第三节 审计风险应对
新的审计风险二要素模型,把审计业务流程和程序分为两大程序。一是风险评估程序,即了解被审计单位及其环境,包括内部控制,目的是要评估财务报表总体层次和认定层次的重大错报风险。二是进一步审计程序,即必要时实施控制测试,目的是测试内部控制在防止、发现和纠正认定层次重大错报方面的有效性,并据此一并评估重大错报风险;实施实质性测试,目的是检查认定层次的重大错报风险。
一、审计风险应对的意义
《中国注册会计师审计准则第1101号——财务报表审计的目标和一般原则》要求注册会计师在审计过程中贯彻风险导向审计的理念,围绕重大错报风险的识别、评估和应对,计划和实施审计工作。《中国注册会计师审计准则第1211号——了解被审计单位及其环境并评估重大错报风险》规范了注册会计师通过实施风险评估程序,识别和评估财务报表层次以及各类交易、账户余额、列报认定层次的重大错报风险。《中国注册会计师审计准则第1231号——针对评估的重大错报风险实施的程序》规范了注册会计师针对已评估的重大错报风险确定总体应对措施,设计和实施进一步审计程序。
《中国注册会计师审计准则第1231号——针对评估的重大错报风险实施的程序》规定注册会计师应对重大错报风险,应当遵守以下规定。
①注册会计师应当针对财务报表层次的重大错报风险制定总体应对措施,包括向审计项目组强调在获取审计证据过程中保持职业怀疑态度的必要性,分派更有经验或具有特殊技能的审计人员或利用专家的工作,向审计项目组提供更多督导,等等。
②注册会计师应当针对认定层次的重大错报风险,设计和实施进一步审计程序,包括测试控制的执行有效性以及实施实质性程序。
③注册会计师应当评价风险评估的结果是否适当,并确定是否已经获取充分、适当的审计证据。
④注册会计师应当将实施关键的程序形成审计工作记录。
注册会计师应当针对评估的财务报表层次重大错报风险确定总体应对措施,并针对评估的认定层次重大错报风险,设计和实施进一步审计程序,以将审计风险降至可接受的低水平。
二、审计风险应对的措施
(一)针对财务报表层次重大错报风险的总体应对措施
1.财务报表层次重大错报风险与总体应对措施
在财务报表重大错报风险的评估过程中,注册会计师应当确定识别的重大错报风险是与特定的某类交易、账户余额、列报的认定相关,还是与财务报表整体广泛相关,进而影响多项认定。如果是后者,则属于财务报表层次的重大错报风险。
注册会计师应当针对评估的财务报表层次重大错报风险确定下列总体应对措施。
①向项目组强调在收集和评价审计证据过程中保持职业怀疑态度的必要性。关于职业怀疑态度的含义,参见《中国注册会计师审计准则第1101号——财务报表审计的目标和一般原则》及其指南。
②分派更有经验或具有特殊技能的审计人员,或利用专家的工作。由于各行业在经营业务、经营风险、财务报告、法规要求等方面具有特殊性,审计人员的专业分工细化成为一种趋势。审计项目组成员中应有一定比例的人员曾经参与过被审计单位以前年度的审计,或具有被审计单位所处特定行业的相关审计经验。必要时,要考虑利用信息技术、税务、评估、精算等方面的专家的工作。
③提供更多的督导。对于财务报表层次重大错报风险较高的审计项目,项目组的高级别成员,如项目负责人、项目经理等经验较丰富的人员,要对其他成员提供更详细、更经常、更及时的指导和监督,并加强项目质量复核。
④在选择进一步审计程序时,应当注意使某些程序不被被审计单位管理层预见或事先了解。被审计单位人员,尤其是管理层,如果熟悉注册会计师的审计程序,就可能采取种种规避手段,掩盖财务报告中的舞弊行为。因此,在设计拟实施审计程序的性质、时间和范围时,为了避免既定思维对审计方案的限制,避免对审计效果的人为干涉,从而使得针对重大错报风险的进一步审计程序更加有效,注册会计师要考虑使某些程序不被被审计单位管理层预见或事先了解。
