风险考虑贯穿于整个审计过程。
二、新旧审计准则体系的审计模式的区别
(一)审计风险模型不同
旧审计准则体系的审计模式以“审计风险=固有风险×控制风险×检查风险”为审计风险模型。
新审计准则体系的审计模式以“审计风险=重大错报风险×检查风险”为审计风险模型。现代审计风险模型在传统审计风险模型的基础上进行了改进,形式上有所简化。会计报表整体层次风险主要指战略风险和经营风险,把战略风险和经营风险融入现代审计模型,可建立一个更全面的审计风险分析框架。
(二)对注册会计师的要求不同
旧审计准则体系的审计模式是建立在“无利害关系假设”基础之上的,使得传统风险导向的审计方法不对企业经营风险实施评估程序,对注册会计师的综合素质要求不是很高,使得不懂管理知识、行业知识的注册会计师也可以进行审计工作。
新审计准则体系的审计模式把思想建立在“合理的职业怀疑假设”上,要求注册会计师以质疑的态度评价所获取审计证据的有效性,并密切关注相互矛盾的审计证据以及对文件或管理当局声明的可靠性产生怀疑的审计证据。注册会计师审计的主线始终是对重大错报风险的识别、评估与应对。注册会计师不但要掌握一些常用分析工具,还必须要学习现代管理知识和接受行业的专业知识培训。
(三)审计起点不同
在旧审计准则体系的审计模式中,固有风险是指假定不存在相关内部控制时,某一账户或交易类别单独或连同其他账户、交易类别产生重大错报或漏报的可能性。传统风险导向审计方法通过综合评估固有风险和控制风险以确定实质性测试的范围、时间和程序。
在新审计准则体系的审计模式中,通过综合评估经营控制风险以确定实质性测试的范围、时间和程序,其审计起点为企业的战略系统及其业务流程。这种新模式的优点是将审计的重心前移到风险评估,这将有利于充分识别和评估会计报表重大错报的风险,因此,主要针对风险设计实施控制测试和实质性测试程序。
(四)内部控制要素不同
旧审计准则体系的审计模式下的内部控制是指被审计单位为了保证业务活动的有效进行,保护资产的安全和完整,发现、纠正错误与防止舞弊,保证会计资料的真实、合法、完整而制定和实施的政策与程序。内部控制要素包括控制环境、会计系统和控制程序。
新审计准则体系的审计模式下的内部控制是指被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵循,由治理当局、管理当局和其他人员设计和执行的政策和程序。内部控制的三要素扩充为五要素,即控制环境、被审计单位的风险评估过程、与财务报告相关的信息系统和沟通、控制活动和对控制活动的监督。
(五)风险评估方式不同
旧审计准则体系的审计模式中的风险评估是一种直接的方式,即直接评估重大错报的概率。
新审计准则体系的审计模式是从经营风险评估入手,间接地对审计风险进行评估,因为经营风险越高,审计风险也越大,也就是管理舞弊的可能性越大;并且从经营风险中能更有效地发现财务报表潜在的重大错报。此外,会计政策、会计估计的合理性评估也只有从经营风险入手,才能进行正确的评估。
三、新旧审计体系审计模式比较分析的启示
(一)依据增值服务合理提高审计收费
改良后的风险导向审计模式不仅关注风险,而且对旧的审计模式进行了扩展和延伸。依照改良后风险导向审计的要求会增加事务所的审计成本,但在目前国内各事务所竞争激烈的情况下直接提高审计收费又不可行。解决这种矛盾的途径可以是,在审计过程中根据企业的不同情况调整审计程序,让客户感到他们获得了审计以外的很多增值服务。此举,不仅有助于新审计模式的顺利实施,同时,也保证了注册会计师事务所的执业水准。
(二)提高注册会计师的素质
根据改良后风险导向审计模式的要求,注册会计师应当了解被审计单位及其环境,不仅要具备会计、审计方面的专业知识,还要掌握战略管理、业绩评价、信息系统管理等现代企业管理方面的知识,具备较高的风险分析水平和职业判断能力。在改良后的风险导向审计模式下,注册会计师需要采用复杂系统的认知模式,从而了解、分析客户风险管理过程以及客户控制风险的手段、方法。
(三)完善法律环境及监管手段
