时间:2023-06-14 16:31:13
导言:作为写作爱好者,不可错过为您精心挑选的10篇财务报表风险评估,它们将为您的写作提供全新的视角,我们衷心期待您的阅读,并希望这些内容能为您提供灵感和参考。
从风险识别与评估的角度来看,新旧准则的最大差异在于新准则扩展了重大错报的风险因素,加深了风险因素如何对重大错报的发生造成影响的认识,以更宏观的视角,从整个企业及其环境状况的变化去认识影响重大错报发生的风险因素,通过考察造成重大错报的根本动因,来实施风险评估。新准则第1211号第19条规定了注册会计师应当了解被审计单位及其环境的具体方面,即行业状况、法律环境与监管环境以及其他外部因素;被审计单位的性质;被审计单位对会计政策的选择和运用;被审计单位的目标、战略及相关经营风险;被审计单位财务业绩的衡量和评价以及被审单位的内部控制。笔者认为,可能导致被审计单位财务报表重大错风险的因素,概括起来应包括以下几个方面:
(一)环境风险因素 有效的审计,首先需要注册会计师对被审计单位所处的宏观社会经济环境和行业环境进行充分的分析。以了解企业在外部环境中的地位。通过分析企业与外部环境之间的联系,从而发现潜在的重要战略风险。了解被审计单位的行业状况、法律环境、监管环境以及其他外部因素,可以帮助注册会计师评估被审计单位所在行业的业务性质或监管程度是否可能导致特定的重大错报风险,评估项目组是否配备了具有相关知识和经验的成员。根据一些著名的审计失败案例可看出,经济形势行业政策的变化对被审计单位的影响可能转化为诱发虚假财务报告环境压力,而注册会计师缺乏相关知识和经验或估计不足,将导致审计的失败。注册会计师需要识别和评估的企业环境风险因素主要有:(1)行业环境状况,如企业所在行业现状及发展趋势;市场供求与竞争;产品生产技术的变化;能源供应与成本;生产经营的季节性和周期性等。(2)法律及监管环境,如适用的会计准则、会计制度和行业特定惯例;对经营活动产生重大影响的法律法规及监管活动;对开展业务产生重大影响的政府政策;与被审计单位所处行业和所从事经营活动相关的环保要求等。(3)其他外部因素,如宏观经济的景气程度;利率和资金供求状况;通货膨胀水平及币值变动;国际经济环境和汇率变动等。
(二)战略经营风险因素 战略经营风险是企业的内部因素对企业的发展和经营成果以及持续经营造成的风险。多数经营风险最终都会产生财务后果,从而影响财务报表。注册会计师应从了解企业所制定的总体战略出发,认识企业的经营目标和具体战略,分析内部经营环节,利用职业判断对可能导致财务报表重大错报的相关经营风险进行识别和评估。注册会计师还应了解被审计单位目标和战略以及相关的经营风险:(1)对相关因素分析不够充分或对未来的变化没有能够合理预计而带来的企业总体战略选择风险。如企业战略规划与经营目标或任务适应性风险、行业发展及其可能导致的企业不具备足以应对行业变化的人力资源和业务专长的风险、业务扩张及其可能导致企业对市场需求的估计不准确风险等。(2)企业的具体战略选择失误而带来的风险,如企业开发新产品或提供新服务可能导致的产品责任增加的风险、企业并购可能导致的运营困难的风险等;(3)企业供、产、销等经营环节的作业链风险等。
(三)财务风险因素 财务风险是指在企业各项财务活动中由于内外环境及各种难以预料或控制的因素使财务系统运行偏离预期目标而形成的经济损失的可能性。财务风险是资本价值运动中存在的风险,按照资本运动的过程,可将财务风险划分为:(1)筹资风险。筹资活动是一个企业生产经营活动的起点,企业筹资的主要目的是为了扩大生产经营规模,提高经营效益。企业筹资渠道可以分为两大类,一类是所有者投资,另一类是借入资金。(2)投资风险。投资风险是指由于不确定因素的存在而使投资项目不能达到预期投资报酬,从而影响企业获利水平和偿债能力的风险。投资风险是所有财务风险的主导,主要有投资结构风险、投资项目风险、投资组合风险。(3)资金回收风险。资金回收风险是指投入的本金经过生产经营过程之后不能回到起点的风险。资金是企业生命的源泉,是企业经营之本,只有充足的资金才能保证企业生产经营活动的正常进行。企业资金回收风险的大小既与国家宏观经济政策尤其是财政金融政策紧密相关,又取决于企业的营销策略、信用策略和经营管理水平的高低。(4)收益分配风险。收益分配风险是指由于收益分配可能给企业今后的生产经营活动产生不利影响。合理的收益分配会提高企业声誉,调动投资者积极性,促进证券市场上股票价格上涨,给企业后期的筹资活动奠定良好基础。但不利的收益分配,也可能妨碍企业资金周转、降低企业偿债能为,挫伤投资者的积极性,降低企业信誉,导致股价下跌,这些都会对企业今后的发展带来不利影响。
(四)治理结构风险因素 公司治理是企业外部的所有者和债权人等利害相关者对企业实施控制并要求企业履行经管责任的过程。公司治理的质量反映了经营者履行经营质量和财务报告的质量。良好的公司治理结构有助于权力在股东大会、董事会、管理层及监督层之间的分配,并形成相互制约、相互平衡的机制,进而能在一定程度上防止公司管理层舞弊行为的发生。相反,如果公司治理机制残缺,管理层舞弊的概率则会明显加大。注册会计师可以通过对以下因素的分析来评估公司治理的风险:(1)董事会、审计委员会或监事会等治理层的独立性和能力。(2)经营者的能力和诚实性。注册会计师需要了解经营者的背景、管理能力以及影响经营管理的经济激励机制,以便识别委托动机和经营者对财务信息作出虚假报告的可能性。(3)主要利害相关者参与企业经营的程度。(4)关联方交易。不符合正常商业运作程序的关联方交易可能是舞弊的手段。(5)经营者报酬计划和经营激励机制。
(五)内部控制风险因素 内部控制是被审计单位为合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守,由治理层、管理层和其他人员设计和执行的政策和程序。注册会计师应当对以下构成内部控制要素的风险进行分析与评估:(1)控制环境。控制环境决定组织的风气,影响组织成员的控制意识。(2)风险评估。由于经济、行业、管制和营运条件处于变动中,因此企业管理层需要有一定的机制和程序来识别和应对这些风险。(3)控制活动。控制活动是保证经营者的指示得以执行的方针和程序,包括批准、授权、检验、调整、业绩复核、资产保全以及职务分工等一
系列的活动。(4)信息与沟通。信息与沟通是指将信息系统所识别、搜集的有关企业内部和外部的事项、活动和状况的信息在企业内部以及向企业外部进行传递。(5)对内部控制的监督。内部控制需要监督,监督是一个不断评价内部控制系统机能的过程,监督的形式可以有日常监督活动、独立评价或者两者的结合。
(六)会计错弊风险因素 会计错弊风险主要是指被审计单位在会计政策的选择和运用方面存在的错误或舞弊风险。错误是指导致财务报表错报的非故意行为,主要包括:为编制财务报表而收集和处理数据时发生失误;由于疏忽和误解有关事实而作出不恰当的会计估计;在运用和确认、计量、分类或列报(包括披露)相关的会计政策时发生错误等。注册会计师应了解审计单位对会计政策的选择和运用,是否符合适用的会计准则和相关会计制度,是否符合被审计单位的具体情况,并对会计政策的选择和运用可能导致的重大错报风险作出评估。在了解被审计单位对会计政策的选择和运用是否适当时,注册会计师应当关注下列重要事项:重要项目的会计政策和特殊行业惯例;重大和异常交易的会计处理方法;在新领域和缺乏权威性标准或共识的领域,采用重要会计政策产生的影响;会计政策的变更;被审计单位何时采用以及如何采用新颁布的会计准则和相关会计制度。
一、注册会计师审计风险管理系统结构
注册会计师审计风险管理贯穿于审计全过程,审计风险(质量)受多方面的利益主体关注,应多视角地实施审计风险管理,因而注册会计师审计风险管理在客观上要求建立一套有机的系统结构。
(一)按审计风险包括的层次划分
审计风险包括财务报表层次和认定层次的审计风险。注册会计师围绕审计总目标(对财务报表发表审计意见)考虑财务报表层次的审计风险,围绕具体审计目标考虑认定层次的审计风险。两个层次审计风险的个性使得审计风险管理包括财务报表层次和认定层次的审计风险管理;两个层次审计风险的共性使得存在通用于两个层次的审计风险管理。
1.财务报表层次审计风险管理
注册会计师针对评估的财务报表层次重大错报风险,依据该层次可接受的审计风险,确定可接受检查风险,进而确定财务报表审计的总体应对措施以及进一步审计程序的总体方案。注册会计师主要通过以上审计工作实现对财务报表层次审计风险的有效管理。
2.认定层次审计风险管理
在认定层次,注册会计师依据财务报表层次可接受审计风险,以及特定认定的固有风险评估水平和控制风险评估水平,确定该认定可接受检查风险,进而安排和实施进一步审计程序——控制测试和实质性程序。注册会计师主要通过以上工作对认定层次审计风险实施有效管理。
