第一节风险评估概述
环境的变化,尤其是20世纪60年代针对审计职业界的“诉讼爆炸”的发生,引发并推动了审计技术的革命,审计方法演进经历了账项基础审计、制度基础审计、风险导向审计三个阶段。风险导向审计是当今主流的审计方法,它要求审计人员以重大错报风险的识别、评估和应对为审计工作的主线,以提高审计效率和效果。风险导向审计的基本理念,就是审计的实施要以评估风险为切入点,将对审计风险的识别、评估和应对贯穿于整个审计过程,将审计风险降低至可接受的水平,为经审计的财务报表不存在重大错报提供合理保证,可见,风险评估是现代审计的一项重要程序。
一、风险评估的总体要求
风险评估是指以了解被审计单位及其环境为内容,以识别和评估财务报表重大错报风险为目的,在设计和实施进一步审计程序之前实施的程序。《中国注册会汁师审计准则第1211号——了解被审计单位及其环境并评估重大错报风险》作为专门规范风险评估的准则,规定注册会计师应当了解被审计单位及其环境,以充分识别和评估财务报表重大错报风险,设计和实施进一步审计程序。风险评估的总体要求主要包括:
1、要求审计人员加强对审计单位及其环境的了解。
了解被审计单位及其环境是必要程序,特别是为审计人员在下列关键环节做出职业判断提供重要基础:
(1)确定重要性水平,并随着审计工作的进程评估对重要性水平的判断是否仍然适当;
(2)考虑会计政策的选择和运用是否恰当,以及财务报表的列报是否适当;
(3)识别需要特别考虑的领域,包括关联方交易、管理层运用持续经营假设的合理性,或交易是否具有合理的商业目的等;
(4)确定在实施分析程序时所使用的预期值;
(5)设计和实施进一步审计程序,以将审计风险降至可接受的低水平;
(6)评价所获取审计证据的充分性和适当性。
了解被审计单位及其环境是一个连续和动态地收集、更新与分析信息的过程,贯穿于整个审计过程的始终。审计人员应当运用职业判断确定需要了解被审计单位及其环境的程度,只有这样,才有可能作出恰当的职业判断。
2、要求审计人员在审计的所有阶段都要实施风险评估程序。
审计人员应当将识别的风险与认定层次可能发生的错报的领域相联系,实施更为严格的风险评估程序,不得未经过风险评估,直接将风险设定为高水平。
3、要求审计人员将识别和评估的风险与实施的审计程序挂钩。
在设计和实施进一步审计程序时,审计人员应当将审计程序的性质、时间和范围与识别、评估的风险相联系,以防止机械利用程序表从形式上迎合审计准则对程序的要求。
4、要求审计人员针对重大的各类交易、账户余额和列报实施实质性程序。
审计人员对重大错报风险的评估是一种判断,被审计单位内部控制存在固有限制,无论评估的重大错报风险结果如何,审计人员都应当针对重大的各类交易、账户余额和列报实施实质性程序。不得将实质性程序只集中在例外事项上。
5、要求审计人员将识别、评估和应对风险的关键程序形成审计工作记录,以保证执业质量,明确执业责任。
二、风险评估程序和信息来源
审计人员为了了解被审计单位及其环境应当实施的风险评估程序主要包括询问被审计单位管理层和内部其他相关人员、分析程序、观察和检查、其他审计程序。
(一)询问被审计单位管理层和内部其他相关人员
询问被审计单位管理层和内部其他相关人员是审计人员了解被审计单位及其环境的一个重要的程序和重要信息来源。一般情况下,审计人员可以考虑向管理层和财务负责人询问下列事项:
(1)管理层所关注的主要问题。如新的竞争对手、主要客户和供应商的流失、新的税收法规的实施以及经营目标或战略的变化等。
(2)被审计单位的财务状况和最近的经营成果及现金流量。
(3)可能影响财务报告的交易和事项,或者目前发生的重大会计处理问题,如重大的购并事宜等。
(4)被审计单位发生的其他重要变化,如所有权结构、组织结构的变化,以及内部控制的变化等。
审计人员通过询问管理层和对财务报告负有责任的人员可获取大部分信息,但为了更好地识别和评估风险,审计人员还应当考虑询问内部审计人员、采购人员、生产人员、销售人员等其他人员,并考虑询问不同层次的员工,以便从不同的视角获取对识别重大错报风险有用的信息。
在确定所要获取的信息和选择询问对象时,审计人员应当考虑被审计单位不同人员的层次及所掌握的信息,从有助于识别和评估重大错报风险的角度加以确定。一般而言,询问治理层有助于审计人员了解财务报表编制的环境;询问内部审计人员有助于审计人员了解被审计单位内部审计针对内部控制设计和运行的有效性所实施的工作,也可以了解管理层对内部审计发现的问题是否采取了适当的行动;询问参与生成、处理或记录复杂或异常交易的员工有助于审计人员评估被审计单位选择和运用某项会计政策的适当性;询问内部法律顾问有助于审计人员了解有关诉讼、法律法规的遵循情况,影响被审计单位的舞弊或涉嫌舞弊、产品保证和售后责任,与业务合作伙伴的安排(如合营企业)以及合同条款的含义;询问营销或销售人员有助于审计人员了解被审计单位的营销策略及其变化、销售趋势或与其客户的合同安排;询问采购人员和生产人员有助于审计人员了解被审计单位的原材料采购和产品生产等情况;询问仓库管理人员有助于审计人员了解原材料、产成品等存货的进出、保管和盘点等情况。
(二)实施分析程序
分析程序是指审计人员通过研究不同财务数据之间以及财务数据与非财务数据之间的内在关系,对财务信息做出评价。分析程序还包括调查识别出的、与其他相关信息不一致或与预期数据严重偏离的波动和关系。
分析程序既可用作风险评估程序和实质性程序,也可用于对财务报表的总体复核。审计人员实施分析程序有助于识别异常的交易或事项,以及对财务报表和审计产生影响的金额、比率和趋势。在实施分析程序时,审计人员应当预期可能存在的合理关系,并与被审计单位记录的金额、依据记录金额计算的比率或趋势相比较;如果发现异常或未预期到的关系,审计人员应当在识别重大错报风险时考虑这些比较结果。例如,毛利率是销售毛利对销售收入的比率,它体现了销售收人与销售成本之间的内在联系,如果本期的生产及销售情况没有重要变化,那么本期的毛利率与上期的毛利率也应大体相等;如果由于原材料价格上升导致产品成本大幅提高而毛利率却没有变化。说明销售成本的列报可能存在重大错报风险,应实施进一步程序加以核实。
如果使用了高度汇总的数据,实施分析程序的结果仅可能初步显示财务报表存在重大错报风险,审计人员应当将分析结果连同识别重大错报风险时获取的其他信息一并考虑。例如,被审计单位存在很多产品系列,各个产品系列的毛利率存在一定差异。对总体毛利率实施分析程序的结果仅可能初步显示销售成本存在重大错报风险,审计人员需要实施更为详细的分析程序。比如,对每一产品系列进行毛利率分析,或者将总体毛利率分析的结果连同其他信息一并考虑。
(三)观察和检查
观察和检查程序可以印证对管理层和其他相关人员的询问结果,并可提供有关被审计单位及其环境的信息。审计人员可实施的观察和检查程序包括以下五个方面:
(1)观察被审计单位的生产经营活动
例如,通过观察被审计单位人员正在从事的生产活动和内部控制活动。可以增加审计人员对被审计单位人员如何进行生产经营活动及实施内部控制的了解。
(2)检查有关书面文件和记录
例如,检查被审计单位的章程,与其他单位签订的合同、协议,各业务流程操作指引和内部控制手册等,了解被审计单位组织结构和内部控制制度的建立健全情况。
(3)阅读由管理层和治理层编制的报告
例如,阅读被审计单位年度和中期财务报告、管理层的讨论和分析资料、经营计划和战略、管理层和治理层对重要经营环节和外部因素的评价、内部管理报告以及其他特殊目的报告(如新投资项目的可行性分析报告)等。
(4)实地察看被审计单位的生产经营场所和设备
通过现场访问和实地察看被审计单位的生产经营场所和设备,可以帮助审计人员了解被审计单位的性质及其经营活动。在实地察看被审计单位的厂房和办公场所的过程中,审计人员有机会与被审计单位管理层和担任不同职责的员工进行交流,可以增强审计人员对被审计单位的经营活动及其重大影响因素的了解。
(5)追踪交易在财务报告信息系统中的处理过程(穿行测试)。
这是审计人员了解被审计单位业务流程及其相关控制时经常使用的审计程序。通过追踪某笔或某几笔交易在业务流程中如何生成、记录、处理和报告,以及相关控制如何执行,审计人员可以确定被审计单位的交易流程和相关控制是否与之前通过其他程序所获得的了解一致,并确定相关控制是否得到执行。
(四)其他审计程序和信息来源
1、其他审计程序
除了采用询问、分析程序、观察和检查程序从被审计单位内部获得信息以外,如果根据职业判断认为从被审计单位外部获取的信息有助于识别重大错报风险,审计人员应当实施其他审计程序以获取这些信息。例如,询问被审计单位聘请的外部法律顾问、专业评估师、投资顾问和财务顾问等;阅读外部的信息,如证券分析师、银行、评级机构出具的有关被审计单位及其所处行业的经济或市场环境等状况的报告,贸易与经济方面的期刊杂志、法规或金融出版物,以及政府部门或民间组织发布的行业报告和统计数据等。
2、其他信息来源
在承接新审计业务或保持既有审计业务的时候,审计人员都会对被审计单位及其环境有一个初步的了解,以确定是否承接或续接该业务,所以,审计人员在实施风险评估程序时应当考虑在这个过程中获取的信息,以及向被审计单位提供其他服务所获得的经验是否有助于识别重大错报风险。
当然,对于连续审计业务,如果拟利用在以前期间获取的信息,审计人员应当确定被审计单位及其环境是否已发生变化,以及该变化是否可能影响以前期间获取的信息在本期审计中的相关性。例如,审计人员前期已经了解了内部控制的设计和执行情况,但被审计单位及其环境可能在本期发生变化,导致内部控制也发生相应变化。在这种情况下,审计人员需要实施询问和其他适当的审计程序(如穿行测试),以确定该变化是否可能影响此类信息在本期审计中的相关性。
审计人员还可以考虑通过向被审计单位提供其他服务(如执行中期财务报表审阅业务)所获得的经验是否有助于识别重大错报风险。
审计人员一般会从行业状况、法律环境等外部因素、被审计单位的性质等六个方面了解被审计单位及其环境,审计人员无需在了解每个方面时都实施以上所有的风险评估程序。但在对被审计单位及其环境获取了解的整个过程中,审计人员通常会综合实施上述风险评估程序。
三、项目组内部的讨论
还应提及的是,为了有效地实施风险评估程序,准确识别和评估重大错报风险,审计业务项目组成员应就财务报表存在重大错报风险的可能性进行讨论。项目组内部的讨论为项目组成员提供了交流信息和分享见解的机会。讨论的目的是互通信息,交流意见,使每个人都了解在自己负责的领域发生重大错报风险的可能性,了解各自实施的审计程序对其他人工作的影响以及对确定进一步审计程序的影响,明确在整个审计过程中保持职业怀疑态度的重要性,对可能发生重大错报风险的迹象保持足够的警惕。
讨论的内容包括被审计单位面临的经营风险、财务报表易发生错报的领域和发生错报的方式,尤其要关注由于舞弊导致重大错报风险的可能性。参与讨论的人员包括项目组的关键成员。如果项目组需要拥有信息技术或其他特殊技能的专家,这些专家也应参加讨论。讨论的方式可视具体情况而定,在整个审计过程中项目组成员要持续交换有关财务报表发生重大错报可能性的信息。