时间:2023-09-17 14:51:04
绪论:在寻找写作灵感吗?爱发表网为您精选了8篇财务报表风险评估,愿这些内容能够启迪您的思维,激发您的创作热情,欢迎您的阅读与分享!
关键词:内部控制审计 财务报表审计 整合
008年7月,财政部等五部委联合的《企业内部控制基本规范》规定,执行本规范的上市公司,应当对本公司内部控制的有效性进行自我评价,披露年度自我评价报告,并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。2010年4月,财政部等五部委再次联合的《企业内部控制审计指引》总则第五条规定,注册会计师可以单独进行内部控制审计,也可将内部控制审计与财务报表审计整合进行。这为内部控制审计和财务报表审计整合进行提供了依据。
一、内部控制审计与财务报表审计整合的可行性
整合审计是指注册会计师应计划和实施控制设计及运行有效性的测试,以获得充分、适当的证据支持其对财务报告内部控制是否有效发表意见,为财务报表审计做出控制风险评估。内部控制审计与财务报表审计之间的各种联系使二者整合具有可行性。
第一,两种审计工作存在重合。内部控制审计是指注册会计师对内部控制设计和运行的有效性进行审计并发表审计意见,注册会计师要了解和测试内部控制、获得内部控制在足够长的期间内运行有效的证据。注册会计师在财务报表审计中也需要深入了解内部控制的有效性,在评估认定层次重大错报风险时预期控制的运行是有效的,并在仅实施实质性测试程序不足以提供认定层次充分、适当的审计证据时实施控制测试。对于拟信赖的内部控制,注册会计师要测试其在整个审计期间内的有效性。因此,单独进行两种审计必然会造成审计工作的重复和浪费,若将两种审计整合在一起,相互利用,可以减少审计工作量并提高审计效率。
第二,内部控制审计与报表审计的结果相互补充与配合。一方面,注册会计师在内控审计时对内部控制有效性的审计形成相应结论时,应结合财务报表审计中控制测试的结果进行综合判断,若财务报表审计的结果表明相关认定中存在重大错报,而现有的内部控制不能防止或发现并纠正重大错报,则通常表明内部控制存在重大缺陷。另一方面,在财务报表审计中,也要利用内部控制审计中控制测试的结果。内部控制审计中发现的缺陷会影响注册会计师做出的控制风险评估结论,进而影响实质性测试的性质、时间和范围。
二、风险评估程序:财务报表审计以内部控制审计为依据
(一)财务报表审计风险评估程序
风险评估程序是内部控制审计和财务报表审计的第一个共同程序。财务报表审计中的风险评估程序,注册会计师需要了解和评价的被审计单位内部控制的范围是与财务报表相关的方面;了解和评价的广度应以是否足以识别和评估财务报表的重大错报风险为衡量标准,如果达到了这一标准,注册会计师即可开始设计和实施下一步的审计程序;了解和评价的深度也基本限于内部控制的设计是否健全及其是否得到有效执行,但其中不包括对内部控制是否得到一贯执行的确定;了解和评价的目的是判断是否可以相应减少实质性测试程序的工作量,以及用来支持财务报告的审计意见类型。
(二)内部控制审计风险评估程序
内部控制审计中的风险评估程序,注册会计师的目的是为了对内部控制本身的有效性发表审计意见,其范围涉及到企业整体的内部控制,内容包括内部环境、风险评估、控制活动、信息与沟通、内部监督五个方面,并且还需确定内部控制是否得到一贯执行。
(三)两种审计在风险评估程序的整合要点
内部控制审计的风险评估程序了解和评价被审计单位内部控制的广度和深度均超过了财务报表审计,在审计实务中,可以将两者在此程序需要完成的工作整合进行,即风险评估程序中财务报表审计应充分利用内部控制审计所获得的更为广泛的信息,并从中取得进行下一步审计程序的充分依据,这样可以大大降低工作量,避免重复劳动,进而提高审计效率,降低审计成本。
三、控制测试程序:内部控制审计为财务报表审计提供结论
(一)控制测试程序并非财务报表审计的必需程序
财务报表审计中,注册会计师通过对被审计单位内部控制的了解和评价来决定是否对内部控制的有效性进行测试。如果被审计单位设计的内部控制本身是无效的,或者设计是合理的、但没有得到执行,注册会计师则不必实施控制测试,而是直接实施实质性测试;如果被审计单位所设计的内部控制能够防止或发现并纠正重大错报,即认为内部控制是有效的,注册会计师应当实施控制测试。这样,就进入了两种审计的第二个共同程序,即控制测试程序。
(二)两种审计控制测试程序的区别
在控制测试程序中,内部控制审计与财务报表审计有三点区别:第一,内部控制审计要对被审计单位内部控制的有效性发表审计意见,而财务报表审计仅仅对与财务报表相关的内部控制进行测试。与风险评估程序相同,内部控制审计进行控制测试的广度和深度仍大于财务报表审计所进行的内部控制测试。第二,在内部控制审计中,注册会计师需要获取能够证明内部控制有效的高度相关的证据,对控制测试可靠性的要求较高,样本量较大且选择弹性较小;财务报表审计对控制测试可靠性的要求相对较低,测试的样本量相对较小且存在一定弹性。第三,两者对内部控制缺陷的评价要求也不同。财务报表审计中,注册会计师仅需将内部控制测试识别出的缺陷区分为值得关注的内部控制缺陷和一般内部控制缺陷;而在内部控制审计中,注册会计师需要对识别出的内部控制缺陷进行严格评定,将值得关注的内部控制缺陷进一步区分为重大缺陷和重要缺陷,重大缺陷会影响到审计意见类型。
(三)两种审计在控制测试程序的整合要点
注册会计师为了对内部控制有效性发表恰当的审计意见,需要获取比财务报表审计更多、更广泛、可靠性也更高的审计证据。因此,内部控制审计的控制测试可以直接为财务报表审计提供审计证据甚至提供结论,财务报表审计对内部控制审计在控制测试环节所取得的审计证据及得出的审计结论的充分利用,将使审计效率得到进一步提高。
四、财务报表审计实质性测试与内部控制审计控制测试:相互利用、相互支持
(一)财务报表审计
实质性测试程序对内部控制审计控制测试程序的影响经过控制测试,财务报表审计进入实质性测试程序。在这一程序中,注册会计师可能会发现被审计单位的财务报表存在错报甚至重大错报,这将会影响内部控制审计中控制测试的时间、性质和范围。这是因为如果现有的内部控制不能防止或发现并纠正这些错报甚至重大错报,就意味着在错报相应的控制点上可能存在内部控制缺陷,这将为注册会计师进一步审查内部控制缺陷提供重要线索。
(二)内部控制审计
控制测试程序对财务报表审计实质性测试程序的影响在内部控制审计的控制测试程序中发现的内部控制缺陷能为注册会计师在财务报表审计中对哪些交易和认定重点实施审计指明方向,因为如果发现内部控制存在某项重大缺陷,则财务报表在相应的账户就可能存在重大错报,就会影响财务报表审计中实质性测试的时间、性质和范围,审计人员应当根据实际发现的内部控制缺陷对实质性测试的审计程序进行调整。
可见,财务报表审计的实质性测试与内部控制审计的控制测试是相互支持的,两种审计所取得的审计证据及得出的审计结论相互利用,能提高审计效率,降低审计风险,最大限度地保证审计质量。
五、审计计划的综合制定
内部控制审计和财务报表审计整合进行的审计计划制定是以对审计程序的整合要点分析为基础的,因此在分析了两种审计的审计程序整合要点之后,具体阐述如何根据整合要点综合制定审计计划。
(一)两种审计方式审计计划制定的重点
为达到充分整合内部控制审计和财务报表审计的目的,内部控制审计和财务报表审计应尽量由同一组审计人员实施,两种审计的审计计划也应共同制定。结合以上对审计程序的分析,对被审计单位的风险评估程序和控制测试程序主要由内部控制审计完成,在内部控制审计计划中应详细制定这两项审计程序的计划,在财务报表审计计划中可以对这两项审计程序的计划简化表述,但应重点对实质性测试程序的计划详细编制。
(二)审计计划的持续修订是审计质量的重要保证
随着审计工作的推进,注册会计师要根据审计发现的新情况、新问题,适时对总体和具体的审计计划做出调整和修正。具体来讲,如果审计人员在内部控制审计计划实施过程中发现内部控制存在重要缺陷,审计人员应及时修正财务报表审计的实质性测试计划。同样,如果在财务报表实质性测试中发现财务报表存在重大错报,也应该考虑该重大错报对内部控制审计计划的影响,考虑是否增加内部控制审计的具体程序,扩大审计范围,以保证审计发现内部控制设计及运行中的重大缺陷。需要特别指出的是,对审计计划的调整和修正应贯穿于整个审计业务的始终,以保证审计计划能够对两种审计的整合进行起到重要的规划和指导作用,有效地提高审计质量,最大限度地降低审计风险。
参考文献:
1.谢晓燕,张龙平,李晓红.我国上市公司整合审计研究[J].会计研究,2009,(09).
关键词:审计风险准则 风险导向 重大错报风险 风险评估 审计证据
一、前言
2006年财政部颁布了《中国注册会计师执业准则》,标志着我国在建立适应社会主义市场经济发展要求,顺应国际趋同新形势的道路上迈进了一大步。为了更好地指导注册会计师有效地识别、评估和应对审计风险,准则框架体系全面渗透着风险导向审计的理念,要求注册会计师将风险导向审计的观念贯穿于审计全过程。传统审计方法的主要缺陷在于注册会计师重视被审计单位的内部环境,但忽视其所处的外部环境;重视审计单位的控制风险但忽视其固有风险。事实上我国注册会计师面临的情形是被审计单位及其所处环境的日趋复杂。行业状况、法律环境与监管环境以及其他外部因素,都会对注册会计师审计质量产生重大影响。在复杂环境下或被审计单位内部控制不健全时,如果继续采用传统审计模式,局限于控制测试和实质性测试,把审计的主要资源集中在具体交易事项和余额细节测试上。极易引发审计风险。因此,新执业准则要求注册会计师了解被审计单位及其内外部环境,同时注重检查风险和固有风险(即重大错报风险),重点关注存在重大错报风险的领域,达到避免触发审计风险的目的。新执业准则体系的核心内容为以下准则,简称审计风险准则,分别为:《中国注册会计师执业准则第1101号――财务报表审计的目标和一般原则》(以下简称第1101号准则,下同)、《中国注册会计师执业准则第1211号――了解被审计单位及其环境并评估重大错报风险》、《中国注册会计师执业准则第1231号――针对评估的重大错报风险实施的程序》、《中国注册会计师执业准则第1301号――审计证据》。
二、审计风险准则修订的主要内容
(一)第1101号准则 第1101号准则是在借鉴国际审计与鉴证准则第200号的基础上,对原《独立审计准则第1号――会计报表审计》进行修订而形成的。其主要内容有:会计责任和审计责任、审计的目标、审计范围、职业怀疑态度、审计风险及模型。(1)明确区分注册会计师的责任,公司管理层和治理层的责任。新准则规定,对财务报表发表审计意见是注册会计师的责任;在被审计单位治理层的监督下,按照适用的会计准则和相关会计制度的规定编制财务报表是被审计单位管理层的责任。此外,准则条款还特别强调了财务报表审计不能减轻被审计单位管理层和治理层的责任。(2)明确财务报表审计目标。新准则规定,财务报表审计的目标是注册会计师通过执行审计工作,对财务报表的下列方面发表审计意见:财务报表是否按照适用的会计准则和相关会计制度的规定编制;财务报表是否在所有重大方面公允反映被审计单位的财务状况、经营成果和现金流量。这个规定与原有的规定没有太大区别,但是新准则中明确提出,财务报表审计属于鉴证业务,注册会计师的审计意见旨在提高财务报表的可信赖程度。(3)修订审计范围的定义。新准则指出,财务报表的审计范围是指注册会计师为实现财务报表审计目标,根据审计准则和职业判断实施的恰当的审计程序的总和。在确定拟实施的审计程序时,注册会计师应当遵守与财务报表审计相关的各项审计准则。恰当的审计程序是指审计程序的性质、时间和范围是恰当的。一是审计程序的性质指审计程序的目的和类型。目的包括:通过了解被审计单位及其环境,识别、评估重大错报风险;通过实施控制测试,明确内部控制运行的有效性;通过实施实质性程序,发现认定层次的重大错报。类型则包括检查、观察、询问、函证、重新计算、重新执行和分析程序。二是审计程序的时间是指注册会计师何时实施审计程序,或指审计证据适用的期间或时点。三是审计程序的范围是指实施审计程序的数量,包括抽取的样本量,对某项控制活动的观察次数等。审计范围受到限制是指由于客观原因或者被审计单位施加的限制,注册会计师未能实施根据审计准则和职业判断应当实施的审计程序,从而未能获取充分、适当的审计证据。(4)要求注册会计师在审计过程中始终保持职业怀疑态度,并明确在财务报表审计中注册会计师只能提供合理保证。新准则要求,在计划和实施审计工作时,注册会计师应当保持职业怀疑态度,充分考虑可能存在导致财务报表发生重大错报的情形。新准则指出,注册会计师按照审计准则的规定执行审计工作,能够对财务报表整体不存在重大错报获取合理保证。由于审计中存在的固有限制影响注册会计师发现重大错报的能力,注册会计师不能对财务报表整体不存在重大错报获取绝对保证,即只能提供合理保证。(5)引进新的审计模型。新准则对审计风险模型作了重大改变,将原审计风险模型修正为:审计风险:重大错报风险x检查风险,审计风险取决于重大错报风险和检查风险,是两者的综合风险。重大错报风险要求注册会计师站在风险的高度上把握审计过程,以风险为导向进行审计,强化了风险意识,注册会计师对于重大错报风险的评估贯穿于审计的整个过程。改变后的审计风险模型使得注册会计师从更高的层次上把握重大错报风险,要求注册会计师必须了解被审计单位及其环境(包括内部控制),以充分识别和评估财务报表重大错报风险,并针对评估的重大错报风险设计和实施进一步审计程序(包括控制测试和实质性测试),以降低注册会计师的审计风险。在目前经济不确定性增大的环境下,显然新的审计风险模型更能满足风险控制的要求,并且可操作性较强。
