来源：《风险导向审计》

三、风险基础审计的内在缺陷及解决方法是风险导向审计产生的技术因素

根据对审计目标的重新认识，一项有效的审计计划应能使审计人员掌握财务报表中可能发生的差错，并鉴别可能发生的重大错误表述类型，查明潜在风险。仅仅内部控制制度的研究和评价，尚不足据以制定完善的符合上述审计目标的审计计划，审计人员的责任范围有必要扩大至整个内部控制结构的评价。内部控制结构的含义要比内部控制制度更广泛，它包括了对控制环境的评估，因而能更妥善计划并据以确定将实施测试的性质、时间和范围。内部控制结构的五要素是：控制环境、风险评估、控制活动、信息与沟通、内部监督。内部控制制度提及三要素，但显然控制环境、会计制度及其对审计计划的影响，描述甚少。它十分有限地要求审计人员获取关于控制环境和控制活动中交易流程的一般知识，不要求审计人员依靠对控制环境或风险评估的掌握来鉴别各种的可能错误表述。一旦企业高级主管人员串通舞弊，内部控制制度就失去了作用，内部控制制度的评价也失去了意义。再进一步的发展规律表明，内部控制的要素为：控制环境、监控、风险评估、控制活动、信息与沟通。把内部控制要素的概念引入到审计中来，在充分掌握企业内部控制要素的基础上，借助对内部控制的评估制订审计计划，可以比较正确地知道审计人员所应承担的风险，并在随后的实施过程中重点测试高风险的审计领域，确定应收集证据的质和量，并对此进行判定，通过对审计风险评估和财务报表的认定进行综合考虑，以形成审计意见的合理基础，能使审计更有成效，克服了制度基础审计的不足。另一方面，现代财务审计的一个显著特征是抽样审计。抽样审计就不可避免会有风险。即使是全面审查，由于审计人员的技能和客观条件的限制，审计风险也是存在的。审计职业界早就意识到了审计风险，但仅限于泛泛而谈，在如何结合应用到具体审计实施中，显得束手无策，特别是没有把风险和样本量的确定联系起来。制度基础审计虽然提供了一种有用的框架，但不直接处理审计风险问题。风险基础审计则通过审计风险模型，把风险量化，最终来决定抽样的样本量。特别是审计是一个系统的判断过程，形成审计意见的来源有多种渠道，例如对企业的了解，企业环境、历史，控制制度的评估，分析性检查和实质性测试等，在如何把他们有机地结合在一起，通过一种可接受的量化方法连接在一起，共同朝着一个目标前进，综合考虑各种程序对审计意见的影响，在这一方面，程序驱动审计是力不从心的，风险基础审计有着优人之处，它把所有审计过程都归结在一个审计模型上，审计程序的每一步骤的结论都会对审计意见有影响。把这些所有影响结合考虑，通过最终所愿承担的量化的审计风险反映出来，就可形成比较正确的审计意见。

风险基础审计要求审计人员更多地理解企业的经营，从而作出更为合理的判断。但是，审计准则没有形成一个系统化的思路，只是在提高审计人员的专业判断上达到一定的启示作用。内部控制本身具有的内向性的特点，但现代社会要求审计人员理解企业在社会经济环境中所面临的风险、对风险的控制和对财务报表的影响具有外向性的特点，这两者是相冲突的，单纯的依赖内部控制理论是无法达到社会的要求的。随着信息社会的到来，经济全球化和企业经营战略变得越来越复杂和相互依赖，原有的审计方法已经越来越难以适应社会环境的变化，需要新的审计方法。风险导向审计侧重于对整个企业的经营环境和经营过程的分析，并将客户置于社会经济体系中，分析其所面临的经营风险及对风险的控制措施，从而形成对财务报表的预期，根据预期对财务报表进行判断。

其次，在风险基础审计阶段，审计风险模型被分解为固有风险、控制风险和检查风险，但无论是在理论上，还是在实务中，都很难在固有风险和控制风险之间作出严格的区分，而且这三个风险之间并不是独立的，也不应该用数学公式的形式表示。因此，审计风险模型与其说是可运用的审计模式，还不如说只是一种指导审计人员进行职业判断的观念。实际上，固有风险和控制风险贯穿于整个企业的各个层次，而风险基础审计在企业层面仅需要评估固有风险，在账户与交易层面对固有风险和控制风险进行评估，从逻辑上看，有重大的缺陷。

最后，风险基础审计认为非抽样风险很重要，但并没有在审计风险模型中处理这一问题，而是假设可以通过恰当的计划、监督和质量控制机制将非抽样风险降低到可以忽略的水平。非抽样风险的来源之一为审计人员在判断审计证据的充分性和适当性时形成错误的可能性，从而导致对审计风险组成部分的较差分析。非抽样风险的其他来源包括对会计和审计准则的错误表述和不当运用，不能够充分地理解企业及其环境从而对审计风险的各个组成部分进行足够的分析，不能取得充分、适当的审计证据以应对审计风险的各个组成部分的初步分析。已有的研究表明，20世纪90年代后期开始发生的财务丑闻几乎都是在企业高级管理人员参与下进行的，非抽样风险的控制不当与没有发现的重大错报有直接的联系，审计人员必须关注非抽样风险。固有风险、控制风险和分析性程序风险的大小都是审计人员的主观判断，属于非抽样风险。对非抽样风险评估不足造成的后果是对管理舞弊无能为力。

因此，社会环境的强烈要求和职业“适者生存”的法则，使得审计职业意识到传统的风险基础审计关于基本目标应该保留，实质性测试程序也是适当的，只是指导实质性测试的方法需要根本性修正。