审计风险与风险导向审计,本文主要内容关键词为:风险论文,导向论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
一、风险导向审计产生和发展的原因分析
(一)系统导向审计的缺陷是风险导向审计产生的外在原因
进入20世纪后,公司的受托经济责任的内容有了重大变化,审计技术和方法也发生相应的重大变化(秦荣生1994)。这种情况首先出现在20世纪上半叶迅速崛起的美国审计。美国的审计是从英国输入的,最初的审计理论也来自英国。但美国人很快便觉察到英美审计背景上的差异,而这种差异就来自受托经济责任内容上的不同。美国早期在联邦法律中并未确定类似英国《公司法》所确定的股东与经营者的受托经济责任,尽管这种责任是客观存在的。然而,20世纪20年代初美国审计职业界面临着另一种受托经济责任。这种受托经济责任最早来自企业寻求短期商业贷款,后来则是因向社会发行债券、筹集资金而产生。与先前的受托经济责任相比,这种受托经济责任是关系具有以下特点:(1)经济责任委托人已不再限于股东,而扩大到贷款的银行和作为未来投资者的一般大众;(2)这种受托经济责任要求承担经济责任的一方,在受托经济责任关系正式确定之前,先提交说明其财务状况的报告,以便决定是否托付资金;(3)这种报告的目的,不在于说明经营者是否有账目的差错乃至舞弊行为,而在于如实说明经营状况和财务成果,使现有的和未来的出资人决定是否出资和增资。
公司受托经济责任内容出现的上述变化,使审计目标相应发生变化:从发现舞弊和不合法行为,转向说明会计报表的可信性,从而呼唤着审计技术和方法的变革。审计目标的转变改变了对审计技术和方法的要求。对舞弊和各种差错的审查,只能借助于对账证的详细核查,在内容控制不健全的时代尤为如此。而验证会计报表的可信性则要借助于评审内部控制系统,这就导致了系统导向审计方法的产生。
以系统为导向的审计技术,是以公司内部控制系统审查为基础的一种审计技术。以系统为导向的审计技术改变了传统的对于经济活动结果进行详细检查的做法,强调对内部控制系统的评价。当评价的结果证明内部控制系统可以信赖时,在实质性测试阶段只抽取少量样本就可以得出结论了;当评价结果认为内部控制系统不可靠时,才根据内部控制的具体情况扩大审查范围。
经过在实践和理论方面不断进行总结和提高,以系统为导向的审计技术在20世纪50年代初期开始在美英等主要西方国家得到应用,这是现代审计发展和成熟的重要标志。目前,在世界各国,系统导向审计已成为审计技术发展的主流。
应该指出,由于内部控制系统本身所具有的局限性,以系统为导向的审计技术也绝不是万能的,例如它对于无规律的业务就很难发挥作用。在实践中,审计人员发现,以系统为导向的审计技术存在着一种危险的趋势,就是由于审计人员特别强调对于系统的检查,因而给管理部门造成错觉,认为控制方面的缺陷只能用控制来弥补,这就容易形成为了控制系统而加强控制的状况,其结果是控制系统的确是加强了,但是系统所产出的结果却并没有得到改进,而且控制的加强必然会加大成本,影响到最终的结果。造成这种危险趋势的根本原因是,在强调控制系统的同时忽略了人的因素。在一些审计工作比较发达的国家,已经发现了系统导向审计的这一缺陷。
系统导向审计还存在一项更大的无法解决的致命弱点,那就是基于内部控制系统的审计模式没有与审计风险联系起来,没有为有效降低审计风险提供指南和帮助,而且影响审计风险的因素要远远超出内部控制系统的作用范围。在当今审计风险大爆炸时代,降低审计风险已成为审计人员考虑的首要因素。因此,系统导向审计必然要为更适合现代审计环境的新的审计模式所代替,那就是风险导向审计模式。
(二)规避审计风险是风险导向审计产生的内在原因
