[关键词]计算机审计;信息系统审计准则;isaca;协调机制
近年来,审计署、中国注册会计师协会(中注协)等部门对信息系统审计的开展都极为重视。2011年7月出台的《审计署“十二五”审计工作发展规划》指出,“有步骤、分阶段地推进与重点中央企业信息系统的联网,试点实时审计”,“积极开展信息系统审计”[1]。信息系统审计尽管遵循传统审计程序,但与财务审计有根本的区别,它本质上属于评价性、鉴定性审计。信息系统审计的研究在西方国家较为成熟,在我国的研究与规范则尚处于起步阶段。截至2012年2月,审计署、内审协会出台的有关信息系统审计方面的规范与标准仅2项,即审计署于2010年9月颁布的《中华人民共和国国家审计准则》(第8号令)[2]和内审协会于2008年9月颁布的《内部审计具体准则第28号———信息系统审计》(内审准则第28号)[3],而中注协至今还尚未颁布关于信息系统审计的规范。我国亟待出善的信息系统审计系列标准,以此推进信息系统审计业务的开展。结合近年的研究,本文就信息系统审计的特点、信息系统审计准则的国内外发展现状以及在我国的发展策略作一探讨。
一、计算机审计与信息系统审计
目前,我国出台的计算机辅助审计规范有7项,信息系统审计方面的规范却较少。若要促进信息系统审计准则的建设,区分计算机审计与信息系统审计就十分必要,这将有助于消除我国学术研究中两者混淆不清的情况。日本会计检察院计算机中心认为,计算机审计包括两个方面:一是对计算机系统本身的审计,如系统安装、使用成本,系统和数据、硬件和系统环境的审计;二是计算机辅助审计,包括用计算机手段进行传统审计,用计算机建立一个审计数据库,帮助专业部门进行审计[4]。根据2010年修订的《中华人民共和国审计法实施条例》和2001年的《国务院办公厅关于利用计算机信息系统开展审计工作有关问题的通知》,计算机审计包括对计算机管理的数据进行检查及对管理数据的计算机进行检查两个方面[5]。我国学者李学柔与秦荣生在《国际审计》一书中,对计算机审计的特性表述为:“一是对执行经济业务和会计处理的计算机系统进行审计,即计算机系统作为审计的对象;二是利用计算机辅助审计,即计算机作为审计的工具。”[6]笔者认同上述关于计算机审计内涵的论述,并认为计算机审计向两个方向发展:其一是信息系统审计方向,其二是计算机辅助审计方向。
当前,国内外学者对信息系统审计的界定不尽一致,主流的观点有:ronweber于1999年提出,“信息系统审计是一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效地实现组织目标的过程”[7];日本通产省情报协会于1996年对信息系统审计的定义是“为了信息系统的安全、可靠与有效,由独立于审计对象的信息系统审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价,向信息系统审计对象的最高领导,提出问题与建议的一连串的活动”[7]。信息系统是由计算机硬件、网络与通讯设备、计算机软件、信息资源、信息用户和规章协议组成的,以处理信息流为目的的集成化人机系统。有效提高信息系统的安全管理与运行效率是信息系统审计的核心问题。笔者认为,信息系统审计应该是it审计师根据特定的规范,运用科学的信息系统管理方法,对信息系统网络的运行规程与应用政策所实施的一种评价与鉴证活动,旨在增强复杂信息网络的有效性、安全性、机密性与一致性,以此保障信息系统的高效运行。
二、中外信息系统审计准则的发展状况
(一)我国信息系统审计准则的发展情形
在传统审计业务方面我国已经形成了一套相对成熟的规范体系,然而,在信息系统审计理论方面,我国的相关研究几乎是空白[8],至于对信息系统审计准则系列规定的构建,在我国更是无从谈起。计算机审计包括信息系统审计与计算机辅助审计两方面,截至目前,我国出台的计算机审计规范或准则共计9项,其中,计算机辅助审计方面的规范7项,信息系统审计方面的准则2项,见表1。
表1当前我国已有的计算机审计规范
