(一)账项审计阶段的审计风险模型
1720年,英国爆发了审计史上著名的南海公司事件,该事件标志着现代审计的产生,自那时起至20世纪初较长的一段时间内,注册会计师普遍采用的是账项基础审计模式,此时的审计风险主要来自两个方面,一方面是经济业务本身具有发生重要错误或舞弊的可能性,这种可能性就是固有风险,另一方面是注册会计师检查了存在错误或舞弊的凭证和报表却没有发现舞弊的风险,也就是检查风险。审计风险模型表述为:审计风险=固有风险×检查风险。即以分析固有风险为基础,以控制检查风险为重点。
该模型是审计风险模型的最初发展阶段,体现了账项基础审计模式的基本思想,该思想至今仍被不同程度的使用,应用于一些重要科目的审查,以后阶段的模型皆是在这一初级模型的基础上发展起来的。
(二)制度基础审计阶段的审计风险模型
1938年,美国爆发了审计史上最大案件——麦克森·罗宾斯公司倒闭事件,美国证券交易委员会在其后颁布的增加审计程序方面明确要求对内部控制进行检查与评价,这使得制度基础审计方法开始在审计实务中应用,并在20世纪40年代以后成为主流。由于该方法以控制测试为基础,因此,产生了内部控制没能及时防止发生错弊的可能性,即控制风险。此时的审计风险控制模型在原有基础上逐渐演变为:
审计风险=固有风险×控制风险×检查风险
相对于账项审计阶段的审计风险模型来说,该模型已经初具规模,其构成要素已由原来的两项变为三项,增加了控制风险,审计风险因素也基本齐全。由于注册会计师强调通过评价内部控制来发现和降低经济业务发生错弊的可能性,审计的重点由固有风险转移到了控制风险。该模型在当时尚未成形,但它为审计风险模型下一阶段的发展奠定了理论基础。
(三)风险导向审计阶段的传统审计风险模型
20世纪六、七十年代,由于世界各国控告审计人员的诉讼案件急剧增加,审计人员已面临一个“诉讼爆炸”的时代。美国注册会计师协会于1981年发布了第39号审计准则公告,其中建立的模型为:最终审计风险=固有控制风险×分析性检查风险×账项余额测试风险
在此基础上,美国注册会计师协会在1983年发布的第47号审计准则公告中又提出了一个改进的模型:
审计风险=固有风险×控制风险×检查风险
该模型与制度基础审计的模型虽然形式上相同,但从理论上解决了注册会计师以制度为基础采用抽样审计的随意性。该模型将分析性检查风险和账项余额测试风险合并为检查风险,并增加了控制风险一项,将被审计企业内部控制制度考虑进来。由于该模型比较全面地包括了主要的审计风险要素,并表明了它们的数量关系,具有广泛的适用性和可操作性,因而被国际会计师联合会(IFAC)下属的审计实务委员会所认同,并被国际上大多数审计组织及注册会计师事务所采用。
(四)其他类型审计风险模型
1.国外审计风险模型研究
1983年,霍尔斯坦姆和柯兰特发表了一篇题为《审计风险模型:当代实践和未来研究的框架》的论文,提出:
审计风险=固有风险×控制风险×分析性检查风险×真实性测试风险
该模型把审计风险的要素划分为四个,即固有风险、控制风险、分析性检查风险与真实性测试风险。但事实上,分析性检查风险与真实性测试风险均属于检查风险的范畴。因而,该模型与美国注册会计师协会第47号审计准则公告中的模型异曲同工。
1986年,莱斯利、奥尔德斯利、科伯恩和莱特等人提出了一个新的审计模型,简称为LACR模型。该模型把审计视为一系列判断活动的集合,认为累加单个项目的审计风险,可求出总体资产负债表项目的审计风险;而单个项目审计风险的确定,必须考虑固有风险因素、内部控制评估和实际性测试。LACR模型从各个项目中着手进行审计风险决策,具有其合理的一面,但不足之处是没有考虑到各个项目的不同重要性。
