审计风险评估与应对[教师助手]

1、涉及准则： 1121号准则了解被审计单位及其环境 并评估重大错报风险 1201号准则计划审计工作 1231号准则针对评估的重大错报风险 实施的程序 1. 风险导向审计的含义 2. 风险评估 2.1 了解被审计单位及其环境 2.2 了解被审计单位的内部控制 2.2.1 内部控制的概念 2.2.2 内部控制的发展历史 2.2.3 内部控制的要素 2.3 评估重大错报风险 3. 审计风险的应对 3.1 报表层次风险的应对 3.2 认定层次风险的应对 4. 了解被审计单位情况：另一种思路（阅读 材料） 风险导向审计（risk-oriented auditing）： 即审计的执行以风险评估为基础，审计师

2、 将注意力集中于最可能出现错报和舞弊的 领域。 风险导向审计的思路可以用下图表示： 新客户的接纳和老客户的续聘 制定审计计划 终结审计出具审计报告 评估风险 了解被审计 单位的情况 评价内部 控制制度 执行初步 分析程序 收集和评价审计证据 收入 循环 支出 循环 生产 循环 筹资投 资循环 工资 循环 了解被审计单位及其环境是必要程序，特 别是为注册会计师在下列关键环节作出职 业判断提供重要基础： （一）确定重要性水平，并随着审计工作 的进程评估对重要性水平的判断是否仍然 适当； （二）考虑会计政策的选择和运用是否恰 当，以及财务报表的列报（包括披露，下 同）是否适当； （三）识别需要特别考

3、虑的领域，包括关 联方交易、管理层运用持续经营假设的合 理性，或交易是否具有合理的商业目的等； （四）确定在实施分析程序时所使用的预 期值； （五）设计和实施进一步审计程序，以将 审计风险降至可接受的低水平； （六）评价所获取审计证据的充分性和适 当性。 概括起来，了解被审计单位的环境及其环 境，其目的就是为了确定重要性和审计风 险水平，进而作出审计决策，以获得充分 适当的审计证据，以实现审计目标。 审计决策包括：采取什么样的取证方法？ 选取多大的样本？如何选择样本？何时取 证？ 注册会计师应当实施下列风险评估程序以 了解被审计单位及其环境（p.57-59）： （一）询问被审计单位管理层和内部

4、其他 相关人员； （二）分析程序； （三）观察和检查。 从被审计单位外部获取相关信息。 （一）行业状况、法律环境与监管环境以 及其他外部因素； （二）被审计单位的性质； （三）被审计单位对会计政策的选择和运 用； （四）被审计单位的目标、战略以及相关 经营风险； （五）被审计单位财务业绩的衡量和评价； （六）被审计单位的内部控制。 如何了解被审计单位及其环境，Arens等的 第15版审计教材第八章给出了下面的图， 具体在p.214-218。 雇员雇员A 财物的财物的 保管保管 雇员雇员B 独立的独立的 记录记录 雇员雇员C 雇员雇员C定期盘点定期盘点A 保管的财物并与保管的财物并与B 的记录核

5、对的记录核对 图图2 2：职责分离示意图：职责分离示意图 【Question】试从该图 说明职责分离有何作用？ 往 29 页 内部控制是被审计单位为了合理保证财务合理保证财务 报告的可靠性报告的可靠性、经营的效率和效果经营的效率和效果以及对对 法律法规的遵守法律法规的遵守，由治理层、管理层和其 他人员设计和执行的政策和程序政策和程序（1211号 准则第46条）。这实际上是COSO定义的 内部控制。 COSO: Committee of Sponsoring Organiz- ations。上世纪70年代末80年代初，美国很 多公司因通货膨胀而倒闭，与此相伴随的 是公司做假账，注册会计师未能尽到

6、责任。 美国国会试图通过立法来规范会计与审计 行为，但未能成功。于是成立了一个 National Commission on Fraudulent Financial Reporting（虚假财务报告全国委 员会）对虚假财务报告进行研究。该委员 会由美国五个会计职业团体提供赞助，它 们是IIA（内部审计协会）、AICPA（美国 注册会计师协会、总会计师协会（FEI）、 美国会计学会（AAA）以及管理会计师协 IMA）。 1987年，COSO发布了第一份虚假财务报 告研究报告，指出了内部控制对预防财务 造假的重要性，并呼吁经理层报告其内部 控制系统的有效性。报告还指出良好的内 部控制环境、道德行

