审计师怎样评估重大风险

根据《审计机关审计方案准则》[（2000）审计署令第2号]第十三条的规定，“审计组编制审计实施方案时，应当运用重要性和谨慎性原则，在评估审计风险的基础上，围绕审计目标确定审计的范围、内容、步骤和方法”。审计人员如何在实际工作中确定重要性水平和评估审计风险，需要做一些具体分析。

重大错报风险评估及应对 重大错报风险是指财务报表在审计前存在重大错漏报，而又不被审计发现的可能性。风险导向审计是当今主流的审计方法，它要求注册会计师评估财务报表重大错报风险，设计和实施进一步审计程序以应对评估的错报风险，根据审计结果出具恰当的审计报告。风险导向审计的目标是对财务报表不存在由于错误或舞弊导致的重大错报或取合理保证。 一 重大错报风险的评估 评估重大错报风险是风险评估的最后一个步骤，获取的关于风险因素和抵消控制风险的信息将全部用于对财务报表层次以及各类交易、账户余额和披露认定层次评估重大错报风险。评估将作为确定进一步审计程序的性质、范围和时间的基础，以应对识别的风险。评估重大错报风险时应该考虑一些风险因素，主要包括已识别的风险、错报发生的规模及发生的可能性。 1 评估重大错报风险的审计程序 第一，在了解被审计单位及其环境的整个过程中，结合对财务报表中各类交易、账户余额和披露的考虑，识别风险。例如被审单位因相关环境法规的实施需要更新设备，可能面临原有设备闲置或贬值的风险；竞争者开发的新产品上市，可能导致被审单位的主要产品在短期内过时，预示将出现存货跌价和长期资产的减值。第二，结合对拟测试的相关控制的考虑，将识别出的风险与认定层次发生的可能错报的领域相联系。如销售困难使产品的市场价格下降，可能导致年末存货成本高于其可变现净值而需要计提存货跌价准备，这显示出存货的计价认定可能发生错报。第三，评估识别出的风险，并评价其是否更广泛地与财务报表整体相关，进而潜在地影响多项认定。第四，考虑发生错报的可能性，以及潜在错报的重大程度是否足以导致重大错报。 2 识别两个层次的重大错报风险 在对重大错报风险进行识别和评估后，应当确定识别的重大错报风险是与特定的某类交易、账户余额和披露的认定相关还是与财务报表整体广泛相关。某些重大错报风险可能与特定的交易账户余额和披露的认定相关。如被审单位存在重大的关联方交易，该事项表明关联方及关联方交易的披露认定可能存在重大错报。某些重大错报风险可能与财务报表整体广泛相关，进而影响多项认定。如管理层缺乏诚信或承受异常的压力可能引发舞弊风险，这是与报表整体相关的。 3 需要特别考虑的重大错报风险 特别风险是指注册会计师识别和评估的、根据判断认为需要特别考虑的重大错报风险。特别风险通常与重大的非常规交易和判断事项相关。非常规交易是指由于金额或性质异常而不经常发生的交易，如企业并购、债务重组等。判断事项通常包括做出的会计估计，如资产减值准备金额的估计、需要运用复杂估值技术确定的公允价值计量等。 二 重大错报风险的应对 《中国注册会计师审计准则——针对评估的重大错报风险的采取的应对措施》规范了注册会计师针对评估的重大错报风险确定总体应对措施，设计和实施进一步审计程序。注册会计师应当针对评估的重大错报风险实施程序，即针对评估的财务报表层次重大错报风险确定总体应对措施，并针对评估的认定层次重大错报风险设计和实施进一步审计程序，以将审计风险降至可接受的水平。 1 财务报表层次重大错报风险与总体应对措施 审计过程中应对报表层次的重大错报风险确定以下总体应对措施：第一，向项目组强调保持职业怀疑态度的必要性。第二，指派更有经验或具有特殊技能的审计人员或利用专家工作。由于各行业在经营业务、经营风险、财务报告等方面的特殊性，审计人员的专业分工细化成为一种趋势。第三，提供更多的督导，对报表层次重大错报风险较高的审计项目，审计项目组的高级别成员要对其他成员提供更详细、更及时的指导和监督并加强项目质量复合。