审计风险模型辨析及其启示

审计风险模型辨析及其启示

审计风险模型是审计风险的数学表达式，反映了审计风险的构成要素、各构成要素之间的相互关系及其对审计风险的影响。审计风险模型的确立标志着审计风险理论的形成，并带动了其他审计理论（如审计证据理论）的深入研究和相关审计方法（如分析性程序）的发展，为CPA在审计中控制和降低审计风险提供了指南。因此研究审计风险模型具有重要的理论价值和现实意义，许多学者围绕着如何构建科学的审计风险模型进行了广泛的探讨，并提出了各种各样的审计风险模型。显然，这些审计风险模型的提出不仅丰富了审计理论研究，而且也有力促进了审计理论研究的发展。然而，由于学者所占的角度不同，基于对审计风险内涵认识的差异，导致其对审计风险的构成要素及其相互关系的理解存在很大偏差，由此所构建的审计风险模型也存在很大区别。审计风险模型的多样性表明审计理论界和实务界对审计风险的内涵及其构成要素尚未取得一致，这势必会影响审计风险模型在审计中的指导性作用。鉴于审计风险模型在审计中的重要性，我们认为有必要对不同学者构建的审计风险模型加以辨析，以期纠正人们对审计风险模型认识上的错误，引导更多的学者和实务界正确把握审计风险模型的实质，提高审计的效率和效果。一、文献回顾（一）西方审计理论界和实务界对审计风险模型的研究从掌握的现有资料来看，最早提出审计风险模型的是美国注册会计师协会(AICPA)，在其20世纪70年代发布的审计准则公告第1号中就提出了实质性测试可靠性的模型。由于可靠性的反面是风险，因此AICPA开了创建审计风险模型之先河。然而实质性测试的风险并不是审计的终极风险，最先建立审计终极风险模型的是Roberts，他于1978年提出了审计风险模型：终极风险＝固有风险×控制风险×分析性检查风险×（抽样风险+非抽样风险）(1)1981年AICPA在其发布的审计准则公告第39号(SAS39)《审计抽样》的附件中给出了审计风险模型：审计终极风险＝固有控制风险×分析性检查风险×账项余额测试风险(2)1983年AICPA在其发布的审计准则公告第47号(SAS47)《审计业务中的审计风险与重要性》的正文中建立了一个新的、更全面的审计风险模型：审计风险＝固有风险×控制风险×检查风险(3)1983年Holstrum和Kirfland给出了一个类似的审计风险模型：审计风险＝固有风险×控制风险×分析性检查风险×实质性测试风险(4)1987年英国审计实务委员会(APB)推荐了一个新的审计风险模型：审计风险＝固有风险×控制风险×检查风险×抽样风险(5)2003年国际审计与鉴证准则委员会(IAASB)在其发布的国际审计准则第200号(IAS200)《会计报表审计的目标与一般原则》中提出了一个全新的审计风险模型：审计风险＝重大错报风险×检查风险（二）国内理论界对审计风险模型的研究我国理论界对审计风险模型的研究起步较晚，直至20世纪80年代末才开始对这一领域展开探讨。不过早期的研究主要局限于对国外审计理论和实践中所涉及的审计风险及其模型的翻译和介绍。进入90年代后，特别是随着社会公众对审计需求的不断扩大，学者对审计风险模型的研究也逐渐从对国外成果的介绍转向对构建新审计风险模型的尝试。张仁寿(2000)在对AICPA(1983)构建的审计风险模型三要素之间相互关系详细分析的基础上，提出了修订的审计风险模型：审计风险＝固有风险+控制风险×检查风险(7)刘德银(2001)认为影响审计风险的因素除了固有风险、控制风险和检查风险外，还应包括被审计单位的经营风险、签发审计意见的报告风险和审计终结时CPA和会计师事务所面临诉讼的法律风险，由此提出了如下的审计风险模型：审计风险＝（营业风险+固有风险×控制风险×检查风险+报告风险）×法律风险(8)张楚堂(2001)认为CPA最终承担的审计风险包括两部分：一部分是意见风险，另一部分为环境风险。前者是指CPA发表了不恰当审计意见给审计主体带来损失的可能性；后者则是指在特定的法律文化和人文环境下，审计主体由于自身的审计行为而产生的意外损失。并指出由于环境风险对意见风险几乎没有影响，因此二者之间只能表现为“和”而非“积”的关系。