论政府部门财务报告审计风险

    周敏李 郑石桥

    【摘 要】 审计风险是“如何审计”的核心要件之一,文章以经典审计理论为基础,以命题论证型取证模式为背景,提出政府部门财务报告审计风险的理论框架。对于政府部门财务报告中的财务信息审计风险,文章阐释了财务信息审计风险的本质、产生和防范;对于政府部门财务报告内部控制审计风险,文章阐释了什么是财务报告内部控制审计风险、财务报告内部控制审计风险是如何产生的、如何防范财务报告内部控制审计风险。

    【关键词】 政府部门财务报告审计风险; 财务信息审计风险; 财务报告内部控制审计风险; 内部控制失败风险; 内部控制测试风险

    【中图分类号】 F239.44? 【文献标识码】 A? 【文章编号】 1004-5937(2021)09-0141-08

    一、引言

    政府财务报告制度是国家治理体系和治理能力现代化的重要内容,党的十八届三中全会提出要“建立权责发生制的政府综合财务报告制度”,国务院批转财政部《权责发生制政府综合财务报告制度改革方案》提出“在2020年前建立具有中国特色的权责发生制政府综合财务报告制度”,作为政府财务报告制度重要内容的政府部门财务报告审计制度的核心问题之一是如何建构控制审计风险的制度安排,由于政府部门财务报告审计涉及财务信息和财务报告内部控制两类审计主题,因此,其审计风险也包括财务信息审计风险和财务报告内部控制审计风险。从理论上厘清这两类审计风险是相关制度建构的基础。

    现有文献中,不少文献以企业会计报表审计为背景,研究其财务信息审计风险,但是,未发现有文献专门研究政府部门财务报告中的财务信息审计风险;少量文献以企业内部控制为背景,研究内部控制审计风险模型,未发现有研究政府财务报告审计或内部控制审计的文献涉及到政府部门财务报告内部控制审计风险,更没有专门文献研究这些问题。本文的贡献在于,以经典审计理论为基础,分别阐释政府部门财务信息审计风险和财务报告内部控制审计风险,提出各自的理论框架,以深化对政府部门财务报告审计风险的认知,并为优化相关制度建构提供理论支撑。

    二、文献综述

    政府部门财务报告审计涉及财务信息和财务报告内部控制两类审计主题,因此,审计风险也由财务信息审计风险和财务报告内部控制审计风险组成。

    就财务信息审计风险来说,不少文献以企业会计报表审计为背景,研究审计风险相关问题,主要涉及审计风险的概念、审计风险模型、审计风险评估、审计风险的产生原因及其防范、审计风险对审计行为的影响等[1]。未发现有文献专门研究政府部门财务报告审计风险,有的文献指出,政府财务报告审计要采用风险导向审计模式,因此,也需要进行风险评估和风险应对[2-6],还有的文献发现,公共部门审计风险会影响外部审计费用[7]。

    就财务报告内部控制审计风险来说,公认的审计取证模式仍然是风险导向,基于此,少量文献以企业财务报告内部控制审计为背景,提出了内部控制审计风险模型,Akresh[8]认为,财务报告内部控制是财务报告的生成过程,因此,财务报告内部控制审计是对财务报告生成过程的审计,而财务报表审计则是对这个内部控制过程的产出-会计报表之审计,因此,财务报告内部控制审计与会计报表审计的审计风险模型应该不同,财务报告内部控制审计风险是审计人员未能发现内部控制所存在的重大缺陷,这种风险可以分解为固有风险、控制设计和执行风险、控制运行效果风险。一些文献借鉴Akresh的模型,也提出了类型的内部控制审计风险模型[9-10]。李媛媛等[11]提出,内部控制审计风险由固有风险、制度失败风险和制度测试风险组成。未发现有文献专门研究政府部门财务报告内部控制审计风险,也未发现有研究政府财务报告审计或内部控制审计的文献涉及此问题。

    上述文献综述表明,关于政府部门财务信息审计风险和财务报告内部控制审计风险的相关研究非常缺乏,现有研究不深入也不系统,总体来说,二者都缺乏一个系统化的理论框架。本文拟致力于此。

    三、政府部门财务报告中的财务信息审计风险的理论框架

    本文的目的是以经典审计理论为基础,提出一个关于政府部门财务报告审计风险的理论框架,由于政府部门财务报告审计涉及财务信息和财务报告内部控制两类审计主题,因此,审计风险的理论框架也需要分别建构,为此,本文将分别阐释财务信息审计风险和财务报告内部控制审计风险的理论框架,这里先讨论财务信息审计风险的理论框架,主要内容包括:什么是财务信息审计风险,财务信息审计风险是如何产生的,如何控制财务信息审计风险。上述内容的讨论都是以命题论证型取证模式为背景。

    (一)什么是财务信息审计风险?

