风险评估、风险准则和内部控制

1、风险评估、风险准则和内部控制主要内容一、审计风险准则概述二、风险评估程序、信息来源以及项目组内部讨论三、了解被审计单位及其环境四、了解被审计单位的内部控制五、评估重大错报风险风险评估审计风险准则概况风险评估的性质与作用了解被审计单位及其环境的内容和方法，识别固有风险了解内部控制，识别控制风险内部控制目标与要素整体层面了解业务层面了解重大错报风险评估学习目标本章内容的学习需要大家重点理解并掌握以下七个方面的问题：1.风险评估程序；2.项目组内部讨论（目标、内容、人员、时间和方式）；3.了解被审计单位及其环境的内容（不包括内部控制）；4.了解被审计单位的内部控制；5.评估重大错报风险（财务报表层次

2、和认定层次）；6.评估“特别风险”（包括舞弊风险）；7.评估“仅通过实质性程序无法应对的重大错报风险”。 2006年审计准则修改了下列四个具体准则：1. 审计计划；原来制定审计计划围绕其内部控制，现转向首先进行风险评估；2. 审计目标（审计风险模型部分）；AR=IR*CR*DR ；审计风险=重大错报风险检查风险3. 审计证据；审计工作中的证据大部分不是来源于会计记录，而是源自外部因素的证据；4 增加了 “风险评估准则”；要求即必须程序，从根源探讨企业会计报表造假的原因；第一节 审计风险准则概述出台风险导向审计准则的背景国际背景：应对审计环境的变化；国际知名公司财务舞弊的丑闻，引发公众对审计职业

3、的信任危机；我国经济快速发展，企业经营环境急剧变化的挑战。审计风险准则的特点：理念新：认为企业财务活动始于决策，而非交易；而财务报表数据源于交易，仅仅是对于交易活动的记录与反映；风险导向审计的哲理：功夫在诗外。比较：审计风险准则出台前实务界做法：审计资源集中于管理层做出的决策信息和财务报表；但是CPA没有全面理解管理层为什么做出这种决策的原因；要求审计人员必须花时间了解：被审计单位及其环境；所处行业状况、经营目标与舞弊因素、企业经营战略、管理层文化价值观等信息。对所审单位财务状况形成理性预期。审计风险模型 审计风险重大错报风险检查风险重大错报风险指财务报表审计前存在重大错报的可能性；其影响因素

4、有：包含固有风险、控制风险，但不局限于这些。更侧重于宏观层面的政策、制度、法律、经济等因素带来的风险；经营风险政策风险技术风险等。风险导向审计程序的核心 了解被审计单位及其环境识别和评估重大错报风险应对重大错报风险对财务报表不存在由于错误或舞弊导致的重大错报获取合理保证；本章结合风险评估准则，介绍如何对重大错报风险进行评估和应对，最终将审计风险降低至可接受的低水平。实施风险导向审计的目标：一、审计风险准则对财务报表审计测试流程的要求：（重点掌握）1.要求CPA必须了解被审计单位及其环境；2.要求CPA在审计的所有阶段都要实施风险评估，不得未经风险评估直接将风险设为高水平；3.要求CPA将识别和

5、评估的风险与拟实施的审计程序挂钩；4.要求CPA针对重大的各类交易、账户余额和披露实施实质性程序；5.要求CPA将识别、评估和应对风险的关键程序形成工作记录，以保证执业质量，明确执业责任。二、了解被审计单位及其环境是必要审计程序（重点掌握）（一）了解被审计单位及其环境的必要性 1、实施风险导向审计的要求（1）重大错报风险由固有风险及控制风险构成，实际上是客户风险，注册会计师只能评估不能改变；（2）审计应以评估重大错报风险为起点、为导向，从宏观把握。二、了解被审计单位及其环境是必要审计程序（重点掌握）2、了解被审计单位及其环境是必要程序，为注册会计师在某些关键环节作出职业判断提供重要基础。（1）

6、确定重要性水平，并随着审计工作的进程评估对重要性水平的判断是否仍然适当；（2）考虑会计政策的选择和运用是否恰当，以及财务报表的列报是否适当；（3）识别需要特别考虑的领域，包括关联方交易、管理层运用持续经营假设的合理性，或交易是否具有合理的商业目的等；（4）确定在实施分析程序时所使用的预期值；（5）设计和实施进一步审计程序，以将审计风险降至可接受的低水平；（6）评价所获取审计证据的充分性和适当性。（二）了解被审计单位及其环境的方法了解被审计单位及其环境的方法风险评估程序 询问内部人员 分析程序 观察和检查 其他审计程序 和信息来源 询问外部人员 阅读外部信息 其他信息来源 内部信息外部信息项目组

7、讨论风险评估程序实质（理解基本观点）1.风险评估程序是注册会计师了解被审计单位及其环境，识别和评估重大错报风险的手段；2.风险评估程序的方法是“审计程序组合”；3.风险评估程序的目的是获取审计证据评估重大错报风险。注册会计师通过风险评估程序获取财务信息和非财务信息，识别和评估财务报表层次和认定层次重大错报风险；4.实施风险评估程序是必要的审计工作。如果未实施风险评估程序，就没有审计证据支持其评估的重大错报风险。项目组内部讨论（一）讨论的实质项目组内部讨论的目的是整合项目组内部资源，保持项目组成员的职业谨慎，在确保审计报告质量的同时提高审计效率。（二）讨论的目标1.了解在各自负责的领域中，由于舞

