论风险基础审计
来源:
2002-09-05
普通
[提要]自20世纪80年代以来,为适应高度风险社会的需要,在以美国为代表的西方,产生了一种名为“风险基础审计”(Risk-basedAuditing)的审计模式,并在“五大”会计师事务所广泛采用。本文拟在研究国外资料的基础上,结合我国的审计实践,向各位同行介绍风险基础审计的思想基础、基本程序等问题。
一、风险基础审计的思想基础
风险基础审计是一种有别于账项基础审计和制度基础审计的审计模式。它以量化的风险水平为重点,在确定的风险水平基础上,决定实质性测试的程度和范围。这一方法模式最显著的特点是,将客户置于一个大的经济环境中,运用立体观察的理论来判断影响因素,从企业所处的商业环境、条件到经营方式和管理机制等构成控制结构的内外部各个方面来分析评估审计的风险水平,并把客户的经营风险植入到本身的风险评价中去。此外还有一个特点就是,明确确认在为审计测试选择一个样本,企业开展业务的商业环境,对报表余额的真实性和公允性给予审计评价等都可能存在风险,并把这种意识贯穿到审计的全过程,从而在审计过程中把重点放在审计风险的评估上,并通过各种审计程序的设计和执行,把审计风险降低到注册会计师可以接受的水平。
风险基础审计的思想基础主要运用了我国的孙子兵法中诸如“凡事予则立”、“仗不打就赢”等思想,即由上而下,由宏观而微观,用评估的方式对财务报表加以评价,预先决定客户的重大性范围和目标。在具体审计时,它把审计基础工作大量地放在对客户营业过程的调查,对内部控制要素进行控制测试,并对财务报表和客户的操作程序、审计环境等进行科学分析、判断上,从而使期末需要审查的结果,在期初和期中得到判断。也就是说,通过了解、观察、分析、评估来确定审计的范围和重点,做到仗还未打,已有八分胜券。这也是风险基础审计能有效降低审计风险的原因所在。
二、风险因素分析
注册会计师要想明了审计活动所面临的全部风险,首要任务便是寻找与审计自身活动和环境相联系的风险因素。这点在目前并没有得到应有的认识,在现时证券市场发展阶段,注册会计师也不会去假设这种责任。因此,大多数注册会计师对引发审计风险的因素缺乏了解。但证券市场已发生的多起审计案件应当使我们警醒。注册会计师必须明了可能导致风险的各种因素,以使制订的审计计划更为有效,这样的审计结论更为可靠。除了遵循职业道德、审计技术和方法外,注册会计师还必须关注以下可能导致审计失败的因素:
1.关于企业所在行业的因素。主要有:(1)竞争激烈的行业;(2)迅速增长的行业,如高新技术产业;(3)大量营业失败存在并且衰退的行业;(4)国家化趋势的行业;(5)政治、环境或其他原因导致的行业法律限制(如扩张限制、生产限制)。
2.关于企业所在地区的因素。主要有:(1)处于政治不稳定性的地区;(2)在有贸易限制或有争议的国家或地区有大量的销售或其他活动;(3)缺乏适当的交通设施的地区。
3.与员工、组织机构和经营方式有关的因素。主要有:(1)专制的高级管理人员、无效的董事会或审计委员会;(2)管理人员行为超出重要内部控制的可能性;(3)存在与报告业绩或与某一明确的高级管理人员有权控制的业务有关的分红报酬;(4)高级管理人员财务困难的可能性;(5)重要的诉讼,特别是在股东和管理人员之间的;(6)极其乐观的盈利预测;(7)复杂的公司结构,这种复杂性与公司的经营或规模明显不匹配;(8)极度分散管理加上极其分散的经营地点;(9)低下的人事制度,要求超时工作或取消假日;(10)财务总监或董事等主要财务岗位人员的变动太频繁;(11)经常更换注册会计师或律师;(12)内部控制存在重要弱点,这个弱点可以纠正但未纠正;(13)无法得到弥补的非法行为或其它违规事项;(14)与关联方存在重要的交易或存在可能涉及到关联方利益的业务;(15)律师、顾问、中间人和其他人提供了普通服务,但给予的报酬却很高;(16)难以获取与下列事项有关的证据:①异常的或未解释分录;②不完全或遗漏的凭证和授权;③凭证或账户更改;(17)存在未预料到的审计问题,例如:①客户要求在极短的时间内或困难条件下完成审计;②突然拖延;③管理人员对注册会计师的询问不作回答或作不切实际的回答;(18)同行业其他公司最近披露的非法或有问题的事项;(19)售给外国政府的大额业务的存在;(20)对外国的销售价格或佣金远远高于本国的销售;(21)销售折扣在客户所在国外支付;(22)存在未经营的子公司,秘密银行账户或其他秘密基金;(23)罢工和封锁的风险。
4.关于盈利和经营预测的因素。主要有:(1)销售数量或质量的下降(例如信用风险增加,以成本或低于成本价销售,较低的边际利润);(2)经营业务的重大变化;(3)对单个或极少数产品、客户或业务的依赖;(4)缺少产品开发;(5)生产能力严重过剩;(6)不切实际的生产目标;(7)生产设备更新慢、折旧率低;(8)分析性复核揭示的重大波动,这种波动无法得到合理解释,例如:①异常的账户金额;②实际存货数量异常变动;③异常的存货周转率;(9)年末金额大的或异常的业务,这种业务对盈利有重要影响。
5.关于资产的因素。主要有:(1)资产价值的下降;(2)缺乏必要的安全措施。
6.关于流动性和融资的因素。主要有:(1)没有足够的现金流量;(2)缺乏营运资本;(3)在诸如营运资本比率等方面的借款规定中缺乏弹性;(4)缺乏权益资本;(5)获取新的资本困难(例如由于股权、法律条款等的原因)。
