时间:2023-09-07 09:20:33
引言:寻求写作上的突破?我们特意为您精选了12篇财务报表风险评估范文,希望这些范文能够成为您写作时的参考,帮助您的文章更加丰富和深入。
引言
现代风险导向审计明确了审计工作应以了解被审计单位环境,评估财务报表重大错报风险作为新的正确起点和导向,要求注册会计师全程关注财务报表的重大错报风险,并将风险评估作为整个审计工作的先导、前提和基础。但如何才能全面的了解企业所面临的风险,并评估其对财务报表重大错报的影响呢?本文拟建立一个基于企业风险管理框架理论的三维框架体系解决这一问题。
一、现代风险导向审计评述
随着现代企业规模的日益扩大,企业的经济活动和交易事项内容不断丰富复杂,审计工作的工作量和复杂度迅速增大。为了适应审计环境的变化和审计工作的需求,审计职业界逐渐改变了详细审计,代之以抽样审计,审计方法也从账项基础审计、制度基础审计发展到风险导向审计。根据对审计风险的理解和认识的不同,风险导向审计被划分为传统风险导向审计和现代风险导向审计两个阶段。
传统的风险导向审计运用审计风险模型“审计风险=固有风险×控制风险×检查风险”,将审计的视角确定于企业的管理制度,特别是会计信息赖以生成的内部控制制度。注册会计师通过了解企业及其环境、评价内部控制,对固有风险和控制风险做出评估,在此基础上确定检查风险,再设计和实施实质性程序,以将审计风险控制在会计师事务所确定的水平。由于固有风险的单独评估具有显知的难度,注册会计师往往不注重从宏观层面上了解企业及其环境,而将审计的起点定为企业的内部控制测试,只依赖对内部控制风险所作的粗放型评估来直接、大致确定检查风险水平,再据此规划实质性程序的性质、时间和范围。但是由于企业存在于整个社会经济生活网络中,所处的经济环境、行业状况、经营目标、战略和风险都将最终对会计报表产生重大影响,同时,当企业管理层通同舞弊,故意通过重大误导性的财务报表来伤害公司利益相关者时,企业的内部控制会失去效果。如果注册会计师不把审计视角扩展到内部控制以外,就很容易受到蒙蔽和欺骗,难于发现会计报表存在的重大错报和舞弊行为。
2003年10月,国际审计与鉴证准则理事会(IAASB)紧紧围绕如何提高审计人员评估风险、发现舞弊的能力,了4个修订和新起草的准则,其核心思想是合并原固有风险和控制风险,将审计风险模型修改为“审计风险=重大错报风险×检查风险”,同时修改审计业务流程,强调从宏观上了解被审计单位及其环境,以充分识别和评估会计报表重大错报的风险(风险评估程序),再针对评估的重大错报风险设计和实施控制测试和实质性程序(进一步审计程序)。
我国财政部也了《中国注册会计师审计准则第1211号――了解被审计单位及其环境并评估重大错报风险》,并要求自2007年1月1日执行。该准则也明确了“了解被审计单位及其环境是必要程序”,要求“注册会计师应当了解被审计单位及其环境,以足够识别和评估财务报表重大错报风险,设计和实施进一步审计程序。”
二、构建财务报表重大错报风险评估的三维框架(图1)
经营风险与财务报表重大错报风险是相互联系又有区别的两个范畴。多数经营风险最终都会产生财务后果,从而影响财务报表,但并非所有经营风险都会导致重大错报风险。注册会计师需要通过一定的方法全面了解企业的经营风险并从中考虑经营风险是否可能导致财务报表的重大错报风险。
2004年9月,COSO的《企业风险管理――整合框架》,为人们提供了全面的企业风险管理框架。本文试图以此框架为基础,建立一个以风险管理目标为起点、审计业务循环为主线、风险管理构成要素为步骤的三维重大错报风险评估框架,以便从上向下的全面评估企业所面临的风险及其风险应对的有效性,同时以审计业务循环为主线,识别评估财务报表的重大错报风险。
(一)风险管理目标维度――起点
企业风险管理的目标是指主体力图实现什么。《企业风险管理――整合框架》将之划分为战略、经营、报告、合规四种类型的目标,认为主体应首先设定战略目标,并将战略目标分解成主体及其各单元努力实现的经营、报告、合规目标。
“注册会计师应当了解被审计单位的目标和战略,以及可能导致财务报表重大错报的相关经营风险”。注册会计师应了解:1.战略目标,包括被审计单位的行业状况及影响其经营的其他外部因素,与之相应的被审计单位的目标和战略;2.经营目标,包括企业为实现其战略目标所制定的次级经营目标,如市场占有目标、销售目标、采购目标、生产目标、投资目标、筹资目标等;3.报告目标,了解由企业编制的、向内部和外部散发的各种财务和非财务报告的内容及报告方式,特别是对财务报表报告有重大影响的企业的所有权结构、治理结构、组织结构,财务业绩的衡量和评价方式等;4.合规目标,了解被审计单位所处的法律环境及监管环境,包括适用的会计准则制度,影响经营活动的法律法规、政府政策、监管活动和环保要求等。
(二)审计业务循环维度――主线
业务循环是企业处理某一类经济业务的工作程序和先后顺序,一般可划分为采购与付款循环、销售与收款循环、存货与仓储循环、筹资与投资循环等。企业的经营业务流程与内部控制有着直接的联系,同时,循环审计也有利于审计分工,提高审计效率,因此业务循环审计被广泛应用于传统的内控导向审计中。
本文建立的三维模型,强调以业务循环为线,分循环了解企业风险管理目标和构成要素,以便于界定财务报表容易发生错报的领域及其错报的方式,主要原因如下:1.通过业务循环的划分,企业的所有交易和账户余额被分属于不同的循环,按照业务循环来解析企业风险,能够将风险评估的结果最终具体落实到账户的认定层次。2.“了解被审计单位及其环境是一个连续和动态的收集、更新与分析的过程,贯穿于整个审计过程的始终。”按业务循环来了解企业环境,评估财务报表重大风险,是与进一步审计程序中分业务循环设计和实施控制测试和实质性程序相一致的。
(三)风险管理构成要素维度――步骤
企业风险管理的构成要素是管理层经营一个企业所做的事情,是指主体应以什么样的方式来实现其目标。《企业风险管理――整合框架》将之划分为八个构成要素。注册会计师依照这八个构成要素可以全面了解企业面临的风险、采取的风险应对措施及其有效性,从而全面评估与经营风险相关联的企业财务报表的重大错报风险。
1.内部环境。内部环境是指管理当局确立的关于风险的理念,是企业组织的基调,影响企业组织中人员的风险意识。注册会计师应了解企业管理层的风险管理理念,风险容量,董事会的监督机制,企业中人员的诚信、道德价值观和胜任能力,以对企业的风险管理方式作总体的了解。例如,有效而独立的董事会运作机制能够有效的控制企业的经营风险,也将有效的降低财务报表错报的风险。
2.目标设定。目标设定是指企业管理当局在既定的任务和背景下,采取恰当的程序制定战略目标、选择战略,并制定相关经营目标,将其细分至企业的方方面面,从而确保所设定的目标支持切合企业的使命并与风险容量一致。注册会计师应以审计业务循环为线,了解企业的关键业绩指标、业绩趋势、预测预算、企业各部门单位的业绩目标等,从而推测相关人员的行为导向及可能导致的重大错报风险。例如,过高的销售目标易导致产生压货等各种形式的虚假销售,或使得企业对客户信用评估不重视,为了占领市场盲目扩大客户源,盲目赊销,最终导致销售收款循环的重大错报风险;本期及未来的融资计划,是企业为满足融资条件修改财务报表、管理关键财务指标的重要动机。
3.事项识别。事项识别是指企业管理当局必须能够识别可能对企业产生影响的潜在事项。注册会计师应询问管理层识别出的经营风险或与管理层讨论如何识别经营风险。例如企业各级部门是否实时关注与之相关的政策法规,企业是否具有常规的市场调研机制,是否聘请了法律顾问以规避法律风险,是否具备有效的内部审计机制,财务主管是否了解融资市场的利率及资金供应状况等等。
4.风险评估。风险评估是指企业应该考虑潜在事项如何影响目标的实现。注册会计师应与企业的管理层及各部门负责人讨论,以明确企业是否能够评估各领域的风险程度。例如,销售部门是否能够识别关键客户,采购部门是否有一定方法区分重要供应商,生产部门是否能够明确行业产品的发展方向并有与之相应的研究和开发活动等。
5.风险应对。风险应对是指管理者如何应对风险。注册会计师应了解企业的风险应对措施并评估其有效性。注册会计师应特别关注当被审计单位内部或外部对财务业绩的衡量和评价可能对管理层产生压力时,企业是否存在通过关联方交易、合并报表、会计政策选择等财务手段直接管理财务指标应对业绩评价风险的情况。
6.控制活动。控制活动是帮助管理当局实施风险应对方案的政策和程序。注册会计师可以以审计循环为主线,更多的关注企业为实现财务报告可靠性目标设计和实施的与审计相关的内部控制。
7.信息与沟通。管理者应当建立一套信息系统来处理和提炼大量的数据以形成可参考的信息,并在企业内部和外部恰当、及时、准确的传递。注册会计师应更多的关注“与财务报告相关的信息系统”。
8.监控―管理当局需要依赖监控确定企业风险管理的运行是否持续有效。“注册会计师应当了解被审计单位对与财务报告相关的内部控制的监督活动,并了解如何采取措施”。
【参考文献】
[1] 中国财政部.中国注册会计师审计准则第1211号――了解被审计单位及其环境并评估重大错报风险[EB/OL].http://mof.省略,2006-2-15.
[2] [美]COSO.企业风险管理――整合框架[M].方红星,王宏,译.大连:东北财经大学出版社,2005.
[3] 陈毓圭.对风险导向审计方法的由来及其发展的认识[J].会计研究,2004(2):58-63.
一、前言
2006年财政部颁布了《中国注册会计师执业准则》,标志着我国在建立适应社会主义市场经济发展要求,顺应国际趋同新形势的道路上迈进了一大步。为了更好地指导注册会计师有效地识别、评估和应对审计风险,准则框架体系全面渗透着风险导向审计的理念,要求注册会计师将风险导向审计的观念贯穿于审计全过程。传统审计方法的主要缺陷在于注册会计师重视被审计单位的内部环境,但忽视其所处的外部环境;重视审计单位的控制风险但忽视其固有风险。事实上我国注册会计师面临的情形是被审计单位及其所处环境的日趋复杂。行业状况、法律环境与监管环境以及其他外部因素,都会对注册会计师审计质量产生重大影响。在复杂环境下或被审计单位内部控制不健全时,如果继续采用传统审计模式,局限于控制测试和实质性测试,把审计的主要资源集中在具体交易事项和余额细节测试上。极易引发审计风险。因此,新执业准则要求注册会计师了解被审计单位及其内外部环境,同时注重检查风险和固有风险(即重大错报风险),重点关注存在重大错报风险的领域,达到避免触发审计风险的目的。新执业准则体系的核心内容为以下准则,简称审计风险准则,分别为:《中国注册会计师执业准则第1101号――财务报表审计的目标和一般原则》(以下简称第1101号准则,下同)、《中国注册会计师执业准则第1211号――了解被审计单位及其环境并评估重大错报风险》、《中国注册会计师执业准则第1231号――针对评估的重大错报风险实施的程序》、《中国注册会计师执业准则第1301号――审计证据》。
二、审计风险准则修订的主要内容
(一)第1101号准则 第1101号准则是在借鉴国际审计与鉴证准则第200号的基础上,对原《独立审计准则第1号――会计报表审计》进行修订而形成的。其主要内容有:会计责任和审计责任、审计的目标、审计范围、职业怀疑态度、审计风险及模型。(1)明确区分注册会计师的责任,公司管理层和治理层的责任。新准则规定,对财务报表发表审计意见是注册会计师的责任;在被审计单位治理层的监督下,按照适用的会计准则和相关会计制度的规定编制财务报表是被审计单位管理层的责任。此外,准则条款还特别强调了财务报表审计不能减轻被审计单位管理层和治理层的责任。(2)明确财务报表审计目标。新准则规定,财务报表审计的目标是注册会计师通过执行审计工作,对财务报表的下列方面发表审计意见:财务报表是否按照适用的会计准则和相关会计制度的规定编制;财务报表是否在所有重大方面公允反映被审计单位的财务状况、经营成果和现金流量。这个规定与原有的规定没有太大区别,但是新准则中明确提出,财务报表审计属于鉴证业务,注册会计师的审计意见旨在提高财务报表的可信赖程度。(3)修订审计范围的定义。新准则指出,财务报表的审计范围是指注册会计师为实现财务报表审计目标,根据审计准则和职业判断实施的恰当的审计程序的总和。在确定拟实施的审计程序时,注册会计师应当遵守与财务报表审计相关的各项审计准则。恰当的审计程序是指审计程序的性质、时间和范围是恰当的。一是审计程序的性质指审计程序的目的和类型。目的包括:通过了解被审计单位及其环境,识别、评估重大错报风险;通过实施控制测试,明确内部控制运行的有效性;通过实施实质性程序,发现认定层次的重大错报。类型则包括检查、观察、询问、函证、重新计算、重新执行和分析程序。二是审计程序的时间是指注册会计师何时实施审计程序,或指审计证据适用的期间或时点。三是审计程序的范围是指实施审计程序的数量,包括抽取的样本量,对某项控制活动的观察次数等。审计范围受到限制是指由于客观原因或者被审计单位施加的限制,注册会计师未能实施根据审计准则和职业判断应当实施的审计程序,从而未能获取充分、适当的审计证据。(4)要求注册会计师在审计过程中始终保持职业怀疑态度,并明确在财务报表审计中注册会计师只能提供合理保证。新准则要求,在计划和实施审计工作时,注册会计师应当保持职业怀疑态度,充分考虑可能存在导致财务报表发生重大错报的情形。新准则指出,注册会计师按照审计准则的规定执行审计工作,能够对财务报表整体不存在重大错报获取合理保证。由于审计中存在的固有限制影响注册会计师发现重大错报的能力,注册会计师不能对财务报表整体不存在重大错报获取绝对保证,即只能提供合理保证。(5)引进新的审计模型。新准则对审计风险模型作了重大改变,将原审计风险模型修正为:审计风险:重大错报风险x检查风险,审计风险取决于重大错报风险和检查风险,是两者的综合风险。重大错报风险要求注册会计师站在风险的高度上把握审计过程,以风险为导向进行审计,强化了风险意识,注册会计师对于重大错报风险的评估贯穿于审计的整个过程。改变后的审计风险模型使得注册会计师从更高的层次上把握重大错报风险,要求注册会计师必须了解被审计单位及其环境(包括内部控制),以充分识别和评估财务报表重大错报风险,并针对评估的重大错报风险设计和实施进一步审计程序(包括控制测试和实质性测试),以降低注册会计师的审计风险。在目前经济不确定性增大的环境下,显然新的审计风险模型更能满足风险控制的要求,并且可操作性较强。
(二)第1211号准则 第1211号准则是在借鉴国际审计与鉴证准则第315号基础上出台的新准则,将取代我国原有的《独立审计准则第21号――了解被审计单位情况》、《独立审计准则第9号――内部控制与审计风险》和《独立审计准则第20号――计算机信息系统环境下的审计》,以克服旧准则相互分离、缺乏有机融合的缺陷。根据《中国注册会计师审计准则第1101号――财务报表审计的目标和一般原则》要求,注册会计师在审计过程中应当贯彻风险导向审计的理念,围绕重大错报风险的识别、评估和应对,计划和实施审计工作。其中如何识别和评估重大错报风险,构成了注册会计师应对重大错报风险的前提。注册会计师如何了解被审计单位及其环境,了解哪些具体的内容,了解后如何对重大错报风险进行评估,如何将了解和评估的过程、结果与管理层和治理层进行沟通,在审计工作底稿中应当对哪些内容进行记录,本准则对这些问题做了明确规范,其修订的主要内容有:(1)注册会计师审计的总体要求:了解被审计单位及其环境是必要程序;了解的目的是识别和评估财务报表重大错报风险,设计和实施进一步审计程序;了解的程度应当足够实现了解的目的。与独立审计准则中的规定不同,了解被审计单位及其内外部环境是注册会计师审计过程中必须实施的程序,
