时间:2023-12-17 15:11:10
引言:寻求写作上的突破?我们特意为您精选了12篇检查风险和审计风险的关系范文,希望这些范文能够成为您写作时的参考,帮助您的文章更加丰富和深入。
2审计风险模型构成要素分析
2.1审计风险构成要素的关系
审计风险构成要素包括重大错报风险和检查风险,其中重大错报风险是指被审计单位的财务报表在审计前存在重大错报的可能性,这是被审计单位所承担的风险;检查风险是指某一认定存在重大错报,但审计人员未能发现这种错报的可能性,这是审计人员所承担的风险。在既定的审计风险水平下,认定层次的重大错报风险与可接受的检查风险成反向变动关系。即评估的重大错报风险越高,可接受的检查风险越低;评估的重大错报风险越低,可接受的检查风险越高。即当公式表达为:AR=RMM×DR的总值一定时,其中,RMM(重大错报风险)越高,DR(可接受的检查风险)越低。
2.2为什么会是这样的反向变动关系
首先,从两个构成要素的定义来看,在审计前被审计单位存在重大错报的可能性越大,就说明被审计单位错报得越严重,即重大错报风险越高,所以对审计人员测试的要求就越高,即要充分发现被审计单位的各种重大错报,以使自身承担的风险,即可接受的检查风险尽量降低。所以二者存在反向变动关系。反之,如果重大错报风险越低,就意味着被审计单位存在重大错报的可能性不大,或错报得不是很严重,那么就不会对审计人员的测试提出过高要求,或是可以适当忽略一些非重大的错报,那么审计人员自身所承担的风险即可接受的检查风险就可以适当提高。所以二者仍存在反向变动关系。其次,从审计风险模型要素与相关概念的关系来看
2.2.1重大错报风险与审计重要性是反向变动关系
一方面,重大错报发生的可能性越大,错报造成的影响就越大,因为是重大错报,已经以重要性水平高为前提,所以有些人不免认为重大错报风险与审计重要性是同向的;但是另一方面,正因为发生的是重大错报,审计人员认为被审计单位的问题严重,所以本着谨慎性原则,审计人员要把审计重要性水平设定为低值,这样的话才能扩大审计测试的范围,更多地查找问题,以使更多的错报都被测试出来。按照前面对审计重要性与审计风险的关系分析,表面上是使审计风险加大了。但实际上潜在的更多的审计风险则会被避免。所以我们更加认定的是后者,即重大错报风险与审计重要性是反向变动关系。
2.2.2重大错报风险与审计证据是同向变动关系
重大错报风险与审计证据的关系可以借助审计重要性和审计证据的关系,如前所述,审计重要性与审计证据之间是反向变动关系,因为重要性水平设定为低值时就要加大审计测试的范围和程度,所以就需要通过更多的审计程序获取更多的审计证据支持。而审计重要性与重大错报风险我们认定也是反向变动关系,从而推导出重大错报风险与审计证据是同向变动关系,即重大错报风险越大,就需要更多的审计证据支持。综上可以结合审计风险与审计重要性及与审计证据的关系可以推断出审计风险与重大错报风险是同向变动的。
2.2.3检查风险与审计重要性是同向变动关系
关于检查风险与审计重要性的关系,可以通过审计风险与审计重要性的关系进行探讨。因为审计重要性与审计风险是反向变动关系,即审计重要性水平设定为低值时,就会加大审计人员测试的范围和难度,所以审计人员出具不恰当审计意见的可能性就越大,进而承担的审计风险也大。但是不能以此就判定检查风险与审计重要性也是反向变动的。因为在审计模型里,检查风险是指可接受的检查风险,而不是表面呈现的检查风险。那就意味着审计重要性水平设为低值时,就要求审计人员进行更全面详细的检查,以使其能充分发现被审计单位的重大错报。所以在此前提下,容许审计人员疏漏的情况是很少的,那么可接受的检查风险也应该是低值,即检查风险与审计重要性是同向变动关系。
2.2.4检查风险与审计证据是反向变动关系
因为一方面,审计重要性与审计证据之间是反向变动的关系,即审计重要性水平设置为低值时,就会扩大审计范围,也就需要更多的收集审计证据;另一方面,检查风险与审计重要性是同向变动关系,重要性水平越低,可接受的检查风险也应该是低值。所以可以推导出检查风险与审计证据是反向变动关系,也就是当可接受的检查风险较低时,就需要更全面深入地测试出被审计单位的错报漏报,也就需要更多地收集审计证据予以支持。综上可以结合审计风险与审计重要性及与审计证据的关系,可以推断出审计风险与可接受的检查风险是反向变动关系。
2.2.5分要素认定审计风险与审计重要性的关系
通过以上对审计风险构成要素的分析,可以判定审计风险中的重大错报风险与审计重要性是反向变动的关系,而其中的检查风险与审计重要性是同向变动关系,所以通过审计风险模型的构成:审计风险=重大错报风险×检查风险,可以判断乘积关系得出的审计风险与审计重要性是反向变动关系。这也是与前面对两个概念的关系表述一致的。
重要性概念在审计中,指会计报告与实际情况不一致的严重程度。《独立审计准则第10号——审计重要性》中指出,重要性“是指被审计单位会计报表错报或漏报的严重程度,这一程度在特定环境下可能会计报表使用者的判断或决定”。重要性实质上强调了一个“度”,在会计或审计报告中,允许一定程度的不准确或不正确的存在,但是要以这个“度”为界。
重要性原则的运用贯穿于会计审计理论及实务中,但重要性水平则可以是针对会计报表、会计账户、乃至于各项交易,在多数场合是针对和首先针对会计报表的。
审计风险由审计行为带来,指由于审计人员出具的审计报告与被市项目真实情况不一致而承担审计责任的可能性。审计风险概念的意义不仅在于提请审计人员注重审计质量,承担审计责任,更重要的在于正确评估审计风险、控制审计风险。
二、重要性与审计风险的内在关系
我国理论界公认的审计风险决策模型为:
审计风险(AR)=固有风险(IR)×控制风险(CR)×检查风险(DR)
它最根本的用途在于根据确定的预期审计风险、固有风险、控制风险的水平来确定检查风险水平。检查风险的价值在于据此确定实质性测试的样本规模,把审计计划与审计实施过程有机地联系起来。
重要性与审计风险是不可分割使用的两个概念,必须把它们结合起来。那么,在重要性和审计风险之间存在怎样的关系呢?审计报告对被审事项中的重要性错误未予极因,就会导致审计风险。因此,重要性是审计风险控制的核心和重点。审计过程中同样的事项,其重要性程度提高时,审计风险必然降低;反之,审计风险必然提高。因此,重要性和审计风险之间是反向对应关系。
重要性理论的目的在于指导审计实践。审计人员对会计报表进行审计,首先要对重要性进行初步的判断。判断要从数量和性质等方面来考虑。从数量角度讲,重要性表现为重要性数量水平,如“税前利润的5%-10%”、“总资产的0.5%一 1%”,等等。在此之所以单独称之为“重要性数量水平”,是为了区别于一般论述中的“重要性”、“重要性程度”、“重要性水平”。在审计实务中,“重要性数量水平”的作用在于作为会计报告允许出现差错的最高水平,评价所发现的重要性,进而确定发表审计意见的类型。
在实施审计前,审计人员对不同规模的重要性都有一个比较一致的认同,即有一个大致相同的重要性数量水平,这个水平应该是相对数。重要性数量水平越大,如从5%提高到10%,则对同一个项目的重要性程度认识就越低,从而审计风险也越大;反之,审计风险就越小。所以,重要性数量水平和审计风险水平成正向对应关系。
审计风险是对审计全过程的评价,由几个因素共同作用而成。审计人员所能控制的只有检查风险要素。所以,控制审计风险的要点在于控制检查风险。根据审计风险决策模型可知,在固有风险和控制风险一定的条件下,检查风险和审计风险成正比关系。
从而,重要性数量水平与检查风险水平成正向对应关系。
对于重要性数量水平与检查风险水平的关系我们有理由进一步作如下推断:
1、如果检查风险水平趋向0时;即在审计中几乎不允许遗漏任何错弊,则重要性数量水平也应接近0;
2、重要性数量水平与检查风险水平的取值范围均在0一100%之间;
3、重要性数量水平与格查风险水平在取值范围内的变化是连续的;
4、重要性数量水平与检查风险水平的变化不一定是均匀的。尤其在两者接近100%时,重要性数量水平变化速度应小于检查风险水平的变化速度。因为对任何一个审计项目,从理论上讲、即使审计人员愿意承担极高的审计风险,也不能采用100%的重要性数量水平。换言之,即使检查风险水平为100%,审计人员也不应将重要性数量水平定为100%、容忍所有的错误,而应将重要性数量水平限定在100%以下,对必要的进行审查后,方能提出审计报告,结束审计项目。
根据上述推断,试建立如下数学模型:
Z=f(d)=ek/d其中:Z表示重要性数量水平;k为系数、且必须小于0;d表示检查风险水平。
该指数函数曲线图示如下:
各项数值确定方法如下:
(l)审计风险水平期望的审计风险水平应该控制在多大范围内才算合理?尚未达成统一认识。有人认为,通常情况下,可允许的审计风险不超过5%,可以定为5%时。但在一定条件下,则要把审计风险走得更低。我认为,5%的审计风险水平还是太高。因为它意味着有1/20的引发审计风险的可能性,以我国一个中等规模的会计师事务所每年接受20项左右的审计项目为例,则该事务所每年就有一次引发审计风险,遭致审计诉讼的可能性。应该说,比较稳健合理的审计风险水平应该控制在2%以下,一般可定为0.5%-2%范围内。
(2)固有风险、控制风险、检查风险水平确定审计项目的固有风险水平,既要考虑该项目的、性质,又要充分考虑该项目所面临的环境。作为国民主要成分的国有尚未走出困境,其内部管理机制和外部监督机制还未健全,其它企业造假作假现象也很普遍,因此将固有风险水平定为 10%-50%,比较符合稳健性原则。
值得注意的是,如固有风险、控制风险水平超过50%时,审计人员应改变审计方式,采用详细审计或拒绝接受审计业务,以使审计风险控制在一定水平之下。检查风险水平必须依据上述3个方面确定。结合审计风险决策模型:
说明如下。根据前述所确定的审计风险水平、固有风险水平、控制风险水平的正常取值范围,抽出各自的最高值、中等值和最小值三种特例进行组合,以对应考察检查风险水平的情况。第一种情况,预期审计风险水平最低,但项目的固有风险、控制风险水平也最低,因此可允许的检查风险水平较高;第二种情况,审计风险水平仍为最低,但固有风险、控制风险处在最高水平,此时,要求审计人员必须谨慎行事,将检查风险水平控制在极低的2%以下;第三种情况,准备接受的审计风险水平最高,同时又有良好的外部环境和内部控制制度,计算出的检查风险水平为200%,超过100%。由于风险水平以100%为上限,放在此改为 100%。这种情况意味着审计人员充分信赖被审单位,主观上又准备接受极大的风险,因而检查风险水平就很高;第四种情况,预期审计风险水平最高,但被审项目的固有风险、控制风险水平也很高,因而检查风险水平较低;第五种情况,前三个方面都是中等水平,检查风险水平也为中等。
(3)K值目前,除澳大利亚外,其他国家无论是准则还是审计准则都没有明确规定重要性的量化标准。以下是实务中用来判断重要性的一些指标:(1)税前净利5%-10%;(2)总资产的0.5%一1%;(3)权益的1%(4)总收入的0.5%-1%。
上述项月的重要性数量水平最高为10%,最低为0.5%,和上表一计算得出的检查风险水平对比:
(K的计算公式推导如下:对z=ek/d,等式数,得InZ=k/d,因此k=dlnZ)
可知:k的取值范围大致在A-0.1—2.7之间,最佳取值范围为一0.4一1.4之间。在具体运用中,审计人员可根据使用者对会计审计信息的依赖程度、被审单位陷入财务困境可能性的判断、对审计风险的偏好程度来具体确定k的数值。
三、重要性与检查风险的客观连接点
