“合理保证”=“高水平保证”？

[摘要]本文质疑了美国公众公司会计监管委员会（PCAOB）和审计标准委员会（ASB）将“合理保证”定义为“高水平保证”的提法，因为它难以实际激励审计师提高审计质量，并可能误导会计报表使用者。笔者认为，只有审计技术实际上的提高才能真正提高保证程度，否则谈“高水平保证”只是文字游戏。

[关键词]合理保证 高水平保证 风险导向审计

在美国，会计职业界长期坚持审计师应该根据《一般审计准则》（GAAS）对财务报表不存在重大错报提供“合理”保证（而非绝对保证），并强调合理保证下的审计报告是值得信赖的，但对于“合理保证”这一概念一直比较混乱，直至近几年还是不断试图阐述到底什么才是“合理保证”。

“合理保证”使我们容易联想到审计“期望差”。从20世纪80年代中期开始，人们就意识到“期望差”问题，即财务报表使用者希望审计报告提供的保证程度和审计报告实际上提供的保证程度的差距。为了克服“期望差”，会计职业界完善了审计准则以提供更加明确的指南，并和监管人员制定了关于会计监管的规则条例。但这些努力并没有消除财务舞弊，如安然、世通等严重财务舞弊事件引起了人们的强烈愤慨，证券交易委员会（SEC）随即颁布颁布了《萨克斯——奥克斯利》（SOA）法案，并成立了公众公司会计监管委员会（PCAOB）。为了重拾公众对审计报告的信心，SOA404条款规定上市公司必须提供有关内部控制的报告，并要求他们的CEO和CFO们确认内部控制的有效性。同时，SOA要求公共审计师也必须对内部控制的有效性发表意见。

为了执行SOA的规定，PCAOB了《2号审计准则》（AS2），对“财务报告内部控制审计”提供了规范和指南。在AS2第17段的说明中，对“合理保证”的概念进行了最新的阐述，并在最后一句指出“合理保证虽然不是绝对保证，但却是高水平保证”。由此可见，PCAOB将“合理保证”和“高水平保证”（在SOA404条款提及的）等同起来了。这一观点最早是由“国际审计和保证标准委员会”（IAASB）提出来的，它建议在标准审计报告中添加“高水平保证”的语句，但经过大量的调查思考，最后还是删除了这个提法，因为它不仅会引起财务报表审计报告应该提供何种保证程度的激烈讨论，同时还会影响到IAASB制定审计标准的过程。现在这一提法又被AICPA的“审计标准委员会”（ASB）重新考虑，在2005年4月28日，ASB在的关于AU230修改稿中，将“合理保证”等同于“高水平保证”。

笔者认为，PCAOB和ASB将“合理保证”定义为“高水平保证”是值得商榷的。

第一，“高水平保证”难以激励审计师提高审计质量。

审计师认识到公众总是期望审计失败比率愈来愈低，因此他们通过计划和执行审计程序将财务报表重大错报的风险降到最低，并且，职业界至今仍在不断探寻更加深入全面的指南能为审计师提供指导。如今的审计准则要求所有的审计程序都要记入在审计工作底稿中，以便确保所有被要求的程序都已经恰当执行，每年的内部检查和三年一次的同业互查更加促使了审计质量的提高。因此，难以理解“高水平保证”的口号能否真正提高审计质量。

在美国，为了避免审计失败被曝光后所面临的处罚，以及随之而来的民事诉讼，审计师们总是希望将所有重大错报从报表中消除。签署错误审计报告不仅面临着SEC的处罚，还会受到州会计委员会和AICPA的处罚。这些都会给审计师及其事务所带来巨额花费并耗费大量时间，能够毁掉一个审计师的整个职业生涯。因此，在法律及行业监督早已这么严格的情况下，考虑到一次审计失败就会引起审计师职业生涯的结束，再将“合理保证”改为“高水平保证”不太可能对审计质量会有重大影响。

第二，“高水平保证”可能误导报表使用者。

关于什么是“高水平保证”也是众说纷纭，有人认为它只比“完全保证”稍低，又有人认为它高于“一般保证”，审计师们不得不疑惑于这词所提供的保证程度，更不用说报表使用者了。他们有可能认为既然审计报告提供的是高水平保证，那他们就可以完全信任审计报告已经有效清除了财务舞弊的可能，从而马上放弃其他降低财务风险的措施（例如更好的内部控制或更分散的投资组合）。这对报表使用者而言无疑是危险的，由于受到“高水平保证”的误导从而过分信赖审计报告，而没有考虑到审计的固有局限可能会使他们面临损失。

坚持审计报告应该提供“高水平保证”的人认为，审计师根据ASB提供的保证程度，应于审计师根据PCAOB为上市公司提供的保证程度相一致，这样才能消除公众的困惑。但他们忽略了上市公司和非上市公司的重大差别，例如，上市公司被要求必须保持内部控制的有效性，并需要审计师对其内部控制进行测试，而对非上市公司却没有类似要求。并且即使名义上两套准则关于“高水平保证”的保证程度最后达成一致，但实质上它们仍按已经形成的各自一套准则行事，保证程度难以达成一致。审计师们就有可能选择较低保证程度以维护自己的利益，而不会从公众利益出发选择较高水平的保证程度。公众由于相信了两套准则名义上的保证程度相同，就会盲目相信审计师已经提供了比他们实际能够提供更多的保证。

第三，在现有审计技术下审计师难以提供“高水平保证”。

财务报表审计只能提供合理的保证。根据GAAS规定，审计师必须在评估被审计单位会计报表重大错报风险程度的基础上设计审计程序，从而使未发现重大错报的可能性降到“合理低水平”。但是，现在以风险为导向的审计，虽然是十分有效且实用的，但它远不是精确的。审计师不可能完全量化审计风险，只能降低风险。

理论上，总的审计风险（AR）由三个要素构成，分别是固有风险（IR）、控制风险（CR）和检查风险（DR）。其中，固有风险是被审计单位不存在内部控制情况下财务报表发生错报的可能；控制风险是被审计单位内部控制未能及时预防、发现和纠正重大错报的可能；检查风险是审计师经过审计程序仍未发现重大错报的可能。它们之间的关系表述为AR=IR*CR*DR，但考虑到实务中固有风险和控制风险是紧密相连，难以单独量化（即使有百分百的信息），审计准则的制定者最终将固有风险和控制风险合二为一，成为重大错报的风险（RMM），公式就被重新表述为AR=RMM*DR。

问题在于，通过审计师对内部控制执行的一系列测试之后得到的关于内部控制的了解（RMM的主要依据）仍是十分肤浅的。在一个仅有上百个控制点的普通公司中，即使是一个控制点的失效都可能产生重大错报，更不用说有着成百上千的关键控制点的相当复杂的大企业。审计师有限的测试程序根本不可能完全得到对内部控制非常准确的评价，那又怎么能做到“高水平保证”呢？在对小企业的审计中，审计师总是假定它的错报风险处于高水平，所以不进行控制测试而直接进入到实质性测试的程序，但问题是多少的测试能足够将重大错报风险降到低水平。小企业的审计师们大多不采用统计抽样技术，而是仅凭职业判断来确定审计范围，因此测试结果所能提供的保证水平仅是不精确的估计数。

因此，在目前以风险为导向的审计模式下，由于审计的固有限制和内部控制的固有限制，将“合理保证”定位于“高水平保证”是不切实际难以达到的。

综上所述，在审计技术没有很大提高的情况下，笔者认为谈“高水平保证”只能是一场空想，而PCAOB和ASB将“合理保证”理解为“高水平保证”，可以认为是作为平息民愤的一种手段。美国职业界应更多地将精力放于实质上提高审计质量，而非言语上发表误导性语言而引起报表使用者和审计师的困惑。

主要参考文献：

[1]《Auditing Standard No.2-An Audit of Internal Control Over Financial Reporting Performed in Conjunction with An Audit of Financial Statements》.PCAOB.2004.3

[2]《超越COSO：强化公司治理的内部控制》[美]史蒂文•J•鲁特著.刘霄仑主译.2004.8.

[3]《企业风险管理——整合框架（内容摘要）》.COSO.方红星译

[4]《萨班斯法案404条款：后续进展》.陈汉文等.会计研究.2005.2

[5]《现代风险导向审计基本内涵分析》.谢荣、吴建友.审计研究.2004.5