时间:2023-08-31 16:21:14
导言:作为写作爱好者,不可错过为您精心挑选的10篇审计风险的概念,它们将为您的写作提供全新的视角,我们衷心期待您的阅读,并希望这些内容能为您提供灵感和参考。
风险,是存在于客观事物中的一种不确定性状态,是指发生伤害、毁损、损失的可能性。在风险发生的全部过程中,一般有风险因素、风险事故、损失三个概念。风险因素是指增加或产生损失频率和损失幅度的要素,包括物理风险因素、道德风险因素和心理风险因素等,是风险发生的间接因素。风险事故是指风险因素作用的最终后果,它是风险发生的直接原因。在风险管理中,损失是指非故意、非计划的和非预期的经济价值的减少,减少的数量必须以货币单位来衡量。风险因素、风险事故和损失三者之间的关系可作如下解释:风险因素增加或产生风险事故,风险事故引起可能的损失,从而导致实际结果和预期的差异,形成风险。
二、审计风险的涵义
将风险引入审计这一研究领域,便被赋予了一种全新的涵义。对于审计风险这一涵义的解释,国内外许多学者作了积极的探索。但由于其理解的角度和思维方式的不同,因此结论也并非完全一致。
(一)狭义审计风险观点
目前我国和其它各国独立审计准则体现的就是狭义审计风险的观点。持狭义审计风险观的代表有:1)《Kohlers Dictionary for Accontants》对审计风险的解释:一是已鉴证的财务报表,实际上未能按公认会计原则公允地反映被审计单位财务状况和经营成果的可能性。二是被审计单位范围存在一个重要错误,而未被审计人员觉察可能性。2)1983年,AICPA在SASNO.47中提出:审计风险是审计人员无意地对含有重要错误的财务报表没有适当修正审计意见的风险。3)《国际审计准则》第6号《审计评估与内部控制》中对审计风险的表述是:审计风险是指审计人员对实际上误报的财务资料可能提供不适当的意见的那种风险。我国《独立审计准则第9号―――内部控制与审计风险》中将审计风险定义为:“审计风险,是指会计报表存在重大错误或漏报,而注册会计师审计后发表不恰当审计意见的可能性”。以上各定义,虽然对误报的界定范围有所不同,但对审计风险的基本含义的表述是一致的,即审计风险是指审计人员对存在重大错报和漏报的财务报表,审计后却认为该重大错报和漏报并不存在从而发表与事实不符的审计意见的风险。持该种观点的国内学术界代表是张龙平教授。
(二)广义的审计风险观点
国内代表学者徐政旦、胡春元(1998年)等持该观点,认为审计风险,不仅包括审计过程的缺陷导致审计结果与实际不符而产生的损失或责任风险,而且包括营业失败可能导致公司无力偿债或倒闭所可能对审计人员或审计组织产生伤害的营业风险。可见他们将审计风险定义为审计人员与会计师事务所存在着遭受损失的可能性。持该观点的还有谢志华(1990年)阎金锷、刘力云(1998年)吴胜生(1995年)。该观点的特点是将客户置于一个大的经济环境中,运用立体观察的理论来判定影响企业持续经营的因素。从企业所处的商业环境、条件到经营方式和管理机制等构成控制因素的内外部各个方面来分析评估审计风险水平,把客户的经营风险植入到本身的风险评价中去。
(三)两种观点评析
笔者认为将审计风险理解为广义审计风险概念不恰当,赞成将审计风险定义为狭义审计风险,即审计风险是指审计人员针对会计报表不能够形成和发表恰当审计意见的可能性。理由如下:
第一,审计风险产生于具体的审计过程之中,是基于审计人员在开展审计工作时,产生于审计项目、审计范围与重点等具体的过程与职业判断方式、统计抽样方法等审计本身所带来的不确定性,它的边界仅仅包括固有风险、控制风险与检查风险这三项风险,而不是指审计人员与会计师事务所可能承担的损失,因为该损失可能游离于审计过程之外,是在审计发生之后才可能发生的事情,即广义审计风险观点的根本错误在于把审计过程的技术性程序风险当作了事务所自身面临的商业风险。审计风险概念理应界定为属技术性程序的狭义风险范畴。
第二,广义审计风险概念的外生性使审计风险无法评估。我们知道,众多因素造成审计人员和会计师事务所承担可能的损失,而且这些损失是无法预先评估的,带有很大随意性。审计人员在开展审计之时,无法预测客户以及其他利益相关者将采取何种行动,从而无法确定风险的性质,判断风险的程度。而狭义审计风险观可根据审计风险模型计算评估审计风险。
重要性概念在审计中,指会计报告与实际情况不一致的严重程度。《独立审计准则第10号——审计重要性》中指出,重要性“是指被审计单位会计报表错报或漏报的严重程度,这一程度在特定环境下可能会计报表使用者的判断或决定”。重要性实质上强调了一个“度”,在会计或审计报告中,允许一定程度的不准确或不正确的存在,但是要以这个“度”为界。
重要性原则的运用贯穿于会计审计理论及实务中,但重要性水平则可以是针对会计报表、会计账户、乃至于各项交易,在多数场合是针对和首先针对会计报表的。
审计风险由审计行为带来,指由于审计人员出具的审计报告与被市项目真实情况不一致而承担审计责任的可能性。审计风险概念的意义不仅在于提请审计人员注重审计质量,承担审计责任,更重要的在于正确评估审计风险、控制审计风险。
二、重要性与审计风险的内在关系
我国理论界公认的审计风险决策模型为:
审计风险(AR)=固有风险(IR)×控制风险(CR)×检查风险(DR)
它最根本的用途在于根据确定的预期审计风险、固有风险、控制风险的水平来确定检查风险水平。检查风险的价值在于据此确定实质性测试的样本规模,把审计计划与审计实施过程有机地联系起来。
重要性与审计风险是不可分割使用的两个概念,必须把它们结合起来。那么,在重要性和审计风险之间存在怎样的关系呢?审计报告对被审事项中的重要性错误未予极因,就会导致审计风险。因此,重要性是审计风险控制的核心和重点。审计过程中同样的事项,其重要性程度提高时,审计风险必然降低;反之,审计风险必然提高。因此,重要性和审计风险之间是反向对应关系。
重要性理论的目的在于指导审计实践。审计人员对会计报表进行审计,首先要对重要性进行初步的判断。判断要从数量和性质等方面来考虑。从数量角度讲,重要性表现为重要性数量水平,如“税前利润的5%-10%”、“总资产的0.5%一 1%”,等等。在此之所以单独称之为“重要性数量水平”,是为了区别于一般论述中的“重要性”、“重要性程度”、“重要性水平”。在审计实务中,“重要性数量水平”的作用在于作为会计报告允许出现差错的最高水平,评价所发现的重要性,进而确定发表审计意见的类型。
在实施审计前,审计人员对不同规模的重要性都有一个比较一致的认同,即有一个大致相同的重要性数量水平,这个水平应该是相对数。重要性数量水平越大,如从5%提高到10%,则对同一个项目的重要性程度认识就越低,从而审计风险也越大;反之,审计风险就越小。所以,重要性数量水平和审计风险水平成正向对应关系。
审计风险是对审计全过程的评价,由几个因素共同作用而成。审计人员所能控制的只有检查风险要素。所以,控制审计风险的要点在于控制检查风险。根据审计风险决策模型可知,在固有风险和控制风险一定的条件下,检查风险和审计风险成正比关系。
从而,重要性数量水平与检查风险水平成正向对应关系。
对于重要性数量水平与检查风险水平的关系我们有理由进一步作如下推断:
1、如果检查风险水平趋向0时;即在审计中几乎不允许遗漏任何错弊,则重要性数量水平也应接近0;
2、重要性数量水平与检查风险水平的取值范围均在0一100%之间;
3、重要性数量水平与格查风险水平在取值范围内的变化是连续的;
4、重要性数量水平与检查风险水平的变化不一定是均匀的。尤其在两者接近100%时,重要性数量水平变化速度应小于检查风险水平的变化速度。因为对任何一个审计项目,从理论上讲、即使审计人员愿意承担极高的审计风险,也不能采用100%的重要性数量水平。换言之,即使检查风险水平为100%,审计人员也不应将重要性数量水平定为100%、容忍所有的错误,而应将重要性数量水平限定在100%以下,对必要的进行审查后,方能提出审计报告,结束审计项目。
根据上述推断,试建立如下数学模型:
Z=f(d)=ek/d其中:Z表示重要性数量水平;k为系数、且必须小于0;d表示检查风险水平。
该指数函数曲线图示如下:
各项数值确定方法如下:
(l)审计风险水平期望的审计风险水平应该控制在多大范围内才算合理?尚未达成统一认识。有人认为,通常情况下,可允许的审计风险不超过5%,可以定为5%时。但在一定条件下,则要把审计风险走得更低。我认为,5%的审计风险水平还是太高。因为它意味着有1/20的引发审计风险的可能性,以我国一个中等规模的会计师事务所每年接受20项左右的审计项目为例,则该事务所每年就有一次引发审计风险,遭致审计诉讼的可能性。应该说,比较稳健合理的审计风险水平应该控制在2%以下,一般可定为0.5%-2%范围内。
(2)固有风险、控制风险、检查风险水平确定审计项目的固有风险水平,既要考虑该项目的、性质,又要充分考虑该项目所面临的环境。作为国民主要成分的国有尚未走出困境,其内部管理机制和外部监督机制还未健全,其它企业造假作假现象也很普遍,因此将固有风险水平定为 10%-50%,比较符合稳健性原则。
值得注意的是,如固有风险、控制风险水平超过50%时,审计人员应改变审计方式,采用详细审计或拒绝接受审计业务,以使审计风险控制在一定水平之下。检查风险水平必须依据上述3个方面确定。结合审计风险决策模型:
说明如下。根据前述所确定的审计风险水平、固有风险水平、控制风险水平的正常取值范围,抽出各自的最高值、中等值和最小值三种特例进行组合,以对应考察检查风险水平的情况。第一种情况,预期审计风险水平最低,但项目的固有风险、控制风险水平也最低,因此可允许的检查风险水平较高;第二种情况,审计风险水平仍为最低,但固有风险、控制风险处在最高水平,此时,要求审计人员必须谨慎行事,将检查风险水平控制在极低的2%以下;第三种情况,准备接受的审计风险水平最高,同时又有良好的外部环境和内部控制制度,计算出的检查风险水平为200%,超过100%。由于风险水平以100%为上限,放在此改为 100%。这种情况意味着审计人员充分信赖被审单位,主观上又准备接受极大的风险,因而检查风险水平就很高;第四种情况,预期审计风险水平最高,但被审项目的固有风险、控制风险水平也很高,因而检查风险水平较低;第五种情况,前三个方面都是中等水平,检查风险水平也为中等。
