时间:2023-11-19 15:59:31
序论:速发表网结合其深厚的文秘经验,特别为您筛选了11篇审计的特别风险及应对范文。如果您需要更多原创资料,欢迎随时与我们的客服老师联系,希望您能从中汲取灵感和知识!
中图分类号:F239 文献标识码:A
文章编号:1009—0118(2012)10—0206—02
近十多年来,企业经营失败或者因管理层舞弊造成破产倒闭的事件剧增,投资者和贷款人蒙受重大损失,注册会计师因而被指控未能及时揭示或报告这些问题,并被要求赔偿有关损失。探讨审计风险和财务风险的关系意义重大。
一、审计风险的表现及成因
审计风险是指当财务报表存在重大错报时注册会计师发表不恰当审计意见的可能性。也就是说,审计风险是客观存在和主观努力的结合——客观存在可以通过主观努力去调节,但主观努力又受成本效益原则的约束。
(一)审计风险的表现
我们认为,将审计风险概括地表示为察觉出重大错报的风险,只是最狭义的审计风险,而审计风险本身具有更广泛的涵义,我们可以从三个层次上来说明:
1、固有风险。固有风险是指在考虑相关的内部控制之前,某类交易、账户余额或披露的某一认定易于发生错报(该错报单独或连同其他错报可能是重大的)可能性。审计风险受到企业固有风险因素的影响,如何管理人员的品行和能力、行业所处环境、业务性质、容易产生错报的财务报表项目,容易遭受损失或被挪用的资产等导致的风险。
2、控制风险。控制风险是指某类交易、账户余额或披露的某一认定发生错报,该错报单独或连同其他错报可能是重大的,但没有被内部控制及时防止或发现并纠下的可能性。审计风险同样受到内部控制风险因素的影响,即账户余额或各类交易存在错报,内部控制未能防止、发现或纠正的风险。
3、报告(评价)风险。审计评价是对被审计者履行经济责任、管理责任情况发表的综合评价,涉及被审计者的切身利益,任何不实或不当的评价,都可能会引起审计行政诉讼。一是对非评价审计事项不应评价而评价。二是对审计过程中未涉及的具体事项不应评价而评价。因为虽在审计范围之内,但未获取相关证据。三是对审计证据不足的审计事项不应评价而评价。四是用词不妥的审计评价。但更多的是囿于各种原因,报告定性模糊、问题含混,语言似是而非、欲说还休;结论模棱两可,不知所云。“诉讼爆炸”就是注册会计师责任加重的主要表现形式。
(二)审计风险的成因
在执行审计业务时,注册会计师应当考虑重要性及重要性与审计风险的关系。审计风险取决于重大错报风险和检查风险。
1、重大错报风险。重大错报风险是指财务报表在审计前存在重大错的可能性。重大错报风险与被审计单位的风险相关,且独立存在于财务报表的审计中。认定层次的重大错报风险又可进一点细分为固有风险和控制风险。某些类别的交易、账户余额和披露及其认定,固定风险较高。例如,复杂的计算比简单更可能出错;技术进步可能导致某项产品陈旧,进而导致存货易于发生高估错报(计价认定)。被审计单位及其环境中的某些因素还可能与多个甚至所有类别的交易、账户余额和披露有关,进而影响多个认定的固有风险。这些因素包括维持经营的资金匮乏、被审计单位处于夕阳行业等。控制风险取决于与财务报表编制有关的内部控制的设计和运行的有效性。由于控制的固有局限性,某种程度的控制风险始终存在。
2、检查风险。检查风险是指如果存在某一错报,该错报单独或连同其他错报可能是重大的,注册会计师将审计风险降至可接受的低水平而实施程序后没有发现这种错报的风险。检查风险取决于审计程序设计的合理性和执行的有效性。由于汎会计师通常并不对所有的交易、账户余额和披露进行检查,以及其他原因,检查风险不可能降低为零。
二、财务风险的表现及成因
对企业管理人员来说,风险是一个重要的全球性问题,特别财务风险是企业在财务管理过程中必须面对的一个现实问题,金融环境的变化显著地影响企业的控制环境。以前的理论是对国外的本地市场提供供给或利用国外的自然资源。现在,对外直接投资将在全世界范围内的企业联系起来,每一个国家的资本市场都已成为国际资本市场的一部分,外部环境的变化加大了财务风险。
(一)财务风险的表现
1、财务风险的客观性。企业的财务风险不以人的意志为转移而客观存在。企业财务风险是我国国民经济面临的较为重要的一种风险,其风险的形成既有企业外部法律和经济环境变化的影响,又有企业内部机制和管理中存在先天不足所导致的。并且这些都是不以人的意志为转移而客观存在的。
2、财务风险的多样性。财务风险的多样性主要受三个方面的影响,首先受企业经营环境多样化的影响,企业不仅要面对国内市场的竞争,而且要面对国际市场的竞争,不仅要面对传统产品市场的竞争,而且要面对高科技产品市场竞争,这种多样化的经营环境必然会给企业造成多样性的财务风险影响,其次受企业经营过程多样化的影响,企业生产经营不是简单的一个环节,而是一个连续不断的过程,每一个过程中的失误都可能形成财务风险,再次财务行为多样化的影响,企业财务行为方式包括筹资、投资、资金使用、资金回收、利润分配等,在这些环节,不管哪一个环节出现问题,都可能形成财务风险。
3、财务风险的全面性。企业财务风险存在于企业财务管理的全过程并体现在多种财务关系上。企业承包从筹资到投资、平时的现金流量运作、企业的对外担保、企业跨国经营这些日常的经营活动都离不开财务管理,而这些由于企业经营不当或客观原因都可能给企业带来财务风险。企业的财务风险贯穿于企业的一切经营活动中。
4、财务风险的不确定性。自动化程序和控制可能降低了发生无意错误的风险,但是并没有消除个人凌驾于控制之上的风险,如某些高级管理人员可能篡改自动过入总分账和财务报告的数据金额。当被审计单位运用信息技术进行数据的传递时,发生篡改可能不会留下痕迹或证据。
(二)财务风险的成因
1、经营目标。目标是企业经营活动的指针。企业管理层或治理层一般会根据经营面临的外部环境和内部各种因素,制定合理可行的经营目标。随着外部环境的变化,企业应对目标和战略做出相应的调整。例如,企业当前的目标是在某一特定期间内进入某一新的海外市场,企业选择的战略是在当地成立合资公司。但是,成立合资公司可能会带来很多的经营风险,例如,企业如何与当地合资方在经营活动、企业文化等各方面协调,如何在合资公司中获得控制权或共同控制权,当地市场情况是否会发生变化,当地对合资公司的税收和外汇管理方面的政策是否稳定等问题,而导致财务报表出现重大错报风险。
2、经营风险。不同的企业可能面临不同的经营风险,不能随环境的变化而做出相应的调整固然可能产生经营风险。但是,调整的过程也可能导致经营风险。例如,为应对消者需求的变化,企业开发了新产品。但是,开发的新产品可能会产生开发失败的风险;即使开发成功,市场需求可能没有充分开发,从而产生产品营销风险;产品的缺陷还可能导致企业遭受声誉风险和承担产品赔偿责任的风险。多数经营风险最终都会产生财务后果,从而影响财务报表。例如,企业合并导致银行客户群减少,使银行信贷风险集中,由此产生的经营风险可能增加与贷款计价认定有关的重大错报风险。同样的风险,在经济紧缩时,可能具有更为长期的后果,进而可能导致财务报表发生重大错报。
3、企业收益分配政策缺乏科学性。企业在不同成长与发展阶段所采用的股利政策不同。其分配方法的选择会影响投资者对企业状况的判断和企业的声誉,从而影响企业资金的来源,也可能影响企业潜在投资者的投资决策。例如,采用剩余股利政策说明企业处于初创阶段,此时企业经营风险高,有投资需求且融资能力差。另外,企业的利润分配政策如果缺乏控制制度,不结合企业的实际情况,不进行科学的分配决策,必将影响企业的财务结构,从而形成间接的财务风险。
(三)财务风险的基本类型
财务风险来源包括:因短期内不能履行财务义务(比如向供货商、办公场所的出租人或雇员付款而产生的流动性风险;因未获得货款而产生的信用风险;对消费者的可分配收入产生影响,并导致与诸如零售商、房地产开发商或制造商的交易恶化的利率风险;以及投资项目在项目期内的现金流和折现率的通货膨胀风险。此外还包括汇率风险,即海外投资的预期现金流受到汇率波动的不利影响,以及借款人的融资风险。还包括因在市场上投机或套期产生的衍生工具风险。例如,为了用低于当时的通行价格的价格购买某商品而购买期货。
简单来说,一个企业所面临的最显而易见的财务风险就是市场风险。主要的市场风险是由金融市场价格变化而产生的,如汇率风险、利率风险、商品价格风险和股票价格风险。但主要财务风险包括但不限于市场风险其他相关的重要财务风险如上所说,包括信用风险和流动性风险。
三、审计风险与财务风险的关系
(一)审计风险与财务风险的联系
某些重大错报风险可能与财务报表整体广泛相关,进而影响多项认定。例如,在经济不稳定的国家和地区开展业务、资产的流动性出现问题、重要客户流失、融资能力受到限制等,可能导致注册会计师地被审计单位的持续经营能力产生重大疑虑。又如,管理层缺乏诚信或承受异常的压力可能引发舞弊风险,这些风险与财务报表整体相关。
(二)审计风险与财务风险的区别
编制虚假财务报告直接导致财务报表产生错报,侵占资产通常伴随着虚假或误导性的文件记录。因此,对能够导致财务报告产生生大错报的舞弊,无论是编制虚假财务报告,还是侵占资产,注册会计师均应当合理保证能够予以发现,这是实现财务报表审计目标的内在要求,也是财务报表审计的价值所在。但另一方面,由于审计的固有限制,即使注册会计师按照审计准则的规定恰当计划和执行了审计工作,也不可避免地存在财务报表中的某些重大错报未被发现的风险。注册会计师不能对财务报表整体不存在重大错报获取绝对保证。特别是,如果被审计单位管理层精心策划和掩盖舞弊行为,注册会计师尽管完全按照审计准则执业,有时还是不能发现某项重大舞弊行为。
(三)针对特别风险实施的应对措施
如果认为评估的认定是特别风险,注册会计师应当专门针对该风险实施实质性程序。例如,如果认为管理层面临实现盈利指标的压力而可能提前确认收入,注册会计师在设计询证函时不仅应当考虑函证应收账款的账户余额,还应当考虑询证销售协议的细节条款(如交费、结算及退货条款);注册会计师还可考虑在实施函证的基础上针对销售协议及其变动情况询问被审计单位的非财务人员。如果针对特别风险实施的程序仅为实质性程序,这些程序应当包括细节测试,或将细节测试和实质性分析程序结合使用,以获取充分、适当的审计证据。
1、经营目标。为了从被审计单位高层次的经营目标中识别出经营风险和审计,审计项目组通常需要了解被审计单位的经营目标和经营风险。例如,被审计单位制定了一个通过增加毛利来改善盈利善的总目标。注册会计师可以了解与提高售价和降低成本相关的上体目标和行动措施,如通过从国外新供应商购货的方式降低原材料成本。
随着信息技术的快速发展,电子商务在全球获得了广阔的发展空间。作为一种崭新交易方式的电子商务对企业的生产经营活动产生了深远的影响。广泛使用互联网从事电子商务,产生了新的风险因素,需要被审计单位有效应对,,注册会计师应当考虑电子商务在被审计单位业务活动中的重要性,以及对重大错报风险评估的影响,并在此基础上采取恰当的应对措施。
一、电子商务对财务报表审计的冲击
1.财务报表审计环境的变化
在电子商务交易条件下,财务报表审计环境发生了巨大的变化,主要表现在:(1)网络环境下的无纸化交易丧失了传统的审计轨迹,交易的授权、完整性及真实性不如在传统条件下那么明显而难以查证。(2)在电子商务环境下,需要对信息建立数据安全与控制措施。未经授权的访问、舞弊或者病毒攻击均对被审计单位的经营风险和财务报表审计工作产生重大影响。(3)为了获取和评价以电子数据形式存在的电子商务证据,传统的审计程序和数据提取技术将无能为力。(4)在电子商务环境中,被审计单位广泛使用服务机构(包括互联网服务提供商、应用服务提供商和数据服务公司等)的服务,产生了新的分离审计问题。
2.财务报表审计范围和审计对象的拓展
电子商务条件下财务报表审计涉及整个商业行为,并且这种商业行为是运转在网络上的,其中一部分还是虚拟的和真空的,特别是在电子商务系统高度自动化、审计证据可能仅以电子形式存在条件下,审计证据的充分性和适当性通常取决于自动化信息系统相关控制的有效性,注册会计师应当考虑仅通过实施实质性程序不能获取充分、适当审计证据的可能性。如果认为仅通过实施实质性程序不能获取充分、适当的审计证据,注册会计师应当考虑依赖的相关控制的有效性。因此,财务报表审计的范围拓展到对整个电子商务系统交易过程及控制的测试。审计对象也要在财务报表及相关财务资料的基础上,扩展到被审计单位资信、内部控制、交易全过程等对财务报表产生影响的诸多事项。
3.审计风险加大
电子商务采用的是网络化信息系统,它一方面面临着系统自身故障风险,存在着对会计数据非法访问、篡改、泄密和破坏的可能:另一方面还面临着计算机病毒破坏和黑客非法入侵窃取财务数据的风险,识别、研究、审查和评价所搜集的审计证据有一定困难,这增加了财务报表审计中重大错报的风险。财务报表相关信息的无纸化,使电子合同、函件、订单的真实合法性难以得到保证。交易双方的真实身份难以确定,数据签名的真实性难以验证,容易使交易产生欺诈行为,也将导致重大错报风险的增加,最终将对注册会计师可控的检查风险降低提出更高的要求,审计工作难度明显加大。
二、电子商务条件下财务报表审计的总体要求
1.财务报表审计目的的不变性
新颁布的《中国注册会计师审计准则第1101号——财务报表审计的目标和一般原则》规定,财务报表审计的目的是注册会计师通过执行审计工作对财务报表的合法性和公允性发表审计意见,注册会计师执行的审计工作能够对财务报表整体不存在重大错报获取合理保证。注册会计师的审计意见旨在提高财务报表的可信赖程度。无论是传统交易方式还是电子商务交易方式。财务报表审计的目的是不变的。特别需要强调的是:电子商务条件下财务报表审计需要对电子商务进行考虑的目的是对财务报表发表恰当的审计意见,而非对电子商务系统或活动本身提出鉴证结论或咨询意见;注册会计师的审计意见也不应被视为是对被审计单位电子商务交易安全的一种保证。
2.控制测试更重要