审计存在风险,但是有审计风险并不等于是风险导向审计。在审计模式从传统的账表导向向系统导向审计发展的过程中,风险的种子实际上就已经埋下了。因为,此时大多采用测试和抽查的方式进行审计,也就是说,审计人员是用检查一部分事项取得的证据来对会计报表整体发表意见。这就必然存在意见偏差的可能性,一旦不当的审计意见对会计报表使用者造成损失,审计人员就有可能承担赔偿等审计责任,审计风险也就由此产生了。在审计发展的早期之所以未能对审计形成较大的影响,进而发展成为一种审计模式,只是由于当时的审计风险还不太严重,没有对审计界构成重大威胁。
近年来,世界范围内科学技术和政治经济的变化,社会对审计评价被审计单位受托经济责任履行情况提出了更高的要求,不断爆发了诉讼审计人员的事件。这种形势对审计界既有动力也有压力,它要求审计人员必须从高于内部控制系统的角度,综合考虑企业内外的环境因素,全面、广泛地评价企业受托经济责任履行情况。具体地说,审计人员在制定计划时,为了全面评价被审计单位受托经济责任的履行情况,追求审计工作的效率性和效果性,首先应充分把握被审计单位各方面的情况,分析被审计单位经济业务中出现差错和舞弊的风险情况和审计人员发表意见的会计报表中存在的审计人员没有注意到的重大舞弊和差错的概率。适应这种局面的方式之一,风险导向审计作为一种新的、多维的审计技术,可以缓解审计人员所面临的错综复杂的风险。
风险导向审计要求审计人员重视对企业环境和企业经营进行全面的风险分析。以此为出发点,制定审计战略,制定与企业状况相适应的多样化审计计划,以达到审计工作的效率性和效果性。
风险导向审计还处在初级阶段,但是对现代审计的发展所产生的影响却是重大的,它迫使现代审计从系统导向转向风险导向。这是因为:
第一,企业环境,即经济、社会、政治和技术等发生了急剧的变化,这些变化对企业的经营管理产生了重大的影响。为了更好地实施追求有效性和效率性的风险导向审计,有必要在审计中考虑审计风险。
第二,信息系统的高度发展也促进了审计向风险导向转化。企业信息系统的联机实施系统和数据库管理系统化,使会计系统不再是孤立的和独立的,而与其他信息系统有密切的关系,并与企业的经营分析密切相关。
第三,风险导向审计重视和广泛利用分析性复核,也使审计人员风险导向的观点成为必要。因为分析性复核不仅重视会计信息,而且重视经济信息、产业信息和业务信息。
第四,近年来,会计师事务所之间的竞争日趋激化,企业要求降低审计收费的呼声愈来愈高。现在,随着电子计算机的广泛使用,使固定费用的增加和职工工资的提高成为突出的问题。所以,会计师事务所从管理的角度出发,应认真考虑审计工作的效率性问题。
风险导向审计是对系统导向审计的发展,代表了现代审计方法发展的最新趋势。风险导向审计的目标是强调审计战略,要求制定适合被审计单位业务的审计计划,要求不仅应检查与会计系统有关的因素,而且应检查企业内外的各种环境因素;不仅应进行与会计事项有关的个别风险分析,而且应进行涉及各种环境因素的综合风险分析。再者,与系统导向审计模式强调内部控制系统与审计测试之间的关系不同,风险导向审计模式要求从固有风险、控制风险、检查风险和分析性复核这一更为广范的角度,来考虑审计测试。
(三)风险导向审计产生和发展的客观依据
风险导向审计的产生和发展有其客观依据,以下两个因素促进了风险导向审计的产生和发展:
1.审计期望差距的存在是风险导向审计产生的社会因素(胡春元 2001)。这种差异的存在,无论是对审计职业界还是会计报表的使用者都是无益的。实际上,自审计产生至今,审计始终处于一种被动的状态,始终在为满足社会的需求而努力,但始终无法达到完全的满足社会需求的程度。社会公众期望审计人员应毫无遗漏地发现被审计单位中存在的严重的舞弊行为,但审计人员却认为,他们无法保证能够察觉所有舞弊行为。即使是最勤勉的审计人员,也极易为管理人员的舞弊或包括第三方在内的欺诈所蒙蔽。社会公众的利益需求,是审计生存的基础。若不迎合这种需求,审计要么被淘汰出社会经济权责结构,要么继续生存但面临大量的诉讼。显然,审计职业界积极和主动的选择应是寻找解决审计期望差的途径,这也是风险导向审计产生的一个重要原因。风险导向审计的优势在于,通过对被审计单位风险的评价,有利于寻找高风险的审计项目,从而集中力量,最大限度地降低审计的检查风险,从而使重大的差错和舞弊可以揭露出来,使审计风险降到可接受的水平。
