一系列会计造假事件的爆发使我国审计职业界再次感受到前所未有的审计风险。如何规避审计风险,保护自身发展,成为业界关注和讨论的一个重要话题。许多学者认为,这些审计失败事件的发生是由于落后的审计模式所造成,而国际上许多知名会计师事务所采用的风险基础审计模式能有效地规避风险,因此,我国业界应引人这种较为先进的审计模式。对此种观点,我们不敢苟同。
从审计模式的演进史看,大致分为三个阶段,即账项基础审计(古代至20世纪40年代)、制度基础审计(20世纪40年代至80年代)、风险基础审计(20世纪80年代至今)。账项基础审计也叫数据导向审计或凭单审计方法,是审计模式发展的第一阶段,它以凭单审核为重心,以审查账目有无舞弊为目标,以数据的可信性为着眼点,以会计科目为人手点,构成了一个完整的方法模式。其局限性体现在:需要耗费大量的时间和人力;采用的是有限制的抽样技术,抽查风险很大,容易发生错漏现象;不容易发现会计工作中的程序性错误。制度基础审计模式是继账项基础审计模式之后出现的一种新型财务审计模式。它以对被审计单位的内部控制评价为基础,以验证财务报表的公允性为审计目标。与账项基础审计模式相比,制度基础审计是一种较为先进的审计模式。但是,该模式必须以内部控制的存在并可以信赖为前提,而内部控制本身存在固有的局限性。且该模式没有与审计风险联系起来,没有将降低和控制审计风险贯穿于审计全过程,从而也不能为有效降低审计风险提供指南和帮助,导致审计资源的不恰当分配。
由于制度基础审计模式的不足,20世纪80年代,在该模式的基础上发展出风险基础审计模式。在制度基础审计阶段产生的统计抽样、对内部控制进行评价等重要的审计方法在风险基础审计模式时期仍发挥着不可替代的作用。风险基础审计模式吸收了制度基础审计模式的合理内容,并加以扩展和补充,从而形成了一种新的审计模式。它们之间有许多共同的地方,如,都要对被审计单位的内部控制进行评价;审计程序都有很多步骤组成,重视准备(计划)阶段,实质性测试的性质、时间和范围都受到对内部控制评价结果的影响;实质性测试是审计程序中不可或缺的组成部分等等。
由于审计理念的转变,风险基础审计是一种不同于以往审计模式的新的财务审计模式。其与制度基础审计模式的区别主要体现在:
1、审计目标上的差异。
制度基础审计是以鉴证会计报表的公允性为审计目标,而风险基础审计则把揭错查弊作为与验证会计报表公允性并重的审计目标。
2、审计程序上的差异。
制度基础审计是以评估内部控制为起点,根据对内部控制制度可靠性的分析,确定实质性测试的性质、时间和范围。风险基础审计则是以风险评估为起点,通过对固有风险和控制风险的分析,来确定影响会计报表项目的重要因素和检查风险,进而确定实质性测试的性质、时间和范围。风险的控制和评估贯穿于风险基础审计的始终,运用审计风险模式指导整个审计工作。
3、对内部控制的理解不同。
在制度基础审计模式中使用的内部控制概念,包括内部会计控制和内部管理控制。而在风险基础审计阶段,开始以要素来解释内部控制。1988年美国注册会计师协会提出内部控制结构由控制环境、会计系统和控制程序三个要素组成。1992年进一步将其分成控制环境、风险评估、控制活动、信息与沟通、监督五个要素,形成了内部控制整体框架概念,强调对控制环境和控制风险的评价,评价范围和重点都发生了变化。以前对内部控制进行评价的目的是确定其有效程度以及可靠程度,进而确定实质性测试的详细程度。而风险基础审计对内部控制进行评价则是为了确定控制风险,特别是对那些对财务报告的真实性有重大影响的舞弊差错和非法行为失控的风险评价。
4、审计资源分配的恰当性不同。
制度基础审计由于没有进行系统的审计风险分析,容易导致审计资源在审计领域的不恰当分配,进而影响审计工作效率。风险基础审计则不然,由于它从风险分析开始,能够把主要精力放在容易出错的领域,减少了不易出错领域的工作,从而在保证审计效果的前提下提高审计工作效率。