电子商务环境下审计轨迹的瞬时性特征、无纸化环境及缺乏人员的干预导致风险的增加,使控制保证成为电子商务环境下最重要的测试环节。审计人员面对无纸化的审计轨迹及系统输出的财务报告,为了对财务报告的公允性发表审计意见。必须着重收集足够的审计证据,特别要通过大量的控制测试对控制环境进行经常性监控,以确保电子商务财务报告的可信性。过去,审计人员一般针对一个时点的财务数据进行大量的实质性测试;而在电子商务条件下,则需要在评价被审计单位持续经营的基础上,实施大量的有效的内部控制测试措施,且审计人员必须能够对控制风险进行合理的评价。
3.主要依赖计算机审计程序
在电子商务环境下,大量的证据存储在肉眼看不见的磁性介质上或在网络传播过程中,对这些证据,审计人员主要依赖计算机技术进行获取和审查。目前,主要的电子商务审计技术是ITF。ITF是建立在一个活动数据文档基础上的程序。审计人员可以利用ITF对控制系统进行交易测试,并且该项测试既不影响公司正常营运也不会导致财务数据的破缺。
4.重视审计风险
2006年2月颁布的审计准则对审计风险模型进行了重构,审计风险取决于重大错报风险和检查风险。注册会计师应当实施审计程序,识别和评估重大错报风险,并根据评估结果设计和实施进一步审计程序。以控制检查风险。电子商务环境下,来自被审计单位的经营风险和控制风险加大。财务报表存在重大错报的可能性上升。为此,注册会计师应通过了解被审计单位的电子商务环境以识别其重大错报风险,并根据评估的风险水平设计进一步的应对措施,特别是执行恰当的控制测试以判定内部控制有效性对财务报表的影响。 转贴于
三、电子商务条件下财务报表审计的应对措施
1.了解被审计单位电子商务及对财务报表的影响
注册会计师应当考虑电子商务导致的被审计单位经营环境的变化,以及识别出的对财务报表产生影响的电子商务风险。在了解被审计单位及其环境时,注册会计师应当考虑下列事项对财务报表的影响:一是业务活动和所处行业。在了解被审计单位的业务活动和所处行业时,注册会计师应当关注电子商务不具备货物和服务等实体贸易所具有的清晰、固定的运送路线。运用电子商务的程度较高可能增大对财务报表产生影响的经营风险等特征。二是电子商务战略。被审计单位的电子商务战略,包括在电子商务中运用信息技术的方式以及对可接受风险水平的评估,可能对财务记录的安全性和相关财务信息的完整性与可靠性产生影响。三是开展电子商务的程度。不同的被审计单位可能以不同的方式开展电子商务,随着被审计单位开展电子商务程度的加深,以及内部系统更加集成化和复杂化,新的交易方式与传统业务活动的差异可能更加明显,并可能导致新的风险。四是外包安排。为被审计单位服务的机构采用和保持的某些政策、程序和记录可能与被审计单位财务报表审计相关,注册会计师应当按照《中国注册会计师审计准则第1212号——对被审计单位使用服务机构的考虑》的规定,考虑被审计单位的外包安排及相关风险的应对措施,以确定其对审计的影响。
2.识别和评估电子商务相关的经营风险和重大错报风险
在了解被审计单位环境基础上,注册会计师应识别和评估重大错报风险。电子商务环境下,因内部控制制度缺陷和无效带来的经营风险是产生财务报表重大错报风险的重要原因,所以注册会计师应特别关注其经营风险。与电子商务相关的经营风险有:(1)无法保证交易的完备性,尤其在缺少充分的审计轨迹(无论是纸介质还是电子形式)时,该风险的影响将更大;(2)电子商务安全风险,包括顾客、员工和其他人士通过未经授权的访问实施舞弊的可能性,以及病毒攻击;(3)运用不恰当的会计政策,包括收入确认、网站开发成本等支出的处理、与产品质量保证相关的预计负债的确认、外币折算等问题;(4)未能遵守税法和其他法律法规,尤其在通过互联网开展跨国或跨地区电子商务时更易出现此类情况;(5)无法保证仅以电子形式存在的合同具有约束力;(6)过度依赖电子商务;(7)系统和基础架构失效或崩溃。
另外,注册会计师还应从被审计单位的行业状况、监管环境、目标与战略、治理层和管理层特定意图、复杂的联营或合资、重大的非常规交易、重大的关联方交易、交易的重大不确定性、会计计量过程复杂和信息技术环境发生变化等事项来识别和评估其重大错报风险。
3.风险应对程序
注册会计师应当针对评估的财务报表层次重大错报风险确定总体应对措施,并针对评估的认定层次重大错报风险设计和实施进一步审计程序,以将审计风险降至可接受的低水平。
针对评估的财务报表层次重大错报风险主要采取下列总体应对措施:(1)向项目组强调在收集和评价审计证据过程中保持职业怀疑态度的必要性;(2)分派更有经验或具有特殊技能的审计人员。或利用专家的工作;(3)提供更多的督导;(4)在选择进一步审计程序时,应当注意使某些程序不被管理层预见或事先了解;(5)对拟实施审计程序的性质、时间和范围做出总体修改。
注册会计师应当针对评估的认定层次重大错报风险设计和实施进一步审计程序(包括控制测试和实质性程序),并具体考虑审计程序的性质、时间和范围。在电子商务环境下,注册会计师仅实施实质性程序获取的审计证据一般无法将认定层次重大错报风险降至可接受的低水平,应当实施相关的控制测试,以获取控制运行有效性的审计证据。注册会计师进行控制测试时应当特别考虑与电子商务相关的安全性控制、交易完备性控制和流程整合。具体实质性程序包括检查、观察、询问、函证、重新计算和分析程序。函证是电子商务环境下证实交易真实的有力程序,而传统审计条件下的检查则显得无能为力。
引言
现代风险导向审计明确了审计工作应以了解被审计单位环境,评估财务报表重大错报风险作为新的正确起点和导向,要求注册会计师全程关注财务报表的重大错报风险,并将风险评估作为整个审计工作的先导、前提和基础。但如何才能全面的了解企业所面临的风险,并评估其对财务报表重大错报的影响呢?本文拟建立一个基于企业风险管理框架理论的三维框架体系解决这一问题。
一、现代风险导向审计评述
随着现代企业规模的日益扩大,企业的经济活动和交易事项内容不断丰富复杂,审计工作的工作量和复杂度迅速增大。为了适应审计环境的变化和审计工作的需求,审计职业界逐渐改变了详细审计,代之以抽样审计,审计方法也从账项基础审计、制度基础审计发展到风险导向审计。根据对审计风险的理解和认识的不同,风险导向审计被划分为传统风险导向审计和现代风险导向审计两个阶段。
传统的风险导向审计运用审计风险模型“审计风险=固有风险×控制风险×检查风险”,将审计的视角确定于企业的管理制度,特别是会计信息赖以生成的内部控制制度。注册会计师通过了解企业及其环境、评价内部控制,对固有风险和控制风险做出评估,在此基础上确定检查风险,再设计和实施实质性程序,以将审计风险控制在会计师事务所确定的水平。由于固有风险的单独评估具有显知的难度,注册会计师往往不注重从宏观层面上了解企业及其环境,而将审计的起点定为企业的内部控制测试,只依赖对内部控制风险所作的粗放型评估来直接、大致确定检查风险水平,再据此规划实质性程序的性质、时间和范围。但是由于企业存在于整个社会经济生活网络中,所处的经济环境、行业状况、经营目标、战略和风险都将最终对会计报表产生重大影响,同时,当企业管理层通同舞弊,故意通过重大误导性的财务报表来伤害公司利益相关者时,企业的内部控制会失去效果。如果注册会计师不把审计视角扩展到内部控制以外,就很容易受到蒙蔽和欺骗,难于发现会计报表存在的重大错报和舞弊行为。
2003年10月,国际审计与鉴证准则理事会(IAASB)紧紧围绕如何提高审计人员评估风险、发现舞弊的能力,了4个修订和新起草的准则,其核心思想是合并原固有风险和控制风险,将审计风险模型修改为“审计风险=重大错报风险×检查风险”,同时修改审计业务流程,强调从宏观上了解被审计单位及其环境,以充分识别和评估会计报表重大错报的风险(风险评估程序),再针对评估的重大错报风险设计和实施控制测试和实质性程序(进一步审计程序)。
我国财政部也了《中国注册会计师审计准则第1211号――了解被审计单位及其环境并评估重大错报风险》,并要求自2007年1月1日执行。该准则也明确了“了解被审计单位及其环境是必要程序”,要求“注册会计师应当了解被审计单位及其环境,以足够识别和评估财务报表重大错报风险,设计和实施进一步审计程序。”
二、构建财务报表重大错报风险评估的三维框架(图1)
经营风险与财务报表重大错报风险是相互联系又有区别的两个范畴。多数经营风险最终都会产生财务后果,从而影响财务报表,但并非所有经营风险都会导致重大错报风险。注册会计师需要通过一定的方法全面了解企业的经营风险并从中考虑经营风险是否可能导致财务报表的重大错报风险。
2004年9月,COSO的《企业风险管理――整合框架》,为人们提供了全面的企业风险管理框架。本文试图以此框架为基础,建立一个以风险管理目标为起点、审计业务循环为主线、风险管理构成要素为步骤的三维重大错报风险评估框架,以便从上向下的全面评估企业所面临的风险及其风险应对的有效性,同时以审计业务循环为主线,识别评估财务报表的重大错报风险。
(一)风险管理目标维度――起点
企业风险管理的目标是指主体力图实现什么。《企业风险管理――整合框架》将之划分为战略、经营、报告、合规四种类型的目标,认为主体应首先设定战略目标,并将战略目标分解成主体及其各单元努力实现的经营、报告、合规目标。
“注册会计师应当了解被审计单位的目标和战略,以及可能导致财务报表重大错报的相关经营风险”。注册会计师应了解:1.战略目标,包括被审计单位的行业状况及影响其经营的其他外部因素,与之相应的被审计单位的目标和战略;2.经营目标,包括企业为实现其战略目标所制定的次级经营目标,如市场占有目标、销售目标、采购目标、生产目标、投资目标、筹资目标等;3.报告目标,了解由企业编制的、向内部和外部散发的各种财务和非财务报告的内容及报告方式,特别是对财务报表报告有重大影响的企业的所有权结构、治理结构、组织结构,财务业绩的衡量和评价方式等;4.合规目标,了解被审计单位所处的法律环境及监管环境,包括适用的会计准则制度,影响经营活动的法律法规、政府政策、监管活动和环保要求等。
(二)审计业务循环维度――主线
业务循环是企业处理某一类经济业务的工作程序和先后顺序,一般可划分为采购与付款循环、销售与收款循环、存货与仓储循环、筹资与投资循环等。企业的经营业务流程与内部控制有着直接的联系,同时,循环审计也有利于审计分工,提高审计效率,因此业务循环审计被广泛应用于传统的内控导向审计中。
本文建立的三维模型,强调以业务循环为线,分循环了解企业风险管理目标和构成要素,以便于界定财务报表容易发生错报的领域及其错报的方式,主要原因如下:1.通过业务循环的划分,企业的所有交易和账户余额被分属于不同的循环,按照业务循环来解析企业风险,能够将风险评估的结果最终具体落实到账户的认定层次。2.“了解被审计单位及其环境是一个连续和动态的收集、更新与分析的过程,贯穿于整个审计过程的始终。”按业务循环来了解企业环境,评估财务报表重大风险,是与进一步审计程序中分业务循环设计和实施控制测试和实质性程序相一致的。
(三)风险管理构成要素维度――步骤
企业风险管理的构成要素是管理层经营一个企业所做的事情,是指主体应以什么样的方式来实现其目标。《企业风险管理――整合框架》将之划分为八个构成要素。注册会计师依照这八个构成要素可以全面了解企业面临的风险、采取的风险应对措施及其有效性,从而全面评估与经营风险相关联的企业财务报表的重大错报风险。
1.内部环境。内部环境是指管理当局确立的关于风险的理念,是企业组织的基调,影响企业组织中人员的风险意识。注册会计师应了解企业管理层的风险管理理念,风险容量,董事会的监督机制,企业中人员的诚信、道德价值观和胜任能力,以对企业的风险管理方式作总体的了解。例如,有效而独立的董事会运作机制能够有效的控制企业的经营风险,也将有效的降低财务报表错报的风险。
2.目标设定。目标设定是指企业管理当局在既定的任务和背景下,采取恰当的程序制定战略目标、选择战略,并制定相关经营目标,将其细分至企业的方方面面,从而确保所设定的目标支持切合企业的使命并与风险容量一致。注册会计师应以审计业务循环为线,了解企业的关键业绩指标、业绩趋势、预测预算、企业各部门单位的业绩目标等,从而推测相关人员的行为导向及可能导致的重大错报风险。例如,过高的销售目标易导致产生压货等各种形式的虚假销售,或使得企业对客户信用评估不重视,为了占领市场盲目扩大客户源,盲目赊销,最终导致销售收款循环的重大错报风险;本期及未来的融资计划,是企业为满足融资条件修改财务报表、管理关键财务指标的重要动机。
3.事项识别。事项识别是指企业管理当局必须能够识别可能对企业产生影响的潜在事项。注册会计师应询问管理层识别出的经营风险或与管理层讨论如何识别经营风险。例如企业各级部门是否实时关注与之相关的政策法规,企业是否具有常规的市场调研机制,是否聘请了法律顾问以规避法律风险,是否具备有效的内部审计机制,财务主管是否了解融资市场的利率及资金供应状况等等。
4.风险评估。风险评估是指企业应该考虑潜在事项如何影响目标的实现。注册会计师应与企业的管理层及各部门负责人讨论,以明确企业是否能够评估各领域的风险程度。例如,销售部门是否能够识别关键客户,采购部门是否有一定方法区分重要供应商,生产部门是否能够明确行业产品的发展方向并有与之相应的研究和开发活动等。
5.风险应对。风险应对是指管理者如何应对风险。注册会计师应了解企业的风险应对措施并评估其有效性。注册会计师应特别关注当被审计单位内部或外部对财务业绩的衡量和评价可能对管理层产生压力时,企业是否存在通过关联方交易、合并报表、会计政策选择等财务手段直接管理财务指标应对业绩评价风险的情况。
6.控制活动。控制活动是帮助管理当局实施风险应对方案的政策和程序。注册会计师可以以审计循环为主线,更多的关注企业为实现财务报告可靠性目标设计和实施的与审计相关的内部控制。
7.信息与沟通。管理者应当建立一套信息系统来处理和提炼大量的数据以形成可参考的信息,并在企业内部和外部恰当、及时、准确的传递。注册会计师应更多的关注“与财务报告相关的信息系统”。
8.监控―管理当局需要依赖监控确定企业风险管理的运行是否持续有效。“注册会计师应当了解被审计单位对与财务报告相关的内部控制的监督活动,并了解如何采取措施”。
【参考文献】
[1] 中国财政部.中国注册会计师审计准则第1211号――了解被审计单位及其环境并评估重大错报风险[EB/OL].http://mof.省略,2006-2-15.
