第 2 章 審計風險相關理論基礎

2.1 審計風險的內涵及模型

審計風險是指注冊會計師在財務報表存在重大錯報時發表了不當審計意見的可能性，財務報表如果并未含有重大錯報，但注冊會計師發表了財務報表含有重大錯報的錯誤審計意見的風險不包含在審計風險之內。

重大錯報風險和檢查風險是審計風險的重要組成部分。在《基于優秀的審計框架》中了解到重大錯報風險意味著報表在審計前發生重大錯報的可能性；當某一認定上發生了錯報，然而項目組成員沒能對這類錯報進行有利的識別便稱為檢查風險[32].

重大錯報風險和檢查風險決定了審計風險，項目組成員在執行業務工作時更要設計有效實施程序，對于那些存在其中所有重大錯報風險，根據風險計劃進一步審計步驟，控制其檢查風險。這里定義如公式（2.1）所示：

審計風險=重大錯報風險×檢查風險 （2.1）

在一定的審計風險水平下，檢查風險與重大錯報風險的關系是相反的，重大錯報風險被評估出的程度越高，檢查風險的可接受程度就越低，重大錯報風險被評估出的程度越低，檢查風險的可接受程度就越高。

以戰略經營風險為導向對企業進行審計是現代審計的一大特點，審計風險評估的重要組成要素則由整體經營風險造成的重大錯報，是對審計風險的評估觀念及范疇的擴充與延展，是傳統風險基礎審計的傳承與發展。

所謂意義上的審計風險，在 2013 年中溫喜才就曾表示項目組成員對被審計單位存在重大誤報和財務報表發表了不恰當的審計意見可能性，固有風險表示經未考慮內部控制情況時企業及各種往來業務、科目的余額情況，會有重大錯報的可能性；內控風險是指企業在面對已經存在的重大差錯，沒有適當的內部控制對其進行防范或修正的可能性[33].這里定義如公式（2.2）（2.3）所示：

重大錯報風險=固有風險×控制風險 （2.2）

審計風險=固有風險×控制風險×檢查風險 （2.3）

現代風險導向審計是項目組成員就企業風險進行專業判斷，判定其就風險的把握，確定余下風險，執行業務實施的追加程序，能夠將企業余下的風險降至社會可接受程度的一種方法和技術。

從審計風險的模型中看，其中重大錯報風險并不受項目組控制，而是企業自身風險控制。項目組人員如果想對重大錯報風險進行正確判別只能通過風險評估程序來做，并根據判定的重大錯報風險來分別予以有效的應對方案，風險評估只是一個判斷，而不是對風險的精確計量。所以實際執業過程中，項目組成員設計一些進行的程序時更多的要經過對重大錯報風險的辨別，對可接受的檢查風險做更深一步確定。

2.2 重大錯報風險

財務報表存在重大錯報的可能性，主要有兩個方面：錯誤、舞弊。其中錯誤并非是一種故意行為；但舞弊則是企業的高層管理人員、下屬員工或是其他運用不恰當欺騙手段的第三方，進而使其獲得不合法利益的某些故意行為，這種舞弊分為兩個分支：

員工、管理層。從以往的失敗的審計案例分析得出，在執行審計工作時主要應對的就是舞弊，特別是管理層的舞弊，因為這種舞弊的隱蔽性都會比較強些，審計項目組人員不是很容易就可以發現的。相對于管理層舞弊行為，會計人員并非有意識的錯報行為，由于其并不會過多的掩蓋，比較容易在審計過程中被察覺。

審計風險模型的傳統格局經過有效地變革形成了現代審計風險模式，雖然形式上進行了簡化，但卻擴大了審計風險的內涵和外延，張連起和丁勇早在 2004 年就曾闡述了重大錯報風險所體現兩個不同層次：財務報表整體層次和認定層次。

（1）財務報表整體層次風險

在現代審計格局中，重大錯報風險是審計前財務報表存在重大錯報的風險，是固有風險連同控制風險的共同合成體。

（2）認定層次風險

認定層次風險包括往來業務交易類別、科目余額、披露情況和其它相關認定層次的風險，傳統的固有風險連同控制風險也包含在這一層次上。這一類別上的錯報大部分是會造成錯報的經濟交易自身性質與復雜程度，公司管理者可能由于自身業務能力不是很高使之產生了一定的錯報以及企業某些管理者和個別員工存在舞弊和造假導致的錯報[34].