两项信息系统审计准则中,一项是内审协会于2008年9月颁布的《内部审计具体准则第28号———信息系统审计》(内审准则第28号),另一项是审计署于2010年9月颁布的《中华人民共和国国家审计准则》(第8号令)中的5项具体条款。内审准则第28号总计8章32项条款,该准则从总则、一般原则、信息技术风险评估、信息技术审计的内容与方法等方面对信息系统内审业务加以规范,它明确指出,“组织的信息技术管理目的是保证组织的信息技术战略充分反映该组织的业务战略目标,提高组织所依赖的信息系统的可靠性、稳定性、安全性及数据处理的完整性和准确性,提高信息系统运行的效果与效率,合理保证信息系统的运行符合法律法规及监管的相关要求”[3]。审计署第8号令不是一项专业的信息系统审计准则,而是一项传统审计业务的新规范,但其某些具体条款涉及被审单位信息系统的检查方法与审计原则。仅有的两项信息系统审计准则,前一项条款涉及范围相对全面,但是具体条款过于笼统,后一项所涉及的信息系统审计准则过于零散,难成体系,两项准则无法为我国信息系统审计业务的开展提供具体指导。
(二)国外信息系统审计准则的发展情形
国外有关于信息系统审计准则的发展已经趋于成熟,其中较为典型的有信息系统审计与控制协会(isaca)制定的《信息系统准则体系》与《信息系统和技术控制目标》(cobit),美国审计署制定的《联邦信息系统控制审计手册》(fiscam),国际内部审计协会制定的《基于风险的信息系统控制评价指南》(gait),以及英国、法国、德国与荷兰共同制定的《信息技术安全评估准则》(itsec),这些准则与规范均为多个国家所广泛应用[89]。上述准则与规范中最为典型的应为isaca机构制定的准则体系,该体系框架见表2。isaca是集信息系统控制、管理、审计于一体的专业机构,总部在芝加哥,在全世界160个国家约有95000名会员。isaca的任务包括注册信息系统审计师(cisa)资格认证、制定isa准则、组织cisa资格考试等七项内容。七项内容相互辅助,融为一体,且isa准则的制定以其他六项为有机支撑。表2所阐释的isaca信息系统审计准则体系来源于isaca机构出版的《itstandards,guidelines,andtoolsandtechniquesforauditandassuranceandcontrolprofessionals》[9]。该体系总计330页,将信息系统审计准则分为审计标准、审计指南与作业程序三个部分,其中审计标准表述为s1—s16,规定了审计章程及审计过程所必须达到的基本要求,是cisa的执业行为的基本规范;审计指南表述为g1—g42,明确规范了cisa实施审计业务的具体标准,为cisa如何遵守审计准则提供指引;作业程序的表述为p1—p11,提供了信息系统审计业务的一般步骤,为cisa提供了is审计工作的具体思路。
(二)我国的信息系统审计准则无法满足广泛的社会需求
近年来,复杂的信息系统在我国得到广泛应用,如公安综合网络信息系统、集团信息管理系统等。由于受到特定经济环境以及网状信息系统复杂性等多种不确定因素的影响,信息系统安全问题日趋严重,社会对信息系统审计准则的需求亦日益迫切。如,2006年10月10日中国民航信息网络股份有限公司离港系统主机发生故障,包括北京、上海、广州在内的众多机场的离港系统整体性瘫痪;2009年9月17日,知名券商申银万国交易系统突然瘫痪,其位于全国各地的一百余个营业部均受到影响,近半个小时未能进行证券交易;2010年2月3日,民生银行因信息系统故障,全国范围所有业务无法办理;2011年10月25日,北京东城区39家社区卫生服务站出现信息系统故障,近一周的时间无法为患者提供正常门诊与取药服务。若要解决上述问题,则亟须一套成熟的信息系统审计准则对信息系统进行事前预警、事中控制与事后评价,显然,目前我国仅有的两项准则无法满足社会的需求。信息系统审计准则在我国的需求主要体现在三个方面:一是信息系统内部控制与审计的需求。对此,内审协会需要出台全面的准则与规范,为组织中内部审计人员评价信息系统的安全提供参考标准。二是公共机构中信息系统外部审计的需求。对此,审计署需要出台系列的信息系统审计准则,为政府审计人员提供明确的审计流程与技术方法。三是公共机构之外的组织中信息系统外部审计的需求。对此,中注协需要出台规范的信息系统审计准则,为社会审计人员提供清晰的参照标准与风险控制思路。