从理论上来说,只要当注册会计师认为审计风险达到可接受的低水平,不会导致巨大的审计风险损失,就可以签发审计报告了。这在法律风险较低时很容易产生审计师的道德风险问题。注册会计师执业的规范性取决于法律环境和行业监管是否成熟,一个成熟的法律环境和行业监管环境不仅可以为注册会计师合法执业起到保护作用,还可以起到监督作用。所以,从法律环境和行业监管的改善入手,可以为审计的公正性提 供有效地保障。
(四)使用并完善辅助审计的软件
在改良后的风险导向审计模式中分析性复核程序占据非常重要的地位,而辅助审计软件的使用在其中发挥着重要的作用。西方发达国家大量运用分析性复核程序的条件是辅助审计程序的开发和运用,它可以直接对数据库进行加工分析,依据软件模型自行处理数据,使运用分析性复核程序成为节约成本的重要手段。
关键词: 现代风险导向审计 重大错报风险评估 程序 方法 建议
一、引言
我国在新准则中所提倡的现代风险导向审计是指注册会计师通过了解被审计单位及其环境,评估被审计单位的风险程度,确定剩余风险,执行额外审计程序,将剩余风险降低到可接受的水平。现代风险导向审计是以战略观和系统观为核心,强调以了解被审计单位的经营战略及其业务流程为起点,以识别、评估和应对会计报表重大错报风险为中心进行审计,侧重于评估财务报表重大错报风险。新的审计风险模型为:审计风险=重大错报风险×检查风险;重大错报风险是指会计报表审计前存在重大错报的可能性。重大错报风险分为两个层次:报表整体层次的重大错报风险和认定层次的重大错报风险。通过对财务报表整体层次的重大错报风险风险分析,可以在源头和宏观上分析和发现会计报表错报,从而解决高层串通舞弊、虚构交易或事项而导致财务报表存在错报的问题。认定层次的重大错报风险主要来源于经济交易事项本身的性质和复杂程度与实际不符,企业管理当局由于本身的认识和技术水平,以及由于企业管理当局局部或个别人员舞弊或造假造成的风险。
一、重大错报风险评估的意义
(一)作为现代风险导向审计重心的重大错报风险评估,通过注册会计师对财务报表整体层次和认定层次来评估重大错报风险的评估可以更好地针对评估出的财务报表层次的重大错报风险和认定层次的重大错报风险,合理运用职业判断分别确定总体应对措施和设计、实施进一步审计程序,将审计风险降至可接受的低水平。
(二)重大错报风险评估中还注重强调注册会计师评估的财务报表层次重大错报风险,以及采取的特殊的舞弊风险因素的考虑,对拟实施进一步审计程序,以及整体审计策略都具有重大影响。
(三)重大错报风险评估从战略和系统的角度全面考虑被审计及其环境,运用战略分析等先进审计技术方法,识别和评估重大错报风险,提高了审计效率,降低了审计风险。
二、重大错报风险评估的程序和方法
(一)重大错报风险评估程序
1.了解被审计单位及其情况,对客户进行战略经营分析,包括战略分析和经营流程分析,以评估战略风险和经营流程风险,战略风险和经营流程风险构成了战略经营风险。
2.了解被审计单位财务业绩的衡量和评价,以及被审计单位对会计政策的选择和运用,初步评估绩效风险。
3.经过对被审计单位经营战略、经营流程、经营绩效的分析,审计师已经对客户的内部控制有了初步的了解,运用内部控制评价法对被审计单位内部控制结构的评价而确定控制风险水平。
4.综合考虑被审计单位的战略风险、经营流程风险、绩效风险、控制风险与特殊考虑的舞弊风险,系统地评估财务报告的重大错报风险。
(二)重大错报风险评估方法
1.战略分析。注册会计师主要是通过分析外部环境中威胁客户成功执行战略,从而达到经营目标的潜在风险因素来识别战略风险的。
公司的外部环境是指那些能影响公司经营成败,但又在公司外部而非公司所能完全控制的外部因素。分析公司外部环境的目的,就是要找出外部环境是否存在为公司提供的可以加以利用的发展机会,以及外部环境对公司发展是否构成威胁。通过各个行业的外部经营风险评价标准对企业在宏观环境中的存在的潜在风险进行分析。
2.经营流程分析。注册会计师通过分析被审计单位内部环境,理解被审计单位的经营流程,识别关键经营环节,进行经营流程风险的评估。
(1)通过分析出重要的战略风险识别出关键经营环节。在战略分析后,注册会计师需要汇总已经识别出的战略风险,根据其重要程度来识别战略经营风险所指向的关键经营环节,并对所识别的关键经营环节进行分析。
