围绕风险导向审计,全面改进CPA考纲
年前,笔者曾撰文强烈抨击中国估价技术之落后现状,呼吁CPA要在《财务管理》这门课中系统增加价值评估内容。2004年版CPA考试《财务管理》顺应民意,将《并购与控制》及《重整与清算》废掉,并由《企业价值评估》取代。但笔者认为,这样改进还不到位,中国引进风险导向审计已成为不可阻挡的潮流,中注协应与时俱进,围绕风险导向审计,全面调整CPA考试科目和大纲,压缩经济法及税法份量,增加IT、企业分析及风险评估份量,并将《财务成本管理》废除,以《企业分析与估价》替代。
一、风险导向审计的特征
风险导向审计是指注册会计师通过对被审计单位进行风险职业判断,评价被审计单位风险控制,确定剩余风险,执行追加审计程序,将剩余风险降低到可接受水平。国外一些会计师事务所在上世纪90年代对传统风险导向审计方法进行了改进。改进后的风险导向审计方法具有以下特征:一是注重对被审计单位生存能力和经营计划进行分析,从宏观上把握审计面临的风险;二是注重运用分析性程序,以识别可能存在的重大错报风险;三是在评价内部控制有效的情况下,减少对接近预期值的帐户余额进行测试,注重对例外项目进行详细审计;四是扩大了审计证据的内涵。注册会计师形成审计结论所依据的证据不仅包括实施控制测试和实质性测试获取的证据,还包括了解企业及其环境获取的证据,职业界对传统风险导向审计方法改进过程中,创造出一种新的方法,称为风险基础战略系统审计方法(risk–basedstrategic–systemsauditapproach,简称SSA)1……
笔者曾在以前的文章中介绍过风险导向审计的思路,与制度基础审计相比,两者在审计理念与审计方法上有本质不同。笔者在一年前概括了现代风险导向审计的十一大特征:
1、重心前移,从以审计测试为中心到以风险评估中心,审计程序主要包括风险评估程序、审计测试程序(包括控制测试和实质性测试),这一点在SSA中得到体现,书中有三章谈了风险评估,与第一版的只有一章形成鲜明对比。对此,大家都可以理解,传统审计不能适应现代报表审计需要就在于其原有的风险评估不到位,未能有效发现高风险审计领域,造成审计过量或审计不足,现在大大加强了风险评估程序,真正体现了风险导向审计的理念。
2、风险评估重心由控制风险向联合风险转移,传统的风险导向审计人为将风险分为固有风险和控制
风险,对固有风险评估存在严重缺陷,因为那是基于一种假设,而这种假设(没有内控)是不存在的,由此导致固有风险评估不到位,从而使风险评估以控制风险评估为中心,实务中将审计程序分为三大类:了解内控、测试内控和实质性测试,前两种程序都是用来评估控制风险,造成风险评估以控制风险为中心,实际上理论上也导致风险导向主要是控制风险导向,而会计师最大的敌人是管理层舞弊,如银广夏、蓝田股份和东方电子,管理层舞弊特点是绕过或逾越内控,所以导致控制风险很低而实际上审计风险很高的问题。现在,我们认识到,控制风险的高低主要与重大错报的错误和员工舞弊有关(实际上员工如果共谋也会使内控表面上有效实际上无效),而管理层舞弊主要与重大错报的管理层舞弊有关,会计师重点是发现管理层舞弊(欺诈性财务报告),评估重点是固有风险,但固有风险的不可直接评估,所以直接评估联合风险(包括固有风险和初步控制风险)
3、风险评估由直接评估变为间接评估:传统风险评估直接评估重大错报的概率,也就是直接对审计风险进行评估,现代风险评估不再直接对审计风险进行评估,而是从经营风险评估入手,之所以从经营风险评估入手,有几个方面考虑,一方面是持续经营的考虑,经营失败往往带来审计失败;二是经营风险对审计风险的影响,经营风险超高,审计风险也越大,也就是管理舞弊可能性就越大;三是从经营风险中能更有效发现财务报表潜在的重大错报,因为财务报表是经营的反映,如果经营风险未能在报表上得到体现,则财务报表很有可能失真;四是会计政策、会计估计合理性评估也只有从经营风险入手,才能进行正确的评估,滥用会计政策、会计估计是当今一些巨无霸公司的通病,包括安然、世通和施乐;五是经营风险是从经营分析中产生,经营分析过程实际上是咨询的发现问题过程,从经营风险入手容易将审计拓展为咨询。