(三)我国的信息系统审计准则多方制定主体间缺乏默契的协调机制
政府审计准则、内部审计准则、社会审计准则的出台机构分别为审计署、内审协会与中注协,它们应根据其自身服务范围制定相应的信息系统审计准则。然而,尽管三方均需制定各自的准则,但是由于在信息系统审计的目标、原则、方法与技术方面只是形式的不同,而内容并未有实质差异,因此,审计署、内审协会、中注协有必要就信息系统审计的原则与方法等同质的方面作出统一的规范,然后再根据各自的特点进行修订。多年来,我国信息系统审计准则出台过于零散,其原因之一是审计署、内审协会、中注协各自缺少对外交流机制,且彼此之间缺乏协调机制。一项准则的出台,不仅仅需要制定主体之间相互协调,同时还需要集合制定主体之外的多方相关利益主体。信息系统审计准则所需集合的外部主体主要有信息系统审计师、信息系统管理工程师、信息安全工程师、信息系统项目管理师、学术界以及其他利益相关者。因为信息系统审计准则制定者的理性并非无限的,因而,将各利益主体有机协调于一体,将会尽可能地集合审计学学科、计算机科学学科以及信息安全学学科中理论界与实务界更多人的知识与经验,从而全面提高信息系统审计准则的质量。在我国,尽管信息系统审计并非强制性审计,且耗费人力、财力集合各方主体完善相关准则从目前来看并不会产生更多的社会效益,但是从长远来看,缺少必要的多方互动机制并非明智之举,准则制定者应在引入多方主体的基础上采取听证会等方式,多听反对意见,广纳民意,集中民智。
四、信息系统审计准则体系的构建策略探析
构建并完善信息系统审计准则体系是一项系统工程,它不是简单工作的叠加,而是具体工作的有机整合。我国的信息系统审计准则建设刚刚起步,准则制定主体将面临全新的挑战。在此,笔者希望准则制定主体在信息系统审计准则制定上,尽可能坚持以下三个方向。
(一)合理借鉴国外成熟的信息系统审计准则体系
国外信息系统审计准则体系相对成熟,我国的准则制定机构可以直接引入国外先进的信息系统审计准则研究成果及实践经验,这样不仅可以避免开展重复性工作,而且能快速站于更高的起点。当然,“借鉴”并不意味着“照搬”,准则制定机构在“借鉴”中应关注国际趋同、中国特色和自主创新三点。
1.国际趋同。当前,全球经济一体化趋势要求审计准则也趋向一体化。2010年11月10日,国际审计准则制定机构在与中国审计准则委员会的联合声明中高度评价中国审计准则的国际趋同成果。审计作为一门学科不分国界,大量“吸收”国外成熟的信息系统审计标准,走“国际趋同”道路,将是我国发展审计准则的大势所趋。信息系统审计准则的国际趋同是矛盾的统一体,我国的准则制定机构需要实现“推动趋同的积极因素”与“阻碍趋同的消极因素”二者作用的均衡。
2.中国特色。由于各个国家的国情不尽相同,因而外国成熟的理念不尽适于中国。我国与国外审计文化的差异主要体现于三个层次:其一是物质文化差异,包括审计环境、审计条件等;其二是制度文化差异,包括审计规范、审计机构组织方式等;其三是精神文化差异,包括价值取向、行为方式等[10]。例如,国际政府审计准则由四部分组成,全部具体准则共计191项条款,然而我国政府审计准则共分为六个部分,全部准则共计47项条款[2]。造成国内外差异的原因有诸多方面,其中一个是我国政府审计无论是实践经历还是理论研究都起步较晚。正因如此,我国审计准则的制定与出台均是以实践经历为基础的,是紧紧围绕实践环节作出的程序性规定,在形式上和内容上拘泥于条条框框,难以达到“适度拓展性”与“适时适应性”等理论高度[11]。有鉴于此,我国的准则制定机构在“借鉴”中,需要充分认识国内外审计文化的差异,明确我国审计文化的特色,努力设计出适用于我国的高效的信息系统审计准则体系。
3.自主创新。我国对信息系统审计准则的制定不仅要做到中国特色,还要做到与时俱进并具有前瞻性。为满足上述要求,准则制定机构在借鉴国外的基础上,需要做到基于自身的不断创新。如isaca采用的是会计师事务所的框架,美国审计署采用的是内部控制理论,二者构建的信息系统审计准则体系都主要以内部控制为基础[8],然而当前我国大部分被审单位的内控体系尚在建设之中。再如,国外有众多有关信息化的法规为isaca等体系做支撑,而我国尚缺[11]。类似问题的解决都有赖于我国信息系统审计准则制定机构的持续创新。为了实现“持续创新”,我国有必要为信息系统审计准则的制定与组织设立专门的机构,加大人力、物力、财力的投入,增强准则制定的必要的动力机制,强化准则制定主体,最大限度地发挥相关机构的创新潜力。(二)全面设计信息系统审计准则的完善方案