7.关于未预料损失的因素。引起这些损失的原因主要有:(1)购买和销售合同;(2)合同的补充条款;(3)担保合同;(4)生产授权;(5)租赁合同;(6)外汇交易;(7)保险保障。
在审计规划阶段,通过对行业与企业经营环境的研究及分析性测试等程序的应用,注册会计师应该设法识别出所有能指出重大审计风险的标志(warning signs)。注册会计师对这些因素的分析应归入永久性审计工作底稿,因为这些因素的分析对重大性的估计及审计程序的设计会产生重大的影响。如何分析这些因素、通过何种方法来分析取得的资料并确保所有的风险因素在审计计划阶段得到考虑,是注册会计师应认真解决的问题。不过,客户存在上述风险因素,并不意味着该客户不可审计,而是给注册会计师一种提醒的作用,要对客户发表非标准无保留意见审计报告。在西方,各大会计师事务所将这些风险因素列为矩阵的形式,在矩阵上排列出风险因素和分析这些风险因素的资料来源。至于列多少风险因素,各个会计师事务所是不一样的。
三、风险基础审计的基本程序
风险基础审计的特点表明,审计程序设计和执行恰当与否,对审计风险的控制有着重要的意义。恰当的审计程序有助于审计工作循序渐进、有条不紊地达到审计目的。在实务中,为了使审计工作做得更为细致,并能关注审计重要领域,风险基础审计的程序可分为以下五个阶段:
第一阶段:通过调查、了解、分析、评估等方法执行一般规划并确认重要的审计领域,识别重要的风险领域。目的是评估固有风险,确认重要的审计范围。一般在审计计划开始时进行。具体内容为:明确客户服务及其他规划目标;取得或更新对客户业务与产业的了解;执行全面控制环境的评估;对重大性作初步判断;决定要审查的重要账户;确认影响这些账户的资料来源;编制审计计划。
第二阶段:了解和评估重要的资料来源。目的是寻找并确定控制弱点。一般在期中审计时进行。具体内容是:确认重要的估计和资料过程;对各项过程取得了解;考虑何处可能出错;确认与评估相关的控制。
第三阶段:执行初步风险评估,即固有风险和控制风险的联合。目的是通过风险评估,选择可靠的、有效益的、有效果的审计查核程序。即首先考虑固有风险,再对控制风险作出初步评估。在对控制有效或无效作出判断时,主要是对客户管理意识、控制措施及控制品质、控制程序设计本身是否严密,分工分职是否良好作出判断。如果有效,则进一步对可依赖程度和发生重大审计错误的可能性作出判断。在此基础上再评估审计发生错误的可能性,并确定审计查核方法。这主要在审计中期完成。具体内容包括:确认重要的作业和交易;了解重要交易之流程,绘制流程图;研究判断错误可能发生的所在,一要辨认流程中的关键环节,二要把控制目标与流程中的重要环节串联,三要确认交易流程中可能发生的错误,辨认及了解预防控制及侦测控制,初步评估控制风险。
第四阶段:拟定与执行审计计划,通过实施审计获取审计证据。具体内容如下:根据评估作出的不同的风险程度,为每一类重要认定拟定不同的查核方法;拟定审计程序以供控制测试及实质性测试之用;执行内部控制测试;根据测试结果最终评估控制风险;根据所确定的察觉风险水平的高低,执行实质性测试。
第五阶段:作出审计报告,即执行全面评估,将审计结论形成书面文件。
以上五个阶段中,前三个阶段主要通过了解、观察、分析、评估来确定审计的范围和重点,选择适当的审计程序和方法。做到仗未打,已有八分胜券,这也是风险基础审计模式的精髓。由此可以看出,虽然风险基础审计与制度基础审计在许多程序上有着相同之处,但风险基础审计是将客户置于一个大的经济环境中,从企业所处的商业环境、条件到经营方式和管理机制等内外两个方面来分析评估,全方位地判断影响因素。另外,由于企业经营产生的风险,会对审计产生影响,所以经营风险也是注册会计师必须考虑的因素之一。显然,风险基础审计所涉及的范围就比制度基础审计为宽,也更符合现代审计所处的社会环境。
四、风险基础审计的基本方法
风险基础审计这一方法模式得以产生并被越来越多的会计师事务所用于审计实践中去,说明风险基础审计是行之有效的,能满足注册会计师降低审计成本的需要和缩小期望差。以下具体讨论五种基本方法。
1.审计风险评估
风险基础审计是以审计风险评估为中心的,审计风险的评估贯穿了审计整个过程。注册会计师希望在公布已审计会计报表的结论之前将审计风险降到最低,以维持其结论的正确性。进行审计时,注册会计师最关键的是要按审计程序执行,以便把审计风险降到最低。审计程序的性质很重要,对于特定的账户,确认使用适当的审计程序工作效率会更高。在不同条件下选择不同审计程序,可采用以下两种方法:(1)确保项目的固有属性和内部控制结构,使错误评估会计报表的风险最低而设计审计程序;(2)为直接证实一个项目,可以使注册会计师有确切把握将该领域的重大错报查出而设计审计程序。注册会计师可以同时使用以上两种审计程序。
审计风险是固有风险、控制风险和察觉风险的结合。注册会计师不能改变固有风险。为了完成审计,注册会计师必须减少其他两种风险。注册会计师若了解控制环境、会计制度及控制程序,并能检查其效能,则可获得控制风险估计水平减少的证据。若证据显示有效,则控制风险可减低。若控制有问题,则控制风险相应增高。若想减少察觉风险,可通过有效地检查账户余额细目或其他程序来实现。
2.分析性测试(Analytical Test)