⑤对拟实施审计程序的性质、时间和范围做出总体修改。财务报表层次的重大错报风险很可能源于薄弱的控制环境。薄弱的控制环境带来的风险可能会对财务报表产生广泛影响,而不仅仅限于某类交易、账户余额、列报,注册会计师应当采取总体应对措施。相应地,注册会计师对控制环境的了解也会影响其对财务报表层次重大错报风险的评估。有效的控制环境可以使注册会计师增强对内部控制和被审计单位内部产生的证据的信赖程度。如果控制环境存在缺陷,注册会计师再对拟实施审计程序的性质、时间和范围做出总体修改。
2.增加审计程序不可预见性的方法
注册会计师可以通过增加以下审计程序来提高审计程序的不可预见性。
①对某些以前未测试的低于设定的重要性水平或风险较小的账户余额和认定实施实质性程序。注册会计师可以关注以前未曾关注过的审计领域,尽管这些领域的重要程度可能比较低。如果这些领域有可能被用于掩盖舞弊行为,注册会计师就要针对这些领域实施一些具有不可预见性的测试。
②调整实施审计程序的时间,使其超出被审计单位的预期。例如,如果注册会计师在以前年度的审计工作大多数都在12月或年底前后进行,那么被审计单位就会了解注册会计师的这一审计习惯,从而可能会把一些不适当的会计调整放在年度的9月、10月或11月等,以避免引起注册会计师的注意。因此,注册会计师可以考虑调整实施审计程序时测试项目的时间,从测试12月的项目调整到测试9月、10月或11月的项目。
③采取不同的审计抽样方法,使当年抽取的测试样本与以前有所不同。
④选取不同的地点实施审计程序,或预先不告知被审计单位所选定的测试地点。例如,在存货监盘程序中,注册会计师可以到未事先通知被审计单位的盘点现场进行监盘,使被审计单位没有机会事先清理现场,隐藏一些不想让注册会计师知道的情况。
如表4.5所示为一些具有不可预见性的审计程序。
表4.5 审计程序的不可预见性示例表
3.总体应对措施对拟实施进一步审计程序的总体方案的影响
财务报表层次重大错报风险难以仅限于某类交易、账户余额、列报的这一特点,意味着此类风险可能会对财务报表的多项认定产生广泛影响,并相应增加注册会计师对认定层次重大错报风险的评估难度。因此,注册会计师评估的财务报表层次重大错报风险以及采取的总体应对措施,对拟实施进一步审计程序的总体方案具有重大影响。
拟实施进一步审计程序的总体方案包括实质性方案和综合性方案。其中,实质性方案是指注册会计师实施的进一步审计程序以实质性程序为主;综合性方案是指注册会计师在实施进一步审计程序时,将控制测试与实质性程序结合使用。当评估的财务报表层次重大错报风险属于高风险水平(并相应采取更强调审计程序不可预见性的措施,即重视调整审计程序的性质、时间和范围等总体应对措施)时,拟实施进一步审计程序的总体方案往往更倾向于实质性方案。
(二)针对认定层次重大错报风险的进一步审计程序
1.进一步审计程序的含义和要求
(1)进一步审计程序的含义
进一步审计程序相对于风险评估程序而言,是指注册会计师针对评估的各类交易、账户余额、列报认定层次重大错报风险实施的审计程序,包括控制测试和实质性程序。
注册会计师应当针对评估的认定层次重大错报风险,设计和实施进一步审计程序,包括审计程序的性质、时间和范围。注册会计师设计和实施的进一步审计程序的性质、时间和范围,应当与评估的认定层次重大错报风险具备明确的对应关系。注册会计师实施的审计程序具有目的性和针对性,可以有的放矢地配置审计资源,有利于提高审计效率和效果。
需要说明的是,尽管在应对评估的认定层次重大错报风险时,拟实施的进一步审计程序的性质、时间和范围都应当确保其具有针对性,但其中进一步审计程序的性质是最重要的。例如,注册会计师评估的重大错报风险越高,实施进一步审计程序的范围通常就越大,但是,只有首先确保进一步审计程序的性质与特定风险相关时,扩大审计程序的范围才是有效的。