8、弊或错误导致财务报表重大错报的可能性；2.了解各自实施审计程序的结果如何影响审计的其他方面，包括对确定进一步审计程序的性质、时间安排和范围的影响。项目组内部讨论（三）讨论的内容1.被审计单位面临的经营风险；2.财务报表容易发生错报的领域以及发生错报的方式，特别是由于舞弊导致重大错报的可能性。（四）参与讨论的人员项目组的关键成员应当参与讨论，如果项目组需要拥有信息技术或其他特殊技能的专家，这些专家也应参与讨论。（五）讨论的时间在整个审计过程中持续交换有关财务报表发生重大错报可能性的信息。（六）讨论的方式（三）了解被审计单位及其环境的主要内容1、风险导向审计的基本思路（1）分析导致财务报表重大错报

9、漏报的动因政治原因、经济政策、社会因素、技术发展行业景气、市场竞争管理欺诈、业绩动机财务困境、经营困难经营战略决策失误（2）从动因入手分析财务报表可能存在重大错报漏报的风险区域（三）了解被审计单位及其环境的主要内容（3）分析和测试风险区域内部控制制度的健全性（完整性）和有效性（4）根据内部控制的有效程度，决定实质性测试的程序和样本数量2、鉴于上述风险导向审计基本思路的要求，了解被审计单位及其环境的主要内容包括（如下页图示）（三）了解被审计单位及其环境的主要内容了解被审计单位及其环境 被审计单位的性质 被审计单位对会计政策的选择和运用 被审计单位的内部控制 行业状况、法律环境与监管环境以及其他外

10、部因素 被审计单位财务业绩的衡量和评价 被审计单位的目标、战略以及相关经营风险 1.企业发展离不开其所处的环境（法律、税法、监管等）。环境不同，其产生的行为就会有较大差异；对宏观环境因素的分析有PEST分析法。不同行业和企业根据自身特点和经营需要,分析的具体内容会有差异,但一般都包括四大类影响企业的主要外部环境因素；了解被审单位在所处行业的竞争优势；（一）行业状况、法律环境与监管环境以及其他外部因素 （1）政治环境：指那些影响和制约组织发展的政治要素及其运行状态。对企业战略有重要意义的政治和法律变量有：a.政府管制；b.特种关税；c.专利数量；d.政府采购规模和政策；e.进出口限制；f.税法的

11、修改；h.劳动保护法的修改；最大风险：政府政策对行业的影响？09年，世界金融危机，我国政府投资四万亿应对，其后果？再如，劳动法对中外合资企业的影响。汽车行业的高增长，主要受益于国务院为提振内需，于2009年出台的购置税下调、汽车下乡等刺激政策;家电下乡、以旧换新等其他刺激政策也被扩大或推出。特别是从事与家电制造和零售相关业务的企业家，其财富额均出现上涨;房地产市场也在2009年迎来一轮疯狂。“首付两成”、“房贷利率七折优惠”等宽松的信贷政策实施后，各地房价大涨、地王频现。（2）经济因素：指构成企业生存和发展的社会经济状况以及国家的经济政策。审计时应关注如下经济变量：a.经济形态；b.可支配收入

12、水平；c.利率水平；j.财政政策；k.贷款的难易程度；l.居民的消费倾向；m.通货膨胀率；p.就业状况；q.汇率；r.价格变动；s.税率；t.货币政策。宏观调控法宝：汇率、利率和税率；行政手段调节经济、经济手段调节经济； （3）社会环境：社会文化环境是指企业业务所涉及地区的民族特征、文化传统、价值观、宗教信仰、教育水平、社会结构、风俗习惯等情况。 八国联军打开了中国国门后，对华贸易：1.钢铁厂到中国卖餐具（风俗习惯）；2.英国钢琴厂到中国卖钢琴（教育水平）；经过市场调研，当时国民4亿，市场潜力巨大；（4）技术环境是指企业业务所涉及的国家和地区的技术水平、技术政策、新产品开发能力以及技术发展的动

13、态等。技术进步对企业竞争力的威胁；推动产品更新换代；录音机（磁带）-垃圾；磁盘-U盘-移动硬盘；更新换代太快了； 上诉四个方面的影响往往是混合在一起的：茅台五粮液等酒的股市看好：中国特有文化；以及政治因素：官员腐败，高档在职消费；迈克尔波特（，1947）是哈佛大学的最高荣誉）。迈克尔波特在世界管理思想界可谓是活着的传奇，他是当今全球第一战略权威，是商业管理界公认的竞争战略之父；迈克尔波特的三部经典著作竞争战略、竞争优势、国家竞争优势被称为竞争三部曲。价值链是分析企业内部活动的微观分析工具，五力模型是分析企业所属产业环境的中观分析工具，那么，钻石模型(Diamond Model)就是分析国家和地

14、区“竞争力”的宏观分析工具。分析企业发展的外部环境潜在进入者的威胁同业间的竞争供应商议价力量客户议价力量替代品的威胁 PORTER五要素分析模型传统能源面临新能源的威胁生产甲醇，取代气油秸秆替代玉米生产乙醇；用乙醇替代汽油；客大欺主主大欺客你不做有人愿意做把工作做到别人无法替代的程度，就是成功；（一）行业状况、法律环境与监管环境以及其他外部因素（其他视角）1.了解行业状况的具体内容2.了解法律环境及监管环境：适用的会计准则、会计制度和行业特定惯例；3.了解其他外部因素的具体内容宏观经济的景气度； 利率和资金供求状况； 通货膨胀水平及币值变动；（生产成本） 国际经济环境和汇率变动。（二）被审计单

