一、审计风险的基本涵义
关于审计风险的涵义,目前国内外审计职业界还没有形成一个完全一致的定义。国际审计准则第25号《重要性和审计风险》将审计风险定义为:“审计风险是指审计人员对实质上误报的财务资料可能提供不适当意见的风险。”《美国审计准则说明》第47号认为:“审计风险是审计人员无意地对含有重要错报的财务报表没有适当修正审计意见的风险。”我国《独立审计具体准则第9号———内部控制与审计风险》则将审计风险定义为:“审计风险,是指会计报表存在重大错报或漏报,而注册会计师审计后发表不恰当审计意见的可能性。”以上三个定义,虽然对误报的界定范围有所不同,如国际审计准则界定为“实质上”,我国独立审计准则界定为“重大”,而美国审计准则界定为“无意”行为,而非有意为之;但是对审计风险基本涵义的表述是一致的,即审计风险是指审计人员对存有重大错报和漏报的财务报表,审计后却认为该重大错报和漏报并不存在从而发表与事实不符的审计意见的风险。因此,我们可以认为,审计风险由两方面风险构成:一方面是财务报表本身存在重大错报和漏报的风险,另一方面是审计人员审计后表示该报表并不存在重大错报和漏报的风险。也就是说,审计风险是客观的存在和主观的努力的结合:客观存在可以通过主观努力去调节,但主观努力又受成本效益原则的约束,因而审计风险具有下面三种具体表现形式。
二、审计风险的三种形式
1.评估审计风险。评估审计风险是指审计人员接受某审计项目后,在初步了解被审计单位基本情况的基础上,采用一定的审计手段,所评估的该项目可能存在的审计风险。评估审计风险主要与被审计单位本身的各方面情况有关。被审计单位的规模越大、经营性质越复杂、内部控制越弱、管理当局的可信赖程度越低,则评估审计风险也就越高。评估审计风险是导致财务报表产生重大错报和漏报的可能性,是客观的存在,它不受审计人员的影响和控制。
2.可接受审计风险。可接受审计风险是指审计项目完成后,审计人员或会计师事务所准备承担或可以接受的审计风险。可接受审计风险主要受以下三个因素控制:①会计师事务所的风险承受能力:会计师事务所的风险承受能力越强,可接受审计风险也就可以越高。会计师事务所的风险承受能力则主要取决于事务所的规模、经济实力以及法律责任的承担能力等。②财务报表和审计报告使用者的情况:财务报表和审计报告的使用者素质越高、范围越广,对财务报表和审计报告的利用程度越高,可接受审计风险就越低。③行业之间的竞争情况:会计师事务所之间的竞争越激烈,可接受审计风险也就越低。可接受审计风险是审计人员或会计师事务所主观确定的,其与评估审计风险的差异,即为需要主观努力的程度,是决定审计项目取舍的重要衡量标准之一。
3.终极审计风险。终极审计风险是指审计项目完成后所实际形成或审计人员实际承担的审计风险。终极审计风险主要与审计程序的设计和执行情况有关。审计程序设计和执行得越好,终极审计风险就越低。终极审计风险在数量关系上、理论上应与可接受审计风险一致,但实际上,它既可能大于也可能小于可接受审计风险,因为审计程序的设计和执行受审计人员的业务素质和某些主、客观因素的影响。因而审计人员在执行审计过程中,应尽量按计划规范操作,以使终极审计风险控制在可接受审计风险范围内。
简而言之,评估审计风险是客观存在的,可接受审计风险是主观确定的,而终极审计风险是客观存在和主观努力的结果。因此,审计人员在决定是否承接某一审计项目时,可以将评估审计风险与可接受审计风险进行比较,然后根据成本效益原则决定取舍。如果接受该项目,在审计过程中应尽量严格执行所设计的审计程序,使终极审计风险等于或小于预先设定的可接受审计风险。虽然终极审计风险取决于可接受审计风险,但并不完全等同于后者,它是固有风险、控制风险和检查风险共同作用的结果。
三、审计风险与审计重要性和审计证据的关系
1.审计风险与审计重要性的关系。《我国独立审计具体准则第10号———审计重要性》第二条指出:“审计重要性是指被审计单位会计报表中错报或漏报的严重程度,这一程度在特定环境下可能影响会计报表使用者的判断或决策。”简单地说,审计重要性就是错报的可容忍程度,其量化标准即重要性水平。也就是说,在重要性水平之内的错报,是可以容忍,可以接受的。因此,审计风险与审计重要性之间有着密切的关系。
评估审计风险与审计重要性之间是反向关系,即评估审计风险越高,所确定的重要性水平就越低,这样才能保证终极审计风险在一定水平内。反之,评估审计风险越低,重要性水平越高,这样可以节约审计成本。《我国独立审计具体准则第10号———审计重要性》第八条指出:“注册会计师应当考虑重要性与审计风险之间存在的反向关系。重要性水平越高,审计风险越低;重要性水平越低,审计风险越高。”这里的审计风险指的就是评估审计风险。这一反向关系也可从另一个角度来理解,即计划确定的重要性水平越高,对审计工作质和量的要求就越低,在此条件下作出正确审计结论的可能性就越大,审计风险因而也就越低。
可接受审计风险与审计重要性之间是正向关系,即可接受审计风险越高,所确定的重要性水平越高,这样可以保证审计成本的节约。反之可接受审计风险越低,所确定的重要性水平也应越低,这样才能保证审计质量的控制。因为可接受审计风险越低,说明审计人员要求的财务报表错报的可容忍程度越低,则其重要性水平也应越低,才能满足较低的审计风险的要求。“”版权所有
终极审计风险与审计重要性之间也是正向关系。因为终极审计风险基本上取决于可接受审计风险。
【关键词】现代风险导向理论;碳交易审计;审计程序
【中图分类号】F239.43【文献标识码】A【文章编号】1004-5937(2016)19-0103-04
一、引言
风险导向理论的发展由来已久,近年来对其的研究也日趋成熟和系统化,在各行各业中得到广泛应用,并取得了明显的实践效果。审计行业借鉴该理论发展了现代风险导向的审计模式,极大地提高了工作的效率和质量,是注册会计师应对复杂环境变化,有效控制风险的一大利器[1]。与此同时,随着国内碳交易的快速发展以及国家对于建立全国范围的碳交易市场的强烈要求,对企业碳排放量核查、鉴证业务的需求愈发强烈,碳交易审计这一新兴业务流入中国[2]。但对于国内的注册会计师而言,碳交易审计是一个相对陌生的领域,加之当前碳交易问题的敏感性,这就要求在碳交易审计中应特别关注对风险的控制,并依据统一的国际标准为碳交易审计指明重点[3]。因此,以现代风险导向理论为基础,结合ISO14064国际标准对碳交易审计程序进行研究,对建立和完善我国碳交易审计业务具有重要意义。
二、碳交易审计程序设计引入现代风险导向理论必要性
目前,我国开展的碳交易审计缺少审计理论支持,尤其是在审计程序的设计方面缺少对风险点的控制,没有突出审计重点,导致审计风险较高、审计效率低下,难以适应碳交易审计发展需求。下面从内部和外部两个角度对碳交易审计程序中引入现代风险导向理论的必要性进行分析。