7、为规范、尽职且有胜 任能力的审计委员会和强健的内部审计是 良好内部控制的关键构成要素。 1992年9月，COSO发布了名为内部控 制整体框架的研究报告（通常称为 COSO报告），对内部控制进行了定义并提 出了对内部控制进行评价的方法和程序。 2000年，COSO发布了一份名为企业风 险模型的研究报告的初稿，对1992年的 研究报告进行了扩展。 资料来源：Robert Moeller, 2004. Sarbance-Oxley and the New Internal Auditing Rules, pp.123-124。 2006年，COSO发布财务报告控制 小型公共公司指南； 2009年，发

8、布监督内部控制指南； 2013年，发布修订版内部控制整体 框架； 此外，COSO还分别于1987、1999和2010 年组织了对虚假财务报告的研究。 内部控制包括下列要素：（一）控制环境 （二）风险评估过程（三）信息与沟通 （四）控制活动（五）监督活动。 以下是内部控制要素图。 从上图可以看到，内部控制有三个目标， 五个要素，并在各个层次存在，即内部控 制应该是无处不在的。 2013年COSO修订的内部控制整体框架 将五个要素进一步细化为十七条原则。 控制环境：控制环境是对企业内部控制的 建立和实施有重大影响（增强或削弱）的 因素的总称。是内部控制的基础。 控制环境包括如下方面： （一）对诚信

9、和道德价值观念的沟通与落 实：通常决定于“顶层的基调” ；员工的 行为动机（不切实际的目标，过于严厉的 惩罚制度；职责划分；内部审计） （二）对胜任能力的重视：岗位的配备、 培训、检查和补救措施。 （三）治理层的参与程度：董事会、审计 委员会的独立性、胜任能力与工作作风 （是否尽职）。 （四）管理层的理念和经营风格。 （五）组织结构：组织实际上就是人员配 置方式，就是如何通过人员的分工与合作 达到组织的目标。“三权分立”制度与美 国的伊拉克政策。 影响企业达到其目标的因素就是风险。 风险评估的三个步骤： 1. 评估风险的严重程度； 2. 估计风险发生的可能性； 3. 考虑应采取哪些措施管理风险

10、。 是指那些确保风险控制措施得到执行的政 策和程序。一般包括如下方面： 业绩评价：将实际情况与标准进行比较， 发现异常情况及时采取纠正措施； 授权批准：一般授权与特殊授权； 信息处理（充分的记录）：保证信息安全； 实物控制：实物包括固定资产、存货、现 金和有价证券等。实物财产的保管制度、 实物盘点； 独立稽核：即监督有关措施是否得到执行； 职责分离（如图2）：不相容职务分离的目 的在于降低错误或舞弊行为的发生。 沟通就是信息的交换。信息系统与信息沟 通是两个不同的要素。COSO为了使内部控 制的内容简洁一点，将二者合并在一起。 信息系统：信息系统可以是正式的，也可 以是非正式的；既有对内部的，

11、也有对外 部的。 信息的质量：高质量的信息是内部控制有 效发挥作用的必备条件。 信息的内部沟通：沟通的渠道要畅通，信 息沟通是双向的，包括自上而下的沟通和 自下而上的沟通；正式的沟通和非正式的 沟通；通过正常渠道进行的沟通与秘密的 沟通等。 对外的沟通（与供应商、客户的沟通）： 也是双向的。对外的沟通不只是公关性质 的（宣传自己），而且信息要是外部利益 相关者所需要的真实的信息（否则就无异 于做假账了）。 沟通的方式：网站、布告、演讲、录像、 手册等多种方式。 监督：企业采取的用来保证内部控制措施 有效运行的程序。内部审计即是一例。 要对内部控制的有效性进行持续的评价， 及时对内部控制进行调整

12、，使其适应变化 了的环境，从而保持其有效性。 内部控制的评价步骤：了解内部控制的设 计辨认采取的内部控制措施测试内部 控制的有效性得出结论。与内部控制的 测评是一致的。 有效性的定义：合理保证达到组织的目标。 具体包括如下方面： 1. 内控五要素及其原则存在且发挥作用 2. 五个要素有机关联，共同发挥作用 从报表审计的角度来看，若内部控制有效， 意味着企业能够合理保证达到其报告目标， 即按照有关的规则、规定和准则以及企业 内部的报告要求编制各种报告，这意味着 会计报表按照会计准则的要求进行编制的 可能性比较高。反之，报表出现重大错报 的可能性比较高。 对内部控制的评价提供的是环境证据。 审计风

