发布时间:2023-08-15 17:13:33
序言:写作是分享个人见解和探索未知领域的桥梁,我们为您精选了8篇的财务报表审计概念样本,期待这些样本能够为您提供丰富的参考和启发,请尽情阅读。
【关键词】企业 内部控制 审计目标 理论分析 现实选择
企业内部控制是对企业人、财、物等工作进行监管的活动。通过对内部控制审计保障企业财务信息的真实有效,管控员工和工作流程,建立监督机制等,来保证经营管理活动正常合法、有序地运行。内部控制审计是确认、评价企业内部控制有效性的一个过程,通过分析企业内控中的缺陷,提出改进内部控制的建议。企业的内部控制审计是实现内部控制的重要环节,对其的分析十分重要。
一、企业内部控制审计的相关概念
(一)企业内部控制审计的定义
企业的内部控制审计是通过审查、分析、评价等方式确认被审计单位内部控制的可信程度,鉴定内部控制有效性的一种现代审计手段[1]。也可以将其理解为企业为了提高经济效益,加强经营管理,而对内部控制的再控制。企业的内部审计工作可以由审计委员会或独立董事负责,当然,不负责年审的会计师事务所也可以负责内部审计工作。
(二)企业内部控制的五要素[2]
第一,内部控制环境。内部控制环境是对于影响企业经营管理活动的公司内部的政策、文化、结构、机构、权责等方面的评价。
第二,内部控制活动。内部控制活动是通过对于内部控制措施和控制效果的科学性和有效性进行分析,评价企业的风险评估结果。
第三,风险评估。风险评估是评价风险控制的目标、范畴、结果、对策是否合理全面、科学有效。
第四,内部控制的信息。内部控制的信息主要分为三部分。首先,是对企业内部控制相关信息的收集、处理和传递的评价;其次,是对内部控制信息中技术应用情况的评价;最后,是对相关工作机制的有效性进行评价。
第五,内部监督机制。内部监督机制是通过分析内部控制机构的职权情况,评价企业内部监督的相关方面是否科学、有效。
二、内部控制审计目标的理论分析
(一)内部控制审计的问题提出
由于2001年发生的安然事件及后来一系列公司的经营失败的情况,导致人们对美国资本市场的公允性和稳定性产生了动摇。因此,美国于2002年颁布了《萨班斯-奥克利法案》,要求b定内部控制的评估。而2004年颁布的《与财务报表审计相整合的财务报告内部控制审计》则是对于内部控制审计的具体、详尽的完善。为了进一步加强内部控制,在2007颁布了《与财务报表审计一体化的财务报告内部控制审计》[3]。
随着社会对我国企业内部控制问题的关注,我国也制定了一定的措施。2008年颁布了《企业内部控制基本规范》,随后在2010年了《企业内部控制应用指南》、《企业内部控制评价指引》、《企业内部控制审计指引》。这些政策的颁布为内部控制审计提供了依据[4]。
(二)企业内部控制审计的目标
所谓的内部控制审计目标就是保证内部控制的充分、适宜、有效、合法,也就是检查和评价内部控制能否保障资金、资产的安全。内部控制审计和财务报表的审计在目的方面是相同的,都是通过真实可靠的财务报告来确保资本市场的秩序。财务报表审计的具体目标就是内部控制审计的前四个目标,换句话说就是内部控制审计是财务报表审计的延伸[5]。内部控制审计不同于内部控制的多目标,它的目标是单一的,只针对于保证财务信息可靠性方面。而广大投资者和厉害关系人所关注的只是与财务报告相关的部分。只有财务信息可靠,相关投资者才能够放心的根据财务报告作出自己的判断和选择。
(三)内部控制审计的需求和动机
通过研究内部控制审计的需求和动机来发现内部控制审计的目标和目的。内部控制审计是由美国安然事件引起的,为了满足人们的要求,美国以法律的形式进行了确立。从本质上讲,反映了广大相关关系人的需要。在形式上,则是要适应法律和政府的要求。财务舞弊所造成的经济损失是其它的市场形式和企业组织形式无可比拟的,由于现有的财务报表审计会受到企业内部控制的影响,已经不再得到广大关系人的完全信任,广大厉害关系人对于监督活动的强烈需求,造成了对企业财务的再监管,从而更好地保了证财务信息的可靠性。
三、内部控制审计目标的现实选择
(一)审核目标的可实现性
制定内部控制的审计目标时,要充分考虑到现实的状况。我国内部控制审计目标的制定为财务报告内部控制的有效性提供了现实基础,是内部控制自愿审核的结果,是一种能够顺利实行的现实选择。
(二)单一目标的设置
我国的内部控制审计的目标不是多重性的,而是单一的目标,就是评估与财务报告可靠性相关的内部控制的有效性。如果内部控制审计的目标也设成多重性的,加入非财务报告的内容,不但不会取得好的效果,还会增加审计责任和审计成本。
(三)财务报表审计和内部控制审计的联系
要加强财务信息可靠性和财务报告内部控制的有效性之间的关系。财务报告的可靠性要依赖内部控制的有效性,整合财务报表审计和内控制审计,对于提高审计效率,保证审计质量是有利的。但是内部控制只是为了减少错误发生的概率,它是一种可能性,不是现实性,也就是说它只能降低概率,而不能消除概率。另外,要明确虽然财务报表审计和内部控制审计的目的相同,但是目标是不同的,不要将两者混为一谈。
(四)制度的合理转化
内在制度是群体内随经验而演变的规则。外在制度是指政治行动强加给社会的规则。我国的内部控制审计制度正在由内在制度转化为外在制度。另外,需要注意的是政府并不拥有外在制度,外在制度只是依赖于政治决策程序和政府。
(五)内部控制审计业务的评价标准
内部控制鉴定业务是一种除审阅业务和历史财务信息审计之外的业务。财务报告主要是对非财务数据的鉴定,因为其具有的特殊性,导致评价比较困难,而且世界上的内部控制标准五花八门,并不具备统一性和相似性。我国先后颁布的关于内部控制审计的标准,还有很多地方需要完善。
四、结语
内部控制审计是保障内部控制有效实行的手段和方法。要加强企业的内部控制审计,保证财务报告相关信息的有效性。通过对内部控制审计的概念、理论分析、现实意义的阐述,了解内部控制审计的重要性和合理性,以求在之后的企业管理中更加强化审计职能,保障企业的健康快速发展。
参考文献
[1]周鹏.浅议企业内部控制审计目标最优化的实现路径[J].经营者,2015,(7):246-246.
[2]王翠琳,周晶晶.IT环境下企业内部控制内审外包的SWOT分析[J].工业技术经济,2011,30(4):120-123,144.
[3]张欣.内部控制审计目标与范围的矛盾解析[J].当代经济,2012,(10):138-139.