3.通用于两个层次的审计风险管理
两个层次审计风险的共性要求实施相应的通用审计风险管理,从而经济有效地实施审计风险管理。
(二)按审计过程划分
注册会计师审计一般包括审计准备阶段、审计实施阶段和审计报告阶段。对审计风险的管理必然具体落实在三个审计阶段中。因此,按审计过程划分,包括审计准备阶段审计风险管理、审计实施阶段审计风险管理和审计报告阶段审计风险管理。
(三)按审计风险管理的方式划分
注册会计师审计必须运用较多的职业判断,从而增加了注册会计师评价审计结果的不确定性,从而使得注册会计师审计风险管理既要采取结果控制方式,又要强调采取过程控制方式。因此,按管理方式划分,包括审计风险过程管理和审计风险结果管理。
在审计过程中,注册会计师通过严格遵守审计准则和注册会计师职业道德规范,实施应该实施的审计程序,保持应有的审计职业谨慎,认真编制审计工作底稿,实施审计风险过程管理;另一方面,会计师事务所必须认真建立和执行审计质量控制准则,从而强化对审计风险的过程管理。
审计工作成果体现为特定质量的审计信息,对该审计信息可靠性的评价体现为对审计风险管理的结果控制。但是,对审计工作成果的评价存在较大的不确定性,因而在审计实务中更强调审计风险的过程控制。
(四)按审计风险管理主体划分
在审计活动中涉及三方面的审计关系人,注册会计师担负着监督被审计单位管理层受托经济责任履行状况及维护审计委托人等合法利益的责任。审计主体执行审计工作,实施直接审计风险管理的主体是审计主体。被审计单位的治理层是理论上的审计委托人,其通过选择、保留、解聘甚至法律诉讼审计主体等方式,实施间接审计风险管理;对被审计单位管理层负有监督责任的政府监管部门,如证监会、财政部门、工商部门等,实施间接审计风险管理;对审计信息关注的其他利益主体,如银行等债权人、证券分析师、被审计单位客户、供应商、员工等,也实施间接审计风险管理。
因此,与审计风险管理主体相对应,包括直接审计风险管理和间接审计风险管理。
二、财务报表层次审计风险管理的主要措施
(一)风险评估及其总体应对措施
在该层次,审计风险=重大错报风险×检查风险。注册会计师考虑外部使用者对报表的信赖程度、审计报告出具后被审计单位发生财务困难的可能性、注册会计师对管理层正直性的评价等确定可接受审计风险。注册会计师通过风险识别、风险评估,首先识别与评估财务报表层次的重大错报风险,进而依据上述审计风险模型确定可接受检查风险。可接受检查风险指导注册会计师针对财务报表层次应采取的总体应对措施。
财务报表层次重大错报风险难以限于某类交易、账户余额、列报的特点,使得此类风险可能对财务报表多项认定产生广泛影响,并相应增加认定层次重大错报风险的评估难度。因此,注册会计师评估的财务报表层次重大错报风险以及采取的总体应对措施,对拟实施的进一步审计程序的总体方案具有重大影响。该影响体现为进一步审计程序的综合性方案或实质性方案。当评估的财务报表层次重大错报风险属于高水平,此时的进一步审计程序的总体方案更倾向于实质性方案。
(二)审计重要性水平在财务报表层次的应用
1.对财务报表层次重要性水平作出初步判断
注册会计师在审计初期制定其审计整体策略时,运用职业判断,确定财务报表中存在的被认为是重要的错报合并金额,该金额被定义为重要性的初步判断。其大小将随审计过程中环境的变化而变化。重要性的初步判断是注册会计师认为报表中可能存在错报,而又不影响理性使用者决策的最大金额。对重要性作出初步判断的目的是帮助审计师计划所要收集的恰当证据,如当重要性初步判断的金额较低时,需要收集更多的审计证据。
2.将财务报表层尚未更正错报金额汇总数与报表层重要性初步判断数比较
注册会计师通过在实施阶段实施审计程序,将所有发现的错报记录在审计工作底稿中,发现的错报包括已识别的具体错报和推断误差。当所有单笔核算误差不超过所涉及财务报表项目(或账项)层次重要性水平,在性质上不重要,并且财务报表层尚未更正错报金额汇总数小于财务报表层次重要性初步判断数时,注册会计师认为财务报表中不存在重大错报,此时应该对财务报表发表无保留意见。
(三)评价财务报表层次审计结果时的措施
在注册会计师完成审计计划并收集审计证据后,评价审计结果在财务报表层次的审计风险模型为:已实现的审计风险=重大错报风险×实际检查风险,可接受的审计风险=重大错报风险×可接受检查风险。注册会计师依据以上审计风险模型,通过重新评估财务报表层次的重大错报风险,改变财务报表层次实际检查风险,将财务报表层次实际审计风险降低到可接受审计风险水平之下。
1.改变重大错报风险评估水平
在更深入了解被审计单位及其环境,更深入地了解、测试和评价被审计单位内部控制的基础上,改变重大错报风险评估水平。
2.改变实际检查风险
当可接受检查风险相比计划阶段降低时,通过强化财务报表层次整体的总体应对措施,增加进一步审计程序总体方案中实质性程序量,从而降低实际检查风险;当可接受检查风险相比计划阶段升高,注册会计师认为采取的总体应对措施和已执行审计程序充分时,不再增加总体应对措施和实质性程序量。
三、认定层次审计风险管理主要措施
(一)各分块的审计风险管理
在认定层次,重大错报风险被分解为固有风险和控制风险,审计风险=重大错报风险×检查风险=固有风险×控制风险×检查风险,即在通常情况下,控制风险和固有风险按照每一个循环和账户分别确定。通常还须具体到每一个审计目标,但并不针对整个财务报表。因而在同一次审计中,不同循环、账户和目标可能有不同的控制风险和固有风险水平。
因为影响可接受审计风险的因素与整个审计有关,而不是与单个账户有关,注册会计师对审计的各个分块通常采用相同的可接受审计风险。可接受审计风险水平一般由注册会计师在计划阶段针对财务报表层设定,进一步被用于每一个循环和账户。但是在某些情况下,财务报表使用者可能会对某些账户存在更多的关注,某一账户与其他账户相比采用较低的可接受审计风险。
认定层次的可接受检查风险依据某认定特定的固有风险、控制风险确定,因此可接受检查风险和所需审计证据量随不同循环、不同目标而不同。
(二)分配重要性的初步判断数到财务报表各组成部分
注册会计师按照各个分块收集审计证据,审计的每一个分块的重要性的初步判断能帮助注册会计师确定收集恰当数量和质量的审计证据,因此,把重要性的初步判断金额分配到审计的各个分块是必要的。
复式簿记系统使得大多数损益表错报都会对资产负债表产生相等的影响,因此同时将重要性初步判断分配至资产负债表和损益表是不适当的,这样将导致重复计算,导致确定的可容忍错报偏低。所以重要性分配一般按照资产负债表账户进行,每个账户余额所分配的重要性初步判断数为可容忍错报。
(三)评价认定层次审计结果时的措施
在注册会计师完成特定认定审计计划并收集审计证据后,评价审计结果时认定层次审计风险模型为:已实现的审计风险=固有风险×控制风险×已实现的检查风险,可接受的审计风险=固有风险×控制风险×可接受检查风险。注册会计师依据以上审计风险模型,通过重新评估认定层次的固有风险、控制风险,改变认定层次实际检查风险,将认定层次实际审计风险降低到可接受审计风险水平之下。
1.改变固有风险评估水平
注册会计师根据对被审计单位的了解,确定固有风险评估水平。当随着审计进展发现了新的事实时,可能改变固有风险评估水平。
2.改变控制风险评估水平
如果被审计单位具有有效的控制,则注册会计师能够通过执行更大范围的控制测试改变控制风险评估水平。
3.通过增加实质性程序量降低实际检查风险
当评价审计结果时的可接受检查风险相比计划阶段降低时,审计师通过运用实质性分析程序、实质性细节测试收集审计证据,追加的审计程序和扩大样本量能够降低实际检查风险。当评价审计结果时的可接受检查风险比计划阶段更高时,则说明已经执行的审计程序是充分的,注册会计师不再补充执行审计程序,实际审计风险已被控制在可接受审计风险之下。
四、通用于两个层次的审计风险管理主要措施
(一)充分考虑风险计量的局限性
应用审计风险模型的主要局限在于难以对模型组成要素进行准确计量。尽管注册会计师在计划中尽了最大的努力,但是对可接受审计风险、重大错报风险(或固有风险和控制风险)和由此确定的可接受检查风险的评估仍有高度主观性,最好的计量结果只能接近实际。
根据既定的可接受检查风险水平计量所需证据量同样难以准确计量。企图把检查风险降至可接受水平的妥当审计方案是将各种审计程序结合使用,每一种审计程序收集适用于不同审计目标的不同类型审计证据。由于注册会计师计量方法存在不确定性,所以无法准确量化审计证据的数量,只能主观地评价审计证据量是否足以满足可接受检查风险的需要。
(二)修正风险和证据
