- 相關推薦
傳統風險導向審計和現代風險導向審計風險評估策略比較研究
【摘要】傳統風險導向審計和風險導向審計是風險導向審計模式的兩個不同階段。傳統 風險導向審計和現代風險導向審計兩種審計模式在風險評估策略上存在一定的相同之處,但同時更多地體現出了差異。本文從風險評估導向、風險評估范圍、風險評估程序、以及風險評估具體四個方面對兩種審計模式的風險評估策略進行了比較。【關鍵詞】 傳統風險導向審計 現代風險導向審計 風險評估策略 審計風險
Comparing on the Tactics of Risk Assessment of Traditional Risk-based Audit and Modern Risk-based Audit
Abstract: Traditional Risk-based Audit and Modern Risk-based Audit are the two phases that Risk-based Audit has evolved. tactics of risk assessment of Traditional Risk-based Audit and Modern Risk-based Audit differ from each other while they still have some similarities. This *** does the Comparion on the Tactics of Risk Assessment from the following four aspects: orientation of risk assessment, extent of risk assessment, procedures of risk assessment and methods of risk assessment.
Keywords: Traditional Risk-based Audit Modern Risk-based Audit
Tactics of Risk Assessment Audit risk
一、引言
傳統風險導向審計和現代風險導向審計是風險導向審計模式發展的兩個不同階段。傳統風險導向審計和現代風險導向審計均以風險評估為出發點,同時都將風險與控制方法貫串運用于審計全過程,使審計過程成為一個不斷克服和降低審計風險的過程。因此傳統風險導向審計和現代風險導向審計兩種審計模式在風險評估策略上存在一定的相同之處,但同時更多地體現出了差異。鑒于兩種審計模式的風險評估策略較易被混淆,本文擬對兩種審計模式的風險評估策略作一比較,對兩者差異加以初步探討。 二、傳統風險導向審計和現代風險導向審計涵義
(一)傳統風險導向審計 傳統風險導向審計也稱為控制風險導向審計[1]。審計模式 發展到傳統風險導向審計的標志性事件是AICPA在1983年發布了第47號《審計準則公告》(SAS No.47)——“審計業務中的審計風險和重要性”,首次提出了審計風險模型。傳統風險導向審計是指審計職員在審計過程中將風險分析、評價與控制融進傳統審計方法(賬項導向審計和制度導向審計)之中,進而獲取審計證據,形成審計結論的一種審計取證模式。傳統風險導向審計的基本程序并沒有脫離制度導向審計模式,但它在制度導向審計模式的基礎上更加注重風險評估和風險治理。針對制度導向審計不直接處理審計風險,不能對審計風險進行量化的缺點,傳統風險導向審計引進審計風險模型,通過該模型將從各種渠道所收集的證據聯系了起來,并在此基礎上對審計風險進行定量評估,將審計資源相對公道的分配到高風險領域。 (二)現代風險導向審計
現代風險導向審計也稱為經營(貿易)風險導向審計、風險基礎戰略系統審計。1997 年,Bell 和 Frank 發表了名為《通過戰略系統的視角對組織進行審計》的研究報告,首次提出了畢馬威的BMP 審計模式,這標志著現代風險導向審計的產生,F代風險導向審計是審計技術方法在系統和戰略治理理論基礎上的重大創新,它以被審計單位的戰略經營風險為導向,通過“戰略分析——流程分析——經營業績評價——財務報表剩余風險分析”的基本思路,將報表重大錯報風險和經營風險聯系了起來,從而提出了審計師從源頭分析和發現會計報表錯報的觀念[2]。現代風險導向審計針對傳統風險導向審
