一、审计风险再认识
新世纪伊始,美国华尔街发生了一系列重大财务丑闻,涉及诸如安然、施乐、泰科, 时代 华纳等跨国公司,而“五大” 会计 师公司在这一系列财务丑闻案中无一幸免,其中一家世界著名会计师公司亦因此而宣告退出审计市场。而在我国大陆和香港资本市场亦出现了“银广厦”、“创维”等财务丑闻案例。总之公众对会计师的信心已经降到了 历史 最低点。于是整个会计师业界,不论是国际会计师公司还是 中国 本土会计师们在努力争取重新获得公众信任的同时,也在对审计风险进行重新再认识。在本世纪初发生的重大财务丑闻案中,没有一家会计师行认为自己未尽到职业的勤勉之义务,亦都认为自己的审计工作是完全按照公认审计准则进行的。安然事件中的安达信审计师至今仍认为其工作是完全符合美国公认审计准则的。对于安然事件,从刑事角度看, 也仅仅是由美国地 方法 院判定审计师涉嫌销毁部份工作底稿,而 目前 美国高等法院正对地方法院的该判定进行重审; 从民事角度而言, 在涉及安然事件的众多民事诉讼中, 法院尚无法判定审计师的审计责任。然而,由众多标的金额巨大的 法律 诉讼所表现出来的审计风险却丝毫不会因为审计师们自己对其审计质量,审计责任的看法不同而有所降低。可见在当今资本市场中, 企业 的经营风险就是审计师的审计固有风险,企业的经营失败、舞弊、违法行为等所引发的风险对会计师而言往往是最不可控但又是最致命的,这就需要我们从公众期望及 现代 资本市场 规律 和公司治理框架等更高的角度来重新认识审计风险。
我们认为在当今人类商业 社会 中,资本是以创造财富为其首要目标。而财富的创造过程是可以看成是投资者(股东),企业管理层及团队,包括会计师在内的市场中介,以及政府监管机构这些主要利益相关者组成的价值链。这一价值链的总体目标是寻求财富增长,而风险总是和财富并存的,因此又可以把该总体目标理解为在承担合理风险的基础上实现财富的增长,而其中的各个利益相关者又在这一共同整体目标下扮演各自的角色,履行各自的义务。我们可以试着将该价值链构成用以下图形予以表示:
(一)人类社会商业环境
该要素处在整个价值链的最外围,人类社会的一切商业行为都是在该环境中进行的,其包括社会文化,人文特征,社会信息特征,政局,立法和司法环境及市场透明度等等。越是良性的商业环境必然会有利于降低财富创造所面临的风险,反之,投资者,管理层及其团队,市场中介、监管部门所承担的风险也就越高,从而越不利于人类社会财富的创造。因此,在评估资本投资所面临的固有风险时首先应该评估其所处社会环境风险。
(二)投资者
投资者处在财富创造价值链各要素的顶端,一切的财富创造行为源自于投资者的投资行为。因此,投资者是进行商业投资风险评估的第一人,投资行为是基于投资回报最大化为其使命的,在承担合理可接受的风险基础上,投资者期望获得投资剩余权益索取权所对应的那部份价值。而在现代资本市场中,所有权与经营权的分离又导致对投资风险进行评估和控制直到降低至合理的可接受水平这一过程,是需要由董事会/审计委员会,管理层及其团队,市场中介及监管部门等其他要素(利害关系人)的共同参与并将风险予以层层降低才可以实现的。
(三)董事会/审计委员会
董事会及审计委员会则是现代企业制度下,承担直接代表投资者利益进行公司治理的主要责任人,其与投资者之间是代理关系。董事会及审计委员在其被代理——投资者授权范围之内,通过制定公司战略目标等进行投资风险评估和决策,并对企业管理层进一步授权并进行有效监督。因此,董事会/审计委员会的有效运作将有利投资风险的控制和降低;反之,不仅无法降低投资者所面临的固有风险,可能还会反之加大投资者的风险,使财富缩水。
(四)管理层及其团队
在代理人关系 理论 下,企业管理层是在董事会的授权范围之内带领其团队实施公司战略措施, 并将固有风险水平降低至投资者可承受水平之内实现公司战略目标。管理层及其团队的有效运作,不仅可使固有风险得到合理控制,并以财富回报投资者;反之,可能会使公司破产,或被收购,最终使投资者丧失原有财富。
