国际审计风险准则的最新发展及其启示
来源: 会计研究/张龙平/李长爱/邓福贤
2005-01-25
普通
安然事件后,国际会计师联合会下属的国际审计和保证准则委员会(IAASB)为应对所面临的来自社会各方面的巨大压力,紧紧围绕如何提高审计人员评估风险、发现舞弊的能力,适时地对现行审计风险准则作了一系列的重大修订,于2003年10月发布了三个新国际审计风险准则:一是国际审计准则第315号(ISA 315)“了解被审计单位及其环境并评估重大错报风险”(Understanding the entity and its environment and assessing the risks of material misstatement),二是ISA 330“针对评估的重大错报风险实施的程序”(The auditors procedures in response to assessed risks),三是ISA 500(已修订)“审计证据”(Audit evidence)。与此同时,IAASB据此对其他准则作了或正在作相应的修订,新修订发布的其他准则有:ISA 200“财务报表审计的目标与一般原则”(Objective and general principles governing an audit offintmcial statement8)、ISA 300“计划财务报表审计”(Planning all audit of financial statements)等。IAASB要求从审计2004年12月15日或之后开始的期间财务报表起,执行这3个新风险准则及相应修订发布的其他准则。新国际审计风险准则与以前准则相比,究竟有哪些重大实质性变化?对我国的独立审计工作将产生什么样的影响?这些值得我们总结思考。
一、国际审计风险准则的最新发展
按照IAASB工作计划,三个新国际审计风险准则生效后,原IAS 310“了解被审计单位情况”(Knowledge of the business)、ISA 400“风险评估与内部控制”(Risk assessments and internal controls)、ISA 401“计算机信息系统环境下的审计”(Auditing in a computer information systems environment)和ISA 500“审计证据”一并作废。与以前准则相比,新国际审计风险准则主要有以下八个方面的重大发展和实质性变化。
(一)引入“重大错报风险”概念,重建审计风险模型
原国际审计风险准则认为,审计风险包括固有风险、控制风险和检查风险,审计风险模型为:审计风险=固有风险×控制风险×检查风险,并要求根据该模型来计划和执行财务报表审计工作,最终将审计风险降低至可接受的低水平。从理论上看,该模型不存在不妥,但实务操作面临很大的问题和困难。比如:(1)原准则要求,在编制总体审计计划时,注册会计师应当对财务报表整体的固有风险进行评估;在编制具体审计计划时,注册会计师应当考虑固有风险的评估对各重要账户或交易类别的认定所产生的影响,或者直接假定这种认定的固有风险为高水平。由于假设不存在相关内部控制的条件下去具体单独评估认定的固有风险有显知的难度,再加上直接假定认定的固有风险为高水平被公认为稳健的做法,这样极容易导致不少事务所及注册会计师不重视对固有风险的评估,使其流于形式。(2)尽管原准则明确指出,由于控制风险与固有风险相互联系,注册会计师应当对两者进行综合评估,并据以作为检查风险的评估基础。但实务中,很容易人为割裂两者的内在联系,而只依赖对内部控制风险所作的粗放型评估来直接、大致确定检查风险水平,再据此规划实质性程序的性质、时间和范围。这样做难以合理保证财务报表不存在重大错报。(3)最为重要的是,原审计风险模型将固有风险和控制风险并列,没有抓住财务报表审计工作的“牛鼻子”,也没有抓住事物的本质和核心东西。其实,这两种风险,就是客户风险(client risk),即客户财务报表审计前存在重大错报的可能性,均为被审计单位所造成和掌控,注册会计师只能评估而不能改变。从注册会计师角度看,只抓住固有风险和控制风险作为审计工作的起点和导向,而不直接明确地以评估重大错报风险为起点和导向,有舍本求末,隔靴搔痒,只见树木不见森林之感。
新国际审计风险准则正式引进“重大错报风险”概念(重大错报风险是指财务报表在审计前存在重大错报的可能性),将审计风险模型重构为:审计风险=重大错报风险×检查风险。这不是简单地将固有和控制风险并称为重大错报风险,而是重大的实质性改进。不仅明确规定了审计工作以评估财务报表重大错报风险作为新的正确起点和导向,抓住了审计工作的“牛鼻子”,而且与现行审计目标责任定位紧紧相扣,有利于履行审计责任,实现审计目标。众所周知,按国际审计准则要求设计审计工作就是为了合理保证财务报表整体不存在重大错报。新风险模型的构建更直接有助于导引注册会计师,时刻紧紧围绕评估的重大错报风险来设计和执行审计程序,以最终实现合理保证财务报表整体不存在重大错报。
(二)改进审计业务流程,增强实施审计程序的效果
原准则依据审计风险三要素模型,把审计业务流程和程序分为四大块:(1)了解被审计单位情况(为评估固有风险);(2)了解内部控制;(3)(必要时)控制测试(均为评估控制风险);(4)实质性测试(为降低检查风险)。第(1)块由原IAS 310“了解被审计单位情况”来规范,第(2)、(3)、(4)块则由原ISA 400“风险评估与内部控制”来规范。