4、风险评估从零散走向结构化:SSA的两大贡献是:审计重心前移,将战略分析引进审计,使风险分析走向结构化,风险分析结构化最大的好处是一方面考虑了多方面的风险因素,另一方面这些因素有机联系在一起,这样便于作综合风险评估,胡春元的风险导向审计研究三大不足,一是未能从经营风险入手,二是风险评估没有结构化,三是风险评估和审计测试未能对应。SSA明显改进是风险的结构化分析,但这种分析其实也不是他的原创,主要是吸收了战略分析的成果,将PEST、波特五力分析等结合在一起形成它的ELBM模型,这个模型是BMP的灵魂,它的整个风险评估都是围绕这个模型展开,但可惜的是,这种结构化分析还有很多缺陷,如内外环境分析割裂,战略分析与流程分析、绩效分析割裂,仍然没有系统考虑各种分析之间的相互影响,这是对SSA的一大讽刺,因为它的招牌菜一是战略、二是系统,但实际上,它对经营风险分析既不全局也不系统。
5、风险评估以分析性复核为中心:尽管风险评估包括检查、调查、询问、穿行测试等多种审计取证手法,但核心是分析性复核的运用,传统风险导向审计对于信息的再加工重视程度不够,分析性复核主要适用在报表分析上,现代风险评估以分析为中心,分析性复核成为最重要的程序,为了适应分析性复核功能扩大的要求,分析性复核开始走向多样化,不再是对财务数据进行分析,也对非财务数据进行分析;分析工具充分借鉴现代管理方法,将管理方法运用到分析性程序中去,笔者向会计师推荐几种会计师常用的分析工具:战略分析(包括PSET、VCA、SWOT)、绩效分析(BSC、标杆分析)、财务分析、会计分析及前景分析,将分析工具运用到风险评估中去,将使风险因素不再独立,而且风险评估不再是一元评估,而是多元评估,就象资产评估不能只有一种方法,如果有几种方法相互印证,则风险评估的结果将更加可靠。
6、会计师专业知识重心转移,以会审知识为中心转向管理知识、行业知识为中心,由于审计重心转移,审计结果主要依赖风险评估,而不是审计测试,而风险评估采用各种风险分析方法都是现代管理知识在审计中的运用,而且这种运用必须以行业知识(包括市场、研发、生产等行业知识)为基础,现代风险导向审计对会计师素质提出更高的要求,而且要求会计师必须术业有专攻,不能今天做银行、明天做商业,会计师要分行业审计,会计师必须掌握上段中介绍一些常用的分析工具,并接受行业知识训练。此外,事务所要实行知识价值链管理,融合审计资源,成立事务所的专业顾问团队或者与咨询公司结成战略联盟,事务所在审计与咨询分离下必须重新融合审计和咨询两大资源,即要符合新会计法案的要求,也要重视咨询在审计业中运用,这种表现是咨询为审计提供专业服务,审计为咨询拓展业务。
7、审计测试程序个性化:传统审计程序标准化,这种标准化审计程序存大很大问题,一是不能对症下药,没有贯彻风险导向审计思想;二是客户的预期,由于很多客户的财务人员都是会计师出身,或者系统学习过审计,或者长期有与会计师打交道的经验,这使会计师无法突破客户预先设置的障碍或防范措施。为此,美国新舞弊审计准则已要求会计师对可能重大的重大错报采用出其不意的审计程序,如盘点存货时,不通知客户,抽查时,就象小金额的;美国新审计风险准则(征求意见稿)已要求会计师对风险特别显著的领域采用非常规审计程序。审计测试程序个性化就是为了克服传统审计测试的缺陷,针对风险不同的客户、客户不同的风险领域,采用个性化的审计程序。会计师不再是流水线上的工人,非常机械重复日复一复的机械性工作,对审计项目经理是这样,对审计助理人员也是这样。
