一、风险基础审计是传统审计过渡到现代审计的标志
一般而言,审计是指所有者和债权人为降低经理人的代理成本而支付的一种监督成本[1].在现代社会,审计作为社会权责结构的一部分,已被视为降低信息风险的必要制度基础。审计本质的这种理论诠释,适应了环境的变迁,迎合了社会需求的变化。这样,审计风险①就成了审计本质的有机组成部分,并贯穿审计理论的始终。
审计风险把审计目标、审计假设和审计准则等各大板块连接起来,使审计理论整合为有机整体。实践证明,评价审计风险是审计过程的核心,是缓和审计职业界与社会公众之间利益矛盾冲突的焦点。而评价审计风险必须通过一系列详尽的审计程序和方法进行,这些程序和方法构成了一个完整的模式。审计模式是审计导向性的目标、范围和方法等要素的组合,它规定了审计应从何处下手、如何着手、何时着手等问题。审计模式的演进受审计目标变化的深刻影响。笔者认为,传统审计采取的模式包括账项(交易)基础审计(transaction-based auditing)和制度基础审计(system-based auditing),现代审计采取的模式主要是指风险基础审计(risk-based auditing)。风险基础审计是传统审计过渡到现代审计的标志。
账项基础审计,是指审计人员的审计工作建立在对账项(交易)检查的基础上,即审计工作主要是检查会计账簿、凭证及有关资料,故又称之为查账。审计目标主要是查错防弊。
制度基础审计,是指审计人员的审计工作建立在对内部控制制度评价的基础上,即审计人员从检查被审计单位的内控制度入手,根据对内控制度评审的结果,确定实质性测试的时间、范围和重点,如果被审计单位内部控制较弱,或者内控制度存在较大缺陷,审计人员应进行较为充分的实质性测试,并把存在控制缺陷的业务作为检查的重点。审计的主要程序是符合性测试与实质性测试。制度基础审计大量采用统计抽样方法,在以一定的置信度保证审计结论可靠性的同时提高了审计工作的效率,这说明制度基础审计已经引进了“审计风险”的概念,较之账项基础审计前进了一大步。
然而制度基础审计对于审计风险理论的运用是不全面的,它使审计人员过分依赖内部控制的测试而忽视审计风险产生的其他环节,其着眼点仍集中在具体类别的经济业务或帐户记录及余额上。制度基础审计在一定程度上存在着与现代审计实务脱节或不符的现象。事实上,在现代审计实务中,审计人员已经采用了对内部控制制度以外的一些事项进行分析的方法。显然,把制度基础审计作为现代审计的模式有些牵强附会、名不符实。为了克服制度基础审计的这一内在局限性,风险基础审计应运而生。
风险基础审计,是指审计人员的审计工作建立在对审计风险分析和评价的基础上。其主要思想是:审计风险是客观存在的,任何审计无论采取什么方式,均不能完全避免风险;评价固有风险和控制风险的目的是为了确定审计重点、范围,以及实质性测试抽样的方式和样本的数量;评价固有风险和控制风险应当全面彻底,不能仅仅局限于制度评价,还应考虑控制环境的影响;审计风险与审计效率是一种负相关的关系,审计效率的提高应在审计风险可接受范围内;在审计中运用符合性测试和实质性测试可以降低审计风险。
风险基础审计使审计风险理论和审计过程联系更为紧密,使审计人员重视产生审计风险的重要环节,审计程序的每一步骤的结论都会对审计意见有影响,使审计过程成为一个不断克服和降低审计风险的过程。这样,一方面有助于把审计资源集中于高风险的审计领域,通过降低检查风险而把审计风险降低到审计人员可以接受的水平;另一方面,可以节约审计成本,提高审计效率,有利于注册会计师职业的生存与发展。仅从这一点来看,风险基础审计比之制度基础审计有了质的飞跃[2].
