第六章风险评估与应对

风险评估与应对一、审计风险评估程序(一)确定期望审计风险(二)评估重大错报风险(三)将重大错报风险分配到账户认定层次(四)确定剩余风险(五)综合评估审计风险

(一)确定期望审计风险

期望审计风险是指审计师所愿承担的一种主观确定的审计风险，又称可接受的审计风险，或终极审计风险。期望审计风险是审计师主观预先确认而又客观存在的准备承受的审计风险。一般情况下，审计师要根据会计师事务所的审计手册或根据以往的经验进行确定。大多数审计师会将其确定为5％。当然，也有一些风险偏好型的会计师事务所和审计师确定的期望审计风险大于5％。近几年审计失败案例层出不穷，一个重要的原因在于企业财务舞弊越来越多，舞弊手段越来越隐蔽。在这样的审计环境下，审计师对于期望审计风险的确定应坚持“宁可低估，不可高估”的原则，将期望审计风险确定在5％以下。(二)评估重大错报风险

1．对客户进行经营分析，包括战略分析和流程分析，以评估战略风险和流程风险所构成了经营风险。首先了解客户的内外部经营环境，包括所处的行业状况、法律环境与监管环境以及其他外部因素，如宏观经济环境和国际经济环境等。了解客户的所有权结构、组织结构以及其所从事的经营活动、投资活动和筹资活动的类型和性质。重点了解客户的经营目标、实现这些目标的战略，并分析对实现目标和战略产生不利影响的因素，因为经营风险常常源于对客户实现目标和战略产生不利影响的重大情况、事项、环境和行动，或源于不恰当的目标和战略，通过以上的了解和分析，初步评估客户的战略风险。其次，了解和分析客户的经营流程。从流程目标、投入、作业、交易类型、威胁流程目标的风险对客户所依赖的关键经营流程进行了解，通过价值链分析客户创造价值的方式，以此评价流程风险。(二)评估重大错报风险2．了解客户财务业绩的衡量和评价标准以及客户对会计政策的选择和运用，初步评估绩效风险。了解客户财务业绩的衡量和评价情况，考虑这种压力是否可能导致管理层采取行动，以至于增加财务报表发生重大错报的风险。并注意客户对会计政策的选择和运用，是否符合适用的会计准则和相关会计制度，是否符合客户的具体情况。3．进行控制测试，评估控制风险。经过对客户经营战略、经营流程、经营绩效的分析，审计师已经对客户的内部控制有了初步的了解。若客户的内部控制是值得信赖的，审计师还要执行控制测试，以取得证据评估控制风险。4．综合考虑客户的经营风险、绩效风险利控制风险，评估财务报告的重大错报风险，并依据重大错报风险水平来制定整体审计策略。(三)将重大错报风险分配到账户认定层次审计风险评估的目的是指导账户认定层次的实质性测试，因此，只有将重大错报风险与账户认定层次相联系才有实际意义。首先，审计师应考虑形成重大错报风险的某一因素是否会对客户某一个或某几个业务循环产生影响，如何影响，影响程度怎样。即将各风险因素分配到业务循环层次：其次，再深入到该具体业务循环中，分析影响该业务循环的风险因素如何影响循环中的具体账户，即将重大错报风险分配到账户和认定层次；最后，由于某个特定的账户可能受多个业务循环的影响，在前面的风险分配中可能造成了交叉重叠或遗漏，因此，有必要再以各单独账户为对象，综合该账户可能受到的各方面风险因素的影响，从而最终得到账户认定层次上重大错报风险的评估结果。(四)确定剩余风险

根据风险模型(审计风险：重大错报风险×检查风险)，确定检查风险，并根据检查风险水平来安排实质性测试。(五)综合评估审计风险

在实质性测试完成后，审计师已经掌握了较充分的审计证据。此时，审计师还要综合考虑这些审计证据以及各风险因素，再次评估审计风险，并与期望审计风险比较，以判断审计风险是否控制在期望审计风险之下。

