06第六章、风险评估与应对

1第十三章第十三章 风险评估与应对风险评估与应对 l 第一节第一节 风险评估风险评估l 第二节第二节 风险应对风险应对2 学习要求学习要求 通过对本章的学习，要求通过对本章的学习，要求理解理解风险评估的含义风险评估的含义和程序，和程序，理解理解注册会计师针对评估的财务报表层注册会计师针对评估的财务报表层重大错报风险确定的总体应对措施、针对认定层重大错报风险确定的总体应对措施、针对认定层次重大错报风险的进一步审计程序；次重大错报风险的进一步审计程序；了解了解被审计被审计单位的内部控制；单位的内部控制；掌握掌握对重大错报风险识别和评对重大错报风险识别和评估的方法，估的方法，掌握掌握控制测试和实质性程序的相关内控制测试和实质性程序的相关内容。容。3第一节第一节 风险评估风险评估 l一、风险评估的含义一、风险评估的含义l 风险评估风险评估是指以了解被审计单位及其环境是指以了解被审计单位及其环境为内容，以识别和评估财务报表重大错报风险为内容，以识别和评估财务报表重大错报风险为目的，在设计和实施进一步审计程序之前实为目的，在设计和实施进一步审计程序之前实施的程序。施的程序。4（一）审计风险准则的特点（一）审计风险准则的特点1 1、要求注册会计师必须了解被审计单位及其环境；、要求注册会计师必须了解被审计单位及其环境；2 2、要求注册会计师在审计的所有阶段都要实施风险评、要求注册会计师在审计的所有阶段都要实施风险评估程序；估程序；3 3、要求注册会计师将识别和评估的风险与实施的审计、要求注册会计师将识别和评估的风险与实施的审计程序挂钩；程序挂钩；4 4、要求注册会计师针对重大的各类交易、账户余额和、要求注册会计师针对重大的各类交易、账户余额和列报实施实质性程序；列报实施实质性程序；5 5、要求注册会计师将识别、评估和应对风险的关键程、要求注册会计师将识别、评估和应对风险的关键程序形成审计工作记录。序形成审计工作记录。5（二）风险评估的意义（作用）（二）风险评估的意义（作用）1 1、确定重要性水平确定重要性水平，并随着审计工作的进程评估对重要性，并随着审计工作的进程评估对重要性水平的判断是否仍然适当；水平的判断是否仍然适当；2 2、考虑会计政策的选择和运用是否恰当，以及财务报表的、考虑会计政策的选择和运用是否恰当，以及财务报表的列报是否适当；列报是否适当；3 3、识别需要特别考虑的领域，包括关联方交易、管理层运、识别需要特别考虑的领域，包括关联方交易、管理层运用持续经营假设的合理性，或交易是否具有合理的商业目的等；用持续经营假设的合理性，或交易是否具有合理的商业目的等；4 4、确定在实施分析程序时所使用的预期值；、确定在实施分析程序时所使用的预期值；5 5、设计和实施进一步审计程序，以将审计风险降至可接受、设计和实施进一步审计程序，以将审计风险降至可接受的低水平；的低水平；6 6、评价所获取审计证据的充分性和适当性。、评价所获取审计证据的充分性和适当性。6 二、风险评估程序和信息来源二、风险评估程序和信息来源（一）询问被审计单位管理层和内部其他相关人员（一）询问被审计单位管理层和内部其他相关人员 应当向管理层和财务负责人询问下列事项：应当向管理层和财务负责人询问下列事项：（1 1）管理层所关注的主要问题。如新的竞争对手、主要客）管理层所关注的主要问题。如新的竞争对手、主要客户和供应商的流失、新的税收法规的实施以及经营目标或战略户和供应商的流失、新的税收法规的实施以及经营目标或战略的变化等。的变化等。（2 2）被审计单位最近的财务状况、经营成果和现金流量。）被审计单位最近的财务状况、经营成果和现金流量。（3 3）可能影响财务报告的交易和事项，或者目前发生的重）可能影响财务报告的交易和事项，或者目前发生的重大会计处理问题。如重大的购并事宜等。大会计处理问题。如重大的购并事宜等。（4 4）被审计单位发生的其他重要）被审计单位发生的其他重要变化变化。如所有权结构、组。如所有权结构、组织结构、内部控制的变化等。织结构、内部控制的变化等。7 其次，还应考虑询问其他人员，并考虑询问不同级别其次，还应考虑询问其他人员，并考虑询问不同级别的员工。的员工。（1 1）询问）询问治理层治理层，有助于注册会计师理解财务报表编，有助于注册会计师理解财务报表编制的环境；制的环境；（2 2）询问）询问内部审计人员内部审计人员，有助于注册会计师了解其针，有助于注册会计师了解其针对被审计单位内部控制设计和运行有效性而实施的工作，对被审计单位内部控制设计和运行有效性而实施的工作，以及管理层对内部审计发现的问题是否采取适当的措施；以及管理层对内部审计发现的问题是否采取适当的措施；（3 3）询问）询问参与生成、处理或记录复杂或异常交易的员参与生成、处理或记录复杂或异常交易的员工工，有助于注册会计师评估被审计单位选择和运用某项，有助于注册会计师评估被审计单位选择和运用某项会计政策的适当性；会计政策的适当性；8（4 4）询问）询问内部法律顾问内部法律顾问，有助于注册会计师了解有关，有助于注册会计师了解有关法律法规的遵循情况、产品保证和售后责任、与业务合作法律法规的遵循情况、产品保证和售后责任、与业务合作伙伴伙伴(如合营企业如合营企业)的安排、合同条款的含义以及诉讼情况的安排、合同条款的含义以及诉讼情况等；等；（5 5）询问）询问营销或销售人员营销或销售人员，有助于注册会计师了解被，有助于注册会计师了解被审计单位的营销策略及其变化、销售趋势以及与客户的合审计单位的营销策略及其变化、销售趋势以及与客户的合同安排；同安排；（6 6）询问）询问采购人员和生产人员采购人员和生产人员，有助于注册会计师了，有助于注册会计师了解被审计单位的原材料采购和产品生产等情况；解被审计单位的原材料采购和产品生产等情况；（7 7）询问）询问仓库人员仓库人员，有助于注册会计师了解原材料、，有助于注册会计师了解原材料、产成品等存货的进出、保管和盘点等情况。产成品等存货的进出、保管和盘点等情况。9（二）实施分析程序（二）实施分析程序 在实施分析程序时，应当在实施分析程序时，应当预期可能存在的预期可能存在的合理关系合理关系，并与并与被审计单位被审计单位记录记录的金额、依据记的金额、依据记录金额计算的比率或趋势相录金额计算的比率或趋势相比较比较；如果发现；如果发现异常异常或未预期到的关系或未预期到的关系，注册会计师应当在识别，注册会计师应当在识别重大重大错报风险错报风险时考虑这些比较结果。时考虑这些比较结果。如果使用了如果使用了高度汇总的数据高度汇总的数据，实施分析程，实施分析程序的结果仅可能序的结果仅可能初步显示初步显示财务报表存在重大错报财务报表存在重大错报风险，应当连同识别重大错报风险时获取的其他风险，应当连同识别重大错报风险时获取的其他信息一并考虑。信息一并考虑。10（三）观察和检查（三）观察和检查 观察和检查程序可以观察和检查程序可以印证印证对管理层和其他相关人员的对管理层和其他相关人员的询问结果询问结果，并可，并可提供有关提供有关被审计单位及其环境的被审计单位及其环境的信息信息。（1 1）观察被审计单位的生产经营活动；）观察被审计单位的生产经营活动；（2 2）检查文件、记录和内部控制手册检查文件、记录和内部控制手册；（3 3）阅读由管理层和治理层编制的报告；）阅读由管理层和治理层编制的报告；（4 4）实地察看被审计单位的生产经营场所和设备实地察看被审计单位的生产经营场所和设备；（5 5）追踪交易在财务报告信息系统中的处理过程）追踪交易在财务报告信息系统中的处理过程(穿行穿行测试：测试：由点到线由点到线)。11【例题【例题11多选题多选题】在了解被审计单位及其环境时，在了解被审计单位及其环境时，A A注册会计师可能实施的风险评估程序有注册会计师可能实施的风险评估程序有()()。A.A.询问甲公司管理层和内部其他人员询问甲公司管理层和内部其他人员 B.B.实地查看甲公司生产经营场所和设备实地查看甲公司生产经营场所和设备 C.C.检查文件、记录和内部控制手册检查文件、记录和内部控制手册 D.D.重新执行内部控制重新执行内部控制 【答案【答案】ABCABC12（四）其他审计程序和信息来源（四）其他审计程序和信息来源 1 1、其他审计程序、其他审计程序 （1 1）询问外部人员询问外部人员：聘请的外部法律顾问、：聘请的外部法律顾问、专业评估师、投资顾问和财务顾问等；专业评估师、投资顾问和财务顾问等；（2 2）阅读外部信息阅读外部信息：银行、评级机构出具：银行、评级机构出具的有关被审计单位及其所处行业的经济或市场环的有关被审计单位及其所处行业的经济或市场环境等状况的报告，法规或金融出版物，政府或民境等状况的报告，法规或金融出版物，政府或民间组织发布的行业报告和统计数据等。间组织发布的行业报告和统计数据等。132 2、其他信息来源、其他信息来源（1 1）根据审计准则的要求，注册会计师应当从）根据审计准则的要求，注册会计师应当从六个方面六个方面了解被审计单位及其环境了解被审计单位及其环境。在了解的过程中获得信息可以。在了解的过程中获得信息可以为评估重大错报风险提供帮助；为评估重大错报风险提供帮助；（2 2）在连续审计情况下，）在连续审计情况下，可利用以前审计期间获取的信可利用以前审计期间获取的信息息，但应确定被审计单位及其环境是否已发生变化，以及，但应确定被审计单位及其环境是否已发生变化，以及该变化是否可能影响以前期间获取的信息在本期审计中的该变化是否可能影响以前期间获取的信息在本期审计中的相关性。相关性。（3 3）如果以前提供过）如果以前提供过其他服务其他服务，如执行中期财务报表审，如执行中期财务报表审阅业务，阅业务，所获得的经验所获得的经验可也能有助于识别重大错报风险。可也能有助于识别重大错报风险。（4 4）在首次接受审计时，应当考虑在）在首次接受审计时，应当考虑在承接客户或续约承接客户或续约过过程中获取的信息。程中获取的信息。14（五）项目组内部的讨论（五）项目组内部的讨论 1 1、讨论的、讨论的目标目标（1 1）在各自负责的领域中，由于舞弊或错误导致财务报）在各自负责的领域中，由于舞弊或错误导致财务报表重大错报的可能性；表重大错报的可能性；（2 2）各自实施审计程序的结果如何影响审计的其他方面，）各自实施审计程序的结果如何影响审计的其他方面，包括对确定进一步审计程序的性质、时间和范围的影响。包括对确定进一步审计程序的性质、时间和范围的影响。2 2、讨论的、讨论的内容内容 项目组应当讨论项目组应当讨论被审计单位面临的经营风险、财务报被审计单位面临的经营风险、财务报表容易发生错报的领域表容易发生错报的领域以及以及发生错报的方式发生错报的方式，特别是由于，特别是由于舞弊导致重大错报的可能性舞弊导致重大错报的可能性。内容例示内容例示15 3、讨论的人员、讨论的人员 项目组的项目组的关键成员关键成员应当参与讨论，不要求所有应当参与讨论，不要求所有成员每次都参与项目组的讨论。如果需要成员每次都参与项目组的讨论。如果需要专家，专家，专家也应参与讨论专家也应参与讨论。4、讨论的时间和方式、讨论的时间和方式 应根据具体情况，在整应根据具体情况，在整个审计过程中持续个审计过程中持续交换交换有关财务报表发生重大错报可能性的信息。讨论有关财务报表发生重大错报可能性的信息。讨论时应强调在保持职业怀疑态度，警惕可能发生重时应强调在保持职业怀疑态度，警惕可能发生重大错报的迹象，并迹象进行追踪。大错报的迹象，并迹象进行追踪。16三、了解被审计单位的内部控制三、了解被审计单位的内部控制（一）内部控制的含义和要素（一）内部控制的含义和要素 可以从以下几方面理解内部控制：可以从以下几方面理解内部控制：第一、内部控制的第一、内部控制的目标目标是是合理保证合理保证：(1)(1)财务报告的可靠性财务报告的可靠性，这一目标与管理层履行财务报，这一目标与管理层履行财务报告编制责任密切相关；告编制责任密切相关；(2)(2)经营的效率和效果经营的效率和效果，即经济有效地使用企业资源，即经济有效地使用企业资源，以最优方式实现企业的目标；以最优方式实现企业的目标；(3)(3)在所有经营活动中遵守法律法规的要求在所有经营活动中遵守法律法规的要求，即在法律，即在法律法规的框架下从事经营活动。法规的框架下从事经营活动。17 第二、设计和实施内部控制的第二、设计和实施内部控制的责任主体是治理层、责任主体是治理层、管理层和其他人员管理层和其他人员，组织中的每一个人都对内部控制，组织中的每一个人都对内部控制负有责任。负有责任。第三、实现内部控制目标的第三、实现内部控制目标的手段是设计和执行控制手段是设计和执行控制政策及程序政策及程序。内部控制包括内部控制包括下列要素：下列要素：1 1、控制环境、控制环境 控制环境包括治理职能和管理职能，以及治理层控制环境包括治理职能和管理职能，以及治理层和管理层对和管理层对内部控制及其重要性的态度、认识和措施内部控制及其重要性的态度、认识和措施。18 控制环境薄弱往往意味着被审计单位财务报表层次的控制环境薄弱往往意味着被审计单位财务报表层次的重大错报风险重大错报风险。（1）对诚信和道德价值观念的沟通与落实对诚信和道德价值观念的沟通与落实是否是否有书面的有书面的行为规范并向所有员工传达；行为规范并向所有员工传达；企业文化企业文化是否强调诚信和道德价值观念的重要性；是否强调诚信和道德价值观念的重要性；管理层是否管理层是否身体力行身体力行，高级管理人员是否起表率作用；，高级管理人员是否起表率作用；对违反有关政策和行为规范的情况是否采取适当的惩对违反有关政策和行为规范的情况是否采取适当的惩罚措施。罚措施。19 （2 2）对胜任能力的重视）对胜任能力的重视 包括管理层包括管理层对特定工作所需的胜任能力水平的设定对特定工作所需的胜任能力水平的设定，以及，以及对达到该水平所必需的知识和能力的要求对达到该水平所必需的知识和能力的要求。财会人员财会人员以及以及信息管理人员信息管理人员是否具备与被审计单位业务是否具备与被审计单位业务性质和复杂程度相称的足够的胜任能力和培训，在发生错误时，性质和复杂程度相称的足够的胜任能力和培训，在发生错误时，是否通过调整人员或系统来加以处理；是否通过调整人员或系统来加以处理；管理层是否配备管理层是否配备足够的财会人员足够的财会人员以适应业务发展和有关以适应业务发展和有关方面的需要；方面的需要；财会人员是否具备理解和运用会计准则所需的财会人员是否具备理解和运用会计准则所需的技能技能。20（3 3）治理层的参与程度治理层的参与程度 被审计单位的被审计单位的控制环境在很大程度上受治理层的影响控制环境在很大程度上受治理层的影响。治理层对控制环境影响的要素有治理层对控制环境影响的要素有：治理层相对于管理层：治理层相对于管理层的的独立性独立性、成员的、成员的经验和品德经验和品德、对被审计单位业务活动的、对被审计单位业务活动的参参与程度与程度、治理层行为的、治理层行为的适当性适当性、治理层所、治理层所获得的信息获得的信息、管理、管理层对治理层所层对治理层所提出问题的追踪程度提出问题的追踪程度，以及治理层与内部审计，以及治理层与内部审计人员和注册会计师的联系程度等。人员和注册会计师的联系程度等。21（4 4）管理层的理念和经营风格）管理层的理念和经营风格 衡量管理层对内部控制重视程度的重要标准，是管理衡量管理层对内部控制重视程度的重要标准，是管理层层收到有关内部控制缺陷及违规事件的报告时收到有关内部控制缺陷及违规事件的报告时是否是否做出适做出适当反应当反应。（5 5）组织结构及职权与责任的分配）组织结构及职权与责任的分配 组织结构将影响权利、责任和工作任务在组织成员中组织结构将影响权利、责任和工作任务在组织成员中的分配。的分配。（6 6）人力资源政策与实务）人力资源政策与实务 政策与程序（包括内部控制）的有效性，通常取决于政策与程序（包括内部控制）的有效性，通常取决于执行人，很大程度上取决于其人事政策与实务。执行人，很大程度上取决于其人事政策与实务。22 在在对人力资源对人力资源政策与实务进行政策与实务进行了解和评估时了解和评估时，考虑，考虑的的主要因素主要因素可能包括：可能包括：雇用、培训、考核、晋升、工薪、调动和辞退员工雇用、培训、考核、晋升、工薪、调动和辞退员工方面是否都有适当的政策和程序；方面是否都有适当的政策和程序；是否有书面是否有书面的岗位职责手册，或者是否做了适当的的岗位职责手册，或者是否做了适当的沟通和交流；沟通和交流；人力资源政策与人力资源政策与程序是否清晰程序是否清晰，并且定期发布和更，并且定期发布和更新；新；是否设定是否设定适当程序适当程序，对分散在各地区和海外的人员，对分散在各地区和海外的人员建立和沟通人力资源政策与程序。建立和沟通人力资源政策与程序。23 控制环境控制环境对重大错报风险的评估具有对重大错报风险的评估具有广泛影响广泛影响，注，注册会计师应当考虑控制环境的总体优势是否为内部控册会计师应当考虑控制环境的总体优势是否为内部控制的其他要素提供了适当的基础，并且未被控制环境制的其他要素提供了适当的基础，并且未被控制环境中存在的缺陷所削弱。中存在的缺陷所削弱。控制环境本身并不能防止或发现并纠正控制环境本身并不能防止或发现并纠正各类交易、各类交易、账户余额、列报认定层次的重大错报。应当将控制环账户余额、列报认定层次的重大错报。应当将控制环境境连同其他内部控制要素连同其他内部控制要素产生的影响一并考虑。产生的影响一并考虑。242 2、风险评估过程、风险评估过程 可能产生风险的事项和情形包括：可能产生风险的事项和情形包括：（1 1）监管及经营环境的）监管及经营环境的变化变化：（2 2）新新员工的加入：员工的加入：（3 3）新新信息系统的使用或对原系统进行升级：信息系统的使用或对原系统进行升级：（4 4）业务快速发展：）业务快速发展：（5 5）新新技术：技术：（6 6）新新生产型号、产品和业务活动：生产型号、产品和业务活动：（7 7）企业重组：）企业重组：（8 8）发展海外经营：）发展海外经营：（9 9）新新的会计准则：的会计准则：25 被审计单位的风险评估过程包括被审计单位的风险评估过程包括识别与财务报告识别与财务报告相关的经营风险相关的经营风险，以及，以及针对这些风险所采取的措施针对这些风险所采取的措施。在评价被审计单位风险评估过程的设计和执行时，在评价被审计单位风险评估过程的设计和执行时，应当了解管理层如何：应当了解管理层如何：（1 1）识别识别与财务报告相关的经营风险；与财务报告相关的经营风险；（2 2）估计估计该风险的重要性；该风险的重要性；（3 3）评估评估风险发生的可能性；风险发生的可能性；（4 4）采取采取措施管理这些风险。措施管理这些风险。26 如果如果发现与财务报表有关的风险因素发现与财务报表有关的风险因素，注册会计，注册会计师可师可通过通过向管理层向管理层询问和检查询问和检查有关文件有关文件确定确定被审计单被审计单位的风险评估过程位的风险评估过程是否也发现了该风险是否也发现了该风险；如果识别出；如果识别出管理层未能识别的重大错报风险管理层未能识别的重大错报风险，注册会计师，注册会计师应当考应当考虑虑被审计单位的风险评估过程被审计单位的风险评估过程为何没有识别为何没有识别出这些风出这些风险，以及险，以及评估过程是否适合于具体环境评估过程是否适合于具体环境。273 3、信息系统与沟通、信息系统与沟通 与财务报告相关的与财务报告相关的信息系统应当与业务流程相适应信息系统应当与业务流程相适应。注册会计师应当从下列方面了解与财务报告相关的信息系注册会计师应当从下列方面了解与财务报告相关的信息系统：统：（1 1）在经营过程中，对财务报表具有重大影响的各类）在经营过程中，对财务报表具有重大影响的各类交易交易。（2 2）在信息技术和人工系统中，交易生成、记录、处理和）在信息技术和人工系统中，交易生成、记录、处理和报告的报告的程序程序。（3 3）与交易生成、记录、处理和报告有关的）与交易生成、记录、处理和报告有关的会计记录会计记录、支、支持性信息和财务报表的特定项目。持性信息和财务报表的特定项目。28（4 4）信息系统如何获取除各类交易之外的对财务报表）信息系统如何获取除各类交易之外的对财务报表具有重大影响的事项和情况的信息，具有重大影响的事项和情况的信息，（5 5）被审计单位编制财务报告的过程，包括做出的重）被审计单位编制财务报告的过程，包括做出的重大会计估计和披露。大会计估计和披露。（6 6）管理层）管理层凌驾凌驾于账户记录控制之上的风险。于账户记录控制之上的风险。特别关注特别关注由于由于管理层凌驾管理层凌驾于于账户记录控制之上，或规账户记录控制之上，或规避控制行为而产生的重大错报风险，并考虑被审计单位如避控制行为而产生的重大错报风险，并考虑被审计单位如何纠正不正确的交易处理何纠正不正确的交易处理。294 4、控制活动、控制活动 控制活动是指有助于确保管理层的指令得以执行控制活动是指有助于确保管理层的指令得以执行的政策和程序。的政策和程序。（1 1）授权。）授权。授权的授权的目的目的在于保证交易在管理层授在于保证交易在管理层授权范围内进行。权范围内进行。一般授权一般授权是指管理层制定的要求组织内部遵守是指管理层制定的要求组织内部遵守的普遍适用于某类交易或活动的政策。的普遍适用于某类交易或活动的政策。特别授权特别授权是指管理层针对特定类别的交易或活是指管理层针对特定类别的交易或活动逐一设置的授权，如重大资本支出和股票发行等。动逐一设置的授权，如重大资本支出和股票发行等。30（2 2）业绩评价）业绩评价 注册会计师应当了解被审计单位与业绩评价有关的控制注册会计师应当了解被审计单位与业绩评价有关的控制活动，主要包括：活动，主要包括：分析评价实际业绩与分析评价实际业绩与预算（或预测、前期业绩）的差异预算（或预测、前期业绩）的差异；综合分析财务数据与经营数据的内在关系综合分析财务数据与经营数据的内在关系；将内部数据将内部数据与外部信息来源相比较与外部信息来源相比较；评价职能部门、分支机构或项目活动的业绩；评价职能部门、分支机构或项目活动的业绩；对发现的异常差异或关系采取必要的调查与纠正措施对发现的异常差异或关系采取必要的调查与纠正措施。31（3 3）信息处理）信息处理 信息处理控制分为信息处理控制分为一般控制一般控制和和应用控制应用控制；一般控制是针对计算机的控制，应用控制是针对一般控制是针对计算机的控制，应用控制是针对具体业务控制。具体业务控制。一般控制一般控制存在缺陷存在缺陷导致财务报表层导致财务报表层的重大错报风险；的重大错报风险；应用控制应用控制存在缺陷存在缺陷导致认定层导致认定层的重大错报风险。的重大错报风险。32（4 4）实物控制）实物控制 实物控制主要包括对实物控制主要包括对资产资产和和记录记录采取适当的采取适当的安全保护措施，对安全保护措施，对访问计算机程序和数据文件设访问计算机程序和数据文件设置授权置授权，以及，以及定期盘点并将盘点记录与会计记录定期盘点并将盘点记录与会计记录相核对相核对。例如例如，现金、有价证券和存货的定期盘点控，现金、有价证券和存货的定期盘点控制。实物控制的效果影响资产的安全，从而对财制。实物控制的效果影响资产的安全，从而对财务报表的可靠性及审计产生影响。务报表的可靠性及审计产生影响。33（5 5）职责分离）职责分离 了解职责分离主要是了解被审计单位如何将了解职责分离主要是了解被审计单位如何将交易授权、交易记录以及资产保管交易授权、交易记录以及资产保管等职责分配等职责分配给不同员工，以防范同一员工在履行多项职责给不同员工，以防范同一员工在履行多项职责时可能发生的舞弊或错误。当信息技术运用于时可能发生的舞弊或错误。当信息技术运用于信息系统时，职责分离可以通过设置安全控制信息系统时，职责分离可以通过设置安全控制来实现。来实现。34 5 5、对控制的监督、对控制的监督 对控制的监督是指评价内部控制在一段时间对控制的监督是指评价内部控制在一段时间内持续运行有效性的过程，包括及时评价控制的设内持续运行有效性的过程，包括及时评价控制的设计和运行，以及根据情况的变化采取必要的纠正措计和运行，以及根据情况的变化采取必要的纠正措施。施。控制在个别时点运行良好控制在个别时点运行良好+对控制的监督对控制的监督控控制在一个时期运行良好制在一个时期运行良好对控制的监督存在缺陷对控制的监督存在缺陷财务报表层的重大错财务报表层的重大错报风险报风险35 注册会计师在注册会计师在对整体层面的监督进行了解和评对整体层面的监督进行了解和评估估时，考虑的主要因素包括：时，考虑的主要因素包括：（1 1）被审计单位）被审计单位是否定期评价内部控制是否定期评价内部控制；（2 2）人员在履行正常职责时，能够）人员在履行正常职责时，能够在多大程度在多大程度上上获得获得内部控制内部控制是否有效运行是否有效运行的的证据证据；（3 3）与）与外部外部的的沟通沟通能够在多大程度上能够在多大程度上证实证实内部产内部产生的信息或者指出生的信息或者指出存在的问题存在的问题；36（4 4）管理层）管理层是否采纳是否采纳内部审计人员和注册会计内部审计人员和注册会计师有关内部控制的师有关内部控制的建议建议；（5 5）管理层）管理层是否及时纠正是否及时纠正控制运行中的控制运行中的偏差偏差；（6 6）管理层根据监管机构的）管理层根据监管机构的报告及建议是否报告及建议是否及及时采取时采取纠正纠正措施；措施；（7 7）是否存在是否存在协助管理层监督内部控制的协助管理层监督内部控制的职能职能部门部门(如内部审计部门如内部审计部门)。37【例题【例题22单选题单选题】在下列各项中，不属于在下列各项中，不属于内部控制要素的是内部控制要素的是()。A.A.控制风险控制风险 B.B.控制活动控制活动 C.C.对控制的监督对控制的监督 D.D.控制环境控制环境【答案【答案A A】38【例题【例题33单选题单选题】在了解甲公司内部控制时，在了解甲公司内部控制时，A A注册注册会计师最应当关注的是会计师最应当关注的是()()。A.A.内部控制是否按照管理层的意图，实现了经营效率内部控制是否按照管理层的意图，实现了经营效率B.B.内部控制是否能够防止或发现并纠正错误或舞弊内部控制是否能够防止或发现并纠正错误或舞弊C.C.内部控制是否明确区分控制要素内部控制是否明确区分控制要素D.D.内部控制是否没有因串通而失效内部控制是否没有因串通而失效【答案【答案B B】39（二）内部控制的局限性（二）内部控制的局限性 内部控制存在固有局限性，无论如何设计和执内部控制存在固有局限性，无论如何设计和执行，只能对财务报告的可靠性提供合理的保证。行，只能对财务报告的可靠性提供合理的保证。内部控制存在的内部控制存在的固有局限性包括固有局限性包括：1 1、在决策时、在决策时人为判断人为判断可能出现错误和由于可能出现错误和由于人为人为失误失误而导致内部控制失效。而导致内部控制失效。2 2、可能由于两个或更多的人员进行、可能由于两个或更多的人员进行串通串通或或管理管理层凌驾层凌驾于内部控制之上而被规避。于内部控制之上而被规避。40 其他其他固有局限性固有局限性：3 3、人的素质人的素质：如果行使控制职能的人员素质不适：如果行使控制职能的人员素质不适应岗位要求，影响控制功能的正常发挥。应岗位要求，影响控制功能的正常发挥。4 4、成本效益成本效益：当实施控制的成本大于不加控制而：当实施控制的成本大于不加控制而发生损失时，就没有必要实施控制措施。发生损失时，就没有必要实施控制措施。5 5、异常情况异常情况：内部控制一般都是针对经常而重复：内部控制一般都是针对经常而重复发生的业务而设置的，如果出现不经常发生或未预发生的业务而设置的，如果出现不经常发生或未预计到的业务，原有控制就可能不适用。计到的业务，原有控制就可能不适用。41【例题【例题4 4】内部控制无论如何设计和执行只能对财内部控制无论如何设计和执行只能对财务报告的可靠性提供合理保证，其原因是务报告的可靠性提供合理保证，其原因是()。A.A.建立和维护内部控制是丙公司管理层的职责建立和维护内部控制是丙公司管理层的职责 B.B.内部控制的成本不应超过预期带来的收益内部控制的成本不应超过预期带来的收益 C.C.在决策时人为判断可能出现错误在决策时人为判断可能出现错误 D.D.对资产和记录采取适当的安全保护措施是丙公对资产和记录采取适当的安全保护措施是丙公司管理层应当履行的经管责任司管理层应当履行的经管责任【答案【答案】C C42（三）与审计相关的控制（三）与审计相关的控制 注册会计师需要了解和评价的内部控制只是注册会计师需要了解和评价的内部控制只是与与财务报表审计相关的内部控制，并非被审计单位所有财务报表审计相关的内部控制，并非被审计单位所有的内部控制。的内部控制。1 1、为实现财务报告可靠性目标设计和实施的控制、为实现财务报告可靠性目标设计和实施的控制 与审计相关的控制，包括被审计单位为实现财务与审计相关的控制，包括被审计单位为实现财务报告可靠性目标设计和实施的控制。报告可靠性目标设计和实施的控制。43 2 2、保证经营效率、效果的控制以及对法律法、保证经营效率、效果的控制以及对法律法规遵守的控制规遵守的控制 如果用以保证经营效率、效果的控制以及对如果用以保证经营效率、效果的控制以及对法律法规遵守的控制法律法规遵守的控制与实施审计程序时评价或与实施审计程序时评价或使用的数据相关使用的数据相关，注册会计师应当考虑这些控，注册会计师应当考虑这些控制可能与审计相关。制可能与审计相关。443 3、其他与审计相关的内部控制、其他与审计相关的内部控制 了解保护资产的内部控制各项要素时，可仅考了解保护资产的内部控制各项要素时，可仅考虑其中与财务报告可靠性目标相关的控制。虑其中与财务报告可靠性目标相关的控制。例如例如，保护存货安全的控制可能与审计相关保护存货安全的控制可能与审计相关，但在生产中防止材料浪费的控制通常就与审计不相但在生产中防止材料浪费的控制通常就与审计不相关，只有所用材料的成本没有在财务报表中如实反关，只有所用材料的成本没有在财务报表中如实反映，才会影响财务报表的可靠性。映，才会影响财务报表的可靠性。45【例题【例题55单选题单选题】C C注册会计师没有义务实施的注册会计师没有义务实施的程序是程序是()。A.A.查找丙公司内部控制运行中的所有重大缺陷查找丙公司内部控制运行中的所有重大缺陷B.B.了解丙公司情况及其环境了解丙公司情况及其环境C.C.实施审计程序，以了解丙公司内部控制的设计实施审计程序，以了解丙公司内部控制的设计D.D.实施穿行测试，以确定丙公司相关控制活动是实施穿行测试，以确定丙公司相关控制活动是否得到执行否得到执行【答案【答案】A A46（四）了解与评价内部控制（四）了解与评价内部控制 对内部控制了解的深度，是指在了解被审计单对内部控制了解的深度，是指在了解被审计单位及其环境时对内部控制了解的程度。包括评价控位及其环境时对内部控制了解的程度。包括评价控制的制的设计设计，并确定其，并确定其是否得到执行是否得到执行，但不包括对控，但不包括对控制是否得到一贯执行的测试。制是否得到一贯执行的测试。第一、评价控制的设计第一、评价控制的设计 评价控制的设计评价控制的设计是指是指考虑一项控制单独或连同其考虑一项控制单独或连同其他控制是否能够有效防止或发现并纠正重大错报。他控制是否能够有效防止或发现并纠正重大错报。47第二、获取控制设计和执行的审计证据第二、获取控制设计和执行的审计证据 注册会计师通常实施下列风险评估程序，以注册会计师通常实施下列风险评估程序，以获取有关控制设计和执行的审计证据：获取有关控制设计和执行的审计证据：1 1、询问被审计单位的人员；、询问被审计单位的人员；2 2、观察特定控制的运用；、观察特定控制的运用；3 3、检查文件和报告；、检查文件和报告；4 4、追踪交易在财务报告信息系统中的处理过、追踪交易在财务报告信息系统中的处理过程程(穿行测试穿行测试)。48 第三、了解内部控制的步骤第三、了解内部控制的步骤 了解内部控制包括四个重要的步骤：了解内部控制包括四个重要的步骤：第一步，第一步，识别识别需要降低哪些风险以预防财务报需要降低哪些风险以预防财务报表中发生重大错报。表中发生重大错报。第二步，第二步，记录记录相关的内部控制。相关的内部控制。第三步，第三步，评估评估控制的执行。控制的执行。第四步，第四步，评估评估内部控制的设计。内部控制的设计。491 1、在整体层面了解和评估内部控制、在整体层面了解和评估内部控制 背景：背景：整体层面的内部控制是否有效将直接影响重要业整体层面的内部控制是否有效将直接影响重要业务流程层面控制的有效性，进而影响拟实施的进一步审计程务流程层面控制的有效性，进而影响拟实施的进一步审计程序的性质、时间和范围。序的性质、时间和范围。程序程序：询问被审计单位人员、观察特定控制的应用、检询问被审计单位人员、观察特定控制的应用、检查文件和报告、穿行测试。查文件和报告、穿行测试。核心核心：在了解时，需要特别注意内部控制的构成要素在：在了解时，需要特别注意内部控制的构成要素在实际中是否得到执行。实际中是否得到执行。内容内容(深度深度)：在了解构成要素时，应对整体层面的内部：在了解构成要素时，应对整体层面的内部控制的设计进行评价，并确定其是否得到执行。控制的设计进行评价，并确定其是否得到执行。502 2、在业务流程层面了解内部控制、在业务流程层面了解内部控制(1)(1)确定被审计单位的确定被审计单位的重要业务流程和重要交易类重要业务流程和重要交易类别别；(2)(2)了解重要交易流程了解重要交易流程，并记录获得的了解；，并记录获得的了解；(3)(3)确定可能确定可能发生错报的环节发生错报的环节；(4)(4)识别和了解相关控制识别和了解相关控制；(5)(5)执行执行穿行测试穿行测试，证实对交易流程和相关控制的，证实对交易流程和相关控制的了解；了解；(6)(6)进行进行初步评价和风险评估初步评价和风险评估。51 (1)(1)确定重要业务流程和重要交易类别确定重要业务流程和重要交易类别 确定重要业务流程，是将整个经营活动确定重要业务流程，是将整个经营活动划分划分为为几个重要的业务循环几个重要的业务循环，有助于注册会计师更有效，有助于注册会计师更有效地了解和评估重要业务流程及相关控制。地了解和评估重要业务流程及相关控制。确定重要交易类别，是指确定重要交易类别，是指确定确定对被审计单位对被审计单位财务报表产生财务报表产生重大影响重大影响的各类交易。重要交易类别的各类交易。重要交易类别应与账户及其认定相联系，也包括对财务报表具有应与账户及其认定相联系，也包括对财务报表具有重大影响的事项和情况。重大影响的事项和情况。52(2)(2)了解重要交易流程，并进行记录了解重要交易流程，并进行记录 程序：程序：注册会计师可以通过下列方法获得对重要注册会计师可以通过下列方法获得对重要交易流程的了解：交易流程的了解：检查被审计单位的手册和其他书面指引；检查被审计单位的手册和其他书面指引；询问被审计单位的适当人员；询问被审计单位的适当人员；观察所运用的处理方法和程序；观察所运用的处理方法和程序；穿行测试。穿行测试。53(3)(3)确定可能发生错报的环节确定可能发生错报的环节 确定控制目标确定控制目标控制目标控制目标1 1、完整性：所有的有效交易都已记录、完整性：所有的有效交易都已记录2 2、存在和发生：每项已记录的交易均真实、存在和发生：每项已记录的交易均真实3 3、适当计量交易、适当计量交易4 4、恰当确定交易生成的会计期间、恰当确定交易生成的会计期间(截止性截止性)5 5、恰当分类、恰当分类6 6、正确汇总和过账、正确汇总和过账54将控制目标与将控制目标与“有没有有没有”控制程序相联系控制程序相联系控制程序与控制程序与“薄弱环节薄弱环节”相联系相联系 销售交易中的控制目标示例销售交易中的控制目标示例控制目标是否实现的问题控制目标是否实现的问题有关认定有关认定怎样确保没有记录虚构或重复的销售？怎样确保没有记录虚构或重复的销售？怎样确保所有的销售和收款均已记录？怎样确保所有的销售和收款均已记录？怎样保证货物运送给正确的收货人？怎样保证货物运送给正确的收货人？怎样保证发货单据只有在实际发货时才开具？怎样保证发货单据只有在实际发货时才开具？怎样保证发票正确反映了发货的数量？怎样保证发票正确反映了发货的数量？发生发生完整性完整性发生发生发生发生准确性准确性55（4 4）识别和了解相关控制）识别和了解相关控制 一般而言，如果到此为止了解到业务流程层一般而言，如果到此为止了解到业务流程层面的面的某些控制是无效某些控制是无效的，或者注册会计师并不打的，或者注册会计师并不打算信赖控制，就算信赖控制，就没有必要进一步了解没有必要进一步了解在业务流程在业务流程层面的控制。层面的控制。例外情况：例外情况：如果认为如果认为仅通过实质性程序仅通过实质性程序无法无法将认定层次的检查风险将认定层次的检查风险降至可接受的水平降至可接受的水平，或或者者针对针对特别风险特别风险，注册会计师应当，注册会计师应当了解和评估了解和评估相关相关的的控制活动控制活动。56 控制的类型控制的类型 控制包括在交易流程中防止错报的发生控制包括在交易流程中防止错报的发生(预防性，预防性，错报前控制错报前控制)或在发生错报后发现与纠正错报或在发生错报后发现与纠正错报(检查检查性，错报后控制性，错报后控制)的所有政策和程序。的所有政策和程序。预防性控制预防性控制。预防性控制通常用于正常业务流。预防性控制通常用于正常业务流程的每一项交易，以防止错报的发生。程的每一项交易，以防止错报的发生。57预防性控制示例预防性控制示例对控制的描述对控制的描述控制用来防止的错报控制用来防止的错报生成收货报告的计算机程序，生成收货报告的计算机程序，同时也更新采购档案同时也更新采购档案购货漏记账的情况购货漏记账的情况在更新采购档案之前必须先在更新采购档案之前必须先有收货报告有收货报告记录了未收到购货的情记录了未收到购货的情况况销货发票上的价格根据价格销货发票上的价格根据价格清单上的信息确定清单上的信息确定销货计价错误销货计价错误计算机将各凭证上的账户号计算机将各凭证上的账户号码与会计科目表对比，然后码与会计科目表对比，然后进行一系列的逻辑测试进行一系列的逻辑测试出现分类错报出现分类错报58检查性控制检查性控制。建立检查性控制的目的是发现流程。建立检查性控制的目的是发现流程中可能发生的错报。中可能发生的错报。检查性控制示例检查性控制示例对控制的描述对控制的描述控制预期查出的错报控制预期查出的错报定期编制银行存款余额调节定期编制银行存款余额调节表，跟踪调查挂账的项目表，跟踪调查挂账的项目 在对其他项目进行审核的同在对其他项目进行审核的同时，查找存入银行但没有记入时，查找存入银行但没有记入日记账的现金收入，未记录的日记账的现金收入，未记录的银行现金支付或虚构入账的不银行现金支付或虚构入账的不真实的银行现金收入或支付，真实的银行现金收入或支付，未及时入账或未正确汇总分类未及时入账或未正确汇总分类的银行现金收入或支付的银行现金收入或支付59 检查性控制示例检查性控制示例对控制的描述对控制的描述控制预期查出的错报控制预期查出的错报将预算与实际费用间的差异将预算与实际费用间的差异列入计算机编制的报告中并列入计算机编制的报告中并由部门经理复核。记录所有由部门经理复核。记录所有超过预算超过预算2 2的差异情况和的差异情况和解决措施解决措施在对其他项目进行审核的同时，在对其他项目进行审核的同时，查找本月发生的重大分类错报查找本月发生的重大分类错报或没有记录及没有发生的大笔或没有记录及没有发生的大笔收入、支出以及相关联的资产收入、支出以及相关联的资产和负债项目和负债项目计算机每天比较运出货物的计算机每天比较运出货物的数量和开票数量。如果发现数量和开票数量。如果发现差异，产生报告，由开票主差异，产生报告，由开票主管复核和追查管复核和追查查找没有开票和记录的出库货查找没有开票和记录的出库货物物 发货未开票：存货发货未开票：存货-存在、存在、收入收入-完整性完整性，以及与真实发，以及与真实发货无关的发票货无关的发票 开票未发货：开票未发货：收入收入-发生发生 每季度复核应收账款贷方余每季度复核应收账款贷方余额并找出原因额并找出原因查找未予入账的发票和销售与查找未予入账的发票和销售与现金收入中的分类错误现金收入中的分类错误60 如果确信存在以下情况，那么就可以将如果确信存在以下情况，那么就可以将检查检查性控制作为一个主要的手段性控制作为一个主要的手段，来合理保证某特定，来合理保证某特定认定发生重大错报的可能性较小：认定发生重大错报的可能性较小：（1 1）控制所检查的数据是完整、可靠的；）控制所检查的数据是完整、可靠的；（2 2）控制对于发现重大错报足够敏感；）控制对于发现重大错报足够敏感；（3 3）发现的所有重大错报都将被纠正。）发现的所有重大错报都将被纠正。61 识别和了解相关控制识别和了解相关控制 识别和了解的程序：识别和了解的程序：“从高到低从高到低”地询问被审地询问被审计单位各级别的负责人员。计单位各级别的负责人员。先询问级别较高的人员先询问级别较高的人员，以确定他们认为应，以确定他们认为应该运行哪些控制，以及哪些控制是重要的。该运行哪些控制，以及哪些控制是重要的。再询问级别较低的人员再询问级别较低的人员，从级别较低人员处，从级别较低人员处获取的信息，应向级别较高的人员核实其完整性，获取的信息，应向级别较高的人员核实其完整性，以确定他们是否与级别较高的人员所理解的预定以确定他们是否与级别较高的人员所理解的预定控制相符。控制相符。62 在实务中，注册会计师还会特别考虑在实务中，注册会计师还会特别考虑一项检一项检查性控制发现和纠正错报的能力查性控制发现和纠正错报的能力。例如例如，将实际发货数量与开票数量进行核，将实际发货数量与开票数量进行核对调节的程序，比复核毛利率或进行实际销售和对调节的程序，比复核毛利率或进行实际销售和预算销售的比较更能发现未开票的发货。预算销售的比较更能发现未开票的发货。(5)(5)执行穿行测试执行穿行测试 执行穿行测试通常可获得执行穿行测试通常可获得6 6方面的证据：方面的证据：确认对业务流程的了解；确认对业务流程的了解；63确认对确认对重要交易重要交易的了解是完整的，即所有与认的了解是完整的，即所有与认定相关的可能错报环节都已识别；定相关的可能错报环节都已识别；确认所确认所获取获取的有关流程中的预防性控制和检查的有关流程中的预防性控制和检查性控制信息的准确性；性控制信息的准确性；评估控制设计的评估控制设计的有效性有效性；确认控制是否得到确认控制是否得到执行执行；确认之前所做的书面记录的确认之前所做的书面记录的准确性准确性。64 如果不打算信赖控制如果不打算信赖控制，注册会计师，注册会计师仍需要执行仍需要执行穿行测试穿行测试以确认以前对业务流程及可能发生错报以确认以前对业务流程及可能发生错报环节了解的环节了解的准确性和完整性准确性和完整性。对于对于重要的业务流程重要的业务流程，不管是人工控制还是自，不管是人工控制还是自动化控制，注册会计师都要动化控制，注册会计师都要对整个流程执行穿行对整个流程执行穿行测试测试，涵盖交易从发生到记账的整个过程。，涵盖交易从发生到记账的整个过程。65 (6)(6)初步评价和风险评估初步评价和风险评估 对控制的初步评价对控制的初步评价的的评价结论评价结论可能是：可能是：所设计的所设计的控制单独或连同其他控制能够防止或发控制单独或连同其他控制能够防止或发现并纠正重大错报，并得到执行现并纠正重大错报，并得到执行；控制本身的控制本身的设计是合理的，但没有得到执行设计是合理的，但没有得到执行；控制本身的控制本身的设计就是无效设计就是无效的或缺乏必要的控制。的或缺乏必要的控制。66风险评估需考虑的因素：风险评估需考虑的因素：账户特征及已识别的重大错报风险账户特征及已识别的重大错报风险；对被审计单位对被审计单位整体层面控制的评价整体层面控制的评价。评价决策：评价决策：控制本身的控制本身的设计是否合理设计是否合理；控制控制是否得到执行是否得到执行；是否更多地信赖是否更多地信赖控制控制并拟并拟实施控制测试实施控制测试。除非存在某些可以使控制得到一贯运行的自动化控制除非存在某些可以使控制得到一贯运行的自动化控制，对，对控制的了解和评价并不能够代替对控制运行有效性的测试。控制的了解和评价并不能够代替对控制运行有效性的测试。67 (7)(7)对财务报告流程的了解对财务报告流程的了解财务报告流程和控制与财务报表的列报认定直接财务报告流程和控制与财务报表的列报认定直接相关相关。财务报告流程包括：财务报告流程包括：将业务将业务数据汇总数据汇总记入总账的程序；记入总账的程序；在在总账中总账中生成、记录和处理会计分录的程序；生成、记录和处理会计分录的程序；记录记录对财务报表常规和非常规调整的程序；对财务报表常规和非常规调整的程序；草拟草拟财务报表和相关披露的程序。财务报表和相关披露的程序。68 四、评估重大错报风险四、评估重大错报风险 评估财务报表层次和认定层次的重大错报风险时评估财务报表层次和认定层次的重大错报风险时考考虑的因素虑的因素(一一)评估重大错报风险的审计程序评估重大错报风险的审计程序 在评估重大错报风险时，注册会计师应当实施下列在评估重大错报风险时，注册会计师应当实施下列审计程序。审计程序。1 1、在了解被审计单位及其环境的、在了解被审计单位及其环境的整个过程中整个过程中识别识别风险，并考虑各类交易、账户余额、列报。风险，并考虑各类交易、账户余额、列报。692 2、将识别的风险与认定层次可能发生错报的领域、将识别的风险与认定层次可能发生错报的领域相联系相联系例如例如，销售困难使产品的市场价格下降，可能导，销售困难使产品的市场价格下降，可能导致年末存货成本高于其可变现净值而需要计提存货致年末存货成本高于其可变现净值而需要计提存货跌价准备，这显示存货的计价认定可能发生错报。跌价准备，这显示存货的计价认定可能发生错报。3 3、考虑识别的风险是否重大、考虑识别的风险是否重大4 4、考虑识别的风险导致财务报表发生重大错报的、考虑识别的风险导致财务报表发生重大错报的可能性可能性 70【例题【例题66多选题多选题】在识别和评估重大错报风险在识别和评估重大错报风险时，时，A A注册会计师可能实施的审计程序有注册会计师可能实施的审计程序有()()。A.A.识别甲公司所有的经营风险识别甲公司所有的经营风险B.B.考虑识别的错报风险导致财务报表发生重大考虑识别的错报风险导致财务报表发生重大错报的可能性错报的可能性C.C.考虑识别的错报风险是否重大考虑识别的错报风险是否重大D.D.将识别的错报风险与认定层次可能发生错报将识别的错报风险与认定层次可能发生错报的领域相联系的领域相联系【答案【答案】BCDBCD71(二二)重大错报风险的层次重大错报风险的层次(三三)内部控制对财务报表的可审计性的影响内部控制对财务报表的可审计性的影响 如果通过对内部控制的了解发现下列情况，并对财务报如果通过对内部控制的了解发现下列情况，并对财务报表表局部或整体局部或整体的可审计性产生疑问，注册会计师应当考虑出的可审计性产生疑问，注册会计师应当考虑出具具保留意见或无法表示意见保留意见或无法表示意见的审计报告：的审计报告：(1)(1)被审计单位会计记录的状况和可靠性存在重大问题，被审计单位会计记录的状况和可靠性存在重大问题，不能获取充分、适当的审计证据以发表无保留意见；不能获取充分、适当的审计证据以发表无保留意见；(2)(2)对管理层的对管理层的诚信诚信存在严重疑虑。存在严重疑虑。必要时，注册会计师应当考虑解除业务约定必要时，注册会计师应当考虑解除业务约定72【例题【例题77单选题单选题】甲公司存