新国际审计风险准则依据审计风险二要素模型,把审计业务流程和程序分为三大块:(1)了解被审计单位及其环境,包括内部控制(目的是为评估财务报表总体层次和认定层次的重大错报风险)。本块审计程序称为“风险评估程序”(risk assessment procedures),(2)(必要时)控制测试(目的是为了测试内部控制在防止、发现和纠正认定层次重大错报方面的有效性,并据此一并评估重大错报风险),(3)实质性测试(目的是为了检查认定层次的重大错报风险)。新准则把第(2)、(3)块程序统称为“进一步审计程序”(further audit procedures),并指出风险评估程序不足以为发表审计意见提供充分适当的审计证据,注册会计师还应当设计和实施进一步审计程序,包括控制测试和实质性程序。还指出应当以对认定层次的重大错报风险的相关评估结果(包括实施风险评估程序的结果和必要时执行控制测试的结果)为基础,并考虑既定的审计风险水平,来确定可接受的检查风险水平,再据此计划和实施实质性程序。在既定的审计风险水平下,可接受检查风险水平与认定层次重大错报风险的评估结果成反向关系。评估的重大错报风险越高,可接受检查风险越低;评估的重大错报风险越低,可接受检查风险越高。检查风险取决于实质性程序设计和执行的有效性。注册会计师应当合理设计实质性程序的性质、时间和范围并有效执行,将检查风险降至可接受的水平。第(1)块由ISA 315“了解被审计单位及其环境并评估重大错报风险”来规范,第(2)、(3)两大块则由ISA 330“针对评估的重大错报风险实施的程序”来规范。由于重建了审计风险模型和改进了审计业务流程,IAASB相应地修订了原ISA 500“审计证据”。
审计业务流程作上述改进后,要求注册会计师全程关注财务报表的重大错报风险,并将风险评估作为整个审计工作的先导、前提和基础。注册会计师应首先花大力气去识别和评估重大错报风险,再据此有针对性地采取措施,合理保证财务报表不存在重大错报。评估重大错报风险的失当,必将导致整个审计工作的失败。看来,能否合理评估客户财务报表的重大错报风险,将成为评价会计师事务所及注册会计师专业胜任能力、考验审计质量及效果的关键性尺度与决定性因素。
(三)区分评估的财务报表整体层次和认定层次的重大错报风险采取不同应对措施,力保所获取审计证据的充分、适当性
ISA 330“针对评估的重大错报风险实施的程序”明确规定和回答了,通过了解被审计单位及其环境(包括内部控制),分别评估出财务报表整体层次和认定层次的重大错报风险后该怎么办的问题,从而有助于注册会计师更有针对性地采取不同的有效应对措施。该准则对注册会计师提出以下要求:
1.应当针对评估的财务报表整体层次的重大错报风险确定“总体应对措施”(overall responses)。可采取的总体应对措施包括:(1)向项目组强调在收集和评价审计证据过程中保持职业怀疑态度的必要性;(2)分派更有经验的或具有特殊技能的审计人员,或利用专家的工作;(3)提供更多的督导;(4)在选择进一步审计程序时,应当注意某些程序不能被管理当局预见或事先了解;(5)对拟实施审计程序的性质、时间和范围作出总体修改。注册会计师对控制环境的了解影响其对财务报表整体层次重大错报风险的评估。如果控制环境存在缺陷,注册会计师通常应当考虑:(1)在期末而非期中实施更多的审计程序;(2)通过实质性程序获取更广泛的审计证据;(3)修改审计程序的性质,获取更具说服力的审计证据;(4)增加审计范围中所包括的经营场所的数量。
2.应当针对评估认定层次的重大错报风险设计和实施“进一步审计程序”(further audit procedures),以将审计风险降至可接受的低水平。
ISA 330还要求在确定总体应对措施,以及设计和实施进一步审计程序的性质、时间和范围时,注册会计师应当运用职业判断。ISA 330还对进一步审计程序(包括必要时控制测试和实质性测试)的性质、时间和范围决策作了比以前准则更详尽的规定。
(四)重新划分认定层次的构成类别,强调获取列报与披露认定的审计证据的重要性
原准则要求识别、评估和检查认定层次的重大错报风险,是区分各类交易和账户余额二个类别来进行的。因此财务报表总体重要性水平的分配、实质性细节测试种类的确定、审计证据的收集与评价都包括了各类交易和账户余额两个方面。
新国际审计风险准则重新划分认定层次的构成为三个类别:(1)各类交易,(2)账户余额,(3)列报与披露(presentation and disclosure),并将这一思想贯穿于整个审计过程中。
比如,ISA 315要求,从各类交易、账户余额及列报与披露三方面来识别和评估认定层次的重大错报风险。ISA 330规定,实质性程序包括:一是对各类交易、账户余额及列报与披露的细节测试,二是实质性分析程序;还规定注册会计师应当实施审计程序以评价财务报表总体列报与相关披露是否符合适用的财务报告框架,在评价时应当考虑评估的认定层次重大错报风险,还应当考虑财务报表是否正确反映财务信息的分类和描述,以及对重大事项的披露是否适当。修订后的ISA 500“审计证据”也相应地规定,注册会计师应当将认定具体运用于各类交易、账户余额、列报与披露,作为评估重大错报风险以及设计与实施进一步审计程序的基础;并进一步指出了这三个方面所涉及和运用的不同认定种类。注册会计师对所审计期间的各类交易和事项运用的认定通常分为下列种类:(1)发生:记录的交易和事项已发生且与客户有关;(2)完整性:所有应当记录的交易和事项均已记录;(3)准确性:与交易和事项有关的金额及其他数据已恰当记录;(4)截止:交易和事项已记录于正确的会计期间;(5)分类:交易和事项已记录于恰当的账户。注册会计师对期末账户余额运用的认定通常分为下列种类:(1)存在:资产、负债和所有者权益是存在的;(2)权利和义务:被审计单位拥有或控制资产的权利,负债是被审计单位的义务;(3)完整性:所有应当记录的资产、负债和所有者权益均已记录;(4)计价和分摊:资产、负债和所有者权益以恰当的金额反映在财务报表中,之后的计价或分摊调整已恰当记录。
注册会计师对列报与披露运用的认定通常分为下列种类:(1)发生及权利和义务:披露的交易、事项和其他情况已发生且与被审计单位有关;(2)完整性:所有应当包括在财务报表中的披露均已包括;(3)分类和可理解性:财务信息已被恰当地列报和描述,且披露内容表述清楚;(4)准确性和计价:财务信息和其他信息已公允披露,且金额恰当。
原准则将列报与披露问题融合到各类交易、账户余额的审计中,理论上并没有什么错。但实务中相比之下注册会计师更重视审计各类交易和账户余额的其他认定,而容易忽视列报与披露认定的重大错报风险。在日益重视财务报表列报与披露的今天,新准则强调单独针对财务报表总体列报与披露认定获取审计证据,对切实提高审计效果和财务报表信息披露质量有特别重要的意义。
(五)强调保持职业怀疑态度,切实提高发现重大错报的概率