15、位的性质 被审计单位的性质（从内部了解） 所有权结构 治理结构 组织结构 经营活动 投资活动 筹资活动被审计单位的性质决定了其核心竞争力；了解被审计单位内部的具体情况。每一个企业都有其生存下来的道理：有的技术先进，有的具备管理优势、有的人力资源格外突出。山东六和集团的案例：建立起责任考评体系；激发员工和管理层的积极性。所有权结构识别关联方交易并了解其决策过程；所有权结构就是股权结构，所有权决定经营权、收益权、处分权。因此公司的重大问题需要股东大会决议，按票数原则来通过。所有权反映公司的背景资料：通俗说，了解所有权就是了解企业的后台，就如了解一个人，必看其父母。2002-2003年，受银广厦造假

16、的负面影响（3000多点降至几百点）；张家高科股逆势上涨，涨几倍；业绩一般，但来了新董事长：上海市委的副书记退休过来，和国家领导私人关系密切。朱镕基批了40亿作为张家高科工业园区的建设资金；这种企业没有风险（要政策有政策）；治理结构注册会计师应当了解被审计单位的治理机构，决策机制。考虑治理层是否能够在独立于管理层的情况下对被审计单位事务（包括财务报告）作出客观判断。一个人说了算还是董监高相互制约，共同决策； 民主程序与监督制约机制的重要性；治理结构决定企业未来的发展潜力；独裁的企业风险大,权力不受制约是最大的风险，形不成理性的决策；组织结构组织机构是支撑企业生产、技术、经济及其他活动的运筹体系

17、，是企业的“骨骼”系统。复杂的组织结构可能导致被审单位的重大错报风险；组织结构决定了企业内在的健康状况；财务角度：会计核算方式，集中核算与分散核算哪个风险大；改变组织结构就是改变企业的权利结构；经营活动发展背景经营业务产品 市场技术人才客户市场人才客户技术产品经营业务了解企业的发展背景及经营业务了解经营活动可以识别预期在财务报表中反映的主要交易类别、重要账户余额与列报。经营风险。具体应当了解主营业务及其性质；生产设施。业务的开展情况（产品的交付流程）；与生产产品或提供劳务有关的市场信息（上下游的大客户，市场份额，毛利润）；关键客户；分析应收账款明细账；研发情况；投资活动（1）了解企业近期内是否

18、准备收购其他企业；对所收购的企业、行业是否了解；凡涉足证券投资、衍生金融产品的企业风险大；盲目扩张的风险：资金断流，影响正常生产经营 ；因为投资是成本扩张在前，收益扩张在后；在时间差内，没有足够资金维持，就会陷入财务困境；人体缺血不能及时补充，什么后果？（2）了解资产处置计划；卖掉子公司和分支机构；联合国将韩国的釜山集团作为企业规模成本控制的典范：东南亚金融危机爆发时，果断把集团32个子公司中的28个卖掉，且卖的是赚钱的好公司；只剩下4个亏损公司；费解？（3）了解企业的资本性投资活动；如是否购买生产线，购买新的固定资产；固定资产投资蕴含的巨大风险：涉及金额大，一旦决策失误，对企业带来致命影响；

19、筹资活动需了解的具体内容（1）债务结构和相关条款，包括担保情况及表外融资； 了解企业的资金来源，与股权结构关系密切；不同性质的企业获得资金的渠道方式不同；民营企业获得融资难度大；（2）固定资产的租赁；航空公司融资租赁；人民币升值对其非常有利；借美元买飞机，卖票后还债；飞机配件也得进口； （3）关联方融资；关联方有钱，得到帮助的可能性大；企业并购时找到好的靠山，股价就会上涨； （4）实际受益股东； （5）衍生金融工具的运用。（三）被审计单位对会计政策的选择和运用 了解被审计单位对会计政策的选择和运用是否适当时，注册会计师应当关注下列重要事项：（一）重要项目的会计政策和行业惯例；如飞机按15年计提

20、折旧是否合适？怎么判断； （二）重大和异常交易的会计处理方法；某房地产企业相应国家号召，国家拿出2亿补贴企业，对重大异常交易，怎么处理？计入“主营业务收入”不是“补贴收入”（靠输血）（三）在新领域和缺乏权威性标准或共识的领域，采用重要会计政策产生的影响；新事项准则没有来得及规定，处理结果往往不统一；谁对谁错？关键是讲出自己的道理。（四）会计政策的变更； 到底应不应该变更，看变更的动机是为了粉饰报表、欺骗他人还是为了更加准确地反映企业的生产经营状况； 判断标准：看动机，结果可能一样；（五）被审计单位何时采用以及如何采用新颁布的会计准则和相关会计制度。我国2010年以前，所以企业都用新会计准则；至

21、今未推广；仅在上市公司和国有大中型企业。企业有利则执行。至此步骤，CPA在心中评价企业的现状；还要看企业的未来前景；怎么评价企业的未来？（四)被审计单位的目标、战略以及相关经营风险 目标被审计单位的未来发展目标；战略管理层达成目标所采用的操作方法经营风险源于对被审计单位实现目标和战略产生不利影响的重大情况、事项、环境和行动，或源于不恰当的目标和战略战略决策失误，导致经营风险；人生的决策关键就是一两步；没有重新决策的机会 经营风险对重大错报风险的影响:CPA了解经营风险有助于识别报表的重大错报风险。多数经营风险会产生财务后果，最终影响财务报表。目标-战略-经营风险-重大错报风险；企业在特定时期拟

