［提要］自20世纪80年代以来，为适应高度风险社会的需要，在以美国为代表的西方，产生了一种名为“风险基础审计”(Risk-basedAuditing)的审计模式，并在“五大”会计师事务所广泛采用。本文拟在研究国外资料的基础上，结合我国的审计实践，向各位同行介绍风险基础审计的思想基础、基本程序等问题。

一、风险基础审计的思想基础

风险基础审计是一种有别于账项基础审计和制度基础审计的审计模式。它以量化的风险水平为重点，在确定的风险水平基础上，决定实质性测试的程度和范围。这一方法模式最显著的特点是，将客户置于一个大的经济环境中，运用立体观察的理论来判断影响因素，从企业所处的商业环境、条件到经营方式和管理机制等构成控制结构的内外部各个方面来分析评估审计的风险水平，并把客户的经营风险植入到本身的风险评价中去。此外还有一个特点就是，明确确认在为审计测试选择一个样本，企业开展业务的商业环境，对报表余额的真实性和公允性给予审计评价等都可能存在风险，并把这种意识贯穿到审计的全过程，从而在审计过程中把重点放在审计风险的评估上，并通过各种审计程序的设计和执行，把审计风险降低到注册会计师可以接受的水平。
风险基础审计的思想基础主要运用了我国的孙子兵法中诸如“凡事予则立”、“仗不打就赢”等思想，即由上而下，由宏观而微观，用评估的方式对财务报表加以评价，预先决定客户的重大性范围和目标。在具体审计时，它把审计基础工作大量地放在对客户营业过程的调查，对内部控制要素进行控制测试，并对财务报表和客户的操作程序、审计环境等进行科学分析、判断上，从而使期末需要审查的结果，在期初和期中得到判断。也就是说，通过了解、观察、分析、评估来确定审计的范围和重点，做到仗还未打，已有八分胜券。这也是风险基础审计能有效降低审计风险的原因所在。

