期刊在线咨询服务,发表咨询:400-888-9411 订阅咨询:400-888-1571股权代码(211862)
购物车(0)
财务报表风险评估模板(10篇)
财务报表风险评估例1
为了适应经济全球化和审计准则国际趋同的形势,提高CPA以应对审计风险的能力,财政部于2006年2月15日了新的CPA执业准则体系,并于2007年1月1日起施行。执业准则体系中的审计风险准则启用了新的审计风险模型,即:审计风险=重大错报风险×检查风险。该模型引人了“重大错报风险”概念,重大错报风险包括两个层次:财务报表层次和认定层次。其中财务报表层次重大错报风险是指财务报表审计前存在重大错报的可能性。认定层次重大错报风险,是指各类交易、账户余额、列报与披露在审计前存在重大错报的可能性。审计财务报表重大错报风险是财务报表审计程序的重要环节,CPA应注重对财务报表重大错报风险的审计,并根据审计结果采取应对之策,以实现合理保证财务报表不存在重大错报的审计目标。
一、财务报表重大错报风险的识别
注册会计师应根据审计风险准则的要求,识别和评估财务报表重大错报风险,针对评估的认定层次重大错报风险实施进一步审计程序,以将审计风险降至可接受的低水平。
(一)财务报表层次重大错报风险的影响因素
1.经营风险因素。多数经营风险最终都会产生财务后果,从而影响财务报表。注册会计师应当根据被审计单位的具体情况考虑经营风险是否可能导致财务报表发生重大错报。它包括四个层面:一是宏观经济环境。在对审计对象的重大错报风险进行分析的过程中,宏观经济状况是不可或缺的重要风险因素。此外,政府宏观经济政策对那些政策敏感性企业影响较大。二是行业状况。影响被审计单位重大错报风险的行业因素有:(1)行业竞争程度。与充分竞争行业相比,在垄断特征较明显的行业中,被审计单位凭借其垄断地位容易取得定价权并自主调节生产以实现利润最大化,财务报表出现重大错漏报特别是蓄意舞弊的可能性明显要比那些充分竞争的行业低。(2)行业所处的生命周期。处于创立阶段的公司具有粉饰财务报表的动机,因此其重大错报风险较大;而处于成长或成熟阶段的行业,其财务报表出现重大错误或舞弊的可能性不大;至于衰退行业,经营业绩较差,粉饰财务报表的动机比较强烈。三是内部控制制度。审计对象是否建立了合理有效的内部控制制度,对会计信息的质量会产生较大影响。四是会计政策的选择与运用。被审单位重要项目的会计政策、行业惯例和会计处理方法的恰当性,重大和异常交易事项的会计处理方法,重要项目及新领域使用的会计政策,会计政策变更和会计估计变更之处。这些地方如果处理不当就可能使报表有失公允、合法和真实,产生重大错报。
2.战略风险。战略规划在很大程度上决定被审计单位的发展方向、发展步骤和发展策略,甚至决定被审计单位的前途和命运,若不顾被审计单位自身资金、管理者能力等因素的制约而盲目扩大规模、盲目多元化,必然将导致经营失败。
3.财务风险。同行业、同规模被审计单位的财务指标基本相似,因此在对财务报表的重大错报风险进行分析的过程中,需要将被审计单位的财务指标与同行业、同规模的企业进行对比,如果相差悬殊而管理当局的声明又不足以解释这一差异,注册会计师就需要保持合理的职业怀疑态度,提高被审计单位的重大错报风险水平,扩大收集审计证据的数量与质量,以支持其审计结论。
(二)认定层次重大错报风险的影响因素
新的审计风险准则及模型没有单独提到固有风险和控制风险,但指出认定层次的重大错报风险仍由固有风险和控制风险构成。
1.固定风险因素。它主要分为五个方面:(1)较难审查的账户或交易。非常规交易、关联方交易以及这些交易形成的账户存在的错报的可能性较大,在审查这些账户或交易时,对于注册会计师所需的经验判断和技术水平要求较高,应在项目开始前进行仔细审查。(2)重要交易或事项的复杂程度。需要利用专家工作结果予以佐证的重要交易或事项的复杂程度时,重大错报风险通常较大。(3)遭受损失或被盗用的项目。如现金、有价证券、存货等资产具有普遍的吸引力,若缺乏有效的内部控制,容易遭受损失或被挪用,重大错报风险通常较大。(4)运用判断的程度。如对无形资产和递延资产摊销、坏账准备、存货跌价损失、或有负债等的认定存在着大量的估计和判断,出错的概率较大,重大错报风险也相应较大。(5)易漏记的交易和事项。如销售退回及折让、利息的计提、按权益法核算的长期投资及其投资损益等,在正常的会计处理程序中被漏记的可能性较大,重大错报风险比较大。
2.内部控制的可信赖程度。内部控制是由企业治理层、管理层和其他人员设计和执行的政策和程序,用以保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵循。审计对象是否建立了合理有效的内部控制,对会计信息的质量会产生较大影响,影响财务报表重大错报。
财务报表整体层次的重大错报风险的影响因素常导致管理层的财务舞弊行为,为掩盖该舞弊行为,财务报表整体层次的重大错报将传递到认定层次。由于财务报表信息来源于认定层,财务报表认定层的重大错报风险的影响因素导致的重大错报也将传递到整体层。因而,以上两类影响因素共同影响财务报表重大错报风险。
二、财务报表重大错报风险评估
对重大错报风险的识别仅是风险分析的第一步,准确地对风险进行评估才能把握风险控制风险。重大错报风险评估的实质就是找出风险发生的可能性并估计其产生的损失。从审计客体来看,被审计单位的一切经营活动成果和资产负债状况最终都须通过财务报表予以反映。所以,财务报表本身的可靠不仅对是否公允地反映企业的财务状况和经营成果有直接的影响,而且对审计风险也有直接的影响,即不公允可靠的财务报表本身的风险会导致审计失败、审计责任和审计风险。
2)将20%作为临界点的原因:根据审计经验和人们普遍对风险的心理承受能力。
现金流量表中重大错报风险的评估应结合资产负债表和损益表的重大错报风险的评估进行,资产负债表和损益表中的重大错报一般会在现金流量表上反映出来,审计人员可根据对上述两个报表的风险评估大致估计现金流量表的风险水平。
三、设计认定层次重大错报风险的进一步审计程序
CPA应针对认定层次重大错报风险设计进一步审计程序,以将检查风险降到可接受的水平。进一步审计程序是指审计各类交易、账户余额、列报与披露等认定层次重大错报风险时实施的审计程序,包括控制测试和实质性程序。设计进一步审计程序,主要是确定进一步审计程序的性质、时间和范围。
1.确定进一步审计程序的性质。进一步审计程序的性质是指进一步审计程序的目的和类型。CPA应根据认定层次错报风险的大小,选择进一步审计程序。风险越高,通过实质性程序获取审计证据的可靠性的要求越高,从而影响审计程序类型。
2.确定进一步审计程序的时间。确定何时实施,应关注下列事项控制环境错报风险的性质和重要性与审计证据相关的期间。一般地,当重大错报风险较高时,CPA应当考虑在期末实施实质性程序。重大错报风险并不高时,可考虑在期中实施进一步审计程序。期中实施会有助于CPA在审计工作初期,识别重大事项,及时加以解决。需要明确的是,如果在期中实施了进一步审计程序,CPA还应当针对剩余期间获取审计证据。
3.确定进一步审计程序的范围。进一步审计程序范围是指实施某项审计程序的数量或规模。在确定审计程序的范围时,CPA应当考虑下列因素审计重要性水平、评估的重大错报风险、计划取得的保证程度。当保证程度提高,重大错报风险增加时,CPA应当扩大审计程序的范围。
随着审计理论和实务研究的不断发展,风险导向审计将逐步为社会所接受并得以应用,如何降低审计风险,如何对重大错报风险进行识别、评估、应对,需要我们不断的研究探索。
参考文献
[1]王成勇.浅谈重大错报风险的审计应对[J].会计之友,2009(09).
[2]汪初牧.财务报表重大错报风险审计应注意的问题[J].商业经济,2006(12).
[3]汪国平.审计重大错报风险影响因素及其评价系统[J].财会通讯,2006(01).
财务报表风险评估例2
一、引言
从审计的角度,风险评估是现代风险导向审计的核心理念。无论是在历史财务报表审计还是在网络审计中,现代风险导向审计均要求审计师在执行审计工作过程中应以风险评估为中心,通过对被审计单位及其环境的了解,评估确定被审计单位的高风险领域,从而确定审计的范围和重点,进一步决定如何收集、收集多少和收集何种性质的证据,以便更有效地控制和提高审计效果及审计效率。从企业管理的角度,企业风险管理将风险评估作为其基本的要素之一进行规范,要求企业在识别和评估风险可能对企业产生影响的基础上,采取积极的措施来控制风险,降低风险为企业带来损失的概率或缩小损失程度来达到控制目的。信息安全风险评估作为企业风险管理的一部分,是企业信息安全管理的基础和关键环节。尽管如此,风险评估在网络审计、历史财务报表审计和企业信息安全管理等工作中的运用却不尽相同,本文在分析计算机信息系统环境下所有特定风险和网络审计风险基本要素的基础上,从风险评估中应关注的风险范围、风险评估的目的、内容、程序及实施流程等内容展开,将网络审计与历史财务报表审计和信息安全管理的风险评估进行对比分析,以期深化对网络审计风险评估的理解。
二、网络审计与历史财务报表审计的风险评估比较
(一)审计风险要素根据美国注册会计师协会的第47号审计标准说明中的审计风险模型,审计风险又由固有风险、控制风险和检查风险构成。其中,固有风险是指不考虑被审计单位相关的内部控制政策或程序的情况下,其财务报表某项认定产生重大错报的可能性;控制风险是被审计单位内部控制未能及时防止或发现财务报表上某项错报或漏报的可能性;检查风险是审计人员通过预定的审计程序未能发现被审计单位财务报表上存在重大错报或漏报的可能性。在网络审计中,审计风险仍然包括固有风险、控制风险和检查风险要素,但其具体内容直接受计算机网络环境下信息系统特定风险的影响。计算机及网络技术的应用能提高企业经营活动的效率,为企业的经营管理带来很大的优越性,但同时也为企业带来了一些新的风险。这些新的风险主要表现为:(1)数据与职责过于集中化。由于手工系统中的职责分工、互相牵制等控制措施都被归并到计算机系统自动处理过程中去了,这些集中的数据库技术无疑会增加数据纵和破坏的风险。(2)系统程序易于被非法调用甚至遭到篡改。由于计算机系统有较高的技术要求,非专业人员难以察觉计算机舞弊的线索,这加大了数据被非法使用的可能性。如经过批准的系统使用人员滥用系统,或者说,企业对接近信息缺乏控制使得重要的数据或程序被盗窃等。(3)错误程序的风险,例如程序中的差错反复和差错级联、数据处理不合逻辑、甚至是程序本身存在错误等。(4)信息系统缺乏应用的审计接口,使得审计人员在审计工作中难以有效地采集或获取企业信息系统中的数据,从而无法正常开展审计工作。(5)网络系统在技术和商业上的风险,如计算机信息系统所依赖的硬件设备可能出现一些不可预料的故障,或者信息系统所依赖的物理工作环境可能对整个信息系统的运行效能带来影响等。相对应地,网络审计的固有风险主要是指系统环境风险,即财务电算化系统本身所处的环境引起的风险,它可分为硬件环境风险和软件环境风险。控制风险包括系统控制风险和财务数据风险,其中,系统控制风险是指会计电算化系统的内部控制不严密造成的风险,财务数据风险是指电磁性财务数据被篡改的可能性。检查风险包括审计软件风险和人员操作风险,审计软件风险是指计算机审计软件本身缺陷原因造成的风险,人员操作风险是指计算机审计系统的操作人员、技术人员和开发人员等在工作中由于主观或客观原因造成的风险。
