一、审计风险模型的改进
(一)审计风险模型的要素的变化 原准则所称审计风险,是指会计报表存在重大错报或漏报,而注册会计师审计后发表不恰当审计意见的可能性,包括固有风险、控制风险和检查风险。即审计风险=固有风险×控制风险×检查风险(AR=IR×CR×DR)。新准则规定,审计风险是指财务报表存在重大错报而注册会计师发表不恰当审计意见的可能性。审计风险取决于重大错报风险和检查风险,注册会计师应当实施审计程序,评估重大错报风险,并根据评估结果设计和实施进一步审计程序,以控制检查风险。即审计风险=财务报表重大错报风险×检查风险。
(二)传统审计风险模型的缺陷 原准则第9号第22、33条指出,注册会计师了解内部控制并评估固有风险后,应当对各重要账户或交易类别的相关认定所涉及的控制风险作出初步评估。由于控制风险与固有风险相互联系,注册会计师应当对固有风险与控制风险进行综合评估。在实务中,有些事务所是分别评估固有风险和控制风险,也有些事务所是综合评估固有风险和控制风险的。若采用分别评估的方法,在编制具体审计计划时,注册会计师应考虑固有风险的评估对各重要账户或交易类别的认定所产生的影响,或者直接假定这种认定的固有风险为高水平。
若不直接假定固有风险为高水平的情况下对固有风险的评估。准则第21条指出,注册会计师应当合理运用专业判断,考虑管理人员的品行和能力、管理人员特别是财会人员的变动情况、管理人员遭受的异常压力、业务性质、影响被审计单位所在行业的环境因素、容易产生错报的会计报表项目等事项,评估固有风险。然而这些因素是否能够独立、全面地评估固有风险,注册会计师在审计实务中到底是否真正地评估了固有风险都有待考证。据一项经验证据表明,在审计实务中,固有风险的评估和控制风险的评估之间是相互关联的,注册会计师在评估控制风险中的大部分控制环境特征时亦一并列示了固有风险评估的重要因素。这表明,注册会计师评估并非固有风险本身,而是内部会计控制。
若直接假定固有风险为高水平,此时,由于AR= IR×CR×DR,故有AR=100%×CR×DR,即AR= CR×DR。(1)从可行性和效果性分析,变形后的AR使得内部控制的主体缺位。内部控制是管理层用以应对固有风险的重要手段。而控制风险的产生往往介于两个极端之间:一个极端是管理层制定的内部控制完全不能应对固有风险,另一个极端是管理层制定的内部控制完全能够应对固有风险。人们不可能脱离风险源头(固有风险)对控制风险进行评估;如果脱离,也就不可能得到合理的控制风险评估结果,最终往往造成低估企业重大错报风险。(2)从效率性分析,如果简单地将一个企业的固有风险评估为最高,审计起点退至了解和测试内部控制,从而使注册会计师在审计实务中更多地依赖审计风险模型的其他组成部分,并增加计划获取的审计证据的数量或要求,可能是不恰当的,特别是在一个讲究审计效率的环境下。(3)从模型本身的因素分析,模型如果没有纳入控制固有局限的影响并细分控制风险,应用该模型容易导致注册会计师在实务中低估重大错报风险,高估可接受的检查风险,相应的审计程序(如细节测试)可能不足。因此,该模型无助于审计证据的决策,而必须在每一种业务循环、每一个账户,并且经常在每一个审计目标上分析计算,从而无法满足对财务报表审计整体审计风险的把握和控制。在此基础上构建出的风险导向审计模式在对待风险上只能是零散的、微观的,不能形成整体的、宏观的认识。
(三)现代审计风险模型的改进 主要包括以下几点:
一是引入“重大错报风险”概念,并规定评估重大错报风险是首要的必要审计程序。为了避免分别评估固有风险和控制风险的潜在误解,也为了增强“固有风险和控制风险综合评估”的可操作性,新准则引入了“重大错报风险”概念。准则1101号第18条规定,重大错报风险是指财务报表在审计前存在重大错报的可能性。将审计风险模型重构为:审计风险=重大错报风险×检查风险。这不是简单地将固有风险和控制风险合并为重大错报风险,而是作出了重大的实质性改进。它要求注册会计师在设计和实施审计测试前必须适当地评估重大错报风险,而不能未评估重大错报风险就盲目进行审计测试;也不能像以往那样简单设定重大错报风险为高水平而直接实施更为广泛的实质性测试。新风险模型明确规定了审计工作以评估财务报表重大错报风险作为新的起点和导向,准确地抓住了审计工作的重点,有助于直接引导注册会计师紧紧围绕重大错报风险设计和执行审计程序,最终实现合理保证财务报表整体不存在重大错报的审计目标。
二是规定必须针对财务报表整体层次和认定层次来分别评估重大错报风险,并采取不同应对措施,将审计风险降至可接受的低水平。财务报表整体层次风险主要指战略经营风险,该风险源于企业客观的经营风险或企业高层通同舞弊、虚构交易。财务报表层次重大错报风险通常与控制环境有关,并与财务报表整体存在广泛联系,可能影响多项认定,但难以限于某类交易、账户余额、列报与披露的具体认定。现代风险模型要求注册会计师区分财务报表整体层次和认定层次来评估重大错报风险,然后再针对评估出的财务报表层次的重大错报风险和认定层次的重大错报风险,合理运用职业判断分别确定总体应对措施和设计、实施进一步审计程序,将审计风险降至可接受的低水平。而且,还强调注册会计师评估的财务报表层次重大错报风险以及采取的总体应对措施,对拟实施进一步审计程序的整体审计策略具有重大影响。
三是改变了审计业务流程,强调注册会计师实施的审计程序必须做到有的放矢,增强了审计效果。根据传统审计风险模型的三要素,审计业务的基本流程见图1:
图1 传统风险审计的基本流程