第四，在选择拟实施的进一步审计程序时融入更多的不可预见的因素。被审单位人员如果熟悉审计人员的套路，就可能采取种种规避手段掩盖舞弊行为，因此在设计拟实施审计程序的性质、时间安排和范围时，应当考虑使某些程序不被预见或了解。第五，对拟实施审计程序的性质、时间安排和范围作出总体修改。 报表层次的重大错报风险难以限于某类交易、账户余额和披露的特点，意味着此类风险可能对报表的多项认定产生广泛影响，并增加认定层次重大错报风险的评估难度。因此报表层次的重大错报风险及总体应对措施对拟实施进一步审计程序的总体审计方案具有重大影响。 2 认定层次重大错报风险的进一步审计程序 进一步审计程序是指针对评估的各类交易、账户余额和披露认定层次重大错报风险实施的审计程序，包括控制测试和实质性程序。在设计进一步审计程序时应当考虑风险的重要性、发生重大错报的可能性、涉及的各类交易、账户余额和披露的特征、被审单位采用的特定控制的性质及注册会计师是否拟获取审计证据及确定内部控制在防止或发生并纠正重大错报方面的有效性。 进一步审计程序的时间是指何时实施进一步审计程序或审计证据适用的期间或时点。一般情况下可以在期中或者期末实施控制测试或实质性程序。在期中实施进一步审计程序有助于在审计初期识别重大事项，并在管理层的协助下及时解决这些事项或针对这些事项制定有效的实质性方案或综合性方案。当重大错报风险较高时，应当考虑在期末或者接近期末实施实质性程序，或采用不通知的方式，或在管理层不能预见的时间实施审计程序。 进一步审计程序的范围是实施进一步审计程序的数量，包括抽取的样本量、对某项控制活动的观察次数等。在确定进一步审计程序的范围时应当考虑确定的重要性水平、评估的重大错报风险及计划获取的保证程度。当重大错报风险增加时可以考虑扩大审计程序的范围，但是只有审计程序本身与特定风险相关时，扩大审计程序的范围才是有效的。进一步审计程序的范围通常是通过一定的抽样方法加以确定，并综合使用一定的计算机辅助审计技术。 三 对评估及应对程序的两点思考 1 可能表明被审单位存在重大错报风险的事项和情况有哪些？ 答：注册会计师应充分关注可能表明被审单位存在重大错报风险的下述事项和情况，并考虑由于这些事项和情况导致的风险是否重大，以及该风险导致财务报表发生重大错报的可能性： 第一，开展业务方面。在经济不稳定的国家或地区、高度波动的市场、严厉、复杂的监管环境中开展业务； 第二，持续经营和资产流动性方面。包括重要客户流失、行业环境、供应链、信息技术环境发生变化、开发新产品或提供新服务，或进入新的业务领域、开辟新的经营场所、安装新的与财务报告有关的重大信息技术系统；融资能力受到限制、运用表外融资、特殊目的实体以及其他复杂的融资协议、发生重大收购、重组、复杂的联营或合资、拟出售分支机构或业务分部、重大的关联方交易或其他非经常性事项、发生重大的非常规交易； 第三，管理层方面。缺乏具备胜任能力的会计人员、关键人员变动、会计计量过程复杂、应用新颁布的会计准则或相关会计制度；内控薄弱、按照管理层特定意图记录的交易；信息技术战略与经营战略不协调；经营活动或财务报告受到监管机构的调查；以往存在重大错报或本期期末出现重大会计调整、事项或交易在计量时存在重大不确定性、存在未决诉讼和或有负债等等。 2 确定进一步审计程序的范围时应考虑的因素有哪些？ 答：一、确定的重要性水平。重要性水平越低，进一步审计程序的范围越广。 二、评估的重大错报风险。评估的重大错报风险越高。对拟获取的审计证据的相关性、可靠性的要求越高，因此进一步审计程序的范围也越广。 三、计划获取的保证程度。计划获取的保证程度是指计划通过所实施的审计程序对测试结果可靠性获取的信心。计划获取的保证程度越高对测试结果可靠性要求越高，进一步审计程序的范围越广。

（1）该风险是否属于舞弊风险（2）该风险是否与近期经济环境、会计处理方法或其他方面的重大变化相关，因而需要特别关注（3）交易的复杂程度（4）该风险是否涉及重大的关联方交易（5）财务信息计量的主观程度，特别是计量结果是否具有高度不确定性（6）风险是否涉及异常的或超出正常经营过程的重大交易

对重要性与审计风险之间的关系进行了深入的分析，不仅说明了二者之间的反向关系，而且也揭示了二者之间的正向关系；审计风险的高低取决于重要性水平的判断，但重要性水平的高低也受审计风险的影响。此外，不能忽视非重要性对审计风险的影响。总之，正确理解重要性与审计风险之间的关系具有非常重要的意义。1、引言在现代审计工作中，不仅要确保审计质量，同时也要提高审计效率。《独立审计具体准则第10号——审计重要性》对重要性的定义是：“被审计单位会计报表中错报或漏报的程度，这一程度在特定环境下可能影响会计信息使用者的判断或决策。”而重要性水平是指重要性具有质和量两方面的特征，能用量化表示的重要性称为重要性水平。重要性与审计风险之间的关系不仅是审计理论的难点，而且是决定审计质量、审计成本和审计效率的关键。正确理解和运用重要性与审计风险之间的关系是非常重要的。尽管有关二者之间关系的讨论很多，但笔者仍认为有进一步认识的必要，以明确其中的深刻内涵。2、重要性和审计风险的关系可以是反向关系，也可以是正向关系要正确理解重要性和审计风险的关系，必须理解审计风险。对审计风险的理解要从两个角度来考虑：一是会计信息使用者或被审计单位，从这个角度考虑的审计风险称之为实际的或评估的审计风险；二是审计人员，从这个角度认识的审计风险称之为期望的或可接受的审计风险。所以，重要性与审计风险的关系，也应从这两个方面来理解：一是重要性与实际的或评估的审计风险之间的关系；二是重要性与期望的或可接受的审计风险之间的关系。、重要性与实际的或评估的审计风险之间存在着反向关系实际的或评估的审计风险是指审计人员在规划审计时实际存在或评估的审计风险。实际的审计风险是针对会计信息使用者而言的，是所审项目本身所存在的风险。如果会计信息使用者十分关心流动性较高的项目，那么，该项目就是审计人员实际面对的审计风险。也就是说：会计信息使用者对会计信息的要求越高、越敏感，较小的错报或漏报就会影响其判断或决策，则审计人员实际的审计风险就越高，重要性水平就应越低；反之，会计信息使用者对会计信息的要求越低，较大的错报或漏报也不一定影响其判断或决策，则审计人员实际的审计风险就越低，重要性水平就应越高。因此，重要性与实际的审计风险成反向关系。评估的审计风险是针对被审计单位而言的，是指审计风险决策模型中的固有风险和控制风险。固有风险和控制风险越高，即评估的审计风险越高，被审计单位出现重要错报的可能性越大，则审计人员越要小心谨慎，重要性水平就要确定得越低；反之，重要性水平就要确定得越高。因此，重要性与评估的审计风险也成反向关系。《独立审计具体准则第10号——审计重要性》第8条指出：“注册会计师应当考虑重要性与审计风险之间的关系。重要性水平越高，审计风险越低；重要性水平越低，审计风险越高。”所以，当审计人员在规划审计时，应当按照审计准则所强调。的这种反向关系，合理确定重要性水平，以便确定将要进行的实质性测试的性质、时间和范围。如果原本2000元的错报或漏报才会影响到会计信息使用者的判断或决策，但是审计人员将重要性水平确定为1000元，过高地估计了审计风险，这时审计人员为了降低可能存在的审计风险，就会扩大审计范围或追加审计程序。但实际上，这样做没有必要，只能是浪费时间和人力。如果原本1000元的错报或漏报就会影响会计信息使用者的判断或决策，但审计人员将重要性水平确定为2000元，过低地估计了审计风险，这时审计人员所执行的审计程序要比原本应当执行的审计程序少，审计范围小，致使审计证据不充分，导致审计人员得出错误的审计结论，增加了可能存在的审计风险。可见，准则强调二者之间的反向关系具有现实意义。、重要性与期望的或可接受的审计风险之间存在着正向关系期望的或可接受的审计风险是指审计人员在规划审计、现场作业、出具审计报告时希望接受的审计风险，是对实际的或评估的审计风险的控制。期望的或可接受的审计风险模型为：期望的审计风险=固有风险×控制风险×检查风险审计人员在审计时不仅要关注被审计单位的重大错报或漏报，而且也应考虑会计信息使用者对信息的不同要求。所以，模型中的固有风险既应包括被审计单位出现的重大错报或漏报的可能性，也应包括会计信息使用者对被审单位在资产的流动性、盈利性和负债的性质、金额以及融资的能力、方式等方面的不同要求所导致的风险，则上述期望的或可接受的审计风险模型可改为：期望的审计风险=实际的或评估的审计风险×检查风险在模型中，审计人员所能控制的只有检查风险。所以，控制实际的或评估的审计风险的要点在于控制检查风险，而检查风险的控制则取决于根据实际的或评估的审计风险所确定的重要性水平。根据审计风险模型可知，在固有风险和控制风险一定的条件下，检查风险和期望的审计风险成正向关系。如果期望的审计风险较低，那么就必须接受较低的检查风险水平，以便扩大实质性测试的样本规模或追加审计程序，收集更多的审计证据，也就是说，应该确定较低的重要性水平，才能满足较低的期望审计风险的要求。如果审计人员确定的重要性水平过高，即允许存在的错报过大，则将承受过高的审计风险。因此，从这一方面来说，重要性与期望的或可接受的审计风险成正向关系。这种正向关系还可以联系审计证据来理解，即重要性与审计证据成反向关系，期望的审计风险与审计证据成反向关系，则重要性与期望的审计风险成正向关系。重要性与审计风险之间的关系要求审计人员在确定重要性水平时，不仅要考虑实际的或评估的审计风险以确保审计质量，也要考虑期望的或可接受的审计风险以提高审计效率。3、重要性与审计风险是互为前提、互为存在的关系通过上述分析，实际的或评估的审计风险决定了初步判断的重要性水平，初步判断的重要性水平或修正后的重要性水平又决定了期望的或可接受的审计风险。值得注意的是，审计风险不是决定重要性水平的惟一因素，还存在一些其它因素，如有关法规对财务会计的要求、被审计单位的经营规模和业务性质、会计报表各项目的金额及其波动幅度、会计报表各项目的性质及其相互关系等；同样，重要性水平也不是导致审计风险的惟一因素，一些其他因素，如审计人员素质较低、审计经验不足、审计判断失误、审计独立性不强等也会导致审计风险。重要性与审计风险之间的关系如图1.审计人员应以实际的或评估的审计风险为开端，确定初步的重要性水平，再根据初步的重要性水平制定相应的审计程序。通常，初步评价的重要性水平要比修正后用于评价审计结果时的重要性水平低，这样可以使审计人员保持应有的谨慎，扩大审计程序，以便收集充分的审计证据，为自己提供一个安全的余地。因为审计人员在资产负债表日之前编制审计计划，只能根据预测的财务状况和经营成果来确定重要性水平，如果实际的经营成果和财务状况与预测的有差异，他对重要性水平的估计也会变化。根据修正的重要性水平决定审计意见的类型，此时的审计风险就是期望的或可接受的审计风险，又称终极的审计风险。审计风险和重要性又是互为存在的，两者必须同时考虑。审计风险说的是一种不确定性（可能性），重要性说的是一种错误的额度，二者结合起来，就成为一定错报数额的可能性。也就是说，当说起重要性水平时，它是指在一个可接受的风险水平下的重要性水平；而当谈及审计风险时，它是指审计人员未能发现重要性错报的审计风险。4、非重要性与审计风险的关系所谓非重要性，是指从数量上看似不重要的项目，可其实质影响并非如此的错报。如：①可能变亏损为盈利或变盈利为亏损的错报；②可能掩盖了亏损或盈利或使财务趋势改变的错报；③可能影响被审单位遵循贷款协议或其他合同所要求的流动性或盈利性的错报；④可能隐瞒不法交易或其他舞弊行为的错报等。审计人员可能因这些错报未达到重要性水平而误以为“不重要”，未予以足够的重视。而被审计单位利用重要性虚构一些对盈余等方面有实质性影响但又达不到所谓“重要性”标准的交易和事项。这种非重要性错报使审计人员期望的或可接受的审计风险过高，而实际的审计风险依然存在。在会计报表的重要性水平一定的情况下，审计人员要降低非重要性错报导致的审计风险，应该考虑每个账户错报的重要性，而不管与其他账户错报合并的影响。如果单个错报对整个会计报表是重要的，即使这一错报能被其他错报所抵消，也应认为是重要的错报；如果单个错报不重要，但与其它错报合并后是重要的，应作为重要的错报；特别应注意的是那些估计项目的错报是否能被准确计量项目的错报所抵消。如果不考虑这种非重要性错报，即使在审计人员降低重要性水平的情况下，审计人员实际面临的审计风险仍会很高。

审计重要性水平的确定

确定审计项目的重要性水平，首先要按照国家有关法律法规的要求，其次要符合审计目的，信息使用者的要求，再次要区别被审计单位的性质和业务规模、被审计单位的内部控制和业务风险水平、财政财务收支的性质和金额、收支项目间的相互关系及变动趋势等。

确定审计项目的重要性水平，实际上就是根据被审计单位性质确定基数和比例进行计算的过程，重要性水平是基数和比例的乘积，其表现形式是金额额度。通常可以采取以下数据计算：(1)对于按收付实现制核算的预算单位和非盈利性的事业单位，按收入或支出总额的确定;(2)对于按权责发生制核算的企事业单位，可按资产总额的确定，或者按流动资产或净资产的1%--2%确定，也可按营业收入的确定，还可按净利润的5%--10%确定。

审计风险的评估

审计风险由固有风险、控制风险、检查风险构成。

评估审计风险，首先在编制审计方案时确定可以接受的审计风险水平，一般为5%，也可确定为3%、1%，但不可能为0。其次通过对被审计单位的调查了解评估固有风险水平，在审前调查后，审计人员根据被审计单位领导及财务人员的诚信和能力、财务人员的变动及其素质、业务性质、会计期间(特别是期末)的异常变动和复杂的会计处理、以前年度的审计结果等情况确定评估固有风险水平。实际工作中一般分为高、中、低三个档次，固有风险水平分别为60%、50%、40%，也就是即使在各种情况较好，出现重要错误可能性较小情况下，固有风险的水平也应高于40%，相反只要有某种迹象表明可能存在重大错弊，就应当将固有风险确定为100%。再次通过对内部控制的测评，根据被审计单位相关的内部控制是否建立、经济业务以及相关控制手续的执行是否及时和有效、业务活动的记录是否完整、关键点控制是否存在、控制目标是否满足、控制系统是否有效运行、各项控制是否发挥作用等因素评估控制风险水平。实际工作中一般分为低(内控健全有效)、中(缺少某些控制环节或有少量的控制失效)、高(内控失效)、零(不可依赖)四个档次，控制风险水平分别为20%、50%、80%和100%。应当注意的是，内部控制与内部控制制度不同，内部控制是管理的过程，而内部控制制度则是书面或约定的管理制度。最后利用风险模型计算检查风险水平，检查风险的计算公式为：检查风险=审计风险(固有风险×控制风险)。