新国际审计风险准则进一步强调了保持职业怀疑态度的极端重要性,要求注册会计师以职业怀疑态度计划和实施审计工作,充分考虑可能存在导致会计报表发生重大错报的情形。所谓职业怀疑态度,是指注册会计师以质疑的态度,对所获取审计证据的真实有效性作批判性的评价,并对相互矛盾的审计证据以及导致对文件或管理当局声明的可靠性产生怀疑的审计证据保持警惕。例如,在整个审计过程中,职业怀疑态度对减少忽略可疑情况的风险,以及减少在确定审计程序的性质、时间、范围及评价相应结果时使用错误假定的风险都是必要的。在计划和执行审计时,审计人员既不能假定管理当局不诚实,也不能假定其完全诚实。因此,管理当局声明书不能替代获得充分适当的审计证据,只有充分适当的审计证据才能得出作为审计意见基础的合理结论。
审计如刑事侦察,同属侦查类学科。发现疑点、捕捉线索是关键。而保持职业怀疑态度又是关键之关键。在不少审计失败案例中,审计人员未尽到职业怀疑义务、不会怀疑成为主因。审计人员学会怀疑是一个不断学习、总结和积累的过程,贯穿于整个职业生涯。职业怀疑意识和能力越强,发现重大错报的概率就越大。
(六)强调对特别风险的识别及评估,并警惕仅实施实质性程序无法获取充分、适当审计证据的风险
ISA 315要求,注册会计师在风险评估中应当运用职业判断,确定识别的风险哪些是特别风险(significant risks),需要作特别的审计考虑。在确定哪些风险是特别风险时,应考虑风险的性质、潜在错报的重要程度(包括导致多项错报的可能性)以及风险发生的可能性。在确定风险的性质时,注册会计师应当考虑下列事项:(1)风险是否为舞弊风险;(2)风险是否与近期经济环境、会计核算和其他方面的重大变化有关;(3)交易的复杂程度;(4)风险是否涉及重大的关联方交易;(5)财务信息计量的主观程度,特别是对不确定事项的计量存在宽广的区间;(6)风险是否涉及异常或超出正常业务范围的重大交易。ISA 315指出,特别风险通常与重大的非常规交易和判断事项有关。非常规交易是指由于金额或性质异常而不经常发生的交易。判断事项通常包括作出的会计估计。由于非常规交易具有下列特征,与重大非常规交易相关的特别风险可能导致更高的重大错报风险:(1)管理当局更多地介入会计处理;(2)数据收集和处理需要更多的人工介入;(3)复杂的计算或会计原则;(4)非常规交易的性质可能使被审计单位难以对由此产生的特别风险实施有效控制。由于下列原因,与重大判断事项相关的特别风险可能导致更高的重大错报风险:(1)对涉及会计估计和收入确认的会计原则存在不同的理解;(2)所要求的判断可能是主观和复杂的,或需要对未来事项作出假设。ISA 315还要求,对特别风险,注册会计师应当评价相关控制(包括相关的控制活动)的设计情况,并确定其是否已经得到执行。由于与重大非常规交易或判断事项相关的风险很少受到日常控制的约束,注册会计师应当了解被审计单位是否针对该特别风险设计和实施了控制。如果管理当局未能实施控制以恰当应对特别风险,注册会计师应当认为内部控制存在重大缺陷,并考虑对风险评估的影响。
ISA 315同时要求,特别应警惕仅实施实质性程序无法提供充分、适当审计证据的风险。指出作为风险评估的一部分,如果认为仅通过实施实质性程序获取的审计证据无法将认定层次的重大错报风险降至可接受的低水平,注册会计师应当评价客户针对这些风险设计的控制(包括相关的控制活动),并确定其执行情况。还强调在客户对日常交易采用高度自动化处理的情况下,如果注册会计师认为仅通过实施实质性程序不能获取充分、适当的审计证据,则应当考虑所依赖的相关控制的有效性。
这是国际审计风险准则首次单独强调识别和处置特别风险及完全依赖实质性程序的风险,对于解决实务中较普遍存在的(1)审计往往抓不住重点,容易忽视那些需要特别审计考虑的风险;(2)不重视风险评估和内控了解,不分情况盲目期望仅靠实施实质性程序获取证据等突出问题,有针对性意义。
(七)强调项目组内讨论的积极作用,共享审计经验和资源
在审计中如何组织利用好项目组内的讨论,共享审计经验和资源,保证整体审计质量,这在过去往往被忽视。ISA 315首次规定,注册会计师应当组织项目组成员对客户财务报表存在重大错报的可能性进行讨论,并运用职业判断合理确定讨论的目标、内容、人员、时间和方式。项目组应当讨论客户所面临的经营风险、报表容易发生错报的领域及发生错报的方式,特别是由于舞弊导致重大错报的可能性。项目组的关键成员应当参与讨论。如果审计项目组需要拥有特殊信息技术或其他技能的专家,在讨论时还应将其包括在内。项目组应当根据审计的具体情况,持续交换有关客户报表发生重大错报可能性的信息。项目组在讨论时应当强调在整个审计过程中保持职业怀疑态度,警惕可能发生重大错报的迹象,并对这些迹象进行严格追踪。通过讨论可以使成员更好地了解在各自负责的领域报表发生重大错报的可能性,并了解各自实施审计程序的结果如何影响审计的其他方面,包括如何确定进一步审计程序的性质、时间和范围。
(八)强调与治理当局沟通和与管理当局沟通并重,优化审计环境。
ISA 315设专章规定与治理当局和管理当局沟通内控问题,要求注册会计师及时将其注意到的内部控制设计或执行方面的重大缺陷告知客户适当层次的治理当局或管理当局。如果识别出客户未加控制或控制不当的重大错报风险,或认为客户的风险评估过程存在重大缺陷,注册会计师应当就此类内部控制缺陷与治理当局沟通。此外,还可向治理当局沟通与管理当局的正直性和舞弊有关的问题。
ISA 260“与治理当局沟通审计事项”,专门为审计人员与客户负责治理的机构和人员(简称治理当局)之间,沟通审计中所注意到的有关治理的审计事项,建立准则和提供指南。本准则所称“治理”是用来描述被授权对单位进行监督、控制及指导的内部机构和人员的作用。只有当管理当局履行这种职能时,治理当局才包括管理当局。本准则对沟通的原则、对象、内容、方式、时间等作了全面的规定。
新国际审计风险准则除了上述八大主要变化外,在许多条款制定上,比以前要求更高、规定更细、指导性更强,着实澄清和纠正了实务中的一些明显的重大错误认识和做法,对实务中普遍存在的典型的薄弱环节予以了加强和改进,恕不赘述。由于本轮准则修订时,将计算机信息系统环境下的特殊审计考虑,融入到了新发布的三个风险准则和其他准则中,故新准则生效后,原ISA 401“计算机信息系统环境下的审计”失效。