(2)设计进一步审计程序时的考虑因素
在设计进一步审计程序时,注册会计师应当考虑下列因素。
①风险的重要性。风险的重要性是指风险造成的后果的严重程度。风险的后果越严重,就越需要注册会计师关注和重视,越需要精心设计有针对性的进一步审计程序。
②重大错报发生的可能性。重大错报发生的可能性越大,同样越需要注册会计师精心设计进一步审计程序。
③涉及的各类交易、账户余额和列报的特征。不同的交易、账户余额和列报,产生的认定层次的重大错报风险也会存在差异,适用的审计程序也有差别,需要注册会计师区别对待,并设计有针对性的进一步审计程序予以应对。
④被审计单位采用的特定控制的性质。不同性质的控制(尤其是人工控制还是自动化控制)对注册会计师设计进一步的审计程序具有重要影响。
⑤注册会计师是否拟获取审计证据,以确定内部控制在防止或发现并纠正重大错报方面的有效性。如果注册会计师在风险评估时预期内部控制运行有效,随后拟实施的进一步审计程序就必须包括控制测试,且实质性程序自然会受到之前控制测试结果的影响。
综合上述几方面因素,注册会计师对认定层次重大错报风险的评估为确定进一步审计程序的总体方案奠定了基础。因此,注册会计师应当根据对认定层次重大错报风险的评估结果,恰当地选用实质性方案或综合性方案。通常情况下,注册会计师出于成本效益的考虑,可以采用综合性方案设计进一步审计程序,即将测试控制运行的有效性与实质性程序结合使用。但在某些情况下(如仅通过实质性程序无法应对重大错报风险),注册会计师必须通过实施控制测试,才可能有效应对评估出的某一认定的重大错报风险;而在另一些情况下(如注册会计师的风险评估程序未能识别出与认定相关的任何控制,或注册会计师认为控制测试很可能不符合成本效益原则),注册会计师可能认为仅实施实质性程序就是适当的。
小型被审计单位可能不存在能够被注册会计师识别的控制活动,注册会计师实施的进一步审计程序可能主要是实质性程序。但是,注册会计师始终应当考虑在缺乏控制的情况下,仅通过实施实质性程序是否能够获取充分、适当的审计证据。
还需要特别说明的是,注册会计师对重大错报风险的评估毕竟是一种主观判断,可能无法充分识别所有的重大错报风险;同时,内部控制存在固有局限性(特别是存在管理层凌驾于内部控制之上的可能性)。因此,无论选择何种方案,注册会计师都应当对所有重大的各类交易、账户余额、列报设计和实施实质性程序。
2.进一步审计程序的性质
(1)进一步审计程序的性质的含义
进一步审计程序的性质是指进一步审计程序的目的和类型。其中,进一步审计程序的目的包括通过实施控制测试以确定内部控制运行的有效性,通过实施实质性程序以发现认定层次的重大错报;进一步审计程序的类型包括检查、观察、询问、函证、重新计算、重新执行和分析程序。
如前所述,在应对评估的风险时,合理确定审计程序的性质是最重要的。这是因为不同的审计程序应对特定认定错报风险的效力不同。例如,对于与收入完整性认定相关的重大错报风险,控制测试通常更能有效地应对;对于与收入发生认定相关的重大错报风险,实质性程序通常更能有效应对。再如,实施应收账款的函证程序可以为应收账款在某一时点存在的认定提供审计证据,但通常不能为应收账款的计价认定提供审计证据。对应收账款的计价认定,注册会计师通常需要实施其他更为有效的审计程序,如审查应收账款账龄和期后收款情况,了解欠款客户的信用情况等。
(2)进一步审计程序的性质的选择
在确定进一步审计程序的性质时,注册会计师首先需要考虑的是认定层次重大错报风险的评估结果。因此,注册会计师应当根据认定层次重大错报风险的评估结果选择审计程序。评估的认定层次重大错报风险越高,对通过实质性程序获取的审计证据的相关性和可靠性的要求就越高,从而可能影响进一步审计程序的类型及其综合运用。例如,当注册会计师判断某类交易协议的完整性存在更高的重大错报风险时,除了检查文件以外,注册会计师还可能决定向第三方询问或函证协议条款的完整性。