20世纪90年代初,西奥多·J莫克、弗丁斯基和玛丽·T·华盛顿在《会计及审计中的风险评估》和《审计中的风险概念及风险评估》两篇论文中,提出了他们建立的审计风险模型-多级风险评价法(HRAA)模型。该模型把审计风险划分为一个多层的多因素结构,如图一:
这个多级风险结构将审计风险详细地划分为七个层次,促使注册会计师认真地评价和估计每个风险要素对终极风险的影响程度,可以提高审计风险评估的一致性和系统性。同样,该模型又将非抽样风险当做一个级次的风险,融入终极风险评估之中,弥补了美国注册会计师协会第47号审计准则公告中审计风险模型的不足。因而,该模型增强了审计风险评估的现实性和完整性,提高了审计信息的可信性,具有较高的使用价值和广泛的使用范围。HRAA模型虽然比较完善,但是还需经过大量的实证研究才能运用到实践中去。
1996年,杰奈特·L·科伯特、迈克尔·S·路易尔冯和C·威尼·阿尔德曼三人合写一篇题为《业务风险》的论文,提出新的审计风险概念,认为影响注册会计师审计业务的风险包括:客户的经营风险、审计风险和注册会计师的经营风险三个因素。如图二:
该模型扩大了审计风险的内涵。尽管该模型似乎最终仍可归结为美国注册会计师协会第47号审计准则公告中的审计风险模型,因为客户的经营风险和注册会计师的经营风险或者属于固有风险,或者属于控制风险范畴,但将客户经营风险和注册会计师的经营风险单列出来并深入予以分析,显然突出了二者在审计风险评估模型中的重要地位,以达到更好地评估和控制审计风险的目的。
2.我国审计风险模型的研究
注册会计师审计的直接对象为会计报表,能给注册会计师带来审计风险的是有严重虚假的会计报表,那么引起会计报表虚假的因素就应该构成了审计风险模型的基本因子。从根源上看,能够引起会计报表虚假的无外乎舞弊和错报这两个因素。从这一思路出发,有人认为,科学的审计风险模型应该是:
审计风险=(舞弊风险+错报风险)×检查风险
由于舞弊风险又等于管理当局舞弊风险加员工舞弊风险,因此,上述模型可有如下变化:
审计风险=(管理当局舞弊风险+员工舞弊风险+错报风险)×检查风险
或审计风险=管理当局舞弊风险×检查风险+员工舞弊风险×检查风险+错报风险×检查风险
上述模型中检查风险的涵义应该有所变化,具体变化为:检查风险是指某一账户或交易类别单独或连同其他账户、交易类别存在重大虚假,而未能被实质性测试发现的可能性。这里用“虚假”替代了原来的“错报或漏报”,乍看没有多大区别,其实不然。错报或漏报强调的是原因,而且单独从字面上看,突出的是“无意”,没有明显地把“舞弊”包含在内。而“虚假”强调的是结果,只要能够引起会计报表使用者产生错误判断或误解的会计报表,不管其是何原因引起,都可视为重大虚假的会计报表。基于这样一种认识,在对审计风险的解释中,也应用“虚假”替代“错报或漏报”。其他需要解释的是管理当局舞弊、员工舞弊和错误这三个概念。所谓的管理当局舞弊是指企业管理当局通过各种手段粉饰会计报表,欺骗会计报表使用者以达到某种目的的不法行为;员工舞弊是指企业员工通过不法手段窃取企业利益的不法行为;错报是指由于企业员工无意的行为而使会计报表产生了虚假。有了这样一种解释,上述的“管理当局舞弊风险”、“员工舞弊风险”和“错报风险”的内涵也就不言而喻了。
由于风险的概率值总是在0 ~1之间,因此,模型中(舞弊风险+错报风险)的概率区间为(0,1)。虽然不同企业的具体情况千差万别,但由于审计中“重要性”概念的存在,无论如何舞弊风险要远远高于错报所产生的风险,尤其是管理当局舞弊风险应该是在诸多风险之中最具威胁的一种风险。有鉴于此,我们认为,在实务中,注册会计师对管理当局舞弊风险的评估水平不能太低。对风险的这样一种分配和考虑既有现实基础,又有积极意义。现实基础是,从世界范围内已发生的审计失败案例来看,给注册会计师带来真正威胁的是舞弊,尤其是管理当局舞弊。因此,注册会计师应该把主要精力放在识别和控制由于管理当局舞弊所带来的风险上。积极意义是,该模型把管理当局舞弊风险作为审计风险模型的一个独立因子,这就对注册会计师识别和控制管理当局舞弊风险提出了明确的要求。
随着世界经济、科技的发展,企业面临的经营环境的不确定因素增加,各种经济关系趋于复杂化,使审计人员面临的经营风险增加。此外在审计过程中还存在报告风险和信用风险,同时又由于审计风险的最终表现是承担法律责任,所以综合考虑这些风险因素后,还有人认为审计风险模型应该是:
审计风险=(经营风险+固有风险×控制风险×分析性检查风险×详细测试风险+报告风险+信用风险)×法律风险
上式的审计风险可以分解为以下四个部分进行理解:
(1)经营风险×法律风险。这是经营风险所带来的最终审计风险。经营风险是指虽然为某一审计客户提供的审计报告正确无误,但审计人员却由于某一种客户关系而受到伤害的风险。造成这种风险的根源在于“深口袋”责任,即遭受损失的社会公众由于对其经济利益的关注而对审计人员提出过高的要求,他们一旦受损失就希望得到补偿,而不问错在何方。由于“深口袋”责任的存在,使得即便审计人员在审计过程中的没有失误行为,审计客户的经营风险也对审计人员构成了风险。经营风险来自于被审单位的生产经营情况,与接受项目后审计人员的主观努力无关,审计人员不能控制它,但可以通过谨慎选择客户来控制或分散该类风险。
(2)固有风险×控制风险×分析性检查风险×详细测试风险×法律风险。随着被审计单位经营环境的复杂化,分析性程序在了解被审计单位及其环境的过程中发挥着重要的作用,因此笔者认为在研究风险导向审计模式下的审计风险模型时很有必要将检查风险再还原为分析性检查风险和详细测试风险。固有风险×控制风险×分析性检查风险×详细测试风险×法律风险的综合结果是被审计事项有重大错误而审计人员由于没能充分运用分析性程序对被审计单位及其环境进行充分了解,对固有风险和控制风险的评估水平不合理,从而详细测试的性质、时间和范围的制定不合理,没能发现该重大错误所带来的最终审计风险,也即是审计结果与实际情况不相吻合所带来的终极审计风险。该风险可以通过降低分析性检查风险和详细测试风险的方式加以控制。
(3)报告风险×法律风险。这是指在审计结果和实际情况相吻合的情况下,由于发表的审计意见有错误所带来的终极审计风险。报告风险根源于审计的报告阶段,有效降低报告风险的措施是切实落实审计工作底稿的三级复核制度,使最终发表的审计意见与审计工作底稿所反映的被审计单位的实际情况一致。
(4)信用风险×法律风险。现代社会是一个信用社会,审计人员承担审计风险还会遭受信用的损失。审计人员在承接审计业务时,首先要评估审计风险水平,那么审计人员也应考虑到信用风险。所谓信用风险就使审计人员遭受信用损失的可能性。其水平的高低与审计人员自身的信誉和被审计单位的状况有关。如果被审计单位在其所在行业影响重大而审计人员自身信誉又不是很好的话,那么应将信用风险评估为高水平;反之,被审计单位在其所在行业影响微小而审计人员又信誉良好,信用风险就可以评估为低水平。
从该模型可以看出,审计人员主观上应该努力通过降低分析性检查风险、详细测试风险和报告风险的方式来降低自身可能带来的审计风险;客观上面对被审计单位可能存在各种的经营风险应谨慎选择客户来降低其对自身的风险影响;对社会而言,要加强法制环境建设,提高法律风险,使其尽量接近甚至达到100%,这样可以促使审计人员不断通过自身的主观努力来降低审计风险,而不是抱有侥幸心理。
对审计风险模型的研究始终在不断探索和完善中,现有的风险模型不管其具体表达方式如何,都考虑了目前风险因素的影响情况下,设计出较符合当前实际情况的风险模型,其可操作性及科学还需审计实践的证明,同时,我们还应认识到,随着客观环境和变化,审计风险模型也在不断发展和完善之中。