13、险 审计风险是指会计报表存在重大错报重大错报或漏漏 报报，而审计人员审计后发表不恰当审计意 见的可能性。 从审计目标的角度进行理解：报表审计是 为了评价会计报表是否符合会计准则。报 表与准则不一致即为错报（和漏报），如 果有重大的错报（和漏报），而CPA没发 现从而发表了错误的意见，就是审计风险。 这说明，审计风险之所以发生，首先要存 在错报（和漏报），如果没有错报（和漏 报），则不存在审计风险。 错报（和漏报）存在的可能称为固有风险 （Inherent risk）。 审计风险总是与重要性联系在一起的。重 要性的概念将在后面介绍，但这里可以举 一些例子加以说明。 重大错报审计风险与检查风险 4

14、1学校课堂 审计风险的两个层次 两个层次的重大错报风险：财务报表层次 的重大错报审计风险和认定层次的重大审 计风险。 认定层次的重大错报风险：固有风险和控 制风险。 新审计风险模型 新准则的审计风险模型 审计风险=重大错报风险检查风险 其中，重大错报风险是指财务报表在审计 前存在重大错报的可能性。 检查风险是指某一认定存在错报，该错报 单独或连同其他错报是重大的，但注册会 计师未能发现这种错报的可能性。 旧审计风险模型 审计风险=固有风险控制风险检查风险 固有风险（Inherent Risk)：假设有关被审 计项目的内部控制制度完全不存在的情况 下，该项目发生差错的可能性(IR)；注册会 计师

15、不能控制，但要进行估计。 控制风险(Control Risk)：某项目发生差错 的情况下，未被相关内部控制制度发现的 可能性(CR)；注册会计师不能控制，但要 合理进行估计。 检查风险(Detection Risk)：发生差错，未 被内部控制制度发现，又未被审计人员发 现的可能性(DR)。是审计风险模型三要素 中唯一能为注册会计师控制的。 原风险模型在认定层次仍然适用。 审计风险模型示意图审计风险模型示意图 新审计风险模型的提出可能由于以下原因： 固有风险和控制风险的评估无法区分。 Mark E. Haskins， Mark W. Dirsmith. Control and Inherent

16、Risk Assessment in Client Engagements: An Examination of Their Interdependencies. Journal of Accounting and Public Policy，1993 （14）：6383 识别和评估重大错报风险的审计程序 1211号审计准则第九十六条号审计准则第九十六条 注册会计师应 当识别和评估财务报表层次以及各类交易、 账户余额、列报认定层次的重大错报风险。 在识别和评估重大错报风险时，注册会计 师应当实施下列审计程序： （一）在了解被审计单位及其环境的整个 过程中识别风险，并考虑各类交易、账户 余额、列

17、报； 识别和评估重大错报风险的审计程序 （二）将识别的风险与认定层次认定层次可能发生 错报的领域相联系； （三）考虑识别的风险是否重大； （四）考虑识别的风险导致财务报表发生 重大错报的可能性。 可能表明被审计单位存在重大错报风险 的事项和情况（28种情况） 1211号审计准则第九十八条号审计准则第九十八条 注册会计师应 当关注下列事项和情况可能表明被审计单 位存在重大错报风险：（一）在经济不稳 定的国家或地区开展业务；（二）在高度 波动的市场开展业务；（三）在严厉、复 杂的监管环境中开展业务；（四）持续经 营和资产流动性出现问题，包括重要客户 流失；（五）融资能力受到限制；（六） 行业环境发

18、生变化； （七）供应链发生变化；（八）开发新产 品或提供新服务，或进入新的业务领域； （九）开辟新的经营场所；（十）发生重 大收购、重组或其他非经常性事项；（十 一）拟出售分支机构或业务分部；（十二） 复杂的联营或合资； （十三）运用表外融 资、特殊目的实体以及其他复杂的融资协 议；（十四）重大的关联方交易；（十五） 缺乏具备胜任能力的会计人员； （十六）关键人员变动；（十七）内部控制薄弱； （十八）信息技术战略与经营战略不协调；（十 九）信息技术环境发生变化；（二十）安装新的 与财务报告有关的重大信息技术系统；（二十一） 经营活动或财务报告受到监管机构的调查；（二 十二）以往存在重大错报或本

