从审计风险模型的改进论风险导向审计的战略调整

摘要：风险导向审计自上个世纪80年代初问世以来，在其后的近20年的时间里备受推崇。然而，随着本世纪初西方发达国家爆发的一系列审计丑闻，风险导向审计模式的不足也初现端倪。我们发现，风险导向审计模式的缺陷起因于其所构建的基础-审计风险模型本身的缺陷。于是，本文结合美国最新的反舞弊准则的精神对原有的审计风险模型按照审计风险源进行了重构，并根据重构的审计风险模型提出了风险导向审计模式应有的审计战略调整。　　上个世纪80年代初，在高风险环境的背景下，美国审计职业界最先建立起了审计风险模型。审计风险模型的建立引起了审计方式的变革，制度基础审计开始向风险导向审计过渡。　　毋庸置疑，现有的风险导向审计模式经过了近二十年的实践，其先进公道之处固然存在，但也逐渐暴露出了一些。因此，研究解决这些题目，不断完善风险导向审计模式就成为审计职业界确当务之急。　　我们以为，研究风险导向审计存在的题目离不开对审计风险模型的研究。固然审计风险模型（Auditing Risk Model）与风险导向审计模式的含义是有区别的，前者研究的是审计风险的种类或要素及其关系，后者是从审计的过程和整体角度审计风险在审计中的作用。但是，前者是后者的一个组成部分，而且是非常重要的，处于核心地位的一部分（萧英达、张继勋、刘志远，2000）。因此，我们以为，要研究风险导向审计必须从审计风险模型的研究进手。　　我们经过研究发现，风险导向审计暴露出来的题目与其赖以建立的基础-审计风险模型本身具有的缺陷有关，现有的审计风险模型需要改进，审计风险模型改进以后，建立在其上的风险导向审计则面临着战略上的调整。　　一、审计风险模型的缺陷及其改进　　现有的审计风险模型来源于美国审计准则委员会的两个文件，1981年发布的第39号审计准则公告《审计抽样准则》和1983年发布的第47号审计准则公告《审计业务中的审计风险和重要性》。在47号公告中给出了著名的审计风险模型：　　审计风险=固有风险×控制风险×检查风险　　20世纪80年代美国职业界就是在这一风险模型基础上建立了风险导向审计模式。然而，正是这个风险模型，却存在着一些比较隐蔽的缺陷。　　缺陷一：固有风险概念内涵与外延不一致，逻辑上不能一贯。　　我们上以为，固有风险是指假定不存在相关内部控制时，某一账户或交易种别单独或连同其他账户、交易种别产生重大错报或漏报的可能性。而我们在评估固有风险时（涉及报表层次的）又必须从内部控制（控制环境）进手。固有风险这种内涵与外延的不一致使得该风险模型的性受到了极大的损害（陈志强，1998）。　　缺陷二：把控制风险要素作为审计风险的乘积因子躲有隐患。　　由于控制风险作为该模型的一个乘积因子，因此，理论上以为，假如注册会计师能把控制风险评估得比较低就可以大大减少实质性测试的工作量。于是注册会计师只要通过控制测试得到了一个比较满足的结果，就理所当然地以为他们已经有了一个比较高的可接受检查风险水平。然而，殊不知这样就可能为注册会计师的审计埋下了一个很大的隐患。原因很简单，首先控制测试得到的是内部证据，既然是内部证据就可以被治理当局操纵，因此，其证实力是比较差的。其次，内部控制在防止无意的错报以及员工舞弊（不包括串通舞弊）方面应该有着积极意义，但在防止治理当局舞弊方面，内部控制应该是无能为力的。否则也不会有所谓的“内部人控制”题目了。也就是说，注册会计师对控制测试的满足程度与治理当局是否存在舞弊没有直接的关联关系。有关这方面的题目，从我国近十几年所发生的上市公司舞弊案件中可以找到很多例证。因此，把控制风险单独作为风险模型的一个乘积因子，这就为审计失败埋下了一个很大的隐患。　　缺陷三：不能用于财务报表整体，无法满足对财务报表审计整体审计风险的把握和控制。　　理论上以为，“审计风险模型不是对财务报表整体上使用的，由于这无助于作出审计证据的决策，而必须在每一种业务循环，每一个账户，并且经常是每一个审计目标上进行分析。”（萧英达、张继勋、刘志远，2000）固然该风险模型要求在评估固有风险时应当从会计报表层次和账户余额层次两个方面加以考虑，但在评估控制风险时却并不涉及报表层次，只能要求注册会计师对各重要账户或交易种别的相关认定所涉及的控制风险进行评估。这样一来，固有风险评估中的会计报表层次的评估也就没有实际意义了。由于控制风险的评估是按账户余额或交易种别所涉及的认定进行的，在风险模型中其无法与会计报表层次的固有风险评估相匹配，只能与账户余额或交易种别层次固有风险的评估相匹配。这样一来，现有的审计风险模型实际上就是用于对每一账户余额或交易种别所涉及的认定进行风险导向审计的理论基础，而不能构成对整个进行风险导向审计的理论基础。这一点充分地体现在我们按此模型所演变出来的所谓的“初步审计谋略”理论之中（陈志强，2002）。　　由于现有的审计风险模型只能用于账户余额或交易种别，而不能用于财务报表整体，因此，在此基础上构建出的风险导向审计模式在对待风险上只能是零散的.、微观的，而不能形成整体的宏观的熟悉。这就必然导致注册会计师在把握和控制审计风险时只见树木不见森林。　　现有的审计风险模型存在着以上缺陷，这些缺陷的存在又直接着风险导向审计模式的科学性、公道性。因此，理论上必须对现有的审计风险模型进行重构。　　注册会计师审计的直接对象为会计报表，能给注册会计师带来审计风险的是有严重虚假的会计报表，那么引起会计报表虚假的因素就应该构成了审计风险模型的基本因子。从根源上看，能够引起会计报表虚假的无外乎舞弊和错报这两个因素。从这一思路出发我们以为，科学的审计风险模型应该是：　　审计风险=（舞弊风险 错报风险）×检查风险　　由于舞弊风险又即是治理当局舞弊风险加员工舞弊风险，因此，上述模型可有如下变化：　　审计风险=（治理当局舞弊风险 员工舞弊风险 错报风险）×检查风险　　审计风险=治理当局舞弊风险×检查风险 员工舞弊风险×检查风险 错报风险×检查风险　　上述模型中检查风险的涵义应该有所变化，具体变化为：检查风险是指某一账户或交易种别单独或连同其他账户、交易种别存在重大虚假，而未能被实质性测试发现的可能性。这里我们用“虚假”替换了原来的“错报或漏报”，乍看没有多大区别，实在不然。错报或漏报夸大的是原因，而且单独从字面上看，突出的是“无意”，没有明显地把“舞弊”包含在内。而“虚假”夸大的是结果，只要能够引起会计报表使用者产生错误判定或误解的会计报表，不管其是何原因引起，都可视为重大虚假的会计报表。基于这样一种熟悉，在对审计风险的解释中，也“虚假”替换“错报或漏报”。其他需要解释的是治理当局舞弊、员工舞弊和错误这三个概念。所谓的治理当局舞弊是指企业治理当局通过各种手段粉饰会计报表，欺骗会计报表使用者以达到某种目的的不法行为；员工舞弊是指企业员工通过不法手段窃取企业利益的不法行为；错报是指由于企业员工无意的行为而使会计报表产生了虚假。有了这样一种解释，上述的“治理当局舞弊风险”、“员工舞弊风险”和“错报风险”的内涵也就不问可知了。　　由于风险的概率值总是在0 - 1之间，因此，模型中（舞弊风险 错报风险）的概率区间为（0，1）。固然不同企业的具体情况千差万别，但由于审计中“重要性”概念的存在，无论如何舞弊风险要远远高于错报所产生的风险，尤其是治理当局舞弊风险应该是在诸多风险之中最具威胁的一种风险。有鉴于此，我们以为，在实务中，注册会计师对治理当局舞弊风险的评估水平不能太低。对风险的这样一种分配和考虑既有现实基础，又有积极意义。现实基础是，从世界范围内已发生的审计失败案例来看，给注册会计师带来真正威胁的是舞弊，尤其是治理当局舞弊。因此，注册会计师应该把主要精力放在识别和控制由于治理当局舞弊所带来的风险上。积极意义是，该模型把治理当局舞弊风险作为审计风险模型的一个独立因子，这就对注册会计师识别和控制治理当局舞弊风险提出了明确的要求。　　需要作出解释的是此模型中没有了固有风险和控制风险。原模型中的固有风险，涉及报表层次的应考虑的因素现已包含在现有模型中的“治理当局舞弊风险”之中，涉及账户余额和交易层次的应考虑的因素则包含在“错报风险”之中。由于内部控制对治理当局舞弊以及员工的串通舞弊是无效的，所以，原模型中的控制风险，其内涵主要包含在现在模型中的“错报风险”之中。　　改进后的审计风险模型修正了原模型中所隐含的缺陷。原有的审计风险模型不能用于财务报表整体，只能用于某一账户余额或交易种别所涉及的认定方面，这不利于注册师对风险的整体把握和控制。改进后的风险模型既可用于某一账户余额或交易种别所涉及的认定方面，也可用于财务报表的整体，这就使得注册会计师对风险的识别和控制有了更清楚的对象和，便于指导实务中的操纵，而且还充分体现了审计过程中整体和局部、战略和战术的区别和联系，逻辑上也做到了前后一贯、严密公道。因此，该模型的建立有着积极的和实践上的意义。