(3)K值目前,除澳大利亚外,其他国家无论是准则还是审计准则都没有明确规定重要性的量化标准。以下是实务中用来判断重要性的一些指标:(1)税前净利5%-10%;(2)总资产的0.5%一1%;(3)权益的1%(4)总收入的0.5%-1%。
上述项月的重要性数量水平最高为10%,最低为0.5%,和上表一计算得出的检查风险水平对比:
(K的计算公式推导如下:对z=ek/d,等式数,得InZ=k/d,因此k=dlnZ)
可知:k的取值范围大致在A-0.1—2.7之间,最佳取值范围为一0.4一1.4之间。在具体运用中,审计人员可根据使用者对会计审计信息的依赖程度、被审单位陷入财务困境可能性的判断、对审计风险的偏好程度来具体确定k的数值。
三、重要性与检查风险的客观连接点
重要性一般是对会计报表而言的,但完整地讲,重要性应分为以下4个层次:报表总额,如资产负债表中的资产总额;报表项目金额,如资产负债表中的货币资金项目负担;账户余额,如现金帐户余额、银行存款账户余额等;业务发生额,如差旅费等支出类业务的金锁。根据项目内容的不同,重要性所针对的项目有税前利润、总资产、权益、总收入等。根据本文前论,可由审计风险水平计等确定重要性数量水平。但最后计算出的这个重要性数量水平应该首先对应什么性质、哪个层次的项目,这是一个非常重要的。项目不同,评价的结果可能会大相径庭,甚至得出相反的结论。究竟以什么性质的项目作为入手处,我赞成以资产负债表中的资产总额作为运用重要性数量水平的入手点的观点,理由是:(1)损益表上当期净损益可以从资产负债表上反映出来,也就是资产负债表中事实上已包括了当期的净损益。尤其我国现阶段国企效益状况不佳,成本利润不实现象严重,以资产总额代管税前利润或净利润有其合理性。(2)根据资产负债表的结构及“资产=负债+所有者权益”的恒等关系,负债权益共中的错误,又都能反映在资产类总额上。
将重要性数量水平作为评价资产总额的标准,然后将该数量水平按每一项资产项目在资产总额中所占比重的大小为依据进行分配,接下来就进入实质性测试,审查各项目,判断各项目的错误金额。最后加总计算全部错误金额在资产总额中所占的比重,将其与总的重要性数量水平进行比较。如前者小于后者,说明该项目审计风险在可接受范围内,否则应修改审计计划和审计风险水平或采取其它的措施。
四、说明
1972年美国会计学会(AAA)颁布的《基本审计概念公告》中,认为审计是“客观收集和评价与经济活动及事项有关的认定的证据,以确定其认定与既定标准的符合程度,并将结果传递给利害关系人的系统过程。”该定义涉及审计学的一系列关键概念,包括经济活动和经济现象的认定、收集和评估证据、客观性、所制定的标准、传递结果、系统过程等,能够涵盖各种审计类型。国际审计准则《ISA200:财务报表审计的目标和一般原则》认为审计的目标是审计师能够对财务报表在所有重大方面是否按照确定的财务报告框架编制发表意见,同时认定审计是一种合理保证的鉴证业务,这与我国审计准则规定基本相同。显然,前者是指一般的审计,属于属概念,后者是指财务报表审计,属于种概念。本文所说的审计就是指由独立注册会计师进行的财务报表审计,简称财务报表审计,根据《中国注册会计师审计准则第1101号――注册会计师的总体目标和审计工作的基本要求》(2010年)财务报表审计要“对财务报表整体是否不存在由于舞弊或错误导致的重大错报获取合理保证,”现代财务报表审计是一种风险导向审计。财务报表审计的保证程度与可接受的审计风险互为补数:对财务报表审计的保证程度越高,可接受的审计风险越低。大多数会计师事务所的审计手册一般都把可承担的审计风险定为5%,保证程度定为95%。合理保证意味着审计风险始终存在。
(二)审计风险
通常认为,风险有结果不确定性和损失可能性两种观点。March&Shaplra认为风险是事物可能结果的不确定性,J.S.Rosenb(1972)将风险定义为损失的不确定性。审计风险当然也有结果的不确定性和损失的可能性两种概念,分别叫做“意见不当论”和“损失可能论”。国际审计准则第25号《重要性和审计风险》将审计风险定义为:“审计风险是指审计人员对实质上误报的财务资料可能提供不适当意见的风险。”《美国审计准则说明》第47号认为:“审计风险是审计人员无意地对含有重要错报的财务报表没有适当修正审计意见的风险。”中国注册会计师协会在2010年11月1日修订的《中国注册会计师审计准则第1101号――注册会计师的总体目标和审计工作的基本要求》第十三条认为:“审计风险,是指当财务报表存在重大错报时,注册会计师发表不恰当审计意见的可能性。审计风险取决于重大错报风险和检查风险。”他们的共同点都指向发表不适当意见的可能性或者风险洇为注册会计师发表不恰当的审计意见尤其是对有重大错漏报的财务报表发表不恰当的意见会误导“报表使用者依据财务报表作出的经济决策”以致造成不应有的损失,所以审计风险实质上是指给财务报表使用者造成损失的可能性,同时也是注册会计师发表不恰当审计意见的可能性――前者针对报表使用者,后者针对注册会计师,前果后因,二者是一致的。审计风险是客观存在,也一直存在着,财务报表审计从来都是以风险为导向的审计。但是风险的承受者有不同的说法,有“供给导向”和“需求导向”之说,前者强调注册会计师的风险承担,后者强调报表使用者的风险承担。由于注册会计师审计准则和注册会计师“审计的目的是提高财务报表预期使用者对财务报表的信赖程度”,是为财务报表使用者提供合理保证服务的,本文认为国际审计准则和中国注册会计师审计准则所讲的审计风险是报表使用者承受损失的可能性,具体是指注册会计师发表不恰当审计意见的可能性。
(三)现代风险导向审计
现代风险导向审计是从传统风险导向审计演变而来。安然事件后,为了进一步应对审计风险,提高审计质量,2003年末,国际会计师联合会(IFAC)的国际审计与保证准则委员会(IAASB)陆续了一些新准则并被我国采用于《中国注册会计师执业准则(2006)》。新实行的国际审计准则被称为现代风险导向审计准则,以区别于在此之前的风险审计准则(传统风险导向审计准则)。与以前准则相比,新国际审计风险准则主要有以下八个方面的重大发展和实质性变化。
(1)引入“重大错报风险”概念,重建审计风险模型,将审计风险模型重构为:审计风险一重大错报风险×检查风险,抓住了关键;
(2)改进审计业务流程,增强实施审计程序的效果,新国际审计风险准则依据审计风险二要素模型,把审计业务流程和程序分为三大块:风险评估,(必要时)控制测试,实质性程序(目的是为了检查认定层次的重大错报风险);
(3)区分评估的重大错报风险为财务报表整体层次和认定层次,并分别采取不同应对措施,以将审计风险降至可接受的低水平;
(4)重新划分认定层次的构成类别,强调获取列报和披露认定的审计证据的重要性;
(5)强调保持职业怀疑态度,切实提高发现重大错报的概率;
(6)强调对特别风险的识别及评估,并警惕仅实施实质性程序无法获取充分、适当审计证据的风险;
(7)强调项目组内讨论的积极作用,共享审计经验和资源;
(8)强调与治理层沟通和与管理层沟通并重,优化审计环境。
2010年11月修订后的审计准则充分借鉴了国际审计与鉴证理事会明晰项目的成果,进一步明晰了现代风险导向审计理念,吸收传统风险模型的合理之处,完善了现代审计风险模型,细化了认定层次重大错报风险的构成(报表层和认定层2个层次,固有风险和控制风险2个因素),修订了风险评估和应对准则,并对关联方、会计估计、公允价值、对被审计单位使用服务机构的考虑、函证、分析程序等审计准则也作出修改,将风险导向审计的理念充分体现到整套审计准则体系中的每项审计准则中。新准则还对识别、评价和防范舞弊导致的重大错报风险提出了明确的要求。
二、现代风险导向审计内在逻辑
以上概念构成了一个现代风险导向审计的有关概念框架,风险导向的报表审计应该以报表使用者可接受的审计风险为导向,风险导向报表审计应该以报表使用者的需求为逻辑起点构造概念框架。本文主要通过以上概念抽象出现代风险导向审计的内在逻辑,以期为审计实践和理论研究服务。
(1)现代风险导向审计首先是财务报表审计,其产生和发展伴随着所有权与经营权的分离,现代风险导向审计也是站在所有权与经营权分离的大环境基础上的,所有权与经营权的分离也是审计委托人和被审计人的分离。这是注册会计师报表审计的总前提,当然也是现代风险导向审计的前提。
(2)在两权分离状况下,所有者为了自己的经济决策付费委托注册会计师对管理者提供的财务报告进行审计,注册会计师当然首先要满足委托人的要求,只有在此基础上才能进行风险导向审计。现代风险导向审计的基本原理就是以评估重大错报风险为导向,进而通过控制检查风险来控制审计风险,
目的都是为了满足所有者或者委托人的要求,这样审计委托人的要求实际上就成为了现代风险导向审计的逻辑起点。
(3)那么,审计委托人的要求是什么呢?审计委托人委托审计的目的是为了经济决策,经济决策当然以高质量的信息为前提。财务报表具有决策相关性,审计委托人往往也是报表使用者,所以,审计委托人作出经济决策的依据是财务报表。因此,委托人的要求就是要看到高质量的财务报表以进行投资、信贷等经济决策,高质量的财务报表必须符合报表的“编制基础”。对于大多数通用目的财务报表而言(以下以通用目的财务报表为例),高质量的财务报表必须“在所有重大方面按照财务报告编制基础编制并实现公允反映”,“通用目的编制基础,主要是指会计准则和会计制度”。也就是说高质量的通用目的财务报表必须“合法(符合相关会计准则和会计制度)”、“公允”。换句话说,即使有不合法、不公允的事项,委托人也要求他们看到的这些不合法、不公允的事项整体上不影响委托人利用该财务报表作出的经济决策――所以,不合法、不公允的报表信息叫做错(漏)报,影响报表使用者依据报表作出经济决策的错报就叫做重大错报。错报和重大错报都是由报表使用者或者委托人(或者站在委托人和报表使用者立场上)定义的――这就要求注册会计师保证经营管理者的财务报表不存在影响委托人依据该报表作出的经济决策的不合法、不公允的事项即重大错报事项。由于审计本身的局限性、人的认识的局限性和被审计单位情况的限制,注册会计师无法做到绝对保证,又不能提供有限的保证(违背委托人的委托意图),这就产生了合理保证。有限保证的保证程度