重要性一般是对会计报表而言的,但完整地讲,重要性应分为以下4个层次:报表总额,如资产负债表中的资产总额;报表项目金额,如资产负债表中的货币资金项目负担;账户余额,如现金帐户余额、银行存款账户余额等;业务发生额,如差旅费等支出类业务的金锁。根据项目内容的不同,重要性所针对的项目有税前利润、总资产、权益、总收入等。根据本文前论,可由审计风险水平计等确定重要性数量水平。但最后计算出的这个重要性数量水平应该首先对应什么性质、哪个层次的项目,这是一个非常重要的。项目不同,评价的结果可能会大相径庭,甚至得出相反的结论。究竟以什么性质的项目作为入手处,我赞成以资产负债表中的资产总额作为运用重要性数量水平的入手点的观点,理由是:(1)损益表上当期净损益可以从资产负债表上反映出来,也就是资产负债表中事实上已包括了当期的净损益。尤其我国现阶段国企效益状况不佳,成本利润不实现象严重,以资产总额代管税前利润或净利润有其合理性。(2)根据资产负债表的结构及“资产=负债+所有者权益”的恒等关系,负债权益共中的错误,又都能反映在资产类总额上。
将重要性数量水平作为评价资产总额的标准,然后将该数量水平按每一项资产项目在资产总额中所占比重的大小为依据进行分配,接下来就进入实质性测试,审查各项目,判断各项目的错误金额。最后加总计算全部错误金额在资产总额中所占的比重,将其与总的重要性数量水平进行比较。如前者小于后者,说明该项目审计风险在可接受范围内,否则应修改审计计划和审计风险水平或采取其它的措施。
四、说明
重要性概念在会计审计理论中,指会计报告与实际情况不一致的严重程度。《独立审计准则第10号——审计重要性》中指出,重要性“是指被审计单位会计报表错报或漏报的严重程度,这一程度在特定环境下可能影响会计报表使用者的判断或决定”。重要性实质上强调了一个“度”,在会计或审计报告中,允许一定程度的不准确或不正确的存在,但是要以这个“度”为界。
重要性原则的运用贯穿于会计审计理论及实务中,但重要性水平则可以是针对会计报表、会计账户、乃至于各项交易,在多数场合是针对和首先针对会计报表的。
审计风险由审计行为带来,指由于审计人员出具的审计报告与被市项目真实情况不一致而承担审计责任的可能性。审计风险概念的意义不仅在于提请审计人员注重审计质量,承担审计责任,更重要的在于正确评估审计风险、控制审计风险。
二、重要性与审计风险的内在关系
我国理论界公认的审计风险决策模型为:
审计风险(AR)=固有风险(IR)×控制风险(CR)×检查风险(DR)
它最根本的用途在于根据确定的预期审计风险、固有风险、控制风险的水平来计算确定检查风险水平。检查风险的价值在于据此确定实质性测试的样本规模,把审计计划与审计实施过程有机地联系起来。
重要性与审计风险是不可分割使用的两个概念,必须把它们结合起来研究。那么,在重要性和审计风险之间存在怎样的关系呢?审计报告对被审事项中的重要性错误未予极因,就会导致审计风险。因此,重要性是审计风险控制的核心和重点。审计过程中同样的事项,其重要性程度提高时,审计风险必然降低;反之,审计风险必然提高。因此,重要性和审计风险之间是反向对应关系。
重要性理论的目的在于指导审计实践。审计人员对会计报表进行审计,首先要对重要性进行初步的判断。判断要从数量和性质等方面来考虑。从数量角度讲,重要性表现为重要性数量水平,如“税前利润的5%-10%”、“总资产的0.5%一1%”,等等。在此之所以单独称之为“重要性数量水平”,是为了区别于一般论述中的“重要性”、“重要性程度”、“重要性水平”。在审计实务中,“重要性数量水平”的作用在于作为会计报告允许出现差错的最高水平,评价所发现问题的重要性,进而确定发表审计意见的类型。
在实施审计前,审计人员对不同规模企业的重要性都有一个比较一致的认同,即有一个大致相同的重要性数量水平,这个水平应该是相对数。重要性数量水平越大,如从5%提高到10%,则对同一个项目的重要性程度认识就越低,从而审计风险也越大;反之,审计风险就越小。所以,重要性数量水平和审计风险水平成正向对应关系。
审计风险是对审计全过程的评价,由几个因素共同作用而成。审计人员所能控制的只有检查风险要素。所以,控制审计风险的要点在于控制检查风险。根据审计风险决策模型可知,在固有风险和控制风险一定的条件下,检查风险和审计风险成正比关系。
从而,重要性数量水平与检查风险水平成正向对应关系。
对于重要性数量水平与检查风险水平的关系我们有理由进一步作如下推断:
1、如果检查风险水平趋向0时;即在审计中几乎不允许遗漏任何错弊,则重要性数量水平也应接近0;
2、重要性数量水平与检查风险水平的取值范围均在0一100%之间;
3、重要性数量水平与格查风险水平在取值范围内的变化是连续的;
4、重要性数量水平与检查风险水平的变化不一定是均匀的。尤其在两者接近100%时,重要性数量水平变化速度应小于检查风险水平的变化速度。因为对任何一个审计项目,从理论上讲、即使审计人员愿意承担极高的审计风险,也不能采用100%的重要性数量水平。换言之,即使检查风险水平为100%,审计人员也不应将重要性数量水平定为100%、容忍所有的错误,而应将重要性数量水平限定在100%以下,对必要的内容进行审查后,方能提出审计报告,结束审计项目。
根据上述推断,试建立如下数学模型:
Z=f(d)=ek/d
其中:Z表示重要性数量水平;k为系数、且必须小于0;d表示检查风险水平。
该指数函数曲线图示如下:
各项数值确定方法如下:
(l)审计风险水平
期望的审计风险水平应该控制在多大范围内才算合理?目前尚未达成统一认识。有人认为,通常情况下,可允许的审计风险不超过5%,可以定为5%时。但在一定条件下,则要把审计风险走得更低。我认为,5%的审计风险水平还是太高。因为它意味着有1/20的引发审计风险的可能性,以我国一个中等规模的会计师事务所每年接受20项左右的审计项目为例,则该事务所每年就有一次引发审计风险,遭致审计诉讼的可能性。应该说,比较稳健合理的审计风险水平应该控制在2%以下,一般可定为0.5%-2%范围内。
(2)固有风险、控制风险、检查风险水平
确定审计项目的固有风险水平,既要考虑该项目的内容、性质,又要充分考虑该项目所面临的环境。目前作为国民经济主要成分的国有企业尚未走出困境,其内部管理机制和外部监督机制还未健全,其它企业造假作假现象也很普遍,因此将固有风险水平定为 10%-50%,比较符合稳健性原则。
值得注意的是,如固有风险、控制风险水平超过50%时,审计人员应改变审计方式,采用详细审计或拒绝接受审计业务,以使审计风险控制在一定水平之下。检查风险水平必须依据上述3个方面计算确定。结合审计风险决策模型,试列表一如下:
表一:
对上表一说明如下。根据前述所确定的审计风险水平、固有风险水平、控制风险水平的正常取值范围,抽出各自的最高值、中等值和最小值三种特例进行组合,以对应考察检查风险水平的情况。第一种情况,预期审计风险水平最低,但项目的固有风险、控制风险水平也最低,因此可允许的检查风险水平较高;第二种情况,审计风险水平仍为最低,但固有风险、控制风险处在最高水平,此时,要求审计人员必须谨慎行事,将检查风险水平控制在极低的2%以下;第三种情况,准备接受的审计风险水平最高,同时又有良好的外部环境和内部控制制度,计算出的检查风险水平为200%,超过100%。由于风险水平以100%为上限,放在此改为100%。这种情况意味着审计人员充分信赖被审单位,主观上又准备接受极大的风险,因而检查风险水平就很高;第四种情况,预期审计风险水平最高,但被审项目的固有风险、控制风险水平也很高,因而检查风险水平较低;第五种情况,前三个方面都是中等水平,检查风险水平也为中等。
(3)K值
目前,除澳大利亚外,其他国家无论是会计准则还是审计准则都没有明确规定重要性的量化标准。以下是实务中用来判断重要性的一些指标:(1)税前净利5%-10%;(2)总资产的0.5%一1%;(3)权益的1%(4)总收入的0.5%-1%。
上述项月的重要性数量水平最高为10%,最低为0.5%,和上表一计算得出的检查风险水平对比,计算K的数值如表二:
表二:
(K的计算公式推导如下:对z=ek/d,等式数,得InZ=k/d,因此k=dlnZ)
由上表二可知:k的取值范围大致在A-0.1—2.7之间,最佳取值范围为一0.4一1.4之间。在具体运用中,审计人员可根据使用者对会计审计信息的依赖程度、被审单位陷入财务困境可能性的判断、对审计风险的偏好程度来具体确定k的数值。
三、重要性与检查风险的客观连接点
重要性一般是对会计报表而言的,但完整地讲,重要性应分为以下4个层次:报表总额,如资产负债表中的资产总额;报表项目金额,如资产负债表中的货币资金项目负担;账户余额,如现金帐户余额、银行存款账户余额等;业务发生额,如差旅费等支出类业务的金锁。根据项目内容的不同,重要性所针对的项目有税前利润、总资产、权益、总收入等。根据本文前论,可由审计风险水平计等确定重要性数量水平。但最后计算出的这个重要性数量水平应该首先对应什么性质、哪个层次的项目,这是一个非常重要的问题。项目不同,评价的结果可能会大相径庭,甚至得出相反的结论。究竟以什么性质的项目作为入手处,我赞成以资产负债表中的资产总额作为运用重要性数量水平的入手点的观点,理由是:(1)损益表上当期净损益可以从资产负债表上反映出来,也就是资产负债表中事实上已包括了当期的净损益。尤其我国现阶段国企效益状况不佳,成本利润不实现象严重,以资产总额代管税前利润或净利润有其合理性。(2)根据资产负债表的结构及“资产=负债+所有者权益”的恒等关系,负债权益共中的错误,又都能反映在资产类总额上。
将重要性数量水平作为评价资产总额的标准,然后将该数量水平按每一项资产项目在资产总额中所占比重的大小为依据进行分配,接下来就进入实质性测试,审查各项目,判断各项目的错误金额。最后加总计算全部错误金额在资产总额中所占的比重,将其与总的重要性数量水平进行比较。如前者小于后者,说明该项目审计风险在可接受范围内,否则应修改审计计划和审计风险水平或采取其它的措施。
四、说明
1、以上论述是建立在以下审计假设的基础上
(二)审计风险模型逻辑关系剖析。固有风险、控制风险和检查风险三者的内在关系,可以从定量和定性两个方面加以考察:
1、从定量方面看,是指审计风险可能造成各方面经济损失的一定限度的规定性。审计风险是客观存在的,探讨审计风险问题,目的是尽可能地把审计风险控制在一定水平上。审计风险三要素的相互关系为:审计风险(AR)=固有风险(IR)×控制风险(CR)×检查风险(DR)。根据上述公式,在既定的期望审计总风险水平上,注册会计师可以容许的最大检查风险为:最大可容许检查风险=期望审计总风险/(固有风险×控制风险)。其中,检查风险=分析性复核风险×实质性测试风险。
2、从定性方面看,是指注册会计师在执行审计程序中接受的一定程度的不确定性。检查风险与固有风险和控制风险的综合水平之间存在着反比关系,即固有风险和控制风险的综合水平越高,注册会计师可接受的检查风险越低。反之亦然。在任何一种情况下,注册会计师实质性测试程序的性质、时间和范围的确定,应当考虑将检查风险降低到可容许的程度。
二、审计风险模型应用
审计风险模型AR=IR×CR×DR,在风险导向审计方式下的运用,主要体现在审计的计划阶段和审计的终结阶段。在审计计划阶段的运用,主要是根据计划检查风险水平确定将要实施的实质性测试的性质和所搜集审计证据的数量。在审计终结阶段的运用,主要是评价实际审计风险是否低于可接受的审计风险水平。如果实际审计风险低于可接受审计风险,说明审计证据是充分的,可据此做出审计结论;如相反,则应重新评价可接受的审计风险、固有风险和控制风险的估计水平是否适当,审计证据是否充分。
举例分析:
第一步:了解内控后初评C1R,如果高水平,表明不信赖,此时DR很低,说明主要依靠实施详细的实质性测试,获取充分的审计证据。
如,C1R=100%,AR=5%,IR=100%,则DR=5%很低,进行详细测试。
第二步:了解内控后初评C1R,如果低于高水平,并拟信赖内控制度,则进行符合性测试,再评估出C2R,此时DR=AR/(IR×C2R),根据DR确定实质性测试的性质、时间、范围。
如,假设C1R=80%。打算信赖内控——进行符合性测试,再凭C2R=60%,则计划的控制风险就是60%,计划的DR=5%/(100%×60%)=8.33%。按DR=8.33%确定具体审计实质性测试的性质、时间、范围。
