整合审计下内部控制审计风险模型构建
来源:用户上传
作者: 王杏芬
随着国内外内部控制治理的发展,审计人员不仅要对财务报表发表审计意见,还要对相关内部控制的有效性发表意见,即整合审计日益重要。为同时满足这两个目标,审计人员可使用一些相同的程序。审计风险模型作为财务报表审计的概念框架至今已有40多年历史,尽管其在执行和评价审计风险时缺乏一定理论基础,但依然具有较强的风险评价和分析功能,可以帮助审计人员有效确定审计的性质、时间和范围。由于审计风险模型主要针对财务报表审计而不是专门为内部控制审计设计,而且内部控制审计主要审计内部控制机制的设计、实施和维护等过程,其审计意见的类型也不依赖于分析程序或细节性测试,因而不能按照该模型进行内部控制审计,这在客观上呼唤适用于内部控制审计的风险评价概念框架和审计风险模型的出现。
一、内部控制审计的目标
与财务报表审计主要评价结果不同,内部控制审计主要是对过程进行评价。如果不进行整合审计,审计内部控制无需对账户余额进行实质性测试。即使进行整合审计,控制测试主要是测试内部控制,实质性测试虽然可能使审计人员发现内部控制的缺陷,但其目的主要是为了鉴证企业财务状况、经营成果和现金流量的合法性与公允性,而不是测试内部控制的有效性,因而旨在帮助审计人员确定控制性测试和实质性测试范围的审计风险模型,并不适用于内部控制审计。与审计风险模型为审计人员提供了有助于其确定财务报表审计测试范围的概念框架类似,构建适当的内部控制审计风险模型也将为其提供相关的概念框架,以帮助审计人员确定内部控制审计的测试范围,以及影响测试程度的关键因素等。
内部控制审计的目的不是为了发现重大错报,而是对内部控制的有效性发表意见。如果内部控制存在一个或更多的重大缺陷,审计人员就不能认为它有效,而应当计划并实施适当的审计程序,搜集充分证据对鉴证期间的内部控制是否存在重大缺陷获得合理保证。需要说明的是,即使财务报表不存在重大错报,其内部控制也可能存在重大缺陷,从而决定了内部控制审计的目标是为内部控制的设计、实施和维护不存在重大缺陷寻找高水平的合理保证。
二、内部控制审计风险
狭义的内部控制审计风险是指“一种对内部控制有效性发表不恰当意见的风险”。根据内部控制审计的目标,如果审计人员认为发现的重大缺陷风险并未降到一个足够低的水平,就不应发表无保留意见,因而内部控制审计风险的定义应是“某一组织拥有重大缺陷但审计人员没有发现或发现但却出具不恰当审计意见的风险”,旨在帮助审计人员确定需要实施多少测试来保证未发现的重大缺陷风险控制在足够低的水平。重大缺陷可能来自以下两个方面:内部控制设计或维护的重大缺陷;虽然内部控制具有充分的设计或维护,但在实施过程中存在重大缺陷。为了发现设计或维护方面的重大缺陷,审计人员应适当评价内部控制的设计(如发现控制的不完善)、对内部控制是否改进进行适当测试。典型的评价和测试程序包括:检查(往往在问卷调查或其他方法的基础上进行)、分析控制流程图、阅读文件、观察、穿行测试和检查其他书面资料。通过适当测试控制运行的效率,审计人员可以发现其中的重大缺陷,从而将内部控制缺乏效率的风险降至低水平,而适当的内部控制审计风险模型则有助于审计人员确定运行效率测试的数量和程度。
三、内部控制审计风险模型的构建
内部控制审计风险的定义表明以下情形可能出现重大缺陷:(1)用以防范固有风险的内部控制设计不充分;(2)内部控制设计不完善;(3)设计充分和完善的内部控制未有效运行。为避免内部控制审计风险模型与审计风险模型混淆,将其定义为不正确的控制意见风险,即ICOR。这三种缺陷都可能导致重大缺陷,审计人员要发表内部控制的无保留意见就必须确定这三种情况都不存在,即内部控制审计风险是在固有风险不变的情况下,内部控制固有风险与内部控制实施风险的函数,由此得到内部控制审计风险模型如下:
ICOR=f(CDIR/・给定IR;COER 若CDIR有效) (1)