(4)委托人的要求就是注册会计师审计的目标――在这里,重要性、错报、合理保证都是由审计业务委托人定义或者站在委托人立场上定义的。合理保证决定了可接受的审计风险(如果保证程度是95%,则可接受的审计风险程度为5%)――显然所谓“可接受的审计风险”实际上也是由委托人定义的,本质上是委托人“可接受”的审计风险或者说是委托人对财务报表、审计报告的信赖过度风险,不是注册会计师基于自己的损失或可能的不当意见可接受的审计风险,所以可接受的审计风险来自于风险导向审计循环的外部,是委托人既定的,该风险无需评估,需要评估的是重大错报风险。
(5)接受委托或者接受了委托人的要求后,注册会计师要做的工作一是评估重大错报风险,二是降低检查风险。重大错报是由委托人定义的,现代风险导向审计要求注册会计师按照重大错报的定义全方位地了解被审计单位及其环境并评估重大错报风险,注册会计师执业准则规定了风险评估的方法和内容,要求运用询问、观察、检查、分析程序等方法获取有助于评估重大错报风险的信息。在风险评估基础上,注册会计师通过总体应对措施和进一步审计程序来分别应对财务报表层次与交易、账户余额与列报和披露认定层次的重大错报风险。在针对评估的由于舞弊导致的财务报表层次重大错报风险确定总体应对措施时,注册会计师应当:“在分派和督导项目组成员时,考虑承担重要业务职责的项目组成员所具备的知识、技能和能力,并考虑由于舞弊导致的重大错报风险的评估结果;评价被审计单位对会计政策(特别是涉及主观计量和复杂交易的会计政策)的选择和运用,是否可能表明管理层通过操纵利润对财务信息作出虚假报告;在选择审计程序的性质、时间安排和范围时,增加审计程序的不可预见性”。进一步审计程序包括控制测试和实质性程序,是否实施控制测试取决于内部控制是否值得信赖和控制测试的重要性,无论是否实施控制测试都应该执行实质性程序。在实施控制测试时,注册会计师仍然要确定控制风险大小及风险可能存在的领域并随时调整对重大错报风险的评估结论以及修改审计计划和审计程序;重大错报风险的评估结论以及控制测试的结果决定了实质性程序的性质、时间安排和范围,科学准确的评估结论和测试结果可以减少实质性程序的性质、时间安排和范围,从而提高审计效率和审计效果。风险导向审计准则还要求把风险评估和修改贯穿于审计工作全过程。注册会计师最终通过实质性程序把重大错报查找出来并提请被审计单位调整,按照重大错报的定义来衡量未更正错报汇总数情况并发表恰当的审计意见,实现合理保证报表整体不存在由于错弊而产生的重大错报的审计目标。
风险导向审计并不是注册会计师根据自己的承受能力确定可接受的审计风险,并围绕此审计风险来评估重大错报风险,从而确定可接受的检查风险形成的封闭循环。也就是说,可接受的审计风险、重大错报及重大错报风险大小不是注册会计师自行决定的,而是由委托人决定的,不是注册会计师想用多少程序就用多少程序,这一切都是在接受业务委托时就已经决定了的。决定每一步程序都须把委托人的需求考虑进去并以此为前提和基础,这样就形成了一个较大的开放的审计循环,如图1所示。与其说这是风险导向审计不如说是委托人需求导向审计更合适,这应该是风险导向审计的精神实质。
尽管财务报表使用者的需求也是财务会计准则概念框架的逻辑起点,但是,财务会计的目的是为之提供其所需要的财务会计报表,而注册会计师是为之(合理)保证财务会计人员提供报表的合法(编制基础)性和公允性,二者在合法(编制基础)公允的报表后面就分道扬镳了,这也正说明财务会计与财务会计报表审计的区别与联系,并且不能因之否定现代风险导向审计以报表使用者的需要为逻辑起点的科学性,因为这种需要不仅仅是接受委托时的出发点,而且是执行审计业务时考虑各个方面问题的出发点和归宿。
三、现代风险导向审计的前提条件
现代风险导向审计综合吸收了数理统计、概率论、财务分析、系统论、战略管理、波特五力分析、平衡计分卡、coso报告等方法、工具或其思想,进一步在审计模型基础上把以上方法和工具统合起来,在风险评估时考虑到了环境、交流、沟通、职业怀疑等社会和行为因素,做到了理论上严谨、实践上有效,既科学又实用。但是作为一种抽象的理论模型其不可避免地也忽略了一些因素,预设了一些前提。笔者认为风险导向审计的成功实施必须至少具备以下一些前提:
(1)审计人≠被审计人,其内在含义是注册会计师应该超然独立于被审计单位,包括形式上的独立和实质上的独立;
(2)委托人≠被审计人,该前提避免了由于被审计人付费带来的不独立;
(3)委托人一报表使用者,对于通用目的财务报表,委托人与其他报表使用者的目标函数可能不一致,该前提避免了由于报表使用者之间目标函数不一致带来额外的法律风险;
重要性概念在审计中,指会计报告与实际情况不一致的严重程度。《独立审计准则第10号——审计重要性》中指出,重要性“是指被审计单位会计报表错报或漏报的严重程度,这一程度在特定环境下可能会计报表使用者的判断或决定”。重要性实质上强调了一个“度”,在会计或审计报告中,允许一定程度的不准确或不正确的存在,但是要以这个“度”为界。
重要性原则的运用贯穿于会计审计理论及实务中,但重要性水平则可以是针对会计报表、会计账户、乃至于各项交易,在多数场合是针对和首先针对会计报表的。
审计风险由审计行为带来,指由于审计人员出具的审计报告与被市项目真实情况不一致而承担审计责任的可能性。审计风险概念的意义不仅在于提请审计人员注重审计质量,承担审计责任,更重要的在于正确评估审计风险、控制审计风险。
二、重要性与审计风险的内在关系
我国理论界公认的审计风险决策模型为:
审计风险(AR)=固有风险(IR)×控制风险(CR)×检查风险(DR)
它最根本的用途在于根据确定的预期审计风险、固有风险、控制风险的水平来确定检查风险水平。检查风险的价值在于据此确定实质性测试的样本规模,把审计计划与审计实施过程有机地联系起来。
重要性与审计风险是不可分割使用的两个概念,必须把它们结合起来。那么,在重要性和审计风险之间存在怎样的关系呢?审计报告对被审事项中的重要性错误未予极因,就会导致审计风险。因此,重要性是审计风险控制的核心和重点。审计过程中同样的事项,其重要性程度提高时,审计风险必然降低;反之,审计风险必然提高。因此,重要性和审计风险之间是反向对应关系。
重要性理论的目的在于指导审计实践。审计人员对会计报表进行审计,首先要对重要性进行初步的判断。判断要从数量和性质等方面来考虑。从数量角度讲,重要性表现为重要性数量水平,如“税前利润的5%-10%”、“总资产的0.5%一1%”,等等。在此之所以单独称之为“重要性数量水平”,是为了区别于一般论述中的“重要性”、“重要性程度”、“重要性水平”。在审计实务中,“重要性数量水平”的作用在于作为会计报告允许出现差错的最高水平,评价所发现的重要性,进而确定发表审计意见的类型。
在实施审计前,审计人员对不同规模的重要性都有一个比较一致的认同,即有一个大致相同的重要性数量水平,这个水平应该是相对数。重要性数量水平越大,如从5%提高到10%,则对同一个项目的重要性程度认识就越低,从而审计风险也越大;反之,审计风险就越小。所以,重要性数量水平和审计风险水平成正向对应关系。
审计风险是对审计全过程的评价,由几个因素共同作用而成。审计人员所能控制的只有检查风险要素。所以,控制审计风险的要点在于控制检查风险。根据审计风险决策模型可知,在固有风险和控制风险一定的条件下,检查风险和审计风险成正比关系。
从而,重要性数量水平与检查风险水平成正向对应关系。
对于重要性数量水平与检查风险水平的关系我们有理由进一步作如下推断:
1、如果检查风险水平趋向0时;即在审计中几乎不允许遗漏任何错弊,则重要性数量水平也应接近0;
2、重要性数量水平与检查风险水平的取值范围均在0一100%之间;
3、重要性数量水平与格查风险水平在取值范围内的变化是连续的;
4、重要性数量水平与检查风险水平的变化不一定是均匀的。尤其在两者接近100%时,重要性数量水平变化速度应小于检查风险水平的变化速度。因为对任何一个审计项目,从理论上讲、即使审计人员愿意承担极高的审计风险,也不能采用100%的重要性数量水平。换言之,即使检查风险水平为100%,审计人员也不应将重要性数量水平定为100%、容忍所有的错误,而应将重要性数量水平限定在100%以下,对必要的进行审查后,方能提出审计报告,结束审计项目。
根据上述推断,试建立如下数学模型:
Z=f(d)=ek/d
其中:Z表示重要性数量水平;k为系数、且必须小于0;d表示检查风险水平。
该指数函数曲线图示如下:
各项数值确定方法如下:
(l)审计风险水平
期望的审计风险水平应该控制在多大范围内才算合理?尚未达成统一认识。有人认为,通常情况下,可允许的审计风险不超过5%,可以定为5%时。但在一定条件下,则要把审计风险走得更低。我认为,5%的审计风险水平还是太高。因为它意味着有1/20的引发审计风险的可能性,以我国一个中等规模的会计师事务所每年接受20项左右的审计项目为例,则该事务所每年就有一次引发审计风险,遭致审计诉讼的可能性。应该说,比较稳健合理的审计风险水平应该控制在2%以下,一般可定为0.5%-2%范围内。
(2)固有风险、控制风险、检查风险水平
确定审计项目的固有风险水平,既要考虑该项目的内容、性质,又要充分考虑该项目所面临的环境。目前作为国民主要成分的国有企业尚未走出困境,其内部管理机制和外部监督机制还未健全,其它企业造假作假现象也很普遍,因此将固有风险水平定为 10%-50%,比较符合稳健性原则。
值得注意的是,如固有风险、控制风险水平超过50%时,审计人员应改变审计方式,采用详细审计或拒绝接受审计业务,以使审计风险控制在一定水平之下。检查风险水平必须依据上述3个方面确定。结合审计风险决策模型,试列表一如下:
表一:
对上表一说明如下。根据前述所确定的审计风险水平、固有风险水平、控制风险水平的正常取值范围,抽出各自的最高值、中等值和最小值三种特例进行组合,以对应考察检查风险水平的情况。第一种情况,预期审计风险水平最低,但项目的固有风险、控制风险水平也最低,因此可允许的检查风险水平较高;第二种情况,审计风险水平仍为最低,但固有风险、控制风险处在最高水平,此时,要求审计人员必须谨慎行事,将检查风险水平控制在极低的2%以下;第三种情况,准备接受的审计风险水平最高,同时又有良好的外部环境和内部控制制度,计算出的检查风险水平为200%,超过100%。由于风险水平以100%为上限,放在此改为100%。这种情况意味着审计人员充分信赖被审单位,主观上又准备接受极大的风险,因而检查风险水平就很高;第四种情况,预期审计风险水平最高,但被审项目的固有风险、控制风险水平也很高,因而检查风险水平较低;第五种情况,前三个方面都是中等水平,检查风险水平也为中等。
(3)K值
,除澳大利亚外,其他国家无论是准则还是审计准则都没有明确规定重要性的量化标准。以下是实务中用来判断重要性的一些指标:(1)税前净利5%-10%;(2)总资产的0.5%一1%;(3)权益的1%(4)总收入的0.5%-1%。
上述项月的重要性数量水平最高为10%,最低为0.5%,和上表一计算得出的检查风险水平对比,计算K的数值如表二:
表二:
(K的计算公式推导如下:对z=ek/d,等式数,得InZ=k/d,因此k=dlnZ)
由上表二可知:k的取值范围大致在A-0.1—2.7之间,最佳取值范围为一0.4一1.4之间。在具体运用中,审计人员可根据使用者对会计审计信息的依赖程度、被审单位陷入财务困境可能性的判断、对审计风险的偏好程度来具体确定k的数值。
三、重要性与检查风险的客观连接点
重要性一般是对会计报表而言的,但完整地讲,重要性应分为以下4个层次:报表总额,如资产负债表中的资产总额;报表项目金额,如资产负债表中的货币资金项目负担;账户余额,如现金帐户余额、银行存款账户余额等;业务发生额,如差旅费等支出类业务的金锁。根据项目的不同,重要性所针对的项目有税前利润、总资产、权益、总收入等。根据本文前论,可由审计风险水平计等确定重要性数量水平。但最后计算出的这个重要性数量水平应该首先对应什么性质、哪个层次的项目,这是一个非常重要的。项目不同,评价的结果可能会大相径庭,甚至得出相反的结论。究竟以什么性质的项目作为入手处,我赞成以资产负债表中的资产总额作为运用重要性数量水平的入手点的观点,理由是:(1)损益表上当期净损益可以从资产负债表上反映出来,也就是资产负债表中事实上已包括了当期的净损益。尤其我国现阶段国企效益状况不佳,成本利润不实现象严重,以资产总额代管税前利润或净利润有其合理性。(2)根据资产负债表的结构及“资产=负债+所有者权益”的恒等关系,负债权益共中的错误,又都能反映在资产类总额上。
将重要性数量水平作为评价资产总额的标准,然后将该数量水平按每一项资产项目在资产总额中所占比重的大小为依据进行分配,接下来就进入实质性测试,审查各项目,判断各项目的错误金额。最后加总计算全部错误金额在资产总额中所占的比重,将其与总的重要性数量水平进行比较。如前者小于后者,说明该项目审计风险在可接受范围内,否则应修改审计计划和审计风险水平或采取其它的措施。
四、说明
1、以上论述是建立在以下审计假设的基础上
关于审计风险的涵义,目前国内外审计职业界还没有形成一个完全一致的定义。国际审计准则第25号《重要性和审计风险》将审计风险定义为:“审计风险是指审计人员对实质上误报的财务资料可能提供不适当意见的风险。”《美国审计准则说明》第47号认为:“审计风险是审计人员无意地对含有重要错报的财务报表没有适当修正审计意见的风险。”我国《独立审计具体准则第9号———内部控制与审计风险》则将审计风险定义为:“审计风险,是指会计报表存在重大错报或漏报,而注册会计师审计后发表不恰当审计意见的可能性。”以上三个定义,虽然对误报的界定范围有所不同,如国际审计准则界定为“实质上”,我国独立审计准则界定为“重大”,而美国审计准则界定为“无意”行为,而非有意为之;但是对审计风险基本涵义的表述是一致的,即审计风险是指审计人员对存有重大错报和漏报的财务报表,审计后却认为该重大错报和漏报并不存在从而发表与事实不符的审计意见的风险。因此,我们可以认为,审计风险由两方面风险构成:一方面是财务报表本身存在重大错报和漏报的风险,另一方面是审计人员审计后表示该报表并不存在重大错报和漏报的风险。也就是说,审计风险是客观的存在和主观的努力的结合:客观存在可以通过主观努力去调节,但主观努力又受成本效益原则的约束,因而审计风险具有下面三种具体表现形式。
二、审计风险的三种形式
1.评估审计风险。评估审计风险是指审计人员接受某审计项目后,在初步了解被审计单位基本情况的基础上,采用一定的审计手段,所评估的该项目可能存在的审计风险。评估审计风险主要与被审计单位本身的各方面情况有关。被审计单位的规模越大、经营性质越复杂、内部控制越弱、管理当局的可信赖程度越低,则评估审计风险也就越高。评估审计风险是导致财务报表产生重大错报和漏报的可能性,是客观的存在,它不受审计人员的影响和控制。
2.可接受审计风险。可接受审计风险是指审计项目完成后,审计人员或会计师事务所准备承担或可以接受的审计风险。可接受审计风险主要受以下三个因素控制:①会计师事务所的风险承受能力:会计师事务所的风险承受能力越强,可接受审计风险也就可以越高。会计师事务所的风险承受能力则主要取决于事务所的规模、经济实力以及法律责任的承担能力等。②财务报表和审计报告使用者的情况:财务报表和审计报告的使用者素质越高、范围越广,对财务报表和审计报告的利用程度越高,可接受审计风险就越低。③行业之间的竞争情况:会计师事务所之间的竞争越激烈,可接受审计风险也就越低。可接受审计风险是审计人员或会计师事务所主观确定的,其与评估审计风险的差异,即为需要主观努力的程度,是决定审计项目取舍的重要衡量标准之一。
3.终极审计风险。终极审计风险是指审计项目完成后所实际形成或审计人员实际承担的审计风险。终极审计风险主要与审计程序的设计和执行情况有关。审计程序设计和执行得越好,终极审计风险就越低。终极审计风险在数量关系上、理论上应与可接受审计风险一致,但实际上,它既可能大于也可能小于可接受审计风险,因为审计程序的设计和执行受审计人员的业务素质和某些主、客观因素的影响。因而审计人员在执行审计过程中,应尽量按计划规范操作,以使终极审计风险控制在可接受审计风险范围内。
简而言之,评估审计风险是客观存在的,可接受审计风险是主观确定的,而终极审计风险是客观存在和主观努力的结果。因此,审计人员在决定是否承接某一审计项目时,可以将评估审计风险与可接受审计风险进行比较,然后根据成本效益原则决定取舍。如果接受该项目,在审计过程中应尽量严格执行所设计的审计程序,使终极审计风险等于或小于预先设定的可接受审计风险。虽然终极审计风险取决于可接受审计风险,但并不完全等同于后者,它是固有风险、控制风险和检查风险共同作用的结果。
三、审计风险与审计重要性和审计证据的关系
1.审计风险与审计重要性的关系。《我国独立审计具体准则第10号———审计重要性》第二条指出:“审计重要性是指被审计单位会计报表中错报或漏报的严重程度,这一程度在特定环境下可能影响会计报表使用者的判断或决策。”简单地说,审计重要性就是错报的可容忍程度,其量化标准即重要性水平。也就是说,在重要性水平之内的错报,是可以容忍,可以接受的。因此,审计风险与审计重要性之间有着密切的关系。
评估审计风险与审计重要性之间是反向关系,即评估审计风险越高,所确定的重要性水平就越低,这样才能保证终极审计风险在一定水平内。反之,评估审计风险越低,重要性水平越高,这样可以节约审计成本。《我国独立审计具体准则第10号———审计重要性》第八条指出:“注册会计师应当考虑重要性与审计风险之间存在的反向关系。重要性水平越高,审计风险越低;重要性水平越低,审计风险越高。”这里的审计风险指的就是评估审计风险。这一反向关系也可从另一个角度来理解,即计划确定的重要性水平越高,对审计工作质和量的要求就越低,在此条件下作出正确审计结论的可能性就越大,审计风险因而也就越低。
可接受审计风险与审计重要性之间是正向关系,即可接受审计风险越高,所确定的重要性水平越高,这样可以保证审计成本的节约。反之可接受审计风险越低,所确定的重要性水平也应越低,这样才能保证审计质量的控制。因为可接受审计风险越低,说明审计人员要求的财务报表错报的可容忍程度越低,则其重要性水平也应越低,才能满足较低的审计风险的要求。“”版权所有
【关键词】
风险评估;审计风险关系
风险评估与审计风险是审计理论的两个重要概念。很多学者对此发表的学术论文更多地是针对注册会计师相关业务的研究,而内部审计理论文献相对较少。随着内部审计理论的发展,国家陆续出台了内部审计相关的政策和准则,其中2005年年5月1日至今实行的《内部审计具体准则》将两者的概念和应用作了明确的定义和指导。本文立足于内部审计具体准则的内容,将两者的原理作一阐述,以加深内部审计人员对两者概念及相互关系的理解和掌握。
1 风险评估与审计风险概念理解
1.1 风险评估
风险评估是指内部审计人员实施必要的审计程序对企业风险评估过程进行审查与评价,对发生的可能性、风险对组织目标的实现产生影响的严重程度进行重点关注。
内部审计人员在开展风险评估审计程序时,要当充分了解企业风险评估的方法,运用采用定性或定量的方法对企业风险评估过程进行评价,在风险难以量化、定量评价所需数据难以获取时,一般应采用定性方法,并且需要充分考虑相关部门或人员的意见,以提高评估结果的客观性。
1.2 审计风险
审计风险是指内部审计人员未能发现被审计单位经营活动及内部控制中存在的重大差异或缺陷而做出不恰当审计结论的可能性。审计风险包括重大差异或缺陷风险和检查风险的两方面内容。
2 风险评估是降低审计风险的基础
审计风险评估是通过对企业风险评估过程的评价,了解企业是否存在重大差异或缺陷风险,可以使审计人员确定重要性标准来评估审计风险。而审计风险评估的要求、程序和方法都是保障降低审计风险的第一步,是审计人员开展审计工作、提高效率、保护自我的根本保证。
