从审计风险模型的改进论风险导向审计的战略调整(一)

从审计风险模型的改进论风险导向审计的战略调整(一)摘要：风险导向审计自上个世纪80 年代初问世以来，在其后的近20年的时间里备受推崇。然而，随着本世纪初西方发达国家爆发的一系列审计丑闻，风险导向审计模式的不足也初现端倪。我们研究发现，风险导向审计模式的缺陷起因于其所构建的基础-审计风险模型本身的缺陷。于是，本文结合美国最新的反舞弊准则的精神对原有的审计风险模型按照审计风险源进行了重构，并根据重构的审计风险模型提出了风险导向审计模式应有的审计战略调整。上个世纪 80 年代初，在高风险社会环境的背景下，美国审计职业界最先建立起了审计风险模型。审计风险模型的建立引起了审计方式的变革，制度基础审计开始向风险导向审计过渡。毋庸置疑，现有的风险导向审计模式经过了近二十年的实践，其先进合理之处虽然存在，但也逐渐暴露出了一些问题。因此，研究解决这些问题，不断完善风险导向审计模式就成为审计职业界的当务之急。我们认为，研究风险导向审计存在的问题离不开对审计风险模型的研究。虽然审计风险模型（ AuditingRiskModel）与风险导向审计模式的含义是有区别的，前者研究的是审计风险的种类或要素及其关系，后者是从审计的过程和整体角度分析审计风险在审计中的作用。但是，前者是后者的一个组成部分，而且是非常重要的，处于核心地位的一部分（萧英达、张继勋、刘志远，2000）。因此，我们认为，要研究现代风险导向审计必须从审计风险模型的研究入手。我们经过研究发现，风险导向审计暴露出来的问题与其赖以建立的基础-审计风险模型本身具有的缺陷有关， 现有的审计风险模型需要改进，审计风险模型改进以后，建立在其上的风险导向审计则面临着战略上的调整。一、审计风险模型的缺陷及其改进现有的审计风险模型来源于美国审计准则委员会的两个文件，1981年发布的第39 号审计准则公告审计抽样准则和1983年发布的第47号审计准则公告审计业务中的审计风险和重要性。在47 号公告中给出了著名的审计风险模型：审计风险=固有风险 控制风险 检查风险20 世纪 80 年代美国职业界就是在这一风险模型基础上建立了风险导向审计模式。然而，正是这个风险模型，却存在着一些比较隐蔽的缺陷。缺陷一：固有风险概念内涵与外延不一致，逻辑上不能一贯。我们理论上认为，固有风险是指假定不存在相关内部控制时，某一账户或交易类别单独或连同其他账户、交易类别产生重大错报或漏报的可能性。而我们在评估固有风险时（涉及会计报表层次的）又必须从内部控制（控制环境）入手。固有风险这种内涵与外延的不一致使得该风险模型的科学性受到了极大的损害（陈志强，1998）。缺陷二：把控制风险要素作为审计风险的乘积因子藏有隐患。由于控制风险作为该模型的一个乘积因子，因此，理论上认为，如果注册会计师能把控制风险评估得比较低就可以大大减少实质性测试的工作量。于是注册会计师只要通过控制测试得到了一个比较满意的结果，就理所当然地认为他们已经有了一个比较高的可接受检查风险水平。然而，殊不知这样就可能为注册会计师的审计埋下了一个很大的隐患。原因很简单，首先控制测试得到的是内部证据，既然是内部证据就可以被管理当局操纵，因此，其证明力是比较差的。其次，内部控制在防止无意的错报以及员工舞弊（不包括串通舞弊）方面应该有着积极意义，但在防止管理当局舞弊方面，内部控制应该是无能为力的。否则也不会有所谓的 “内部人控制 ”问题了。也就是说，注册会计师对控制测试的满意程度与管理当局是否存在舞弊没有直接的关联关系。有关这方面的问题，从我国近十几年所发生的上市公司舞弊案件中可以找到很多例证。因此，把控制风险单独作为风险模型的一个乘积因子，这就为审计失败埋下了一个很大的隐患。缺陷三：不能用于财务报表整体，无法满足对财务报表审计整体审计风险的把握和控制。理论上认为， “审计风险模型不是对财务报表整体上使用的，因为这无助于作出审计证据的决策，而必须在每一种业务循环，每一个账户，并且经常是每一个审计目标上进行分析计算。”