审计风险模型主要是计划模型,其评价结果方面的作用有限。如果注册会计师收集了计划所需证据,并且原先高估了重大错报风险(或控制风险和固有风险),或者低估了可接受审计风险,注册会计师就认为对该账户或循环已经收集了充分适当的审计证据。
如果注册会计师针对所收集的审计证据,认为原先低估了重大错报风险(或控制风险和固有风险),或者高估了可接受审计风险,就必须特别注意审计证据的不充分性。在这种情况下,注册会计师应当采取以下措施:
一是必须修正对相关风险的初步评估。审计师明知初步评估不恰当却不予更正,就违反了职业谨慎原则。
二是充分考虑审计风险模型的局限性。审计师应当在不应用审计风险模型的情况下,考虑修正特定风险对审计证据需要量的影响。审计研究表明,如果修正特定风险并应用于审计风险模型,以确定修正的可接受检查风险,则存在不能充分增加审计证据的危险。此时,审计师应当撇开审计风险模型,主观评价修正特定风险的影响,恰当地修改审计证据量,即更多地使用审计职业判断。
(三)风险、重要性与审计证据间的密切联系
审计中的重要性和风险密不可分。风险是对不确定性的计量,而重要性则是对影响程度或错报规模的计量。将两者结合起来,实现对特定金额的不确定性评价。举例说明,注册会计师计划收集审计证据,以使没有发现超过可容忍错报10万元的错报只有5%(可接受审计风险)。如果只说明5%的风险而不指出具体的重要性程度,则意味着100元和100万元的错报都是可接受的;只说明10万元的错报而不说具体的风险水平,则意味着1%的风险或80%的风险都是可接受的。
因此,在收集审计证据过程中,注册会计师必须将重要性与风险结合使用,两者缺一不可、相互补充。
【参考文献】
1.整合审计的依据分析
对企业内部控制的审计可由企业聘请注册会计师单独进行,也可将内部控制审计与财务报表审计两项交由聘请的注册会计师进行整合审计,此为我国现行法规规定所允许,也是整合审计的政策依据根据国外的内部控制审计的实践及研究成果,高成本制约着内部控制审计的发展进程。如果对两者单独进行,可能存在以下问题:由于不同注册会计师的业务水平和思想认识不同,对同一企业内部控制的评价认识上可能出现不一致;不同的注册会计师由于所确定选择的审计范围和审计方法不同以至于形成不同甚至相互矛盾的结论;不同的注册会计师进行审计,两者工作得不到互相对接和印证。另外还造成工作量叠加,重复劳动等不利结果,这样势必影响内部控制审计的质量以及效果和效率,这为两者的整合审计提供了必要性。
因此,应内部控制审计和财务报表审计进行必要的整合,提高注册会计师的审计质量和效果,节约审计资源,为内部控制的有效性提供合理保证,为财务报告的可靠性提供支撑,促使内部控制审计在我国的顺利实施,为经济发展保驾护航。
2.审计计划阶段的整合
内部控制审计和财务报表审计都需要编制计划,但由于审计的具体目标不同,计划的内容会各有所侧重。风险评估、公司经营的规模及相对复杂程度、利用相关人员工作等方面是注册会计师在计划内部控制审计时所要主要关注的。而在计划财务报表审计时则要考虑被审计单位行业状况、风险评估程序、拟实施的审计程序的性质、范围和时间等。
由于是同一会计事务所对同一被审单位进行进行两项审计,尽管两者审计的审计计划内容存在差异,但是在制定计划时考虑的内容有很多相同之处,因此可以对审计计划进行整合,编制一份审计计划,对不同的部分分述,相同或相关的部分进行整合列示。比如在计划中都要说明被审计单位的概况,确定的审计范围、重大错报风险的领域、关于相关人员的利用以及拟依赖程度、确定相同的重要性水平等,对上述方面可整合列示进行。
3.审计实施阶段的整合
3.1审计方法的整合
内部控制审计和财务报表审计采用的审计方法策略不同,分别采用是自上而下审计方法和风险导向审计方法,但是两者都在重大错报风险的识别、评估和应对审计工作中发挥作用。自上而下的方法要求注册会计师首先应了解并测试企业层面控制、业务层面控制、然后引导其找出可能会导致财务报表发生重大错报的账户、列报及认定上,也体现了风险导向的特点。财务报表采用的风险导向审计最主要的特点是突出了对重大错报风险评估,并以此为基础开展剩下的审计工作,可见两者都贯穿了风险导向的审计理念。内部控制审计中对内部控制的识别和测试,为注册会计师在财务报表审计中所进行的风险评估提供了佐证依据,而财务报表审计中所作的风险评估,使注册会计师在内部控制审计中强化了对内部控制深入了解。
3.2审计程序的整合
在内部控制审计中,注册会计师通常需采取识别企业层面控制、业务层面控制、与舞弊风险相关的控制,识别错报的可能来源 、控制测试、评价控制缺陷等程序。注册会计师进行的财务报表审计程序分为风险评估程序、控制测试和实质性程序三方面。从以上论述可见两者的审计程序在风险评估和控制测试方面相重合,可以进行必要的整合。比如,针对风险评估方面,两者都要进行,但评估结果满足两者的不同需要,内部控制审计可以根据评估结果,确定重大缺陷的高风险领域,关注重要的账户及认定,确定对相应控制的测试,决定针对特定控制所需收集的证据;财务报表审计则根据评估结果,确定重要性水平,识别和评估财务报表层次的重大错报风险,识别需要特别考虑的领域,设计和实施进一步审计程序。
3.3审计证据的整合
为了合理保证审计目标的实现,支撑两种审计得出结论,注册会计师必须获取充分、适当的证据。采取有效方式收集相关审计证据,无论是对于内部控制审计还是对于财务报表审计都是其工作的核心环节。尽管两者在审计证据收集的方法、时间方面有重大区别,但并不影响两者在审计证据方面的整合,工作成果的相互利用。
进行内部控制审计,需要对期末财务报告内部控制的有效性发表意见,因此,倾向于获取时点的证据,注册会计师往往在接近管理层内部控制评估日,测试内部控制,采用检查记录、观察、询问、穿行测试等方法,收集必需的审计证据。
在财务报表审计中,审计证据的收集方法包括盘点、审阅、观察、询问、函证、分析性程序、重新执行和重新计算等。财务报表审计收集的是期末整个时段的证据。
4.完成审计工作的整合
在完成审计工作阶段,注册会计师应当取得企业的书面说明,通过对各种来源的证据的分析评价,得出审计结论。
注册会计师在出具审计报告前,内部控制审计和财务报表审计都需要就有关事项进行必要的沟通,对此时段的工作可以进行必要的整合。在沟通过程中,注册会计师可用充分的证据,说明企业内部控制存在的问题,内部控制无论是设计失效还是运行失效都会影响到企业的发展,影响到财务信息的可靠性,使企业对内部控制存在的问题有清晰、透彻的了解,认识到内部控制的重要与必要性,为企业的持续健康发展提供保障。这样也兼顾考虑了社会效益和注册会计师的长远利益,树立注册会计师经济卫士的良好形象。
综上所述,合理保证会计报表的公允性是财务报表审计目标,合理保证内部控制的有效性是内部控制审计的目标,只因他们有着的共同目标:为了报表使用者获得可靠的财务信息,促进企业战略目标的实现,两者的整合才具有了广泛的意义。两者的关联性,为整合审计提供了可能。整合能够节约审计资源、降低成本,为整合审计提供了必要性。但我国刚刚实行注册会计师内部控制审计,有很多问题需要探讨,而整合审计更有待进一步的实证检验过程。
参考文献:
2008年7月,财政部等五部委联合的《企业内部控制基本规范》规定,执行本规范的上市公司,应当对本公司内部控制的有效性进行自我评价,披露年度自我评价报告,并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。2010年4月,财政部等五部委再次联合的《企业内部控制审计指引》总则第五条规定,注册会计师可以单独进行内部控制审计,也可将内部控制审计与财务报表审计整合进行。这为内部控制审计和财务报表审计整合进行提供了依据。
一、风险评估程序:财务报表审计以内部控制审计为依据
(一)财务报表审计风险评估程序
风险评估程序是内部控制审计和财务报表审计的第一个共同程序。财务报表审计中的风险评估程序,注册会计师需要了解和评价的被审计单位内部控制的范围是与财务报表相关的方面;了解和评价的广度应以是否足以识别和评估财务报表的重大错报风险为衡量标准,如果达到了这一标准,注册会计师即可开始设计和实施下一步的审计程序;了解和评价的深度也基本限于内部控制的设计是否健全及其是否得到有效执行,但其中不包括对内部控制是否得到一贯执行的确定;了解和评价的目的是判断是否可以相应减少实质性测试程序的工作量,以及用来支持财务报告的审计意见类型。
(二)内部控制审计风险评估程序
内部控制审计中的风险评估程序,注册会计师的目的是为了对内部控制本身的有效性发表审计意见,其范围涉及到企业整体的内部控制,内容包括内部环境、风险评估、控制活动、信息与沟通、内部监督五个方面,并且还需确定内部控制是否得到一贯执行。
(三)两种审计在风险评估程序的整合要点