风险评估是对企业风险管理-风险评估过程的评价。内部审计作为企业管理的一部分,在企业内部发挥着控制和监督作用,风险评估主要体现在对企业内部控制效果的评价上,内部审计控制效果的好与坏,同样体现审计人员对企业风险的揭示说明和预测的完整性、前瞻性上,也是审计风险的控制程度。
风险评估工作的重点就是要找到影响目标实现的风险,并分析这些风险影响的大小(发生的可能性和对目标的影响程度),从而为管理层应对风险提供基础支持。
风险辨识评估工作主要在集团的发展计划部、资本运营部及财务部三个部门开展,因此在对风险进行分类时,主要考虑了三个部门的管理职责:发展计划部是战略和投资的管理部门、资本运营部是投资、资产管理及公司治理的管理部门、财务部是集团的财务及经济运行的主要管理部门,结合以上管理职责,对风险采用根据风险事件的特性,选择适当的风险评价维度,对风险事件进行评价。根据发展计划部、资本运营部及财务部的管理职责,将风险事件分配到不同的部门,形成三个部门的风险评估问卷,问卷信息进行整理计算,得到风险事件排序和二级风险排序。将整理确定的风险事件设计成为风险评估问卷,在三个部门发放,由集团公司部门人员按“发生可能性”、“影响程度”和“管理有效性”三个维度进行评价,得到风险评估初步结果:风险及风险事件的重要性排序多数风险重要性排序符合项目组的研究认识。
■ 个别风险排名较高,包括库存风险、关联交易风险及资产管理风险等,需进一步分析论证
■ 同一类风险的排序略有出入。
风险的大小,是基于一套定性标准,业务和管理是视角的差异如何有效地反映到对不同业务和不同风险的判断中。
3 风险评估和降低审计风险是做好审计工作的保证
审计工作中需要时刻强调审计风险意识,并加强对企业风险评估过程的评价,二者相符相成。一方面控制审计风险需要建立在风评评估的基础之上,另一方面在加强风险评估过程中需要在审计风险理念下指导下进行风险评价,只有将两者很好的相互融合才能提高审计效率、控制风险,最终达到加强企业经营管理,提高企业依法经营从而提高经济效益的目的。什么样的风险评估才能满足审计要求:
1)紧扣业务:评估工作紧扣经营主线开展,集中识别和分析生产、项目管理过程中的风险;
2)围绕指标:评估工作密切围绕业绩考核指标。基于业绩考核指标辨识风险事件,并依据业绩考核指标制定风险评价标准;
3)突出重点:围绕风险管理项目的整体目标,主要以运营部、市场部、物流部、工厂为重点;
为了更好地进行审计风险管理,首先就要明确审计风险的概念。结合国内外对审计风险概念的研究,我们可以将审计风险分为两种:一种是“意见不当论”,另一种是“损失可能论”。前一种风险的发生主要是因为会计报表存在错报、漏报的情况,注册会计师对企业进行审计后,审计意见可能“不恰当”,影响企业的利益。后一种风险的发生主要是人为以及其他因素的影响,和财务报表等客观事实并没有多大关系。国际上一般将“意见不当论”的情况定义为审计风险,而我国则将“损失可能论”情况定义为审计风险。这里需要指出的是,我国《独立审计准则第9号――内部控制和审计风险》中对审计风险的定义是:审计风险指会计报表存在重大错报或漏报,而注册会计师审计后发表不恰当审计意见的可能性”,这里的定义和国际定义并不存在矛盾。
“意见不当论”审计风险是以审计技术方法为根本,也就是通过审计项目的质量控制风险;与其不同的是,“损失可能论”则着眼于全面质量控制的角度,将审计风险的内涵扩大了。正因如此,我们在理解审计风险概念的识货,应该注重理解的层次:其一,会计师事务所的风险,我们也可以将其成为审计职业风险,这种风险是广义上的审计风险。这种审计风险不但包括审计主体引发的审计风险给会计师事务所带来损失的可能性,还包括其他审计风险,诸如审计单位和审计环境引发的风险给审计主体带来损失的可能性;其二,审计项目上的风险,我们也可以将其看作是审计项目风险,也就是与广义审计风险相对的狭义审计风险,其主要是指注册会计师未能对存在严重错漏报的财务报表出具恰当审计意见的可能性。
这两种审计风险的定义看似矛盾,实则存在着密切的联系,具体如下:其一,会计师事务所风险,其实涵盖了项目审计风险,项目审计风险是会计师事务所风险的一部分。实际上,我们可以将审计项目风险这部分看作是审计失败的情况,大量的研究表明,在会计师事务所遭受损失的各种情况中,出具不恰当审计意见也占据一定比例。从这个角度来看,我们要进行全面的审计风险管理,首要的就是极强对具体审计项目风险的管理,在出具具体审计意见的时候做到有根有据、科学恰当。其二,审计项目风险与会计师事务所风险,实际上是一种发展和升华,是理论界和职业界的一种进步。后者考虑了与审计业务相关的损失,以此为视角进行研究符合风险管理学的一般定义,具有更强的针对性。此外,我们还应该看到,以会计师事务所风险来定义审计风险,能够引导人们对审计意见适当性的关注,在考虑审计风险的时候能够从单方面考虑转变为双重考虑,在应对和管理客户经营风险的前提下,能够兼顾会计师事务所的审计意见。
二、全面审计风险管理的目标以及方法
通过上述分析,我们对审计风险的概念有了更好地了解,对会计师事务所风险有了更为深刻地认识。为了更好地强化全面审计风险管理,我们就需要了解全面审计风险管理的目标以及方法。
(一)全面审计风险管理的目标
审计风险的发生不以人的意志为转移,是客观、普遍存在的,审计风险具有偶然性、可控性特征,偶然性主要是指审计风险难以有效地预见,只能采取相应地预防和管理措施;可控性说的是人们在审计风险全面并不是无事可做、无能为力,而可以通过采取一定的管理方法和预防手段来预防审计风险,降低审计风险可能带来的损失,审计风险的可控性是我们进行审计风险管理的前提。我们进行全面审计风险管理的目标就是通过把握审计风险规律,采取科学的管理方法预防审计风险。
(二)全面审计风险管理方法
为了更好地预防审计风险,就需要将经济社会的一些具体的理性问题进行归纳、总结,设计成具体可行的制度,使社会尽可能达到集体理性,而管理方法正是在长期实践经验的基础上产生的制度,其不但能够有效地降低审计风险,还能保护注册会计师的利益,便于实务工作中操作与利用。就当前的情况来看,全面审计风险管理方法主要包括如下几个方面:
1.全过程审计风险管理
审计风险可能出现在审计业务的每一个环节,当选择客户的时候,可能碍于审计单位外部环境、经济复杂性、业务特殊性等因素,最终选择客户将面临的审计风险较高;而当制订审计计划的时候,也可能由于计划不充分,出现错误审计决策的情况;当组建审计小组的时候,由于组员个人工作的预期过高,或是突发状况而导致审计风险;当收集审计证据的时候,可能存在证据客观不充分的情况;当编制审计报告的时候,审计意见不当也可能会带来报告风险,诸如此类。无论上述哪一种风险,都可能由一种或是多种因素导致,在整个审计执业过程中,这样的风险太多,而要更好地控制审计风险,就应该管理审计业务的每一个过程和环节,进行全过程审计风险管理。当然,我们也必须看到,全过程审计风险管理主要着眼于具体审计项目,相应的质量控制措施也较为明确。就目前的情况来看,审计项目风险管理主要包括四个阶段,其中不但包括接受客户委托、业务实施,还包括计划审计工作和出具审计报告。
2.全程序审计风险管理
在实际的审计实务工作中,审计风险管理主要包括五个步骤,其中不但有审计风险识别、审计风险评价、审计风险管理效果评估,还有审计风险衡量、审计风险决策。这些步骤构成了全程序风险管理的雏形,其中审计风险识别是全程序风险管理的初始程序,在整个管理体系中是最为重要的。
审计风险识别主要是了解审计风险的客观存在,对产生审计风险的原因进行深入地分析,在此基础上选择合理、有效的风险管理手段。引发审计风险的还可能是审计主体、审计客体等。审计主体是风险损失的承担者,审计主体的专业素质和职业道德水平直接关系到审计质量的高低,就目前的情况来看,审计客体存在的经营风险往往容易被审计主体忽视,或是难以察觉其隐蔽性,从而对审计做出错误、有失偏颇地判断,进而导致审计失败。也正是因为这样,有效地识别审计客体,避免财务会计报表出现错报的情况,是当前注册会计师执业过程的关键。
近年来,经营战略受到了企业的广泛重视,其不但关系到企业战略管理的效果,还影响到企业的日常经营,对企业的会计报表的可靠性也有着直接的影响,因此,越来越多的企业开始研究企业经营战略,大部分企业开始进入风险管理阶段。为了提升企业风险管理的效果,企业应该将审计风险识别与风险管理相结合,从宏观的战略层面着眼,通过“战略分析-经营环节分析-会计报表剩余风险分析”的基本思路,将会计报表错报风险与企业战略风险之间的关系紧密联系起来,从而从源头上把握审计风险。
就当前的情况来看,大部分企业的审计风险研究集中在审计风险识别与防护上,而对审计风险决策的效果、审计风险评价等方面的研究则比较少。评估决策执行效果是全程序审计风险管理的重要组成部分,是整个风险管理体系必不可少的。审计风险识别、衡量以及评价为审计风险决策提供依据,而风险管理体系并不是执行了决策,加以执行就能够终结的,这就好比注册会计师的审计责任并不能简单地以审计报告的签发为标志。全程序风险管理的前四个管理步骤虽然搭起了整体的制度架构,但是却难以形成一个完成的体系,而风险决策的效果评估则是上述四个管理步骤的延伸,及时、有效地总结和评价上述这四个程序是提升全程序审计风险管理效果、健全全程序审计风险管理制度的关键。
效果评估工作可以进一步巩固、增长注册会计师的审计知识,积累审计风险识别的经验,不但能够很好地提高会计师风险领域的职业敏感度,还能够增强其把握客户经营风险的能力。为此,在实际的审计实务中,会计事务所可以编制风险管理手册,建立客户风险档案记录,为日后的审计工作提供基础资料。
3.全员审计风险管理
以人为本管理理念已经逐渐为人所知,会计公司也是由一个个员工组成的,每一个员工都是会计公司宝贵的财富。为此,在进行审计风险管理的时候,也可以把焦点放在“人”上,这个“人”并不仅仅指各级审计人员,还包括会计师事务所。前者的风险管理主要体现在具体审计项目质量控制的方法。在实际的审计实务中,各级审计人员应该树立全面风险管理观念,认识到自身审计风险管理参与者的身份。下级审计人员不能将自己看作是被动的服从者, 而应在遵从上级指挥的基础上,充分发挥自身的主观能动性。后者的风险管理主要体现在全面质量控制政策。我国注册会计师质量控制准则对会计师事务所质量控制的规定,会计师事务所的全面质量控制包括职业道德原则、专业胜任能力、工作委派、督导、咨询、业务承接和监控七个方面。