其构建了如下的审计风险模型：审计风险＝意见风险+环境风险(9)朱锦余(2001)指出审计风险的构成要素包括固有风险、控制风险、检查风险、发现风险、被诉风险和败诉风险，因此其把审计风险模型拓展为：审计风险＝固有风险×控制风险×检查风险×发现风险×被诉风险×败诉风险(10)周家才(2002)通过引入诉讼风险概念，把审计风险模型扩展为：审计风险＝固有风险×控制风险×检查风险×诉讼风险(11)陈志强(2003)认为能够给CPA带来审计风险的因素从根源上看无外乎舞弊和错报，其中，舞弊又可进一步细分为管理当局舞弊和员工舞弊，由此提出了如下的审计风险模型：审计风险＝（管理当局舞弊风险+员工舞弊风险+错报风险）×检查风险(12)二、审计风险模型辨析审计风险模型是建立在审计风险定义的基础上的，从数量上反映了审计风险要素及其关系。因此，要构建科学合理且在审计中具有很强指导作用的审计风险模型需要对审计风险的内涵有一个准确的理解，所以在对上述审计风险模型进行辨析之前，我们首先对审计风险的内涵和审计风险模型的基本表达式作一考察。（一）审计风险的内涵关于审计风险的内涵，目前审计理论界和实务界尚未取得一致，主要有两种观点：第一种观点是广义的审计风险观，认为审计风险是由于CPA主观因素和其他因素带来的损失的可能性，可简称为“损失可能论”。持这种观点以国内学者居多。如刘德银(2001)、张楚堂(2001)、朱锦余(2001)、周家才(2002)和谢荣(2003)等。第二种观点是狭义的审计风险观，认为审计风险是指会计报表存在重大错报或漏报，而CPA审计后发表不恰当审计意见的可能性，可简称为“意见不当论”。准则制定机构，如美国注册会计师协会(AICPA)、国际审计与鉴证准则委员会(IAASB)、中国注册会计师协会和国外的一些学者，如阿伦斯和洛贝克等倾向于持此种观点。（二）审计风险基本模型探讨从审计风险的形成机理来看，审计风险受审计客体（被审计单位）和审计主体（CPA和会计师事务所）两方面风险因素的影响。从审计客体来看，由于审计的实质是对被审计单位会计报表的公允性发表意见，因此，被审计单位不真实或有失公允的会计报表会导致审计失败，给CPA带来审计责任。所以会计报表本身的风险构成审计风险的一个有机组成部分。另一方面，从审计主体的角度来看，如果CPA在审计的过程中没有遵守独立审计准则的相关要求，未对会计报表实施实质性测试，或实施的实质性测试不充分或不完整，也会导致审计失败，给CPA带来审计责任，从而形成审计风险。由此可知，审计风险的构成要素既有其客观方面，也有主观方面。综合考虑这两方面的因素，审计风险基本模型可表述如下：审计风险＝审计客体风险×审计主体风险＝会计报表风险×检查风险其中，会计报表风险反映了审计客体对审计风险的影响，检查风险反映了审计主体对审计风险的影响。这一表达式反映了审计风险形成的一般规律。（三）审计风险模型辨析本文运用审计风险的内涵和审计风险基本模型作为依据来对上述审计风险模型的合理性进行辨析。对西方学者构建的审计风险模型来说，尽管模型(1)到模型(6)中的审计风险的具体构成要素存在差异，但上述审计风险模型都是基于狭义的审计风险观，因此较好地把握住了审计风险的本质，且也符合审计风险基本模型的要求，即审计风险应由审计客体和审计主体两方面的因素构成。但模型(1)和模型(5)审计风险构成要素划分过细，存在重复之处。因为无论是固有风险，还是检查风险，都存在抽样风险和非抽样风险。模型(2)、(4)与模型(3)虽然形式有异，但实质相同。这是因为分析性检查风险和账项余额（实质性）测试风险二者合在一起实际上就是检查风险。模型(6)则是模型(3)的进一步的发展和完善，是一个比模型(3)更为科学的审计风险模型。有关模型(3)与模型(6)之间的比较，我们将在后文展开详细分析。就我国学者所构建的审计风险模型而言，模型(7)和模型(12)均是基于狭义的审计风险观，因而具有一定的合理之处。但模型(7)把固有风险与其他风险的乘积关系变成了叠加关系，显然是不正确的。因为，按照该模型量化的结果，终极审计风险会不低于固有风险。在实务中，由于评估固有风险的困难性，把固有风险假定为高风险，甚至为100%是CPA审计中常用的做法。因此利用该模型进行风险评估必然导致CPA对固有风险带来的终极审计风险无法控制。模型(12)尽管明确了现代审计的重点审计领域——管理舞弊，但鉴于无论是管理当局舞弊，还是员工舞弊，最终结果都表现为会计报表存在错报。因此，模型(12)存在风险要素重复之嫌。模型(8)、(9)、(10)和(11)分别把发生在审计过程之外的法律风险或诉讼风险加入了审计风险模型之中。