[2] [美]COSO.企业风险管理――整合框架[M].方红星,王宏,译.大连:东北财经大学出版社,2005.
[3] 陈毓圭.对风险导向审计方法的由来及其发展的认识[J].会计研究,2004(2):58-63.
此外还要考虑内控的局限性,并对被审计单位准确估计被审计单位内控的局限行。通过上述审计程序,最终从整体层面及业务流程层面了解内部控制。整体层即报表从整体角度出发考虑被审计单位财务报表可能存在的重大错报风险。也为流程层则是落实到具体业务通过穿行测试报审计工作落实到每笔业务上,从细节上考虑被审计单位的重大错报风险。除上述两个层次的重大错报风险外还需要考虑特殊风险中舞弊风险的考虑以及是否有违反法律法规的行为。特殊风险是指注册会计师识别和评估的、根据判断认为需要特别考虑的重大错报风险。这些风险往往会导致潜在的错报及舞弊行为,是在风险评估阶段必须重点考虑的。
通过对被审计单位进行实行风险评估程序,评估出被审计单位财务报表层、业务流程以及特殊风险的发生概率(重大错报风险率)。在于项目组讨论其应对程序。
首先在充分了解被审计单位及其环境后,应进行控制测试以量化对控制环境的评估并确定下一步风险应对程序的实施方式。控制测试是指评估内部控制在防止或发现并纠正认定层次重大错报运行有效性的审计程序。其主要内容是:检查控制测试是否得到一贯之行;控制由哪个部门以何种方式执行;控制在审计期间的相关时点是如何运行的。其中控制测试以询问、观察和检查、分析程序等方法对被审计单位内部控制在控制企业业务方面发挥的作用,在确保报表有效性、可靠性方面发挥的作用以确定在进行是采用综合方案还是实质性方案。总体审计程序有两种类型:实质性审计计划是指实施进一步的审计会计师事务所主要实质性审计程序;全面计划本质的实现进一步的审计程序,注册会计师将联合控制测试和实质性程序,从而提高审计效率,有效节约审计的成本。
其次在进行有效的控制测试之后针对财务报表层的重大错报风险计划总体应对措施,其中包括:向项目组强调职业怀疑的重要性;提供更多的监督与辅导;对拟实施的审计程序的性质、时间安排和范围作出总体修改;指派更有经验或具有特殊技能的审计人员或利用专家工作;例如:对某些以前未测试的低于设定的重要性水平或风险较小的账户余额和认定实施实质性程序,体现了增加审计不确定性的要求;在期末而非期中实施更多的审计程序。
中图分类号:F239.4 文献标识码:A
文章编号:1004-4914(2011)12-204-02
一、问题一 风险管理审计准则的适用范围
《风险管理审计准则》第3条为:“本准则适用于各类组织的内部审计机构、内部审计人员及其从事的内部审计活动。”
我国的内部审计人员主要是具备较高审计、会计专业水平的人员,而企业的风险管理不应仅仅包括内部审计人员,还应由企业的董事会、管理层和其他员工共同参与,使企业各个层次的员工都涉及得到。其中:(1)董事会对企业的风险管理负监督职责――了解管理者在企业内部建立有效风险管理的程度、获知并认可企业的风险偏好、符合企业的风险组合观并与企业的风险偏好相比较、评估企业的首要风险并评估管理者的风险反应是否适当;(2)管理层确定风险管理的基调,对企业风险管理最终负责;(3)内部审计人员通过对管理者风险管理过程的充分性和有效性进行监控、检查、评估、报告和提出改进建议,来帮助管理者和董事会或审计委员会履行其职责;(4)企业的其他员工都应提供风险管理所需的信息或者采取必要的措施管理风险,并及时向上报告风险。
一个企业通常将其战略目标分解成相应的子目标,再将子目标层层分解到业务部门、行政部门和各生产过程。在制定战略时,管理者应考虑与不同战略相关联的风险。即确定障碍或可能出错的事情,以及为了提供最大成功概率而不得出错的关键成功系数。然后管理层决定哪些方案、程序或行动能用于积极、有效地管理风险。并且将风险管理过程应用于企业内部每个层次和部门,企业管理者对企业所面临的风险应有一个总体层面上的风险组合观――从总体层面上考虑企业的各项活动。企业的风险管理应考虑组织内所有层面的活动,从企业总体的活动(如战略计划和资源分配)到业务部门的活动(如市场部、人力资源部),再到业务流程(如生产过程和新客户信用复核)。
风险管理过程的概念很简单,但落实起来又是另一回事,要特别注意在管理人员之间就一目了然的事项达成一致意见。要取得期望的效果需要应用多种方法,在许多时候需要举办协调讨论会,将关键人物聚集在一起,以获得必要的“赞同参与”,使风险管理过程顺利付诸实施。
二、问题二 风险管理过程的界定
《风险管理审计准则》第2条对风险管理做了如下定义:“是对影响组织目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的过程。风险管理旨在为组织目标的实现提供合理保证。”第6条则描述了风险管理包括的主要阶段:“风险识别(根据组织目标、战略规划等识别所面临的风险)”、“风险评估(对已识别的风险,评估其发生的可能性及影响程度)”以及“风险应对(采取应对措施,将风险控制在组织可接受的范围内)”;在该准则的第4条中,还特别强调:“风险管理是组织内部控制的基本组成部分,内部审计人员对风险管理的审查和评价是内部控制审计的基本内容之一。”
可以看出,该准则所称的“风险管理”是狭义上的风险管理,即风险管理活动的具体实施过程为风险识别、评估及应对。而广义的风险管理不仅包括上述的具体实施过程,还包括其他起辅助作用的要素:风险预测与预警、风险控制、信息沟通以及风险监督等等(下文会做具体的论述)。按目前狭义前提下制定的准则去执行,风险管理审计就会忽略这些起辅助作用的要素,以至于发现不了组织风险管理活动中可能存在的潜在问题。
1.风险预测与预警。“风险识别”中说“识别所面临的风险”,即近期的、已发生或存在的、企业所感受得到的风险。但风险多种多样,笔者认为应该增加“风险预测与预警”,即先确定企业的风险偏好;然后全方位对风险进行科学的预测分析,提醒有关部门采取有力措施,增加危机意识,提高风险管理审计和内部控制的效率。企业还应设立风险评价指标控制体系,同时风险管理机构和人员密切注意与本企业相关的各种内外因素的变化发展趋势,从对因素变化的动态中分析预测企业可能发生的风险,进行风险预警。之后,在预测到的风险范围内,根据组织目标、战略规划等做具体的、有针对性的“风险识别”,将最有可能发生的几种风险进行评估与应对。
2.风险评估。“风险评估”应从企业战略和目标的角度进行。首先,应对企业的固有风险进行评估。根据已确定的固有风险反应模式确定对固有风险的管理措施。其次,管理者应在对固有风险采取有关管理措施的基础上,对企业的残存风险进行评估。
由于企业内部不同部门或不同业务的风险,有的会相互叠加放大,有的则相互抵消减少。如前文所说,风险的考虑不能仅仅从某项业务、某个部门的角度出发,应将风险组合起来处理。因此,风险的有效识别和评估、预先找到风险之间的相互关系,可以使企业避免被放大的风险所带来的损失,并减少处理已抵消了的风险所发生的费用。
3.风险应对与控制。“风险应对”可以分为回避风险、接受风险、降低风险和分担风险。对于每一个重要的风险,企业都应全面考虑风险反应方案。有效的风险管理要求管理者选择可以使企业风险发生的可能性和影响都落在风险容忍度之内的风险反应方案。选定某一风险反应方案后,管理者应在残存风险的基础上重新评估。
在选择好风险应对方案后,应该增加“风险控制”环节,即制定相关的政策和程序,来保证风险反应方案得到正确执行。
4.信息沟通。在应对风险的过程中要确定内外部环境的变化和内部执行情况的反馈,对风险的变化进行有效的反应,这就要求有“信息沟通”环节。即将企业内外部相关信息以一定的格式和时间间隔进行确认、捕捉和传递,以保证企业的员工能够执行各自的职责;加强企业内部横向和纵向的沟通,并将相关的信息与企业外部相关方进行有效的沟通和交换,如供应商、客户、行政管理部门和股东等。这也是风险报告环节,全面反映经济活动情况,及时提供重要信息,增强内部管理的时效性和针对性。
5.风险监控。为了评估企业风险管理的执行质量,就要有一个监督过程――可以设立一个风险监控系统,通过持续监控、个别评估,保证企业的风险管理在企业内务管理层面和各部门持续得到执行,并通过风险管理记录来保证监控的有效性。当企业管理者打算向外部相关方提供关于企业风险管理效率的报告时,他们应考虑为企业风险管理设计一套记录模式并保持有关的记录。
6.其他。通过风险评价指标体系确定风险范围,使管理者分清组织可接受风险和个人可接受风险。否则,会产生严重后果,若管理者个人拿公司资产进入超出公司短暂经营范围的高风险领域,则是将整个企业做赌注。这就需要企业建立有效的风险评价指标体系,对风险进行识别和评估;然后进行信息沟通和交流,使管理者或项目执行者清楚地知道什么应该做、什么不应该做;同时,再通过风险监控系统监控,确保企业风险最小化或损失最小化。
基于以上分析,要实现真正意义上的风险管理审计,对风险管理审计准则中的风险管理概念的理解就必须建立在广义的基础之上。即风险管理不应仅仅包括风险识别、评估及应对环节,更包括风险预测与预警、风险控制、信息沟通以及风险监控等环节。从广义上理解风险管理的涵义,全盘考虑风险管理的构成要素及其运作方式,才能及时有效地发现企业风险管理实践中存在的短板。
三、总结及观点――企业如何加强风险审计管理
1.设立风险管理委员会和审计委员会。可以在企业设立风险管理委员会和审计委员会。其中,风险管理委员会作为内部控制管理的主要决策机构,负责拟定、执行控制程序;审计委员会主要负责风险监督与评价,督促管理层解决内部控制存在的问题,并将修正控制意见反馈前者,以完善控制体系。
2.加强对企业领导者的审计监督。企业领导者在风险管理审计中起着非常重要的作用,他们的一举一动,对企业有着至关重要的影响。所以应该加强对企业领导者的审计监督,把好“总舵手”这一关。弄清企业负责人和部门负责人任期内的经济责任,特别是更换负责人的企业,通过审计使离任的企业领导走得明白,继任的领导者接得清楚。要特别注意离任审计,避免出现“一个企业搞不好,换个企业当领导”的怪象,从而使企业健康发展。
3.根据企业自身情况,建立相应的规章制度。要在符合内部控制要求和企业自身情况的前提下,建立行之有效的规章制度――完善各项业务的管理制度,建立风险防范体系,规范风险控制制度。建立健全规章制度,使企业的一切活动都有章可循,有规可守,做到违章必究。并对企业的重大决策、发展、规划、人事制度、财务会计等建立公开制度,增强透明度,为风险监管创造条件。
4.建立风险调节系统。董事会需要确信管理层不仅已确定并管理现有风险,而且已建立有效的、随时可以发现新风险的过程。此系统不是凌驾在现有管理程序之上的单独的过程,相反,它应该与管理层运营公司的方式结合在一起,充实管理过程并使之以风险为重心,确保风险得到恰当的管理。
四、有待解决的问题
本准则对风险评估方法界定模糊。第13条提出:“内部审计人员应当充分了解风险评估的方法。风险评估可以采用定性或定量的方法进行。定性方法,是指运用定性术语评估并描述风险发生的可能性及其影响程度。定量方法,是指运用数量方法评估并描述风险发生的可能性及其影响程度。”可见,准则只是做了概念性介绍,可能出于准则简洁之考虑。但不可否认的是,我国在风险评估方法上所做的创新并不多,风险的定量计量方法更是捉襟见肘。风险是一个十分抽象的概念,欲将其定量计量难上加难。如何能开发出适合中国国情的风险度量模型,并使企业有效根据自身特点作出选择?这是一个有待研究的十分有价值的问题。
参考文献:
按照IAASB工作计划,三个新国际审计风险准则生效后,原IAS 310“了解被审计单位情况”(Knowledge of the business)、ISA 400“风险评估与内部控制”(Risk assessments and internal controls)、ISA 401“机信息系统环境下的审计”(Auditing in a computer information systems environment)和ISA 500“审计证据”一并作废。与以前准则相比,新国际审计风险准则主要有以下八个方面的重大发展和实质性变化。
(一)引入“重大错报风险”概念,重建审计风险模型
