中华女子学院 赵文淼

控制审计风险、保证审计质量是对审计工作的基本要求。跟踪审计方式已经应用多年，但是探讨跟踪审计风险的成果并不多。审计风险与审计风险模型是一一对应、相互统一的两个概念（杨朔，2009），审计风险模型是对审计风险的数学表达。现代审计风险模型是2003年国际审计与鉴证准则理事会（IAASB）提出的，表达式为：“审计风险=重大错报风险×检查风险”。该模型较以前的审计风险模型有了重大进步，是一种新的审计理念，主要体现在“引入重大错报风险概念，并规定评估重大错报风险是首要的必要审计程序，这为整个审计工作找到了正确的起点及导向，并为发现重大错报提供了有益的线索及方向”（张龙平等，2005）。截至目前尚未发现以现代审计风险模型为基础，对建设项目跟踪审计风险问题进行研究的文献。基于此，笔者拟将现代审计风险模型引入建设项目跟踪审计工作过程中，构建建设项目跟踪审计风险防控机制，以促进跟踪审计工作的完善。

一、建设项目跟踪审计风险模型重构的意义

（一）建设项目跟踪审计风险的含义 探讨模型的适用性需从企事业单位建设项目跟踪审计风险的概念入手。经查阅文献资料，没有找到对建设项目跟踪审计风险含义的明确表述。笔者认为，企事业单位建设项目跟踪审计活动对单位管理层和董事会负责，执行内部审计准则，是一种内部审计活动，建设项目跟踪审计风险应该符合内部审计风险的一般定义。中国内部审计协会2005年发布了《内部审计具体准则第17号——重要性与审计风险》（以下简称《内审准则》），审计风险被定义为“内部审计人员未能发现被审计单位经营活动及内部控制中存在的重大差异或缺陷而做出不恰当审计结论的可能性”。建设项目跟踪审计的工作范围可以包含从项目立项、设计勘探、招投标、合同管理、设备和材料采购、工程管理、工程造价，直至竣工验收财务决算等全过程的部分或全部环节。因此，可以将企事业单位建设项目跟踪审计风险定义为：内部审计人员未能发现建设项目管理过程及内部控制中存在的重大差异或缺陷而做出不恰当审计结论的可能性。

（二）建设项目跟踪审计风险的特征 建设项目跟踪审计风险具有一般审计风险的特征，即“客观性、潜在性、非故意性、过程性”（汪立元等，2011）。但是由于与传统的审计方式相比，跟踪审计是“由单纯的事后审计向事前、事中审计转变”，“对于发现的问题可以随时向有关责任方提出，要求被审计单位边审计，边整改，边规范，”“还可以揭露和反映体制性、制度性问题，通过提出合理化建议，为建设项目带来长远效益”，具有“过程性突出、时效性强、预防性作用突出、效益性明显”的特点（柴严，2009），因此其审计风险也有独特的特征：

一是审计风险的内容更加复杂。建设项目跟踪审计是一项综合审计工作，不仅包括财务审计，而且包括可行性研究、招投标、合同管理等工程管理审计以及建设项目绩效审计等内容。审计过程长，项目多，责任重大，财务审计风险和管理审计风险、绩效审计风险叠加在一起，构成了建设项目跟踪审计风险的内容。

二是审计风险与投入该项目审计资源的关系更加密切。要完成一个建设项目，需要多工种配合，工程建设技术相当复杂。在如此复杂的工程管理和内部控制过程中识别重大差异和缺陷并提出切实可行的建议，对审计资源的投入要求很高。当审计队伍的质量或数量与建设项目不匹配时，审计结论出现差错概率增加，风险加大。

三是审计风险的后果更加严重。跟踪审计是嵌入建设过程的一个个不连贯环节，与工程管理等工作相互交叉。跟踪审计人员履行审计职责，对某一环节是否存在重大缺陷和差异进行识别，提出相应改进建议，并通过工程管理人员或监理人员去实施和改进，审计结果不仅直接对当期工程质量、造价和进度等产生影响，而且还会因工程建设的连续性，从而对后续工程建设产生深远影响。当建设项目出现问题时，审计人员往往成为被指责的对象，审计责任更加容易掩盖管理责任，加大审计风险。

（三）现代审计风险模型不完全适用于企事业单位建设项目跟踪审计 IAASB构建的审计风险模型适用于注册会计师开展财务会计领域的鉴证（或确认）服务。《内审准则》中建立的审计风险模型为“审计风险=重大差异或缺陷风险×检查风险”，与IAASB建立的模型类似。但是建设项目跟踪审计工作既有确认任务又有咨询任务且工作内容复杂、连锁反应严重且深远，完全照搬现代审计风险模型或《内审准则》模型，只考虑重大差异或缺陷风险和检查风险是不全面的。笔者认为，应该以现代审计风险模型为基础，结合企事业单位建设项目跟踪审计风险的特征，重构审计风险模型。

二、建设项目跟踪审计风险模型的重构

（一）建设项目跟踪审计风险的构成要素 正如前文所述，建设项目跟踪审计目标不止于识别重大差异或缺陷，更多地是要综合考虑建设项目已经进行、正在进行及后续工作任务等并提出建议，督促工程管理人员具体实施。审计人员只检查出某重大差异或缺陷而不能发表科学合理的适用于特定环境下特定建设项目的意见，同样属于“做出不恰当审计结论”，增加审计风险。因此，建设项目跟踪审计风险的构成要素还应该包括建议风险。建设项目跟踪审计风险由重大差异或缺陷风险、检查风险和建议风险构成。

（二）建设项目跟踪审计风险模型 重大差异或缺陷风险与审计客体具有直接关系，属于客体风险；检查风险和建议风险则与审计主体有关，属于主体风险。在审计准则中，往往假定当重大差异或缺陷风险不存在而审计人员认为存在重大错报的风险，“通常可以忽略不计”（唐建华，2012）。也就是说，先有客体风险，才有主体风险，客体风险是独立于主体风险之外的客观存在，属于第一层次的风险；而主体风险仅指客体风险存在情况下未发现差异及发现差异但未提出正确建议的可能性，依赖于客体风险，属于第二层次的风险。建设项目审计风险模型推导如下：

（1）三个审计风险构成要素间的关系。设“重大差异或缺陷风险=X，检查风险=Y，建议风险=Z”。X，Y，Z的取值需符合概率内涵，X，Y，Z∈（0，1）。0表示风险不存在，为最小值；1代表最大值。

则“检查风险=Y=f（X）”，其中f（0）=0。表示检查风险可以随着重大差异或缺陷风险的变化而变化，且当重大差异风险不存在时，检查风险亦不存在；

“建议风险=Z=g（X，Y）”，其中g（0，Y）=g（0，f（0））=g（0，0）=0，g（X，1）=0。表示建议风险既与重大差异或缺陷风险有关，也与检查风险有关。且当重大差异或缺陷风险不存在时，检查风险为0，建议风险亦为0；当检查风险为1，即未检查出重大差异或缺陷风险，建议风险不存在。

（2）总体审计风险（R）与各审计风险构成要素间的散点关系。为方便起见并不失一般性，可以用X，Y，Z以及总体审计风险R的极端取值（0或1）的对应情况表示相互关系，见下表：

表1

上表中，第Ⅰ行表示当重大差异或缺陷风险不存在时，检查风险和建议风险均为0，总体审计风险为0；第Ⅱ行表示当重大差异或缺陷风险存在且最大、检查风险已经降低到最小值时，因建议风险为0，表示建议很恰当，故无审计风险；第Ⅲ行表示当重大差异或缺陷风险存在且最大、检查风险已经降低到最小值时，但建议风险为1，表示无建议，审计风险最大；第Ⅳ行表示当重大差异或缺陷风险存在且最大、检查风险最大，即未检查出有任何重大差异或缺陷时，无建议，不存在建议风险，审计风险最高。

（3）构建审计风险模型。从上表中的散点关系可以构建如下的审计风险模型：

审计风险R=X×〔Y+（1-Y）×Z〕

=重大差异或缺陷风险×［检查风险+（1-检查风险）×建议风险］

该模型很好的揭示了审计风险R和三个审计风险构成要素X，Y，Z之间的关系，理由如下：

一是模型中构成要素与审计风险之间的关系符合对三种风险构成要素关系的设定。检查风险通过重大差异或缺陷风险影响审计风险，建议风险通过检查风险的余值（即“1-检查风险”，表示已经识别出的重大差异或缺陷可能性）以及重大差异或缺陷风险对审计风险起作用。

二是模型中的因变量——审计风险R取值保持在0和1之间，符合概率取值一般规律：

∵0≤X≤ 1，0≤Y≤ 1，0≤Z≤ 1

∴0≤X×〔Y+（1-Y）×Z〕≤X×〔Y+（1-Y）×1〕

即0≤R≤X≤1

（4）模型的意义。该模型既保留了现代审计风险模型的“重大进步”，将识别建设项目运作过程中的重大差异或缺陷作为审计工作的起点，又考虑了企事业单位建设项目跟踪审计的特殊性，在审计主体风险部分引入建议风险，对审计风险与其构成要素间关系进行了准确描述，对优化审计程序具有重要意义。

根据上述模型，要想实现一个合理的总体审计风险水平，审计人员不仅要降低检查风险，而且要降低建议风险。

三、基于建设项目跟踪审计风险模型的审计风险防范

（一）基于审计风险模型，优化审计程序，实现纵向风险控制正确的审计程序或方法是降低审计风险的保障。完整的审计程序应从审计计划以及审计方案的制定开始，直至审计报告报出、管理层出具整改报告为止。

（1）依据建设项目审计主体及客体风险评估结果，制定审计计划。审计计划是对审计任务所做出的事先规划，主要包括审什么、谁来审、何时审等内容。关于“审什么”，一般有两种确定方式，一是接受上级指派，二是根据部门职责确定。企事业单位建设项目跟踪审计任务往往是由单位最高管理层指派下来的。在规划这类审计项目时，要以降低审计风险为出发点，充分评估风险以确定投入什么样的审计资源即“谁来审”以及“何时审”。

建设项目重大差异或缺陷风险取决于建设项目的内外环境，包含管理、技术、经济、金融、人文社会、法规制度等诸多方面。围绕建设项目的重大差异或缺陷风险需要重点关注和分析的主要内容包括：建设部门是否制定了建设项目管理制度？该制度是否与目前国家的法律法规相符？有没有相应的详细操作规程？该制度是否曾经得到有力的执行？以前的单位内外部审计机构对建设项目管理的评价如何？建设项目管理层的品德和能力如何？建设项目复杂程度如何？建设项目的关键控制点有哪些等。

检查风险和建议风险取决于审计人员的素质及审计方法的科学性、适用性等。围绕检查风险和建议风险，需要分析审计人员是否具备相应的建设项目管理知识和能力？是否具有相关职业资质？是否具有相关审计经验？等等。

通过上述分析，审计部门负责人在了解建设项目的重大差异或缺陷风险的大致状况基础上，根据上级确定的审计风险总体控制水平，确定可以接受的检查风险和建议风险的大小，进而确定投入审计资源的具体构成。当内部审计人员不能完全胜任时，可以采用外包方式，以保质保量完成审计任务。

（2）以不低估建议风险、尽力压低检查风险为原则，制定具体审计方案。审计方案主要包括确定具体的审计方法、执行人及执行日期等。审计方法有很多，包括询问、观察、函证、分析性复核等，采用一种方法还是多种方法并用？执行人需要一般工作人员，还是具有一定经验或资质的专业人员？项目负责人在制定审计方案时，要权衡成本效益做出选择。其中效益即质量，即较低的审计风险水平。

假设事先设定综合审计风险为R0，重大差异或缺陷风险X0，则检查风险Y和建议风险Z需要满足如下关系：

Y+（1-Y）×Z=R0/X0

从上式可以看出，与不考虑建议风险的基本审计风险模型相比，检查风险需要降低更多，才能实现R0的审计风险水平。需要进一步注意的是，提出建议需要借鉴更多的项目信息和政策信息，由于存在信息风险，建议风险变数较大，不可低估。两种原因叠加的结果，就要求在建设项目跟踪审计过程中，将识别重大差异或缺陷的风险即检查风险大幅度的降低，以应对取值区间较大的建议风险。

为此，项目负责人需要进一步详细了解与建设项目有关的管理、技术、财务等资料，借鉴COSO报告体系，对建设项目的内部控制进行全面分析评价，确定可采用的审计方法以及具体的执行人，以便能识别出重大差异或缺陷风险，并能提出相应的审计建议。

（3）审计实施过程中继续进行风险评估，及时调整审计方案。在建设项目长时间连续建造过程中，跟踪审计人员需要进驻现场工作。尽管如此，数名审计人员不可能也不需要包揽建设过程的每一个细节，只需要抓住重点部位和关键环节、将重大差异或缺陷监控到位即可。“重要部位和关键环节包括容易出现问题的环节、有可能隐藏隐蔽工程和设计出现重大变更的环节、竣工决算难以评价和定性的环节以及投资额较大、影响工程造价和质量的环节”（柴严，2009）。针对每一个重点部位和关键环节的审计，审计人员都应以重大差异或缺陷风险评估为基础，判断原审计方案中确定的审计方法和执行人等是否存在调整的必要。确需调整，则履行审计部门内部审批手续，做出相应更改并实施。即使不需要较大的调整，审计人员亦需要牢固树立风险意识，不放过任何重大差异或缺陷，并对拟提出的审计建议进行风险评估，分清审计职责和管理职责，避免审计越位，徒增审计风险。

（二）基于审计风险模型，建立多层次审计质量监控体系，实现横向风险控制 审计风险问题，实质上也是审计质量问题（周家才，2002）。审计质量监控与审计风险降低是一个事物的两个方面。审计质量监控方式有三种：项目督导、内部评估和外部监督。三种方式相辅相成，形成多层次的审计质量监控体系，是降低审计风险的重要保证。