計風險評估不到位,未能有效發現高風險審計領域,造成審計過量或審計不足的缺點,大大加強了風險評估程序,做到了以風險評估中心,真正體現了風險導向審計的理念。
2003年10月國際審計和保證準則委員會(IAASB)發布了國際審計準則第315號( ISA 315) “了解被審計單位及其環境并評估重大錯報風險”,將傳統風險導向審計下的審計風險模型修改為:審計風險=重大錯報風險×檢查風險,明確規定了審計工作以評估財務報表重大錯報風險作為新的出發點和導向。這就導致了實務中普遍運用的現代風險導向審計在審計風險模型和審計具體風險導向等上和準則規定產生了一定的差異。鑒于這一點,特別指出本文所稱的現代風險導向審計是指國際會計師事務所在實務中運用的以戰略經營風險為導向的現代風險導向審計。 二、傳統風險導向審計和現代風險導向審計風險評估策略比較
風險評估是指對審計風險的評估。美國注冊會計師協會(AICPA)以為審計風險是指審計職員對于存在重大錯報的財務報表未能適當發表意見的風險[3]。風險評估的目標就是確定
高風險環節,從而確定審計的范圍和重點,并進一步確定如何收集、收集多少和收集何種性質的證據,以便更有效地控制和進步審計效果及審計效率。策略,是根據形勢發展而制定的行動方針和方法。鑒戒中注協(1997)對審計謀略的定義,筆者將風險評估策略定義為審計職員根據確定的風險評估范圍,選擇能夠達到風險評估目標而應當實施的最有效風險評估程序的基本思路、組織方式和具體方法。在本文中,筆者從風險評估導向、風險評估范圍、風險評估程序、以及風險評估具體方法四個方面來比較兩種審計模式的風險評估策略。
(一)風險評估導向
固然國際審計準則規定,在傳統風險導向審計下審計職員首先應當對財務報表整體層次和交易種別、賬戶余額認定層次的固有風險進行評估,但由于固有風險和控制風險都受內外部環境的,兩者很難區分,因此審計職員通常難以對固有風險單獨做出正確評估。又鑒于穩健性原則的考慮,實務中審計職員往往將固有風險簡單地確定為高水平,從而將風險評估重點鎖定在控制風險上。因此在實務中,傳統風險導向審計實際上是以對控制風險進行的評估為切進點的,所以傳統風險導向審計是以控制風險為導向的。
現代風險導向審計夸大:審計職員的審計風險[i]主要來源于企業財務報表的錯報風險,而企業財務報表的錯報風險則主要來源于整個企業的戰略治理風險和經營活動風險[4]。所以要充
分理解審計風險,審計職員就必須從企業的戰略分析進手,充分識別企業內、外部風險并理解內外部風險對財務報表認定的影響。因此,現代風險導向審計并不直接從對固有風險的評估進手,而是間接地以被審計單位的戰略經營風險為導向,通過綜合評估戰略經營風險從而確定財務報表剩余風險,并進一步確定實質性測試的范圍、時間和程序。因此,現代風險導向審計是以戰略經營風險為導向的。 (二)風險評估范圍
在實務中運用傳統風險導向審計時,審計職員往往忽略對固有風險的正確評估,而將固有風險簡單地確定為高水平。因此在傳統風險導向審計下審計職員往往不注重從宏觀層面上了解企業及其環境(如行業狀況、監管環境;企業的性質;企業的目標、戰略、以及可能導致會計報表重大錯報的相關經營風險;對企業財務業績的衡量和評價)[5],而只關注企業的內部
控制。因此,在傳統風險導向審計方法下,審計職員實際上只僅僅依靠對控制風險所作的粗放型評估來直接、大致確定檢查風險水平。
現代風險導向審計要比傳統風險導向審計站得更高,看得更遠,對企業了解得更透。它將被審計單位置于廣泛的系統中,以為有效的審計需要對企業所處的宏觀經濟環境和行業環境、戰略目標和措施、影響企業目標實現的主要業務活動和關鍵經營環節以及剩余風險進行深進的了解。在現代風險導向審計下審計風險仍然由固有風險、控制風險和檢查風險三要素組成,審計職員也同樣要對固有風險和控制風險進行評估。但是相比傳統風險導向審計,現代風險導向審計下“固有風險”的內涵擴大了,除了包括會計報表項目本身的風險外,更多地考慮了企業的經營風險。而且在現代風險導向審計下,企業內部控制已經發展到內部控制框架階段,并有被企業全面風險治理框架取代的趨勢,相比傳統風險導向審計下的內部控制結構概念,現代風險導向審計下對控制風險進行評估時考慮的因素則更加全面了。
