时间:2023-01-04 06:35:47
审计风险具有以下四个基本特征:一是审计风险的客观性。现代审计的一个显著特征,就是采用抽样审计的方法,即根据总体中的一部分样本的特性来推断总体的特性,而样本的特性与总体的特性或多或少有一点误差,这种误差可以控制,但一般难以消除。因此,风险总是存在于审计活动过程中,人们只能认识和控制审计风险,而不能完全消除审计风险。二是审计风险的普遍性。虽然审计风险通过最后的审计结论与预期的偏差表现出来,但这种偏差是由多方面的因素引起的,审计活动的每一个环节都可能导致风险因素的产生。因此,审计风险具有普遍性,它存在于审计过程的每一个环节,任何一个环节的审计失误,都会导致最后的审计结论与预期出现偏差,形成审计风险。三是审计风险的潜在性。审计责任的存在是形成审计风险的一个基本因素,如果审计人员在执业上不受任何约束,对自己的工作结果不承担任何责任,就不会形成审计风险,这就决定审计风险在一定时期里具有潜在性。在实际工作中,尽管审计人员可能发表了不恰当的审计意见,只要没有造成不良后果和损失,风险尚停留在潜在阶段,还不能称之为实在意义上的风险。因此,审计风险是一种可能的风险,它存在一个显化的过程,只有当审计人员被追究失误责任并承担风险损失时,才表现为实在性。四是审计风险的可控性。虽然审计风险是客观存在的,并且贯穿于所有审计项目和整个审计过程中的每一个环节,一旦发生将给审计组织和人员造成有形和无形的名誉及经济损失,但是这并不意味着审计人员在审计风险面前无能为力,它是可以被控制的。只要审计人员保持职业谨慎,运用职业判断,对审计风险进行评估,制定并实施合理的审计程序和方法,就可以将其降低至可接受的水平。
二、审计风险的构成要素及相互关系
审计风险是由固有风险、控制风险、检查风险三要素构成。固有风险是指在不考虑被审计单位相关的内部控制政策或程序的情况下,其会计报表上某项认定产生重大错报的可能性。它是独立于会计报表审计之外存在的,是注册会计师无法改变其实际水平的一种风险。控制风险是指被审计单位内部控制未能及时防止或发现其会计报表上某项错报或漏报的可能性。同固有风险一样,审计人员只能评估其水平而不能影响或降低它的大小。检查风险是指注册会计师通过预定的审计程序未能发现被审计单位会计报表上存在的某项重大错报或漏报的可能性。检查风险是审计风险要素中唯一可以通过注册会计师进行控制和管理的风险要素。审计风险的三要素之间的关系是:审计风险=固有风险×控制风险×检查风险。即:AR=IR×CR×DR。由于固有风险、控制风险是被审计单位客观存在的,审计人员只能评估其大小,不能改变其大小,因此要降低审计总体风险,只能通过降低检查风险实现。当审计风险一定的情况下:检查风险=审计风险固有风险×控制风险允许的最高检查风险与审计总体风险成正比,与固有风险和控制风险成反比。
三、审计风险的评估
审计风险是客观存在的,审计人员在进行审计时,必须对其大小进行评估,根据评估结果,确定应当实施的审计程序。
(一)固有风险的评估固有风险除受宏观经济环境和行业性质影响外,从被审单位内部看主要受两大因素影响:一是被审计单位管理人员和财务人员因素的影响;二是会计报表项目(具体交易事项)的性质影响。1.管理人员、财务人员对固有风险的影响(1)管理人员及财务人员诚信越高,固有风险越小,反之则越大;(2)管理人员及财务人员政策水平越高,业务能力越强,固有风险越小,反之则越大;(3)管理人员及财务人员越稳定,固有风险越小,管理及财务人员变动越频繁,固有风险就越大;(4)管理人员及财务人员受到的异常压力越大,固有风险就越大,反之则小;2.会计报表项目对固有风险的影响(1)报表项目越多,产生错误漏报的可能性就越大,其固有风险就大,反之就小;(2)经济业务越复杂,专业技术要求越高,固有风险就越大,反之则越小;(3)在核算中需要判断和估算的项目越多,固有风险就越大,反之越小;(4)容易遭受损失或被挪用的资产,其固有风险大,反之则小;(5)异常变动的项目固有风险大,反之则小。对固有风险可以根据以上影响因素进行定性分析,评估固有风险的大小。
(二)控制风险的评估控制风险的大小,主要受内部控制要素的影响,内部控制要素包括:1.控制环境控制环境是对企业控制的建立和实施有重大影响的因素。包括经营观念、方式和风格、组织结构、人事政策、管理开展方法、内部责任制等。2.会计系统会计系统是指公司为了汇总、分析、分类、记录、报告公司交易,并保持对相关资产、负债的受托责任而建立的方法和记录。有效的会计系统应满足以下几点:(1)确认并记录所有真实交易;(2)及时充分描述交易;(3)计量交易的价值;(4)确定交易的时间;(5)在会计报表适当表达交易和披露相关事项。3.控制程序控制程序是指对任何交易或事项的进行都要制定实施步骤和开展的办法。主要包括交易的授权、职责的划分、凭证与记录控制、资产接触与记录使用、独立稽核等内容。企业进行内部控制都要通过一系列内部控制制度来实现的。因此若评估控制风险,就必须评价内部控制制度,审计人员对内部控制制度研究和评价可分为三个步骤:(1)了解企业内部控制制度的情况,并做出相应的记录—掌握被审单位是否存在内部控制制度,存在哪些内部控制制度,可采用调查表法;(2)进行符合性测试—证实有关内部控制制度的设计和执行是否有效,审计人员可以选择某一内部控制制度,结合被审单位的实际抽查内部控制制度是否有效执行;(3)评价内部控制的强弱若无内部控制制度,或虽有内部控制制度,但未贯彻执行均为高控制风险,其控制风险应与评估的固有风险相等。
(三)检查风险的评估对固有风险和控制风险评估后,为了达到预计的风险,应当评估允许的最大检查风险为:当审计风险一定的条件下,并且控制风险和固有已经评估出来后,允许的检查风险。
四、如何降低审计风险
评估审计风险的目的是审计人员努力将审计总风险降低到一个可以接受的水平,以避免承担过大的审计责任,审计人员可通过以下方式降低审计风险:
(一)在评估固有风险和控制风险时,宁可高估绝不可低估;适当增加审计抽样,虽然增加点工作量,但可降低审计风险;
(二)提高审计人员素质,提高审计人员的分析和判断能力,增强审计人员责任心,按审计准则要求实施审计工作;
(三)实行审计项目责任制和风险基金制度。首先,审计人员要实行项目负责制,谁负责的项目谁承担风险;其次,实行风险基金制度,凡是有单位的审计人员都要向所在单位交纳一定的风险基金。这可使审计人员的经济利益与审计风险挂钩,使审计人员从主观上增强风险意识,努力降低风险;
(四)摆正并处理好收入与质量的关系。收入是审计人员生存和发展的前提条件,质量是审计业务的生命线。只有在保证质量的前提下,增加审计人员的收入,才能保证自己的审计工作长期生存和发展;
【关键词】 传统风险导向审计 现代风险导向审计 风险评估策略 审计风险
Comparing on the Tactics of Risk Assessment of Traditional Risk-based Audit and Modern Risk-based Audit
Abstract: Traditional Risk-based Audit and Modern Risk-based Audit are the two phases that Risk-based Audit has evolved. The tactics of risk assessment of Traditional Risk-based Audit and Modern Risk-based Audit differ from each other while they still have some similarities. This paper does the Comparion on the Tactics of Risk Assessment from the following four aspects: orientation of risk assessment, extent of risk assessment, procedures of risk assessment and methods of risk assessment.
Keywords: Traditional Risk-based Audit Modern Risk-based Audit
Tactics of Risk Assessment Audit risk
一、引言
传统风险导向审计和现代风险导向审计是风险导向审计模式发展的两个不同阶段。传统风险导向审计和现代风险导向审计均以风险评估为起点,同时都将风险分析与控制方法贯穿运用于审计全过程,使审计过程成为一个不断克服和降低审计风险的过程。因此传统风险导向审计和现代风险导向审计两种审计模式在风险评估策略上存在一定的相同之处,但同时更多地体现出了差异。鉴于两种审计模式的风险评估策略较易被混淆,本文拟对两种审计模式的风险评估策略作一比较,对两者差异加以初步探讨。 二、传统风险导向审计和现代风险导向审计涵义
(一)传统风险导向审计 传统风险导向审计也称为控制风险导向审计[1]。审计模式 发展到传统风险导向审计的标志性事件是AICPA在1983年了第47号《审计准则公告》(SAS No.47)——“审计业务中的审计风险和重要性”,首次提出了审计风险模型。传统风险导向审计是指审计人员在审计过程中将风险分析、评价与控制融入传统审计方法(账项导向审计和制度导向审计)之中,进而获取审计证据,形成审计结论的一种审计取证模式。传统风险导向审计的基本程序并没有脱离制度导向审计模式,但它在制度导向审计模式的基础上更加注重风险评估和风险管理。针对制度导向审计不直接处理审计风险,不能对审计风险进行量化的缺点,传统风险导向审计引入审计风险模型,通过该模型将从各种渠道所收集的证据联系了起来,并在此基础上对审计风险进行定量评估,将审计资源相对合理的分配到高风险领域。 (二)现代风险导向审计
现代风险导向审计也称为经营(商业)风险导向审计、风险基础战略系统审计。1997 年,Bell 和 Frank 发表了名为《通过战略系统的视角对组织进行审计》的研究报告,首次提出了毕马威的BMP 审计模式,这标志着现代风险导向审计的产生。现代风险导向审计是审计技术方法在系统理论和战略管理理论基础上的重大创新,它以被审计单位的战略经营风险为导向,通过“战略分析——流程分析——经营业绩评价——财务报表剩余风险分析”的基本思路,将会计报表重大错报风险和经营风险联系了起来,从而提出了审计师从源头分析和发现会计报表错报的观念[2]。现代风险导向审计针对传统风险导向审
计风险评估不到位,未能有效发现高风险审计领域,造成审计过量或审计不足的缺点,大大加强了风险评估程序,做到了以风险评估中心,真正体现了风险导向审计的理念。
2003年10月国际审计和保证准则委员会(IAASB)了国际审计准则第315号( ISA 315) “了解被审计单位及其环境并评估重大错报风险”,将传统风险导向审计下的审计风险模型修改为:审计风险=重大错报风险×检查风险,明确规定了审计工作以评估财务报表重大错报风险作为新的起点和导向。这就导致了实务中普遍运用的现代风险导向审计在审计风险模型和审计具体风险导向等问题上和准则规定产生了一定的差异。鉴于这一点,特别指出本文所称的现代风险导向审计是指国际会计师事务所在实务中运用的以战略经营风险为导向的现代风险导向审计。 二、传统风险导向审计和现代风险导向审计风险评估策略比较
风险评估是指对审计风险的评估。美国注册会计师协会(AICPA)认为审计风险是指审计人员对于存在重大错报的财务报表未能适当发表意见的风险[3]。风险评估的目标就是确定
高风险环节,从而确定审计的范围和重点,并进一步确定如何收集、收集多少和收集何种性质的证据,以便更有效地控制和提高审计效果及审计效率。策略,是根据形势发展而制定的行动方针和方法。借鉴中注协(1997)对审计策略的定义,笔者将风险评估策略定义为审计人员根据确定的风险评估范围,选择能够达到风险评估目标而应当实施的最有效风险评估程序的基本思路、组织方式和具体方法。在本文中,笔者从风险评估导向、风险评估范围、风险评估程序、以及风险评估具体方法四个方面来比较两种审计模式的风险评估策略。
(一)风险评估导向
虽然国际审计准则规定,在传统风险导向审计下审计人员首先应当对财务报表整体层次和交易类别、账户余额认定层次的固有风险进行评估,但由于固有风险和控制风险都受企业内外部环境的影响,两者很难区分,因此审计人员通常难以对固有风险单独做出准确评估。又鉴于稳健性原则的考虑,实务中审计人员往往将固有风险简单地确定为高水平,从而将风险评估重点锁定在控制风险上。因此在实务中,传统风险导向审计实际上是以对控制风险进行的评估为切入点的,所以传统风险导向审计是以控制风险为导向的。
现代风险导向审计强调:审计人员的审计风险[i]主要来源于企业财务报表的错报风险,而企业财务报表的错报风险则主要来源于整个企业的战略管理风险和经营活动风险[4]。所以要充
分理解审计风险,审计人员就必须从企业的战略分析入手,充分识别企业内、外部风险并理解内外部风险对财务报表认定的影响。因此,现代风险导向审计并不直接从对固有风险的评估入手,而是间接地以被审计单位的战略经营风险为导向,通过综合评估战略经营风险从而确定财务报表剩余风险,并进一步确定实质性测试的范围、时间和程序。因此,现代风险导向审计是以战略经营风险为导向的。 (二)风险评估范围
在实务中运用传统风险导向审计时,审计人员往往忽略对固有风险的准确评估,而将固有风险简单地确定为高水平。因此在传统风险导向审计下审计人员往往不注重从宏观层面上了解企业及其环境(如行业状况、监管环境;企业的性质;企业的目标、战略、以及可能导致会计报表重大错报的相关经营风险;对企业财务业绩的衡量和评价)[5],而只关注企业的内部
控制。因此,在传统风险导向审计方法下,审计人员实际上只仅仅依赖对控制风险所作的粗放型评估来直接、大致确定检查风险水平。
现代风险导向审计要比传统风险导向审计站得更高,看得更远,对企业了解得更透。它将被审计单位置于广泛的经济系统中,认为有效的审计需要对企业所处的宏观社会经济环境和行业环境、战略目标和措施、影响企业目标实现的主要业务活动和关键经营环节以及剩余风险进行深入的了解。在现代风险导向审计下审计风险仍然由固有风险、控制风险和检查风险三要素组成,审计人员也同样要对固有风险和控制风险进行评估。但是相比传统风险导向审计,现代风险导向审计下“固有风险”的内涵扩大了,除了包括会计报表项目本身的风险外,更多地考虑了企业的经营风险。而且在现代风险导向审计下,企业内部控制已经发展到内部控制框架阶段,并有被企业全面风险管理框架取代的趋势,相比传统风险导向审计下的内部控制结构概念,现代风险导向审计下对控制风险进行评估时考虑的因素则更加全面了。
(三)风险评估程序 传统风险导向审计风险评估的基本程序可表示为:固有风险评估了解被审计单位的内部控制结构控制风险初步评估控制测试(可选)控制风险综合评估确定检查风险。审计人员在对固有风险进行评估时主要考虑以下因素:管理人员的品行、能力、变动情况和遭受异常压力的情况;客户业务特征;关联方;非常规交易;以前审计结果等。但由于种种原因,实务中审计人员往往忽略对固有风险的准确评估,通常的做法是将固有风险简单地确定为高水平,而将风险评估的重点放在控制风险上。审计人员在对被审计单位的内部控制进行了解时,首先从分析控制环境入手,再对会计制度和控制程序进行分析。分析控制环境时主要考虑以下因素:管理哲学和经营作风;组织机构;董事会及审计委员会职能;人事政策和程序;确定职权和责任的方法等。然后审计人员基于当前对内控的了解对控制风险水平进行初步评估(计划估计水平)。如果审计人员将某一控制的控制风险初步评估为最高值,则对该控制不需执行控制测试而直接进入实质性测试阶段;但如果审计人员将某一控制的控制风险评估为低于最高值时,则就需要对该控制执行控制测试,从而来获取证据以支持低于最高值的风险水平。控制测试完成以后,审计人员对被测试控制的控制风险进行再次评估(最终估计水平),并根据最终估计水平来决定相应的检查风险水平。 现代风险导向审计风险评估的基本程序可用下图表示。如图所示(由于不能粘贴,此处图略),审计人员首先需要对客户的战略进行分析,分析时需要对客户的内外部环境进行了解,包括客户行业状况、监管环境以及其他外部因素(宏观经济环境等);被审计单位的目标、战略以及面临的经营风险;企业对威胁企业战略的风险做出的反应等。对客户的战略进行分析后即可对战略风险做出评估。现代风险导向审计下内部控制被分为管理控制(战略控制、高层控制)和流程控制(一般控制、员工控制)[6],在对 客户的战略进行分析时同时要对战略控制进行了解并进行评价。然后审计人员对客户的流程进行分析,分析时可从流程目标、投入、作业、交易类型、威胁流程目标的风险等八个维度来了解流程情况[7]。通过流程分析可