内部控制审计的风险评估程序了解和评价被审计单位内部控制的广度和深度均超过了财务报表审计,在审计实务中,可以将两者在此程序需要完成的工作整合进行,即风险评估程序中财务报表审计应充分利用内部控制审计所获得的更为广泛的信息,并从中取得进行下一步审计程序的充分依据,这样可以大大降低工作量,避免重复劳动,进而提高了审计效率,降低了审计成本。
二、控制测试程序:内部控制审计为财务报表审计提供结论
(一)控制测试程序并非财务报表审计的必需程序
财务报表审计中,注册会计师通过对被审计单位内部控制的了解和评价来决定是否对内部控制的有效性进行测试。如果被审计单位设计的内部控制本身是无效的,或者设计是合理的,但没有得到执行,注册会计师则不必实施控制测试,而是直接实施实质性测试;如果被审计单位所设计的内部控制能够防止或发现并纠正重大错报,即认为内部控制是有效的,注册会计师应当实施控制测试。这样,就进入了两种审计的第二个共同程序,即控制测试程序。
(二)两种审计控制测试程序的区别
在控制测试程序中,内部控制审计与财务报表审计有三点区别:第一,内部控制审计要对被审计单位内部控制的有效性发表审计意见,而财务报表审计仅仅对与财务报表相关的内部控制进行测试。与风险评估程序相同,内部控制审计进行控制测试的广度和深度仍大于财务报表审计所进行的内部控制测试。第二,在内部控制审计中,注册会计师需要获取能够证明内部控制有效的高度相关的证据,对控制测试可靠性的要求较高,样本量较大且选择弹性较小;财务报表审计对控制测试可靠性的要求相对较低,测试的样本量相对较小且存在一定弹性。第三,两者对内部控制缺陷的评价要求也不同。财务报表审计中,注册会计师仅需将内部控制测试识别出的缺陷区分为值得关注的内部控制缺陷和一般内部控制缺陷;而在内部控制审计中,注册会计师需要对识别出的内部控制缺陷进行严格评定,将值得关注的内部控制缺陷进一步区分为重大缺陷和重要缺陷,重大缺陷会影响到审计意见类型。
(三)两种审计在控制测试程序的整合要点
注册会计师为了对内部控制有效性发表恰当的审计意见,需要获取比财务报表审计更多、更广泛、可靠性也更高的审计证据。因此,内部控制审计的控制测试可以直接为财务报表审计提供审计证据甚至提供结论,财务报表审计对内部控制审计在控制测试环节所取得的审计证据及得出的审计结论的充分利用,将使审计效率得到进一步提高。
三、财务报表审计实质性测试与内部控制审计控制测试:相互利用、相互支持
(一)财务报表审计实质性测试程序对内部控制审计控制测试程序的影响
经过控制测试,财务报表审计进入实质性测试程序。在这一程序中,注册会计师可能会发现被审计单位的财务报表存在错报甚至重大错报,这将会影响内部控制审计中控制测试的时间、性质和范围。这是因为如果现有的内部控制不能防止或发现并纠正这些错报甚至重大错报,就意味着在错报相应的控制点上可能存在内部控制缺陷,这将为注册会计师进一步审查内部控制缺陷提供重要线索。
(二)内部控制审计控制测试程序对财务报表审计实质性测试程序的影响
在内部控制审计的控制测试程序中发现的内部控制缺陷能为注册会计师在财务报表审计中对哪些交易和认定重点实施审计指明了方向,因为如果发现内部控制存在某项重大缺陷,则财务报表在相应的账户就可能存在重大错报,就会影响财务报表审计中实质性测试的时间、性质和范围,审计人员应当根据实际发现的内部控制缺陷对实质性测试的审计程序进行调整。
(三)财务报表审计实质性测试与内部控制审计控制测试的整合要点
对于两种审计的整合来说,财务报表审计的实质性测试与内部控制审计的控制测试是相互利用、相互支持的,将两种审计在这两个程序所取得的审计证据及得出的审计结论相互利用、相互支持能提高审计效率,降低审计风险,最大限度地保证审计质量。
四、审计计划的综合制定
内部控制审计和财务报表审计整合进行的审计计划制定是以对审计程序的整合要点分析为基础的,因此在分析了两种审计的审计程序整合要点之后,具体阐述如何根据整合要点综合制定审计计划。
(一)两种审计方式审计计划制定的重点
为达到充分整合内部控制审计和财务报表审计的目的,内部控制审计和财务报表审计应尽量由同一组审计人员实施,两种审计的审计计划也应共同制定。结合以上对审计程序的分析,对被审计单位的风险评估程序和控制测试程序主要由内部控制审计完成,在内部控制审计计划中应详细制定这两项审计程序的计划,在财务报表审计计划中可以对这两项审计程序的计划简化表述,但应重点对实质性测试程序的计划详细编制。
(二)审计计划的持续修订是审计质量的重要保证
随着审计工作的推进,注册会计师要根据审计发现的新情况、新问题,适时对总体和具体的审计计划做出调整和修正。具体来讲,如果审计人员在内部控制审计计划实施过程中发现内部控制存在重要缺陷,审计人员应及时修正财务报表审计的实质性测试计划。同样,如果在财务报表实质性测试中发现财务报表存在重大错报,也应该考虑该重大错报对内部控制审计计划的影响,考虑是否增加内部控制审计的具体程序,扩大审计范围,以保证审计发现内部控制设计及运行中的重大缺陷。需要特别指出的是,对审计计划的调整和修正应贯穿于整个审计业务的始终,以保证审计计划能够对两种审计的整合进行起到重要的规划和指导作用,有效地提高审计质量,最大限度地降低审计风险。
参考文献:
①中华人民共和国财政部等.企业内部控制基本规范[M].北京:中国财政经济出版社,2008:1—5
②中华人民共和国财政部等.企业内部控制审计指引. 财会〔2010〕11号
③谢晓燕,张龙平,李晓红.我国上市公司整合审计研究[J].会计研究,2009(9):88—94
在新准则推行期初,许多CPA存在一种对新事物本能的抵触情绪,怀疑、曲解、甚至否定。新准则推行后,又由于一些CPA被新准则的庞大体系和精深内涵所迷惑,加之自身对准则学习、认识和理解不足,产生畏难感,从而使得相当多的CPA对新准则观望、等待甚至抵制,增加了推行新准则的难度、成本和时间。
从近两年执业质量检查的情况可以看出,许多CPA对风险导向审计程序的认识至今仍是一知半解甚至仅略知一二,未掌握如何正确履行风险评估程序,比如,不知道应具体从哪些方面了解以及如何了解被审计单位及其环境,不知道如何从整体层面和业务流程层面来了解和评价被审计单位的内部控制,不知道如何根据了解的情况对被审计单位进行风险评估。在编制工作底稿时,能够获取信息或资料的就填一点,不能获取的就空在那里,使得对风险评估的审计程序时断时续,不成体系;或者获取了一些信息或履行了一些审计程序,却往往没有结论,即使有结论却抓不着重点、找不到关键,不清楚如何根据了解和掌握的信息对被审计单位可能存在的审计风险进行评估'更不知道如何根据评估的审计风险确定重点审计领域并指导实施进一步审计程序。风险评估程序成为了应付执业质量检查的形式主义。
此外,许多CPA对认识风险导向审计的本质内涵存在两个误区:
误区一,认为风险导向审计之所以可以节约审计资源,就是因为有风险的领域才审,没有风险的领域可以不审,所以,实施风险导向审计仅需审计评估后有风险的领域;
误区二,认为由于不管有无审计风险,所有的报表项目都必须实施实质性程序,所以,不如不实施风险评估程序而直接实施实质性程序。
二、CPA审计实务中存在的问题
(一)一知半解,无从下手
一些CPA对风险导向审计的理论实际上仅是一知半解,真正需要其动手实施风险评估程序时往往又无从下手。
一方面,通过培训和实践'绝大多数CPA在理论上知道应该从哪几个方面去了解被审计单位及其环境,但真正到实务操作时,许多CPA还是知其一不知其二,不知道应具体从哪些渠道究竟应实施哪些审计程序不知道哪些信息和因素可能会对被审计单位产生何种重大错报风险,更谈不上如何分析可能产生的重大错报风险。
另一方面,一些CPA尽管收集了与被审计单位生产经营有关的大量信息,但不懂得如何梳理和寻找对被审计单位可能产生重大影响的信息。不知道如何分析和评估有关信息对被审计单位财务报表可能产生的重大影响,特别是如何评估出可能产生的经营风险和重大错报风险,或者就是发现了经营风险和重大错报风险,但又往往不知道如何确定总体应对措施以及设计和实施进一步审计程序。并且由于所收集的信息来源广泛,一些CPA往往不对也不懂对资料进行必要的分析和取合。
再一方面,一些CPA对在整体层面和业务流程层面对被审计单位内部控制应该分别了解的要求和内容缺乏清晰认识;还有一些CPA不知道究竟应该如何正确划分业务循环,不知道如何按照各业务循环对被审计单位业务流程层面的内部控制进行了解和评价,更有一些CPA即使面对了解到的在整体层面和业务流程层面对被审计单位可能产生重大错报风险的信息,但往往也不知道如何进行利用、分析、编制风险评估的工作底稿并指导后面的进一步审计程序。
(二)形式主义、敷衍应付
尽管一知半解,对风险评估程序无从下手,但大多数CPA还是勇敢“下手”了,那实际“下手”的情况究竟如何呢?
