随着审计环境的发展,风险导向审计模式已成为当今审计的新趋势。然而在信息技术日益发展的今天,随着被审计单位所处环境的日益网络化和信息化,使得风险导向审计模式也有了新的特征。信息化环境下的审计导向模式是以电子数据测试为中心的、以评估重大错误风险为重点的现代风险导向模式,与早期的风险导向审计模式相比,在导向性、审计对象和方式方法等方面都有很大不同。
在信息技术迅速发展的今天,审计面临的环境也开始走向信息化。其主要表现为:一方面传统企业纷纷上网、开展网络交易;另一方面又出现了大量虚拟企业和网络公司。这些企业在进行网络交易、发布网络信息的同时,又迫使记录交易的会计工作走向网络化,因此,这一系列环境的变化给传统审计带来了前所未有的挑战。审计工作不再仅仅是单一地对会计报表的合法性和公允性发表意见,而是还要对承载着电子数据的信息系统的安全性、可靠性和合法性等进行鉴证,信息化环境下的审计目标、审计对象、审计技术方法和审计风险等发生了很大的变化。信息化环境下的审计活动发生了巨大的变化,风险导向审计模式在信息化审计环境下开始呈现出新的特征。
传统风险导向审计模式是在制度导向模式基础上发展起来的,以对被审计单位会计报表合法性和公允性等发表意见为审计目标。因此,最初西方国家审计界推崇的审计风险要素包括固有风险(IR)、控制风险(CR)和检查风险(DR)。其中固有风险(IR)和控制风险(CR)分别是评价被审计单位在没有或存在相关内部控制制度的情况下发生错误和舞弊等的可能性;并在此基础上对检查风险(DR)进行评估与测算。目的是在可以接受的风险水平的前提下,对财务报表发表恰当的审计意见。虽然这种方法较之制度导向审计前进了一大步,使审计效率提高、审计风险降低,但在实践中,随着被审计单位所面临的环境越来越复杂,使得该风险导向模式在实践中无法发现很多舞弊行为,审计越来越不能完全满足政府和社会公众的需要。
在原有模型下,如果被审计单位员工上下串通一气进行舞弊、尤其是管理层操纵下的舞弊,很可能会因为内部控制的测试有效,进而导致执行了较少的实质性测试,而使被审计单位的重大错漏报没有被发现,从而导致审计失败。这种审计失败的主要原因在于传统风险模型在特定复杂的环境下失灵,再按常规方法实施审计程序必然最终导致审计失败。在美国的安然丑闻的发生后,就直接导致了传统风险审计模型遭到广泛质疑而推进了风险导向模式的进一步发展。
在这样的背景下,国际审计和保证准则委员会对原来的审计风险准则作了重要修订,并于2003年10月发布了三个新国际审计准则:即第315号《了解被审计单位及其环境并评估重大错报风险》;第330号《针对评估的重大错报风险实施的程序》;第500号(经修改)《审计证据》;并要求从2004年12月15日开始执行新的审计准则。新风险准则引入“重大错报风险”的概念并重建风险模型:“审计风险=重大错报风险×检查风险”。新风险模型针对传统模型缺陷,强调审计工作以发现与评估被审计单位财务报表重大错报风险为起点和导向,引导审计人员紧紧围绕着评估的重大错报风险来设计和执行实质性审计程序、分配审计资源,以最终实现合理保证财务报表不存在重大错报和达到审计目标。
目前,审计环境日益复杂化,从产生重大错报风险的动因上去发现和评估风险程度并改进审计业务流程有着重要意义,是风险导向模式审计的一大进步。用“重大错报风险”取代旧模型中的“固有风险”和“控制风险”,能使审计人员更有效的发现经营风险转化的报表风险,并对重大风险领域进行更多的实质性测试,而不是依赖看似有效的内部控制,从而发现和评估重大错报。从源头上、从企业所处的各种内外部环境上如治理结构、发展战略、经营决策、宏观政策等方面上去分析、发现、把握风险,使风险测度变得更加可行。但需要强调的是,新的风险准则仍是以原有的审计基本理论和基本方法为基础,并没有改变财务报表的审计目标和责任定位。新修订的国际审计准则200号《财务报表审计目标与一般原则》仍然规定,注册会计师只是应当合理保证报表整体不存在重大错报。说明新风险导向审计准则仍然是基于传统环境下审计目标而设定的,它弥补了传统风险模型的缺陷,使审计人员可以在合理保证财务报表不存在重大错报的前提下以进一步提高审计效率。
信息化环境使得审计目标不再是单一的对财务报表发表意见而呈目标多元化趋势,既包括常规财务报表合法性和公允性的审计、又需要对网络信息系统的安全性和可靠性进行鉴证等多重审计目标,多重审计目标对审计工作提出了更高的要求,审计面临全新审计工作环境,审计对象复杂、审计手段也发生了改变……这些均说明信息化环境下,审计人员面临的不确定因素更多、审计风险加大了。在面临诸多风险因素的情况下,审计工作应该也只能根据每次审计的特定目标,充分考虑各种风险因素,确定审计工作方式和重点,以期达到合理保证所审事项符合既定标准。因此,在信息化环境下审计工作的导向模式仍然是以风险评估为核心的风险导向审计模式,只不过这种环境下的审计风险构成要素有了很大改变,并以信息化环境中电子数据风险测试为中心。当然,对信息化环境下审计风险要素的评估离不开信息技术的发展状况,离不开信息技术对审计环境的影响程度等,现在探讨的风险因素会随着信息技术的变化不断发生变化。
信息化条件下,使得被审计单位业务系统和财务系统等置身于开放环境中,多数业务活动由原来传统交易方式改变为通过网络进行交易和结算,同时要求交易处理的财务系统也是以无痕的电子数据为依据、以实时网络财务软件为账务处理主要手段,这些都使得被审计单位数据系统同时面临系统因素和非系统因素(即传统风险因素)的双重干扰,这些风险因素按来源又分被审计单位内部因素和外部因素两方面。
在信息化环境下审计面临的风险因素大大增加,而审计工作主要是通过专业手段对被审计单位经营活动进行鉴证,满足政府和公众的需要。在信息化环境下,被审计单位各种经营活动都是以电子数据的形式存放于计算机系统之中,审计必须对电子数据所带来的各种风险进行评估,结合工作目标估计最大可接受的审计风险,并合理分配风险所在领域和工作重点,从而达到对审计工作的成果做出合理保证。因此,信息化环境下的审计导向模式仍是风险导向模式,只不过在这种环境下的审计风险要素复杂,风险要素主要以电子数据为表现形式,风险测试难度加大的一种新型风险审计导向模式。