2.审计组织的经济压力,是风险导向审计产生的经济因素。市场竞争的加剧,促使会计师事务所的边际收益不断下降。会计师事务所为了能在审计市场上保持自己的一席之地,维持期望的边际收益,其出路要么增加他们的审计费用,要么努力提高效率降低审计成本。显然,在一定的有序经济条件下,审计费用增加是困难的,为了生存和发展,审计人员就把目光转向降低审计成本方面。由于决定审计成本高低的关键因素在于审计技术,审计人员就不得不去寻求效率更高的审计技术。这就是说,审计人员为形成恰当的审计意见而收集充分而有效的审计证据时,他们必须按照最小成本支出的原则确定所需的审计程序,而风险导向审计提供了一种既能保持审计效果又能使审计效率较高的全新思路。
二、风险导向审计模型和审计风险管理
(一)审计风险模型及其运用
1.审计风险模型的运用及举例
将“审计风险=固有风险×控制风险×检查风险”这一审计风险模型用于审计工作的作用有二:一是将审计风险模型用于协助审计人员评价某项审计计划是否合理。例如,假定在某一审计计划中,审计人员认为固有风险为80%,控制风险为50%,检查风险为10%,则算出审计风险就是4%(0.8×0.5×0.1)。审计人员认为该项目适宜的审计风险为不低于4%,则此审计计划就是可以接受的。上述审计计划,可帮助审计人员达到可接受的审计风险,却可能缺乏效率。二是为使审计计划更有效率,审计人员常常利用审计风险模型,来决定检查风险和应收集证据的恰当数量。这时,可按以下形式运用审计风险模型:
检查风险=审计风险/控制风险×固有风险
还是利用上例中的数字。假定审计人员将期望的审计风险确定为5%,由于0.05/(0.8×0.5)=0.125,这就应调整审计计划,以便收集与12.5%的检查风险相一致的证据。运用这一形式的审计风险模型时,关键因素是检查风险,因为它决定需要收集的证据的数量。证据的恰当数量与检查风险成正比,检查风险越低,要求的证据就越多。还有一些审计人员利用各种风险之间的关系及风险与证据之间的关系来制定、完善其审计计划。各种风险及风险与证据之间的关系如下表:
2.利用审计风险模型的局限性
利用审计风险模型有两项主要限制:
第一,尽管审计人员在计划中作出了最大的努力,但期望的审计风险、固有风险和控制风险的评价都是非常主观的,最多只有大体上的可信性。例如,在已知全部事实的情况下,如果审计人员对内部控制和固有的风险评价低于恰当水平,则检查风险将因此而高于恰当的水平,计划的证据将低于恰当的水平。为了弥补这一计量问题,多数审计人员在计量时都倾向于保守,或采用非常广泛、主观的计量术语,例如,用“低”、“中”、“高”等表示。风险之间及风险与证据之间的关系,就说明了审计人员是如何利用该表中的资料来确定应收集证据的恰当数量的。例如,在第一种情况下,审计人员决定对该部分承担较高的审计风险。他已经断定会计报表中有错误的风险较低,内部控制也非常有效,因此,较高的检查风险是合理的,所需要的证据也较少。如果固有风险和控制风险都很高,而审计人员又要求较低水平的期望审计风险,则需要收集较多的证据。其他三种情况,都介于上述两种情况之间。
第二,审计风险模型是一种计划模型,因此,在用于评价审计结果时受到限制。风险一经评定,相应的审计计划一旦编好,固有风险和控制风险的计划因素就不应根据已取得的审计证据而调整。如果审计证据表明,存在不超过某一可容忍金额的错误,则该账户的账面金额是可接受的。不过,如果审计证据表明出现了超过某一可容忍金额的错误,则该模型即应摒弃,并应执行充分的审计程序,以较高的肯定程度查明和计算存在的错误。
(二)审计风险管理及规避
1.审计风险的特点