也是风险导向审计的核心。(2)风险评估程序的概念及项目组内部讨论的要求。风险评估程序是指为了解被审计单位及其环境而实施的程序。风险评估程序包括:询问被审计单位管理层和内部其他相关人员;分析程序;观察和检查。注册会计师在了解被审计单位及其环境的整个过程中,结合了解的内容和被审计单位业务的特点运用相应的风险评估程序,并利用风险评估程序所获取的信息评估重大错报风险,并可能随着不断获取审计证据而作出相应的变化。如果通过实施进一步审计程序获取的审计证据与初始评估获取的审计证据相矛盾,注册会计师应当修正风险评估结果,并相应修改原计划实施的进一步审计程序,实施风险评估程序之后项目组内部必须进行讨论。注册会计师通过风险评估程序了解被审计单位及其环境后,需要对财务报表重大错报风险进行评估,评估重大错报风险需要运用专业判断,必须由项目组内部讨论来完成,项目组内部讨论可以有效降低审计风险。在原准则中,评估固有风险、控制风险也需要专业判断,但并没有需要项目组共同讨论的规定。一是讨论的目标。项目组通过讨论可以使成员更好地了解在各自分工负责的领域中,由于舞弊或错误导致财务报表重大错报地可能性,并了解各自实施审计程序的结果如何影响审计的其他方面,包括对确定进一步审计程序的性质、时间和范围的影响。二是讨论的内容。项目组应当讨论被审计单位面临的经营风险、财务报表容易发生错报的领域以及发生错报的方式,特别是由于舞弊导致重大错报的可能性。三是参与讨论的人员。注册会计师应当运用职业判断确定项目组内部参与讨论的成员。项目组的关键成员应当参与讨论,如果项目组需要拥有信息技术或其他特殊技能的专家,这些专家也应当参与讨论。项目组的讨论不要求所有成员每次都参与讨论,参与讨论人员的范围受项目组成员的职责、经验和信息需求的影响。四是讨论的时间和方式。项目组应当根据审计的具体情况,在整个审计过程中,持续交换有关财务报表发生重大错报可能性的信息。项目组在讨论时应当强调在整个过程中保持职业怀疑态度,警惕表明舞弊或错误导致的重大错报可能已经发生的信息或其他迹象,并对这些迹象进行追踪。通过讨论,项目组成员可以交流和分享在整个审计过程中获得的信息,包括可能对重大错报风险评估产生影响的信息或有关针对风险实施的审计程序的信息。(3)注册会计师应尽到的相关职责。对注册会计师应当从哪些方面了解被审计单位及其环境作了详细的定义:行业状况、法律环境与监管环境以及其他外部因素;被审计单位的性质;被审计单位对会计政策的选择和运用;被审计单位的目标、战略以及相关经营风险;被审计单位财务业绩的衡量和评价;被审计单位的内部控制。这些内容是新准则的重要内容,值得注意的是对被审计单位的了解不仅局限于被审计单位的内部控制。对以上新准则中有相应的章节进行具体的阐述,使得注册会计师思考的是究竟哪些方面去了解被审计单位,而不像原有准则中是比较模糊的概念,这样做可以有效防止了解的不彻底影响审计工作,低估重大错报风险。(4)明确了注册会计师了解内部控制的定位。注册会计师需要了解和评价的内部控制只是与财务报表审计相关的内部控制,并非被审计单位所有的内部控制。因为注册会计师审计的目标是对财务报表是否不存在重大错报发表审计意见,注册会计师考虑与财务报表编制相关的内部控制,但目的并非对被审计单位内部控制的有效性发表意见。(5)明确了注册会计师评估两个层次的重大错报风险。在对重大错报风险进行识别和评估后,注册会计师应当确定识别的重大错报风险是与特定的各类交易、账户余额、列报的认定相关,还是与财务报表整体广泛相关,进而影响多项认定。某些重大错报风险可能与特定的各类交易、账户余额、列报的认定相关。如被审计单位存在复杂的联营或合资,这一事项表明长期股权投资账户的认定可能存在重大错报风险。又如被审计单位存在重大的关联方交易,该事项表明关联方及关联方交易的披露认定可能存在重大错报风险。某些重大错报风险可能与财务报表整体广泛相关,进而影响多项认定。如在经济不稳定的国家和地区开展业务、资产的流动性出现问题、重要客户流失、融资能力受到限制等,可能导致注册会计师对被审计单位的持续经营能力产生重大疑虑。又如管理层缺乏诚信或承受异常的压力可能引发舞弊风险,这些风险与财务报表整体相关。(6)提出了特别风险的概念,需要特别考虑的重大错报风险即为特别风险,并根据风险的性质、潜在错报的重要程度和发生的可能性判断风险是否属于特别风险。如风险是否属于舞弊风险;交易的复杂程度;风险是否涉及重大的关联方交易等。(7)提出了对仅通过实质性程序无法应对的重大错报风险的处理方法。仅通过实质性程序获取的审计证据无法将认定层次的重大错报风险降至可接受的低水平,注册会计师应当评价被审计单位针对这些风险设计的控制,并确定其执行情况。在被审计单位对日常交易采用高度自动化处理的情况下,审计证据可能仅以电子形式存在,其充分性和适当性通常取决于自动化信息系统相关控制的有效性,注册会计师应当考虑仅通过实施实质性程序不能获取充分、适当审计证据的可能性。如果认为仅通过实施实质性程序不能获取充分、适当的审计证据,注册会计师应当考虑依赖的相关控制的有效性,并对其进行了解、评估和测试。(8)将了解被审计单位及其环境过程中获得的信息记录与工作底稿中。此类信息包括项目组对由于舞弊或错误导致财务报表发生重大错报的可能性进行的讨论,以便得出的重要结论;对被审计单位及其环境各个方面的了解要点、信息来源以及实施的风险评估程序;在财务报表层次和认定层次识别、评估出的重大错报风险;识别出的特别风险和仅通过实质性程序无法应对的重大错报风险,以及对相关控制的评估。
(三)第1231号准则 第1231号准则是在借鉴国际审计与鉴证准则第330号的基础上出台的一个全新的准则,将取代原有的《第21号――了解被审计单位情况》、《第9号――内部控制与审计风险》和《第20号――计算机信息系统环境下的审计》。根据《中国注册会计师审计准则第1101号――财务报表审计的目标和一般原则》的要求,注册会计师在审计过程中应当贯彻风险导向审计的理念,围绕重大错报风险的识别、评估和应对,计划和实施审计工作。其中《第1211号――了解被审计单位及其环境并评估重大错报风险》规范了注册会计师通过实施风险评估程序,识别和评估财务报表层次以及各类交易、账户余额、列报认定层次的重大错报风险,注册会计师针对已评估的财务报表层次的重大错报风险如何确定总体应对措施,针对已评估的认定层次的重大错报风险如何设计和实施进一步审计程序,进一步审计程序的性质、时间、范围如何确定和实施,如何评价实施审计程序收集的审计证据的充分性和适当性,在审计工作底稿中将对哪些审计工作进行记录等,对这些问题的明确规范是第1231号准则的核心内容。其修订的主要内容有:总体要求、针对重大错报风险的总体反应、审计程序的不可预见性、总体方案和进一步审计程序、控制测试的相关要求、实质性程序及相关要求、审计的相关要求、审计工作记录。(1)明确提出了对注册会计师审计的两个总体要求:审计程序的总体要求,注册会计师应
当对评估的财务报表层次重大错报风险确定总体应对措施,并针对评估的认定层次重大错报风险设计和实施进一步审计程序;职业判断的总体要求,注册会计师在确定总体应对措施以及设计和实施进一步审计程序的性质、时间和范围时应当运用职业判断。(2)首次提出了注册会计师应当针对评估的财务报表层次重大错报风险确定下列总体应对措施:向项目组强调在收集和评价审计证据过程中保持职业怀疑态度的必要性;分派更有经验或具有特殊技能的审计人员,或利用专家的工作;提供更多的督导;在选择进一步审计程序时,应当注意使某些程序不被管理层预见或事先了解;对拟实施审计程序的性质、时间和范围作出总体修改。(3)强调审计程序的不可预见性要求。注册会计师针对评估的财务报表层次重大错报风险确定的总体应对措施中强调增强审计程序的不可预见性,因此,注册会计师在设计拟实施审计程序的性质、时间和范围时,为了避免既定思维对审计方案的限制,避免对审计效果的人为干涉,从而使得针对重大错报风险的进一步审计程序更加有效,注册会计师要考虑使某些程序不被审计单位管理层预见或事先了解。(4)首次提出了两种总体方案和进一步审计程序的概念。两种总体方案分别为实质性方案和综合性方案,实质性方案是指注册会计师实施的进一步审计程序以实质性程序为主;综合性方案是指注册会计师在实施进一步审计程序时,将控制测试与实质性程序结合使用。而所谓的进一步审计程序是相对风险评估程序而言的,是注册会计师针对评估的各类交易、账户余额、列报认定层次重大错报风险实施的审计程序,包括控制测试和实质性程序。(5)重新界定了注册会计师实施控制测试的两种情形,当存在下列情形之一时,注册会计师应当实施控制测试:在评估认定层次重大错报风险时,预期控制的运行时有效的;仅实施实质性程序不足以提供认定层次充分、适当的审计证据。(6)强调了实施控制测试获取审计证据的重要性。即认为仅实施实质性程序获取的审计证据无法将认定层次重大错报风险降至可接受水平,注册会计师应当实施相关的控制测试,以获取控制运行有效性的审计证据。(7)增加了“重新执行”的控制测试取证方法。根据第1301号审计证据准则,注册会计师获取审计证据的具体程序中将六种具体的取证方法修改为八种,即检查记录或文件;检查有形资产;观察;询问;函证;重新计算;重新执行;分析程序。其中增加了“重新执行”控制测试的取证方法。(8)严格限制了注册会计师无限期或过长时间内不实施测试的做法。如果拟信赖的控制自上次测试后未发生变化,且不属于旨在减轻特别风险的控制,注册会计师应当运用职业判断确定是否在本期审计中测试其运行有效性,以及本次测试与上次测试的时间间隔,但两次测试的时间间隔不得超过两年。(9)首次明确区分“控制运行的有效性”与“控制是否得到执行”。注册会计师在了解被审计单位及其环境时需要实施风险评估程序。注册会计师在确定控制是否得到执行而实施的某些风险评估程序可能提供有关控制运行有效性的审计证据。注册会计师可以考虑在评价控制设计和获取其得到执行的审计证据的同时测试控制运行有效性,以提高审计效率。两者的区别如(表1)所示。(10)首次明确期中进行控制测试的考虑。如果注册会计师在期中实施控制测试程序,即使注册会计师已获取有关控制在期中运行有效性的审计证据,仍然需要考虑如何能够将控制在期中运行有效性的审计证据合理延伸至期末,以确保针对期中至期末这段剩余期间获取充分、适当的审计证据。如果已获取有关控制在期中运行有效性的审计证据,并拟利用该证据,注册会计师应当实施下列审计程序:首先,获取这些控制在剩余期间变化情况的审计证据。针对期中已获取过审计证据的情况,如果这些控制在剩余期间没有发生变化,注册会计师可能决定信赖期中获取的审计证据;如果这些控制在剩余期间发生了变化,注册会计师需要了解并测试控制的变化对期中审计证据的影响。其次,确定针对剩余期间还需获取的补充审计证据。针对期中已获取过审计证据的情况,如果这些控制在剩余期间发生了变化,注册会计师应当考虑下列因素:评估的认定层次重大错报风险的重大程度。评估的重大错报风险对财务报表的影响越大,注册会计师需要获取的剩余期间的补充证据越多;在期中测试的特定控制。如对自动化运行的控制,注册会计师更可能测试信息系统一般控制的运行有效性,以获取控制在剩余期间运行有效姓的审计证据;在期中对有关控制运行有效性获取的审计证据的程度。如果注册会计师在期中对有关控制运行有效性获取的审计证据比较充分,可以考虑适当减少需要获取的剩余期间的补充证据;剩余期间的长度。剩余期间越长,注册会计师需要获取的剩余期间的补充证据越多;在信赖控制的基础上拟减少进一步实质性程序的范围。注册会计师对相关控制的信赖程度越高,通常在信赖控制的基础上拟减少进一步实质性程序的范围就越大。在这种情况下,注册会计师需要获取的剩余期间的补充证据越多;控制环境。在注册会计师总体上拟信赖控制的前提下,控制环境越薄弱(或把握程度越低),注册会计师需要获取的剩余期间的补充证据越多。(11)明确了实质性程序概念和内容。实质性程序是指注册会计师针对评估的重大错报风险实施的直接用以发现认定层次重大错报的审计程序。包括对各类交易、账户余额、列报的细节测试以及实质性分析程序。(12)明确了对于特别风险的专门应对程序。如果认为评估的认定层次重大错报风险是特别风险,注册会计师应当专门针对该风险实施实质性程序;如果针对特别风险仅实施实质性程序,注册会计师应当使用细节测试,或将细节测试和实质性分析程序结合使用,以获取充分、适当的审计证据。(13)首次提出了是否在期中实施实质性程序。注册会计师如果在期中实施了实质性程序,仍然需要消耗进一步的审计资源使期中审计证据能够合理延伸至期末,注册会计师应当考虑是否在期中实施实质性程序。(14)指明了财务报表审计是一个累计和不断修正的过程。随着计划的审计程序的实施,如果获取的信息与风险评估时依据的信息有重大差异,注册会计师应当考虑修正风险评估结果,并据以修改原计划的其他审计程序的性质、时间和范围。(15)明确了注册会计师应当针对评估的风险设计细节测试。如在针对存在或发生认定设计细节测试时,注册会计师应当选择包含在财务报表金额中的项目,并获取相关审计证据;针对完整性认定设计细节测试时,注册会计师应当选择有证据表明应包含在财务报表金额中的项目,并调查这些项目是否确实包括在内。(16)明确了审计工作记录要求。注册会计师应当针对评估的重大错报风险实施的程序进行充分的审计工作记录。包括记录:对评估的财务报表层次重大错报风险采取的总体应对措施;实施进一步审计程序的性质、时间和范围;实施进一步审计程序与评估的认定层次重大错报风险的联系;实施进一步审计程序的结果。
(四)第1301号准则 第1301号准则是在借鉴国际审计与鉴证准则第500号的基础上,对我国原有的《独立审计准则第5号――审计证据》进行修订而形成的。此次重大修订的内容有:(1)拓展了审计证据的内涵。原审计证据准则将审计证据定义为“注册会计师在执行审计业务过程中,为形成审计意见所获取的证据”。原审计证据准则对审计证据的内涵界定比较窄,注册会计师收集
的审计证据更多体现的是与财务报表会计记录相关的信息。修订后审计证据准则将审计证据定义为“注册会计师为了得到审计结论、形成审计意见而使用的所有信息”。新审计证据准则对审计证据的内涵要宽泛得多,不仅包括与财务报表会计记录相关的信息,还包括其他信息。如(图1)所示。
其中,第一类审计证据是“财务报表依据的会计记录中含有的信息”。会计记录中含有的信息是最基本信息。构成了财务报表最主要的内容,一般包括对初始分列的记录和支持性记录,如支票、电子资金转账记录、发票、合同、总账、明细账、记账凭证和未在记账凭证中反映的对财务报表的其他调整,以及支持成本分配、计算、调节和披露的手工计算表和电子数据表。第二类审计证据是“其他信息”。其他信息是用来印证会计记录中含有的信息是否真实、完整,指导注册会计师如何识别、评估财务报表重大错报风险,一般包括:注册会计师从被审计单位内部或外部获取的会计记录以外的信息,如被审计单位会议记录、内部控制手册、函证函的回函、分析师的报告、与竞争者的比较数据等;通过询问、观察和检查等审计程序获取的信息,如通过检查存货获取存货存在性的证据等;自身编制或获取的可以通过合理推断得出结论的信息,如注册会计师编制的各种计算表、分析表等。(2)引进了“认定”的概念。原审计证据准则未将“认定”写进准则,整个审计准则体系对“认定”概念重视不够,新审计证据准则引入“认定”概念,并要求注册会计师详细运用认定指导具体审计目标,根据具体审计目标来设计和确定进一步审计程序。(3)将获取审计证据的程序区分为总体程序和具体程序。原审计证据准则只列了六种具体的取证方法。修订后的审计证据准则将注册会计师获取审计证据的程序区分为总体程序和具体程序,总体程序增加了风险评估程序,即包括风险评估程序、控制测试和实质性程序;具体程序中将六种具体的取证方法修改为八种,具体包括的内容前文已述及。其中,将“监盘”程序进行细分,因为“监盘”是“检查记录或文件”、“检查有形资产”、“观察”等具体审计程序的复合程序;增加“重新执行”具体程序;将原来的“计算”和“分析性复核”分别修改为“重新计算”和“分析程序”。(4)新增风险评估程序。根据风险导向审计准则体系的要求,注册会计师应当通过了解被审计单位及其环境识别重大错报风险,并针对评估的重大错报风险设计和实施进一步的审计程序,因此,在修订后的审计证据准则中增加“风险评估程序”,以此为手段通过了解情况作为评估财务报表层次和认定层次重大错报风险的基础。但风险评估程序并不能识别出所有的重大错报风险,虽然它可作为评估财务报表层次和认定层次重大错报风险的基础,但并不能为发表审计意见提供充分、适当的审计证据。为了获取充分、适当的审计证据,注册会计师还需要实施进一步程序,包括实施控制测试(必要时或决定测试时)和实质性程序。(5)新增“重新执行”的具体审计程序。重新执行是指注册会计师以人工方式或使用计算机辅助审计技术,重新独立执行作为被审计单位内部控制组成部分的程序或控制。如注册会计师利用被审计单位的银行存款日记账和银行对账单,重新编制银行存款余额调节表,并与被审计单位编制的银行存款余额调节表进行比较。
三、审计风险准则对注册会计师的影响
一、引言
从审计的角度,风险评估是现代风险导向审计的核心理念。无论是在历史财务报表审计还是在网络审计中,现代风险导向审计均要求审计师在执行审计工作过程中应以风险评估为中心,通过对被审计单位及其环境的了解,评估确定被审计单位的高风险领域,从而确定审计的范围和重点,进一步决定如何收集、收集多少和收集何种性质的证据,以便更有效地控制和提高审计效果及审计效率。从企业管理的角度,企业风险管理将风险评估作为其基本的要素之一进行规范,要求企业在识别和评估风险可能对企业产生影响的基础上,采取积极的措施来控制风险,降低风险为企业带来损失的概率或缩小损失程度来达到控制目的。信息安全风险评估作为企业风险管理的一部分,是企业信息安全管理的基础和关键环节。尽管如此,风险评估在网络审计、历史财务报表审计和企业信息安全管理等工作中的运用却不尽相同,本文在分析计算机信息系统环境下所有特定风险和网络审计风险基本要素的基础上,从风险评估中应关注的风险范围、风险评估的目的、内容、程序及实施流程等内容展开,将网络审计与历史财务报表审计和信息安全管理的风险评估进行对比分析,以期深化对网络审计风险评估的理解。
二、网络审计与历史财务报表审计的风险评估比较
(一)审计风险要素根据美国注册会计师协会的第47号审计标准说明中的审计风险模型,审计风险又由固有风险、控制风险和检查风险构成。其中,固有风险是指不考虑被审计单位相关的内部控制政策或程序的情况下,其财务报表某项认定产生重大错报的可能性;控制风险是被审计单位内部控制未能及时防止或发现财务报表上某项错报或漏报的可能性;检查风险是审计人员通过预定的审计程序未能发现被审计单位财务报表上存在重大错报或漏报的可能性。在网络审计中,审计风险仍然包括固有风险、控制风险和检查风险要素,但其具体内容直接受计算机网络环境下信息系统特定风险的影响。计算机及网络技术的应用能提高企业经营活动的效率,为企业的经营管理带来很大的优越性,但同时也为企业带来了一些新的风险。这些新的风险主要表现为:(1)数据与职责过于集中化。由于手工系统中的职责分工、互相牵制等控制措施都被归并到计算机系统自动处理过程中去了,这些集中的数据库技术无疑会增加数据纵和破坏的风险。(2)系统程序易于被非法调用甚至遭到篡改。由于计算机系统有较高的技术要求,非专业人员难以察觉计算机舞弊的线索,这加大了数据被非法使用的可能性。如经过批准的系统使用人员滥用系统,或者说,企业对接近信息缺乏控制使得重要的数据或程序被盗窃等。(3)错误程序的风险,例如程序中的差错反复和差错级联、数据处理不合逻辑、甚至是程序本身存在错误等。(4)信息系统缺乏应用的审计接口,使得审计人员在审计工作中难以有效地采集或获取企业信息系统中的数据,从而无法正常开展审计工作。(5)网络系统在技术和商业上的风险,如计算机信息系统所依赖的硬件设备可能出现一些不可预料的故障,或者信息系统所依赖的物理工作环境可能对整个信息系统的运行效能带来影响等。相对应地,网络审计的固有风险主要是指系统环境风险,即财务电算化系统本身所处的环境引起的风险,它可分为硬件环境风险和软件环境风险。控制风险包括系统控制风险和财务数据风险,其中,系统控制风险是指会计电算化系统的内部控制不严密造成的风险,财务数据风险是指电磁性财务数据被篡改的可能性。检查风险包括审计软件风险和人员操作风险,审计软件风险是指计算机审计软件本身缺陷原因造成的风险,人员操作风险是指计算机审计系统的操作人员、技术人员和开发人员等在工作中由于主观或客观原因造成的风险。