(二)第1211号准则 第1211号准则是在借鉴国际审计与鉴证准则第315号基础上出台的新准则,将取代我国原有的《独立审计准则第21号――了解被审计单位情况》、《独立审计准则第9号――内部控制与审计风险》和《独立审计准则第20号――计算机信息系统环境下的审计》,以克服旧准则相互分离、缺乏有机融合的缺陷。根据《中国注册会计师审计准则第1101号――财务报表审计的目标和一般原则》要求,注册会计师在审计过程中应当贯彻风险导向审计的理念,围绕重大错报风险的识别、评估和应对,计划和实施审计工作。其中如何识别和评估重大错报风险,构成了注册会计师应对重大错报风险的前提。注册会计师如何了解被审计单位及其环境,了解哪些具体的内容,了解后如何对重大错报风险进行评估,如何将了解和评估的过程、结果与管理层和治理层进行沟通,在审计工作底稿中应当对哪些内容进行记录,本准则对这些问题做了明确规范,其修订的主要内容有:(1)注册会计师审计的总体要求:了解被审计单位及其环境是必要程序;了解的目的是识别和评估财务报表重大错报风险,设计和实施进一步审计程序;了解的程度应当足够实现了解的目的。与独立审计准则中的规定不同,了解被审计单位及其内外部环境是注册会计师审计过程中必须实施的程序,
也是风险导向审计的核心。(2)风险评估程序的概念及项目组内部讨论的要求。风险评估程序是指为了解被审计单位及其环境而实施的程序。风险评估程序包括:询问被审计单位管理层和内部其他相关人员;分析程序;观察和检查。注册会计师在了解被审计单位及其环境的整个过程中,结合了解的内容和被审计单位业务的特点运用相应的风险评估程序,并利用风险评估程序所获取的信息评估重大错报风险,并可能随着不断获取审计证据而作出相应的变化。如果通过实施进一步审计程序获取的审计证据与初始评估获取的审计证据相矛盾,注册会计师应当修正风险评估结果,并相应修改原计划实施的进一步审计程序,实施风险评估程序之后项目组内部必须进行讨论。注册会计师通过风险评估程序了解被审计单位及其环境后,需要对财务报表重大错报风险进行评估,评估重大错报风险需要运用专业判断,必须由项目组内部讨论来完成,项目组内部讨论可以有效降低审计风险。在原准则中,评估固有风险、控制风险也需要专业判断,但并没有需要项目组共同讨论的规定。一是讨论的目标。项目组通过讨论可以使成员更好地了解在各自分工负责的领域中,由于舞弊或错误导致财务报表重大错报地可能性,并了解各自实施审计程序的结果如何影响审计的其他方面,包括对确定进一步审计程序的性质、时间和范围的影响。二是讨论的内容。项目组应当讨论被审计单位面临的经营风险、财务报表容易发生错报的领域以及发生错报的方式,特别是由于舞弊导致重大错报的可能性。三是参与讨论的人员。注册会计师应当运用职业判断确定项目组内部参与讨论的成员。项目组的关键成员应当参与讨论,如果项目组需要拥有信息技术或其他特殊技能的专家,这些专家也应当参与讨论。项目组的讨论不要求所有成员每次都参与讨论,参与讨论人员的范围受项目组成员的职责、经验和信息需求的影响。四是讨论的时间和方式。项目组应当根据审计的具体情况,在整个审计过程中,持续交换有关财务报表发生重大错报可能性的信息。项目组在讨论时应当强调在整个过程中保持职业怀疑态度,警惕表明舞弊或错误导致的重大错报可能已经发生的信息或其他迹象,并对这些迹象进行追踪。通过讨论,项目组成员可以交流和分享在整个审计过程中获得的信息,包括可能对重大错报风险评估产生影响的信息或有关针对风险实施的审计程序的信息。(3)注册会计师应尽到的相关职责。对注册会计师应当从哪些方面了解被审计单位及其环境作了详细的定义:行业状况、法律环境与监管环境以及其他外部因素;被审计单位的性质;被审计单位对会计政策的选择和运用;被审计单位的目标、战略以及相关经营风险;被审计单位财务业绩的衡量和评价;被审计单位的内部控制。这些内容是新准则的重要内容,值得注意的是对被审计单位的了解不仅局限于被审计单位的内部控制。对以上新准则中有相应的章节进行具体的阐述,使得注册会计师思考的是究竟哪些方面去了解被审计单位,而不像原有准则中是比较模糊的概念,这样做可以有效防止了解的不彻底影响审计工作,低估重大错报风险。(4)明确了注册会计师了解内部控制的定位。注册会计师需要了解和评价的内部控制只是与财务报表审计相关的内部控制,并非被审计单位所有的内部控制。因为注册会计师审计的目标是对财务报表是否不存在重大错报发表审计意见,注册会计师考虑与财务报表编制相关的内部控制,但目的并非对被审计单位内部控制的有效性发表意见。(5)明确了注册会计师评估两个层次的重大错报风险。在对重大错报风险进行识别和评估后,注册会计师应当确定识别的重大错报风险是与特定的各类交易、账户余额、列报的认定相关,还是与财务报表整体广泛相关,进而影响多项认定。某些重大错报风险可能与特定的各类交易、账户余额、列报的认定相关。如被审计单位存在复杂的联营或合资,这一事项表明长期股权投资账户的认定可能存在重大错报风险。又如被审计单位存在重大的关联方交易,该事项表明关联方及关联方交易的披露认定可能存在重大错报风险。某些重大错报风险可能与财务报表整体广泛相关,进而影响多项认定。如在经济不稳定的国家和地区开展业务、资产的流动性出现问题、重要客户流失、融资能力受到限制等,可能导致注册会计师对被审计单位的持续经营能力产生重大疑虑。又如管理层缺乏诚信或承受异常的压力可能引发舞弊风险,这些风险与财务报表整体相关。(6)提出了特别风险的概念,需要特别考虑的重大错报风险即为特别风险,并根据风险的性质、潜在错报的重要程度和发生的可能性判断风险是否属于特别风险。如风险是否属于舞弊风险;交易的复杂程度;风险是否涉及重大的关联方交易等。(7)提出了对仅通过实质性程序无法应对的重大错报风险的处理方法。仅通过实质性程序获取的审计证据无法将认定层次的重大错报风险降至可接受的低水平,注册会计师应当评价被审计单位针对这些风险设计的控制,并确定其执行情况。在被审计单位对日常交易采用高度自动化处理的情况下,审计证据可能仅以电子形式存在,其充分性和适当性通常取决于自动化信息系统相关控制的有效性,注册会计师应当考虑仅通过实施实质性程序不能获取充分、适当审计证据的可能性。如果认为仅通过实施实质性程序不能获取充分、适当的审计证据,注册会计师应当考虑依赖的相关控制的有效性,并对其进行了解、评估和测试。(8)将了解被审计单位及其环境过程中获得的信息记录与工作底稿中。此类信息包括项目组对由于舞弊或错误导致财务报表发生重大错报的可能性进行的讨论,以便得出的重要结论;对被审计单位及其环境各个方面的了解要点、信息来源以及实施的风险评估程序;在财务报表层次和认定层次识别、评估出的重大错报风险;识别出的特别风险和仅通过实质性程序无法应对的重大错报风险,以及对相关控制的评估。
(三)第1231号准则 第1231号准则是在借鉴国际审计与鉴证准则第330号的基础上出台的一个全新的准则,将取代原有的《第21号――了解被审计单位情况》、《第9号――内部控制与审计风险》和《第20号――计算机信息系统环境下的审计》。根据《中国注册会计师审计准则第1101号――财务报表审计的目标和一般原则》的要求,注册会计师在审计过程中应当贯彻风险导向审计的理念,围绕重大错报风险的识别、评估和应对,计划和实施审计工作。其中《第1211号――了解被审计单位及其环境并评估重大错报风险》规范了注册会计师通过实施风险评估程序,识别和评估财务报表层次以及各类交易、账户余额、列报认定层次的重大错报风险,注册会计师针对已评估的财务报表层次的重大错报风险如何确定总体应对措施,针对已评估的认定层次的重大错报风险如何设计和实施进一步审计程序,进一步审计程序的性质、时间、范围如何确定和实施,如何评价实施审计程序收集的审计证据的充分性和适当性,在审计工作底稿中将对哪些审计工作进行记录等,对这些问题的明确规范是第1231号准则的核心内容。其修订的主要内容有:总体要求、针对重大错报风险的总体反应、审计程序的不可预见性、总体方案和进一步审计程序、控制测试的相关要求、实质性程序及相关要求、审计的相关要求、审计工作记录。(1)明确提出了对注册会计师审计的两个总体要求:审计程序的总体要求,注册会计师应
当对评估的财务报表层次重大错报风险确定总体应对措施,并针对评估的认定层次重大错报风险设计和实施进一步审计程序;职业判断的总体要求,注册会计师在确定总体应对措施以及设计和实施进一步审计程序的性质、时间和范围时应当运用职业判断。(2)首次提出了注册会计师应当针对评估的财务报表层次重大错报风险确定下列总体应对措施:向项目组强调在收集和评价审计证据过程中保持职业怀疑态度的必要性;分派更有经验或具有特殊技能的审计人员,或利用专家的工作;提供更多的督导;在选择进一步审计程序时,应当注意使某些程序不被管理层预见或事先了解;对拟实施审计程序的性质、时间和范围作出总体修改。(3)强调审计程序的不可预见性要求。注册会计师针对评估的财务报表层次重大错报风险确定的总体应对措施中强调增强审计程序的不可预见性,因此,注册会计师在设计拟实施审计程序的性质、时间和范围时,为了避免既定思维对审计方案的限制,避免对审计效果的人为干涉,从而使得针对重大错报风险的进一步审计程序更加有效,注册会计师要考虑使某些程序不被审计单位管理层预见或事先了解。(4)首次提出了两种总体方案和进一步审计程序的概念。两种总体方案分别为实质性方案和综合性方案,实质性方案是指注册会计师实施的进一步审计程序以实质性程序为主;综合性方案是指注册会计师在实施进一步审计程序时,将控制测试与实质性程序结合使用。而所谓的进一步审计程序是相对风险评估程序而言的,是注册会计师针对评估的各类交易、账户余额、列报认定层次重大错报风险实施的审计程序,包括控制测试和实质性程序。(5)重新界定了注册会计师实施控制测试的两种情形,当存在下列情形之一时,注册会计师应当实施控制测试:在评估认定层次重大错报风险时,预期控制的运行时有效的;仅实施实质性程序不足以提供认定层次充分、适当的审计证据。(6)强调了实施控制测试获取审计证据的重要性。即认为仅实施实质性程序获取的审计证据无法将认定层次重大错报风险降至可接受水平,注册会计师应当实施相关的控制测试,以获取控制运行有效性的审计证据。(7)增加了“重新执行”的控制测试取证方法。根据第1301号审计证据准则,注册会计师获取审计证据的具体程序中将六种具体的取证方法修改为八种,即检查记录或文件;检查有形资产;观察;询问;函证;重新计算;重新执行;分析程序。其中增加了“重新执行”控制测试的取证方法。(8)严格限制了注册会计师无限期或过长时间内不实施测试的做法。如果拟信赖的控制自上次测试后未发生变化,且不属于旨在减轻特别风险的控制,注册会计师应当运用职业判断确定是否在本期审计中测试其运行有效性,以及本次测试与上次测试的时间间隔,但两次测试的时间间隔不得超过两年。(9)首次明确区分“控制运行的有效性”与“控制是否得到执行”。注册会计师在了解被审计单位及其环境时需要实施风险评估程序。注册会计师在确定控制是否得到执行而实施的某些风险评估程序可能提供有关控制运行有效性的审计证据。注册会计师可以考虑在评价控制设计和获取其得到执行的审计证据的同时测试控制运行有效性,以提高审计效率。两者的区别如(表1)所示。(10)首次明确期中进行控制测试的考虑。如果注册会计师在期中实施控制测试程序,即使注册会计师已获取有关控制在期中运行有效性的审计证据,仍然需要考虑如何能够将控制在期中运行有效性的审计证据合理延伸至期末,以确保针对期中至期末这段剩余期间获取充分、适当的审计证据。如果已获取有关控制在期中运行有效性的审计证据,并拟利用该证据,注册会计师应当实施下列审计程序:首先,获取这些控制在剩余期间变化情况的审计证据。针对期中已获取过审计证据的情况,如果这些控制在剩余期间没有发生变化,注册会计师可能决定信赖期中获取的审计证据;如果这些控制在剩余期间发生了变化,注册会计师需要了解并测试控制的变化对期中审计证据的影响。其次,确定针对剩余期间还需获取的补充审计证据。针对期中已获取过审计证据的情况,如果这些控制在剩余期间发生了变化,注册会计师应当考虑下列因素:评估的认定层次重大错报风险的重大程度。评估的重大错报风险对财务报表的影响越大,注册会计师需要获取的剩余期间的补充证据越多;在期中测试的特定控制。如对自动化运行的控制,注册会计师更可能测试信息系统一般控制的运行有效性,以获取控制在剩余期间运行有效姓的审计证据;在期中对有关控制运行有效性获取的审计证据的程度。如果注册会计师在期中对有关控制运行有效性获取的审计证据比较充分,可以考虑适当减少需要获取的剩余期间的补充证据;剩余期间的长度。剩余期间越长,注册会计师需要获取的剩余期间的补充证据越多;在信赖控制的基础上拟减少进一步实质性程序的范围。注册会计师对相关控制的信赖程度越高,通常在信赖控制的基础上拟减少进一步实质性程序的范围就越大。在这种情况下,注册会计师需要获取的剩余期间的补充证据越多;控制环境。在注册会计师总体上拟信赖控制的前提下,控制环境越薄弱(或把握程度越低),注册会计师需要获取的剩余期间的补充证据越多。(11)明确了实质性程序概念和内容。实质性程序是指注册会计师针对评估的重大错报风险实施的直接用以发现认定层次重大错报的审计程序。包括对各类交易、账户余额、列报的细节测试以及实质性分析程序。(12)明确了对于特别风险的专门应对程序。如果认为评估的认定层次重大错报风险是特别风险,注册会计师应当专门针对该风险实施实质性程序;如果针对特别风险仅实施实质性程序,注册会计师应当使用细节测试,或将细节测试和实质性分析程序结合使用,以获取充分、适当的审计证据。(13)首次提出了是否在期中实施实质性程序。注册会计师如果在期中实施了实质性程序,仍然需要消耗进一步的审计资源使期中审计证据能够合理延伸至期末,注册会计师应当考虑是否在期中实施实质性程序。(14)指明了财务报表审计是一个累计和不断修正的过程。随着计划的审计程序的实施,如果获取的信息与风险评估时依据的信息有重大差异,注册会计师应当考虑修正风险评估结果,并据以修改原计划的其他审计程序的性质、时间和范围。(15)明确了注册会计师应当针对评估的风险设计细节测试。如在针对存在或发生认定设计细节测试时,注册会计师应当选择包含在财务报表金额中的项目,并获取相关审计证据;针对完整性认定设计细节测试时,注册会计师应当选择有证据表明应包含在财务报表金额中的项目,并调查这些项目是否确实包括在内。(16)明确了审计工作记录要求。注册会计师应当针对评估的重大错报风险实施的程序进行充分的审计工作记录。包括记录:对评估的财务报表层次重大错报风险采取的总体应对措施;实施进一步审计程序的性质、时间和范围;实施进一步审计程序与评估的认定层次重大错报风险的联系;实施进一步审计程序的结果。