原国际审计风险准则认为,审计风险包括固有风险、控制风险和检查风险,审计风险模型为:审计风险=固有风险×控制风险×检查风险,并要求根据该模型来计划和执行财务报表审计工作,最终将审计风险降低至可接受的低水平。从上看,该模型不存在不妥,但实务操作面临很大的和困难。比如:(1)原准则要求,在编制总体审计计划时,注册会计师应当对财务报表整体的固有风险进行评估;在编制具体审计计划时,注册会计师应当考虑固有风险的评估对各重要账户或交易类别的认定所产生的影响,或者直接假定这种认定的固有风险为高水平。由于假设不存在相关内部控制的条件下去具体单独评估认定的固有风险有显知的难度,再加上直接假定认定的固有风险为高水平被公认为稳健的做法,这样极容易导致不少事务所及注册会计师不重视对固有风险的评估,使其流于形式。(2)尽管原准则明确指出,由于控制风险与固有风险相互联系,注册会计师应当对两者进行综合评估,并据以作为检查风险的评估基础。但实务中,很容易人为割裂两者的内在联系,而只依赖对内部控制风险所作的粗放型评估来直接、大致确定检查风险水平,再据此规划实质性程序的性质、时间和范围。这样做难以合理保证财务报表不存在重大错报。(3)最为重要的是,原审计风险模型将固有风险和控制风险并列,没有抓住财务报表审计工作的“牛鼻子”,也没有抓住事物的本质和核心东西。其实,这两种风险,就是客户风险(client risk),即客户财务报表审计前存在重大错报的可能性,均为被审计单位所造成和掌控,注册会计师只能评估而不能改变。从注册会计师角度看,只抓住固有风险和控制风险作为审计工作的起点和导向,而不直接明确地以评估重大错报风险为起点和导向,有舍本求末,隔靴搔痒,只见树木不见森林之感。
新国际审计风险准则正式引进“重大错报风险”概念(重大错报风险是指财务报表在审计前存在重大错报的可能性),将审计风险模型重构为:审计风险=重大错报风险×检查风险。这不是简单地将固有和控制风险并称为重大错报风险,而是重大的实质性改进。不仅明确规定了审计工作以评估财务报表重大错报风险作为新的正确起点和导向,抓住了审计工作的“牛鼻子”,而且与现行审计目标责任定位紧紧相扣,有利于履行审计责任,实现审计目标。众所周知,按国际审计准则要求设计审计工作就是为了合理保证财务报表整体不存在重大错报。新风险模型的构建更直接有助于导引注册会计师,时刻紧紧围绕评估的重大错报风险来设计和执行审计程序,以最终实现合理保证财务报表整体不存在重大错报。
(二)改进审计业务流程,增强实施审计程序的效果
原准则依据审计风险三要素模型,把审计业务流程和程序分为四大块:(1)了解被审计单位情况(为评估固有风险);(2)了解内部控制;(3)(必要时)控制测试(均为评估控制风险);(4)实质性测试(为降低检查风险)。第(1)块由原IAS 310“了解被审计单位情况”来规范,第(2)、(3)、(4)块则由原ISA 400“风险评估与内部控制”来规范。
新国际审计风险准则依据审计风险二要素模型,把审计业务流程和程序分为三大块:(1)了解被审计单位及其环境,包括内部控制(目的是为评估财务报表总体层次和认定层次的重大错报风险)。本块审计程序称为“风险评估程序”(risk assessment procedures),(2)(必要时)控制测试(目的是为了测试内部控制在防止、发现和纠正认定层次重大错报方面的有效性,并据此一并评估重大错报风险),(3)实质性测试(目的是为了检查认定层次的重大错报风险)。新准则把第(2)、(3)块程序统称为“进一步审计程序”(further audit procedures),并指出风险评估程序不足以为发表审计意见提供充分适当的审计证据,注册会计师还应当设计和实施进一步审计程序,包括控制测试和实质性程序。还指出应当以对认定层次的重大错报风险的相关评估结果(包括实施风险评估程序的结果和必要时执行控制测试的结果)为基础,并考虑既定的审计风险水平,来确定可接受的检查风险水平,再据此计划和实施实质性程序。在既定的审计风险水平下,可接受检查风险水平与认定层次重大错报风险的评估结果成反向关系。评估的重大错报风险越高,可接受检查风险越低;评估的重大错报风险越低,可接受检查风险越高。检查风险取决于实质性程序设计和执行的有效性。注册会计师应当合理设计实质性程序的性质、时间和范围并有效执行,将检查风险降至可接受的水平。第(1)块由ISA 315“了解被审计单位及其环境并评估重大错报风险”来规范,第(2)、(3)两大块则由ISA 330“针对评估的重大错报风险实施的程序”来规范。由于重建了审计风险模型和改进了审计业务流程,IAASB相应地修订了原ISA 500“审计证据”。
审计业务流程作上述改进后,要求注册会计师全程关注财务报表的重大错报风险,并将风险评估作为整个审计工作的先导、前提和基础。注册会计师应首先花大力气去识别和评估重大错报风险,再据此有针对性地采取措施,合理保证财务报表不存在重大错报。评估重大错报风险的失当,必将导致整个审计工作的失败。看来,能否合理评估客户财务报表的重大错报风险,将成为评价会计师事务所及注册会计师专业胜任能力、考验审计质量及效果的关键性尺度与决定性因素。
(三)区分评估的财务报表整体层次和认定层次的重大错报风险采取不同应对措施,力保所获取审计证据的充分、适当性
ISA 330“针对评估的重大错报风险实施的程序”明确规定和回答了,通过了解被审计单位及其环境(包括内部控制),分别评估出财务报表整体层次和认定层次的重大错报风险后该怎么办的问题,从而有助于注册会计师更有针对性地采取不同的有效应对措施。该准则对注册会计师提出以下要求:
1.应当针对评估的财务报表整体层次的重大错报风险确定“总体应对措施”(overall responses)。可采取的总体应对措施包括:(1)向项目组强调在收集和评价审计证据过程中保持职业怀疑态度的必要性;(2)分派更有经验的或具有特殊技能的审计人员,或利用专家的工作;(3)提供更多的督导;(4)在选择进一步审计程序时,应当注意某些程序不能被管理当局预见或事先了解;(5)对拟实施审计程序的性质、时间和范围作出总体修改。注册会计师对控制环境的了解影响其对财务报表整体层次重大错报风险的评估。如果控制环境存在缺陷,注册会计师通常应当考虑:(1)在期末而非期中实施更多的审计程序;(2)通过实质性程序获取更广泛的审计证据;(3)修改审计程序的性质,获取更具说服力的审计证据;(4)增加审计范围中所包括的经营场所的数量。
2.应当针对评估认定层次的重大错报风险设计和实施“进一步审计程序”(further audit procedures),以将审计风险降至可接受的低水平。
ISA 330还要求在确定总体应对措施,以及设计和实施进一步审计程序的性质、时间和范围时,注册会计师应当运用职业判断。ISA 330还对进一步审计程序(包括必要时控制测试和实质性测试)的性质、时间和范围决策作了比以前准则更详尽的规定。
(四)重新划分认定层次的构成类别,强调获取列报与披露认定的审计证据的重要性
原准则要求识别、评估和检查认定层次的重大错报风险,是区分各类交易和账户余额二个类别来进行的。因此财务报表总体重要性水平的分配、实质性细节测试种类的确定、审计证据的收集与评价都包括了各类交易和账户余额两个方面。
新国际审计风险准则重新划分认定层次的构成为三个类别:(1)各类交易,(2)账户余额,(3)列报与披露(presentation and disclosure),并将这一思想贯穿于整个审计过程中。
比如,ISA 315要求,从各类交易、账户余额及列报与披露三方面来识别和评估认定层次的重大错报风险。ISA 330规定,实质性程序包括:一是对各类交易、账户余额及列报与披露的细节测试,二是实质性程序;还规定注册会计师应当实施审计程序以评价财务报表总体列报与相关披露是否符合适用的财务报告框架,在评价时应当考虑评估的认定层次重大错报风险,还应当考虑财务报表是否正确反映财务信息的分类和描述,以及对重大事项的披露是否适当。修订后的ISA 500“审计证据”也相应地规定,注册会计师应当将认定具体运用于各类交易、账户余额、列报与披露,作为评估重大错报风险以及设计与实施进一步审计程序的基础;并进一步指出了这三个方面所涉及和运用的不同认定种类。注册会计师对所审计期间的各类交易和事项运用的认定通常分为下列种类:(1)发生:记录的交易和事项已发生且与客户有关;(2)完整性:所有应当记录的交易和事项均已记录;(3)准确性:与交易和事项有关的金额及其他数据已恰当记录;(4)截止:交易和事项已记录于正确的会计期间;(5)分类:交易和事项已记录于恰当的账户。注册会计师对期末账户余额运用的认定通常分为下列种类:(1)存在:资产、负债和所有者权益是存在的;(2)权利和义务:被审计单位拥有或控制资产的权利,负债是被审计单位的义务;(3)完整性:所有应当记录的资产、负债和所有者权益均已记录;(4)计价和分摊:资产、负债和所有者权益以恰当的金额反映在财务报表中,之后的计价或分摊调整已恰当记录。
注册会计师对列报与披露运用的认定通常分为下列种类:(1)发生及权利和义务:披露的交易、事项和其他情况已发生且与被审计单位有关;(2)完整性:所有应当包括在财务报表中的披露均已包括;(3)分类和可理解性:财务信息已被恰当地列报和描述,且披露表述清楚;(4)准确性和计价:财务信息和其他信息已公允披露,且金额恰当。
原准则将列报与披露问题融合到各类交易、账户余额的审计中,理论上并没有什么错。但实务中相比之下注册会计师更重视审计各类交易和账户余额的其他认定,而容易忽视列报与披露认定的重大错报风险。在日益重视财务报表列报与披露的今天,新准则强调单独针对财务报表总体列报与披露认定获取审计证据,对切实提高审计效果和财务报表信息披露质量有特别重要的意义。
(五)强调保持职业怀疑态度,切实提高发现重大错报的概率
新国际审计风险准则进一步强调了保持职业怀疑态度的极端重要性,要求注册会计师以职业怀疑态度计划和实施审计工作,充分考虑可能存在导致会计报表发生重大错报的情形。所谓职业怀疑态度,是指注册会计师以质疑的态度,对所获取审计证据的真实有效性作批判性的评价,并对相互矛盾的审计证据以及导致对文件或管理当局声明的可靠性产生怀疑的审计证据保持警惕。例如,在整个审计过程中,职业怀疑态度对减少忽略可疑情况的风险,以及减少在确定审计程序的性质、时间、范围及评价相应结果时使用错误假定的风险都是必要的。在计划和执行审计时,审计人员既不能假定管理当局不诚实,也不能假定其完全诚实。因此,管理当局声明书不能替代获得充分适当的审计证据,只有充分适当的审计证据才能得出作为审计意见基础的合理结论。
审计如刑事侦察,同属侦查类学科。发现疑点、捕捉线索是关键。而保持职业怀疑态度又是关键之关键。在不少审计失败案例中,审计人员未尽到职业怀疑义务、不会怀疑成为主因。审计人员学会怀疑是一个不断、总结和积累的过程,贯穿于整个职业生涯。职业怀疑意识和能力越强,发现重大错报的概率就越大。
(六)强调对特别风险的识别及评估,并警惕仅实施实质性程序无法获取充分、适当审计证据的风险
ISA 315要求,注册会计师在风险评估中应当运用职业判断,确定识别的风险哪些是特别风险(significant risks),需要作特别的审计考虑。在确定哪些风险是特别风险时,应考虑风险的性质、潜在错报的重要程度(包括导致多项错报的可能性)以及风险发生的可能性。在确定风险的性质时,注册会计师应当考虑下列事项:(1)风险是否为舞弊风险;(2)风险是否与近期环境、会计核算和其他方面的重大变化有关;(3)交易的复杂程度;(4)风险是否涉及重大的关联方交易;(5)财务信息计量的主观程度,特别是对不确定事项的计量存在宽广的区间;(6)风险是否涉及异常或超出正常业务范围的重大交易。ISA 315指出,特别风险通常与重大的非常规交易和判断事项有关。非常规交易是指由于金额或性质异常而不经常发生的交易。判断事项通常包括作出的会计估计。由于非常规交易具有下列特征,与重大非常规交易相关的特别风险可能导致更高的重大错报风险:(1)管理当局更多地介入会计处理;(2)数据收集和处理需要更多的人工介入;(3)复杂的计算或会计原则;(4)非常规交易的性质可能使被审计单位难以对由此产生的特别风险实施有效控制。由于下列原因,与重大判断事项相关的特别风险可能导致更高的重大错报风险:(1)对涉及会计估计和收入确认的会计原则存在不同的理解;(2)所要求的判断可能是主观和复杂的,或需要对未来事项作出假设。ISA 315还要求,对特别风险,注册会计师应当评价相关控制(包括相关的控制活动)的设计情况,并确定其是否已经得到执行。由于与重大非常规交易或判断事项相关的风险很少受到日常控制的约束,注册会计师应当了解被审计单位是否针对该特别风险设计和实施了控制。如果管理当局未能实施控制以恰当应对特别风险,注册会计师应当认为内部控制存在重大缺陷,并考虑对风险评估的影响。
