审计风险评估的目的篇1

关键词：审计风险准则风险导向重大错报风险风险评估审计证据

一、前言

2006年财政部颁布了《中国注册会计师执业准则》，标志着我国在建立适应社会主义市场经济发展要求，顺应国际趋同新形势的道路上迈进了一大步。为了更好地指导注册会计师有效地识别、评估和应对审计风险，准则框架体系全面渗透着风险导向审计的理念，要求注册会计师将风险导向审计的观念贯穿于审计全过程。传统审计方法的主要缺陷在于注册会计师重视被审计单位的内部环境，但忽视其所处的外部环境；重视审计单位的控制风险但忽视其固有风险。事实上我国注册会计师面临的情形是被审计单位及其所处环境的日趋复杂。行业状况、法律环境与监管环境以及其他外部因素，都会对注册会计师审计质量产生重大影响。在复杂环境下或被审计单位内部控制不健全时，如果继续采用传统审计模式，局限于控制测试和实质性测试，把审计的主要资源集中在具体交易事项和余额细节测试上。极易引发审计风险。因此，新执业准则要求注册会计师了解被审计单位及其内外部环境，同时注重检查风险和固有风险(即重大错报风险)，重点关注存在重大错报风险的领域，达到避免触发审计风险的目的。新执业准则体系的核心内容为以下准则，简称审计风险准则，分别为：《中国注册会计师执业准则第1101号――财务报表审计的目标和一般原则》(以下简称第1101号准则，下同)、《中国注册会计师执业准则第1211号――了解被审计单位及其环境并评估重大错报风险》、《中国注册会计师执业准则第1231号――针对评估的重大错报风险实施的程序》、《中国注册会计师执业准则第1301号――审计证据》。

二、审计风险准则修订的主要内容

(一)第1101号准则第1101号准则是在借鉴国际审计与鉴证准则第200号的基础上，对原《独立审计准则第1号――会计报表审计》进行修订而形成的。其主要内容有：会计责任和审计责任、审计的目标、审计范围、职业怀疑态度、审计风险及模型。(1)明确区分注册会计师的责任，公司管理层和治理层的责任。新准则规定，对财务报表发表审计意见是注册会计师的责任；在被审计单位治理层的监督下，按照适用的会计准则和相关会计制度的规定编制财务报表是被审计单位管理层的责任。此外，准则条款还特别强调了财务报表审计不能减轻被审计单位管理层和治理层的责任。(2)明确财务报表审计目标。新准则规定，财务报表审计的目标是注册会计师通过执行审计工作，对财务报表的下列方面发表审计意见：财务报表是否按照适用的会计准则和相关会计制度的规定编制；财务报表是否在所有重大方面公允反映被审计单位的财务状况、经营成果和现金流量。这个规定与原有的规定没有太大区别，但是新准则中明确提出，财务报表审计属于鉴证业务，注册会计师的审计意见旨在提高财务报表的可信赖程度。(3)修订审计范围的定义。新准则指出，财务报表的审计范围是指注册会计师为实现财务报表审计目标，根据审计准则和职业判断实施的恰当的审计程序的总和。在确定拟实施的审计程序时，注册会计师应当遵守与财务报表审计相关的各项审计准则。恰当的审计程序是指审计程序的性质、时间和范围是恰当的。一是审计程序的性质指审计程序的目的和类型。目的包括：通过了解被审计单位及其环境，识别、评估重大错报风险；通过实施控制测试，明确内部控制运行的有效性；通过实施实质性程序，发现认定层次的重大错报。类型则包括检查、观察、询问、函证、重新计算、重新执行和分析程序。二是审计程序的时间是指注册会计师何时实施审计程序，或指审计证据适用的期间或时点。三是审计程序的范围是指实施审计程序的数量，包括抽取的样本量，对某项控制活动的观察次数等。审计范围受到限制是指由于客观原因或者被审计单位施加的限制，注册会计师未能实施根据审计准则和职业判断应当实施的审计程序，从而未能获取充分、适当的审计证据。(4)要求注册会计师在审计过程中始终保持职业怀疑态度，并明确在财务报表审计中注册会计师只能提供合理保证。新准则要求，在计划和实施审计工作时，注册会计师应当保持职业怀疑态度，充分考虑可能存在导致财务报表发生重大错报的情形。新准则指出，注册会计师按照审计准则的规定执行审计工作，能够对财务报表整体不存在重大错报获取合理保证。由于审计中存在的固有限制影响注册会计师发现重大错报的能力，注册会计师不能对财务报表整体不存在重大错报获取绝对保证，即只能提供合理保证。(5)引进新的审计模型。新准则对审计风险模型作了重大改变，将原审计风险模型修正为：审计风险：重大错报风险x检查风险，审计风险取决于重大错报风险和检查风险，是两者的综合风险。重大错报风险要求注册会计师站在风险的高度上把握审计过程，以风险为导向进行审计，强化了风险意识，注册会计师对于重大错报风险的评估贯穿于审计的整个过程。改变后的审计风险模型使得注册会计师从更高的层次上把握重大错报风险，要求注册会计师必须了解被审计单位及其环境(包括内部控制)，以充分识别和评估财务报表重大错报风险，并针对评估的重大错报风险设计和实施进一步审计程序(包括控制测试和实质性测试)，以降低注册会计师的审计风险。在目前经济不确定性增大的环境下，显然新的审计风险模型更能满足风险控制的要求，并且可操作性较强。

(二)第1211号准则第1211号准则是在借鉴国际审计与鉴证准则第315号基础上出台的新准则，将取代我国原有的《独立审计准则第21号――了解被审计单位情况》、《独立审计准则第9号――内部控制与审计风险》和《独立审计准则第20号――计算机信息系统环境下的审计》，以克服旧准则相互分离、缺乏有机融合的缺陷。根据《中国注册会计师审计准则第1101号――财务报表审计的目标和一般原则》要求，注册会计师在审计过程中应当贯彻风险导向审计的理念，围绕重大错报风险的识别、评估和应对，计划和实施审计工作。其中如何识别和评估重大错报风险，构成了注册会计师应对重大错报风险的前提。注册会计师如何了解被审计单位及其环境，了解哪些具体的内容，了解后如何对重大错报风险进行评估，如何将了解和评估的过程、结果与管理层和治理层进行沟通，在审计工作底稿中应当对哪些内容进行记录，本准则对这些问题做了明确规范，其修订的主要内容有：(1)注册会计师审计的总体要求：了解被审计单位及其环境是必要程序；了解的目的是识别和评估财务报表重大错报风险，设计和实施进一步审计程序；了解的程度应当足够实现了解的目的。与独立审计准则中的规定不同，了解被审计单位及其内外部环境是注册会计师审计过程中必须实施的程序，

也是风险导向审计的核心。(2)风险评估程序的概念及项目组内部讨论的要求。风险评估程序是指为了解被审计单位及其环境而实施的程序。风险评估程序包括：询问被审计单位管理层和内部其他相关人员；分析程序；观察和检查。注册会计师在了解被审计单位及其环境的整个过程中，结合了解的内容和被审计单位业务的特点运用相应的风险评估程序，并利用风险评估程序所获取的信息评估重大错报风险，并可能随着不断获取审计证据而作出相应的变化。如果通过实施进一步审计程序获取的审计证据与初始评估获取的审计证据相矛盾，注册会计师应当修正风险评估结果，并相应修改原计划实施的进一步审计程序，实施风险评估程序之后项目组内部必须进行讨论。注册会计师通过风险评估程序了解被审计单位及其环境后，需要对财务报表重大错报风险进行评估，评估重大错报风险需要运用专业判断，必须由项目组内部讨论来完成，项目组内部讨论可以有效降低审计风险。在原准则中，评估固有风险、控制风险也需要专业判断，但并没有需要项目组共同讨论的规定。一是讨论的目标。项目组通过讨论可以使成员更好地了解在各自分工负责的领域中，由于舞弊或错误导致财务报表重大错报地可能性，并了解各自实施审计程序的结果如何影响审计的其他方面，包括对确定进一步审计程序的性质、时间和范围的影响。二是讨论的内容。项目组应当讨论被审计单位面临的经营风险、财务报表容易发生错报的领域以及发生错报的方式，特别是由于舞弊导致重大错报的可能性。三是参与讨论的人员。注册会计师应当运用职业判断确定项目组内部参与讨论的成员。项目组的关键成员应当参与讨论，如果项目组需要拥有信息技术或其他特殊技能的专家，这些专家也应当参与讨论。项目组的讨论不要求所有成员每次都参与讨论，参与讨论人员的范围受项目组成员的职责、经验和信息需求的影响。四是讨论的时间和方式。项目组应当根据审计的具体情况，在整个审计过程中，持续交换有关财务报表发生重大错报可能性的信息。项目组在讨论时应当强调在整个过程中保持职业怀疑态度，警惕表明舞弊或错误导致的重大错报可能已经发生的信息或其他迹象，并对这些迹象进行追踪。通过讨论，项目组成员可以交流和分享在整个审计过程中获得的信息，包括可能对重大错报风险评估产生影响的信息或有关针对风险实施的审计程序的信息。(3)注册会计师应尽到的相关职责。对注册会计师应当从哪些方面了解被审计单位及其环境作了详细的定义：行业状况、法律环境与监管环境以及其他外部因素；被审计单位的性质；被审计单位对会计政策的选择和运用；被审计单位的目标、战略以及相关经营风险；被审计单位财务业绩的衡量和评价；被审计单位的内部控制。这些内容是新准则的重要内容，值得注意的是对被审计单位的了解不仅局限于被审计单位的内部控制。对以上新准则中有相应的章节进行具体的阐述，使得注册会计师思考的是究竟哪些方面去了解被审计单位，而不像原有准则中是比较模糊的概念，这样做可以有效防止了解的不彻底影响审计工作，低估重大错报风险。(4)明确了注册会计师了解内部控制的定位。注册会计师需要了解和评价的内部控制只是与财务报表审计相关的内部控制，并非被审计单位所有的内部控制。因为注册会计师审计的目标是对财务报表是否不存在重大错报发表审计意见，注册会计师考虑与财务报表编制相关的内部控制，但目的并非对被审计单位内部控制的有效性发表意见。(5)明确了注册会计师评估两个层次的重大错报风险。在对重大错报风险进行识别和评估后，注册会计师应当确定识别的重大错报风险是与特定的各类交易、账户余额、列报的认定相关，还是与财务报表整体广泛相关，进而影响多项认定。某些重大错报风险可能与特定的各类交易、账户余额、列报的认定相关。如被审计单位存在复杂的联营或合资，这一事项表明长期股权投资账户的认定可能存在重大错报风险。又如被审计单位存在重大的关联方交易，该事项表明关联方及关联方交易的披露认定可能存在重大错报风险。某些重大错报风险可能与财务报表整体广泛相关，进而影响多项认定。如在经济不稳定的国家和地区开展业务、资产的流动性出现问题、重要客户流失、融资能力受到限制等，可能导致注册会计师对被审计单位的持续经营能力产生重大疑虑。又如管理层缺乏诚信或承受异常的压力可能引发舞弊风险，这些风险与财务报表整体相关。(6)提出了特别风险的概念，需要特别考虑的重大错报风险即为特别风险，并根据风险的性质、潜在错报的重要程度和发生的可能性判断风险是否属于特别风险。如风险是否属于舞弊风险；交易的复杂程度；风险是否涉及重大的关联方交易等。(7)提出了对仅通过实质性程序无法应对的重大错报风险的处理方法。仅通过实质性程序获取的审计证据无法将认定层次的重大错报风险降至可接受的低水平，注册会计师应当评价被审计单位针对这些风险设计的控制，并确定其执行情况。在被审计单位对日常交易采用高度自动化处理的情况下，审计证据可能仅以电子形式存在，其充分性和适当性通常取决于自动化信息系统相关控制的有效性，注册会计师应当考虑仅通过实施实质性程序不能获取充分、适当审计证据的可能性。如果认为仅通过实施实质性程序不能获取充分、适当的审计证据，注册会计师应当考虑依赖的相关控制的有效性，并对其进行了解、评估和测试。(8)将了解被审计单位及其环境过程中获得的信息记录与工作底稿中。此类信息包括项目组对由于舞弊或错误导致财务报表发生重大错报的可能性进行的讨论，以便得出的重要结论；对被审计单位及其环境各个方面的了解要点、信息来源以及实施的风险评估程序；在财务报表层次和认定层次识别、评估出的重大错报风险；识别出的特别风险和仅通过实质性程序无法应对的重大错报风险，以及对相关控制的评估。

(三)第1231号准则第1231号准则是在借鉴国际审计与鉴证准则第330号的基础上出台的一个全新的准则，将取代原有的《第21号――了解被审计单位情况》、《第9号――内部控制与审计风险》和《第20号――计算机信息系统环境下的审计》。根据《中国注册会计师审计准则第1101号――财务报表审计的目标和一般原则》的要求，注册会计师在审计过程中应当贯彻风险导向审计的理念，围绕重大错报风险的识别、评估和应对，计划和实施审计工作。其中《第1211号――了解被审计单位及其环境并评估重大错报风险》规范了注册会计师通过实施风险评估程序，识别和评估财务报表层次以及各类交易、账户余额、列报认定层次的重大错报风险，注册会计师针对已评估的财务报表层次的重大错报风险如何确定总体应对措施，针对已评估的认定层次的重大错报风险如何设计和实施进一步审计程序，进一步审计程序的性质、时间、范围如何确定和实施，如何评价实施审计程序收集的审计证据的充分性和适当性，在审计工作底稿中将对哪些审计工作进行记录等，对这些问题的明确规范是第1231号准则的核心内容。其修订的主要内容有：总体要求、针对重大错报风险的总体反应、审计程序的不可预见性、总体方案和进一步审计程序、控制测试的相关要求、实质性程序及相关要求、审计的相关要求、审计工作记录。(1)明确提出了对注册会计师审计的两个总体要求：审计程序的总体要求，注册会计师应

当对评估的财务报表层次重大错报风险确定总体应对措施，并针对评估的认定层次重大错报风险设计和实施进一步审计程序；职业判断的总体要求，注册会计师在确定总体应对措施以及设计和实施进一步审计程序的性质、时间和范围时应当运用职业判断。(2)首次提出了注册会计师应当针对评估的财务报表层次重大错报风险确定下列总体应对措施：向项目组强调在收集和评价审计证据过程中保持职业怀疑态度的必要性；分派更有经验或具有特殊技能的审计人员，或利用专家的工作；提供更多的督导；在选择进一步审计程序时，应当注意使某些程序不被管理层预见或事先了解；对拟实施审计程序的性质、时间和范围作出总体修改。(3)强调审计程序的不可预见性要求。注册会计师针对评估的财务报表层次重大错报风险确定的总体应对措施中强调增强审计程序的不可预见性，因此，注册会计师在设计拟实施审计程序的性质、时间和范围时，为了避免既定思维对审计方案的限制，避免对审计效果的人为干涉，从而使得针对重大错报风险的进一步审计程序更加有效，注册会计师要考虑使某些程序不被审计单位管理层预见或事先了解。(4)首次提出了两种总体方案和进一步审计程序的概念。两种总体方案分别为实质性方案和综合性方案，实质性方案是指注册会计师实施的进一步审计程序以实质性程序为主；综合性方案是指注册会计师在实施进一步审计程序时，将控制测试与实质性程序结合使用。而所谓的进一步审计程序是相对风险评估程序而言的，是注册会计师针对评估的各类交易、账户余额、列报认定层次重大错报风险实施的审计程序，包括控制测试和实质性程序。(5)重新界定了注册会计师实施控制测试的两种情形，当存在下列情形之一时，注册会计师应当实施控制测试：在评估认定层次重大错报风险时，预期控制的运行时有效的；仅实施实质性程序不足以提供认定层次充分、适当的审计证据。(6)强调了实施控制测试获取审计证据的重要性。即认为仅实施实质性程序获取的审计证据无法将认定层次重大错报风险降至可接受水平，注册会计师应当实施相关的控制测试，以获取控制运行有效性的审计证据。(7)增加了“重新执行”的控制测试取证方法。根据第1301号审计证据准则，注册会计师获取审计证据的具体程序中将六种具体的取证方法修改为八种，即检查记录或文件；检查有形资产；观察；询问；函证；重新计算；重新执行；分析程序。其中增加了“重新执行”控制测试的取证方法。(8)严格限制了注册会计师无限期或过长时间内不实施测试的做法。如果拟信赖的控制自上次测试后未发生变化，且不属于旨在减轻特别风险的控制，注册会计师应当运用职业判断确定是否在本期审计中测试其运行有效性，以及本次测试与上次测试的时间间隔，但两次测试的时间间隔不得超过两年。(9)首次明确区分“控制运行的有效性”与“控制是否得到执行”。注册会计师在了解被审计单位及其环境时需要实施风险评估程序。注册会计师在确定控制是否得到执行而实施的某些风险评估程序可能提供有关控制运行有效性的审计证据。注册会计师可以考虑在评价控制设计和获取其得到执行的审计证据的同时测试控制运行有效性，以提高审计效率。两者的区别如(表1)所示。(10)首次明确期中进行控制测试的考虑。如果注册会计师在期中实施控制测试程序，即使注册会计师已获取有关控制在期中运行有效性的审计证据，仍然需要考虑如何能够将控制在期中运行有效性的审计证据合理延伸至期末，以确保针对期中至期末这段剩余期间获取充分、适当的审计证据。如果已获取有关控制在期中运行有效性的审计证据，并拟利用该证据，注册会计师应当实施下列审计程序：首先，获取这些控制在剩余期间变化情况的审计证据。针对期中已获取过审计证据的情况，如果这些控制在剩余期间没有发生变化，注册会计师可能决定信赖期中获取的审计证据；如果这些控制在剩余期间发生了变化，注册会计师需要了解并测试控制的变化对期中审计证据的影响。其次，确定针对剩余期间还需获取的补充审计证据。针对期中已获取过审计证据的情况，如果这些控制在剩余期间发生了变化，注册会计师应当考虑下列因素：评估的认定层次重大错报风险的重大程度。评估的重大错报风险对财务报表的影响越大，注册会计师需要获取的剩余期间的补充证据越多；在期中测试的特定控制。如对自动化运行的控制，注册会计师更可能测试信息系统一般控制的运行有效性，以获取控制在剩余期间运行有效姓的审计证据；在期中对有关控制运行有效性获取的审计证据的程度。如果注册会计师在期中对有关控制运行有效性获取的审计证据比较充分，可以考虑适当减少需要获取的剩余期间的补充证据；剩余期间的长度。剩余期间越长，注册会计师需要获取的剩余期间的补充证据越多；在信赖控制的基础上拟减少进一步实质性程序的范围。注册会计师对相关控制的信赖程度越高，通常在信赖控制的基础上拟减少进一步实质性程序的范围就越大。在这种情况下，注册会计师需要获取的剩余期间的补充证据越多；控制环境。在注册会计师总体上拟信赖控制的前提下，控制环境越薄弱(或把握程度越低)，注册会计师需要获取的剩余期间的补充证据越多。(11)明确了实质性程序概念和内容。实质性程序是指注册会计师针对评估的重大错报风险实施的直接用以发现认定层次重大错报的审计程序。包括对各类交易、账户余额、列报的细节测试以及实质性分析程序。(12)明确了对于特别风险的专门应对程序。如果认为评估的认定层次重大错报风险是特别风险，注册会计师应当专门针对该风险实施实质性程序；如果针对特别风险仅实施实质性程序，注册会计师应当使用细节测试，或将细节测试和实质性分析程序结合使用，以获取充分、适当的审计证据。(13)首次提出了是否在期中实施实质性程序。注册会计师如果在期中实施了实质性程序，仍然需要消耗进一步的审计资源使期中审计证据能够合理延伸至期末，注册会计师应当考虑是否在期中实施实质性程序。(14)指明了财务报表审计是一个累计和不断修正的过程。随着计划的审计程序的实施，如果获取的信息与风险评估时依据的信息有重大差异，注册会计师应当考虑修正风险评估结果，并据以修改原计划的其他审计程序的性质、时间和范围。(15)明确了注册会计师应当针对评估的风险设计细节测试。如在针对存在或发生认定设计细节测试时，注册会计师应当选择包含在财务报表金额中的项目，并获取相关审计证据；针对完整性认定设计细节测试时，注册会计师应当选择有证据表明应包含在财务报表金额中的项目，并调查这些项目是否确实包括在内。(16)明确了审计工作记录要求。注册会计师应当针对评估的重大错报风险实施的程序进行充分的审计工作记录。包括记录：对评估的财务报表层次重大错报风险采取的总体应对措施；实施进一步审计程序的性质、时间和范围；实施进一步审计程序与评估的认定层次重大错报风险的联系；实施进一步审计程序的结果。