第三步:终结审计前,再评C3R。若C3R=40%,小于60%,则DR=12.5%,说明审计程序执行较充分;若C3R=80%,大于60%,则DR=6.25%,说明对控制风险最终评估的水平高于计划评估水平,审计程序不充分,应当考虑追加审计程序或收集更多的审计证据,将检查风险降低到可接受水平。
三、传统审计风险模型的不足与修正
经研究发现,目前审计风险模型还存在一些不足。主要有以下几点:第一,认为审计风险是注册会计师对于存在重大错误的财务报表未能适当地发表审计意见的风险。它忽略了这样一个事实:即使财务报表没有重大错误,注册会计师也会因各种原因而发表不恰当的审计意见的可能性。第二,传统审计风险模型仅从审计的过程上把审计风险划分成固有风险、控制风险、检查风险三个因素,未能从审计过程之外分析审计风险产生的深层次社会原因。而实际上,审计风险是审计内环境与审计外环境综合作用的结果。第三,模型假设各风险要素相互独立,而实际上IR、AR、DR都取决于CR。当内控不健全或无效时,这种相关性的忽略将导致对风险因素的低估,因而使得审计师最后面临的风险大于承受水平。
在现实操作中,审计人员的主观因素有时却是最终导致审计意见不恰当的决定性因素。由于审计人员自身的原因,对于某些公司,即使审计过程中发现了重大错报或漏报,仍存在发表不恰当的审计意见的可能性。因为这种可能性更多的是取决于审计人员的独立性。在许多审计失败的例子中,我们可以看到这样一种现象,许多财务报表的错报在审计检查阶段已经被发现或应该被发现(例如简单的勾稽关系不符),但审计意见对此没有给予恰当的披露。常见的解释是审计人员未保持应有的职业谨慎,或者面对利益诱惑,签字的注册会计师没有保持应有的独立性。
基于上述不足和现象,应对审计风险模型进行修正,修正后的模型为:审计风险=固有风险×控制风险×检查风险+独立性风险。独立性风险的影响因素主要有:被审计单位的经营状况和声誉、被审计单位对会计师事务所的重要程度、被审计单位重要管理人员与会计师事务所人员的关系、被审计单位与会计师事务所是否有长期业务关系等。
在接受审计业务时,审计人员需要利用修正后的审计风险模型对审计风险进行衡量,大体包括以下几个阶段:
1、确定会计师事务所的期望审计风险。在评估被审计单位的客观风险前,先对独立性风险进行衡量,若独立性风险几乎超过了期望审计风险时,事务所应该考虑拒绝接受委托。
2、在独立性风险可以接受的情况下,会计师事务所需要初步评估系统风险(固有风险×控制风险)的大小,以确定是否接受委托和决定收费标准。
3、会计师事务所进行上两步的风险评价,如果其风险总和处于可接受的范围内,会计师事务所会接受委托。同时,应对报表和账户余额层次的重要性水平进行初步评估,对重要认定制定初步审计策略,设计控制测试。
4、实施控制测试,评估控制风险。
5、根据审计风险模型确定检查风险。检查风险=(审计风险-独立性风险)/(固有风险×控制风险),再根据检查风险来确定实质性测试的性质、时间和范围。
一、国外审计风险研究文献综述
(一)关于审计风险涵义的研究
K.stringer在1961年指出,“精确度和可靠度”与“注册会计师可能出具不恰当审计意见的风险”之间存在着联系。这可能是有据可查的关于审计风险研究的开端。1973 年,美国会计协会(AAA)发表“基本审计概念公告”,也使用“可靠度”一词,并对“可靠度”进行解释:“某一认定或声明是真实或有效的可能性”。随后,国外审计职业团体对审计风险的概念作了进一步探索,并各自给出了不同的定义。如美国审计准则(1983)第47号认为:“审计风险是审计人员无意地对含有重要错报的财务报表没有适当修正审计意见的风险”。国际审计准则(2004)将审计风险定义为“当财务报表存在重大错报而审计师发表不恰当审计意见的可能性”。加拿大特许会计师协会认为:“审计风险是审计程序未能察觉出重大错误的风险”。此外,还有一些学者也试图对审计风险作出定义,如A・A阿伦斯等(1994)认为:“审计风险是在财务报表事实上有重大错误时,审计师认为财务报表公允表达,并因此提出无保留意见的风险”。
(二)关于审计风险模型的研究
20世纪70年代,审计风险控制模型开始在审计实务中被陆续采用,D.H.罗伯兹(1978)提出了审计终极风险模型:终极审计风险=固有风险×控制风险×分析性检查风险×(抽样风险+非抽样风险)。在归纳、总结实务工作的基础上,美国审计准则委员会(AICPA)于1981年第39 号《审计准则公告》,认为审计风险是由固有风险、控制风险、分析性检查风险和详细测试风险组成。时隔两年,AICPA在其的第47号审计准则中把审计风险模型重新表达为:审计风险=固有风险×控制风险×检查风险。这个模型具有重要的意义,它将审计风险分解为三个独立的风险因子,并以乘积的形式出现,从理论上解决了注册会计师以制度为基础采用抽样审计的随意性,又解决了审计资源的分配问题,要求注册会计师将审计资源分配到最容易导致会计报表出现重大错报的领域(陈毓圭 2004)。由于这个审计模型的可操作性和适用性,该模型得到了极大的应用,成为传统风险导向审计的一个标志。随后,有许多学者对此模型进行了研究,Lesile(1984)认为固有风险是不存在内部控制的情况下,会计报表或账户层次存在重要错报的风险。Dirsmith 和 Haskins(1991)等也都持有相同观点。Fieldset.al(1989)以及Brown和Solomon(1990)认为控制风险是审计人员对内部控制结构进行评估后不能阻止和检查出存在的重要错报风险。审计风险模型假定,审计风险各因素相互独立,Peters(1990)、Brown 和Solomon(1990)认为现实中不可能做到。Dusenbury等(2000)考察了审计风险模型各要素之间的相互关系,研究发现,审计风险模型中各要素之间是有条件的相互依存。Eilifsen等(2000)则认为审计人员经常混合了对固有风险和检查风险的评估。
然而,这个模型存在着固有的缺陷,原因在于固有风险很难评估,注册会计师在实际执业时,往往简单的将固有风险评价为高水平,而将审计资源投向控制测试(如果必要)和实质性测试。由于忽略对固有风险的评估,注册会计师往往不注重从宏观层面上了解企业及其环境,从而无法全面了解企业面临的风险。为了规避审计风险,从20世纪90年代开始,以国际四大(当时为五大)为代表,审计职业界试图开发出新的审计方法,如毕马威提出了BMP审计模式;安永形成了全球审计方法;安达信会计师事务所开发出了以“经营审计”为名的现代风险导向审计技术;普华永道会计师事务所开发出了以“普华永道审计方法”为名的现代风险导向审计方法;德勤会计师事务所开发出了以“AS/2”为名的现代风险导向审计方法。为了适应新的审计方法,2004年,国际审计准则进行修订后提出了一个新的审计风险模型:审计风险=重大错报风险×检查风险。新的审计模型解决了原有模型不能从整体上把握风险的缺陷,强调注册会计师在进行风险评估时,更加注重企业面临的整体风险。
(三)关于诉讼风险以及法律环境的研究
Palmrose(1994)分析了美国审计诉讼中法庭的判决依据对审计风险的影响,发现法庭倾向于降低审计准则与审计方法在诉讼判决中的作用。Watts等(1994)对1955年至1994年153个审计诉讼案例的研究表明,审计师的独立性低以及被审计报表中较多的收益增长型应计项目与高审计诉讼风险之间显著相关。Latham等(1998)指出客户特征、特定的行业与审计诉讼显著相关。而公司破产与诉讼的正相关更可能在发生舞弊的公司中出现,审计师出具的保留意见则降低了该种相关性。一般来说,“五大”审计师具有更低的审计诉讼风险。
(四)关于审计风险评估与控制的研究
在风险评估方面,Waller(1993)实地考察了审计师对固有风险与控制风险的评估情况。Kida等(1993)对环境风险因素对审计决策结构的影响进行了研究。Messier等(2000)考察了审计师对固有风险与控制风险的评估情况。Low(2004)研究了行业专长对审计风险评估与审计计划决策的影响。
在控制风险方面,Simunic等(1990)认为由一家事务所用组合审计方法审计某一行业的所有公司,可能是降低审计风险的最佳选择。Hogan等(1999)得出的结论是在1976年到1993年期间,同一行业的大部分公司主要由三家或更少的审计公司进行审计,审计公司这样更能对特定行业提供更专业的服务。
二、国内审计风险研究文献综述
(一)有关审计风险内涵的研究
从20世纪90年代开始,我国学者就试图给审计风险一个定义,基本上形成了三种观点。
1.审计风险是审计过程中的不确定因素引起的技术性风险。这种观点最为狭义。陈正林(2006)详细地区分了审计风险与审计师风险,认为前者是审计过程中不确定性因素引起的技术性风险,后者则是由于审计结论与事实的背离而导致审计师受损。
2.审计风险是审计结论不恰当的可能性。持这种观点的主要是中国注册会计师协会,其在2006年的准则中将审计风险描述为:“财务报表存在重大错报而注册会计师发表不恰当审计意见的可能性”。
3.审计风险是审计主体损失的可能性。这种观点通常被称作广义的审计风险观,持这种观点的人很多,如谢志华(1990)、吴联生(1995)、刘力云(1999)认为审计风险是审计组织损失的可能性。王广明(2001)对审计风险定义为:由于审计意见是否恰当的不确定导致的承担法律责任(遭受损失)的可能性。谢荣(2003)认为审计风险是对财务报表的公允性发表了不恰当的审计意见而可能导致的行政责任、民事责任和刑事责任。
(二)有关审计风险模型的研究
2004年,国际审计准则进行了修订,我国的一些专家学者对新的审计准则陆续进行了介绍,并分析了新的审计风险模型的优劣之处。如陈毓圭(2004)介绍了当时国际审计风险准则的最新进展,并提出我国独立审计风险新准则的制定思路及其对注册会计师的影响。谢荣、吴建友(2004)指出现代风险导向审计是一种新的审计基本方法,并介绍了国际审计准则和英美等国审计准则所作的大量相应修订。张龙平等(2005)重点论述新审计风险模型的重大实质性变化,以及在实务中如何正确理解与运用该模型的问题。郭莉(2006)则介绍了我国现行审计风险准则修订的情况。
一些专家学者通过对审计风险模型的分析,指出其不足之处,并试图对审计风险模型进行修订。如张仁寿(2003)认为,现行审计风险模型的三个风险因素之间不是相互独立关系,并对模型进行了修改,即:审计风险=固有风险+控制风险×检查风险。吕博(2005)将随机扰动因素引入审计风险模型,构建了一个新的审计风险模型,即:审计风险=固有风险×控制风险×检查风险+随机扰动项。陈志强(2005)提出一个改进的模型:审计风险=管理当局舞弊风险×检查风险+员工舞弊风险×检查风险+错报风险×检查风险。
(三)有关审计风险评估与控制的研究
胡继荣和张麒(2000)对审计风险的评估进行综合性分析,他们描述了一个审计风险评价的总体过程。张广才(2004)提出在审计风险评估机制中加入公司治理层面控制风险的因素,构建一种基于公司治理的审计风险评估机制。顾晓安(2006)提出了首先通过业务循环来进行风险因素的识别、筛选和初步风险评估,再将业务循环的风险同报表认定层次相对应的两阶段风险评估法。张萍(2010)、王会金(2011)则试图采用模糊综合评价法,建立审计风险综合评价模型,来评估风险。
在审计风险的控制上,姜玉泉(2002)提出了会计电算化系统的审计风险防范及对策。谢荣(2003)建议采取谨慎接受审计客户、采用风险导向审计方法等措施来改进对审计风险的控制。余玉苗(2004)指出事务所应从充分调查客户的行业背景和状况、优化审计人员的结构、培育行业审计专才、积极利用专家意见四个方面来提高审计师行业专长与控制审计风险。秦荣生(2005)认为,审计风险主要由信息不对称所造成的,并提出完善公司治理机制、彻底解决信息不对称、从源头上降低审计风险、保持应有的职业怀疑态度、加强审计计划工作等五项措施。