(三)風險評估程序 傳統風險導向審計風險評估的基本程序可表示為:固有風險評估→了解被審計單位的內部控制結構→控制風險初步評估→控制測試(可選)→控制風險綜合評估→確定檢查風險。審計職員在對固有風險進行評估時主要考慮以下因素:治理職員的品行、能力、變動情況和遭受異常壓力的情況;客戶業務特征;關聯方;非常規交易;以前審計結果等。但由于種種原因,實務中審計職員往往忽略對固有風險的正確評估,通常的做法是將固有風險簡單地確定為高水平,而將風險評估的重點放在控制風險上。審計職員在對被審計單位的內部控制進行了解時,首先從控制環境進手,再對制度和控制程序進行分析。分析控制環境時主要考慮以下因素:治理和經營作風;組織機構;董事會及審計委員會職能;人事政策和程序;確定職權和責任的等。然后審計職員基于當前對內控的了解對控制風險水平進行初步評估(計劃估計水平)。假如審計職員將某一控制的控制風險初步評估為最高值,則對該控制不需執行控制測試而直接進進實質性測試階段;但假如審計職員將某一控制的控制風險評估為低于最高值時,則就需要對該控制執行控制測試,從而來獲取證據以支持低于最高值的風險水平?刂茰y試完成以后,審計職員對被測試控制的控制風險進行再次評估(終極估計水平),并根據終極估計水平來決定相應的檢查風險水平。 風險導向審計風險評估的基本程序可用下圖表示。如圖所示(由于不能粘貼,此處圖略),審計職員首先需要對客戶的戰略進行分析,分析時需要對客戶的內外部環境進行了解,包括客戶行業狀況、監管環境以及其他外部因素(宏觀環境等);被審計單位的目標、戰略以及面臨的經營風險;對威脅企業戰略的風險做出的反應等。對客戶的戰略進行分析后即可對戰略風險做出評估。現代風險導向審計下內部控制被分為治理控制(戰略控制、高層控制)和流程控制(一般控制、員工控制)[6],在對 客戶的戰略進行分析時同時要對戰略控制進行了解并進行評價。然后審計職員對客戶的流程進行分析,分析時可從流程目標、投進、作業、交易類型、威脅流程目標的風險等八個維度來了解流程情況[7]。通過流程分析可
以了解客戶創造價值的方式、競爭上風及劣勢、威脅,從而來評估流程經營風險。在對客戶的流程進行分析時同時要對流程控制進行了解并進行評價。在對戰略經營風險和流程經營風險進行評估時特別要注重對舞弊風險的評估。然后在此基礎上來對固有風險進行初步評估,在評估時除了要重點考慮經營風險可能引起的重大錯報之外,還要考慮其他可能引起重大錯報的因素(治理當局遭受的異常壓力等)。審計職員在對客戶的戰略和流程進行分析時已經從企業整體層次對內部控制進行了了解(戰略控制和流程控制)并做了評價,在這個基礎上還要對內部控制的其他方面進行了解并給予評價,特別是要關注有關交易重要種別的控制;趯炔靠刂瞥浞值牧私,審計職員然后對控制風險進行初步評估。由于固有風險和控制風險都受企業內外部環境的,兩者之間存在著緊密的聯系,因此審計職員在單獨對固有風險、控制風險進行初步評估的基礎上還須對兩者進行綜合評估,即固有風險和控制風險的聯合。對聯合風險的評估是審計工作的核心,由于接下來其余的審計工作都要圍繞聯合風險來進行,聯合風險的評估結果是審計職員決定實質性程序性質、時間以及范圍的基礎[8]。然后審計職員對 值得信賴的控制進一步執行控制測試,從而來獲取支持其較低控制風險水平的證據。最后根據控制測試結果并結合聯合風險評估水平,審計職員對會計報表重大錯報風險進行綜合評估,從而來確定會計報表剩余風險(即檢查風險),并進一步決定實質性程序的性質、時間以及范圍。 (四)風險評估具體方法 風險評估的方法主要有觀察、檢查、函證、詢問、穿行測試、分析性程序等多種審計取證手法。