时间:2023-09-18 17:07:15
序论:写作是一种深度的自我表达。它要求我们深入探索自己的思想和情感,挖掘那些隐藏在内心深处的真相,好投稿为您带来了七篇财务报表风险评估范文,愿它们成为您写作过程中的灵感催化剂,助力您的创作。
关键词:审计风险准则 风险导向 重大错报风险 风险评估 审计证据
一、前言
2006年财政部颁布了《中国注册会计师执业准则》,标志着我国在建立适应社会主义市场经济发展要求,顺应国际趋同新形势的道路上迈进了一大步。为了更好地指导注册会计师有效地识别、评估和应对审计风险,准则框架体系全面渗透着风险导向审计的理念,要求注册会计师将风险导向审计的观念贯穿于审计全过程。传统审计方法的主要缺陷在于注册会计师重视被审计单位的内部环境,但忽视其所处的外部环境;重视审计单位的控制风险但忽视其固有风险。事实上我国注册会计师面临的情形是被审计单位及其所处环境的日趋复杂。行业状况、法律环境与监管环境以及其他外部因素,都会对注册会计师审计质量产生重大影响。在复杂环境下或被审计单位内部控制不健全时,如果继续采用传统审计模式,局限于控制测试和实质性测试,把审计的主要资源集中在具体交易事项和余额细节测试上。极易引发审计风险。因此,新执业准则要求注册会计师了解被审计单位及其内外部环境,同时注重检查风险和固有风险(即重大错报风险),重点关注存在重大错报风险的领域,达到避免触发审计风险的目的。新执业准则体系的核心内容为以下准则,简称审计风险准则,分别为:《中国注册会计师执业准则第1101号――财务报表审计的目标和一般原则》(以下简称第1101号准则,下同)、《中国注册会计师执业准则第1211号――了解被审计单位及其环境并评估重大错报风险》、《中国注册会计师执业准则第1231号――针对评估的重大错报风险实施的程序》、《中国注册会计师执业准则第1301号――审计证据》。
二、审计风险准则修订的主要内容
(一)第1101号准则 第1101号准则是在借鉴国际审计与鉴证准则第200号的基础上,对原《独立审计准则第1号――会计报表审计》进行修订而形成的。其主要内容有:会计责任和审计责任、审计的目标、审计范围、职业怀疑态度、审计风险及模型。(1)明确区分注册会计师的责任,公司管理层和治理层的责任。新准则规定,对财务报表发表审计意见是注册会计师的责任;在被审计单位治理层的监督下,按照适用的会计准则和相关会计制度的规定编制财务报表是被审计单位管理层的责任。此外,准则条款还特别强调了财务报表审计不能减轻被审计单位管理层和治理层的责任。(2)明确财务报表审计目标。新准则规定,财务报表审计的目标是注册会计师通过执行审计工作,对财务报表的下列方面发表审计意见:财务报表是否按照适用的会计准则和相关会计制度的规定编制;财务报表是否在所有重大方面公允反映被审计单位的财务状况、经营成果和现金流量。这个规定与原有的规定没有太大区别,但是新准则中明确提出,财务报表审计属于鉴证业务,注册会计师的审计意见旨在提高财务报表的可信赖程度。(3)修订审计范围的定义。新准则指出,财务报表的审计范围是指注册会计师为实现财务报表审计目标,根据审计准则和职业判断实施的恰当的审计程序的总和。在确定拟实施的审计程序时,注册会计师应当遵守与财务报表审计相关的各项审计准则。恰当的审计程序是指审计程序的性质、时间和范围是恰当的。一是审计程序的性质指审计程序的目的和类型。目的包括:通过了解被审计单位及其环境,识别、评估重大错报风险;通过实施控制测试,明确内部控制运行的有效性;通过实施实质性程序,发现认定层次的重大错报。类型则包括检查、观察、询问、函证、重新计算、重新执行和分析程序。二是审计程序的时间是指注册会计师何时实施审计程序,或指审计证据适用的期间或时点。三是审计程序的范围是指实施审计程序的数量,包括抽取的样本量,对某项控制活动的观察次数等。审计范围受到限制是指由于客观原因或者被审计单位施加的限制,注册会计师未能实施根据审计准则和职业判断应当实施的审计程序,从而未能获取充分、适当的审计证据。(4)要求注册会计师在审计过程中始终保持职业怀疑态度,并明确在财务报表审计中注册会计师只能提供合理保证。新准则要求,在计划和实施审计工作时,注册会计师应当保持职业怀疑态度,充分考虑可能存在导致财务报表发生重大错报的情形。新准则指出,注册会计师按照审计准则的规定执行审计工作,能够对财务报表整体不存在重大错报获取合理保证。由于审计中存在的固有限制影响注册会计师发现重大错报的能力,注册会计师不能对财务报表整体不存在重大错报获取绝对保证,即只能提供合理保证。(5)引进新的审计模型。新准则对审计风险模型作了重大改变,将原审计风险模型修正为:审计风险:重大错报风险x检查风险,审计风险取决于重大错报风险和检查风险,是两者的综合风险。重大错报风险要求注册会计师站在风险的高度上把握审计过程,以风险为导向进行审计,强化了风险意识,注册会计师对于重大错报风险的评估贯穿于审计的整个过程。改变后的审计风险模型使得注册会计师从更高的层次上把握重大错报风险,要求注册会计师必须了解被审计单位及其环境(包括内部控制),以充分识别和评估财务报表重大错报风险,并针对评估的重大错报风险设计和实施进一步审计程序(包括控制测试和实质性测试),以降低注册会计师的审计风险。在目前经济不确定性增大的环境下,显然新的审计风险模型更能满足风险控制的要求,并且可操作性较强。
(二)第1211号准则 第1211号准则是在借鉴国际审计与鉴证准则第315号基础上出台的新准则,将取代我国原有的《独立审计准则第21号――了解被审计单位情况》、《独立审计准则第9号――内部控制与审计风险》和《独立审计准则第20号――计算机信息系统环境下的审计》,以克服旧准则相互分离、缺乏有机融合的缺陷。根据《中国注册会计师审计准则第1101号――财务报表审计的目标和一般原则》要求,注册会计师在审计过程中应当贯彻风险导向审计的理念,围绕重大错报风险的识别、评估和应对,计划和实施审计工作。其中如何识别和评估重大错报风险,构成了注册会计师应对重大错报风险的前提。注册会计师如何了解被审计单位及其环境,了解哪些具体的内容,了解后如何对重大错报风险进行评估,如何将了解和评估的过程、结果与管理层和治理层进行沟通,在审计工作底稿中应当对哪些内容进行记录,本准则对这些问题做了明确规范,其修订的主要内容有:(1)注册会计师审计的总体要求:了解被审计单位及其环境是必要程序;了解的目的是识别和评估财务报表重大错报风险,设计和实施进一步审计程序;了解的程度应当足够实现了解的目的。与独立审计准则中的规定不同,了解被审计单位及其内外部环境是注册会计师审计过程中必须实施的程序,
也是风险导向审计的核心。(2)风险评估程序的概念及项目组内部讨论的要求。风险评估程序是指为了解被审计单位及其环境而实施的程序。风险评估程序包括:询问被审计单位管理层和内部其他相关人员;分析程序;观察和检查。注册会计师在了解被审计单位及其环境的整个过程中,结合了解的内容和被审计单位业务的特点运用相应的风险评估程序,并利用风险评估程序所获取的信息评估重大错报风险,并可能随着不断获取审计证据而作出相应的变化。如果通过实施进一步审计程序获取的审计证据与初始评估获取的审计证据相矛盾,注册会计师应当修正风险评估结果,并相应修改原计划实施的进一步审计程序,实施风险评估程序之后项目组内部必须进行讨论。注册会计师通过风险评估程序了解被审计单位及其环境后,需要对财务报表重大错报风险进行评估,评估重大错报风险需要运用专业判断,必须由项目组内部讨论来完成,项目组内部讨论可以有效降低审计风险。在原准则中,评估固有风险、控制风险也需要专业判断,但并没有需要项目组共同讨论的规定。一是讨论的目标。项目组通过讨论可以使成员更好地了解在各自分工负责的领域中,由于舞弊或错误导致财务报表重大错报地可能性,并了解各自实施审计程序的结果如何影响审计的其他方面,包括对确定进一步审计程序的性质、时间和范围的影响。二是讨论的内容。项目组应当讨论被审计单位面临的经营风险、财务报表容易发生错报的领域以及发生错报的方式,特别是由于舞弊导致重大错报的可能性。三是参与讨论的人员。注册会计师应当运用职业判断确定项目组内部参与讨论的成员。项目组的关键成员应当参与讨论,如果项目组需要拥有信息技术或其他特殊技能的专家,这些专家也应当参与讨论。项目组的讨论不要求所有成员每次都参与讨论,参与讨论人员的范围受项目组成员的职责、经验和信息需求的影响。四是讨论的时间和方式。项目组应当根据审计的具体情况,在整个审计过程中,持续交换有关财务报表发生重大错报可能性的信息。项目组在讨论时应当强调在整个过程中保持职业怀疑态度,警惕表明舞弊或错误导致的重大错报可能已经发生的信息或其他迹象,并对这些迹象进行追踪。通过讨论,项目组成员可以交流和分享在整个审计过程中获得的信息,包括可能对重大错报风险评估产生影响的信息或有关针对风险实施的审计程序的信息。(3)注册会计师应尽到的相关职责。对注册会计师应当从哪些方面了解被审计单位及其环境作了详细的定义:行业状况、法律环境与监管环境以及其他外部因素;被审计单位的性质;被审计单位对会计政策的选择和运用;被审计单位的目标、战略以及相关经营风险;被审计单位财务业绩的衡量和评价;被审计单位的内部控制。这些内容是新准则的重要内容,值得注意的是对被审计单位的了解不仅局限于被审计单位的内部控制。对以上新准则中有相应的章节进行具体的阐述,使得注册会计师思考的是究竟哪些方面去了解被审计单位,而不像原有准则中是比较模糊的概念,这样做可以有效防止了解的不彻底影响审计工作,低估重大错报风险。(4)明确了注册会计师了解内部控制的定位。注册会计师需要了解和评价的内部控制只是与财务报表审计相关的内部控制,并非被审计单位所有的内部控制。因为注册会计师审计的目标是对财务报表是否不存在重大错报发表审计意见,注册会计师考虑与财务报表编制相关的内部控制,但目的并非对被审计单位内部控制的有效性发表意见。(5)明确了注册会计师评估两个层次的重大错报风险。在对重大错报风险进行识别和评估后,注册会计师应当确定识别的重大错报风险是与特定的各类交易、账户余额、列报的认定相关,还是与财务报表整体广泛相关,进而影响多项认定。某些重大错报风险可能与特定的各类交易、账户余额、列报的认定相关。如被审计单位存在复杂的联营或合资,这一事项表明长期股权投资账户的认定可能存在重大错报风险。又如被审计单位存在重大的关联方交易,该事项表明关联方及关联方交易的披露认定可能存在重大错报风险。某些重大错报风险可能与财务报表整体广泛相关,进而影响多项认定。如在经济不稳定的国家和地区开展业务、资产的流动性出现问题、重要客户流失、融资能力受到限制等,可能导致注册会计师对被审计单位的持续经营能力产生重大疑虑。又如管理层缺乏诚信或承受异常的压力可能引发舞弊风险,这些风险与财务报表整体相关。(6)提出了特别风险的概念,需要特别考虑的重大错报风险即为特别风险,并根据风险的性质、潜在错报的重要程度和发生的可能性判断风险是否属于特别风险。如风险是否属于舞弊风险;交易的复杂程度;风险是否涉及重大的关联方交易等。(7)提出了对仅通过实质性程序无法应对的重大错报风险的处理方法。仅通过实质性程序获取的审计证据无法将认定层次的重大错报风险降至可接受的低水平,注册会计师应当评价被审计单位针对这些风险设计的控制,并确定其执行情况。在被审计单位对日常交易采用高度自动化处理的情况下,审计证据可能仅以电子形式存在,其充分性和适当性通常取决于自动化信息系统相关控制的有效性,注册会计师应当考虑仅通过实施实质性程序不能获取充分、适当审计证据的可能性。如果认为仅通过实施实质性程序不能获取充分、适当的审计证据,注册会计师应当考虑依赖的相关控制的有效性,并对其进行了解、评估和测试。(8)将了解被审计单位及其环境过程中获得的信息记录与工作底稿中。此类信息包括项目组对由于舞弊或错误导致财务报表发生重大错报的可能性进行的讨论,以便得出的重要结论;对被审计单位及其环境各个方面的了解要点、信息来源以及实施的风险评估程序;在财务报表层次和认定层次识别、评估出的重大错报风险;识别出的特别风险和仅通过实质性程序无法应对的重大错报风险,以及对相关控制的评估。
(三)第1231号准则 第1231号准则是在借鉴国际审计与鉴证准则第330号的基础上出台的一个全新的准则,将取代原有的《第21号――了解被审计单位情况》、《第9号――内部控制与审计风险》和《第20号――计算机信息系统环境下的审计》。根据《中国注册会计师审计准则第1101号――财务报表审计的目标和一般原则》的要求,注册会计师在审计过程中应当贯彻风险导向审计的理念,围绕重大错报风险的识别、评估和应对,计划和实施审计工作。其中《第1211号――了解被审计单位及其环境并评估重大错报风险》规范了注册会计师通过实施风险评估程序,识别和评估财务报表层次以及各类交易、账户余额、列报认定层次的重大错报风险,注册会计师针对已评估的财务报表层次的重大错报风险如何确定总体应对措施,针对已评估的认定层次的重大错报风险如何设计和实施进一步审计程序,进一步审计程序的性质、时间、范围如何确定和实施,如何评价实施审计程序收集的审计证据的充分性和适当性,在审计工作底稿中将对哪些审计工作进行记录等,对这些问题的明确规范是第1231号准则的核心内容。其修订的主要内容有:总体要求、针对重大错报风险的总体反应、审计程序的不可预见性、总体方案和进一步审计程序、控制测试的相关要求、实质性程序及相关要求、审计的相关要求、审计工作记录。(1)明确提出了对注册会计师审计的两个总体要求:审计程序的总体要求,注册会计师应
当对评估的财务报表层次重大错报风险确定总体应对措施,并针对评估的认定层次重大错报风险设计和实施进一步审计程序;职业判断的总体要求,注册会计师在确定总体应对措施以及设计和实施进一步审计程序的性质、时间和范围时应当运用职业判断。(2)首次提出了注册会计师应当针对评估的财务报表层次重大错报风险确定下列总体应对措施:向项目组强调在收集和评价审计证据过程中保持职业怀疑态度的必要性;分派更有经验或具有特殊技能的审计人员,或利用专家的工作;提供更多的督导;在选择进一步审计程序时,应当注意使某些程序不被管理层预见或事先了解;对拟实施审计程序的性质、时间和范围作出总体修改。(3)强调审计程序的不可预见性要求。注册会计师针对评估的财务报表层次重大错报风险确定的总体应对措施中强调增强审计程序的不可预见性,因此,注册会计师在设计拟实施审计程序的性质、时间和范围时,为了避免既定思维对审计方案的限制,避免对审计效果的人为干涉,从而使得针对重大错报风险的进一步审计程序更加有效,注册会计师要考虑使某些程序不被审计单位管理层预见或事先了解。(4)首次提出了两种总体方案和进一步审计程序的概念。两种总体方案分别为实质性方案和综合性方案,实质性方案是指注册会计师实施的进一步审计程序以实质性程序为主;综合性方案是指注册会计师在实施进一步审计程序时,将控制测试与实质性程序结合使用。而所谓的进一步审计程序是相对风险评估程序而言的,是注册会计师针对评估的各类交易、账户余额、列报认定层次重大错报风险实施的审计程序,包括控制测试和实质性程序。(5)重新界定了注册会计师实施控制测试的两种情形,当存在下列情形之一时,注册会计师应当实施控制测试:在评估认定层次重大错报风险时,预期控制的运行时有效的;仅实施实质性程序不足以提供认定层次充分、适当的审计证据。(6)强调了实施控制测试获取审计证据的重要性。即认为仅实施实质性程序获取的审计证据无法将认定层次重大错报风险降至可接受水平,注册会计师应当实施相关的控制测试,以获取控制运行有效性的审计证据。(7)增加了“重新执行”的控制测试取证方法。根据第1301号审计证据准则,注册会计师获取审计证据的具体程序中将六种具体的取证方法修改为八种,即检查记录或文件;检查有形资产;观察;询问;函证;重新计算;重新执行;分析程序。其中增加了“重新执行”控制测试的取证方法。(8)严格限制了注册会计师无限期或过长时间内不实施测试的做法。如果拟信赖的控制自上次测试后未发生变化,且不属于旨在减轻特别风险的控制,注册会计师应当运用职业判断确定是否在本期审计中测试其运行有效性,以及本次测试与上次测试的时间间隔,但两次测试的时间间隔不得超过两年。(9)首次明确区分“控制运行的有效性”与“控制是否得到执行”。注册会计师在了解被审计单位及其环境时需要实施风险评估程序。注册会计师在确定控制是否得到执行而实施的某些风险评估程序可能提供有关控制运行有效性的审计证据。注册会计师可以考虑在评价控制设计和获取其得到执行的审计证据的同时测试控制运行有效性,以提高审计效率。两者的区别如(表1)所示。(10)首次明确期中进行控制测试的考虑。如果注册会计师在期中实施控制测试程序,即使注册会计师已获取有关控制在期中运行有效性的审计证据,仍然需要考虑如何能够将控制在期中运行有效性的审计证据合理延伸至期末,以确保针对期中至期末这段剩余期间获取充分、适当的审计证据。如果已获取有关控制在期中运行有效性的审计证据,并拟利用该证据,注册会计师应当实施下列审计程序:首先,获取这些控制在剩余期间变化情况的审计证据。针对期中已获取过审计证据的情况,如果这些控制在剩余期间没有发生变化,注册会计师可能决定信赖期中获取的审计证据;如果这些控制在剩余期间发生了变化,注册会计师需要了解并测试控制的变化对期中审计证据的影响。其次,确定针对剩余期间还需获取的补充审计证据。针对期中已获取过审计证据的情况,如果这些控制在剩余期间发生了变化,注册会计师应当考虑下列因素:评估的认定层次重大错报风险的重大程度。评估的重大错报风险对财务报表的影响越大,注册会计师需要获取的剩余期间的补充证据越多;在期中测试的特定控制。如对自动化运行的控制,注册会计师更可能测试信息系统一般控制的运行有效性,以获取控制在剩余期间运行有效姓的审计证据;在期中对有关控制运行有效性获取的审计证据的程度。如果注册会计师在期中对有关控制运行有效性获取的审计证据比较充分,可以考虑适当减少需要获取的剩余期间的补充证据;剩余期间的长度。剩余期间越长,注册会计师需要获取的剩余期间的补充证据越多;在信赖控制的基础上拟减少进一步实质性程序的范围。注册会计师对相关控制的信赖程度越高,通常在信赖控制的基础上拟减少进一步实质性程序的范围就越大。在这种情况下,注册会计师需要获取的剩余期间的补充证据越多;控制环境。在注册会计师总体上拟信赖控制的前提下,控制环境越薄弱(或把握程度越低),注册会计师需要获取的剩余期间的补充证据越多。(11)明确了实质性程序概念和内容。实质性程序是指注册会计师针对评估的重大错报风险实施的直接用以发现认定层次重大错报的审计程序。包括对各类交易、账户余额、列报的细节测试以及实质性分析程序。(12)明确了对于特别风险的专门应对程序。如果认为评估的认定层次重大错报风险是特别风险,注册会计师应当专门针对该风险实施实质性程序;如果针对特别风险仅实施实质性程序,注册会计师应当使用细节测试,或将细节测试和实质性分析程序结合使用,以获取充分、适当的审计证据。(13)首次提出了是否在期中实施实质性程序。注册会计师如果在期中实施了实质性程序,仍然需要消耗进一步的审计资源使期中审计证据能够合理延伸至期末,注册会计师应当考虑是否在期中实施实质性程序。(14)指明了财务报表审计是一个累计和不断修正的过程。随着计划的审计程序的实施,如果获取的信息与风险评估时依据的信息有重大差异,注册会计师应当考虑修正风险评估结果,并据以修改原计划的其他审计程序的性质、时间和范围。(15)明确了注册会计师应当针对评估的风险设计细节测试。如在针对存在或发生认定设计细节测试时,注册会计师应当选择包含在财务报表金额中的项目,并获取相关审计证据;针对完整性认定设计细节测试时,注册会计师应当选择有证据表明应包含在财务报表金额中的项目,并调查这些项目是否确实包括在内。(16)明确了审计工作记录要求。注册会计师应当针对评估的重大错报风险实施的程序进行充分的审计工作记录。包括记录:对评估的财务报表层次重大错报风险采取的总体应对措施;实施进一步审计程序的性质、时间和范围;实施进一步审计程序与评估的认定层次重大错报风险的联系;实施进一步审计程序的结果。
(四)第1301号准则 第1301号准则是在借鉴国际审计与鉴证准则第500号的基础上,对我国原有的《独立审计准则第5号――审计证据》进行修订而形成的。此次重大修订的内容有:(1)拓展了审计证据的内涵。原审计证据准则将审计证据定义为“注册会计师在执行审计业务过程中,为形成审计意见所获取的证据”。原审计证据准则对审计证据的内涵界定比较窄,注册会计师收集
的审计证据更多体现的是与财务报表会计记录相关的信息。修订后审计证据准则将审计证据定义为“注册会计师为了得到审计结论、形成审计意见而使用的所有信息”。新审计证据准则对审计证据的内涵要宽泛得多,不仅包括与财务报表会计记录相关的信息,还包括其他信息。如(图1)所示。
其中,第一类审计证据是“财务报表依据的会计记录中含有的信息”。会计记录中含有的信息是最基本信息。构成了财务报表最主要的内容,一般包括对初始分列的记录和支持性记录,如支票、电子资金转账记录、发票、合同、总账、明细账、记账凭证和未在记账凭证中反映的对财务报表的其他调整,以及支持成本分配、计算、调节和披露的手工计算表和电子数据表。第二类审计证据是“其他信息”。其他信息是用来印证会计记录中含有的信息是否真实、完整,指导注册会计师如何识别、评估财务报表重大错报风险,一般包括:注册会计师从被审计单位内部或外部获取的会计记录以外的信息,如被审计单位会议记录、内部控制手册、函证函的回函、分析师的报告、与竞争者的比较数据等;通过询问、观察和检查等审计程序获取的信息,如通过检查存货获取存货存在性的证据等;自身编制或获取的可以通过合理推断得出结论的信息,如注册会计师编制的各种计算表、分析表等。(2)引进了“认定”的概念。原审计证据准则未将“认定”写进准则,整个审计准则体系对“认定”概念重视不够,新审计证据准则引入“认定”概念,并要求注册会计师详细运用认定指导具体审计目标,根据具体审计目标来设计和确定进一步审计程序。(3)将获取审计证据的程序区分为总体程序和具体程序。原审计证据准则只列了六种具体的取证方法。修订后的审计证据准则将注册会计师获取审计证据的程序区分为总体程序和具体程序,总体程序增加了风险评估程序,即包括风险评估程序、控制测试和实质性程序;具体程序中将六种具体的取证方法修改为八种,具体包括的内容前文已述及。其中,将“监盘”程序进行细分,因为“监盘”是“检查记录或文件”、“检查有形资产”、“观察”等具体审计程序的复合程序;增加“重新执行”具体程序;将原来的“计算”和“分析性复核”分别修改为“重新计算”和“分析程序”。(4)新增风险评估程序。根据风险导向审计准则体系的要求,注册会计师应当通过了解被审计单位及其环境识别重大错报风险,并针对评估的重大错报风险设计和实施进一步的审计程序,因此,在修订后的审计证据准则中增加“风险评估程序”,以此为手段通过了解情况作为评估财务报表层次和认定层次重大错报风险的基础。但风险评估程序并不能识别出所有的重大错报风险,虽然它可作为评估财务报表层次和认定层次重大错报风险的基础,但并不能为发表审计意见提供充分、适当的审计证据。为了获取充分、适当的审计证据,注册会计师还需要实施进一步程序,包括实施控制测试(必要时或决定测试时)和实质性程序。(5)新增“重新执行”的具体审计程序。重新执行是指注册会计师以人工方式或使用计算机辅助审计技术,重新独立执行作为被审计单位内部控制组成部分的程序或控制。如注册会计师利用被审计单位的银行存款日记账和银行对账单,重新编制银行存款余额调节表,并与被审计单位编制的银行存款余额调节表进行比较。
三、审计风险准则对注册会计师的影响
(一)对注册会计师审计理念的影响注册会计师审计的主线始终是对重大错报风险的识别、评估与应对。注册会计师为了实现审计目标。在计划和实施审计工作时,应当保持职业怀疑态度,充分考虑可能导致会计报表发生重大错报的情形。在审计和实施进一步审计程序时,注册会计师应当将审计程序的性质、时间及范围与识别和评估的风险相联系,以防止机械利用程序表从形式上迎合独立审计准则对审计程序的要求。注册会计师必须针对重大的各类交易、账户余额、列报和披露实施实质性测试。注册会计师对重大错报风险评估是一种判断,并且内部控制存在固有限制,无论评估的重大错报风险结果如何,注册会计师必须针对重大的各类交易、账户余额、列报和披露实施实质性程序,不得将实质性测试只集中在例外事项上。
(一)理论研究综述 美国公众公司会计监督委员会在AS2中提出公众公司审计人员在执行财务报表审计时应进行财务报告内部 审计,首次提出了整合审计的概念、审计标准,为内部控制审计与财务报表审计的整合奠定了基础。Michael S. Gold Stein(2004)在研究美国财务报告内部控制审计与财务报表审计整合框架之后提出了审计师实施审计时的基本步骤和关键业务操作。Colleen Layther(2009)认为美国公众公司会计监督委员会的整合审计是关于财务报表与财务报告内部控制审计予以合并的准则,其要求上市公司会计监管委员会审查审计人员的公正性受到公众的欢迎,并对目前审计准则要求审计人员发表两种审计意见提出质疑。
我国学者对于内部控制审计和财务报表审计的研究也取得了一系列成果。程思敏(2008)在研究美国财务报告内部控制审计准则之后,概括了美国公众公司会计监督委员会在AS2中提出的综合审计模式,该模式将财务报表审计、财务报告内部控制审计作为两个相互联系、相互支撑的审计体系,通过独立、并行的审计过程来实现两种审计目标,审计人员可以借助财务报表审计来发现公司内部控制存在的问题,也可以通过财务报告内部控制审计来帮助审计人员制定审计计划和实施审计程序。陈汉文(2010)认为AS2所提出的综合审计的关注点是财务报告内部控制审计以及它与财务报表审计的整合问题,两者密切联系同时又各有重点,一个针对财务报告内部控制,另一个针对公司提供的财务报表,审计人员在财务报告内部审计过程中要评价管理层有关内部控制有效性评估过程、对内部控制设计与实施的有效性进行评价并得出内部控制是否有效的审计意见。裘宗舜、周洁 (2011)在对比财务报告内部控制审计与财务报表审计之后得出结论,财务报告内部控制审计与财务报表审计的不同在于审计内容与范围、审计评价的准确程度、职业判断能力要求等,但两者的目标一致、程序关联、方法类似且相互支持。谢晓燕、张心灵(2012)在比较分析财务报告内部控制审计与财务报表审计基础上指出内部控制审计与财务报表审计在审计目标、审计程序、审计方法、审计证据等方面存在着密切联系,正确、合理的利用两者之间的关联性,推行内部控制审计与财务报表审计的整合,有利于节约审计资源和成本,提升审计效率和审计质量,提出我国内部控制审计准则应制定审计业务评价标准,以及配套的审计业务指引和业务指南,促进内部控制审计和财务报表审计的整合。张龙平、陈作习(2012)对我国推行内部控制审计的必要性、可行性进行了分析,认为内部控制审计与财务报表审计的整合有利于提升我国审计工作效率、发挥审计协同效益,进而提升我国审计水平和财务信息质量。
(二)内部控制审计与财务报表审计的关系 财务报表是企业与外部沟通的语言,是对企业财务状况、经营成果、现金流量状况的会计形式的表述。财务报表审计则是受投资人委托,由第三方实行的旨在评价财务报表相关表述真实性、可靠性的业务活动。财务报告内部控制审计是为了保证内部控制体系发挥应有的作用而进行的一种外部评价机制和程序。内部控制审计与财务报表审计的关系表现为:如果审计人员对企业内部控制报告发表无保留意见表明企业财务报表存在重大错报的可能性就会降低;如果审计人员对企业内部控制报告发表非无保留意见时,企业财务报表存在错报的可能性就增加。如果审计人员对企业财务报表出具无保留审计意见,企业财务报告内部控制存在两种可能,一是企业内部控制设计良好并运行有效,在防止和纠正财务报表重大错报方面发挥了积极作用。二是内部控制存在漏洞但审计人员在财务报表审计过程中及时发现问题并予以纠正,此时,审计人员对企业内部控制将会出具非无保留意见。但如果审计人员对企业财务报表出具非无保留意见,那么企业内部控制报告肯定存在重大缺陷,内部控制审计报告必然是非无保留意见的。
二、内部控制审计与财务报表审计整合策略
(一)整合审计的必要性 内部控制审计与财务报表审计同属于基于责任方认定的合理保证鉴证业务,这种业务性质上的同质性使得两者具备融合的基础。财务报表审计是注册会计师按照审计准则的规定,通过特定的审计程序和方式对公司财务报表提供信息的公允性、合法性发表审计意见,以提升公司财务报表的可靠性。财务报表审计时需要公司管理层对财务报表反映的交易事项、会计处理、账户余额等事项进行认定,注册会计师审计的本质是对管理层的认定、声明进行审计,因此是基于公司管理层的责任方认定业务。注册会计师完成审计过程发表审计无保留意见并不能完成排除公司存在重大错报的可能,因此,是一种高于管理层认定而无法绝对保证财务报表信息可靠性的合理保证鉴证业务。内部控制审计是注册会计师接受企业或者第三方委托对企业内部控制设计的合理性以及内部控制运行的有效性进行鉴证并发表审计意见的业务活动。管理层应对企业内部控制体系的完整性、可靠性作出说明,并对内部控制有效性进行认定,注册会计师对企业管理层有关内部控制的声明、认定进行审计并发表审计意见。
内部控制审计与财务报表审计之间的密切联系使得内部控制审计与财务报表审计相互支持,财务报表审计结果能够帮助审计人员确定内部控制可能存在漏洞的环节,而内部控制审计的结果可以帮助审计人员优化审计计划和审计程序。整合审计可以有效的降低会计师事务所的业务量,减少运行成本,提高审计效率并减低审计风险。同时,在审计过程中收集的证据和实施的测试对于两种审计活动都有效,因此,是一种经济可行、兼顾审计单位、被审计单位共同利益的制度安排,在美国、日本等国家的运用也证明了该模式的合理性。
(二)整合审计的可行性 内部控制审计与财务报表审计之间的密切联系使得两者存在很多可以相互利用的地方,在一些关键业务点上具有整合的可行性,具体表现在:
(1)审计目标的一致性。内部控制审计与财务报表审计的目标都是为利益相关者提供有关企业财务信息可靠性的合理保证,将两种审计目标结合在一起只需要通过单一的协调流程就能实现,即让同一会计师事务所基于风险导向审计思路对公司进行财务报表审计和内部控制审计,实现两种审计目标,即获取充分、适当的证据对企业内部控制有效性发表审计意见,对企业财务报表可靠性发表审计意见。财务报告内部控制审计与财务报表审计的三方关系人具有一致性,责任方是被审计单位的管理层、使用者为企业利益相关者,审计过程由注册会计师完成。
(2)审计业务内容的相关性。内部控制审计与财务报表审计存在着业务内容上的重合,审计人员在审计审计程序时需要对企业的内部控制体系进行有效性测试,并以此作为依据之一来确定审计重点,制定合适的审计程序。同时,如果审计人员在财务报表审计中发现重点错报,表明财务报告内部控制肯定存在重大缺陷,已经对财务报告内部控制发表无保留意见的应重新进行审计。
(3)审计业务主体的一致性。 AS2以及AS5都要求财务报表审计与财务报告内部控制审计由同一家会计师事务所完成,这是因为财务报表审计和财务报告内部控制审计的审计报告需要同时,如果将两项审计工作交由不同事务所完成,在审计时间、审计成本、审计协调方面都不合理。由同一事务所负责两项审计有利于节省审计成本和降低审计风险,而且,世界各国的审计实务表明,由不同事务所分别承办两项审计业务不利于审计目标的实现,由同一家事务所同时进行内部控制审计和财务报表审计为整合审计提供了基础。
(三)整合审计的实施关键 《企业内部控制审计指引(2010)》规定财务报表审计和内部控制审计可以由不同的会计师事务所完成,也可以由同一家会计事务所完成。但由于内部控制审计与财务报表审计之间的关联性(如图1),无论是企业还是会计师事务所都将二者合并在一起进行,而且,《企业内部控制审计指引(2010)》显然也注意到这一点,从计划审计工作到完成审计工作的各个业务环节都偏重于整合审计。
财务报表审计基本上与现代审计同步,在审计理论、程序、方法等方面都已经成熟,而且不断的发展和完善。内部控制审计则是在萨班斯法案颁布之后开始发展起来,虽然美国公众公司会计监督委员先后AS2和AS5进行了规范,但在实际审计活动中还存在很多不足,内部控制审计与财务报表审计之间的共同点形成了两者整合的关键点,如图2所示,审计证据以及其他重要信息构成了两者之间进行整合的基础,整合审计就是通过通过计划和实施审计程序获得充分、适当的审计证据以支持有关财务报告内部控制是否有效以及在对财务报表进行风险评估的基础上发表审计意见。财务报告内部控制审计帮助财务报表审计修改实质性程序的性质、时间和范围以支持分析程序中使用信息的完整性和准确性;财务报表审计通过实质性测试程序中发现的问题对内部控制有效性评价提供参考。
(1)审计目标的整合。财务报表审计是由注册会计师实施的旨在保证公司财务报表按照会计准则的要求公允反映企业财务状况、经营成果和现金流量,是以公允性作为审计目标的,是将财务报告及相关信息的内部控制有效性纳入审计范围,对财务报表审计则对财务报表的合法性和公允性发表审计意见。我国《企业内部控制基本规范》在借鉴国际惯例的基础上将我国内部控制目标定位为:保证企业经营管理的合法合规、保证企业资产安全、提高财务报告及相关信息的真实完整、提高企业经营效率。企业应以内部控制五大目标为指引,建立和规范企业内部控制体系,对内部控制有效性进行自我评价并形成评价报告。内部控制审计则是注册会计师接受第三方委托对公司内部控制审计与运行的有效性进行合理保证鉴证,是以有效性为审计目标的。财务报表的公允性是内部控制有效性的体现,内部控制的有效性则是财务报表公允性的保证,两者都服务于为企业利益相关者提供高质量的财务信息,因此,两者在这一点上是一致的,目标的一致性使得整合审计成为可能。
(2)审计计划的整合。内部控制审计与财务报表审计都需要制定合理的审计计划,在审计计划阶段应做好被审计单位行业状况、与财务报告相关的内部控制、法律环境等重大事项的了解以实现两种审计活动的审计目标。一是确定对内部控制和财务报表同时具有重要影响的事项并分析该事项如何影响审计工作。二是内部控制审计中重点考虑的风险评估、审计工作量、舞弊风险、利用他人审计成果等因素应该在财务报表审计中充分利用,内部控制审计确定的高风险领域同样是财务报表审计需要重点关注的领域。三是财务报表审计中的有关舞弊风险的评估结果应作为内部控制审计识别和测试企业层面控制以及选择其他控制进行测试的重要依据。四是财务报表审计的保证程度要高于内部控制审计的保证程度,整合两种审计要求财务报表审计与内部控制审计运用相同的重要性水平。
(3)审计业务的整合。前面的分析中提到财务报表审计与财务报告内部控制审计同属于基于责任方的合理保证的鉴证业务,即将重大鉴证风险控制在可以接受的水平以内。从COSO五要素的“内部控制整体框架”到COSO八要素的“内部控制风险管理”,内部控制正逐步向以风险为导向进行转变,而财务报表审计也要求以风险为导向来进行审计前的准备、制定审计工作计划和实施审计程序,因此,致力于对被审计单位财务报告内部控制和财务报表提供合理保证鉴证服务的两种审计活动。在审计过程中,可以将一些类似的审计程序同时进行,或合并进行,而由同一家会计师事务所同时负责两项审计业务为两项审计业务的整合提供了必要条件。
(4)审计程序的整合。内部控制审计要求以风险控制为导向来实施审计程序和控制测试,风险评估是内部控制审计的基础、控制测试是内部控制审计的核心,而财务报表审计包括风险评估、内部控制测试和实质性测试三个环节,而且在风险评估阶段要求注册会计师全面了解企业内部控制,在实施实质性程序不能提供充分、适当的审计证据时就需要进行内部控制测试,因此,内部控制测试成为整合审计在实施程序方面的关键整合点。需要说明的是内部控制审计中的内部控制评价和财务报表审计中的内部控制评价可以同时进行,但两者的范围存在差异,财务报表审计对内部控制进行测试限于“所依赖”的内部控制,即当财务报表审计中的某个项目需要测试内部控制是否有效时,审计人员才对影响该项目的内部控制进行有效性测试来获取充分的审计证据来支持财务报告的审计意见,因此,财务报表审计中的内部控制测试范围较小,其结果未必足以证明整个内部控制体系的有效性。内部控制审计对于内部控制测试的范围要大于财务报表审计进行的内部控制测试范围,整合审计可以通过增加内部控制审计需要“补充”的控制测试来完成整个审计控制测试。
(5)审计方法的整合。财务报表审计采用风险导向审计,财务报告内部控制审计采用自上而下的审计方法。财务报表风险导向审计通过通过询问、检查文件或记录、观察等程序了解评估报表层和认定层存在的高风险领域,进而制定针对报表层风险的总体审计措施和针对认定层风险的审计程序,包括相应的控制测试和实质性测试。财务报告内部控制审计采用的自上而下的审计方法从了解并测试公司层内部控制开始,然后对报表重要账户控制有效性进行测试,再往下是业务流程和交易控制的有效性测试,从而引导审计人员发现可能导致财务报表及相关列报发生重大错报的账户、交易上。因此,财务报告内部控制审计也具有风险导向的特点,通过风险评估来了解企业内部控制,选取内部控制测试范围,财务报告内部控制审计中对内部控制的相关审计活动有助于财务报表审计的风险评估,而财务报表审计对于高风险领域的风险评估则有助于财务报告内部控制审计抓住重点做到有的放矢。
参考文献:
一、国际审计风险准则的最新
按照IAASB工作计划,三个新国际审计风险准则生效后,原IAS 310“了解被审计单位情况”(Knowledge of the business)、ISA 400“风险评估与内部控制”(Risk assessments and internal controls)、ISA 401“机信息系统环境下的审计”(Auditing in a computer information systems environment)和ISA 500“审计证据”一并作废。与以前准则相比,新国际审计风险准则主要有以下八个方面的重大发展和实质性变化。
(一)引入“重大错报风险”概念,重建审计风险模型
原国际审计风险准则认为,审计风险包括固有风险、控制风险和检查风险,审计风险模型为:审计风险=固有风险×控制风险×检查风险,并要求根据该模型来计划和执行财务报表审计工作,最终将审计风险降低至可接受的低水平。从上看,该模型不存在不妥,但实务操作面临很大的和困难。比如:(1)原准则要求,在编制总体审计计划时,注册会计师应当对财务报表整体的固有风险进行评估;在编制具体审计计划时,注册会计师应当考虑固有风险的评估对各重要账户或交易类别的认定所产生的影响,或者直接假定这种认定的固有风险为高水平。由于假设不存在相关内部控制的条件下去具体单独评估认定的固有风险有显知的难度,再加上直接假定认定的固有风险为高水平被公认为稳健的做法,这样极容易导致不少事务所及注册会计师不重视对固有风险的评估,使其流于形式。(2)尽管原准则明确指出,由于控制风险与固有风险相互联系,注册会计师应当对两者进行综合评估,并据以作为检查风险的评估基础。但实务中,很容易人为割裂两者的内在联系,而只依赖对内部控制风险所作的粗放型评估来直接、大致确定检查风险水平,再据此规划实质性程序的性质、时间和范围。这样做难以合理保证财务报表不存在重大错报。(3)最为重要的是,原审计风险模型将固有风险和控制风险并列,没有抓住财务报表审计工作的“牛鼻子”,也没有抓住事物的本质和核心东西。其实,这两种风险,就是客户风险(client risk),即客户财务报表审计前存在重大错报的可能性,均为被审计单位所造成和掌控,注册会计师只能评估而不能改变。从注册会计师角度看,只抓住固有风险和控制风险作为审计工作的起点和导向,而不直接明确地以评估重大错报风险为起点和导向,有舍本求末,隔靴搔痒,只见树木不见森林之感。
新国际审计风险准则正式引进“重大错报风险”概念(重大错报风险是指财务报表在审计前存在重大错报的可能性),将审计风险模型重构为:审计风险=重大错报风险×检查风险。这不是简单地将固有和控制风险并称为重大错报风险,而是重大的实质性改进。不仅明确规定了审计工作以评估财务报表重大错报风险作为新的正确起点和导向,抓住了审计工作的“牛鼻子”,而且与现行审计目标责任定位紧紧相扣,有利于履行审计责任,实现审计目标。众所周知,按国际审计准则要求设计审计工作就是为了合理保证财务报表整体不存在重大错报。新风险模型的构建更直接有助于导引注册会计师,时刻紧紧围绕评估的重大错报风险来设计和执行审计程序,以最终实现合理保证财务报表整体不存在重大错报。
(二)改进审计业务流程,增强实施审计程序的效果
原准则依据审计风险三要素模型,把审计业务流程和程序分为四大块:(1)了解被审计单位情况(为评估固有风险);(2)了解内部控制;(3)(必要时)控制测试(均为评估控制风险);(4)实质性测试(为降低检查风险)。第(1)块由原IAS 310“了解被审计单位情况”来规范,第(2)、(3)、(4)块则由原ISA 400“风险评估与内部控制”来规范。
新国际审计风险准则依据审计风险二要素模型,把审计业务流程和程序分为三大块:(1)了解被审计单位及其环境,包括内部控制(目的是为评估财务报表总体层次和认定层次的重大错报风险)。本块审计程序称为“风险评估程序”(risk assessment procedures),(2)(必要时)控制测试(目的是为了测试内部控制在防止、发现和纠正认定层次重大错报方面的有效性,并据此一并评估重大错报风险),(3)实质性测试(目的是为了检查认定层次的重大错报风险)。新准则把第(2)、(3)块程序统称为“进一步审计程序”(further audit procedures),并指出风险评估程序不足以为发表审计意见提供充分适当的审计证据,注册会计师还应当设计和实施进一步审计程序,包括控制测试和实质性程序。还指出应当以对认定层次的重大错报风险的相关评估结果(包括实施风险评估程序的结果和必要时执行控制测试的结果)为基础,并考虑既定的审计风险水平,来确定可接受的检查风险水平,再据此计划和实施实质性程序。在既定的审计风险水平下,可接受检查风险水平与认定层次重大错报风险的评估结果成反向关系。评估的重大错报风险越高,可接受检查风险越低;评估的重大错报风险越低,可接受检查风险越高。检查风险取决于实质性程序设计和执行的有效性。注册会计师应当合理设计实质性程序的性质、时间和范围并有效执行,将检查风险降至可接受的水平。第(1)块由ISA 315“了解被审计单位及其环境并评估重大错报风险”来规范,第(2)、(3)两大块则由ISA 330“针对评估的重大错报风险实施的程序”来规范。由于重建了审计风险模型和改进了审计业务流程,IAASB相应地修订了原ISA 500“审计证据”。
审计业务流程作上述改进后,要求注册会计师全程关注财务报表的重大错报风险,并将风险评估作为整个审计工作的先导、前提和基础。注册会计师应首先花大力气去识别和评估重大错报风险,再据此有针对性地采取措施,合理保证财务报表不存在重大错报。评估重大错报风险的失当,必将导致整个审计工作的失败。看来,能否合理评估客户财务报表的重大错报风险,将成为评价会计师事务所及注册会计师专业胜任能力、考验审计质量及效果的关键性尺度与决定性因素。
(三)区分评估的财务报表整体层次和认定层次的重大错报风险采取不同应对措施,力保所获取审计证据的充分、适当性
ISA 330“针对评估的重大错报风险实施的程序”明确规定和回答了,通过了解被审计单位及其环境(包括内部控制),分别评估出财务报表整体层次和认定层次的重大错报风险后该怎么办的问题,从而有助于注册会计师更有针对性地采取不同的有效应对措施。该准则对注册会计师提出以下要求:
1.应当针对评估的财务报表整体层次的重大错报风险确定“总体应对措施”(overall responses)。可采取的总体应对措施包括:(1)向项目组强调在收集和评价审计证据过程中保持职业怀疑态度的必要性;(2)分派更有经验的或具有特殊技能的审计人员,或利用专家的工作;(3)提供更多的督导;(4)在选择进一步审计程序时,应当注意某些程序不能被管理当局预见或事先了解;(5)对拟实施审计程序的性质、时间和范围作出总体修改。注册会计师对控制环境的了解影响其对财务报表整体层次重大错报风险的评估。如果控制环境存在缺陷,注册会计师通常应当考虑:(1)在期末而非期中实施更多的审计程序;(2)通过实质性程序获取更广泛的审计证据;(3)修改审计程序的性质,获取更具说服力的审计证据;(4)增加审计范围中所包括的经营场所的数量。
2.应当针对评估认定层次的重大错报风险设计和实施“进一步审计程序”(further audit procedures),以将审计风险降至可接受的低水平。
ISA 330还要求在确定总体应对措施,以及设计和实施进一步审计程序的性质、时间和范围时,注册会计师应当运用职业判断。ISA 330还对进一步审计程序(包括必要时控制测试和实质性测试)的性质、时间和范围决策作了比以前准则更详尽的规定。
(四)重新划分认定层次的构成类别,强调获取列报与披露认定的审计证据的重要性
原准则要求识别、评估和检查认定层次的重大错报风险,是区分各类交易和账户余额二个类别来进行的。因此财务报表总体重要性水平的分配、实质性细节测试种类的确定、审计证据的收集与评价都包括了各类交易和账户余额两个方面。
新国际审计风险准则重新划分认定层次的构成为三个类别:(1)各类交易,(2)账户余额,(3)列报与披露(presentation and disclosure),并将这一思想贯穿于整个审计过程中。
比如,ISA 315要求,从各类交易、账户余额及列报与披露三方面来识别和评估认定层次的重大错报风险。ISA 330规定,实质性程序包括:一是对各类交易、账户余额及列报与披露的细节测试,二是实质性程序;还规定注册会计师应当实施审计程序以评价财务报表总体列报与相关披露是否符合适用的财务报告框架,在评价时应当考虑评估的认定层次重大错报风险,还应当考虑财务报表是否正确反映财务信息的分类和描述,以及对重大事项的披露是否适当。修订后的ISA 500“审计证据”也相应地规定,注册会计师应当将认定具体运用于各类交易、账户余额、列报与披露,作为评估重大错报风险以及设计与实施进一步审计程序的基础;并进一步指出了这三个方面所涉及和运用的不同认定种类。注册会计师对所审计期间的各类交易和事项运用的认定通常分为下列种类:(1)发生:记录的交易和事项已发生且与客户有关;(2)完整性:所有应当记录的交易和事项均已记录;(3)准确性:与交易和事项有关的金额及其他数据已恰当记录;(4)截止:交易和事项已记录于正确的会计期间;(5)分类:交易和事项已记录于恰当的账户。注册会计师对期末账户余额运用的认定通常分为下列种类:(1)存在:资产、负债和所有者权益是存在的;(2)权利和义务:被审计单位拥有或控制资产的权利,负债是被审计单位的义务;(3)完整性:所有应当记录的资产、负债和所有者权益均已记录;(4)计价和分摊:资产、负债和所有者权益以恰当的金额反映在财务报表中,之后的计价或分摊调整已恰当记录。
注册会计师对列报与披露运用的认定通常分为下列种类:(1)发生及权利和义务:披露的交易、事项和其他情况已发生且与被审计单位有关;(2)完整性:所有应当包括在财务报表中的披露均已包括;(3)分类和可理解性:财务信息已被恰当地列报和描述,且披露表述清楚;(4)准确性和计价:财务信息和其他信息已公允披露,且金额恰当。
原准则将列报与披露问题融合到各类交易、账户余额的审计中,理论上并没有什么错。但实务中相比之下注册会计师更重视审计各类交易和账户余额的其他认定,而容易忽视列报与披露认定的重大错报风险。在日益重视财务报表列报与披露的今天,新准则强调单独针对财务报表总体列报与披露认定获取审计证据,对切实提高审计效果和财务报表信息披露质量有特别重要的意义。
(五)强调保持职业怀疑态度,切实提高发现重大错报的概率
新国际审计风险准则进一步强调了保持职业怀疑态度的极端重要性,要求注册会计师以职业怀疑态度计划和实施审计工作,充分考虑可能存在导致会计报表发生重大错报的情形。所谓职业怀疑态度,是指注册会计师以质疑的态度,对所获取审计证据的真实有效性作批判性的评价,并对相互矛盾的审计证据以及导致对文件或管理当局声明的可靠性产生怀疑的审计证据保持警惕。例如,在整个审计过程中,职业怀疑态度对减少忽略可疑情况的风险,以及减少在确定审计程序的性质、时间、范围及评价相应结果时使用错误假定的风险都是必要的。在计划和执行审计时,审计人员既不能假定管理当局不诚实,也不能假定其完全诚实。因此,管理当局声明书不能替代获得充分适当的审计证据,只有充分适当的审计证据才能得出作为审计意见基础的合理结论。
审计如刑事侦察,同属侦查类学科。发现疑点、捕捉线索是关键。而保持职业怀疑态度又是关键之关键。在不少审计失败案例中,审计人员未尽到职业怀疑义务、不会怀疑成为主因。审计人员学会怀疑是一个不断、总结和积累的过程,贯穿于整个职业生涯。职业怀疑意识和能力越强,发现重大错报的概率就越大。
(六)强调对特别风险的识别及评估,并警惕仅实施实质性程序无法获取充分、适当审计证据的风险
ISA 315要求,注册会计师在风险评估中应当运用职业判断,确定识别的风险哪些是特别风险(significant risks),需要作特别的审计考虑。在确定哪些风险是特别风险时,应考虑风险的性质、潜在错报的重要程度(包括导致多项错报的可能性)以及风险发生的可能性。在确定风险的性质时,注册会计师应当考虑下列事项:(1)风险是否为舞弊风险;(2)风险是否与近期环境、会计核算和其他方面的重大变化有关;(3)交易的复杂程度;(4)风险是否涉及重大的关联方交易;(5)财务信息计量的主观程度,特别是对不确定事项的计量存在宽广的区间;(6)风险是否涉及异常或超出正常业务范围的重大交易。ISA 315指出,特别风险通常与重大的非常规交易和判断事项有关。非常规交易是指由于金额或性质异常而不经常发生的交易。判断事项通常包括作出的会计估计。由于非常规交易具有下列特征,与重大非常规交易相关的特别风险可能导致更高的重大错报风险:(1)管理当局更多地介入会计处理;(2)数据收集和处理需要更多的人工介入;(3)复杂的计算或会计原则;(4)非常规交易的性质可能使被审计单位难以对由此产生的特别风险实施有效控制。由于下列原因,与重大判断事项相关的特别风险可能导致更高的重大错报风险:(1)对涉及会计估计和收入确认的会计原则存在不同的理解;(2)所要求的判断可能是主观和复杂的,或需要对未来事项作出假设。ISA 315还要求,对特别风险,注册会计师应当评价相关控制(包括相关的控制活动)的设计情况,并确定其是否已经得到执行。由于与重大非常规交易或判断事项相关的风险很少受到日常控制的约束,注册会计师应当了解被审计单位是否针对该特别风险设计和实施了控制。如果管理当局未能实施控制以恰当应对特别风险,注册会计师应当认为内部控制存在重大缺陷,并考虑对风险评估的影响。
ISA 315同时要求,特别应警惕仅实施实质性程序无法提供充分、适当审计证据的风险。指出作为风险评估的一部分,如果认为仅通过实施实质性程序获取的审计证据无法将认定层次的重大错报风险降至可接受的低水平,注册师应当评价客户针对这些风险设计的控制(包括相关的控制活动),并确定其执行情况。还强调在客户对日常交易采用高度自动化处理的情况下,如果注册会计师认为仅通过实施实质性程序不能获取充分、适当的审计证据,则应当考虑所依赖的相关控制的有效性。
这是国际审计风险准则首次单独强调识别和处置特别风险及完全依赖实质性程序的风险,对于解决实务中较普遍存在的(1)审计往往抓不住重点,容易忽视那些需要特别审计考虑的风险;(2)不重视风险评估和内控了解,不分情况盲目期望仅靠实施实质性程序获取证据等突出,有针对性意义。
(七)强调项目组内讨论的积极作用,共享审计经验和资源
在审计中如何组织利用好项目组内的讨论,共享审计经验和资源,保证整体审计质量,这在过去往往被忽视。ISA 315首次规定,注册会计师应当组织项目组成员对客户财务报表存在重大错报的可能性进行讨论,并运用职业判断合理确定讨论的目标、、人员、时间和方式。项目组应当讨论客户所面临的经营风险、报表容易发生错报的领域及发生错报的方式,特别是由于舞弊导致重大错报的可能性。项目组的关键成员应当参与讨论。如果审计项目组需要拥有特殊信息技术或其他技能的专家,在讨论时还应将其包括在内。项目组应当根据审计的具体情况,持续交换有关客户报表发生重大错报可能性的信息。项目组在讨论时应当强调在整个审计过程中保持职业怀疑态度,警惕可能发生重大错报的迹象,并对这些迹象进行严格追踪。通过讨论可以使成员更好地了解在各自负责的领域报表发生重大错报的可能性,并了解各自实施审计程序的结果如何审计的其他方面,包括如何确定进一步审计程序的性质、时间和范围。
(八)强调与治理当局沟通和与管理当局沟通并重,优化审计环境。
ISA 315设专章规定与治理当局和管理当局沟通内控问题,要求注册会计师及时将其注意到的内部控制设计或执行方面的重大缺陷告知客户适当层次的治理当局或管理当局。如果识别出客户未加控制或控制不当的重大错报风险,或认为客户的风险评估过程存在重大缺陷,注册会计师应当就此类内部控制缺陷与治理当局沟通。此外,还可向治理当局沟通与管理当局的正直性和舞弊有关的问题。
ISA 260“与治理当局沟通审计事项”,专门为审计人员与客户负责治理的机构和人员(简称治理当局)之间,沟通审计中所注意到的有关治理的审计事项,建立准则和提供指南。本准则所称“治理”是用来描述被授权对单位进行监督、控制及指导的内部机构和人员的作用。只有当管理当局履行这种职能时,治理当局才包括管理当局。本准则对沟通的原则、对象、内容、方式、时间等作了全面的规定。
新国际审计风险准则除了上述主要变化外,在许多条款制定上,比以前要求更高、规定更细、指导性更强,着实澄清和纠正了实务中的一些明显的重大错误认识和做法,对实务中普遍存在的典型的薄弱环节予以了加强和改进,恕不赘述。由于本轮准则修订时,将机信息系统环境下的特殊审计考虑,融入到了新的三个风险准则和其他准则中,故新准则生效后,原ISA 401“计算机信息系统环境下的审计”失效。
需要特别强调的是,新国际审计风险准则的颁行并没有改变财务报表审计目标和责任的基本定位,也没有改变现行的审计基本和,而只是为了指导审计人员更好地实现审计目标和履行审计责任,缩小审计期望差。ISA 200“财务报表审计的目标与一般原则”依然规定,注册会计师只是应当合理保证财务报表整体不存在重大错报。合理保证报表整体不存在重大错报意味着审计风险始终存在,注册会计师应当通过计划和实施审计工作,获取充分、适当的审计证据,将审计风险降至可接受的低水平。下列因素可能影响发现重大错报的能力,注册会计师不能绝对保证报表整体不存在重大错报:(1)抽样方法的运用;(2)内部控制的固有局限性;(3)大多数审计证据是说服性而非结论性的;(4)获取审计证据和形成结论时涉及大量判断;(5)某些特殊性质的交易和事项可能影响审计证据的说服力。ISA 200还依然规定,注册会计师的责任是按照审计准则的要求对财务报表发表审计意见,客户管理当局的责任是按照适用的财务报告框架编制和列报财务报表。注册会计师对财务报表的审计不能减轻管理当局的责任。
二、几点启示
我国CPA制度恢复20多年来,独立审计的准则建设和工作开展取得的成绩有目共睹,但由于各种原因,准则的落实程度和执业水平还远没有到位。新国际审计风险准则的又对审计工作提出了更高的要求。我们认为,应努力做好以下方面工作,积极应对挑战:
1.风险导向审计必须实行,重大错报风险必须认清。从新国际审计风险准则规定看,风险基础审计不是要不要做的问题,而是必须认真做好的问题。财务报表审计就是风险导向审计,即以重大错报风险为导向的审计,关键是不能曲解其本质含义。风险导向审计的两项主要的同等重要的工作就是:评估重大错报风险和降低重大错报风险。识别风险、评估风险是前提,检查风险、降低风险是实质。两者缺一不可,绝不能只重其一。实务中有两种典型错误做法,背离风险基础审计的真谛,必须按准则的本质要求予以纠正和规范:一是刚进驻被审计单位就完全凭经验评估风险,感觉较好时干脆就不实施或很少实施进一步审计程序;二是风险评估不在行或不想做,项目组一进驻单位根本没摸清客户重大错报风险,就直接实施实质性程序收集审计证据,盲人摸象,几乎发现不了重大问题。
2.审计工作重心必须前移,审计计划工作必须加强。收集审计证据主要包括计划审计和实施审计两类工作。实务中大多比较轻计划、重实施。新国际审计风险准则要求我们必须将审计工作的重心前移,重视审计计划工作,花费必要成本和相当精力在了解客户及其环境(包括内部控制)上,以识别和评估出重大错报风险。只有以认真评估的重大错报风险为基础,才能制定出有效的审计计划。我国目前独立审计业务整体水平不高,关键在于计划能力不强,说到底是识别和评估重大错报风险的能力不强。一些事务所的项目组一进单位就习惯拿出老一套的审计程序清单照做,根本不问重大错报风险在哪儿。编审计划好比开中医药方,中医药方要对症必须先问症,审计计划要能帮助查出重大错报,就必须先识别评估出重大错报风险。
3.职业怀疑态度必须坚持,强制审计程序必须到位。审计职业的特点决定每个审计人员必须坚持职业怀疑态度。职业怀疑是审计人员必练的基本功。审计人员要养成很强的怀疑意识与能力,需要道德素养、职业责任感、应有谨慎、执业经验、判断能力、专业精神、敏锐眼光的广泛良性互动和长期同步揉和。保持职业怀疑并不是孤立存在的一种纯精神态度,而是要求体现于风险评估、计划和实施程序、收集和评价证据、形成结论和意见等审计全过程的具体专业行为中。可以说,不会职业怀疑,几乎就等于不会审计。与此同时,新国际审计风险准则比以前准则规定了更多的强制审计程序,比如项目组讨论、特别风险和全靠实质性程序获取充分适当证据的风险识别及处置、审计工作底稿更详细的记录等,审计人员在实务中必须执行到位,以减少审计程序的随意性和盲目性。
4.客户行业状况必须掌握,职业经验积累必须重视。ISA 315用了124段外加3个附录的前所未有的特大篇幅,来规范“了解被审计单位及其环境并评估重大错报风险”。这一方面说明风险评估很重要,另一方面说明风险评估难度相当大,对大量的中小型事务所来说做好风险评估更难。ISA 315要求注册会计师先从下列方面了解被审计单位及其环境(包括内部控制),再据以评估财务报表总体层次和认定层次的重大错报风险:(1)行业状况、监管环境以及其他外部因素;(2)被审计单位的性质及对会计政策的选择和运用;(3)被审计单位的目标、战略以及相关经营风险;(4)被审计单位财务业绩的衡量和评价;(4)相关内部控制。这些了解不仅内容十分宽泛,而且要求必须将了解的信息运用于风险评估,无疑对事务所及注册会计师的能力提出了严峻的挑战。各事务所及注册会计师如再不重视平时对客户经营及行业状况的逐步掌握和职业经验的点滴积累,要达到新准则的要求是不可能的。
5.我国现行准则必须修订,审计实务流程必须改进。我国独立审计准则的制定一直坚持国际化方向,已初步建立起独立审计准则体系。注册会计师协会根据ISA的新正在抓紧修订我国现行审计风险准则。按工作计划,目前正在制定4个新的审计风险准则:一是《独立审计具体准则第XX号——会计报表审计的目标和一般原则》,依据新ISA 200制定,拟取代《独立审计具体准则第l号——会计报表审计》;二是《独立审计具体准则第XX号——了解被审计单位及其环境并评估重大错报风险》,依据ISA 315制定,拟取代《独立审计具体准则第9号——内部控制与审计风险》、《独立审计具体准则第20号——计算机信息系统环境下的审计》和《独立审计具体准则第21号——了解被审计单位情况》;三是《独立审计具体准则第XX号——针对评估的重大错报风险实施的程序》,依据ISA 330制定;四是《独立审计具体准则第XX号——审计证据》,依据新ISA 500制定,拟取代《独立审计具体准则第5号——审计证据》。这4个新准则经过在全国范围内征求意见后,计划于2005年正式颁行。各事务所及注册会计师应密切关注和认真审计风险准则的新发展,并积极考虑据此改进审计实务流程,切实提高评估风险和发现重大错报的能力。
主要
ISA 315 Understanding the entity and its environment and assessing the risks of material misstatement
ISA 330 auditors procedures in response to assessed risks
ISA 500 (revised) Audit evidence
ISA 200 Objective and general principles governing an audit of financial statements
ISA 300 Planning an audit of financial statements
IAS 310 Knowledge of the business
ISA 400 Risk assessments and internal controls
《〈中国注册会计师审计准则第1101号――财务报表审计的目标和一般原则〉指南》指出:经营风险源于对被审计单位实现目标、战略产生不利影响的重大情况、事项、环境和行动,或源于不恰当的目标或战略。世界性金融危机的蔓延,致使包括我国在内的世界各国实体经济陷入空前的经营低谷,具体表现为或因市场销售萎缩、资产减值而危及企业生存,或因企业业绩下滑而导致企业持续经营能力削弱,而苦于挣扎的企业则往往求助于修饰财务报表,从而形成金融危机环境下的审计风险。在如此复杂的经济形势下,我们会计师事务所(以下简称事务所)和注册会计师,一方面要高度重视金融危机蔓延对行业的影响,进一步强化大局意识和社会责任意识,深入理解和准确把握中央出台各项政策措施对注册会计师执业工作的新要求,积极行动,密切配合,为国家重大宏观经济决策的落实到位和市场信心有效提升服务,更应认真研究相关政策对企业的适用性和积极影响,及时为企业提供相关的政策咨询、政策解读和审计服务,积极主动帮助企业应对危机、化解危机。同时,更应该高度重视企业经营环境恶化可能导致的审计风险,加强审计质量控制和执业风险管理,防止企业经营风险转化为审计风险。
二、严格执行质量控制准则,切实加强以风险防范作为首要目标的质量控制
《中国注册会计师审计准则第1121号――历史财务信息审计的质量控制》要求,会计师事务所应当按照质量控制准则的规定,制定控制制度,以合理保证事务所及其人员遵守法律法规、遵守职业道德规范、审计准则的规定和出具恰当的审计报告。金融风暴的冲击,致使宏观经济复杂多变,企业经营风险以及由于经营艰难、股权激励、业绩承诺、融资或者获取政府资助等因素导致的财务舞弊风险增大,审计失败的风险也随之增加。在这样严峻的经济形势下会计师事务所和广大注册会计师更应当严格执行质量控制准则,制定严密、适当、适用的质量控制制度,以保证独立、客观、公正地发表审计意见,防范执业风险。
在制定质量控制制度时,风险防范应作为质量控制的首要目标,对于被审计单位,审计人员应着重了解金融危机对其经营活动的影响方式、影响程度,了解被审计单位可能粉饰财务报表的动因,以及其管理层的诚信程度等,从而委派适当的项目负责人,组织胜任的审计项目组,并明确项目负责人对审计业务的总体质量负责。
《1121号审计准则》还规定:(1)对上市公司财务报表审计,还应当建立项目质量复核制度,由事务所委派未参加该项审计业务的人员实施独立的项目质量复核,以确保项目组执行的业务符合审计准则的要求;(2)事务所应建立监控政策和程序,以合理保证质量控制制度是相关的和充分的,并正在有效运行。在监控和对已完成的审计业务进行的检查过程中,事务所如果发现某些业务项目在执行中存在不足或缺陷,应即告知项目负责人,项目负责人应当根据事务所通报的信息考虑相关事项并采取必要的补救措施。
由金融危机引发的全球经济动荡,致使被审计单位的情况更加复杂,审计风险会进一步增大。因此,只有严格执行质量控制准则,尽力防止企业经营风险转化为审计风险,才能保证不至于重蹈“琼民源”、“银广厦”、“郑百文”以及“安然”等事件中负责审计的事务所和相关注册会计师的覆辙。
三、认真贯彻风险导向审计理念,谨慎应对金融危机环境下的审计风险
(一)了解金融危机对被审计单位及其环境的影响。
1.了解被审计单位及其环境与风险评估的关系。了解被审计单位及其环境,注重从宏观层面了解、分析财务报表存在的重大错报风险,是风险导向审计理念的精髓。《1101号审计准则》要求注册会计师在审计过程中贯彻风险导向审计的理念,围绕重大错报风险的识别、评估和应对,计划实施审计工作;《中国注册会计师审计准则第1211号――了解被审计单位及其环境并评估重大错报风险》及其《指南》提出:了解被审计单位及其环境是必要程序,特别是在注册会计师为关键环节作出职业判断提供重要基础;职业判断只有建立在对被审计单位及其环境了解的基础上,才是恰当的和符合实际的。
2.充分关注和了解金融危机对被审计单位经营的影响方式和影响程度。通常情况下,审计人员可以按照客户的行业性质、所在地区和产品流向、服务对象等,调查了解金融危机对其影响方式和影响程度,并可在调查了解的基础上,将金融危机对其影响程度划分为严重影响、中度影响、轻微影响和基本上无影响等几种类型;在影响方式上,还可划分为直接影响(如出口企业)、间接影响(如原材料供应企业)和同时具有直接影响和间接影响等几种类型,其用意在实施有效的风险管理和风险控制。在经济动荡的现阶段,被审计单位的行业状况、法律环境、监管环境以及其他外部因素变动频繁,对于被审计单位会计政策的选择和运用,目标、战略及相关经营风险,财务业绩的衡量和评价,以及内部控制,都可能带来重大影响。因此,审计时必须在分析总的经济形势的前提下,根据被审计单位的具体情况,实施了解被审计单位及其环境的审计程序,充分发挥这一重要程序应有作用。
(二)结合金融危机对被审计单位的影响,评估重大错报风险。
1.评估重大错报风险的程序和方法。在了解被审计单位及其环境、把握金融危机对其影响情况的同时,应该对重大错报风险实施评估程序,包括:(1)在了解被审计单位及其环境的整个过程中识别重大错报风险;(2)将识别的风险与认定层次可能发生的错报相联系,比如经评估认为被审计单位利润可能有虚假,则应将其与收入、费用、成本的确认和计量相联系;(3)考虑识别的风险是否重大,是否足以导致财务报表发生重大错报;(4)根据风险评估结果,确定实施进一步审计程序的性质、时间和范围;(5)利用实施风险评估程序所收集的信息,包括在评估控制时所获取的审计证据,作为支持风险评估结果的审计证据。
以上“进一步审计程序”,是指根据评估的错报风险设计和实施的、意在发现和认定重大错报、降低审计风险的审计程序。它是审计准则中的一个专门概念,以区别于财务报表审计的一般程序。
风险评估程序的基本方法,《1211号审计准则》列举的包括询问、分析、观察和检查。
2.结合金融危机影响实施风险评估。在当前复杂多变、低迷不振的经济形势下,风险评估应当侧重于了解国内外经济环境等外部因素,以准确认识风险性质,审计人员还应当考虑在当前金融危机下整体经济环境发生的重大变化,判断相关风险是否属于特别风险,并据以拟定特别风险应对措施;在金融危机的大环境下,在初步业务活动和业务保持阶段,应将持续经营作为重点关注事项。实施风险评估程序时,要客观评价企业管理层对自身持续经营能力作出的评估。当识别出可能导致对持续经营假设产生重大疑虑的事项或情况时,应当设计和实施充分、适当的进一步审计程序;当进一步审计程序实施后认为根据已获取的审计证据,确定可能对持续经营能力产生重大疑虑的事项或情况存在重大不确定性时,审计人员应慎重考虑其对财务报表、报表附注,以及对审计报告意见类型的影响。
3.对风险评估的修正。在当前复杂多变的经济形势下,风险评估结论不是永远适用的,它将随着形势的变动而变更其适用程度。审计过程中,如果通过实施进一步审计程序获取的审计证据与前期评估获取的审计证据不一致,审计人员应当修正风险评估结论,并相应修改原计划的实施的进一步审计程序。因此,评估重大错报风险与了解被审计单位及其环境一样,也是一个连续和动态地收集、更新与分析信息的过程,它同样贯穿于整个审计过程的始终。
(三)充分关注金融危机环境下的特别风险。
1.金融危机环境下产生特别风险的动因及表现。金融危机环境下的特别风险,发生的概率和程度皆比平时高。原因是在复杂艰难经济形势下,企业管理层或为了克服生存危机,或为了骗取外部资金,或为了牟取以财务业绩为基础的私人报酬最大化,或为了掩盖经营失败而动摇自己的领导地位,或为了获取一定份额的国家应对危机的投资资金,等等,不惜以进行财务舞弊、编制虚假财务报表来达到目的。其具体表现主要有:(1)对财务报表所依据的会计记录或相关文件记录的操纵、伪造或篡改;(2)对交易或事项及其他重要信息在财务报表中不真实表达或故意遗漏;(3)对与确认、计量、分类和列报有关的会计准则、会计制度和会计政策、会计估计的故意误用,等等。
2.谨慎处理金融危机下的特别风险。审计人员应当根据已评估识别的风险性质、潜在错报的重要性程度和发生的可能性,判断风险是否属特别风险,常规、不复杂的交易通常只具有较低的固有风险,因此引起特别风险的可能性较小;另一方面,特别风险通常源于导致重大错报风险的经营风险,而金融危机环境下的重大错报风险多具有这一特征。
关键词:审计风险模型;重大错报风险;报表层次;认定层次
中图分类号:F239 文献标识码:A 文章编号:1001-828X(2013)05-0-02
传统审计风险模型是:审计风险=固有风险×控制风险×检查风险。它可以解决交易类别、账户余额、披露和其他具体认定层次的错报,发现经济交易和事项本身的性质和复杂程度发生的错报,发现企业管理当局由于本身的认知和技术水平造成的错报,以及企业管理当局局部和个别人员舞弊和造假造成的错报。从而将检查风险控制在比较满意的水平。但如果企业高层存在通同舞弊、虚构交易,也就是战略和宏观层面的风险,运用该模型便会捉襟见肘了。为此,国际审计和保证准则委员会于2003年10月和修订了相关准则,推出了新的审计风险模型,要求注册会计师在审计过程中实施审计程序要从财务报表整体层次和相关认定层次两方面评估重大错报风险,并据以确定和实施进一步的审计程序,把检查风险降至可接受的低水平。现代审计风险模式是:审计风险=重大错报风险×检查风险,即AR=RMM x DR。中国注册会计师审计准则(以下简称《准则》)于2010年11月1日进行了修订,并于2012年1月1日起施行,《准则》1101号对几个概念进行了叙述,审计风险(audit risk,AR),是指当财务报表存在重大错报时,注册会计师发表不恰当审计意见的可能性,它取决于重大错报风险和检查风险。重大错报风险(risk of material misstatement,RMM),是指财务报表在审计前存在重大错报的可能性。检查风险(detection risk,DR),是指如果存在某一错报,该错报单独或连同其他错报可能是重大的,注册会计师为将审计风险降至可接受的低水平而实施程序后没有发现这种错报的风险。因为在实际执业中,审计风险AR是一个确定的数值,注册会计师只有通过评估重大错报风险RMM,进而确定可接受的检查风险DR,来设计下一步的程序。上述公式可以变形为:DR=AR/RMM,从公式看出,在既定的审计风险水平下,可接受的检查风险与重大错报风险的评估结果是反向关系,与需要搜集的审计证据是正向关系。评估的重大错报风险越高,可接受的检查风险水平越低,需要搜集的审计证据越多;评估的重大错报风险越低,可接受的检查风险水平越高,需要搜集的审计证据越少。该模型引入了“重大错报风险”概念,并把重大错报风险分为财务报表层次重大错报风险和认定层次重大错报风险。下面就重大错报风险的理解,从财务报表层次和认定层次以及二者的内在联系,谈谈自己的看法:
一、财务报表层次重大错报风险
合理评估财务报表层次重大错报风险水平,是一个尽可能节约审计成本与努力降低审计风险的判断过程。因此,审计时要考虑以下两点:其一,不应将财务报表层次重大错报风险水平简单设定为最高值,而直接进行实质性测试。如果简单设定重大错报风险水平为最高值,然后直接进行实质性测试,既容易使重大错报漏掉,又会增加审计成本,造成测试的范围广,样本多,使审计资源浪费,违反现代风险导向审计的初衷。其二,合理确定财务报表层次重大错报风险水平。注册会计师应首先对审计范围内的具体内容进行全面分析,评价其对财务报表整体产生的影响及其影响程度,然后选择一定的方法确定财务报表层次重大错报风险水平。由于影响财务报表层次重大错报风险的因素是多方面的,且每一因素对财务报表产生的影响是广泛的,一般情况下,难以限于某一具体认定,因此,对财务报表层次重大错报风险审计后,应采取总体应对措施。这些措施主要包括:
1.向项目组强调在收集和评价审计证据过程中保持职业怀疑态度的必要性;
2.分派更有经验或具有特殊技能的审计人员,或利用专家的工作;
3.提供更多的督导;
4.在选择进一步审计程序时,应当注意使某些程序不被管理层预见或事先了解。在实务中,注册会计师可以通过以下方式提高审计程序的不可预见性:(1)对某些未测试过的低于设定的重要性水平或风险较小的账户余额和认定实施实质性程序;(2)调整实施审计程序的时间,使被审计单位不可预期;(3)采取不同的审计抽样方法,使当期抽取的测试样本与以前有所不同;(4)选取不同的地点实施审计程序,或预先不告知被审计单位所选定的测试地点。
5.对拟实施审计程序的性质、时间和范围作出总体修改。
二、认定层次的重大错报风险
财务报表层次重大错报风险与财务报表整体存在广泛联系,可能影响多项认定。而认定层次重大错报风险是与特定的某类交易账户余额和披露的认定相关,它由固定风险和控制风险两个部分组成。针对认定层次重大错报风险应把握以下几点:
1.在针对认定层次重大错报风险设计和实施进一步审计程序时,审计程序的性质、时间安排和范围应当能够应对评估的由于舞弊导致的认定层次重大错报风险。例如,针对由于舞弊导致的认定层次重大错报风险,注册会计师应当考虑实施函证程序以获取更多的相互印证的信息。
2.注册会计师为评估认定层次重大错报风险并设计进一步审计程序应对评估的风险而认为有必要了解被审计单位的控制活动,但审计并不要求了解与财务报表中每类重大交易、账户余额和披露或与其每项认定相关的所有控制活动。
3.注册会计师对认定层次重大错报风险的评估,可能随着审计过程中不断获取审计证据而作出相应的变化。如果实施进一步审计程序获取的审计证据,或获取的新信息,与注册会计师之前作出评估所依据的审计证据不一致,注册会计师应当修正风险评估结果,并相应修改原计划实施的进一步审计程序。
4.注册会计师应当针对评估的认定层次重大错报风险,设计和实施进一步审计程序,包括审计程序的性质、时间安排和范围。在设计拟实施的进一步审计程序时,注册会计师应当考虑形成某类交易、账户余额和披露的认定层次重大错报风险评估结果的依据。评估的风险越高,需要获取越有说服力的审计证据。
5.形成某类交易、账户余额和披露的认定层次重大错报风险评估结果的依据包括:因相关交易类别、账户余额或披露的具体特征而导致重大错报的可能性(即固有风险);风险评估是否考虑了相关控制(即控制风险),从而要求注册会计师获取审计证据以确定控制是否有效运行。
6.在评估认定层次重大错报风险时,预期控制的运行是有效的,这时注册会计师应当设计和实施控制测试,针对相关控制运行的有效性,获取充分、适当的审计证据。
7.如果确定评估的认定层次重大错报风险是特别风险,并拟信赖针对该风险实施的控制,注册会计师应当在本期审计中测试这些控制运行的有效性,并应当专门针对该风险实施实质性程序。如果针对特别风险实施的程序仅为实质性程序,这些程序应当包括细节测试。
8.注册会计师应当确定是否有必要实施函证程序以获认定层次的相关、可靠的审计证据。在作出决策时,注册会计师应当考虑评估的认定层次重大错报风险,以及通过实施其他审计程序获取的审计证据如何将检查风险降至可接受的水平。
三、注意两个层次重大错报风险审计的内在联系
注册会计师要注意财务报表层次与认定层次重大错报风险审计的内在联系。一方面,注册会计师对财务报表层次重大错报风险审计时,要与认定层次可能发生的错报领域联系起来,要与可能发生错报的业务环节挂钩,这样,使财务报表层次重大错报风险审计有的放矢,也为认定层次的重大错报风险审计提供指向。另一方面,在对认定层次重大错报风险审计时,考虑已确定的财务报表层次重大错报风险水平,以便提高对认定层次重大错报风险审计的针对性。由于认定层次的重大错报风险审计,是在财务报表层次重大错报风险审计提供的指向下进行的,因此,这可以使认定层次重大错报风险审计避免盲目性,既有利于合理使用审计资源,提高审计工作成效,又有利于两个层次合力实现合理保证财务报表不存在重大错报的审计目标。
参考文献:
[1]中国注册会计师审计准则[S].2012
[2]李晓慧.审计学实务与案例[M].北京:人民大学出版社,2011.
[3]沈琦.基于重大错报风险审计风险模型的应用研究[D].东北大学,2008(06).
[4]路云峰.财务报表重大错报风险与审计定价[D].暨南大学,2009(05).
一、财务报表重大错报风险因素识别
从风险识别与评估的角度来看,新旧准则的最大差异在于新准则扩展了重大错报的风险因素,加深了风险因素如何对重大错报的发生造成影响的认识,以更宏观的视角,从整个企业及其环境状况的变化去认识影响重大错报发生的风险因素,通过考察造成重大错报的根本动因,来实施风险评估。新准则第1211号第19条规定了注册会计师应当了解被审计单位及其环境的具体方面,即行业状况、法律环境与监管环境以及其他外部因素;被审计单位的性质;被审计单位对会计政策的选择和运用;被审计单位的目标、战略及相关经营风险;被审计单位财务业绩的衡量和评价以及被审单位的内部控制。笔者认为,可能导致被审计单位财务报表重大错风险的因素,概括起来应包括以下几个方面:
(一)环境风险因素 有效的审计,首先需要注册会计师对被审计单位所处的宏观社会经济环境和行业环境进行充分的分析。以了解企业在外部环境中的地位。通过分析企业与外部环境之间的联系,从而发现潜在的重要战略风险。了解被审计单位的行业状况、法律环境、监管环境以及其他外部因素,可以帮助注册会计师评估被审计单位所在行业的业务性质或监管程度是否可能导致特定的重大错报风险,评估项目组是否配备了具有相关知识和经验的成员。根据一些著名的审计失败案例可看出,经济形势行业政策的变化对被审计单位的影响可能转化为诱发虚假财务报告环境压力,而注册会计师缺乏相关知识和经验或估计不足,将导致审计的失败。注册会计师需要识别和评估的企业环境风险因素主要有:(1)行业环境状况,如企业所在行业现状及发展趋势;市场供求与竞争;产品生产技术的变化;能源供应与成本;生产经营的季节性和周期性等。(2)法律及监管环境,如适用的会计准则、会计制度和行业特定惯例;对经营活动产生重大影响的法律法规及监管活动;对开展业务产生重大影响的政府政策;与被审计单位所处行业和所从事经营活动相关的环保要求等。(3)其他外部因素,如宏观经济的景气程度;利率和资金供求状况;通货膨胀水平及币值变动;国际经济环境和汇率变动等。
(二)战略经营风险因素 战略经营风险是企业的内部因素对企业的发展和经营成果以及持续经营造成的风险。多数经营风险最终都会产生财务后果,从而影响财务报表。注册会计师应从了解企业所制定的总体战略出发,认识企业的经营目标和具体战略,分析内部经营环节,利用职业判断对可能导致财务报表重大错报的相关经营风险进行识别和评估。注册会计师还应了解被审计单位目标和战略以及相关的经营风险:(1)对相关因素分析不够充分或对未来的变化没有能够合理预计而带来的企业总体战略选择风险。如企业战略规划与经营目标或任务适应性风险、行业发展及其可能导致的企业不具备足以应对行业变化的人力资源和业务专长的风险、业务扩张及其可能导致企业对市场需求的估计不准确风险等。(2)企业的具体战略选择失误而带来的风险,如企业开发新产品或提供新服务可能导致的产品责任增加的风险、企业并购可能导致的运营困难的风险等;(3)企业供、产、销等经营环节的作业链风险等。
(三)财务风险因素 财务风险是指在企业各项财务活动中由于内外环境及各种难以预料或控制的因素使财务系统运行偏离预期目标而形成的经济损失的可能性。财务风险是资本价值运动中存在的风险,按照资本运动的过程,可将财务风险划分为:(1)筹资风险。筹资活动是一个企业生产经营活动的起点,企业筹资的主要目的是为了扩大生产经营规模,提高经营效益。企业筹资渠道可以分为两大类,一类是所有者投资,另一类是借入资金。(2)投资风险。投资风险是指由于不确定因素的存在而使投资项目不能达到预期投资报酬,从而影响企业获利水平和偿债能力的风险。投资风险是所有财务风险的主导,主要有投资结构风险、投资项目风险、投资组合风险。(3)资金回收风险。资金回收风险是指投入的本金经过生产经营过程之后不能回到起点的风险。资金是企业生命的源泉,是企业经营之本,只有充足的资金才能保证企业生产经营活动的正常进行。企业资金回收风险的大小既与国家宏观经济政策尤其是财政金融政策紧密相关,又取决于企业的营销策略、信用策略和经营管理水平的高低。(4)收益分配风险。收益分配风险是指由于收益分配可能给企业今后的生产经营活动产生不利影响。合理的收益分配会提高企业声誉,调动投资者积极性,促进证券市场上股票价格上涨,给企业后期的筹资活动奠定良好基础。但不利的收益分配,也可能妨碍企业资金周转、降低企业偿债能为,挫伤投资者的积极性,降低企业信誉,导致股价下跌,这些都会对企业今后的发展带来不利影响。
(四)治理结构风险因素 公司治理是企业外部的所有者和债权人等利害相关者对企业实施控制并要求企业履行经管责任的过程。公司治理的质量反映了经营者履行经营质量和财务报告的质量。良好的公司治理结构有助于权力在股东大会、董事会、管理层及监督层之间的分配,并形成相互制约、相互平衡的机制,进而能在一定程度上防止公司管理层舞弊行为的发生。相反,如果公司治理机制残缺,管理层舞弊的概率则会明显加大。注册会计师可以通过对以下因素的分析来评估公司治理的风险:(1)董事会、审计委员会或监事会等治理层的独立性和能力。(2)经营者的能力和诚实性。注册会计师需要了解经营者的背景、管理能力以及影响经营管理的经济激励机制,以便识别委托动机和经营者对财务信息作出虚假报告的可能性。(3)主要利害相关者参与企业经营的程度。(4)关联方交易。不符合正常商业运作程序的关联方交易可能是舞弊的手段。(5)经营者报酬计划和经营激励机制。
