基于XBRL的审计脆弱性研究,本文主要内容关键词为:脆弱性论文,XBRL论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
一、审计脆弱性概念引入与内涵释义
脆弱性一词常被应用于“金融脆弱性”(H.Minsky,1982)和“制度脆弱性”等之中,笔者首次提出了“会计脆弱性”一词并对其进行了成因剖析与对策研究(2007)。笔者对会计脆弱性一词的定义是:鉴于会计信息使用者之间的信息不对称状态、各利益相关者的地位所决定的舞弊动机、客观上国家允许的会计政策选择等原因,会计信息具有极易被扭曲的特性。会计脆弱性就是指从会计数据的产生、到加工、再到最终形成财务报告,每个阶段和环节都处于一种会计信息被扭曲的高风险和风险积聚状态。这个定义有助于我们构建审计脆弱性的内涵,即审计脆弱性指会计信息的脆弱性以及现行审计程序与方法、监管制度、信息化手段与工具应用等多种原因导致的审计结果不能反映被审计单位真实的财务状况、经营成果与现金流量的高风险和风险积聚状态。笔者认为,会计信息的脆弱性仅仅是造成审计脆弱性的原因之一,监管的脆弱性、信息化手段与工具应用导致的脆弱性、内部控制制度等制度上的脆弱性是导致审计脆弱性的更为深层次的原因。
2004年9月,国家标准化管理委员会发布了《信息技术——会计核算软件数据接口》国家标准。2006年,财政部启动了可扩展商业报告语言(XBRL)项目前期研究,我国XBRL的研究进程日益加快并逐渐与国际接轨。2009年4月,财政部发布了《关于全面推进我国会计信息化工作的指导意见》,该指导意见确定了我国会计信息化以XBRL为先导,由其引领和带动全面会计信息化的有序推进和目标的实现。2010年10月,国家标准化管理委员会发布了XBRL技术规范系列国家标准,财政部发布了基于企业会计准则的XBRL通用分类标准,以规范采用XBRL编报财务报告的行为,保证以XBRL格式编报的财务报告质量。XBRL的应用,给财务报告及相关信息的使用者包括企事业单位、投资者、债权人、会计中介机构、宏观经济管理部门和政府监管机构等,带来了极大的便利,在提升整个社会的现代化管理水平的同时,其实施的难度与存在的不足也是可想而知的。因此,XBRL财务报告模式的实施对审计产生了重大影响,成为影响审计结果、积聚审计风险的重要因素。本文所讨论的就是基于XBRL的审计脆弱性问题。
二、审计脆弱性的成因
1.XBRL的脆弱性。随着会计信息化的推进,ERP、OA系统等解决了各部门之间交流的信息孤岛问题,却迎来了系统与系统之间交流共享的系统孤岛新障碍,因此亟须开发一种系统来解决这个问题,XBRL应运而生。在网络经济时代,网络财务报告包括三个层次,即初级阶段的在线财务报告、中级阶段的实时财务报告、高级阶段的按需定制财务报告。而XBRL的应用有望实现前所未有的实时财务报告,不必再等待已经成为历史信息的财务报告,并进而实现对财务报告的按需定制。XBRL在我国的研究历史已经超过十年,其应用也已经逐渐铺开。但是我们在肯定XBRL的诸多优越性的同时,不能否认与掩盖其实施的难度与存在的诸如技术本身方面的不足。
笔者认为,XBRL的脆弱性主要表现在:相关性的提高与可靠性的下降;信息超载问题以及信息安全问题。首先,随着XBRL的开发与应用,用户将可以根据自己的需要,提出具体的信息要求,只要安装了基于XBRL的财务报告软件,信息使用者就可以得到个性化的财务报告,这种报告提供的及时性与用户对报告的按需定制,极大地提高了信息的相关性。而相关性的提高,必将影响到信息的可靠性。相关性与可靠性的定位和选择一直是困扰会计理论与实务界的一个两难问题。所以对以XBRL格式编制的强化了信息相关性的财务报告的审计,无疑将强化审计的脆弱性特征。其次,XBRL网络财务报告使超大容量的信息披露成为可能,但是报告的使用者却面临着新的信息超载问题。在实务工作中,决策者的能力各不一样,有些人无法抓住主要的信息数据,从而导致经济上的损失。这种能力上的差异,对于审计人员同样如此。在当今的财会信息市场,信息的无限制扩张加上信息可靠性的下降,使得信息的使用者无所适从,这将使他们在决策中较少使用或者不使用财务信息,这是会计与审计的末日。再次,信息的安全问题。XBRL作为XML技术的延伸,不可避免地继承了XML技术上的一些漏洞,比如文件在传输过程中容易被半路拦截或篡改而不留痕迹,不再具有完整性和准确性。这给审计工作的顺利完成制造了许多障碍。需要指出,这种障碍是全方位的,它也是造成本文提到的会计信息脆弱性、监管脆弱性以及内部控制脆弱性的重要因素。