以了解客户创造价值的方式、竞争优势及劣势、威胁,从而来评估流程经营风险。在对客户的流程进行分析时同时要对流程控制进行了解并进行评价。在对战略经营风险和流程经营风险进行评估时特别要注重对舞弊风险的评估。然后在此基础上来对固有风险进行初步评估,在评估时除了要重点考虑经营风险可能引起的重大错报之外,还要考虑其他可能引起重大错报的因素(管理当局遭受的异常压力等)。审计人员在对客户的战略和流程进行分析时已经从企业整体层次对内部控制进行了了解(战略控制和流程控制)并做了评价,在这个基础上还要对内部控制的其他方面进行了解并给予评价,特别是要关注有关交易重要类别的控制。基于对内部控制充分的了解,审计人员然后对控制风险进行初步评估。由于固有风险和控制风险都受企业内外部环境的影响,两者之间存在着紧密的联系,因此审计人员在单独对固有风险、控制风险进行初步评估的基础上还须对两者进行综合评估,即固有风险和控制风险的联合。对联合风险的评估是审计工作的核心,因为接下来其余的审计工作都要围绕联合风险来进行,联合风险的评估结果是审计人员决定实质性程序性质、时间以及范围的基础[8]。然后审计人员对 值得信赖的控制进一步执行控制测试,从而来获取支持其较低控制风险水平的证据。最后根据控制测试结果并结合联合风险评估水平,审计人员对会计报表重大错报风险进行综合评估,从而来确定会计报表剩余风险(即检查风险),并进一步决定实质性程序的性质、时间以及范围。 (四)风险评估具体方法 风险评估的方法主要有观察、检查、函证、询问、穿行测试、分析性程序等多种审计取证手法。虽然传统风险导向审计客观上要求大量使用分析性程序来进行风险评估,但由于实务中审计人员往往忽略对固有风险的准确评估,因此限制了分析性程序的运用范围。而且传统风险导向审计对于信急的再加工重视程度不够,分析性程序主要适用在报表分析上[9]。 而在现代风险导向审计下,风险评估以分析性程序为中心,分析性程序成为最重要的程序。而且随着分析性程序功能的不断扩大,分析性程序开始走向多样化,审计人员不仅对财务数据进行分析,同时也对非财务数据进行分析。由于分析性程序的多样化运用,大量的分析工具以及现代管理方法被运用到分析性程序中去。如在战略分析时审计人员运用了PSET分析和POPTER分析方法;在流程分析时运用到了价值链分析(VCA))和波士顿矩阵(BCG)以及SWOT分析方法;绩效分析时运用到了平衡积分卡(BSC)和标杆管理(Benchmarking)分析技术[10]。将分析工具运用到风险评估中 使得风险因素不再独立,而且风险评估不再是一元评估,而是多元评估,因此风险评估的结果将更加可靠。
三、结论
1. 风险评估导向不同:
虽然国际审计准则规定传统风险导向审计应以固有风险为切入点,但在实务中传统风险导向审计实际上是以控制风险为导向的;而现代风险导向审计则是以战略经营风险为导向的。
2. 风险评估范围不同:
审计人员在实务中运用传统风险导向审计时往往会忽略对固有风险的准确评估,只通过对控制风险所作的粗放型评估来决定实质性测试的性质、时间和范围;而现代风险导向审计下审计人员除了要对传统的固有风险,即会计报表项目本身的风险进行评估之外,更多地是要考虑企业的经营风险,特别是注重对舞弊风险的评估[11]。同时由于内部控制概念内涵的扩
大,审计人员在对控制风险进行评估时考虑的因素相比传统风险导向审计下更加全面了。
3. 风险评估程序不同: 相比传统风险导向审计,由于现代风险导向审计增加了对企业战略和经营流程的分析,以及对经营风险的评估,而且最后将固有风险和控制风险联合起来进行评估,因此在评估程序方面现代风险导向审计比传统风险导向审计更完善。由于现代风险导向审计对审计风险考虑的更全面了,所以在现代风险导向审计下能够更好的将会计报表剩余风险降低到可接受水平。 4. 风险评估具体方法重点不一样: 两种审计模式在风险评估时都运用了观察、检查、函证、询问、穿行测试等风险评估方法,但相比传统风险导向审计,现代风险导向审计更注重分析性程序的运用,做到了以分析性程序为中心。
________________________________________
[i]国际会计师事务所认为审计风险应该是广义的,即不仅包括审计过程的缺陷而导致审计结果与实际不相符而产生损失或责任风险,还包括客户经营失败而导致审计主体遭受损失或不利的可能性。
参考文献:
[1] 王泽霞.论风险导向审计发展创新[J].会计研究,2004(12): 49-54
[2] 谢荣,吴建友.现代风险导向审计理论研究与实务发展[J].会计研究,2004(14):47-51
[3] AICPA:professional Standards As of June 1,1992,AU.31
[4] 谢荣,吴建友.现代风险导向审计基本内涵分析[J].审计研究,2004(05):26-30
[5] 陈毓圭.对风险导向审计方法的由来及其发展的认识[J].会计研究,2004(14):58-63
[6] 郑朝晖.战略系统审计:财务数据之合理预期[J/OL].中国会计视野,2004 [2006-4-17] /showdoc.asp?docid=448&uchecked=true
[7] 王义华.BMP审计模式介绍[J].中国注册会计师,2005(06): 69-70
[8] Ernst&Young Global Audit Planning Toolkit 2004[M], 2004: 65-67
[9] 马贤明,郑朝晖.现代风险导向审计探讨[J].审计与经济研究,2005(01):9-13
关键词:审计风险准则 风险导向 重大错报风险 风险评估 审计证据
一、前言
2006年财政部颁布了《中国注册会计师执业准则》,标志着我国在建立适应社会主义市场经济发展要求,顺应国际趋同新形势的道路上迈进了一大步。为了更好地指导注册会计师有效地识别、评估和应对审计风险,准则框架体系全面渗透着风险导向审计的理念,要求注册会计师将风险导向审计的观念贯穿于审计全过程。传统审计方法的主要缺陷在于注册会计师重视被审计单位的内部环境,但忽视其所处的外部环境;重视审计单位的控制风险但忽视其固有风险。事实上我国注册会计师面临的情形是被审计单位及其所处环境的日趋复杂。行业状况、法律环境与监管环境以及其他外部因素,都会对注册会计师审计质量产生重大影响。在复杂环境下或被审计单位内部控制不健全时,如果继续采用传统审计模式,局限于控制测试和实质性测试,把审计的主要资源集中在具体交易事项和余额细节测试上。极易引发审计风险。因此,新执业准则要求注册会计师了解被审计单位及其内外部环境,同时注重检查风险和固有风险(即重大错报风险),重点关注存在重大错报风险的领域,达到避免触发审计风险的目的。新执业准则体系的核心内容为以下准则,简称审计风险准则,分别为:《中国注册会计师执业准则第1101号――财务报表审计的目标和一般原则》(以下简称第1101号准则,下同)、《中国注册会计师执业准则第1211号――了解被审计单位及其环境并评估重大错报风险》、《中国注册会计师执业准则第1231号――针对评估的重大错报风险实施的程序》、《中国注册会计师执业准则第1301号――审计证据》。
二、审计风险准则修订的主要内容
(一)第1101号准则 第1101号准则是在借鉴国际审计与鉴证准则第200号的基础上,对原《独立审计准则第1号――会计报表审计》进行修订而形成的。其主要内容有:会计责任和审计责任、审计的目标、审计范围、职业怀疑态度、审计风险及模型。(1)明确区分注册会计师的责任,公司管理层和治理层的责任。新准则规定,对财务报表发表审计意见是注册会计师的责任;在被审计单位治理层的监督下,按照适用的会计准则和相关会计制度的规定编制财务报表是被审计单位管理层的责任。此外,准则条款还特别强调了财务报表审计不能减轻被审计单位管理层和治理层的责任。(2)明确财务报表审计目标。新准则规定,财务报表审计的目标是注册会计师通过执行审计工作,对财务报表的下列方面发表审计意见:财务报表是否按照适用的会计准则和相关会计制度的规定编制;财务报表是否在所有重大方面公允反映被审计单位的财务状况、经营成果和现金流量。这个规定与原有的规定没有太大区别,但是新准则中明确提出,财务报表审计属于鉴证业务,注册会计师的审计意见旨在提高财务报表的可信赖程度。(3)修订审计范围的定义。新准则指出,财务报表的审计范围是指注册会计师为实现财务报表审计目标,根据审计准则和职业判断实施的恰当的审计程序的总和。在确定拟实施的审计程序时,注册会计师应当遵守与财务报表审计相关的各项审计准则。恰当的审计程序是指审计程序的性质、时间和范围是恰当的。一是审计程序的性质指审计程序的目的和类型。目的包括:通过了解被审计单位及其环境,识别、评估重大错报风险;通过实施控制测试,明确内部控制运行的有效性;通过实施实质性程序,发现认定层次的重大错报。类型则包括检查、观察、询问、函证、重新计算、重新执行和分析程序。二是审计程序的时间是指注册会计师何时实施审计程序,或指审计证据适用的期间或时点。三是审计程序的范围是指实施审计程序的数量,包括抽取的样本量,对某项控制活动的观察次数等。审计范围受到限制是指由于客观原因或者被审计单位施加的限制,注册会计师未能实施根据审计准则和职业判断应当实施的审计程序,从而未能获取充分、适当的审计证据。(4)要求注册会计师在审计过程中始终保持职业怀疑态度,并明确在财务报表审计中注册会计师只能提供合理保证。新准则要求,在计划和实施审计工作时,注册会计师应当保持职业怀疑态度,充分考虑可能存在导致财务报表发生重大错报的情形。新准则指出,注册会计师按照审计准则的规定执行审计工作,能够对财务报表整体不存在重大错报获取合理保证。由于审计中存在的固有限制影响注册会计师发现重大错报的能力,注册会计师不能对财务报表整体不存在重大错报获取绝对保证,即只能提供合理保证。(5)引进新的审计模型。新准则对审计风险模型作了重大改变,将原审计风险模型修正为:审计风险:重大错报风险x检查风险,审计风险取决于重大错报风险和检查风险,是两者的综合风险。重大错报风险要求注册会计师站在风险的高度上把握审计过程,以风险为导向进行审计,强化了风险意识,注册会计师对于重大错报风险的评估贯穿于审计的整个过程。改变后的审计风险模型使得注册会计师从更高的层次上把握重大错报风险,要求注册会计师必须了解被审计单位及其环境(包括内部控制),以充分识别和评估财务报表重大错报风险,并针对评估的重大错报风险设计和实施进一步审计程序(包括控制测试和实质性测试),以降低注册会计师的审计风险。在目前经济不确定性增大的环境下,显然新的审计风险模型更能满足风险控制的要求,并且可操作性较强。
(二)第1211号准则 第1211号准则是在借鉴国际审计与鉴证准则第315号基础上出台的新准则,将取代我国原有的《独立审计准则第21号――了解被审计单位情况》、《独立审计准则第9号――内部控制与审计风险》和《独立审计准则第20号――计算机信息系统环境下的审计》,以克服旧准则相互分离、缺乏有机融合的缺陷。根据《中国注册会计师审计准则第1101号――财务报表审计的目标和一般原则》要求,注册会计师在审计过程中应当贯彻风险导向审计的理念,围绕重大错报风险的识别、评估和应对,计划和实施审计工作。其中如何识别和评估重大错报风险,构成了注册会计师应对重大错报风险的前提。注册会计师如何了解被审计单位及其环境,了解哪些具体的内容,了解后如何对重大错报风险进行评估,如何将了解和评估的过程、结果与管理层和治理层进行沟通,在审计工作底稿中应当对哪些内容进行记录,本准则对这些问题做了明确规范,其修订的主要内容有:(1)注册会计师审计的总体要求:了解被审计单位及其环境是必要程序;了解的目的是识别和评估财务报表重大错报风险,设计和实施进一步审计程序;了解的程度应当足够实现了解的目的。与独立审计准则中的规定不同,了解被审计单位及其内外部环境是注册会计师审计过程中必须实施的程序,
也是风险导向审计的核心。(2)风险评估程序的概念及项目组内部讨论的要求。风险评估程序是指为了解被审计单位及其环境而实施的程序。风险评估程序包括:询问被审计单位管理层和内部其他相关人员;分析程序;观察和检查。注册会计师在了解被审计单位及其环境的整个过程中,结合了解的内容和被审计单位业务的特点运用相应的风险评估程序,并利用风险评估程序所获取的信息评估重大错报风险,并可能随着不断获取审计证据而作出相应的变化。如果通过实施进一步审计程序获取的审计证据与初始评估获取的审计证据相矛盾,注册会计师应当修正风险评估结果,并相应修改原计划实施的进一步审计程序,实施风险评估程序之后项目组内部必须进行讨论。注册会计师通过风险评估程序了解被审计单位及其环境后,需要对财务报表重大错报风险进行评估,评估重大错报风险需要运用专业判断,必须由项目组内部讨论来完成,项目组内部讨论可以有效降低审计风险。在原准则中,评估固有风险、控制风险也需要专业判断,但并没有需要项目组共同讨论的规定。一是讨论的目标。项目组通过讨论可以使成员更好地了解在各自分工负责的领域中,由于舞弊或错误导致财务报表重大错报地可能性,并了解各自实施审计程序的结果如何影响审计的其他方面,包括对确定进一步审计程序的性质、时间和范围的影响。二是讨论的内容。项目组应当讨论被审计单位面临的经营风险、财务报表容易发生错报的领域以及发生错报的方式,特别是由于舞弊导致重大错报的可能性。三是参与讨论的人员。注册会计师应当运用职业判断确定项目组内部参与讨论的成员。项目组的关键成员应当参与讨论,如果项目组需要拥有信息技术或其他特殊技能的专家,这些专家也应当参与讨论。项目组的讨论不要求所有成员每次都参与讨论,参与讨论人员的范围受项目组成员的职责、经验和信息需求的影响。四是讨论的时间和方式。项目组应当根据审计的具体情况,在整个审计过程中,持续交换有关财务报表发生重大错报可能性的信息。项目组在讨论时应当强调在整个过程中保持职业怀疑态度,警惕表明舞弊或错误导致的重大错报可能已经发生的信息或其他迹象,并对这些迹象进行追踪。通过讨论,项目组成员可以交流和分享在整个审计过程中获得的信息,包括可能对重大错报风险评估产生影响的信息或有关针对风险实施的审计程序的信息。(3)注册会计师应尽到的相关职责。对注册会计师应当从哪些方面了解被审计单位及其环境作了详细的定义:行业状况、法律环境与监管环境以及其他外部因素;被审计单位的性质;被审计单位对会计政策的选择和运用;被审计单位的目标、战略以及相关经营风险;被审计单位财务业绩的衡量和评价;被审计单位的内部控制。这些内容是新准则的重要内容,值得注意的是对被审计单位的了解不仅局限于被审计单位的内部控制。对以上新准则中有相应的章节进行具体的阐述,使得注册会计师思考的是究竟哪些方面去了解被审计单位,而不像原有准则中是比较模糊的概念,这样做可以有效防止了解的不彻底影响审计工作,低估重大错报风险。(4)明确了注册会计师了解内部控制的定位。注册会计师需要了解和评价的内部控制只是与财务报表审计相关的内部控制,并非被审计单位所有的内部控制。因为注册会计师审计的目标是对财务报表是否不存在重大错报发表审计意见,注册会计师考虑与财务报表编制相关的内部控制,但目的并非对被审计单位内部控制的有效性发表意见。(5)明确了注册会计师评估两个层次的重大错报风险。在对重大错报风险进行识别和评估后,注册会计师应当确定识别的重大错报风险是与特定的各类交易、账户余额、列报的认定相关,还是与财务报表整体广泛相关,进而影响多项认定。某些重大错报风险可能与特定的各类交易、账户余额、列报的认定相关。如被审计单位存在复杂的联营或合资,这一事项表明长期股权投资账户的认定可能存在重大错报风险。又如被审计单位存在重大的关联方交易,该事项表明关联方及关联方交易的披露认定可能存在重大错报风险。某些重大错报风险可能与财务报表整体广泛相关,进而影响多项认定。如在经济不稳定的国家和地区开展业务、资产的流动性出现问题、重要客户流失、融资能力受到限制等,可能导致注册会计师对被审计单位的持续经营能力产生重大疑虑。又如管理层缺乏诚信或承受异常的压力可能引发舞弊风险,这些风险与财务报表整体相关。(6)提出了特别风险的概念,需要特别考虑的重大错报风险即为特别风险,并根据风险的性质、潜在错报的重要程度和发生的可能性判断风险是否属于特别风险。如风险是否属于舞弊风险;交易的复杂程度;风险是否涉及重大的关联方交易等。(7)提出了对仅通过实质性程序无法应对的重大错报风险的处理方法。仅通过实质性程序获取的审计证据无法将认定层次的重大错报风险降至可接受的低水平,注册会计师应当评价被审计单位针对这些风险设计的控制,并确定其执行情况。在被审计单位对日常交易采用高度自动化处理的情况下,审计证据可能仅以电子形式存在,其充分性和适当性通常取决于自动化信息系统相关控制的有效性,注册会计师应当考虑仅通过实施实质性程序不能获取充分、适当审计证据的可能性。如果认为仅通过实施实质性程序不能获取充分、适当的审计证据,注册会计师应当考虑依赖的相关控制的有效性,并对其进行了解、评估和测试。(8)将了解被审计单位及其环境过程中获得的信息记录与工作底稿中。此类信息包括项目组对由于舞弊或错误导致财务报表发生重大错报的可能性进行的讨论,以便得出的重要结论;对被审计单位及其环境各个方面的了解要点、信息来源以及实施的风险评估程序;在财务报表层次和认定层次识别、评估出的重大错报风险;识别出的特别风险和仅通过实质性程序无法应对的重大错报风险,以及对相关控制的评估。