【关键词】内部控制鉴证;财务报表审计;供求关系
近年来,随着我国资本市场的发展,企业规模和业务日趋复杂,相关利益各方更加关注企业经营和盈利状况,内部控制作为企业经营效率和效果的有力保证也越来越受到关注,对企业内部控制鉴证也提出了更高的要求。为了促进我国资本市场的发展,近年来,国家相关部门制定了一系列相应的法律法规来规范企业内控鉴证业务。但是,已经的指引、公告中对内控鉴证的一些概念问题仍然界定不清,主要包括:内控鉴证是合理保证业务还是有限保证业务;内控鉴证是基于责任方认定的业务还是直接报告业务。而这些争论的问题关系到内控鉴证制度能否达到预期的效率和效果。同时,内部控制审计与财务报表审计的关系也是一直受到关注的问题。2010年4月26日,财政部会同证监会,审计署,银监会和保监会共同了《企业内部控制审计指引》。该指引是在已经的指引、公告的基础上,对尚处于模糊,理论界和实务界仍存在争议的一些问题进行了重新界定,对注册会计师在实务操作中提出了更加详细、严格的要求。《企业内部控制审计指引》的实施对于推动企业内部控制建设,拓展注册会计师的业务范围,以及促进资本市场的健康发展都具有十分重要的现实意义。
一、内部控制鉴证问题的定位分析
1.内部控制鉴证业务应为合理保证业务。内部控制鉴证应该确定为何种保证程度的业务一直存在着两种争议。一些学者认为我国现阶段应将内控鉴证确定为有限保证业务,即内部控制审核。他们认为,和西方成熟的资本市场,完善的内部控制制度相比,我国资本市场还只是处于发展阶段,对内控的鉴证程序、方法等还不成熟,难以收集到合适的证据。因此,只能提供有限保证。同时,如果将内控鉴证定位为合理保证业务,需要注册会计师收集更多的证据,实施更复杂的审计程序。这样不仅导致成本增加,而且也可能超过注册会计师的能力范围。有些学者认为应将内控鉴证定位为合理保证业务。他们指出,从内控鉴证的需求方预期使用者考虑,他们需要注册会计师对内控鉴证提供一个较高质量的保证,因此,内控鉴证应定位为合理保证业务。同时,准则规定,财务报表审计是提供合理保证,内部控制作为财务报表审计中的必要审计程序,如果将其定位为有限保证,可能会对财务报表审计的合法性和公允性产生不利影响。除此之外,美国、日本等国家已经将内控鉴证定位为合理保证业务。这些国家的内控发展比我国成熟,其内控鉴证由有限保证发展为合理保证,是理论和实践检验的结果。我国也应该顺应这种发展趋势。从内控鉴证报告的供求双方考虑,应将其确定为合理保证业务。对需求方预期使用者而言,由于内部控制设计和运行的有效性直接关系到企业经营的效率和效果。投资者为了避免经济损失,需要注册会计师为企业内部控制的有效性进行鉴证,并提供合理保证。对供给方而言,注册会计师进行财务报表审计时,已经收集了大量的审计证据,他们已经具备为内部控制提供更高水平保证的能力。同时,由于内部控制审计和财务报表审计两者之间在最终目标,业务类型上也有相同性,内控审计可以利用财务报表审计的成果。这样注册会计师在提供高水平保证的同时也可以节约审计资源,降低成本。因此,将内控鉴证确定为合理保证业务有利于预期使用者、注册会计师各方。目前,我国的《企业内部控制审计指引》第四条规定,“注册会计师执行内部控制审计工作,应当获取充分、适当的证据,为发表内部控制审计意见提供合理保证”也支持了笔者的观点:应将内控鉴证确定为合理保证业务。
2.内部控制鉴证应为直接报告业务。按照提出结论的对象不同,内控鉴证业务有两种不同的选择:基于责任方认定的业务和直接报告业务。在基于责任方认定的业务中,注册会计师对管理层内部控制评价报告进行审计,其责任在于确定管理层内控评价报告的恰当性,关注的重点是内控评价报告是否符合要求。而在直接报告业务中,注册会计师直接对企业内部控制进行审计并对内部控制的有效性发表意见,其责任在于确定内部控制是否有效,关注的重点是内部控制设计与运行的有效性。一些学者认为应将内控鉴证定位为基于责任方认定的业务,他们指出,内部控制最初目标就是为了加强预期使用者对基于责任方内控认定的信任程度,从而要求注册会计师对其责任方认定发表意见,本质上,这就是基于责任方认定的业务。同时,如果将内控鉴证定位为直接报告业务,将不利于管理层了解和管理、规范企业的内部控制,预期使用者也无法了解管理层对内控的态度。有些学者认为应将内控鉴证定位为直接报告业务。其理由是,在直接报告业务中,注册会计师不仅仅局限于了解管理层对内部控制评价报告中的内容,而且能够了解企业内部控制中的其他问题。而这些问题有时是影响内部控制设计和运行有效性的关键因素。将内部控制鉴证定位为直接报告业务更为合适。内部控制鉴证的根本目的在于促使被审计单位设计和运行良好的内部控制。在直接报告业务中,审计意见的类型直接取决于内部控制的有效性。这与目的正好相符。而在基于责任方认定的业务中,注册会计师是对基于管理层的内控评价报告进行审计并提出意见,如果被审计单位的内部控制存在缺陷而管理层在内控评价报告中已经作出披露,注册会计师仍可以出具无保留意见的审计报告。只有当被审计单位内部控制存在缺陷而管理层未发现或未作出适当披露,注册会计师才能出具其他意见的审计报告。因此,这将可能误导预期使用者对企业内部控制有效性的理解。《企业内部控制审计指引》第二条规定,“本指引所称内部控制审计,是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计。”此规定正好说明了是对内部控制设计与运行的有效性发表审计意见,即直接报告业务。
二、内部控制审计与财务报表审计的关系
从近年来的一系列关于内控鉴证业务的规定中可以看出,对内控鉴证业务的规定越来越趋向于财务报表审计的规定。这说明对内控鉴证业务要求越来越高。虽然两者审计对象不同,各自发表独立的审计意见。但是,通过对财务报表审计与内部控制审计的比较可以看出,两者审计的最终目的相同,都是为外部信息使用者提供高质量的审计信息。同时,审计程序也有相同之处。因此,两者可以相互利用其工作成果。这就意味着,内部控制审计和财务报表审计可以进行整合。在保证审计质量,提高审计效率的同时,节约审计资源和降低成本。基于以上理由,《内部控制审计指引》第五条规定,“注册会计师可以单独进行内部控制审计,也可以将内部控制审计与财务报表审计整合进行。”
随着我国资本市场的发展,内部控制在企业发展中将起到越来越重要的作用。因此,企业利益各方对内部控制的要求越来越高。五部委联合的《企业内部控制审计指引》中对一些争议概念的清晰界定,将有助于注册会计师更加规范、高质量地完成内部控制鉴证业务。同时,该指引的对于推动我国内部控制建设,发展注册会计师业务的理论创新具有十分重要的现实意义。
参考文献
[1]财政部等五部委.企业内部控制规范[J].北京:中国财政经济出版社,2010
[2]中国注册会计师协会.审计[J].北京:经济科学出版社,2011
[3]刘明辉.内部控制鉴证:争论与选择[J].会计研究.2010(9)
