风险基础审计的含义与特征

第二节　风险基础审计的含义与特征

一、风险基础审计含义

20世纪60年代后，科学技术的飞速发展促进了经济的迅猛增长，社会经济多维化趋势显著，由此，企业经营的不确定性大大增加。受到企业内部及外部多方面因素的影响，仅以被审计单位自身的内部控制制度为核心的制度基础审计显然已不能适应社会经济发展的需要。从风险评估入手，综合分析影响被审计单位目标实现的各种因素及探求风险管理的风险基础审计已势在必行了。

所谓风险基础审计，是指以对被审计单位的风险识别为基础，全面分析影响被审计单位管理目标实现的各种因素，并据此确定实施进一步审计的性质、范围、时间，进而进行控制测试和实质性检查的一种审计方法。

以风险为基础的审计方式是以制度为基础的审计方式的发展，代表了现代审计方法发展的最新趋势。风险基础审计立足于对风险进行系统的分析和评价，并以此为出发点。它强调审计战略，要求制订适合被审计单位状况的审计计划，要求不仅应检查与内部控制制度有关的因素，而且应检查企业内外的多种因素，不仅应进行与会计事项有关的个别分析，而且应进行涉及各种环境因素的综合风险分析。再者，与以制度为基础的审计方式所强调的内部控制制度与审计测试之间的关系不同，以风险为基础的审计方式要求从被审计单位目标确认与分析开始，进一步研究影响单位目标实现的固有风险和控制风险，而且要对产生风险的各个环节进行评价，用以确定审计人员实质性测度的重点和测试水平，确定如何收集、收集多少和收集何种性质证据的决策，最后引导出管理风险的办法。

风险基础审计方法是正在探索、尚未完善的一种新方法，国内外审计职业界对其认识存在很大差异。例如，社会中介审计认为，注重从企业宏观层面了解会计报表存在的重大错报风险，就是风险基础审计。而不少内部审计组织和人员却认为，对影响单位目标实现的各种风险因素分析与预测，并对管理层提出管理风险的措施，即为风险基础审计。他们的观点不能说是错的，但只是局限在自己本身工作的范围方面，没有从建立一种完整的审计方法体系方面去认识问题和解释问题。风险基础审计作为一种新的审计理念和方法，随着国内外审计失败事件连续不断地爆发，引发了业内外新的关注和两种截然不同的看法。一种意见认为，安然事件中安达信会计公司失败，很大程度上可以归结于风险基础审计理念和方法的失败，因此要求反思甚至停止采用风险基础审计方法。还有一种意见认为，我国中天勤会计事务所出现的问题，是因为没有采用风险基础审计方法。由上可见，人们对风险基础审计还缺乏全面的认识，甚至心存疑虑。反映在审计实践中，国内外一些会计师事务所及内部审计机构对风险基础审计方法进行了探索，但存在很多局限性，隐藏着一定的审计风险：有的只注重对企业的目标、经营战略及其业务流程的了解，忽视了对重要的各类交易、账户、余额、列报与披露的实质性测试，将实质性测试集中在例外事项；有的只注重对企业一般情况及其环境的了解，忽视了对内部控制的了解和测试，认为内部控制测试已经过时了。由于实施的实质性程序有限，当不实施内部控制测试或没有发现内部控制失效时，审计人员就不能发现业务交易中的问题及会计报表存在的重大错报。再者，有的只注重使用分析性复核方法，忽视了传统的审阅、核对、复核等方法的使用。要想使风险基础审计方法有效实施，必须将其与制度基础审计方法及账目基础审计方法有机地结合起来。在风险评估中必须进行内部控制恰当性与有效性测试，在实质性测试时同样要使用账目基础审计的各种方法。

二、风险基础审计产生的原因

风险基础审计是迎合高度风险社会的产物，其产生与兴起的原因主要有以下三个方面。

（一）社会对审计期望的提高

审计始终处于一种被动与不断调整适应的状态，始终在为满足社会经济发展的需求而不断努力，但也无法达到完全满足社会需求的程度。因为，社会在不断地前进与发展，审计服务的对象的期望也在不断地改变与提高。特别是20世纪60年代以来，随着世界范围内科学技术、政治经济的变化，激化了企业之间的竞争，增加了企业目标实现的不确定性，并导致了企业纷纷倒闭破产。因此，社会对审计提供风险管理服务的需求越来越迫切。1999年国际内部审计师协会新修改的内部审计的最新定义中强调指出：内部审计要通过系统化、规范化方法评价和提高单位风险管理、控制和管理程序的效果，帮助完成其目标。要求内部审计为单位风险管理提供专家的保证与咨询服务；强调内部审计主要关心组织整体目标的实现，强调评估风险的责任，未来内部审计的趋势为确认风险之所在，内部审计必须预期并掌握机会以适应组织的需要。美国注册会计师协会科恩委员会调查表明：社会公众（包括会计报表的使用者）认为，审计人员应对舞弊行为的揭露以及关于受审企业管理人员欺诈和违法行为的报告，负有更大的责任；审计人员应增进审计的有效性，即提高对影响会计报表真实性的察觉能力；审计人员应向有关利害各方详尽报告审计过程的发现；为使已审会计报表更具有实用价值，审计人员应向报表使用者提供更多的关于企业持续经营能力方面的信息。

面对企业及社会公众的需求，审计职业界不能视而不见，否则，不仅会令需求者失望，审计还会失去生存与发展的基础，这是风险基础审计产生的根本原因。

（二）制度基础审计不能满足需求

在过去数十年中，制度基础审计是增进审计绩效与管理组织风险的主要工具之一，审计人员已被训练为内部控制制度评估、建议的专业人员，并将审计焦点置于单位作业流程内部控制的规划、测试与报告，造成审计人员均将审计工作偏向于单位可审计的内部控制系统，而忽视了被审计单位本身的目标。风险基础审计可以答复许多控制基础审计所不能解决的疑问，无疑是增进审计绩效与组织风险管理的一项重要观念。

没有风险就没有控制，控制只为管理风险而存在，不分析风险而想有效地评价控制是不可能的。在尚未检查组织程序的目标与所处风险前，即直接评估控制程序，其结果应无意义。因为审计人员无法了解哪些是最重要的控制系统，哪些控制对于风险而言是重要的，又缺少哪些控制。制度基础审计导致了过度控制日益严重，限制了组织发展和无效率控制的增加。风险基础审计能改变审计人员对于控制与风险的思考，使审计人员对于组织所面临的风险开始关心，而审计报告的重点也转移至目前以及对未来精心的规划，审计报告将目前作业控制的确保与策略计划风险评估连接起来。风险导向审计将“决定应设计的控制”扩大为管理风险，审计先确认组织目标，再评估风险，最后管理风险。正因为制度基础审计不能满足现代企业及社会对风险管理的需求，风险基础审计便有了产生与发展的基础。

（三）审计生存与发展的需要

现代审计的产生与发展，无一不是以被审计单位有各种利益关系的第三方面的需求和需求的变动为轴心的。审计要想存续与发展，理应围绕社会公众利益的需求，不断地开拓新的审计领域和探索新的审计方法，这是风险基础审计兴起的第三方面原因。现代公司的管理者要求把企业有限资源集中投放在核心竞争力方面，要求单位所有部门和人员都要为增加企业价值服务。同样要求内部审计要帮助组织达成目标，其关注的焦点应由财务及遵循性控制转换为管理控制、管理程序及风险评估，并希望每一个内部审计人员均要成为单位内部风险评估的专家，为单位风险管理提供预测、咨询服务。认为判断内部审计是否成功最重要的标准是其服务给组织提供的价值；如果对独立性的强调损害了内部审计价值的增加，那么应当优先考虑内部审计价值的增加问题。内部审计部门及内部审计人员必须认真思索管理性的这种需求，调整审计内容、探索新的方法，以尽量满足管理层的需求，否则内部审计机构就难以存在，更不可能得到发展和地位的提高。社会审计组织要在激烈的市场竞争中保持自己的一席之地和维持一定的经济收入，更要满足于社会大众的需求，否则就更容易被淘汰出局。同时，社会中介审计组织要想维持期望的边际收益，在竞争愈演愈烈的环境中，增加审计费用是不可能的事，唯一的出路是降低审计成本。降低成本又要保证审计质量，那只能提高审计效率。因此，寻求适当的审计方法就成为关键所在。审计人员必须在保持各项具体审计活动必要效果的同时，努力追求最高的审计效率。风险基础审计能够将有限的审计资源集中在高风险领域，这样，既能保证审计效果，又不至于增加审计费用。

