审计风险相关理论基础

　　第 2 章 审计风险相关理论基础

　　2.1 审计风险的内涵及模型

　　审计风险是指注册会计师在财务报表存在重大错报时发表了不当审计意见的可能性，财务报表如果并未含有重大错报，但注册会计师发表了财务报表含有重大错报的错误审计意见的风险不包含在审计风险之内。

　　重大错报风险和检查风险是审计风险的重要组成部分。在《基于优秀的审计框架》中了解到重大错报风险意味着报表在审计前发生重大错报的可能性；当某一认定上发生了错报，然而项目组成员没能对这类错报进行有利的识别便称为检查风险[32].

　　重大错报风险和检查风险决定了审计风险，项目组成员在执行业务工作时更要设计有效实施程序，对于那些存在其中所有重大错报风险，根据风险计划进一步审计步骤，控制其检查风险。这里定义如公式（2.1）所示：

　　审计风险=重大错报风险×检查风险 （2.1）

　　在一定的审计风险水平下，检查风险与重大错报风险的关系是相反的，重大错报风险被评估出的程度越高，检查风险的可接受程度就越低，重大错报风险被评估出的程度越低，检查风险的可接受程度就越高。

　　以战略经营风险为导向对企业进行审计是现代审计的一大特点，审计风险评估的重要组成要素则由整体经营风险造成的重大错报，是对审计风险的评估观念及范畴的扩充与延展，是传统风险基础审计的传承与发展。

　　所谓意义上的审计风险，在 2013 年中温喜才就曾表示项目组成员对被审计单位存在重大误报和财务报表发表了不恰当的审计意见可能性，固有风险表示经未考虑内部控制情况时企业及各种往来业务、科目的余额情况，会有重大错报的可能性；内控风险是指企业在面对已经存在的重大差错，没有适当的内部控制对其进行防范或修正的可能性[33].这里定义如公式（2.2）（2.3）所示：

　　重大错报风险=固有风险×控制风险 （2.2）

　　审计风险=固有风险×控制风险×检查风险 （2.3）

　　现代风险导向审计是项目组成员就企业风险进行专业判断，判定其就风险的把握，确定余下风险，执行业务实施的追加程序，能够将企业余下的风险降至社会可接受程度的一种方法和技术。

　　从审计风险的模型中看，其中重大错报风险并不受项目组控制，而是企业自身风险控制。项目组人员如果想对重大错报风险进行正确判别只能通过风险评估程序来做，并根据判定的重大错报风险来分别予以有效的应对方案，风险评估只是一个判断，而不是对风险的精确计量。所以实际执业过程中，项目组成员设计一些进行的程序时更多的要经过对重大错报风险的辨别，对可接受的检查风险做更深一步确定。

　　2.2 重大错报风险

　　财务报表存在重大错报的可能性，主要有两个方面：错误、舞弊。其中错误并非是一种故意行为；但舞弊则是企业的高层管理人员、下属员工或是其他运用不恰当欺骗手段的第三方，进而使其获得不合法利益的某些故意行为，这种舞弊分为两个分支：

　　员工、管理层。从以往的失败的审计案例分析得出，在执行审计工作时主要应对的就是舞弊，特别是管理层的舞弊，因为这种舞弊的隐蔽性都会比较强些，审计项目组人员不是很容易就可以发现的。相对于管理层舞弊行为，会计人员并非有意识的错报行为，由于其并不会过多的掩盖，比较容易在审计过程中被察觉。

　　审计风险模型的传统格局经过有效地变革形成了现代审计风险模式，虽然形式上进行了简化，但却扩大了审计风险的内涵和外延，张连起和丁勇早在 2004 年就曾阐述了重大错报风险所体现两个不同层次：财务报表整体层次和认定层次。

　　（1）财务报表整体层次风险

　　在现代审计格局中，重大错报风险是审计前财务报表存在重大错报的风险，是固有风险连同控制风险的共同合成体。

　　（2）认定层次风险

　　认定层次风险包括往来业务交易类别、科目余额、披露情况和其它相关认定层次的风险，传统的固有风险连同控制风险也包含在这一层次上。这一类别上的错报大部分是会造成错报的经济交易自身性质与复杂程度，公司管理者可能由于自身业务能力不是很高使之产生了一定的错报以及企业某些管理者和个别员工存在舞弊和造假导致的错报[34].

　　企业内部控制最终目的是让财务报告更有效，经营的效率和效果以及对法律法规的遵守。是否合理的发表了审计意见是项目组的审计目标，虽然在审计过程中要对与审计相关的内部控制进行考虑，可是并不需要就其是否有效发表任何审计意见，所以并不需要知道其所有的内部控制。与审计有关的控制，包含被审计公司为让财务报告更有效而设计和实施的控制。项目组成员适当应用专业判断，判定一项控制独自或随同其他控制会不会与评估重大错报风险以及针对风险设计和实施进一步审计程序有关。

　　审计项目组成员凭借自身积累的审计经验，了解企业及其环境，有利于对与审计相关的控制进行识别，如：某些非财务数据的控制（在分析程序时需要使用）；某些法规（对会计报表数据有影响）；信息的完整性和正确性（拟利用内部生成信息）。

　　有效的控制风险，需要对企业的环境进行充分的了解，通过分析之间可能存在的联系，进而发现经营风险。经营风险原则上较会计报表的重大错报风险要更宽泛一些，经营风险在部分水平上包含了后者，部分由经营风险造成的财务后果最后都会反映在财务报告上，对被审计单位的经营风险深入了解对更好的辨别出重大错报风险更为有利，但项目组成员并没有责任就所有经营风险一一辨别，而只需识出与企业财务报表相关的重大错报风险，设计有效的实施计划，降低这种风险。环境风险对公司的影响并不是直接的，这部分也会对经营风险造成一定的干扰。

　　2.3 检查风险

　　项目组成员在执行审计工作过程中往往经过集齐恰当的审计证据以控制和管理检查风险，审计风险可以被维持在可接受的程度，检查风险一般与设计的审计程序相关，实施的进一步审计程序越完善，检查风险便越低，但由于项目组会受到资源、时间等多个要素的制约，项目组成员没有办法完全回避检查风险。财政部在 2010 年曾发布的执业准则已经表示项目组只能就执行的审计业务提供合理、有效保证，但绝不是绝对保证[35].合理保证为积累与必要证据相关概念，项目组成员被要求在提供业务过程中必须不断纠正，以能够得到更合理恰当的审计证据，对被审计单位整体信息提出结论、提供非百分百的高水平保证，其中就提供的业务不能做出绝对保证的原因包括：

　　（1）运用的选择性测试方法

　　审计项目组成员要依据成本效益原则在有限的时间内完成审计业务，一般只能应用选择性测试方法（如：选取特定项目和抽样），检查审计信息，而这两种方法都会使审计结果产生一定的偏差，在是否存在重大错报风险上不能提供绝对保证信息。

　　（2）内部控制中特有的局限性

　　例如，人为判断在决策时出现错误的可能性和导致内部控制失效的人为失误中，内部控制很可能因为多个人员的相互串通或管理层凌驾于内部控制之上而造成失效，这些可能性也决定了项目组成员如果在完全信任内部控制的情况下，在一定程度上会增加检查风险。

　　（3）多数证据偏向于说服性而不是结论性的

　　不同类型的证据在可靠水平方面也存在很大不同，任何审计证据都有其自身缺点。

　　应收账款的函证：即使证据是可靠的，可是很可能被询证者并没有很好核对询证函，会受到各种相应因素的影响。

　　（4）执行审计业务里涉及职业水平

　　项目组成员在选择证据类型及根源上，取得审计证据后评价充分性和适当性时都涉及大量专业判断。由于项目组成员预估的重大错报风险程度低于实际程度，使计划中检查风险程度上偏高，无疑使审计人员所承受的风险加大了，追其根本原因是实际的检查风险水平比应达到水平高，使审计程序计划不充分，无法有效地识别出被审计企业报表项目存在某些差错。因此，对检查风险的把控能更好的把握审计风险，也取决于设计的程序是否更好的执行。

　　2.4 识别审计风险的相关程序

　　颁布的准则规定，项目组人员必须实施风险评估，以评价审计风险。风险评估程序是指项目组成员为了解被审计单位及其环境，通过实施程序评估财务报表各个项目因素的重大错报风险。风险评估程序作为执业工作中的必备步骤，了解被审计单位及其环境在实际工作里其实作为连续动态过程，收集、更新和分析信息，在整个审计过程中贯穿始终，审计项目组成员的职业判断在诸多关键环节上都作为重要的依据。以正常情况来说，对风险评估实施程序的主要业务包含：对被审计公司及其环境的认识；对被审计公司的内部控制的了解；辨识与评估财务报表项目风险因素存在可能错报的风险。

　　通过学习 2014 年注册会计师审计统一考试辅导教材，提到项目组成员对被审计企业及其环境的认识，更多为了有效辨别财务报表的重大错报风险。通过实施这种审计程序来更好的了解企业及其环境通常叫做“风险评估程序”[36].项目组成员应根据实施的审计程序获得信息，辨别出重大错报风险。项目组成员应当实施下列风险评估程序，以了解被审计单位及其环境：

　　（1）询问

　　询问是项目组了解被审计单位信息的重要来源，如管理层关注的问题、公司目前的一些财务状况、企业的经营成果、现金流量等，以及一些重要的变化，询问的人可以是公司的治理层、内部审计人员、参与相关工作的员工，内部法律顾问，相关营销或销售职工。

　　（2）分析程序

　　项目组成员通过研究不同数据之间潜在关系，不光包括财务数据，也包括非财务数据。分析程序既有利于项目组对特别交易等事项的了解，又有利于识别出会影响会计报表的金额和比率等。在执行工作中实施分析程序时，项目组应对也许会发生的问题进行预测，再与企业登记的数额，及其计算出的比率比较，若存在异常，则应在识别重大风险时对比较结果进行考量，如企业存在多产品，每个产品的毛利率都存在差异，若采用总体结果显示存在重大错报项目可能只初步体现在销售成本上，项目组成员应实施详细的审计分析程序，对每一种产品进行分析或结合其他信息进行分析。

　　（3）观察和检查

　　对企业经营活动进行观察，检查其文件及内部控制会议记录及报告，实地盘点厂房等设备，追踪某笔或几笔交易在财务报告系统中的处理过程，即穿行测试。风险评估程序如图 2.1 所示。了解被审计企业的内部控制，项目组要着重考虑，某一控制可否能够以及如何防止、发现并纠正有没有存在重大错报。重大错报风险的评估作为风评阶段最终的步骤，取得有关风险因素和通过实施风险评估程序抵消控制风险的信息，就财务报表各个项目的风险因素进行识别，是为了计划进一步审计程序奠定根基，应对识别出的审计风险。2009 年 Robert 和 Philip 曾表示了对重大错报风险进行辨别时，项目组人员要实施一定的审计程序来逐一判定，第一，了解被审计企业与风险相关的控制过程，与财务报表中各科目相结合，识别风险；第二，结合与相关控制有关测试，把辨别出的风险与可能存在错报的地方相结合；第三，评估识别出的风险，是否与财务报表的整体相关，是否对多项财务报表项目存在潜在的影响；也许会有某个或多个错报的可能性，暗藏错报的重大水平会不会造成重大错报[37].

　　在辨别和识出重大错报风险后，项目组成员要确定发现的重大错报风险是属于什么范畴，要了解控制环境就评估财务报表项目风险因素重大错报风险的一些干扰。审计程序中的风险及重要性评估如图 2.2 所示。