一、风险导向审计的产生过程
从审计模式发展过程来说,20世纪40年代以前主要是账项基础审计,通过直接对会计账目进行详细审查,以获取审计证据,达到查错纠弊的目的。20世纪40年代以后,企业普遍建立了内部控制,审计目的由查错纠弊发展成为验证财务报表的真实公允性,出现了制度基础审计模式,以了解和评价被审计单位内部控制的健全、有效性为基础,确定对会计资料的审查重点和抽查规模,以获取审计证据,查明财务报表的真实性、合法性。20世纪80年代以后,社会公众出于投资和管理决策的需要,对审计信息质量要求越来越高,审计风险相应突出,风险基础审计应运而生,以审计风险的分析评估为基础,确定审查会计账目的重点和抽查规模,查明财务报表是否真实公允。然而,所有系统必然与所处的环境发生关系而相互影响,企业是整个社会经济生活网络中的一个细胞,所处的经济环境、行业状况、经营目标、战略和风险都将最终对会计报表产生重大影响。而且,当企业管理当局共同舞弊时,内部控制是失效的。如果不把审计视角扩展到内部控制以外,就很容易受到蒙蔽和欺骗,不能发现由于内部控制失效所导致的会计报表存在的重大错报和舞弊行为。此外,国有企业经营业绩与管理层的报酬往往实行挂钩,这就在一定程度上会产生财务报表作假动机。
2003年10月,国际会计师联合会发布的审计风险准则将审计风险模型重新表述为审计风险=重大错报风险×检查风险,重大错报风险包括财务报表整体层次和账户余额或交易类别层次。这一模型使审计人员能够把重点集中在财务报表出现错报的高风险领域,将风险评估与审计程序紧密联系起来,有利于提高审计质量,产生了新的风险导向审计模式。风险导向审计把审计起点设定为风险评估,根据风险评估的结果实施审计程序和分配审计资源,注重从源头上把握审计风险产生的根源,将审计视野由以往关注内部控制和具体业务交易及账户扩大到企业环境、发展战略和公司治理结构等方面。该审计模式把对重大错报风险的识别评估作为工作重点,充分考虑可能导致会计报表发生重大错报的情形,了解被审计单位的经营环境,针对评估的重大错报风险安排审计程序的性质、时间和范围,包括控制测试和实质性测试。它从系统论和战略管理理论出发,从战略风险入手,通过经营环境———经营产品———经营模式———风险分析的基本思路,从源头上和宏观上判断和发现会计报表存在的重大错报,将环境变量引入审计风险模型,确立了战略审计观,具有宏观全局意识。
二、风险导向审计与传统审计模式的区别
1.审计风险控制侧重不同。账项基础审计风险控制的重点在于检查风险,通过详细审查,减少审计风险。制度基础审计风险控制的重点在于了解测试和评价内部控制的有效性,将业务交易和账户余额作为审计重点,即侧重于控制风险。而风险导向审计风险控制的重点则前移至企业固有风险。因为现代公司治理结构不完善和管理舞弊是风险和集中来源,财务报表的固有风险受企业经营活动好坏以及经营目标和经营战略正确性的影响,与企业战略目标、经营环境、公司治理结构及内部控制等紧密相关,它成为风险导向审计的核心。风险导向审计对固有风险的认识更多地考虑企业的战略风险和经营风险,并成为控制财务报表风险的最重要手段。
2.审计思路和效率不同。制度基础审计从交易种类和账户余额测试入手,“自下而上”地分析判断会计报表公允性合法性,难以突出重点,造成审计资源的不合理配置。现代风险导向审计要求运用“自上而下”和“自下而上”相结合的手段,对财务报表风险做出合理的专业判断。首先运用“自上而下”的思路,从企业战略管理分析入手,通过战略风险和经营风险的分析,逐步落实审计范围和重点,确定相关审计目标和程序,然后通过实施审计程序“自下而上”地归纳和判断财务报表的风险并形成最终的审计意见。审计重点更加突出,将审计力量用在“刀刃”上,即高风险领域,大大提高审计效率。
3.审计步骤不同。传统的制度基础审计从分析企业财务报表的固有风险和控制风险入手,根据内部控制测试的结果决定实质性测试的性质、时间和范围。它的基本审计步骤是编制审计计划———评审内部控制———抽查会计账目。而目前国际通行的风险导向审计是以分析发现企业的战略目标风险、经营风险区域,然后测试评价风险区域的内部控制有效性,重点审查这些风险区域的审计方法。它的重点放在对财务报表更有影响的企业经营目标、战略措施的分析之上,其基本审计步骤是审计风险评估———控制测试———实质性测试。它将企业经营风险评估放在首要位置,具有科学性和系统性,审计结果更为客观公正。