(2)通过重要的交易类别和其他异常情况识别出关键经营环节。通过战略分析后,注册会计师在对被审计单位的经营管理的理解,确定对企业经营业务的重要交易类别和异常情况是否对相关会计报表及其认定的影响。根据影响的重要程度来识别被审计单位的关键经营环节。
3.内部控制评价分析。内部控制评价法是指通过对被审计单位内部控制结构的评价而确定审计风险水平的一种方法。
对内部控制的评价可以分三步进行:首先,了解企业的内部控制结构并作出相应的记录;其次,实行符合性测试,证实有关内部控制的设计和执行的效果;最后,评价内部控制的强弱,即评价控制风险。注册会计师可以通过包括询问、审阅证据、实地观察、追踪执行过程等方法,据以评估因内部控制产生的相关可能导致重大错报的控制风险。
4.舞弊风险因素分析。关注和评价舞弊风险为核心的谨慎行为构成现代审计的重要内容,它同时也体现出一种风险意识而非利益意识的现代审计策略、思维。注册会计师最大的敌人是管理层舞弊,管理层舞弊往往会绕过或逾越内部控制,所以过去的审计方法往往会导致控制风险很低而实际上审计风险很高的问题。
三、在我国实务中运用重大错报风险评估方法的建议
(一)运用重大错报风险评估方法前提条件
要对重大错报风险进行正确的评估,必须满足以下前提条件。
1.审计人员需具备较高的职业素质。正确评估重大错报风险是建立在对企业环境特别是与企业有关的环境充分了解、分析的基础上的,其对审计人员提出了较高要求,审计人员不仅需具备专业知识,掌握管理、统计等基本知识,而且应对金融、法律政治常识有所了解。
2.企业应做好财务基础工作,具备审计条件。被审计企业必须建立完整的凭证、账簿等财务核算系统和财务核算制度,做到账证一致、账表一致,使审计人员有基本的、充分的财务资料依据。
3.健全注册会计师组织管理体制,建立规范的执业竞争机制,使审计人员真正做到独立、客观、公正。这是注册会计师的灵魂,是审计工作开展的基本前提,如果无法保证,整个审计工作就会失去意义,审计人员也就无法发挥其作用。
4.良好的审计环境、健全的各项法规制度、审计执业界同社会各界的良好联系与沟通、社会各界对审计工作的广泛支持,是正确处理重大错报风险的前提。审计是一项需要协同合作的工作,如果失去了社会各界的理解与支持,审计工作将难以进行,重大错报也将无从披露,审计就失去了其存在意义。
(二)运用重大错报风险评估方法的建议
1.提高和完善审计从业人员素质。应大力培养专业人才,以及提升注册会计师谨慎的执业判断能力,完善制定执业后续教育准则的具体准则,加大对注册会计师的后续教育培训,不断在后续培训中提升注册会计师在管理、统计等基本知识,以及金融、法律政治常识的综合能力。
2.完善公司治理结构。制定相关法律,完善上市公司“审计委员会”制度。对被审计单位管理当局更换会计师事务的随意性进行了约束,同时督促上市公司财务报告及相关信息的规范运作,防止注册会计师受管理人员左右,加强注册会计师在执业中独立性的监督。
3.加强立法,明确事务所及注册会计师的执业法律责任。从注册会计师担负的社会责任出发,从维护社会公众利益出发,从注册会计师行业存在的必要性出发,明确注册会计师和会计师事务所的法律责任,特别是经济责任的承担,使行业在法制的范围内良性竞争。
4.加强信息系统的建设。会计师事务所必须建立强大的信息系统,以便注册会计师在对被审计单位进行风险评估时更好地了解企业的战略、风险管理、业绩衡量等情况及环境,系统战略评估被审计单位的重大错报风险,提高审计效率,降低审计风险。
综上所述,作为现代风险导向审计重心的重大错报风险评估在审计实务中起着关键的作用,规范与使用重大错报风险评估的程序和方法可以提高审计效率,保证审计质量,促进我国注册会计师在实务中执业能力的提高。
参考文献:
[1]刘明辉.高级审计理论与实务.东北财经大学出版社,2006.
[2]卓继民.现代企业风险管理审计.上海财经大学出版社,2006.
[3]徐政旦,谢荣.审计研究前沿.上海财经大学出版社,2002.
[4]王泽霞.管理舞弊导向审计研究.机械工业出版社,2005.