从内部而言,碳交易审计作为一项鉴证业务,最终需要对碳交易活动提出审计意见并提供一定程度的保证。在审计工作过程中,注册会计师难以避免地处于较高执业风险的环境下[4]。效仿传统财务报表审计,注册会计师在设计碳交易审计程序时,引入现代风险导向理论,可以更好地规避碳交易审计风险。
从外部而言,碳交易审计的审计对象是企业的碳排放活动,碳排放活动是极其复杂且难以全面监控的,对其进行全面审计不现实,也不符合成本效益原则。在审计过程中,注册会计师应关注重大风险领域,将主要的审计资源投入到重要的、风险程度较高的碳排放活动中[5]。现代风险导向理论可以识别和评估风险,区分重大风险领域,进而起到优化资源配置,完善碳交易审计程序的作用。
因此,为指导碳交易审计程序的设计,笔者将以现代风险导向理论为依据,即以风险识别、评估和应对为主线,关注企业碳交易过程中的风险领域,并结合碳交易业务的特点,设计碳交易审计程序。
三、现代风险导向模式下碳交易审计程序设计
在风险导向理论的指导下,注册会计师将以识别、评估重大错报风险为工作重点,设计合理有效的审计程序控制检查风险,从而控制碳交易审计风险[6]。图1列示了设计的碳交易审计程序及其与现代风险导向理论之间的关系。
对现代风险导向碳交易审计程序进行具体分析,可划分为以下环节:
(一)接受业务委托
作为一项新业务,注册会计师在实施碳交易审计业务前应明确以下几个方面:(1)充分获取企业与碳交易有关碳排放情况的信息。(2)识别碳交易审计目的,明确审计结果的用途及受影响的利益相关者。(3)确定企业的组织及运营边界,确定对象空间范围[7]。(4)根据目标用户的需求确定保证等级。(5)保证自身符合独立性要求,避免与被审计企业之间存在利益关联。(6)保证专业胜任能力。鉴于碳交易审计的特殊性和专业性,会计师事务所承接业务前必须严格检查审计团队的专业胜任能力是否能够满足业务需要。
(二)计划审计工作
确定接受委托之后,注册会计师需要编制相应的审计工作计划。此阶段应重点关注以下几个问题:(1)确定企业主要的碳排放源;(2)分配审计资源;(3)确定重要性水平,即依据量化和非量化信息,综合确定整体重要性水平。
(三)碳交易风险识别
碳交易活动归根结底其实是碳排放量的交易[8]。因此,审计过程中必须重点关注产生的源头,识别相关的碳排放风险。注册会计师应当深入了解企业碳排放过程,并借助ISO14064标准提供的核点识别碳排放风险。此风险识别过程中有以下四个关键性问题需要重点把握。
1.确定排放名单。ISO14064系列标准是国际标准化组织(ISO)为了环境管理标准化所制定的测量和控制碳排放的国际通用标准,可用来服务于碳交易,指导碳交易审计工作。该标准把碳排放分为三个类型:直接排放、购买能源产生的间接排放、与企业相关的其他间接排放[9]。
2.测算的方法和技巧。测算碳排放量是一个繁琐和系统的过程,目前国内企业难以做到对碳排放量准确的计量。注册会计师在审计过程中可以参照ISO14064标准规定的能量守恒法①和排放因子法②对碳排放量进行重新估算。
3.碳管理内部控制系统。类似于评估企业的内部控制环节,在碳排放活动运行的同时,需要有相关内部控制系统对碳排放信息进行记录和存储。应国家和市场的要求,国内许多企业都陆续开发了内部控制系统来监测碳的排放。注册会计师需要判断碳排放管理内部控制系统设计是否合理、运行是否有效。
4.碳足迹的注册登记。为获取碳排放额度和进行碳排放交易,企业必须依靠认可核准的碳排放量在碳交易市场注册登记[10],注册会计师需要关注企业登记过程的合规性以及信息的真实性。
(四)错报风险评估
在完成碳交易风险识别过程后,应对其恰当评估,判断是否会导致错报风险。同时,还应评估该风险是与具体认定相关,还是与碳排放报告整体相关。
如果与具体认定相关,可以结合财务报表审计中对具体认定的划分,依据审计目标判断该风险是与碳排放量相关(见表1),还是与碳信息披露相关(见表2)。
在风险评估过程中,注册会计师需要判断碳排放报告中各项认定是否恰当,是否公允反映了碳排放状况,并将审计目标对应到具体认定中。注册会计师还应当借助风险评估一般方法判断碳交易风险是否会导致错报风险,确定错报风险的重要性水平。
(五)重大错报风险应对
面对碳排放报告整体层面的重大错报风险,注册会计师需要制定总体应对措施。这些措施至少包括:(1)在证据收集和分析过程中保持足够的职业审慎;(2)派遣有专业胜任能力的注册会计师,如需要可利用相关专家的工作;(3)对审计过程提供更多的监督和管控,保证对审计质量的控制[11];(4)选择不被审计企业预见的审计方法和程序;(5)对拟实施审计程序作出相应的修改,必要时可增加其他程序。
针对认定层次的碳交易重大错报风险,注册会计师应从两个方面实施进一步审计程序:一是对内部控制系统实施的测试;二是对具体认定实施的实质性程序。注册会计师首先通过初步测试,对企业的碳管理系统进行深入的了解,并确定出管理重点领域和薄弱环节,作为进行穿行测试③的依据,形成对此系统是否完善的整体意见。注册会计师可以通过测试发现和预防重大错报,依赖企业碳管理控制系统,适当减少实质性测试,减少碳交易审计工作量。
在碳交易审计中,注册会计师实施的实质性程序既要关注企业碳排放量核算的公允性,也要检查碳排放数量信息、碳活动合法性信息在温室气体报告中的披露情况。所以,需要从碳排放量认定和碳信息披露认定出发,梳理出审计目标与实质性程序三者间的关系(见表3、表4),以期指导碳交易审计工作。
(六)完成审计工作
注册会计师在完成上述程序后,应汇总和评价审计证据,运用专业分析和职业判断,形成恰当的审计意见。注册会计师需要将碳交易审计过程书面记录,形成审计工作底稿,便于后期质量复核。审计报告需要沟通并提交给被审计企业,被审计企业将自身的碳排放报告与审计报告一同提交给碳交易监管部门,用来证明碳排放活动的真实合规,以期获取碳排放配额或者进行碳交易。
综上所述,现代风险导向碳交易审计程序包括接受业务委托、计划审计工作、碳排放风险识别、碳排放风险评估、碳排放风险应对、完成审计工作6个环节,整个审计过程贯彻了风险识别、评估和应对的核心思想,以识别、评估重大错报风险为导向,通过获取充分适当的审计证据将审计风险控制在可接受的低水平,为注册会计师顺利完成碳交易审计提供了保证。注册会计师运用该审计程序在确保碳交易审计工作质量、顺利完成审计目标的同时,在审计程序中突出了对风险点的管控,使得审计过程更具有针对性,提高了碳交易审计效率,推进了碳交易审计在我国的发展,从而有助于碳交易审计更好地为碳交易活动服务。
【参考文献】
[1]魏东,岳杰,王Z珉.碳排放权交易风险管理的识别、评估与应对[J].中国人口・资源与环境,2012(8):28-32.