与账项基础审计、制度基础审计相比,风险基础审计具有下述优势:
其一,风险基础审计符合人们的认识规律。审计过程是审计人员不断加深对被审计单位的认识过程。审计人员的认识过程是一个由表及里、逐步深入的过程,风险基础审计合理地体现了这个过程。审计人员从某种假定出发(如假定企业财务报表可以公允地反映其财务状况、经营成果和现金流量),通过调查了解、收集证据,从各个层面以合理的置信度逐步地验证其假定是否成立,最终形成审计意见。风险基础审计体现的审计思路,是以项目的审计风险为质量控制依据,研究企业经营、企业的内部控制及其运行,然后对有关数据、信息进行分析和检查,由概括到具体,由表及里地认识财务报表披露的信息与企业实际状况的关系,确定会计准则的遵循状况。风险基础审计将被审计单位置于一个大的经济环境中,运用立体观察的理论来判断影响因素,从其所处的商业环境、条件到经营方式和管理机制等构成控制结构的内外部各个方面来分析评估审计的风险水平。而账项基础审计和制度基础审计则往往使审计人员只注意局部而忘记了整体,除非审计人员具备把握重点的超常能力,否则审计质量难以得到可靠保障。
其二,风险基础审计注重目的与手段的内在联系。审计人员在审计实施阶段首先要评价审计风险,并把它作为审计质量要求的出发点和归宿点,作为过程控制的依据。而审计风险水平的确定,必须研究谁使用审计报告,用途是什么,即研究如何有效解决审计期望差的问题。审计期望差是社会公众对审计应起作用的理解与审计人员行为结果及审计职业界自身对审计业绩的看法之间的差异,是客观存在的。风险基础审计有助于注册会计师寻找解决审计期望差的途径,通过对被审计单位风险的评价,寻找高风险的审计项目,从而集中力量,将审计风险控制在一定的水平范围内,使重大的差错和舞弊可以揭露出来。而账项基础审计和制度基础审计均忽略了这一点,忽略了审计目的与手段之间的内在联系,因而难免出现过度审计或审计不足的问题。
其三,风险基础审计能够满足审计目标不断演变的需要。注册会计师与社会、客户之间的沟通,是合理确定审计目标的前提。社会公众的利益需求是审计生存的基础,若不迎合这种需求,审计要么被淘汰在社会经济权责结构之外,要么苟且生存但面临大量的指控。显然,注册会计师应该积极主动地选择风险基础审计模式来满足这种需求,因为风险基础审计不仅体现在具体单个项目上与客户的相互沟通,而且还能满足宏观层面上审计目标不断演变的需要。一般而言,发达国家注册会计师年度财务报表审计的风险大致可以分为误报(misstatement)、违法舞弊(fraud)和经营失败(business failure)三类。按风险基础审计来组织审计工作,可以有效地识别、规避这三个方面的风险。而账项基础审计和制度基础审计则很难有效地规避这些风险。
其四,风险基础审计讲求质量与效率的统一。在风险基础审计中,对客户的了解、对内部控制的研究与评价、分析性测试(复核)等均属于效率较高的审计手段,尤其是将分析的方法贯穿于审计的准备阶段、实施阶段和终结阶段,既可以有效地减少效率较低的细节测试工作,又可以降低审计风险。而在账项基础审计和制度基础审计中,分析性测试均没有得到充分的重视与利用。
二、中国注册会计师应用风险基础审计已迫在眉睫
中国注册会计师协会颁布的独立审计准则提出了注册会计师在审计实践中应该遵循的专业规范,已经体现了风险基础审计的要求。这不仅是为了与国际惯例融合,更是我国经济体制改革不断深入的客观要求。然而在实践中,风险基础审计的思路基本上没有得到体现,多数审计人员仍然是按账项基础审计来操作,即把审计的主要精力放在具体交易事项或期末余额的细节测试上;有些审计人员注意了对客户内部控制的调查、测试与评价,但投入的精力有限,也未能将内控符合性测试与实质性测试有机结合。随着审计客体的不断复杂化,审计主体固有的限制和审计理论发展滞后,审计风险不断增大,对注册会计师的诉讼案件越来越多,所涉及的人员和金额也不断增大。我国“银广夏”事件和美国“安然”事件等的发生[3],给注册会计师敲响了警钟,注册会计师改变审计模式迫在眉睫,实施风险基础审计是有效减少审计风险、恰当分配审计资源、提高审计效率的途径。