(五)市场中介
市场中介主要包括会计师、律师,投资银行等团体。市场中介在现代企业制度框架中起着非常重要的作用。会计师需要按公认审计准则对企业编制的财务报表发表审计意见,投资者正是期望获得可靠的财务和非财务信息,了解被投资目标的财务状况,经营状况,现金流量状况以及其他风险因素信息,从而评估其投资行为的风险与回报;律师则通常被要求对被投资目标的某些重大行为如股票债券的发行,收购和兼并发表独立的法律意见,从而使投资者可以获得被投资对象的法律风险方面的信息;投资银行则大量介入企业的资本运作,如股票及债券承销,上市保荐及尽职调查等,并在其中承担相应责任。
(六)监管部门
监管部门,包括监管当局及证券交易所,如美国的证券交易监督委员会(SEC)和中国证监会(CSRC)等,其在对资本市场运行进行监督,保护中小投资者利益等方面则是具有举足轻重的地位。这些监管部门需要对股票和债券的公开发行、上市、交易、公司信息披露要求等方面实施其以公开、公平、公正为原则的监督程序。一个有效监督的资本市场必然会降低市场风险,从而增加投资者的信心;反之会使投资者利益受损,从而影响市场信心,削弱资本市场的功能。而对监管当局而言,一个健康良好的商业社会环境,日趋成熟理性的投资群体,以公司董事会和审计委员会为核心的公司治理结构的有效运作,敬业诚信的公司管理层以及良好的市场中介力量,必然会使资本市场的固有风险水平被大大降低,从而降低监管部门的监管风险;反之,监管部门不得不面对较大的监管风险,而难免会由此被指责为监管不力。在美国安然事件中, 资本市场就曾一度将矛头指向美国证监会,而在国内,中国证监会亦曾多次成为被告。总之,当今的资本市场之中,监管者所面临的监管风险同被监管公司的经营风险的联系是不断得以加强。
商业社会的固有风险正是在经过上述利害关系人的层层控制之后,由投资者承担剩余风险,如若剩余风险低于投资者所获取剩余索取权的财富,则整个价值链呈良性状态; 反之,投资者承担的风险大于其所获回报,会降低投资信心,投资者必会追索其期望获得的回报,从而要求使该风险在其他利害关系利人之间进行重新分配。
以上对财富价值链各利害关系人的分析表明,整个价值链所面临的共同固有风险同各个利害关系人所可能要承担的风险是相关的,前者往往是后者的根源,因此,各利害关系人在评估其自身职业风险时离不开对价值链共同风险的关注。所以,对审计师而言,就更应该关注该固有风险,因为审计风险的根源正是固有风险。
审计业界并非尚未认识到其面临风险的真正根源,目前需要做的是 研究 并实施如何在审计行为中识别,控制风险,并使该理念和模式体现在审计各阶段(全过程)具体的审计程序中, 而不是仅仅在审计计划阶段对固有风险进行简单的分析。要做到这一点,传统的审计理念和模式,由于其更多的是为了关注财务报表风险而关注报表和企业帐目,而不是从企业经营风险,管理层风险管理的角度来关注财务报表,因而无法实现审计风险控制的有效性,也使审计在为整个财富价值链中的价值无法进一步得到体现。传统的审计方法除了在理念存有不足外,还欠缺足够的可以用来识别现代企业经营风险及其控制的审计工具, 模型和方法; 而本书所谈的企业风险管理审计模式,正是从企业经营风险,风险管理角度分析审计风险,实施审计程序,从财务报表风险的源头——企业经营风险角度去关注财务报表风险,从而为风险降至可接受水平提供有效保障,并实现审计目标同整个商业社会的共同目标达到一致。此外,本书还提供了大量的风险管理审计工具,模型和方法以使新的审计理念可付诸实践。就在本书即将完稿之际,欣闻中国注册会计师协会已经制定出风险审计准则并正广泛征求意见。且在可预见的近期还会有一批与风险审计相关的准则陆续颁布。