审计的特别风险及应对范例(3篇)

审计的特别风险及应对范文篇1

国际会计师联合会（ifac）国际审计与保证准则委员会（iaasb）的第315号国际审计准则对传统的审计风险模型进行了修改，即：审计风险=重大错报风险×检查风险。现代审计风险模型在传统审计风险模型的基础上进行了改进，形式上有所简化，但审计风险的内涵和外延却扩大了。其中，重大错报风险包括两个层次：会计报表整体层次和认定层次。这就使现代风险导向审计具有了以下特点：

1.审计重心前移，经营风险的评估是起点和重点。现代风险导向审计要求将审计重心前移至风险评估，一定要从评估企业战略经营风险入手，充分了解被审计单位的基本情况及其经营环境，注重对持续经营能力的考虑及经营风险对审计风险的影响，进而从经营风险中能更有效发现财务报表潜在的重大错报；当然，在审计过程中也应尽量严格执行所设计的审计程序，将检查风险降低到可接受水平。

2.风险评估以分析性复核为中心，分析性复核全程化和多样化。风险评估包括检查、调查、询问、穿行测试等多种审计取证手法，分析性复核的运用是现代风险导向审计的核心，并贯穿整个审计过程。为了适应分析性复核功能扩大的要求，分析性复核对象开始走向多样化，不再仅仅局限于财务数据，也包括了非财务数据。同时，充分借鉴现代管理方法，将管理方法运用到分析性程序之中。

3.审计证据重点向外部证据转移，扩大了审计证据的内涵。审计证据不仅包括各种测试获取的证据，还延伸到对被审计单位基本情况及其经营环境的取证等，并且取证重点向外部证据延伸。由于外部审计证据的可靠性大于内部审计证据，这就提高了现代风险导向审计揭露因管理舞弊所致财务报表重大错报的能力。

4.风险评估由直接评估转为间接评估，从零散走向结构化。现代风险导向审计是在战略分析的基础上，从了解和评估经营风险入手开展工作，而经营风险是通过经营分析获得，可见风险评估实际上是间接性评估。此外，以风险评估为中心的现代风险导向审计，强调的是综合风险评估，是对多方面的风险因素有机联系的分析和评估，风险评估是结构性评估。

5.内部审计人员的专业知识重心转移，由原来以会计、审计知识为重心转为以管理知识和行业知识为重心。

6.提倡两条线并行作业，即大胆应用“自上而下”与“自下而上”相结合，并大量采用战略分析和系统分析等先进工具以及技术方法。

二、风险导向审计在企业风险管理中的作用

内部审计机构和内部审计人员处于相对独立的地位，具有内在的固有功能，在评价内部控制、协助企业建立健全风险管理机制方面有诸多优势，在有效降低企业风险、增加企业价值方面发挥重要作用，具体表现在：

1.参与企业风险管理。随着对风险管理的日益关注，探讨风险导向审计与企业风险管理框架之间的联系，就成为探讨风险导向审计无法回避的理论问题之一。

2.促进内部控制。内部控制从某种程度上来说从属于风险管理，是风险管理的方式之一。在风险理念的作用下，企业内部控制已扩展为企业风险管理框架，内部控制与风险管理已趋于融合。因此，可以说对风险管理的促进作用，是建立在企业的内部控制同时得到改善和促进的基础之上的，两者是互相促进的。

3.强化和促进公司治理。公司治理的基本目标是在充分考虑利益相关者利益相对满足和大体均衡情况下，增加企业价值，从而使股东长远价值最大化。而风险导向审计的本质是确保受托责任有效履行的管理控制，它更注重与企业目标的直接关联。可见，公司治理与风险导向内部审计目标是一致的。

三、风险导向审计的主要程序

现代风险导向审计程序遵循“战略管理分析——经营环境分析——流程控制分析——经营业绩分析——剩余风险分析”的主线和“自上而下”与“自下而上”相结合的思路开展工作。基本审计程序包括风险评估、控制测试和实质性测试。

1.风险评估程序。（1）了解被审计单位及其所处环境，目的是为评估财务报表总体层次和认定层次的重大错报风险。（2）运用职业判断，确定已识别风险的层级，特别关注重大风险和特别风险，对重大错报风险进行评估。（3）结合风险识别和评估，进一步设计、细化具体审计程序。

2.控制测试。以测试内部控制在防止、发现和纠正认定层次重大错报方面的有效性，进一步评估和应对重大错报风险。

3.实质性测试。目的是发现重大错报。对各类重大事项或情况实施实质性测试以获取充分可靠的审计证据，是弥补由于审计人员业务能力缺陷和被审计单位内部控制缺失的必要程序。

四、风险导向审计在企业风险管理中的应用

风险导向审计作为一种重要的审计理念和模式，已经受到了行业内外的普遍关注。因此风险导向审计是我国审计的必然选择，是适应审计环境变化、审计准则国际协调及审计工作的客观要求。现代风险导向审计在实际运用中一般包括以下阶段：

1.准备阶段。首先是分析企业环境，既要了解被审计单位的发展战略、经营目标、经营环境、业务流程和经营风险等内部情况，又要了解与被审计单位相关的宏观经济政策、行业状况、监管环境等外部环境；其次是全面识别风险，确定审计的范围和重点；第三是编制审计计划，审计部门在识别和评估各种风险的基础上编制审计计划，根据风险程度选择审计项目和审计对象，并与审计资源相结合，既要充分有效地利用审计资源，又要量力而行。