首先,从社会需要看。考察我国市场经济体制建设的目标,一方面,国家行使一定的行政手段指导国民经济运行,并规范各种经济主体的行为,建立法治经济;与此同时,企业被推向市场,独立地进行经营与管理,求得生存与发展。各种市场,特别是资本市场的有效运作与发展完善,对于国民经济的健康持续发展至关重要。适应新的经济架构的内在要求,我国独立审计准则中提出了三方面的审计目标,即对被审计单位财务报表(报告)的合法性、公允性和一贯性,持续经营能力以及是否存在重大违法行为和舞弊等实施检查,发表意见。通过注册会计师的审计,提高企业向社会提供的财务会计信息的质量,创造通过市场进行社会资源有效配置的基本条件;及时提醒利益相关人可能出现的企业失败,发挥微观预警作用;促使企业遵纪守法,保障国家对国民经济稳定运行的有效控制。而依靠帐项基础审计或制度基础审计,则难以保障上述三方面目标的实现。
其次,从审计对象看。伴随我国经济体制改革的深入以及高新技术的发展和世界经济一体化进程的加速,我国企业的规模迅速膨胀,经济业务更加复杂,企业投资主体多元化、经营多元化、利益方关系多元化,电脑及网络技术应用迅速普及,这一切给注册会计师在企业财务报表审计中合理把握质量、规避风险带来新的问题和挑战。许多审计人员在完成一个项目后,仍对该客户的整体情况知之甚少,“糊涂进去,糊涂出来”是帐项基础审计或制度基础审计难以解开的死结,运用风险基础审计则可以帮助注册会计师迎接这种挑战。
最后,从会计师事务所自身看。会计师事务所运作机制的重大转变,强化了会计师事务所应承担的责任和风险。同时,在新的利益机制推动下,会计师事务所必须在保证审计质量的前提下,努力提高审计的效率,不断增强自身竞争力。运用风险基础审计,恰恰可以兼顾审计质量和效率,帮助注册会计师充分运用各种高效率的审计技术。
三、风险基础审计应结合我国审计实践的现状加以完善
在我国,应用风险基础审计模式不仅是必要的,而且是可能的。因为推行风险基础审计,关键在于审计思路的调整,以及将各种审计人员已非常熟悉的技术有机结合在一起。具体而言:
首先,制度基础审计模式下已经涵盖了风险基础审计模式的观念及其应用。在审计实务中,审计人员已经注意到应对审计风险产生的各个环节进行分析,近10多年来注册会计师广泛采用分析检查的方法就是一个很好的例证。
其次,在风险基础审计模式中,内部控制的测试和评价仍然是一项十分重要的工作,然而绝不能因此将风险基础审计视为制度基础审计。
再次,账项基础审计、制度基础审计和风险基础审计所遵循的审计程序大致相同。根据美国空雷茨(Larry F.Konnath)的观点,风险基础审计程序仍分为计划阶段、实施阶段和报告阶段,但在具体内容上与制度基础审计有着较大的差别。在实务中,为了使审计工作做得更为细致,并关注审计重要领域,风险基础审计程序可从以下几个方面展开:一是审计计划开始时评估固有风险。通过调查、了解、分析、评价等方法执行一般规划并确认重要的审计领域,识别重要的风险领域,确认重要的审计范围。二是期中审计时寻找并确定控制弱点,执行初步风险评估(即固有风险和控制风险的联合),选择可靠有效益的审计查核程序。即首先考虑固有风险,再对控制风险做出初步评估,判断客户管理意识、控制措施及控制品质、控制程序设计本身是否严密,职责分工是否良好,如果有效,则进一步判断其可依赖程度及发生重大审计错误的可能性,在此基础上确定审计查核方法。三是通过实施审计获得审计证据。四是形成审计报告。继续整理前几步提出的问题及期后事项审核、会计报表的分析性复核和审计工作底稿的审核,即执行全面评估,将审计结论形成审计报告。
结合我国审计实践的现状,笔者认为,应用风险基础审计模式应着重从以下几个方面进行调整与完善。
1.风险评价应该全面,不能只局限于控制风险评价。风险评价应当涵盖决策机制、执行机制和监督反馈机制。只有进行全面风险评价,才能对风险有根本的把握。风险评价的侧重点因被评价机制的不同而存在较大差异:决策机制评价主要注重机制的科学性与合理性,若决策机制有问题,则会导致严重的管理风险;执行机制评价主要侧重于机制设置的科学性、运行的有效性;监督反馈机制是否完善与有效直接影响控制风险水平,监督反馈机制越完善越有效则风险的水平越低,因此,监督机制评价主要在于机制的完整性和有效性。
风险评价不能只注重控制风险评价,固有风险评价也同样重要。注册会计师应将这项工作看成是收集审计证据的有机组成部分,以扩展审计证据范围。对被审计单位进行系统的结构化的了解,需要安排足够的审计资源。了解的结果及相应的风险评估应该形成审计工作底稿,是审计证据的重要组成部分。为了提高此类证据的可靠性,注册会计师应该以书面形式将对被审计单位的理解与被审计单位管理当局进行沟通。固有风险评价一般关注被审计单位领导者的品行和能力、领导者所遭受的压力和容易产生错报的会计报表项目等。在会计期间内,尤其是临近会计期末会计指标的异动也为固有风险评价提供了线索。控制风险评价注重被审计单位业务的主要类别、各类主要业务的发生过程、重要的会计凭证、账簿记录以及会计报表项目、重大交易和事项的会计处理过程以及交易授权等。只有把固有风险和控制风险评价结合起来,才能对被审计单位的风险点或薄弱环节有比较完整的认识,更加准确地确定审计的重点和范围,有效地降低审计风险,提高审计效率。