审计风险的特点有:(1)客观性。即审计风险在审计活动中客观存在,并贯穿于审计管理活动的始终。(2)必然性。现代审计管理活动的一个显著特性,就是采用审计抽样方法,因此不论是统计抽样或判断抽样,从总体中抽取部分样本来推断总体的特性,总会使样本的特性与总体特性或多或少发生偏差,从而存在一定程度的审计风险。(3)无意性。这是由于某些客观原因,或审计人员未意识到的主观原因造成的,即并非审计人员故意所为。(4)不确定性。审计风险的存在是客观的,但是否需要承担风险责任却是难以预料的。
2.审计风险管理模型
审计风险管理模型为(见图1):
图1
由此可知审计风险管理分为三个阶段:审计风险识别、审计风险估价和审计风险处理。三个阶段有着内在的逻辑联系,人们只有在对风险的类型及其产生的原因有了正确的认识的基础上,才能对风险程度作出较为准确的估价;同样只有对审计风险有了正确认识和估价后,才可能针对性地提出避免风险的具体措施。这一审计风险管理流程图,只是从一般意义上显示了审计风险管理的主要步骤,在实际工作中不一定机械地遵循这一流程。有时对风险的识别可能是与风险的估价同时进行的,有时先提出了控制风险的措施再进行风险的估价,等等。但就一般而言,这一流程图是符合审计风险管理内在的逻辑顺序的。
审计风险识别是审计风险管理的第一阶段。审计风险识别是指对审计活动潜在的风险以及可能承担的责任,进行鉴定、衡量与分析,从而掌握审计风险的程度,以便为风险控制提供依据。审计风险识别的主要任务是:(1)审计人员在工作中面临哪些审计风险?其中哪些应当予以重视?(2)引起这些审计风险的直接风险有哪些?审计风险的识别方法有核对法、监测故障法、幕景分析法、德尔菲(Delphi)方法、筛选——监测诊断法等。
审计风险估价是审计风险管理的第二阶段。审计人员通过风险识别,了解各种风险的类型及其产生的原因。下一步的问题是:这些风险有多大?可能造成的后果以及严重程度如何?即要在充分认识风险产生的可能性的同时,科学地估量风险的大小,掌握审计风险的强度和可能产生的后果以及应承担的责任,并在此基础上采取一定的措施,力求把审计风险控制在最小的范围之内,避免担负不应有的风险责任。审计风险估价的方法有概率分布法、风险损失模拟法、概率树及外摊法等。
审计风险处理是根据所掌握的审计风险程度,按照特定的条件和预定的目标,对审计风险施加主动影响的行为过程,其目的在于避免审计风险的产生或降低审计风险的程度。审计风险处理的方法很多,但主要有以下几种:
(1)风险自留。通常在一般风险管理方法如避免、减少、转移等不能奏效时,自留风险在所难免。对于审计工作来说,如果审计人员对审计风险没有足够的认识,从而形成自留风险也是很平常的事;同时审计人员未能全部查出被审计单位违纪事实,也有可能形成自留风险。一旦形成自留风险,对审计人员来说,意味着要承担一定比例审计错误引起的有关法律责任,它所引起的经济损失往往是不可挽回的。
(2)风险转移。这种方法泛指将风险转移给其他部门或个人来承担。风险转移不仅是审计部门处理风险的一个重要方法,也常常被视为一种审计技巧在审计实践中广泛应用。
(3)风险控制。即审计组织通过一定的措施和手段来限定与控制审计风险。它可分为审计组织内部控制和审计组织外部控制。审计组织内部控制风险涉及建立强有力的内部管理制度,包括实行工作职责分工与牵制、配备合格的工作人员、设置考评复查岗位、健全岗位责任制以及强化记录资料管理等问题。关于审计组织外部控制,它涉及国家法令、社会舆论控制、被审计单位信息反馈控制以及行政监察控制等。
(4)风险预防。审计风险预防要注意两个方面的问题:一是要求审计人员做好审计风险预防,譬如对审计风险资料的收集与整理、做好下次审计风险预测工作、提高审计人员的素质、增加审计人员的风险意识、树立审计风险观念。另一是要求被审计单位扭转对审计工作不正确的认识和看法,要认识到审计工作在一定程度上是为了帮助被审计单位改善管理,提高经济效益。因此要对审计工作予以大力支持,消除对审计工作的隔阂。
