运用分析程序进行风险评估

　　在新审计准则下，审计师要养成分析性思考习惯。要以预期值为中心展开审计，对主营收入的分析，不能仅限于毛利率等简单的财务分析，更要从非财务信息中形成销售额及毛利率的预期值，这包括同业分析\竞争力分析等等，对任何交易\余额的审计都要做到心中有数。陈毓圭在”关于风险导向审计方法由来与发展的认识”一文中谈到: 
　　随着企业财务欺诈案的不断出现，国外一些会计师事务所在上世纪90 年代对传统风险导向审计方法进行了改进。改进后的风险导向审计方法具有以下特征：一是注重对被审计单位生存能力和经营计划进行分析，从宏观上把握审计面临的风险；二是注重运用分析性程序，以识别可能存在的重大错报风险; 三是在评价内部控制有效的情况下，减少对接近预期值的账户余额进行测试，注重对例外项目进行详细审计；四是扩大了审计证据的内涵。注册会计师形成审计结论所依据的证据不仅包括实施控制测试和实质性测试获取的证据，还包括了解企业及其环境获取的证据。

　　风险审计理念核心就是最大可能发现高风险审计领域并将主要精力投入到高风险审计领域，前者涉及风险评估，后者涉及风险应对。风险评估在传统审计中份量不高，应该加强;风险应对与传统审计相比，有加有减，对非核心审计领域，不进行测试或减少测试;对核心领域，可能要增加测试。之于全部审计工作量，风险审计不一定比传统审计高，笔者其实对内部控制审计对审计的质量和效率的提高一直是持怀疑态度的，所以一直对制度基础审计不以为然。

　　内控缺陷也可能导致重大错报，但要发现这种重大错报难度是非常高的;而且CPA最大敌人不是内控缺陷导致的重大错报，而是高管逾越内控操纵的重大错报。内控缺陷导郅重大错报概率要远远小于管理层逾越内控导致的重大错报，而且内控缺陷导到的错报如果CPA没有发现，更容易得到社会公众的理解，毕竟建立健全内控是管理层的责任。

　　而CPA假想敌不是职工，是管理层，所以CPA基本只对管理层操纵财务报表负责。安然丑闻发生后，带来了萨班斯404条款，要求CPA在出具财报审计报告时，同进出具内控审核意见。我认为这根本是开错了药，所以实务界意见很大，财务报告的内控缺陷不是导致财务丑闻发生的主导因素，管理层逾越内控才是元凶。

　　所以目前更多审计工作放在了解与测试内控上，笔者怀疑这与经营风险的识别\评估一样，与重大财报关联度不大，是事倍功半的审计模式。内控审核意见应属于其它鉴证业务，与审计是有质的区别的，它带有管理咨询特征，但与重大错报发生也有一定的关联，就象与经营风险一样，CPA在财报审计中只关注可能发生重大错报的内控缺陷。而不是了解与测试所有的内控，这个很无聊，CPA只关注与财报密切相关具有关键意义的控制点，而且在实务中，往往与细节测试结合进行，而不是单独对内控进行了解与测试。