2.风险评价应关注制度和制度之外的因素。制度评价是风险评价的主要内容之一,无论是对决策机制、执行机制还是对监督反馈机制的评价,制度评价都是不可或缺的部分。在制度评价中,不能仅仅关注制度本身,更应该关注制度是否得到有效的执行,既要注意制度的完整性,更要注意制度的时效性,这是符合性测试的要求。对制度进行评价时,应该考虑制度执行者的自身素质和风险意识等因素。如果执行者素质较差,那么对业务风险往往缺乏完整、清晰的认识,风险累积和爆发的概率就比较大。此外,对制度评价要以动态的眼光来看待,进行符合性测试应该考虑到制度本身是否适应现有业务发展的需要。
在评价被审计单位内控制度基础上,可以根据内控风险水平的不同对有关的会计记录及相应的经济业务只进行分析性测试而不进行细节测试,或减少细节测试的样本数量和覆盖面,或将细节测试的时间安排在年终前的某一时间。
对内部控制的评价亦可以根据固有风险评估的结果,选择是否进行符合性测试,对不进行符合性测试的,亦可以根据业务性质及数据转换特点,确定不同的内控风险水平。这样做既可以协调会计师事务所淡旺季工作不均衡而难以把握审计质量的矛盾,又可以降低完成项目所需的总工作量水平。
我国注册会计师大多认为将分析性测试结果直接作为审计证据的客观性、可靠性易被怀疑,因而应用的积极性不高,在审计工作底稿中也很少见到分析方法的应用。应该说,分析方法的运用对提高审计质量至关重要。从已经公布的上市公司年度报告中可以发现,某些已发表了无保留意见的公司财务报表中仍存在较为明显的重大差错,这间接地说明注册会计师未能充分运用分析方法。另外,分析方法的应用可以减少细节测试数量,提高抽样检查的针对性。因此,注册会计师应在审计计划阶段、报告阶段充分运用分析方法,从整体上把握所审计质量,同时,在各类经济业务(循环)及账户余额的检查中,也应尽可能运用分析方法取得相应的审计证据,从而在保证审计质量的前提下减少细节测试工作。
3.关注检查风险的控制。通过对固有风险和控制风险进行评价后,对于被审计单位的主要风险点和内控薄弱环节已经有比较全面、完整的认识,这种认识给实质性测试提供了导向,便于集中审计资源对主要风险点进行现场检查。这样既提高了实质性测试的有效性,也提高了审计效率,降低了检查风险。我国审计实践中,对各类经济业务、事项和账户余额的具体测试所收集的证据构成审计意见的重要基础。所投入的审计资源比重最大。然而,在检查覆盖范围、抽查数量与方法上却存在很大的随意性,要求的细节测试覆盖面很高,但实际操作缺乏可行性,如存货盘点工作即是如此。另外,就抽样方法而言,大多使用随意抽样法,抽到的样本若不易检查,通常就改抽新的样本,抽样的根据缺乏客观性。在这种情况下,一旦出现诉讼或其他问题,注册会计师很难解脱自身的责任。因此,合理的细节测试应该建立在综合考虑固有风险评估、内控风险评估、审计计划的分析性测试和需要全面检查的关键性项目等诸多因素的基础上。细节测试中样本的选定应尽可能采用统计抽样方法,不能有意地回避或放弃某些项目,以提高抽样检查结果的客观性。
4.积极运用电脑技术。运用电脑技术,可以更方便地将风险基础审计中各项因素有机联系在一起,根据实际评估结果调整审计作业计划,保证审计的质量和效率。首先,对被审计单位固有风险的评估要求注册会计师建立内容广泛的资料库(包括有关的法律法规,行业发展状况,经济发展政策,各种经济统计数据,市场有关价格信息等)。其次,运用电脑技术确定理想的内控模型,使内控风险的评估工作更加容易实施。再次,运用电脑软件进行分析性测试,其速度和准确性将会大大提高,且电脑分析的范围和方法也将得到扩展。最后,运用电脑进行统计抽样有助于工作效率的提高,特别是可以方便地利用客户已实现电脑处理数据的存储媒介,弥补人工操作方式下抽样检查的不足。
诚然,应用风险基础审计,还有许多具体问题有待解决,但是,只要广大注册会计师转变观念,切实按照风险基础审计的思路组织审计工作,就一定会加快我国审计实践及注册会计师事业的发展,风险基础审计也将在实践中得到完善。
「参考文献」
[1]夏冬林,林震昃。我国审计市场的竞争状况分析[J].会计研究2003,(3):40-46.
[2]周勤业,尤家荣,达世华。审讯[M]上海:上海三联书店,1996.
[3]葛家澍,财务会计的本质、特点及其边界[J].会计研究,2003,(3):3-7.