五、关于“审计风险”的说明

(一)审计风险的构成要素及其相互关系

按照韦伯(Webster)词典的解释,风险是指发生伤害、毁损、损失的可能性。审计风险本质上是一种发表不恰当审计意见的可能性。如前所述, 审计风险(Audit Risk,简称 AR)是指会计报表存在重大错报或漏报,而注册会计师审计后发表不恰当审计意见的可能性。审计风险包括固有风险、控制风险和检查风险。所谓固有风险(Inherent Risk,简称 IR), 是指假定不存在相关内部控制时,某一帐户或交易类别单独或连同其他帐户、交易类别产生重大错报或漏报的可能性。所谓控制风险(Control Risk,简称 CR),是指某一帐户或交易类别单独或连同其他帐户、交易类别产生错报或漏报,而未能被内部控制防止、发现或纠正的可能性。所谓检查风险(Detection Risk,简称 DR),是指某一帐户或交易类别单独或连同其他帐户、交易类别产生重大错报或漏报,而未能被实质性测试发现的可能性。

在审计风险的三个构成要素中,固有风险和控制风险与被审计单位内部控制是否存在、是否有效有关,注册会计师对此无能为力。但注册会计师通过研究和评价被审计单位的内部控制,可以对被审计单位固有风险和控制风险的高低作出评估。在此基础上,注册会计师便可确定实质性测试的性质、时间和范围,以便将检查风险以及总体审计风险降低至可接受水平。固有风险、控制风险和检查风险的相互关系可以从定性和定量两个方面加以考察:

从定量的角度看,审计风险三要素的相互关系可用下列公式表示: 审计风险=固有风险×控制风险×检查风险

或 AR=IR×CR×DR

根据上述公式,在既定的审计风险下,检查风险可推算如下:

检查风险 = 审计风险

固有风险×控制风险

或 DR =

AR IR × CR

例如,某注册会计师可接受的审计风险为 5%,根据以往审计经验以及

本年度审计对内部控制的研究和评价,他将被审计单位的固有风险和控制风险分别评估为 60%和 40%。以这些评估为基础,他可接受的检查风险计算如下:

5%

DR = 60% × 40%

DR = 20.8%

从定性的角度看,审计风险三要素的相互关系如表 9—3 所示:

表 9—3 审计风险三要素之间的关系

注册会计师对固有风险的评估

注册会计师对控制风险的评估

注册会计师可接受的检查风险

最低

较低

中等

较低

中等

较高

中等

较高

最高

表 9—3 说明,检查风险与固有风险和控制风险的综合水平之间存在着反比关系。固有风险和控制风险的综合水平越高,注册会计师可接受的检查风险水平越低,反之亦然。换言之,当固有风险和控制风险的综合水平较高时,注册会计师必须扩大审计范围,将检查风险尽量降低,以便使整个审计风险降低至可接受的水平。反之,如果被审计单位内部控制行之有效,固有风险和控制风险的综合水平较低,则注册会计师即使冒较大的检查风险,但总体审计风险仍然较低。

(二)评估固有风险应考虑的因素

注册会计师评估被审计单位的固有风险时,应当考虑的因素可分为两类。第一类因素与会计报表的认定有关,第二类因素与帐户余额(金额) 或交易类别有关。

评估与会计报表认定有关的固有风险时,注册会计师应着重考虑以下因素:

  1. 管理人员的品行和能力。管理人员诚信度越高,固有风险越小;反之,固有风险越大。管理人员的阅历、经验越丰富,素质和能力越高,固有风险越小;反之,固有风险越大。

  2. 管理人员,特别是财务人员的变动情况。管理人员,特别是财务人员的变动越频繁,固有风险越大;反之,固有风险越小。

  3. 管理人员遭受的异常压力。管理人员遭受的异常压力(如被审计单位负债率太高,银行威胁收回贷款;上市公司已连续两年遭受严重亏损, 面临着被摘牌的危险)越大,固有风险越大;反之,固有风险越小。

  4. 业务性质。业务性质(如从事衍生金融工具的买卖业务)越复杂, 固有风险越大;反之,固有风险越小。

  5. 影响被审计单位所在行业的环境因素。例如,宏观调控、银根紧缩、竞争加剧、需求改变等不利环境因素,可能导致被审计单位的固有风险增大。

评估与帐户余额(金额)或交易类别有关的固有风险时,注册会计师应着重考虑以下因素:

