在对审计风险的理解基本一致的前提下, 通常认为存在着一个审计风险模型, 理论界曾出现过蒙哥马利风险模型、阿伦斯风险模型和德. 保罗风险模型等, 我国《独立审计具体准则第9号———内部控制与审计风险》( 以下简称“原准则”) 采用“审计风险= 固有风险×控制风险×检查风险”模型, 称为传统的审计风险模型。2003 年10 月, 国际审计和保证准则委员会发布了3 个新的审计风险准则, 将审计风险模型修订为: 审计风险= 重大错报风险×检查风险, 即现代审计风险模型。2006 年2 月, 我国新颁的《注册会计师执业准则》( 以下简称“新准则”) 与原准则相比,最大的变化和核心内容是启用了现代审计风险模型, 确立了注册会计师识别、评估和应对财务报表重大错报风险的思路。
一、审计风险模型及其改进
( 一) 审计风险模型要素的变化
原准则所称审计风险, 是指会计报表存在重大错报或漏报, 而注册会计师审计后发表不恰当审计意见的可能性, 包括固有风险、控制风险和检查风险。即审计风险= 固有风险×控制风险×检查风险( AR=IR×CR×DR) 。新准则规定, 审计风险是指财务报表存在重大错报而注册会计师发表不恰当审计意见的可能性。审计风险取决于重大错报风险和检查风险, 注册会计师应当实施审计程序, 评估重大错报风险, 并根据评估结果设计和实施进一步审计程序, 以控制检查风险。即审计风险= 财务报表重大错报风险×检查风险。
( 二) 传统审计风险模型的缺陷原准则
第9 号第22、33 条指出, 注册会计师了解内部控制并评估固有风险后, 应当对各重要账户或交易类别的相关认定所涉及的控制风险作出初步评估。由于控制风险与固有风险相互联系, 注册会计师应当对固有风险与控制风险进行综合评估。在实务中, 有些事务所分别评估固有风险和控制风险, 也有些事务所综合评估固有风险和控制风险。若采用分别评估的方法, 在编制具体审计计划时, 注册会计师应考虑固有风险的评估对各重要账户或交易类别的认定所产生的影响,或者直接假定这种认定的固有风险为高水平。
若不直接假定固有风险为高水平的情况下对固有风险的评估。准则第21 条指出, 注册会计师应当合理运用专业判断, 考虑管理人员的品行和能力、管理人员特别是财会人员的变动情况、管理人员遭受的异常压力、业务性质、影响被审计单位所在行业的环境因素、容易产生错报的会计报表项目等事项, 评估固有风险。然而这些因素是否能够独立、全面地评估固有风险, 注册会计师在审计实务中到底是否真正地评估了固有风险都有待考证。有证据表明, 在审计实务中, 固有风险的评估和控制风险的评估之间是相互关联的, 注册会计师在评估控制风险中的大部分控制环境特征时亦一并列示了固有风险评估的重要因素。这表明注册会计师并非评估固有风险本身, 而是内部会计控制。
若直接假定固有风险为高水平, 此时, 由于AR= IR×CR×DR,故有AR=100%×CR×DR, 即AR= CR×DR。( 1) 从可行性和效果性分析, 变形后的AR 使得内部控制的主体缺位。内部控制是管理层用以应对固有风险的重要手段。而控制风险的产生往往介于两个极端之间: 一个极端是管理层制定的内部控制完全不能应对固有风险, 另一个极端是管理层制定的内部控制完全能够应对固有风险。人们不可能脱离风险源头( 固有风险) 对控制风险进行评估;如果脱离, 也就不可能得到合理的控制风险评估结果, 最终往往造成低估企业重大错报风险。( 2) 从效率性分析, 如果简单地将一个企业的固有风险评估为最高, 审计起点退至了解和测试内部控制,从而使注册会计师在审计实务中更多地依赖审计风险模型的其他组成部分, 并增加计划获取的审计证据的数量或要求, 可能是不恰当的, 特别是在一个讲究审计效率的环境下。( 3) 从模型本身的因素分析, 模型如果没有纳入控制固有局限的影响并细分控制风险,应用该模型容易导致注册会计师在实务中低估重大错报风险, 高估可接受的检查风险, 相应的审计程序( 如细节测试) 可能不足。因此, 该模型无助于审计证据的决策, 而必须在每一种业务循环、每一个账户, 并且经常在每一个审计目标上分析计算, 从而无法满足对财务报表审计整体审计风险的把握和控制。在此基础上构建出的风险导向审计模式在对待风险上只能是零散的、微观的, 不能形成整体的、宏观的认识。
( 三) 现代审计风险模型的改进主要包括以下几方面:
一是引入“重大错报风险”概念, 并规定评估重大错报风险是首要的必要审计程序。为了避免分别评估固有风险和控制风险的潜在误解, 也为了增强“固有风险和控制风险综合评估”的可操作性, 新准则引入了“重大错报风险”概念。准则1101 号第18 条规定, 重大错报风险是指财务报表在审计前存在重大错报的可能性。将审计风险模型重构为: 审计风险= 重大错报风险×检查风险。这不是简单地将固有风险和控制风险合并为重大错报风险, 而是作出了重大的实质性改进。它要求注册会计师在设计和实施审计测试前必须适当地评估重大错报风险, 而不能未评估重大错报风险就盲目进行审计测试; 也不能像以往那样简单设定重大错报风险为高水平而直接实施更为广泛的实质性测试。新风险模型明确规定了审计工作以评估财务报表重大错报风险作为新的起点和导向, 准确地抓住了审计工作的重点, 有助于直接引导注册会计师紧紧围绕重大错报风险设计和执行审计程序, 最终实现合理保证财务报表整体不存在重大错报的审计目标。
二是规定必须针对财务报表整体层次和认定层次来分别评估重大错报风险, 并采取不同应对措施, 将审计风险降至可接受的低水平。财务报表整体层次风险主要指战略经营风险, 该风险源于企业客观的经营风险或企业高层通同舞弊、虚构交易。财务报表层次重大错报风险通常与控制环境有关, 并与财务报表整体存在广泛联系, 可能影响多项认定, 但难以限于某类交易、账户余额、列报与披露的具体认定。现代风险模型要求注册会计师区分财务报表整体层次和认定层次来评估重大错报风险, 然后再针对评估出的财务报表层次的重大错报风险和认定层次的重大错报风险, 合理运用职业判断分别确定总体应对措施和设计、实施进一步审计程序,将审计风险降至可接受的低水平。而且, 还强调注册会计师评估的财务报表层次重大错报风险以及采取的总体应对措施, 对拟实施进一步审计程序的整体审计策略具有重大影响。
三是改变了审计业务流程, 强调注册会计师实施的审计程序必须做到有的放矢, 增强了审计效果。
根据传统审计风险模型的三要素, 审计业务的基本流程见图1:
按照现代审计风险模型的二要素, 审计业务基本流程见图2:
审计业务流程改变后, 对注册会计师审计理念有着深刻的影响: 一是审计的主线变成了对财务报表重大错报风险的识别、评估与应对, 以合理保证财务报表不存在重大错报; 二是注册会计师实施的审计程序必须做到有的放矢; 三是注册会计师必须针对重大的各类交易、账户余额、列报与披露实施实质性程序。这样一来, 能否合理评估客户财务报表的重大错报风险, 成为评价会计师事务所及CPA 专业胜任能力和考验审计质量的关键尺度与决定性因素。
二、风险导向审计在我国运用亟需解决的问题
( 一) 会计师事务所审计成本与效益问题会计师事务所必须
讲求成本与效益, 成本能得到补偿是实施新的审计模式的前提。一般来说, 现代风险导向审计模式下, 首先, 注册会计师关注的被审计单位及其环境的范围扩大, 程度加深, 导致工作时间和人员成本的增加, 相应地会增加审计的总成本; 其次, 风险的概念贯穿于审计程序中每个具体的步骤, 一旦在审计过程发现了问题, 就要对既定的程序进行重新评估, 也必然会加大审计成本。在会计市场竞争激烈的情况下, 成本的增加往往不可能过渡到收费的同步增加。此外, 还需要一定的投入来培训注册会计师, 使其掌握业务流程和行业知识等有关方面的知识。如果这些成本得不到补偿, 就会使一部分中小会计师事务所在竞争中无法生存。
( 二) 注册会计师执业队伍现状问题
现代风险导向审计在审计理念的更新、审计方法的设计、专业判断的能力要求、执业责任的归属等方面, 同原准则相比有了巨大的调整和变化, 对注册会计师的执业素质提出新的更高要求。这一模式下, 对风险的控制, 不仅要审查与会计系统有关的因素, 还要审查企业内外的各种环境因素; 不仅对会计事项进行个别风险分析, 还对各种环境因素进行综合风险分析。这就要求注册会计师不仅有丰富的执业经验,还要有广博的行业知识, 对各行各业的总体情况了如指掌, 才能对被审公司的行业风险和经营风险情况作出正确的评估。这种高素质人才的相对缺乏, 已经成为了风险导向审计模式广泛开展的瓶颈。因此, 现阶段并不适宜全面实行风险导向审计模式。
( 三) 信息系统的建设问题现代风险导向审计的重要特征
是审计重心前移, 注册会计师必须首先执行风险评估程序, 充分了解客户整体经营环境, 然后针对风险不同的客户、客户不同的风险领域, 设计个性化的审计程序。因此, 会计师事务所必须建立强大的信息系统, 以便注册会计师在风险评估时了解企业的战略、流程风险管理、业绩衡量等。而目前国内很多事务所对行业风险和企业经营风险缺乏了解, 对客户的相关信息了解不够充分, 信息系统的建设还达不到现代风险导向审计的要求, 大部分注册会计师缺少这方面的知识和技能准备, 导致风险评估不准确。因此, 在现阶段全面推行风险导向审计模式, 只能是一种良好的愿望。
三、推动风险导向审计的
