审计风险评估集锦9篇

时间：2022-12-23 14:15:29

审计风险评估

审计风险评估范文1

近三年，京津冀特派办审计的环境保护项目主要包括：天然林保护工程、重点地区生态环境综合治理工程和退耕还林还草试点工程。在每次执行审计任务前，审计人员都对审计风险作了充分的考虑和评估，在审计任务完成后，又对如何认识和防范环境审计风险进行了认真的思考和总结。现将审计人员的所得形成文字，与大家共同探讨。

本文讨论的环境审计指对环境保护专项资金的审计和审计调查，审计主体是国家审计机关及其审计人员，审计客体是与环境保护资金相关的单位和个人，审计对象是与环境保护资金拨付、管理、使用和效益相关的经济活动。

一、环境审计风险的分类

本文对环境审计风险的分类以风险基础审计理论为依据，将审计风险分为固有风险、控制风险和检查风险。

二、环境审计风险水平的实证研究

1、环境审计具有较高的固有风险。

（1）现行投资体制下，环境保护项目名目繁多且内容雷同，增加了项目单位挪用、串用，甚至虚报项目冒领资金的风险。从实际情况看，搞了多年的首都周围绿化工程主要涉及植树造林；生态环境综合治理工程则以治理水土流失、治理沙漠化和治理三化草地为主，治理措施包括栽植生态林和经济林、封山育林等林业项目；防沙治沙工程也包括植树种草，退耕还林和水利配套工程；除此之外，还有专项退耕还林还草工程。如此一来，项目内容你中有我，我中有你，容易给同时承担几个项目的单位造成挪用、串用资金的时机，而且在应付某一专项审计时，项目单位指鹿为马，容易蒙混过关，虚报完成工程量问题大量存在。更为严重的是，此种情况容易造成项目单位虚假重复立项，骗取资金。

如在审计某县2000年度退耕还林还草试点工程资金时，发现该县违反基本建设程序规定，在一无计划二无资金的情况下，提前组织实施2000年度京津风沙源区治理工程中的退耕还林任务，不仅挪用2000年度退耕还林还草试点工程种苗费补助资金63.12万元，还造成国家对退耕农户的补助政策无法兑现，致使个别村组发生退耕农户毁苗复耕的严重后果。

（2）现行财政体制下，中央政府和地方政府财权与事权不对称，地方配套资金难以到位，加大实现项目社会效益的风险。以重点地区生态环境综合治理工程为例，中央财政要求项目省、市、县在预算中安排专项配套资金。但生态治理工程属于社会公益性事业，国家要求地方给予配套，造成了资金投入由实施工程地区承担，但受益范围却大大超出当地辖区。由于地方政府往往比中央政府更直接地承受着本地区经济发展、解决就业和谋求居民福利最大化的巨大压力，从而迫使地方政府必须更多关注本辖区经济的发展和短期经济目标的实现，对与实现长期经济发展目标有关的公共支出项目，缺乏投资的积极性，项目效益难以达到设计要求。造成有些地区虽然有财力但不愿配套，有关部门检查时临时拆借安排一下，检查结束后资金原路返还；有些地区没有能力配套，却置当地政府的信用于度外，搞虚假配套争取项目，追求政绩。审计发现，有的县以虚开工程支出发票形式“落实”配套资金，有的县用其他环境治理项目为生态治理工程配套，有的县则用以前年度工程结余资金搞配套，结余资金循环使用，手法各异。

（3）现行资金拨付体制下，环节繁杂，加大资金管理风险。我国财政转移支付制度和国库集中统一支付制度正在构建当中，财政资金直接拨付工程项目单位还有待时日，现多采用层层拨付的方式，由上级财政拨付下一级财政，或由上级主管部门拨付下一级主管部门，拨付环节的增多引发资金管理风险。如重点地区生态环境综合治理工程，专项资金从源头到项目实施单位，要经过中央、省、市、县、乡（镇）、村六个层次，退耕还林还草工程中林业部门划拨的资金也要经过国家林业局、省、市、县各级林业主管部门等四个层次。审计经常发现上一个资金拨付层次挪用或滞留专项资金，影响工程进度等问题。

（4）现行项目管理体制下，计委管理缺位与越位并存，难以保障资金安全高效运转。由于环境保护项目涉及许多专业领域，造成项目管理部门过多，形成管理责任难以落实的风险和资金管理缺位的风险。以重点地区生态环境综合治理工程为例，按《国家生态环境建设项目管理办法》规定，各地由计委牵头的生态环境建设办公室（以下简称生态办）对项目执行情况及资金使用情况进行检查、监督，而农业、林业、水利等部门又作为项目的专业主管部门。在审计调查的6个县中，发现有5个县都将生态办作为当地计委的一个临时部门，由于生态办在组织上不独立，在行政级别上低于其他专业主管部门，而且缺乏技术监督能力，不具备全方位管理项目的权威和力度。还发现，有些县按业务主管部门切块使用专项资金，具体工程由业务部门承担，生态办的工程管理职能形同虚设。同时，计委监督资金既不符合公共财政资金的管理要求，也不具备管理的能力，造成资金管理职能缺位，各主管部门挪用、借支项目资金弥补经费开支的现象屡有发生。在审计调查的5个县中，有4个县存在这种情况。

（5）地方利益驱动。主要表现为：地方政府（主要是县级政府）利用中央预算内资金搞利益平衡，在安排资金时“撒胡椒面”；地方政府挪用中央预算内专项资金搞自己所谓的“民心工程”、“政绩工程”；地方政府、部门利用专项资金搞地方、部门资金调剂。造成这种情况的原因，客观上与地方财政状况紧密相关，主观上也与地方政府的短期行为分不开。如某部级贫困县将专项资金平均分配到各个乡镇使用，难以做到“集中连片、综合治理、择优选区”，生态治理整体效益大打折扣。审计还发现一些部门挪用专项资金搞基建、个别地区借用专项资金发放公务员和教师工资等等问题。（6）法制观念淡薄。与农业农村工作现状紧密相连，项目实施县各级领导法律知识、财务知识不足，或是存在侥幸心理，增加了专项资金使用中的风险。审计发现，一些基层部门领导认为只要工程通过各级验收检查，国家的钱没有乱花，用在工程上就是无过。因此，一些地方混用、串用不同环境保护项目资金的状况时有发生。还有一些地方或部门，挪用专项资金后，为应付检查，篡改会计资料，以掩盖其违法违纪行为。

2、环境审计具有较高的控制风险

经过对环境保护项目单位内部控制活动进行调查和初步测评，审计认为：

（1）经济活动缺乏有效内部管理。县、乡（镇）、村大多没有建立充分的内部控制制度，或是有制度不依，形同虚设。如有的单位经济合同缺乏必备要素、购货不签订购销合同、赊账购货不做账务处理、收发存物资没有记载、施工小班无工时记录等。

（2）现金收支管理失控。县、乡（镇）、村三级专项资金管理粗放，普遍存在从银行大量提现，频繁的现金交易，专项资金存入个人账户等问题，成为最大的控制风险。

（3）资金运行缺少有力外部监督。以生态环境综合治理工程为例，一是现有的监督体系未能发挥充分的作用。来自林业、农业、水利的工程监理人员，履行的监督义务主要是针对工程质量和完成情况。二是对工程资金监督作用非常有限，尤其对工程资金的支付实施控制时，监理人员根本无法与地方政府和各主管部门抗衡。三是缺乏强有力的外部审计监督。在调查的6个县中仅有一个县引入了国家审计监督，从实际效果来看，资金使用风险比较小，而其他县专项资金运行安全性较差。

3、检查风险：鉴于固有风险和控制风险较高，按照风险基础审计要求，要保证审计质量，必须实施详尽深入的测试。但在审计实践中发现，有些检查风险难以控制，处于比较高水平。

（1）审计人员专业知识缺陷。审计人员的专业结构多限于经济类、管理类、法律类和计算机类，很少涉及环境保护类专业，加大审计取证风险。当前受多种因素制约，审计机关聘请专门技术人员还很难做到。

（2）受审计成本效益影响，项目总体评价困难。环境保护专项资金使用起来，点多、面广，而审计资源是有限的，这就造成审计人员在有限审计资源约束下无法对专项资金实施全面审计。同时，由于点多、面广，各项目实施地区之间在资金分配、管理方式等方面存在很大差异，不具备相同或相似的总体特征，因此审计人员无法实施统计抽样，而只能进行判断抽样。采用判断抽样，就难以根据样本的特征科学地推断总体特征，所以对项目的评价也主要限于抽样单位，“审什么、评什么”，对项目总体的评价风险比较大。

（3）项目投资效益难以评价。环境保护项目是一项见效时间长的项目，生态效益的出现，往往要等十几年甚至几十年，在进行效益审计时，根据工程当年的效益情况，评价以后的效益往往是不可能的。另外，影响环境保护项目的不定因素很多，如林草的成活率，受气候条件影响很大，夏季审计时的林草成活率，到了秋天可能又是另外一种状况。

三、降低环境审计风险的艰巨性

从上面的论证可以判定，环境审计处于高风险领域，规避风险十分困难，由此产生的后果应引起审计机关和审计人员的高度重视。

1、实施判断抽样，必然面临过度信赖风险和过度拒绝风险的两难选择。

在实施了必要的审计程序之后，如果产生过度信赖风险，被审计单位的舞弊行为未被发现，将直接影响审计质量。另外，如果舞弊行为被后来的审计或检查发现，原审计单位将面临多方面的压力，甚至被追究责任。

如果产生过度拒绝风险，审计机关投入大量的人力物力扩大审计测试范围，在成本效益原则驱使下，容易违背客观公正、实事求是审计本质要求，盲目认定或扩大项目实施单位舞弊行为，有可能导致暂停拨付被审计单位的专项资金，或者剥夺被审计单位甚至地方政府承办环境保护项目的资格，其影响可能超出波及到一个地区。更为严重的,政府审计提供的审计信息，最主要作用就是为政策当局提供决策依据，此时审计风险就有可能引起政策当局的决策风险。