[4]孙文刚.内部控制鉴证的对象与内容兼评《企业内部控制指引(征求意见稿)》[J].会计之友.2009(9)
论文关键词:上市公司;内部控制;审计
1 引言
安然、世通等一系列公司财务舞弊事件使各国政府监管机构、企业界、学术界以及广大投资者对内部控制的重视程度进一步提升,政府监管机构也将监管的重点从单纯注重财务报告本身的可靠性转向同时注重保证财务报告可靠性机制建设,要求企业披露内部控制相关信息,并要求聘请注册会计师对内部控制有效性进行审计。美国的《萨班斯——奥克斯利法案》和日本的《金融商品交易法》都要求注册会计师对企业财务报告内部控制进行审计。
2010年4月26日,财政部会同证监会、审计署、国资委、银监会、保监会等部门在北京召开联合会,隆重了《企业内部控制配套指引》(以下简称配套指引)。该配套指引连同2008年5月的《企业内部控制基本规范》,共同构建了中国企业内部控制规范体系,自2011年1月1日起首先在境内外同时上市的公司施行,自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行;在此基础上,择机在中小板和创业板上市公司施行。同时,鼓励非上市大中型企业提前执行。执行企业内部控制规范体系的企业,必须对本企业内部控制的有效性进行自我评价,披露年度自我评价报告,同时聘请会计师事务所对其财务报告内部控制的有效性进行审计,出具审计报告。政府监管部门将对相关企业执行内部控制规范体系的情况进行监督检查。这是全面提升上市公司和非上市大中型企业经营管理水平的重要举措,也是我国应对国际金融危机的重要制度安排。
2 上市公司内部控制审计概述
2.1 内部控制审计的基本概念及范围
内部控制审计是指会计师事务所接受业务委托,对上市公司特定基准日内部控制设计与运行有效性进行审计。注册会计师基于基准日内部控制的有效性发表意见,而不是对财务报表涵盖的整个期间发表意见。
目前,实行内部控制审计的国家均将审计范围限定在财务报告内部控制。我国《企业内部控制审计指引》规定,注册会计师应当对财务报告内部控制的有效性发表审计意见,并对财务报告内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计中增加“非财务报告内部控制重大缺陷描述段”予以披露。财务报告内部控制是指为了合理保证财务报告及相关信息真实完整而设计和运行的内部控制,以及用于保护资产安全的内部控制中与财务报告可靠性目标相关的控制。
2.2 财务报告内部控制审计与财务报表审计的关系
财务报表审计要求注册会计师在实施进一步审计程序之前,了解企业内部控制,实施风险评估程序。注册会计师会根据在风险评估阶段评估的重大错报风险程度决定实施进一步的审计程序类型。如果被审单位的内部控制本身的设计是合理的,且得到执行,则注册会计师就要测试内部控制运行的有效性,并据此决定实质性程序的性质、时间和范围,否则注册会计师会直接实施实质性程序。由此可知,对内部控制的了解和评价是财务报表审计的一个必要阶段。然而,在财务报告内部控制审计中,也要求注册会计师对企业控制设计和运行的有效性进行测试。可见,内部控制审计中获取的证据可以用于财务报表审计,同样财务报表审计中发现的问题可以为内部控制审计提供审计证据的线索,同一审计证据可以在两种审计中加以利用。
3 上司公司内部控制审计基本思路
3.1 计划审计工作
注册会计师应当恰当的计划内部控制审计工作,制定总体审计策略和具体审计计划。在计划整合审计工作时,注册会计师需要评价相关事项对财务报表和内部控制是否有重要影响,以及有重要影响的事项如何影响审计工作。在计划审计工作的同时,注册会计师应当使用与财务报表审计相同的重要性水平。
3.2 识别企业层面控制
注册会计师应当测试对评价内部控制有效性有重要影响的企业层面控制。注册会计师对企业层面控制的评价,可能增加或减少本应对其他控制所进行的测试。企业层面的控制包括:与控制环境相关的控制;针对管理层凌驾于控制之上的风险而设计的控制;企业的风险评估过程;集中化的处理和控制;监控经营成果的控制;监督其他控制的控制;对期末财务报告流程的控制;针对重大经营控制及风险管理实务的政策。
3.3 识别重要账户、列报及相关认定
注册会计师应当识别重要账户、列报及相关认定。如果某账户或列报具有合理可能包含了一个错报,该错报单独或连同其他错报将对财务报表产生重大影响,则该账户或列报为重要账户或列报。判断某账户是否重要,应当依据其固有风险,而不是考虑相关控制的影响。
3.4 了解错报的可能来源
注册会计师通常应用穿行测试来了解潜在错报的可能来源以选择拟测试的控制。在执行穿行测试的,注册会计师使用的文件和信息技术应当与企业员工使用的相同。同时,注册会计师还需要综合运用询问、观察、检查相关文件及重新执行控制等程序。
3.5 选择拟测试的控制,并测试内部控制设计和运行的有效性
注册会计师应当评价控制是否足以应对评估的每个相关认定的错报风险,并选择其中对形成评价结论具有重要影响的控制进行测试。如果控制由拥有有效执行控制所需的授权和专业胜任能力的人员按规定执行,能够实现控制目标,从而有效地防止或发现可能导致财务报表发生重大错报的错误或舞弊,则表明控制的设计是有效的。注册会计师应当测试控制运行的有效性。如果控制正在按照设计运行、执行人员拥有有效执行控制所需的授权和专业胜任能力,则表明控制的运行是有效的。
3.6 评价控制缺陷
注册会计师需要评价其注意到的各项控制缺陷的严重程度,以确定这些缺陷单独或组合起来,是否构成重大缺陷。但是,在计划和实施审计工作时,不要求注册会计师寻找单独或组合起来不构成重大缺陷的控制缺陷。同时,在确定一项或多项内部控制缺陷的组合是否构成重大缺陷时,注册会计师应当评价补偿性控制的影响。
3.7 完成审计工作,出具审计报告
注册会计师在出具审计报告前,应当取得经企业签署的书面证明。同时,还应当与企业沟通审计过程中识别的所有控制缺陷。在形成审计意见时,注册会计师需要评价从各种来源获取的证据,包括对控制的测试结果、财务报表审计中发现的错报以及已识别的所有控制缺陷。在评价审计证据时,注册会计师需要查阅本年度与内部控制相关的内部审计报告或类似报告,并评价这些报告中提到的控制缺陷。此外,只有在审计范围没有受到限制时,注册会计师才能对内部控制的有效性形成意见。如果审计范围受到限制,注册会计师需要解除业务约定或出具无法表示意见的内部控制审计报告。注册会计师需要在审计报告中清楚地表达对内部控制有效性的意见,并对出具的审计报告负责。
一、国际审计风险准则的最新发展
按照IAASB工作计划,三个新国际审计风险准则生效后,原IAS310“了解被审计单位情况”(Knowledgeofthebusiness)、ISA400“风险评估与内部控制”(Riskassessmentsandinternalcontrols)、ISA401“计算机信息系统环境下的审计”(Auditinginacomputerinformationsystemsenvironment)和ISA500“审计证据”一并作废。与以前准则相比,新国际审计风险准则主要有以下八个方面的重大发展和实质性变化。