从笔者对一些CPA执行风险评估程序实际现场情况的调查发现,许多审计项目常常是前面的风险评估程序还没有完工,后面的进一步审计程序就已经收工。整个审计项目完成后,表面看,审计工作底稿似乎履行了风险评估程序,但实际上根本谈不上在评估审计风险的基础上去导向、指引后面的进一步审计程序,是典型的形式主义。
还有一些CPA,在先行完成了进一步审计程序后,为了使得工作底稿具备风险评估的内容,仅是在工作底稿归档前象征性地搞一些风险导向审计的内容,这本质上就是弄虚作假。一些CPA执行风险评估各阶段的审计程序常缺乏连贯性,工作底稿之间没有任何关联,了解的具体情况与风险评估之间、风险评估与应对措施之间往往总是严重脱节。底稿看似规范,但风险评估与进一步审计程序缺乏关联和衔接。更有部分CPA只是按照固定格式的风险评估的工作底稿填空,机械甚至麻木地在对被审计单位的调查表格上打钩、打叉,根本不理解并去真正了解和调查具体情况。
上述种种问题,从CPA自身角度分析,一方面是由于许多CPA对新准则没有能够完全学懂弄通,另一方面是因为我们的风险导向审计准则规定了风险评估审计程序必须实施,许多CPA在一知半解的情况下只好为了有风险评估的工作底稿而依样画葫芦,搞形式主义,敷衍应付,甚至弄虚作假。
三、解决风险评估审计程序执行问题的思路
(一)正确认识新审计准则的三大变化
笔者认为,首先要解决对新准则理解和认识上存在的问题。在老准则下,许多CPA已习惯于将被审计单位的会计账簿作为唯一的审计对象和审计范围,所实施的审计程序也是围绕会计账簿、凭证和会计处理方法等数据方面的内容,但必须注意的是,新准则下的审计对象、审计范围和审计程序发生很大变化:
1 审计对象的变化
新准则不仅包括对会计数据的审计,而且还包括对会计数据可能产生重大影响的所有信息的了解和评价,CPA要能够通过对相关信息的了解、评价来评估审计风险,并据此计划和实施相应的审计程序。由此可见,新准则已把审计对象主要由会计资料扩展到对被审计单位财务报表可能产生重大错报风险的所有相关的领域、信息或事项。
2 审计范围的变化
CPA要了解和评估被审计单位的重大错报风险,不能仅考虑被审计单位的内部情况,还应该分析被审计单位的外部因素,即要能够分析和评估与被审计单位经营有关的外部因素对被审计单位财务报表的影响。所以,CPA要改变以往仅把审计视角放在被审计单位内部的习惯,要把审计视角和审计范围扩大到被审计单位外部,要善于分析与被审计单位经营有关的各种外部因素,以适应执行新准则的需要。
3 审计方法和审计程序的变化
新准则不仅要实施传统的以制度为基础的审计方法和审计程序,而且还要把审
计方法和审计程序扩展为包括了解、评价、评估、分析和测试等凡是能够发现被审计单位财务报表可能产生重大错报风险的所有的审计方法和程序,即CPA不仅要懂得传统审计方法,而且更要学会和熟悉与各类信息打交道的了解、分析和评估等方法和程序。可见,在新准则下,CPA的审计方法和审计程序也由原来单一的、平面的初级版变成综合的、立体的高级版。
(二)从五大方面改变对新准则的认识和执行
1 要从思想根源上切实改变审计理念
CPA务必树立新的风险导向的审计理念在整个审计的全过程中’CPA都必须围绕着:“寻找审计风险一评估审计风险一如何降低审计风险一风险有无降低”的主线展开。
即CPA必须先寻找并评估其是否属于重大错报风险,在对被审计单位存在的重大错报风险正确判断的基础上,再针对评估出的重大错报风险实施相应的审计程序,且所实施的审计程序必须能够将审计风险降低至可接受的低水平。
可能有人要问,什么是审计风险?审计风险源自何处?笔者认为,我们CPA的审计风险从根源上讲,就源于被审计单位对财务报表可能存在的因错误或舞弊而产生的重大错报风险,如果CPA的审计不能发现这些风险或对这些风险不能获取合理的保证,就形成了我们CPA的审计风险。
2 审计全过程要始终重点关注四大风险
可能又有人要问,被审计单位的重大错报风险究竟由那些方面组成呢?笔者认为,CPA在围绕审计主线开展审计的全过程中,就要始终并时刻重点关注这以下四大重大错报风险。
一是被审计单位在生产经营过程中可能存在的经营风险(从企业所处的行业环境和企业整体进行分析);
二是被审计单位在内部控制方面可能存在的内控风险(分别从内部控制的整体层面和业务流程层面分析);
三是被审计单位可能存在的舞弊风险,特别是被审计单位管理层、治理层凌驾于内部控制之上的舞弊风险;
四是被审计单位财务报表可能存在的列报风险。
3 注意审计对象和审计范围的改变
CPA不仅要改变以往就账查账的老习惯,而且更要把审计范围、审计对象及审计视野扩展到会计账簿以外,扩展到可能给被审计单位财务报表产生重大错报风险的所有的相关领域、信息或事项,包括能够从被审计单位外部获取的各类信息和证据,应重视对被审计单位财务报表可能产生重大影响的内、外部的各种信息。
4 注意审计方法和审计程序的改变
ComparingontheTacticsofRiskAssessmentofTraditionalRisk-basedAuditandModernRisk-basedAudit
Abstract:TraditionalRisk-basedAuditandModernRisk-basedAuditarethetwophasesthatRisk-basedAudithasevolved.tacticsofriskassessmentofTraditionalRisk-basedAuditandModernRisk-basedAuditdifferfromeachotherwhiletheystillhavesomesimilarities.ThispaperdoestheComparionontheTacticsofRiskAssessmentfromthefollowingfouraspects:orientationofriskassessment,extentofriskassessment,proceduresofriskassessmentandmethodsofriskassessment.
Keywords:TraditionalRisk-basedAuditModernRisk-basedAudit
TacticsofRiskAssessmentAuditrisk
一、引言
传统风险导向审计和现代风险导向审计是风险导向审计模式发展的两个不同阶段。传统风险导向审计和现代风险导向审计均以风险评估为起点,同时都将风险与控制方法贯穿运用于审计全过程,使审计过程成为一个不断克服和降低审计风险的过程。因此传统风险导向审计和现代风险导向审计两种审计模式在风险评估策略上存在一定的相同之处,但同时更多地体现出了差异。鉴于两种审计模式的风险评估策略较易被混淆,本文拟对两种审计模式的风险评估策略作一比较,对两者差异加以初步探讨。二、传统风险导向审计和现代风险导向审计涵义
(一)传统风险导向审计传统风险导向审计也称为控制风险导向审计[1]。审计模式发展到传统风险导向审计的标志性事件是AICPA在1983年了第47号《审计准则公告》(SASNo.47)——“审计业务中的审计风险和重要性”,首次提出了审计风险模型。传统风险导向审计是指审计人员在审计过程中将风险分析、评价与控制融入传统审计方法(账项导向审计和制度导向审计)之中,进而获取审计证据,形成审计结论的一种审计取证模式。传统风险导向审计的基本程序并没有脱离制度导向审计模式,但它在制度导向审计模式的基础上更加注重风险评估和风险管理。针对制度导向审计不直接处理审计风险,不能对审计风险进行量化的缺点,传统风险导向审计引入审计风险模型,通过该模型将从各种渠道所收集的证据联系了起来,并在此基础上对审计风险进行定量评估,将审计资源相对合理的分配到高风险领域。(二)现代风险导向审计
现代风险导向审计也称为经营(商业)风险导向审计、风险基础战略系统审计。1997年,Bell和Frank发表了名为《通过战略系统的视角对组织进行审计》的研究报告,首次提出了毕马威的BMP审计模式,这标志着现代风险导向审计的产生。现代风险导向审计是审计技术方法在系统和战略管理理论基础上的重大创新,它以被审计单位的战略经营风险为导向,通过“战略分析——流程分析——经营业绩评价——财务报表剩余风险分析”的基本思路,将报表重大错报风险和经营风险联系了起来,从而提出了审计师从源头分析和发现会计报表错报的观念[2]。现代风险导向审计针对传统风险导向审
计风险评估不到位,未能有效发现高风险审计领域,造成审计过量或审计不足的缺点,大大加强了风险评估程序,做到了以风险评估中心,真正体现了风险导向审计的理念。
2003年10月国际审计和保证准则委员会(IAASB)了国际审计准则第315号(ISA315)“了解被审计单位及其环境并评估重大错报风险”,将传统风险导向审计下的审计风险模型修改为:审计风险=重大错报风险×检查风险,明确规定了审计工作以评估财务报表重大错报风险作为新的起点和导向。这就导致了实务中普遍运用的现代风险导向审计在审计风险模型和审计具体风险导向等上和准则规定产生了一定的差异。鉴于这一点,特别指出本文所称的现代风险导向审计是指国际会计师事务所在实务中运用的以战略经营风险为导向的现代风险导向审计。二、传统风险导向审计和现代风险导向审计风险评估策略比较
风险评估是指对审计风险的评估。美国注册会计师协会(AICPA)认为审计风险是指审计人员对于存在重大错报的财务报表未能适当发表意见的风险[3]。风险评估的目标就是确定
高风险环节,从而确定审计的范围和重点,并进一步确定如何收集、收集多少和收集何种性质的证据,以便更有效地控制和提高审计效果及审计效率。策略,是根据形势发展而制定的行动方针和方法。借鉴中注协(1997)对审计策略的定义,笔者将风险评估策略定义为审计人员根据确定的风险评估范围,选择能够达到风险评估目标而应当实施的最有效风险评估程序的基本思路、组织方式和具体方法。在本文中,笔者从风险评估导向、风险评估范围、风险评估程序、以及风险评估具体方法四个方面来比较两种审计模式的风险评估策略。
