□文/王 环
(重庆大学建设管理与房地产学院 重庆)
我国目前的审计实务正处于账项导向审计向制度导向审计过渡的阶段,更多体现出账项导向审计的特点。主要表现在以下两个方面:对固有风险的评估往往停于表面,我国大多数会计师事务所往往是通过收集营业执照、企业制度等资料分析被审单位的固有风险。但是,这种做法根本没有触及到企业经营的实质,使注册会计师缺乏对被审单位的生产经营以及所属行业等基本情况的了解;对控制风险的评估也流于形式。在我国,不少注册会计师对被审单位的内部控制进行了解并执行控制测试时,也往往流于形式,缺乏职业判断。特别是我国的上市公司,多为国企改制形成,由于计划经济留下的烙印很深,使其中很多企业的领导人往往凌驾于内部控制之上。
可见,国内注册会计师在实务中通常将主要精力放在项目交易或余额的细节测试上。将固有风险简单评估为高水平,在控制测试中仅通过收集被审计单位的规章制度、章程、填写标准调查表等,以充实工作底稿,然后先总账、明细账加总核对,再抽取记账凭证、复印原始凭证,最后得出结论。得出结论的过程中既缺少专业判断,也看不出根据评估结论如何设计执行审计程序。当对财务信息系统和战略经营信息间的关联度、可靠性缺乏职业判断和应有的职业敏感性时,对于从源头上造假和精心策划的管理舞弊,加总、核对等实质性程序多半是无效的。
虽然开展现代风险导向审计势在必行,但现代风险导向审计对于我国毕竟是个新生事物,由于制度的路径依赖的特性以及所面临的种种现实问题,要求审计组织在很快的时间内就转变审计方法显然是不切实际的,要循序渐进,通过实践逐步摸索、完善。从理论上讲,现代风险导向审计方法能够弥补传统风险导向审计方法的不足,缩短审计期望差距。但是到目前为止,无论是国际上还是我国还没有一套严密的现代风险导向审计体系。从目前看,运用现代风险导向审计方法可能存在以下问题:
(一)缺乏综合素质高的注册会计师。由于现代风险导向审计模式贯穿了风险管理的理念,不仅对被审计单位的内部会计系统进行审查,还将范围扩大到了被审计单位外部的行业、法律、经营环境等,从而对被审计单位进行综合的风险分析。这就要求注册会计师不仅具备丰富的执业经验,还要有广博的行业知识、法律知识等,而我国注册会计师行业尚缺乏这种综合性的人才。
(二)相关数据积累不够,信用体系不尽完善。实施现代风险导向审计方法,注册会计师必须要掌握宏观环境、监管环境、行业状况以及企业经营战略等方面信息,判断企业的诚信,评估企业的经营风险,则要求会计师事务所应该建立功能强大的数据库,以满足注册会计师了解企业的战略、流程、风险评估、业绩衡量和持续改进的需要。
(三)审计成本较高。实施现代风险导向审计,不仅需要培训注册会计师,使他们熟悉业务流程等有关方面的知识以便在审计之前对企业各个方面进行调查了解,并且还需要更多审计经验的合伙人及注册会计师的参与,这就需要有一定的投入。
(四)注册会计师对现代风险导向审计模式的运用缺乏动力。虽然《证券法》、《注册会计师法》等一些法律的出台对规范注册会计师的执业行为起了一定的制约作用,然而这些法律仍然缺乏可操作性。在我国,民事赔偿制度很不完善,如果出现了审计失败,更多的是对注册会计师采取行政处罚(当然也有少量的刑事处罚),这就使得注册会计师很难将其量化为审计风险水平;当然,不牵扯到经济利益,这就使得注册会计师对风险估计不足,从而使审计质量大打折扣。
(五)对风险导向审计模式的认识不够,审计思路未转换过来。在实践中,由于整个审计准则的导向是以制度评价为基础的,大多数注册会计师基本上仍按照账项基础审计模式操作,即把审计的主要精力放在具体交易事项或期末余额的细节测试。
(一)对于国家有关部门:完善法制环境是推行现代风险导向审计的必要措施。如前所述,健全的法律环境是风险导向审计实施的必要前提,风险导向审计作用的发挥确实离不开一定的制度安排。研究表明:通过一定的制度安排来加大注册会计师的法律责任对于抑制会计信息失真的现象而言,其长期性政策效应优于加重对提供虚假会计信息的企业的处罚,因此完善法制环境有利于审计人员做出正确选择,是推行风险导向审计的并行措施。
(二)对于会计师事务所及注册会计师:推行现代风险导向审计要求我国注册会计师摒除一些传统的观念和做法,采用风险导向的技术和方法。这里着重要强调如下几点:
1、重视对被审计单位情况(包括内部控制)的了解,并形成审计证据。我国注册会计师很少将了解情况看成是搜集审计证据的有机组成部分,现代风险导向审计将这项工作作为重心之一,并相应扩大了审计证据的内涵。
2、学习加研究,形成自己的一套风险评估体系。建议:一方面可由中注协牵头,与国际审计准则制定机构或大型国际会计师事务所合作研究风险评估方法体系为实务提供指导;另一方面事务所可根据自身积累和研究、借鉴外国或外资事务所的方法经验、事务所联合开发形成适用的风险评估方法体系。
3、根据风险评估水平实施针对性的审计程序。风险导向审计要求根据风险评估确定审计程序,如先进行控制测试,再进行实质性测试,或直接进行实质性测试,在实质性测试中又考虑只进行分析性测试,或减少细节测试的样本数量,或作为100%检查的关键项目等。因此,审计人员应该改变传统定式,改革审计程序。
4、注重分析和评价。根据现代风险导向审计,审计人员应首先运用企业分析框架对被审计单位进行分析研究,充分应用分析性测试和使用有关分析工具,评价风险、设计具体审计程序、对审计证据进行分析和评价。总之,分析和判断不能少。
5、利用审计抽样方法。我国目前对各交易类型和账户余额的具体测试投入的审计资源比重较大,在抽查数量与方法上存在很大的随意性,因此细节测试应在考虑风险评估、分析性测试以及需进行100%检查的关键性项目等因素基础上,尽可能采用统计抽样方法。
6、充分应用计算机技术,提高审计工作水平。包括运用计算机软件进行分析性测试、进行统计抽样、进行审计风险评估等,以提高工作效率和水平,以及运用计算机建立广泛的数据库资料,为风险评估提供基础。
风险应对规划必须适合风险的重要性水平,能经济有效地迎接挑战,必须在项目背景下现实可行,而且风险应对规划由所有相关方商定并由一名负责人负责。一般应对措施有以下四种策略:
(1)消极风险或威胁的应对策略。通常使用回避、转嫁与减轻三种策略应对可能对项目目标存在消极影响的风险或威胁。
(2)积极风险或机会的应对策略。通常使用开拓、分享或提高三种策略应对可能对项目目标存在积极影响的风险。
(3)威胁和机会的应对策略。通常采取接受策略。该策略可分为主动或被动方式。被动地接受风险则不要求采取任何行动,将其留给项目团队,待风险发生时相机处理。最常见的主动接受风险的方式是制定应急储备金,包括一定的时间、资金或资源处理已知或潜在的未知威胁或机会。
(三)对于社会各界。企业建立完善的内部控制制度,就可减少无意的差错和舞弊的机会等。当然,这里的内部控制概念是广义的。2006年上海证券交易所的《上市公司内部控制指引》明确给出了内部控制的定义:内部控制是指上市公司为了保证公司战略目标的实现,而对公司战略制定和经营活动中存在的风险予以管理的相关制度安排。它是由公司董事会、管理层及全体员工共同参与的一项活动。内控制度的实质是董事会、管理层及全体员工共同参与的一项活动,其更多约束的是董事会以下的经理层面,是对狭义公司治理的有效补充。根据《指引》规定,会计师事务所应参照主管部门有关规定对公司内部控制自我评估报告进行核实评价;公司董事会应在年度报告披露的同时,披露年度内部控制自我评估报告,并披露会计师事务所对内部控制自我评估报告的核实评价意见。上证所《指引》在某种程度上,比美国的《萨-奥法案》404条款的要求更高。404条款主要是针对对财务报表产生影响的内部控制制度健全与否,《指引》则对公司内控制度提出全方位的要求,比如战略制定实施、管理的风险等。目标涵盖提高公司经营效果效率、增强信息披露的可靠性以及公司行为的合法合规三个方面。内控制度的完善将大大提高上市公司的治理水平和风险防范能力。
只有在内部控制有效的基础上,基于更高层面的分析性测试才能够充分发挥其应有的作用。与现代风险导向审计的内在要求相对应的情况是:一方面当前我国大部分企业的内部控制机制还很不健全,很难在内控层面上保证会计处理的合法、合规性,内控测试和实质性测试的环节不能盲目省掉。因此,建议现代风险导向审计的推广,必须加快上市公司治理结构、完善内部控制制度的制度建设。
在现在的经济环境下推行风险导向审计,在推动我国审计工作进步的同时,还可以增强社会投资者的信心,有利于我国经济市场、特别是金融市场的健康发展。■