20世纪80年代初,由于不断受到诉讼威胁,美国审计职业界率先建立了审计风险模型。传统审计风险模型来源于美国审计准则委员会的两个文件,1981年发布的第39号审计准则公告《审计抽样准则》和1983年发布的第47号审计准则公告《审计业务中的审计风险和重要性》。在第47号公告中给出了著名的审计风险模型:审计风险=固有风险×控制风险×检查风险。我国《独立审计具体准则第9号——内部控制与审计风险》也接受这一模型作为审计风险的基本模型。这一模型的特点在于从风险控制的程序上分解审计风险,并用连乘形式表明了审计风险在不同阶段的数量关系。这种审计风险模型为制度基础审计提供了重要的理论基础,同时使得进一步定量评估审计风险成为可能,因而具有重要的理论意义。在实务中注册会计师往往也根据这个模型和对控制风险的评估结果决定审计程序或审计范围,因而也具有重要的实践意义。经过二十多年的实践,原有的审计模型已在广大注册会计师心中根深蒂固,其历史功绩及先进之处自然是不容置疑的,但它在应用中也逐渐暴露出了一些问题。
(一)固有风险概念内涵与外延不一致以及对固有风险评估的困难固有风险是指假定不存在相关内部控制时,某一账户或交易类别单独或连同其他账户、交易类别产生重大错报或漏报的可能性。而我们在评估固有风险时(涉及会计报表层次的)又必须从内部控制(控制环境)入手。固有风险这种内涵与外延的不一致使得该风险模型的科学性受到了极大的损害。另外固有风险其实是很难评估的,实务中注册会计师往往直接将其认定为高水平,由于忽略对固有风险的评估,注册会计师往往不注重从宏观层面上了解企业及其环境,如行业状况、监管环境、企业的性质以及目标、战略和相关经营风险等,而直接进行控制测试和实质性测试,容易犯只见树木不见森林的错误。
(二)运用传统审计风险模型进行审计很难发现管理层舞弊问题
理论上认为,如果注册会计师能把控制风险评估得比较低就可以大大减少实质性测试的工作量。于是注册会计师只要通过控制测试得到了一个比较满意的结果,就理所当然地认为他们已经有了一个比较高的可接受检查风险水平。然而,控制测试得到的是内部证据,既然是内部证据就可以被管理当局操纵,因此,其证明力是比较差的。而且内部控制虽然在防止无意的错报以及员工舞弊(不包括串通舞弊)方面有着积极意义,但在防止管理当局舞弊方面,内部控制应该是无能为力的。否则也不会有所谓的“内部人控制”问题了。因此,一般认为在传统风险导向审计模式下,审计人员发现不了上下串通的蓄意造假及管理层舞弊的重大错报,而重大错报风险往往多数是同管理层舞弊联系在一起。
(三)运用传统审计风险模型进行审计不能用于财务报表整体,无法满足对财务报表审计整体审计风险的把握和控制
虽然该风险模型要求在评估固有风险时应当从会计报表层次和账户余额层次两个方面加以考虑,但在评估控制风险时却并不涉及报表层次,只能要求注册会计师对各重要账户或交易类别的相关认定所涉及的控制风险进行评估。这样一来,固有风险评估中的会计报表层次的评估也就没有实际意义了。因为控制风险的评估是按账户余额或交易类别所涉及的认定进行的,在风险模型中其无法与会计报表层次的固有风险评估相匹配,只能与账户余额或交易类别层次固有风险的评估相匹配。这样一来,现有的审计风险模型实际上就是用于对每一账户余额或交易类别所涉及的认定进行风险导向审计的理论基础,而不能构成对整个企业进行风险导向审计的理论基础。由于传统审计风险模型不能用于财务报表整体的限制,注册会计师在识别和控制审计风险时必须紧密地结合账户余额或交易类别所涉及的认定来进行。虽然注册会计师最终也要将每一账户或交易类别层次的风险归结后用于整个会计报表,但这样一种由局部到整体的单一做法,很容易让注册会计师对风险陷入一种零乱的认识之中,缺少整体上对风险的把握和控制,导致审计的效率和效果都受到影响。
由于现有的审计风险模型只能用于账户余额或交易类别,而不能用于财务报表整体,因此,在此基础上构建出的风险导向审计模式在对待风险上只能是零散的、微观的、而不能形成整体的宏观的认识。这就必然导致注册会计师在把握和控制审计风险时“只见树木不见森林”。这些缺陷的存在又直接影响风险导向审计模式的科学性、合理性。
(四)运用传统审计风险模型进行审计所依据的审计手法是以“以证实性为主”,无法将“应有的职业怀疑”观念落实到实处
从制度基础审计到上个世纪80年代西方国家建立起来的风险导向审计,审计的手法一直都是以证实性为主的。审计人员所进行的控制测试是为了减少实质性测试的工作量。虽然我们在一些准则中也强调“注册会计师应当根据独立审计准则的要求,充分考虑审计风险,实施适当的审计程序,以合理确信能够发现可能导致会计报表严重失实的错误与舞弊”。但同时我们的准则也强调“注册会计师对会计报表的审计,并非专为发现错误或舞弊”。因此,迄今为止,包括传统的风险向审计在内的审计的手法还都是在“以证实性为主”,奉行的是“无反证假设”和“无错推定”。只不过要求注册会计师在实施证实性审计的过程中去关注可能导致会计报表严重失实的错误与舞弊。这样的模式是与传统的审计风险模型相吻合的,但其不足之处也是很明显的。一方面这种模式不利于缩小审计期望差;另一方面,“应有的职业怀疑”在这种模式下难以落实到实处,很容易成为一句空话。
(五)企业内部控制制度不完善,控制风险评估难以有效进行。
传统风模型是在制度基础审计基础上建立起来的,它也要求对被审计单位内部控制制度测试、评价。风险模型在国外能得到广泛运用很大程度上是因为国外内部控制制度已经比较健全有效,而我国企业内部控制制度不健全,控制风险评估难以有效进行,使得以风险模型的进行审计质量控制往往流于形式,这是传统审计风险模型质量控制在我国运用遇到的一大障碍。
(六)无法描述道德风险
风险导向审计对审计人员的职业道德修养有更高的要求。风险导向审计运用审计风险模型确定可接受的检查风险水平,实施实质性程序不断降低检查风险至可接受范围内,这一审计思路容易走向一种极端的应用,即审计人员即使发现了会计报表的错弊,只要认为其风险在可接受范围内,就可以不在审计意见中予以反映。这对审计人员的职业道德提出了挑战,审计案件中存在的一些问题并非完全是由于技术上或程序上的失误造成的,审计主体的日常行为和工作态度有时也会成为问题的症结所在。因此,人们除了关注审计技术和程序的发展外,亦开始关注审计主体的自身行为,由此产生了审计主体的道德问题。但是,传统的审计模型无法描述由于不道德行为所产生的风险,包括:企业与审计主体串通舞弊,出具不恰当的审计报告;审计主体接受贿赂;审计主体为了经济利益压低价格有损同业等。