(二)风险评估目的无论在网络审计还是历史财务报表审计中,风险评估只是审计的一项重要程序,贯穿于审计的整个过程。与其他审计程序紧密联系而不是一项独立的活动。尽管如此,两者所关注的风险范围则有所不同。历史财务报表审计的风险评估要求审计人员主要关注的是被审计单位的重大错报风险――财务报表在审计前存在重大错报的可能性。由于网络审计的审计对象包括被审计单位基于网络的财务信息和网络财务信息系统两类,因此审计人员关注的风险应是被审计单位经营过程中与该两类审计对象相关的风险。(1)对于与企业网络财务信息系统相关的风险,审计人员应该从信息系统生命周期的各个阶段和信息系统的各组成部分及运行环境两方面出发进行评估。信息系统生命周期是指该信息系统从产生到完成乃至进入维护的各个阶段及其活动,无论是在早期的线性开发模型中还是在更为复杂的螺旋式等模型中,一个信息系统的生命周期大都包括规划和启动、设计开发或采购、集成实现、运行和维护、废弃等五个基本阶段。由于信息系统在不同阶段的活动内容不同,企业在不同阶段的控制目标和控制行为也会有所不同,因此,审计人员的风险评估应该贯穿于信息系统的整个生命周期。信息系统的组成部分是指构成该信息系统的硬件、软件及数据等,信息系统的运行环境是指信息系统正常运行使用所依托的物理和管理平台。具体可将其分为五个层面:物理层,即信息系统运行所必备的机房、设备、办公场所、系统线路及相关环境;网络层,即信息系统所需的网络架构的安全情况、网络设备的漏洞情况、网络设备配置的缺陷情况等;系统层,即信息系统本身的漏洞情况、配置的缺陷情况;应用层,即信息系统所使用的应用软件的漏洞情况、安全功能缺陷情况;管理层,即被审计单位在该信息系统的运行使用过程中的组织、策略、技术管理等方面的情况。(2)对于与企业基于网络的财务信息相关的风险,审计人员应着重关注财务信息的重大错报风险和信息的安全风险。重大错报风险主要指被审计单位基于网络的相关财务信息存在重大错报的可能性,它是针对企业借助于网络信息系统或网络技术对有关账户、交易或事项进行确认、计量或披露而言。网络审计中关注的重大错报风险与传统审CtT的内涵基本上是一致的,审计人员在审计时应当考虑被审计单位的行业状况、经营性质、法律及监管环境、会计政策和会计方法的选用、财务业绩的衡量和评价等方面的情况对财务信息错报可能的影响。信息安全风险涉及信息的保密性、完整性、可用性及敏感性等方面可能存在的风险,主要针对企业利用信息系统或一定的网络平台来存储、传输、披露相关财务信息而言。在审计过程中,审eta员应当主要关注相关财务信息被盗用、非法攻击或篡改及非法使用的可能性。当然,这两类风险并非完全分离的,评估时审计人员应将两者结合起来考虑。
(三)风险评估内容 广泛意义的风险评估是指考虑潜在事件对目标实现的影响程度。由于网络审计与历史财务报表审计风险评估的目的并不完全相同,因此两者在风险评估的内容上也是存在区别的。总的来说,网络审计的风险评估内容比历史财务报表审计的风险评估内容更广泛和深入。根据《中国注册会计师审计准则第1211号――了解被审计单位及其环境并评估重大错报风
险》,在历史财务报表审计中,审计人员的风险评估应以了解被审计单位及其环境为内容。为识别和评价重大错报风险,审计人员了解的具体内容包括被审计单位所在行业状况、法律环境与监管环境以及其他外部因素、被审计单位的性质、被审计单位对会计政策的选择和运用、被审计单位的目标、战略以及相关经营风险、被审计单位财务业绩的衡量和评价及被审it@位的内部控制等。在网络审计中。为了识别和评估上文所述的两类风险,审计人员除了从以上方面了解被审计单位及其环境外,还应该关注其他相关的潜在事件及其影响,尤其是企业的财务信息系统及基于网络的财务信息可能面l临的威胁或存在的脆弱点。其中,威胁是指对信息系统及财务信息构成潜在破坏的可能性因素或者事件,它可能是一些如工作人员缺乏责任心、专业技能不足或恶意篡改等人为因素,也可能是一些如灰尘、火灾或通讯线路故障等环境因素。脆弱点是指信息系统及基于网络的财务信息所存在的薄弱环节,它是系统或网络财务信息本身固有的,包括物理环境、组织、过程、人员、管理、配置、硬软件及信息等各方面的弱点。一般来说,脆弱点本身不会带来损失或信息错报,威胁却总是要利用网络、系统的弱点来成功地引起破坏。因此,我们认为网络审计申风险评估的内容应包括以下几方面:(1)识别被审计单位财务信息系统及其基于网络的财务信息可能面临的威胁,并分析威胁发生的可能性;(2)识别被审计单位财务信息系统及其基于网络的财务信息可能存在的脆弱点,并分析脆弱点的严重程度;(3)根据威胁发生的可能性和脆弱点发生的严重程度,判断风险发生的可能性;(4)根据风险发生的可能性,评价风险对财务信息系统和基于网络的财务信息可能带来的影响;(5)若被审计单位存在风险防范或化解措施,审计人员在进行风险评估时还应该考虑相应措施的可行性及有效性。
(四)风险评估程序《中国注册会计师审计准则第1211-----了解被审计单位及其环境并评估重大错报风险》中要求,审计人员应当实施询问、分析程序、观察和检查等程序,以获取被审计单位的信息,进而评估被审计单位的重大错报风险。这些程序同样适用于网络审计中的风险评估。但在具体运用时网络审计中更加注重了解和分析被审计单位与信息系统及网络技术使用相关的事项。在实施询问程序时,审计人员的询问对象围绕信息系统和基于网络的财务信息可大致分为管理人员、系统开发和维护人员(或信息编制人员)、系统使用人员(或信息的内部使用人员)、系统或网络技术顾问及其他外部相关人员(如律师)等五类,分别从不同角度了解信息系统和基于网络的财务信息可能存在的威胁和脆弱点。在实施分析程序时,除了研究财务数据及与财务信息相关的非财务数据可能的异常趋势外,审计人员应格外关注对信息系统及网络的特性情况,被审计单位对信息系统的使用情况等内容的分析比较。实施观察和检查时,除执行常规程序外,审计人员应注意观察信息系统的操作使用和检查信息系统文档。除此之外,针对特定系统或网络技术风险的评估,审计人员还需要实施一些特定的程序。技术方面如IOS取样分析、渗透测试、工具扫描、安全策略分析等;管理方面如风险问卷调查、风险顾问访谈、风险策略分析、文档审核等。其中,IDS取样分析是指通过在核心网络采样监听通信数据方式,获取网络中存在的攻击和蠕虫行为,并对通信流量进行分析;渗透测试是指在获取用户授权后,通过真实模拟黑客使用的工具、方法来进行实际漏洞发现和利用的安全测试方法;工具扫描是指通过评估工具软件或专用安全评估系统自动获取评估对象的脆弱性信息,包括主机扫描、网络扫描、数据库扫描等,用于分析系统、应用、网络设备存在的常见漏洞。风险问卷调查与风险顾问访谈要求审计人员分别采用问卷和面谈的方式向有关主体了解被审计单位的风险状况,使用时关键是要明确问卷或访谈的对象情况风险策略分析要求审计人员对企业所设定的风险管理和应对策略的有效性进行分析,进而评价企业相关风险发生的概率以及可能带来的损失;文档审核是一种事前评价方法,属于前置软件测试的一部分,主要包括需求文档测试和设计文档测试。这些特定程序主要是针对被审计单位信息系统和基于网络的财务信息在网络安全风险方面进行评价,审计人员在具体使用时应结合被审计单位的业务性质选择合适的程序。
三、网络审计与信息安全管理的风险评估比较
(一)风险评估的目的信息安全管理中的风险评估(即信息安全风险评估)是指根据国家有关信息安全技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程。作为信息安全保障体系建立过程中的重要的评价方法和决策机制,信息安全风险评估是企业管理的组成部分,它具有规划、组织、协调和控制等管理的基本特征,其主要目的在于从企业内部风险管理的角度,在系统分析和评估风险发生的可能性及带来的损失的基础上,提出有针对性的防护和整改措施,将企业面临或遭遇的风险控制在可接受水平,最大限度地保证组织的信息安全。而网络审计是由独立审计人员向企业提供的一项鉴证服务,其风险评估的目的在于识别和评价潜在事件对被审计单位基于网络的财务信息的合法性、公允性以及网络财务信息系统的合规性、可靠性和有效性的影响程度,从而指导进一步审计程序。因此,两者风险评估的目的是不一样。从评估所应关注的风险范围来看,两者具有一致性,即都需要考虑与信息系统和信息相关的风险。但是,具体的关注边界则是不一样的。信息安全风险评估要评估企业资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响,它要求评估人员关注与企业整个信息系统和所有的信息相关的风险,包括实体安全风险、数据安全风险、软件安全风险、运行安全风险等。网络审计中,审计人员是对被审计单位的网络财务信息系统和基于网络的财务信息发表意见,因此,风险评估时审计人员主要关注的是与企业财务信息系统和基于网络的财务信息相关的风险,而不是与企业的整个信息系统和所有的信息相关的风险。根据评估实施者的不同,信息安全风险评估形式包括自评估和他评估。自评估是由组织自身对所拥有的信息系统进行的风险评估活动;他评估通常是由组织的上级主管机关或业务主管机关发起的,旨在依据已经颁布的法规或标准进行的具有强制意味的检查。自评估和他评估都可以通过风险评估服务机构进行咨询、服务、培训以及风险评估有关工具的提供。因此。对审计人员而言,受托执行的信息安全风险评估应当归属于管理咨询类,即属于非鉴证业务,与网络审计严格区分开来。
(二)风险评估的内容在我国国家质量监督检验检疫总局的《信息安全风险评估指南》(征求意见稿)国家标准中,它将信息安全风险评估的内容分为两部分:基本要素和相关属性,提出信息安全风险评估应围绕其基本要素展开,并充分考虑与这些基本要素相关的其他属性。其中,风险评估的基本要素包括资产、脆弱性、威胁、风险和安全措施;相关属性包括业务战略、资产价值、安全需求、安全事件、残余风险等。在此基础上的风险计算过程是:(1)对信息资产进行识别,并对资产赋值;(2)对威胁进行分析,并对威
一、财务报表保险制度的主要内容
为了从制度上解决注册会计师独立性受损的问题,美国纽约大学的罗恩教授于2002年率先提出了财务报表保险制度。在该制度下,企业不直接聘请会计师事务所对其财务报表进行审计,而是向保险公司投保财务报表保险,由保险公司根据风险评估结果决定承保的金额和保险费率,聘请会计师事务所并对其进行付费。对因财务报表的不实陈述或漏报给报表使用者造成的损失,由保险公司负责对其进行赔偿。
二、财务报表制度对独立性的影响
在现行财务报表审计制度下,财务报表审计的工作是建立在受托经济责任关系的基础上的。所有者,管理层和会计师事务所三者之间应该形成一种相互制约的三角契约关系,保证注册会计师的独立性是避免审计失败的核心问题。然而在市场经济下,上市公司股权分散,执行审计委托权的往往是公司的董事会,而董事会与管理层高度重叠,这样公司管理层就成了实际的审计委托人。最后形成了管理层一方面充当委托人,向审计师提出委托业务、支付审计费用,另一方面却又要接受注册会计师审计的尴尬局面,这就削弱了审计的独立性。
财务报表制度的最终目的就是要切断管理层和注册会计师的直接联系,从根源上保证审计的独立性。财务报表制度在传统的审计三方关系中引入保险公司作为第四方,首先由上市公司为财务报表的真实性向保险公司投保,再由保险公司聘请会计师事务所对其财务报表进行审计,最后如果保险事故发生,由保险公司对利害关系人进行赔偿。
显然,在这种制度下,消除了管理层和会计师事务所的直接利益关系,统一由保险公司选择会计师事务所。同时,保险公司还能够替代分散的股东行使监督的职能。理论上,保险公司由于直接面临着审计失败风险,所以会以审计质量的高低成为其选择会计师事务所的首要因素。保险公司根据业务量和风险确定审计收费,最终避免目前审计市场竞相压价、审计收费偏低的状况。在财务报表保险制度下认为,保险公司无论与任何一方合谋,一旦败露。保险公司将支付经济赔偿。同时产生信誉危机,使社会公众都不再信任该保险公司,迫使其原有的客户转而寻找新的保险公司来投保,保险公司会因此而失去大量的客户。还有可能会波及到其他传统业务,最终导致破产。因而认为保险不会因为一项业务而有任何作弊的行为,也就是说可以迫使保险公司在这四方关系中也保持独立性。
三、运作程序中的隐患
虽然理论上财务报表保险制度有很多优点,但仔细分析,这种制度本身仍然存在着很多缺陷,在我国不具备可操作性。下面具体论述财务报表制度下的运作程序,并分步骤讨论其存在的风险隐患。
在财务报表保险制度下,运作程序的第一步为保险公司对预投保的公司进行风险评估。在这一程序中,风险评估人的选择直接关系到风险评估结果的公正性、真实性。关于风险评估人选现有三种观点。第一,由对财务报表进行审计的注册会计师进行风险评估。显然这存在着严重的弊端,注册会计师直接受雇于保险公司,同时保险公司取得了对会计师事务所支付审计费用的垄断,这种局面使会计师事务所直接服务于保险公司,由于利益驱使很容易造成会计师事务所要听命于保险公司的后果。第二,由保险公司设立专业部门进行风险评估。首先保险公司未必具备数量众多,责任心强,经验丰富的风险评估人员。其次保险公司直接对投保人进行风险评估,评估结果直接影响保费的高低,保险公司和投保公司又产生了经济依赖关系,保险公司难免为了自身利益会和投保公司进行合谋,从而削弱风险评估的公正性。第三,由独立保险中介人进行风险评估。虽说作为独立第三人,但也存在着评估费由保险公司支付,同时又为保险公司服务的矛盾。同时,保险制度下的四方关系,很容易就演变成了“五方关系”,使审计的中介费用进一步加大。使审计业务中的利益关系更加复杂。
第二步为保险公司根据风险评估结果向投保公司提交投保建议书。内容应包括保额与保险费率的对照表。针对不同风险的公司,不同等级保险金额对选择不同的保险费率。投保公司可以在最高限额下选择任何一档的保险金额及其相应的保险费率。在这一环节如果整个保险行业不能够达成统一的标准,很容易造成行业内部为了争夺保单而过分降低保险费率的情况。
第三步为上市公司管理层向股东大会呈报自己的保险计划。理论上应由股东大会通过对计划书进行讨论分析,最终以投票的方式决定是否投保及投保的保险金额。股东大会的决定应向社会公众公布。首先,在这种形式下,投保计划书是由管理层来制定,并报股东大会批准。和传统制度类似,由于我国特殊的股权结构,决定了事实上保险公司仍然是由管理层来选择,而保费实际上也是由管理层来支付。管理层甚至可以间接影响到会计师事务所的选择。其次,上文中提到财务报表保险制度的一个观点就是认为可以迫使保险公司不与任何一方合谋,但通过以上关于管理层的分析,可以得出结论最终还是由上市公司的管理层来决定到底由哪家保险公司作为自己的投保公司,还是存在典型的买方市场链条关系,这就决定了保险公司的独立性仍然很难得到保证。
第四步为保险公司聘请注册会计师对投保公司进行审计。如果股东大会同意向保险公司投保为其指定的财务报表保险,则由保险公司聘请会计师事务所。理论上,对会计师事务所的选聘应采用公开招投标的方式,根据参与投标的会计师事务所的审计质量和投标额,确定信誉好的会计师事务所为中标人,并对外公布中标的数额和中标的会计师事务所名称。上文中提到财务报表保险制度的还有一个目标是能够避免目前审计市场竞相压价、审计收费偏低的状况。但是在制度操作的过程中,保险公司在选择会计师事务所的过程中也一定会考虑审计费用的问题,会计师事务所由直接向上市公司投标转变为向保险公司投标,低价竞争的情况还是无法从根本上得到遏制。而且和传统制度相比,会计师事务所确实不直接与管理层有利益关系了,但同时又与保险公司具备了更大的利益关系。因为保险公司同时为多家上市公司承保,相当于如果会计师事务所与一家具备财务报表保险承保资质的保险公司建立了合作关系,就意味着可以承接多家公司的审计业务。显然此时如果会计师事务所与保险公司一旦合谋作弊,将会波及多家公司的审计质量,后果更加严重。
第五步为根据注册会计师的审计意见决定是否承保。由中标的会计师事务所委派审计人员对被审计单位的财务报表进行审计并发表意见。如果投保公司的财务报表获得的是标准无保留意见的审计报告,则保险公司同意承保并向上市公司签发保单;如果注册会计师出具的是非标准无保留意见,则由保险公司和投保公司重新商议保单条款,或者直接拒绝承保。
第六步为投保公司向社会披露保险合同的主要内容。在财务报表保险中,保险人是保险公司,上市公司既是投保人又是被保险人,报表使用者为保险受益人。要向社会披露的内容包括保险责任和责任免除、保险费及其支付办法、保险金(下转第230页)(上接第228页)额赔偿或者支付办法、保险期间和保险责任的开始、违约责任等。这是保险合同的重要组成部分,它涉及保险诉讼的重要事项。传统审计模式中,是以审计人员的法律责任为基础。在财务报表保险模式下,是以保险责任为基础。
第七步,如果保险事故发生,保险公司根据保险合同的约定对报表使用者进行赔偿。在现实中,一旦审计失败,投资者遭受损失,投资者能够得到保险公司的全部赔偿吗?这是审计制度中要解决的一个核心问题。如果是由于上市公司会计信息虚假或者上市公司与会计师事务所合谋舞弊,那么赔偿责任应该由注册会计师、上市公司管理层、还是保险公司来承担呢?保险公司又会不会利用合同中的各种“免责条款”来逃避责任呢?现实的情况是按照投保程序,保险公司的保费收入以及出险的理赔金额均是早已事先确定的。而真正出险时,审计失败给财务报表使用者所造成的损失却是不能估量的。所以加入一个保险公司作为第四方,除了能理赔一部分事先约定好的保险金额外,还为管理层和会计师事务所找来了一个可以逃避责任的理由。
从整个审计委托的角度来讲,我们还可以得出一个结论,保险公司的介入,必然会加大各方的交易的成本。会计师事务所为了维持客户关系,就必然会进一步下调审计成本。显然财务报表保险制度要比传统的审计模式更为复杂。复杂的各方关系就意味着各种成本的发生。而其实施所带来的收益未必能弥补它所带来的交易成本的增加。
四、结论
通过以上分析,笔者认为虽然财务报表保险制度具备一定的优点,但是并不能从根本上提高审计独立性,保证审计质量。同时财务报表保险制度本身又存在诸多弊端,在我国不具备可操作性。当下,建立健全我国资本市场运作机制,完善公司法人治理结构,提高审计队伍的职业道德素质才是全面提高审计质量的根本任务。
参考文献:
[1] 陆建桥,后安然时代的会计与审计[J].会计研究,2002.