(四)有关审计风险的实证研究
李爽、吴溪(2004)以客户的盈余管理程度来替代审计风险,发现客户盈余管理迹象与审计定价负相关。宋衍蘅、殷德全(2005)也发现,对于盈余管理动机强烈的公司,继任注册会计师倾向于以公司的盈余管理幅度来衡量审计风险,并为此要求了较高的回报。张继勋等(2005)则以公司对外担保额与应收账款占总资产的比率来衡量审计风险,发现事务所的审计收费与审计风险正相关。
廖义刚等(2009)对审计风险与法律责任之间的关系进行了研究,他们发现随着注册会计师法律责任制度的日臻完善,大型会计师事务所为规避审计风险、维护自身声誉,倾向于选择低风险的审计客户。
也有学者对审计风险与审计质量之间的关系进行了实证研究,翟华云等(2011)通过实证认为:高投资机会公司的注册会计师面临着更高的审计风险;而注册会计师为了降低审计风险和被诉讼的风险,有动机提高自身的审计质量,遏制被审计单位的可操控性。宋衍蘅等(2012)通过考察监管风险与审计质量之间的关系,得出在法律环境相对薄弱的情况下,加强监管是促使会计师事务所提供高质量审计服务的有效机制的结论。
三、总结与展望
通过对国内外相关文献的梳理分析,可见我国对审计风险的研究方式仍以规范为主,且内容以对国外理论成果的介绍居多,或者是完全照搬国外的理论、方法来研究国内相关的问题。此外,我国对审计风险的界定还莫衷一是,存在着所谓的狭义审计风险概念和广义审计风险概念。正因为如此,才有很多学者对审计风险模型该包含哪些因素存在着争议。因此,或许以后的研究可以关注以下几点:一是在研究范式上,更多的采用实地研究、实验研究等方式。二是注重在中国特色的背景下,结合社会环境进行研究。如我国审计职业界这几十年的发展、演变,以及相关的特色。三是厘清审计风险的内涵,并对与审计风险相关的基本概念进行研究,如审计范围界定等。
一、审计风险的具体内涵
尽管目前对重要性原则的表述不尽相同,但其认识基本一致,即如果信息的错报或漏报影响到报表使用者的判断或决策,那么该信息就是重要的。在理解重要性的具体内涵时,必须认识到由于审计方法或审计成本的限制,财务报表审计只能起到合理保证的作用,注册会计师在审计过程中必须站在财务报表使用者的角度上,考虑在具体的审计环境下,财务报表的某项错报是否足以改变或影响财务报表使用者的相关决策,所以运用重要性的关键是确定多少金额及以上的错报会影响到信息需求者的决策。在我国的审计实务中,结合重要性标准的具体含义做进一步延伸界定为重要性水平,这也是审计实务工作者对重要性的习惯性表述,而这种做法与重要性的含义逻辑上一致。
现代风险导向审计实务模式下,注册会计师确定两个层次的重要性水平,就某一特定的被审计单位而言,出具真实公允的财务报表是被审计单位管理当局的责任,而报表中的错报漏报到多大程度会影响到报表使用者的判断决策是客观存在的,这个尺度只有管理当局最清楚。但这个客观的重要性水平是一个非常抽象的标准,对注册会计师而言具有不可确知性,只能利用对被审计单位的理解和职业判断进行评估。目前没有尺度去评价CPA所估计的重要性水平是接近还是偏离客观重要性水平,所以伴随CPA这种职业判断的审计风险接踵而来,不仅如此,不同的报表使用者容许报表中存在的错报或漏报严重程度不尽相同,但在实践中,注册会计师用统一的量化的重要性判断标准来指导审计实务,将承担一定的审计风险,实践中重要性水平的确定和注册会计师承担审计风险存在必然联系。
针对具体认定层次风险严重性和可能性,确定进一步的审计程序,CPA通过实施具体的审计程序,收集到充分适当的审计证据来控制检查风险水平,所以从审计人员角度看,确定各个认定层次的重要性水平,但能否查出各个认定层次的错报漏报是否超过重要性水平这本质上属于审计检查风险。对重大错报风险水平进行恰当评估基础上,只有将审计检查风险降到可接受范围之内,才能达到审计后的报表容许的错报或漏报在重要性水平之下,审计风险在可承受范围之内。
二、审计程序的界定
审计计划阶段确定的重要性水平,可接受的审计风险水平,最终都是在为注册会计师实施审计程序范围的大小服务。而随着审计程序实施范围的不断加深及对被审计单位具体情况的不断了解,注册会计师不断修正审计计划阶段确定的重要性水平和审计风险水平。所以审计程序范围与计划阶段确定的重要性水平、审计风险水平具有相对应的关系。
现代风险导向审计模式下,审计程序按实施的目的分为风险评估、控制测试、实质性测试。风险评估程序是以了解被审计单位及其环境并进行恰当评估重大错报风险为起点和导向,获得包括对企业外部、内部环境的风险的初步了解和识别,并根据初步评估结果,计划和实施控制测试程序,然后根据风险评估程序和控制测试的结果,计划和实施实质性测试程序。现代风险导向审计新理念是增强风险评估的新导向和进一步审计程序的针对性。如果初步评估重大错报风险水平较高,则CPA应实施更多实质性测试而相应减少控制测试的范围,把从宏观着眼识别和评估出的重大错报风险与微观的某类交易、账户余额及列报认定相联系,通过实施具体的细节测试和分析性测试,将认定层次的错报或漏报查出,控制检查风险水平,通过将组成财务报表三个认定层次的超过重要性水平的错报或漏报查出,才能合理保证财务报表整体不存在重大错报,审计风险也能降低到可接受范围之内。
三、审计风险与审计程序的关系
审计证据是指注册会计师为了得出审计结论、形成审计意见而使用的所有信息,包括财务报表依据的会计记录中含有的信息和其他信息。独立审计准则规定,注册会计师应当获取充分、适当的审计证据,以得出合理的审计结论,作为形成审计意见的基础。在审计理论与实务中,诸多方面影响着审计证据的充分性,也影响着审计证据的数量。本文利用图表形式,对审计证据的影响因素进行了直观分析,旨在提高对审计证据数量影响因素的感性认识。
一、重要性对审计证据数量的影响
如果一项错报单独或连同其他错报影响财务报表使用者依据财务报表作出的经济决策,则该项错报是重大的,即影响报表使用者作出判断和决策的错报程度就是重要性水平。根据独立审计准则,注册会计师应当对各类交易、账户余额、列报认定层次的重要性进行评估,以有助于确定进一步审计程序的性质、时间和范围,收集审计证据,将审计风险降至可接受的低水平。由此可见,重要性水平影响收集审计证据的范围,从而影响审计证据的数量。
各类交易、账户余额、列报认定层次的重要性水平也称为“可容忍错报”。它是在不导致财务报表存在重大错报的情况下,注册会计师对各类交易、账户余额、列报确定的可接受的最大错报。重要性水平与审计证据之间的关系可以转化成可容忍错报与审计证据之间的关系。
在抽样审计中,可容忍错报与样本量即审计证据数量之间成反向变动关系:可容忍错报越大,样本量越小;可容忍错报越小,样本量越大。而样本量越小,审计证据越少;样本量越大,审计证据越多。因此,可得出推论:在计划审计阶段,重要性水平越高,审计证据越少;重要性水平越低,审计证据越多。这里所指的重要性水平是指重要性的数量特征,即20 000元的重要性水平比10 000元的错报重要性水平高。而为合理保证存货账户的错报或漏报不超过10 000元所需收集的审计证据,比为了合理保证该账户错报或漏报不超过20 000元所需收集的审计证据要多。重要性水平、样本量与审计证据之间的关系如表1所示:
二、审计风险对审计证据的影响
审计风险是指财务报表存在重大错报而注册会计师发表不恰当审计意见的可能性。根据独立审计准则,审计风险取决于重大错报风险和检查风险,审计风险模型可以表述为:
审计风险=重大错报风险×检查风险
该式表明,在可接受的审计风险水平下,可接受的检查风险水平与认定层次重大错报风险的评估结果成反向关系:评估的重大错报风险越高,可接受的检查风险越低;评估的重大错报风险越低,计划的、可接受的检查风险越高。当可接受的审计风险水平一定时,三者之间的关系可以表示为:
检查风险=审计风险/重大错报风险
也就是说,注册会计师应当评估认定层次的重大错报风险,并根据既定的审计风险水平和评估的认定层次重大错报风险确定可接受的检查风险水平,从而设计审计程序,收集审计证据。
这一关系式从表面看,解释的是审计风险与检查风险之间的关系,其实质却是审计风险与审计证据之间的关系:在既定的、可接受的审计风险前提下,重大错报风险越大,可接受的检查风险越小,会计报表中的重大错报未被审计师发现的可能性越低,审计范围越大,需要的审计证据越多;重大错报风险越小,可接受的检查风险越大,会计报表中错报未被审计师发现的可能性越高,审计范围越小,需要的审计证据越少。也就是说,审计风险与审计证据数量之间成同向变动关系:审计风险越高,所需证据的数量越多;审计风险越低,所需证据的数量越少。
三、审计风险、重要性对审计证据的动态影响
(一)三者问的关系
根据独立审计准则,重要性水平与审计风险之间成反向变动关系,由上述分析已知,重要性水平与审计证据数量之间成反向变动关系,审计风险与审计证据之间呈现同向变动关系。三者关系如图1所示:
重要性水平对审计风险的影响以及相应的审计证据之间的关系可以由表2表示。
(二)评价审计结果时,重要性和审计风险对审计证据的影响
随着审计过程的推进,注册会计师应当评价对重要性的判断是否仍然合理,从而确定是否面临过高的审计风险,审计证据的数量是否满足了充分性要求。
在确定审计程序后,如果注册会计师确定接受的重要性水平接近计划阶段重要性水平,则意味着初始重要性水平确定适当,审计风险控制适当,审计证据数量适当。
如果注册会计师决定接受更高的重要性水平,则意味着注册会计师对于初始重要性水平的估计过于保守,注册会计师执行了过多的审计程序,收集了超过充分性最低数量要求的审计证据,虽不影响审计效果,但影响了审计效率。
如果注册会计师决定接受更低的重要性水平,例如初步评估的重要性水平为20 000元,而再次评估的重要性水平为10 000元,则意味着随着注册会计师对被审单位了解的深入,对被审单位的会计报表各个层次的重要性水平做出了重新估计。此时注册会计师认为,10 000元的错报就会影响会计报表使用者的决策,而原来按照重要性水平为20 000元所设计的审计程序没有收集10 000元~20 000元之间的错报。此时较低的重要性水平使得重大锚报风险水平提高,注册会计师实际面临的审计风险水平超过了可接受的审计风险水平,这就使得注册会计师发表不恰当审计意见的可能性增加。此时,根据初步评估的重大错报风险设计的审计程序将不再适用。注册会计师应当选用下列方法收集更多的审计证据,从而将审计风险降至可接受的低水平:
1 如有可能,通过扩大控制测试范围或实施追加的控制测试,降低评估的重大错报风险,并支持降低后的重大错报风险水平。
2 通过修改计划实施的实质性程序的性质、时间和范围,降低检查风险。
四、抽样风险与非抽样风险对审计证据数量的影响
抽样风险是指注册会计师根据样本得出结论和对总体项目实施同样的审计程序得出的结论存在差异的可能性,也就是样本不能够代表总体特征的可能性。例如抽样风险为10%,则意味着即使注册会计师遵循了独立审计准则对样本进行审计,其结论也不代表总体特征的可能性为10%。
非抽样风险是指由于某些同样本规模无关的因素而导致注册会计师得出错误结论的可能性。例如注册会计师选择的总体不适
合审计目标,未能适当定义误差或错报,选择了不适于实现特定目标的审计程序,未能适当评价审计发现的情况等等原因所导致的未能发现重大错报或控制失败。注册会计师可以通过采用适当的质量控制政策和程序,对审计工作进行适当的指导、监督和复核以及实务的改进,将非抽样风险降至可接受的低水平。
抽样风险与非抽样风险共同构成审计风险,即:抽样风险+非抽样风险=审计风险
注册会计师若想要求样本代表总体特征的可能性越大,即抽样风险越小,则样本规模必然越大;样本规模越小,代表总体的可能性越小。即抽样风险越大。也就是说,抽样风险和审计证据数量之间呈现的是反向变动关系。
抽样风险、非抽样风险与样本规模之间的关系见图2所示:
图2表明,审计风险由抽样风险和非抽样风险共同构成。非抽样风险不受审计方式的影响,不随样本规模而发生变化,无论注册会计师采用抽样审计还是非抽样审计,非抽样风险都客观存在。而抽样风险随着样本规模的增加而逐步减小。在非抽样风险一定的前提下,注册会计师愿意接受的抽样风险越低,可接受的审计风险要求越低,样本规模通常越大,审计证据数量越多;而注册会计师愿意接受的抽样风险越高,可接受的审计风险要求越高,样本规模越小,审计证据数量越少。当样本规模等于总体时,即在N点处,也即详细审计时,抽样风险为零,审计风险全部由非抽样风险所构成。
五、预计总体误差对审计证据的影响
抽样审计中,预计总体误差即注册会计师预期在审计过程中发现的误差。其他条件既定的前提下,预计总体误差越大,可容忍误差也应当越大;预计总体误差越小,可容忍误差也应当越小。在既定的可容忍误差下,当预计总体误差增加时,所需的样本规模越大。也就是说,此时预计总体误差与审计证据数量之间成同向变动
图3中,a1、a2和a3代表不同的可容忍误差水平,且a1>a2>a3;s1、s2和s 3代表不同的样本规模,且s1
随着审计责任的加大,审计风险的问题越来越受到人们的极大关注,职业界普遍认为有效控制与规避审计风险是亟待解决的问题。但笔者认为解决实际问题首先应理论联系实际,因此笔者将对审计风险的概念、风险基础审计模式的要素及计量、控制环境在审计风险要素中的定位以及审计风险评价与期望审计风险确定等问题结合实际做一些特殊的考虑,以期望能对审计实际工作有所指导。
一、关于审计风险概念的特殊考虑
风险基础审计,必须先明白审计风险的涵义。对审计风险的涵义,国内外有许多学者作了积极探索,不同的人由于站的角度不同,结论也并非完全一致。美国注册师协会(AICPA)、加拿大特许会计师协会(CICA)、国际审计实务委员会(IAFC)以及著名审计学家阿伦斯等都对审计风险涵义表达了自己的看法。这些有关审计风险的概念,有一个共同的特点,认为审计风险是指财务报表没有公允地揭示的风险。但笔者认为,这种定义方法只是为了给实务中的具体操作提供可行的指南,而不是从一般的理论意义上探讨,因而只能说明审计风险的表面现象,而未触及审计风险最本质的东西。笔者认为,将审计风险概括地表示为能觉察出重大错误的风险,只是最狭义的审计风险,而审计风险本身具有更广泛的含义,可从最狭义、狭义和广义三个层次上来说明。从最狭义的角度来理解,审计风险是审计人员错误地估计和判断了审计事项,乃至发表了与事实相悖的审计报告,使重大错误或舞弊行为未能揭示出来,而受到有关关系人指控并遭受某种损失的可能性。
一般来说,审计人员对审计风险理解就是如此,包括国际审计准则在内的大多数的国家的审计准则也是这样理解的。原因在于审计实践中大量产生的是这一类审计风险,因而成为人们研究的重点。这为审计人员和寻找审计活动所可能招致的风险及其直接因素开辟了途径,在实务中使审计人员容易寻找到对付的办法。但是,上述关于审计风险的定义并没有完全表达审计活动的风险,仅是针对把错误的判断为正确,即财务报表存在重大差错而发表了无保留意见的报告。因而,当我们对审计活动结果的可能性进行考察时,其结果不仅存在把错误判断为正确的情况,还存在把正确判断为错误的情况,因而审计风险的含义应有更广泛的。
从狭义的角度理解,审计风险还应当包括财务报表没有公允揭示而审计人员却认为已公允揭示的风险,以及财务报表总体上已公允揭示而审计人员却认为未公允揭示的风险。审计风险应是“主观”与“客观”的一种偏离,有可能从两个方向发生偏离:一是把客观上是正确的东西判断为错误的,给予否定,也就是α风险;二是把客观上是错误的东西判断为正确的,加以肯定,也就是β风险。由于在审计实践过程中,对公允揭示的财务报表发表一个有保留或相反的意见,一般是不可能发生的,因而α风险发生的情况很少,而大量的是β风险,即对严重失实的财务报表发表无保留的审计意见的风险。但α风险很少发生并不等于说不是客观存在的。一旦发生这种情况,通常会延长研究和调查时间,审计人员的效率和信誉,也会导致损失(效率低下的损失和名义上的损失)。因而,从理论的探讨来说,α风险也是审计风险的内容之一。
美国学者海尼丝在论述风险时,认为风险是损失的可能性,这是从最广泛意义理解风险。推而广之,审计风险也可以理解为审计主体损失的可能性。主要有“狭义的审计风险”和“社会营业风险”。社会营业风险是指虽然为某一客户提供的审计报告正确无误,但审计人员(或承担审计的会计师事务所)却由于一种客户关系而受到伤害的风险,这就是通常所说的“深口袋”责任概念。上述因素,即使不是审计过程中发生的失误行为,也对审计构成了风险。因而必须把社会营业风险列入审计风险的范畴,并扩大审计人员的审计范围。这是审计风险模型要加入考虑该风险要素的主要理由之一,也是会计师执业面临诉讼爆炸的重要原因。
综上所述,审计风险是审计与风险两个概念的组合。审计风险概念是风险的属概念,具有风险的基本特征。将风险概念引入审计学,是审计理论与实务史上具有重要意义的一个里程碑,它使审计人员对审计风险的认识由被动变为主动,对审计风险的控制变被动控制为主动控制。对审计风险的解释有三个层次,不同的层次适用条件不一样。完善的审计风险概念,应从广义上解释,即不仅包括审计过程的缺漏导致审计结果与实际不相符而产生损失或责任的风险,而且包括营业失败可能导致公司无力偿债或倒闭所可能对审计人员或审计组织产生伤害的社会营业风险。
二、关于审计风险要素与计量模式的特殊考虑
浅议审计风险的评价 文章作者:阿飞 文章加入时间:2005年9月7日10:56 近两年来,我国会计市场接连发生重大的诉讼案件,许多注册会计师和会计师事务所,都被牵扯到经济案件中,在社会上产生了很大的反响。随着国有企业改革的进一步深化和会计师事务所脱钩改制的完成,注册会计师更需要对被审计单位的审计风险有一个清醒的认识。 审计风险,英文称audit risk(ar),是指在会计报表存在重大错报或漏报,而审计人员审计后发表不恰当审计意见的可能性。审计风险的造物主是注册会计师(cpa),它的产生并非偶然,当注册会计师的慧眼终究识破不了被审计单位的会计报表中存在的重大错报和漏报时,就有发表不恰当审计意见的可能性。于是,审计风险就产生了。 随着审计事
业的发展,职业界对审计风险问题将日趋重视,努力从本单位的实际情况出发,根据自己所处的环境和条件,在审计准备、实施和报告阶段采取各种风险管理和控制对策,以减少审计风险。避免风险损失是当前会计师事务所迫切需要解决的问题。审计风险的评价贯穿于审计过程的始终。审计风险评价的高与低、正确与否和注册会计师承担的审计责任有密切的关系,因此,加强审计风险管理,正确评价审计风险已成为会计师事务所提高审计质量和效率的一种十分重要的手段。 一、审计风险的构成要素及其关系 审计风险的内部控制结构很简单,由固有风险(inherent risk,缩写为ir)、控制风险(control risk—cr)和检查风险(detction risk—dk)三部分组成。所谓固有风险险是指假定不存在相关内部控制时,某一帐户或交易类别单独或连同其他帐户、交易类别产生重大错报或漏报的可能性。所谓控制风险,是指某一帐户或交易类型单独或连同其他帐户或交易类型产生错误或漏报,而未能被内部控制防止、发现或纠正的可能性。所谓检查风险,是指某一帐户或交易类型单独或连同其他帐户、交易类型产生重大错报或漏报而未能被实质性测试发现的可能性。 在审计风险的三个构成要素中,ir和cr是审计风险的硬件,因为它们的产生源于被审计单位,不易改变,注册会计师对比无能为力。因此,注册会计师只能将工作重点放在实质性测试上,以便将审计风险的软件dr控制在可接受的水平内,进而将审计风险降低至可接受的范围内。ir、cr和dr相互关系可以用定量和定性两个模型来考察。 从定量的角度看,审计风险三要是的相互关系可用下列公式表示: 审计风险=固有风险×控制风险×检查风险 根据上述公式,在既定的审计风险下,检查风险可计算如下: 检查风险=审计风险/(固有风险×控制风险) 例如:某注册会计师可接受的审计风险为5%,根据以往审计经验以及本年度审计对内部控制的研究和评价,他将被审计单位的固有风险和控制风险分别评估为60%和40%,以这些评估为基础,他可接受的检查风险如下: dr=5%/(60%+40%)=20.8% 从定性的角度考虑,审计风险三要素的相互关系如下表所示: 注册会计师 对固有风险 的评估注册会计师对控制风险的评估 高中低 注册会计师可接受的检查风险 高最低较低中等 中较低中等较高 低中等较高最高 上表说明,检查风险与固有风险和控制风险的综合水平之间存在着反比关系。固有风险和控制风险的综合水平越高,注册会计师可接受的检查风险水平越低,反之亦然。换言之,当固有风险和控制风险的综合水平越高时,注册会计师必须扩大审计范围,将检查风险尽量降低,以便使整个审计风险降低至可接受的水平;反之,如果被审计单位内部控制行之有效,固有风险和控制风险的综合水平较低,则注册会计师即使冒较大检查风险,但总体审计风险仍然较低。 因此,评价审计风险应从它的三个要素入手,下面就分别进行阐述。 二、固有风险的评价 固有风险与被审计单位内部控制是否存在、是否有效有关,是被审计单位所固有的,是注册会计师不能改变的,但是,注册会计师可以通过研究和评价被审计单位的内部控制来对它做出评估,若被审计单位内部控制良好,则会计报表产生错报或漏报的可能性就较小,注册会计师可将其评价为低水平;反之,则应评价为高水平。 在评价固有风险时要考虑多方面的因素,这些因素大体可以分为两类:第一类因素与会计报表定省略符合性测试,直接实施实质性测试,将无法对内部控制的有效性做出评价,基于稳健考虑,应当将控制风险评估为高水平。 只有出现下列情况时,注册会计师才不应当将控制风险评为高水平: 1、相关内部控制可能防止、发现或纠正重大错报或漏报。 2、注册会计师不拟进行符合性测试。上述第一种情况说明内部控制可能有效,第二种情况说明控制风险的高低,只有待注册会计师实施符合性测试程序后,才能最终予以评估。 (二)符合性测试与控制风险的进一步评价 注册会计师如拟信赖被审计单位内部控制,应当实施符合性测试程序,以评价控制风险。初步评价的控制风险水平越低,注册会计师就应获取越多关于内部控制设计合理和运行有效的证据。这包括两层含义:第一层含义是实施符合性测试是确定信赖内部控制的前提条件。当然,如果不准备信赖内部控制,注册会计师便不实施符合性测试。第二层含义说明了控制风险初步评价结果与审计证据的关系。如前所述,基于稳健原则,注册会计师宁可高估控制风险,不可低估控制风险。因此,注册会计师如将控制风险评估为最低水平,则他必须获取尽可能多的证据以表明内部控制设计合理、运行有效。 进行了符合性测试后,注册会计师应当根据符合性测试的结果,评价内部控制的设计和运行是否与控制风险的初步评估结论相一致。如果存在偏差,应当修正对控制风险的评价,并据以修改实质性测试程序的性质、时间和范围。 控制风险可评价为高水平,也可评价为低水平。意味着内部控制不能及时防止或发现和纠正某项认定中的重要错报或漏报的可能性很大。如果很多认定或所有认定的控制风险都被评价为高水平,那么注册会计师就要研究是否应进一步对被审计单位会计报表进行审计。 注册会计师只有在确认以下事项的情况下,才能将控制风险评价为高水平: 1、控制政策和程序与认定不相关; 2、控制政策和程序无效; 3、取得证据来评价控制政策和程序显得不经济。 注册会计师只有在确认以下事项的情况下,才能将控制风险评价为低水平: 1、控制政策和程序与认定相关; 2、通过符合性测试已获得证据证明控制有效。 如果注册会计师评价企业内部控制为高信赖程度,说明控制风险为最低。而控制风险越低,注册会计师就可以执行越有限的实质性测试。如果内部控制为低信赖程度,说明控制风险很高,那么,注册会计师只有依靠执行更多的实质性程序,才能控制检查风险处于低水平,进而控制审计风险处于低水平。只有这样,才能保证审计的质量。可以看出,内部控制目标与审计目标相联系,无效的内部控制必然导致注册会计师增加实质性测试的工作量。但不论固有风险和控制风险的评估结果如何,注册会计师均应对各重要账户或交易类别进行实质性测试。 (三)实质性测试与控制风险的最终评价 注册会计师在终结审计之前,应当根据实质性测试的结果和其他审计证据,对控制风险进行最终评估,并检查其是否与控制风险的初步评估结果相一致。如果不一致,如实质性测试结果表明,控制风险水平高于控制风险的初步评估水平,可能意味着根据对控制风险初步评估结论而设计的实质性测试程序不能将检查风险降低至可接受的水平,在这种情况下,注册会计师应当考虑是否追加相应的审计程序。例如:通过发函询证,注册会计师发现回函结果与被审计单位的会计记录普遍存在重大差异,这表明被审计单位未能有效地就应收账款与客户定期核对。为此,注册会计师可能决定全面、详细地审查所有销货交易,扩大应收账款的函证范围。 通过控制测试和实质性测试,可以从总体上把握审计质量,控制审计风险。 四、检查风险的评价 (一)检查风险的评价基础