（萧英达、张继勋、刘志远， 2000）虽然该风险模型要求在评估固有风险时应当从会计报表层次和账户余额层次两个方面加以考虑，但在评估控制风险时却并不涉及报表层次，只能要求注册会计师对各重要账户或交易类别的相关认定所涉及的控制风险进行评估。这样一来，固有风险评估中的会计报表层次的评估也就没有实际意义了。因为控制风险的评估是按账户余额或交易类别所涉及的认定进行的，在风险模型中其无法与会计报表层次的固有风险评估相匹配，只能与账户余额或交易类别层次固有风险的评估相匹配。这样一来，现有的审计风险模型实际上就是用于对每一账户余额或交易类别所涉及的认定进行风险导向审计的理论基础，而不能构成对整个企业进行风险导向审计的理论基础。这一点充分地体现在我们按此模型所演变出来的所谓的 “初步审计策略 ”理论之中（陈志强， 2002）。由于现有的审计风险模型只能用于账户余额或交易类别，而不能用于财务报表整体，因此，在此基础上构建出的风险导向审计模式在对待风险上只能是零散的、微观的，而不能形成整体的宏观的认识。这就必然导致注册会计师在把握和控制审计风险时只见树木不见森林。现有的审计风险模型存在着以上缺陷，这些缺陷的存在又直接影响着风险导向审计模式的科学性、合理性。因此，理论上必须对现有的审计风险模型进行重构。注册会计师审计的直接对象为会计报表，能给注册会计师带来审计风险的是有严重虚假的会计报表，那么引起会计报表虚假的因素就应该构成了审计风险模型的基本因子。从根源上看，能够引起会计报表虚假的无外乎舞弊和错报这两个因素。从这一思路出发我们认为，科学的审计风险模型应该是：审计风险 =（舞弊风险 +错报风险） 检查风险由于舞弊风险又等于管理当局舞弊风险加员工舞弊风险，因此，上述模型可有如下变化：审计风险 =（管理当局舞弊风险 +员工舞弊风险 +错报风险） 检查风险审计风险 =管理当局舞弊风险 检查风险 +员工舞弊风险 检查风险 +错报风险 检查风险上述模型中检查风险的涵义应该有所变化，具体变化为：检查风险是指某一账户或交易类别单独或连同其他账户、 交易类别存在重大虚假，而未能被实质性测试发现的可能性。这里我们用 “虚假 ”替代了原来的“错报或漏报 ”，乍看没有多大区别， 其实不然。错报或漏报强调的是原因，而且单独从字面上看，突出的是 “无意 ”，没有明显地把 “舞弊 ”包含在内。而“虚假 ”强调的是结果， 只要能够引起会计报表使用者产生错误判断或误解的会计报表，不管其是何原因引起，都可视为重大虚假的会计报表。基于这样一种认识， 在对审计风险的解释中， 也应用 “虚假 ” 替代 “错报或漏报 ”。其他需要解释的是管理当局舞弊、 员工舞弊和错误这三个概念。所谓的管理当局舞弊是指企业管理当局通过各种手段粉饰会计报表，欺骗会计报表使用者以达到某种目的的不法行为；员工舞弊是指企业员工通过不法手段窃取企业利益的不法行为；错报是指由于企业员工无意的行为而使会计报表产生了虚假。有了这样一种解释，上述的 “管理当局舞弊风险 ”、“员工舞弊风险 ”和“错报风险 ”的内涵也就不言而喻了。由于风险的概率值总是在 0-1 之间，因此，模型中（舞弊风险 +错报风险）的概率区间为（ 0，1）。虽然不同企业的具体情况千差万别，但由于审计中 “重要性 ”概念的存在，无论如何舞弊风险要远远高于错报所产生的风险，尤其是管理当局舞弊风险应该是在诸多风险之中最具威胁的一种风险。有鉴于此，我们认为，在实务中，注册会计师对管理当局舞弊风险的评估水平不能太低。对风险的这样一种分配和考虑既有现实基础，又有积极意义。现实基础是，从世界范围内已发生的审计失败案例来看，给注册会计师带来真正威胁的是舞弊，尤其是管理当局舞弊。因此，注册会计师应该把主要精力放在识别和控制由于管理当局舞弊所带来的风险上。积极意义是，该模型把管理当局舞弊风险作为审计风险模型的一个独立因子，这就对注册会计师识别和控制管理当局舞弊风险提出了明确的要求。