[2]陈华,王海燕,荆新.中国企业碳信息披露:内容界定、计量方法和现状研究[J].会计研究,2013(12):18-24.
[3]钱纯,苏宁.关于我国碳审计主体的思考[J].会计之友,2011(17):76-78.
[4]袁B.探析会计师事务所在中国开展碳审计业务的机遇与挑战[J].现代经济信息,2011(5):101-104.
[5]张帆.风险导向的碳排放审计程序研究[D].中国海洋大学,2012:34-35.
[6]岳杰,居岩岩,王Z珉.碳排放权交易风险管理的识别、评估与应对[C].第六届(2011)中国管理学年会:会计与财务分会场论文,2011.
[7]李敬.碳交易背景下第三方碳审计研究[J].环境保护与循环经济,2015(5):19-21.
[8]郝玉贵,陈小敏,付饶.低碳治理导向的碳审计功能与机制设计[J].财会月刊,2015(22):54-57.
[9]国际标准化组织.ISO14064-2006[S].国际标准化组织,2006.
【关键词】“免疫系统”风险导向审计
一、研究意义
我国政府审计自1983年成立以来,初步建立了中国特色的审计监督制度,回顾政府审计的发展历程,其中一条成功经验就是政府审计要根据国家需要,适应社会环境,开拓创新。在新的发展时期,“免疫系统”理论具有重要的理论和现实意义。
1、“免疫系统”理论适应了审计环境的要求
“免疫系统”理论是在新的社会环境下,对政府审计的科学认识。目前我国社会主义市场经济体制初步建立,但是影响发展的体制障碍依然存在。十七大报告第一次全面准确地阐述了科学发展观的科学内涵,成为指导我国经济社会发展的重大方针。在科学发展观的指导下,“免疫系统”理论阐明了“什么是审计”、“为什么要审计”、“为谁审计”、“靠谁审计”和“怎样审计”等一系列问题,形成了一个科学完善的理论结构。
2、“免疫系统”理论指出了政府审计的本质
我国政府审计采用行政型审计模式,根据宪法规定,政府审计在政府首长领导下,独立行使审计监督权。但对什么是审计监督,以及如何履行审计监督职能,长期以来一直是从字面意义来理解。“免疫系统”理论从马克思主义国家学说的角度出发,认为政府审计本质上是一个国家经济社会运行的“免疫系统”,能够最早地感受到病毒侵蚀的风险,更早地揭示病毒侵蚀带来的危害,更快地抵御、消除这些危害,从而保护国家经济安全。“免疫系统”理论为政府审计勾画了一幅生动形象而又寓意深刻的发展蓝图。
3、“免疫系统”理论描绘了政府审计的基本特征
作为一种理论,必须有一些概念作为基本框架,“免疫系统”理论在审计基本特征中引入了一系列相互联系的概念:立足建设性,坚持批判性;立足服务,坚持监督;立足宏观全局,坚持微观查处和揭露;立足主动性,坚持适应性;立足开放性,坚持独立性。这些辩证统一的概念,在坚持既定方针的基础上,又向前迈出了一大步,构建了一个立体、动态、开放的“免疫系统”。
4、“免疫系统”理论推动了政府审计的创新步伐
“免疫系统”理论拓展了政府审计的发展空间,为政府审计理论注入了新的活力,也融入了《审计署2008至2010年审计工作发展规划》。要做好审计工作,一方面要提高审计实务水平,另一方面要加强理论研究,创新审计理念,提高审计效率和效果,提升政府审计的社会地位。
二、对风险导向审计的简要回顾
风险存在于各个社会领域。1957年《蒙哥马利审计学》第八版首次将风险概念与审计程序联系起来,探索改进审计实践方法。1981年美国审计准则委员会了第39号审计准则公告《审计抽样》,认为审计风险由固有风险、控制风险、分析性测试风险和详细测试风险四个子风险构成,1983年美国审计准则委员会了第47号审计准则公告《审计风险和重要性》,对审计风险的构成要素作了修改,将分析性测试风险和详细测试风险合并为检查风险。审计风险模型为:审计风险=固有风险×控制风险×检查风险。由于评估固有风险有一定难度,审计人员往往直接将其评估高风险,使固有风险评估流于形式。国内一些学者称其为从传统风险导向审计,也有一些学者认为该审计模式并没有带来方法上的创新,本质上仍属于制度基础审计。
20世纪90年代,大型会计师事务所开始探索自己的风险导向审计方法,如安永的“审计创新”、安达信的“经营审计”、普华永道的“普华永道审计方法”、德勤的“AS/2”、毕马威的“经营计量程序”等。由于各种原因,会计师事务所一般不公开其具体审计技术,所以人们对这些方法的研究并不多。
1997年,毕马威研究小组出版了《以战略系统观组织审计》,提出了毕马威的经营计量程序(BMP)审计模式:首先,分析企业的经营模式,以“自上而下”和“自下而上”相结合的方式理解企业的内外部经营环境;然后,以战略分析、经营环节分析、风险评估、业绩衡量和持续提高等五个原则来分析企业经营风险,得出关于剩余风险的结论及其对审计的影响;最后,用剩余风险来指导实质性测试,从而“自下而上”地完成审计工作。国内学者一般将这些审计模式概括为经营风险导向审计。
