風險導向審計在中小會計師事務所的應用思考

黃亞平

風險導向審計在中小會計師事務所的應用思考

黃亞平

一、風險導向審計演變

2007年，風險導向審計開始在中國注冊會計師行業推行。2012年，風險導向審計實務又有了理念上的進化，中國注冊會計師也從傳統風險導向審計直接進入現代風險導向審計，之間的區別在于審計風險模型發生了變化：

傳統風險導向審計：審計風險 =固有風險 × 控制風險 × 檢查風險；

現代風險導向審計：審計風險 =重大錯報風險 × 檢查風險。

傳統風險導向審計中，審計人員一般先確定一個預期審計風險水平值，然后通過對固有風險和控制風險的確認和評估，按照“審計風險 = 固有風險 × 控制風險 × 檢查風險”的模型，確定可接受的檢查風險，根據可接受的檢查風險水平來確定實質性測試的性質、范圍和時間。注冊會計師通常在假設固有風險很高的情況下糾葛于內控制度的測試。

現代風險導向審計假設：企業因面對日益激烈的競爭環境會出現經營業績波動，從而影響其戰略目標的實現。面對嚴格的市場監管和社會各方面壓力，企業管理層很可能會產生利用財務報表舞弊以掩蓋實際經營情況的動機。因此，審計風險與被審計單位的經營風險和企業戰略密切相關。有效的審計應當建立在對企業所處社會和行業的宏觀環境、戰略目標和關鍵經營環節分析的基礎之上，通過企業內外綜合評價經營和舞弊風險來確定實質性測試的性質、范圍和時間。在審計中，注冊會計師的審計重心前置到了導致審計風險產生的源頭和動機之上。

二、中小會計師事務所應用風險導向審計的窘境

現代風險導向審計（以下稱為“風險導向審計”）在防范審計風險時更加有的放矢，對注冊會計師來說是一種應該更富有效率和效果的審計技術，但在審計實踐中，中小會計師事務所由于自身業務類型和項目環境的局限，以及注冊會計師專業勝任能力和專業技術支持的限制，風險導向審計技術并沒有得到很好的運用，大多數中小事務所陷入進退兩難的窘境。

1.想用不會用——由于中小會計師事務所在風險導向審計上沒有資源和能力投入，無法在技術層面形成事務所內部統一執業的審計方法和技術指引以及底稿規范，也無法在培訓上對執業人員進行分級分層的風險導向審計技術的培訓，事務所只能要求執業人員按照審計準則中的舉例底稿來“編制”工作底稿。

2.用了也白用——由于國內的審計規范體系存在“斷層”，即在審計準則及其指南的原則性規定之下，直接就是底稿編制指南，沒有作為中間層次的審計方法體系。審計方法體系這一關鍵環節的缺失導致注冊會計師在“編制”底稿時，缺少風險導向審計的邏輯思維，審計程序缺乏針對性和目的性，沒有滿足審計準則要求的“從重大錯報風險評估出發到進一步審計程序的銜接過程”。

3.不用也得用——盡管中小會計師事務所的風險導向審計往往流于形式（只管有沒有，不管對不對），但是，不管是從事務所內部的質量控制出發，還是從事務所外部的行業監管來看，除了注冊會計師工作底稿要向風險導向審計靠攏之外，注冊會計師專業勝任能力的養成和審計技術的掌握也要求向風險導向審計靠攏。

三、風險導向審計的內在邏輯

風險導向審計在中小會計師事務所并沒有得到很好的應用并發揮，是由于中小事務所往往缺乏系統的審計方法體系，同時注冊會計師對風險導向審計技術和邏輯也沒有充分的理解和把握。審計準則普遍適用于整個注冊會計師行業，是無論大中小型事務所都要遵循的基本要求。而審計方法體系則是會計師事務所結合自身特點將審計準則的原則性、框架性的規定予以細化，形成具有適合事務所自身特點的具體操作細則和方法。看似條條框框的審計準則是通過審計邏輯來統領和組成審計技術和方法體系的，把握風險導向審計的內在邏輯是事務所形成自身風險導向審計方法體系的關鍵，也是注冊會計師掌握風險導向審計技術的切入點。可以從審計風險模型中推導出風險導向審計邏輯：

審計風險 = 重大錯報風險 × 檢查風險

=（舞弊 + 錯誤）× 控制風險 ×檢查風險

=（舞弊風險 + 經營風險）× 財務報表認定 × 控制風險 × 檢查風險

=（管理層舞弊風險 + 員工舞弊風險 + 經營風險）× 財務報表認定× 控制風險 × 檢查風險

=（管理層舞弊風險 + 員工舞弊風險 + 經營風險）× 財務報表認定×（內部控制 + 反舞弊控制）× 檢查風險

=（管理層舞弊風險 + 員工舞弊風險 + 經營風險）× 財務報表認定×（內部控制 + 反舞弊控制）×（總體應對措施 + 進一步審計程序）

從審計風險的解構中可以看到，經營風險和舞弊風險是基于財務報表認定而言的，是經營風險因素和舞弊風險因素對財務報表認定產生錯報影響的程度；對于財務報表編制和財務報表審計的目的來說，它們都是無法控制的固有的風險，在風險導向審計中也將兩者一并表述為固有風險。除了固有風險，注冊會計師對控制風險也是無能為力的，因為這是企業應對固有風險而所實施的內部控制的有效程度。因此，只有在了解、識別固有風險和控制風險之后，通過評估錯報風險水平，才能找到相應的審計策略來降低和控制檢查風險。這就是風險導向審計基本的內在邏輯，具體如圖1所示。

注1：財務報表認定是管理層在財務報表中作出的明確或隱含的表達，是財務報表的錯報風險（固有風險）發生的“病灶點”，也是管理層為財務報表不出現重大錯報而實施內部控制的“穴位”。因此，財務報表認定也成為財務報表審計的“靶點”，注冊會計師可將認定用于：

（1）考慮可能發生的不同類型的潛在錯報；

（2）評估重大錯報風險；

（3）設計進一步審計程序以應對評估的風險。

注2：如果認為存在特別風險，注冊會計師應當了解被審計單位與該風險相關的控制（包括控制活動）（CSA1211.4.4.32，是指審計準則第1211號第4章第4節第32條）。

圖1 風險導向審計內在邏輯

（1）特別風險通常與重大非常規交易、重大判斷性事項、重大關聯交易和舞弊等相關；

（2）在收入確認假設存在舞弊風險的情況下，收入確認也是假定的特別風險。

注3：注冊會計師應當了解與審計相關的控制活動。與審計相關的控制活動，是注冊會計師為評估認定層次重大錯報風險并設計進一步審計程序應對評估的風險而認為有必要了解的控制活動。審計并不要求了解與財務報表中每類重大交易、賬戶余額和披露或與其每項認定相關的所有控制活動（CSA1211.4.3.23）。

注4：控制測試是進一步審計程序中的選擇和組成，并不是控制風險評估的必然延續，控制風險評估為控制測試點（關鍵控制）的選擇和判斷奠定了基礎。當然，控制測試的結果也會修正之前控制風險評估的結論。

注5：控制測試的結果會影響細節測試的范圍。

（1）一般情況下，控制測試的樣本量通常顯著小于交易流程的細節測試的樣本量。所以，執行可以減少實質性測試范圍的控制測試。但是，沒有必須測試內部控制（直接或間接）運行有效性的要求；