审计风险评估范文2

关键词：网络审计　历史财务报表审计　信息安全管理　风险评估

一、引言

从审计的角度，风险评估是现代风险导向审计的核心理念。无论是在历史财务报表审计还是在网络审计中，现代风险导向审计均要求审计师在执行审计工作过程中应以风险评估为中心，通过对被审计单位及其环境的了解，评估确定被审计单位的高风险领域，从而确定审计的范围和重点，进一步决定如何收集、收集多少和收集何种性质的证据，以便更有效地控制和提高审计效果及审计效率。从企业管理的角度，企业风险管理将风险评估作为其基本的要素之一进行规范，要求企业在识别和评估风险可能对企业产生影响的基础上，采取积极的措施来控制风险，降低风险为企业带来损失的概率或缩小损失程度来达到控制目的。信息安全风险评估作为企业风险管理的一部分，是企业信息安全管理的基础和关键环节。尽管如此，风险评估在网络审计、历史财务报表审计和企业信息安全管理等工作中的运用却不尽相同，本文在分析计算机信息系统环境下所有特定风险和网络审计风险基本要素的基础上，从风险评估中应关注的风险范围、风险评估的目的、内容、程序及实施流程等内容展开，将网络审计与历史财务报表审计和信息安全管理的风险评估进行对比分析，以期深化对网络审计风险评估的理解。

二、网络审计与历史财务报表审计的风险评估比较

(一)审计风险要素根据美国注册会计师协会的第47号审计标准说明中的审计风险模型，审计风险又由固有风险、控制风险和检查风险构成。其中，固有风险是指不考虑被审计单位相关的内部控制政策或程序的情况下，其财务报表某项认定产生重大错报的可能性；控制风险是被审计单位内部控制未能及时防止或发现财务报表上某项错报或漏报的可能性；检查风险是审计人员通过预定的审计程序未能发现被审计单位财务报表上存在重大错报或漏报的可能性。在网络审计中，审计风险仍然包括固有风险、控制风险和检查风险要素，但其具体内容直接受计算机网络环境下信息系统特定风险的影响。计算机及网络技术的应用能提高企业经营活动的效率，为企业的经营管理带来很大的优越性，但同时也为企业带来了一些新的风险。这些新的风险主要表现为：(1)数据与职责过于集中化。由于手工系统中的职责分工、互相牵制等控制措施都被归并到计算机系统自动处理过程中去了，这些集中的数据库技术无疑会增加数据纵和破坏的风险。(2)系统程序易于被非法调用甚至遭到篡改。由于计算机系统有较高的技术要求，非专业人员难以察觉计算机舞弊的线索，这加大了数据被非法使用的可能性。如经过批准的系统使用人员滥用系统，或者说，企业对接近信息缺乏控制使得重要的数据或程序被盗窃等。(3)错误程序的风险，例如程序中的差错反复和差错级联、数据处理不合逻辑、甚至是程序本身存在错误等。(4)信息系统缺乏应用的审计接口，使得审计人员在审计工作中难以有效地采集或获取企业信息系统中的数据，从而无法正常开展审计工作。(5)网络系统在技术和商业上的风险，如计算机信息系统所依赖的硬件设备可能出现一些不可预料的故障，或者信息系统所依赖的物理工作环境可能对整个信息系统的运行效能带来影响等。相对应地，网络审计的固有风险主要是指系统环境风险，即财务电算化系统本身所处的环境引起的风险，它可分为硬件环境风险和软件环境风险。控制风险包括系统控制风险和财务数据风险，其中，系统控制风险是指会计电算化系统的内部控制不严密造成的风险，财务数据风险是指电磁性财务数据被篡改的可能性。检查风险包括审计软件风险和人员操作风险，审计软件风险是指计算机审计软件本身缺陷原因造成的风险，人员操作风险是指计算机审计系统的操作人员、技术人员和开发人员等在工作中由于主观或客观原因造成的风险。

(二)风险评估目的无论在网络审计还是历史财务报表审计中，风险评估只是审计的一项重要程序，贯穿于审计的整个过程。与其他审计程序紧密联系而不是一项独立的活动。尽管如此，两者所关注的风险范围则有所不同。历史财务报表审计的风险评估要求审计人员主要关注的是被审计单位的重大错报风险――财务报表在审计前存在重大错报的可能性。由于网络审计的审计对象包括被审计单位基于网络的财务信息和网络财务信息系统两类，因此审计人员关注的风险应是被审计单位经营过程中与该两类审计对象相关的风险。(1)对于与企业网络财务信息系统相关的风险，审计人员应该从信息系统生命周期的各个阶段和信息系统的各组成部分及运行环境两方面出发进行评估。信息系统生命周期是指该信息系统从产生到完成乃至进入维护的各个阶段及其活动，无论是在早期的线性开发模型中还是在更为复杂的螺旋式等模型中，一个信息系统的生命周期大都包括规划和启动、设计开发或采购、集成实现、运行和维护、废弃等五个基本阶段。由于信息系统在不同阶段的活动内容不同，企业在不同阶段的控制目标和控制行为也会有所不同，因此，审计人员的风险评估应该贯穿于信息系统的整个生命周期。信息系统的组成部分是指构成该信息系统的硬件、软件及数据等，信息系统的运行环境是指信息系统正常运行使用所依托的物理和管理平台。具体可将其分为五个层面：物理层，即信息系统运行所必备的机房、设备、办公场所、系统线路及相关环境；网络层，即信息系统所需的网络架构的安全情况、网络设备的漏洞情况、网络设备配置的缺陷情况等；系统层，即信息系统本身的漏洞情况、配置的缺陷情况；应用层，即信息系统所使用的应用软件的漏洞情况、安全功能缺陷情况；管理层，即被审计单位在该信息系统的运行使用过程中的组织、策略、技术管理等方面的情况。(2)对于与企业基于网络的财务信息相关的风险，审计人员应着重关注财务信息的重大错报风险和信息的安全风险。重大错报风险主要指被审计单位基于网络的相关财务信息存在重大错报的可能性，它是针对企业借助于网络信息系统或网络技术对有关账户、交易或事项进行确认、计量或披露而言。网络审计中关注的重大错报风险与传统审CtT的内涵基本上是一致的，审计人员在审计时应当考虑被审计单位的行业状况、经营性质、法律及监管环境、会计政策和会计方法的选用、财务业绩的衡量和评价等方面的情况对财务信息错报可能的影响。信息安全风险涉及信息的保密性、完整性、可用性及敏感性等方面可能存在的风险，主要针对企业利用信息系统或一定的网络平台来存储、传输、披露相关财务信息而言。在审计过程中，审eta员应当主要关注相关财务信息被盗用、非法攻击或篡改及非法使用的可能性。当然，这两类风险并非完全分离的，评估时审计人员应将两者结合起来考虑。

(三)风险评估内容　广泛意义的风险评估是指考虑潜在事件对目标实现的影响程度。由于网络审计与历史财务报表审计风险评估的目的并不完全相同，因此两者在风险评估的内容上也是存在区别的。总的来说，网络审计的风险评估内容比历史财务报表审计的风险评估内容更广泛和深入。根据《中国注册会计师审计准则第1211号――了解被审计单位及其环境并评估重大错报风

险》，在历史财务报表审计中，审计人员的风险评估应以了解被审计单位及其环境为内容。为识别和评价重大错报风险，审计人员了解的具体内容包括被审计单位所在行业状况、法律环境与监管环境以及其他外部因素、被审计单位的性质、被审计单位对会计政策的选择和运用、被审计单位的目标、战略以及相关经营风险、被审计单位财务业绩的衡量和评价及被审it@位的内部控制等。在网络审计中。为了识别和评估上文所述的两类风险，审计人员除了从以上方面了解被审计单位及其环境外，还应该关注其他相关的潜在事件及其影响，尤其是企业的财务信息系统及基于网络的财务信息可能面l临的威胁或存在的脆弱点。其中，威胁是指对信息系统及财务信息构成潜在破坏的可能性因素或者事件，它可能是一些如工作人员缺乏责任心、专业技能不足或恶意篡改等人为因素，也可能是一些如灰尘、火灾或通讯线路故障等环境因素。脆弱点是指信息系统及基于网络的财务信息所存在的薄弱环节，它是系统或网络财务信息本身固有的，包括物理环境、组织、过程、人员、管理、配置、硬软件及信息等各方面的弱点。一般来说，脆弱点本身不会带来损失或信息错报，威胁却总是要利用网络、系统的弱点来成功地引起破坏。因此，我们认为网络审计申风险评估的内容应包括以下几方面：(1)识别被审计单位财务信息系统及其基于网络的财务信息可能面临的威胁，并分析威胁发生的可能性；(2)识别被审计单位财务信息系统及其基于网络的财务信息可能存在的脆弱点，并分析脆弱点的严重程度；(3)根据威胁发生的可能性和脆弱点发生的严重程度，判断风险发生的可能性；(4)根据风险发生的可能性，评价风险对财务信息系统和基于网络的财务信息可能带来的影响；(5)若被审计单位存在风险防范或化解措施，审计人员在进行风险评估时还应该考虑相应措施的可行性及有效性。

(四)风险评估程序《中国注册会计师审计准则第1211-----了解被审计单位及其环境并评估重大错报风险》中要求，审计人员应当实施询问、分析程序、观察和检查等程序，以获取被审计单位的信息，进而评估被审计单位的重大错报风险。这些程序同样适用于网络审计中的风险评估。但在具体运用时网络审计中更加注重了解和分析被审计单位与信息系统及网络技术使用相关的事项。在实施询问程序时，审计人员的询问对象围绕信息系统和基于网络的财务信息可大致分为管理人员、系统开发和维护人员(或信息编制人员)、系统使用人员(或信息的内部使用人员)、系统或网络技术顾问及其他外部相关人员(如律师)等五类，分别从不同角度了解信息系统和基于网络的财务信息可能存在的威胁和脆弱点。在实施分析程序时，除了研究财务数据及与财务信息相关的非财务数据可能的异常趋势外，审计人员应格外关注对信息系统及网络的特性情况，被审计单位对信息系统的使用情况等内容的分析比较。实施观察和检查时，除执行常规程序外，审计人员应注意观察信息系统的操作使用和检查信息系统文档。除此之外，针对特定系统或网络技术风险的评估，审计人员还需要实施一些特定的程序。技术方面如IOS取样分析、渗透测试、工具扫描、安全策略分析等；管理方面如风险问卷调查、风险顾问访谈、风险策略分析、文档审核等。其中，IDS取样分析是指通过在核心网络采样监听通信数据方式，获取网络中存在的攻击和蠕虫行为，并对通信流量进行分析；渗透测试是指在获取用户授权后，通过真实模拟黑客使用的工具、方法来进行实际漏洞发现和利用的安全测试方法；工具扫描是指通过评估工具软件或专用安全评估系统自动获取评估对象的脆弱性信息，包括主机扫描、网络扫描、数据库扫描等，用于分析系统、应用、网络设备存在的常见漏洞。风险问卷调查与风险顾问访谈要求审计人员分别采用问卷和面谈的方式向有关主体了解被审计单位的风险状况，使用时关键是要明确问卷或访谈的对象情况风险策略分析要求审计人员对企业所设定的风险管理和应对策略的有效性进行分析，进而评价企业相关风险发生的概率以及可能带来的损失；文档审核是一种事前评价方法，属于前置软件测试的一部分，主要包括需求文档测试和设计文档测试。这些特定程序主要是针对被审计单位信息系统和基于网络的财务信息在网络安全风险方面进行评价，审计人员在具体使用时应结合被审计单位的业务性质选择合适的程序。