如前所述,审计风险三要素之间存在着密切联系。固有风险与控制风险的综合水平,决定者注册会计师的检查风险水平。评价的固有风险与控制风险综合水平越高,注册会计师可接受的检查风险水平也越低,反之亦然。因此,由于控制风险与固有风险相互联系,注册会计师应当对固有风险和控制风险进行综合评估,并据以作为检查风险的评估基础。 鉴于固有风险与控制风险的评估对检查风险有直接影响,固有风险和控制风险水平越高,注册会计师应实施越详细的实质性测试程序,并着重考虑其性质。例如:针对存货和产品成本项目,除进行分析性复核外,还应对其余额进行实质性测试,并对实质性测试的时间(如在接近会计期间结束时)、范围(如抽取较大样本)加以关注,以将检查风险降低至可接受的水平。 (二)检查风险对确定实质性测试的性质、时间和范围的影响 不论固有风险与控制风险的评估结果如何,注册会计师都应当对各重要账户或交易类别进行实质性测试。然而,注册会计师实施的实质性测试,其性质、时间和范围的确定,最终取决于根据固有风险和控制风险的综合水平确定的可接受的检查风险。它们的关系如下表所示: 实质性测试可受的检查风险性质时间范围 高分析性复核和 交易测试为主期中审计为主较小样本 较小证据 中分析性复核、交易测试以及余额测试结合运用其中审计、期末审计和期后审计结合运用适中样本 适量证据 低余额测试为主期末审计和期后审计为主较大样本 较多证据 (三)检查风险与审计意见的类型 检查风险不仅影响注册会计师所实施的实质性测试的性质、时间和范围,而且影响注册会计师所发表的审计意见的类型。如果经过实施有关实质性测试后注册会计师仍认为与某一重要账户或交易类别的认定有关的检查风险不能降低至可接受的水平,那么,他应当发表保留意见或拒绝表示意见。这是因为,如果不能将重要账户或交易类别的检查风险降低至可接受的水平,说明注册会计师因审计范围受到重大限制,难以确定有多少重大错报或漏报,无法通过实质性测试予以发现,会计报表的部分或全部认定是否真实、公允也难以确定。在这种情况下,比较稳妥的做法是发表保留意见或拒绝表示意见。 作为对外开放的专业服务市场之一,我国会计市场入世后必将发生很大变化。在未来市场中如何定位,已成为每一个会计师事务所当前最为关心的问题。如何科学合理地评价及运用审计风险理论已成为一个关系到会计师事务所生死存亡的关键因素。 最近,一些专家提出了一种新的审计风险评价模式:ar=ir+cr+dr+u(r)。u为随机扰动项,是一个风险的函数,专门应对那些无法估计到的因素,像汇率变动、物价上涨等因素。这一函数的引用将使审计风险模型的功能更加完备,同时事务所生存的压力也将增大。入世后,对注册会计师出具的审计报告期望越高,注册会计师事务所面临的审计风险就越大,稍有疏忽,有关会计师事务所就会面临关闭、没收财产、罚款、直接责任人被吊销执业资格的局面,甚至会导致某些人锒铛入狱等。 如前所述,注册会计师所从事的是一种风险性行业,只要执业环境存在缺陷,只要采用抽样审计,就会存在审计风险。注册会计师或许无法完全规避审计风险,但这不等于说他们可置审计风险于不顾。相反地讲,面对客观存在的审计风险,注册会计师应保持职业谨慎,运用专业判断,对被审计单位的审计风险各要素,包括固有风险、控制风险和检查风险进行全面的评价。如果评价结果表明被审计单位的固有风险和控制风险较高,注册会计师就应当实施能够将检查风险降低至最低水平的实质性测试,即以余额(金额)测试为主,在资产
负债表日之后实施,抽取较大样本,获取较多审计证据,只有这样,才能将总体审计风险降低至注册会计师可接受的水平。 现实是残酷的,而面对现实更需要理智和谋略,对注册会计师及事务所来说,转变观念,强化风险意识,建立良好的内部运行机制和完善内部质量控制制度,提高从业人员素质,引入风险管理模式等手段不失为一种降低审计风险,提高执业质量的有效途径。 文章出处: 【大 中 小】 【打印】 【关闭】
(一)审计风险模型 按照时间顺序,主要有如下几次审计风险模型的演变:(1)1978年,D.H.Roberts提出了最早的审计终极风险模型,即:终极风险=固有风险×控制风险×分析性检查风险×(抽样风险及非抽样风险);(2)1981年,美国审计准则委员会(AICPA)认为:审计风险=固有风险×控制风险×分析性检查风险×详细测试风险;(3)1983年,AICPAXe审计风险模型又做出了修改,其提出的审计模型为:审计风险=固有风险×控制风险×检查风险;(4)1983年,(G.S.Holstrum)和(J.L.kirtland)提出:审计风险=固有风险×控制风险×分析性检查风险×实质性测试风险;(5)1987年,英国审计实务委员会(APc)提出审计风险=固有风险×控制风险×检查风险×抽样风险;(6)2003年,国际审计与鉴证准则委员会(1AASB)提出了全新的审计风险模型,即:审计风险:重大错报风险×检查风险。
我国采用较多的是传统审计风险模型,即AICPA的审计风险=固有风险×控制风险×检查风险及改进后的现代审计风险模型。即IAASB的审计风险=重大错报风险×检查风险。现代审计风险模型在传统审计风险模型的基础上进行了改进,形式上有所简化,但审计风险的内涵和外延却扩大了。现代审计风险模型核心的改变为:仅从固有风险较低层面上评估风险转为以会计报表重大错报风险评估为导向,即围绕评估的重大错报风险来确定审计范围、程序,将审计风险控制在可接受的水平内,也因此要求审计者必须具有更好的职业判断能力。
(二)审计风险控制 审计风险最直接、最根本的防范措施依赖于审计人员的职业判断能力,也就是审计人员利用自身的专业技术来把审计风险降低到一定的水平,使之达到多方博弈的审计目标的能力。审计目标是一个相对的概念,对于同一审计事项,不同的审计主体、不同的审计环境、不同的审计人员所确定的审计目标是不一样的,对审计风险的认定也是有区别的。如,对于上市公司来说,其国家审计、注册会计师审计、公司内部审计的目标不同,其审计风险值必然不同;对于同一审计主体来说,审计人员个人的因素(职业能力水平及道德水准)又直接影响并决定着审计风险控制的程度,是决定审计质量最关键的因素;而审计准则则在控制风险的审计程序上起到一定的辅助作用,对审计师的“能力大小”以及是否“给力”则显得苍白。如轰动全国的“蓝田事件”,正是刘姝威以自己的职业敏感,通过简单的专业计算,得出了“蓝田股份的短期偿债能力很弱,已经成为―个空壳,完全依靠银行的贷款在维持生存”的结论。
从理论研究而言,审计风险一般是指公司的会计报表审计而言的,尤其是强调审计风险后果的理论,即由审计师不恰当的审计行为(主观或客观)引起、并给审计主体带来损失的可能性。但是,国家审计以及内部审计的审计风险则完全不能用后果论来解释。如国家审计风险是指审计机关及其审计人员没有按照法定职责、权限和程序实施审计,对被审计单位的财务收支报表和履行相关职能的情况发表不恰当的意见和评价,或是做出的错误处理处罚决定,而给相关者带来某种损失的可能性,由于审计公开程度的局限,这种损失一般仅限于被审计单位层面;对于内部审计而言,其开展的经济责任审计、效益审计、财务收支审计等由审计风险带来的损失就更小。
二、审计质量
1981年美国学者DeAngelo将审计质量定义为:审计质量=审计人员发现问题的能力×审计机构报告问题的能力。我国学者张龙平也提出了:审计质量具体表现为审计人员的质量和审计过程的质量,最终体现为审计报告的质量(符合性和可靠性)。
(一)审计质量控制 国家审计历来强调审计质量的控制,多年来形成了一套行之有效的质量管理模式:建立审计质量制度控制体系,通过审计项目管理系统加以规范审计行为;建立健全审计质量责任制度,以检查、考评、评估和追究责任促进质量责任的落实;控制各环节的质量控制流程,通过对外部审计质量控制的检查来达到对审计质量责任的控制;建立审计项目质量为考核指标的导向制度等。
审计职业标准由审计职业技术准则(审计准则)、审计道德准则和审计质量控制准则三大部分构成。审计准则是审计人员在进行审计业务过程中应遵守的技术规范,是审计人员去执行具体审计业务的行为指南;审计职业道德准则是审计人员在从业过程中应遵守的道德规范,是一种社会道德标准;审计质量控制准则是保证审计组织在从事各种专业技术服务中达到审计准则和职业道德准则所要求的服务质量而制定的一系列质量控制要求。三者的关系是:审计质量控制准则约束审计准则和职业道德准则,以使审计组织能够遵守相应的制度去完成专业技术服务,以达到最低的的质量要求。
(二)审计质量计量 审计质量难以准确的计量,究其主要原因,一是审计报告本身是主观产品,其质量没有标准,水平也没有定论,只有相对说;二是使用人不同,其理解也不尽相同。在理论界,审计质量定量研究的样本确定也无定论,使用较多的是替代变量是盈余管理,其次是事务所规模,再次是审计人员职业水平、审计所花费的时间、上市公司治理结构、审计费用等。
审计质量不仅是一个量的问题而且还是一个质的问题,因此在提出审计项目是否优秀、质量是否高时,不仅要考虑审计程序是否遵循了审计准则,而且更应该综合考虑审计项目本身所产生的影响,考虑项目本身所隐含“质”的量。如,“财政同级审”是政府审计的一项重要工作,它要求审计机关及人员按照《预算法》的要求和同级人大通过的财政预算,对财政资金的收支的真实性、合法性、效益性进行审计监督,为政府决策提供参考;但是,不少地方政府的预算是建立在“土地财政”、“拆迁财政”“高耗能财政”上的,那么财政资金收支的真实性、合法性、效益性审计的风险再小,审计过程控制的再好,这种“财政同级审”也是不符合科学发展观的,也
就难以谈及审计项目的质量好坏。
三、审计风险与审计质量的关系
综上所述,审计风险与审计质量的关系主要表现在以下几个方面:
(一)审计风险是过程 1979年11月,美国注册会计师协会(AICPA)所属的质量控制准则委员会QCSQ《质量控制准则公告》,提出了提高审计质量应该考虑九项准则,其中,对于风险控制过程来看:第三、第四、第五、第八都同审计人员有关,即从招聘开始,到职务晋升、专业发展,一直到委派任务整个过程,对人员的职业能力及道德水准都给予了科学、详细的规定;其余几项都在风险控制的其他方面给予了关注。整个准则执行(控制)的好坏决定着审计项目质量的好坏。
审计质量控制一般是从审计总体目标角度出发的,而设计风险的防范则针对每一具体的程序与具体审计对象而言的。一般来说两者之间存在正相关关系,即审计风险控制的好,那么审计质量也就越好,但两者并不是必然的因果关系,原因是审计风险难以识别、更难控制。因此,可以从多角度来确定审计作业中的审计风险,即按照审计目标来考虑审计风险,而不是过多地依赖审计风险识别的结果来确定审计质量。在实务中。这一观点被广泛地应用于非注册会计师会计报表审计中,正确运用这一原则将大大节约审计资源。如,经济责任审计,因任中、任后,调动、退休、免职、升职等原因不同而要求审计的深度不同,因此审计风险要求也就不同。