8、自上而下与自下而上相结合:传统风险审计从控制风险入手,视野过于陕窄,并主要依赖实质性测试,这种自下而上方式有坐井观天之感;SSA强调自上而下的审计,但这种审计也有缺陷,所以它也强调交易事项和战略系统审计(SSA)结合,这主要是因为重大错报不同诱因导致,因员工舞弊导致资产减少,这很有可能能过账实核对发现问题,直接从余额测试就可以发现异常,而且国内一些大案要案查处也是从细微处入手,如某笔报销或某笔转账分录,这说明我们不能全部否认交易事项审计的作用;关健的是,国内造假水平有时也不见都很高,虽然是它做到了账证相符、证证相符、账表相符,但它的造假不是一条龙的,而且可能直接从会计资料就可以发现它的重大异常,如平时每笔交易者很小,突然到年终来了一笔大数目,有些造假者手法非常粗糙,处处是破绽,实际上不要看账,就是看报表上就可以发现问题,如天衡会计师事务所原股东状告事务所知情权案,不要说是资深会计师,就是小会计师也会发现它1999年有低报收入、多提费用嫌疑,象这种假账还是著名的会计师事务所手下做出来的,不要说一般企业的会计,所以,有些假账,你是不用费那么大的劲去做战略分析、标杆分析。笔者建议是两条线同时作战,自上而下与自下而上,相互印证,提高效率,这也叫并行作业,非常有效,形成对客户的前后夹攻。在自下而上审计测试中,笔者强调推荐一道菜:交易的追踪测试,一旦发现客户报表出现异常(包括披露、余额和交易),要查事情真相,利用追踪测试是比较好的办法,除非客户从最源头造假,并环环相扣,否则整个造假链只要有那一节断掉,会计师都能通过追踪测试查出真伪。当然这种追踪测试还可适用在会计估计、收入确认的合理性和正确性上,通过后来发生的事实来验证管理层过去认定的合理性也是很有效办法,并为美国新舞弊审计准则强调。
9、由主要依赖管理层和财务人员提供审计信息向员工及外部人员扩散:管理层舞弊是会计师最大的敌人,但管理层又往往是会计师的衣食父母和配合者,离开管理层的支持,审计将很难进行下去,需要管理层提供证据证明自己造假又太理想,在这种情况下,会计师将眼光转向一般员工,强调“革命堡垒最容易从内部突破”的理念,发动员工举报管理层作假;此外,发挥内查外调的优势,积极向供应商、销售商询问,这为美国新舞弊准则所肯定,也是针对管理层舞弊的有效侦查措拖,笔者认为,会计师将更多依赖业内人士和专业咨询人士的看法,补充自己的审计专业判断。
10、审计证据重点向外部证据转移:由于审计重心向风险评估转移,风险评估是客户置于广阔经济网络中相互联系一个复杂网络,会计师必须充分了解客户整体企业经营环境,并由此出发评估客户的经营风险及审计风险,会计师因此必须从外部取得大量的外部证据来取得风险评估的恰当性;为什么媒体能一而再、再而三比会计师先行一步发现企业造假呢?记者无法取得企业的内部证据(当然也有内部举报的),记者更多从外围入手,从外部证据取得突破。会计师有能力得要建立自己的数据库(或者利用咨询公司的成果),以记者或咨询师的想法思考如何对客户进行风险评估和审计测试,这更多要从搜集外部证据入手。
11、审计范围无边界、专业能力无边界:从以上介绍,大家可能体会到,现代风险导向审计的审计范围大大扩展,传统风险导向审计也要求会计师了解企业情况,现代风险导向审计也一样要求会计师了解企业情况,但此了解与彼了解有很大不同,一方面现代的了解企业情况是经营风险导向,也就是了解企业也不是盲目的,也是有针对性的;另一方面了解企业的深度和广度大大拓展,大到宏观环境如朝鲜核危机问题、中到客户所处行业的整个产业链结构问题、小到一台机器的运作情况和一个保安的上班情况,都可能是会计师风险评估和审计测试的范围,会计师不再只关注与会计报表有关的内部控制,关注的是整个内部控制,会计师不但要了解高管的背景,还要了解高管的不良嗜好。审计范围没有边界导致对会计师的专业能力要求也没有边界,当然会计师个人能力是有边界的,这就要求会计师利用整个社会知识资源扩展专业能力边界。