[2]青松,审计委托模式及其改进[J].会计之友,2O03.
[3]易琮,解决审计独立性矛盾的新设想--财务报表保险制度[J].中国注册会计师,2004.4.
[4]胡晌辉,财务报表保险制度新探[J].财经界,2009.2.
我国学者对于内部控制审计和财务报表审计的研究也取得了一系列成果。程思敏(2008)在研究美国财务报告内部控制审计准则之后,概括了美国公众公司会计监督委员会在AS2中提出的综合审计模式,该模式将财务报表审计、财务报告内部控制审计作为两个相互联系、相互支撑的审计体系,通过独立、并行的审计过程来实现两种审计目标,审计人员可以借助财务报表审计来发现公司内部控制存在的问题,也可以通过财务报告内部控制审计来帮助审计人员制定审计计划和实施审计程序。陈汉文(2010)认为AS2所提出的综合审计的关注点是财务报告内部控制审计以及它与财务报表审计的整合问题,两者密切联系同时又各有重点,一个针对财务报告内部控制,另一个针对公司提供的财务报表,审计人员在财务报告内部审计过程中要评价管理层有关内部控制有效性评估过程、对内部控制设计与实施的有效性进行评价并得出内部控制是否有效的审计意见。裘宗舜、周洁 (2011)在对比财务报告内部控制审计与财务报表审计之后得出结论,财务报告内部控制审计与财务报表审计的不同在于审计内容与范围、审计评价的准确程度、职业判断能力要求等,但两者的目标一致、程序关联、方法类似且相互支持。谢晓燕、张心灵(2012)在比较分析财务报告内部控制审计与财务报表审计基础上指出内部控制审计与财务报表审计在审计目标、审计程序、审计方法、审计证据等方面存在着密切联系,正确、合理的利用两者之间的关联性,推行内部控制审计与财务报表审计的整合,有利于节约审计资源和成本,提升审计效率和审计质量,提出我国内部控制审计准则应制定审计业务评价标准,以及配套的审计业务指引和业务指南,促进内部控制审计和财务报表审计的整合。张龙平、陈作习(2012)对我国推行内部控制审计的必要性、可行性进行了分析,认为内部控制审计与财务报表审计的整合有利于提升我国审计工作效率、发挥审计协同效益,进而提升我国审计水平和财务信息质量。
(二)内部控制审计与财务报表审计的关系 财务报表是企业与外部沟通的语言,是对企业财务状况、经营成果、现金流量状况的会计形式的表述。财务报表审计则是受投资人委托,由第三方实行的旨在评价财务报表相关表述真实性、可靠性的业务活动。财务报告内部控制审计是为了保证内部控制体系发挥应有的作用而进行的一种外部评价机制和程序。内部控制审计与财务报表审计的关系表现为:如果审计人员对企业内部控制报告发表无保留意见表明企业财务报表存在重大错报的可能性就会降低;如果审计人员对企业内部控制报告发表非无保留意见时,企业财务报表存在错报的可能性就增加。如果审计人员对企业财务报表出具无保留审计意见,企业财务报告内部控制存在两种可能,一是企业内部控制设计良好并运行有效,在防止和纠正财务报表重大错报方面发挥了积极作用。二是内部控制存在漏洞但审计人员在财务报表审计过程中及时发现问题并予以纠正,此时,审计人员对企业内部控制将会出具非无保留意见。但如果审计人员对企业财务报表出具非无保留意见,那么企业内部控制报告肯定存在重大缺陷,内部控制审计报告必然是非无保留意见的。
二、内部控制审计与财务报表审计整合策略
(一)整合审计的必要性 内部控制审计与财务报表审计同属于基于责任方认定的合理保证鉴证业务,这种业务性质上的同质性使得两者具备融合的基础。财务报表审计是注册会计师按照审计准则的规定,通过特定的审计程序和方式对公司财务报表提供信息的公允性、合法性发表审计意见,以提升公司财务报表的可靠性。财务报表审计时需要公司管理层对财务报表反映的交易事项、会计处理、账户余额等事项进行认定,注册会计师审计的本质是对管理层的认定、声明进行审计,因此是基于公司管理层的责任方认定业务。注册会计师完成审计过程发表审计无保留意见并不能完成排除公司存在重大错报的可能,因此,是一种高于管理层认定而无法绝对保证财务报表信息可靠性的合理保证鉴证业务。内部控制审计是注册会计师接受企业或者第三方委托对企业内部控制设计的合理性以及内部控制运行的有效性进行鉴证并发表审计意见的业务活动。管理层应对企业内部控制体系的完整性、可靠性作出说明,并对内部控制有效性进行认定,注册会计师对企业管理层有关内部控制的声明、认定进行审计并发表审计意见。
内部控制审计与财务报表审计之间的密切联系使得内部控制审计与财务报表审计相互支持,财务报表审计结果能够帮助审计人员确定内部控制可能存在漏洞的环节,而内部控制审计的结果可以帮助审计人员优化审计计划和审计程序。整合审计可以有效的降低会计师事务所的业务量,减少运行成本,提高审计效率并减低审计风险。同时,在审计过程中收集的证据和实施的测试对于两种审计活动都有效,因此,是一种经济可行、兼顾审计单位、被审计单位共同利益的制度安排,在美国、日本等国家的运用也证明了该模式的合理性。
(二)整合审计的可行性 内部控制审计与财务报表审计之间的密切联系使得两者存在很多可以相互利用的地方,在一些关键业务点上具有整合的可行性,具体表现在:
(1)审计目标的一致性。内部控制审计与财务报表审计的目标都是为利益相关者提供有关企业财务信息可靠性的合理保证,将两种审计目标结合在一起只需要通过单一的协调流程就能实现,即让同一会计师事务所基于风险导向审计思路对公司进行财务报表审计和内部控制审计,实现两种审计目标,即获取充分、适当的证据对企业内部控制有效性发表审计意见,对企业财务报表可靠性发表审计意见。财务报告内部控制审计与财务报表审计的三方关系人具有一致性,责任方是被审计单位的管理层、使用者为企业利益相关者,审计过程由注册会计师完成。
(2)审计业务内容的相关性。内部控制审计与财务报表审计存在着业务内容上的重合,审计人员在审计审计程序时需要对企业的内部控制体系进行有效性测试,并以此作为依据之一来确定审计重点,制定合适的审计程序。同时,如果审计人员在财务报表审计中发现重点错报,表明财务报告内部控制肯定存在重大缺陷,已经对财务报告内部控制发表无保留意见的应重新进行审计。
(3)审计业务主体的一致性。 AS2以及AS5都要求财务报表审计与财务报告内部控制审计由同一家会计师事务所完成,这是因为财务报表审计和财务报告内部控制审计的审计报告需要同时,如果将两项审计工作交由不同事务所完成,在审计时间、审计成本、审计协调方面都不合理。由同一事务所负责两项审计有利于节省审计成本和降低审计风险,而且,世界各国的审计实务表明,由不同事务所分别承办两项审计业务不利于审计目标的实现,由同一家事务所同时进行内部控制审计和财务报表审计为整合审计提供了基础。
(三)整合审计的实施关键 《企业内部控制审计指引(2010)》规定财务报表审计和内部控制审计可以由不同的会计师事务所完成,也可以由同一家会计事务所完成。但由于内部控制审计与财务报表审计之间的关联性(如图1),无论是企业还是会计师事务所都将二者合并在一起进行,而且,《企业内部控制审计指引(2010)》显然也注意到这一点,从计划审计工作到完成审计工作的各个业务环节都偏重于整合审计。
财务报表审计基本上与现代审计同步,在审计理论、程序、方法等方面都已经成熟,而且不断的发展和完善。内部控制审计则是在萨班斯法案颁布之后开始发展起来,虽然美国公众公司会计监督委员先后AS2和AS5进行了规范,但在实际审计活动中还存在很多不足,内部控制审计与财务报表审计之间的共同点形成了两者整合的关键点,如图2所示,审计证据以及其他重要信息构成了两者之间进行整合的基础,整合审计就是通过通过计划和实施审计程序获得充分、适当的审计证据以支持有关财务报告内部控制是否有效以及在对财务报表进行风险评估的基础上发表审计意见。财务报告内部控制审计帮助财务报表审计修改实质性程序的性质、时间和范围以支持分析程序中使用信息的完整性和准确性;财务报表审计通过实质性测试程序中发现的问题对内部控制有效性评价提供参考。
(1)审计目标的整合。财务报表审计是由注册会计师实施的旨在保证公司财务报表按照会计准则的要求公允反映企业财务状况、经营成果和现金流量,是以公允性作为审计目标的,是将财务报告及相关信息的内部控制有效性纳入审计范围,对财务报表审计则对财务报表的合法性和公允性发表审计意见。我国《企业内部控制基本规范》在借鉴国际惯例的基础上将我国内部控制目标定位为:保证企业经营管理的合法合规、保证企业资产安全、提高财务报告及相关信息的真实完整、提高企业经营效率。企业应以内部控制五大目标为指引,建立和规范企业内部控制体系,对内部控制有效性进行自我评价并形成评价报告。内部控制审计则是注册会计师接受第三方委托对公司内部控制审计与运行的有效性进行合理保证鉴证,是以有效性为审计目标的。财务报表的公允性是内部控制有效性的体现,内部控制的有效性则是财务报表公允性的保证,两者都服务于为企业利益相关者提供高质量的财务信息,因此,两者在这一点上是一致的,目标的一致性使得整合审计成为可能。
(2)审计计划的整合。内部控制审计与财务报表审计都需要制定合理的审计计划,在审计计划阶段应做好被审计单位行业状况、与财务报告相关的内部控制、法律环境等重大事项的了解以实现两种审计活动的审计目标。一是确定对内部控制和财务报表同时具有重要影响的事项并分析该事项如何影响审计工作。二是内部控制审计中重点考虑的风险评估、审计工作量、舞弊风险、利用他人审计成果等因素应该在财务报表审计中充分利用,内部控制审计确定的高风险领域同样是财务报表审计需要重点关注的领域。三是财务报表审计中的有关舞弊风险的评估结果应作为内部控制审计识别和测试企业层面控制以及选择其他控制进行测试的重要依据。四是财务报表审计的保证程度要高于内部控制审计的保证程度,整合两种审计要求财务报表审计与内部控制审计运用相同的重要性水平。
(3)审计业务的整合。前面的分析中提到财务报表审计与财务报告内部控制审计同属于基于责任方的合理保证的鉴证业务,即将重大鉴证风险控制在可以接受的水平以内。从COSO五要素的“内部控制整体框架”到COSO八要素的“内部控制风险管理”,内部控制正逐步向以风险为导向进行转变,而财务报表审计也要求以风险为导向来进行审计前的准备、制定审计工作计划和实施审计程序,因此,致力于对被审计单位财务报告内部控制和财务报表提供合理保证鉴证服务的两种审计活动。在审计过程中,可以将一些类似的审计程序同时进行,或合并进行,而由同一家会计师事务所同时负责两项审计业务为两项审计业务的整合提供了必要条件。
(4)审计程序的整合。内部控制审计要求以风险控制为导向来实施审计程序和控制测试,风险评估是内部控制审计的基础、控制测试是内部控制审计的核心,而财务报表审计包括风险评估、内部控制测试和实质性测试三个环节,而且在风险评估阶段要求注册会计师全面了解企业内部控制,在实施实质性程序不能提供充分、适当的审计证据时就需要进行内部控制测试,因此,内部控制测试成为整合审计在实施程序方面的关键整合点。需要说明的是内部控制审计中的内部控制评价和财务报表审计中的内部控制评价可以同时进行,但两者的范围存在差异,财务报表审计对内部控制进行测试限于“所依赖”的内部控制,即当财务报表审计中的某个项目需要测试内部控制是否有效时,审计人员才对影响该项目的内部控制进行有效性测试来获取充分的审计证据来支持财务报告的审计意见,因此,财务报表审计中的内部控制测试范围较小,其结果未必足以证明整个内部控制体系的有效性。内部控制审计对于内部控制测试的范围要大于财务报表审计进行的内部控制测试范围,整合审计可以通过增加内部控制审计需要“补充”的控制测试来完成整个审计控制测试。
(5)审计方法的整合。财务报表审计采用风险导向审计,财务报告内部控制审计采用自上而下的审计方法。财务报表风险导向审计通过通过询问、检查文件或记录、观察等程序了解评估报表层和认定层存在的高风险领域,进而制定针对报表层风险的总体审计措施和针对认定层风险的审计程序,包括相应的控制测试和实质性测试。财务报告内部控制审计采用的自上而下的审计方法从了解并测试公司层内部控制开始,然后对报表重要账户控制有效性进行测试,再往下是业务流程和交易控制的有效性测试,从而引导审计人员发现可能导致财务报表及相关列报发生重大错报的账户、交易上。因此,财务报告内部控制审计也具有风险导向的特点,通过风险评估来了解企业内部控制,选取内部控制测试范围,财务报告内部控制审计中对内部控制的相关审计活动有助于财务报表审计的风险评估,而财务报表审计对于高风险领域的风险评估则有助于财务报告内部控制审计抓住重点做到有的放矢。
1972年美国会计学会(AAA)颁布的《基本审计概念公告》中,认为审计是“客观收集和评价与经济活动及事项有关的认定的证据,以确定其认定与既定标准的符合程度,并将结果传递给利害关系人的系统过程。”该定义涉及审计学的一系列关键概念,包括经济活动和经济现象的认定、收集和评估证据、客观性、所制定的标准、传递结果、系统过程等,能够涵盖各种审计类型。国际审计准则《ISA200:财务报表审计的目标和一般原则》认为审计的目标是审计师能够对财务报表在所有重大方面是否按照确定的财务报告框架编制发表意见,同时认定审计是一种合理保证的鉴证业务,这与我国审计准则规定基本相同。显然,前者是指一般的审计,属于属概念,后者是指财务报表审计,属于种概念。本文所说的审计就是指由独立注册会计师进行的财务报表审计,简称财务报表审计,根据《中国注册会计师审计准则第1101号――注册会计师的总体目标和审计工作的基本要求》(2010年)财务报表审计要“对财务报表整体是否不存在由于舞弊或错误导致的重大错报获取合理保证,”现代财务报表审计是一种风险导向审计。财务报表审计的保证程度与可接受的审计风险互为补数:对财务报表审计的保证程度越高,可接受的审计风险越低。大多数会计师事务所的审计手册一般都把可承担的审计风险定为5%,保证程度定为95%。合理保证意味着审计风险始终存在。
(二)审计风险
通常认为,风险有结果不确定性和损失可能性两种观点。March&Shaplra认为风险是事物可能结果的不确定性,J.S.Rosenb(1972)将风险定义为损失的不确定性。审计风险当然也有结果的不确定性和损失的可能性两种概念,分别叫做“意见不当论”和“损失可能论”。国际审计准则第25号《重要性和审计风险》将审计风险定义为:“审计风险是指审计人员对实质上误报的财务资料可能提供不适当意见的风险。”《美国审计准则说明》第47号认为:“审计风险是审计人员无意地对含有重要错报的财务报表没有适当修正审计意见的风险。”中国注册会计师协会在2010年11月1日修订的《中国注册会计师审计准则第1101号――注册会计师的总体目标和审计工作的基本要求》第十三条认为:“审计风险,是指当财务报表存在重大错报时,注册会计师发表不恰当审计意见的可能性。审计风险取决于重大错报风险和检查风险。”他们的共同点都指向发表不适当意见的可能性或者风险洇为注册会计师发表不恰当的审计意见尤其是对有重大错漏报的财务报表发表不恰当的意见会误导“报表使用者依据财务报表作出的经济决策”以致造成不应有的损失,所以审计风险实质上是指给财务报表使用者造成损失的可能性,同时也是注册会计师发表不恰当审计意见的可能性――前者针对报表使用者,后者针对注册会计师,前果后因,二者是一致的。审计风险是客观存在,也一直存在着,财务报表审计从来都是以风险为导向的审计。但是风险的承受者有不同的说法,有“供给导向”和“需求导向”之说,前者强调注册会计师的风险承担,后者强调报表使用者的风险承担。由于注册会计师审计准则和注册会计师“审计的目的是提高财务报表预期使用者对财务报表的信赖程度”,是为财务报表使用者提供合理保证服务的,本文认为国际审计准则和中国注册会计师审计准则所讲的审计风险是报表使用者承受损失的可能性,具体是指注册会计师发表不恰当审计意见的可能性。
(三)现代风险导向审计
现代风险导向审计是从传统风险导向审计演变而来。安然事件后,为了进一步应对审计风险,提高审计质量,2003年末,国际会计师联合会(IFAC)的国际审计与保证准则委员会(IAASB)陆续了一些新准则并被我国采用于《中国注册会计师执业准则(2006)》。新实行的国际审计准则被称为现代风险导向审计准则,以区别于在此之前的风险审计准则(传统风险导向审计准则)。与以前准则相比,新国际审计风险准则主要有以下八个方面的重大发展和实质性变化。
(1)引入“重大错报风险”概念,重建审计风险模型,将审计风险模型重构为:审计风险一重大错报风险×检查风险,抓住了关键;
(2)改进审计业务流程,增强实施审计程序的效果,新国际审计风险准则依据审计风险二要素模型,把审计业务流程和程序分为三大块:风险评估,(必要时)控制测试,实质性程序(目的是为了检查认定层次的重大错报风险);
(3)区分评估的重大错报风险为财务报表整体层次和认定层次,并分别采取不同应对措施,以将审计风险降至可接受的低水平;
(4)重新划分认定层次的构成类别,强调获取列报和披露认定的审计证据的重要性;
(5)强调保持职业怀疑态度,切实提高发现重大错报的概率;
(6)强调对特别风险的识别及评估,并警惕仅实施实质性程序无法获取充分、适当审计证据的风险;