(三)第1231号准则 第1231号准则是在借鉴国际审计与鉴证准则第330号的基础上出台的一个全新的准则,将取代原有的《第21号――了解被审计单位情况》、《第9号――内部控制与审计风险》和《第20号――计算机信息系统环境下的审计》。根据《中国注册会计师审计准则第1101号――财务报表审计的目标和一般原则》的要求,注册会计师在审计过程中应当贯彻风险导向审计的理念,围绕重大错报风险的识别、评估和应对,计划和实施审计工作。其中《第1211号――了解被审计单位及其环境并评估重大错报风险》规范了注册会计师通过实施风险评估程序,识别和评估财务报表层次以及各类交易、账户余额、列报认定层次的重大错报风险,注册会计师针对已评估的财务报表层次的重大错报风险如何确定总体应对措施,针对已评估的认定层次的重大错报风险如何设计和实施进一步审计程序,进一步审计程序的性质、时间、范围如何确定和实施,如何评价实施审计程序收集的审计证据的充分性和适当性,在审计工作底稿中将对哪些审计工作进行记录等,对这些问题的明确规范是第1231号准则的核心内容。其修订的主要内容有:总体要求、针对重大错报风险的总体反应、审计程序的不可预见性、总体方案和进一步审计程序、控制测试的相关要求、实质性程序及相关要求、审计的相关要求、审计工作记录。(1)明确提出了对注册会计师审计的两个总体要求:审计程序的总体要求,注册会计师应
当对评估的财务报表层次重大错报风险确定总体应对措施,并针对评估的认定层次重大错报风险设计和实施进一步审计程序;职业判断的总体要求,注册会计师在确定总体应对措施以及设计和实施进一步审计程序的性质、时间和范围时应当运用职业判断。(2)首次提出了注册会计师应当针对评估的财务报表层次重大错报风险确定下列总体应对措施:向项目组强调在收集和评价审计证据过程中保持职业怀疑态度的必要性;分派更有经验或具有特殊技能的审计人员,或利用专家的工作;提供更多的督导;在选择进一步审计程序时,应当注意使某些程序不被管理层预见或事先了解;对拟实施审计程序的性质、时间和范围作出总体修改。(3)强调审计程序的不可预见性要求。注册会计师针对评估的财务报表层次重大错报风险确定的总体应对措施中强调增强审计程序的不可预见性,因此,注册会计师在设计拟实施审计程序的性质、时间和范围时,为了避免既定思维对审计方案的限制,避免对审计效果的人为干涉,从而使得针对重大错报风险的进一步审计程序更加有效,注册会计师要考虑使某些程序不被审计单位管理层预见或事先了解。(4)首次提出了两种总体方案和进一步审计程序的概念。两种总体方案分别为实质性方案和综合性方案,实质性方案是指注册会计师实施的进一步审计程序以实质性程序为主;综合性方案是指注册会计师在实施进一步审计程序时,将控制测试与实质性程序结合使用。而所谓的进一步审计程序是相对风险评估程序而言的,是注册会计师针对评估的各类交易、账户余额、列报认定层次重大错报风险实施的审计程序,包括控制测试和实质性程序。(5)重新界定了注册会计师实施控制测试的两种情形,当存在下列情形之一时,注册会计师应当实施控制测试:在评估认定层次重大错报风险时,预期控制的运行时有效的;仅实施实质性程序不足以提供认定层次充分、适当的审计证据。(6)强调了实施控制测试获取审计证据的重要性。即认为仅实施实质性程序获取的审计证据无法将认定层次重大错报风险降至可接受水平,注册会计师应当实施相关的控制测试,以获取控制运行有效性的审计证据。(7)增加了“重新执行”的控制测试取证方法。根据第1301号审计证据准则,注册会计师获取审计证据的具体程序中将六种具体的取证方法修改为八种,即检查记录或文件;检查有形资产;观察;询问;函证;重新计算;重新执行;分析程序。其中增加了“重新执行”控制测试的取证方法。(8)严格限制了注册会计师无限期或过长时间内不实施测试的做法。如果拟信赖的控制自上次测试后未发生变化,且不属于旨在减轻特别风险的控制,注册会计师应当运用职业判断确定是否在本期审计中测试其运行有效性,以及本次测试与上次测试的时间间隔,但两次测试的时间间隔不得超过两年。(9)首次明确区分“控制运行的有效性”与“控制是否得到执行”。注册会计师在了解被审计单位及其环境时需要实施风险评估程序。注册会计师在确定控制是否得到执行而实施的某些风险评估程序可能提供有关控制运行有效性的审计证据。注册会计师可以考虑在评价控制设计和获取其得到执行的审计证据的同时测试控制运行有效性,以提高审计效率。两者的区别如(表1)所示。(10)首次明确期中进行控制测试的考虑。如果注册会计师在期中实施控制测试程序,即使注册会计师已获取有关控制在期中运行有效性的审计证据,仍然需要考虑如何能够将控制在期中运行有效性的审计证据合理延伸至期末,以确保针对期中至期末这段剩余期间获取充分、适当的审计证据。如果已获取有关控制在期中运行有效性的审计证据,并拟利用该证据,注册会计师应当实施下列审计程序:首先,获取这些控制在剩余期间变化情况的审计证据。针对期中已获取过审计证据的情况,如果这些控制在剩余期间没有发生变化,注册会计师可能决定信赖期中获取的审计证据;如果这些控制在剩余期间发生了变化,注册会计师需要了解并测试控制的变化对期中审计证据的影响。其次,确定针对剩余期间还需获取的补充审计证据。针对期中已获取过审计证据的情况,如果这些控制在剩余期间发生了变化,注册会计师应当考虑下列因素:评估的认定层次重大错报风险的重大程度。评估的重大错报风险对财务报表的影响越大,注册会计师需要获取的剩余期间的补充证据越多;在期中测试的特定控制。如对自动化运行的控制,注册会计师更可能测试信息系统一般控制的运行有效性,以获取控制在剩余期间运行有效姓的审计证据;在期中对有关控制运行有效性获取的审计证据的程度。如果注册会计师在期中对有关控制运行有效性获取的审计证据比较充分,可以考虑适当减少需要获取的剩余期间的补充证据;剩余期间的长度。剩余期间越长,注册会计师需要获取的剩余期间的补充证据越多;在信赖控制的基础上拟减少进一步实质性程序的范围。注册会计师对相关控制的信赖程度越高,通常在信赖控制的基础上拟减少进一步实质性程序的范围就越大。在这种情况下,注册会计师需要获取的剩余期间的补充证据越多;控制环境。在注册会计师总体上拟信赖控制的前提下,控制环境越薄弱(或把握程度越低),注册会计师需要获取的剩余期间的补充证据越多。(11)明确了实质性程序概念和内容。实质性程序是指注册会计师针对评估的重大错报风险实施的直接用以发现认定层次重大错报的审计程序。包括对各类交易、账户余额、列报的细节测试以及实质性分析程序。(12)明确了对于特别风险的专门应对程序。如果认为评估的认定层次重大错报风险是特别风险,注册会计师应当专门针对该风险实施实质性程序;如果针对特别风险仅实施实质性程序,注册会计师应当使用细节测试,或将细节测试和实质性分析程序结合使用,以获取充分、适当的审计证据。(13)首次提出了是否在期中实施实质性程序。注册会计师如果在期中实施了实质性程序,仍然需要消耗进一步的审计资源使期中审计证据能够合理延伸至期末,注册会计师应当考虑是否在期中实施实质性程序。(14)指明了财务报表审计是一个累计和不断修正的过程。随着计划的审计程序的实施,如果获取的信息与风险评估时依据的信息有重大差异,注册会计师应当考虑修正风险评估结果,并据以修改原计划的其他审计程序的性质、时间和范围。(15)明确了注册会计师应当针对评估的风险设计细节测试。如在针对存在或发生认定设计细节测试时,注册会计师应当选择包含在财务报表金额中的项目,并获取相关审计证据;针对完整性认定设计细节测试时,注册会计师应当选择有证据表明应包含在财务报表金额中的项目,并调查这些项目是否确实包括在内。(16)明确了审计工作记录要求。注册会计师应当针对评估的重大错报风险实施的程序进行充分的审计工作记录。包括记录:对评估的财务报表层次重大错报风险采取的总体应对措施;实施进一步审计程序的性质、时间和范围;实施进一步审计程序与评估的认定层次重大错报风险的联系;实施进一步审计程序的结果。
(四)第1301号准则 第1301号准则是在借鉴国际审计与鉴证准则第500号的基础上,对我国原有的《独立审计准则第5号――审计证据》进行修订而形成的。此次重大修订的内容有:(1)拓展了审计证据的内涵。原审计证据准则将审计证据定义为“注册会计师在执行审计业务过程中,为形成审计意见所获取的证据”。原审计证据准则对审计证据的内涵界定比较窄,注册会计师收集
的审计证据更多体现的是与财务报表会计记录相关的信息。修订后审计证据准则将审计证据定义为“注册会计师为了得到审计结论、形成审计意见而使用的所有信息”。新审计证据准则对审计证据的内涵要宽泛得多,不仅包括与财务报表会计记录相关的信息,还包括其他信息。如(图1)所示。
其中,第一类审计证据是“财务报表依据的会计记录中含有的信息”。会计记录中含有的信息是最基本信息。构成了财务报表最主要的内容,一般包括对初始分列的记录和支持性记录,如支票、电子资金转账记录、发票、合同、总账、明细账、记账凭证和未在记账凭证中反映的对财务报表的其他调整,以及支持成本分配、计算、调节和披露的手工计算表和电子数据表。第二类审计证据是“其他信息”。其他信息是用来印证会计记录中含有的信息是否真实、完整,指导注册会计师如何识别、评估财务报表重大错报风险,一般包括:注册会计师从被审计单位内部或外部获取的会计记录以外的信息,如被审计单位会议记录、内部控制手册、函证函的回函、分析师的报告、与竞争者的比较数据等;通过询问、观察和检查等审计程序获取的信息,如通过检查存货获取存货存在性的证据等;自身编制或获取的可以通过合理推断得出结论的信息,如注册会计师编制的各种计算表、分析表等。(2)引进了“认定”的概念。原审计证据准则未将“认定”写进准则,整个审计准则体系对“认定”概念重视不够,新审计证据准则引入“认定”概念,并要求注册会计师详细运用认定指导具体审计目标,根据具体审计目标来设计和确定进一步审计程序。(3)将获取审计证据的程序区分为总体程序和具体程序。原审计证据准则只列了六种具体的取证方法。修订后的审计证据准则将注册会计师获取审计证据的程序区分为总体程序和具体程序,总体程序增加了风险评估程序,即包括风险评估程序、控制测试和实质性程序;具体程序中将六种具体的取证方法修改为八种,具体包括的内容前文已述及。其中,将“监盘”程序进行细分,因为“监盘”是“检查记录或文件”、“检查有形资产”、“观察”等具体审计程序的复合程序;增加“重新执行”具体程序;将原来的“计算”和“分析性复核”分别修改为“重新计算”和“分析程序”。(4)新增风险评估程序。根据风险导向审计准则体系的要求,注册会计师应当通过了解被审计单位及其环境识别重大错报风险,并针对评估的重大错报风险设计和实施进一步的审计程序,因此,在修订后的审计证据准则中增加“风险评估程序”,以此为手段通过了解情况作为评估财务报表层次和认定层次重大错报风险的基础。但风险评估程序并不能识别出所有的重大错报风险,虽然它可作为评估财务报表层次和认定层次重大错报风险的基础,但并不能为发表审计意见提供充分、适当的审计证据。为了获取充分、适当的审计证据,注册会计师还需要实施进一步程序,包括实施控制测试(必要时或决定测试时)和实质性程序。(5)新增“重新执行”的具体审计程序。重新执行是指注册会计师以人工方式或使用计算机辅助审计技术,重新独立执行作为被审计单位内部控制组成部分的程序或控制。如注册会计师利用被审计单位的银行存款日记账和银行对账单,重新编制银行存款余额调节表,并与被审计单位编制的银行存款余额调节表进行比较。
三、审计风险准则对注册会计师的影响
(一)对注册会计师审计理念的影响注册会计师审计的主线始终是对重大错报风险的识别、评估与应对。注册会计师为了实现审计目标。在计划和实施审计工作时,应当保持职业怀疑态度,充分考虑可能导致会计报表发生重大错报的情形。在审计和实施进一步审计程序时,注册会计师应当将审计程序的性质、时间及范围与识别和评估的风险相联系,以防止机械利用程序表从形式上迎合独立审计准则对审计程序的要求。注册会计师必须针对重大的各类交易、账户余额、列报和披露实施实质性测试。注册会计师对重大错报风险评估是一种判断,并且内部控制存在固有限制,无论评估的重大错报风险结果如何,注册会计师必须针对重大的各类交易、账户余额、列报和披露实施实质性程序,不得将实质性测试只集中在例外事项上。
【摘要】随着国际四大会计师事务所相继卷入会计丑闻当中,如何正确认识经营风险导向审计再次成为国内理论界和实务界争论的焦点。本文通过对“四大”审计风险评估模式进行比较,试图对“四大”之间审计风险评估模式的异同作一初步探讨,并对差异产生的原因进行分析,从而正确、客观地认识经营风险导向审计。
一、引言
近年来,国内外频繁爆发了一系列极具震撼力的重大财务舞弊案。从我国内地的琼民源、银广厦,再到美国的安然、施乐、世界通讯,这些舞弊案件在严重危及资本市场健康发展的同时,也使得审计职业面临信用甚至生存危机。国际五大会计公司之一的安达信因审计失败而倒闭,毕马威也因施乐事件而卷入到会计丑闻之中,“五大”中的另一家德勤更是因为“科龙门”事件遭遇集体诉讼。人们不禁对以安达信为代表的“五大”国际会计公司目前所推崇采用的,各自均认为是完美的经营风险导向审计(Business Risk-Oriented Auditing)提出了质疑。如何正确认识BRA再次成为国内理论界和实务界争论的焦点。
有关BRA的争论,源于审计理论界和实务界所站的角度不同,从而两者对BRA的认识也存在很大差异。BRA是以审计风险评价为中心的审计方法,是国际五大会计公司在面临大量申诉威胁的情况下开发的,目前已经在国际四大会计师事务所中得到全面推广。但遗憾的是有关“四大”在实践中究竟如何将审计风险具体落实到审计实务中从而来开展审计工作的,他们各自既未作系统介绍,也未曾公开。鉴于BRA以风险评估为中心,笔者从风险评估目标、风险评估范围、审计计划阶段风险评估程序、风险评估方法以及风险评估证据来源五要素入手,对“四大”审计风险评估模式进行比较,分析它们之间的异同之处,从而正确、客观地认识BRA。
二、风险评估目标