2.会计信息的脆弱性。审计特别是财务审计与会计的联系之紧密是不言而喻的。由于盈余管理现象的客观存在、稳健性原则与应计制等会计原则的存在与使用、公允价值计量属性的运用、错误与舞弊的存在、信息不对称、会计是一个开放系统、现代信用的脆弱性等原因而导致会计信息具有很强的脆弱性。而很显然,会计信息的这种脆弱性为审计结果是否能反映被审计单位真实的财务状况、经营成果与现金流量带来了很大的不确定性,使得审计结果处于高风险状态或者说处于一种风险积聚状态。换言之,会计信息的脆弱性直接导致了审计的脆弱性。
3.监管的脆弱性。监管历来都是最受争议的话题之一。批评者认为,监管干扰市场效率;支持者则相信,设计良好的监管架构不仅能够使市场更有效,还能够提高市场结果的公平性。事实是,由美国金融危机调查委员会公布的2008年以来由美国次贷危机引发的世界性金融危机起因的调查报告指出,造成金融危机的主要原因之一是联邦政府的监管失职。
4.内部控制的脆弱性。以发生在2004年12月的中航油事件为例,中航油事件被认为是继1995年巴林事件后最大的经济丑闻。有人认为,中航油内部根本就没有风险控制体系或者说内部控制不健全。事实上,中航油的内部控制体系在形式上一直是存在的。而且中航油曾聘请当年的“五大”之一安永会计师事务所为其编制《风险管理手册》,专门设有由七人组成的风险管理委员会及软件监控系统。但是,最终造成中航油巨亏的根本原因却仍是企业集团内部控制失控。痛定思痛,不能不让人对内部控制的脆弱性产生清醒的认识。
三、对策选择
1.以XBRL为先导,引领和带动会计与审计的全面信息化发展。如前所述,以XBRL格式编制财务报告是会计全面信息化的产物,但这种信息化存在着如下三方面的脆弱性:相关性的提高与可靠性的下降、信息超载问题以及信息安全问题。在相关性提高与可靠性下降方面,笔者认为,一是抛开单一信息揭示的基本构想,而取道多元信息的揭示途径。如果以历史成本为基础的会计信息更具有可靠性,以评估价值为基础的会计信息更具有相关性,那么同时提供两种不同属性的会计信息便可同时满足不同用途的信息需求及其质量特征。二是如果相关性与可靠性之间的矛盾由信息的及时性所引起(因为在信息提供中的延误使信息过时,将影响它的相关性;然而在交易事项所包含的全部不确定性被解决之前报告交易和事项又影响其可靠性),那么实时的网络财务报告能够消除信息相关性与可靠性之间的矛盾。而对于信息超载问题,笔者认为其解决之道是会计的外部化。会计信息的提供量过低将导致会计行业的衰落乃至消亡,而信息提供量过高则将使企业不堪重负。事实上,科斯早就认为,企业经营倾向于扩张直到企业内部组织一笔额外交易的成本等于通过在公开市场上完成同一笔交易的成本或在另一个企业中组织同样交易的成本为止,这说明当企业更有效率时交易将内部化,而市场更有效率时交易将外部化,这实际上界定了企业的形成和规模。因此,在把握信息提供的量或者度的问题上,既要防止“不及”(指会计信息使用者对会计的预期高于会计本身所能达到的水平引起的差异),更要防止“过之”(指会计在满足会计信息使用者需求的同时提供了大量无效的服务),当前主要是防止“过之”。而为了防止“过之”而精减下来的功能将以会计外部化的形式在会计以外实现。最后,对于信息的安全问题,除采用常规的应用软件所采取的技术手段如物理风险控制、访问控制、消息加密和鉴别、入侵检测系统、安全扫描系统等之外,切实做到作业过程可跟踪、可验证、可考核,建立有隔离、可自控的信息系统。可以认为,以XBRL为先导引领和带动会计与审计的全面信息化发展,既没有理想中那么容易,也没有想象中那么困难。