ISA 315同时要求,特别应警惕仅实施实质性程序无法提供充分、适当审计证据的风险。指出作为风险评估的一部分,如果认为仅通过实施实质性程序获取的审计证据无法将认定层次的重大错报风险降至可接受的低水平,注册师应当评价客户针对这些风险设计的控制(包括相关的控制活动),并确定其执行情况。还强调在客户对日常交易采用高度自动化处理的情况下,如果注册会计师认为仅通过实施实质性程序不能获取充分、适当的审计证据,则应当考虑所依赖的相关控制的有效性。
这是国际审计风险准则首次单独强调识别和处置特别风险及完全依赖实质性程序的风险,对于解决实务中较普遍存在的(1)审计往往抓不住重点,容易忽视那些需要特别审计考虑的风险;(2)不重视风险评估和内控了解,不分情况盲目期望仅靠实施实质性程序获取证据等突出,有针对性意义。
(七)强调项目组内讨论的积极作用,共享审计经验和资源
在审计中如何组织利用好项目组内的讨论,共享审计经验和资源,保证整体审计质量,这在过去往往被忽视。ISA 315首次规定,注册会计师应当组织项目组成员对客户财务报表存在重大错报的可能性进行讨论,并运用职业判断合理确定讨论的目标、、人员、时间和方式。项目组应当讨论客户所面临的经营风险、报表容易发生错报的领域及发生错报的方式,特别是由于舞弊导致重大错报的可能性。项目组的关键成员应当参与讨论。如果审计项目组需要拥有特殊信息技术或其他技能的专家,在讨论时还应将其包括在内。项目组应当根据审计的具体情况,持续交换有关客户报表发生重大错报可能性的信息。项目组在讨论时应当强调在整个审计过程中保持职业怀疑态度,警惕可能发生重大错报的迹象,并对这些迹象进行严格追踪。通过讨论可以使成员更好地了解在各自负责的领域报表发生重大错报的可能性,并了解各自实施审计程序的结果如何审计的其他方面,包括如何确定进一步审计程序的性质、时间和范围。
(八)强调与治理当局沟通和与管理当局沟通并重,优化审计环境。
ISA 315设专章规定与治理当局和管理当局沟通内控问题,要求注册会计师及时将其注意到的内部控制设计或执行方面的重大缺陷告知客户适当层次的治理当局或管理当局。如果识别出客户未加控制或控制不当的重大错报风险,或认为客户的风险评估过程存在重大缺陷,注册会计师应当就此类内部控制缺陷与治理当局沟通。此外,还可向治理当局沟通与管理当局的正直性和舞弊有关的问题。
ISA 260“与治理当局沟通审计事项”,专门为审计人员与客户负责治理的机构和人员(简称治理当局)之间,沟通审计中所注意到的有关治理的审计事项,建立准则和提供指南。本准则所称“治理”是用来描述被授权对单位进行监督、控制及指导的内部机构和人员的作用。只有当管理当局履行这种职能时,治理当局才包括管理当局。本准则对沟通的原则、对象、内容、方式、时间等作了全面的规定。
新国际审计风险准则除了上述主要变化外,在许多条款制定上,比以前要求更高、规定更细、指导性更强,着实澄清和纠正了实务中的一些明显的重大错误认识和做法,对实务中普遍存在的典型的薄弱环节予以了加强和改进,恕不赘述。由于本轮准则修订时,将机信息系统环境下的特殊审计考虑,融入到了新的三个风险准则和其他准则中,故新准则生效后,原ISA 401“计算机信息系统环境下的审计”失效。
需要特别强调的是,新国际审计风险准则的颁行并没有改变财务报表审计目标和责任的基本定位,也没有改变现行的审计基本和,而只是为了指导审计人员更好地实现审计目标和履行审计责任,缩小审计期望差。ISA 200“财务报表审计的目标与一般原则”依然规定,注册会计师只是应当合理保证财务报表整体不存在重大错报。合理保证报表整体不存在重大错报意味着审计风险始终存在,注册会计师应当通过计划和实施审计工作,获取充分、适当的审计证据,将审计风险降至可接受的低水平。下列因素可能影响发现重大错报的能力,注册会计师不能绝对保证报表整体不存在重大错报:(1)抽样方法的运用;(2)内部控制的固有局限性;(3)大多数审计证据是说服性而非结论性的;(4)获取审计证据和形成结论时涉及大量判断;(5)某些特殊性质的交易和事项可能影响审计证据的说服力。ISA 200还依然规定,注册会计师的责任是按照审计准则的要求对财务报表发表审计意见,客户管理当局的责任是按照适用的财务报告框架编制和列报财务报表。注册会计师对财务报表的审计不能减轻管理当局的责任。
二、几点启示
我国CPA制度恢复20多年来,独立审计的准则建设和工作开展取得的成绩有目共睹,但由于各种原因,准则的落实程度和执业水平还远没有到位。新国际审计风险准则的又对审计工作提出了更高的要求。我们认为,应努力做好以下方面工作,积极应对挑战:
1.风险导向审计必须实行,重大错报风险必须认清。从新国际审计风险准则规定看,风险基础审计不是要不要做的问题,而是必须认真做好的问题。财务报表审计就是风险导向审计,即以重大错报风险为导向的审计,关键是不能曲解其本质含义。风险导向审计的两项主要的同等重要的工作就是:评估重大错报风险和降低重大错报风险。识别风险、评估风险是前提,检查风险、降低风险是实质。两者缺一不可,绝不能只重其一。实务中有两种典型错误做法,背离风险基础审计的真谛,必须按准则的本质要求予以纠正和规范:一是刚进驻被审计单位就完全凭经验评估风险,感觉较好时干脆就不实施或很少实施进一步审计程序;二是风险评估不在行或不想做,项目组一进驻单位根本没摸清客户重大错报风险,就直接实施实质性程序收集审计证据,盲人摸象,几乎发现不了重大问题。
2.审计工作重心必须前移,审计计划工作必须加强。收集审计证据主要包括计划审计和实施审计两类工作。实务中大多比较轻计划、重实施。新国际审计风险准则要求我们必须将审计工作的重心前移,重视审计计划工作,花费必要成本和相当精力在了解客户及其环境(包括内部控制)上,以识别和评估出重大错报风险。只有以认真评估的重大错报风险为基础,才能制定出有效的审计计划。我国目前独立审计业务整体水平不高,关键在于计划能力不强,说到底是识别和评估重大错报风险的能力不强。一些事务所的项目组一进单位就习惯拿出老一套的审计程序清单照做,根本不问重大错报风险在哪儿。编审计划好比开中医药方,中医药方要对症必须先问症,审计计划要能帮助查出重大错报,就必须先识别评估出重大错报风险。
3.职业怀疑态度必须坚持,强制审计程序必须到位。审计职业的特点决定每个审计人员必须坚持职业怀疑态度。职业怀疑是审计人员必练的基本功。审计人员要养成很强的怀疑意识与能力,需要道德素养、职业责任感、应有谨慎、执业经验、判断能力、专业精神、敏锐眼光的广泛良性互动和长期同步揉和。保持职业怀疑并不是孤立存在的一种纯精神态度,而是要求体现于风险评估、计划和实施程序、收集和评价证据、形成结论和意见等审计全过程的具体专业行为中。可以说,不会职业怀疑,几乎就等于不会审计。与此同时,新国际审计风险准则比以前准则规定了更多的强制审计程序,比如项目组讨论、特别风险和全靠实质性程序获取充分适当证据的风险识别及处置、审计工作底稿更详细的记录等,审计人员在实务中必须执行到位,以减少审计程序的随意性和盲目性。
4.客户行业状况必须掌握,职业经验积累必须重视。ISA 315用了124段外加3个附录的前所未有的特大篇幅,来规范“了解被审计单位及其环境并评估重大错报风险”。这一方面说明风险评估很重要,另一方面说明风险评估难度相当大,对大量的中小型事务所来说做好风险评估更难。ISA 315要求注册会计师先从下列方面了解被审计单位及其环境(包括内部控制),再据以评估财务报表总体层次和认定层次的重大错报风险:(1)行业状况、监管环境以及其他外部因素;(2)被审计单位的性质及对会计政策的选择和运用;(3)被审计单位的目标、战略以及相关经营风险;(4)被审计单位财务业绩的衡量和评价;(4)相关内部控制。这些了解不仅内容十分宽泛,而且要求必须将了解的信息运用于风险评估,无疑对事务所及注册会计师的能力提出了严峻的挑战。各事务所及注册会计师如再不重视平时对客户经营及行业状况的逐步掌握和职业经验的点滴积累,要达到新准则的要求是不可能的。
5.我国现行准则必须修订,审计实务流程必须改进。我国独立审计准则的制定一直坚持国际化方向,已初步建立起独立审计准则体系。注册会计师协会根据ISA的新正在抓紧修订我国现行审计风险准则。按工作计划,目前正在制定4个新的审计风险准则:一是《独立审计具体准则第XX号——会计报表审计的目标和一般原则》,依据新ISA 200制定,拟取代《独立审计具体准则第l号——会计报表审计》;二是《独立审计具体准则第XX号——了解被审计单位及其环境并评估重大错报风险》,依据ISA 315制定,拟取代《独立审计具体准则第9号——内部控制与审计风险》、《独立审计具体准则第20号——计算机信息系统环境下的审计》和《独立审计具体准则第21号——了解被审计单位情况》;三是《独立审计具体准则第XX号——针对评估的重大错报风险实施的程序》,依据ISA 330制定;四是《独立审计具体准则第XX号——审计证据》,依据新ISA 500制定,拟取代《独立审计具体准则第5号——审计证据》。这4个新准则经过在全国范围内征求意见后,计划于2005年正式颁行。各事务所及注册会计师应密切关注和认真审计风险准则的新发展,并积极考虑据此改进审计实务流程,切实提高评估风险和发现重大错报的能力。
主要
ISA 315 Understanding the entity and its environment and assessing the risks of material misstatement
ISA 330 auditors procedures in response to assessed risks
ISA 500 (revised) Audit evidence
ISA 200 Objective and general principles governing an audit of financial statements
ISA 300 Planning an audit of financial statements
IAS 310 Knowledge of the business
现代企业风险管理是指企业在经营过程中,识别、评估、分析各种可能造成潜在影响的风险事项,并在其风险偏好范围内进行控制和管理,从而为企业目标的实现提供合理保证的过程,具体表现为认真分析风险、有意识地承担风险、科学地管理风险、稳妥地获取风险收益。它以博弈论作为理论基础,通过对不确定性全方位、深层次的分析,形成完善的风
险管理计划;对各类风险进行识别、定量定性分析、响应和监控,形成综合性的风险应对策略,为正确决策提供依据,为持续发展提供基础。其核心是将难以预计的未来事项的不确定性控制在可接受的程度,并从中寻求有利于企业发展的机遇。该定义通常包括以下基本原理:(1)从企业整体角度分析风险。企业风险管理不是汇集每个独立部门面临的风险,而是汇集彼此及企业相对于每个独立部门的整体风险;(2)从宏观角度分析风险。风险管理是一种持续行为,贯穿于企业经营的全过程,包括事前、事中、事后。越早发现风险,越早采取措施,则风险管理的成本就越低,给企业带来的效益就越大。
二、现代企业风险管理理念概括来说,健全的企业风险管理理念可以归结为6C,即全面性、一致性、关联性、集权性、互通性、创新性。
1、全面性(comprehensive)。风险管理的目标不仅仅是使公司免遭损失,而且包括能在风险中抓住发展机遇。全面性可归纳为三个“确保”,一是确保企业风险管理目标与业务发展目标相一致;二是确保企业风险管理能够涵盖所有业务和所有环节中的风险;三是确保能够识别企业所面临的各类风险。
2、一致性(consistent)。风险管理有道亦有术。风险管理的“道”根植于企业的价值观与社会责任感。风险管理的“术”是具体的操作技术与方法。风险管理的“道”是“术”之纲,“术”是“道”的集中体现,二者高度一致。