上述的三种审计风险管理方法是相互渗透、相互交叉的关系。审计风险管理的程序是开展每一个审计业务都不可规避的,如在审计计划阶段,审计人员需要对客户的经营状况进行必要地了解,这就必然会涉及到审计风险的识别、分类和评估,而这些工作并非是由一个人员完成的,而是由不同的审计人员各司其职,人员记录的信息资料、得出的急乱,也全部会在档案上体现出来,以更好地为日后的客户委托提供基础资料。总的来说,“人”的因素贯穿在整个审计风险管理程序和过程中。
三、强化全面审计风险管理的建议
通过上述分析,我们对审计风险的概念、全面审计风险管理的目标以及方法有了更为深入地了解。笔者结合自身的工作经验,认为要强化全面审计风险管理,应该从如今几个方面着手:
(一)提高审计人员的法律意识
在实际的审计实务中,总难免会出现违法规则和法规的情况,这并不是说法律法规不完善,亦或者是审计制度设计不健全,究其根本在于审计人员自身的法律意识不强,缺乏自我约束意识,从而导致了诸多的审计问题、错误。为了强化全面审计风险管理,就需要提高审计人员的法律意识,使其熟悉与审计风险管理相关的法律、规则、制度。此外,审计机关还应该深入基层,开展法律法规的宣传、普及工作,组织审计人员学习审计失败案例,使审计人员更加清晰地认识审计风险,在实际的工作中能够保持高度的警惕。
(二)构建完善的审计文化
审计活动是经济社会发展的产物,是一种管理行为,对政治活动和经济生活有着协调、约束作用,在长期的审计工作中,形成了独具特色的文化,我们将其称为审计文化。作为管理文化的一种,审计文化是风险管理体系的基础,不但能够提高审计效率,还能理顺审计关系,有效地降低审计风险。要进行风险管理,首先要做的就要构建完善的审计文化,审计文化是风险管理的世界观和方法论,其不但决定了人们对风险的认识,而且对风险管理者的管理行为有着直接的影响。良好的审计文化能够约束和职称管理者的风险决策行为,推进审计风险管理的完善,不断加深管理者对审计风险管理的认识,使全面风险管理取得更好地效果。
(三)完善审计监督检查体系
为了做好审计工作,加强监督检查也是十分必要的,其不但可以提高审计工作的质量,还能有效地规避审计风险,防止审计工作出现偏差或过错。就目前的情况来看,审计任务完成之后,再对其进行有效地监督,对提升审计质量、提高审计人员的责任意识,降低审计风险有着十分重要的作用。为此,各级审计部门应该从内部管理入手,完善各级审计部门的监督检查体系,确保审计的各个阶段都能按照规定执行,这样才能降低审计工作中各种风险出现的可能性。
(四)搭建风险管理信息平台
具体来说,可以从两个方面着手:其一,构建审计风险管理数据库。审计风险管理数据库是建立风险管理信息系统的核心,是保存基本信息的记忆库,需要选择包含的数据类型及每种类型应收集的数据量,这些数据类型的多少及数量取决于经济单位认为是否满足的条件。该数据库还需要选择数据的格式、类型以及执行与其功能所需要的直接调用能力。此外,还需要定期检查、修改和补充数据库。其二,开发平台软硬件。在进行软件开发的时候,应该保证编制的软件与审计的实际特点相符、便于操作、程序简单,并具有较强的实用性;确保系统具有较高的兼容性,能够兼容常用的电脑操作系统;保证系统的安全性,系统的安全防护功能要满足涉密信息的安全要求;提高审计信息系统开发和应用人员的计算机软件知识。
(五)培养审计人员的责任意识
当前审计人员风险意识淡薄,预防审计风险较为被动,要解决这一问题,就需要从思想上充分认识开展审计风险管理建设的重要作用,塑造和培养具有责任意识的审计人员。以先进的审计文化指导,并将其融入到具体的审计实务当中,只有这样才能充实审计人员的头脑,使自己成为审计的真正主要,提升自身的职业道德水平,推动审计事业的快速发展。就目前的情况来看,我国的审计工作已经发展到较高的阶段,以往单纯的财务收支审计已经发展到经济责任审计、绩效审计等,无论是审计范围,还是审计对象,都有了很大的变化;审计内容和形式也不断深化,面对更加严峻的审计形势,培养审计人员的责任意识显得更为重要,只有如此,才能充分审计的职能作用,有效地降低审计风险。
(六)规避道德风险的发生
审计人员在审计实务中难免会碰见利益问题,一旦出现片面追求利益的行为,就必然会出现审计风险。而要杜绝这种情况的发生,各级审计部门就应该开展审计风险教育,提升审计人员对风险文化的深刻认识,强化这种非正式的意识约束。此外,由于审计风险会给审计主体带来负外部性的影响,有些审计人员躲避高风险审计项目,或者为了利益违背道德原则进行审计,所以要通过多种方式进行宣传教育,将审计风险管理意识转化为审计人员的共同认识和自觉行为,重点领域和关键环节的风险管理业务骨干要培养成为审计风险管理文化的业务骨干,在宣传教育时起到模范带头作用,建立系统、规范的审计风险管理机制。
(七)提高审计人员的风险意识
风险导向审计模式一直为很多学者所研究,这种研究建立在“经济人”假设的基础上,也就是说这种模式承认审计主体是理性的,能够发现所有审计风险,而风险规避行为的出现是因为其没有发现审计风险。而在实际的审计实务中,碍于专业素质、审计环境、工作经验等因素,每个审计人员都有不同的风险偏好。如果站在展望理论的角度来看,当其把获得与损失相对参照,面临获得时倾向于风险规避;面临损失时倾向于追求风险。也就是说同等大小的损失和收益,与偏好水平相比,人们常常更不喜欢损失。加之现行利益制度的缺陷诱发审计主体的非理性风险偏好,所以风险偏好对审计主体的影响是不容忽视的。正因如此,各级审计部门应该提高审计人员的责任意识,建立牢固的审计风险防范体系,编制完善的审计行为准则。
一、审计重要性与审计风险的概念
(一)审计重要性的概念
不同的机构或文件对审计重要性各有定义。国际会计准则委员会(IASC)对重要性的定义是:如果信息的错报或漏报会影响报表使用者的经济决策,信息就具有重要性。《中国注册会计师审计准则1221号——重要性》:重要性取决于在具体环境下对错报金额和性质的判断。如果一项错报单独或连同其他错报可能影响财务报表使用者依据财务报表作出的经济决策,则该项错报是重大的。我国社会审计的《独立审计具体准则第10号—审计重要性》指出,审计重要性指“被审计单位会计报表错报或漏报的严重程度,这一程度在特定环境下可能影响会计报表使用者的判断或决定”。由上来看,这些定义大同小异。可以确定的是在理解审计重要性时应从三点出发:一是重要性的概念是针对会计报表来说的;二是重要性的概念是站在会计报表使用者的角度考虑的;三是重要性的确定需要考虑被审单位的具体环境,且不同的被审单位因环境不同确定重要性的方法也不同。
(二)审计风险的概念
中国注册会计师协会在2007年最新公布的《中国注册会计师审计准则第1101号——财务报表审计的目标和一般原则》,第十七条中对“审计风险”的定义:审计风险是指财务报表存在重大错报而注册会计师发表不恰当审计意见的可能性。审计风险分两个层次,重大错报风险和检查风险,其中重大错报风险包括固有风险和控制风险。固有风险是指不考虑被审计单位相关的内部控制政策或程序情况下,其会计报表上某项认定产生重大错报的可能性。它是独立于会计报表审计之外存在的,是注册会计师无法改变其实际水平的一种风险。控制风险是指被审计单位内部控制未能及时防止或发现其会计报表上某项错报或漏报的可能性。审计人员只能评估其水平而不能影响或降低它的大小。检查风险是指注册会计师通过预定的审计程序未能发现被审计单位会计报表上存在某项重大错报或漏报的可能性。检查风险是审计风险要素中唯一可以通过注册会计师进行控制和管理的风险要素。
二、重要性水平对审计风险的影响
重要性水平是抽样审计理论的衍生物,是注册会计师评估可接受的审计风险时必须考虑的重要因素。其实,重要性水平对审计风险的影响实质上是对检查风险的影响。从注册会计师的角度出发,在确定认定层次重要性水平的基础之上,注册会计师能否检查出错报或者漏报是否超过重要性水平属于检查风险。检查风险越低,在重大错报风险一定的情况下,审计风险也越低。在计划阶段确定的各个层次的重要性水平越低,报表中允许发生的错报和漏报数额越小,这就需要注册会计师实施类型较多的审计程序,收集充分的审计证据,扩大审计范围,使发现的某项认定单独或者连同其他错报认定发生低于重要性水平的错报的可能性越大,最终,注册会计师承担的审计风险也会越低。因此,在确定重要性水平的前提下,重要性水平与审计风险呈正相关性关系。但是,注册会计师在确定重要性水平时一定要保持客观公正的态度,不能为了减轻审计工作而提高审计重要性水平,进而加大审计风险。
三、审计重要性水平的确定
(一)报表层次重要性水平的确定
在确定报表层次的重要性时首先要考虑的是选择哪些项目作为确定重要性的基础。通常情况下,作为重要性基础的有总资产、净资产、总收入、总费用、净利润、所有者权益、权益报酬和现金流量等。之所以选这些项目作为基础,原因有五。第一,相关法律法规的规定,部分的相关法律和规章制度对确定重要性水平的质量和数量作出了限制性要求。第二,由于报表中各个账户的性质不同,所以,每个账户的重要程度是不同的。通常来说,报表使用者在作经济决策时更加关注流动性较高的项目,因此,注册会计师应当针对流动性较高的项目严格制定重要性水平。第三,注册会计师在确定重要性水平时应考虑报表层次各个项目间的联系。第四,各个账户的金额及其变动幅度在各个年份会发生变化,这些变动可能会使报表使用者作出反应。所以,注册会计师在确定重要性水平时,应着重研究这些金额及其变动,选取有代表性的账户作为基础。第五,公司的性质,规模和结构各有所异,根据被审单位的具体情况,注册会计师应选择不同的基础。例如:对于上市公司、IPO等其他重要的公司,应当选取税前利润、营业收入、总资产作为基础。而对于非盈利公司,应选取总收入和总费用作为基础。公司的规模越大,确定的重要性水平的百分比越小,以降低审计风险。除此之外,在确定重要性水平时还应考虑审计风险。注册会计师应考虑检查风险对重要性水平的影响。在重大错报风险一定的情况下,确定较低的重要性水平,扩大实质性测试抽样规模或增加进一步的程序,以满足报表公允发表审计意见的要求。
