风险导向的审计风险评估

1、风险导向的审计风险评估审计风险评估体系的建立风险导向审计模式下审计的程序包括以下步骤：风险评估程序、控制 测试、实质性程序，其中风险评估是基础和前提，通过风险评估来确 定实施进一步审计程序的性质、时间和范围。（一）审计风险评估指标体系设计思路。审计风险是指，会计报表存有重大错报或漏报，而审计人员审计后发 表不恰当意见的可能性。根据新的审计准则，总体审计风险包括重大 错报风险和检查风险。重大错报风险是指财务报表在审计前存有的重 大错报的可能性，重大错报风险的大小主要取决于生产经营风险的大 小，而企业内部控制设置和执行的缺陷及具体认定本身固有缺陷也会 造成错报风险。检查风险是指某一账户或交易类别单

2、独或连同其他账 户、交易类别产生重大错报或漏报而未能被实质性测试发现的可能性。 审计的最根本着眼点就是分析企业所面临的经营风险，审计风险评估 指标体系的设计也从企业经营风险和控制风险上来进行设计。会计报 表风险实际上是企业战略风险和相关经营风险的副产品，其审计风 险二企业经营风险+控制风险+检查风险。（二）审计风险评估指标体系的构成审计风险评估指标体系可以依据注册会计师审计准则第1211号一了 解被审计单位及其环境，并评估重大错报风险来确定。外部环境。外部环境对企业的经营和发展产生重要影响，从而可能 导致重大错报风险的产生。可能影响财务报表的外部环境包括企业所 处行业状况、法律环境、监管环境、

3、宏观经济环境。被审计单位的性质。如果被审计单位的所有权结构、治理结构、组 织结构不恰当或存有缺陷，就有可能造成财务报表出现重大错报。经营活动。被审计单位的经营活动会产生经营风险，而多数经营风 险最终都会产生财务后果从而影响财务报表。经营风险主要来源于对 被审计单位实现目标、战略产生不利影响的重大情况、事项、环境和 行动，或源于不恰当的目标和战略，以及为实现目标和战略制定的关 键经营流程。财务业绩的衡量和评价。被审计单位内部或外部对财务业绩的衡量 和评价可能对管理层产生压力，促使其采取行动改善财务业绩或歪曲 财务报表。财务业绩的衡量和评价因素包括关键业绩指标、业绩趋势、 业绩考核与激励性报酬政策

4、。内部控制。内部控制能有效防止、发现和纠正被审计单位差错和舞 弊，如果内部控制不利，被审计单位财务报表中出现重大错报的可能 性就会大大增加。内部控制包括控制环境、被审单位的风险评估过程、 信息系统与沟通控制活动、对控制的监督。审计风险的评估审计风险的评估方法采用定量分析法与定性法分析相结合的方法，在 下面的审计风险评估中，我们采用了因素分析法、审计风险模型法、 分析性复核等方法。（一）企业经营风险的评估企业经营风险评估的目的主要是为了确定企业的总体层次和认定层次 的发生重大错报的可能性，传统的风险评估注重于对账户余额和交易 层次风险的评估，在现代风险导向审计下，是从经营风险的评估入手， 评估企

5、业可能产生的重大错报和漏报。目前审计人员的一般做法是： 在各种情况都比较好的情况下，企业经营的水平应该高于50%；反之， 如果有某种迹象表明有可能存有重大错误，就应该将企业经营风险定 为非常高的水平，甚至100%。评估企业经营风险的3个具体步骤如下: 需要考虑企业经营风险的构成要素及其企业经营风险评估指标;各要素 所占的权重以及各要素本身风险值的大小;最后将各要素风险值与其权 重加权平均计算出企业经营风险值。即企业经营风险二Exiyi/EPyi， 其中，x表示各指标（要素）本身风险值的大小，y表示各指标（要素） 所占的权重，而P表示各指标（要素）本身风险的最大值（为一常 数）。下面举例说明企业

6、经营风险评估的具体实施。步骤一、经过对企业经营风险要素的识别，从指标体系中，选择一部 分指标来进行计算。它们是企业长期偿债能力指标，盈利能力状况指 标，资产营运效率、安全边际指标，顾客满意度，市场占有率，主营 业务市场份额等。步骤二、确定每个指标的取值入=企业长期偿债能力，B二盈利能力状况， C二资产营运效率，D二安全边际，E二顾客满意度，F二市场占有率，G二主 营业务市场份额，已研究开发新产品周期，I二合格产品比率，以上指 标取值均为15分。其中1分表示企业盈利能力非常强、资产营运效率非常高、安全边际 水准非常高、顾客满意度非常高、市场占有率非常高、主营业务市场 份额非常大，研究开发新产品周