信息系统审计准则的制定必须科学规划,建立切合实际的信息系统审计准则制订方案并非无法完成。笔者认为,全面的信息系统审计准则完善方案至少包括四项内容:一是确立准则制定相关主体的多方合作机制。信息系统审计准则制定主体的知识具有有限性,因此制定主体不可能制定出适用于任何情况的最优规范,故准则制定机构需要扩大准则制定主体的代表性,将信息系统审计师、信息安全工程师、软件工程师、资深学者等多方主体纳入准则制定团队,这样一方面可以集思广益,提升准则质量,另一方面可以向利益相关者增设利益诉求的通道,促进其对准则的遵从。二是融合信息技术与安全方面的法规及标准。信息系统审计涉及信息管理等多门学科,仅以传统审计理论演绎信息系统审计理论还远远不够,因此,我国在制定信息系统审计准则过程中,还需要融合信息技术与安全方面的法规与标准,如《中华人民共和国计算机信息系统安全保护条例》、《信息系统通用安全技术要求》、《网络基础安全技术要求》、《操作系统安全技术要求》等都将会对准则制定大有帮助。三是加强与信息系统审计有关的法规与准则的确立。信息系统服务于信息经济,制定信息系统审计准则就应以有关信息经济的法律规范为基础。当前,我国有关电子商务、电子政务的法律体系尚未完全建立,由此导致网上交易的安全问题、电子证据的篡改问题等在法律上难以认定,这些都将促使审计人员在信息系统业务运营的合法性审计工作中无法可循。四是做好与信息系统审计准则建设相配套的其他工作。isaca机构的工作重点包括isaca准则建设等七项内容,且这些内容相互支撑。我国在制定信息系统审计准则的动态过程中,也有必要做好与其相配套的其他工作,以便为准则的制定打下良好的基础。信息系统审计准则制定的配套工作应该包括建立信息系统审计协会并明确会员的权利与义务,大力开展信息系统审计教育与培训等,只有如此,高水平的准则参与团队才能涌现,准则的制定质量与执行效果也才会大幅攀升。
(三)科学建立信息系统审计准则的内容框架
信息系统审计准则取材于审计主体、审计过程、审计方法以及审计风险管理,反过来又对它们加以规范。结合isaca准则,审计署、内审协会、中注协在确定信息系统审计准则体系框架时,有必要将该体系划分为三个层次(见图1):一是信息系统审计基本准则层次。信息系统审计基本准则是信息系统审计准则的总纲,是审计机构与审计人员进行信息系统审计时应遵循的基本规范,是制定信息系统审计具体准则与信息系统审计指南的依据。信息系统审计基本准则的主要内容应该包括总则、一般准则、作业准则、报告准则、不正当及非法行为、信息系统管理与附则等方面。二是信息系统审计具体准则层次。信息系统审计具体准则是审计机构和人员在进行信息系统审计时评价审计事项与作出审计决定应当遵循的具体规范。信息系统审计具体准则的主要内容应该包括职业道德准则、审计证据准则、审计工作底稿准则、审计报告准则、审计抽样准则、内部控制评价准则、审计结果沟通准则等多个方面。当然,在上述具体准则中需要融入有关信息系统技术与安全的多方面的专业知识,应该列示信息系统风险评估,入侵检测,防火墙、病毒及其他恶意代码、加密技术的管理控制评价等多项审计流程。三是信息系统审计指南层次。信息系统审计指南是为审计机构与审计人员进行信息系统审计提供的具有可操作性的指导意见。由于当前网络经济的迅速发展与日趋复杂,我国出台的信息系统审计指南要尽可能全面细致,未来出台的信息系统审计操作指导性建议至少应该包括应用系统评审、访问控制、系统开发与维护、实物与环境安全、不正当及非法行为、b2b与b2c的电子商务审核、移动计算、系统开发生命周期审核以及虚拟专用网络等各个方面。科学的准则框架能够为信息系统审计准则的需求方(开发主体、用户主体、审计主体)提供规范化、专业化的管理框架,并能够明确它们的定位、权利与职责,笔者期待大家的共同努力。
参考文献:
[1]中华人民共和国审计署.审计署“十二五”审计工作发展规划[r/ol].(20110701)[20120710]..