[5]蔡春,赵沙.现代风险导向审计论.北京,中国时代经济出版社,2006.6.
尽管目前对重要性原则的表述不尽相同,但其认识基本一致,即如果信息的错报或漏报影响到报表使用者的判断或决策,那么该信息就是重要的。国际审计准则委员会(IASC)认为如果信息的错报或漏报会影响使用者根据财务报表采取的经济决策,信息就具有重要性;国际审计实务委员会公布的国际审计准则第25号指出,重要性涉及的财务资料误报的数量或性质不论是个别的还是合计的,作为这种误报的结果将会对人们依据这些资料做出尽可能合理的判断或决策产生影响。我国注册会计师审计准则第1221号――重要性,将重要性定义为重要性取决于在具体环境下对错报金额和性质的判断,如果一项错报单独或连同其他错报可能影响财务报表使用者依据财务报表做出的经济决策,则该项错报是重大的。在理解重要性的具体内涵时,必须认识到由于审计方法或审计成本的限制,财务报表审计只能起到合理保证的作用,注册会计师在审计过程中必须站在财务报表使用者的角度上,考虑在具体的审计环境下,财务报表的某项错报是否足以改变或影响财务报表使用者的相关决策,所以运用重要性的关键是确定多少金额及以上的错报会影响到信息需求者的决策。在我国的审计实务中,结合重要性标准的具体含义做进一步延伸界定为重要性水平,这也是审计实务工作者对重要性的习惯性表述,而这种做法与重要性的含义逻辑上一致。因为重要性标准是如果一项错报对财务报表使用者相关决策影响程度大,在临界点之上的错报是重要的。反之该项错报不重要。所以超过重要性水平的错报,重要性程度较高,审计人员必须调整和设计审计程序,将超过重要性水平的错报查出来,为报表使用者提供真实的财务报表。
现代风险导向审计实务模式下,注册会计师确定两个层次的重要性水平,就某一特定的被审计单位而言,出具真实公允的财务报表是被审计单位管理当局的责任,而报表中的错报漏报到多大程度会影响到报表使用者的判断决策是客观存在的,这个尺度只有管理当局最清楚。但这个客观的重要性水平是一个非常抽象的标准,对注册会计师而言具有不可确知性,只能利用对被审计单位的理解和职业判断进行评估。且目前也没有尺度去评价CPA所估计的重要性水平是接近还是偏离客观重要性水平,所以伴随CPA这种职业判断的审计风险接踵而来,不仅如此,不同的报表使用者容许报表中存在的错报或漏报严重程度不尽相同,但在实践中,注册会计师用统一的量化的重要性判断标准来指导审计实务,将承担一定的审计风险,实践中重要性水平的确定和注册会计师承担审计风险存在必然联系。
审计风险是指财务报表中存在重大错报,审计人员审计后发表不恰当审计意见的可能性。由于财务报表审计业务是一种保证程度较高的鉴证业务,CPA应当确定一个合理、可接受的审计风险水平。CPA考虑到审计成本、会计师事务所对待风险的态度及审计失败承受能力的大小确定的可接受审计风险水平应足够低。审计实务中,将审计风险分为两个层次,重大错报风险和检查风险。前者是指财务报表在审计前存在重大错报可能性,与被审计单位本身所面临的环境相关,财务报表本身并不能反映诸如战略风险、经营风险等因素,所以注册会计师对财务报表重大错报风险水平的评估必须利用系统观方法把被审计单位所面临的宏观因素融入到财务报表整体层次中,如了解被审计单位行业状况、法律环境、监管环境,分析被审计单位的经营风险、生存能力、管理能力等因素,然后将整体层次的重大错报风险与认定层次可能发生的错报联系起来。针对具体认定层次风险严重性和可能性,确定进一步的审计程序,CPA通过实施具体的审计程序,收集到充分适当的审计证据来控制检查风险水平,所以从审计人员角度看,确定各个认定层次的重要性水平,但能否查出各个认定层次的错报漏报是否超过重要性水平这本质上属于审计检查风险。对重大错报风险水平进行恰当评估基础上,只有将审计检查风险降到可接受范围之内,才能达到审计后的报表容许的错报或漏报在重要性水平之下,审计风险在可承受范围之内。
二、审计程序的界定
