会计师事务所在风险导向审计中的常见问题及实务应对(一)

一、存在的主要问题

（一）未根据准则要求履行充分适当的审计程序

1、未实施风险评估程序

部分执业人员对风险评估的重要性和审计思路缺少基本的认识，存在畏难情绪，认为风险导向审计仅是一种形式和程序，并不能够减少实质性程序的工作量。所实施的审计程序仍停留在传统的账项基础审计中，使用的审计方法仍是传统的凭证抽样、账务核对等方法。在审计过程中，在未了解被审计单位及其所处环境、未有效识别存在的风险并进行评估的情形下，直接实施各科目的实质性审计程序。

2、未执行完整的风险评估审计程序

如在整体层面了解内部控制时，未了解和记录单位的内控设

计和控制活动，未对内控设计及运行情况进行评价；未根据被审计单位的业务性质制定恰当的审计计划；在业务流程层面了解内部控制时，未获取单位内控制度调查了解，未执行穿行测试程序测试内部控制的执行情况；在了解被审计单位内控时仅通过实施询问程序就得出了内控是否存在并得到执行的审计结论，没有将询问观察和检查以及穿行测试等其他评估程序结合使用，通过其他程序获取的审计证据来验证询问获得的审计证据；对单位存在大额亏损、资不抵债、持续经营能力存在不确定性等情形时，未恰当关注和评价审计项目的风险等。

3、未实施分析性程序。

在风险评估阶段、实质性程序阶段、对财务报表总体复核时，对被审计单位的财务信息或非财务信息进行分析，有助于识别从报表的财务数据中无法识别的异常情况，对单位可能存在的重大错报风险作出合理的评估。但部分执业人员未设计和实施相关的分析程序。如未对被审计单位的未审会计报表进行趋势分析；未分地区、分年度对毛利率的差异进行分析，对毛利率的显著异常未进行具体的分析说明；未按月度对本期毛利率的变动进行比较分析，对月度之间的毛利率的异常波动未予关注；未对月度之间、年度之间的费用占比进行分析判断其变动的合理性；仅对会计报表进行分析，未对重要的非财务信息予以关注等等。

4、所实施的风险评估程序未能涵盖重要的业务流程

所实施的风险评估程序，应基于对被审计单位的业务了解的基础上，涵盖所有重要的业务流程。但在执业过程中，部分执业人员因对风险评估程序认识不充分，未能了解并评价单位所有重要的业务流程。如，某小贷公司具有多种重要的业务模式，信贷资产为主要的业务，此外还有小微企业私募债、开鑫贷等主要业务。注册会计师在对业务流程层面内部控制进行了解与评价时，仅对信贷资产循环内控进行了解与评价，未对其他重要业务循环的内控实施了解与评价。再如，对于首次承接的被审计单位，未对所有重要业务流程均实施了解和评价的审计程序。

5、集团审计中风险评估程序未涵盖重要子公司或子公司的重要业务

在集团审计中，风险评估程序应涵盖所有重要的子公司，或子公司的特殊的重要业务流程。但在执业过程中，部分执业人员仅对母公司的业务流程进行了解和评价，而忽略了对重要子公司业务流程的了解与评价。如，集团审计中确定执行审计程序的母子公司有8家，但仅对母公司执行了风险评估程序，对其他重要的子公司均未实施风险评估程序；又如，集团审计中，重要子公司和母公司存在不同的业务模式，但未对重要子公司的主要业务流程进行了解和评价，如：母公司的主要业务为工业企业的生产与销售，而重要子公司业务为房地产开发，在审计中未对房地产业务的工程施工、销售收款等重要流程实施相应的风险评估程序。

6、控制测试样本规模选择不充分

对业务循环实施控制测试的目的是为了测试控制运行是否有效。为了获取充分可靠的审计证据，应考虑选取恰当的样本数量规模。在执业过程中，部分注册会计师在选择样本时，未根据单位执行控制频率、拟信赖控制运行有效性的时间长度等因素进行样本规模的选择，导致控制测试未能获取充分有效的审计证据。

如，被审计单位的销售与收款循环中所涉及的关键控制点，涵盖了整个会计年度。注册会计师选择样本的期间均集中在上半年，对下半年的控制是否有效实施未能获得充分适当的证据。对一些交易频繁且网点分散的行业，如大型连锁超市、旅行社、商业银行网点等，所实施的控制测试样本量的选择应涵盖所有重要网点。但执业人员进行审计时，仅选取了同一个门店的几个样本作为控制测试的样本，未能涵盖所有重要的网点，样本量选择不充分。

（二）风险评估程序流于形式

1、风险评估的控制点描述不符合单位的具体情况

未针对被审计单位所处的行业特点、经营情况、风险要素执行风评程序，风险评估及控制测试程序缺乏针对性。如：公司为房地产开发企业，执业人员按生产制造企业模板进行控制点测试，对大部分内容均列示为不适用。注册会计师在底稿中记录“董事会下设内审委员会”等，实际公司并不存在内审委员会；公司的董事和高级管理人员相继发生变动，执业人员在了解和评价内部控制环境的相关审计底稿中却记录为“关键岗位人员不存在离职情况”；同一公司具有不同的收入模式，未根据不同的收入类型进行销售收款循环业务层面内控的了解和评价，未针对各业务模式的风险点进行测试。

2、套用以前年度或其他项目的工作底稿，未根据实际情况实施风险评估程序

如项目组对2018年报的销售与收款、筹资与投资实施控制测试，未见样本选取方法的记录，底稿中的样本大部分为2016年、2017年发生，不能支持2018年控制测试有效执行的结论；复制其他项目的底稿，未根据单位的实际情况进行描述，如将单位主要控制所涉及的关键人员填列为其他单位的人员等。

3、获取的资料与审计底稿存在矛盾

执行控制测试程序时，注册会计师获取了公司提供的资料作为底稿附件，未发现获取的资料信息中存在明显矛盾的情形，未发现公司内部控制存在瑕疵。

4、形成的风险评估结论缺少相关的支持性底稿

如，在整体层面了解和评价内控的底稿中，反映所执行的程序为询问和检查等，但却没有询问笔录、检查底稿等支持性证据。对于识别的重大错报风险，如将收入的发生和应收账款的存在认定识别为存在重大错报风险，在底稿中并无相关的可支持结论的证明性材料。 

（三）风险评估结果与进一步审计程序前后矛盾

在执业过程中，部分执业人员未针对风险评估的结果恰当地选择与执行进一步审计程序。针对不同业务类型和经营模式的企业，实施了类似的审计程序，导致审计程序缺乏目的性和针对性，未能将风险评估结果和进一步审计程序有效衔接。常见的表现为：

1、在执业过程中，计划和实际执行工作存在不一致

如采购与付款循环风评结论为该控制得到执行并拟进行控制测试，但实际未见执行该控制测试；风险评估结果汇总表中记录对货币资金、销售与收款、采购与付款循环的总体审计方案确定为综合性方案，但未见控制测试的相关底稿；风险评估程序底稿中，将固定资产存在减值风险评估为特别风险，但却未实施减值测试，在审计总结中评估的特别风险、应对措施及结论均反映为无，也未反映对审计计划作出修改的理由与过程；未将实施风险评估程序的结果与进一步的审计程序相联系，并据此编制重要账户和列报的计划总体审计方案，导致风险评估程序与进一步的审计程序缺乏关联。

2、风险评估了解情况的描述与实际情况不符。

如：在风险评估——了解被审计单位及其环境的工作底稿中，将异常或复杂交易的会计处理列示为无，实际存在新兴领域的交易异常或复杂交易，并且作为关键审计事项，在实质性程序底稿中针对该类交易实施了大量的程序，风险评估底稿与实质性程序底稿存在前后矛盾。                                                 

3、风险评估结果汇总表反映的信息前后矛盾

如：在风险评估结果汇总表中，将营业收入的发生、准确性、截止认定，应收账款的存在、权利与义务认定作为“受影响的交易类别、账户余额和列报认定”，但在实施进一步审计程序的计划矩阵中，将销售与收款循环涉及认定所识别的重大错报风险均列示为低，存在前后矛盾；在项目组讨论纪要——风险评估底稿中反映将收入的发生识别为重大错报风险，但在风险评估结果汇总表中识别的重大错报风险与项目组讨论纪要——风险评估底稿中的记录并不一致；在风险评估结果汇总表中，将收入发生识别为重大错报风险，并且识别为特别风险，但是在“特别风险应对措施及结果汇总表”中却为空白，并且在“对重要账户和交易采取的进一步审计程序方案（计划矩阵）”表中，与收入循环相关的重大错报风险水平反映为低，“是否为特别风险”反映为“否”；识别的重大错报风险汇总表中将“收入的发生”识别为认定层次的重大错报风险，在“财务报表层次风险应对方案表”又将该认定识别为报表层次重大错报风险；在风险评估结果汇总表中记录被审计单位因签订对赌协议存在业绩压力可能存在舞弊风险，属于报表层次风险，但在针对评估出的报表层次重大错报风险应对措施及审计方案中，报表层次重大错报风险评估为无。

（四）对审计名词概念模糊

1、将“账户”“交易”“认定”混为一谈。

在涉及风险评估结果时，应将某账户的某一方面认定识别为高风险，而有的执业人员将某循环定为高风险，将一个账户的所有认定都评估为高风险。如，如果在风险评估过程中了解到，管理层要完成考核指标，单位要实现IPO目的，为获取外部融资，存在着高估收入的动机或压力，应将发生认定识别为高风险，而完整性认定则应识别为低风险。相反，如果管理层有隐瞒收入而降低税负的动机，则可能存在少计收入或延迟确认收入的动机，则发生认定应对应识别为低风险，而完整性认定对应识别为高风险。

2、混淆穿行测试和控制测试的概念

穿行测试是通过分析业务发生的过程，关注每一个流程是否异常；控制测试则是关注业务关键控制点的控制是否存在，控制效果如何。前者关注整个业务流程，后者关注一个或几个关键控制点。在风险评估审计程序中，部分执业人员将穿行测试和控制测试混为一谈，误认为实施了穿行测试就是实施了控制测试，或者认为实施控制测试就不需要实施穿行测试。