22、进军海外市场；战略：在当地成立合资公司；由此导致的经营风险：汇率影响，所在地风俗文化影响、人工成本影响等；对财务业绩的衡量和评价可能对管理层产生压力；考虑这种压力是否可能导致管理层采取行动，以至于增加财务报表发生重大错报的风险。关注信息： （1）关键业绩指标（辩证思维，考核内容不同，关键指标就不同）； （2）业绩趋势； （3）预测、预算和差异分析； （4）管理层和员工业绩考核与激励性报酬政策五、被审计单位财务业绩的衡量和评价 实证会计研究结论： 1.企业负债率越高，越倾向于把未来利润提前到现在；（少计提折旧，以获取贷款） 2.企业员工工资和业绩指标联系得越密切，越倾向于把未来利润提前到现在；（

23、双鸟在林不如一鸟在手） 对小型单位的特殊考虑：小型单位没有正式的财务业绩衡量和评价程序，管理层依据关键指标作为衡量基础。CPA需了解管理层认为重要的指标，判断其是否面临压力；前面学习如何了解被审计单位。目的是评估风险。上述几个方面了解后，审计人员心目中就应该有一张“会计报表”，该企业到底是盈利还是亏损，盈利水平该有多高。拿其和现实报表一比较，到底有没有造假，造假程度就很明显了。如何了解某个学生？三、了解被审计单位的内部控制教材依据COSO1992年发布的内部控制框架；COSO的发起机构包括美国注册会计师协会（AICPA）、国际内部审计师协会（IIA）、国际财务经理协会（FEI）、美国管理会计师

24、协会（IMA）和美国会计协会（AAA）。COSO于1992年公布了内部控制整合框架；2004年，COSO发布了其研究报告企业风险管理整体框架。风险管理整体框架（ERM）是在内部控制整体框架基础上发展而来的。COSO（2004）指出，风险管理框架不想也没有替代内部控制框架，但它将内部控制框架整合在内，采用这一框架，企业既可以满足内部控制的需要，也可以建立一个完整的风险管理过程。企业风险管理的8要素：内部环境。内部环境包含了组织的风格，它确定了组织人员如何看待和处理风险的基础，是其它要素的基础。内部环境具体包括风险管理哲学、风险偏好、董事会、诚实度和道德价值观、组织结构、胜任能力、人力资源政策与实

25、务、权责分配。目标设定。企业风险管理要求管理层设定目标，选择的目标需要能够支持组织的使命并与组织使命相一致，并与其风险偏好相一致。事项识别。识别那些影响组织目标实现的内外部事项，并区分为风险和机会。机会将被考虑进管理层的战略或目标设定过程中。风险评估。必须对风险加以分析，考虑其发生的可能性以及影响，并作为确定这些风险应如何加以管理的基础。风险应对。管理层应在不同的风险应对（包括回避、接受、降低、分担风险）中做出选择，从而采取一系列与组织的风险容忍度（risk tolerances）和风险偏好相一致的行动。控制活动。信息与沟通。监控。美国2002年SOX法案404条款（公认最严格、最复杂、执行成

26、本最高的监管政策）要求，公司内控活动的操作流程都必须清楚地定义并保存相关记录，任何一个岗位的职务、职责都应描述得一目了然，在对交易进行财务记录的每一个环节都应有相应的内控制度，并指出内控的缺陷所在；公众公司 管理层须出具内控自我评价报告，审计师进行审核；中国：也在追赶潮流。本部分基本内容2.内部控制五要素：控制环境、被审计单位的风险评估过程、信息与沟通、控制活动与对控制的监督3.与审计相关的控制、对内控了解的深度、内部控制的固有局限性4.在整体层面了解内部控制5.在业务流程层面了解内部控制6.内部控制的初步评价内部控制的内涵考虑以下问题：1、Why 为什么需要内控？-内控目标2、What 控制

27、什么？-内容3、Who 谁来控制？-实施主体3、How 怎么控制？-控制方式为何控制帮助实现组织目标风险董事会总裁经理层员工层五项要素控制什么谁来控制怎么控制内部控制的内容一、内部控制基础理论（一）内部控制的内涵1.定义：内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计和执行的政策和程序。 注意内控的3大目标；（二）内部控制的五要素（基础）（关键）（保证）（必需）（手段）内控五要素之间关系； 监控控 制 活 动风 险 评 估控 制 环 境信息与沟通COSO认为，控制环境设定了一个组织的基调，影响人们对风险的意识，是实施有效控

28、制的基础。财务报表层次的重大错报风险通常源自于薄弱的控制环境。控制环境对重大错报风险的评估具有广泛影响，控制环境本身并不能防止或发现并纠正各类交易、账户余额、披露认定层次的重大错报。内控环境包括：1. 控制环境企业治理层、管理层对内部控制的认识及态度企业文化、人员任用、管理理念及经营风格等组织结构和管理层的安排 职权与责任的分配 案例：李锦记的控制环境家族委员会和家族宪法：（1）不要晚婚、不允许离婚、不允许有婚外情；（2）家族成员进入企业之前需要在外企业至少三年从业经历；（3）进入企业要通过正常途径应聘。企业文化：（1）思利及人；（2）爽指数了解：主要领导的品行、声誉；领导层构成；企业员工精神

29、面貌；员工对企业满意程度。2、被审计单位风险评估过程被审计单位是否有风险识别和评估的机制和意识理念和目标机构和制度辨识和分析适应和反应3、信息系统与沟通信息系统的建立 信息系统的保护和利用信息沟通的渠道和过程信息沟通与职责、权限的匹配4、控制活动授权（一般授权、特别授权）业绩评价信息处理实物控制职责分离不相容职务相分离： 所谓不相容职务是指那些如果由一个人担任，既可能发生错误和舞弊行为，又可能掩盖其错误和弊端行为的职务,不相容职务分离的核心是内部牵制。需要分离的业务有6种： 可行性研究与决策审批相分离； 业务执行与决策审批相分离； 业务执行与审核监督相分离； 业务执行与会计记录分离； 业务执行