2.实施阶段。实施阶段的主要工作一般包括风险评估、了解内部控制、复核性测试、内查外调收集证据、编写审计工作底稿等步骤。

3.报告阶段。报告阶段主要包括出具审计报告和编写审计管理建议书，审计报告撰写要立足于企业发展战略实现，以风险为中心，全面揭示已识别的风险以及问题与实现企业战略目标的相关性以及可能产生的后果，提出应对、避免、降低、保留和转换、对冲风险的审计意见和建议，必要时可出具审计管理建议书。

4.后续阶段。后续阶段的主要工作是通过持续跟踪重大错报风险，开展复审，以检查重大审计发现的纠正情况。这一阶段的注意力应集中在重大或潜在的错报风险是否得到控制和消除上，并检查有无新的风险因素和重大问题产生，针对剩余风险的变化情况和新识别的风险因素以及新发现的问题，提出审计意见和建议。

五、目前开展风险导向审计的现状和问题

目前我国开展风险导向审计尚处于起步阶段，虽取得了初步成效，但在全面推行风险导向审计的过程中还存在不少需要探讨和解决的问题。

1.开展风险导向审计所处环境的局限性。作为一种审计理念，风险导向审计模式无疑是更加科学的，但从整个审计行业的构成及所接业务情况来看，无论是国家审计、社会审计和内部审计，仍以账项基础审计模式和制度导向为主，主要还是开展财务收支审计、经济效益审计和经济责任审计，风险导向审计并非内部审计的主要任务。

2.开展风险导向审计缺乏产生的动因。推动审计由传统导向审计向风险导向审计发展的一个主要动因就是审计风险，特别是诉讼风险的增大。一方面，由于目前我国立法方面存在的漏洞，导致我国审计人员的法律风险偏低，审计人员对审计风险不够重视，缺乏实施风险导向审计的根本动因；另一方面，开展风险导向审计在我国缺乏必要的法律保障、成熟的理论指导和完善的风险评价体系，全面推行有一定难度。

3.审计效率的提高受制约。内部审计人员的管理知识和专业技能与企业开展的风险管理需求不匹配，导致内部审计范围过窄，审计效率低下，且难以实现对企业风险的管理、控制和公司治理过程进行全面综合的评价。

4.开展风险导向审计不能节约审计成本。

（1）由于审计证据收集的范围扩大，对内部审计人员来说花费的时间更产、技术含量更高，增加了审计人员的负担。（2）开展风险导向审计对人力资源的要求更高。作为一种新的审计模式，风险审计要求审计人员具备管理、数理统计等多方面的知识，并有搜集、整理、分析资料的能力。因此风险导向审计需要更多有经验的、高素质的审计人员参与，并对其提供相关知识的培训，这会导致人力成本增加，也会相应地增加审计的总成本。

六、全面推行风险导向审计的建议和对策

现代风险导向审计的优势是在比较理想状态下才能实现的。在我国风险导向审计引入的初期，上述存在的一些问题在某种程度上抑制了其优势的发挥，因此我们现阶段重点应做一下几项工作。具体措施包括：

1.积极开展风险导向审计准则和方法的研究。应大力开展对新准则中风险导向准则的内容进行细致、深入的研究，制订符合准则且操作性强的风险导向审计程序，开发能正确引导审计人员执行和判断的风险评估技术和方法。

2.充分考虑风险导向审计对人员配备和培训计划的影响。在现代风险导向审计程序下，审计人员不仅应具备足够的会计审计知识，还需具备被审计单位行业状况、法律与监管环境、财务业绩的衡量和评价、经营目标和战略及其相关经营风险和内部控制等方面的知识结构。所以对审计人员现有知识体系进行全面的提升和拓展是必要工作。

3.加强风险导向审计的信息系统建设。结合企业自身特点和需要建立风险数据库，做好数据积累工作，为开展风险评估和以风险为导向的内部审计提供数据支持。

4.及时转换企业内部审计人员的角色，从“警察”到“风险顾问”。内部审计人员作为风险管理顾问的新角色是有公司治理结构设计决定的，通过良好的公司治理结构设计，将内部审计人员的注意力从结果转向关键风险领域。

审计的特别风险及应对范文

【摘要】随着国际四大会计师事务所相继卷入会计丑闻当中，如何正确认识经营风险导向审计再次成为国内理论界和实务界争论的焦点。本文通过对“四大”审计风险评估模式进行比较，试图对“四大”之间审计风险评估模式的异同作一初步探讨，并对差异产生的原因进行分析，从而正确、客观地认识经营风险导向审计。

一、引言

近年来，国内外频繁爆发了一系列极具震撼力的重大财务舞弊案。从我国内地的琼民源、银广厦，再到美国的安然、施乐、世界通讯，这些舞弊案件在严重危及资本市场健康发展的同时，也使得审计职业面临信用甚至生存危机。国际五大会计公司之一的安达信因审计失败而倒闭，毕马威也因施乐事件而卷入到会计丑闻之中，“五大”中的另一家德勤更是因为“科龙门”事件遭遇集体诉讼。人们不禁对以安达信为代表的“五大”国际会计公司目前所推崇采用的，各自均认为是完美的经营风险导向审计（BusinessRisk-OrientedAuditing）提出了质疑。如何正确认识BRA再次成为国内理论界和实务界争论的焦点。