  1. 容易产生错报的会计报表项目。例如,待摊费用、递延资产、预提费用、产品销售成本、其他应收款、其他应付款等会计报表项目较易产生错报,与之相关的固有风险通常也较大。

  2. 需要利用专家工作结果予以佐证的重要交易或事项的复杂程度。例如,需要精算师予以估价的退休金计划、需要地质工程师估算储油量的油田开采、需要鉴赏家鉴定的宝石、油画买卖等具有很高不确定性的交易或事项,其固有风险通常较大。

  3. 确定帐户金额时,需要运用估计和判断的程度。例如,固定资产折旧、无形资产和递延资产摊销、存货跌价损失准备、坏帐准备、材料成本差异、或有损失等帐户金额的确定,需要会计人员大量运用估计和判断, 出错的概率较大,固有风险也相应较大。

  4. 容易遭受损失或被挪用的资产。例如,现金、有价证券、存货等资产具有普遍的吸引力,若缺乏有效的内部控制,容易遭受损失或被挪用, 因而固有风险相对较大。

  5. 会计期间,尤其是临近会计期末发生的异常及复杂交易。例如,会计年度即将结束时确认异常多的销售收入、发生大量的关联交易,可能意味着被审计单位有粉饰经营业绩和财务状况之嫌,相应地讲,固有风险也较大。

  6. 在正常的会计处理程序中容易被漏记的交易和事项。例如,销售退回及折让、购货退回及折让、应收及应付利息的计提、按成本与市价孰低原则核算的有价证券、按权益法核算的长期投资及其投资损益等,在正常的会计处理程序中被漏记的可能性较大,固有风险也较大。

(三)控制风险的初步评估

注册会计师在了解被审计单位的内部控制并对固有风险进行评估后, 应当对各重要帐户或交易类别的相关认定(主要包括是否存在、所有权是否归被审计单位所有、记录是否完整、余额或金额的计价是否正确、披露是否充分)所涉及的控制风险作出初步评估。这里所说的评估之所以是初步评估,是因为注册会计师在实施符合性测试之前,还无法最终对被审计单位内部控制的有效性(即能否及时防止、发现和纠正重大错报或漏报) 作出肯定或否定的结论。

在对控制风险进行初步评估时,注册会计师应当遵循稳健原则,宁可高估控制风险,不可低估控制风险。基于这一原则,当出现下列情况之一时,注册会计师应当将控制风险评估为高水平,以确保其能扩大审计范围, 搜集更加充分、适当的证据,从而通过尽量降低检查风险以使总体审计风险处于可容忍水平之下:

  1. 被审计单位内部控制失效。就是说,尽管被审计单位内部控制确实存在,但因种种原因而未得到遵循和贯彻。2.注册会计师难以对内部控制的有效性作出评估。例如,被审计单位缺乏成文的内部控制,内部控制仅以非正式的方式存在,或者符合性测试的范围受到限制,导致注册会计师

难以对内部控制是否有效作出评估。 3.注册会计师不拟进行符合性测试。如果注册会计师决定省略符合性

测试,直接实施实质性测试,他将无法对内部控制的有效性作出评估,基于稳健考虑,他应当将控制风险评估为高水平。

只有出现下列情况时,注册会计师才不应当将控制风险评估为高水平:

(1)相关内部控制可能防止、发现或纠正重大错报或漏报。(2)注册会计师拟进行符合性测试。

上述第一种情况说明内部控制可能有效,第二种情况说明控制风险的高低,只有待注册会计师实施符合性测试程序后,才能最终予以评估。

(四)符合性测试与控制风险的进一步评估

本准则第二十五条规定:“注册会计师如拟信赖内部控制,应当实施符合性测试程序,以评估控制风险。初步评估的控制风险水平越低,注册会计师就应获取越多的关于内部控制设计合理和运行有效的证据。”