30、与财产保管分离； 财产保管与会计记录分离；销售与收款循环的不相容岗位，至少应当包括：1.客户信用调查评估与销售合同的审批签订；2.销售合同的审批、签订与办理发货；3.销售货款的确认、回收与相关会计记录；4.销售退回货品的验收、处置与相关会计记录；5.销售业务经办与发票开具、管理；6.坏账准备的计提与审批、坏账的核销与审批。例子：企业采购与付款业务的不相容岗位，至少包括：1.请购与审批；2.询价与确定供应商； 3.采购合同的订立与审核；4.采购、验收与相关会计记录； 5.付款的申请、审批与执行； 5.对控制的监督管理层职责:建立和维护控制并保证其持续有效地运行。监督过程包括及时评价控制的设计和运

31、行，以及根据情况的变化采取必要的纠正措施。管理层通过持续的监督活动、单独的评价活动或两者结合实现对控制的监督。内控案例：沃尔玛成功原因是多方面的，其中完善的内控制度是主要方面；（三）与审计相关的控制1、内部控制的目标旨在合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守。2、注册会计师审计的目标是对财务报表是否不存在重大错报发表审计意见，尽管要求注册会计师在财务报表审计中考虑与财务报表编制相关的内 部控制，但目的并非对被审计单位内部控制的有效性发表意见。3、注册会计师需要了解和评价的内部控制只是与财务报表审计相关的内部控制，并非被审计单位所有的内部控制。 4、如果用以保证经营效率、

32、效果的控制以及对法律法规遵守的控制与实施审计程序时评价或使用的数据相关，注册会计师应当考虑这些控制可能与审计相关。 5、被审计单位通常有一些与审计无关的控制，注册会计师无需对其加以考虑。例如，被审计单位可能依靠某一复杂的自动控制系统提高经营活动的效率和效果（如航空公司用于维护航班时间表的自动控制系统），但这些控制通常与审计无关。6、用以保护资产的内部控制可能包括与实现财务报告可靠性和经营效率、效果目标相关的控制。注册会计师在了解保护资产的内部控制各项要素时，可仅考虑其中与财务报告可靠性目标相关的控制。例如，保护存货安全的控制可能与审计相关，但在生产中防止材料浪费的控制通常就与审计不相关，只有所

33、用材料的成本没有在财务报表中如实反映，才会影响财务报表的可靠性。 在了解内部控制时，注册会计师应当考虑被审计 单位是否通过建立有效的控制，以恰当应对由于 使用信息技术系统或人工系统而产生的风险 人工成分可能会产生的风险 自动化成分可能会产生的风险 （四）考虑内部控制的人工成分和自动化成分对于人工成分，可能会产生以下几方面的风险：1、人工控制可能更容易被规避、忽视或凌驾；2、人工控制可能不具有一贯性；3、人工控制更容易产生简单错误或失误。对于自动化成分，可能会产生以下几方面的风险：1、系统或程序未能正确处理数据，或处理了不正确的数据，或两种情况同时并存；2、在未得到授权情况下接触数据，可能导致数

34、据的毁损或对数据不恰当的修改，包括记录未经授权或不存在的交易，或不正确地记录了交易；3、信息技术人员可能获得超越其履行职责以外的数据访问权限，从而破坏系统应有的职责分工；4、未经授权改变主文档的数据；5、未经授权改变系统或程序；6、未能对系统或程序做出必要的修改；7、不恰当的人为干预；8、数据丢失的风险或不能访问所要求的数据。（五）内部控制的固有局限性 1.在决策时人为判断可能出现错误和由于人为失误而导致内部控制失效。2.可能由于两个或更多的人员进行串通或管理层凌驾于内部控制之上而被规避。3如果被审计单位内部行使控制职能的人员素质不适应岗位要求，也会影响内部控制功能的正常发挥。因此，内部控制只

35、能对财务报告的可靠性提供合理保证。（六）对内部控制了解的深度-评价控制的设计：指考虑一项控制单独或 连同其他控制是否能够有效防止或发现并 纠正重大错报 -确定控制得到执行：是指某项控制存在且 被审计单位正在使用 二、了解内部控制及初步评价（一）了解内部控制的目的1、了解被审计单位及其环境，评估重大错报风险的重要内容之一。2、是进一步审计程序中“控制测试”的基础。3、了解到什么程度？评价内部控制设计确定内部控制执行注意：注册会计师对控制的了解并不能够代替对控制运行有效性的测试。（二）了解内部控制的程序1、询问被审计单位的人员； 2、观察特定控制的运用； 3、检查文件和报告； 4、追踪交易在财务报

36、告信息系统中的处理过程（穿行测试）。 （三）了解和评估内部控制的角度对内部控制了解和评估的角度之一： 整体层面对内部控制了解和评估的角度之二： 业务流程层面1、在整体层面对内部控制了解执行人：项目组中对被审计单位情况比较了解且较有经验的成员负责，因为对内部控制的评价需要大量的职业判断，同时需要项目组其他成员的参与和配合。了解方式和要求（1）注册会计师可以考虑将询问被审计单位人员、观察特定控制的应用、检查文件和报告以及执行穿行测试等风险评估程序相结合，以获取审计证据。（2）在了解内部控制的各构成要素时，注册会计师应当对被审计单位整体层面的内部控制的设计进行评价，并确定其是否得到执行。1、在整体层

