一、審計風險再認識

　　新世紀伊始，美國華爾街發(fā)生了一系列重大財務丑聞，涉及諸如安然、施樂、泰科，時代華納等跨國公司，而“五大”會計師公司在這一系列財務丑聞案中無一幸免，其中一家世界著名會計師公司亦因此而宣告退出審計市場。而在我國大陸和香港資本市場亦出現了“銀廣廈”、“創(chuàng)維”等財務丑聞案例?？傊妼嫀煹男判囊呀浗档搅藲v史最低點。于是整個會計師業(yè)界，不論是國際會計師公司還是中國本土會計師們在努力爭取重新獲得公眾信任的同時，也在對審計風險進行重新再認識。在本世紀初發(fā)生的重大財務丑聞案中，沒有一家會計師行認為自己未盡到職業(yè)的勤勉之義務，亦都認為自己的審計工作是完全按照公認審計準則進行的。安然事件中的安達信審計師至今仍認為其工作是完全符合美國公認審計準則的。對于安然事件，從刑事角度看，也僅僅是由美國地方法院判定審計師涉嫌銷毀部份工作底稿，而目前美國高等法院正對地方法院的該判定進行重審；從民事角度而言，在涉及安然事件的眾多民事訴訟中，法院尚無法判定審計師的審計責任。然而，由眾多標的金額巨大的法律訴訟所表現出來的審計風險卻絲毫不會因為審計師們自己對其審計質量，審計責任的看法不同而有所降低?？梢娫诋斀褓Y本市場中，企業(yè)的經營風險就是審計師的審計固有風險，企業(yè)的經營失敗、舞弊、違法行為等所引發(fā)的風險對會計師而言往往是最不可控但又是最致命的，這就需要我們從公眾期望及現代資本市場規(guī)律和公司治理框架等更高的角度來重新認識審計風險。

　　我們認為在當今人類商業(yè)社會中，資本是以創(chuàng)造財富為其首要目標。而財富的創(chuàng)造過程是可以看成是投資者（股東），企業(yè)管理層及團隊，包括會計師在內的市場中介，以及政府監(jiān)管機構這些主要利益相關者組成的價值鏈。這一價值鏈的總體目標是尋求財富增長，而風險總是和財富并存的，因此又可以把該總體目標理解為在承擔合理風險的基礎上實現財富的增長，而其中的各個利益相關者又在這一共同整體目標下扮演各自的角色，履行各自的義務。我們可以試著將該價值鏈構成用以下圖形予以表示：

　?。ㄒ唬┤祟惿鐣虡I(yè)環(huán)境

　　該要素處在整個價值鏈的最外圍，人類社會的一切商業(yè)行為都是在該環(huán)境中進行的，其包括社會文化，人文特征，社會信息特征，政局，立法和司法環(huán)境及市場透明度等等。越是良性的商業(yè)環(huán)境必然會有利于降低財富創(chuàng)造所面臨的風險，反之，投資者，管理層及其團隊，市場中介、監(jiān)管部門所承擔的風險也就越高，從而越不利于人類社會財富的創(chuàng)造。因此，在評估資本投資所面臨的固有風險時首先應該評估其所處社會環(huán)境風險。

　?。ǘ┩顿Y者

　　投資者處在財富創(chuàng)造價值鏈各要素的頂端，一切的財富創(chuàng)造行為源自于投資者的投資行為。因此，投資者是進行商業(yè)投資風險評估的第一人，投資行為是基于投資回報最大化為其使命的，在承擔合理可接受的風險基礎上，投資者期望獲得投資剩余權益索取權所對應的那部份價值。而在現代資本市場中，所有權與經營權的分離又導致對投資風險進行評估和控制直到降低至合理的可接受水平這一過程，是需要由董事會/審計委員會，管理層及其團隊，市場中介及監(jiān)管部門等其他要素（利害關系人）的共同參與并將風險予以層層降低才可以實現的。

　?。ㄈ┒聲?審計委員會

　　董事會及審計委員會則是現代企業(yè)制度下，承擔直接代表投資者利益進行公司治理的主要責任人，其與投資者之間是代理關系。董事會及審計委員在其被代理——投資者授權范圍之內，通過制定公司戰(zhàn)略目標等進行投資風險評估和決策，并對企業(yè)管理層進一步授權并進行有效監(jiān)督。因此，董事會/審計委員會的有效運作將有利投資風險的控制和降低；反之，不僅無法降低投資者所面臨的固有風險，可能還會反之加大投資者的風險，使財富縮水。

　?。ㄋ模┕芾韺蛹捌鋱F隊

　　在代理人關系理論下，企業(yè)管理層是在董事會的授權范圍之內帶領其團隊實施公司戰(zhàn)略措施，并將固有風險水平降低至投資者可承受水平之內實現公司戰(zhàn)略目標。管理層及其團隊的有效運作，不僅可使固有風險得到合理控制，并以財富回報投資者；反之，可能會使公司破產，或被收購，最終使投資者喪失原有財富。

　　（五）市場中介

　　市場中介主要包括會計師、律師，投資銀行等團體。市場中介在現代企業(yè)制度框架中起著非常重要的作用。會計師需要按公認審計準則對企業(yè)編制的財務報表發(fā)表審計意見，投資者正是期望獲得可靠的財務和非財務信息，了解被投資目標的財務狀況，經營狀況，現金流量狀況以及其他風險因素信息，從而評估其投資行為的風險與回報；律師則通常被要求對被投資目標的某些重大行為如股票債券的發(fā)行，收購和兼并發(fā)表獨立的法律意見，從而使投資者可以獲得被投資對象的法律風險方面的信息；投資銀行則大量介入企業(yè)的資本運作，如股票及債券承銷，上市保薦及盡職調查等，并在其中承擔相應責任。

　　一個良好的資本市場是離不開以會計師、律師、投資銀行為主的市場中介有效力量。商業(yè)風險在經過投資者自行評估，董事會/審計委員會的決策和監(jiān)督，企業(yè)管理層及其團隊的管理和控制之后，就需要由這些市場中介予以把關。而需要明確的是，市場中介僅僅是整個財富價值鏈中的一個環(huán)節(jié)，其無法替代其他要素的職能。雖然如此，近年來的公司丑聞表明：（1）投資者的期望往往同市場中介自身界定的風險存在差距，導致市場中介所面臨的責任風險與管理層等其他要素的責任風險界線日趨模糊；（2）因此，或是由于投資者自身非理性投資行為，或董事會運作失效，或管理層管理失敗所導致的固有風險未降至合理水平的那部份剩余風險往往會轉嫁到市場中介身上。所以，包括會計師在內的市場中介在評估其自身可能面臨風險時，不得不詳細分析整個價值鏈其他要素的風險控制及管理的意愿和能力，以及其可能產生的影響。安然破產事件所引發(fā)的眾多投資者將會計師、律師以及華爾街一大批投資銀行提起巨額民事賠償則是最好的例子。

　?。┍O(jiān)管部門

　　監(jiān)管部門，包括監(jiān)管當局及證券交易所，如美國的證券交易監(jiān)督委員會（SEC）和中國證監(jiān)會（CSRC）等，其在對資本市場運行進行監(jiān)督，保護中小投資者利益等方面則是具有舉足輕重的地位。這些監(jiān)管部門需要對股票和債券的公開發(fā)行、上市、交易、公司信息披露要求等方面實施其以公開、公平、公正為原則的監(jiān)督程序。一個有效監(jiān)督的資本市場必然會降低市場風險，從而增加投資者的信心；反之會使投資者利益受損，從而影響市場信心，削弱資本市場的功能。而對監(jiān)管當局而言，一個健康良好的商業(yè)社會環(huán)境，日趨成熟理性的投資群體，以公司董事會和審計委員會為核心的公司治理結構的有效運作，敬業(yè)誠信的公司管理層以及良好的市場中介力量，必然會使資本市場的固有風險水平被大大降低，從而降低監(jiān)管部門的監(jiān)管風險；反之，監(jiān)管部門不得不面對較大的監(jiān)管風險，而難免會由此被指責為監(jiān)管不力。在美國安然事件中，資本市場就曾一度將矛頭指向美國證監(jiān)會，而在國內，中國證監(jiān)會亦曾多次成為被告?？傊?，當今的資本市場之中，監(jiān)管者所面臨的監(jiān)管風險同被監(jiān)管公司的經營風險的聯系是不斷得以加強。

　　商業(yè)社會的固有風險正是在經過上述利害關系人的層層控制之后，由投資者承擔剩余風險，如若剩余風險低于投資者所獲取剩余索取權的財富，則整個價值鏈呈良性狀態(tài)；反之，投資者承擔的風險大于其所獲回報，會降低投資信心，投資者必會追索其期望獲得的回報，從而要求使該風險在其他利害關系利人之間進行重新分配。

　　以上對財富價值鏈各利害關系人的分析表明，整個價值鏈所面臨的共同固有風險同各個利害關系人所可能要承擔的風險是相關的，前者往往是后者的根源，因此，各利害關系人在評估其自身職業(yè)風險時離不開對價值鏈共同風險的關注。所以，對審計師而言，就更應該關注該固有風險，因為審計風險的根源正是固有風險。

　　審計業(yè)界并非尚未認識到其面臨風險的真正根源，目前需要做的是研究并實施如何在審計行為中識別，控制風險，并使該理念和模式體現在審計各階段（全過程）具體的審計程序中，而不是僅僅在審計計劃階段對固有風險進行簡單的分析。要做到這一點，傳統的審計理念和模式，由于其更多的是為了關注財務報表風險而關注報表和企業(yè)帳目，而不是從企業(yè)經營風險，管理層風險管理的角度來關注財務報表，因而無法實現審計風險控制的有效性，也使審計在為整個財富價值鏈中的價值無法進一步得到體現。傳統的審計方法除了在理念存有不足外，還欠缺足夠的可以用來識別現代企業(yè)經營風險及其控制的審計工具，模型和方法；而本書所談的企業(yè)風險管理審計模式，正是從企業(yè)經營風險，風險管理角度分析審計風險，實施審計程序，從財務報表風險的源頭——企業(yè)經營風險角度去關注財務報表風險，從而為風險降至可接受水平提供有效保障，并實現審計目標同整個商業(yè)社會的共同目標達到一致。此外，本書還提供了大量的風險管理審計工具，模型和方法以使新的審計理念可付諸實踐。就在本書即將完稿之際，欣聞中國注冊會計師協會已經制定出風險審計準則并正廣泛征求意見。且在可預見的近期還會有一批與風險審計相關的準則陸續(xù)頒布。風險導向審計準則提供了原則性，較高層次的綱領，將風險審計理念和模式在實踐中進行運用，還需要大量、系統、具有邏輯思維的方法論、模式、程序等等。從國際慣例來看，一般是由各大會計師行在依照風險審計理念的基礎上自行開發(fā)出完整的審計程序、軟件，并隨著實踐經驗不斷完善。本書亦正是基于風險審計的相同理念和模式，詳細分析了風險審計各個階段的具體工作程序，風險識別，控制測試的模型和工具，并提供大量實踐案例，從而有利于讀者全面了解風險審計的理念和模式，更為業(yè)界實施風險審計提供可操作的一系列方法和工具。

　　二、現代審計方法演變

　　根據原美國安達信公司專業(yè)人士， Paul Sobel，在其于2003年所著的《Auditor‘s risk management guide： integrating auditing and ERM》一書中的概括，現代審計方法在過去五十年中經歷了四大階段，其分別是：

　　控制基礎審計（Control-based audit）；

　　流程基礎審計（又稱經營審計）（Process-based audit）；

　　風險基礎審計（又稱風險導向審計）（Risk-based audit）；

　　風險管理基礎審計，又稱風險管理審計（Risk-management based audit）；

　　以下我們分別就以上四個階段審計的演變作簡單的介紹。

　?。ㄒ唬┛刂苹A審計（control-based audit）

　　控制基礎審計包括傳統審計，主要盛行于二十世紀八十年代之前，主要是指以傳統的實質性測試為主，基于其驗證結果以使財務報表得以合理的確保（Reasonable Assurance）不會出現重大誤導。后來又擴展到內部審計，以達到以下三種目的之一：

　　1、經過驗證確保企業(yè)經營行為遵循法律、法規(guī)、既定政策及原則方面的要求，該方法至今仍被廣為采用，通常稱為合規(guī)性審計（compliance audit）。需要注意的是，這里所指的合規(guī)性不僅僅包括對法律法規(guī)的遵循，還包括對公司現有政策、程序、業(yè)務規(guī)則的符合。

　　2、進行某些報表數據的審計，（financial audit），類似于外部審計，只是其范圍較窄，僅僅是基于審計工作對某些具體科目或財務數據，而不是對整體財務報表提供合理的確保。

　　3、進行驗證確保某些關鍵性控制措施運作有效，其審計重點是控制本身而非財務數據，因此又通常被業(yè)界稱為控制審計（control audit），交易流程審計（transaction flow audit）或程序審計（procedural audit）。

　　控制基礎審計主要有以下特點：

　　審計目標：確保合規(guī)性（包括符合法律、法規(guī)、程序、政策以及公認會計準則等）；

　　審計策略：了解規(guī)定或準則的要求，實施審計行為以確保合規(guī)性；

　　測試方法：廣泛采用統計抽樣分析及實質性程序，雖然也會運用某些合規(guī)性測試方法（compliance testing），如穿行測試（walk-through testing）；

　　審計建議書：主要針對不符合要求的例外事項或錯識提出改進/糾正措施；

　　控制基礎審計至今仍然被廣泛采用，而且由于該審計方法成熟度較高，且其審計方法在取證記錄方面十分有效，因此目前其他不同的審計方法依然保留有控制基礎審計的特征。

　?。ǘ┝鞒袒A審計（process-based audit）

　　流程基礎審計又稱為經營審計（operational audit）在二十世紀八十年度開始流行起來，主要被各大跨國公司的內審部門廣為采用，而外部審計公司（當時的國際八大會計公司）也將該方法結合到財務報表審計之中去。

　　雖然控制基礎審計在八十年代仍然廣泛運用，但審計界已經開始關注對企業(yè)關鍵性流程的設計，效率及效果進行評價，并在計價過程中參照流程最佳業(yè)務實踐（Best practice）進行標桿分析（Benchmark analysis），這就導致控制基礎審計向流程基礎審計轉型。流程基礎審計主要有以下特點：

　　審計目標：確定所審流程實現其具體運作目標（specific operational objectives）的有效性（效率及效果）；

　　審計策略：在識別關鍵業(yè)務流程并了解其具體運作目標，并研究行業(yè)最佳業(yè)務實踐基礎上，確定流程在實現該等目標方面當前運作之有效性；

　　測試方法：最典型的是采用咨詢式的方式將流程與最佳業(yè)務實踐進行缺口分析（Gap analysis），并輔助運用符合性測試方法評價流程運作；

　　管理建議書：識別流程缺口所在，并指出該缺口對流程實現其設定目標的影響。

　　同傳統的控制基礎審計相比，流程基礎審計為審計師提供了更大的創(chuàng)造性思維的方法，同時也提升了審計的增值功能。然而由于流程基礎審計并沒有直接關注那些主要審計責任所指定的合規(guī)性，財務報表公允性及內控有效性的領域，因此，業(yè)界一般是更多地運用流程審計進行審計計劃的制定工作，而絕大多數的審計工作其他階段仍然大量采用控制基礎審計方法。

　?。ㄈ╋L險基礎審計（Risk based audit）

　　作為現代審計演變的第三階段，風險基礎審計在二十世紀九十年代得以發(fā)展并在各大國際會計公司全球范圍內開始陸續(xù)推廣。該方法的產生背景是九十年代初期各大國際會計公司開始日益注重咨詢業(yè)務，尤其以安達信為最，其安達信咨詢部門自從一九八九年獨立運作以來到一九九九年從安達信正式脫離其年業(yè)務收入從十幾億美元上升到近百億美元，畢馬威，普華永道等其他五大會計公司的咨詢業(yè)務年收入也都到達幾十億美元以上。因此，當時的六大會計公司開發(fā)出新的審計模式更注重于其為客戶創(chuàng)造價值的商業(yè)模式的成功運作。風險基礎審計就為其咨詢業(yè)務提供了全方位的賣點。在基于對被審單位業(yè)務及業(yè)務風險了解的基礎上，審計師可以有效地減少不必要的審計范圍以集中審計資源關注高風險領域，并由此，審計業(yè)界發(fā)現該審計模式可以向企業(yè)管理層在風險控制活動方面提供更多的保障。該審計方法的主要特點是：

　　審計目標：確定企業(yè)面臨的主要經營風險并評估現有控制措施和程序是為何有效地將風險降低至可接受水平，即剩余風險；

　　審計策略：了解企業(yè)業(yè)務，識別并評價風險控制措施，并評價現有措施如何將風險降至可接受水平，而對于非主要風險的控制措施則不予評估；

　　測試方法：典型地是將實質性測試和符合性測試相結合，控制基礎和流程基礎模式下的審計測試方法仍然被廣泛使用，只是測試工作只注重于所識別的關鍵風險領域；

　　管理建議：針對關鍵性風險的例外事項和錯誤提出若不將其有效地降至可接受水平的潛在影響。

　　風險基礎審計提升了審計功能在企業(yè)組織架構中的價值地位，因此審計業(yè)界開始運用風險基礎審計方法判斷應選擇哪些項目以及如何實施該項目。該方法因此為企業(yè)管理層在確保審計資源分配方面提供了有力的保障。風險基礎審計并不排斥制度基礎審計和流程基礎審計，只不過是對所關注的風險點實施具體審計程序。

　　（四）風險管理基礎審計（Risk management based audit）

　　從二十世紀九十年代后期開始，隨著新經濟所帶來的全球化，電子商務，企業(yè)組織結構虛擬化，集約化，專業(yè)化及扁平化矩陣式等商業(yè)特征，許多跨國公司開始實施新的企業(yè)整體風險管理方法（本書將在第二部份詳細介紹該方法）。審計行業(yè)所采用的風險基礎審計雖然也同樣關注到企業(yè)管理層在新的風險管理方法下的某些風險概念或風險領域，然而并未完全涵蓋該領域。為與企業(yè)整體風險管理模式相適應，因此第四代審計模式即風險管理審計應運而生。

　　風險管理審計可以說是風險基礎審計的一種延伸，其基本吸收了風險審計各種特點，只是在此基礎上擴大審計關注點到企業(yè)的主要戰(zhàn)略目標（key business objectives），管理層對風險的容忍度，主要風險評價指標以及企業(yè)績效評價分析等涉現代企業(yè)整體風險管理領域的多方位角度。而且風險管理審計已經開始關注為實現企業(yè)戰(zhàn)略目標應如何進行風險優(yōu)化（optimizing key risk）如企業(yè)對哪些固有風險可以實行避免，轉移或接受并予以控制的風險管理策略。因此，對企業(yè)而言，風險管理審計本身已經成為企業(yè)整體風險管理的重要組成要素。而對財務報表審計而言，以風險管理為基礎的審計在兼容風險基礎審計，控制基礎審計及流程基礎審計優(yōu)勢的基礎上，更有效地識別出固有風險，繼而實施控制風險及檢查風險的審計程序，從而使企業(yè)財務報表風險作為企業(yè)整體風險的子集（后者與前者是全集和子集的關系）一道位于可接受水平。

　　風險管理基礎審計的特點包括：

　　審計目標：確定企業(yè)戰(zhàn)略目標，風險管理策略及相應的經營風險（固有風險）并評價企業(yè)是如何實施風險管理有效性從而實現企業(yè)目標；

　　審計策略：

　　—了解企業(yè)戰(zhàn)略，經營及價值目標，以及經營行為。

　　—識別實現該目標以及其經營行為的主要固有風險。

　　—了解企業(yè)的風險管理策略及風險管理措施。

　　—評價企業(yè)的風險管理措施在將風險降至可接受水平方面的有效性。

　　—關注風險管理有效性缺口。

　　測試方法：實質性測試與符合性測試相結合，其運用取決于企業(yè)風險管理之有效性。

　　管理建議：針對每個所識別出的關鍵風險所存在的風險管理缺口。

　　風險管理審計吸收了其他審計模式的優(yōu)點，同時又關注到企業(yè)的戰(zhàn)略、績效等整體風險管理有效性，其不僅考慮到審計師可接受的剩余審計風險，更是從審計固有風險源頭，即企業(yè)管理層所進行的風險管理活動的角度識別并評價風險，從而才能更一步地從審計師及企業(yè)管理層雙角度確保審計資源的分配及審計之有效性。

　　以上初步介紹了現代審計的演變過程。從上述的分析可以看出，不論是哪一種審計模式，其并不互相排斥，而是互相兼容，只是各有側重。同時我們也看到，實質性測試（包括詳細測試）及符合性測試僅僅只是作為最基本的具體方法而已。也就因為如此，在以上四個階段的審計模式中，該等方法仍被廣泛采用，只是何時采用，如何采用，則要取決于審計模式所涉及的審計目標，策略等等。

　　現代審計是一門開放性，具有相當創(chuàng)造性的管理科學，進行有效的審計并不是把審計準則所規(guī)定的程序照樣地實施一遍，程序只是具體的手段和方式，審計有效性的關鍵是運用先進的理念和模式識別出固有風險，然后有的放矢的決定采用何種具體程序，從而才可能更好地把握控制風險檢查風險以降低整體審計風險。國內現行的傳統審計方法更多地是按照程序在把握檢查風險，而對形成審計風險的真正風險源頭——固有風險，即企業(yè)的經營風險，涉及甚少。現代企業(yè)的管理方法。組織架構、信息流程、全球化等等直接影響到固有風險從而影響到檢查風險的高低，因此在很多情況下，對現代企業(yè)進行審計如若按傳統的審計方法，不僅無法有效控制風險，同時可能會因為現代企業(yè)復雜的組織機構，流程設置及信息技術的廣泛深入運用而無法著手實施審計。當然，對中小規(guī)模企業(yè)，可能因其復雜程度較低，傳統審計方法較易實施，但正如前文所述，傳統審計方法在識別固有風險方面缺乏有效性，而運用風險管理審計的理念和模式則有助于實現審計總體風險的有效管理。

　　國際會計公司在中國實施風險技術審計已有數年，并不斷完善其風險技術審計實踐經驗。其所推廣的風險技術審計理念或模式相類似，而且各自皆有獨立開發(fā)的風險技術審計智能軟件和具體方法以支撐該理念和模式，同時又將其方法同各國的審計準則要求相結合起來。

　　正如前文所述，風險管理審計可以說是風險管理審計的延伸，而風險基礎審計則是在上世紀九十年代同咨詢業(yè)的發(fā)展相輔相成的，其所隱含的審計理念和模式和咨詢業(yè)是很類似的，正是因為其突破了傳統審計只關注企業(yè)報表和賬目，而較少關注企業(yè)經營和風險控制這一局限，風險管理審計具有了更大的開放性和靈活性，其理念和模式不僅可以運用到財務報表審計，還可同時在以下領域發(fā)揮功能：

　　企業(yè)內部風險控制管理和審計企業(yè)績效評價和經營審計企業(yè)收購兼并過程中的財務盡職調查咨詢公司或會計師事務所對企業(yè)進行流程診斷，開展咨詢業(yè)務。