2003年国际审计与鉴证理事会了审计风险准则,包括《财务报表审计的目标和一般原则》、《审计证据》、《了解被审计单位及其环境并评估重大错报风险》和《针对评估的重大错报风险实施的程序》。审计风险准则研究了大型会计师事务所的审计方法,并吸取了一系列财务舞弊丑闻的教训,其主要特点:一是修订了审计风险模型,审计风险=重大错报风险×检查风险;二是要求注册会计师必须更广和更深地了解被审计单位及其环境,以充分识别和评估财务报表重大错报风险,并针对评估的重大错报风险设计和实施控制测试和实质性程序。国际审计准则已在世界上许多国家采用,我国也根据国际准则制定了相应的审计风险准则。国内一些学者将这种方法称为现代风险导向审计,也有一些学者直接称之为风险导向审计。
三、“免疫系统”理论下的审计风险模型
1、审计风险
在“免疫系统”理论下,政府审计的职能是及时揭示重大风险,保障国家经济安全,因此审计风险表现为经济社会中存在重大风险而政府审计未能及时揭示的可能性。对于审计风险造成的损失,有两种截然不同的观点:一种观点关注给审计主体带来的损失,另一种观点关注给委托人(或授权人)带来的损失。对于注册会计师来讲,由于自利行为驱动,注册会计师可能会更加关注给审计主体带来的损失。而对于政府审计而言,审计部门是政府的一个组成部门,审计部门利益是国家整体利益的一部分,审计部门不能因小失大,只考虑审计部门利益而忽视国家利益,因此在分析审计风险时,要注意两者之间的不同。
2、重大风险
重大风险是指审计前存在重大问题的可能性。注册会计师从事的是财务报表审计,对财务报表的真实性、公允性发表意见,所以注册会计师称之为重大错报风险,重大错报风险实质上是受托财务报告责任履行风险。我国政府审计领域包括财务审计、绩效审计、经济责任审计等等,不但审计受托报告责任,而且审计受托行为责任,基本上涵盖了所有的风险类型,因此用重大风险概念来替代重大错报概念。那么是否可以用“经营风险”概念?经营风险主要是从被审计单位考虑,并不是审计人员的审计目标,因此尽管经营风险与重大风险关系密切,但是不能作为审计风险的子因素,这也是经营风险导向审计的一个重大缺陷。
如果进一步细分,重大风险可以分为固有风险和控制风险。传统风险导向审计将审计风险分为固有风险、控制风险和检查风险三个要素,现代风险导向审计将固有风险和控制风险合并为重大错报风险,但是在判断风险属性和责任方面,划分固有风险和控制风险还是适当的。固有风险是指不存在相关内部控制的假设下重大风险发生的可能性。目前我国正处在改革攻坚时期,新问题、新矛盾层出不穷,固有风险普遍存在。控制风险是指发生了重大风险,而内部控制未能及时防止、发现和纠正的可能性。内部控制是组织为了保证财务报表的可靠性、经营的效率和效果以及对法律、法规遵守的政策、程序和过程,但由于设计、执行以及舞弊等原因,特别是一些体制、制度上的问题,控制风险依然存在,如果不及时解决,或处理不当,也会给社会造成严重损失。
从审计程序分析,现代风险导向审计对重大错报风险还体现了另一种分类,即财务报表层次和认定层次的重大错报风险,并针对两个层次的重大错报风险分别实施总体应付措施和进一步审计程序,而且更加重视整体层面的分析。与此相似,经营风险导向审计也采用战略分析和环节分析两个层次来评估经营风险,并且,战略分析被认为是经营风险导向审计区别于传统风险导向审计的主要标志。在“免疫系统”理论中,政府审计的基本特征之一就是立足宏观全局,坚持微观查处和揭露。这些都反映了对总体和局部的辩证认识。
3、检查风险
检查风险是指审计人员未能发现重大风险的可能性。审计是一个专家型的职业,审计人员只有具备丰富的理论知识,长期的实践经验和较强的判断力,才能从复杂的审计对象中收集到充分、适当的审计证据,作出正确、合理的判断。由于客观环境不断变化,审计内容趋于复杂和广泛,审计人员的知识、经验和能力又是有限的,难免得出错误结论,形成检查风险。无论是经营风险导向审计,还是现代风险导向审计,在审计程序中都忽视了检查风险,以至于一些学者认为风险导向审计中的“风险”概念是指经营风险、重大错报风险或者其他风险。事实上,检查风险才是审计工作、审计失败和审计责任的关键,这也是批评者对风险导向审计的担忧,值得我们进一步改善。
4、审计风险模型
审计风险模型是对审计风险的抽象表达形式,反映了审计风险各要素的相互关系以及它们对审计风险的影响。因此可以将审计风险模型定义为:审计风险=重大风险×检查风险。
审计风险模型中包含两个审计要素,其关系表现为前者对后者的影响,在数量上表现为概率的连乘(可以进一步展开,如审计风险=固有风险×控制风险×检查风险,或审计风险=整体风险×认定风险×检查风险,或审计风险=战略风险×运营风险×检查风险,本文不作具体探讨)。