19、期期末出现重大会 计调整；（二十三）发生重大的非常规交易； （二十四）按照管理层特定意图记录的交易； （二十五）应用新颁布的会计准则或相关会计制 度；（二十六）会计计量过程复杂；（二十七） 事项或交易在计量时存在重大不确定性；（二十 八）存在未决诉讼和或有负债。 55 重大错报风险的应对 55 学校课堂 1231号准则第三条规定：“注册会计师应 当针对评估的财务报表层次重大错报风险 确定总体应对措施，并针对评估的认定层 次重大错报风险设计和实施进一步审计程 序，以将审计风险降至可接受的低水平。” 注册会计师应当针对评估的财务报表层次 重大错报风险确定下列总体应对措施： （一）向项目组强调在收集

20、和评价审计证 据过程中保持职业怀疑态度的必要性； （二）分派更有经验或具有特殊技能的审 计人员，或利用专家的工作； （三）提供更多的督导； （四）在选择进一步审计程序时，应当注 意使某些程序不被管理层预见或事先了解； （五）对拟实施审计程序的性质性质、时间时间和 范围范围（范围就是样本大小和具体的样本项 目的选择）作出总体修改（审计证据决策 的四个问题）。 1231号审计准则第八条号审计准则第八条 注册会计师应当针对评 估的认定层次重大错报风险设计和实施进一步审 计程序，包括审计程序的性质、时间和范围性质、时间和范围。 进一步审计程序进一步审计程序是指注册会计师针对评估的各类 交易、账户余额、

21、列报（包括披露，下同）认定 层次重大错报风险实施的审计程序，包括控制测控制测 试试和实质性程序实质性程序。 注册会计师设计和实施的进一步审计程序的性质、 时间和范围，应当与评估的认定层次重大错报风 险具备明确的对应关系。 进一步审计程序的性质性质是指进一步审计程 序的目的和类型。 进一步审计程序的目的包括通过实施控制 测试以确定内部控制运行的有效性，通过 实施实质性程序以发现认定层次的重大错 报。进一步审计程序的类型包括检查、观 察、询问、函证、重新计算、重新执行和 分析程序。不同的审计程序应对特定认定 错报风险的效力不同。 注册会计师应当根据认定层次重大错报风 险的评估结果选择审计程序。评估

22、的认定 层次重大错报风险越高，对通过实质性程 序获取的审计证据的相关性和可靠性审计证据的相关性和可靠性（即 审计证据的质量）的要求越高。 注册会计师可以在期中或期末实施控制测 试或实质性程序。 当重大错报风险较高时，注册会计师应当 考虑在期末或接近期末实施实质性程序； 或采用不通知的方式，或在管理层不能预 见的时间实施审计程序。 在期中实施进一步审计程序，可能有助于 注册会计师在审计工作初期识别重大事项， 并在管理层的协助下及时解决这些事项； 或针对这些事项制定有效的实质性方案或 综合性方案。 如果在期中实施了进一步审计程序，注册 会计师还应当针对剩余期间获取审计证据。 在确定何时实施审计程序

23、时，注册会计师 应当考虑下列因素：（一）控制环境； （二）何时能得到相关信息；（三）错报 风险的性质；（四）审计证据适用的期间 或时点。 一步审计程序的范围是指实施进一步审计 程序的数量数量，包括抽取的样本量，对某项 控制活动的观察次数等。在确定审计程序 的范围时，注册会计师应当考虑下列因素： （一）确定的重要性水平；（二）评估的 重大错报风险；（三）计划获取的保证程 度。随着重大错报风险的增加，注册会计 师应当考虑扩大审计程序的范围。但是， 只有当审计程序本身与特定风险相关相关时， 扩大审计程序的范围才是有效的。 总结一下：总结一下：归根结底，进一步审计程序的 性质、时间和范围影响的是审计证

24、据的数 量和质量，即审计证据的说服力。正如前 面所强调的，审计的基本问题之一是如何 做审计，而如何做审计不过是定标准、找 证据和下结论的三步骤。但进一步的，找 证据又涉及到找多少审计证据（审计证据 的数量）和找什么样的审计证据（审计证 据的质量）这样的问题，这又取决于审计 程序的性质、时间和范围。它们是一连串它们是一连串 纠结在一起无法分开的问题纠结在一起无法分开的问题。 + += PDR：planned detection risk（计划的检查 风险） 分析程序：Analytical procedures 实质性余额测试： 上图中审计风险与审计测试的关系说明， 通过了解被审计单位的内部控制和

25、控制测 试，可以评估控制风险。 通过分析程序和实质性余额测试，可以将 检查风险控制在可接受的水平。 实质性交易测试既可以用于评估控制风险， 也可以用于控制检查风险。 教材p.64表1-3，了解内部控制与控制测试 的比较； p.66表1-4控制测试与实质性测试（程序） 的比较。 任务实践：p.67-72，阅读时将其与1211号 审计准则进行对照，就是将比较抽象的审 计准则具体化的过程。 供应商1 供应商2 供应商3 供应商 竞争对手1 被审计单位 竞争对手2 买家1 买家2 买家3 买家4 竞争对手 客户 图7-3：被审计单位的行业关系示意图 价值系统分析的作用：可以将被审计单位 所处经营环境中

26、的关键参与者描述出来， 便于在审计中考虑这些因素。 被审计单位的会计都与价值系统中要素相 联系。例如：销售收入、应收账款、产品 销售成本（和相应的存货的减少）、货款 的收回、坏账均与和客户（买家）发生的 业务相联系；而固定资产（购入）、应付 账款、应急负债均与和供应商发生的业务 相关。 这也意味着当与供应商或客户的关系发生 问题的时候，相关的账户（科目）也会受 到影响。 主要业务（Primary activities）：直接与产 品的生产或服务的提供相关的活动，这些 业务直接创造价值。 辅助业务（Support activities）：组织的正 常运转少不了，但又不直接创造价值的业 务活动。例

27、如，会计工作。 基础设施（融资活动、租赁业务、套期保值 业务等） 采购（采购承诺、存货腐烂等对其计量的影 响等） 人力资源开发（人工费用的分摊、或有债务、 期权等） 研究与开发（软件开发成本的资本化与摊销） 供应业务 (存货计量、 费用的截止) 生产(成本 配比与分配) 营销与销售 (收入的确 认、应收款 的计量） 配送(收入 确认、销售 退回) 售后服务 (保修成本、 收入确认) 主要业务主要业务 辅助业务辅助业务 M A R G I N 供应：获取生产所需的投入物资并对其进 行储存和管理。例如，原材料的采购、储 存和退货等。 与供应相关的审计问题包括存货的完整性 和计量（valuation

28、），费用和负债的确认。 生产：将投入转化成产出（产成品或劳务） 的过程。 与生产相关的审计问题包括产成品或劳务 成本的核算。 与营销相关的审计问题：收入的确认和应 收账款的回收。 与配送相关的审计问题：销售的截止，收 入的确认时间，销售退回。 基础设施：如行政管理、会计核算、公司 治理、融资和战略的制定，均属于基础设 施，是公司顺利运行的基础条件。这些活 动影响大，因此要特别关注。例如，融资、 长期租赁合同、并购、投资和套期保值等 均有长期而重要的影响，审计时自然不能 等闲视之。 采购：获取供整个企业（而不只是生产部 门）使用的材料和其他有形资产。例如， 办公用品之类的。与采购相关的审计问题

29、包括采购承诺、采购退回、存货的计量等。 人力资源开发：企业的人力资源管理方式 可以透露很多信息，例如，对诚实的商业 行为、会计信息的可靠性、产品或服务的 质量等都息息相关。与人力资源相关的审 计问题包括人工费用的分配等。 技术开发：包括新产品的研发、应用于主 要业务的研发（如自动化生产线）、应用 于辅助业务的研发（如决策数据库的研 发）。 威胁通常可以从五个方面考虑：供应商、 客户、竞争者、替代品和市场新进入者。 竞争者：竞争直接影响到被审计单位的市 场，在会计上面影响到收入和成本。 潜在的进入者：高利润高成长的行业通常 会有新手的加入。这将影响被审计单位的 营销和销售行为。从审计的角度看，这

30、可 能影响到存货的计价、生产用固定资产的 计价等。 替代品：例如，电话的兴起导致电报的衰 落。影响企业的销售、营销和技术开发等。 对审计而言，资产和存货的价值计量问题 值得关注。 供应商：例如，咖啡生产商的生产受到咖 啡豆生产者的影响。影响供应和采购活动。 客户：影响营销、销售和配送服务。 从更宽广一点的角度看，以上来自各方面 的威胁都影响到人力资源开发。 在分析了被审计单位面临的风险后，审计 师应当了解被审计单位采取了哪些技术、 程序和控制措施来管理和减轻这些风险的 影响。管理层通常清楚其所面临的风险， 并会采取各种应对措施。对审计师而言， 这种应对措施可能会降低相应的审计风险。 因此，审计

31、师有必要弄清楚管理层所采取 的风险应对措施，以制定合理的审计计划。 以上所说的风险应对措施实际上就是内部 控制。内部控制有三个方面的目标，包括 五个要素。 其中，控制措施可以划分为管理层控制 （management controls）和程序性控制 （process controls）。管理层控制是指由 管理层采取的用以减轻战略风险、改进决 策效果并提升经营效率的措施。 程序性控制主要以保证会计信息的可靠性 和遵守有关的法律法规为目标。 管理层控制的目标通常不是针对具体的业 务，而在于为确保整个内部控制系统和经 营活动顺利运行提供一定的保证，并为企 业能及时对各种风险采取应对措施提供一 个基础。

32、对于上市公司而言，最常见的管 理层控制就是董事会定期举行的会议，或 者其下属的审计委员会的活动。 对审计师而言，以下管理层控制需要引起 注意： 高层管理者对经营成果进行审阅； 基层管理者； 将业绩指标与业绩标杆进行比较； 独立的评估程序。 高层管理者的审阅：高管定期浏览经营成 果，并与预测或预算进行比较，发现有问 题迅速采取跟进措施。这种审阅的频率越 高、在洞察力方面越有深度，则面临巨大 风险的可能性就越低。因为风险得到了及 时的解决。 基层管理者：基层管理者通常处于发现潜 在风险的最佳位置，如果应对得当，可以 将问题消灭在萌芽状态。例如，一个负责 信贷的主管可能最先识别出威胁到贷款的 可收回

33、性的因素。 将业绩指标与标杆指标进行比较：通过这 种比较也能及时发现问题； 独立的评估程序：执行评估的人员独立于 被评估者。 当然，管理层控制的有效进行必须以信息 的及时提供为前提，并且，这种信息必须 相关、可靠。这就是内部控制的另一个要 素信息与沟通。 接下来的步骤是分析对审计的影响。整个 逻辑如下图所示： 见下表 审计分析 风险风险来源 可能的影响 相关的管 理层控制 对审计的 可能影响 识别风险 的性质 识别风险 的来源 识别风险可 能影响的环 节 识别能减 轻风险的 管理层控 制 考虑内部 控制的作 用后，判 断风险对 审计的影 响 风险 风险 来源 可能的 影响 相关的管理层 控制

34、对审计的 可能影响 (1)竞争者 延长产品 保修期 竞争 者 售后服 务 高管对可能的 应对措施进行 审阅；市场研 究部门发出早 期预警；准确 及时的保修成 本数据 保修服务 相关的或 有负债应 高于历史 水平 风险 风险 来源 可能的 影响 相关的管理层 控制 对审计的可 能影响 (2)竞争者 大幅提高 了关键会 计人员和 管理者的 报酬 竞争 者 人力资 源开发 高管对人力资 源政策进行审 阅；公平的招 聘、晋升和报 酬系统，并能 根据市场情况 进行调整；准 确及时的薪酬 成本数据 决策的有效 性和信息的 可靠性可能 下降；（若 工资发生变 动）人工成 本的分配可 能需要进行 调整； 风险 风险 来源 可能的 影响 相关的管理层 控制 对审计的可 能影响 (3)受恶劣 天气的影 响，原材 料供应商 的产品减 产严重， 导致高端 原材料极 度短缺 供应 商 供应 生产 采购 对长期供货渠 道进行及时的 监督；及时可 靠的投入品成 本数据；建立 良好的长期供 应关系和承诺 废品率可能 会上升；采 购的计量问 题 风险 风险 来源 可能的 影响 相关的管理层 控制 对审计的可 能影响 (4)工