二、中国引进风险导向审计已成为不可阻挡的趋势
刘峰教授曾撰文认为风险导向审计会诱发道德风险,他从中国目前法律制度环境有待完善、会计师事务所总体风险特别是赔付风险近乎于零的环境出发,推出“强调风险导向型审计,有可能诱发新一轮的道德风险,特别是那些规模大、风险承受力强且具备专职律师队伍的大型会计师事务所,将有可能签发出质量更低、风险水平更高的审计意见”结论2;黄世忠教授也曾撰文认为,风险导向审计是导致五大审计失败的重要原因3,他认为,自20世纪90年代以来,“五大”特别是安达信会计师事务所的审计模式,已经由制度基础模式发展成为风险审计模式。这种嬗变实质上是审计历史上的一次重大革命。因为审计模式改变的不仅是审计方法,更重要的是改变了传统的审计理念,并有可能使审计由一门高尚职业(其精髓是由专业判断和公众责任组成)沦落为一种“唯利是图的生意”(其核心是风险与报酬的权衡与抉择);黄世忠教授在接受《财会时报》记者采访时再次表达了对风险导向审计的担心:“现阶段我国很多企业的会计信息严重失真、公司治理和内部控制还很不完善,注册会计师对行业风险和企业经营风险缺乏了解,数据积累严重不足,笔者实在看不出风险导向审计短期内在我国全面推广运用的前景。”他认为,不管是风险导向审计还是制度基础审计,都是技术层面的,并非最重要的,注册会计师的独立性和执业道德更为重要。独立性不解决,就很难有风险导向审计。此外,还有法律诉讼的完善,举证倒置是否推行,都是十分重要的制度安排。还有事务所的聘用机制,如果不从根本上改变由被审计单位的管理当局聘用会计师事务所的弊端,不论是风险导向,还是制度基础,都难以解决审计失败的问题。对风险导向审计,还应该经历一个短期讨论阶段,等到时机成熟就可以全面推行。4
笔者认为,刘峰的观点是错误的,道德风险与审计模式无关,审计模式只是事务所控制风险一种技术和方法,不对外发生效力。实际上,独立审计为了缩小社会期望差距,不断提高审计责任(如SASNo.99对高风险审计领域如收入确认、会计估计等实行疑错从有、有错推定假设等),审计师道德风险的空间越来越小。
黄世忠老师认为风险导向审计需要健全的公司冶理及内部控制,这是不正确的,正因为国内外公司冶理及内部控制无法有效防范管理层舞弊,才推广风险导向审计,从从更高层面入手侦查管理层舞弊。外部审计是公司治理的有机组成部分,不能因为公司治理存在缺陷,就不要提高审计技术水平。风险导向审计可以进一步发挥独立审计的威慑力,有助于公司治理结构的完善;至于独立性问题,的确会影响到审计技术的发挥,使审计范围受到限制,解决独立性问题关健正象他所说的,要完善民事诉讼制度,实行举证责任倒置(有错推定),这个确实要与风险导向审计的推广同步进行。
笔者认为解决独立性问题关健不是创新审计关系,而是完善CPA民事责任。中注协要利用《注册会计师法》修订机会,将民事责任作为修法重点,鼓励审计受害者状告失职CPA,这表面上好象对行业是不利的,实际上有力打击了那些捣浆糊的事务所,从民事责任角度间接为CPA行业树立一道技术门槛,它向世人告示,审计是需要真本事的,CPA不是一份抄抄写写的工作,它要求CPA是事实上的审计专家,能发现更多的重大错弊。我们不能在狭隘层面理解会计责任与审计责任区别以及审计风险及重要性等概念,如果你所搜集的审计证据不能合理排除财务报表存在重大失实的嫌疑,就说明你审计没有到位,就得对审计失败承担审计责任。在风险导向审计模式下,关健是证据的充分性,而不是程序的充分性。作为配套措施,出台《专业能力》及《专业判断》道德准则,对CPA进入的知识和经验、CPA承接审计项目所需要的知识和经验作出较为详细规定,如果没有达到专业胜任能力要求从事CPA职业、在执业过程中没有正确运用专业判断发生重大差错,则从职业道德准则角度判定CPA必须承担职业过职责任,从而为审计受害者获取赔偿扫清障碍,使告CPA门槛降低,此外,行业监管思路也要跟着变,也要转向以专业判断正确与否为检查中心,而不是审计程序。这样才有利地形成一个执业质量的良性循环。只有建立有效的激励和约束机制,风险导向审计才能得到良好运行。