(一)引入“重大错报风险”概念,重建审计风险模型
原国际审计风险准则认为,审计风险包括固有风险、控制风险和检查风险,审计风险模型为:审计风险=固有风险×控制风险×检查风险,并要求根据该模型来计划和执行财务报表审计工作,最终将审计风险降低至可接受的低水平。从理论上看,该模型不存在不妥,但实务操作面临很大的问题和困难。比如:(1)原准则要求,在编制总体审计计划时,注册会计师应当对财务报表整体的固有风险进行评估;在编制具体审计计划时,注册会计师应当考虑固有风险的评估对各重要账户或交易类别的认定所产生的影响,或者直接假定这种认定的固有风险为高水平。由于假设不存在相关内部控制的条件下去具体单独评估认定的固有风险有显知的难度,再加上直接假定认定的固有风险为高水平被公认为稳健的做法,这样极容易导致不少事务所及注册会计师不重视对固有风险的评估,使其流于形式。(2)尽管原准则明确指出,由于控制风险与固有风险相互联系,注册会计师应当对两者进行综合评估,并据以作为检查风险的评估基础。但实务中,很容易人为割裂两者的内在联系,而只依赖对内部控制风险所作的粗放型评估来直接、大致确定检查风险水平,再据此规划实质性程序的性质、时间和范围。这样做难以合理保证财务报表不存在重大错报。(3)最为重要的是,原审计风险模型将固有风险和控制风险并列,没有抓住财务报表审计工作的“牛鼻子”,也没有抓住事物的本质和核心东西。其实,这两种风险,就是客户风险(clientrisk),即客户财务报表审计前存在重大错报的可能性,均为被审计单位所造成和掌控,注册会计师只能评估而不能改变。从注册会计师角度看,只抓住固有风险和控制风险作为审计工作的起点和导向,而不直接明确地以评估重大错报风险为起点和导向,有舍本求末,隔靴搔痒,只见树木不见森林之感。
新国际审计风险准则正式引进“重大错报风险”概念(重大错报风险是指财务报表在审计前存在重大错报的可能性),将审计风险模型重构为:审计风险=重大错报风险×检查风险。这不是简单地将固有和控制风险并称为重大错报风险,而是重大的实质性改进。不仅明确规定了审计工作以评估财务报表重大错报风险作为新的正确起点和导向,抓住了审计工作的“牛鼻子”,而且与现行审计目标责任定位紧紧相扣,有利于履行审计责任,实现审计目标。众所周知,按国际审计准则要求设计审计工作就是为了合理保证财务报表整体不存在重大错报。新风险模型的构建更直接有助于导引注册会计师,时刻紧紧围绕评估的重大错报风险来设计和执行审计程序,以最终实现合理保证财务报表整体不存在重大错报。
(二)改进审计业务流程,增强实施审计程序的效果
原准则依据审计风险三要素模型,把审计业务流程和程序分为四大块:(1)了解被审计单位情况(为评估固有风险);(2)了解内部控制;(3)(必要时)控制测试(均为评估控制风险);(4)实质性测试(为降低检查风险)。第(1)块由原IAS310“了解被审计单位情况”来规范,第(2)、(3)、(4)块则由原ISA400“风险评估与内部控制”来规范。
新国际审计风险准则依据审计风险二要素模型,把审计业务流程和程序分为三大块:(1)了解被审计单位及其环境,包括内部控制(目的是为评估财务报表总体层次和认定层次的重大错报风险)。本块审计程序称为“风险评估程序”(riskassessmentprocedures),(2)(必要时)控制测试(目的是为了测试内部控制在防止、发现和纠正认定层次重大错报方面的有效性,并据此一并评估重大错报风险),(3)实质性测试(目的是为了检查认定层次的重大错报风险)。新准则把第(2)、(3)块程序统称为“进一步审计程序”(furtherauditprocedures),并指出风险评估程序不足以为发表审计意见提供充分适当的审计证据,注册会计师还应当设计和实施进一步审计程序,包括控制测试和实质性程序。还指出应当以对认定层次的重大错报风险的相关评估结果(包括实施风险评估程序的结果和必要时执行控制测试的结果)为基础,并考虑既定的审计风险水平,来确定可接受的检查风险水平,再据此计划和实施实质性程序。在既定的审计风险水平下,可接受检查风险水平与认定层次重大错报风险的评估结果成反向关系。评估的重大错报风险越高,可接受检查风险越低;评估的重大错报风险越低,可接受检查风险越高。检查风险取决于实质性程序设计和执行的有效性。注册会计师应当合理设计实质性程序的性质、时间和范围并有效执行,将检查风险降至可接受的水平。第(1)块由ISA315“了解被审计单位及其环境并评估重大错报风险”来规范,第(2)、(3)两大块则由ISA330“针对评估的重大错报风险实施的程序”来规范。由于重建了审计风险模型和改进了审计业务流程,IAASB相应地修订了原ISA500“审计证据”。
审计业务流程作上述改进后,要求注册会计师全程关注财务报表的重大错报风险,并将风险评估作为整个审计工作的先导、前提和基础。注册会计师应首先花大力气去识别和评估重大错报风险,再据此有针对性地采取措施,合理保证财务报表不存在重大错报。评估重大错报风险的失当,必将导致整个审计工作的失败。看来,能否合理评估客户财务报表的重大错报风险,将成为评价会计师事务所及注册会计师专业胜任能力、考验审计质量及效果的关键性尺度与决定性因素。
(三)区分评估的财务报表整体层次和认定层次的重大错报风险采取不同应对措施,力保所获取审计证据的充分、适当性
【关键词】内部控制 内部控制审计 内部控制审计目标
2010年,我国《企业内部控制基本规范》及配套指引正式,这标志我国内部控制已转为过程内控、由会计控制转为全面风险管理型内控,我国企业已进入全面建设内部控制的新时期。2011年10月,中国注册会计师协会了《企业内部控制审计指引实施意见》,为注册会计师更有效地执行企业内部控制审计业务提供了全面的技术指引。这是提升我国上市公司财务报告信息披露质量和内部控制水平的重要举措,也标志着我国对上市公司内部控制制度的逐渐重视。从世界范围看,美国内部控制审计的发展历史最为悠久、最具有代表性,最值得我们借鉴。故本文在对美国、中国的上市公司内部控制审计进行梳理基础上,从内部控制审计发展历程、目标、构成要素等几方面对两国上市公司内部控制审计进行比较研究,以期更好地在符合中国国情的基础上,对我国建设和完善内部控制相关规范具有重要意义。
一、内部控制审计发展历程比较
(一)美国上市公司内部控制审计的发展历程
2002年,美国国会颁布了《萨班斯-奥克利法案》,首次提出对“财务报告内部控制”的有效性进行审计的要求。该法案的显著特征就是强制要求所有在美国上市的公司,除了定期的向公众提供财务报告以及相关的公司资料外,同时还要提供企业的内部控制报告,企业的经营者还要对其财务报告信息的真伪及其内部控制运行是否有效进行评价,注册会计师要分别对经营者评价后所报告的财务报告和内部控制制度进行审计,并发表审计意见。
