风险基础审计的程序与方法

第三节　风险基础审计的程序与方法

审计的一般程序可分为准备阶段、实施阶段和报告阶段。但不同的审计方法模式，其具体程序内容和强调的侧重点都有所不同。如账目基础审计强调实质性检查程序，制度基础审计强调内部控制测试程序，而风险基础审计则强调风险评估程序。风险基础审计程序主要包括风险评估程序、总体应对措施、进一步审计程序和评价审计证据等四个步骤，具体包括风险识别、风险分析、应对决策、内部控制测试、实质性检查、证据评价和风险管理建议。一般认为前三项属于准备计划阶段，中间两项属于实施检查阶段，而后两项属于终结报告阶段。

一、风险识别

风险评估是识别与分析达成目标的风险，用以构成决定该如何进一步审计的基础。风险识别是指对有可能破坏达成目标的事物的识别。识别风险包括对目标的确认和识别影响目标实现的内部和外部风险。

无论是管理工作中的风险评估，还是审计程序中的风险评估，首先都应该进行目标确认。管理评估中目标确认应视评估目的而定，而审计评估中目标确认应视审计目的而定。假如社会中介审计机构对财务报表审计主要目的是查明有无重大错报问题，那么对“重大错报”就要进行定位，分析“重大错报”定位的明确性和恰当性，否则就无法对影响重大错报风险进行识别和分析。假如内部审计人员对某个领导进行经济责任审计，首先就应该对该领导应负的经济责任进行确认，即确认应负的经济责任是否恰当、是否明确、是否以书面表达等。只有确认了这些审计目标准确无误，才能进行对影响目标实现的各种因素识别。如果目标本身就有问题，那么对影响目标实现的因素进行识别和分析就毫无意义了。

在目标确认的基础上进行风险识别，即识别实现目标的过程中可能会遭遇的风险。要进行风险识别，一是要意识到风险的存在；二是要识别风险的特征和类别，也即是在认清风险不利结果发生的原因和条件的基础上，进一步区分类别。风险识别，实质上是对风险进行定性研究，主要采用调查方法，了解被审计单位及其环境。

（1）审计人员应询问被审计单位管理当局和财务、生产、销售及内部审计等其他人员，以获取对识别风险有用的信息。

（2）审计人员应实施分析程序有助于识别异常的交易或事项，以及对会计报表和审计产生影响的金额、比例和趋势。在实施分析程序时，审计人员应当预期可能存在的合理关系，并与实际情况相比较，如发现异常或未预期到的关系，审计人员应当考虑是否存在重大风险。

（3）审计人员应当实施下列观察和检查程序，获取被审计单位及其环境的信息，即印证对管理当局和内部其他相关人员询问的结果：①观察被审计单位的生产经营活动；②检查文件、记录和内部控制手册；③阅读由管理当局和治理当局编制的报告；④实地察看被审计单位的生产经营场所和设备；⑤追踪交易通过与财务报告相关的信息系统的过程（穿行测试）。

（4）审计人员应当从被审计单位外部获取有助于识别风险的信息。

（5）审计人员应当考虑利用以前所获取的信息，但要考虑到被审计单位及其环境的变化。

在上述调查的基础上，审计人员就应该认真分析影响被审计目标实现可能面临来自哪些方面的风险。

为了更好识别风险，应针对每一项目标注意下列问题：

（1）哪些方面最容易出错？

（2）最大的漏洞可能在哪里？

（3）可能会失败的方式是什么？

（4）有哪些资产没有得到应有的保护？

（5）可能遭窃的方式是什么？

（6）营运可能遭他人中断的方式是什么？

（7）最依赖的资讯和最可能中断的资讯是什么？

（8）最大的开销是什么？

（9）最不稳定的收入是什么？

（10）最需要高度判断的决策是什么？

（11）性质最复杂的活动有哪些？

（12）有哪些活动受到法律规范？

（13）最大的合法性暴险是什么？

最为重要的是全面识别风险，既要考虑内部风险因素，又可考虑外部风险因素；既要考虑高层管理决策风险因素，又要考虑中、基层执行风险因素。风险识别还应从因果两个方面去进行分析。如果不找出风险发生的原因，我们就无法判定风险发生的或然率（或频率）或找出进一步审计和预防方法；如果不知道其结果，我们就无法判定风险的重大性，我们就无法决定查明进一步检查的顺序和检查的控制风险。

二、风险分析

风险分析是风险评估的重要阶段。即在风险识别的基础上，通过对所收集的大量风险信息，运用数量化方法，估计和预测风险发生的可能性和损失的严重程度。也即是通过风险原因、风险性质和风险后果分析，以确定风险发生的或然率（L）和重大性（S），为应对决策提供依据。

风险原因：引起暴险（风险造成的冲击，如收入受损、顾客不满意等）事件发生的人或事，这可能为某一类型的人，如员工或外人；也可能是事件，如火灾、水灾；或者可能是未采取适当的行动。

风险性质：风险或暴险的类型。最好的表达方式是实际发生的事情，如舞弊、盗窃资料损失等。西欧一些企业把风险划分为八种类型，如财务咨询与准度、财务管理与结果、法令与规章遵行、授信品质、内部舞弊与越权、犯罪与外部舞弊、系统／营业、管理等。

经过上述分析确定每种风险发生的可能性及发生造成的后果影响，有助于对进一步审计程序的性质、时间和范围的确定。

注册会计师在识别和评估重大错报风险时，应当注意：

（1）在了解被审计单位及其环境的整个过程中识别风险，并考虑各类交易、账户余额、列报与披露；

（2）将识别的风险与认定层次可能发生错报领域相联系；

（3）考虑识别的风险是否重大，足以导致会计报表发生重大错报；

（4）考虑识别的风险导致会计报表发生重大错报的可能性。

注册会计师应当确定识别的重大错报风险是与特定的某类交易、账户余额、列报与披露的认定相关，还是与会计报表整体广泛相关，进而影响各项认定。

注册会计师应确认重大错报风险是否源于薄弱的控制环境，并进一步认定控制对防止或发现并纠正认定错报的相关性。

如果注册会计师通过对内部控制的了解，发现管理当局缺乏诚信，被审计单位会计记录的状况和可靠性存在重大问题，不可能获取充分、适当的审计证据，就应当考虑发表保留意见或无法表示意见，或解除业务约定。

在分析风险时，审计人员还应该运用职业判断，确定识别的风险哪些是需要特别考虑的重大风险（特别风险）。从理论上说，经评等为双高（或然率高、重大性高）的风险当然是特别风险，但还要考虑风险的性质。如注册会计师在确定风险的性质时，应考虑下列问题：

（1）风险是否是舞弊问题；

（2）风险是否与近期经济环境、会计核算和其他方法的重大变化有关；

（3）交易的复杂程度；

（4）风险是否涉及重大的关联方交易；

（5）财务信息计量的主观程度，特别是对不确定事项的计量存在宽广的区间；

（6）风险是否涉及异常或超出正常业务范围的重大交易。

对风险评估后，应按照或然率和重大性从大到小进行排列，以便于进行应对决策。如果是风险管理，这种应对决策是指决定如何进行风险管理；如果是审计工作，这种应对决策是指决定如何进行下一步的审计，也即是如何去进行证据的收集。但无论是什么样的情况，应就风险分析中发现的一些主要问题，与管理当局进行沟通。风险评估过程及其结果也应收入审计工作底稿。

三、应对决策

审计人员在进行风险评估后，应根据风险排列的结果，确定总体应对措施，以及考虑进一步审计程序的性质、时间和范围，即为应对决策。

（一）总体应对措施

总体应对措施，是指根据风险评估结果确定进一步审计的基本思路。如：

（1）双高（或然率高、重大性高）的风险重点审计；

（2）双低（或然率低、重大性低）的风险一般不予审计或作少量抽查；

（3）介于高或低之间的风险，具体问题具体对待；

（4）风险发生的可能性高，但风险发生后重大性低，可作少量抽查或不予检查；

（5）风险发生的可能性低，但风险发生后重大性高，应引起足够的注意，重点抽查。

此外，审计人员在收集和评价证据过程中始终要保持职业谨慎态度；应根据被检查事项选择有经验、有特殊技能的审计人员；根据需要利用专家的工作；提供更多的现场督导；排除被审计单位或管理当局的干预；要全面考虑进一步审计的程序等。

（二）决定进一步审计程序

当进一步审计基本思路明确后，审计人员应根据风险发生的可能性与重要性、被审计事项特征、被审计单位的控制性质及有效性，考虑进一步审计程序的性质、时间和范围。

1．进一步审计的性质

进一步审计程序的性质是指审计程序的目的和类型。进一步审计程序的目的是进行控制测试或实质性的检查；进一步审计程序的类型包括检查、观察、询问、函证、重新计算、重新执行或分析程序等。

审计人员应当根据评估的风险选择审计程序。评选的风险越高，通过实质性程序获取的审计证据的相关性和可靠性的要求越高。审计人员在执行审计程序时如果要利用被审计单位信息系统生成的信息，必须证实这些信息的准确性和完整性。

2．进一步审计的时间

进一步审计程序的时间是指何时实施审计程序，或审计证据适用的期间或地点。

在确定何时实施审计程序时，审计人员应当考虑控制环境、何时能得到相关信息、风险的性质与重大性、与审计证据相关的期间或时点等。

如对会计报表审计，审计人员可在期中或期末实施控制测试或实质性检查。如错报风险较高时，审计人员应当考虑在期末或接近期末实施实质性程序，或采用不通知的方式，或在管理当局不可预见的时间实施审计程序。如果在期末实施控制测试或实质性检查，审计人员应针对剩余时间获取额外的审计证据。

3．进一步审计的范围

进一步审计程序的范围是指实施某项审计程序的数量，如抽取的样本量或对某项控制活动的观察效率。

在确定审计程序的范围时，审计人员应当考虑事项重要性；评估的风险和计划取得的保证程度等。随着风险的增加，审计人员应当考虑扩大审计程序的范围。但是，要注意审计程序本身与特定风险的相关性。

审计人员使用计算机辅助审计，可以对电算化的交易和账户文档进行更广泛的测试，从主要电子文档中选取交易样本，或按类别选取样本，或对总体而非样本进行测试。

使用抽样检查时，如从总体中选择的样本量过小，或选用的抽样方法不适当，或未对发现的例外进行恰当的检查，样本检查结论与总体抽查结论可能不同，应注意调整。

四、内部控制测试

对风险的评估预期控制的运行是有效的和实质性检查不足以提供充分、适当的审计证据时，就应当实施控制测试，以获取控制运行有效性的审计证据。应当获取的控制有效运行的审计证据有：

（1）控制在所审计期间的不同地点是如何运用的；

（2）控制是否得到一贯执行；

（3）控制由谁执行；

（4）控制以什么方法执行。

如果被审计单位在所审计期间内的不同时期使用了不同的控制，审计人员应当考虑不同时期控制运行的有效性。审计人员可考虑在进行控制设计恰当性测试时测试控制运行的有效性，以提高审计效率。

（一）控制测试的性质

（1）审计人员应当选择不同类型的审计程序以获取有关控制运行有效性的保证。计划的保证水平越高，获取的审计证据更加可靠；如以控制测试为主，应获取具有更高保证水平的反映有关控制运行有效性的审计证据。

（2）审计人员应当根据特定控制的性质选择适当的审计程序的类型。如采用检查文件程序、询问和其他程序，以获取有关控制运行有效性的审计证据。询问和观察、检查或重新执行审计程序结合使用，才会更为有效。

（3）在设计控制测试时，审计人员应当考虑与审计目标直接相关控制及间接相关控制有效运行的审计证据的获取。

（4）对于自动化的应用控制，审计人员可以利用该项控制得以执行的审计证据和信息技术一般控制运行有效性的审计证据，作为支持该项控制在相关期间运行有效的审计证据。

（5）审计人员在实施控制测试的同时，可考虑对同一交易实施细节测试。

（6）如果审计人员实施实质性检查发现了重大风险而被审计单位没有识别，通常表明被审计单位的内部控制存在重大缺陷，审计人员应与管理当局和治理当局进行沟通。

（二）控制测试的时间

控制测试的时间取决于审计人员的目的，并决定了依赖相关控制的时间。如果只测试特定时期的控制，则仅能得到该时点控制有效运行的审计证据；如果测试某一期间的控制，就能获取控制在该期间有效运行的审计证据。

（1）如果已获取有关控制在期中有效运行的审计证据，审计人员应当考虑下列因素，以确定对剩余时间有效运行的额外审计证据的获取：

①评估的风险重要程度；

②在期中测试的特定控制；

③对有关控制运行有效性获取的审计证据的程度；

④剩余时间的长度；

⑤在依赖控制的基础上拟减少进一步实质性程序的范围；

⑥控制环境；

⑦在剩余期间内部控制发生重大变化的性质和范围。

（2）审计人员如果拟依赖以前审计获取的有效的审计证据，应当通过实施询问并结合观察或检查程序，获取这些控制是否已经发生变化的审计证据；审计人员信赖自上次测试后已发生变化的控制，应当在当期审计中测试这些控制的运行有效性；审计人员拟信赖自上次测试后发生变化的控制，应当至少每三年对这些控制的运行有效性测试一次。

（3）审计人员在确定以前有关控制运行有效性的审计证据是否适当以及再次测试控制时间间隔时，应当考虑以下因素：

①内部控制其他要素的有效性，包括控制环境、监督、风险评估等；

②控制特征（人工控制还是自动化控制）产生的风险；

③信息技术一般控制的有效性；

④控制设计及其运行的有效性，包括过去测试中发现的控制偏离的性质和程度；

⑤特定控制未适应环境变化，是否构成风险；

⑥重大风险和对控制信赖的程度。

（4）审计人员可根据下列情况，缩短再次测试控制的时间间隔或完全不信赖以前所获取的审计证据：

①控制环境薄弱；

②对控制监督乏力；

③相关控制中人工控制的成分较大；

④对控制运行产生重大影响的人事变动；

⑤环境的变化表明需要对控制作出相应的变动；

⑥信息技术一般控制薄弱。

对一些控制，如果认为利用以前的审计证据是适当的，审计人员在每次审计时可分散抽取部分进行测试；审计人员如确认是特别风险时，并拟信赖旨在减轻特别风险的控制，应当从当期测试中获取有效性运行的审计证据。

（三）控制测试的范围

审计人员在控制测试中，应获取控制在拟信赖的整个期间有效运行的充分、适当的审计证据。在确定某项控制的测试范围时，审计人员通常应考虑下列因素：

（1）在所审计期间，被审计单位执行控制的频率；

（2）在所审计期间，审计人员拟信赖控制运行有效性的时间长度；

（3）为证实控制能够防止或发现并纠正重大差错时，所需获取审计证据的相关性与可靠性；

（4）通过测试与认定相关的其他控制所获取的审计证据的范围；

（5）在风险评估时拟信赖控制运行有效性的程度；

（6）控制的预期偏差。

审计人员在风险评估时，对控制运行有效性拟信赖程度越高，实施控制测试的范围就越大。控制的预期偏差越高，控制测试和范围就越大。由于信息技术处理具有内在一贯性，审计人员通常不需要增加自动化控制的测试范围。

五、实质性检查

审计人员应当根据评估的重大风险设计与实施实质性检查程序，以发现和认定风险。实质性检查程序包括对各类交易、账户余额、列报与披露的细节测试以及实质性分析程序。也就是说，实施所有的账目基础审计方法，有目的地检查与重大风险相关的账项和资产。如进行会计报表审计时，应将会计报表与其所依据的会计记录核对；检查会计报表编制过程中作出的重大会计分录和其他调整。检查会计分录和其他会计调整的内容和范围，取决于被审计单位财务报告编报过程的性质和复杂程度以及相伴而生的重大错报风险。

如果认定是特别风险，应将细节测试和实质性分析程序结合使用，以获取充分、适当的审计证据。

（一）实质性检查的性质

审计人员应实施细节测试获取充分、适当的审计证据，查明问题所在，以确保审计水平。如对会计报表审计时，针对存在或发生应当选择报表金额中的项目进行检查，针对完整性应当选择检查报表金额中的项目有无漏洞等。设计实质性检查时，应当考虑下列事项：

（1）对既定的认定使用实质性检查的适当性；

（2）对已记录的金额或比率进行预期时，所依据的内部或外部数据的可靠性；

（3）在计划保证水平上，作出的预期是否足以准确识别重大错报；

（4）已记录金额与预期值之间可接受的差异额。

在实质性检查时，如果使用被审计单位编制的信息，应注意是否经过审计，或应测试与编制该信息相关的控制。

（二）实质性检查的时间

审计人员对期中实质性检查，可能会增加期末被发现的风险，并会随着剩余时间的延长而增加。因此，审计人员在期中实施实质性检查时，应考虑下列因素：

（1）控制环境和其他相关的控制；

（2）实质性检查所需信息在期中之后的可获得性；

（3）实质性检查的目标；

（4）评估的重大风险；

（5）各类交易或账户余额以及相关认定和性质；

（6）针对剩余期间，能否通过实质性检查或结合控制测试降低期末存在而未被发现的风险。

如果在期中实施实质性检查，审计人员应当针对剩余期间实施进一步实质性检查，或结合控制测试使用，或将期中测试的结论延伸至期末。如果作出的是舞弊风险评估，审计人员应考虑在报告期末或临近报告期末实施实质性检查。

审计人员通常将与期末余额有关的信息和期中的可比信息进行比较、调节，识别和调查出现的异常金额，并针对剩余期间实施实质性检查和细节测试。

审计人员如利用以前审计获得的证据，审计人员应在当期实施实质性检查，以确定这些审计证据具有持续相关性。

（三）实质性检查的范围

审计人员评估的风险越高，实施实质性检查的范围就越广。实质性检查应集中于高风险区域。如果对控制测试结果不满意，审计人员应当考虑扩大实质性检查的范围。

在设计细节测试时，审计人员除了从样本量的角度考虑测试范围以外，还要考虑其他选择样本的方法是否更为有效。在实施实质性检查时应考虑重要性要求。

对会计报表审计时，审计人员应实施必要的审计程序以评估会计报表总体列报与相关披露是否符合国家颁布的企业会计准则和相关会计制度的规定，应当考虑有无重大错报的风险，应当考虑报表是否正确反映财务信息的分类和描述，以及对重大事项的披露是否适当。

六、证据评价

在形成审计意见时，审计人员应当确定是否已经获取充分、适当的审计证据，包括印证证据和与之相矛盾的证据。同时，评价审计证据的充分性和适当性及考虑下列因素的影响：

（1）认定发生潜在风险的可能性与重大性；

（2）管理当局应对与控制风险的有效性；

（3）在以前审计中获取关于类似潜在风险的经验；

（4）实施审计程序的结果，如是否识别出舞弊或错误的具体情形；

（5）可获得信息的来源与可靠性；

（6）审计证据的说服力；

（7）对被审计单位及其环境（包括内部控制）的了解。

社会中介审计组织在会计报表审计中，如果对重大的会计报表认定不能获取充分、适当的审计证据，注册会计师应当发表保留意见或无法表示意见，并要在其审计工作底稿记录下列事项：

（1）对评估风险后采取的总体应对措施；

（2）实施进一步审计程序的性质、时间和范围；

（3）实施进一步审计程序与重大风险的联系；

（4）实施进一步审计程序的结果。

七、风险管理建议

风险基础审计终结阶段，在审计报告中，均要针对风险评估和进一步审计中发现与查明的风险问题提出风险管理的建议。风险管理建议，包括减少风险发生和减少风险发生后的损失等两方面建议，建议被审计单位应从加强控制风险、分散与中和风险、转移风险、集中风险和承担风险等方面采取措施加强风险管理。