有关BRA的争论，源于审计理论界和实务界所站的角度不同，从而两者对BRA的认识也存在很大差异。BRA是以审计风险评价为中心的审计方法，是国际五大会计公司在面临大量申诉威胁的情况下开发的，目前已经在国际四大会计师事务所中得到全面推广。但遗憾的是有关“四大”在实践中究竟如何将审计风险具体落实到审计实务中从而来开展审计工作的，他们各自既未作系统介绍，也未曾公开。鉴于BRA以风险评估为中心，笔者从风险评估目标、风险评估范围、审计计划阶段风险评估程序、风险评估方法以及风险评估证据来源五要素入手，对“四大”审计风险评估模式进行比较，分析它们之间的异同之处，从而正确、客观地认识BRA。

二、风险评估目标

BRA产生的一个重要背景是因传统风险导向审计风险评估不到位，不能有效地发现财务报表中存在的重大错报风险，审计期望差越来越大。更深层次的原因是实务中很多客户在审计之后面临着很高的经营风险甚至经营失败风险而引发审计失败。尽管经营失败并不必然带来审计失败，但当被审计单位在审计完成以后发生经营失败导致审计失败，公众往往会有扩大注册会计师责任的倾向，因此会给注册会计师带来极高的诉讼风险。为有效降低注册会计师以及会计师事务所卷入诉讼的几率，以“四大”为首的大型会计师事务所开发了新的审计方法用以应对并控制诉讼风险，因此“四大”风险评估采用BRA的出发点是一致的，其总体目标也基本一致，即首先通过风险评估识别被审计单位的重大经营风险，特别是经营失败风险，并进而确定重大错报高风险(尤其是管理舞弊风险)环节，再根据风险的性质和高低确定审计的范围和重点，进一步决定如何收集、收集多少以及收集何种性质的证据，以便更有效地控制和提高审计效率及效果，从而将审计诉讼风险控制在可接受的风险水平之内。

三、风险评估的范围

BRA所持有的广义审计风险概念，使“四大”在风险评估时除了要考虑能够引起会计报表重大错报风险的具体风险之外，还要重点评估由于被审计单位经营失败而导致事务所本身遭受损失或不利的可能性，即对接受审计委托的业务关系风险进行评估。会计报表重大错报风险总体可分为两类：错误风险和舞弊风险。能够引起这两类风险，特别是舞弊风险的具体风险包括被审计单位的内外环境风险、管理风险、经营风险和财务风险等。这四类具体风险并不是独立的，而是相互影响相互作用，特别是其它三类风险都有可能引起经营风险，因此在进行风险评估时要注意它们之间的相互转化。除此之外，能够引起业务关系风险只有被审计单位的经营风险。由于经营风险既能够引起会计报表重大错报风险，又能够引起业务关系风险，因此BRA风险评估的重心是被审计单位的经营风险。“四大”的审计方法均将经营风险的评估作为风险评估的核心，风险评估范围总体上基本一致，但对风险评估具体范围的认识却存在差异。如KPMG和E&Y在开始审计时都要对被审计单位的经营目标、经营战略和关键经营流程进行分析，从而来评估被审计单位的重大经营风险；但PwC尝试了解所有用来管理企业的外部和内部的信息，并对被审计单位所有的经营风险进行识别和评估，利用其经营分析框架(BusinessAnalysisFramework)从四个维度(客户经营所在市场环境、客户经营目标战略、客户最关键的价值创造活动、管理当局经营业绩的财务计量方法)来对被审计单位的总体经营情况进行了解并对其经营风险进行评估。DTT则是全面了解影响被审计单位生产经营的内部因素(所有权结构、经营目标、会计政策等)和外部因素(所在行业情况、经营环境、法律法规要求等)，从而评估经营风险对会计报表整体和特定会计账户的影响。可见“四大”风险评估的核心是经营风险，具体范围的认识及对引起该风险的各风险因素的重视程度稍有差异，相比DTT，PwC、KPMG和E&Y在评估经营风险时更加重视对被审计单位经营战略以及经营流程的分析，更注重从粗犷的层面来对风险进行评估。

四、审计计划阶段风险评估程序

审计计划阶段就是一系列的风险评估过程，自始自终贯穿了风险评估程序。与制度基础审计相比，BRA审计方法非常强调审计计划的重要性，在一个完整的审计过程中审计人员要花大量的时间用于制定较详细的审计计划。而在审计计划的制定过程中审计人员就需要运用大量的风险评估程序对各种风险进行评估，从而来计划进一步审计程序的性质、时间以及范围。在审计计划阶段“四大”的风险评估程序总体思路基本上是一致的，但在具体风险评估程序上还存在一定的差异。

（一）经营风险评估

在审计开始时，“四大”都需通过一定的方式对影响被审计单位经营状况的内外部因素进行充分的了解，以收集充分、适当的风险评估证据。具体风险评估程序，PwC、E&Y和KPMG：战略分析战略经营风险评估战略相关控制了解及评价[战略控制和管理控制了解及评价]剩余战略经营风险评估流程分析流程经营风险评估流程相关控制了解及评价[流程控制和管理控制了解及评价]剩余流程经营风险评估剩余经营风险评估财务报表整体层次重大错报风险评估[财务报表整体层次(FST)重大缺陷风险(RMW)、重大错报风险(RMM)评估]；DTT：影响生产经营的内部因素了解影响生产经营的外部因素了解经营风险评估被审计单位整体层次内部控制了解及评价剩余经营风险评估财务报表整体层次重大错报风险评估。“四大”各自风险评估程序的异同。