    财务信息审计风险就是与财务信息审计相关的风险,认知财务信息审计风险当然离不开对风险的认知,所以,首先讨论风险的本质,然后介绍和评述财务信息审计风险的主要观点。

    1.风险的本质:既定目标未能达成而可能带来的损失

    根据现有文献,关于风险,有四种观点,“一是认为风险是损失性的可能性;二是认為风险是损失的不确定性;三是认为风险是实际结果与预期结果的偏离;四是认为风险是实际结果偏离预期结果的概率”[12]。上述四种观点,前面两种观点可以归纳为损失论,后者可以归纳为目标偏离论。损失论强调风险会带来损失,一种观点强调损失的可能性,另一种观点强调损失的不确定性,事实上,可能性本来就具有不确定性,二者并无实质性差异。目标偏离论强调风险是目标的偏离,一种观点只强调偏离,另一种观点强调偏离的概率,偏离当然不是绝对的,是以一定的概率发生的,所以,目标偏离论的两种观点并无实质性差异。

    问题的关键是,损失论与目标偏离论是否兼容呢?本文认为,二者具有兼容性,目标偏离论从风险原因角度认知风险,而损失论则从风险结果角度认知风险,正是因为偏离了目标,损失才会发生,如果达成了目标,则损失也就不会产生。所以,损失论和目标偏离论是异曲同工的。既然如此,就需要从目标和损失两个维度来认知风险,首先,风险表现为既定的目标没有达成,如果达成了目标,也就不会有风险;其次,正是因为既定的目标没有达成,与此目标相关的特定主体可能会发生损失。

    2.财务信息审计风险主要观点之一:不当意见论

    目前,关于财务信息审计风险的本质,有不同的认识,主要的观点有两种,一是不当意见论,二是损失可能论[13]。

    不当意见论认为,审计风险是指审计人员对存有重大错报的财务报表进行审计后认为该重大错报并不存在,从而发表与事实不符的审计意见的可能性。或者表述为,审计风险是指当会计报表存在重大错报时,审计人员针对会计报表发表的不恰当审计意见的可能性。

    本文认为,不当意见论有两个缺陷,一是对审计风险的类型考虑不周全,二是对审计主体类型考虑不周全。

    关于对审计风险的类型考虑不周全,从逻辑上来分析,审计意见有多种类型,表1描述了审计意见的四种情形,当财务信息真的真实,而审计意见也确定为真实时,审计意见正确;当财务信息真的不真实,而审计意见也确定为不真实时,审计意见同样正确;当财务信息不真实,而审计意见认为财务信息真实,这就发生误受险(β风险),审计意见错误;当财务信息真实,而审计意见认为财务信息不真实,就发生误拒险(α风险),审计意见同样错误。

    上述四种审计意见中,不当审计意见包括误受险(β风险)和误拒险(α风险),它们都属于审计风险[14-15],所以,《蒙哥马利审计学》指出,“审计风险包括两个方面:一是审计人员认为是真实的财务报表,但实际上是错误的;二是审计人员认为是错误的财务报表,但实际上是真实的”[16]。

    不当意见论只是关注到误受险(β风险),而没有考虑误拒险(α风险),这是其逻辑上的缺陷。也许有人会认为,误拒险(α风险)只是理论逻辑上的推导,实际审计生活中不可能出现这种类型的审计意见。从财务报表作为一个整体来说,最终的审计意见需要与审计客体沟通,所以,作为最终发表的审计意见不会出现这种情形。但是,在审计取证过程中,由于样本规模不当或抽样方法不当,误拒险(α风险)完全可能发生,这种审计风险发生之后,无非是增加样本量或改变抽样方法等,这些都会降低审计效率;另外,这种审计风险发生之后,还会损害审计人员的声誉,这也是重要的不利影响[14]。