需要特别强调的是,新国际审计风险准则的颁行并没有改变财务报表审计目标和责任的基本定位,也没有改变现行的审计基本理论和方法,而只是为了指导审计人员更好地实现审计目标和履行审计责任,缩小审计期望差。ISA 200“财务报表审计的目标与一般原则”依然规定,注册会计师只是应当合理保证财务报表整体不存在重大错报。合理保证报表整体不存在重大错报意味着审计风险始终存在,注册会计师应当通过计划和实施审计工作,获取充分、适当的审计证据,将审计风险降至可接受的低水平。下列因素可能影响发现重大错报的能力,注册会计师不能绝对保证报表整体不存在重大错报:(1)抽样方法的运用;(2)内部控制的固有局限性;(3)大多数审计证据是说服性而非结论性的;(4)获取审计证据和形成结论时涉及大量判断;(5)某些特殊性质的交易和事项可能影响审计证据的说服力。ISA 200还依然规定,注册会计师的责任是按照审计准则的要求对财务报表发表审计意见,客户管理当局的责任是按照适用的财务报告框架编制和列报财务报表。注册会计师对财务报表的审计不能减轻管理当局的责任。
二、几点启示
我国CPA制度恢复20多年来,独立审计的准则建设和工作开展取得的成绩有目共睹,但由于各种原因,准则的落实程度和执业水平还远没有到位。新国际审计风险准则的发布又对审计工作提出了更高的要求。我们认为,应努力做好以下方面工作,积极应对挑战:
1.风险导向审计必须实行,重大错报风险必须认清。从新国际审计风险准则规定看,风险基础审计不是要不要做的问题,而是必须认真做好的问题。现代财务报表审计就是风险导向审计,即以重大错报风险为导向的审计,关键是不能曲解其本质含义。风险导向审计的两项主要的同等重要的工作就是:评估重大错报风险和降低重大错报风险。识别风险、评估风险是前提,检查风险、降低风险是实质。两者缺一不可,绝不能只重其一。目前实务中有两种典型错误做法,背离风险基础审计的真谛,必须按准则的本质要求予以纠正和规范:一是刚进驻被审计单位就完全凭经验评估风险,感觉较好时干脆就不实施或很少实施进一步审计程序;二是风险评估不在行或不想做,项目组一进驻单位根本没摸清客户重大错报风险,就直接实施实质性程序收集审计证据,盲人摸象,几乎发现不了重大问题。
2.审计工作重心必须前移,审计计划工作必须加强。收集审计证据主要包括计划审计和实施审计两类工作。实务中大多比较轻计划、重实施。新国际审计风险准则要求我们必须将审计工作的重心前移,重视审计计划工作,花费必要成本和相当精力在了解客户及其环境(包括内部控制)上,以识别和评估出重大错报风险。只有以认真评估的重大错报风险为基础,才能制定出有效的审计计划。我国目前独立审计业务整体水平不高,关键在于计划能力不强,说到底是识别和评估重大错报风险的能力不强。一些事务所的项目组一进单位就习惯拿出老一套的审计程序清单照做,根本不问重大错报风险在哪儿。编审计划好比开中医药方,中医药方要对症必须先问症,审计计划要能帮助查出重大错报,就必须先识别评估出重大错报风险。
3.职业怀疑态度必须坚持,强制审计程序必须到位。审计职业的特点决定每个审计人员必须坚持职业怀疑态度。职业怀疑是审计人员必练的基本功。审计人员要养成很强的怀疑意识与能力,需要道德素养、职业责任感、应有谨慎、执业经验、判断能力、专业精神、敏锐眼光的广泛良性互动和长期同步揉和。保持职业怀疑并不是孤立存在的一种纯精神态度,而是要求体现于风险评估、计划和实施程序、收集和评价证据、形成结论和意见等审计全过程的具体专业行为中。可以说,不会职业怀疑,几乎就等于不会审计。与此同时,新国际审计风险准则比以前准则规定了更多的强制审计程序,比如项目组讨论、特别风险和全靠实质性程序获取充分适当证据的风险识别及处置、审计工作底稿更详细的记录等,审计人员在实务中必须执行到位,以减少审计程序的随意性和盲目性。
4.客户行业状况必须掌握,职业经验积累必须重视。ISA 315用了124段外加3个附录的前所未有的特大篇幅,来规范“了解被审计单位及其环境并评估重大错报风险”。这一方面说明风险评估很重要,另一方面说明风险评估难度相当大,对大量的中小型事务所来说做好风险评估更难。ISA 315要求注册会计师先从下列方面了解被审计单位及其环境(包括内部控制),再据以评估财务报表总体层次和认定层次的重大错报风险:(1)行业状况、监管环境以及其他外部因素;(2)被审计单位的性质及对会计政策的选择和运用;(3)被审计单位的目标、战略以及相关经营风险;(4)被审计单位财务业绩的衡量和评价;(4)相关内部控制。这些了解不仅内容十分宽泛,而且要求必须将了解的信息运用于风险评估,无疑对事务所及注册会计师的能力提出了严峻的挑战。各事务所及注册会计师如再不重视平时对客户经营及行业状况的逐步掌握和职业经验的点滴积累,要达到新准则的要求是不可能的。
5.我国现行准则必须修订,审计实务流程必须改进。我国独立审计准则的制定一直坚持国际化方向,已初步建立起独立审计准则体系。中国注册会计师协会根据ISA的新发展正在抓紧修订我国现行审计风险准则。按工作计划,目前正在制定4个新的审计风险准则:一是《独立审计具体准则第XX号——会计报表审计的目标和一般原则》,依据新ISA 200制定,拟取代《独立审计具体准则第l号——会计报表审计》;二是《独立审计具体准则第XX号——了解被审计单位及其环境并评估重大错报风险》,依据ISA 315制定,拟取代《独立审计具体准则第9号——内部控制与审计风险》、《独立审计具体准则第20号——计算机信息系统环境下的审计》和《独立审计具体准则第21号——了解被审计单位情况》;三是《独立审计具体准则第XX号——针对评估的重大错报风险实施的程序》,依据ISA 330制定;四是《独立审计具体准则第XX号——审计证据》,依据新ISA 500制定,拟取代《独立审计具体准则第5号——审计证据》。这4个新准则经过在全国范围内征求意见后,计划于2005年正式颁行。各事务所及注册会计师应密切关注和认真学习审计风险准则的新发展,并积极考虑据此改进审计实务流程,切实提高评估风险和发现重大错报的能力。
主要参考文献
ISA 315 Understanding the entity and its environment and assessing the risks of material misstatement