风险导向审计准则提供了原则性,较高层次的纲领,将风险审计理念和模式在实践中进行运用,还需要大量、系统、具有逻辑思维的方法论、模式、程序等等。从国际惯例来看,一般是由各大会计师行在依照风险审计理念的基础上自行开发出完整的审计程序、软件,并随着实践经验不断完善。本书亦正是基于风险审计的相同理念和模式,详细分析了风险审计各个阶段的具体工作程序,风险识别,控制测试的模型和工具,并提供大量实践案例,从而有利于读者全面了解风险审计的理念和模式,更为业界实施风险审计提供可操作的一系列方法和工具。
二、现代审计方法演变
根据原美国安达信公司专业人士, Paul Sobel, 在其于2003年所著的《Auditor’s risk management guide: integrating auditing and ERM》一书中的概括, 现代审计方法在过去五十年中经历了四大阶段,其分别是:
 控制基础审计(Control-based audit)
 流程基础审计(又称经营审计)(Process-based audit)
 风险基础审计(又称风险导向审计)(Risk-based audit)
 风险管理基础审计, 又称风险管理审计(Risk-management based audit)
以下我们分别就以上四个阶段审计的演变作简单的介绍。
(一)控制基础审计(control-based audit)
控制基础审计包括传统审计,主要盛行于二十世纪八十年代之前,主要是指以传统的实质性测试为主,基于其验证结果以使财务报表得以合理的确保(Reasonable Assurance )不会出现重大误导。后来又扩展到内部审计,以达到以下三种目的之一:
1、经过验证确保企业经营行为遵循法律、法规、既定政策及原则方面的要求,该方法至今仍被广为采用,通常称为合规性审计(compliance audit)。需要注意的是,这里所指的合规性不仅仅包括对法律法规的遵循,还包括对公司现有政策、程序、业务规则的符合。
2、进行某些报表数据的审计,(financial audit),类似于外部审计,只是其范围较窄,仅仅是基于审计工作对某些具体科目或财务数据,而不是对整体财务报表提供合理的确保。
3、进行验证确保某些关键性控制措施运作有效,其审计重点是控制本身而非财务数据,因此又通常被业界称为控制审计(control audit),交易流程审计(transaction flow audit)或程序审计(procedural audit)。
控制基础审计主要有以下特点:
 审计目标:确保合规性(包括符合 法律 、法规、程序、政策以及公认 会计 准则等);
审计策略:了解规定或准则的要求,实施审计行为以确保合规性;
测试 方法 :广泛采用统计抽样 分析 及实质性程序,虽然也会运用某些合规性测试方法(compliance testing),如穿行测试(walk-through testing);
审计建议书:主要针对不符合要求的例外事项或错识提出改进/纠正措施;
控制基础审计至今仍然被广泛采用,而且由于该审计方法成熟度较高,且其审计方法在取证记录方面十分有效,因此 目前 其他不同的审计方法依然保留有控制基础审计的特征。
(二)流程基础审计(process-based audit)
流程基础审计又称为经营审计(operational audit)在二十世纪八十年度开始流行起来,主要被各大跨国公司的内审部门广为采用,而外部审计公司(当时的国际八大会计公司)也将该方法结合到财务报表审计之中去。
虽然控制基础审计在八十年代仍然广泛运用,但审计界已经开始关注对 企业 关键性流程的设计,效率及效果进行评价,并在计价过程中参照流程最佳业务实践(Best practice)进行标杆分析(Benchmark analysis),这就导致控制基础审计向流程基础审计转型。流程基础审计主要有以下特点:
审计目标:确定所审流程实现其具体运作目标(specific operational objectives)的有效性(效率及效果);
审计策略:在识别关键业务流程并了解其具体运作目标,并 研究 行业最佳业务实践基础上,确定流程在实现该等目标方面当前运作之有效性;
测试方法:最典型的是采用咨询式的方式将流程与最佳业务实践进行缺口分析(Gap analysis),并辅助运用符合性测试方法评价流程运作;
管理建议书:识别流程缺口所在,并指出该缺口对流程实现其设定目标的 影响 。
同传统的控制基础审计相比,流程基础审计为审计师提供了更大的创造性思维的方法,同时也提升了审计的增值功能。然而由于流程基础审计并没有直接关注那些主要审计责任所指定的合规性,财务报表公允性及内控有效性的领域,因此,业界一般是更多地运用流程审计进行审计计划的制定工作,而绝大多数的审计工作其他阶段仍然大量采用控制基础审计方法。
(三)风险基础审计(Risk based audit)
作为 现代 审计演变的第三阶段,风险基础审计在二十世纪九十年代得以 发展 并在各大国际会计公司全球范围内开始陆续推广。该方法的产生背景是九十年代初期各大国际会计公司开始日益注重咨询业务,尤其以安达信为最,其安达信咨询部门自从一九八九年独立运作以来到一九九九年从安达信正式脱离其年业务收入从十几亿美元上升到近百亿美元,毕马威, 普华永道等其他五大会计公司的咨询业务年收入也都到达几十亿美元以上。因此,当时的六大会计公司开发出新的审计模式更注重于其为客户创造价值的商业模式的成功运作。风险基础审计就为其咨询业务提供了全方位的卖点。在基于对被审单位业务及业务风险了解的基础上,审计师可以有效地减少不必要的审计范围以集中审计资源关注高风险领域,并由此,审计业界发现该审计模式可以向企业管理层在风险控制活动方面提供更多的保障。该审计方法的主要特点是:
审计目标:确定企业面临的主要经营风险并评估现有控制措施和程序是为何有效地将风险降低至可接受水平,即剩余风险;
审计策略:了解企业业务,识别并评价风险控制措施,并评价现有措施如何将风险降至可接受水平,而对于非主要风险的控制措施则不予评估;
测试方法:典型地是将实质性测试和符合性测试相结合,控制基础和流程基础模式下的审计测试方法仍然被广泛使用,只是测试工作只注重于所识别的关键风险领域;
管理建议:针对关键性风险的例外事项和错误提出若不将其有效地降至可接受水平的潜在影响。
风险基础审计提升了审计功能在企业组织架构中的价值地位,因此审计业界开始运用风险基础审计方法判断应选择哪些项目以及如何实施该项目。该方法因此为企业管理层在确保审计资源分配方面提供了有力的保障。风险基础审计并不排斥制度基础审计和流程基础审计,只不过是对所关注的风险点实施具体审计程序。
(四)风险管理基础审计(Risk management based audit)
从二十世纪九十年代后期开始,随着新 经济 所带来的全球化, 电子 商务, 企业组织结构虚拟化, 集约化,专业化及扁平化矩阵式等商业特征, 许多跨国公司开始实施新的企业整体风险管理方法(本书将在第二部份详细介绍该方法)。审计行业所采用的风险基础审计虽然也同样关注到企业管理层在新的风险管理方法下的某些风险概念或风险领域,然而并未完全涵盖该领域。为与企业整体风险管理模式相适应,因此第四代审计模式即风险管理审计应运而生。
