浅析审计风险、抽样风险和非抽样风险三者之间的关系
摘要:审计风险(audit risk)模型由固有风险(inherentrisk)、控制风险(control risk)和检查风险(detecting risk)三要素组成,即AR=IR×CR×DR。固有风险是指假定不存在相关内部控制时,某一账户或交易类别单独或连同其他账户、交易类别产生重大错报或漏报的可能性。控制风险是指某一账户或交易类别单独或连同其他账户、交易类别产生错报或漏报,而未被内部控制防止、发现或纠正的可能性。
关键词:内部控制 审计风险
一、研究动机检查风险是指某一账户或交易类别单独或连同其他账户、交易类别产生重大错报或漏报,而未能被实质性测试发现的可能性。对于固有风险和控制风险,注册会计师只能评估而不能控制;而对于检查风险,注册会计师可以控制,并通过控制检查风险最终将审计风险降低至可接受的水平。《中国注册会计师独立审计基本准则》第三章第十三条指出:“注册会计师在进行符合性测试和实质性测试时,一般应采用抽样审计方法。”也就是说,在审计风险模型AR=IR×CR×DR中,注册会计师可以用抽样审计方法来评估控制风险和控制检查风险。在确定使用抽样技术和使用抽样技术进行审计的过程中,必然会产生抽样风险(sampling risk)和非抽样风险(non-sampling risk)。那么,抽样风险、非抽样风险与控制风险之间,抽样风险、非抽样风险与检查风险之间到底存在什么关系呢?
二、在符合性测试阶段,抽样风险、非抽样风险与控制风险之间的关系浅析审计风险、抽样风险和非抽样风险三者之间的关系
(一)在采用抽样技术进行符合性测试时,只有信赖过度风险才与控制风险相关。在符合性测试中采用抽样技术,注册会计师应当注意两种抽样风险:一是信赖不足风险(the risk of under reliance),二是信赖过度风险(theriskofoverreliance)。信赖不足风险是指“抽样结果使得注册会计师没有充分信赖实际上应予信赖(有关内部控制)的可能性”。由于信赖不足风险“一般会导致注册会计师执行额外的审计程序,降低审计效率”,可见,信赖不足风险并不影响审计结果,因此,无需将其反映在审计风险模型中。信赖过度风险是指“抽样结果使注册会计师对内部控制的信赖超过了其实际上可予信赖的可能性。”过度信赖相关的内部控制,会导致注册会计师减少实质性测试的工作量,降低发现信赖过度风险的可能性,“很可能导致注册会计师形成不正确的审计结论”,形成误受风险,因此,应考虑其对控制风险评估水平的影响。由于信赖不足风险只影响审计效率而不影响审计结果,而信赖过度风险很可能会影响审计结论,因此,讨论抽样风险与控制风险之间的关系,实际上是讨论信赖过度风险与控制风险之间的关系。
(二)可容忍误差是评估控制风险计划估计水平的桥梁。在符合性测试阶段对内部控制评估的结论一般类似于:“有95%的可信赖程度说明重复支付的单据数量占总体的2%~6%”。“2%~6%”称为精确度区间,其中该精确度上限6%又称为可容忍误差。“在进行符合性测试时, 容忍误差是注册会计师在不改变对内部控制的可信赖程度的条件下,所愿意接受的最大误差。”既然可容忍误差是对控制风险水平做出的评估,那么,可容忍误差与控制风险评估水平之间存在什么关系呢?
1.定性关系。一定的可容忍误差区间与一定的控制风险计划评估水平相对应。AICPA出版的《审计程序研究》指出:控制风险的计划评估水平与可容忍误差之间存在下列关系:
在运用上表时,还应注意以下两点:(1)可容忍误差水平在不同的区间出现了重叠现象。之所以出现重叠,主要原因在于不同的注册会计师对控制风险的态度不同。在其他情况不变的条件下,对处于重叠部位的同一可容忍误差,不同的注册会计师可能会赋予其不同的控制风险评估水平。比较保守的注册会计师倾向于高估控制风险;比较喜欢冒险的注册会计师可能会低估控制风险。(2)20%是符合性测试的分水岭。当可容忍误差超过20%时,注册会计师应当放弃对内部控制的符合性测试而改为直接进行实质性测试。
2.定量关系。(1)控制风险的量化值不具可比性。对处于既定区间的某一可容忍误差相对应的定性的控制风险评估水平进行量化,不同的注册会计师可能会赋予不同的值。这种量化值的大小主要取决于注册会计师自身的审计经验多少和专业判断,这也就决定了不同注册会计师对同一可容忍误差对应的控制风险的量化值不具可比性。(2)控制风险量化值≥可容忍误差。虽然可容忍误差与控制风险评估水平之间无法建立起可验证性的关系,但两者间还是存在某种数量上的关系。由于控制风险与可容忍误差均是针对内部控制可能发生的控制失败事件而言的,因此,这两个值的分子(即控制失败事件)是相同的;但两者的分母却不相同:控制风险的分母是固有风险水平,可容忍误差的分母是抽样对象的总体。由于固有风险水平总是小于或等于总体,因此,控制风险的计划评估水平应该大于或等于相应的可容忍误差。