(四)第1301号准则 第1301号准则是在借鉴国际审计与鉴证准则第500号的基础上,对我国原有的《独立审计准则第5号――审计证据》进行修订而形成的。此次重大修订的内容有:(1)拓展了审计证据的内涵。原审计证据准则将审计证据定义为“注册会计师在执行审计业务过程中,为形成审计意见所获取的证据”。原审计证据准则对审计证据的内涵界定比较窄,注册会计师收集
的审计证据更多体现的是与财务报表会计记录相关的信息。修订后审计证据准则将审计证据定义为“注册会计师为了得到审计结论、形成审计意见而使用的所有信息”。新审计证据准则对审计证据的内涵要宽泛得多,不仅包括与财务报表会计记录相关的信息,还包括其他信息。如(图1)所示。
其中,第一类审计证据是“财务报表依据的会计记录中含有的信息”。会计记录中含有的信息是最基本信息。构成了财务报表最主要的内容,一般包括对初始分列的记录和支持性记录,如支票、电子资金转账记录、发票、合同、总账、明细账、记账凭证和未在记账凭证中反映的对财务报表的其他调整,以及支持成本分配、计算、调节和披露的手工计算表和电子数据表。第二类审计证据是“其他信息”。其他信息是用来印证会计记录中含有的信息是否真实、完整,指导注册会计师如何识别、评估财务报表重大错报风险,一般包括:注册会计师从被审计单位内部或外部获取的会计记录以外的信息,如被审计单位会议记录、内部控制手册、函证函的回函、分析师的报告、与竞争者的比较数据等;通过询问、观察和检查等审计程序获取的信息,如通过检查存货获取存货存在性的证据等;自身编制或获取的可以通过合理推断得出结论的信息,如注册会计师编制的各种计算表、分析表等。(2)引进了“认定”的概念。原审计证据准则未将“认定”写进准则,整个审计准则体系对“认定”概念重视不够,新审计证据准则引入“认定”概念,并要求注册会计师详细运用认定指导具体审计目标,根据具体审计目标来设计和确定进一步审计程序。(3)将获取审计证据的程序区分为总体程序和具体程序。原审计证据准则只列了六种具体的取证方法。修订后的审计证据准则将注册会计师获取审计证据的程序区分为总体程序和具体程序,总体程序增加了风险评估程序,即包括风险评估程序、控制测试和实质性程序;具体程序中将六种具体的取证方法修改为八种,具体包括的内容前文已述及。其中,将“监盘”程序进行细分,因为“监盘”是“检查记录或文件”、“检查有形资产”、“观察”等具体审计程序的复合程序;增加“重新执行”具体程序;将原来的“计算”和“分析性复核”分别修改为“重新计算”和“分析程序”。(4)新增风险评估程序。根据风险导向审计准则体系的要求,注册会计师应当通过了解被审计单位及其环境识别重大错报风险,并针对评估的重大错报风险设计和实施进一步的审计程序,因此,在修订后的审计证据准则中增加“风险评估程序”,以此为手段通过了解情况作为评估财务报表层次和认定层次重大错报风险的基础。但风险评估程序并不能识别出所有的重大错报风险,虽然它可作为评估财务报表层次和认定层次重大错报风险的基础,但并不能为发表审计意见提供充分、适当的审计证据。为了获取充分、适当的审计证据,注册会计师还需要实施进一步程序,包括实施控制测试(必要时或决定测试时)和实质性程序。(5)新增“重新执行”的具体审计程序。重新执行是指注册会计师以人工方式或使用计算机辅助审计技术,重新独立执行作为被审计单位内部控制组成部分的程序或控制。如注册会计师利用被审计单位的银行存款日记账和银行对账单,重新编制银行存款余额调节表,并与被审计单位编制的银行存款余额调节表进行比较。
三、审计风险准则对注册会计师的影响
(一)对注册会计师审计理念的影响注册会计师审计的主线始终是对重大错报风险的识别、评估与应对。注册会计师为了实现审计目标。在计划和实施审计工作时,应当保持职业怀疑态度,充分考虑可能导致会计报表发生重大错报的情形。在审计和实施进一步审计程序时,注册会计师应当将审计程序的性质、时间及范围与识别和评估的风险相联系,以防止机械利用程序表从形式上迎合独立审计准则对审计程序的要求。注册会计师必须针对重大的各类交易、账户余额、列报和披露实施实质性测试。注册会计师对重大错报风险评估是一种判断,并且内部控制存在固有限制,无论评估的重大错报风险结果如何,注册会计师必须针对重大的各类交易、账户余额、列报和披露实施实质性程序,不得将实质性测试只集中在例外事项上。
【关键词】 系统结构; 报表层次; 认定层次; 审计风险管理
一、注册会计师审计风险管理系统结构
注册会计师审计风险管理贯穿于审计全过程,审计风险(质量)受多方面的利益主体关注,应多视角地实施审计风险管理,因而注册会计师审计风险管理在客观上要求建立一套有机的系统结构。
(一)按审计风险包括的层次划分
审计风险包括财务报表层次和认定层次的审计风险。注册会计师围绕审计总目标(对财务报表发表审计意见)考虑财务报表层次的审计风险,围绕具体审计目标考虑认定层次的审计风险。两个层次审计风险的个性使得审计风险管理包括财务报表层次和认定层次的审计风险管理;两个层次审计风险的共性使得存在通用于两个层次的审计风险管理。
1.财务报表层次审计风险管理
注册会计师针对评估的财务报表层次重大错报风险,依据该层次可接受的审计风险,确定可接受检查风险,进而确定财务报表审计的总体应对措施以及进一步审计程序的总体方案。注册会计师主要通过以上审计工作实现对财务报表层次审计风险的有效管理。
2.认定层次审计风险管理
在认定层次,注册会计师依据财务报表层次可接受审计风险,以及特定认定的固有风险评估水平和控制风险评估水平,确定该认定可接受检查风险,进而安排和实施进一步审计程序——控制测试和实质性程序。注册会计师主要通过以上工作对认定层次审计风险实施有效管理。
3.通用于两个层次的审计风险管理
两个层次审计风险的共性要求实施相应的通用审计风险管理,从而经济有效地实施审计风险管理。
(二)按审计过程划分
注册会计师审计一般包括审计准备阶段、审计实施阶段和审计报告阶段。对审计风险的管理必然具体落实在三个审计阶段中。因此,按审计过程划分,包括审计准备阶段审计风险管理、审计实施阶段审计风险管理和审计报告阶段审计风险管理。
(三)按审计风险管理的方式划分
注册会计师审计必须运用较多的职业判断,从而增加了注册会计师评价审计结果的不确定性,从而使得注册会计师审计风险管理既要采取结果控制方式,又要强调采取过程控制方式。因此,按管理方式划分,包括审计风险过程管理和审计风险结果管理。
在审计过程中,注册会计师通过严格遵守审计准则和注册会计师职业道德规范,实施应该实施的审计程序,保持应有的审计职业谨慎,认真编制审计工作底稿,实施审计风险过程管理;另一方面,会计师事务所必须认真建立和执行审计质量控制准则,从而强化对审计风险的过程管理。
审计工作成果体现为特定质量的审计信息,对该审计信息可靠性的评价体现为对审计风险管理的结果控制。但是,对审计工作成果的评价存在较大的不确定性,因而在审计实务中更强调审计风险的过程控制。
(四)按审计风险管理主体划分
在审计活动中涉及三方面的审计关系人,注册会计师担负着监督被审计单位管理层受托经济责任履行状况及维护审计委托人等合法利益的责任。审计主体执行审计工作,实施直接审计风险管理的主体是审计主体。被审计单位的治理层是理论上的审计委托人,其通过选择、保留、解聘甚至法律诉讼审计主体等方式,实施间接审计风险管理;对被审计单位管理层负有监督责任的政府监管部门,如证监会、财政部门、工商部门等,实施间接审计风险管理;对审计信息关注的其他利益主体,如银行等债权人、证券分析师、被审计单位客户、供应商、员工等,也实施间接审计风险管理。
因此,与审计风险管理主体相对应,包括直接审计风险管理和间接审计风险管理。
二、财务报表层次审计风险管理的主要措施
(一)风险评估及其总体应对措施
在该层次,审计风险=重大错报风险×检查风险。注册会计师考虑外部使用者对报表的信赖程度、审计报告出具后被审计单位发生财务困难的可能性、注册会计师对管理层正直性的评价等确定可接受审计风险。注册会计师通过风险识别、风险评估,首先识别与评估财务报表层次的重大错报风险,进而依据上述审计风险模型确定可接受检查风险。可接受检查风险指导注册会计师针对财务报表层次应采取的总体应对措施。
财务报表层次重大错报风险难以限于某类交易、账户余额、列报的特点,使得此类风险可能对财务报表多项认定产生广泛影响,并相应增加认定层次重大错报风险的评估难度。因此,注册会计师评估的财务报表层次重大错报风险以及采取的总体应对措施,对拟实施的进一步审计程序的总体方案具有重大影响。该影响体现为进一步审计程序的综合性方案或实质性方案。当评估的财务报表层次重大错报风险属于高水平,此时的进一步审计程序的总体方案更倾向于实质性方案。
(二)审计重要性水平在财务报表层次的应用
1.对财务报表层次重要性水平作出初步判断
注册会计师在审计初期制定其审计整体策略时,运用职业判断,确定财务报表中存在的被认为是重要的错报合并金额,该金额被定义为重要性的初步判断。其大小将随审计过程中环境的变化而变化。重要性的初步判断是注册会计师认为报表中可能存在错报,而又不影响理性使用者决策的最大金额。对重要性作出初步判断的目的是帮助审计师计划所要收集的恰当证据,如当重要性初步判断的金额较低时,需要收集更多的审计证据。
2.将财务报表层尚未更正错报金额汇总数与报表层重要性初步判断数比较
注册会计师通过在实施阶段实施审计程序,将所有发现的错报记录在审计工作底稿中,发现的错报包括已识别的具体错报和推断误差。当所有单笔核算误差不超过所涉及财务报表项目(或账项)层次重要性水平,在性质上不重要,并且财务报表层尚未更正错报金额汇总数小于财务报表层次重要性初步判断数时,注册会计师认为财务报表中不存在重大错报,此时应该对财务报表发表无保留意见。
(三)评价财务报表层次审计结果时的措施
在注册会计师完成审计计划并收集审计证据后,评价审计结果在财务报表层次的审计风险模型为:已实现的审计风险=重大错报风险×实际检查风险,可接受的审计风险=重大错报风险×可接受检查风险。注册会计师依据以上审计风险模型,通过重新评估财务报表层次的重大错报风险,改变财务报表层次实际检查风险,将财务报表层次实际审计风险降低到可接受审计风险水平之下。
1.改变重大错报风险评估水平
在更深入了解被审计单位及其环境,更深入地了解、测试和评价被审计单位内部控制的基础上,改变重大错报风险评估水平。
2.改变实际检查风险
当可接受检查风险相比计划阶段降低时,通过强化财务报表层次整体的总体应对措施,增加进一步审计程序总体方案中实质性程序量,从而降低实际检查风险;当可接受检查风险相比计划阶段升高,注册会计师认为采取的总体应对措施和已执行审计程序充分时,不再增加总体应对措施和实质性程序量。
三、认定层次审计风险管理主要措施
(一)各分块的审计风险管理
在认定层次,重大错报风险被分解为固有风险和控制风险,审计风险=重大错报风险×检查风险=固有风险×控制风险×检查风险,即在通常情况下,控制风险和固有风险按照每一个循环和账户分别确定。通常还须具体到每一个审计目标,但并不针对整个财务报表。因而在同一次审计中,不同循环、账户和目标可能有不同的控制风险和固有风险水平。
因为影响可接受审计风险的因素与整个审计有关,而不是与单个账户有关,注册会计师对审计的各个分块通常采用相同的可接受审计风险。可接受审计风险水平一般由注册会计师在计划阶段针对财务报表层设定,进一步被用于每一个循环和账户。但是在某些情况下,财务报表使用者可能会对某些账户存在更多的关注,某一账户与其他账户相比采用较低的可接受审计风险。
认定层次的可接受检查风险依据某认定特定的固有风险、控制风险确定,因此可接受检查风险和所需审计证据量随不同循环、不同目标而不同。
(二)分配重要性的初步判断数到财务报表各组成部分
注册会计师按照各个分块收集审计证据,审计的每一个分块的重要性的初步判断能帮助注册会计师确定收集恰当数量和质量的审计证据,因此,把重要性的初步判断金额分配到审计的各个分块是必要的。
复式簿记系统使得大多数损益表错报都会对资产负债表产生相等的影响,因此同时将重要性初步判断分配至资产负债表和损益表是不适当的,这样将导致重复计算,导致确定的可容忍错报偏低。所以重要性分配一般按照资产负债表账户进行,每个账户余额所分配的重要性初步判断数为可容忍错报。
