首页资料文库正文

如何评估审计风险十篇

时间：2023-11-21 18:13:37

如何评估审计风险

如何评估审计风险篇1

一　CPA思想认识上存在的问题

在新准则推行期初，许多CPA存在一种对新事物本能的抵触情绪，怀疑、曲解、甚至否定。新准则推行后，又由于一些CPA被新准则的庞大体系和精深内涵所迷惑，加之自身对准则学习、认识和理解不足，产生畏难感，从而使得相当多的CPA对新准则观望、等待甚至抵制，增加了推行新准则的难度、成本和时间。

从近两年执业质量检查的情况可以看出，许多CPA对风险导向审计程序的认识至今仍是一知半解甚至仅略知一二，未掌握如何正确履行风险评估程序，比如，不知道应具体从哪些方面了解以及如何了解被审计单位及其环境，不知道如何从整体层面和业务流程层面来了解和评价被审计单位的内部控制，不知道如何根据了解的情况对被审计单位进行风险评估。在编制工作底稿时，能够获取信息或资料的就填一点，不能获取的就空在那里，使得对风险评估的审计程序时断时续，不成体系；或者获取了一些信息或履行了一些审计程序，却往往没有结论，即使有结论却抓不着重点、找不到关键，不清楚如何根据了解和掌握的信息对被审计单位可能存在的审计风险进行评估'更不知道如何根据评估的审计风险确定重点审计领域并指导实施进一步审计程序。风险评估程序成为了应付执业质量检查的形式主义。

此外，许多CPA对认识风险导向审计的本质内涵存在两个误区：

误区一，认为风险导向审计之所以可以节约审计资源，就是因为有风险的领域才审，没有风险的领域可以不审，所以，实施风险导向审计仅需审计评估后有风险的领域；

误区二，认为由于不管有无审计风险，所有的报表项目都必须实施实质性程序，所以，不如不实施风险评估程序而直接实施实质性程序。

二、CPA审计实务中存在的问题

(一)一知半解，无从下手

一些CPA对风险导向审计的理论实际上仅是一知半解，真正需要其动手实施风险评估程序时往往又无从下手。

一方面，通过培训和实践'绝大多数CPA在理论上知道应该从哪几个方面去了解被审计单位及其环境，但真正到实务操作时，许多CPA还是知其一不知其二,不知道应具体从哪些渠道究竟应实施哪些审计程序不知道哪些信息和因素可能会对被审计单位产生何种重大错报风险，更谈不上如何分析可能产生的重大错报风险。

另一方面，一些CPA尽管收集了与被审计单位生产经营有关的大量信息，但不懂得如何梳理和寻找对被审计单位可能产生重大影响的信息。不知道如何分析和评估有关信息对被审计单位财务报表可能产生的重大影响，特别是如何评估出可能产生的经营风险和重大错报风险，或者就是发现了经营风险和重大错报风险，但又往往不知道如何确定总体应对措施以及设计和实施进一步审计程序。并且由于所收集的信息来源广泛，一些CPA往往不对也不懂对资料进行必要的分析和取合。

再一方面，一些CPA对在整体层面和业务流程层面对被审计单位内部控制应该分别了解的要求和内容缺乏清晰认识；还有一些CPA不知道究竟应该如何正确划分业务循环，不知道如何按照各业务循环对被审计单位业务流程层面的内部控制进行了解和评价，更有一些CPA即使面对了解到的在整体层面和业务流程层面对被审计单位可能产生重大错报风险的信息，但往往也不知道如何进行利用、分析、编制风险评估的工作底稿并指导后面的进一步审计程序。

(二)形式主义、敷衍应付

尽管一知半解，对风险评估程序无从下手，但大多数CPA还是勇敢“下手”了，那实际“下手”的情况究竟如何呢?

从笔者对一些CPA执行风险评估程序实际现场情况的调查发现，许多审计项目常常是前面的风险评估程序还没有完工，后面的进一步审计程序就已经收工。整个审计项目完成后，表面看，审计工作底稿似乎履行了风险评估程序，但实际上根本谈不上在评估审计风险的基础上去导向、指引后面的进一步审计程序，是典型的形式主义。

还有一些CPA，在先行完成了进一步审计程序后，为了使得工作底稿具备风险评估的内容，仅是在工作底稿归档前象征性地搞一些风险导向审计的内容，这本质上就是弄虚作假。一些CPA执行风险评估各阶段的审计程序常缺乏连贯性，工作底稿之间没有任何关联，了解的具体情况与风险评估之间、风险评估与应对措施之间往往总是严重脱节。底稿看似规范，但风险评估与进一步审计程序缺乏关联和衔接。更有部分CPA只是按照固定格式的风险评估的工作底稿填空，机械甚至麻木地在对被审计单位的调查表格上打钩、打叉，根本不理解并去真正了解和调查具体情况。

上述种种问题，从CPA自身角度分析，一方面是由于许多CPA对新准则没有能够完全学懂弄通，另一方面是因为我们的风险导向审计准则规定了风险评估审计程序必须实施，许多CPA在一知半解的情况下只好为了有风险评估的工作底稿而依样画葫芦，搞形式主义，敷衍应付，甚至弄虚作假。

三、解决风险评估审计程序执行问题的思路

(一)正确认识新审计准则的三大变化

笔者认为，首先要解决对新准则理解和认识上存在的问题。在老准则下，许多CPA已习惯于将被审计单位的会计账簿作为唯一的审计对象和审计范围，所实施的审计程序也是围绕会计账簿、凭证和会计处理方法等数据方面的内容，但必须注意的是，新准则下的审计对象、审计范围和审计程序发生很大变化：

1　审计对象的变化

新准则不仅包括对会计数据的审计，而且还包括对会计数据可能产生重大影响的所有信息的了解和评价，CPA要能够通过对相关信息的了解、评价来评估审计风险，并据此计划和实施相应的审计程序。由此可见，新准则已把审计对象主要由会计资料扩展到对被审计单位财务报表可能产生重大错报风险的所有相关的领域、信息或事项。

2　审计范围的变化

CPA要了解和评估被审计单位的重大错报风险，不能仅考虑被审计单位的内部情况，还应该分析被审计单位的外部因素，即要能够分析和评估与被审计单位经营有关的外部因素对被审计单位财务报表的影响。所以，CPA要改变以往仅把审计视角放在被审计单位内部的习惯，要把审计视角和审计范围扩大到被审计单位外部，要善于分析与被审计单位经营有关的各种外部因素，以适应执行新准则的需要。

3　审计方法和审计程序的变化

新准则不仅要实施传统的以制度为基础的审计方法和审计程序，而且还要把审

计方法和审计程序扩展为包括了解、评价、评估、分析和测试等凡是能够发现被审计单位财务报表可能产生重大错报风险的所有的审计方法和程序，即CPA不仅要懂得传统审计方法，而且更要学会和熟悉与各类信息打交道的了解、分析和评估等方法和程序。可见，在新准则下，CPA的审计方法和审计程序也由原来单一的、平面的初级版变成综合的、立体的高级版。

(二)从五大方面改变对新准则的认识和执行

1　要从思想根源上切实改变审计理念

CPA务必树立新的风险导向的审计理念在整个审计的全过程中’CPA都必须围绕着：“寻找审计风险一评估审计风险一如何降低审计风险一风险有无降低”的主线展开。

即CPA必须先寻找并评估其是否属于重大错报风险，在对被审计单位存在的重大错报风险正确判断的基础上，再针对评估出的重大错报风险实施相应的审计程序，且所实施的审计程序必须能够将审计风险降低至可接受的低水平。

可能有人要问，什么是审计风险?审计风险源自何处?笔者认为，我们CPA的审计风险从根源上讲，就源于被审计单位对财务报表可能存在的因错误或舞弊而产生的重大错报风险，如果CPA的审计不能发现这些风险或对这些风险不能获取合理的保证，就形成了我们CPA的审计风险。

2　审计全过程要始终重点关注四大风险

可能又有人要问，被审计单位的重大错报风险究竟由那些方面组成呢?笔者认为，CPA在围绕审计主线开展审计的全过程中，就要始终并时刻重点关注这以下四大重大错报风险。

一是被审计单位在生产经营过程中可能存在的经营风险(从企业所处的行业环境和企业整体进行分析)；

二是被审计单位在内部控制方面可能存在的内控风险(分别从内部控制的整体层面和业务流程层面分析)；

三是被审计单位可能存在的舞弊风险，特别是被审计单位管理层、治理层凌驾于内部控制之上的舞弊风险；

四是被审计单位财务报表可能存在的列报风险。

3　注意审计对象和审计范围的改变

CPA不仅要改变以往就账查账的老习惯，而且更要把审计范围、审计对象及审计视野扩展到会计账簿以外，扩展到可能给被审计单位财务报表产生重大错报风险的所有的相关领域、信息或事项，包括能够从被审计单位外部获取的各类信息和证据，应重视对被审计单位财务报表可能产生重大影响的内、外部的各种信息。

4　注意审计方法和审计程序的改变

CPA要把传统的以制度审计为基础的审计方法和审计程序扩展为了解、评价、评估、分析和测试等凡是能发现被审计单位财务报表可能产生重大错报风险的所有方式方法和程序，特别是要学会对大量非数据信息的了解、分析和评估，即要能够从被审计单位内部和外部获取的各种文字信息中评估出对被审计单位财务报表可能产生的重大影响，特别是可能产生经营风险和舞弊风险等重大影响的信息。

如何评估审计风险篇2

关键词：现代风险导向审计重大错报风险检查风险非抽样风险剩余风险

2005年9月2日至3日，由上海国家会计学院主办的“现代风险导向审计论坛”在上海国家会计学院隆重举行。财政部部长助理王军和中国注册会计师协会秘书长陈毓圭出席论坛并就我国审计准则发展的情况发表了演讲。五位来自美国、加拿大和英国的现代风险导向审计研究领域的权威教授和四大国际会计师事务所的合伙人分别做了主题演讲，并在论坛的最后共同回答了与会者的提问。400多名来自全国各地的注册会计师、会计师和专家学者出席了本次论坛。本次论坛深入探讨了现代风险导向审计的产生、发展过程，以及其在实际运用中的实施方法和可能遇到的问题，讨论了审计准则制定机构对现代风险导向审计方法的态度和认识。本次论坛对我国实行现代风险导向审计及“风险审计准则”的制定与实施有着积极的借鉴与指导意义。现将各专家的观点综述如下。

