风险基础审计

1.风险基础审计的定义

风险基础审计是一种有别于账项基础审计和制度基础审计的审计模式。它以量化的风险水平为重点,在确定的风险水平基础上,决定实质性测试的程度和范围。这一方法模式最显著的特点是,将客户置于一个大的经济环境中,运用立体观察的理论来判断影响因素,从企业所处的商业环境、条件到经营方式和管理机制等构成控制结构的内外部各个方面来分析评估审计的风险水平,并把客户的经营风险植入到本身的风险评价中去。此外还有一个特点就是,明确确认在为审计测试选择一个样本,企业开展业务的商业环境,对报表余额的真实性和公允性给予审计评价等都可能存在风险,并把这种意识贯穿到审计的全过程,从而在审计过程中把重点放在审计风险的评估上,并通过各种审计程序的设计和执行,把审计风险降低到注册会计师可以接受的水平。

2.风险基础审计的特征

⑴风险基础审计通过对被审计单位风险的评价,有利于寻找高风险的审计项目,从而集中力量最大限度地降低检查风险,最终使审计风险降到可接受的水平。

⑵风险基础审计提供了一种既能保证审计效果又能使审计效率提高的全新思路。

⑶风险基础审计通过审计风险模型,把风险量化,最终来决定抽样的样本量。

3.风险基础审计的思想基础

风险基础审计的思想基础主要运用了我国的孙子兵法中诸如“凡事予则立”、“仗不打就赢”等思想,即由上而下,由宏观而微观,用评估的方式对财务报表加以评价,预先决定客户的重大性范围和目标。在具体审计时,它把审计基础工作大量地放在对客户营业过程的调查,对内部控制要素进行控制测试,并对财务报表和客户的操作程序、审计环境等进行科学分析、判断上,从而使期末需要审查的结果,在期初和期中得到判断。也就是说,通过了解、观察、分析、评估来确定审计的范围和重点,做到仗还未打,已有八分胜券。这也是风险基础审计能有效降低审计风险的原因所在。

4.风险基础审计的基本程序

风险基础审计的特点表明,审计程序设计和执行恰当与否,对审计风险的控制有着重要的意义。恰当的审计程序有助于审计工作循序渐进、有条不紊地达到审计目的。在实务中,为了使审计工作做得更为细致,并能关注审计重要领域,风险基础审计的程序可分为以下五个阶段:

1.第一阶段:通过调查、了解、分析、评估等方法执行一般规划并确认重要的审计领域,识别重要的风险领域。目的是评估固有风险,确认重要的审计范围。一般在审计计划开始时进行。具体内容为:明确客户服务及其他规划目标;取得或更新对客户业务与产业的了解;执行全面控制环境的评估;对重大性作初步判断;决定要审查的重要账户;确认影响这些账户的资料来源;编制审计计划。

2.第二阶段:了解和评估重要的资料来源。目的是寻找并确定控制弱点。一般在期中审计时进行。具体内容是:确认重要的估计和资料过程;对各项过程取得了解;考虑何处可能出错;确认与评估相关的控制。

3.第三阶段:执行初步风险评估,即固有风险和控制风险的联合。目的是通过风险评估,选择可靠的、有效益的、有效果的审计查核程序。即首先考虑固有风险,再对控制风险作出初步评估。在对控制有效或无效作出判断时,主要是对客户管理意识、控制措施及控制品质、控制程序设计本身是否严密,分工分职是否良好作出判断。如果有效,则进一步对可依赖程度和发生重大审计错误的可能性作出判断。在此基础上再评估审计发生错误的可能性,并确定审计查核方法。这主要在审计中期完成。具体内容包括:确认重要的作业和交易;了解重要交易之流程,绘制流程图;研究判断错误可能发生的所在:

  • 一要辨认流程中的关键环节,
  • 二要把控制目标与流程中的重要环节串联,
  • 三要确认交易流程中可能发生的错误,辨认及了解预防控制及侦测控制,初步评估控制风险。

4.第四阶段:拟定与执行审计计划,通过实施审计获取审计证据。具体内容如下:根据评估作出的不同的风险程度,为每一类重要认定拟定不同的查核方法;拟定审计程序以供控制测试及实质性测试之用;执行内部控制测试;根据测试结果最终评估控制风险;根据所确定的察觉风险水平的高低,执行实质性测试

