陈艳芬 彭俊英 姚莉

风险评估是风险导向审计工作的重要环节，是设计与实施进一步审计程序的基础。2007年我国开始推行风险导向审计，2010年我国修订了审计准则，进一步强化了风险导向审计的思想，将风险导向审计理念全面彻底地贯彻到审计准则中。本文选择中国证监会及其32个派出机构2011年至2020年针对上市公司年报审计的违法行为发布的45份行政处罚决定书进行分析，对从中筛选出涉及风险评估程序缺陷的19份行政处罚决定书开展深入研究，归纳总结上市公司年报审计风险评估程序缺陷的总体情况后，深入分析了风险评估程序缺陷的具体表现，并提出优化对策，以期能对实务工作提供一定的借鉴，推动风险导向审计的有效实施。

一、上市公司年报审计风险评估程序缺陷分析

我国自2007年开始推行风险导向审计，由于证监会对审计违法行为查处时间大致为3-5年，本文在选取行政处罚决定书进行分析时，先浏览2007-2020年证监会发布的64份行政处罚决定书，并统计其审计违法事实发生年份，进而确定本文研究对象区间为2011年至2020年的发布的45份行政处罚决定书。再次以风险评估及风险评估程序为关键词筛选出19份涉及风险评估程序缺陷的行政处罚决定书进行深入分析。19份行政处罚决定书中，有9份行政处罚决定书中单独列示了风险评估程序的缺陷。从审计违法行为发生年份来看，证监会查处的审计失败案件中存在风险评估程序缺陷的案件数呈现倒U型的变化趋势，风险评估程序存在缺陷的案件集中发生在2012年至2014年，详见图1。可知，2010年我国审计准则修订后，监管者加强了对风险导向审计实施情况的监管。在严厉的监管环境下，我国注册会计师风险导向审计思维不断强化，风险评估程序存在缺陷的案件数逐年减少。分析发现，注册会计师风险评估序的缺陷主要表现在四个方面：未实施风险评估程序、风险评估程序未能有效执行、风险评估程序与总体应对措施和进一步程序衔接不到位，风险评估工作底稿不规范，详见表1。风险评估程序缺陷具体分析如下：

表1 风险评估程序缺陷分析表

图1 风险评估程序缺陷发生次数

（一）未实施风险评估程序

在执行审计时，未实施风险评估程序这一缺陷反应了部分注册会计师忽视风险评估的重要性，认为风险评估程序仅为形式流程，并不能据此减轻实质性程序工作。因此，在实施程序时仍以传统的账项导向审计为主，没有了解被审计单位的行业状况、经营风险等方面，未实施风险评估程序。例如，利安达会计师事务所对华锐风电审计失败案例中，受国家风电行业政策的较大影响，华锐风电2012年整体业绩出现大幅下滑，注册会计师未执行风险评估程序以获取相应审计证据，审计工作底稿中未见风险识别轨迹。注册会计师对“竞争激烈或市场饱和，且伴随着利润率的下降”、“客户需求大幅下降，所在行业或总体经济环境中经营失败的情况增多”的风险评估结果是“不存在”，其风险评估结果与当时企业所处的行业状况明显不符。

（二）风险评估程序未能有效执行

风险评估程序未能有效执行在审计失败案件中发生次数占比最高，达55.17%。这一缺陷具体表现在三个方面：

1.部分风险评估程序未实施。例如在立信会计师事务所对超华科技审计失败案例中，立信所针对超华科技营业收入执行了风险识别与评估程序，但审计程序只涵盖了主营业务收入，未覆盖其他业务收入。超华科技主营业务模式与其他业务模式存在明显区别，同时，立信所在审计过程中关注到，超华科技“本年其他业务收入有5000多万，成本300多万，若无其他业务收入，公司本年的利润为0”这一重要情况，却仍未对超华科技其他业务收入补充执行风险识别与评估的审计程序。

2.实施了风险评估程序，未能识别风险。部分注册会计师在识别和评估重大错报风险时，注册会计师在了解被审计单位及其环境（包括风险相关的控制）的整个过程中，没有结合财务报表中各类交易、账户余额和披露的考虑识别风险，或是评估识别出风险后，并未评价其是否广泛跟财务报表整体层次相关。或是，没有结合对拟测试的相关控制的考虑，将识别出的风险与认定层次可能发生错报的领域相联系，导致未能识别报表层和认定层的重大错报风险。如北京兴华会计师事务所对新绿股份审计失败案例中，注册会计师在该项目底稿中显示已识别出新绿股份实际控制人与基金合伙企业签《增资协议》之外的补充协议，约定2013至2015年税后利润最低目标，而2012年新绿股份实际利润远低于约定利润，承受过度业绩压力的信息，但注册会计师却没有将该业绩压力与财报层次重大错报风险联系，未能识别出财报层次的重大错报风险。此外，部分注册会计师虽实施了风险评估程序，但未能识别出特别风险，主要包括未识别舞弊风险、未识别关联方交易风险和未识别异常重大交易风险三大情形。针对特别风险，注册会计师需要识别并了解与该特别风险相关的内部控制，根据风险的性质、潜在错报的重要程度和发生的可能性，判断风险是否属于特别风险。在确定风险性质时，应考虑风险是否为舞弊、重大关联方交易、重大交易等。但不少注册会计师在风险评估时，并未专门识别被审计单位是否存在特别风险。例如，立信会计师事务所对风华高科审计失败案件中，立信所经过风险评估，识别出风华高科理财产品的购买时间、金额与应收账款转让时间、金额高度一致，且投资顾问费的支出明显高于投资收益的收入，购买理财产品的交易行为存在重大异常，立信所未考虑该项重大交易是否存在特别风险，最后引发审计失败。

3.未适时修正风险评估结果。风险评估是一个连续的、动态的不断收集与更新信息的过程，贯穿整个审计业务过程始终。若有证据表明风险评估结论不合理，注册会计师应及时修正风险评估的结论。实施进一步审计程序时获取的审计证据，与之前风险评估所依据的审计证据不一致时，部分注册会计师未能及时修正风险评估结论，未修改进一步审计程序的性质、时间安排及范围。如2019年公布的瑞华会计师事务所对零七股份审计失败案例中，注册会计师对控制环境的描述、评价与实际情况不符，对舞弊风险因素的识别与实际不符，未关注实际情况与管理层风险评估结果的差异，在执行审计业务期间也未就零七股份披露的相关公告对其风险评估结果进行适当的修正；也未全面评估舞弊导致的财务报表层次重大错报风险，导致对客观存在的舞弊风险因素采取的应对措施不足。

（三）风险评估程序与总体应对措施和进一步审计程序衔接不到位

注册会计师应针对评估的财务报表层次和认定层次的重大错报风险，设计和实施恰当的总体应对措施和进一步程序，否则，风险导向审计无法贯穿整个审计过程，进而将严重影响审计工作的效率和效果。例如在北京兴华会计师事务所对欣泰电气的审计失败案例中，在欣泰电气IPO期间，注册会计师将收入评估为“可能存在较高重大错报风险的领域”，并在审计工作总结中将“收入及利润上涨风险”认定为“评估的特别风险”，但对与其相关的应收账款明细账中存在的大量大额异常红字冲销情况未予关注，未保持职业怀疑，继而未设计和实施有效的应对程序以获取充分、适当的审计证据，使得风险评估结果未能发挥指引作用。

（四）风险评估底稿填写不规范

按照审计准则规定，注册会计师应该对制定的审计计划、实施的审计程序、获取的相关审计证据，以及得出的审计结论都记录在工作底稿中，包括对实施的风险评估程序，即便没有识别出相关风险也应据实记载。从行政处罚决定书中得知，部分注册会计师在执行风险评估程序后未把实施程序的结果和获取的审计证据、审计中遇到的重大事项和得出的结论以及在得出结论时做出的重大职业判断记录在工作底稿上，最后在听证会上百口莫辩。如2018年公布的大华会计师事务所对佳电股份审计失败案例中，佳电股份2014年12月记入账面的销售费用存在明显波动，大华所在销售费用审计工作底稿中记录了各费用明细科目的各月发生额，但未见对费用波动情况进行风险评估的审计工作底稿。又如2018年公布的立信所对武汉国药科技审计失败案例中，注册会计师在对鄂欣实业钢材销售进行穿行测试时，未取得“销售合同审批单”，对上海淙远实业有限公司开具的要求凭发货码单结账的提货单，注册会计师既未关注，也未收集发货码单，穿行测试审计证据获取不充分，且未记录测试结论。

二、优化风险评估程序的对策建议

风险评估是注册会计师风险控制的起点，风险评估旨在识别和评估被审计单 位报表层和认定层的重大错报风险，进而为风险应对环节总体应对措施和进一步审计程序的设计与实施提供基础。针对风险评估程序的缺陷，笔者认为可以从如下几个方面进行优化：

1.强化风险导向审计思维。从风险评估缺陷的分析来看，当前还存在部分注册会计师不重视风险评估，风险评估程序流于形式的情况，才会出现未实施风险评估程序、风险评估程序实施不全面、风险评估过程与结论不一致、未记录风险评估底稿等问题。风险导向审计是以风险为核心开展审计工作，在风险评估阶段，通过了解被审计单位及其环境，识别和评估重大错报风险，以确定财务报表的重点审计领域。在风险应对阶段，依据风险评估的结果，设计与实施具有针对性的进一步审计程序。强化注册会计师风险导向审计思维，将有效促进注册会计师在审计工作中落实风险导向审计工作，认真、全面实施风险评估程序并记录在工作底稿上，适时修正风险评估结论。

2.注重重大错报风险的识别和评估。风险评估工作的目的在于识别两个层次的重大错报风险，若注册会计师未能充分识别重大错报风险，则表明注册会计师未能充分了解被审计单位及其环境。在风险评估环节中，注册会计师在了解被审计单位及其环境的整个过程中，需结合对财务报表中各类交易、账户余额和披露的考虑，识别风险。对识别出的风险进行评价，看其是否更广泛地与财务报表整体相关，进而潜在地影响多项认定；并结合对拟测试的相关控制的考虑，将识别出的风险与认定层次可能发生错报的领域相联系；最后考虑发生错报的可能性，以及潜在错报是否足以导致重大错报。也就是说，注册会计师需要识别报表层和认定层的错报风险并且判断其是否重大。

3.重点关注特别风险。特别风险，是指需要注册会计师特别关注的风险。审计准则要求注册会计师应当根据职业判断，确定识别出的风险是否为特别风险。随着新经济、新业态的发展及监管环境的变化，企业的财务报表审计可能存在诸多特别风险。针对特别风险，注册会计师不仅需要识别它，还需了解被审计单位与该风险相关的控制，以获取充分、适当的审计证据。值得注意的是，特别风险中舞弊风险的识别与应对是导致审计失败的重要原因之一。学者们对于风险导向审计是否能有效识别舞弊风险存在争议。笔者认为，风险评估程序在设计与实施过程中，一方面应注重审计程序的不可预见性，另一方面可有效利用人工智能、区块链、云计算、大数据、物联网等信息技术以应对舞弊风险等特别风险。

4.注重风险评估与风险应对环节的衔接。风险评估程序识别两大层次的重大错报风险，为风险应对环节进一步审计程序的设计与实施提供基础。如果未能有效利用风险评估程序的结果，在风险应对环节可能出现两大问题，一是更多依靠实质性程序获取审计证据，增加审计工作量，降低审计效率。二是未能对已识别的重大错报风险设计与实施具有针对性的审计程序，以致于未能发现重大错报，严重影响审计效果。注册会计师应贯彻风险导向审计理念至整个审计过程，尤其需要注重风险评估与风险应对环节的衔接，有效发挥风险评估的指引作用。

5.强化风险类审计工作底稿的质量控制。风险类审计工作底稿反映了注册会计师实施风险导向审计的过程。会计师事务所应强化风险类审计工作底稿的质量控制，防止出现风险评估工作底稿未记录、未记录的风险评估过程与结论不一致等问题。

作者单位：广州新华学院 广州医科大学附属脑科医院