分析性测试是以财务资料及非财务资料之间的表面关系或可预测的关系,评估财务信息,分析财务信息的合理性。使用分析性测试的前提条件是公司的账户要基本可靠。这种方法能够较全面地分析比较,它要以当年余额与全年预算做比较;以毛利率或其他财务比率与去年相比;要与同行业相比。所以,使用这种方法能收到多方面的效果:它取代其他实质性测试的功效,它所揭示出来的差异,可起到“红旗”(red flag)的作用,引起注册会计师的注意;辅助审计结论;提高审计效率;降低审计风险。分析性测试与审计各个阶段密切相关,在审计计划阶段,进行内部控制测试时,不可缺少地要用到分析性测试,如审计调查时对会计报表的初步了解,利用一些指标的分析可帮助注册会计师评价审计风险的程度,提高注册会计师对企业经营业务的理解和识别风险区域。在审计实施进程中,首先要对全部账户进行广泛的分析性测试,以缩小详细测试的范围;在审计报告阶段,结束审计之前,注册会计师应对会计报表的总体内容作最后的分析,以发现那些具体抽查中未予发现的问题。
利用分析性测试可发现“可能”存在的重大舞弊或差错,可发现一些异常情况,然后通过对这些异常情况的查证,就能“合理地保证”会计报表不被严重歪曲,“合理地保证”揭露重大舞弊或差错。分析性测试的有效性是由分析方法的基本原理决定的,通过研究财务数据或非财务数据之间存在的相互关系来判断数据本身的正确性和正常性。例如,根据会计复式记账的原理,就能判断出销售收入和应收账款的发生额是否正常,如果销售收入很高,而应收账款借方发生额较低,则其中必定存在问题,或账务处理的差错或蓄意舞弊。因此和其他方法相比,它根据各种数据中的相互关系,通过比率分析、趋势分析等各种指标更能发现异常情况。分析性测试所使用的分析方法可从简单的比较方法到复杂的数理统计方法,它所使用的分析指标可以是绝对数指标,如单位成本比较分析、年销售额比较分析等,也可以是相对数指标,如销售利润率、投入产出率等。所有分析性测试,包括账面的余额或比率与预期指标进行比较,而预期指标则根据数据之间相互关系以及注册会计师对客户及其所在行业的熟悉程度来决定的。决定预期指标的信息一般包括:(1)当前的可比财务信息(考虑本期已知的变化);(2)预见的成果,例如从中期或年末数据中推知的预见数;(3)当期财务信息要素之间的相互关系;(4)有关客户同行业的信息;(5)财务信息与非财务信息之间的相互关系等等。
3.控制测试(tests of controls)
控制测试是在内部控制结构了解的基础上,为了确定内部控制结构政策和程序的设计和执行是否有效(即效果好坏)而实施的审计程序。目的在于通过对内部控制要素进行评价以确定控制风险。控制测试的产生与内部控制结构概念的建立以及对符合性测试(compliance test)的重新认识有关。“内部控制结构”取代原来的“内部控制制度”并不是在玩弄名词游戏,而是现代审计环境影响的结果。从审计的角度来看,一个企业的内部控制结构由控制环境、会计制度和控制程序三个要素组成。现代审计对内部控制的研究和评价范围已不再像以前那样只囿于内部会计控制,它已发展到了对控制环境的审查,以便于控制风险的确定,特别是要评价那些对财务报告的真实性有重大影响的重大差错或非法行为失控的风险。
对内部控制要素进行控制测试的程序有以下四种:(1)“询问”客户负责执行某项工作职责的有关人员;(2)“观察”客户工作人员实际履行这项工作职责的实际情况;(3)“审查”反映这项工作职责履行情况的凭证和报告;(4)“重新执行”这项控制。控制测试的范围取决于期望的估计控制风险实际水平(intended assessed leve lof control risk)。注册会计师如果要求较低的估计控制风险水平,则无论从测试控制的数量来说,还是从每项控制测试的范围来说,都要采用较大的样本量来执行审查、观察和重做等程序。
4.交易业务实质性测试(substantive test of transactions)
交易业务实质性测试涉及会计系统特定种类交易的处理,通常针对主要交易类别而言。目的是决定客户的会计交易是否经过恰当的审批,在日记账中是否正确记录和汇总,是否正确地过入明细分类账和总分类账。交易业务实质性测试主要关注账户的借贷方发生的金额。无论是在期中还是期末执行,都必须在余额细节测试前来实施。因为交易业务的实质性测试通常和余额细节测试的计划同时进行。
从理论上讲,如果早期已经测试了期初余额,通过资产负债表账户余额的细节测试来间接测试主要交易类别是可行的。无论交易业务的类别测试是控制测试、实质性测试或是双重目的测试,注册会计师的基本目标都是相同的,即对特定种类交易处理的可靠性和真实性提供合理保证,以减少余额细节测试。
交易业务实质性测试的基本做法通常要考虑控制程序,即:(1)确定交易业务流程的四大环节,即交易发生→原始单据→日记账及明细帐→总账。(2)记录编制交易流程图:①要辨明重要环节;②辨明重要路径中的其他环节;③绘制流程图。流程图的编制通常与控制测试一致,所以有时又称为双重目的的测试。(3)确认可能错误的步骤:①辨认交易流程中的重要环节;②把控制目标和流程重要环节串联;③确认交易流程中的可能发生的错误。这可与控制测试同时进行。(4)确认账户测试的性质、时间和范围。基于对内部控制要素的了解,注册会计师应确认是否存在为实现控制目标提供合理保证的内部控制政策和程序。如果存在,则注册会计师为测试这些功能所设计的测试通常与控制测试一起进行。如果不存在这些测试,则将进行余额细节测试。
