审计风险及其应用的探讨,本文主要内容关键词为:及其应用论文,风险论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
自80年代初我国审计制度恢复以来,随着社会主义市场经济体制的确立,审计在维护市场经济秩序方面的作用越来越突出,人们对审计的理解和认识越来越深刻,同时对审计的期望越来越高,致使审计责任和审计风险也随之越来越大。正确认识审计风险,加强风险意识,并积极有效地控制审计风险,已成为目前审计职业界广泛关注和亟待研究解决的一个课题。
一、审计风险的概念
什么是审计风险?国内外审计职业界有着不同的理解。国际审计准则第6 号《风险评估和内部控制》指出:“审计风险是指审计师对含有重要错误的财务报表表示不恰当审计意见的风险。”而《美国审计准则说明》第47号(SAS47 )则认为:“审计风险是审计师无意地对含有重要错报的财务报表没有适当修正审计意见的风险。”从以上对审计风险定义来看,SAS47定义审计风险时加入了“无意地”一词, 这就意味着它把审计师有意发表错误意见的情况排除在审计风险以外;而国际审计准则第6号则没有提及有意和无意的问题, 也就意味着有意地和无意地发表错误审计意见的可能性均涵盖在审计风险的定义范围内。
中国注册会计师协会在1996年底公布的《独立审计具体准则第9 号——内部控制和审计风险》对审计风险的定义为:“审计风险,是指会计报表存在重大错报或漏报,而注册会计师审计后发表不恰当审计意见的可能性。”这个定义与国际审计准则的提法一样,但在错报和漏报概念之前冠以“重大”一词,又与美国审计准则的提法相似。
应该看到,我国发布的《独立审计具体准则第8 号——错误与弊端》第2条曾指出:“本准则所称错误, 是指会计报表中存在的非故意错报或漏报。”这里所指由于会计人员业务不精等原因造成的无意错报或漏报,与注册会计师有意或无意发表不恰当审计意见相比较,两者的含义是不同的。当然,也可这样理解,即注册会计师审计后,对不属于弊端的无意错报或漏报,一般不会加以掩饰,从而不会是有意发表不恰当的审计意见。由此推论,对我国审计风险定义的范围似乎也可理解为,它不把注册会计师有意发表不恰当审计意见的可能性包括在内。但是,我们认为,为了不致对审计风险的概念产生误解,还是在“发表不恰当审计意见”之前冠以“无意”一词为好。
此外,国内外审计学者对审计风险范围的界定还有其他的一些理解。比如,美国纽约州注册会计师公会主办的《注册会计师杂志》1996 年3月号刊登了由Janet·L·Colbert等3人合写的一篇题为《业务风险》的文章,从审计业务或职业所面临的风险方面,系统地阐述了审计业务风险的概念及其评价和控制的有关问题。其中指出,近来美国注册会计师协会改用审计业务风险来概括审计师在执行审计业务中需考虑的各种风险。审计业务风险涉及审计师和客户双方的风险,主要包括3个方面,即客户的经营风险、审计风险和审计师的经营风险。其中,客户的经营风险是指与客户生存和营利能力相关的风险,涉及行业的变化、竞争、市场、技术流动性等问题。但在SAS47中未提及客户的经营风险。 至于审计师的经营风险在SAS47的附注中则被称作经营风险, 是“……审计师面临着由于诉讼、反面宣传或其它事项而引起的对其职业行为带来的损害或损失”。
我们认为,审计风险应该是一个含义广泛的概念,它是指审计主体遭受损失或不利的可能性。根据审计风险影响范围的大小,可以将审计风险分为审计职业整体面临的生存与发展风险和单个审计项目中审计人员面临的风险两种,前者可称为审计职业风险,后者则称作审计项目风险。
(一)审计职业风险。审计职业风险是指对审计职业界的生存和发展可能带来不利影响的行为和环境的总和。它影响的是整个审计职业的发展,因此相对于审计项目风险来说,承受者众、影响面广。
(二)审计项目风险。审计项目风险即现行各审计准则中定义的审计风险,是审计师无意地提出错误审计意见的可能性。这种风险存在于单个审计项目中,风险的承受者是具体的审计人员和审计组织。