37、面对内部控制了解（3）注册会计师应当将对被审计单位内部控制各要素的了解要点和实施的风险评估程序及其结果等形成审计工作记录，并对影响注会对整体层面内部控制有效性进行判断的因素详细记录。（4）财务报表层次的重大错报风险很可能源于薄弱的控制环境，因此，注册会计师在评估财务报表层次的重大错报风险时，应当将被审计单位整体层面的内部控制状况和了解到被审计单位及其环境其他方面的情况结合起来考虑。整体层面内部控制是否有效将直接影响重要业务流程层面控制的有效性，进而影响注册会计师拟实施的进一步审计程序的性质、时间和范围。在重要业务流程层面对内部控制了解和评估的一般程序1.确定被审计单位的重要业务流程和影响重大账

38、户的重要交易类别 2.了解重要交易从发生到记入账目的整个流程 3.与重大账户及其认定相结合，在重大交易整个流程中确定错报可能会在什么环节发生，即确定相应的控制目标 4.根据确定的审计策略，对防止或发现并纠正重大错报的相关控制加以识别 5.通过执行穿行测试，来证实相关内部控制是否执行 6.对相关控制的设计和是否得到执行进行评价，确定进一步审计程序 2、在业务流程层面了解内部控制通常采取下列六个步骤：（1）确定重要业务流程和重要交易类别（2）了解重要交易流程，并进行记录例如：对于销售和收款交易，交易环节有：接受顾客订单批准赊销信用按销售单供货和装运货物向顾客开具账单记录销售办理和记录现金、银行存款

39、收入办理和记录销货退回、折扣和折让注销坏账提取坏帐准备（3）确定可能发生错报的环节接受顾客订单、批准赊销信用、办理和记录现金及记录销售（出纳记录应收款）、办理和记录现金及银行存款收入（销售人员经手货款）、办理和记录销货退回、折扣和折让、注销坏账、提取坏帐准备容易发生错报。（4）识别和了解相关控制在订立合同时，经办人是否经过授权批准，信用部门是否和销售部门相分离，销货退回、收款和销售记录是否相分离，折扣和折让、注销坏账是否经过批准。 控制的类型 控制包括被审计单位使用并依赖的、用以在交易流程中防止错报的发生或在发生错报后发现与纠正错报的所有政策和程序。有效的控制应与错报发生的环节相关，并能降低错

40、报风险。 通常将业务流程中的控制划分为预防性控制和检查性控制。预防性控制通常用于正常业务流程的每一项交易，以防止错报的发生。建立检查性控制的目的是发现流程中可能发生的错报（尽管有预防性控制还是会发生的错报）。 预防性控制示例 对控制的描述控制用来防止的错报生成收货报告的计算机程序，同时也更新采购档案防止出现购货漏记账的情况在更新采购档案之前必须先有收货报告防止记录了未收到购货的情况销货发票上的价格根据价格清单上的信息确定防止销货计价错误计算机将各凭证上的账户号码与会计科目表对比，然后进行一系列的逻辑测试防止出现分类错误 检查性控制示例 对控制的描述设计控制预期查出的错报定期编制银行存款余额调节

41、表，跟踪调查挂账的项目。在对其他项目进行审核的同时，查找存入银行但没有记入日记账的现金收入，未记录的现金支付或虚构入账的不真实的银行现金收入或支付，未及时入账或未正确汇总分类的银行现金收入或支付。将预算与实际费用间的差异列入计算机编制的报 告中并由部门经理复核。记录所有超过预算2的差异情况和解决措施。在对其他项目进行审核的同时，查找本月发生的重大分类错报或没有记录及没有发生的大笔收入、支出以及相关联的资产和负债项目。 检查性控制示例 对控制的描述设计控制预期查出的错报计算机每天比较运出货物的数量和开票数量。如果发现差异，产生报告，由开票主管复核和追查。查找没有开票和记录的出库货物，以及与真实发

42、货无关的发票。每季度复核应收账款贷方余额并找出原因。查找没有记录的发票和销售与现金收入中的分类错误。（5）执行穿行测试，证实对交易流程和相关控制的了解可通过查阅文件和询问的方式进行。对于复核人员，可询问对什么进行复核，复核的要点是什么，如果复核过程中发现了文件中的错误或其它差异，按规定他该怎么做。示例 如果某项控制要求某一员工（复核人）在文件上签名以证明他复核过该份文件。 CPA应当向其询问复核的性质，即对什么进行复核，复核的要点是什么，并确认CPA执行穿行测试时查阅的文件是否签过字，以及签字人是否为被询问的员工。更重要的是，CPA应当询问该员工，如果复核过程中发现了文件中的错误或其他差异，按

43、规定他应怎么做。如果可能，CPA可以检查发现过错误或其他差异的文件。 （6）初步评价和风险评估对控制的初步评价可能出现三种评估结果所设计的内部控制单独或连同其他控制能够防止或发现并纠正重大错报，并得到执行；控制本身的设计是合理的，但没有得到执行；控制本身的设计就是无效的或缺乏必要的控制。了解被审计单位及其环境的案例：Rubbermaid公司曾是美国全球领先的塑料制品生产商，产品包括储藏罐和垃圾箱等。在20世纪90年代中期，该公司连续数年的年均增长率超过14%，且连续三年被财富杂志评选为“美国最受欢迎的企业”。对Rubbermaid公司进行战略分析后发现，该公司对原油价格的波动非常敏感，因为塑料