随后,美国公众公司会计监督委员会(PCAOB)审计准则,对会计师事务所执行上市公司财务报告内部控制审计工作进行了规范。在当今美国,内部控制审计成为与财务报表审计并行的一种新审计业务,其发展大体经历三个阶段:在财务报表审计中的内部控制评价测试阶段;内部控制审核及报告阶段;财务报告内部控制审计的产生与发展阶段。需要特别说明的是,这三个阶段的划分是为理清美国内部控制审计的基本发展脉络,并不意味着到了内部控制审计阶段,再执行财务报表审计就不用进行内部控制评价了。
(二)我国上市公司内部控制审计的发展历程
2002年2月,中国注册会计师协会《内部控制审核指导意见》,对注册会计师就被审计单位管理当局与会计报表相关的内部控制有效性的认定进行审核,进而发表审核意见制定规范,正式确立了我国的内部控制审计制度。2003年4月中国内部审计协会颁布了《内部审计具体准则――内部控制审计》,它是为了规范内部审计人员审查与评价被审计单位的内部控制,根据《内部审计基本准则》而制定的。基于COSO框架的评价方法,从被审计单位的控制环境、风险评估过程、信息系统和沟通、控制活动、监督五个方面评价内部控制系统。
2005年10月,证监会《关于提高上市公司质量意见》的通知,要求上市公司对内部控制制度的完整性、合理性及实施的有效性进行定期检查和评估,同时要通过外部审计对公司的内部控制制度及公司的自我评估报告进行核实评价。2008年6月和2010年4月,我国财政部会同证监会、审计署、银监会和保监会等五部门分别了《企业内部控制基本规范》和《企业内部控制审计指引》等企业内部控制制度,确立了我国企业内部控制审计制度,要求执行内部控制规范体系的企业,必须聘请会计师事务所对其财务报告内部控制有效性进行审计。其中《企业内部控制审计指引》自2011年1月1日起在境内外同时上市的公司施行,自2012年1月1日起在上交所、深交所主板上市公司施行。2011年12月30日,深圳证券交易所在《关于做好上市公司2011年年度报告披露工作的通知》中第十六条规定:“2011年1月1日起先行执行《企业内部控制基本规范》(财会〔2008〕7号)(以下简称‘《规范》’)的A+H公司和内控试点企业(见附件1),应按《规范》的要求披露内部控制自我评价报告和会计师事务所出具的内部控制审计报告。”
由此可见,美国的内部控制制度起步较早,发展已趋于成熟,拥有了一套相对独立,相对完善的准则指导体系。与之相比较,我国的内部控制审计起步晚,内部控制审计业务在我国仍然处于探索起步阶段,制度体系建设较为松散,仍然需要一个逐步适应、不断完善的过程。比如,美国PCAOB颁布的AS5指出的审计对象为管理层对财务报告内部控制的评估报告,而我国颁布的《内部控制鉴证指引》则是以企业内部控制为审计对象。
二、内部控制审计定义比较
(一)美国内部控制审计的定义
2002年6月,美国证券监管委员会(SEC)根据《萨班斯-奥克斯利法案》404条款的规定,要求上市公司的年度财务报告应包括一份对公司财务报告内部控制的评估以及一份由审计人员对此评估出具的审核报告。2004年美国PCAOB后续出台了AS2审计准则,这时内部控制审计的定义变为:公众公司的审计人员需要在财务报表审计的同时进行财务报告内部控制审计。具体来看,美国的内部控制审计定义在这两年中:对内部控制的保证程度从审核到审计在两年之间提高一个档次;评价内容由对评估报告转变为内部控制有效性。
(二)我国内部控制审计的定义
我国《企业内部控制审计指引》指出,内部控制审计,是指会计师事务所接受被审计单位委托,对被审计单位在特定基准日的内部控制设计与运行的有效性进行评价并出具审计意见。首先需要指出的是指引提出的内部控制审计的涵义定基准日的概念。这里所指的内部控制审计只是注册会计师基于特定基准日,对被审计单位的内部控制有效性发表审计意见,而不是对财务报表涵盖期间内的内部控制有效性发表审计意见。但由于内部控制的有效性并不是时点性的,而是时段性的概念,因此注册会计师不是只需要对该基准日的内部控制发表意见,而是要考察以该基准日为时点的一段时期内被审一计单位内部控制设计以及运行的情况。其次,《指引》中还指出,被审计单位的董事会应当建立健全并实施有效的内部控制,并对内部控制有效性进行评价,这是企业的内控责任。注册会计师的责任是对被审计单位的内部控制实施审计程序,并对其有效性发表审计意见。也就是说,是否建立并执行有效的内部控制是被审计单位的责任,而注册会计师的责任是对被审计单位内部控制建立与执行的有效性进行审计并发表审计意见。因此,审计对象是内部控制设计与运行的有效性,即设计有效且运行有效。
三、内部控制审计目标比较
众所周知,国际上通常认为内部控制应实现三大目标即合理保证:一是财务报告(含相关信息)的可靠性;二是经营的效率和效果;三是对法律法规的遵守。
(一)美国上市公司内部控制审计目标
2004年美国PCAOB颁布的AS2指出,审计目标是审计人员对管理当局对财务报告内部控制(Internal Control over Financial Reporting,以下简称ICFR)的有效性评估报告发表意见,指出审计人员要合理保证被审计单位的ICFR,在所有重大方面符合COSO报告或类似标准。由于PCAOB审计准则要求实行“整合审计”,通过整合审计,可以同时实现两种审计目标,审计人员既可以通过财务报表审计的发现来检查内部控制是否有效,也可通过ICFR审计得到的发现和结论,帮助审计人员更好地计划和实施审计程序,以确定财务报表是否公允地表达。这样,整合审计能改进两种审计的质量和公正性,有效节约成本。美国PCAOB颁布的AS5的修订中进一步明确内控审计目标,在对财务报告内控和财务报表的综合审计中,审计师应该设计他的控制测试,以同时完成两项审计的目标:一是获取足够的证据,以支持审计师对截至年末财务报告内控的意见;二是获取足够的证据,以支持审计师为审计财务报表开展的控制风险评估。
(二)我国上市公司内部控制审计目标
根据我国《内部控制审计指引》中的定义,内部控制审计的目标是就特定基准日内控的有效性获取合理保证。在整合审计中,注册会计师要同时实现两个目的:获取充分、适当的证据,支持在内部控制审计中对内部控制有效性发表的意见;获取充分、适当的证据,支持在财务报表审计中对控制风险的评估结果。
由此可见,美国强制必须实行整合审计,也必须同时实现两个目标,而中国可以在整合审计时同时实现两个目标;在分开审计时各自的目标也非常明确。
审计准则的国际趋同,不仅仅是国际会计师联合会对会员组织的要求,也是其他国际组织的要求。围绕着审计准则的国际趋同,我国进行了一系列艰苦而卓有成效的探索,取得了很大的成果,实现准则国际趋同,在我国职业界已经达成广泛的共识。
参考文献
[1]李金栋,王建中.中美内部控制审计比较研究[J].财会研究,2010(21):65-67.