3、关联性(correlative)。有效的风险管理系统是一个由不同的子系统组成的有机体系,如信息系统、沟通系统、决策系统、指挥系统、后勤保障系统、财物支持系统等。因而,企业风险管理的有效与否,除了取决于风险管理体系本身外,在很大程度上还取决于它所包含的各个子系统是否健全和有效。任何一个子系统的失灵都有可能导致整个风险管理体系的失效。
4、集权性(centralized)。集权的实质就是要在企业内部建立起职责清晰、权责明确的风险管理机构。因为清晰的职责划分是确保风险管理体系有效运作的前提。同时,企业应确保风险管理机构具有高度权威,并尽可能不受外部因素的干扰,以保持其客观性和公正性。
5、互通性(communicating)。风险管理战略的有效性在很大程度上取决于其所获信息是否充分。而风险管理战略能否被正确执行则受制于企业内部是否有一个高效的信息沟通渠道。有效的信息沟通可以确保企业所有人员都能正确理解其工作职责与责任,从而使风险管理体系各环节正常运行。
6、创新性(creative)。风险管理既要充分借鉴成功的经验,又要根据风险的实际情况,尤其要借助新技术、新信息和新思维,进行大胆创新。
三、现代企业风险管理体系及其构成要素
每个组织的存在都有其目标,在实现目标的过程中,必然存在各种不确定因素,即风险。企业管理层的一项重要职责就是要建立一个良好的风险管理体系,来识别、评价和控制风险,为组织目标的实现提供合理的保证。
(一)现代企业风险管理体系如上图所示,完善的现代企业风险管理体系应将风险管理视为闭环型的过程管理,包括风险识别、风险分析、风险应对、风险监控,四个环节依次顺序推进、循环往复。
1、风险识别。即确定何种风险可能会对企业产生影响,并以明确的文档描述这些风险及其特性。一般而言,风险识别是一个反复进行的过程,应尽可能地全面识别企业可能面临的风险。对风险进行分类和归纳是风险识别中常用的方法。风险分类应当反映出企业所属行业或应用领域内常见的风险来源。例:技术方面的风险、时间安排方面的风险及财务方面的风险等。检查表是风险识别中非常有效的工具。根据积累的风险数据和信息,特别是企业在风险管理过程中形成的数据集合风险管理知识库,可以较为完整地开发和编制企业风险检查表。检查表的好处是提高了风险识别过程的效率。特别是企业进行大量类似项目时,完全可以开发一套通用的风险检查表,以提高风险识别过程的速度和质量。
2、风险分析。即评估已识别风险可能的后果及影响的过程。风险分析可以选择定性分析或定量分析方法,进一步确定已识别风险对企业的影响,并根据其影响对风险进行排序,确定关键风险项,并指导风险应对计划的制定。
风险指数体系是一个有效的风险分析模型,主要用于表征整个企业的风险程度。该体系根据风险识别和风险分析的结果,运用数学模型计算得到一组量化的风险指数,从而实现对企业风险的量化反映及横向校核,并监控风险管理的绩效。
3、风险应对。即针对企业面临的风险,开发、制定风险应对计划并组织必要的资源着手实施,目的是有效控制风险,避免风险失控演变为危机。风险应对计划包括企业当前及未来面临的主要风险类别,针对各类风险的主要应对措施,每个措施的操作规程,包括所需的资源、完成时间以及进行状态等。风险应对计划形成之后,企业应通过风险管理体系确保计划启动时所必需的人力、物力等资源。
4、风险监控。即在风险管理全过程中,跟踪已识别的风险,监控残余风险及识别新的风险,确保风险应对计划的执行,评估风险应对措施对减低风险的有效性,并形成风险监控 报告。风险监控是企业风险管理生命周期中一种持续的过程,在企业经营过程中,风险不断变化,可能会有新风险出现,也可能有预期风险消失。
(二)现代企业风险管理要素完善的现代企业风险管理体系一般应包括相互关联的要素,各要素贯穿于企业管理全过程,为实现企业目标提供保证。
1、内控建设。主要是在企业中建立完善的内部控制制度,树立良好的风险管理理念,营造出色的风险管理文化,为其他风险管理要素的实施打下环境基础。
2、目标制定。决策层必须首先确定企业的目标,才能够在此基础上确定对目标的实现具有潜在影响的各种不确定因素,即风险。
3、事项识别。下列事项可能给组织带来风险:因使用不正确、不及时、不完整、不可靠的资料而导致决策错误;记录有错误、会计核算资料不真实、不完整;资产保护不当;顾客不满意,组织信誉受损;执行组织决策、计划、程序不力,或有违法违规行为;不经济地获取或无效地利用资源;没有完成组织的任务和目标等等,需要企业的管理者对其进行识别、评估和反应。
4、风险评估。风险评估可以使管理者了解潜在事项如何影响企业目标的实现。管理者应从两个方面对风险进行评估:风险发生的可能性和影响。对于风险的评估应从企业战略和目标的角度进行。
5、风险反应。风险反应可以分为规避风险、减少风险、共担风险和接受风险四类。对于每一项重要的风险,企业都应考虑所有的风险反应方案。有效的风险管理要求管理者选择可以使企业风险发生的可能性和影响都在容忍度之内的风险反应方案。
6、控制活动。控制活动是确保风险反应方案得到正确执行的相关政策和程序。控制活动存在于企业的各个层面,通常包括两个要素:确定应该做什么的政策和影响该政策的一系列程序。
7、信息和沟通。来自于企业内部和外部的相关信息必须以一定的格式和时间间隔进行确认、捕捉和传递,以保证企业中的每一环节能够恰当执行各自职责。
8、监控。对企业风险管理的监控是指评估风险管理要素的内容、运行以及执行质量的过程。企业可以通过持续监控和个别评估两种方式,来保证风险管理理念在决策、管理层面和各执行层面都得到了正确的理解和贯彻。此外,在风险管理过程中,必须高度重视沟通的作用,通过积极、全面、有效的内外沟通及上下沟通,确保风险控制与危机处理流程顺畅、有序、高效、及时。
四、内部审计与现代企业风险管理
(一)内部审计与现代企业风险管理的关系为体现并适应执业环境的变化,1999年,国际内部审计师协会(IIA)在其《内部审计实务标准》及《职责说明》中对内部审计进行了重新定义。新定义将内部审计的范围延伸到风险管理和公司治理,认为内部审计是针对风险管理、控制及治理过程的有效性进行评价和改善所必需的,使企业内部审计与风险管理融为一体。可见,内部审计是风险管理的一种方法、一种手段,而风险管理则是内部审计的一项新的内容、一个新的领域。从发展趋势看,内部审计不仅越来越关注风险,同时,也是风险管理体系的重要组织部分。现代企业内部审计除了关注传统的内部控制之外,更加关注有效的风险管理机制和健全的公司治理结构。在风险导向型内部审计体系下,控制仍然重要,但业务重心在于分析、确认、揭示关键性的经营风险,强调风险规避、风险转移和风险的控制。可以说,IIA将“评价并改善风险管理、控制和治理过程的效果”作为内部审计的重要职责,视风险管理为内部审计的推动力,是国际内部审计几十年苦苦探索的经验总结,为内部审计未来发展指明了努力的方向。
(二)内部审计在风险管理中的作用
在风险导向型模式下,内部审计全面参与公司治理与风险管理,发现并评价重要的风险因素,协助组织改善风险控制程序,成为企业风险管理体系的关键环节。
1、检查与评价。重点是对企业风险管理体系的充分性和有效性进行评估,主要包括:(1)评价企业战略目标的制定是否在分析组织和行业的发展情况和趋势、企业的优势和劣势、外部的机会和威胁的基础上结合企业自身风险偏好来制订;(2)与相关管理层讨论部门目标,评估分解到各部门的具体目标是否与企业整体战略目标一致并拥有足够的支持;(3)评价管理层对风险的识别与评估是否适当;(4)分析风险控制措施是否足以使风险失控的可能性和影响在企业风险容忍度之内;(5)评估风险监控程序是否得到持续、有效执行,监控报告及风险管理报告是否充分、及时。
一、我国风险管理审计准则的内容及局限性
随着经济形势发展及我国内部审计自身发展的需要,我国内审也开始重视风险管理内部审计。2005年中国内部审计协会颁布了《内部审计具体准则第16号—风险管理审计》(以下简称风险管理审计准则)并要求于2005年5月1日起实施,该具体准则的出台为我国内部审计人员对组织内部风险管理状况进行审查和评价提供了规范指导。
风险管理审计准则第2条对风险管理做了如下定义:是对影响组织目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的过程。风险管理旨在为组织目标的实现提供合理保证;第6条则描述了风险管理包括的主要阶段:风险识别、风险评估以及风险应对;在该准则的第4条中,还特别强调:风险管理是组织内部控制的基本组成部分,内部审计人员对风险管理的审查和评价是内部控制审计的基本内容之一。
可以看出,该准则所称的“风险管理”是从狭义上理解的风险管理,即风险管理活动的具体实施过程:风险识别、评估及应对。而广义的风险管理不仅包括上述的具体实施过程,还包括其他起辅助作用的要素:内部环境、控制活动以及监督。按目前狭义前提下制定的准则去执行,风险管理审计就会忽略这些起辅助作用的要素,以至于发现不了组织风险管理活动中可能存在的潜在问题。中航油案例就是一个很好的例证。
中国航油(新加坡)股份有限公司(下称中航油新加坡公司)曾聘请国际著名的安永会计师事务所为其编制《风险管理手册》,设有专门的风险管理委员会及软件监测系统,实施交易员、风险控制委员会、审计部、总裁、董事会层层上报,交叉控制,按照《风险管理手册》的规定,任何导致50万美元以上损失的交易将自动平仓。中航油新加坡公司共有10位交易员,损失的最大限额应是500万美元(10×50万=500万)。但是,中航油新加坡公司的衍生品交易最终亏损额高达5.5亿美元,以至申请破产保护。中航油事件的核心问题并不在于市场云谲波诡,而在于该公司从表面上看似乎已实施了风险管理的流程:风险识别、风险评估、风险应对;但缺少对风险管理系统中的其他辅助要素的合理关注,最终导致企业整体风险管理失败。这一案例也再次说明:风险管理不仅仅只包括风险识别、评估及应对,更包括内部环境、控制活动、信息和沟通以及监控;风险管理系统的有效运转依赖于各要素的通力协作,对风险管理不应停留于狭义上的理解;风险管理审计准则应指导内部审计人员从广义上理解风险管理的涵义,全盘考虑风险管理的构成要素及其运作方式,及时有效地发现企业风险管理实践中存在的短板。
二、重新认识内部控制与风险管理的关系
对风险管理审计的认识依赖于企业进行风险管理时所采取的企业风险管理框架或风险模型(用来反映风险管理过程和内容的程序图)。截至目前,已经有如下风险管理模型:1995年澳大利亚-新西兰联合委员会的AS/NZE4360;1998年的加拿大标准委员会模型;1997年全国虚假财务报告委员会下属的发起人委员会(下称COSO委员会)内部控制-整合框架的“目标—风险—控制”模型;2004年COSO委员会的企业风险管理-整合框架(简称ERM框架)模型。风险管理审计准则中出现的问题根源就在于准则中的“风险管理”概念采纳了COSO委员会1997年的内部控制-整合框架中的观点。然而,理论界和实务界还是认为该内部控制框架有些局限性,如对风险强调不够,使得内部控制无法与企业的风险管理相结合。COSO委员会2004年的ERM框架就是在1997年的内部控制-整合框架的基础上,结合《萨班斯——奥克斯利法案》的相关要求扩展得到的。相比内部控制框架,ERM框架在多个方面都有所发展和深化,具体表现在以下几个方面:
1、企业风险管理涵盖了内部控制。增加了新的要素或赋予原有要素新的含义,对内部控制框架下的风险管理要素进行细化,按风险管理的流程划分为:目标设定、事件识别、风险评估、风险反应四个要素。同时,在环境要素中增加了“风险管理哲学”以及风险“偏好”。对比二者的构成要素,可以发现风险管理框架中的目标制定、事项识别、风险评估、风险应对四个要素实质上就是风险管理的流程,也可以理解为狭义上的风险管理。这样看来,内部控制框架与风险管理框架中的要素完全一致。但是系统论认为,系统的性质不仅取决于组成系统的各要素,更依赖于组成系统的各要素的排列方式。在内部控制三个目标的基础上增加了战略目标,并扩大了报告目标的范围,将“财务报告的可靠性”发展为“报告的可靠性”。
2、企业风险管理更加强调管理风险。ERM框架强调在“组合”的基础上考虑风险,考虑风险的集合和风险的交互作用,并在此基础上考虑企业应采取的风险控制措施。在强调风险管理的环境下,ERM框架显然不同于内部控制框架。
