审计实施框架：不同审计主题的应用

本书以上将审计主题区分为财务信息、业务信息、特定行为、特定制度，并且提出了一个基于审计主题的通用实施框架。下面，我们来分别讨论各审计主题的审计实施框架。

（一）财务信息的审计实施框架

财务信息的审计实施框架基本成熟（Arens，Elder & Beasley，2003；中国注册会计师协会，2016），这里按本书提出的框架结构，做一个简要的归纳。财务信息这个审计主题，其审计总目标是真实性，要确定其审计内容，需要将财务信息这个审计主题再分解为审计标的，并确定各审计标的的审计具体目标，这些审计具体目标事实上是审计总目标在审计标的上的分解。财务信息的审计标的一般分为三类：交易或事项、余额、列报，审计活动就是针对上述三类审计标的来进行的。但是，必须将真实性这个总目标分解到各审计标的，由于被审计单位的管理层一般会有财务信息报告，所以，财务信息审计在许多情形下是基于责任方报告业务，因此，审计具体目标是以管理层认定为基础而形成的。目前，有共识的财务信息审计标的及审计具体目标见表4-3（中国注册会计师协会，2016）。

表4-3　财务信息的审计标的及审计具体目标

就审计标准来说，财务信息审计标准当然是适用的会计准则或会计制度，所谓的财务信息审计真实性，就是判断财务信息的确认、计量、记录和报告是否符合这些会计准则或会计制度的规定。

就审计取证模式来说，由于财务信息一般都有系统且有支撑材料的审计载体，所以，主要是根据审计意见类型来选择审计取证模式。如果发表合理保证审计意见，则需要选择命题论证型取证模式（具体是现代风险导向审计模式），上市公司年报一般属于这种情形；如果是发表有限保证审计意见，则可以选择事实发现型取证模式，一些上市公司对中报选择审阅，就属于这种情形。就审计方案来说，一般是在总体审计策略的统帅下，按交易或事项、账户余额、列报和披露，分别编制审计方案，然后，合并删除重复的审计程序，确定可实施的审计程序。

就审计意见来说，通常发表合理保证审计意见，某些情形下，也可以发表有限保证审计意见，都是根据交易或事项、账户余额、列报/披露的审计结果，考虑不同层级的重要性，推断财务报告整体真实性（合理保证审计意见），或报告针对财务报告整体的审计发现（有限保证审计意见）。

（二）业务信息的审计实施框架

业务信息是财务信息之外的各种信息，包括的内容很广泛，就其审计总目标来说，应该是信息的真实性，这与财务信息审计类似。问题的关键是，业务信息的审计标的及其审计具体目标如何确定？一般来说，业务信息可区分为两类，一是流量信息，二是存量信息，对于流量信息，其审计标的类似于财务信息中的交易或事项，也就是流量信息所反映的是特定的交易或事项；对于存量信息，其审计标的类似于财务信息中的期末余额，本书称之为期末存量。对于业务信息按上述思路确定审计标的之后，则相应的审计具体目标也可以类似于财务信息的相应标的来确定，基本情况见表4-4所示。

表4-4　业务信息的审计标的及审计具体目标

例如，矿产资源开采量是一个非财务的流量信息，对它的审计，审计标的就是矿产资源开采这个交易，审计具体目标包括发生性、完整性、准确性、截止、分类，发生性就是矿产资源开采不存在虚构或高估；完整性是指所有的矿产资源开采都包括进来了或不存在低估；准确性是指对矿产资源开采的具体计量不存在错误；截止是指不同期间的矿产资源开采没有张冠李戴；分类是指不同类型的矿产资源开采分类正确或不存在分类错误。

又如，矿产资源期储量是一个非财务的储量信息，对它的审计，审计标的就是矿产资源的期末储量，审计具体目标包括存在性、权利或义务、完整性、计量。存在性是指列入矿产资源期末储量中的矿产资源确实是存在的或不存在虚构或高估；权利或义务是指列入矿产资源期末储量中的矿产资源确实属于报告主体所有；完整性是指期末所有的矿产资源期都包括在报告的矿产资源期末储量中或不存在遗漏或低估；计量是指对矿产资源期末储量的计算不存在错误。

就审计标准来说，业务信息审计标准当然是适用的业务信息确认、计量、记录和报告的规则，所谓的业务信息审计真实性，就是判断业务信息的确认、计量、记录和报告是否符合这些规则。例如，《矿产资源登记统计管理办法》就是矿产资源信息真实性审计的重要标准。

就审计取证来说，两个因素决定业务信息取证模式的选择：一是要求的审计意见类型，如果要求发表合理保证审计意见，则必须采用命题论证型取证模式，如果可以发表有限保证审计意见，则可以采用事实发现型取证模式；二是审计载体状况，如果存在完整的审计载体信息链，则可以采用命题论证型取证模式，否则，就只能采用事实发现型取证模式。例如，矿产资源开采量及储量如果存在完整且可追索的审计载体，则可以采用命题论证型取证模式，否则，只能就可利用的审计载体采取事实发现型取证模式。就审计方案来说，首先要以审计标的为对象，设计针对性的审计方案，在此基础上，删除重复的审计程序，得到可实施的审计方案，并通过实施这个方案得到审计证据。例如，矿产资源开采量及储量审计，首先要区分不同的矿产资源，在此基础上，区分流量和储量，针对各自的审计具体目标编制审计方案，再删除重复的审计程序，得到可实施的审计方案，并实施这个方案以获得审计证据。

就审计意见来说，业务信息审计意见类型要根据审计证据证明力来确定，也就是要根据审计取证模式来确定，意见形成过程与财务信息基本类似，主要差异之处是不同层级的重要性对审计意见的影响，一般来说，业务信息的重要性可能更加宽松一些。(www.xing528.com)

（三）特定行为的审计实施框架

特定行为是纳入审计的具体行为，一般可以分为财政财务收支行为和业务行为两类，前者指货币资金收支行为，后者指被审计单位从事其业务活动或履行其单位职能所产生的业务行为。对于特定行为这种审计主题，其审计总目标是合规性，也就是这些特定行为是否符合相关的法律法规及规章制度。问题的关键是，如何确定特定行为的审计标的和审计具体目标？就审计标的来说，特定行为的审计标的就是导致该类行为发生的交易或事项；就审计具体目标来说，就是将审计总目标落实到审计标的，一般包括发生性、完整性、准确性、截止、分类、范围、标准。发生性是导致该类行为发生的交易或事项是真实的或不存在虚构；完整性是所有导致该类行为发生的交易或事项不存在遗漏或低估；准确性是指对导致该类行为发生的交易或事项的相关数据是正确的；截止是指导致该类行为发生的交易或事项已经记录于恰当的期间或不存在不同时期的张冠李戴；分类是指对导致该类行为发生的交易或事项分类正确或不存在不同类型行为之间的张冠李戴；范围是指导致该类行为发生的交易或事项确实属于该类行为的范围或不存在范围扩大或缩小；标准是指导致该类行为发生的交易或事项以规定的数量标准或质量标准发生或不存在提高或降低标准。以“三公经费”为例，其审计标的和审计具体目标如表4-5所示。

表4-5　“三公经费”审计标的和审计具体目标

就审计标准来说，特定行为审计的判断标准是规范该特定行为的法律法规及规章制度，特定行为审计的总目标就是判断这些特定行为的发生是否符合这些法律法规及规章制度。

就审计取证模式来说，可以选择命题论证型取证模式，也可以选择事实发现型取证模式。不同的选择受到两个因素的制约，一是审计意见类型要求，如果要求发表合理保证审计意见，则需要采用命题论证型取证模式，如果只要求发表有限保证审计意见，则可以采取事实发现型取证模式；二是审计载体情况，如果存在完整的审计载体信息链，则可以采用命题论证型取证模式，否则，只能采取事实发现型取证模式。审计方案及其实施与前叙各审计主题基本类似，不再赘述。