企業內部控制最終目的是讓財務報告更有效，經營的效率和效果以及對法律法規的遵守。是否合理的發表了審計意見是項目組的審計目標，雖然在審計過程中要對與審計相關的內部控制進行考慮，可是并不需要就其是否有效發表任何審計意見，所以并不需要知道其所有的內部控制。與審計有關的控制，包含被審計公司為讓財務報告更有效而設計和實施的控制。項目組成員適當應用專業判斷，判定一項控制獨自或隨同其他控制會不會與評估重大錯報風險以及針對風險設計和實施進一步審計程序有關。

審計項目組成員憑借自身積累的審計經驗，了解企業及其環境，有利于對與審計相關的控制進行識別，如：某些非財務數據的控制（在分析程序時需要使用）；某些法規（對會計報表數據有影響）；信息的完整性和正確性（擬利用內部生成信息）。

有效的控制風險，需要對企業的環境進行充分的了解，通過分析之間可能存在的聯系，進而發現經營風險。經營風險原則上較會計報表的重大錯報風險要更寬泛一些，經營風險在部分水平上包含了后者，部分由經營風險造成的財務后果最后都會反映在財務報告上，對被審計單位的經營風險深入了解對更好的辨別出重大錯報風險更為有利，但項目組成員并沒有責任就所有經營風險一一辨別，而只需識出與企業財務報表相關的重大錯報風險，設計有效的實施計劃，降低這種風險。環境風險對公司的影響并不是直接的，這部分也會對經營風險造成一定的干擾。

2.3 檢查風險

項目組成員在執行審計工作過程中往往經過集齊恰當的審計證據以控制和管理檢查風險，審計風險可以被維持在可接受的程度，檢查風險一般與設計的審計程序相關，實施的進一步審計程序越完善，檢查風險便越低，但由于項目組會受到資源、時間等多個要素的制約，項目組成員沒有辦法完全回避檢查風險。財政部在 2010 年曾發布的執業準則已經表示項目組只能就執行的審計業務提供合理、有效保證，但絕不是絕對保證[35].合理保證為積累與必要證據相關概念，項目組成員被要求在提供業務過程中必須不斷糾正，以能夠得到更合理恰當的審計證據，對被審計單位整體信息提出結論、提供非百分百的高水平保證，其中就提供的業務不能做出絕對保證的原因包括：

（1）運用的選擇性測試方法

審計項目組成員要依據成本效益原則在有限的時間內完成審計業務，一般只能應用選擇性測試方法（如：選取特定項目和抽樣），檢查審計信息，而這兩種方法都會使審計結果產生一定的偏差，在是否存在重大錯報風險上不能提供絕對保證信息。

（2）內部控制中特有的局限性

例如，人為判斷在決策時出現錯誤的可能性和導致內部控制失效的人為失誤中，內部控制很可能因為多個人員的相互串通或管理層凌駕于內部控制之上而造成失效，這些可能性也決定了項目組成員如果在完全信任內部控制的情況下，在一定程度上會增加檢查風險。

（3）多數證據偏向于說服性而不是結論性的

不同類型的證據在可靠水平方面也存在很大不同，任何審計證據都有其自身缺點。

應收賬款的函證：即使證據是可靠的，可是很可能被詢證者并沒有很好核對詢證函，會受到各種相應因素的影響。

（4）執行審計業務里涉及職業水平

項目組成員在選擇證據類型及根源上，取得審計證據后評價充分性和適當性時都涉及大量專業判斷。由于項目組成員預估的重大錯報風險程度低于實際程度，使計劃中檢查風險程度上偏高，無疑使審計人員所承受的風險加大了，追其根本原因是實際的檢查風險水平比應達到水平高，使審計程序計劃不充分，無法有效地識別出被審計企業報表項目存在某些差錯。因此，對檢查風險的把控能更好的把握審計風險，也取決于設計的程序是否更好的執行。