总之,ERM框架扩展并详细地阐述了与企业风险管理相关的那些内部控制要素。从企业风险管理要求和实施来看,内部控制是ERM的主要构成部分,但绝对不能等于ERM范畴,ERM的理论和实务都要比内部控制宽泛得多,ERM更适合企业战略风险管理的要求。因此,不能说风险管理审计是内部控制审计的一部分。
三、建议
基于以上分析,要实现真正意义上的风险管理审计,对风险管理审计准则中的风险管理概念的理解就必须建立在广义的基础之上,即采纳COSO委员会(2004)ERM框架中的广义风险管理概念。鉴于内部控制与风险管理二者密不可分的联系,在现行的准则体系下可以协调内部控制审计准则与风险管理审计准则之间的关系,以使风险管理审计准则能得以更有效的实施。
主要参考文献
近年来,国际会计师联合会(IFAC)下属的独立的准则制定机构――国际审计与鉴证准则理事会(IAASB)一直致力于制定新准则或修订旧准则,其目的是通过制定高质量的审计和鉴证业务准则促进各国准则与国际准则的趋同,进而提高世界范围内业务的质量和一致性,增强社会公众对全球审计和鉴证职业的信心,以更好地为公众利益服务。2008年2月,IAASB了修订并重新起草的第540号国际审计准则(ISA540)《会计估计包括公允价值会计估计及相关披露的审计》(以下简称“新准则”),对审计会计估计包括公允价值会计估计提出了更高的要求。
一、新准则的修订背景
“很明显,我们处于公允价值计量和披露的实施时期,而最新的市场经验又表明对金融工具估值处于相当困难的一种环境中。因此,IAASB修订的准则是及时的,它将为在复杂的估值模型或重大的不可见要素投入基础上进行会计估计的审计,尤其是公允价值会计估计的审计提供深入指导。”IAASB主席John Kellas说。
新准则将ISA540(修订)《会计估计及相关披露(不含公允价值计量和披露)的审计》和ISA545《公允价值计量和披露的审计》两个准则合并起来。IAASB认为,通过合并,会计估计和公允价值估计的相似性应被强调,而重复部分应被去掉。新准则要求审计人员将注意力集中在较高风险、会计判断和可能的偏见等一些领域,从而帮助审计人员对被审计单位财务报告框架体系中估计的合理性得出恰当的结论。新准则在会计估计包括公允价值会计估计审计中采用了风险基础方法,它指出,审计人员应就估计不确定性对风险评估的影响、管理层作出估计的方法、管理层使用的假设的合理性、披露的充分性等事项作出评价。新准则也将为公允价值会计估计的审计,包括与估值模型相关的财务报告要求的恰当运用的审计考虑提供详细的指南。
John Kellas还说明,尽管新准则在2009年12月15日以后才生效,当其他重新起草的准则生效时,就得考虑很多现实的问题。审计人员应充分认识到理解与公允价值相关的会计原则和规则的必要性,并对它们的运用给予恰当的考虑。因此,审计人员可能在计划和执行2008和2009年度业务时,就要考虑新准则中的相关内容。
二、新准则的最新发展
新准则与旧准则相比较,体系更加完善,内容更加具体,可操作性更强。新准则主要强调审计人员在财务报表审计中对会计估计,包括公允价值会计估计及相关披露的责任,它详细阐述了ISA315的修订稿和ISA330的修订稿和其他相关的准则在会计估计方面的应用情况,也包括单个会计估计错报的要求和指南及可能的管理层偏见的信号。新准则的最新发展主要体现在以下几个方面。
(一)进一步明确会计估计的性质
旧准则对会计估计性质的描述比较简单,新准则结合会计估计的目标进一步细化。在新准则中,一些不能准确计量的财务报表项目被视为会计估计。管理层用来支持会计估计的信息的性质和可靠程度各不相同,因此会影响到与会计估计相关的估计的不确定性。估计不确定性的程度相应又会影响到会计估计的重大错报风险,包括它们对管理层无意或有意的偏见的敏感程度。
会计估计的计量目标因适用的财务报告框架和被报告的财务项目不同而有差异。有些会计估计的计量目标是预测一项或多项可能需要会计估计的交易或事项的结果。对另外一些会计估计,包括许多公允价值会计估计,计量目标是不一样的,它表述为在计量日现实条件下交易或财务报表项目的价值,如对特定类型的资产或负债估计的市场价格。会计估计的结果和财务报表中初始确认或披露的金额之间出现差异不一定代表财务报表存在错报。这在公允价值会计估计中体现得尤为充分,因为已观察到的结果总会受到期后一些事项的影响。
(二)强调“识别和评估重大错报风险”审计程序
与旧准则相比,新准则增加了一节内容对识别和评估重大错报风险这一程序予以特别说明。按照ISA315的要求,在识别和评估重大错报风险时,审计人员应评估与会计估计相关的估计不确定性的程度,并根据自己的判断确定,存在高度的估计不确定性的会计估计是否将导致特别风险。
1.估计不确定性
与会计估计相关的估计不确定性的程度可能受到以下因素的影响:会计估计依赖判断的程度;会计估计对假设变化的敏感程度;可能减少估计不确定性的计量技术是否存在;预测期间的长度,以及来源于过去事项以预测未来事项的数据的相关性;来源于外部的可靠数据的可利用性等。与会计估计相关的估计不确定性程度可能影响估计对偏见的敏感程度。审计人员在评估重大错报风险时考虑的因素包括:会计估计实际或预期的金额;会计估计记录的金额;管理层作出会计估计时是否利用了专家的工作;对以前期间会计估计复核的结果等。
2.高度的估计不确定性和特别风险
可能存在高度的估计不确定性的会计估计有:高度依赖判断的会计估计,如对未决诉讼结果的判断,或取决于未来不确定事项的未来现金流量的金额和时间;审计人员对财务报表以前期间作出的类似会计估计的复核结果表明以前的会计估计和实际结果之间存在重大差异;运用了高度专业化的模型或投入不可见的公允价值会计估计等。
看似不重要的会计估计可能由于估计不确定性导致重大错报,也就是说,财务报表中会计估计金额的大小并不能代表估计不确定性的大小。在某些情况下,估计不确定性程度很高,以至于不能作出合理的会计估计。适用的财务报告框架可能不允许在财务报表中确认该项目,或不允许以公允价值计量。此时,特别风险不仅与会计估计是否应确认,或是否应与公允价值计量相关,还与披露的充分性相关。当确定会计估计将产生特别风险时,审计人员应对被审计单位的内部控制包括控制活动进行了解。在某些情况下,会计估计的不确定性可能导致对被审计单位的持续经营能力产生重大疑虑,ISA570制定了相关处理要求并提供了指南。
(三)增加“重大错报风险的应对措施”
1. 审计人员确定点估计值或区间以评价管理层的点估计值
当以下情况出现时,确定一个点估计值或区间来评价管理层的点估计值是应对风险的有效措施:会计估计不是来源于会计系统数据的日常处理;审计人员对以前期间财务报表作出的类似会计估计的复核表明管理层当期的估计过程是无效的;被审计单位对管理层确定会计估计过程的控制未设计好或未恰当执行;期末和审计报告日之间的交易或事项与管理层的点估计值矛盾;审计人员在确定点估计值或区间时可利用的相关数据有多种来源。
审计人员确定点估计值或区间时采用的方法根据其适用情况的有效性会有所不同。例如,审计人员开始可能确定一个初步的点估计值,然后评价点估计值对假设变化的敏感程度,以确定管理层点估计值可能落入的一个区间。或审计人员可能先确定一个区间,再确定点估计值。审计人员确定点估计值的能力取决于诸多因素,包括使用的模型、可利用数据的性质和区间及估计的不确定性。确定点估计值或区间的决策还可能受到适用的财务报告框架的影响,该框架可能已规定了在考虑各种结果和假设后运用的点估计值,或规定了特定的计量方法。
2. 审计人员了解管理层的假设或方法
当审计人员确定的点估计值或区间以及使用的假设或方法与管理层不同时,审计人员应对管理层作出会计估计的假设或方法进行充分的了解。这一了解可以为审计人员确定恰当的点估计值或区间提供相关的信息,也可以帮助审计人员了解和评价与管理层点估计值的重大差异。如当审计人员运用与管理层不同但同样有效的假设时,差异可能产生。这表明会计估计对某些假设高度敏感,因此存在高度的估计不确定性,进而表明会计估计可能是特别风险。
3. 审计人员缩小估计的区间
审计人员认为运用区间来评价管理层点估计值的合理性恰当时,这个区间应包括所有合理的结果而不是所有可能的结果,因为包含所有可能结果的区间太宽泛,不能有效地实现审计的目的。当审计人员确定的区间充分地缩小,能帮助审计人员判断会计估计是否被错报时,这个区间才是有效的。
通常情况下,被缩小至等于或小于一个低于财务报表整体重要性水平的金额,以评估重大错报风险和设计进一步审计程序的区间,用来评价管理层点估计值的合理性也是充分的。但是在某些行业,不太可能将区间缩小至低于这一金额,这并不是要禁止确认会计估计,但它表明,与会计估计相联系的估计不确定性可能产生特别风险。
将区间缩小至其包含的所有结果都是合理的,可以通过两种方式:第一,将审计人员判断不太可能发生的在区间极值处的结果剔除;第二,在可利用的审计证据基础上进一步缩小区间,直到审计人员认为区间内的所有结果都是合理的。在极少数情况下,审计人员可缩小区间直至点估计值。
(四)增加“可能的管理层偏见的信号”
管理层偏见是指管理层在编制和表述信息时中立性的缺失。在审计中,审计人员可能会注意到管理层作出的判断和决策中含有管理层偏见的信号,这些信号将影响审计人员对风险评估和应对措施是否恰当作出结论,审计人员也必须考虑其对剩余审计工作的影响,而且,它们可能影响审计人员对财务报表是否在整体上不存在重大错报作出评价。
与会计估计相关的可能的管理层偏见的信号包括:管理层主观判断实际情况发生变化时,对会计估计或作出会计估计的方法的变更;管理层自己对公允价值会计估计作出的与可见的市场情况不一致的假设;可能产生有利于管理层目标实现的点估计值的重大假设的选择或构建;过于乐观或悲观的点估计值的选择等。
三、新准则对我国的启示
2006 年,我国财政部颁布了新的会计审计准则体系,其中包括《中国注册会计师审计准则第1321号――会计估计的审计》和《中国注册会计师审计准则第1322 号――公允价值计量和披露的审计》,随后又了增强准则可操作性的指南。这两项准则充分借鉴了国际上旧的ISA540和ISA545 的基本框架和内容,首次为中国注册会计师对公允价值的计量和披露执行审计工作提供了依据,填补了原来的独立审计准则的空白,在当前新会计准则大范围运用公允价值计量属性的背景下具有重大的现实意义。但同时,IAASB也加快了修订更新国际审计准则的步伐,先后了一系列审计准则的征求意见稿,本文所述的是前不久出台的一项准则,将旧的ISA540和ISA545进行合并,对相关内容整合并补充完善。笔者认为,新准则的对我国审计准则的进一步完善有很强的借鉴意义。
(一)及时对相关审计准则进行修订
首先,我国对会计估计以及公允价值计量和披露的审计是通过现行审计准则第1321号和第1322号来规范的。二者在审计目标、审计程序以及估计的不确定性特征等诸多方面都有相似之处,将两项准则整合起来,去掉重复部分,能在很大程度上提高审计效率。其次,IAASB启动了新一轮准则修订计划,我国也应结合本国的实际情况及时跟上,否则将离国际趋同的目标越来越远。
(二)重视特别风险并积极采取应对措施
对于可能产生特别风险的会计估计,如果管理层未充分重视估计不确定性的影响,审计人员必要时应确定一个区间来评价会计估计的合理性,确定点估计值或区间是对评估风险的有效果有效率的应对措施。我国现行准则尚未从确定点估计值或区间的角度来谈特别风险的应对措施,因此可借鉴新准则的这一大亮点,引入审计人员通过确定点估计值或区间来评价管理层的点估计值的方法,以将审计风险控制在可接受的范围内。
(三)积极创建公允价值计量属性运用的良好条件
2006 年,一份PCAOB的研究报告表明:审计师有关估值技术的知识水平还相当低,而且随着新估值模型的出现,审计师恐怕难以跟上估值技术进步的步伐。正如PCAOB主席Olson 所言:目前世界范围内的大多数审计师未曾接受过估值技术方面的专门培训,为此,PCAOB正考虑如何持续地对审计师进行各种估值方法的培训,并对估值方法进行详细地研究。PCAOB的考虑应当引起我国有关部门的重视。在现行会计准则大范围运用公允价值计量属性的背景下,我国应建立公允价值评估制度,加大对审计人员的培训力度,并适时出台对公允价值计量方法或程序的统一规定,而不是让其零散分布于各项具体会计准则,为公允价值审计提供便利。
【参考文献】
[1] 中注协.中国注册会计师审计准则[ EB /OL ].北京: 省略.cn.
