风险评估:贯穿现代风险导向审计的主线

现代风险导向审计是现代审计模式的新发展，立足于对审计风险进行系统分析和评价，并以此作为出发点定制审计战略，制定与企业状况相适应的多样化审计计划。它将客户置于一个大的经济环境中，运用立体观察的理论来判断风险因素，从企业所处的商业环境条件到经营方式和管理机制等构成控制结构的内外部各个方面来分析评估审计的风险水平，并把客户的经营风险植入到审计的风险评价中。要求审计人员不仅要对控制风险进行评价，而且要对产生风险的各个环节进行评价，以确定审计人员实质性测试的重点和测试的水平，确定如何收集、收集多少以及收集何种性质证据的决策。由此，审计过程中的不确定性大大增加，这就要求审计人员在风险导向审计中大量运用审计专业判断，根据自己的专业知识和经验对客观审计对象和主观审计行为作出合理的专业认定、评价和决策，从而降低审计风险，提高操作效率，实现审计目标。

一、现代风险导向审计风险概述

现代风险导向审计也称为经营（商业）风险导向审计、风险基础战略系统审计。现代风险导向审计是审计技术方法在系统理论和战略管理理论基础上的重大创新，它以被审计单位的战略经营风险为导向，通过战略分析――流程分析――经营业绩评价――财务报表剩余风险分析的基本思路，将会计报表重大错报风险和经营风险联系了起来，从而提出了审计师从源头分析和发现会计报表错报的观念。现代风险导向审计针对传统风险导向审计风险评估不到位，未能有效发现高风险审计领域造成审计过量或审计不足的缺点，大大加强了风险评估程序，实现以风险评估为中心。

国际审计和鉴证准则委员会了一系列新的审计准则，风险模型也修改为：审计风险=重大错报风险×检查风险。重大错报风险评估是通过“了解被审计单位及其环境并评估重大错报风险”来实现的。这一思想将风险评估的范围拓展了，要求将被审单位的各种风险，包括控制风险、账户及交易层次风险及其他如企业的经营风险、行业风险、舞弊风险等都考虑进去。总体来说，现代风险导向审计是一种新的审计基本方法，它以被审计单位的经营风险分析为导向，以审计理论、系统理论和战略管理理论为指导，通过自上而下和自下而上相结合的审计思路完成审计工作。

现代风险导向审计模型改变了以往从局部到整体的审计思路，为注册会计师从整体上把握和控制审计风险提供了基础。现代风险导向审计模型要求针对会计报表整体层次和认定层次来分别评估重大错报风险，并采取不同的应对措施来克服原模型侧重于认定层次而忽视会计报表层次的缺陷。还要求注册会计师识别和评估会计报表整体层次和认定层次的重大错报风险，将识别出的风险与认定层次可能发生的错报联系起来，考虑风险的重大性和可能性。注册会计师应针对评估出的两个层次的重大错报风险，合理运用职业判断分别确定总体应对措施和设计、实施进一步的审计程序，以将审计风险降至可接受的水平。另外，还要求注册会计师针对评估的会计报表整体层次的重大错报风险，采取总体应对措施：向项目组强调在收集和评价审计证据过程中保持职业怀疑态度的必要性、分派更有经验的或具有特殊技能的注册会计师，或利用专家的工作，提供更多的督导，在选择进一步的审计程序时，应当注意某些程序不能被企业管理当局预见或事先了解，对拟实施审计程序的性质、时间和范围做出总体修改。

二、现代风险导向审计风险评估基本程序

现代风险导向审计强调审计风险主要来源于企业财务报表的错报风险，而企业财务报表的错报风险则主要来源于整个企业的战略管理风险和经营活动风险。它认为，要充分理解审计风险，审计人员就必须从企业的战略分析、流程分析入手，充分识别企业内、外部风险，并理解内、外部风险对财务报表认定的影响。因此，现代风险导向审计并不直接从对固有风险的评估入手，而是间接地以被审计单位的经营风险（包括战略经营风险和流程经营风险）为导向，通过综合评估经营风险从而确定财务报表剩余风险，并进一步确定实质性测试的范围、时间和程序。（图1）

三、风险评估

规避审计风险，必须从承接开始充分认识到风险的存在，这也是控制风险的关键一步。因此，根据独立审计准则要求，在承接业务签署审计业务书前，审计人员应对被审计单位的基本情况进行了解。如，业务性质、经营情况、经营风险、以前年度的审计情况、财务机构及组织工作等。根据了解的情况，审计人员运用专业判断评估审计风险，决定有无能力胜任，被审计单位的性质如何等，进而决定是否接受委托、确定审计计划及审计程序。

（一）战略经营风险评估。企业接受委托前需对客户的行业状况、监管环境以及其他外部因素，如被审计单位的性质及对会计政策的选择和运用、被审计单位的目标战略以及相关经营风险、对被审计单位财务业绩的衡量和评价相关内部控制，在进行必要的了解后，评估会计报表总体层次和认定层次的重大错报风险。

了解客户及其环境，包括了解客户的目标、战略以及可能导致会计报表重大错报的相关经营风险，而不是了解和评估全部的经营风险。这主要是因为不是客户所有的经营风险在任何情况下都最终具有财务后果且必然会导致会计报表重大错报风险；评估和控制所有经营风险、实现经营目标是企业管理当局的责任；而注册会计师的责任是评估被审计会计报表的所有重大错报风险，以帮助其设计和实施有效的审计程序，及时保证发现重大错报，实现审计目标。

战略经营风险评估主要是对组织内部环境战略经营风险（公司治理结构、内部组织文化、核心竞争力、内部信息沟通）、本地外部环境战略经营风险（直接竞争对手、本地劳动力市场、顾客/供应商关系）、全球环境战略经营风险（国外不确定的政治监管环境、自然资源、全球竞争、文化优势）进行评估。

1、组织内部环境战略经营风险。合理的公司治理结构可以保障组织系统的正常运转，帮助组织实现战略经营目标；不合理的公司治理结构，甚至是治理结构中的微弱不和谐因素都可能导致组织整体战略的失败。因此，公司治理结构的合理与否是组织内部环境中的一个重要战略经营风险来源。

组织文化是组织成员内在化的、共同的行为指向，也是企业解决如何在外部生存以及内部如何共同生活的一套哲学。员工诚信、员工士气、忠诚度、管理层的领导风格等都可能抑制员工的灵活性和学习能力。因此，组织文化的功能是战略经营风险产生的主要来源。

组织中的信息不通畅、员工的情感或情绪问题得不到合理宣泄和回应，天长日久就沉淀淤积，导致组织有效运行障碍和日后组织病变，故组织中的信息沟通情况也是组织战略目标实现的一个来源。

2、本地外部环境战略经营风险。直接竞争主要包括直接竞争对手不断适应和改进其经营，新竞争对手进入市场激化价格战。竞争对手的销售管理机制和市场政策对公司在既定市场上的销售能力和市场开发能力的影响导致公司业绩受到影响。如果公司采取有效的措施来提高销售管理机制的竞争力和政策应变能力，则必然削弱市场开发能力，导致销售业绩降低，在失去竞争优势的同时，增大公司的战略经营风险。

本地劳动力市场风险来源主要是指组织与直接竞争对手在争夺最优劳动力资源方面展开的竞争。人力资源满足公司发展的程度、人才资源的开发、管理机制和企业家资源是影响公司发展的重要战略风险因素。

3、全球环境战略经营风险。国外不确定的政治、监管环境、自然资源的地理位置、全球市场竞争状况及一个国家或地区的语言、文化、风俗及都会深刻地影响企业的组织文化，从而影响企业的战略经营风险。

与战略有关的审计程序会生成证据来帮助审计师提高对战略经营风险、重大错报风险评估的准确性，有助于评估和控制检查风险。战略经营风险评估是一个循环递推过程，需要反复评估和获得反馈，直到审计师的目标实现，即建立充分、合理的审计判断。

（二）经营环节风险评估。通过客户战略系统风险评估，审计师已经识别出重要战略风险和重大交易类别，从而可以推导出重大风险经营环节。通过客户战略系统分析，审计人员应该考虑客户的战略和战略管理程序同财务报告的关系，尤其是对于会计政策选择和财务报表披露，客户的经营战略和经营风险对会计和审计意味着什么，会计估计和计价是否反映了重大的经营风险，客户的战略风险如何影响经营流程和交易流程的额外审计工作。

环节分析是为了使审计人员深入了解在初期审计中发现的关键经营环节，了解客户是如何创造价值的。特别是研究每一项核心经营环节，以发现重要的环节目标、与这些目标有关的经营风险，以及这些风险和控制对财务报表的影响。环节风险包括：领导风险、监管风险、技术风险、财务计划风险、人力资源风险、运营风险、信息风险。

审计师对环节风险进行分析时需要结合环节目标、环节关键成功要素的理解，审计师对重要环节风险进行分析、识别的原因是它们可能会导致会计报表的重大错报。同时，重大交易类别也可能会导致会计报表的重大错报。另外，审计师在进行环节风险分析的同时，需要结合客户战略系统分析阶段识别出重大交易类别以及环节本身的业务活动，并评估其对会计交易的影响，帮助识别环节重大交易的类别及其对会计的影响。

（三）剩余风险评估。现代风险导向审计中的剩余风险就是没有控制在可接受范围水平内的重要经营与重大交易类别。在客户战略系统分析和环节分析完成后，剩余风险也就代表了审计师认为没有被控制住，并对会计报表有潜在重要影响的经营风险，它们可能来源于战略分析，也可能来源于环节分析。剩余风险成为审计师需要关注的重点。审计师根据剩余风险的结论实施追加实质性测试程序，从而将会计报表重大错报的风险，也就是审计风险控制在可接受的范围内。

剩余风险会对以下五个方面产生影响：业绩预期、信息质量、控制环境、生存能力、管理强化。对审计师来说，则关心与信息质量相关的风险，尤其是那些涉及财务报告的风险。剩余风险是在企业的控制措施失效时所产生的，审计人员应该把在审计过程中发现的企业控制不足之处同企业进行沟通，并向企业提出管理建议，从而协助企业预防或检查将来可能出现的错误。不论是通过企业采取进一步措施，还是由审计师直接进行数据重新整理或其他实质性测试，审计师都要运用专业判断评价剩余风险是否在经过这些程序之后被降至可接受水平。如果剩余风险仍处在不可接受水平，则审计师不能出具标准无保留的审计意见，甚至要考虑是否应该从该审计客户辞职。

四、实质性测试

在完成企业战略经营风险评估、环节经营风险评估及剩余风险评估之后，会形成两个结果：存在剩余风险或风险已经被降低到可接受水平。剩余风险的存在应该成为审计师在实质性测试阶段需要关注的重点。审计师根据剩余风险评估报表整体层次和认定层次的重大错报风险，然后据以实施追加的实质性测试程序，从而将会计报表重大错报的风险，也就是审计风险控制在可接受的范围内。

审计风险对实质性测试的影响，主要考虑重大错报风险对审计工作量需要收集的审计证据的影响。剩余风险越高，重大错报风险就越高；剩余风险越低，重大错报风险就越低。对审计证据而言，对重大错报风险高的认定，需要收集更多的审计证据。也就是说，审计师可以接受的检查风险相对较低；对重大错报风险低的认定，需要收集少量的审计证据。也就是说，审计师可以接受的检查风险相对较高。■