(二)各类交易账户余额列报层次重要性水平的确定
由于各类交易、账户余额、列报发生错报和漏报的可能性与报表层次重要性水平存在相关性,所以,在确定各类交易、账户余额和列报层次重要性水平时,应以确定的报表层次重要性水平为基础。通常注册会计师在确定重要性水平时采用分配的方法,对资产负债表中,将花费审计成本较大的项目分配较多的重要性百分比。之所以选择资产负债表,是因为在资产负债表的所有者权益项目中反映了法定盈余公积、分配给股东的股利以及期末未分配利润。而且,利润表和利润分配表中的收入和费用项目期末没有余额。
四、结语
总之,鉴于审计重要性水平是如今风险导向型审计中必不可少的一部分,而且它将贯穿于审计的整个过程中,所以,注册会计师在确定重要性水平时需要考虑到将要承担的审计风险、被审单位所处的环境,集团的性质以及报表使用者的需求等各个方面。而且,还要选取适当的确定基础和确定方法,使最终确定的重要性水平合理、适用。
作者:李雪娇 单位:沈阳理工大学
中图分类号:F239文献标志码:A文章编号:1673-291X(2010)36-0080-02
引言
随着会计师事务所体制改革的深入,注册会计师(CPA)将成为审计风险的承受对象。审计风险的控制是任何一家会计师事务所管理的核心,也是审计界讨论的热点问题之一。笔者从审计风险的含义出发,分析其形成的原因及其特点,有针对性地提出了控制审计风险的措施。
一、对审计风险的理解
关于审计风险的含义是指在财务报表事实上有重大错误时,审计人员认为财务报表公允表达,并因此提出无保留意见的风险;《国际会计准则》认为,审计风险是指审计人员对事实上错误的财务资料可能提供不适当意见的那种风险;美国注册会计师协会(AICPA)认为,审计风险是指审计人员对于存在重大错误的财务报表未能适当发表他的意见的风险;加拿大特许会计师协会(CICA)认为,审计风险是审计程序未能察觉出重大错误的风险。
上述观点都认为,审计风险是指财务报表没有公允表达而审计人员却认为公允表达的风险。而中国有些学者认为审计风险分为三个层次:一是最狭义的审计风险――未能察觉出重大错误的风险;二是狭义的审计风险――发表了不适当意见的审计风险;三是广义的审计风险――审计职业风险,即审计主体损失的可能性。
笔者对审计风险的广义和狭义之分有更深入的理解。狭义的审计风险是指在审计活动中由于各方面因素的影响,而使审计工作中存在错误从而造成损失的可能性,或审计人员作出错误审计结论而造成损失的概率。包括误拒风险和误受风险。误拒风险是指将正确或无重大错误的被审事项指为错误而形成的风险。一般情况下这类风险很少发生,在实务中一般不予考虑。误受风险是指将有重大错误的事项指为正确而形成的风险。相对于误拒风险,该类风险发生的可能性要大得多。因此,在审计实务中,审计人员特别注重对误受风险的控制。广义的审计风险不仅包括狭义的审计风险,而且还包括经营风险。它是由于第三者的控告而承担的风险。近二十年来,经营风险有日益增长的趋势。由于审计只限于抽样,在审计未能发现重大错报并提出错误的审计意见时,因审计人员过失而受损失的人,可望从会计师事务所处得到补偿。当某一公司破产或无力偿还债务时,报表使用者通常会指责审计失误。遭受损失的人们由于对其利益的关注而对审计人员提出过高要求,一旦受损就希望得到补偿,而不管错在何方。这就是通常所说的“深口袋”概念。
二、审计风险的成因分析
无论是广义的还是狭义的审计风险,都反映了引发审计风险的三个相关方面:或者与审计客体有关,或者与审计主体有关,或者与第三者有关。这说明审计风险有不同的成因。
1.注册会计师审计环境的影响。按照权利与义务对等的原则,法律在赋予审计职业专门鉴证权利的同时也让其承担相应的法律责任。注册会计师在执业过程中以社会公众为服务对象,合理保证的财务报表公平对待有关各方,不牺牲任何一方的利益。如果其在执行业务中由于疏忽大意或故意行为而导致对委托人或第三者的损害,那么其中任何一方都可以依照法律追究CPA的法律责任。在国外,审计人员由于表示了错误的审计意见而引讼的案件日益增多,而且随着法庭的判决,审计的服务对象以及审计责任有扩大的趋势,审计人员的风险意识也不断加强。
环境对审计风险的影响在中国主要表现为审计客户的不成熟。由于中国正处于转型时期,尽管颁布了一些相关法规,但是仍不完善,企业的经营活动缺乏规范,投机心理和短期行为较为普遍,许多企业存在粉饰财务状况和经营成果的意图与行为,一些企业的经营管理者缺乏起码的诚实与信誉,甚至贿赂审计人员,使其失去独立性,以达到欺骗投资者、债权人以及相关的利害关系人的目的,最终使CPA及其事务所承担法律责任。
2.审计技术的局限性。审计的突出特点是在对被审计单位内部控制制度评审的基础上进行的抽样审计。审计人员在实施抽样时,不论是对被审单位内部控制制度的检查,还是对其账户金额真实性的检查,都会遇到抽样风险,即样本特征不能代表总体特征而出现的失误。再者,在审计中审计人员对审计成本与效益的选择贯穿于整个审计过程。在风险未暴露之前,往往会注重成本的低廉,注重随之而来的效益,这也迫使审计人员采取更节省人力与时间,因此产生审计风险的可能性大大增强。
3.审计的复杂性。现代审计主要是以会计信息为媒介的间接审计,由于其不是通过对经济活动的直接参与对其进行评价,而是事后通过检查会计信息对经济活动作一评价。因此,其审计质量建立在会计反映的资料上。经济业务的种类和性质是多样化和复杂化的,会计核算如所得税会计、期货会计、衍生工具会计、合并会计、外币会计以及会计等远远超出了传统财务会计的内容。对这些业务的处理,显然要比传统的财务会计更具挑战性,更容易发生争议。需要审计人员根据实践经验进行职业判断,一旦判断失误,则可能要承担法律责任。
4.会计师事务所及其CPA本身的原因。一般情况下,每一个会计师事务所都必须根据职业协会颁布的质量控制准则,建立和执行本所的“质量控制制度”。但是有些事务所根本没有建立或执行自身的质量控制制度,以致审计人员在执行审计时没能遵守职业准则的要求,从而带来审计风险。从CPA个人的素质来看,应具有良好的业务素质和道德素质,但目前中国CPA队伍的质量状况尚不尽如人意。一方面,相当一部分CPA知识结构、业务能力和经验未能达到应有的水平,加上后继的力度不够,使审计风险的管理与控制缺乏内在的保障;另一方面,一些CPA缺乏起码的职业道德,在审计过程中任意简化程序,放宽尺度,甚至为客户偷逃国家税收出谋划策,使审计风险在客观上被人为地放大。
三、审计风险的应对
1.明确划分会计责任与审计责任。根据独立审计准则,会计责任是被审单位建立、健全内控制度,保护其资产的安全、完整,保证其会计资料的真实性、完整性、合法性;而审计责任则是对被审单位的财务报表发表审计意见。会计责任与审计责任是两个不同的概念,二者不能互相替代、减轻或免除。为避免审计风险,应由被审计单位提供的会计资料,对是否存在“未决诉讼”和是否为其他单位进行担保等作出说明,以明确划分会计责任和审计责任,防范审计风险。
2.完善审计机构建设。提高审计队伍整体素质。审计能否真正发挥作用,不仅要有完善的审计行业标准来规范审计机构和人员的行为,更重要的是要建设一支合格的、高素质的审计队伍。市场经济的建立和发展对审计人员的业务素质和职业道德提出了更高的要求。一是建立职业准入制度,确保审计人员在政治思想和业务能力等方面符合要求;二是建立审计人员后续教育制度,树立终身学习的思想,系统地、有计划地组织高层次业务培训,不断更新专业知识,以适应新形势发展要求;三是建立审计人员待遇与专业知识水平挂钩的制度。
3.改进审计方法和手段。在采用抽样审计时,应当保持应有的职业谨慎,慎重选择审计样本,使样本能充分代表总体的特征。同时在设计和选择样本,评价抽样结果时,应当结合专业判断关注期后事项审计,应尽可能关注至报告发出日的所有期后事项,在审计报告中作必要的披露,保证企业与报表使用者之间信息及时沟通。另外,要大力开发和应用计算机辅助审计方法,迅速提高审计人员计算机专业知识和技能,不断开发设计计算机辅助审计软件,建立审计作业平台。
四、审计风险的防范措施
1.强化审计的质量控制。审计作业的质量控制要重点抓好以下环节的控制点:(1)事前正确处理好审计风险与重要性概念及证据收集的关系,根据其三者存在的特定关系和重要性原则,正确运用审计风险模型[4],影响因素,准确有效地估计审计风险、固有风险和控制风险,从而估计检查风险,考虑成本效益原则,确定审计方法以及证据收集成本的高低,编制实施计划。(2)事中阶段控制主要是审查计划安排是否与委托单位要求相符,包括审计的范围、完成的时间以及人员分工,并且根据实际情况,适时修订计划,以增强审计工作的时效性和效果性。检查审计方法是否得当,审计依据是否正确,审计证据是否充分,审计判断是否恰当;检查资料整理的完整性与逻辑性。同时编制高质量的审计工作底稿,且审计报告必须与被审单位交换意见,充分听取委托单位及当事人的意见;报告应有专人负责审定。
2.保持对审计环境的敏感性。了解客户及与审计事项有关的各方面情况是发现风险避免法律诉讼的重要工作。在实施实际审计前,应了解下列环境事项并保持敏感性:(1)对整个特别是本地区的财政经济状况及其变化的趋势深入了解;(2)现有的政策、法规对客户的经营管理所产生的影响及其程度;(3)客户的法定代表人及其主要经营管理人员内部变动及外部流动。
3.防范违约风险违约。风险防范是风险防范全过程的首要环节,它的控制质量直接影响到以后各阶段的风险控制质量。因此,CPA面临的是审慎选择客户及其业务,即对客户品质的选择和客户业务的选择。
结束语
现在,中国审计界所面临的不再是一个对审计风险观念上的改变问题,更重要的是如何正确深入地理解审计风险的概念和理论,寻求一种以风险为基础的审计方法来提高审计质量,降低审计风险。只有解决好审计风险的控制和防范问题,并使得以审计风险控制为基础的审计模式在审计实务中得以运用,中国的审计实务才会产生一个新的飞跃。
参考文献:
[1]乔春华.审计学[M].大连:东北财经大学出版社,2005:5.