[2] 中注协.中国注册会计师执业准则指南[M].中国财政经济出版社,2006.
风险管理审计准则第2条对风险管理做了如下定义:是对影响组织目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的过程。风险管理旨在为组织目标的实现提供合理保证;第6条则描述了风险管理包括的主要阶段:风险识别、风险评估以及风险应对;在该准则的第4条中,还特别强调:风险管理是组织内部控制的基本组成部分,内部审计人员对风险管理的审查和评价是内部控制审计的基本内容之一。
可以看出,该准则所称的“风险管理”是从狭义上理解的风险管理,即风险管理活动的具体实施过程:风险识别、评估及应对。而广义的风险管理不仅包括上述的具体实施过程,还包括其他起辅助作用的要素:内部环境、控制活动以及监督。按目前狭义前提下制定的准则去执行,风险管理审计就会忽略这些起辅助作用的要素,以至于发现不了组织风险管理活动中可能存在的潜在问题。中航油案例就是一个很好的例证。
中国航油(新加坡)股份有限公司(下称中航油新加坡公司)曾聘请国际著名的安永会计师事务所为其编制《风险管理手册》,设有专门的风险管理委员会及软件监测系统,实施交易员、风险控制委员会、审计部、总裁、董事会层层上报,交叉控制,按照《风险管理手册》的规定,任何导致50万美元以上损失的交易将自动平仓。中航油新加坡公司共有10位交易员,损失的最大限额应是500万美元(10×50万=500万)。但是,中航油新加坡公司的衍生品交易最终亏损额高达5.5亿美元,以至申请破产保护。中航油事件的核心问题并不在于市场云谲波诡,而在于该公司从表面上看似乎已实施了风险管理的流程:风险识别、风险评估、风险应对;但缺少对风险管理系统中的其他辅助要素的合理关注,最终导致企业整体风险管理失败。这一案例也再次说明:风险管理不仅仅只包括风险识别、评估及应对,更包括内部环境、控制活动、信息和沟通以及监控;风险管理系统的有效运转依赖于各要素的通力协作,对风险管理不应停留于狭义上的理解;风险管理审计准则应指导内部审计人员从广义上理解风险管理的涵义,全盘考虑风险管理的构成要素及其运作方式,及时有效地发现企业风险管理实践中存在的短板。
二、重新认识内部控制与风险管理的关系
对风险管理审计的认识依赖于企业进行风险管理时所采取的企业风险管理框架或风险模型(用来反映风险管理过程和内容的程序图)。截至目前,已经有如下风险管理模型:1995年澳大利亚-新西兰联合委员会的AS/NZE4360;1998年的加拿大标准委员会模型;1997年全国虚假财务报告委员会下属的发起人委员会(下称COSO委员会)内部控制-整合框架的“目标—风险—控制”模型;2004年COSO委员会的企业风险管理-整合框架(简称ERM框架)模型。风险管理审计准则中出现的问题根源就在于准则中的“风险管理”概念采纳了COSO委员会1997年的内部控制-整合框架中的观点。然而,理论界和实务界还是认为该内部控制框架有些局限性,如对风险强调不够,使得内部控制无法与企业的风险管理相结合。COSO委员会2004年的ERM框架就是在1997年的内部控制-整合框架的基础上,结合《萨班斯——奥克斯利法案》的相关要求扩展得到的。相比内部控制框架,ERM框架在多个方面都有所发展和深化,具体表现在以下几个方面:1、企业风险管理涵盖了内部控制。增加了新的要素或赋予原有要素新的含义,对内部控制框架下的风险管理要素进行细化,按风险管理的流程划分为:目标设定、事件识别、风险评估、风险反应四个要素。同时,在环境要素中增加了“风险管理哲学”以及风险“偏好”。对比二者的构成要素,可以发现风险管理框架中的目标制定、事项识别、风险评估、风险应对四个要素实质上就是风险管理的流程,也可以理解为狭义上的风险管理。这样看来,内部控制框架与风险管理框架中的要素完全一致。但是系统论认为,系统的性质不仅取决于组成系统的各要素,更依赖于组成系统的各要素的排列方式。在内部控制三个目标的基础上增加了战略目标,并扩大了报告目标的范围,将“财务报告的可靠性”发展为“报告的可靠性”。
2、企业风险管理更加强调管理风险。ERM框架强调在“组合”的基础上考虑风险,考虑风险的集合和风险的交互作用,并在此基础上考虑企业应采取的风险控制措施。在强调风险管理的环境下,ERM框架显然不同于内部控制框架。
为便于更好地理解和执行这些准则,现就准则体系的特点及创新之处,谈谈自己的认识。
一、准则体系强化了行业维护社会公众利益的宗旨
执业准则作为规范注册会计师执业活动的标准,与社会公众的利益密切相关。同以前制定的审计准则相比,注册会计师执业准则体系更加突出了维护社会公众利益的宗旨,强化了注册会计师的执业责任,针对实务中暴露出的不足,严格了程序,要求注册会计师切实承担起保护社会公众利益的责任。
例如《中国注册会计师审计准则第1141号——财务报表审计中对舞弊的考虑》要求注册会计师在执业过程中保持职业怀疑态度,针对新形势下财务报表舞弊的特点,更加积极主动地识别和应对财务报表舞弊的风险,并为注册会计师履行好这一责任提供了更多的指引。准则特别强调,舞弊导致的风险是特别风险,注册会计师应当专门针对该风险实施实质性程序。
又如,为避免部分会计师事务所片面理解风险导向审计,过分依赖分析程序,而减少实质性程序,《中国注册会计师审计准则第1211号——针对评估的重大错报风险实施的程序》明确要求,注册会计师应针对所有重大的各类交易、账户余额、列报和披露实施实质性程序。
再如,针对“安然”事件暴露出的会计师事务所销毁不利工作底稿的问题,《中国注册会计师审计准则第1131号——审计工作底稿》对审计工作底稿的归档期限和保存年限,以及审计报告日后对审计工作底稿的变动,都作出了明确规定。
二、准则体系符合国际趋同的要求
注册会计师执业准则体系在体系结构、项目构成和基本内容上实现了与国际准则的趋同。
从体系结构看,我们按照国际趋同的要求,根据注册会计师提供服务性质的不同,对注册会计师执业准则体系进行了重构,与国际准则体系保持了充分的一致。
从项目构成看,除个别项目因对我国几乎不适用而未被纳入外,我国注册会计师执业准则体系涵盖了国际审计准则的所有项目。
在审计准则的内容上,我们充分采用了国际审计准则所有的基本原则和核心程序,在审计的目标与原则、风险的评估与应对、审计证据的获取和分析、审计结论的形成和报告,以及注册会计师执业责任的设定等所有重大方面,与国际审计准则保持一致。由于我国准则是部门规范性文件,不便把国际审计准则中包含的举例等解释说明性材料写入准则正文,但我们会把这些内容写入正在起草的指南中,以帮助会员正确理解和运用准则。
三、准则体系体现了风险导向审计的要求
最近几年,注册会计师面临的审计环境发生了很大的变化,复杂多变的市场环境、日新月异的科学技术、不断创新的经营模式和市场工具,增大了企业面临的经营风险,进而更容易引致注册会计师的审计风险,加之会计中估计与判断成分的不断增加、审计对象由有形资产向无形资产转变、信息技术的不断发展,所有这些变化都迫切要求注册会计师创新审计理念和技术,提高防范风险的能力。
以往审计实务是建立在传统审计风险模型基础上,存在很大缺陷。注册会计师往往把关注点放在直接实施控制测试和实质性程序上,而忽略从宏观层面把握财务报表存在的重大错报风险,导致审计失败的风险增大。因为如果企业管理当局串通舞弊或凌驾于内部控制之上,那么其内部控制是失效的。这种情况下,注册会计师如果不把审计视角扩展到内部控制以外,如行业状况、监管环境、企业的性质,以及目标、战略和相关经营风险等方面,就很容易受到蒙蔽和欺骗,难以发现由于内部控制失效所导致的财务报表重大错报风险。
在此背景下,国际审计与鉴证准则理事会与英美等国的审计准则制定机构共同研究制定了审计风险准则,改进了传统的审计风险模型,以提高注册会计师识别、评估和应对重大错报风险的能力。审计风险准则要求注册会计师在执行审计业务时切实贯彻风险导向审计理念,以重大错报风险的识别、评估和应对为审计工作主线,做到有的放矢,避免审计工作的盲目性,提高审计的效率和效果。审计风险准则进一步明确了财务报表审计的目标和基本原则;进一步明确了注册会计师审计证据的内容、数量和质量,以及为获取审计证据所实施的审计程序;进一步明确了注册会计师了解被审计单位及其环境,并评估重大错报风险的程序;进一步明确了针对评估的重大错报风险实施的程序。
借鉴国际审计理念研究和实务探索的先进成果,我们制定了审计风险准则。审计风险准则是整个审计准则体系的核心准则,包括《中国注册会计师审计准则第1101号——财务报表审计的目标和一般原则》、《中国注册会计师审计准则第1211号——了解被审计单位及其环境并评估重大错报风险》、《中国注册会计师审计准则第1231号——针对评估的重大错报风险实施的程序》和《中国注册会计师审计准则第1301号——审计证据》等4个项目。
同以往审计准则相比,审计风险准则着力解决以下几个问题:
一是要求注册会计师加强对被审计单位及其环境的了解。注册会计师应当实施程序,更广泛深入地了解被审计单位及其环境的各个方面,包括了解内部控制,为识别财务报表层次,以及各类交易、账户余额、列报和披露认定层次等重大错报风险提供更好的基础。
二是要求注册会计师在审计的所有阶段都要实施风险评估程序。注册会计师应当将识别的风险与认定层次可能发生错报的领域相联系,实施更为严格的风险评估程序。
三是要求注册会计师将识别和评估的风险与实施的审计程序挂钩。在设计和实施进一步审计程序(控制测试和实质性程序)时,注册会计师应当将审计程序的性质、时间和范围与识别、评估的风险相联系,以防止机械利用程序表,从形式上迎合审计准则对程序的要求。
四是要求注册会计师将识别、评估和应对风险的关键程序形成审计工作记录,以保证执业质量,明确执业责任。
同时,我们以审计风险准则为基础,在新制定的其他准则中体现了审计风险准则的要求,并根据这一要求对26个准则进行了全面的修订和完善。
四、准则体系严格了会计师事务所质量控制的要求
健全完善的质量控制制度是保证会计师事务所及其从业人员遵守法律法规、中国注册会计师职业道德规范及中国注册会计师执业技术准则的基础。
《会计师事务所质量控制准则第5101号——业务质量控制》系统地总结了近些年审计失败的经验教训,要求会计师事务所制定全面的质量控制制度,包括落实对业务质量的领导责任、确保职业道德规范得以遵守、客户关系和具体业务的接受与保持、人力资源、业务执行、业务工作底稿和监控等七个方面。
例如,准则要求会计师事务所树立质量至上的意识,培育以质量为导向的内部文化,建立以质量为导向的业绩评价、薪酬及晋升的政策和程序,要求主任会计师对质量控制制度承担最终责任。
又如,准则要求会计师事务所对所有上市公司财务报表审计实施项目质量控制复核,复核内容包括独立性、审计过程中识别的特别风险及其应对措施、审计过程中作出的重要判断、意见分歧、调整事项及审计报告等。
再如,准则规定,对所有的上市公司财务报表审计,要求会计师事务所按照法律法规的规定定期轮换项目负责人;只有意见分歧问题得到解决,项目负责人才能出具报告;会计师事务所在不长于三年的周期内选取已完成的业务进行检查。
五、准则体系实现了形式和结构上的创新
目前我国注册会计师承办业务类型较多,既有财务报表审计和审阅、内部控制审核等具有鉴证性能的业务,又有司法诉讼中涉及会计、审计、税务或其他事项的鉴证业务,还有代编财务信息、执行商定程序、管理咨询和税务咨询等不具有鉴证性能的业务。
为了适应我国注册会计师业务多元化发展的实际情况和国际趋同的要求,更好地规范注册会计师的执业活动,新的审计准则体系在准则框架、准则名称和准则编号等方面进行了诸多创新。
一是重构准则框架。将“中国注册会计师独立审计准则体系”改进为“中国注册会计师执业准则体系”,具体包括鉴证业务准则、相关服务准则和会计师事务所质量控制准则三部分。为了便于社会公众理解,我们也将执业准则简称为“审计准则”。需要特别说明的是,原审计准则体系中,包括了1996年的《中国注册会计师职业道德基本准则》和《中国注册会计师职业后续教育基本准则》。前者是为保护社会公众利益和维护行业形象,对会计师事务所和注册会计师提出的道德要求,后者是为促进注册会计师保持和提高专业胜任能力,对后续教育提出的要求。这两类准则不属于行业技术性规范,因此不再纳入执业准则体系。但这两个准则仍然是行业管理的规范性要求,我们将根据注册会计师行业实际情况和国际趋同的需要,对其进行必要修订。