7、期非常短、合格产品比率非常高。5分 表示企业盈利能力非常弱、资产营运效率非常低、安全边际水准非常 低、顾客满意度非常低、市场占有率非常低、主营业务市场份额非常 小，研究开发新产品周期非常长、合格产品比率非常低。运用专家意 见法，通过反复多次征求专家意见，形成基本一致的意见。根据专家 的意见，假设每个指标取值如下：A=3B=3C=3D=3E=2F=5G=4H=2I=2步骤三、运用矩阵技术，得出9个参数的相关重要性（即各自的权重， 见表1。需说明的是，本举证仅利用了一个简单的多元比较，而未采用 高等数学中矩阵来求解。矩阵中每一数字表示该数字所载列的参数相 对于该数字所在行的参数的相对重要性（主要取

8、决于审计人员的职业 判断）。相关加数值（即各自的权重）是由其上一行的平方根除以4 得出。因此，可以计算出个指标的权重如下：步骤四、计算企业经营 风险根据公式：企业经营风险二Exiyi/EPyi可知，企业经营风险二（1*3+2*3+3*5+3*1+2*1+5*3+4*2+7*2+7*2）（/1*5+2*5+5*5+1*5+1*5+3*5+2*5+7*5+7*5） =80/145=55%（二）企业控制风险的评估控制风险是被审计单位内部控制要素效果的函数。审计人员无法改变 控制风险水平，仅能评价控制系统和评估未能揭示出错报的概率。如 果存有以下几种情况：（1）控制政策与程序与认定不相关；（2）控 制

9、政策和程序无效；（3）取得证据来评价内部控制显得不经济。那么 审计人员可以将控制风险定为100%，直接进行实质性测试。如果审计 人员将控制风险定为100%以下的某一水平，则要执行下面的步骤来评 估控制风险的水平。根据识别初步评价控制风险审计人员在评估控制风险时，先了解相关的内部控制流程，识别相关 的控制风险，对控制风险水平作一个初步的评估。了解内部控制时， 主要从以下方面考虑：（1）每一结构要素中制度和程序如何设计；（2）这些制度和程序是否得到执行。考虑这两个因素的基础上结合控 制风险识别的结果对控制风险做出初步评估。通过控制测试降低估计的控制风险水平审计人员决定通过有效方法进一步降低控制风险

10、的估计水平时，可以 设计追加的测试程序来进行，包括3种方法：重新执行、进一步观察 和文件测试。审计人员进行测试时，应该对3个层次的内部控制进行 测试，即对最高层、中层和最低层内部控制进行测试。因为内部控制 的运行效果可以通过实施控制测试来更好地了解，所以大多数审计人 员在没有实施控制测试时都不愿意将控制风险评估为低于最高水平。控制风险的计量内部控制是一个系统，按层次可分为3个控制层次，即最高层、中层 和基层控制。每一个层次都是一个子系统，3个层次中的每个层次的可 靠性程序决定着整个内部控制的可靠性。控制风险为：C=1- P;P二P1*P2*P3其中，C表示控制风险，P表示内部控制的可信性，P1

11、、 P2、P3分别表示最高层控制的可信度、中层控制的可信度和基层控制 的可信度。首先，对最高层控制所设计的控制风险指标包括权力决策 人员知识结构、能力结构达标率。这些指标越高，则内部控制设计相 对较为健全，控制风险较小。在中层控制流程上，所运用的指标主要 为评价管理部门设立的全面性、互为牵制作用性指标，当这一指标越 高时，即管理部门的设计越全面，各职能部门之间能起到很好的牵制 作用，则控制风险就可能会小些。在基层控制流程上，评估控制风险 的指标主要有一定会计期间内的岗位轮换率，业务操作的换人复核率， 稽核程序执行率，稽核统计差错率，稽核重大事项的及时报告率等。 当这些指标比率较高时，控制风险相对较小。上述控制风险评估的计 量结果与控制测试的测试结果相结合，就可具体地评估出控制风险。（三）检查风险的评估检查风险是审计程序的有效性和审计人员运用审计程序有效性的函数。 检查风险是必然存有的风险，其水平的高低与被审计单位无关，而与 审计程序的有效性相关。审计人员能够控制检查风险，但受审计资源、 审计时间等要素制约，以及审计人员出于成本效益的考虑，检查风险 不能根除。与企业经营风险和控制风险不同，检查风险是根据审计风 险模型的公式计算出来的，即：检查风险二审计风险/企业经营风险*控 制风险检查风险的实际水平随着审计人员实施实质性测试的性质、时 间和范围的