然而,风险基础审计仍有其自身固有的局限性,主要体现在:
1、风险计量上的困难。
风险基础审计模式引人了审计风险模型。将审计风险分解为固有风险、控制风险和检查风险三个要素。运用审计风险模型的主要局限之一,就是计量模型各组成要素的困难。尽管审计人员在计划中付出了最大努力,但是对可接受的审计风险、固有风险、控制风险和由此确定的计划的检查风险的评价都是非常主观的,只能尽可能地接近实际。如在评价固有风险时,必须考虑经济业务的性质、账户余额及总体特征、被审计单位的性质、上期审计中发现的差错项目在本期是否得到纠正、被审计单位的外部环境以及各种易于发生错误或舞弊的事项等诸多因素。在综合评价上述因素后,便在50%至100%的区间内大致确定一个固有风险水平。这一过程无疑是十分复杂也是十分困难的,人为主观的痕迹也过于明显。不同的审计人员估计的固有风险水平可能大相径庭。为了解决计量上的困难,许多审计人员采用概括性和主观的计量标准,如“低”、“中”、“高”等。又如期望审计风险水平的确定。审计风险模型中,首先要解决的问题是期望审计风险的值是多少才是可接受的。这个问题就是主观的,没有专门的理论框架或指南为确定期望审计风险提供科学的依据。但是大多数会计师事务所一般都将可容忍的审计风险确认在5%。美国第47号《审计准则公告》提出的指导性风险水平也为5%。为什么确认为5%而不是4%或6%?这是否意味着审计人员愿意他们签发的100份审计报告中有5份含有错误呢?这都是值得探讨的问题。此外,重要性指标的确定虽有诸多具体的计算方法,但各方法本身的合理性却缺乏客观的建立(或设计)依据。所有这些都将影响风险基础审计在实务中的应用,并最终影响到审计工作的执行效果。
2、根据特定的、计划的检查风险水平来衡量所需要的证据量同样困难。
用于将检查风险降低至计划水平的审计工作计划是各种审计程序的组合,每一种程序都适用于不同审计目标的'不同类型的证据。审计人员的计量方法无法精确到可以对组合的证据进行精确的量化。审计人员只能主观地评价计划的证据是否是以实现低、中或高水平的检查风险。计量方法一般足以使审计人员知道,要实现较低的、计划的检查风险,比实现中等或较高的、计划的检查风险需要更多的证据。但确定到底应增加多少证据,则需要大量的职业判断。
3、容易产生根据财务状况出具审计意见的情况。
从理论上说,企业业绩好坏并不影响审计意见。业绩差的企业只要财务报表如实反映经营状况,审计人员就应该出具无保留审计意见。因此审计意见的性质不应该与企业的经营状况发生联系,自然审计报告也不应受企业经营风险大小的影响。但在风险基础审计模式下,企业的经营风险也成了审计人员必须考虑的重要因素。当企业经营状况不佳,经营风险加大时,企业管理当局为掩盖经营责任而粉饰财务报表的可能性增大,审计人员面临的审计风险自然也增大。为规避风险,减轻审计责任,审计人员此时的审计态度会趋于慎重、严厉,反之则情况相反,即:企业经营状况良好,审计人员面临的审计风险较小时,审计尺度就放松。这样便形成了一种容易根据企业财务状况出具审计意见的倾向。这种作法在某种程度上使审计丧失了它原本的意义,不利于审计职业的长远发展。
4、受到内部控制局限性的制约。
尽管风险基础审计模式在考虑审计风险时不仅关注了差错风险,还对经营风险和舞弊风险予以高度重视。但是它在查错揭弊方面所发挥的作用仍是有限度的,这是因为对控制风险进行评价仍是风险基础审计中的一个重要程序。它也必然会受到内部控制局限性的制约。当管理层串通舞弊,审计人员应如何应对仍是面对风险基础审计模式的一大难题。美国近期安然、施乐及世界通信财务丑闻的发生就是因为内部控制存在问题,它们无一例外地与公司管理高层密切相关。审计人员过分信赖实际并不可靠的内部控制而减少了实质性测试的工作量,这必然会导致审计失败的发生。由于风险基础审计模式的固有局限,加上我国企业目前内部控制不健全的现实及审计人员素质参差不齐的现状,我们以为,目前引人风险基础审计尚需慎重为之。