第二节 审计风险的评估

审计人员在了解被审计单位的内部控制并对固有风险进行评估后，应当对各重要账户或交易类别的相关认定所涉及的控制风险做出初步评估。在审计过程中，检查风险是唯一可由审计人员控制的风险，审计人员的水平高低决定着其所采用的实质性测试程序的详简程度。审计人员应当对固有风险和控制风险进行综合评估，并据以作为检查风险的评估基础。

一、审计风险评估的意义

（一）风险评估概述

1.出台审计风险准则的背景

审计风险准则项目最早是由国际审计与鉴证准则理事会（IAASB）起草的，并受到联合工作组（jointworkinggroup）和美国公共监督委员会（publicover-sightboard）的审计效率研究工作组（原美国注册会计师协会下设组织）的影响。1998年，加拿大、英国、美国的审计准则制定机构与学者组成联合工作组，了解和研究审计实务的发展情况，并为准则制定机构对审计准则做出必要修订提供建议。2000年5 月，联合工作组发表了研究报告《大型会计师事务所的审计方法发展》；2000年8月，美国公共监督委员会发布了关于审计效率的研究报告。这两份报告的主要研究结论是：审计风险基本模型并没有被废弃，但需要做出适当的调整。

国际审计与鉴证准则理事会和美国审计准则委员会（ASB，原美国注册会计师协会下设组织）都确定了有关项目，应对审计环境的变化，并考虑了联合工作组和公共监督委员会的研究建议。由于两个准则制定机构面临相似的问题，具有提高审计质量的共同目的，因此两个项目小组合并成立了联合风险评估工作组，制定了共同的审计风险准则，从源头上实现了国际协调。

在审计风险准则项目开始之初，相继发生了一些国际知名公司财务舞弊丑闻，严重损害了社会公众对审计有效性的信心，并导致准则制定机构对注册会计师的工作进行了大量深入的调查。尽管IAASB起草的审计风险准则项目并不是直接针对这些审计失败而直接做出的应对，但准则项目随后的调整、修改和完善（特别是对整个审计过程加以改进的思路）的确受到了这些重大事件的影响，国际审计与鉴证准则理事会也希望借这些准则提高全球范围内的审计实务标准及其运用的一致性。

联合风险评估工作组于2002年10月发布了审计风险准则征求意见稿，包括《财务报表审计的目标和一般原则》、《审计证据》、《了解被审计单位及其环境并评估重大错报风险》和《针对评估的重大错报风险实施的程序》。2003年10月，国际审计与鉴证准则理事会在东京的会议上对征求意见稿进行了最后修订，获得了委员会的通过，审计风险准则在2004 年12 月15 日正式施行。

随着经济全球化进程的加快，我国经济的快速发展，以及企业经营环境的急速变化，我国审计准则建设面临着许多挑战，主要体现在：行业面临的风险有日益增大的趋势；现行审计实务不能有效应对财务报表重大错报风险；审计风险准则的出台导致国标审计准则出现很大的变化；我国与其他国家和地区的经济依存度日益提高，审计准则国际趋同的要求越来越迫切。以上诸多挑战要求中国注册会计师协会必须加快审计准则建设，推进审计准则国际趋同化，出台审计风险准则，以提高审计质量，降低行业风险。

2.审计风险准则体现出的重大变化

我国出台的审计风险准则，包括《中国注册会计师审计准则第1101号——财务报表审计的目的和一般原则》、《中国注册会计师审计准则第1301号——审计证据》、《中国注册会计师审计准则第1211号——了解被审计单位及其环境并评估重大错报风险》和《中国注册会计师审计准则第1231号——针对评估的重大错报风险实施的程序》。通过修订审计风险模型，要求注册会计师必须了解被审计单位及其环境，包括内部控制，以充分识别和评估财务报表重大错报的风险，并针对评估的重大错报风险来设计、实施控制测试和实质性程序。

与原有审计准则相比，审计风险准则的重大变化体现在以下几个方面。

①要求注册会计师加强对被审计单位及其环境的了解。注册会计师应当实施程序，更广泛、更深入地了解被审计单位及其环境的各个方面，包括了解内部控制，从而为识别财务报表层次以及各类交易、账户余额和列报认定层次重大错报风险奠定基础。

②要求注册会计师在审计的多个阶段都要实施风险评估程序。注册会计师应当将识别的风险与认定层次可能发生错报的领域相联系，实施更为严格的风险评估程序，不得未经过风险评估就直接将风险设定为高水平。