(三)评价认定层次审计结果时的措施
在注册会计师完成特定认定审计计划并收集审计证据后,评价审计结果时认定层次审计风险模型为:已实现的审计风险=固有风险×控制风险×已实现的检查风险,可接受的审计风险=固有风险×控制风险×可接受检查风险。注册会计师依据以上审计风险模型,通过重新评估认定层次的固有风险、控制风险,改变认定层次实际检查风险,将认定层次实际审计风险降低到可接受审计风险水平之下。
1.改变固有风险评估水平
注册会计师根据对被审计单位的了解,确定固有风险评估水平。当随着审计进展发现了新的事实时,可能改变固有风险评估水平。
2.改变控制风险评估水平
如果被审计单位具有有效的控制,则注册会计师能够通过执行更大范围的控制测试改变控制风险评估水平。
3.通过增加实质性程序量降低实际检查风险
当评价审计结果时的可接受检查风险相比计划阶段降低时,审计师通过运用实质性分析程序、实质性细节测试收集审计证据,追加的审计程序和扩大样本量能够降低实际检查风险。当评价审计结果时的可接受检查风险比计划阶段更高时,则说明已经执行的审计程序是充分的,注册会计师不再补充执行审计程序,实际审计风险已被控制在可接受审计风险之下。
四、通用于两个层次的审计风险管理主要措施
(一)充分考虑风险计量的局限性
应用审计风险模型的主要局限在于难以对模型组成要素进行准确计量。尽管注册会计师在计划中尽了最大的努力,但是对可接受审计风险、重大错报风险(或固有风险和控制风险)和由此确定的可接受检查风险的评估仍有高度主观性,最好的计量结果只能接近实际。
根据既定的可接受检查风险水平计量所需证据量同样难以准确计量。企图把检查风险降至可接受水平的妥当审计方案是将各种审计程序结合使用,每一种审计程序收集适用于不同审计目标的不同类型审计证据。由于注册会计师计量方法存在不确定性,所以无法准确量化审计证据的数量,只能主观地评价审计证据量是否足以满足可接受检查风险的需要。
(二)修正风险和证据
审计风险模型主要是计划模型,其评价结果方面的作用有限。如果注册会计师收集了计划所需证据,并且原先高估了重大错报风险(或控制风险和固有风险),或者低估了可接受审计风险,注册会计师就认为对该账户或循环已经收集了充分适当的审计证据。
如果注册会计师针对所收集的审计证据,认为原先低估了重大错报风险(或控制风险和固有风险),或者高估了可接受审计风险,就必须特别注意审计证据的不充分性。在这种情况下,注册会计师应当采取以下措施:
一是必须修正对相关风险的初步评估。审计师明知初步评估不恰当却不予更正,就违反了职业谨慎原则。
二是充分考虑审计风险模型的局限性。审计师应当在不应用审计风险模型的情况下,考虑修正特定风险对审计证据需要量的影响。审计研究表明,如果修正特定风险并应用于审计风险模型,以确定修正的可接受检查风险,则存在不能充分增加审计证据的危险。此时,审计师应当撇开审计风险模型,主观评价修正特定风险的影响,恰当地修改审计证据量,即更多地使用审计职业判断。
(三)风险、重要性与审计证据间的密切联系
审计中的重要性和风险密不可分。风险是对不确定性的计量,而重要性则是对影响程度或错报规模的计量。将两者结合起来,实现对特定金额的不确定性评价。举例说明,注册会计师计划收集审计证据,以使没有发现超过可容忍错报10万元的错报只有5%(可接受审计风险)。如果只说明5%的风险而不指出具体的重要性程度,则意味着100元和100万元的错报都是可接受的;只说明10万元的错报而不说具体的风险水平,则意味着1%的风险或80%的风险都是可接受的。
因此,在收集审计证据过程中,注册会计师必须将重要性与风险结合使用,两者缺一不可、相互补充。
【参考文献】
[1] 王信平.重要性水平与审计报告价值[J].财会月刊,2011(8).
摘要:近几年,我国企业频繁出现财务报表舞弊事件,造成资本市场振动,增加了社会大众的不满情绪,影响着资本市场的有序发展,也对会计师行业产生了消极影响。因此,需要深入分析企业财务舞弊成因,并制定针对性措施进行问题。本文将对财务报表舞弊的审计对策进行分析。
关键词:财务报表;舞弊;成因;审计对策
在市场经济条件下,对企业财务报告进行有效审计是国家经济的审计主题。近几年,国内外爆发几件重大的财务报表舞弊事件,比如,世界通信,银广厦等。财务报表舞弊对社会发展产生了不利影响,因此,需要深入分析财务报表舞弊原因,制定有效措施进行处理。
1.财务报表舞弊原因分析
第一,为了高管人员的个人利益进行舞弊。目前,我国大部分公司在评价高管人员业绩时,一般是以财务指标为依据,比如,资本保值增值率、利润、净资产收益率等。高管人员的业绩一般和职位晋升、工资待遇等挂钩。许多高管人员是上级部门派遣的,公司经营状况与其职位晋升密切相关,有的高管人员为了自身利益,才暗示财务人员实施财务舞弊,从而提高自身业绩,满足自身需求。
第二,弥合融资要求的动机。资金对企业发展有着重要作用,为了获取足够的资金,有的企业可能会虚报财务报告,误导投资者,从而获得更多的投资。另外,有的企业经营不善、业绩较差的企业,为了获得银行贷款,也会虚设财务报告。
第三,会计准则灵活性和真空地带。会计准则具有很强的灵活性,会计准则的制定和修改有一定的滞后性,许多新行业、新领域往往很难找到合适的会计准则为依据。另外,会计准则和会计制度都是原则性的规定,在具体实践中,主要依靠会计人员的职业判断和专业理解。面多诸多选择,有的高管人员为了企业利益,利用会计准则的灵活性,篡改财务报告。
第四,公司内部治理结构不完善。有的公司股权结构非常复杂,尤其是上市公司,股权高度集中,且无法上市流通,从而出现各种制度性缺陷。股东较少参与企业经营,权益意识不强。具体表现是:所有者代表被经营者同化、国有股权缺位、公司大权由个别股东独揽、股权集中、缺乏有效监督、缺乏多元股权制衡等,从而导致公司个别管理人员凌驾于内部控制之上,从而为财务舞弊提供了条件。
第五,审计独立性不强。根据目前我国大型企业的发展现状来看,大股东是董事会的重要成员,凭借自身股东优势,和经理层共同管理和控制财务信息生成和披露。国有股占据了较大比重,中小股东影响力较小,没有充分行使自己的投票权,股东大会具有聘请外部审计师的权力,但实际是由经理层和董事会代为行使这一权力。在这种环境下,是由企业内部人行使聘请会计师事务所的权力,股东大会形同虚设。由内部人委托事务所进行审计,大大削弱了审计人员的独立性。另外,很多会计师事务所不仅提供审计服务,还提高公司交易和设计经济交易咨询等服务,有的审计人员需要协助企业管理层编制财务报告,这样大大降低了注册会计师的社会责任感。由于注册会计师在我国的地位比较低,不具备取证权,也不能通过海关、税务、征管以及工商等部门取证,不能保证审计原始凭据的准确性和真实性。
2.财务报表舞弊的审计对策
2.1风险评估
了解和掌握被审计客户的相关资料,制定合理的风险评估,利用风险评估来指导审计工作。要想提高审计的有效性,必须科学分析被审计单位的社会环境、经济环境以及行业环境,理解其制定的总体发展战略,深入分析其在组织或者外部实体中的地位。审计师研究客户和外部环境间的关系,找出潜在的战略风险。对于已发现的战略风险,审计师需要分析客户如何应对和监控战略风险。同时,审计师还需要分析企业内部各经营环节。客户通过改善内部经营来降低战略风险,导致各经营环节也存在风险,即环节风险。对于对企业发展有着重要影响的关键经营环节,需要从环节控制和环节风险监控两个方面加强管理。
第一,战略分析。根据企业发展战略理论以及财务报表舞弊原因,审计人员需要通过被审计企业的内部控制信息、外部经营环境以及经营信息等方面来了解和分析其发展战略。被设计客户的内部控制信息主要包括控制环境、信息系统和沟通、对控制活动的监控、管理层风险评估程序以及控制活动的监督等五大要素;外部经营环境主要包括管制环境和行业环境;经营信息主要包括筹资、投资、基本经营状况以及与财务报表相关的事项等。一般采用POTER进行行业分析以及PEST的宏观分析法,预期行业利润,如果被审计客户采取多元化经营模式,则需要进行行业分析。通过战略分析,审计师能了解和掌握市场上的主要产品、竞争者、产品价格、替代产品、技术和工艺等信息。
第二,环节分析。审计师通过战略分析,找出客户重大战略风险,确定关键环节后,需要详细地分析每个具体环节。在分析关键环节的初始阶段,审计师必须整理与关键环节相关的战略风险和重大交易类别。一旦确定关键环节,则需要深入研究和分析,理解关键环节目标、经营风险,为降低风险建立控制机制,分析风险对财务报表的影响,在分析关键环节过程中,审计师必须能够识别可能出现的重大风险交易类别。
2.2制定审计计划
审计师应该根据风险评估报告,对重大错报风险做出正确反应,尽量将审计风险降低到可接受水平。对于财务报表中的重大错报风险评估,设计师在收集、评价审计信息时,应该保持职业怀疑态度。在必要情况下,需要采取以下措施:邀请具有丰富实践经验或者专业技能较高的专家、设计师加入到审计队伍中;在选择审计程序时,设计一些独特且具有针对性的审计程序;合理调整审计程序的范围、时间和性质,从而更好地适应重大错报风险水平。
对于认定层次的重大风险评估,审计师应该根据审计程序的范围、时间和性质,将风险评估和审计程序联系起来。在设计审计程序时,需要考虑交易类别、披露财务信息、风险的重要性、账户余额、内部控制性质以及重大错报发生的可能性等因素。
2.3实施审计
第一,控制测试。在现代审计模式下,进行控制测试是为了确定程序设计是否有效、设计方案是否落实、内部控制政策是否有效等。但是控制测试的最终目标是证实财务报表的认定。虽然控制测试不是必须的程序,但是审计人员在评估风险时,如果想判断内部控制是否有效,或者想为某项认定提供可靠的审计证据,则必须进行控制测试。
第二,实质性测试。审计人员进行控制测试后,则应该进行实质性测试。实质性测试是审计人员判断财务报表上各项认定是否有效的重要程序。虽然风险评估报告具有很强的专业性,但是也有可能遗漏某些重大错报风险,而且企业内部控制也受到一定限制,因此,审计人员必须对账户余额、信息披露以及各县重大交易类型进行实质性测试。
2.险再评估以及修改审计计划
在开展审计过程中,随着所获得的审计证据的不断增加,审计人员做出的风险评估报告也不断变化。因此,审计人员需要及时调整和修改风险评估报告和审计计划,逐渐扩大审计范围、改进审计程序,为审计工作的开展创造有利条件。
3.总结
综上所述,造成企业财务舞弊现象的原因较多,如为了高管人员的个人利益、弥合融资要求的动机、会计准则灵活性和真空地带、公司内部治理结构不完善、审计独立性不强等。因此,需要加强审计,利用风险评估来指导审计工作,深入分析企业发展战略各经营各环节的财务活动,根据风险评估报告,对重大错报风险做出正确反应,实施有效的审计措施。(作者单位:甘肃省商业学校)
参考文献:
[1]原红丽.上市公司财务报表审计中的问题及对策[J].时代金融(中旬),2014,11(12):189-190
(一)理论研究综述 美国公众公司会计监督委员会在AS2中提出公众公司审计人员在执行财务报表审计时应进行财务报告内部 审计,首次提出了整合审计的概念、审计标准,为内部控制审计与财务报表审计的整合奠定了基础。Michael S. Gold Stein(2004)在研究美国财务报告内部控制审计与财务报表审计整合框架之后提出了审计师实施审计时的基本步骤和关键业务操作。Colleen Layther(2009)认为美国公众公司会计监督委员会的整合审计是关于财务报表与财务报告内部控制审计予以合并的准则,其要求上市公司会计监管委员会审查审计人员的公正性受到公众的欢迎,并对目前审计准则要求审计人员发表两种审计意见提出质疑。
我国学者对于内部控制审计和财务报表审计的研究也取得了一系列成果。程思敏(2008)在研究美国财务报告内部控制审计准则之后,概括了美国公众公司会计监督委员会在AS2中提出的综合审计模式,该模式将财务报表审计、财务报告内部控制审计作为两个相互联系、相互支撑的审计体系,通过独立、并行的审计过程来实现两种审计目标,审计人员可以借助财务报表审计来发现公司内部控制存在的问题,也可以通过财务报告内部控制审计来帮助审计人员制定审计计划和实施审计程序。陈汉文(2010)认为AS2所提出的综合审计的关注点是财务报告内部控制审计以及它与财务报表审计的整合问题,两者密切联系同时又各有重点,一个针对财务报告内部控制,另一个针对公司提供的财务报表,审计人员在财务报告内部审计过程中要评价管理层有关内部控制有效性评估过程、对内部控制设计与实施的有效性进行评价并得出内部控制是否有效的审计意见。裘宗舜、周洁 (2011)在对比财务报告内部控制审计与财务报表审计之后得出结论,财务报告内部控制审计与财务报表审计的不同在于审计内容与范围、审计评价的准确程度、职业判断能力要求等,但两者的目标一致、程序关联、方法类似且相互支持。谢晓燕、张心灵(2012)在比较分析财务报告内部控制审计与财务报表审计基础上指出内部控制审计与财务报表审计在审计目标、审计程序、审计方法、审计证据等方面存在着密切联系,正确、合理的利用两者之间的关联性,推行内部控制审计与财务报表审计的整合,有利于节约审计资源和成本,提升审计效率和审计质量,提出我国内部控制审计准则应制定审计业务评价标准,以及配套的审计业务指引和业务指南,促进内部控制审计和财务报表审计的整合。张龙平、陈作习(2012)对我国推行内部控制审计的必要性、可行性进行了分析,认为内部控制审计与财务报表审计的整合有利于提升我国审计工作效率、发挥审计协同效益,进而提升我国审计水平和财务信息质量。