5.第五阶段:作出审计报告,即执行全面评估,将审计结论形成书面文件。

以上五个阶段中,前三个阶段主要通过了解、观察、分析、评估来确定审计的范围和重点,选择适当的审计程序和方法。做到仗未打,已有八分胜券,这也是风险基础审计模式的精髓。由此可以看出,虽然风险基础审计与制度基础审计在许多程序上有着相同之处,但风险基础审计是将客户置于一个大的经济环境中,从企业所处的商业环境、条件到经营方式和管理机制等内外两个方面来分析评估,全方位地判断影响因素。

5.风险基础审计的基本方法

风险基础审计这一方法模式得以产生并被越来越多的会计师事务所用于审计实践中去,说明风险基础审计是行之有效的,能满足注册会计师降低审计成本的需要和缩小期望差。以下具体讨论五种基本方法。

1.审计风险评估

风险基础审计是以审计风险评估为中心的,审计风险的评估贯穿了审计整个过程。注册会计师希望在公布已审计会计报表的结论之前将审计风险降到最低,以维持其结论的正确性。进行审计时,注册会计师最关键的是要按审计程序执行,以便把审计风险降到最低。审计程序的性质很重要,对于特定的账户,确认使用适当的审计程序工作效率会更高。在不同条件下选择不同审计程序,可采用以下两种方法:

(1)确保项目的固有属性和内部控制结构,使错误评估会计报表的风险最低而设计审计程序;

(2)为直接证实一个项目,可以使注册会计师有确切把握将该领域的重大错报查出而设计审计程序。注册会计师可以同时使用以上两种审计程序。

审计风险是固有风险、控制风险和察觉风险的结合。注册会计师不能改变固有风险。为了完成审计,注册会计师必须减少其他两种风险。注册会计师若了解控制环境、会计制度及控制程序,并能检查其效能,则可获得控制风险估计水平减少的证据。若证据显示有效,则控制风险可减低。若控制有问题,则控制风险相应增高。若想减少察觉风险,可通过有效地检查账户余额细目或其他程序来实现。

2.分析性测试(Analytical Test)

分析性测试是以财务资料及非财务资料之间的表面关系或可预测的关系,评估财务信息,分析财务信息的合理性。使用分析性测试的前提条件是公司的账户要基本可靠。这种方法能够较全面地分析比较,它要以当年余额与全年预算做比较;以毛利率或其他财务比率与去年相比;要与同行业相比。所以,使用这种方法能收到多方面的效果:它取代其他实质性测试的功效,它所揭示出来的差异,可起到“红旗”(red flag)的作用,引起注册会计师的注意;辅助审计结论;提高审计效率;降低审计风险。分析性测试与审计各个阶段密切相关,在审计计划阶段,进行内部控制测试时,不可缺少地要用到分析性测试,如审计调查时对会计报表的初步了解,利用一些指标的分析可帮助注册会计师评价审计风险的程度,提高注册会计师对企业经营业务的理解和识别风险区域。在审计实施进程中,首先要对全部账户进行广泛的分析性测试,以缩小详细测试的范围;在审计报告阶段,结束审计之前,注册会计师应对会计报表的总体内容作最后的分析,以发现那些具体抽查中未予发现的问题。

利用分析性测试可发现“可能”存在的重大舞弊或差错,可发现一些异常情况,然后通过对这些异常情况的查证,就能“合理地保证”会计报表不被严重歪曲,“合理地保证”揭露重大舞弊或差错。分析性测试的有效性是由分析方法的基本原理决定的,通过研究财务数据或非财务数据之间存在的相互关系来判断数据本身的正确性和正常性。例如,根据会计复式记账的原理,就能判断出销售收入应收账款的发生额是否正常,如果销售收入很高,而应收账款借方发生额较低,则其中必定存在问题,或账务处理的差错或蓄意舞弊。因此和其他方法相比,它根据各种数据中的相互关系,通过比率分析、趋势分析等各种指标更能发现异常情况。分析性测试所使用的分析方法可从简单的比较方法到复杂的数理统计方法,它所使用的分析指标可以是绝对数指标,如单位成本比较分析、年销售额比较分析等,也可以是相对数指标,如销售利润率、投入产出率等。所有分析性测试,包括账面的余额或比率与预期指标进行比较,而预期指标则根据数据之间相互关系以及注册会计师对客户及其所在行业的熟悉程度来决定的。决定预期指标的信息一般包括:

(1)当前的可比财务信息(考虑本期已知的变化);

(2)预见的成果,例如从中期或年末数据中推知的预见数;

(3)当期财务信息要素之间的相互关系;

(4)有关客户同行业的信息;

(5)财务信息与非财务信息之间的相互关系;等等。

3.控制测试(tests of controls)