③要求注册会计师将识别和评估的风险与实施的审计程序挂钩。在涉及和实施进一步审计程序（控制测试和实质性程序）时，注册会计师应当将审计程序的性质、时间和范围与识别、评估的风险相联系，以防止机械利用程序表，从形式上迎合审计准则对程序的要求。

④要求注册会计师针对重大的各类交易、账户余额和列报，实施实质性程序。注册会计师对重大错报风险的评估是一种判断，被审计单位内部控制存在固有限制，无论评估的重大错报风险结果如何，注册会计师都应当针对重大的各类交易、账户余额和列报实施实质性程序，不得将实质性程序只集中在例外事项上。

⑤要求注册会计师将识别、评估和应对风险的关键程序形成审计工作记录，以保证执业质量，明确执业责任。

审计风险准则的出台，有利于降低审计失败发生的概率，增强社会公众对审计行业的信心；有利于严格审计程序，识别、评估和应对重大错报风险；有利于明确审计责任，实施有效的质量控制；有利于促使注册会计师掌握新知识和新技能，提高整个行业的专业水平。同时，审计风险准则对注册会计师风险评估程序，以及依据风险评估结果实施进一步审计程序影响很大，因此也影响到审计工作的各个方面。

3.对风险评估的总体要求

《中国注册会计师审计准则第1211号——了解被审计单位及其环境并评估重大错报风险》作为专门规范风险评估的准则，规定注册会计师应当了解被审计单位及其环境，以充分识别和评估财务报表重大错报风险，设计和实施进一步审计程序。

了解被审计单位及其环境是风险评估的必要程序，特别是可以为注册会计师在下列关键环节做出职业判断提供重要依据：①确定重要性水平，并随着审计工作的进程评估对重要性水平的判断是否仍然适当；②考虑会计政策的选择和运用是否恰当，以及财务报表的列报是否适当；③识别需要特别考虑的领域，包括关联方交易、管理层运用持续经营假设的合理性，或交易是否具有合理的商业目的等；④确定在实施分析程序时所使用的预期值；⑤设计和实施进一步审计程序，以将审计风险降至可接受的低水平；⑥评价所获取审计证据的充分性和适当性。

了解被审计单位及其环境是一个连续和动态地收集、更新与分析信息的过程，贯穿于整个审计工程的始终。注册会计师应当运用职业判断确定需要了解被审计单位及其环境的程度。

评价对被审计单位及其环境了解的程度是否恰当，关键是看注册会计师对被审计单位及其环境的了解是否足以识别和评估财务报表的重大错报风险。如果了解被审计单位及其环境获得的信息足以识别和评估财务报表的重大错报风险，设计和实施进一步审计程序，那么了解的程度就是恰当的。当然，要求注册会计师对被审计单位及其环境了解的程度，要低于管理层为经管企业而对被审计单位及其环境需要了解的程度。

（二）对固有风险、控制风险和检查风险的评估

1.固有风险的评估的意义

审计人员在编制总体审计计划时，应当对会计报表整体的固有风险进行评估；在编制具体审计计划时，应当考虑固有风险的评估对各重要账户或交易类别的认定所产生的影响，或者直接假定这种认定的固有风险为高水平。

固有风险是会计责任，其后果影响到注册会计师的正确估计及因本身检查风险的设定而造成的审计责任。

注册会计师可以改变固有风险的估计水平，并根据评价结果修正审计证据收集的数量和实质性审计程序。审计人员如果认为在未设置内部控制的情况下，某个账户或某类交易出错的可能性较大，那么就应将固有风险定得高一些；反之，则可定得低一些。但是，不论估计多么乐观，固有风险的水平也不应低于50%，因为就算企业情况再好，也不可能不出问题。审计实务中为了慎重，常直接假定固有风险水平为100%。

2.控制风险的评估的意义

与固有风险一样，对控制风险的实际水平，审计人员也是无法改变的，但审计人员可以通过了解和测试内部控制来修正其对控制风险的估计水平。如果审计人员发现内部控制失效，或难以对内部控制的有效性做出评估，或者审计人员不打算对某项控制进行控制测试，一般应将这一认定的控制风险估计为高水平；如果审计人员发现相关的内部控制能够防止、发现或纠正重大误报，而且审计人员打算对内部控制实施控制测试，则可将这一认定的控制风险估计为低水平。

审计人员在估计控制风险水平，确定内部控制的可信赖程度时，应当认识到内部控制有其固有的局限性，对此要保持应有的职业谨慎。

3.检查风险的评估的意义

（1）检查风险对确定实质性测试程序的影响

在审计过程中，检查风险是唯一可由审计人员控制的风险，其水平高低决定着审计人员所采用的实质性测试程序的详简程度。根据前述审计风险各要素之间的关系可知，在既定的审计风险下，固有风险与控制风险的综合水平，决定着审计人员可接受的检查风险水平。评估的固有风险和控制风险综合水平越高，审计人员可接受的检查风险水平就越低，反之亦然。因此，审计人员应当对固有风险和控制风险进行综合评估，并据以作为检查风险的评估基础。