44、制品的一个重要原料是树脂，而树脂是通过原油炼制的。但Rubbermaid并没有采取任何控制原材料风险的措施既没有集中采购，也没有与供应商签订长期购买合同。而实际上，该公司是世界上最大的树脂消费商之一，以其采购规模，完全可以通过谈判获得很优惠的价格。但该公司没有利用集中采购所能赋予它的定价能力，而是在全球12个地方分别采购。当原油价格上涨时，它只能把增加的成本转嫁给客户。该公司也未能有效管理与最大客户沃尔玛的关系。沃尔玛拒绝接受价格上涨，并把Rubbermaid公司的产品放在靠里的货架上，而将Rubbermaid的低价竞争对手Sterlite公司的产品置于位置最好的货架上。该公司另一个战略方面的

45、问题是制定的增长目标太高试图维持14%的年增长率。实现目标的困难给管理层形成巨大压力，而这一点对于内控环境十分不利。同时，它在欧洲的扩张也遭遇挫折。思考：1. 根据对上述Rubbermaid公司环境情况的了解，审计师如何对该公司的重大错报风险进行识别和评估？2. 根据上述案例，说明现代风险导向审计的特点。资料：华兴玩具公司风险评估案例华兴玩具公司是国内最大的生产厂家之一。多年来，这家公司的经营非常成功，利润稳定增长。但在2010年，随着行业竞争的加剧及生产线的扩张，华兴玩具公司的盈利能力和变现能力出现了问题。当2011年玩具业的销售遭受重大损失时，华兴玩具公司发现遭受到威胁，除非可以筹集到额外

46、资金，否则公司将面临资金周转的危机，并可能拖欠债务。 华兴玩具公司管理当局认为，如果2011年财务报表上能够显示公司利润在以前年度的基础上仍有所增长，就能够有办法筹集到资金。为了达到利润增长的目的，华兴玩具公司的财务主管伙同主管市场的副总，编制了一组12月份的销售数据，仅12月份的最后一个星期六公司对外发运了超过1800万元的玩具，并编制了配套的原始凭证：订货单、发货单、提货单和销售发票。客户是真实的，但销售和发运均为子虚乌有。在华兴公司管理当局“创造利润”的不懈努力下，华兴玩具公司2011年度的财务报表显示出稳定增长的财务状况。案例分析：1.在本案例的风险评估中，分析审计人员应当发现哪些预警

47、信号？什么程序能够帮助审计人员发现这些预警信号？ 2. 结合本案例，思考能够引发公司财务报表舞弊的压力有哪些？3.结合本案例，说明注册会计师在年报审计中应当从哪些方面了解被审计单位的经营及其所处环境状况，才能不被报表的假象所蒙蔽。答案要点：1.审计人员应当发现预警信号有：（1）压力和动机方面，如2011年玩具业的销售遭受重大损失，公司将面临资金周转的危机，并可能拖欠债务。（2）机会方面，如仅12月的最后一个星期六，公司就对外发运了超过1800万元的玩具。注册会计师实施下列风险评估程序能够发现这些预警信号：（1）询问；（2）执行分析程序；（3）观察和检查。 答案要点：2.引发公司财务报表舞弊的压

48、力有：（1）财务稳定性或盈利能力受到不利经济环境、行业状况或被审计单位运营状况的威胁；（2）管理层为满足外部预期或要求而承受过度的压力；（3）管理层或治理层的个人经济利益受到被审计单位财务业绩或状况的影响；（4）管理层或业务人员受到更高职级管理层或治理层对财务或经营指标过高要求的压力。答案要点：3.注册会计师在年报审计中应当从以下六个方面了解被审计单位的经营及其所处环境状况，才能不被报表的假象所蒙蔽。（略）第五节 评估重大错报风险在了解被审计单位及其环境的整个过程中都要进行风险识别和评估。在两个层次上进行评估一是财务报表层次二是各类交易、账户余额、列报与披露认定层次评估认定层次的重大错报风险汇

49、总表重大账户 认定 识别的重大错报风险 风险评估结果 列示重大账户。例如，应收账款列示相关的认定。例如，存在、完整、计价或分摊等 汇总实施审计程序识别出的与该重大账户的某项认定相关的重大错报风险 评估该项认定的重大错报风险水平（应考虑控制设计是否合理，是否得到执行） 在识别和评估重大错报风险时，注册会计师应当实施下列审计程序： 评估重大错报风险在了解被审计单位及其环境过程中识别风险，并考虑各类交易、账户余额、列报将识别的风险与认定层次可能发生错报的领域相联系评估识别出的风险考虑识别的风险导致财务报表发生重大错报的可能性需要特别考虑的重大错报风险（特别风险）根据风险的性质、潜在错报的重要程度（包

50、括该风险是否可能导致多项错报）和发生的可能性，判断风险是否属于特别风险。（1）确定特别风险的考虑因素 （1）风险是否属于舞弊风险；（2）风险是否与近期经济环境、会计处理方法和其他方面的重大变化有关；（3）交易的复杂程度；（4）风险是否涉及重大的关联方交易；（5）财务信息计量的主观程度，特别是对不确定事项的计量存在较大区间； （6）风险是否涉及异常或超出正常经营过程的重大交易。需要特别考虑的重大错报风险（2）特别风险通常与重大的非常规交易和判断事项有关非常规交易是指由于金额或性质异常而不经常发生的交易。判断事项通常包括作出的会计估计。（3）由于非常规交易具有下列特征，与重大非常规交易相关的特别风