（1）全程审计督导。督导工作一般由审计项目负责人担当，企事业单位建设项目跟踪审计主要督导任务包括：一是审计准备阶段，对参与审计人员进行必要的培训，确保审计人员明确具体审计项目的审计目标和审计责任，并具有完成相关审计项目所必需的知识和技能，确保审计人员了解建设项目基本情况和需特别关注的重大问题，制定具体可行审计方案。二是审计实施阶段，监督审计人员按批准后的审计方案实施必要审计程序、针对新发现的重要问题修订审计方案；对审计人员所编工作底稿的质量予以复核。对审计证据的充分性、相关性及可靠性进行确认，对审计报告的可靠性、审计建议的可行性进行确认。三是审计终结阶段，确认实际审计风险水平与预期审计风险水平的差异，确定是否存在尚未解决的重要问题，是否需要追加审计程序。通过针对各重点部位、关键环节跟踪审计的督导，使得审计人员保持应有的职业审慎，尽可能减少其专业判断风险，最大限度保证实现预期审计风险水平。

（2）审计项目结束后开展风险评估。建设项目跟踪审计由一个个具体审计项目构成。每完成一个审计项目，审计部门内部需要对审计项目的工作底稿、审计报告等档案材料进行再次检查，正确评估和确认该环节的实际审计风险，判断其与预期风险的差异。如果实际风险大于预期风险，则需要分析原因，制定补救措施，及时向管理层汇报。如果实际风险小于预期风险，则需要评估审计成本，从成本效益角度调整后续审计方案。

（3）接受外部审计监督和质量评价。外部监督者可以是审计委员会或主管审计工作的单位领导、国家审计机关等。审计委员会或单位领导是审计工作的指导者，审计计划及方案需报经其批准后方可实施，重要的审计建议和审计结论亦需经其核准方可下发，审计工作要在其领导和控制之下。国家审计机关对政府投资的建设项目负有审计责任，对企事业单位的内部审计工作负有指导的义务。企事业单位在接受国家审计过程中，内部审计工作的程序方法、风险和质量也相应接受国家审计的评价和检查。审计委员会或单位领导是在审计过程中对审计工作质量的监督，国家审计机关是在审计工作完成后对其工作的评价。外部监督力量的存在，可以促使审计部门更好的改进工作程序和方法，提高审计质量。

（三）基于审计风险模型，不断提升审计人员的综合素质 如果对审计主体风险进行更深层的追根溯源，那么一方面取决于审计部门制定的审计规程是否完善，另一方面受审计人员的综合素质高低的影响。而审计规程是审计部门制度建设的结果，也与审计人员的整体素质有关。降低审计风险，需要整体提高审计人员素质。

（1）提升跟踪审计人员的审计业务素质。审计是一个独立的、仍在不断发展着的学科，有其独特的工作程序和方法等。抛开这些程序和方法开展工作，往往无法达到审计目标。建设项目跟踪审计人员恰恰欠缺这方面的知识，多数跟踪审计人员只是具有工程造价或工程管理方面知识和技能的工程师，他们往往不理解审计程序和方法的精髓，“对审计风险认识很不到位”（常允起，2006），简单地把审计工作当成一项工程管理监督工作，检查风险和建议风险都较高，在一定程度上助推了整体审计风险，所以，应该为这些工程师培训审计法律法规、程序方法等相关的审计知识和技能，并“建立风险责任制度”，强化其“审计风险和自我保护意识”（常允起，2006）。

（2）提升跟踪审计人员的职业道德水平。国际内部审计师协会（IIA）在其2009年颁布的《国际内部审计专业实务框架》中，将职业道德列为强制推行部分，说明职业道德与审计程序、方法同等重要。跟踪审计的风险控制从根本上讲也是对廉政风险的控制（柴严，2009）。为此，要求建设项目跟踪审计人员在监督评价他人之前，理应首先为自己制定更高的勤政廉政要求，至少做到IIA提出的“诚信、客观、保密、胜任”四项基本职业道德。“诚信”就是要求审计人员诚信以获得别人信任；“客观”就是审计人员在做出判断时，不受其个人喜好或他人的不适当的影响，以对所有相关环节做出公正评价；“保密”就是审计人员尊重所获得信息的价值和所有权；“胜任”就是审计人员在执行审计业务时具备所需的知识、技能和经验。达到这四项要求是对审计质量的基本保证。

［1］柴严：《中国审计学会跟踪审计理论与实务研讨会综述》，《审计研究》2009年第6期。

［2］唐建华：《风险导向审计》，中国财政经济出版社2012年版。