由此可知，这些审计风险模型是建立在广义的审计风险观的基础上的。从上文对审计风险内涵的分析可知，广义的审计风险观偏离了审计风险作为程序性风险的本质，由此会造成CPA和会计师事务所承担的审计风险范围无限扩大，不利于CPA和会计师事务所对审计风险的评估和控制。另外，把法律风险和诉讼风险包括审计风险模型中，会诱使CPA和会计师事务所为节约审计成本而不惜牺牲审计质量，会严重扭曲审计的本质，偏离社会公众查错纠弊的目标责任。这是因为，在给定利已经济人假设和道德风险条件下，利用模型(8)、(9)、(10)和(11)进行审计很容易导致CPA走向极端，即CPA只要经过测试认为被审计单位的诉讼（法律）风险能够接受，即使被审计单位的会计报表存在不符合会计准则的现象，且这一现象也为CPA所知道，CPA也会签发无保留审计意见。（四）传统审计风险模型与新审计风险模型进一步辨析在上述诸多审计风险模型中，具有典型意义和代表性的分别为模型(3)和模型(6)。前者是由AICPA在1983年提出的，在审计中为多数会计师事务所接受和采用（事实上，文中的其他审计风险模型大都是围绕该模型进行的修订或变形）。后者则是国际审计与鉴证准则委员会于2003年刚刚提出的，目前正为人们广泛讨论并被寄予了很高的期望。为便于对二者进行比较分析，我们把前者称为传统审计风险模型，后者称为新审计风险模型。传统审计风险模型的显著特征在于其从风险控制的程序出发把审计风险分为固有风险、控制风险和检查风险三要素，并用连乘的形式表明了审计风险在不同阶段的数量关系，这使得定量评估审计风险成为可能。因而，从形式上看，传统审计风险模型并不存在理论上的缺陷。然而在实务中，由于假设在不存在内部控制条件下去具体单独评估固有风险有很大的难度，而直接假定固有风险为高水平被实务界公认为稳健的做法，这样极易造成CPA和会计师事务所不重视对固有风险的评估，使其评估流于形式，CPA对审计风险的评估也变为以评估层次较低的控制风险为起点。因此，在审计风险水平给定的条件下，由于忽视对固有风险的评估，必然会促使CPA为降低检查风险，扩大实质性测试的性质、时间和范围，造成有限的审计资源分配不均和浪费问题。同时，由于审计缺乏重点，也难以合理保证会计报表不存在重大错报。与传统审计风险模型相比，新审计风险模型对审计风险的构成要素进行了重新修订和调整，并正式引入重大错报风险，把审计风险模型重构为：审计风险=重大错报风险×检查风险。其中，重大错报风险是指会计报表审计前存在重大错报的可能性，它包括两个层次：一是会计报表整体层次；二是交易类别、账户余额、列报和披露认定层次。会计报表整体层次的重大错报风险是指与会计报表整体关系紧密的重大错报风险或对许多认定都有潜在影响的重大错报风险，它通常与控制环境和其他环境因素相关。交易类别、账户余额、列报和披露认定层次的重大错报风险由固有风险和控制风险两部分构成。由此可见，重大错报风险并不是传统审计风险模型中的固有风险和控制风险的简单综合，而是对此做出了重大的实质性改进。与此相适应，新审计风险模型强调CPA应从宏观上深入了解被审计单位及其环境，以充分识别和评估会计报表重大错报风险。对于重大的交易类别、账户余额、列报和披露，无论内部控制是否有效，都需实施详细审计，且这一思想贯穿于整个审计过程。新审计风险模型明确要求以会计报表重大错报风险作为评估审计风险的逻辑起点，不仅抓住了审计的本质和核心，而且也与审计目标责任定位紧紧相扣，有利于CPA把审计的重心集中在会计报表容易出现错报的高风险领域，实现审计目标。所以新审计风险模型的重大理论进步在于它既可以从整体上把握审计风险因素，简化审计手续，提高审计效率，又可以合理整合审计资源，抓住主要矛盾，提高审计效果。因此，与传统审计风险模型相比，新审计风险模型是一种更为科学的风险量化模型，更符合审计工作的实际情况，有利于CPA执行风险评估程序。三、研究结论及启示审计风险模型对于CPA评估和控制审计风险、提高审计效率和效果具有重要的指导性作用。然而目前实务中存在着各种各样、形式迥异的审计风险模型。审计风险模型的多样性表明人们对这一重要审计理论的认识还存在混乱。因此，对不同学者构建的审计风险模型进行辨析以统一人们的认识显得尤为必要。通过辨析，我们认为，导致当前审计风险模型多样性的根本原因在于人们对审计风险模型建立的基础——审计风险内涵的理解存在