[2]中华人民共和国审计署.中华人民共和国国家审计准则(第8号令)[eb/ol].(20100901)[20120710].http://www.audit.gov.cn/n1992130/n1992165/n1993676/2601539.html.
[3]中国内部审计协会.内部审计具体准则第28号———信息系统审计[eb/ol].[20110507][20120710].ht?tp://www.ciia.com.cn/docs/fg_xg_nszz/20110507/1304754306534.html.
[4]庄明来.计算机审计与信息系统审计之比较[j].会计之友,2010(5):8285.
[5]中华人民共和国审计署.计算机审计[eb/ol].[20120710].http://www.audit.gov.cn/cysite/docpage/c340/200301/0109_340_670.htm.
[6]李学柔,秦荣生.国际审计[m].北京:中国时代经济出版社,2002.
[7]王会金,刘国城.中观经济主体信息系统审计的理论分析及实施路径探索[j].审计与经济研究,2009(5):2731.
[8]李春青,周座.“国外引进”还是“自主发展”?———对我国政府信息系统审计发展途径的探讨[j].南京审计学院学报,2012(1):5157.
[9]isaca.aboutisaca[eb/ol].[201207
10]..
【关键词】新审计准则;三方关系人;理论演变
传统的审计理论一直认为,审计业务三方关系人是指审计人、被审计人以及审计业务委托人,审计活动的发生,就是基于这三方关系人发生联系的结果。其基本情况是:基于受托经济责任关系,首先产生了财产管理的委托人与财产管理的受托人,由于这里的委托人与受托人双方的信息不对称以及道德风险的存在,因此客观上产生了对受托人的受托经济责任履约情况进行检查鉴证的需要。受自身诸多条件的限制,委托人很难亲自去检查鉴证,这种检查鉴证一般是由财产所有者委托给与受托人没有利害关系的第三者去完成,于是社会上便出现了审计人,这三者之间一旦发生联系,社会上就出现了所谓的审计活动。
2006年,中国注册会计师协会在借鉴国际最新审计准则的情况下对我国原先的独立审计准则进行了全面的修订,新修订的准则重新命名为《中国注册会计师执业准则》(本文中将其简称为执业准则或新审计准则)。在新修订的执业准则中第一次提到了“鉴证业务的三方关系人”,只不过鉴证业务三方关系人的提法与传统的审计三关系人的提法已不尽相同。
执业准则认为,“鉴证业务涉及的三方关系人包括注册会计师、责任方和预期使用者。”这里的预期使用者准则解释为:预期使用者是指预期使用鉴证报告的组织或人员。由于鉴证业务涵盖着审计业务,这样一来,审计三方关系人理论也就由原先的老的三方关系人理论演变成了现在执业准则中的新的三方关系人理论。
执业准则中对三方关系人的理论表述上为什么会有一个这样的变化,这种变化是否意味着原先的审计三方关系人理论的终结?对此需作些简要解读。
首先,老的三方关系人的提法已不能满足执业准则中对我国注册会计师业务重新划分的需要,致使执业准则必须在一个更高的层面,也就是从整个鉴证业务层面对其进行重新的认识和表述,这是新的三方关系人理论产生的形式上的需求。