三、网络审计与信息安全管理的风险评估比较

(一)风险评估的目的信息安全管理中的风险评估(即信息安全风险评估)是指根据国家有关信息安全技术标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程。作为信息安全保障体系建立过程中的重要的评价方法和决策机制，信息安全风险评估是企业管理的组成部分，它具有规划、组织、协调和控制等管理的基本特征，其主要目的在于从企业内部风险管理的角度，在系统分析和评估风险发生的可能性及带来的损失的基础上，提出有针对性的防护和整改措施，将企业面临或遭遇的风险控制在可接受水平，最大限度地保证组织的信息安全。而网络审计是由独立审计人员向企业提供的一项鉴证服务，其风险评估的目的在于识别和评价潜在事件对被审计单位基于网络的财务信息的合法性、公允性以及网络财务信息系统的合规性、可靠性和有效性的影响程度，从而指导进一步审计程序。因此，两者风险评估的目的是不一样。从评估所应关注的风险范围来看，两者具有一致性，即都需要考虑与信息系统和信息相关的风险。但是，具体的关注边界则是不一样的。信息安全风险评估要评估企业资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响，它要求评估人员关注与企业整个信息系统和所有的信息相关的风险，包括实体安全风险、数据安全风险、软件安全风险、运行安全风险等。网络审计中，审计人员是对被审计单位的网络财务信息系统和基于网络的财务信息发表意见，因此，风险评估时审计人员主要关注的是与企业财务信息系统和基于网络的财务信息相关的风险，而不是与企业的整个信息系统和所有的信息相关的风险。根据评估实施者的不同，信息安全风险评估形式包括自评估和他评估。自评估是由组织自身对所拥有的信息系统进行的风险评估活动；他评估通常是由组织的上级主管机关或业务主管机关发起的，旨在依据已经颁布的法规或标准进行的具有强制意味的检查。自评估和他评估都可以通过风险评估服务机构进行咨询、服务、培训以及风险评估有关工具的提供。因此。对审计人员而言，受托执行的信息安全风险评估应当归属于管理咨询类，即属于非鉴证业务，与网络审计严格区分开来。

(二)风险评估的内容在我国国家质量监督检验检疫总局的《信息安全风险评估指南》(征求意见稿)国家标准中，它将信息安全风险评估的内容分为两部分：基本要素和相关属性，提出信息安全风险评估应围绕其基本要素展开，并充分考虑与这些基本要素相关的其他属性。其中，风险评估的基本要素包括资产、脆弱性、威胁、风险和安全措施；相关属性包括业务战略、资产价值、安全需求、安全事件、残余风险等。在此基础上的风险计算过程是：(1)对信息资产进行识别，并对资产赋值；(2)对威胁进行分析，并对威

胁发生的可能性赋值；(3)识别信息资产的脆弱性，并对弱点的严重程度赋值；(4)根据威胁和脆弱性计算安全事件发生的可能性；(5)根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件造成的损失；(6)根据安全事件发生的可能性以及安全事件出现后的损失，计算安全事件一旦发生对组织的影响，即风险值。结合上文网络审计风险评估五个方面的内容可以看出，网络审计和信息安全风险评估在内容上有相近之处，即都需要针对信息系统和信息可能面临的威胁和存在的脆弱点进行识别。但是，信息安全管理作为企业的一项内部管理，其风险评估工作需要从两个层次展开：一是评估风险发生的可能性及其影响；二是提出防护或整改措施以控制风险。第一个层次的工作实质上是为第二层次工作服务的，其重点在第二层次。《信息安全风险评估指南》(征求意见稿)提出，企业在确定出风险水平后，应对不可接受的风险选择适当的处理方式及控制措施，并形成风险处理计划。其中，风险处理的方式包括回避风险、降低风险、转移风险、接受风险，而控制措施的选择应兼顾管理和技术，考虑企业发展战略、企业文化、人员素质，并特别关注成本与风险的平衡。网络审计的风险评估工作主要集中在第一个层次，即审计人员通过风险评估，为进一步审计中做出合理的职业判断、有效地实施网络审计程序和实现网络审计目标提供重要基础。因此，两者的评估内容是存在区别的。

审计风险评估范文3

摘要：对被审计单位进行风险评估，及时发现被审计单位中存在的重大错报风险，是注册会计师实施审计的重要环节。风险导向审计是现代主流的审计方法，其要求注册会计师通过对被审计单位财务报表的分析及时的发现其中存在的风险，并对风险进行评估，根据审计结果出具合适的审计报告。本文结合新的审计风险准则，对被审计单位进行风险评估的程序、内容以及方法等进行探析。

关键词：审计单位；风险评估；内部控制；错报风险

随着经济全球化的日益深化以及我国市场经济的不断发展，企业经营管理面临的内外部环境都发生了很大的变化，各行业面临的风险日益增加，现行的审计方法已经难以对财务报表中存在的重大错报风险有效应对。在这种背景下，为了进一步加强注册会计师对被审计单位的风险评估，提高审计质量，我国颁布了《中国注册会计师审计准则第 1211 号———了解被审计单位及其环境并评估重大错报风险》，这为注册会计师开展被审计单位风险评估和审计提供了规范和依据。本文结合这一准则要求，对风险评估的程序、内容、方法等进行分析。

一、风险评估程序

风险评估程序主要是指注册会计师对被审计单位及其环境进行了解，从而对其财务报表中存在的重大错报风险进行识别和评估。

1.对被审计单位管理层及其他工作人员进行询问

被审计单位的管理层以及相关人员是单位信息的重要来源，注册会计师应该与其进行沟通和交流，通过询问的方式来获得有用的信息。注册会计师应该重点了解和询问的内容包括以下几个方面：（1 ）被审计单位管理层应该关注的重点问题。例如，被审计单位在市场中所处的地位、竞争对手状况、主要供应商和客户的情况、经营管理战略的规划以及企业所执行的相关规章制度等；（2）被审计单位最近的财务状况，包括资产负债率、现金流量、坏账率等；（3）可能对被审计单位财务状况产生重大影响的交易或事项，例如正在谈判的企业合并等事项；（4）被审计单位最近发生的重大变化，例如股权转让、组织结构调整、内部控制制度变化等。

2.实施分析程序

分析程序是指注册会计师通过对被审计单位的财务数据以及其他非财务数据之间的内在联系进行分析，从而对单位的财务信息进行评价的过程。分析程序是进行风险评估的重要环节，其能够帮助注册会计师及时的发现被审计单位出现的异常交易和变动，并对财务报表中可能发生的重大错误风险的可能进行评价。

3.观察和检查

观察和检查程序可以有效的对询问结果进行支持和印证，增加注册会计师对被审计单位环境的了解。观察和检查程序应该包括以下事项：（1 ）对被审计单位的生产经营活动进行观察；（2）对被审计单位的文件、资料以及内部控制手册等进行检查；例如，检查被审计单位的经营管理计划、预算资料、与其他单位签订的合同、业务流程资料等；（3）阅读被审计单位管理层编制的报告。例如，被审计单位年度财务报告、董事会会议记录、重大项目可行性报告等；（4）对被审计单位的生产经营状况进行实地考察；（5）穿行测试。

二、了解被审计单位及其环境

注册会计师应该对被审计单位经营管理过程中面临的内外部环境进行充分了解，为后续的识别和评估重大错报风险奠定基础。注册会计师应该了解的内容包括以下几个方面：

1.行业状况、法律环境、监管环境以及其他外部因素

对被审计单位所处的行业进行了解，可以帮助注册会计师对与被审计单位行业相关的重大错报风险进行识别和分析。根据审计准则的相关规定，注册会计师应该了解的相关行业状况包括：（1 ）被审计单位所处行业的市场状况，包括消费者需求、竞争者情况等；（2）对行业生产经营的周期性和季节性进行了解；（3）被审计单位提供的产品或服务相关的技术变化；（4）能源的供应与成本；（5）被审计单位所处行业的重点指标以及数据。

另外，法律环境、监管环境以及宏观经济环境等外部因素也是需要注册会计师了解的。

2.被审计单位的性质

（1）所有权结构。了解被审计单位的所有权结构能够便于帮助注册会计师找出与其相关的关联方，并了解掌握被审计单位决策管理的具体流程。根据审计准则25条规定，注册会计师要了解与被审计单位所有者相关的关联方关系，从而准确识别关联方关系并核算关联方交易。例如，注册会计师应该对被审计单位的股东性质予以掌握，并了解其母公司、同一控制下的其他公司等关系。

（2）治理结构。内部治理结构对被审计单位的财务、经营状况产生非常重要的影响，良好的治理结构能够充分发挥其监督和治理作用，从而降低本审计单位财务风险发生的概率。注册会计师应该对被审计单位治理机构进行了解，例如被审计单位的董事会构成、董事会是否能充分行使决策权；独立董事制度是否得到执行。注册会计师要考虑被审计单位治理层能够充分行使其独立监督的职能。

（3）组织结构。复杂的组织结构可能会导致一些特定的重大错报风险的发生。注册会计师要充分了解被审计单位的组织机构，掌握其可能引发的风险。例如要对被审计单位的子公司、联营企业、股权投资等进行了解。另外，经营活动、投资活动、筹资活动以及财务报告都是需要了解和掌握的内容。

3.被审计单位对会计政策的选择和运用

审计准册第31 条规定，注册会计师应该对被审计单位对会计政策的选择和运用进行了解，即了解单位在财务工作中是否正确运用了恰当的会计准则和制度。注册会计师应该重点了解以下事项：（1 ）被审计单位在处理一些重大或者异常交易时所采用的会计准则和方法；（2）对于一些没有准确规范的文件作为指导的事项，被审计单位采用的会计政策；（3）本审计单位发生的会计政策及估计变更；（4）单位使用新会计准册和制度的时间。

4.被审计单位的目标、战略以及相关经营风险

经营风险主要来源于被审计单位在经营战略执行过程中可能出现的重大失误。注册会计师在评估经营风险的时候需要考虑行业发展、业务扩张、新会计准则的实施、信息技术的应用等因素；另外，经营风险大多数会带来相应的财务后果，会对重大错报风险产生影响。另外，还需要对被审计单位的财务业绩以及内部控制状况进行了解。