(5)风险回避。风险回避和风险转移具有密切的联系。在风险回避上要把握好依法审计和适当灵活相结合的原则,对于某些风险较大的问题,可以由其他单位处理。正确、恰当、及时地回避审计风险不仅有利于审计工作的顺利进行,而且有助于维护审计组织的形象,提高其社会影响。
三、风险导向审计的基本程序和方法
(一)风险导向审计的基本程序
风险导向审计最显著的特点是将被审计单位置于一个大的经济环境中,运用立体观察的理论来判断影响因素,从企业所处的商业环境、条件到经营方式和管理机制等构成控制架构的内外部各个方面来分析评估审计的风险水平,把被审计单位的经营风险植入到本身的风险评价中去。
不同的审计模式,由于其要达到的审计目标存在着差异,在具体审计程序的内容上也有所不同。根据美国空雷茨(Larry F.Konrath)(1998)的观点,风险导向审计的程序可以用图2来表示:
图2
图2表明,风险导向审计程序仍分为计划阶段、实施阶段和报告阶段,但在具体内容上与系统导向审计有着较大的差别。在实务中,为了使审计工作做得更为细致,并关注审计重要领域,审计程序又可分为五个阶段,具体如下:
1.在制定审计计划时,审计人员通过调查、了解、分析、评估等方法确认重要的审计领域,识别重要的风险领域,目的是评估固有风险,确认重要的审计范围。具体内容为:明确被审计单位服务及其他规划目标;取得或更新对被审计单位业务与产业的了解;执行全面控制环境的评估;了解对被审计单位的会计报表有重要影响的事件、交易和经营惯例。在此基础上,对重要性做初步判断;决定要审查的重要账户;确认影响这些账户的资料来源;编制审计计划。
2.在期中审计时,审计人员了解和评估重要的资料来源,目的是寻找并确定控制弱点。具体内容如下:确认重要的估计和资料;对各项过程仔细了解;考虑何处可能出错;确认与评估相关的控制。
3.审计人员执行初步风险评估(即固有风险和控制风险的联合),目的是通过风险评估,选择可靠的、有效益的、有效果的审计程序。即首先考虑固有风险,再对控制风险做出初步评估。在对控制有效或无效做出判断时,主要是对被审计单位管理意识、控制措施及控制品质、控制程序设计本身是否严密,分工分职是否良好做出判断。如果有效,则进一步对可依赖程度、发生重大审计错误的可能性做出判断。在此基础上评估审计发生错误的可能性,然后再确定审计技术。这主要也是在审计中期完成,具体内容如下:确认重要的作业和交易;了解重要交易的流程,绘制流程图;研究判断错误可能发生的环节:一要辨认流程中的关键环节,二要把控制目标与流程中的重要环节串联,三要确认交易流程中可能发生的错误,辨认及了解事前控制及事中控制,初步评估控制风险。
4.审计人员拟定与执行审计计划,通过实施审计获取审计证据。具体内容如下:根据评估确定的不同的风险程度,为每一类重要认定拟定不同的审计方法;拟定审计程序以供控制测试及实质性测试使用;执行内部控制测试;根据测试结果最终评估控制风险;根据所确定的检查风险水平的高低,执行实质性测试。
5.审计人员继续整理前几步提出的问题,期后事项审核、会计报表的分析性复核和工作底稿的审核,即执行全面评估,将审计结论形成书面文件,出具审计报告。
在以上五个阶段中,前三个阶段主要通过外围的了解、观察、分析、评估来确定审计的范围和重点,选择适当的审计程序和方法。做到仗未打,已有八分胜券,这也是风险导向审计模式的精髓。从中我们也可以看出,虽然风险导向审计与系统导向审计在许多程序上有着相同之处,但风险导向审计将被审计单位置于一个大的经济环境中,全方位地判断影响因素,从企业所处的商业环境、条件到经营方式和管理机制等内外两个方面来分析评估,并且这种评估比单纯的账项的检查更为重要。
(二)风险导向审计的基本方法
1.审计风险评估
风险导向审计是以审计风险评估为中心的,审计风险的评估贯穿在整个过程。审计人员希望在公布已审计会计报表的结论之前将审计风险降到最低,以维持其结论的正确性。进行审计时,审计人员最关键的是要按审计程序执行,以便把审计风险降低到最低。审计程序的性质很重要,对于特定的账户,确认使用适当的审计程序,工作效率会更高。在不同条件下选择不同审计程序,可采用以下两种方法:(1)确保项目的固有属性和内部控制架构,使错误评估会计报表的风险最低而设计审计程序;(2)为直接证实一个项目,可以使审计人员有确切把握将该领域的重大错报查出而设计审计程序。审计人员可以同时使用以上两种审计程序。