审计计划阶段确定的重要性水平,可接受的审计风险水平,最终都是在为注册会计师实施审计程序范围的大小服务。而随着审计程序实施范围的不断加深及对被审计单位具体情况的不断了解,注册会计师不断修正审计计划阶段确定的重要性水平和审计风险水平。所以审计程序范围与计划阶段确定的重要性水平、审计风险水平具有相对应的关系。
现代风险导向审计模式下,审计程序按实施的目的分为风险评估、控制测试、实质性测试。风险评估程序是以了解被审计单位及其环境并进行恰当评估重大错报风险为起点和导向,获得包括对企业外部、内部环境的风险的初步了解和识别,并根据初步评估结果,计划和实施控制测试程序,然后根据风险评估程序和控制测试的结果,计划和实施实质性测试程序。现代风险导向审计新理念是增强风险评估的新导向和进一步审计程序的针对性。如果初步评估重大错报风险水平较高,则CPA应实施更多实质性测试而相应减少控制测试的范围,把从宏观着眼识别和评估出的重大错报风险与微观的某类交易、账户余额及列报认定相联系,通过实施具体的细节测试和分析性测试,将认定层次的错报或漏报查出,控制检查风险水平,通过将组成财务报表三个认定层次的超过重要性水平的错报或漏报查出,才能合理保证财务报表整体不存在重大错报,审计风险也能降低到可接受范围之内。
三、重要性水平、审计风险与审计程序的关系
在既定的、可接受的审计风险水平一定的前提下,初步评估的重大错报风险与检查风险水平成反向关系。检查风险是指CPA未能发现某一认定存在错报,该错报单独或连同其他错报是重大的可能性小,即该错报在重要性水平之下,这样注册会计师承担的检查风险水平会很低。如果注册会计师发现某项认定单独或连同其他错报认定发生超过重要性水平的错报的可能性大,CPA需要实施的审计范围就越大,实施的审计程序类型就要更多一些。当重大错报风险水平偏低,CPA估计的重要性水平可以偏高,虽然重要性水平判断风险增加,但由于重大错报风险水平降低,也可抵消重要性水平估计偏高所带来的审计判断风险,从而使审计风险降低至可接受水平。融合前者重要性水平与审计风险成反向关系,利用层次分析法界定评定重要性水平、重大错报风险水平和检查风险水平之间的关系如图1:
风险评估程序和控制测试结果表明,如果计划阶段确定的重要性水平偏高,CPA实际面临的审计风险水平超过了可接受检查风险水平,根据初步评估的重大错报风险设计的审计程序将不再适用,如果可能,可以一方面通过扩大控制测试范围或实施追加的控制测试,另一方面修改计划实施的实质性测试的时间、范围和降低检查风险。计划阶段确定的重要性水平越高,则报表中容忍的错报数额越大,CPA承担的审计风险越小,反之越高。所以重要性水平与审计风险水平成反向关系。但CPA确定的重要性水平一定要客观,且不可人为降低审计风险水平而提高重要性水平金额。这样反而加大了CPA承担的审计风险水平。CPA在审计开始时,确定两个层次的重要性水平。通过了解被审计单位及其环境所实施的风险评估程序,初步评出重大错报风险水平不同情况下,可能会修正初始确定的财务报表整体重要性水平。进而分配到各个认定层次的重要性水平也会不同。针对各个认定层次所实施的审计程序的性质、时间、范围会受到影响,注册会计师收集到的审计证据也会多寡不均。这样注册会计师承受的检查风险水平会不同,当重大错报风险水平评估较高时,CPA所承担各个认定层次的检查风险水平必须降下来。两者成反向关系基础上才能保证可接受的审计风险水平最低。
在现代风险导向审计模式下,以了解被审计单位及其环境并评估重大错报风险为重心,确定或修正计划阶段所估计的重要性水平的客观性,通过实施两个层次的审计程序,在无法改变重大错报风险水平的前提下,改变认定层次的检查风险水平从而将认定层次所包含的错报或漏报降低在重要性水平之下,整个财务报表层次的错报或漏报在整体层次的重要性水平之下。能合理评估财务报表的重大错报风险成为评价会计师事务所及CPA专业胜任能力和考验审计质量的关键尺度与决定性因素。以CPA动态分析重大错报为依据调整重要性水平,要求CPA根据重大错报风险的实际变化通过调节检查风险水平来修正审计程序性质、时间和范围,从而把审计风险降低到可接受范围之内,审计任务就能顺利完成。
参考文献:
[1]程庆:《论现代审计中一个重要概念――重要性》,《财会通讯》(学术版)2007年第5期。