三、对重大错误风险进行评估

1.对财务报表层次和认定层次的重大错误风险进行评估

根据审计准则第96 条规定，注册会计师应该采取措施，识别和评估财务报表层次、认定层次以及与内部控制程序相关的重大错报风险。在进行风险识别和评估时注册会计师要实施以下程序：（1 ）在对被审计单位及其环境进行了解的时候，注册会计师要充分考虑财务报表中存在的各类交易、列报以及账户余额等因素来识别风险；（2）将识别风险与可能发生错误的领域相结合；（3）对识别出的风险进行评估，认定其可能产生的影响；（4）对识别风险可能导致的重大错报进行分析。

2.需要特别考虑的重大错报风险

被审计单位存在的一些特别风险也是注册会计师需要重点加以注意的，其应该充分运用其职业的技能和判断，对这些重大错报风险进行识别和评估。特别风险一般是由于被审计单位发生的重大非常规交易事项导致的，因此注册会计师在评估这种风险时应该对以下事项进行考虑：（1 ）该风险是否属于舞弊风险；（2）该风险是否与宏观经济环境变化、本审计单位所处行业变化以及会计政策变化等重大变化相关；（3）交易程序是否比较复杂；（4）是否涉及到一些重大的关联方交易。

与特别风险相关的重大交易或者非常事项很难有效的受到被审计单位的控制和管理，因此，注册会计师应该了解被审计单位是否专门设计了相关的控制和约束程序来应对这些特别风险。

3.仅通过实质性程序无法应对的重大错报风险

如果注册会计师通过日常的实质性程序无法降低重大错报风险的发生水平，则应该评价被审计单位的风险控制程序以及设计，确定其执行情况。

随着很多被审计单位引入了高度自动化的交易系统以及信息系统，审计证据在大多数情况下都是以电子信息的数据存在的，因此审计证据的有效性以及真实性在很大程度上受到信息系统的影响。如果注册会计师认为其无法通过实质性程序来获取充分恰当的审计证据，则应该对相关系统和程序进行测试和评估。

接下来，注册师还需要根据所取得审计证据的变化对风险评估的结果进行不断的调整和修正。

4.对风险评估的修正

由于注册会计师在审计的过程中可能不断发现新的审计证据，所以需要适时的根据情况对风险评估进行修正。例如，注册会计师可能会通过对内部控制系统运行的状况评价来评估重大错报风险。然而，在对控制系统运行的有效性进行测试时，注册会计师可能会发现证据表明在审计期间内控制系统并未有效运行。因此，当注册会计师发现在审计过程中新取得的证据与初始评估取得的证据相矛盾时，需要对风险评估的结果进行修正，并在此基础上实施新的审计程序。

参考文献：

[1]范静.论我国风险导向审计在应用中存在的问题及完善措施[J].经营管理者，2010(08).

[2]张卫莲.谈谈风险导向在内部审计中应用[J].中国证券期货，2010(10).

审计风险评估范文4

按照信息经济学的信息不对称理论,注册会计师只能根据公司治理结构的信号传递机制,来判断其治理结构是否有效,评估公司治理层面的控制风险。内部控制的三个关键要素是人员、资金和信息。因此,注册会计师对公司治理层面控制风险评估,应该以控制理论中的三个基本要素为主,在此基础上考虑其他影响公司治理控制系统的因素,全面评估公司治理结构的制度安排及其运行效率。

1.公司治理组织结构及其运行风险的识别及评估。首先,注册会计师应该对公司治理组织结构健全性评估:股东会的建立及其相应的制度机制是否按照所有股东意愿进行安排,是否代表了所有股东的共同利益。这是公司治理顶级层面的内部制度安排,是公司治理结构中统揽全局的重要组成部分。它决定着监事会以及董事会的设置与运行,是传递给注册会计师的首要信号。其次,注册会计师应该对公司治理组织运行有效性进行评估。即股东会是否按照制度安排正常运行,股东会在公司治理层面上建立的组织是否有效地管理、监督、制衡了经营者的经营活动。

2.资金监控风险的识别及评估。资金监控应单独作为一项考查内容,列入公司治理控制风险评估体系。其所传递的信号直接决定了在会计报表审计过程中的审计重点。首先,应该审查企业是否已经建立了必要的资金监控机制,相应的政策和程序是否存在。在决策过程中实施资金监控,将资本性支出决策权、预算审批权、资金调度权在股东会与董事会之间建立制衡机制,形成权力边界,以保证决策的科学性和资金的安全性。其次,对资金监控机制有效性进行评估。检查股东会对董事会以及高级管理层资金运用的监控机制是否有效,近期内的重大投资项目是否经过股东会的通过,可行性论证是否科学。

3.治理信息传递风险的识别及评估。公司治理信息传递机制是直接影响治理层面控制风险的因素,通过这一机制的评估,可以使注册会计师了解治理层面基本运行情况以及存在的潜在问题。由于董事会信息传达直接关系到最终投资者的利益,所以注册会计师应该把董事会这个信息枢纽中心作为信息传递风险评估的关键环节。会计信息从管理层生成、加工到呈报董事会,使之如实披露报告。监事会应该能够直接检查公司财务状况,并及时听取董事会尤其是审计委员会的报告,监督的信息应及时报告给股东会。

4.公司治理效率的综合评估。以上所分析的三个方面是影响公司治理层面控制风险的重要因素,三者相互连接,相互作用,构成公司治理层面控制的有机整体。所以在对上述三方面进行评估之后,要对公司整体的治理效率进行综合评估。公司治理组织结构的健全及其有效直接影响了资金监控以及治理信息的传递,同时资金监控机制以及治理信息传递机制体现了公司治理结构的健全有效性,能够促进和推动治理结构的优化和完善。注册会计师只有以公司治理效率的综合评估为基础,才能量化公司治理层面的控制风险,才能纳入审计风险评估体系中。

二、公司治理基础上风险评估机制完善的基本实施路径

(一)建立公司治理评价标准体系,实施公司治理评价

自20世纪90年代提出公司治理概念以来,学术界积极地研究公司治理评价的技术分析。目前,已有众多的研究组织和咨询机构都从不同的角度提出了可行的公司治理分析评价技术模型,并得到了一定程度的运用。这些治理评价手段可以帮助审计师在实施基本审计程序前进行先导性治理分析,从而以治理为导向有效开展审计工作。当前主要的评价标准体系见表1(崔如波,2004)。通过了解被审计单位及其环境,运用公司治理评价标准体系,评价公司治理效果,最终评价公司剩余经营风险和公司治理层、管理层的诚信度等,从而评价相关受托经济责任的全面有效履行状况,以确定公司治理是否影响财务报表的公允反映及影响程度。

(二)利用业务循环进行风险因素的分析

审计风险源于会计报表存在重大错报,而审计人员发表了不恰当的审计意见的可能性。审计人员通过对各报表项目的审计来发表对整个财务报告的审计意见,审计的起点可以是从内控制度评价开始也可以直接从重大错报风险评估开始。因此只有将风险评估的结果具体落实到账户的认定层次,才能发现风险(因素)同认定层次可能发生的错误相联系的关键原因。同时,新的审计风险理念要求审计人员从企业自身及环境等较为宏观的视角出发寻找可能的风险因素。基于上述分析,利用业务循环作为风险评估的“中观”环节,建立起从较为宏观的风险因素识别到微观的认定层次重大错报风险确定之间联接的桥梁。在引入业务循环评价重大错报风险时,首先,审计人员在准则的指导下了解了企业及其环境的信息后,可以考虑某一因素是否会对该企业某一个或几个业务循环产生影响,怎么影响,程度如何。即先将各风险因素分配到业务循环中,在业务循环层次上筛选和分析风险因素,由此将风险具体化,进行初步的风险评估。再深入到该具体业务循环的各个相关、对应账户(即账户群)中,进一步分析该循环受到风险因素的影响会如何具体作用在循环中的各相关账户和认定上,是否会造成某几个账户的重大错报风险。最后,由于每个业务循环包含的账户可能交叉重叠,因此在穷尽了每个可能对业务循环造成影响的风险因素,并分析了各循环受到的影响对于具体账户和认定的作用之后,我们需要再以各单独账户为对象,综合该账户可能受到的来自各业务循环的相关风险因素的所有影响,从而最终得到认定层次上重大错报风险的评估结果。

(三)基于审计风险分析,评估财务报表重大错报风险

注册会计师为了对财务报表发表审计意见,在评价公司治理时,应着眼于与财务报表公允反映相关的公司治理。根据公司治理评价,评估财务报表重大错报风险时,应侧重于考虑以下方面:

1.剩余经营风险。剩余经营风险代表公司治理没能实现预期经营目标的可能性,当存在较大的剩余经营风险时,公司管理层甚至治理层将存在较大的财务舞弊动机和压力,被审计单位将存在较大的财务报表重大错报风险。

2.治理层和管理层的诚信度。其可能源于治理层和管理层原有的诚信度,也可能由于公司治理本身存在重大缺陷,使得原本诚信的治理层和管理层丧失了诚信性。通过评价该诚信度,估计治理层和管理层发生财务舞弊的可能性。

审计风险评估范文5

[关键词]审计风险程序了解环境

审计师在审计时应当考虑的风险包括三种,即企业的经营风险,审计风险,特别风险。经营风险是对实现企业目标或执行企业战略产生不利影响的各种不确定因素,企业所具有的经营性质、所处行业、外部监管环境、企业的规模和复杂程度等因素都对财务报表发生重大错报有密切的关系,许多经营风险最终都会造成财务后果,比如经营风险中竞争者开始延长产品保证期,这样会给企业带来增加预提保证费用的风险,还有如果原材料发生短缺,就会产生标准成本的损耗率上升,竞争者在市场技术上开始领先,这样就会造成投资需要增加计提减值准备。审计风险则是现代风险导向审计的核心概念,它由重大错报风险和检查风险组成,重大错报风险是指财务报表在审计前存在重大错报的可能性,它有固有风险和控制风险组成,重大错报风险和检查风险互为反向关系。特别风险是,在审计实务中需要特别考虑的重大错报风险,即是否是舞弊风险、是否是近期经济环境、会计处理方法和其他方面的重大变化、是不是复杂的交易、是不是重大的关联方交易、是不是对重大事项存在不确定计量空间,是不是设计异常或超出正常经营过程的重大交易,由此看到,特别风险与非常规重大交易和判断事项有关,即金额和性质异常并且不是经常发生的。

