如何评价内部控制与审计风险萧伟强2000年6月(一)内部控制与审计风险概论(1)审计风险的函义按照独立审计基本准则,独立审计的目的是对被审计单位会计报表的合法性、公允性及会计处理方法的一贯性发表审计意见。审计风险是指会计报表存在重大错报或漏报,而注册会计师审计后发表不恰当审计意见的可能性。至于注册会计师为何要评价被审计单位的审计风险及应如何评价审计风险以减低或避免发表不恰当审计意见的可能性,将会是这个讲义的主要内容,也是整个审计过程中的关键。(2)评价审计风险的重要性(a)决定审计资源分配,使审计工作有效地进行。注册会计师对被审计单位会计报表进行审计时采用的审计方法大致可分为以下两种;(i)重风险的审计(Risk-drivenaudit),(ii)重程序的审计。重风险的审计方法是透过了解被审计单位存在的审计风险后,分析有关审计风险对财务报表认定的影响,按照审计风险分析结果,将审计资源集中分配到高风险会计科目,使审计工作有效地进行。而重程序的审计方法并不考虑审计风险的程度,采用预先制定的标准审计程序进行审计工作,最终可能导致低风险的审计科目所得的资源过多,而高风险审计科目的资源过少。由于重程序的审计存在上述弊端,现代的审计应采用重风险的审计方法,对被审计单位的审计风险进行评价,以便决定审计资源应如何分配,使审计工作有效地进行。一般而言,主要审计负责人的经验和知识水平及审计团队的人数应与审计风险水平挂。风险越高的会计科目或企业,应安排较具经验的审计人员,如高级经理负责主理;另外,高风险的审计项目通常需要超过一个合伙人和经理负责处理,以确保审计风险能降至可接受水平。另外,评价审计风险后不单可决定审计资源应如何分配到各个会计科目;若被审计单位是一家拥有多间分行或多家子公司的机构或从事不同类型行业的跨国性企业时,注册会计师还可按照对各个分公司或子公司进行审计风险评价后的结果,决定那一家分公司、子公司或那一类别的行业应获分配较多审计资源。(b)决定需获取审计证据的类别独立审计准则第5号规定注册会计师判断审计证据是否充分、适当、应考虑审计风险;当注册会计师了解及分析被审计单位存在的审计风险后,注册会计师需判断应获取审计证据的类别;若被审计单位的固有风险及控制风险(将于第二节中作详细讨论)较高时,注册会计师需获取可靠程度较高的审计证据。而审计证据的可靠程度可参照下列标准来判断:书面证据比口头证据可靠;外部证据比内部证据可靠;注册会计师自行获得的证据比由被审计单位提供的证据可靠;内部控制较好时的内部证据比内部控制较差时均内部证据可靠。图一说明了审计风险分析结果如何影响需获取的审计证据类图一(c)考虑应否接受聘约除非在被审计单位特别要求情况下,所有审计项目均采用抽样审计方法进行。但由于财务报表的真实性及可靠性乃建基于管理层的诚信,故只要采用抽样审计,所有审计项目均存在审计风险;问题是该等审计风险是否不可控制或不可接受;而评价审计风险的其中一个目的,是透过了解及分析被审计单位存在的固有风险及控制风险后,注册会计师判断有关风险水平是否不可控制或不可接受,并考虑应否接受聘约。(d)制定整体审计计划注册会计师在评价及衡量被审计单位的固有风险及控制风险后,可按照风险评价结果制定相应的审计计划,决定各审计程序(包括符合性测试及实质性测试)实施的范围、时间和性质。(e)降低注册会计师的营业风险注册会计师的营业风险是指其所执行的每项聘约都有可能使会计师事务所面临诉讼、赔偿、损坏名声的风险。意思是虽然注册会计师已按照独立审计准则进行审计工作及发表其审计意见,被审计单位或使用其财务报表的其它人仕仍可能对注册会计师提出控告。就算注册会计师最后被判胜诉,有关诉讼已对该注册会计师的名誉造成一定程度的影响。于七十至八十年代,注册会计师就其对财务报表发表意见而需面临的诉讼多数集中在英国及美国两个国家,而发生的案例并不算多,所涉及的赔偿金额一般较轻但于近十年,注册会计师由于专业疏忽而需作出赔偿的例子在西方国家(不仅在英国及美国)与日俱增,虽然大部份的案件所涉...