5.余额细节测试
余额细节测试是直接获得有关账户余额的证据,而不是从构成余额的单个借贷发生项目取得证据。它为余额真实性、恰当性提供合理保证,或确认出其中的货币性误差。注册会计师最终目标是对由账户余额组成的会计报表发表意见。无论采取什么策略,注册会计师都要广泛使用余额细节测试。在小型企业的审计中,许多注册会计师几乎完全单独依靠余额的直接测试。比如,注册会计师可向银行函证银行存款余额,也可向顾客函证应收账款余额。注册会计师还可以审查固定资产的余额,观察客户存货盘点和执行期末存货价格测试来获取有关余额的证据。
余额细节测试不同于交易业务实质性测试。余额细节测试涉及交易类别,如收取现金,并且可能是实质性测试、控制测试或双重目的测试。账户余额和交易是相关的,注册会计师需要对账户余额和交易类别的审计程序作出协调。在设计具体项目的余额细节测试时,其性质、时间和范围要考虑的因素是:(1)会计报表的项目和审计目标的性质;(2)项目余额的重要性水平;(3)项目余额的审计风险水平;(4)审计测试的效率。
五、风险基础审计和制度基础审计的差别
从以上分析可以看出,与账项基础审计、制度基础审计相比,风险基础审计具有下述特征:
1.风险基础审计属于开放式模型。注册会计师在开始一项审计项目时,必须首先评估审计风险,并把它作为审计质量要求的出发点和归宿点,作为过程控制的依据。而审计风险水平的确定,必须研究谁使用审计报告、用途是什么,即要研究社会和客户的需要(期望)。注册会计师与社会、客户这方面的沟通,是合理确定审计目标的前提。注册会计师应从可审计领域中选择风险较大、问题较多的领域进行审计。而账项基础审计和制度基础审计均忽略了审计目的与手段之间内在联系,因而难免出现过度审计或审计不足的问题。
2.风险基础审计符合人们的认识规律。审计过程是注册会计师不断加深对客户的认识过程。注册会计师从某种假定出发(如企业财务报表可以公允地反映其财务状况、经营成果和现金流量),通过调查了解、收集证据,从各个角度逐步地验证假定,最终以合理地保证确认假定是否正确,形成审计意见。客观地讲,注册会计师的认识过程应该是一个由表及里、逐步深入的过程,风险基础审计模型合理地体现了这个过程。它先从外部一个整体来判断企业的状况,再由表及里。而账项基础审计和制度基础审计则往往使注册会计师只注意局部而忘记了整体,除非注册会计师具备把握重点的超常能力,否则审计质量难以得到可靠保障。
3.风险基础审计注重在保证质量的前提下提高效率。在风险基础审计模式中,对客户的了解,对内部控制的研究与评价,分析性测试均属于效率较高的审计手续,可以有效地降低审计风险并有效地减少效率较低的细节测试工作。而在账项基础审计和制度基础审计中,分析性测试均没有得到充分的重视与利用。
4.风险基础审计能够满足审计目标不断演变的需要。如前所述,风险基础审计属于开放式模型,这不仅体现在具体单个项目上与客户的相互沟通,而且从更高层次上讲,还反映在宏观上审计目标的不断演变方面。发达国家注册会计师年度财务报表审计的风险大致可以分为三类:误报(misstatement)、违法舞弊(fraud)和经营失败(business failure)。依据风险基础审计模式组织审计工作,可有效地兼顾这三个方面,而采用账项基础审计和制度基础审计方法则很难有效地规避这些风险。
六、我国应如何推广实施风险基础审计
风险基础审计模式是在西方发达国家产生和发展起来的。但我们不能以经济发展水平和注册会计师行业发展水平的不同而否定该模式。我国要发展和完善的是市场经济,证券市场经过十多年的发展也有一定的规模。与世界发展的潮流相适应,中国注册会计师协会颁布的独立审计准则中,有几个具体审计准则已初步体现了风险基础审计的要求,如独立审计准则第8号《错误与舞弊》、第9号《内部控制与审计风险》、第17号《持续经营》等所要求的审计事项。也有不少会计师事务所在借鉴国际"五大"成熟经验的基础上,已开发出了以风险评价为中心的审计程序。然而,在实践中,由于整个审计准则的导向是以制度评价为基础的,大多数注册会计师基本上仍按照账项基础审计模式操作,即把审计的主要精力放在具体交易事项或期末余额的细节测试。总体上,大多数的会计师事务所尚未开发出以风险评价为中心的审计程序,风险基础审计的思路基本上没有在实践中得到体现。研究其中的原因,主要是行业对这一现代审计模式的认识不够,审计思路未转换过来。当然,在我国全面推广这一审计模式,就要通过大规模的培训,使注册会计师理解这一模式。尽管如此,我们认为,在现阶段我国仍可实施风险基础审计模式。关键在于如何调整审计思路,并将各种注册会计师已非常熟悉的技术有机结合在一起。如要充分重视对客户情况的了解,扩展审计证据范围;有效利用内控评价结果,合理选择测试性质、时间与范围;充分利用分析性测试,科学地把握审计质量;合理确定细节测试的性质、范围、时间和抽样方法,改善证据的客观性;积极运用电脑技术,提高审计工作水平。
应用风险基础审计,还需要在接受审计项目时即考虑审计风险问题,研究审计报告的使用者及使用的目的,还应该将审计风险与重要性水平的确定联系在一起。许多具体应用中的问题也还有待于实践中进一步探索解决的办法。但是,只要广大注册会计师能够真正转变观念,切实开始按照风险基础审计的思路组织审计工作,就一定会带动我国审计实践及注册会计师事业更快发展,风险基础审计也一定会在积极的实践探索中更加完善。