除了从总体上把握认定层次重大错报风险的评估结果对选择进一步审计程序的影响外,在确定拟实施的审计程序时,注册会计师接下来还应当考虑评估的认定层次重大错报风险产生的原因,包括考虑各类交易、账户余额、列报的具体特征以及内部控制。例如,注册会计师可能判断某特定类别的交易即使在不存在相关控制的情况下发生重大错报的风险仍较低,此时注册会计师可能认为仅实施实质性程序就可以获取充分、适当的审计证据。再如,对于经由被审计单位信息系统日常处理和控制的某类交易,如果注册会计师预期此类交易在内部控制运行有效的情况下发生重大错报的风险较低,且拟在控制运行有效的基础上设计实质性程序,注册会计师就会决定先实施控制测试。
需要说明的是,如果在实施进一步审计程序时拟利用被审计单位信息系统生成的信息,注册会计师应当就信息的准确性和完整性获取审计证据。例如,注册会计师在实施实质性分析程序时,使用了被审计单位生成的非财务信息或预算数据。再如,注册会计师在对被审计单位的存货期末余额实施实质性程序时,拟利用被审计单位信息系统生成的各个存货存放地点及其余额清单。注册会计师应当获取关于这些信息的准确性和完整性的审计证据。
3.进一步审计程序的时间
(1)进一步审计程序的时间的含义
进一步审计程序的时间是指注册会计师何时实施进一步审计程序,或审计证据适用的期间或时点。因此,当提及进一步审计程序的时间时,在某些情况下指的是审计程序的实施时间,在另一些情况下是指需要获取的审计证据适用的期间或时点。
(2)进一步审计程序的时间的选择
有关进一步审计程序的时间的选择问题,第一个层面是注册会计师选择在何时实施进一步审计程序的问题;第二个层面是选择获取什么期间或时点的审计证据的问题。第一个层面的选择问题主要集中在如何权衡期中与期末实施审计程序的关系;第二个层面的选择问题分别集中在如何权衡期中审计证据与期末审计证据的关系,以及如何权衡以前审计获取的审计证据与本期审计获取的审计证据的关系。这两个层面的最终落脚点都是如何确保获取审计证据的效率和效果。
注册会计师可以在期中或期末实施控制测试或实质性程序。这就引出了注册会计师应当如何选择实施审计程序的时间的问题。两项基本的考虑因素应当是注册会计师评估的重大错报风险,当重大错报风险较高时,注册会计师应当考虑在期末或接近期末实施实质性程序,或采用不通知的方式,或在管理层不能预见的时间实施审计程序。
虽然在期末实施审计程序在很多情况下都非常必要,但仍然不排除注册会计师在期中实施审计程序可能发挥的积极作用。在期中实施进一步审计程序,有助于注册会计师在审计工作初期识别重大事项,并在管理层的协助下及时解决这些事项;或针对这些事项制定有效的实质性方案或综合性方案。当然,在期中实施进一步审计程序也存在很大的局限性。首先,注册会计师往往难以仅凭在期中实施的进一步审计程序获取有关期中以前的充分、适当的审计证据(如某些期中以前发生的交易或事项在期中审计结束时尚未完结)。其次,即使注册会计师在期中实施的进一步审计程序能够获取有关期中以前的充分、适当的审计证据,但从期中到期末这段剩余期间还往往会发生重大的交易或事项(包括期中以前发生的交易、事项的延续,以及期中以后发生的新的交易、事项),从而对所审计期间的财务报表认定产生重大影响。再次,被审计单位管理层也完全有可能在注册会计师于期中实施了进一步审计程序之后对期中以前的相关会计记录做出调整甚至篡改,注册会计师在期中实施了进一步审计程序所获取的审计证据已经发生了变化。因此,如果在期中实施了进一步审计程序,注册会计师还应当针对剩余期间获取审计证据。
注册会计师在确定何时实施审计程序时应当考虑以下几项重要因素。