2.构建令人向往的审计方式是降低因会计脆弱性所导致的审计脆弱性的有效途径。放眼近10年来的审计市场,审计失败事件或者审计丑闻比比皆是。笔者认为,诸如公允价值计量属性的运用等因素导致的会计信息的脆弱性使得审计的脆弱性不可避免。例如,美国最近提出了一个最新方案,主张将金融资产预计损失确认后一次计入当期损益,我国一旦实行这种做法,可能会导致我国的金融保险业出现巨亏。制度的前后变化所得出的会计信息的巨大反差对社会公众的导向作用是完全不同的,如果是企业自发地选择这种会计政策而注册会计师未能审计出来,那就是审计丑闻;反之,如果是政府颁布实施的准则所规定,那就是理所当然的结果。由此可见,由于会计信息脆弱性引起的审计脆弱性,必须引起我们的充分注意。
笔者认为,可以将审计分解为三个交叉但又相互独立的部分:审计理论、审计工程与审计管理。第一部分是指审计抽样、工作底稿、CPA审计准则以及审计学术研究;第二部分是指为了达到特定审计目标而设计和分析某些框架,例如审计的行业监管体系;第三部分则主要涉及审计框架在实际生活中的运行,例如各级财政部门对各类审计机构进行日常监管。通过这种分类,我们可以更清楚地认识到,大量的审计失败事件与审计丑闻更多反映的是审计工程学与审计管理学的失败。与此相对应,我们要解决的也是审计工程学与审计管理学中存在的问题。笔者以为,构建令人向往的审计方式是降低审计脆弱性的有效途径。所谓令人向往的审计方式,是指尽管审计部门竭尽所能,但如果只靠审计部门自身来协调与均衡自身工作与利益相关者的关系,几乎是不可能完成的任务,所以要继续进一步完善审计职业环境,还需要依靠外力,依靠各部门各利益相关者的相互谅解、共同努力才能达到目的。这就需要实现组织的管理功能转换、组织架构重组、制度他律与道德自律的结合,才能构建令人向往的审计方式。
3.监管机构与制度的不断创新将使得由于监管的脆弱性而导致的审计脆弱性问题得到有效遏制。监管的脆弱性固然存在,但是一个没有监管的世界是不可想象的。越来越多的人已经达成共识——加强政府监管是必要的。人们争论的只是监管是否过度或不足,以及能否以较小的成本达到预期的监管目标。以美国为例,80年前,面对20世纪20年代末的经济危机,罗斯福以“监管革命”为契机建立起现代行政监管体制,设立了证券交易委员会(SEC)这样的号称立法、司法、行政部门之外的第四部门的独立监管机构,为美国从大萧条中恢复过来奠定了体制基础。但是,在新自由主义经济思想与新保守主义思潮影响下,严格的监管与执法受到怀疑,以至于像安然、世通、施乐这样庞大的世纪骗局都没有及时得到发现和查处。痛定思痛,美国的行业自律监管制度发生了重大变化,产生了自罗斯福时代以来“最为彻底的公司改革法案”——《萨班斯—奥克斯利法案》(SOX法案),新法案中最为核心的内容,是通过设立独立的监管机构[曾经是注册会计师行业执业质量自律监管的两个标志性组织——公共监督委员会(POB)和美国注册会计师协会证交会业务部(SECPS)的工作要移交给新成立的公众公司会计监管委员会(PACOB)],确立了独立监管的全新模式,这是对现行注册会计师监管体制的历史性变革。
我国注册会计师行业监管体制的发展,大致分为三个阶段:第一阶段是完全行政主导阶段。时间为注册会计师协会1988年成立前后的一段时期,主要由各级财政部门直接行使行业管理权。第二阶段是1993年《注册会计师法》颁布后,尤其是1995年“两所、两师、两会”合并后,对注册会计师行业的管理由完全行政主导过渡到由中国注册会计师协会对内作为财政部门的一个事业单位行使法律规定的行政职权和对外作为社会团体行使法律赋予的一部分自律管理权。从此,协会变成了半官方半自律的组织,扮演着“双重角色”。第三阶段就是自美国SOX法案颁布实施至今,我国借鉴了美国的做法,财政部收回了对注册会计师行业的行政监管职能。