风险管理审计可以说是风险基础审计的一种延伸,其基本吸收了风险审计各种特点,只是在此基础上扩大审计关注点到企业的主要战略目标(key business objectives),管理层对风险的容忍度,主要风险评价指标以及企业绩效评价分析等涉现代企业整体风险管理领域的多方位角度。而且风险管理审计已经开始关注为实现企业战略目标应如何进行风险优化(optimizing key risk)如企业对哪些固有风险可以实行避免,转移或接受并予以控制的风险管理策略。因此,对企业而言,风险管理审计本身已经成为企业整体风险管理的重要组成要素。而对财务报表审计而言,以风险管理为基础的审计在兼容风险基础审计,控制基础审计及流程基础审计优势的基础上,更有效地识别出固有风险,继而实施控制风险及检查风险的审计程序,从而使企业财务报表风险作为企业整体风险的子集(后者与前者是全集和子集的关系)一道位于可接受水平。
风险管理基础审计的特点包括:
审计目标:确定企业战略目标,风险管理策略及相应的经营风险(固有风险)并评价企业是如何实施风险管理有效性从而实现企业目标;
审计策略:
—了解企业战略,经营及价值目标,以及经营行为。
—识别实现该目标以及其经营行为的主要固有风险。
—了解企业的风险管理策略及风险管理措施。
—评价企业的风险管理措施在将风险降至可接受水平方面的有效性。
—关注风险管理有效性缺口。
测试方法:实质性测试与符合性测试相结合,其运用取决于企业风险管理之有效性。
管理建议:针对每个所识别出的关键风险所存在的风险管理缺口。
风险管理审计吸收了其他审计模式的优点,同时又关注到企业的战略、绩效等整体风险管理有效性,其不仅考虑到审计师可接受的剩余审计风险,更是从审计固有风险源头,即企业管理层所进行的风险管理活动的角度识别并评价风险,从而才能更一步地从审计师及企业管理层双角度确保审计资源的分配及审计之有效性。
以上初步介绍了现代审计的演变过程。从上述的分析可以看出,不论是哪一种审计模式,其并不互相排斥,而是互相兼容,只是各有侧重。同时我们也看到,实质性测试(包括详细测试)及符合性测试仅仅只是作为最基本的具体方法而已。也就因为如此,在以上四个阶段的审计模式中,该等方法仍被广泛采用,只是何时采用,如何采用,则要取决于审计模式所涉及的审计目标,策略等等。
现代审计是一门开放性,具有相当创造性的管理 科学 ,进行有效的审计并不是把审计准则所规定的程序照样地实施一遍,程序只是具体的手段和方式,审计有效性的关键是运用先进的理念和模式识别出固有风险,然后有的放矢的决定采用何种具体程序,从而才可能更好地把握控制风险检查风险以降低整体审计风险。国内现行的传统审计方法更多地是按照程序在把握检查风险,而对形成审计风险的真正风险源头——固有风险,即企业的经营风险,涉及甚少。现代企业的管理方法。组织架构、信息流程、全球化等等直接影响到固有风险从而影响到检查风险的高低,因此在很多情况下, 对现代企业进行审计如若按传统的审计方法, 不仅无法有效控制风险,同时可能会因为现代企业复杂的组织机构,流程设置及信息技术的广泛深入运用而无法着手实施审计。当然,对中小规模企业,可能因其复杂程度较低,传统审计方法较易实施,但正如前文所述,传统审计方法在识别固有风险方面缺乏有效性,而运用风险管理审计的理念和模式则有助于实现审计总体风险的有效管理。
国际会计公司在 中国 实施风险技术审计已有数年,并不断完善其风险技术审计实践经验。其所推广的风险技术审计理念或模式相类似,而且各自皆有独立开发的风险技术审计智能软件和具体方法以支撑该理念和模式,同时又将其方法同各国的审计准则要求相结合起来。
正如前文所述,风险管理审计可以说是风险管理审计的延伸,而风险基础审计则是在上世纪九十年代同咨询业的发展相辅相成的,其所隐含的审计理念和模式和咨询业是很类似的,正是因为其突破了传统审计只关注企业报表和账目,而较少关注企业经营和风险控制这一局限,风险管理审计具有了更大的开放性和灵活性,其理念和模式不仅可以运用到财务报表审计,还可同时在以下领域发挥功能:
企业内部风险控制管理和审计
企业绩效评价和经营审计
企业收购兼并过程中的财务尽职调查
咨询公司或会计师事务所对企业进行流程诊断,开展咨询业务