对模型可以从两个方面分析。一方面,在可接受的审计风险水平下,了解和评估重大风险水平,以确定检查风险水平,从而合理分配审计资源,提高审计风险效率和效果。另一方面,我们也看到,注册会计师在从事风险导向审计时,也开始开展大量的管理咨询服务(也称管理审计,但不能影响独立性),说明风险导向审计可以为被审计单位提供增值服务,改善经营管理水平,这就降低了经营风险和重大错报风险,也就相应降低了审计风险,这才是最有价值的审计。在“免疫系统”理论中,有四个基本特征强调了这种思想:立足建设性、立足服务、立足主动性、立足开放性。政府审计只有及时识别、预防和控制重大风险,从根源处最大限度地降低风险,才能实现政府审计的根本目的。
四、“免疫系统”理论下的风险导向审计程序
1、基本程序分析
对于审计程序,现代风险导向审计的主要路径是“风险评估―控制测试―实质性程序”,经营风险导向审计的主要路径是“整体层面分析―环节分析―实质性程序”。两者相比较,共同点是在制度基础审计的方法上重心前移,通过风险评估或整体层面分析对企业进行系统的战略分析,不同点在于现代风险导向审计作为准则未对审计方法作过多规定,需要审计人员进行更多的职业判断,而作为经营风险导向审计,在大型会计师事务所已形成了“规范化”的分析方法,这也是准则与实务的不同之处。
与传统风险导向审计比较,现代风险导向审计的关键和难点是风险评估程序。
(1)风险评估涉及到经济、管理、技术等多学科领域,需要充分发挥团队力量,综合分析,集思广益。
(2)风险评估在内容上要求了解被审计单位及其环境的各个方面。如:政府工作目标和基本职能;实现目标的战略规划;对目标和战略产生不利影响的外部环境和内部因素;内部控制的设计以及是否执行。称之为“了解”,意指审计人员不需作过多深入研究,以免加重审计责任,但是了解的程度要足以识别重大风险。
(3)风险评估采用询问、观察、检查、分析程序等方法,但核心是分析程序,如战略分析、绩效分析、财务分析、会计分析、前景分析等,常用的分析工具有PEST分析、SWOT分析、平衡积分卡等。
(4)风险评估是一个连续、动态的过程,贯穿整个审计过程。
与传统风险导向审计比较,控制测试、实质性程序也有所变化。在传统风险导向审计中,审计人员往往机械地执行程序,在形式上迎合审计准则的要求。在现代风险导向审计中,要求审计人员在设计进一步审计程序(控制测试、实质性程序)时,将审计程序的性质、时间和范围与风险评估密切联系起来。
2、“免疫系统”理论下审计功能分析
在“免疫系统”理论下,政府审计除了一般审计功能,还要主动发挥预警、控制、处置等功能。在保持独立性的基础上,审计机关可以向被审计单位提供技术性指导,充当被审计单位顾问或咨询专家的角色。现代审计的观点是预防发生比惩罚官员更重要。如果将现代风险导向审计程序分为不同层次,风险评估处于宏观层次,控制测试处于中观层次,实质性程序处于微观层次,三个层次逐步递进,既是一个系统的审计方法,也符合风险管理的基本框架。
在风险评估中,通过广泛、深入地了解被审计单位及其环境,及时识别风险,估计风险的重要性、可能性,风险预警。1990年美国审计总署开始报告政府工作中的高风险领域,此后,与每届国会的时间相一致,总署定期报告高风险的进展和更新高风险系列。为了改进高风险项目,总署提出了许多建议,用以改善人力资源、财务管理、信息系统状况等,高风险问题的解决为国家节约了几十亿美元的资金,显著提高了政府服务质量,增强了政府绩效和责任的信任度,同时,高风险系列也帮助国会制定和完善了一系列的法律规范。在西方国家,对预测性、前瞻性的审计需求不断增加,成为政府审计的一项专门业务。
审计人员对内部控制的研究和评价,分为两个阶段:第一阶段是了解内部控制,分析内部控制的设计,并确定是否执行;第二阶段是控制测试,测试内部控制运行的有效性。在一般风险导向审计中,了解内部控制是必经程序,但对于控制测试,出于成本效益的考虑,并非在任何情况下都需要实施。只有认为控制设计合理、能够防止或发现和纠正认定层次的重大风险,审计人员才有必要对控制运行的有效性实施测试。但在“免疫系统”理论下,政府审计在各种情况下,都应该实施控制测试,对内部控制存在严重问题的,更要格外重视,以发现内部控制缺陷,提出建设性意见,及时化解重大风险。
实质性程序是直接用于发现认定层次重大风险的审计程序,用于分析重大风险对考核指标的影响。政府审计是对被审计单位受托社会责任履行情况的监督,不同的受托责任选择不同的考核指标,如财务审计选择财务指标,绩效审计选择绩效指标,经济责任审计选择经济责任指标。以往的账项检查偏重于就事论事,对出现的问题相互推诿,“免疫系统”理论从宏观到中观,再到微观,一步一步,全方位地判断影响因素,理清了重大风险的前因后果,抓住了经济活动的实质,有利于明确受托责任,作出的结论具有说服力。
(注:本文系浙江省审计厅审计科研课题《“免疫系统”理论下的审计质量控制研究》(2009120)研究成果。)
【参考文献】
[1]刘家义:以科学发展观为指导,推动审计工作全面发展[J].审计研究,2008(3).
[2]尹平:“免疫系统”论的理论贡献和对审计事业的创新引领[J].审计与经济研究,2009(3).
[3]石爱中、胡继荣:审计研究[M].北京:经济科学出版社,2002.
[4]吴建友:现代风险导向审计研究[M].北京:经济科学出版社,2008.
