现代风险导向审计

现代风险导向审计：财务数据合理预期申草（2005）[内容摘要]现代风险导向审计不再停留在学术探讨上，美国与国际审计准则相继修订了审计风险准则，进一步体现了现代审计风险导向的精神，现代风险导向审计工作重心前移,了解客户及风险评估成为审计重点，如何深入了解客户是风险导向审计灵魂所在，我们在本文探讨了现代风险导向审计的特点，提出了研究基础风险审计模式，在研究阶段实现企业分析和风险评估功能，最大程度深入了解客户，以充分识别和评估会计报表重大错报风险。[关健词]风险审计，了解客户，风险评估，合理预期近日，中注协发布了审计风险准则的征求意见稿，包括《独立审计具体准则第1号——会计报表审计的目标和一般原则（征求意见稿）》、《独立审计具体准则第29号——了解被审计单位及其环境并评估重大错报风险（征求意见稿）》、《独立审计具体准则第30号——针对评估的重大错报风险实施的程序（征求意见稿）》，修订了《独立审计具体准则第5号——审计证据（修订）（征求意见稿）》，该准则一旦正式生效，将引导中国注册会计师审计实务由传统风险导向审计向现代风险导向审计转变，对注册会计师审计理念、审计程序及审计责任产生深远影响。我们在本文探讨了现代风险导向审计的特点，提出了研究基础风险审计模式，在研究阶段实现企业分析和风险评估功能，最大程度深入了解客户，以充分识别和评估会计报表重大错报风险。一、现代风险导向审计重心前移现代风险导向审计是指注册会计师通过对被审计单位进行风险职业判断，评价被审计单位风险控制，确定剩余风险，执行追加审计程序，将剩余风险降低到可接受水平。国外一些审计师事务所在上世纪90年代对传统风险导向审计方法进行了改进。改进后的风险导向审计方法具有以下特征：一是注重对被审计单位生存能力和经营计划进行分析，从宏观上把握审计面临的风险；二是注重运用分析性程序，以识别可能存在的重大错报风险；三是在评价内部控制有效的情况下，减少对接近预期值的帐户余额进行测试，注重对例外项目进行详细审计；四是扩大了审计证据的内涵。注册会计师形成审计结论所依据的证据不仅包括实施控制测试和实质性测试获取的证据，还包括了解企业及其环境获取的证据，职业界对传统风险导向审计方法改进过程中，创造出一种新的方法，称为风险基础战略系统审计方法（risk–basedstrategic–systemsauditapproach，简称SSA）。SSA审计流程战略分析战略风险控制风险评估业绩计量流程分析流程风险控制风险评估业绩计量剩余风险对审计的影响控制测试与实质性测试与传统风险导向审计相比，两者在审计理念与审计方法上有本质不同。我们概括了现代风险导向审计的十一大特征：1、重心前移，从以审计测试为中心到以风险评估中心，审计程序主要包括风险评估程序、审计测试程序（包括控制测试和实质性测试），这一点在SSA中得到体现，SSA重点是风险评估，传统审计不能适应现代报表审计需要就在于其原有的风险评估不到位，未能有效发现高风险审计领域，造成审计过量或审计不足，现在大大加强了风险评估程序，真正体现了风险导向审计的理念。2、风险评估重心由控制风险向联合风险转移，传统的风险导向审计人为将风险分为固有风险和控制风险，对固有风险评估存在严重缺陷，因为那是基于一种假设，而这种假设（没有内控）是不存在的，由此导致固有风险评估不到位，从而使风险评估以控制风险评估为中心，实务中将审计程序分为三大类：了解内控、测试内控和实质性测试，前两种程序都是用来评估控制风险，造成风险评估以控制风险为中心，实际上理论上也导致风险导向主要是控制风险导向，而审计师最大的敌人是管理层舞弊，如银广夏、蓝田股份和东方电子，管理层舞弊特点是绕过或逾越内控，所以导致控制风险很低而实际上审计风险很高的问题。现在，我们认识到，控制风险的高低主要与重大错报的错误和员工舞弊有关（实际上员工如果共谋也会使内控表面上有效实际上无效），而管理层舞弊主要与重大错报的管理层舞弊有关，审计师重点是发现管理层舞弊（欺诈性财务报告），评估重点是固有风险，但固有风险的不可直接评估，所以直接评估联合风险（包括固有风险和初步控制风险）3、风险评估由直接评估变为间接评估：传统风险评估直接评估重大错报的概率，也就是直接对审计风险进行评估，现代风险评估不再直接对审计风险进行评估，而是从经营风险评估入手，之所以从经营风险评估入手，有几个方面考虑，一方面是持续经营的考虑，经营失败往往带来审计失败；二是经营风险对审计风险的影响，经营风险超高，审计风险也越大，也就是管理舞弊可能性就越大；三是从经营风险中能更有效发现财务报表潜在的重大错报，因为财务报表是经营的反映，如果经营风险未能在报表上得到体现，则财务报表很有可能失真；四是会计政策、会计估计合理性评估也只有从经营风险入手，才能进行正确的评估，滥用会计政策、会计估计是当今一些巨无霸公司的通病，包括安然、世通和施乐；五是经营风险是从经营分析中产生，经营分析过程实际上是咨询的发现问题过程，从经营风险入手容易将审计拓展为咨询。4、风险评估从零散走向结构化：SSA的两大贡献是：审计重心前移，将战略分析引进审计，使风险分析走向结构化，风险分析结构化最大的好处是一方面考虑了多方面的风险因素，另一方面这些因素有机联系在一起，这样便于作综合风险评估，国内风险导向审计研究三大不足，一是未能从经营风险入手，二是风险评估没有结构化，三是风险评估和审计测试未能对应。SSA明显改进是风险的结构化分析，但这种分析其实也不是他的原创，主要是吸收了战略分析的成果，将PEST、波特五力分析等结合在一起形成它的ELBM模型，这个模型是BMP的灵魂，它的整个风险评估都是围绕这个模型展开，但可惜的是，这种结构化分析还有很多缺陷，如内外环境分析割裂，战略分析与流程分析、绩效分析割裂，仍然没有系统考虑各种分析之间的相互影响，这是对SSA的一大讽刺，因为它的招牌菜一是战略、二是系统，但实际上，它对经营风险分析既不全局也不系统。5、风险评估以分析性复核为中心：尽管风险评估包括检查、调查、询问、穿行测试等多种审计取证手法，但核心是分析性复核的运用，传统风险导向审计对于信息的再加工重视程度不够，分析性复核主要适用在报表分析上，现代风险评估以分析为中心，分析性复核成为最重要的程序，为了适应分析性复核功能扩大的要求，分析性复核开始走向多样化，不再是对财务数据进行分析，也对非财务数据进行分析；分析工具充分借鉴现代管理方法，将管理方法运用到分析性程序中去，我们向审计师推荐几种审计师常用的分析工具：战略分析（包括PSET、VCA、SWOT）、绩效分析（BSC、标杆分析）、财务分析、会计分析及前景分析，将分析工具运用到风险评估中去，将使风险因素不再独立，而且风险评估不再是一元评估，而是多元评估，就象资产评估不能只有一种方法，如果有几种方法相互印证，则风险评估的结果将更加可靠。6、审计师专业知识重心转移，以会审知识为中心转向管理知识、行业知识为中心，由于审计重心转移，审计结果主要依赖风险评估，而不是审计测试，而风险评估采用各种风险分析方法都是现代管理知识在审计中的运用，而且这种运用必须以行业知识（包括市场、研发、生产等行业知识）为基础，现代风险导向审计对审计师素质提出更高的要求，而且要求审计师必须术业有专攻，不能今天做银行、明天做商业，审计师要分行业审计，审计师必须掌握上段中介绍一些常用的分析工具，并接受行业知识训练。此外，事务所要实行知识价值链管理，融合审计资源，成立事务所的专业顾问团队或者与咨询公司结成战略联盟，事务所在审计与咨询分离下必须重新融合审计和咨询两大资源，即要符合新会计法案的要求，也要重视咨询在审计业中运用，这种表现是咨询为审计提供专业服务，审计为咨询拓展业务。7、审计测试程序个性化：传统审计程序标准化，这种标准化审计程序存大很大问题，一是不能对症下药，没有贯彻风险导向审计思想；二是客户的预期，由于很多客户的财务人员都是审计师出身，或者系统学习过审计，或者长期有与审计师打交道的经验，这使审计师无法突破客户预先设置的障碍或防范措施。为此，美国新舞弊审计准则已要求审计师对可能重大的重大错报采用出其不意的审计程序，如盘点存货时，不通知客户，抽查时，就象小金额的；美国新审计风险准则（征求意见稿）已要求审计师对风险特别显著的领域采用非常规审计程序。审计测试程序个性化就是为了克服传统审计测试的缺陷，针对风险不同的客户、客户不同的风险领域，采用个性化的审计程序。审计师不再是流水线上的工人，非常机械重复日复一复的机械性工作，对审计项目经理是这样，对审计助理人员也是这样。8、自上而下与自下而上相结合：传统风险审计从控制风险入手，视野过于陕窄，并主要依赖实质性测试，这种自下而上方式有坐井观天之感；SSA强调自上而下的审计，但这种审计也有缺陷，所以它也强调交易事项和战略系统审计（SSA）结合，这主要是因为重大错报不同诱因导致，因员工舞弊导致资产减少，这很有可能能过账实核对发现问题，直接从余额测试就可以发现异常，而且国内一些大案要案查处也是从细微处入手，如某笔报销或某笔转账分录，这说明我们不能全部否认交易事项审计的作用；关健的是，国内造假水平有时也不见都很高，虽然是它做到了账证相符、证证相符、账表相符，但它的造假不是一条龙的，而且可能直接从会计资料就可以发现它的重大异常，如平时每笔交易者很小，突然到年终来了一笔大数目，有些造假者手法非常粗糙，处处是破绽，实际上不要看账，就是看报表上就可以发现问题，如天衡审计师事务所原股东状告事务所知情权案，不要说是资深审计师，就是小审计师也会发现它1999年有低报收入、多提费用嫌疑，象这种假账还是著名的审计师事务所手下做出来的，不要说一般企业的会计，所以，有些假账，你是不用费那么大的劲去做战略分析、标杆分析。我们建议是两条线同时作战，自上而下与自下而上，相互印证，提高效率，这也叫并行作业，非常有效，形成对客户的前后夹攻。在自下而上审计测试中，我们强烈推荐最有效的审计程序：交易的追踪测试，一旦发现客户报表出现异常（包括披露、余额和交易），要查事情真相，利用追踪测试是比较好的办法，除非客户从最源头造假，并环环相扣，否则整个造假链只要有那一节断掉，审计师都能通过追踪测试查出真伪。当然这种追踪测试还可适用在会计估计、收入确认的合理性和正确性上，通过后来发生的事实来验证管理层过去认定的合理性也是很有效办法，并为美国新舞弊审计准则强调。9、由主要依赖管理层和财务人员提供审计信息向员工及外部人员扩散：管理层舞弊是审计师最大的敌人，但管理层又往往是审计师的衣食父母和配合者，离开管理层的支持，审计将很难进行下去，需要管理层提供证据证明自己造假又太理想，在这种情况下，审计师将眼光转向一般员工，强调“革命堡垒最容易从内部突破”的理念，发动员工举报管理层作假；此外，发挥内查外调的优势，积极向供应商、销售商询问，这为美国新舞弊准则所肯定，也是针对管理层舞弊的有效侦查措拖，我们认为，审计师将更多依赖业内人士和专业咨询人士的看法，补充自己的审计专业判断。10、审计证据重点向外部证据转移：由于审计重心向风险评估转移，风险评估是客户置于广阔经济网络中相互联系一个复杂网络，审计师必须充分了解客户整体企业经营环境，并由此出发评估客户的经营风险及审计风险，审计师因此必须从外部取得大量的外部证据来取得风险评估的恰当性；为什么媒体能一而再、再而三比审计师先行一步发现企业造假呢？记者无法取得企业的内部证据（当然也有内部举报的），记者更多从外围入手，从外部证据取得突破。审计师有能力得要建立自己的数据库（或者利用咨询公司的成果），以记者或咨询师的想法思考如何对客户进行风险评估和审计测试，这更多要从搜集外部证据入手。11、审计范围无边界、专业能力无边界：从以上介绍，大家可能体会到，现代风险导向审计的审计范围大大扩展，传统风险导向审计也要求审计师了解企业情况，现代风险导向审计也一样要求审计师了解企业情况，但此了解与彼了解有很大不同，一方面现代的了解企业情况是经营风险导向，也就是了解企业也不是盲目的，也是有针对性的；另一方面了解企业的深度和