(二)风险评估目的无论在网络审计还是历史财务报表审计中,风险评估只是审计的一项重要程序,贯穿于审计的整个过程。与其他审计程序紧密联系而不是一项独立的活动。尽管如此,两者所关注的风险范围则有所不同。历史财务报表审计的风险评估要求审计人员主要关注的是被审计单位的重大错报风险――财务报表在审计前存在重大错报的可能性。由于网络审计的审计对象包括被审计单位基于网络的财务信息和网络财务信息系统两类,因此审计人员关注的风险应是被审计单位经营过程中与该两类审计对象相关的风险。(1)对于与企业网络财务信息系统相关的风险,审计人员应该从信息系统生命周期的各个阶段和信息系统的各组成部分及运行环境两方面出发进行评估。信息系统生命周期是指该信息系统从产生到完成乃至进入维护的各个阶段及其活动,无论是在早期的线性开发模型中还是在更为复杂的螺旋式等模型中,一个信息系统的生命周期大都包括规划和启动、设计开发或采购、集成实现、运行和维护、废弃等五个基本阶段。由于信息系统在不同阶段的活动内容不同,企业在不同阶段的控制目标和控制行为也会有所不同,因此,审计人员的风险评估应该贯穿于信息系统的整个生命周期。信息系统的组成部分是指构成该信息系统的硬件、软件及数据等,信息系统的运行环境是指信息系统正常运行使用所依托的物理和管理平台。具体可将其分为五个层面:物理层,即信息系统运行所必备的机房、设备、办公场所、系统线路及相关环境;网络层,即信息系统所需的网络架构的安全情况、网络设备的漏洞情况、网络设备配置的缺陷情况等;系统层,即信息系统本身的漏洞情况、配置的缺陷情况;应用层,即信息系统所使用的应用软件的漏洞情况、安全功能缺陷情况;管理层,即被审计单位在该信息系统的运行使用过程中的组织、策略、技术管理等方面的情况。(2)对于与企业基于网络的财务信息相关的风险,审计人员应着重关注财务信息的重大错报风险和信息的安全风险。重大错报风险主要指被审计单位基于网络的相关财务信息存在重大错报的可能性,它是针对企业借助于网络信息系统或网络技术对有关账户、交易或事项进行确认、计量或披露而言。网络审计中关注的重大错报风险与传统审CtT的内涵基本上是一致的,审计人员在审计时应当考虑被审计单位的行业状况、经营性质、法律及监管环境、会计政策和会计方法的选用、财务业绩的衡量和评价等方面的情况对财务信息错报可能的影响。信息安全风险涉及信息的保密性、完整性、可用性及敏感性等方面可能存在的风险,主要针对企业利用信息系统或一定的网络平台来存储、传输、披露相关财务信息而言。在审计过程中,审eta员应当主要关注相关财务信息被盗用、非法攻击或篡改及非法使用的可能性。当然,这两类风险并非完全分离的,评估时审计人员应将两者结合起来考虑。
(三)风险评估内容 广泛意义的风险评估是指考虑潜在事件对目标实现的影响程度。由于网络审计与历史财务报表审计风险评估的目的并不完全相同,因此两者在风险评估的内容上也是存在区别的。总的来说,网络审计的风险评估内容比历史财务报表审计的风险评估内容更广泛和深入。根据《中国注册会计师审计准则第1211号――了解被审计单位及其环境并评估重大错报风
险》,在历史财务报表审计中,审计人员的风险评估应以了解被审计单位及其环境为内容。为识别和评价重大错报风险,审计人员了解的具体内容包括被审计单位所在行业状况、法律环境与监管环境以及其他外部因素、被审计单位的性质、被审计单位对会计政策的选择和运用、被审计单位的目标、战略以及相关经营风险、被审计单位财务业绩的衡量和评价及被审it@位的内部控制等。在网络审计中。为了识别和评估上文所述的两类风险,审计人员除了从以上方面了解被审计单位及其环境外,还应该关注其他相关的潜在事件及其影响,尤其是企业的财务信息系统及基于网络的财务信息可能面l临的威胁或存在的脆弱点。其中,威胁是指对信息系统及财务信息构成潜在破坏的可能性因素或者事件,它可能是一些如工作人员缺乏责任心、专业技能不足或恶意篡改等人为因素,也可能是一些如灰尘、火灾或通讯线路故障等环境因素。脆弱点是指信息系统及基于网络的财务信息所存在的薄弱环节,它是系统或网络财务信息本身固有的,包括物理环境、组织、过程、人员、管理、配置、硬软件及信息等各方面的弱点。一般来说,脆弱点本身不会带来损失或信息错报,威胁却总是要利用网络、系统的弱点来成功地引起破坏。因此,我们认为网络审计申风险评估的内容应包括以下几方面:(1)识别被审计单位财务信息系统及其基于网络的财务信息可能面临的威胁,并分析威胁发生的可能性;(2)识别被审计单位财务信息系统及其基于网络的财务信息可能存在的脆弱点,并分析脆弱点的严重程度;(3)根据威胁发生的可能性和脆弱点发生的严重程度,判断风险发生的可能性;(4)根据风险发生的可能性,评价风险对财务信息系统和基于网络的财务信息可能带来的影响;(5)若被审计单位存在风险防范或化解措施,审计人员在进行风险评估时还应该考虑相应措施的可行性及有效性。
(四)风险评估程序《中国注册会计师审计准则第1211-----了解被审计单位及其环境并评估重大错报风险》中要求,审计人员应当实施询问、分析程序、观察和检查等程序,以获取被审计单位的信息,进而评估被审计单位的重大错报风险。这些程序同样适用于网络审计中的风险评估。但在具体运用时网络审计中更加注重了解和分析被审计单位与信息系统及网络技术使用相关的事项。在实施询问程序时,审计人员的询问对象围绕信息系统和基于网络的财务信息可大致分为管理人员、系统开发和维护人员(或信息编制人员)、系统使用人员(或信息的内部使用人员)、系统或网络技术顾问及其他外部相关人员(如律师)等五类,分别从不同角度了解信息系统和基于网络的财务信息可能存在的威胁和脆弱点。在实施分析程序时,除了研究财务数据及与财务信息相关的非财务数据可能的异常趋势外,审计人员应格外关注对信息系统及网络的特性情况,被审计单位对信息系统的使用情况等内容的分析比较。实施观察和检查时,除执行常规程序外,审计人员应注意观察信息系统的操作使用和检查信息系统文档。除此之外,针对特定系统或网络技术风险的评估,审计人员还需要实施一些特定的程序。技术方面如IOS取样分析、渗透测试、工具扫描、安全策略分析等;管理方面如风险问卷调查、风险顾问访谈、风险策略分析、文档审核等。其中,IDS取样分析是指通过在核心网络采样监听通信数据方式,获取网络中存在的攻击和蠕虫行为,并对通信流量进行分析;渗透测试是指在获取用户授权后,通过真实模拟黑客使用的工具、方法来进行实际漏洞发现和利用的安全测试方法;工具扫描是指通过评估工具软件或专用安全评估系统自动获取评估对象的脆弱性信息,包括主机扫描、网络扫描、数据库扫描等,用于分析系统、应用、网络设备存在的常见漏洞。风险问卷调查与风险顾问访谈要求审计人员分别采用问卷和面谈的方式向有关主体了解被审计单位的风险状况,使用时关键是要明确问卷或访谈的对象情况风险策略分析要求审计人员对企业所设定的风险管理和应对策略的有效性进行分析,进而评价企业相关风险发生的概率以及可能带来的损失;文档审核是一种事前评价方法,属于前置软件测试的一部分,主要包括需求文档测试和设计文档测试。这些特定程序主要是针对被审计单位信息系统和基于网络的财务信息在网络安全风险方面进行评价,审计人员在具体使用时应结合被审计单位的业务性质选择合适的程序。
三、网络审计与信息安全管理的风险评估比较
(一)风险评估的目的信息安全管理中的风险评估(即信息安全风险评估)是指根据国家有关信息安全技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程。作为信息安全保障体系建立过程中的重要的评价方法和决策机制,信息安全风险评估是企业管理的组成部分,它具有规划、组织、协调和控制等管理的基本特征,其主要目的在于从企业内部风险管理的角度,在系统分析和评估风险发生的可能性及带来的损失的基础上,提出有针对性的防护和整改措施,将企业面临或遭遇的风险控制在可接受水平,最大限度地保证组织的信息安全。而网络审计是由独立审计人员向企业提供的一项鉴证服务,其风险评估的目的在于识别和评价潜在事件对被审计单位基于网络的财务信息的合法性、公允性以及网络财务信息系统的合规性、可靠性和有效性的影响程度,从而指导进一步审计程序。因此,两者风险评估的目的是不一样。从评估所应关注的风险范围来看,两者具有一致性,即都需要考虑与信息系统和信息相关的风险。但是,具体的关注边界则是不一样的。信息安全风险评估要评估企业资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响,它要求评估人员关注与企业整个信息系统和所有的信息相关的风险,包括实体安全风险、数据安全风险、软件安全风险、运行安全风险等。网络审计中,审计人员是对被审计单位的网络财务信息系统和基于网络的财务信息发表意见,因此,风险评估时审计人员主要关注的是与企业财务信息系统和基于网络的财务信息相关的风险,而不是与企业的整个信息系统和所有的信息相关的风险。根据评估实施者的不同,信息安全风险评估形式包括自评估和他评估。自评估是由组织自身对所拥有的信息系统进行的风险评估活动;他评估通常是由组织的上级主管机关或业务主管机关发起的,旨在依据已经颁布的法规或标准进行的具有强制意味的检查。自评估和他评估都可以通过风险评估服务机构进行咨询、服务、培训以及风险评估有关工具的提供。因此。对审计人员而言,受托执行的信息安全风险评估应当归属于管理咨询类,即属于非鉴证业务,与网络审计严格区分开来。
(二)风险评估的内容在我国国家质量监督检验检疫总局的《信息安全风险评估指南》(征求意见稿)国家标准中,它将信息安全风险评估的内容分为两部分:基本要素和相关属性,提出信息安全风险评估应围绕其基本要素展开,并充分考虑与这些基本要素相关的其他属性。其中,风险评估的基本要素包括资产、脆弱性、威胁、风险和安全措施;相关属性包括业务战略、资产价值、安全需求、安全事件、残余风险等。在此基础上的风险计算过程是:(1)对信息资产进行识别,并对资产赋值;(2)对威胁进行分析,并对威
财务报表风险评估例3
老审计准则遵循的是“把审计程序执行到位”的简单的审计理念。在此理念下,注册会计师往往不注重了解被审计单位及其环境,如不注重对行业状况、监管环境、内部控制、企业性质以及目标、战略和相关经营风险等情况的了解,而直接进行控制测试或实质性测试,注册会计师审计最主要的任务就是完成审计程序,不考虑或很少考虑审计风险,而且财政部门对注册会计师执业质量的行政监管检查(包括行业监管检查)关注的也是审计程序的履行情况,由此造成注册会计师只注重审计程序的履行,而忽视了对审计风险的识别、评估和应对,容易犯只见树木不见森林的错误。如果被审计单位管理当局串通舞弊或凌驾于内部控制之上,则内部控制将无法发挥作用,注册会计师也很容易受到蒙蔽和欺骗,不能发现由于内控失效而导致的财务报表重大错报风险,控制测试也将失去作用。因此,迫切需要改革审计理念,研究出更能有效识别、评估和应对财务报表重大错报风险的新的审计方法和审计流程,为此,新的审计理念应运而生。
新审计准则的最大特点就是注册会计师带来了风险导向的新的综合审计理念,该理念强调在“把审计风险控制到位”的前提下再“把审计程序执行到位”,可见,这是新准则相对于老准则最重要、最根本的变化。
为了实现“把审计风险控制到位”的审计目标,新准则明确规定了风险评估是注册会计师必须履行的审计程序,注册会计师应当针对评估的报表层的重大错报风险确定总体应对措施,针对评估的认定层的重大错报风险设计和实施进一步审计程序,以将审计风险降至可接受的低水平。在新准则下,注册会计师不可以不评估重大错报风险,也不可以简单设定固有和控制风险为最高水平就假定重大错报风险为百分之百而直接盲目实施实质性程序。因为不弄清重大错报风险可能发生在哪个方面或那些领域就实施审计程序,往往发现不了重大错报。由此可见,新准则的审计理念更为完善、科学和先进。