新审计准则颁布之前,我国对注册会计师业务的划分一是过于简单;二是不太科学。比如:2004年我国注册会计师全国统一考试辅导教材中就明确指出,根据《注册会计师法》的规定,我国注册会计师的业务范围分为审计服务及会计咨询和会计服务业务。对注册会计师业务这样划分与国际通行的对注册会计师业务的划分方法显然相去甚远。新的审计准则借鉴了国际上通行的做法,将我国注册会计师的业务分为鉴证业务和相关服务。其中,鉴证业务又进一步划分为审计业务、审阅业务和其他鉴证业务三类。这样一种分类意味着审计业务只是鉴证业务中的一类业务且不是唯一的业务,与它同属于鉴证业务的还有审阅业务和其他鉴证业务。如此一来,老的三方关系人的提法显然已不能涵盖所有的鉴证业务,比如,不能用审计人、被审计人去定义审阅业务中的关系人,道理很简单,审阅业务不属于审计业务,审阅业务与审计业务是两项既有联系又有区别的业务。因此,用“审计”一词去定义或界定非审计的鉴证业务的关系人在逻辑上本身就是讲不通的事情。因此,在鉴证业务关系人方面不能沿用审计人、被审计人、审计委托人这三个概念,必须采用能够涵盖所有鉴证业务的关系人概念进行重新的表述,这样在形式上就产生了需要对鉴证业务关系人进行重新表述的客观要求。
其次,当注册会计师所从事的包括审计活动在内的鉴证活动已经成为社会上很普遍的一种活动时,这种活动的关系人客观上也已经发生了较大的变化,这时客观上也需要对这些关系人进行重新研究和认识,这是新的三方关系人理论产生的内在需求。
可能会有人认为,为什么不能套用老的三方关系人的方法去界定或定义鉴证业务的三方关系人?比如,可以这样界定或定义鉴证业务的三方关系人:鉴证人、被鉴证人和鉴证委托人。当然,这样界定或定义鉴证业务关系人的方法也未尝不可,只是眼光过于狭隘,局限在一项具体的鉴证活动中孤立地去观察鉴证业务的关系人,没有能够从一个更高的层面,从整个社会的视角去研究、观察在当今社会具有普遍意义的注册会计师鉴证活动中到底存在哪几方面的关系人。很显然,套用老的三方关系人的方法去界定或定义注册会计师鉴证活动中所存在的关系人,就有可能把鉴证活动中一个很重要的关系人给遗漏掉,那就是鉴证信息的预期使用者。因为鉴证信息的预期使用者除了委托人之外,还可能是众多的不同利益集团,正因为这些不同利益集团的存在,才使注册会计师的鉴证活动逐渐摆脱了孤立的、个别的活动的藩篱而使其更加具有社会性。
注册会计师的业务范围从最早的审计业务和相关服务扩展到现在包含审计业务在内的鉴证业务和相关服务,理论上也完成了由最早审计三方关系人的界定到新审计准则中的鉴证业务三方关系人界定的嬗变。笔者认为,新的三方关系人理论的出现,并非意味着老的三方关系人理论的消亡,新老三方关系人理论既有联系又有区别,它们之间并行不悖,各自发挥着自己的理论功用。它们之间的联系是:新的三方关系人涵盖了老的三方关系人、新的三方关系人理论是老的三方关系人理论演变、发展的必然结果;它们之间的区别是:由于新的三方关系人理论是基于整个社会的宏观层面对鉴证(审计)活动关系人进行的重新认识和划分的结果,因此,老的三方关系人理论的功用主要在于向人们解释社会上为什么会有审计活动;而新的三方关系人理论的功用则侧重于向人们揭示审计活动的社会性。
【主要参考文献】
美国注册会计师协会(ACPA)认为:审计风险是审计人员对存在重大错报的财务报表未能适当地发表他的意见的风险。加拿大特许会计师协会(cCA)的观点是:审计风险是审计程序未能察觉出重大错误的风险。《国际审计准则》认为:审计风险是指审计人员对实质上错报的财务资料可能提供不适当意见的风险。中国《独立审计具体准则第9号一内部控制与审计风险》中的定义为:会计报表存在重大错报和漏报,而注册会计师审计后发表不恰当审计意见的可能性。不同的定义,指导不同的审计实践,带来不同的审计结果,这种结果可以表现为不同的审计结论、审计成本、审计效应等。与风险定义有不同争论是,多数组织都认同:审计风险都与审计人员的职业判断高度相关,同其他风险控制措施相比,审计人员的职业判断能力占有主导的决定性地位。2003年10月国际审计委员会确定的现代审计风险模型也进一步强调了审计人员个人因素在控制审计风险中的作用。
