根据原美国安达信公司专业人士, Paul Sobel, 在其于2003年所著的<ating auditing and ERM>> 一书中的概括,  现代审计方法在过去五十年中经历了四大阶段，其分别是：<BR>控制基础审计（Control-based audit）<BR>流程基础审计（又称经营审计）（Process-based audit）<BR>风险基础审计（又称风险导向审计）（Risk-based audit）<BR>风险管理基础审计, 又称风险管理审计（Risk-management based audit）<BR><BR>以下我们分别就以上四个阶段审计的演变作简单的介绍。<BR><BR>（一）控制基础审计（control-based audit）<BR><BR>控制基础审计包括传统审计，主要盛行于二十世纪八十年代之前，主要是指以传统的实质性测试为主，基于其验证结果以使财务报表得以合理的确保（Reasonable A<BR>ssurance ）不会出现重大误导。后来又扩展到内部审计，以达到以下三种目的之一：<BR><BR>1、经过验证确保企业经营行为遵循法律、法规、既定政策及原则方面的要求，该方法至今仍被广为采用，通常称为合规性审计（compliance audit）。需要注<BR>意的是，这里所指的合规性不仅仅包括对法律法规的遵循，还包括对公司现有政策、程序、业务规则的符合。<BR>2、进行某些报表数据的审计，（financial audit），类似于外部审计，只是其范围较窄，仅仅是基于审计工作对某些具体科目或财务数据，而不是对整体财务<BR>报表提供合理的确保。<BR>3、进行验证确保某些关键性控制措施运作有效，其审计重点是控制本身而非财务数据，因此又通常被业界称为控制审计（control audit），交易流程审计（tr<BR>ansaction flow audit）或程序审计（procedural audit）。<BR><BR>控制基础审计主要有以下特点：<BR><BR>审计目标：确保合规性（包括符合法律、法规、程序、政策以及公认会计准则等）；<BR>审计策略：了解规定或准则的要求，实施审计行为以确保合规性；<BR>测试方法：广泛采用统计抽样分析及实质性程序，虽然也会运用某些合规性测试方法（compliance testing），如穿行测试（walk-t<BR>hrough testing）；<BR>审计建议书：主要针对不符合要求的例外事项或错识提出改进/纠正措施；<BR><BR>控制基础审计至今仍然被广泛采用，而且由于该审计方法成熟度较高，且其审计方法在取证记录方面十分有效，因此目前其他不同的审计方法依然保留有控制基础审计的特征。<BR><BR>（二）流程基础审计（process-based audit）<BR><BR>流程基础审计又称为经营审计（operational  audit）在二十世纪八十年度开始流行起来，主要被各大跨国公司的内审部门广为采用，而外部审计公司（当时<BR>的国际八大会计公司）也将该方法结合到财务报表审计之中去。<BR><BR>虽然控制基础审计在八十年代仍然广泛运用，但审计界已经开始关注对企业关键性流程的设计，效率及效果进行评价，并在计价过程中参照流程最佳业务实践（Best pra<BR>ctice）进行标杆分析（Benchmark analysis）,这就导致控制基础审计向流程基础审计转型。流程基础审计主要有以下特点：<BR><BR>•审计目标：确定所审流程实现其具体运作目标（specific operational objectives）的有效性（效率及效果）；<BR><BR>•审计策略：在识别关键业务流程并了解其具体运作目标，并研究行业最佳业务实践基础上，确定流程在实现该等目标方面当前运作之有效性；<BR><BR>•测试方法：最典型的是采用咨询式的方式将流程与最佳业务实践进行缺口分析（Gap analysis），并辅助运用符合性测试方法评价流程运作；<BR><BR>•管理建议书：识别流程缺口所在，并指出该缺口对流程实现其设定目标的影响。<BR><BR>同传统的控制基础审计相比，流程基础审计为审计师提供了更大的创造性思维的方法，同时也提升了审计的增值功能。然而由于流程基础审计并没有直接关注那些主要审计责任所<BR>指定的合规性，财务报表公允性及内控有效性的领域，因此，业界一般是更多地运用流程审计进行审计计划的制定工作，而绝大多数的审计工作其他阶段仍然大量采用控制基础审计<BR>方法。<BR><BR>（三）风险基础审计（Risk based audit）<BR><BR>作为现代审计演变的第三阶段，风险基础审计在二十世纪九十年代得以发展并在各大国际会计公司全球范围内开始陆续推广。该方法的产生背景是九十年代初期各大国际会计公司<BR>开始日益注重咨询业务，尤其以安达信为最，其安达信咨询部门自从一九八九年独立运作以来到一九九九年从安达信正式脱离其年业务收入从十几亿美元上升到近百亿美元，毕马威<BR>, 普华永道等其他五大会计公司的咨询业务年收入也都到达几十亿美元以上。因此，当时的六大会计公司开发出新的审计模式更注重于其为客户创造价值的商业模式的成功运作。<BR>风险基础审计就为其咨询业务提供了全方位的卖点。在基于对被审单位业务及业务风险了解的基础上，审计师可以有效地减少不必要的审计范围以集中审计资源关注高风险领域，并<BR>由此，审计业界发现该审计模式可以向企业管理层在风险控制活动方面提供更多的保障。该审计方法的主要特点是：<BR><BR>审计目标：确定企业面临的主要经营风险并评估现有控制措施和程序是为何有效地将风险降低至可接受水平，即剩余风险；<BR>审计策略：了解企业业务，识别并评价风险控制措施，并评价现有措施如何将风险降至可接受水平，而对于非主要风险的控制措施则不予评估；<BR>测试方法：典型地是将实质性测试和符合性测试相结合，控制基础和流程基础模式下的审计测试方法仍然被广泛使用，只是测试工作只注重于所识别的关键风险<BR>领域；<BR>管理建议：针对关键性风险的例外事项和错误提出若不将其有效地降至可接受水平的潜在影响。<BR><BR>风险基础审计提升了审计功能在企业组织架构中的价值地位，因此审计业界开始运用风险基础审计方法判断应选择哪些项目以及如何实施该项目。该方法因此为企业管理层在确保<BR>审计资源分配方面提供了有力的保障。风险基础审计并不排斥制度基础审计和流程基础审计，只不过是对所关注的风险点实施具体审计程序。<BR><BR>（四）风险管理基础审计（Risk management based audit）<BR><BR>从二十世纪九十年代后期开始，随着新经济所带来的全球化， 电子商务， 企业组织结构虚拟化， 集约化，专业化及扁平化矩阵式等商业特征， 许多跨国公司开始实施新的<BR>企业整体风险管理方法（本书将在第二部份详细介绍该方法）。审计行业所采用的风险基础审计虽然也同样关注到企业管理层在新的风险管理方法下的某些风险概念或风险领域，然<BR>而并未完全函概该领域。为与企业整体风险管理模式相适应，因此第四代审计模式即风险管理审计应运而生。<BR><BR>风险管理审计可以说是风险基础审计的一种延伸，其基本吸收了风险审计各种特点，只是在此基础上扩大审计关注点到企业的主要战略目标（key business obj<BR>ectives），管理层对风险的容忍度，主要风险评价指标以及企业绩效评价分析等涉现代企业整体风险管理领域的多方位角度。而且风险管理审计已经开始关注为实现企业战<BR>略目标应如何进行风险优化（optimizing key risk）如企业对哪些固有风险可以实行避免，转移或接受并予以控制的风险管理策略。因此，对企业而言，风险<BR>管理审计本身已经成为企业整体风险管理的重要组成要素。而对财务报表审计而言，以风险管理为基础的审计在兼容风险基础审计，控制基础审计及流程基础审计优势的基础上，更<BR>有效地识别出固有风险，继而实施控制风险及检查风险的审计程序，从而使企业财务报表风险作为企业整体风险的子集（后者与前者是全集和子集的关系）一道位于可接受水平。<BR><BR>风险管理基础审计的特点包括：<BR><BR>审计目标：确定企业战略目标，风险管理策略及相应的经营风险（固有风险）并评价企业是如何实施风险管理有效性从而实现企业目标；<BR>审计策略：<BR>—了解企业战略，经营及价值目标，以及经营行为。<BR>—识别实现该目标以及其经营行为的主要固有风险。<BR>—了解企业的风险管理策略及风险管理措施。<BR>—评价企业的风险管理措施在将风险降至可接受水平方面的有效性。<BR>—关注风险管理有效性缺口。<BR>测试方法：实质性测试与符合性测试相结合，其运用取决于企业风险管理之有效性。<BR>管理建议：针对每个所识别出的关键风险所存在的风险管理缺口。<BR><BR>风险管理审计吸收了其他审计模式的优点，同时又关注到企业的战略、绩效等整体风险管理有效性，其不仅考虑到审计师可接受的剩余审计风险，更是从审计固有风险源头，即企<BR>业管理层所进行的风险管理活动的角度识别并评价风险，从而才能更一步地从审计师及企业管理层双角度确保审计资源的分配及审计之有效性。<BR><BR>以上初步介绍了现代审计的演变过程。从上述的分析可以看出，不论是哪一种审计模式，其并不互相排斥，而是互相兼容，只是各有侧重。同时我们也看到，实质性测试（包括详<BR>细测试）及符合性测试仅仅只是作为最基本的具体方法而已。也就因为如此，在以上四个阶段的审计模式中，该等方法仍被广泛采用，只是何时采用，如何采用，则要取决于审计模<BR>式所涉及的审计目标，策略等等。<BR><BR>现代审计是一门开放性，具有相当创造性的管理科学，进行有效的审计并不是把审计准则所规定的程序照样地实施一遍，程序只是具体的手段和方式，审计有效性的关键是运用先<BR>进的理念和模式识别出固有风险，然后有的放矢的决定采用何种具体程序，从而才可能更好地把握控制风险检查风险以降低整体审计风险。国内现行的传统审计方法更多地是按照程<BR>序在把握检查风险，而对形成审计风险的真正风险源头——固有风险，即企业的经营风险，涉及甚少。现代企业的管理方法。组织架构、信息流程、全球化等等直接影响到固有风险<BR>从而影响到检查风险的高低，因此在很多情况下, 对现代企业进行审计如若按传统的审计方法, 不仅无法有效控制风险，同时可能会因为现代企业复杂的组织机构，流程设置及<BR>信息技术的广泛深入运用而无法着手实施审计。当然，对中小规模企业，可能因其复杂程度较低，传统审计方法较易实施，但正如前文所述，传统审计方法在识别固有风险方面缺乏<BR>有效性，而运用风险管理审计的理念和模式则有助于实现审计总体风险的有效管理。<BR><BR>国际会计公司在中国实施风险技术审计已有数年，并不断完善其风险技术审计实践经验。其所推广的风险技术审计理念或模式相类似，而且各自皆有独立开发的风险技术审计智能<BR>软件和具体方法以支撑该理念和模式，同时又将其方法同各国的审计准则要求相结合起来。<BR><BR>正如前文所述，风险管理审计可以说是风险管理审计的延伸，而风险基础审计则是在上世纪九十年代同咨询业的发展相辅相成的，其所隐含的审计理念和模式和咨询业是很类似的<BR>，正是因为其突破了传统审计只关注企业报表和帐目，而较少关注企业经营和风险控制这一局限，风险管理审计具有了更大的开放性和灵活性，其理念和模式不仅可以运用到财务报<BR>表审计，还可同时在以下领域发挥功能：<BR>企业内部风险控制管理和审计<BR>企业绩效评价和经营审计<BR>企业收购兼并过程中的财务尽职调查<BR>咨询公司或会计师事务所对企业进行流程诊断，开展咨询业务<BR><BR>（本文摘自近期由中国财经出版社出版的《现代企业风险管理审计》一书，作者为：卓继民，由作者授权本刊转载，题目由本刊编辑另加）风险导向审计网/WWW.ACRISK.COM<BR>