[关键词]审计证据数量;重要性,审计风险,抽样风险,预计总体误差
审计证据是指注册会计师为了得出审计结论、形成审计意见而使用的所有信息,包括财务报表依据的会计记录中含有的信息和其他信息。独立审计准则规定,注册会计师应当获取充分、适当的审计证据,以得出合理的审计结论,作为形成审计意见的基础。在审计理论与实务中,诸多方面影响着审计证据的充分性,也影响着审计证据的数量。本文利用图表形式,对审计证据的影响因素进行了直观分析,旨在提高对审计证据数量影响因素的感性认识。
一、重要性对审计证据数量的影响
如果一项错报单独或连同其他错报影响财务报表使用者依据财务报表作出的经济决策,则该项错报是重大的,即影响报表使用者作出判断和决策的错报程度就是重要性水平。根据独立审计准则,注册会计师应当对各类交易、账户余额、列报认定层次的重要性进行评估,以有助于确定进一步审计程序的性质、时间和范围,收集审计证据,将审计风险降至可接受的低水平。由此可见,重要性水平影响收集审计证据的范围,从而影响审计证据的数量。
各类交易、账户余额、列报认定层次的重要性水平也称为“可容忍错报”。它是在不导致财务报表存在重大错报的情况下,注册会计师对各类交易、账户余额、列报确定的可接受的最大错报。重要性水平与审计证据之间的关系可以转化成可容忍错报与审计证据之间的关系。
在抽样审计中,可容忍错报与样本量即审计证据数量之间成反向变动关系:可容忍错报越大,样本量越小;可容忍错报越小,样本量越大。而样本量越小,审计证据越少;样本量越大,审计证据越多。因此,可得出推论:在计划审计阶段,重要性水平越高,审计证据越少;重要性水平越低,审计证据越多。这里所指的重要性水平是指重要性的数量特征,即20000元的重要性水平比10000元的错报重要性水平高。而为合理保证存货账户的错报或漏报不超过10000元所需收集的审计证据,比为了合理保证该账户错报或漏报不超过20000元所需收集的审计证据要多。
二、审计风险对审计证据的影响
审计风险是指财务报表存在重大错报而注册会计师发表不恰当审计意见的可能性。根据独立审计准则,审计风险取决于重大错报风险和检查风险,审计风险模型可以表述为:
审计风险=重大错报风险×检查风险
该式表明,在可接受的审计风险水平下,可接受的检查风险水平与认定层次重大错报风险的评估结果成反向关系:评估的重大错报风险越高,可接受的检查风险越低;评估的重大错报风险越低,计划的、可接受的检查风险越高。当可接受的审计风险水平一定时,三者之间的关系可以表示为:
检查风险=审计风险/重大错报风险
也就是说,注册会计师应当评估认定层次的重大错报风险,并根据既定的审计风险水平和评估的认定层次重大错报风险确定可接受的检查风险水平,从而设计审计程序,收集审计证据。
这一关系式从表面看,解释的是审计风险与检查风险之间的关系,其实质却是审计风险与审计证据之间的关系:在既定的、可接受的审计风险前提下,重大错报风险越大,可接受的检查风险越小,会计报表中的重大错报未被审计师发现的可能性越低,审计范围越大,需要的审计证据越多;重大错报风险越小,可接受的检查风险越大,会计报表中错报未被审计师发现的可能性越高,审计范围越小,需要的审计证据越少。也就是说,审计风险与审计证据数量之间成同向变动关系:审计风险越高,所需证据的数量越多;审计风险越低,所需证据的数量越少。
三、审计风险、重要性对审计证据的动态影响
(一)三者问的关系
根据独立审计准则,重要性水平与审计风险之间成反向变动关系,由上述分析已知,重要性水平与审计证据数量之间成反向变动关系,审计风险与审计证据之间呈现同向变动关系。
(二)评价审计结果时,重要性和审计风险对审计证据的影响
随着审计过程的推进,注册会计师应当评价对重要性的判断是否仍然合理,从而确定是否面临过高的审计
风险,审计证据的数量是否满足了充分性要求。
在确定审计程序后,如果注册会计师确定接受的重要性水平接近计划阶段重要性水平,则意味着初始重要性水平确定适当,审计风险控制适当,审计证据数量适当。
如果注册会计师决定接受更高的重要性水平,则意味着注册会计师对于初始重要性水平的估计过于保守,注册会计师执行了过多的审计程序,收集了超过充分性最低数量要求的审计证据,虽不影响审计效果,但影响了审计效率。
如果注册会计师决定接受更低的重要性水平,例如初步评估的重要性水平为20000元,而再次评估的重要性水平为10000元,则意味着随着注册会计师对被审单位了解的深入,对被审单位的会计报表各个层次的重要性水平做出了重新估计。此时注册会计师认为,10000元的错报就会影响会计报表使用者的决策,而原来按照重要性水平为20000元所设计的审计程序没有收集10000元~20000元之间的错报。此时较低的重要性水平使得重大锚报风险水平提高,注册会计师实际面临的审计风险水平超过了可接受的审计风险水平,这就使得注册会计师发表不恰当审计意见的可能性增加。此时,根据初步评估的重大错报风险设计的审计程序将不再适用。注册会计师应当选用下列方法收集更多的审计证据,从而将审计风险降至可接受的低水平:
1如有可能,通过扩大控制测试范围或实施追加的控制测试,降低评估的重大错报风险,并支持降低后的重大错报风险水平。
2通过修改计划实施的实质性程序的性质、时间和范围,降低检查风险。
四、抽样风险与非抽样风险对审计证据数量的影响
抽样风险是指注册会计师根据样本得出结论和对总体项目实施同样的审计程序得出的结论存在差异的可能性,也就是样本不能够代表总体特征的可能性。例如抽样风险为10%,则意味着即使注册会计师遵循了独立审计准则对样本进行审计,其结论也不代表总体特征的可能性为10%。
非抽样风险是指由于某些同样本规模无关的因素而导致注册会计师得出错误结论的可能性。例如注册会计师选择的总体不适合审计目标,未能适当定义误差或错报,选择了不适于实现特定目标的审计程序,未能适当评价审计发现的情况等等原因所导致的未能发现重大错报或控制失败。注册会计师可以通过采用适当的质量控制政策和程序,对审计工作进行适当的指导、监督和复核以及实务的改进,将非抽样风险降至可接受的低水平。
抽样风险与非抽样风险共同构成审计风险,即:抽样风险+非抽样风险=审计风险
注册会计师若想要求样本代表总体特征的可能性越大,即抽样风险越小,则样本规模必然越大;样本规模越小,代表总体的可能性越小。即抽样风险越大。也就是说,抽样风险和审计证据数量之间呈现的是反向变动关系。
审计风险由抽样风险和非抽样风险共同构成。非抽样风险不受审计方式的影响,不随样本规模而发生变化,无论注册会计师采用抽样审计还是非抽样审计,非抽样风险都客观存在。而抽样风险随着样本规模的增加而逐步减小。在非抽样风险一定的前提下,注册会计师愿意接受的抽样风险越低,可接受的审计风险要求越低,样本规模通常越大,审计证据数量越多;而注册会计师愿意接受的抽样风险越高,可接受的审计风险要求越高,样本规模越小,审计证据数量越少。当样本规模等于总体时,即在N点处,也即详细审计时,抽样风险为零,审计风险全部由非抽样风险所构成。
五、预计总体误差对审计证据的影响
抽样审计中,预计总体误差即注册会计师预期在审计过程中发现的误差。其他条件既定的前提下,预计总体误差越大,可容忍误差也应当越大;预计总体误差越小,可容忍误差也应当越小。在既定的可容忍误差下,当预计总体误差增加时,所需的样本规模越大。也就是说,此时预计总体误差与审计证据数量之间成同向变动
六、总体变异性对审计证据数量的影响
总体变异性是指总体的某一特征(如金额)在各项目之间的差异程度。控制测试中,注册会计师在确定样本规模时一般不考虑总体变异性。在细节测试时,注册会计师确定样本规模时要考虑特征的变异性。总体的变异性越低,通常样本规模越小;具有高度变异性的总体,样本规模越大。也就是说,在细节测试中,总体的变异性与审计证据数量成同向变动关系:总体各项目之间差异越显著,样本规模就越大;反之,越小。
关键词:风险导向审计;内部审计;指导;运用
风险导向审计是在账项基础审计、制度基础审计的基础上产生的,其执行的风险导向模型是“审计风险=重大错报风险×检查风险”,我国在2006年2月对审计准则进行大幅度调整,将传统审计风险模型修改为新的审计风险模型。现代风险导向审计是以系统论和战略管理理论为指导,以降低信息风险为根本目的,以控制审计业务风险为中心,以降低审计风险为根本途径。
一、现代风险导向审计的本质
第一,现代风险导向审计是一种新的审计基本方法。传统审计风险模型的审计方法实质上仍然是制度基础审计方法的延伸,它从分析客户会计报表的固有风险和内部控制风险着手,根据内部控制测试的结果决定实质性测试的性质、时间和范围。而现代风险导向审计则是从企业的战略分析入手,通过“战略分析-环节分析-会计报表剩余风险分析”的基本思路,决定实质性审计程序的性质、时间和范围,并建立了企业会计报表风险与企业战略风险之间的逻辑联系。
第二,现代风险导向审计摒弃了传统审计简化主义的认知模式,代之以复杂系统的认知模式,并引入战略管理分析工具。现代风险导向审计的思考方法是系统理论所指导的复杂系统认知模式。审计要有效地把握会计报表的错报风险,就必须从企业的战略管理活动着手分析,对战略管理活动进行分析,必须将企业置于广泛的经济网络中进行系统分析。从方法论上讲,现代风险导向审计要比传统的制度基础审计站得更高,看得更远,对企业了解得更透。
二、现代风险导向审计在内部审计中的运用
第一,准确确定审计的重点和范围。运用现代风险导向审计理论,从分析风险入手,准确确定审计的重点和范围,在审计准备阶段,就加大防范力度,即通过对被审计单位基本情况的了解和分析性测试的结果,充分关注被审单位的特殊风险,确定总体审计风险概率和评估的重大错报风险概率,将审计风险减少到最小程度,确保内部审计能够发现业务经营活动中的重大违法违规问题及存在的风险隐患,达到实现防范风险的目的。
第二,实施控制测试和实质性测试。现代风险导向审计强调从宏观上对风险进行评估,但并不是说可以忽视微观层面的操作风险。因此,应继续实施内部控制测试,并分析重点,实施实质性测试。在控制测试和实质性测试两阶段中,审计资源的合理配置是关键,也是风险导向审计理论的出发点与归宿。因此,应结合重大风险各因素的综合分析与判断,将审计资源向重点风险领域倾斜,以实现“全面审计、突出重点”,在提高审计效率与效果的同时,强化企业风险管理。
第三,实现审计手段电子化,提高审计工作质量。一要运用计算机技术,进行内部控制风险的评估,确定标准内部控制的模型,并经常调整、完善,以提高内部控制风险的评估效率及其准确性。二要运用计算机软件进行分析性测试,提高分析的速度和准确性,扩展分析的范围。三要运用计算机进行统计抽样,避免人工抽样检查的不足,有效降低审计风险。四要构建完整的审计信息系统,推进风险导向审计与非现场审计有机结合,提高内部审计的质量和效率。
三、内部审计实施现代风险导向审计的措施
现代风险导向审计模式是为适应企业经营高风险的特点而产生的,同时也是为量化审计风险、减轻审计责任、提高审计效率和质量的一种审计方法。为加强现代风险导向审计在内部审计中的运用,笔者认为要从以下几方面努力:
第一,建立内部控制评价的新模式。在现代风险导向审计中,内部审计更加关心的问题主要是:控制风险的目标是什么,控制要解决的问题,这种控制是否先进有效,控制风险有多大,是否影响管理当局的决策等。随着市场竞争的加剧,新的审计环境要求审计人员应通过与企业管理层进行有效沟通的方式,采用新的评价模式,为企业提供更有价值的服务。
第二,加强内部审计工作的实效性。在审计技术方面,风险分析和计算机应用甚少,由此降低了审计工作效率。因此,内部审计在转变目标定位,树立管理理念的同时,更要重视审计工作的实效性,以确保审计建议的落实。
第三,提高内部审计人员的素质。对企业而言,需要界定风险范围、理顺风险责任、建立风险模型和风险防范机制,这就是要靠实施现代风险导向审计走出一条迎接风险、化解风险之路。因此要求内审人员都应加强风险意识和风险管理技能,提高内审人员对风险的敏感度,以风险为导向做好内部审计工作。
总之,企业内部审计开展现代风险导向审计是内部审计的必然发展趋势,既是职业自身发展的需要,也是当前形势发展的需要。企业内部审计坚持开展对企业风险管理过程的充分性和有效性的检查、评价和报告,促进企业改进管理、实现目标和增加价值,无疑是企业内部的一种最好资源。在实践中,尚无完整的模式可参照执行,即使有关现代风险导向内部审计的准则出台后,也需要在实践中不断完善。因此,内部审计师在现阶段,应首先接受现代风险导向审计的理念,在执行过程中,将风险评估贯穿审计的全过程,不断探索现代风险导向审计的方法,将审计风险降低到最低可接受水平。
参考文献:
1.马文成,王有良.基于风险导向审计的内部审计创新研究[J].会计师,2009(6).
2.聂海斌.风险导向审计在应用中的问题及完善[J].当代经济,2009(16).
3.张越.风险导向审计模式在内部审计应用中的探索[J].现代审计与经济,2009(4).
4.张朝.现代风险导向审计在内部审计中的应用[J].冶金财会,2009(5).