控制测试是在内部控制结构了解的基础上,为了确定内部控制结构政策和程序的设计和执行是否有效(即效果好坏)而实施的审计程序。目的在于通过对内部控制要素进行评价以确定控制风险。控制测试的产生与内部控制结构概念的建立以及对符合性测试(compliance test)的重新认识有关。“内部控制结构” 取代原来的“内部控制制度”并不是在玩弄名词游戏,而是现代审计环境影响的结果。从审计的角度来看,一个企业的内部控制结构由控制环境、会计制度和控制程序三个要素组成。现代审计对内部控制的研究和评价范围已不再像以前那样只囿于内部会计控制,它已发展到了对控制环境的审查,以便于控制风险的确定,特别是要评价那些对财务报告的真实性有重大影响的重大差错或非法行为失控的风险。

内部控制要素进行控制测试的程序有以下四种:

(1)“询问”客户负责执行某项工作职责的有关人员;

(2)“观察”客户工作人员实际履行这项工作职责的实际情况; (3)“审查”反映这项工作职责履行情况的凭证和报告;

(4) “重新执行”这项控制。控制测试的范围取决于期望的估计控制风险实际水平 (intended assessed leve lof control risk)。注册会计师如果要求较低的估计控制风险水平,则无论从测试控制的数量来说,还是从每项控制测试的范围来说,都要采用较大的样本量来执行审查、观察和重做等程序。

4.交易业务实质性测试(substantive test of transactions)

交易业务实质性测试涉及会计系统特定种类交易的处理,通常针对主要交易类别而言。目的是决定客户的会计交易是否经过恰当的审批,在日记账中是否正确记录和汇总,是否正确地过入明细分类账和总分类账。交易业务实质性测试主要关注账户的借贷方发生的金额。无论是在期中还是期末执行,都必须在余额细节测试前来实施。因为交易业务的实质性测试通常和余额细节测试的计划同时进行。

从理论上讲,如果早期已经测试了期初余额,通过资产负债表账户余额的细节测试来间接测试主要交易类别是可行的。无论交易业务的类别测试是控制测试、实质性测试或是双重目的测试,注册会计师的基本目标都是相同的,即对特定种类交易处理的可靠性和真实性提供合理保证,以减少余额细节测试。

交易业务实质性测试的基本做法通常要考虑控制程序,即:

(1)确定交易业务流程的四大环节,即交易发生→原始单据→日记账及明细帐→总账。

(2)记录编制交易流程图:

  • 要辨明重要环节;
  • 辨明重要路径中的其他环节;
  • 绘制流程图。流程图的编制通常与控制测试一致,所以有时又称为双重目的的测试。

(3)确认可能错误的步骤:

  • 辨认交易流程中的重要环节;
  • 把控制目标和流程重要环节串联;
  • 确认交易流程中的可能发生的错误。这可与控制测试同时进行。

(4)确认账户测试的性质、时间和范围。基于对内部控制要素的了解,注册会计师应确认是否存在为实现控制目标提供合理保证的内部控制政策和程序。如果存在,则注册会计师为测试这些功能所设计的测试通常与控制测试一起进行。如果不存在这些测试,则将进行余额细节测试。

5.余额细节测试

余额细节测试是直接获得有关账户余额的证据,而不是从构成余额的单个借贷发生项目取得证据。它为余额真实性、恰当性提供合理保证,或确认出其中的货币性误差。注册会计师最终目标是对由账户余额组成的会计报表发表意见。无论采取什么策略,注册会计师都要广泛使用余额细节测试。在小型企业的审计中,许多注册会计师几乎完全单独依靠余额的直接测试。比如,注册会计师可向银行函证银行存款余额,也可向顾客函证应收账款余额。注册会计师还可以审查固定资产的余额,观察客户存货盘点和执行期末存货价格测试来获取有关余额的证据。

余额细节测试不同于交易业务实质性测试。余额细节测试涉及交易类别,如收取现金,并且可能是实质性测试、控制测试或双重目的测试。账户余额和交易是相关的,注册会计师需要对账户余额和交易类别的审计程序作出协调。在设计具体项目的余额细节测试时,其性质、时间和范围要考虑的因素是:

  • 会计报表的项目和审计目标的性质;
  • 项目余额的重要性水平;
  • 项目余额的审计风险水平;
  • 审计测试的效率。

另外,由于企业经营产生的风险,会对审计产生影响,所以经营风险也是注册会计师必须考虑的因素之一。显然,风险基础审计所涉及的范围就比制度基础审计为宽,也更符合现代审计所处的社会环境。

6.风险基础审计和制度基础审计的差别

从以上分析可以看出,与账项基础审计、制度基础审计相比,风险基础审计具有下述特征:

1.风险基础审计属于开放式模型

注册会计师在开始一项审计项目时,必须首先评估审计风险,并把它作为审计质量要求的出发点和归宿点,作为过程控制的依据。而审计风险水平的确定,必须研究谁使用审计报告、用途是什么,即要研究社会和客户的需要(期望)。注册会计师与社会、客户这方面的沟通,是合理确定审计目标的前提。注册会计师应从可审计领域中选择风险较大、问题较多的领域进行审计。而账项基础审计和制度基础审计均忽略了审计目的与手段之间内在联系,因而难免出现过度审计或审计不足的问题。

2. 风险基础审计符合人们的认识规律

审计过程是注册会计师不断加深对客户的认识过程。注册会计师从某种假定出发(如企业财务报表可以公允地反映其财务状况、经营成果和现金流量),通过调查了解、收集证据,从各个角度逐步地验证假定,最终以合理地保证确认假定是否正确,形成审计意见。客观地讲,注册会计师的认识过程应该是一个由表及里、逐步深入的过程,风险基础审计模型合理地体现了这个过程。它先从外部一个整体来判断企业的状况,再由表及里。而账项基础审计和制度基础审计则往往使注册会计师只注意局部而忘记了整体,除非注册会计师具备把握重点的超常能力,否则审计质量难以得到可靠保障。

3.风险基础审计注重在保证质量的前提下提高效率

在风险基础审计模式中,对客户的了解,对内部控制的研究与评价,分析性测试均属于效率较高的审计手续,可以有效地降低审计风险并有效地减少效率较低的细节测试工作。而在账项基础审计和制度基础审计中,分析性测试均没有得到充分的重视与利用。

4.风险基础审计能够满足审计目标不断演变的需要

如前所述,风险基础审计属于开放式模型,这不仅体现在具体单个项目上与客户的相互沟通,而且从更高层次上讲,还反映在宏观上审计目标的不断演变方面。发达国家注册会计师年度财务报表审计的风险大致可以分为三类:误报(misstatement)、违法舞弊(fraud)和经营失败(business failure)。依据风险基础审计模式组织审计工作,可有效地兼顾这三个方面,而采用账项基础审计和制度基础审计方法则很难有效地规避这些风险。

7.我国应如何实施风险基础审计

风险基础审计模式是在西方发达国家产生和发展起来的。但我们不能以经济发展水平和注册会计师行业发展水平的不同而否定该模式。我国要发展和完善的是市场经济证券市场经过十多年的发展也有一定的规模。与世界发展的潮流相适应,中国注册会计师协会颁布的独立审计准则中,有几个具体审计准则已初步体现了风险基础审计的要求,如独立审计准则第8号《错误与舞弊》、第9号《内部控制与审计风险》、第17号《持续经营》等所要求的审计事项。也有不少会计师事务所在借鉴国际"五大"成熟经验的基础上,已开发出了以风险评价为中心的审计程序。

然而,在实践中,由于整个审计准则的导向是以制度评价为基础的,大多数注册会计师基本上仍按照账项基础审计模式操作,即把审计的主要精力放在具体交易事项或期末余额的细节测试。总体上,大多数的会计师事务所尚未开发出以风险评价为中心的审计程序,风险基础审计的思路基本上没有在实践中得到体现。研究其中的原因,主要是行业对这一现代审计模式的认识不够,审计思路未转换过来。当然,在我国全面推广这一审计模式,就要通过大规模的培训,使注册会计师理解这一模式。

尽管如此,我们认为,在现阶段我国仍可实施风险基础审计模式。关键在于如何调整审计思路,并将各种注册会计师已非常熟悉的技术有机结合在一起。如要充分重视对客户情况的了解,扩展审计证据范围;有效利用内控评价结果,合理选择测试性质、时间与范围;充分利用分析性测试,科学地把握审计质量;合理确定细节测试的性质、范围、时间和抽样方法,改善证据的客观性;积极运用电脑技术,提高审计工作水平。

应用风险基础审计,还需要在接受审计项目时即考虑审计风险问题,研究审计报告的使用者及使用的目的,还应该将审计风险与重要性水平的确定联系在一起。许多具体应用中的问题也还有待于实践中进一步探索解决的办法。但是,只要广大注册会计师能够真正转变观念,切实开始按照风险基础审计的思路组织审计工作,就一定会带动我国审计实践及注册会计师事业更快发展,风险基础审计也一定会在积极的实践探索中更加完善。