ISA 330 The auditors procedures in response to assessed risks
ISA 500 (revised) Audit evidence
ISA 200 Objective and general principles governing an audit of financial statements
ISA 300 Planning an audit of financial statements
IAS 310 Knowledge of the business
ISA 400 Risk assessments and internal controls
ISA 401 Auditing in a computer information systems environment
ISA 500 Audit evidenc
一、国际审计风险准则的最新发展
按照IAASB工作计划,三个新国际审计风险准则生效后,原IAS 310“了解被审计单位情况”(Knowledge of the business)、ISA 400“风险评估与内部控制”(Risk assessments and internal controls)、ISA 401“计算机信息系统环境下的审计”(Auditing in a computer information systems environment)和ISA 500“审计证据”一并作废。与以前准则相比,新国际审计风险准则主要有以下八个方面的重大发展和实质性变化。
(一)引入“重大错报风险”概念,重建审计风险模型
原国际审计风险准则认为,审计风险包括固有风险、控制风险和检查风险,审计风险模型为:审计风险=固有风险×控制风险×检查风险,并要求根据该模型来计划和执行财务报表审计工作,最终将审计风险降低至可接受的低水平。从理论上看,该模型不存在不妥,但实务操作面临很大的问题和困难。比如:(1)原准则要求,在编制总体审计计划时,注册会计师应当对财务报表整体的固有风险进行评估;在编制具体审计计划时,注册会计师应当考虑固有风险的评估对各重要账户或交易类别的认定所产生的影响,或者直接假定这种认定的固有风险为高水平。由于假设不存在相关内部控制的条件下去具体单独评估认定的固有风险有显知的难度,再加上直接假定认定的固有风险为高水平被公认为稳健的做法,这样极容易导致不少事务所及注册会计师不重视对固有风险的评估,使其流于形式。(2)尽管原准则明确指出,由于控制风险与固有风险相互联系,注册会计师应当对两者进行综合评估,并据以作为检查风险的评估基础。但实务中,很容易人为割裂两者的内在联系,而只依赖对内部控制风险所作的粗放型评估来直接、大致确定检查风险水平,再据此规划实质性程序的性质、时间和范围。这样做难以合理保证财务报表不存在重大错报。(3)最为重要的是,原审计风险模型将固有风险和控制风险并列,没有抓住财务报表审计工作的“牛鼻子”,也没有抓住事物的本质和核心东西。其实,这两种风险,就是客户风险(client risk),即客户财务报表审计前存在重大错报的可能性,均为被审计单位所造成和掌控,注册会计师只能评估而不能改变。从注册会计师角度看,只抓住固有风险和控制风险作为审计工作的起点和导向,而不直接明确地以评估重大错报风险为起点和导向,有舍本求末,隔靴搔痒,只见树木不见森林之感。
新国际审计风险准则正式引进“重大错报风险”概念(重大错报风险是指财务报表在审计前存在重大错报的可能性),将审计风险模型重构为:审计风险=重大错报风险×检查风险。这不是简单地将固有和控制风险并称为重大错报风险,而是重大的实质性改进。不仅明确规定了审计工作以评估财务报表重大错报风险作为新的正确起点和导向,抓住了审计工作的“牛鼻子”,而且与现行审计目标责任定位紧紧相扣,有利于履行审计责任,实现审计目标。众所周知,按国际审计准则要求设计审计工作就是为了合理保证财务报表整体不存在重大错报。新风险模型的构建更直接有助于导引注册会计师,时刻紧紧围绕评估的重大错报风险来设计和执行审计程序,以最终实现合理保证财务报表整体不存在重大错报。
(二)改进审计业务流程,增强实施审计程序的效果
原准则依据审计风险三要素模型,把审计业务流程和程序分为四大块:(1)了解被审计单位情况(为评估固有风险);(2)了解内部控制;(3)(必要时)控制测试(均为评估控制风险);(4)实质性测试(为降低检查风险)。第(1)块由原IAS 310“了解被审计单位情况”来规范,第(2)、(3)、(4)块则由原ISA 400“风险评估与内部控制”来规范。
新国际审计风险准则依据审计风险二要素模型,把审计业务流程和程序分为三大块:(1)了解被审计单位及其环境,包括内部控制(目的是为评估财务报表总体层次和认定层次的重大错报风险)。本块审计程序称为“风险评估程序”(risk assessment procedures),(2)(必要时)控制测试(目的是为了测试内部控制在防止、发现和纠正认定层次重大错报方面的有效性,并据此一并评估重大错报风险),(3)实质性测试(目的是为了检查认定层次的重大错报风险)。新准则把第(2)、(3)块程序统称为“进一步审计程序”(further audit procedures),并指出风险评估程序不足以为发表审计意见提供充分适当的审计证据,注册会计师还应当设计和实施进一步审计程序,包括控制测试和实质性程序。还指出应当以对认定层次的重大错报风险的相关评估结果(包括实施风险评估程序的结果和必要时执行控制测试的结果)为基础,并考虑既定的审计风险水平,来确定可接受的检查风险水平,再据此计划和实施实质性程序。在既定的审计风险水平下,可接受检查风险水平与认定层次重大错报风险的评估结果成反向关系。评估的重大错报风险越高,可接受检查风险越低;评估的重大错报风险越低,可接受检查风险越高。检查风险取决于实质性程序设计和执行的有效性。注册会计师应当合理设计实质性程序的性质、时间和范围并有效执行,将检查风险降至可接受的水平。第(1)块由ISA 315“了解被审计单位及其环境并评估重大错报风险”来规范,第(2)、(3)两大块则由ISA 330“针对评估的重大错报风险实施的程序”来规范。由于重建了审计风险模型和改进了审计业务流程,IAASB相应地修订了原ISA 500“审计证据”。