(四)第1301号准则第1301号准则是在借鉴国际审计与鉴证准则第500号的基础上，对我国原有的《独立审计准则第5号――审计证据》进行修订而形成的。此次重大修订的内容有：(1)拓展了审计证据的内涵。原审计证据准则将审计证据定义为“注册会计师在执行审计业务过程中，为形成审计意见所获取的证据”。原审计证据准则对审计证据的内涵界定比较窄，注册会计师收集

的审计证据更多体现的是与财务报表会计记录相关的信息。修订后审计证据准则将审计证据定义为“注册会计师为了得到审计结论、形成审计意见而使用的所有信息”。新审计证据准则对审计证据的内涵要宽泛得多，不仅包括与财务报表会计记录相关的信息，还包括其他信息。如(图1)所示。

其中，第一类审计证据是“财务报表依据的会计记录中含有的信息”。会计记录中含有的信息是最基本信息。构成了财务报表最主要的内容，一般包括对初始分列的记录和支持性记录，如支票、电子资金转账记录、发票、合同、总账、明细账、记账凭证和未在记账凭证中反映的对财务报表的其他调整，以及支持成本分配、计算、调节和披露的手工计算表和电子数据表。第二类审计证据是“其他信息”。其他信息是用来印证会计记录中含有的信息是否真实、完整，指导注册会计师如何识别、评估财务报表重大错报风险，一般包括：注册会计师从被审计单位内部或外部获取的会计记录以外的信息，如被审计单位会议记录、内部控制手册、函证函的回函、分析师的报告、与竞争者的比较数据等；通过询问、观察和检查等审计程序获取的信息，如通过检查存货获取存货存在性的证据等；自身编制或获取的可以通过合理推断得出结论的信息，如注册会计师编制的各种计算表、分析表等。(2)引进了“认定”的概念。原审计证据准则未将“认定”写进准则，整个审计准则体系对“认定”概念重视不够，新审计证据准则引入“认定”概念，并要求注册会计师详细运用认定指导具体审计目标，根据具体审计目标来设计和确定进一步审计程序。(3)将获取审计证据的程序区分为总体程序和具体程序。原审计证据准则只列了六种具体的取证方法。修订后的审计证据准则将注册会计师获取审计证据的程序区分为总体程序和具体程序，总体程序增加了风险评估程序，即包括风险评估程序、控制测试和实质性程序；具体程序中将六种具体的取证方法修改为八种，具体包括的内容前文已述及。其中，将“监盘”程序进行细分，因为“监盘”是“检查记录或文件”、“检查有形资产”、“观察”等具体审计程序的复合程序；增加“重新执行”具体程序；将原来的“计算”和“分析性复核”分别修改为“重新计算”和“分析程序”。(4)新增风险评估程序。根据风险导向审计准则体系的要求，注册会计师应当通过了解被审计单位及其环境识别重大错报风险，并针对评估的重大错报风险设计和实施进一步的审计程序，因此，在修订后的审计证据准则中增加“风险评估程序”，以此为手段通过了解情况作为评估财务报表层次和认定层次重大错报风险的基础。但风险评估程序并不能识别出所有的重大错报风险，虽然它可作为评估财务报表层次和认定层次重大错报风险的基础，但并不能为发表审计意见提供充分、适当的审计证据。为了获取充分、适当的审计证据，注册会计师还需要实施进一步程序，包括实施控制测试(必要时或决定测试时)和实质性程序。(5)新增“重新执行”的具体审计程序。重新执行是指注册会计师以人工方式或使用计算机辅助审计技术，重新独立执行作为被审计单位内部控制组成部分的程序或控制。如注册会计师利用被审计单位的银行存款日记账和银行对账单，重新编制银行存款余额调节表，并与被审计单位编制的银行存款余额调节表进行比较。

三、审计风险准则对注册会计师的影响

(一)对注册会计师审计理念的影响注册会计师审计的主线始终是对重大错报风险的识别、评估与应对。注册会计师为了实现审计目标。在计划和实施审计工作时，应当保持职业怀疑态度，充分考虑可能导致会计报表发生重大错报的情形。在审计和实施进一步审计程序时，注册会计师应当将审计程序的性质、时间及范围与识别和评估的风险相联系，以防止机械利用程序表从形式上迎合独立审计准则对审计程序的要求。注册会计师必须针对重大的各类交易、账户余额、列报和披露实施实质性测试。注册会计师对重大错报风险评估是一种判断，并且内部控制存在固有限制，无论评估的重大错报风险结果如何，注册会计师必须针对重大的各类交易、账户余额、列报和披露实施实质性程序，不得将实质性测试只集中在例外事项上。

审计风险评估的目的篇2

风险导向审计是指以被审计单位的风险评估为基础，综合分析影响被审计单位经济活动的各种风险因素，并根据量化的风险水平确定实施审计的范围、重点，进而进行实质性审查的一种审计方法。这种方法最显著的一个诉求就是降低审计风险，降低审计风险是对注册会计师的最起码要求。在接受委托之前，注册会计师会对项目的审计风险进行确认，若是认为其风险多大，便不会答应聘请要求；若是确认之后，风险能?虺惺埽?注册会计师便会签订审计聘约，占领风险“高地”，降低诉讼风险。

风险导向审计有两个特点：一个就在于其强调审计的全过程风险性，另一个就是评估固有风险。明确了固有的风险，科学评估，能够帮助注册会计师确定财务报表发生错弊的可能性，以便注册会计师分配审计资源，集中主要力量解决主要矛盾，提高审计效率。

2风险导向审计模式的现状

跨国企业的独立审计建立在传统审计风险模型的基础上，传统审计风险主要包括四个组成部分，其中不但包括审计风险、控制风险，还包括检查风险、固有风险。基于这个模型的独立审计有很大的局限，那就是注册会计师是否实施审计程序以及在多大范围内实施，完全取决于对检查风险的评估，而评估检查风险又依赖于对固有风险和控制风险的评估。

在实践中，关于固定风险的研究虽然不少，但要对其进行准确评估却并不简单，在这样的情况下进行风险评估，主要的精力需要集中在控制风险评估上。若是将控制风险控制得较低，实质性测试工作就可以减少许多，但这种做法显然存在隐患。之所以会出现隐患是因为存在内部操纵的可能，一旦出现了员工、管理层操纵，之前所做的工作将失效，势必对后续的审计工作产生消极影响，提高审计风险。此外，我们还需要看到，企业使社会经济生活的一部分，企业的会计报表受到诸多因素的影响，其中不但包括行业状况、企业性质、经营风险，还包括监管环境、经营及发展战略等。在复杂的经济活动中，若是出现了重大舞弊，且通过企业的内部控制难以有效对其进行控制，内部控制就会失效。对注册会计师来说，在进行审计的时候，若是局限于内部控制，不能拓展审计视角，遭到蒙蔽、欺骗是在所难免的。

3现代风险导向审计模式的转变

现代风险导向审计和传统风险导向审计的本质区别于审计理念和审计技术方法的不同。传统风险导向风险审计存在审计隐患，风险评估体系不够完善，很难对高风险审计领域进行有效的识别，出现了审计过量或不足的情况，对后续的审计程序、结果产生了不利影响。相较于传统风险导向审计，现代风险导向审计有如下几点转变。

31审计重心转变

现代风险导向审计与以往的审计有了诸多的变化，其中最为明显的要属审计重心的转变，在引入“重大错报风险”概念之后，现代风险导向审计优化、调整了自身的审计风险模型。在传统风险导向审计中，测试是整个审计的重心，风险评估效力偏弱；而调整之后，风险评估重新作为整个审计的重心。这个转变并非形式上的改变，而是植根于风险导向理念的改变。在新的风险导向理念下，审计更注重对风险源的评估，将一切审计归于本质，有效地避免了假象的迷惑，对做出正确的判断和审计结论起到了积极的作用，真正实现了“主动审计”。

32风险评估重心转变

在以往的风险导向审计中，控制风险评估是整个审计的重心，而调整之后的“现代审计”则确立了以重大错报风险为重心的综合分析评估方法。确立了现代企业制度的企业，若是出现了舞弊的情况，其中绝大部分要归咎于管理层，因为制度的完善使员工舞弊的可能性无限降低，而管理层的舞弊“敞口”要大得多。企业出现的重大错报风险，和企业管理舞弊关系紧密。之所以对风险评估的重心进行调整，就是为了更好地消除、应对重大错报风险，积极应对、发现、整治企业的管理舞弊现象。现代风险导向审计将审计作为一个大系统，十分注重于管理当局、治理当局的沟通，对企业的管理舞弊出示了“警示牌”。

33风险评估结构转变

传统的风险导向审计风险评估比较零散，而调整之后的现代导向审计更为结构化。结构化的改变让审计业务流程得到了优化，使审计能够更好地贯彻现代风险导向审计理念。在传统风险导向审计的审计体系中，源于审计对象的关键风险被分割，形成了固有风险、控制风险，分别对两个风险进行分析评估，虽然看似更为明确，但是审计的整体性却大为下降。为了更好地体现出审计的整体性，现代风险导向审计将其合并为重大错报风险，在系统分析的基础上，对其进行综合评估分析。在这种新的评估分析结构中，更多的风险因素被引入，对宏观、整体地评估、分析审计风险有重要意义。

4对完善跨国企业审计技术方法启示

41调整跨国企业审计理念

相较于民间审计，跨国企业审计的职责具有很强的公共性，审计的范围虽然也是经济领域，但是审计的内容却涉及跨国企业和民众利益，跨国企业审计机构需要做的就是对涉及这些内容的权力运行过程进行监督。就目前的情况来看，跨国企业审计涉及四个重点，其中不但包括财政资金审计监督、金融资产审计监督，还包括国有资产审计监督、社保资金审计监督。这四个方面对跨国企业经济领域影响重大，财政资金与经济政策制定息息相关；金融资产关系直接关系到金融风险水平；社保关系则影响到社会福利制度建设和社会稳定；国有资产对跨国企业经济基础的重要性不言自明。如上几个方面的内容都是跨国企业审计的重点，一旦与腐败相连，势必会对经济领域产生严重的负面影响，为此，我们需要对重点内容加大审计力度。

审计监督的重点在于资金的审查，在审计的过程中，不但要了解审计资金的分配、支出情况，还需要对资金的使用情况、合规性等进行审查。一旦发现其中不符合规定程序的操作，要按照有关规定处理，只有如此，才能规避暗箱操作，起到抑制腐败的作用。跨国企业已经进入市场经济改革深水区，计划经济和市场经济存在根本的区别，固有的经济问题也不尽相同。在市场经济转轨时期，跨国企业出现了很多比较特殊的经济现象，一些部分、单位，在利益的驱使下钻了改革的“空子”，给跨国企业和人民造成了很大的损失。此外，部分权力制约失效问题也应该引起我们的关注，在权力未得到有效制约的情况下，难免会出现钱权交易的情况。总而言之，在市场经济转型的特殊背景下，跨国企业出现的腐败问题是复杂的、多样的、顽固的，若不开展前瞻性、全面性、系统性的审计，势必会造成严重的负面影响。

42前移跨国企业审计重心

目前，跨国企业审计机构主要使用两种审计模式，一种是制度基础审计模式，另一种是账户基础审计模式。这两种模式侧重的是对错差风险的审计，对其他风险的关注较少，审计的局部性比较强，在财务报表整体审计及把握上存在很大的局限，只能由局部到整体。在这种审计模式下，审计人员对风险的认识会混乱，不能对风险进行全面、系统的人事，实施有力、有效的控制，势必会影响审计效果。

现代风险导向审计模式则确立了新的审计模式，从风险源分析入手，以风险源为导向，结合被审计对象所处的环境进行分析并进行严密的逻辑推理，进而一步一步地推导和落实审计的范围和重点，确定相关的审计目标和审计程序，给审计人员把握、控制审计风险创造了良好的条件。在这种审计模式下，??计人员的审计可以从整体到局部，因为准确抓住了风险源，审计人员的思路更加清晰，对审计风险的认识、判断更为清晰、准确，只要在接下来的审计程序中完成好取证、调查工作，就可以高质量、高效率完成审计工作。总的来说，跨国企业审计工作重心必须前移，只有树立整体、系统观点，确立以风险为导的审计模式，实施由整体到局部再由局部到整体的审计战略，才能更好地促进跨国企业审计的发展。

43完善跨国企业审计程序机制

在新准则中，审计程序被重新确定，包括风险评估、控制测试、实质性测试三个方面，以下分别对这三个方面进行阐述：其一，风险评估程序。这个程序主要是对审计单位及其环境进行全面、翔实的了解，被审计单位的内部控制也包含其中。之所以确定这个程序，目的有两点：一点是评估财务报表层次，另一点是确定重大错报风险的等级。其二，控制测试程序。完成了风险评估程序后需要需要开展控制测试，所谓的控制测试就是对内部控制（目的是为了测试内部控制在防止、发现和纠正认定层次重大错报方面的有效性，并据此一并评估重大错报风险）。三是实质性测试程序。完成了如上两个程序，就需要进行实质性测试环程序，改程序是为了对前面认定的重大错报风险进行检查，并确定相应的审计程序。

传统的审计建立在审计测试的基础上，随着风险导向审计模式的建立和应用，传统审计暴露出很多的问题，风险评估为中心的审计模式体现出更大的优越性。该模式建立、应用之后，加强了风险评估程序，贯彻、执行了风险导向审计的理念。在跨国企业审计技术方法完善的过程中，可以借鉴民间审计的程序。上文已经提到，管理舞弊也是跨国企业审计的高风险区，在实际的审计程序确立过程中，跨国企业审计机构还是应该将管理舞弊风险评价作为切入点，开展全面的风险评估，并且对管理层的诚信度进行评价。完成评估评价流程的基础上，要根据结果，判断被审计单位内控风险、管理舞弊风险的层次和等级；依据确定的层次和等级，制订审计计划，审计计划的制订除了依据层次、等级认定，还需要考虑到管理层诚信度、内控效度，致力于实现审计资源配置利用最大化。在这里需要注意的是，管理舞弊风险属于固有风险，在审计过程中，通过直接评估很难有所发现，所以应该将重点放在账外，辅以必要的间接评估手段，只有如此，才能达到理想的效果。

审计风险评估的目的篇3

风险导向审计模式下审计的程序包括以下步骤：风险评估程序、控制测试、实质性程序，其中风险评估是基础和前提，通过风险评估来确定实施进一步审计程序的性质、时间和范围。

（一）审计风险评估指标体系设计思路。

审计风险是指，会计报表存在重大错报或漏报，而审计人员审计后发表不恰当意见的可能性。根据新的审计准则，总体审计风险包括重大错报风险和检查风险。重大错报风险是指财务报表在审计前存在的重大错报的可能性，重大错报风险的大小主要取决于生产经营风险的大小，而企业内部控制设置和执行的缺陷及具体认定本身固有缺陷也会造成错报风险。检查风险是指某一账户或交易类别单独或连同其他账户、交易类别产生重大错报或漏报而未能被实质性测试发现的可能性。审计的最根本着眼点就是分析企业所面临的经营风险，审计风险评估指标体系的设计也从企业经营风险和控制风险上来进行设计。会计报表风险实际上是企业战略风险和相关经营风险的副产品，①其审计风险=企业经营风险+控制风险+检查风险。

（二）审计风险评估指标体系的构成

审计风险评估指标体系可以依据注册会计师审计准则第1211号—了解被审计单位及其环境，并评估重大错报风险来确定。

1.外部环境。外部环境对企业的经营和发展产生重要影响，从而可能导致重大错报风险的产生。可能影响财务报表的外部环境包括企业所处行业状况、法律环境、监管环境、宏观经济环境。

2.被审计单位的性质。如果被审计单位的所有权结构、治理结构、组织结构不恰当或存在缺陷，就有可能造成财务报表出现重大错报。

3.经营活动。被审计单位的经营活动会产生经营风险，而多数经营风险最终都会产生财务后果从而影响财务报表。经营风险主要来源于对被审计单位实现目标、战略产生不利影响的重大情况、事项、环境和行动，或源于不恰当的目标和战略，以及为实现目标和战略制定的关键经营流程。

4.财务业绩的衡量和评价。被审计单位内部或外部对财务业绩的衡量和评价可能对管理层产生压力，促使其采取行动改善财务业绩或歪曲财务报表。财务业绩的衡量和评价因素包括关键业绩指标、业绩趋势、业绩考核与激励性报酬政策。

5.内部控制。内部控制能有效防止、发现和纠正被审计单位差错和舞弊，如果内部控制不利，被审计单位财务报表中出现重大错报的可能性就会大大增加。内部控制包括控制环境、被审单位的风险评估过程、信息系统与沟通控制活动、对控制的监督。

审计风险的评估

审计风险的评估方法采用定量分析法与定性法分析相结合的方法，在下面的审计风险评估中，我们采用了因素分析法、①审计风险模型法、分析性复核等方法。

（一）企业经营风险的评估

企业经营风险评估的目的主要是为了确定企业的总体层次和认定层次的发生重大错报的可能性，传统的风险评估注重于对账户余额和交易层次风险的评估，在现代风险导向审计下，是从经营风险的评估入手，评估企业可能产生的重大错报和漏报。目前审计人员的一般做法是：在各种情况都比较好的情况下，企业经营的水平应该高于50%；反之，如果有某种迹象表明有可能存在重大错误，就应该将企业经营风险定为非常高的水平，甚至100%。评估企业经营风险的3个具体步骤如下：需要考虑企业经营风险的构成要素及其企业经营风险评估指标;各要素所占的权重以及各要素本身风险值的大小;最后将各要素风险值与其权重加权平均计算出企业经营风险值。即企业经营风险=∑xiyi/∑Pyi，其中，x表示各指标（要素）本身风险值的大小，y表示各指标（要素）所占的权重，而P表示各指标（要素）本身风险的最大值（为一常数）。下面举例说明企业经营风险评估的具体实施。

步骤一、经过对企业经营风险要素的识别，从指标体系中，选择一部分指标来进行计算。它们是企业长期偿债能力指标，盈利能力状况指标，资产营运效率、安全边际指标，顾客满意度，市场占有率，主营业务市场份额等。

步骤二、确定每个指标的取值A=企业长期偿债能力，B=盈利能力状况，C=资产营运效率，D=安全边际，E=顾客满意度，F=市场占有率，G=主营业务市场份额，H=研究开发新产品周期，I=合格产品比率，以上指标取值均为1—5分。

其中1分表示企业盈利能力非常强、资产营运效率非常高、安全边际程度非常高、顾客满意度非常高、市场占有率非常高、主营业务市场份额非常大，研究开发新产品周期非常短、合格产品比率非常高。5分表示企业盈利能力非常弱、资产营运效率非常低、安全边际程度非常低、顾客满意度非常低、市场占有率非常低、主营业务市场份额非常小，研究开发新产品周期非常长、合格产品比率非常低。运用专家意见法，通过反复多次征求专家意见，形成基本一致的意见。根据专家的意见，假设每个指标取值如下：A=3B=3C=3D=3E=2F=5G=4H=2I=2

步骤三、运用矩阵技术，得出9个参数的相关重要性（即各自的权重，见表1。需说明的是，本举证仅利用了一个简单的多元比较，而未采用高等数学中矩阵来求解。矩阵中每一数字表示该数字所载列的参数相对于该数字所在行的参数的相对重要性（主要取决于审计人员的职业判断）。相关加数值（即各自的权重）是由其上一行的平方根除以4得出。因此，可以计算出个指标的权重如下：步骤四、计算企业经营风险根据公式：企业经营风险=∑xiyi/∑Pyi可知，企业经营风险=（1*3+2*3+3*5+3*1+2*1+5*3+4*2+7*2+7*2）（/1*5+2*5+5*5+1*5+1*5+3*5+2*5+7*5+7*5）=80/145=55%

（二）企业控制风险的评估

控制风险是被审计单位内部控制要素效果的函数。审计人员无法改变控制风险水平，仅能评价控制系统和评估未能揭示出错报的概率。如果存在以下几种情况：（1）控制政策与程序与认定不相关；（2）控制政策和程序无效；（3）取得证据来评价内部控制显得不经济。那么审计人员可以将控制风险定为100%，直接进行实质性测试。如果审计人员将控制风险定为100%以下的某一水平，则要执行下面的步骤来评估控制风险的水平。

1．根据识别初步评价控制风险

审计人员在评估控制风险时，先了解相关的内部控制流程，识别相关的控制风险，对控制风险水平作一个初步的评估。了解内部控制时，主要从以下方面考虑：（1）每一结构要素中制度和程序如何设计；（2）这些制度和程序是否得到执行。考虑这两个因素的基础上结合控制风险识别的结果对控制风险做出初步评估。

2．通过控制测试降低估计的控制风险水平

审计人员决定通过有效方法进一步降低控制风险的估计水平时，可以设计追加的测试程序来进行，包括3种方法：重新执行、进一步观察和文件测试。审计人员进行测试时，应该对3个层次的内部控制进行测试，即对最高层、中层和最低层内部控制进行测试。由于内部控制的运行效果可以通过实施控制测试来更好地了解，所以大多数审计人员在没有实施控制测试时都不愿意将控制风险评估为低于最高水平。

3．控制风险的计量

内部控制是一个系统，按层次可分为3个控制层次，即最高层、中层和基层控制。每一个层次都是一个子系统，3个层次中的每个层次的可靠性程序决定着整个内部控制的可靠性。控制风险为：C=1-P;P=P1*P2*P3其中，C表示控制风险，P表示内部控制的可信性，P1、P2、P3分别表示最高层控制的可信度、中层控制的可信度和基层控制的可信度。首先，对最高层控制所设计的控制风险指标包括权力决策人员知识结构、能力结构达标率。这些指标越高，则内部控制设计相对较为健全，控制风险较小。在中层控制流程上，所运用的指标主要为评价管理部门设立的全面性、互为牵制作用性指标，当这一指标越高时，即管理部门的设计越全面，各职能部门之间能起到很好的牵制作用，则控制风险就可能会小些。在基层控制流程上，评估控制风险的指标主要有一定会计期间内的岗位轮换率，业务操作的换人复核率，稽核程序执行率，稽核统计差错率，稽核重大事项的及时报告率等。当这些指标比率较高时，控制风险相对较小。上述控制风险评估的计量结果与控制测试的测试结果相结合，就可具体地评估出控制风险。

（三）检查风险的评估

检查风险是审计程序的有效性和审计人员运用审计程序有效性的函数。检查风险是必然存在的风险，其水平的高低与被审计单位无关，而与审计程序的有效性有关。审计人员能够控制检查风险，但受审计资源、审计时间等要素制约，以及审计人员出于成本效益的考虑，检查风险不能根除。与企业经营风险和控制风险不同，检查风险是根据审计风险模型的公式计算出来的，即：检查风险=审计风险/企业经营风险*控制风险检查风险的实际水平随着审计人员实施实质性测试的性质、时间和范围的变化而改变。

结束语

审计风险评估的目的篇4

一审计风险评估研究回顾

所谓风险，根据美国项目管理学会(PMD)的定义，是指“正面或负面影响项目内容的不确定事件或条件”，风险与不确定性有着紧密的联系。审计过程中存在的信息对称，特别是存在管理舞弊时，采用正常的审计程序难以形成可靠的审计结论，从而为审计执业带来高度不确定性，也就是审计风险的根源。

(一)审计风险评估的实务探索对审计风险的评估处于探索之中，出现了多种经营分析和风险评估框架，如COSO，COCO、平衡记分卡、波特五力模型、全面质量管理、系统思想、竞争性战略、战略系统审计等，这些工具和技术形成了早期现代风险导向审计的基础。审计师利用这些工具和技术去理解客户的价值和定位，理解客户面临的风险，以此增强对非抽样风险的控制，同时也为客户提供增值性的非审计业务。大型的会计师事务所在20世纪90年代中期都开始探索自己的风险审计方法或战略系统审计(sSA)框架，但各个事务所的名称各不相同。

(二)审计风险评估的理论研究我国一些学者也对审计风险的评估技术进行了研究，如王桂兰(2006)提出了将案例推理引入到审计风险评估研究中，运用现代风险导向审计的理念，构建审计重大错报风险评估框架，同时将先进的计算机审计技术应用于多样性的分析性复核中，建立一套科学的评估系统以便较为准确地识别、评估审计中的风险因素，以期达到有效避免盲目审计，合理分配审计资源，有针对性地执行审计程序，发现重大错报，从而实现降低审计风险的目的。顾晓安(2006)以新国际审计准则中重大错报风险评估体系的内容为基础，针对如何将从企业及环境了解到的风险因素与认定层次可能发生的重大错报相联系，提出了首先通过业务循环来进行风险因素的识别、筛选和初步风险评估，再将业务循环的风险同报表认定层次相对应的两阶段风险评估法，并设计和描述在专家系统平台上实施该风险评估系统的系统结构、功能模块和操作流程。目前，这些方法仍在不断发展和完善之中，其名称和内容虽然并不完全相同，但本质都属于现代风险导向审计。与之前的着重于静态风险评估不同，本文建立了动态评估方法体系，研究审计风险评估的过程步骤，从每一步骤人手，分析其风险组成，并进行归纳、分层，提出一个审计风险评估的三维分析概念模型，由此建立审计风险与审计策略的关联关系。

二、审计风险的动态评估过程

Knechel教授认为，现代风险导向审计方法应由两部分组成，即风险的评估和根据风险评估证据确定用什么样的测试来获得证据。据此思路，可将审计风险的动态评估划分为：确定审计范围、寻找审计风险点及相适合的审计技术、评价审计风险与对策方案、实施审计策略这四个相互关联的步骤(如图1)。

(一)划定审计范围审计人员对企业的内部控制状况及商业经营环境进行评估，结合审计业务约定数，划定审计范围。该范围不是一旦确定就固定不变的，应随着审计人对被审计对象的了解加深而不断调整。

(二)寻找审计风险点及相适合的审计技术一旦审计范围确定，就必须根据审计师的个人经验判断及审计专家系统提示的信息来寻找风险点，如将各风险因素分配到业务循环中，在业务循环层次上筛选和分析风险因素，由此将风险具体化，进行初步的风险评估。对风险点进行筛选后，选择适合的审计技术，如风险分析技术或实施计划控制测试、实质性测试等对策方案。

(三)评价审计风险与对策方案按优先顺序排列，再根据审计力量、审计目标、内部控制状况、商业经营环境等加以评价。

(四)实施审计策略着重于如何以一种特定的战略姿态将审计方案付诸实施。体现了审计人员对不确定性预见与自身能力和资源调控能力的反复结合，是一个动态调整和不断发展的过程，这也是其与传统静态技术评估方法相比的最大不同。动态评估过程本身对审计人员就是一种学习，而这种学习又充实了这个过程。

三、动态评估过程中审计风险的识别

风险识别贯穿动态评估的全过程，要找出所有评估过程中的风险组成，即不确定事件和可能导致重大错报的原因和条件。按照动态评估的4个基本步骤来识别审计的风险所在。

(一)确定审计范围中的风险审计范围确定的过程又可以称为审计战略定位，审计师需要根据业务约定书，结合被审计单位的经营历史、财务状况，以及审计师自身的技术能力来确定审计范围。这一范围的确定过程中，审计师的经验判断是主要依据，因此存在诸多的不确定性。首先不同的审计师对审计范围的理解可能会有差异，审计师对被审计对象的了解有限，确定错误的审计范围有可能加大重大错报的风险；其次被审计对象存在管理舞弊的可能，会刻意引导注册会计师进入错误的审计范围，从而阻碍注册会计师通过风险导向审计将会计报表重大错报风险和经营风险联系起来从而发现会计报表的错报。

(二)寻找风险点及适合审计技术过程中的风险风险点的识别需要借助一定的技术，如重大错报案例研究技术、业务循环控制缺陷识别技术等。限于审计力量，审计师更有可能采用经验判断来寻找风险点。寻找到风险点后，审计师需用敏锐的眼光识别具有针对性的技术，根据内部技术储备和外部技术可利用情况来寻找和发现适合的技术去消除审计风险点，揭示其中关系到重大错报的可能性。这一步骤的风险表现为：(1)审计师寻找到了错误的风险点，导致审计工作无效果；(2)审计师能力不够，不能采用或者执行适合的审计技术；(3)审计技术不完善，存在固有缺陷，导致采用该技术后不能获得理想的审计成果。

(三)评估过程中的风险按照质量控制的原则，对审计风险及对策方案的评估应该由不同的审计师担任。这是一个将审计资

源技术能力、审计范围与风险点相匹配的过程。审计机构内的评估小组必须仔细研究每一项审计技术是否能用于审计风险点揭示，如何服务于审计范围，是否在审计师的技术能力范围内等。该步骤的风险主要来自评估小组的综合能力，特别是对审计师所处的被审计对象微观环境的判断和理解，以及如何与审计师自身资源和能力相匹配所带来的风险。

(四)实施审计策略的风险审计策略的实施贯穿审计全过程，使用动态评估过程技术，需要审计师根据审计情况来调整审计策略，这一过程的风险有：审计师调整审计策略能力风险，审计师能否关注审计风险早期信号，特别是对这些信号及其变化的认识和理解的差异性。由此及时调整策略，这样可以节省审计成本。

四、审计风险的三维分析

通过上述动态评估过程主要环节中的风险识别，不难看出审计风险的评估过程也是一个风险识别的过程，其风险具有系统性、多维性和动态性的特点。但风险总是客观存在的，也是可以通过一定方法测量或预测的，可从风险来源的角度，将过程中错综复杂的风险按经营及内部控制风险、财务风险、审计技术风险三个方向进行归纳，建立三维分析模型，但由于各种风险的远近、程度不一样，还须进一步对每个方向上的风险进行分层分析。

(一)经营及内部控制风险新国际审计准则要求注册会计师了解企业及其环境，包括：行业状况、监管环境以及其他外部因素；被审计单位的性质及对会计政策的选择和运用；被审计单位的目标、战略以及相关经营风险；被审计单位财务业绩的衡量和评价。从相关内部控制情况，评估可能的重大错报风险。

(1)行业状况、监管环境以及其他外部因素。可能造成重大错报的行业状况、监管环境以及其他外部风险因素，包括竞争环境、供应商和客户、技术进步、适用的财务报告准则、法律和政治环境以及与行业和企业相关的环保要求等。

(2)企业性质，包括企业对会计政策的选择和应用。企业性质包括产权结构、组织结构、经营项目、筹资和投资。对于企业性质的了解可以使审计人员理解财务报表中交易的类型，并对账户余额和披露产生预期；对于所有权人之间及与其他企业之间关系的认识可以发现关联方交易并合理地进行评估；如果企业有复杂的组织结构，则要考虑合并报表中可能发生的错误；了解企业对于会计政策的选择和应用，考虑是否适合于企业经营性质，与相关行业所用的会计制度是否一致等。这些考虑和关注对重大错报风险的评估都有着重要作用。

(3)目标和战略以及相关的经营风险。经营风险是指对企业经营目标和战略的实现造成影响的事件和状况，大多数经营风险最终都会有财务后果，会对报表产生影响，但并不是所有的经营风险都会造成重大错报。

(4)企业财务业绩的衡量和评估方法。不管是内部还是外部的业绩评估都会对企业产生压力，从而使得管理人员改善经营业绩或者直接对财务报表进行粉饰。对于企业业绩衡量方法的了解可以使审计人员判断管理层行为是否会增加重大错报的风险。

(5)内部控制。控制活动可能对于某项特别性质的业务或者账户余额的单个认定产生影响。如企业建立的用来保证其员工准确地计算和记录存货的控制活动就直接同存货账户余额的完整性和存在性认定相关。

(二)财务风险来源财务风险来源分析是通过常规财务分析、财务失败风险分析、财务舞弊风险分析三个部分来完成的。常规财务分析主要通过盈利能力、偿债能力等的五力分析模型来完成，分析评价常规的财务指标。财务失败风险分析主要通过z模型等来完成，对财务情况进行预警。财务舞弊分析是审计风险分析需重点关注的内容，实证研究的结果表明，自从净资产收益(ROE)作为上市公司申请配股的依据之一，上市公司在ROE数据上存在着明显的操纵行为；而单位负责人又是造成会计信息失真的主体因素。管理舞弊是管理层试图以舞弊财务报表为手段获得更多的机会利益，独立审计师如不能查出这种舞弊行为，就须承担法律责任，管理层与审计人员之间存在严重的利益冲突，因此管理层不可能真正地配合独立审计师有效地实施审计工作，由此带来巨大的审计风险。

(三)审计技术风险来源现代审计已形成系列的技术方法，用于审计师对重大错报风险(RMM)、重大缺陷风险(RMW)和检查风险(DR)的评估。较常用的如审计抽样技术，该技术存在抽样风险，即审计师依据抽样结果得出的结论与对审计对象总体执行同一审计程序所得到的结论可能不相符合。又如，业务实质性测试，该技术目的是确定原始凭证与记账凭证是否相符、账务处理是否正确，而“一条龙造假”表现为假账真做，特别是在当前信息化环境下，大量的单据是电脑自动生成的，均能做到账证相符、账务处理正确，账表相符，因此就电脑账下审计人员再实施交易业务实质性测试，验证账账、账表是否相符也便失去了意义。再如，分析性测试，该技术是指注册会计师分析被审计单位重要的比率或趋势，包括调查这些比率或趋势的异常变动及其与预期数额和相关信息的差异。目的是评价业务和余额的总体合理性。我国《独立审计具体准则第11号――分析性复核》指出，“如果分析性复核使用的是内部控制生成的信息，而内部控制失效，注册会计师不应该信赖这些信息及分析性复核的结果”，并且分析性程序究竟能在多大程度上提供有用的实质性证据，还取决于其在具体情况下的可靠性。

审计风险评估的目的篇5

一、现代风险导向审计与洗钱风险评估

（一）现代风险导向审计审计的目标是对财务报表不存在由于错误或舞弊导致的重大错报获得合理保证，其审计方法，即现代风险导向审计是当今主流的审计方法，要求审计人员从宏观上了解被审计单位及其环境，充分识别和评估财务报表重大错报风险，针对评估的重大错报风险设计和实施控制测试与实质性测试程序，并根据审计结果出具恰当的审计报告。现代风险导向审计基于战略层面和经营层面进行分析，可以克服因缺乏全局观而导致的审计失败风险，其不仅关注到上市公司经营风险对会计报表的影响，还把上市公司管理层对其影响因素考虑在内，同时相应减少了审计资源在实质性测试方面的分配，节省审计成本。

（二）金融机构洗钱风险评估2012年2月，金融行动特别工作组的“40项建议”重点突出风险为本反洗钱工作方法，主要体现在根据洗钱、恐怖融资等非法活动的风险高低，合理配置相应的资源，采取相应的控制措施，既包括对洗钱风险的评估，还包括依据风险评估结果对高风险领域采取强化措施。洗钱风险评估主要体现在三个方面的运用：一是FATF及有关机构对国家整体洗钱风险进行评估；二是反洗钱监管部门对金融机构洗钱风险进行评估；三是金融机构对客户洗钱风险进行评估。须注意的是，金融机构洗钱风险评估与金融机构反洗钱工作评估不同，洗钱风险评估是指对金融机构被利用洗钱，即洗钱风险高低进行评价，侧重于预防洗钱风险能力方面；反洗钱工作评估是指对金融机构的反洗钱工作情况进行评价，是一种类似于绩效考核的评价模式。两者在评价指标设计及方法上有所不同，如被评估机构工作（调研）受到表彰、认可或表扬，协助破获了洗钱及上游犯罪案件，提供了有价值的可疑交易线索，在洗钱风险评估中只作为评估取证的来源之一，在反洗钱工作评估中则作为对工作认可的绩效评价指标之一。本文从监管角度探讨对金融机构洗钱风险的评估。

金融机构对客户的洗钱风险评估，是金融机构了解客户基本信息的基础上，分析客户资金交易的金额、频率和方式等特征，继而确定风险等级。监管部门对金融机构洗钱风险评估，是监管部门或受监管部门委托的有关机构，对金融机构的客户身份识别、交易记录保存、客户风险等级划分及可疑交易报告制度的有效性进行分析，确定金融机构在内控管理、业务流程、人员履职等方面对其洗钱风险的影响。

（三）现代风险导向与金融机构洗钱风险评估的异同具体运用中，两者均采用抽样评价方法，取证手段也相同（如询问、查阅、检查等方式），评估流程也类同。财务报表审计流程大致分三个阶段，即承接业务阶段的内外部风险评估，分析被审计单位高管层压力、机会和借口等因素所引发的舞弊或错报风险；风险初步评估阶段，了解评价被审计单位环境、内控制度情况；进一步审计程序阶段，控制测试和实质性测试（对被审计单位各类交易、账户余额和披露的细节测试以及实质性分析程序）。后续审计程序根据前阶段的风险评估结果确定，当后续审计程序获取的审计证据与初始评估获取的审计证据相矛盾时，可以修正风险评估结果，并相应修改原计划实施的进一步审计程序。审计风险评估的目的是根据风险，确定进一步审计程序的性质、范围和时间安排，其目的在于内控风险较高时，更多的控制测试和实质性测试能推断被审计单位的错报或舞弊行为，继而获取被审计单位错报或舞弊对财务报表的影响程度。洗钱风险评估与此类似，一是了解金融机构固有风险阶段，与承接审计业务阶段内外部风险评估阶段相似，需了解金融机构所面临的宏观经济状况，所在行业的洗钱风险及经营状况对洗钱风险的影响。二是初步评估阶段，与审计风险初步评估阶段相似，对金融机构反洗钱工作的环境、内控制度执行情况进行评估。三是深入评估阶段，与进一步审计程序阶段相似，对金融机构的反洗钱内控制度有效性和可疑交易分析报告工作的及时性和有效性进行分析评价。洗钱风险评估过程中，可以在了解金融机构固有风险的基础上，确定初步评估的范围，再根据初步评估的结果，指导深入评估的时间、范围和方法，包括对金融机构进行一次初步评估和一次深入评估，也包括根据评估结果，采取现场检查、约见谈话、现场走访等后续监管措施。

不同之处在于：一是业务性质不同。风险导向审计是对财务报表不存在由于错误或舞弊导致的重大错报获得合理保证；金融机构洗钱风险评估是对金融机构洗钱风险的高低作出评价。二是评价内容不同。前者是对被审计单位的外部环境、内部环境、内控制度，特别是对会计报表及账务处理的准确性及真实性进行评价，具有经济评价性质，较为复杂；后者是对被评估单位反洗钱相关的环境、内控制度及可疑交易分析能力进行评价，具有单一性风险评价性质，较为简单。三是法律责任不同。审计主体对审计报告具有强制性报告义务，并对出具的审计报告承担法律责任；洗钱风险评估是对风险进行判断，不具有强制性报告义务，较少承担法律责任。四是委托责任不同。前者是注册会计师事务所接受有关信息使用者的委托，对被审计单位进行审计，信息使用者包括政府、股东及投资者等相关人员；后者主要是评估主体接受政府部门委托，根据最新风险状况对被评估机构洗钱风险进行评估。

二、审计风险评价体系对洗钱风险评价体系的借鉴

层次分析法是美国运筹学家T.L.Saaty于20世纪70年代初提出的一种决策分析方法，基本原理是：把一个复杂的决策问题视为一个系统，按总目标、子目标、评价因素的顺序进行逐步分解，构建层次结构，然后通过模糊量化确定各元素对于上层指标的重要性，以此递推到总目标层，从而为最终的决策问题提供较为科学的定量依据。目前的洗钱风险评估方法为层次分析评价方法，该方法将整体风险分解成一套评估指标体系，通过采用分级细化、确定指标分值权重、逐级加减汇总的方式，确定总体水平。如我国试行的金融机构反洗钱风险评估标准中，将风险指标划分为环境、产品/客户、控制、沟通和调整五类一级指标，通过对各类指标中的标准评价得分汇总得出整体风险。该方法优点在于，整体风险或工作情况受多个控制点、事项或交易的影响，各指标的汇总得分情况能较好反映整体水平，其在工作绩效考核运用中的优势尤其明显。

审计风险值的确定方法与上不同，是在确定各类风险值（或风险高低）的基础上，对各类风险值进行数值乘算（或选用“高”、“中”、“低”等文字的定性描述），并通过矩阵表的方式计算确定风险，本文将此方法描述为矩阵评价方法。审计风险值具体确定方法为，审计风险=重大错报风险×检查风险（实务中，注册会计师不一定用绝对数量表示风险水平，还可以选用“高”、“中”、“低”等文字描述，即审计风险值可通过数值乘算，也可以定性确定），其中，检查风险取决于审计程序设计的合理性和执行的有效性，可以通过职责分配、提供针对性审计计划等方式解决。重大错报风险包括固有风险和控制风险，评估时可以单独对固有风险和控制风险进行评估，也可以合并进行评估。国内有关学者采用矩阵方式评价风险，如对洗钱风险值的评价方法为，洗钱风险=固有风险×内控风险，其中，固有风险包括：国家/地域风险、产品/服务风险、客户风险；内控风险主要是指反洗钱内控制度及执行风险。如反洗钱风险管理的评估方法为：反洗钱风险=原本风险×管控风险×监管风险。与反洗钱风险管理的评估方法相似，金融机构洗钱风险水平受以下四个方面的因素影响：国家经济，所在行业、地域环境；反洗钱内控制度与内部环境；金融产品、服务及客户本身的洗钱风险水平；可疑交易报告的及时性和有效性。确定金融机构洗钱风险的方法为，金融机构洗钱风险=国家（地域、行业）风险×控制风险×产品（或客户）风险×交易监测风险（与审计风险评估相似，洗钱风险值可通过数值乘算，亦可定性确定）。

矩阵评价方法体现出风险与成本的一种均衡，避免将洗钱风险通过简单汇总各级指标分值的方式进行评价。主要体现在：一是控制成本。风险导向审计理论认为，机构内部行使控制职能的人员素质及控制成本影响控制效果，若实施某项控制成本大于控制效果而发生损失时，就没有必要设置该控制环节或控制措施。洗钱风险评估中，某金融产品被用于洗钱的风险较高，其相关控制风险也较高，但若金融机构的该类金融产品交易量很少，则其整体洗钱风险不能被认定为高风险，投入此部分的评估资源可以相对减少。二是风险项的交叉性影响。即各类风险相互之间的影响，如新客户“职业”登记为“其他或无业”的比例较高，则不能认定客户身份识别制度执行有效。三是不同类别风险对整体风险的影响程度。即当某类风险较高，而其他类风险较低时，须依据各类风险对整体风险的影响程度确定风险等级。金融机构的反洗钱义务在于预防，所有控制措施都是为做好可疑交易的监测、分析和报送服务，若客户身份识别制度和客户风险等级划分制度执行的很好，但监测分析人员的人数配置不够、分析能力不高，可疑交易分析系统的智能化不足，则应认定该单位的洗钱风险水平为高风险。

三、风险导向审计方法在洗钱风险评估方法中的运用

（一）运用抽样评价方法审计抽样范围受所审计鉴定会计期间的影响，并针对该会计期间各类控制、事项或交易中的部分样本进行评价，通过样本推断总体，如年度财务报表审计，只有在审计报表期初余额，及评价期末、期后事项对报表的影响时，才会跨年度选取样本。洗钱风险评估相对灵活，可以对某一年度的洗钱风险进行抽样评估，也可以针对某类控制、事项或交易的样本扩大至若干个年度进行抽样评估。

（二）依据风险高低扩大或减少样本量审计实务中，若认为被审计单位控制环境薄弱，则很难认定某一相关流程的控制有效，其实质性测试的样本量会大幅增加（实质性测试包括细节性测试和实质性分析程序，即对会计计量的真实性、准确性、合理性进行审查）。小型机构员工较少，限制了其职责分离的程度，虽然没有文件形式的控制要素，但了解管理层的态度、认识和措施及其控制环境非常重要，应该更多的采取实质性程序。洗钱风险评估可借鉴以上方法，若金融机构的内控风险很高，则其客户身份识别、交易记录保存及客户风险等级划分相关控制点就较难得到有效执行，继而影响异常交易分析识别的及时性和有效性，洗钱风险会加大，此时应扩大对异常交易分析及报告的样本量，确定洗钱风险的高低。

（三）整合取证手段审计取证方法包括查阅、询问、观察、穿行测试、重新执行、实质性分析程序等方法，具体审计目的不同，取证手段和工作流程也不同。如对收入确认的完整性测试，由原始凭证追查至明细账（从发货部门的发运凭证追查至有关销售发票副本，再到收入明细账），而对收入确认真实性的审计流程与上述流程相反。洗钱风险评估中，如评价金融机构的可疑交易报告是否有遗漏，可以选取部分存量客户，从建立业务关系，到客户风险等级划分，再到可疑交易分析报告的整个流程进行取证；评价可疑交易报告是否合理，则与上述流程相反。在具体方法运用上，主要有以下几种可供借鉴。

一是询问。向金融机构有关员工进行询问，获取与内部控制运行情况相关的信息。如果某项控制要求某一员工（复核人）在文件上签字以证明他复核该份文件，那么应询问其复核的性质，即对什么进行复核，复核的要点是什么，签字复核的意义等等。如个人独资企业、家族企业、合伙企业、存在隐名股东或匿名股东公司的尽职调查难度通常会高于一般公司，应询问此类尽职调查的方法和措施。二是穿行测试。追踪交易报告在业务流程中发生、处理和记录的过程。业务流程中存在多个风险控制点，如客户身份识别措施―身份识别记录―风险等级划分―交易记录保存―可疑交易提取、分析―复核确认―分析报告结论，通过穿行测试，掌握内控薄弱环节，及对整体风险的影响程度。三是重新执行。审计实务中，检查复核人员是否认真执行核对时，不仅应检查是否在相关文件上签字，还应选取一部分凭证如销售发票进行核对。在风险评估中，可以选取部分可疑交易报告，评判可疑交易分析复核的合理性；在可疑交易分析系统及风险等级划分系统（或者是功能模块）中，评估人员从相关系统调取客户身份资料（一般是开户资料）和交易记录，以评价系统设计的合理性。四是实质性分析程序。通过研究数据间关系评价一段期间的交易情况。审计实务中，实质性测试包括对各类交易、账户余额和披露的细节测试以及实质性分析程序（如财务指标的横纵向比较）。在洗钱风险评估中，可以运用到实质性分析程序，如“可疑交易量/同类型交易量”的横纵向比较，“未登记客户职业信息数量/所有客户数量”的横纵向比较；如私人银行业务的投资理财品种和交易金额的变动情况。

四、审计成本控制对洗钱风险评估成本的借鉴

审计实务中，项目审计组基本为一年对一家上市公司财务报表年报进行审计，虽然企业所面临的经济环境和经营复杂程度的不断上升，注册会计师仍会在合理的时间内以合理的成本完成审计工作。风险为本的工作方法与此相同，需要以合理的成本完成洗钱风险评估工作。截至2012年底，我国具有反洗钱报告义务的金融机构共计1599家，以湖北省武汉市为例，该市具有反洗钱报告义务的金融机构共计201家，其中法人机构19家，在市内拥有下属机构的69家，无下属机构（如证券营业部、支付机构等）的113家。可以发现，监管机构与义务主体呈现一对多的现象，同时，洗钱风险评估只是反洗钱监管工作中的一部分。那么实现评估成本的节约和效果的提高，需要考虑评估的目的，继而在评估深度、时间安排及人员配置上作出具体调整。主要有以下三种模式可供综合或单独运用：一是动态风险评估。如每1至2年评估一次，其作用在于实时掌控金融机构的洗钱风险，由于被评估的反洗钱义务主体较多，则对每家机构评估的时间不宜过长。二是周期性评估。如3年及以上评估一次，该模式的假设前提是短期内金融机构的洗钱风险不会发生较大变化，当金融机构较多时，可以分配至各个年度，并采取“深入”评估的方式进行评估。三是法人监管模式的自主型评估与分支机构的配合型评估。即对法人金融机构进行全面、深入的评估，重点包括内控制度建设、管理体系及执行有效性上面；对于地方分支机构，应以配合上级部门为主，根据上级部门有关要求对金融机构分支机构采取针对性评估，重点在于评价分支机构内控执行有效性上面。

参考文献：

[1]沈征：《审计理论》，上海人民出版社2013年版。

审计风险评估的目的篇6

国际会计师联合会（ifac）国际审计与保证准则委员会（iaasb）的第315号国际审计准则对传统的审计风险模型进行了修改，即：审计风险=重大错报风险×检查风险。现代审计风险模型在传统审计风险模型的基础上进行了改进，形式上有所简化，但审计风险的内涵和外延却扩大了。其中，重大错报风险包括两个层次：会计报表整体层次和认定层次。这就使现代风险导向审计具有了以下特点：

1.审计重心前移，经营风险的评估是起点和重点。现代风险导向审计要求将审计重心前移至风险评估，一定要从评估企业战略经营风险入手，充分了解被审计单位的基本情况及其经营环境，注重对持续经营能力的考虑及经营风险对审计风险的影响，进而从经营风险中能更有效发现财务报表潜在的重大错报；当然，在审计过程中也应尽量严格执行所设计的审计程序，将检查风险降低到可接受水平。

2.风险评估以分析性复核为中心，分析性复核全程化和多样化。风险评估包括检查、调查、询问、穿行测试等多种审计取证手法，分析性复核的运用是现代风险导向审计的核心，并贯穿整个审计过程。为了适应分析性复核功能扩大的要求，分析性复核对象开始走向多样化，不再仅仅局限于财务数据，也包括了非财务数据。同时，充分借鉴现代管理方法，将管理方法运用到分析性程序之中。

3.审计证据重点向外部证据转移，扩大了审计证据的内涵。审计证据不仅包括各种测试获取的证据，还延伸到对被审计单位基本情况及其经营环境的取证等，并且取证重点向外部证据延伸。wwW.lw881.com由于外部审计证据的可靠性大于内部审计证据，这就提高了现代风险导向审计揭露因管理舞弊所致财务报表重大错报的能力。

4.风险评估由直接评估转为间接评估，从零散走向结构化。现代风险导向审计是在战略分析的基础上，从了解和评估经营风险入手开展工作，而经营风险是通过经营分析获得，可见风险评估实际上是间接性评估。此外，以风险评估为中心的现代风险导向审计，强调的是综合风险评估，是对多方面的风险因素有机联系的分析和评估，风险评估是结构性评估。

5.内部审计人员的专业知识重心转移，由原来以会计、审计知识为重心转为以管理知识和行业知识为重心。

6.提倡两条线并行作业，即大胆应用“自上而下”与“自下而上”相结合，并大量采用战略分析和系统分析等先进工具以及技术方法。

二、风险导向审计在企业风险管理中的作用

内部审计机构和内部审计人员处于相对独立的地位，具有内在的固有功能，在评价内部控制、协助企业建立健全风险管理机制方面有诸多优势，在有效降低企业风险、增加企业价值方面发挥重要作用，具体表现在：

1.参与企业风险管理。随着对风险管理的日益关注，探讨风险导向审计与企业风险管理框架之间的联系，就成为探讨风险导向审计无法回避的理论问题之一。

2.促进内部控制。内部控制从某种程度上来说从属于风险管理，是风险管理的方式之一。在风险理念的作用下，企业内部控制已扩展为企业风险管理框架，内部控制与风险管理已趋于融合。因此，可以说对风险管理的促进作用，是建立在企业的内部控制同时得到改善和促进的基础之上的，两者是互相促进的。

3.强化和促进公司治理。公司治理的基本目标是在充分考虑利益相关者利益相对满足和大体均衡情况下，增加企业价值，从而使股东长远价值最大化。而风险导向审计的本质是确保受托责任有效履行的管理控制，它更注重与企业目标的直接关联。可见，公司治理与风险导向内部审计目标是一致的。

三、风险导向审计的主要程序

现代风险导向审计程序遵循“战略管理分析——经营环境分析——流程控制分析——经营业绩分析——剩余风险分析”的主线和“自上而下”与“自下而上”相结合的思路开展工作。基本审计程序包括风险评估、控制测试和实质性测试。

1.风险评估程序。（1）了解被审计单位及其所处环境，目的是为评估财务报表总体层次和认定层次的重大错报风险。（2）运用职业判断，确定已识别风险的层级，特别关注重大风险和特别风险，对重大错报风险进行评估。（3）结合风险识别和评估，进一步设计、细化具体审计程序。

2.控制测试。以测试内部控制在防止、发现和纠正认定层次重大错报方面的有效性，进一步评估和应对重大错报风险。

3.实质性测试。目的是发现重大错报。对各类重大事项或情况实施实质性测试以获取充分可靠的审计证据，是弥补由于审计人员业务能力缺陷和被审计单位内部控制缺失的必要程序。

四、风险导向审计在企业风险管理中的应用

风险导向审计作为一种重要的审计理念和模式，已经受到了行业内外的普遍关注。因此风险导向审计是我国审计的必然选择，是适应审计环境变化、审计准则国际协调及审计工作的客观要求。现代风险导向审计在实际运用中一般包括以下阶段：

1.准备阶段。首先是分析企业环境，既要了解被审计单位的发展战略、经营目标、经营环境、业务流程和经营风险等内部情况，又要了解与被审计单位相关的宏观经济政策、行业状况、监管环境等外部环境；其次是全面识别风险，确定审计的范围和重点；第三是编制审计计划，审计部门在识别和评估各种风险的基础上编制审计计划，根据风险程度选择审计项目和审计对象，并与审计资源相结合，既要充分有效地利用审计资源，又要量力而行。

2.实施阶段。实施阶段的主要工作一般包括风险评估、了解内部控制、复核性测试、内查外调收集证据、编写审计工作底稿等步骤。

3.报告阶段。报告阶段主要包括出具审计报告和编写审计管理建议书，审计报告撰写要立足于企业发展战略实现，以风险为中心，全面揭示已识别的风险以及问题与实现企业战略目标的相关性以及可能产生的后果，提出应对、避免、降低、保留和转换、对冲风险的审计意见和建议，必要时可出具审计管理建议书。

4.后续阶段。后续阶段的主要工作是通过持续跟踪重大错报风险，开展复审，以检查重大审计发现的纠正情况。这一阶段的注意力应集中在重大或潜在的错报风险是否得到控制和消除上，并检查有无新的风险因素和重大问题产生，针对剩余风险的变化情况和新识别的风险因素以及新发现的问题，提出审计意见和建议。

五、目前开展风险导向审计的现状和问题

目前我国开展风险导向审计尚处于起步阶段，虽取得了初步成效，但在全面推行风险导向审计的过程中还存在不少需要探讨和解决的问题。

1.开展风险导向审计所处环境的局限性。作为一种审计理念，风险导向审计模式无疑是更加科学的，但从整个审计行业的构成及所接业务情况来看，无论是国家审计、社会审计和内部审计，仍以账项基础审计模式和制度导向为主，主要还是开展财务收支审计、经济效益审计和经济责任审计，风险导向审计并非内部审计的主要任务。

2.开展风险导向审计缺乏产生的动因。推动审计由传统导向审计向风险导向审计发展的一个主要动因就是审计风险，特别是诉讼风险的增大。一方面，由于目前我国立法方面存在的漏洞，导致我国审计人员的法律风险偏低，审计人员对审计风险不够重视，缺乏实施风险导向审计的根本动因；另一方面，开展风险导向审计在我国缺乏必要的法律保障、成熟的理论指导和完善的风险评价体系，全面推行有一定难度。

3.审计效率的提高受制约。内部审计人员的管理知识和专业技能与企业开展的风险管理需求不匹配，导致内部审计范围过窄，审计效率低下，且难以实现对企业风险的管理、控制和公司治理过程进行全面综合的评价。

4.开展风险导向审计不能节约审计成本。

（1）由于审计证据收集的范围扩大，对内部审计人员来说花费的时间更产、技术含量更高，增加了审计人员的负担。（2）开展风险导向审计对人力资源的要求更高。作为一种新的审计模式，风险审计要求审计人员具备管理、数理统计等多方面的知识，并有搜集、整理、分析资料的能力。因此风险导向审计需要更多有经验的、高素质的审计人员参与，并对其提供相关知识的培训，这会导致人力成本增加，也会相应地增加审计的总成本。

六、全面推行风险导向审计的建议和对策

现代风险导向审计的优势是在比较理想状态下才能实现的。在我国风险导向审计引入的初期，上述存在的一些问题在某种程度上抑制了其优势的发挥，因此我们现阶段重点应做一下几项工作。具体措施包括：

1.积极开展风险导向审计准则和方法的研究。应大力开展对新准则中风险导向准则的内容进行细致、深入的研究，制订符合准则且操作性强的风险导向审计程序，开发能正确引导审计人员执行和判断的风险评估技术和方法。

2.充分考虑风险导向审计对人员配备和培训计划的影响。在现代风险导向审计程序下，审计人员不仅应具备足够的会计审计知识，还需具备被审计单位行业状况、法律与监管环境、财务业绩的衡量和评价、经营目标和战略及其相关经营风险和内部控制等方面的知识结构。所以对审计人员现有知识体系进行全面的提升和拓展是必要工作。

3.加强风险导向审计的信息系统建设。结合企业自身特点和需要建立风险数据库，做好数据积累工作，为开展风险评估和以风险为导向的内部审计提供数据支持。

4.及时转换企业内部审计人员的角色，从“警察”到“风险顾问”。内部审计人员作为风险管理顾问的新角色是有公司治理结构设计决定的，通过良好的公司治理结构设计，将内部审计人员的注意力从结果转向关键风险领域。