鉴于固有风险和控制风险的评估对检查风险有直接影响，固有风险和控制风险的水平越高，可接受的检查风险水平就越低，审计人员就应实施越详细的实质性测试程序；固有风险和控制风险的水平越低，可接受的检查风险水平就越高，审计人员就可实施较简单的实质性测试程序。

（2）检查风险与审计意见的类型

检查风险不仅影响审计人员所实施的实质性测试的性质、时间和范围，而且影响审计人员所发表的审计意见的类型。如果经过实施有关实质性测试后，审计人员仍认为某一重要账户或交易类别认定的检查风险不能降低至可接受的水平，那么，他应当发表保留意见或拒绝表示意见。这是因为，如果不能将重要账户或交易类别的检查风险降低至可接受的水平，审计人员就会因审计范围受到重大限制而难以确定有多少重大错报或漏报，且无法通过实质性测试予以发现，会计报表的部分或全部认定是否真实、公允也难以确定。在这种情况下，比较稳妥的做法是发表保留意见或拒绝表示意见。

二、审计风险评估的措施

（一）评估固有风险的措施

（1）评估与会计报表层次有关的固有风险时，审计人员应着重考虑的因素

①管理人员的品行和能力。

②管理人员特别是财会人员的变动情况。

③管理人员遭受的异常压力。

④业务性质。

⑤影响被审计单位所在行业的环境因素。

（2）评估与账户余额或交易类别层次有关的固有风险时，审计人员应着重考虑的因素

①容易产生错报的会计报表项目。

②需要利用专家的工作结果予以佐证的重要交易或事项的复杂程度。

③确定账户金额时，需要运用估计和判断的程度。

④容易受损失或被挪用的资产。

⑤会计期间内，尤其是临近会计期末发生的异常及复杂交易。

⑥在正常的会计处理程序中容易被漏记的交易和事项。

（二）评估控制风险的措施

1.控制风险的初步评估

注册会计师在了解被审计单位的内部控制并对固有风险进行评估后，应当对各重要账户或交易类别的相关认定所涉及的控制风险做出初步评估。这里所说的评估之所以是初步评估，是因为注册会计师在实施符合性测试之前，还无法最终对被审计单位内部控制的有效性（即能否及时防止、发现和纠正重大错报或漏报）做出肯定的或否定的结论。

2.控制风险的进一步评估

注册会计师如拟信赖内部控制，应当实施符合性测试程序，以评估控制风险。初步评估的控制风险水平越低，注册会计师就应获取越多的关于内部控制设计合理和运行有效的证据。这主要包括两层含义：第一层含义是，实施符合性测试是确定信赖内部控制的前提条件，当然，如果不准备信赖内部控制，注册会计师可不实施符合性测试；第二层含义说明了控制风险初步评估结果与审计证据的关系。基于稳健性原则，注册会计师宁可高估控制风险，不可低估控制风险。为此，在实施符合性测试之前，如果注册会计师要将控制风险评估为低水平，则必须获取尽可能多的证据，以表明内部控制设计合理，运行有效。

进行符合性测试后，注册会计师应当根据符合性测试的结果，评估内部控制的设计和运行是否与控制风险的初步评估结论相一致。如果存在偏差，应当修正对控制风险的评估，并据以修改实质性测试程序的性质、时间和范围。

3.控制风险的最终评估

注册会计师在终结审计之前，应当根据实质性测试的结果和其他审计证据对控制风险进行最终评估，并检查其是否与控制风险的初步评估结论相一致。如果不一致，如实质性测试结果表明，控制风险水平高于控制风险的初步评估水平，则可能意味着根据对控制风险初步评估结论而设计的实质性测试程序不能将检查风险降低至可接受的水平。在这种情况下，注册会计师应当考虑是否追加相应的审计程序。例如，通过发函询证，注册会计师发现回函结果与被审计单位的会计记录普遍存在着重大差异，这表明被审计单位未能有效地就应收款项与客户定期核对。为此，注册会计师可能会决定全面、详细地审查所有销货交易，扩大应收账款的函证范围。

（三）评估检查风险的措施

1.检查风险可接受水平的确定

审计风险组成要素之间存在着密切关系：固有风险和控制风险估计水平越低，检查风险可接受水平就越高；固有风险和控制风险估计水平越高，检查风险可接受水平就越低。

在编制审计计划时，要确定检查风险的可接受水平。检查风险的可接受水平决定于固有风险和控制风险的综合水平，由于控制风险与固有风险相互联系，注册会计师应当对固有风险和控制风险进行综合评估，并据以作为确定检查风险的基础。