一、风险基础审计的思想基础
风险基础审计是一种有别于账项基础审计和制度基础审计的审计模式。它以量化的风险水平为重点,在确定的风险水平基础上,决定实质性测试的程度和范围。这一方法模式最显著的特点是,将客户置于一个大的经济环境中,运用立体观察的理论来判断影响因素,从企业所处的商业环境、条件到经营方式和管理机制等构成控制结构的内外部各个方面来分析评估审计的风险水平,并把客户的经营风险植入到本身的风险评价中去。此外还有一个特点就是,明确确认在为审计测试选择一个样本,企业开展业务的商业环境,对报表余额的真实性和公允性给予审计评价等都可能存在风险,并把这种意识贯穿到审计的全过程,从而在审计过程中把重点放在审计风险的评估上,并通过各种审计程序的设计和执行,把审计风险降低到注册会计师可以接受的水平。
风险基础审计的思想基础主要运用了我国的孙子兵法中诸如“凡事予则立”、“仗不打就赢”等思想,即由上而下,由宏观而微观,用评估的方式对财务报表加以评价,预先决定客户的重大性范围和目标。在具体审计时,它把审计基础工作大量地放在对客户营业过程的调查,对内部控制要素进行控制测试,并对财务报表和客户的操作程序、审计环境等进行科学分析、判断上,从而使期末需要审查的结果,在期初和期中得到判断。也就是说,通过了解、观察、分析、评估来确定审计的范围和重点,做到仗还未打,已有八分胜券。这也是风险基础审计能有效降低审计风险的原因所在。
二、风险因素分析
注册会计师要想明了审计活动所面临的全部风险,首要任务便是寻找与审计自身活动和环境相联系的风险因素。这点在目前并没有得到应有的认识,在现时证券市场发展阶段,注册会计师也不会去假设这种责任。因此,大多数注册会计师对引发审计风险的因素缺乏了解。但证券市场已发生的多起审计案件应当使我们警醒。注册会计师必须明了可能导致风险的各种因素,以使制订的审计计划更为有效,这样的审计结论更为可靠。除了遵循职业道德、审计技术和方法外,注册会计师还必须关注以下可能导致审计失败的因素:
1.关于企业所在行业的因素。主要有:(1)竞争激烈的行业;(2)迅速增长的行业,如高新技术产业;(3)大量营业失败存在并且衰退的行业;(4)国家化趋势的行业;(5)政治、环境或其他原因导致的行业法律限制(如扩张限制、生产限制)。
2.关于企业所在地区的因素。主要有:(1)处于政治不稳定性的地区;(2)在有贸易限制或有争议的国家或地区有大量的销售或其他活动;(3)缺乏适当的交通设施的地区。
3.与员工、组织机构和经营方式有关的因素。主要有:(1)专制的高级管理人员、无效的董事会或审计委员会;(2)管理人员行为超出重要内部控制的可能性;(3)存在与报告业绩或与某一明确的高级管理人员有权控制的业务有关的分红报酬;(4)高级管理人员财务困难的可能性;(5)重要的诉讼,特别是在股东和管理人员之间的;(6)极其乐观的盈利预测;(7)复杂的公司结构,这种复杂性与公司的经营或规模明显不匹配;(8)极度分散管理加上极其分散的经营地点;(9)低下的人事制度,要求超时工作或取消假日;(10)财务总监或董事等主要财务岗位人员的变动太频繁;(11)经常更换注册会计师或律师;(12)内部控制存在重要弱点,这个弱点可以纠正但未纠正;(13)无法得到弥补的非法行为或其它违规事项;(14)与关联方存在重要的交易或存在可能涉及到关联方利益的业务;(15)律师、顾问、中间人和其他人提供了普通服务,但给予的报酬却很高;(16)难以获取与下列事项有关的证据:①异常的或未解释分录;②不完全或遗漏的凭证和授权;③凭证或账户更改;(17)存在未预料到的审计问题,例如:①客户要求在极短的时间内或困难条件下完成审计;②突然拖延;③管理人员对注册会计师的询问不作回答或作不切实际的回答;(18)同行业其他公司最近披露的非法或有问题的事项;(19)售给外国政府的大额业务的存在;(20)对外国的销售价格或佣金远远高于本国的销售;(21)销售折扣在客户所在国外支付;(22)存在未经营的子公司,秘密银行账户或其他秘密基金;(23)罢工和封锁的风险。
4.关于盈利和经营预测的因素。主要有:(1)销售数量或质量的下降(例如信用风险增加,以成本或低于成本价销售,较低的边际利润);(2)经营业务的重大变化;(3)对单个或极少数产品、客户或业务的依赖;(4)缺少产品开发;(5)生产能力严重过剩;(6)不切实际的生产目标;(7)生产设备更新慢、折旧率低;(8)分析性复核揭示的重大波动,这种波动无法得到合理解释,例如:①异常的账户金额;②实际存货数量异常变动;③异常的存货周转率;(9)年末金额大的或异常的业务,这种业务对盈利有重要影响。
5.关于资产的因素。主要有:(1)资产价值的下降;(2)缺乏必要的安全措施。
6.关于流动性和融资的因素。主要有:(1)没有足够的现金流量;(2)缺乏营运资本;(3)在诸如营运资本比率等方面的借款规定中缺乏弹性;(4)缺乏权益资本;(5)获取新的资本困难(例如由于股权、法律条款等的原因)。
7.关于未预料损失的因素。引起这些损失的原因主要有:(1)购买和销售合同;(2)合同的补充条款;(3)担保合同;(4)生产授权;(5)租赁合同;(6)外汇交易;(7)保险保障。