三、风险导向审计的内容和程序
企业战略经营风险有二个含义,一是指企业在经营过程中所面临的种种不确定性;二是企业没有达到预期经营目标的可能性。风险识别、评估程序,一是实施风险评估程序,应当从行业状况、监管环境、被审计单位性质、目标、战略和经营风险、内部控制等方面了解被审计单位及其环境;二是从会计报表层次和各类交易、账户余额、列报和披露认定层次评估重大错报风险;三是针对会计报表层次的重大错报风险采取总体应对措施,审计分工时应考虑审计人员的专业知识和业务胜任能力;四是针对各类交易、账户余额、列报和披露认定层次实施控制测试和实质性测试;五是评估获取审计证据的充分性和适当性。
财务报表层次上的风险评估应考虑的因素有影响被审计单位所在行业的外部环境因素;被审计单位的业务经营性质;管理人员的品德和能力;财务人员的变动;管理人员遭受的异常压力。
账户余额和业务类别层次的风险评估应考虑容易产生错报的财务报表项目(如待摊费用、预提费用、产品销售成本、应收应付款等);需要利用专家工作结果加以佐证的重要交易事项;确定账户余额时需要运用估计和判断的事项;易受损失或被挪用的资产;临近会计期末发生的异常交易。
应把风险评估相关内容记入审计日记和工作底稿,形成审计记录, 保证重要审计程序的履行和对审计质量的控制。一是风险评估程序关键环节相关记录。审计组对会计报表存在重大错报风险的讨论及做出的决策;对被审计单位及其环境各个方面的了解,内部控制的要素,信息来源及风险评估程序;在会计报表层次、账户余额层次识别出的重大错报风险;仅通过实质性测试无法应对的重大错报风险及相关控制的评估。二是实施关键程序形成的审计记录。对评估的重大错报风险采取的应对措施;实施进一步审计程序(控制测试和实质性测试) 的性质、时间和范围以及结果。
风险导向审计的取证程序分为总体程序和具体方法。总体程序包括风险评估程序、控制测试和实质性测试。具体方法包括检查记录和文件,检查有形资产、观察、询问、重新计算、重新执行和分析性程序等,其中分析性程序是最有效的方法。风险评估分析工具有战略分析、绩效分析等,审计内容扩展到非财务信息的分析。它克服传统审计测试的缺陷,针对风险不同的单位、不同的风险领域,不同的行业,以及不同的审计目的,编制各自个性化的审计程序,如突出盘点、咨询外部专家等,使得制定的审计程序更为贴切有效。
风险导向审计要求通过各种渠道获取有关重大错报风险识别和评估信息。如询问被审计单位聘用的律师、银行和评级机构;向内审部门员工询问内部控制的设计和执行情况,向业务部门员工询问复杂交易的处理程序;由主要依赖管理层和财务人员提供审计信息向员工及外部人员扩散。审计人员应将眼光转向一般员工,发动员工举报管理层作假。此外,发挥内查外调的优势,积极向供应商、销售商询问。审计人员将更多依赖业内人士和专业咨询人士的看法,补充自己的审计专业判断。
值得注意的是,风险导向审计仍然需要用到制度基础审计方法和程序,必须对重大的各类交易、账户余额实施实质性测试(但不局限于内部控制的分析,将分析对象扩大到整个企业的风险管理范围)。目前,一些审计机构只注重对企业经营战略及业务流程的了解,忽视对重要的各类交易和账户余额的实质性测试;有的注重对企业及其环境的了解,忽视了对内部控制的了解和测试,很难发现会计报表存在的重大错报。事实上,审计人员对重大错报风险评估是一种判断,并且内部控制存在固有限制,无论评估的重大错报风险结果如何,审计人员都必须针对重大的各类交易、账户余额实施实质性测试,做到审计证据相互印证,确保审计结论的准确性。
四、开展风险导向审计的建议
1.统一认识,积极推广运用风险导向审计模式。随着社会主义市场经济的快速发展,世界经济一体化进程加快,国有企业面临的经济环境愈加复杂,企业战略经营风险层出不穷。审计机关增加对企业持续经营能力的关注成为必不可少,应进一步提高对风险导向审计模式的认识,有条件的地方应逐步确定试点审计项目,开展实施风险导向审计模式。
确定审计项目和审前调查阶段特别要做好风险评估工作。要建立被审计单位资源库,随时收集相关信息资料,按照其行业发展特点、经营环境、所处市场环境以及高层管理者的品行等,做好事前风险评估工作,定期把被审计单位按风险大小划分为正常、可疑、关注三类,以便每年科学安排审计项目计划,结合财务收支审计项目开展风险导向审计,加强重点风险领域的控制和合理安排审计程序。
2.建立风险导向审计的法律法规依据。风险导向审计在我国是一项新生事物,目前,我