(二)内部控制审计与财务报表审计的关系 财务报表是企业与外部沟通的语言,是对企业财务状况、经营成果、现金流量状况的会计形式的表述。财务报表审计则是受投资人委托,由第三方实行的旨在评价财务报表相关表述真实性、可靠性的业务活动。财务报告内部控制审计是为了保证内部控制体系发挥应有的作用而进行的一种外部评价机制和程序。内部控制审计与财务报表审计的关系表现为:如果审计人员对企业内部控制报告发表无保留意见表明企业财务报表存在重大错报的可能性就会降低;如果审计人员对企业内部控制报告发表非无保留意见时,企业财务报表存在错报的可能性就增加。如果审计人员对企业财务报表出具无保留审计意见,企业财务报告内部控制存在两种可能,一是企业内部控制设计良好并运行有效,在防止和纠正财务报表重大错报方面发挥了积极作用。二是内部控制存在漏洞但审计人员在财务报表审计过程中及时发现问题并予以纠正,此时,审计人员对企业内部控制将会出具非无保留意见。但如果审计人员对企业财务报表出具非无保留意见,那么企业内部控制报告肯定存在重大缺陷,内部控制审计报告必然是非无保留意见的。
二、内部控制审计与财务报表审计整合策略
(一)整合审计的必要性 内部控制审计与财务报表审计同属于基于责任方认定的合理保证鉴证业务,这种业务性质上的同质性使得两者具备融合的基础。财务报表审计是注册会计师按照审计准则的规定,通过特定的审计程序和方式对公司财务报表提供信息的公允性、合法性发表审计意见,以提升公司财务报表的可靠性。财务报表审计时需要公司管理层对财务报表反映的交易事项、会计处理、账户余额等事项进行认定,注册会计师审计的本质是对管理层的认定、声明进行审计,因此是基于公司管理层的责任方认定业务。注册会计师完成审计过程发表审计无保留意见并不能完成排除公司存在重大错报的可能,因此,是一种高于管理层认定而无法绝对保证财务报表信息可靠性的合理保证鉴证业务。内部控制审计是注册会计师接受企业或者第三方委托对企业内部控制设计的合理性以及内部控制运行的有效性进行鉴证并发表审计意见的业务活动。管理层应对企业内部控制体系的完整性、可靠性作出说明,并对内部控制有效性进行认定,注册会计师对企业管理层有关内部控制的声明、认定进行审计并发表审计意见。
内部控制审计与财务报表审计之间的密切联系使得内部控制审计与财务报表审计相互支持,财务报表审计结果能够帮助审计人员确定内部控制可能存在漏洞的环节,而内部控制审计的结果可以帮助审计人员优化审计计划和审计程序。整合审计可以有效的降低会计师事务所的业务量,减少运行成本,提高审计效率并减低审计风险。同时,在审计过程中收集的证据和实施的测试对于两种审计活动都有效,因此,是一种经济可行、兼顾审计单位、被审计单位共同利益的制度安排,在美国、日本等国家的运用也证明了该模式的合理性。
(二)整合审计的可行性 内部控制审计与财务报表审计之间的密切联系使得两者存在很多可以相互利用的地方,在一些关键业务点上具有整合的可行性,具体表现在:
(1)审计目标的一致性。内部控制审计与财务报表审计的目标都是为利益相关者提供有关企业财务信息可靠性的合理保证,将两种审计目标结合在一起只需要通过单一的协调流程就能实现,即让同一会计师事务所基于风险导向审计思路对公司进行财务报表审计和内部控制审计,实现两种审计目标,即获取充分、适当的证据对企业内部控制有效性发表审计意见,对企业财务报表可靠性发表审计意见。财务报告内部控制审计与财务报表审计的三方关系人具有一致性,责任方是被审计单位的管理层、使用者为企业利益相关者,审计过程由注册会计师完成。
(2)审计业务内容的相关性。内部控制审计与财务报表审计存在着业务内容上的重合,审计人员在审计审计程序时需要对企业的内部控制体系进行有效性测试,并以此作为依据之一来确定审计重点,制定合适的审计程序。同时,如果审计人员在财务报表审计中发现重点错报,表明财务报告内部控制肯定存在重大缺陷,已经对财务报告内部控制发表无保留意见的应重新进行审计。
(3)审计业务主体的一致性。 AS2以及AS5都要求财务报表审计与财务报告内部控制审计由同一家会计师事务所完成,这是因为财务报表审计和财务报告内部控制审计的审计报告需要同时,如果将两项审计工作交由不同事务所完成,在审计时间、审计成本、审计协调方面都不合理。由同一事务所负责两项审计有利于节省审计成本和降低审计风险,而且,世界各国的审计实务表明,由不同事务所分别承办两项审计业务不利于审计目标的实现,由同一家事务所同时进行内部控制审计和财务报表审计为整合审计提供了基础。
(三)整合审计的实施关键 《企业内部控制审计指引(2010)》规定财务报表审计和内部控制审计可以由不同的会计师事务所完成,也可以由同一家会计事务所完成。但由于内部控制审计与财务报表审计之间的关联性(如图1),无论是企业还是会计师事务所都将二者合并在一起进行,而且,《企业内部控制审计指引(2010)》显然也注意到这一点,从计划审计工作到完成审计工作的各个业务环节都偏重于整合审计。
财务报表审计基本上与现代审计同步,在审计理论、程序、方法等方面都已经成熟,而且不断的发展和完善。内部控制审计则是在萨班斯法案颁布之后开始发展起来,虽然美国公众公司会计监督委员先后AS2和AS5进行了规范,但在实际审计活动中还存在很多不足,内部控制审计与财务报表审计之间的共同点形成了两者整合的关键点,如图2所示,审计证据以及其他重要信息构成了两者之间进行整合的基础,整合审计就是通过通过计划和实施审计程序获得充分、适当的审计证据以支持有关财务报告内部控制是否有效以及在对财务报表进行风险评估的基础上发表审计意见。财务报告内部控制审计帮助财务报表审计修改实质性程序的性质、时间和范围以支持分析程序中使用信息的完整性和准确性;财务报表审计通过实质性测试程序中发现的问题对内部控制有效性评价提供参考。
(1)审计目标的整合。财务报表审计是由注册会计师实施的旨在保证公司财务报表按照会计准则的要求公允反映企业财务状况、经营成果和现金流量,是以公允性作为审计目标的,是将财务报告及相关信息的内部控制有效性纳入审计范围,对财务报表审计则对财务报表的合法性和公允性发表审计意见。我国《企业内部控制基本规范》在借鉴国际惯例的基础上将我国内部控制目标定位为:保证企业经营管理的合法合规、保证企业资产安全、提高财务报告及相关信息的真实完整、提高企业经营效率。企业应以内部控制五大目标为指引,建立和规范企业内部控制体系,对内部控制有效性进行自我评价并形成评价报告。内部控制审计则是注册会计师接受第三方委托对公司内部控制审计与运行的有效性进行合理保证鉴证,是以有效性为审计目标的。财务报表的公允性是内部控制有效性的体现,内部控制的有效性则是财务报表公允性的保证,两者都服务于为企业利益相关者提供高质量的财务信息,因此,两者在这一点上是一致的,目标的一致性使得整合审计成为可能。
(2)审计计划的整合。内部控制审计与财务报表审计都需要制定合理的审计计划,在审计计划阶段应做好被审计单位行业状况、与财务报告相关的内部控制、法律环境等重大事项的了解以实现两种审计活动的审计目标。一是确定对内部控制和财务报表同时具有重要影响的事项并分析该事项如何影响审计工作。二是内部控制审计中重点考虑的风险评估、审计工作量、舞弊风险、利用他人审计成果等因素应该在财务报表审计中充分利用,内部控制审计确定的高风险领域同样是财务报表审计需要重点关注的领域。三是财务报表审计中的有关舞弊风险的评估结果应作为内部控制审计识别和测试企业层面控制以及选择其他控制进行测试的重要依据。四是财务报表审计的保证程度要高于内部控制审计的保证程度,整合两种审计要求财务报表审计与内部控制审计运用相同的重要性水平。
(3)审计业务的整合。前面的分析中提到财务报表审计与财务报告内部控制审计同属于基于责任方的合理保证的鉴证业务,即将重大鉴证风险控制在可以接受的水平以内。从COSO五要素的“内部控制整体框架”到COSO八要素的“内部控制风险管理”,内部控制正逐步向以风险为导向进行转变,而财务报表审计也要求以风险为导向来进行审计前的准备、制定审计工作计划和实施审计程序,因此,致力于对被审计单位财务报告内部控制和财务报表提供合理保证鉴证服务的两种审计活动。在审计过程中,可以将一些类似的审计程序同时进行,或合并进行,而由同一家会计师事务所同时负责两项审计业务为两项审计业务的整合提供了必要条件。
(4)审计程序的整合。内部控制审计要求以风险控制为导向来实施审计程序和控制测试,风险评估是内部控制审计的基础、控制测试是内部控制审计的核心,而财务报表审计包括风险评估、内部控制测试和实质性测试三个环节,而且在风险评估阶段要求注册会计师全面了解企业内部控制,在实施实质性程序不能提供充分、适当的审计证据时就需要进行内部控制测试,因此,内部控制测试成为整合审计在实施程序方面的关键整合点。需要说明的是内部控制审计中的内部控制评价和财务报表审计中的内部控制评价可以同时进行,但两者的范围存在差异,财务报表审计对内部控制进行测试限于“所依赖”的内部控制,即当财务报表审计中的某个项目需要测试内部控制是否有效时,审计人员才对影响该项目的内部控制进行有效性测试来获取充分的审计证据来支持财务报告的审计意见,因此,财务报表审计中的内部控制测试范围较小,其结果未必足以证明整个内部控制体系的有效性。内部控制审计对于内部控制测试的范围要大于财务报表审计进行的内部控制测试范围,整合审计可以通过增加内部控制审计需要“补充”的控制测试来完成整个审计控制测试。
(5)审计方法的整合。财务报表审计采用风险导向审计,财务报告内部控制审计采用自上而下的审计方法。财务报表风险导向审计通过通过询问、检查文件或记录、观察等程序了解评估报表层和认定层存在的高风险领域,进而制定针对报表层风险的总体审计措施和针对认定层风险的审计程序,包括相应的控制测试和实质性测试。财务报告内部控制审计采用的自上而下的审计方法从了解并测试公司层内部控制开始,然后对报表重要账户控制有效性进行测试,再往下是业务流程和交易控制的有效性测试,从而引导审计人员发现可能导致财务报表及相关列报发生重大错报的账户、交易上。因此,财务报告内部控制审计也具有风险导向的特点,通过风险评估来了解企业内部控制,选取内部控制测试范围,财务报告内部控制审计中对内部控制的相关审计活动有助于财务报表审计的风险评估,而财务报表审计对于高风险领域的风险评估则有助于财务报告内部控制审计抓住重点做到有的放矢。
参考文献:
一 CPA思想认识上存在的问题
在新准则推行期初,许多CPA存在一种对新事物本能的抵触情绪,怀疑、曲解、甚至否定。新准则推行后,又由于一些CPA被新准则的庞大体系和精深内涵所迷惑,加之自身对准则学习、认识和理解不足,产生畏难感,从而使得相当多的CPA对新准则观望、等待甚至抵制,增加了推行新准则的难度、成本和时间。
从近两年执业质量检查的情况可以看出,许多CPA对风险导向审计程序的认识至今仍是一知半解甚至仅略知一二,未掌握如何正确履行风险评估程序,比如,不知道应具体从哪些方面了解以及如何了解被审计单位及其环境,不知道如何从整体层面和业务流程层面来了解和评价被审计单位的内部控制,不知道如何根据了解的情况对被审计单位进行风险评估。在编制工作底稿时,能够获取信息或资料的就填一点,不能获取的就空在那里,使得对风险评估的审计程序时断时续,不成体系;或者获取了一些信息或履行了一些审计程序,却往往没有结论,即使有结论却抓不着重点、找不到关键,不清楚如何根据了解和掌握的信息对被审计单位可能存在的审计风险进行评估'更不知道如何根据评估的审计风险确定重点审计领域并指导实施进一步审计程序。风险评估程序成为了应付执业质量检查的形式主义。
此外,许多CPA对认识风险导向审计的本质内涵存在两个误区:
误区一,认为风险导向审计之所以可以节约审计资源,就是因为有风险的领域才审,没有风险的领域可以不审,所以,实施风险导向审计仅需审计评估后有风险的领域;
误区二,认为由于不管有无审计风险,所有的报表项目都必须实施实质性程序,所以,不如不实施风险评估程序而直接实施实质性程序。
二、CPA审计实务中存在的问题
(一)一知半解,无从下手
一些CPA对风险导向审计的理论实际上仅是一知半解,真正需要其动手实施风险评估程序时往往又无从下手。
一方面,通过培训和实践'绝大多数CPA在理论上知道应该从哪几个方面去了解被审计单位及其环境,但真正到实务操作时,许多CPA还是知其一不知其二,不知道应具体从哪些渠道究竟应实施哪些审计程序不知道哪些信息和因素可能会对被审计单位产生何种重大错报风险,更谈不上如何分析可能产生的重大错报风险。
另一方面,一些CPA尽管收集了与被审计单位生产经营有关的大量信息,但不懂得如何梳理和寻找对被审计单位可能产生重大影响的信息。不知道如何分析和评估有关信息对被审计单位财务报表可能产生的重大影响,特别是如何评估出可能产生的经营风险和重大错报风险,或者就是发现了经营风险和重大错报风险,但又往往不知道如何确定总体应对措施以及设计和实施进一步审计程序。并且由于所收集的信息来源广泛,一些CPA往往不对也不懂对资料进行必要的分析和取合。
再一方面,一些CPA对在整体层面和业务流程层面对被审计单位内部控制应该分别了解的要求和内容缺乏清晰认识;还有一些CPA不知道究竟应该如何正确划分业务循环,不知道如何按照各业务循环对被审计单位业务流程层面的内部控制进行了解和评价,更有一些CPA即使面对了解到的在整体层面和业务流程层面对被审计单位可能产生重大错报风险的信息,但往往也不知道如何进行利用、分析、编制风险评估的工作底稿并指导后面的进一步审计程序。
(二)形式主义、敷衍应付
尽管一知半解,对风险评估程序无从下手,但大多数CPA还是勇敢“下手”了,那实际“下手”的情况究竟如何呢?