三、重大错报风险评估的几种基本方法(一)定性分析法(二)管理工具分析(三)分析性复核(四)控制测试(五)模糊综合评价法

(一)定性分析法

定性风险评价是指通过观察、检查、询问、函证、穿行测试等多种取证手段收集审计证据，借助于经验、专业标准、专业判断等对审计证据进行定性分析，特别是针对导致重大错报风险产生的相关因素进行分析，再将各因素进行综合后评估重大错报风险。定性风险评价法由于它不需要统计资料和复杂的数学模型，具有成本低廉、操作简单、易于掌握等优点，但是它容易受审计师经验和判断能力的影响。

(二)管理工具分析

审计师可以利用一些管理工具对经营风险进行评估。例如用PEST方法进行宏观分析，用POPTER进行行业分析，客户如果涉及多元化经营，还要运用PEST和POTER方法进行分业分析：通过价值链分析(VCA)，将客户的资源及流程融合在一起，分析客户的竞争优势及劣势，并运用波士顿矩阵(BCG)分析客户的主业盈利能力；运用SWOT、KSF方法综合分客户的核心竞争力：运用管理信息系统(MIS)、平衡记分卡方法和最佳实践的标杆比较等工具进行绩效分析，从而对客户的经营风险进行全方位的评估。

(三)分析性复核

分析性复核是以财务资料及非财务资料之间的表面关系或可预测关系，评估财务信息，分析财务信息中包含的审计风险。分析性复核程序通常经历几个步骤：确定要执行的计算及比较——估计合理预期值——执行计算及比较实际数据与合理预期——分析数据及确认异常——评估重大错报风险。其中，关键的一步是估计合理预期值。通常，可以采用四种方法估计合理预期值：一是进行同业分析，找到行业平均数和竞争者数据；二是进行纵向分析，将被审计会计期间前后若干年度的；财务数据进行比较；三是财务数据与非财务数据进行比较分析；四是财务数据之间的比较分析。在估计预期值方面，国外采．用一些了更加先进的方法以提高预期值的合理性。如进行纵向分析时，采用简单移动平均法、指数平滑法、差分自回归移动平均模型(ARIMA模型)；在进行财务数据与非财务数据的比较分析时，采用结构化分析性程序，在利用非财务数据进行分析性；测试方面，国外还采用了Benford定律分析法。(四)控制测试

控制测试是指对客户内部控制的设计与运行的有效性进行测试。控制测试是在审计师通过了解，打算信赖客户的内部控制时进行的。测试的方法包括询问、审阅证据、实地观察、重复执行等。通过控制测试，审计师据以评估因内部控制产生的相关风险。内部控制的涵义（几个阶段）·以内部牵制原则作为主要内容，强调职务分工和账户核对；·发展到内部控制系统，组织结构、职务分离、业务程序、处理手续；强调会计控制和管理控制·保证实现企业目标的各种政策和程序；·“内部控制是一个控制系统，包括控制环境、会计系统和控制程序”；内部控制的几个要素：控制环境、风险评估、控制活动、信息和传递、监督1958年，美国审计程序委员会在内部控制的定义上指出，内部控制在广义上包括会计控制和管理控制。会计控制包括组织计划和一切有关并且直接目的在于保护财产和会计资料的可靠性的程序和方法。管理控制包括组织控制和一切有关营运效率、管理政策的遵循和那些间接影响会计资料的方法和程序。内部会计控制：会计凭证、会计帐簿、会计报表、会计分析。内部管理控制：组织机构控制，劳动工资控制，员工教育控制，计划预算控制，合同执行控制，生产经营控制，质量检验控制，环境监测控制。内部控制是指被审计单位为了保证业务活动有效进行，保护资产的安全完整，防止、发现、纠正错误与舞弊，保证会计资料的真实、合法、完整而制定和实施的政策和程序。包括控制环境、会计系统、控制程序。内部牵制的含义在于职责分离，通过职责分离，任何一个人很难进行舞弊或类似行为而不被发现，这有助于减少舞弊行为。同时，手工进行的会计操作，不可避免会发生一些错误，通过内部牵制，可以有效地防止错误的发生。因此，内部牵制基本是以查错防弊为目的，以职务分离和账目核对为方法，以钱、账、物等会计事项为主要控制对象。内部牵制按其功能、执行的对象及其方式，可分为实物牵制机械牵制体制牵制簿记牵制四类。即使是在现代内部控制理论中，内部牵制仍然占有重要的地位，它是有关组织机构控制和职务分离控制的基础。(五)模糊综合评价法