在审计规划阶段,通过对行业与企业经营环境的研究及分析性测试等程序的应用,注册会计师应该设法识别出所有能指出重大审计风险的标志(warning signs)。注册会计师对这些因素的分析应归入永久性审计工作底稿,因为这些因素的分析对重大性的估计及审计程序的设计会产生重大的影响。如何分析这些因素、通过何种方法来分析取得的资料并确保所有的风险因素在审计计划阶段得到考虑,是注册会计师应认真解决的问题。不过,客户存在上述风险因素,并不意味着该客户不可审计,而是给注册会计师一种提醒的作用,要对客户发表非标准无保留意见审计报告。在西方,各大会计师事务所将这些风险因素列为矩阵的形式,在矩阵上排列出风险因素和分析这些风险因素的资料来源。至于列多少风险因素,各个会计师事务所是不一样的。
三、风险基础审计的基本程序
风险基础审计的特点表明,审计程序设计和执行恰当与否,对审计风险的控制有着重要的意义。恰当的审计程序有助于审计工作循序渐进、有条不紊地达到审计目的。在实务中,为了使审计工作做得更为细致,并能关注审计重要领域,风险基础审计的程序可分为以下五个阶段:
第一阶段:通过调查、了解、分析、评估等方法执行一般规划并确认重要的审计领域,识别重要的风险领域。目的是评估固有风险,确认重要的审计范围。一般在审计计划开始时进行。具体内容为:明确客户服务及其他规划目标;取得或更新对客户业务与产业的了解;执行全面控制环境的评估;对重大性作初步判断;决定要审查的重要账户;确认影响这些账户的资料来源;编制审计计划。
第二阶段:了解和评估重要的资料来源。目的是寻找并确定控制弱点。一般在期中审计时进行。具体内容是:确认重要的估计和资料过程;对各项过程取得了解;考虑何处可能出错;确认与评估相关的控制。
第三阶段:执行初步风险评估,即固有风险和控制风险的联合。目的是通过风险评估,选择可靠的、有效益的、有效果的审计查核程序。即首先考虑固有风险,再对控制风险作出初步评估。在对控制有效或无效作出判断时,主要是对客户管理意识、控制措施及控制品质、控制程序设计本身是否严密,分工分职是否良好作出判断。如果有效,则进一步对可依赖程度和发生重大审计错误的可能性作出判断。在此基础上再评估审计发生错误的可能性,并确定审计查核方法。这主要在审计中期完成。具体内容包括:确认重要的作业和交易;了解重要交易之流程,绘制流程图;研究判断错误可能发生的所在,一要辨认流程中的关键环节,二要把控制目标与流程中的重要环节串联,三要确认交易流程中可能发生的错误,辨认及了解预防控制及侦测控制,初步评估控制风险。
第四阶段:拟定与执行审计计划,通过实施审计获取审计证据。具体内容如下:根据评估作出的不同的风险程度,为每一类重要认定拟定不同的查核方法;拟定审计程序以供控制测试及实质性测试之用;执行内部控制测试;根据测试结果最终评估控制风险;根据所确定的察觉风险水平的高低,执行实质性测试。
第五阶段:作出审计报告,即执行全面评估,将审计结论形成书面文件。
以上五个阶段中,前三个阶段主要通过了解、观察、分析、评估来确定审计的范围和重点,选择适当的审计程序和方法。做到仗未打,已有八分胜券,这也是风险基础审计模式的精髓。由此可以看出,虽然风险基础审计与制度基础审计在许多程序上有着相同之处,但风险基础审计是将客户置于一个大的经济环境中,从企业所处的商业环境、条件到经营方式和管理机制等内外两个方面来分析评估,全方位地判断影响因素。另外,由于企业经营产生的风险,会对审计产生影响,所以经营风险也是注册会计师必须考虑的因素之一。显然,风险基础审计所涉及的范围就比制度基础审计为宽,也更符合现代审计所处的社会环境。
四、风险基础审计的基本方法
风险基础审计这一方法模式得以产生并被越来越多的会计师事务所用于审计实践中去,说明风险基础审计是行之有效的,能满足注册会计师降低审计成本的需要和缩小期望差。以下具体讨论五种基本方法。
1.审计风险评估
风险基础审计是以审计风险评估为中心的,审计风险的评估贯穿了审计整个过程。注册会计师希望在公布已审计会计报表的结论之前将审计风险降到最低,以维持其结论的正确性。进行审计时,注册会计师最关键的是要按审计程序执行,以便把审计风险降到最低。审计程序的性质很重要,对于特定的账户,确认使用适当的审计程序工作效率会更高。在不同条件下选择不同审计程序,可采用以下两种方法:(1)确保项目的固有属性和内部控制结构,使错误评估会计报表的风险最低而设计审计程序;(2)为直接证实一个项目,可以使注册会计师有确切把握将该领域的重大错报查出而设计审计程序。注册会计师可以同时使用以上两种审计程序。
审计风险是固有风险、控制风险和察觉风险的结合。注册会计师不能改变固有风险。为了完成审计,注册会计师必须减少其他两种风险。注册会计师若了解控制环境、会计制度及控制程序,并能检查其效能,则可获得控制风险估计水平减少的证据。若证据显示有效,则控制风险可减低。若控制有问题,则控制风险相应增高。若想减少察觉风险,可通过有效地检查账户余额细目或其他程序来实现。
2.分析性测试(Analytical Test)