从笔者对一些CPA执行风险评估程序实际现场情况的调查发现,许多审计项目常常是前面的风险评估程序还没有完工,后面的进一步审计程序就已经收工。整个审计项目完成后,表面看,审计工作底稿似乎履行了风险评估程序,但实际上根本谈不上在评估审计风险的基础上去导向、指引后面的进一步审计程序,是典型的形式主义。
还有一些CPA,在先行完成了进一步审计程序后,为了使得工作底稿具备风险评估的内容,仅是在工作底稿归档前象征性地搞一些风险导向审计的内容,这本质上就是弄虚作假。一些CPA执行风险评估各阶段的审计程序常缺乏连贯性,工作底稿之间没有任何关联,了解的具体情况与风险评估之间、风险评估与应对措施之间往往总是严重脱节。底稿看似规范,但风险评估与进一步审计程序缺乏关联和衔接。更有部分CPA只是按照固定格式的风险评估的工作底稿填空,机械甚至麻木地在对被审计单位的调查表格上打钩、打叉,根本不理解并去真正了解和调查具体情况。
上述种种问题,从CPA自身角度分析,一方面是由于许多CPA对新准则没有能够完全学懂弄通,另一方面是因为我们的风险导向审计准则规定了风险评估审计程序必须实施,许多CPA在一知半解的情况下只好为了有风险评估的工作底稿而依样画葫芦,搞形式主义,敷衍应付,甚至弄虚作假。
三、解决风险评估审计程序执行问题的思路
(一)正确认识新审计准则的三大变化
笔者认为,首先要解决对新准则理解和认识上存在的问题。在老准则下,许多CPA已习惯于将被审计单位的会计账簿作为唯一的审计对象和审计范围,所实施的审计程序也是围绕会计账簿、凭证和会计处理方法等数据方面的内容,但必须注意的是,新准则下的审计对象、审计范围和审计程序发生很大变化:
1 审计对象的变化
新准则不仅包括对会计数据的审计,而且还包括对会计数据可能产生重大影响的所有信息的了解和评价,CPA要能够通过对相关信息的了解、评价来评估审计风险,并据此计划和实施相应的审计程序。由此可见,新准则已把审计对象主要由会计资料扩展到对被审计单位财务报表可能产生重大错报风险的所有相关的领域、信息或事项。
2 审计范围的变化
CPA要了解和评估被审计单位的重大错报风险,不能仅考虑被审计单位的内部情况,还应该分析被审计单位的外部因素,即要能够分析和评估与被审计单位经营有关的外部因素对被审计单位财务报表的影响。所以,CPA要改变以往仅把审计视角放在被审计单位内部的习惯,要把审计视角和审计范围扩大到被审计单位外部,要善于分析与被审计单位经营有关的各种外部因素,以适应执行新准则的需要。
3 审计方法和审计程序的变化
新准则不仅要实施传统的以制度为基础的审计方法和审计程序,而且还要把审
计方法和审计程序扩展为包括了解、评价、评估、分析和测试等凡是能够发现被审计单位财务报表可能产生重大错报风险的所有的审计方法和程序,即CPA不仅要懂得传统审计方法,而且更要学会和熟悉与各类信息打交道的了解、分析和评估等方法和程序。可见,在新准则下,CPA的审计方法和审计程序也由原来单一的、平面的初级版变成综合的、立体的高级版。
(二)从五大方面改变对新准则的认识和执行
1 要从思想根源上切实改变审计理念
CPA务必树立新的风险导向的审计理念在整个审计的全过程中’CPA都必须围绕着:“寻找审计风险一评估审计风险一如何降低审计风险一风险有无降低”的主线展开。
即CPA必须先寻找并评估其是否属于重大错报风险,在对被审计单位存在的重大错报风险正确判断的基础上,再针对评估出的重大错报风险实施相应的审计程序,且所实施的审计程序必须能够将审计风险降低至可接受的低水平。
可能有人要问,什么是审计风险?审计风险源自何处?笔者认为,我们CPA的审计风险从根源上讲,就源于被审计单位对财务报表可能存在的因错误或舞弊而产生的重大错报风险,如果CPA的审计不能发现这些风险或对这些风险不能获取合理的保证,就形成了我们CPA的审计风险。
2 审计全过程要始终重点关注四大风险
可能又有人要问,被审计单位的重大错报风险究竟由那些方面组成呢?笔者认为,CPA在围绕审计主线开展审计的全过程中,就要始终并时刻重点关注这以下四大重大错报风险。
一是被审计单位在生产经营过程中可能存在的经营风险(从企业所处的行业环境和企业整体进行分析);
二是被审计单位在内部控制方面可能存在的内控风险(分别从内部控制的整体层面和业务流程层面分析);
三是被审计单位可能存在的舞弊风险,特别是被审计单位管理层、治理层凌驾于内部控制之上的舞弊风险;
四是被审计单位财务报表可能存在的列报风险。
3 注意审计对象和审计范围的改变
CPA不仅要改变以往就账查账的老习惯,而且更要把审计范围、审计对象及审计视野扩展到会计账簿以外,扩展到可能给被审计单位财务报表产生重大错报风险的所有的相关领域、信息或事项,包括能够从被审计单位外部获取的各类信息和证据,应重视对被审计单位财务报表可能产生重大影响的内、外部的各种信息。
4 注意审计方法和审计程序的改变
CPA要把传统的以制度审计为基础的审计方法和审计程序扩展为了解、评价、评估、分析和测试等凡是能发现被审计单位财务报表可能产生重大错报风险的所有方式方法和程序,特别是要学会对大量非数据信息的了解、分析和评估,即要能够从被审计单位内部和外部获取的各种文字信息中评估出对被审计单位财务报表可能产生的重大影响,特别是可能产生经营风险和舞弊风险等重大影响的信息。
尽管目前对重要性原则的表述不尽相同,但其认识基本一致,即如果信息的错报或漏报影响到报表使用者的判断或决策,那么该信息就是重要的。国际审计准则委员会(IASC)认为如果信息的错报或漏报会影响使用者根据财务报表采取的经济决策,信息就具有重要性;国际审计实务委员会公布的国际审计准则第25号指出,重要性涉及的财务资料误报的数量或性质不论是个别的还是合计的,作为这种误报的结果将会对人们依据这些资料做出尽可能合理的判断或决策产生影响。我国注册会计师审计准则第1221号――重要性,将重要性定义为重要性取决于在具体环境下对错报金额和性质的判断,如果一项错报单独或连同其他错报可能影响财务报表使用者依据财务报表做出的经济决策,则该项错报是重大的。在理解重要性的具体内涵时,必须认识到由于审计方法或审计成本的限制,财务报表审计只能起到合理保证的作用,注册会计师在审计过程中必须站在财务报表使用者的角度上,考虑在具体的审计环境下,财务报表的某项错报是否足以改变或影响财务报表使用者的相关决策,所以运用重要性的关键是确定多少金额及以上的错报会影响到信息需求者的决策。在我国的审计实务中,结合重要性标准的具体含义做进一步延伸界定为重要性水平,这也是审计实务工作者对重要性的习惯性表述,而这种做法与重要性的含义逻辑上一致。因为重要性标准是如果一项错报对财务报表使用者相关决策影响程度大,在临界点之上的错报是重要的。反之该项错报不重要。所以超过重要性水平的错报,重要性程度较高,审计人员必须调整和设计审计程序,将超过重要性水平的错报查出来,为报表使用者提供真实的财务报表。
现代风险导向审计实务模式下,注册会计师确定两个层次的重要性水平,就某一特定的被审计单位而言,出具真实公允的财务报表是被审计单位管理当局的责任,而报表中的错报漏报到多大程度会影响到报表使用者的判断决策是客观存在的,这个尺度只有管理当局最清楚。但这个客观的重要性水平是一个非常抽象的标准,对注册会计师而言具有不可确知性,只能利用对被审计单位的理解和职业判断进行评估。且目前也没有尺度去评价CPA所估计的重要性水平是接近还是偏离客观重要性水平,所以伴随CPA这种职业判断的审计风险接踵而来,不仅如此,不同的报表使用者容许报表中存在的错报或漏报严重程度不尽相同,但在实践中,注册会计师用统一的量化的重要性判断标准来指导审计实务,将承担一定的审计风险,实践中重要性水平的确定和注册会计师承担审计风险存在必然联系。
审计风险是指财务报表中存在重大错报,审计人员审计后发表不恰当审计意见的可能性。由于财务报表审计业务是一种保证程度较高的鉴证业务,CPA应当确定一个合理、可接受的审计风险水平。CPA考虑到审计成本、会计师事务所对待风险的态度及审计失败承受能力的大小确定的可接受审计风险水平应足够低。审计实务中,将审计风险分为两个层次,重大错报风险和检查风险。前者是指财务报表在审计前存在重大错报可能性,与被审计单位本身所面临的环境相关,财务报表本身并不能反映诸如战略风险、经营风险等因素,所以注册会计师对财务报表重大错报风险水平的评估必须利用系统观方法把被审计单位所面临的宏观因素融入到财务报表整体层次中,如了解被审计单位行业状况、法律环境、监管环境,分析被审计单位的经营风险、生存能力、管理能力等因素,然后将整体层次的重大错报风险与认定层次可能发生的错报联系起来。针对具体认定层次风险严重性和可能性,确定进一步的审计程序,CPA通过实施具体的审计程序,收集到充分适当的审计证据来控制检查风险水平,所以从审计人员角度看,确定各个认定层次的重要性水平,但能否查出各个认定层次的错报漏报是否超过重要性水平这本质上属于审计检查风险。对重大错报风险水平进行恰当评估基础上,只有将审计检查风险降到可接受范围之内,才能达到审计后的报表容许的错报或漏报在重要性水平之下,审计风险在可承受范围之内。
二、审计程序的界定
审计计划阶段确定的重要性水平,可接受的审计风险水平,最终都是在为注册会计师实施审计程序范围的大小服务。而随着审计程序实施范围的不断加深及对被审计单位具体情况的不断了解,注册会计师不断修正审计计划阶段确定的重要性水平和审计风险水平。所以审计程序范围与计划阶段确定的重要性水平、审计风险水平具有相对应的关系。
现代风险导向审计模式下,审计程序按实施的目的分为风险评估、控制测试、实质性测试。风险评估程序是以了解被审计单位及其环境并进行恰当评估重大错报风险为起点和导向,获得包括对企业外部、内部环境的风险的初步了解和识别,并根据初步评估结果,计划和实施控制测试程序,然后根据风险评估程序和控制测试的结果,计划和实施实质性测试程序。现代风险导向审计新理念是增强风险评估的新导向和进一步审计程序的针对性。如果初步评估重大错报风险水平较高,则CPA应实施更多实质性测试而相应减少控制测试的范围,把从宏观着眼识别和评估出的重大错报风险与微观的某类交易、账户余额及列报认定相联系,通过实施具体的细节测试和分析性测试,将认定层次的错报或漏报查出,控制检查风险水平,通过将组成财务报表三个认定层次的超过重要性水平的错报或漏报查出,才能合理保证财务报表整体不存在重大错报,审计风险也能降低到可接受范围之内。
三、重要性水平、审计风险与审计程序的关系
在既定的、可接受的审计风险水平一定的前提下,初步评估的重大错报风险与检查风险水平成反向关系。检查风险是指CPA未能发现某一认定存在错报,该错报单独或连同其他错报是重大的可能性小,即该错报在重要性水平之下,这样注册会计师承担的检查风险水平会很低。如果注册会计师发现某项认定单独或连同其他错报认定发生超过重要性水平的错报的可能性大,CPA需要实施的审计范围就越大,实施的审计程序类型就要更多一些。当重大错报风险水平偏低,CPA估计的重要性水平可以偏高,虽然重要性水平判断风险增加,但由于重大错报风险水平降低,也可抵消重要性水平估计偏高所带来的审计判断风险,从而使审计风险降低至可接受水平。融合前者重要性水平与审计风险成反向关系,利用层次分析法界定评定重要性水平、重大错报风险水平和检查风险水平之间的关系如图1:
风险评估程序和控制测试结果表明,如果计划阶段确定的重要性水平偏高,CPA实际面临的审计风险水平超过了可接受检查风险水平,根据初步评估的重大错报风险设计的审计程序将不再适用,如果可能,可以一方面通过扩大控制测试范围或实施追加的控制测试,另一方面修改计划实施的实质性测试的时间、范围和降低检查风险。计划阶段确定的重要性水平越高,则报表中容忍的错报数额越大,CPA承担的审计风险越小,反之越高。所以重要性水平与审计风险水平成反向关系。但CPA确定的重要性水平一定要客观,且不可人为降低审计风险水平而提高重要性水平金额。这样反而加大了CPA承担的审计风险水平。CPA在审计开始时,确定两个层次的重要性水平。通过了解被审计单位及其环境所实施的风险评估程序,初步评出重大错报风险水平不同情况下,可能会修正初始确定的财务报表整体重要性水平。进而分配到各个认定层次的重要性水平也会不同。针对各个认定层次所实施的审计程序的性质、时间、范围会受到影响,注册会计师收集到的审计证据也会多寡不均。这样注册会计师承受的检查风险水平会不同,当重大错报风险水平评估较高时,CPA所承担各个认定层次的检查风险水平必须降下来。两者成反向关系基础上才能保证可接受的审计风险水平最低。