2.4 識別審計風險的相關程序

頒布的準則規定，項目組人員必須實施風險評估，以評價審計風險。風險評估程序是指項目組成員為了解被審計單位及其環境，通過實施程序評估財務報表各個項目因素的重大錯報風險。風險評估程序作為執業工作中的必備步驟，了解被審計單位及其環境在實際工作里其實作為連續動態過程，收集、更新和分析信息，在整個審計過程中貫穿始終，審計項目組成員的職業判斷在諸多關鍵環節上都作為重要的依據。以正常情況來說，對風險評估實施程序的主要業務包含：對被審計公司及其環境的認識；對被審計公司的內部控制的了解；辨識與評估財務報表項目風險因素存在可能錯報的風險。

通過學習 2014 年注冊會計師審計統一考試輔導教材，提到項目組成員對被審計企業及其環境的認識，更多為了有效辨別財務報表的重大錯報風險。通過實施這種審計程序來更好的了解企業及其環境通常叫做“風險評估程序”[36].項目組成員應根據實施的審計程序獲得信息，辨別出重大錯報風險。項目組成員應當實施下列風險評估程序，以了解被審計單位及其環境：

（1）詢問

詢問是項目組了解被審計單位信息的重要來源，如管理層關注的問題、公司目前的一些財務狀況、企業的經營成果、現金流量等，以及一些重要的變化，詢問的人可以是公司的治理層、內部審計人員、參與相關工作的員工，內部法律顧問，相關營銷或銷售職工。

（2）分析程序

項目組成員通過研究不同數據之間潛在關系，不光包括財務數據，也包括非財務數據。分析程序既有利于項目組對特別交易等事項的了解，又有利于識別出會影響會計報表的金額和比率等。在執行工作中實施分析程序時，項目組應對也許會發生的問題進行預測，再與企業登記的數額，及其計算出的比率比較，若存在異常，則應在識別重大風險時對比較結果進行考量，如企業存在多產品，每個產品的毛利率都存在差異，若采用總體結果顯示存在重大錯報項目可能只初步體現在銷售成本上，項目組成員應實施詳細的審計分析程序，對每一種產品進行分析或結合其他信息進行分析。

（3）觀察和檢查

對企業經營活動進行觀察，檢查其文件及內部控制會議記錄及報告，實地盤點廠房等設備，追蹤某筆或幾筆交易在財務報告系統中的處理過程，即穿行測試。風險評估程序如圖 2.1 所示。了解被審計企業的內部控制，項目組要著重考慮，某一控制可否能夠以及如何防止、發現并糾正有沒有存在重大錯報。重大錯報風險的評估作為風評階段最終的步驟，取得有關風險因素和通過實施風險評估程序抵消控制風險的信息，就財務報表各個項目的風險因素進行識別，是為了計劃進一步審計程序奠定根基，應對識別出的審計風險。2009 年 Robert 和 Philip 曾表示了對重大錯報風險進行辨別時，項目組人員要實施一定的審計程序來逐一判定，第一，了解被審計企業與風險相關的控制過程，與財務報表中各科目相結合，識別風險；第二，結合與相關控制有關測試，把辨別出的風險與可能存在錯報的地方相結合；第三，評估識別出的風險，是否與財務報表的整體相關，是否對多項財務報表項目存在潛在的影響；也許會有某個或多個錯報的可能性，暗藏錯報的重大水平會不會造成重大錯報[37].

在辨別和識出重大錯報風險后，項目組成員要確定發現的重大錯報風險是屬于什么范疇，要了解控制環境就評估財務報表項目風險因素重大錯報風險的一些干擾。審計程序中的風險及重要性評估如圖 2.2 所示。