(一)风险评估导向
虽然国际审计准则规定,在传统风险导向审计下审计人员首先应当对财务报表整体层次和交易类别、账户余额认定层次的固有风险进行评估,但由于固有风险和控制风险都受内外部环境的,两者很难区分,因此审计人员通常难以对固有风险单独做出准确评估。又鉴于稳健性原则的考虑,实务中审计人员往往将固有风险简单地确定为高水平,从而将风险评估重点锁定在控制风险上。因此在实务中,传统风险导向审计实际上是以对控制风险进行的评估为切入点的,所以传统风险导向审计是以控制风险为导向的。
现代风险导向审计强调:审计人员的审计风险[i]主要来源于企业财务报表的错报风险,而企业财务报表的错报风险则主要来源于整个企业的战略管理风险和经营活动风险[4]。所以要充
分理解审计风险,审计人员就必须从企业的战略分析入手,充分识别企业内、外部风险并理解内外部风险对财务报表认定的影响。因此,现代风险导向审计并不直接从对固有风险的评估入手,而是间接地以被审计单位的战略经营风险为导向,通过综合评估战略经营风险从而确定财务报表剩余风险,并进一步确定实质性测试的范围、时间和程序。因此,现代风险导向审计是以战略经营风险为导向的。(二)风险评估范围
在实务中运用传统风险导向审计时,审计人员往往忽略对固有风险的准确评估,而将固有风险简单地确定为高水平。因此在传统风险导向审计下审计人员往往不注重从宏观层面上了解企业及其环境(如行业状况、监管环境;企业的性质;企业的目标、战略、以及可能导致会计报表重大错报的相关经营风险;对企业财务业绩的衡量和评价)[5],而只关注企业的内部
控制。因此,在传统风险导向审计方法下,审计人员实际上只仅仅依赖对控制风险所作的粗放型评估来直接、大致确定检查风险水平。
现代风险导向审计要比传统风险导向审计站得更高,看得更远,对企业了解得更透。它将被审计单位置于广泛的系统中,认为有效的审计需要对企业所处的宏观经济环境和行业环境、战略目标和措施、影响企业目标实现的主要业务活动和关键经营环节以及剩余风险进行深入的了解。在现代风险导向审计下审计风险仍然由固有风险、控制风险和检查风险三要素组成,审计人员也同样要对固有风险和控制风险进行评估。但是相比传统风险导向审计,现代风险导向审计下“固有风险”的内涵扩大了,除了包括会计报表项目本身的风险外,更多地考虑了企业的经营风险。而且在现代风险导向审计下,企业内部控制已经发展到内部控制框架阶段,并有被企业全面风险管理框架取代的趋势,相比传统风险导向审计下的内部控制结构概念,现代风险导向审计下对控制风险进行评估时考虑的因素则更加全面了。
(三)风险评估程序传统风险导向审计风险评估的基本程序可表示为:固有风险评估了解被审计单位的内部控制结构控制风险初步评估控制测试(可选)控制风险综合评估确定检查风险。审计人员在对固有风险进行评估时主要考虑以下因素:管理人员的品行、能力、变动情况和遭受异常压力的情况;客户业务特征;关联方;非常规交易;以前审计结果等。但由于种种原因,实务中审计人员往往忽略对固有风险的准确评估,通常的做法是将固有风险简单地确定为高水平,而将风险评估的重点放在控制风险上。审计人员在对被审计单位的内部控制进行了解时,首先从控制环境入手,再对制度和控制程序进行分析。分析控制环境时主要考虑以下因素:管理和经营作风;组织机构;董事会及审计委员会职能;人事政策和程序;确定职权和责任的等。然后审计人员基于当前对内控的了解对控制风险水平进行初步评估(计划估计水平)。如果审计人员将某一控制的控制风险初步评估为最高值,则对该控制不需执行控制测试而直接进入实质性测试阶段;但如果审计人员将某一控制的控制风险评估为低于最高值时,则就需要对该控制执行控制测试,从而来获取证据以支持低于最高值的风险水平。控制测试完成以后,审计人员对被测试控制的控制风险进行再次评估(最终估计水平),并根据最终估计水平来决定相应的检查风险水平。风险导向审计风险评估的基本程序可用下图表示。如图所示(由于不能粘贴,此处图略),审计人员首先需要对客户的战略进行分析,分析时需要对客户的内外部环境进行了解,包括客户行业状况、监管环境以及其他外部因素(宏观环境等);被审计单位的目标、战略以及面临的经营风险;对威胁企业战略的风险做出的反应等。对客户的战略进行分析后即可对战略风险做出评估。现代风险导向审计下内部控制被分为管理控制(战略控制、高层控制)和流程控制(一般控制、员工控制)[6],在对客户的战略进行分析时同时要对战略控制进行了解并进行评价。然后审计人员对客户的流程进行分析,分析时可从流程目标、投入、作业、交易类型、威胁流程目标的风险等八个维度来了解流程情况[7]。通过流程分析可
以了解客户创造价值的方式、竞争优势及劣势、威胁,从而来评估流程经营风险。在对客户的流程进行分析时同时要对流程控制进行了解并进行评价。在对战略经营风险和流程经营风险进行评估时特别要注重对舞弊风险的评估。然后在此基础上来对固有风险进行初步评估,在评估时除了要重点考虑经营风险可能引起的重大错报之外,还要考虑其他可能引起重大错报的因素(管理当局遭受的异常压力等)。审计人员在对客户的战略和流程进行分析时已经从企业整体层次对内部控制进行了了解(战略控制和流程控制)并做了评价,在这个基础上还要对内部控制的其他方面进行了解并给予评价,特别是要关注有关交易重要类别的控制。基于对内部控制充分的了解,审计人员然后对控制风险进行初步评估。由于固有风险和控制风险都受企业内外部环境的,两者之间存在着紧密的联系,因此审计人员在单独对固有风险、控制风险进行初步评估的基础上还须对两者进行综合评估,即固有风险和控制风险的联合。对联合风险的评估是审计工作的核心,因为接下来其余的审计工作都要围绕联合风险来进行,联合风险的评估结果是审计人员决定实质性程序性质、时间以及范围的基础[8]。然后审计人员对值得信赖的控制进一步执行控制测试,从而来获取支持其较低控制风险水平的证据。最后根据控制测试结果并结合联合风险评估水平,审计人员对会计报表重大错报风险进行综合评估,从而来确定会计报表剩余风险(即检查风险),并进一步决定实质性程序的性质、时间以及范围。(四)风险评估具体方法风险评估的方法主要有观察、检查、函证、询问、穿行测试、分析性程序等多种审计取证手法。虽然传统风险导向审计客观上要求大量使用分析性程序来进行风险评估,但由于实务中审计人员往往忽略对固有风险的准确评估,因此限制了分析性程序的运用范围。而且传统风险导向审计对于信急的再加工重视程度不够,分析性程序主要适用在报表分析上[9]。而在现代风险导向审计下,风险评估以分析性程序为中心,分析性程序成为最重要的程序。而且随着分析性程序功能的不断扩大,分析性程序开始走向多样化,审计人员不仅对财务数据进行分析,同时也对非财务数据进行分析。由于分析性程序的多样化运用,大量的分析工具以及现代管理方法被运用到分析性程序中去。如在战略分析时审计人员运用了PSET分析和POPTER分析方法;在流程分析时运用到了价值链分析(VCA))和波士顿矩阵(BCG)以及SWOT分析方法;绩效分析时运用到了平衡积分卡(BSC)和标杆管理(Benchmarking)分析技术[10]。将分析工具运用到风险评估中使得风险因素不再独立,而且风险评估不再是一元评估,而是多元评估,因此风险评估的结果将更加可靠。
三、结论
1.风险评估导向不同:
虽然国际审计准则规定传统风险导向审计应以固有风险为切入点,但在实务中传统风险导向审计实际上是以控制风险为导向的;而现代风险导向审计则是以战略经营风险为导向的。
2.风险评估范围不同:
审计人员在实务中运用传统风险导向审计时往往会忽略对固有风险的准确评估,只通过对控制风险所作的粗放型评估来决定实质性测试的性质、时间和范围;而现代风险导向审计下审计人员除了要对传统的固有风险,即会计报表项目本身的风险进行评估之外,更多地是要考虑企业的经营风险,特别是注重对舞弊风险的评估[11]。同时由于内部控制概念内涵的扩
大,审计人员在对控制风险进行评估时考虑的因素相比传统风险导向审计下更加全面了。
3.风险评估程序不同:相比传统风险导向审计,由于现代风险导向审计增加了对企业战略和经营流程的分析,以及对经营风险的评估,而且最后将固有风险和控制风险联合起来进行评估,因此在评估程序方面现代风险导向审计比传统风险导向审计更完善。由于现代风险导向审计对审计风险考虑的更全面了,所以在现代风险导向审计下能够更好的将会计报表剩余风险降低到可接受水平。4.风险评估具体方法重点不一样:两种审计模式在风险评估时都运用了观察、检查、函证、询问、穿行测试等风险评估方法,但相比传统风险导向审计,现代风险导向审计更注重分析性程序的运用,做到了以分析性程序为中心。
________________________________________
[i]国际会计师事务所认为审计风险应该是广义的,即不仅包括审计过程的缺陷而导致审计结果与实际不相符而产生损失或责任风险,还包括客户经营失败而导致审计主体遭受损失或不利的可能性。
:
[1]王泽霞.论风险导向审计创新[J].会计,2004(12):49-54
[2]谢荣,吴建友.现代风险导向审计研究与实务发展[J].会计研究,2004(14):47-51
[3]AICPA:professionalStandardsAsofJune1,1992,AU.31
[4]谢荣,吴建友.现代风险导向审计基本内涵分析[J].审计研究,2004(05):26-30
[5]陈毓圭.对风险导向审计方法的由来及其发展的认识[J].会计研究,2004(14):58-63
[6]郑朝晖.战略系统审计:财务数据之合理预期[J/OL].会计视野,2004[2006-4-17]/showdoc.asp?docid=448&uchecked=true