在审计实务中对各种风险的评价是风险导向审计的开始,审计师了解被审计单位及其环境,目的是为了识别和评估财务报表重大错报风险,为了了解被审计单位的重大错报风险,审计师首先要了解被审计单位极其环境(不包括内部控制),这其中包括,了解被审计单位的行业状况、法律环境与监管环境以及其他外部因素性质,对会计政策的选择和运用,目标、战略以及相关经营风险,财务业绩的衡量和评价;其次要了解内部控制,这主要了解控制环境、被审计单位的风险评估过程、信息系统与沟通、控制活动、对控制的监督;第三是对风险评估及其审计计划的讨论,主要是被审计单位面临的经营风险、财务报表容易发生错报的领域、错报的方式、特别是由于舞弊导致重大错报的可能性,第四评估重大错报风险,主要包括财务报表层次、认定层次(各类交易、帐户余额、列报、披露)。

为达到以上目的所要执行的具体审计程序有:

首先,询问。询问被审计单位管理层和内部其他相关人员,询问的主要问题有新的竞争对手、主要客户和供应商的流失、新的税收法规的实施、以及经营目标或战略的变化、财务状况和最近的经营成果、现金流量、可能影响财务报告的交易和事项、或者目前发生的重大会计处理问题等,审计师还应当考虑询问内部审计师、采购人员、生产人员、销售人员等其他人员,并考虑询问不同级别的员工以获取对识别重大错报风险的不同需要,即询问治理层、有助于审计师了解其针对被审计单位财务报表的编制环境;询问内部审计师有助于审计师了解其针对被审计单位内部控制设计和运行有效性的情况,以及管理层对内部审计发现的问题是否采取适当的行动;询问参与生成、处理或记录复杂或异常交易的员工,有助于审计师评估被审计单位选择和运用某项会计政策的适当性;询问内部法律顾问,有助于审计师了解被审计单位的有关诉讼、法律法规的遵循情况、影响被审计单位的舞弊或涉嫌舞弊、产品保证和售后责任、与业务伙伴的安排、以及合同条款的含义;询问销售人员,有助于审计师了解营销策略及其变化、销售趋势或与其客户的合同安排;询问营销或销售人员,有助于审计师了解被审计单位的原材料采购和产品生产等情况等情况。

其次,执行分析程序。分析程序是指审计师通过研究不同财务数据之间以及财务数据与非财务数据之间的内在关系,对财务信息作出评价,分析程序还包括调查识别出的、与其他相关信息不一致或与预期数据严重偏离的波动和关系,审计师实施分析程序有助于发现识别异常的交易或事项,即特别风险,审计师还可以对财务报表的审计产生影响的金额、比率和趋势进行预测。在实施分析程序时,审计师应当预期可能存在的合理关系,并与被审计单位记录的金额、依据记录金额计算的比率或趋势相比较,如果发现异常或未预期到的关系,审计师应当在识别重大错报风险时考虑这些比较结果

第三,进行观察和检查。观察和检查程序可以印证对管理层和其他相关人员的询问结果,并可以提供有关审计单位及其环境的信息,审计师应当实施下列观察程序,观察被审计单位的生产经营活动,如观察被审计单位人员正从事的生产活动和内部控制活动等;检查文件、记录和内部控制手册,如检查被审计单位的章程,与其他单位签订的合同、协议、股东大会、董事会议、高级管理层会议的会议记录,各业务流程操作指引和内部控制手册,各种会计资料、内部凭证和单据;阅读由管理层和治理层编制的报告,如阅读被审计单位年度和中期财务报告、管理层的讨论和分析资料、经营计划和战略、对重要经营环节和外部因素的评价、被审计单位内部管理报告,以及其他特殊目的的报告(新投资项目的可行性分析报告);实地察看被审计单位的生产经营场所和设备;追踪交易在财务报告信息系统中的处理过程(穿行测试),这是审计师了解被审计单位业务流程及其内部控制时经常使用的程序。通过追踪某笔交易在业务流程中如何生成、记录处理和报告,以及相关内部控制如何执行,审计师可以确定被审计单位的交易和内部控制是否与之前通过其他程序所获的了解一致,并确定内部控制是否得到执行。

基于对企业风险管理的考虑,风险评估程序应当贯穿于企业财务报表审计的整个过程,并运用大量的专业判断识别、计量风险因素,为防止主观和片面的判断影响审计结果,要进行讨论和研究,形成对被审计单位的总体情况报告、总结上年的工作情况、被审计单位的环境变化情况、财报的易错领域、重要审计事项和审计领域、可能发生的重大舞弊和重大错报风险、重要性水平的设定、最后制订总体审计策略。

参考文献:

审计风险评估范文6

一、环境审计风险的分类

本文对环境审计风险的分类以风险基础审计理论为依据，将审计风险分为固有风险、控制风险和检查风险。

二、环境审计风险水平的实证研究

1、环境审计具有较高的固有风险。

（6）法制观念淡薄。与农业农村工作现状紧密相连，项目实施县各级领导法律知识、财务知识不足，或是存在侥幸心理，增加了专项资金使用中的风险。审计发现，一些基层部门领导认为只要工程通过各级验收检查，国家的钱没有乱花，用在工程上就是无过。因此，一些地方混用、串用不同环境保护项目资金的状况时有发生。还有一些地方或部门，挪用专项资金后，为应付检查，篡改会计资料，以掩盖其违法违纪行为。

2、环境审计具有较高的控制风险

经过对环境保护项目单位内部控制活动进行调查和初步测评，审计认为：

审计风险评估范文7

【关键词】审计判断；审计师气质；重大错报风险；公司战略

1.引言

审计人员在执业过程中需要进行不断的专业判断。这些专业判断往往决定着审计人员工作的质量。然而审计人员的判断还是会受到诸如个体差异、执业环境、判断任务因素的影响。因此对审计人员判断绩效的研究已经成为国内外审计研究的重要领域。

同时，近年来上市公司舞弊案件以及事务所审计失败案件时有发生。其中影响较为重大的案件涉及的国内公司有银广夏、G外高桥、丰乐种业。在事件发生后，我们频频提到审计人员缺乏应有的职业谨慎。但某种程度上，审计人员自身气质对他们的判断产生了一定影响。正如个性心理学认为，气质是人的个性心理特征之一，它是指在人的认识、情感、言语、行动中，心理活动发生时力量的强弱、变化的快慢和均衡程度等稳定的动力特征。气质是在实践活动中发展，同时又影响着个体在实践活动的方方面面。具有某种气质特征的人，在内容完全不同的活动中显示出同样性质的动力特点。

自从2007年开始，新实施的《中国注册会计师审计准则》贯彻了风险导向审计的指导思想，它十分强调风险评估程序。其中第1211号第五节规定注册会计师应当了解被审计单位的目标和战略，以及可能导致财务报表重大错报的相关经营风险。

鉴于此，本文旨在研究审计人员气质与其对基于不同公司战略的风险做出的判断之间的关系。

2.假设生成

2.1 气质

心理学中，气质类型学说源于古希腊医生希波克里特（Hippo-

carates，公元前460—前377）的体液说。而现代的气质学说仍将气质分为四种典型的类型：①胆汁质；②多血质；③粘液质；④抑郁质[1]。而一般对这四种类型的人的描述分别为：胆汁质的人情形体验强烈、争强好斗、刚毅顽强但鲁莽冒失，易感情用事；多血质的人情感丰富、思维敏捷但缺乏耐心和稳定性；粘液质的人情绪平稳、安静稳重、踏踏实实、考虑问题细致周到，但其思维灵活性略差但；抑郁质的人情绪体验深刻、多愁善感、踏实稳重但软弱胆小、优柔寡断。

心理学认为人的气质与生俱来且不易改变。不同的气质类型的人，对人对事会产生不同的反应，对职业也有不同的需求，因此了解人格的这一生理层面上的自然倾向性，对于人的自我了解以及从事自己的职业等都有非常重要的作用。审计人员在执业过程中面对被审计单位的不同业务，在信息不对称的前提下，需要对各业务的合规、合理性做出判断，以保证会计信息的真实、可靠和完整。显然，处在不断与客户沟通并需要做出相关专业判断的情形下，气质同样会对审计人员的工作产生重大影响。

出于此种考虑，笔者选取了个体特征中的气质类型作为研究对象之一。

2.2 公司总体战略

随着风险导向审计的应用，被审计单位的公司战略与审计实务之间的关系越来越受到重视。众所周知，财务报表为被审计单位的财务活动提供了一个正式记录。财务活动开始于被审计单位的决策过程，受经营战略、控制活动和经营过程的影响[2]。因此目前的审计风险准则特别强调了注册会计师对被审计单位及其环境的了解，其中就包括被审计单位的公司战略。战略是管理层为实现经营目标采用的方法，为了实现某一既定的经营目标，企业可能有多个可行战略[3]。而被审计单位执行的战略可能不一定适合其所处的环境，这就需要审计人员在风险评估过程中对被审计单位采取的战略进行评估。

邓川博士认为，深入了解客户的行业和业务情况，熟悉公司经营情况对执行充分审计非常关键。他在《公司财务信息错报的分析程序研究：战略视角、量化模型和认知心理》中提到：在很多审计失败案件中，审计师之所以未能发现异常波动和重大错报，一个重要原因就是对客户的经营业务和行业特点缺乏必要的了解[4]。

派尔普、贝纳德和赫斯（Palepu、Bernard and Healy，1996）指出，客户的经营战略与财务报表中的认定有着明显的联系。因此，审计师需要了解客户的经营战略及相关经营目标，从而对客户的业绩形成一个有效的预期。

一般而言战略可以分为总体战略、业务战略和职能战略。而本研究主要针对公司总体战略。对战略的分类，不同学者有不同的看法，但是大致上可以归纳为以下三种，即：成长型战略、稳定型战略和收缩型战略。三种战略分别适合不同的环境。

成长型战略是以发展壮大企业为基本导向，致力于是企业在产销规模、资产、利润或新产品开发等某一方面或某几方面获得增长的战略。采取这种战略的企业一般拥有足够的资源、具有优势和增长潜力的产品或业务，并且对经济形势及其他环境持有乐观的态度。

稳定型战略即企业在战略方向上没有重大改变，在业务领域、市场地位和产销规模等方面基本保持现有状况，以安全经营为宗旨的战略。稳定性战略有利于降低企业实施新战略的经营风险，减少资源重新配置的成本，为创造一个加强内部管理和调整生产经营秩序的休整期，并有助于企业过快发展。