分析性测试是以财务资料及非财务资料之间的表面关系或可预测的关系,评估财务信息,分析财务信息的合理性。使用分析性测试的前提条件是公司的账户要基本可靠。这种方法能够较全面地分析比较,它要以当年余额与全年预算做比较;以毛利率或其他财务比率与去年相比;要与同行业相比。所以,使用这种方法能收到多方面的效果:它取代其他实质性测试的功效,它所揭示出来的差异,可起到“红旗”(red flag)的作用,引起注册会计师的注意;辅助审计结论;提高审计效率;降低审计风险。分析性测试与审计各个阶段密切相关,在审计计划阶段,进行内部控制测试时,不可缺少地要用到分析性测试,如审计调查时对会计报表的初步了解,利用一些指标的分析可帮助注册会计师评价审计风险的程度,提高注册会计师对企业经营业务的理解和识别风险区域。在审计实施进程中,首先要对全部账户进行广泛的分析性测试,以缩小详细测试的范围;在审计报告阶段,结束审计之前,注册会计师应对会计报表的总体内容作最后的分析,以发现那些具体抽查中未予发现的问题。
利用分析性测试可发现“可能”存在的重大舞弊或差错,可发现一些异常情况,然后通过对这些异常情况的查证,就能“合理地保证”会计报表不被严重歪曲,“合理地保证”揭露重大舞弊或差错。分析性测试的有效性是由分析方法的基本原理决定的,通过研究财务数据或非财务数据之间存在的相互关系来判断数据本身的正确性和正常性。例如,根据会计复式记账的原理,就能判断出销售收入和应收账款的发生额是否正常,如果销售收入很高,而应收账款借方发生额较低,则其中必定存在问题,或账务处理的差错或蓄意舞弊。因此和其他方法相比,它根据各种数据中的相互关系,通过比率分析、趋势分析等各种指标更能发现异常情况。分析性测试所使用的分析方法可从简单的比较方法到复杂的数理统计方法,它所使用的分析指标可以是绝对数指标,如单位成本比较分析、年销售额比较分析等,也可以是相对数指标,如销售利润率、投入产出率等。所有分析性测试,包括账面的余额或比率与预期指标进行比较,而预期指标则根据数据之间相互关系以及注册会计师对客户及其所在行业的熟悉程度来决定的。决定预期指标的信息一般包括:(1)当前的可比财务信息(考虑本期已知的变化);(2)预见的成果,例如从中期或年末数据中推知的预见数;(3)当期财务信息要素之间的相互关系;(4)有关客户同行业的信息;(5)财务信息与非财务信息之间的相互关系等等。
3.控制测试(tests of controls)
控制测试是在内部控制结构了解的基础上,为了确定内部控制结构政策和程序的设计和执行是否有效(即效果好坏)而实施的审计程序。目的在于通过对内部控制要素进行评价以确定控制风险。控制测试的产生与内部控制结构概念的建立以及对符合性测试(compliance test)的重新认识有关。“内部控制结构”取代原来的“内部控制制度”并不是在玩弄名词游戏,而是现代审计环境影响的结果。从审计的角度来看,一个企业的内部控制结构由控制环境、会计制度和控制程序三个要素组成。现代审计对内部控制的研究和评价范围已不再像以前那样只囿于内部会计控制,它已发展到了对控制环境的审查,以便于控制风险的确定,特别是要评价那些对财务报告的真实性有重大影响的重大差错或非法行为失控的风险。
对内部控制要素进行控制测试的程序有以下四种:(1)“询问”客户负责执行某项工作职责的有关人员;(2)“观察”客户工作人员实际履行这项工作职责的实际情况;(3)“审查”反映这项工作职责履行情况的凭证和报告;(4)“重新执行”这项控制。控制测试的范围取决于期望的估计控制风险实际水平(intended assessed leve lof control risk)。注册会计师如果要求较低的估计控制风险水平,则无论从测试控制的数量来说,还是从每项控制测试的范围来说,都要采用较大的样本量来执行审查、观察和重做等程序。
4.交易业务实质性测试(substantive test of transactions)
交易业务实质性测试涉及会计系统特定种类交易的处理,通常针对主要交易类别而言。目的是决定客户的会计交易是否经过恰当的审批,在日记账中是否正确记录和汇总,是否正确地过入明细分类账和总分类账。交易业务实质性测试主要关注账户的借贷方发生的金额。无论是在期中还是期末执行,都必须在余额细节测试前来实施。因为交易业务的实质性测试通常和余额细节测试的计划同时进行。
从理论上讲,如果早期已经测试了期初余额,通过资产负债表账户余额的细节测试来间接测试主要交易类别是可行的。无论交易业务的类别测试是控制测试、实质性测试或是双重目的测试,注册会计师的基本目标都是相同的,即对特定种类交易处理的可靠性和真实性提供合理保证,以减少余额细节测试。
交易业务实质性测试的基本做法通常要考虑控制程序,即:(1)确定交易业务流程的四大环节,即交易发生→原始单据→日记账及明细帐→总账。(2)记录编制交易流程图:①要辨明重要环节;②辨明重要路径中的其他环节;③绘制流程图。流程图的编制通常与控制测试一致,所以有时又称为双重目的的测试。(3)确认可能错误的步骤:①辨认交易流程中的重要环节;②把控制目标和流程重要环节串联;③确认交易流程中的可能发生的错误。这可与控制测试同时进行。(4)确认账户测试的性质、时间和范围。基于对内部控制要素的了解,注册会计师应确认是否存在为实现控制目标提供合理保证的内部控制政策和程序。如果存在,则注册会计师为测试这些功能所设计的测试通常与控制测试一起进行。如果不存在这些测试,则将进行余额细节测试。
5.余额细节测试