固然傳統風險導向審計客觀上要求大量使用分析性程序來進行風險評估,但由于實務中審計職員往往忽略對固有風險的正確評估,因此限制了分析性程序的運用范圍。而且傳統風險導向審計對于信急的再加工重視程度不夠,分析性程序主要適用在報表分析上[9]。 而在現代風險導向審計下,風險評估以分析性程序為中心,分析性程序成為最重要的程序。而且隨著分析性程序功能的不斷擴大,分析性程序開始走向多樣化,審計職員不僅對財務數據進行分析,同時也對非財務數據進行分析。由于分析性程序的多樣化運用,大量的分析工具以及現代治理方法被運用到分析性程序中往。如在戰略分析時審計職員運用了PSET分析和POPTER分析方法;在流程分析時運用到了價值鏈分析(VCA))和波士頓矩陣(BCG)以及SWOT分析方法;績效分析時運用到了平衡積分卡(BSC)和標桿治理(Benchmarking)分析技術[10]。將分析工具運用到風險評估中 使得風險因素不再獨立,而且風險評估不再是一元評估,而是多元評估,因此風險評估的結果將更加可靠。
三、結論
1. 風險評估導向不同:
固然國際審計準則規定傳統風險導向審計應以固有風險為切進點,但在實務中傳統風險導向審計實際上是以控制風險為導向的;而現代風險導向審計則是以戰略經營風險為導向的。
2. 風險評估范圍不同:
審計職員在實務中運用傳統風險導向審計時往往會忽略對固有風險的正確評估,只通過對控制風險所作的粗放型評估來決定實質性測試的性質、時間和范圍;而現代風險導向審計下審計職員除了要對傳統的固有風險,即會計報表項目本身的風險進行評估之外,更多地是要考慮企業的經營風險,特別是注重對舞弊風險的評估[11]。同時由于內部控制概念內涵的擴
大,審計職員在對控制風險進行評估時考慮的因素相比傳統風險導向審計下更加全面了。
3. 風險評估程序不同: 相比傳統風險導向審計,由于現代風險導向審計增加了對企業戰略和經營流程的分析,以及對經營風險的評估,而且最后將固有風險和控制風險聯合起來進行評估,因此在評估程序方面現代風險導向審計比傳統風險導向審計更完善。由于現代風險導向審計對審計風險考慮的更全面了,所以在現代風險導向審計下能夠更好的將會計報表剩余風險降低到可接受水平。 4. 風險評估具體方法重點不一樣: 兩種審計模式在風險評估時都運用了觀察、檢查、函證、詢問、穿行測試等風險評估方法,但相比傳統風險導向審計,現代風險導向審計更注重分析性程序的運用,做到了以分析性程序為中心。
________________________________________
[i]國際會計師事務所以為審計風險應該是廣義的,即不僅包括審計過程的缺陷而導致審計結果與實際不相符而產生損失或責任風險,還包括客戶經營失敗而導致審計主體遭受損失或不利的可能性。
:
[1] 王澤霞.論風險導向審計創新[J].會計,2004(12): 49-54
[2] 謝榮,吳建友.現代風險導向審計研究與實務發展[J].會計研究,2004(14):47-51
[3] AICPA:professional Standards As of June 1,1992,AU.31
[4] 謝榮,吳建友.現代風險導向審計基本內涵分析[J].審計研究,2004(05):26-30
[5] 陳毓圭.對風險導向審計方法的由來及其發展的熟悉[J].會計研究,2004(14):58-63
[6] 鄭朝暉.戰略系統審計:財務數據之公道預期[J/OL].會計視野,2004 [2006-4-17] http://doc.esnai.com/showdoc.asp?docid=448
【傳統風險導向審計和現代風險導向審計風險評估策略比較研究】相關文章:
談現代風險導向審計08-28
論煤炭企業風險導向審計06-03
淺析內部審計新模式-風險導向內部審計06-07
淺談經營失敗審計失敗與審計風險05-10
論現代審計學的風險概念體系06-05
審計風險模型的演進及應用08-26
審計有風險準則來導航-中國注協對審計風險準則的解讀06-02
內部審計風險及應對措施探討的論文08-23
淺談內部審計風險控制(精選7篇)04-26