(一)审计风险模型按照时间顺序,主要有如下几次审计风险模型的演变:(1)1978年,D.H.Roberts提出了最早的审计终极风险模型,即:终极风险=固有风险×控制风险×分析性检查风险×(抽样风险及非抽样风险);(2)1981年,美国审计准则委员会(AICPA)认为:审计风险=固有风险×控制风险×分析性检查风险×详细测试风险;(3)1983年,AICPAXe审计风险模型又做出了修改,其提出的审计模型为:审计风险=固有风险×控制风险×检查风险;(4)1983年,(G.S.Holstrum)和(J.L.kirtland)提出:审计风险=固有风险×控制风险×分析性检查风险×实质性测试风险;(5)1987年,英国审计实务委员会(APc)提出审计风险=固有风险×控制风险×检查风险×抽样风险;(6)2003年,国际审计与鉴证准则委员会(1AASB)提出了全新的审计风险模型,即:审计风险:重大错报风险×检查风险。
我国采用较多的是传统审计风险模型,即AICPA的审计风险=固有风险×控制风险×检查风险及改进后的现代审计风险模型。即IAASB的审计风险=重大错报风险×检查风险。现代审计风险模型在传统审计风险模型的基础上进行了改进,形式上有所简化,但审计风险的内涵和外延却扩大了。现代审计风险模型核心的改变为:仅从固有风险较低层面上评估风险转为以会计报表重大错报风险评估为导向,即围绕评估的重大错报风险来确定审计范围、程序,将审计风险控制在可接受的水平内,也因此要求审计者必须具有更好的职业判断能力。
(二)审计风险控制审计风险最直接、最根本的防范措施依赖于审计人员的职业判断能力,也就是审计人员利用自身的专业技术来把审计风险降低到一定的水平,使之达到多方博弈的审计目标的能力。审计目标是一个相对的概念,对于同一审计事项,不同的审计主体、不同的审计环境、不同的审计人员所确定的审计目标是不一样的,对审计风险的认定也是有区别的。如,对于上市公司来说,其国家审计、注册会计师审计、公司内部审计的目标不同,其审计风险值必然不同;对于同一审计主体来说,审计人员个人的因素(职业能力水平及道德水准)又直接影响并决定着审计风险控制的程度,是决定审计质量最关键的因素;而审计准则则在控制风险的审计程序上起到一定的辅助作用,对审计师的“能力大小”以及是否“给力”则显得苍白。如轰动全国的“蓝田事件”,正是刘姝威以自己的职业敏感,通过简单的专业计算,得出了“蓝田股份的短期偿债能力很弱,已经成为―个空壳,完全依靠银行的贷款在维持生存”的结论。
从理论研究而言,审计风险一般是指公司的会计报表审计而言的,尤其是强调审计风险后果的理论,即由审计师不恰当的审计行为(主观或客观)引起、并给审计主体带来损失的可能性。但是,国家审计以及内部审计的审计风险则完全不能用后果论来解释。如国家审计风险是指审计机关及其审计人员没有按照法定职责、权限和程序实施审计,对被审计单位的财务收支报表和履行相关职能的情况发表不恰当的意见和评价,或是做出的错误处理处罚决定,而给相关者带来某种损失的可能性,由于审计公开程度的局限,这种损失一般仅限于被审计单位层面;对于内部审计而言,其开展的经济责任审计、效益审计、财务收支审计等由审计风险带来的损失就更小。
二、审计质量
1981年美国学者DeAngelo将审计质量定义为:审计质量=审计人员发现问题的能力×审计机构报告问题的能力。我国学者张龙平也提出了:审计质量具体表现为审计人员的质量和审计过程的质量,最终体现为审计报告的质量(符合性和可靠性)。
(一)审计质量控制国家审计历来强调审计质量的控制,多年来形成了一套行之有效的质量管理模式:建立审计质量制度控制体系,通过审计项目管理系统加以规范审计行为;建立健全审计质量责任制度,以检查、考评、评估和追究责任促进质量责任的落实;控制各环节的质量控制流程,通过对外部审计质量控制的检查来达到对审计质量责任的控制;建立审计项目质量为考核指标的导向制度等。