就审计意见来说，需要根据审计取证模式来决定，当采取事实发现型取证模式时，只能发表有限保证审计意见。但是，对于哪些发现的事实要予以报告，则需要考虑审计重要性，不能无论数额大小，一律在审计报告中予以披露。当采取命题论证型取证模式时，如何根据样本的审计结果来推断总体的合规性，需要考虑合规重要性。这种考虑类似于财务信息审计中的重要性，但是，可能更加严厉，对于定性方面的考虑可能更多。有一种观点认为，对于行为合规要采取零容忍，就无疑是排除了重要性，本书认为，不区分具体情形，一味强调零容忍，可能导致规则悖反，影响行为审计的效率效果。

（四）特定制度的审计实施框架

特定制度这个审计主题是指纳入审计的制度，包括内部控制、管理控制、风险管理、组织治理、管理体系等。如果这些制度信息化了，则相应的信息系统也属于特定制度的审计范畴。由于对内部控制、管理控制、风险管理、组织治理、管理体系之间的关系有不同的认识，我们以内部控制为例来分析其审计实施框架，其原理也适用于其他各类制度审计。

内部控制审计[1]的总目标是制度有效性，也就是内部控制是否能解决它拟解决的问题，或者说，内部控制能否实现它拟实现的目标，可以归结为内部控制有效性，就审计实施来说，事实上是寻找内部控制缺陷，包括设计缺陷和执行缺陷。那么，如何确定内部控制审计的审计标的和审计具体目标呢？我们认为，内部控制审计标的要以特定的内部控制为对象来区分，在此基础上，再区分为两个审计标的，一是内部控制设计，二是内部控制执行。在此基础上，确定各审计标的的审计具体目标，对于内部控制设计来说，其审计具体目标是设计健全性，也就是内部控制制度文本的相关规定是否能解决其拟解决的问题，或者说，能否保障内部控制目标的达成；对于内部控制执行来说，其审计具体目标是执行符合性，也就是执行者是否按内部控制设计的要求来执行相关的制度设计。例如，如果以内部控制各要素为对象来设计审计标的和审计具体目标，则基本情况如表4-6所示。

表4-6　内部控制各要素的审计标的和审计具体目标

续表

就审计标准来说，内部控制审计判断是否存在执行缺陷的依据是被审计单位设计的内部控制制度，当判断是否存在设计缺陷时，情形就较为复杂，一般来说，外部颁布的一些通用指引或规范可以作为参考标准，而一些行业主管部门或行业职业组织颁布的适用于特定行业的内部控制指引是重要的参考标准，具体要判断内部控制是否存在设计缺陷，需要主观判断。

内部控制审计取证模式的选择，首先要考虑内部控制审计载体情况。一般来说，内部控制设计有制度汇编，可以视为有系统且有支撑的设计信息链，同时，不少的内部控制执行都留下了执行记录或轨迹，有些内部控制执行还可以现场观察。所以，也可以视为有系统且有支撑的执行信息链；所以，可以采取命题论证型取证模式。在一些特殊情形下，如果缺乏内部控制执行的完整信息链，则只能采取事实发现型取证模式。其次，内部控制取证模式的选择还要考虑所需要发表的审计意见类型。如果需要发表合理保证审计意见，则必须采用命题论证型取证模式，例如，上市公司年度内部控制审计就是这种情形；如果可以发表有限保证审计意见，则可以采用事实发现型取证模式，内部控制审核就是这种情形。至于内部控制审计方案设计及其执行，与前叙各审计主题类似，不再赘述。

内部控制审计意见类型包括有限保证审计意见和合理保证审计意见，当发表有限保证审计意见时，只需要报告审计发现的内部控制缺陷，并不需要对内部控制整体状况发表意见；当发表合理保证审计时，审计师还需要对识别的内部控制缺陷进行等级划分，一般划分为重大缺陷、重要缺陷和一般缺陷，当存在重大缺陷时，就认为内部控制整体无效，否则，就认为内部控制整体有效，当然，缺陷等级的认定标准则需要审计师根据审计的特定内部控制自主确定。