因此,注册会计师学习和执行新准则首要的关键问题就是树立风险导向的审计理念,在今后的每一项审计实务中都要以防范审计风险为基本职责,强化风险意识,保持职业怀疑态度,不断提高自身的职业分析和判断能力,以对重大错报风险的识别、评估和应对为审计工作的主线流程,同时还必须把应该履行的风险评估和实质性程序执行到位,只有这样才能真正理解和把握风险导向的审计理念。
但是,新审计理念的推行必须有新的审计风险模型予以支撑,为了顺利推行风险导向的新理念,新准则下的审计风险模型也随之发生了相应的变化。
二、审计风险模型的变化
从老准则的审计风险模型:“审计风险=固有风险×控制风险×检查风险”来看,老准则虽然也要求对风险进行评估,但由于该风险模型的制约及老准则本身的缺陷使得对风险的评估不是很狭隘,就是难以规范履行。如老准则要求编制审计计划时,注册会计师应评估固有风险或直接假定其为高水平,这使得很多注册会计师不评估固有风险而直接假定其为高水平,从而使得对固有风险的评估流于形式。另外,尽管老准则要求对固有风险和控制风险进行综合评估以作为评估检查风险的基础,但由于实务中对两者的内在联系往往无法把握,如果只依赖对控制风险所作的简单评估或直接假定控制风险为百分之百来大致确定检查风险再据此计划实质性程序,这样就很难合理保证财务报表不存在重大错报。正是由于这些问题,使得注册会计师在运用老审计风险模型时出现只执行准则明确规定必需履行的审计程序,特别是只把实质性测试中的细节测试执行到位即可的错误认识和片面做法。实际上,在老准则实施多年的审计实务中,注册会计师主要关心的也正是对财务报表各组成项目的细节测试,而不关心审计后能否合理保证财务报表不存在重大错报,以及控制审计风险到可接受的低水平。由此可见,尽管老准则考虑了对审计风险进行评估的问题,但注册会计师在日常审计并没有能够以对风险的评估为导向,问题就在于老准则下审计风险模型的局限性,不能有效地识别、评估和应对重大错报风险,所以老准则不能称之为风险导向审计。
新准则体系中最核心的准则是以下四个:第1101号《财务报表审计的目标和一般原则》准则、第1211号《了解被审计单位及其环境并评估重大错报风险》准则、第1231号《针对评估的重大错报风险实施的程序》准则和第1301号《审计证据》准则。这四个准则最重要的内容就是贯彻了新的审计理念,启用了“审计风险=重大错报风险×检查风险”的新的审计风险模型。新准则要求注册会计师在今后的审计实务中根据该模型来计划和执行审计程序,强调提高注册会计师发现财务报表重大错报风险的能力,强调对财务报表重大错报风险的识别、评估和应对,强调把审计风险控制到位。只有这样,才能更有利于对财务报表重大错报风险的识别、评估和应对以及对重大错报的审计效果,才能更好地实现财务报表的审计目标,更好地遵循财务报表审计的一般原则要求,为审计后的财务报表不存在重大错报提供合理保证。由此达到全面推行风险导向审计目标,实现将原审计风险模型下的“审计程序执行到位”的简单审计理念更新为新审计风险模型下的“审计风险控制到位”的综合审计理念。
因此,如果说新准则要求注册会计师树立风险导向审计理念并遵循新的审计风险模型是客观要求,那么,注册会计师就要从主观上强化防范审计风险的意识,努力提高自身对财务报表重大错报风险的识别、评估和应对能力,全面、规范履行应该履行的审计程序,并将审计风险降低至可接受的低水平。只有这样,才能真正把新的风险导向审计理念贯彻到位,把新的审计风险模型落实到位。
三、审计流程的变化
由于新准则审计风险模型的变化,又导致了对注册会计师审计流程的具体要求也发生了重要变化。
老准则下的审计风险模型把审计流程分为四部分,分别为:(1)了解被审计单位情况;(2)了解内控;(3)控制测试;(4)实质性测试。而新准则下的审计风险模型把审计流程分为三部分,分别为:(1)了解被审计单位情况及其环境(包括内部控制);(2)控制测试;(3)实质性程序。从表面上看,新准则的审计流程较旧准则少了一个,但实际上并没有减少,新准则仅是将老准则下的第(1)和第2个流程进行了合并,并统称为“风险评估程序”。另外,新准则把其第(2)和第(3)两个流程统称为“进一步审计程序”,并指出仅靠风险评估程序不足以为发表审计意见提供充分、适当的审计证据,注册会计师还应当根据对认定层次重大错报风险的评估结果,恰当选用以实质性程序为主的实质性方案或选择以控制测试与实质性程序结合使用的综合性方案。但新准则特别强调,无论选择何种方案,注册会计师都应当对所有重大的各类交易、账户余额、列报设计和实施实质性程序。由于新准则将控制测试和实质性程序统称为“进一步审计程序”,因此,新准则的审计程序从总体上也可以简单分为两大块,即“风险评估程序”和“进一步审计程序”。
另外,由于新准则将“了解被审计单位情况及其环境(包括内部控制)”和“评估重大错报风险”制定为一个准则,从而使得注册会计师更加明确了了解被审计单位情况及其环境(包括内部控制)的目的是为了对重大错报风险进行评估,而且将对被审计单位情况及其环境的了解(包括内部控制)和对重大错报风险的评估进行了有机结合。由此可见,新准则在此问题上更为科学合理,更有利于注册会计师对风险导向审计理念和新审计风险模型的理解、把握和执行。
必须注意的是,尽管新准则对审计流程的数量没有发生变化,但是,新准则对各流程的具体要求,特别是对风险评估和风险应对提出了新的更高的要求。
新准则特别强调了审计流程的重心必须前移,注册会计师必须重视计划审计工作,重视对被审计单位及其环境的了解(包括内部控制),重视对重大错报风险的识别和评估,重视针对评估出的重大错报风险实施相应和必要的审计程序。风险评估程序的主要目的是针对财务报表层次和认定层次重大错报风险的评估,是一个连续、动态地收集、更新与分析信息的过程。由此可见,风险评估不仅针对整个财务报表各层次、全方位,而且也是贯穿于整个审计过程始终的审计程序。新准则还明确规定了风险评估程序为必须履行的审计程序。
与风险评估程序不同的是,“控制测试”和“实质性程序”均是仅针对认定层次的重大错报风险,仅是在进一步审计程序中履行,但目的各有不同。“控制测试”目的在于测试内控在防止、发现和纠正认定层次重大错报方面的有效性,并据此重新评估认定层次重大错报风险,而“实质性程序”的目的在于发现认定层次重大错报风险,降低检查风险。同时,新准则还规定了“实质性程序”同样为必须履行的审计程序。但必须注意的是,如果注册会计师在审计中认为出现符合准则规定必须进行控制测试的条件或认为可以进行控制测试时,则应该进行控制测试,否则可以不履行控制测试程序。
值得注意的是,从“风险评估程序”对报表层和认定层次重大错报风险的评估,到“控制测试”测试内控在防止、发现和纠正认定层次重大错报方面的有效性,据此重新评估认定层次重大错报风险,再到“实质性程序”以发现认定层次重大错报风险降低检查风险为最终审计目的,新准则下的各大审计程序最终都将审计重点指向了“重大错报风险”,由此可见,注册会计师在今后的审计实务中一定要将对“重大错报风险”的识别、评估和应对作为审计工作的核心,只有发现认定层次重大错报风险,才能达到降低检查风险的最终审计目标,从而实现风险导向审计的初衷。
鉴于以上分析,注册会计师在今后的审计实务中务必抛弃老准则下对审计风险的狭隘和片面认识,一定要把对重大错报风险的识别、评估和应对作为审计工作的主要流程、重中之重,一定要全面、规范履行风险评估和风险应对程序。只有这样,才能切实把风险导向的审计理念落到实处,才能使新的审计风险模型在审计实务中得到充分体现,才能合理保证财务报表整体不存在重大错报。
财务报表风险评估例4
按照IAASB工作计划,三个新国际审计风险准则生效后,原IAS310“了解被审计单位情况”(Knowledgeofthebusiness)、ISA400“风险评估与内部控制”(Riskassessmentsandinternalcontrols)、ISA401“计算机信息系统环境下的审计”(Auditinginacomputerinformationsystemsenvironment)和ISA500“审计证据”一并作废。与以前准则相比,新国际审计风险准则主要有以下八个方面的重大发展和实质性变化。
(一)引入“重大错报风险”概念,重建审计风险模型
原国际审计风险准则认为,审计风险包括固有风险、控制风险和检查风险,审计风险模型为:审计风险=固有风险×控制风险×检查风险,并要求根据该模型来计划和执行财务报表审计工作,最终将审计风险降低至可接受的低水平。从理论上看,该模型不存在不妥,但实务操作面临很大的问题和困难。比如:(1)原准则要求,在编制总体审计计划时,注册会计师应当对财务报表整体的固有风险进行评估;在编制具体审计计划时,注册会计师应当考虑固有风险的评估对各重要账户或交易类别的认定所产生的影响,或者直接假定这种认定的固有风险为高水平。由于假设不存在相关内部控制的条件下去具体单独评估认定的固有风险有显知的难度,再加上直接假定认定的固有风险为高水平被公认为稳健的做法,这样极容易导致不少事务所及注册会计师不重视对固有风险的评估,使其流于形式。(2)尽管原准则明确指出,由于控制风险与固有风险相互联系,注册会计师应当对两者进行综合评估,并据以作为检查风险的评估基础。但实务中,很容易人为割裂两者的内在联系,而只依赖对内部控制风险所作的粗放型评估来直接、大致确定检查风险水平,再据此规划实质性程序的性质、时间和范围。这样做难以合理保证财务报表不存在重大错报。(3)最为重要的是,原审计风险模型将固有风险和控制风险并列,没有抓住财务报表审计工作的“牛鼻子”,也没有抓住事物的本质和核心东西。其实,这两种风险,就是客户风险(clientrisk),即客户财务报表审计前存在重大错报的可能性,均为被审计单位所造成和掌控,注册会计师只能评估而不能改变。从注册会计师角度看,只抓住固有风险和控制风险作为审计工作的起点和导向,而不直接明确地以评估重大错报风险为起点和导向,有舍本求末,隔靴搔痒,只见树木不见森林之感。
新国际审计风险准则正式引进“重大错报风险”概念(重大错报风险是指财务报表在审计前存在重大错报的可能性),将审计风险模型重构为:审计风险=重大错报风险×检查风险。这不是简单地将固有和控制风险并称为重大错报风险,而是重大的实质性改进。不仅明确规定了审计工作以评估财务报表重大错报风险作为新的正确起点和导向,抓住了审计工作的“牛鼻子”,而且与现行审计目标责任定位紧紧相扣,有利于履行审计责任,实现审计目标。众所周知,按国际审计准则要求设计审计工作就是为了合理保证财务报表整体不存在重大错报。新风险模型的构建更直接有助于导引注册会计师,时刻紧紧围绕评估的重大错报风险来设计和执行审计程序,以最终实现合理保证财务报表整体不存在重大错报。
(二)改进审计业务流程,增强实施审计程序的效果
原准则依据审计风险三要素模型,把审计业务流程和程序分为四大块:(1)了解被审计单位情况(为评估固有风险);(2)了解内部控制;(3)(必要时)控制测试(均为评估控制风险);(4)实质性测试(为降低检查风险)。第(1)块由原IAS310“了解被审计单位情况”来规范,第(2)、(3)、(4)块则由原ISA400“风险评估与内部控制”来规范。