业内还有一个担心是推广风险导向审计会增加审计成本,但也有人认为推广风险导向审计会因为提供相关增值服务降低成本。5笔者认为,如果是在审计与咨询不分开的情况下,降低审计成本是有可能的,但现在审计与咨询分离在一定程度上影响CPA运用风险导向审计的积极性。如果要推广风险导向审计,笔者认为相关的咨询限制政策要做一定调整,当然在中国是没有问题的,中国目前没有强制要求提供审计的不能再提供咨询,而且中注协还有一个《管理建议书》的实务公告,这为CPA在运用风险导向审计提供附带增值服务提供了可能。另外,要强调一点是,目前国内审计低成本现象是不正常的,正如人们习惯买盗版,所以碟片价格便宜一样,现在的独立审计水分很大,很不正规,所以收费低;如果正规了,也就是如果都买正版了,价格当然上去了。风险导向审计提高审计收费水平也是同样道理,CPA因为工作含金量的提高也会带来薪酬的增加,当然这可能导致CPA的重新洗牌,一些CPA可能无法因提供专业胜任能力原因而被迫离开事务所。
2003年10月,国际会计审计与鉴证准则理事会通过新的审计风险相关准则,包括:1、《会计报表审计的目标和基本原则》(修订);2、《审计证据准则》(修订);3、《了解被审计单位及其环境并评估重大错报风险》(涉及合并《风险评估与内部控制》、《计算机信息系统环境下的审计》、《了解被审计单位情况》等三个准则);4、《注册会计师对评估的重大错报风险实施的审计程序准则》(拟订),根据陈毓圭秘书长介绍,中国将很快全面跟进。6新的审计风险准则将对CPA实务行为造成实质性的重大影响,中注协已决定根据国际审计准则最新进展对审计风险相关准则进行全面修订,修订的基本思路是,第一,起草一个新的审计准则(暂定名为《独立审计具体准则第X号-会计报表审计的目标及一般原则》来代替《独立审计具体准则第1号-会计报表审计》;第二,修改《独立审计具体准则第2号-审计证据》;第三,将《独立审计具体准则第9号-内部控制与审计风险》、《独立审计具体准则第20号-计算机信息系统环境下的审计》及《独立审计具体准则第21号-了解被审计单位情况》合并为《独立审计具体准则第X号-了解被审计单位及其环境并评估重大错报风险》(暂定名);第四,起草一个新的审计准则(暂定名为《独立审计具体准则第X号-对评估的重大错报风险实施的审计程序》,并修改《独立审计具体准则第8号-错误与舞弊》及《独立审计具体准则第6号-审计工作底稿》。这表明,中国已全盘接受风险导向审计的理念和方法,中国CPA将以一种全新的审计模式执业。
三、围绕风险导向审计,全面修订CPA考纲
笔者发现,不管是会计准则还是审计准则,他们发展方向都是强化报表编制者和审计师的专业判断能力,要求报表编制者和审计师是复合型人才,不但要懂会计、审计,还要懂管理、懂科技,否则报表编制者和审计师无法对会计确认和计量、披露作出正确的专业判断,尤其在主观成份较大时,如资产减值会计及审计。风险导向审计要求审计师改变审计思路,从企业的经营战略及业务流程入手,要求审计师有能力判断企业是否有生存能力和合理的经营计划7,这要求审计师有很强的企业分析能力。
CPA不是CFO或CFA,他是报表审计师,不是财务管理人员,也不是金融分析师,《财务管理》大部分内容如筹资、投资、资金管理及资本运营对其审计专业判断能力的提高并没有发挥明显作用,中国CPA执业机械使用两把尺子(《会计标准》及《审计标准》,体现在《会计》及《审计》两本教材)与教材不重视专业判断有很大关系,教材缺乏灵魂(没有或很少运用用专业判断),为了适应风险审计导向的需要,也为了强化专业判断的需要,CPA考试必须设一门专门强化CPA专业判断的课程,CPA专业判断以分析性复核为主要手段,以全面了解企业内外环境及准确评估经营及审计风险为目的,这门课非《企业分析与估价》莫属。