2.确定可接受水平的同时还需要考虑的内容

一般说来，检查风险是根据已经确定的审计风险、固有风险和控制风险来确定的，但是，审计人员还必须考虑到自己的审查出现误差的可能性。例如，错用某一项审计程序，或误解所取得的审计证据等。为此，审计人员应通过充分的计划、适当的监督和严格遵守审计质量控制准则，来降低检查风险。

在审计计划阶段，审计人员可运用审计风险模式来确定“检查风险的计划可接受水平”，随后可根据需要对其加以修正。

（四）新模型中评估重大错报风险措施

1.识别和评估财务报表层次和认定层次的重大错报风险

在识别和评估重大错报风险时，注册会计师应当实施下列审计程序。

（1）在了解被审计单位及其环境的整个过程中识别风险，并考虑各类交易、账户余额、列报

注册会计师应当运用各项风险评估程序，在了解被审计单位及其环境的整个过程中识别风险，并将识别的风险与各类交易、账户余额和列报相联系。例如，被审计单位因相关环境法规的实施需要更新设备，可能面临原有设备闲置或贬值的风险；宏观经济的低迷可能预示着应收账款的回收存在问题；竞争者开发的新产品上市，可能导致被审计单位的主要产品在短期内过时，预示将出现存货跌价和长期资产（如固定资产等）的减值。

（2）将识别的风险与认定层次可能发生错报的领域相联系

注册会计师应当将识别的风险与认定层次可能发生错报的领域相联系。例如，销售困难使产品的市场价格下降，可能导致年末存货成本高于其可变现净值而需要计提存货跌价准备，这表示存货的计价认定可能发生错报。

（3）考虑识别的风险是否重大

风险是否重大是指风险造成后果的严重程度。在审计程序（2）的举例中，除考虑产品市场价格下降因素外，注册会计师还应当考虑产品市场价格下降的幅度、该产品在审计单位产品中的比重等，以确定识别的风险对财务报表的影响是否重大。例如，产品市场价格大幅下降，导致产品销售收入不能补偿成本，毛利率为负，那么就表示存货跌价问题严重，存货计价认定发生错报的风险重大；如果价格下降的产品在被审计单位销售收入中所占比例很小，被审计单位其他产品销售毛利率很高，则尽管该产品的毛利率为负，但也可能不会使年末存货发生重大跌价问题。

（4）考虑识别的风险导致财务报表发生重大错报的可能性

注册会计师还需要考虑上述识别的风险是否会导致财务报表发生重大错报。例如，考虑存货的账面余额是否重大，是否已适当计提存货跌价准备等。在某些情况下，尽管识别的风险重大，但仍不至于导致财务报表发生重大错报。例如，被审计单位对于存货跌价准备的计提实施了比较有效的内部控制，管理层已根据存货的可变现净值，计提了相应的跌价准备，在这种情况下，财务报表发生重大错报的可能性将相应降低。

注册会计师应当利用实施风险评估程序获取的信息（包括在评价控制设计和确定其是否得到执行时获取的审计证据）作为支持风险评估结果的审计证据。注册会计师应当根据风险评估结果，确定实施进一步审计程序的性质、时间和范围。

2.可能表明被审计单位存在重大错报风险的事项和情况

注册会计师应当关注下列可能表明被审计单位存在重大错报风险的事项和情况：①在经济不稳定的国家或地区开展业务；②在高度波动的市场开展业务；③在严厉、复杂的监管环境中开展业务；④持续经营和资产流动都出现问题，包括重要客户流失；⑤融资能力受到限制；⑥行业环境发生变化；⑦供应链发生变化；⑧开发新产品或提供新服务，或进入新的业务领域；⑨开辟新的经营场所；⑩发生重大收购、重组或其他非经常性事项；⑪拟出售分支机构或业务分部；⑫复杂的联营或合资；⑬运用表外融资、特殊目的实体以及其他复杂的融资协议；⑭重大的关联方交易；⑮缺乏具备胜任能力的会计人员；⑯关键人员变动；⑰内部控制薄弱；⑱信息技术战略与经营战略不协调；⑲信息技术环境发生变化；⑲安装新的与财务报告有关的重大信息技术系统；经营活动或财务报告受到监管机构的调查；以往存在重大错报或本期期末出现重大会计调整；发生重大的非常规交易；按照管理层特定意图记录的交易；应用新颁布的会计准则或相关会计制度；会计计量过程复杂；事项或交易在计量时存在重大的不确定性；存在未决诉讼和或有负债。

注册会计师应当充分关注可能表明被审计单位存在重大错报风险的上述事项和情况，并考虑由于上述事项和情况导致的风险是否重大，以及该风险导致财务报表发生重大错报的可能性。

3.识别两个层次的重大错报风险

在对重大错报风险进行识别和评估后，注册会计师应当确定识别的重大错报风险是与特定的某类交易、账户余额、列报的认定相关，还是与财务报表整体广泛相关，进而影响多项认定。

某些重大错报风险可能与特定的某类交易、账户余额、列报的认定相关。例如，被审计单位存在复杂的联营或合资，这一事项表明长期股权投资账户的认定可能存在重大错报风险。又如，被审计单位存在重大的关联方交易，该事项表明关联方及关联方交易的披露认定可能存在重大错报风险。

某些重大错报风险可能与财务报表整体广泛相关，进而影响多项认定。例如，在经济不稳定的国家和地区开展业务、资产的流动性出现问题、重要客户流失、融资能力受到限制等，这些事项可能导致注册会计师对被审计单位的持续经营能力产生重大疑虑。又如，管理层缺乏诚信或承受异常的压力可能引发舞弊风险，这些风险都与财务报表整体相关。

4.控制环境对评估财务报表层次重大错报风险的影响

财务报表层次的重大错报风险很可能源于薄弱的控制环境。例如，被审计单位治理层、管理层对内部控制的重要性缺乏认识，没有建立必要的制度和程序；管理层经营理念偏于激进，又缺乏实现激进目标的人力资源等。薄弱的控制环境带来的风险可能会对财务报表产生广泛影响，而不仅仅限于某类交易、账户余额、列报，对此，注册会计师应当采取总体应对措施。

5.控制对评估认定层次重大错报风险的影响

在评估重大错报风险时，注册会计师应当将所了解的控制与特定认定相联系。这是由于控制有助于防止、发现和纠正认定层次的重大错报。在评估重大错报发生的可能性时，除了考虑可能的风险外，还要考虑控制对风险的抵消和遏制作用。有效的控制会减少错报发生的可能性，而控制不当或缺乏控制，错报就会由可能变成现实。

控制与某一认定可能直接相关，也可能间接相关。关系越间接，控制在防止或发现并纠正认定中错报的作用越小。例如，销售经理对分地区的销售网点的销售情况进行复核，这与销售收入完整性的认定只是间接相关，相应地，该项控制在降低销售收入完整性认定中的错报风险方面的效果，要比与该认定直接相关的控制（如将发货单与开具的销售发票相核对）的效果差。

注册会计师可能会识别出有助于防止、发现和纠正特定认定发生重大错报的控制。在确定这些控制是否能够实现上述目标时，注册会计师应当将控制活动和其他要素综合考虑。例如，将销售和收款的控制置于其所在的流程和系统中考虑，以确定其能否实现控制目标。因为单个的控制活动（如将发货单与销售发票相核对）本身并不足以控制重大错报风险，只有多种控制活动和内部控制的其他要素综合作用，才足以控制重大错报风险。

当然，也有某些控制活动可能专门针对某类交易或账户余额的个别认定。例如，被审计单位建立的、以确保盘点工作人员能够正确地盘点和记录存货的控制活动，与存货账户余额的存在性和完整性认定直接相关。注册会计师只需要对盘点过程和程序进行了解，就可以确定控制是否能够实现目标。

注册会计师应当考虑对识别的各类交易、账户余额和列报认定层次的重大错报风险予以汇总和评估，以确定进一步审计程序的性质、时间和范围。如表4.4所示为评估认定层次重大错报风险汇总表示例。

6.考虑财务报表的可审计性

注册会计师在了解了被审计单位的内部控制后，可能会对被审计单位财务报表的可审计性产生怀疑。例如，对被审计单位会计记录的可靠性和状况的担心可能会使注册会计师认为可能很难获取充分、适当的审计证据，以支持对财务报表发表意见。又如，管理层严重缺乏诚信，注册会计师认为管理层在财务报表中做出虚假陈述的风险高到无法进行审计的程度。因此，如果通过对内部控制的了解发现下列情况，并对财务报表局部或整体的可审计性产生疑问，注册会计师应当考虑出具保留意见或无法表示意见的审计报告。

①被审计单位会计记录的状况和可靠性存在重大问题，不能获取充分、适当的审计证据以发表无保留意见。

②对管理层的诚信存在严重疑虑。必要时，注册会计师应当考虑解除与被审计单位的业务约定。