新国际审计风险准则依据审计风险二要素模型,把审计业务流程和程序分为三大块:(1)了解被审计单位及其环境,包括内部控制(目的是为评估财务报表总体层次和认定层次的重大错报风险)。本块审计程序称为“风险评估程序”(riskassessmentprocedures),(2)(必要时)控制测试(目的是为了测试内部控制在防止、发现和纠正认定层次重大错报方面的有效性,并据此一并评估重大错报风险),(3)实质性测试(目的是为了检查认定层次的重大错报风险)。新准则把第(2)、(3)块程序统称为“进一步审计程序”(furtherauditprocedures),并指出风险评估程序不足以为发表审计意见提供充分适当的审计证据,注册会计师还应当设计和实施进一步审计程序,包括控制测试和实质性程序。还指出应当以对认定层次的重大错报风险的相关评估结果(包括实施风险评估程序的结果和必要时执行控制测试的结果)为基础,并考虑既定的审计风险水平,来确定可接受的检查风险水平,再据此计划和实施实质性程序。在既定的审计风险水平下,可接受检查风险水平与认定层次重大错报风险的评估结果成反向关系。评估的重大错报风险越高,可接受检查风险越低;评估的重大错报风险越低,可接受检查风险越高。检查风险取决于实质性程序设计和执行的有效性。注册会计师应当合理设计实质性程序的性质、时间和范围并有效执行,将检查风险降至可接受的水平。第(1)块由ISA315“了解被审计单位及其环境并评估重大错报风险”来规范,第(2)、(3)两大块则由ISA330“针对评估的重大错报风险实施的程序”来规范。由于重建了审计风险模型和改进了审计业务流程,IAASB相应地修订了原ISA500“审计证据”。
审计业务流程作上述改进后,要求注册会计师全程关注财务报表的重大错报风险,并将风险评估作为整个审计工作的先导、前提和基础。注册会计师应首先花大力气去识别和评估重大错报风险,再据此有针对性地采取措施,合理保证财务报表不存在重大错报。评估重大错报风险的失当,必将导致整个审计工作的失败。看来,能否合理评估客户财务报表的重大错报风险,将成为评价会计师事务所及注册会计师专业胜任能力、考验审计质量及效果的关键性尺度与决定性因素。
财务报表风险评估例5
[中图分类号]F239.1
[文献标识码]A
[文章编号]1005-6432(2008)48-0084-02
2006年2月15日财政部的《中国注册会计师执业准则》引入了现代风险导向审计的指导思想,并对注册会计师的审计工作提出了新的要求,包括审计证据的范围扩大、审计工作流程的变化等。其中最为核心的部分是第1211号“了解被审计单位及其环境并评估重大错报风险”、第1231号“针对评估的重大错报风险实施的程序”和第1301号“审计证据”。这些准则要求注册会计师了解被审计单位及其环境以识别重大错报风险、评估重大错报风险、对这些重大错报风险加以应对,并记录于工作底稿之中。现代风险导向审计从战略的角度考虑企业的经营风险,从而确定审计重点领域,将审计资源有的放矢地分配到各个领域之中。本文结合平衡计分卡和风险导向审计的特点,将二者有机结合,从企业的业务流程分析这一角度,为注册会计师进行审计风险评估提供一定参考依据。
1 平衡计分卡的特点
平衡计分卡是一种把企业发展战略转化为实际行动的最有效工具,是新时代企业管理制度的创新。平衡记分卡表明了源于战略的一系列因果关系,发展和强化了战略管理系统。利用平衡记分卡作为核心战略管理的衡量系统,完成对关键过程的有效控制和资源的优化配置。企业要向员工、供应商、顾客、合伙人社区和股东等不同利益相关集团负责。平衡计分卡是列示一个组织在实现利害关系人相关的目标方面的业绩目标和成果集。
平衡计分卡实际上就是衡量公司在满足不同利害关系人要求方面的业绩。平衡计分卡在将公司使命和战略转化为具体目标和业绩指标的同时,也在平衡公司各方利害关系人之间的不同要求。
平衡计分卡是一种超越财务或会计的绩效评价制度。它是一种以“因果关系”为纽带,战略、过程、行为与结果一体化,财务指标与非财务指标相融合的绩效评价制度,通过财务维度、顾客维度、内部业务流程维度和学习与成长维度全面评价企业的绩效。
2 风险导向审计的特征
2.1 风险导向审计的内涵
风险导向审计是指以被审计单位的风险评估为基础,综合分析影响被审计单位经济活动的各种风险因素,并根据量化的风险水平确定实施审计的范围、重点,进而进行实质性审查的一种审计方法。
2.2 风险导向审计的特征
由此可见,风险导向审计强调审计全过程风险的评估与控制,并同时对固有风险进行评估,这是风险导向审计的重要思想之一。评估固有风险有助于审计人员确定财务报表各部分发生错弊的可能性,从而有利于分配审计资源,提高审计效率、效果,从而呈现出以下特点:第一,将审计重心从以审计测试为中心转移到以风险评估为中心,审计程序上包括风险评估程序、审计测试程序;第二,风险评估重心由控制风险向联合风险转移;第三,风险评估不再直接对审计风险进行评估,而是从经营风险评估入手,第四,风险评估结构化;第五,分析性程序成为风险评估核心,不仅包括财务数据额度分析,还包括非财务数据的分析;第六,风险评估采用的各种分析方法大量借鉴了战略管理知识,这就要求注册会计师的专业知识结构发生相应的改变;第七,审计测试程序个性化;第八,审计证据范围扩大到一般员工处或供应商、销售商等获取审计证据,业内人士和专业咨询人士的意见也可作为对注册会计师审计专业判断的补充;第九,注册会计师必须充分了解客户整体战略经营环境,并由此出发评估客户的经营风险和审计风险,因此注册会计师必须从外部取得大量的外部证据来证明风险评估的恰当性。
3 平衡计分卡在风险导向审计中的应用
现代风险导向审计模型中的“重大错报风险”包括财务报表整体层次和认定层次的重大错报风险。其中,前者是指财务报表整体不能反映企业经营实际状况的可能性;后者是指交易类别、账户余额、披露和相关的其他具体认定层次经济事项本身的性质和复杂程度与实际不符,企业管理当局由于本身的认识和技术水平,以及由于企业管理当局局部或个别人员舞弊或造假造成错报的可能性。
3.1 关注被审计单位财务指标与非财务指标的平衡关系
企业绩效评价制度是审计的核心问题。从总体上看,传统的企业绩效评价制度是一种基于价值基础的绩效评价。它侧重于静态的,以财务报表为基础的财务业绩评价。其评价体系的重点在于财务指标体系的构建。尽管在市场经济环境下,价值基础的绩效评价必不可少,但是,财务报表只是讲述企业过去的故事,基于货币计量,财务报表只能讲述企业有形资产的故事。这样,以财务报表为基础的绩效评价存在“内伤”。在今天的知识经济时代,知识资本的地位日益凸显。仅靠有形资产,企业已经难以保持持续的竞争优势。知识经济时代呼唤新的竞争驱动力,企业无形资产的开发和利用能力已经成为企业塑造核心能力和创造持续竞争优势的决定性因素。因此,面对企业日益复杂的内外部经营环境,单纯的财务指标已经难以全面评价企业的经营绩效。
平衡计分卡是一种超越财务或会计的绩效评价制度。它是一种以“因果关系”为纽带,战略、过程、行为与结果一体化,财务指标与非财务指标相融合的绩效评价制度,通过财务维度、顾客维度、内部业务流程维度和学习与成长维度全面评价企业的绩效。对于审计部门应该将平衡的理念逐步引入到审计工作的方方面面。作为注册会计师,想要更加全面的评价被审计单位的经营绩效,从而降低审计失败的风险,就应该跳出单据、数据、账本、报表的束缚,关注财务目标与非财务目标之间、企业组织内外部群体之间、前置与滞后绩效指标是否平衡。
传统审计着重关注财务维度,然而财务、客户、内部流程和学习与成长四个方面有着千丝万缕的因果联系:员工的素质决定产品质量、销售渠道等;产品/服务质量决定顾客满意度和忠诚度;顾客的满意度和忠诚度及产品/服务质量决定财务状况和市场份额。因此,财务指标属于滞后指标,而客户、内部流程和学习与成长指标属于前置指标,前置指标是取得滞后指标的绩效动因。注册会计师如果想更加全面地对一家企业作出全面的绩效评价,就要重视财务指标与非财务指标的关联与平衡性。基于篇幅所限,下面仅对注册会计师如何通过被审计单位业务流程分析评估审计风险展开分析。
3.2 通过企业的业务流程分析评估审计风险
企业的经营能力是企业的生产资料、人力、财力、技术和管理资源等,基于环境约束与价值增值目标,通过配置组合与相互作用而生成的推动企业运行的物质能量。企业经营能力评估是指对企业经营能力进行系统分析,并科学、客观地做出全面评估的过程。
企业的利润就其形成来说,主要是通过企业生产经营活动而获得的,通过经营能力分析,注册会计师可以了解到:被审计单位是如何创造价值的;被审计单位是否已经实行了有效的经营活动来迎合经营战略;威胁到被审计单位实现战略目标的重大经营活动。
被审计单位的经营活动是由许多业务流程来完成的。各业务流程的重要性是不同的,那些相对重要的业务流程被称作关键业务流程。关键业务流程是审计的敏感环节,也是审计风险的重要来源。它一般具有三个特征:第一,关键业务流程对企业经营目标的实现至关重要。这些环节对于被审计单位的重要性是因为它们包括了被审计单位竞争优势与核心能力的业务活动。如果这些环节失败了,将会导致企业整体性的失败。关键业务流程与被审计单位经营目标、经营战略具有密切联系。第二,关键业务流程经常与外部存在广泛交流。这一类型的环节一般与企业外部有重要的、规模比较大的联系,这些联系通常会产生大规模的交易并被反映在会计报表中。这些环节对注册会计师来说很重要,因为这类环节很可能产生大量的交易。这类环节的单个交易如兼并、资本市场融资、设备融资以及扩大生产线等也都对注册会计师很重要。这一类环节主要来源于战略分析中的重大交易类别分析或战略风险分析。第三,关键业务流程具有较高的经营风险,它是指被审计单位最有可能发生问题的地方,从而具有较高风险。因此,现代风险导向审计的顺利开展需要注册会计师对关键业务流程有深入的了解。识别关键业务流程之后,注册会计师需要收集大量的资料和信息,对关键业务流程进行评估,这些信息包括:业务流程的目标;业务流程中的业务活动;业务流程信息流,包括相关信息系统;业务流程的关键风险;业务流程风险的应对措施,比如内部控制;业务流程风险的防范业绩计量。
财务报表风险评估例6
1972年美国会计学会(AAA)颁布的《基本审计概念公告》中,认为审计是“客观收集和评价与经济活动及事项有关的认定的证据,以确定其认定与既定标准的符合程度,并将结果传递给利害关系人的系统过程。”该定义涉及审计学的一系列关键概念,包括经济活动和经济现象的认定、收集和评估证据、客观性、所制定的标准、传递结果、系统过程等,能够涵盖各种审计类型。国际审计准则《ISA200:财务报表审计的目标和一般原则》认为审计的目标是审计师能够对财务报表在所有重大方面是否按照确定的财务报告框架编制发表意见,同时认定审计是一种合理保证的鉴证业务,这与我国审计准则规定基本相同。显然,前者是指一般的审计,属于属概念,后者是指财务报表审计,属于种概念。本文所说的审计就是指由独立注册会计师进行的财务报表审计,简称财务报表审计,根据《中国注册会计师审计准则第1101号――注册会计师的总体目标和审计工作的基本要求》(2010年)财务报表审计要“对财务报表整体是否不存在由于舞弊或错误导致的重大错报获取合理保证,”现代财务报表审计是一种风险导向审计。财务报表审计的保证程度与可接受的审计风险互为补数:对财务报表审计的保证程度越高,可接受的审计风险越低。大多数会计师事务所的审计手册一般都把可承担的审计风险定为5%,保证程度定为95%。合理保证意味着审计风险始终存在。
(二)审计风险