笔者设想中的《企业分析与估价》包括三个模块,第一模块是经营与管理分析,包括战略分析、流程分析、绩效分析三大部分内容,目的是为企业经营风险作出正确评估;第二模式是财务和前景分析,这部分主要在管理分析的基础上形成对企业财务数据的合理预期,并将合理预期数据与未审财务数据核对,寻找产生差异的原因,并预测企业的财务前景;第三模块是价值评估与管理,这部分是在第一、二模块分析基础上,进行估价,包括现金流折现法及经济利润折现法等,当然,本部分还将系统介绍其它的评估方法如相对法及期权评估法以及资产基础法等,这这里要强调的是,价值评估的核心不是模型,而是分析,些方法运用都以第一模块和第二模块分析为基础。在风险导向审计下,CPA必须术业有专攻,CPA只做他擅长的行业,不能象现在,CPA是万金油,什么行业都可以做,作为审计师,首先是一名合格的行业和企业分析师,《企业分析与估价是》要加强CPA行业和企业分析能力的训练。笔者认为《企业分析与估价》基本指导思想是在本书中覆盖常用的分析性工具,如战略分析(包括PSET、VCA、SWOT)、绩效分析(BSC、标杆分析)、财务分析、会计分析及前景分析等,以提高CPA分析能力为中心,2004年《财务成本管理》部分章节保留下来,如《财务报表分析》、《财务预测》、《财务估价》、《资本成本与资本结构》、《企业价值评估》,但要根据整个大纲作重新安排。当然如果将这门课起名为《企业分析与风险评估》可能更妥当。
审计师通过这些知识的学习,才有可能运用《了解被审计单位及其环境并评估重大错报风险》审计准则实施以下审计程序:1、了解客户的战略性优势;2、了解威胁客户经营目标实现的风险;3、了解实现战略优势所需关健程序及相关胜任能力;4、衡量和评价流程执行情况;5、对管理当局作出的认定进行职业判断,尤其是难以审计的会计估计和非常规交易所依据的计价和假设。
此外,笔者认为CPA考委也要根据风险导向审计的特点重新审视其它考试课程,以“实用”、“够用”为CPA考试科目为基本指导思想,你会发现还有很多需要完善。笔者建议弱化经济法,将税法与经济法合并,只设一门课:商法及税法,现在的《经济法》和《税法》内容太多,而且考试难度太高,CPA《经济法》考试难度已太大超过司法统一考试,笔者不知道考委是什么想的,CPA不是专业的RTA,也不是律师,只要了解一些基本的就可以了,如《知识产权法》之类的根本就没必要考,现在相关法律竟然占五门课程的二门,笔者强烈强调将《经济法》及《税法》合并,法律的东西都是死记硬背,而且中国的法律变化也快,考这么多死记硬背的东西有什么价值?而且根本没必要有那么高的难度,合并之后,以面代难,降低商法的考试难度。
与过份重视法律相比,国内CPA考试对IT在会计及审计中的运用极不重视,这也是一个严重的缺陷,笔者认为至少要在《会计》及《审计》中增设三分之一的篇幅谈IT在会计与审计中运用,这也是入门的东西;《审计》要全面引进风险导向审计的理念和方法,以适应审计重心前移的变化。
当然,审计的专业判断提高更多是由靠执业经验和行业知识的积累与交流,不同行业、不同所有制的客户审计风险点差异很大,CPA考试主要是向未来的CPA灌输这样的一个理念:审计不是流水线,审计师不是流水线工人,专业判断是审计的核心,从审计助理开始,就要用脑思考,对客户的经营及财务状况进行分析,只有高超的专业判断能力才能显示CPA的审计专家水准。
为了保证新审计风险准则的实施到位,笔者建议中注协在成立审计风险准则课题组的同时,要成立CPA考试改进课题组,以风险导向审计为基础重新定位CPA能力框架结构,对考试大纲进行全面的具有实质性的调整,否则,到时又要出现实务界不知道如何遵循审计准则的情况,这是对准则制订者的极大挑战。