（2）對于識別為不能單獨由實質性測試加以證實的認定，應當進行控制測試。例如，在企業銷售收入的完整性認定以及交易高度自動化處理、很少或沒有人工干預的情況之下。

注6：當識別出控制缺陷時，注冊會計師應當考慮是否需要額外的審計程序來應對未減緩的風險，此外：

（1）與被審計單位管理層討論控制缺陷；

（2）評估控制缺陷的嚴重程度；

（3）若是重大缺陷，必須與治理層進行書面溝通。

四、特別風險的風險導向審計

風險導向審計要求注冊會計師將職業判斷和職業懷疑貫穿在整個審計過程中，既然是風險導向審計，就要知道在什么樣的風險導向之下能夠將檢查風險顯著降低，避免在審計中“撿了芝麻丟了西瓜”。審計準則要求，要“特別”應對特別風險，準則規定如下：

1.如果認為存在特別風險，注冊會計師應當了解被審計單位與該風險相關的控制（包括控制活動）（CSA1211.4.4.32）

2.如果確定評估的認定層次重大錯報風險是特別風險，并擬信賴對該風險實施的控制，注冊會計師應當在本期審計中測試這些控制運行的有效性（CSA1231.4.3.15）。

3.如果認為評估的認定層次重大錯報風險是特別風險，注冊會計師應當專門對該風險實施實質性程序。如果針對特別風險實施的程序僅為實質性程序，這些程序應當包括細節測試（CSA1231.4.4.21）。

值得注意的是，如果注冊會計師識別出特別風險，并針對應對特別風險的控制進行測試時，就不能采取滾動測試的方式，必須當期測試。如果管理層對特別風險缺乏相應的應對，那么被審計單位就存在重大控制缺陷，注冊會計師對此考慮是否需要執行額外的審計程序以應對未減緩的風險。對特別風險的特殊應對，是讓注冊會計師擺脫陷入風險評估常規套路的“危險”，直接切入到應對特別風險內部控制的了解并采取有針對性的審計程序，以控制和降低由特別風險帶來的重大錯報風險的檢查風險。

五、對小規模企業開展風險導向審計理念的把握

中小會計師事務所的客戶對象一般多為小規模企業，注冊會計師在審計時往往會存在一種誘惑，即假設內部控制不存在，因此不值得對其進行了解和評估。但是，任何想持續經營的企業都有一定形式的內部控制，例如業主兼經理的勝任能力（控制環境），它可能是非正式的、簡單的，但它仍然是內部控制。而且小規模企業的內部控制往往來自于控制環境而非對交易的具體控制。所以，注冊會計師應自上而下了解內部控制，對控制環境（企業層面控制）的深入了解，為在交易性（業務流程）層次評估相關控制提供了重要的基礎。

如果這些來自控制環境的控制（如高級管理人員直接參與日常交易的監督和審批）有助于應對相關認定的重大錯報風險，在這種情況下，測試這些控制并發現其運行有效，就不需要測試與所涉及認定層次的錯報風險相關的控制活動。當然，對控制環境的評價與控制活動的評價不同，是比較主觀和難以記錄的，所以這種評估通常以備忘錄的方式記錄。

另外，風險在可以被控制減輕之前就已經存在，在評價內部控制時，避免在識別哪些風險確實需要減輕之前，先花很多時間記錄現有的系統和控制。這種做法可能導致在記錄流程和控制上做了很多不必要的工作，而且往往與審計目標完全無關。注冊會計師可以利用審計“靶點”——財務報表認定采用相對簡單的方法來評估交易性控制：

首先，識別風險因素和被影響的認定；

然后，識別哪些是針對被影響的認定的控制（特別是控制活動），而不是將識別出的控制與每一個風險相對應。例如，未記錄銷售的風險影響銷售收入完整性的認定，相關控制的識別可以僅限于針對收入完整性的認定，而不是某一具體風險。

如果對上述識別的部分控制實際上沒有被執行有任何疑慮，就不要評估控制的設計或記錄控制的運行，直到采取一些措施（譬如穿行測試）確定哪些控制確實存在并在運行。

控制的工作底稿不需要很復雜或者很全面，注冊會計師沒有必要記錄整個業務流程，或者描述與審計無關的控制運行情況。

作者單位：上海中金會計師事務所