上述规定包括两层涵义。第一层涵义是,实施符合性测试是信赖内部控制的前提条件,不允许注册会计师在实施符合性测试程序对内部控制的有效性进行测试之前,就对被审计单位的内部控制妄加信赖。当然,如果不准备信赖内部控制,注册会计师便可不实施符合性测试。第二层涵义说明了控制风险初步评估结果与审计证据的关系。如前所述,基于稳健原则, 注册会计师宁可高估控制风险,不可低估控制风险。为此,本条规定要求, 实施符合性测试之前,如果注册会计师要将控制风险评估为低水平,则他必须获取尽可能多的证据以表明内部控制设计合理、运行有效。

可供注册会计师选用的符合性测试程序通常包括下列三种: 1.检查交易和事项的凭证。即检查交易和事项的有关凭证(如检查赊

销、销货退回及折让、销货折扣等交易或事项是否经过适当的授权批准), 以获取内部控制有效运行的证据。

  1. 询问并实地观察未留下审计轨迹(Audit Trail)的内部控制的运行情况。例如,根据内部控制的规定,贵重的大宗存货的入库验收必须有采购经理、仓管经理和财务经理在场,但实际验收时是否如此严格执行, 往往不会留下审计轨迹。在这种情况下,注册会计师可通过询问并实地观察,才能据此判断相关内部控制规定是否得到遵守。

  2. 重新实施相关内部控制程序。例如,重新编制银行存款调节表,以检查被审计单位的财务人员是否定期将银行存款日记帐与银行对帐单核对、调节。

为了明确注册会计师对符合性测试的责任,本准则第二十七条规定了三个例外原则。出现下列三种情况之一时,注册会计师可不进行符合性测试,而直接实施实质性测试程序:

  1. 相关内部控制不存在。既然内部控制不存在,当然也就无法进行符合性测试。

  2. 相关内部控制虽然存在,但注册会计师通过了解发现其并未有效运行。当内部控制形同虚设,失去应有效力时,注册会计师便无法加以信赖。只要不准备信赖内部控制,注册会计师便没有责任进行符合性测试。

  3. 符合性测试的工作量可能大于进行符合性测试所减少的实质性测试的工作量。进行符合性测试,其最终目的是为了减少实质性测试的工作量,

因此,基于“成本与效益”的考虑,如果符合性测试不能减少实质性测试的工作量,甚至可能大于符合性测试所减少的实质性测试工作量,进行符合性测试显然毫无意义。

进行了符合性测试后,注册会计师应当根据符合性测试的结果,评估内部控制的设计和运行是否与控制风险的初步评估结论相一致。如果存在偏差,应当修正对控制风险的评估,并据以修改实质性测试程序的性质、时间和范围。

(五)符合性测试应注意的问题

注册会计师对被审计单位的内部控制进行符合性测试时,应当特别关注以下三个问题:

  1. 对上期符合性测试资料的利用。如果持续接受委托(即对同一个被审计单位进行连续不间断的审计),注册会计师可利用上期对内部控制的研究与评价资料。但时过境迁,上期适用的、行之有效的内部控制,到了本期不一定再适用,不一定有助于防止、发现和纠正重大的错报或漏报, 因此,若决定利用上期符合性测试资料,必须对其予以更新。

  2. 内部控制运用的一贯性。对被审计单位的内部控制进行符合性测试时,注册会计师必须注意内部控制在所审会计期间的运用是否保持一贯。如果内部控制在所审会计期间发生显著变化,如对业务部门放弃了严格的预算制度,转而采用赋予部门经理较大决策权的利润中心或投资中心制度,则注册会计师应当对被审计单位所审会计期间所运用的不同内部控制分别进行测试。

  3. 对期中审计符合性测试资料的利用。如果期中审计已进行符合性测试,注册会计师在决定完全信赖其结果前,应当考虑以下因素,以进一步获取期中至期末的相关审计证据。

  1. 期中审计符合性测试的结论。如果期中审计符合性测试结果表明内部控制高度有效且一贯得到遵循,则注册会计师可考虑更多地利用期中审计的符合性测试资料。

  2. 期中审计后剩余期间的长短。期中审计后剩余期间越长,期中审计符合性测试资料的利用价值越小,反之,利用价值越大。

  3. 期中审计后内部控制的变动情况。期中审计后被审计单位内部控制的变动幅度越大,期中审计符合性测试资料的利用价值越小。反之,如果期中审计后内部控制未发生变动或只发生微小变动,则期中审计符合性测试资料的利用价值越大。