[2]胡元春.审计风险研究[M].大连:东北财经大学出版社,1997:3.
与财务报表审计主要评价结果不同,内部控制审计主要是对过程进行评价。如果不进行整合审计,审计内部控制无需对账户余额进行实质性测试。即使进行整合审计,控制测试主要是测试内部控制,实质性测试虽然可能使审计人员发现内部控制的缺陷,但其目的主要是为了鉴证企业财务状况、经营成果和现金流量的合法性与公允性,而不是测试内部控制的有效性,因而旨在帮助审计人员确定控制性测试和实质性测试范围的审计风险模型,并不适用于内部控制审计。与审计风险模型为审计人员提供了有助于其确定财务报表审计测试范围的概念框架类似,构建适当的内部控制审计风险模型也将为其提供相关的概念框架,以帮助审计人员确定内部控制审计的测试范围,以及影响测试程度的关键因素等。
内部控制审计的目的不是为了发现重大错报,而是对内部控制的有效性发表意见。如果内部控制存在一个或更多的重大缺陷,审计人员就不能认为它有效,而应当计划并实施适当的审计程序,搜集充分证据对鉴证期间的内部控制是否存在重大缺陷获得合理保证。需要说明的是,即使财务报表不存在重大错报,其内部控制也可能存在重大缺陷,从而决定了内部控制审计的目标是为内部控制的设计、实施和维护不存在重大缺陷寻找高水平的合理保证。
二、内部控制审计风险
狭义的内部控制审计风险是指“一种对内部控制有效性发表不恰当意见的风险”。根据内部控制审计的目标,如果审计人员认为发现的重大缺陷风险并未降到一个足够低的水平,就不应发表无保留意见,因而内部控制审计风险的定义应是“某一组织拥有重大缺陷但审计人员没有发现或发现但却出具不恰当审计意见的风险”,旨在帮助审计人员确定需要实施多少测试来保证未发现的重大缺陷风险控制在足够低的水平。重大缺陷可能来自以下两个方面:内部控制设计或维护的重大缺陷;虽然内部控制具有充分的设计或维护,但在实施过程中存在重大缺陷。为了发现设计或维护方面的重大缺陷,审计人员应适当评价内部控制的设计(如发现控制的不完善)、对内部控制是否改进进行适当测试。典型的评价和测试程序包括:检查(往往在问卷调查或其他方法的基础上进行)、分析控制流程图、阅读文件、观察、穿行测试和检查其他书面资料。通过适当测试控制运行的效率,审计人员可以发现其中的重大缺陷,从而将内部控制缺乏效率的风险降至低水平,而适当的内部控制审计风险模型则有助于审计人员确定运行效率测试的数量和程度。
三、内部控制审计风险模型的构建
内部控制审计风险的定义表明以下情形可能出现重大缺陷:(1)用以防范固有风险的内部控制设计不充分;(2)内部控制设计不完善;(3)设计充分和完善的内部控制未有效运行。为避免内部控制审计风险模型与审计风险模型混淆,将其定义为不正确的控制意见风险,即ICOR。这三种缺陷都可能导致重大缺陷,审计人员要发表内部控制的无保留意见就必须确定这三种情况都不存在,即内部控制审计风险是在固有风险不变的情况下,内部控制固有风险与内部控制实施风险的函数,由此得到内部控制审计风险模型如下:
ICOR=f(CDIR/・给定IR;COER 若CDIR有效) (1)
式(1)表示内部控制审计风险模型。左边是审计人员出具不恰当控制意见的风险,它等于审计人员实施一系列测试后未发现实际存在重大缺陷的风险,是内部控制设计不充分或不完善的风险,以及虽然内部控制设计充分、完善但未有效实施的风险的函数。其中,ICOR为不恰当控制意见的风险,即当某一组织内部控制存在重大缺陷但审计人员并未发现或虽发现却出具不恰当意见的风险。IR为固有风险,即假设不存在内部控制,审计人员认为某一组织存在一项或与其他错报汇总后为重大错报的风险;CDIR为内部控制的设计和改进风险,即审计人员认为某一组织存在内部控制设计不充分或不完善的风险,假定固有风险可以防止或发现并纠正总的重大错报;COER为控制实施有效性风险,即审计人员认为设计充分、完善的内部控制没有被严格实施,从而未能防止或发现并纠正重大错报的风险(见图1)。
(1)内部控制的设计与完善风险CDIR。固有风险是某一组织没有内部控制的情况下存在重大错报的风险,它既包括财务报表中存在的所有风险隐患,也包括某一具体账户本身的风险,注重的是重大错报而非重大缺陷。如果固有风险很低,无论控制怎样无效,重大缺陷风险也很低,存在重大错报的可能性也不大。因为决定某一缺陷能否构成重大缺陷的标准是内部控制存在未能阻止或发现并纠正错报,导致财务报表存在重大错报的数量多少和发生概率大小。然而,除了一些不重要的账户外,固有风险通常不低。审计人员在分析固有风险时经常假设客户的员工能力较高,客户的管理有方或控制环境和谐,但大量研究表明,这往往是错误的。因此,在分析控制风险时应当考虑这些因素,而不能直接断定其固有风险很低。假定固有风险的性质和大小,审计人员在分析内部控制的设计和完善情况时,需要确定二者是否充分和是否需要改进,即要根据没有充分的内部控制时可能出现的错误来决定现有内部控制的恰当性。如果固有风险高,就需要加强控制来防止或发现并纠正错报。反之,如果固有风险较低,需要控制的程度也较轻。如,一个企业的业务量很小也很简单(固有风险低),则可以简化内部控制;相反,另一企业的业务量很大且复杂(固有风险高),还需要复杂的计算机编辑,则审计人员除了检查报告、复核资料外,还要确保这些报告是在内部控制设计有效的前提下完成的。因此,固有风险在内部控制审计时是指内部控制设计和需要完善的风险,即给定固有风险下的内部控制固有风险。审计人员通过考虑、评估内部控制的设计是否充分和完善确保它所引发的风险。
(2)控制运行效率风险(COER)。审计人员使用控制运行效率风险COER确定控制测试的范围,COER类似于财务报表审计中的检查风险。审计人员会用1-COER确定控制测试所需要的保证水平。只有当内部控制设计充分和完善时才需要进行控制测试。如果审计人员确定控制设计不充分并需要改进,则断定内部控制存在缺陷,然后评估该缺陷是否重大,即控制运行效率风险是以内部控制设计的充分与完善为条件的。
四、扩展的内部控制风险审计模型构建
鉴于内部控制有效性的重要性,审计人员应评估组织的控制环境,尤其是管理层的理念和经营方式是否有利于促进有效的内部控制,如是否建立和推广讲求诚信和道德的价值观,特别是高管层;治理层是否理解并履行对监督财务报告及内部控制有效实施的责任。这些都需要单独评估内部控制环境的设计、实施和维护的有效性。如果审计人员发现控制环境存在重大缺陷,就可能发现内部控制存在其他重大缺陷。因此,基于上述模型构成的内部控制审计概念框架,按照COSO关于内部控制的概念框架,内部控制由控制环境、风险评估程序,信息沟通、控制活动和监督组成,笔者将这五部分分别按照设计、完善和实施三个方面对上述模型进行了扩展(见图1下半部分)。
在国内外内部控制规范实施之际,笔者从设计、实施与维护三方面构建了内部控制审计风险模型并初步形成了内部控制审计风险的概念框架,这不仅可以明确重大错报风险、重大缺陷风险的含义,树立审计风险模型只适用于财务报表审计,不适用于内部控制审计的理念;还可以运用内部控制审计风险模型,降低内部控制重大缺陷风险,进而降低财务报表审计的重大错报风险,提高整合审计的效率、效果,最终提升会计信息的决策有用性。
参考文献: