审计的特别风险及应对样例十一篇

时间：2023-11-19 15:59:31

审计的特别风险及应对

审计的特别风险及应对例1

一、引言

审计模拟实验教学改革研究已有多年,但从中国期刊网搜索到的文献看,对审计模拟实验的研究成果仍较少,而且内容多集中在实验实施方法、步骤方面(彭毅林,1999);模拟实验效果的调查分析(刘庆生,2003);另外,更多的是不同程度地分析了实施审计模拟实验中遇到的问题,开展审计模拟实验的方法及设想(付桂琴,2004;肖瑞利,2006;刘蓉,2006,2007;赵彩虹,2007;杨侃,2007;顾正娣,2008;陈建,2008;杨帆,2008)。研究内容涉及现代审计风险导向的内容不多,而且也仅是简要提及。这样的审计模拟实验,虽然对学生的审计实践能力提高有一定的作用,但对以现代风险导向为特征的职业审计来说远远不够,现在的审计教学不仅要加强模拟实验,而且要在审计模拟实验中突出现代审计风险导向的作用,培养学生作为职业审计师所具有的风险意识和风险鉴别能力。

二、现代风险导向审计的含义及其对审计人员的要求

1.现代风险导向审计的含义

风险导向审计是指注册会计师通过对被审计单位进行风险职业判断,评价被审计单位风险控制,确定剩余风险,执行追加审计程序,将剩余风险降低到可接受水平。现代风险导向审计是指注册会计师必须了解被审计单位及其环境(包括内部控制),以充分识别和评估会计报表重大错报风险,并针对评估的重大错报风险设计和实施控制测试与实质性测试程序。重大错报、漏报风险成为现代审计风险重心。

2.现代风险导向审计对审计人员的要求

国际审计与鉴证准则理事会和美国、英国、加拿大等国的审计准则制定机构制定的一系列相关准则以及我国新的审计准则在,均体现了现代风险导向审计的新要求,其中,对审计人员的要求是:

首先,审计人员要将对重大错报风险的识别、评估与应对作为审计的重心对待;其次,审计人员必须有能力对会计报表重大错报风险进行评估,即应该具备执行风险评估程序以及针对重大错报风险实施进一步审计程序(包括控制测试和实质性测试)的专业能力,这对审计人员要能够熟练的、充分运用分析性检查方法的能力提出了高要求;其三,审计人员要能够在识别和评估的风险的基础上,有针对性地实施审计程序;其四,审计人员必须能够针对重大的各类交易、账户余额、列报与披露实施实质性测试;其五,审计人员要有良好的沟通能力,以此优化审计环境。

综合来看,现代风险导向审计强调重视财务报表重大错报风险,这对审计人员提出了要重视并能够从财务报表之外获取审计证据以防范财务舞弊行为的能力。这对降低财务舞弊风险极为重要。

三、适应现代风险导向的审计模拟实验改革及其初步设计

为使审计教学能够培养出适应现代风险导向审计发展所需要的人才,开展审计模拟,审计模拟实验是必要的手段和途径;然而,原基于传统风险导向的审计模拟实验已无法满足要求,需适应现代风险导向审计的发展对传统审计模拟实验进行改革和重新设计。

1.基于现代风险导向的审计模拟实验设计原理

现代风险导向审计强调审计人员对财务报表重大错报风险的识别与控制,因此,基于现代风险导向的审计模拟实验应该根据现代风险导向审计实施财务报表重大错报风险识别与控制的业务操作内容和流程为原理进行设计,以使审计模拟实验尽可能地接近审计业务实践。现代风险导向审计业务流程和程序分为三个部分,即一是实施风险评估程序,具体包括:(1)了解被审计单位及其环境;(2)评估重大错报风险;二是实施控制测试;三是实施实质性程序,见图1所示。

2.基于现代风险导向的审计模拟实验初步设计

适应现代风险导向审计业务流程和程序的审计模拟实验教学改革初步设计如下:

(1)对学生进行适当分组

审计人员从事审计活动通常是以审计小组的形式出现的,现代风险导向审计也同样如此。鉴于班级学生通常在30人左右,可将其按5人分为一组,既可保证每组有足够的人员相互配合与分工,也便于对全班同学进行组织、适宜教学需要。

(2)对每组学生进行分工

中国注册会计师审计准则第1211号《了解被审计单位及环境并评估重大错报风险》,强调对特别风险的识别及评估,并指出特别风险通常与重大非常规交易和判断有关,同时,指出风险评估程序不足,为发表审计意见提供充分适当的审计证据,注册会计师还应当设计实施进一步审计程序,包括控制测试和实质性测试。依据此准则,可对每组学生进行分工,模拟审计人员实践过程。具体分工为:一名学生负责统筹安排,并对最后的审计报告负责;一名学生搜集审计工作所需的审计依据,并负责做出解释;一名学生对审计案例中的被审计单位的审计环境进行了解,并对审计环境作出初步的风险评价;一名学生评估财务报表重大错报风险,并听取其他人意见,对风险评估进行修正;最后一名学生实施进一步的审计程序(包括控制测试和实质性测试),并主要负责搜集审计证据。同时,和其他人一起,完成审计工作底稿的任务。

(3)审计模拟实验的具体实施过程

第一,实施风险评估程序。依据风险评估程序需要了解被审计单位及其环境,包括内部控制,以评估会计报表层次和认定层次的重大错报风险,因此审计模拟实验小组的具体分工人员,需进行以下工作:

首先,了解被审计单位及其环境。要了解被审计单位的行业状况、法律环境与监管环境以及其他外部因素;被审计单位的性质、会计政策的选择和运用、经营目标、战略以及相关经营风险、以及财务业绩的衡量和评价和内部控制等。可以通过模拟的方式,采取以下方法:(1)询问被审计单位管理当局和内部其他相关人员;(2)分析程序,是指研究不同财务数据之间以及财务数据与非财务数据之间的内在联系,并对发现的异常情况进行调查和分析,对财务信息作出评价;(3)观察和检查等风险评估程序实施,主要包括:①观察被审计单位的生产经营活动;②检查有关书面文件和记录;③阅读由管理层和治理层编制的报告;④察看设备及生产经营场地等;⑤追踪交易在财务报告信息系统中的处理过程等观察和检查程序。

其次,评估重大错报风险。作为风险评估的一部分,小组成员应当运用自己的知识进行职业判断,确定识别的风险哪些是需要特别考虑的重大风险(以下简称特别风险),主要包括:①风险是否是舞弊风险;②风险是否与近期经济环境、会计核算和其他方面的重大变化有关;③交易的复杂程度;④风险是否涉及重大的关联方交易;⑤财务信息计量的主观程度,特别是对不确定事项的计量存在宽广的区间;⑥风险是否涉及异常或超出正常业务范围的重大交易。特别风险通常与重大的非常规交易和判断事项有关。

第二,实施控制测试。小组成员在下列情形之一时,应当实施控制测试:(1)在评估认定层次重大错报风险时,预期控制的运行是有效的;(2)仅实施实质性程序不足以提供认定层次充分、适当的审计证据。

第三,实施实质性程序。小组成员可以实施的实质性程序包括对各类交易、账户余额、列报的细节测试以及实质性分析程序,目的是为了发现认定层次的重大错报。小组成员应当针对重大的各类交易、账户余额、列报实施实质性程序,以获取适当的审计证据。

本文为全文原貌未安装PDF浏览器用户请先下载安装原版全文

小组成员可以采用以下方式的实质性程序:(1)将财务报表与其所依据的会计记录相核对;(2)检查财务报表编制过程中做出的重大会计分录和其他会计调整。如果负责人认为评估的认定层次重大错报风险是特别风险,则小组成员应当专门针对该风险实施实质性程序。

第四,开展项目组内部的讨论:

(1)全员参加。开展项目组讨论需要全小组成员共同参加完成,由负责人主持,必要时可有教师参加,适时对审计模拟过程进行指导并提供意见,以使其按照正确的方向进行发展,保证实验的顺利进行。

(2)要求与目标。开展小组讨论的目的是小组成员互通信息、共享资源、交流意见,使每个人都了解在自己负责的领域发生重大错报风险的可能性,了解各自实施的审计程序对其他人工作的影响以及对确定进一步审计程序的影响,明确在整个审计过程中保持审计人员应有的职业怀疑态度的重要性,对可能发生重大错报风险的迹象保持足够的警惕。

(3)小组讨论的内容。项目组应当讨论被审计单位面临的经营风险、财务报表容易发生错报的领域以及发生错报的方式,特别是由于舞弊导致重大错报的可能性。

第五,提出审计意见,并出具审计报告。在所有的工作结束后,在负责人的主持下,总和大家的意见,提出本小组的审计意见,并出具审计报告。

最后,由教师对各组的审计过程和审计报告进行点评,总结经验和不足,使各小组成员通过实验扎实地掌握审计理论和相关的技术与方法,提高学生对现代审计风险导向的认识,建立风险意识。

现代风险导向审计模拟实验的设计是一个复杂的过程,本文对其进行了初步的探讨,还有更多的内容需要进一步深入研究,这也是一个长期的工作。

参考文献:

[1]彭毅林.高校实行审计专业模拟实验教学的探讨[J].湖南财经高等专科学校学报,1999,(01).

[2]刘庆生.高校会计类专业开设审计模拟实验课程的探索与实践[J].中国高教研究,2003,(06).

[3]付桂琴.审计实验教学的几点思考[J].内蒙古科技与经济,2004,(17).

[4]肖瑞利.关于审计实验课程建设的设想[J].河南财政税务高等专科学校学报,2006,(04).

[5]刘蓉.高校审计模拟实验教学模式面临的困境与出路[J].会计之友(上旬刊),2006,(11).

[6]刘蓉.高校审计模拟实验教学模式的实施与完善[J].财会月刊,2007,(09).

[7]赵彩虹.开展创新型审计实验教学的探讨[J].实验室研究与探索,2007,(06).

[8]杨侃.审计实验课程的设计探讨[J].成功(教育),2007,(08).

[9]顾正娣.审计模拟实验教学探讨[J].财会月刊,2008,(18).

[10]陈建.审计模拟实验教学的地位、难点及对策研究[J].怀化学院学报(自然科学),2008,(01).

[11]杨帆.高校审计实验教学存在的问题及构想[J].商业会计,2008,(18).

[12]秦茂,钟晓鸣.现代风险导向审计及其在我国的运用[J].审计与理财,2007,(4).

审计的特别风险及应对例2

1 风险导向审计

风险导向审计，是一种基于战略观和系统观思想，通过综合评价经营风险以确定实质性测试的范围、时间和程序的审计方法。又称为风险基础战略系统审计方法。审计方法从账项基础审计、制度基础审计发展到风险导向审计，都是为了适应审计环境的变化做出的调整。

2 风险管理

风险管理又名危机管理，是指如何在一个肯定有风险的环境里把风险减至最低的管理过程。当中包括了对风险的量度、评估和应变策略。理想的风险管理，是一连串排好优先次序的过程，使当中的可能引致最大损失及最可能发生的事情优先处理、而相对风险较低的事情则押后处理。但现实情况里，这种优化的过程往往很难决定，因为风险发生的可能性通常并不一致，所以要权衡两者的比重，以便作出最合适的决定。 

3 风险导向审计存在的问题及原因

（1）风险导向审计在实践中不能降低审计成本。理论上风险导向审计能够降低审计成本，主要表现在通过对被审计单位所处经营环境及其内部经营管理的分析确定固有风险；关注被审计单位已设置的内控制度，识别影响财务报表的控制风险；通过对风险的更好评估，认定实质性测试的重点和水平，确定审计人员收集何种证据及其数量，并把审计力量在审计业务之间合理分配，有效利用审计资源。但实践中风险导向审计并没有有效的降低审计成本，由此可见，风险导向审计从风险控制的角度出发能更合理地分配审计资源，但并不能从总量上减少审计成本。

（2）缺乏相应的审计准则支持。我国的独立审计准则是建立在系统导向审计模式的基础上，其中审计风险模型的规定还局限于仅考虑账户与交易余额的风险测试，如果将审计重点放在控制测试和实质性程序，审计人员就容易忽略会计报表的重大错漏报。系统导向审计模式的局限性导致建立在其基础上的独立审计准则具有局限性，因此我国的独立审计准则已不适应环境变化的要求，不能为实施风险导向审计提供全面技术指导和规范。在审计实践中，由于缺少独立审计准则对风险导向审计程序的规范，审计部门在操作过程中仍存在许多不完善之处。

4 风险导向审计的应用

（1）了解被审计单位及其环境。审计人员应当了解被审计单位的行业状况、法律环境与监管环境以及其他外部因素；被审计单位的性质、会计政策的选择和运用、经营目标、战略以及相关经营风险、以及财务业绩的衡量、评价和内部控制等。了解被审计单位及其环境时可通过①询问被审计单位管理当局和内部其他相关人员；②分析程序；③观察和检查等风险评估程序实施。

（2）评估重大错报风险。作为风险评估的一部分，审计人员应当运用职业判断，确定识别的风险哪些是需要特别考虑的重大风险（以下简称特别风险）。应当重点考虑下列事项：①风险是否是舞弊风险：②风险是否与近期经济环境、会计核算和其他方面的重大变化有关；③交易的复杂程度；④风险是否涉及重大的关联方交易；⑤财务信息计量的主观程度，特别是对不确定事项的计量存在宽广的区间；⑥风险是否涉及异常或超出正常业务范围的重大交易。特别风险通常与重大的非常规交易和判断事项有关。非常规交易是指由于金额或性质异常而不经常发生的交易。

（3）控制测试。控制测试的目的是为了测试内部控制在防止、发现并纠正重大错报方面的有效方法。在必要时或决定进行内部控制测试时执行该程序。

当存在下列情形之一时，审计人员应当实施控制测试：①在评估认定层次重大错报风险时，预期控制的运行是有效的；②仅实施实质性程序不足以提供认定层次充分、适当的审计证据。③实施实质性程序。实质性程序包括对各类交易、账户余额、列报的细节测试以及实质性分析程序，目的是为了发现认定层次的重大错报。审计人员应当针对重大的各类交易、账户余额、列报实施实质性程序，以获取适当的审计证据。

5 风险导向审计的发展

（1）进一步强化风险导向审计的理念。在经济全球化的背景下，国际资本的流动带动了审计的跨国界发展。风险导向审计不是制度基础审计之外的一种方法，而是制度基础审计的发展，是以对审计风险进行系统的分析和评价为立足点制定审计战略，制定与企业状况相适应的多样化的审计计划，使审计工作适应社会发展的需要。风险导向审计要求注册会计师不仅对控制风险进行评价，而且要对产生审计风险的各个环节进行评价。但是，风险导向审计的运用不是孤立的，在审计实务中，注册会计师要树立风险导向意识，将风险导向审计与制度基础审计、账项基础审计结合起来运用。即在风险导向审计观念下，客观评价被审计单位外部环境、内部控制制度，发现会计报表发生重大错报风险，对评价出的高风险领域，实施详细的账项审计，可有效地控制风险，节约审计成本。 

（2）提高实行风险导向审计需具备的审计人员素质。审计人员执行独立审计鉴证职能时，应具备与客户所在行业及企业相关的知识结构，才能胜任风险导向审计的要求。审计人员在尽多掌握行业知识、企业知识的同时，还要实现审计人员队伍的优化组合，改变单一财会型人员的结构，注重聘用一些法律、工程技术、计算机等非会计审计专业的人才，并对项目审计小组进行科学配备，同时，为提高审计质量与效率，还应相对固定每一小组对某一行业的审计工作。审计执业中，审计人员必须坚持职业怀疑态度，坚持强制审计程序的严格执行。审计部门应建立计算机网络，扩大及方便审计人员对各行业政策、知识的学习与掌握，以降低审计风险，提高审计质量。 

（3）进一步强化支持风险导向审计的网络化信息系统的资源共享。要推动社会建立企业信用体系，在政府、银行、协会及审计部门等单位之间连网，实现资源共享。审计部门本身也应建立庞大的数据库，按类别、行业收集、存储、更新审计人员运用风险导向审计所需要掌握的会计和审计准则内容以及客户所在行业、企业战略，成功、失败审计案件介绍等信息，以不断拓展审计人员的知识结构，降低审计风险，提高审计质量。 

（4）健全企业内部控制机制，夯实风险导向审计的制度基础。一个企业内部控制的好坏，与审计人员审计风险的高低直接相关。从经济学角度讲，会计舞弊的实际实施者是企业的实际控制者经理人。因此，应从建立健全企业内部控制机制着手，在优化公司治理框架下，从企业内部控制的设计、运行、评价、改进四个环节建立与完善企业内部控制机制，强调高级领导层的控制责任，关注对全部风险的评估，重视日常控制活动，抓住内部审计监督评价环节，才能不断提高企业会计信息质量，推动风险导向审计在风险管理中的运用。

审计的特别风险及应对例3

1风险导向审计

风险导向审计，是一种基于战略观和系统观思想，通过综合评价经营风险以确定实质性测试的范围、时间和程序的审计方法。又称为风险基础战略系统审计方法。审计方法从账项基础审计、制度基础审计发展到风险导向审计，都是为了适应审计环境的变化做出的调整。

2风险管理

3风险导向审计存在的问题及原因

险导向审计的应用

5风险导向审计的发展

审计的特别风险及应对例4

审计模式经历了由账项基础、制度基础到风险导向的演变。20世纪80年代，美国正式将风险模型纳入审计准则，确定了传统风险导向审计的地位，并迅速得到学术界和实务界认可。2003年国际审计与鉴证准则委员会基于对国际审计准则的修订，确立“审计风险=重大错报风险×检查风险”的现代审计风险模式。

现代风险导向审计以系统观和战略观为指导，它从企业战略入手，通过战略分析、流程分析和剩余风险分析将企业经营风险和财务报表风险有效结合起来，在此基础上设计实质性测试程序。它要求审计人员评估报表层次重大错报风险时必须考虑控制及外部环境，以宏观、系统角度对审计对象进行分析，是一种站在战略高度从源头发现和分析企业错报风险的审计方法创新。它具有审计中心前移，从以审计测试为中心到以风险评估为中心；风险评估由直接到间接；以分析性程序为中心；审计程序更加个性化及审计证据向外部转移等特点。

一、我国现代风险导向审计的实施现状及存在问题

2007年审计准则实施以来，我国大中型特别是有证券资格的事务所基本都实行了现代风险导向审计，但仍有部分小型事务所仍执行原审计模式，或只在上市公司和规模较大的审计项目中实施现代风险导向审计。我国现阶段风险导向审计的实施还存在以下问题：

（一）人员素质

现代风险导向审计要求充分了解被审单位及其环境，评价内部控制，在此基础上分析判断风险程度，继而采取不同的具体审计策略；在获取审计证据方面，实质性分析程序发挥着重要作用。这要求审计人员有较高综合素质，具备多方面知识和技能，尤其在风险分析与评估、职业敏感与经验程度、企业流程与管理以及计算机统计方面有较多知识储备。但目前我国高素质复合型人才缺乏，审计人员对现代风险导向审计理解不透彻，风险识别和评估能力较弱，不熟悉分析程序。

（二）成本制约

现代风险导向审计要求将风险贯穿于审计全过程，对发现问题的领域重新评估；在计划和控制测试阶段，将调查范围扩大到被审单位及其环境，资料的收集整理、各种风险的识别、评估与测试都需要审计人员运用更多的专业知识和更复杂的方法，花费更多时间和精力，加大审计成本。风险导向审计对人员素质提出更高的要求，也要求事务所增加人力资本的投入和技术支撑的储备。目前我国许多事务所规模小，人力资源储备不足，在激烈的市场竞争中难以通过增加审计收费来消化变革审计模式的成本，因而仍选用传统的制度基础审计模式。

（三）信息缺乏

实施现代风险导向审计首要是对审计对象整体的风险识别和评估，必须充分了解和调查审计对象所处行业、发展状况、经济政策和法律要求等方面。而目前我国风险导向审计的推广还不到位，事务所中相关资料库普遍缺失；实务中也鲜有事务所利用专家工作寻求外部帮助，导致难以有效评估经营和行业风险。

二、审计准则修订中风险导向审计是大势所趋

我国2007年审计准则（以下简称“原准则”）引入现代风险导向审计思想，启用新的风险模型。2010年10月30日，王军副部长在中国注册会计师协会审计准则委员会会议上指出“在中国准则运行4年来在提高审计质量、降低市场风险、维护资本市场秩序和保护公众利益等方面发挥了重要作用”。为适应审计环境变化与实务发展，及与国际审计准则持续趋同，财政部于2010年新修订的38项审计准则（以下简称“新准则”），自2012年1月1日起施行。

新准则统一了各准则的体例，强调各准则间的逻辑关系，更注重语言的规范性，同时以提高审计质量、强化风险导向思想为目的对审计实务提高了要求，对原准则未涉及但实务中存在的相关事项做出了全面规定。新准则与国际准则趋同，除修订核心风险审计准则外，对其他准则也进行了修订，通过在准则条文中对风险导向审计流程更系统具体的规定和表述，将现代风险导向审计理念全面彻底地贯彻到整套准则中。例如，对关联方、会计估计、公允价值、对被审计单位使用服务机构的考虑等准则，强化重大错报风险的识别、评估和应对，摆脱原来的审计程序导向思维；对函证、分析程序等准则，从风险识别、评估和应对的高度要求注册会计师考虑是否实施及如何实施这些程序；对特殊目的审计报告类准则，在描述注册会计师所做审计工作时强调风险导向审计思想等。

如果说原准则将现代风险导向审计引入了中国，新准则则是全面贯彻现代风险导向审计，具体到对注册会计师的要求上，使准则在保持内在一致的同时也推动了审计质量的提高。

三、新审计准则中现代风险导向审计的体现

（一）新准则第1211号和第1231号

集中体现现代风险导向审计思想的是新准则第1211号和第1231号。新准则将原1211号《了解被审计单位及其环境并评估重大错报风险》改为《通过了解被审计单位及其环境识别和评估重大错报风险》；将原1231号《针对评估的重大错报风险实施的程序》改为《针对评估的重大错报风险采取的应对措施》，并对其均进行了体例改写。此外，新准则将风险导向审计深化到其他相关准则中，包括对被审计单位使用服务机构的考虑、审计会计估计（包括公允价值会计估计）和相关披露、关联方等准则，明确以上准则为对第1211、第1231号准则的进一步扩展，同时特别强调对舞弊风险的识别、评估和应对措施。

（二）新准则第1221号

原准则第1221号《重要性》拆分成新准则第1221号《计划和执行审计工作时的重要性》和第1251号《评价审计过程中识别出的错报》。重要性准则的重大修订表现在一是对重要性概念的解释，明确重要性运用的三个阶段，对计划阶段判断重大错报金额的作用做出说明；二是强调实际执行的重要性的意义，要求注册会计师确定实际执行的重要性，以评估重大错报风险并确定进一步审计程序的性质、时间和范围；三是强调即使某些错报低于重要性水平，与该错报相关的业务环境也可能使其被评价为重大错报；四是明确了审计过程中需修改重要性水平的情形及由此产生的影响。

新准则“要求”章明确在制定总体审计策略时，注册会计师应确定财务报表整体的重要性，并根据被审单位特定情况确定特定类别交易、账户余额或披露的重要性，这是现代风险导向审计对风险评估要求的具体体现。要求审计人员对重要性的判断建立在“合理预期”、“具体环境”和报表使用者整体基础上。这要求审计人员对审计对象所处行业、法律环境、政策环境等有足够了解，考虑大多数报表使用者对信息的需求程度，体现了风险导向审计系统观和战略观的思想。

（三）新准则第1241号

新准则第1241号《对被审计单位使用服务机构的考虑》，由对原准则第1212号按照风险导向审计的思想修订而来，标题没有变化。

新准则进一步明确了识别、评估和应对该领域重大错报风险的原则。新准则目标强调“规范注册会计师在被审计单位使用服务机构的服务时获取充分、适当的审计证据的责任”，在“要求”部分从了解服务机构提供的服务、应对评估的重大错报风险、审计报告三方面对注册会计师提出明确要求。其中“应对评估的重大错报风险”是在新准则“要求”章中新增的一节，指出注册会计师要考虑服务机构内部控制运行有效性，以支持对重大错报风险的评估。