BRA 产生的一个重要背景是因传统风险导向审计风险评估不到位,不能有效地发现财务报表中存在的重大错报风险,审计期望差越来越大。更深层次的原因是实务中很多客户在审计之后面临着很高的经营风险甚至经营失败风险而引发审计失败。尽管经营失败并不必然带来审计失败,但当被审计单位在审计完成以后发生经营失败导致审计失败,公众往往会有扩大注册会计师责任的倾向,因此会给注册会计师带来极高的诉讼风险。为有效降低注册会计师以及会计师事务所卷入诉讼的几率,以“四大”为首的大型会计师事务所开发了新的审计方法用以应对并控制诉讼风险,因此“四大”风险评估采用BRA的出发点是一致的,其总体目标也基本一致,即首先通过风险评估识别被审计单位的重大经营风险,特别是经营失败风险,并进而确定重大错报高风险(尤其是管理舞弊风险)环节,再根据风险的性质和高低确定审计的范围和重点,进一步决定如何收集、收集多少以及收集何种性质的证据,以便更有效地控制和提高审计效率及效果,从而将审计诉讼风险控制在可接受的风险水平之内。
三、风险评估的范围
BRA所持有的广义审计风险概念,使“四大”在风险评估时除了要考虑能够引起会计报表重大错报风险的具体风险之外,还要重点评估由于被审计单位经营失败而导致事务所本身遭受损失或不利的可能性,即对接受审计委托的业务关系风险进行评估。会计报表重大错报风险总体可分为两类:错误风险和舞弊风险。能够引起这两类风险,特别是舞弊风险的具体风险包括被审计单位的内外环境风险、管理风险、经营风险和财务风险等。这四类具体风险并不是独立的,而是相互影响相互作用,特别是其它三类风险都有可能引起经营风险,因此在进行风险评估时要注意它们之间的相互转化。除此之外,能够引起业务关系风险只有被审计单位的经营风险。由于经营风险既能够引起会计报表重大错报风险,又能够引起业务关系风险,因此BRA风险评估的重心是被审计单位的经营风险。“四大”的审计方法均将经营风险的评估作为风险评估的核心,风险评估范围总体上基本一致,但对风险评估具体范围的认识却存在差异。如 KPMG和E&Y在开始审计时都要对被审计单位的经营目标、经营战略和关键经营流程进行分析,从而来评估被审计单位的重大经营风险;但 PwC 尝试了解所有用来管理企业的外部和内部的信息,并对被审计单位所有的经营风险进行识别和评估,利用其经营分析框架(Business Analysis Framework)从四个维度(客户经营所在市场环境、客户经营目标战略、客户最关键的价值创造活动、管理当局经营业绩的财务计量方法)来对被审计单位的总体经营情况进行了解并对其经营风险进行评估。DTT则是全面了解影响被审计单位生产经营的内部因素(所有权结构、经营目标、会计政策等)和外部因素(所在行业情况、经营环境、法律法规要求等),从而评估经营风险对会计报表整体和特定会计账户的影响。可见 “四大”风险评估的核心是经营风险,具体范围的认识及对引起该风险的各风险因素的重视程度稍有差异,相比 DTT,PwC、KPMG 和 E&Y 在评估经营风险时更加重视对被审计单位经营战略以及经营流程的分析,更注重从粗犷的层面来对风险进行评估。
四、审计计划阶段风险评估程序
审计计划阶段就是一系列的风险评估过程,自始自终贯穿了风险评估程序。与制度基础审计相比,BRA审计方法非常强调审计计划的重要性,在一个完整的审计过程中审计人员要花大量的时间用于制定较详细的审计计划。而在审计计划的制定过程中审计人员就需要运用大量的风险评估程序对各种风险进行评估,从而来计划进一步审计程序的性质、时间以及范围。在审计计划阶段“四大”的风险评估程序总体思路基本上是一致的 ,但在具体风险评估程序上还存在一定的差异。
(一)经营风险评估
在审计开始时,“四大”都需通过一定的方式对影响被审计单位经营状况的内外部因素进行充分的了解,以收集充分、适当的风险评估证据。具体风险评估程序,PwC、E&Y和KPMG:战略分析战略经营风险评估战略相关控制了解及评价[战略控制和管理控制了解及评价]剩余战略经营风险评估流程分析流程经营风险评估流程相关控制了解及评价[流程控制和管理控制了解及评价]剩余流程经营风险评估剩余经营风险评估财务报表整体层次重大错报风险评估[财务报表整体层次(FST)重大缺陷风险(RMW)、重大错报风险(RMM)评估];DTT:影响生产经营的内部因素了解影响生产经营的外部因素了解经营风险评估被审计单位整体层次内部控制了解及评价剩余经营风险评估财务报表整体层次重大错报风险评估。“四大”各自风险评估程序的异同。
1. 共同点:一是“四大”关注的内外部因素相互之间基本相似,如行业状况、企业的目标、战略、企业财务业绩计量方法等,特别关注被审计单位的持续经营状况和舞弊可能性;二是“四大”都对被审计单位整体层次的内部控制整体框架进行了解。企业整体层次的控制是企业内部控制的组成部分,它们遍布整个企业,不仅仅只和某些特定的交易业务类别和账户余额或者其它具体认定事项相关。“四大” 通过分别了解内部控制的五个组成要素(控制环境、风险评估、控制活动、信息与沟通以及监督) 来实现对被审计单位整体层次内部控制整体框架的了解,继而重点评价内部控制对经营风险,特别是舞弊风险预防和侦查的有效性(如考虑是否存在管理层逾越内部控制的可能性等),进而对剩余经营风险(即没有被整体层次内部控制防止或检查出的经营风险,包括舞弊风险)进行评估。
2. 差异:一是对被审计单位经营状况了解时关注的重点稍有差异。具体在了解被审计单位经营状况的方式上,PwC、KPMG和E&Y 三者都是通过战略分析和流程分析两个程序来了解的,将最主要的精力花在对被审计单位经营目标和战略以及关键的价值创造流程的分析上,从而来评估经营风险;DTT是通过了解影响被审计单位生产经营的内外部因素来了解被审计单位经营状况的,并没有表现出对上述因素特别的关注,而是通过综合分析影响被审计单位生产经营的内外部因素,从而评估经营风险。由于上述了解方式差异的存在导致了前三者在对被审计单位经营状况了解时关注的重点和DTT稍有差异。二是 DTT 和 PwC 、KPMG、E&Y 在风险评估程序上也体现出了较大的差异。在了解企业整体层次内部控制和评估经营风险时,后三者是通过对战略、流程相关的控制分别进行分析了解以及对相关的经营风险分别进行评估来完成的。而相比KPMG将风险评估的层次明确划分为三个,即财务报表整体层次(FST)、重大交易业务类别和账户余额层次(CAB)以及内在认定层次(ASR),并引入“重大缺陷风险”(Risk of Material Weakness,简称 RMW)概念,同时借鉴国际审计准则“重大错报风险”(Risk of Material Misstatement,简称 RMM)概念,规定审计人员必须在三个层次下分别对 RMW 和 RMM 进行评估。在该步骤中 KPMG 最后需要分析剩余经营风险对财务报表整体的影响,并在财务报表整体层次(FST)对重大缺陷风险以及重大错报风险进行初步评估。 KPMG 更是明确将企业整体层次内部控制分为战略控制、管理控制和流程控制,又将经营风险分为战略经营风险和流程经营风险。因此,在概念上定义更加清晰。而 DTT 对内部控制和经营风险既没有进行明确的分类,在了解内部控制和评估经营风险时也没有分别进行了解和评估。
(二)固有风险评估
“四大”在评估固有风险之前首先都要对被审计单位财务报表的重要账户、重大交易类别及相关重大认定进行识别,该步骤“四大”各自风险评估程序,PwC、E&Y和DTT:财务报表重要账户、重大交易类别及相关重大认定识别(结合财务报表整体重大错报风险)认定层次固有风险评估;KPMG:财务报表重要账户、重大交易类别及相关重大认定识别(结合 FST层次重大错报风险)CAB 层次以及 ASR 层次固有风险评估;经分析,“四大”各自风险评估程序的异同:
1.“四大”识别风险的红旗标志基本一致,如重要账户的识别标准包括账户存在重大错报的可能性、相关交易的数量和复杂性、经营风险的影响以及所需判断的程度等。“四大”在低层次对固有风险进行评估时,除考虑传统方法下所需考虑的因素(账户性质和组成、交易复杂程度、关联方等)之外,还重点考虑剩余经营风险对财务报表整体的影响,即考虑财务报表整体重大错报风险对相关账户、交易类别和认定产生的影响,因财务报表整体层次的重大错报风险同样可能会在低层次继续存在。特别是当已经识别到被审计单位可能存在舞弊情形时,审计人员尤其要关注舞弊风险对财务报表重要账户、重大交易类别及相关重大认定的影响。
2. KPMG 与其他三者存在一定的差异,主要体现在两方面:一是在识别重要账户、重大交易类别及相关重大认定的时间安排上有所不同。KPMG 是在对被审计单位执行战略分析和流程分析的同时对重要账户、重大交易类别及相关重大认定进行识别的,可见其在时间安排上相比有所提前。二是 KPMG 需要在 CAB 层次以及 ASR 层次下分别对固有风险进行评估,而PwC、E&Y和DTT则仅仅在认定层次进行评估。
(三)控制风险初步评估
由于企业(特别是像“四大”客户那样的大中型规模的企业)低层次具体的内部控制(除了控制环境要素以外的其它四要素)主要是针对各个交易业务类别来设计的,因此“四大”在了解低层次内部控制时是通过将被审计单位的业务划分成若干业务循环,再按每一业务循环去了解内部控制。具体PwC和DTT:识别并了解认定层次关键控制内部控制有效性评价 (结合对企业整体层次内部控制的了解)认定层次控制风险初步评估决定认定层次审计策略(信赖/不信赖内部控制)(信赖)执行控制测试; KPMG:识别并了解 CAB 层次以及 ASR 层次关键控制CAB 层次以及 ASR 层次内部控制有效性评价(结合对 FST 层次内部控制的了解)CAB 层次以及 ASR 层次 RMW(即控制风险)初步评估决定CAB 层次以及 ASR 层次审计策略(信赖/不信赖 内部控制)(信赖)分别执行控制测试;E&Y:识别认定层次关键控制初步决定认定层次审计策略(信赖/不信赖 内部控制)(信赖)了解认定层次关键控制内部控制有效性评价(结合对企业整体层次内部控制的了解)认定层次控制风险初步评估,决定是否执行控制测试。这种了解方式能使审计人员的注意力集中在各业务循环的关键控制点上,提高审计程序的效率,也便于审计人员在以后的审计程序中按不同的业务循环采取不同的审计策略,“四大”的BRA与传统审计方法是保持一致的。各自对控制风险进行初步评估异同点如下:
1. PwC 和DTT 对控制风险进行初步评估程序基本一致。由于KPMG对风险评估层次划分的差异,使得KPMG在该步骤上同上述两者存在相应的差异。KPMG需要识别和了解 CAB 和ASR 两个层次的关键控制,并对这两个层次内部控制的有效性分别进行评价,从而对各自的RMW (即控制风险)分别进行初步评估。再则PwC 和DTT 只需决定认定层次的审计策略,KPMG还需在CAB和ASR两个层次下分别决定审计策略,对于采取信赖内部控制策略的则要计划进一步的控制测试。
2. E&Y 与 PwC、DTT 存在一些差异。在识别了认定层次的关键控制后,E&Y 首先要决定相关认定的审计策略,对于采取信赖内部控制策略的认定就要进一步识别并了解和其相关的关键控制,而对于采取不信赖内部控制策略的认定就直接计划进一步实质性测试,不用了解和其相关的内部控制。对于采取信赖内部控制策略的认定,在对其控制风险进行初步评估后,还需要最后决定是否对相关控制执行进一步的控制测试。
(四)计划进一步审计程序(计划控制测试和实质性测试)
计划进一步审计程序是审计计划阶段的结束程序。由于固有风险和控制风险都受企业内外部环境的影响,两者之间联系紧密,很难将它们单独分得非常清楚。因此在该步骤中,“四大”在单独对它们进行初步评估的基础上还须对两者进行综合评估,即固有风险和控制风险的联合评估,得出被审计单位财务报表低层次存在的重大错报风险。最后根据审计风险模型计算得出相应层次的检查风险初步水平,并依据检查风险初步水平来进一步计划相应层次实质性测试的性质、时间以及范围。该步骤“四大”各自风险评估程序:PwC、E&Y和DTT:计划控制测试的性质、时间以及范围认定层次固有风险和控制风险联合评估认定层次检查风险(DR)推导计划实质性测试的性质、时间以及范围;KPMG:计划控制测试的性质、时间以及范围CAB、ASR 层次 RMM 初步评估CAB、ASR 层次 DR 推导计划CAB、ASR 层次实质性测试的性质、时间以及范围。特别指出的是,E&Y 在认定层次下将固有风险和控制风险进行联合时专门引合风险(Combined Risk)的概念,定义联合风险为财务报表重要账户以及财务报表其它相关认定固有风险和控制风险的联合,并明确指出联合风险是审计工作的核心,其余的审计工作都要围绕联合风险来进行,联合风险的评估结果是决定实质性审计程序性质、时间以及范围的基础。事实上,国际审计与鉴证准则委员会(IAASB)正是受到“四大”对固有风险和控制风险进行联合评估构思的启发才引入“重大错报风险”概念的。因此可以说,“四大”对固有风险和控制风险的联合评估是对传统审计方法风险评估模式的一大创新。经分析,该步骤 PwC、E&Y和DTT 风险评估总体程序基本一致,而 KPMG 在该步骤上与其他三者存在一些差异。KPMG 需要将 CAB 层次以及 ASR 层次各自的固有风险和 RMW 分别进行联合评估,从而来初步评估各自层次的RMM,在此基础之上再根据审计风险模型分别计算 CAB、ASR 层次的检查风险水平,并进一步计划 CAB、ASR 层次各自实质性测试的性质、时间以及范围。而其他“三大”仅仅需要在认定层次将固有风险和控制风险进行联合以及在认定层次计划实质性测试程序即可。
五、风险评估方法的运用
BRA在风险评估时除了应用其他的方法之外,最注重对分析性程序的运用,审计人员不仅对财务数据进行分析,同时也对非财务数据进行分析,同时大量的分析性工具和现代管理方法被运用到分析性程序中去。虽然“四大”在风险评估时都注重分析性程序的运用,但相互之间对分析性程序的重视程度和应用力度还是存在一些差异的。
由于在审计计划阶段对被审计单位经营状况进行了解的方式不同,相比DTT,PwC、KPMG和E&Y更加注重对分析性程序的应用,在执行分析性程序时运用的分析性工具也相对较多。如在战略分析时运用了PSET分析和POPTER分析方法;在流程分析时运用到了价值链分析(VCA)和波士顿矩阵(BCG)以及SWOT分析方法;在绩效分析时运用了平衡积分卡(BSC)和标杆管理(Benchmarking)分析技术等。而DTT 在了解被审计单位经营状况时并没有将最主要的精力花在研究客户的经营战略和经营流程上,而是综合考虑了影响被审计单位生产经营的内外部因素,同时对报表资料实施初步分析性复核,如同业分析、纵向分析、非财务数据与财务数据比较以及财务数据之间比较等。而在PwC、KPMG和E&Y三者中, PwC 更加注重也更擅长应用分析性程序来进行风险评估。这主要是因PwC 的客户多数为成熟型的超大规模公司,通过对客户实施大量的分析性程序有助于大大提高审计效率;同时也因为PwC 本身具有的风险评估工具――全球最佳实务(Global Best Practices,简称GBP)――使得其更擅长实施大量的分析性程序。
六、风险评估的取证
风险评估其实就是评价管理当局在财务报表中确认和披露的信息与被审计单位实际经营状况之间的符合程度,而要了解被审计单位的实际经营状况就需要从多方面获取足够恰当的证据。证据可以从公司内部或者公司外部获取,由于从公司外部获取的证据相比从内部获取的证据更加不易受管理当局控制和歪曲,因而相对来说具有较高的可信度。BRA 在风险评估时除了注重从公司内部获取证据之外,也注重从公司外部获取证据。如“四大”在了解被审计单位的经营状况时都要获取公司外部信息(行业市场状况、相关法律法规以及总体经营环境等),还会询问投资者、分析家以及前任注册会计师(若为新客户的话)对被审计单位经营状况的看法。
特别值得一提的是,近年来KPMG在对风险评估证据理论研究方面已经有了新的进展,最重要的研究成果就是提出了审计证据“三方印证”的理念。KPMG将风险评估基本证据来源分为三种,即EBS(Entity Business States)、MII(Management Information Intermediaries)以及MBR(Management Business Representations),并将其获取证据的方法称为Triangulation(三方印证),指从上述三个基本证据来源收集可以相互佐证的证据的方法。由于从EBS获取的证据属于外部证据范畴,不容易被管理当局歪曲,因此该方法强调在风险评估三个层次(FST,CAB,ASR)评估风险时均要用从EBS获取的证据来对从MII 和MBR获取的证据进行佐证,这样可以帮助审计人员发现会计报表重大错报风险以及在财务报告内部控制方面的重大缺陷风险。目前“三方印证”的取证理念已经代表了风险评估取证的一个新方向。
