审计由厚到薄各章相关知识点总结(六)

第九章
风险评估概述对风险评估的总体要求
1、了解被审计单位及其环境。
2、识别和评估重大错报风险。
3、设计和实施进一步程序。
了解被审计单位及其环境能为注册会计师在下列关键环节作出职业判断提供重要基础：
（1）确定重要性水平，并随着审计工作的进程评估对重要性水平的判断是否仍然适当；
（2）考虑会计政策的选择和运用是否恰当，以及财务报表的列报是否适当；
（3）识别需要特别考虑的领域；
（4）确定在实施分析程序时所使用的预期值；
（5）设计和实施进一步审计程序，以将审计风险降至可接受的低水平；
（6）评价所获取审计证据的充分性和适当性。
了解被审计单位及其环境是一个连续和动态的过程。
了解的程度是否恰当，关键看注册会计师对被审计单位及其环境的了解是否足以识别和评估财务报表的重大错报风险。（低于管理层的了解程度）

风险评估程序、信息来源以及项目组内部的讨论
一、风险评估程序和信息来源
（一）风险评估程序
（1）询问被审计单位管理层和内部其他相关人员。
（2）分析程序；
（3）观察和检查
1、询问被审计单位管理层和内部其他相关人员
注册会计师可以考虑向管理层和财务负责人询问下列事项：
（1）管理层所关注的主要问题。
（2）被审计单位最近的财务状况、经营成果和现金流量。
（3）可能影响财务报告的交易和事项，或者目前发生的重大会计处理问题。
（4）被审计单位发生的其他重要变化。
除此之外，注册会计师还应当考虑询问以下各类人员，以获取对识别重大错报风险有用的信息：
（1）询问治理层，有助于注册会计师理解财务报表编制的环境；
（2）询问内部审计人员，有助于注册会计师了解其针对被审计单位内部控制设计和运行有效性而实施的工作，以及管理层对内部审计发现的问题是否采取适当的措施；
（3）询问参与生成、处理或记录复杂或异常交易的员工，有助于注册会计师评估被审计单位选择和运用某项会计政策的适当性；
（4）询问内部法律顾问，有助于注册会计师了解有关法律法规的遵循情况、产品保证和售后责任、与业务合作伙伴（如合营企业）的安排、合同条款的含义以及诉讼情况等；
（5）询问营销或销售人员，有助于注册会计师了解被审计单位的营销策略及其变化、销售趋势以及与客户的合同安排；
（6）询问采购人员和生产人员，有助于注册会计师了解被审计单位的原材料采购和产品生产等情况；
（7）询问仓库人员，有助于注册会计师了解原材料、产成品等存货的进出、保管和盘点等情况。
2、实施分析程序
如果使用了高度汇总的数据，实施分析程序的结果仅可能初步显示财务报表存在重大错报风险，注册会计师应当将分析结果连同识别重大错报风险时获取的其他信息一并考虑。
3、观察和检查
观察被审计单位的生产经营活动
检查文件、记录和内部控制手册
阅读由管理层和治理层编制的报告
实地查看被审计单位的生产经营场所和设备
追踪交易在财务报告信息系统中的处理过程（穿行测试）
（二）其他审计程序和信息来源
询问被审计单位聘请的外部法律顾问、专业评估师、投资顾问和财务顾问等。

二、项目组内部的讨论
（一）讨论的目标：了解在各自分工负责的领域中，由于舞弊或错误导致财务报表重大错报的可能性，并了解各自实施审计程序的结果如何影响审计的其他方面，包括对确定进一步审计程序的性质、时间和范围的影响；

（二）讨论的内容：项目组应当讨论被审计单位面临的经营风险、财务报表容易发生错报的领域以及发生错报的方式。特别是由于舞弊导致重大错报的可能性；
（三）参与讨论的人员：项目组的关键成员应当参与讨论，如果项目组需要拥有信息技术或其他特殊技能的专家，这些专家也应参与讨论；
（四）讨论的时间和方式：在整个审计过程中持续交换有关财务报表发生重大错报可能性的信息；项目组在讨论时应当强调在整个审计过程中保持职业怀疑态度，警惕可能发生重大错报的迹象，并对这些迹象进行严格追踪
了解被审计单位及其环境
一、总体要求
注册会计师应当从下列方面了解被审计单位及其环境：
（1）行业状况、法律环境与监管环境以及其他外部因素；
（2）被审计单位的性质；
（3）被审计单位对会计政策的选择和运用；
（4）被审计单位的目标、战略以及相关经营风险；
（5）被审计单位财务业绩的衡量和评价；
（6）被审计单位的内部控制。
二、行业状况、法律环境与监管环境以及其他外部因素
（一）行业状况
注册会计师应当了解被审计单位的行业状况，主要包括:
（1）所处行业的市场供求与竞争；
（2）生产经营的季节性和周期性；
（3）产品生产技术的变化；
（4）能源供应与成本；
（5）行业的关键指标和统计数据。
（二）法律环境及监管环境
注册会计师应当了解被审计单位所处的法律环境及监管环境，主要包括：
（1）适用的会计准则、会计制度和行业特定惯例；
（2）对经营活动产生重大影响的法律法规及监管活动；
（3）对开展业务产生重大影响的政府政策，包括货币、财政、税收和贸易等政策；
（4）与被审计单位所处行业和所从事经营活动相关的环保要求。
（三）其他外部因素
（1）宏观经济的景气度；
（2）利率和资金供求状况；
（3）通货膨胀水平及币值变动；
（4）国际经济环境和汇率变动。
（四）了解的重点和程度
1、CPA对行业状况、法律环境与监管环境以及其他外部因素了解的范围和程度会因为被审计单位所处行业、规模以及其他因素的不同而不同。
2、CPA应当考虑了解的重点放在对被审计单位的经营活动可能产生重要影响的关键外部因素以及与前期相比发生的重大变化上。
3、CPA应当考虑被审计单位所在行业的业务性质或监管程度是否可能导致特定的重大错报风险，考虑项目组是否配备了具有相关知识和经验的成员。
三、被审计单位的性质
（一）所有权结构：对被审计单位所有权结构的了解有助于CPA识别关联方关系并了解被审计单位的决策过程。
（二）治理结构：良好的智力结构可以对被审计单位的经营和财务运做实施有效的监督，从而降低财务报表发生重大错报风险
（三）组织结构：CPA应当了解被审计单位的组织结构，考虑复杂的组织结构导致的重大错报风险，包括财务报表合并、商誉减值以及长期股权投资核算等问题
（四）经营活动：了解被审计单位经营活动有助于CPA识别预期在财务报表中反映的主要交易类别、重要帐户余额和列报。
—主营业务的性质
　　－与生产产品或提供劳务相关的市场信息
　　－业务的开展情况
　　－联盟、合营与外包情况
　　－从事电子商务的情况
　　－地区与行业分布
　　－生产设施、仓库的地理位置及办公地点
　　－关键客户
　　－重要供应商
　　－劳动用工情况
　　－研究与开发活动及其支出
　　－关联方交易
（五）投资活动：了解被审计单位投资活动有助于CPA关注被审计单位在经营策略和方向上的重大变化
－近期拟实施或已实施的并购活动与资产处置情况
　　－证券投资、委托贷款的发生与处置
　　－资本性投资活动，包括固定资产和无形资产投资，以及近期或计划发生的变动
　　－不纳入合并范围的投资
（六）筹资活动：了解被审计单位筹资活动有助于CPA评估被审计单位在融资方面的压力。并进一步考虑被审计单位在可预见未来的持续经营能力。

－债务结构和相关条款，包括担保情况及表外融资
　　－固定资产的租赁
　　－关联方融资
　　－实际受益股东
　　－衍生金融工具的运用
四、被审计单位对会计政策的选择和运用
（一）重要项目的会计政策和行业惯例
重要项目的会计政策包括收入确认方法，存货的计价方法，投资的核算，固定资产的折旧方法，坏账准备、存货跌价准备和其他资产减值准备的确定，借款费用资本化方法，合并财务报表的编制方法等
（二）重大的异常交易的会计处理方法
（三）在新领域和缺乏权威性标准或共识的领域，采用重要会计政策产生的影响
（四）会计政策的变更
（五）被审计单位何时采用以及如何采用新颁布的会计准则和相关会计制度
五、被审计单位的目标、战略以及相关经营风险
经营风险源于对被审计单位实现目标和战略产生不利影响的重大情况、事项、环境和行动，或源于不恰当的目标和战略。
不能随环境变化而做出相应的调整固然可能产生经营风险。但是调整的过程也可能导致经营风险。
（一）CPA应当了解被审计单位是否存在与下列方面有关的目标和战略，并考虑相应的经营风险：
－行业发展
　　－开发新产品或提供新服务
　　－业务扩张
　　－新颁布的会计法规
　　－监管要求
　　－本期及未来的融资条件
　　－信息技术的运用
（二）经营风险对重大错报风险的影响
经营风险与重大错报风险多数经营风险最终都会产生财务后果，从而影响财务报表。但并非所有经营风险都会导致重大错报风险。经营风险可能对各类交易、账产余额以及列报认定层次或财务报表层次产生直接影响。
六、被审计单位财务业绩的衡量和评价
（一）了解的主要方面
（1）关键业绩指标；
（2）业绩趋势
（3）预测、预算和差异分析；
（4）管理层和员工业绩考核与激励性报酬政策；
（5）分部信息与不同层次部门的业绩报告；
（6）与竞争对手的业绩比较；
（7）外部机构提出的报告。
了解被审计单位的内部控制
一、内部控制的含义和要素
含义：指被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计和执行的政策和程序
1、内部控制的目标是合理保证：
（1）财务报告的可靠性，
（2）经营的效率和效果
（3）在所有经营活动中遵守法律法规的要求；
2、设计和实施内部控制的责任主体是治理层、管理层和其他人员，组织中的每一个人都对内部控制负有责任；
3、实现内部控制目标的手段是设计和执行控制政策和程序。
内部控制的要素：
（1）控制环境；
（2）风险评估过程；
（3）信息系统与沟通；
（4）控制活动；
（5）对控制的监督。
二、与审计相关的控制
1、为实现财务报告可靠性目标设计和实施的控制。
2、其他与审计相关的控制。
三、对内部控制了解的深度
评价控制的设计，并确定其是否得到执行，但不包括对控制是否得到一贯执行的测试。
（一）评价控制的设计
了解的程度比较浅，再深入就是控制测试了。
（二）获取控制设计和执行的审计证据
（1）询问被审计单位的人员；
（2）观察特定控制的运用；
（3）检查文件和报告；
（4）追踪交易在财务报告信息系统中的处理过程（穿行测试）。
四、内部控制的人工和自动化成分
（一）考虑内部控制的人工和自动化特征及其影响
（二）信息技术的优势及相关内部控制风险
信息技术可能对内部控制产生特定风险：
（1）统或程序未能正确处理数据，或处理了不正确的数据，或两种情况同时并存；
（2）在未得到授权情况下访问数据,可能导致数据的毁损或对数据不恰当的修改，包括记录未经授权或不存在的交易，或不正确地记录了交易；
（3）信息技术人员可能获得超越其履行职责以外的数据访问权限，破坏了系统应有的职责分工；
（4）未经授权改变主文档的数据；
（5）未经授权改变系统或程序；
（6）未能对系统或程序作出必要的修改；
（7）不恰当的人为干预；
（8）数据丢失的风险或不能访问所需要的数据。
（三）人工控制的适用范围及相关内部控制风险
风险：
（1）人工控制可能更容易被规避、忽视或凌驾；
（2）人工控制可能不具有一贯性；
（3）人工控制可能更容易产生简单错误或失误。
人工控制在下列情形中可能是不适当的：
（1）存在大量或重复发生的交易；
（2）事先可预见的错误能够通过自动化控制得以防范或发现；
（3）控制活动可得到适当设计和自动化处理。
五、内部控制的局限性
内部控制的固有局限性：
1、在决策时人为判断可能出现错误和由于人为失误而导致内部控制失效；
2、可能由于两个或更多的人员进行串通或管理层凌驾于内部控制之上而被规避；
3、行使控制职能的人员素质不适应岗位要求；
4、被审计单位实施内部控制的成本效益问题；
5、内部控制一般都是针对经常而重复发生的业务而设置的，如果出现不经常发生或未预计到的业务，原有控制就可能不适用。
六、控制环境
（一）控制环境的含义
控制环境包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、认识和措施。
（二）对诚信和道德价值观念的沟通与落实
（三）对胜任能力的重视
（四）治理层的参与程度
（五）管理层的理念和经营风格
（六）组织结构及职权与责任的分配
（七）人力资源政策与实务
控制环境本身并不能防止或发现并纠正各类交易、账户余额、列报认定层次的重大错报，注册会计师在评估重大错报风险时，应当将控制环境连同其他内部控制要素产生的影响一并考虑。
七、被审计单位的风险评估过程
管理层应当确定可以承受的风险水平，识别这些风险并采取一定的应对措施。
可能产生风险的事项和情形包括：
（1）监管及经营环境的变化；
（2）新员工的加入；
（3）新信息系统的使用或对原系统进行升级；
（4）业务快速发展；
（5）新技术；
（6）新生产型号、产品和业务活动；
（7）企业重组；
（8）发展海外经营；
（9）新的会计准则。
注册会计师在对被审计单位整体层面的风险评估过程进行了解和评估时，考虑的主要因素包括：－被审计单位是否已建立和沟通其整体目标，并辅以具体策略和业务流程和层面的计划
　　－被审计单位是否已建立风险评估过程，包括识别风险，估计风险的重大性，评估风险发生的可能性，以及确定需要采取的措施
　　－被审计单位是否已建立某种机制，来预计、识别和应对可能会被审计单位产生重大的普遍影响的变化
　　－会计部门是否建立了某种流程来识别相关部门发布的会计准则等的重大变化
　　－当被审计单位业务操作发生变化影响交易记录的流程时，是否存在沟通渠道来通知会计部门
　　－风险管理部门是否建立了某种流程来识别经营环境发生的重大变化
八、信息系统与沟通
（一）与财务报告相关的信息系统的含义
理想的信息系统的特征：
（1）识别与记录所有的有效交易；
（2）及时、详细地描述交易，以便在财务报告中对交易做出恰当分类；
（3）恰当计量交易，以便在财务报告中对交易的金额做出准确记录；
（4）恰当确定交易生成的会计期间；
（5）在财务报表中恰当列报交易。
（二）对与财务报告相关的信息系统的了解
1、在被审计单位经营过程中，对财务报表具有重大影响的各类交易。
2、在信息技术和人工系统中，交易生成、记录、处理和报告的程序。
3、与交易生成、记录、处理和报告有关的会计记录、支持性信息和财务报表中的特定项目。
4、信息系统如何获取除各类交易之外的对财务报表具有重大影响的事项和情况的信息。
5、被审计单位编制财务报告的过程，包括做出的重大会计估计和披露。
6、管理层凌驾于账户记录控制之上的风险。
九、控制活动
（一）相关的控制活动的含义
控制活动是指有助于确保管理层的指令得以执行的政策和程序。包括与授权、业绩评价、信息处理、实物控制和职责分离等相关的活动。
1、授权
2、业绩评价
3、信息处理
4、实物控制
5、职责分离
（二）对控制活动的了解
(1)被审计单位的主要经营活动是否都有必要的控制政策和程序；
(2)管理层在预算、利润和其他财务和经营业绩方面是否都有清晰的目标，在被审计单位内部，是否对这些目标加以清晰的记录和沟通，并且积极地对其进行监控；
(3)是否存在计划和报告系统，以识别与目标业绩的差异，并向适当层次的管理层报告该差异；
(4)是否由适当层次的管理层对差异进行调查，并及时采取适当的纠正措施；
(5)不同人员的职责应在何种程度上相分离，以降低舞弊和不当行为发生的风险；
(6)会计系统中的数据是否与实物资产定期核对；
(7)是否建立了适当的保护措施，以防止未经授权接触文件、记录和资产；
(8)是否存在信息安全职能部门负责监控信息安全政策和程序。
十、对控制的监督
指被审计单位评价内部控制在一段时间内运行有效性的过程，该过程包括及时评价控制的设计和运行以及根据情况的变化采取必要的纠正措施。
CPA在对被审计单位整体层面的监督进行了解和评估时，考虑的主要因素包括：
1、
被审计单位是否定期评价内部控制
2、
审计单位人员在履行正常职责时能够在多大程度上获得内部控制是否有效运行的证据
3、
与外部的沟通能够在多大程度上证实内部产生的信息或者指出存在的问题
4、
管理层是否采纳内部审计人员和CPA有关内部控制的建议
5、
管理层根据监管机构的报告及建议是否即使采取纠正措施
6、
管理层是否及时纠正控制运行中的 偏差
7、
是否存在协助管理层监督内部控制的职能部门。
十一、在整体层面对内部控制了解和评估的总结
通常由项目组中对被审计单位情况比较了解且较有经验的成员负责。
了解内部控制是否得到执行。
十二、在业务流程层面了解内部控制
确定被审计单位财务报表中可能存在重大错报风险的重大账户及其相关认定的步骤：
（1）确定被审计单位的重要业务流程和重要交易类别；
（2）了解重要交易流程，并记录获得的了解；
（3）确定可能发生错报的环节；

控制目标

解释

1.完整性：所有的有效交易都已记录

必须有程序确保没有漏记实际发生的交易。

2.存在和发生：每项已记录的交易均真实

必须有程序确保会计记录中没有虚构的或重复入账的项目。

3.适当计量交易

必须有程序确保交易以适当的金额入账。

4.恰当确定交易生成的会计期间（截止性）

必须有程序确保交易在适当的会计期间内入账（如，月、季度、年等）。

5.恰当分类

必须有程序确保将交易记入正确的部分类账，必要时，记入相应的明细账内。

6.汇总和过账

必须有程序确保所有作为财务记录中的供货方余额都正确地归集（加总）。确保加总后的金融正确过入总账，必要时，过入明细分类账

控制目标是否达到的问题

有关认定

怎样确保没有记录虚构或重复的销售？
怎样确保所有的销售和收款均已记录？
怎样保证货物运送给正确的收货人？
怎样保证发货单据只有在实际发货时才开具？
怎样保证发票正确反映了发货的数量？

发生
完整性
发生
发生
准确性

（4）识别和了解相关控制；

预防性控制

检查性控制
预防性控制示例　　

对控制的描述

设计控制用来防止的错报

·生成收货报告的计算机程序，同时也更新采购情况档案

·防止出现购货漏记账的情况

·在更新采购情况档案之前必须先有收货报告

·防止记录了未收到的购货的情况

·销货发票上的价格根据价格信息档案上的信息确定

·防止对销货不正确的计价

·计算机将各凭证上的账户号码与会计科目表对比，然后进行一系列的逻辑测试

·防止出现分类错报

检查性控制示例

对控制的描述

设计控制预计查也的错报

·定期编制银行调节表，跟踪调查挂账的项目

·在对其他项目进行审核的同时，查找存入银行但没有记入日记账的现金收入，未记录的现金支付或虚构入账的不真实的现金收入或支付，未及时入账或未正确汇总分类现金收入或支付

·将预算与实际费用间的差异列入计算机编制的报告中并由部门经理复核。记录所有超过预算2%的差异情况和解决措施

·在对其他项目进行审核的同时，查找本月发生的重大分类错报或没有记录及没有发生的大笔收入、支出以及相关联的资产和负债项目

对控制的描述

设计控制预计查也的错报

·计算机每天比较运出货物的数量和开票数量，如果发现差异，产生报告，由开票主管复核和遍查

·查找没有开票和记录的出库货物，以及与真实发货无关的发票

·每季度复核应收账款货方余额并找出原因

·查找没有记录的发票和销售与现金收入中的分类错误

（5）执行穿行测试，证实对交易流程和相关控制的了解；
　穿行测试：追踪交易通过与财务报告相关的信息系统的过程
　执行穿行测试可获得下列方面的证据：
　　－确认对业务流程的了解
　　－确认对重要交易的了解是完整的，在流程中所有与财务报表认定相关的可能发生错报的环节都已识别
　　－确认所获得的有关流程中的预防性和检查性控制信息的准确性
　　－评估控制设计的有效性
　　－确认控制实际是否得到执行并正常运行
　　－确认之前所作的书面记录的准确性
（6）进行初步评价和风险评估。
评价控制的设计并确定其是否得到执行
　1、对控制的初步评价
　　－内部控制本身的设计可以单独或连同其他控制能够有效防止或发现并纠正重大错报，并得到执行。
　　－控制本身的设计是合理的，但没有得到执行。
　　－控制本身的设计无效或缺乏必要的控制。
　2、风险评估需考虑的因素

帐户特征及已识别的重大错报风险，识别的重大错报风险水平为高，则相关的控制应有较高的敏感度

对被审计单位整体层面控制的评价。CPA应将对整体层面获得的了解和结论，同在业务流程层面获得的有关重大交易流程及其控制的证据结合起来考虑。在评价业务流程层面的控制要素时，考虑的影响因素可能包括：
　·管理层及执行控制的员工表现出来的胜任能力及诚信，员工受监督的程度及员工流动的频繁程度
　·管理层凌驾于控制之上的潜在可能性
　·缺乏职责划分
　·所内内部审计人员或其他监督人员测试控制动作的程度
　·业务流程变更所产生的的影响

·被审计单位本身的风险评估过程针对某控制所识别的风险，以及对于该控制是否有进一步的监督
　　3、评价决策
　　·根据以上的考虑因素，控制本身的设计是否有效？
　　·控制是否得到执行？
　　·是否更多地依赖控制并进一步测试控制
（7）对财务报告流程的了解和评估
　　财务报告流程：有关信息从具体交易的业务流程到总账和财务报表以及相关列报和披露的流程，这一流程与财务报表的列报认定直接有关
　
财务报告流程包括：
　　
－将业务加总记入总账的程序，即如何将重要业务流程的信息与总账和财务报告系统相连接的过程
　　
－在总账中产生、授权、记录和处理记账分录的程序
　　
－其他用于记录财务报常规和非常规调整的程序，例如合并调整，报告汇总、重分类等
　　
－用于起草财务报表和相关披露的程序