通常认为,风险有结果不确定性和损失可能性两种观点。March&Shaplra认为风险是事物可能结果的不确定性,J.S.Rosenb(1972)将风险定义为损失的不确定性。审计风险当然也有结果的不确定性和损失的可能性两种概念,分别叫做“意见不当论”和“损失可能论”。国际审计准则第25号《重要性和审计风险》将审计风险定义为:“审计风险是指审计人员对实质上误报的财务资料可能提供不适当意见的风险。”《美国审计准则说明》第47号认为:“审计风险是审计人员无意地对含有重要错报的财务报表没有适当修正审计意见的风险。”中国注册会计师协会在2010年11月1日修订的《中国注册会计师审计准则第1101号――注册会计师的总体目标和审计工作的基本要求》第十三条认为:“审计风险,是指当财务报表存在重大错报时,注册会计师发表不恰当审计意见的可能性。审计风险取决于重大错报风险和检查风险。”他们的共同点都指向发表不适当意见的可能性或者风险洇为注册会计师发表不恰当的审计意见尤其是对有重大错漏报的财务报表发表不恰当的意见会误导“报表使用者依据财务报表作出的经济决策”以致造成不应有的损失,所以审计风险实质上是指给财务报表使用者造成损失的可能性,同时也是注册会计师发表不恰当审计意见的可能性――前者针对报表使用者,后者针对注册会计师,前果后因,二者是一致的。审计风险是客观存在,也一直存在着,财务报表审计从来都是以风险为导向的审计。但是风险的承受者有不同的说法,有“供给导向”和“需求导向”之说,前者强调注册会计师的风险承担,后者强调报表使用者的风险承担。由于注册会计师审计准则和注册会计师“审计的目的是提高财务报表预期使用者对财务报表的信赖程度”,是为财务报表使用者提供合理保证服务的,本文认为国际审计准则和中国注册会计师审计准则所讲的审计风险是报表使用者承受损失的可能性,具体是指注册会计师发表不恰当审计意见的可能性。
(三)现代风险导向审计
现代风险导向审计是从传统风险导向审计演变而来。安然事件后,为了进一步应对审计风险,提高审计质量,2003年末,国际会计师联合会(IFAC)的国际审计与保证准则委员会(IAASB)陆续了一些新准则并被我国采用于《中国注册会计师执业准则(2006)》。新实行的国际审计准则被称为现代风险导向审计准则,以区别于在此之前的风险审计准则(传统风险导向审计准则)。与以前准则相比,新国际审计风险准则主要有以下八个方面的重大发展和实质性变化。
(1)引入“重大错报风险”概念,重建审计风险模型,将审计风险模型重构为:审计风险一重大错报风险×检查风险,抓住了关键;
(2)改进审计业务流程,增强实施审计程序的效果,新国际审计风险准则依据审计风险二要素模型,把审计业务流程和程序分为三大块:风险评估,(必要时)控制测试,实质性程序(目的是为了检查认定层次的重大错报风险);
(3)区分评估的重大错报风险为财务报表整体层次和认定层次,并分别采取不同应对措施,以将审计风险降至可接受的低水平;
(4)重新划分认定层次的构成类别,强调获取列报和披露认定的审计证据的重要性;
(5)强调保持职业怀疑态度,切实提高发现重大错报的概率;
(6)强调对特别风险的识别及评估,并警惕仅实施实质性程序无法获取充分、适当审计证据的风险;
(7)强调项目组内讨论的积极作用,共享审计经验和资源;
(8)强调与治理层沟通和与管理层沟通并重,优化审计环境。
2010年11月修订后的审计准则充分借鉴了国际审计与鉴证理事会明晰项目的成果,进一步明晰了现代风险导向审计理念,吸收传统风险模型的合理之处,完善了现代审计风险模型,细化了认定层次重大错报风险的构成(报表层和认定层2个层次,固有风险和控制风险2个因素),修订了风险评估和应对准则,并对关联方、会计估计、公允价值、对被审计单位使用服务机构的考虑、函证、分析程序等审计准则也作出修改,将风险导向审计的理念充分体现到整套审计准则体系中的每项审计准则中。新准则还对识别、评价和防范舞弊导致的重大错报风险提出了明确的要求。
二、现代风险导向审计内在逻辑
以上概念构成了一个现代风险导向审计的有关概念框架,风险导向的报表审计应该以报表使用者可接受的审计风险为导向,风险导向报表审计应该以报表使用者的需求为逻辑起点构造概念框架。本文主要通过以上概念抽象出现代风险导向审计的内在逻辑,以期为审计实践和理论研究服务。
(1)现代风险导向审计首先是财务报表审计,其产生和发展伴随着所有权与经营权的分离,现代风险导向审计也是站在所有权与经营权分离的大环境基础上的,所有权与经营权的分离也是审计委托人和被审计人的分离。这是注册会计师报表审计的总前提,当然也是现代风险导向审计的前提。
(2)在两权分离状况下,所有者为了自己的经济决策付费委托注册会计师对管理者提供的财务报告进行审计,注册会计师当然首先要满足委托人的要求,只有在此基础上才能进行风险导向审计。现代风险导向审计的基本原理就是以评估重大错报风险为导向,进而通过控制检查风险来控制审计风险,
目的都是为了满足所有者或者委托人的要求,这样审计委托人的要求实际上就成为了现代风险导向审计的逻辑起点。
(3)那么,审计委托人的要求是什么呢?审计委托人委托审计的目的是为了经济决策,经济决策当然以高质量的信息为前提。财务报表具有决策相关性,审计委托人往往也是报表使用者,所以,审计委托人作出经济决策的依据是财务报表。因此,委托人的要求就是要看到高质量的财务报表以进行投资、信贷等经济决策,高质量的财务报表必须符合报表的“编制基础”。对于大多数通用目的财务报表而言(以下以通用目的财务报表为例),高质量的财务报表必须“在所有重大方面按照财务报告编制基础编制并实现公允反映”,“通用目的编制基础,主要是指会计准则和会计制度”。也就是说高质量的通用目的财务报表必须“合法(符合相关会计准则和会计制度)”、“公允”。换句话说,即使有不合法、不公允的事项,委托人也要求他们看到的这些不合法、不公允的事项整体上不影响委托人利用该财务报表作出的经济决策――所以,不合法、不公允的报表信息叫做错(漏)报,影响报表使用者依据报表作出经济决策的错报就叫做重大错报。错报和重大错报都是由报表使用者或者委托人(或者站在委托人和报表使用者立场上)定义的――这就要求注册会计师保证经营管理者的财务报表不存在影响委托人依据该报表作出的经济决策的不合法、不公允的事项即重大错报事项。由于审计本身的局限性、人的认识的局限性和被审计单位情况的限制,注册会计师无法做到绝对保证,又不能提供有限的保证(违背委托人的委托意图),这就产生了合理保证。有限保证的保证程度
(4)委托人的要求就是注册会计师审计的目标――在这里,重要性、错报、合理保证都是由审计业务委托人定义或者站在委托人立场上定义的。合理保证决定了可接受的审计风险(如果保证程度是95%,则可接受的审计风险程度为5%)――显然所谓“可接受的审计风险”实际上也是由委托人定义的,本质上是委托人“可接受”的审计风险或者说是委托人对财务报表、审计报告的信赖过度风险,不是注册会计师基于自己的损失或可能的不当意见可接受的审计风险,所以可接受的审计风险来自于风险导向审计循环的外部,是委托人既定的,该风险无需评估,需要评估的是重大错报风险。
(5)接受委托或者接受了委托人的要求后,注册会计师要做的工作一是评估重大错报风险,二是降低检查风险。重大错报是由委托人定义的,现代风险导向审计要求注册会计师按照重大错报的定义全方位地了解被审计单位及其环境并评估重大错报风险,注册会计师执业准则规定了风险评估的方法和内容,要求运用询问、观察、检查、分析程序等方法获取有助于评估重大错报风险的信息。在风险评估基础上,注册会计师通过总体应对措施和进一步审计程序来分别应对财务报表层次与交易、账户余额与列报和披露认定层次的重大错报风险。在针对评估的由于舞弊导致的财务报表层次重大错报风险确定总体应对措施时,注册会计师应当:“在分派和督导项目组成员时,考虑承担重要业务职责的项目组成员所具备的知识、技能和能力,并考虑由于舞弊导致的重大错报风险的评估结果;评价被审计单位对会计政策(特别是涉及主观计量和复杂交易的会计政策)的选择和运用,是否可能表明管理层通过操纵利润对财务信息作出虚假报告;在选择审计程序的性质、时间安排和范围时,增加审计程序的不可预见性”。进一步审计程序包括控制测试和实质性程序,是否实施控制测试取决于内部控制是否值得信赖和控制测试的重要性,无论是否实施控制测试都应该执行实质性程序。在实施控制测试时,注册会计师仍然要确定控制风险大小及风险可能存在的领域并随时调整对重大错报风险的评估结论以及修改审计计划和审计程序;重大错报风险的评估结论以及控制测试的结果决定了实质性程序的性质、时间安排和范围,科学准确的评估结论和测试结果可以减少实质性程序的性质、时间安排和范围,从而提高审计效率和审计效果。风险导向审计准则还要求把风险评估和修改贯穿于审计工作全过程。注册会计师最终通过实质性程序把重大错报查找出来并提请被审计单位调整,按照重大错报的定义来衡量未更正错报汇总数情况并发表恰当的审计意见,实现合理保证报表整体不存在由于错弊而产生的重大错报的审计目标。
风险导向审计并不是注册会计师根据自己的承受能力确定可接受的审计风险,并围绕此审计风险来评估重大错报风险,从而确定可接受的检查风险形成的封闭循环。也就是说,可接受的审计风险、重大错报及重大错报风险大小不是注册会计师自行决定的,而是由委托人决定的,不是注册会计师想用多少程序就用多少程序,这一切都是在接受业务委托时就已经决定了的。决定每一步程序都须把委托人的需求考虑进去并以此为前提和基础,这样就形成了一个较大的开放的审计循环,如图1所示。与其说这是风险导向审计不如说是委托人需求导向审计更合适,这应该是风险导向审计的精神实质。
尽管财务报表使用者的需求也是财务会计准则概念框架的逻辑起点,但是,财务会计的目的是为之提供其所需要的财务会计报表,而注册会计师是为之(合理)保证财务会计人员提供报表的合法(编制基础)性和公允性,二者在合法(编制基础)公允的报表后面就分道扬镳了,这也正说明财务会计与财务会计报表审计的区别与联系,并且不能因之否定现代风险导向审计以报表使用者的需要为逻辑起点的科学性,因为这种需要不仅仅是接受委托时的出发点,而且是执行审计业务时考虑各个方面问题的出发点和归宿。
三、现代风险导向审计的前提条件
现代风险导向审计综合吸收了数理统计、概率论、财务分析、系统论、战略管理、波特五力分析、平衡计分卡、coso报告等方法、工具或其思想,进一步在审计模型基础上把以上方法和工具统合起来,在风险评估时考虑到了环境、交流、沟通、职业怀疑等社会和行为因素,做到了理论上严谨、实践上有效,既科学又实用。但是作为一种抽象的理论模型其不可避免地也忽略了一些因素,预设了一些前提。笔者认为风险导向审计的成功实施必须至少具备以下一些前提:
(1)审计人≠被审计人,其内在含义是注册会计师应该超然独立于被审计单位,包括形式上的独立和实质上的独立;
(2)委托人≠被审计人,该前提避免了由于被审计人付费带来的不独立;
(3)委托人一报表使用者,对于通用目的财务报表,委托人与其他报表使用者的目标函数可能不一致,该前提避免了由于报表使用者之间目标函数不一致带来额外的法律风险;
财务报表风险评估例7
一、审计理念的最新发展――风险基础战略系统审计
审计理念是审计工作的指导思想,贯穿于整个审计过程的始终,是审计行为模式的高度概括。审计理念大体上经历了四个阶段:账表导向审计阶段;制度基础审计阶段;传统风险导向审计阶段;风险基础战略系统审计阶段。传统风险导向审计对于企业经营过程中管理层通同舞弊、虚构交易或事项而导致财务报表潜在错报无能为力,风险基础战略系统审计应运而生。风险基础战略系统审计(risk-basedStrategic system Audit,简称SSA)产生于20世纪90年代后期,它是以战略观和系统观为指导思想,以被审计单位的战略经营风险为导向,以风险的识别、评估和应对程序为中心,侧重于评估财务报表重大错报风险的审计模式,是审计模式发展的最新阶段。其中,审计风险是指当财务报表存在重大错报而审计人员发表不适当审计意见的可能性,重大错报风险是指财务报表在审计前存在重大错报的可能性。
2006年2月15日,财政部了48项中国注册会计师执业准则(以下简称新审计准则),构成了一个完整的框架体系,标志着我国与国际惯例趋同的注册会计师执业准则体系正式建立。新审计准则既考虑了我国的国情,又充分吸收了国际会计师联合会(IFAC)下属的国际审计与保证准则委员会(IAASB)的最新研究成果(ISA315、ISA330、ISA500),强调以了解被审计单位的经营战略及其业务流程为起点,以识别、评估和应对会计报表重大错报风险为中心进行审计,这就从理论上体现了审计理念由传统风险导向审计模式彻底转变为风险基础战略系统审计。
审计理念的革新是审计环境变化在审计模式上的充分反映,风险基础战略系统审计的开拓者――美国毕马威会计师事务所审计与鉴证研究中心主任Timothy B.Bell博士和伊利诺伊大学香槟分校会计系主任Ira Solomon教授认为,风险基础战略系统审计是在新时期企业管理舞弊日益增多、审计市场竞争日益激烈、管理者更加关注企业核心竞争力、经营优势和经营风险的情况下,会计师事务所采取的应对措施。
二、传统风险导向审计与风险基础战略系统审计比较分析
传统风险导向审计的目标是对被审计单位财务报表的合法性和公允性发表审计意见。其审计模式是从分析被审计单位财务报表的固有风险和控制风险入手,根据内部控制测试的结果决定实质性程序的性质、时间和范围,对各类交易和账户余额两个层次的认定进行再认定。这一思路缺乏对企业经营管理的宏观环境和战略风险的分析和评价,无法从源头上控制和降低审计风险(谢荣、吴建友,2004)。近年来出现的由于被审计单位管理舞弊而导致的审计失败,使传统风险导向审计在战略和技术方法上捉襟见肘。
风险基础战略系统审计的目标不仅包括对被审计单位财务报表的合法性和公允性发表审计意见,还应当合理保证财务报表整体不存在重大错报。其思路是在了解被审计单位经营战略和外部环境的基础上评估重大错报风险,通过“战略分析一经营环节分析――财务报表剩余风险分析”的基本思路(张连起、丁勇,2004),决定实质性审计程序的性质、时间和范围,对各类交易、账户余额和列报与披露三个层次的认定进行再认定。传统风险导向审计与风险基础战略系统审计的比较如表1所示。
三、风险基础战略系统审计程序和方法
风险基础战略系统审计以风险识别、评估和应对程序为中心。风险识别、评估和应对由了解被审计单位及其环境并评估重大错报风险和针对评估的重大错报风险实施的程序两大部分组成。具体审计程序主要包括为评估财务报表总体层次和认定层次重大错报风险的风险评估程序和审计测试程序。
在新审计准则中,风险评估程序由“新审计准则第1211号――了解被审计单位及其环境并评估重大错报风险”来规范,具体为:(1)实施风险评估程序,包括询问被审计单位管理层和内部其他相关人员、分析程序(新审计准则第1313号)、观察和检查;(2)了解被审计单位及其环境;(3)了解被审计单位内部控制;(4)评估重大错报风险。
审计测试程序由“新审计准则第1231号――针对评估的重大错报风险实施的程序”来规范,包括:(1)针对会计报表层次评估的重大错报风险的总体应对措施;(2)针对认定层次重大错报风险的进一步审计程序,具体为控制测试、实质性程序;(3)评价审计证据的充分性和适应性。
新审计准则将审计测试程序称为“进一步审计程序”,包括控制测试和实质性程序,注册会计师应当以对认定层次重大错报风险的评估结果为基础,并考虑既定的审计风险水平确定可接受的检查风险水平,据此计划和实施实质性程序。
四、我国会计师事务所风险基础战略系统审计模型设计
国际会计师事务所早在20世纪90年代中期就着手研究风险基础战略系统审计的流程和方法,如原安达信的经营审计(Business Audit)、安永的审计创新(Audit Innovation)、德勤会计师事务专用于银行审计的程序(AS/2)和毕马威会计师事务所(KPMG)现行的风险导向审计框架及其经营计量程序(王咏梅、吴建友,2005)。综观这些研究成果,其审计程序都强调从战略的角度对被审计单位的经营风险进行识别、评估和应对,在评估重大错报风险结果的基础上,确定实质性程序的性质、时间和范围。
面对日益加剧的企业经营风险,2004年10月美国COSO委员会在其1992年的《内部控制整体框架》基础上,吸收各方面风险管理研究成果,颁布了《企业风险管理框架》(Enterprise Risk Management Framework),为注册会计师从控制环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息与沟通、监督八个方面(朱荣恩、贺欣,2003)了解被审计单位的企业风险管理过程提供了指导和帮助。
我们认为,风险基础战略系统审计模型设计的思路应该是:从系统论和战略论的角度,以被审计单位的经营风险为导向,侧重于对整个经营环境和经营过程的分析,围绕识别、评估和应对重大错报风险来设计审计流程。结合新审计准则和,《企业风险管理框架》的思想,我们设计的风险基础战略系统审计(SSA)模型。
此风险基础战略系统审计(SSA)模型围绕重大错报风险(RMM)识别、评价和应对的防线,经过初步、进一步和最终三个环节评估财务报表和认定层次的重大错报风险,运用询问、分析程序、观察和检查等方法对被审计单位及其环境和企业
风险管理过程进行了解,这是一个连续、动态和系统地收集、更新与分析信息的过程,贯穿于整个审计过程的始终。风险评估程序不足以为发表审计意见提供充分适当的审计证据,注册会计师还应当设计和实施进一步审计程序。控制测试并不是必须的审计程序,在被审计单位内部控制不健全和失效的情况下,注册会计师应更多地依赖实质性程序,但无论评估的重大错报风险结果如何,注册会计师都应当从各类交易、账户余额和列报与披露三个层次实施实质性程序。
五、风险基础战略系统审计模型的应用
风险基础战略系统审计模型是现代审计流程的高度概括,是审计模式发展的最新阶段,利用该模型可以节约审计成本,提高审计工作效率。
目前,我国市场经济不够发达,法律制度不够健全,审计期望呈不断扩大的趋势,审计人员整体素质不高,风险防范意识薄弱,无法满足风险基础战略系统审计的需要。在运用风险基础战略系统审计时,既要借鉴国外的经验,又要充分结合国情,我们应注意以下几点:
第一,努力营造良好的风险基础战略系统审计应用环境,大力推行风险基础战略系统审计模式。会计师事务所和注册会计师首先要接受风险基础战略系统审计这一新的理念,从局限于被动的常规审计程序审核中解脱出来,转化为主动地注重审计程序实质上的审查,充分运用分析程序,评估被审计单位财务报表的重大错报风险;其次,应充分理解风险基础战略系统审计的实质和精髓,不能变相为常规审计程序的随意省略,从而削弱其功效,制约风险基础战略系统审计模式的推行。
第二,社会公众应对风险基础战略系统审计及其结果有合理预期,风险基础战略系统审计能够对财务报表整体不存在重大错报获取合理保证。由于审计中存在的固有限制影响注册会计师发现重大错报的能力,注册会计师不能对财务报表整体不存在重大错报获取绝对保证。
财务报表风险评估例8
现代风险导向审计实务模式下,注册会计师确定两个层次的重要性水平,就某一特定的被审计单位而言,出具真实公允的财务报表是被审计单位管理当局的责任,而报表中的错报漏报到多大程度会影响到报表使用者的判断决策是客观存在的,这个尺度只有管理当局最清楚。但这个客观的重要性水平是一个非常抽象的标准,对注册会计师而言具有不可确知性,只能利用对被审计单位的理解和职业判断进行评估。且目前也没有尺度去评价CPA所估计的重要性水平是接近还是偏离客观重要性水平,所以伴随CPA这种职业判断的审计风险接踵而来,不仅如此,不同的报表使用者容许报表中存在的错报或漏报严重程度不尽相同,但在实践中,注册会计师用统一的量化的重要性判断标准来指导审计实务,将承担一定的审计风险,实践中重要性水平的确定和注册会计师承担审计风险存在必然联系。
审计风险是指财务报表中存在重大错报,审计人员审计后发表不恰当审计意见的可能性。由于财务报表审计业务是一种保证程度较高的鉴证业务,CPA应当确定一个合理、可接受的审计风险水平。CPA考虑到审计成本、会计师事务所对待风险的态度及审计失败承受能力的大小确定的可接受审计风险水平应足够低。审计实务中,将审计风险分为两个层次,重大错报风险和检查风险。前者是指财务报表在审计前存在重大错报可能性,与被审计单位本身所面临的环境相关,财务报表本身并不能反映诸如战略风险、经营风险等因素,所以注册会计师对财务报表重大错报风险水平的评估必须利用系统观方法把被审计单位所面临的宏观因素融入到财务报表整体层次中,如了解被审计单位行业状况、法律环境、监管环境,分析被审计单位的经营风险、生存能力、管理能力等因素,然后将整体层次的重大错报风险与认定层次可能发生的错报联系起来。针对具体认定层次风险严重性和可能性,确定进一步的审计程序,CPA通过实施具体的审计程序,收集到充分适当的审计证据来控制检查风险水平,所以从审计人员角度看,确定各个认定层次的重要性水平,但能否查出各个认定层次的错报漏报是否超过重要性水平这本质上属于审计检查风险。对重大错报风险水平进行恰当评估基础上,只有将审计检查风险降到可接受范围之内,才能达到审计后的报表容许的错报或漏报在重要性水平之下,审计风险在可承受范围之内。 转贴于
二、审计程序的界定
审计计划阶段确定的重要性水平,可接受的审计风险水平,最终都是在为注册会计师实施审计程序范围的大小服务。而随着审计程序实施范围的不断加深及对被审计单位具体情况的不断了解,注册会计师不断修正审计计划阶段确定的重要性水平和审计风险水平。所以审计程序范围与计划阶段确定的重要性水平、审计风险水平具有相对应的关系。
现代风险导向审计模式下,审计程序按实施的目的分为风险评估、控制测试、实质性测试。风险评估程序是以了解被审计单位及其环境并进行恰当评估重大错报风险为起点和导向,获得包括对企业外部、内部环境的风险的初步了解和识别,并根据初步评估结果,计划和实施控制测试程序,然后根据风险评估程序和控制测试的结果,计划和实施实质性测试程序。现代风险导向审计新理念是增强风险评估的新导向和进一步审计程序的针对性。如果初步评估重大错报风险水平较高,则CPA应实施更多实质性测试而相应减少控制测试的范围,把从宏观着眼识别和评估出的重大错报风险与微观的某类交易、账户余额及列报认定相联系,通过实施具体的细节测试和分析性测试,将认定层次的错报或漏报查出,控制检查风险水平,通过将组成财务报表三个认定层次的超过重要性水平的错报或漏报查出,才能合理保证财务报表整体不存在重大错报,审计风险也能降低到可接受范围之内。
三、重要性水平、审计风险与审计程序的关系
在既定的、可接受的审计风险水平一定的前提下,初步评估的重大错报风险与检查风险水平成反向关系。检查风险是指CPA未能发现某一认定存在错报,该错报单独或连同其他错报是重大的可能性小,即该错报在重要性水平之下,这样注册会计师承担的检查风险水平会很低。如果注册会计师发现某项认定单独或连同其他错报认定发生超过重要性水平的错报的可能性大,CPA需要实施的审计范围就越大,实施的审计程序类型就要更多一些。当重大错报风险水平偏低,CPA估计的重要性水平可以偏高,虽然重要性水平判断风险增加,但由于重大错报风险水平降低,也可抵消重要性水平估计偏高所带来的审计判断风险,从而使审计风险降低至可接受水平。融合前者重要性水平与审计风险成反向关系,利用层次分析法界定评定重要性水平、重大错报风险水平和检查风险水平之间的关系如图1:
风险评估程序和控制测试结果表明,如果计划阶段确定的重要性水平偏高,CPA实际面临的审计风险水平超过了可接受检查风险水平,根据初步评估的重大错报风险设计的审计程序将不再适用,如果可能,可以一方面通过扩大控制测试范围或实施追加的控制测试,另一方面修改计划实施的实质性测试的时间、范围和降低检查风险。计划阶段确定的重要性水平越高,则报表中容忍的错报数额越大,CPA承担的审计风险越小,反之越高。所以重要性水平与审计风险水平成反向关系。但CPA确定的重要性水平一定要客观,且不可人为降低审计风险水平而提高重要性水平金额。这样反而加大了CPA承担的审计风险水平。CPA在审计开始时,确定两个层次的重要性水平。通过了解被审计单位及其环境所实施的风险评估程序,初步评出重大错报风险水平不同情况下,可能会修正初始确定的财务报表整体重要性水平。进而分配到各个认定层次的重要性水平也会不同。针对各个认定层次所实施的审计程序的性质、时间、范围会受到影响,注册会计师收集到的审计证据也会多寡不均。这样注册会计师承受的检查风险水平会不同,当重大错报风险水平评估较高时,CPA所承担各个认定层次的检查风险水平必须降下来。两者成反向关系基础上才能保证可接受的审计风险水平最低。