一、关键审计事项与审计报告“关键审计事项部分”的区别
关键审计事项是指注册会计师根据职业判断认为对本期财务报表审计最为重要的事项。审计报告“关键审计事项部分”是指注册会计师在审计报告中单设一部分,以“关键审计事项”为标题,并在该部分使用恰当的子标题逐项描述关键审计事项。明确关键审计事项与审计报告“关键审计事项部分”的区别是正确认识关键审计事项和审计报告模式改革真正落地的前提。
(一)两者是内容与形式的关系
关键审计事项主要涉及“如何确定关键审计事项”的问题,是注册会计师判断认定的实质性审计事项。关键审计事项确定后还需要解决如何在审计报告中沟通的问题,如果注册会计师决定在审计报告“关键审计事项部分”描述,则审计报告“关键审计事项部分”是书面描述的关键审计事项,是关键审计事项这一内容的表现形式。
(二)两者是整体与部分的关系
在审计报告中沟通关键审计事项与审计报告“关键审计事项部分”描述的不是同一概念。关键审计事项应当在审计报告中沟通,但是并非全部都在审计报告“关键审计事项部分”中描述,审计报告的其他部分也可以沟通关键审计事项。导致非无保留意见的关键审计事项应该在形成保留(否定)意见的基础部分沟通;可能导致对被审计单位持续经营能力产生重大疑虑的事项或情况存在重大不确定性,应该在与持续经营相关的重大不确定性部分沟通;除了法律法规要求沟通外,注册会计师在对财务报表发表无法表示意见时,不得在审计报告“关键审计事项部分”描述,而应在形成无法表示意见的基础部分沟通关键审计事项。
(三)两者适用的业务范围不同
注册会计师执行所有审计业务都需要确定关键审计事项。在审计报告“关键审计事项部分”描述关键审计事项仅适用于对上市实体整套通用目的财务报表进行审计,以及注册会计师决定或委托方要求或法律法规要求在审计报告中沟通关键审计事项的其他情形。因此,所有财务报表审计报告都可能需要沟通关键审计事项(例如出具非无保留意见的审计报告),但是并不是所有财务报表审计报告都有“关键审计事项部分”。
(四)审计报告“关键审计事项部分”沟通的不一定是关键审计事项
审计报告“关键审计事项部分”除了描述关键审计事项外,还可以描述注册会计师根据具体事实和情况确定不存在需要沟通的关键审计事项这一事项。另外,在形成保留(否定)意见的基础部分或与持续经营相关的重大不确定性部分沟通的关键审计事项的情况下,审计报告“关键审计事项部分”仅仅提及形成保留(否定)意见的基础部分或与持续经营相关的重大不确定性部分。
(五)并不是所有关键审计事项都可以在审计报告“关键审计事项部分”描述
例如法律法规禁止公开披露某事项,注册会计师不得在审计报告“关键审计事项部分”描述。如果合理预期在审计报告中沟通某事项造成的负面后果超过在公众利益方面产生的益处,除非被审计单位已公开披露与该事项有关的信息,注册会计师不应在审计报告“关键审计事项部分”描述。
二、关键审计事项的确定与沟通
(一)常见的关键审计事项
审计准则规定的关键审计事?主要有三个方面:(1)评估的重大错报风险较高的领域或识别出的特别风险(即舞弊导致的重大错报风险)。(2)与财务报表中涉及重大管理层判断的领域相关的重大审计判断,包括被认为具有高度估计不确定性的会计估计。(3)当期重大交易或事项对审计的影响。本文认为关键审计事项还有两个方面。(1)无法充分履行重要的审计程序或者履行重要审计程序受限、受阻的事项,无法取得充分、适当的重要审计证据或者对获取充分、适当的重要审计证据构成挑战的事项。例如无法实施函证、实物盘点等重要审计程序或者对重要审计程序实施效果不满意,需要实施替代程序等。(2)可能导致对持续经营能力产生重大疑虑的事项或情况。
财务报表审计实务中,常见的关键审计事项有:(1)根据审计准则的规定,注册会计师应当假定被审计单位在收入确认方面存在舞弊风险,因此收入的确认与计量一般情况下是所有审计业务中的关键审计事项,认为收入的确认与计量不属于关键审计事项需要有充分的理由并在审计工作底稿中详细说明。(2)有金融工具和复杂衍生品投资的企业,金融工具和复杂衍生品识别及公允价值计量是关键审计事项。(3)关联方关系及其交易、重大非常规交易、资产减值,政府补助,期后事项,重大或有事项、非经常性损益是一般审计业务中的关键审计事项。(4)存在经营困难的企业,持续经营能力是关键审计事项。(5)农、林、牧、渔类企业,生物资产等特殊存货的存在性、完整性是关键审计事项。(6)重要的会计政策、会计估计变更与会计差错更正如有发生,一般是关键审计事项。(7)合并财务报表审计中合并范围是关键审计事项。(8)审计中发现的重大错报,必定是关键审计事项。
(二)关键审计事项的沟通
确定了关键审计事项后,首先要确定在审计报告的哪部分内容中沟通。如前所述,沟通关键审计事项的先后顺序是:形成保留(否定)意见的基础部分(沟通导致非无保留意见的关键审计事项)――与持续经营相关的重大不确定性部分(沟通可能导致对被审计单位持续经营能力产生重大疑虑的事项或情况存在重大不确定性)――关键审计事项部分。应该在形成保留(否定)意见的基础部分沟通的关键审计事项,不得在与持续经营相关的重大不确定性部分沟通或关键审计事项部分描述;应该在与持续经营相关的重大不确定性部分沟通的关键审计事项,不得在关键审计事项部分描述。
审计准则将“与持续经营相关的重大不确定性”独立成审计报告的一部分,不再强调事项段披露可能导致对被审计单位持续经营能力产生重大疑虑的事项或情况存在重大不确定性,突出显示持续经营不确定性事项的重要性。另外,关键审计事项不能在强调事项段、其他事项段沟通。
(三)关键审计事项的描述
在审计报告“关键审计事项部分”逐项描述各事项被确定为关键审计事项的原因和各事项在审计中是如何应对的。例如在描述在审计中是如何应对“关联方关系及其交易”这一关键审计事项时,要描述注册会计师如何确认关联方交易的经济业务实质(即关联方交易是否有合理的商业理由),交易价格是否公允,重大或异常交易的对方是否为未披露的关联方,管理层利用关联方虚构销售及关联方交易的非关联化;对异常重大交易,是否作为特别风险,如何实施特别的、有针对性的审计程序加以应对;等等。又如在描述在审计中如何应对“重大非常规交易”这一关键审计事项时,要描述对于临近会计期末发生的、在交易实质的判断上存在困难的重大非常规交易,注册会计师如何增强审计程序的针对性,如何确定重大非常规交易是否具有合理的商业理由,交易对手是否真实存在,实施函证交易合同的条款和金额等进一步程序。