审计业务流程作上述改进后,要求注册会计师全程关注财务报表的重大错报风险,并将风险评估作为整个审计工作的先导、前提和基础。注册会计师应首先花大力气去识别和评估重大错报风险,再据此有针对性地采取措施,合理保证财务报表不存在重大错报。评估重大错报风险的失当,必将导致整个审计工作的失败。看来,能否合理评估客户财务报表的重大错报风险,将成为评价会计师事务所及注册会计师专业胜任能力、考验审计质量及效果的关键性尺度与决定性因素。
(三)区分评估的财务报表整体层次和认定层次的重大错报风险采取不同应对措施,力保所获取审计证据的充分、适当性
ISA 330“针对评估的重大错报风险实施的程序”明确规定和回答了,通过了解被审计单位及其环境(包括内部控制),分别评估出财务报表整体层次和认定层次的重大错报风险后该怎么办的问题,从而有助于注册会计师更有针对性地采取不同的有效应对措施。该准则对注册会计师提出以下要求:
1.应当针对评估的财务报表整体层次的重大错报风险确定“总体应对措施”(overall responses)。可采取的总体应对措施包括:(1)向项目组强调在收集和评价审计证据过程中保持职业怀疑态度的必要性;(2)分派更有经验的或具有特殊技能的审计人员,或利用专家的工作;(3)提供更多的督导;(4)在选择进一步审计程序时,应当注意某些程序不能被管理当局预见或事先了解;(5)对拟实施审计程序的性质、时间和范围作出总体修改。注册会计师对控制环境的了解影响其对财务报表整体层次重大错报风险的评估。如果控制环境存在缺陷,注册会计师通常应当考虑:(1)在期末而非期中实施更多的审计程序;(2)通过实质性程序获取更广泛的审计证据;(3)修改审计程序的性质,获取更具说服力的审计证据;(4)增加审计范围中所包括的经营场所的数量。
2.应当针对评估认定层次的重大错报风险设计和实施“进一步审计程序”(further audit procedures),以将审计风险降至可接受的低水平。
ISA 330还要求在确定总体应对措施,以及设计和实施进一步审计程序的性质、时间和范围时,注册会计师应当运用职业判断。ISA 330还对进一步审计程序(包括必要时控制测试和实质性测试)的性质、时间和范围决策作了比以前准则更详尽的规定。
(四)重新划分认定层次的构成类别,强调获取列报与披露认定的审计证据的重要性
原准则要求识别、评估和检查认定层次的重大错报风险,是区分各类交易和账户余额二个类别来进行的。因此财务报表总体重要性水平的分配、实质性细节测试种类的确定、审计证据的收集与评价都包括了各类交易和账户余额两个方面。
新国际审计风险准则重新划分认定层次的构成为三个类别:(1)各类交易,(2)账户余额,(3)列报与披露(presentation and disclosure),并将这一思想贯穿于整个审计过程中。
比如,ISA 315要求,从各类交易、账户余额及列报与披露三方面来识别和评估认定层次的重大错报风险。ISA 330规定,实质性程序包括:一是对各类交易、账户余额及列报与披露的细节测试,二是实质性分析程序;还规定注册会计师应当实施审计程序以评价财务报表总体列报与相关披露是否符合适用的财务报告框架,在评价时应当考虑评估的认定层次重大错报风险,还应当考虑财务报表是否正确反映财务信息的分类和描述,以及对重大事项的披露是否适当。修订后的ISA 500“审计证据”也相应地规定,注册会计师应当将认定具体运用于各类交易、账户余额、列报与披露,作为评估重大错报风险以及设计与实施进一步审计程序的基础;并进一步指出了这三个方面所涉及和运用的不同认定种类。注册会计师对所审计期间的各类交易和事项运用的认定通常分为下列种类:(1)发生:记录的交易和事项已发生且与客户有关;(2)完整性:所有应当记录的交易和事项均已记录;(3)准确性:与交易和事项有关的金额及其他数据已恰当记录;(4)截止:交易和事项已记录于正确的会计期间;(5)分类:交易和事项已记录于恰当的账户。注册会计师对期末账户余额运用的认定通常分为下列种类:(1)存在:资产、负债和所有者权益是存在的;(2)权利和义务:被审计单位拥有或控制资产的权利,负债是被审计单位的义务;(3)完整性:所有应当记录的资产、负债和所有者权益均已记录;(4)计价和分摊:资产、负债和所有者权益以恰当的金额反映在财务报表中,之后的计价或分摊调整已恰当记录。
注册会计师对列报与披露运用的认定通常分为下列种类:(1)发生及权利和义务:披露的交易、事项和其他情况已发生且与被审计单位有关;(2)完整性:所有应当包括在财务报表中的披露均已包括;(3)分类和可理解性:财务信息已被恰当地列报和描述,且披露内容表述清楚;(4)准确性和计价:财务信息和其他信息已公允披露,且金额恰当。
原准则将列报与披露问题融合到各类交易、账户余额的审计中,理论上并没有什么错。但实务中相比之下注册会计师更重视审计各类交易和账户余额的其他认定,而容易忽视列报与披露认定的重大错报风险。在日益重视财务报表列报与披露的今天,新准则强调单独针对财务报表总体列报与披露认定获取审计证据,对切实提高审计效果和财务报表信息披露质量有特别重要的意义。
(五)强调保持职业怀疑态度,切实提高发现重大错报的概率
新国际审计风险准则进一步强调了保持职业怀疑态度的极端重要性,要求注册会计师以职业怀疑态度计划和实施审计工作,充分考虑可能存在导致会计报表发生重大错报的情形。所谓职业怀疑态度,是指注册会计师以质疑的态度,对所获取审计证据的真实有效性作批判性的评价,并对相互矛盾的审计证据以及导致对文件或管理当局声明的可靠性产生怀疑的审计证据保持警惕。例如,在整个审计过程中,职业怀疑态度对减少忽略可疑情况的风险,以及减少在确定审计程序的性质、时间、范围及评价相应结果时使用错误假定的风险都是必要的。在计划和执行审计时,审计人员既不能假定管理当局不诚实,也不能假定其完全诚实。因此,管理当局声明书不能替代获得充分适当的审计证据,只有充分适当的审计证据才能得出作为审计意见基础的合理结论。
审计如刑事侦察,同属侦查类学科。发现疑点、捕捉线索是关键。而保持职业怀疑态度又是关键之关键。在不少审计失败案例中,审计人员未尽到职业怀疑义务、不会怀疑成为主因。审计人员学会怀疑是一个不断学习、总结和积累的过程,贯穿于整个职业生涯。职业怀疑意识和能力越强,发现重大错报的概率就越大。
