随着社会和经济的发展,越来越多的人越来越需要依靠、利用审计工作成果,以正确作出各种决策和判断,进行更为有效的投资和管理。同时,人们对审计工作的要求也越来越高,既要注册会计师尽快出报告,以保证会计信息的时效,又要注册会计师尽可能保证审计报告的正确性,使注册会计师面临的审计风险越来越高,而财务报表使用者追究注册会计师审计责任的意识也越来越强,审计风险严峻地摆在审计人员面前。在这种情况下,如果仍然只注重对被审计单位内部控制的评审,不注意被审计单位的总体情况、审计服务对象周围的环境,不注意识别和评估所面临的审计风险,就可能接受错了审计委托,掉入“审计陷阱”;就可能将审计重点搞错,使审计风险失控。因此,风险基础审计便应运而生。
所谓风险基础审计,是指以审计风险的分析、评估为基础,规划审计工作,确定审查会计账簿的重点和抽查规模,以获取具有充分证明力的审计证据,查明财务报表是否真实公允的审计程序模式。风险基础审计体现的审计思路是以项目的审计风险为质量控制依据,首先研究理解企业经营及所从事经济活动、企业的内部控制及其运行;然后,通过对有关数据、信息的分析与检查,由概括到具体,由表及里地认识财务报表披露的信息与企业实际状况的关系,确定会计准则的遵循状况。审计全过程所搜集到的证据、信息构成审计意见的合理保证。
风险基础审计作为在账项基础审计和制度基础审计模式上发展起来的新一代的审计模式,除了吸收前两代审计模式的优点外,在适应经济业务复杂化和合理规避审计人员风险的要求下,形成了自身的特色,这些特色体现在风险基础审计以下的方面:
风险基础审计强调受托前要对客户的固有风险特别是其中的客户经营风险进行评估,并对比审计能力,决策是否受托。它拓展了固有风险的评估内容,增加了受托前对固有风险的评价内容,使注册会计师接受审计委托工作更加明智、主动,能从受托之前就开始防范审计风险,真正做到了防患于未然。
风险基础审计改变了制度基础审计编制审计计划时,只依据对内部控制政策和程序的健全、有效进行评估的局面。在编制审计计划时,其依据不仅增加了固有风险的评估结果,而且拓展了固有风险和控制风险的评估内容。它使固有风险的评估从受托后拓展到受托前,从账户层次拓展到报表整体、客户整体、甚至全社会;使控制风险的评估从局限于控制政策和程序,拓展到客户的控制环境、客户风险评估、客户整个信息系统及客户内部控制监控等各个方面。编制审计计划考虑的风险因素之全,考虑程度之深,都是制度基础审计所无法比拟的。因而,它确定的审计重点和抽样规模,也比制度基础审计合理得多。
风险基础审计不是一味惧怕审计风险,盲目控制风险,而是在充分认识审计风险客观性、利害双重性和可控性的基础上,主动接受一定程度的审计风险,作为审计风险控制的目标以确保审计效益最佳。因此,风险基础审计需要增加一些以前审计所没有的工作环节,如受托前评估客户的固有风险;制定初步审计策略,设定控制风险水平;确定期望审计风险水平和可容忍检查风险水平等。
(四)风险基础审计可以使审计风险控制更全面、更有效,审计质量更高
风险基础审计不仅拓展了固有风险和控制风险的内容,相应增加了风险控制内容,使审计风险更加全面,而且增加了固有风险和控制风险的评估环节,固有风险要在受托前、计划期间和实质性测试后进行三次评估,控制风险也要在计划期间、符合性测试后和实质性测试后进行三次评估,以便层层设防,确保将审计风险控制在期望风险水平之内,从而确保审计质量合格。
注册会计师实施风险基础审计是有效减少审计风险、提高审计效率的途径。如何在我国审计实践中运用风险基础审计模式,笔者认为应从以下几个方面着手:
在中外很多审计风险失控的案例中,一个很重要的原因是审计人员对被审计单位所在行业的情况及被审计单位的业务不了解,因而不能准确地确定期望风险、评估固有风险与控制风险,致使审计重点确定错误,审计范围和抽样规模过小,从而查不出被审计单位业务中的错弊,最终形成审计过失,使审计风险失控。风险基础审计的应用,要求将了解被审计单位情况看作是减少审计风险的重要组成部分,要求注册会计师通过了解,形成对被审计单位固有风险的评价。这种评价从企业整体讲包括它的行业风险、环境风险、经营风险、管理风险和财务风险,这些风险的评估,是注册会计师确定企业持续经营能力、确定发生重大错报可能的领域与方向的重要依据。同时也有助于审计机构或审计人员决定是否接受该项业务。因此,对被审计单位的了解是审计的重要组成部分,需要安排足够的审计资源。了解的结果及相应的风险评估应该形成审计工作底稿,是审计证据的重要组成部分。为了提高此类证据的可靠性,注册会计师应该以书面形式将对被审计单位的了解与被审计单位管理当局进行沟通。
内部控制系统的评审对审计人员确定控制风险、决定审计工作的内容、范围、抽样规模和设计审计实施方案是至关重要的,对被审计单位内部控制评价的必要性已得到愈来愈多注册会计师的认可。许多会计师事务所已将内部控制的评价写入了本所应遵循的审计规范,然而,真正做到利用内控评价评估控制风险、提高审计效率并在审计程序、审计工作中予以体现的,在国内会计师事务所中却是凤毛麟角。在这方面,我们应该借鉴发达国家会计师事务所的经验,在评价被审计单位内部控制基础上,可以考虑根据内控风险水平的不同对有关的会计记录及相应的经济业务:一是只进行分析性测试,不进行实质性测试;二是将实质性测试的时间安排在年终前的某一时间;三是减少实质性测试的样本数量和覆盖面。同时,对内部控制的研究和评价范围不要只囿于内部控制,还要拓展到对控制环境的审查,以便于控制风险的确定,特别是评价那些对财务报告的真实性有重大影响的重大差错或非法行为失控的风险。