《国务院办公厅转发财政部关于加快发展我国注册会计师行业若干意见的通知》(国办发[2009]56号)更是指出,要不断强化对注册会计师行业的行政监管,分级分类监管是今后一段时间我国加强注册会计师行业行政监管与自律约束的重要制度安排。就像美国不断进行SEC、PACOB这样的监管制度创新一样,我国的注册会计师行业监管机构与制度也在不断创新。我国1992年设立证监会、1998年成立保监会、2003年设立银监会,金融市场的监管体制逐步形成,我们只要充分维护监管机构的独立和权威,保证监管机构严格、公正地执法,诸如审计脆弱性这样的问题必将得到有效遏制。
4.从“内部控制——整体框架”向“企业风险管理——总体框架”理念的转变表明,审计的切入点从单纯的会计控制向企业的全面风险控制转变可以显著降低审计的脆弱性。企业内部控制规范体系的形成经历了从会计控制到全面风险控制的发展过程。1994年COSO报告《内部控制——整体框架》中提出了五个要素:控制环境、风险评估、控制活动、信息和沟通、监督。但是该COSO报告出台后不久,就出现了批评的声音:报告仅提出风险识别,却并没有区分风险和机会;报告缺乏保障资产的概念;内部控制与管理活动的区别在报告中不够清晰等。因此,以安然事件为契机,Treaday委员会于2004年年底颁布了一个概念全新的COSO报告,即《企业风险管理——总体框架》(ERM)。ERM框架最大的变化就是,将企业内部控制更名为企业风险管理,这一变化是有特殊意义的。ERM框架对这五个要素进行了深化和拓展,将其演变为八个要素,即内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控。该框架不仅扩大了原COSO内部控制整体架构的范围,建立起一个对风险更加关注的、更强大的内部控制体系,而且将内部控制与风险管理融为一体。企业全面风险管理已成为21世纪全球企业管理发展的新趋势。近年来,著名企业评级机构如标准普尔和穆迪已将ERM列为其对企业评级的基本评价因素,各国的审计标准已将审计的根本任务从审计内部控制逐渐转移到审计风险管理的职能上来。
2008年,我国发布了《企业内部控制基本规范》,2010年发布了《企业内部控制配套指引》,标志着我国企业内部控制规范体系的建成。内部控制制度设计上的更加完善与执行上的更加有效将在很大程度上消除因为这个原因而导致的审计脆弱性,但是仅仅这样还远远不够。审计模式的发展过程可分为三个阶段,即账项基础审计、制度基础审计和风险导向审计。风险导向审计是指审计人员在对被审计单位的内部控制充分了解和评价的基础上,综合分析、判断被审计单位的风险状况及其风险程度,从而把有限的审计资源集中到高风险的审计领域,针对不同风险程度采取相应的审计对策,重点对高风险点进行实质性测试,风险审计的关注点在于对被审计单位的风险评估,其审计重心向风险评估转移,更加关注的是企业的风险管理活动——是否建立清晰的风险管理战略、完善的管理架构、全面的风险管理过程和良好的风险管理文化,最终实现风险管理效率和价值的最大化。风险审计理论的核心是从分析审计风险入手,通过建立科学的审计风险分析模型,采取定性定量分析方法,量化确定固有保证程度系数,并控制保证程度系数,确定可接受的检查风险水平,以确保审计质量。笔者认为,审计模式从制度基础审计向风险导向审计的演变,正是内部控制的发展从“内部控制——整体框架”向“企业风险管理——总体框架”转变的具体反映。具体来说,就是审计的切入点从单纯的会计控制向企业的全面风险控制转变。这种转变可以极大地提高审计的针对性和正确性,从而在某种程度上削弱审计的脆弱性特征。
标签:内部控制论文; 财务报告论文; 会计论文; 企业内部控制评价指引论文; 会计与审计论文; 审计报告论文; 审计软件论文; 注册会计师论文; 会计职业论文; 审计质量论文; 审计目标论文; 审计方法论文; 审计职业论文; 审计准则论文; 风险管理论文; 财会论文;