  4. 期中审计后发生的交易和事项的性质及金额。期中审计后发生的交易和事项其性质如果与期中审计之前发生的交易和事项迥然不同,或者期中审计后发生的交易和事项其金额特别巨大,则期中审计符合性测试资料很可能没有多大利用价值。因为交易和事项性质的剧变,可能使期中审计所审会计期间的被审计单位运用的内部控制失效。同样的,期中审计后发生的交易和事项,其金额如果特别巨大,则根据重要性原则,符合性测试的重点应放在期中审计之后,而不应依赖期中审计对内部控制的研究与评价。

  5. 拟实施的实质性测试程序。譬如,注册会计师已对 1 月至 10 月份的会计报表及会计资料实施了非常全面、详细的实质性测试,期终审计时准备采用全面、详细的实质性测试程序对 11 月和 12 月份的会计报表及其

会计记录进行测试,则他可能减少或根本不利用期中审计符合性测试资料。

(六)实质性测试与控制风险的最终评估

本准则第三十二条要求注册会计师在终结审计之前,应当根据实质性测试的结构和其他审计证据,对控制风险进行最终评估,并检查其是否与控制风险的初步评估结论相一致。如果不一致,如实质性测试结果表明, 控制风险水平高于控制风险的初步评估水平,可能意味着根据对控制风险初步评估结论而设计的实质性测试程序不能将检查风险降低至可接受的水平。在这种情况下,注册会计师应当考虑是否追加相应的审计程序。例如, 通过发函询证,注册会计师发现回函结果与被审计单位的会计记录普遍存在着重大差异,这表明被审计单位未能有效地就应收帐款与客户定期核对。为此,注册会计师可能决定全面、详细地审查所有销货交易、扩大应收帐款的函证范围。

(七)检查风险的评估基础

如前所述,审计风险三要素之间存在着密切关系。固有风险与控制风险的综合水平,决定着注册会计师可接受的检查风险水平。评估的固有风险与控制风险综合水平越高,注册会计师可接受的检查风险水平也越低, 反之亦然。因此,本准则第三十三条规定:“由于控制风险与固有风险相互联系,注册会计师应当对固有风险与控制风险进行综合评估,并据以作为检查风险的评估基础。”

鉴于固有风险与控制风险的评估对检查风险有直接影响,固有风险和控制风险的水平越高,注册会计师就应实施越详细的实质性测试程序,并着重考虑其性质[例如,针对存货和产品销售成本项目,除实施分析性复核外,还对其余额(金额)进行细节测试]、时间(例如,在接近会计期间结束时,而不是在更早试点进行测试)和范围(例如抽取较大样本),以将检查风险降低至可接受的水平。

(八)检查风险对确定实质性测试性质、时间和范围的影响

不论固有风险和控制风险的评估结果如何,注册会计师都应当对各重要帐户或交易类别进行实质性测试。然而,注册会计师实施的实质性测试, 其性质、时间和范围的决定,最终取决于注册会计师根据固有风险和控制风险的综合水平所确定的可接受的检查风险。可接受的检查风险水平与实质性测试的性质、时间和范围的关系如表 9—4 所示:

表 9—4 检查风险与实质性测试的性质、时间和范围的关系

实质性测试

可接受的检查风险

性质

时间

范围

分析性复核和交易测试为主

其中审计为主

较小样本较少证据

分析性复核、交易测试以及余额测

试结合运用

其中审计、期末审计和期后

审计结合运用

适中样本适量证据

余额测试为主

期末审计和期后审计为主

较大样本较多证据

(九)检查风险与审计意见的类型

检查风险不仅影响注册会计师所实施的实质性测试的性质、时间和范围,而且影响注册会计师所发表审计意见的类型。如果经过实施有关实质性测试后,注册会计师仍认为与某一重要帐户或交易类别的认定有关的检查风险不能降低至可接受的水平,那么,他应当发表保留意见或拒绝发表意见。这是因为,如果不能将重要帐户或交易类别的检查风险降低至可接受的水平,注册会计师将难以确定有多少重大的错报或漏报无法通过实质性测试予以发现,会计报表的部分或全部认定是否真实、公允也难以确定。在这种情况下,最明智的做法是发表保留意见或拒绝发表意见。

《独立审计具体准则第 10 号

——审计重要性》释义