從審計風險模型的改進論風險導向審計的戰略調整

摘要：風險導向審計自上個世紀80年代初問世以來，在其後的近20年的時間裏備受推崇。然而，隨着本世紀初西方發達國家爆發的一系列審計醜聞，風險導向審計模式的不足也初現端倪。我們發現，風險導向審計模式的缺陷起因於其所構建的基礎-審計風險模型本身的缺陷。於是，本文結合美國最新的反舞弊準則的精神對原有的審計風險模型按照審計風險源進行了重構，並根據重構的審計風險模型提出了風險導向審計模式應有的審計戰略調整。　　上個世紀80年代初，在高風險環境的背景下，美國審計職業界最先建立起了審計風險模型。審計風險模型的建立引起了審計方式的變革，制度基礎審計開始向風險導向審計過渡。　　毋庸置疑，現有的風險導向審計模式經過了近二十年的實踐，其先進公道之處固然存在，但也逐漸暴露出了一些。因此，研究解決這些題目，不斷完善風險導向審計模式就成爲審計職業界確當務之急。　　我們以爲，研究風險導向審計存在的題目離不開對審計風險模型的研究。固然審計風險模型（Auditing Risk Model）與風險導向審計模式的含義是有區別的，前者研究的是審計風險的種類或要素及其關係，後者是從審計的過程和整體角度審計風險在審計中的作用。但是，前者是後者的一個組成部分，而且是非常重要的，處於核心地位的一部分（蕭英達、張繼勳、劉志遠，2000）。因此，我們以爲，要研究風險導向審計必須從審計風險模型的研究進手。　　我們經過研究發現，風險導向審計暴露出來的題目與其賴以建立的基礎-審計風險模型本身具有的缺陷有關，現有的審計風險模型需要改進，審計風險模型改進以後，建立在其上的風險導向審計則面臨着戰略上的調整。　　一、審計風險模型的缺陷及其改進　　現有的審計風險模型來源於美國審計準則委員會的兩個檔案，1981年發佈的第39號審計準則公告《審計抽樣準則》和1983年發佈的第47號審計準則公告《審計業務中的審計風險和重要性》。在47號公告中給出了著名的審計風險模型：　　審計風險=固有風險×控制風險×檢查風險　　20世紀80年代美國職業界就是在這一風險模型基礎上建立了風險導向審計模式。然而，正是這個風險模型，卻存在着一些比較隱蔽的缺陷。　　缺陷一：固有風險概念內涵與外延不一致，邏輯上不能一貫。　　我們上以爲，固有風險是指假定不存在相關內部控制時，某一帳戶或交易種別單獨或連同其他帳戶、交易種別產生重大錯報或漏報的可能性。而我們在評估固有風險時（涉及報表層次的）又必須從內部控制（控制環境）進手。固有風險這種內涵與外延的不一致使得該風險模型的性受到了極大的損害（陳志強，1998）。　　缺陷二：把控制風險要素作爲審計風險的乘積因子躲有隱患。　　由於控制風險作爲該模型的一個乘積因子，因此，理論上以爲，假如註冊會計師能把控制風險評估得比較低就可以大大減少實質性測試的工作量。於是註冊會計師只要透過控制測試得到了一個比較滿足的結果，就理所當然地以爲他們已經有了一個比較高的可接受檢查風險水平。然而，殊不知這樣就可能爲註冊會計師的審計埋下了一個很大的隱患。原因很簡單，首先控制測試得到的是內部證據，既然是內部證據就可以被治理當局操縱，因此，其證實力是比較差的。其次，內部控制在防止無意的錯報以及員工舞弊（不包括串通舞弊）方面應該有着積極意義，但在防止治理當局舞弊方面，內部控制應該是無能爲力的。否則也不會有所謂的“內部人控制”題目了。也就是說，註冊會計師對控制測試的滿足程度與治理當局是否存在舞弊沒有直接的關聯關係。有關這方面的題目，從我國近十幾年所發生的上市公司舞弊案件中可以找到很多例證。因此，把控制風險單獨作爲風險模型的一個乘積因子，這就爲審計失敗埋下了一個很大的隱患。　　缺陷三：不能用於財務報表整體，無法滿足對財務報表審計整體審計風險的把握和控制。　　理論上以爲，“審計風險模型不是對財務報表整體上使用的，由於這無助於作出審計證據的決策，而必須在每一種業務循環，每一個帳戶，並且經常是每一個審計目標上進行分析。”（蕭英達、張繼勳、劉志遠，2000）固然該風險模型要求在評估固有風險時應當從會計報表層次和帳戶餘額層次兩個方面加以考慮，但在評估控制風險時卻並不涉及報表層次，只能要求註冊會計師對各重要帳戶或交易種別的相關認定所涉及的控制風險進行評估。這樣一來，固有風險評估中的會計報表層次的評估也就沒有實際意義了。