论文摘要:现代风险导向审计以被审计单位的战略经营风险分析为导向进行审计。因此又被称为经营风险审计,或被称为风险基础战略系统审计。现代审计风险模型是应用现代风险导向审计理论指导审计实务的工具。本文在分析传统模型缺陷的基础上,论述了现代审计风险模型的发展与应用情况。
0引言
现代风险导向审计按照战略管理论和系统论,将由于企业的整体经营风险所带来的重大错报风险作为审计风险的一个重要构成要素进行评估,是评估审计风险观念、范围的扩大与延伸,是传统风险导向审计的继承和发展。在该理论的指导下,国际审计和鉴证准则委员会(IAASB)了一系列新的审计风险准则,对审计风险模型重新描述为:审计风险=重大错报风险×检查风险(IAASB,2003)。由此,我们可以将目前审计执业界普遍使用的审计风险模型称之为传统审计风险模型,而将新模型称之为现代审计风险模型。
1传统审计风险模型的缺陷
目前审计职业界普遍使用的审计风险模型是由美国注册会计师协会1983年提出的。该模型认为审计风险由固有风险、控制风险和检查风险三要素组成,对审计风险的计量为:
审计风险=固有风险×控制风险×检查风险
根据上式,在既定的审计风险下,检查风险可计算如下:
检查风险=审计风险/(固有风险×控制风险)
根据上述模型,审计主体在确定可接受的审计风险时,首先要评估固有风险、控制风险,在此基础上推算可接受的检查风险。该审计风险模型存在如下缺陷:
1.1只定性分析审计风险该审计风险模型只是定性地分析了客观存在的风险。该模型考虑的风险只考虑了有关审计风险控制的环节,并用公式来描述审计风险的概率,无法直观地进行定量分析,即计量审计风险给审计主体带来的损失金额的可能性。
1.2审计风险因素不全面该模型考虑的风险只与审计过程和审计顺序有关,即只从审计主体的审计检查方法和审计对象的经营、内部控制方面考虑审计风险因素,未充分考虑审计风险产生的其他主要原因,如报表使用者的诉讼请求因素、社会宏观法律环境因素等。
1.3无法描述道德风险审计案件中存在的一些问题并非完全是由于技术上或程序上的失误造成的,审计主体的日常行为和工作态度有时也会成为问题的症结所在。因此,人们除了关注审计技术和程序的发展外,亦开始关注审计主体的自身行为,由此产生了审计主体的道德问题。但是,传统的审计模型无法描述由于不道德行为所产生的风险,包括:企业与审计主体串通舞弊,出具不恰当的审计报告;审计主体接受贿赂;审计主体为了经济利益压低价格有损同业等。
1.4对审计风险的表述不完整随着审计风险含义的扩大,审计风险控制就不能只局限于审计过程和所审计的对象,必须把审计风险的控制放在一个系统中全面把握,还应考虑审计环境影响、人员因素及后果等。审计风险范围也应扩大为审计主体风险、会计师事务所风险和会计行业风险,还包括审计结论利用中产生的法律风险以及赔偿风险。
2现代审计风险模型的发展
现代审计风险模型在传统审计风险模型的基础上进行了改进,形式上有所简化,但审计风险的内涵和外延却扩大了。
2.1认定层次风险认定层次风险指交易类别、账户余额、披露和其他相关具体认定层次的风险,包括传统的固有风险和控制风险。认定层次的错报主要指经济交易的事项本身的性质和复杂程度发生的错报,企业管理当局由于本身的认识和技术水平造成的错报,以及企业管理当局局部和个别人员舞弊和造假造成的错报。
2.2会计报表整体层次风险会计报表整体层次风险主要指战略经营风险(简称战略风险)。把战略风险融入现代审计模型,可建立一个更全面的审计风险分析框架。
2.2.1从战略风险的定义来看:战略风险是审计风险的一个高层次构成要素,是会计报表整体不能反映企业经营实际情况的风险。这种风险源自于企业客观的经营风险或企业高层通同舞弊、虚构交易。传统审计风险模型解决的是企业的交易和事项在本身真实的基础上,怎样发现会计报表存在的错报,将审计重点放在各类交易和账户余额层次,而不从宏观层面考虑会计报表可能存在的重大错报风险,这很可能只发现企业小的错误,却忽略大的问题;现代审计风险模型解决的是企业经营过程中管理层通同舞弊、虚构交易或事项而导致会计报表存在错报怎样进行审计的问题。
2.2.2从审计战略来看:现代审计风险模型是在系统论和战略管理理论基础上的重大创新。从战略角度入手,通过经营环境—经营产品—经营模式—剩余风险分析的基本思路,可将会计报表错报风险从战略上与企业的经营环境、经营模式紧密联系起来,从而在源头上和宏观上分析和发现会计报表错报,把握审计风险。而将环境变量引入模型的同时,也将审计引入并创立了战略审计观。
2.2.3从审计的方法程序来看:现代审计风险模型注重运用分析性程序,既包括财务数据分析,也包括非财务数据的分析;且分析工具多样化,如战略分析、绩效分析等。例如毕马威国际(KPMG)为应用现代审计风险模型的理念与方法,研究制定了经营计量程序(BusinessMeasurementProcess,BMP),专门分析企业在复杂的市场环境和产业环境下的经营情况,以确定关键经营风险如何影响财务结果。BMP提供了一个审查影响财务信息和非财务信息流的分析框架。
2.2.4从审计的目标来看:现代审计是为了消除会计报表的重大错报,增强会计报表的可信性。为达到此目标,注册会计师应当假定会计报表整体是不可信的,从而引进全方位的职业怀疑态度,在审计过程中把质疑一一排除。而该模型充分体现了这种观念。
3现代审计风险模型的分析应用框架
3.1确定总体审计风险概率审计风险可按其发生的可能性大小分为基本确定、很可能、可能和极小可能。可能性一般按概率来进行表述,如极小可能的概率为大于0但小于或等于5%。
社会公众对注册会计师的期望值很高,独立审计存在的价值就在于消除会计报表的错误和不确定性;缩小或消除社会公众合理的期望差距。独立性原则的要旨是使注册会计师免于利益冲突,从而奠定正直与客观的执业基础,但独立性最终体现在注册会计师独立承担审计风险责任方面,因而降低审计风险是注册会计师的“灵魂”。审计风险就是审计失败的可能性,它只能控制在极小可能程度以下,用数学概率表示应不超过5%。