结束语
【摘要】本文拟对传统风险导向审计和以被审计单位的经营风险分析为导向的现代风险导向审计进行对比,并对现代风险导向审计的特性和优势作粗浅的讨论。
【关键词】现代风险导向审计;传统风险导向审计
自20实际90年代起,一种新型风险导向审计悄然萌芽,不同于传统风险导向审计,现代风险导向审计以被审计单位的经营风险分析为导向,因此也称作经营风险审计(business risk audit)或风险导向审计(riskbased audit)。
一、传统风险导向审计的缺陷
传统风险审计自引入以来,大大降低了审计风险,在发现并揭露管理层财务舞弊、提高审计效率、增强会计信息的可信性等方面发挥了重要作用。它的模型为:审计风险=固有风险×控制风险×检查风险,其中,固有风险,指合并了审计过程之外发生的风险要素和审计过程中有关内部环境发生的风险要素,表明出现重大错误的敏感性;控制风险,指内部控制结构未能防止或发觉而审计人员的控制测试又未能发现的重大错误的可能性;检查风险,指错误事项在审计过程中最终未能被发现的可能性。(中国注册会计师审计准则,2006)原风险审计假定三种风险相互独立,要求审计人员在定量评估和判断企业固有风险和控制风险的基础上,推算检查风险,继而确定应执行的实质性测试的性质、时间和范围,以将可接受的审计风险降到最低水平。尽管原风险模型引入了风险导向的概念,但它从实质上,仍是制度基础审计的发展,因此,它在实际操作中暴露出以下缺陷。
(一)在实务中,固有风险难以准确评估,固有风险的评估,是在假设企业不存在相关内部控制的基础上对企业进行评估,或者,不进行评估而直接假设固有风险为高水平。这样的假设导致审计人员没有给予固有风险评估足够重视,审计人员对企业内外部经营状况的了解单单基于对企业内部控制的有效性评估。这样,一方面,若企业内部控制风险评估的结果为低,审计人员就会相应减少实质性测试,这样的做法无疑存在重大隐患,大大增加了注册会计师承担的审计风险;另一方面,一旦企业上层管理者和下层员工串通作假,审计人员将无法发现财务报表的蓄意错报。
(二)固有风险与控制风险联系紧密,不应将其割裂,实际上,固有风险和控制风险不仅同时受到企业内外部环境的影响,二者也会产生相互影响,很难分开判断它们各自的水平,事实上,在审计过程中,审计人员经常无法判断一项审计程序所获得的审计证据是关于固有风险还是控制风险。
(三)审计师关注的是报表账户层面的认定,认为通过对帐户层面认定的审计,就可以自下而上得出审计结论,这种做法既忽略了报表整体层面的重大错报风险评估,又无谓的加大了审计人员实质性测试的工作量,促使审计师在安排审计工作时,不得不面面俱到,难以突出重点,浪费了审计资源,降低了审计的效率。而只注重认定层次的错报风险,也使得注册会计师在进行审计工作时,只关心审计程序做了没有,而非审计程序能否为财务报表不存在重大错报提供合理、恰当的证据。因此,周勤业等(1996)认为:“风险导向审计目前主要是一种观念上的审计程式,它并没有使审计过程和审计方法在审计实务方面产生巨大的变化”。
二、现代风险导向审计的内涵与优势
2003年10月,国际审计和保证准则委员会(IAASB)了3条新的国际风险审计准则:了解被审计单位及其环境并评估重大错报风险(ISA315)、针对评估的重大错报风险实施的程序(ISA330)、“审计证据”(ISA500修订),此外还对其他条款进行了相关的修订。这次修订在传统风险导向审计模型的基础上,提出了新的模型:审计风险=重大错报风险×检查风险。事实证明,新风险导向审计模式更适合于当前企业组织机构、经营活动方式日益复杂、凌驾于内部控制之上的管理层舞弊等现象日益增加的审计环境。
重大错报风险(the risk of material misstatement),指财务报表在审计前存在重大错报的可能性。(中国注册会计师审计准则,2006)它仍包括控制风险和固有风险两部分,但并非将两者简单的合并,而是审计理念的转变,重大错报风险的提出具有以下实际意义。
(一)新准则要求将深入了解企业重大错报风险并对其进行评估作为必要和首要的审计程序,然后基于评估得出结论,设计审计总体应对措施和进一步审计程序(包括控制测试和实质性测试),最后将审计风险降到可以接受的低水平。从要求可以看出,实行重大错报风险评估,是整个审计工作的基础和前提。现代风险导向审计指引注册会计师把注意力集中在会计报表出现错报的高风险领域,同时将风险评估与审计程序紧密联系起来,有针对性的合理安排审计资源。
(二)对重大错报风险的评估,是对企业所处的宏观经济环境、行业环境、法律环境、监管环境等外部因素的了解以及企业持续经营能力、管理能力、财务报表存在造假舞弊可能性的判断。它包括了解客户的目标和战略以及可能导致财务报表重大错报的经营风险,由此可以看出,现代风险导向审计是原风险导向审计的系统理论和战略管理理论的结合体,从企业的经营战略风险入手,克服了原风险导向审计只注重于企业内部控制的简化主义的缺陷。
(三)重大错报风险要求从认定层次和报表层次两方面评估。对于会计报表整体层次的重大错报风险评估水平,注册会计师应该做出总体反映。而对于交易类别或账户余额层次的重大错报风险评估水平,注册会计师则应该确定进一步审计程序的性质、时间和范围,必要时进行控制测试,测试表达和披露的充分性等。
2007年1月1日,新注册会计师审计准则体系的颁布标着风险导向审计在我国会计师事务所正式起步,目前,在我国本土会计师事务所中广泛应用新风险导向审计模式还面临诸多困难,审计人员应从根本上理解和应用这一新型模式,充分利用其突出重点、高效保质的优越性。
参考文献:
【关键词】 传统风险导向审计 现代风险导向审计 风险评估策略 审计风险
Comparing on the Tactics of Risk Assessment of Traditional Risk-based Audit and Modern Risk-based Audit
Abstract: Traditional Risk-based Audit and Modern Risk-based Audit are the two phases that Risk-based Audit has evolved. tactics of risk assessment of Traditional Risk-based Audit and Modern Risk-based Audit differ from each other while they still have some similarities. This paper does the Comparion on the Tactics of Risk Assessment from the following four aspects: orientation of risk assessment, extent of risk assessment, procedures of risk assessment and methods of risk assessment.
Keywords: Traditional Risk-based Audit Modern Risk-based Audit
Tactics of Risk Assessment Audit risk
一、引言
传统风险导向审计和现代风险导向审计是风险导向审计模式发展的两个不同阶段。传统风险导向审计和现代风险导向审计均以风险评估为起点,同时都将风险与控制方法贯穿运用于审计全过程,使审计过程成为一个不断克服和降低审计风险的过程。因此传统风险导向审计和现代风险导向审计两种审计模式在风险评估策略上存在一定的相同之处,但同时更多地体现出了差异。鉴于两种审计模式的风险评估策略较易被混淆,本文拟对两种审计模式的风险评估策略作一比较,对两者差异加以初步探讨。 二、传统风险导向审计和现代风险导向审计涵义
(一)传统风险导向审计 传统风险导向审计也称为控制风险导向审计[1]。审计模式 发展到传统风险导向审计的标志性事件是AICPA在1983年了第47号《审计准则公告》(SAS No.47)——“审计业务中的审计风险和重要性”,首次提出了审计风险模型。传统风险导向审计是指审计人员在审计过程中将风险分析、评价与控制融入传统审计方法(账项导向审计和制度导向审计)之中,进而获取审计证据,形成审计结论的一种审计取证模式。传统风险导向审计的基本程序并没有脱离制度导向审计模式,但它在制度导向审计模式的基础上更加注重风险评估和风险管理。针对制度导向审计不直接处理审计风险,不能对审计风险进行量化的缺点,传统风险导向审计引入审计风险模型,通过该模型将从各种渠道所收集的证据联系了起来,并在此基础上对审计风险进行定量评估,将审计资源相对合理的分配到高风险领域。 (二)现代风险导向审计
现代风险导向审计也称为经营(商业)风险导向审计、风险基础战略系统审计。1997 年,Bell 和 Frank 发表了名为《通过战略系统的视角对组织进行审计》的研究报告,首次提出了毕马威的BMP 审计模式,这标志着现代风险导向审计的产生。现代风险导向审计是审计技术方法在系统和战略管理理论基础上的重大创新,它以被审计单位的战略经营风险为导向,通过“战略分析——流程分析——经营业绩评价——财务报表剩余风险分析”的基本思路,将报表重大错报风险和经营风险联系了起来,从而提出了审计师从源头分析和发现会计报表错报的观念[2]。现代风险导向审计针对传统风险导向审
计风险评估不到位,未能有效发现高风险审计领域,造成审计过量或审计不足的缺点,大大加强了风险评估程序,做到了以风险评估中心,真正体现了风险导向审计的理念。
2003年10月国际审计和保证准则委员会(IAASB)了国际审计准则第315号( ISA 315) “了解被审计单位及其环境并评估重大错报风险”,将传统风险导向审计下的审计风险模型修改为:审计风险=重大错报风险×检查风险,明确规定了审计工作以评估财务报表重大错报风险作为新的起点和导向。这就导致了实务中普遍运用的现代风险导向审计在审计风险模型和审计具体风险导向等上和准则规定产生了一定的差异。鉴于这一点,特别指出本文所称的现代风险导向审计是指国际会计师事务所在实务中运用的以战略经营风险为导向的现代风险导向审计。 二、传统风险导向审计和现代风险导向审计风险评估策略比较
风险评估是指对审计风险的评估。美国注册会计师协会(AICPA)认为审计风险是指审计人员对于存在重大错报的财务报表未能适当发表意见的风险[3]。风险评估的目标就是确定
高风险环节,从而确定审计的范围和重点,并进一步确定如何收集、收集多少和收集何种性质的证据,以便更有效地控制和提高审计效果及审计效率。策略,是根据形势发展而制定的行动方针和方法。借鉴中注协(1997)对审计策略的定义,笔者将风险评估策略定义为审计人员根据确定的风险评估范围,选择能够达到风险评估目标而应当实施的最有效风险评估程序的基本思路、组织方式和具体方法。在本文中,笔者从风险评估导向、风险评估范围、风险评估程序、以及风险评估具体方法四个方面来比较两种审计模式的风险评估策略。
(一)风险评估导向
虽然国际审计准则规定,在传统风险导向审计下审计人员首先应当对财务报表整体层次和交易类别、账户余额认定层次的固有风险进行评估,但由于固有风险和控制风险都受内外部环境的,两者很难区分,因此审计人员通常难以对固有风险单独做出准确评估。又鉴于稳健性原则的考虑,实务中审计人员往往将固有风险简单地确定为高水平,从而将风险评估重点锁定在控制风险上。因此在实务中,传统风险导向审计实际上是以对控制风险进行的评估为切入点的,所以传统风险导向审计是以控制风险为导向的。
现代风险导向审计强调:审计人员的审计风险[i]主要来源于企业财务报表的错报风险,而企业财务报表的错报风险则主要来源于整个企业的战略管理风险和经营活动风险[4]。所以要充
分理解审计风险,审计人员就必须从企业的战略分析入手,充分识别企业内、外部风险并理解内外部风险对财务报表认定的影响。因此,现代风险导向审计并不直接从对固有风险的评估入手,而是间接地以被审计单位的战略经营风险为导向,通过综合评估战略经营风险从而确定财务报表剩余风险,并进一步确定实质性测试的范围、时间和程序。因此,现代风险导向审计是以战略经营风险为导向的。 (二)风险评估范围
在实务中运用传统风险导向审计时,审计人员往往忽略对固有风险的准确评估,而将固有风险简单地确定为高水平。因此在传统风险导向审计下审计人员往往不注重从宏观层面上了解企业及其环境(如行业状况、监管环境;企业的性质;企业的目标、战略、以及可能导致会计报表重大错报的相关经营风险;对企业财务业绩的衡量和评价)[5],而只关注企业的内部
控制。因此,在传统风险导向审计方法下,审计人员实际上只仅仅依赖对控制风险所作的粗放型评估来直接、大致确定检查风险水平。
现代风险导向审计要比传统风险导向审计站得更高,看得更远,对企业了解得更透。它将被审计单位置于广泛的系统中,认为有效的审计需要对企业所处的宏观经济环境和行业环境、战略目标和措施、影响企业目标实现的主要业务活动和关键经营环节以及剩余风险进行深入的了解。在现代风险导向审计下审计风险仍然由固有风险、控制风险和检查风险三要素组成,审计人员也同样要对固有风险和控制风险进行评估。但是相比传统风险导向审计,现代风险导向审计下“固有风险”的内涵扩大了,除了包括会计报表项目本身的风险外,更多地考虑了企业的经营风险。而且在现代风险导向审计下,企业内部控制已经发展到内部控制框架阶段,并有被企业全面风险管理框架取代的趋势,相比传统风险导向审计下的内部控制结构概念,现代风险导向审计下对控制风险进行评估时考虑的因素则更加全面了。
(三)风险评估程序 传统风险导向审计风险评估的基本程序可表示为:固有风险评估了解被审计单位的内部控制结构控制风险初步评估控制测试(可选)控制风险综合评估确定检查风险。审计人员在对固有风险进行评估时主要考虑以下因素:管理人员的品行、能力、变动情况和遭受异常压力的情况;客户业务特征;关联方;非常规交易;以前审计结果等。但由于种种原因,实务中审计人员往往忽略对固有风险的准确评估,通常的做法是将固有风险简单地确定为高水平,而将风险评估的重点放在控制风险上。审计人员在对被审计单位的内部控制进行了解时,首先从控制环境入手,再对制度和控制程序进行分析。分析控制环境时主要考虑以下因素:管理和经营作风;组织机构;董事会及审计委员会职能;人事政策和程序;确定职权和责任的等。然后审计人员基于当前对内控的了解对控制风险水平进行初步评估(计划估计水平)。如果审计人员将某一控制的控制风险初步评估为最高值,则对该控制不需执行控制测试而直接进入实质性测试阶段;但如果审计人员将某一控制的控制风险评估为低于最高值时,则就需要对该控制执行控制测试,从而来获取证据以支持低于最高值的风险水平。控制测试完成以后,审计人员对被测试控制的控制风险进行再次评估(最终估计水平),并根据最终估计水平来决定相应的检查风险水平。 风险导向审计风险评估的基本程序可用下图表示。如图所示(由于不能粘贴,此处图略),审计人员首先需要对客户的战略进行分析,分析时需要对客户的内外部环境进行了解,包括客户行业状况、监管环境以及其他外部因素(宏观环境等);被审计单位的目标、战略以及面临的经营风险;对威胁企业战略的风险做出的反应等。对客户的战略进行分析后即可对战略风险做出评估。现代风险导向审计下内部控制被分为管理控制(战略控制、高层控制)和流程控制(一般控制、员工控制)[6],在对 客户的战略进行分析时同时要对战略控制进行了解并进行评价。然后审计人员对客户的流程进行分析,分析时可从流程目标、投入、作业、交易类型、威胁流程目标的风险等八个维度来了解流程情况[7]。通过流程分析可
以了解客户创造价值的方式、竞争优势及劣势、威胁,从而来评估流程经营风险。在对客户的流程进行分析时同时要对流程控制进行了解并进行评价。在对战略经营风险和流程经营风险进行评估时特别要注重对舞弊风险的评估。然后在此基础上来对固有风险进行初步评估,在评估时除了要重点考虑经营风险可能引起的重大错报之外,还要考虑其他可能引起重大错报的因素(管理当局遭受的异常压力等)。审计人员在对客户的战略和流程进行分析时已经从企业整体层次对内部控制进行了了解(战略控制和流程控制)并做了评价,在这个基础上还要对内部控制的其他方面进行了解并给予评价,特别是要关注有关交易重要类别的控制。基于对内部控制充分的了解,审计人员然后对控制风险进行初步评估。由于固有风险和控制风险都受企业内外部环境的,两者之间存在着紧密的联系,因此审计人员在单独对固有风险、控制风险进行初步评估的基础上还须对两者进行综合评估,即固有风险和控制风险的联合。对联合风险的评估是审计工作的核心,因为接下来其余的审计工作都要围绕联合风险来进行,联合风险的评估结果是审计人员决定实质性程序性质、时间以及范围的基础[8]。然后审计人员对 值得信赖的控制进一步执行控制测试,从而来获取支持其较低控制风险水平的证据。最后根据控制测试结果并结合联合风险评估水平,审计人员对会计报表重大错报风险进行综合评估,从而来确定会计报表剩余风险(即检查风险),并进一步决定实质性程序的性质、时间以及范围。 (四)风险评估具体方法 风险评估的方法主要有观察、检查、函证、询问、穿行测试、分析性程序等多种审计取证手法。虽然传统风险导向审计客观上要求大量使用分析性程序来进行风险评估,但由于实务中审计人员往往忽略对固有风险的准确评估,因此限制了分析性程序的运用范围。而且传统风险导向审计对于信急的再加工重视程度不够,分析性程序主要适用在报表分析上[9]。 而在现代风险导向审计下,风险评估以分析性程序为中心,分析性程序成为最重要的程序。而且随着分析性程序功能的不断扩大,分析性程序开始走向多样化,审计人员不仅对财务数据进行分析,同时也对非财务数据进行分析。由于分析性程序的多样化运用,大量的分析工具以及现代管理方法被运用到分析性程序中去。如在战略分析时审计人员运用了PSET分析和POPTER分析方法;在流程分析时运用到了价值链分析(VCA))和波士顿矩阵(BCG)以及SWOT分析方法;绩效分析时运用到了平衡积分卡(BSC)和标杆管理(Benchmarking)分析技术[10]。将分析工具运用到风险评估中 使得风险因素不再独立,而且风险评估不再是一元评估,而是多元评估,因此风险评估的结果将更加可靠。
三、结论
1. 风险评估导向不同:
虽然国际审计准则规定传统风险导向审计应以固有风险为切入点,但在实务中传统风险导向审计实际上是以控制风险为导向的;而现代风险导向审计则是以战略经营风险为导向的。
2. 风险评估范围不同:
审计人员在实务中运用传统风险导向审计时往往会忽略对固有风险的准确评估,只通过对控制风险所作的粗放型评估来决定实质性测试的性质、时间和范围;而现代风险导向审计下审计人员除了要对传统的固有风险,即会计报表项目本身的风险进行评估之外,更多地是要考虑企业的经营风险,特别是注重对舞弊风险的评估[11]。同时由于内部控制概念内涵的扩
大,审计人员在对控制风险进行评估时考虑的因素相比传统风险导向审计下更加全面了。
3. 风险评估程序不同: 相比传统风险导向审计,由于现代风险导向审计增加了对企业战略和经营流程的分析,以及对经营风险的评估,而且最后将固有风险和控制风险联合起来进行评估,因此在评估程序方面现代风险导向审计比传统风险导向审计更完善。由于现代风险导向审计对审计风险考虑的更全面了,所以在现代风险导向审计下能够更好的将会计报表剩余风险降低到可接受水平。 4. 风险评估具体方法重点不一样: 两种审计模式在风险评估时都运用了观察、检查、函证、询问、穿行测试等风险评估方法,但相比传统风险导向审计,现代风险导向审计更注重分析性程序的运用,做到了以分析性程序为中心。
________________________________________
[i]国际会计师事务所认为审计风险应该是广义的,即不仅包括审计过程的缺陷而导致审计结果与实际不相符而产生损失或责任风险,还包括客户经营失败而导致审计主体遭受损失或不利的可能性。
:
[1] 王泽霞.论风险导向审计创新[J].会计,2004(12): 49-54
[2] 谢荣,吴建友.现代风险导向审计研究与实务发展[J].会计研究,2004(14):47-51
[3] AICPA:professional Standards As of June 1,1992,AU.31
[4] 谢荣,吴建友.现代风险导向审计基本内涵分析[J].审计研究,2004(05):26-30
[5] 陈毓圭.对风险导向审计方法的由来及其发展的认识[J].会计研究,2004(14):58-63
[6] 郑朝晖.战略系统审计:财务数据之合理预期[J/OL].会计视野,2004 [2006-4-17] doc.esnai.com/showdoc.asp?docid=448&uchecked=true
[7] 王义华.BMP审计模式介绍[J].中国注册会计师,2005(06): 69-70
[8] Ernst&Young Global Audit Planning Toolkit 2004[M], 2004: 65-67
[9] 马贤明,郑朝晖.现代风险导向审计探讨[J].审计与经济研究,2005(01):9-13
风险导向审计作为一种重要的审计理念和方法,自“安然事件”后受到行业内外的普遍关注。职业界在充分认识到了现有的制度基础审计和传统风险导向审计的缺陷后,研究发展了一种新的审计方法——现代风险导向审计。国际会计师联合会下属的国际审计准则委员会也于2003年10月了三个新的国际审计风险准则,并从2004年12月15日或之后开始的期间财务报表审计起执行这三个新风险准则。中国注册会计师协会根据国际审计准则的最新发展,于2004年10月对已修订的4个新审计风险准则在全国范围内征求意见,计划于2005年内正式。本文拟对现代风险导向审计的若干问题做一探讨。
一、现代风险导向审计的产生
职业界开发出了审计风险模型,审计风险模型为:审计风险=固有风险×控制风险×检查风险。本文将上述风险模型进行的审计称为传统风险导向审计。但是随着近年来国内外审计失败事件的揭露,传统风险导向审计的弊端日渐暴露出来,首先传统风险导向审计的基本模型不合理。尽管审计人员在计划中做出了最大的努力,但期望的审计风险、固有风险和控制风险的评价都是非常主观的,最多只有大体上的可信性。其次,传统风险导向审计不符合系统理论,不能发现由于内部控制失效所导致的会计报表的重大错报和漏报。它采用简化主义的观点,只关心企业的内部控制,认为注册会计师通过对各个账户层面的认定进行审计就可以获得充分适当的审计证据,所以没有充分关注企业与内外环境之间的联系以及企业内部之间的联系,在这种情况下,容易犯只见树木,不见森林的错误。发现重大错报的概率为零。最后,传统风险导向审计在审计资源上分配不合理。由于它采用一种自上而下的审计思路,在审计资源上面面俱到,造成审计资源的浪费。现代风险导向审计便在这种环境下应运而生。
二、现代风险导向审计的概念及特征
现代风险导向审计是指注册会计师通过对被审单位进行风险职业判断,评价被审单位风险控制,确定剩余风险,执行追加审计程序,将剩余风险降低到可接受水平。它最显著的特点就是将客户置于一个人的经济环境中,运用立体观察的理论来判定影响企业持续经营的因素,从企业所处的商业环境、条件到经营方式和管理机制等构成控制因素等内外部各个方面来分析评估审计的风险水平,将客户的经营风险植入本身的风险评价中。现代风险导向审计具有以下特征:
1、审计重心前移,从以审计测试为中心转移到以风险评估为中心。传统风险导向审计不能适应现代报表审计的需要,就在于其原有的风险评估不到位,未能有效发现高风险审计领域,造成审计过量或审计不足,现代风险导向审计大大加强了风险评估程序,真正体现了现代风险导向审计的理念。
2、风险评估由直接评估变为间接评估。传统风险评估直接评估发生重大错报的概率,也就是直接对审计风险进行评估,现代风险评估小再直接对审计风险进行评估,而是从经营风险评估入手。之所以从经营风险评估入手,有几个方面考虑:一方面是持续经营的考虑;经营失败往往带来审计失败;二是经营风险对审计风险的影响,经营风险越高,审计风险也越大,也就是管理舞弊可能性就越大;三是从经营风险中能更有效发现财务报表潜在的重大错报,因为财务报表是经营的反映;如果经营风险未能在报表上得到体现,则财务报表很有可能失真。
3、风险评估以分析性复核为中心。传统风险导向审计对于信息的再加工重视程度不够,分析性复核主要运用在报表分析上;现代风险导向审计以分析为中心,分析性复核成为最重要的程序,为了适应分析性复核功能扩大的要求,分析性复核开始走向多样化,不再是只对财务数据进行分析,也对非财务数据进行分析;分析工具充分借鉴现代管理方法,将管理方法运用到分析性程序中去。
4、风险评估从零散走向结构化。RBSSAA的两大贡献是:审计重心前移,将战略分析引进审计;使风险分析走向结构化。风险分析结构化最大的好处是一方面考虑了多方面的风险因素,另一方面这些因素有机联系在一起,这样便于作综合风险评估。 中西方商业银行内部审计的比较与启示
审计专家系统的发展及其启示
一、引言
风险导向审计在弥补日益扩大的审计期望差距的社会因素中应运而生。其中包括社会因素和经济因素.从社会因数来说审计是满足社会需求的满足而产生的,但始终和社会需求存在审计期望差距.一方面是人民对审计成果的依赖加大,借以做正确的决策和判断.另一方面对审计信息的时效性和诚信度提出了越来越高的要求.伴随着人民违权意识的增长以及审计人员分析面的不周全,容易使审计人员掉进"审计陷阱",或者是其错误确定审计重点和审计风险失控.于是,风险导向审计在弥补日益扩大的审计期望差距的社会因素中应运而生。
新审计风险模型为:审计风险=重大错报风险×检查风险,正式引入了“重大错报风险”的概念。重大错报风险,是指财务报表在审计前存在重大错报的可能性。这不仅仅是简单的将固有风险和控制风险并成为重大错报风险,而是重大的实质性的改进。新准则启用新审计风险模型,要求注册会计师在设计和实施审计测试前必须适当地评估重大错报风险,而不能未评估重大错报风险就盲目进行审计测试;也不能象以往那样所谓稳妥地简单设定重大错报风险为最高水平而直接实施更广泛的实质性测试,因为不弄清楚重大错报风险可能发生在哪些交易、账户和列报与披露的哪些认定上就一味实施实质性程序,难以查出重大错报,造成有限审计资源的浪费。与以往的制度基础审计相比,风险导向审计更具有其自身的优越性。
二、新审计风险模型的优越性
(一)明确规定审计工作以评估财务报表重大错报风险作为新的起点和导向。明确将审计风险划分为两部分:审计风险和客户风险。客户风险,即客户财务报表审计前存在重大错报的可能性,均为被审计单位所造成和掌握,审计人员只能评估,不能掌握。审计工作以评估财务报表重大错报风险作为新的起点和导向,抓住了审计工作的本质,而且与现行审计目标责任定位紧紧相扣,有利于履行审计责任,实现审计目标,将审计视野由以往关注内部控制和具体认定层次的风险扩大到企业环境、发展战略、历史沿革、公司治理结构等宏观方面。
(二)使审计人员从宏观层面上全面了解企业及其环境。将客户置于一个大的经济环境中,运用立体观察的理论来判定影响企业持续经营的因素。从企业所处的商业环境、条件到经营方式和管理机制等构成控制因素的内外部各个方面来分析评估审计的风险水平,掌握可能存在的重大风险,克服缺乏全面性的视角而导致的审计风险。包括企业所处行业的特征;企业的特征;企业所从事和可能从事的各战略经营领域的成功关键是什么,发展速度如何,资金利润率是多少,为建立战略优势所需要的最佳经济规模是多少,平均投资额是多少;企业所从事和可能从事的各战略经营领域中,成本居于何战略地位,行业的平均和先进水平是什么;企业的筹资环境特征,包括供求形势、筹资条件、行业与融资机构的一般关系以及同行业竞争者的筹资能力和财政实力;同行业竞争者资金筹措与运用效果,包括资金效益性、资金流动性、资金安全性。
(三)有助于引导注册会计师时刻紧紧围绕评估上有无重大错报风险来设计和执行程序。注册会计师首先花大力气去识别和评估重大错报风险,以对认定层次的重大错报风险的相关评估结果为基础,并考虑既定的审计风险水平,来确定可接受的检查风险水平,再据此计划实施和执行,可以提高效率少走弯路。在既定的审计风险水平下,可接受检查风险水平与认定层次重大错报风险的评估结果成反向关系。评估的重大错报风险越高,可接受检查风险越低;评估的重大错报风险越低,可接受检查风险越高。检查风险取决于实质性程序设计和执行的有效性。
(四)新的风险审计比较传统的审计方式具有更大的灵活性、伸展性。新的审计风险可以根据客户的具体情况灵活地提供服务范围和内容。对于中小的事务所而言,自身可能无法进行有效的风险分析,通过现代风险导向审计,则可以获得风险评估方面的增值服务。对于中小企业而言,自身可能无法进行有效的风险分析,通过现代风险导向审计,则可以获得风险评估方面的增值服务。新的审计模式是可扩充式的,它可以帮助审计师更好的了解中小企业的需求。所以无论中小企业还是中小事务所都可以俭省审计成本,进而能够起到保证执业质量和明确职业责任。
(五)风险评估以分析性复核为中心。尽管风险评估包括检查、调查、询问、穿行测试等多种审计取证手法,但核心是分析性复核的运用,传统风险导向审计对于信息的再加工重视程度不够,分析性复核主要运用在报表分析上,现代风险导向审计以分析为中心,分析性复核成为最重要的程序,为了适应分析性复核功能扩大的要求,分析性复核开始走向多样化,不再是只对财务数据进行分析,也对非财务数据进行分析;分析工具充分借鉴现代管理方法,将管理方法运用到分析性程序中去。新的审计风险模型将审计人员能够把工作重点集中在财务报表出现错报的高度风险领域,同时将风险评估与审计程序紧紧联系起来,从而有利于提高审计质量,增强公众对已审财务报表的信心,也有利于保护公众的利益。然而,由于我国市场经济水平不高,会计、审计人员素质偏低等问题,使得新的风险模型的应用面临很多挑战。
三、施审计风险模型面临的问题
(一)事务所缺乏正确评估重大错报风险的客观条件和一些主观条件。评估被审计单位重大错报风险要求对企业的业务、市场状况、管理层,甚至企业所处行业整体的经营状况和市场状况等因素都要有比较清楚的了解。而我国会计师事务所90%以上的业务是审计业务和会计业务,没有经济方面、法律方面等多元化的背景。他们不了解企业的经营状况、不了解整个行业,数据积累严重不足。这可以说是实施新审计风险模型的最大障碍。目前,我国现行的审计方式存在两个较明显的问题。一是对被审计对象在一定时期的经济活动重在进行事后审计,这种审计方式所产生的审计结果,对经济活动过程缺乏及时、有效监督,不能促进经济活动的健康运行,也不能真正发挥审计的职能作用。二是现行审计活动所运用的方式,主要凭借经验进行分析判断,这势必影响到审计信息的准确性。
(二)注册会计师具体执行实务时与审计准则存在重大差距。注册会计师存在一个非常严重的问题,就是不能从整体上掌握和执行审计准则,相当部分的审计项目仅停留在做表面文章上,审计工作底稿不是框架不全就是空架子,好点的虽然有具体内容但欠全面,或不规范经不起推敲,存在为节省工作时间和成本而省略或减少必要风险评估程序的现象,离审计准则的要求尚有很大差距,不能体现审计精神的实质。这些问题都反映出一些注册会计师不能正确理解和执行审计准则的问题。因此,要想现在能全面实施新审计风险模型还有不少的困难。
(三)审计人员整体素质偏低或无法满足风险导向审计需要。审计中很大一部分主力审计人员没有取得注册会计师资格认证,水平较低。同时,虽然我国注册会计师一般专业知识比较扎实,但综合素质不高,没有在执业实践中积累到足够的专业经验,难以形成相当程序的职业判断。风险导向审计要求在审计活动的各个阶段都保持高度的专业警惕,随时发现潜在的风险点,并汇总入风险评估;同时,要求审计人员根据客户的具体情况为不同的被审计单位设计个性化审计方案。而我国的审计人员目前只能胜任制度导向审计模型下规范式流水化作业,不能应用新的审计风险模型,从而使新的审计风险模型的运用存在一定难度。如何充分发挥教育审计工作在加强内部管理、规范经济秩序、防范经济风险、提高教育经费使用效益、推进廉政建设等方面的作用,是我们面临的一个很大的理论和实际课题。
(四)过高的审计成本使会计师事务所难以承受。对重大错报风险的评估需要高级审计人员的参加,加大了人力资本和物力资本的投入,无疑会加大审计成本。同时审计时间的延长,审计范围的扩大也存在不可忽视的潜在成本。在审计计划阶段和执行控制测试阶段,注册会计师关注的范围扩大,程度加深,必然导致工作时间和审计成本的增加,在会计市场竞争激烈的情况下,成本的增加往往不可能过渡到收费的同步增加。而我国目前审计市场的最大问题就是竞争激烈导致很多事务所为了赢得客户而拼命降低审计收费,进而努力压缩审计成本,在一定程度上减少审计程序。这种现实情况使得风险导向审计这种成本的模式会在现阶段的中国缺乏生存的土壤。
四、结束语
综上所述, 现代风险导向审计作为制度基础审计的完善和发展, 是现代职业审计的必然发展趋势,但现在还不适宜成为我国审计业务的主导模型,其尚处于探索阶段, 在实践中, 尚无完整的模式可参照执行, 即使将来有关现代风险导向审计的准则出台后, 也需要在实践中不断完善。因此, 注册会计师在现阶段, 应首先接受现代风险导向审计的理念,在执业过程中, 将风险评估贯穿审计的全过程, 不断探索现代风险导向审计的方法, 以将审计风险降低到最低可接受水平, 提高注册会计师的执业水平。
参考文献
[1] 黄硕、李勇伟:“风险导向审计模式新趋向”,《审计文摘》,2005年第6期。
[2] 雷蕾、赵晓晓:“风险导向审计在我国运用的局限性”,《审计文摘》,2005年第8期。
[3] 张龙平、聂曼曼:“试论新审计风险模型的理论进步与运用”,《审计研究》,2005年第4期。
[论文摘要]风险导向审计是一种在审计实践中产生的,为了适应现代社会的高风险环境,以风险评估为中心的审计模式。当前,我国对现代风险导向审计这一先进、新兴的审计技术的理论研究和实务运用与国外相比还有一定差距。为了缩小这一差距,加快现代风险导向审计在我国的研究和运用,本文对现代风险导向审计在企业风险管理中的应用进行了研究。
在企业风险管理中,旧的内部审计模式已不能满足要求,呈现出一些局限性,如:制度导向审计模式着眼于对内部控制制度及其执行整体情况的了解和分析而对企业风险因素关注不够;注重内部控制,忽视企业目标,导致过度控制日益严重。因此,新的审计模式在企业风险管理中便应运而生,现代风险导向审计理论及其应用的研究己成为国内外审计理论界与实务界广为关注的前沿课题。一些国际著名会计师事务所在与学术界的合作研究中,己取得了令人欣喜的成果,并不断把它运用到实践中。审计模式已发展至现代风险导向审计阶段。2003年国际审计与鉴证准则理事会(iaasb)颁布了新风险准则,以推动风险导向审计的变革。现代风险导向审计作为一种新的审计方法更作为一种新审计理念,成为备受审计职业界关注的热点。它代表了现代审计方法发展的最新趋势,是社会经济发展的必然要求。本文对风险导向审计在风险管理中的应用进行了探讨。
一、风险导向审计应用中存在的问题
(一)注册会计师的综合素质存在较大的差距
实施现代风险导向审计方法,要求注册会计师具有判断企业是否具有生存能力和合理的经营计划的能力。注册会计师不仅要熟练掌握会计、审计知识,也要掌握管理知识、行业知识和法律知识等,还要熟练运用各种分析工具对各种财务指标和非财务指标进行分析。目前我国会计师事务所90%以上的业务是审计业务和会计业务,没有经济、法律和管理方面等多元化的背景。注册会计师不了解企业的经营状况,不了解相关行业,不懂得管理、行业等方面的知识,不具备运用数理统计方法的能力。这些都不利于现代风险导向审计方法的实施。
(二)相关数据积累不够,信用体系不尽完善
实施现代风险导向审计方法,注册会计师必须要掌握宏观环境、监管环境、行业状况以及企业经营战略等方面信息,判断企业的诚信,评估企业的经营风险,则要求会计师事务所应该建立功能强大的数据库,以满足注册会计师了解企业的战略、流程、风险评估、业绩衡量和持续改进的需要。现阶段我国很多企业的会计信息严重失真、公司治理和内部控制很不完善,注册会计师对行业风险和企业经营风险缺乏了解,数据积累严重不足。另外,我国的信用体系还没有完全建立起来,没有信用指标,很难判断企业的诚信。由于数据积累不足和信用指标的缺乏,影响了现代风险导向审计方法的实施。
(三)审计成本有所增加
实施现代风险导向审计方法,首先需要培训注册会计师,使他们熟悉业务流程等有关方面的知识,这就需要有一定的投入。实施现代风险导向审计方法初期,在审计计划阶段和执行控制测试阶段,注册会计师关注的范围扩大,程度加深,必然导致工作时间和审计成本的增加。会计师事务所总是要讲求成本与效益的,成本能得到补偿是实施好新的审计模式的前提。在会计市场竞争激烈的情况下,成本的增加往往不可能与收费的增加同步,这就有可能因为注册会计师实施的实质性程序有限,在没有发现内部控制存在缺陷或测试内部控制不充分的情况下,增加审计风险。
(四)建立风险评估体系中的问题
审计风险评估体系的设计虽然有其可行性的分析,但是一定的程度上仍然存在大量的需要解决的问题。①在指标体系设计中,应该包括非财务指标,多设计出新的非财务指标,并要注意财务指标与非财务指标的相互协调。新的评估指标体系还应同时兼顾企业经营过程和结果,应包括反映企业人力资源素质变化及人员周转的指标,应与企业竞争策略相结合,应该做到短期效益与长期效益相结合,尤其应该注重设计反映长期效益的指标。②尽管非财务指标很重要,但为了避免非财务指标主观性和易于操纵的特点,企业应该考虑加强这些非量化的财务性指标的可行性。③根据权变理论,当企业的竞争策略、经营环境改变时,指标体系也会随之变化,即应随时评价指标体系的适用性,所以所建立的新的评估体系应该有一定的灵活性。④风险导向审计在我国还刚起步,我国当前事务所法律风险普遍很低,审计人员缺乏运用风险审计技术提高审计质量的动力,加之比较完善的风险审计运用方法尚未形成,短期内还很难提供高质量的风险审计技术。
二、风险导向审计在风险管理应用中的策略
(一)大力提高注册会计师职业判断能力
审计是一种依靠经验和知识进行判断的职业,审计风险要素的评估、审计证据的收集等,都主要依靠注册会计师的职业判断,存在很强的主观性。注册会计师的职业判断是审计工作不可或缺的关键因素,并对审计质量产生重要影响。而我国注册会计师一般专业知识较扎实,但缺乏丰富的职业经验,职业判断水平不高,特别是在涉及审计风险的时候。因此,应通过后续教育和工作培训来强化注册会计师的风险意识,增强注册会计师在审计风险评估和控制方面的职业判断能力,使其以应有的职业谨慎态度和超然独立性执行审计业务,从而降低审计风险。
(二)做好新的审计风险准则的衔接和培训
职能部门应加大对新审计风险准则和方法的宣传与培训,让会计师事务所和社会公众理解和接受新的风险审计准则和方法。对审计人员的培训不仅应该包括审计风险准则的内容和要求,还应包括审计小组人员配备、风险评估技术、新进员工的培训和后续教育等相关内容。对社会公众而言,审计职业应该积极地估计公众的预期,尽可能地使社会公众了解财务报表审计不是舞弊审计,审计人员只是对财务报表提供高可靠性的保证,并不是专门追查舞弊。
(三)通过参加职业责任保险抵御审计风险
由于独立审计是一个具有高度社会责任和高度执业风险的行业,会计师事务所即使已足够重视对审计风险的管理,也仍要承受一部分风险。而且随着与审计相关的法律制度的建立健全,会计师事务所的民事赔偿责任不断增大,因此,会计师事务所应采取一定措施抵御审计风险。我国大部分会计师事务所采取了提取执业风险基金的做法,把审计风险引起的损失平均分摊到各个时期,在会计师事务所内部化解的方法。而国际会计师事务所通行的做法是参加职业责任保险,它可以将注册会计师行业的资金积累起来,由全行业共同承担职业风险事故造成的损失,发生事故后的赔付能力可以满足社会公众的需要。这样,不仅可以提高自身的风险承受能力,而且也是对社会公众负责的表现。
参考文献
[1]中国内部审计协会, 内部审计理论与实务[m]北京:中国石化出版社,2004
[2]蔡春,赵沙,现代风险导向审计论[m]北京:中国时代经济出版社,2006
[关键词]风险导向审计 制约因素 措施
近年全球爆发的一系列财务丑闻,让审计理论界和实务界直面如何进行审计风险管理以降低审计风险,提高审计质量的重大课题。在此情况下,审计人员开始考虑将风险意识贯穿到整个审计过程,风险导向审计应运而生。为了推行现代风险导向审计,我国2007年正式实施的新注册会计师审计准则中就包含了四个识别、评估和应对重大错报风险的审计风险准则。
一、现代风险导向审计的创新
现代风险导向审计以重大错报风险为导向,与传统审计风险模型相比,现代风险导向审计下的审计风险模型(即审计风险=重大错报风险×检查风险)在形式上有所简化,但审计风险的内涵和外延却扩大了,不只依赖对被审计单位管理层所设计和执行内部控制制度的检查与评价,更加注重从企业战略风险和经营风险的源头上分析和评价重大错报风险。具体来看,现代风险导向审计的创新表现在以下几个方面。
1、采用新的审计思路
传统风险导向审计方法采用的是一种“自下而上”的审计思路,将审计人员的注意力和相关的分析、测试重点主要放在会计报表账户余额及发生额本身的风险和会计系统的可靠性上。很容易让审计人员对风险陷入一种微观的、零乱的认识之中,难以从系统的整体角度对风险进行认识和评估,导致审计揭露重大错报的能力和效率都受到影响。现代风险导向审计是从企业的战略分析人手,通过“战略分析―经营环节分析―财务报表剩余风险分析”的基本思路来决定实质性审计程序的性质、时间和范围。它要求审计人员运用“自上而下”和“自下而上”相结合的手段,对财务报表风险做出合理的专业判断。
2、审计重心前移
传统风险导向审计不能适应现代报表审计的需要,就在于其原有的风险评估不到位,未能有效发现高风险审计领域,造成审计过量或审计不足。现代风险导向审计从以审计测试为中心转移到以风险评估为中心,审计程序主要包括风险评估程序、分析性测试程序、审计测试程序(包括控制测试和实质性测试)。新方法建立起来的企业会计报表风险与企业战略风险之间的逻辑联系,使现代风险导向审计满足了战略管理思想的要求。
3、以分析测试为风险评估的核心方法
传统风险导向审计对于信息的再加工程度不够,分析性复核主要适用在报表分析上。现代风险导向审计的风险评估虽然包括检查、调查、询问、穿行测试等多种审计取证手法,但核心是分析性复核的运用。为了适应分析性复核功能扩大的要求,分析性复核开始走向多样化,不再是只对财务数据进行分析,也对非财务数据进行分析。分析工具充分借鉴现代管理方法,将管理方法应用到分析性程序中去。
4、风险评估由直接评估变为间接评估
传统风险评估直接评估发生重大错报的概率,也就是直接对审计风险进行评估,现代风险评估不是直接对审计风险进行评估,而是从经营风险评估入手。从经营风险中能更有效地发现财务报表潜在的重大错报,因为财务报表是经营的反映,如果经营风险未能在报表上得到体现,则财务报表很有可能失真。
5、丰富了审计证据的内涵
传统风险导向审计的审计证据主要包括实施控制测试和实质性测试获取的证据。由于审计重心向风险评估转移,新的风险审计准则拓展了审计证据的内涵,注册会计师获取审计证据的程序包括风险评估程序、控制测试和实质性程序。管理层舞弊是注册会计师最大的敌人,在风险导向审计中,注册会计师将更多地依赖外部证据来支持自己的专业判断。发挥内查外调的优势,通过询问相关外部人员获取证据,是针对管理层舞弊的有效措施。
二、实施现代风险导向审计的制约因素
从理论上讲,现代风险导向审计能够弥补传统审计方法的不足,在保持一定效率的前提下,有效降低审计风险,缩短审计期望差距。但由于我国对现代风险导向审计的理论研究尚处于初级阶段,还没有一套严密的现代风险导向审计体系,所以,从目前看我国运用现代风险导向审计还有一定的局限性。
1、审计标准和审计方法的制约
现代风险导向审计的应用,要求注册会计师通过了解测试,形成对被审计单位经营风险、财务风险整体评价。在此基础上,确认发生重大错报可能的领域与方向,评估预期的审计风险水平。然而,我国目前还没有专门的理论框架或指南为确定期望的审计风险提供科学依据,因此,注册会计师很难对审计风险进行合理恰当的估测。另一方面,现代风险导向审计还没有一套比较标准、规范的审计方法,因而没有统一的评价标准和审计线索来实施审计。因此,风险导向审计的正常实施效果会大打折扣。
2、注册会计师素质的制约
新审计准则中关于现代风险导向审计的实施,对注册会计师提出了更高的要求。注册会计师需要了解的企业的深度和广度都是以前所不能比的,不仅需要对被审计单位的内部控制系统等作出评价,还需要对被审计单位所处的宏观经济环境、行业环境、发展战略、组织形式、治理结构、管理层诚信度等所有影响被审计单位的因素都作出评价,以便识别和评估重大错报风险。审计范围没有边界导致对注册会计师的专业能力要求也没有边界,这就需要各会计师事务所拥有强大的专家阵容以适应新准则的要求,并且这一阵容不仅需要会计审计方面的专业人才,还需要宏观经济分析、行业分析、法律、营销等各方面的专家,更需要能对被审计单位进行宏观总体把握的人才。但在我国,这种高素质的人才相对缺乏,成为推行风险导向审计模式的瓶颈。
3、政府监管和法律制度的制约
现代风险导向审计模式要求注册会计师运用职业判断来分析被审计单位的风险。在我国,衡量会计师事务所审计质量的一个重要方面,就是看在项目审计过程中是否执行了所要求的全部常规审计程序。在审计失败事件的检查处理中,这更是判定注册会计师责任的重要方面。这种只注重审计程序形式上完整的检查思路和方法,势必制约现代风险导向审计模式的推行。严格的法律环境是实施风险导向审计的外部条件,目前我国法律重行政责任轻民事责任,对注册会计师承担法律责任的经济约束缺乏刚性和力度,造成注册会计师对审计过程的风险不够重视,影响审计的质量,最终偏离了风险导向审计的本意。
4、企业内部控制水平和公司治理结构的制约
风险导向审计能否正常实施并收到预期效果,通常取决于被审计对象的管理制度是否健全,内部控制是否有效。企业内控管理制度不健全及内控制度的低效率,会产生较高的固有风险。目前由于我国企业的治理结构尚不健全,出资者缺位现象突出,内部人控制问题十分严重。在这种情况下,经营者由被审
计人变成了审计委托人,这种委托人与被审计人合二为一的状况打乱了审计关系三方有序的平衡关系,使注册会计师在审计关系中处于明显的被动地位,导致企业对高质量的审计服务缺乏内在的监督需求。
5、审计成本的制约
注册会计师如果实行现代风险导向审计,必然增加审计成本的投入,而在审计收费日渐低下的趋势下增加成本只会降低会计事务所的收益。会计师事务所基于成本效益原则,在竞争激烈的情况下,被迫接受与履行审计责任不相称的收费条件后,理性的选择就是通过简化审计程序达到审计交易的均衡,由此粗糙的审计报告应运而生,于是审计期望差越来越大,现代风险导向审计的实施更加困难。
三、推行现代风险导向审计的措施
1、完善审计理论和审计标准
加强审计理论体系研究,完善审计基本假设、基本概念和基本原理,为风险导向审计的应用提供坚实的理论基础。借鉴国际审计和签证准则理事会修订和起草的审计风险准则,对我国审计准则中的有关审计风险准则进行修订和完善,为风险导向审计在我国的运用提供指导。
2、全面提高注册会计师执业素质
审计人员素质是影响风险导向审计推行效果的关键因素,因此,审计人员要不断深入学习相关知识,拓宽知识面,完善知识结构,提高专业胜任能力和职业判断能力。同时要求审计人员优化队伍,改变目前“财会型”人才的单一结构,促进人才向多元化方向发展,以适应现代风险导向审计的发展要求。
3、创建良好的法律环境
健全的法律环境虽然不是风险导向审计实施的必要前提,但风险导向审计作用的发挥确实离不开一定的制度安排。虽然我国已经在完善法律制度方面采取了不少措施,但在证券市场的规范和约束力方面还较弱,存在诉讼门槛过高、诉讼成本与收益不对等的现象。因此法律环境的完善是非常必要的,应在相关法律条例中使注册会计师明确责任,提高有限责任制会计师事务所的最低资本金标准,同时在行业的监管方面,注册会计师协会地位要提高。加大政府监管部门的执法力度,调整惩罚结构,建立注册会计师信誉市场,促使注册会计师努力提高审计质量、维护职业信誉。