由於控制風險的評估是按帳戶餘額或交易種別所涉及的認定進行的，在風險模型中其無法與會計報表層次的固有風險評估相匹配，只能與帳戶餘額或交易種別層次固有風險的評估相匹配。這樣一來，現有的審計風險模型實際上就是用於對每一帳戶餘額或交易種別所涉及的認定進行風險導向審計的理論基礎，而不能構成對整個進行風險導向審計的理論基礎。這一點充分地體現在我們按此模型所演變出來的所謂的“初步審計謀略”理論之中（陳志強，2002）。　　由於現有的審計風險模型只能用於帳戶餘額或交易種別，而不能用於財務報表整體，因此，在此基礎上構建出的風險導向審計模式在對待風險上只能是零散的.、微觀的，而不能形成整體的宏觀的熟悉。這就必然導致註冊會計師在把握和控制審計風險時只見樹木不見森林。　　現有的審計風險模型存在着以上缺陷，這些缺陷的存在又直接着風險導向審計模式的科學性、公道性。因此，理論上必須對現有的審計風險模型進行重構。　　註冊會計師審計的直接對象爲會計報表，能給註冊會計師帶來審計風險的是有嚴重虛假的會計報表，那麼引起會計報表虛假的因素就應該構成了審計風險模型的基本因子。從根源上看，能夠引起會計報表虛假的無外乎舞弊和錯報這兩個因素。從這一思路出發我們以爲，科學的審計風險模型應該是：　　審計風險=（舞弊風險 錯報風險）×檢查風險　　由於舞弊風險又即是治理當局舞弊風險加員工舞弊風險，因此，上述模型可有如下變化：　　審計風險=（治理當局舞弊風險 員工舞弊風險 錯報風險）×檢查風險　　審計風險=治理當局舞弊風險×檢查風險 員工舞弊風險×檢查風險 錯報風險×檢查風險　　上述模型中檢查風險的涵義應該有所變化，具體變化爲：檢查風險是指某一帳戶或交易種別單獨或連同其他帳戶、交易種別存在重大虛假，而未能被實質性測試發現的可能性。這裏我們用“虛假”替換了原來的“錯報或漏報”，乍看沒有多大區別，實在不然。錯報或漏報誇大的是原因，而且單獨從字面上看，突出的是“無意”，沒有明顯地把“舞弊”包含在內。而“虛假”誇大的是結果，只要能夠引起會計報表使用者產生錯誤判定或誤解的會計報表，不管其是何原因引起，都可視爲重大虛假的會計報表。基於這樣一種熟悉，在對審計風險的解釋中，也“虛假”替換“錯報或漏報”。其他需要解釋的是治理當局舞弊、員工舞弊和錯誤這三個概念。所謂的治理當局舞弊是指企業治理當局透過各種手段粉飾會計報表，欺騙會計報表使用者以達到某種目的的不法行爲；員工舞弊是指企業員工透過不法手段竊取企業利益的不法行爲；錯報是指由於企業員工無意的行爲而使會計報表產生了虛假。有了這樣一種解釋，上述的“治理當局舞弊風險”、“員工舞弊風險”和“錯報風險”的內涵也就不問可知了。　　由於風險的概率值總是在0 - 1之間，因此，模型中（舞弊風險 錯報風險）的概率區間爲（0，1）。固然不同企業的具體情況千差萬別，但由於審計中“重要性”概念的存在，無論如何舞弊風險要遠遠高於錯報所產生的風險，尤其是治理當局舞弊風險應該是在諸多風險之中最具威脅的一種風險。有鑑於此，我們以爲，在實務中，註冊會計師對治理當局舞弊風險的評估水平不能太低。對風險的這樣一種分配和考慮既有現實基礎，又有積極意義。現實基礎是，從世界範圍內已發生的審計失敗案例來看，給註冊會計師帶來真正威脅的是舞弊，尤其是治理當局舞弊。因此，註冊會計師應該把主要精力放在識別和控制由於治理當局舞弊所帶來的風險上。積極意義是，該模型把治理當局舞弊風險作爲審計風險模型的一個獨立因子，這就對註冊會計師識別和控制治理當局舞弊風險提出了明確的要求。　　需要作出解釋的是此模型中沒有了固有風險和控制風險。原模型中的固有風險，涉及報表層次的應考慮的因素現已包含在現有模型中的“治理當局舞弊風險”之中，涉及帳戶餘額和交易層次的應考慮的因素則包含在“錯報風險”之中。由於內部控制對治理當局舞弊以及員工的串通舞弊是無效的，所以，原模型中的控制風險，其內涵主要包含在現在模型中的“錯報風險”之中。　　改進後的審計風險模型修正了原模型中所隱含的缺陷。原有的審計風險模型不能用於財務報表整體，只能用於某一帳戶餘額或交易種別所涉及的認定方面，這不利於註冊師對風險的整體把握和控制。改進後的風險模型既可用於某一帳戶餘額或交易種別所涉及的認定方面，也可用於財務報表的整體，這就使得註冊會計師對風險的識別和控制有了更清楚的對象和，便於指導實務中的操縱，而且還充分體現了審計過程中整體和局部、戰略和戰術的區別和聯繫，邏輯上也做到了前後一貫、嚴密公道。因此，該模型的建立有着積極的和實踐上的意義。