现代风险导向审计的发展是历史的必然

参加本次论坛的专家从各个角度阐述了现代风险导向审计产生和发展的历史必然性。

现代风险导向审计的开拓者??美国毕马威会计师事务所审计与鉴证研究中心主任Timothy B. Bell博士和伊利诺伊大学香槟分校会计系主任Ira Solomon教授认为：从现代审计的发展过程来看，风险评估的定位在财务报表审计中至少已经存在了100年，其中需要的职业判断是风险导向审计的灵魂。到20世纪30年代，涉及蓄意财务报表舞弊的麦克森？罗宾斯案件的发生导致了从账册与记录之外获得关于被审计公司“经营状态”的独立证据的需求。美国证监会（SEC）开始要求至少要验证应收账款和存货的账内信息与相关外部信息的一致性。但当时对被审企业经营情况的了解仅限于大致的状况，且只用于制定审计计划，并不构成审计证据的内容。20世纪中期，数学理论的发展使美国在审计方法上发生了重大变化。数理统计、概率论和分析性程序被普遍运用于审计方法之中。审计师为了识别和评估管理层经营陈述中固有风险的性质和程度，判断“内部核查”是否可以降低这些风险、如何降低风险以及风险降低的程度，开发了审计风险模型即：审计风险（AUR）＝重大错报风险（RMM）×检查风险（DR），其中，RMM又被分解为固有风险（IR）和控制风险（CR），IR与CR独立于审计而存在，需要审计师运用职业判断来评估。根据审计程序的性质，DR被进一步分解为分析性程序风险（AP）和详细测试风险（TD），审计风险模型由此演变为AUR=IR×CR×AP×TD，或TD=AUR/（IR×CR×AP）[1]，审计师可以据此来确定某项实质性详细测试所允许的误受风险，并根据概率法则使用公式计算样本规模，其中IR、CR和AP都被假设为是“已知的真实的”概率。随着统计抽样和审计风险模型的发展，DR又被分解为抽样风险（SR）和非抽样风险（NSR），其中“抽样风险”是指审计师依据抽样结果得出的结论与对审计对象总体执行同一审计程序所得到的结论不相符合的可能性；而“非抽样风险”是指因样本规模之外的其他因素导致审计师做出错误结论的可能性。详细测试的风险主要是由抽样产生，而IR、CR和AP的大小都是审计师的主观判断，属于非抽样风险。在20世纪的下半叶，对非抽样风险控制的不足成为了审计失败的主要因素。因此，现代风险导向审计的产生可以理解为：审计师需要有一个框架或者模型来帮助其在整个审计过程中对重大错报风险进行主观的评估，也就是帮助其更有效地控制非抽样风险。

Bell博士和Solomon教授同时还认为：20世纪80年代开始出现的大量舞弊案件和针对审计师的诉讼、审计市场的激烈竞争以及审计服务价格降低的压力等都迫使事务所为提高审计效率和质量而重构审计程序。企业的管理层也更加关注经营战略和经营模式的修正，关注核心竞争力和关键成功要素，关注经营环节执行中的优势及相关的经营风险。因而出现了多种经营分析和风险评估框架，如COSO，COCO、平衡记分卡、波特五力模型、全面质量管理、系统思想、竞争性战略、战略系统审计等等。这些工具和技术形成了早期现代风险导向审计的基础。审计师利用这些工具和技术去理解客户的价值和定位，理解客户面临的风险，以此增强对非抽样风险的控制，同时也为客户提供增值性的非审计业务。大型的会计师事务所在20世纪90年代中期都开始探索自己的风险审计方法或战略系统审计（SSA）框架，但各个事务所的名称各不相同。安达信称之为经营审计（Business Audit），安永称为审计创新（Audit Innovation），而毕马威称为经营计量程序（Business Measurement Process）。至今为止，这些方法仍在不断发展和完善之中，它们的名称和内容虽然并不完全相同，但本质都属于现代风险导向审计。

美国佛罗里达大学安永会计学教授W. Robert Knechel[2]认为：现代企业的业务越来越复杂，相应的审计环境也变得越来越复杂，传统的审计方法已难以发现企业资产的缺失，而现代风险导向审计的出现正是解决此类问题的一个工具。

加拿大滑铁卢大学的普华永道审计学教授W.M.Lemon[3]认为：从加拿大、英国和美国21家大型会计师事务所审计方法的调查研究中可以发现审计风险模型是20世纪80年代到90年代中期事务所最为重要的审计方法，通常称为“审计风险法”，或“自下而上的方法”。审计师关注的是财务报表的余额，对业务本身并不关注。而90年代中期，较大的会计师事务所都或多或少地开始扩展审计风险模型，通常称为“经营风险法”或“自上而下的方法”。审计师首先考虑的是客户所面临的战略风险，然后再看财务数据的正确性。经营风险法可以提高审计的有效性，使审计师对自己的审计结果有更大的把握和信心。同时，也适应了技术变革的需要。它不仅能够提高审计效率，还能帮助客户更好地实现公司治理。

英国曼彻斯特大学曼彻斯特商学院的毕马威会计学教授Stuart Turley[4]认为：现代风险导向审计可以被视为长期以来审计方法发展的必然结果，是一个继往开来、自然发展的进程。它是在原有方式方法上的发展，但并不是简单的线性关系，它具备了许多创新的内容，是对传统审计模式的扬弃。

现代风险导向审计的国际经验

现代风险导向审计在历史必然性和基本原则上得到了国际上的认同，但在实际运用中仍然存在差异。专家们分别阐述了实施现代风险导向审计的方法和程序，介绍了监管机构的相关规定，为我们如何建立和实施这一审计方法提供了极具价值的参考。

Turley教授认为：现代风险导向审计是一项重大的变革，监管者、客户和学者都在积极推动这一变革，但是目前对变革的解释各有不同，不同的企业、不同的事务所都有不同的模型。因此，从准则制定机构来看，就是要考虑如何把这一变革反映到准则当中，如何在准则中体现这些创新，并在制定准则之后保证它们得到执行。通过标准的制定，一方面可以统一对风险导向审计的认识，另一方面也可以促进各国机构与国际机构之间的合作，这需要通过与美国和国际会计准则委员会之间的密切合作来实现。国际审计准则应对这一变革的过程可以分为三个阶段。第一阶段是在美国、英国和加拿大设立一个联合工作组，并首先由英国专家调查研究审计方法的发展以及审计风险模型是否适应当前的情况。接着在三个国家开展了全面的调查研究和大量的研讨。2000年5月，联合工作组直接向国际审计与鉴证委员会提交了报告，提出了较高层次的、简要的建议，包括：在了解企业时要理解企业经营的风险；扩展了对经营风险重要性的认识；针对高层面控制的方法有所改变；要鼓励采取具体的措施来建立一个风险控制体系并测试这个体系的有效性；对不同来源的数据采取互相印证的方法。第二阶段，国际审计与鉴证准则委员会和美国的风险评估委员会设立了一个联合工作组，开始制定风险评估准则。这个工作小组所讨论的并不是具体的风险控制内容，而是整个风险管理的框架，主要是明确准则设立的背景与框架。第三阶段，颁布准则的征求意见稿。美国有三项准则在2002年10月开始征求意见，并于2003年10月正式，2004年12月15日起正式生效（对不同的公司按照新的准则进行运作有一定的宽限期，有些公司可能会有五十多个星期的宽限期）。国际审计与鉴证委员会也推出了新的准则，即ISA第315号“了解企业及其所处环境并评估重大错报风险”，要求对公司及其所处的环境有进一步的了解，并评估重大错报风险；ISA第330号“审计师应对已评定风险的程序”，要求审计师对评定风险有一个应对程序；ISA第500号“审计证据”，提出了新方法下审计证据的变化；以及已修订的ISA第200号“财务报表审计的目标和一般性原则”。准则制定机构认为，现代风险导向审计虽然是一个全新的审计模型，但并不代表完全抛弃以前的审计模型。实质上风险模型并没有发生重大的变化，只是进一步强调了风险与财务报表数字之间的联系。在准则里面只是提出一个方法，对于不同的公司还是要结合具体的情况来执行。准则中也定义了相关的一些新的概念。

英国的准则制定机构认为：国际审计准则机构已制定了风险审计准则，与制定单独的英国准则相比，采用国际审计准则更容易更实用；英国本身也是新国际审计准则制定的发起者；欧盟很有可能在新的指令中要求所有的成员国采用国际审计准则。鉴于此，英国准则制定机构在2004年5月份宣布计划采纳所有的国际审计准则，10月份即完成了该计划过程，并自2004年12月15日开始全面采纳国际审计准则。其具体做法是对国际审计准则加以补充，使英国目前采用的国际审计准则既能反映国际审计准则的变化，也能反映英国审计实务的变化。英国准则制定机构期望通过实施国际审计准则，从而对将来的国际审计准则的制定与修订施加更有效的影响。

从美国监管机构的角度来看：安然、世通和帕马拉特等案例的产生导致了社会对整个市场信誉度的极大怀疑，使社会更加关注审计行业，也引发了对财务报告在透明度、职业道德和诚实性方面更高的要求。同时也要求监管机构提高审计的“最低”标准。美国的众议院和参议院都表示要通过立法对以前未加监管的内容加强监管。在此背景下，美国以罕见的高效率通过了索克斯法案（SOX ACT）。根据SOX法案，成立了公众公司会计监管委员会（PCAOB）。PCAOB所做的首要事情就是进一步明确了“合理保证”的含义，明确指出“合理保证”就是“高可靠度的保证”。同时，要求对内部控制进行审计，审计的职业怀疑要从中立转向“设定怀疑”，审计人员要“更尽责地发现管理舞弊”。SOX法案全面地影响到了审计的出处、有效性、以及风险评估等各个方面。

加拿大的审计准则制定机构——审计与鉴证委员会（AASB）则是通过审计与鉴证准则的国际协调来消除加拿大准则与国际准则之间以及加拿大准则与美国准则之间不应存在的差异。在国际审计准则制定了一系列调整审计风险模型的准则之后，AASB也相应地进行了准则的协调。其颁布的准则第5095节“合理鉴证与审计风险”就是与ISA第200号的协调，第5141节“了解公司及其所处环境并评估重大错报的风险”是与ISA第315号的协调，第5143节“审计人员应对已评定风险的程序”是与ISA第330号的协调。此外，为了与ISA协调，对涉及重要性水平和审计证据的准则部分也进行了大量的修改。

从具体的审计方法来看，Bell和Solomon教授认为：要满足社会提出的更高鉴证的要求，审计师对重大错报风险（RMM）、重大缺陷风险（RMW）和检查风险（DR）的评估应建立在充分合理的信念基础上。审计师应当能够具体解释为什么该审计判断是合理的和如何使审计判断能被证明合理。一个有效的策略是从多角度和使用多种来源的证据来确认和估计审计风险，即三方印证（triangulation）。来自于企业经营状态（EBS）的独立审计证据对审计师估计由于管理人员欺诈而产生的RMW， RMM 和DR 尤其重要。谨慎的审计师会使用三方印证来建立充分合理的审计判断以降低难以控制的非抽样风险（见图1－略）。

21世纪的审计是证据驱动的、基于判断的风险评估过程。所有的审计程序都会生成证据来帮助审计师提高对RMW和RMM评估的准确性，有助于评估和控制检查风险。风险评估过程是一个循环递推的过程，需要反复评估和获得反馈，直到审计师的目标实现即建立充分合理的判断（见图2－略）。

图2是毕马威会计师事务所（KPMG）根据以上概念在全球范围内实施现代风险导向审计方法的框架。该框架直观地表明了现代风险导向审计中审计证据来自于企业经营状态（EBS）、管理信息中介（MII）和管理层经营陈述（MBR）。所有的证据都要从报表、交易和个别认定三个层面来评估重大错报风险、重大缺陷风险和检查风险。而且，这个评估过程是在整个审计工作流程中不断循环递推的，直至实现审计目标。该审计过程就是一个评估重大缺陷风险、重大错报风险和检查风险的循环递推过程，而且在整个过程中，审计师还必须负责检查管理层舞弊的风险。

Knechel教授认为：现代风险导向审计方法应由两个部分组成，即风险的评估和根据风险评估证据确定用什么样的测试来获得我们需要的证据。其风险评估的流程见图3（略）。该流程分为三个主要的步骤，即战略分析、环节分析和剩余风险的分析。战略分析通常是指了解企业与外部的经济联系，包括顾客、供应商、战略合作伙伴、竞争对手等机构和人员以及所处的位置环境等等。这些因素一旦和企业进行互动，就会带来潜在的风险。战略分析就是要分析这些风险会引出哪些要素，而环节分析就是从企业的内部分析战略风险在内部有哪些体现和反映。剩余风险的分析是根据前面分析得出的风险，看企业有什么样的风险防范措施，有什么样的控制指标。那些没有得到有效控制的风险就是所谓的剩余风险。

剩余风险可能会有五个方面的影响（但并不是每个剩余风险一定会有五个方面的影响），即：（1）理解企业的财务预期。这可以告诉我们如何做好分析性程序。（2）理解企业的内部控制环境。通过剩余风险可以理解管理层的压力在哪里，面临什么样的压力，怎么来控制这个风险。（3）信息风险。就是理解其对财务报表数据的影响、对认定层面的影响。（4）企业生存能力。理解企业是否能够持续经营，是否有舞弊风险。（5）业绩提升。针对风险可以向客户提出改进的建议。

Lemon教授认为：现代风险导向审计方法是对现有审计方法中了解公司状况这一观念的发挥和发展，其审计框架主要包括以下五个方面：（1）评估公司的经营风险；（2）了解公司的经营活动；（3）理解公司关键经营环节；（4）与公司管理层的观点相协调；（5）如审计风险法一样评估重要性水平及风险。该方法要求合伙人和项目经理更多更深入地参与到审计活动当中，从事先规划阶段就要参与到项目中，而不只是事后监控，要自始至终负起责任。

我国实施现代风险导向审计的难点与对策

现代风险导向审计不仅在具体方法或框架方面有不同的内容和争议，在具体实施过程中也面临着诸多困难，专家们在论坛的最后集中回答了针对这些困难的应对方法。

1.如何让事务所和社会公众理解和接受新的风险审计准则和方法。

专家们认为，应对这两方面问题的关键都在于对新审计准则和方法的宣传与培训。对审计人员的培训不仅应该包括风险审计准则的要求，还应包括审计小组人员配备、风险评估技术、新进员工培训等相关内容。对社会公众而言，审计职业应该积极地管理公众的预期，尽可能地使社会公众了解财务报表审计不是舞弊审计，审计师只是对财务报表提供高可靠性的保证，但并不是专门追查舞弊。审计人员必须提高审计质量以适应企业管理发展变化的需求，而审计质量的提高必然伴随审计费用的增加，这反映的是审计对整个社会的价值，人们必须对此进行综合的衡量。

2.新审计方法应如何确定风险的范围、如何将风险和财务报表数字联系起来、如何引入新的证据来源。

专家们认为：要求审计人员识别的审计风险范围的大小与审计师的责任直接相关。因此，要考虑国家法律对审计责任的要求和国家的诉讼环境。审计师必须把现代风险导向审计和传统的审计综合到一起，以减少审计风险，但是最重要的还是要保证审计质量。风险和财务报表的联系实际上是一个成本和效率的问题。从实际操作来看，应当尽快地找到经营风险过程当中与财务报表有关的部分，而不是把所有的经营风险全部追查下去。在具体实施过程中应在所有的审计阶段都实施风险评估程序，将评估的风险与可能发生的错报相联系，不得不经过风险评估直接将风险设定为高水平，识别和评估的风险还要与实施的程序挂钩。新的审计方法所获得的证据很多都是定性的而不是定量的证据，无论评估的重大错报风险结果如何，都应针对重大的各类交易、账户余额、列报和披露实施实质性的程序。识别评估和应对风险的关键程序都应形成审计工作记录，以保证执业质量和明确职业责任。

3.如何应对新审计方法下审计成本的普遍上升。

Turley教授的调研表明：一开始转换审计的成本非常高，但是这个成本可以在以后逐渐消化。现代风险导向审计并不是最昂贵的审计。如果不进行风险分析，只进行详细测试，详细测试就会缺乏合理的基础。审计成本的增加并不是因为方法的改变，而是由于审计环境的发展导致审计目标的发展，最终导致了审计责任的增加。

如何评估审计风险篇3

摘要本文从风险导向审计的定义、流程及实施信贷业务风险导向审计的必要性出发，初步探讨了如何实施新疆农村信用社信贷业务风险导向审计，以及具体实践中的难点及对策。

关键词新疆农村信用社信贷业务风险导向审计

一、风险导向审计

风险导向审计是指以被审计单位的风险评估为基础，综合分析评审影响被审计单位经济活动的各因素，并根据量化风险水平确定实施审计的范围和重点，从而进行实质性审查的一种审计方法。

风险导向审计适应了现代社会高风险的特性，针对不同风险因素采取相应的审计策略,将有限的审计资源集中在高风险领域，合理配置审计资源，以提高审计效率和效果。

二、风险导向审计流程

风险导向模式下的审计流程模式为:首先实施风险评估程序,了解被审计单位及其所处环境(包括内部控制)，初步评估风险程度及确定重要性水平;其次,在审计需要时实施控制测试,进一步评估确认重大差异或缺陷风险;最后,开展实质性测试,发现重大差异,将检查风险降至可接受水平。

传统审计最大的缺陷在于对风险评估不到位，未能有效发现高风险审计领域，造成审计过量或审计不足。风险导向审计加强了风险评估程序，实现了由内控测试到风险评估的转变，风险评估的结果决定了审计人员需要关注的高风险审计领域和重点审计项目、审计资源的分配、审计证据的性质和数量。

三、实施信贷业务风险导向审计的必要性

信贷业务是新疆农村信用社的主要经营业务,信贷资产质量的好坏直接影响到信用社的生存与发展，如何通过信贷审计加强和提高信贷风险防控也是信用社内部审计积极探讨和深入研究的重要课题。新疆南北疆经济发展不均衡，北疆的业务发展速度、规模远远超出南疆，信贷管理水平也层次不齐，客观上也要求内部审计要区别对待。自治区联社内审人员少,审计单位多，信贷审计必须做到“重点突出、针对性强”，实施信贷业务风险导向审计则尤为必要。

四、如何实施信贷业务风险导向审计

信贷业务采用风险导向模式,一是应对新疆84家县(市)联社进行风险评估,确定重点审计对象;二是应关注重大风险,突出审计重点，如大额贷款重点审计合规性,小额贷款重点审计真实性，以降低审计成本，提高审计效率；三是延伸审计内涵,应对贷款投向、贷款风险和损失进行分析研究，揭示信贷业务的发展方向，促进新疆农村信用社信贷业务的健康持续发展。

（一）开展风险评估，初步确定风险程度及重要性水平

1.可采用调查表、个别谈话等方式，初步分析内外部环境对信贷管理产生的风险因素及影响。外部环境的调点包括：国内经济环境影响、农业政策变化、县域经济发展战略、县域经济发展总量及耕地面积引发的风险因素；县域的信用环境、法律环境的影响因素；银行监管举措的变化而产生的影响因素等。内部环境的调点包括：信用社的经营策略、管理架构；管理层核心力及管理驾驭能力；信贷管理的经营风险；制度执行力及流程再造能力；高管人员交流情况；管理层权限分工及勤勉尽责情况；内外部监督力度及处罚情况；整改机制的建立及执行情况；案件发生情况等。

2.实施风险评估。可利用环境调查结果，同时采用询问、查阅、观察、检查等方法从以下几方面开展风险评估，评估重大差异或缺陷风险。对于评估得分在85分（含）以上的，风险程度设定为低，对于评估得分在70（含）-85分的，风险程度设定为中，对于评估得分在70分以下的，风险程度设定为高。对风险程度高的，必须重点关注，可采取“加强检查频次、扩大审计范围”的审计策略具体实施。

3.根据风险评估结果，确定重要性水平。重要性，是指被审计单位经营活动及内部控制中存在偏离特定目标的差异或缺陷的严重程度。审计人员需将风险评估结果转化为审计策略，确定审计事项的重要性水平，合理配置审计资源，降低审计风险。新疆农村信用社信贷审计事项包括贷款、票据、抵债资产。

（二）开展控制测试程序

控制测试是在风险评估的基础上，审计人员对内部控制水平的判断。如果风险程度较低，则需要进行必要的控制测试，收集有效的证据来支持较低控制风险的判断；如果风险程度较高，可直接进入实质性测试。控制测试可采用检查、询问、分析和观察、穿行测试等。

1.检查。调阅贷审会、信贷授权、贷款利率定价、岗位职责、信贷审批流程、贷款新业务办理等资料，检查信贷内部管理（制度）是否健全有效、利率定价是否合规、流程设计是否存在风险隐患、新业务品种开办是否合法合规等。

2.询问、观察。对管理层及相关人员进行询问，并观察业务操作流程，如各岗位的办理过程、资料的传递、信贷档案的管理等，查看是否与规定、询问结果一致。

3.分析。调阅业务状况表、五级分类信息数据，与经营计划比较、与上年度贷款数据进行趋势比较，与本地农业经济发展规模比较，分析贷款业务发展的速度是否正常合理等。

4.穿行测试。选择样本进行穿行测试，样本的选择需要与表2重要性水平表密切结合，对于重要性水平中以上的审计事项均应选取适量样本。通过查看信贷资料及控制执行情况，确定业务流程与相关控制是否与前述程序获得的信息一致，是否存在重大执行偏差。

执行上述程序后，如果设计及执行偏差较小，则可确定控制风险较低，下一步进行实质性程序范围可缩小；如果设计及执行偏差均较大，则可确定控制风险较高，需采取更多的实质性程序。

（三）开展实质性测试程序

如何评估审计风险篇4

审计模式是审计目标、范围和等要素的有机组合，它回答了审计应从哪里下手、怎样着手进行审计以及进行审计的时间等。随着的，审计模式也逐渐发生着变化。根据审计切入点的不同，审计模式大致可以划分为三种:账项导向模式、制度导向模式与风险导向模式。

一、风险导向审计模式

风险导向审计模式是在制度导向审计模式存在明显不足、适应不了社会公众对审计的要求的基础上发展起来的。风险导向审计立足于对审计风险的系统分析与评估，并以此为出发点，制定审计策略，编制与状况相适应的多样化审计计划，使审计能在源头上把握被审计单位发生舞弊及错误的可能性。风险导向审计模式在经过多年的发展后，又大致可以细分为三种类型:传统风险导向模式、风险基础战略系统模式以及改良风险导向模式。

(一)传统风险导向审计模式

所谓传统风险导向模式实质上是发展了的制度导向模式，它只是在制度导向模式中引入了风险测试，提出了从风险点切入的审计策略，建立了审计风险模型对风险进行量化测试，但是它并没有改变制度导向模式下自下而上的从交易项目报表测试综合成审计结论的审计方向，而且其固定风险的量化测试具有很强的主观性，而不是相对客观的量化方式。

(二)风险基础战略系统模式

风险基础战略系统模式依据系统论的观点从分析企业的经营模式出发，自上而下地理解企业内外部经营环境，并且从战略风险评估，业绩计量等方面来评价审计风险。该审计模式从上讲，比传统的风险导向审计模式要更为，但它更多的职能体现在逻辑思维上。在实际操作中，这种审计模式给注册会计师迁就管理层留下了更多的空间，偏向于做出有利于管理层的判断，甚至会为某些独立性较差的注册会计师有意减少实质性测试提供冠冕堂皇的借口。

(三)改良风险导向审计模式

改良风险导向审计模式摈弃了无利害关系假说，它建立在合理的职业怀疑态度假设的基础上，要求注册会计师牢记会计师事务所作为一个为包括广大投资者和债权人在内的社会公众服务的具有专业性及公共性的服务机构，应秉承为社会公众服务的宗旨，在计划和执行审计时，不做任何预先判断，只有在收集了充分适当的审计证据后才做出合理恰当的审计结论。同时，改良后的风险导向审计模式重新考虑了固有风险和控制风险的不可分割性，以及在实际操作中的便利性，重新构建了审计风险模型，将原来的固有风险和检查风险合并为重大错报风险，要求注册会计师将审计起点定位在围绕评估重大错报风险来设计和计划审计程序，并在整个审计过程中密切关注财务报表的重大错报风险，将风险评估作为整个审计工作的基础、前提和先导。

二、我国旧审计准则体系的审计模式分析

我国旧审计准则体系是建立在何种审计模式上的?有人认为我国旧的审计准则体系是建立在制度导向审计模式上的，也有专家认为我国旧的审计准则体系是建立在风险导向模式上的。笔者认为我国旧的审计准则体系是建立在传统风险导向审计模式基础上的。

首先，我国旧审计准则体系使用的是“内部控制制度”的概念，内部控制的构成采用了内部控制结构的三分法，并沿用了制度导向审计模式下的两种测试方法——符合性测试和实质性测试。由此，有些学者认为我国的独立审计准则至少是建立在制度基础审计基础之上的，但是由上述的分析中可知，传统的风险导向审计模式本身就是从制度导向审计模式发展而来的，当然会具有制度导向审计模式的一些基本特征。我们不能因为旧的审计准则体系具有制度导向审计模式的某些特征而认定它就是建立在制度导向审计模式基础上的。

其次，我国旧审计准则体系虽然对审计风险及其三要素做了概念性的解释，并给出了风险模型，对其评估也做了指导性的描述，但是基本上还处于定性分析阶段，对如何确定可接受的审计风险水平，固有风险、控制风险如何予以量化，如何将量化的检查风险于审计实务中等，都没有提出可操作性的意见或建议，这些都符合我们前面所述的传统风险导向审计模式的基本特点。

最后，我国旧审计准则体系下的具体审计准则在不同程度上引入了风险导向审计模式下的审计程序，体现了传统风险导向审计的部分思想。比如《独立审计准则第9号——内部控制与审计风险》规定:注册会计师应当保持应有的职业谨慎，合理运用专业判断，对审计风险进行评估，制定并实施相应的审计程序，以将审计风险降低至可接受的水平;《独立审计准则第11号——分析性复核》规定:注册会计师应当合理运用专业判断，确定分析性复核程序的运用方式及程度，将检查风险降低至可接受的水平。

总之，我国旧的审计准则体系无论从其整体的审计思想还是从其具体审计准则而言都体现了传统风险导向审计的基本特点。因此，笔者认为将我国旧的审计准则体系的审计模式基础归结为传统风险导向审计模式恰当而又中肯。

三、我国新审计准则体系的审计模式

2006年2月15日，财政部颁布了48项新制定或修订的独立审计准则，标志着我国新审计准则体系的形成。下面用一个简要的图表来概括我国新审计准则体系的框架。

我国新建立的审计准则体系是基于何种审计模式下的呢?由上面的框架中可知“注册师审计准则”下将“风险评估以及风险的应对”单列一组，这充分表明我国新审计准则体系的建立基于改良的风险导向审计模式。

(一)《计划审计工作》准则中体现的改良风险导向审计模式

第九条规定注册会计师制定的总体审计策略中应该考虑审计业务的重要因素，包括初步识别可能存在重大错报风险的领域等。第十条特别强调在总体审计策略中要说明具体审计领域调配的资源，包括向高风险领域分派有适当经验的项目成员及对高风险领域安排的审计时间预算等并要求注册会计师根据风险评估程序的完成情况对上述内容予以调整。第十九条指出注册会计师对项目组成员工作的指导、监督与复核的性质、时间和范围取决于重大错报风险等因素。

从中可以发现，新准则体系中对风险的强调开始集中于重大错报风险概念，摈弃了原来的固定风险概念，这充分体现了改良风险导向审计模式的特点。

(二)《了解被审计单位及其环境并评估重大错报风险》准则中体现的改良风险导向审计模式

第一，从制定本准则的目的来看。准则第一条就明确提出制定本准则的目的是为了规范注册会计师在财务报表审计中了解被审计单位及其环境，识别和评估财务报表重大错报风险。

第二，从准则规定的具体审计程序上看。准则在第六条列示了注册会计师应当实施的风险评估程序，明确要求注册会计师应该通过实施这一系列的审计程序来了解被审计单位及其环境。第七条还要求注册会计师应当扩大询问对象，以获取对识别重大错报风险有用的信息。第十一条提醒注册会计师要考虑在承接客户或续约过程中获取的信息以及向被审计单位提供其他服务所获得的经验是否有助于识别重大错报风险。准则还要求注册会计师组织项目组成员对财务报表存在重大错报的可能性进行讨论，了解被审计单位的内部控制以识别潜在错报的类型，考虑导致重大错报风险的因素，以及设计和实施进一步审计程序的性质、时间和范围。

在实施风险评估程序后，该准则还要求注册会计师必须评估重大错报风险，包括报表层次和认定层次的重大错报风险，同时必须将识别的风险与认定层次可能发生的错误相联系，并考虑风险的重大性和发生的可能性。准则特别强调了注册会计师与治理层和管理层的沟通，要求注册会计师及时将其注意到的内部控制设计或执行方面的重大缺陷告知适当级别的管理层或治理层。

另外值得特别提出的是，在准则中，第四章第一节内容对内部控制的内涵与要素作了明确规定，指明了内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法规的遵循，由治理层、管理层和其他人员设计和执行的政策与程序，内部控制要素也由原来的三要素论扩展为五要素论。这基本上是采用了美国COSO对内部控制的定义及其对内部控制要素的分类。

纵观整个准则，与旧的审计准则相比较，该准则的可操作性更强、对风险评估程序有了较为明确的规定，对注册会计师审计实务工作的指导性也更强。这也充分体现了改良风险导向审计模式的可操作性特点。

(三)《注册会计师针对评估风险应实施的程序》准则中体现的改良风险导向审计模式

如何评估审计风险篇5

审计模式是审计目标、范围和等要素的有机组合,它回答了审计应从哪里下手、怎样着手进行审计以及进行审计的时间等。随着的,审计模式也逐渐发生着变化。根据审计切入点的不同,审计模式大致可以划分为三种:账项导向模式、制度导向模式与风险导向模式。

一、风险导向审计模式

风险导向审计模式是在制度导向审计模式存在明显不足、适应不了社会公众对审计的要求的基础上发展起来的。风险导向审计立足于对审计风险的系统分析与评估,并以此为出发点,制定审计策略,编制与状况相适应的多样化审计计划,使审计能在源头上把握被审计单位发生舞弊及错误的可能性。风险导向审计模式在经过多年的发展后,又大致可以细分为三种类型:传统风险导向模式、风险基础战略系统模式以及改良风险导向模式。

(一)传统风险导向审计模式

所谓传统风险导向模式实质上是发展了的制度导向模式,它只是在制度导向模式中引入了风险测试,提出了从风险点切入的审计策略,建立了审计风险模型对风险进行量化测试,但是它并没有改变制度导向模式下自下而上的从交易项目报表测试综合成审计结论的审计方向,而且其固定风险的量化测试具有很强的主观性,而不是相对客观的量化方式。

(二)风险基础战略系统模式

风险基础战略系统模式依据系统论的观点从分析企业的经营模式出发,自上而下地理解企业内外部经营环境,并且从战略风险评估,业绩计量等方面来评价审计风险。该审计模式从上讲,比传统的风险导向审计模式要更为,但它更多的职能体现在逻辑思维上。在实际操作中,这种审计模式给注册会计师迁就管理层留下了更多的空间,偏向于做出有利于管理层的判断,甚至会为某些独立性较差的注册会计师有意减少实质性测试提供冠冕堂皇的借口。

(三)改良风险导向审计模式

改良风险导向审计模式摈弃了无利害关系假说,它建立在合理的职业怀疑态度假设的基础上,要求注册会计师牢记会计师事务所作为一个为包括广大投资者和债权人在内的社会公众服务的具有专业性及公共性的服务机构,应秉承为社会公众服务的宗旨,在计划和执行审计时,不做任何预先判断,只有在收集了充分适当的审计证据后才做出合理恰当的审计结论。同时,改良后的风险导向审计模式重新考虑了固有风险和控制风险的不可分割性,以及在实际操作中的便利性,重新构建了审计风险模型,将原来的固有风险和检查风险合并为重大错报风险,要求注册会计师将审计起点定位在围绕评估重大错报风险来设计和计划审计程序,并在整个审计过程中密切关注财务报表的重大错报风险,将风险评估作为整个审计工作的基础、前提和先导。

二、我国旧审计准则体系的审计模式分析

我国旧审计准则体系是建立在何种审计模式上的?有人认为我国旧的审计准则体系是建立在制度导向审计模式上的,也有专家认为我国旧的审计准则体系是建立在风险导向模式上的。笔者认为我国旧的审计准则体系是建立在传统风险导向审计模式基础上的。

首先,我国旧审计准则体系使用的是“内部控制制度”的概念,内部控制的构成采用了内部控制结构的三分法,并沿用了制度导向审计模式下的两种测试方法——符合性测试和实质性测试。由此,有些学者认为我国的独立审计准则至少是建立在制度基础审计基础之上的,但是由上述的分析中可知,传统的风险导向审计模式本身就是从制度导向审计模式发展而来的,当然会具有制度导向审计模式的一些基本特征。我们不能因为旧的审计准则体系具有制度导向审计模式的某些特征而认定它就是建立在制度导向审计模式基础上的。

其次,我国旧审计准则体系虽然对审计风险及其三要素做了概念性的解释,并给出了风险模型,对其评估也做了指导性的描述,但是基本上还处于定性分析阶段,对如何确定可接受的审计风险水平,固有风险、控制风险如何予以量化,如何将量化的检查风险于审计实务中等,都没有提出可操作性的意见或建议,这些都符合我们前面所述的传统风险导向审计模式的基本特点。

最后,我国旧审计准则体系下的具体审计准则在不同程度上引入了风险导向审计模式下的审计程序,体现了传统风险导向审计的部分思想。比如《独立审计准则第9号——内部控制与审计风险》规定:注册会计师应当保持应有的职业谨慎,合理运用专业判断,对审计风险进行评估,制定并实施相应的审计程序,以将审计风险降低至可接受的水平;《独立审计准则第11号——分析性复核》规定:注册会计师应当合理运用专业判断,确定分析性复核程序的运用方式及程度,将检查风险降低至可接受的水平。

总之,我国旧的审计准则体系无论从其整体的审计思想还是从其具体审计准则而言都体现了传统风险导向审计的基本特点。因此,笔者认为将我国旧的审计准则体系的审计模式基础归结为传统风险导向审计模式恰当而又中肯。

三、我国新审计准则体系的审计模式

2006年2月15日,财政部颁布了48项新制定或修订的独立审计准则,标志着我国新审计准则体系的形成。下面用一个简要的图表来概括我国新审计准则体系的框架。

我国新建立的审计准则体系是基于何种审计模式下的呢?由上面的框架中可知“注册师审计准则”下将“风险评估以及风险的应对”单列一组,这充分表明我国新审计准则体系的建立基于改良的风险导向审计模式。

(一)《计划审计工作》准则中体现的改良风险导向审计模式

第九条规定注册会计师制定的总体审计策略中应该考虑审计业务的重要因素,包括初步识别可能存在重大错报风险的领域等。第十条特别强调在总体审计策略中要说明具体审计领域调配的资源,包括向高风险领域分派有适当经验的项目成员及对高风险领域安排的审计时间预算等并要求注册会计师根据风险评估程序的完成情况对上述内容予以调整。第十九条指出注册会计师对项目组成员工作的指导、监督与复核的性质、时间和范围取决于重大错报风险等因素。

从中可以发现,新准则体系中对风险的强调开始集中于重大错报风险概念,摈弃了原来的固定风险概念,这充分体现了改良风险导向审计模式的特点。

(二)《了解被审计单位及其环境并评估重大错报风险》准则中体现的改良风险导向审计模式

第一,从制定本准则的目的来看。准则第一条就明确提出制定本准则的目的是为了规范注册会计师在财务报表审计中了解被审计单位及其环境,识别和评估财务报表重大错报风险。

第二,从准则规定的具体审计程序上看。准则在第六条列示了注册会计师应当实施的风险评估程序,明确要求注册会计师应该通过实施这一系列的审计程序来了解被审计单位及其环境。第七条还要求注册会计师应当扩大询问对象,以获取对识别重大错报风险有用的信息。第十一条提醒注册会计师要考虑在承接客户或续约过程中获取的信息以及向被审计单位提供其他服务所获得的经验是否有助于识别重大错报风险。准则还要求注册会计师组织项目组成员对财务报表存在重大错报的可能性进行讨论,了解被审计单位的内部控制以识别潜在错报的类型,考虑导致重大错报风险的因素,以及设计和实施进一步审计程序的性质、时间和范围。

在实施风险评估程序后,该准则还要求注册会计师必须评估重大错报风险,包括报表层次和认定层次的重大错报风险,同时必须将识别的风险与认定层次可能发生的错误相联系,并考虑风险的重大性和发生的可能性。准则特别强调了注册会计师与治理层和管理层的沟通,要求注册会计师及时将其注意到的内部控制设计或执行方面的重大缺陷告知适当级别的管理层或治理层。

另外值得特别提出的是,在准则中,第四章第一节内容对内部控制的内涵与要素作了明确规定,指明了内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法规的遵循,由治理层、管理层和其他人员设计和执行的政策与程序,内部控制要素也由原来的三要素论扩展为五要素论。这基本上是采用了美国COSO对内部控制的定义及其对内部控制要素的分类。

纵观整个准则,与旧的审计准则相比较,该准则的可操作性更强、对风险评估程序有了较为明确的规定,对注册会计师审计实务工作的指导性也更强。这也充分体现了改良风险导向审计模式的可操作性特点。

(三)《注册会计师针对评估风险应实施的程序》准则中体现的改良风险导向审计模式

如何评估审计风险篇6

[关键词] 审计计划；风险导向

素有企业“内部警察”之称的内部审计已随着企业集团化、业务流程复杂化的发展趋势，从传统的内部审计发展到风险导向审计阶段，在实践中笔者也深深体会到以风险评估为基础制订的年度审计计划在风险导向型审计中所起的作用越来越大，但是如何进行审计计划的风险评估目前无论在国内还是国外都没有广为认可的模型可供参考。笔者结合实践尝试，提出风险诱因评估和审计范围框架体系的搭建模式两种可供应用的方法向读者推荐。

1、风险导向审计的内涵

风险导向审计是指内审人员在审计过程中自始至终都以企业风险分析评估为导向，根据量化的风险估值水平排定审计项目优先次序，依据风险确定审计范围与重点，对企业的风险管理、内部控制和治理程序进行评价，进而提出建设性意见和建议，协助企业管理风险，实现企业价值增值的独立、客观的鉴证和咨询活动。

与传统审计相比，风险导向审计在确定审计范围、审计内容以及审计时间安排上更能接近企业的组织目标，站得更高，看得更远，企业的战略目标、企业的内外部环境均纳入风险导向审计视野。

2、为什么要应用风险导向理念制订年度审计计划

所谓审计计划风险诱因评估是指在制订审计计划之前，对影响审计计划编制的风险因素进行辨识、分析和评价，以利用审计人员依据评估结果制订科学合理的审计计划。

《礼记·中庸》曰：凡事预则立，不预则废。内部审计工作同样如此。科学合理的年度审计计划是开展全年内部审计工作的基础，也是充分发挥有限的审计资源，提高审计效率和效益的重要方法。但当前审计领域不断扩大，任务空前饱满，企业内部审计人员明显不足。这就需要内部审计在制定审计计划时，要优先考虑风险较严重的领域，将有限的审计资源（包括审计人员及审计时间）用于最需要的审计项目，才能实现审计资源效用的最大化，最大程度促进组织目标的实现。

中国内部审计协会《内部审计具体准则第1号——审计计划》第八条中“内部审计机构负责人负责年度审计计划的制订工作。由于年度审计计划是对内部审计机构未来年度审计任务的整体规划，因此需要内部审计机构负责人在全盘考虑组织风险、管理需要及内部审计资源的基础上进行规划。”

此外，国内外监管机构都对审计计划的风险评估都提出了明确的要求。从国际看，国际内部审计师协会《工作标准》第2010条明确提出：“首席审计执行官应根据风险制订审计计划”；从国内看，《中国内部审计准则——基本准则》第11条明确要求：内部审计人员应在考虑组织风险、管理需要及审计资源的基础上，制订审计计划，对审计工作做出合理安排。

3、如何在年度审计计划中应用风险导向理念

应用风险导向理念，科学合理地制订年度审计计划，笔者认为主要可遵循如下步骤：

3.1划分业务流程

要想制订科学合理的年度审计计划，首先要依据企业特点，正确划分管理机制及业务流程。以通信企业为例，结合生产经营特点，可以将所有业务划分为三大方面七项流程十项管理机制：

策略与监察管理机制：包括企业策略管理机制、企业管治（含审计与监察）机制、企业文化管理机制、品牌策略管理机制、研发管理机制、投资（并购与剥离）管理机制、法律与合规管理机制。

核心业务流程：包括市场推广及销售流程、客户服务流程、收入保障流程、新产品开发流程、网络规划和建设流程、采购及物流管理流程、网络管理及操作流程。

资源管理机制：包括人力资源管理机制、财务管理机制、信息技术管理机制。

根据企业实际情况各流程下可细分子流程：比如，市场推广及销售流程可细分为市场资费制定、渠道费用管理、计费管理等子流程。

3.2确定可审计对象，进行多维度、多角度分析，搭建审计范围框架体系

可审计对象是指值得审计事项与关注点，涉及内部审计人员对企业业务流程的职业判断，并基于一定风险考量基础。《内部审计标准说明》（S1AS）建议了10种可选择标准，主要有以下几类：

（1）按业务循环划分审计对象。企业内的各类组织通常被看做是由营销和销售、存货管理、资本性采购、人事薪金、采购和付款五种业务循环高度结合的系统。将组织简化为这五种业务循环，审计师就可以对范围较大的关联活动进行系统的检查。

（2）按职能部门划分审计对象。职能活动具有综合性，与内部控制有明显的重要联系。按职能部门划分审计对象，其结果与传统组织的组织结构相符合，便于操作和理解。一般服务业的职能部门包括营销、财务、管理、会计、人事、设备管理以及从事特定服务的部门。零售业存在采购和存货管理部门。制造业还包括制造职能。

（3）按项目划分审计对象。企业进行的各类经济活动，有时是按项目进行的，如基建项目、基础研究项目、产品开发项目等。按项目划分审计对象可能难以覆盖整个企业的经营活动，但按这种划分方式对重大项目进行绩效审计，常常能明显的为企业增添价值。

（4）按决策中心划分审计对象。这种划分方式与责任会计体现的思想一致，按权责利相互对应的原则将企业划分为成本中心、利润中心、投资中心，分别确认审计对象。想以组织中较大规模的部分作为审计对象，可以按决策中心划分。

（5）按地理位置划分审计对象。跨地区的大型企业，其内部组织分布的地域广。将地理位置临近的组织归集到一起作为审计对象，能方便审计工作，节省工作中的差旅费。按地理位置划分审计对象的方法也可以适用于地域跨度小的企业，譬如将各办公楼和各大楼中的不同分部、部门，按其楼层进行划分。这种标准过于简单，往往要与其他因素结合考虑。

（6）按会计系统划分审计对象。开展资产负债表审计、损益表审计时，是按财务报表的种类划分审计对象。内部审计可以针对总账、应收账款、应付账款、工资账等进行专项审计。因此，按会计系统划分审计对象也不失为一种思路。

3.3开展审计风险诱因评估及数据分析、制订年度审计计划。审计风险诱因，是直接影响风险程度的因素，通常是由于公司架构、人员、经营活动、技术或财务结果的变化而导致的。包括：基础架构稳定性/变化频率、地理因素、经营规模（收入水平、交易量、业务量）、业务及系统的复杂程度、合规要求、资产安全因素、对外部客户满意度、企业运营目标或公司业务模式的影响、外部合作/外包业务等以及一些重要/加权因素，例如前期审计结果、管理层需求及增长率等。针对这些风险诱因，结合企业实际情况，制定具体的评估标准。

在开展审计风险诱因评估中，可采取三种管理方法：

第一，以问卷形式收集各可审计对象所对应的风险诱因分析评估数据。针对各可审计对象可以采取定性及定量数据分析相结合的方式，细化数据指标，编制信息收集问卷，通过数据分析，对可审计对象的风险诱因进行评价排序，并将初步评价结果与各业务部门沟通。

第二，与业务部门负责人进行研讨。审计工作范围框架中的可审计对象在日常经营中都由适当的业务部门负责。作为风险评估程序之一，内审部门与业务部门就可审计对象在日常经营中的风险概况进行讨论分析，获取充分的风险诱因评估信息，对项目组依据定性定量数据分析判定的风险排序进行适当的调整。

第三，参阅以往的内部审计工作记录。通过参阅以往的内部审计工作记录，对风险诱因有进一步的认识。在与业务部门负责人通过研讨方式评估这些风险诱因的过程中，充分结合前期的审计发现，与其进行更深入的探讨。

依据每年度的风险诱因评估及数据分析，根据风险程度不同将可审计对象逐一排序，排序后，可以按照ABC方法，选取风险估值高的流程安排年度审计计划。

如果有下属分公司，参照上述风险评估方法选取风险估值高的分公司安排年度审计计划。围绕风险评估结果进行审计资源分配、审计时间安排、审计方案制定。

通过这一系列的工作的开展，可确定基本建立审计计划的编制流程及操作模式。

3.4持续评估，调整年度审计计划。年度工作中，随着市场竞争形势的变化，行业政策的变化，公司工作重心可能出现变化，流程中控制风险可能增强或减弱，这些风险因素的变化必将引起风险诱因估值的改变，原来风险评分低的可能因此会变得较高，年度审计计划需紧随风险诱因估值做出适当的调整。比如在半年工作结束时进行再评估，或者在风险因素出现显著改变时适时进行评估。

参考文献：

[1]卓继民.风险导向审计的最新发展——风险管理审计，现代企业风险管理审计，2006（6）.

[2]K.H.斯宾塞·皮克特，审计计划编制：风险导向方法，东北财经大学出版社，2009.

如何评估审计风险篇7

【关键词】重大错报风险; 战略风险; 审计应对

自20世纪末以来，国际会计师联合会专门成立了审计风险分委员会，着手研究和修订审计风险模型，并于2003年10 月了ISA200准则，将审计风险模型修订为:审计风险=重大错报风险×检查风险。要求注册会计师在审计过程中要实施审计程序，从财务报表整体层次和账户余额层次两方面评估重大错报风险，并据以确定和实施进一步的审计程序，把检查风险降至可以接受的低水平。

随后，我国注册会计师协会于2006 年4月颁布了新的注册会计师执业准则，正式接受了这一审计风险模型。作为新的审计风险模型的重要组成部分，重大错报风险的研究显得十分必要和迫切。本文针对重大错报风险的审计应对进行了有益的探索，希望对我国独立审计的发展有所裨益。

一、识别重要战略风险

(一)初步了解企业重要战略风险

“中国注册会计师审计准则第1211 号——了解被审计单位及其环境并评估重大错报风险”中强调:注册会计师应当了解被审计单位及其环境，以足够识别和评估财务报表重大错报风险，并列举了注册会计师应从哪些方面了解被审计单位及其环境。其中，被审计单位的战略目标及相关的经营风险是注册会计师应该考虑的重要因素之一。

注册会计师在取得一个新客户的背景资料并评估相关的风险因素后，需要决定是否接受委托。如果注册会计师决定接受这一客户，那么就需要签订业务约定书并组织审计程序。在审计开始后的第一阶段，注册会计师需要了解企业的战略目标。

由于企业的战略经营风险和流程经营风险大部分会产生财务后果，从而影响到财务报表，注册会计师只有通过考察识别客户的战略风险，才能够有效地实施其它的审计程序，从而恰当有效地得出审计结论。注册会计师主要是通过分析外部环境中威胁企业成功执行战略的潜在风险因素来识别战略风险的，主要的分析工具有:企业层面的经营模式分析、PEST分析、波特五力分析、资源基础模型、SWOT分析等。

注册会计师需要在综合分析中初步识别出客户所面临的重要战略风险，客户如果想获得成功并达到目标，必须有效地管理这些风险。管理层对风险管理得越有效，注册会计师在业务中期望发现的问题就越少。为了更有效地了解战略风险的性质，形成在战略分析阶段对重要战略风险的结论，注册会计师需要了解客户管理当局如何进行战略管理以及战略管理的效果如何。

(二)合理评估企业重要战略风险

注册会计师在利用宏观环境的PEST 分析和行业环境的波特五力分析等分析工具初步识别企业的重要战略风险后，需要关注企业采取了哪些方法避免或减少这些风险的威胁，结果又是如何?企业的管理层有很多方法来降低外部风险的威胁，从而使外部风险不会对企业造成重大影响。

注册会计师可以通过询问、观察和检查等方法取得对企业所采取行动的了解。具体而言，企业针对战略风险所采取的措施可以从各种会议纪要或决议、内部操作手册、企业对外公告、人事调整、组织机构调整、管理层所使用的定期报告等渠道获得。在了解企业对战略风险采取的控制措施后，注册会计师要评估这种反应(措施)是不是最佳的反应方式，是否得到执行，执行的效果如何。

对企业采取的战略风险控制措施进行评估后，注册会计师就可以进一步对战略风险进行判断。注册会计师可以根据有效的战略风险控制，将战略风险的严重程度下调，但这种下调必须有足够的证据支持控制是有效的。对战略风险控制的分析与测试可以帮助注册会计师判断初步识别的战略风险是否得到了有效的控制，注册会计师最终需要形成对重要战略风险的结论及其对审计的影响。

二、确定关键流程风险

(一)关键经营流程的识别

1.通过重要战略风险识别出关键经营流程

在战略分析的最后阶段，注册会计师需要汇总已经识别出的战略风险，对战略风险是否重要作出最终判断。如果这一战略风险比较重要，而且对会计报表的影响也比较重要，那么这一战略风险所指向的经营流程是哪一个，这个经营流程就是关键经营流程，也就是流程风险中必须重点分析的对象。注册会计师一般是通过编制战略风险汇总表的形式完成的。注册会计师在审计工作中所收集的证据都必须记录于工作底稿，作为审计证据。战略风险汇总表也是审计工作底稿的一部分，它是联系战略分析与流程分析的纽带。

2.通过重要交易类别识别出关键经营流程

在战略分析的最后阶段，注册会计师应该根据对企业经营的了解确定对企业经营业务的重要交易类别的认识，并汇总每一重要交易类别对相关会计报表认定的影响，以及这一影响对会计报表整体是否重要。如果这一影响对会计报表整体重要，那么准备在哪一个经营流程对之进行具体的分析，这一经营流程就是重要交易类别所指向的关键经营流程。

注册会计师通过识别出的重要战略风险和重要交易类别以及它们对会计报表的影响，从而推导出关键经营流程，以便在流程分析中对其进行详细分析。

(二)流程层次经营风险的确定

流程层次的经营风险可能来源于战略风险，也可能从流程内部产生，很多战略风险可能在流程中表现为特定的风险。比如，外部环境中的技术风险将对关键流程中的技术产生直接的影响。流程内部产生的风险只与特定的流程相关，但它们也影响企业经营目标的实现。在流程分析阶段，注册会计师对于战略风险对流程的影响只需要根据对战略风险和流程运营的了解将其转化成流程经营风险即可。因此，在流程分析阶段，最需要关注的是产生于经营环节的特定风险。

三、合理评估企业重大错报风险

(一)企业环境中重大错报风险的评估

重大错报风险的评估过程是一个由数学模型计算、审计人员经验判断、主观估计相结合的过程。审计人员在分析、评估风险时应先从审计环境入手，全面分析、评估审计环境中引起重大错报风险的因素后，再深入到报表层次，最后重点评估认定层次的重大错报风险。

审计人员在接受委托时应全面了解企业的环境控制业务承接过程中的审计风险，包括初步了解行业背景、国家对企业的特殊政策、组织结构、经营方式、企业近期业务发展状况、企业目前面临的机遇和挑战、将要进行的重大决策、高层管理人员的意图、对审计人员的期望及要求等，然后作出详细调查分析表。根据审计人员的经验初步评估审计风险，利用风险矩阵等方法决定是否接受委托。

(二)财务报表层次重大错报风险的评估

1.资产负债表

通过测算年末流动比率、资产负债率、速动比率、应收账款周转率、流动资产比例、固定资产比例、净资产比例、资产负债表各项目占总资产的比例、资产负债表各项目增长率等，进行分析性复核。将上述指标与同行业平均指标、企业近三年的同类指标相比较，掌握其变动趋势，分析变动原因。一般来说，若企业各项指标高于或低于平均指标20%以上，而且没有合理解释则重大错报风险较高;若偏离幅度在10%至20%之间，重大错报风险可评估为中级;若偏离幅度在10%以下则风险可评估为低级。(将20%作为临界点的原因:根据审计经验和人们普遍对风险的心理承受能力)

2.利润及利润分配表

通过测算毛利率，各项费用与主营业务收入的比例，其他业务收入、营业外收入、投资收益与主营业务收入的比例，近三年同类指标变动率，进行分析性复核。将上述指标与同行业平均指标相比较，掌握其变动趋势，分析变动原因。一般来说，若企业各项指标高于或低于平均指标20%以上，而且没有合理解释，则重大错报风险较高;若偏离幅度在10%至20%之间，重大错报风险可评估为中级;若偏离幅度在10%以下则风险可评估为低级。

3.现金流量表

现金流量表中重大错报风险的评估应结合资产负债表和损益表的重大错报风险的评估进行。资产负债表和损益表中的重大错报一般会在现金流量表上反映出来，审计人员可根据对上述两个报表的风险评估大致估计现金流量表的风险水平。

四、制定具体审计程序

(一)一般审计程序

注册会计师评估的财务报表整体层次重大错报风险以及所采取的总体应对措施，对拟实施进一步审计程序的整体审计策略具有重大影响。注册会计师根据财务报告整体层次的重大错报风险制订总体应对策略，在总体应对策略的指导下制订和实施针对认定层次重大错报风险的进一步审计程序，整体策略对多个认定的审计策略都有直接影响。拟实施进一步审计程序的整体审计策略包括实质性策略和综合性策略。实质性策略是指注册会计师实施的进一步审计程序以实质性程序为主;综合性策略是指注册会计师在实施进一步审计程序时同时采用控制测试与实质性程序。

与认定层次相比，注册会计师在财务报表整体层次运用风险模型时只是针对评估的财务报表层次的重大错报风险，更侧重于从整体上采取应对措施和考虑对拟实施进一步审计程序的整体审计策略的重大影响。由于财务报表整体层次的重大错报风险会影响多个认定，只有将风险模型运用于这两个层次，使二者很好地配合，才可能最终将审计风险降至可接受的低水平。注册会计师对报表层次重大错报风险的评估和对总体应对措施及其对整体审计策略重大影响的考虑的失当，将对认定层次重大错报风险的评估和检查产生广泛的决定性的不利后果。因此，不能轻视新风险模型在财务报表整体层次的运用问题。

(二)进一步审计程序

基于重大错报风险的审计风险模型，要求注册会计师针对评估的认定层次重大错报风险设计和实施进一步审计程序，包括审计程序的性质、时间和范围，并应当以对认定层次的重大错报风险的相关评估结果为基础，同时考虑既定的审计风险水平。

进一步审计程序是指注册会计师针对评估的各类交易、账户余额及列报与披露的认定层次的重大错报风险所实施的审计程序，包括控制测试和实质性测试。注册会计师设计和实施进一步审计程序，既包括审计程序的目的(控制测试或实质性程序)、类型(检查、观察、询问、函证、重新计算、重新执行或分析程序)，也包括进一步审计的时间(指审计对象的发生时点或期间)和范围(指实施某项审计程序的数量及样本)。如果注册会计师对重大错报风险的评估认为预期控制运行是有效的，就必须执行控制测试以支持该评估结果。另外，注册会计师还应当以认定层次重大错报风险的评估结果为基础，考虑既定的审计风险水平，确定可接受的检查风险水平，再据此计划和实施实质性测试程序。

注册会计师决定信赖被审计单位的内部控制时，需要执行控制测试，其目的是测试内部控制在防止、发现和纠正认定层次重大错报风险方面的有效性，并据此再评估认定层次的重大错报风险。当注册会计师认为风险评估程序所识别的风险是需要特别考虑的重大风险，或是仅通过实质性程序不能提供认定层次充分、适当的审计证据时，注册会计师就应当针对此类风险设计实施控制测试。同时，新准则又强调注册会计师应保持职业怀疑态度，即使评估的认定层次的重大错报风险较低，说明预期内部控制较好，也必须执行控制测试，以支持该评估结果。因此，大多数情况下注册会计师都要进行控制测试。

无论内部控制是否有效，都要对各类重大交易、账户余额及列表与披露实施实质性测试。注册会计师通过实质性测试检查认定层次的重大错报风险，发现认定层次的重大错报，降低检查风险至可接受水平。按照基于重大错报风险的审计风险模型的要求，注册会计师应当以对认定层次的重大错报风险的评估结果为基础，并考虑既定的审计风险水平，来确定可接受的检查风险水平，再据此计划和实施实质性程序。在既定的审计风险水平下，可接受检查风险水平与认定层次重大错报风险的评估结果呈反向关系。检查风险取决于实质性测试设计和执行的有效性，注册会计师应当合理设计实质性测试的性质、时间和范围并有效执行，将检查风险降至可接受的水平。

【主要参考文献】

[1] 谢志华，崔学刚.风险导向审计:机理与运用[J].会计研究，2006(7).

如何评估审计风险篇8

风险导向审计模式下审计的程序包括以下步骤：风险评估程序、控制测试、实质性程序，其中风险评估是基础和前提，通过风险评估来确定实施进一步审计程序的性质、时间和范围。

（一）审计风险评估指标体系设计思路。

审计风险是指，会计报表存在重大错报或漏报，而审计人员审计后发表不恰当意见的可能性。根据新的审计准则，总体审计风险包括重大错报风险和检查风险。重大错报风险是指财务报表在审计前存在的重大错报的可能性，重大错报风险的大小主要取决于生产经营风险的大小，而企业内部控制设置和执行的缺陷及具体认定本身固有缺陷也会造成错报风险。检查风险是指某一账户或交易类别单独或连同其他账户、交易类别产生重大错报或漏报而未能被实质性测试发现的可能性。审计的最根本着眼点就是分析企业所面临的经营风险，审计风险评估指标体系的设计也从企业经营风险和控制风险上来进行设计。会计报表风险实际上是企业战略风险和相关经营风险的副产品，①其审计风险=企业经营风险+控制风险+检查风险。

（二）审计风险评估指标体系的构成

审计风险评估指标体系可以依据注册会计师审计准则第1211号—了解被审计单位及其环境，并评估重大错报风险来确定。

1.外部环境。外部环境对企业的经营和发展产生重要影响，从而可能导致重大错报风险的产生。可能影响财务报表的外部环境包括企业所处行业状况、法律环境、监管环境、宏观经济环境。

2.被审计单位的性质。如果被审计单位的所有权结构、治理结构、组织结构不恰当或存在缺陷，就有可能造成财务报表出现重大错报。

3.经营活动。被审计单位的经营活动会产生经营风险，而多数经营风险最终都会产生财务后果从而影响财务报表。经营风险主要来源于对被审计单位实现目标、战略产生不利影响的重大情况、事项、环境和行动，或源于不恰当的目标和战略，以及为实现目标和战略制定的关键经营流程。

4.财务业绩的衡量和评价。被审计单位内部或外部对财务业绩的衡量和评价可能对管理层产生压力，促使其采取行动改善财务业绩或歪曲财务报表。财务业绩的衡量和评价因素包括关键业绩指标、业绩趋势、业绩考核与激励性报酬政策。

5.内部控制。内部控制能有效防止、发现和纠正被审计单位差错和舞弊，如果内部控制不利，被审计单位财务报表中出现重大错报的可能性就会大大增加。内部控制包括控制环境、被审单位的风险评估过程、信息系统与沟通控制活动、对控制的监督。

审计风险的评估

审计风险的评估方法采用定量分析法与定性法分析相结合的方法，在下面的审计风险评估中，我们采用了因素分析法、①审计风险模型法、分析性复核等方法。

（一）企业经营风险的评估

企业经营风险评估的目的主要是为了确定企业的总体层次和认定层次的发生重大错报的可能性，传统的风险评估注重于对账户余额和交易层次风险的评估，在现代风险导向审计下，是从经营风险的评估入手，评估企业可能产生的重大错报和漏报。目前审计人员的一般做法是：在各种情况都比较好的情况下，企业经营的水平应该高于50%；反之，如果有某种迹象表明有可能存在重大错误，就应该将企业经营风险定为非常高的水平，甚至100%。评估企业经营风险的3个具体步骤如下：需要考虑企业经营风险的构成要素及其企业经营风险评估指标;各要素所占的权重以及各要素本身风险值的大小;最后将各要素风险值与其权重加权平均计算出企业经营风险值。即企业经营风险=∑xiyi/∑Pyi，其中，x表示各指标（要素）本身风险值的大小，y表示各指标（要素）所占的权重，而P表示各指标（要素）本身风险的最大值（为一常数）。下面举例说明企业经营风险评估的具体实施。

步骤一、经过对企业经营风险要素的识别，从指标体系中，选择一部分指标来进行计算。它们是企业长期偿债能力指标，盈利能力状况指标，资产营运效率、安全边际指标，顾客满意度，市场占有率，主营业务市场份额等。

步骤二、确定每个指标的取值A=企业长期偿债能力，B=盈利能力状况，C=资产营运效率，D=安全边际，E=顾客满意度，F=市场占有率，G=主营业务市场份额，H=研究开发新产品周期，I=合格产品比率，以上指标取值均为1—5分。

其中1分表示企业盈利能力非常强、资产营运效率非常高、安全边际程度非常高、顾客满意度非常高、市场占有率非常高、主营业务市场份额非常大，研究开发新产品周期非常短、合格产品比率非常高。5分表示企业盈利能力非常弱、资产营运效率非常低、安全边际程度非常低、顾客满意度非常低、市场占有率非常低、主营业务市场份额非常小，研究开发新产品周期非常长、合格产品比率非常低。运用专家意见法，通过反复多次征求专家意见，形成基本一致的意见。根据专家的意见，假设每个指标取值如下：A=3B=3C=3D=3E=2F=5G=4H=2I=2

步骤三、运用矩阵技术，得出9个参数的相关重要性（即各自的权重，见表1。需说明的是，本举证仅利用了一个简单的多元比较，而未采用高等数学中矩阵来求解。矩阵中每一数字表示该数字所载列的参数相对于该数字所在行的参数的相对重要性（主要取决于审计人员的职业判断）。相关加数值（即各自的权重）是由其上一行的平方根除以4得出。因此，可以计算出个指标的权重如下：步骤四、计算企业经营风险根据公式：企业经营风险=∑xiyi/∑Pyi可知，企业经营风险=（1*3+2*3+3*5+3*1+2*1+5*3+4*2+7*2+7*2）（/1*5+2*5+5*5+1*5+1*5+3*5+2*5+7*5+7*5）=80/145=55%

（二）企业控制风险的评估

控制风险是被审计单位内部控制要素效果的函数。审计人员无法改变控制风险水平，仅能评价控制系统和评估未能揭示出错报的概率。如果存在以下几种情况：（1）控制政策与程序与认定不相关；（2）控制政策和程序无效；（3）取得证据来评价内部控制显得不经济。那么审计人员可以将控制风险定为100%，直接进行实质性测试。如果审计人员将控制风险定为100%以下的某一水平，则要执行下面的步骤来评估控制风险的水平。

1．根据识别初步评价控制风险

审计人员在评估控制风险时，先了解相关的内部控制流程，识别相关的控制风险，对控制风险水平作一个初步的评估。了解内部控制时，主要从以下方面考虑：（1）每一结构要素中制度和程序如何设计；（2）这些制度和程序是否得到执行。考虑这两个因素的基础上结合控制风险识别的结果对控制风险做出初步评估。

2．通过控制测试降低估计的控制风险水平

审计人员决定通过有效方法进一步降低控制风险的估计水平时，可以设计追加的测试程序来进行，包括3种方法：重新执行、进一步观察和文件测试。审计人员进行测试时，应该对3个层次的内部控制进行测试，即对最高层、中层和最低层内部控制进行测试。由于内部控制的运行效果可以通过实施控制测试来更好地了解，所以大多数审计人员在没有实施控制测试时都不愿意将控制风险评估为低于最高水平。

3．控制风险的计量

内部控制是一个系统，按层次可分为3个控制层次，即最高层、中层和基层控制。每一个层次都是一个子系统，3个层次中的每个层次的可靠性程序决定着整个内部控制的可靠性。控制风险为：C=1-P;P=P1*P2*P3其中，C表示控制风险，P表示内部控制的可信性，P1、P2、P3分别表示最高层控制的可信度、中层控制的可信度和基层控制的可信度。首先，对最高层控制所设计的控制风险指标包括权力决策人员知识结构、能力结构达标率。这些指标越高，则内部控制设计相对较为健全，控制风险较小。在中层控制流程上，所运用的指标主要为评价管理部门设立的全面性、互为牵制作用性指标，当这一指标越高时，即管理部门的设计越全面，各职能部门之间能起到很好的牵制作用，则控制风险就可能会小些。在基层控制流程上，评估控制风险的指标主要有一定会计期间内的岗位轮换率，业务操作的换人复核率，稽核程序执行率，稽核统计差错率，稽核重大事项的及时报告率等。当这些指标比率较高时，控制风险相对较小。上述控制风险评估的计量结果与控制测试的测试结果相结合，就可具体地评估出控制风险。

（三）检查风险的评估

检查风险是审计程序的有效性和审计人员运用审计程序有效性的函数。检查风险是必然存在的风险，其水平的高低与被审计单位无关，而与审计程序的有效性有关。审计人员能够控制检查风险，但受审计资源、审计时间等要素制约，以及审计人员出于成本效益的考虑，检查风险不能根除。与企业经营风险和控制风险不同，检查风险是根据审计风险模型的公式计算出来的，即：检查风险=审计风险/企业经营风险*控制风险检查风险的实际水平随着审计人员实施实质性测试的性质、时间和范围的变化而改变。

结束语

如何评估审计风险篇9

审计人员不管是否在为欺诈而从事审计工作，都必须承担鉴别欺诈的责任，同时必须评估反欺诈程序。在美国注册会计师协会关于99号审计准则的公告中，强调审计人员必须对由于欺诈而存在的风险保持职业怀疑态度；美国公共事业公司会计监督委员会(PCAOB)同样也要求审计人员把评估与欺诈相关的活动作为内部审计功能的一个组成部分。

(一)IT过程界定信息及相关技术的控制对象(COBIT)界定了IT过程的范围，根据COBIT的规定，一个IT过程可以被归类为以下四个基本领域中的一个：计划与组织、获取与执行、传播与支持及监控与评估。

表1给出了这四个领域的34个具体的11I过程。

欺诈是否在每一个IT过程中都可能发生，目前还没有定论。为了更好的理解欺诈是否发生，所有的审计人员都应该更好地理解由犯罪学家唐纳德博士提出的欺诈三角假设。表2对他的三个因素进行了简单描述，任何人只要实施欺诈必然与这三个因素相关联。因为在任何IT过程中，不管IT系统的自动化程度如何，只要有一个以上人的参与，就必须慎重考虑欺诈发生的问题。

(二)欺诈的类型描述一般来讲，职业欺诈可以分为如下三种类型：资产挪用：任何涉及组织资产偷窃与误用的计划，如将软件及软件许可用于个人目的以获取收益。贿赂：一个人利用在商务交易中的影响力来获得与他，她对上司的责任向背的利益，例如将In殳备维护服务外报给提供回扣的服务商。虚假的陈述：财务报表的虚假陈述以使组织看起来盈利更好或更坏，如电信提供商通过虚假报告来调节每户平均收益。以上每一种欺诈还可以细分。不同类型的欺诈的知识以及跨行业的欺诈阴谋的识别大大地提高了欺诈风险评估的精确性与适用性。

二、欺诈风险评估及预防措施

欺诈风险评估开始于对与IT过程相关的欺诈活动可能性及其显著性的分级量化。只有对其工作评估的性质进行评估才能采取有效的防范措施。

(一)欺诈风险评估模型PCAOB第2号审计准则提供了一个风险或然性的样本以及相应的显著性，并具体化了三种风险水平：细微的、中度细微的及很可能的。PCAOB准则同时也将风险的显著性与影响分为三个层次：非实质性的、轻度实质性的及实质性的。图1阐述了风险的显著性与或然性之间的关系。

完成与IT过程相关的欺诈活动分级量化后，欺诈风险评估程序就能建立IT过程与各种现行的欺诈与控制之间的映射，如表3所示。欺诈风险评估使得组织能够容易的可视化欺诈的发生领域，并优先配置资源对这些潜在的欺诈高发领域加以控制与建设。随着企业、业务及IT环境的迅速改变，欺诈风险评估应该成为一项常规性的工作，或者随时确保IT过程跟上变化。甚至，为了风险评估而在识别具体的IT过程与环节时，审计人员在公司内部可以运用欺诈的历史模式作为标杆参考。

(二)欺诈的预防措施为了阻止欺诈的发生而进行的，预防是不言而喻的。如果等到产品、项目或者IT应用设计生产完成后，再采取措施代价是高昂的，也就是说在最初就应加以卓越的设计。欺诈预防现在已在审计活动中得到了实施，审计人员对组织早期的业务、过程和IT应用具备了越来越大的影响力。不管用来防范欺诈风险的控制措施是否充分，也不管欺诈风险的水平是细微还是显著，都应该设计、选择、集成相应的手段来及时地最小化欺诈风险与损失(可参考图1)。这些措施既可以内部化到内部控制中(BICs)，作为常规的欺诈检测程序的一部分，或者作为欺诈风险发生的早期预警信号(EWSs)的一部分。表4提供了一些例子。

(三)欺诈的鉴别方法在完成与IT过程及相应的鉴别措施相关的欺诈风险评估后，IT审计人员便可设计ICQs来评估并测试所采取的控制措施，包括反欺诈程序。财务人员一般应评估与财务记录相关的措施以及商业运作的合规性。然而IT审计人员应该关注内部控制技术(ICTs)体系及其相关的过程。不过，欺诈鉴别中的ICQs的质量却在很大程度受到审计人员的技术胜任能力、对IT以及企业运作的洞察力和特定领域的专业知识(如软件开发编程能力、数据库管理能力、网络规划与实施技巧、IT安全等)的严重影响。而IcOs的开发很有可能成为已经建立的程序的参照物，最佳的实践以及监管的标准。

三、欺诈的调查分析殛结论

随着ICTs在商业组织中的广泛利用，这意味着当欺诈发生时，用于确认稽核的证据很容易获得。基于ICTs的审计模式中，IT审计人员只需要具备IT系统的专业知识即可，他们的任务仅仅是能否鉴别风险。从这个意义上讲，IT审计人员可以通过如下措施来调查欺诈活动：报告的生成与稽核、证据的鉴别和计算机系统使用记录的检索、实施计算机互动分析。

如何评估审计风险篇10

风险基础审计是一种有别于账项基础审计和制度基础审计的审计模式。它以量化的风险水平为重点,在确定的风险水平基础上,决定实质性测试的程度和范围。这一方法模式最显着的特点是,将客户置于一个大的经济环境中,运用立体观察的理论来判断影响因素,从企业所处的商业环境、条件到经营方式和管理机制等构成控制结构的内外部各个方面来分析评估审计的风险水平,并把客户的经营风险植入到本身的风险评价中去。此外还有一个特点就是,明确确认在为审计测试选择一个样本,企业开展业务的商业环境,对报表余额的真实性和公允性给予审计评价等都可能存在风险,并把这种意识贯穿到审计的全过程,从而在审计过程中把重点放在审计风险的评估上,并通过各种审计程序的设计和执行,把审计风险降低到注册会计师可以接受的水平。

风险基础审计的思想基础主要运用了我国的孙子兵法中诸如“凡事予则立”、“仗不打就赢”等思想,即由上而下,由宏观而微观,用评估的方式对财务报表加以评价,预先决定客户的重大性范围和目标。在具体审计时,它把审计基础工作大量地放在对客户营业过程的调查,对内部控制要素进行控制测试,并对财务报表和客户的操作程序、审计环境等进行科学分析、判断上,从而使期末需要审查的结果,在期初和期中得到判断。也就是说,通过了解、观察、分析、评估来确定审计的范围和重点,做到仗还未打,已有八分胜券。这也是风险基础审计能有效降低审计风险的原因所在。

二、风险因素分析

注册会计师要想明了审计活动所面临的全部风险,首要任务便是寻找与审计自身活动和环境相联系的风险因素。这点在目前并没有得到应有的认识,在现时证券市场发展阶段,注册会计师也不会去假设这种责任。因此,大多数注册会计师对引发审计风险的因素缺乏了解。但证券市场已发生的多起审计案件应当使我们警醒。注册会计师必须明了可能导致风险的各种因素,以使制订的审计计划更为有效,这样的审计结论更为可靠。除了遵循职业道德、审计技术和方法外,注册会计师还必须关注以下可能导致审计失败的因素:

1.关于企业所在行业的因素。主要有:(1)竞争激烈的行业;(2)迅速增长的行业,如高新技术产业;(3)大量营业失败存在并且衰退的行业;(4)国家化趋势的行业;(5)政治、环境或其他原因导致的行业法律限制(如扩张限制、生产限制)。

2.关于企业所在地区的因素。主要有:(1)处于政治不稳定性的地区;(2)在有贸易限制或有争议的国家或地区有大量的销售或其他活动;(3)缺乏适当的交通设施的地区。

3.与员工、组织机构和经营方式有关的因素。主要有:(1)专制的高级管理人员、无效的董事会或审计委员会;(2)管理人员行为超出重要内部控制的可能性;(3)存在与报告业绩或与某一明确的高级管理人员有权控制的业务有关的分红报酬;(4)高级管理人员财务困难的可能性;(5)重要的诉讼,特别是在股东和管理人员之间的;(6)极其乐观的盈利预测;(7)复杂的公司结构,这种复杂性与公司的经营或规模明显不匹配;(8)极度分散管理加上极其分散的经营地点;(9)低下的人事制度,要求超时工作或取消假日;(10)财务总监或董事等主要财务岗位人员的变动太频繁;(11)经常更换注册会计师或律师;(12)内部控制存在重要弱点,这个弱点可以纠正但未纠正;(13)无法得到弥补的非法行为或其它违规事项;(14)与关联方存在重要的交易或存在可能涉及到关联方利益的业务;(15)律师、顾问、中间人和其他人提供了普通服务,但给予的报酬却很高;(16)难以获取与下列事项有关的证据:①异常的或未解释分录;②不完全或遗漏的凭证和授权;③凭证或账户更改;(17)存在未预料到的审计问题,例如:①客户要求在极短的时间内或困难条件下完成审计;②突然拖延;③管理人员对注册会计师的询问不作回答或作不切实际的回答;(18)同行业其他公司最近披露的非法或有问题的事项;(19)售给外国政府的大额业务的存在;(20)对外国的销售价格或佣金远远高于本国的销售;(21)销售折扣在客户所在国外支付;(22)存在未经营的子公司,秘密银行账户或其他秘密基金;(23)罢工和封锁的风险。

4.关于盈利和经营预测的因素。主要有:(1)销售数量或质量的下降(例如信用风险增加,以成本或低于成本价销售,较低的边际利润);(2)经营业务的重大变化;(3)对单个或极少数产品、客户或业务的依赖;(4)缺少产品开发;(5)生产能力严重过剩;(6)不切实际的生产目标;(7)生产设备更新慢、折旧率低;(8)分析性复核揭示的重大波动,这种波动无法得到合理解释,例如:①异常的账户金额;②实际存货数量异常变动;③异常的存货周转率;(9)年末金额大的或异常的业务,这种业务对盈利有重要影响。

5.关于资产的因素。主要有:(1)资产价值的下降;(2)缺乏必要的安全措施。

6.关于流动性和融资的因素。主要有:(1)没有足够的现金流量;(2)缺乏营运资本;(3)在诸如营运资本比率等方面的借款规定中缺乏弹性;(4)缺乏权益资本;(5)获取新的资本困难(例如由于股权、法律条款等的原因)。

7.关于未预料损失的因素。引起这些损失的原因主要有:(1)购买和销售合同;(2)合同的补充条款;(3)担保合同;(4)生产授权;(5)租赁合同;(6)外汇交易;(7)保险保障。

在审计规划阶段,通过对行业与企业经营环境的研究及分析性测试等程序的应用,注册会计师应该设法识别出所有能指出重大审计风险的标志(warning signs)。注册会计师对这些因素的分析应归入永久性审计工作底稿,因为这些因素的分析对重大性的估计及审计程序的设计会产生重大的影响。如何分析这些因素、通过何种方法来分析取得的资料并确保所有的风险因素在审计计划阶段得到考虑,是注册会计师应认真解决的问题。不过,客户存在上述风险因素,并不意味着该客户不可审计,而是给注册会计师一种提醒的作用,要对客户发表非标准无保留意见审计报告。在西方,各大会计师事务所将这些风险因素列为矩阵的形式,在矩阵上排列出风险因素和分析这些风险因素的资料来源。至于列多少风险因素,各个会计师事务所是不一样的。

三、风险基础审计的基本程序

风险基础审计的特点表明,审计程序设计和执行恰当与否,对审计风险的控制有着重要的意义。恰当的审计程序有助于审计工作循序渐进、有条不紊地达到审计目的。在实务中,为了使审计工作做得更为细致,并能关注审计重要领域,风险基础审计的程序可分为以下五个阶段:

第一阶段:通过调查、了解、分析、评估等方法执行一般规划并确认重要的审计领域,识别重要的风险领域。目的是评估固有风险,确认重要的审计范围。一般在审计计划开始时进行。具体内容为:明确客户服务及其他规划目标;取得或更新对客户业务与产业的了解;执行全面控制环境的评估;对重大性作初步判断;决定要审查的重要账户;确认影响这些账户的资料来源;编制审计计划。

第二阶段:了解和评估重要的资料来源。目的是寻找并确定控制弱点。一般在期中审计时进行。具体内容是:确认重要的估计和资料过程;对各项过程取得了解;考虑何处可能出错;确认与评估相关的控制。

第三阶段:执行初步风险评估,即固有风险和控制风险的联合。目的是通过风险评估,选择可靠的、有效益的、有效果的审计查核程序。即首先考虑固有风险,再对控制风险作出初步评估。在对控制有效或无效作出判断时,主要是对客户管理意识、控制措施及控制品质、控制程序设计本身是否严密,分工分职是否良好作出判断。如果有效,则进一步对可依赖程度和发生重大审计错误的可能性作出判断。在此基础上再评估审计发生错误的可能性,并确定审计查核方法。这主要在审计中期完成。具体内容包括:确认重要的作业和交易;了解重要交易之流程,绘制流程图;研究判断错误可能发生的所在,一要辨认流程中的关键环节,二要把控制目标与流程中的重要环节串联,三要确认交易流程中可能发生的错误,辨认及了解预防控制及侦测控制,初步评估控制风险。

第四阶段:拟定与执行审计计划,通过实施审计获取审计证据。具体内容如下:根据评估作出的不同的风险程度,为每一类重要认定拟定不同的查核方法;拟定审计程序以供控制测试及实质性测试之用;执行内部控制测试;根据测试结果最终评估控制风险;根据所确定的察觉风险水平的高低,执行实质性测试。

第五阶段:作出审计报告,即执行全面评估,将审计结论形成书面文件。

以上五个阶段中,前三个阶段主要通过了解、观察、分析、评估来确定审计的范围和重点,选择适当的审计程序和方法。做到仗未打,已有八分胜券,这也是风险基础审计模式的精髓。由此可以看出,虽然风险基础审计与制度基础审计在许多程序上有着相同之处,但风险基础审计是将客户置于一个大的经济环境中,从企业所处的商业环境、条件到经营方式和管理机制等内外两个方面来分析评估,全方位地判断影响因素。另外,由于企业经营产生的风险,会对审计产生影响,所以经营风险也是注册会计师必须考虑的因素之一。显然,风险基础审计所涉及的范围就比制度基础审计为宽,也更符合现代审计所处的社会环境。

四、风险基础审计的基本方法

风险基础审计这一方法模式得以产生并被越来越多的会计师事务所用于审计实践中去,说明风险基础审计是行之有效的,能满足注册会计师降低审计成本的需要和缩小期望差。以下具体讨论五种基本方法。