(二)技术控制审计风险 制度控制审计质量由于风险管理作为一种管理方法贯穿于审计过程的始终,是一个系统的、全过程的概念。只有具备系统而科学的管理方法,才能对审计风险进行有效的识别、衡量和控制,才能以最少的成本将审计风险导致的各种不利后果减小到最低程度。审计风险管理强调的是每一审计事项的风险,是依赖审计人员来判断并控制的;审计质量管理是对审计过程的逐个节环节而言的,需要各种规章制度准则来规范。除了审计风险是审计质量的主要影响因素外,审计质量的形成还受到审计风险以外的多方面的制约,如审计结论形成、审计报告的使用、审计结果的公开等等,因此必须以科学、健全的制度来规范审计质量。不同审计种类的审计质量控制原理是一样的。具体的控制制度也几乎可以通用,但是审计风险的认定及其实际控制程度却是因人而异的。
20世纪70年代末,D.H.Roberts首次提出终极风险模型,即:终极风险是由固有风险、控制风险、分析性检查风险、抽样风险和非抽样风险构成的。该模型认为审计风险着重体现在审计的终极阶段。
1981年,美国注册会计师协会(简称:AICPA)在其的《审计准则第39号――审计抽样》中提出的审计风险模型:审计风险=固有风险×控制风险×分析性检查风险×详细测试风险。其中,固有风险和控制风险表示财务报表中发生重大错误的风险,分析性检查风险和详细测试风险表示财务报表中的重大错误未被发现的风险。
1983年,AICPA在《审计准则第47号――审计业务中的审计风险和重要性》中将分析性检查风险和详细测试风险合并在一起,统称为检查风险,修正后的审计风险模型:审计风险=固有风险×控制风险×检查风险。运用该模型评价审计风险时以控制风险为评价风险的核心,原因是假设在不存在相关内部控制的条件下去具体单独评估管理层认定的固有风险有一定的难度,导致注册会计师忽视对固有风险的评估,简单将固有风险评估为高水平。在这种情况下,注册会计师主要通过内部控制测试,以合理计划审计工作,将审计风险降至可接受水平,因为控制风险水平的高低对检查风险有着重大影响。1983年的审计风险模型已被大多数审计职业团体和注册会计师所接受,国际审计准则和我国1996年和实施的独立审计准则也采用了该模型。该模型也被职业界称之为传统风险导向审计。
2001年,王广明、沈辉从解释注册会计师的行为动机和行为出发,提出了供给导向的风险基础审计模型:审计风险=固有风险×控制风险×检查风险×诉讼风险。固有风险、控制风险、检查风险的含义不变,诉讼风险是指已审计会计报表存在注册会计师未能察觉的重要错报或漏报,而导致注册会计师主动或被动承担法律责任(或遭受损失)的可能性。该模型考虑了注册会计师的自利动机,指出发表不恰当审计意见是诉讼风险成立的必要但并非充分条件,承担法律责任(或遭受损失)的可能性才等价于审计风险。由于这一模型能够解释审计实务中存在的许多审计行为,因此被国内外的一些学者所接受,如刘力云(1999)、胡春元(2002)、Eilifsen A.,Knechel W.R.,Wallage P. (2001)和Daryl M.Mcartney(2003)等都指出审计风险可理解为注册会计师遭受损失的可能性。该模式在审计实务中较为实用。
2003年,为进一步提高审计质量,国际会计师联合会(简称:IFAC)的国际审计与保证准则委员会(简称:IAASB)于10月了四项审计风险准则,要求审计师在审计过程中必须以被审计单位的战略经营风险分析为导向进行审计,按照战略管理论和系统论将由于企业的整体经营风险所带来的重大错报风险作为审计风险的一个重要构成要素进行评估,这是评估审计风险观念、范围的扩大与延伸,也是传统风险导向审计的继承和发展。在该理论的指导下,IAASB对审计风险模型重新描述为:审计风险=重大错报风险×检查风险。
在该模型中,重大错报风险的评估要分成两个层次进行:一是财务报表整体层次;二是各类交易、账户余额和列报认定层次。财务报表整体层次的重大错报风险与控制环境有着密不可分的联系,各类交易、账户余额、列报认定层次的重大错报风险由固有风险和控制风险两部分构成。新审计风险模型立足于对审计风险进行系统地分析和评价,根据评价结果制定计划,并结合被审计单位的实际情况实施相应的审计程序。尽管IAASB修订了审计风险模型,但是审计风险模型的本质没有发生改变。本着国际趋同的理念,我国于2007年1月实施IAASB的审计风险模型计划审计工作。
现行模型的不足之处表现在:即使注册会计师发表了不恰当审计意见,仍然可能使其损失降到最低;现行模型未能从审计行为之外来分析审计风险产生的其他社会原因,而实际上审计风险是审计行为内外环境综合作用的结果;现行模型不能解释注册会计师偏好审计风险的原因。所以,应在现行模型的基础上重新构建注册会计师审计风险模型。
二、注册会计师审计风险模型的重构
其一,注册会计师审计风险的再定义。导致目前对风险导向审计存在认识差异的一个重要缘由是审计理论界和实务界对“审计风险”内涵的理解。人们赞成广义审计风险观,因为建立审计风险模型的根本目的在于能够直观反映审计风险产生的原因及可能发生的后果。本文认为,注册会计师审计风险必须与诉讼风险相联系。“发表与事实不相符的审计意见”产生的只是误报风险,即“发表与事实不相符的审计意见”是风险产生的一个必要条件,但不是充分条件。只有在有人追究注册会计师的法律责任时,注册会计师才会发生损失。所以,构建注册会计师审计风险模型,必须考虑注册会计师发表审计意见(不论是否恰当)后所面临的诉讼风险。另外,注册会计师审计行为之外发生的影响审计职业界生存和发展的不确定因素也是产生审计风险的重要原因。现行注册会计师审计风险模型为:审计风险=重大错报风险×检查风险,该模型将审计风险各因素之间的关系看作经济变量之间的函数关系,但是,即使是面临同样风险的注册会计师,实际承担的审计风险也不是完全一样的,即在同样的环境下,一部分注册会计师遭受损失,另一部分却得到收益。这就是说,影响注册会计师审计风险的因素是多种多样的,其中有些因素根本无法用定量的方法加以说明,比如注册会计师的行为偏好、政府的法律管制或汇率管制等。因此,有必要把这些被现行注册会计师审计风险模型忽略的不确定因素引起的审计风险在注册会计师审计风险模型中加以考虑。在实务中,审计风险表现为审计失败的可能性。尽管在审计失败的情形下,有关利益相关者关注的是不恰当审计意见的内容本身,但是,考察财务报表错报或漏报信息的披露渠道对正确理解审计风险是至关重要的。审计意见的“恰当”与“不恰当”不能通过审计意见自身来体现,而只能通过与之相竞争的信息提供渠道来表现,这些渠道包括被审计单位的事后声明,证监会、中注协和有关政府监管部门对会计师事务所和被审计单位的日常监督、例行检查,媒体的报道等。因此,完整的审计风险控制不应当终结于审计意见的发表,还应当延伸到社会监督的广阔范围。
基于此,注册会计师审计风险的定义可以从以下方面进行规范:一是因为注册会计师职业是注册会计师审计风险的起源地,因此,研究注册会计师审计风险应当从接受审计委托业务开始;二是由于实务中的审计风险是针对具体审计业务而言的,所以注册会计师审计风险承担的主体是注册会计师及其所在的会计师事务所;三是注册会计师审计风险产生的原因不仅包括为使自身利益不受损失而发表不恰当审计意见的可能性,还包括法律、政治、社会等其他因素形成损失的可能性。本文定义的注册会计师审计风险是指审计过程未能发现、纠正财务报表中存在的错报或漏报而使自身利益遭受损失的可能性。该定义表明了四层意思,一是审计风险的产生与注册会计师的行为和审计客体的行为均有关;二是审计风险的管理离不开相应的环境,包括注册会计师自身的素质,如知识、能力等方面,也包括审计市场环境和社会环境等;三是审计风险的管理与注册会计师的职业判断有关,注册会计师作出的职业判断既要依据事实,但又不能局限于事实,要对事实可能产生的影响进行分析判断;四是审计风险与不恰当的审计意见有关联,注册会计师既要对事实和事实可能产生的影响进行辨析,又要进行确认,并最终形成审计报告。
其二,注册会计师审计风险模型的构建。与前述注册会计师审计风险定义相适应,可以将注册会计师审计风险分解为四个因素:变更委托风险、内部控制鉴证风险、职业判断风险、诉讼风险,即注册会计师审计风险模型重新构建为:审计风险=变更委托风险×内部控制鉴证风险×职业判断风险×诉讼风险。其中,变更委托风险表示的是被审计单位的财务报表中存在重大错报或漏报,而注册会计师在承接审计业务时尚未发现的可能性。内部控制鉴证风险表示的是在内部控制制度未能纠正财务报表中存在的重大错报或漏报的情形下,注册会计师对内部控制制度的建立健全和执行的有效性发表不恰当意见的可能性。职业判断风险表示审计过程中未能恰当选择审计程序,纠正财务报表中存在的错报或漏报,致使作出不恰当决策的可能性。诉讼风险表示注册会计师在已经出具审计报告之后,因审计意见的“不恰当”而被其他信息渠道发现和确认的可能性。上述审计风险模型借鉴了以往审计风险的相关研究成果,同时建立在审计工作实践经验总结的基础之上,不仅模式设计具有全面性和系统性,而且具有实践的可操作性。重构的审计风险模型具有三大优势:首先,重构的审计风险模型为更合理地解释审计失败的案例提供了良好的理论支撑,也为人们更加全面地认识注册会计师所面临的审计风险,完善会计师事务所的风险管理机制奠定了基础。其次,重构的审计风险模型使注册会计师行业的风险管理更为系统和全面,新构建的审计风险模型充分考虑了审计业务开始时和完成后可能产生的风险。第三,从宏观上管理审计风险。重构的审计风险模型将注册会计师提供的审计信息与其他渠道如证监会、中注协、相关政府监管部门、媒体等提供的信息置于同一个信息市场中考虑,通过这一信息市场的检验来管理自身的审计风险。
其三,注册会计师审计风险各因素之间的关系分析。由前述注册会计师审计风险的定义和构建的注册会计师审计风险模型可知,注册会计师审计风险是四种影响因素综合作用的结果。变更委托风险产生的结果是注册会计师承接了不应该承接的高风险业务;被审计单位内部控制的存在可以使其财务报表中存在的差错减少,但通过实施内部控制鉴证后并不能完全消除,形成内部控制鉴证风险;审计程序的实施也可以使财务报表中存在的差错通过调账而进一步减少,但如果审计程序选择不当,致使被审计单位财务报表中存在的差错不能完全被消除,注册会计师就发表了不恰当的审计意见,则会形成职业判断风险。如果注册会计师发表了不恰当的审计意见,而却没有任何相关利益者注册会计师,则诉讼风险为零。在不考虑其他因素的情况下,注册会计师审计风险仍然为零。上述分析表明,前三种因素是相互联系、相互作用的,前者的存在决定后者的存在,后者是对前者控制的结果。根据概率论原理,注册会计师审计风险是这种层层控制后漏控的结果。从定量角度分析,假定在被审计单位的所有经济业务处理中有四项错报信息,在初次承接审计业务之前只发现了一个错报,三个未发现,即变更委托风险为75%;注册会计师对被审计单位的内部控制进行鉴证后,又防止与发现了一个错报信息,而其中的两个未能被控制,即内部控制鉴证风险为67%;在注册会计师实施了审计程序后,又揭示出一个错报信息,而另一个未被发现,即职业判断风险为50%。至审计报告公布之时仍然有一个错报信息未被发现,即审计误报风险为25%(即:75%×67%×50%)。至此,如果诉讼风险为零,则注册会计师审计风险即为零;如果此时的诉讼风险为100%,则注册会计师审计风险为25%。诉讼风险是根据国家的法律环境及其他相关因素进行估计的一个概率,即0≤诉讼风险≤1。由于审计报告的鉴证性、公开性和社会性,因此,注册会计师必须谨慎承接审计业务,恰当评估内部控制风险水平,根据评估结果选择恰当的审计程序,收集充分、适当的审计证据,合理运用职业判断发表恰当的审计意见,避免可能发生的审计诉讼风险。
[本文系2011年度河北省科技厅软科学计划研究项目《河北省会计师事务所风险管理机制创新研究》(项目编号:11457202D-80)阶段性研究成果]
参考文献:
[1]陈毓圭:《对风险导向审计方法的由来及其发展的认识》,《会计研究》2004年第2期。
一、电子政务信息系统审计风险研究的意义、方法
电子政务是国家信息化建设的重点工作,其成功与否直接影响着我国政府改革的进程,然而信息化建设往往伴随着巨大的风险,所以必须对电子政务信息系统的建设实施科学全面的审计。在信息系统审计的过程中,审计人员通过收集证据来判断系统本身是否达到保护资源安全,数据完整,系统稳定、有效和高效等目标,但有时会出现审计人员发现不了系统内部存在的缺陷或错误的情况,这说明对信息系统的审计可能出现判断出错的可能性,这种可能性就是信息系统审计风险。而电子政务信息系统审计由于电子政务的特殊性而存在着更为复杂的审计风险。
在这样的环境下,研究电子政务信息系统的审计风险具有非常重要的意义。国内外对传统审计领域中的审计风险研究已经相当成熟,而对电子政务环境下审计风险的研究数量相对较少且处于初步探索阶段。国内的朱萍等以审计风险模型为基础,认为应通过合理评估固有风险和控制风险的水平来确定检查风险,达到降低审计风险的目的,并重点阐述了控制风险的评估[1]。孙纲以审计理论和评价理论为基础,构建了审计风险评价方法体系,最后通过比较期望审计风险与实际审计风险作为审计终止标准的方法来降低总体审计风险[2]。还有一些学者针对电子商务环境下的审计风险做了研究:王乐声从传统审计风险模型的固有风险、控制风险、检查风险三个要素着手提出了降低电子商务审计风险的对策[3]。刘知强通过文献分析法及专家咨询法两种方式设计了电子商务环境下审计风险量表,对电子商务环境下的审计风险进行了识别分析,并在量表的基础上建立了适应电子商务环境下的审计风险模型[4]。
本文对电子政务信息系统审计风险的研究将借鉴COSO(Committee of Sponsoring Organization,内部控制委员会)在2004年的《企业风险管理――整体框架》[5]。该框架是在1992年的《内部控制――整体架构》的基础上提出的,重点阐述了八要素风险管理理论;与原来的五要素内部控制框架不同,它更侧重于风险管理,强调内部控制是风险管理必不可少的一部分。该框架对于企业风险管理的定义具有广泛的适用性,适用于各种类型的组织、行业和部门,也成为了衡量企业风险管理是否有效的一个标准,对于我们开展电子政务信息系统审计风险研究具有很好的借鉴作用[6]。
对电子政务信息系统审计的风险研究首先应以传统审计风险理论为前提,传统审计风险包括固有风险、控制风险和检查风险三个组成要素,它们之间的相互关系可以从定量和定性两个方面加以考察。
从定量的角度看,审计风险及组成要素的相互关系可用以下公式表示:
审计风险=固有风险×控制风险×检查风险
这个公式也被称作传统审计风险模型。
从定性的角度看,检查风险与固有风险和控制风险的综合水平之间存在着反比关系,固有风险和控制风险的综合水平越高,审计人员可接受的检查风险水平越低;反之亦然。对于固有风险和控制风险,它在审计人员审计过程中已成为既定的事实,审计人员无法改变它,但可通过对被审计单位的了解和测试来合理评估固有风险和控制风险,评估的目的是为了确定检查风险水平,并据此来开展实质性测试以降低检查风险,从而最终将审计风险控制于可接受的水平。
二、电子政务信息系统审计风险研究框架
基于传统的审计风险模型和审计风险各要素的定性关系,并借鉴COSO风险管理理论,本文提出了电子政务信息系统的审计风险研究框架(见图1)。
图1 电子政务信息系统的审计风险研究框架
下文将分别对电子政务信息系统固有风险的识别、固有风险的评价以及控制风险的评价和检查风险的评价等几方面进行讨论。
⒈固有风险识别
所谓固有风险识别,是指电子政务信息系统审计人员对电子政务信息系统固有风险的发生领域进行识别和分析,以确定风险的来源,描述风险特征。从电子政务建设的整个生命周期来看,其固有风险贯穿于电子政务信息系统建设项目的始终,所以应将电子政务看作一个大系统并从系统工程和项目管理的角度来对电子政务信息系统的固有风险进行全面识别,无论风险性质和风险大小,都应尽可能全面地找出其存在的固有风险[7]。
根据系统分析法,电子政务信息系统的固有风险可划分为系统风险和非系统风险。系统风险是电子政务信息系统的特别风险,是由其本身的开发、建设、管理等活动带来的;非系统风险是指电子政务建设之外的某种因素引起的可能对所有电子政务建设都带来损失的不确定性风险。
电子政务信息系统的固有风险按照风险的不同来源可以进一步进行分类和细化(如图2所示)。需要指出的是,各种电子政务信息系统固有风险领域之间并不是独立的,而是存在各种联系的,分析时应对此做综合考虑。
图2 电子政务信息系统固有风险分类图
⒉固有风险评价
对固有风险的评价可采取多种方法,由于电子政务信息系统的固有风险是由诸多相互关联又相互制约的因素构成,既复杂又缺少足量数据,所以采用单纯的定性和定量分析的方法往往缺乏可操作性。因此,本文决定同时采用特尔斐法和AHP法作定性和定量分析,最后对用这两种方法得出的结果进行比较,以实现分析结果的科学性和加强评价的实际可操作性。
特尔斐法由美国著名的兰德公司提出并使用,是能够对大量非技术性的无法定量分析的因素进行概率估算的方法,它是一种客观的综合多数专家经验与主观判断的技巧,也可称为专家打分法,它是系统工程中一种很重要的测定方法。
AHP(analytic hierarchy process,层次分析法)是美国运筹学家T.L.Salty在20世纪70年代提出的一种定性与定量结合的决策分析方法。它把需要研究的复杂问题分解为不同的组成元素,并针对总目标按相互关系影响划分为有序递阶层次结构图,通过各元素的两两比较,确定层次中诸因素相对于上一层次某因素的相对重要性,然后综合人的判断以决定各因素相对重要性的总顺序[8]。
采用AHP法和特尔斐法进行电子政务信息系统固有风险评价的过程如图3所示。
图3 电子政务信息系统固有风险评价流程图
⒊控制风险评价
前文介绍了电子政务信息系统建设项目存在的各种风险,根据COSO企业风险管理整体框架的要求,对于这些风险被审计单位通常会采取必要的管理措施。良好的风险管理能够降低电子政务信息系统存在的风险,但是无论被审计单位风险管理的设计和运行多么完善,仍无法消除其固有的缺陷和局限性,所以审计人员在进行审计的过程中必须了解电子政务信息系统的风险管理情况,并对存在的控制风险做出科学客观的评价,为即将进行的实质性测试提供依据。控制风险的合理评估对于审计人员做出正确的审计报告具有关键的作用,应充分重视这一环节。控制风险的具体评价过程如下(参见图4):
图4 控制风险的评价过程
⑴首先审计人员应了解电子政务信息系统的风险管理状况,分别从控制环境、目标确定、事件识别、风险评价、风险反应、控制活动、信息沟通和监控方面来考察。这里审计人员可通过多种可行的办法来了解其实际状况,如可通过查阅有关规章制度及方针政策等文件,与负责人座谈、询问有关人员、实地观察、发放调查表、查阅前期审计报告、与程序设计人员直接对话等手段来实现,由此可以对被审计单位电子政务信息系统内部的风险管理设计的合理性、健全性做出初步评价,并可通过书面说明法、调查表法和流程图法做出描述。这一步是对控制风险的初评,对控制风险的初评宁可高估不宜低估,以降低审计风险。
⑵符合性测试是指对内部控制的完整性、有效性和实施情况进行测试。本文的符合性测试是以COSO企业风险管理框架为基准,是对电子政务信息系统的风险管理的完整性、有效性及合理性进行测试。这一部分可作为下一步风险管理现状和得分的重要依据。
⑶通过比较法评估风险管理情况,同时进行控制风险的二评。比较法就是通过对实际系统风险管理现状的调查取证和描述,然后与现有的评价标准(本文以COSO企业风险管理整体框架为评价标准)进行比较,以此得出被审计单位风险管理符合性的总体评价,最后用百分制打分的方式显示评价结果[9]。因为此方法在使用时以国际现行风险管理整体框架为评价标准并紧密结合目标系统的实际,所以其评价指标的设定更具科学性和可操作性;同时此方法通过实际与标准的比较得出结论,使评价更具可靠性。
比较法中涉及几方面的要素,分别是评价标准、评价指标、评价指标权重、评价方法、评价程序及评分表,其中风险管理评分表是整个评估成果的综合体现。
评分表的表头栏目如表1所示,评分表的“得分”栏是根据风险管理指标现状与标准的符合性程度而得出的,采用的是百分制的方式。
表1电子政务信息系统风险管理情况评分表
风险管理的总得分=∑COSO八要素权重*各项具体指标权重*各项具体指标得分。
⑷控制风险终评。这一步发生在实质性测试之后。根据实质性测试的结果和其他审计的证据,对控制风险进行最终评估,主要是看其是否与控制风险的计划评估结论相一致。如果控制风险水平高于计划评估水平,则说明审计程序不充分,审计人员应考虑是否追加相应的审计程序;如果低于计划评估水平,则说明按计划评估控制风险水平制定的审计程序执行已经比较充分,无须考虑追加审计程序[1]。
⒋检查风险评价
一般来讲,检查风险是指信息系统中的某些电子数据存在重大错报或漏报,而未能被实质性测试发现的可能性。检查风险是必然存在的风险,它与被审计单位无关,与审计程序的有效性有关。比如审计人员在进行实质性测试的时候,由于采取抽样技术而出现的抽样风险;另外,除了抽样风险之外也有非抽样风险。在电子政务信息系统审计中,因为信息系统中电子数据的形式多样性,增加了提取审计证据的困难;由于内部控制主要依赖于软件本身,增加了难以全面检查测试的可能性。如此种种情况而使风险评估变得更为复杂,检查风险大大增加。对检查风险的评价直接影响着审计人员对审计风险的综合评价,所以应充分重视检查风险的评价。审计人员可先找出检查风险的影响因素,并建立检查风险的评价指标集,利用风险因素分析法、模糊综合评价法等方法来进行检查风险的评估。
三、结束语
随着的信息化程度越来越高,电子政务信息系统审计也越来越得到人们的重视,对电子政务信息系统实施科学的审计能够最大限度地降低电子政务建设项目的风险。而审计本身也是存在审计风险的,审计人员如何开展电子政务审计工作,如何将审计风险降低至可接受的水平,需要全面认识和正确评价电子政务信息系统存在的各种风险,帮助和监督被审计单位建立、健全电子政务信息系统风险管理制度,并提高风险管理水平。电子政务信息系统的审计风险涉及诸多主客观因素:不仅包括信息化的风险,也包括许多人的因素,其复杂程度极高。本文建议从系统工程和风险管理的角度来对电子政务信息系统的审计风险进行分析,以理论为指导并在实践中不断摸索改进电子政务信息系统的风险管理方法,使其更具可操作性和适用性。
参考文献:
1朱萍,刘圣妮. 审计风险模型及其应用分析[J]. 广西商业高等专科学校学报,2002,19(1):71-74
2孙纲. 审计风险评价方法研究[D]. 哈尔滨理工大学经济管理学院,2005
3王乐声. 论电子商务环境下的审计风险[J]. 兰州商学院学报,2001,17(05):114-116
4刘知强. 电子商务环境下审计风险研究[D]. 大连理工大学,2005(04):45-49
5Committee of Sponsoring Organizations of the Treadway Commission(COSO). Enterprise Risk Management Integrated Framework[R]. 2004
6朱荣恩,贺欣. 内部控制框架的新发展――企业风险管理框架[J]. 审计研究,2003(06):11-15
7Schwalbe K. Information Technology Project Management[M]. 北京:机械工业出版社,2003:301-333
8陈卫,方廷健,马永军,等. 基于Delphi法和AHP法的群体决策研究及应用[J]. 计算机工程,2003,29 (5):18-20
9刘智. 基于COSO框架的东方公司内部控制诊断评估方法研究[D]. 北京化工大学, 2006