三、委托人或报告使用者对“在审计报告中沟通关键审计事项”的决定性影响
审计准则规定注册会计师沟通关键审计事项,目的在于提高审计工作透明度,增加审计报告的沟通价值。沟通关键审计事项给报告使用者提供信息以帮助其了解审计单位和财务报表中涉及的重大管理层判断,也给报告使用者提供信息以帮助其了解注册会计师专业胜任能力与勤勉尽责情况、了解审计工作有效性和审计质量;沟通关键审计事项也给了注册会计师一个展现高专业素质的平台;审计报告模式改革最终可以提高审计质量和注册会计师专业胜任能力进而促进行业发展。然而本文认为能否实现审计报告模式改革的目的、能否实现沟通关键审计事项的制度价值,关键在于审计业务的委托人和审计报告的使用者是否有真正的审计专业服务需求(即真正的高质量审计需求)。
(一)历史争论--作用相斥
随着人们对报表审计中内部控制重要性认识的深入,是否对内部控制进行单独评价及报告作为难题之一逐渐浮出水面,成为历史上一个长期争论的话题。而争论的焦点在于:内部控制评价报告的出具是否会降低财务报表审计意见的可靠性。
20世纪60年代末70年代初,财务领域的学术研究逐渐表明,年度财务报告仅仅是债务和权益投资的部分决策因素,而对季度会计信息、内部控制、预测等信息的需求变得越来越明显。于是,一些学者开始对注册会计师进入这些领域的可能性进行了论证,并使用问卷表来调查公众对此的态度。美国注册会计师协会1953年出版的《注册会计师手册》中指出一个新建议:在审计人员对财务报表的意见中,应包括一个对内部控制系统的意见。这个建议立刻引起了激烈的争论,许多人指出:对内部控制在审计报告中加以评价容易引起误解。到60年代,《审计程序说明书第49号--内部控制的报告》把在审计报告中是否需要说明内部控制的权利交给了管理当局。这使得如何表达对内部控制评价的意见成为一个更加突出的问题。1980年,《审计准则公告第30号--内部会计控制的报告》取代了《审计程序说明书第49号》,《审计准则公告第30号》指出:为了表示意见,注册会计师必须审查企业的内部控制结构。审查既可独立进行,也可以结合财务报表审计进行。可见,《审计准则公告第30号》采取了折中的态度,这也反映了实际中人们对内部控制评价报告与审计报告二者关系认识上的转变。
在长期争论的基础上,人们对内部控制评价报告与审计报告关系的认识于80年代末出现了明显的改变。1988年,《审计准则公告第60号--审计师对关注到的内部控制结构相关事项的传达》被颁布,该公告要求注册会计师就控制环境、会计制度和控制程序中存在的重大不足与审计委员会进行沟通。1991年,美国国会通过了联邦储蓄保险公司利用法(FDICIA),这一法律规定:所有资产大于20亿美元的金融机构管理当局必须对内部控制结构的有效性进行声明。该法同时还要求注册会计师对管理当局的报告进行验证。21993年,美国注册会计师协会颁布了《鉴证业务准则第2号--财务报告外的内部控制报告》及《鉴证业务准则第3号--符合性鉴证》,对企业提供内部控制报告及注册会计师对其进行评价并表示意见提供指导。至此,对于内部控制评价与审计报告关系的争论,以职业规范对内部控制评价及出具报告的认可而告一段落。实践的发展告诉我们,对内部控制进行单独评价及报告是因实际需要而产生的,是经济健康发展的保证,是独立审计勇于承担社会责任的正确选择。
(二)关系重新定位
虽然对于内部控制报告与审计报告关系的争论已告一段落,但留给我们思考的问题是:内部控制评价报告是否影响审计报告的意见类型?内部控制评价报告到底是提高了还是降低了审计报告的可靠性?二者的关系到底如何定位?笔者试在以上论述的基础上,就此谈一些自己的看法。
审计报告是注册会计师对于被审计企业年度会计报表发表审计意见的书面文件。这里的会计报表是企业管理当局向外部信息使用者提供关于企业财务状况、经营成果及现金流量等方面财务信息的手段。一般地,会计报表主要包括资产负债表、损益表、现金流量表等。注册会计师以第三者身份,对企业管理当局提供的会计报表进行检查,并对会计报表的合法性、公允性和一贯性作出独立鉴证,以增加会计报表的可信性。内部控制评价报告是注册会计师对被评价企业内部控制声明书发表评价意见的书面文件。内部控制声明书是企业管理当局对其内部控制的完整性、合理性及有效性所作的认定。按最新理念,企业内部控制包括控制环境、风险评估、控制活动、信息与沟通、监督五个要素。注册会计师接受委托对企业管理当局的内部控制声明书中的认定进行鉴证,并发表评价意见,以满足利害关系人对此信息的需求。
从审计报告与内部控制评价报告的比较中可以看到:审计报告仅仅是对企业年度财务信息的鉴证,范围较小,时效也较短;内部控制评价报告则是对"……为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的实现而提供合理保证的过程"的鉴证,范围广,时效也较长。正因为内部控制评价报告是对过程的鉴证,审计报告是对结果的鉴证,所以内部控制评价报告会对注册会计师的报表审计产生影响。但这种影响不是表面上的意见类型的一一对应,即不能认为内部控制评价报告是无保留意见,则审计报告也应该是无保留意见。由于内部控制评价报告是对整个企业范围内的、某个时期的全过程的鉴证,而审计报告是当年度财务信息发表意见,故财务报表所示财务信息的合法、公允及会计处理方法保持一贯并不表示整个企业的内部控制也一定是完整、合理及有效的;同理,企业内部控制在完整性、合理性或有效性上存在重大缺失也不等于企业当年财务报表一定不可信。内部控制对财务信息的影响是一种基础性的影响,是一种过程性的影响。
审计报告侧重于向信息使用者传递被审计企业当年度或短期的信息,而内部控制评价报告反映出来的信息则具有长期性的影响。内部控制评价报告是对审计报告所提供信息不足的补充,二者相辅相成,共同为增加证券市场及其他资本市场的透明度及有效性发挥着应有的作用。
