经营风险导向审计是否走向终结

1、经营风险导向审计:终结PK新生夏草一.审计与咨询分离导致BA模式受挫自2001年发生银广夏事件后,风险导向审计就成为业界一个重要话题,到了2005年底到了2006年初,这个话题逐渐淡出业界的视角究竟什么才是风险导向审计?这个”风险”是否指的是”经营风险”?2004年初,中注协秘书长陈毓圭发表文章纵论风险导向审计的前世今生,陈秘书长肯定了SSA(战略系统审计)是职业界探索风险导向审计的重要成果,而这个SSA就是一个经营风险导向审计的范例;2005年秋天,上海国家会计学院召开”现代风险基础审计论坛”,英文就是”Business Risk Based Auditing”,论坛请来了”Business

2、 Risk Based Auditing”模式的创始人KnechelIra Solomon等过来发表演讲 但经营风险导向审计一开始就受到业界的质疑,经营风险与重大错报风险之间到底是什么关系?按照经营风险导向审计模式,从战略风险到流程风险再到剩余风险,都是经营风险,中南财大博导张龙平对此模式就深不以为然,认为经营风险的识别评估及应对那是管理层的事,而不是审计师的事;北京国家会计学院秦荣生更是对经营风险导向审计进行了全面批判,认为经营风险导向审计的理论与方法体系严重脱节,难以指导实践;经营风险导向审计作为一种技术方法,难以规避审计失败,改变了审计的本质特征;厦门国家会计学院黄世忠也对经营风险导向审

3、计持怀疑态度,认为它是导致审计失败重要原因.作为中注协分管标准的杨志国也对此模式不以为然,认为审计风险准则并不是经营风险导向,而只是在企业了解层面多了两个内容,一是相关的目标战略及经营风险,二是财务业绩的衡量和评价.在新版CPA审计教材P172中论及”经营风险对重大错报风险的影响”中认为,CPA了解被审单位的经营风险有助于识别财务报表重大错报风险抵,但并非所有的经营风险都与财务报表有关,CPA没有责任识别或评估对财务报表没有影响的经营风险,并称”多数经营风险最终都会产生财务后果,从而影响财务报表,但并非所有经营风险都会导致重大错报风险.笔者的理解是CPA只需关注可能导致财务报表产生重大错报的经

4、营风险,如七喜电脑(002027)04年在中小板上市,主营七喜电脑,众所周知,电脑行业存在过度竞争,与家电一样,行业内二线品牌生存非常困难,甚至一线品牌也在亏损经营,审计师要分析电脑行业存在的经营风险对七喜电脑的影响,结合七喜商业模式及团队能力,判断七喜电脑到底是盈利还是亏损?如果是盈利,销售净利率大至有多少?为什么七喜资金运营效率高,是否有虚增销售额嫌疑?七喜在上市之后,宣布要进军手机,这又是一个高风险的行业,审计师要判断七喜进军手机行业可能存在的财务后果,如是否会破产等?因为这影响到公司的持续经营问题.但是问题就来了,七喜进军手机的前景,审计师如何能做出准确的预测呢?在上海国家会计学院20

5、05年“现代风险导向审计论坛”上，编写了第一本系统介绍现代审计方法教材审计：鉴证与风险的佛罗里达大学会计学院审计学教授W. Robert Knechel在题为“现代风险导向审计的实施与障碍”的演讲中举例说明了经营风险审计的运用 本案例引自张菱：自上而下 财务总监2005.10：Rubbermaid曾是美国全球领先的塑料制品生产商，产品包括储藏罐和垃圾箱等。在90年代中期，该公司连续数年的年均增长率超过14%，且连续三年被“财富”杂志评选为“美国最受欢迎的企业”。对Rubbermaid进行战略分析后发现，该公司对原油价格的波动非常敏感，因为塑料制品的一个重要原料是树脂，而树脂是通过原油炼制的。但