收缩型战略是指企业因经营状况恶化而采取的缩小生产规模或取消某些业务的战略。采取收缩型战略一般是因为企业的部分产品或所有产品处于竞争劣势，以至于销售额下降、出现亏损等[5]。

因此，本次研究选择公司战略作为另一个研究对象。

2.3 假设

鉴于各气质类型的特征，故笔者做出如下假设：

假设1：属于胆汁质类型的被试对风险的承受能力较高，即其判断的风险会偏低；抑郁质类型的被试对风险的承受能力较低，即其判断的风险会偏高；粘液质和多血质类型的被试没有明显的倾向性，根据战略的不同，其判断的风险会较理性。

假设2：三种战略中，对成长性战略判断的风险较高，对收缩型战略判断的风险较低，被试对稳定性战略判断的风险适中。

3.实验设计

3.1 实验模式

本次实验研究中，主要研究不同气质类型的审计人员在设定的环境下，对不同的战略风险判断的差异。如前所述，诸多气质类型中以四种典型型为主；其次实验中将公司战略初步分为成长、稳定和收缩型三类。故设计为如表3.1的4×3因素模式进行实验和分析。

3.2 被试

大量研究发现，有经验的审计人员与新手之间无论是在知识结构、知识的组织方式方面，还是判断绩效方面存在着巨大的差别，任务的复杂程度和不同任务对知识的不同要求就能够检验出二者的差别[6]。因此为了避免经验和知识结构对审计判断造成影响，本次实验主要选择经验较少的审计人员或审计专业学生进行。在研究过程中，通过有针对性的寻找被试群体，并在调查中设置专门的筛选题来保证研究被试的质量。为保证实验的有效性，被试都为随机抽取。其中涵盖多个高校审计专业大四学生以及多家会计师事务所审计人员。

3.3 实验任务

本次研究要求受试者主要完成两个部分内容：（一）测试气质类型。（二）测试对战略风险的评估。

3.3.1 测试气质类型

气质类型测试量表有很多，为了更好的适应中国人群的测试，笔者选用了由山西省教科院陈会昌等编制的“陈会昌六十气质量表”。该量表为自陈式量表，共60题，每种气质类型15题，测量出4种气质类型：胆汁质、多血质、粘液质和抑郁质，被试只需要选择符合自己实际情况的选项即可。

3.3.2 测试对战略风险的评估

对战略风险评估的测试，笔者事先设计了三个问题。问题中涉及三个企业，为了消除审计人员在判断时常见的锚定效应，笔者均没有明确指出对应的是实际生活中的哪三种企业。

另外，笔者也对涉及的这三个企业所处的行业环境进行了调整，使得行业环境不具有适应某种特定战略（成长型、稳定型和收缩型战略的其中一种）的显著特征，也就是说设置的环境使得企业采取任何一种战略在给定的条件下都是适当的，而被试判断是否接受给定的战略，完全取决于其对风险的感知。这种环境的模糊化设置目的在于，一方面能够还原真实的场景，另一方面能更好反映不同类型审计人员在风险感知过程时对信息加工、提取的关注点的差异。

需要指出的是，这样的设置灵感主要来源于心理学中著名的罗夏克墨渍测验（Rorschach ink blot test），这是由瑞士精神医学家罗夏克（H.Rorschach，1884—1922）于1921年设计的，共包括10张墨渍卡片。这一测验是投射测验的典型，主要通过给被试一些模棱两可的问题，使得被试的某些心理活动反映出来。

测试中，评估的风险等级被分为11级，即从-5（非常不接受）到5（非常接受），被试只需要根据自己的判断给出答案即可。笔者将对风险评价分值的高低作为判断绩效的考察标准。

3.4 实验过程

本次实验主要分两个部分进行，即按被试不同分为对事务所审计人员的调查和对审计专业学生的调查。首先，由笔者或者受委托者向被试作本次研究的目的以及相关注意事项，并告知笔者匿名作答。然后，将实验材料发放给被试，要求其完成材料中的所有问题，必要时进行相关的判断。实验者现场监督实验过程，以保证实验按既定要求进行。最后将答卷回收进行统计分析。

4.结果分析

通过统计，本次实验的有效被试包括74名审计相关专业学生及审计从业人员。其中全部被试平均工作年限为0.80年（学生工作年限设置为0年），审计从业人员占总被试的43.2%。

实验结果显示，被试中粘液质、多血质、抑郁质和胆汁质的被试分别占21.6%、27.0%、28.4%和23.0%。可见，无论是审计从业人员还是学生，气质类型是随机的。这也从另一个侧面说明，通过有效的教育和培训，可以在一定程度上克服气质对职业带来的影响。

其中就粘液质的被试而言，其对成长性战略风险的评估值为1.56，对稳定性战略的风险评估值为1.31，对紧缩性战略的风险评估值为-0.13；就多血质的被试而言，其对成长性战略风险的评估值为1.70，对稳定性战略的风险评估值为1.30，对紧缩性战略的风险评估值为-0.30；就抑郁质的被试而言，其对成长性战略风险的评估值为1.48，对稳定性战略的风险评估值为1.37，对紧缩性战略的风险评估值为-0.41；就胆汁质的被试而言，其对成长性战略风险的评估值为1.35，对稳定性战略的风险评估值为1.62，对紧缩性战略的风险评估值为-0.26。

横向分析：从数据中可以看出，四种气质类型的被试之间，对三种战略的风险评估趋势大致相同，并不存在实质性的区别。即：四种类型被试基本对案例中的成长型战略和稳定型战略的风险持接受态度，而对紧缩型战略的风险持不支持态度。这一结果并不支持假设1。

纵向分析，不同公司战略的风险评估结果排序基本遵循以下规律：成长型战略风险最高，稳定型战略风险次之，紧缩型战略风险最小。这便能够说明，被试对紧缩型战略的风险最能够接受，他们对稳定型战略的风险接受程度一般，而对成长型战略均表现为不易接受。而这一结果与假设2预测基本一致。

5.结论

审计判断中，多种因素制约着判断的绩效。其中审计人员的个体特征是其中重要的一个因素。气质作为个体与生俱来的特征，对工作会产生诸多影响。但通过本次研究发现，审计人员的气质类型对在不同公司战略背景下的风险判断并没有反映出很大的影响。笔者认为，审计人员的判断很大程度上是根据专业知识并基于理性的思考之后做出的，气质在理性思考中所起到的作用并不明显。其次笔者发现，在不同类型的公司战略中，不同气质类型的审计人员在判断风险的时候，对风险的规避效应是较为明显的，他们较为一致地认为紧缩型战略的风险最小，而成长型战略的风险最大。这比较符合一般认为的对未知领域风险的规避和对已有风险的控制的认识。

6.对今后研究的启示

影响审计判断的因素是多样的，通常包括判断任务、判断环境及审计人员个体差异。本次实验中，由于能力有限，笔者通过限定其他条件仅研究了审计人员个体特征中的气质因素在风险判断中产生的影响。因此今后的研究可以考虑其他可能影响审计判断的因素，并设计更复杂的场景，使得研究更接近实际情况。综合研究审计人员个体差异、审计环境和审计任务等多因素之间的互动关系将是审计判断研究的趋势。

本次研究对总体审计程序具有一定意义。这让笔者对公司战略以及审计人员个体差异在审计判断中的作用有了进一步的理解。研究中发现审计人员可能对某些特定的战略，如成长型战略过度评估审计风险，而这也可能使得审计人员在后续的审计工作中更小心谨慎最后导致“过度审计”。过度审计是指没有基于已存在的审计风险中应用审计程序（即未能有效运用审计资源）。例如，一个过度谨慎的审计人员会认为客户内部审计工作是极度不可信的，以致花费更多的资源进行实质性测试。理解这一结论可以通过更有效地分配审计资源和提高审计程序的有效性来提高审计效率。因此，今后可以进一步定量研究这种过度的谨慎，从而给审计实务提供参考。

7.结束语

非常感谢在本次研究中给笔者提供帮助的老师和同学，特别是骆铭民老师和邓川老师。尽管笔者能力有限，研究成果也不十分完美，但是这也为进一步研究如何避免审计判断过程中因个体差异，特别是气质类型不同而造成判断偏误提供了证据。

参考文献：

[1]彭聃龄.普通心理学[M].北京师范大学出版社,2004:449-450.

[2]中国注册会计师协会.审计[M].经济科学出版社,2011.

[3]邓川.公司财务信息错报的分析程序研究:战略视角、量化模型和认知心理[M].经济科学出版社,2009:93.

审计风险评估范文8

【摘要】随着国际四大会计师事务所相继卷入会计丑闻当中，如何正确认识经营风险导向审计再次成为国内理论界和实务界争论的焦点。本文通过对“四大”审计风险评估模式进行比较，试图对“四大”之间审计风险评估模式的异同作一初步探讨，并对差异产生的原因进行分析，从而正确、客观地认识经营风险导向审计。

一、引言

近年来，国内外频繁爆发了一系列极具震撼力的重大财务舞弊案。从我国内地的琼民源、银广厦，再到美国的安然、施乐、世界通讯，这些舞弊案件在严重危及资本市场健康发展的同时，也使得审计职业面临信用甚至生存危机。国际五大会计公司之一的安达信因审计失败而倒闭，毕马威也因施乐事件而卷入到会计丑闻之中，“五大”中的另一家德勤更是因为“科龙门”事件遭遇集体诉讼。人们不禁对以安达信为代表的“五大”国际会计公司目前所推崇采用的，各自均认为是完美的经营风险导向审计（Business Risk-Oriented Auditing）提出了质疑。如何正确认识BRA再次成为国内理论界和实务界争论的焦点。

有关BRA的争论，源于审计理论界和实务界所站的角度不同，从而两者对BRA的认识也存在很大差异。BRA是以审计风险评价为中心的审计方法，是国际五大会计公司在面临大量申诉威胁的情况下开发的，目前已经在国际四大会计师事务所中得到全面推广。但遗憾的是有关“四大”在实践中究竟如何将审计风险具体落实到审计实务中从而来开展审计工作的，他们各自既未作系统介绍，也未曾公开。鉴于BRA以风险评估为中心，笔者从风险评估目标、风险评估范围、审计计划阶段风险评估程序、风险评估方法以及风险评估证据来源五要素入手，对“四大”审计风险评估模式进行比较，分析它们之间的异同之处，从而正确、客观地认识BRA。