(六)强调对特别风险的识别及评估,并警惕仅实施实质性程序无法获取充分、适当审计证据的风险
ISA 315要求,注册会计师在风险评估中应当运用职业判断,确定识别的风险哪些是特别风险(significant risks),需要作特别的审计考虑。在确定哪些风险是特别风险时,应考虑风险的性质、潜在错报的重要程度(包括导致多项错报的可能性)以及风险发生的可能性。在确定风险的性质时,注册会计师应当考虑下列事项:(1)风险是否为舞弊风险;(2)风险是否与近期经济环境、会计核算和其他方面的重大变化有关;(3)交易的复杂程度;(4)风险是否涉及重大的关联方交易;(5)财务信息计量的主观程度,特别是对不确定事项的计量存在宽广的区间;(6)风险是否涉及异常或超出正常业务范围的重大交易。ISA 315指出,特别风险通常与重大的非常规交易和判断事项有关。非常规交易是指由于金额或性质异常而不经常发生的交易。判断事项通常包括作出的会计估计。由于非常规交易具有下列特征,与重大非常规交易相关的特别风险可能导致更高的重大错报风险:(1)管理当局更多地介入会计处理;(2)数据收集和处理需要更多的人工介入;(3)复杂的计算或会计原则;(4)非常规交易的性质可能使被审计单位难以对由此产生的特别风险实施有效控制。由于下列原因,与重大判断事项相关的特别风险可能导致更高的重大错报风险:(1)对涉及会计估计和收入确认的会计原则存在不同的理解;(2)所要求的判断可能是主观和复杂的,或需要对未来事项作出假设。ISA 315还要求,对特别风险,注册会计师应当评价相关控制(包括相关的控制活动)的设计情况,并确定其是否已经得到执行。由于与重大非常规交易或判断事项相关的风险很少受到日常控制的约束,注册会计师应当了解被审计单位是否针对该特别风险设计和实施了控制。如果管理当局未能实施控制以恰当应对特别风险,注册会计师应当认为内部控制存在重大缺陷,并考虑对风险评估的影响。
ISA 315同时要求,特别应警惕仅实施实质性程序无法提供充分、适当审计证据的风险。指出作为风险评估的一部分,如果认为仅通过实施实质性程序获取的审计证据无法将认定层次的重大错报风险降至可接受的低水平,注册会计师应当评价客户针对这些风险设计的控制(包括相关的控制活动),并确定其执行情况。还强调在客户对日常交易采用高度自动化处理的情况下,如果注册会计师认为仅通过实施实质性程序不能获取充分、适当的审计证据,则应当考虑所依赖的相关控制的有效性。
这是国际审计风险准则首次单独强调识别和处置特别风险及完全依赖实质性程序的风险,对于解决实务中较普遍存在的(1)审计往往抓不住重点,容易忽视那些需要特别审计考虑的风险;(2)不重视风险评估和内控了解,不分情况盲目期望仅靠实施实质性程序获取证据等突出问题,有针对性意义。
(七)强调项目组内讨论的积极作用,共享审计经验和资源
在审计中如何组织利用好项目组内的讨论,共享审计经验和资源,保证整体审计质量,这在过去往往被忽视。ISA 315首次规定,注册会计师应当组织项目组成员对客户财务报表存在重大错报的可能性进行讨论,并运用职业判断合理确定讨论的目标、内容、人员、时间和方式。项目组应当讨论客户所面临的经营风险、报表容易发生错报的领域及发生错报的方式,特别是由于舞弊导致重大错报的可能性。项目组的关键成员应当参与讨论。如果审计项目组需要拥有特殊信息技术或其他技能的专家,在讨论时还应将其包括在内。项目组应当根据审计的具体情况,持续交换有关客户报表发生重大错报可能性的信息。项目组在讨论时应当强调在整个审计过程中保持职业怀疑态度,警惕可能发生重大错报的迹象,并对这些迹象进行严格追踪。通过讨论可以使成员更好地了解在各自负责的领域报表发生重大错报的可能性,并了解各自实施审计程序的结果如何影响审计的其他方面,包括如何确定进一步审计程序的性质、时间和范围。
(八)强调与治理当局沟通和与管理当局沟通并重,优化审计环境。
ISA 315设专章规定与治理当局和管理当局沟通内控问题,要求注册会计师及时将其注意到的内部控制设计或执行方面的重大缺陷告知客户适当层次的治理当局或管理当局。如果识别出客户未加控制或控制不当的重大错报风险,或认为客户的风险评估过程存在重大缺陷,注册会计师应当就此类内部控制缺陷与治理当局沟通。此外,还可向治理当局沟通与管理当局的正直性和舞弊有关的问题。
ISA 260“与治理当局沟通审计事项”,专门为审计人员与客户负责治理的机构和人员(简称治理当局)之间,沟通审计中所注意到的有关治理的审计事项,建立准则和提供指南。本准则所称“治理”是用来描述被授权对单位进行监督、控制及指导的内部机构和人员的作用。只有当管理当局履行这种职能时,治理当局才包括管理当局。本准则对沟通的原则、对象、内容、方式、时间等作了全面的规定。
新国际审计风险准则除了上述八大主要变化外,在许多条款制定上,比以前要求更高、规定更细、指导性更强,着实澄清和纠正了实务中的一些明显的重大错误认识和做法,对实务中普遍存在的典型的薄弱环节予以了加强和改进,恕不赘述。由于本轮准则修订时,将计算机信息系统环境下的特殊审计考虑,融入到了新发布的三个风险准则和其他准则中,故新准则生效后,原ISA 401“计算机信息系统环境下的审计”失效。
需要特别强调的是,新国际审计风险准则的颁行并没有改变财务报表审计目标和责任的基本定位,也没有改变现行的审计基本理论和方法,而只是为了指导审计人员更好地实现审计目标和履行审计责任,缩小审计期望差。ISA 200“财务报表审计的目标与一般原则”依然规定,注册会计师只是应当合理保证财务报表整体不存在重大错报。合理保证报表整体不存在重大错报意味着审计风险始终存在,注册会计师应当通过计划和实施审计工作,获取充分、适当的审计证据,将审计风险降至可接受的低水平。下列因素可能影响发现重大错报的能力,注册会计师不能绝对保证报表整体不存在重大错报:(1)抽样方法的运用;(2)内部控制的固有局限性;(3)大多数审计证据是说服性而非结论性的;(4)获取审计证据和形成结论时涉及大量判断;(5)某些特殊性质的交易和事项可能影响审计证据的说服力。ISA 200还依然规定,注册会计师的责任是按照审计准则的要求对财务报表发表审计意见,客户管理当局的责任是按照适用的财务报告框架编制和列报财务报表。注册会计师对财务报表的审计不能减轻管理当局的责任。