1.共同点：一是“四大”关注的内外部因素相互之间基本相似，如行业状况、企业的目标、战略、企业财务业绩计量方法等，特别关注被审计单位的持续经营状况和舞弊可能性；二是“四大”都对被审计单位整体层次的内部控制整体框架进行了解。企业整体层次的控制是企业内部控制的组成部分，它们遍布整个企业，不仅仅只和某些特定的交易业务类别和账户余额或者其它具体认定事项相关。“四大”通过分别了解内部控制的五个组成要素(控制环境、风险评估、控制活动、信息与沟通以及监督)来实现对被审计单位整体层次内部控制整体框架的了解，继而重点评价内部控制对经营风险，特别是舞弊风险预防和侦查的有效性(如考虑是否存在管理层逾越内部控制的可能性等)，进而对剩余经营风险(即没有被整体层次内部控制防止或检查出的经营风险，包括舞弊风险)进行评估。

2.差异：一是对被审计单位经营状况了解时关注的重点稍有差异。具体在了解被审计单位经营状况的方式上，PwC、KPMG和E&Y三者都是通过战略分析和流程分析两个程序来了解的，将最主要的精力花在对被审计单位经营目标和战略以及关键的价值创造流程的分析上，从而来评估经营风险；DTT是通过了解影响被审计单位生产经营的内外部因素来了解被审计单位经营状况的，并没有表现出对上述因素特别的关注，而是通过综合分析影响被审计单位生产经营的内外部因素，从而评估经营风险。由于上述了解方式差异的存在导致了前三者在对被审计单位经营状况了解时关注的重点和DTT稍有差异。二是DTT和PwC、KPMG、E&Y在风险评估程序上也体现出了较大的差异。在了解企业整体层次内部控制和评估经营风险时，后三者是通过对战略、流程相关的控制分别进行分析了解以及对相关的经营风险分别进行评估来完成的。而相比KPMG将风险评估的层次明确划分为三个，即财务报表整体层次(FST)、重大交易业务类别和账户余额层次(CAB)以及内在认定层次(ASR)，并引入“重大缺陷风险”(RiskofMaterialWeakness,简称RMW)概念，同时借鉴国际审计准则“重大错报风险”(RiskofMaterialMisstatement,简称RMM)概念，规定审计人员必须在三个层次下分别对RMW和RMM进行评估。在该步骤中KPMG最后需要分析剩余经营风险对财务报表整体的影响，并在财务报表整体层次(FST)对重大缺陷风险以及重大错报风险进行初步评估。KPMG更是明确将企业整体层次内部控制分为战略控制、管理控制和流程控制，又将经营风险分为战略经营风险和流程经营风险。因此，在概念上定义更加清晰。而DTT对内部控制和经营风险既没有进行明确的分类，在了解内部控制和评估经营风险时也没有分别进行了解和评估。

（二）固有风险评估

“四大”在评估固有风险之前首先都要对被审计单位财务报表的重要账户、重大交易类别及相关重大认定进行识别，该步骤“四大”各自风险评估程序，PwC、E&Y和DTT：财务报表重要账户、重大交易类别及相关重大认定识别(结合财务报表整体重大错报风险)认定层次固有风险评估；KPMG：财务报表重要账户、重大交易类别及相关重大认定识别(结合FST层次重大错报风险)CAB层次以及ASR层次固有风险评估；经分析，“四大”各自风险评估程序的异同：

1.“四大”识别风险的红旗标志基本一致，如重要账户的识别标准包括账户存在重大错报的可能性、相关交易的数量和复杂性、经营风险的影响以及所需判断的程度等。“四大”在低层次对固有风险进行评估时，除考虑传统方法下所需考虑的因素(账户性质和组成、交易复杂程度、关联方等)之外，还重点考虑剩余经营风险对财务报表整体的影响，即考虑财务报表整体重大错报风险对相关账户、交易类别和认定产生的影响，因财务报表整体层次的重大错报风险同样可能会在低层次继续存在。特别是当已经识别到被审计单位可能存在舞弊情形时，审计人员尤其要关注舞弊风险对财务报表重要账户、重大交易类别及相关重大认定的影响。

2.KPMG与其他三者存在一定的差异，主要体现在两方面：一是在识别重要账户、重大交易类别及相关重大认定的时间安排上有所不同。KPMG是在对被审计单位执行战略分析和流程分析的同时对重要账户、重大交易类别及相关重大认定进行识别的，可见其在时间安排上相比有所提前。二是KPMG需要在CAB层次以及ASR层次下分别对固有风险进行评估，而PwC、E&Y和DTT则仅仅在认定层次进行评估。

（三）控制风险初步评估

由于企业(特别是像“四大”客户那样的大中型规模的企业)低层次具体的内部控制(除了控制环境要素以外的其它四要素)主要是针对各个交易业务类别来设计的，因此“四大”在了解低层次内部控制时是通过将被审计单位的业务划分成若干业务循环，再按每一业务循环去了解内部控制。具体PwC和DTT：识别并了解认定层次关键控制内部控制有效性评价(结合对企业整体层次内部控制的了解)认定层次控制风险初步评估决定认定层次审计策略(信赖/不信赖内部控制)(信赖)执行控制测试；KPMG：识别并了解CAB层次以及ASR层次关键控制CAB层次以及ASR层次内部控制有效性评价(结合对FST层次内部控制的了解)CAB层次以及ASR层次RMW(即控制风险)初步评估决定CAB层次以及ASR层次审计策略(信赖/不信赖内部控制)(信赖)分别执行控制测试；E&Y：识别认定层次关键控制初步决定认定层次审计策略(信赖/不信赖内部控制)(信赖)了解认定层次关键控制内部控制有效性评价(结合对企业整体层次内部控制的了解)认定层次控制风险初步评估，决定是否执行控制测试。这种了解方式能使审计人员的注意力集中在各业务循环的关键控制点上，提高审计程序的效率，也便于审计人员在以后的审计程序中按不同的业务循环采取不同的审计策略，“四大”的BRA与传统审计方法是保持一致的。各自对控制风险进行初步评估异同点如下：

1.PwC和DTT对控制风险进行初步评估程序基本一致。由于KPMG对风险评估层次划分的差异，使得KPMG在该步骤上同上述两者存在相应的差异。KPMG需要识别和了解CAB和ASR两个层次的关键控制,并对这两个层次内部控制的有效性分别进行评价，从而对各自的RMW(即控制风险)分别进行初步评估。再则PwC和DTT只需决定认定层次的审计策略，KPMG还需在CAB和ASR两个层次下分别决定审计策略，对于采取信赖内部控制策略的则要计划进一步的控制测试。

2.E&Y与PwC、DTT存在一些差异。在识别了认定层次的关键控制后，E&Y首先要决定相关认定的审计策略，对于采取信赖内部控制策略的认定就要进一步识别并了解和其相关的关键控制，而对于采取不信赖内部控制策略的认定就直接计划进一步实质性测试，不用了解和其相关的内部控制。对于采取信赖内部控制策略的认定，在对其控制风险进行初步评估后，还需要最后决定是否对相关控制执行进一步的控制测试。

（四）计划进一步审计程序(计划控制测试和实质性测试)

计划进一步审计程序是审计计划阶段的结束程序。由于固有风险和控制风险都受企业内外部环境的影响，两者之间联系紧密，很难将它们单独分得非常清楚。因此在该步骤中，“四大”在单独对它们进行初步评估的基础上还须对两者进行综合评估，即固有风险和控制风险的联合评估，得出被审计单位财务报表低层次存在的重大错报风险。最后根据审计风险模型计算得出相应层次的检查风险初步水平，并依据检查风险初步水平来进一步计划相应层次实质性测试的性质、时间以及范围。该步骤“四大”各自风险评估程序：PwC、E&Y和DTT：计划控制测试的性质、时间以及范围认定层次固有风险和控制风险联合评估认定层次检查风险(DR)推导计划实质性测试的性质、时间以及范围；KPMG：计划控制测试的性质、时间以及范围CAB、ASR层次RMM初步评估CAB、ASR层次DR推导计划CAB、ASR层次实质性测试的性质、时间以及范围。特别指出的是，E&Y在认定层次下将固有风险和控制风险进行联合时专门引合风险(CombinedRisk)的概念，定义联合风险为财务报表重要账户以及财务报表其它相关认定固有风险和控制风险的联合，并明确指出联合风险是审计工作的核心，其余的审计工作都要围绕联合风险来进行，联合风险的评估结果是决定实质性审计程序性质、时间以及范围的基础。事实上，国际审计与鉴证准则委员会(IAASB)正是受到“四大”对固有风险和控制风险进行联合评估构思的启发才引入“重大错报风险”概念的。因此可以说，“四大”对固有风险和控制风险的联合评估是对传统审计方法风险评估模式的一大创新。经分析，该步骤PwC、E&Y和DTT风险评估总体程序基本一致，而KPMG在该步骤上与其他三者存在一些差异。KPMG需要将CAB层次以及ASR层次各自的固有风险和RMW分别进行联合评估，从而来初步评估各自层次的RMM，在此基础之上再根据审计风险模型分别计算CAB、ASR层次的检查风险水平，并进一步计划CAB、ASR层次各自实质性测试的性质、时间以及范围。而其他“三大”仅仅需要在认定层次将固有风险和控制风险进行联合以及在认定层次计划实质性测试程序即可。

五、风险评估方法的运用

BRA在风险评估时除了应用其他的方法之外，最注重对分析性程序的运用，审计人员不仅对财务数据进行分析，同时也对非财务数据进行分析，同时大量的分析性工具和现代管理方法被运用到分析性程序中去。虽然“四大”在风险评估时都注重分析性程序的运用，但相互之间对分析性程序的重视程度和应用力度还是存在一些差异的。

由于在审计计划阶段对被审计单位经营状况进行了解的方式不同，相比DTT，PwC、KPMG和E&Y更加注重对分析性程序的应用，在执行分析性程序时运用的分析性工具也相对较多。如在战略分析时运用了PSET分析和POPTER分析方法；在流程分析时运用到了价值链分析(VCA)和波士顿矩阵(BCG)以及SWOT分析方法；在绩效分析时运用了平衡积分卡(BSC)和标杆管理(Benchmarking)分析技术等。而DTT在了解被审计单位经营状况时并没有将最主要的精力花在研究客户的经营战略和经营流程上，而是综合考虑了影响被审计单位生产经营的内外部因素，同时对报表资料实施初步分析性复核，如同业分析、纵向分析、非财务数据与财务数据比较以及财务数据之间比较等。而在PwC、KPMG和E&Y三者中，PwC更加注重也更擅长应用分析性程序来进行风险评估。这主要是因PwC的客户多数为成熟型的超大规模公司，通过对客户实施大量的分析性程序有助于大大提高审计效率；同时也因为PwC本身具有的风险评估工具――全球最佳实务(GlobalBestPractices,简称GBP)――使得其更擅长实施大量的分析性程序。

六、风险评估的取证

风险评估其实就是评价管理当局在财务报表中确认和披露的信息与被审计单位实际经营状况之间的符合程度，而要了解被审计单位的实际经营状况就需要从多方面获取足够恰当的证据。证据可以从公司内部或者公司外部获取，由于从公司外部获取的证据相比从内部获取的证据更加不易受管理当局控制和歪曲，因而相对来说具有较高的可信度。BRA在风险评估时除了注重从公司内部获取证据之外，也注重从公司外部获取证据。如“四大”在了解被审计单位的经营状况时都要获取公司外部信息（行业市场状况、相关法律法规以及总体经营环境等），还会询问投资者、分析家以及前任注册会计师（若为新客户的话）对被审计单位经营状况的看法。

特别值得一提的是，近年来KPMG在对风险评估证据理论研究方面已经有了新的进展，最重要的研究成果就是提出了审计证据“三方印证”的理念。KPMG将风险评估基本证据来源分为三种，即EBS(EntityBusinessStates)、MII(ManagementInformationIntermediaries)以及MBR(ManagementBusinessRepresentations)，并将其获取证据的方法称为Triangulation(三方印证)，指从上述三个基本证据来源收集可以相互佐证的证据的方法。由于从EBS获取的证据属于外部证据范畴，不容易被管理当局歪曲，因此该方法强调在风险评估三个层次(FST，CAB，ASR)评估风险时均要用从EBS获取的证据来对从MII和MBR获取的证据进行佐证，这样可以帮助审计人员发现会计报表重大错报风险以及在财务报告内部控制方面的重大缺陷风险。目前“三方印证”的取证理念已经代表了风险评估取证的一个新方向。

结束语

审计的特别风险及应对范文

关键词：铁路；建设项目；风险导向审计

1概述

随着大规模铁路建设的开展，投资持续增长，铁路建设管理更加精细，管理要求越来越高，铁路建设项目管理过程中面临的风险也越来越多。传统审计模式为推进铁路建设规范管理发挥了重要作用，但在风险管理方面发挥的作用有限。风险导向审计是在传统审计模式基础上发展起来的一种新型审计模式[1]，在注重审计效益的基础上，强调风险防范。它是根据风险量化结果分析审计项目的次序，确定审计的范围与重点项目，通过采取系统化和规范化的方法，对组织的内部控制、治理程序、风险管理等进行全面评价，提出合理有效的建议，从而帮助组织实现其目标的独立、客观的确证和咨询活动[2]。如何发挥风险导向审计在铁路建设项目风险管理中的作用，从而促进建设项目管理目标的实现，是当前铁路内部审计面临的重要课题。风险导向审计特征如下。（1）凸显组织风险。风险导向审计要求将风险贯穿于审计的全过程，审计项目实施前应根据风险的大小次序确定审计范围和审计重点，审计实施过程中应高度关注组织在治理过程中面临的各种风险，并对这些风险进行评估，如财务风险、市场风险、信贷风险、技术风险等，分析风险对组织目标的影响程度，提出控制风险的合理化建议[3]。（2）实现审计目标与组织目标的高度融合。根据国际内部审计师协会(IIA)的定义，内部审计通过应用系统的、规范的方法，评价并改善风险管理、控制和治理过程的效果，帮助组织实现其目标[4]；中国内部审计协会2013年的《中国内部审计准则》指出，内部审计通过运用系统、规范的方法，审查和评价组织的业务活动、内部控制和风险管理的适当性和有效性，以促进组织完善治理、增加价值和实现目标。可以看出，国际内部审计师协会和中国内部审计协会均将帮助组织实现其目标作为内部审计的目标，体现了审计目标与组织目标高度融合。（3）体现效率与价值。一方面，风险导向审计强调通过对风险的识别和评估，确定审计重点，将有限的审计资源分配在高风险审计领域，以提高审计效率，降低审计成本；另一方面，风险导向审计通过评价并改善风险管理、控制和治理过程的效果，帮助组织实现其目标，促进组织增加价值。

2影响铁路建设项目风险导向审计开展的因素分析

在铁路建设项目管理过程中，承担铁路大中型项目建设任务的建设单位应围绕建设项目的工程质量、施工安全、工期进度、投资控制、环境保护和维护稳定等方面管理目标开展相关工作。近年来，随着铁路建设项目投资金额越来越大，技术标准更加精细，项目管理要求越来越高，政策越来越严格，特别是高速铁路项目大规模投资建设，一个建设单位往往管理几个在建项目，有的建设单位还同时管理已开通运营的项目，无论是管理难度还是管理的复杂性，都变得比以往更高，建设单位在作出管理决策时，面临着越来越难以预测的风险，这已成为影响建设项目管理目标能否顺利实现的重要因素，因而控制风险对实现建设管理目标起着至关重要的作用。传统审计模式下对铁路建设项目的审计内容主要是针对建设资金管理与使用情况，重点关注收入、支出、成本费用及验工计价等方面，以纠错防弊为主，审计对象主要是会计凭证、账簿、报表及合同招投标等资料，审计内容比较单一，对风险管理领域的内容很少涉及，在一定程度上限制了铁路内部审计作用的发挥。风险导向审计作为一种新的审计理念，要求审计人员根据风险的大小次序确定审计范围和重点项目，将有限的审计资源分配在高风险审计领域，在审计过程中自始至终关注风险，并利用技术手段评估建设项目管理中关键环节、关键控制点存在的风险，提出控制风险的建议，管控好风险，促进建设项目管理目标的实现。相比传统审计模式，风险导向审计更有利于提高审计效率和自身价值，充分体现审计的增值作用。目前，影响铁路建设项目风险导向审计开展的因素如下。

2.1风险管理意识不足

建设项目的建设单位及其管理者为完成上级部门下达的建设项目管理考核目标，在建设项目管理过程中作出相关决策时，往往忽视了对风险的关注，对风险可能带来的影响缺乏足够的认识，有关风险管理活动往往是按照上级单位或有关政策要求被动执行，而不是出于自身管理的需要主动开展风险管理活动。风险导向审计作为一种新理念、新模式，铁路内部审计机构和人员目前对风险导向审计大多还停留在概念上，对风险导向审计如何实施及实施效果还缺乏足够的认识。此外，风险导向审计要求审计人员更全面地了解风险管理知识，并掌握风险评估等专业技术。在没有强力推动的情况下，内部审计机构和人员缺乏主动参与风险导向审计的积极性。

2.2审计信息和数据有限

在风险导向审计过程中，审计人员需要大量的信息进行风险量化分析。目前，铁路内部审计机构对建设项目有关信息和数据的了解主要依赖自身以往开展建设项目审计信息资料的积累，掌握的审计信息和数据资料有限，而且大部分比较滞后，不能适时反映当前铁路建设项目管理现状。在信息获取方面，中国铁路总公司和铁路局2级审计机构之间的纵向信息沟通，以及2级审计机构与其他部门之间的横向信息交流比较有限。2级审计机构之间主要是通过“下达和上传”的形式，上级审计机构下达需要提报的信息内容和要求，下级审计机构按照报告工作制度的要求向上级审计机构提报有关资料，沟通渠道单一，缺乏时效性。财务、计统、建设、工程及安全监督等业务主管部门在日常管理中与建设单位在业务方面有着更多的信息沟通。因此，各业务主管部门在对口业务方面掌握着建设项目更多的信息和数据资料，但由于审计机构与各部门信息不互通，使得信息资料比较分散，不能发挥信息整合的优势，限制了审计机构从其他部门获得更多信息。由于对建设项目风险信息掌握不够，审计机构在确定年度审计项目计划时，主要是按照“全覆盖，无遗漏”的要求，考虑项目是否在建设期内已审计，以及对各项目已审计的次数选择审计项目，从风险的角度考虑得较少。

2.3风险评估体系尚未形成

风险评估是风险管理的核心，科学有效的风险评估方法是对风险进行合理评价的基础，否则就难以得出有效的审计结论。受传统审计指导思想的影响，铁路内部审计目前在建设项目审计过程中对风险领域关注还比较少，内部尚未建立对风险的量化标准，没有形成适合铁路建设项目风险导向审计特点的风险评估体系。审计过程中即使涉及对有关风险的分析判断，审计人员也只能依靠有限的信息资料和个人经验作出主观判断，所得出结论的准确性和有效性都将难以保证，反而增加了审计风险。

2.4审计人员综合素质有待提高

铁路建设项目风险导向审计除要求审计人员掌握财会专业知识外，还要求掌握工程、风险管理、计算机技术及法律等方面的知识，充分利用风险技术手段，有效识别风险信息，评估和分析风险的大小及影响程度，提出控制风险的合理建议。目前，铁路内部审计人员在知识结构方面主要是以财会专业为主，具有铁路一线财会工作经验，熟悉铁路基层财务管理流程和生产业务，但知识结构和工作经历比较单一，知识更新较慢。审计队伍缺乏具备工程、计算机、管理及法律等专业知识和工作经历的综合人才，难以满足开展风险导向内部审计的需要。

3推进铁路建设项目风险导向审计的对策

3.1加强风险导向审计意识

在铁路建设快速发展的新形势下，铁路内部审计机构应当更新审计理念，主动推动铁路建设项目风险导向审计，通过开展风险导向审计课题研究、试审等形式，探索适合铁路建设项目风险导向审计的方法体系。内部审计人员应更新观念，积极学习风险管理知识，提高风险管理意识，并在审计实践中自觉关注风险，分析风险，提出控制风险的合理化建议，为管理者实现既定目标服务，充分发挥内部审计在铁路建设项目风险管理中的推动作用。建设单位应在企业内部营造良好的管理环境，建立健全内部风险管理体系，培育管理人员和职工的风险意识，鼓励全员积极参与到企业风险管理活动中来。管理者应切实转变思想观念，将风险理念贯穿于建设项目管理的各个环节，并全力支持铁路建设项目风险导向审计的开展。

3.2建立完整有效的审计风险管理信息库

充分把握当前推进铁路审计管理信息系统建设的有利时机，在审计管理信息系统中建立铁路建设项目审计风险管理信息库。风险管理信息库应结合当前铁路建设项目的实际情况，对信息和数据按照一定层级和类别进行分类[5]，如纵向可以分为铁路建设行业风险并具体到单个建设项目的管理风险，横向可以根据业务分为财务、质量、安全、技术等类别。铁路建设项目审计风险管理信息库架构如图1所示。依据建设项目审计分级负责的原则，铁路2级审计机构对风险管理信息库的建设应有明确分工：中国铁路总公司审计机构应主要负责对铁路建设行业风险信息及本级负责审计的建设项目风险信息的识别，并指导、协调铁路局审计机构对本级负责审计的建设项目风险信息的梳理；铁路局审计机构负责对本级审计的建设项目风险信息的识别，对识别的风险进行筛选，及时录入铁路建设项目审计风险管理信息库。应积极推动铁路建设项目审计风险管理信息库与财务、计统、建设、工程及安全监督等业务主管部门信息对接，实现审计与业务主管部门之间的信息互通，共享有关信息资源，进行全面风险管理。根据内外部风险环境的动态变化，应及时更新和维护铁路建设项目审计风险管理信息库，对重要风险进行实时监测和分析预警[6]。铁路2级审计机构和人员可以随时查询相关信息，实时了解当前铁路建设项目有关风险信息，在提报年度铁路建设项目审计计划时，在遵循“全覆盖，无遗漏”的前提下，根据风险大小选择重点关注的审计项目并设定审计频次。

3.3建立科学有效的风险评估体系

结合铁路建设项目审计实际情况，应逐步建立符合铁路建设项目风险导向审计特点的风险评估体系。（1）建立风险分析技术方法体系。应用定性分析和定量分析，采用一定的技术方法，从风险发生的可能性和风险的影响程度2个维度对风险进行全面分析[7]。风险导向审计开展初期，铁路内部审计机构可以通过开展风险导向审计课题研究，积累理论成果，在此基础上开展试审。试审阶段可以借助外部智力或引进人才进行，后续通过总结经验和不足，逐步建立适合铁路内部审计的风险分析技术方法体系，并随着风险导向审计的全面开展不断改进和完善。（2）建立风险评价指标体系。应结合建设项目风险导向审计的特点，将风险分为战略风险、财务风险、质量安全风险、技术风险及政策风险5大类风险指标，每一类风险指标包含不同的具体风险指标，如财务风险应包含税务风险、抵押担保风险、流动性风险、融资风险、利率风险等，在对风险指标进行细化分类的基础上，根据每个具体风险指标的重要程度，将风险划分为不重要、低重要性、中等重要、重要及高度重要5个不同的等级标准。风险指标及风险等级标准的确定应根据形势的发展变化及时进行调整，并与建设项目各个阶段管理风险的能力相匹配，以便通过科学评价风险，揭示风险，及时采取应对措施，为风险管理提供有效依据。

3.4提高审计人员综合素质

努力打造一支全面掌握风险、战略管理、计算机及法律等方面专业知识的审计队伍，使审计人员在审计实践中运用风险理念思考问题，用风险语言描述问题。加强对审计人员的培训，通过举办以风险导向审计为主题的培训班，使审计人员通晓风险管理、计算机技术及法律等方面的知识，增强审计人员的风险意识，并掌握风险管理的技能。加强内部交流学习，如选派审计人员到建设单位锻炼，或向相关业务部门轮岗工作、学习[8]，使审计人员熟悉不同岗位的业务流程和管理特点，以扩大审计人员的视野，开阔思路，增长见识。充实内部控制、风险管理和计算机技术等方面的人才，以改善审计人员结构，增强审计力量。邀请外部风险管理专家参与现场审计，指导审计人员掌握对重要风险的识别和评估方法，在实践中培养审计人员运用风险管理的技能。

4结束语

风险导向审计为铁路建设项目审计提供了新的审计工作思路，铁路内部审计机构应结合铁路建设管理实际，深入研究，建立适合铁路建设项目风险导向审计特点的方法体系。审计人员在不断提高审计技术的同时，应不断提高自身职业道德水平，增强法律责任意识，真正做到客观、公正、有效，使风险导向审计在铁路建设领域真正发挥其应有的作用。

参考文献：

[1]严晖.风险导向内部审计整合框架研究[M].北京：中国财政经济出版社，2004.YANHui.ResearchontheIntegratedFrameworkofRisk-orientedInternalAudit[M].Beijing：ChinaFinancial&EconomicPublishingHouse，2004.

[2]菲尔•格里夫茨.风险导向内部审计[M].北京：中国金融出版社，2014.PhilGriffiths.Risk-basedAuditing[M].Beijing：ChinaFinancialPublishingHouse，2014.

[3]谢忠贵.风险导向内部审计理论与运用[D].北京：北京交通大学，2009.XIEZhong-gui.TheTheoryandPracticeofRisk-orientedInternalAudit[D].Beijing：BeijingJiaotongUniversity，2009.

[4]国际内部审计师协会.国际内部审计专业实务框架[M].北京：中国财政经济出版社，2013.TheInstituteofInternalAuditors.IIAInternationalProfessionalPracticeFramework[M].Beijing：ChinaFinancial&EconomicPublishingHouse，2013.

[5]黄文佳.铁路建设项目管理信息系统投资分析功能的开发与应用[J].铁道运输与经济，2015，37(5)：38-43.HUANGWen-jia.DevelopmentandApplicationofInvestmentAnalysisFunctionsofManagementInformationSystemofRailwayConstructionProjects[J].RailwayTransportandEconomy，2015，37(5)：38-43.

[6]冯安平.内部审计部门如何建设及运行企业风险库[J].中国内部审计，2015(12)：73-74.

[7]王长峰.现代项目风险管理[M].北京：机械工业出版社，2008.WANGChang-feng.ModenProjectRiskManagement[M].Beijing：ChinaMachinePress，2008.