第八章评估

第八章第八章 风险评估风险评估第一节第一节 风险评估程序、信息来源风险评估程序、信息来源 一、一、对风险评估的总体要求对风险评估的总体要求 中国注册会计师审计准则第中国注册会计师审计准则第1211号号了解了解被审计单位及其环境并评估重大错报风险被审计单位及其环境并评估重大错报风险规规定定注册会计师应当了解被审计单位及其环境，注册会计师应当了解被审计单位及其环境，以足够识别和评估财务报表重大错报风险，设以足够识别和评估财务报表重大错报风险，设计和实施进一步审计程序。计和实施进一步审计程序。二、风险评估程序和信息来源二、风险评估程序和信息来源(一一)风险评估程序风险评估程序为了解被审计单位及其环境而实施的程序称为为了解被审计单位及其环境而实施的程序称为“风风险评估程序险评估程序”。(1)询问被审计单位管理层和内部其他相关人员询问被审计单位管理层和内部其他相关人员(2)分析程序分析程序(3)观察和检查观察和检查风险评风险评估程序估程序 1、询问被审计单位管理层和内部其他相关人员、询问被审计单位管理层和内部其他相关人员(1)询问询问管理层管理层和和财务负责人财务负责人下列事项：下列事项：1）管理层所关注的主要问题管理层所关注的主要问题。如新的竞争对手、主要。如新的竞争对手、主要客户和供应商的流失、新的税收法规的实施以及经营客户和供应商的流失、新的税收法规的实施以及经营目标或战略的变化等。目标或战略的变化等。2）被审计单位最近的财务状况、经营成果和现金流量被审计单位最近的财务状况、经营成果和现金流量。3）可能影响财务报告的交易和事项，或者目前发生的可能影响财务报告的交易和事项，或者目前发生的重大会计处理问题。重大会计处理问题。如重大的购并事宜等。如重大的购并事宜等。4）被审计单位发生的其他重要变化被审计单位发生的其他重要变化。如所有权结构、。如所有权结构、组织结构的变化，以及内部控制的变化等。组织结构的变化，以及内部控制的变化等。(2)询问询问内部审计人员、采购人员、生产人员、销内部审计人员、采购人员、生产人员、销售人员等售人员等其他人员其他人员，并考虑询问不同级别的员工，并考虑询问不同级别的员工，以获取对识别重大错报风险有用的信息。以获取对识别重大错报风险有用的信息。1）询问治理层询问治理层，有助于注册会计师理解财务报表编，有助于注册会计师理解财务报表编制的环境；制的环境；2）询问内部审计人员询问内部审计人员，有助于注册会计师了解其针对，有助于注册会计师了解其针对被审计单位被审计单位内部控制设计内部控制设计和和运行有效性运行有效性而实施的工作，而实施的工作，以及管理层对内部审计发现的问题是否采取适当的措以及管理层对内部审计发现的问题是否采取适当的措施；施；3）询问参与生成、处理或记录复杂或异常交易的员询问参与生成、处理或记录复杂或异常交易的员工工，有助于注册会计师评估被审计单位选择和运用某，有助于注册会计师评估被审计单位选择和运用某项会计政策的适当性；项会计政策的适当性；4）询问内部法律顾问询问内部法律顾问，有助于注册会计师了解有关法，有助于注册会计师了解有关法律法规的遵循情况、产品保证和售后责任、与业务合律法规的遵循情况、产品保证和售后责任、与业务合作伙伴的安排（如合营企业）、合同条款的含义以及作伙伴的安排（如合营企业）、合同条款的含义以及诉讼情况等；诉讼情况等；5）询问营销或销售人员询问营销或销售人员，有助于注册会计师了解被审，有助于注册会计师了解被审计单位的营销策略及其变化、销售趋势以及与客户的计单位的营销策略及其变化、销售趋势以及与客户的合同安排；合同安排；6）询问采购人员和生产人员询问采购人员和生产人员，有助于注册会计师了解，有助于注册会计师了解被审计单位的原材料采购和产品生产等情况；被审计单位的原材料采购和产品生产等情况；7）询问仓库人员询问仓库人员，有助于注册会计师了解原材料、产，有助于注册会计师了解原材料、产成品等存货的进出、保管和盘点等情况。成品等存货的进出、保管和盘点等情况。2、实施分析程序、实施分析程序分析程序是指分析程序是指注册会计师通过研究不同财务数据注册会计师通过研究不同财务数据之间以及财务数据与非财务数据之间的内在关系，之间以及财务数据与非财务数据之间的内在关系，对财务信息作出评价。对财务信息作出评价。分析程序还包括分析程序还包括调查识别出的、与其他相关信息调查识别出的、与其他相关信息不一致或与预期数据严重偏离的波动和关系。不一致或与预期数据严重偏离的波动和关系。分析程序既可用作分析程序既可用作风险评估程序风险评估程序和和实质性程序实质性程序，也可用于对财务报表的也可用于对财务报表的总体复核总体复核。3、观察和检查、观察和检查（1）观察被审计单位的生产经营活动观察被审计单位的生产经营活动。例如，观察被审。例如，观察被审计单位人员正在从事的生产活动和内部控制活动，可以计单位人员正在从事的生产活动和内部控制活动，可以增加注册会计师对被审计单位人员如何进行生产经营活增加注册会计师对被审计单位人员如何进行生产经营活动及实施内部控制的了解。动及实施内部控制的了解。（2）实地察看实地察看被审计单位的生产经营场所和设备。被审计单位的生产经营场所和设备。（3）检查文件、记录和内部控制手册检查文件、记录和内部控制手册。例如，检查被审。例如，检查被审计单位的章程，与其他单位签订的合同、协议，各业务计单位的章程，与其他单位签订的合同、协议，各业务流程操作指引和内部控制手册等，了解被审计单位组织流程操作指引和内部控制手册等，了解被审计单位组织结构和内部控制制度的建立健全情况。结构和内部控制制度的建立健全情况。（4）阅读由管理层和治理层编制的报告阅读由管理层和治理层编制的报告。例如，阅读被。例如，阅读被审计单位年度和中期财务报告，股东大会、董事会会议、审计单位年度和中期财务报告，股东大会、董事会会议、高级管理层会议的会议记录或纪要。高级管理层会议的会议记录或纪要。（5）追踪交易在财务报告信息系统中的处理过程（）追踪交易在财务报告信息系统中的处理过程（穿行穿行测试测试）。）。三、其他程序和信息来源三、其他程序和信息来源询问询问被审计单位聘请的被审计单位聘请的外部外部法律顾问、专业评估法律顾问、专业评估师、投资顾问和财务顾问等。师、投资顾问和财务顾问等。阅读外部信息阅读外部信息。(财务分析师的报告、期刊杂志、财务分析师的报告、期刊杂志、出版物，行业报告和统计数据出版物，行业报告和统计数据)第二节第二节 了解被审计单位及其环境了解被审计单位及其环境 一、总体要求一、总体要求（1）行业状况、法律环境与监管环境以及其他外部）行业状况、法律环境与监管环境以及其他外部 因素因素（2）被审计单位的性质）被审计单位的性质（3）被审计单位对会计政策的选择和运用）被审计单位对会计政策的选择和运用（4）被审计单位的目标、战略以及相关经营风险）被审计单位的目标、战略以及相关经营风险（5）被审计单位财务业绩的衡量和评价）被审计单位财务业绩的衡量和评价（6）被审计单位的内部控制）被审计单位的内部控制 注册会注册会计师应计师应当从下当从下列方面列方面了解被了解被审计单审计单位及其位及其环境：环境：二、行业状况、法律环境与监管环境以及其二、行业状况、法律环境与监管环境以及其他外部因素他外部因素(一一)行业状况行业状况（1）所处行业的市场供求与竞争；）所处行业的市场供求与竞争；（2）生产经营的季节性和周期性；）生产经营的季节性和周期性；（3）产品生产技术的变化；）产品生产技术的变化；（4）能源供应与成本；）能源供应与成本；（5）行业的关键指标和统计数据。）行业的关键指标和统计数据。一般包括一般包括(二二)法律环境及监管环境法律环境及监管环境 注册会计师应当了解被审计单位所处的法律环境及注册会计师应当了解被审计单位所处的法律环境及监管环境，主要包括：监管环境，主要包括：（1）适用的）适用的会计准则会计准则、会计制度会计制度和和行业特定惯例行业特定惯例；（2）对经营活动产生重大影响的）对经营活动产生重大影响的法律法规法律法规及及监管活动监管活动；（3）对开展业务产生重大影响的）对开展业务产生重大影响的政府政策政府政策，包括，包括货币货币、财政、税收和贸易等政策财政、税收和贸易等政策；（4）与被审计单位所处行业和所从事经营活动相关的）与被审计单位所处行业和所从事经营活动相关的环环保要求保要求。(三三)其他外部因素其他外部因素注册会计师应当了解影响被审计单位经营的其他注册会计师应当了解影响被审计单位经营的其他外部因素，主要包括：外部因素，主要包括：（1）宏观经济的景气度；）宏观经济的景气度；（2）利率和资金供求状况；）利率和资金供求状况；（3）通货膨胀水平及币值变动；）通货膨胀水平及币值变动；（4）国际经济环境和汇率变动。）国际经济环境和汇率变动。三、被审计单位的性质三、被审计单位的性质(一一)所有权结构所有权结构注册会计师应当了解所有权结构以及所有者与其他人注册会计师应当了解所有权结构以及所有者与其他人员或单位之间的关系，考虑关联方关系是否已经得到员或单位之间的关系，考虑关联方关系是否已经得到识别，以及关联方交易是否得到恰当核算。识别，以及关联方交易是否得到恰当核算。(二二)治理结构治理结构注册会计师应当了解被审计单位的治理结构。例如，注册会计师应当了解被审计单位的治理结构。例如，董事会的构成情况、董事会内部是否有独立董事；治董事会的构成情况、董事会内部是否有独立董事；治理结构中是否设有审计委员会或监事会及其运作情况。理结构中是否设有审计委员会或监事会及其运作情况。良好的治理结构可以对被审计单位的经营和财务运作良好的治理结构可以对被审计单位的经营和财务运作实施有效的监督，从而降低财务报表发生重大错报的实施有效的监督，从而降低财务报表发生重大错报的风险。风险。(三三)组织结构组织结构注册会计师应当了解被审计单位的组织结构，考虑注册会计师应当了解被审计单位的组织结构，考虑复复杂组织结构可能导致的重大错报风险杂组织结构可能导致的重大错报风险，包括财务报表，包括财务报表合并、商誉摊销和减值、长期股权投资核算以及特殊合并、商誉摊销和减值、长期股权投资核算以及特殊目的实体核算等问题。目的实体核算等问题。(四四)经营活动经营活动了解被审计单位经营活动有助于注册会计师识别预期了解被审计单位经营活动有助于注册会计师识别预期在财务报表中反映的在财务报表中反映的主要交易类别主要交易类别、重要账户余额重要账户余额和和列报列报。注册会计师应当了解被审计单位的经营活动。注册会计师应当了解被审计单位的经营活动。主要包括：主要包括：（1）主营业务的性质）主营业务的性质（2）与生产产品或提供劳务相关的市场信息）与生产产品或提供劳务相关的市场信息（3）业务的开展情况）业务的开展情况（4）联盟、合营与外包情况）联盟、合营与外包情况（5）从事电子商务的情况）从事电子商务的情况（6）地区与行业分布）地区与行业分布（7）生产设施、仓库的地理位置及办公地点）生产设施、仓库的地理位置及办公地点（8）关键客户）关键客户（9）重要供应商）重要供应商（10）劳动用工情况）劳动用工情况（11）研究与开发活动及其支出）研究与开发活动及其支出（12）关联方交易）关联方交易 (五五)投资活动投资活动（1）近期拟实施或已实施的）近期拟实施或已实施的并购活动并购活动与与资产处资产处置置情况，包括业务重组或某些业务的终止。情况，包括业务重组或某些业务的终止。（2）证券投资、委托贷款证券投资、委托贷款的发生与处置。的发生与处置。（3）资本性投资活动资本性投资活动，包括固定资产和无形资，包括固定资产和无形资产投资，近期或计划发生的变动，以及重大的资产投资，近期或计划发生的变动，以及重大的资本承诺等。本承诺等。（4）不纳入合并范围的投资不纳入合并范围的投资。例如，联营、合。例如，联营、合营或其他投资，包括近期计划的投资项目。营或其他投资，包括近期计划的投资项目。(六六)筹资活动筹资活动（1）债务结构和相关条款，包括担保情况及表外融资债务结构和相关条款，包括担保情况及表外融资。例如，获得的信贷额度是否可以满足营运需要；得到的例如，获得的信贷额度是否可以满足营运需要；得到的融资条件及利率是否与竞争对手相似，如不相似，原因融资条件及利率是否与竞争对手相似，如不相似，原因何在；是否存在违反借款合同中限制性条款的情况；是何在；是否存在违反借款合同中限制性条款的情况；是否承受重大的汇率与利率风险。否承受重大的汇率与利率风险。（2）固定资产的租赁固定资产的租赁，包括通过融资租赁方式进行的筹，包括通过融资租赁方式进行的筹资活动。资活动。（3）关联方融资关联方融资。例如，关联方融资的特殊条款。例如，关联方融资的特殊条款。（4）实际受益股东实际受益股东。例如，实际受益股东是国内的，还。例如，实际受益股东是国内的，还是国外的，其商业声誉和经验可能对被审计单位产生的是国外的，其商业声誉和经验可能对被审计单位产生的影响。影响。（5）衍生金融工具的运用衍生金融工具的运用。例如，衍生金融工具是用于。例如，衍生金融工具是用于交易目的还是套期目的，以及运用的种类、范围和交易交易目的还是套期目的，以及运用的种类、范围和交易对手等。对手等。四、被审计单位对会计政策的选择和运用四、被审计单位对会计政策的选择和运用1、重要项目的会计政策和行业惯例、重要项目的会计政策和行业惯例2、重大和异常交易的会计处理方法、重大和异常交易的会计处理方法 P2923、在新领域和缺乏权威性标准或共识的领域，、在新领域和缺乏权威性标准或共识的领域，采用重要会计政策产生的影响采用重要会计政策产生的影响4、会计政策的变更、会计政策的变更5、被审计单位何时采用以及如何采用新颁布的、被审计单位何时采用以及如何采用新颁布的会计准则和相关会计制度会计准则和相关会计制度 五、被审计单位的目标、战略以及相关经营风险五、被审计单位的目标、战略以及相关经营风险 注册会计师应当了解被审计单位是否存在与下列方面有注册会计师应当了解被审计单位是否存在与下列方面有关的目标和战略，并考虑相应的经营风险：关的目标和战略，并考虑相应的经营风险：（1）行业发展，及其可能导致的被审计单位不具备足以应对行）行业发展，及其可能导致的被审计单位不具备足以应对行业变化的业变化的人力资源和业务专长人力资源和业务专长等风险；等风险；（2）开发新产品或提供新服务，及其可能导致的被审计单位）开发新产品或提供新服务，及其可能导致的被审计单位产产品责任增加等风险品责任增加等风险；（3）业务扩张，及其可能导致的被审计单位）业务扩张，及其可能导致的被审计单位对市场需求的估计对市场需求的估计不准确等风险不准确等风险；（4）新颁布的会计法规，及其可能导致的被审计单位执行法规）新颁布的会计法规，及其可能导致的被审计单位执行法规不当或不完整，或不当或不完整，或会计处理成本增加等风险会计处理成本增加等风险；（5）监管要求，及其可能导致的被审计单位法律责任增加等风）监管要求，及其可能导致的被审计单位法律责任增加等风险；险；（6）本期及未来的融资条件，及其可能导致的被审计单位由于）本期及未来的融资条件，及其可能导致的被审计单位由于无法满足融资条件而无法满足融资条件而失去融资机会等风险失去融资机会等风险；（7）信息技术的运用信息技术的运用，及其可能导致的被审计单位信息系统与，及其可能导致的被审计单位信息系统与业务流程难以融合等风险。业务流程难以融合等风险。六、被审计单位财务业绩的衡量和评价六、被审计单位财务业绩的衡量和评价在了解被审计单位财务业绩衡量和评价情况时，在了解被审计单位财务业绩衡量和评价情况时，注册会计师应当关注下列信息：注册会计师应当关注下列信息：（1）关键业绩指标；）关键业绩指标；（2）业绩趋势；）业绩趋势；（3）预测、预算和差异分析；）预测、预算和差异分析；（4）管理层和员工业绩考核与激励性报酬政策；）管理层和员工业绩考核与激励性报酬政策；（5）分部信息与不同层次部门的业绩报告；）分部信息与不同层次部门的业绩报告；（6）与竞争对手的业绩比较；）与竞争对手的业绩比较；（7）外部机构提出的报告。）外部机构提出的报告。第三节第三节 了解被审计单位的内部控制了解被审计单位的内部控制 一、内部控制的含义和要素一、内部控制的含义和要素内部控制是被审计单位为了合理保证财务报告内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计与的遵守，由治理层、管理层和其他人员设计与执行的政策及程序。执行的政策及程序。(COSO定义定义)1、内部控制的目标、内部控制的目标是是合理保证合理保证：（：（1）财务报告的）财务报告的可靠性，这一目标与管理层履行财务报告编制责任可靠性，这一目标与管理层履行财务报告编制责任密切相关；（密切相关；（2）经营的效率和效果，即经济有效）经营的效率和效果，即经济有效地使用企业资源，以最优方式实现企业的目标；地使用企业资源，以最优方式实现企业的目标；（3）在所有经营活动中遵守法律法规的要求，即）在所有经营活动中遵守法律法规的要求，即在法律法规的框架下从事经营活动。在法律法规的框架下从事经营活动。直下直下Committee of Sponsoring Organizations of the Treadway Commission，COSOInternal control is a process,effected by an entitys board of directors,management and other personnel,designed to provide reasonable assurance regarding the achievement of objectives in the following three categories:Effectiveness and efficiency of operations.Reliability of financial reporting.Compliance with applicable laws and regulations.2、设计和实施、设计和实施内部控制的责任主体内部控制的责任主体是治理是治理层、管理层和其他人员，组织中的每一个层、管理层和其他人员，组织中的每一个人都对内部控制负有责任。人都对内部控制负有责任。3、实现内部控制目标的手段实现内部控制目标的手段是设计和执行是设计和执行控制政策和程序。控制政策和程序。内部控制内部控制包括下列包括下列要素要素：（1）控制环境；（）控制环境；（2）风险评估过程；（）风险评估过程；（3）信息系统与沟通；（信息系统与沟通；（4）控制活动。（）控制活动。（5）对控制的监督。对控制的监督。二、与审计相关的控制二、与审计相关的控制(一一)为实现为实现财务报告可靠性目标财务报告可靠性目标设计和实施的控制设计和实施的控制(二二)其他与审计相关的控制其他与审计相关的控制对于某些对于某些非财务数据非财务数据（如生产统计数据）的控制，如果（如生产统计数据）的控制，如果注册会计师在实施注册会计师在实施分析程序时使用分析程序时使用这些数据，这些控制这些数据，这些控制就可能与审计相关。就可能与审计相关。某些某些法规（如税法法规（如税法）对财务报表存在直接和重大的影响）对财务报表存在直接和重大的影响（影响应交税金和所得税费用）。为了遵守这些法规，（影响应交税金和所得税费用）。为了遵守这些法规，被审计单位可能设计和执行相应的控制，这些控制也与被审计单位可能设计和执行相应的控制，这些控制也与注册会计师的审计相关。注册会计师的审计相关。三、对内部控制了解的深度三、对内部控制了解的深度对内部控制了解的深度，是指在了解被审计单位及对内部控制了解的深度，是指在了解被审计单位及其环境时对内部控制了解的程度。其环境时对内部控制了解的程度。包括包括评价控制的评价控制的设计设计，并确定其，并确定其是否得到执行是否得到执行，但，但不包括不包括对控制是对控制是否得到否得到一贯执行的测试一贯执行的测试(控制测试控制测试)。注册会计师通常实施下列注册会计师通常实施下列风险评估程序风险评估程序，以获取有，以获取有关控制关控制设计和执行的审计证据设计和执行的审计证据：（：（1）询问询问被审计被审计单位的人员；（单位的人员；（2）观察观察特定控制的运用；（特定控制的运用；（3）检检查查文件和报告；（文件和报告；（4）追踪交易在财务报告信息系）追踪交易在财务报告信息系统中的处理过程（统中的处理过程（穿行测试穿行测试）。）。四、内部控制的人工和自动化成分四、内部控制的人工和自动化成分（一）（一）考虑考虑内部控制的人工和自动化内部控制的人工和自动化特征及其特征及其影响影响 准则规定，内部控制可能既包括准则规定，内部控制可能既包括人工成分人工成分又包括又包括自自动化成分动化成分，在风险评估以及设计和实施进一步审计，在风险评估以及设计和实施进一步审计程序时，注册会计师应当考虑内部控制的人工和自程序时，注册会计师应当考虑内部控制的人工和自动化特征及其影响。动化特征及其影响。（二）（二）信息技术信息技术的适用范围及相关内部控制风的适用范围及相关内部控制风险险 注册会计师应当从下列方面了解信息技术对内部控注册会计师应当从下列方面了解信息技术对内部控制产生的特定风险：制产生的特定风险：（1）系统或程序）系统或程序未能正确处理数据未能正确处理数据，或，或处理了处理了不正确的数据不正确的数据，或两种情况，或两种情况同时并存同时并存；（2）在）在未得到授权情况下访问数据未得到授权情况下访问数据,可能导致数据可能导致数据的毁损或对数据不恰当的修改，包括记录未经授权的毁损或对数据不恰当的修改，包括记录未经授权或不存在的交易，或不正确地记录了交易；或不存在的交易，或不正确地记录了交易；（3）信息技术人员信息技术人员可能可能获得超越其履行职责以外获得超越其履行职责以外的的数据访问权限数据访问权限，破坏了系统应有的职责分工；，破坏了系统应有的职责分工；（4）未经授权改变主文档的数据未经授权改变主文档的数据；（5）未经授权改变系统或程序未经授权改变系统或程序；（6）未能对系统或程序作出必要的修改；）未能对系统或程序作出必要的修改；（7）不恰当的人为干预；）不恰当的人为干预；（8）数据丢失的风险数据丢失的风险或或不能访问所需要的数据不能访问所需要的数据。（三）（三）人工控制人工控制的适用范围及相关内部控制的适用范围及相关内部控制风险风险注册会计师应当从下列方面了解人工控制产生的注册会计师应当从下列方面了解人工控制产生的特定风险：特定风险：(1)人工控制可能更容易人工控制可能更容易被规避、忽视或凌驾被规避、忽视或凌驾；(2)人工控制可能人工控制可能不具有一贯性不具有一贯性；(3)人工控制可能更容易人工控制可能更容易产生简单错误或失误产生简单错误或失误。五、内部控制的五、内部控制的局限性局限性（一）内部控制的（一）内部控制的固有局限性固有局限性 判断错误和人为失误而导致内部控制失效判断错误和人为失误而导致内部控制失效串通或管理层凌驾于内部控制之上而被规避串通或管理层凌驾于内部控制之上而被规避成本效益原则制约成本效益原则制约一般都是针对经常而重复发生的业务而设置一般都是针对经常而重复发生的业务而设置内部行使控制职能的人员素质不适应内部行使控制职能的人员素质不适应（二）对小型被审计单位的考虑（二）对小型被审计单位的考虑业主凌驾业主凌驾于内部控制之上的可能性较大。注册会计于内部控制之上的可能性较大。注册会计师应当考虑一些关键领域是否存在有效的内部控制。师应当考虑一些关键领域是否存在有效的内部控制。六、六、控制环境控制环境（一）（一）控制环境的含义控制环境的含义控制环境包括治理职能和管理职能，以及治理层和控制环境包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、认识和措施。管理层对内部控制及其重要性的态度、认识和措施。（二）对（二）对诚信和道德价值观念的沟通与落实诚信和道德价值观念的沟通与落实注册会计师考虑的主要因素包括：注册会计师考虑的主要因素包括：（1）被审计单位是否有被审计单位是否有书面的行为规范书面的行为规范并向所并向所有员工有员工传达传达；（2）被审计单位的被审计单位的企业文化企业文化是否是否强调诚信和道德价值观念的重要性；强调诚信和道德价值观念的重要性；（3）管理管理层是否层是否身体力行身体力行，高级管理人员是否起表率作，高级管理人员是否起表率作用；用；（4）对违反有关政策和行为规范的情况，对违反有关政策和行为规范的情况，管理层是否采取适当的管理层是否采取适当的惩罚措施惩罚措施。（三）（三）对胜任能力的重视对胜任能力的重视注册会计师考虑的主要因素包括：注册会计师考虑的主要因素包括：（1）财会人员财会人员以及以及信息管理人员信息管理人员是否是否具备具备与被审与被审计单位业务性质和复杂程度相称的计单位业务性质和复杂程度相称的足够的胜任能力足够的胜任能力和培训和培训，在发生错误时，是否通过调整人员或系统，在发生错误时，是否通过调整人员或系统来加以处理；来加以处理；（2）管理层是否管理层是否配备足够的财会人员配备足够的财会人员以适应业务以适应业务发展和有关方面的需要；发展和有关方面的需要；（3）财会人员财会人员是否具备是否具备理解和运用会计准则理解和运用会计准则所需所需的技能。的技能。（四）（四）治理层的参与程度治理层的参与程度董事会董事会、审计委员会审计委员会或类似机构应或类似机构应关注关注被审计单位的财务被审计单位的财务报告，并报告，并监督监督被审计单位的会计政策以及内部、外部的审被审计单位的会计政策以及内部、外部的审计工作和结果。治理层的职责还包括监督用于复核内部控计工作和结果。治理层的职责还包括监督用于复核内部控制有效性的政策和程序设计是否合理，执行是否有效。制有效性的政策和程序设计是否合理，执行是否有效。注册会计师考虑的主要因素包括：注册会计师考虑的主要因素包括：（1）董事会是否董事会是否建立建立了审计委员会或类似了审计委员会或类似机构机构；（2）董事会、董事会、审计委员会或类似机构是否审计委员会或类似机构是否与内部审计人员以及注册会计师有与内部审计人员以及注册会计师有联系联系和沟通，联系和沟通的性质以及频率是否与被审计单位的规模和业和沟通，联系和沟通的性质以及频率是否与被审计单位的规模和业务复杂程度相匹配；务复杂程度相匹配；（3）董事会、审计委员会或类似机构的成员董事会、审计委员会或类似机构的成员是否是否具备适当的具备适当的经验和资历经验和资历；（4）董事会、审计委员会或类似机董事会、审计委员会或类似机构是否构是否独立于管理层独立于管理层；（5）审计委员会或类似机构审计委员会或类似机构会议的数量和会议的数量和时间时间是否是否与被审计单位的规模和业务复杂程度与被审计单位的规模和业务复杂程度相匹配相匹配；（6）董事董事会、审计委员会或类似机构是否会、审计委员会或类似机构是否充分地充分地参与了财务报告的过程参与了财务报告的过程；（7）董事会、审计委员会或类似机构是否董事会、审计委员会或类似机构是否对经营风险的监控对经营风险的监控有足有足够的够的关注关注，进而影响被审计单位和管理层的风险评估进程（包括舞，进而影响被审计单位和管理层的风险评估进程（包括舞弊风险）；弊风险）；（8）董事会董事会成员成员是否保持是否保持相对的稳定性相对的稳定性。（五）（五）管理层的理念和经营风格管理层的理念和经营风格 在管理层以一个或少数几个人为主时，管理层的理念在管理层以一个或少数几个人为主时，管理层的理念和经营风格对内部控制的影响尤为和经营风格对内部控制的影响尤为 突突 出出。（1）管理管理层的理念层的理念包括管理层对内部控制的理念，即管理层对包括管理层对内部控制的理念，即管理层对内部控制以及对具体控制实施环境的重视程度。衡量内部控制以及对具体控制实施环境的重视程度。衡量管理层对内部控制重视程度的重要标准，是管理层收管理层对内部控制重视程度的重要标准，是管理层收到有关内部控制弱点及违规事件的报告时是否作出适到有关内部控制弱点及违规事件的报告时是否作出适当反应。当反应。（2）管理层的经营风格管理层的经营风格可以表明管理层所能可以表明管理层所能接受的业务风险的性质。接受的业务风险的性质。注册会计师考虑的主要因素包括：注册会计师考虑的主要因素包括：（1）管理层是否管理层是否对对内部控制关注内部控制关注；（2）管理层是否管理层是否由一个或几个人所控由一个或几个人所控制制；（3）管理层是管理层是风险偏好者风险偏好者还是还是风险规避者风险规避者；（4）管理层在选择会计政策和作出会计估计时是倾向于管理层在选择会计政策和作出会计估计时是倾向于激激进还是保守进还是保守；（5）管理层管理层对对于于信息管理人员信息管理人员以及以及财会财会人员人员是否给予了适当是否给予了适当关注关注；（6）对于对于重大的内部控制重大的内部控制和会计事项和会计事项，管理层是否，管理层是否征询征询注册会计师的注册会计师的意见意见。（六）（六）组织结构及职权与责任的分配组织结构及职权与责任的分配 被审计单位的组织结构为计划、运作、控制及被审计单位的组织结构为计划、运作、控制及监督经营活动提供了一个监督经营活动提供了一个整体框架整体框架。通过集权。通过集权或分权决策，可在不同部门间进行适当的或分权决策，可在不同部门间进行适当的职责职责划分划分、建立适当层次的、建立适当层次的报告体系报告体系。组织结构将。组织结构将影响权利、责任和工作任务在组织成员中的分影响权利、责任和工作任务在组织成员中的分配。配。注册会计师考虑的主要因素包括：注册会计师考虑的主要因素包括：（1）在被在被审计单位内部是否审计单位内部是否有明确的职责划分有明确的职责划分，是否将，是否将业务业务授权授权、业务、业务记录记录、资产、资产保管和维护保管和维护，以及，以及业务业务执行执行的责任尽可能地分离；的责任尽可能地分离；（2）数据的数据的所有权划分所有权划分是否合理；是否合理；（3）是否已是否已针对授权针对授权交易建立适当的政策和程序交易建立适当的政策和程序。（七）（七）人力资源政策与实务人力资源政策与实务力资源政策与实务涉及招聘、培训、考核、晋升和薪力资源政策与实务涉及招聘、培训、考核、晋升和薪酬等方面。酬等方面。注册会计师考虑的主要因素注册会计师考虑的主要因素包括：包括：（1）被审计单位是被审计单位是否在招聘、培训、考核、晋升、薪酬、调动和辞退员否在招聘、培训、考核、晋升、薪酬、调动和辞退员工方面是否都有工方面是否都有适当的政策和程序适当的政策和程序（特别是在会计、（特别是在会计、财务和信息系统方面）；财务和信息系统方面）；（2）是否有是否有书面的员工岗位书面的员工岗位职责手册职责手册，或者在没有书面文件的情况下，对于工作，或者在没有书面文件的情况下，对于工作职责和期望是否作了适当的沟通和交流；职责和期望是否作了适当的沟通和交流；（3）人力资人力资源源政策与程序是否清晰政策与程序是否清晰，并且定期发布和更新；，并且定期发布和更新；（4）是否对分散在各地区和海外的经营人员建立和是否对分散在各地区和海外的经营人员建立和沟通沟通人人力资源政策与程序。力资源政策与程序。控制环境控制环境对重大错报风险的评估对重大错报风险的评估具有广泛影响。控制环具有广泛影响。控制环境境本身并不能防止或发现并纠正本身并不能防止或发现并纠正各类交易、账户余额、各类交易、账户余额、列报认定层次的重大错报，列报认定层次的重大错报，CPA在评估重大错报风险时，在评估重大错报风险时，应当将控制环境应当将控制环境连同连同其他内部控制要素产生的影响一并其他内部控制要素产生的影响一并考虑。考虑。七、七、被审计单位的风险评估过程被审计单位的风险评估过程（一）被审计单位（一）被审计单位面临的风险面临的风险及及风险评估过程风险评估过程可能产生可能产生风险的事项和情形风险的事项和情形包括：（包括：（1）监管及经）监管及经营环境的变化。（营环境的变化。（2）新员工的加入。（）新员工的加入。（3）新信息）新信息系统的使用或对原系统进行升级。（系统的使用或对原系统进行升级。（4）业务快速）业务快速发展。（发展。（5）新技术。（）新技术。（6）新生产型号、产品和业）新生产型号、产品和业务活动。（务活动。（7）企业重组。（）企业重组。（8）发展海外经营。）发展海外经营。（9）新的会计准则。）新的会计准则。针对财务报告目标的风险评估过程针对财务报告目标的风险评估过程包括包括识别识别与财务与财务报告相关的经营风险，报告相关的经营风险，评估评估风险的重大性和发生的风险的重大性和发生的可能性，以及可能性，以及采取措施管理采取措施管理这些风险。这些风险。（二）（二）对风险评估过程的了解对风险评估过程的了解 注册会计师在对注册会计师在对整体层面的风险评估过程整体层面的风险评估过程进行了解和评估时，考进行了解和评估时，考虑的因素包括：虑的因素包括：（1）是否已建立并沟通其整体目标是否已建立并沟通其整体目标，并辅以具，并辅以具体策略和业务流程层面的计划；体策略和业务流程层面的计划；（2）是否已建立风险评估过程是否已建立风险评估过程，包括识别风险，估计风险的重大性，评估风险发生的可能性以及包括识别风险，估计风险的重大性，评估风险发生的可能性以及确定需要采取的应对措施；确定需要采取的应对措施；（3）是否已建立某种机制是否已建立某种机制，识别和，识别和应对可能对被审计单位产生重大且普遍影响的变化，如在金融机应对可能对被审计单位产生重大且普遍影响的变化，如在金融机构中建立资产负债管理委员会，在制造型企业中建立期货交易风构中建立资产负债管理委员会，在制造型企业中建立期货交易风险管理组等；险管理组等；（4）会计部门是否建立了某种流程会计部门是否建立了某种流程，以识别会计，以识别会计准则的重大变化；准则的重大变化；（5）当被审计单位业务操作发生变化并影响当被审计单位业务操作发生变化并影响交易记录的流程时，交易记录的流程时，是否存在沟通渠道以通知会计部门是否存在沟通渠道以通知会计部门；（6）风险管理部门是否建立了某种流程风险管理部门是否建立了某种流程，以识别经营环境包括监管环，以识别经营环境包括监管环境发生的重大变化。境发生的重大变化。在在对业务流程的了解对业务流程的了解中，注册会计师还可能进一步地获得被审计中，注册会计师还可能进一步地获得被审计单位有关业务流程的风险评估过程的信息。单位有关业务流程的风险评估过程的信息。在审计过程中，如果发现与财务报表有关的风险因素，注册会计在审计过程中，如果发现与财务报表有关的风险因素，注册会计师可通过师可通过向管理层向管理层询问询问和和检查有关文件检查有关文件确定被审计单位的风险评确定被审计单位的风险评估过程是否也发现了该风险。估过程是否也发现了该风险。八、八、信息系统与沟通信息系统与沟通（一）与财务报告相关的信息系统的（一）与财务报告相关的信息系统的含义含义与财务报告相关的信息系统，包括用以生成、记录、与财务报告相关的信息系统，包括用以生成、记录、处理和报告交易、事项和情况，对相关资产、负债处理和报告交易、事项和情况，对相关资产、负债和所有者权益履行经营管理责任的程序和记录。和所有者权益履行经营管理责任的程序和记录。与财务报告相关的信息系统应当与财务报告相关的信息系统应当与业务流程相适应与业务流程相适应。与财务报告相关的信息系统通常包括下列与财务报告相关的信息系统通常包括下列职能职能：（1）识别与记录识别与记录所有的有效交易；（所有的有效交易；（2）及时、详）及时、详细地细地描述描述交易，以便在财务报告中对交易作出恰当交易，以便在财务报告中对交易作出恰当分类；（分类；（3）恰当）恰当计量计量交易，以便在财务报告中对交易，以便在财务报告中对交易的金额作出准确记录；（交易的金额作出准确记录；（4）恰当）恰当确定确定交易生交易生成的成的会计期间会计期间；（；（5）在财务报表中）在财务报表中恰当列报恰当列报交易。交易。（二）对与财务报告相关的信息系统的了解二）对与财务报告相关的信息系统的了解 注册会计师应当从下列方面了解：注册会计师应当从下列方面了解：1在被审计单位经营过程中，对财务报表具有重在被审计单位经营过程中，对财务报表具有重大影响的大影响的各类交易各类交易。2在信息技术和人工系统中，交易生成、记录、在信息技术和人工系统中，交易生成、记录、处理和报告的处理和报告的程序程序。3与交易生成、记录、处理和报告有关的与交易生成、记录、处理和报告有关的会计记会计记录、支持性信息录、支持性信息和和财务报表中的特定项目财务报表中的特定项目。4信息系统如何获取除各类交易之外的对财务报信息系统如何获取除各类交易之外的对财务报表表具有重大影响的事项和情况具有重大影响的事项和情况，如对固定资产和长，如对固定资产和长期资产计提折旧或摊销、对应收账款计提坏账准备期资产计提折旧或摊销、对应收账款计提坏账准备等。等。5被审计单位被审计单位编制财务报告的过程编制财务报告的过程，包括作出的，包括作出的重大会计估计和披露。重大会计估计和披露。6管理层管理层凌驾于账户记录控制之上的风险凌驾于账户记录控制之上的风险。（三）与财务报告相关的（三）与财务报告相关的沟通的含义沟通的含义与财务报告相关的沟通包括与财务报告相关的沟通包括使员工了解使员工了解各自在与财务各自在与财务报告有关的内部控制方面的角色和职责、员工之间的报告有关的内部控制方面的角色和职责、员工之间的工作联系，以及向适当级别的管理层工作联系，以及向适当级别的管理层报告例外事项报告例外事项的的方式。方式。沟通可以采用政策手册、会计和财务报告手册和备沟通可以采用政策手册、会计和财务报告手册和备忘录等形式进行，也可以通过发送电子邮件、口头忘录等形式进行，也可以通过发送电子邮件、口头沟通和管理层的行动来进行。沟通和管理层的行动来进行。（四）（四）对对与财务报告相关的与财务报告相关的沟通的了解沟通的了解具体包括：（具体包括：（1）管理层）管理层就员工的职责和控制就员工的职责和控制责任责任是否进行了有效是否进行了有效沟通沟通；（；（2）针对可疑的）针对可疑的不恰当事项和行为不恰当事项和行为是否建立了是否建立了沟通渠道沟通渠道；（；（3）组织组织内部沟通的充分性内部沟通的充分性是否能够使人员有效地是否能够使人员有效地履行职责；（履行职责；（4）对对于与客户、供应商、监管于与客户、供应商、监管者和其他者和其他外部人士的沟通外部人士的沟通，管理层是否，管理层是否及时采及时采取取适当的进一步适当的进一步行动行动；（；（5）被审计单位是否）被审计单位是否受到某些监管机构发布的受到某些监管机构发布的监管要求的约束监管要求的约束；（6）外部人士外部人士如客户和供应商在多大程度上如客户和供应商在多大程度上获知被审计单位的行为守则获知被审计单位的行为守则。九、控制活动九、控制活动（一）相关的控制活动的（一）相关的控制活动的含义含义控制活动是指有助于确保管理层的指令得以执行的控制活动是指有助于确保管理层的指令得以执行的政策和程序。包括与授权、业绩评价、信息处理、政策和程序。包括与授权、业绩评价、信息处理、实物控制和职责分离等相关的活动。实物控制和职责分离等相关的活动。（二）对控制活动的（二）对控制活动的了解了解（1）对被审计单位的）对被审计单位的主要经营活动主要经营活动是否都有必要是否都有必要的的控制政策和程序控制政策和程序；（2）管理层对预算、利润和其他财务和经营业绩）管理层对预算、利润和其他财务和经营业绩方面是否都有方面是否都有清晰的目标清晰的目标，在被审计单位内部，是，在被审计单位内部，是否对这些目标加以清晰的否对这些目标加以清晰的记录和沟通记录和沟通，并且积极地，并且积极地对其进行对其进行监控监控；（3）是否存在）是否存在计划和报告系统计划和报告系统，以识别与目标业，以识别与目标业绩的绩的差异差异，并向适当层次的管理层报告该差异；，并向适当层次的管理层报告该差异；（4）是否由适当层次的管理层对）是否由适当层次的管理层对差异差异进行进行调查调查，并及时采取适当的并及时采取适当的纠正措施纠正措施；（5）不同人员的）不同人员的职责职责应在何种程度上相应在何种程度上相分离分离，以，以降低舞弊和不当行为发生的风险；降低舞弊和不当行为发生的风险；（6）会计系统中的）会计系统中的数据数据是否与是否与实物资产定期核对实物资产定期核对；（7）是否建立了适当的）是否建立了适当的保护措施保护措施，以防止未经授，以防止未经授权权接触接触文件、记录和资产；文件、记录和资产；（8）是否存在信息安全职能部门负责）是否存在信息安全职能部门负责监控信息安监控信息安全政策和程序全政策和程序。十、对控制的监督十、对控制的监督（一）对控制的监督的（一）对控制的监督的含义含义对控制的监督是指被审计单位评价内部控制在一段对控制的监督是指被审计单位评价内部控制在一段时间内运行有效性的过程，该过程包括及时评价控时间内运行有效性的过程，该过程包括及时评价控制的设计和运行，以及根据情况的变化采取必要的制的设计和运行，以及根据情况的变化采取必要的纠正措施。纠正措施。（二）（二）了解了解对内部控制的监督对内部控制的监督（1）被审计单位是否）被审计单位是否定期评价定期评价内部控制；内部控制；（2）被审计单位人员在履行正常职责时，能够在）被审计单位人员在履行正常职责时，能够在多大程度上多大程度上获得内部控制是否有效运行获得内部控制是否有效运行的证据；的证据；（3）与外部的沟通与外部的沟通能够在多大程度上能够在多大程度上证实证实内部产内部产生的信息或者指出存在的问题；生的信息或者指出存在的问题；（4）管理层是否）管理层是否采纳采纳内部审计人员和注册会计师内部审计人员和注册会计师有关内部控制的有关内部控制的建议建议；（5）管理层是否及时）管理层是否及时纠正纠正控制运行中控制运行中偏差偏差；（6）管理层根据监管机构的报告及建议是否）管理层根据监管机构的报告及建议是否及时及时采取纠正措施采取纠正措施；（7）是否存在协助管理层）是否存在协助管理层监督内部控制的职能部监督内部控制的职能部门门（如内部审计部门）。（如内部审计部门）。十一、在十一、在整体层面整体层面对内部控制对内部控制了解和评估了解和评估的的总结总结在了解上述内部控制的各构成要素时，注册会在了解上述内部控制的各构成要素时，注册会计师应当对被审计单位整体层面的计师应当对被审计单位整体层面的内部控制的内部控制的设计设计进行评价进行评价，并确定其，并确定其是否得到是否得到执行执行。这一。这一评价过程需要大量的职业判断，并没有固定的评价过程需要大量的职业判断，并没有固定的公式或指标可供参考。公式或指标可供参考。注册会计师应当将对被审计单位整体层面的内注册会计师应当将对被审计单位整体层面的内部控制部控制各要素的了解要点各要素的了解要点和实施的和实施的风险评估程风险评估程序及其结果序及其结果等等形成审计工作记录形成审计工作记录，并对影响注，并对影响注册会计师对整体层面内部控制有效性进行判断册会计师对整体层面内部控制有效性进行判断的因素加以详细记录。的因素加以详细记录。十二、在十二、在业务流程层面业务流程层面了解和评价内部控制了解和评价内部控制在初步计划审计工作时，注册会计师需要在初步计划审计工作时，注册会计师需要确定确定在被审在被审计单位财务报表中计单位财务报表中可能存在重大错报风险的可能存在重大错报风险的重大账户重大账户及其及其相关认定相关认定。为实现此目的，。为实现此目的，通常采取下列步骤通常采取下列步骤：（1）确定确定被审计单位的重要被审计单位的重要业务流程业务流程和和重要交易类别重要交易类别；（2）了解了解重要重要交易流程交易流程，并记录并记录获得的了解；（获得的了解；（3）确定可能发生错报的环节确定可能发生错报的环节；（；（4）识别和了解相关控制识别和了解相关控制；（5）执行穿行测试执行穿行测试，证实对交易流程和相关控制的了，证实对交易流程和相关控制的了解；（解；（6）进行）进行初步评价和风险评估初步评价和风险评估。注册会计师对控制注册会计师对控制的评价结论可能是的评价结论可能是（1）所设计的内部控制单独或连同其他控制能够防）所设计的内部控制单独或连同其他控制能够防止或发现并纠正重大错报，并得到执行；止或发现并纠正重大错报，并得到执行；（2）控制本身的设计是合理的，但没有得到执行；）控制本身的设计是合理的，但没有得到执行；（3）控制本身的设计就是无效的或缺乏必要的控制。）控制本身的设计就是无效的或缺乏必要的控制。第四节第四节 评估重大错报风险评估重大错报风险 一、一、识别和评估识别和评估财务报表层次和认定层次财务报表层次和认定层次的的重大错报风险重大错报风险（一）识别和评估重大错报风险的（一）识别和评估重大错报风险的审计程序审计程序1.在了解在了解被审计单位及其环境的整个过程被审计单位及其环境的整个过程中识别风中识别风险险，并考虑各类交易、账户余额、列报。，并考虑各类交易、账户余额、列报。2.将将识别的风险与识别的风险与认定层次可能发生认定层次可能发生错报的领域错报的领域相相联系联系。3.考虑识别的考虑识别的风险是否重大风险是否重大。4.考虑识别的考虑识别的风险导致风险导致财务财务报表发生重大错报的可报表发生重大错报的可能性能性。（二）可能表明被审计单位存在（二）可能表明被审计单位存在重大错报重大错报风险的事项和情况风险的事项和情况（1）在经济不稳定的国家或地区开展业务；）在经济不稳定的国家或地区开展业务；（2）在高度波动的市场开展业务；（）在高度波动的市场开展业务；（3）在严）在严厉、复杂的监管环境中开展业务；（厉、复杂的监管环境中开展业务；（4）持续）持续经营和资产流动性出现问题，包括重要客户流经营和资产流动性出现问题，包括重要客户流失；（失；（5）融资能力受到限制；（）融资能力受到限制；（6）行业环境）行业环境发生变化；（发生变化；（7）供应链发生变化；（）供应链发生变化；（8）开发）开发新产品或提供新服务，或进入新的业务领域；新产品或提供新服务，或进入新的业务领域；（9）开辟新的经营场所；（）开辟新的经营场所；（10）发生重大收）发生重大收购、重组或其他非经常性事项；（购、重组或其他非经常性事项；（11）拟出售）拟出售分支机构或业务分部；分支机构或业务分部；（12）复杂的联营或合资；（）复杂的联营或合资；（13）运用表外融资、）运用表外融资、特殊目的实体以及其他复杂的融资协议；（特殊目的实体以及其他复杂的融资协议；（14）重）重大的关联方交易；（大的关联方交易；（15）缺乏具备胜任能力的会计）缺乏具备胜任能力的会计人员；（人员；（16）关键人员变动；（）关键人员变动；（17）内部控制薄弱；）内部控制薄弱；（18）信息技术战略与经营战略不协调；（）信息技术战略与经营战略不协调；（19）信）信息技术环境发生变化；（息技术环境发生变化；（20）安装新的与财务报告）安装新的与财务报告有关的重大信息技术系统；（有关的重大信息技术系统；（21）经营活动或财务）经营活动或财务报告受到监管机构的调查；（报告受到监管机构的调查；（22）以往存在重大错）以往存在重大错报或本期期末出现重大会计调整；（报或本期期末出现重大会计调整；（23）发生重大）发生重大的非常规交易；（的非常规交易；（24）按照管理层特定意图记录的）按照管理层特定意图记录的交易；（交易；（25）应用新颁布的会计准则或相关会计制）应用新颁布的会计准则或相关会计制度；（度；（26）会计计量过程复杂；（）会计计量过程复杂；（27）事项或交易）事项或交易在计量时存在重大不确定性；（在计量时存在重大不确定性；（28）存在未决诉讼）存在未决诉讼和或有负债。和或有负债。（三）（三）识别两个层次的重大错报风险识别两个层次的重大错报风险 在对重大错报风险进行识别和评估后，注册会计师应当在对重大错报风险进行识别和评估后，注册会计师应当确定，识