6、Rubbermaid没有采取任何控制原材料风险的措施既没有集中采购，也没有与供应商签订长期购买合同。而实际上，该公司是世界上最大的树脂消费商之一，以其采购规模，完全可以通过谈判获得很优惠的价格。但该公司没有利用集中采购所能赋予它的定价能力，而是在全球12个地方分别采购。当原油价格上涨时，它只能把增加的成本转嫁给客户。该公司也未能有效管理与最大客户沃尔玛的关系。沃尔玛拒绝接受价格上涨，并把Rubbermaid的产品放在靠里的货架上，而将Rubbermaid的低价竞争对手Sterlite的产品置于位置最好的货架上。该公司另一个战略方面的问题是制定的增长目标太高试图维持14%的年增长率。实现目标的困

7、难给管理层形成巨大压力，而这一点对于内控环境十分不利。同时，它在欧洲的扩张也遭遇挫折。 基于这些情况，审计师可作出合理的财务业绩预期：销售增长放缓、销售毛利收窄、利润降低、研发费用需要增加等。假如出现与预期不一致的情形，如这一年的销售毛利反而比去年增加等，审计师就要打个问号。同时，审计师可能估计它会通过降低产品质量来降低成本，以达到业绩目标，这就需要对成本结构进行分析，看它有没有改变产品配方来压缩成本；如果它产量过大而销售又不利，它的库存应该会增加；还有资本结构方面，它在欧洲投资失败，这些资本是否作为坏帐冲销掉；等等。通过这样一步步的分析评估，审计师可以判断出该公司风险较高的领域。这个案例大家

8、可能可以接受经营风险导向审计的理念,但Knechel在第二版审计：鉴证与风险第五章”了解客户的经营状况:战略性分析”开篇的这个案例,大家可能无法承受:在20世纪80年代,房地产中介开发商及评估师操纵着地产的价值,使其不断攀升,而金融机构基于这样的地价来提供抵押贷款.只要地产价值不断上扬,没有人会特别在意地产的高价能否持续下去-因为销售商乐意记录大额的会计收益,而投资者也会很高兴.最终,飞涨的地价崩溃了,通常造成当地的经济环境恶化,贷款人失去大笔的资金,投资者则损失惨重,而接踵而至的是对审计人员的诉讼.审计人员认识到那种市场条件下不能支持地产价值如此飞涨了吗?也许认识到了,但是如果这样,那他们在

9、得出有关贷款估价结论的时侯就没有考虑上述情况.他们是不是应该努力地深入了解当地房地产呢?他们绝对应该这样做,这样他们可能会意识到建筑增长率超过了人口增长率时,是不可能导致地价持续攀升的! Knechel:审计：鉴证与风险第二版 中信出版社2007年 北国会组织翻译这个案例让人沉得匪夷所思,CPA如何能预见到房价的暴跌呢?中国当前的情况与美国上世纪80年低是否一样? 面对当前的楼市股市非正常暴涨,笔者前面发了一个帖子”谨防泡沫破裂,牛市审计更应谨慎”, 笔者认为,经营风险导向审计有很多理念值得借鉴,尤其是在会计估计估计以及持续经营判断时,但经营风险不是重大错报风险,作为审计师,其本职是识别评估及

10、应对重大错报风险,而不是经营风险,经营风险往往不是重大错报风险的直接成因,对于重大错报风险形成影响是间接的.审计师不是咨询师.不是对企业的经营进行诊断的,而是对财务报表发表意见的.很多重大错报是在高层直接授意或指挥下形成的,与经营风险无直接的关联.经营风险导向审计似乎已淡漠,我们该从中吸取什么教训呢?二.财务审计与内控审计并行激发BA重生前段时间，笔者提出财务报表审计要转换理念：多分析、少测试。可近日，笔者发现这个“新思维”是有问题的，最大的缺陷是忽略了萨班斯404条款的影响。最近，视野转载了一篇文章：为了萨班斯 中国公司一年多掏2亿美元（据全球十大律师事务所之一的路伟国际律师事务所介绍，40

11、4条款是萨法中最难操作、最复杂、耗费成本最高的一个条款。 该条款规定，在美国上市的企业，要建立内部控制体系，其中包括控制环境、风险评估、控制活动、信息沟通以及监督5个部分。内部控制活动的记录不仅要细化到像“产品付款时间”这样的细节，而且对重大缺陷都要予以披露。 据国际财务执行官组织对321家企业调查，每家遵守萨法的美国大型企业第一年实施404条款总成本平均超过460万美元。为达标404条款，全球著名的通用电气公司花费了3000万美元完善内部控制系统。 路伟国际律师事务所专家指出，在美国上市的中国公司投入可能会更高，估算下来，44家在美上市的中国公司此项的花费将逼近2亿美元。404条款的核心是管

12、理当局要建立有效的内部控制系统并由年报审计师发表内部控制评价报告。我们知道，现代审计已从制度基础审计发展到风险导向审计。但404条款强调了财务报告的内部控制的重要性。亦即，在年报审计中，内控测试一定要执行。这推翻了风险基础审计理念，风险审计认为重大错报风险很低可以不进行内部控制测试，制度基础审计也强调可以不对不予依赖的内部控制进行测试。但萨班斯404条款要求所有内控都是有效的，否则审计师就不能出具干净的内部评价意见书。COSO在2004年发布了企业风险管理框架（ERM），取代1992年的内部控制综合框架，这个ERM的风险指的是经营风险，亦即企业不能实现经营目标的可能性，我们知道，经营风险与重大

13、错报风险有重大差异，根据ERM对企业的风险控制进行评价，这个与财务报表的内部控制离得太远了。笔者感觉，萨班斯404条款实际上将财务报表审计与内部控制捆绑在一起，其理论基础是建立在有效内部控制基础上的财务信息披露更可靠，但事实是这个理论论据是非常有争议的；随着内部控制发展为企业风险管理，财务报表审计与企业风险管理又连在一起。这表明，萨班斯404条款决定了当前的审计模式是经营风险导向审计，经营风险导向审计并未走向终结。萨班斯法强制会计行业审计与咨询分离，但事实上，404条款给会计行业带来巨额的利益，上述文章报道称：上市之初便饱受集体诉讼的中国人寿，启动加强内部控制建设的“404项目”已经多时。中国

14、人寿为此支付巨额的服务费用外聘国际四大会计师事务所之一的安永会计师事务所为其提供咨询工作，同时继续聘请普华永道会计师事务所作为外部审计机构。审计职业界利用404条款为客户提供企业风险管理咨询（当然审计师和咨询师不能同一家），审计师在提供年报审计报告同时还要提供内部控制审计意见，这也给审计师提供了丰厚的回报：一项业务，两项收费。所以，本来以为萨班斯法案强制审计与咨询分离会给审计行业带来致命的打击，想不到困祸得福，审计在内部控制咨询与审计方面赚得盆满钵满，这使工商界大为恼火，纷纷批评萨班斯法是一部“疯狂法律”。强化内部控制可以强化财务信息披露，但问题是这是否违反成本效益原则？萨班斯404条款下的财

15、务报表审计模式到底属于哪一类？制度基础审计还是风险导向审计？有人认为这是风险导向审计的发展，叫风险管理基础审计，将ERM与财报审计融为一体，而这实际上就是经营风险基础审计。难道风险基础审计的发展真是就是风险管理审计？这种审计不但要对财报的公允性发表评价，还要对客户的内控发表评价。这种审计模式与传统三种审计模式是有区别的，但他是否代表审计的发展方向？萨班斯近年来非议不断，也许这种模式也是“审计过客“，来也匆匆，去也匆匆。三.财务审计管理化改造能走多远? 有道是:合久必分,分久必合于增彪博士.去年在厦大作了一个演讲,主题是财务会计与管理会计的融合,可惜我没有去听.但感觉当前财务会计如果没有管理会计

16、来拯救,这个学科快成没落学科,当前的会计改革摒弃了传统的很多理念,报表编制者离薄记越来越远,所需的管理技能越来越多.与财务会计管理化的改造正在进行的同时,财务审计这一传统以历史性财务报表信息审计为职业的理念也在发生变革,公司冶理内部控制风险管理,这些原来离财务审计很远的东西,是管理审计关注对象,但如今也成了财务审计的核心内容.这场变革是财务审计发展的主流吧?最近看到上海国家会计学院刘勤教授一篇手记:刘勤美国随笔连载之八萨奥法案对审计教育的影响萨班斯-奥克斯利（Sarbanes-Oxley），法案（简称SOX法案）被普遍认为是美国自1933年证券法和1934年证券交易法之后影响上市公司的最重要的

17、金融法案，自2002年出台以来，它对在美国本地上市的公司产生了巨大的影响，影响范围涉及到公司治理、内部控制、财务报告、管理流程、信息系统、法律责任等各个方面，与此同时，它的出台也间接地对注册会计师、证券分析师、系统审计师、企业咨询师、律师、信息系统分析师等一些为上市公司服务的专业人士提出了调整知识结构的新需求。最近偶然看到一篇文章，相信对大家有一定的帮助。密歇根Michigan州立大学的Arens教授和Syracuse大学的Elder副教授在2006年11月出版的Issues in Accounting Education杂志上，发表了一篇题为Perspectives on Auditing

18、Education after Sarbanes-Oxley文章，从外部审计的角度，阐述了美国SOX法案出台后，审计教育应该做出的改变。文章从SOX法案的制订背景出发，通过对法案核心问题的讨论，从风险评估，理解商业风险，审计风险模型，欺诈风险和法务会计，404条款的控制测试，公司治理，PCAOB的规则，学生质量和数量及审计教育的供给，需要第二审计课程以及系统审计和审计取样等方面对审计人员的知识需求进行了深入讨论。文章认为，SOX法案对审计专业已经产生了深远的影响，虽然它并没有从根本上改变审计实践，但法案本身和当前的审计环境已经明显地影响到了审计的具体过程。为了适应SOX法案，审计人员必须更深入

19、的了解客户的商业风险和公司治理，商学院的课程中应该强调与此有关的商业战略、公司治理和控制方面的知识，此外，由于SOX法案要求审计师加强对内部控制的评估和测试，并将控制状况与财务决算声明和独立测试相关联，这就提高了学生理解内部控制和信息系统的重要性，也对信息系统和审计课程的整合提出了更高的要求。文章还认为教授们应该继续强调审计独立性和遵循最高职业伦理和专业标准的重要性，因为尽管SOX法案或许可以成功地延迟下一波审计失败，但并不可能消除今后所有的欺诈性财务报告和审计失败。PCAOB发布的第二号审计准则(内部控制审计)口号是: 与财务报表审计协同进行的对财务报告内部控制的审计,这号准则就是应SOX4

20、04条款要求发布,404条款要求年报审计师在对财报发表审计意见同时发表内控评估意见.内控评估是否属于鉴证业务?如果属于鉴证业务,又属于哪一类型的,审计抑或其它鉴证业务?PCAOB AS2名称就是审计,但它显然不是财务报表审计业务,那它到底归属哪一类?当前会计界最流行概念是趋同,管理会计与财务会计趋同,管理审计与财务审计趋同,这是发展趋势吗?如果是,则这场变革对会计审计教育的影响是深远的,甚至是革命性的.四.CPA混业经营趋势:审咨一体化?最近在思考审计转型过程中,发现了自己的无知:对萨班斯法了解太少了,以致于404条款对审计模式及审计职业的影响都忽略了.当然,404条款现在是往后退,中国也没有

21、萨班斯404条款的规定,但中国财政部正在紧锣密鼓酝酿中国内控”圣经”-类似于美国COSO的ERM,如果中国的ERM出来之后,中国证监会是否会要求CPA是对上市公司年报审计同时出具内部控制风险管理公司冶理的审核报告?要知道,很早以前,中国证监会就要求CPA对证监公司出具内控有效性审核报告.2007年中国证监会又搞了一个”公司冶理”行动,可以说,中国证监会是一个典型的模仿者,美国那边有什么动静,中国就开始刻意模仿,如签字会计师的轮换制度等.如果不是萨班斯404条款受挫,估计中国很快就会推行404条款.这个背景就不多谈了,不管404条款命运如何,但404条款改变了审计模式,它使财务审计拓展为财务审计

22、与内控审计合二为一,内控审计本质上是一种审计咨询,亦就404条款对四大过去审计与咨询一本化作法作了肯定,在审计的同时可以提供咨询.本来萨班斯是强制审计与咨询分离的,但404条款将财务审计与部分管理咨询(内控审计)捆绑在一起,这使CPA行业收入结构发生重大变化,内控审计收入比重急剧上升,CPA行业是404条款最大受益者.中国银行业原来是混业经营的,商业银行法出台之后,限制混业经营,但目前发展趋势,商业银行走混业经营是必然的,这是改善银行业盈利质量最好路径之一.中国CPA行业从专业经营走混业经营也是一个趋势,大型事务所的非审计业务比重会不断上升,那么非审计业务如何拓展呢?404条款是一个启示,CP