(7)强调项目组内讨论的积极作用,共享审计经验和资源;
(8)强调与治理层沟通和与管理层沟通并重,优化审计环境。
2010年11月修订后的审计准则充分借鉴了国际审计与鉴证理事会明晰项目的成果,进一步明晰了现代风险导向审计理念,吸收传统风险模型的合理之处,完善了现代审计风险模型,细化了认定层次重大错报风险的构成(报表层和认定层2个层次,固有风险和控制风险2个因素),修订了风险评估和应对准则,并对关联方、会计估计、公允价值、对被审计单位使用服务机构的考虑、函证、分析程序等审计准则也作出修改,将风险导向审计的理念充分体现到整套审计准则体系中的每项审计准则中。新准则还对识别、评价和防范舞弊导致的重大错报风险提出了明确的要求。
二、现代风险导向审计内在逻辑
以上概念构成了一个现代风险导向审计的有关概念框架,风险导向的报表审计应该以报表使用者可接受的审计风险为导向,风险导向报表审计应该以报表使用者的需求为逻辑起点构造概念框架。本文主要通过以上概念抽象出现代风险导向审计的内在逻辑,以期为审计实践和理论研究服务。
(1)现代风险导向审计首先是财务报表审计,其产生和发展伴随着所有权与经营权的分离,现代风险导向审计也是站在所有权与经营权分离的大环境基础上的,所有权与经营权的分离也是审计委托人和被审计人的分离。这是注册会计师报表审计的总前提,当然也是现代风险导向审计的前提。
(2)在两权分离状况下,所有者为了自己的经济决策付费委托注册会计师对管理者提供的财务报告进行审计,注册会计师当然首先要满足委托人的要求,只有在此基础上才能进行风险导向审计。现代风险导向审计的基本原理就是以评估重大错报风险为导向,进而通过控制检查风险来控制审计风险,
目的都是为了满足所有者或者委托人的要求,这样审计委托人的要求实际上就成为了现代风险导向审计的逻辑起点。
(3)那么,审计委托人的要求是什么呢?审计委托人委托审计的目的是为了经济决策,经济决策当然以高质量的信息为前提。财务报表具有决策相关性,审计委托人往往也是报表使用者,所以,审计委托人作出经济决策的依据是财务报表。因此,委托人的要求就是要看到高质量的财务报表以进行投资、信贷等经济决策,高质量的财务报表必须符合报表的“编制基础”。对于大多数通用目的财务报表而言(以下以通用目的财务报表为例),高质量的财务报表必须“在所有重大方面按照财务报告编制基础编制并实现公允反映”,“通用目的编制基础,主要是指会计准则和会计制度”。也就是说高质量的通用目的财务报表必须“合法(符合相关会计准则和会计制度)”、“公允”。换句话说,即使有不合法、不公允的事项,委托人也要求他们看到的这些不合法、不公允的事项整体上不影响委托人利用该财务报表作出的经济决策――所以,不合法、不公允的报表信息叫做错(漏)报,影响报表使用者依据报表作出经济决策的错报就叫做重大错报。错报和重大错报都是由报表使用者或者委托人(或者站在委托人和报表使用者立场上)定义的――这就要求注册会计师保证经营管理者的财务报表不存在影响委托人依据该报表作出的经济决策的不合法、不公允的事项即重大错报事项。由于审计本身的局限性、人的认识的局限性和被审计单位情况的限制,注册会计师无法做到绝对保证,又不能提供有限的保证(违背委托人的委托意图),这就产生了合理保证。有限保证的保证程度
(4)委托人的要求就是注册会计师审计的目标――在这里,重要性、错报、合理保证都是由审计业务委托人定义或者站在委托人立场上定义的。合理保证决定了可接受的审计风险(如果保证程度是95%,则可接受的审计风险程度为5%)――显然所谓“可接受的审计风险”实际上也是由委托人定义的,本质上是委托人“可接受”的审计风险或者说是委托人对财务报表、审计报告的信赖过度风险,不是注册会计师基于自己的损失或可能的不当意见可接受的审计风险,所以可接受的审计风险来自于风险导向审计循环的外部,是委托人既定的,该风险无需评估,需要评估的是重大错报风险。
(5)接受委托或者接受了委托人的要求后,注册会计师要做的工作一是评估重大错报风险,二是降低检查风险。重大错报是由委托人定义的,现代风险导向审计要求注册会计师按照重大错报的定义全方位地了解被审计单位及其环境并评估重大错报风险,注册会计师执业准则规定了风险评估的方法和内容,要求运用询问、观察、检查、分析程序等方法获取有助于评估重大错报风险的信息。在风险评估基础上,注册会计师通过总体应对措施和进一步审计程序来分别应对财务报表层次与交易、账户余额与列报和披露认定层次的重大错报风险。在针对评估的由于舞弊导致的财务报表层次重大错报风险确定总体应对措施时,注册会计师应当:“在分派和督导项目组成员时,考虑承担重要业务职责的项目组成员所具备的知识、技能和能力,并考虑由于舞弊导致的重大错报风险的评估结果;评价被审计单位对会计政策(特别是涉及主观计量和复杂交易的会计政策)的选择和运用,是否可能表明管理层通过操纵利润对财务信息作出虚假报告;在选择审计程序的性质、时间安排和范围时,增加审计程序的不可预见性”。进一步审计程序包括控制测试和实质性程序,是否实施控制测试取决于内部控制是否值得信赖和控制测试的重要性,无论是否实施控制测试都应该执行实质性程序。在实施控制测试时,注册会计师仍然要确定控制风险大小及风险可能存在的领域并随时调整对重大错报风险的评估结论以及修改审计计划和审计程序;重大错报风险的评估结论以及控制测试的结果决定了实质性程序的性质、时间安排和范围,科学准确的评估结论和测试结果可以减少实质性程序的性质、时间安排和范围,从而提高审计效率和审计效果。风险导向审计准则还要求把风险评估和修改贯穿于审计工作全过程。注册会计师最终通过实质性程序把重大错报查找出来并提请被审计单位调整,按照重大错报的定义来衡量未更正错报汇总数情况并发表恰当的审计意见,实现合理保证报表整体不存在由于错弊而产生的重大错报的审计目标。
风险导向审计并不是注册会计师根据自己的承受能力确定可接受的审计风险,并围绕此审计风险来评估重大错报风险,从而确定可接受的检查风险形成的封闭循环。也就是说,可接受的审计风险、重大错报及重大错报风险大小不是注册会计师自行决定的,而是由委托人决定的,不是注册会计师想用多少程序就用多少程序,这一切都是在接受业务委托时就已经决定了的。决定每一步程序都须把委托人的需求考虑进去并以此为前提和基础,这样就形成了一个较大的开放的审计循环,如图1所示。与其说这是风险导向审计不如说是委托人需求导向审计更合适,这应该是风险导向审计的精神实质。
尽管财务报表使用者的需求也是财务会计准则概念框架的逻辑起点,但是,财务会计的目的是为之提供其所需要的财务会计报表,而注册会计师是为之(合理)保证财务会计人员提供报表的合法(编制基础)性和公允性,二者在合法(编制基础)公允的报表后面就分道扬镳了,这也正说明财务会计与财务会计报表审计的区别与联系,并且不能因之否定现代风险导向审计以报表使用者的需要为逻辑起点的科学性,因为这种需要不仅仅是接受委托时的出发点,而且是执行审计业务时考虑各个方面问题的出发点和归宿。
三、现代风险导向审计的前提条件
现代风险导向审计综合吸收了数理统计、概率论、财务分析、系统论、战略管理、波特五力分析、平衡计分卡、coso报告等方法、工具或其思想,进一步在审计模型基础上把以上方法和工具统合起来,在风险评估时考虑到了环境、交流、沟通、职业怀疑等社会和行为因素,做到了理论上严谨、实践上有效,既科学又实用。但是作为一种抽象的理论模型其不可避免地也忽略了一些因素,预设了一些前提。笔者认为风险导向审计的成功实施必须至少具备以下一些前提:
(1)审计人≠被审计人,其内在含义是注册会计师应该超然独立于被审计单位,包括形式上的独立和实质上的独立;
(2)委托人≠被审计人,该前提避免了由于被审计人付费带来的不独立;
(3)委托人一报表使用者,对于通用目的财务报表,委托人与其他报表使用者的目标函数可能不一致,该前提避免了由于报表使用者之间目标函数不一致带来额外的法律风险;
一、引言
传统风险导向审计和现代风险导向审计是风险导向审计模式发展的两个不同阶段。传统风险导向审计和现代风险导向审计均以风险评估为起点,同时都将风险与控制方法贯穿运用于审计全过程,使审计过程成为一个不断克服和降低审计风险的过程。因此传统风险导向审计和现代风险导向审计两种审计模式在风险评估策略上存在一定的相同之处,但同时更多地体现出了差异。鉴于两种审计模式的风险评估策略较易被混淆,本文拟对两种审计模式的风险评估策略作一比较,对两者差异加以初步探讨。
二、传统风险导向审计和现代风险导向审计涵义
(一)传统风险导向审计传统风险导向审计也称为控制风险导向审计[1]。审计模式发展到传统风险导向审计的标志性事件是AICPA在1983年了第47号《审计准则公告》(SASNo.47)——“审计业务中的审计风险和重要性”,首次提出了审计风险模型。传统风险导向审计是指审计人员在审计过程中将风险分析、评价与控制融入传统审计方法(账项导向审计和制度导向审计)之中,进而获取审计证据,形成审计结论的一种审计取证模式。传统风险导向审计的基本程序并没有脱离制度导向审计模式,但它在制度导向审计模式的基础上更加注重风险评估和风险管理。针对制度导向审计不直接处理审计风险,不能对审计风险进行量化的缺点,传统风险导向审计引入审计风险模型,通过该模型将从各种渠道所收集的证据联系了起来,并在此基础上对审计风险进行定量评估,将审计资源相对合理的分配到高风险领域。(二)现代风险导向审计
现代风险导向审计也称为经营(商业)风险导向审计、风险基础战略系统审计。1997年,Bell和Frank发表了名为《通过战略系统的视角对组织进行审计》的研究报告,首次提出了毕马威的BMP审计模式,这标志着现代风险导向审计的产生。现代风险导向审计是审计技术方法在系统和战略管理理论基础上的重大创新,它以被审计单位的战略经营风险为导向,通过“战略分析——流程分析——经营业绩评价——财务报表剩余风险分析”的基本思路,将报表重大错报风险和经营风险联系了起来,从而提出了审计师从源头分析和发现会计报表错报的观念[2]。现代风险导向审计针对传统风险导向审
计风险评估不到位,未能有效发现高风险审计领域,造成审计过量或审计不足的缺点,大大加强了风险评估程序,做到了以风险评估中心,真正体现了风险导向审计的理念。
2003年10月国际审计和保证准则委员会(IAASB)了国际审计准则第315号(ISA315)“了解被审计单位及其环境并评估重大错报风险”,将传统风险导向审计下的审计风险模型修改为:审计风险=重大错报风险×检查风险,明确规定了审计工作以评估财务报表重大错报风险作为新的起点和导向。这就导致了实务中普遍运用的现代风险导向审计在审计风险模型和审计具体风险导向等上和准则规定产生了一定的差异。鉴于这一点,特别指出本文所称的现代风险导向审计是指国际会计师事务所在实务中运用的以战略经营风险为导向的现代风险导向审计。
二、传统风险导向审计和现代风险导向审计风险评估策略比较
风险评估是指对审计风险的评估。美国注册会计师协会(AICPA)认为审计风险是指审计人员对于存在重大错报的财务报表未能适当发表意见的风险[3]。风险评估的目标就是确定
高风险环节,从而确定审计的范围和重点,并进一步确定如何收集、收集多少和收集何种性质的证据,以便更有效地控制和提高审计效果及审计效率。策略,是根据形势发展而制定的行动方针和方法。借鉴中注协(1997)对审计策略的定义,笔者将风险评估策略定义为审计人员根据确定的风险评估范围,选择能够达到风险评估目标而应当实施的最有效风险评估程序的基本思路、组织方式和具体方法。在本文中,笔者从风险评估导向、风险评估范围、风险评估程序、以及风险评估具体方法四个方面来比较两种审计模式的风险评估策略。
(一)风险评估导向
虽然国际审计准则规定,在传统风险导向审计下审计人员首先应当对财务报表整体层次和交易类别、账户余额认定层次的固有风险进行评估,但由于固有风险和控制风险都受内外部环境的,两者很难区分,因此审计人员通常难以对固有风险单独做出准确评估。又鉴于稳健性原则的考虑,实务中审计人员往往将固有风险简单地确定为高水平,从而将风险评估重点锁定在控制风险上。因此在实务中,传统风险导向审计实际上是以对控制风险进行的评估为切入点的,所以传统风险导向审计是以控制风险为导向的。
现代风险导向审计强调:审计人员的审计风险[i]主要来源于企业财务报表的错报风险,而企业财务报表的错报风险则主要来源于整个企业的战略管理风险和经营活动风险[4]。所以要充
分理解审计风险,审计人员就必须从企业的战略分析入手,充分识别企业内、外部风险并理解内外部风险对财务报表认定的影响。因此,现代风险导向审计并不直接从对固有风险的评估入手,而是间接地以被审计单位的战略经营风险为导向,通过综合评估战略经营风险从而确定财务报表剩余风险,并进一步确定实质性测试的范围、时间和程序。因此,现代风险导向审计是以战略经营风险为导向的。(二)风险评估范围
在实务中运用传统风险导向审计时,审计人员往往忽略对固有风险的准确评估,而将固有风险简单地确定为高水平。因此在传统风险导向审计下审计人员往往不注重从宏观层面上了解企业及其环境(如行业状况、监管环境;企业的性质;企业的目标、战略、以及可能导致会计报表重大错报的相关经营风险;对企业财务业绩的衡量和评价)[5],而只关注企业的内部
控制。因此,在传统风险导向审计方法下,审计人员实际上只仅仅依赖对控制风险所作的粗放型评估来直接、大致确定检查风险水平。
现代风险导向审计要比传统风险导向审计站得更高,看得更远,对企业了解得更透。它将被审计单位置于广泛的系统中,认为有效的审计需要对企业所处的宏观经济环境和行业环境、战略目标和措施、影响企业目标实现的主要业务活动和关键经营环节以及剩余风险进行深入的了解。在现代风险导向审计下审计风险仍然由固有风险、控制风险和检查风险三要素组成,审计人员也同样要对固有风险和控制风险进行评估。但是相比传统风险导向审计,现代风险导向审计下“固有风险”的内涵扩大了,除了包括会计报表项目本身的风险外,更多地考虑了企业的经营风险。而且在现代风险导向审计下,企业内部控制已经发展到内部控制框架阶段,并有被企业全面风险管理框架取代的趋势,相比传统风险导向审计下的内部控制结构概念,现代风险导向审计下对控制风险进行评估时考虑的因素则更加全面了。
(三)风险评估程序传统风险导向审计风险评估的基本程序可表示为:固有风险评估了解被审计单位的内部控制结构控制风险初步评估控制测试(可选)控制风险综合评估确定检查风险。审计人员在对固有风险进行评估时主要考虑以下因素:管理人员的品行、能力、变动情况和遭受异常压力的情况;客户业务特征;关联方;非常规交易;以前审计结果等。但由于种种原因,实务中审计人员往往忽略对固有风险的准确评估,通常的做法是将固有风险简单地确定为高水平,而将风险评估的重点放在控制风险上。审计人员在对被审计单位的内部控制进行了解时,首先从控制环境入手,再对制度和控制程序进行分析。分析控制环境时主要考虑以下因素:管理和经营作风;组织机构;董事会及审计委员会职能;人事政策和程序;确定职权和责任的等。然后审计人员基于当前对内控的了解对控制风险水平进行初步评估(计划估计水平)。如果审计人员将某一控制的控制风险初步评估为最高值,则对该控制不需执行控制测试而直接进入实质性测试阶段;但如果审计人员将某一控制的控制风险评估为低于最高值时,则就需要对该控制执行控制测试,从而来获取证据以支持低于最高值的风险水平。控制测试完成以后,审计人员对被测试控制的控制风险进行再次评估(最终估计水平),并根据最终估计水平来决定相应的检查风险水平。风险导向审计风险评估的基本程序可用下图表示。如图所示(由于不能粘贴,此处图略),审计人员首先需要对客户的战略进行分析,分析时需要对客户的内外部环境进行了解,包括客户行业状况、监管环境以及其他外部因素(宏观环境等);被审计单位的目标、战略以及面临的经营风险;对威胁企业战略的风险做出的反应等。对客户的战略进行分析后即可对战略风险做出评估。现代风险导向审计下内部控制被分为管理控制(战略控制、高层控制)和流程控制(一般控制、员工控制)[6],在对客户的战略进行分析时同时要对战略控制进行了解并进行评价。然后审计人员对客户的流程进行分析,分析时可从流程目标、投入、作业、交易类型、威胁流程目标的风险等八个维度来了解流程情况[7]。通过流程分析可
以了解客户创造价值的方式、竞争优势及劣势、威胁,从而来评估流程经营风险。在对客户的流程进行分析时同时要对流程控制进行了解并进行评价。在对战略经营风险和流程经营风险进行评估时特别要注重对舞弊风险的评估。然后在此基础上来对固有风险进行初步评估,在评估时除了要重点考虑经营风险可能引起的重大错报之外,还要考虑其他可能引起重大错报的因素(管理当局遭受的异常压力等)。审计人员在对客户的战略和流程进行分析时已经从企业整体层次对内部控制进行了了解(战略控制和流程控制)并做了评价,在这个基础上还要对内部控制的其他方面进行了解并给予评价,特别是要关注有关交易重要类别的控制。基于对内部控制充分的了解,审计人员然后对控制风险进行初步评估。由于固有风险和控制风险都受企业内外部环境的,两者之间存在着紧密的联系,因此审计人员在单独对固有风险、控制风险进行初步评估的基础上还须对两者进行综合评估,即固有风险和控制风险的联合。对联合风险的评估是审计工作的核心,因为接下来其余的审计工作都要围绕联合风险来进行,联合风险的评估结果是审计人员决定实质性程序性质、时间以及范围的基础[8]。然后审计人员对值得信赖的控制进一步执行控制测试,从而来获取支持其较低控制风险水平的证据。最后根据控制测试结果并结合联合风险评估水平,审计人员对会计报表重大错报风险进行综合评估,从而来确定会计报表剩余风险(即检查风险),并进一步决定实质性程序的性质、时间以及范围。(四)风险评估具体方法风险评估的方法主要有观察、检查、函证、询问、穿行测试、分析性程序等多种审计取证手法。虽然传统风险导向审计客观上要求大量使用分析性程序来进行风险评估,但由于实务中审计人员往往忽略对固有风险的准确评估,因此限制了分析性程序的运用范围。而且传统风险导向审计对于信急的再加工重视程度不够,分析性程序主要适用在报表分析上[9]。而在现代风险导向审计下,风险评估以分析性程序为中心,分析性程序成为最重要的程序。而且随着分析性程序功能的不断扩大,分析性程序开始走向多样化,审计人员不仅对财务数据进行分析,同时也对非财务数据进行分析。由于分析性程序的多样化运用,大量的分析工具以及现代管理方法被运用到分析性程序中去。如在战略分析时审计人员运用了PSET分析和POPTER分析方法;在流程分析时运用到了价值链分析(VCA))和波士顿矩阵(BCG)以及SWOT分析方法;绩效分析时运用到了平衡积分卡(BSC)和标杆管理(Benchmarking)分析技术[10]。将分析工具运用到风险评估中使得风险因素不再独立,而且风险评估不再是一元评估,而是多元评估,因此风险评估的结果将更加可靠。
三、结论
1.风险评估导向不同:
虽然国际审计准则规定传统风险导向审计应以固有风险为切入点,但在实务中传统风险导向审计实际上是以控制风险为导向的;而现代风险导向审计则是以战略经营风险为导向的。
2.风险评估范围不同:
按照IAASB工作计划,三个新国际审计风险准则生效后,原IAS 310“了解被审计单位情况”(Knowledge of the business)、ISA 400“风险评估与内部控制”(Risk assessments and internal controls)、ISA 401“机信息系统环境下的审计”(Auditing in a computer information systems environment)和ISA 500“审计证据”一并作废。与以前准则相比,新国际审计风险准则主要有以下八个方面的重大发展和实质性变化。
(一)引入“重大错报风险”概念,重建审计风险模型
原国际审计风险准则认为,审计风险包括固有风险、控制风险和检查风险,审计风险模型为:审计风险=固有风险×控制风险×检查风险,并要求根据该模型来计划和执行财务报表审计工作,最终将审计风险降低至可接受的低水平。从上看,该模型不存在不妥,但实务操作面临很大的和困难。比如:(1)原准则要求,在编制总体审计计划时,注册会计师应当对财务报表整体的固有风险进行评估;在编制具体审计计划时,注册会计师应当考虑固有风险的评估对各重要账户或交易类别的认定所产生的影响,或者直接假定这种认定的固有风险为高水平。由于假设不存在相关内部控制的条件下去具体单独评估认定的固有风险有显知的难度,再加上直接假定认定的固有风险为高水平被公认为稳健的做法,这样极容易导致不少事务所及注册会计师不重视对固有风险的评估,使其流于形式。(2)尽管原准则明确指出,由于控制风险与固有风险相互联系,注册会计师应当对两者进行综合评估,并据以作为检查风险的评估基础。但实务中,很容易人为割裂两者的内在联系,而只依赖对内部控制风险所作的粗放型评估来直接、大致确定检查风险水平,再据此规划实质性程序的性质、时间和范围。这样做难以合理保证财务报表不存在重大错报。(3)最为重要的是,原审计风险模型将固有风险和控制风险并列,没有抓住财务报表审计工作的“牛鼻子”,也没有抓住事物的本质和核心东西。其实,这两种风险,就是客户风险(client risk),即客户财务报表审计前存在重大错报的可能性,均为被审计单位所造成和掌控,注册会计师只能评估而不能改变。从注册会计师角度看,只抓住固有风险和控制风险作为审计工作的起点和导向,而不直接明确地以评估重大错报风险为起点和导向,有舍本求末,隔靴搔痒,只见树木不见森林之感。
新国际审计风险准则正式引进“重大错报风险”概念(重大错报风险是指财务报表在审计前存在重大错报的可能性),将审计风险模型重构为:审计风险=重大错报风险×检查风险。这不是简单地将固有和控制风险并称为重大错报风险,而是重大的实质性改进。不仅明确规定了审计工作以评估财务报表重大错报风险作为新的正确起点和导向,抓住了审计工作的“牛鼻子”,而且与现行审计目标责任定位紧紧相扣,有利于履行审计责任,实现审计目标。众所周知,按国际审计准则要求设计审计工作就是为了合理保证财务报表整体不存在重大错报。新风险模型的构建更直接有助于导引注册会计师,时刻紧紧围绕评估的重大错报风险来设计和执行审计程序,以最终实现合理保证财务报表整体不存在重大错报。
(二)改进审计业务流程,增强实施审计程序的效果
原准则依据审计风险三要素模型,把审计业务流程和程序分为四大块:(1)了解被审计单位情况(为评估固有风险);(2)了解内部控制;(3)(必要时)控制测试(均为评估控制风险);(4)实质性测试(为降低检查风险)。第(1)块由原IAS 310“了解被审计单位情况”来规范,第(2)、(3)、(4)块则由原ISA 400“风险评估与内部控制”来规范。
新国际审计风险准则依据审计风险二要素模型,把审计业务流程和程序分为三大块:(1)了解被审计单位及其环境,包括内部控制(目的是为评估财务报表总体层次和认定层次的重大错报风险)。本块审计程序称为“风险评估程序”(risk assessment procedures),(2)(必要时)控制测试(目的是为了测试内部控制在防止、发现和纠正认定层次重大错报方面的有效性,并据此一并评估重大错报风险),(3)实质性测试(目的是为了检查认定层次的重大错报风险)。新准则把第(2)、(3)块程序统称为“进一步审计程序”(further audit procedures),并指出风险评估程序不足以为发表审计意见提供充分适当的审计证据,注册会计师还应当设计和实施进一步审计程序,包括控制测试和实质性程序。还指出应当以对认定层次的重大错报风险的相关评估结果(包括实施风险评估程序的结果和必要时执行控制测试的结果)为基础,并考虑既定的审计风险水平,来确定可接受的检查风险水平,再据此计划和实施实质性程序。在既定的审计风险水平下,可接受检查风险水平与认定层次重大错报风险的评估结果成反向关系。评估的重大错报风险越高,可接受检查风险越低;评估的重大错报风险越低,可接受检查风险越高。检查风险取决于实质性程序设计和执行的有效性。注册会计师应当合理设计实质性程序的性质、时间和范围并有效执行,将检查风险降至可接受的水平。第(1)块由ISA 315“了解被审计单位及其环境并评估重大错报风险”来规范,第(2)、(3)两大块则由ISA 330“针对评估的重大错报风险实施的程序”来规范。由于重建了审计风险模型和改进了审计业务流程,IAASB相应地修订了原ISA 500“审计证据”。
审计业务流程作上述改进后,要求注册会计师全程关注财务报表的重大错报风险,并将风险评估作为整个审计工作的先导、前提和基础。注册会计师应首先花大力气去识别和评估重大错报风险,再据此有针对性地采取措施,合理保证财务报表不存在重大错报。评估重大错报风险的失当,必将导致整个审计工作的失败。看来,能否合理评估客户财务报表的重大错报风险,将成为评价会计师事务所及注册会计师专业胜任能力、考验审计质量及效果的关键性尺度与决定性因素。
(三)区分评估的财务报表整体层次和认定层次的重大错报风险采取不同应对措施,力保所获取审计证据的充分、适当性
ISA 330“针对评估的重大错报风险实施的程序”明确规定和回答了,通过了解被审计单位及其环境(包括内部控制),分别评估出财务报表整体层次和认定层次的重大错报风险后该怎么办的问题,从而有助于注册会计师更有针对性地采取不同的有效应对措施。该准则对注册会计师提出以下要求:
1.应当针对评估的财务报表整体层次的重大错报风险确定“总体应对措施”(overall responses)。可采取的总体应对措施包括:(1)向项目组强调在收集和评价审计证据过程中保持职业怀疑态度的必要性;(2)分派更有经验的或具有特殊技能的审计人员,或利用专家的工作;(3)提供更多的督导;(4)在选择进一步审计程序时,应当注意某些程序不能被管理当局预见或事先了解;(5)对拟实施审计程序的性质、时间和范围作出总体修改。注册会计师对控制环境的了解影响其对财务报表整体层次重大错报风险的评估。如果控制环境存在缺陷,注册会计师通常应当考虑:(1)在期末而非期中实施更多的审计程序;(2)通过实质性程序获取更广泛的审计证据;(3)修改审计程序的性质,获取更具说服力的审计证据;(4)增加审计范围中所包括的经营场所的数量。
2.应当针对评估认定层次的重大错报风险设计和实施“进一步审计程序”(further audit procedures),以将审计风险降至可接受的低水平。
ISA 330还要求在确定总体应对措施,以及设计和实施进一步审计程序的性质、时间和范围时,注册会计师应当运用职业判断。ISA 330还对进一步审计程序(包括必要时控制测试和实质性测试)的性质、时间和范围决策作了比以前准则更详尽的规定。
(四)重新划分认定层次的构成类别,强调获取列报与披露认定的审计证据的重要性
原准则要求识别、评估和检查认定层次的重大错报风险,是区分各类交易和账户余额二个类别来进行的。因此财务报表总体重要性水平的分配、实质性细节测试种类的确定、审计证据的收集与评价都包括了各类交易和账户余额两个方面。
新国际审计风险准则重新划分认定层次的构成为三个类别:(1)各类交易,(2)账户余额,(3)列报与披露(presentation and disclosure),并将这一思想贯穿于整个审计过程中。
比如,ISA 315要求,从各类交易、账户余额及列报与披露三方面来识别和评估认定层次的重大错报风险。ISA 330规定,实质性程序包括:一是对各类交易、账户余额及列报与披露的细节测试,二是实质性程序;还规定注册会计师应当实施审计程序以评价财务报表总体列报与相关披露是否符合适用的财务报告框架,在评价时应当考虑评估的认定层次重大错报风险,还应当考虑财务报表是否正确反映财务信息的分类和描述,以及对重大事项的披露是否适当。修订后的ISA 500“审计证据”也相应地规定,注册会计师应当将认定具体运用于各类交易、账户余额、列报与披露,作为评估重大错报风险以及设计与实施进一步审计程序的基础;并进一步指出了这三个方面所涉及和运用的不同认定种类。注册会计师对所审计期间的各类交易和事项运用的认定通常分为下列种类:(1)发生:记录的交易和事项已发生且与客户有关;(2)完整性:所有应当记录的交易和事项均已记录;(3)准确性:与交易和事项有关的金额及其他数据已恰当记录;(4)截止:交易和事项已记录于正确的会计期间;(5)分类:交易和事项已记录于恰当的账户。注册会计师对期末账户余额运用的认定通常分为下列种类:(1)存在:资产、负债和所有者权益是存在的;(2)权利和义务:被审计单位拥有或控制资产的权利,负债是被审计单位的义务;(3)完整性:所有应当记录的资产、负债和所有者权益均已记录;(4)计价和分摊:资产、负债和所有者权益以恰当的金额反映在财务报表中,之后的计价或分摊调整已恰当记录。
注册会计师对列报与披露运用的认定通常分为下列种类:(1)发生及权利和义务:披露的交易、事项和其他情况已发生且与被审计单位有关;(2)完整性:所有应当包括在财务报表中的披露均已包括;(3)分类和可理解性:财务信息已被恰当地列报和描述,且披露表述清楚;(4)准确性和计价:财务信息和其他信息已公允披露,且金额恰当。
原准则将列报与披露问题融合到各类交易、账户余额的审计中,理论上并没有什么错。但实务中相比之下注册会计师更重视审计各类交易和账户余额的其他认定,而容易忽视列报与披露认定的重大错报风险。在日益重视财务报表列报与披露的今天,新准则强调单独针对财务报表总体列报与披露认定获取审计证据,对切实提高审计效果和财务报表信息披露质量有特别重要的意义。
(五)强调保持职业怀疑态度,切实提高发现重大错报的概率
新国际审计风险准则进一步强调了保持职业怀疑态度的极端重要性,要求注册会计师以职业怀疑态度计划和实施审计工作,充分考虑可能存在导致会计报表发生重大错报的情形。所谓职业怀疑态度,是指注册会计师以质疑的态度,对所获取审计证据的真实有效性作批判性的评价,并对相互矛盾的审计证据以及导致对文件或管理当局声明的可靠性产生怀疑的审计证据保持警惕。例如,在整个审计过程中,职业怀疑态度对减少忽略可疑情况的风险,以及减少在确定审计程序的性质、时间、范围及评价相应结果时使用错误假定的风险都是必要的。在计划和执行审计时,审计人员既不能假定管理当局不诚实,也不能假定其完全诚实。因此,管理当局声明书不能替代获得充分适当的审计证据,只有充分适当的审计证据才能得出作为审计意见基础的合理结论。
审计如刑事侦察,同属侦查类学科。发现疑点、捕捉线索是关键。而保持职业怀疑态度又是关键之关键。在不少审计失败案例中,审计人员未尽到职业怀疑义务、不会怀疑成为主因。审计人员学会怀疑是一个不断、总结和积累的过程,贯穿于整个职业生涯。职业怀疑意识和能力越强,发现重大错报的概率就越大。
(六)强调对特别风险的识别及评估,并警惕仅实施实质性程序无法获取充分、适当审计证据的风险
ISA 315要求,注册会计师在风险评估中应当运用职业判断,确定识别的风险哪些是特别风险(significant risks),需要作特别的审计考虑。在确定哪些风险是特别风险时,应考虑风险的性质、潜在错报的重要程度(包括导致多项错报的可能性)以及风险发生的可能性。在确定风险的性质时,注册会计师应当考虑下列事项:(1)风险是否为舞弊风险;(2)风险是否与近期环境、会计核算和其他方面的重大变化有关;(3)交易的复杂程度;(4)风险是否涉及重大的关联方交易;(5)财务信息计量的主观程度,特别是对不确定事项的计量存在宽广的区间;(6)风险是否涉及异常或超出正常业务范围的重大交易。ISA 315指出,特别风险通常与重大的非常规交易和判断事项有关。非常规交易是指由于金额或性质异常而不经常发生的交易。判断事项通常包括作出的会计估计。由于非常规交易具有下列特征,与重大非常规交易相关的特别风险可能导致更高的重大错报风险:(1)管理当局更多地介入会计处理;(2)数据收集和处理需要更多的人工介入;(3)复杂的计算或会计原则;(4)非常规交易的性质可能使被审计单位难以对由此产生的特别风险实施有效控制。由于下列原因,与重大判断事项相关的特别风险可能导致更高的重大错报风险:(1)对涉及会计估计和收入确认的会计原则存在不同的理解;(2)所要求的判断可能是主观和复杂的,或需要对未来事项作出假设。ISA 315还要求,对特别风险,注册会计师应当评价相关控制(包括相关的控制活动)的设计情况,并确定其是否已经得到执行。由于与重大非常规交易或判断事项相关的风险很少受到日常控制的约束,注册会计师应当了解被审计单位是否针对该特别风险设计和实施了控制。如果管理当局未能实施控制以恰当应对特别风险,注册会计师应当认为内部控制存在重大缺陷,并考虑对风险评估的影响。
ISA 315同时要求,特别应警惕仅实施实质性程序无法提供充分、适当审计证据的风险。指出作为风险评估的一部分,如果认为仅通过实施实质性程序获取的审计证据无法将认定层次的重大错报风险降至可接受的低水平,注册师应当评价客户针对这些风险设计的控制(包括相关的控制活动),并确定其执行情况。还强调在客户对日常交易采用高度自动化处理的情况下,如果注册会计师认为仅通过实施实质性程序不能获取充分、适当的审计证据,则应当考虑所依赖的相关控制的有效性。
这是国际审计风险准则首次单独强调识别和处置特别风险及完全依赖实质性程序的风险,对于解决实务中较普遍存在的(1)审计往往抓不住重点,容易忽视那些需要特别审计考虑的风险;(2)不重视风险评估和内控了解,不分情况盲目期望仅靠实施实质性程序获取证据等突出,有针对性意义。
(七)强调项目组内讨论的积极作用,共享审计经验和资源
在审计中如何组织利用好项目组内的讨论,共享审计经验和资源,保证整体审计质量,这在过去往往被忽视。ISA 315首次规定,注册会计师应当组织项目组成员对客户财务报表存在重大错报的可能性进行讨论,并运用职业判断合理确定讨论的目标、、人员、时间和方式。项目组应当讨论客户所面临的经营风险、报表容易发生错报的领域及发生错报的方式,特别是由于舞弊导致重大错报的可能性。项目组的关键成员应当参与讨论。如果审计项目组需要拥有特殊信息技术或其他技能的专家,在讨论时还应将其包括在内。项目组应当根据审计的具体情况,持续交换有关客户报表发生重大错报可能性的信息。项目组在讨论时应当强调在整个审计过程中保持职业怀疑态度,警惕可能发生重大错报的迹象,并对这些迹象进行严格追踪。通过讨论可以使成员更好地了解在各自负责的领域报表发生重大错报的可能性,并了解各自实施审计程序的结果如何审计的其他方面,包括如何确定进一步审计程序的性质、时间和范围。
(八)强调与治理当局沟通和与管理当局沟通并重,优化审计环境。
ISA 315设专章规定与治理当局和管理当局沟通内控问题,要求注册会计师及时将其注意到的内部控制设计或执行方面的重大缺陷告知客户适当层次的治理当局或管理当局。如果识别出客户未加控制或控制不当的重大错报风险,或认为客户的风险评估过程存在重大缺陷,注册会计师应当就此类内部控制缺陷与治理当局沟通。此外,还可向治理当局沟通与管理当局的正直性和舞弊有关的问题。
ISA 260“与治理当局沟通审计事项”,专门为审计人员与客户负责治理的机构和人员(简称治理当局)之间,沟通审计中所注意到的有关治理的审计事项,建立准则和提供指南。本准则所称“治理”是用来描述被授权对单位进行监督、控制及指导的内部机构和人员的作用。只有当管理当局履行这种职能时,治理当局才包括管理当局。本准则对沟通的原则、对象、内容、方式、时间等作了全面的规定。
新国际审计风险准则除了上述主要变化外,在许多条款制定上,比以前要求更高、规定更细、指导性更强,着实澄清和纠正了实务中的一些明显的重大错误认识和做法,对实务中普遍存在的典型的薄弱环节予以了加强和改进,恕不赘述。由于本轮准则修订时,将机信息系统环境下的特殊审计考虑,融入到了新的三个风险准则和其他准则中,故新准则生效后,原ISA 401“计算机信息系统环境下的审计”失效。
需要特别强调的是,新国际审计风险准则的颁行并没有改变财务报表审计目标和责任的基本定位,也没有改变现行的审计基本和,而只是为了指导审计人员更好地实现审计目标和履行审计责任,缩小审计期望差。ISA 200“财务报表审计的目标与一般原则”依然规定,注册会计师只是应当合理保证财务报表整体不存在重大错报。合理保证报表整体不存在重大错报意味着审计风险始终存在,注册会计师应当通过计划和实施审计工作,获取充分、适当的审计证据,将审计风险降至可接受的低水平。下列因素可能影响发现重大错报的能力,注册会计师不能绝对保证报表整体不存在重大错报:(1)抽样方法的运用;(2)内部控制的固有局限性;(3)大多数审计证据是说服性而非结论性的;(4)获取审计证据和形成结论时涉及大量判断;(5)某些特殊性质的交易和事项可能影响审计证据的说服力。ISA 200还依然规定,注册会计师的责任是按照审计准则的要求对财务报表发表审计意见,客户管理当局的责任是按照适用的财务报告框架编制和列报财务报表。注册会计师对财务报表的审计不能减轻管理当局的责任。
二、几点启示
我国CPA制度恢复20多年来,独立审计的准则建设和工作开展取得的成绩有目共睹,但由于各种原因,准则的落实程度和执业水平还远没有到位。新国际审计风险准则的又对审计工作提出了更高的要求。我们认为,应努力做好以下方面工作,积极应对挑战:
1.风险导向审计必须实行,重大错报风险必须认清。从新国际审计风险准则规定看,风险基础审计不是要不要做的问题,而是必须认真做好的问题。财务报表审计就是风险导向审计,即以重大错报风险为导向的审计,关键是不能曲解其本质含义。风险导向审计的两项主要的同等重要的工作就是:评估重大错报风险和降低重大错报风险。识别风险、评估风险是前提,检查风险、降低风险是实质。两者缺一不可,绝不能只重其一。实务中有两种典型错误做法,背离风险基础审计的真谛,必须按准则的本质要求予以纠正和规范:一是刚进驻被审计单位就完全凭经验评估风险,感觉较好时干脆就不实施或很少实施进一步审计程序;二是风险评估不在行或不想做,项目组一进驻单位根本没摸清客户重大错报风险,就直接实施实质性程序收集审计证据,盲人摸象,几乎发现不了重大问题。
2.审计工作重心必须前移,审计计划工作必须加强。收集审计证据主要包括计划审计和实施审计两类工作。实务中大多比较轻计划、重实施。新国际审计风险准则要求我们必须将审计工作的重心前移,重视审计计划工作,花费必要成本和相当精力在了解客户及其环境(包括内部控制)上,以识别和评估出重大错报风险。只有以认真评估的重大错报风险为基础,才能制定出有效的审计计划。我国目前独立审计业务整体水平不高,关键在于计划能力不强,说到底是识别和评估重大错报风险的能力不强。一些事务所的项目组一进单位就习惯拿出老一套的审计程序清单照做,根本不问重大错报风险在哪儿。编审计划好比开中医药方,中医药方要对症必须先问症,审计计划要能帮助查出重大错报,就必须先识别评估出重大错报风险。
3.职业怀疑态度必须坚持,强制审计程序必须到位。审计职业的特点决定每个审计人员必须坚持职业怀疑态度。职业怀疑是审计人员必练的基本功。审计人员要养成很强的怀疑意识与能力,需要道德素养、职业责任感、应有谨慎、执业经验、判断能力、专业精神、敏锐眼光的广泛良性互动和长期同步揉和。保持职业怀疑并不是孤立存在的一种纯精神态度,而是要求体现于风险评估、计划和实施程序、收集和评价证据、形成结论和意见等审计全过程的具体专业行为中。可以说,不会职业怀疑,几乎就等于不会审计。与此同时,新国际审计风险准则比以前准则规定了更多的强制审计程序,比如项目组讨论、特别风险和全靠实质性程序获取充分适当证据的风险识别及处置、审计工作底稿更详细的记录等,审计人员在实务中必须执行到位,以减少审计程序的随意性和盲目性。
4.客户行业状况必须掌握,职业经验积累必须重视。ISA 315用了124段外加3个附录的前所未有的特大篇幅,来规范“了解被审计单位及其环境并评估重大错报风险”。这一方面说明风险评估很重要,另一方面说明风险评估难度相当大,对大量的中小型事务所来说做好风险评估更难。ISA 315要求注册会计师先从下列方面了解被审计单位及其环境(包括内部控制),再据以评估财务报表总体层次和认定层次的重大错报风险:(1)行业状况、监管环境以及其他外部因素;(2)被审计单位的性质及对会计政策的选择和运用;(3)被审计单位的目标、战略以及相关经营风险;(4)被审计单位财务业绩的衡量和评价;(4)相关内部控制。这些了解不仅内容十分宽泛,而且要求必须将了解的信息运用于风险评估,无疑对事务所及注册会计师的能力提出了严峻的挑战。各事务所及注册会计师如再不重视平时对客户经营及行业状况的逐步掌握和职业经验的点滴积累,要达到新准则的要求是不可能的。
5.我国现行准则必须修订,审计实务流程必须改进。我国独立审计准则的制定一直坚持国际化方向,已初步建立起独立审计准则体系。注册会计师协会根据ISA的新正在抓紧修订我国现行审计风险准则。按工作计划,目前正在制定4个新的审计风险准则:一是《独立审计具体准则第XX号——会计报表审计的目标和一般原则》,依据新ISA 200制定,拟取代《独立审计具体准则第l号——会计报表审计》;二是《独立审计具体准则第XX号——了解被审计单位及其环境并评估重大错报风险》,依据ISA 315制定,拟取代《独立审计具体准则第9号——内部控制与审计风险》、《独立审计具体准则第20号——计算机信息系统环境下的审计》和《独立审计具体准则第21号——了解被审计单位情况》;三是《独立审计具体准则第XX号——针对评估的重大错报风险实施的程序》,依据ISA 330制定;四是《独立审计具体准则第XX号——审计证据》,依据新ISA 500制定,拟取代《独立审计具体准则第5号——审计证据》。这4个新准则经过在全国范围内征求意见后,计划于2005年正式颁行。各事务所及注册会计师应密切关注和认真审计风险准则的新发展,并积极考虑据此改进审计实务流程,切实提高评估风险和发现重大错报的能力。
主要
ISA 315 Understanding the entity and its environment and assessing the risks of material misstatement
ISA 330 auditors procedures in response to assessed risks
ISA 500 (revised) Audit evidence
ISA 200 Objective and general principles governing an audit of financial statements
ISA 300 Planning an audit of financial statements
IAS 310 Knowledge of the business
实务中,审计过程的风险及相互关系用下面公式表示,即“审计风险=重大错报风险×检查风险”,其中,重大错报风险包括财务报表和认定两个层面的重大错报风险。本文要讨论的是财务报表层面的重大错报风险。财务报表层面是对财务报表影响广泛的意思,它涉及多个科目和账户余额,对财务报表真实、准确、完整影响广泛。那么,财务报表层面风险就是指与某一特定事件相关的多个科目和账户余额同时出现错报的可能性。从定义可以判断出,该风险是一个时间段下的结果,是被审计单位一定运作过程下的产物。经营过程作为财务报表数据的来源,正是企业期间运作的过程。所以,经营过程是财务报表层面风险的来源。经营过程是由若干经营活动组成,经营活动风险(也就是经营风险)过大就会引起相应财务报表层面风险的产生。也就是说,经营风险是造成财务报表层面风险的原因。为从根本上发掘风险来源,就有必要继续分析风险影响因素。所以,本文风险评估指标体系构建的对象是经营风险及经营风险的影响因素。
二、指标选取的理论探讨
经营风险是企业经营过程由于计划、决策、管理的不恰当造成企业经营失败的可能性,是企业必须要关注的风险。经营风险形成的原因很多,总体分为三个方面:一是战略失误,二是内部控制薄弱,三是经营活动低效率。从内部控制角度讲,企业的构成分成两个方面:一是企业占有的资源,二是内部控制。这样,企业的运作可以被表述为内部控制下的企业占有的资源在企业内部、企业内外部间的流动。基于此,企业运作下所有有形和无形的产物就与内部控制存在联系,而且这种联系具有广泛性和普遍性。因此,在内部控制被纳入指标评估后, 要区分其与战略、经营活动的关系。
当内部控制与知识资源结合时,就会生成战略。战略是企业经营总的方向和规划,是企业的知识资源和内部控制结合的产物,具有资源和内控的双重属性。战略具备内控属性,任何战略都是内部控制下的战略;但是,战略又具有资源属性,简单将其划入内部控制而不单独讨论是不恰当的。再者,战略对企业经营影响重大。其意义在于为企业确定正确恰当的目标和实现步骤。目标是否正确恰当对企业生存和发展是至关重要的,是第一位的;错误不当的目标只会使企业离成功越来越远,经营风险增大;目标实现步骤是否合理和可操作有助于企业循序渐进的发展,避免冒进式决策给企业带来的风险。因此,从上述两方面讲将战略放到与内部控制同等地位,讨论其对经营风险的影响是必要的。
经营活动风险的评估是对企业在内部控制约束下战略执行结果风险的评估,具有事后性。其意义在于印证战略风险在内部控制下和内部控制自身风险在自我修复完善机制下被控制的程度,以及有助于在发现计划外的风险后,重新追溯检查战略和内部控制风险评估的内容,使风险评估更加全面。因此,要把经营风险评估放到与内部控制、战略风险评估同等地位来对待。
在上述讨论中,明确了风险评估活动下,战略、内部控制和经营活动的关系和相同地位。由于三者间的联系,必须通过进一步分析找到风险的根源是战略、内控、还是经营活动。能明确区分被评估风险归属于战略、内部控制还是经营活动,对选择恰当的理论作指导,并进一步讨论意义重大。
(一)内部控制 内部控制是被审计单位为了合理保证财务报表的可靠性、经营的效率和效果以及对法律法规的遵守,由治理层、管理层和其他人员设计和执行的政策及程序。2008年6月28日的《企业内部控制基本规范》将内部控制分成了五个部分,即控制环境、风险评估、控制活动、信息与沟通和监督。这五部分组成内部控制的统一整体,但仍具有层次性。
由图1可以看出,内部控制分为三部分内容,即控制环境、控制主体部分(风险评估、控制活动和信息与沟通)、内部监督。其中,控制环境是基础,位于内部控制最低端;中间部分,包括风险评估、控制活动和信息与沟通,是主体和核心内容。内部监督是内部控制自我调节和完善部分,位于最顶端。从内容上讲,基础、主体、调节部分有鲜明的区分;从排列位置上讲,底部、中部、顶端是其功能性的体现,下面分别进行阐述。
控制环境作为内部控制框架体系的基础内容,其对整个内部控制的影响具有总体性。良性的控制环境能为内部控制的运转提供必需的条件,保证控制活动的顺利实现;薄弱的控制环境会造成有悖企业宗旨的因素流入控制循环中,阻碍控制的有效进行,降低内部控制运作效果,形成自身风险。相应审计风险增大。因此,在对内部控制自身风险分析时,控制环境风险评估是重要内容,应被纳入风险评估指标体系中去。
控制主体部分,包括风险评估、控制活动和信息与沟通,是内部控制的主体和实质部分。其运行机理如图:
由图2可以发现,控制主体部分是一动态部分,在现实中是企业运行最活跃、可观测性最强的部分。其以循环的形式存在,从企业制度、运作过程、员工、记录中都可以进行多次观测,便于风险的发现。再者,企业制度具备稳定性,在控制环境中的领导者诚信、企业文化和人力资源政策一定的前提下,不确定性内容减少,风险降低;加上其便于被发现,使得控制主体部分的风险对审计风险影响几乎为零,所以,控制主体部分(风险评估、控制活动和信息与沟通)的自身风险因素不被纳入本文风险评估指标体系构建中去。
内部监督是指对控制活动与控制制度是否相符的监察和督导,其目的是保证各控制活动受控制制度的约束,以使目标的实现更具有预测性和可控性。监督是对权力的一种制衡。因此,如果当监督关系是下级对上级监督,或平级间监督,那么这种关系不成立,内部监督是无效的。只有上级对下级监督形成的制衡关系才能成立(池国华2010)。这样,在内部控制体系中,治理层对管理层、管理层对执行层的制衡才是监督的真实体现,因此对内部监督的讨论,其实质是对治理层、管理层和执行层三者关系的讨论。可见治理层、管理层和执行层其实是控制环境中的内容,完善制衡关系与完善控制环境是一致的。
(二)战略 这里的战略指企业战略。企业战略是企业在考虑各种资源的情况下,根据企业的目标、目的制定实现这些目标、目的的方式。简而言之,企业战略是企业发展的长期性和全局性的谋划(丁宁、穆志强2005)。战略是企业的指导思想,为企业发展明确了方向;战略也是企业的规划,为企业发展制定了步骤。对于有持续经营意图的企业,正确的方向比经营能力更有意义;方向错误,经营能力越强,失败的概率就越大。同样,详细并且可操作性强的发展步骤,有助于企业发展的稳定性,增强了持续经营能力。由此可见,战略对企业经营成败的影响具有总体性和长远性特征,在影响企业经营的因素中处首要地位,其对审计风险的影响是重大的。因此,战略应被纳入到风险评估体系的构建中去。
企业的战略是否不利于企业近期发展,进而形成经营风险,试图通过从战略追溯至相对应经营活动和财务信息来验证,不具备可操作性。为证实两者的关系,有必要对战略形成过程进行分析,通过间接方式得出已有战略具体环节对企业经营风险的影响。
企业战略形成过程如图3:
企业远景与使命是与治理层的价值观和世界观直接联系的,是治理层主观世界的直接反映。由于治理层的建设是在控制环境部分探讨,因此,企业远景和使命应是内部控制下控制环境的内容。长期目标是远景和使命的现实化表现,可以一并归至控制环境中。企业环境分析是企业战略形成的关键,因为企业战略的实质就是平衡内外部环境的策略,既关注近期,又考虑到了远期。所以,企业环境分析对企业战略形成的意义重大,它是企业战略形成最主体内容。一方面企业环境分析是内部控制运作的一部分,是内部控制下的环境分析,带有浓重的控制色彩。另一方面内部控制有自身缺陷,无法100%达到运作预期,造成对一些环境分析的疏漏,企业外部复杂多变的环境仍给企业内控带来很重的压力。存在无法被控制的环境因素就比较正常了。因此,将企业环境分析与内部控制同等看待,纳入到风险评估体系中去,在审计谨慎性原则下就显得十分必要。
最后,企业战略方向选择和具体战略的制定,其是在环境分析后进行的。环境分析发现了风险问题,战略方向选择与战略制定提出解决问题的对策。对策合理与否,与已纳入风险评价体系中控制环境的人力资源政策直接相关,不再重复纳入。
(三)经营活动 由于影响经营风险的因素很多,仅对内部控制和战略相关因素评估无法完全涵盖对重大经营风险的评估。这样,对除内控和战略后剩余活动进行分析就显得很必要。再者,经营活动是内部控制下战略的延伸,对重大经营活动关注,发现其风险,并追溯至战略和内部控制加以验证,可以保证已完成的内部控制和战略评估结论的正确性和有效性。在坚持审计活动谨慎性原则下,将经营活动纳入到风险评估体系构建中是必要的。
综上所述,被纳入到风险指标构建的评估对象有内部控制中控制环境、战略中企业环境分析和经营活动。
三、指标选取
本文对三个方面(战略、经营活动和内部控制)具体内容细分,得出相应指标,如图4所示:
(一)割裂了风险因素之间的关系
传统的审计风险要素就像一个层次分明的网,财务报表的总体错报风险通过内部控制和审计活动层层过滤,被控制在可接受的水平之下。但在实务中,审计人员很容易人为割裂两者的内在联系,而只依赖对控制风险所作的粗放型评估来直接、大致确定检查风险水平,再据此规划实质性程序的性质、时间和范围。这就导致了实务中控制测试和实质性测试的相互脱节,从而加大了审计风险。
(二)审计人员易于忽视固有风险评估
由于在假设不存在相关内部控制的条件下而去单独评估认定的固有风险有显见的难度,再加上直接假定认定的固有风险为高水平被公认为稳健的做法,这样极容易导致不少事务所及审计人员不重视对固有风险的评估,多采用将固有风险定为最高水平即100%的做法。
(三)对管理层舞弊甄别失败
由于实务中对固有风险的评估流于形式,审计的起点便从了解内部控制制度、评价控制风险开始。如果审计人员不把审计视角扩展到内部控制以外,就很容易受到蒙蔽和欺骗,不能发现由于内部控制失效所导致的会计报表存在的重大错报和舞弊行为。
(四)缺乏对财务报表的整体审计风险进行把握和控制
原风险模型侧重于指导认定层次的审计测试工作,对财务报表层次重大错报风险的评估和应对重视不够,进而必然会影响认定层次重大错报的检查效果。虽然该风险模型要求在评估固有风险时应当从会计报表层次和账户余额层次两个方而加以考虑,但在评估控制风险时却并不涉及报表层次,只能要求审计人员对各重要账户或交易类别的相关认定所涉及的控制风险进行评估。这种不注重从宏观层而上了解企业及其环境,而仅从较低层而上评估风险。如果不深入考虑会计报表背后的东西,就不能对会计报表项目余额得出一个合理的期望。
二、审计风险模型的改进
(一)新审计风险模型的介绍
新审计准则认为审计风险由重大错报风险和检查风险构成,它们之间的关系用模型表示为:审计风险=重大错报风险×检查风险。
重大错报风险是的存在可能是因为被审计单位的性质、行业状况、外界环境以及经营风险的影响,也可能是由于被审计单位的内部控制无法有效地防止或发现并纠正错报。影响审计风险的另一个因素是检查风险,检查风险是审计人员自身可以控制的风险,它的高低取决于审计程序设计的合理性和执行的有效性。
在审计过程中,审计人员必须了解被审计单位及其所处环境,以充分识别和评估财务报表重大错报风险,并依据重大错报风险的评估水平确定和实施进一步审计程序,以便把审计风险降低至可接受水平。全面了解审计风险模型对审计人员安排审计工作计划非常重要,审计人员可以依据审计风险模型确定被审计单位各个业务循环应收集的审计证据的数量。
(二)新审计风险模型的优越性
1.引入重大错报风险,改进审计理念
新审计风险模型体现了传统风险导向审计模式向重大错报风险导向审计模式的转变。这个转变明确了审计工作以评估财务报表重大错报风险作为起点和导向。该模型还校正了传统审计模式下以评估客户经营风险为中心的审计思想,强调注册会计师应从多方面了解客户及其环境并评估重大错报风险。新审计风险准则及模型明确规定,了解客户及其环境,包括了解客户的目标、战略以及可能导致会计报表重大错报的相关经营风险,而不是了解和评估全部的经营风险。
2.以风险评估为审计起点,有利于审计质量的提高
新的审计风险模型要求的审计起点为风险评估程序,其次才是针对重大错报风险实施进一步审计程序(即控制测试和实质性测试)。在这一模型下,审计人员在审计的所有阶段都要实施风险评估程序,并将识别的风险与认定层次可能发生错报的领域相联系,实施更为严格的风险评估程序,而不能忽略固有风险的评估,直接将风险定为高水平。这就改善了旧审计风险模型在固有风险评估方面的缺陷,对于甄别管理者舞弊也具有一定的作用。
3.审计程序的设计有的放矢,提高了审计效率
新审计风险模型保证了注册会计师实施的审计程序有的放矢。新审计模型,首先要求实施风险评估程序,了解被审计单位及其环境,除内部环境外还包括行业状况、监管环境、企业的性质,以及目标、战略和相关经营风险等外部环境,在此基础上分别评估财务报表层次和认定层次来评估重大错报风险。对于报表层次的重大错报风险,应根据评估结果设定总体应对措施。对于认定层次的重大错报风险,应以此为依据确定进一步审计程序的性质、时间和范围。两方面的审计措施结合,最终将审计风险降至可接受的低水平。
4.从宏观来看:顺应国际趋势,适应国内环境
纵观整个审计准则,新审计风险模型所代表的全新的审计理念,在一般原则与责任的审计准则以及其他具体相关的审计准则中都有体现,都强调对被审计单位及其所处内外环境的了解和评价。很显然,准则框架体系全面渗透着现代风险导向审计理念,要求注册会计师将现代风险导向审计的观念贯穿于审计全过程。
三、我国运用新审计风险模型存在的困难
(一)风险评估所需数据的限制
评估被审计单位重大错报风险要求对企业的业务、市场状况、管理层,甚至企业所处行业整体的经营状况和市场状况等因素都要有比较清楚的了解。而我国会计师事务所大多没有经济方面、法律方面等多元化的背景,数据积累严重不足。这是我们目前实施新审计风险模型的最大障碍。
(二)会计师事务所运用这一模型进行审计的动力不足
二、严格执行质量控制准则,切实加强以风险防范作为首要目标的质量控制
《中国注册会计师审计准则第1121号――历史财务信息审计的质量控制》要求,会计师事务所应当按照质量控制准则的规定,制定控制制度,以合理保证事务所及其人员遵守法律法规、遵守职业道德规范、审计准则的规定和出具恰当的审计报告。金融风暴的冲击,致使宏观经济复杂多变,企业经营风险以及由于经营艰难、股权激励、业绩承诺、融资或者获取政府资助等因素导致的财务舞弊风险增大,审计失败的风险也随之增加。在这样严峻的经济形势下会计师事务所和广大注册会计师更应当严格执行质量控制准则,制定严密、适当、适用的质量控制制度,以保证独立、客观、公正地发表审计意见,防范执业风险。
在制定质量控制制度时,风险防范应作为质量控制的首要目标,对于被审计单位,审计人员应着重了解金融危机对其经营活动的影响方式、影响程度,了解被审计单位可能粉饰财务报表的动因,以及其管理层的诚信程度等,从而委派适当的项目负责人,组织胜任的审计项目组,并明确项目负责人对审计业务的总体质量负责。
《1121号审计准则》还规定:(1)对上市公司财务报表审计,还应当建立项目质量复核制度,由事务所委派未参加该项审计业务的人员实施独立的项目质量复核,以确保项目组执行的业务符合审计准则的要求;(2)事务所应建立监控政策和程序,以合理保证质量控制制度是相关的和充分的,并正在有效运行。在监控和对已完成的审计业务进行的检查过程中,事务所如果发现某些业务项目在执行中存在不足或缺陷,应即告知项目负责人,项目负责人应当根据事务所通报的信息考虑相关事项并采取必要的补救措施。
由金融危机引发的全球经济动荡,致使被审计单位的情况更加复杂,审计风险会进一步增大。因此,只有严格执行质量控制准则,尽力防止企业经营风险转化为审计风险,才能保证不至于重蹈“琼民源”、“银广厦”、“郑百文”以及“安然”等事件中负责审计的事务所和相关注册会计师的覆辙。
三、认真贯彻风险导向审计理念,谨慎应对金融危机环境下的审计风险
(一)了解金融危机对被审计单位及其环境的影响。
1.了解被审计单位及其环境与风险评估的关系。了解被审计单位及其环境,注重从宏观层面了解、分析财务报表存在的重大错报风险,是风险导向审计理念的精髓。《1101号审计准则》要求注册会计师在审计过程中贯彻风险导向审计的理念,围绕重大错报风险的识别、评估和应对,计划实施审计工作;《中国注册会计师审计准则第1211号――了解被审计单位及其环境并评估重大错报风险》及其《指南》提出:了解被审计单位及其环境是必要程序,特别是在注册会计师为关键环节作出职业判断提供重要基础;职业判断只有建立在对被审计单位及其环境了解的基础上,才是恰当的和符合实际的。
2.充分关注和了解金融危机对被审计单位经营的影响方式和影响程度。通常情况下,审计人员可以按照客户的行业性质、所在地区和产品流向、服务对象等,调查了解金融危机对其影响方式和影响程度,并可在调查了解的基础上,将金融危机对其影响程度划分为严重影响、中度影响、轻微影响和基本上无影响等几种类型;在影响方式上,还可划分为直接影响(如出口企业)、间接影响(如原材料供应企业)和同时具有直接影响和间接影响等几种类型,其用意在实施有效的风险管理和风险控制。在经济动荡的现阶段,被审计单位的行业状况、法律环境、监管环境以及其他外部因素变动频繁,对于被审计单位会计政策的选择和运用,目标、战略及相关经营风险,财务业绩的衡量和评价,以及内部控制,都可能带来重大影响。因此,审计时必须在分析总的经济形势的前提下,根据被审计单位的具体情况,实施了解被审计单位及其环境的审计程序,充分发挥这一重要程序应有作用。
(二)结合金融危机对被审计单位的影响,评估重大错报风险。
1.评估重大错报风险的程序和方法。在了解被审计单位及其环境、把握金融危机对其影响情况的同时,应该对重大错报风险实施评估程序,包括:(1)在了解被审计单位及其环境的整个过程中识别重大错报风险;(2)将识别的风险与认定层次可能发生的错报相联系,比如经评估认为被审计单位利润可能有虚假,则应将其与收入、费用、成本的确认和计量相联系;(3)考虑识别的风险是否重大,是否足以导致财务报表发生重大错报;(4)根据风险评估结果,确定实施进一步审计程序的性质、时间和范围;(5)利用实施风险评估程序所收集的信息,包括在评估控制时所获取的审计证据,作为支持风险评估结果的审计证据。
以上“进一步审计程序”,是指根据评估的错报风险设计和实施的、意在发现和认定重大错报、降低审计风险的审计程序。它是审计准则中的一个专门概念,以区别于财务报表审计的一般程序。
风险评估程序的基本方法,《1211号审计准则》列举的包括询问、分析、观察和检查。
2.结合金融危机影响实施风险评估。在当前复杂多变、低迷不振的经济形势下,风险评估应当侧重于了解国内外经济环境等外部因素,以准确认识风险性质,审计人员还应当考虑在当前金融危机下整体经济环境发生的重大变化,判断相关风险是否属于特别风险,并据以拟定特别风险应对措施;在金融危机的大环境下,在初步业务活动和业务保持阶段,应将持续经营作为重点关注事项。实施风险评估程序时,要客观评价企业管理层对自身持续经营能力作出的评估。当识别出可能导致对持续经营假设产生重大疑虑的事项或情况时,应当设计和实施充分、适当的进一步审计程序;当进一步审计程序实施后认为根据已获取的审计证据,确定可能对持续经营能力产生重大疑虑的事项或情况存在重大不确定性时,审计人员应慎重考虑其对财务报表、报表附注,以及对审计报告意见类型的影响。
3.对风险评估的修正。在当前复杂多变的经济形势下,风险评估结论不是永远适用的,它将随着形势的变动而变更其适用程度。审计过程中,如果通过实施进一步审计程序获取的审计证据与前期评估获取的审计证据不一致,审计人员应当修正风险评估结论,并相应修改原计划的实施的进一步审计程序。因此,评估重大错报风险与了解被审计单位及其环境一样,也是一个连续和动态地收集、更新与分析信息的过程,它同样贯穿于整个审计过程的始终。
(三)充分关注金融危机环境下的特别风险。
1.金融危机环境下产生特别风险的动因及表现。金融危机环境下的特别风险,发生的概率和程度皆比平时高。原因是在复杂艰难经济形势下,企业管理层或为了克服生存危机,或为了骗取外部资金,或为了牟取以财务业绩为基础的私人报酬最大化,或为了掩盖经营失败而动摇自己的领导地位,或为了获取一定份额的国家应对危机的投资资金,等等,不惜以进行财务舞弊、编制虚假财务报表来达到目的。其具体表现主要有:(1)对财务报表所依据的会计记录或相关文件记录的操纵、伪造或篡改;(2)对交易或事项及其他重要信息在财务报表中不真实表达或故意遗漏;(3)对与确认、计量、分类和列报有关的会计准则、会计制度和会计政策、会计估计的故意误用,等等。
1.公司治理组织结构及其运行风险的识别及评估。首先,注册会计师应该对公司治理组织结构健全性评估:股东会的建立及其相应的制度机制是否按照所有股东意愿进行安排,是否代表了所有股东的共同利益。这是公司治理顶级层面的内部制度安排,是公司治理结构中统揽全局的重要组成部分。它决定着监事会以及董事会的设置与运行,是传递给注册会计师的首要信号。其次,注册会计师应该对公司治理组织运行有效性进行评估。即股东会是否按照制度安排正常运行,股东会在公司治理层面上建立的组织是否有效地管理、监督、制衡了经营者的经营活动。
2.资金监控风险的识别及评估。资金监控应单独作为一项考查内容,列入公司治理控制风险评估体系。其所传递的信号直接决定了在会计报表审计过程中的审计重点。首先,应该审查企业是否已经建立了必要的资金监控机制,相应的政策和程序是否存在。在决策过程中实施资金监控,将资本性支出决策权、预算审批权、资金调度权在股东会与董事会之间建立制衡机制,形成权力边界,以保证决策的科学性和资金的安全性。其次,对资金监控机制有效性进行评估。检查股东会对董事会以及高级管理层资金运用的监控机制是否有效,近期内的重大投资项目是否经过股东会的通过,可行性论证是否科学。
3.治理信息传递风险的识别及评估。公司治理信息传递机制是直接影响治理层面控制风险的因素,通过这一机制的评估,可以使注册会计师了解治理层面基本运行情况以及存在的潜在问题。由于董事会信息传达直接关系到最终投资者的利益,所以注册会计师应该把董事会这个信息枢纽中心作为信息传递风险评估的关键环节。会计信息从管理层生成、加工到呈报董事会,使之如实披露报告。监事会应该能够直接检查公司财务状况,并及时听取董事会尤其是审计委员会的报告,监督的信息应及时报告给股东会。
4.公司治理效率的综合评估。以上所分析的三个方面是影响公司治理层面控制风险的重要因素,三者相互连接,相互作用,构成公司治理层面控制的有机整体。所以在对上述三方面进行评估之后,要对公司整体的治理效率进行综合评估。公司治理组织结构的健全及其有效直接影响了资金监控以及治理信息的传递,同时资金监控机制以及治理信息传递机制体现了公司治理结构的健全有效性,能够促进和推动治理结构的优化和完善。注册会计师只有以公司治理效率的综合评估为基础,才能量化公司治理层面的控制风险,才能纳入审计风险评估体系中。
二、公司治理基础上风险评估机制完善的基本实施路径
(一)建立公司治理评价标准体系,实施公司治理评价
自20世纪90年代提出公司治理概念以来,学术界积极地研究公司治理评价的技术分析。目前,已有众多的研究组织和咨询机构都从不同的角度提出了可行的公司治理分析评价技术模型,并得到了一定程度的运用。这些治理评价手段可以帮助审计师在实施基本审计程序前进行先导性治理分析,从而以治理为导向有效开展审计工作。当前主要的评价标准体系见表1(崔如波,2004)。通过了解被审计单位及其环境,运用公司治理评价标准体系,评价公司治理效果,最终评价公司剩余经营风险和公司治理层、管理层的诚信度等,从而评价相关受托经济责任的全面有效履行状况,以确定公司治理是否影响财务报表的公允反映及影响程度。
(二)利用业务循环进行风险因素的分析
审计风险源于会计报表存在重大错报,而审计人员发表了不恰当的审计意见的可能性。审计人员通过对各报表项目的审计来发表对整个财务报告的审计意见,审计的起点可以是从内控制度评价开始也可以直接从重大错报风险评估开始。因此只有将风险评估的结果具体落实到账户的认定层次,才能发现风险(因素)同认定层次可能发生的错误相联系的关键原因。同时,新的审计风险理念要求审计人员从企业自身及环境等较为宏观的视角出发寻找可能的风险因素。基于上述分析,利用业务循环作为风险评估的“中观”环节,建立起从较为宏观的风险因素识别到微观的认定层次重大错报风险确定之间联接的桥梁。在引入业务循环评价重大错报风险时,首先,审计人员在准则的指导下了解了企业及其环境的信息后,可以考虑某一因素是否会对该企业某一个或几个业务循环产生影响,怎么影响,程度如何。即先将各风险因素分配到业务循环中,在业务循环层次上筛选和分析风险因素,由此将风险具体化,进行初步的风险评估。再深入到该具体业务循环的各个相关、对应账户(即账户群)中,进一步分析该循环受到风险因素的影响会如何具体作用在循环中的各相关账户和认定上,是否会造成某几个账户的重大错报风险。最后,由于每个业务循环包含的账户可能交叉重叠,因此在穷尽了每个可能对业务循环造成影响的风险因素,并分析了各循环受到的影响对于具体账户和认定的作用之后,我们需要再以各单独账户为对象,综合该账户可能受到的来自各业务循环的相关风险因素的所有影响,从而最终得到认定层次上重大错报风险的评估结果。
(三)基于审计风险分析,评估财务报表重大错报风险
注册会计师为了对财务报表发表审计意见,在评价公司治理时,应着眼于与财务报表公允反映相关的公司治理。根据公司治理评价,评估财务报表重大错报风险时,应侧重于考虑以下方面:
1.剩余经营风险。剩余经营风险代表公司治理没能实现预期经营目标的可能性,当存在较大的剩余经营风险时,公司管理层甚至治理层将存在较大的财务舞弊动机和压力,被审计单位将存在较大的财务报表重大错报风险。