今天来谈一谈审计业务的风险评估程序（以下简称“风险评估”），为什么要谈风险评估？因为风险评估是年报审计中比较重要的工作之一，但却常常被人遗忘在小角落，无法体现它的价值。本次写这篇文章，旨在提供一种审计思考，引起大家对风险评估的关注。

何为风险评估？风险评估是指审计人员通过了解被审计单位及其环境，以识别和评估财务报表层次和认定层次的重大错报风险(无论错报是由于舞弊或错误导致)而实施的审计程序，这句话相信学过审计课程的人来说并不陌生。这里要解释一下什么叫财务报表层次和认定层次重大错报风险，财务报表层次的错报风险可以理解为与财务报表整体相关，比如管理层的舞弊，它可能导致整个财务报表是虚假的，认定层次重大错报风险可以理解为与具体的财务报表科目相挂钩，比如营业收入的发生存在虚假。所以，我们在风险评估时，就能对企业可能存在风险的领域有了一定的了解，这是直接通过刷实质性工作底稿而无法了解的。

通常，我们在做一个年报审计时，项目经理需要做风险评估程序。从总体层面先了解企业的财务报表可能存在哪些风险，通过识别和评估出的财务报表可能存在哪些方面的风险，然后开展审计项目组内部讨论，项目经理将所识别的风险传达给项目组，此后项目组成员在执行与此风险相关的审计时，就需要更谨慎，做更多的审计程序，从而将风险降低在可接受的水平，这个其实就是“风险导向型审计”。审计员在开审计底稿时，应该根据风险评估的结果，抓大放小，将精力放在可能存在风险的领域，而对于风险较低的领域只要执行特定审计程序就行，有侧重性的审计。看似简单的一段话，在实务中会因不同的情况而存在差异。

我们从以下几方面展开探讨：

一、不同类型审计业务之间存在差异

我们都知道，当前审计市场存在两种方向性的事务所，一种是具有证券资格的事务所，另一种是不具有证券资格的事务所（目前好像取消了非证券资格事务所不能做上市公司业务的限制），由于其面向的客户群体不一样，业务风险等级存在差异，执行的审计程序也存在差异。

（一）不具有证券资格事务所

这类事务所承接的一般是较小的审计业务，收费大多数不高。由于该类审计业务规模较小、难度较低、风险较小，所以事务所在做年报审计时通常只做实质性程序，也就是各个科目审计底稿。相对成熟一点的事务所会要求的比较高，要有风险评估底稿，但就是一个形式而已，随便点一点就完事，压根没人去看这些，因为这种业务大家关注的是是否函证、是否有盘点表、账面数与所得税申报表是否一致。

（二）具有证券资格的事务所

这类事务所的业务主要是上市公司、新三板、国企等，由于其业务类型普遍较大，难度较高，风险也较高，所以风险评估程序是必须做的，但也是根据业务性质的不同而存在差异。一般上市公司审计和新三板审计的风险评估要做的比较细，内容要写很多，要把cpa“战略”的知识运用进去，最后写出来才像试卷的答案。这类业务的风险评估工作不管是事务所的质控，还是证监会的检查，都是一个关注的点，而对于国企及以下的，风险评估一般也没有做得像上市公司那样细，也是停留在程序上。

综上所述，实施风险评估程序根据业务大小、业务风险等级的不同，而存在差异。

二、监管机构对风险评估的重视度不够

根据笔者所看过的监管处罚案例中，对于不具有证券资格的事务所，监管机构关注的重点几乎都指向实质性程序：未发函、存货固定资产未监盘、细节测试不到位等等；而对于具有证券资格的事务所，假设被处罚的事项有5个，与风险评估相关的可能就1个，甚至是没有，就算是1个，那么所处罚的事项也是事务所一些自相矛盾的记载罢了，没有太多深入的问题，更多关注的还是实质性程序。

三、实务中对风险评估的重视不够

目前审计行业中，不管是哪类风险类型的审计，风险评估占进一步审计程序的比重都是特别低的，比如做一个审计项目需要10个人，那么做风险评估的只有项目经理1个人，项目经理做完可能也没有把风险评估的结果告诉审计组成员，审计员根据被分配到的会计科目，开始刷底稿，大家各做各的，风险评估与实质性程序相脱节，风险评估失去其意义。当然也不能排除一些做上市业务的事务所，他们这方面做的细，真正做到“风险导向型审计”。

四、总结及思考

其实笔者的观点也是一样的，依据审计业务的风险程度去执行风险评估，一是出于成本效益原则，二是出于监管机构的重视程度，三是出于行业现状的考虑。但是一份完整的审计成果，其实都是以风险评估为基础的，比如做完风险评估，然后确定哪些科目要采用综合性方案（控制测试+实质性程序）哪些只实施实质性程序，风险评估的结果是直接影响到了后续的审计工作及审计质量，因此笔者认为做好一个审计业务，风险评估很重要！但实务中，由于重视程度不够，真正能把这个底稿做得好的，我想也就事务所的质控老师吧，其他人员由于接触得少，见到底稿非常陌生，项目经理也是依葫芦画瓢，质控老师有提Q，项目经理再根据老师的要求做相应的修改，缺少这方面的思考。

今天要写这个文章，其实只是提供一种审计思考罢了！行业现状是无法去改变的，但是审计思维要变。如果过几年，监管机构对事务所检查重点转向风险评估，实质性工作底稿没那么固定化，那风险评估程序工作将成为一种常态，项目经理根据工作量，将风险评估工作分配给项目组成员，项目组成员在刷底稿的时候，融入更多的思考，那么审计质量将大大提升。