【作　　者】
白 华（博士） 林丽萍

【作者单位】
（暨南大学管理学院 广州 510632）

【摘　　要】

      【摘要】合理确定审计范围对于注册会计师控制审计风险至关重要。现代审计是基于内部控制评价的抽样审计，全面评价内部控制是风险导向审计的内在要求。本文从审计范围的视角提出了加强审计风险控制的政策建议。
【关键词】审计风险   审计范围   内部控制

现代审计是基于内部控制评价的抽样审计。注册会计师审计中所称内部控制一般指“与审计相关的内部控制”，或称“内部会计控制、财务报告内部控制。”美国证交会（2003）的《最终规则——管理层对财务报告内部控制的报告及其对定期披露的证明》认为：“财务报告内部控制是内部控制的子集”。这样看来，注册会计师所评价的内部控制仅为被审计单位内部控制的一部分，而不是全部。而审计范围的界定又以内部控制评价结果为依据，这将会导致审计范围界定过窄，并致使审计风险的产生。同时，在当前强调运用风险导向审计方法的背景下，仅评价财务报告内部控制还存在理论上难以自圆其说的困境。本文拟深入剖析这一困境产生的原因，并提出从源头上防范注册会计师审计风险的对策。
一、审计范围的内涵
关于审计范围的内涵，相关准则并没给出一致的定义，所指各有侧重。《国际审计准则第200号——独立审计师的总体目标以及按照国际审计准则执行审计工作》认为：“审计范围是指为实现审计目标，注册会计师根据审计准则和职业判断，拟实施的恰当的审计程序。”而在与之相应的《中国注册会计师审计准则第1101号——财务报表审计的目标和一般原则》中，只在总则中指出：“明确注册会计师为实现总体目标而需要执行审计工作的性质和范围。”在《〈中国注册会计师审计准则第1111号〉应用指南（征求意见稿）》中曾规定：“审计范围，包括指明在执行财务报表审计业务时遵守的中国注册会计师审计准则。审计范围是指为实现财务报表审计目标，注册会计师根据审计准则和职业判断实施的恰当的审计程序的总和。”这与《国际审计准则第200号》的规定基本相同，都是从审计程序的角度来定义审计范围。但在正式发布的《〈中国注册会计师审计准则第1111号——审计业务约定书〉应用指南》中，定义为：“详细说明审计工作的范围，包括提及适用的法律法规、审计准则，以及注册会计师协会发布的职业道德守则和其他公告。”在中国注册会计师协会编写的《审计》教材中，也没有专门论述审计范围。但在《〈中国注册会计师审计准则第1231号——针对评估的重大错报风险实施的程序〉应用指南》中指出，审计程序的范围指实施审计程序的数量，如抽取的样本量或对某项控制活动的观察次数。
《中华人民共和国国家审计准则》第三十七条第（三）款规定：“审计范围，即审计项目涉及的具体单位、事项和所属期间。”与之相近的还有《国际内部审计专业实务标准》，该标准第2220条规定：“确定的工作范围必须能够实现工作目标。工作范围必须考虑到相关系统、记录、人事和实物财产。”我国《内部审计基本准则》中，没有给出审计范围的定义。
从这些规定中可以看出，各类准则对审计范围的界定有两类观点：其一，侧重考虑审计程序；其二，侧重考虑审计对象。如果将这两类观点分别做一些拓展，则可以得到一致的观点。从审计程序来看，注册会计师总是针对具体的审计对象来制定和实施审计程序。而从审计对象来看，注册会计师在确定了某一单位所属期间的有关事项后，也需要制定和实施审计程序，殊途同归。这也可能就是各类准则只从一个侧面来定义审计范围的原因。
为了便于直观的理解，本文将审计范围定义为：为实现审计目标，注册会计师根据审计准则和职业判断，针对审计对象涉及的领域和内容，拟实施的恰当的审计程序。
二、合理确定审计范围对审计风险防范至关重要
根据《中国注册会计师审计准则第1101号》的规定：“审计风险是指当财务报表存在重大错报时，注册会计师发表不恰当审计意见的可能性。”如何有效防范审计风险是问题的关键。而审计风险的防范是否有效，关键在于注册会计师确定的审计范围是否恰当。从另一个方面来看，审计证据是实施的审计程序的结果，这又依赖于审计范围的确定是否恰当。因此，审计范围的确定对审计风险的防范至关重要。
根据审计风险模型，审计风险=重大错报风险×检查风险。重大错报风险是指财务报表在审计前存在重大错报的可能性。检查风险是指如果存在某一错报，该错报单独或连同其他错报可能是重大的，注册会计师为将审计风险降至可接受的低水平而实施程序后没有发现这种错报的风险。重大错报风险是注册会计师基于专业胜任能力和职业判断对被审计单位的风险进行识别和评估后得出的结论。而风险的高低需要通过了解被审计单位及其环境（包括被审计单位的内部控制）来评估。那么，了解和评估的对象是什么？《中国注册会计师审计准则第1211号》第十四条规定了六个方面：“①相关行业状况、法律环境和监管环境及其他外部因素；②被审计单位的性质；③被审计单位对会计政策的选择和运用；④被审计单位的目标、战略以及可能导致重大错报风险的相关经营风险；⑤对被审计单位财务业绩的衡量和评价；⑥被审计单位的内部控制。”概括来说，注册会计师了解和评估的是被审计单位的全面风险管理情况。但是，《中国注册会计师审计准则第1211号》第十五条规定：“注册会计师应当了解与审计相关的内部控制。”也就是说，我国注册会计师审计准则与美国一样，也是仅对内部控制之一部分，而不是全部进行评价。