（四）新准则第1312号和第1341号

新准则第1312号《函证》在内容上做出了重大的实质性修订，强调外部函证程序和外部证据的重要性。其第四条明确实施函证时应更重视直接从第三方获取，或从不同独立来源相互印证获取的审计证据。第四节规定了消极式函证的适用条件，严格限制其使用。由于现代风险导向审计的中心由审计测试转移至风险评估，这实际是将审计对象置于宏观的经营环境中，评估经营过程中的风险。因此审计人员必须重视来自审计对象外部的证据，通过这些独立性强、可靠性强的外部证据验证报表的真实性可靠性，为审计意见的形成提供有力基础。

同样体现这一思想的还有通过书面声明获取的审计证据。新准则第1341号《书面声明》取消了原准则中合理预期不存在其他充分、适当审计证据时就对财务报表具有重大影响的事项向管理层获取书面声明的规定，对通过书面声明获取的审计证据提出了更严格要求。准则第四条强调，尽管书面声明提供必要证据，但其本身并不为所涉及的任何事项提供充分、适当的审计证据。审计人员不能过分依赖书面声明，而是要对书面声明，继而对管理层的诚信和胜任能力保持职业怀疑态度，书面声明的作用仅用以确认某些事项或支持其他某些审计证据。

（五）新准则第1321号和第1323号

新准则对原第1321号、第1323号等规范具体审计领域的准则进行了全面修订改写，是依照现代风险导向审计的步骤，在第四章“要求”部分按照“风险评估程序和相关活动”、“识别和评估重大错报风险”、“针对评估的重大错报风险的应对措施”和“评价相关的会计处理和披露”顺序，明确审计工作要求和注意事项，更详细具体地指导运用现代风险导向审计方法，更具操作性和实践性。

新准则第1321号《审计会计估计和相关披露》由原准则第1321号《会计估计的审计》和第1322号《公允价值计量和披露的审计》合并而来，其对识别和评估会计估计相关风险的原则进行了详细规定，包括需了解财务报表编制基础、管理层如何识别和作出会计估计，应根据职业判断评价会计估计的不确定性并识别可能导致的特别风险。新准则还规定了如何应对评估出的重大错报风险，并特别要求对导致特别风险的会计估计实施进一步实质性程序。

原1323号准则《关联方》仅规定注册会计师应判断管理层是否按照适用会计准则和规定识别和披露关联方和关联方交易。而新1323号准则增加了风险评估程序和相关工作及与关联交易相关的重大错报风险内容，强调关联方及其交易在审计中的重要性。对于被审单位超出正常经营过程的重大交易，注册会计师应询问交易的性质以及是否涉及关联方，若涉及则确定为特别风险并执行规定的应对措施。新准则特别强调注册会计师在整个审计过程中保持职业怀疑，对与关联方有关的信息和舞弊风险因素保持警觉，增加对具有支配性影响的关联方的考虑，发现相关信息及时与项目组成员分享并采取相应措施。

四、新准则下推行现代风险导向审计的建议

在新准则环境下，我国推行现代风险导向审计应从以下方面着手：

1.加大对新审计准则和风险导向方法的宣传与培训，提高审计人员综合素质。改善事务所其人才储备结构，多吸收复合型及涵盖法律、管理、计算机等领域的专业人才，合理配置审计人员队伍。

2.加强数据库建设。建议在政府、银行、行业协会及事务所等单位之间建立一个包含企业宏观环境、监管政策、行业状况、企业经营战略及诚信程度等相关信息的数据库实现资源共享。事务所也应建立自己的数据库，按类别和行业收集、存储、更新运用风险导向审计所需准则内容、客户所在行业与企业战略、成功失败审计案例等信息，以拓展注册会计师的知识结构，降低审计风险。

3.大力开发审计程序软件，充分运用计算机辅助审计。加快XBRL标准化体系（eXtensible Business Reporting Language，可扩展商业报告语言）在企业中的推广运用，加大对审计程序软件的开发力度。使注册会计师审计中可直接对企业财务数据进行加工分析，依据软件自身构建模型、检验和核对，最大程度发挥分析性测试程序优势，节省审计成本，提高审计质量。

审计的特别风险及应对例5

随着信息技术的快速发展，电子商务在全球获得了广阔的发展空间。作为一种崭新交易方式的电子商务对企业的生产经营活动产生了深远的影响。广泛使用互联网从事电子商务，产生了新的风险因素，需要被审计单位有效应对，，注册会计师应当考虑电子商务在被审计单位业务活动中的重要性，以及对重大错报风险评估的影响，并在此基础上采取恰当的应对措施。

一、电子商务对财务报表审计的冲击

1.财务报表审计环境的变化

在电子商务交易条件下，财务报表审计环境发生了巨大的变化，主要表现在：(1)网络环境下的无纸化交易丧失了传统的审计轨迹，交易的授权、完整性及真实性不如在传统条件下那么明显而难以查证。(2)在电子商务环境下，需要对信息建立数据安全与控制措施。未经授权的访问、舞弊或者病毒攻击均对被审计单位的经营风险和财务报表审计工作产生重大影响。(3)为了获取和评价以电子数据形式存在的电子商务证据，传统的审计程序和数据提取技术将无能为力。(4)在电子商务环境中，被审计单位广泛使用服务机构(包括互联网服务提供商、应用服务提供商和数据服务公司等)的服务，产生了新的分离审计问题。

2.财务报表审计范围和审计对象的拓展

电子商务条件下财务报表审计涉及整个商业行为，并且这种商业行为是运转在网络上的，其中一部分还是虚拟的和真空的，特别是在电子商务系统高度自动化、审计证据可能仅以电子形式存在条件下，审计证据的充分性和适当性通常取决于自动化信息系统相关控制的有效性，注册会计师应当考虑仅通过实施实质性程序不能获取充分、适当审计证据的可能性。如果认为仅通过实施实质性程序不能获取充分、适当的审计证据，注册会计师应当考虑依赖的相关控制的有效性。因此，财务报表审计的范围拓展到对整个电子商务系统交易过程及控制的测试。审计对象也要在财务报表及相关财务资料的基础上，扩展到被审计单位资信、内部控制、交易全过程等对财务报表产生影响的诸多事项。

3.审计风险加大

电子商务采用的是网络化信息系统，它一方面面临着系统自身故障风险，存在着对会计数据非法访问、篡改、泄密和破坏的可能：另一方面还面临着计算机病毒破坏和黑客非法入侵窃取财务数据的风险，识别、研究、审查和评价所搜集的审计证据有一定困难，这增加了财务报表审计中重大错报的风险。财务报表相关信息的无纸化，使电子合同、函件、订单的真实合法性难以得到保证。交易双方的真实身份难以确定，数据签名的真实性难以验证，容易使交易产生欺诈行为，也将导致重大错报风险的增加，最终将对注册会计师可控的检查风险降低提出更高的要求，审计工作难度明显加大。

二、电子商务条件下财务报表审计的总体要求

1.财务报表审计目的的不变性

新颁布的《中国注册会计师审计准则第1101号——财务报表审计的目标和一般原则》规定，财务报表审计的目的是注册会计师通过执行审计工作对财务报表的合法性和公允性发表审计意见，注册会计师执行的审计工作能够对财务报表整体不存在重大错报获取合理保证。注册会计师的审计意见旨在提高财务报表的可信赖程度。无论是传统交易方式还是电子商务交易方式。财务报表审计的目的是不变的。特别需要强调的是：电子商务条件下财务报表审计需要对电子商务进行考虑的目的是对财务报表发表恰当的审计意见，而非对电子商务系统或活动本身提出鉴证结论或咨询意见；注册会计师的审计意见也不应被视为是对被审计单位电子商务交易安全的一种保证。

2.控制测试更重要

电子商务环境下审计轨迹的瞬时性特征、无纸化环境及缺乏人员的干预导致风险的增加，使控制保证成为电子商务环境下最重要的测试环节。审计人员面对无纸化的审计轨迹及系统输出的财务报告，为了对财务报告的公允性发表审计意见。必须着重收集足够的审计证据，特别要通过大量的控制测试对控制环境进行经常性监控，以确保电子商务财务报告的可信性。过去，审计人员一般针对一个时点的财务数据进行大量的实质性测试；而在电子商务条件下，则需要在评价被审计单位持续经营的基础上，实施大量的有效的内部控制测试措施，且审计人员必须能够对控制风险进行合理的评价。

3.主要依赖计算机审计程序

在电子商务环境下，大量的证据存储在肉眼看不见的磁性介质上或在网络传播过程中，对这些证据，审计人员主要依赖计算机技术进行获取和审查。目前，主要的电子商务审计技术是ITF。ITF是建立在一个活动数据文档基础上的程序。审计人员可以利用ITF对控制系统进行交易测试，并且该项测试既不影响公司正常营运也不会导致财务数据的破缺。

4.重视审计风险

2006年2月颁布的审计准则对审计风险模型进行了重构，审计风险取决于重大错报风险和检查风险。注册会计师应当实施审计程序，识别和评估重大错报风险，并根据评估结果设计和实施进一步审计程序。以控制检查风险。电子商务环境下，来自被审计单位的经营风险和控制风险加大。财务报表存在重大错报的可能性上升。为此，注册会计师应通过了解被审计单位的电子商务环境以识别其重大错报风险，并根据评估的风险水平设计进一步的应对措施，特别是执行恰当的控制测试以判定内部控制有效性对财务报表的影响。

三、电子商务条件下财务报表审计的应对措施

1.了解被审计单位电子商务及对财务报表的影响

注册会计师应当考虑电子商务导致的被审计单位经营环境的变化，以及识别出的对财务报表产生影响的电子商务风险。在了解被审计单位及其环境时，注册会计师应当考虑下列事项对财务报表的影响：一是业务活动和所处行业。在了解被审计单位的业务活动和所处行业时，注册会计师应当关注电子商务不具备货物和服务等实体贸易所具有的清晰、固定的运送路线。运用电子商务的程度较高可能增大对财务报表产生影响的经营风险等特征。二是电子商务战略。被审计单位的电子商务战略，包括在电子商务中运用信息技术的方式以及对可接受风险水平的评估，可能对财务记录的安全性和相关财务信息的完整性与可靠性产生影响。三是开展电子商务的程度。不同的被审计单位可能以不同的方式开展电子商务，随着被审计单位开展电子商务程度的加深，以及内部系统更加集成化和复杂化，新的交易方式与传统业务活动的差异可能更加明显，并可能导致新的风险。四是外包安排。为被审计单位服务的机构采用和保持的某些政策、程序和记录可能与被审计单位财务报表审计相关，注册会计师应当按照《中国注册会计师审计准则第1212号——对被审计单位使用服务机构的考虑》的规定，考虑被审计单位的外包安排及相关风险的应对措施，以确定其对审计的影响。

2.识别和评估电子商务相关的经营风险和重大错报风险

在了解被审计单位环境基础上，注册会计师应识别和评估重大错报风险。电子商务环境下，因内部控制制度缺陷和无效带来的经营风险是产生财务报表重大错报风险的重要原因，所以注册会计师应特别关注其经营风险。与电子商务相关的经营风险有：(1)无法保证交易的完备性，尤其在缺少充分的审计轨迹(无论是纸介质还是电子形式)时，该风险的影响将更大；(2)电子商务安全风险，包括顾客、员工和其他人士通过未经授权的访问实施舞弊的可能性，以及病毒攻击；(3)运用不恰当的会计政策，包括收入确认、网站开发成本等支出的处理、与产品质量保证相关的预计负债的确认、外币折算等问题；(4)未能遵守税法和其他法律法规，尤其在通过互联网开展跨国或跨地区电子商务时更易出现此类情况；(5)无法保证仅以电子形式存在的合同具有约束力；(6)过度依赖电子商务；(7)系统和基础架构失效或崩溃。

另外，注册会计师还应从被审计单位的行业状况、监管环境、目标与战略、治理层和管理层特定意图、复杂的联营或合资、重大的非常规交易、重大的关联方交易、交易的重大不确定性、会计计量过程复杂和信息技术环境发生变化等事项来识别和评估其重大错报风险。

3.风险应对程序

注册会计师应当针对评估的财务报表层次重大错报风险确定总体应对措施，并针对评估的认定层次重大错报风险设计和实施进一步审计程序，以将审计风险降至可接受的低水平。

针对评估的财务报表层次重大错报风险主要采取下列总体应对措施：(1)向项目组强调在收集和评价审计证据过程中保持职业怀疑态度的必要性；(2)分派更有经验或具有特殊技能的审计人员。或利用专家的工作；(3)提供更多的督导；(4)在选择进一步审计程序时，应当注意使某些程序不被管理层预见或事先了解；(5)对拟实施审计程序的性质、时间和范围做出总体修改。

注册会计师应当针对评估的认定层次重大错报风险设计和实施进一步审计程序(包括控制测试和实质性程序)，并具体考虑审计程序的性质、时间和范围。在电子商务环境下，注册会计师仅实施实质性程序获取的审计证据一般无法将认定层次重大错报风险降至可接受的低水平，应当实施相关的控制测试，以获取控制运行有效性的审计证据。注册会计师进行控制测试时应当特别考虑与电子商务相关的安全性控制、交易完备性控制和流程整合。具体实质性程序包括检查、观察、询问、函证、重新计算和分析程序。函证是电子商务环境下证实交易真实的有力程序，而传统审计条件下的检查则显得无能为力。

审计的特别风险及应对例6

一、内部审计与企业风险管理的关系

风险是指发生对目标的实现可能产生的事件的不确定性。风险的衡量标准是后果与可能性。风险管理是指对影响组织目标实现的各种不确定性事件进行识别与评估，并采取应对措施将其影响控制在可接受范围内的过程。风险管理主要包括风险识别、风险评估、风险应对三个阶段。可见，风险管理是现代企业管理的一项主要，为了实现企业的工作目标，企业管理层应当确保企业中存在良好的风险管理过程并使其发挥作用。

内审协会对内部审计的定义是：“内部审计是指组织内部的一种独立客观的监督和评价活动，它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现”，而“风险管理是组织内部控制的基本组成部分，内部审计人员对风险管理的审查和评价是内部控制审计的基本内容之一”，也就是说风险管理是内部审计的重要内容。

国际注册内审师协会对内部审计的描述是：“内部审计是一种独立、客观的保证工作与咨询活动，它的目的是为机构增加价值并提高机构的运作效率。它采取系统化、规范化的来对风险管理、控制及治理程序进行评价，提高它们的效率，从而帮助实现机构目标。”并且指出“内部审计应该就管理层的风险管理过程的充分性和有效性进行检查、评估、报告，并提出改进意见”。可见，国际先进内审理念已明确将风险管理作为内部审计的重要内容，现代内部审计的范围已从传统的财务审计扩大到风险管理和公司治理层次上，有效的风险管理机制和健全的公司治理结构已成为现代内部审计关注的重点。

在现代内部审计工作中，内部审计与风险管理有了明确的结合点——风险管理审计。风险管理审计是在帐项基础审计和制度基础审计基础上起来的一种审计模式，是指审计人员在对被审单位的内部控制充分了解和评价的基础上，运用一定的审计手段，、判断被审单位的风险所在及其风险程度，针对不同风险因素状况、程度采取相应的审计策略，加强对高风险点的实质性测试，将内部审计的剩余风险降低到可接受水平。2005年5月1日中国内审协会颁布了“内部审计具体准则第16号——风险管理审计”，风险管理审计作为先进的审计理念和审计内容正式步入我国内审领域。

因此，作为现代企业管理的重要内容，内部审计与风险管理的联系日趋紧密。内部审计本身就是企业管理的一种手段和方式，是内部管理的延伸；风险管理是企业管理的重要内容，同时也是现代内部审计的重要内容之一，内部审计负有识别和评估风险的责任。风险管理作为管理层一项关键责任，企业管理层对其负有不可推卸的责任；内部审计师则有职责定期评价并协助其他部门进行风险管理，在改善管理层的风险管理流程效果和效率方面进行检查、评价、报告和提出审计建议，帮助识别、评价和实施风险管理方法和控制。内部审计和风险管理在企业中的目标是一致的，都是为了实现企业的组织目标。

二、内部审计在现代企业风险管理中的作用

在风险管理审计中，风险管理成为组织中的关键流程，分析、确认、揭示关键性的风险，成为内部审计的主要职责。

（一）内部审计将风险管理纳入审计范畴，有助于实现企业全面工作和总体目标的实现。

现代企业面临的经营环境日趋复杂，风险日益增大，减少面临的风险是企业实现价值最大化目标的关键。内部审计采取系统化、规范化的方法促进建立风险管理过程，通过内控制度的评价，对公司经营活动进行风险识别和评价，改进风险管理与控制体系，提请管理层关注风险，从而完善企业管理，转化负面风险，提升企业竞争能力和应变能力，最终实现企业目标。

对企业而言，对风险识别、防范和控制需要从全局考虑，而企业本身是多个部门的集合，各业务部门很难做到这一点。内部审计在企业中具有相对独立的地位，决定其能站在全局的高度相对超脱地获得企业内部控制、经营管理活动及风险管理等方面的信息，向管理层提供创造性思维，提出科学合理的建议，避免风险带来的损失。

所以无论是从全局工作还是实现总体目标的角度来看，内部审计都有职责融入风险管理。内部审计将风险管理纳入审计范畴，对实现企业全面工作和总体目标将发挥及大的作用。

（二）内部审计的相对独立和与企业一体性的独特地位，决定了其对企业风险的揭示更准确更有效。

从企业内部看，现代企业建立了各级风险管理组织层次，包括风险控制委员会、内部审计部门、专职风险监管部门。但风险监管部门往往做为一个职能部门隶属于各级管理层，不具有独立性，其意见有时会屈服于管理当局的压力，这使得风险管理部门的作用受到限制。在现代企业中，内部审计部门独立于管理部门，在现代企业公司治理构架中，内部审计往往隶属于董事会或审计委员会，直接向董事会负责，其风险评估的意见可以直接报送给董事会，提出的意见与建议更具权威性。

从企业外部看，外部审计从独立、客观的角度对企业的财务报表进行审计和对企业的内部控制进行复核，经常能提供一些有用的信息影响到企业风险管理。但他们更多地围绕企业报表的合法、公允、一贯性开展工作，对企业管理环境和运作过程不十分熟悉，决定其提供的风险管理服务不能做到贴近内部管理，不能对企业风险管理的有效性负责。而内部审计部门对企业面临的风险更了解，在风险管理方面拥有外部审计师无可比拟的优势。他们以风险发生可能性大小为依据，深入经营管理过程和行为，在业务经营、财务管理、费用控制等各方面查找并防范风险，通过内部视角，敏锐观察经营过程中不断变化的风险因素，快速传递管理中存在的缺陷或失败，促使董事会和高级管理层做出快速反应，及时采取措施，防范和纠正不当行为。

（三）风险因素始终贯穿于内部审计的整个审计程序，使内部审计成为风险控制程序的重要补充。

内部审计人员风险导向审计模式，从整体上把握审计风险因素，合理整合审计资源，警惕可能目标、运营和资源的重大风险，最大限度地减少审计风险。在审计计划、审计实施、审计报告阶段，将风险作为重要考虑因素，在整个审计过程贯穿对风险的关注，充分考虑风险管理的充分性和有效性。具体讲，在审计计划阶段，内部审计应该考虑活动存在的风险，在评估风险优先次序的基础上安排审计工作，按照风险大小分配审计资源；在审计实施阶段中，审计通过检查、评价风险管理过程的充分性和有效性，发现风险控制的漏洞和薄弱环节；在审计报告阶段，对风险管理状况进行评价，对风险管理中存在的漏洞和不足提出改进建议，协助确定、评价并实施针对风险管理的和控制措施。

三、内部审计如何参与现代企业风险管理

内部审计可以从风险识别、风险评估、风险应对三个阶段参与企业风险管理，通过审查和评价企业风险识别、风险评估、风险应对的充分性、适当性、有效性，来识别、报告潜在重大风险，提出应对措施，同时通过落实审计建议督促企业采取有效的风险控制措施。

（一）审查和评价企业风险识别的充分性和适当性。

风险识别是管理层的职责，主要是根据企业的组织目标、战略规划等识别企业所面临的各类内、外部风险。是对企业所面临的、以及潜在的各类内、外部风险加以判断、归类和鉴定风险性质的过程，实质上就是对风险进行定性。

内部审计人员通过实施必要的审计程序，对企业风险识别过程进行审查与评价，重点关注企业面临的内、外部风险是否已得到充分、适当的确认。外部风险是指外部环境中对组织目标的实现产生影响的不确定性，其主要来源于国家法规及政策的变化、环境的变化、的快速、行业竞争、资源及市场变化、灾害及意外损失等。内部风险是指内部环境中对组织目标的实现产生影响的不确定性，其主要来源于组织治理结构的缺陷、组织经营活动的特点、组织资产的性质以及资产管理的局限性、组织信息系统的故障或中断、组织人员的道德品质、业务素质未达到要求等。内部审计部门要关注企业已识别风险的完整性，即企业所面临的主要风险是否均已被识别出来，并找出未被识别的主要风险。这就需要内部审计人员也要对企业的风险进行有效识别，从而审查和评价企业对风险识别的充分性和适当性。内部审计熟悉公司的经营管理过程，以风险敏感性为起点开展工作，有效识别风险，从潜在的事件及其产生的原因和后果来检查风险，收集、整理可能的风险，并充分征求各方意见以形成风险列表。内部审计通常要关注的主要风险有：财务和经营信息不足而导致决策错误；资产流失，资源浪费和无效使用；顾客不满意，企业信誉受损等。

（二）审查和评价企业风险评估的适当性和有效性。

风险评估是对已识别的风险，评估其发生的可能性及影响程度。风险评估主要应用各种管理技术，采用定性与定量相结合的方式，找出主要的风险源，并评价风险的可能影响，最终定量估计风险大小。风险评估的目的是确定每个风险要素的影响大小，一般是对已经识别出来的风险进行量化估计，从风险发生的可能性和影响两方面对风险进行评估，通过公式：风险值=风险概率×风险影响，出风险值。

内部审计部门在审查和评价企业风险评估时要重点关注风险发生的可能性及风险对组织目标的实现产生影响的严重程度。为了更好地审查和评估企业的风险评估，内部审计人员应当充分了解和掌握风险评估的方法，风险评估可以采用定性或定量的方法进行：定性方法，是指运用定性术语评估并描述风险发生的可能性及其影响程度；定量方法，是指运用数量方法评估并描述风险发生的可能性及其影响程度。内部审计部门和内部审计师要对已有的风险的评估结果进行再检验，以确定其是否恰当，对不恰当的评估予以更正。风险分析中，审计师不仅要关注风险的数量方面，还要关注风险的属性方面或其承载价值的后果。同时，内部审计人员应当对管理层所采用的风险评估方法进行审查，以评价风险评估方法的适当性和有效性，审查时重点考虑以下因素：已识别的风险的特征、相关数据的充分性与可靠性、管理层进行风险评估的技术能力、成本效益的考核与衡量及其他因素。内部审计人员在评价风险评估方法的适当性和有效性时，应当遵循以下原则：定性方法的采用需要充分考虑相关部门或人员的意见，以提高评估结果的客观性；在风险难以量化、定量评价所需数据难以获取时，一般应采用定性方法；定量方法一般情况下会比定性方法提供更为客观的评估结果。

（三）审查和评估风险应对措施的适当性和有效性。

风险应对是采取应对措施，将风险控制在组织可接受的范围内。完成了风险评估后，确定存在的风险以及它们发生的可能性，排列出风险的优先级，就可以根据风险性质和承受能力制定相应的防范措施。根据风险评估结果作出的风险应对措施主要包括以下几个方面：一是回避，是指采取措施避免进行可产生风险的活动；二是接受，是指由于风险已在组织可接受的范围内，因而可以不采取任何措施；三是降低，是指采取适当措施将风险降低到组织可接受的范围内；四是分担，是指采取措施将风险转移给其他组织或保险机构。

审计的特别风险及应对例7

一、引言

从审计的角度，风险评估是现代风险导向审计的核心理念。无论是在历史财务报表审计还是在网络审计中，现代风险导向审计均要求审计师在执行审计工作过程中应以风险评估为中心，通过对被审计单位及其环境的了解，评估确定被审计单位的高风险领域，从而确定审计的范围和重点，进一步决定如何收集、收集多少和收集何种性质的证据，以便更有效地控制和提高审计效果及审计效率。从企业管理的角度，企业风险管理将风险评估作为其基本的要素之一进行规范，要求企业在识别和评估风险可能对企业产生影响的基础上，采取积极的措施来控制风险，降低风险为企业带来损失的概率或缩小损失程度来达到控制目的。信息安全风险评估作为企业风险管理的一部分，是企业信息安全管理的基础和关键环节。尽管如此，风险评估在网络审计、历史财务报表审计和企业信息安全管理等工作中的运用却不尽相同，本文在分析计算机信息系统环境下所有特定风险和网络审计风险基本要素的基础上，从风险评估中应关注的风险范围、风险评估的目的、内容、程序及实施流程等内容展开，将网络审计与历史财务报表审计和信息安全管理的风险评估进行对比分析，以期深化对网络审计风险评估的理解。