在审计风险评估中，绝大部分风险是无法精确描述的，这类事件就属于模糊事件。模糊综合评价的步骤是：第一步，根据这两点选定评价因素，构成评价因素集第二步，根据评价的要求，划分等级，构造评语第三步，通过实地调查，对各风险因素进行独立评价，建立评价矩阵第四步，根据各风险因素影响程度确定其相应的权重第五步，运用模糊数学运算方法，计算出评价结果。

上述方法的使用，既可以是审计师手工完成，也可以借助计算机信息系统来实现风险的评估，如设计审计风险评估专家系统，利用专家的经验，模仿专家思维作出判断和决策。无论那种方法，都需要通过审计风险模型来确定检查风险，从而确定实质性测试的性质、时间和范围。风险应对一、财务报表层次重大错报风险的总体应对措施（一）向项目组强调在收集和评价审计证据过程中保持职业怀疑态度的必要性。（二）分派更有经验或具有特殊技能的审计人员，或利用专家的工作。（三）提供更多的指导。(四)在选择进一步审计程序时，应当注意使某些程序不被管理层预见或事先了解(五)对拟实施审计程序的性质、时间和范围作出总体修改。注册会计师针对财务报表层次重大错报风险拟实施的进一步审计程序的总体方案包括实质性方案和综合性方案。二、针对认定层次重大错报风险的进一步审计程序进一步审计程序是相对风险评估程序而言，是指注册会计师针对评估的各类交易、账户余额、列报认定层次重大错报风险实施的审计程序，包括控制测试和实质性程序。实质性程序包括对各类交易、账户余额、列报的细节测试和实质性分析程序。(一)进一步审计程序的性质是指进一步审计程序的目的和类型。(二)进一步审计程序的时间是指注册会计师何时实施进一步审计程序，或审计证据适用的期间或时点。（三）进一步审计程序的范围是指实施进一步审计程序的数量，包括抽取的样本量、对某项控制活动的观察次数等。随着重大错报风险的增加，注册会计师应当考虑扩大审计程序的范围。但是，只有当审计程序本身与特定风险相关时，扩大审计程序的范围才是有效的。三、控制测试控制测试并非在任何情况下都需要实施。当存在下列情形之一时，注册会计师应当实施控制测试：1.在评估认定层次重大错报风险时，预期控制的运行是有效的2.仅实施实质性程序不足以提供认定层次充分、适当的审计证据【案例分析】问题（1）正确。因为控制设计不合理，不能防止或发现和纠正财务报表重大错报，因此，不必测试内部控制；问题（2）正确。因为预期控制的运行是有效的,注册会计师为减少审计工作量考虑，拟信赖内部控制，所以应当进行控制测试；问题（3）正确。因为仅实施实质性程序不足以提供认定层次充分、适当的审计证据；需要借助控制测试；问题（4）正确。因为对于特别风险，即使拟信赖的相关控制没有发生变化，也需要进行控制测试，以获取控制运行有效性的审计证据。(一)控制测试的性质控制测试的性质是指控制测试所使用的审计程序的类型及其组合。控制测试的目的是评价控制是否有效运行；细节测试的目的是发现认定层次的重大错报。注册会计师可以考虑针对同一交易同时实施控制测试和细节测试，以实现双重目