在现代风险导向审计模式下,以了解被审计单位及其环境并评估重大错报风险为重心,确定或修正计划阶段所估计的重要性水平的客观性,通过实施两个层次的审计程序,在无法改变重大错报风险水平的前提下,改变认定层次的检查风险水平从而将认定层次所包含的错报或漏报降低在重要性水平之下,整个财务报表层次的错报或漏报在整体层次的重要性水平之下。能合理评估财务报表的重大错报风险成为评价会计师事务所及CPA专业胜任能力和考验审计质量的关键尺度与决定性因素。以CPA动态分析重大错报为依据调整重要性水平,要求CPA根据重大错报风险的实际变化通过调节检查风险水平来修正审计程序性质、时间和范围,从而把审计风险降低到可接受范围之内,审计任务就能顺利完成。
参考文献:
[1]程庆:《论现代审计中一个重要概念――重要性》,《财会通讯》(学术版)2007年第5期。
一、国际审计风险准则的最新
按照IAASB工作计划,三个新国际审计风险准则生效后,原IAS 310“了解被审计单位情况”(Knowledge of the business)、ISA 400“风险评估与内部控制”(Risk assessments and internal controls)、ISA 401“机信息系统环境下的审计”(Auditing in a computer information systems environment)和ISA 500“审计证据”一并作废。与以前准则相比,新国际审计风险准则主要有以下八个方面的重大发展和实质性变化。
(一)引入“重大错报风险”概念,重建审计风险模型
原国际审计风险准则认为,审计风险包括固有风险、控制风险和检查风险,审计风险模型为:审计风险=固有风险×控制风险×检查风险,并要求根据该模型来计划和执行财务报表审计工作,最终将审计风险降低至可接受的低水平。从上看,该模型不存在不妥,但实务操作面临很大的和困难。比如:(1)原准则要求,在编制总体审计计划时,注册会计师应当对财务报表整体的固有风险进行评估;在编制具体审计计划时,注册会计师应当考虑固有风险的评估对各重要账户或交易类别的认定所产生的影响,或者直接假定这种认定的固有风险为高水平。由于假设不存在相关内部控制的条件下去具体单独评估认定的固有风险有显知的难度,再加上直接假定认定的固有风险为高水平被公认为稳健的做法,这样极容易导致不少事务所及注册会计师不重视对固有风险的评估,使其流于形式。(2)尽管原准则明确指出,由于控制风险与固有风险相互联系,注册会计师应当对两者进行综合评估,并据以作为检查风险的评估基础。但实务中,很容易人为割裂两者的内在联系,而只依赖对内部控制风险所作的粗放型评估来直接、大致确定检查风险水平,再据此规划实质性程序的性质、时间和范围。这样做难以合理保证财务报表不存在重大错报。(3)最为重要的是,原审计风险模型将固有风险和控制风险并列,没有抓住财务报表审计工作的“牛鼻子”,也没有抓住事物的本质和核心东西。其实,这两种风险,就是客户风险(client risk),即客户财务报表审计前存在重大错报的可能性,均为被审计单位所造成和掌控,注册会计师只能评估而不能改变。从注册会计师角度看,只抓住固有风险和控制风险作为审计工作的起点和导向,而不直接明确地以评估重大错报风险为起点和导向,有舍本求末,隔靴搔痒,只见树木不见森林之感。
新国际审计风险准则正式引进“重大错报风险”概念(重大错报风险是指财务报表在审计前存在重大错报的可能性),将审计风险模型重构为:审计风险=重大错报风险×检查风险。这不是简单地将固有和控制风险并称为重大错报风险,而是重大的实质性改进。不仅明确规定了审计工作以评估财务报表重大错报风险作为新的正确起点和导向,抓住了审计工作的“牛鼻子”,而且与现行审计目标责任定位紧紧相扣,有利于履行审计责任,实现审计目标。众所周知,按国际审计准则要求设计审计工作就是为了合理保证财务报表整体不存在重大错报。新风险模型的构建更直接有助于导引注册会计师,时刻紧紧围绕评估的重大错报风险来设计和执行审计程序,以最终实现合理保证财务报表整体不存在重大错报。
(二)改进审计业务流程,增强实施审计程序的效果
原准则依据审计风险三要素模型,把审计业务流程和程序分为四大块:(1)了解被审计单位情况(为评估固有风险);(2)了解内部控制;(3)(必要时)控制测试(均为评估控制风险);(4)实质性测试(为降低检查风险)。第(1)块由原IAS 310“了解被审计单位情况”来规范,第(2)、(3)、(4)块则由原ISA 400“风险评估与内部控制”来规范。
新国际审计风险准则依据审计风险二要素模型,把审计业务流程和程序分为三大块:(1)了解被审计单位及其环境,包括内部控制(目的是为评估财务报表总体层次和认定层次的重大错报风险)。本块审计程序称为“风险评估程序”(risk assessment procedures),(2)(必要时)控制测试(目的是为了测试内部控制在防止、发现和纠正认定层次重大错报方面的有效性,并据此一并评估重大错报风险),(3)实质性测试(目的是为了检查认定层次的重大错报风险)。新准则把第(2)、(3)块程序统称为“进一步审计程序”(further audit procedures),并指出风险评估程序不足以为发表审计意见提供充分适当的审计证据,注册会计师还应当设计和实施进一步审计程序,包括控制测试和实质性程序。还指出应当以对认定层次的重大错报风险的相关评估结果(包括实施风险评估程序的结果和必要时执行控制测试的结果)为基础,并考虑既定的审计风险水平,来确定可接受的检查风险水平,再据此计划和实施实质性程序。在既定的审计风险水平下,可接受检查风险水平与认定层次重大错报风险的评估结果成反向关系。评估的重大错报风险越高,可接受检查风险越低;评估的重大错报风险越低,可接受检查风险越高。检查风险取决于实质性程序设计和执行的有效性。注册会计师应当合理设计实质性程序的性质、时间和范围并有效执行,将检查风险降至可接受的水平。第(1)块由ISA 315“了解被审计单位及其环境并评估重大错报风险”来规范,第(2)、(3)两大块则由ISA 330“针对评估的重大错报风险实施的程序”来规范。由于重建了审计风险模型和改进了审计业务流程,IAASB相应地修订了原ISA 500“审计证据”。
审计业务流程作上述改进后,要求注册会计师全程关注财务报表的重大错报风险,并将风险评估作为整个审计工作的先导、前提和基础。注册会计师应首先花大力气去识别和评估重大错报风险,再据此有针对性地采取措施,合理保证财务报表不存在重大错报。评估重大错报风险的失当,必将导致整个审计工作的失败。看来,能否合理评估客户财务报表的重大错报风险,将成为评价会计师事务所及注册会计师专业胜任能力、考验审计质量及效果的关键性尺度与决定性因素。
(三)区分评估的财务报表整体层次和认定层次的重大错报风险采取不同应对措施,力保所获取审计证据的充分、适当性
ISA 330“针对评估的重大错报风险实施的程序”明确规定和回答了,通过了解被审计单位及其环境(包括内部控制),分别评估出财务报表整体层次和认定层次的重大错报风险后该怎么办的问题,从而有助于注册会计师更有针对性地采取不同的有效应对措施。该准则对注册会计师提出以下要求:
1.应当针对评估的财务报表整体层次的重大错报风险确定“总体应对措施”(overall responses)。可采取的总体应对措施包括:(1)向项目组强调在收集和评价审计证据过程中保持职业怀疑态度的必要性;(2)分派更有经验的或具有特殊技能的审计人员,或利用专家的工作;(3)提供更多的督导;(4)在选择进一步审计程序时,应当注意某些程序不能被管理当局预见或事先了解;(5)对拟实施审计程序的性质、时间和范围作出总体修改。注册会计师对控制环境的了解影响其对财务报表整体层次重大错报风险的评估。如果控制环境存在缺陷,注册会计师通常应当考虑:(1)在期末而非期中实施更多的审计程序;(2)通过实质性程序获取更广泛的审计证据;(3)修改审计程序的性质,获取更具说服力的审计证据;(4)增加审计范围中所包括的经营场所的数量。
2.应当针对评估认定层次的重大错报风险设计和实施“进一步审计程序”(further audit procedures),以将审计风险降至可接受的低水平。
ISA 330还要求在确定总体应对措施,以及设计和实施进一步审计程序的性质、时间和范围时,注册会计师应当运用职业判断。ISA 330还对进一步审计程序(包括必要时控制测试和实质性测试)的性质、时间和范围决策作了比以前准则更详尽的规定。
(四)重新划分认定层次的构成类别,强调获取列报与披露认定的审计证据的重要性
原准则要求识别、评估和检查认定层次的重大错报风险,是区分各类交易和账户余额二个类别来进行的。因此财务报表总体重要性水平的分配、实质性细节测试种类的确定、审计证据的收集与评价都包括了各类交易和账户余额两个方面。
新国际审计风险准则重新划分认定层次的构成为三个类别:(1)各类交易,(2)账户余额,(3)列报与披露(presentation and disclosure),并将这一思想贯穿于整个审计过程中。
比如,ISA 315要求,从各类交易、账户余额及列报与披露三方面来识别和评估认定层次的重大错报风险。ISA 330规定,实质性程序包括:一是对各类交易、账户余额及列报与披露的细节测试,二是实质性程序;还规定注册会计师应当实施审计程序以评价财务报表总体列报与相关披露是否符合适用的财务报告框架,在评价时应当考虑评估的认定层次重大错报风险,还应当考虑财务报表是否正确反映财务信息的分类和描述,以及对重大事项的披露是否适当。修订后的ISA 500“审计证据”也相应地规定,注册会计师应当将认定具体运用于各类交易、账户余额、列报与披露,作为评估重大错报风险以及设计与实施进一步审计程序的基础;并进一步指出了这三个方面所涉及和运用的不同认定种类。注册会计师对所审计期间的各类交易和事项运用的认定通常分为下列种类:(1)发生:记录的交易和事项已发生且与客户有关;(2)完整性:所有应当记录的交易和事项均已记录;(3)准确性:与交易和事项有关的金额及其他数据已恰当记录;(4)截止:交易和事项已记录于正确的会计期间;(5)分类:交易和事项已记录于恰当的账户。注册会计师对期末账户余额运用的认定通常分为下列种类:(1)存在:资产、负债和所有者权益是存在的;(2)权利和义务:被审计单位拥有或控制资产的权利,负债是被审计单位的义务;(3)完整性:所有应当记录的资产、负债和所有者权益均已记录;(4)计价和分摊:资产、负债和所有者权益以恰当的金额反映在财务报表中,之后的计价或分摊调整已恰当记录。
注册会计师对列报与披露运用的认定通常分为下列种类:(1)发生及权利和义务:披露的交易、事项和其他情况已发生且与被审计单位有关;(2)完整性:所有应当包括在财务报表中的披露均已包括;(3)分类和可理解性:财务信息已被恰当地列报和描述,且披露表述清楚;(4)准确性和计价:财务信息和其他信息已公允披露,且金额恰当。
原准则将列报与披露问题融合到各类交易、账户余额的审计中,理论上并没有什么错。但实务中相比之下注册会计师更重视审计各类交易和账户余额的其他认定,而容易忽视列报与披露认定的重大错报风险。在日益重视财务报表列报与披露的今天,新准则强调单独针对财务报表总体列报与披露认定获取审计证据,对切实提高审计效果和财务报表信息披露质量有特别重要的意义。
(五)强调保持职业怀疑态度,切实提高发现重大错报的概率
新国际审计风险准则进一步强调了保持职业怀疑态度的极端重要性,要求注册会计师以职业怀疑态度计划和实施审计工作,充分考虑可能存在导致会计报表发生重大错报的情形。所谓职业怀疑态度,是指注册会计师以质疑的态度,对所获取审计证据的真实有效性作批判性的评价,并对相互矛盾的审计证据以及导致对文件或管理当局声明的可靠性产生怀疑的审计证据保持警惕。例如,在整个审计过程中,职业怀疑态度对减少忽略可疑情况的风险,以及减少在确定审计程序的性质、时间、范围及评价相应结果时使用错误假定的风险都是必要的。在计划和执行审计时,审计人员既不能假定管理当局不诚实,也不能假定其完全诚实。因此,管理当局声明书不能替代获得充分适当的审计证据,只有充分适当的审计证据才能得出作为审计意见基础的合理结论。
审计如刑事侦察,同属侦查类学科。发现疑点、捕捉线索是关键。而保持职业怀疑态度又是关键之关键。在不少审计失败案例中,审计人员未尽到职业怀疑义务、不会怀疑成为主因。审计人员学会怀疑是一个不断、总结和积累的过程,贯穿于整个职业生涯。职业怀疑意识和能力越强,发现重大错报的概率就越大。
(六)强调对特别风险的识别及评估,并警惕仅实施实质性程序无法获取充分、适当审计证据的风险
ISA 315要求,注册会计师在风险评估中应当运用职业判断,确定识别的风险哪些是特别风险(significant risks),需要作特别的审计考虑。在确定哪些风险是特别风险时,应考虑风险的性质、潜在错报的重要程度(包括导致多项错报的可能性)以及风险发生的可能性。在确定风险的性质时,注册会计师应当考虑下列事项:(1)风险是否为舞弊风险;(2)风险是否与近期环境、会计核算和其他方面的重大变化有关;(3)交易的复杂程度;(4)风险是否涉及重大的关联方交易;(5)财务信息计量的主观程度,特别是对不确定事项的计量存在宽广的区间;(6)风险是否涉及异常或超出正常业务范围的重大交易。ISA 315指出,特别风险通常与重大的非常规交易和判断事项有关。非常规交易是指由于金额或性质异常而不经常发生的交易。判断事项通常包括作出的会计估计。由于非常规交易具有下列特征,与重大非常规交易相关的特别风险可能导致更高的重大错报风险:(1)管理当局更多地介入会计处理;(2)数据收集和处理需要更多的人工介入;(3)复杂的计算或会计原则;(4)非常规交易的性质可能使被审计单位难以对由此产生的特别风险实施有效控制。由于下列原因,与重大判断事项相关的特别风险可能导致更高的重大错报风险:(1)对涉及会计估计和收入确认的会计原则存在不同的理解;(2)所要求的判断可能是主观和复杂的,或需要对未来事项作出假设。ISA 315还要求,对特别风险,注册会计师应当评价相关控制(包括相关的控制活动)的设计情况,并确定其是否已经得到执行。由于与重大非常规交易或判断事项相关的风险很少受到日常控制的约束,注册会计师应当了解被审计单位是否针对该特别风险设计和实施了控制。如果管理当局未能实施控制以恰当应对特别风险,注册会计师应当认为内部控制存在重大缺陷,并考虑对风险评估的影响。
ISA 315同时要求,特别应警惕仅实施实质性程序无法提供充分、适当审计证据的风险。指出作为风险评估的一部分,如果认为仅通过实施实质性程序获取的审计证据无法将认定层次的重大错报风险降至可接受的低水平,注册师应当评价客户针对这些风险设计的控制(包括相关的控制活动),并确定其执行情况。还强调在客户对日常交易采用高度自动化处理的情况下,如果注册会计师认为仅通过实施实质性程序不能获取充分、适当的审计证据,则应当考虑所依赖的相关控制的有效性。
这是国际审计风险准则首次单独强调识别和处置特别风险及完全依赖实质性程序的风险,对于解决实务中较普遍存在的(1)审计往往抓不住重点,容易忽视那些需要特别审计考虑的风险;(2)不重视风险评估和内控了解,不分情况盲目期望仅靠实施实质性程序获取证据等突出,有针对性意义。
(七)强调项目组内讨论的积极作用,共享审计经验和资源
在审计中如何组织利用好项目组内的讨论,共享审计经验和资源,保证整体审计质量,这在过去往往被忽视。ISA 315首次规定,注册会计师应当组织项目组成员对客户财务报表存在重大错报的可能性进行讨论,并运用职业判断合理确定讨论的目标、、人员、时间和方式。项目组应当讨论客户所面临的经营风险、报表容易发生错报的领域及发生错报的方式,特别是由于舞弊导致重大错报的可能性。项目组的关键成员应当参与讨论。如果审计项目组需要拥有特殊信息技术或其他技能的专家,在讨论时还应将其包括在内。项目组应当根据审计的具体情况,持续交换有关客户报表发生重大错报可能性的信息。项目组在讨论时应当强调在整个审计过程中保持职业怀疑态度,警惕可能发生重大错报的迹象,并对这些迹象进行严格追踪。通过讨论可以使成员更好地了解在各自负责的领域报表发生重大错报的可能性,并了解各自实施审计程序的结果如何审计的其他方面,包括如何确定进一步审计程序的性质、时间和范围。
(八)强调与治理当局沟通和与管理当局沟通并重,优化审计环境。
ISA 315设专章规定与治理当局和管理当局沟通内控问题,要求注册会计师及时将其注意到的内部控制设计或执行方面的重大缺陷告知客户适当层次的治理当局或管理当局。如果识别出客户未加控制或控制不当的重大错报风险,或认为客户的风险评估过程存在重大缺陷,注册会计师应当就此类内部控制缺陷与治理当局沟通。此外,还可向治理当局沟通与管理当局的正直性和舞弊有关的问题。
ISA 260“与治理当局沟通审计事项”,专门为审计人员与客户负责治理的机构和人员(简称治理当局)之间,沟通审计中所注意到的有关治理的审计事项,建立准则和提供指南。本准则所称“治理”是用来描述被授权对单位进行监督、控制及指导的内部机构和人员的作用。只有当管理当局履行这种职能时,治理当局才包括管理当局。本准则对沟通的原则、对象、内容、方式、时间等作了全面的规定。
新国际审计风险准则除了上述主要变化外,在许多条款制定上,比以前要求更高、规定更细、指导性更强,着实澄清和纠正了实务中的一些明显的重大错误认识和做法,对实务中普遍存在的典型的薄弱环节予以了加强和改进,恕不赘述。由于本轮准则修订时,将机信息系统环境下的特殊审计考虑,融入到了新的三个风险准则和其他准则中,故新准则生效后,原ISA 401“计算机信息系统环境下的审计”失效。
需要特别强调的是,新国际审计风险准则的颁行并没有改变财务报表审计目标和责任的基本定位,也没有改变现行的审计基本和,而只是为了指导审计人员更好地实现审计目标和履行审计责任,缩小审计期望差。ISA 200“财务报表审计的目标与一般原则”依然规定,注册会计师只是应当合理保证财务报表整体不存在重大错报。合理保证报表整体不存在重大错报意味着审计风险始终存在,注册会计师应当通过计划和实施审计工作,获取充分、适当的审计证据,将审计风险降至可接受的低水平。下列因素可能影响发现重大错报的能力,注册会计师不能绝对保证报表整体不存在重大错报:(1)抽样方法的运用;(2)内部控制的固有局限性;(3)大多数审计证据是说服性而非结论性的;(4)获取审计证据和形成结论时涉及大量判断;(5)某些特殊性质的交易和事项可能影响审计证据的说服力。ISA 200还依然规定,注册会计师的责任是按照审计准则的要求对财务报表发表审计意见,客户管理当局的责任是按照适用的财务报告框架编制和列报财务报表。注册会计师对财务报表的审计不能减轻管理当局的责任。
二、几点启示
我国CPA制度恢复20多年来,独立审计的准则建设和工作开展取得的成绩有目共睹,但由于各种原因,准则的落实程度和执业水平还远没有到位。新国际审计风险准则的又对审计工作提出了更高的要求。我们认为,应努力做好以下方面工作,积极应对挑战:
1.风险导向审计必须实行,重大错报风险必须认清。从新国际审计风险准则规定看,风险基础审计不是要不要做的问题,而是必须认真做好的问题。财务报表审计就是风险导向审计,即以重大错报风险为导向的审计,关键是不能曲解其本质含义。风险导向审计的两项主要的同等重要的工作就是:评估重大错报风险和降低重大错报风险。识别风险、评估风险是前提,检查风险、降低风险是实质。两者缺一不可,绝不能只重其一。实务中有两种典型错误做法,背离风险基础审计的真谛,必须按准则的本质要求予以纠正和规范:一是刚进驻被审计单位就完全凭经验评估风险,感觉较好时干脆就不实施或很少实施进一步审计程序;二是风险评估不在行或不想做,项目组一进驻单位根本没摸清客户重大错报风险,就直接实施实质性程序收集审计证据,盲人摸象,几乎发现不了重大问题。
2.审计工作重心必须前移,审计计划工作必须加强。收集审计证据主要包括计划审计和实施审计两类工作。实务中大多比较轻计划、重实施。新国际审计风险准则要求我们必须将审计工作的重心前移,重视审计计划工作,花费必要成本和相当精力在了解客户及其环境(包括内部控制)上,以识别和评估出重大错报风险。只有以认真评估的重大错报风险为基础,才能制定出有效的审计计划。我国目前独立审计业务整体水平不高,关键在于计划能力不强,说到底是识别和评估重大错报风险的能力不强。一些事务所的项目组一进单位就习惯拿出老一套的审计程序清单照做,根本不问重大错报风险在哪儿。编审计划好比开中医药方,中医药方要对症必须先问症,审计计划要能帮助查出重大错报,就必须先识别评估出重大错报风险。
3.职业怀疑态度必须坚持,强制审计程序必须到位。审计职业的特点决定每个审计人员必须坚持职业怀疑态度。职业怀疑是审计人员必练的基本功。审计人员要养成很强的怀疑意识与能力,需要道德素养、职业责任感、应有谨慎、执业经验、判断能力、专业精神、敏锐眼光的广泛良性互动和长期同步揉和。保持职业怀疑并不是孤立存在的一种纯精神态度,而是要求体现于风险评估、计划和实施程序、收集和评价证据、形成结论和意见等审计全过程的具体专业行为中。可以说,不会职业怀疑,几乎就等于不会审计。与此同时,新国际审计风险准则比以前准则规定了更多的强制审计程序,比如项目组讨论、特别风险和全靠实质性程序获取充分适当证据的风险识别及处置、审计工作底稿更详细的记录等,审计人员在实务中必须执行到位,以减少审计程序的随意性和盲目性。
4.客户行业状况必须掌握,职业经验积累必须重视。ISA 315用了124段外加3个附录的前所未有的特大篇幅,来规范“了解被审计单位及其环境并评估重大错报风险”。这一方面说明风险评估很重要,另一方面说明风险评估难度相当大,对大量的中小型事务所来说做好风险评估更难。ISA 315要求注册会计师先从下列方面了解被审计单位及其环境(包括内部控制),再据以评估财务报表总体层次和认定层次的重大错报风险:(1)行业状况、监管环境以及其他外部因素;(2)被审计单位的性质及对会计政策的选择和运用;(3)被审计单位的目标、战略以及相关经营风险;(4)被审计单位财务业绩的衡量和评价;(4)相关内部控制。这些了解不仅内容十分宽泛,而且要求必须将了解的信息运用于风险评估,无疑对事务所及注册会计师的能力提出了严峻的挑战。各事务所及注册会计师如再不重视平时对客户经营及行业状况的逐步掌握和职业经验的点滴积累,要达到新准则的要求是不可能的。
5.我国现行准则必须修订,审计实务流程必须改进。我国独立审计准则的制定一直坚持国际化方向,已初步建立起独立审计准则体系。注册会计师协会根据ISA的新正在抓紧修订我国现行审计风险准则。按工作计划,目前正在制定4个新的审计风险准则:一是《独立审计具体准则第XX号——会计报表审计的目标和一般原则》,依据新ISA 200制定,拟取代《独立审计具体准则第l号——会计报表审计》;二是《独立审计具体准则第XX号——了解被审计单位及其环境并评估重大错报风险》,依据ISA 315制定,拟取代《独立审计具体准则第9号——内部控制与审计风险》、《独立审计具体准则第20号——计算机信息系统环境下的审计》和《独立审计具体准则第21号——了解被审计单位情况》;三是《独立审计具体准则第XX号——针对评估的重大错报风险实施的程序》,依据ISA 330制定;四是《独立审计具体准则第XX号——审计证据》,依据新ISA 500制定,拟取代《独立审计具体准则第5号——审计证据》。这4个新准则经过在全国范围内征求意见后,计划于2005年正式颁行。各事务所及注册会计师应密切关注和认真审计风险准则的新发展,并积极考虑据此改进审计实务流程,切实提高评估风险和发现重大错报的能力。
主要
ISA 315 Understanding the entity and its environment and assessing the risks of material misstatement
ISA 330 auditors procedures in response to assessed risks
ISA 500 (revised) Audit evidence
ISA 200 Objective and general principles governing an audit of financial statements
ISA 300 Planning an audit of financial statements
IAS 310 Knowledge of the business
ISA 400 Risk assessments and internal controls