二、风险评估目标

BRA 产生的一个重要背景是因传统风险导向审计风险评估不到位，不能有效地发现财务报表中存在的重大错报风险，审计期望差越来越大。更深层次的原因是实务中很多客户在审计之后面临着很高的经营风险甚至经营失败风险而引发审计失败。尽管经营失败并不必然带来审计失败，但当被审计单位在审计完成以后发生经营失败导致审计失败，公众往往会有扩大注册会计师责任的倾向，因此会给注册会计师带来极高的诉讼风险。为有效降低注册会计师以及会计师事务所卷入诉讼的几率，以“四大”为首的大型会计师事务所开发了新的审计方法用以应对并控制诉讼风险，因此“四大”风险评估采用BRA的出发点是一致的，其总体目标也基本一致，即首先通过风险评估识别被审计单位的重大经营风险，特别是经营失败风险，并进而确定重大错报高风险(尤其是管理舞弊风险)环节，再根据风险的性质和高低确定审计的范围和重点，进一步决定如何收集、收集多少以及收集何种性质的证据，以便更有效地控制和提高审计效率及效果，从而将审计诉讼风险控制在可接受的风险水平之内。

三、风险评估的范围

BRA所持有的广义审计风险概念，使“四大”在风险评估时除了要考虑能够引起会计报表重大错报风险的具体风险之外，还要重点评估由于被审计单位经营失败而导致事务所本身遭受损失或不利的可能性，即对接受审计委托的业务关系风险进行评估。会计报表重大错报风险总体可分为两类：错误风险和舞弊风险。能够引起这两类风险，特别是舞弊风险的具体风险包括被审计单位的内外环境风险、管理风险、经营风险和财务风险等。这四类具体风险并不是独立的，而是相互影响相互作用，特别是其它三类风险都有可能引起经营风险，因此在进行风险评估时要注意它们之间的相互转化。除此之外，能够引起业务关系风险只有被审计单位的经营风险。由于经营风险既能够引起会计报表重大错报风险，又能够引起业务关系风险，因此BRA风险评估的重心是被审计单位的经营风险。“四大”的审计方法均将经营风险的评估作为风险评估的核心，风险评估范围总体上基本一致，但对风险评估具体范围的认识却存在差异。如 KPMG和E&Y在开始审计时都要对被审计单位的经营目标、经营战略和关键经营流程进行分析，从而来评估被审计单位的重大经营风险；但 PwC 尝试了解所有用来管理企业的外部和内部的信息，并对被审计单位所有的经营风险进行识别和评估，利用其经营分析框架(Business Analysis Framework)从四个维度(客户经营所在市场环境、客户经营目标战略、客户最关键的价值创造活动、管理当局经营业绩的财务计量方法)来对被审计单位的总体经营情况进行了解并对其经营风险进行评估。DTT则是全面了解影响被审计单位生产经营的内部因素(所有权结构、经营目标、会计政策等)和外部因素(所在行业情况、经营环境、法律法规要求等)，从而评估经营风险对会计报表整体和特定会计账户的影响。可见 “四大”风险评估的核心是经营风险，具体范围的认识及对引起该风险的各风险因素的重视程度稍有差异，相比 DTT，PwC、KPMG 和 E&Y 在评估经营风险时更加重视对被审计单位经营战略以及经营流程的分析，更注重从粗犷的层面来对风险进行评估。

四、审计计划阶段风险评估程序

审计计划阶段就是一系列的风险评估过程，自始自终贯穿了风险评估程序。与制度基础审计相比，BRA审计方法非常强调审计计划的重要性，在一个完整的审计过程中审计人员要花大量的时间用于制定较详细的审计计划。而在审计计划的制定过程中审计人员就需要运用大量的风险评估程序对各种风险进行评估，从而来计划进一步审计程序的性质、时间以及范围。在审计计划阶段“四大”的风险评估程序总体思路基本上是一致的，但在具体风险评估程序上还存在一定的差异。

（一）经营风险评估

在审计开始时，“四大”都需通过一定的方式对影响被审计单位经营状况的内外部因素进行充分的了解，以收集充分、适当的风险评估证据。具体风险评估程序，PwC、E&Y和KPMG：战略分析战略经营风险评估战略相关控制了解及评价[战略控制和管理控制了解及评价]剩余战略经营风险评估流程分析流程经营风险评估流程相关控制了解及评价[流程控制和管理控制了解及评价]剩余流程经营风险评估剩余经营风险评估财务报表整体层次重大错报风险评估[财务报表整体层次(FST)重大缺陷风险(RMW)、重大错报风险(RMM)评估]；DTT：影响生产经营的内部因素了解影响生产经营的外部因素了解经营风险评估被审计单位整体层次内部控制了解及评价剩余经营风险评估财务报表整体层次重大错报风险评估。“四大”各自风险评估程序的异同。

1. 共同点：一是“四大”关注的内外部因素相互之间基本相似，如行业状况、企业的目标、战略、企业财务业绩计量方法等，特别关注被审计单位的持续经营状况和舞弊可能性；二是“四大”都对被审计单位整体层次的内部控制整体框架进行了解。企业整体层次的控制是企业内部控制的组成部分，它们遍布整个企业，不仅仅只和某些特定的交易业务类别和账户余额或者其它具体认定事项相关。“四大” 通过分别了解内部控制的五个组成要素(控制环境、风险评估、控制活动、信息与沟通以及监督) 来实现对被审计单位整体层次内部控制整体框架的了解，继而重点评价内部控制对经营风险，特别是舞弊风险预防和侦查的有效性(如考虑是否存在管理层逾越内部控制的可能性等)，进而对剩余经营风险(即没有被整体层次内部控制防止或检查出的经营风险，包括舞弊风险)进行评估。

2. 差异：一是对被审计单位经营状况了解时关注的重点稍有差异。具体在了解被审计单位经营状况的方式上，PwC、KPMG和E&Y 三者都是通过战略分析和流程分析两个程序来了解的，将最主要的精力花在对被审计单位经营目标和战略以及关键的价值创造流程的分析上，从而来评估经营风险；DTT是通过了解影响被审计单位生产经营的内外部因素来了解被审计单位经营状况的，并没有表现出对上述因素特别的关注，而是通过综合分析影响被审计单位生产经营的内外部因素，从而评估经营风险。由于上述了解方式差异的存在导致了前三者在对被审计单位经营状况了解时关注的重点和DTT稍有差异。二是 DTT 和 PwC 、KPMG、E&Y 在风险评估程序上也体现出了较大的差异。在了解企业整体层次内部控制和评估经营风险时，后三者是通过对战略、流程相关的控制分别进行分析了解以及对相关的经营风险分别进行评估来完成的。而相比KPMG将风险评估的层次明确划分为三个，即财务报表整体层次(FST)、重大交易业务类别和账户余额层次(CAB)以及内在认定层次(ASR)，并引入“重大缺陷风险”(Risk of Material Weakness,简称 RMW)概念，同时借鉴国际审计准则“重大错报风险”(Risk of Material Misstatement,简称 RMM)概念，规定审计人员必须在三个层次下分别对 RMW 和 RMM 进行评估。在该步骤中 KPMG 最后需要分析剩余经营风险对财务报表整体的影响，并在财务报表整体层次(FST)对重大缺陷风险以及重大错报风险进行初步评估。 KPMG 更是明确将企业整体层次内部控制分为战略控制、管理控制和流程控制，又将经营风险分为战略经营风险和流程经营风险。因此，在概念上定义更加清晰。而 DTT 对内部控制和经营风险既没有进行明确的分类，在了解内部控制和评估经营风险时也没有分别进行了解和评估。

（二）固有风险评估

“四大”在评估固有风险之前首先都要对被审计单位财务报表的重要账户、重大交易类别及相关重大认定进行识别，该步骤“四大”各自风险评估程序，PwC、E&Y和DTT：财务报表重要账户、重大交易类别及相关重大认定识别(结合财务报表整体重大错报风险)认定层次固有风险评估；KPMG：财务报表重要账户、重大交易类别及相关重大认定识别(结合 FST层次重大错报风险)CAB 层次以及 ASR 层次固有风险评估；经分析，“四大”各自风险评估程序的异同：

1.“四大”识别风险的红旗标志基本一致，如重要账户的识别标准包括账户存在重大错报的可能性、相关交易的数量和复杂性、经营风险的影响以及所需判断的程度等。“四大”在低层次对固有风险进行评估时，除考虑传统方法下所需考虑的因素(账户性质和组成、交易复杂程度、关联方等)之外，还重点考虑剩余经营风险对财务报表整体的影响，即考虑财务报表整体重大错报风险对相关账户、交易类别和认定产生的影响，因财务报表整体层次的重大错报风险同样可能会在低层次继续存在。特别是当已经识别到被审计单位可能存在舞弊情形时，审计人员尤其要关注舞弊风险对财务报表重要账户、重大交易类别及相关重大认定的影响。

2. KPMG 与其他三者存在一定的差异，主要体现在两方面：一是在识别重要账户、重大交易类别及相关重大认定的时间安排上有所不同。KPMG 是在对被审计单位执行战略分析和流程分析的同时对重要账户、重大交易类别及相关重大认定进行识别的，可见其在时间安排上相比有所提前。二是 KPMG 需要在 CAB 层次以及 ASR 层次下分别对固有风险进行评估，而PwC、E&Y和DTT则仅仅在认定层次进行评估。

（三）控制风险初步评估

由于企业(特别是像“四大”客户那样的大中型规模的企业)低层次具体的内部控制(除了控制环境要素以外的其它四要素)主要是针对各个交易业务类别来设计的，因此“四大”在了解低层次内部控制时是通过将被审计单位的业务划分成若干业务循环，再按每一业务循环去了解内部控制。具体PwC和DTT：识别并了解认定层次关键控制内部控制有效性评价 (结合对企业整体层次内部控制的了解)认定层次控制风险初步评估决定认定层次审计策略(信赖/不信赖内部控制)(信赖)执行控制测试； KPMG：识别并了解 CAB 层次以及 ASR 层次关键控制CAB 层次以及 ASR 层次内部控制有效性评价(结合对 FST 层次内部控制的了解)CAB 层次以及 ASR 层次 RMW(即控制风险)初步评估决定CAB 层次以及 ASR 层次审计策略(信赖/不信赖内部控制)(信赖)分别执行控制测试；E&Y：识别认定层次关键控制初步决定认定层次审计策略(信赖/不信赖内部控制)(信赖)了解认定层次关键控制内部控制有效性评价(结合对企业整体层次内部控制的了解)认定层次控制风险初步评估，决定是否执行控制测试。这种了解方式能使审计人员的注意力集中在各业务循环的关键控制点上，提高审计程序的效率，也便于审计人员在以后的审计程序中按不同的业务循环采取不同的审计策略，“四大”的BRA与传统审计方法是保持一致的。各自对控制风险进行初步评估异同点如下：