    关于对审计主体类型考虑不周全,根据本文前面对风险本质的分析,风险是既定目标未能达成而可能带来的损失,从文字表述来看,不当意见论只是关注到审计目标没有达成。一般来说,财务信息审计目标主要是鉴证财务信息的真实性,财务信息不真实,而审计意见认为其真实,发表了错误的审计意见,当然没有达成其审计目标,这无疑是审计目标没有达成。然而,审计职业界正是因为审计风险给职业界带来了重大损失,职业界才开始重视审计风险,所以,不当意见论当然不能不考虑不当审计意见带来的损失,但是,为什么不当意见论没有强调不当意见带来的损失呢?其原因是,注册会计师对其审计意见承担法律责任已经是不争之事实,发表了不恰当的审计意见,当然会承担责任,而承担责任的后果就是带来损失。所以,对于注册会计师行业来说,不当意见带来损失是显而易見的事实,无须在审计风险概念中强调。但是,当我们将注册会计师背景的审计风险概念应用到政府审计或内部审计时,就会发现这个概念有缺陷,因为在政府审计或内部审计中,发表错误的审计意见并不一定有法律责任,从而也不一定有赔偿责任。

    3.财务信息审计风险主要观点之二:损失可能论

    损失可能论认为,审计风险是指由于财务信息审计给审计主体带来损失的可能性,这是学术界对审计风险的主流观点,具体又有多种表述方式,谢志华[17-18]认为,“审计风险是指在审计业务过程中,由于各种难以或无法预料,或者无法控制的审计缺陷,使审计结论与实际状况相偏离,以致审计组织将蒙受丧失审计信誉,承担审计责任的损失的可能性”;谢荣[15]认为,“审计风险是指审计人员经过对企业的财务报表进行审查后,对财务报表的真实性发表了不恰当的审计意见而可能导致的行政责任、民事责任和刑事责任风险”;秦荣生[19]认为,“审计风险是指审计客体会计报表存在重大错报或漏报,而审计人员审计后发表不恰当审计意见的可能性”;吴联生[20]认为,“审计风险是指在审计活动中由于各方面因素的影响而造成损失的可能性”;阎金锷等[21]认为,“审计风险是指审计主体遭受损失或不利的可能性”;徐政旦等[14]认为,“审计风险不仅包括审计过程的缺陷导致审计结果与实际不相符而产生损失或责任的风险,而且包括经营失败可能导致公司无力偿债或倒闭所可能对审计人员或审计机构产生影响的营业风险”。

    从损失可能论的不同表述中,可以看出,这种观点的显著特点是具有广泛的适用性,并不局限于民间审计从事的财务信息审计,各种审计主体从事的财务信息审计的审计风险都适用这个概念。但是,从具体内容来说,损失可能论又有两种类型,一类观点强调不恰当的审计意见与损失的关系,认为这种损失是由不当审计意见引致的[15,17,19];另一类观点只强调财务信息审计可能带来的损失,并不强调这种损失是由不当审计意见引致的[14,20-21],前者可以称为狭义审计风险论,后者称为广义审计风险论[22-23]。

    无论何种类型的损失可能论,都符合风险的本质,同时关注了结果及其原因,既强调了审计风险的结果是损失,又从一定的角度强调了这种损失的原因。区别在于,狭义审计风险论强调损失的原因是源于审计失败(也就是发表了错误的审计意见),广义审计风险论强调的原因更加广泛,即使没有审计失败,也可能有损失。因此,狭义审计风险论和广义审计风险论的区别在于对审计风险的原因有不同的认识。那么,二者谁更有道理呢?问题的关键在于,对于审计主体来说,审计失败与审计风险究竟是什么关系。首先,审计失败是否一定会招致损失呢?其次,没有审计失败,是否也会有损失呢?下面,我们来具体分析这两个问题。

    审计失败是否一定会招致损失呢?答案似乎很简单,审计失败一定会招致损失。然而,现实生活中一些审计现象,使问题变得复杂。例如,一些政府审计机关,对会计报表进行审计,发表了错误的审计意见,并没有人追究这些审计机关的责任。这就说明,即使存在审计失败,审计主体也并不一定会有损失。笔者认为,事实上,这些审计主体也有损失,只是这些损失与一般意义上的经济损失不同而已,对于政府审计机关来说,目前的主要损失体现在审计人员的声誉方面,同时,也可能影响审计机关的主管者对审计机关的看法,进而影响审计人员在组织中的地位,从而也可能发生经济上的得失。所以,总体来说,审计失败一定会招致损失,只是损失的形式多样。

    没有审计失败,是否会招致损失呢?有一种观点认为,由于“深口袋”政策,即使没有审计失败,审计人员也可能招致损失,审计人员虽然为审计客体提供了正确的审计意见,但由于审计客体关系方面的原因而受到伤害蒙受损失[23]。无过错,无责任,这是基本的法律原则,审计人员出具了正确的审计意见,没有审计失败,而要承担责任,这似乎是违背了基本的法律原则。事实真的如此吗?本文认为,问题并不如此简单,关键在于对审计失败的认识不同。

