为适应审计环境的变化,提高审计人员评估风险和发现舞弊的能力,自2000年起国际审计准则委员会专门成立了审计风险分委员会,负责对审计风险模型及现有的国际审计准则进行修订。2003年10月,国际审计和鉴证准则委员会(IAASB)对现行审计风险准则进行了一系列的重大修订,发布了三个新国际审计风险准则:一是国际审计准则第315号(ISA315)《了解被审计单位及其环境并评估重大错报风险》;二是ISA330《针对评估的重大错报风险实施的程序》;三是ISA500《审计证据》。本次修订的最大变化和核心内容就是确定了新的审计风险模型:审计风险=重大错报风险×检查风险。新审计风险模型理论及运用突出了风险导向审计的新理念,强调注册会计师应深入了解被审计单位及其环境,有效地执行风险评估,把重点集中在财务报表出现错报的高风险领域。即以财务报表重大错报风险为导向,从整体和局部两个层次捕捉风险点,将防范风险贯穿于整个审计过程。
需要做出解释的是此模型中没有了固有风险和控制风险。原模型中的固有风险,涉及报表层次的应考虑的因素现已包含在现有模型中的“管理当局舞弊风险”之中,涉及账户余额和交易层次的应考虑的因素则包含在“错报风险”之中。由于内部控制对管理当局舞弊以及员工的串通舞弊是无效的,所以,原模型中的控制风险,其内涵主要包含在现在模型中的“错报风险”之中。改进后的审计风险模型修正了原模型中所隐含的缺陷。原有的审计风险模型不能用于财务报表整体,只能用于某一账户余额或交易类别所涉及的认定方面,这不利于注册会计师对风险的整体把握和控制。改进后的风险模型既可用于某一账户余额或交易类别所涉及的认定方面,也可用于财务报表的整体,这就使得注册会计师对风险的识别和控制有了更清晰的对象和内容,便于指导实务中的操作,而且还充分体现了审计过程中整体和局部、战略和战术的区别和联系,逻辑上也做到了前后一贯、严密合理。
现代审计风险模型的理论假设在于:被审计单位在复杂激烈的市场竞争环境下出现经营业绩下滑会影响其战略目标的实现。面对严格的市场监管和社会各方压力,被审计单位的管理层就很可能会产生利用财务报告舞弊以掩盖经营不利的动机。基于此假设,审计风险与被审计单位的经营风险和企业战略密切相关,经营风险总是直接或间接地影响审计风险。因此,有效的审计需要注册会计师站得高、看得远,从源头上寻找可能产生舞弊的根源,从而更有效地评价财务报告的重大错报风险。现代风险导向审计以战略观和系统观思想指导重大错报风险评估和整个审计流程,因此又称为风险基础战略系统审计方法(risk-based strategic systems audit approach)。其核心思想可以概括为:审计风险主要来源于企业财务报告的错报风险,而错报风险主要来源于整个企业的经营风险,因此,有效的审计应该是建立在对企业所处社会和行业的宏观环境、战略目标和关键经营环节分析的基础上,通过综合评价经营风险以确定实质性测试的范围、时间和程序。
根据修订后的ISA200《财务报表审计的目标与一般原则》,审计风险模型改为“审计风险=重大错报风险×检查风险”,新审计风险模型在原审计风险模型的基础上引入“重大错报风险”,形式上有所简化,但审计风险的内涵和外延却扩大了。其中重大错报风险并非简单地将固有风险和控制风险合并而成,它包括两个层次——财务报告整体层次的重大错报风险(risk of overall financial statement level)和认定层次的重大错报风险(risk of assertion level)。
财务报告整体层次的重大错报风险主要指财务报告整体不能反映企业经营实际状况的可能性。运用新审计风险模型评估财务报告重大错报风险,其主要的理论进步在于不仅包括传统意义上的固有风险和控制风险,还引入战略管理理论,对风险的认识提高了一个层次。认定层次的重大错报风险主要指交易类别、账户余额、披露和相关的其他具体认定层次经济事项本身的性质和复杂程度与实际不符,企业管理当局由于本身的认识和技术水平,以及由于企业管理当局局部或个别人员舞弊或造假造成错报的可能性。新模型充分认识到报告整体层次错报风险的存在意味着对财务报告的整体否定,因此更加注重企业面临的内外部宏观环境、经营方式以及管理机制,从企业战略风险和经营风险的源头上分析和评价重大错报风险。
新审计风险模型在传统审计风险模型的基础上进行了改进,形式上有所简化,但审计风险的内涵和外延却扩大了。其中重大错报风险包括两个层次:财务报表整体层次和认定层次。前者主要指战略风险,把战略风险融入现代审计模型,可建立一个更全面的审计风险分析框架。认定层次风险指交易类别、账户余额、披露和其他相关具体认定层次的风险,包括传统的固有风险和控制风险。这种风险模型的变更,不是简单地将风险因素,从三要素归并为两要素,将原风险模型中的固有风险与控制风险归并到现有风险模型中的重大错报风险,而是存在着质的飞越,将被审计单位的战略风险、经营风险纳入到风险模型中,扩大了风险模型的内涵,适应了现代审计发展对风险管理的要求,进一步提升了风险模型的管理层次,丰富了现代审计风险管理的内容。因此,新风险模型的建立有着积极的理论和实践上的意义。