余额细节测试是直接获得有关账户余额的证据,而不是从构成余额的单个借贷发生项目取得证据。它为余额真实性、恰当性提供合理保证,或确认出其中的货币性误差。注册会计师最终目标是对由账户余额组成的会计报表发表意见。无论采取什么策略,注册会计师都要广泛使用余额细节测试。在小型企业的审计中,许多注册会计师几乎完全单独依靠余额的直接测试。比如,注册会计师可向银行函证银行存款余额,也可向顾客函证应收账款余额。注册会计师还可以审查固定资产的余额,观察客户存货盘点和执行期末存货价格测试来获取有关余额的证据。
余额细节测试不同于交易业务实质性测试。余额细节测试涉及交易类别,如收取现金,并且可能是实质性测试、控制测试或双重目的测试。账户余额和交易是相关的,注册会计师需要对账户余额和交易类别的审计程序作出协调。在设计具体项目的余额细节测试时,其性质、时间和范围要考虑的因素是:(1)会计报表的项目和审计目标的性质;(2)项目余额的重要性水平;(3)项目余额的审计风险水平;(4)审计测试的效率。
五、风险基础审计和制度基础审计的差别
从以上分析可以看出,与账项基础审计、制度基础审计相比,风险基础审计具有下述特征:
1.风险基础审计属于开放式模型。注册会计师在开始一项审计项目时,必须首先评估审计风险,并把它作为审计质量要求的出发点和归宿点,作为过程控制的依据。而审计风险水平的确定,必须研究谁使用审计报告、用途是什么,即要研究社会和客户的需要(期望)。注册会计师与社会、客户这方面的沟通,是合理确定审计目标的前提。注册会计师应从可审计领域中选择风险较大、问题较多的领域进行审计。而账项基础审计和制度基础审计均忽略了审计目的与手段之间内在联系,因而难免出现过度审计或审计不足的问题。
2.风险基础审计符合人们的认识规律。审计过程是注册会计师不断加深对客户的认识过程。注册会计师从某种假定出发(如企业财务报表可以公允地反映其财务状况、经营成果和现金流量),通过调查了解、收集证据,从各个角度逐步地验证假定,最终以合理地保证确认假定是否正确,形成审计意见。客观地讲,注册会计师的认识过程应该是一个由表及里、逐步深入的过程,风险基础审计模型合理地体现了这个过程。它先从外部一个整体来判断企业的状况,再由表及里。而账项基础审计和制度基础审计则往往使注册会计师只注意局部而忘记了整体,除非注册会计师具备把握重点的超常能力,否则审计质量难以得到可靠保障。
3.风险基础审计注重在保证质量的前提下提高效率。在风险基础审计模式中,对客户的了解,对内部控制的研究与评价,分析性测试均属于效率较高的审计手续,可以有效地降低审计风险并有效地减少效率较低的细节测试工作。而在账项基础审计和制度基础审计中,分析性测试均没有得到充分的重视与利用。
4.风险基础审计能够满足审计目标不断演变的需要。如前所述,风险基础审计属于开放式模型,这不仅体现在具体单个项目上与客户的相互沟通,而且从更高层次上讲,还反映在宏观上审计目标的不断演变方面。发达国家注册会计师年度财务报表审计的风险大致可以分为三类:误报(misstatement)、违法舞弊(fraud)和经营失败(business failure)。依据风险基础审计模式组织审计工作,可有效地兼顾这三个方面,而采用账项基础审计和制度基础审计方法则很难有效地规避这些风险。
六、我国应如何推广实施风险基础审计
风险基础审计模式是在西方发达国家产生和发展起来的。但我们不能以经济发展水平和注册会计师行业发展水平的不同而否定该模式。我国要发展和完善的是市场经济,证券市场经过十多年的发展也有一定的规模。与世界发展的潮流相适应,中国注册会计师协会颁布的独立审计准则中,有几个具体审计准则已初步体现了风险基础审计的要求,如独立审计准则第8号《错误与舞弊》、第9号《内部控制与审计风险》、第17号《持续经营》等所要求的审计事项。也有不少会计师事务所在借鉴国际"五大"成熟经验的基础上,已开发出了以风险评价为中心的审计程序。然而,在实践中,由于整个审计准则的导向是以制度评价为基础的,大多数注册会计师基本上仍按照账项基础审计模式操作,即把审计的主要精力放在具体交易事项或期末余额的细节测试。总体上,大多数的会计师事务所尚未开发出以风险评价为中心的审计程序,风险基础审计的思路基本上没有在实践中得到体现。研究其中的原因,主要是行业对这一现代审计模式的认识不够,审计思路未转换过来。当然,在我国全面推广这一审计模式,就要通过大规模的培训,使注册会计师理解这一模式。尽管如此,我们认为,在现阶段我国仍可实施风险基础审计模式。关键在于如何调整审计思路,并将各种注册会计师已非常熟悉的技术有机结合在一起。如要充分重视对客户情况的了解,扩展审计证据范围;有效利用内控评价结果,合理选择测试性质、时间与范围;充分利用分析性测试,科学地把握审计质量;合理确定细节测试的性质、范围、时间和抽样方法,改善证据的客观性;积极运用电脑技术,提高审计工作水平。
应用风险基础审计,还需要在接受审计项目时即考虑审计风险问题,研究审计报告的使用者及使用的目的,还应该将审计风险与重要性水平的确定联系在一起。许多具体应用中的问题也还有待于实践中进一步探索解决的办法。但是,只要广大注册会计师能够真正转变观念,切实开始按照风险基础审计的思路组织审计工作,就一定会带动我国审计实践及注册会计师事业更快发展,风险基础审计也一定会在积极的实践探索中更加完善。