[7]王义华.BMP审计模式介绍[J].中国注册会计师,2005(06):69-70
[8]Ernst&YoungGlobalAuditPlanningToolkit2004[M],2004:65-67
按照IAASB工作计划,三个新国际审计风险准则生效后,原IAS310“了解被审计单位情况”(Knowledgeofthebusiness)、ISA400“风险评估与内部控制”(Riskassessmentsandinternalcontrols)、ISA401“计算机信息系统环境下的审计”(Auditinginacomputerinformationsystemsenvironment)和ISA500“审计证据”一并作废。与以前准则相比,新国际审计风险准则主要有以下八个方面的重大发展和实质性变化。
(一)引入“重大错报风险”概念,重建审计风险模型
原国际审计风险准则认为,审计风险包括固有风险、控制风险和检查风险,审计风险模型为:审计风险=固有风险×控制风险×检查风险,并要求根据该模型来计划和执行财务报表审计工作,最终将审计风险降低至可接受的低水平。从理论上看,该模型不存在不妥,但实务操作面临很大的问题和困难。比如:(1)原准则要求,在编制总体审计计划时,注册会计师应当对财务报表整体的固有风险进行评估;在编制具体审计计划时,注册会计师应当考虑固有风险的评估对各重要账户或交易类别的认定所产生的影响,或者直接假定这种认定的固有风险为高水平。由于假设不存在相关内部控制的条件下去具体单独评估认定的固有风险有显知的难度,再加上直接假定认定的固有风险为高水平被公认为稳健的做法,这样极容易导致不少事务所及注册会计师不重视对固有风险的评估,使其流于形式。(2)尽管原准则明确指出,由于控制风险与固有风险相互联系,注册会计师应当对两者进行综合评估,并据以作为检查风险的评估基础。但实务中,很容易人为割裂两者的内在联系,而只依赖对内部控制风险所作的粗放型评估来直接、大致确定检查风险水平,再据此规划实质性程序的性质、时间和范围。这样做难以合理保证财务报表不存在重大错报。(3)最为重要的是,原审计风险模型将固有风险和控制风险并列,没有抓住财务报表审计工作的“牛鼻子”,也没有抓住事物的本质和核心东西。其实,这两种风险,就是客户风险(clientrisk),即客户财务报表审计前存在重大错报的可能性,均为被审计单位所造成和掌控,注册会计师只能评估而不能改变。从注册会计师角度看,只抓住固有风险和控制风险作为审计工作的起点和导向,而不直接明确地以评估重大错报风险为起点和导向,有舍本求末,隔靴搔痒,只见树木不见森林之感。
新国际审计风险准则正式引进“重大错报风险”概念(重大错报风险是指财务报表在审计前存在重大错报的可能性),将审计风险模型重构为:审计风险=重大错报风险×检查风险。这不是简单地将固有和控制风险并称为重大错报风险,而是重大的实质性改进。不仅明确规定了审计工作以评估财务报表重大错报风险作为新的正确起点和导向,抓住了审计工作的“牛鼻子”,而且与现行审计目标责任定位紧紧相扣,有利于履行审计责任,实现审计目标。众所周知,按国际审计准则要求设计审计工作就是为了合理保证财务报表整体不存在重大错报。新风险模型的构建更直接有助于导引注册会计师,时刻紧紧围绕评估的重大错报风险来设计和执行审计程序,以最终实现合理保证财务报表整体不存在重大错报。
(二)改进审计业务流程,增强实施审计程序的效果
原准则依据审计风险三要素模型,把审计业务流程和程序分为四大块:(1)了解被审计单位情况(为评估固有风险);(2)了解内部控制;(3)(必要时)控制测试(均为评估控制风险);(4)实质性测试(为降低检查风险)。第(1)块由原IAS310“了解被审计单位情况”来规范,第(2)、(3)、(4)块则由原ISA400“风险评估与内部控制”来规范。
新国际审计风险准则依据审计风险二要素模型,把审计业务流程和程序分为三大块:(1)了解被审计单位及其环境,包括内部控制(目的是为评估财务报表总体层次和认定层次的重大错报风险)。本块审计程序称为“风险评估程序”(riskassessmentprocedures),(2)(必要时)控制测试(目的是为了测试内部控制在防止、发现和纠正认定层次重大错报方面的有效性,并据此一并评估重大错报风险),(3)实质性测试(目的是为了检查认定层次的重大错报风险)。新准则把第(2)、(3)块程序统称为“进一步审计程序”(furtherauditprocedures),并指出风险评估程序不足以为发表审计意见提供充分适当的审计证据,注册会计师还应当设计和实施进一步审计程序,包括控制测试和实质性程序。还指出应当以对认定层次的重大错报风险的相关评估结果(包括实施风险评估程序的结果和必要时执行控制测试的结果)为基础,并考虑既定的审计风险水平,来确定可接受的检查风险水平,再据此计划和实施实质性程序。在既定的审计风险水平下,可接受检查风险水平与认定层次重大错报风险的评估结果成反向关系。评估的重大错报风险越高,可接受检查风险越低;评估的重大错报风险越低,可接受检查风险越高。检查风险取决于实质性程序设计和执行的有效性。注册会计师应当合理设计实质性程序的性质、时间和范围并有效执行,将检查风险降至可接受的水平。第(1)块由ISA315“了解被审计单位及其环境并评估重大错报风险”来规范,第(2)、(3)两大块则由ISA330“针对评估的重大错报风险实施的程序”来规范。由于重建了审计风险模型和改进了审计业务流程,IAASB相应地修订了原ISA500“审计证据”。
审计业务流程作上述改进后,要求注册会计师全程关注财务报表的重大错报风险,并将风险评估作为整个审计工作的先导、前提和基础。注册会计师应首先花大力气去识别和评估重大错报风险,再据此有针对性地采取措施,合理保证财务报表不存在重大错报。评估重大错报风险的失当,必将导致整个审计工作的失败。看来,能否合理评估客户财务报表的重大错报风险,将成为评价会计师事务所及注册会计师专业胜任能力、考验审计质量及效果的关键性尺度与决定性因素。
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 06. 013
[中图分类号] F239.45 [文献标识码] A [文章编号] 1673 - 0194(2012)06- 0027- 02
1 整合审计理念的提出
美国安然事件后, 财务报表审计对上市公司财务信息质量的保证程度受到普遍质疑。美国国会和政府为此颁布了《萨班斯―奥克斯利法案》, 要求管理层对公司财务报告内部控制结构和程序有效性进行评估,同时会计师事务所也应该对管理层内部控制有效性的评估进行鉴证并出具报告,即明确要求财务报告内部控制审计应与公司财务报表审计相整合,以期从根本上解决财务信息质量问题。美国上市公司会计监督委员会 (PCAOB)于2007年5月颁布了第5号审计准则《与财务报表审计相结合的财务报告内部控制审计》,强调按风险导向的要求采用自上而下的方法, 并首次提出整合审计的模式。我国财政部等五部委于2010年4月联合《企业内部控制配套审计指引》,同时提出了自2011 年起逐步在上市公司中开展内部控制审计的要求。资本市场已经进入财务报表审计和内部控制审计整合审计的时代。
2 整合审计的必要性和可行性
内部控制审计是指注会计师对特定基准日企业财务报告内部控制设计与运行的有效性进行审计。财务报表审计是指注会计师通过计划和执行审计工作, 对财务报表的合法性和公允性发表审计意见, 旨在提高财务报表的可信赖程度。整合审计是指注会计师对同一被审计单位既进行财务报告内部控制审计又进行财务报表审计, 通过整合计划和实施审计工作, 可以同时实现二者的目标,即获取充分、适当的证据, 支持其在内部控制审计中对内部控制有效性发表的意见,支持其在财务报表审计中对控制风险的评估结果。
2.1 整合审计的必要性
内部控制审计和财务报表审计都属于鉴证业务, 也都是基于责任方认定的业务,都强调风险导向审计理念,两种审计的最终目的都是为利益相关者提供高质量的财务信息。由于两种审计存在上述关系,应当将内部控制审计和财务报表审计整合进行, 否则会加大会计师事务所制度运行成本, 也增加被审计单位的经济负担和工作负担。整合审计既可以提高审计效率, 降低审计风险, 也能提高上市公司财务信息质量。所以整合审计是一种经济可行,同时兼顾了会计报表信息使用者、被审计单位和注会计师行业三者利益的审计制度。
2.2 整合审计的可行性
整合审计在实务中具有很强的可行性。首先, 两种审计业务的目标一致, 都是为提高会计信息质量,这从根本上决定了将两种审计业务进行整合的可行性。其次,两种审计业务中有大量工作内容相近,如二者都要了解和测试内部控制,工作成果能够互相利用, 提高审计效率。第三, 整合审计有利于注会计师适当节省审计成本、控制审计风险和实现审计目标。
3 整合审计的具体实施程序和方法设计
借鉴美国公众公司会计监察委员会(PCAOB)的做法,我们从计划审计阶段、风险评估程序、风险应对、对舞弊的特殊考虑、出具审计报告等5个阶段整合审计流程。
3.1 计划审计工作阶段
在审计计划阶段,注会计师应当初步确定可接受的重要性水平。审计实务中,通常以内部控制能否防止或发现财务报表出现重大错报为依据来判断内部控制是否存在重大缺陷,因此,两种审计中对于重要性水平的判断是相同的。当注会计师接受委托对同一家公司同时执行财务报表审计和内部控制审计时,应结合两种审计制订审计计划,促进审计过程及审计结果的整合。因此,制订审计计划时,注会计师应当评价某些事项对内部控制和财务报表是否有重要影响, 以及有重要影响的事项将如何影响审计工作。制订审计计划时应考虑的主要因素包括风险评估、公司规模、舞弊风险、利用他人的工作等。
3.2 风险评估程序
风险导向理念下的财务报表审计应首先了解被审计单位及其环境,而财务报告内部控制审计也需要首先了解被审计单位及其环境。因此执行整合审计业务只需要执行一次即可,在了解被审计单位的内部环境时,内部控制审计比财务报表审计的要求要高。注会计师可按照《企业内部控制应用指引》框架详细了解企业的内部控制情况,而财务报表审计中要求的对内部控制的了解便可完全利用内部控制审计的成果。
风险评估是整合审计的基础。注会计师在财务报表审计中应充分识别和评估财务报表重大错报风险,以设计和实施进一步的审计程序应对评估的错报风险;在内部控制审计过程,也应使用风险导向、自上而下的审计方法选择拟信赖并进行测试的控制。内部控制分为企业层面的内部控制和业务流程层面的内部控制,其中企业层面控制对内部控制的有效性起决定性作用,影响着内部控制审计中业务层面控制测试及财务报表审计中实质性测试的范围。
3.3 风险应对
风险应对包括控制测试和实质性程序。选择拟信赖并进行测试的控制时,注会计师应考虑证据的性质及获得的难易程度。应选择相对容易获得运行有效证据的控制进行测试。如果存在一项或多项重大缺陷时,内部控制即被认定为无效。因此,如果注会计师识别了控制缺陷,即使在财务报表审计中将一个或多个相关认定的控制风险评价为最高水平,也不能排除注会计师对内部控制出具无保留审计意见。整合审计时,注会计师不仅要实施实质性测试程序,还应进一步评价内部控制,进行控制测试,确定该控制缺陷单独或组合起来是否构成内部控制重大缺陷,以获得足够的证据支持对财务报告内部控制发表审计意见。
3.4 整合审计中对舞弊事项的特殊考虑
整合审计强调对舞弊的关注,对舞弊的考虑具有相关性。首先, 在整合审计中,内部控制的五要素中的一个或几个要素的集合可能帮助注会计师及时发现舞弊风险。其次,管理层舞弊均被确定为高风险领域, 有专门的应对措施, 从而在一定程度上降低了审计失败的可能性。最后, 内部控制审计对舞弊的评估结果与财务报表审计的评估结果是相关的, 如果内部控制审计发现舞弊, 内部控制存在缺陷, 就会影响财务报表审计中实质性测试的性质、时间安排和范围,注会计师应当根据发现的内部控制缺陷对实质性程序进行调整, 而如果从财务报表审计中发现了重大错报, 也会影响内部控制审计中控制测试时的性质、时间安排和范围, 即注会计师应在内部控制审计中考虑重大错报的原因是否由舞弊造成的, 进而确定内部控制缺陷。在财务报表审计中, 注会计师通过实施审计程序来评估被审计单位在财务报表方面是否存在舞弊行为。在内部控制审计中, 注会计师应该考虑依据在财务报表审计中对舞弊风险的评估结果来修改审计计划, 并测试相关控制, 以确认是否存在管理层凌驾于控制之上或因内控制度漏洞导致舞弊的控制缺陷。同样, 注会计师也应该在财务报表审计中考虑控制测试的结果。如果确实存在舞弊控制缺陷, 注会计师可能需要实施进一步程序以查明是否确实存在舞弊并导致财务报表发生重大错报。
3.5 出具审计报告
在形成审计意见并出具审计报告时,注会计师应综合评价发现的重大错报及识别的控制缺陷,并考虑是否获得了充分、适当的审计证据以支持对财务报表是否存在重大错报及内部控制是否存在重大缺陷发表审计意见。整合审计中每一部分审计结论与其他部分审计的结论是互相支撑的,注会计师应当控制测试并得出是否有效的结论的内部控制包括内控审计中控制测试的结果和报表审计中的控制测试。因为这种控制同时影响财务报告内部控制的有效性和财务报表审计中的控制风险评估。我国《企业内部控制审计指引》要求两种审计应该分别出具审计报告,我们可以借鉴PCAOB 的审计准则《与财务报表审计相整合的财务报告内部控制审计》,在审计实务中允许注会计师可以选择单独或合并出具内部控制审计报告及财务报表审计报告。
4 结 论
综上所述, 我国在上市公司中推行的内部控制审计与财务报表的整合审计很有必要性,在审计实务中也具有可行性。整合审计对提高审计效率、发挥审计的协同效应以及提高会计信息质量起到重要作用。应当从审计计划、风险评估、风险应对、出具审计报告等阶段对整个审计流程进行整合,并对舞弊事项进行特殊考虑。
主要参考文献
一、将内部控制审计与财务报表审计进行整合是提高审计质量和效率的必然选择
1、内部控制审计与财务报表审计二者之间存在着部分重合
在进行内部控制审计时,注册会计师主要是对内部控制的设计以及有效运行进行审计,并得出审计结果。在审计的进程中,注册会计师必须对内部控制进行认真的分析和测试,从而获取内部控制在较长时间内实施的有效证据,而这个过程就常常包含财务报表所反映的部分内容。在进行财务报表审计时,注册会计师也要详细分析内部控制,完成对发生层次重大错报风险过程中预期控制的有效性评估和认定,完成在实质性测试程序不能对层次充分且恰当的审计证据进行控制时的测试。
2、内部控制审计与财务报表审计二者之间的结果能够互相利用和支持
在进行内部控制审计过程中,注册会计师在分析内部控制是不是具有有效性的过程中,必须同时认真分析对财务报表审计进行控制测试所取得的结果,如果对财务报表的审计结果过程中发现相关认定存在严重的错报问题,并且正在运行的内部控制不但没有发现或者纠正严重错报的问题,那么,这就说明内部控制肯定存在着一定的缺陷。另外,在对财务报表进行审计的过程中,进行内部控制审计控制测试时的结果还要经常被利用。在操作过程中,如果内部控制存在的缺陷不能被纠正,那么他势必会使注册会计师在进行控制风险评估过程中得出错误的结论,从而对整个实质性测试造成影响。
二、进行内部控制审计和财务报表审计整合的程序、方法
从内部控制审计和财务报表审计的审计过程来看,决定二者整合的主要因素是对内部控制的熟悉程度以及测试,在整合的过程中,要始终将整合审计作为整个的整合过程的原则。按照国际惯例,进行内部控制审计和财务报表审计整合主要包括初步业务活动、审计计划、风险评估、风险应对、审计结论和出具审计报告等五个程序 。下面对对后四个比较重要的程序进行分析。
1、计划审计
在这个程序进行的过程中,注册会计师必须对能够进行的重要性水平进行初步确定。由于能不能及时发现或防止财务报表的严重错误是注册会计师对内部控制是否存在严重缺陷判断的依据,从这里可以看出,无论是内部控制审计还是财务报表审计,在重要性水平判断上是一致的。因此,在会计师事务所在进行内部控制审计和财务报表审计整合过程中,必须在认真分析内部控制审计和财务报表审计,并在此基础上制定审计计划,从而为审计过程和结果的整合提供保证。
2、风险评估程序
在进行内部控制审计和财务报表审计整合的过程中,风险评估程序是保证整个整合顺利完成的基础。在对于财务报表进行审计的过程中,注册会计师要认真分析,并对存在于财务报表中的错报风险加以鉴别和评估,从而制定和实施有针对评估错报风险的审计程序。为了尽量避免出现失误,必须将风险评估贯穿其中。为了保证拟测试控制有效性,注册会计师要恰当使用风险导向和审计方法。
3、风险应对
风险应对主要包括两项内容:实质性测试、控制测试。在进行拟测试控制的过程中,注册会计师应该着重分析证据的证据的性质和证据获得的困难和容易程度。假如两个或者两个以上的控制就可以认定错报风险,那么其他测试就可以不再使用。测试时只要发现内部控制存在一项严重缺陷就可以宣布内部控制无效。而在整合审计时,注册会计师除了进行上面的测试外,还要对内部控制做出进一步的评价,确定存在缺陷的控制与其他控制的组合是不是会使内部控制出现严重缺陷,从而获得充足的证据。
4、审计结论和出具审计报告
二、整合审计可行性的分析
在审计实务中整合审计是可行的,主要是因为:第一,财务报表审计和内部控制审计这两种审计业务的目标都是为了使会计信息质量得到提高,从而使整合这两种审计业务在根本上存在可行性。第二,这两种审计业务都需要对内部控制进行了解和测试,有很多工作内容比较相近,可以相互利用工作成果,提高审计效率。第三,整合审计对注册会计师而言不仅能够有效控制审计风险,而且能够降低审计成本、最终实现审计目标。
三、在整合审计中需要实施的程序和方法
(一)审计计划阶段
在这个阶段注册会计师应把重要性的可接受程度确定下来,而在审计实务中财务报表审计和财务报告内部控制审计对重要性的可接受水平是一致的,注册会计师判断内部控制是否存在重大缺陷是通过测试内部控制是否能够对财务报表的重大错报行为提早防止和发现来进行。如果同一公司的财务报表审计和内部控制审计业务委托给同一注册会计师时,那么注册会计师就要结合这两种审计业务来制订相应的审计计划,同时应当评价对财务报表和内部控制产生重要影响的因素有哪些,及其对审计工作的影响程度,此外审计计划还应考虑风险评估、舞弊风险、公司规模、利用他人的工作等因素。
(二)风险评估
财务报表审计根据风险导向理念要求必须对被审计单位及其所处环境进行详细的了解,而这也是内部控制审计需要执行的程序,因此只需执行一次整合审计业务,对被审计单位内部环境了解的要求程度上,内部控制审计要高于财务报表审计,因此内部控制审计对内部控制的了解成果完全可以财务报表审计所利用。风险评估是注册会计师进行整合审计的基础,是注册会计师在财务报表审计时要充分识别和评估财务报表存在的重大错报风险,并以此设计和实施必要的审计程序来应对。风险导向、自上而下的审计方法应贯穿于内部控制审计的整个过程,源于企业层面的内部控制和对业务流程层面的内部控制统称称为内部控制,而源于企业层面的内部控制在其中起着决定性的作用,将对财务报表审计中实质性测试和内部控制审计中业务层面控制测试产生影响。
(三)舞弊的特殊考虑
第一,注册会计师在整合审计中可能会借助内部控制的一个或几个要素而发现存在的舞弊风险。第二,制订具体的措施来应对管理层舞弊的高风险领域,从而降低审计失败的风险。第三,因为无论是财务报表审计还是内部控制审计对舞弊的评估结果都是相关的,因此当注册会计师在内部控制审计过程中发现存在舞弊,就意味着内部控制需要完善,将对财务报表审计实施的实质性测试的范围、时间安排等产生影响。而如果财务报表审计种存在重大错报,也将对内部控制审计实施的控制测试的范围、时间安排产生影响。
(四)出具审计报告