    由于财务信息审计充满职业判断,在审计过程中的许多决策或选择并没有明确的规定,需要审计人员根据其职业判断来决定,而这些决策或选择直接影响审计成败,更为重要的是,同样的审计事项,不同的审计人员可能出现不同的选择,在许多情形下,难以评价何种决策或选择是正确的或错误的。正是由于审计过程的职业判断性,使得审计失败的评价也会出现不同的评判,审计人员认为没有审计失败,甚至审计职业界都认为没有审计失败,利益相关者和司法界可能认为存在审计失败,认为审计人员有过错,既然有过错,就应该承担责任。所以,从本质上来说,审计人员的损失还是因为利益相关者和司法界认定的审计失败而导致的,虽然这种审计失败并不为审计人员所认可。如果利益相关者和司法界认定的审计失败也作为审计失败,则广义审计风险论和狭义审计风险论就具有一致性。

    (二)财务信息审计风险是如何产生的?

    根据本文前面的分析,审计风险源于审计失败,而审计失败包括两种,一是审计人员认同的审计失败,本文称为狭义的审计失败;二是审计人员甚至审计职业都不认同,但是利益相关者和司法界认定的审计失败,本文称为广义的审计失败①。审计风险的产生,就是因为上述两种审计失败。然而,上述两种类型的审计失败为什么会发生呢?

    1.狭义审计失败的原因

    审计风险正式成为财务信息审计的核心构件是始于风险导向审计,所以,分析狭义审计失败的原因也就主要基于风险导向审计(以命题论证型取证模式为背景)。

    风险导向审计的基本思想体现于审计风险模型,传统风险导向审计的审计风险模型是美国注册会计师协会1983年发布的第47号审计准则公告《审计业务中的审计风险和重要性》中确定的表达式为:审计风险=固有风险×控制风险×检查风险;现代风险导向审计的审计风险模型是国际审计与鉴证准则委员会2003年颁布的国际审计准则中确定的,表达式为:审计风险=重大错报风险×检查风险。这两种审计风险模型都可能导致审计失败。

    先来分析传统风险导向审计。根据审计风险模型,传统风险导向审计模型可能在三个方面失败:

    第一,确定了不恰当的可接受审计风险。一般来说,“可接受审计风险越低,审计效率越低,而可接受的审计风险越高,則审计效率越高。审计人员基于提高审计效率的考虑,总是想在将审计风险控制在可接受范围的情形下,提高审计效率”[24]。在这种倾向下,如果审计人员对审计客体的相关情况了解不到位,完全有可能确定超出审计客体应该有的可接受审计风险,从而导致过高的检查风险,进而导致审计失败。

    第二,风险评估不恰当。“在传统风险导向审计模型中,固有风险和控制风险分别评估,由于固有风险评估较为复杂,一些审计人员直接将固有风险评定为高等级,在此基础上,将风险评估的重点放在控制风险评估”[24]。这种做法的结果是,审计人员将风险评估聚焦在审计客体内部,聚焦在财务报表相关的内部控制,而在许多情况下,会计信息错报并不是财务报告内部控制存在缺陷,并且,管理层会凌驾内部控制,也就是说,内部控制对员工舞弊也许有作用,对管理层舞弊的作用是非常有限的。同时,审计客体的会计信息舞弊,可能是源于外部原因导致的经营失败,会计信息错报的重要路径是经营失败导致会计信息舞弊的动机,而财务报告内部控制对这种动机驱动下的舞弊的抑制作用有限。所以,聚焦控制风险评估,可能导致对会计信息错报风险的错误认知,进而导致检查风险不当,从而发生审计失败。

    第三,即使审计人员在可接受审计风险及固有风险和控制风险评估方面没有不当,“进而恰当地确定了检查风险,而检查风险是需要通过审计程序来实施的,审计程序通过其性质、时间和范围实现与检查风险的匹配,如果匹配不当,其结果就是实施的审计程序并不能将检查风险降低到计划的水平,从而终极审计风险也就超出了可接受审计风险,这也是审计失败”[24]。

    现代风险导向审计改变了审计风险模型,将固有风险和控制风险合并评估,较大程度了解决了传统风险导向审计下的风险评估缺陷,但是,也带来新的问题,在2005年上海国家会计学院举办的现代风险导向审计论坛上,英国曼彻斯特大学Turley[25]教授直言不讳:“将风险(因素)与财务报表数字联系起来…审计人员评估风险的专门技术以及培训与人员配备问题…这些问题提供了未来实务研究的对象”,将风险因素与具体认定层次的重大错报相联系起来,需要很大程度的职业判断[26]。同时,在现代风险导向审计下,可接受审计风险不恰当、审计程序与检查风险不匹配,这些审计失败同样可能发生。

    接下来的问题是,上述三方面的失败为什么会发生?原因主要有三个方面:社会经济等审计环境方面的原因,审计客体和审计内容方面的原因,审计主体和审计方法方面的原因。事实也正是如此,从社会经济环境来说,社会变得越来越复杂、动态化、信息化,这一方面会影响审计客体的业务营运方式方法及经营成败,另一方面,作为审计环境因素,会影响审计客体及利益相关者对审计的希望。从审计客体和审计内容来说,审计客体规模越来越大,经营的业务越来越多元化、复杂化、动态化,同时,财务信息涉及的内容也越来越广泛,例如,持续经营问题、违反法律行为、环境问题、信息系统等逐步进入财务信息审计的内容。就审计主体和审计方法来说,随着审计环境及审计客体等方面的变化,需要新的审计技术方法,进而也需要审计人员的职业素质和职业操守随之相应的改变,如果不能适应这些变化,就可能出现执业不当。总之,上述三方面的原因都可能导致审计失败。

    2.广义审计失败的原因

    广义审计失败当然包括狭义审计失败,但是,它扩展了审计失败,将审计人员甚至审计职业界不认可而利益相关者和司法界认定的审计失败也作为审计失败,本文从后者意义上来分析广义审计失败的原因。

    广义审计失败的产生有两个原因,第一,审计客体的利益相关者遭受损失,进而产生法律诉讼,在“深口袋”政策下,审计人员成为被告或被告之一。出现这种情形,一般是审计客体陷入了经营困境,利益相关者的利益受到了损害,而审计客体本身可能难以满足利益相关者的利益要求。在这种背景下,审计人员也可能成为利益相关者索取权益的“深口袋”。第二,司法界对审计职业判断有不同认识。审计人员陷入诉讼之后,如果能证明审计人员没有过错,根据无过错就无责任原则,审计人员也就没有损失。然而,问题的关键在于,审计人员是否有过错,司法界有自己的认识,而且这种认识可能与审计人员甚至审计职业界的认识不同,审计人员甚至审计职业界认为无过错之处,司法界可能认为有过错,这就使得审计人员蒙受损失。正是从这个意义上,有一种观点认为,仅仅因为从事审计职业,都可能带来风险,这种风险称为审计营业风险[14]。

    (三)如何控制财务信息审计风险?

    根据本文前面的分析,审计风险源于狭义审计失败和广义审计失败,既然如此,控制审计风险也需要从这两个角度来实施。

    1.狭义审计失败的控制

    根据本文前面的分析,狭义审计失败发生在三个领域:确定不恰当的可接受审计风险、不恰当的风险评估、审计程序與检查风险的不匹配,而这些失败发生的根源是审计环境、审计客体和审计主体。就审计人员角度的审计风险防范来说,审计人员对审计环境和审计客体方面的原因是没有太多控制力的,主要方式是加强沟通,避免误会。审计机构控制审计风险的主要着力点应该是审计主体方面,在审计机构内部采取一些措施,避免审计过错,恰当地应用审计准则,主要方法有以下三个方面。

    第一,审计人员业务素质。“审计人员业务素质不高是审计过错的重要原因,要恰当地应用审计准则,必须正确地理解审计准则,并能根据审计客体的具体情况,恰当地做出审计决策或选择,这些都需要审计人员的业务素质为支撑。也正是因为如此,各类审计准则对审计人员的业务素质都非常重视,除了职业资格准入以外,还特别强调后续教育”[24]。

    第二,审计职业操守。“审计人员业务素质为恰当地应用审计准则提供了基础性条件,但是,如果审计人员缺乏应有的职业操守,则再好的业务素质也难以发挥作用,有时甚至走向相反方向。审计人员的独立性、应有的职业谨慎、勤勉尽责等职业操守是审计人员恰当地应用审计准则的前提条件”[24]。也正是因为如此,各界都非常重视审计职业操守,颁布专门的职业道德准则,对审计职业操守予以规范。

    第三,质量控制。“审计机构除了强调审计业务素质和职业操守外,还要加强质量控制,以预防和检查审计人员对审计准则的不恰当应用,同时,由于各层级的审计人员都可能出现不恰当地应用审计准则,所以,审计质量控制一般需要分层级进行”[24]。正是因为如此,各类审计职业组织都非常重视审计质量控制,建立了独立的质量控制准则。

    2.广义审计失败的控制

    根据本文前面的分析,广义审计失败是审计人员陷入司法诉讼后,司法界对审计失败的认识与审计人员甚至审计职业不同。既然如此,广义审计失败的控制应该从两方面来进行,一是避免陷入司法诉讼,二是缩小对审计失败的认识差距。

    关于避免陷入司法诉讼,主要的措施是慎重选择审计客体,避免与不诚实或法律诉讼可能性较大的审计客体发生业务关系。一般来说,如果审计客体本身不损害利益相关的利益,不发生法律诉讼,审计人员陷入司法诉讼的可能性也就小,如果审计客体的业务营运失败,甚至违法营运,进而财务失败,在这种情形下,审计客体的利益相关者很可能蒙受损失,而这些利益相关者挽回或降低损失的重要路径就是对审计人员实行“深口袋”政策,如果审计人员不与这类审计客体打交道,当然也就从根本上避免了“深口袋”政策。

    关于缩小对审计失败的认识差距,主要是加强沟通,避免相关各方对审计的不恰当理解。主要的沟通对象有三个方面,一是在初步业务活动中与审计客体沟通,让审计客体正确地理解财务信息审计,避免误会;二是与利益相关者沟通,避免他们对财务信息审计有不当的期望;三是与司法界沟通,让他们理解审计过程的特征,避免他们对审计过错的不恰当认定,当然,这种沟通,除了陷入诉讼的审计人员外,审计职业界有计划地与司法界进行沟通,可能是更为有效的路径。

    四、政府部门财务报告内部控制审计风险的理论框架

    以上讨论了政府部门财务报告中的财务信息审计风险的理论框架,接下来,我们讨论政府部门财务报告内部控制审计风险的理论框架,主要内容包括:什么是财务报告内部控制审计风险,财务报告内部控制审计风险是如何产生的,如何控制财务报告内部控制审计风险。上述内容的讨论都是以命题论证型取证模式为背景。

    (一)什么是财务报告内部控制审计风险?

    本文前面介绍过,关于财务信息审计风险的本质,有不当意见论和损失可能论这两种观点,它们同样适用于财务报告内部控制审计风险,根据不当意见论,财务报告内部控制审计风险是指审计人员对存有重大缺陷的财务报告内部控制进行审计后认为该重大缺陷并不存在,从而发表与事实不符的审计意见的可能性;根据损失可能论,财务报告内部控制审计风险是指财务报告内部控制审计给审计主体带来损失的可能性。一般来说,对于财务报告内部控制审计来说,发表不同意见是带来损失的前提,如果没有不当意见,则通常难以给审计主体带来损失。所以,在财务报告内部控制审计中,从某种意义上来说,不当意见论是损失可能论的基础,要控制审计风险,关键在于控制不当意见,因此,本文后续内容中,主要从不当意见论的角度来阐释财务报告内部控制审计风险的产生和防范。

    (二)财务报告内部控制审计风险是如何产生的?

    财务报告内部控制审计风险的产生,需要从其风险模型来分析,通常认为,内部控制审计风险模型如公式1所示。

    ICAR=IR×IFR×IDR(1)

    在公式1中,ICAR(internal control audit risk)是内部控制审计风险,也就是发表不当审计意见的可能性;IR(inherent risk)表示固有风险,也就是在没有内部控制的情形下,控制目标不能达成的可能性;IFR(institution failure risk)表示内部控制失败的可能性,也就是内部控制不能达成其控制目标的可能性,包括内部控制设计失败和内部控制执行失败;IDR(institution detection risk)表示内部控制测试风险,是指审计人员不能发现已经存在的内部控制重大缺陷的可能性。公式1要在两个层面来应用,一是内部控制整体层面,这个层面的内部控制审计风险评估主要用于审计总体计划或审计策略的制定;二是内部控制审计标的层面,以每个审计标的为对象进行风险评估,这个层面的风险评估主要用于针对审计标的的审计方案或具体审计计划的制定[11,27]。

    基于公式1,财务报告内部控制审计风险的产生原因有以下三种可能性:

    1.确定了过高的可接受财务报告内部控制审计风险(ICAR)。任何审计项目都不可能消除审计风险,因此,必须接受一定程度的审计风险,所以,审计人员要在了解审计客体及相关情况的基础,确定可接受的审计风险。如果这个风险水平确定较高,在其他因素不变的情形下,可以提高内部控制测试风险(IDR),从而降低内部控制测试工作量,进而提高审计工作效率,但是,却增加了发表错误审计意见的可能性。

    2.风险评估不恰当。公式1中的固有风险(IR)和内部控制失败风险(IFR)都是审计人员无法控制的,但是,审计人员需要对这些风险进行评估,从目前的状况来看,这种风险评估并无程序化的操作办法,主观成分较大,因此,审计人员有可能高估或低估固有风险(IR)和内部控制失败风险(IFR),如果高估这两种风险,虽然不会导致不当审计意见,但会降低审计工作效率,如果低估这两种风险,则会增加内部控制测试风险,从而增加了发表错误审计意见的可能性。

    3.“即使恰当地确定了可接受审计风险,也恰当地评估了固有风险(IR)和内部控制失败风险(IFR),从而恰当地确定了内部控制测试风险(IDR),而内部控制测试风险是需要通过审计程序来实施的,而審计程序通过其性质、时间和范围实现与内部控制测试风险的匹配,这种匹配主要体现在审计方案中,所以,如果审计方案设计不当,其结果就是所实施的审计程序的性质、时间和范围并不能将内部控制测试风险降低到计划要求的水平,从而最终的内部控制审计风险也就超出了可接受的内部控制审计风险”[11]。

    (三)如何防范财务报告内部控制审计风险?

    研究表明,审计风险因素来源于审计主体、审计客体和审计环境,对于审计客体和审计环境方面的原因,审计机构难以有所作为,因此,本文主要从审计机构的角度来阐释财务报告内部控制审计风险的防范。通常来说,审计机构主要是通过控制其过错的方式来控制其审计风险,而控制审计过错的主要方法有以下几个方面:

    1.提高审计人员业务素质。审计过错主要是对相关审计规范的应用不当,而准确地理解审计规范并能根据审计客体的具体情况来应用审计规范是避免审计过错的关键,审计人员的专业素养是其正确理解和恰当应用审计规范的基础,因此,提高审计人员的业务素养是避免审计过错的重要举措。

    2.坚守审计职业操守。审计人员的业务素养对于正确地理解和应用审计规范当然是重要的,但是,如果缺乏应有的职业操守,审计人员的业务素养难以发挥作用,甚至还可能成为审计人员舞弊的技术手段,所以,强化审计人员的职业操守,使得审计人员从理念上坚守客观公正,是其基于业务素养来正确地理解和应用审计规范的前提。

    3.强化审计质量控制。审计机构除了强调审计业务素质和职业操守外,还要加强质量控制,以预防和检查审计人员对审计准则的不恰当应用,由于各层级的审计人员都可能出现不恰当地应用审计规范,所以,审计质量控制一般需要分层级进行。

    五、结论和启示

    政府财务报告制度是国家治理体系和治理能力现代化的重要内容,建构控制审计风险的制度安排是政府财务报告审计制度建构的重要内容,本文以经典审计理论为基础,分别阐释政府部门财务信息审计风险和财务报告内部控制审计风险,提出各自的理论框架。

    关于政府部门财务信息审计风险,本文阐释三个问题:什么是财务信息审计风险,财务信息审计风险是如何产生的,如何控制财务信息审计风险。关于什么是财务信息审计风险的结论:财务信息审计风险的本质有不当意见论和损失可能论这两种主流观点,不当意见论认为,审计风险是审计人员发表了错误的审计意见,包括误受险和误拒险;损失可能论认为,审计风险是审计失败招致损失的可能性,这里的审计失败既包括审计职业界认同的审计失败,也包括利益相关者和司法界认定的审计失败。由于民间审计要对其审计意见承担责任,所以,对于民间审计来说,不当意见论和损失可能论具有一致性。关于财务信息审计风险原因有如下结论:财务信息审计风险源于狭义审计失败和广义审计失败;狭义审计失败源于确定不恰当的可接受审计风险、不恰当的风险评估、审计程序与检查风险的不匹配,而上述三方面的失败又源于审计环境、审计客体和审计主体;广义审计失败源于司法界与审计界对审计过错的认识不同。关于控制财务信息审计风险有如下结论:控制审计风险主要是控制审计失败,需要从狭义审计失败和广义审计失败两个角度来实施,控制狭义审计失败的措施主要包括审计人员业务素质、审计职业操守和质量控制;控制广义审计失败的措施,一是慎重选择被审计单位,二是加强与相关各方的沟通,避免他们对审计的不恰当理解。

    关于政府部门报告内部控制审计风险,本文阐释三个问题:什么是财务报告内部控制审计风险,财务报告内部控制审计风险是如何产生的,如何控制财务报告内部控制审计风险。关于财务报告内部控制审计风险的本质,根据不同意见论,财务报告内部控制审计风险是指审计人员对存有重大缺陷的财务报告内部控制进行审计后认为该重大缺陷并不存在,从而发表与事实不符的审计意见的可能性,根据损失可能论,财务报告内部控制审计风险是指财务报告内部控制审计给审计主体带来损失的可能性;财务报告内部控制审计风险的产生原因有三个方面,一是确定了过高的可接受财务报告内部控制审计风险,二是风险评估不恰当,三是审计程序的性质、时间和范围并不能将内部控制测试风险降低到计划要求的水平;防范财务报告内部控制审计风险主要是控制审计过错,主要方法包括提高审计人员业务素质、坚守审计职业操守和强化审计质量控制。

    本文的研究启示如下:政府财务报告审计风险是一个复杂系统,有很丰富的内容,要科学地采用风险导向审计模式和命题例证型取证模式,有效地将审计风险控制在可接受的范围内,必须以系统思维来建构相关制度,而这些制度建构又必须基于对相关问题的科学认知,理论自信是制度自信的基础。

    【参考文献】

    [1] 戴佳君,张奇峰.审计风险研究综述[J].上海立信会计学院学报,2009(6):68-75.

    [2] 陆晓晖.我国注册会计师与政府财务报告审计的机遇和挑战[J].财务与会计,2016(10):65-66.

    [3] 洪学智.政府财务报告审计与公开机制建设探析[J].财务与会计,2016(11):26-27.

    [4] 刘冠亚.我国政府财务报告审计制度研究[D].北京:中国财政科学研究院博士学位论文,2018.

    [5] 房巧玲,田世宁.美国、澳大利亚政府综合财务报告审计实践的发展与比较[J].会计之友,2018(10):6-12.

    [6] 周曙光,陈志斌.国家治理视域下政府财务报告审计的机制构建[J].会计与经济研究,2019(11):19-30.

    [7] REDMAYNE N B,BRADBURY M E,CAHAN S F.The association between audit committees and audit fees in the public sector[J].International Journal of Auditing,2011,15(3):301-15.

    [8] AKRESH A D.A risk model to opine on internal control[J].Accounting Horizons,2010,24(1):65-78.

    [9] 雷英,吳建友.内部控制审计风险模型研究[J].审计研究,2011(1):79-83.

    [10] 王杏芬.整合审计下内部控制审计风险模型构建[J].财会通讯,2011(9):96-97.

    [11] 李媛媛,郑石桥.内部控制鉴证取证模式:逻辑框架和例证分析[J].会计之友,2017(22):125-130.

    [12] 刘钧.风险管理概论[M].北京:清华大学出版社,2008.

    [13] 朱小平,叶友.“审计风险”概念体系的比较与辨析[J].审计与经济研究,2003(9):11-15.

    [14] 徐政旦,胡春元.论民间审计风险[J].审计研究资料,1999(1):7-13.

    [15] 谢荣.论审计风险的产生原因、模式演变和控制措施[J].审计研究,2003(4):24-29.

    [16] 杰里·D.沙利文,等.蒙哥马利审计学[M].10版.北京:中国商业出版社,1989.

    [17] 谢志华.审计管理[M].北京:中国商业出版社,1990.

    [18] 谢志华.审计职业判断、审计风险与审计责任[J].审计研究,2000(6):42-47.

    [19] 秦荣生.审计风险探源:信息不对称[J].审计研究,2005(5):6-11.

    [20] 吴联生.社会审计风险及其责任关系分析[J].审计研究,1995(5):38-41.

    [21] 阎金锷,刘力云.审计风险及其应用的探讨[J].财会通讯,1998(9):3-7.

    [22] 胡春元.论审计风险[J].当代经济科学,1998(3):83-88.

    [23] 胡春元.风险基础审计[M].大连:东北财经大学出版社,2001.

    [24] 郑石桥,李媛媛.合规审计风险:一个逻辑框架[J].商业会计,2017(1):11-15.

    [25] 王大力.Turley:现代风险导向审计和审计准则的英国经验[EB/OL].中国会计视野,http://www.esnai.com/career/PrintDoc.aspNewsID=19579&uchecked=

    true,2005.

    [26] 顾晓安.基于业务循环的审计风险评估专家系统研究[J].会计研究,2006(4):23-29.

    [27] 郑石桥.制度审计[M].北京:中国人民大学出版社,2018.