审计风险概念篇1

审计风险是指审计组织或审计人员在审计过程中由于受到某些不确定因素的影响，而使审计结论与客观事实发生背离，从而受有关关系人指控并遭受某种损失的可能性。审计抽样风险是指注册会计师依据抽样结果得出的结论与审计对象总体特征不相符合的可能性。抽样风险与样本量成反比，样本量越大抽样风险越低。数据挖掘技术在国民经济其他行业已有成功的应用，但在审计风险控制与管理中的应用尚不多见，在注册会计师行业更是不多见。

本文提出了一种有效的控制抽样风险的方法，该方法充分利用数据库技术的最新成果，将数据挖掘技术中的分类、聚类及离群点挖掘等应用到审计风险管理中去。运用这种方法不仅能减轻CPA的负担，而且还能提高审计风险控制的水平。

一、KDD技术的分类

数据挖掘是数据库研究中的一个极富应用前景的新领域。对于数据挖掘，可做出不同的分类模式：(一)依据所挖掘的数据库的种类进行分类。若挖掘系统从关系数据库中发现知识，则相应系统为关系数据挖掘系统。其它数据库系统如面向对象的数据库、演绎型数据库、空间数据库、时间数据库、多媒体数据库、异质数据库、主动数据库、遗留数据库和互联网信息库均可作为挖掘系统挖掘的对象。(二)依据挖掘知识的种类进行分类。数据挖掘系统可以发现几种典型的知识，包括关联规则、特征规则、分类规则、聚类规则、离群数据挖掘、数据总结、偏差分析、序列模式分析、趋势分析、回归分析等。(三)依据采用的技术进行分类。常用的数据挖掘技术主要有人工神经网络、遗传算法、决策树方法、邻近搜索、规则归纳、方法等。

二、关联规则的挖掘

关联规则的挖掘是数据挖掘领域中一个非常重要的研究课题，关联规则的挖掘问题可形式化描述如下：设I＝｛I1，I2，…，Im｝是由m个不同的项目组成的集合，给定一个事务数据库D，其中的每一个事务T是I中一组项目的集合，即TI，T有唯一的标识符TID。一条关联规则就是一个形如XY的蕴含式，其中，XI，YI，X∩Y＝Φ。关联规则XY成立的条件是:1、它具有支持度s，即事务数据库D中至少有s%的事务包含X∪Y；2、它具有置信度c，即在事务数据库D所包含X的事务中，至少有c%的事务同时也包含Y，关联规则的挖掘问题就是在事务数据库D中找出具有用户给定的最小支持度Smin和最小置信度Cmin的关联规则。挖掘关联规则可以分解为以下两个子问题:1、找出事务数据库中的所有大项集，大项集是指支持度不小于用户给定的最小支持度的项集。2、利用大项集生成关联规则。目前大多数研究均集中在第1个子问题上，因为这个问题的主要挑战性在于数据量巨大，所以算法的效率是关键。

三、特征规则的挖掘

在数据库的原始概念层，数据和对象往往包含很详细的信息。人们希望能将大数据集中的数据进行总结概括，并将其在更高的概念层次上呈现出来。如:经销商们可能希望对一些销售活动中的交易集合进行概括、总结从而得到更一般性的描述。这就要求数据挖掘系统具有数据概括的功能。数据概括是将数据库中的大量相关数据从较低概念层次抽象为较高层次的过程。通常有两种方法可以有效地进行数据概括:1、数据立方体法；2、面向属性的归纳方法。

四、分类规则的挖掘

数据分类是指在数据库的各个对象中找出共同特性，并按照一定的分类模型对它们进行分类。为了构建这样的一个分类模型，需要一个样本数据库E作为训练集，E中的每一个元组与大型数据库W中的元组包含着同样的属性集，并且每一个元组有一个已知的类标识。分类的目标是首先分析训练集数据，利用数据的可用特征为每个类建立一个精确的描述或模型，然后把这些模型用作对数据库W中其它数据进行分类或建立一个更好的描述，即分类规则。常用的分类方法有基于决策树的分类方法、统计方法、粗集方法等。

五、聚类规则的挖掘

聚类是数理统计中研究“物以类聚”的一种方法，它的任务是把一组个体按照相似性归成若干类，其目的是使得属于同一个类别数据之间的相似性尽可能大，而不同类别的数据之间的相似性尽可能小。它与分类分析不同，聚类分析输入的是一组未分类的记录，并且这些记录应分成几类事先也不知道。聚类分析就是首先通过分析数据库中的数据，合理地划分记录，然后再确定每个记录所在类别。在统计方法中，聚类算法一般分为基于概率的聚类算法和基于距离的聚类算法两种，如欧氏距离等。基于概率的聚类算法在挖掘海量数据集合时效率非常低；而基于距离的聚类算法在数据挖掘领域应用则相当广泛，而且其基本思想是属于同一类别的个体之间的距离尽可能小，而不同类别上的个体间距离尽可能大。

六、KDD技术在审计风险管理中的应用

审计风险管理是人们对审计风险进行识别、估计、衡量、控制等一系列具有系统性、规范性的方法和手段的总称。审计风险管理是一个连续的过程，为了便于分析，我们可以将其分为三个阶段:即审计风险识别、审计风险评价与估计、审计风险处理。这三个阶段有着内在的逻辑联系，详见图1所示。

审计风险识别有两大任务:一是判明审计活动中存在什么风险；二是找出引起这些风险的原因。这两点实际上是结合在一起的。审计人员判明了审计活动中存在什么风险，也就意味着在一定程度上找出引起这些风险的原因。审计风险识别是审计风险管理的第一阶段，正确识别审计风险将为成功的风险管理奠定基础。审计风险评估是在风险识别的基础上，通过对收集到的大量信息加以分析，运用概率论和数理统计的方法来评估风险因素发生的概率和风险发生的程度，然后根据企业的可接受风险的标准去判断风险。审计风险管理是在识别和评估风险之后，针对不同类型、不同概率和规模的风险，采取相应的措施或方法，使审计风险减少到最小程度。

审计风险概念篇2

传统审计风险模型是由美国注册会计师协会(AICPA)1983年提出的。该模型(审计风险=固有风险×控制风险×检查风险)可以解决交易类别、账户余额、披露和其他具体认定层次的错报，发现经济交易和事项本身的性质和复杂程度发生的错报，发现企业管理当局由于本身的认知和技术水平造成的错报，以及企业管理当局局部和个别人员舞弊和造假造成的错，如果您需，可以咨询：QQ:357500023报。从而将审计风险(此时体现为检查风险)控制在比较满意的水平。但如果存在企业高层通同舞弊、虚构交易，也就是战略和宏观层面的风险，运用该模型便会捉襟见肘了。现代风险导向审计以被审计单位的战略经营风险分析为导向进行审计。因此又被称为经营风险审计，或被称为风险基础战略系统审计。现代风险导向审计按照战略管理论和系统论，将由于企业的整体经营风险所带来的重大错报风险作为审计风险的一个重要构成要素进行评估，是评估审计风险观念、范围的扩大与延伸，是传统风险导向审计的继承和发展。

在该理论的指导下，国际审计和鉴证准则委员会（IAASB）了一系列新的审计风险准则，对审计风险模型重新描述为：审计风险=重大错报风险×检查风险（IAASB，2003）。由此，我们可以将目前审计执业界普遍使用的审计风险模型称之为传统审计风险模型，而将新模型称之为现代审计风险模型。现代审计风险模型的发展现代审计风险模型在传统审计风险模型的基础上进行了改进，形式上有所简化，但审计风险的内涵和外延却扩大了。其中重大错报风险（riskofmaterialmisstatement）包括两个层次：会计报表整体层次（overallfinancialstatementlevel）和认定层次（assertionlevel）。

（一）认定层次风险认定层次风险指交易类别、账户余额、披露和其他相关具体认定层次的风险，包括传统的固有风险和控制风险。认定层次的错报主要指经济交易的事项本身的性质和复杂程度发生的错报，企业管理当局由于本身的认识和技术水平造成的错报，以及企业管理当局局部和个别人员舞弊和造假造成的错报。

（二）会计报表整体层次风险会计报表整体层次风险主要指战略经营风险（简称战略风险）。把战略风险融入现代审计模型，可建立一个更全面的审计风险分析框架。

1.从战略风险的定义来看：战略风险是审计风险的一个高层次构成要素，是会计报表整体不能反映企业经营实际情况的风险。这种风险源自于企业客观的经营风险或企业高层通同舞弊、虚构交易。传统审计风险模型解决的是企业的交易和事项在本身真实的基础上，怎样发现会计报表存在的错报，将审计重点放在各类交易和账户余额层次，而不从宏观层面考虑会计报表可能存在的重大错报风险，这很可能只发现企业小的错误，却忽略大的问题；现代审计风险模型解决的是企业经营过程中管理层通同舞弊、虚构交易或事项而导致会计报表存在错报怎样进行审计的问题。

2.从审计战略来看：现代审计风险模型是在系统论和战略管理理论基础上的重大创新。从战略角度入手，通过经营环境—经营产品—经营模式—剩余风险分析的基本思路，可将会计报表错报风险从战略上与企业的经营环境、经营模式紧密联系起来，从而在源头上和宏观上分析和发现会计报表错报，把握审计风险。而将环境变量引入模型的同时，也将审计引入并创立了战略审计观。

3.从审计的方法程序来看：现代审计风险模型注重运用分析性程序，既包括财务数据分析，也包括非财务数据的分析；且分析工具多样化，如战略分析、绩效分析等。例如毕马威国际（KPMG）为应用现代审计风险模型的理念与方法，研究制定了经营计量程序(BusinessMeasurementProcess，BMP)，专门分析企业在复杂的市场环境和产业环境下的经营情况，以确定关键经营风险如何影响财务结果。BMP提供了一个审查影响财务信息和非财务信息流的分析框架。

4.从审计的目标来看：现代审计是为了消除会计报表的重大错报，增强会计报表的可信性。为达到此目标，注册会计师应当假定会计报表整体是不可信的，从而引进全方位的职业怀疑态度，在审计过程中把质疑一一排除。而该模型充分体现了这种观念。现代审计风险模型的分析应用框架运用现代审计风险模型执行审计，一是将审计的视角从会计系统扩展到更广泛的经营管理领域；二是确定重大错报风险的水平与分布；三是优化配置审计资源，避免在某些领域审计过度或不足。

其分析框架可考虑如下：

(一)确定总体审计风险概率审计风险可按其发生的可能性大小分为基本确定、很可能、可能和极小可能。可能性一般按概率来进行表述，如极小可能的概率为大于0、但小于或等于5％。社会公众对注册会计师的期望值很高，独立审计存在的价值就在于消除会计报表的错误和不确定性;缩小或消除社会公众合理的期望差距(TomLee，1993)。独立性原则的要旨是使注册会计师免于利益冲突，从而奠定正直与客观的执业基础，但独立性最终体现在注册会计师独立承担审计风险责任方面，因而降低审计风险是注册会计师的“灵魂”。审计风险就是审计失败的可能性，它只能控制在极小可能程度以下，用数学概率表示应不超过5％。“一般来说，社会公众认为这个比率应低于5％，审计保证水平为95％”。

(二)分析战略风险在确立了总体审计风险概率应该控制在5％以下之后，应全面分析战略风险。以企业的经营模式为核心，以自上而下和自下而上相结合的方式了解企业的内外部经营环境、经营产品，并在此基础上分析确定企业经营有效性和会计报表的关键认定是否合理、合法。新的国际审计准则列举了28种可能暗示存在舞弊风险的环境和事项(IAASB，2003)。结合审计实践，我们提出如下要点：

1.分析经营环境。主要分析客户主营产品所处的经济环境和技术环境，了解客户产品生命周期阶段，竞争对手情况如何，未来发展前景如何。

2.分析经营产品。对客户的主营产品进行分析，了解客户的产品是什么；其经济价值和使用价值如何；盈利情况如何；与同行业或类似行业比较其利润率是否合理；如无同行业比较，与社会一般平均利润率相比，是否有其存在的合理性。

3.分析经营模式。分析客户经营模式就是分析其产品的供、产、销过程是如何组织实施的；其业务流程的各个环节是什么；重要购买商与客户的实质关系；客户是否严重依赖少数或某些重要购买商；重要供应商与客户的实质关系;客户是否严重依赖少数或某些重要供应商；是否存在既是客户购买商又是供应商的单位(有无存在自卖自买的可能)。

通过上述分析研究，建立战略风险评估决策框架，对企业经营的有效性做出判断，对会计报表层次的整体认定进行预计并与管理当局报告的结果进行比较，从而对管理当局在相关经营模式和业务流程下的整体认定是否恰当进行职业判断，对企业是否存在从生产经营发生交易和事项的开始就通同舞弊、虚构交易和事项以粉饰报表作出职业判断。战略风险的存在意味着对会计报表的整体否定。评估战略风险是注册会计师自始至终要考虑的问题。尤其在项目的前期调查期间，如果判断得当、评估准确，不仅可以克服缺乏全面性的观点而导致的审计风险，而且有利于节省审计成本。如分析得出战略风险发生的可能性为可能、很可能或基本确定，也就是其战略风险概率大于5％，则此项目不能承接；如已在审计过程中，可在没有发生大量审计成本的情况下及早退出项目，以避免由于战略风险带来的审计失败；如果该项目战略风险概率小于等于5％，则该项目初步可接受，再在此基础上进行全面深入审计，其失败的可能性必然可大为降低。

(三)分配剩余审计风险评估完战略风险概率后，可按照传统的方法分析认定层次的风险概率，两者结合起来考虑就是重大错报风险概率。最后根据确定的总体审计风险概率和评估的重大错报风险概率，得出关于剩余审计风险也就是检查风险的概率，据此确定实质性测试的性质和范围，即可将审计风险减少到满意程度。上述分析过程可用图一表示。案例分析

（一）基本情况XY公司为国内一家拟首次发行股票并上市的股份公司，主要从事天然彩棉的研究和开发。公司的主要产品为以天然彩棉为核心的初级产品及终端产品，初级产品为彩棉种子、彩色皮棉等，终端产品为彩色棉纱、彩棉服装等。公司重要财务数据（未审数）见表一。

(二)传统审计风险模型下的审计过程及结论按照传统审计风险模型，注册会计师初审时将固有风险和控制风险都判定为高水平，相关实质性测试较为详细。重要审计程序和结论如下：1.存货及主营业务成本的审计。首先审核存货的存在性。审核时要求公司对存货全面盘点并全程由审计人员盘，盘点比例达到90％以上，其中种子盘点比例为100％。盘点结果，存货数量账实基本相符略有盈余。其次审核产品成本计算和结转方法。对联产品成本的计量，按联产品销售市价比例法确定各产品入账成本，符合有关规定；存货的发出计价和成本结转，每类重要产品按其明细分类，用移动加权平均法按月进行重新计算测试，测试结果差异不大。对于存货期末价值，根据报告日前后公司的销售发票进行验证，存货的期末市价均高于成本价，无需计提减值准备。

2.收入及应收账款的审计。获取所有种子销售合同，检查销售发票、出库单等，并对其应收账款情况进行重点检查。合同显示，2002年以前公司提供种植单位种子，按照合同的约定价格收购籽棉，并保证种植单位每亩收益不低于1000元，不足部分由公司补足，此时种子向种植单位的转移未做销售处理。2001年12月5日公司取得种子经营许可证后，2002年度开始将种子向种植单位转移作为销售处理。此时合同明确种子销售给种植单位以后，有关种子的风险不再由公司承担，不再保证种植单位最低收益，公司仅按合同约定价格收购籽棉。公司具体确认种子收入的时点为棉种销售合同已签订、棉种已出库转移给对方、销售种子的发票已开出或价款已收到，符合有关制度的规定。应收账款相对于公司总收入数额较小，期末仅为4573万元，但也全部函证，回函率为100%，差异率为零。对于会计报表的其他项目，注册会计师也进行了详细审计，未发现重大问题，据此出具了标准无保留意见报告。可以说，以传统审计风险模型为准绳衡量对该公司的审计，审计重点、审计程序和审计证据应属充分，审计结论也并无不当。

（三）现代审计风险模型下的审计过程及结论初审材料上报后，证监会要求重核查。注册会计师尝试按照现代审计风险模型实施测试，首先分析重大错报风险中的战略风险。

1.经营环境的分析。公司产品为高科技项目，在开发初期，国内外同类产品的开发应用也处在尚未成熟、未大规模推广的阶段。该阶段特点为：科研开发费用高昂、规模经济效益尚未形成；虽然产品符合人们对天然环保概念潮流的追求，但能否成为传统白色棉花的替代品或以后棉纺织品的主流无法定论，经营前景存在较大不确定性；公司是国内较早推出该产品的少数企业之一。

2.经营产品的分析。公司的主要产品为彩色棉花的研究开发和相关产品的生产销售。该产品的特点为天然彩色，符合人们对天然环保概念潮流的追求，但与传统的白色棉花相比，使用价值与经济价值上的比较优势不明显。不过，会计报表显示，其主要产品的毛利率达50%左右，远远超过传统白色棉花产业。根据经营环境的分析，公司是国内较早推出该产品的少数企业之一，且经营规模是国内最大的，从某种意义上来说存在着超额垄断利润，其产品又处在前期科研开发费用高昂、规模经济效益尚未形成的阶段。没有竞争对手的产品意味着产品的使用价值和经济价值尚难确定，其经营前景也存在较大的不确定性，高额的利润率显然有质疑的理由。

3.经营模式的分析。公司的初级产品是彩棉种子、彩色皮棉等，采取销棉种子给各种植单位，一收购籽棉，然后加工成彩色皮棉、棉种等系列产品再进行销售的方式；终端产品为彩色棉纱、彩棉内衣等，取向加工单位提供彩色皮棉等原材料，加工成各种终端产品后，由公司统一对外销售的方式。显然，公司的主经营模式为委托加工。此经营状态下的收入确认与计量分析：根据委托加工的经营模式，公司所生的原材料或初级产品的对外转移，在实质上构不成销售，在此阶段不能确认相关收入。但公司对同一模式的不同产品采取了不同的核算方法，即使同一产品在不同的会计期间所用的核算方法也不一样。

如同为委托加工，种子向委托加工方的转移就确认为收入，而皮棉、彩色面纱向委托加工方转移就不确认收入；同样是彩色棉种向种植单位转移，2002年以前不确认收入，2002年以后确认收入。这种对交易确认和计量方法横向、纵向的不一致，不能排除人为操纵的嫌疑。再从公司的主营业务利润来看，确认方法存在问题的种子的销售利润分别占2002、2003年度主营业务利润的84.19％、57.46％，占公司净利润的167％、107％。公司从形式上变更经营模式、变更主营业务收入的确认和计量，操纵利润的嫌疑进一步加剧，公司真正的盈利能力和整体经营管理的有效性可能存在较大的问题。此经营状态下的成本确认与计量分析：公司按联产品销售市价比例法确认计算联产品成本，用移动加权平均法进行发出计价和成本结转，表面上产品成本的确认和计量符合有关规定。

但从战略的角度看，由于公司所从事的产业尚未形成气候，销售的彩棉种子、彩色皮棉等产品在国内处于垄断地位，销售价格实际上完全由公司自行确定，其相关产品的售价并非真正意义上的市场价格，没有市场价格的公允性，在此价格基础上确定的联产品成本失去了可靠的基础。再结合公司的经营模式来看，形成公司主要利润的彩色棉种由于要对其全部衍生产品进行回购，如果定价大大高出其实际价格，成本就会高估，其他产品的成本就会低估，真正外销的其他产品的销售利润就会很高，而彩色棉种由于是高价格高成本，销售利润自然也会很高。

但彩色棉种的外移实际是委托加工，不能作为销售，如作为销售实际上就成了自卖自买，高价格高成本的结果造成了公司巨额未实现利润隐藏在期末未销色棉种之中。虽然存货期末价值根据报告日前后公司的销售发票验证，表明存货的期末市价均高于成本价，但由于此市价实际并非真正意义上的市场公允价格，低估销售成本高估存货价值虚增利润是确定的。通过上述以经营模式为核心的战略风险分析，可以得出两种结论：或者公司高层通过系统手段精心构置并不存的交易，并在形式上合规，以粉饰报表取得上市资格(事实证明如此);或者公司管理层根本不了解经营的有效性和经营风险，不掌握会计报表失实的具体情况。错误的会计核算导致了错误的判断，错误的判断导致了错误的经营决策，如真正外销的产品的定价很可能低于其实际成本，终将导致经营失败。

审计风险概念篇3

新修订的国际审计准则第200号《财务报表审计的目标和一般原则》已于2004年12月正式实施，该准则了新的审计风险模型。在此准则中，审计风险被定义为“当财务报表存在重大错报而审计人员发表不适当审计意见的可能性”。审计风险是重大错报风险和检查风险的综合风险，即“审计风险=重大错报风险×检查风险”，以区别于旧准则中“审计风险=固有风险×控制风险×检查风险”的旧风险模型。我国的注册会计师协会目前也正在根据国际审计和保证准则委员会的新国际审计准则加紧修订我国现行的审计风险准则，本次修订的核心内容也是启用新审计风险模型。从表面上看，新旧风险模型并没有显著的区别，只是把固有风险和控制风险的乘积合并为重大错报风险。本文拟对新旧审计风险模型进行比较，来探究新模型的改进。

一、原审计风险模型的缺陷

20世纪八十年代初，由于不断受到诉讼威胁，美国审计职业界率先建立了审计风险模型，从而引起审计方式开始从制度基础审计向风险导向审计变革。经过二十多年的实践，原有的风险导向审计模式已经在广大CPA的心目中根深蒂固，其历史功绩及先进合理之处自然是不容置疑的，但它在应用中也逐渐暴露出了一些问题。因此，研究解决这些问题，不断完善风险导向审计模式也就成了审计职业界的当务之急。作为审计模式的核心组成部分，对风险模型的研究自然也就提上了日程。原有审计风险模型在理论上和实践中都存在着一定的缺陷，主要体现在以下几个方面：

1、固有风险概念内涵与外延不一致。我国《独立审计具体准则第9号――内部控制与审计风险》将固有风险定义为“假定不存在相关内部控制时，某一账户或交易类别单独或连同其他账户、交易类别产生重大错报或漏报的可能性”。但CPA在评估固有风险时被要求着重考虑的因素，如容易遭受损失或被挪用的资产、在正常会计处理程序中容易被漏记的交易和事项时，又难免要考虑到内部控制的因素，造成固有风险内涵与外延的不一致，给模型的科学性带来很大的损害。

2、对固有风险的评估容易流于形式。原准则要求编制总体审计计划时，应当对财务报表整体的固有风险进行评估；在编制具体审计计划时，应当考虑固有风险评估对各重要账户或交易类别的认定所产生的影响，或直接假定该认定的固有风险为高水平。由于在评估固有风险时首先要假定相关的内部控制不存在，而使得该项程序可操作性较差，再加上直接假定认定的固有风险为高水平被业内公认为稳健的做法，因此，极易导致不少事务所及CPA不重视对固有风险的评估，使其流于形式。

3、控制测试的“内部性”导致其可依赖性成疑问。控制风险被定义为“某一账户或交易类别单独或连同其他账户、交易类别产生错报或漏报，而未能被内部控制防止、发现或纠正的可能性”。从理论上说，如果CPA能够把控制风险评估得比较低就可以大大减少实质性测试的工作量。于是，CPA只要通过控制测试得到了一个比较满意的结果，就可以理所当然得认为被审计单位的内部控制值得信赖，从而依赖此结论大大减少实质性测试的工作量。然而，控制测试可以依赖吗？首先，通过控制测试得到的是内部证据，它的“内部性”导致其可能被管理当局操纵，因此，其证明力是比较差的。其次，内部控制的固有局限导致其在防止管理当局舞弊方面是无能为力的。而管理当局舞弊的风险对任何公司都是存在的，CPA仅仅通过对被审计单位的大体了解来排除管理当局舞弊的可能性无论如何都是不稳健的，既然难以排除管理当局舞弊的可能性，控制风险就不能被评估为低水平，进而控制测试的结果也是不能依赖的。

据最近的一项问卷调查显示，在对我国71家具有证券期货相关业务资格的会计师事务所的调查中，对来自上市公司本身的审计风险成因调查中，有60％的人认为“管理当局品质存在问题”。可见，在我国目前的情况下，把控制风险评估为低水平是要冒很大风险的。

4、对控制风险的评估不能用于财务报表整体。虽然风险模型要求在评估风险时应当从会计报表层次和账户余额层次两个方面加以考虑，但由于控制风险的评估是按账户余额或交易类别所涉及的认定进行的，在风险模型中无法与会计报表层次的固有风险评估相匹配，只能与账户余额或交易类别层次固有风险的评估相匹配。这样一来，原审计风险模型在整个会计报表层次上就不能应用，实际上成了对每一账户余额或交易类别所涉及的认定进行风险导向审计的理论基础，而不能构成对整个企业进行风险导向审计的理论基础。进而，在此基础上构建出的风险导向审计模式在对待风险上只能是零散的、微观的，而不能形成整体的宏观的认识。这就必然使得CPA在把握和控制审计风险时“只见树木不见森林”。

二、新审计风险模型的改进

要对新审计风险模型作出合理评价，首先要看清其所作的改进：

1、引入“重大错报风险”的概念。新风险模型引入了“重大错报风险”的概念，表面上看来只是把固有风险和检查风险的乘积用一个新的名词来概括，可一经分析就会发现，新名词的引入使风险模型有了重大的实质性改进。重大错报风险概念的引入，要求CPA在设计和实施审计测试前必须适当地评估重大错报风险，有效地避免了实务中容易出现的不评估重大错报风险就盲目进行测试及简单设定重大错报风险为最高水平而直接实施更广泛实质性测试的做法，避免审计测试的盲目性和对有限审计资源的浪费。

另外，重大错报风险也不等于以往的固有风险和检查风险的乘积，因为导致会计报表出现重大错报的风险并不是由固有风险和检查风险两因素就能够概括得了的，新风险准则及模型明确规定，CPA应从多方面来了解客户及其环境并评估重大错报风险，其中包括了解客户的目标和战略以及可能导致财务报表重大错报的相关而非全部经营风险。

审计风险概念篇4

摘要近年来，随着我国经济的不断发展，传统的内部设计模式已经无法适应其要求。风险导向审计是一种层次较高的审计模式，它能在更大程度上为企业内部审计目标的实现提供保障，其目前在内部审计中已开始推广和应用，因此，加强对风险导向审计的研究很有必要。鉴于此，本文拟从风险导向审计的概念和特点、风险导向审计在内部审计应用中的问题以及风险导向审计在内部审计应用中的对策等几个方面来进行分析与阐述，以期加深对这一问题的认识与理解程度。

关键词风险导向审计内部应用

经过一段时期的发展，我国的内部审计模式已经经历了财务导向审计、业务导向设计、内控导向审计以及风险导向审计等几个阶段。在内部审计中，风险导向审计属于最高层次，它的出现适应了现代社会发展环境不断复杂化的要求。在对风险导向审计在内部审计应用中的问题以及风险导向审计在内部审计应用中的对策这两个问题进行分析之前，我们先来了解一下风险导向审计的概念和特点。

一、风险导向审计的概念和特点

为了理解与阐述的方便，我们主要可以从风险导向审计的概念和风险导向审计的特点两个方面来进行分析。

1.1风险导向审计的概念

所谓风险导向审计指的是将风险意识贯穿于审计工作的全过程，在对企业的战略目标、风险管理以及控制监督等进行了解与评价的基础上，确定企业的风险水平和剩余风险，从而实现企业目标的一种方法。

1.2风险导向审计的特点

归结起来，风险导向审计的特点主要表现在以下几个方面：其一，完善的审计思路。现代社会条件下的风险导向审计要求审计师运用“自上而下”和“自下而上”相结合的思路对企业内部风险作出合理科学的判断。“自上而下”就是指通过严密的推理，来逐步得出审计工作的重点，并对相关的审计目标和审计程序加以确定的过程，“自下而上”就是指根据审计程序及结果，得出一些重要的判断，从而将其归纳总结形成一定的审计意见的过程；其次，新型的审计风险模型。现代审计风险模型是应用现代风险导向审计理论指导审计实务的工具，它在传统审计风险模型的基础上进行了改进，形式上有所简化。新型的审计风险模型也即：审计风险=重大错报风险+检查风险。新型审计风险模型的建立与使用可以有效降低审计的风险；最后，个性化的审计测试程序。审计测试程序具有两个方面的内容，即具体的审计目标以及完成审计所需要的步骤与方法等，审计测试程序还具有非常重要的作用，比如提高效率、降低风险、明确责任等。所谓个性化的审计测试程序就是指现代风险审计针对不同客户、不同风险采用个性化的审计测试程序，它能在更大程度上对审计工作可能出现的风险加以规避。

二、风险导向审计在内部审计应用中的问题

目前，虽然风险导向审计已经在很多领域有了应用，比如医院、建筑等，但由于这一审计模式毕竟还是一种比较新型的事物，所以其在实践中的应用还存在着不少的问题，对风险导向审计的推广应用造成了很大影响。首先，风险导向审计成本过高。要想对企业进行风险导向审计就必须对注册会计师进行必要的业务培训，需要加强其对企业情况的了解，这些都需要一笔不小的资金投入；其次，缺乏高素质的风险导向审计人才。风险导向审计对相关人员的要求较高，除了具备专门的业务知识外，还必须具有相关的法律知识等，不过从目前来看，我国还是很缺乏这类综合素质较高的审计导向人才，这在很大程度上限制了风险导向审计工作的开展；最后，缺乏对风险导向审计的认识。风险导向审计与传统的审计模式不同，要想在实践中对其进行熟练运用，前提是必须对其基本性质加以准确把握，比如一些具体的操作思路、交易事项以及细节测试等。

三、风险导向审计在内部审计应用中的对策

鉴于风险导向审计在内部审计应用中的重要性以及其在具体应用中所出现的一系列问题，我们必须采取有效措施加以解决。

一是探索针对性更强的审计程序。所谓审计程序就是指为完成审计工作所需要的详细步骤，主要包括审计项目计划、审计准备、审计实施以及审计终结等几个方面。风险导向审计程序要求将审计工作的重心前移，重视审计计划，充分了解被审计单位及其所处环境，对管理者的诚实性保持应有的谨慎，对内部控制的有效性进行恰当地判断与运用，识别和评估重大风险，制订出符合项目特点的审计计划，同时在审计实施中要充分利用分析性程序，结合先进的计算机技术，将大量客观数据通过计算机分析软件，快速、准确地得到需要的结论。

二是提高风险导向审计水平。风险导向审计水平的提高需要从多个方面进行努力，首先是审计人员综合素质的提高，应定期对审计人员进行培训，其次采用先进的技术手段，比如计算机技术等，可以通过系统的抽样和分析，来对审计风险进行有效的评估，并能在很大程度上提高审计工作的效率与水平。

三是建立风险评估方法。风险导向审计是在风险评估的基础上，确定审计方向和重点，改变了传统以内控测试为主的审计方法。风险评估方法是一种系统的、科学的和可量化的方法，风险导向审计从风险评估开始，形成了风险评估、确定审计范围、制定审计计划、开展审计工作、出具审计报告、缺陷整改提高、开始新的风险评估这样一个循环，可见风险评估方法是否得当将会直接影响其他审计要素，进而影响整个审计工作的效率、效果和质量。目前比较常用的风险评估方法主要是以风险影响程度（风险发生对企业目标时的影响）和风险发生的概率（风险发生的可能性）来衡量风险大小，即风险大小=风险影响程度×风险概率，以此计算出各种事项的风险大小。

四、结语

随着经济的全球化，企业间竞争日益剧烈，面临更大的内外部风险，风险导向审计对内部审计来说显得更加重要。本文通过对风险导向审计的分析与阐述，希望可以为以后的相关研究和实践提供某些有价值的参考和借鉴。

参考文献：

[1]邵培.风险导向审计对内部审计人员能力和素质的要求.商情.2013，20（7）：19-20.

审计风险概念篇5

[关键词]审计风险；特殊考虑；风险要素

随着审计责任的加大，审计风险的问题越来越受到人们的极大关注，职业界普遍认为有效控制与规避审计风险是目前亟待解决的问题。但笔者认为解决实际问题首先应理论联系实际，因此笔者将对审计风险的概念、风险基础审计模式的要素及计量、控制环境在审计风险要素中的定位以及审计风险评价与期望审计风险确定等问题结合实际做一些特殊的考虑，以期望能对审计实际工作有所指导。

一、关于审计风险概念的特殊考虑

研究风险基础审计，必须先明白审计风险的涵义。对审计风险的涵义，国内外有许多学者作了积极探索，不同的人由于站的角度不同，结论也并非完全一致。美国注册会计师协会（AICPA）、加拿大特许会计师协会（CICA）、国际审计实务委员会（IAFC）以及著名审计学家阿伦斯等都对审计风险涵义表达了自己的看法。这些有关审计风险的概念，有一个共同的特点，认为审计风险是指财务报表没有公允地揭示的风险。但笔者认为，这种定义方法只是为了给实务中的具体操作提供可行的指南，而不是从一般的理论意义上探讨，因而只能说明审计风险的表面现象，而未触及审计风险最本质的东西。笔者认为，将审计风险概括地表示为能觉察出重大错误的风险，只是最狭义的审计风险，而审计风险本身具有更广泛的含义，可从最狭义、狭义和广义三个层次上来说明。从最狭义的角度来理解，审计风险是审计人员错误地估计和判断了审计事项，乃至发表了与事实相悖的审计报告，使重大错误或舞弊行为未能揭示出来，而受到有关关系人指控并遭受某种损失的可能性。

一般来说，审计人员对审计风险理解就是如此，包括国际审计准则在内的大多数的国家的审计准则也是这样理解的。原因在于审计实践中大量产生的是这一类审计风险，因而成为人们研究的重点。这为审计人员分析和寻找审计活动所可能招致的风险及其直接因素开辟了途径，在实务中使审计人员容易寻找到对付的办法。但是，上述关于审计风险的定义并没有完全表达审计活动的风险，仅是针对把错误的判断为正确，即财务报表存在重大差错而发表了无保留意见的报告。因而，当我们对审计活动结果的可能性进行考察时，其结果不仅存在把错误判断为正确的情况，还存在把正确判断为错误的情况，因而审计风险的含义应有更广泛的内容。

从狭义的角度理解，审计风险还应当包括财务报表没有公允揭示而审计人员却认为已公允揭示的风险，以及财务报表总体上已公允揭示而审计人员却认为未公允揭示的风险。审计风险应是“主观”与“客观”的一种偏离，有可能从两个方向发生偏离：一是把客观上是正确的东西判断为错误的，给予否定，也就是α风险；二是把客观上是错误的东西判断为正确的，加以肯定，也就是β风险。由于在审计实践过程中，对公允揭示的财务报表发表一个有保留或相反的意见，一般是不可能发生的，因而α风险发生的情况很少，而大量的是β风险，即对严重失实的财务报表发表无保留的审计意见的风险。但α风险很少发生并不等于说不是客观存在的。一旦发生这种情况，通常会延长研究和调查时间，影响审计人员的效率和信誉，也会导致损失（效率低下的损失和名义上的损失）。因而，从理论的探讨来说，α风险也是审计风险的内容之一。

美国学者海尼丝在论述风险时，认为风险是损失的可能性，这是从最广泛意义理解风险。推而广之，审计风险也可以理解为审计主体损失的可能性。主要有“狭义的审计风险”和“社会营业风险”。社会营业风险是指虽然为某一客户提供的审计报告正确无误，但审计人员（或承担审计的会计师事务所）却由于一种客户关系而受到伤害的风险，这就是通常所说的“深口袋”责任概念。上述因素，即使不是审计过程中发生的失误行为，也对审计构成了风险。因而必须把社会营业风险列入审计风险的范畴，并扩大审计人员的审计范围。这是审计风险模型要加入考虑该风险要素的主要理由之一，也是会计师执业面临诉讼爆炸的重要原因。

综上所述，审计风险是审计与风险两个概念的组合。审计风险概念是风险的属概念，具有风险的基本特征。将风险概念引入审计学，是审计理论与实务发展史上具有重要意义的一个里程碑，它使审计人员对审计风险的认识由被动变为主动，对审计风险的控制变被动控制为主动控制。对审计风险的解释有三个层次，不同的层次适用条件不一样。完善的审计风险概念，应从广义上解释，即不仅包括审计过程的缺漏导致审计结果与实际不相符而产生损失或责任的风险，而且包括营业失败可能导致公司无力偿债或倒闭所可能对审计人员或审计组织产生伤害的社会营业风险。

二、关于审计风险要素与计量模式的特殊考虑

根据当代审计理论，传统的审计风险要素为：企业职工素质（包括管理人员能力品质）、企业经营环境与经营项目及其内部形成的特有的文化氛围的因素决定的企业财务信息质量水平的固有风险要素；企业制度的控制内所不能察觉并修正财务信息质量的控制风险要素；审计人员未能通过实质性测试对财务信息、质量水平的状态给予恰当评价的检查风险要素。而且审计界认为审计风险是由固有风险、控制风险和检查风险构成。它们之间的关系为：审计风险=固有风险×控制风险×检查风险。一般来说，固有风险、控制风险是独立于审计而存在的，审计人员无法改变其实际水平。检查风险可以由审计人员实施控制。固有风险、控制风险与检查风险成反比，与预计的证据数量成正比。故在审计过程中，审计人员的责任就是预先确定一个可以接受的审计风险水平，以此作为风险管理的目标，而后在具体的以制度为基础的符合性测试中尽力把审计风险降低到期望水平。在实质性测试中，审计人员所作的只能是利用各种方法收集有关证据，通过控制检查风险来实现预定水平。但是作为一种方法模式并非是一成不变的，在运用中要考虑我国当前特定的环境。

审计风险与三种风险要素之间为什么会表现出这种长期的关系呢？主要是因为控制措施能减少固有风险对财务信息质量水平可能造成的不良影响，而审计人员的检查行为又能检查出固有风

险与控制风险的综合作用对财务信息质量造成的瑕疵。例如，假设某企业财务信息的固有风险为30%，控制风险为30%，则固有风险与控制风险的综合风险效果是9%.也就是说由于企业的职工因素造成（或决定）财务信息会出现30%瑕疵，在对企业财务信息的加工过程施加控制之后，使财务信息的质量只有出现9%的瑕疵的可能。在这里内控自动发挥的作用是化解了21%固有风险。以上提到的审计要素是与狭义审计风险相适应。关于风险要素，笔者认为根据前述审计风险广义定义也可以在我国考虑增加“社会营业风险”要素。由于审计只限于抽样，审计并不能发现财务报表中的全部错误项目，某种隐蔽较好的欺诈极难侦破，所以，存在一定的审计不能发现的重大错报项目的风险。在审计未能发现重大错报，并提出错误的审计意见时，因审计人员过失而受损失的人，可望从会计事务所处取得赔偿。由于审计的复杂性，在实践中很难确定审计人员是否做到应有的谨慎。由于司法传统（指美国）也很难决定谁有权期望获得审计利益，因而当某一公司破产或无力偿还债务时，报表使用者通常会指责审计失误。遭受损失的人由于对其经济利益的关注而对审计人员提出过高要求，一旦受损就希望得到补偿，而不问错在何方。如在美国，由于“厄特马斯主义”的法律背景及“深口袋理论”的人文背景的影响，审计人员承受法律责任的范围扩大，程度加深了。这种在范围和程度上扩大并加深了的审计人员法律责任，便是社会营业风险要素一定计量的对象。所以，传统的审计风险模型变为：审计风险=固有风险×控制风险×检查风险+社会营业风险。而狭义的审计风险可称为“意见风险”，所以审计风险还可以表示为：审计风险=意见风险+社会营业风险。在这里，因为“社会营业风险”对“意见风险”几乎没有影响，因此它们之间只能表达为“和”的关系而不能是“积”的关系。

审计风险是审计人员从以下几方面出发所作出的一种判断，首先是审计主体对风险的承受能力，若审计主体有强的风险承受能力，则在对风险与收益进行权衡之后，可以选择较高的风险水平；其次，通过对被审计单位固有风险与控制风险的考察分析，审计人员认为被审计单位这两种风险的综合风险很低，即被审单位出现重大的错报与漏报可能性不大，这种情况下审计人员也可以设定较高的审计风险，进而降低审计成本。下面通过例子来说明审计风险的计量。在前面的审计风险模型中，其中“意见风险”为“发表不恰当审计意见给审计主体带来损失”的概率。假定审计人员在一百次审计中有六次发表不恰当审计意见，这六次中又有两次给审计主体造成损失，则：意见风险=（6/100）×（2/6）=2/100，由于发表不恰当意见并造成损失的可能性（2/100）=固有风险×控制风险×检查风险。若审计人员对固有风险×控制风险的评价为20%，经计算：检查风险=2/100÷20/100=2/100×100/20=10%.审计人员将依据计算出的检查风险的大小来确定相应审计范围的大小及应收集的审计证据的多少。若通过对有关法律及人文环境的评价，审计人员判断社会营业风险为1%，那么审计人员所承受的审计风险为3%.

三、关于控制环境要素对审计风险影响的特殊考虑

首先，风险基础审计的一个显著特点就是引进了“内部控制结构”理论，强调控制环境在审计风险评价中的作用。控制环境的优劣不同，隐含的审计风险也会不同，那么控制环境中包含的审计风险究竟属于固有风险的范畴还是属于控制风险的范畴，《独立审计具体准则第九号——内部控制与审计风险》将控制风险表述为“第一账户或交易类别单独或连同其他账户或交易类别产生错报和漏报，而未能被内部控制防止、发现和纠正的可能性”，根据该定义，控制环境应当属于控制风险的范畴，但是该准则同时又认为“固有风险是指假定不存在相关内控时某一账户或交易类别单独或连同其他账户，交易类别产生错报或漏报的可能性”，审计人员应当合理应用专业判断，考虑管理人员的品行与能力、管理人员特别是财会人员的变动情况、管理人员遭受的异常压力、业务的性质、影响被审单位所在行业的环境因素等若干情况，以评估固有风险，这样似乎控制环境更接近于固有风险的范畴。很显然，根据这些描述，若将控制环境归入控制风险范畴易使人困惑，因其外延大部分落入固有风险的范畴，若将其归为固有风险的范畴，又与固有风险的内涵不符，因为控制环境属于内控制度的一个组成部分，这种两难的选择不仅使得风险基础审计缺乏内在的逻辑一致性，而且使得控制环境要素在审计风险评价模型中难以定位。其实，控制环境可能归纳为制度或程序因素及非制度和程序因素。显然前者形成的风险属于控制风险，后者形成的风险属于固有风险，所以准则中对固有风险和控制风险的定义欠妥，笔者建议对相应准则进行修订。

其次，如果企业内部行使控制职能的管理人员，蓄意营私舞弊，那么即使具有设计良好的内控制度也不会发挥其应有的效能。内控制度作为企业管理的一个组成部分，它理所当然地要按照企业管理人员的意图运行，尤其是企业负责人的决策更是起决定作用。决策出了问题，贯彻决策人意图的内控制度也就失去了应有的控制效能。在目前情况下，笔者认为应当充分考虑外部环境对管理者的约束。例如，经营管理的好坏对管理者升迁的影响，控制公司对企业管理层的监督与约束等等。但值得注意的是即使经过我们的评价，控制环境不存在重大的风险，我们也应当考虑内部控制结构失效这一因素，适当提高我们的风险评估水平。

四、关于审计风险评估与期望审计风险确定的特殊考虑

风险基础审计属于开放式审计，将目标和手段有机地结合在了一起。审计风险的评价贯穿整个审计过程的始终，而审计风险水平的确定，必须研究谁使用报告，用途是什么，审计信息使用者的希望和需求是什么，也就是审计所要达到的目标是什么。然而由于所有者主体的不到位以及中小投资者的分散性及专业知识的限制，使得审计高质量的要求大打折扣，又由于需求群体的不成熟，使得国家只有从审计的供给方进行约束，通过制定高质量审计准则来指导审计需求和提高供给方的质量。很显然，我们的审计准则超前于我们当前的审计实际需求。这就使得审计人员在评价审计风险时，不仅要考虑审计的实际需求，还必须考虑独立审计准则所确定的审计质量水平。从已有的案例可以看出，很少有由股东或潜在的投资者诉诸法律，审计师面临的主要在于国家监管部门的惩处，个中原因恐怕也就在于此。当然，我们也应当注意的是，随着审计需求的不断发展变化，审计风险的评价也会不断发生变化。另外，评价审计风险的目的在于与期望审计风险进行比较来确定出具体审计报告的类型。期望审计风险的大小反映了审计人员愿意承担风险的多少，其确定取决于审计人员的主观判断。国内大多数会计事务所将期望审计风险水平确定为5%，AICPA颁布的SAS47提出的指导性审计风险水平也为5%，基于此，有人建议我国的事务所期望审计风险水平为5%，但笔者以为，目前对我国大多数会计事务所来说，难以承担此风险。所以应具体考虑事务所本身的规模大小及风险承担能力，对于中等规模的审计机构期望审计风险应为1%至3%为宜。

[参考文献]

[1]独立审计具体准则第9号——内部控制与审计风险[S].北京：中国财经出版社，1998.

[2]秦荣生，卢舂泉。审计学（第三版）[M].北京：中国人民大学出版社，1998.

[3]2000年度注册会计师全国统一考试指定辅导教材。审计[M].大连：东北财经大学出版社，1999.

[4]彭红漫。浅议审计风险防范措施[J].湖北审计，2000，（8）。

[5]吕博。论审计风险[J].宁夏审计，2000，（2）。

[6]张龙平，陈建明。独立审计准则导论[M].北京：经济科学出版社，1997.

审计风险概念篇6

符合性测试概念可见于我国诸多审计之中，虽然这些文献给出的符合性测试概念不尽相同，但大至可分为二类：一类认为符合性测试是为了确定内部控制制度的设计和执行的有效性；一类则认为符合性测试的不包括对内部控制制度设计的测试，也即符合性测试仅是为了确定内部控制制度的执行的有效性。

第一类观点以注册师全国统一指定辅导教材《审计》为代表，其具体的表述为：“符合性测试是为了确定内部控制的设计和执行是否有效而实施的审计程序。符合性测试是在了解内部控制的基础上来确定其设计和执行的有效性。”

第二类观点则以《释义》为代表，其具体表述为：“符合性测试是指通过一定的审计方法，测试被审计单位业务活动的运行与相关内部控制的符合程度。通过符合性测试，注册会计师便可对内部控制的有效性作出进一步评价，并根据符合性测试结果确定实质性测试的性质、时间和范围。”

不难看出，上述二类符合性测试概念的矛盾和冲突集中体现在符合性测试的内容（或对象）是否包括内部控制的设计。因此，搞清这个问题就成为解决符合性测试概念矛盾和冲突的关键所在。

如果我们把研究和评价内部控制制度看作一个过程，然后我们再把这一过程按进展程度作一划分并作些，籍此或许能够有助于弄清我们所要讨论的问题。

研究和评价内部控制制度作为一个过程，大体上要经过以下一些步骤：

1、调查了解内部控制制度，并把调查了解的惰况记录下来形成工作底稿。内部控制制度调查记录的方法通常有三种，即调查表（问卷）、文字表述和流程图。

2、进行穿行测试。所谓穿行测试就是指在每一类交易循环中选择一笔或若干笔业务进行测试，以验证工作底稿上描述的内部控制制度信息的客观性和真实性。穿行测试（Walk－ThroughTest）也叫全程测试、了解性测试（TestofUnderstanding）、摇篮—一坟墓测试（CradletoGraveTests）。实施这种测试的目的在于防止工作底稿中对内部控制的描述出现偏差；

3、初步评价内部控制制度。注册会计师每次审计时，在了解了内部控制之后，应对控制风险作初步评价。由于在这一阶段，注册会计师尚未对内部控制的执行情况进行检查，仅对内部控制作了了解和描述，因此，初步评价只能从内部控制的设计角度进行。初步评价内部控制作为一种审计程序，其实质在于把被审单位内部控制的现有模式与理想模式进行比较，从内部控制的设计方面找出被审单位内部控制的不足，以及这些不足可能对会计系统产生的影响。这里的评价主要集中在企业所设计的内部控制的系统性、有效性、协调性以及内部控制的适用性等方面。“审计实务中，审计人员可以采用‘内部控制问题或调查表’。‘内部控制问题式调查表’是将内部控制的各个要求以问题方式列出的一种表式。因此，‘内部控制问题式调查表’实际上是理想控制模式的一种表示形式，它使理想控制模式具体化，使审计人员易于用理想控制模式对实际存在的内部控制制度进行评价。”初步评价以后，如果注册会计师认为内部控制完全不能依赖，注册会计师或者放弃接受委托或者直接进入实质性测试（一般要评查），如果这样，内部控制的研究。评价到此即告结束。如果注册会计师认为内部控制可以依赖或部分可以依赖(仅从制度的设计角度)且对实际存在的内部控制运行状况的检查符合成本效益原则，注册会计师则要进入下一道程序；

4、对内部控制在受审期间运行的状况进行检查。这里的检查实际上就是查看内部控制在整个受审期间是否按照设计的要求有效地运行，其实际运行的状况与制度设计的要求符合程度有多大。因为，设计再完美的内部控制，如果没按要求运行，内部控制只能形同虚设，注册会计师同样不可对其依赖。注册会计师仅在满足下列条件下才对内部控制的运行情况进行检查：（1）存在可以依赖的内部控制；（2）对内部控制的检查可以减少实质性测试的工作量。这里的检查方法可以按交易测试和机能测试分别进行。所谓交易测试就是对某一交易事项的突个流程或整个程序所采取的一切控制措施进行审查，其目标在于查明内部控制系统中的信息流向，查明信息流经的控制环节是否都在发挥控制功能，其发挥的程度和效能如何。交易测试一般应按交易循环进行，注册会计师从每一交易循环中选择出若干交易事项进行测试，这里的测试既可以顺查也可以逆查。交易测试的实质在于是对内部控制在一个较为狭窄的时间范围内所做的横向检查；所谓机能测试是指对某控制措施（控制点）在整个受审期间是否一贯地有效执行所进行的测试。这种测试要求注册会计师从内部控制中选择出若干关键控制点，并对受审期间内所有经过这些控制点的业务进行控制情况检查（抽查）。所谓关键控制点是指一旦这些控制环节的控制失控，错弊就极易发生，符合这种特性的控制环节，就可称之为关键控制点。机能测试的实质在于是对关键控制点在整个受审期间所做的纵向检查。交易测试结合机能测试可以便注册会计师对内部控制进行较为镇密地、有效地立体检查，这里的检查仍为抽查。注册会计师对内部控制的执行。情况进行检查以后，接着就要进入下一个程序；

5、对内部控制的再评价。通过上述几个程序，注册会计师对内部控制的设计以及运行情况都有了比较全面的了解，在此基础上，注册会计师要对整个内部控制的情况也即控制风险水平进行再评价，看其控制风险是高还是低。将控制风险评价为高水平，意味着内部控制不能及时防止或者发现和纠正某项认定中的重要错报或漏报的可能性很大，如果很多认定或者所有认定的控制风险，都被评价为高水平，那么，注册会计师就应考虑是否对被审计单位会计报表进行审计。对控制风险的评价，是为了确定完成审计工作所需执行实质性测试的性质、时间和范围。评价控制风险的适当与否，直接影响到实质性测试的适当性。至此研究和评价内部控制的一般过程就全部结束。

内部控制制度的与评价肯定不等于符合性测试，但符合性测试却存在于内部控制制度的研究与评价过程之中。因此，在我们对内部控制的研究与评价程序作了划分和后，要想地界定符合性测试的内涵，还有必要对测试概念以及符合性概念作些分析。

何为测试？测试（Test）的意思为检查，只不过这里的检查含有抽样检查的意思，用在审计中，则是指通过对审计对象样本的检查，以审计对象样本的特征去推断审计对象总体特征这样一种活动。至于符合性，其含义即为遵循性，符合性测试在中叫ComplianceTests。因此，ComplianceTests在我国也有人把它翻译成遵循性测试、依从性测试。从这些字义本身来看，内部控制的研究和评价程序中，只有第4步程序才能称之为符合性测试。因为，第4步程序只是对内部控制进行了解、描述和记录，没有测试；第2步程序虽然进行了穿行测试，但目的不是检查“符合性”，而是检查对内部控制描述记录是否有错；第3步程序为初步评价，这里的初步评价只能是从内部控制设计的角度初步评估控制风险，是在对内部控制实际执行情况没有检查情况下对控制风险的初步评估，这里不涉及符合性；至于第5步程序也与符合性测试的内涵不相吻合，符合性测试与内部控制的再评价既有联系又有区别。符合性测试是内部控制再评价的基础，没有符合性测试也就不会出现内部控制的再评价；内部控制再评价是符合性测试的必然要求，否则，符合性测试就没有任何价值，这是二者的联系。但是它们二者的区别也是非常明显的，内部控制的再评价是利用符合性测试得到的证据，对控制风险作出比较全面的分析过程，其本身作为一个相对独立的过程，并不进行任何检查，只是在利用检查所得到的资料。被西方誉为“民间审计圣经”的《蒙哥马利审计学》也认为“审计人员对其计划所依靠的各项控制进行初步评价后，接着便进行符合性测试，——符合性测试的目的是证明内部控制在打算依赖的期间内，是否在令人满意地发挥作用。它包括：检查审计客户的记录和文件，取得证据；观察审计客户职员如何执行控制；由审计人员重复进行职员的工作。”