(三)只有在一定的信赖过度风险水平下,才可以科学地确定可容忍误差水平。
1.可信赖程度与信赖过度风险之间存在互补关系。前已述及,可容忍误差是评估控制风险水平的主要指标之一,而另一主要指标就是可信赖程度。既然注册会计师对内部控制只有95%的可信赖程度控制风险不超过6%,那么另外的5%就是风险度,即信赖过度风险。可信赖程度(CL)与信赖过度风险(OR)是两个对立的概念,二者互为补数,即CL+OR=1或OR=1-CL。
2.只有在一定的可信赖程度即一定的信赖过度风险水平下,才可以科学地确定可容忍误差水平。在采用统计抽样对内部控制进行符合性测试时,注册会计师可以根据概率论原理,设计并选取样本,根据样本结果推断总体(即内部控制)特征,确定审计对象总体特征的可信赖程度和可容忍误差水平。而对于非抽样风险,注册会计师在确认可容忍误差水平时,完全凭自身的经验和专业判断,无法确定可信赖程度。因此,在评估控制风险水平时,也就无法控制信赖过度风险,更无法客观地确定信赖过度风险与可容忍误差的关系。综上所述,只有统计抽样才可以科学地建立信赖过度风险与可容忍误差之间的关系。3.信赖过度风险水平应控制在5%~10%之间。“审计实践告诉人们,……可信水平(即可信赖程度)定在90%~95%之间是比较合适的”,也就是说,将信赖过度风险控制在5%~10%之间较为适宜。
(四)对控制风险的评估水平是抽样风险和非抽样风险共同作用的结果。
1.抽样风险与非抽样风险共存在。任何审计都会产生非抽样风险。所谓非抽样风险是指:注册会计师因采用不恰当的审计程序或方法,或因误解审计证据等而未能发现重大误差的可能性。只要注册会计师参预其中,误差在所难免。在审计实务中,注册会计师无法区分抽样风险与非抽样风险对控制风险评估水平的影响,控制风险的评估水平是抽样风险和非抽样风险共同作用的结果。
2.加强质量控制,降低非抽样风险的影响。正确评估控制风险水平是形成恰当的审计计划的条件之一。如果符合性测试中存在着过多非抽样风险因素,势必影响控制风险评估水平的准确性,甚至影响审计结论的正确性。因而审计中必须加强全面质量控制与项目质量控制,降低非抽样风险对符合性测试的影响,以提高控制风险评估水平的准确性。
三、在实质性测试阶段,抽样风险、非抽样风险与检查风险之间的关系
(一)在采用抽样技术进行实质性测试时,只有误受风险才与检查风险相关。在实质性测试阶段,抽样风险包括误拒风险(the risk of incorrect rejection)和误受风险(theriskofincorrectacceptance)两种。误拒风险是指“抽样结果表明账户余额存在重大错误,而实际上并不存在重大错误的可能性”。误拒风险“一般会导致注册会计师执行额外的审计程序,降低审计效 率”,所以,误拒风险不会构成审计风险,并可通过提高可信赖程度增加样本量,以降低误拒风险水平。因此,无需将其反映在审计风险模型中。误受风险是指“抽样结果表明账户余额不存在重大错报而实际上存在重大错报的可能性”。误受风险“很可能导致注册会计师形成不正确的审计结论”,因此,应将其反映在审计风险模型中。讨论抽样风险与检查风险之间的关系,实际上是讨论误受风险与检查风险之间的关系。
(二)非抽样风险和误受风险与检查风险之间的关系。在对于任何审计项目进行抽样审计时,注册会计师都要首先运用分析性复核程序确定该项目的总体合理性,在此基础上再实施其他审计程序确定其他具体审计目标的恰当性。在使用分析性复核程序和其他审计程序的过程中,由于人为原因,总是存在这样的可能性:该项目中存在的一些重大错报未被这些程序发现。这种重大错报未被发现的可能性称之为非抽样风险。这些未被发现的重大错报在经历了抽样审计后,由于抽样技术本身的缺陷,还是存在这样的可能性:有些重大错报仍未被发现。这种最终未被发现的错报的可能性,即称为误受风险。显然,在实质性测试阶段,检查风险是非抽样风险和误受风险共同作用的结果。综上所述,检查风险(DR)是由实质性测试阶段的非抽样风险(AP)和误受风险(TD)构成的,即DR=AP×TD。#p#分页标题#e#
四、结论
1.审计风险模型AR=IR×CR×DR可以延伸为AR=IR×CR×AP×TD。该模型体现了抽样风险和非抽样风险对检查风险影响,同时也暗示性地指出抽样风险和非抽样风险对控制风险评估水平有间接影响,其影响最终反映在检查风险的构成中。
2.对审计风险模型中的因素重新排列,可以得出误受风险与其他风险要素之间的关系。在具体的审计中,在可接受的AR水平一定,IR和CR的综合水平正确评估的条件下,注册会计师可以通过降低非抽样风险而接受较高的误受风险水平。这也从侧面体现了加强质量控制的意义。
3.量化水平是体现各风险要素间关系的最佳方式,而审计实务多以定性方式来反映各要素水平。