审计职业标准由审计职业技术准则(审计准则)、审计道德准则和审计质量控制准则三大部分构成。审计准则是审计人员在进行审计业务过程中应遵守的技术规范,是审计人员去执行具体审计业务的行为指南;审计职业道德准则是审计人员在从业过程中应遵守的道德规范,是一种社会道德标准;审计质量控制准则是保证审计组织在从事各种专业技术服务中达到审计准则和职业道德准则所要求的服务质量而制定的一系列质量控制要求。三者的关系是:审计质量控制准则约束审计准则和职业道德准则,以使审计组织能够遵守相应的制度去完成专业技术服务,以达到最低的的质量要求。
(二)审计质量计量审计质量难以准确的计量,究其主要原因,一是审计报告本身是主观产品,其质量没有标准,水平也没有定论,只有相对说;二是使用人不同,其理解也不尽相同。在理论界,审计质量定量研究的样本确定也无定论,使用较多的是替代变量是盈余管理,其次是事务所规模,再次是审计人员职业水平、审计所花费的时间、上市公司治理结构、审计费用等。
审计质量不仅是一个量的问题而且还是一个质的问题,因此在提出审计项目是否优秀、质量是否高时,不仅要考虑审计程序是否遵循了审计准则,而且更应该综合考虑审计项目本身所产生的影响,考虑项目本身所隐含“质”的量。如,“财政同级审”是政府审计的一项重要工作,它要求审计机关及人员按照《预算法》的要求和同级人大通过的财政预算,对财政资金的收支的真实性、合法性、效益性进行审计监督,为政府决策提供参考;但是,不少地方政府的预算是建立在“土地财政”、“拆迁财政”“高耗能财政”上的,那么财政资金收支的真实性、合法性、效益性审计的风险再小,审计过程控制的再好,这种“财政同级审”也是不符合科学发展观的,也
就难以谈及审计项目的质量好坏。
三、审计风险与审计质量的关系
综上所述,审计风险与审计质量的关系主要表现在以下几个方面:
(一)审计风险是过程1979年11月,美国注册会计师协会(AICPA)所属的质量控制准则委员会QCSQ《质量控制准则公告》,提出了提高审计质量应该考虑九项准则,其中,对于风险控制过程来看:第三、第四、第五、第八都同审计人员有关,即从招聘开始,到职务晋升、专业发展,一直到委派任务整个过程,对人员的职业能力及道德水准都给予了科学、详细的规定;其余几项都在风险控制的其他方面给予了关注。整个准则执行(控制)的好坏决定着审计项目质量的好坏。
审计质量控制一般是从审计总体目标角度出发的,而设计风险的防范则针对每一具体的程序与具体审计对象而言的。一般来说两者之间存在正相关关系,即审计风险控制的好,那么审计质量也就越好,但两者并不是必然的因果关系,原因是审计风险难以识别、更难控制。因此,可以从多角度来确定审计作业中的审计风险,即按照审计目标来考虑审计风险,而不是过多地依赖审计风险识别的结果来确定审计质量。在实务中。这一观点被广泛地应用于非注册会计师会计报表审计中,正确运用这一原则将大大节约审计资源。如,经济责任审计,因任中、任后,调动、退休、免职、升职等原因不同而要求审计的深度不同,因此审计风险要求也就不同。
(二)技术控制审计风险制度控制审计质量由于风险管理作为一种管理方法贯穿于审计过程的始终,是一个系统的、全过程的概念。只有具备系统而科学的管理方法,才能对审计风险进行有效的识别、衡量和控制,才能以最少的成本将审计风险导致的各种不利后果减小到最低程度。审计风险管理强调的是每一审计事项的风险,是依赖审计人员来判断并控制的;审计质量管理是对审计过程的逐个节环节而言的,需要各种规章制度准则来规范。除了审计风险是审计质量的主要影响因素外,审计质量的形成还受到审计风险以外的多方面的制约,如审计结论形成、审计报告的使用、审计结果的公开等等,因此必须以科学、健全的制度来规范审计质量。不同审计种类的审计质量控制原理是一样的。具体的控制制度也几乎可以通用,但是审计风险的认定及其实际控制程度却是因人而异的。
参考文献: