黄亚平

风险导向审计在中小会计师事务所的应用思考

黄亚平

一、风险导向审计演变

2007年，风险导向审计开始在中国注册会计师行业推行。2012年，风险导向审计实务又有了理念上的进化，中国注册会计师也从传统风险导向审计直接进入现代风险导向审计，之间的区别在于审计风险模型发生了变化：

传统风险导向审计：审计风险 =固有风险 × 控制风险 × 检查风险；

现代风险导向审计：审计风险 =重大错报风险 × 检查风险。

传统风险导向审计中，审计人员一般先确定一个预期审计风险水平值，然后通过对固有风险和控制风险的确认和评估，按照“审计风险 = 固有风险 × 控制风险 × 检查风险”的模型，确定可接受的检查风险，根据可接受的检查风险水平来确定实质性测试的性质、范围和时间。注册会计师通常在假设固有风险很高的情况下纠葛于内控制度的测试。

现代风险导向审计假设：企业因面对日益激烈的竞争环境会出现经营业绩波动，从而影响其战略目标的实现。面对严格的市场监管和社会各方面压力，企业管理层很可能会产生利用财务报表舞弊以掩盖实际经营情况的动机。因此，审计风险与被审计单位的经营风险和企业战略密切相关。有效的审计应当建立在对企业所处社会和行业的宏观环境、战略目标和关键经营环节分析的基础之上，通过企业内外综合评价经营和舞弊风险来确定实质性测试的性质、范围和时间。在审计中，注册会计师的审计重心前置到了导致审计风险产生的源头和动机之上。

二、中小会计师事务所应用风险导向审计的窘境

现代风险导向审计（以下称为“风险导向审计”）在防范审计风险时更加有的放矢，对注册会计师来说是一种应该更富有效率和效果的审计技术，但在审计实践中，中小会计师事务所由于自身业务类型和项目环境的局限，以及注册会计师专业胜任能力和专业技术支持的限制，风险导向审计技术并没有得到很好的运用，大多数中小事务所陷入进退两难的窘境。

1.想用不会用——由于中小会计师事务所在风险导向审计上没有资源和能力投入，无法在技术层面形成事务所内部统一执业的审计方法和技术指引以及底稿规范，也无法在培训上对执业人员进行分级分层的风险导向审计技术的培训，事务所只能要求执业人员按照审计准则中的举例底稿来“编制”工作底稿。

2.用了也白用——由于国内的审计规范体系存在“断层”，即在审计准则及其指南的原则性规定之下，直接就是底稿编制指南，没有作为中间层次的审计方法体系。审计方法体系这一关键环节的缺失导致注册会计师在“编制”底稿时，缺少风险导向审计的逻辑思维，审计程序缺乏针对性和目的性，没有满足审计准则要求的“从重大错报风险评估出发到进一步审计程序的衔接过程”。

3.不用也得用——尽管中小会计师事务所的风险导向审计往往流于形式（只管有没有，不管对不对），但是，不管是从事务所内部的质量控制出发，还是从事务所外部的行业监管来看，除了注册会计师工作底稿要向风险导向审计靠拢之外，注册会计师专业胜任能力的养成和审计技术的掌握也要求向风险导向审计靠拢。

三、风险导向审计的内在逻辑

风险导向审计在中小会计师事务所并没有得到很好的应用并发挥，是由于中小事务所往往缺乏系统的审计方法体系，同时注册会计师对风险导向审计技术和逻辑也没有充分的理解和把握。审计准则普遍适用于整个注册会计师行业，是无论大中小型事务所都要遵循的基本要求。而审计方法体系则是会计师事务所结合自身特点将审计准则的原则性、框架性的规定予以细化，形成具有适合事务所自身特点的具体操作细则和方法。看似条条框框的审计准则是通过审计逻辑来统领和组成审计技术和方法体系的，把握风险导向审计的内在逻辑是事务所形成自身风险导向审计方法体系的关键，也是注册会计师掌握风险导向审计技术的切入点。可以从审计风险模型中推导出风险导向审计逻辑：

审计风险 = 重大错报风险 × 检查风险

=（舞弊 + 错误）× 控制风险 ×检查风险

=（舞弊风险 + 经营风险）× 财务报表认定 × 控制风险 × 检查风险

=（管理层舞弊风险 + 员工舞弊风险 + 经营风险）× 财务报表认定× 控制风险 × 检查风险

=（管理层舞弊风险 + 员工舞弊风险 + 经营风险）× 财务报表认定×（内部控制 + 反舞弊控制）× 检查风险

=（管理层舞弊风险 + 员工舞弊风险 + 经营风险）× 财务报表认定×（内部控制 + 反舞弊控制）×（总体应对措施 + 进一步审计程序）

从审计风险的解构中可以看到，经营风险和舞弊风险是基于财务报表认定而言的，是经营风险因素和舞弊风险因素对财务报表认定产生错报影响的程度；对于财务报表编制和财务报表审计的目的来说，它们都是无法控制的固有的风险，在风险导向审计中也将两者一并表述为固有风险。除了固有风险，注册会计师对控制风险也是无能为力的，因为这是企业应对固有风险而所实施的内部控制的有效程度。因此，只有在了解、识别固有风险和控制风险之后，通过评估错报风险水平，才能找到相应的审计策略来降低和控制检查风险。这就是风险导向审计基本的内在逻辑，具体如图1所示。

注1：财务报表认定是管理层在财务报表中作出的明确或隐含的表达，是财务报表的错报风险（固有风险）发生的“病灶点”，也是管理层为财务报表不出现重大错报而实施内部控制的“穴位”。因此，财务报表认定也成为财务报表审计的“靶点”，注册会计师可将认定用于：

（1）考虑可能发生的不同类型的潜在错报；

（2）评估重大错报风险；

（3）设计进一步审计程序以应对评估的风险。

注2：如果认为存在特别风险，注册会计师应当了解被审计单位与该风险相关的控制（包括控制活动）（CSA1211.4.4.32，是指审计准则第1211号第4章第4节第32条）。

图1 风险导向审计内在逻辑

（1）特别风险通常与重大非常规交易、重大判断性事项、重大关联交易和舞弊等相关；

（2）在收入确认假设存在舞弊风险的情况下，收入确认也是假定的特别风险。

注3：注册会计师应当了解与审计相关的控制活动。与审计相关的控制活动，是注册会计师为评估认定层次重大错报风险并设计进一步审计程序应对评估的风险而认为有必要了解的控制活动。审计并不要求了解与财务报表中每类重大交易、账户余额和披露或与其每项认定相关的所有控制活动（CSA1211.4.3.23）。

注4：控制测试是进一步审计程序中的选择和组成，并不是控制风险评估的必然延续，控制风险评估为控制测试点（关键控制）的选择和判断奠定了基础。当然，控制测试的结果也会修正之前控制风险评估的结论。

注5：控制测试的结果会影响细节测试的范围。

（1）一般情况下，控制测试的样本量通常显著小于交易流程的细节测试的样本量。所以，执行可以减少实质性测试范围的控制测试。但是，没有必须测试内部控制（直接或间接）运行有效性的要求；

（2）对于识别为不能单独由实质性测试加以证实的认定，应当进行控制测试。例如，在企业销售收入的完整性认定以及交易高度自动化处理、很少或没有人工干预的情况之下。

注6：当识别出控制缺陷时，注册会计师应当考虑是否需要额外的审计程序来应对未减缓的风险，此外：

（1）与被审计单位管理层讨论控制缺陷；

（2）评估控制缺陷的严重程度；

（3）若是重大缺陷，必须与治理层进行书面沟通。

四、特别风险的风险导向审计

风险导向审计要求注册会计师将职业判断和职业怀疑贯穿在整个审计过程中，既然是风险导向审计，就要知道在什么样的风险导向之下能够将检查风险显著降低，避免在审计中“捡了芝麻丢了西瓜”。审计准则要求，要“特别”应对特别风险，准则规定如下：

1.如果认为存在特别风险，注册会计师应当了解被审计单位与该风险相关的控制（包括控制活动）（CSA1211.4.4.32）

2.如果确定评估的认定层次重大错报风险是特别风险，并拟信赖对该风险实施的控制，注册会计师应当在本期审计中测试这些控制运行的有效性（CSA1231.4.3.15）。

3.如果认为评估的认定层次重大错报风险是特别风险，注册会计师应当专门对该风险实施实质性程序。如果针对特别风险实施的程序仅为实质性程序，这些程序应当包括细节测试（CSA1231.4.4.21）。

值得注意的是，如果注册会计师识别出特别风险，并针对应对特别风险的控制进行测试时，就不能采取滚动测试的方式，必须当期测试。如果管理层对特别风险缺乏相应的应对，那么被审计单位就存在重大控制缺陷，注册会计师对此考虑是否需要执行额外的审计程序以应对未减缓的风险。对特别风险的特殊应对，是让注册会计师摆脱陷入风险评估常规套路的“危险”，直接切入到应对特别风险内部控制的了解并采取有针对性的审计程序，以控制和降低由特别风险带来的重大错报风险的检查风险。

五、对小规模企业开展风险导向审计理念的把握

中小会计师事务所的客户对象一般多为小规模企业，注册会计师在审计时往往会存在一种诱惑，即假设内部控制不存在，因此不值得对其进行了解和评估。但是，任何想持续经营的企业都有一定形式的内部控制，例如业主兼经理的胜任能力（控制环境），它可能是非正式的、简单的，但它仍然是内部控制。而且小规模企业的内部控制往往来自于控制环境而非对交易的具体控制。所以，注册会计师应自上而下了解内部控制，对控制环境（企业层面控制）的深入了解，为在交易性（业务流程）层次评估相关控制提供了重要的基础。

如果这些来自控制环境的控制（如高级管理人员直接参与日常交易的监督和审批）有助于应对相关认定的重大错报风险，在这种情况下，测试这些控制并发现其运行有效，就不需要测试与所涉及认定层次的错报风险相关的控制活动。当然，对控制环境的评价与控制活动的评价不同，是比较主观和难以记录的，所以这种评估通常以备忘录的方式记录。

另外，风险在可以被控制减轻之前就已经存在，在评价内部控制时，避免在识别哪些风险确实需要减轻之前，先花很多时间记录现有的系统和控制。这种做法可能导致在记录流程和控制上做了很多不必要的工作，而且往往与审计目标完全无关。注册会计师可以利用审计“靶点”——财务报表认定采用相对简单的方法来评估交易性控制：

首先，识别风险因素和被影响的认定；

然后，识别哪些是针对被影响的认定的控制（特别是控制活动），而不是将识别出的控制与每一个风险相对应。例如，未记录销售的风险影响销售收入完整性的认定，相关控制的识别可以仅限于针对收入完整性的认定，而不是某一具体风险。

如果对上述识别的部分控制实际上没有被执行有任何疑虑，就不要评估控制的设计或记录控制的运行，直到采取一些措施（譬如穿行测试）确定哪些控制确实存在并在运行。

控制的工作底稿不需要很复杂或者很全面，注册会计师没有必要记录整个业务流程，或者描述与审计无关的控制运行情况。

作者单位：上海中金会计师事务所