审计风险是固有风险、控制风险和检查风险的结合。审计人员不能改变固有风险,为了完成审计,审计人员必须减少其他两种风险。审计人员若了解控制环境、风险评估、控制活动、信息与沟通及监督,则可获得控制风险估计水平减少的证据。若证据显示有效,则控制风险可减少;若控制有问题,则控制风险相应增高。若想减少检查风险,可通过有效地检查账户余额细节或其他程序来实现。
2.分析性复核
分析性复核是以财务资料与非财务资料之间的表面关系或可预测的关系,评估财务信息,分析财务信息的合理性。使用分析性复核的前提条件是公司的账户要基本可靠。这种方法能够较全面地分析比较,它要以当年余额与全年预算做比较;以毛利率或其他财务比率与去年相比;要与同行业相比。所以,使用这种复核方法能收到多方面的效果:它取代了其他实质性测试功效,它所揭示出来的差异,可引起审计人员的注意,辅助审计结论,提高审计效率,降低审计风险。分析性复核与审计各个阶段密切相关。在审计计划阶段,进行内部控制测试时,不可缺少地要用到分析性复核。如审计调查时对会计报表有了初步了解,利用一些指标的分析可帮助审计人员评价审计风险的程度,提高审计人员对企业经营业务的理解和识别风险区域。在审计实施进程中,首先要对全部账户进行广泛的分析性复核,以缩小详细测试的范围。在审计报告阶段,审计人员应对会计报表的总体内容做最后的分析性复核,以发现那些具体抽查中未发现的问题。
3.控制测试
控制测试是对内部控制架构了解的基础上,为了确定内部控制架构政策和程序的设计和执行是否有效而实施的审计程序,其目的在于通过对内部控制要素进行评价以确定控制风险。控制测试的产生与内部控制架构概念的建立以及对控制测试的重新认识有关,所谓控制测试是指测试控制政策与程序的有效性以支持较低控制风险的一种方法。控制风险水平是否较低?根据在计划阶段对被审计单位内部控制架构的了解以及对控制风险的初步评价,审计人员在审计实施阶段首先要作出判断,是否将采用较低的控制风险。如果答案是肯定的,审计人员随后还要进行控制测试,以搜集更多的证据支持较低控制风险的判断;如果答案是否定的,审计人员不打算依赖内部控制架构,可以直接进入实质性测试。
4.交易业务实质性测试
交易业务实质性测试涉及会计系统特定种类交易的处理,通常是针对主要交易类别而言的,其目的是决定被审计单位的会计交易是否经过恰当的审批,在日记账中是否正确记录和汇总,是否正确地过入明细分类账和总分类账。交易业务实质性测试主要关注账户的借贷方发生的金额。无论是在期中还是期末执行,都必须在余额细节测试前来实施,因为交易业务的实质性测试通常和余额细节测试的计划同时进行。无论交易业务的类别测试可能是控制测试、实质性测试或双重目的测试,审计人员的基本目标是相同的,即对特定种类交易处理的可靠性和真实性提供合理保证,以减少余额细节测试。
5.余额细节测试
余额细节测试是为了直接获得有关账户余额的证据,而不是从构成余额的单个借贷发生项目取得证据。它为余额合法性、公允性提供合理保证,或确认其中的货币性误差。审计人员最终目标是对由账户余额组成的会计报表发表意见,无论采取什么策略,审计人员都要广泛使用余额细节测试。在小型企业的审计中,许多审计人员几乎完全单独依靠余额细节的直接测试。
标签:风险导向审计论文; 审计风险模型论文; 固有风险论文; 审计计划论文; 风险评价论文; 经济风险论文; 交易风险论文; 实质性测试论文; 管理风险论文; 内部控制审计论文; 审计方法论文; 实质性程序论文; 审计目标论文; 控制测试论文; 会计与审计论文; 内部控制评价论文; 企业经济论文; 审计职业论文; 审计流程论文; 系统评价论文;