51、险可能导致更高的重大错报风险：管理层更多地介入会计处理；数据收集和处理涉及更多的人工成分；需要特别考虑的重大错报风险复杂的计算或会计处理方法；非常规交易的性质可能使被审计单位难以对由此产生的特别风险实施有效控制。（4）由于下列原因，与重大判断事项相关的特别风险可能导致更高的重大错报风险： 对涉及会计估计、收入确认等方面的会计原则存在不同的理解；所要求的判断可能是主观和复杂的，或需要对未来事项作出假设。需要特别考虑的重大错报风险（5）考虑与特别风险相关的控制将特别风险与认定层次的可能出错的环节相联系对特别风险，注册会计师应当评价相关控制的设计情况，并确定其是否已经得到执行。与重大非常规交易或判断

52、事项相关的风险很少受到日常控制的约束，注册会计师应当了解被审计单位是否针对该特别风险设计和实施了控制。如果管理层未能实施控制以恰当应对特别风险,注册会计师应认为： 内部控制存在重大缺陷 考虑其对风险评估的影响 被审计单位对日常交易采用高度自动化处理 的情况必须评价被审计单位针对这些风险设计的控 制，并确定其执行情况考虑依赖的相关控制的有效性仅通过实质性程序无法应对的重大错报风险识别的重大错报风险汇总表识别的重大错报风险 对财务报表 的影响 相关的交易 类别、账户余额和列报认定 是否与财务报表 整体广泛相关 是否属于特别风险是否属于仅通过实质性程序无法应对的重大错报风险记录识别的重大错报 风险描

53、述对财务报表的影响和导致财务报表发生重大错报的可能性列示相关的各类交易、账户余额、列报及其认定考虑是否属于财 务报表层次的重 大错报风险考虑是否属 于特别风险考虑是否属于仅通过实质性程序无法应对的重大错报风险如果通过实施进一步审计程序所获取的审计证据与初始评估重大错报风险时所获取的审计证据相矛盾，注册会计师应当修正风险评估结果，并相应修改原计划实施的进一步审计程序。因此，评估重大错报风险与了解被审计单位及其环境一样，也是一个连续和动态地收集、更新和分析信息的过程，贯穿于整个审计过程的始终。对风险评估的修正和适当的沟通对重大错报风险评估的修正初始评估进一步审计程序审计证据支持否否继续 修正练 习

54、 题1、下来各项中，与丙公司财务报表层次重大错报风险评估最相关的是( )。A.丙公司应收账款周转率呈明显下降趋势B.丙公司持有大量高价值且易被盗窃的资产C.丙公司的生产成本计算过程相当复杂D.丙公司控制环境薄弱参考答案： D答案解析： 内控的好坏是影响财务报表层次重大错报风险评估的直接因素，A、B、C选项都是相对具体的，有一定关系，但不是主要的。128练 习 题2、在进行风险评估时，注册会计师通常采用的审计程序是( )。A. 将财务报表与其所依据的会计记录相核对B. 实施分析程序以识别异常的交易或事项，以及对财务报表和审计产生影响的金额、比率和趋势C. 对应收账款进行函证D. 以人工方式或使用

55、计算机辅助审计技术，对记录或文件中的数据计算准确性进行核对参考答案：B答案解析： 分析程序即可用作风险评估程序和实质性程序，也可用于对财务报表的总体复核。注册会计师实施分析程序有助于识别异常的交易或事项，以及对财务报表和审计产生影响的金额、比率和趋势。129练 习 题2、在进行风险评估时，注册会计师通常采用的审计程序是( )。A. 将财务报表与其所依据的会计记录相核对B. 实施分析程序以识别异常的交易或事项，以及对财务报表和审计产生影响的金额、比率和趋势C. 对应收账款进行函证D. 以人工方式或使用计算机辅助审计技术，对记录或文件中的数据计算准确性进行核对参考答案：B答案解析： 分析程序即可用

56、作风险评估程序和实质性程序，也可用于对财务报表的总体复核。注册会计师实施分析程序有助于识别异常的交易或事项，以及对财务报表和审计产生影响的金额、比率和趋势。130练 习 题3、案例分析（2008年注会试题）背景：W公司主要从事小型电子消费品的生产和销售，产品的销售以W公司仓库为交货地点。W公司日常交易采用自动化信息系统和手工控制相结合的方式。B注册会计师负责审计W公司208年度财务报告。资料一：B注册会计师在审计工作底稿中记录了所了解的W公司情况及其环境，部分内容摘录如下：131练 习 题（1）由于207年销售业绩未达到董事会制定的目标，W公司于208年2月更换了公司负责销售的副总经理。（2）

57、W公司主要产品的销售模式在208年发生了变化。208年之前采用代销模式，在代理商对外销售相关产品后，W公司根据代销清单以低于建议零售价7%的出厂价向代理商开具代销产品的销售发票，代理商有权退回未对外销售的产品。208年初开始改为经销模式，即由经销商（大部分是原先的代理商）以较优惠的出厂价（平均低于建议零售价13%）买断相关产品，W公司向经销商发货即开具销售发票，经销商不再享有退回未销售产品的权利（产品质量原因除外）。208年，W公司主要原材料价格平均上涨约5%，但主要产品建议零售价与上年基本相同。132练 习 题（3）W公司主要竞争对手于208年末纷纷推出降价促销活动。为了巩固市场份额，W公司于209年元旦开始全面下调了主要产品的建议零售价，不同规格的主要产品降价幅度从5%到20%不等。（4）208年初，W公司将房屋建筑物折旧年限由25年到35年变更为20年到35年，机器及其他设备折旧年限由8年到12年变更为8年到10年。残值率仍为3%.（5）W公司于208年7月完工投入使用的一个仓库被有关部门认定为违章建筑，被要求在209年6月底前拆除。（6）208年初，W公司启用新财务信息系统，并计划同时使用原系统6个月。由于同时运行两个系统对W公司相关部