二、网络审计与历史财务报表审计的风险评估比较

(一)审计风险要素根据美国注册会计师协会的第47号审计标准说明中的审计风险模型，审计风险又由固有风险、控制风险和检查风险构成。其中，固有风险是指不考虑被审计单位相关的内部控制政策或程序的情况下，其财务报表某项认定产生重大错报的可能性；控制风险是被审计单位内部控制未能及时防止或发现财务报表上某项错报或漏报的可能性；检查风险是审计人员通过预定的审计程序未能发现被审计单位财务报表上存在重大错报或漏报的可能性。在网络审计中，审计风险仍然包括固有风险、控制风险和检查风险要素，但其具体内容直接受计算机网络环境下信息系统特定风险的影响。计算机及网络技术的应用能提高企业经营活动的效率，为企业的经营管理带来很大的优越性，但同时也为企业带来了一些新的风险。这些新的风险主要表现为：(1)数据与职责过于集中化。由于手工系统中的职责分工、互相牵制等控制措施都被归并到计算机系统自动处理过程中去了，这些集中的数据库技术无疑会增加数据纵和破坏的风险。(2)系统程序易于被非法调用甚至遭到篡改。由于计算机系统有较高的技术要求，非专业人员难以察觉计算机舞弊的线索，这加大了数据被非法使用的可能性。如经过批准的系统使用人员滥用系统，或者说，企业对接近信息缺乏控制使得重要的数据或程序被盗窃等。(3)错误程序的风险，例如程序中的差错反复和差错级联、数据处理不合逻辑、甚至是程序本身存在错误等。(4)信息系统缺乏应用的审计接口，使得审计人员在审计工作中难以有效地采集或获取企业信息系统中的数据，从而无法正常开展审计工作。(5)网络系统在技术和商业上的风险，如计算机信息系统所依赖的硬件设备可能出现一些不可预料的故障，或者信息系统所依赖的物理工作环境可能对整个信息系统的运行效能带来影响等。相对应地，网络审计的固有风险主要是指系统环境风险，即财务电算化系统本身所处的环境引起的风险，它可分为硬件环境风险和软件环境风险。控制风险包括系统控制风险和财务数据风险，其中，系统控制风险是指会计电算化系统的内部控制不严密造成的风险，财务数据风险是指电磁性财务数据被篡改的可能性。检查风险包括审计软件风险和人员操作风险，审计软件风险是指计算机审计软件本身缺陷原因造成的风险，人员操作风险是指计算机审计系统的操作人员、技术人员和开发人员等在工作中由于主观或客观原因造成的风险。

(二)风险评估目的无论在网络审计还是历史财务报表审计中，风险评估只是审计的一项重要程序，贯穿于审计的整个过程。与其他审计程序紧密联系而不是一项独立的活动。尽管如此，两者所关注的风险范围则有所不同。历史财务报表审计的风险评估要求审计人员主要关注的是被审计单位的重大错报风险――财务报表在审计前存在重大错报的可能性。由于网络审计的审计对象包括被审计单位基于网络的财务信息和网络财务信息系统两类，因此审计人员关注的风险应是被审计单位经营过程中与该两类审计对象相关的风险。(1)对于与企业网络财务信息系统相关的风险，审计人员应该从信息系统生命周期的各个阶段和信息系统的各组成部分及运行环境两方面出发进行评估。信息系统生命周期是指该信息系统从产生到完成乃至进入维护的各个阶段及其活动，无论是在早期的线性开发模型中还是在更为复杂的螺旋式等模型中，一个信息系统的生命周期大都包括规划和启动、设计开发或采购、集成实现、运行和维护、废弃等五个基本阶段。由于信息系统在不同阶段的活动内容不同，企业在不同阶段的控制目标和控制行为也会有所不同，因此，审计人员的风险评估应该贯穿于信息系统的整个生命周期。信息系统的组成部分是指构成该信息系统的硬件、软件及数据等，信息系统的运行环境是指信息系统正常运行使用所依托的物理和管理平台。具体可将其分为五个层面：物理层，即信息系统运行所必备的机房、设备、办公场所、系统线路及相关环境；网络层，即信息系统所需的网络架构的安全情况、网络设备的漏洞情况、网络设备配置的缺陷情况等；系统层，即信息系统本身的漏洞情况、配置的缺陷情况；应用层，即信息系统所使用的应用软件的漏洞情况、安全功能缺陷情况；管理层，即被审计单位在该信息系统的运行使用过程中的组织、策略、技术管理等方面的情况。(2)对于与企业基于网络的财务信息相关的风险，审计人员应着重关注财务信息的重大错报风险和信息的安全风险。重大错报风险主要指被审计单位基于网络的相关财务信息存在重大错报的可能性，它是针对企业借助于网络信息系统或网络技术对有关账户、交易或事项进行确认、计量或披露而言。网络审计中关注的重大错报风险与传统审CtT的内涵基本上是一致的，审计人员在审计时应当考虑被审计单位的行业状况、经营性质、法律及监管环境、会计政策和会计方法的选用、财务业绩的衡量和评价等方面的情况对财务信息错报可能的影响。信息安全风险涉及信息的保密性、完整性、可用性及敏感性等方面可能存在的风险，主要针对企业利用信息系统或一定的网络平台来存储、传输、披露相关财务信息而言。在审计过程中，审eta员应当主要关注相关财务信息被盗用、非法攻击或篡改及非法使用的可能性。当然，这两类风险并非完全分离的，评估时审计人员应将两者结合起来考虑。

(三)风险评估内容　广泛意义的风险评估是指考虑潜在事件对目标实现的影响程度。由于网络审计与历史财务报表审计风险评估的目的并不完全相同，因此两者在风险评估的内容上也是存在区别的。总的来说，网络审计的风险评估内容比历史财务报表审计的风险评估内容更广泛和深入。根据《中国注册会计师审计准则第1211号――了解被审计单位及其环境并评估重大错报风

险》，在历史财务报表审计中，审计人员的风险评估应以了解被审计单位及其环境为内容。为识别和评价重大错报风险，审计人员了解的具体内容包括被审计单位所在行业状况、法律环境与监管环境以及其他外部因素、被审计单位的性质、被审计单位对会计政策的选择和运用、被审计单位的目标、战略以及相关经营风险、被审计单位财务业绩的衡量和评价及被审it@位的内部控制等。在网络审计中。为了识别和评估上文所述的两类风险，审计人员除了从以上方面了解被审计单位及其环境外，还应该关注其他相关的潜在事件及其影响，尤其是企业的财务信息系统及基于网络的财务信息可能面l临的威胁或存在的脆弱点。其中，威胁是指对信息系统及财务信息构成潜在破坏的可能性因素或者事件，它可能是一些如工作人员缺乏责任心、专业技能不足或恶意篡改等人为因素，也可能是一些如灰尘、火灾或通讯线路故障等环境因素。脆弱点是指信息系统及基于网络的财务信息所存在的薄弱环节，它是系统或网络财务信息本身固有的，包括物理环境、组织、过程、人员、管理、配置、硬软件及信息等各方面的弱点。一般来说，脆弱点本身不会带来损失或信息错报，威胁却总是要利用网络、系统的弱点来成功地引起破坏。因此，我们认为网络审计申风险评估的内容应包括以下几方面：(1)识别被审计单位财务信息系统及其基于网络的财务信息可能面临的威胁，并分析威胁发生的可能性；(2)识别被审计单位财务信息系统及其基于网络的财务信息可能存在的脆弱点，并分析脆弱点的严重程度；(3)根据威胁发生的可能性和脆弱点发生的严重程度，判断风险发生的可能性；(4)根据风险发生的可能性，评价风险对财务信息系统和基于网络的财务信息可能带来的影响；(5)若被审计单位存在风险防范或化解措施，审计人员在进行风险评估时还应该考虑相应措施的可行性及有效性。

(四)风险评估程序《中国注册会计师审计准则第1211-----了解被审计单位及其环境并评估重大错报风险》中要求，审计人员应当实施询问、分析程序、观察和检查等程序，以获取被审计单位的信息，进而评估被审计单位的重大错报风险。这些程序同样适用于网络审计中的风险评估。但在具体运用时网络审计中更加注重了解和分析被审计单位与信息系统及网络技术使用相关的事项。在实施询问程序时，审计人员的询问对象围绕信息系统和基于网络的财务信息可大致分为管理人员、系统开发和维护人员(或信息编制人员)、系统使用人员(或信息的内部使用人员)、系统或网络技术顾问及其他外部相关人员(如律师)等五类，分别从不同角度了解信息系统和基于网络的财务信息可能存在的威胁和脆弱点。在实施分析程序时，除了研究财务数据及与财务信息相关的非财务数据可能的异常趋势外，审计人员应格外关注对信息系统及网络的特性情况，被审计单位对信息系统的使用情况等内容的分析比较。实施观察和检查时，除执行常规程序外，审计人员应注意观察信息系统的操作使用和检查信息系统文档。除此之外，针对特定系统或网络技术风险的评估，审计人员还需要实施一些特定的程序。技术方面如IOS取样分析、渗透测试、工具扫描、安全策略分析等；管理方面如风险问卷调查、风险顾问访谈、风险策略分析、文档审核等。其中，IDS取样分析是指通过在核心网络采样监听通信数据方式，获取网络中存在的攻击和蠕虫行为，并对通信流量进行分析；渗透测试是指在获取用户授权后，通过真实模拟黑客使用的工具、方法来进行实际漏洞发现和利用的安全测试方法；工具扫描是指通过评估工具软件或专用安全评估系统自动获取评估对象的脆弱性信息，包括主机扫描、网络扫描、数据库扫描等，用于分析系统、应用、网络设备存在的常见漏洞。风险问卷调查与风险顾问访谈要求审计人员分别采用问卷和面谈的方式向有关主体了解被审计单位的风险状况，使用时关键是要明确问卷或访谈的对象情况风险策略分析要求审计人员对企业所设定的风险管理和应对策略的有效性进行分析，进而评价企业相关风险发生的概率以及可能带来的损失；文档审核是一种事前评价方法，属于前置软件测试的一部分，主要包括需求文档测试和设计文档测试。这些特定程序主要是针对被审计单位信息系统和基于网络的财务信息在网络安全风险方面进行评价，审计人员在具体使用时应结合被审计单位的业务性质选择合适的程序。

三、网络审计与信息安全管理的风险评估比较

(一)风险评估的目的信息安全管理中的风险评估(即信息安全风险评估)是指根据国家有关信息安全技术标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程。作为信息安全保障体系建立过程中的重要的评价方法和决策机制，信息安全风险评估是企业管理的组成部分，它具有规划、组织、协调和控制等管理的基本特征，其主要目的在于从企业内部风险管理的角度，在系统分析和评估风险发生的可能性及带来的损失的基础上，提出有针对性的防护和整改措施，将企业面临或遭遇的风险控制在可接受水平，最大限度地保证组织的信息安全。而网络审计是由独立审计人员向企业提供的一项鉴证服务，其风险评估的目的在于识别和评价潜在事件对被审计单位基于网络的财务信息的合法性、公允性以及网络财务信息系统的合规性、可靠性和有效性的影响程度，从而指导进一步审计程序。因此，两者风险评估的目的是不一样。从评估所应关注的风险范围来看，两者具有一致性，即都需要考虑与信息系统和信息相关的风险。但是，具体的关注边界则是不一样的。信息安全风险评估要评估企业资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响，它要求评估人员关注与企业整个信息系统和所有的信息相关的风险，包括实体安全风险、数据安全风险、软件安全风险、运行安全风险等。网络审计中，审计人员是对被审计单位的网络财务信息系统和基于网络的财务信息发表意见，因此，风险评估时审计人员主要关注的是与企业财务信息系统和基于网络的财务信息相关的风险，而不是与企业的整个信息系统和所有的信息相关的风险。根据评估实施者的不同，信息安全风险评估形式包括自评估和他评估。自评估是由组织自身对所拥有的信息系统进行的风险评估活动；他评估通常是由组织的上级主管机关或业务主管机关发起的，旨在依据已经颁布的法规或标准进行的具有强制意味的检查。自评估和他评估都可以通过风险评估服务机构进行咨询、服务、培训以及风险评估有关工具的提供。因此。对审计人员而言，受托执行的信息安全风险评估应当归属于管理咨询类，即属于非鉴证业务，与网络审计严格区分开来。

(二)风险评估的内容在我国国家质量监督检验检疫总局的《信息安全风险评估指南》(征求意见稿)国家标准中，它将信息安全风险评估的内容分为两部分：基本要素和相关属性，提出信息安全风险评估应围绕其基本要素展开，并充分考虑与这些基本要素相关的其他属性。其中，风险评估的基本要素包括资产、脆弱性、威胁、风险和安全措施；相关属性包括业务战略、资产价值、安全需求、安全事件、残余风险等。在此基础上的风险计算过程是：(1)对信息资产进行识别，并对资产赋值；(2)对威胁进行分析，并对威

审计的特别风险及应对例8

现代风险导向审计也称为风险基础战略系统审计，是二十世纪九十年代以来，对传统风险导向审计模式的变革而发展起来的一种新的审计模式。现代风险导向审计模型：审计风险=重大错报风险×检查风险。它以被审计单位的战略经营风险为导向，从战略系统观对风险进行分析、测试、评价和决策，判断重大风险点和风险领域。现代风险导向审计针失或审计不足的缺点，大大加强了风险评估程序，实现以风险评估为中心，从错报产生的源头着手，制订和实施审计计划，合理分配审计资源，通过自上而下和自下而上相结合的审计思路完成审计工作，以提高审计的效率，控制审计风险。现代风险导向审计是审计理念和审计技术方法在系统理论和战略管理理论基础上的重大创新，被认为是审计领域的一场划时代的技术革命。

党政领导干部经济责任审计是中国特有的审计监督形式，是对党政主要领导的经济权力运用的制约和监督的监督。被审计对象位高权重责任大，由于审计环境和审计内容的复杂性，审计的广度、深度、难度以及审计结果影响的重要性都大大高于传统的财务审计，面临着较大的审计风险，对审计风险的防范显得尤为重要。现代风险导向审计作为前沿的国际先进的审计方法技术，以重大错报风险评估为导向，使审计资源向高风险领域倾斜，以降低审计风险，这种审计理念和审计目标与领导干部经济责任审计的目标要求是一致的。将现代风险导向审计应用于领导干部经济责任审计，有利于有效的防范和应对审计风险，合理配置审计资源，提高审计质量和审计效率；是改革传统审计模式，创新审计理念和审计技术方法的需要，是经济责任审计发展的必然趋势。

一、现代风险导向审计的审计模型及主要特征

现代风险导向审计模型为：审计风险=重大错报风险×检查风险。审计风险取决于重大错报风险和检查风险，在审计风险水平一定的情况下，重大错报风险和检查风险处于此消彼长的关系。现代风险导向审计的主要特征，一是基于战略系统观，强调对重大报风险的评估，审计重心前移，从以审计测试为中心转移到以风险评估为中心。二是审计方法从“自下而上”到“自上而下”与“自下而上”相结合，从了解内外部环境、运行风险入手，评估重大错报风险，从而将审计重点直接指向易出现重大错报的领域。三是扩大了审计证据的内涵。审计证据重点向外部证据转移。四是审计人员的专业知识重心转移，由原来以会计、审计知识为中心转为以管理知识和行业知识为中心。

现代风险导向审计的主要技术方法有：分析性复核、数据挖掘技术、比重分析法、风险集中度分析法、逐级累进分析法、定期汇总分析法等。在审计测试中还可以运用抽样法、观察法、调查法、证实法等传统的审计方法。

二、现代风险导向审计在领导干部经济责任审计的应用

现代风险导向审计的战略核心是将风险将至可接受的水平。要以重大错报风险的识别、评估和应对为审计的主线，并贯穿于整个审计工作过程，以此确定审计应对措施。

（一）突出审计重点，关注高风险审计领域和重大风险点，特别是舞弊风险

现代风险导向审计模型引入了“重大错报风险”的概念。经济责任审计要借鉴现代风险导向审计理念，构建以重大风险评估和应对为导向的党政领导干部经济责任审计模式。一是要引入“重要性”概念，关注高风险审计领域和重大风险点，特别是舞弊风险，突出审计重点。二是要将审计起点前移至了解被审计单位的情况和战略上，“自上而下”与“自下而上”相结合，根据风险的重要性水平和发生的可能性，确定重点审计内容。从普通和异常的信息中发现背后隐藏的重大问题和深层次问题。三是在经济责任审计中要实施重大风险评估程序，并将其贯穿于整个审计过程，识别和评估经济责任的重大错报风险。在在对被审计单位的环境充分了解和评价的基础上，判断、分析被审计单位的风险所在及其风险水平分布，通过审计风险模型对风险进行量化，把计资源集中于高风险领域，合理设计并有效执行审计程序，提高审计效率，控制检查风险。

（二）应用现代风险导向审计模式，创新领导干部经济责任技术方法

领导干部经济责任审计内容涵盖面广要求高，要改革以查账为主的传统审计模式和技术方法，创新经济责任技术方法。

1.注重宏观因素分析以及对腐败、舞弊等特别风险的评估。准确评估重大错报风险是经济责任审计的重点和难点，也是风险导向的经济责任审计能否发挥功能的关键，风险评估的结果决定了高风险审计领域和重点、审计项目、审计资源的分配、审计证据的性质和数量。现代风险导向审计更加注重宏观因素分析，如被审计单位所处的行业状况、法律环境与监管环境以及其他外部因素；被审计单位的性质；被审计单位的目标、战略以及相关经营风险等。要注重对特别风险的识别和评估，特别是对腐败、舞弊行为的识别和评估，通过评估腐败风险因素，改变拟实施的审计程序，时间和范围，增强审计过程的不可遇见性。

2.以分析性复核方法为中心，大量运用分析性程序。风险导向审计从风险评估到最终审计结论的确定均可使用分析性程序。要以分析性复核方法为中心，从零散走向结构化，提高审计的效率。分析程序的大量运用能够更好地发现经济责任的重大错报，当使用分析程序比细节测试能更有效的将认定层次的检查风险降至可接受的水平时，分析程序可以用作实质性程序。

3.审计证据重点向外部证据转移，扩大了审计证据的内涵和范围。现代风险导向审计模式下，由于风险评估是实施审计的基础，而且宏观因素对重大错报风险影响的分析是重要的环节，因此审计人员需要从外部获取证据来证明风险评估结果的恰当性。此外，被审计领导干部舞弊是经济责任重大错报的一个主要因素，经济责任审计仅依据被审计单位提供的证据来得出有关结论显然是不可靠和不现实的，必须通过充分的外部证据是获取相关线索重要途径。必须扩大审计证据内涵，更加注重外部证据。

4.构建大数据审计工作模式，加强计算机数据审计和计算机辅助审计。在领导干部经济责任审计中，要根据被审计对象的特点，以及审计工作的需要建立风险数据库，做好数据积累工作，为开展风险评估和以风险为导向的经济责任审计提供数据支持。

三、应用现代风险导向理念，科学合理安排审计资源，提升审计人员专业胜任能力，控制检查风险

根据现代风险导向审计模型和审计理念，在审计风险水平一定的情况下，重大错报风险和检查风险处于此消彼长的关系。检查风险是审计人员的责任，可以通过合理设计并有效执行审计程序以控制检查风险。

（一）创新审计组织方式，优化审计资源配置，应对和防范审计风险

一是采取“上审下”、“异地交叉”审计等方式，排除人情干扰和外在压力，保持审计的独立性。二是将经济责任审计制度与巡视制度有机结合，协调安排；或者在审计前或审计中，纪检监察、组织人事部门派人提前介入，协同工作，弥补审计机关职权有限，信息不对称，审计手段不足的困难，增强监督威力和效率。四是在审计质量控制方面，审理部门进入审计现场，复核把关质量监督关口前移，加强审计现场的监控和管理，确保审计质量，提高审计效率。五是将领导干部经济责任审计、财政决算审计、绩效审计、重大项目和重大资金审计等同时安排，“1拖N“，大兵团作战与单兵作战有机，集中力量，重点突破，提高审计效率。

（二）合理安排审计力量，应对审计风险

检查风险是指如果存在重大错弊风险，但审计人员实施审计程序后没有发现这种错报的风险。如果审计人员专业胜任能力不足，就极有可能导致审计无效率或审计失败。因此应根据重大风险评估的重要风险领域和风险点，合理配置审计资源，将专业胜任能力较强，审计经验丰富的审计人员分配到具有重大错报风险较高的领域进行审计，而一些理论和实践较为不熟悉的人员分派到风险较小的领域。还可以利用信息技术、评估、精算等行业方面专家的工作，使得整个经济责任审计团队具备足以应对经济责任复杂业务的专业水平和经验。

（三）优化经济责任审计人员结构

目前审计机关经济责任审计人员结构基本上是以会计、审计专业人员为主，熟悉的是审计、会计的业务，很多对经济管理管理、工程技术、法律法规等方面不甚了解，缺乏符合现代风险导向审计要求的复合型人才。因此一是要选派既有审计专业能力和职业经历，又有经济、管理等岗位的实践经验的知识能力复合型人才充实内部经济责任审计队伍。二是有效利用外部的人力资源，建立相关经济领域专家库，聘请专家参加领导干部经济责任审计工作。对专业技术性较强的经济领域、建立专家库，根据工作需要聘请具有与经济责任审计事项相关专业知识的专家参加审计业务或者提供技术支持、专业咨询和专业鉴定。

（四）通过多种形式提升经济责任审计人员的专业胜任能力

一是要建立以风险为导向的经济责任审计操作规程、作业流程和评价体系，规范审计工作程序及工作标准。二是通过学习、培训和交流锻炼，促进经济责任审计人员知识更新和提升自身能力和素质，提高专业胜任能力。三是对审计人员实行多岗位锻炼，提高综合素质，也可以以审代训形式，在实施重大经济责任审计项目中培训审计人员，丰富经济责任审计的实战经验。

参考文献

[1]中共中央办公厅、国务院办公厅：党政主要领导干部和国有企业领导人员经济责任审计规定，2010.

[2]陈毓圭.对风险导向审计方法的由来及其发展的认识.会计研究2014.

[3]志恒.现代风险导向审计模式在经济责任审计中的应用.会计之友，2012.

[4]李华.现代风险导向审计国内外研究综述及启示.财会研究2008.

审计的特别风险及应对例9

（一）强调了解舞弊环境的特别重要性。新准则首次明确指出了解舞弊的环境及特征对审计舞弊的特别重要性，强调审计舞弊必须以了解舞弊环境为前提。为使注册会计师充分了解可能发生舞弊的环境，新准则描述了舞弊普遍存在的三方面环境特征：动机、压力、机会、态度企图使舞弊合理化，要求注册会计师从这3个方面关注舞弊风险因素，并结合利用从法律专家及其他人员处获得的相关信息来综合评价舞弊风险。

（二）扩大识别舞弊风险的范围。新准则强调注册会计师除关注旧准则中提供的舞弊风险因素外，还应通过审计小组讨论、向管理层和其他人员询问、在计划阶段执行分析程序、考虑舞弊风险因素等途径获取所需的信息。在识别舞弊风险时应综合利用这些信息，并考虑可能存在的风险类型、风险的重要性、导致报表重大错报的可能性、风险的隐藏处等。这样注册会计师就可在识别舞弊风险基础上，结合对客户有关计划与控制有效性的分析，评价已识别舞弊风险水平，并据此作出适当反应。

（三）评价被审计单位计划和控制的适当性。新准则要求注册会计师应在评价客户针对已识别舞弊风险而施行的有关计划和控制的有效性后，考虑这些计划和控制是减轻还是加剧了已识别的舞弊风险，再据以评估已识别舞弊风险的水平高低，最终将舞弊风险水平分配到账户层。

（四）规定对舞弊风险评估结果作出适当反应的具体方式及程序。新准则要求，注册会计师应对舞弊风险评估结果作出适当反应，并强调在收集及评价审计证据时，应保持职业怀疑态度。新准则还具体规定了注册会计师对舞弊风险评估结果作出适当反应的以下3种方式及程序：（1）应首先考虑舞弊风险评估结果对审计工作的总体影响，即在制定总体审计计划时，应考虑舞弊风险评估结果的一般影响；（2）考虑已识别舞弊风险对审计工作的具体影响，即在制定具体审计计划时，应考虑已识别风险对将执行审计程序的性质、时间和范围的特定影响；（3）考虑执行下列审计程序，进一步确定有关管理层逾越内控的舞弊风险对财务报表产生重大错报的影响：a.检查会计分录和其他调整事项，以收集舞弊可能导致重大错报的证据。b.复核会计估计，以发现导致重大错报的舞弊偏差。以前准则虽对此作了规范，要求注册会计师关注管理层蓄意用于不当盈余管理的会计估计偏差，但新准则还要求对以前年度的重大会计估计实施再复核程序，以发现任何潜在的可能单个出现时却属适当盈余管理行为的舞弊情况。c.评价重大非经常易的合理性。复杂的经营结构及交易安排，特别是涉及特定目的个体或关联方的恶意交易安排，是最近舞弊财务报表的惯用伎俩，尽管先前准则已要求注册会计师应具备评价这些重大交易的相关知识，但新准则仍强调要求注册会计师清楚了解重大非经常易的实质，评价其内在合理性，并将其作为审计重点。

（五）强调收入确认风险。收入确认是大量财务舞弊案涉及的核心问题，也一直是注册会计师调整报表的主要理由。为此，新准则强调要求注册会计师应特别注意识别与收入确认有关的舞弊风险，并在计划阶段更有效运用分析程序，找出涉及收入及相关账户的非正常或非预期的关系。此外，新准则还提供详细指南，帮助注册会计师在发现舞弊风险时确保适当调整有关审计程序，以提高舞弊审计效果。

二、我国对新准则的借鉴与思考

结合我国上市公司财务报告舞弊现状，笔者认为该准则中的相当部分内容对于我国审计实践有着借鉴意义，具体体现在以下几个方面：

（一）合理定位和适当履行舞弊审计责任是注册会计师行业持续健康发展的前提和基础。美国舞弊审计准则的变迁史实质上就是注册会计师审计舞弊责任的演绎史。美国之所以从SAS第1号采取强硬立场推卸在报表审计中对舞弊的审计责任，演变为第99号以积极态度承担应负的适当审计责任，是因为报表经审计后重大舞弊案件仍然频繁发生，政府及公众强烈不满。在诉讼爆炸时代，审计职业界必须承担舞弊审计责任的压力及风险，并思考有效应对诉讼爆炸，缩小合理的审计期望差的途径。审计若再拒绝或推脱应负的责任，不仅有损职业声誉，而且会丧失公众信任，为此美国舞弊审计准则扼守“合理承担和合理履行”的原则，对注册会计师能够且应承担的舞弊审计责任不断作出更清楚和直率的阐述。但确因审计固有局限性及报表舞弊的复杂性，致使审计无法保证查出所有重大舞弊，审计职业界为保护自身合理、正当权益，在准则四次变更中均未改变注册会计师的责任，即计划和实施审计，以获取相应证据合理保证报表不存在因错弊等导致的重大错报。我国审计界必须积极探索建立舞弊审计责任均衡体系，从审计能力和社会预期的期望差中寻找合适的均衡点，并深入研究财务报表舞弊规律及审计思路、程序创新，以不断提高审计舞弊的能力和效果。一味迁就社会需求而不切实际地加大审计舞弊的责任，和不顾基本的审计质量，对舞弊审计责任连起码能履行的都不履行一样，都不利于审计职业发展甚至会毁灭整个职业，实不可取。

（二）新准则中提到的“舞弊三角”的舞弊风险评价模式对我国相关审计准则的完善有着借鉴意义。回顾我国发生的一系列财务报告舞弊案例不难发现，很多上市公司舞弊往往借助关联交易等复杂的会计手段，例如郑百文为了“扩大”销售收入，大量采用了与银行和供货商之间的所谓“三角交易”。因此，仅仅通过查找舞弊产生的痕迹来发现舞弊则显得比较无力。新准则提出的“舞弊三角”的舞弊风险评价模式试图从舞弊产生的根源入手查找舞弊，为我国反财务报告舞弊准则的完善提供了一条新的思路。

（三）审计准则作为注册会计师开展审计活动的主要依据，应该根据市场环境的不断变化加以完善和改进。我国应加紧研究和修订我国现行舞弊审计准则，为注册会计师审计舞弊财务报表建立更实用的标准和提供更详细的指南。尽管我国审计准则“错误与舞弊”规定：“注册会计师应根据独立审计准则的要求，充分考虑审计风险，实施适当的审计程序，以合理确信能够发现会计报表严重失实的错误及舞弊”，但因缺乏审计舞弊报表的详细指南，也没有提供需要关注的舞弊风险因素，致使舞弊审计效果欠佳。为指导注册会计师理清思路、突出重点，提高审计舞弊的能力，我们可在借鉴美国新准则和认真总结我国注师制度恢复20多年来积累的舞弊规律及审计经验的基础上，抓紧研究修订我国舞弊审计准则，重点解决对管理当局舞弊的审计程序改进问题，以为注册会计师提供一个有效发现舞弊的概念框架和更为正式、具体的审计程序指南，有效缩小期望差。

审计的特别风险及应对例10

中图分类号：F239 文献标识码：A

文章编号：1009—0118（2012）10—0206—02

近十多年来，企业经营失败或者因管理层舞弊造成破产倒闭的事件剧增，投资者和贷款人蒙受重大损失，注册会计师因而被指控未能及时揭示或报告这些问题，并被要求赔偿有关损失。探讨审计风险和财务风险的关系意义重大。

一、审计风险的表现及成因

审计风险是指当财务报表存在重大错报时注册会计师发表不恰当审计意见的可能性。也就是说，审计风险是客观存在和主观努力的结合——客观存在可以通过主观努力去调节，但主观努力又受成本效益原则的约束。

（一）审计风险的表现

我们认为，将审计风险概括地表示为察觉出重大错报的风险，只是最狭义的审计风险，而审计风险本身具有更广泛的涵义，我们可以从三个层次上来说明：

1、固有风险。固有风险是指在考虑相关的内部控制之前，某类交易、账户余额或披露的某一认定易于发生错报（该错报单独或连同其他错报可能是重大的）可能性。审计风险受到企业固有风险因素的影响，如何管理人员的品行和能力、行业所处环境、业务性质、容易产生错报的财务报表项目，容易遭受损失或被挪用的资产等导致的风险。

2、控制风险。控制风险是指某类交易、账户余额或披露的某一认定发生错报，该错报单独或连同其他错报可能是重大的，但没有被内部控制及时防止或发现并纠下的可能性。审计风险同样受到内部控制风险因素的影响，即账户余额或各类交易存在错报，内部控制未能防止、发现或纠正的风险。

3、报告（评价）风险。审计评价是对被审计者履行经济责任、管理责任情况发表的综合评价，涉及被审计者的切身利益，任何不实或不当的评价，都可能会引起审计行政诉讼。一是对非评价审计事项不应评价而评价。二是对审计过程中未涉及的具体事项不应评价而评价。因为虽在审计范围之内，但未获取相关证据。三是对审计证据不足的审计事项不应评价而评价。四是用词不妥的审计评价。但更多的是囿于各种原因，报告定性模糊、问题含混，语言似是而非、欲说还休；结论模棱两可，不知所云。“诉讼爆炸”就是注册会计师责任加重的主要表现形式。

（二）审计风险的成因

在执行审计业务时，注册会计师应当考虑重要性及重要性与审计风险的关系。审计风险取决于重大错报风险和检查风险。

1、重大错报风险。重大错报风险是指财务报表在审计前存在重大错的可能性。重大错报风险与被审计单位的风险相关，且独立存在于财务报表的审计中。认定层次的重大错报风险又可进一点细分为固有风险和控制风险。某些类别的交易、账户余额和披露及其认定，固定风险较高。例如，复杂的计算比简单更可能出错；技术进步可能导致某项产品陈旧，进而导致存货易于发生高估错报（计价认定）。被审计单位及其环境中的某些因素还可能与多个甚至所有类别的交易、账户余额和披露有关，进而影响多个认定的固有风险。这些因素包括维持经营的资金匮乏、被审计单位处于夕阳行业等。控制风险取决于与财务报表编制有关的内部控制的设计和运行的有效性。由于控制的固有局限性，某种程度的控制风险始终存在。

2、检查风险。检查风险是指如果存在某一错报，该错报单独或连同其他错报可能是重大的，注册会计师将审计风险降至可接受的低水平而实施程序后没有发现这种错报的风险。检查风险取决于审计程序设计的合理性和执行的有效性。由于汎会计师通常并不对所有的交易、账户余额和披露进行检查，以及其他原因，检查风险不可能降低为零。

二、财务风险的表现及成因

对企业管理人员来说，风险是一个重要的全球性问题，特别财务风险是企业在财务管理过程中必须面对的一个现实问题，金融环境的变化显著地影响企业的控制环境。以前的理论是对国外的本地市场提供供给或利用国外的自然资源。现在，对外直接投资将在全世界范围内的企业联系起来，每一个国家的资本市场都已成为国际资本市场的一部分，外部环境的变化加大了财务风险。

（一）财务风险的表现

1、财务风险的客观性。企业的财务风险不以人的意志为转移而客观存在。企业财务风险是我国国民经济面临的较为重要的一种风险，其风险的形成既有企业外部法律和经济环境变化的影响，又有企业内部机制和管理中存在先天不足所导致的。并且这些都是不以人的意志为转移而客观存在的。

2、财务风险的多样性。财务风险的多样性主要受三个方面的影响，首先受企业经营环境多样化的影响，企业不仅要面对国内市场的竞争，而且要面对国际市场的竞争，不仅要面对传统产品市场的竞争，而且要面对高科技产品市场竞争，这种多样化的经营环境必然会给企业造成多样性的财务风险影响，其次受企业经营过程多样化的影响，企业生产经营不是简单的一个环节，而是一个连续不断的过程，每一个过程中的失误都可能形成财务风险，再次财务行为多样化的影响，企业财务行为方式包括筹资、投资、资金使用、资金回收、利润分配等，在这些环节，不管哪一个环节出现问题，都可能形成财务风险。

3、财务风险的全面性。企业财务风险存在于企业财务管理的全过程并体现在多种财务关系上。企业承包从筹资到投资、平时的现金流量运作、企业的对外担保、企业跨国经营这些日常的经营活动都离不开财务管理，而这些由于企业经营不当或客观原因都可能给企业带来财务风险。企业的财务风险贯穿于企业的一切经营活动中。

4、财务风险的不确定性。自动化程序和控制可能降低了发生无意错误的风险，但是并没有消除个人凌驾于控制之上的风险，如某些高级管理人员可能篡改自动过入总分账和财务报告的数据金额。当被审计单位运用信息技术进行数据的传递时，发生篡改可能不会留下痕迹或证据。

（二）财务风险的成因

1、经营目标。目标是企业经营活动的指针。企业管理层或治理层一般会根据经营面临的外部环境和内部各种因素，制定合理可行的经营目标。随着外部环境的变化，企业应对目标和战略做出相应的调整。例如，企业当前的目标是在某一特定期间内进入某一新的海外市场，企业选择的战略是在当地成立合资公司。但是，成立合资公司可能会带来很多的经营风险，例如，企业如何与当地合资方在经营活动、企业文化等各方面协调，如何在合资公司中获得控制权或共同控制权，当地市场情况是否会发生变化，当地对合资公司的税收和外汇管理方面的政策是否稳定等问题，而导致财务报表出现重大错报风险。

2、经营风险。不同的企业可能面临不同的经营风险，不能随环境的变化而做出相应的调整固然可能产生经营风险。但是，调整的过程也可能导致经营风险。例如，为应对消者需求的变化，企业开发了新产品。但是，开发的新产品可能会产生开发失败的风险；即使开发成功，市场需求可能没有充分开发，从而产生产品营销风险；产品的缺陷还可能导致企业遭受声誉风险和承担产品赔偿责任的风险。多数经营风险最终都会产生财务后果，从而影响财务报表。例如，企业合并导致银行客户群减少，使银行信贷风险集中，由此产生的经营风险可能增加与贷款计价认定有关的重大错报风险。同样的风险，在经济紧缩时，可能具有更为长期的后果，进而可能导致财务报表发生重大错报。

3、企业收益分配政策缺乏科学性。企业在不同成长与发展阶段所采用的股利政策不同。其分配方法的选择会影响投资者对企业状况的判断和企业的声誉，从而影响企业资金的来源，也可能影响企业潜在投资者的投资决策。例如，采用剩余股利政策说明企业处于初创阶段，此时企业经营风险高，有投资需求且融资能力差。另外，企业的利润分配政策如果缺乏控制制度，不结合企业的实际情况，不进行科学的分配决策，必将影响企业的财务结构，从而形成间接的财务风险。

（三）财务风险的基本类型

财务风险来源包括：因短期内不能履行财务义务（比如向供货商、办公场所的出租人或雇员付款而产生的流动性风险；因未获得货款而产生的信用风险；对消费者的可分配收入产生影响，并导致与诸如零售商、房地产开发商或制造商的交易恶化的利率风险；以及投资项目在项目期内的现金流和折现率的通货膨胀风险。此外还包括汇率风险，即海外投资的预期现金流受到汇率波动的不利影响，以及借款人的融资风险。还包括因在市场上投机或套期产生的衍生工具风险。例如，为了用低于当时的通行价格的价格购买某商品而购买期货。

简单来说，一个企业所面临的最显而易见的财务风险就是市场风险。主要的市场风险是由金融市场价格变化而产生的，如汇率风险、利率风险、商品价格风险和股票价格风险。但主要财务风险包括但不限于市场风险其他相关的重要财务风险如上所说，包括信用风险和流动性风险。

三、审计风险与财务风险的关系

（一）审计风险与财务风险的联系

某些重大错报风险可能与财务报表整体广泛相关，进而影响多项认定。例如，在经济不稳定的国家和地区开展业务、资产的流动性出现问题、重要客户流失、融资能力受到限制等，可能导致注册会计师地被审计单位的持续经营能力产生重大疑虑。又如，管理层缺乏诚信或承受异常的压力可能引发舞弊风险，这些风险与财务报表整体相关。

（二）审计风险与财务风险的区别

编制虚假财务报告直接导致财务报表产生错报，侵占资产通常伴随着虚假或误导性的文件记录。因此，对能够导致财务报告产生生大错报的舞弊，无论是编制虚假财务报告，还是侵占资产，注册会计师均应当合理保证能够予以发现，这是实现财务报表审计目标的内在要求，也是财务报表审计的价值所在。但另一方面，由于审计的固有限制，即使注册会计师按照审计准则的规定恰当计划和执行了审计工作，也不可避免地存在财务报表中的某些重大错报未被发现的风险。注册会计师不能对财务报表整体不存在重大错报获取绝对保证。特别是，如果被审计单位管理层精心策划和掩盖舞弊行为，注册会计师尽管完全按照审计准则执业，有时还是不能发现某项重大舞弊行为。

（三）针对特别风险实施的应对措施

如果认为评估的认定是特别风险，注册会计师应当专门针对该风险实施实质性程序。例如，如果认为管理层面临实现盈利指标的压力而可能提前确认收入，注册会计师在设计询证函时不仅应当考虑函证应收账款的账户余额，还应当考虑询证销售协议的细节条款（如交费、结算及退货条款）；注册会计师还可考虑在实施函证的基础上针对销售协议及其变动情况询问被审计单位的非财务人员。如果针对特别风险实施的程序仅为实质性程序，这些程序应当包括细节测试，或将细节测试和实质性分析程序结合使用，以获取充分、适当的审计证据。

1、经营目标。为了从被审计单位高层次的经营目标中识别出经营风险和审计，审计项目组通常需要了解被审计单位的经营目标和经营风险。例如，被审计单位制定了一个通过增加毛利来改善盈利善的总目标。注册会计师可以了解与提高售价和降低成本相关的上体目标和行动措施，如通过从国外新供应商购货的方式降低原材料成本。

审计的特别风险及应对例11

1.审计重心前移，经营风险的评估是起点和重点。现代风险导向审计要求将审计重心前移至风险评估，一定要从评估企业战略经营风险入手，充分了解被审计单位的基本情况及其经营环境，注重对持续经营能力的考虑及经营风险对审计风险的影响，进而从经营风险中能更有效发现财务报表潜在的重大错报；当然，在审计过程中也应尽量严格执行所设计的审计程序，将检查风险降低到可接受水平。

2.风险评估以分析性复核为中心，分析性复核全程化和多样化。风险评估包括检查、调查、询问、穿行测试等多种审计取证手法，分析性复核的运用是现代风险导向审计的核心，并贯穿整个审计过程。为了适应分析性复核功能扩大的要求，分析性复核对象开始走向多样化，不再仅仅局限于财务数据，也包括了非财务数据。同时，充分借鉴现代管理方法，将管理方法运用到分析性程序之中。

3.审计证据重点向外部证据转移，扩大了审计证据的内涵。审计证据不仅包括各种测试获取的证据，还延伸到对被审计单位基本情况及其经营环境的取证等，并且取证重点向外部证据延伸。由于外部审计证据的可靠性大于内部审计证据，这就提高了现代风险导向审计揭露因管理舞弊所致财务报表重大错报的能力。

4.风险评估由直接评估转为间接评估，从零散走向结构化。现代风险导向审计是在战略分析的基础上，从了解和评估经营风险入手开展工作，而经营风险是通过经营分析获得，可见风险评估实际上是间接性评估。此外，以风险评估为中心的现代风险导向审计，强调的是综合风险评估，是对多方面的风险因素有机联系的分析和评估，风险评估是结构性评估。

5.内部审计人员的专业知识重心转移，由原来以会计、审计知识为重心转为以管理知识和行业知识为重心。

6.提倡两条线并行作业，即大胆应用“自上而下”与“自下而上”相结合，并大量采用战略分析和系统分析等先进工具以及技术方法。

二、风险导向审计在企业风险管理中的作用

内部审计机构和内部审计人员处于相对独立的地位，具有内在的固有功能，在评价内部控制、协助企业建立健全风险管理机制方面有诸多优势，在有效降低企业风险、增加企业价值方面发挥重要作用，具体表现在：

1.参与企业风险管理。随着对风险管理的日益关注，探讨风险导向审计与企业风险管理框架之间的联系，就成为探讨风险导向审计无法回避的理论问题之一。

2.促进内部控制。内部控制从某种程度上来说从属于风险管理，是风险管理的方式之一。在风险理念的作用下，企业内部控制已扩展为企业风险管理框架，内部控制与风险管理已趋于融合。因此，可以说对风险管理的促进作用，是建立在企业的内部控制同时得到改善和促进的基础之上的，两者是互相促进的。

3.强化和促进公司治理。公司治理的基本目标是在充分考虑利益相关者利益相对满足和大体均衡情况下，增加企业价值，从而使股东长远价值最大化。而风险导向审计的本质是确保受托责任有效履行的管理控制，它更注重与企业目标的直接关联。可见，公司治理与风险导向内部审计目标是一致的。

三、风险导向审计的主要程序

现代风险导向审计程序遵循“战略管理分析——经营环境分析——流程控制分析——经营业绩分析——剩余风险分析”的主线和“自上而下”与“自下而上”相结合的思路开展工作。基本审计程序包括风险评估、控制测试和实质性测试。

1.风险评估程序。（1）了解被审计单位及其所处环境，目的是为评估财务报表总体层次和认定层次的重大错报风险。（2）运用职业判断，确定已识别风险的层级，特别关注重大风险和特别风险，对重大错报风险进行评估。（3）结合风险识别和评估，进一步设计、细化具体审计程序。

2.控制测试。以测试内部控制在防止、发现和纠正认定层次重大错报方面的有效性，进一步评估和应对重大错报风险。

3.实质性测试。目的是发现重大错报。对各类重大事项或情况实施实质性测试以获取充分可靠的审计证据，是弥补由于审计人员业务能力缺陷和被审计单位内部控制缺失的必要程序。

四、风险导向审计在企业风险管理中的应用

风险导向审计作为一种重要的审计理念和模式，已经受到了行业内外的普遍关注。因此风险导向审计是我国审计的必然选择，是适应审计环境变化、审计准则国际协调及审计工作的客观要求。现代风险导向审计在实际运用中一般包括以下阶段：

1.准备阶段。首先是分析企业环境，既要了解被审计单位的发展战略、经营目标、经营环境、业务流程和经营风险等内部情况，又要了解与被审计单位相关的宏观经济政策、行业状况、监管环境等外部环境；其次是全面识别风险，确定审计的范围和重点；第三是编制审计计划，审计部门在识别和评估各种风险的基础上编制审计计划，根据风险程度选择审计项目和审计对象，并与审计资源相结合，既要充分有效地利用审计资源，又要量力而行。

2.实施阶段。实施阶段的主要工作一般包括风险评估、了解内部控制、复核性测试、内查外调收集证据、编写审计工作底稿等步骤。

3.报告阶段。报告阶段主要包括出具审计报告和编写审计管理建议书，审计报告撰写要立足于企业发展战略实现，以风险为中心，全面揭示已识别的风险以及问题与实现企业战略目标的相关性以及可能产生的后果，提出应对、避免、降低、保留和转换、对冲风险的审计意见和建议，必要时可出具审计管理建议书。

4.后续阶段。后续阶段的主要工作是通过持续跟踪重大错报风险，开展复审，以检查重大审计发现的纠正情况。这一阶段的注意力应集中在重大或潜在的错报风险是否得到控制和消除上，并检查有无新的风险因素和重大问题产生，针对剩余风险的变化情况和新识别的风险因素以及新发现的问题，提出审计意见和建议。

五、目前开展风险导向审计的现状和问题

目前我国开展风险导向审计尚处于起步阶段，虽取得了初步成效，但在全面推行风险导向审计的过程中还存在不少需要探讨和解决的问题。

1.开展风险导向审计所处环境的局限性。作为一种审计理念，风险导向审计模式无疑是更加科学的，但从整个审计行业的构成及所接业务情况来看，无论是国家审计、社会审计和内部审计，仍以账项基础审计模式和制度导向为主，主要还是开展财务收支审计、经济效益审计和经济责任审计，风险导向审计并非内部审计的主要任务。

2.开展风险导向审计缺乏产生的动因。推动审计由传统导向审计向风险导向审计发展的一个主要动因就是审计风险，特别是诉讼风险的增大。一方面，由于目前我国立法方面存在的漏洞，导致我国审计人员的法律风险偏低，审计人员对审计风险不够重视，缺乏实施风险导向审计的根本动因；另一方面，开展风险导向审计在我国缺乏必要的法律保障、成熟的理论指导和完善的风险评价体系，全面推行有一定难度。

3.审计效率的提高受制约。内部审计人员的管理知识和专业技能与企业开展的风险管理需求不匹配，导致内部审计范围过窄，审计效率低下，且难以实现对企业风险的管理、控制和公司治理过程进行全面综合的评价。

4.开展风险导向审计不能节约审计成本。

（1）由于审计证据收集的范围扩大，对内部审计人员来说花费的时间更产、技术含量更高，增加了审计人员的负担。（2）开展风险导向审计对人力资源的要求更高。作为一种新的审计模式，风险审计要求审计人员具备管理、数理统计等多方面的知识，并有搜集、整理、分析资料的能力。因此风险导向审计需要更多有经验的、高素质的审计人员参与，并对其提供相关知识的培训，这会导致人力成本增加，也会相应地增加审计的总成本。

六、全面推行风险导向审计的建议和对策

现代风险导向审计的优势是在比较理想状态下才能实现的。在我国风险导向审计引入的初期，上述存在的一些问题在某种程度上抑制了其优势的发挥，因此我们现阶段重点应做一下几项工作。具体措施包括：

1.积极开展风险导向审计准则和方法的研究。应大力开展对新准则中风险导向准则的内容进行细致、深入的研究，制订符合准则且操作性强的风险导向审计程序，开发能正确引导审计人员执行和判断的风险评估技术和方法。

2.充分考虑风险导向审计对人员配备和培训计划的影响。在现代风险导向审计程序下，审计人员不仅应具备足够的会计审计知识，还需具备被审计单位行业状况、法律与监管环境、财务业绩的衡量和评价、经营目标和战略及其相关经营风险和内部控制等方面的知识结构。所以对审计人员现有知识体系进行全面的提升和拓展是必要工作。

3.加强风险导向审计的信息系统建设。结合企业自身特点和需要建立风险数据库，做好数据积累工作，为开展风险评估和以风险为导向的内部审计提供数据支持。