①控制环境。良好的控制环境可以抵消在期中实施进一步审计程序的局限性,使注册会计师在确定实施进一步审计程序的时间时有更大的灵活度。
②何时得到相关信息。例如,某些控制活动可能仅在期中(或期中以前)发生,而之后可能难以再被观察到;再如,某些电子化的交易和账户文档如未能及时取得,可能会被覆盖。在这些情况下,注册会计师如果希望获取相关信息,则需要考虑能够获取相关信息的时间。
③错报风险的性质。例如,被审计单位可能为了保证赢利目标的实现,而在会计期末以后伪造销售合同以虚增收入,此时注册会计师需要考虑在期末(即资产负债表日)这个特定时点获取被审计单位截至期末所能提供的所有销售合同及相关资料,以防范被审计单位在资产负债表日后伪造销售合同虚增收入的做法。
④审计证据适用的期间或时点。注册会计师应当根据需要获取的特定审计证据确定何时实施进一步审计程序。例如,为了获取资产负债表日的存货余额证据,显然不宜在与资产负债表日间隔过长的期中时点或期末以后时点实施存货监盘等相关审计程序。
需要说明的是,虽然注册会计师在很多情况下可以根据具体情况选择实施进一步审计程序的时间,但也存在着一些限制选择的情况。某些审计程序只能在期末或期末以后实施,如将财务报表与会计记录相核对,检查财务报表编制过程中所做的会计调整等。如果被审计单位在期末或接近期末时发生了重大交易,或重大交易在期末尚未完成,注册会计师应当考虑交易的发生或截止等认定可能存在的重大错报风险,并在期末或期末以后检查此类交易。
4.进一步审计程序的范围
(1)进一步审计程序的范围的含义
进一步审计程序的范围是指实施进一步审计程序的数量,包括抽取的样本量、对某项控制活动的观察次数等。
(2)确定进一步审计程序的范围时考虑的因素
在确定审计程序的范围时,注册会计师应当考虑下列因素。
①确定的重要性水平。确定的重要性水平越低,注册会计师实施进一步审计程序的范围就越广。
②评估的重大错报风险。评估的重大错报风险越高,对拟获取审计证据的相关性、可靠性的要求就越高,注册会计师实施的进一步审计程序的范围也越广。
③计划获取的保证程度。计划获取的保证程度,是指注册会计师计划通过所实施的审计程序对测试结果可靠性所获取的信心。计划获取的保证程度越高,对测试结果可靠性要求就越高,注册会计师实施的进一步审计程序的范围也越广。例如,注册会计师对财务报表不存在重大错报的信心可能来自控制测试和实质性程序。如果注册会计师计划从控制测试中获取更高的保证程度,则控制测试的范围就更广。
重要性水平(可容忍错报)、评估的重大错报风险以及计划获取的保证程度与样本规模的关系,详见第十二章。
需要说明的是,随着重大错报风险的增加,注册会计师应当考虑扩大审计程序的范围。但是,只有当审计程序本身与特定风险相关时,扩大审计程序的范围才是有效的。
在考虑确定进一步审计程序的范围时,使用计算机辅助审计技术具有积极的作用。注册会计师可以使用计算机辅助审计技术对电子化的交易和账户文档进行更广泛的测试,包括从主要电子文档中选取交易样本,或按照某一特征对交易进行分类,或对总体而非样本进行测试。
鉴于进一步审计程序的范围往往是通过一定的抽样方法加以确定的,因此,注册会计师需要慎重考虑抽样过程对审计程序范围的影响是否能够有效实现审计目的。注册会计师使用恰当的抽样方法通常可以得出有效的结论。但如果存在下列情形,注册会计师依据样本得出的结论可能与对总体实施同样的审计程序得出的结论不同,出现不可接受的风险:①从总体中选择的样本量过小;②选择的抽样方法对实现特定目标不适当;③未对发现的例外事项进行恰当的追查。
此外,注册会计师在综合运用不同的审计程序时,除了面临各类审计程序的性质选择问题外,还面临如何权衡各类程序的范围问题。因此,注册会计师在综合运用各类审计程序时,不仅应当考虑各类审计程序的性质,还应当考虑测试的范围是否适当。