(五)内部控制风险因素 内部控制是被审计单位为合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守,由治理层、管理层和其他人员设计和执行的政策和程序。注册会计师应当对以下构成内部控制要素的风险进行分析与评估:(1)控制环境。控制环境决定组织的风气,影响组织成员的控制意识。(2)风险评估。由于经济、行业、管制和营运条件处于变动中,因此企业管理层需要有一定的机制和程序来识别和应对这些风险。(3)控制活动。控制活动是保证经营者的指示得以执行的方针和程序,包括批准、授权、检验、调整、业绩复核、资产保全以及职务分工等一
系列的活动。(4)信息与沟通。信息与沟通是指将信息系统所识别、搜集的有关企业内部和外部的事项、活动和状况的信息在企业内部以及向企业外部进行传递。(5)对内部控制的监督。内部控制需要监督,监督是一个不断评价内部控制系统机能的过程,监督的形式可以有日常监督活动、独立评价或者两者的结合。
(六)会计错弊风险因素 会计错弊风险主要是指被审计单位在会计政策的选择和运用方面存在的错误或舞弊风险。错误是指导致财务报表错报的非故意行为,主要包括:为编制财务报表而收集和处理数据时发生失误;由于疏忽和误解有关事实而作出不恰当的会计估计;在运用和确认、计量、分类或列报(包括披露)相关的会计政策时发生错误等。注册会计师应了解审计单位对会计政策的选择和运用,是否符合适用的会计准则和相关会计制度,是否符合被审计单位的具体情况,并对会计政策的选择和运用可能导致的重大错报风险作出评估。在了解被审计单位对会计政策的选择和运用是否适当时,注册会计师应当关注下列重要事项:重要项目的会计政策和特殊行业惯例;重大和异常交易的会计处理方法;在新领域和缺乏权威性标准或共识的领域,采用重要会计政策产生的影响;会计政策的变更;被审计单位何时采用以及如何采用新颁布的会计准则和相关会计制度。
二、财务报表重大错报风险评估
一、审计风险模型及其改进
(一)审计风险模型要素的变化原准则所称审计风险,是指会计报表存在重大错报或漏报,而注册会计师审计后发表不恰当审计意见的可能性,包括固有风险、控制风险和检查风险。即审计风险=固有风险×控制风险×检查风险(AR=IR×CR×DR)。新准则规定,审计风险是指财务报表存在重大错报而注册会计师发表不恰当审计意见的可能性。审计风险取决于重大错报风险和检查风险,注册会计师应当实施审计程序,评估重大错报风险,并根据评估结果设计和实施进一步审计程序,以控制检查风险。即审计风险=财务报表重大错报风险×检查风险。
(二)传统审计风险模型的缺陷原准则第9号第22、33条指出,注册会计师了解内部控制并评估固有风险后,应当对各重要账户或交易类别的相关认定所涉及的控制风险作出初步评估。由于控制风险与固有风险相互联系,注册会计师应当对固有风险与控制风险进行综合评估。在实务中,有些事务所分别评估固有风险和控制风险,也有些事务所综合评估固有风险和控制风险。若采用分别评估的方法,在编制具体审计计划时,注册会计师应考虑固有风险的评估对各重要账户或交易类别的认定所产生的影响,或者直接假定这种认定的固有风险为高水平。
若不直接假定固有风险为高水平的情况下对固有风险的评估。准则第21条指出,注册会计师应当合理运用专业判断,考虑管理人员的品行和能力、管理人员特别是财会人员的变动情况、管理人员遭受的异常压力、业务性质、影响被审计单位所在行业的环境因素、容易产生错报的会计报表项目等事项,评估固有风险。然而这些因素是否能够独立、全面地评估固有风险,注册会计师在审计实务中到底是否真正地评估了固有风险都有待考证。有证据表明,在审计实务中,固有风险的评估和控制风险的评估之间是相互关联的,注册会计师在评估控制风险中的大部分控制环境特征时亦一并列示了固有风险评估的重要因素。这表明注册会计师并非评估固有风险本身,而是内部会计控制。
若直接假定固有风险为高水平,此时,由于AR=IR×CR×DR,故有AR=100%×CR×DR,即AR=CR×DR。(1)从可行性和效果性分析,变形后的AR使得内部控制的主体缺位。内部控制是管理层用以应对固有风险的重要手段。而控制风险的产生往往介于两个极端之间:一个极端是管理层制定的内部控制完全不能应对固有风险,另一个极端是管理层制定的内部控制完全能够应对固有风险。人们不可能脱离风险源头(固有风险)对控制风险进行评估;如果脱离,也就不可能得到合理的控制风险评估结果,最终往往造成低估企业重大错报风险。(2)从效率性分析,如果简单地将一个企业的固有风险评估为最高,审计起点退至了解和测试内部控制,从而使注册会计师在审计实务中更多地依赖审计风险模型的其他组成部分,并增加计划获取的审计证据的数量或要求,可能是不恰当的,特别是在一个讲究审计效率的环境下。(3)从模型本身的因素分析,模型如果没有纳入控制固有局限的影响并细分控制风险,应用该模型容易导致注册会计师在实务中低估重大错报风险,高估可接受的检查风险,相应的审计程序(如细节测试)可能不足。因此,该模型无助于审计证据的决策,而必须在每一种业务循环、每一个账户,并且经常在每一个审计目标上分析计算,从而无法满足对财务报表审计整体审计风险的把握和控制。在此基础上构建出的风险导向审计模式在对待风险上只能是零散的、微观的,不能形成整体的、宏观的认识。
(三)现代审计风险模型的改进主要包括以下几方面:
一是引入“重大错报风险”概念,并规定评估重大错报风险是首要的必要审计程序。为了避免分别评估固有风险和控制风险的潜在误解,也为了增强“固有风险和控制风险综合评估”的可操作性,新准则引入了“重大错报风险”概念。准则1101号第18条规定,重大错报风险是指财务报表在审计前存在重大错报的可能性。将审计风险模型重构为:审计风险=重大错报风险×检查风险。这不是简单地将固有风险和控制风险合并为重大错报风险,而是作出了重大的实质性改进。它要求注册会计师在设计和实施审计测试前必须适当地评估重大错报风险,而不能未评估重大错报风险就盲目进行审计测试;也不能像以往那样简单设定重大错报风险为高水平而直接实施更为广泛的实质性测试。新风险模型明确规定了审计工作以评估财务报表重大错报风险作为新的起点和导向,准确地抓住了审计工作的重点,有助于直接引导注册会计师紧紧围绕重大错报风险设计和执行审计程序,最终实现合理保证财务报表整体不存在重大错报的审计目标。
二是规定必须针对财务报表整体层次和认定层次来分别评估重大错报风险,并采取不同应对措施,将审计风险降至可接受的低水平。财务报表整体层次风险主要指战略经营风险,该风险源于企业客观的经营风险或企业高层通同舞弊、虚构交易。财务报表层次重大错报风险通常与控制环境有关,并与财务报表整体存在广泛联系,可能影响多项认定,但难以限于某类交易、账户余额、列报与披露的具体认定。现代风险模型要求注册会计师区分财务报表整体层次和认定层次来评估重大错报风险,然后再针对评估出的财务报表层次的重大错报风险和认定层次的重大错报风险,合理运用职业判断分别确定总体应对措施和设计、实施进一步审计程序,将审计风险降至可接受的低水平。而且,还强调注册会计师评估的财务报表层次重大错报风险以及采取的总体应对措施,对拟实施进一步审计程序的整体审计策略具有重大影响。
三是改变了审计业务流程,强调注册会计师实施的审计程序必须做到有的放矢,增强了审计效果。
审计业务流程改变后,对注册会计师审计理念有着深刻的影响:一是审计的主线变成了对财务报表重大错报风险的识别、评估与应对,以合理保证财务报表不存在重大错报;二是注册会计师实施的审计程序必须做到有的放矢;三是注册会计师必须针对重大的各类交易、账户余额、列报与披露实施实质性程序。这样一来,能否合理评估客户财务报表的重大错报风险,成为评价会计师事务所及CPA专业胜任能力和考验审计质量的关键尺度与决定性因素。
二、风险导向审计在我国运用亟需解决的问题
(一)会计师事务所审计成本与效益问题会计师事务所必须讲求成本与效益,成本能得到补偿是实施新的审计模式的前提。一般来说,现代风险导向审计模式下,首先,注册会计师关注的被审计单位及其环境的范围扩大,程度加深,导致工作时间和人员成本的增加,相应地会增加审计的总成本;其次,风险的概念贯穿于审计程序中每个具体的步骤,一旦在审计过程发现了问题,就要对既定的程序进行重新评估,也必然会加大审计成本。在会计市场竞争激烈的情况下,成本的增加往往不可能过渡到收费的同步增加。此外,还需要一定的投入来培训注册会计师,使其掌握业务流程和行业知识等有关方面的知识。如果这些成本得不到补偿,就会使一部分中小会计师事务所在竞争中无法生存。
(二)注册会计师执业队伍现状问题现代风险导向审计在审计理念的更新、审计方法的设计、专业判断的能力要求、执业责任的归属等方面,同原准则相比有了巨大的调整和变化,对注册会计师的执业素质提出新的更高要求。这一模式下,对风险的控制,不仅要审查与会计系统有关的因素,还要审查企业内外的各种环境因素;不仅对会计事项进行个别风险分析,还对各种环境因素进行综合风险分析。这就要求注册会计师不仅有丰富的执业经验,还要有广博的行业知识,对各行各业的总体情况了如指掌,才能对被审公司的行业风险和经营风险情况作出正确的评估。这种高素质人才的相对缺乏,已经成为了风险导向审计模式广泛开展的瓶颈。因此,现阶段并不适宜全面实行风险导向审计模式。
(三)信息系统的建设问题现代风险导向审计的重要特征是审计重心前移,注册会计师必须首先执行风险评估程序,充分了解客户整体经营环境,然后针对风险不同的客户、客户不同的风险领域,设计个性化的审计程序。因此,会计师事务所必须建立强大的信息系统,以便注册会计师在风险评估时了解企业的战略、流程风险管理、业绩衡量等。而目前国内很多事务所对行业风险和企业经营风险缺乏了解,对客户的相关信息了解不够充分,信息系统的建设还达不到现代风险导向审计的要求,大部分注册会计师缺少这方面的知识和技能准备,导致风险评估不准确。因此,在现阶段全面推行风险导向审计模式,只能是一种良好的愿望。
三、推动风险导向审计的几点思考
(一)辨证地引入风险导向审计引入风险导向审计是一种执业理念的改变。风险导向审计模式是在账项基础审计和制度基础审计这两种审计模式的基础上发展起来的。新审计模式与原有审计模式之间的关系并非取代与被取代的关系,新审计模式的产生并不意味着原有审计模式的淘汰和消亡,而是意味着在实施审计时有了更多的审计模式可供选择。在我国现阶段,更多地应该考虑选择以下混合审计模式:一是以制度基础审计为主,结合风险导向审计的混合审计模式;二是以会计报表审计为主,结合风险导向审计的混合审计模式。前者常常用在上市公司、跨国公司、企业集团中。由于这些公司的资产、资本规模较大,经济业务比较复杂,经营范围比较广,组织结构庞大、分散,所以这种公司不是靠一个或几个管理者来管理,更多的是依靠企业的一种比较健全的管理理念和比较完善的内控制度,采用混合审计模式可以在保证审计效果的同时提高审计效率。后者对中小型企业,特别是小企业比较适用,通常其资产、资本和经营规模比较小,业务流程简单,经营范围单一,管理层次很少,内部控制制度不健全或者形同虚设,用制度基础审计就不合适。对大多数民营企业也是如此。但是无论采取哪一种审计模式,都应该在整个审计过程中结合风险导向审计的理念。
(二)根据增值服务合理提高审计收费对企业而言,如果引入风险导向审计,首先要考虑是否会加大其成本,然后才会考虑增值服务效应。而对会计师事务所来说,首先考虑的是审计的价值,因为审计是有风险的。解决这种矛盾的途径是,根据企业不同的情况采用不同审计模式,审计过程中根据企业需要随时调整和完善审计程序,让客户感觉到使用风险导向审计能为其带来很多增值服务,如可以为企业提供内控建议等,让其意识到高收费并不意味着将成本转嫁给客户。当市场接受这种审计方式时,客户也认可这是一种增值服务。这样就能在成本和风险中找到一个最佳平衡点,从而合理提高审计收费。