23、A在提供年报审计时同时提供内部控制风险管理公司冶理的审核报告,这叫”审咨一体化”经营.目前很多行业在搞一体化经营,如纸业的”林纸一体化”,审计向前延伸就是咨询,这是纵向一体化,也是产业链延伸的一种方式.目前中国没有强制规定要出具内部控制风险管理公司冶理的审核报告,但知名会计师事务所可以拓展这块业务,有些客户愿意买单,包括2007年中国证监会开展的”公司冶理”专项冶理行动,CPA也可以出任咨询顾问.回到本文主题,在CPA行业混业经营今天,审咨一体化是不是一种趋势?中国没有404条款,但中国也没有规定审计与咨询不能由同一家CPA提供,这是一个机会,也是一个挑战!附一2002年萨班斯奥克斯利法案（萨

24、班斯法案）404条款第四章 强化财务信息披露第404 节 管理层对内部控制的评价(a) 内部控制方面的要求SEC 应当相应的规定，要求按1934年证券交易法第13 节(a)或15 节(d)编制的年度报告中包括内部控制报告，包括：(1) 强调公司管理层建立和维护内部控制系统及相应控制程序充分有效的责任；(2) 发行人管理层最近财政年度末对内部控制体系及控制程序有效性的评价；(b) 内部控制评价报告对于本节(a)中要求的管理层对内部控制的评价，担任公司年报审计的会计公司应当对其进行测试和评价，并出具评价报告。上述评价和报告应当遵循委员会发布或认可的准则。上述评价过程不应当作为一项单独的业务。附二：

25、现代审计四种模式根据原美国安达信公司专业人士, Paul Sobel, 在其于2003年所著的Auditors risk management guide: integrating auditing and ERM Paul J. Sobel:审计人员风险管理指南（审计与企业风险管理的结合）中信出版社2004年版本节选自卓继民：现代企业风险管理审计中国财政经济出版社2005年版一书中的概括,  现代审计方法在过去五十年中经历了四大阶段，其分别是： 控制基础审计（Control-basedl audit） 流程基础审计（又称经营审计）（Process-based a

26、udit）l 风险基础审计（又称风险导向审计）（Risk-basedl audit） 风险管理基础审计, 又称风险管理审计（Risk-management based audit）l以下我们分别就以上四个阶段审计的演变作简单的介绍。（一）控制基础审计（control-based audit）控制基础审计包括传统审计，主要盛行于二十世纪八十年代之前，主要是指以传统的实质性测试为主，基于其验证结果以使财务报表得以合理的确保（Reasonable Assurance ）不会出现重大误导。后来又扩展到内部审计，以达到以下三种目的之一：1、经过验证确保企业经营行为遵循法律、法规、既定

27、政策及原则方面的要求，该方法至今仍被广为采用，通常称为合规性审计（compliance audit）。需要注意的是，这里所指的合规性不仅仅包括对法律法规的遵循，还包括对公司现有政策、程序、业务规则的符合。2、进行某些报表数据的审计，（financial audit），类似于外部审计，只是其范围较窄，仅仅是基于审计工作对某些具体科目或财务数据，而不是对整体财务报表提供合理的确保。3、进行验证确保某些关键性控制措施运作有效，其审计重点是控制本身而非财务数据，因此又通常被业界称为控制审计（control audit），交易流程审计（transaction flow audit）或程序审计（proce

28、dural audit）。控制基础审计主要有以下特点：审计目标：确保合规性（包括符合法律、法规、程序、政策以及公认会计准则等）；l审计策略：了解规定或准则的要求，实施审计行为以确保合规性；测试方法：广泛采用统计抽样分析及实质性程序，虽然也会运用某些合规性测试方法（compliance testing），如穿行测试（walk-through testing）；审计建议书：主要针对不符合要求的例外事项或错识提出改进/纠正措施；控制基础审计至今仍然被广泛采用，而且由于该审计方法成熟度较高，且其审计方法在取证记录方面十分有效，因此目前其他不同的审计方法依然保留有控制基础审计的特征。（二）流程基础审计（

29、process-based audit）流程基础审计又称为经营审计（operational  audit）在二十世纪八十年度开始流行起来，主要被各大跨国公司的内审部门广为采用，而外部审计公司（当时的国际八大会计公司）也将该方法结合到财务报表审计之中去。虽然控制基础审计在八十年代仍然广泛运用，但审计界已经开始关注对企业关键性流程的设计，效率及效果进行评价，并在计价过程中参照流程最佳业务实践（Best practice）进行标杆分析（Benchmark analysis）,这就导致控制基础审计向流程基础审计转型。流程基础审计主要有以下特点：审计目标：确定所审流程实现其具体运作目标（spe

30、cific operational objectives）的有效性（效率及效果）；审计策略：在识别关键业务流程并了解其具体运作目标，并研究行业最佳业务实践基础上，确定流程在实现该等目标方面当前运作之有效性；测试方法：最典型的是采用咨询式的方式将流程与最佳业务实践进行缺口分析（Gap analysis），并辅助运用符合性测试方法评价流程运作；管理建议书：识别流程缺口所在，并指出该缺口对流程实现其设定目标的影响。同传统的控制基础审计相比，流程基础审计为审计师提供了更大的创造性思维的方法，同时也提升了审计的增值功能。然而由于流程基础审计并没有直接关注那些主要审计责任所指定的合规性，财务报表公允性及内

31、控有效性的领域，因此，业界一般是更多地运用流程审计进行审计计划的制定工作，而绝大多数的审计工作其他阶段仍然大量采用控制基础审计方法。（三）风险基础审计（Risk based audit）作为现代审计演变的第三阶段，风险基础审计在二十世纪九十年代得以发展并在各大国际会计公司全球范围内开始陆续推广。该方法的产生背景是九十年代初期各大国际会计公司开始日益注重咨询业务，尤其以安达信为最，其安达信咨询部门自从一九八九年独立运作以来到一九九九年从安达信正式脱离其年业务收入从十几亿美元上升到近百亿美元，毕马威, 普华永道等其他五大会计公司的咨询业务年收入也都到达几十亿美元以上。因此，当时的六大会计公司开发出

32、新的审计模式更注重于其为客户创造价值的商业模式的成功运作。风险基础审计就为其咨询业务提供了全方位的卖点。在基于对被审单位业务及业务风险了解的基础上，审计师可以有效地减少不必要的审计范围以集中审计资源关注高风险领域，并由此，审计业界发现该审计模式可以向企业管理层在风险控制活动方面提供更多的保障。该审计方法的主要特点是：审计目标：确定企业面临的主要经营风险并评估现有控制措施和程序是为何有效地将风险降低至可接受水平，即剩余风险；审计策略：了解企业业务，识别并评价风险控制措施，并评价现有措施如何将风险降至可接受水平，而对于非主要风险的控制措施则不予评估；测试方法：典型地是将实质性测试和符合性测试相结合

33、，控制基础和流程基础模式下的审计测试方法仍然被广泛使用，只是测试工作只注重于所识别的关键风险领域；管理建议：针对关键性风险的例外事项和错误提出若不将其有效地降至可接受水平的潜在影响。风险基础审计提升了审计功能在企业组织架构中的价值地位，因此审计业界开始运用风险基础审计方法判断应选择哪些项目以及如何实施该项目。该方法因此为企业管理层在确保审计资源分配方面提供了有力的保障。风险基础审计并不排斥制度基础审计和流程基础审计，只不过是对所关注的风险点实施具体审计程序。（四）风险管理基础审计（Risk management based audit）从二十世纪九十年代后期开始，随着新经济所带来的全球化， 电

34、子商务， 企业组织结构虚拟化， 集约化，专业化及扁平化矩阵式等商业特征， 许多跨国公司开始实施新的企业整体风险管理方法（本书将在第二部份详细介绍该方法）。审计行业所采用的风险基础审计虽然也同样关注到企业管理层在新的风险管理方法下的某些风险概念或风险领域，然而并未完全涵盖该领域。为与企业整体风险管理模式相适应，因此第四代审计模式即风险管理审计应运而生。风险管理审计可以说是风险基础审计的一种延伸，其基本吸收了风险审计各种特点，只是在此基础上扩大审计关注点到企业的主要战略目标（key business objectives），管理层对风险的容忍度，主要风险评价指标以及企业绩效评价分析等涉现代企业整体

35、风险管理领域的多方位角度。而且风险管理审计已经开始关注为实现企业战略目标应如何进行风险优化（optimizing key risk）如企业对哪些固有风险可以实行避免，转移或接受并予以控制的风险管理策略。因此，对企业而言，风险管理审计本身已经成为企业整体风险管理的重要组成要素。而对财务报表审计而言，以风险管理为基础的审计在兼容风险基础审计，控制基础审计及流程基础审计优势的基础上，更有效地识别出固有风险，继而实施控制风险及检查风险的审计程序，从而使企业财务报表风险作为企业整体风险的子集（后者与前者是全集和子集的关系）一道位于可接受水平。风险管理基础审计的特点包括：审计目标：确定企业战略目标，风险管

36、理策略及相应的经营风险（固有风险）并评价企业是如何实施风险管理有效性从而实现企业目标；审计策略：了解企业战略，经营及价值目标，以及经营行为。识别实现该目标以及其经营行为的主要固有风险。了解企业的风险管理策略及风险管理措施。评价企业的风险管理措施在将风险降至可接受水平方面的有效性。关注风险管理有效性缺口。测试方法：实质性测试与符合性测试相结合，其运用取决于企业风险管理之有效性。管理建议：针对每个所识别出的关键风险所存在的风险管理缺口。风险管理审计吸收了其他审计模式的优点，同时又关注到企业的战略、绩效等整体风险管理有效性，其不仅考虑到审计师可接受的剩余审计风险，更是从审计固有风险源头，即企业管理层

37、所进行的风险管理活动的角度识别并评价风险，从而才能更一步地从审计师及企业管理层双角度确保审计资源的分配及审计之有效性。附三:现代企业风险管理审计框架卓继民风险管理审计可以说是风险基础审计的一种延伸，其基本吸收了风险审计各种特点，只是在此基础上扩大审计关注点到企业的主要战略目标（Key Business Objectives），管理层对风险的容忍度，主要风险评价指标以及企业绩效评价分析等涉及现代企业整体风险管理领域的多方位角度。而且风险管理审计已经开始关注为实现企业战略目标应如何进行风险优化（Optimizing Key Risk）如企业对哪些固有风险可以实行避免，转移或接受并予以控制的风险管理

38、策略。在介绍现代风险管理审计之前, 本书先在第二章介绍了现代企业风险管理方法论的主要内容，该方法论正是现代企业风险管理审计模式的理论基础。从第三章到第五章本书详细正式介绍现代企业风险管理审计的主要内容，其主要框架介绍如下:一、了解企业经营识别经营风险 ( Understanding the Business and Risk Identification)了解企业经营识别经营风险可以说是整个审计框架本的第一阶段， 其提供了一个整体框架用于了解企业风险管理行为的有效性，并且分析企业的情况和信息流程。了解企业可以使审计师确认影响财务报表审计的重大错误、舞弊和审计失败风险并追溯其产生的源头，还可以使

39、审计师发现对该企业进行改进的机会。此外，还可以确认低风险的重要账户，并根据公认审计准则对其进行实质性测试。本部分主要关注以下问题： 企业中发生的哪些变化和产生的哪些问题对财务报表有影响？ 企业信息流程中哪些变化、问题和复杂性对财务报表有影响？ 财务报表审计中，什么是重大的错误、欺诈和审计失败风险？ 对于低风险的重要账户来说，哪些是需要执行的实质性测试？本部分所使用的主要分析工具包括：(1) 企业分析框架（Business Analysis Framework, “BAF”）BAF提供了一个通用的组织框架，用于了解那些影响企业成败的主要因素以及它

