论审计风险模型的缺陷、重构与应用

薛文艳（副教授）

一、引言

20世纪70年代全球出现的大量财务舞弊案件使许多会计师事务所（简称“事务所”）遭遇诉讼与巨额赔偿，为解决制度基础审计方法的弊端，提高审计效率与审计质量，事务所对原有的审计方法、程序进行了重构与创新。美国审计准则委员会（ASB）于1983年发布的第47号审计准则公告《审计业务中的审计风险和重要性》（SAS 47）中提出了审计风险模型的思路，即审计风险（AR）等于固有风险（IR）、控制风险（CR）、检查风险（DR）之乘积。在该模型的运用中，因缺少与IR评估相关的审计准则，审计人员往往会忽视对IR的评估，或者直接将其评估为高风险。在实施控制测试时，又容易流于形式，且与IR的评价结果未形成逻辑关系，从而难以确定适当的DR水平。因此，在该方法下，审计人员更重视实质性测试，大大影响了审计的效率与效果。

国际审计与鉴证准则理事会（IAASB）于2003年10月发布了一系列审计风险准则，提出了风险导向审计方法下的审计风险模型，将AR表述为重大错报风险（RMM）与DR之积。该模型要求在评估被审计单位RMM的基础上，确定与控制DR。我国2006年2月颁布的《中国注册会计师执业准则》借鉴了该审计风险模型。现代风险导向审计是审计方法在系统与战略管理理论上的重大创新[1]。审计风险评估的结果会直接影响审计成本、时间、策略以及审计质量[2]。审计风险着重考量的是审计效率与效果的权衡[3]。审计风险模型为各风险之间的关系提供了框架[4]，是指导和制订审计计划及分配审计资源的重要工具。

在审计执业实践中，出现了大量RMM评估过程和结果随意、评估依据与报表项目认定层次RMM相关性弱的问题。北京证监局在2020年4月发布的关于《新增处罚中审计与评估机构存在的突出问题》的风险提示中指出，事务所存在的首要突出问题是风险评估流于形式[5]。这充分说明了部分事务所的审计人员对风险评估重视不足。究其原因，除与事务所内部质量控制以及外部监管有关外，还与现有审计风险模型及其运用滞后于新型财务舞弊案件与审计实务的发展相关。截至目前，鲜见研究现行审计风险模型缺陷的文献，本文尝试从控制风险评估、审计要素完整性入手，对现行审计风险模型提出重构与改进建议。

二、现行审计风险模型存在的缺陷

1.控制风险评估架构存在的缺陷。依据现行审计风险模型，RMM包括财务报表层次与认定层次两部分，认定层次的RMM=IR×CR。认定层次CR的评估结果不仅依赖于对内部控制设计是否合理与是否得到执行的评价结论，还需要结合内部控制运行有效性的测试结论。如果内部控制运行无效，认定层次的CR仍会处于较高水平。

内部控制设计与执行的评价结论是在RMM评估程序中通过对内部控制进行了解后得出的，内部控制运行有效性的评价是在应对RMM的进一步审计程序中通过控制测试得出的。因此，在现行审计风险模型下，认定层次CR的评估结果不仅取决于RMM的评估结果，还取决于针对认定层次RMM实施的进一步审计程序的结果。即不能简单地通过了解内部控制来确定CR，还需结合控制测试程序确定的控制运行有效性结论，才能综合评价报表项目某项认定的CR。既然当内部控制设计合理且得到执行时必须经过控制测试才能确定认定层次的CR水平，那么控制测试就不应作为应对RMM评估的进一步审计程序，而应作为RMM的评估程序。现行审计风险模型下的重大错报风险与审计程序的对应关系如图1所示。

图1 重大错报风险与审计程序的关系

从图1可看出，认定层次的控制风险属于重大错报风险的一部分，但对内部控制运行风险的评估却不通过RMM评估程序完成，导致现行审计风险模型中的RMM要素（认定层次的CR）与RMM评估程序不完全对应，通过RMM评估程序评估不出最终、可靠的RMM水平。现行审计风险模型的缺陷容易使人们对RMM产生认知上的误区，认为RMM就是通过风险评估程序识别和评估的，从而忽视了CR要素的内涵及评估的完整性。虽然《中国注册会计师执业准则》规定在RMM评估程序中对CR只进行初步评价，实施控制测试与实质性程序之后，如果审计人员获取了相关控制并未有效运行的新证据，仍需修正CR初步评价结果，但CR属于被审计单位财务报表审计前就已存在的RMM，其所包含的风险是确定而清晰的，控制设计、执行与运行风险水平的评估均应在RMM评估程序中实施。

2.审计风险要素的完整性存在缺陷。

（1）缺少实施重大错报风险程序的“评估风险”。依据现行AR模型，在既定的AR水平下，可接受的DR=既定的AR÷认定层次的RMM。可见，可接受DR的确定在既定AR水平下依赖于认定层次RMM的评估结果，而认定层次RMM的评估结果不仅与被审计单位审计前就客观存在的各类交易、账户余额和披露认定层次的RMM本身相关，也与审计人员对RMM评估程序设计的合理性与执行的有效性相关。如果审计人员设计了不合理的风险评估程序，或风险评估程序设计合理但执行无效，又或某些风险评估程序缺失，都可能识别不出已存在的RMM，或对识别出的认定层次的RMM评估不当。例如，审计人员未运用观察程序实地察看被审计单位存货的状态，导致未能发现其存在大量高估风险，从而低估了存货项目存在认定的RMM水平。这种由审计人员的原因导致的未有效识别与恰当评估RMM的可能性，在此先称之为RMM的“评估风险”。修正模型下“评估风险”与认定层次重大错报风险评估结果的关系如图2所示。

图2 “评估风险”与认定层次重大错报风险评估结果的关系

如图2所示，审计人员对RMM误识别与不恰当评估的“评估风险”与被审计单位审计前客观存在的认定层次的RMM决定了审计人员对认定层次RMM的最终评估结果，而RMM的“评估风险”并不归属于DR，因为可接受的DR是依据认定层次的RMM评估结果确定的，可接受的DR在RMM评估之后才能确定，而RMM的“评估风险”在风险评估阶段就产生了。因此，AR除了RMM与DR要素，还应增加由于风险评估程序设计不合理和未有效执行而导致RMM的误识别与不恰当评估的“评估风险”。因审计人员的原因导致的RMM的“评估风险”不仅影响RMM的评估结论，还影响可接受DR水平的确定，进而影响审计人员为控制DR而实施的实质性程序。

（2）缺少事务所审前风险要素。现行的审计风险模型下，终结阶段审计项目的真实AR=RMM×真实DR，真实DR水平取决于项目组审计人员通过合理设计并有效执行审计程序来发现重大错报的可能性。那么，将终结阶段最终的真实DR水平控制在计划阶段确定的可接受DR水平之内，就能确保将真实AR控制在既定AR水平之内吗？

从狭义上来讲，项目组的审计人员可通过合理设计并有效执行审计程序来降低DR，从而降低该审计项目的AR。然而，除了审计人员在执行具体审计业务时产生的DR会影响AR，还存在两方面的风险也会影响项目的最终AR。一是事务所在执行审计业务前就存在的“固有风险”。该风险是在不考虑事务所业务质量控制的前提下，由于受到事务所所处的客观环境和内部因素以及特定审计项目下某些审计程序性质的影响，而影响了项目组审计人员发现被审计单位重大错报的可能性。影响固有风险的因素主要包括：①事务所的规模及组织形式；②事务所的品牌及声誉；③事务所所处的竞争环境；④项目负责人的诚信水平；⑤签字注册会计师的专业胜任能力；⑥审计项目收费与客户依赖；⑦审计监管政策、概率与监管力度；⑧审计法律环境；⑨事务所利润分配机制；⑩特定审计项目所运用的审计程序的特殊性质；审计的固有限制；等等。二是审计程序设计不合理或未得到恰当执行，但没有被事务所质量控制及时发现、防止或纠正的可能性。业务质量控制的有效性取决于事务所质量控制制度设计的合理性与执行的有效性。事务所的质量控制政策和程序并不是针对具体审计项目而定的，其执行情况也不会因不同的审计项目而产生较大差异，即事务所的业务质量控制水平是在审计前就已基本确定了的，“忽然变得有效，忽然变好的可能性极小”。因此，由于业务质量控制问题而产生的审计风险是事务所在审计前就存在的，在此先称之为“质量控制风险”。

上述两类风险并不随审计项目组成员在某个审计项目中对审计程序的合理设计与有效执行而发生变化，是审计人员执行具体审计项目之前就已存在且与事务所相关的风险，在这里暂称之为“事务所审前风险”。事务所审前风险与真实审计风险之间的关系如图3所示。

图3 事务所审前风险与真实审计风险的关系

由图3可知，在终结阶段，审计项目最终的审计风险不仅取决于重大错报风险、真实的检查风险，还与事务所的审前风险相关。

三、重构审计风险模型

1.控制风险要素评估的重构。如图1所示，认定层次CR不仅包括控制设计与执行的风险，还包括控制运行有效性的风险。认定层次内部控制设计、执行风险需通过RMM评估程序中的“从业务流程层面了解内部控制程序”进行评估，内部控制运行风险需通过控制测试程序加以评估。因此，认定层次CR的识别与评估程序应包含从业务流程层面了解内部控制和控制测试两部分。而在现行的风险导向审计模式下，RMM的评估程序只对认定层次的CR做出初步评价，不包含对被审计单位内部控制运行有效性的评估，该评估（控制测试）是作为RMM的应对程序包含在进一步审计程序中的。由于控制测试服务于认定层次CR的评估，属于被审计单位财务报表RMM评估的组成部分，因此，控制测试作为RMM的进一步程序并不合理。综上，认定层次CR的评估程序应包括了解被审计单位内部控制以及控制测试两部分。控制风险要素评估重构后的审计程序如图4所示。

图4 控制风险要素评估重构后的审计程序

2.增加审计风险要素——评估风险。如果风险评估程序设计不合理、没有得到执行或执行无效，都可能导致RMM评估结果有误。然而在现行的审计风险模型中，并未考虑因审计人员导致的对报表RMM进行错误识别与不恰当评估的风险。由于审计人员不可能对影响被审计单位财务报表重大错报的所有因素进行逐项审查，且企业面临的各种环境、政策等经营风险不断变化或处于潜伏期，这些因素都可能导致审计人员对被审计单位的RMM进行不恰当评估，因此这种“评估风险”不可能降低为零。补充“评估风险”后的AR模型为：AR=评估风险×RMM×DR。在该模型中，首先实施风险评估程序，产生评估风险；其次，评估出RMM水平。因此，将评估风险放在RMM的前面，然后才是RMM，最后是实施风险应对程序中产生的DR。

3.增加事务所的固有风险和质量控制风险要素。事务所的固有风险和质量控制风险均属于“事务所审前风险”，其不随具体审计项目审计程序设计的合理性与执行的有效性发生变化，是与审计主体相关的审计前就存在的风险，会影响审计项目的最终审计风险。

（1）事务所固有风险。事务所的固有风险除与事务所的规模、品牌、声誉、组织形式、竞争环境等因素有关外，还与审计程序的性质相关。因某些审计程序的特殊性质或某些审计项目所运用的审计程序呈现出的特殊性，使得这些审计程序本身不易发现财务报表的重大错报。例如：一是运用监盘、观察、询问程序所获取的审计证据，不具有可验证性、不易验证或可验证性较差。当审计人员的审计程序执行不到位、未收集可靠充分的审计证据而编制了详细合规的审计工作底稿时，通过事后对工作底稿以及审计证据的复核检查并无法验证其审计程序执行的有效性。审计人员可能会利用这些程序本身的固有缺陷而偷工减料。因此，这些审计程序的特殊性质导致其成为审计人员“放飞机”的重灾区。二是因被审计单位的客观条件，某些审计程序运用受限而导致审计证据效力受到影响。如，对于被审计单位的境外经济业务，审计人员不便于实施现场观察、实地监盘、当面询问等审计程序来获取充分可靠的审计证据，从而加大了审计风险。三是由于被审计单位存货、无形资产、商誉等报表项目的特殊性，使得某些审计程序即使设计合理且执行到位也难以获取其存在与金额准确性的审计证据。如，农、林、牧、副、渔、药类企业的存货，包括天上飞的、地上跑的、地下种的、水里游的，因存货性质的特殊性，审计人员实施监盘程序的范围较大、难度较高，使得存货数量难以准确认定。

（2）事务所质量控制风险。事务所的质量控制风险包含两个层次。一是与事务所整体层面（控制环境）相关的基础层次的质量控制风险，包含了因事务所合伙人凌驾于内部控制之上而导致内部控制无效的风险。该层次风险与事务所质量控制政策与程序的制定和落实相关，对事务所承接的所有审计项目都具有重要影响，基础层次的质量控制有赖于事务所全体员工的共同努力。二是与事务所业务层面相关的具体项目层次的质量控制风险，其与质量控制部门对具体审计项目的监控有效性相关，只对某个审计项目具有重要影响，项目层次的质量控制依赖于质量控制部门及人员对具体审计项目的有效监控。

综上所述，考虑上述两类事务所审前风险之后，进一步修正的审计风险模型如下：

AR=（评估风险×RMM）×（事务所审前风险×DR）

四、重构后审计风险模型的应用建议

1.控制风险要素的应用。

（1）控制风险的评估。CR的评估通过了解内部控制与控制测试程序进行。在实务中，审计人员通常从整体层面和业务流程层面了解和评价被审计单位内部控制的设计与执行情况，只有当内部控制的评价结果为预期有效时，才进行控制测试。首先运用内部控制测试的结果，评估认定层次的CR，然后结合IR评估结果确定的认定层次RMM，最终评估出报表项目各认定层次的RMM，针对认定层次RMM采取的应对措施是实质性程序。

（2）构建管理层舞弊动机指数，并作为控制风险系数。当被审计单位实际控制人联合企业内外部组织和人员实施舞弊时，审计人员即使遵循审计准则进行审计，也很难鉴别“一条龙”的系统性交易舞弊中审计证据的真实性。即当管理层具有舞弊动机、机会以及不道德的价值观时，审计人员无法或很难查出管理层逾越内部控制实施的财务舞弊。

具有舞弊动机的管理层并不希望公司的内部控制设计完善且得到执行，他们认为，只要内部控制存在缺陷或漏洞，财务舞弊就有实施的机会。财务报表可靠性如果失去了内部控制的保障，管理层甚至不需要逾越内部控制，就可以直接利用其漏洞实施舞弊行为。这意味着，如果舞弊风险较高，管理层对加强内部控制建设的意愿与措施就较弱，内部控制存在设计缺陷的可能性就较大，内部控制风险就较高，即舞弊风险加大了控制风险。企业在建立健全内部控制之前，就因较高的管理层舞弊风险已然赋予或增加了内部控制设计、执行和运行风险。

管理层通过逾越内部控制实施的财务造假手段大都与会计记录有关，审计人员可以通过执行舞弊风险审计程序，如分录测试、询问、复核等判断会计处理的适当性，进而查出重大错报，然后根据汇总审计差异，判断并确定管理层舞弊动机的大小。舞弊动机的大小决定了舞弊风险的高低，进而又决定了公司内部控制被凌驾的风险。舞弊风险会放大内部控制风险，但其影响程度不同。舞弊风险越大，对控制风险的放大效应越大；舞弊风险越小，对控制风险的附加效应越低。那么，到底如何量化舞弊风险？笔者建议通过构建舞弊动机指数来反映舞弊风险的大小，进而确定对控制风险的影响程度。

首先，计算被审计单位上一年度各报表项目审计差异汇总数导致收入总额、资产总额、净利润及净资产的虚增数，然后计算出各项虚增数分别占收入总额、资产总额、净利润及净资产的比重。依据各项比重中的最高值确定舞弊动机指数。最高比重在0～10%之间的，舞弊动机指数设定为1.1；最高比重在10%～20%之间的，舞弊动机指数设定为1.2；最高比重在90%～100%的，舞弊动机指数设定为2；最高比重在100%～200%之间的，舞弊动机指数设定为3。以此类推。舞弊动机指数构建与计算方法见表1。

表1 舞弊动机指数计算表

基于舞弊风险对控制风险的放大效应，将指示舞弊风险大小的舞弊动机指数确定为控制风险的系数。依据乘以舞弊动机指数后的控制风险，确定各报表项目认定层次的RMM，再除以事务所审前风险，进而确定可接受DR水平。

2.评估风险要素的应用。

（1）评估风险水平的确定。在应用修正后的审计风险模型时，由于评估风险会增加被审计单位RMM被错误评估的可能性，因此，评估风险应作为RMM的系数，可称之为“评估风险系数”，其值为1以上（含1），在1～2之间较为适宜。理论上，假设不存在评估风险，则其值为1，表明评估的重大错报风险精确度较高；如其值在1～2之间，则会放大报表层次与报表项目各认定层次的RMM，使得可接受的DR水平较低。事务所审前风险亦是如此，其值为1以上（含1），在1～2之间。假设不存在事务所审前风险，则其值为1，表明事务所不存在对该审计项目的固有风险与质量控制风险；其值为2时表明事务所审前风险较高，使得可接受的DR水平降低。对于上市公司报表审计而言，由于其利益相关方众多，项目风险较大，因此应将可接受的评估风险确定在一个较低的水平上。

（2）评估风险的控制。审计人员如何才能将评估风险控制在可接受的低水平？这不仅关乎评估的RMM的高低，更关乎整个项目审计风险的控制。根据政府监管机构以往对审计人员审计的检查情况，RMM评估程序较易流于形式。因此，应限制审计人员RMM评估的随意性，缩小RMM评估程序与结果的可操纵空间，建议评估RMM时，考虑以下风险因素：

第一，评估上市公司当期股票价格波动率隐含的固有风险。此处的股票价格波动率并不是在上市公司自身收益变化或股市系统性风险较高的情况下与自身之前股价对比形成的波动率，而是公司收益与股票市场平稳情况之下表现出的超预期的两类波动：一是上市公司股票价格贝塔系数的波动幅度，二是超过所处板块内行业股票指数波动率一定比率的风险。然后将这二者赋予不同权重，计算股价波动率。如果股价波动率过高，即隐含了上市公司高管通过粉饰财务报表操纵股价的风险。风险的大小可以反映上市公司管理层的诚信水平，如果不考虑市场整体波动，上市公司股价波动率越高，上市公司高管操纵股价的风险越大，财务报表重大错报的可能性越高，固有风险水平也越高。

第二，评估解禁期后大股东和管理层大量抛售公司股票而隐含的重大错报风险。在股票解禁期之后，大股东和管理层高价出售公司股票占其所持有股票份额一定比值（比如10%）以上的，表明公司当前的股价可能是管理层在股票解禁期之前为提升股价进行真实盈余管理或应计盈余管理虚增利润而形成的，当解禁期一过，管理层就可能根据推高的股价尽快大量抛售所持股票。管理层作为公司高管人员，比社会公众更加了解企业内部财务信息，大量抛售股票的原因很可能是其认为公司对外公布的财务报表存在重大错报，现有股票价值大大高于企业内在真实价值所致。如果公司财务状况不良、资产质量不高、盈利预期较差，会影响管理层对本公司的信心，进而抛售股票。在这种情况下，如果公司报表财务数据显示良好，则和管理层抛售股票的行为相矛盾，在一定程度上表明报表存在较高的重大错报风险。

3.事务所固有风险与质量控制风险的应用。

（1）事务所固有风险评估。对事务所存在的固有风险进行评估，除了要考虑事务所及其环境、审计程序性质等因素，还应考虑评估审计固有限制导致的固有风险。比如：审计项目收费水平低而导致审计时间压缩的可能性；被审计单位经济业务多为现金交易，受限于审计人员无外调权而导致的审计证据证明力弱的可能性；正处于执业忙季的审计项目，由于审计人力资源不足，导致审计人员超时劳动而减少必要审计程序的可能性。这些影响因素均会增加审计项目在未审计前的不易评估、不易查出重大错报的可能性。事务所固有风险的评估可以单独进行，也可以与事务所的质量控制风险合并评估。

（2）事务所质量控制风险评估。由于审计项目实施前与实施中的事务所内部控制环境、质量控制水平在短期内较难改变，因此就某一审计项目而言，对项目承接事务所的质量控制风险只能评估，不易控制。事务所的质量控制风险评估主要是通过了解事务所内部控制环境、事务所合伙人诚信、高层基调、公司治理、总分所一体化、职业道德风险、独立性风险、业务的承接与保持、人力资源政策与程序、业务执行（指导、监督与复核）、监控政策与程序等进行。如果由审计项目负责人在计划阶段自行评估事务所质量控制风险，不可避免地会产生自我评价威胁，比如对事务所质量控制各要素的风险评估过低，会将可接受的检查风险确定得过高，以降低从实质性程序中获取的保证程度，从而缩小审计范围、降低审计成本。

为降低审计项目组对事务所质量控制风险评估的自我评价威胁，应对事务所的质量控制风险水平进行评估。此外，还可以借鉴事务所诚信评级标准[6]，依据事务所及其审计人员未受到行业协会及相关行政、执法等部门处罚的连续年度，以及在注册会计师协会组织的事务所分类管理考评中被评定的管理等级[7]来确定事务所的质量控制风险水平。

事务所的质量评估、诚信评级以及分类等级可能会随着时间推移而发生变化，如事务所规模扩大、树立品牌声誉、监管部门处罚、审计失败等事项。因此，不同时间的审计项目质量控制风险评估结果并不相同。可能会在同一审计项目推进过程中出现影响质量控制风险评估的新情况，因此质量控制风险评估结果也应随着项目的实施进行动态调整，并重新确定可接受的检查风险水平。