在现代风险导向审计模式下,以了解被审计单位及其环境并评估重大错报风险为重心,确定或修正计划阶段所估计的重要性水平的客观性,通过实施两个层次的审计程序,在无法改变重大错报风险水平的前提下,改变认定层次的检查风险水平从而将认定层次所包含的错报或漏报降低在重要性水平之下,整个财务报表层次的错报或漏报在整体层次的重要性水平之下。能合理评估财务报表的重大错报风险成为评价会计师事务所及CPA专业胜任能力和考验审计质量的关键尺度与决定性因素。以CPA动态分析重大错报为依据调整重要性水平,要求CPA根据重大错报风险的实际变化通过调节检查风险水平来修正审计程序性质、时间和范围,从而把审计风险降低到可接受范围之内,审计任务就能顺利完成。 转贴于
参考文献
财务报表风险评估例9
风险导向审计是企业财务管理工作中的一项重要内容,对企业工作的开展以及今后的发展具有重要影响。目前,审计员在风险导向审计工作中存在一些问题,这些问题的存在主要是因为审计人员缺乏对审计流程的深刻理解,在风险导向审计工作中仅仅拘泥于形式。因此,风险导向审计模式的逻辑梳理很有必要。
一、风险导向审计测试流程的逻辑梳理
风险导向审计具有不确定性,这是因为审计是基于企业管理层的财务报表开展工作,但是财务报表往往存在虚报的问题。并且,审计师即使具备较高的专业技能水平,在审计工作中也难免出现失误。上述因素的存在,对审计的效果会造成影响,从而导致审计风险的产生。
审计风险通常指财务报表出现重大错报时审计师未给出正确审计意见的概率。其中包括多个层面的含义,例如:财务报表本身存在问题以及财务报表对审计师产生误导等。
审计风险对企业的发展具有重要的影响,审计师在工作中必须高度重视可能存在的风险。在社会各界的共同努力下,审计风险模型得以形成,即“审计风险=重大错报风险×检查风险”。风险导向审计模式是以该模型为中心进行风险评估及应对。
检查风险与审计师的工作质量具有较大关联,要求审计师应确保自身工作质量从而降低检查风险。重大错报风险的发生,主要因为财务报表在审计前就存在较大的错误,从而影响审计结果的真实性。这就要求审计人员需对财务报表进行核查,最重要的是采取相应的防范措施。
二、风险导向审计模式的审计实务
(一)风险导向审计模式中的风险评估
通过企业业务流程的评估对企业内部控制进行了解,首先对流程执行穿行测试,主要包括以下步骤:第一、阅读企业的流程手册,通过流程手册对企业业务流程进行了解;第二、和企业员工展开关于流程的讨论。审计师通过与企业员工的讨论,可以了解企业流程的实施情况,同时了解流程是否存在变化等。审计师也应明确各项流程的具体细节,在穿行测试执行前,应与项目责任人进行谈论;第三、对穿行测试进行记录。审计师在上述工作的基础上,应做好相关的记录,可以将企业的流程用流程图的形式予以呈现,并对上期审计档案相关流程的记录进行更新。
(二)企业业务流程风险的识别
审计师在完成穿行测试后,应进行流程重大错报风险的评估。审计师在识别工作中可以预估流程中可能存在的风险,并且评估其可能导致的后果。例如,某汽车销售企业,销售人员擅自更改销售记录,导致销售数量被虚报,以此获得更多的绩效。该风险凭借销售、佣金、现金以及应收账款对企业的财务报告目标产生影响。再例如,通常汽车先进行汽车的制造然后再生成销售订单。如果客户在型号、颜色等方面的选择未及时传达给工厂,工厂制造不符合客户要求的汽车产品,将导致客户不满出现退订的情况,使企业蒙受销售损失。
(三)企业已识别风险的相关控制设计
企业内部控制的实施,是为了使风险发生的概率降低,同时促使业务目标得以达成。企业通过设计与执行,从而实现已识别风险的有效控制。审计工作中,风险应对措施的设计与执行也是一项重要内容。
审计师通过企业业务流程的了解,对企业业务流程的风险进行判断与识别。企业业务流程的风险因素较多,导致审计师的审计工作难以全面。因此,审计师应根据重大错报风险的发生特征,注重财务报表中的重大错报风险的审计。
(四)风险应对
在经过风险导向评估程序后,审计师对企业财务报表存在重大错报的情况具有一定的了解,然而,即使审计师充分了解企业的财务运营状况,风险评估也仅仅作为一种参考,需要审计师执行有关程序进行评估结果的核实。所以,审计师应基于风险评估,采取针对性的防范措施,避免自己出现审计失败,即未发现企业存在的财务错报风险,而发表错误的审计意见,影响企业经济效益的提升。
首先,针对报表的重大错报风险,应对以下层面作出调整,包括项目组的专业素质、工作态度以及审计程序总体方案等。再者,针对认定层次重大错报风险,需要采取与其“具体”特征相匹配的具体措施,也就是需要进行审计测试。具体应对措施包括控制测试以及实质性程序两大类。通常先测试相关内部控制,根据控制效果的判断进行实质性程序范围的调整。
(五)审计测试的主要操作流程
第一、控制测试。审计师进行企业业务流程的评估,识别风险,再识别内部控制,结合穿行测试,判断内部控制的效果,在此过程中,需要进行控制测试。控制测试的结果对实质性程序产生影响,但两者应有效结合才能实现企业财务报表重大错误风险的有效核实。
第二、实质性分析程序。审计师基于企业风险评估,怀疑企业应收账款存在风险,可通过分析应收账款余额,对记录金额与期望金额进行比较,从而根据比较差异得出记录金额是否存在重大错报的判断。具体步骤如下:审计师在建立期望值的基础上,确定可接受的差额,然后针对有待调查的差额进行识别,接着对企业的报告进行获取、量化以及评估,从而得出评估结果,最后将执行的程序做好相关记录。
第三、细节测试。细节测试主要针对重要的交易、账户余额以及披露。审计师首先进行相关总体的识别,然后选择合适的测试方法,进而使测试的范围得到确定,接着选择测试的项目,对该项目的证据进行审计,从而得到评估测试结果,最后进行测试记录。
三、结束语
总而言之,风险导向审计对企业的运营与发展具有十分重要的影响,企业需要开展有效的风险导向审计工作,针对可能出现的重大财务报表错报风险进行识别,并且采取有效的应对措施,从而使企业因风险可能造成的损失减小,有利于企业经济效益的提升,促进企业在激烈的市场竞争中实现可持续发展。
参考文献:
财务报表风险评估例10
[中图分类号] F239.2[文献标识码] A
[文章编号] 1673-0461(2008)07-0094-04
2006年2月,财政部出台的48项注册会计师职业准则的特点之一,是借鉴国际审计理念研究和实务研究的先进成果,引入了现代风险导向审计,制定了审计风险准则,并构成了整个审计准则体系的核心部分。可以预见,现代风险导向审计必将取代系统导向审计和传统风险导向审计,在我国注册会计师审计实务中被广泛运用。因此,有必要对在我国实施现代风险导向审计过程中可能遇见的问题进行系统分析,针对存在的问题提出解决的建议。
一、传统风险导向审计及缺陷分析
传统风险导向审计是通过对固有风险和控制风险的评估确定检查风险,并以此为依据决定实质性测试的时间、性质和范围的一种审计。其模型为:审计风险=固有风险×控制风险×检查风险。传统风险导向审计存在以下缺陷:
1.忽略对固有风险的准确评估
固有风险是指假设不存在相关内部控制的前提下,某一账户或交易类别连同其它账户、交易类别产生重大错报和漏报的可能性。由于对固有风险的评估包括的内容很多,如又要评估被审计单位的控制风险。因此,在传统风险导向审计下,基于稳健考虑,注册会计师直接将固有风险确定为高水平,即直接将其假设为100%。这就人为地割裂了内部控制与固有风险之间的联系,导致对固有风险的评估存在偏差,因而不能从整体上把握被审计单位的总体风险。
2. 对控制风险的评估结果可能失误
传统风险导向审计一般假定固有风险为最高水平,把重点放在对控制风险的评估上,依据对控制风险的评估结果,决定实质性测试的性质、时间和范围。由于控制测试的依据(如经济文件、会计资料、业务流程等)多数来自于被审计单位内部,容易被企业的管理者操纵,所以当存在被审计单位管理层舞弊情形时,而简单的控制测试未能发现串通舞弊,控制测试的结果就不能反映被审计单位控制风险的实际水平,从而降低了注册会计师发现重大错报风险的概率,由此可能导致错误的审计结论。
3. 缺乏对财务报表整体风险的评估和测试
传统风险导向审计要求注册会计师在评估被审计单位的固有风险时从财务报表层次和账户余额层次两个方面加以考虑。但最终结果是落实到账户余额层次而不是财务报表层次,可能会导致错误的审计意见的发表。具体表现是:第一,对控制风险的评估只重视对被审计单位的各种账户和余额实施控制测试,忽略了从宏观角度对财务报表层次重大错报风险的评估;第二,依据对管理层关于财务报表账户层面各个不同认定的审计结果,推测财务报表错报漏报的金额,其实质是对财务报表账户层面错报漏报的金额的简单相加,这种简单相加的结果有时并不能代表财务报表整体的特征。
4. 固有风险和控制风险的评估缺少可操作性
传统风险导向审计要求分别评估固有风险和控制风险,从理论上讲是可行的,从审计实践上看,缺乏可操作性。这是因为固有风险和控制风险同受企业内外部环境的影响,两者之间也相互影响,在实践中很难作出区分。另外,大部分审计程序都是多重目的,很难确定一项审计程序是为固有风险提供了审计证据,还是为控制风险提供了证据。
二、现代风险导向审计的概念及特征
一系列重大审计失败案件的发生,审计实务界开始反思传统风险导向审计在防止管理层舞弊和经营战略风险方面的不足,国外一些会计师事务所开始尝试改进传统的风险导向审计。2003年10月,国际审计和签证委员会了一系列新的审计风险准则,要求注册会计师更深入地进行风险评估,并对审计风险模型作出重大改动,至此现代风险导向审计开始确立。2004年COSO的《企业风险管理―整合框架》使得以评估重大错报风险为起点的现代风险导向审计日趋成熟。
1. 现代风险导向审计的概念
现代风险导向审计是以重大错报风险的识别、评估和应对做为审计工作的主线,并贯穿审计工作始终的一种新型风险导向审计。其审计模型用公式表示为:审计风险=重大错报风险×检查风险,因此,现代风险导向审计以评估财务报表的重大错报风险为主线,根据评估的重大错报风险实施具体的审计程序,最终将审计风险控制在可接受的范围内。
2. 现代风险导向审计的特征
与传统风险导向审计相比,现代风险导向审计具有以下特征:
第一、引入重大错报风险
现代风险导向审计要求注册会计师在审计过程中要以评估被审计单位财务报表重大错报风险为起点,并且规定注册会计师在审计前必须准确地评估被审计单位的重大错报风险,进而确定实施审计的范围和重点。注册会计师评估重大错报风险,不仅需要了解与财务报表项目和账户、交易相关的内部控制,而且更需要了解与财务报表相关的被审计单位的经营环境、行业状况、战略目标。此外,现代风险导向审计关注的内部控制构成要素已经超过了传统风险导向审计,包括内部环境、目标设定、事项识别、风险评估、风险反映、控制活动、信息与沟通、监控等8个要素。
第二、审计重心前移
现代风险导向审计程序主要包括风险评估、控制性测试以及实质性测试,而且重点是风险评估程序。风险评估程序要求注册会计师必须了解被审计单位及其环境,评估财务报表层次和认定层次的重大错报风险,分析被审计单位可能存在的高风险领域,并针对风险评估结果实施进一步的审计程序。现代风险导向审计的重心由控制测试向风险评估转移,不仅强化了风险评估程序,而且强化了风险评估对审计程序的指导作用,真正体现了现代风险导向审计的审计理念。