40、们之间的动态联系。这些主要的因素包括环境、信息、所有者、顾客、竞争者、价值、企业流程和管理层。BAF可以为审计师提供以下支持：（a）了解企业的相关情况，（b）通过考虑企业中那些影响财务报表的变化和问题来确认风险。(2) 企业风险模型（Business Risk Model, “BRM”）BRM提供了一份清单，列示了可以威胁组织整体或组织中特定流程的各种类型的风险。BRM可以对审计组提供以下支持：（a）定义审计失败风险和企业改进的机会，（b）评估审计失败风险和企业改进机会的完整性，（c）与客户管理层就审计失败风险和企业改进机会进行沟通。(3)  企业信息流程（Business

41、 Information Flow, “BIF”）BIF详细描述了事实从企业环境、各种流程和决策，通过信息流程，到财务报表和相关披露的流动过程。本框架定义了企业的信息流程要素和信息流动过程，并且协助审计师了解信息流程，从而识别错误风险。BIF的目的是：了解企业中的交易、事件和事实从发生之初直到进入财务报表和相关披露这一过程通过从上到下的关注，确认与会计原则、会计估计、信息处理（包括财务报告流程）和披露相关的错误风险，并追溯其发生的原因现代企业信息流程BIF包括四大阶段， 即：企业环境、业务流程和决策阶段；业务数据形成阶段；会计和管理信息生成阶段以及财务报表和披露阶段。信息流程的这四个阶段隐含有

42、不同的固有风险。本部分对这些固有风险类型及如何识别进行了详细说明。 本部分还在附录中提供了现代企业主要管理信息系统介绍, 现代企业主要经营流程图案例, 供参考。(4)  企业绩效评价分析 ( Business Performance Review, “ BPR”)审计师应当了解高级管理层如何衡量企业的运营绩效，并且应当评估高级管理层对企业绩效的监督行为的充分性。审计师应当在适当的时候提供补充性或可选用的绩效衡量方法，并对企业绩效的监督行为的改进提供建议。BPR的目的是： 通过以下方式识别风险：提高审计人员对于高级管理层的绩效衡量和监督行为的了解;制定对企业绩效的预期（“假定

43、”），并与实际的结果进行对比，从而确认两者之间的重大差异并加以分析;从管理层和第三方的角度，评估客户的企业绩效;关注企业的运营绩效，而不仅仅关注财务绩效; 通过向管理层提供企业绩效衡量和监督行为的改进建议，为客户提供更高的审计价值 遵循专业审计准则，这要求在审计计划阶段执行分析性复核程序审计师应当结合当年和将来的业绩，通过对收益性、流动性、资产管理、财务杠杆和市场价值等主要方面进行分析，从而评估企业的绩效。本章还在附录中提供了案例分析, 绩效考核主要基础理论, 主要行业常见舞弊迹象及建议审计程序, 现代企业主要经营流程考核指标, 供读者加深对企业绩效分析的理解和运用.(5)

44、 企业整体风险管理有效性评价（Business Risk Management Process, “BRMP”）本章提供了现代企业整体风险管理流程框架, 用以识别和评价企业的整体风险管理有效性, 并考虑其评价结果对审计的影响. 本章的附录提供了该评价结果对审计影响的分析参考, 在评价过程中可询问管理层的问题样本, 企业整体风险管理的最佳实践方案, 以及企业风险管理流程无效的可能后果, 供参考。在风险识别汇总部分，分析了针对所识别出的固有风险如何进行排序和溯源； 而在本阶段的最后部分， 对这些风险如何同财务报表科目衔接 ( Financial Statement Linkage, “

45、FSL”) 以及对低风险但重要性报表科目 ( Low Risk Material Accounts) 的审计策略进行了说明。二、企业风险控制评价 ( Risk Control Assessment)企业风险控制评价是整个审计框架的第二阶段，其提供了一个完整的框架用于评估管理层如何对信息流程和特定估计的相关风险进行控制。评估企业的风险控制可以让审计师考虑依赖该控制，将审计风险降至可接受水平，这通常是财务报表审计方法中最有效也最高效的。本章还助于审计师向客户提供有价值的控制改进建议。本章提出了以下问题： 企业如何控制信息流程和特定估计的风险？ 企业如何确定其风险控制流程在有效的运作？这一阶段所使用的主要工具包括：