1. PwC 和DTT 对控制风险进行初步评估程序基本一致。由于KPMG对风险评估层次划分的差异，使得KPMG在该步骤上同上述两者存在相应的差异。KPMG需要识别和了解 CAB 和ASR 两个层次的关键控制,并对这两个层次内部控制的有效性分别进行评价，从而对各自的RMW (即控制风险)分别进行初步评估。再则PwC 和DTT 只需决定认定层次的审计策略，KPMG还需在CAB和ASR两个层次下分别决定审计策略，对于采取信赖内部控制策略的则要计划进一步的控制测试。

2. E&Y 与 PwC、DTT 存在一些差异。在识别了认定层次的关键控制后，E&Y 首先要决定相关认定的审计策略，对于采取信赖内部控制策略的认定就要进一步识别并了解和其相关的关键控制，而对于采取不信赖内部控制策略的认定就直接计划进一步实质性测试，不用了解和其相关的内部控制。对于采取信赖内部控制策略的认定，在对其控制风险进行初步评估后，还需要最后决定是否对相关控制执行进一步的控制测试。

（四）计划进一步审计程序(计划控制测试和实质性测试)

计划进一步审计程序是审计计划阶段的结束程序。由于固有风险和控制风险都受企业内外部环境的影响，两者之间联系紧密，很难将它们单独分得非常清楚。因此在该步骤中，“四大”在单独对它们进行初步评估的基础上还须对两者进行综合评估，即固有风险和控制风险的联合评估，得出被审计单位财务报表低层次存在的重大错报风险。最后根据审计风险模型计算得出相应层次的检查风险初步水平，并依据检查风险初步水平来进一步计划相应层次实质性测试的性质、时间以及范围。该步骤“四大”各自风险评估程序：PwC、E&Y和DTT：计划控制测试的性质、时间以及范围认定层次固有风险和控制风险联合评估认定层次检查风险(DR)推导计划实质性测试的性质、时间以及范围；KPMG：计划控制测试的性质、时间以及范围CAB、ASR 层次 RMM 初步评估CAB、ASR 层次 DR 推导计划CAB、ASR 层次实质性测试的性质、时间以及范围。特别指出的是，E&Y 在认定层次下将固有风险和控制风险进行联合时专门引合风险(Combined Risk)的概念，定义联合风险为财务报表重要账户以及财务报表其它相关认定固有风险和控制风险的联合，并明确指出联合风险是审计工作的核心，其余的审计工作都要围绕联合风险来进行，联合风险的评估结果是决定实质性审计程序性质、时间以及范围的基础。事实上，国际审计与鉴证准则委员会(IAASB)正是受到“四大”对固有风险和控制风险进行联合评估构思的启发才引入“重大错报风险”概念的。因此可以说，“四大”对固有风险和控制风险的联合评估是对传统审计方法风险评估模式的一大创新。经分析，该步骤 PwC、E&Y和DTT 风险评估总体程序基本一致，而 KPMG 在该步骤上与其他三者存在一些差异。KPMG 需要将 CAB 层次以及 ASR 层次各自的固有风险和 RMW 分别进行联合评估，从而来初步评估各自层次的RMM，在此基础之上再根据审计风险模型分别计算 CAB、ASR 层次的检查风险水平，并进一步计划 CAB、ASR 层次各自实质性测试的性质、时间以及范围。而其他“三大”仅仅需要在认定层次将固有风险和控制风险进行联合以及在认定层次计划实质性测试程序即可。

五、风险评估方法的运用

BRA在风险评估时除了应用其他的方法之外，最注重对分析性程序的运用，审计人员不仅对财务数据进行分析，同时也对非财务数据进行分析，同时大量的分析性工具和现代管理方法被运用到分析性程序中去。虽然“四大”在风险评估时都注重分析性程序的运用，但相互之间对分析性程序的重视程度和应用力度还是存在一些差异的。

由于在审计计划阶段对被审计单位经营状况进行了解的方式不同，相比DTT，PwC、KPMG和E&Y更加注重对分析性程序的应用，在执行分析性程序时运用的分析性工具也相对较多。如在战略分析时运用了PSET分析和POPTER分析方法；在流程分析时运用到了价值链分析(VCA)和波士顿矩阵(BCG)以及SWOT分析方法；在绩效分析时运用了平衡积分卡(BSC)和标杆管理(Benchmarking)分析技术等。而DTT 在了解被审计单位经营状况时并没有将最主要的精力花在研究客户的经营战略和经营流程上，而是综合考虑了影响被审计单位生产经营的内外部因素，同时对报表资料实施初步分析性复核，如同业分析、纵向分析、非财务数据与财务数据比较以及财务数据之间比较等。而在PwC、KPMG和E&Y三者中， PwC 更加注重也更擅长应用分析性程序来进行风险评估。这主要是因PwC 的客户多数为成熟型的超大规模公司，通过对客户实施大量的分析性程序有助于大大提高审计效率；同时也因为PwC 本身具有的风险评估工具――全球最佳实务(Global Best Practices,简称GBP)――使得其更擅长实施大量的分析性程序。

六、风险评估的取证

风险评估其实就是评价管理当局在财务报表中确认和披露的信息与被审计单位实际经营状况之间的符合程度，而要了解被审计单位的实际经营状况就需要从多方面获取足够恰当的证据。证据可以从公司内部或者公司外部获取，由于从公司外部获取的证据相比从内部获取的证据更加不易受管理当局控制和歪曲，因而相对来说具有较高的可信度。BRA 在风险评估时除了注重从公司内部获取证据之外，也注重从公司外部获取证据。如“四大”在了解被审计单位的经营状况时都要获取公司外部信息（行业市场状况、相关法律法规以及总体经营环境等），还会询问投资者、分析家以及前任注册会计师（若为新客户的话）对被审计单位经营状况的看法。

特别值得一提的是，近年来KPMG在对风险评估证据理论研究方面已经有了新的进展，最重要的研究成果就是提出了审计证据“三方印证”的理念。KPMG将风险评估基本证据来源分为三种，即EBS(Entity Business States)、MII(Management Information Intermediaries)以及MBR(Management Business Representations)，并将其获取证据的方法称为Triangulation(三方印证)，指从上述三个基本证据来源收集可以相互佐证的证据的方法。由于从EBS获取的证据属于外部证据范畴，不容易被管理当局歪曲，因此该方法强调在风险评估三个层次(FST，CAB，ASR)评估风险时均要用从EBS获取的证据来对从MII 和MBR获取的证据进行佐证，这样可以帮助审计人员发现会计报表重大错报风险以及在财务报告内部控制方面的重大缺陷风险。目前“三方印证”的取证理念已经代表了风险评估取证的一个新方向。

结束语

审计风险评估范文9

（一）内部审计机构独立性相对不强目前，我国企业内部审计机构的设置主要有以下几种模式：隶属于总经理、隶属于董事会、隶属于监事会。内部审计机构是单位内设机构，在单位负责人的领导之下开展工作，为单位服务利益制约，导致内部审计的独立性具有相对性，在审计过程中不可避免的受本单位的利益制约和影响。

（二）被审计单位内部控制设置存在一定缺陷内部控制制度是现代企业的一项重要管理制度，内部审计作为企业管理的一个重要手段，在对众多目标进行审计时，越来越依赖于对内部控制制度的评审。但被审计单位的内部控制设置不健全，或者虽然有严密的内部控制制度，但企业未能有效全面执行或者不能有效防止企业经济活动的差错和舞弊行为，使内部审计人员据此不能发现企业存在的问题和错弊，形成了审计风险。

（三）内部审计所处的外部环境不佳1.内部审计法制不健全随着市场经济的发展和改革的深入，许多新情况、新问题不断出现，而目前我国内部审计的依据仅有一部1995年7月的《审计署关于内部审计工作的规定》，缺乏统一的内部审计准则。2.内部审计对象所处的外部环境复杂由于内部审计事项一般与企业生产经营活动联系较为密切，涉及到企业生产经营的方方面面，一些敏感事项涉及人事关系复杂，舞弊手段隐蔽，内审人员取证难度较大。内部审计事项的复杂性和隐蔽性往往会增加审计难度，使审计人员对事实真相难以做出准确判断，从而面临审计风险。

（四）内部审计人员风险意识薄弱虽然审计风险已为大多数审计人员所熟知，但在实践中，审计风险问题尚未引起审计人员的足够重视，也不知道如何去防范审计风险，所采用的审计模式、审计方法未适应经济环境变化，这势必加大审计风险。因此，要增强审计人员的风险意识，把审计风险引入到实务工作中，在审计过程的每一个环节，都要注意审计风险的防范和应对。从而把审计风险控制在可接受的水平。

二、内部审计风险防范策略

（一）建立独立内部审计委员会内部审计机构设置模式中监事会模式、董事会模式、总经理模式独立性相对都存在一定不足，建立独立内部审计委员会，建立独立监理层、董事会、管理层的独立的审计委员会，就能实现内部审计的保持机构独立性要求：保持人员独立、保持经济独立、保持工作独立。

（二）加强内部审计协会对内部审计监督审计队伍素质的高低是决定内审工作质量和防范审计风险的关键内部审计协会要从建立职业准入制度。建立审计人员后续教育制度。定期进行绩效考核，建立人才竞争机制方面着手，防范内部审计风险。

（三）加快有关内部审计法规制度建设审计法律法规是执行审计工作的准绳，是防范审计风险发生的重要措施。在审计法律的制定过程中，必须充分考虑审计法律的科学性、可操作性。同时加大对内部审计违法行为的处罚。加强内部审计的权威性，在制定违反审计会计法律法规的法律责任时，加大对违法行为的处罚力度是充分发挥审计会计法律法规作用的关键。

（四）采用以风险导向基础审计模式风险基础审计是将审计风险观念全面运用于审计过程的一种审计模式，它通过对审计风险进行系统的分析和评价，来确定审计风险是否可以控制在可以接受的范围内。它不仅对客户的控制风险进行评价，同时更要对产生风险的各个要素进行分析和评价，以确定实质性测试的范围和重点。这样就使审计风险与外部环境密切联系起来，以风险的分析和控制为出发点，进行符合性测试、实质性测试、分析性检查等方法，分析综合各种审计证据，以控制检查风险。当前我国内部审计也应尽快实现向这种模式的过渡，以提高审计质量。

三、结语

精品推荐