第三、审计证据的外部化
由于审计的重心从控制测试向风险评估转移,审计证据也从企业的内部向外部扩展。这是因为重大错报风险的评估,需要了解被审计单位的整体环境,包括企业的经济环境、法律环境以及影响企业生产经营的其他环境,并将环境证据作为企业外部证据的依据,从而为发现被审计单位管理层的串通舞弊和评估被审计单位内部控制的强弱提供强有力的证据。因此,现代风险导向审计下获取的审计证据不仅包括传统风险导向审计中实施控制性测试和实质性测试所获得的内部证据,还包括风险评估程序中了解企业及其环境所获得的外部证据,有利于注册会计师降低审计风险,提高审计质量。
第四、审计测试程序的个性化
传统风险导向审计采取标准化的审计程序,即对不同的审计单位和审计环境都采取相同的审计程序,注册会计师在审计过程中缺少随机应变和灵活运用的能力,必然导致客户对审计的预期值与审计结果之间存在着差距。现代风险导向审计要求实施风险评估程序,评估确定被审计单位的重大错报风险。即通过实施风险评估程序,测试企业的各个风险领域,针对不同的风险领域实施不同的审计程序。因此,在现代风险导向审计实施的过程中,注册会计师可以针对不同风险的客户,不同客户的风险,采用个性化的审计程序,从而克服了传统风险导向审计测试程序标准化的缺点。
第五、 审计思路的改变
传统风险导向审计下,注册会计师从交易的视角来评价审计风险,测试重大的会计交易。不足之处是过度地关注处理交易的会计技巧,而没有充分地关注它的经济背景,提高了审计师误解它们的背景、意义或目的的风险。而现代风险导向审计是从战略系统视角来评价审计风险,要求注册会计师在审计过程中运用自下而上和自上而下两条审计战线,并且两条战线同时作战。首先,运用自上而下的审计思路,从企业的经营环境、经营风险和战略管理分析入手,确定实施审计的重点和范围,进而对企业的经济业务做出实质性的判断,从而确定相关的审计程序。其次,要求注册会计师在实施审计程序的过程中充分运用重要性判断的原则,对审计结果进行取证。最后,结合自下而上的思路对财务报表的整体风险进行综合评估,形成最终的审计结论。所以,现代风险导向审计的审计思路,可以从源头和结果多方面出发,有利于揭露和发现被审计单位的财务舞弊现象,从而使审计思路更加完善和有致。
三、 实施现代风险导向审计存在的问题
1. 审计成本的提高问题
实施现代风险导向审计,可能导致财务报表审计成本的提高,主要原因是:首先,在计划和控制测试阶段,由于了解被审计单位及其环境的范围扩大、测试范围的拓展等,需要运用更多的专业知识和更复杂审计方法;同时从审计资料的收集、整理、分析、评估到审计风险的量化都需要花费注册会计师大量的时间和精力。因此,审计范围的扩大成本和审计时间的延长成本成为注册会计师在审计过程中不可忽视的潜在成本。其次,现代风险导向审计把审计风险的概念贯穿于审计程序的各个具体步骤中,注册会计师一旦发现问题,就要对存在问题的领域进行重新评估,必然会加大审计成本。最后,现代风险导向审计注重对被审计单位重大错报风险的评估,从而对人力资本提出更高的要求,需要更多有丰富工作经验的注册会计师,这就要求会计师事务所对注册会计师进行专业培训,使他们熟悉现代风险导向审计的各个流程以及在审计过程中应该注意的问题,增加了人力资本和物力资本的投入。
2. 审计人员的知识面狭窄和经验不足问题
现代风险导向审计的实施要求注册会计师具有开阔的视野、渊博的会计审计知识和相关知识和较高的职业判断能力,而现阶段我国注册会计师的知识结构和经验还难以适应现代风险导向审计的要求。这是因为:第一,虽然我国绝大多数审计人员通过了注册会计师考试,但是我国的注册会计师考试没有涉及会计、审计、财务管理、经济法、税法以外的内容,注册会计师也无法在实践中积累丰富的审计经验,难以形成较高的职业判断能力。第二,长期以来我国的会计师事务所开展的主要是会计和审计业务,没有涉及到经济、法律等其他方面的业务,导致注册会计师不了解被审计单位的经营状况、行业背景、战略目标、经营管理等方面的知识,也不具备运用数理模型分析推理的能力。因此,我国注册会计师缺乏正确评估客户的经营风险和舞弊风险的能力,无法针对评估结果实施个性化的审计程序。
3. 信息库和审计程序软件的建设滞后问题
现代风险导向审计要求注册会计师在了解被审计单位的宏观环境、监管环境、行业发展、经营状况的基础上分析和评估被审计单位的重大错报风险。首先,注册会计师只有在审计过程中收集到足够多的信息,才能更好的分析和评估被审计单位的重大错报风险。其次,为了保证审计方法的科学性,注册会计师还需要运用科学的手段对被审计单位的财务数据和非财务数据进行系统的统计。再次,注册会计师还需要运用正确、合理的审计方法对收集到的信息进行综合的分析和判断。然而,这些基本数据的取得,仅仅依靠被审计单位注册会计师的力量是远远不够的,这就要求会计师事务所建立强大的数据库系统,对收集到的零散数据进行筛选和加工,以满足注册会计师对被审计单位进行战略评价和风险评估的需要,从而为注册会计师的审计工作提供有效的数据支持。
目前,我国审计软件的开发不够理想,信息系统建设的速度比较缓慢,绝大部分注册会计师缺乏这方面的知识和技能。因此,我国在审计程序软件的开发速度和信息库的建设问题等方面还达不到现代风险导向审计的要求,导致客户信息储存量较少,数据的积累有限,从而影响了注册会计师对企业的整体风险和行业风险的分析。
4.法律、准则制度的不完善问题
我国注册会计师职业准则虽然正式引入了现代风险导向审计,制定了风险导向审计准则。但与其相适应的注册会计师执业的法律环境还不完善、相应的准则指南和其他配套规范还没有建立,这将影响现代风险导向审计的实施。
注册会计师执业法律环境的不完善主要表现:第一,我国的《注册会计师法》、《公司法》、《证券法》、《刑法》等法律文件都是以行政责任为主,以刑事责任和民事责任为辅,特别是对民事责任的规定笼统不具体、缺乏可操作性。第二,注册会计师监管部门对审计质量的监管主要是检查注册会计师在审计过程中是否执行了所有常规的审计程序,而不是检查会计师事务所出具审计报告的质量,即所承担的审计风险,致使注册会计师和会计师事物所会重视常规审计程序而忽视重大错报风险的评估。第三,我国目前仍旧处于审计诉讼成本过高、审计诉讼率过低的阶段,致使企业的投资者会计师事务所具有较高的难度。以上导致注册会计师和会计师事物所不会主动实施审计成本较高的现代风险导向审计上。
注册会计师职业准则方面存在的问题主要表现为:审计准则还没有细化为能够为注册会计师理解和掌握的细则或指南,审计人员难以将审计准则付诸实施;我国审计准则所涉及的风险评估内容只是对1992年COSO提出的内部控制的五要素的评估,即对控制环境、监督、风险评估、信息与沟通和控制活动的评估,对五要素的评估是为传统风险导向审计服务的,与国外会计师事物所开展的现代风险导向审计,对内部控制八要素的评估,即内部环境、目标设定、事项识别、风险评估、风险反映、控制活动、信息与沟通、监控等不相一致。另外目前我国还没有依据八要素建立的企业风险管理框架,企业建立风险管理制度缺乏依据,会计师事务所评估重大错报风险缺少参考标准。
四、推行现代风险导向审计的对策
1. 完善审计程序、提供增值服务合理提高审计收费
针对实施现代风险导向审计而增加的审计成本,对会计师事务所而言,一方面,应高度重视重大错报风险的评估,制定完善的审计总体策略和合理的具体审计计划,以减少不必要的审计程序,力求在确保审计质量的前提下降低审计成本。另一方面,注意提供增值服务,例如注册会计师在审计的过程中可以为被审计单位提供改善企业的人员结构、完善企业的财务制度和内部控制制度等建议,甚至为企业建立风险管理制度献言建策,当客户意识到现代风险导向审计也存在增值服务,并为企业带来增值服务时,就可以在审计成本、审计收费中找到一个平衡点,进而可以合理的提高审计收费。
2. 提高注册会计师的综合素质、重构注册会计师的知识体系
目前,我国注册会计师具备的知识范围和职业能力,难以适应现代风险导向审计的要求。为了适应现代风险导向审计的要求,应从以下方面着手:首先,会计师事务所应该对注册会计师进行现代风险导向审计知识体系的培训,充分利用各方面的资源,及时调整培训工作思路,改善注册会计师的知识结构,使其不仅仅精通会计、审计等方面的专业知识,而且还应该使其掌握战略管理、薪酬管理、经济指标、业绩评价等前瞻性的知识。其次,会计师事务所应该优化注册会计师的队伍,改变会计师事务所的人才结构,促进人才结构的多元化发展。另外,会计师事务所还应该重视法律、电子商务、风险管理、工商管理等专业人才的培养,为现代风险导向审计对人才的多元化需求打下基础。
3. 会计师事务所应该建立数据库、大力开发审计软件
中国注册会计师协会应会同政府有关部门,建立各种级别的资料库,收集各个行业的资料,并且将各个行业所获得的信息及时在网上公布,从而实现会计师事务所、各级政府以及各个协会之间的联网。以解决会计师事务所收集数据能力方面的限制,满足会计师事务有效判断被审计单位的经营风险和行业风险的需求。
会计师事务所应建立功能庞大的数据库,建立客户档案,对注册会计师在审计过程中所需要的各方面的知识以及有关被审计单位的各种资料进行整理和归纳,并及时更新数据库,为注册会计师实施现代风险导向审计提供强有力的数据支持,以满足注册会计师在审计过程中及时了解被审计单位的经营战略、业务流程、风险评估和经营业绩等方面的需要。
我国应该大量进口国外先进的审计软件,不仅能使审计成本和经济效益达到平衡,而且还能提高审计效率。在引进国外审计软件的同时,我国应大力开发适应我国注册会计师实施审计程序的审计软件,从而可以直接对信息数据库进行加工和分析,并可以根据开发的审计软件自行检验,促进现代风险导向审计在我国的全面推行。
4. 加强法律、准则制度建设
为了有效推行现代风险导向审计,需要从以下方面加强法律法规建设:第一,在《注册会计师法》、《公司法》、《证券法》、《刑法》等法律文件中明确界定普通过失、重大过失和欺诈行为的界限,增强审计法律的可操作性。第二,改变以行政责任为主,以刑事责任和民事责任为辅的法律现状,落实会计师事务所和注册会计师的民事赔偿责任。第三,健全诉讼机制,简化诉讼程序,严格业务检查制度,加大注册会计师行业的社会监督力度。
需要从以下方面加强准则制度的建设:第一,制定审计风险准则指南,使准则指南具有可操作性,主要应制定《中国注册会计师审计准则第1211 号―了解被审计单位及其环境并评估重大错报风险》、《中国注册会计师审计准则第1231 号――针对评估的重大错报风险实施的程序》准则指南。第二,依据2004年COSO的《企业风险管理―整合框架》修订《中国注册会计师审计准则第1211 号―了解被审计单位及其环境并评估重大错报风险》,使得审计风险评估内容扩展为对内部控制八要素的评估。第三,建议财政部会同大型企业、会计师事物所着手制定主要行业的企业风险管理框架,为企业建立风险管理制度提供制度依据,同时也为会计师事务所评估重大错报风险提供参考标准。
[参考文献]
[1]刘明辉.高级审计理论与实务 [M].大连:东北财经大学出版社, 2006:158-183.
[2]中国注册会计师协会.审计 [M].北京:经济科学出版社,2007:162-200.
[3]胡春元.风险基础审计[M]大连:东北财经大学出版社,2001:87-114.
Issues in Modern Risk-oriented Auditing and Its Countermeasures
WangLiyan