三、风险基础审计的特征

风险基础审计不是凭空而来的，它是为了适应特定的环境，以其前一种审计方法（即制度基础审计）为基础，发展变化而来。制度基础审计是风险基础审计的基础。而风险基础审计是制度基础审计的深化。

（一）风险基础审计与制度基础审计的差异

1．审计基础不同

制度基础审计以内部控制制度为基础，仅根据对被审单位内部控制制度适当性及符合性评审的结果确定实质性测试的范围、重点和方法；而风险基础审计则以风险评估为基础，根据对影响被审计单位经济活动的内外多种风险因素的评估，确定审计范围、重点和方法。

2．运用方法不同

制度基础审计与风险基础审计都运用抽样审计技术，但风险基础审计对风险加以量化，相对于制度基础审计来说，风险基础审计中的抽样技术是更为完全意义上的审计抽样。另外，风险基础审计更着重运用分析性测试方法。

3．对内部控制制度的运用不同

制度基础审计与风险基础审计均涉及对内部控制制度的运用。所不同的是，制度基础审计以内部控制为核心，依靠对内部控制制度的评审结果决定实质性审查；风险基础审计则仅通过内部控制制度的调查了解，评估控制风险，而这只是影响审计风险水平的因素之一，它还要结合其他风险因素综合考虑，才能确定实质性审查的范围和重点。

4．测试的重点不同

制度基础审计的测试重点是内部控制制度，但它仅对内部控制制度进行测试；风险基础审计除对内部控制制度进行测试外，对影响风险水平的内外因素均要进行测试，测试范围更为广泛、全面。

（二）风险基础审计主要特征

风险基础审计同制度基础审计相比较，更系统地研究了审计授权、委托人内外环境，更切实地保证了审计质量。另外，它以被审单位的经营活动为出发点，综合运用内部控制制度评审、分析性测试等高效率审计方法，兼顾了审计质量与审计效率。

（1）风险基础审计从确认被审计单位管理目标入手，分析内外风险因素，评估风险影响程度及发生的或然率，在高风险区域展开深入检查，最后提出管理风险的措施，能够有效地协助被审计单位进行风险管理，不仅使审计走出了与管理者不相协调的困境，而且使审计更加符合增加管理价值的需要。

（2）风险基础审计不仅要求审计人员关注被审计单位影响目标实现的内部管理和内部控制因素，而且要分析与预测影响目标实现的外部环境及其他方面的风险因素，这就使审计人员不仅要具有风险意识，而且要全面地思考来自被审单位内、外的现实因素与潜在因素，否则就难以提出有针对性的管理风险措施。

（3）风险基础审计以评价风险作为突破口，有利于寻找高风险区域及项目，从而有利于集中力量，把有限的审计资源投放到高风险项目，以最大限度地降低审计人员的检查风险，更好地揭示出重大差错和舞弊，同时，也有利于节约审计人力和时间，节约审计费用。

（4）风险基础审计在保证审计质量要求的前提下，统筹符合性测试、实质性测试、分析性检查方法的运用，尽可能地灵活运用各种审计手段，以提高审计工作效率。