参考文献:
1.[美]道格拉斯·R·卡迈克尔约翰·J·威林翰卡罗·A·沙勒著刘明辉胡英坤主译.《审计概念与方法--现行理论与实务指南》.东北财经大学出版社.1999
2.中国注册会计师协会香港会计师公会.《高级审计实务》.经济科学出版社.1998
3.超越企管出版研发组.《内部控制制度作业要点及实务--公开发行公司自我评估规范》.超越企管顾问股份有限公司新闻局局版.1999
4.文硕.《世界审计史》.企业管理出版社.1996.第二版
5.王光远等编著.《会计大典第十卷--审计学》.中国财政经济出版社.1999
6.阎金锷陈关亭.《内部控制评价应用》.中国人民大学出版社.1998
[关键词] 审计风险 审计模型 审计准则
审计风险模型是审计风险的直接体现,是审计理论与实务领域研究的重要内容之一,我国于2006年颁布了新的审计准则,2007年执行此准则。这次准则的修订是更好更快地适应了现代审计环境的变化并逐步与国际审计准则接轨,本次修订的核心是启用现代审计风险模型,以提高注册会计师发现财务报表中大错报的能力。
一、传统审计风险模型
传统审计风险模型将审计风险分为固有风险、控制风险和检查风险,审计风险模型表述为:审计风险=固有风险×控制风险×检查风险。并要根据此模型来计划和执行会计报表审计工作,以最终将审计风险控制在可接受的水平。
固有风险是指在不考虑内部控制结构的前提下,由于内部因素和客观环境的影响,企业的账户、交易类别和整体财务报表发生重大错误的可能性;控制风险,是指某一账户或交易类型单独或连同其他账户或交易类型产生错误或漏报,而未能被内部控制防止、发现或纠正的可能性;检查风险,是指某一账户或交易类型单独或连同其他账户、交易类型产生重大错报或漏报而未能被实质性测试发现的可能性。在这三个构成要素中,固有风险和控制风险产生源于被审计单位,不易改变,所以,注册会计师只能将工作重点放在实质性测试上,以便将审计风险的检查风险控制在可接受的水平内,进而将审计风险降低至可接受的范围内。在既定的审计风险下,检查风险可计算如下:检查风险=审计风险/(固有风险×控制风险)。根据上述模型,审计主体在确定可接受的审计风险时,首先要评估固有风险、控制风险,在此基础上推算可接受的检查风险。
传统审计风险模型曾一度对注册会计师的审计实务工作起到了很好的指导作用,但随着审计理论和实务的发展,逐渐显露出缺陷,主要表现在:首先,传统审计模型对审计风险及其三要素做了概念性的解释的基础上,对风险模型的评估做了指导性的描述,但是基本上处于定性分析阶段,相对客观的量化方式难以对固有风险做出准确的评估,由于忽略了对固有风险的评估,使检查风险不能很好体现,这对审计风险评估工作造成了偏差。
其次,传统审计风险模型要求在评估固有风险时应当从报表层次和认定层次两个方面加以考虑,但在评估控制风险时却并不涉及报表层次,只要求注册会计师对主要账户或交易类别的相关认定所涉及的控制风险进行评估。因此,控制风险的评估无法和会计报表层次的固有风险评估相匹配,不利于注册会计师对风险的整体把握和控制。
二、现代审计风险模型
新审计准则引入了“重大错报风险”概念,在新审计准则第1101号《财务报表审计的目标和一般原则》第十八条中明确规定:“审计风险取决于重大错报风险和检查风险。注册会计师应当实施审计程序,评估重大错报风险,并根据评估结果设计和实施进一步审计程序,以控制检查风险…”至此审计风险模型重构为:审计风险=重大错报风险×检查风险,并规定评估重大错报风险是首要的必要审计程序。
现代审计风险模型并不实简单地将固有风险和控制风险并称为重大错报风险。在谢荣,吴建友(会计研究2004)中提出,现代风险导向审计是一种新的审计基本方法,它是审计技术方法在系统理论和战略管理理论基础上的重大创新。它从企业的战略分析入手,通过“战略分析――经营环节分析――会计报表剩余风险分析”的基本思路,将会计报表错报风险与企业战略风险之间的关系紧密联系起来,从而提出了审计师从源头分析和发现会计报表错报的观念。可见,现代审计风险模型的提出是重大的实质性改进,其进步主要表现在:
首先,为注册会计师从整体上把握和控制审计风险提供了基础。在新审计准则《财务报表审计的目标和一般原则》第二十条中明确规定:注册会计师应当评估财务报表层次重大错报风险,并根据评估结果确定总体应对措施,注册会计师应当评估认定层次的重大错报风险,并根据既定的审计风险水平和评估的认定层次重大错报风险确定可接受的检查风险水平。充分体现了审计过程中整体和局部的关系,使得注册会计师对风险的识别和控制有了更清晰的对象和内容,便于指导实务操作。
其次,强调了了解被审计单位及其环境的重要性。在新审计准则《了解被审计单位及其环境并评估重大错报风险》中专门强调注册会计师必须从宏观上了解被审计单位及其环境,以充分识别和评估会计报表重大错报的风险,针对评估的重大错报风险设计和实施控制测试和实质性测试,并强调无论内部控制是否有效,都要对各类交易、重要账户余额和重要披露进行详细审计,有利于注册会计师提高审计质量,降低审计风险。
最后,强调注册会计师要保持职业怀疑态度。在现代审计风险模型下,评估财务报表的重大错报风险将成为整个审计工作的先导、前提和基础,新准则要求注册会计师充分考虑可能存在导致财务报表发生重大错报的情形,因此,注册会计师的职业怀疑态度就显得更加重要。
综上所述,现代风险导向审计以被审计单位的经营风险分析为导向进行审计,是评估审计风险范围的延伸,是传统风险导向审计的继承和发展。风险导向审计模式是现代审计发展的更为完善,并且使审计过程和结果更具操作性和可靠性,这都标志着我国审计准则与国际准则的趋同。
参考文献:
[1]刘爱琴:中国新旧审计准则体系的审计模式基础分析.会计之友(上),2006年12期
[2]谢荣吴建友:现代风险导向审计理论研究与实务发展会计研究,2004年04期
[3]韩晓梅:社会责任观视角下审计风险的演变.中国注册会计师,2006年11期
[4]喻小明:审计风险的成因及防范控制对策.江西审计与财务,2002年06期