二、风险因素分析

注册会计师要想明了审计活动所面临的全部风险，首要任务便是寻找与审计自身活动和环境相联系的风险因素。这点在目前并没有得到应有的认识，在现时证券市场发展阶段，注册会计师也不会去假设这种责任。因此，大多数注册会计师对引发审计风险的因素缺乏了解。但证券市场已发生的多起审计案件应当使我们警醒。注册会计师必须明了可能导致风险的各种因素，以使制订的审计计划更为有效，这样的审计结论更为可靠。除了遵循职业道德、审计技术和方法外，注册会计师还必须关注以下可能导致审计失败的因素：
1.关于企业所在行业的因素。主要有：(1)竞争激烈的行业；(2)迅速增长的行业，如高新技术产业；(3)大量营业失败存在并且衰退的行业；(4)国家化趋势的行业；(5)政治、环境或其他原因导致的行业法律限制(如扩张限制、生产限制)。
2.关于企业所在地区的因素。主要有：(1)处于政治不稳定性的地区；(2)在有贸易限制或有争议的国家或地区有大量的销售或其他活动；(3)缺乏适当的交通设施的地区。
3.与员工、组织机构和经营方式有关的因素。主要有：(1)专制的高级管理人员、无效的董事会或审计委员会；(2)管理人员行为超出重要内部控制的可能性；(3)存在与报告业绩或与某一明确的高级管理人员有权控制的业务有关的分红报酬；(4)高级管理人员财务困难的可能性；(5)重要的诉讼，特别是在股东和管理人员之间的；(6)极其乐观的盈利预测；(7)复杂的公司结构，这种复杂性与公司的经营或规模明显不匹配；(8)极度分散管理加上极其分散的经营地点；(9)低下的人事制度，要求超时工作或取消假日；(10)财务总监或董事等主要财务岗位人员的变动太频繁；(11)经常更换注册会计师或律师；(12)内部控制存在重要弱点，这个弱点可以纠正但未纠正；(13)无法得到弥补的非法行为或其它违规事项；(14)与关联方存在重要的交易或存在可能涉及到关联方利益的业务；(15)律师、顾问、中间人和其他人提供了普通服务，但给予的报酬却很高；(16)难以获取与下列事项有关的证据：①异常的或未解释分录；②不完全或遗漏的凭证和授权；③凭证或账户更改；(17)存在未预料到的审计问题，例如：①客户要求在极短的时间内或困难条件下完成审计；②突然拖延；③管理人员对注册会计师的询问不作回答或作不切实际的回答；(18)同行业其他公司最近披露的非法或有问题的事项；(19)售给外国政府的大额业务的存在；(20)对外国的销售价格或佣金远远高于本国的销售；(21)销售折扣在客户所在国外支付；(22)存在未经营的子公司，秘密银行账户或其他秘密基金；(23)罢工和封锁的风险。
4.关于盈利和经营预测的因素。主要有：(1)销售数量或质量的下降(例如信用风险增加，以成本或低于成本价销售，较低的边际利润)；(2)经营业务的重大变化；(3)对单个或极少数产品、客户或业务的依赖；(4)缺少产品开发；(5)生产能力严重过剩；(6)不切实际的生产目标；(7)生产设备更新慢、折旧率低；(8)分析性复核揭示的重大波动，这种波动无法得到合理解释，例如：①异常的账户金额；②实际存货数量异常变动；③异常的存货周转率；(9)年末金额大的或异常的业务，这种业务对盈利有重要影响。
5.关于资产的因素。主要有：(1)资产价值的下降；(2)缺乏必要的安全措施。
6.关于流动性和融资的因素。主要有：(1)没有足够的现金流量；(2)缺乏营运资本；(3)在诸如营运资本比率等方面的借款规定中缺乏弹性；(4)缺乏权益资本；(5)获取新的资本困难(例如由于股权、法律条款等的原因)。
7.关于未预料损失的因素。引起这些损失的原因主要有：(1)购买和销售合同；(2)合同的补充条款；(3)担保合同；(4)生产授权；(5)租赁合同；(6)外汇交易；(7)保险保障。
在审计规划阶段，通过对行业与企业经营环境的研究及分析性测试等程序的应用，注册会计师应该设法识别出所有能指出重大审计风险的标志(warning signs)。注册会计师对这些因素的分析应归入永久性审计工作底稿，因为这些因素的分析对重大性的估计及审计程序的设计会产生重大的影响。如何分析这些因素、通过何种方法来分析取得的资料并确保所有的风险因素在审计计划阶段得到考虑，是注册会计师应认真解决的问题。不过，客户存在上述风险因素，并不意味着该客户不可审计，而是给注册会计师一种提醒的作用，要对客户发表非标准无保留意见审计报告。在西方，各大会计师事务所将这些风险因素列为矩阵的形式，在矩阵上排列出风险因素和分析这些风险因素的资料来源。至于列多少风险因素，各个会计师事务所是不一样的。

三、风险基础审计的基本程序

风险基础审计的特点表明，审计程序设计和执行恰当与否，对审计风险的控制有着重要的意义。恰当的审计程序有助于审计工作循序渐进、有条不紊地达到审计目的。在实务中，为了使审计工作做得更为细致，并能关注审计重要领域，风险基础审计的程序可分为以下五个阶段：
第一阶段：通过调查、了解、分析、评估等方法执行一般规划并确认重要的审计领域，识别重要的风险领域。目的是评估固有风险，确认重要的审计范围。一般在审计计划开始时进行。具体内容为：明确客户服务及其他规划目标；取得或更新对客户业务与产业的了解；执行全面控制环境的评估；对重大性作初步判断；决定要审查的重要账户；确认影响这些账户的资料来源；编制审计计划。
第二阶段：了解和评估重要的资料来源。目的是寻找并确定控制弱点。一般在期中审计时进行。具体内容是：确认重要的估计和资料过程；对各项过程取得了解；考虑何处可能出错；确认与评估相关的控制。
第三阶段：执行初步风险评估，即固有风险和控制风险的联合。目的是通过风险评估，选择可靠的、有效益的、有效果的审计查核程序。即首先考虑固有风险，再对控制风险作出初步评估。在对控制有效或无效作出判断时，主要是对客户管理意识、控制措施及控制品质、控制程序设计本身是否严密，分工分职是否良好作出判断。如果有效，则进一步对可依赖程度和发生重大审计错误的可能性作出判断。在此基础上再评估审计发生错误的可能性，并确定审计查核方法。这主要在审计中期完成。具体内容包括：确认重要的作业和交易；了解重要交易之流程，绘制流程图；研究判断错误可能发生的所在，一要辨认流程中的关键环节，二要把控制目标与流程中的重要环节串联，三要确认交易流程中可能发生的错误，辨认及了解预防控制及侦测控制，初步评估控制风险。
第四阶段：拟定与执行审计计划，通过实施审计获取审计证据。具体内容如下：根据评估作出的不同的风险程度，为每一类重要认定拟定不同的查核方法；拟定审计程序以供控制测试及实质性测试之用；执行内部控制测试；根据测试结果最终评估控制风险；根据所确定的察觉风险水平的高低，执行实质性测试。
第五阶段：作出审计报告，即执行全面评估，将审计结论形成书面文件。
以上五个阶段中，前三个阶段主要通过了解、观察、分析、评估来确定审计的范围和重点，选择适当的审计程序和方法。做到仗未打，已有八分胜券，这也是风险基础审计模式的精髓。由此可以看出，虽然风险基础审计与制度基础审计在许多程序上有着相同之处，但风险基础审计是将客户置于一个大的经济环境中，从企业所处的商业环境、条件到经营方式和管理机制等内外两个方面来分析评估，全方位地判断影响因素。另外，由于企业经营产生的风险，会对审计产生影响，所以经营风险也是注册会计师必须考虑的因素之一。显然，风险基础审计所涉及的范围就比制度基础审计为宽，也更符合现代审计所处的社会环境。

四、风险基础审计的基本方法

风险基础审计这一方法模式得以产生并被越来越多的会计师事务所用于审计实践中去，说明风险基础审计是行之有效的，能满足注册会计师降低审计成本的需要和缩小期望差。以下具体讨论五种基本方法。
1.审计风险评估
风险基础审计是以审计风险评估为中心的，审计风险的评估贯穿了审计整个过程。注册会计师希望在公布已审计会计报表的结论之前将审计风险降到最低，以维持其结论的正确性。进行审计时，注册会计师最关键的是要按审计程序执行，以便把审计风险降到最低。审计程序的性质很重要，对于特定的账户，确认使用适当的审计程序工作效率会更高。在不同条件下选择不同审计程序，可采用以下两种方法：(1)确保项目的固有属性和内部控制结构，使错误评估会计报表的风险最低而设计审计程序；(2)为直接证实一个项目，可以使注册会计师有确切把握将该领域的重大错报查出而设计审计程序。注册会计师可以同时使用以上两种审计程序。
审计风险是固有风险、控制风险和察觉风险的结合。注册会计师不能改变固有风险。为了完成审计，注册会计师必须减少其他两种风险。注册会计师若了解控制环境、会计制度及控制程序，并能检查其效能，则可获得控制风险估计水平减少的证据。若证据显示有效，则控制风险可减低。若控制有问题，则控制风险相应增高。若想减少察觉风险，可通过有效地检查账户余额细目或其他程序来实现。
2.分析性测试(Analytical Test)
分析性测试是以财务资料及非财务资料之间的表面关系或可预测的关系，评估财务信息，分析财务信息的合理性。使用分析性测试的前提条件是公司的账户要基本可靠。这种方法能够较全面地分析比较，它要以当年余额与全年预算做比较；以毛利率或其他财务比率与去年相比；要与同行业相比。所以，使用这种方法能收到多方面的效果：它取代其他实质性测试的功效，它所揭示出来的差异，可起到“红旗”(red flag)的作用，引起注册会计师的注意；辅助审计结论；提高审计效率；降低审计风险。分析性测试与审计各个阶段密切相关，在审计计划阶段，进行内部控制测试时，不可缺少地要用到分析性测试，如审计调查时对会计报表的初步了解，利用一些指标的分析可帮助注册会计师评价审计风险的程度，提高注册会计师对企业经营业务的理解和识别风险区域。在审计实施进程中，首先要对全部账户进行广泛的分析性测试，以缩小详细测试的范围；在审计报告阶段，结束审计之前，注册会计师应对会计报表的总体内容作最后的分析，以发现那些具体抽查中未予发现的问题。
利用分析性测试可发现“可能”存在的重大舞弊或差错，可发现一些异常情况，然后通过对这些异常情况的查证，就能“合理地保证”会计报表不被严重歪曲，“合理地保证”揭露重大舞弊或差错。分析性测试的有效性是由分析方法的基本原理决定的，通过研究财务数据或非财务数据之间存在的相互关系来判断数据本身的正确性和正常性。例如，根据会计复式记账的原理，就能判断出销售收入和应收账款的发生额是否正常，如果销售收入很高，而应收账款借方发生额较低，则其中必定存在问题，或账务处理的差错或蓄意舞弊。因此和其他方法相比，它根据各种数据中的相互关系，通过比率分析、趋势分析等各种指标更能发现异常情况。分析性测试所使用的分析方法可从简单的比较方法到复杂的数理统计方法，它所使用的分析指标可以是绝对数指标，如单位成本比较分析、年销售额比较分析等，也可以是相对数指标，如销售利润率、投入产出率等。所有分析性测试，包括账面的余额或比率与预期指标进行比较，而预期指标则根据数据之间相互关系以及注册会计师对客户及其所在行业的熟悉程度来决定的。决定预期指标的信息一般包括：(1)当前的可比财务信息(考虑本期已知的变化）；(2)预见的成果，例如从中期或年末数据中推知的预见数；(3)当期财务信息要素之间的相互关系；(4)有关客户同行业的信息；(5)财务信息与非财务信息之间的相互关系；等等。
3.控制测试(tests of controls)
控制测试是在内部控制结构了解的基础上，为了确定内部控制结构政策和程序的设计和执行是否有效(即效果好坏)而实施的审计程序。目的在于通过对内部控制要素进行评价以确定控制风险。控制测试的产生与内部控制结构概念的建立以及对符合性测试(compliance test)的重新认识有关。“内部控制结构”取代原来的“内部控制制度”并不是在玩弄名词游戏，而是现代审计环境影响的结果。从审计的角度来看，一个企业的内部控制结构由控制环境、会计制度和控制程序三个要素组成。现代审计对内部控制的研究和评价范围已不再像以前那样只囿于内部会计控制，它已发展到了对控制环境的审查，以便于控制风险的确定，特别是要评价那些对财务报告的真实性有重大影响的重大差错或非法行为失控的风险。
对内部控制要素进行控制测试的程序有以下四种：(1)“询问”客户负责执行某项工作职责的有关人员；(2)“观察”客户工作人员实际履行这项工作职责的实际情况；(3)“审查”反映这项工作职责履行情况的凭证和报告；(4)“重新执行”这项控制。控制测试的范围取决于期望的估计控制风险实际水平(intended assessed 性质、范围、时间和抽样方法，改善证据的客观性；积极运用电脑技术，提高审计工作水平。
应用风险基础审计，还需要在接受审计项目时即考虑审计风险问题，研究审计报告的使用者及使用的目的，还应该将审计风险与重要性水平的确定联系在一起。许多具体应用中的问题也还有待于实践中进一步探索解决的办法。但是，只要广大注册会计师能够真正转变观念，切实开始按照风险基础审计的思路组织审计工作，就一定会带动我国审计实践及注册会计师事业更快发展，风险基础审计也一定会在积极的实践探索中更加完善。