三、全面评价内部控制是风险导向审计的内在要求
从《中国注册会计师审计准则第1211号》第十四条中可以看出，注册会计师应该了解的被审计单位及其环境的六个方面中，就包含了“被审计单位的内部控制”。但因为准则中没有强调全面风险管理与内部控制之间的内在联系。并且将“了解内部控制”单独作为一节来论述，并限定其为“与审计相关的内部控制”。这使得人们以为内部控制可以离开风险管理而存在，并可以单独进行评价。
而事实上，风险管理和内部控制是融为一体的。用“风险管理”一词，侧重于强调对企业全面风险进行管理的重要性，但是识别出了风险，就需要通过内部控制来防范。而用“内部控制”一词，侧重于强调对识别出的风险的有效控制。前者强调控制对象，而后者强调控制措施。将这两者结合起来进行表述就是：风险管理是识别、评估风险并进行控制的过程。内部控制就是控制，是管理职能中的控制职能，它不能离开控制对象而独立存在。因此，全面风险管理所要求的一定是全面的内部控制，不可能是所谓的“与审计相关的内部控制”。
而风险导向审计方法的运用，强调的正是对企业全面风险的识别和评估，如果只是强调“与审计相关的内部控制”，那么，就会导致注册会计师难以全面评估企业风险管理情况，使得审计范围界定过窄，重大错报风险的评估失当。这就是准则中存在的难以自圆其说的困境。且准则中规定注册会计师只评价“与审计相关的内部控制”，在实务中难以执行。
白华和高立（2011）就指出，财务报告内部控制虽为内部控制的子集，但它无法从内部控制中分离出来。刘玉廷（2010）在《企业内部控制配套指引》解读中指出，注册会计师审计的范围应当覆盖企业内部控制整体而不限于财务报告内部控制。这与要求企业完整而全面地贯彻实施内部控制规范体系是相一致的。但是，考虑到注册会计师在内部控制审计过程中的风险责任承担能力限制，该指引要求注册会计师针对企业财务报告内部控制有效性发表审计意见，而对相关审计过程中注意到的非财务报告内部控制重大缺陷，则要求其增加描述段予以说明。杨志国（2010）也有类似论述。但是这种人为限定审计范围的做法，在理论上站不住，在实践上也行不通。事实上，注册会计师仅对财务报表的合法、公允性发表审计意见，与要求注册会计师全面评价内部控制之间并不矛盾。只有全面评价内部控制，才能客观评价财务报表存在重大错报风险的可能性。这对财务报表层面的重大错报风险的评估而言，尤为重要。也只有这样，才能降低审计风险。
四、加强审计风险控制的政策建议
1. 要求注册会计师全面评价内部控制。解决问题的根本办法是，修改中国注册会计师审计准则的相关条文，扩大审计范围，要求注册会计师全面评价内部控制。这在当前推行财务报表和内部控制整合审计的背景下更为必要。虽然《企业内部控制审计指引》仅要求注册会计师“对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加‘非财务报告内部控制重大缺陷描述段’予以披露。”但有披露要求，就要对非财务报告内部控制实施相关审计程序。更好的做法是，准则要求财务报表和内部控制审计均对内部控制进行全面评价和审计。
2. 要求注册会计师结合风险管理来评价内部控制。在中国注册会计师审计准则中，应该明确指出风险管理与内部控制是融为一体，具有内在一致性。这就可以避免注册会计师割裂二者之间的关系来分别评价被审计单位的风险管理和内部控制。仅以《中国注册会计师审计准则第1211号》第二条为例，该条规定：“控制，是指内部控制一个或多个要素，或要素表现出的各个方面。”作为一项管理的职能，控制是不能独立存在的，其要素是共同作用于控制对象之上的，其表现形式是一系列的控制措施。这些措施可以体现控制要素的要求，但不能以要素的形式存在。但遗憾的是，认为可以按照要素来评价内部控制是目前的主流观点，在《中国注册会计师审计准则》和《企业内部控制配套指引》及其相关解读中均有所体现。故准则制定者应该考虑对相关准则进行修改。
3. 要求注册会计师提高专业胜任能力。全面评价风险管理和内部控制，无疑会对注册会计师的专业胜任能力提出更高的要求。为此，注册会计师应该加强对《企业内部控制基本规范》和《企业内部控制配套指引》的学习，领会其精神实质，并能推而广之，将其运用于这些规范中没有具体规定的控制对象中去。同时，会计师事务所应该储备具有不同专业背景的人才。审计项目组应该配备具有不同专业特长的成员。
【注】本文受中央高校基本科研业务费专项资金（暨南跨越计划）（项目编号：12JNKY004）的资助。
主要参考文献
      1. 白华，高立.财务报告内部控制：一个悖论.会计研究，2011；3
2. 刘玉廷.全面提升企业经营管理水平的重要举措——《企业内部控制配套指引》解读.会计研究，2010；5