4、建立行业信息数据库
实施现代风险导向审计,注册会计师必须掌握各方面信息,用以评估企业的经营风险。但目前我国会计师事务所普遍缺乏资料库,审计人员无法判断企业经营的合理性。因此,应通过政府部门建立各种资料库,收集各行业资料,将各行业信息及时公布,实现各协会间、各级政府以及会计师事务所联网,以提高会计师事务所数据收集方面的能力,满足会计师有效判断行业风险和经营风险的需求。
5、完善公司治理结构,健全企业内部控制机制
当前公司治理结构及内部控制制度的不完善和经理人信息控制权的存在,客观上妨碍了风险导向审计的运用。因此,应规范公司治理结构,建立以法人股为主体的多元化产权结构,以法人股取代国有股在上市公司的主体地位,解决在公司治理结构中形成的国有股“一股独大”、“所有者缺位”、“内部人控制”等现象。在优化公司治理框架下,还要从企业内部控制的设计、运行、评价、改进四个环节建立与完善企业内部控制机制,强调高级管理层的控制责任,关注对全部风险的评估,重视日常控制活动,抓住内部审计监督评价环节,不断提高企业会计信息质量,推动风险导向审计的运用。
[参考文献]
[1]张志:从新审计准则看风险导向审计的新变化[J]中国乡镇企业会计,2007(4)
[2]何瑜:论现代风险导向审计[J]当代经理人,2006(7)
[3]张琦、孟丽青、王丽:试论现代风险导向审计理论及其在我国的运用[J]北方工业大学学报,2006(2)
[4]王会金、刘瑜:风险导向审计缺陷与现代模式的抉择[J]审计与经济研究,2006,21(2)
[5]李静:浅析风险导向审计及其在我国的运用[J]内蒙古财经学院学报(综合版),2009(1)
关键词:新审计风险准则;重大错报风险;风险导向审计
一、新审计风险的准则主要内容
2004年中注协起草了《独立审计具体准则第29号――了解被审计单位及其环境并评估重大错报风险的程序》以及《独立审计具体准则第30号――针对评估的重大错报风险实施的程序》,其目的是合并、分解和删除《独立审计具体准则第9号――内部控制与审计风险》、《独立审计具体准则第20号――计算机信息系统环境下的审计》和《独立审计具体准则第21号――了解被审计单位情况》。中注协起草新准则的基本思路是,通过修订审计风险模型,强调从宏观上了解被审计单位及其环境,包括内部控制,以充分识别和评估会计报表重大错报的风险,针对评估的重大错报风险设计和实施控制风险测试和实质性测试。由此引入了现代风险导向审计模式即,审计风险是由重大错报风险和检查风险组成的,其模型为:审计风险=重大错报风险×检查风险;检查风险=审计风险/重大错报风险。在审计风险一定的情况下,根据重大错报风险的大小,决定检查风险,进而确定具体的审计程序、方法、范围和重点。
目前,新准则已经颁布,并于2007年1月1日实施。新颁布的《了解被审计单位及其环境并评估重大错报风险》具体准则的主要内容包括:明确风险评估程序与信息来源,注册会计师应当在审计过程中组织审计项目组讨论会计报表存在重大错报的可能性;注册会计师应当从行业状况、监管环境、被审计单位性质、目标、战略和经营风险、内部控制等方面了解被审计单位及其环境;注册会计师应当识别和评估会计报表层次以及各类交易、账户余额、列报与披露认定层次的重大错报风险;注册会计师应当将实施识别和评估程序的重要环节形成审计工作记录。新颁布的《针对评估重大错报风险实施的程序》具体准则的主要内容包括:注册会计师应当针对会计报表层次的重大错报风险制定总体应对措施,包括向审计项目组强调在获取审计证据过程中保持职业怀疑态度的必要性、分派更有经验或具有特殊技能的审计人员或利用专家,向审计项目组提供更多督导等;注册会计师应当针对认定层次的重大错报风险设计和实施进一步审计程序,包括控制测试的执行有效性以及实施实质性程序;注册会计师应当评价风险评估的结果是否适当,并确定是否已经获取充分、适当的审计证据;注册会计师应当将实施的关键程序形成审计工作记录。
二、新审计风险准则对我国注册会计师审计理念可能产生的影响
一是注册会计师审计的主线始终是对重大错报风险的识别、评估与应对;二是注册会计师必须对会计报表重大错报风险进行评估,新的审计风险模型要求的审计起点为风险评估程序,其次才是针对重大错报风险实施进一步审计程序(包括控制测试和实质性测试);三是注册会计师实施的审计程序必须做到有的放矢,在设计和实施进一步审计程序(控制测试和实质性测试)时,注册会计师应当将审计程序的性质、时间和范围与识别和评估的风险相联系,以防止机械利用程序表从形式上迎合独立审计准则的要求;四是注册会计师必须针对重大的各类交易、账户余额、列报与披露实施实质性测试。
三、原审计风险准则的局限性
原审计风险准则采用的审计风险模型为:审计风险=固有风险×控制风险×检查风险,在实际应用过程中,由于固有风险较难测定,因此,在实务中多采用了将固有风险定为最高水平即100%的做法。于是,审计的起点便从了解内部控制制度、评价控制风险开始,审计方法只能停留在制度基础审计层次,而制度基础审计由于存在诸多弊端,如:制度基础审计假定管理层与会计报表无厉害关系,管理层都能提供真实会计报表、都会建立相应的内部控制制度并使之有效运行。如果通过了解和符合性测试认为被审计单位内部控制制度有效,就可以相应降低实质性测试的范围和程序。而实际情况则相反,由于,受到业绩考核、利润预测以及股票期权计划的影响,导致管理层具有较强人为调整会计报表的动机。管理层的舞弊使内部控制制度流于形式,企业的管理人员甚至会设计“合理”的内部控制制度,并使之合理运行。注册会计师对这种内部控制的信任必将缩小实质性测试的范围,并且降低发现重大差错或管理层舞弊的概率,从而使注册会计师出具不恰当审计意见的风险增加。在此背景下,如果仍然照搬建立在制度基础审计模式上的原审计风险准则执行审计业务,其审计风险必然加大。
四、新审计风险准则的重大变化
要求注册会计师加强对被审计单位及其环境的了解。注册会计师应当实施程序,更广泛和更深入地了解被审计单位及其环境的各个方面,包括了解内部控制,为识别报表层次及各类交易、账户余额、列报和披露认定层次重大错报风险提供更好的基础。
要求注册会计师在审计的所有阶段都要实施风险评估程序。要求注册会计师应当将识别的风险与认定层次可能发生错报的领域相联系,实施更为严格的风险评估程序,而不能直接将风险定为高水平。
要求注册会计师将识别和评估的风险与实施的审计程序挂钩。在设计和实施进一步审计程序(控制测试和实质性测试)时,注册会计师应当将审计程序的性质、时间和范围与识别、评估的风险相联系,以防止机械地利用程序表从形式上迎合审计准则对程序的要求。
要求注册会计师针对重大的各类交易、账户余额、列报和披露实施实质性测试。注册会计师对重大错报风险评估是一种判断,被审计单位内部控制存在固有限制,无论评估的重大错报风险结果如何,注册会计师均应当针对重大的各类交易、账户余额、列报和披露实施实质性测试程序,不得将实质性测试仅集中在例外事项上。
要求注册会计师将识别、评估和应对风险的关键程序形成审计工作记录,以保证执业质量,明确执业责任。审计风险准则的出台,有利于降低审计失败发生的概率,增强社会公众对行业的信心;有利于严格审计程序,识别、评估和应对重大错报风险;有利于明确审计责任,实施有效的质量控制;有利于促使注册会计师掌握新知识和新技能,提高整个行业的专业水平。同时,审计风险准则对注册会计师风险评估程序及依据风险评估结果实施进一步审计程序的影响很大,从而影响到审计工作的各个方面。
作者单位:吉林财税高等专科学校
参考文献:
[1](最新48个注册会计师执业准则)注册会计师审计法律与准则 [M]北京:中国法制出版社,2006年版.157-229.
论文关键词:风险导向审计 商业银行 内部控制
一、引言
近年来,国内外财务金融丑闻案接连不断,引致学术界和实务界的广泛关注。对审计风险估计不足是导致审计失败的重要原因之一,风险导向审计模式应运而生。
我国审计暑在《内部审计工作的规定》中,已将风险管理评审纳入内部审计工作的职责范围。将于2009年7月1日在上市公司范围内施行的《企业内部控制基本规范》,也将风险评估和风险控制作为重要内容列示。因此,研究和探讨风险导向审计,时于促进企业内部审计及审计学科本身的发展,更好地为商业银行服务具有重要意义。
二、相关研究及其内涵特征
(一)相关研究
风险导向审计的核心是审计风险理论。胡春元(2001)认为风险导向审计以量化的风险水平为重点,以此决定实质性测试的程度和范围。张立民(2002)认为风险审计使审计人员以对风险的分析评价控制为基础。综合运用各种技术,搜集审计证据并形成审计意见。姚力其(2006)认为。风险导向审计对风险评估的重要创新是将风险评估的重点转移到经营风险上。谢志华、崔学刚(2006)则指出。风险导向审计的实质是委托人、需求、期望作用于审计制度,而这反过来又影响审计策略与方法的选择。庄立,王玉蓉(2007)通过建立三方关系人博弈模型,提出要切实减少违规行为。需要全面推广应用风险导向审计模式。总体来看,针时商业银行内部控制的风险导向审计模式研究还很少。
(二)风险导向审计的内涵及特点
1.风险导向审计的内涵。风险导向审计是一种基于战略和系统的观点,通过综合评价经营风险以确定实质性测试范围、时间和程序的审计方法。
商业银行审计部门作为内部控制的监督机构。既要审计财务状况及其经营成果的数字本身,也要审计这些数字的形成过程。银行内部审计工作者,要了解商业银行的经营过程。评估和测试银行的风险,评估用来衡量经营的财务性和非财务性指标,提供管理层决策所需要的审计信息,为提高银行经济效益服务。
2.风险导向审计的特点。风险导向审计代表了国际审计发展的新趋势。该模式重点突出风险,涵盖面更广泛,弥补了合规性审计不能全面、系统评价内控状况、揭示风险的缺限。优化了审计资源配置。风险导向审计根据审计对象的风险排序,合理确定审计重点和审计计划,将有限的审计力量投入到最需要关注的领域。并降低了审计成本。风险导向审计始终围绕风险展开审计。该模式以影响对象经营目标实现的各类风险为依据.以内部控制标准为工具,全面、系统地检查和评价被审单位的风险状况。抓住了商业银行防范与化解风险的关键。形成持续性、周期性的监督过程。风险导向审计是一种闭合循环的持续性监督,倾向于年复一年地降低并最终化解风险。
三、风险导向审计的程序和实施
(一)风险导向审计的程序
1.风险识别程序。风险识别是一个渐进、持续、制度性的工作。是进行风险导向审计的第一步。商业银行的经营环境随时都在变化,各种风险随时影响其生存和发展,但要重点识别那些目前还没有遇到、又具有一定潜在威胁的风险。寻找风险源,这也是风险识别的重要工作。
2.风险评估程序。在风险识别的基础上.对风险的后果进行定性估计或收集相关数据,利用统计、精算等方面的知识,对风险损失的频率和幅度进行估计和预测。风险评估是一项非常复杂的技术性工作,也是审计人员普遍感到困难的地方。
3.风险控制测试程序。测试程序主要包括控制测试和实质性程序。在认为必要或决定进行内部控制测试时执行该程序。如果认为评估的重大错报风险是特别风险。审计人员应当专门针对该风险实施实质性测试程序。
4.风险评价程序。指根据相关标准衡量风险。以确定风险是否需要处理或选择处理的方法和可接受的程度。风险评价是风险导向审计的有机组成部分,由于风险认识水平的阶段性及风险处理技术的不断完善,人们需要对风险处理技术定期检查、修正。以保证处理技术的最佳效果。风险导向审计的程序可用图3—1所示模型表示。
(二)风险导向审计的实施
风险导向审计的常用方法有审计风险评估(risk assess)、分析性程序(analyircalprocedure)、控制测试(testsofcontro1)、交易业务实质性测试(substanitvetestoftransaction)等。根据审计目标。商业银行审计人员可以有效地选择和控制程序的实施
1.程序的实施应由审计人员主动控制。如果内部审计人员只是审计被审计银行提供的资料及重要的审计证据,而重要审计程序由被审计行控制,没有实施自己的审计程序并收集取得审计证据,则审计人员易落入被审计银行造假的“陷阱”之中。
2内审人员应保持应有的执业关注。独立审计准则要求审计人员在内审中保持应有的执业关注,随时了解异常、非常规事项并及时做出积极反应,经过初次评估控制风险一再次评估控制风险一最终评估控制风险.根据客观情况的变化和异常事项的出现,不断修改审计程序,补充审计证据,直到足以支持发表正确的审计意见。
3.对审计证据的审慎分析。取得审计证据只是审计人员审计的一种手段。内控审计人员必须对取得的证据进行审慎分析,判断其来源是否可靠、证据是否真实并能够支持审计结论。
4运用专业判断提升审计效率和质量。商业银行的内部审计过程,也是审计人员充分发挥聪明才智、实施专业判断的过程。统计抽样或非统计抽样都存在不确定因素,需要审计人员根据被审银行的总体特征选择抽样的方法并对抽样结果进行评价。如果只收集证据而不实施必要的专业判断,就不能称之为审计。
四、风险导向审计在商业银行的应用前景
(一)风险导向审计将使内部审计全面发展和深化风险导向审计在审计理念、审计对象、审计方法等各方面都有很大进步。
1.风险导向审计体现了全面和重.氛审计的原则。风险导向审计是无边界审计。只有全面审计,才能准确地预测风险。在此基础上,根据重要性原则,从风险的严重程度和对银行经营目标的影响程度进行重点审计。
2.风险导向审计实现了审计关口前移的理念。风险导向审计以风险防范为目标,体现了超前审计的理念。无论是采取风险回避、风险分散、风险转移,还是风险防范,都属于事前审计的范围。
3.风险导向审计将促进审计手段现代化。风险导向审计需要收集银行大童信息,了解各项业务的运营情况,还需要计算机技能的支持以有效利用海量数据,因此风险导向审计的开展会推动和加快审计手段现代化的进程。
4.风险导向审计会提高审计人员的素质。风险导向审计要求审计人员有熟练的审计专业知识.熟悉金融、证券、保险、外贸等方面的经济知识。既要了解银行业的徽观运行情况,也要了解社会的经济周期、行业所处的地位、国家政策及重大事件等宏观因素。
5.风险导向审计可有效提高审计质量。审计质量与风险控制因素存在正相关性。风险控制能使内部审计人员摆脱时务报告的束博,站在了解、分析、评价被审银行的内外部经营环境、控制策略的高度分析问题的本质。若将风险因子转化为可量化的替代指标,审计质量与风险导向审计因素成正相关关系。
(二)风险导向审计的应用前景
风险导向审计能全方位认识被审计银行的经营情况,并对风险因素进行全面评估,借助银行的环境和报表形成两者的互动,对发表审计意见形成正确支持。由于可以确认公允性,证实可信度,因此,风险导向审计对是否存在重大错弊、特别是管理层舞弊具有确认作用,支持对非财务信息披霖的适当性发表意见。风险导向审计通过运用审计风险模型,对风险进行系统的评价,据此制仃审计计划,将风险评佑与审计程序紧密结合起来。
但是,风险导向审计并不可能完全消除审计风险。分析风险导向审计模型:审计风险=重大错报风险x分析性测试风险x实质性测试风险,由于审计风险存在于审计过程的每一个环节,任何环节的审计失误,都会增加最终的审计风险(ultimate audit risk)。因此,对最终审计风险的控制,就取决于对上述各种风险的控制。在银行内部拉制审计中,审计人员只能在有限的空间和时间内改变风险存在和发生的条件,降低其发生的频率和减少损失的程度,不能、也不可能完全消除风险。
五、结论与建议
风险导向审计对改善商业银行内部控制,提高经营管理水平和风险防范能力,促进可持续发展有重要意义。
1.全面推行风险导向审计模式。通过推行风险导向审计,促使商业银行审计人员强化风险意识,淡化逐利动机,最大限度查出舞异,降低审计风险,获得品牌收益,维护市场经济秩序和社会会众利益。
2.风险导向审计有利于银行内部治理。风险导向审计的自身优势会促进其在我国现阶段的应用发展,并成为商业银行内部治理、外部监管的迫切需求。通过改进审计方式来提高商业银行内部审计质量,可以最大程度降低风险。