式(1)表示内部控制审计风险模型。左边是审计人员出具不恰当控制意见的风险,它等于审计人员实施一系列测试后未发现实际存在重大缺陷的风险,是内部控制设计不充分或不完善的风险,以及虽然内部控制设计充分、完善但未有效实施的风险的函数。其中,ICOR为不恰当控制意见的风险,即当某一组织内部控制存在重大缺陷但审计人员并未发现或虽发现却出具不恰当意见的风险。IR为固有风险,即假设不存在内部控制,审计人员认为某一组织存在一项或与其他错报汇总后为重大错报的风险;CDIR为内部控制的设计和改进风险,即审计人员认为某一组织存在内部控制设计不充分或不完善的风险,假定固有风险可以防止或发现并纠正总的重大错报;COER为控制实施有效性风险,即审计人员认为设计充分、完善的内部控制没有被严格实施,从而未能防止或发现并纠正重大错报的风险(见图1)。
(1)内部控制的设计与完善风险CDIR。固有风险是某一组织没有内部控制的情况下存在重大错报的风险,它既包括财务报表中存在的所有风险隐患,也包括某一具体账户本身的风险,注重的是重大错报而非重大缺陷。如果固有风险很低,无论控制怎样无效,重大缺陷风险也很低,存在重大错报的可能性也不大。因为决定某一缺陷能否构成重大缺陷的标准是内部控制存在未能阻止或发现并纠正错报,导致财务报表存在重大错报的数量多少和发生概率大小。然而,除了一些不重要的账户外,固有风险通常不低。审计人员在分析固有风险时经常假设客户的员工能力较高,客户的管理有方或控制环境和谐,但大量研究表明,这往往是错误的。因此,在分析控制风险时应当考虑这些因素,而不能直接断定其固有风险很低。假定固有风险的性质和大小,审计人员在分析内部控制的设计和完善情况时,需要确定二者是否充分和是否需要改进,即要根据没有充分的内部控制时可能出现的错误来决定现有内部控制的恰当性。如果固有风险高,就需要加强控制来防止或发现并纠正错报。反之,如果固有风险较低,需要控制的程度也较轻。如,一个企业的业务量很小也很简单(固有风险低),则可以简化内部控制;相反,另一企业的业务量很大且复杂(固有风险高),还需要复杂的计算机编辑,则审计人员除了检查报告、复核资料外,还要确保这些报告是在内部控制设计有效的前提下完成的。因此,固有风险在内部控制审计时是指内部控制设计和需要完善的风险,即给定固有风险下的内部控制固有风险。审计人员通过考虑、评估内部控制的设计是否充分和完善确保它所引发的风险。
(2)控制运行效率风险(COER)。审计人员使用控制运行效率风险COER确定控制测试的范围,COER类似于财务报表审计中的检查风险。审计人员会用1-COER确定控制测试所需要的保证水平。只有当内部控制设计充分和完善时才需要进行控制测试。如果审计人员确定控制设计不充分并需要改进,则断定内部控制存在缺陷,然后评估该缺陷是否重大,即控制运行效率风险是以内部控制设计的充分与完善为条件的。
四、扩展的内部控制风险审计模型构建
鉴于内部控制有效性的重要性,审计人员应评估组织的控制环境,尤其是管理层的理念和经营方式是否有利于促进有效的内部控制,如是否建立和推广讲求诚信和道德的价值观,特别是高管层;治理层是否理解并履行对监督财务报告及内部控制有效实施的责任。这些都需要单独评估内部控制环境的设计、实施和维护的有效性。如果审计人员发现控制环境存在重大缺陷,就可能发现内部控制存在其他重大缺陷。因此,基于上述模型构成的内部控制审计概念框架,按照COSO关于内部控制的概念框架,内部控制由控制环境、风险评估程序,信息沟通、控制活动和监督组成,笔者将这五部分分别按照设计、完善和实施三个方面对上述模型进行了扩展(见图1下半部分)。
在国内外内部控制规范实施之际,笔者从设计、实施与维护三方面构建了内部控制审计风险模型并初步形成了内部控制审计风险的概念框架,这不仅可以明确重大错报风险、重大缺陷风险的含义,树立审计风险模型只适用于财务报表审计,不适用于内部控制审计的理念;还可以运用内部控制审计风险模型,降低内部控制重大缺陷风险,进而降低财务报表审计的重大错报风险,提高整合审计的效率、效果,最终提升会计信息的决策有用性。
参考文献:
[1]袁敏:《上市公司内部控制审计:问题与改进――来自2007年年报的证据》,《审计研究》2008年第5期。
[2]秦荣生:《内部控制与审计》,中信出版社2008年版。
[3]Abraham D. Akresh.A Risk Model to Opine on Internal Control[J].Accounting Horizons,2010.
(编辑 熊年春)
转载注明来源:https://www.xzbu.com/3/view-795279.htm