审计职业风险是从整个审计职业界的角度来论述审计风险,而审计项目风险则是针对具体的单个审计项目来说的,二者之间存在着密切的联系;审计项目风险包含于审计职业风险之中,审计职业风险通过审计项目风险表现出来,控制审计职业风险就是要控制好每一个审计项目的审计风险。
现阶段的审计职业风险日益突出,主要表现在相互联系的4 个方面:(1)审计范围拓宽;(2)审计人员素质不适应社会发展和公众的需要;(3)审计方法不当难以适应社会经济的发展;(4)审计质量亟待提高是当前审计职业界难以回避的课题。由于社会公众对审计职业的期望越来越高,审计职业的责任越来越大,加之社会经济形势的发展增加了企业经营的复杂性和不确定性,因此对审计执业者提出了更高的要求,加大了审计的难度。所有这些都对审计职业界的生存和发展提出了前所未有的严峻挑战。
由于审计职业风险涉及到社会政治、经济的各个方面,本文对审计职业风险不作具体的研究,而是把重点放在审计项目风险的探讨上,即审计人员无意地对含有重大错报或漏报的财务报表表达错误审计意见的可能性。为叙述方便,以下把审计项目风险简称审计风险。
二、审计风险的特征
(一)审计风险存在的客观性。审计风险是客观存在的,是不以人的意志为转移的,人类只能通过各种手段降低审计风险及其可能的损失,而不能完全消除它。它的这一特征是由审计工作的判断性质决定的。象世界上许多其它职业一样,审计需要利用知识和经验进行判断,其中所用的大部分知识是难以用语言来表达的,只能通过观察来了解和传递。只要有判断,就有判断正确和错误以及判断被接受和拒绝的问题,也就存在着风险。
(二)审计风险的潜在性。潜在性特征与风险的定义是一致的,即它只是一种可能性,潜在地存在于审计工作中。审计风险由潜在的可能转化为现实的损失需要有一定的条件。如果审计人员在审计过程中判断失误而没有被追究责任,审计报告的使用人没有因此遭受损失,即使审计人员的行为偏离了审计准则的规定,出现了判断错误,也仅仅是潜在的风险。只有公众要求审计人员对其工作失误和判断错误承担责任,并对造成的损失进行赔偿时,潜在的审计风险才转化为现实的损失。
(三)审计风险损失的严重性。风险总是和损失相联系。普遍存在于审计工作中的审计风险一旦转化为现实的损失,其后果是相当严重的,审计风险损失的严重性是审计风险的一个重要特征。
审计风险损失不同于企业经营损失,企业从事经营业务造成的经营风险,其直接损失是经营收入的减少,而审计风险损失一旦发生,并不直接导致审计组织业务收入的减少而是通过赔偿间接地减少收入。严重的是,巨额的赔偿往往导致审计组织破产倒闭。除此之外,审计风险损失还表现为审计信誉的无形丧失和有关当事人要承担法律责任的损失。
(四)审计风险形成全过程的多因素性。审计风险普遍地存在于审计过程的每一个环节,无时不有,无处不在。审计人员的任何一点疏忽大意,都可能导致或增加最终的审计风险。审计人员选择客户时存在聘约风险;制定审计计划时有计划不充分的风险;搜集证据时有证据不足或证据力不足的风险;编写审计报告时有措词不当的风险,等等。对于各环节的每一个具体风险来说又是由多因素构成的,其中既有客户本身方面的因素,如内部控制薄弱、所处行业正处夕阳产业,以及管理当局不诚实等;也有来自审计人员方面的因素,如审计方法使用不当,确定证据数量不足,以及执行审计业务中缺乏应有的职业谨慎等。
(五)审计风险的可控性。客观存在的审计风险虽然是由于审计全过程的多因素所致,但审计风险并不是不可控制的,审计人员可以通过各种有效的手段来降低审计风险。审计人员可以评估固有风险和控制风险,进而有效地控制检查风险。在审计业务执行过程中,审计人员预先设定的较低的可接受的总体审计风险水平可以通过控制检查风险达到。
三、审计风险要素
1983年,美国注册会计师协会发布的第47 号审计标准说明(SAS47)提出如下的审计风险模型:审计风险(AR)=固有风险(IR)×控制风险(CR)×检查风险(DR)。该模型认为审计风险由固有风险、控制风险和检查风险三个要素构成,其中:
总审计风险(AR)或终极风险(UR), 也称期望审计风险(Desired Audit Risk),是指审计项目完成后,审计师准备承担的风险。 总审计风险越低,说明审计人员所要求的财务报表没有重大错报的保证程度越高。完全肯定(即风险为0 )财务报表的准确性从经济上说是不现实的。例如,某一财务报表审计项目,审计师认为经过证实的财务报表中仍然含有5%的错报是可以接受的,那么期望审计风险是5%,也就是说审计人员有95%的把握认为该审计项目的审计意见是完全正确的。
固有风险是指在不考虑内部控制结构的前提下,企业整体财务报表和帐户余额及业务类别上发生错误的可能性。它具有以下几个特点:(1)固有风险是被审计单位经营过程中所固有的, 因此审计人员只能评估固有风险,而无法控制和影响固有风险水平。(2 )固有风险来源于企业的业务经营及特征,因此固有风险的衡量是主观的,而且是复杂的。在实践中我们只能凭借经验关注一些影响审计师评估固有风险的因素。(3)固有风险水平同账户和业务的性质紧密相关, 不同业务的固有风险水平不同。需要进行审计判断的业务与其它业务相比,发生差错的可能性更大;在没有实物控制的前提下,现金比机床更容易被贪污;折旧、应计费用等估计帐户比历史数据组成的帐户余额更可能被误报。(4 )影响固有风险的因素不仅源于企业的内部业务或帐户的性质,而且还有许多影响整个企业经营和目标实现的外部因素。
控制风险是指可能出现在财务报表中的重大错报不能被单位的内部控制结构程序和政策及时防止或发现的风险。控制风险与审计人员无关,因此审计人员在执行审计业务时只能评估控制风险,而不能影响或降低控制风险。
检查风险则指内部控制未能发现和纠正的财务报表中重大错误,同时也未被审计人员的实质性测试发现的可能性。检查风险是审计风险要素中唯一可以通过审计师进行控制和管理的风险要素。在实践中审计师就是通过收集充分的证据来降低检查风险,从而把总审计风险保持在可接受的水平上。检查风险水平和重要性水平决定了审计人员需要实施的实质性测试的性质、时间和范围以及所需收集证据的数量。
四、接受客户前审计风险的评估
审计风险的控制是多因素、全过程的系统过程,包括接受客户前与接受客户后的风险评估两个方面。其中接受客户前的风险评估是审计风险控制的首要环节。审计人员接受客户的审计风险评估,其目的在于确定接受该客户可能产生的风险,并将评估的风险程度与预定可接受的总审计风险水平相比较,以便决定是否接受审计客户或继续为客户提供服务。
(一)可接受的总审计风险水平。应该看到,审计职业界至今仍然未能对总审计风险的确定提供专门的理论框架或具体的指南和依据。大多数会计师事务所的审计手册一般都把总审计风险定为5%。 其原因有二:(1)在统计上经过测试得知,对于一个常规项目来说, 总体中有95%的项目落在了标准差为±1.96之间,也就是说只有5 %的可能出现偏差(落在区间之外); (2)这是审计人员经过多年实践凭借经验判断的结果。
通常,不同审计人员对同一审计项目所确定的审计风险是不同的,这不仅受某些共同的因素影响,而且还受到一些不同因素的影响。共同因素主要有:(1)审计人员对诉讼和其他惩罚的恐惧;(2)会计师事务所之间竞争的压力;(3)审计人员职业精神的趋动等。 不同因素主要有:(1)审计风险衡量的困难性;(2)不同审计人员规避风险的态度存在差异;(3)不同审计人员的能力水平不同等。
(二) 客户风险因素分析和评价。审计组织在接受客户时,对风险因素进行确认和分析是风险评估的第一步。一般说来,应考虑客户和客户管理者两方面的因素。
1、客户方面应考虑的因素有以下几点:
(1)客户的经营环境因素。这里主要指客户所处行业状况, 其中主要包括所处行业的平均盈利水平以及经营成果对通货膨胀的敏感性。如果所处行业的平均盈利水平较高,经营成果对通货膨胀敏感不强,则表明客户经营能力良好,适应环境变化的自我调节能力较强,因此接受该客户的风险较低;反之,则较高。
(2)客户的组织结构。 主要应考虑客户经营的集权程度和客户组织结构的变动程度。如果客户经营集权程度较高,管理级次较少,组织结构的变动程度较小,则表明接受该客户的风险较小;反之,则较大。
(3)客户与审计的关系。 主要考虑客户是初次审计还是再度审计,客户是否曾经频繁更换审计师。如果是初次或客户曾频繁更换审计师,那么接受该客户的风险较高;反之,则较低。
(4)客户经营的其他方面。 主要依据企业外部任务的多少以及客户经营中有争论的会计处理问题的多少决定风险的高低。
2、从管理者方面应考虑的因素有以下两个方面:
(1)企业管理者的诚实性。主要指管理者的品格。 如果管理者正直诚实,处事谨慎、稳健,那么接受该客户的风险就小;如果管理者不正直,喜好冒险,敢为别人所不为,则蒙骗审计师的可能性就大,接受该客户的风险就高。
(2)客户管理者的变更情况。如果频繁更换管理者, 就容易产生管理者作弊和短期行为,因此接受该客户的风险就高。如果是一个老客户,那么审计师应充分考虑以往与该客户打交道的经验,以便决定风险的大小。
把以上因素进行综合地分析与评估,即可初步估计接受客户的风险。这种估计可以是定性的,也可以是定量的,也可以定性和定量相结合。
(三)综合考虑审计师的能力和水平,决定是否接受客户或继续为客户提供审计服务。 经过前面几个步骤, 审计师基本确定了接受客户的风险的大小,值得注意的是即使风险很大也不意味着就要拒绝接受这个项目,是否承接该项业务还要综合考虑审计的能力和水平。如果审计师的能力和水平能使审计项目的风险降低或保持到可接受的范围内,当然也可通过提高审计费用来分担一部分风险,这样就可接受该客户或继续为客户服务。否则,审计师的能力和水平达不到要求,即使风险较低,也应拒绝接受。
五、接受客户后审计风险要素评估
审计师在接受客户委托后,在执行审计项目时还应对被审计项目的各风险要素进行评估。首先要对固有风险和控制风险进行评估。然后,在可接受的总审计风险水平下,根据固有风险和控制风险的综合水平,确定检查风险,进而确定实质性测试的范围和重点。确定实质性测试的范围和重点就是确定各个被审查项目应搜集多少证据。检查风险越高,要求搜集的证据数量越多,该被审事项越是审计的重点。
(一)固有风险评估。评估固有风险应考虑的因素既存在于企业内部,也存在于企业外部。如企业经营环境的变化、政府的规章制度、整个行业的竞争以及行业的强盛和衰退等。外部因素同内部因素一样,都可能影响被审计单位的财务报表及其帐户余额和业务类别。因此,评估固有风险应考虑的因素可分为财务报表基础上的因素和帐户余额及业务类别基础上的因素两种。
财务报表基础上的固有风险评估应考虑的因素有:(1 )影响被审计单位所在行业的外部环境因素;(2)被审计单位的业务经营性质;(3)被审计单位目前的财务状况;(4)被审计单位管理方面的特征,等等。
帐户余额和业务类别基础上的固有风险评估时应考虑的因素有:(1)容易产生错报的财务报表项目;(2)需要利用专家工作结果予以佐证的重要交易或事项的复杂程度;(3)确定帐户金额时, 需要运用估计和判断的程度;(4)容易遭受损失或被挪用的资产;(5)会计期间,尤其是临近会计期末发生的异常及复杂交易;(6 )在正常的会计处理程序中容易被漏记的交易的事项,等等。
固有风险本身的性质决定了对其分析的难度,尤其是定量分析存在着一定的主观随意性和不确定性。在实践中,为了稳健起见,我们在估计固有风险水平时通常采取比较保守的态度。即使上述各因素表明情况都比较好,出错的可能性较小,固有风险也要定在50%以上;反之,如果存在种种迹象表明可能出现重大差错,审计人员应直接将固有风险定在100%,以降低最终的审计风险水平。
(二)控制风险评估。控制风险水平的大小受两个方面因素的制约:一是内部控制结构的设计风险,如内部控制结构设计不合理、不科学、不健全等;二是内部控制结构运行的风险,再完善的内部控制结构也是由人来完成的,控制结构在运行中出现差错是不可避免的。
控制风险分析同固有风险分析有相似之处,比如定性分析和定量分析也是依靠审计人员的经验判断,其中也存在着一定的主观随意性和不确定性。近年来,控制风险分析日益引起审计界人士的关注。有些学者除了总结经验,建立一些经验的控制风险分析模式外,还试图以逻辑分析为基础,建立各种数学模型来分析和计量控制风险。但终因这些模型在实践中缺乏可行性至今尚未得到广泛应用。
在实践中,如果审计人员发现被审计单位内部控制十分薄弱或者即使内部控制较健全,却不能有效运行时,审计人员可以将控制风险估计为100%,直接进行实质性测试。 审计人员对控制风险水平进行评估应根据以下步骤来进行:
1、了解控制结构。 内部控制结构是为了对实现特定公司目标提供合理保证而建立的一系列的政策和程序的有机总体。审计人员在评估控制风险时,应了解每一控制要素的设计和实际执行的效果如何,并将了解到的内部控制情况记入工作底稿。
2、初步评估控制风险水平。 对控制风险的初步评估应从评估控制环境开始,其中管理人员对内部控制的支持态度至关重要。它是内部控制是否健全有效的关键。如果管理人员对内部控制态度积极并给予强有力的支持,那么,审计人员在综合考虑内部控制结构的全部要素后,可以采用低于最高水平的控制风险水平,并通过追加的测试来进一步降低估计控制风险水平;否则,应将控制风险评估为100%。
3、控制测试。审计人员在了解内部控制结构的基础上, 应进行控制测试,以便确定内部控制结构的设计和执行的有效性。审计师控制测试的结果必须给以全面的记录,以便据以编制实质性测试方案。
4、评估控制风险水平。执行控制测试之后, 其结果如表明内部控制的执行与预期相一致,则可按计划估计控制风险水平;如果控制测试的结果表明这些控制政策和程序不能有效地发挥作用,就必须重新估计控制风险水平。
一般说来,内部控制结构越有效,控制风险水平越低;反之越高。当然,究竟内部控制结构是否可靠以及可靠程度如何,还要依靠审计人员的专业判断。
(三)检查风险的确定。审计风险三要素,即检查风险、固有风险、控制风险三者间的关系从定性角度来看,检查风险与固有风险和控制风险的综合水平之间成反比例关系。固有风险和控制风险的综合水平越高,可接受的检查风险越低。从定量的角度看,在总审计风险水平确定的情况下,检查风险可以下式推算出来:检查风险(DR)=总审计风险(AR)/固有风险(IR)×控制风险(CR)。例如, 审计人员将总审计风险确定为5%,如果固有风险和控制风险评估为70%和50%, 那么可接受的检查风险应为5%/(70%×50%),即14.3%。
(四)审计风险模型的运用。审计风险模型主要应用于审计计划和审计证据决策两个方面:(1)评价审计计划制定的合理性。 假定审计人员估计固有风险为70%,控制风险为60%,检查风险为9%, 计算得出总审计风险是3.78%(70%×60%×9%), 如果该项目的可接受审计风险高于3.78%,则该审计计划是合理的。(2 )评价审计证据的适当性。按上例,如果审计人员把预计总审计风险水平定为5%, 按照审计风险模型计算检查风险DR为11.9%[5%/(70%×60%)]。此时应该修改审计计划,不必收集与检查风险9%相适应的证据数量, 而只收集与11.9%的检查风险相一致的证据数量即可。
审计风险的研究,其目的主要是要强化人们的风险意识,并以审计风险作为规划审计的出发点和归宿,这其实也就是风险导向审计的内涵。但审计是一种依靠经验和知识进行判断的职业,因此,在很多情况下,各审计风险要素的评估及收集多少证据、怎样收集证据仍要依靠审计人员的专业判断,具有很大的主观性,并非都是界限分明,数字准确的,也就是说绝大多数情况下是不能用数学模型来进行规划的。因此,尽管审计人员在执行审计中作出了最大的努力,但对总审计风险、固有风险和控制风险的评价也只有大体的可信性,审计风险模型的运用是有其局限性的。
标签:审计风险论文; 审计意见论文; 内部控制论文; 审计师论文; 固有风险论文; 审计计划论文; 项目风险论文; 经营风险论文; 审计质量论文; 审计准则论文; 审计职业论文; 财务报表审计论文; 审计方法论文; 会计与审计论文; 项目执行论文; 审计目标论文; 项目评估论文; 客户执行论文;