二、几点启示
我国CPA制度恢复20多年来,独立审计的准则建设和工作开展取得的成绩有目共睹,但由于各种原因,准则的落实程度和执业水平还远没有到位。新国际审计风险准则的发布又对审计工作提出了更高的要求。我们认为,应努力做好以下方面工作,积极应对挑战:
1.风险导向审计必须实行,重大错报风险必须认清。从新国际审计风险准则规定看,风险基础审计不是要不要做的问题,而是必须认真做好的问题。现代财务报表审计就是风险导向审计,即以重大错报风险为导向的审计,关键是不能曲解其本质含义。风险导向审计的两项主要的同等重要的工作就是:评估重大错报风险和降低重大错报风险。识别风险、评估风险是前提,检查风险、降低风险是实质。两者缺一不可,绝不能只重其一。目前实务中有两种典型错误做法,背离风险基础审计的真谛,必须按准则的本质要求予以纠正和规范:一是刚进驻被审计单位就完全凭经验评估风险,感觉较好时干脆就不实施或很少实施进一步审计程序;二是风险评估不在行或不想做,项目组一进驻单位根本没摸清客户重大错报风险,就直接实施实质性程序收集审计证据,盲人摸象,几乎发现不了重大问题。
2.审计工作重心必须前移,审计计划工作必须加强。收集审计证据主要包括计划审计和实施审计两类工作。实务中大多比较轻计划、重实施。新国际审计风险准则要求我们必须将审计工作的重心前移,重视审计计划工作,花费必要成本和相当精力在了解客户及其环境(包括内部控制)上,以识别和评估出重大错报风险。只有以认真评估的重大错报风险为基础,才能制定出有效的审计计划。我国目前独立审计业务整体水平不高,关键在于计划能力不强,说到底是识别和评估重大错报风险的能力不强。一些事务所的项目组一进单位就习惯拿出老一套的审计程序清单照做,根本不问重大错报风险在哪儿。编审计划好比开中医药方,中医药方要对症必须先问症,审计计划要能帮助查出重大错报,就必须先识别评估出重大错报风险。
3.职业怀疑态度必须坚持,强制审计程序必须到位。审计职业的特点决定每个审计人员必须坚持职业怀疑态度。职业怀疑是审计人员必练的基本功。审计人员要养成很强的怀疑意识与能力,需要道德素养、职业责任感、应有谨慎、执业经验、判断能力、专业精神、敏锐眼光的广泛良性互动和长期同步揉和。保持职业怀疑并不是孤立存在的一种纯精神态度,而是要求体现于风险评估、计划和实施程序、收集和评价证据、形成结论和意见等审计全过程的具体专业行为中。可以说,不会职业怀疑,几乎就等于不会审计。与此同时,新国际审计风险准则比以前准则规定了更多的强制审计程序,比如项目组讨论、特别风险和全靠实质性程序获取充分适当证据的风险识别及处置、审计工作底稿更详细的记录等,审计人员在实务中必须执行到位,以减少审计程序的随意性和盲目性。
4.客户行业状况必须掌握,职业经验积累必须重视。ISA 315用了124段外加3个附录的前所未有的特大篇幅,来规范“了解被审计单位及其环境并评估重大错报风险”。这一方面说明风险评估很重要,另一方面说明风险评估难度相当大,对大量的中小型事务所来说做好风险评估更难。ISA 315要求注册会计师先从下列方面了解被审计单位及其环境(包括内部控制),再据以评估财务报表总体层次和认定层次的重大错报风险:(1)行业状况、监管环境以及其他外部因素;(2)被审计单位的性质及对会计政策的选择和运用;(3)被审计单位的目标、战略以及相关经营风险;(4)被审计单位财务业绩的衡量和评价;(4)相关内部控制。这些了解不仅内容十分宽泛,而且要求必须将了解的信息运用于风险评估,无疑对事务所及注册会计师的能力提出了严峻的挑战。各事务所及注册会计师如再不重视平时对客户经营及行业状况的逐步掌握和职业经验的点滴积累,要达到新准则的要求是不可能的。
5.我国现行准则必须修订,审计实务流程必须改进。我国独立审计准则的制定一直坚持国际化方向,已初步建立起独立审计准则体系。中国注册会计师协会根据ISA的新发展正在抓紧修订我国现行审计风险准则。按工作计划,目前正在制定4个新的审计风险准则:一是《独立审计具体准则第XX号——会计报表审计的目标和一般原则》,依据新ISA 200制定,拟取代《独立审计具体准则第l号——会计报表审计》;二是《独立审计具体准则第XX号——了解被审计单位及其环境并评估重大错报风险》,依据ISA 315制定,拟取代《独立审计具体准则第9号——内部控制与审计风险》、《独立审计具体准则第20号——计算机信息系统环境下的审计》和《独立审计具体准则第21号——了解被审计单位情况》;三是《独立审计具体准则第XX号——针对评估的重大错报风险实施的程序》,依据ISA 330制定;四是《独立审计具体准则第XX号——审计证据》,依据新ISA 500制定,拟取代《独立审计具体准则第5号——审计证据》。这4个新准则经过在全国范围内征求意见后,计划于2005年正式颁行。各事务所及注册会计师应密切关注和认真学习审计风险准则的新发展,并积极考虑据此改进审计实务流程,切实提高评估风险和发现重大错报的能力。
主要参考文献
ISA 315 Understanding the entity and its environment and assessing the risks of material misstatement
ISA 330 The auditors procedures in response to assessed risks
ISA 500 (revised) Audit evidence
ISA 200 Objective and general principles governing an audit of financial statements
ISA 300 Planning an audit of financial statements
IAS 310 Knowledge of the business
ISA 400 Risk assessments and internal controls
ISA 401 Auditing in a computer information systems environment
ISA 500 Audit evidenc